网络犯罪分子利用AI网站构建器Lovable发起大规模网络攻击
发布时间 2025-08-221. 网络犯罪分子利用AI网站构建器Lovable发起大规模网络攻击
8月20日,网络安全公司Proofpoint近日披露,人工智能网站构建器Lovable正被网络犯罪分子大规模滥用,成为发起网络钓鱼、恶意软件传播及加密货币盗窃的关键工具。Lovable本是为非技术用户设计的快速建站平台,用户仅需输入描述即可生成托管于lovable.app域名的网站,免费账户含“使用Lovable编辑”徽章,付费用户可隐藏徽章并绑定自定义域名。然而,这一便捷性被威胁行为者利用,成为欺骗用户的“完美伪装”。Proofpoint研究人员报告称,自2025年2月起,每月在电子邮件数据中检测到数十万个恶意Lovable URL,攻击活动呈增长趋势。犯罪分子通过该平台快速搭建模仿微软、UPS、Aave等可信品牌的钓鱼网站,结合Tycoon等“钓鱼即服务”工具窃取凭证、会话Cookie及加密钱包资金。事件曝光后,Lovable与Proofpoint合作关闭了数百个钓鱼域名,并推出AI驱动的保护措施,包括实时检测恶意建站提示、每日扫描已发布项目,并计划年内上线账户滥用防护功能。
https://hackread.com/ai-website-builder-lovable-phishing-malware-scams/
2. Orange Belgium遭网络攻击,85万客户数据泄露
8月20日,比利时电信运营商Orange Belgium于7月底发现一起网络攻击事件,导致约85万客户账户信息被窃取。该公司周三披露,尽管未泄露密码、电子邮件地址或银行财务等关键数据,但黑客获取了用户的姓名、电话号码、SIM卡号、PUK码(个人解锁密钥)及资费计划等敏感信息。PUK码作为8位安全代码,可用于解锁因多次输入错误PIN码而被锁定的SIM卡,其泄露可能增加用户设备被非法操控的风险。Orange Belgium在声明中强调,事件发现后团队已立即“阻止对受影响系统的访问并加强安全措施”,同时向监管部门报告并提起司法投诉。然而,公司未回应关于攻击发现与披露时间线的具体问题。值得注意的是,此次攻击发生前一周(7月25日),其母公司法国Orange集团也检测到内部系统遭网络攻击,但当时声明“无客户数据窃取证据”,且未更新事件关联性说明。两起攻击的技术细节均未公开,是否为同一威胁行为者所为尚不明确。受影响客户将通过电子邮件和短信收到通知,并被建议警惕针对专用网页的网络钓鱼攻击。
https://therecord.media/belgian-telecom-says-cyberattack-compromised-data-on-850000
3. 亲乌克兰黑客组织攻击俄罗斯投资平台
8月20日,俄罗斯投资和分析平台“投资项目”(Investproject)近期遭遇亲乌克兰黑客组织“网络无政府小队”(Cyber Anarchy Squad)的网络攻击,导致其网站自周日以来持续离线。截至周三,该平台仍未能恢复服务,并已向俄罗斯州监管机构报告事件,称正全力修复基础设施。此次攻击凸显了地缘冲突背景下网络战的升级,黑客组织通过数据泄露试图对俄方实体施加政治与经济压力。“网络无政府小队”宣称成功破坏平台部分基础设施,访问了内部数据库及员工文件,并公开了一批据称被盗的文件。尽管Recorded Future News未能独立验证文件真实性,但该组织明确表示,泄露数据旨在向俄罗斯监管机构施压,要求对“投资项目”处以罚款。根据俄罗斯法律,企业若未能有效保护客户数据,最高可面临2万卢布(约250美元)的行政处罚。分析指出,尽管罚款金额较低,但事件对平台声誉及客户信任的损害可能更为深远。
https://therecord.media/russia-cyberattack-investment-platform-ukraine
4. 新的DripDropper恶意软件利用Linux漏洞并修复漏洞
