APT28利用XSS漏洞对多邮件系统发动网络间谍行动
发布时间 2025-05-161. APT28利用XSS漏洞对多邮件系统发动网络间谍行动
5月15日,斯洛伐克网络安全公司ESET最新研究发现,与俄罗斯有关联的威胁组织针对Roundcube、Horde、MDaemon和Zimbra等主流邮件系统实施了名为“Operation RoundPress”的网络间谍活动。此次行动核心目标是窃取特定邮箱账户的机密数据,主要受害者为东欧政府机构及军工企业,同时非洲、欧洲和南美洲的政府部门也遭到攻击。研究人员将其归因于俄罗斯政府支持的黑客组织APT28,依据包括钓鱼邮件发件地址重叠和服务器配置手法相似。攻击者通过邮件系统的XSS漏洞在网页邮箱界面执行任意JavaScript代码。其中,MDaemon的XSS漏洞在攻击初期为零日漏洞,虽后续已修复,但当时未修复。APT28通过电子邮件发送XSS漏洞利用程序,恶意代码在浏览器运行的网页邮箱客户端中执行。漏洞利用成功后,名为SpyPress的混淆JavaScript有效载荷会窃取邮箱凭证、邮件内容和联系人信息,部分变种还能创建Sieve规则,持续转发新邮件至攻击者邮箱。窃取的数据通过HTTP POST请求发送至C2服务器,某些变种还能捕获登录记录、2FA代码,甚至为MDAEMON创建应用密码。
https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html
2. Coinbase客户数据泄露,预计损失达4亿
5月15日,加密货币交易所Coinbase披露,网络犯罪分子与恶意海外客服人员合作窃取了客户数据,并索要2000万美元赎金以不公开被盗信息。Coinbase拒绝支付赎金,但设立2000万美元奖励基金,以鼓励提供有关攻击者的线索。此前,黑客向Coinbase发送电子邮件威胁公布客户账户和内部文件信息,Coinbase调查发现攻击者在美国境外承包商或支持人员的帮助下获取了客户数据,这些人员受雇访问内部系统,Coinbase发现后已解雇相关人员。尽管威胁行为者窃取了Coinbase约1%客户的个人身份信息,但无法获取客户私钥、密码或访问Coinbase Prime账户和钱包。被盗数据包括姓名、地址、电话、电子邮件、部分社会保障号、银行账号信息、政府身份证图像、账户数据及有限的公司数据。Coinbase强调没有密码、私钥或资金泄露,并将赔偿被诱骗向攻击者汇款的客户。虽然财务影响仍在评估中,但Coinbase估计补救和客户补偿费用将在1.8亿美元至4亿美元之间。为防止未来违规行为,Coinbase计划开设新的支持中心补偿受影响客户,并增加对内部威胁检测、安全威胁模拟和自动响应的投资。
https://www.bleepingcomputer.com/news/security/coinbase-discloses-breach-faces-up-to-400-million-in-losses/
3. 恶意NPM包使用Unicode隐写术来逃避检测
5月15日,代码安全评估公司Veracode发现,Node包管理器索引中存在名为“os-info-checker-es6”的恶意软件包,该包自本月初以来已被下载超过1000次。该软件包最初版本于3月19日上传至NPM,最初功能仅是收集操作系统信息,看似无害。然而,几天后,作者对软件包进行了修改,添加了特定于平台的二进制文件和混淆的安装脚本。5月7日,该软件包发布新版本,其中包含用于传递最终有效载荷的复杂C2(命令和控制)机制代码。Veracode警告称,当前npm上可用的最新版本v1.0.8为恶意版本。此外,该软件包还被列为其他四个NPM软件包的依赖项,但目前尚不清楚这些软件包是否或如何被威胁行为者推广。在恶意版本中,攻击者利用Unicode隐写术,将数据嵌入看似“|”的字符串中,而竖线后隐藏了一长串不可见的Unicode字符,这些字符用于促进基于文本的隐写术。Veracode通过解码和反混淆字符串,找到了复杂C2机制的有效载荷,该机制依赖Google日历短链接到达托管最终有效载荷的位置。研究人员解释了从获取Google日历链接到最终解码获取恶意软件有效载荷的整个过程,并指出最终有效载荷可能经过加密。
https://www.bleepingcomputer.com/news/security/malicious-npm-package-uses-unicode-steganography-to-evade-detection/
