2025-04-03 14:42 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
•损失已达百亿美元,汽车行业网络安全形势日益严峻
•Oracle因云数据泄露事件面临集体诉讼,或影响数百万用户
•勒索软件生态系统重组:DragonForce接管RansomHub基础设施
•因数据隐私担忧,基因共享平台openSNP宣布永久关闭并删除所有数据
•FIN7黑客组织推出高级Anubis后门,可完全控制Windows系统
•美国一军事承包商遭勒索软件攻击,300万文件疑被窃取
•英国皇家邮政疑遭144GB数据泄露,或源自供应商 Spectos 安全漏洞
•Cisco CSLU严重后门漏洞遭黑客积极利用,管理员需立即修补
•Verizon Call Filter API 曝重大安全漏洞,任何用户都能查看他人通话记录
•GitHub升级Advanced Security平台,应对敏感信息泄露
热点观察
损失已达百亿美元,汽车行业网络安全形势日益严峻
根据网络安全公司VicOne的最新研究,2022年至2024年间,汽车网络攻击已造成数百亿美元的损失,凸显了车辆安全面临的日益严峻威胁。研究发现,安全漏洞数量在2024年达到峰值,其中超过77%与车载系统相关。
VicOne在2024年识别了530个与汽车相关的漏洞,几乎是2019年的两倍,这表明攻击面正在迅速扩大。电动汽车(EVs)和软件定义汽车(SDVs)面临着越来越多的风险,包括充电基础设施薄弱、人工智能操纵和不安全的供应链。值得注意的是,人工智能驱动的系统,尤其是大型语言模型(LLMs),带来了新的安全风险。网络犯罪分子正在利用暗网网络交易黑客技术和被盗数据,使威胁更加复杂化。
报告呼吁在整个供应链中加强网络安全措施,提高数据透明度,并加强第三方安全,以防止广泛的系统中断。这需要制造商、供应商和安全专家之间更紧密的合作来保护消费者和关键基础设施。
原文链接:
https://www.scworld.com/brief/cybercriminals-target-auto-industry-with-sophisticated-hacks
Oracle因云数据泄露事件面临集体诉讼,或影响数百万用户
Oracle公司近日正面临一场在德克萨斯州提起的集体诉讼,指控其发生大规模云数据泄露事件。该诉讼于2025年3月31日在德克萨斯州西区美国地方法院提交,指控Oracle未能保护敏感信息并延迟通知受影响个人。
此次泄露事件最初于2025年3月22日被报道。黑客"rose87168"在Breach Forums上声称于2025年1月获取了Oracle云基础设施的访问权限。据该黑客称,被泄露的数据包括加密的SSO密码、Java KeyStore(JKS)文件、企业管理器JPS密钥以及与Oracle Cloud的SSO和LDAP系统相关的用户凭证。被盗数据集据称包含约600万用户的信息。尽管Oracle公开否认发生泄露,但网络安全公司CloudSEK进行的独立调查声称找到了"确凿证据"。3月31日,黑客在Breach Forums上发布了额外证据,包括内部LDAP记录和Oracle云环境的部分凭证。据报道,论坛管理员已验证数据的真实性。
诉讼由佛罗里达州居民Michael Toikach提起,他声称自己的私人信息通过使用Oracle软件的医疗保健提供商存储在Oracle系统中。诉讼指控Oracle未能满足行业标准安全实践,并指控该公司存在疏忽、违反信托义务、不当得利和违反第三方受益人合同等行为。诉讼要求赔偿损失、提供信用监控服务并改革Oracle的数据安全基础设施。截至目前,Oracle尚未在法庭上提交回应。
原文链接:
https://hackread.com/oracle-lawsuit-over-cloud-breach-affecting-millions/
勒索软件生态系统重组:DragonForce接管RansomHub基础设施
根据Cyble威胁情报研究人员近日发布的咨询报告,勒索软件组织DragonForce声称正在接管过去一年中最大的勒索软件组织RansomHub的基础设施。
Cyble表示,DragonForce的运营者在RAMP论坛上宣布了一个“新项目",随后在其基于onion的数据泄露站点(DLS)上发布了相同信息。DragonForce称该组织正在启用全新基础设施:两个由CAPTCHA保护的新onion链接,但显示的是RansomHub勒索软件组织的标志。DragonForce在RAMP上发布的帖子写道,“RansomHub很快就会恢复,他们只是决定迁移到我们的基础设施!我们是可靠的合作伙伴。这是'项目'如何运作的一个很好例子,DragonForce勒索软件卡特尔的新选择!"值得注意的是,RansomHub官方onion站点自3月31日起已离线,这引发了可能被接管的猜测。
此次公告紧随DragonForce于3月18日宣布大幅扩展其勒索软件即服务(RaaS)业务之后。该组织引入了特许经营模式,允许会员在DragonForce勒索软件卡特尔下推出自己的勒索软件品牌。会员获得全面后端支持,包括管理/客户端面板、数据托管和24/7基础设施与反DDoS保护。
