SogoTrade员工误触恶意链接致数万用户信息泄露
发布时间 2025-05-141. SogoTrade员工误触恶意链接致数万用户信息泄露
5月9日,美国在线股票经纪公司SogoTrade因员工点击恶意链接,导致数万人个人信息暴露,此次事件凸显了防范网络钓鱼的必要性。今年早些时候,SogoTrade遭受了一次典型的网络钓鱼攻击,四个电子邮件账户被盗,攻击者通过电子邮件成功传播恶意软件。在获取受感染账户后,攻击者可能窃取了近4.9万名用户的数据。该公司提交给缅因州总检察长办公室的信息显示,此次入侵事件并非一次性,而是持续了2024年5月8日至5月22日,SogoTrade在今年3月底才发现此次攻击。被泄露的个人信息包括名字、姓氏、财务账户号码、社会安全号码以及税号等敏感数据。攻击者可能利用这些泄露的信息进行身份盗窃、开设欺诈性账户以获取贷款等恶意行为,给用户带来严重风险。SogoTrade对此次事件深感遗憾,并在得知数据安全事件后,立即审查了其网络钓鱼处理流程,并加强了安全意识培训。为弥补用户损失,该公司表示将为受影响的个人提供免费的身份监控服务。然而,受影响的个人仍需保持高度警惕,定期查看账户账单和信用报告,以及时发现并应对潜在的身份盗窃风险。
https://cybernews.com/privacy/sogotrade-phishing-attack-customer-data-breach/
2. 朝鲜Konni APT利用恶意软件攻击乌克兰
5月13日,近期,与朝鲜有关的威胁组织Konni APT被指与针对乌克兰政府机构的钓鱼活动相关,其攻击目标扩展至俄罗斯以外地区。企业安全公司Proofpoint称,此次活动旨在收集“俄罗斯入侵轨迹”情报。安全研究人员指出,该组织对乌克兰的关注延续了其针对俄罗斯政府机构进行战略情报收集的历史模式。Konni APT是一个长期针对韩国、美国和俄罗斯实体的网络间谍组织,活动至少可追溯至2014年,通常通过钓鱼邮件分发恶意软件。网络安全公司记录的最新攻击中,攻击者使用伪装成虚构智库的钓鱼邮件,邮件含托管在MEGA云服务的密码保护RAR压缩包链接,打开后会启动感染链,CHM文件显示诱饵内容,受害者点击后将下载第二阶段载荷,新启动的PowerShell脚本可收集系统信息。此外,还有钓鱼邮件直接附加HTML文件的情况,诱导受害者下载包含良性PDF和LNK文件的ZIP压缩包,执行LNK文件会运行恶意脚本。此次披露正值Konni集团被指参与针对韩国实体的复杂恶意软件活动。
https://thehackernews.com/2025/05/north-korean-konni-apt-targets-ukraine.html
3. SAP发布补丁应对NetWeaver零日攻击新漏洞
5月13日,SAP已发布补丁以解决近期针对SAP NetWeaver服务器的零日攻击中利用的第二个漏洞CVE-2025-42999。该漏洞是SAP在调查涉及SAP NetWeaver Visual Composer中另一个未经身份验证的文件上传漏洞CVE-2025-31324的零日攻击时发现的,后者已于4月份修复。SAP发言人表示已意识到漏洞并着手解决,要求使用SAP NETWEAVER的客户安装补丁保护自身,安全说明可在指定位置找到。ReliaQuest于4月首次检测到利用CVE-2025-31324的零日攻击,威胁行为者通过该漏洞入侵客户系统后上传JSP Web Shell和Brute Ratel红队工具。网络安全公司watchTowr和Onapsis也证实了恶意活动,观察到攻击者在未修补实例上上传Web Shell后门。Onyphe首席技术官称约20家财富/全球500强公司存在漏洞,许多已受攻击,当时网上暴露的漏洞实例有1284个,474个已受攻击。Shadowserver基金会正在追踪超2040台易受攻击的SAP Netweaver服务器。虽然SAP尚未确认CVE-2025-42999是否已被利用,但Onapsis首席技术官表示威胁行为者自1月份以来就一直在利用这两个漏洞,这种组合攻击允许远程执行任意命令,无需系统权限。
https://www.bleepingcomputer.com/news/security/sap-patches-second-zero-day-flaw-exploited-in-recent-attacks/
