安全新聞週報 20250407~0413

 

1.惡意的Python包針對流行的加密貨幣庫竊取敏感數據

 

最近，網路安全專家發現了一起針對加密貨幣應用開發者的新穎複雜的軟體供應鏈攻擊。

 

攻擊者創建了兩個惡意的Python包，bitcoinlibdbfix和bitcoinlib-dev，並上傳到Python包索引（PyPI），目的是竊取敏感的資料庫檔。

 

兩個軟體包試圖用惡意代碼覆蓋合法的clw命令行介面。

 

惡意代碼旨在竊取敏感的資料庫檔，可能危及加密貨幣錢包和交易的安全。

 

這次事件凸顯了針對加密貨幣領域的軟體供應鏈攻擊日益複雜的程度。

 

根據報告，先進的機器學習（ML）演算法，檢測到了這些軟體包的惡意行為。在檢測此類威脅時，使用AI和ML變得越來越關鍵，因為攻擊者正在進化其策略以繞過傳統安全措施。

 

在這些威脅能夠造成廣泛損害之前識別並緩解它們對於維護加密貨幣應用程式的完整性和保護用戶資產至關重要。

 

這些惡意包的發現突顯了網路安全專家與加密貨幣空間中的攻擊者之間的持續鬥爭。

 

隨著軟體供應鏈攻擊變得更加頻繁和複雜，像AI自動化檢測系統在保護數字經濟方面變得不可或缺。

 

鏈接：

https://gbhackers.com/malicious-python-packages-target-popular-cryptocurrency-library/

 

2.勒索軟體團夥通過洩露站點帖子來竊取數據並勒索組織

 

2025年第一季度，勒索軟體攻擊繼續保持令人擔憂的趨勢，威脅行為者採用以數據洩露和通過洩露站點帖子進行敲詐的複雜策略。

 

根據最新情報，第一季度有80個活躍的勒索軟體團夥，自1月1日以來新增了16個，而2024年第四季度活躍的13個團夥已經沉默。

 

製造業組織仍然是主要目標，占包含受害者行業資訊的618個洩露站點帖子的22%，商業服務占比11%，醫療和建築各占10%。

 

最為活躍的兩個團夥ClOp和RansomHub表現出異常高的活動水準，僅ClOp在第一季度就發佈了413個洩露站點帖子，二月份更是達到了驚人的345個。

 

網路安全專家指出一個顯著的趨勢：勒索軟體團夥正在將其非法所得重新投資以獲取新的利用工具。

 

證據來自2月洩露的Black Basta聊天記錄顯示，勒索軟體團夥在購買零日漏洞利用，其中一名賣家以20萬美元的價格出售了一個未認證的遠程代碼執行漏洞利用，針對Ivanti Connect Secure。

 

這一再投資週期推動了更加複雜的攻擊行為，並展示了這些犯罪組織的財務成熟度。初始訪問向量差異很大，但通常包括漏洞利用、釣魚活動以及受感染的遠程桌面協議（RDP）連接。一旦進入，攻擊者會迅速進行偵察、憑證竊取、橫向移動，並最終進行數據洩露，之後部署加密載荷。

 

一些團夥，尤其是LockBit,雇傭Living off the Land (LOTL)技術，利用受害者環境中已經存在的合法工具來逃避數周或數月的檢測。

 

雙重勒索方法已成為勒索軟體生態系統中的標準做法，不僅加密關鍵系統，還會竊取敏感數據並在未滿足贖金要求時威脅在專門的洩露網站上公佈這些數據。

 

贖金要求從10,000美元到600,000美元不等，支付期限從48小時到90天不等。

 

現代勒索軟體運營的基礎是勒索軟體即服務（RaaS）商業模式，這極大地降低了網路犯罪分子的技術門檻。

 

這種模式將勒索軟體的開發者和運營商分開，創造了一個生態系統，在這個生態系統中，專業技能可以有效地變現。

 

類似Lynx這樣的團體提供的附屬儀錶板包括受害者的檔案頁面、運營新聞、更新以及針對多種系統架構的可執行檔的“一站式”存檔。

 

分支機構通常會收到任何贖金的70-80%，其餘部分將流向勒索軟體開發人員。這種安排鼓勵廣泛部署，同時保持對惡意軟體本身的品質控制。

 