原文链接:
https://thecyberexpress.com/dragonforce-claims-to-be-taking-over-ransomhub/
因数据隐私担忧,基因共享平台openSNP宣布永久关闭并删除所有数据
基因和表型数据共享平台openSNP于2025年4月30日正式关闭,并删除所有用户提交的数据,原因是对个人基因组数据可能被滥用的担忧,尤其是来自威权政府的潜在风险。
openSNP是一个免费开源平台,允许个人上传和分享其基因和表型数据用于研究和教育目的。该项目最初旨在民主化基因数据的获取,打破商业DNA测试公司的垄断,使研究人员或普通人能够在没有经济或机构障碍的情况下探索人类基因数据。多年来,openSNP成为同类平台中最大的数据库之一,被广泛应用于研究、教育,甚至社区主导的调查。虽然与23andMe没有隶属关系,但其收到的绝大多数贡献来自通过23andMe进行基因组测序的用户。随着23andMe申请破产,提交给openSNP的新数据流基本停止。
根据此前发布的信息,平台关闭时,所有用户提交的内容将被清除。用户无需采取任何手动操作删除数据,但希望保留个人或其他数据副本的用户可在2025年4月30日前下载。
原文链接:
FIN7黑客组织推出高级Anubis后门,可完全控制Windows系统
网络安全公司PRODAFT最新研究发现,网络犯罪组织FIN7(又称Savage Ladybug)开发了一款名为Anubis的基于Python的新型后门恶意软件,该工具能够让攻击者完全远程控制被感染的Windows系统,给企业带来严重威胁。
Anubis后门以ZIP包形式分发,包含一个Python脚本和多个Python可执行文件。该恶意软件采用了混淆技术以逃避检测,主要通过钓鱼邮件传播,并托管在被入侵的SharePoint站点上。目前大多数杀毒软件无法检测到这一威胁。
Anubis使用一个仅约30行的Python脚本作为主入口点,负责解密并执行真正的有效载荷。该后门针对Windows系统,使用AES-CBC加密和base64编码,通过exec函数加载有效载荷。其混淆方法是用相似字符替换变量名,增加了分析难度。在通信方面,Anubis通过单个TCP套接字进行通信,如果一个服务器失败则切换到另一个。执行后,它会将进程ID和本地IP发送到命令控制(C2)服务器。每个有效载荷包含一个组名和两个用于通信的IP地址。
该后门支持多种命令,包括检索IP、修改注册表、执行Python代码和将DLL加载到内存中。远程代码执行功能允许恶意软件动态加载恶意功能。此外,该恶意软件还支持键盘记录、文件传输和注册表修改等功能,并使用subprocess.Popen进行shell执行,持续处理命令直至终止。
原文链接:
网络攻击
美国一军事承包商遭勒索软件攻击,300万文件疑被窃取
InterLock勒索软件组织近日宣称对3月1日发生的National Presto Industries网络攻击事件负责。该家电和弹药制造公司此前在3月初向美国证券交易委员会(SEC)提交的监管文件中披露了这一事件,表示正在努力恢复系统,同时已实施临时措施以维持关键功能。
InterLock将National Presto Industries的子公司National Defense Corporation添加到其基于Tor的泄露网站上,证实此次攻击确实使用了勒索软件。该勒索软件团伙声称从公司窃取了大量数据,包括约45万个文件夹,内含近300万个文件。
据报道,InterLock表示曾试图勒索该公司,但谈判未能成功,因为National Defense Corporation认为该事件并非重大事件,被盗信息对他人没有价值,且数据泄露对其财务影响微乎其微。此外,该公司还声称已经恢复了系统,所有操作均已恢复正常。然而,勒索软件团伙声称已加密至少三个National Presto Industries实体的系统,包括为军方和执法部门生产弹药和爆炸物的AMTEC。
原文链接:
https://www.securityweek.com/ransomware-group-takes-credit-for-national-presto-industries-attack/
英国皇家邮政疑遭144GB数据泄露,或源自供应商 Spectos安全漏洞
英国皇家邮政集团(Royal Mail Group)疑似遭遇大规模数据泄露,共计144GB的内部文件、客户信息和营销数据被公开。该事件于2025年3月31日首次在网络犯罪论坛Breach Forum上被用户GHNA披露。
泄露的数据包含293个文件夹和16,549个文件,内容涵盖:
客户个人身份信息:姓名、完整地址、邮政编码和配送详情
内部通信:会议视频录像,特别是Spectos与Royal Mail员工之间的Zoom通话
运营数据:配送路线数据集、邮局位置信息和后端SQL数据库
营销基础设施数据:Mailchimp邮件列表导出,显示订阅者元数据和详细同意信息
