VECT 2.0勒索软件缺陷:大文件被永久销毁
发布时间 2026-04-291. VECT 2.0勒索软件缺陷:大文件被永久销毁
4月28日,研究人员警告称,VECT 2.0勒索软件在处理加密随机数的方式上存在严重缺陷,导致较大的文件在加密过程中被永久销毁,而非真正被加密。VECT在最新一期BreachForums论坛上进行宣传,邀请注册用户成为其合作伙伴,并通过私信分发访问密钥。VECT运营商曾宣布与TeamPCP建立合作关系,威胁组织应对近期影响Trivy、LiteLLM和Telnyx的供应链攻击以及针对欧盟委员会的攻击负责。在公告中,VECT运营商表示其目标是利用这些供应链漏洞的受害者,在其环境中部署勒索软件载荷,并对其他组织发动更大规模的供应链攻击。该勒索软件的致命缺陷在于其加密机制的设计。为了提高大文件的加密速度,VECT将所有文件大小超过128KB的视为大文件,并将其分成四个数据块进行加密。问题在于,每个数据块加密时生成的随机数都输出到同一个内存缓冲区中,导致每个新的随机数都会覆盖前一个。当所有数据块处理完毕后,内存中只留下最后一个生成的随机数,且只会将该随机数写入磁盘。因此,被分割成四块的大文件中,仅有最后25%的部分可以恢复,前三部分因随机数丢失而无法解密。
https://www.bleepingcomputer.com/news/security/broken-vect-20-ransomware-acts-as-a-data-wiper-for-large-files/
2. LiteLLM漏洞:未授权SQL注入可窃取API密钥
4月28日,黑客正利用编号为CVE-2026-42208的严重漏洞,攻击存储在LiteLLM开源大型语言模型网关中的敏感信息。该漏洞是LiteLLM代理API密钥验证步骤中出现的SQL注入问题,攻击者无需身份验证即可利用,只需向任何LLM API路由发送特制的Authorization标头,便能读取代理数据库中的数据并进行修改。根据维护者的安全公告,攻击者可利用此功能获得对代理及其管理凭据的未授权访问。LiteLLM存储API密钥、虚拟密钥、主密钥以及环境/配置密钥,因此数据库被访问意味着黑客可读取大量敏感数据,进而发动进一步攻击。该漏洞在LiteLLM 1.83.7版本中通过参数化查询取代了不安全的字符串拼接得以修复。LiteLLM近期还成为供应链攻击的目标,TeamPCP黑客曾发布恶意PyPI包部署信息窃取程序,从受感染系统中窃取凭证、令牌和密钥。云安全公司Sysdig的研究报告指出,CVE-2026-42208漏洞的利用在4月24日公开披露后约36小时便已开始,研究人员观察到蓄意且有针对性的攻击尝试。
https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-a-critical-litellm-pre-auth-sqli-flaw/
3. Vimeo受Anodot泄露牵连,ShinyHunters威胁公开数据
4月28日,视频平台Vimeo近日披露,由于第三方数据异常检测公司Anodot发生数据泄露事件,其部分客户和用户的数据遭到未经授权的访问。Vimeo表示,攻击者获取了部分客户的电子邮件地址,但泄露的大部分信息包括技术数据、视频标题和元数据。初步调查结果表明,被访问的数据库主要包含技术数据、视频标题和元数据,在某些情况下还包含客户的电子邮件地址。此次数据泄露事件已被臭名昭著的勒索组织ShinyHunters声称负责,该组织威胁声称掌握了该公司Snowflake和BigQuery实例中的数据,除非Vimeo支付赎金,否则将在4月30日之前公布被盗数据。在Anodot事件中,攻击者窃取了身份验证令牌,并利用这些令牌访问客户环境(主要是Snowflake),从多个组织中窃取数据。就Vimeo而言,由于涉事方未说明被盗数据的数量,影响仍然不明朗。Vimeo已明确表示,泄露的数据不包括用户上传到平台的视频内容、账户凭证或支付卡信息,平台运营未受影响。该公司现已禁用所有Anodot凭证,并取消了该服务与其系统的集成。
