FBI警告AI驱动语音短信钓鱼盛行
发布时间 2025-05-191. FBI警告AI驱动语音短信钓鱼盛行
5月18日,美国联邦调查局(FBI)发出警告,称存在一种复杂的语音网络钓鱼和短信网络钓鱼活动,恶意人士正利用人工智能(AI)开展欺骗行为,威胁日益严重。自2025年4月以来,“恶意行为者”运用“短信网络钓鱼”和“语音网络钓鱼”技术,创建看似来自美国高级官员的语音备忘录,结合欺骗性短信攻击现任/前任政府官员及其通讯录中的个人,试图与目标建立信任和联系。FBI明确提醒民众,收到声称来自美国高级官员的消息不可轻信。一旦联系上目标,犯罪分子会试图访问其个人账户,如在信息中发送恶意链接,诱导受害者点击后转移到所谓更安全的消息平台,实则可能引导用户进入恶意网站,窃取登录凭证或安装恶意软件。一次成功入侵可能引发连锁反应,不法分子可能利用被盗账户攻击其他美国官员或其同伙,窃取的信息用于制造冒充账户或发起进一步社会工程攻击,通过社会工程学手段获取的联系信息也可能被用来冒充联系人窃取信息或资金。FBI虽未透露被冒充的具体官员,但公告表明多数目标是“现任或前任美国联邦或州政府高级官员及其联系人”,这是一场针对掌握潜在敏感信息或访问权限个人的广泛攻击活动。
https://hackread.com/fbi-warn-ai-voice-scams-impersonate-us-govt-officials/
2. BSH遭勒索软件攻击,博通员工数据遭泄露
5月17日,薪资服务巨头ADP的中东合作伙伴BSH在2024年9月遭勒索软件攻击,致博通员工敏感数据泄露。博通曾利用ADP处理工资单,BSH是ADP中东区域供应商,虽博通当时已开始放弃ADP和BSH,但切换未完成时攻击已发动。事件时间线显示企业监控和保护供应商生态系统面临挑战。BSH/ADP于2024年9月下旬发现入侵,直到12月才意识到员工数据被泄露到互联网。因被盗信息为“非结构化格式”,BSH和ADP在确定受影响数据和个人范围上遭遇重大延误,博通直到2025年5月12日才收到警报,距离首次入侵近八个月。内部邮件表明,确定受影响员工和数据字段对BSH/ADP是漫长过程,导致员工长期不确定个人信息是否泄露。TechNadu报道称,El Dorado勒索软件组织策划了此次攻击,该组织常攻击第三方服务提供商并窃取员工数据。这表明网络犯罪分子正瞄准大型组织数字供应链薄弱环节。博通经历与业界对供应商风险管理担忧一致,薪资服务提供商转换过程复杂,BSH和ADP未及时披露违规行为加剧困境。两家公司已与执法部门和数据保护机构接洽,并采取措施强化BSH环境。
https://www.webpronews.com/ransomware-attack-on-adp-partner-exposes-broadcom-employee-data/
3. 亲乌克兰组织利用Python后门攻击俄罗斯开发者
5月16日,ReversingLabs网络安全研究人员发现一个名为dbgpkg的伪造Python调试器软件包,该软件包伪装成调试工具,实则秘密在开发者系统中植入后门以窃取数据。RL怀疑此攻击背后是一个亲乌克兰的黑客组织,该组织以支持乌克兰、针对俄罗斯利益而闻名。dbgpkg不包含实际调试功能,而是诱骗开发人员安装后门,将其开发机器变成受感染资产。其植入后门的方法复杂,利用“函数包装”或“装饰器”技术修改标准Python网络工具行为,使恶意代码在开发人员使用网络函数前一直隐藏。恶意包装器代码会检查特定文件,若后门不存在则执行三个命令,包括从在线Pastebin服务下载公钥、安装绕过防火墙的工具Global Socket Toolkit并加密连接后门所需密钥、将加密密钥发送到私密在线位置,多阶段过程与对受信任模块使用函数包装器增加了恶意活动检测难度。RL研究人员还发现该后门与亲乌克兰的Phoenix Hyena黑客组织先前使用的恶意软件有相似之处,该组织自2022年以来活跃,以针对俄罗斯实体著称,且2024年9月涉嫌入侵俄罗斯网络安全公司Dr. Web。
https://hackread.com/ukraine-group-russian-developers-python-backdoor/
4. 勒索软件团伙青睐Skitnet恶意软件