4. PrepHero数据库泄露300万学生和教练数据
5月13日,大学招生平台PrepHero曝出重大安全漏洞,超三百万条未加密记录遭泄露,涉及学生运动员及其教练敏感信息。该数据库由芝加哥公司PrepHero(由EXACT Sports运营)所有,用于帮助高中运动员创建招募档案并与大学教练沟通。网络安全研究员Jeremiah Fowler于2025年5月12日发现并报告了这一漏洞,数据库包含315万余条记录,总计约135GB,却未采用密码或加密措施保护。泄露信息涵盖学生运动员的姓名、电话、邮箱、家庭住址、护照信息,以及家长和教练联系方式,甚至包含学生运动员护照图像链接的未受保护文件。尤为严重的是,数据库中“邮件缓存”文件夹保存了2017年至2025年的10GB电子邮件,包含个性化网页链接,可公开访问个人姓名、出生日期、薪酬等详细信息,部分邮件还含临时密码,进一步加剧隐私风险。此外,教练员录音也被发现,涉及教练姓名、所在大学及对学生运动员的评估。Fowler发现后立即通知PrepHero,后者迅速保护数据库。但目前尚不清楚数据库由谁直接管理,以及敏感信息泄露时长和访问情况。
https://hackread.com/prephero-database-exposed-students-coaches-data/
5. 英特尔CPU新漏洞导致特权内存中的敏感数据泄露
5月13日,近日,苏黎世联邦理工学院研究人员发现所有现代英特尔CPU存在“分支权限注入”漏洞(CVE-2024-45332),该漏洞可让攻击者从特权软件内存区域泄露敏感数据。通常这些区域包含密码、加密密钥等重要信息,保护其免遭泄漏极为关键。尽管Spectre v2缓解措施已实施六年,但此新漏洞通过“分支预测器竞争条件”绕过了这些措施。分支预测器用于猜测分支指令结果以保持CPU流水线满载,但英特尔的分支预测器更新与指令执行不同步,导致更新跨越特权边界,在权限切换时存在机会窗口,使非特权用户可泄露特权进程数据。研究人员开发漏洞,训练CPU预测特定分支目标,通过系统调用进行推测执行,利用侧信道方法将秘密数据泄露给攻击者。该漏洞影响第九代及以后的所有英特尔CPU,包括多款热门型号,而Arm和AMD的芯片未表现出相同行为,不易受攻击。该漏洞虽在Linux上演示,但存在于硬件级别,理论上Windows也可利用。研究人员已向英特尔报告,英特尔发布微代码更新以缓解此漏洞,固件级缓解措施带来2.7%性能开销,软件缓解措施对性能影响因CPU而异。对于普通用户,风险较低,但仍建议应用最新更新。
https://www.bleepingcomputer.com/news/security/new-intel-cpu-flaws-leak-sensitive-data-from-privileged-memory/
6. 英国玛莎百货称客户数据在网络攻击中被窃取
5月13日,英国知名零售商玛莎百货表示,其部分客户个人信息在网络攻击中被盗,且在线业务已瘫痪三周多。玛莎百货作为英国知名商业品牌,自4月25日起停止接受网上订单,自复活节周末订单出现问题以来,股价已下跌15%。据报道,该零售商已成为勒索软件攻击的受害者,犯罪分子侵入其计算机系统进行加密,并要求付款以恢复控制。玛莎百货称部分顾客信息被盗,但强调这些数据不包含可用的付款或银行卡信息,也不包含任何账户密码,且无证据表明数据被共享。公司告知客户无需采取行动,并表示正在努力恢复正常运营,已采取措施保护系统,并与网络安全专家、执法部门和政府机构合作。玛莎百货拒绝量化此次攻击带来的财务影响,但由于错失新季系列销售良机,且约三分之一的服装和家居产品销售额来自线上,其财务影响正日益加重。德意志银行分析师估计,利润损失至少为3000万英镑,每周营业额约为1500万英镑,尽管网络保险可能涵盖大部分影响,但保障时间通常有限。玛莎百货于4月21日首次向英国国家网络安全中心发出警报,称攻击导致部分商品短缺。初步报告显示,“Scattered Spider”黑客组织可能是幕后黑手,但也有观点认为“Dragon Force”组织才是主谋。
https://cybernews.com/news/marks-spencer-customer-data-leak/
京公网安备11010802024551号