新闻速览
•目录百度对“开盒”事件发布声明,已报案
•通过电子商务骗局获利1400万美元,Click Profit 被封禁
•WhatsApp修复被Paragon间谍软件攻击利用的零点击零日漏洞
•Infosys因第三方数据泄露事件达成1750万美元集体诉讼和解
•美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露
•从勒索软件到诈骗重定向,DollyWay恶意软件已入侵超2万WordPress网站
•美国宾夕法尼亚州教育协会遭遇数据泄露,影响超52万教育工作者
•新型信息窃取恶意软件Arcane通过游戏作弊工具感染YouTube和Discord用户
•黑客利用严重PHP漏洞部署Quasar RAT和XMRig挖矿程序
热点观察
百度对“开盒”事件发布声明,已报案
3月19日,百度对“副总裁谢广军女儿开盒”事件发布声明。声明称,百度坚决谴责这种窃取和公开他人隐私的网络暴力行为。百度对于任何侵犯用户隐私的行为都是零容忍。
百度称,其内部实施了数据的匿名化、假名化处理;数据存储和管理实行严格隔离和权限分离,任何职级的员工及高管均无权限触碰用户数据。百度安全部门反复调取了相关日志,并查验当事人权限。结果表明,开盒信息并非源自百度。
经过调查,开盒信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库。相关调查过程已取证,并得到公证机关公证。
网上流传的“当事人承认家长给她数据库”的截图,内容为不实信息。此外,事件期间,社交媒体出现了大量文案高度雷同的造谣内容。针对相关网络谣言,公司已向公安机关报案。
原文链接:
通过电子商务骗局获利1400万美元,Click Profit 被封禁
美国联邦贸易委员会(FTC)已对Click Profit商业机会平台采取行动,指控其通过虚假承诺在线商店保证被动收入,欺骗消费者并获利1400万美元。
Click Profit是一个在社交媒体和网站上推广的在线商业平台,声称可帮助消费者通过在Amazon等平台上建立和管理电子商务商店来产生被动收入。Click Profit的网站和广告声称提供”15万美元销售保证”,并承诺客户的商店将在TikTok、Amazon、eBay和Walmart上获得顶级排名和可见度。据FTC称,Click Profit的主要运营模式是通过与建立在线商店和购买库存相关的高额”管理费”直接获利,以及额外的库存购买费用和其他所谓必需的行动费用。在扣除Click Profit收取的各种费用后,大多数消费者永远无法收回开店成本,更不用说赚取承诺的利润。
诉状称,在大多数情况下,Click Profit商店一旦被创建并添加到电子商务平台就会被封锁或暂停。对于少数确实产生收入的商店,Click Profit要求消费者将收益重新投资购买更多库存,而不是保留资金。Click Profit经常将商店开业延迟数月,或根本不开业,而只有当这些客户寻求外部公司或执法机构帮助时,才会发放退款。
联邦法院于2025年3月5日发布了临时限制令,有效冻结了该公司的活动。FTC的诉状寻求让公司运营者对其欺骗性行为负责,为被欺诈的消费者追回资金,并永久关闭Click Profit。
原文链接:
https://www.bleepingcomputer.com/news/legal/click-profit-blocked-by-the-ftc-over-alleged-e-commerce-scams/
WhatsApp修复被Paragon间谍软件攻击利用的零点击零日漏洞
WhatsApp近日修复了一个被用于安装Paragon的Graphite间谍软件的零点击、零日漏洞。此漏洞由多伦多大学Citizen Lab的安全研究人员发现并报告。Paragon曾利用该漏洞发起的一场针对包括记者和公民社会成员在内的多名用户的间谍软件活动。
在1月31日缓解了这些攻击中部署的零点击漏洞后,WhatsApp通知了来自20多个国家的约90名Android用户,包括意大利记者和活动人士,他们被Paragon间谍软件攻击,目的是收集敏感数据并拦截私人通信。
研究人员发现,攻击者先将目标添加到WhatsApp群组,然后发送PDF文件。在下一阶段,受害者设备自动处理PDF,利用现已修补的零日漏洞在WhatsApp中加载Graphite间谍软件植入物。该植入物随后通过逃离Android沙盒来入侵目标设备上的其他应用程序。一旦安装,间谍软件就能让其操作者访问受害者的消息应用程序。被入侵的Android设备上的Graphite间谍软件感染可通过分析设备日志中的取证工件(称为BIGPRETZEL)来检测。然而,缺乏感染证据并不排除取证指标被覆盖或因”Android日志的零星性质”而未被捕获的可能性。
Citizen Lab还绘制了Paragon用于在目标设备上部署Graphite间谍软件植入物的服务器基础设施图,发现与多个政府客户的潜在联系,包括澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡。从Paragon基础设施内单个服务器的域名开始,研究人员开发了多个指纹,帮助发现了150个数字证书,这些证书与数十个被认为是专用命令和控制基础设施一部分的IP地址相关联。
原文链接:
https://www.bleepingcomputer.com/news/security/whatsapp-patched-zero-day-flaw-used-in-paragon-spyware-attacks/
Infosys因第三方数据泄露事件达成1750万美元集体诉讼和解
日前,Infosys Limited已同意支付1750万美元,以解决针对其子公司Infosys McCamish System(IMS)在2023年数据泄露事件中的六起集体诉讼。
IMS最初于2023年11月向美国证券交易委员会(SEC)披露了这起泄露事件。随后在2024年,富达投资人寿保险公司(影响近3万名个人)、美国银行报告(至少5.7万名客户)和美国运通公司在内的多家公司开始通知客户,他们的数据受到了这起第三方泄露事件的影响。
调查显示,IMS在2023年10月29日至11月2日期间遭到入侵,攻击者获取了存储在其系统上的下游客户个人数据。被窃取的数据包括个人姓名、社会安全号码、居住州、银行账户和路由号码以及出生日期。2024年4月,IMS披露约650万人受到此次泄露事件影响,并表示已于2023年底”基本修复并恢复了受影响的应用程序和系统”。在各方同意通过调解解决冲突后,这些集体诉讼被合并,根据Infosys发布的一封信函显示。合并后的集体诉讼诉状于2024年11月提交,代表所有在美国居住且个人身份信息在此次泄露中被泄露的人。根据拟议的和解条款,McCamish已同意向一个基金支付1750万美元,以解决这些问题。
原文链接:
网络攻击
美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露
美国西部联盟银行(WAB)近日披露,由于其第三方供应商的安全文件传输软件存在漏洞,导致近2.2万名客户的个人信息遭到泄露。这家拥有超过50个分支机构和800亿美元资产的地区性银行,在给受影响客户的信函中表示,未经授权的访问可能已经泄露了客户的财务数据、社会安全号码等敏感信息。
根据WAB向美国证券交易委员会(SEC)提交的文件,该事件最初于2024年10月27日被发现,涉及第三方供应商软件的一个零日漏洞。尽管银行立即启动了事件响应流程并部署了所有推荐的补丁,但直到2025年1月27日才发现威胁行为者公布了相关文件。受影响的数据包括姓名、出生日期、驾驶证号码、税务识别号、社会安全号码、财务账户号码和护照号码(如果提供给银行)。这些信息可能被用于身份盗窃、金融欺诈和社会工程攻击。
虽然WAB没有具体指明涉及的第三方软件或威胁行为者,但Clop勒索软件组织在1月份曾声称利用Cleo的托管文件传输平台漏洞攻击了包括WAB在内的58家公司。网络安全专家呼吁企业加强对用于存储敏感信息的软件的尽职调查,并实施更强大的加密措施。
原文链接:
从勒索软件到诈骗重定向,DollyWay恶意软件已入侵超2万WordPress网站
自2016年以来,DollyWay恶意软件行动已经入侵了全球超过2万个WordPress网站,将用户重定向至恶意网站。根据GoDaddy的报告,该活动在过去八年中经历了显著演变,利用先进的规避、重新感染和变现策略。GoDaddy已分享与DollyWay相关的完整妥协指标(IoC)列表,以帮助防御这一威胁。
截至2025年2月,DollyWay每月通过将WordPress网站访问者重定向到虚假约会、赌博、加密货币和抽奖网站,产生1000万次欺诈性展示。该活动通过VexTrio和LosPollos联盟网络实现变现,并使用流量定向系统(TDS)对访问者进行筛选。
在最新版本(v3) “DollyWay World Domination”中,DollyWay主要作为大规模诈骗重定向系统运行,但过去曾分发过勒索软件和银行木马等更有害的恶意程序。DollyWay v3通过利用插件和主题中的n-day漏洞来攻击易受攻击的WordPress网站。入侵过程包括脚本注入,动态加载第二个脚本,然后收集访问者引荐数据,最终将合格目标重定向至诈骗页面。
