安全新聞周報20250317~ 0323

 

 

1.據報導，KD 面板成為 Crazyhunter 勒索軟體攻擊的目標

 

據 Dark Web Informer 的暗網監控警報顯示，專門從事工業控制系統的製造公司 KD Panels 已成為 Crazyhunter 勒索軟體集團的最新受害者。

 

網路犯罪分子索要 100 萬美元的加密貨幣贖金，並威脅稱，如果不支付贖金，他們將洩露敏感數據並通過分佈式拒絕服務 (DDoS) 攻擊破壞運營。

 

此次入侵利用了 AES-256 和 RSA-4096 加密檔，並且將備份和影子副本的數據銷毀。

 

Crazyhunter 部署了自帶易受攻擊驅動程式 (BYOVD) 技術，以在執行勒索軟體負載之前禁用端點檢測系統。該惡意軟體通過組策略對象 (GPO) 傳播，加密 Windows 和 Linux 系統上的檔。

 

此次攻擊破壞了 KD Panels 的監控和數據採集 (SCADA) 系統，導致生產線暫時關閉，洩露包括工業控制面板藍圖，客戶與能源行業運營商簽訂合同，員工個人身份資訊 (PII) 多達 450 GB 的數據。

 

Crazyhunter 的運營目標從醫療保健轉向工業目標，表明其對具有混合 IT/OT 環境的組織進行了更精細的定位。

 

美國司法部已將 Crazyhunter 列入其網路通緝犯名單。該公司已聘請CrowdStrike和 Palo Alto Networks 的事件回應團隊來控制漏洞，同時通過隔離備份系統維持部分運營。

 

鏈接：

https://cyberpress.org/kd-panels-crazyhunter-ransomware/

 

 

2.CVE-2024-27564漏洞被利用攻擊ChatGPT，一周內攻擊次數超萬次

 

網路安全公司 Veriti 在其最新研究報告中發現，“ OpenAI 的 ChatGPT 基礎設施”中的漏洞正在被積極利用。

 

CVE-2024-27564，這是一個伺服器端請求偽造 (SSRF) 漏洞，在一周內都來自“一個惡意 IP 地址”的攻擊記錄達 10,479 次攻擊嘗試。

 

此次攻擊影響全球，美國遭受攻擊最高，為 33%，其次是德國和泰國，均為 7%。其他受影響地區包括印尼、哥倫比亞和英國。

 

金融行業是這些攻擊的主要目標。這是因為銀行和金融科技公司嚴重依賴人工智慧驅動的服務和 API 集成，這使得它們容易受到SSRF 攻擊，從而危及內部資源和敏感數據。金融機構可能遭受的後果包括數據洩露、未經授權的交易、監管處罰和巨大的聲譽損害。

 

攻擊者是機會主義者，會利用他們遇到的任何漏洞，無論其嚴重程度如何。因此，漏洞優先順序排序不應僅依賴於嚴重程度評分，因為攻擊趨勢可能會迅速轉變，曾經被認為無關緊要的漏洞可能會成為受青睞的攻擊媒介。

 

為了減輕與CVE-2024-27564相關的風險，建議安全團隊立即檢查其 IPS、WAF 和防火牆配置，並且積極監控日誌，以查找來自已識別惡意 IP 地址的攻擊嘗試，並在其風險管理策略中優先評估與 AI 相關的安全漏洞。

 

鏈接：

https://hackread.com/hackers-exploit-chatgpt-cve-2024-27564-10000-attacks/

 

 

3.美國教師工會遭遇重大入侵，50 萬名會員資訊遭駭客攻擊

 

惡意行為者瞄準了賓夕法尼亞州教育協會 (PSEA)，這是一個代表全州教育工作者的工會。儘管賓夕法尼亞州教師工會一再保證，但是超過 50 萬名賓夕法尼亞州主要教師工會成員的敏感個人和財務數據仍在一次網路攻擊中被盜。

 

被盜數據包括出生日期，駕駛執照或州身份證，社會安全號碼，帳號，帳戶密碼，安全代碼，密碼，路由號碼，付款卡號，支付卡密碼，支付卡有效期，護照號碼，納稅人識別號，用戶名，密碼，健康保險資訊，醫療資訊。

 

洩露此類數據非常危險，因為攻擊者可能會利用這些數據或將其出售給暗網上的其他犯罪分子，用於身份盜竊、信用卡欺詐或建立虛假企業等非法目的。洩露的憑證可能會導致帳戶被接管，而財務數據可能被用於訪問銀行帳戶或進行未經授權的交易。