8月20日,网络安全公司Red Canary近日披露一种名为DripDropper的新型Linux恶意软件,其独特策略引发行业关注:攻击者在利用系统漏洞入侵后,主动修补漏洞以阻止其他黑客介入,从而实现对目标的“独家控制”。这一手法颠覆了传统恶意软件的攻击模式,凸显网络威胁的复杂性与攻击者技术的进化。根据Red Canary的报告,DripDropper的攻击链条始于Apache ActiveMQ中的关键漏洞CVE-2023-46604。尽管该漏洞已有近三年历史且补丁已发布,但因其高达94.44%的未来30天被利用概率(EPSS评分),仍被攻击者广泛利用。黑客通过该漏洞植入Godzilla Webshell或Ransomhub勒索软件等载荷,获取初始访问权限后,迅速部署两款核心工具:Sliver恶意软件和DripDropper下载器。攻击中最具创新性的操作出现在持久化阶段:黑客在站稳脚跟后,竟下载官方补丁修复被利用的漏洞,关闭自身入侵的“后门”。此举既阻止了其他攻击者通过同一漏洞入侵,又掩盖了初始入侵路径,使防御者难以追溯攻击源头。
https://hackread.com/dripdropper-malware-exploits-linux-flaw-patche-lock-out/
5. 主流密码管理器可能会在点击劫持攻击中泄露登录信息
8月20日,数千万用户依赖的六大主流密码管理器(1Password、Bitwarden、Enpass、iCloud Passwords、LastPass、LogMeOnce)近期被曝存在未修补的点击劫持漏洞,攻击者可通过恶意网页诱导用户触发自动填充操作,窃取账户凭据、双因素认证(2FA)代码及信用卡信息。独立研究员Marek Tóth在DEF CON 33黑客大会上首次披露该漏洞,网络安全公司Socket随后验证并协调供应商披露,揭示攻击者利用跨站脚本(XSS)或缓存中毒网站覆盖不可见HTML元素,伪装无害交互,实际触发密码管理器的敏感信息自动填充。攻击机制的核心在于操纵浏览器中密码管理器界面元素的不透明度或布局,例如通过降低自动填充下拉菜单的透明度,或使UI跟随鼠标光标,确保用户点击虚假元素时意外触发数据泄露。研究覆盖11款主流密码管理器,结果显示所有受测产品均至少存在一种攻击方法。Socket协助通知供应商后,部分企业已推出修复。截至披露时,约4000万用户使用的密码管理器版本仍易受攻击。
https://www.bleepingcomputer.com/news/security/major-password-managers-can-leak-logins-in-clickjacking-attacks/
6. 俄罗斯间谍组织利用7年旧漏洞持续渗透全球网络设备
8月20日,思科Talos安全团队近日披露,一个与俄罗斯联邦安全局(FSB)第16中心关联的间谍组织“静态苔原”(Static Tundra)在过去十余年间持续利用2018年已修补的CVE-2018-0171漏洞,入侵全球网络设备并窃取敏感数据。该组织被视为更广泛威胁组织“能量熊”(Energetic Bear)的分支,其行动因俄乌冲突显著升级,目标覆盖北美、亚洲、非洲及欧洲的电信、高等教育和制造业机构,尤其将乌克兰实体列为重点对象。尽管CVE-2018-0171漏洞的补丁早在七年前发布,但大量未升级设备或运行报废设备的组织仍成攻击目标。攻击者通过Shodan等网络扫描工具识别脆弱设备,利用该漏洞执行任意代码或触发拒绝服务,随后通过TFTP服务器和SNMP工具提取设备配置、凭证及网络信息,建立长期隐蔽访问。思科Talos指出,Static Tundra已开发自动化工具实现大规模攻击,其战术与俄罗斯国家利益高度契合,例如在俄乌冲突爆发后迅速扩大对乌克兰目标的攻击范围。
https://cyberscoop.com/russian-static-tundra-hacks-cisco-network-devices-cve-2018-0171/
京公网安备11010802024551号