该恶意软件具有极强的持久性,能够在每次页面加载时自动重新感染网站。它通过在所有活动插件中传播PHP代码,并添加包含混淆恶意代码片段的WPCode插件副本来实现这一点。攻击者还会隐藏WPCode插件,使管理员无法看到或删除它,同时创建隐藏的管理员用户账户。
原文链接:
美国宾夕法尼亚州教育协会遭遇数据泄露,影响超52万教育工作者
美国宾夕法尼亚州最大公共部门工会宾夕法尼亚州教育协会(PSEA)正在通知517,487个人,该组织于2024年7月6日左右遭遇了影响其网络环境的安全事件,他们的个人信息被攻击者窃取。
该工会代表超过17.8万名教育专业人士。经过彻底调查和对受影响数据的广泛审查(于2月18日完成),PSEA确认未授权行为者获取的数据包含了网络中某些文件内个人的敏感信息。被窃取的信息因人而异,包括个人、财务和健康数据,如驾驶执照或州ID、社会安全号码、账户PIN码、安全代码、支付卡信息、护照信息、纳税人ID号码、凭证、健康保险和医疗信息。
该工会为社会安全号码受影响的个人提供免费的IDX信用监控和身份恢复服务。PSEA还建议受影响者监控其财务账户报表和信用报告是否有可疑活动,获取免费信用报告,并在其信用档案上设置欺诈警报和/或安全冻结。
虽然PSEA没有将攻击归因于特定威胁行为者,但Rhysida勒索软件团伙于2024年9月9日声称对此次入侵负责。该网络犯罪组织要求20个比特币的赎金,威胁如果不支付赎金就会泄露被盗数据。
原文链接:
新型信息窃取恶意软件Arcane通过游戏作弊工具感染YouTube和Discord用户
近日,新型信息窃取恶意软件Arcane被发现。该恶意软件能够窃取大量用户数据,包括VPN账户凭证、游戏客户端、即时通讯应用以及存储在网络浏览器中的信息。据Kaspersky报告,这款恶意软件与暗网上流传多年的Arcane Stealer V没有关联。
Arcane恶意软件活动始于2024年11月,主要通过YouTube视频推广游戏作弊和破解工具来诱骗用户下载恶意文件。最近,攻击者还开始使用名为ArcanaLoader的假冒软件下载器,并在YouTube和Discord上大力推广,甚至邀请内容创作者有偿宣传。
感染链程序会修改Windows Defender的SmartScreen过滤器设置,以规避检测。Arcane能够窃取多种应用程序的数据,包括VPN客户端、网络工具、即时通讯软件、电子邮件客户端、游戏客户端和加密货币钱包等。此外,它还能捕获屏幕截图和检索已保存的Wi-Fi网络密码。
虽然Arcane目前主要针对俄罗斯、白俄罗斯和哈萨克斯坦的用户,但其运营者可能会扩大目标范围。为避免感染信息窃取恶意软件,用户应谨慎对待未签名的盗版和作弊工具下载。
原文链接:
https://www.bleepingcomputer.com/news/security/new-arcane-infostealer-infects-youtube-discord-users-via-game-cheats/
黑客利用严重PHP漏洞部署Quasar RAT和XMRig挖矿程序
网络威胁行为者正在利用PHP中的一个严重安全漏洞(CVE-2024-4577)部署加密货币挖矿程序和远程访问木马(RAT),如Quasar RAT。该漏洞是Windows系统上运行在CGI模式下的PHP中的参数注入漏洞,可能允许远程攻击者执行任意代码。
据网络安全公司Bitdefender报告,自去年年底以来,针对CVE-2024-4577的利用尝试激增,约15%检测到的利用尝试涉及使用”whoami”和”echo”等命令进行基本漏洞检查;另外15%围绕用于系统侦察的命令,如进程枚举、网络发现、用户和域信息以及系统元数据收集。研究人员指出,至少约5%检测到的攻击最终部署了XMRig加密货币挖矿程序;另一个较小的活动涉及部署Nicehash挖矿程序,这是一个允许用户出售计算能力以获取加密货币的平台。挖矿进程被伪装成合法应用程序,如javawindows.exe,以逃避检测。其他攻击被发现利用该漏洞传递开源Quasar RAT等远程访问工具,以及使用cmd.exe执行托管在远程服务器上的恶意Windows安装程序(MSI)文件。
此外,还观察到有人试图修改易受攻击服务器上的防火墙配置,目的是阻止访问与该漏洞相关的已知恶意IP。这种不寻常的行为引发了一种可能性,即竞争的加密劫持组织正在争夺对易受攻击资源的控制权,并防止它们第二次针对那些在其控制下的资源。
原文链接:
