3月28日,星期五,您好!中科汇能与您分享信息安全快讯:
01
冒充客服窃取2.43亿美元,加密货币盗窃案主犯Wiz落网
近日,美国联邦法警逮捕了网名Wiz的Veer Chetal,他是2024年9月发生的2.43亿美元加密货币大规模盗窃案的主要嫌疑人之一。这是该备受关注案件的重大进展。
在本案中,Chetal与网名为Greavys (Malone Iam)和Box(Jeandiel Serrano)的黑客团伙通过冒充Google和Gemini客服实施了精心策划的钓鱼攻击。他们成功诱骗华盛顿特区的一名受害者重置双因素认证(2FA),从而获取了大量加密货币资产的访问权限,共同窃取了高达2.43亿美元的加密货币。
区块链调查员ZachXBT通过社交媒体发布了这一消息。ZachXBT的调查对追踪被盗资金流向起到了关键作用。他的工作揭示了黑客如何洗钱并用这些资金购买豪车、名表和高端珠宝等奢侈品。
02
Oscilar推出革命性Agentic AI平台,推动风险管理的范式转变
Oscilar公司于3月26日推出了突破性的AI Agent平台,彻底改变了组织管理在线风险的方式。Oscilar构建了一个由专业AI Agent组成的网络,专门解决欺诈预防、合规、信贷承保和客户验证等关键挑战。
与需要持续人工监督和干预的传统静态AI模型不同,Oscilar的AI Agent能够自主运行,主动识别风险,执行复杂的风险分析,并动态适应不断演变的威胁环境。Oscilar的专业Agent包括:
支付欺诈代理:实时分析交易以减少误报
账户接管代理:通过行为生物识别主动防止入侵
第一方欺诈代理:通过发现可疑模式识别虚假陈述的客户
规则推荐代理:基于实际性能数据持续监控和改进欺诈检测规则
自然语言风险建模代理:允许风险管理者通过普通语言定义和调整风险政策
决策洞察代理:将复杂的风险分析转化为清晰的叙述,显著减少手动调查时间
03
小红书被曝高频获取用户信息,官方回应
近日,多位小红书用户反映,小红书后台持续高频获取用户位置信息,有用户最高3天内被访问1.7万次,包含定位、照片与视频、设备状态、日程、剪贴板等,甚至凌晨未使用软件时段仍有高频操作,引发隐私安全方面的担忧。
早在2024年7月,“小红书一直在获取定位”的吐槽声就在社交媒体上出现,相关笔记多达7万+篇,有iOS用户发现,就算不使用软件,只要不关闭后台,刘海区域的蓝色定位图标会常亮。
3月26日,小红书官方客服表示,用户选择打开小红书相关权限就会出现这种情况,是正常的,平台不会泄露用户隐私信息,具体问题需将相关录屏与截图证明发送至指定邮箱。
此前,网络信息泄露带来“社死”等问题引发关注,有专家提醒,相关平台在收集数据时应遵循“最小必要原则”,减少前端数据收集,从源头降低数据泄露风险。同时,对隐私数据要建立信息加密机制、向第三方提供信息的责任机制;一旦出现信息泄露事件,能够及时倒查。
04
NetApp SnapCenter 9.9分高危漏洞允许权限提升至管理员
NetApp发布安全公告,披露了一个影响SnapCenter服务器的高危安全漏洞(CVE-2025-26512)。该漏洞CVSS评分高达9.9,允许已认证用户在远程系统上获取管理员权限,对组织数据和基础设施安全构成重大风险。
SnapCenter是一个简单、集中、可扩展的平台,为在混合云中任何地方运行在ONTAP系统上的应用程序、数据库、主机文件系统和虚拟机提供应用程序一致的数据保护。这个权限提升漏洞影响6.0.1P1和6.1P1之前的所有SnapCenter版本。漏洞可能允许一个已认证的SnapCenter服务器用户在安装了SnapCenter插件的远程系统上获取管理员用户权限。
拥有SnapCenter服务器低权限访问权限的攻击者可以利用此漏洞获得对远程系统的管理控制权。这种权限提升可能导致:完全系统入侵,未授权数据访问和窃取,未经授权的系统修改,网络内的横向移动。
05
夸大网络安全评分,美国国防承包商付出460万美元代价
美国司法部近日宣布,国防承包商Morse Corp已同意支付460万美元,以解决《虚假申报法》下的网络安全欺诈指控。该公司被指在与陆军和空军部门合作期间,虚报了其对联邦网络安全标准的合规情况。
调查显示,从2018年1月至2022年9月,Morse Corp使用第三方服务托管其电子邮件,但未确保符合FedRAMP中等基线要求。这是处理涉密国防信息的关键网络安全要求。该公司还未能实施NIST SP 800-171要求的网络安全控制措施,这些措施旨在保护受控非机密信息免受未授权访问。根据和解协议,Morse Corp在2021年1月向国防部供应商绩效风险系统(SPRS)提交了误导性的网络安全评估分数104(评分范围为-210至110)。然而,2022年7月的独立评估显示,该公司的实际分数为-142。尽管发现了这一问题,Morse Corp直到2023年6月才更新其分数。
作为和解的一部分,Morse Corp将支付460万美元,其中230万美元作为赔偿金。举报人Kevin Berich将获得总和解金额的18.5%。
06
恶意npm包投放高度复杂的反向Shell,偷偷渗透开发环境
