黑客窃取GlobalX Air驱逐航班数据
发布时间 2025-05-071. 黑客窃取GlobalX Air驱逐航班数据
5月6日,据404 Media消息,黑客将目标锁定在特朗普政府用于驱逐出境的主要航空公司之一GlobalX Air,窃取了其所有航班(含驱逐出境航班)的飞行记录与乘客名单。GlobalX是一家包机公司,曾协助将数百名委内瑞拉人驱逐至萨尔瓦多。黑客主动联系404 Media及其他记者,称这些数据可提供GlobalX航班上被驱逐出境人员的详细信息,包括具体人员、时间及目的地。GlobalX网站出现一条污损信息,落款为“匿名者”,该组织以使用盖伊·福克斯面具闻名,是一些黑客进行所谓“黑客行动主义”的保护伞。信息中指责目标无视合法命令,决定执行法官的命令。黑客表示,窃取的数据涵盖航班记录与乘客名单,并向404 Media发送了数据副本。这些数据按1月19日至5月1日期间每日日期分类存放在文件夹中。为验证数据的真实性,404 Media将来自官方可靠来源的ICE驱逐航班已知信息,与黑客获取的航班乘客名单及航班详情进行了交叉核对。结果显示,黑客获取的数据中确实包含相关航班信息,例如基尔马·阿布雷戈·加西亚的航班信息。
https://www.404media.co/email/fe8ce8ec-6dad-464a-8022-84e93b909397/
2. PoC发布后三星MagicINFO漏洞遭利用
5月6日,研究人员发现,在概念验证(PoC)漏洞代码公开发布几天后,威胁行为者便开始利用三星MagicINFO内容管理系统(CMS)中的高严重性漏洞CVE-2024-7399(CVSS评分8.8)。该漏洞存在于三星MagicINFO 9 Server 21.1050之前版本,是路径名限制到受限目录的缺陷,攻击者可借此以系统权限写入任意文件。报告显示,截至2025年5月初,已观察到该漏洞在三星MagicINFO 9服务器中被广泛利用。此漏洞允许未经身份验证的用户写入任意文件,若用于编写特制的JavaServer Pages(JSP)文件,最终可能导致远程代码执行。CVE-2024-7399本质是三星MagicINFO 9 Server输入验证的缺陷,能让未经身份验证的攻击者上传JSP文件并以系统级访问权限执行代码。三星于2024年8月首次披露该漏洞,发布MagicINFO 9 Server版本21.1050修复此漏洞,当时并无利用迹象,但2025年4月30日PoC发布几天后,威胁行为者就开始利用。鉴于该漏洞利用难度低且PoC已公开,专家认为此类攻击可能持续。
https://securityaffairs.com/177529/hacking/samsung-magicinfo-vulnerability-exploited-after-poc-publication.html
3. Langflow漏洞CVE-2025-3248被积极利用
5月6日,美国网络安全和基础设施安全局(CISA)将Langflow远程代码执行漏洞(CVE-2025-3248)标记为积极利用状态,敦促各组织尽快应用安全更新和缓解措施。此漏洞为严重未经身份验证的远程代码执行(RCE)漏洞,能让互联网上的攻击者利用API端点漏洞完全控制易受攻击的Langflow服务器。Langflow是一款开源可视化编程工具,在GitHub上拥有近6万个star和6.3万个fork,在人工智能开发、研究和初创领域应用广泛。其公开的用于验证用户提交代码的端点存在安全缺陷,漏洞版本中无法安全地对输入进行沙盒处理或过滤,攻击者可借此发送恶意代码并在服务器上直接执行。该漏洞已在2025年4月1日发布的1.3.0版本中修复,补丁仅为易受攻击的端点添加了身份验证。最新版本1.4.0已发布,包含大量修复,建议用户升级。Horizon3研究人员发布相关技术博客并警告,该漏洞被利用的可能性很高,当时已发现至少500个暴露在互联网上的实例。对于无法立即升级的用户,建议通过防火墙、反向代理或VPN限制Langflow的网络访问,且不建议直接将其暴露在互联网上。CISA要求联邦机构在2025年5月26日前采取行动,否则停止使用该软件。
https://www.bleepingcomputer.com/news/security/critical-langflow-rce-flaw-exploited-to-hack-ai-app-servers/
