ShadowLeak攻击:ChatGPT服务器端数据窃取的新威胁
发布时间 2025-09-221. ShadowLeak攻击:ChatGPT服务器端数据窃取的新威胁
9月18日,Radware研究人员发现名为ShadowLeak的新型攻击,利用ChatGPT的Deep Research代理实现零点击服务器端数据窃取。该攻击通过精心设计的电子邮件中隐藏HTML指令,在用户无操作或可见界面提示的情况下,触发代理从Gmail收件箱提取个人身份信息(PII)并静默发送至攻击者控制的服务器。区别于依赖客户端图像渲染的客户端攻击,ShadowLeak直接从OpenAI云基础设施泄露数据,使企业防御系统难以检测,用户亦无感知。Deep Research允许ChatGPT自主浏览网页5-30分钟生成详细报告,并与Gmail等应用集成。攻击流程中,攻击者发送包含社会工程策略的邮件,代理读取恶意内容后执行隐藏指令,将PII注入攻击者URL,实现静默数据渗透。该攻击不仅限于Gmail,任何Deep Research连接器均可成为载体,攻击者可窃取合同、会议记录等敏感数据。服务端攻击风险更高,因数据泄露源自提供商基础设施,企业无法通过客户端防护拦截,且代理作为可信中介可绕过URL限制,将数据导出至任意目的地。
https://securityaffairs.com/182334/hacking/shadowleak-radware-uncovers-zero-click-attack-on-chatgpt.html
2. 俄黑客组织Gamaredon与Turla联手攻击乌克兰
9月19日,斯洛伐克网络安全公司ESET披露,俄罗斯黑客组织Gamaredon与Turla自2025年起在乌克兰发动联合攻击,通过工具链协同部署后门程序。ESET观察到,2025年2月,Gamaredon的PteroGraphin工具在乌克兰端点重启Turla的Kazuar v3后门,用于恢复崩溃或未自动启动的恶意程序;4月和6月,PteroOdd和PteroPaste工具进一步部署Kazuar v2,形成“初始访问-载荷投递-后门植入”的完整攻击链。两个组织均与俄罗斯联邦安全局(FSB)关联:Gamaredon(别名Aqua Blizzard)自2013年起主要针对乌克兰政府机构;Turla(别名Venomous Bear)自2004年活跃,擅长间谍活动。此次合作中,Gamaredon提供初始访问权限,Turla则通过Kazuar后门收集系统信息,并通过Cloudflare Workers子域或伪装成ESET合法文件的域名传输数据。攻击链显示,Gamaredon利用PteroGraphin和PteroOdd下载器,从Telegraph API获取有效载荷执行Kazuar。2025年1月至6月,乌克兰共7台机器检测到Turla相关指标,其中4台于1月被Gamaredon攻破,2月底部署Kazuar v3。
https://thehackernews.com/2025/09/russian-hackers-gamaredon-and-turla.html
3. 俄罗斯勒索软件团队利用CountLoader扩大攻击范围
9月18日,网络安全研究人员发现一款代号为“CountLoader”的新型恶意软件加载器,已被俄罗斯勒索软件团伙(如LockBit、Black Basta、Qilin)用于投放后续渗透工具(Cobalt Strike、AdaptixC2)及“PureHVNC RAT”远程访问木马。该加载器存在.NET、PowerShell和JavaScript三个版本,通过伪造乌克兰国家警察局身份的钓鱼PDF文件攻击乌克兰个人用户,其PowerShell版本曾通过与DeepSeek相关的诱饵文件传播,最终部署“BrowserVenom”植入程序以操控网络流量并收集数据。CountLoader功能强大:JavaScript版本支持六种文件下载方式和三种恶意软件运行方法,可收集系统信息并创建伪装成谷歌Chrome更新任务的计划任务实现持久化;其利用“音乐文件夹”作为恶意软件暂存区,.NET与JavaScript版本虽功能重叠,但仅支持两种命令类型,属精简版。该加载器依托20余个域名的基础设施运行,核心作为传输通道投放后续恶意软件。
https://thehackernews.com/2025/09/countloader-broadens-russian-ransomware.html
