安全新聞週報 20250414~0420

 

1.摩洛哥調查阿爾及利亞駭客聲稱的重大數據洩露事件

 

摩洛哥國家社會保障基金（CNSS）證實，對社交媒體上流傳的洩密檔進行初步核查後，發現大部分資訊都是虛假、不准確或不完整的。

 

CNSS已啟動安全協議，展開內部調查，並警告公民不要共用可能偽造的數據。

 

國家社會保障基金（CNSS）進行的初步核實程式確定，社交媒體平臺上流傳的檔據稱是通過網路攻擊獲得的，其中包含大量虛假、不准確或不完整的資訊。

 

在週三發佈的一份官方聲明中，該基金承認其電腦系統成為了一系列旨在繞過安全措施的網路攻擊的目標。

這些攻擊導致了數據洩露，安全專家仍在評估其完整程度和來源。

 

CNSS強調，初步分析顯示，洩露的資訊與該組織保存的實際記錄之間存在重大差異。

 

基金說，對共用檔的全面審查顯示有許多不一致之處，使人懷疑檔的真實性和完整性。

 

安全小組仍在繼續進行詳細評估，以確定哪些系統被入侵，哪些具體數據可能在入侵期間被訪問。

 

CNSS已向利益相關者保證，他們正在認真對待這一情況，並努力瞭解事件的全部範圍。

 

在發現數據洩露後，CNSS立即啟動資訊技術安全協議，並採取糾正措施遏制攻擊者利用的漏洞。

 

根據聲明，這些及時的行動成功地填補了攻擊中使用的安全缺口，並加強了整體基礎設施，以防止進一步的入侵。

 

該基金已部署額外資源，以準確查明所有可能受到影響的數據，並評估入侵對其系統和用戶的全面影響。

 

本組織重申，保護個人數據和用戶資訊保密仍然是其業務的絕對優先事項。

 

為全面解決這一問題，CNSS已展開徹底的內部行政調查，以確定入侵是如何發生的，並查明可能導致該事件的任何程式或技術缺陷。

 

這次調查的目的不僅是瞭解目前的入侵事件，而且要透過加強保安措施，防止將來發生類似的事件。

 

CNSS在其官方通信中證實，它已就網路攻擊和隨後的數據洩露正式通知了相關司法當局。本通知已引發法律訴訟，追究那些違反和未經授權的數據傳播的責任。

 

聲明最後向所有公民和媒體發出強烈呼籲，敦促他們對洩露的資訊保持警惕和責任。

 

CNSS明確警告任何傳播或分享洩露或偽造數據的行為，並指出參與傳播此類資訊的個人可能會面臨法律後果。

 

這一警告強調了那些進一步傳播被洩露數據的人可能面臨的法律後果，無論他們是否參與了最初的洩露。

 

該組織強調了在這一敏感形勢下資訊核實和負責任的數字公民身份的重要性。

 

鏈接：

https://gbhackers.com/morocco-investigation-major-data-breach-allegedly-claimed/

 

2.現在有160萬人擁有從保險IT業務中竊取的社交網路

 

德克薩斯州一家為美國保險公司提供後端IT和其他服務的公司承認，其資訊被盜的人數是之前披露的兩倍。

 

地標管理公司（Landmark Admin）去年10月披露，網路入侵者從其伺服器竊取了超過80萬人的數據。被盜的數據包括客戶的姓和名、地址、社會保險號、稅務識別號、駕照號碼和國家頒發的身份證、護照號碼、金融帳戶號碼、醫療資訊、出生日期、健康保險政策號以及人壽和年金政策資訊。

 

雖然這些資訊包括了網路釣魚者或身份竊賊想要的所有其他資訊，但是沒有信用卡資訊被竊取。

 

在上周的一份檔中，Landmark通知緬因州監管機構，受影響的人數實際上是1613773人。

 

在去年年底致客戶的一封信中，Landmark表示，5月13日，不明身份的人進入了它的伺服器，並在一天後被發現。biz表示，他們立即切斷了被入侵的機器，並召集了第三方安全機構進行調查，並承認“一些重要檔可能被未經授權的第三方入侵了。”

 

然後，一個月後，有人設法再次進入它的IT環境。竊賊加密並偷走了大量的數據——我們認為，這有點像勒索軟體——該公司及其安全支持部門表示，“沒有足夠的證據來確定哪些檔被洩露了。”這第二次攻擊導致了對IT提供商的集體訴訟。地標拒絕置評。

 

現在，Landmark為任何受到這次入侵影響的人提供12個月的信用監測，如果他們能證明危害，則提供100萬美元的保險補償政策，以及管理身份盜竊恢復服務。該公司為美國Benefit人壽保險公司、美國紀念性人壽保險公司、Capitol人壽保險公司、Continental Mutual Insurance公司、Liberty Bankers人壽保險公司和Pellerin人壽保險公司提供後端業務。