4. GitHub恶意Go模块隐藏Linux Wiper恶意软件
5月6日,近期,针对Linux服务器的供应链攻击被曝光,攻击者在GitHub上发布的Golang模块中隐藏了磁盘擦除恶意软件。该活动于上个月被发现,依赖三个包含“高度混淆代码”的恶意Go模块来检索并执行远程有效载荷。此次攻击显然是专门针对基于Linux的服务器和开发环境设计的,其破坏性负载为一个名为done.sh的Bash脚本,该脚本会运行“dd”命令进行文件擦除活动。在执行前,有效载荷会验证其是否在Linux环境中运行。据供应链安全公司Socket分析,该命令会用零覆盖每个数据字节,导致不可逆转的数据丢失和系统故障,目标是保存关键系统数据、用户文件、数据库和配置的主存储卷/dev/sda。研究人员于4月份发现了此次攻击,并在GitHub上发现了三个现已被删除的恶意Go模块。这些模块均包含混淆代码,解码后会使用“wget”下载并立即执行恶意数据擦除脚本,几乎没有给受害者留下响应或恢复的时间。恶意Go模块似乎冒充了合法项目,如用于消息数据转换的Prototransform、模型上下文协议的Go实现go-mcp以及为TCP和HTTP服务器提供加密的TLS代理工具tlsproxy。Socket研究人员警告称,即使仅最小程度地暴露于这些破坏性模块,也可能导致数据完全丢失等严重后果。
https://www.bleepingcomputer.com/news/security/linux-wiper-malware-hidden-in-malicious-go-modules-on-github/
5. 假冒SSA邮件分发ScreenConnect RAT入侵用户设备
5月6日,网络安全专家发现,犯罪分子利用美国社会保障局(SSA)名义,诱骗用户安装名为ScreenConnect的危险远程访问木马(RAT)。一旦安装,攻击者便可远程控制电脑,窃取个人信息并安装更多有害软件。Malwarebytes研究人员首先注意到这些虚假邮件,它们以“社保声明现已可用”为由,敦促用户下载附件或点击链接查看。这些邮件设计逼真,难以辨别真伪,邮件中的链接或附件会引导用户下载用于安装ScreenConnect客户端的文件,文件有时会被赋予误导性名称,如“ReceiptApirl2025Pdfc.exe”等。ScreenConnect本是企业IT支持工具,但落入犯罪分子手中则变得危险,他们可通过其控制计算机,窃取敏感数据,幕后黑手Molatori集团主要目的是进行金融诈骗。Cofense安全专家也报告了类似冒充SSA的网络钓鱼活动,这些邮件通常声称提供福利声明,使用不匹配链接或隐藏恶意链接。Cofense指出,这些虚假邮件旨在安装ConnectWise RAT,即合法软件ConnectWise Control(原ScreenConnect)的受感染版本。
https://hackread.com/fake-ssa-emails-trick-users-installing-screenconnect-rat/
6. 德克萨斯州学区向超47,000名人员通报数据泄露事件
5月7日,德克萨斯州阿尔文独立学区(AISD)发生一起严重数据泄露事件,致使47606人的敏感个人信息被窃。该学区确认漏洞出现在2024年6月,并于本周末开始通知受影响人员。泄露数据涵盖姓名、社会安全号码、州政府签发证件、信用卡/借记卡信息、金融账户号码、医疗数据及健康保险信息等。德克萨斯州总检察长办公室于2025年5月2日通报了这一事件。勒索软件团伙Fog在2024年7月宣称对此次攻击负责,称从AISD窃取了60GB数据,并将学区名称公布在其数据泄露网站上,以此向受害者施压索要赎金。Fog自2024年7月开始公布攻击活动,AISD是其首批受害者之一。此后,该团伙宣称实施了20起已确认的勒索软件攻击(其中12起针对教育机构)及157起未确认事件,其活动迹象于2025年4月停止。该团伙以加密文件和窃取数据为手段,常瞄准开发环境,攻击范围不局限于学校。
https://www.infosecurity-magazine.com/news/texas-school-47000-people-data/
京公网安备11010802024551号