FBI警示虚假文档转换工具窃取信息并传播勒索软件
发布时间 2025-03-241. FBI警示虚假文档转换工具窃取信息并传播勒索软件
3月23日,联邦调查局(FBI)丹佛分局近日发布网络安全预警,指出网络犯罪组织正利用伪造的在线文档转换工具实施大规模信息窃取与勒索攻击。据安全报告显示,攻击者通过创建虚假文件转换、合并或下载工具网站,诱导用户上传包含敏感信息的文档,进而在设备中植入恶意软件。FBI指出,这些钓鱼网站通常伪装成提供".doc转.pdf""多图合并.pdf"等实用功能的免费服务,其域名与合法网站高度相似(如篡改字母或后缀)。当用户上传文件后,攻击者不仅窃取姓名、社保号、加密货币密钥、银行账户等敏感数据,更通过捆绑的恶意软件(如Gootloader)实现远程设备控制,最终部署REvil、BlackSuit等勒索软件。网络安全研究员已确认多起实际攻击案例。安全专家建议,用户应选择知名文件转换服务,避免使用无评价记录的小众工具;下载前务必核查文件哈希值,对可执行文件(.exe)和脚本文件(.js)进行沙箱分析;企业用户需部署邮件过滤与内容检测机制,阻断可疑文件传输。
https://www.bleepingcomputer.com/news/security/fbi-warnings-are-true-fake-file-converters-do-push-malware/
2. 微软可信签名遭滥用:短期证书助恶意软件绕过安全检测
3月22日,网络安全研究人员近期揭露,网络犯罪组织正利用微软新推出的"可信签名服务(Trusted Signing)"签发短期有效代码签名证书,为恶意软件披上合法外衣。该服务允许开发者以每月9.99美元订阅获取由微软管理的认证机构签发的短期证书,其设计初衷是通过自动化证书轮换机制提升软件分发安全性。然而,威胁行为者发现该服务存在可被利用的漏洞:尽管微软要求注册实体需为成立满三年的企业,但允许个人以自身名义注册,这为不法分子提供了更便捷的伪装路径。分析显示,攻击者偏好使用有效期仅三天的短期证书,这类证书即使被用于恶意活动,微软也能通过威胁情报监控快速撤销,理论上可最小化滥用影响。但实际情况中,已发现多起在证书失效前利用有效签名传播的恶意软件案例。安全专家指出,威胁行为者转向微软服务,主要因其验证流程较传统扩展验证(EV)证书更为简便。微软方面表示,已部署主动监控机制,结合威胁情报实时追踪证书使用情况,一旦发现恶意利用立即执行大规模证书撤销,同时强调其反恶意软件产品已能检测相关样本。
https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/
3. 黑客声称获取600万条记录,但Oracle否认存在违规行为
3月22日,网络安全公司CloudSEK通过其XVigil平台监测到针对Oracle Cloud基础设施的大规模网络攻击事件,导致约600万条敏感记录泄露,波及超14万名租户。攻击者"rose87168"自2025年初开始活动,利用Oracle Fusion Middleware 11G的子域名漏洞实施入侵,窃取包含JKS密钥库、加密单点登录(SSO)凭证及企业管理器密钥的敏感数据,并在暗网论坛兜售。该组织甚至要求受害者支付赎金删除数据,并为破解密码者提供奖励。技术分析显示,攻击可能利用2021年披露的CVE-2021-35587漏洞,该漏洞允许未授权攻击者远程接管Oracle Access Manager,进而实施横向渗透。值得注意的是,被入侵服务器软件版本自2014年起未更新,长期处于失修状态。Oracle官方否认云基础设施遭入侵,声称泄露凭证不适用于其云平台。但CloudSEK指出,攻击者获取的JKS文件包含解密敏感数据的密钥材料,泄露的加密SSO/LDAP凭证更可能引发连锁攻击,零日漏洞利用也暴露了Oracle Cloud的安全隐患。安全专家建议受影响租户立即执行凭证轮换、开展全面取证调查,并加强威胁情报监控。
