Aggregator

LastPass 因重大数据泄露被英国 ICO 处以 120 万英镑罚款

HackerNews
1 week ago
HackerNews 编译,转载请注明出处:  英国信息专员办公室(ICO)对LastPass UK处以120万英镑罚款,此前该公司发生的数据泄露事件影响了160万人。 根据英国数据保护监管机构的调查,这家密码管理公司未能实施足够健全的技术和安全措施,导致黑客得以入侵其备份数据库。 由此引发了两起发生在2022年8月的事件。在第一起事件中,黑客获取了一名LastPass员工的公司笔记本电脑,并随后访问了公司的开发环境。 尽管攻击者未能成功窃取个人信息,但他们确实窃取了加密的公司凭证。LastPass当时认为加密密钥仍然安全,因为它们存储在黑客无法访问的公司网络某处。 随后,威胁行为者盯上了一名拥有解密密钥权限的高级员工。他们通过第三方流媒体服务的已知漏洞,成功访问了该员工的个人设备。为获取该员工的公司凭证,攻击者安装了键盘记录程序,并通过使用受信任设备Cookie绕过了多重身份验证。 获得员工的”主密码”后,黑客得以访问该员工的个人和商业LastPass保管库,其中包含亚马逊网络服务访问密钥和解密密钥。结合所收集的所有信息,攻击者最终提取了备份数据库的内容,该库包含160万人的个人信息,涵盖姓名、电子邮件、电话号码及存储的网站URL等。 ICO调查发现,由于LastPass的”零知识”加密系统,没有证据表明加密密码和其他凭证能被黑客解密。这意味着访问密码管理器保管库的主密码仅存储在员工的本地设备中,从未与LastPass共享。 针对这些事件及数据泄露造成的影响,ICO对LastPass处以120万英镑罚款。 英国信息专员约翰·爱德华兹在声明中表示:”LastPass用户有权期待其委托给公司的个人信息得到安全保护。然而,该公司未能达到这一预期,因此今天我们宣布了相应比例的罚款。” 消息来源:cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Phantom 窃取程序通过 ISO 钓鱼邮件传播

HackerNews
1 week ago
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了一起活跃钓鱼活动的细节,该活动通过投递恶意ISO光盘镜像传播Phantom窃取程序,广泛针对俄罗斯多个行业领域。这项被Seqrite实验室代号为”Operation MoneyMount-ISO”的行动,主要锁定金融和会计实体,采购、法律、薪资等垂直领域成为次要目标。 这家网络安全公司表示:”该活动采用虚假支付确认诱饵,通过多阶段附件链传递Phantom信息窃取恶意软件。” 感染链始于伪装成合法财务通讯的钓鱼邮件,催促收件人确认近期银行转账。邮件附带的ZIP压缩包声称包含补充细节,实则内含ISO文件,启动后将在系统上挂载为虚拟CD驱动器。 该ISO镜像(”Подтверждение банковского перевода.iso”或”银行转账确认.iso”)作为可执行文件,旨在通过嵌入的DLL(”CreativeAI.dll”)启动Phantom窃取程序。Phantom窃取程序能够从基于Chromium的浏览器中安装的加密货币钱包浏览器扩展及桌面钱包应用提取数据,同时窃取文件、Discord身份验证令牌,以及浏览器相关密码、Cookie和信用卡详情。 它还能监控剪贴板内容、记录键盘输入,并运行系列检测以识别虚拟化、沙箱或分析环境,若检测到则中止执行。数据外泄通过Telegram机器人或攻击者控制的Discord网络钩子实现。此外,该窃取程序支持向FTP服务器传输文件。 近几个月来,俄罗斯组织(主要是人力资源和薪资部门)还遭受了另一类钓鱼邮件攻击,这些邮件利用与奖金或内部财务政策相关的诱饵,部署名为DUPERUNNER的未公开植入程序,用于加载开源命令控制框架AdaptixC2。 这项被命名为DupeHike的活动被归因于威胁集群UNG0902。Seqrite指出:”ZIP文件被用作鱼叉式网络钓鱼感染的初步来源,内含PDF和LNK扩展名的诱饵文件,下载植入程序DUPERUNNER,最终执行Adaptix C2信标。”LNK文件(”Документ_1_О_размере_годовой_премии.pdf.lnk”或”Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”)进而使用”powershell.exe”从外部服务器下载DUPERUNNER。该植入程序的主要职责是检索并显示诱饵PDF,并通过将其注入”explorer.exe”、”notepad.exe”和”msedge.exe”等合法Windows进程来启动AdaptixC2。 其他钓鱼活动则针对俄罗斯金融、法律和航空航天领域,分发Cobalt Strike及Formbook、DarkWatchman、PhantomRemote等能够实施数据窃取和键盘操控的恶意工具。已遭入侵的俄罗斯公司邮件服务器被用于发送鱼叉式钓鱼信息。 法国网络安全公司Intrinsec将针对俄罗斯航空航天行业的入侵活动归因于与乌克兰利益一致的黑客行动者。该活动于2025年6月至9月间被发现,与Hive0117、Operation CargoTalon及Rainbow Hyena(又称Fairy Trickster、Head Mare和PhantomCore)存在重叠。部分攻击还被发现会将用户重定向至托管在星际文件系统(IPFS)和Vercel上的钓鱼登录页面,旨在窃取与Microsoft Outlook及俄罗斯航空航天公司Bureau 1440相关的凭证。 Intrinsec表示:”2025年6月至9月间观测到的这些活动……旨在入侵在当前俄乌冲突中积极与俄罗斯军队合作的实体,这些实体大多受到西方制裁。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Prosper 与 700Credit 数据泄露事件影响千万人

