以色列TeleMessage公司遭黑客攻击暂停服务
发布时间 2025-05-061. 以色列TeleMessage公司遭黑客攻击暂停服务
5月5日,以色列公司TeleMessage因遭黑客攻击已暂停所有服务,其母公司Smarsh证实了这一消息,并表示正在调查所谓的“潜在安全事件”。TeleMessage为企业提供安全的移动消息服务,其中包括用于存档通过端到端加密消息应用程序(如Telegram、WhatsApp和Signal)交换消息的工具,一些美国政府官员曾使用其非官方Signal消息存档工具TM SGNL。此次事件源于404 Media的报道,一名黑客入侵了TeleMessage,获取了使用TM SGNL存档的直接消息和群聊。黑客称入侵过程轻松,仅花费15到20分钟,并担忧该漏洞可能已存在较长时间。尽管黑客表示内阁成员和前国家安全顾问的信息未被泄露,但提取的数据包括政府官员的联系信息、部分消息内容以及TeleMessage后端登录凭据。此外,被提取的数据截图还显示与美国海关和边境保护局、加密货币交易所Coinbase以及丰业银行等金融服务有关联。软件工程师Micah Lee分析TM SGNL后门Signal应用程序源代码时,发现了硬编码凭据等几个漏洞。Signal发言人表示无法保证非官方版本Signal的隐私或安全属性,而白宫副新闻秘书则强调Signal是经批准的政府使用应用程序,并安装在政府手机上。
https://www.bleepingcomputer.com/news/security/unofficial-signal-app-used-by-trump-officials-investigates-hack/
2. 美国多地教育机构频遭网络攻击,学生学习受影响
5月6日,近期,美国多地教育机构频遭网络攻击,严重影响了学校运营及学生学习。新墨西哥州多个学区和西新墨西哥大学便是受害者之一。西新墨西哥大学自4月13日起遭受网络攻击,网站瘫痪,系统和服务中断,官方网站何时恢复尚无预计,校园WiFi也处于瘫痪状态,校方被迫提供替代服务,并通过多种方式向学生、教师和工作人员通报最新情况。同时,教师们通过提供作业和项目延期来支持学生,以减轻停课对学业的影响,但此举仍引发了学生不满。佐治亚州考维塔县学校系统也于周五晚间遭遇网络攻击,影响了29所K-12学校的23,000名学生,学校系统网络流程受阻,员工被建议不要访问桌面设备。此次攻击被该校官员称为“严重”,并已向相关部门报告。此外,俄克拉荷马州巴特尔斯维尔公立学校也因网络攻击导致计算机系统无法运行,被迫取消州级考试。近期,此类事件频发,包括巴尔的摩市公立学校的大范围勒索软件攻击、南卡罗来纳州查尔斯顿县学区的网络事件以及德克萨斯州阿尔文独立学区的违规事件等,均对学校运营和学生信息安全造成了威胁。
https://therecord.media/hackers-serious-georgia-new-mexico
3. Co-op合作社遭DragonForce勒索软件攻击
5月2日,Co-op合作社遭受的网络攻击比最初报道的更为严重,现已确认大量客户数据被盗。Co-op起初淡化攻击影响,称已关闭部分IT系统,但后续调查显示黑客成功访问其系统并提取数据,包括现任和前任成员的姓名、联系方式等,但不涉及密码、银行信息等敏感数据。消息人士透露,攻击发生在4月22日,攻击者利用社会工程攻击重置员工密码,进而入侵网络并窃取Windows NTDS.dit文件。Co-op目前正在重建Windows域控制器,并强化Entra ID安全,KPMG协助提供AWS支持。BBC最新报道指出,DragonForce勒索软件行动的附属机构是此次攻击的幕后黑手,该组织还声称掌握了2000万注册Co-op会员奖励计划用户的数据,并使用Microsoft Teams联系Co-op高管进行勒索。Co-op已向员工发送内部邮件,警告在使用Microsoft Teams时保持警惕。DragonForce是一个“勒索软件即服务”组织,其他网络犯罪分子可加入其中,使用其勒索软件进行攻击,并支付赎金抽成。
https://www.bleepingcomputer.com/news/security/co-op-confirms-data-theft-after-dragonforce-ransomware-claims-attack/
4. 21个Magento扩展后门潜伏六年,2025年激活危及千家电商