 

使用保險公司Landmark counts的大多數人從來沒有聽說過德州商業，即使它被信任處理他們的大量數據。但這正是不法分子如今所尋找的：一個易於攻擊的供應商，可以訪問大公司的大量豐厚數據。

 

這讓人想起去年Infosys McCamish Systems的混亂，該公司為保險巨頭富達投資人壽保險（Fidelity Investments Life insurance）提供後端服務。雖然在那次入侵中受到影響的人較少，但被盜的資訊卻更有價值——包括信用卡資訊、個人識別碼和密碼。

 

這是美國標準機構NIST的第二個網路安全框架的核心要點，該框架去年呼籲企業更加嚴格地檢查其第三方供應商的網路安全。

 

鏈接：

https://www.theregister.com/2025/04/15/landmark_admin_data_loss/

 

3.央視新聞報導：美國NSA針對亞冬會發起網路攻擊

 

近日，針對2025年哈爾濱第九屆亞冬會（以下簡稱：亞冬會）遭受境外網路攻擊事件，哈爾濱市公安局對美國國家安全局特定入侵行動辦公室凱瑟琳·威爾遜，羅伯特·思內爾，斯蒂芬·詹森3名美國網攻竊密人員進行懸賞通緝。

 

據悉，2025年1月26日至2月14日亞冬會期間，國家電腦病毒應急處理中心電腦病毒防治技術國家工程實驗室發佈報告稱，賽事資訊系統遭到來自境外的網路攻擊超27萬次。

 

攻擊發生後，國家電腦病毒應急處理中心和境內網路安全機構立即開展溯源調查。依託全網安全大數據和自主研製的安全大模型，成功溯源到攻擊幕後黑手為美國國家安全局（NSA），並且首次鎖定了參與網路攻擊亞冬會的NSA三名特工，以及具有NSA背景的美國加利福尼亞大學、佛吉尼亞理工大學兩所高校。

 

通過對攻擊代碼進行研判分析，發現此次攻擊利用了AI智能體進行工具方案規劃、漏洞探尋和流量監測等工作，部分代碼明顯由AI書寫，可以在攻擊過程中自動、快速編寫動態代碼實施攻擊。

 

同時，在亞冬會期間的攻擊中，美方依託所屬多家掩護機構購買了不同國家的IP地址，並匿名租用了大批位於歐洲、亞洲等國家和地區的網路伺服器，以此留下虛假線索誤導溯源方向。對此類駭客組織的溯源通常需要掌握大量安全數據，並高度依賴擁有強大知識儲備和豐富實戰經驗的安全專家進行溯源及處置。

 

鏈接：

https://www.anquanke.com/post/id/306599

 

4.新的惡意軟體ResolverRAT針對醫療保健和制藥行業

 

一種新的遠程訪問木馬（RAT），被稱為“ResolverRAT”，已被觀察到以醫療保健和制藥行業的組織為目標。

 

該惡意軟體由Morphisec威脅實驗室發現，結合了先進的記憶體執行和分層規避技術，使檢測和分析特別具有挑戰性。

 

與之前已知的惡意軟體家族（如Rhadamanthys或Lumma）不同，ResolverRAT引入了一個獨特的加載器和有效載荷架構。儘管重用了早期活動中看到的一些二進位檔和網路釣魚基礎設施，但它的內部組件和部署方法似乎是原始的。

 

該木馬使用社會工程策略獲得初始訪問許可權。在目前觀察到的攻擊中，多個國家的員工收到了用當地語言製作的網路釣魚郵件，主題是侵犯版權或法律調查。

 

ResolverRAT通過DLL側加載實現，利用已簽名但存在漏洞的可執行程式，如hpreader.exe（以前用作Rhadamanthys的加載程式）。

 

一旦加載，惡意軟體就會執行一個駐留在內存中的有效載荷，該有效載荷受AES-256加密保護，並使用GZip進行壓縮。

 

有效載荷進一步被以下代碼掩蓋了：使用數字id和加密嵌入式資源的字串混淆，具有數百個轉換的複雜解密狀態機，反射DLL加載以避免檢測。

 

該惡意軟體還註冊了一個自定義的.net處理程式來劫持資源解析，繞過傳統的監控，使該惡意軟體更難以用標準工具檢測。

 

ResolverRAT使用多種持久性方法維護訪問，包括註冊表更改和跨用戶目錄的檔放置。它實現了一個備用系統，如果一個方法失敗，它會重試其他方法。

 

它的命令-控制（C2）通信通過自定義證書驗證過程進行保護，該過程繞過了標準的根證書頒發機構。混淆的IP輪換和運行在標準端口上的自定義協議允許它融入到常規網路流量中。

