冒充Booking.com的网络钓鱼活动利用ClickFix攻击窃取信息
发布时间 2025-03-141. 冒充Booking.com的网络钓鱼活动利用ClickFix攻击窃取信息
3月13日,微软近日发出警告,指出存在一起冒充Booking.com的网络钓鱼活动,该活动自2024年12月起持续至今,主要针对酒店、旅行社等使用Booking.com预订服务的组织员工。攻击者利用ClickFix社会工程攻击手段,通过发送含有恶意软件的电子邮件,意图劫持员工账户并窃取客户付款详情和个人信息。据微软安全研究人员分析,此次活动由名为“Storm-1865”的威胁组织发起。在此次活动中,攻击者发送伪装成客人询问Booking.com相关事宜的电子邮件,邮件中包含虚假的CAPTCHA页面链接或PDF附件,诱骗受害者执行隐藏的mshta.exe命令。该命令会在攻击者服务器上执行恶意HTML文件,进而下载并安装多种RAT和信息窃取软件,如XWorm、Lumma stealer等。这些有效载荷具有窃取财务数据和凭证以供欺诈使用的能力,是Storm-1865活动的典型特征。为了防御此类攻击,微软建议用户始终确认发件人地址的合法性,对紧急行动呼吁保持警惕,并寻找可能的拼写错误以识别诈骗。同时,建议通过独立登录平台验证Booking.com账户状态和待处理警报,避免点击电子邮件中的链接,以降低被攻击的风险。
https://www.bleepingcomputer.com/news/security/clickfix-attack-delivers-infostealers-rats-in-fake-bookingcom-emails/
2. Mora_001利用Fortinet漏洞部署SuperBlack勒索软件
3月13日,名为“Mora_001”的勒索软件运营商正在利用Fortinet披露的两个身份验证绕过漏洞(CVE-2024-55591和CVE-2025-24472)来获取防火墙设备的未授权访问,并部署定制的SuperBlack勒索软件。这两个漏洞分别在2024年1月和2月被Fortinet公开,但CVE-2024-55591自2024年11月起就已被用作零日漏洞进行攻击。而关于CVE-2025-24472,尽管最初Fortinet表示不清楚是否被利用,但Forescout研究人员在2025年1月下旬发现了SuperBlack攻击,表明该漏洞也已被利用。Mora_001运营商通过这两个漏洞获得“super_admin”权限,创建新管理员帐户,并尝试横向移动以窃取数据。之后,他们使用自定义工具加密文件以进行双重勒索,并在加密结束后放置勒索信。此外,还部署了名为“WipeBlack”的定制擦除器以删除痕迹。Forescout发现SuperBlack与LockBit勒索软件之间存在紧密联系,尽管前者似乎是独立行动,但两者在加密器结构、赎金记录中的TOX聊天ID以及IP地址等方面存在大量重叠。Forescout分享了与SuperBlack攻击相关的入侵指标列表以供防御参考。
https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/
3. CISA警告Apple WebKit越界写入漏洞正在被野外利用
3月13日,近日,美国网络安全和基础设施安全局(CISA)发出警告,指出苹果WebKit浏览器引擎存在一个已被野外利用的零日漏洞,编号为CVE-2025-24201。这是一个越界写入问题,攻击者可通过精心构造的恶意网页内容,突破Web Content沙盒隔离,在受影响设备上执行未经授权的代码,甚至部署间谍软件。该漏洞广泛影响iPhone XS及后续机型、iPad Pro系列、iPad Air系列、iPad系列、iPad mini系列、运行macOS Sequoia的Mac设备以及Apple Vision Pro,同时iOS和iPadOS上的第三方浏览器也受到影响,因为它们必须使用WebKit引擎。苹果已确认,该漏洞可能在针对特定个人的“极其复杂”的攻击中被利用,并已发布更新进行修复。CISA建议用户按照供应商指示采取缓解措施,包括立即更新设备、避免点击不可信链接和访问未知网站、监控设备行为以及启用自动更新。对于高风险用户和企事业用户,建议启用锁定模式以增强防护能力。企业用户还应部署移动设备管理解决方案,确保设备及时更新,并监控网络活动以发现潜在攻击迹象。