新興組織如Anubis進一步通過包括對受害者據稱安全漏洞的新聞報導在內的惡意服務元素，來發展這種模式。

 

這種額外的公開羞辱增加了受害者的壓力，通過精心設計的社交媒體活動，旨在最大限度地損害聲譽和迫使支付。

 

隨著勒索軟體運營在技術和結構上不斷發展，組織必須優先考慮包括多因素身份驗證、持續補丁管理和全面的攻擊面監控在內的安全基礎，以降低成為下一起勒索軟體洩露新聞頭條的風險。

 

鏈接：

https://cybersecuritynews.com/ransomware-groups-attacking-organizations/

 

3.WhatsApp存在漏洞，攻擊者可通過附件執行惡意代碼

 

WhatsApp for Windows存在一個關鍵漏洞，攻擊者可能通過看似無害的檔附件執行惡意代碼。

 

偽造漏洞（官方編號為CVE-2025-30401）影響所有Windows版本的WhatsApp Desktop，直至2.2450.6。漏洞對通過平臺發送的附件進行交互的用戶構成重大風險。

 

偽造問題的根源在於WhatsApp for Windows處理檔附件的基本缺陷。

 

根據官方安全公告，該應用程式根據附件的MIME類型顯示附件，但根據附件的檔擴展名選擇檔打開處理程式。

 

當用戶在WhatsApp中收到附件時，應用程式會根據其MIME類型顯示檔類型（例如，將其顯示為圖像），而操作系統則根據其擴展名決定如何打開檔（例如，.exe）。

 

攻擊者可以使用誤導性的MIME類型和文件名擴展名組合構建一個檔，導致用戶在手動打開看似無害的附件時無意中執行了任意代碼。

 

攻擊向量特別令人擔憂，因為它利用了用戶的信任。網路罪犯可以在WhatsApp中發送一個看似普通的圖片檔，但附件實際上可能有可執行檔擴展名。

 

當收件人直接在WhatsApp中打開這個附件時，他們可能會不知情地執行潛在的惡意代碼，而不是查看附件。

 

WhatsApp母公司Facebook的官方建議稱：“惡意設計的不匹配可能導致收件人在手動打開WhatsApp內部附件時無意中執行任意代碼，而不是查看附件。”該漏洞的摘要如下：

受影響的產品：WhatsApp Desktop for Windows版本從0.0.0到但不包括2.2450.6。

危害：通過偽造檔附件執行任意代碼。

利用的前提：可以進行遠程攻擊，需要向受害者發送惡意檔附件。

CVSS3.1評分：高

CVE-2025-30401被評為高嚴重級別，因為它可能會執行遠程代碼，導致未經授權的系統訪問或數據竊取。

 

安全分析師指出，此漏洞在群聊場景中尤其危險，惡意附件可能同時感染多名受害者。

 

這並不是消息平臺第一次面臨類似的安全挑戰。2024年，安全研究員在WhatsApp的Windows中發現了一個單獨的漏洞，該漏洞允許在打開Python和PHP腳本時沒有警告地執行。

 

強烈鼓勵WhatsApp的Windows用戶立即更新他們的應用程式到2.2450.6或更高版本，以解決欺騙漏洞。

 

鏈接：

https://cybersecuritynews.com/whatsapp-for-windows-vulnerability/

 

4.Hellcat Ransomware更新了它的Arsenal，以攻擊政府，教育和能源部門

 

自2024年年中首次出現以來，一種名為“地獄貓”（Hellcat）的複雜勒索病毒已成為網路安全領域的一個可怕威脅。這種惡意軟體的能力迅速發展，特別是針對政府機構、教育機構和能源基礎設施等關鍵部門。

 

這個組織不僅僅是加密數據；他們將心理戰術武器化，利用以前不為人知的弱點，最大限度地影響受害者的行動，並增加贖金支付。

 

該勒索軟體以勒索軟體即服務（RaaS）的模式運作，允許分支機構部署惡意軟體，同時與其開發者分享利潤。

 

這種商業模式加速了Hellcat在全球各個領域的擴散，攻擊的複雜性不斷增加。

 

該組織採用雙重勒索策略，在加密之前竊取敏感數據，並威脅稱，如果不支付贖金，將公開披露。

 