GHNA在披露皇家邮政集团数据的同时,还发布了一张皇家邮政集团与德国数据分析和性能管理公司Spectos之间Zoom会议录像的截图,并称数据再次由 Spectos 提供,让人怀疑本次数据泄露经由第三方供应商Spectos实现。黑客GHNA自2024年底以来活跃于Breach Forums,通过泄露或出售多个高知名度组织的访问权限而声名鹊起。而Spectos多次出现在GHNA的泄露材料中,包括内部文档和录制的视频通话。
这是皇家邮政集团面临的最新网络安全挑战。2023年初,该公司曾遭到LockBit勒索软件团伙的攻击,导致国际包裹递送系统中断数周。
原文链接:
https://hackread.com/hacker-leaks-royal-mail-group-data-supplier-spectos/
安全漏洞
Cisco CSLU严重后门漏洞遭黑客积极利用,管理员需立即修补
Cisco警告管理员修补一个已被攻击者利用的严重Cisco Smart Licensing Utility(CSLU)漏洞(CVE-2024-20439),该漏洞暴露了一个内置的后门管理账户。
CSLU是一款Windows应用程序,用于在本地管理许可证和关联产品,无需连接到Cisco基于云的Smart Software Manager解决方案。Cisco于去年9月修补了这个安全漏洞,将其描述为"管理账户的未记录静态用户凭证",允许未经身份验证的攻击者通过CSLU应用程序的API远程登录未修补系统,并获得管理员权限。值得注意的是,CVE-2024-20439仅影响运行易受攻击的Cisco Smart Licensing Utility版本的系统,且只有在用户启动CSLU应用程序时才可被利用(该应用默认不在后台运行)。
更令人担忧的是,攻击者正将CVE-2024-20439与另一个严重漏洞CVE-2024-20440(信息泄露漏洞)结合使用,后者允许未经身份验证的攻击者通过发送精心构造的HTTP请求来访问包含敏感数据(包括API凭证)的日志文件。
原文链接:
Verizon Call Filter API 曝重大安全漏洞,任何用户都能查看他人通话记录
安全研究人员近日发现,一个存在于Verizon Call Filter功能中的安全漏洞允许用户通过未受保护的API请求访问其他Verizon Wireless号码的来电记录。
Verizon的Call Filter应用是一款免费工具,提供垃圾电话检测和自动拦截功能。该应用的免费版本在直接从Verizon购买的符合条件的Android和iOS设备上预装并默认启用,据信被数百万设备使用。研究人员发现,当使用Call Filter应用时,应用会连接到API端点https://clr-aqx.cequintvzwecid.com/clr/callLogRetrieval,以检索登录用户的来电历史并在应用中显示。该端点需要在Authorization头中使用Bearer方案的JWT(JSON Web Token),并使用X-Ceq-MDN头指定要检索通话历史记录的手机号码。
关键漏洞在于,JWT载荷中登录用户的电话号码与请求来电记录的电话号码之间没有进行验证。因此,任何用户都可以使用自己有效的JWT令牌发送请求,但将X-Ceq-MDN头值替换为另一个Verizon电话号码,从而检索该号码的来电历史。这些通话元数据看似无害,但可能会成为强大的监视工具。
值得注意的是,该漏洞所涉及的API端点似乎托管在一家名为Cequint的独立电信技术公司的服务器上,目前Cequint自己的网站已下线。
原文链接:
行业动态
GitHub升级Advanced Security平台,应对敏感信息泄露
GitHub近日宣布对其Advanced Security平台进行更新,此举是在该公司2024年通过其秘密扫描服务在代码库中检测到超过3900万条泄露的敏感信息后做出的反应。这些泄露的信息包括API密钥和凭证,使用户和组织面临严重的安全风险。
尽管GitHub在2022年4月引入了Push Protection(推送保护)功能,并于2024年2月在所有公共代码库中默认激活,但泄露问题仍然存在。根据GitHub的分析,敏感信息持续泄露的主要原因是开发人员在提交代码时优先考虑便利性,以及通过git历史记录意外暴露代码库。
为缓解平台上的敏感信息泄露问题,GitHub宣布了几项新措施和对现有系统的增强:
独立的Secret Protection和Code Security:现在作为单独产品提供,不再需要完整的GitHub Advanced Security许可证,使小型团队更容易负担;
免费的组织范围敏感信息风险评估:对所有代码库(公共、私有、内部和存档)进行一次性扫描,检查暴露的敏感信息;
具有委托绕过控制的推送保护:增强的推送保护在代码推送前扫描敏感信息,并允许组织定义谁可以绕过保护;
Copilot驱动的敏感信息检测:GitHub现在通过Copilot使用AI检测非结构化敏感信息,如密码;
通过云提供商合作改进检测:GitHub与AWS、Google Cloud和OpenAI等提供商合作,构建更准确的敏感信息检测器。
GitHub还建议用户启用Push Protection功能,并强调通过使用环境变量、秘密管理器或保险库来存储敏感信息,从而完全消除源代码中硬编码的敏感信息的重要性。
原文链接:
