赎金期限已过,黑客泄露澳航客户数据
发布时间 2025-10-151. 赎金期限已过,黑客泄露澳航客户数据
10月12日,澳大利亚澳洲航空公司(Qantas Airways)近日陷入重大数据泄露危机。7月初,澳航通过第三方平台Salesforce连接系统遭遇网络攻击,导致近600万客户信息被盗,包括姓名、电子邮件地址、电话号码、出生日期及常旅客号码等敏感信息。此次事件被视为澳大利亚最具影响力的网络攻击之一,黑客还通过同一系统获取了迪士尼、谷歌、宜家、丰田、麦当劳及法航荷航等40余家企业的数据。尽管澳航强调客户财务信息如密码、PIN码、信用卡号及身份证件未被泄露,但专家警告,泄露的个人信息仍可能被用于网络钓鱼或社会工程攻击。威胁行为者“Scattered Lapsus$ Hunters”在暗网泄露部分数据,并威胁若赎金要求未获满足,将公布更多企业信息。澳航已向新南威尔士州最高法院申请禁令,禁止第三方与泄露数据互动,并起诉“身份不明人员”,包括数据窃取者及勒索要求提出者。Salesforce方面明确表示不会参与任何勒索谈判或支付赎金。网络安全专家Troy Hunt证实,澳航客户数据已在暗网泄露,但目前仅六家公司的详细信息被公布。
https://cybernews.com/news/hackers-leak-qantas-customers-data-as-ransom-deadline-passes/
2. 恶意加密窃取VSCode扩展在OpenVSX上再次出现
10月14日,近期,威胁行为者TigerJack持续针对开发人员,在微软Visual Studio Code(VSCode)市场及开源替代平台OpenVSX上发布恶意扩展,实施加密货币窃取、后门植入及实时监控等攻击。据安全团队Koi Security披露,该组织自年初已分发至少11个恶意扩展,其中两款在VSCode市场下载量达1.7万次后被移除,但仍存于OpenVSX,且通过新账户重新上架。OpenVSX作为社区维护的开源扩展市场,是VSCode兼容编辑器(如Cursor、Windsurf)的默认源,其独立于微软的特性被TigerJack利用以扩大攻击范围。典型恶意扩展包括C++ Playground和HTTP Format:前者通过注册“onDidChangeTextDocument”监听器,在编辑后500毫秒内将C++源码泄露至外部端点;后者表面功能正常,但后台运行无资源限制的CoinIMP矿工,榨取主机算力挖矿。更危险的是第三类扩展(如cppplayground、httpformat),它们从硬编码地址每20分钟获取JavaScript代码,无需更新即可动态执行任意负载,如窃取凭证、部署勒索软件或注入项目后门。
https://www.bleepingcomputer.com/news/security/malicious-crypto-stealing-vscode-extensions-resurface-on-openvsx/
3. 新的Android Pixnapping攻击逐像素窃取MFA验证码
10月14日,美国七名研究人员近日揭露一种名为Pixnapping的新型旁道攻击,可使无权限的Android恶意应用通过窃取并重建屏幕像素内容,提取Signal聊天消息、Gmail邮件、Google Authenticator双因素验证码等敏感数据。该攻击利用Android意图系统启动目标应用或网页,将窗口提交至系统组合进程SurfaceFlinger,通过多次图形操作映射像素颜色(如区分2FA数字的白色/非白色像素),并借助“遮罩活动”隔离像素、放大后采用OCR技术识别字符。研究显示,攻击可在30秒内窃取2FA代码,影响运行Android 13至16的Google Pixel 6-9、三星Galaxy S25等设备,且旧版Android因底层机制相似可能普遍易受攻击。研究人员分析Play Store近10万个应用,发现数十万个可调用操作,表明攻击具有广泛适用性。谷歌于9月通过CVE-2025-48561修复漏洞,但研究人员成功绕过缓解措施,预计12月发布更全面补丁。三星亦承诺年底修复,但GPU芯片供应商尚未针对GPU.zip侧通道攻击提出修补计划。谷歌强调,攻击需目标设备特定数据且成功率低,目前Play Store未发现恶意应用利用此漏洞。