網路安全研究人員發現了Hellcat的高級漏洞攻擊能力，並指出它成功利用了零日漏洞，包括最近在Atlassian Jira發生的一個漏洞，從而在目標環境中獲得了初步的立腳點。

 

他們的分析顯示，Hellcat通過一種多階段的攻擊方法，表現出非凡的能力，利用反射代碼加載技術直接在內存中執行惡意代碼，有效地避開基於檔的安全解決方案的檢測。

 

地獄貓的影響已經特別嚴重的多個實體在不同的行業，使他們成為一個嚴重的威脅全球組織。

 

安全專家注意到一個令人擔憂的趨勢，越來越多針對關鍵基礎設施的攻擊，這表明該組織的戰術越來越精細化，目標選擇也越來越有戰略意義。

 

Hellcat的攻擊鏈開始於通過包含惡意附件的魚叉式網路釣魚郵件或利用面向公眾的應用程式（通常利用零日漏洞）進行初始訪問。

 

成功入侵後，攻擊者會部署一個複雜的多階段PowerShell感染鏈，通過修改Windows註冊表運行鍵建立持久性，確保惡意腳本在用戶登錄時自動執行。

 

然後PowerShell腳本連接到攻擊者控制的基礎設施，下載後續有效載荷，同時使用AMSI旁路技術禁用或修改安全工具。

 

最後一步是通過shellcode有效載荷部署SliverC2，這是一個命令-控制框架。shellcode有效載荷可以授予對受攻擊環境的持久遠程訪問許可權。

 

對於橫向移動，Hellcat利用“生活在陸地上”的二進位檔，如Netcat和Netscan，以融入合法的網路活動，使檢測特別具有挑戰性。

 

鏈接：

https://cybersecuritynews.com/hellcat-ransomware-updated-its-arsenal/

 

5.駭客在Apple Pay和穀歌錢包背後隱藏了NFC卡

 

網路犯罪分子設計了複雜的方法，通過流行的移動支付平臺利用近場通信（NFC）技術。

 

這些攻擊者現在利用Apple Pay和穀歌錢包進行未經授權的交易，他們通過網路釣魚操作獲得受害者的信用卡憑證。

 

該方案包括將被盜的支付卡資訊與欺詐的移動錢包帳戶相關聯，使犯罪分子能夠使用受害者的資金進行非接觸式支付，而無需使用實體卡。

 

攻擊通常始於受害者遇到模仿快遞服務、線上零售商或公用事業支付門戶的欺騙性網站。

 

不知情的用戶被提示連接他們的支付卡或進行小額驗證支付，這需要輸入完整的銀行卡資訊，並通過一次性密碼（OTPs）確認所有權。

 

這些細節不是處理合法交易，而是立即傳遞給等待的網路罪犯。

 

卡巴斯基的研究人員發現，這些操作幾乎達到了工業規模，欺詐者獲取大量智能手機，創建多個蘋果或穀歌帳戶，並系統地安裝非接觸式支付應用程式，以促進他們的計畫。

 

根據他們的調查，攻擊者使用專門的軟體生成受害者銀行卡的完美數字副本，然後直接拍照進入移動錢包應用程式，以實現即時鏈接。

 

使這些攻擊特別有效的是憑證竊取和資金提取之間的顯著時間延遲。

 

網路犯罪分子通常要等上幾周甚至幾個月才能使用受損的卡，到那時受害者可能已經忘記了可疑的網站互動。

 

當交易最終發生時，通常是在實體店購買奢侈品，或者通過支持nfc功能的智能手機在ATM上取款，這兩種交易都不需要額外的PIN或OTP驗證。

 

NFC技術的應用代表了支付欺詐技術的重大發展，它將數字和物理元素相結合，創造出難以通過傳統安全措施檢測和追蹤的方案。

 

這個欺詐生態系統的核心是一種被稱為“幽靈Tap”的NFC中繼技術，安全專家認為這種技術特別危險，因為它可以繞過傳統的反欺詐措施。

 

這種方法需要在兩個獨立的智能手機上安裝合法的應用程式，如NFCGate——一個包含裝有被盜卡的錢包，另一個用於實際支付。

 

中繼應用程式通過加密的互聯網連接將錢包的NFC數據即時地從第一個設備傳輸到第二個設備的NFC天線，然後由被稱為“騾子”的犯罪分子在支付終端呈現。

 

這種方法的技術複雜性在於它在跨距離中繼時保持信號完整性的能力。

 