 

數據導出通過分塊傳輸進行管理，最大限度地降低檢測風險。該惡意軟體使用多線程命令處理和彈性錯誤處理來避免崩潰或中斷。

 

研究人員指出，ResolverRAT的複雜程度表明，威脅行動者的技術水準很高。

 

Morphisec說：“這種資源解析器劫持代表了惡意軟體進化的最佳狀態。”

 

利用被忽視的.net機制完全在託管記憶體中運行，它繞過了傳統的針對Win32 API和文件系統操作的安全監控。

 

為了防範這樣的威脅，安全專家建議圍繞釣魚進行用戶感知培訓，部署基於行為的端點保護，並定期審計系統以防止異常記憶體活動和未授權的持久性機制。

 

鏈接：

https://www.infosecurity-magazine.com/news/malware-resolverrat-targets/

 

5.臭名昭著的4chan論壇被黑，內部數據洩露

 

臭名昭著的線上留言板4chan經歷了一次重大的安全漏洞，據報導駭客訪問並洩露了敏感的內部數據，包括源代碼、版主資訊和管理工具。

 

根據Register的說法，攻擊者獲得了對4chan伺服器的完整shell訪問許可權，使他們能夠提取敏感數據並暫時控制平臺的功能。暴露的漏洞：網站的完整PHP源代碼，包括管理發佈和報告功能的主文件“yotsuba.php”；大約218名版主、管理員和“看門人”（低級別版主）的電子郵件地址和聯繫資訊；提供訪問用戶IP地址和位置數據的後端管理面板；資料庫內容可通過網站的phpMyAdmin介面訪問。

 

安全分析人士將這一漏洞歸因於4chan過時的技術基礎設施。

 

安全研究員報告說：“這次攻擊很可能是由於4chan使用了一個非常過時的PHP版本，該版本有很多漏洞和漏洞，並且使用了廢棄的函數來與MySQL資料庫交互。”

 

一個與反對黨聯盟黨（Sharty）有關的組織聲稱對此次襲擊負責。

 

在他們平臺上的一篇帖子中，他們表示：“今天，2025年4月14日，一名駭客在4cuck的系統中運行了一年多，執行了真正的soyclipse行動，重新開放/qa/，暴露了各種4cuck員工的個人資訊，並洩漏了網站的代碼。”

 

這次襲擊的動機似乎是由於這兩個社區之間的長期緊張關係。據報導，Soyjak黨是由4chan /qa/董事會的前成員在2020年被禁後組建的。

 

攻擊者通過臨時恢復之前禁用的/qa/板並在其上塗上“U GOT HACKED XD”來展示他們對系統的控制。這一行為證實了他們已經獲得了系統內的管理權限。

 

網路犯罪監測公司Hudson Rock的聯合創始人、安全專家阿隆·加爾（Alon Gal）表示，這次攻擊“看起來是合法的”，並引用了公開流傳的顯示4chan後端基礎設施的螢幕截圖。

 

版主電子郵件的曝光可能會危及4chan長久以來承諾的匿名性。

 

據報導，一些洩露的電子郵件地址包括.edu和.gov功能變數名稱，這引發了誰一直在管理這個有爭議的平臺的問題。

 

截至撰寫本文時，4chan仍然間歇性可用，因為管理員正在努力控制洩露並恢復服務。4chan的管理層沒有就攻擊的程度或完全恢復的時間發佈官方聲明。

 

這起事件是4chan 20年曆史上最重大的安全漏洞之一，可能標誌著匿名平臺如何處理其安全基礎設施的轉捩點。

 

鏈接：

https://cybersecuritynews.com/motorious-4chan-forum-hacked/

 

5.思科Webex高危漏洞：惡意會議鏈接可觸發遠程代碼執行

 

思科Webex會議軟體近日曝出高危安全漏洞（CVE-2025-20236），攻擊者可構造特殊會議邀請鏈接，誘導用戶點擊後在其設備上執行任意代碼。該漏洞CVSS 3.1評分為8.8（高危級），已緊急發佈補丁。

 

根據思科安全公告（cisco-sa-webex-app-client-rce-ufyMMYLC），此漏洞源於Webex客戶端自定義URL解析模組存在輸入驗證缺陷（CWE-829）。當用戶點擊特製惡意會議鏈接時，客戶端未對鏈接參數進行充分校驗，導致攻擊者可實現：遠程下載任意檔，以當前用戶許可權執行系統命令，完全破壞目標系統的機密性、完整性及可用性。

 