4. 印第安纳州政府警告:警惕假冒官方邮件的通行费诈骗
5月13日,印第安纳州政府机构于周二向居民发出警告,要求删除使用州政府官方电子邮件地址发送的虚假电子邮件。这些钓鱼邮件来自多个州政府部门,包括儿童服务部、赛马委员会等,它们欺骗性地告知收件人存在未缴纳的通行费,并威胁若不缴纳将面临经济处罚或车辆登记被扣留。邮件结尾常以“谢谢您,TxTag 客服”作为署名,并包含疑似恶意网站的链接。印第安纳州国土安全部通过技术办公室在X平台发布消息,提醒公众警惕此类诈骗。声明指出,州政府不会通过短信或电子邮件发送未缴通行费通知,并表示技术办公室正与涉事公司合作,以阻止任何进一步的通信。据了解,州政府于去年年底终止了与一家未具名供应商的合同,但未删除该州的账户。此次事件中,一名承包商的账户遭到黑客攻击,并被用于发送这些虚假信息,而州系统并未发现入侵迹象。电子邮件截图显示,这些信息是通过丹佛软件公司Granicus的软件GovDelivery Communications Cloud分发的。Granicus发言人Sharon Rushen表示,该事件并未蔓延至其自身平台,系统是安全的。她指出,问题源于管理员用户账户被入侵,可能是通过猜测凭证或社交工程手段获取。
https://statescoop.com/indiana-phishing-attack-contractor-hacked/
5. FrigidStealer通过虚假浏览器更新攻击macOS用户
5月15日,FrigidStealer恶意软件正通过虚假浏览器更新提示攻击macOS用户,该变种于2025年2月首次被发现,并已波及北美、欧洲和亚洲的用户。此恶意软件隶属于Ferret恶意软件家族,与TA2726和TA2727病毒有关,两者均以利用虚假浏览器更新为攻击手段而著称。该恶意软件伪装成Safari更新的磁盘映像文件(DMG),诱骗用户下载并安装。安装过程中,它会提示用户输入密码,从而绕过Apple的Gatekeeper保护机制,并借助内置的AppleScript功能执行恶意操作。安装后,它会伪装成一个带有特定bundle ID的恶意应用,与合法应用混淆视听。一旦激活,FrigidStealer便开始收集用户的敏感数据,包括浏览器凭证、系统文件、加密货币钱包信息及Apple Notes等,并通过macOS的mDNSResponder路由的DNS查询,将这些数据泄露到命令与控制服务器。窃取数据后,该恶意软件会自我终止,以降低被发现的风险。据开源网络安全公司Wazuh披露,FrigidStealer并不依赖传统的漏洞利用工具包或漏洞,而是利用用户对系统通知和浏览器更新提示的信任进行攻击,这使得它更为危险且有效。此外,该恶意软件还利用macOS特有的行为来保持持久性,通过注册为前台应用程序等方式与系统交互,并在执行后删除自身痕迹,以保持隐藏。
https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/
6. 招聘平台HireClick570万份简历遭泄露
5月15日,Cybernews研究人员近日发现一起大规模数据泄露事件,根源指向面向中小型企业的招聘平台HireClick。由于亚马逊AWS S3存储桶配置错误,该平台超过570万份文件被暴露在互联网上,其中主要是求职者的简历,这些文件泄露了求职者的全名、家庭住址、电子邮件地址、电话号码及就业信息等敏感和私人数据。此次数据泄露对HireClick客户的影响深远。泄露的数据一旦落入不法分子之手,可能被用于身份盗窃、冒充、网络钓鱼等多种诈骗活动。攻击者可能假扮招聘经理,利用泄露的信息诱骗求职者提供身份证扫描件、社会安全号码甚至银行信息,或通过电话诱骗求职者透露银行信息或安装恶意软件。此外,诈骗者还可利用泄露的简历创建虚假身份进行就业验证诈骗,甚至冒充求职者进入工作场所系统。这种数据泄露行为的风险不仅限于数据盗窃本身,还可能引发网络人肉搜索,即恶意曝光私人信息以骚扰或恐吓他人。攻击者掌握了受害者的全名、电子邮件、电话号码和实际地址,就能轻易锁定并骚扰受害者。
https://cybernews.com/security/hireclick-resume-database-data-leak/
京公网安备11010802024551号