https://www.bleepingcomputer.com/news/security/video-service-vimeo-confirms-anodot-breach-exposed-user-data/
4. Checkmarx证实LAPSUS$泄露其GitHub数据
4月28日,应用安全公司Checkmarx已证实,LAPSUS$威胁组织泄露了从其私有GitHub存储库中窃取的数据。虽然调查仍在进行中,但Checkmarx认为攻击入口是此前归咎于黑客组织TeamPCP的Trivy供应链攻击,该攻击获取了下游用户的凭证。利用从Trivy事件中窃取的凭证,攻击者得以访问Checkmarx的GitHub存储库,并于3月23日发布了恶意代码。Checkmarx解释称,由于获得了这种访问权限,攻击者能够与其GitHub环境进行交互,随后将恶意代码发布到某些工件中。4月22日,攻击者利用重新获得的访问权限或持续攻击一个月,发布了针对Checkmarx旗下KICS安全扫描器的恶意Docker镜像、VSCode和Open VSX扩展,从中窃取了凭据、密钥、令牌和配置文件。昨日,Checkmarx发布最新消息称,LAPSUS$组织在其勒索门户网站上发布的数据属于Checkmarx,且源自3月23日的入侵事件。公司与一家领先第三方取证公司合作进行的调查表明,一个网络犯罪团伙已将相关数据发布到暗网。
https://www.bleepingcomputer.com/news/security/checkmarx-confirms-lapsus-hackers-leaked-its-stolen-github-data/
5. 欧洲政要遭Signal钓鱼攻击,德方指俄罗斯是幕后黑手
4月28日,德国当局近期的调查显示,有人利用Signal即时通讯平台发起了一场大规模的网络钓鱼活动,并强烈怀疑俄罗斯参与其中。此次行动的目标包括德国政界人士、部长、军方人员、外交官和记者在内的知名人士。德国检察官已展开调查,认为这可能是一起有组织的间谍活动,初步证据表明幕后黑手可能是国家行为体。攻击者冒充Signal官方客服或可信联系人,通过发送信息接近受害者,诱骗他们分享验证码、扫描恶意二维码或点击精心设计的链接。一旦受害者被攻破,攻击者便可访问私人聊天记录、联系人列表,甚至可能涉及敏感的政治讨论内容。此次行动还试图攻击德国总理弗里德里希·默茨,但尚未证实其账户也遭到入侵。当局估计可能有数百个账户受到影响。虽然柏林方面尚未正式指认攻击者,但情报来源越来越多地指向俄罗斯参与其中,这与针对欧洲民主国家的更广泛网络活动模式相符。德国政府发言人表示,德国政府怀疑俄罗斯是幕后黑手。
https://securityaffairs.com/191425/intelligence/signal-phishing-campaign-targets-german-officials-in-suspected-russian-operation.html
6. Morpheus间谍软件:伪装安卓更新窃取数据
4月28日,无党派非营利组织Osservatorio Nessuno曝光了一种名为Morpheus的新型间谍软件,该软件通过伪装成系统更新的虚假安卓应用进行传播。一旦安装,它就能从受感染的设备上窃取大量数据。报告显示,执法和情报机构对此类软件需求强劲,推动了间谍软件供应商市场的蓬勃发展。攻击者采用低成本间谍软件的典型策略:破坏服务后诱骗受害者安装虚假恢复应用。目标用户收到含伪装成互联网服务提供商网站的短信链接,第一阶段投放器会安装隐藏的第二阶段载荷,并在用户几乎不知情的情况下部署。第二阶段伪装成合法系统组件,使用虚假图标和名称博取信任,强迫用户授予包括辅助功能访问在内的危险权限。获得辅助功能权限后,间谍软件启动权限工作流,创建包含虚假更新流程和重启屏幕的覆盖层,在后台执行所有步骤以授予全部权限,包括启用开发者选项、开启无线调试并与本地ADB守护程序配对。在第三阶段,该间谍软件无需root权限即可禁用多款知名杀毒软件。
https://securityaffairs.com/191398/malware/new-android-spyware-morpheus-linked-to-italian-surveillance-firm.html
京公网安备11010802024551号