攻擊鏈演示：攻擊者構造包含惡意代碼的Webex會議鏈接，通過釣魚郵件/消息誘導用戶點擊該鏈接，Webex客戶端解析鏈接時觸發漏洞，自動下載攻擊載荷並在用戶設備執行。

 

受影響的版本和修復方案如下：

Webex App 44.6(版本44.6.2.30589之前)，升級至44.6.2.30589+

Webex App 44.7全版本，需遷移至新版（44.8+）

注：44.5及更早版本、44.8+版本不受影響

該漏洞無臨時緩解措施，修補是唯一解決方案

 

鏈接：

https://cybersecuritynews.com/using-threat-intelligence-to-combat-advanced-persistent-threats-apts/

 

7.Interlock勒索組織新型攻擊：劫持合法網站推送惡意流覽器更新

 

2024年9月現身的Interlock勒索團夥近期升級攻擊手法，通過入侵合法網站構建多階段攻擊鏈，推送偽裝成Chrome/Edge更新的惡意安裝程式。該組織專攻歐美地區政企機構，實施雙重勒索並運營專屬數據洩露博客"全球機密站"。

 

對攻擊鏈進行深度解析，分為五個階段。

第一階段：網站劫持攻陷合法網站（如topsportracing[.]com），篡改網頁植入虛假流覽器更新提示。

第二階段：載荷投遞，誘導下載PyInstaller打包的"更新程式"，同步執行經簽名的合法軟體掩蓋惡意行為

第三階段：持久化控制，釋放PowerShell後門（支持故障轉移C2通信），收集系統指紋如用戶許可權/進程列表/網路配置等，數據經XOR加密壓縮後外傳。

第四階段：橫向滲透，根據C2指令部署竊密木馬（LummaStealer等），投遞專屬遠控工具Interlock RAT，功能包括：基於原始TCP Socket的加密通信（端口443）、檔傳輸/命令執行/持久化駐留、內網橫向移動能力。

第五階段：勒索加密，針對Windows系統實施AES加密（LibTomCrypt庫），添加專屬尾碼(.interlock)及恐嚇性勒索信，觸發自毀機制清除攻擊痕跡。

 

該團夥2025年初引入"ClickFix"技術，將社會工程術演進：偽造網站訪問故障/驗證碼頁面，誘導用戶手動執行惡意PowerShell命令，曾短暫改用安全軟體更新誘餌，測試利用Node.js白文件加載惡意DLL。

 

防禦建議：封阻IoC列表中的C2功能變數名稱及IP，部署YARA規則檢測PowerShell後門特徵，監控異常443端口TCP原始套接字通信。

 

長效防護：用戶安全意識培訓：警惕非官方更新提示，實施應用白名單策略限制PowerShell執行，強化網站防護體系，防範供應鏈攻擊。

 

鏈接：

https://cyberpress.org/interlock-ransomware-delivers-malicious-browser-updates/

 

8.重大數據洩露：保險服務商Landmark遭入侵，160萬用戶敏感資訊外泄

 

第三方保險管理服務商Landmark Admin確認發生安全事件，超160萬用戶個人資訊面臨洩露風險，涉及社會安全號、醫療記錄等核心隱私數據

 

5月13日：監測到IT系統異常活動，5月14日：確認存在未授權網路訪問。

 

對此次事件的應急回應：立即隔離受影響系統，關閉所有遠程訪問通道，引入第三方網路安全公司開展取證調查。

洩露數據類型包括：姓/名首字母和姓，物理地址，社會安全號碼（SSN），稅務識別號（TIN），駕照號碼或國家頒發的身份證，護照號碼，金融帳號，醫療資訊，出生日期，健康保險單編號，人壽及年金政策資料。

 

攻擊涉及未授權網路訪問，這是網路安全漏洞的常見載體。

 

防禦升級措施：防火牆規則強化，入侵檢測系統(IDS)升級，全系統啟用多因素認證(MFA)，遠程訪問協議重構。

 

用戶應對指南：撥打專屬熱線1-844-428-5109（90天有效）；檢查信用報告異常項（Equifax/Experian/TransUnion）；向金融機構報備欺詐風險；設置信用凍結（Credit Freeze）；啟用帳戶變動短信提醒；警惕釣魚郵件/電話索要個人資訊。

 

風險利用場景示例：

SSN+TIN組合：申報虛假稅務、開設金融帳戶。

醫療記錄+保險號：冒用身份進行醫療詐騙。

保單資訊+出生日期：實施精准保險欺詐。

 

Landmark總裁Thomas A. Munson聲明："我們正與網路安全專家深度合作，全面升級防護體系。受影響用戶將收到書面通知，並獲兩年免費信用監控服務。"

 

鏈接：

https://www.darkreading.com/cybersecurity-analytics/middle-east-north-africa-security-spending

 

 

信飛科技有限公司

2025年4月