支付終端和atm無法區分中繼的NFC信號和合法的NFC信號，使得檢測異常困難。

 

如果安全人員逮捕了支付騾子，他們的設備只包含合法軟體，而沒有被盜卡憑據的直接證據，這些憑據仍然安全存儲在策劃者的遠程設備上，這些設備通常位於完全不同的地理區域。

 

鏈接：

https://cybersecuritynews.com/hackers-hiding-nfc-carders/

 

6.新加坡銀行遭遇勒索軟體攻擊：星展銀行和中國銀行受影響

 

新加坡星展銀行（DBS Bank）和中國銀行（Bank of China）新加坡分行遭遇數據洩露，影響到數千名客戶。這次入侵源於對兩家銀行都使用的列印服務提供商Toppan Next Tech的勒索軟體攻擊。

 

星展銀行報告稱，大約有8200名客戶可能受到影響，主要是星展唯達經紀公司和現金線短期貸款的用戶。中國銀行新加坡分行表示，約有3000名客戶受到影響。

 

Toppan在2024年12月至2025年2月期間列印的聲明和信件中包含了被洩露的數據，包括姓名、郵政地址和所持股票（DBS Vickers）或Cashline貸款的資訊。據星展銀行稱，至關重要的是，登錄憑據、密碼、存款餘額和總持有額都沒有被洩露。中國銀行證實，被洩露的數據可能包括姓名、地址，在某些情況下還包括貸款帳號。

 

新加坡網路安全局（CSA）和新加坡金融管理局（MAS）正在就該事件與銀行展開合作。DBS在4月5日收到了入侵的通知。Toppan承認了對其Joo Koon Circle設施的勒索軟體攻擊，並表示，他們立即切斷了攻擊者的網路訪問，正在進行現場調查和安全審計。

 

星展銀行強調，目前沒有證據表明該事件導致了未經授權的交易。受影響的客戶主要使用星展唯達和Cashline服務。中國銀行的聲明反映了對客戶資金安全和採取積極措施解決問題的重視。

 

鏈接：

https://dailysecurityreview.com/security-spotlight/singapore-banks-suffer-ransomware-attack-dbs-and-bank-of-china-affected/

 

7.特別財會：去年網路安全攻防演練耗130萬　今年開支預算400萬

 

多個政府部門及公營機構曾受到駭客入侵，數字政策辦公室去年曾舉行首次網路安全攻防演練，並計畫在今年下半年舉辦新一輪的實境網路安全攻防演練，並擴大演練規模，以提升演練成效。有關專案於上年度的開支約為130萬港元，2025/26年度的預算開支則約為400萬港元。

 

創新科技及工業局局回復議員就特別財委會的提問，指去年11月進行的首次的實境網路安全攻防演練，參與機構包括由9個政府部門和3間公共機構組成的15支防守隊，及由網路安全業界專家和學界組成的5支攻擊隊。

 

除了實境網路安全攻防演練，當局指數字辦亦會定期及持續對政府面向公眾的資訊科技系統進行安全檢查及滲透測試，以及每年選定8個政府資訊系統進行深入資訊保安遵行審計，以確保各局及部門遵從《政府資訊科技保安政策及指引》的規定。

 

當局指政府各局及部門亦會透過內部資源及「基本工程儲備基金電腦化計畫」下的整體撥款申請經費，以推行與資訊保安相關專案。在2024/25年度及2025/26年度，局及部門由「基本工程儲備基金總目710電腦化計畫」申請撥款推行與資訊保安(包括網路安全)相關專案的開支分別是6.36億港元及7.73億港元(預算開支)。

 

鏈接：

https://hk.on.cc/hk/bkn/cnt/news/20250410/bkn-20250410110814413-0410_00822_001.html

 

8.Senseata Technologies受到勒索軟體攻擊，影響運營

 

Senseata Technologies（簡稱Senseata）上週末遭受了勒索軟體的攻擊，該攻擊加密了公司的部分網路，擾亂了公司的運營。

 

在交給美國證券交易委員會（SEC）的8-K檔中，Senseata表示，攻擊發生在4月6日周日，涉及數據竊取。通知中寫道：“該事件暫時影響了運營，包括運輸、接收、製造生產和各種其他支持功能。”

 

