英国电信巨头BT集团遭遇勒索攻击，500GB敏感数据恐遭窃取

近日，英国电信控股公司BT集团（前身为英国电信）宣布，由于遭受Black Basta勒索软件攻击，该公司已关闭部分服务器。BT集团发言人表示："我们发现了有人试图入侵BT会议平台。这次事件仅限于平台的特定元素，我们迅速将其离线并隔离。"

目前尚不清楚威胁行为者是否从这家电信巨头那里窃取了数据。但目前Black Basta勒索软件团伙已在其Tor泄露网站上将BT集团列入受害者名单。该团伙声称已窃取500GB数据，包括财务数据、组织数据、用户数据和个人文件、保密协议、机密数据等。作为数据泄露的证据，该团伙公布了多张截图，包括护照和其他文件的图片。

今年5月，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、卫生与公众服务部（HHS）和多州信息共享与分析中心（MS-ISAC）发布了一份联合网络安全咨询（CSA），作为"停止勒索软件"计划的一部分，针对Black Basta勒索软件活动发出警告。

近日，安全研究公司iVerify在一项针对3,500部移动设备的威胁扫描中，发现了七起新的Pegasus间谍软件感染案例。这些感染目标包括记者、政府官员和企业高管，涉及iPhone和Android设备，显示出这款臭名昭著的间谍软件的影响范围可能比此前认为的更广。

iVerify的研究人员在12月4日发布的博客文章中披露，他们发现多台设备被以色列NSO集团的间谍软件入侵，攻击始于2021年至2023年间，影响了Apple iPhone iOS 14、15和16.6版本，以及Android系统。研究人员在设备的诊断数据、关机日志和崩溃日志中检测到了取证痕迹。调查发现，每1000次扫描中有2.5台受感染设备，这个比率显著高于任何先前公布的报告。

Pegasus是一种特别恶劣的间谍软件，允许控制者利用操作系统漏洞和零点击攻击来访问和提取被入侵移动设备上的任何内容。攻击者可以在用户不知情或不交互的情况下拦截和传输消息、电子邮件、媒体文件、密码和详细的位置信息。

近日，安全研究公司Cleafy发现了一种名为"DroidBot"的新型Android银行恶意软件，该软件试图窃取英国、意大利、法国、西班牙和葡萄牙等国家超过77个加密货币交易所和银行应用程序的用户凭据。

尽管DroidBot缺乏新颖或复杂的功能，但对其中一个僵尸网络的分析显示，在英国、意大利、法国、土耳其和德国共有776个独特的感染案例，表明其活动规模相当可观。Cleafy还指出，该恶意软件目前正在积极开发中，并有迹象表明正试图扩展到拉丁美洲等新地区。

DroidBot通常伪装成Google Chrome、Google Play商店或"Android Security"等流行应用程序，以诱骗用户安装恶意应用。其主要功能包括键盘记录、覆盖显示、短信拦截和虚拟网络计算（VNC）。该恶意软件滥用Android的无障碍服务来监控用户操作并模拟滑动和点击。

近日，IT管理软件巨头SolarWinds披露了其Platform产品中存在一个严重的安全漏洞。该漏洞被编号为CVE-2024-45717，允许经过身份验证的攻击者通过跨站脚本（XSS）漏洞注入恶意代码，从而可能危及受影响系统的完整性和机密性。

这个XSS漏洞影响了SolarWinds Platform用户界面的搜索和节点信息部分。尽管漏洞利用需要身份验证和用户交互，但其潜在影响仍然显著。虽然攻击者需要与易受攻击的系统处于同一网段，这在某种程度上限制了潜在攻击的范围，但对于共享网络环境的组织来说，其严重性并未减弱。

如果成功利用，这个XSS漏洞可能允许攻击者：窃取经过身份验证用户的敏感信息；操纵平台功能；潜在获得对连接系统的未授权访问。

近日，广受欢迎的移动安全框架（Mobile Security Framework，简称MobSF）被发现存在一个严重的安全漏洞（CVE-2024-53999），可能使用户面临重大风险。该漏洞允许攻击者通过存储型跨站脚本（XSS）攻击在应用程序的"Diff或Compare"功能中执行恶意脚本。

该漏洞源于MobSF的文件上传机制未能正确清理包含特殊字符（如<、>、/和"）的文件名。这一疏忽使恶意行为者能够上传带有注入脚本的文件名，这些文件随后会被存储在服务器上，并在其他用户访问"Diff或Compare"功能时被执行。

