人力资源巨头Workday在Salesforce攻击后披露数据泄露
发布时间 2025-08-191. 人力资源巨头Workday在Salesforce攻击后披露数据泄露
8月18日,全球人力资源巨头Workday近日披露一起重大数据安全事件,攻击者通过社会工程手段入侵其第三方客户关系管理(CRM)平台,导致部分企业联系信息泄露。此次事件引发行业广泛关注,不仅因Workday的庞大客户基础,其服务覆盖全球11,000余家企业,包括超60%的《财富》500强企业,更因该事件被证实与近期针对Salesforce CRM实例的系列攻击存在关联。据Workday官方披露,8月6日公司监测到异常活动,攻击者通过社会工程手段诱骗员工授权恶意OAuth应用,最终获取第三方CRM平台存储的商业联系信息,包括姓名、电子邮件地址及电话号码。尽管Workday强调客户核心数据未受影响,但泄露的联系方式仍可能被用于后续诈骗。值得注意的是,此次攻击模式与臭名昭著的ShinyHunters勒索组织手法高度吻合,该组织自年初起通过类似手段入侵多家企业Salesforce实例,窃取数据库后实施勒索,此前已波及阿迪达斯、澳洲航空、路易威登等全球知名企业。
https://www.bleepingcomputer.com/news/security/hr-giant-workday-discloses-data-breach-amid-salesforce-attacks/
2. 威胁者声称出售1580万份纯文本PayPal凭证
8月18日,网络犯罪论坛上出现一起大规模PayPal账户数据泄露事件。一名为Chucky_BF的威胁行为者公开出售标榜为“全球PayPal凭证转储2025”的数据集,声称包含1580万条记录,涉及电子邮件地址、明文密码及直接链接至PayPal服务的URL,数据总量达1.1GB。卖家将其称为“网络犯罪分子的金矿”,并警告该数据可能被用于凭证填充攻击、网络钓鱼及欺诈行为。据分析,该数据集的结构符合信息窃取恶意软件的特征。此类软件通常通过感染用户设备,窃取保存的登录凭证、浏览器数据及网站活动,最终将收集的信息汇总出售。样本显示,部分记录包含Gmail等邮箱与密码的配对,且同一账户在网络版和移动版PayPal中的详细信息均被收录,暗示数据来自全球多地受感染设备。尽管卖家声称“大多数密码强度高且独特”,但也承认存在重复使用情况,这意味着用户在其他平台使用相同密码时可能面临跨站风险。目前,PayPal尚未证实该数据集的真实性,无法确定其是完全真实的记录、包含虚假信息,还是对历史泄露数据的重新包装。
https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/
3. 西捷航空确认网络攻击暴露了客户的敏感信息
8月15日,加拿大第二大航空公司西捷航空近日证实,其乘客部分个人信息在6月份的网络攻击中被窃取,成为又一起针对航空业的大规模数据泄露事件。据披露,6月13日,西捷航空系统检测到可疑活动,犯罪分子通过临时访问权限窃取了乘客数据。尽管公司未公开具体受影响人数,但明确表示泄露信息可能因乘客而异,涵盖姓名、出生日期、联系信息、性别、旅行证件信息及近期预订记录。尤为值得注意的是,护照等个人文件可能被用于伪造身份或实施其他犯罪活动,引发对身份盗窃风险的担忧。此次事件中,西捷航空强调信用卡号、借记卡详细信息及用户密码未被泄露,一定程度上缓解了用户对财务损失的直接担忧。公司回应称,已以“最紧急和最重视的态度”处理该事件,并采取额外安全措施强化系统防护,防止类似事件重演。为弥补潜在损失,西捷航空与信用监测机构TransUnion Canada合作,为受影响乘客提供为期24个月的免费身份盗窃和信用监控服务。乘客还可通过“身份恢复代理”获取专业支持,解决身份盗窃相关问题,并享有最高100万美元的费用报销保险以应对欺诈事件。
https://cybernews.com/news/westjet-confirms-cyber-breach-exposed-sensitive-details-of-customers/
4. 黑客在Netflix网络钓鱼中窃取Facebook登录信息