https://hackread.com/oracle-denies-breach-hacker-access-6-million-records/
4. 纽约大学招生系统遭黑客攻击,300万敏感数据泄露引种族争议
3月22日,美国纽约大学遭遇严重数据泄露事件,黑客通过入侵招生系统获取超过300万份申请者敏感信息。攻击者于22日凌晨渗透官网,持续篡改页面达两小时,公开披露包含姓名、考试成绩、家庭背景及经济援助记录的CSV文件,部分数据可追溯至1989年。篡改页面展示招生录取统计图表,声称在最高法院取消平权行动后,亚裔和白人申请者录取标准仍高于少数族裔,意图激化种族议题。大学IT团队在中午前恢复系统控制,发言人约翰·贝克曼证实已启动安全审查并与执法机构合作。值得注意的是,实施攻击的黑客组织"Computer Niggy Exploitation"此前曾入侵明尼苏达大学,泄露700万份含社会安全号码的招生数据,引发集体诉讼。类似事件近年频发,斯坦福大学(2019)、乔治城大学(2024)均遭遇过涉及学生隐私的大规模泄露。专家指出,教育数据安全漏洞与种族议题交织,凸显高校在数据治理和社会责任方面的双重挑战。
https://nyunews.com/news/2025/03/22/nyu-website-hacked-data-leak/
5. SEO专业人士遭Semrush钓鱼攻击,Google账户数据被窃取
3月21日,一项新的网络钓鱼活动针对SEO专业人士,使用恶意Semrush Google广告旨在窃取他们的 Google 帐户凭据。据Malwarebytes实验室分析,网络犯罪组织正通过假冒Semrush平台的Google广告实施精准钓鱼攻击,目标直指用户Google账户凭据。该手法属于"连锁欺诈"模式,攻击者先渗透Google Ads账户创建恶意广告,再诱导用户进入仿冒登录页面。作为服务40%世界500强企业的SEO分析工具,Semrush与Google Analytics等核心服务深度集成,使其成为高价值攻击目标。攻击者注册了semrush[.]click等多个仿冒域名,构建与官方高度相似的钓鱼页面,强制用户通过"Google登录"提交凭证。由于Semrush账户常关联企业级Google服务,攻击者可间接获取收入数据、营销策略等敏感信息,而无需直接攻破Semrush系统。安全专家Elie Berreby指出,幕后黑手为巴西犯罪集团,其手法展现出对SaaS生态的深刻理解。防御建议包括:避免点击推广链接、使用书签直达官方页面、登录前严格校验域名,并启用密码管理器的自动填充功能。
https://www.bleepingcomputer.com/news/security/fake-semrush-ads-used-to-steal-seo-professionals-google-accounts/
6. 伊朗船只遭黑客攻击,116艘船通信系统瘫痪
3月21日,近期,伊朗航运业遭遇重大网络攻击事件,一个名为LabDookhtegan的黑客组织宣称对导致116艘伊朗船只通信系统瘫痪的攻击负责。据伦敦网络安全专家纳里曼·加里布证实,此次攻击目标直指伊朗国家油轮公司(50艘)和伊朗伊斯兰共和国航运公司(66艘)运营的船舶,攻击者通过清除VSAT卫星通信系统的存储设备实施破坏。该组织声称,这两家公司长期为也门胡塞叛军提供海上补给,而叛军频繁袭击曼德海峡过往船只,严重威胁全球贸易安全。值得注意的是,LabDookhtegan此前以泄露伊朗政府机密著称,自2019年曝光伊朗间谍组织APT34的黑客工具后,持续公开大量政府内部文件,此次攻击标志着其策略从信息泄露转向直接破坏。
https://news.risky.biz/risky-bulletin-hacktivists-claim-cyber-sabotage-of-116-iranian-ships/
京公网安备11010802024551号