Microsoft Stream旧域名遭劫持致SharePoint页面显示赌场广告
发布时间 2025-03-281. Microsoft Stream旧域名遭劫持致SharePoint页面显示赌场广告
3月27日,作为微软365生态的企业级视频服务,Microsoft Stream经典版于2020年启动迁移至SharePoint,原域名microsoftstream.com按计划应于2024年全面退役。然而2025年3月,该域名突遭劫持,攻击者篡改DNS解析使其指向仿冒亚马逊界面的泰国赌场钓鱼页面,导致仍嵌入旧版视频链接的SharePoint页面被垃圾内容污染。技术调查显示,域名注册信息于事发当日被非法修改,攻击者可能通过社会工程学或漏洞利用获取控制权。尽管微软已紧急关闭域名解析,但此次事件对用户的潜在危害不容忽视:企业内网用户可能因访问被劫持页面导致敏感数据泄露,而SharePoint生态中残留的嵌入链接更成为持续威胁。值得注意的是,攻击者未进一步植入恶意软件,主要危害集中在网络钓鱼层面。安全专家指出,此类事件反映出企业对退役域名处置的普遍疏漏:及时更新嵌入资源、缺乏DNS监控机制、未部署DNSSEC防护等漏洞,都可能被攻击者利用实施中间人攻击。
https://www.bleepingcomputer.com/news/microsoft/hijacked-microsoft-stream-classic-domain-spams-sharepoint-sites/
2. 《白雪公主》未上线Disney+,盗版陷阱暗藏恶意软件
3月27日,迪士尼真人版《白雪公主》未通过迪士尼自有流媒体平台Disney+发行,迫使部分观众转向盗版渠道,却因此陷入网络诈骗陷阱。网络安全公司Veriti披露,诈骗分子利用影片未上线正规平台的空档期,在"TeamEsteem"网站发布虚假博客,伪装成官方资源提供2025版《白雪公主》盗版下载。该磁力种子链接看似合法,实则捆绑恶意软件。已有45名用户下载并传播该种子文件,其中包含伪装成视频编解码器的"xmph_codec.exe"程序。一旦执行,该程序将实施多重恶意操作:首先禁用Windows Defender等安全防护,随后植入被50款安全工具标记为恶意的文件,并静默安装TOR浏览器建立暗网通信通道,最终使设备暴露于数据盗窃和勒索软件攻击风险中。攻击者可能通过两种方式入侵TeamEsteem官网:一是利用Yoast SEO插件旧版本漏洞(CVE-2023-40680),二是盗取管理员凭证直接发布虚假内容。安全专家建议,观众应避免下载来源不明的盗版内容,定期更新反恶意软件,并对要求安装额外编解码器的可疑文件保持警惕,以防落入网络犯罪陷阱。
https://hackread.com/fake-snow-white-movie-torrent-infects-device-malware/
3. COPA数据泄露事件波及两州近68,000名患者敏感信息
3月27日,去年11月,黑客组织Everest Team将美国骨科医疗机构Concord Orthopaedics(COPA)列入暗网泄密网站,宣称掌握其自2018年起的所有患者医疗记录及个人数据,包括姓名、出生日期、社会安全号码、预约信息、健康保险详情及部分驾驶执照图像。该机构于2025年3月25日向受影响者寄送书面通知,确认其患者登记与预约系统供应商遭网络入侵,但强调内部环境未受影响。根据COPA公告,泄露源头为第三方供应商的软件漏洞,外泄数据类型涵盖预约记录(如手术类型、医生姓名、日期地点)、健康保险信息(含受益人编号、保险资格)及部分身份文件。供应商于2025年1月28日向COPA提供潜在影响数据范围。新罕布什尔州总检察长办公室披露,该州共有67,835名居民信息涉险,马萨诸塞州另有1,517人受影响。值得注意的是,Everest公布的2.9GB泄露数据包实际包含2019-2024年间更广泛的患者信息,且DataBreaches发现供应商服务器存储大量未加密敏感数据,包含超过3万张驾照图像及其他CSV格式医疗记录,时间跨度远超黑客最初声称的2018年。
https://databreaches.net/2025/03/27/four-months-after-learning-of-a-vendors-breach-concord-orthopaedics-notifies-almost-68000-patients/
