培生集团遭网络攻击,导致公司和客户数据泄露
发布时间 2025-05-091. 培生集团遭网络攻击,导致公司和客户数据泄露
5月8日,教育巨头培生集团遭受网络攻击,威胁行为者窃取了公司数据和客户信息。培生集团总部位于英国,是全球最大的学术出版、数字学习工具和标准化评估提供商之一。培生集团发表声明承认遭受网络攻击,数据被盗,但称大部分为“遗留数据”。培生代表证实,有未经授权的行为者访问了其部分系统,一旦确认该活动,培生立即采取措施阻止,并与取证专家合作调查事件经过及受影响数据,还协助执法部门开展调查,同时已在系统中部署额外安全措施,包括增强安全监控和身份验证。培生还证实被盗数据不包含员工信息。此前有消息称,威胁行为者于2025年1月通过在公共.git/config文件中发现的暴露的GitLab个人访问令牌破坏了培生的开发环境,该文件若误暴露且包含嵌入在远程URL中的访问令牌,攻击者可能未经授权访问内部存储库。在针对培生的攻击中,暴露的令牌使威胁行为者访问了公司源代码,其中包含用于云平台的进一步硬编码凭据和身份验证令牌,随后威胁行为者使用这些凭证从公司内部网络和云基础设施中窃取了数TB数据,包括AWS、Google Cloud及各种基于云的数据库服务数据,被盗数据包含客户信息、财务信息等,数百万人受影响。
https://www.bleepingcomputer.com/news/security/education-giant-pearson-hit-by-cyberattack-exposing-customer-data/
2. PyPI惊现恶意包针对Discord开发者系统
5月8日,Python软件包索引(PyPI)上惊现针对Discord开发人员的恶意Python软件包“discordpydebug”。该软件包伪装成Discord机器人开发人员的错误记录器实用程序,自2022年3月21日上传以来,已被下载超过11000次。网络安全公司Socket最先发现这一恶意软件,并指出其可用于对Discord开发人员的系统进行后门攻击,为攻击者提供数据盗窃和远程代码执行功能。研究人员表示,该软件包主要针对构建或维护Discord机器人的开发人员,这些开发人员可能会在未经广泛审查的情况下安装此类工具。由于PyPI不会对上传的软件包进行深度安全审核,攻击者常利用这一点,通过误导性描述、合法名称或复制流行项目代码来使恶意软件包显得可信。一旦安装,恶意软件包便会将设备转变为远程控制系统,执行攻击者控制的命令和控制(C2)服务器发送的指令。攻击者可通过该恶意软件获取凭证等敏感信息的未经授权访问权限,窃取数据、监视系统活动、远程执行代码,并获取有助于在网络中横向移动的信息。该恶意软件虽缺乏持久性或权限提升机制,但使用出站HTTP轮询可绕过防火墙和安全软件。安装后,它会静默连接到攻击者控制的C2服务器。此外,该恶意软件还具备通过特定关键字触发来读取和写入主机上文件的功能。
https://www.bleepingcomputer.com/news/security/malicious-pypi-package-hides-rat-malware-targets-discord-devs-since-2022/
3. 勒索软件利用合法Kickidler软件实施攻击并窃密
5月8日,勒索软件分支机构Qilin和Hunters International利用合法员工监控软件Kickidler展开攻击活动。在Varonis和Synacktiv观察到的攻击中,攻击者通过植入Google广告,诱导用户点击后跳转至伪造的RVTools网站,从而下载并运行被木马感染的程序。该程序作为恶意软件加载器,下载并运行SMOKEDHAM PowerShell .NET后门,进而在设备上部署Kickidler。Kickidler可捕获击键、截取屏幕截图和创建屏幕视频,攻击者借此监视企业管理员的活动,获取特权凭证。攻击者可能已秘密访问受害者系统数天甚至数周,以收集访问异地云备份所需的凭证。Kickidler通过捕获管理员工作站的按键和网页,使攻击者能够识别异地云备份并获取密码,无需采用高风险策略。勒索软件运营商在恢复恶意活动后,部署针对受害者VMware ESXi基础架构的有效载荷,加密VMDK虚拟硬盘驱动器,造成严重破坏。Hunters International使用的部署脚本利用VMware PowerCLI和WinSCP Automation来执行相关操作。此外,勒索软件团伙多年来一直在滥用合法的远程监控和管理(RMM)软件。
