5月7日,星期三,您好!中科汇能与您分享信息安全快讯:
01
英国零售业遭遇网络攻击潮:Harrods成为继玛莎和Co-op后的最新受害者
英国著名百货公司Harrods近日证实遭遇恶意威胁行为者的网络攻击尝试,成为继玛莎百货和Co-op之后又一家受到攻击的英国零售巨头。
据悉,此次事件发生在上周,促使Harrods采取保护措施,包括限制其实体店铺的互联网访问。尽管如此,Harrods强调其在线商店在5月1日晚间仍正常运营。虽然此次事件导致后台运营调整,但这家奢侈品零售商向客户保证,其位于骑士桥的旗舰店以及H Beauty和机场门店仍正常营业。目前没有迹象表明客户数据遭到泄露。
近期,英国零售业面临一系列网络攻击。玛莎百货遭受的攻击已被归因于复杂黑客组织Scattered Spider,导致其在线业务瘫痪,订单停止,部分实体店货架空空如也,市值大幅下跌。同时,Co-op也成为网络攻击的受害者,实施了严格的内部安全协议,包括在线会议强制使用摄像头以验证参会者身份。
英国国家网络安全中心(NCSC)正积极参与调查,与受影响的组织合作,了解这些事件的性质和潜在联系。
02
Apache Parquet Java严重安全缺陷允许攻击者执行任意代码
近日,Apache Parquet Java中一个严重安全缺陷被披露,该缺陷可能允许攻击者通过精心构造的Parquet文件执行任意代码,影响Apache Parquet Java 1.15.1及之前的所有版本。
Apache Parquet是一种广泛应用于大数据生态系统中的列式存储文件格式,常与Apache Hadoop、Spark和Flink等处理框架配合使用。该安全缺陷存在于parquet-avro模块中,该模块负责处理嵌入在Parquet文件元数据中的Avro模式。该缺陷特别针对使用"specific"或"reflect"模型读取Parquet文件的应用程序。对于可能从不受信任来源摄取Parquet文件的数据处理管道,这一缺陷尤其令人担忧。
使用Apache Parquet Java的parquet-avro模块从Parquet文件反序列化数据的应用程序,如果处理不受信任的文件,存在远程代码执行的风险。该缺陷源于反序列化过程中Avro模式的处理方式,可能允许攻击者注入在模式解析期间被执行的恶意代码。
03
零点击漏洞威胁旧版Windows:Telnet服务器认证可被完全绕过
研究人员最近发现一个影响微软Telnet服务器的严重漏洞。该漏洞允许攻击者完全绕过身份验证,无需有效凭据即可获得管理员访问权限。这个被指定为零点击的漏洞无需用户交互,可远程利用。
漏洞存在于Telnet MS-TNAP(微软Telnet认证协议)扩展的NTLM认证过程中的配置错误。受影响系统包括从Windows 2000到Windows Server 2008 R2的旧版微软操作系统。虽然这些系统相对较旧,但许多组织仍在使用它们运行遗留应用程序或基础设施。
技术上,漏洞源于认证握手过程中SSPI(安全支持提供程序接口)标志配置不当。服务器使用SECPKG_CRED_BOTH标志初始化NTLM安全,并使用带有ASC_REQ_DELEGATEASC_REQ_MUTUAL_AUTH标志的AcceptSecurityContext(),这种组合允许攻击者颠倒认证关系。
04
国家密码管理局调整商用密码检测认证业务实施
2025年一季度,我国软件和信息技术服务业运行态势良好,软件业务收入稳健增长,利润总额保持两位数增长,软件业务出口增速由负转正。
一季度,我国软件业务收入31479亿元,同比增长10.6%;软件业利润总额3726亿元,同比增长11.6%;软件业务出口131亿美元,增速由负转正,同比增长2.4%。
其中,信息安全收入增速加快:信息安全产品和服务收入481亿元,同比增长8.6%。
05
沉睡六年的威胁:21个Magento扩展程序后门突然激活
Sansec近日披露,一起大规模的协调供应链攻击已经危及约500至1000家使用Magento平台的电子商务网站,其中包括一家市值400亿美元的跨国公司。攻击者通过在21个Magento扩展程序中植入后门代码实施了这次攻击,并获取电子商务服务器的完全控制权。
研究人员发现,这些恶意代码早在2019年就已被注入,但直到2025年4月才被激活。受影响的扩展程序来自三家供应商:Tigren、Meetanshi和MGS。在所有观察到的案例中,扩展程序都在许可证检查文件中包含了PHP后门。这些恶意代码会检查包含特殊参数"requestKey"和"dataSign"的HTTP请求,并根据PHP文件中的硬编码密钥进行验证。如果验证成功,后门将允许访问文件中的其他管理功能,包括允许远程用户上传新许可证并将其保存为文件。然后,该文件通过"include_once()"PHP函数加载并自动执行上传的许可证文件中的任何代码。
Sansec表示,这个后门被用来向其客户网站上传webshell。鉴于能够上传和运行任何PHP代码,攻击可能导致数据窃取、信用卡窃取器注入、任意管理员账户创建等严重后果。
06
用户个人数据违规出境?在爱尔兰被罚5.3亿欧元
爱尔兰数据保护委员会(DPC)因TikTok违反欧盟GDPR数据保护法规,非法将欧洲经济区(EEA)用户个人数据传输至中国,对其处以5.3亿欧元(约合6.01亿美元)罚款。
