Doxbin平台遭黑吃黑，13.7万用户数据和内部黑名单泄露

电子前沿基金会(EFF)正领导一个联盟，试图阻止埃隆·马斯克的政府效率部门(DOGE)访问数百万美国政府员工的数据。

2月11日，EFF与个别联邦员工和包括美国政府员工联合会、行政法法官协会在内的多个员工工会一同，对DOGE和美国人事管理办公室(OPM)提起诉讼。原告要求纽约南区法院阻止DOGE访问OPM存储的数百万美国人的私人信息，并删除目前为止从数据库收集或移除的任何数据。

DOGE是特朗普总统于1月成立的，旨在减少联邦开支和消除过多监管的临时合同实体。在诉状中，原告指控马斯克和其他DOGE员工在非政府雇员的情况下获得了OPM计算机网络的访问权限。EFF在公开声明中表示:"这种公然掠夺美国人敏感数据的行为是前所未有的。"EFF还断言，这种做法违反了《隐私法案》，该法案要求在披露有关个人的政府记录之前必须获得书面同意。

作为美国联邦人力资源机构，OPM管理着该国最大规模的联邦员工数据集之一。根据EFF的说法，该数据集中的信息一旦处理不当，可能导致无法详述的严重且各种滥用，令联邦员工处于严重风险之中。

美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)于2月12日发布新警报，概述了消除软件缓冲区溢出漏洞的策略。作为"安全设计"警报系列的一部分，该报告强调使用内存安全编程语言和其他安全开发实践，以防止这些常被恶意行为者利用的缺陷。

缓冲区溢出漏洞发生于软件不当访问内存时，导致数据损坏、崩溃和未经授权的代码执行等风险。威胁行为者利用这些漏洞渗透网络，通常将其作为更广泛攻击的切入点。

CISA和FBI敦促软件制造商采取以下策略:

对于新代码，使用Rust等内存安全编程语言；

实施编译器保护，如运行时检查和渐进式推进；

进行对抗性测试，包括静态分析和模糊测试；

发布将遗留代码过渡到内存安全替代方案的路线图。

臭名昭著的涉及个人信息泄露的Doxbin平台遭到黑客组织Tooda攻击，导致用户账户被删除、管理员失去控制权，以及大量用户数据库泄露。这似乎源于不同团伙之间长期的对抗。

根据Tooda在其官网和已删除的Telegram频道的说法，他们入侵了Doxbin的基础设施，删除了用户账户，锁定了管理员，并公开了运营该平台相关人员的个人详细信息。攻击者声称这是为了回应针对其成员的指控。作为攻击的一部分，Tooda还公布了一个包含136，814个ID、用户名和电子邮件地址的Doxbin用户数据库。Tooda声称完全控制了Doxbin的后端，并泄露了一个名为"Doxbin黑名单"的文件，其中收录了那些曾支付费用避免个人信息在Doxbin上被公开的人。另一个名为"DoxBin管理员River aka Paula的个人信息"的文件，包含了据称属于一位名为Paula的Doxbin管理员River的详细个人数据，并附有警告信息要求她远离Doxbin。

对于曾使用Doxbin的人来说，这次数据泄露可能带来风险。即使只是用户名和电子邮件地址遭到泄露，也可能与其他泄露信息交叉参考，使安全研究人员、竞争对手黑客甚至执法部门能够追踪身份并发现现实世界中的关联。

网络安全研究人员cyfirma近日发现， 臭名昭著的勒索软件团伙Clop出现了一种令人不安的新策略。与一次性攻击受害者后离开不同，该团伙开始采取在受害者网络中潜伏数月不被发现的策略。在此期间，他们保持不活动状态，而勒索软件在系统中的存在也未被威胁监控解决方案发现。几周甚至几个月后，他们再次发动攻击，多次要求支付赎金，将感染的网络变成一个长期赚钱工具，从同一受害者那里持续获利。

Clop团伙通常通过钓鱼活动或利用系统漏洞获取网络访问权限，感染的网络就成为进一步攻击的跳板。因为勒索软件代码躲过了检测工具，使攻击者能够继续利用受害者系统。容易遭受此类勒索软件攻击的行业包括制造业、零售业、运输业和医疗保健业，因为这些行业往往涉及高度敏感的数据，日常运营高度依赖网络。一旦遭受成功的勒索软件攻击，其影响可能是灾难性的，不仅会造成财务损失，还可能导致信任危机和法律后果。

安全专家建议用户从实施反恶意软件解决方案到培养网络安全意识文化，采取主动措施，以降低遭受此类毁灭性攻击的风险。

随着DeepSeek及其开源推理模型DeepSeek-R1在全球人工智能市场备受关注，被誉为比OpenAI的GPT-o1更具成本效益的替代方案，其知名度也引来了不法分子的觊觎。他们利用DeepSeek的名气通过钓鱼网站散布恶意软件。

DeepSeek-R1模型于1月20日发布后，在Google趋势搜索量飙升，于1月28日达到100的峰值热度。网络安全公司CriminalIP的专家指出，这种迅速走红引发了与该品牌相关的钓鱼和欺诈活动的增加。黑客创建了模仿DeepSeek官网的钓鱼网站，利用网站代理技术嵌入恶意软件下载链接，误导用户。通过这些网站传播的恶意软件，针对金融应用程序如"Corper"。根据VirusTotal分析，截至2025年2月3日，有24款杀毒程序将从假DeepSeek网站下载的应用程序检测为恶意软件。

