声称Club Penguin粉丝的黑客组织入侵了迪士尼的Confluence服务器,窃取了他们最喜欢游戏的信息,但最终得手的是2.5GB的内部公司数据。Club Penguin是一款于2005年至2018年间运营的多人在线游戏(MMO),玩家可以在虚拟世界中参与游戏、活动并与其他玩家聊天。该游戏最初由New Horizon Interactive创建,后来被迪士尼收购。虽然Club Penguin在2017年正式关闭,其继任者Club Penguin Island也在2018年关闭,但该游戏通过由粉丝和独立开发者运营的私人服务器继续存在。尽管迪士尼对更知名的“Club Penguin Rewritten”重制版进行了打压,导致其运营者被捕,但私人服务器至今仍然存在,拥有数千名玩家。Club Penguin粉丝入侵迪士尼。本周,一名匿名人士在4Chan留言板上上传了一个名为“Internal Club Penguin PDFs”的链接,并简洁地声明:“我不再需要这些了”。
一大批包含3.61亿个被盗电子邮件地址的数据已被添加到“Have I Been Pwned”数据泄露通知服务中,这些账户信息来自密码窃取恶意软件、凭证填充攻击和数据泄露。现在,任何人都可以检查他们的账户是否被泄露。网络安全研究人员从多个Telegram网络犯罪频道收集了这些凭证,这些频道通常泄露被盗数据以建立声誉和吸引订阅者。被盗数据通常以以下形式泄露:被盗数据通常以用户名和密码组合(通常通过凭证填充攻击或数据泄露获取)、用户名和密码及其相关的网址(通过密码窃取恶意软件获取)以及原始Cookies(通过密码窃取恶意软件获取)的形式泄露。
安全研究人员发现了Azure Service Tags中的一个高严重性漏洞,可能允许攻击者访问客户的私人数据。Service Tags是特定Azure服务的IP地址组,用于防火墙过滤和基于IP的访问控制列表(ACLs),当需要网络隔离以保护Azure资源时使用。这是通过阻止传入或传出的互联网流量,仅允许Azure服务流量来实现的。威胁行为者可以利用该漏洞制作类似SSRF的恶意网络请求,冒充可信的Azure服务,绕过基于Azure Service Tags的防火墙规则,这些规则通常用于在没有身份验证检查的情况下保护Azure服务和敏感数据。这是一个高严重性漏洞,可能允许攻击者访问Azure客户的私人数据。
https://cert.gov.ua/article/6279600
乌克兰计算机应急响应小组(CERT-UA)警告称,针对该国防御部队的网络攻击使用了一种名为SPECTR的恶意软件,这是名为SickSync的间谍活动的一部分。该机构将这些攻击归因于一个被称为UAC-0020的威胁行为者,该行为者也被称为Vermin,被评估为与卢甘斯克人民共和国(LPR)的安全机构有关。LPR在2022年2月俄罗斯对乌克兰的军事入侵前几天被俄罗斯宣布为一个主权国家。攻击链始于包含一个RAR自解压存档文件的钓鱼电子邮件,该文件包含一个诱饵PDF文件、一个包含SPECTR负载的被木马化的SyncThing应用程序版本和一个启动可执行文件的批处理脚本。SPECTR作为信息窃取者,每10秒抓取一次屏幕截图,收集文件,收集来自可移动USB驱动器的数据,并从网页浏览器和应用程序(如Element、Signal、Skype和Telegram)中窃取凭证。
https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground/
威胁行为者越来越多地滥用BoxedApp等合法且商业可用的打包软件以规避检测并分发远程访问木马和信息窃取者等恶意软件。绝大多数被归因的恶意样本针对金融机构和政府行业。以BoxedApp打包提交到Google拥有的VirusTotal恶意软件扫描平台的样本数量在2023年5月左右出现了激增,Israeli网络安全公司补充说,样本提交主要来自土耳其、美国、德国、法国和俄罗斯。通过这种方式分发的恶意软件家族包括Agent Tesla、AsyncRAT、LockBit、LodaRAT、NanoCore、Neshta、NjRAT、Quasar RAT、Ramnit、RedLine、Remcos、RevengeRAT、XWorm和ZXShell。打包器是自解压存档,通常用于打包软件并使其变小。但多年来,此类工具已被威胁行为者重新用于为其payload添加另一层混淆,以抵抗分析。
https://blog.google/products/maps/updates-to-location-history-and-new-controls-coming-soon-to-maps/
Google宣布计划从2024年12月1日起将Maps时间轴数据存储在用户的设备上,而不是其Google账户中。这项变化最初由科技巨头在2023年12月宣布,伴随着启用位置历史记录时的自动删除控制更新,将其默认设置为三个月,而不是之前的18个月。顾名思义,Google Maps时间轴帮助用户跟踪路线、行程和他们曾到过的地方,假设启用了位置历史记录和Web与应用活动设置。但随着最新的更改以在用户设备上托管数据,公司还表示将取消在网页上查看时间轴数据的功能。
有关影响PHP的新严重安全漏洞的详细信息已经出现,在某些情况下可以利用该漏洞实现远程代码执行。该漏洞被追踪为CVE-2024-4577,被描述为影响Windows操作系统上安装的所有PHP版本的CGI参数注入漏洞。这个缺陷可以绕过为另一个安全漏洞CVE-2012-1823设置的保护措施。在2024年5月7日负责任披露后,已经在PHP版本8.3.8、8.2.20和8.1.29中提供了漏洞修复程序。研究人员警告称,所有在Windows上配置为使用繁体中文、简体中文或日语语言环境的XAMPP安装默认都是易受攻击的。
攻击者正在瞄准GitHub仓库,擦除其内容,并要求受害者通过Telegram联系获取更多信息。这场活动背后的威胁行为者,在Telegram上使用Gitloker的用户名并冒充网络事件分析师,很可能是使用被盗凭证入侵目标的GitHub账户。随后,他们声称窃取了受害者的数据,创建了一个备份,可以帮助恢复被删除的数据。然后,他们会重命名仓库,并添加一个README.me文件,指示受害者通过Telegram联系。“希望这条信息能找到你。这是一个紧急通知,告知你的数据已被泄露,我们已确保备份,”勒索信中写道。
研究人员发现了一个之前未知的用Go语言编写的后门,我们将其归因于ExCobalt组织。ExCobalt是一个专注于网络间谍活动的网络犯罪组织,其成员至少自2016年起活跃,据信是臭名昭著的Cobalt组织的成员。Cobalt组织攻击金融机构以盗取资金,其显著特点是使用CobInt工具,而ExCobalt组织自2022年起开始使用该工具。研究人员与ExCobalt组织有关的攻击并进行了事件调查,涉及俄罗斯以下行业的组织:冶金、电信、采矿、信息技术、政府机构、软件开发。
纽约时报公司确认,属于其的内部源代码和数据在2024年1月被从公司的GitHub代码库中盗取,并在4chan论坛上泄露。一名匿名用户周四在4chan上发布了一个包含被盗数据的273GB档案的种子文件。“基本上所有属于纽约时报公司的源代码,270GB。”4chan论坛帖子中写道。“总共有大约5千个代码库(其中不到30个是额外加密的),共计360万个文件,未压缩的tar格式。”威胁行为者分享了一个包含从公司的GitHub代码库中被盗的6223个文件夹的完整列表的文本文件。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。