Senseata是一家工業技術公司，開發、製造和銷售各種感測器和豐富的感測器解決方案，以及電氣保護組件和系統。公司產品用於汽車、航空航太和工業應用。2023年，Senseata的年收入達到40億美元。

 

Senseata表示，他們已經立即採取行動，加快受網路攻擊影響的關鍵功能的恢復過程。然而，該公司無法提供完成這項工作的時間表。

 

在外部網路安全專家的協助下進行的初步調查證實，駭客從該公司網路中竊取了數據。

 

數據盜竊是勒索軟體行為者勒索受害者的常用策略，增加了支付贖金的壓力，並製造了法律和監管的複雜性。

 

目前，Senseata仍在確定哪些檔在攻擊中被盜，並將根據調查結果，根據需要通知受影響的個人和監管機構。

 

該公司預計，在截至今年6月30日的當季，其財務業績不會受到任何實質性影響。

 

鏈接：

https://www.bleepingcomputer.com/news/security/sensata-technologies-hit-by-ransomware-attack-impacting-operations/

 

9.英國中小企業每年因網路事件損失超過30億英鎊

 

沃達豐商業（Vodafone Business）發佈的一份報告顯示，由於網路安全措施不到位、不符合目的，英國的中小企業（SMEs）每年損失34億英鎊，超過30%的企業沒有任何形式的安全保護措施，超過四分之一的企業每年都被攻擊多次。

 

沃達豐（Vodafone）的報告《確保成功：網路安全在中小企業增長中的作用》（Securing success: the role of cyber security in SME growth）發現，小企業一次網路攻擊的平均成本約為3400英鎊，雇員超過50人的組織則升至5000英鎊。

 

沃達豐承認，中小企業在應對威脅環境時遇到了困難，預算限制、技能差距和業務優先順序競爭都影響了它們實施全面安全戰略的能力。

 

例如，超過三分之一的受訪企業沒有給員工進行安全培訓，超過三分之一的企業每年的安全支出總額不到100英鎊，近三分之二的企業允許員工使用自己的設備在家工作，這大大增加了他們的風險。

 

“網路威脅正變得越來越複雜，中小企業越來越多地成為網路罪犯的目標。投資強大的網路安全不再是可有可無的——這是保護敏感數據、保持客戶信任和確保長期彈性的商業當務之急，”沃達豐商業英國首席執行官尼克·格裏登表示。

 

“中小企業無法獨自應對這一挑戰。企業、行業領袖和政府當局之間加強合作，對於為這些企業提供加強網路防禦所需的資源、教育和支持至關重要。通過共同努力，我們可以創造一個更安全的數字環境，使中小企業能夠在一個聯繫日益緊密的世界中充滿信心地成長。”

 

沃達豐（Vodafone）今天敦促政府採取更多措施，使安全工具變得負擔得起，最重要的是，對中小企業具有可擴展性。它呼籲英國政府加強其“本地網路計畫”（Cyber Local initiative），該計畫旨在根據中小企業的規模和位置為其提供量身定制的支持，但僅限於英格蘭和北愛爾蘭的某些地區，其資金儲備僅為130萬英鎊。

 

它還建議更新國家網路安全中心（National Cyber Security Centre，NCSC）的網路必需品計畫，聲稱該計畫未能充分惠及許多仍不知道其存在的中小企業。它還建議，可以利用稅收抵免或專門的資本補貼等金融工具來激勵安全投資。

 

TechUK首席運營官馬修•埃文斯（Matthew Evans）表示，這份報告清楚地闡述了網路事件對英國中小企業群體的重大影響。

 

他說：“TechUK呼籲政府的產業戰略更注重提高英國中小企業的技術採用，以提高生產率，並認識到網路彈性是增長不可或缺的一部分。”“這份報告的調查結果和建議進一步強調，需要給予中小企業應有的關注，並支持他們實施強有力的計畫，以建立和提高他們的網路彈性。”

 

歸根結底，網路安全是促進增長的因素。保護數字資產可以建立客戶信任，推動創新並開拓新市場。隨著中小企業繼續數位化，投資智能驅動的安全解決方案不僅僅是為了防禦，而是為了確保長期成功。

 

鏈接：

https://www.computerweekly.com/news/366622019/UK-SMEs-losing-over-3bn-a-year-to-cyber-incidents

 

 

 

信飛科技有限公司

2025年4月