 

緬因州總檢察長辦公室表示，共有 517,487 人受到此次駭客攻擊的影響。PSEA 為受影響的個人提供了 12 個月的免費信用監控和身份盜竊保護服務。

 

PSEA 總結道：“我們不斷評估和修改我們的做法和內部控制，以增強我們所受保護的個人資訊的安全性和隱私性。”

 

鏈接：

https://cybernews.com/security/psea-data-breach-expose-payment-cards/

 

4.西部聯盟銀行數據洩露影響 21,899 名客戶

 

西部聯盟銀行是一家擁有超過 800 億美元資產的美國大型銀行機構，該銀行最近向近 22,000 名客戶通報了數據洩露事件。該數據洩露事件於 2024 年 10 月發現，導致敏感客戶資訊被盜。

 

攻擊者利用了第三方供應商的安全檔傳輸軟體中的零日漏洞。該漏洞由供應商於 2024 年 10 月 27 日披露，攻擊者利用該漏洞在 2024 年 10 月 12 日至 24 日期間訪問並竊取西方聯盟系統中的檔。直到攻擊者洩露了部分被盜數據後，才發現這一漏洞。

 

洩露的數據包括敏感個人資訊，例如姓名、社會安全號碼、出生日期、金融帳戶號碼、駕駛執照號碼、稅務識別號碼和護照資訊

 

該銀行為受影響的客戶提供一年的免費 Experian IdentityWorks Credit 3B 身份保護服務。

 

這些攻擊分別利用了 2024 年 10 月和 12 月修補的漏洞 (CVE-2024-50623 和 CVE-2024-55956)。供應商 Cleo 證實利用這些漏洞部署了惡意後門代碼。

 

這凸顯了及時修補和採取強大安全措施的迫切必要性，尤其是考慮到 Clop 曾針對 MOVEit Transfer、GoAnywhere MFT 和 Accellion FTA 中的零日漏洞進行攻擊。

 

鏈接：

https://dailysecurityreview.com/security-spotlight/western-alliance-bank-data-breach-impacts-21899-customers/

 

5.Collectibles.com 大規模洩密，卡片收藏家的秘密被洩露

 

收藏卡交易市場 Collectibles.com 洩露了近 90 萬名客戶的敏感資訊，暴露了客戶的卡片列表、交易記錄、全名和其他敏感資訊。

 

Cybernews 研究團隊發現並暴露了屬於 Collectibles.com（也稱為 Cardbase 的市場）的 Elasticsearch 集群。

 

據該團隊稱，Collectibles.com 的近 300GB 數據被曝光，涵蓋超過 870,000 用戶。暴露的集群包含大量數據：全名，電子郵件地址，個人資料圖片鏈接，其他用戶帳戶詳細資訊，收藏卡銷售，交易數據。

 

洩露的數據可能被用於身份盜竊、欺詐和有針對性的詐騙。例如，攻擊者可以使用姓名、電子郵件、地址和其他帳戶詳細資訊冒充暴露的個人，以他們的名義建立虛假帳戶。更令人擔憂的是，洩露交易數據和收藏卡銷售資訊可能會讓威脅者瞭解用戶的財務行為，攻擊者可以策劃針對最有價值目標的魚叉式網路釣魚活動，誘騙他們通過惡意電子郵件或短信透露更敏感的細節。此類洩密可能會損害聲譽。平臺用戶可能會對其保護數據（包括貴重物品資訊）的能力失去信任。

 

為了緩解該問題並避免將來發生類似的事故，建議：限制公共訪問並要求對 Elasticsearch 實例進行身份驗證。告知受影響的個人有關暴露情況，建議警惕網路釣魚或其他惡意攻擊。以加密形式存儲敏感數據並實施嚴格的訪問許可權。部署持續的安全監控以即時檢測和阻止可疑活動。根據相關數據保護法規評估違規行為，必要時通知當局。

 

鏈接：

https://cybernews.com/security/collectibles-marketplace-data-leak-trading-cards/

 

6.惡意軟體“DollyWay”入侵 20,000 個 WordPress 網站

 

一項名為“DollyWay”的惡意軟體操作自 2016 年以來一直在進行，它入侵了全球超過 20,000 個 WordPress 網站，並將用戶重定向到惡意網站。

 