https://cybersecuritynews.com/cisa-warns-of-apple-webkit-out-of-bounds-write/
4. ESHYFT数据库配置错误致86,000名医护人员敏感数据泄露
3月13日,ESHYFT 是一家总部位于新泽西州的健康科技公司,业务遍及 29 个州。近日,一个配置错误的数据库暴露了ESHYFT旗下86,000多名医护人员的108.8 GB敏感数据,包括SSN、身份证件扫描件、薪资详情等个人身份信息。该数据库没有密码保护或加密,由网络安全研究员Jeremiah Fowler发现。被泄露的数据还包括个人资料图像、面部图像、专业证书、工作任务协议等,以及一份详细记录了80多万条护士信息的电子表格。此外,医疗文件也被泄露,可能受到HIPAA法规的约束。尽管Fowler立即通知了ESHYFT,但该公司花了一个多月才限制公众访问。目前尚不清楚数据库是否由ESHYFT拥有或直接管理,以及暴露的持续时间和是否有未经授权的人员访问数据。网络犯罪分子可能会利用这些数据实施犯罪或欺骗受害者。因此,HealthTech必须实施适当的网络安全措施,如强制加密敏感数据、使用多因素身份验证、进行定期安全审核等,以保护用户数据安全。同时,制定数据泄露应对计划、建立沟通渠道、提供负责任的披露通知并教育用户识别网络钓鱼企图也是必要的。
https://hackread.com/healthtech-database-exposed-medical-employment-records/
5. 黑客滥用Microsoft Copilot进行复杂的网络钓鱼攻击
3月13日,随着Microsoft Copilot在2023年推出并迅速成为许多组织不可或缺的生产力工具,网络犯罪分子也瞄准了这一新攻击媒介。他们利用精心制作的网络钓鱼电子邮件,模仿合法的Microsoft通信,诱骗用户点击链接,从而重定向到伪造的Microsoft Copilot欢迎页面。这些页面与合法的Microsoft界面高度相似,但URL并不属于Microsoft域。攻击者进一步模仿Microsoft身份验证过程,诱使用户输入凭证,并出现欺诈性的Microsoft Authenticator多重身份验证页面。此类网络钓鱼活动已经显示出其严重性,攻击者甚至发送电子邮件声称向用户收取Microsoft Copilot服务费用。随着微软继续在其产品套件中集成人工智能功能,安全专业人员必须警惕新出现的威胁,实施全面的安全措施以防御这些威胁。微软和Cofense等工具可以帮助识别和管理欺骗发件人,阻止潜在威胁。了解这些攻击方法并实施适当的保护措施,可以降低组织风险,同时仍然受益于Microsoft Copilot等工具提供的生产力优势。
https://cybersecuritynews.com/microsoft-copilot-phishing-attack/
6. 捷豹路虎遭“Rey”黑客入侵,700份敏感数据泄露
3月12日,近期,一名化名“Rey”的威胁行为者入侵了英国著名汽车制造商捷豹路虎(JLR)的内部系统,并泄露了约700份包含敏感技术和运营数据的内部文件,首次在暗网论坛上公布。泄露的数据涉及多个类别,包括专有源代码、车辆开发日志、跟踪数据集以及员工数据库等,可能对该公司的知识产权安全和员工隐私造成严重威胁。此次泄密事件如果得到证实,将成为捷豹路虎面临的最严重的网络安全威胁之一。网络安全分析师推测,数据泄露可能源自受到攻击的公司服务器或云存储库。尽管尚未明确提及赎金要求,但泄露数据的技术性质可能使竞争对手受益。捷豹路虎尚未就此发表官方声明,但网络安全公司已开始验证泄露数据的真实性。此次事件凸显了汽车行业数字基础设施的脆弱性,专家建议JLR立即审核代码存储库,加强开发者账户的安全措施,并进行渗透测试。对于员工来说,凭证监控和安全意识培训也至关重要。此次泄密事件再次警醒人们,汽车制造商在日益由软件驱动的行业中面临着不断变化的威胁,创新与网络安全之间的平衡仍然不稳定。
https://cybersecuritynews.com/threat-actor-allegedly-claiming-breach/
京公网安备11010802024551号