看一下最新的网络安全新闻:Trello 1500 万封企业邮箱被盗,卡巴斯基退出美国,Revolver Rabbit 正在用它们做什么 500,000 个域名AT&T 数据泄露和 信息窃取恶意软件 通过 Facebook 广告活动分发。 让我们来看看!
黑客论坛上公布了 1500 万 Trello 用户的企业邮箱地址
威胁行为者分享 超过 1500 万个企业邮箱地址 Trello 用户使用不安全的 API(应用程序编程接口)。
Atlassian 的 Trello 是企业中相当常见的在线项目管理工具,用于组织任务。 威胁行为者的名字是“情绪化”,并在一月份访问了 15,115,516 名 Trello 成员的企业邮箱帐户。个人资料数据是公开信息,但个人资料还包含 非公开企业邮箱地址。
Emo 解释说,它使用不安全的 REST API 收集数据,该 API 允许开发人员使用他们的 Trello ID、企业邮箱或用户名查询任何个人资料的公共信息。 威胁演员 创建了一个数据集 拥有 5 亿个企业邮箱地址,并将它们传递给 API 以查明其中是否有任何链接到 Trello 帐户,以及 访问量达 1500 万次。
这 数据可供出售 位于 Breached 黑客论坛上,包含公共 Trello 帐户信息、企业邮箱地址和全名,威胁行为者可使用这些信息进行有针对性的网络钓鱼攻击和人肉搜索。
阿特拉斯 确认的 这种对 API 的滥用是 一月份发现 2024年,他们 做了改变 防止未经身份验证的用户/服务发出请求。
Revolver Rabbit 团伙注册了 50 万个域名以进行恶意软件攻击
Revolver Rabbit 网络犯罪团伙已注册超过 50 万个域名 针对 Windows 和 Mac 系统 与信息窃贼。
威胁参与者使用注册域名生成算法 (RDGA) 自动注册多个域名。 不久。 这些类似于威胁行为者通常用于潜在 C2(命令和控制)通信目的地的 DGA。 DGA 通常嵌入恶意软件菌株中,并且只有少数生成的域,但 RGDA 坚持威胁行为者和 注册所有域名 哪些可用。
Infoblox 的研究人员发现了 Revolver Rabbit 使用 RDGA 购买 50 万个域名的消息,他们还表示,威胁行为者正在使用这些域名来传播信息窃取程序 XLoader,以运行恶意文件并收集敏感数据。 命名格式 对于域,它是用连字符连接的一个或多个字典单词,后跟一个五位数字。 这里有些例子:
- 应用程序软件开发培训 52686(.)bond
- 监控和安全摄像机-42345(.)bond
- 便携式空调胸罩 9o(.)bond
Infoblox 已 跟进 “左轮兔”活动已近一年,该团伙的恶意操作十分广泛,包括传播恶意软件、诈骗、 将流量路由到恶意位置以及网络钓鱼和垃圾邮件活动。
卡巴斯基终止在美国的业务
卡巴斯基实验室,最大的实验室之一 俄语 网络安全组织和防病毒软件供应商发表声明称他们将开始 停止所有操作 在美国
该消息是对 OFAC 制裁 (美国财政部外国资产控制办公室)对卡巴斯基实验室 12 名高管的指控。 该决定是广泛调查的结果,调查揭露了该组织在美国的业务 对国家安全构成风险 由于俄罗斯政府的网络能力和对该组织运营的影响力。
OFAC 还强调,使用卡巴斯基产品和服务的任何个人或公司均需承担所有网络安全风险。 该组织是 禁止销售软件 并于 2023 年 9 月 29 日提供所有防病毒更新。
该组织分享说 会逐渐减少 在美国的所有业务以及 取消所有驻美国的职位 从 2024 年 7 月 20 日起。
AT&T 数据泄露泄露了 1.09 亿客户的通话记录
在其他新闻中,AT&T 警告用户存在大规模数据泄露,威胁行为者设法携带数据潜逃。 近1.09亿客户的通话记录。
日志存储在 在线数据库 在该组织的 Snowflake 帐户上。 它们于今年 4 月 14 日至 25 日期间被盗,之后 AT&T 向 SEC 提交了 8-K 表格,表明被盗信息是 通话和短信录音 AT&T 移动用户及其 MVNO(移动虚拟网络运营商)的客户。
被盗数据包括电话号码、互动次数、总通话时长和 蜂窝基站识别号暴露的数据不包括任何客户姓名或通话或短信内容,但被盗数据不包括 暴露身份 恶意行为者可以使用它来关联通信元数据和公开信息。
AT&T 有 已经通知警方 攻击发生后,该公司开始与网络安全专家合作,并两次获得美国司法部的延迟公开通知许可。 AT&T 表示,执法部门已经逮捕了与此案有关的个人,并且该组织正在实施行业领先的反网络钓鱼保护措施,以防止网络钓鱼事件的发生。 阻止类似的未经授权的尝试 发生在未来。
所有受该漏洞影响的现有和前任客户很快就会 接收有关该做什么的通知同时,您可以使用中提供的链接 AT&T 通知 检查您的电话号码数据是否已泄露。 你也可以 下载并检查 什么数据被盗了。
Windows 桌面主题的 Facebook 广告传播信息窃取恶意软件
威胁行为者利用商业页面和 Facebook 广告将病毒感染无辜受害者。 SYS01 密码窃取恶意软件。
该活动是 发现 Trustwave 的研究人员分享了威胁行为者的信息 推广 Windows 主题免费游戏下载和应用程序软件激活破解。 他们是 通过商业页面推广威胁行为者劫持现有页面并冒充公司身份,从而误导现有用户群。
恶意行为者为不同的活动提供数千个广告,当用户点击其中一个广告时,他们会被重定向到设计为广告推广内容下载页面的网页。 如果您单击下载按钮,浏览器 下载 ZIP 文件存档 其中包含信息窃贼SYS01。 该恶意软件是 非常有能力 并包含一个 大量可执行文件DLL 和 PowerShell 以及 PHP 脚本可帮助恶意行为者从受感染的系统中窃取数据和恶意软件。
图片来自 truelist.co
信息窃取恶意软件运行在 虚拟环境帮手 逃脱检测 并在系统中建立持久性,删除浏览器 cookie、浏览器 ID 和加密货币钱包。 被盗的数据在发送给威胁行为者之前会暂时存储在一个文件夹中,威胁行为者使用被盗的凭据劫持更多帐户进行恶意广告。
该活动还在其他社交网络上传播,例如 领英和 YouTube。 保护自己的最佳方法是确保您拥有强大的恶意软件防护、避免这些广告,并且 不要下载 任何事物 来源不可靠。
Leave A Comment