此次罚款包括两部分:因违反GDPR第46(1)条关于数据传输合法性规定被罚4.85亿欧元,以及因违反第13(1)(f)条关于透明度不足被罚4500万欧元。DPC还要求TikTok在六个月内使其数据处理符合规定,否则将暂停所有对中国的数据传输。
DPC副专员Graham Doyle指出,TikTok未能验证、保证并证明中国员工远程访问的EEA用户个人数据得到与欧盟同等水平的保护。TikTok欧洲公共政策与政府关系主管Christine Grahn表示公司不认同DPC的决定,并计划提出上诉,理由是DPC未考虑TikTok新推出的Project Clover数据安全计划。该计划实施了先进的隐私增强技术,确保非限制性数据在中国员工访问前被去识别化。
这是爱尔兰数据保护机构迄今为止施加的第三大罚款,仅次于对亚马逊的7.46亿欧元和对Facebook的12亿欧元罚款。
07
因流量欠费,哪吒汽车App和官网一度断网
近日,哪吒汽车App和官网出现断网故障,导致车主无法远程操控车辆,引发广泛关注。据多位车主反映,从5月2日开始,哪吒汽车App出现无法登录、显示"HTTP 502 Bad Gateway"错误提示,或虽能打开但汽车定位无法更新、无法查看充电和续航信息等问题。同时,官网也无法正常访问。
一位不愿具名的知情人士透露,此次哪吒汽车App出现断网等问题,主要是流量欠费,假期无人看管造成的。这些服务已恢复正常运行。
值得注意的是,这已非哪吒汽车首次出现类似问题。今年1月和4月,哪吒汽车官网和App均曾被曝出现异常。作为曾在2022年以约15.21万辆年销量登顶造车新势力榜首的"黑马",哪吒汽车自2023年销量大幅下滑后,经营状况持续恶化。2024年10月起,公司被曝出大规模裁员、降薪、拖欠供应商货款和停工停产等负面消息。
08
数十亿美元网络攻击背后的黑手:Golden Chickens推出两款新型恶意软件
近期发现,臭名昭著的恶意软件即服务(MaaS)提供商Golden Chickens(又称Venom Spider)在2025年初推出了两款新型恶意软件工具:TerraStealerV2和TerraLogger,旨在窃取用户凭证和加密货币钱包数据。
据Insikt Group的威胁研究人员报告,他们在2025年1月至4月期间发现了与Golden Chickens相关的10个恶意软件样本。其中:
TerraStealerV2主要针对Chrome浏览器的"Login Data"数据库,收集保存的密码和浏览器扩展信息,但目前尚未能绕过Chrome在2024年中引入的应用程序绑定加密(ABE)安全功能。该恶意软件通过Telegram和可疑的文件传输域名wetransfers[.]io将数据外泄,并以多种文件格式(LNK、MSI、DLL和EXE)传播。
09
特朗普政府使用的加密聊天应用遭黑客攻破
曾被特朗普政府官员使用的聊天应用TM SGNL因数据泄露事件暂停运营。此次安全漏洞导致存档消息、政府官员联系信息、后台面板的用户名和密码,以及客户机构信息被黑客获取。
TM SGNL由美以合资公司TeleMessage开发。据报道,一名匿名黑客声称仅用"15-20分钟"就成功入侵了TeleMessage的后台基础设施。受影响的客户包括美国海关与边境保护局(CBP)和加密货币巨头Coinbase,但黑客表示未获取特朗普内阁官员或国家安全顾问Mike Waltz的消息。
软件工程师Micah Lee分析应用源代码后发现严重漏洞,包括硬编码凭证。此前TeleMessage对Signal进行了修改,添加了消息存档功能,这可能是为了满足政府官员的记录保存合规要求。然而,这种修改导致解密后的消息以明文形式存储在TeleMessage的服务器上,成为安全隐患。黑客确认被入侵的正是用于消息存档的Amazon Web Services(AWS)服务器,证实了这一漏洞。Signal发言人重申,该公司"无法保证非官方版Signal的隐私或安全属性"。
10
黑客"NullBulge"承认窃取迪士尼Slack数据
黑客"NullBulge",一名25岁加州男子Ryan Kramer近日认罪,承认非法访问迪士尼内部Slack频道并窃取超过1.1TB的公司内部数据。
据美国司法部透露,Kramer于2024年初创建了一个恶意程序,在GitHub等平台上将其伪装成AI图像生成工具。这款恶意软件能让Kramer访问安装者的计算机,窃取设备上的数据和密码。据报道,迪士尼员工Matthew Van Andel下载并执行了该程序,从而让Kramer获得了他设备的访问权限,包括存储在1Password密码管理器中的凭证。利用这些被盗凭证,Kramer进入迪士尼的Slack频道,下载了1.1TB的企业数据。
随后,Kramer冒充俄罗斯黑客组织"NullBulge"联系Van Andel,威胁称如不配合,将公开其个人信息和迪士尼被盗的Slack数据。在未收到回应后,NullBulge于2024年7月12日在黑客论坛BreachForums上发帖,标题为"DISNEY INTERNAL SLACK",声称已入侵迪士尼并泄露了1.1TB的被盗数据。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
原文始发于微信公众号(汇能云安全):数十亿美元网络攻击背后的黑手:Golden Chickens推出两款新型恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论