4. 柯林斯宇航遭网络攻击致欧洲多机场系统瘫痪
9月20日,美国航空技术巨头柯林斯宇航(隶属RTX集团,前身为雷神技术公司)遭遇网络攻击,导致其Muse软件系统故障,引发欧洲三大枢纽机场——伦敦希思罗、布鲁塞尔和柏林机场的登机与值机系统全面中断。此次事件造成大规模航班延误及取消,迫使航空公司启用人工操作模式,数千名旅客滞留机场数小时,排队长龙蔓延至航站楼外。柯林斯作为航空电子设备、内饰及任务系统的核心供应商,其Muse软件支撑着欧洲多机场的电子值机与行李托运流程。攻击发生后,RTX集团发表声明称问题仅限于电子服务,可通过人工值机缓解,并强调正全力修复系统。然而,布鲁塞尔机场警告称攻击影响将持续至周六,柏林机场候机时间显著延长,希思罗机场则呼吁旅客出行前确认航班状态。据航空数据商Cirium统计,三机场累计取消29个航班,周六实际运营航班量分别为651架次(希思罗)、228架次(布鲁塞尔)和226架次(柏林)。欧盟委员会发言人表示,目前无证据显示此次为“大规模严重袭击”,起因仍在调查中。
https://securityaffairs.com/182363/hacking/a-cyberattack-on-collins-aerospace-disrupted-operations-at-major-european-airports.html
5. CISA警告利用Ivanti EPMM漏洞部署恶意软件
9月20日,美国网络安全和基础设施安全局(CISA)发布技术报告,揭示针对Ivanti Endpoint Manager Mobile(EPMM)软件的CVE-2025-4427(身份验证绕过漏洞,CVSS评分5.3)和CVE-2025-4428(远程代码执行漏洞,CVSS评分7.2)的恶意攻击细节。攻击者通过串联这两个漏洞实现无需认证的远程代码执行,入侵某未具名组织网络并部署两组恶意软件。第一组恶意软件利用伪装成Apache组件的ReflectUtil.class加载器,将SecurityHandlerWanListener监听器注入Tomcat服务器,通过拦截特定HTTP请求解密隐藏的有效负载,动态创建Java类以执行任意代码、保持持久性并窃取数据。第二组则伪装成MobileIron服务的WebAndroidAppInstaller.class加载器,通过拦截表单编码的HTTP请求,使用硬编码AES密钥解密参数并执行恶意代码,实现系统接管。Ivanti公司已于5月中旬修复漏洞,并确认漏洞源于第三方开源库而非自身代码。CISA分析显示,攻击者通过/mifs/rs/api/v2/端点执行命令,进行系统数据收集、恶意软件下载、网络映射及LDAP凭据窃取,并通过/tmp目录写入恶意文件维持持久性。
https://securityaffairs.com/182350/malware/cisa-warns-of-malware-deployed-through-ivanti-epmm-flaws.html
6. 加拿大皇家骑警破获首例加密货币交易所关闭案
9月20日,加拿大皇家骑警(RCMP)根据欧洲刑警组织提供的线索,联合洗钱调查组(MLIT)对专注于隐私交易的小型加密货币平台TradeOgre展开专项行动,最终成功关闭该交易所并查获超过4000万美元资金,据信这些资金多源于网络犯罪活动。此次行动不仅是加拿大执法部门首次关闭加密货币交易所,更创下该国历史上最大规模资产扣押纪录。TradeOgre平台因支持小众山寨币及难以追踪的门罗币(Monero)交易而闻名,其运营模式存在严重法律漏洞,未要求用户通过KYC(了解您的客户)政策进行身份验证,且未向加拿大金融交易和报告分析中心(FINTRAC)注册为货币服务企业,违反了加拿大反洗钱法规。调查显示,该平台因匿名性特征被网络犯罪分子广泛用于洗钱操作,例如交换勒索软件收益、实施SIM卡交换诈骗等。平台下线后,部分用户质疑此举为“退出骗局”,但执法机构明确表示关闭行动基于合法调查。对于非犯罪用户提出的追索权问题,警方指出可通过加拿大法院系统寻求救济。
https://www.bleepingcomputer.com/news/security/canada-dismantles-tradeogre-exchange-seizes-40-million-in-crypto/
京公网安备11010802024551号