黑客声称入侵Check Point网络安全公司并出售敏感数据
发布时间 2025-04-011. 黑客声称入侵Check Point网络安全公司并出售敏感数据
4月1日,黑客组织CoreInjection宣称入侵以色列网络安全巨头Check Point,在暗网论坛以5比特币(约合43.45万美元)兜售敏感数据。该组织于2025年3月30日通过Breach Forums发布声明,声称掌握Check Point内部项目文档、用户凭证(含明文密码)、网络架构图、源代码及员工联系信息等核心数据,仅接受加密货币交易并通过TOX通讯工具联系。Check Point迅速回应,否认近期发生大规模入侵,称指控源于数月前已处理的孤立事件,仅涉及非核心系统且未影响客户数据。公司强调被入侵的门户未触及生产环境,受影响组织已修复漏洞,暗网售卖数据实为旧信息回收。CoreInjection自3月15日现身Breach Forums以来,已多次针对以色列关键基础设施发起攻击,展现出对高价值目标的精准打击能力。其攻击模式显示与地缘政治高度关联,引发对潜在物理破坏攻击的担忧。尽管Check Point淡化事件影响,但黑客披露的内部架构图、未加密凭证及源代码等细节,仍引发外界对入侵深度的质疑。此外,Check Point未公开入侵方式、漏洞类型及追责进展,其透明度不足可能削弱行业信任。
https://hackread.com/hacker-breach-check-point-cybersecurity-firm-access/
2. Lazarus黑客组织采用ClickFix策略攻击加密货币求职者
3月31日,朝鲜Lazarus黑客组织近期升级了对加密货币领域求职者的定向攻击策略,采用ClickFix技术实施传染性面试活动。该组织冒充Coinbase、Kraken等14家知名加密金融企业,通过虚假职位诱骗求职者访问含恶意代码的面试网站。当受害者尝试录制视频回答面试问题时,网站会弹出虚假系统错误提示,要求用户执行特定操作系统的终端命令以修复摄像头驱动问题。这些命令实际会下载名为GolangGhost的Go语言后门程序,通过修改注册表或LaunchAgent实现系统驻留。该恶意软件具备窃取Chrome浏览器Cookie、浏览历史、存储密码及系统元数据的能力,并与攻击者控制的C2服务器建立加密通信。值得注意的是,Lazarus将攻击目标从技术开发人员扩展至业务开发、市场营销等非技术岗位人员,利用ReactJS构建高仿企业招聘页面增强欺骗性。攻击链始于LinkedIn等社交平台的企业账号伪装,通过GitHub等平台托管恶意编码测试项目,最终诱导受害者主动执行攻击载荷。防御建议强调求职者需严格验证面试邀请来源,避免执行任何未知终端命令,企业则应部署Yara规则检测异常进程,并监控注册表/plist文件变动。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-adopt-clickfix-attacks-to-target-crypto-firms/
3. 国防承包商NDC及AMTEC遭黑客攻击系统被加密
3月31日,国防承包商NDC及其弹药制造子公司AMTEC近期遭遇重大网络攻击事件。据暗网泄密组织InterLock宣称,已成功入侵NDC及其关联系统,窃取4,200GB敏感数据,包含290余万份文件及45万个文件夹。攻击者通过暗网平台公布部分截图作为佐证,并指出已对AMTEC、Tech Ord及PRESTO系统实施全盘加密。作为National Presto Industries全资子公司,NDC主营军用/警用弹药生产,具备精密组装、炸药装载等核心能力。其子公司AMTEC更是全球40毫米榴弹弹药及引信的最大批量供应商。InterLock披露的NDC内部沟通内容显示,尽管公司声称已向政府机构和公众披露事件,但公开渠道未见相关公告。NDC在回应中淡化数据价值,强调其生产的低技术商品设计年代久远,被盗信息对第三方利用价值有限,同时透露已投保覆盖潜在损失。母公司报告则承认事件对财务及运营可能造成重大影响,目前法证调查仍在进行中。值得注意的是,InterLock指控NDC安全监控存在疏漏,称其未被发现或驱逐出系统。此次攻击不仅造成生产、物流等运营功能暂时瘫痪,更暴露了关键基础设施网络安全防护的脆弱性。