官方DeepSeek网站与钓鱼网站可通过以下几个方面区分:域名验证、表单事件检测和电子邮件域名不匹配。为安全使用DeepSeek等AI模型，安全专家建议用户利用IP分析服务验证服务器位置和网络安全，复核DeepSeek的隐私政策了解数据处理方式，并避免在未经验证的网站上输入个人或敏感信息。

SlashNext威胁研究人员近日发现，新型高级钓鱼工具Astaroth在网络犯罪圈出现，并通过会话劫持和实时凭据拦截相结合的方式，绕过双因素认证(2FA)，窃取Gmail、Yahoo和微软的登录凭据。

Astaroth的工作原理是采用evilginx式反向代理。这种技术使攻击者能够将自己置于受害者与Gmail、Yahoo和微软等合法认证服务之间的"中间人"位置。不同于依赖静态假冒登录页面的传统钓鱼工具，Astaroth动态拦截所有认证数据。这意味着即使用户启用了2FA，Astaroth也能在输入时捕获第二因素(如来自认证器应用或短信的代码)。反向代理拦截并操纵流量，实时捕获登录凭据、认证令牌和会话Cookie。这种实时捕获所有认证数据的能力使Astaroth能有效绕过2FA。

该工具通过Telegram出售并在网络犯罪论坛和市场上推广。卖家声称Astaroth能绕过无头检测，捕获谷歌、微软(包括Office 365)、AOL和Yahoo邮件提供商的完整Cookie、用户名和密码。安全专家提醒用户应格外小心来自已知组织但要求立即行动的电子邮件，如收到此类邮件，应直接访问网站而非点击链接。

近日，新兴的勒索软件组织Sarcoma声称对台湾印刷电路板制造商敏实集团发动了网络攻击，窃取了377GB的SQL文件和文档，并公布了一些据称从该公司系统窃取的文件样本。Sarcoma威胁，如果不支付赎金，将在下周泄露所有数据。

敏实集团在台湾证券交易所门户网站上发布的公告中披露，该公司于2月1日遭遇了勒索软件攻击的干扰。根据声明，该事件发生在1月30日，影响到了其子公司敏实科技(深圳)有限公司。

该公司表示，攻击的影响有限，并已聘请外部网络取证团队进行事件分析，并帮助实施防御措施。不过，敏实集团并未确认数据泄露。与此同时，Sarcoma在其勒索网站上泄露的样本也被认为是真实的。

研究人员近日披露，英伟达服务器工具中的一个被评为"严重"的漏洞（CVE-2024-0132），可能让攻击者逃脱容器的限制，执行高级命令或查看主机上其他容器中的数据，从而危及人工智能系统的安全。

Wiz公司的研究人员在去年发现的这一漏洞涉及英伟达容器工具包处理运行时命令的方式。如果被利用，将使攻击者在主机服务器上获得root权限。具体来说，当挂载新容器时，英伟达容器软件未能正确应用限制措施，从而可能导致短暂地访问主机文件系统。一旦攻击者设法注入特定的恶意库文件，他们就可能能够从容器内加载主机的文件系统，从而获得对主机服务器上所有内容的完全访问权限。这一漏洞存在于容器工具中，而这是人工智能研究人员在运行基于英伟达GPU的人工智能项目时所使用的关键系统组件。

2月13日，网络身份安全公司SailPoint成功在纳斯达克上市，发行价为每股23美元，发行6000万股，募资总额为13.8亿美元。

SailPoint成立于2005年，专注于身份和访问管理软件，旨在帮助企业减少不必要的用户访问并降低敏感数据泄露的风险。其身份安全产品与IBM、Microsoft、Oracle、CyberArk、Okta 和 One Identity 的产品竞争，客户包括卡车制造商PACCAR、学生贷款服务商Nelnet 和英国连锁超市ASDA等。

私募股权公司Thoma Bravo于2014年首次收购了SailPoint，并在三年后将其公开上市。SailPoint于2017年至2022年在纽约证券交易所挂牌交易，后被Thome Bravo以69亿美元的价格重新私有化。时隔三年，随着市场环境的改善和公司业务的持续发展，SailPoint选择重返资本市场。

在概念验证漏洞利用代码公开发布后，不法分子正在积极滥用未修补的面向互联网的 SonicWall 防火墙中的高严重性身份验证绕过漏洞。

该漏洞被跟踪为 CVE-2024-53704，是 SonicOS 中 SSL VPN 身份验证机制中的一个缺陷，SonicOS 是 SonicWall 防火墙使用的作系统。如果被利用，它允许远程攻击者绕过易受攻击的 SonicOS 设备上的身份验证，劫持设备的活动 SSL VPN 会话，并获得对受影响网络的未授权访问。

SonicWall 于 1 月初首次披露了 CVE-2024-53704。该安全漏洞影响了多个 Gen 7 和 TZ80 SonicWall 防火墙。好消息是升级到最新版本的 SonicOS 将填补漏洞。

1 月 30 日，Bishop Fox 研究人员表示，他们能够利用未修补防火墙中的漏洞，并称这次攻击“微不足道”。

SonicWall 在更新的安全公告中回应了这一行动呼吁，并表示“客户必须立即更新”。如果由于某种原因您无法更新到固定固件版本，SonicWall 建议禁用 SSL VPN 机制。

后来，在 2 月 10 日，Bishop Fox 发布了完整的漏洞利用详细信息，包括代码，提供了有关如何绕过身份验证和劫持活动 SSL VPN 会话的分步说明。研究人员还指出，截至 2 月 7 日，约有 4,500 台面向互联网的 SonicWall SSL VPN 服务器仍未打补丁。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除