HackerNews
1 week ago
HackerNews 编译,转载请注明出处: 近期发生的两起金融机构数据泄露事件,导致数百万人的敏感个人信息遭到曝光。 在总部位于旧金山的金融科技公司Prosper Marketplace遭遇的安全事件中,超过1300万人的信息被黑客获取。该公司上周就此次网络攻击发布声明,并于本月向多个州监管机构发送通知——该攻击最初于9月1日被发现。 Prosper已通报执法部门,调查显示黑客在2025年6月至8月期间获取了包含个人信息的资料。公司声称”没有证据表明客户账户和资金遭到未经授权的访问”。但失窃信息涵盖姓名、社会安全号码、国家身份证号、银行账户号码、财务申请信息、驾照号码、结婚/出生证明、护照号码、税务信息及支付卡号码等核心数据。 据统计,得克萨斯州超110万人、南卡罗来纳州23.6万人、华盛顿州24.9万人受到影响。Prosper发言人确认共有1310万人受此次数据泄露影响。 成立于2005年的Prosper以点对点借贷业务为核心,累计已为超200万人提供280亿美元个人贷款。公司现为事件受害者提供两年身份保护服务,截至本周一尚未有黑客组织宣称负责。 另一起事件中,汽车经销商服务商700Credit于上周五披露,10月25日发生的数据泄露影响了5,836,521人。这家为汽车经销商提供信用报告、合规产品、身份验证和欺诈检测解决方案的密歇根州公司表示,IT团队在事发当日发现黑客复制了其系统内的信息,包括姓名、社会安全号码、出生日期和地址等敏感数据。 该公司在声明中强调:”事件发生后迅速启动调查响应,评估系统安全性并识别潜在受影响人员,已向联邦执法部门和联邦贸易委员会通报情况。”目前正为受害者提供一年身份保护服务。 值得注意的是,此次披露发生在华尔街刚经历房地产贷款服务商SitusAMC网络攻击的三周后。过去24个月内,已发生数十起针对Patelco、Mr. Cooper等金融机构的网络安全事件,凸显金融行业正面临持续严峻的数据安全挑战。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2025-62565 | Microsoft Windows up to Server 2025 File Explorer use after free (EUVD-2025-202208)

Vuldb Updates
1 week ago
A vulnerability identified as critical has been detected in Microsoft Windows. This impacts an unknown function of the component File Explorer. Performing manipulation results in use after free. This vulnerability is identified as CVE-2025-62565. The attack is only possible with local access. There is not any exploit available. Applying a patch is the recommended action to fix this issue.
vuldb.com

CVE-2025-64671 | Microsoft GitHub Copilot Plugin for JetBrains IDEs command injection (EUVD-2025-202206 / Nessus ID 278337)

Vuldb Updates
1 week ago
A vulnerability was found in Microsoft GitHub Copilot Plugin for JetBrains IDEs. It has been rated as problematic. Affected is an unknown function. Performing manipulation results in command injection. This vulnerability was named CVE-2025-64671. The attack needs to be approached locally. There is no available exploit. It is suggested to install a patch to address this issue.
vuldb.com