5月16日,勒索软件团伙正越来越多地使用名为Skitnet(“Bossnet”)的新恶意软件,在被攻破的网络中执行隐秘的后利用活动。该恶意软件自2024年4月起在地下论坛出售,但自2025年初以来,在勒索软件团伙中受到显著关注。Prodaft研究人员观察到,多个勒索软件操作在现实攻击中部署了Skitnet,如针对企业的Microsoft Teams网络钓鱼攻击中的BlackBasta和Cactus。Skitnet的感染始于在目标系统上放置并执行基于Rust的加载器,该加载器解密ChaCha20加密的Nim二进制文件并加载到内存中。Nim有效负载建立基于DNS的反向shell,用于与C2服务器通信,并使用随机DNS查询启动会话。恶意软件启动三个线程,分别用于发送心跳DNS请求、监视和泄露shell输出、监听和解密来自DNS响应的命令。通信和待执行的命令通过HTTP或DNS发送,基于Skitnet C2控制面板的指令。Skitnet支持多种命令,包括建立持久性、捕获屏幕截图、下载并静默安装合法的远程访问工具、启动PowerShell命令循环以及枚举已安装的防病毒和安全软件等。此外,操作员还可利用涉及.NET加载器的功能,在内存中执行PowerShell脚本,实现更深层次的攻击定制。
https://www.bleepingcomputer.com/news/security/ransomware-gangs-increasingly-use-skitnet-post-exploitation-malware/
5. 安妮阿伦德尔县卫生局遭勒索攻击致数据泄露
5月15日,2月份安妮阿伦德尔县卫生局遭遇网络攻击,导致患者机密数据泄露。此次事件引发县政府大楼暂时关闭,并影响多项居民服务。县政府于2月22日首次察觉此次攻击,并立即联合行业领先的网络安全专家、执法机构及相关州政府机构展开调查。调查结果显示,此次事件为外部威胁行为者发起的勒索软件攻击,攻击发生在1月28日至2月22日期间,“该县网络的一小部分”遭到入侵,期间某些文件被未经授权访问或下载。专家指出,勒索软件攻击中,黑客通常侵入系统加密或锁定数据,并要求支付赎金以释放信息。当被问及是否已支付赎金时,发言人表示调查仍在进行中,无法透露相关信息。目前,该县正与顾问合作,以确定哪些文件被泄露,尚不清楚受影响人数。黑客可能获取了用户的全名、地址及医疗诊断等信息,尽管财务信息未受泄露,但官员仍鼓励居民保持警惕,通过审查账户报表、信用报告等防范身份盗窃。
https://www.thebaltimorebanner.com/community/local-news/cybersecurity-ransomware-anne-arundel-county-cyberattack-FYSLHXQANFCHBBCBDJWNDVUW6Q/
6. Effortel数据泄露致比利时MVNO七万客户信息外泄
5月16日,近期,由于Effortel发生数据泄露事件,导致三家比利时移动虚拟网络运营商(MVNO)的70,000名客户个人信息被泄露。Effortel作为移动虚拟网络推动者(MVNE),在电信行业中扮演着关键角色,它为拥有物理网络的电信公司(如Proximus)与虚拟电信提供商(如Neibo)之间搭建桥梁,通过开发软件平台,使企业能够以MVNO身份在电信运营商的物理网络上运营,而无需具备大量技术专业知识。目前,Effortel为全球30多家MVNO客户提供开票和连接SIM卡等服务。然而,此次数据泄露事件发生在中央数据库的测试阶段,Effortel在传递客户数据(如用于紧急服务的数据)以进行系统集成时,生成了包含客户数据的文件,这些文件不幸被泄露。一名黑客成功入侵了MVNO和Telfort之间的支持门户,获取了这些文件的访问权限。此次泄露涉及家乐福移动、Neibo和Undo等客户的个人信息,包括姓名、出生日期、电子邮件地址、电话号码、住宅地址、护照号码、用户号码以及SIM卡号等技术识别数据。Effortel总经理Laurent Bataille表示,60%到65%的终端客户通过在线支付确认身份,其身份数据不会被存储,支付ID虽存在,但只能通过支付提供商与个人数据关联。
https://cybernews.com/security/data-belgian-virtual-telecom-operators-leaked/
京公网安备11010802024551号