8月15日,网络安全公司Malwarebytes最新研究揭示,诈骗者正通过伪造Netflix招聘邮件实施精准网络钓鱼攻击,目标直指能够访问企业Facebook商业账户的营销人员。此次攻击以“高薪职位”为诱饵,诱导受害者泄露社交媒体凭证,最终可能被用于恶意广告投放、账户勒索或传播虚假信息。攻击流程显示,诈骗者首先发送看似专业的招聘邮件,标题为“Netflix高管职位机会”,内容高度个性化,赞扬受害者的“营销领导力”并邀请申请“营销副总裁”“社交媒体总监”等职位。邮件中附有虚假Netflix职业网站链接,要求受害者创建个人档案并关联Facebook账户。当用户点击“继续使用Facebook”或邮箱登录时,页面会跳转至伪造的Facebook登录界面,诱导输入凭证。Malwarebytes研究员Pieter Arntz指出,此次攻击的技术复杂度较高:诈骗者通过websocket方法实时拦截用户输入,在受害者毫无察觉的情况下登录其真实Facebook账户,甚至可能绕过多因素身份验证(MFA)。一旦控制账户,攻击者可立即注销受害者设备、向其好友发送垃圾邮件,或利用企业支付权限投放恶意广告。
https://cybernews.com/security/netflix-phishing-campaign-facebook-login-targets-marketing-social-media-job-seekers/
5. ERMAC V3.0银行木马源代码泄露,暴露完整恶意软件基础设施
8月16日,网络安全研究人员近日披露了新型Android银行木马ERMAC 3.0的详细运作机制,揭示其作为恶意软件即服务(MaaS)产品的完整技术架构及运营漏洞。该变种由DukeEugene威胁组织运营,被评估为Cerberus和BlackRock的进化版本,其技术血统可追溯至Hook(ERMAC 2.0)、Pegasus等知名恶意软件家族。据Hunt.io发布的报告,ERMAC 3.0实现三大技术突破:首先,目标应用范围大幅扩展至700余个银行、电商及加密货币平台,通过增强的表单注入功能实现精准数据窃取;其次,采用AES-CBC加密通信协议,并重构了基于PHP/Laravel的C2服务器、React前端面板、Golang渗透服务器及Kotlin编写的Android后门等全栈组件;最后,其模块化构建器允许客户定制恶意软件参数,形成按需定制的攻击链。研究团队通过渗透分析发现,该组织运营的服务器存在严重安全缺陷:管理面板开放匿名注册,默认使用静态管理员令牌和硬编码JWT密钥,后端数据库未做权限隔离。这些漏洞导致攻击者的完整技术资产外泄,包括源代码、设备绑定机制、覆盖攻击模板及C2通信协议。
https://thehackernews.com/2025/08/ermac-v30-banking-trojan-source-code.html
6. 微软虚假聊天GPT桌面应用程序提供PipeMagic后门
8月18日,微软安全团队近日披露一起利用伪造ChatGPT桌面应用传播新型后门PipeMagic的攻击事件,该事件与针对全球金融、房地产等行业的勒索软件攻击相关联,其技术复杂性及隐蔽性引发行业高度关注。攻击者通过篡改GitHub上的开源ChatGPT桌面项目,在其中植入恶意代码,诱导用户从非官方渠道下载木马化副本。PipeMagic后门采用高度模块化架构,将命令控制通信、有效载荷执行等功能拆分为独立组件,通过加密命名管道和内存操作实现隐蔽运行。其核心设计包括三组链表结构:一组管理待执行模块,一组处理网络通信,另一组动态加载功能组件。这种分离式架构不仅降低了检测难度,还允许攻击者通过专用网络模块建立WebSocket风格的安全通道,与C2服务器交互系统信息并接收指令,实现模块动态更新或替换,无需重新部署整个后门。微软将此次攻击归因于以经济利益为导向的Storm-2460组织。该组织在活动中利用Windows CLFS零日漏洞CVE-2025-29824,从初始访问快速转向勒索软件部署。其攻击范围覆盖美国、欧洲、南美及中东地区,目标包括金融、房地产等多行业机构。
https://hackread.com/fake-chatgpt-desktop-app-pipemagic-backdoor-microsoft/
京公网安备11010802024551号