MOVEit漏洞致数据泄露,Nam3L3ss组织曝光数百万员工记录
发布时间 2024-12-051. MOVEit漏洞致数据泄露,Nam3L3ss组织曝光数百万员工记录
12月3日,一起涉及MOVEit文件传输工具的安全漏洞事件引发了广泛关注。该漏洞被Cl0p勒索病毒团伙利用,导致数千家公司的敏感数据被盗,其中包括来自27家大公司的超过760,000份员工记录,以及仲量联行公司(JLL.com)的1200万行数据,总数达到1312万条。这些数据包含姓名、电子邮件、电话号码、地址和公司位置坐标等敏感信息,被泄露后可能会被用于社会工程攻击、身份盗窃或网络钓鱼诈骗等恶意行为。泄露数据的组织Nam3L3ss自称“数据义勇军”,在黑客论坛BreachForums上公布了这些信息,并声称是从MOVEit漏洞中获得的数据。此次泄密事件涉及的公司包括美国银行、诺基亚、摩根士丹利等行业巨头,总数达到近1亿个人。虽然Nam3L3ss的动机尚不明确,但他们的行为无疑暴露了MOVEit漏洞的重大影响以及被盗员工数据带来的风险。受影响公司的员工应保持警惕,以防网络钓鱼等攻击。
https://hackread.com/data-vigilante-leaks-772k-employee-record-database/
2. Kimsuky利用钓鱼邮件进行凭证窃取,滥用俄罗斯发件人地址
12月3日,与朝鲜结盟的威胁行为者Kimsuky,被指与一系列网络钓鱼攻击有关联。这些攻击主要通过发送源自俄罗斯发件人地址的电子邮件进行,旨在窃取凭证。据韩国网络安全公司Genians观察,钓鱼邮件最初主要通过日本和韩国的电子邮件服务发送,但从9月中旬开始,伪装成来自俄罗斯的钓鱼邮件逐渐增多,滥用VK的Mail.ru电子邮件服务,该服务支持五个别名域。Kimsuky攻击者利用这些发件人域伪装成金融机构和互联网门户网站,如Naver,进行网络钓鱼活动。此外,还发送模仿Naver MYBOX云存储服务的消息,诱导用户点击链接,声称在其帐户中检测到恶意文件并需要删除,以此诱骗用户。这些消息虽然表面上是从特定域名发送的,但实际上是利用受感染的电子邮件服务器发送的。Kimsuky还擅长使用合法电子邮件工具如PHPMailer和Star,以逃避安全检查。这些攻击的最终目标是凭证盗窃,进而劫持受害者账户,并利用它们对其他员工或熟人发起后续攻击。
https://thehackernews.com/2024/12/north-korean-kimsuky-hackers-use.html
3. 欧警捣毁加密犯罪平台MATRIX,缴获大量非法资产
12月4日,欧洲刑警组织宣布,法国和荷兰执法部门已捣毁与国际贩毒、武器贩运和洗钱等严重犯罪有关的名为MATRIX的加密信息服务。该平台最初由荷兰当局在一名罪犯手机中发现,拥有近8000名用户,服务器遍布多个国家,主要在德国和法国。警方在三个月的调查中截获并破译了230多万条信息,并在国际行动中摧毁了服务器,逮捕了三名嫌疑人,包括平台的嫌疑所有者和运营商。MATRIX拥有复杂的基础设施,提供加密消息传递、安全通话、视频和语音共享以及匿名网页浏览等服务,甚至推出了赌博应用程序和货币。欧洲刑警组织表示,MATRIX比之前被取缔的Sky ECC和EncroChat等平台更为复杂,用户只能通过邀请加入。警方将继续调查与该平台相关的犯罪活动。
https://therecord.media/matrix-criminal-encrypted-chat-platform-takedown-police
4. CISA将三个漏洞添加到已知被利用漏洞目录
12月4日,美国网络安全和基础设施安全局(CISA)近日更新了其已知被利用漏洞(KEV)目录,新增了三个漏洞,分别是ProjectSend的身份验证不当漏洞(CVE-2024-11680)、North Grid Proself的XML外部实体(XEE)引用漏洞(CVE-2023-45727)以及Zyxel多防火墙的路径遍历漏洞(CVE-2024-11667)。其中,Proself的漏洞允许未经授权的攻击者读取服务器文件,包括账户数据;ProjectSend的漏洞则影响r1720之前的版本,攻击者可借此未经授权修改应用配置,创建账户,上传恶意软件;而Zyxel的漏洞则可能让攻击者通过精心设计的URL下载或上传文件。据VulnCheck研究人员称,ProjectSend的漏洞似乎已被野外攻击者利用,且攻击者已采取一系列行动,如更改登录页面标题,启用用户注册以获取身份验证后的访问权限,并上传Webshell。CISA已要求联邦机构在2024年12月24日之前修复这些漏洞,并建议私人组织审查该目录并解决其基础设施中的漏洞,以保护网络免受攻击。
https://securityaffairs.com/171638/security/u-s-cisa-adds-projectsend-north-grid-proself-and-zyxel-firewalls-bugs-to-its-known-exploited-vulnerabilities-catalog.html
5. DroidBot:新型Android银行恶意软件窃取多国加密货币及银行凭证
12月4日,DroidBot是一种新型Android银行恶意软件,自2024年6月起活跃,以恶意软件即服务(MaaS)形式运营,每月售价3000美元。它试图窃取英国、意大利、法国、西班牙、葡萄牙等国的77多个加密货币交易所和银行应用的凭证。尽管功能并不新颖复杂,但DroidBot在英国、意大利、法国、土耳其和德国已造成776起独特感染,显示其高度活跃。此恶意软件正大力开发中,并试图扩展至新地区,包括拉丁美洲。DroidBot由土耳其开发者创建,为联盟成员提供恶意软件构建器、命令和控制(C2)服务器及中央管理面板等工具,使网络犯罪分子易于使用。它常伪装成Google Chrome、Google Play商店或Android安全中心,诱骗用户安装,充当木马角色窃取敏感信息。主要特征包括键盘记录、覆盖合法银行应用界面显示虚假登录页面、短信拦截和VNC模块。它还滥用Android辅助功能服务监控用户操作。为了减轻威胁,建议Android用户仅从Google Play下载应用,仔细检查权限请求,并确保Play Protect处于活动状态。
https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/
6. BT集团遭Black Basta勒索软件攻击,部分服务器已关闭
12月4日,跨国电信巨头BT集团(前身为英国电信)确认其BT会议业务部门在遭受Black Basta勒索软件攻击后,已关闭部分服务器。尽管此次安全事件未影响BT集团的运营或BT会议服务,但Black Basta团伙声称已入侵该公司服务器并窃取500GB数据,包括财务、组织、用户数据和个人文档等。该团伙还在暗网泄密网站上添加了倒计时,声称将于下周泄露据称被盗的数据。BT集团表示将继续积极调查此事,并与相关机构合作应对。Black Basta勒索软件行动自2022年4月以来已造成许多知名受害者,包括医疗保健公司、政府承包商等,其分支机构已入侵500多个组织,并从90多名受害者手中收取至少1亿美元的赎金。
https://www.bleepingcomputer.com/news/security/bt-conferencing-division-took-servers-offline-after-black-basta-ransomware-attack/
京公网安备11010802024551号