https://www.bleepingcomputer.com/news/security/kickidler-employee-monitoring-software-abused-in-ransomware-attacks/
4. 俄政府支持ColdRiver组织利用LostKeys恶意软件窃密
5月8日,自今年年初起,俄罗斯政府支持的ColdRiver黑客组织持续利用新型LostKeys恶意软件,对西方政府、记者、智库及非政府组织发动间谍攻击以窃取文件。12月,英国和五眼联盟确认该组织与俄罗斯联邦安全局(FSB)存在关联。谷歌威胁情报小组(GTIG)于1月首次发现LostKeys被高度选择性地部署,作为ClickFix社会工程攻击的一部分,攻击者诱骗目标运行恶意PowerShell脚本,进而下载并执行额外PowerShell负载,最终部署被追踪为LostKeys的Visual Basic Script(VBS)数据窃取恶意软件。GTIG指出,LOSTKEYS能从硬编码的扩展名和目录列表中窃取文件,并向攻击者发送系统信息和正在运行的进程。ColdRiver惯常窃取凭证以窃取目标电子邮件和联系人,若需访问目标系统文档,还会部署SPICA恶意软件进行选择性获取。LOSTKEYS设计目的与ColdRiver类似,且仅在特定情况下部署。ColdRiver自2017年起便利用社会工程学和开源情报技能研究和引诱目标。
https://www.bleepingcomputer.com/news/security/google-links-new-lostkeys-data-theft-malware-to-russian-cyberspies/
5. 美多部门警报油气行业ICS/SCADA系统面临网络攻击威胁
5月7日,美国网络安全局(CISA)、联邦调查局(FBI)、环境保护局(EPA)和能源部(DoE)于周二联合发布警报,就针对美国石油和天然气行业的网络攻击发出警告。政府机构指出,这些攻击虽采用基本入侵技术,但关键基础设施组织网络安全卫生状况不佳,可能导致服务中断甚至物理损坏。CISA强调,一些技术不太复杂的网络行为者正瞄准美国关键基础设施部门(尤其是能源和交通系统)的工业控制系统/监控与数据采集系统(ICS/SCADA)发动攻击。这些威胁行为者很可能是黑客行动主义团体或自称黑客行动主义者的黑客,近年来他们已多次针对暴露在互联网上且未受保护或使用默认密码的SCADA及其他ICS系统发动攻击。工业网络安全专家警告称,尽管黑客的许多说法被夸大,但这些攻击仍可能产生重大影响。为应对这些威胁,CISA、FBI、EPA和DoE敦促关键基础设施组织立即采取行动,改善网络安全态势。具体措施包括确保运营技术(OT)系统无法直接从互联网访问,通过虚拟专用网络(VPN)、强密码和防钓鱼多因素身份验证(MFA)安全地远程访问它们,识别并更改默认密码,对关键系统实施网络分段,并确保能够手动操作OT系统。此外,建议组织与相关实体合作,识别并解决可能存在的配置错误。
https://www.securityweek.com/us-warns-of-hackers-targeting-ics-scada-at-oil-and-gas-organizations/
6. iOS游戏近50万用户数据泄露且硬编码秘密遭曝光
5月8日,iOS游戏“Cats Tower:The Cat Game!”存在严重数据泄露问题,致使近50万用户面临黑客攻击风险。Cybernews研究人员发现,该游戏泄露了玩家的IP地址、用户名、Facebook用户ID及访问令牌等敏感信息。这些泄露的数据可能被黑客用于追踪用户在线活动、劫持Facebook账户,甚至精确定位用户位置。尽管IP地址并非GPS坐标,但结合其他数据仍可提供较精确的位置信息。此外,由于Firebase配置错误,该应用还泄露了超过45万用户的IP地址和用户名,以及229个Facebook用户ID和访问令牌对。更严重的是,该应用代码库中还充斥着不应被公开的敏感信息,如客户端ID、API密钥、项目ID等,这些硬编码的秘密一旦被掌握,威胁行为者就能绘制出应用程序的整个后端基础设施,滥用其服务收集更多用户数据,甚至直接通过应用基础设施发送垃圾邮件,从而将其武器化。此次泄密事件是Cybernews调查的一部分,研究人员分析了约8%的App Store应用,发现71%的受分析应用至少泄露了一个机密信息,平均每个应用泄露5.2个。某些案例中,热门约会应用泄露了用户照片,家庭追踪应用泄露了实时GPS坐标,垃圾邮件拦截器则泄露了被拦截的号码等敏感信息。
https://cybernews.com/security/cats-tower-iphone-data-leak/
京公网安备11010802024551号