ReversingLabs研究人员发现了一场利用恶意npm包投放高度复杂反向Shell的新型恶意软件活动。研究人员识别出两个恶意包"ethers-provider2"和"ethers-providerz",它们通过秘密修改合法npm依赖项来渗透开发环境。
ethers-provider2包模仿合法的ssh2包,在其安装脚本中嵌入有害代码。执行时,该脚本从外部服务器下载第二阶段有效载荷,执行后删除下载痕迹。该载荷持续监控合法ethers包的安装情况,一旦检测到,就用获取第三阶段载荷的受感染版本替换关键文件。最后,它建立与攻击者服务器的反向Shell连接。ethers-providerz尝试修补@ethersproject/providers内的文件,但恶意代码包含错误的文件路径。值得注意的是,恶意代码仅注入到本地安装的npm包中,官方ethers包没有被入侵。
07
黑客利用电子犯罪工具Atlantis AIO对140多个平台进行凭证填充攻击
Abnormal Security近日研究发现,威胁行为者正在利用Atlantis AIO Multi-Checker电子犯罪工具发起自动化凭证填充攻击。该工具能使攻击者能够快速连续测试数百万被盗凭证。
与通过试错方法破解密码的暴力攻击不同,Atlantis AIO提供了通过预配置模块大规模发起凭证填充攻击的能力。Atlantis AIO Multi-Checker是一种设计用于自动化凭证填充攻击的网络犯罪工具,能够大规模测试被盗凭证,可以在140多个平台上快速尝试数百万用户名和密码组合。该工具的背后威胁行为者声称它建立在"经过验证的成功基础上",并拥有数千名满意的客户,同时向客户保证平台内置的安全保障,以保持其购买的私密性。
Atlantis AIO的目标包括Hotmail、Yahoo、AOL、GMX和Web.de等电子邮件提供商,以及电子商务、流媒体服务、VPN、金融机构和食品配送服务。
08
安全浏览器初创公司Island完成2.5亿美元E轮融资,估值飙升至48.5亿美元
企业安全浏览器开发商Island宣布完成2.5亿美元E轮融资,由Coatue领投,估值达到48.5亿美元。这轮融资距离其上一轮融资不到一年时间,公司总融资额现已达到7.3亿美元。
总部位于美国达拉斯的Island专为企业打造安全浏览器,比传统商业搜索引擎更加安全。其愿景基于Chromium打造一个对企业员工来说看起来像标准浏览器但实际安全的浏览器,阻止黑客攻击。其产品特点包括通用应用程序访问控制、设备可见性和管理以及应用程序自动化等功能。该公司现已拥有450家客户,其中包括Mattress Firm、Swiss Life和Fiverr等知名企业。
Island的成功融资反映了企业对专用安全浏览器解决方案日益增长的需求,特别是在当前网络安全威胁不断升级的环境下。
09
Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护
Google紧急发布Chrome浏览器安全更新,修复了一个零日漏洞(CVE-2025-2783)。该漏洞正被复杂威胁行为者积极利用,允许攻击者通过Chrome安全框架与Windows操作系统交互处的逻辑错误绕过浏览器的沙盒保护。
这一漏洞于3月中旬被发现,当时卡巴斯基的检测系统识别出一波来自未知恶意软件的感染。在所有记录的案例中,受害者只需点击钓鱼邮件中的链接,恶意网站就会在Chrome浏览器中打开,无需任何额外用户交互即可触发攻击。据Google安全公告,技术检查显示该漏洞利用了"Windows上Mojo组件在未指明情况下提供的不正确句柄"。Google已将其归类为"高"危险级别,并确认野外存在利用代码。
这一攻击活动被命名为"Operation ForumTroll",专门针对俄罗斯媒体机构、教育机构和政府组织。攻击者发送伪装成"普里马科夫读物"科学专家论坛邀请的个性化钓鱼邮件。每个恶意链接都经过个性化处理且生命周期短,使检测变得困难。
10
YouTube 创作者因品牌合作者请求使用 Clickflix 技术而遭受攻击
一种被称为“Clickflix 技术”的复杂网络钓鱼活动已经出现,它通过看似合法的品牌合作请求瞄准 YouTube 内容创作者。
这种新的攻击媒介利用了创作者渴望获得赞助协议的心理,将恶意软件负载伪装成合作文件。
网络犯罪分子通过电子邮件或社交媒体发起联系,冒充知名品牌的营销代表,提供利润丰厚的交易,要求创建者审查托管在受感染域或云存储上的“活动材料”。
攻击者通常会接触订阅者数量在 10,000 到 500,000 之间的创作者,精心编写引用创作者内容风格和之前赞助情况的消息,以建立可信度。
点击恶意链接后,创建者会被引导至模仿流行文件共享服务的专业登陆页面,系统会提示他们下载看似 PDF 合同或活动简介的内容
游戏、技术评论和生活方式领域有超过 2,300 名创作者成为攻击目标,其中约 18% 的目标被成功攻击。
这次攻击利用社会工程学原理与技术欺骗相结合,通常包括时间敏感的提议,以迫使创作者匆忙做出决定。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):黑客利用电子犯罪工具Atlantis AIO对140多个平台进行凭证填充攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论