https://www.bleepingcomputer.com/news/security/new-android-pixnapping-attack-steals-mfa-codes-pixel-by-pixel/
4. Gcore成功抵御6Tbps超大规模DDoS攻击
10月14日,全球边缘AI、云、网络及安全解决方案提供商Gcore近日成功抵御了一场峰值带宽达6Tbps、数据包速率5.3Bpps的超大规模DDoS攻击,创下已知攻击规模纪录。此次攻击持续30-45秒,主要采用UDP协议实施体积洪水攻击,攻击源高度集中于巴西(51%)和美国(23.7%),合计占总流量近75%,与AISURU僵尸网络活动特征高度吻合,凸显出利用安全控制薄弱地区基础设施的攻击趋势。Gcore安全主管Andrey Slastenov指出,此次事件印证了DDoS攻击规模与复杂性的持续升级。其全球DDoS防护体系依托210余个接入点的分布式基础设施及超200Tbps的过滤能力,通过实时流量分析与自适应缓解机制,在无服务中断的情况下完成攻击流量吸收与清洗,展现了边缘层过滤与第7层行为分析在抵御混合载体攻击中的关键作用。
https://securityboulevard.com/2025/10/gcore-mitigates-record-breaking-6-tbps-ddos-attack/
5. 德国“大力神行动”关闭1400个欺诈域名
10月13日,德国联邦金融监管局(BaFin)联合巴登符腾堡州刑事警察局、欧洲刑警组织及保加利亚当局,于近期开展“大力神行动”,成功关闭东欧地区1400余个涉及网络交易欺诈的非法域名。此次行动是继今年6月关闭800个同类域名后的又一次大规模打击,旨在摧毁利用非法网站诱导投资者落入诈骗陷阱的犯罪网络。据调查,这些非法域名通过人工智能技术批量生成,伪装成正规投资平台,将用户引导至海外呼叫中心的“经纪人”处。这些“经纪人”会以高回报为诱饵,怂恿受害者进行大额投资。然而,资金实际未被用于投资,多数受害者在数月后才发觉受骗。德国联邦金融监管局的比尔吉特·鲁道夫指出,犯罪分子已愈发专业化,利用AI技术快速创建大量非法网站,形成规模化、隐蔽化的诈骗链条。自6月行动以来,被关闭的800个域名已累计触发2000万次访问尝试,显示出此类诈骗手段的广泛影响力和持续活跃性。本次关闭的1400个域名进一步削弱了犯罪分子的技术基础设施,大幅降低了其作案能力。
https://cybernews.com/cybercrime/german-police-nix-1400-websites-cybertrading-fraud/
6. ChaosBot恶意软件借Discord传播
10月13日,一种名为ChaosBot的新型恶意软件在金融公司系统中被发现,其由黑客组织Chaos_00019使用Rust语言编写,可绕过高级杀毒工具,通过Discord聊天平台传播并控制受感染设备。该恶意软件利用虚假PDF文件(如伪装成“越南银行”提供的文档)触发隐藏的PowerShell命令,加载恶意DLL文件实现入侵。据eSentire网络安全专家分析,ChaosBot主要针对越南语使用者,但并非唯一目标,其通过Discord创建与受感染计算机同名的私人聊天,将黑客直接连接到受害者操作系统控制面板,实现屏幕截图、文件窃取及任意命令执行等功能,且所有活动伪装成标准Discord流量,难以被常规监控手段发现。ChaosBot还包含Chaos-C++变种,行为类似勒索软件:加密并永久删除大文件,迫使受害者支付高额赎金;同时可切换比特币钱包地址,窃取加密货币。该变种常隐藏在伪造的“AI工具”(如ChatGPT安装程序、系统优化器)中,进一步扩大攻击范围。
https://cybernews.com/cybercrime/chaosbot-malware-discord-hacker/
京公网安备11010802024551号