安全研究人员通过使用拦截代理工具上传一个名为"test.zip"的zip文件演示了这个漏洞。当其他用户尝试使用"Diff或Compare"功能比较这个文件时，嵌入的JavaScript代码就会在他们的网络浏览器中执行。尽管目前没有证据表明该漏洞存在公开的概念验证漏洞利用或活跃的在野利用情况，但滥用的潜在可能性仍然很大。

日本计算机应急响应小组（CERT）近日发出警告，黑客正在利用I-O Data路由器设备中的零日安全缺陷修改设备设置、执行命令，甚至关闭防火墙。这些安全缺陷已经被厂商I-O Data在其官网发布的安全公告中确认，分别涉及信息泄露、远程任意操作系统命令执行，以及禁用防火墙的能力。

具体来说：第一个缺陷属于敏感资源的权限配置错误，允许低权限用户访问关键文件。例如，知道访客账户凭据的第三方可能访问包含身份验证信息的文件；第二个缺陷允许经过身份验证的管理用户在设备上注入和执行任意操作系统命令，这是由于配置管理中的输入验证不足所致；第三个缺陷是固件中的未记录功能或后门，允许远程攻击者在未经身份验证的情况下关闭设备防火墙并修改设置。

这些漏洞影响了UD-LT1混合LTE路由器及其工业级版本UD-LT1/EX。目前最新的固件版本v2.1.9仅修复了第三个安全缺陷，其他两个缺陷的修复将在v2.2.0版本中提供。

近日，罗马尼亚情报局（SRI）的一份解密报告称，该国选举基础设施在近期遭遇了超过85,000次网络攻击。攻击者不仅获取了与选举相关网站的访问凭证，还在黑客论坛上泄露了这些凭证，时间距离总统选举首轮投票不到一周。

根据罗马尼亚情报局的报告，2024年11月19日，罗马尼亚常设选举机关（AEP）的IT基础设施遭遇了一次重大网络攻击。攻击者入侵了一个与AEP内部网络和公共网络相连接的服务器，该服务器存储了选民登记和地图数据（gis.registrulelectoral.ro）。随后，攻击者获取的选举相关网站的账户凭证，包括中央选举局网站（bec.ro）、常设选举机关网站（roaep.ro）和选民注册网站（registrulelectoral.ro）等，开始在黑客论坛上被泄露。

报告称，攻击者通过多种手段获取了这些登录凭证，既包括针对合法用户的攻击，也包括通过利用选举操作员训练服务器中的漏洞来实现。攻击从11月19日开始，一直持续到11月25日（总统选举首轮后的那一晚）。这些攻击的目标不仅是试图访问选举基础设施，还包括篡改选举信息，甚至是通过拒绝服务攻击使选举系统瘫痪。

SRI指出，攻击者通过利用SQL注入（SQL Injection）和跨站脚本（XSS）漏洞，从33个国家的设备发起了攻击。情报机构还警告称，罗马尼亚选举系统仍然存在潜在的漏洞，黑客可以通过这些漏洞在网络内部横向移动并保持持久性。

近日，日本领先的加密货币交易所DMM Bitcoin宣布在发生重大网络安全事件后即将停止运营。

该交易所于2024年5月31日遭受一起复杂的网络攻击，导致未经授权转移了4502.9个比特币，泄露时价值约为3.08亿美元（目前超过4.29亿美元）。

DMM Bitcoin已启动将所有客户账户和资产转移到日本金融集团SBI Group的子公司SBI VC Trade的流程。此次转让计划于2025年3月完成，此前双方于2024年11月29日签署了正式协议。

日本金融厅（FSA）进行的一项调查揭示了该公司风险管理框架的严重缺陷，包括缺乏独立审计以及关键安全职能集中在少数人员手中。此外，FSA还发现了违反加密货币交易法规的行为，特别是缺乏对调查盗窃至关重要的基本日志。

区块链安全专家分析了被盗资金的流动，观察到它们迅速分散到多个钱包中，并通过可疑平台进行部分洗钱，包括Huione Guarantee。

Huione Guarantee是一个涉嫌与有组织犯罪有联系的实体。攻击方法和随后的洗钱模式强烈表明Lazarus Group参与其中，Lazarus Group是朝鲜国家支持的网络犯罪组织，曾策划过备受瞩目的数百万美元网络抢劫案。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除