在過去，它曾傳播勒索軟體和銀行木馬等更具危害性的負載。根據 GoDaddy 研究員 Denis Sinegubko 的說法，DollyWay 最新版本 (v3) 已作為大型詐騙重定向系統發揮作用。

 

DollyWay v3 是一種高級重定向操作，它利用插件和主題上的 n-day 漏洞來攻擊易受攻擊的 WordPress 網站。

 

截至 2025 年 2 月，DollyWay 每月通過將 WordPress 網站訪問者重定向到虛假的約會、賭博、加密和抽獎網站產生 1000 萬次欺詐性展示。

 

該活動通過流量引導系統 (TDS) 篩選訪客後，通過 VexTrio 和 LosPollos 聯屬網路實現盈利。

 

流量分配系統會根據訪問者的各個方面（例如其位置、設備類型和引薦來源）分析和重定向網路流量。網路犯罪分子通常使用惡意 TDS 系統將用戶重定向到釣魚網站或惡意軟體下載。

 

該網站是通過使用“wp_enqueue_script”腳本注入來入侵的，它會從受感染的網站動態加載第二個腳本。

 

第二階段收集訪問者引薦來源數據以幫助對重定向流量進行分類，然後加載決定目標有效性的 TDS 腳本。

 

沒有引薦來源、不是機器人（腳本具有 102 個已知機器人用戶代理的硬編碼列表）並且不是登錄的 WordPress 用戶（包括管理員）的直接網站訪問者被視為無效，不會被重定向。

 

第三階段選擇三個隨機受感染的站點作為 TDS 節點，然後從其中一個站點加載隱藏的 JavaScript，執行最終重定向到 VexTrio 或 LosPollos 詐騙頁面。

 

值得注意的是，僅當訪問者與頁面元素交互（點擊）時才會發生最終重定向，從而避開僅檢查頁面加載的被動掃描工具。

 

Sinegubko 解釋說，DollyWay 是一種非常持久的威脅，每次加載頁面時都會自動重新感染網站，因此刪除它特別困難。它通過將其 PHP 代碼傳播到所有活動插件來實現這一點，同時還添加包含混淆的惡意軟體片段的 WPCode 插件的副本（如果尚未安裝）。作為攻擊的一部分，駭客將 WPCode 從 WordPress 插件列表中隱藏，以便管理員無法查看或刪除它，從而使消毒變得複雜。

 

DollyWay 還會創建以隨機的 32 個十六進制字串命名的管理員用戶，並將這些帳戶隱藏在管理面板中。只有通過直接資料庫檢查才能看到它們。

 

GoDaddy 分享了與 DollyWay 相關的攻擊指標 (IoC) 的完整列表，以幫助防禦此威脅。 

 

鏈接：

https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/

 

7.黑客正在利用人工智能工具對數百萬個應用程式進行逆向工程——這給安全專業人員帶來了嚴重破壞

 

Digital.ai 的最新研究表明，針對客戶端應用程式的攻擊顯著增加可能是由於網路犯罪分子越來越多地使用人工智能工具造成的。

 

研究發現，超過八成的應用程式不斷受到攻擊，與去年相比增加了近 20%。所有行業的攻擊率都在快速上升，其中最顯著的是電信行業，超過九成的組織受到過攻擊，其次是金融服務業，占88%。值得注意的是，醫療保健和汽車等行業現在面臨著重大威脅，86%的汽車應用程式和79%的醫療保健相關應用程式受到攻擊。

 

該研究特別強調了“儀器攻擊”的興起，這種攻擊涉及動態代碼修改或掛鉤 Frida 等框架。研究人員發現，這種情況在 Android 上更為常見，發生率為 82%，而 iOS 上僅為 44%。

 

有效且免費的人工智能工具使得威脅行為者比以往更容易對其中許多應用程式進行逆向工程、分析和利用。它也催生了一個蓬勃發展的威脅行為者社區，其中許多人正在利用 Frida 和 Ghidra 等逆向工程工具來分享想法、技巧和竅門。與此同時，人工智能工具正在推動惡意軟體的進一步快速發展，同時支持威脅行為者進行源代碼分析。

 

霍爾特說： “隨著人工智能成倍地提高威脅行為者的能力，企業必須大幅提高保護和監控所有應用程式免遭逆向工程、篡改和中間人攻擊的能力。”“交付沒有這些安全保護的應用程式就好比讓你的前門不鎖而敞開一樣。”

 

鏈接：

https://www.itpro.com/security/ai-tools-cyber-crime-application-exploits

 

 

信飛科技有限公司

2025年3月