https://databreaches.net/2025/03/31/national-defense-corporation-victim-of-ransomware-attack-discloses-breach-and-declines-to-pay-any-ransom/
4. 三星德国票务系统因凭证失窃致27万客户数据泄露
3月31日,网络安全公司Hudson Rock披露三星德国票务系统遭遇重大数据泄露事件,威胁行为者GHNA利用被盗账户凭证窃取约27万条客户记录。据调查,泄露源头可追溯至2021年Spectos GmbH员工设备感染的Racoon信息窃取程序,该账户本用于监控服务质量,但相关登录凭证长期未轮换,闲置四年后成为攻击突破口。此次泄露数据涵盖客户姓名、地址、邮箱等敏感信息,以及交易记录、订单号、跟踪链接和支持沟通内容。Hudson Rock警告,此类信息可被用于精准网络钓鱼攻击、虚假客户支持诈骗、伪造保修索赔及物理盗窃等犯罪活动。攻击者甚至可能运用AI技术识别高价值目标,实施定制化欺诈。分析报告指出,凭证管理疏失是事件主因,类似问题曾导致捷豹路虎、施耐德电气等多家企业遭袭。Hudson Rock强调,信息窃取威胁具有潜伏性,企业需建立持续凭证监控机制,而非仅依赖事后补救。该机构建议主动追踪被盗凭证应成为安全战略核心,而非被动应对漏洞。截至目前,三星尚未就此事件作出官方回应,后续进展仍需持续关注。
https://www.securityweek.com/hacker-leaks-samsung-customer-data/
5. 田纳西牙科集团邮件入侵致17万患者数据泄露
3月31日,田纳西州牙科服务集团Chord Specialty Dental Partners(含CDHA Management和Spark DSO)近日披露遭遇电子邮件系统安全事件,影响范围覆盖其在美国六个州运营的60余家诊所。据企业公告,2024年8月18日至9月25日期间,多个员工邮箱遭未经授权访问,存储的敏感信息包括患者姓名、住址、出生日期、社保号、驾照号、银行账户及支付卡数据、医疗记录和健康保险详情等。尽管企业声明目前未发现信息被恶意滥用的证据,但仍强调无法排除数据已被获取的可能性。此次事件波及超17.3万名患者,Chord已向HHS报备,并承诺为受影响者提供信用监控及身份保护服务。安全专家指出,医疗机构因存储大量高价值个人健康信息,长期成为网络攻击重点目标。电子邮件作为常见攻击入口,其账户安全防护薄弱性往往成为风险突破口。此类事件警示医疗组织需强化邮箱系统的多因素认证、定期审计及入侵检测机制,同时建立完备的事件响应预案以保护患者数据安全。
https://www.securityweek.com/170000-impacted-by-data-breach-at-chord-specialty-dental-partners/
6. CISA将思科智能许可漏洞列入被利用目录并设修复期限
3月31日,美国网络安全与基础设施安全局(CISA)近日将思科智能许可工具的两项高危漏洞(CVE-2024-20439和CVE-2024-20440)列入已知被利用漏洞目录,要求联邦机构在2025年4月21日前完成修复。漏洞细节显示,CVE-2024-20439为静态凭证后门,攻击者可利用预设管理员账户无验证登录系统;CVE-2024-20440为信息泄露漏洞,通过构造HTTP请求可获取含敏感数据的调试日志,包括API访问凭证。思科已发布安全更新,但SANS互联网风暴中心警告,漏洞细节公开后已出现活跃利用迹象,攻击者可能结合其他漏洞(如CVE-2024-0305)扩大攻击面。安全专家指出,这两个漏洞存在关联:后门凭证可直接访问日志文件,而过度记录的日志又暴露更多系统信息。尽管漏洞披露初期未见公开利用,但技术细节外泄加速了攻击蔓延。根据CISA的约束性操作指令BOD 22-01,联邦机构需严格遵守修复时限,私营部门亦被建议立即审查网络基础设施,优先修补这些关键漏洞。
https://securityaffairs.com/176073/hacking/u-s-cisa-adds-cisco-smart-licensing-utility-flaw-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号