CVE-2025-64672 | Microsoft SharePoint Server cross site scripting (EUVD-2025-202205 / Nessus ID 277998)

Vuldb Updates
1 week ago
A vulnerability categorized as problematic has been discovered in Microsoft SharePoint Server. Affected by this vulnerability is an unknown functionality. Executing manipulation can lead to cross site scripting. The identification of this vulnerability is CVE-2025-64672. The attack may be launched remotely. There is no exploit available. A patch should be applied to remediate this issue.
vuldb.com

CVE-2022-24302 | Paramiko up to 2.10.0 write_private_key_file information disclosure (EUVD-2022-0192)

Vuldb Updates
1 week ago
A vulnerability classified as problematic has been found in Paramiko up to 2.10.0. The impacted element is the function write_private_key_file. Performing manipulation results in information disclosure. This vulnerability is identified as CVE-2022-24302. The attack can only be performed from the local network. There is not any exploit available. It is recommended to upgrade the affected component.
vuldb.com

勒索软件团伙滥用Shanya可执行文件打包器隐匿EDR禁用工具

嘶吼
1 week ago

多个勒索软件团伙正借助一款名为Shanya的打包即服务平台,为其恶意载荷进行封装,以便在受害设备上禁用终端检测与响应解决方案。

打包服务可为网络犯罪分子提供专用工具,其核心作用是对恶意载荷进行封装处理,通过混淆恶意代码的方式,规避多数主流安全工具及杀毒引擎的检测。

据Sophos Security的遥测数据显示,Shanya打包服务于2024年末开始出现,此后使用率大幅攀升,采用该服务的恶意软件样本已在突尼斯、阿联酋、哥斯达黎加、尼日利亚、巴基斯坦等国被监测到。

目前已确认使用该服务的勒索软件团伙包括Medusa、Qilin、Crytox及Akira,其中Akira是该打包服务的最频繁使用者。

在勒索软件攻击中使用的Shanya打包器

Shanya打包服务的工作机制

威胁者需先将其恶意载荷提交至Shanya平台,平台会返回经定制化封装的“打包版”载荷,该过程会同时采用加密与压缩技术。 

该服务主打生成载荷的唯一性,其宣传内容强调自身具备非标准模块内存加载、系统加载器桩函数独立封装能力,且每位客户在购买后,均可获得专属(相对)独立的桩函数及独特的加密算法。

加载器中的垃圾代码

具体来看,恶意载荷会被植入Windows系统DLL文件shell32.dll的内存映射副本中。尽管该DLL文件的可执行区段与文件大小看似合规,文件路径也无异常,但其文件头与.text区段已被解密后的恶意载荷覆盖。

值得注意的是,载荷在打包文件内处于加密状态,而在执行阶段,它会在内存中完成解密与解压,随后直接注入shell32.dll副本,全程不会写入磁盘,以此降低被检测的概率。 

研究人员还发现,Shanya会通过在无效上下文下调用RtlDeleteFunctionTable函数,对终端检测与响应解决方案进行探测。这一操作会在用户态调试器环境中触发未处理异常或程序崩溃,从而在载荷完全执行前干扰自动化分析流程。

对EDR系统的禁用流程

勒索软件团伙通常会在攻击的数据窃取与加密阶段前,先禁用目标设备上运行的EDR工具,其执行流程一般通过DLL侧加载实现:将合法Windows可执行文件(如consent.exe)与经Shanya打包的恶意DLL(如msimg32.dll、version.dll、rtworkq.dll或wmsgapi.dll)进行组合加载。

根据Sophos的分析,这款EDR禁用工具会释放两款驱动程序:

1.  一款是由TechPowerUp签名的合法驱动ThrottleStop.sys(又称rwdrv.sys),该驱动存在可实现任意内核内存写入的漏洞;

2.  另一款是未签名的hlpdrv.sys驱动。其中,签名驱动用于实现权限提升,而hlpdrv.sys则会根据用户态下发的指令,对各类安全产品实施禁用操作。其用户态组件会先枚举当前运行的进程及已安装的服务,再将结果与内置的庞大硬编码列表进行比对,一旦匹配成功,便会向恶意内核驱动发送“终止”指令。

目标服务的部分列表

除了专注于禁用EDR的勒索软件操作者外,研究人员近期还监测到ClickFix攻击活动也在利用Shanya服务对CastleRAT远控木马进行封装。勒索软件团伙往往依赖打包服务来实现EDR禁用工具的隐蔽部署。

胡金鱼

Managed ad