5月2日,一项涉及21个后门Magento扩展的供应链攻击已危及500至1000家电子商务商店,其中包括一家价值400亿美元的跨国公司商店。Sansec研究人员发现,部分扩展程序早在2019年就被植入后门,但恶意代码直到2025年4月才被激活。Sansec指出,在一次协同供应链攻击中,多家供应商遭黑客攻击,共发现21个应用程序含相同后门,该恶意软件6年前被注入,本周随攻击者完全控制电子商务服务器而开始活跃。被入侵的扩展程序来自Tigren、Meetanshi和MGS三家供应商,具体包括Tigren Ajax套件、Tigren Ajax愿望清单、Meetanshi ImageClean、MGS品牌等多个扩展。此外,Sansec还发现了Weltpixel GoogleTagManager扩展的受损版本,但无法确认受损点。在所有观察到的案例中,扩展程序均包含一个添加到许可证检查文件中的PHP后门,该后门通过检查特定HTTP请求参数来允许远程用户上传新许可证并执行任意PHP代码,可能导致数据盗窃、skimmer注入等严重后果。Sansec已联系这三家供应商,但MGS未回应,Tigren否认漏洞并继续传播带后门的扩展,Meetanshi承认服务器漏洞但未承认扩展入侵。
https://www.bleepingcomputer.com/news/security/magento-supply-chain-attack-compromises-hundreds-of-e-stores/
5. 恶意PyPi包利用Gmail及WebSockets窃密
5月1日,Socket威胁研究团队近日发现了七个恶意PyPi包,这些包利用Gmail的SMTP服务器和WebSockets技术实施数据泄露和远程命令执行攻击。这些恶意包包括Coffin-Codes-Pro、Coffin-Codes-NET2、Coffin-Codes-NET、Coffin-Codes-2022、Coffin2022、Coffin-Grave及cfc-bsb,其中Coffin-Codes-2022的下载量高达18,100次,部分包甚至已在PyPI上存在四年之久。这些恶意包冒充合法的Coffin包,后者是用于将Jinja2模板集成到Django项目的轻量级适配器。恶意功能主要表现在通过Gmail进行隐蔽远程访问和数据泄露,利用硬编码的Gmail凭证登录SMTP服务器发送侦察信息,以允许攻击者远程访问受感染系统。由于Gmail是可信服务,此类活动难以被防火墙和终端检测与响应系统(EDR)标记为可疑。之后,植入程序通过WebSocket建立持久、加密的双向隧道,允许攻击者进行内部管理面板和API访问、文件传输、电子邮件泄露、shell命令执行、凭证收集及横向移动等操作。Socket指出,这些恶意包可能具有窃取加密货币的意图,从使用的电子邮件地址及类似策略中可以看出。
https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-abuse-gmail-websockets-to-hijack-systems/
6. TicketToCash数据库配置错误致52万客户数据泄露
5月1日,网络安全研究员Jeremiah Fowler近日发现,活动门票转售平台TicketToCash的一个配置错误、无密码保护的200GB公开数据库泄露了52万名客户的数据。该数据库包含超过52万条记录,涉及客户的个人身份信息(PII)及部分财务详细信息。泄露的数据不仅包括姓名和电子邮件地址,还涵盖了部分信用卡号、实际地址、票证副本以及包含PII的文件,如家庭住址和信用卡号等。数据库名称显示其以多种数字格式保存客户文件,如PDF、JPG、PNG和JSON等。Fowler查看文件时发现,其中包含大量音乐会和其他现场活动的门票、门票转让证明及付款收据截图,部分文件还显示了信用卡号、全名、电子邮件地址和家庭住址等敏感信息。尽管内部线索表明这些数据属于TicketToCash,但该公司在收到通知后未做出初步回应,数据库在第二次警报前一直处于暴露状态,导致文件在四天内持续暴露。Fowler警告称,这些信息若落入不法分子之手,可能被用于网络钓鱼、身份盗窃或制造和转售假票等欺诈行为,且个人身份信息和财务信息的有效期可能长达数年,泄露后果严重。
https://hackread.com/ticket-resale-platform-tickettocash-exposed-user-data/
京公网安备11010802024551号