Bybit 遭史上最大加密货币盗窃案,黑客身份指向Lazarus组织
发布时间 2025-02-241. Bybit 遭史上最大加密货币盗窃案,黑客身份指向Lazarus组织
2月23日,加密货币交易所 Bybit 近期遭受了一次前所未有的复杂网络攻击,导致价值约 15 亿美元的加密货币被盗,成为史上最大的加密货币盗窃案。攻击者通过操纵签名界面,将 Bybit 的 ETH 冷钱包中的资金重定向到未知地址。尽管 Bybit 的安全团队正在与区块链取证专家和合作伙伴积极调查此事件,但尚未透露具体的技术细节。据推测,攻击者可能利用了 Safe.global 平台用户界面中的漏洞。Bybit 首席执行官向客户保证,即使被盗资金无法追回,交易所也将保持偿付能力,并将在必要时使用过桥贷款确保用户资金可用。同时,Bybit 强调所有其他冷钱包均安全无虞,运营不会中断。网络安全公司 Elliptic 和 Arkham Intelligence 均将此次攻击归咎于与朝鲜有关的 Lazarus APT 集团,该组织以使用自定义恶意软件进行复杂攻击而闻名,并涉嫌多起针对银行和加密货币交易所的攻击事件。尽管 Bybit 尚未正式确认黑客身份,但此次事件再次凸显了加密货币领域面临的安全挑战。
https://securityaffairs.com/174514/cyber-crime/lazarus-stole-1-5b-from-bybit-cryptocurrency-heist.html
2. PayPal新型电子邮件诈骗:利用地址设置诱骗远程访问权限
2月22日,近期,一种利用PayPal电子邮件地址设置功能的诈骗手段正在流行。诈骗者通过向PayPal账户添加包含虚假MacBook购买确认信息的新地址,触发PayPal发送确认邮件。这些看似合法的邮件由“service@paypal.com”发送,诱骗用户拨打诈骗电话号码。一旦用户拨打,诈骗者会声称账户被黑客入侵,并诱导用户下载并运行特定软件以获取远程访问权限。然而,这些邮件实际上是发送给与诈骗者关联的电子邮件地址,该地址会自动将邮件转发给邮件列表中的所有成员,即诈骗目标。由于PayPal不限制地址字段字符数,诈骗者能够注入诈骗信息。为了防范此类诈骗,用户应忽略包含虚假购买确认的PayPal邮件,并不要拨打其中提供的电话号码。同时,PayPal需要采取措施限制地址字段字符数,以防止此类诈骗行为的发生。
https://www.bleepingcomputer.com/news/security/beware-paypal-new-address-feature-abused-to-send-phishing-emails/
3. CS2比赛成诈骗新靶场:游戏玩家需警惕Steam帐户被盗风险
2月22日,威胁行为者正利用反恐精英 2 (CS2) 的大型比赛,如IEM卡托维兹2025和PGL克卢日-纳波卡2025,针对游戏玩家实施诈骗,意图窃取他们的Steam帐户和加密货币。尽管CS2已推出多年,但其玩家社区和职业竞赛格局依然庞大且活跃。近期,CS2在Steam上的同时在线玩家数量达到了新的高峰。Bitdefender Labs发现了一项名为“Streamjacking”的恶意活动,诈骗者通过冒充知名CS2玩家,在YouTube直播中宣传假冒的皮肤和加密货币赠品。他们使用被劫持的合法YouTube帐户,并循环播放旧的游戏画面以营造直播氛围。这些视频中的二维码或链接会将观众导向恶意网站,要求他们使用Steam帐户登录以领取礼物或发送加密货币以获取高额回报。一旦登录,受害者就会在不知情的情况下授予诈骗者访问权限,导致有价值的皮肤和物品被盗,加密货币也会被立即转移至诈骗者控制的钱包。游戏玩家应保持警惕,核实与官方电子竞技组织的关系,并激活多重身份验证、启用Steam Guard移动身份验证器以及定期检查登录活动。在YouTube上,只观看官方职业球员帐户的视频,并对其他频道上的直播保持怀疑。
https://www.bleepingcomputer.com/news/security/fake-cs2-tournament-streams-used-to-steal-crypto-steam-accounts/
4. SpyLend Android 恶意软件在 Google Play 被下载了超 10 万次
2月21日,一款名为SpyLend(又称Finance Simplified)的Android恶意软件应用程序在Google Play上被下载超过10万次,它伪装成金融工具,实则针对印度用户实施掠夺性贷款。该应用属于SpyLoan恶意软件组,通过请求过多权限窃取用户个人数据,如联系人、通话记录、短信、照片、设备位置等。这些数据被用于骚扰、敲诈和勒索用户,特别是当用户未能满足还款条款时。该应用还声称是注册的非银行金融公司,但实则不然。为逃避检测,它加载WebView将用户重定向到外部网站下载贷款应用APK。该恶意软件活动专门针对印度用户,并窃取包括敏感个人信息在内的多种数据,用于敲诈勒索或金融欺诈。尽管该应用已从Google Play移除,但仍可能继续运行并收集敏感信息。若怀疑设备被感染,请立即删除相关应用,重置权限,更改密码,并执行设备扫描。同时,确保Google的Play Protect工具处于活动状态,以检测并阻止恶意软件。
https://www.bleepingcomputer.com/news/security/spylend-android-malware-downloaded-100-000-times-from-google-play/
5. CISA将Craft CMS高严重性安全漏洞CVE-2025-23209加入KEV目录
2月21日,美国网络安全和基础设施安全局(CISA)已将影响Craft内容管理系统(CMS)的高严重性安全漏洞CVE-2025-23209添加到其已知被利用漏洞(KEV)目录中。该漏洞的CVSS评分为8.1,影响Craft CMS版本4和5,具体为版本范围在>= 4.0.0-RC1, < 4.13.8和>= 5.0.0-RC1, < 5.5.5之间。CISA指出,由于易受攻击的版本已经危及用户安全密钥,Craft CMS存在代码注入漏洞,允许远程代码执行。项目维护人员已在2024年12月下旬发布的版本4.13.8和5.5.8中解决了该漏洞。Craft CMS在GitHub上发布的公告中提到,所有未修补且安全密钥被泄露的版本都会受到该安全缺陷的影响,并建议无法更新到修补版本的用户轮换安全密钥并确保其隐私以缓解问题。此外,联邦民事行政部门(FCEB)机构被建议在2025年3月13日之前应用必要的修复程序。
https://thehackernews.com/2025/02/cisa-flags-craft-cms-vulnerability-cve.html
6. CISA将Microsoft Power Pages漏洞CVE-2025-24989加入KEV目录
2月23日,美国网络安全和基础设施安全局(CISA)已将Microsoft Power Pages的一个高严重性漏洞(编号为CVE-2025-24989,CVSS分数为8.2)添加到其已知被利用漏洞(KEV)目录中。该漏洞属于不当访问控制漏洞,允许未经授权的攻击者通过网络提升权限,可能绕过用户注册控制。此漏洞由微软的Raj Kumar报告,微软已确认此漏洞正在被积极利用,并发布了公告通知受影响的客户检查网站并采取清理措施。根据具有约束力的操作指令(BOD)22-01,联邦民事行政部门(FCEB)机构必须在截止日期前解决已发现的漏洞,以保护其网络免受攻击。CISA要求联邦机构在2025年3月21日之前修复此漏洞,同时专家也建议私人组织审查该目录并解决其基础设施中的漏洞,以降低安全风险。
https://securityaffairs.com/174541/hacking/u-s-cisa-adds-microsoft-power-pages-flaw-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号