4. Vroom by YouX因AWS配置错误导致敏感数据泄露
3月27日,澳大利亚金融科技公司Vroom by YouX近期遭遇敏感数据泄露事件,安全研究员Jeremiah Fowler在公开可访问的Amazon S3存储桶中发现包含27,000条记录的无保护数据库,泄露信息涵盖驾照、医疗记录、就业证明及含部分信用卡号的银行对账单等高度敏感数据。更令人担忧的是,内部截图显示存在保存320万份文档的MongoDB实例,其暴露状态可能形成网络攻击新入口。事件曝光后,Vroom迅速限制数据库访问权限,承认安全漏洞并承诺开展事后审查。作为人工智能驱动的汽车融资平台,该公司自2022年运营以来持续处理大量客户敏感信息,此次泄露记录时间跨度达三年,凸显数据处理环节的安全隐患。安全专家指出,此类信息泄露将直接导致欺诈风险激增,包括社会工程攻击、虚假账户开设及精准网络钓鱼等。企业应采用MFA身份验证、RBAC权限管理、加密传输与存储等核心措施,结合CloudTrail等监控工具实现威胁实时预警,定期开展渗透测试修补弱点,构筑全生命周期安全防护链条。
https://hackread.com/aussie-fintech-vroom-pii-records-aws-misconfiguration/
5. CoffeeLoader恶意软件利用创新技术规避检测威胁Windows用户
3月27日,新型恶意软件家族"CoffeeLoader"正对Windows用户构成严重威胁,其高度隐蔽性使得传统防病毒软件难以检测。该恶意软件最早由Zscaler安全团队于2024年9月发现,其攻击链始于伪装成华硕Armoury Crate系统工具,诱导用户下载后植入信息窃取模块,已知可搭载Rhadamanthys等高危窃密程序。CoffeeLoader展现出多维度规避检测技术:采用Armoury Packer加壳技术实施初始欺骗,更创新地将部分恶意代码转移至GPU执行,利用安全软件对图形处理器的监测盲区实现长期潜伏。其调用堆栈篡改技术可伪造函数调用链,使安全分析工具误判程序行为属性。当检测到安全扫描时,该恶意软件会启动"睡眠混淆"机制,将自身加密存储于内存非活跃区段,有效躲避实时检测。值得关注的是,CoffeeLoader创造性地利用Windows Fibers轻量级线程技术实施进程内多任务调度,这种非标准线程管理方式往往绕过常规监控体系。通过这种复合式逃逸策略,该恶意软件能在目标系统长期驻留,持续执行未经授权的数据采集或横向渗透等恶意操作。安全专家建议加强终端行为监控,部署基于GPU活动分析的检测方案,并定期验证系统工具的完整性以防范此类高级持续性威胁。
https://cybernews.com/security/coffeeloader-malware-asus-windows/
6. 十款npm包遭恶意篡改,加密货币开发者敏感数据被盗取
3月27日,近日,十款npm软件包突发恶意代码植入事件,针对加密货币领域开发者实施供应链攻击。安全厂商Sonatype的研究员阿里·埃尔沙坎基里率先发现,攻击者利用混淆脚本在软件包安装时窃取系统环境变量,敏感数据被回传至远程服务器。受影响软件包中,热门库"country-currency-map"每周下载量达数千次,其2.1.8版本被植入恶意代码,累计下载288次。恶意代码藏匿于两个经过高度混淆的脚本文件,通过npm包安装机制自动执行,专门捕获包含API密钥、数据库凭证等敏感信息的系统环境变量。安全专家分析指出,此次攻击极有可能是通过接管长期未活跃的维护者账户实施,攻击者可能利用此前泄露的凭证进行"撞库"攻击,或利用过期域名控制权限。值得注意的是,所有被篡改的仓库中恶意代码版本完全一致,且多数仓库已数年未更新,进一步佐证了账户劫持的推测。目前,除"country-currency-map"已弃用恶意版本并引导用户降级至2.1.7安全版本外,其余被篡改软件包仍携带恶意代码在npm平台流通。尽管npm已对活跃项目强制启用双因素认证,但此次涉事软件包多为老旧项目,维护者可能已脱离管理,形成安全防护盲区。
https://www.bleepingcomputer.com/news/security/infostealer-campaign-compromises-10-npm-packages-targets-devs/
京公网安备11010802024551号