数十亿美元网络攻击背后的黑手：Golden Chickens推出两款新型恶意软件

英国著名百货公司Harrods近日证实遭遇恶意威胁行为者的网络攻击尝试，成为继玛莎百货和Co-op之后又一家受到攻击的英国零售巨头。

据悉，此次事件发生在上周，促使Harrods采取保护措施，包括限制其实体店铺的互联网访问。尽管如此，Harrods强调其在线商店在5月1日晚间仍正常运营。虽然此次事件导致后台运营调整，但这家奢侈品零售商向客户保证，其位于骑士桥的旗舰店以及H Beauty和机场门店仍正常营业。目前没有迹象表明客户数据遭到泄露。

近期，英国零售业面临一系列网络攻击。玛莎百货遭受的攻击已被归因于复杂黑客组织Scattered Spider，导致其在线业务瘫痪，订单停止，部分实体店货架空空如也，市值大幅下跌。同时，Co-op也成为网络攻击的受害者，实施了严格的内部安全协议，包括在线会议强制使用摄像头以验证参会者身份。

英国国家网络安全中心(NCSC)正积极参与调查，与受影响的组织合作，了解这些事件的性质和潜在联系。

近日，Apache Parquet Java中一个严重安全缺陷被披露，该缺陷可能允许攻击者通过精心构造的Parquet文件执行任意代码，影响Apache Parquet Java 1.15.1及之前的所有版本。

Apache Parquet是一种广泛应用于大数据生态系统中的列式存储文件格式，常与Apache Hadoop、Spark和Flink等处理框架配合使用。该安全缺陷存在于parquet-avro模块中，该模块负责处理嵌入在Parquet文件元数据中的Avro模式。该缺陷特别针对使用"specific"或"reflect"模型读取Parquet文件的应用程序。对于可能从不受信任来源摄取Parquet文件的数据处理管道，这一缺陷尤其令人担忧。

使用Apache Parquet Java的parquet-avro模块从Parquet文件反序列化数据的应用程序，如果处理不受信任的文件，存在远程代码执行的风险。该缺陷源于反序列化过程中Avro模式的处理方式，可能允许攻击者注入在模式解析期间被执行的恶意代码。

研究人员最近发现一个影响微软Telnet服务器的严重漏洞。该漏洞允许攻击者完全绕过身份验证，无需有效凭据即可获得管理员访问权限。这个被指定为零点击的漏洞无需用户交互，可远程利用。

漏洞存在于Telnet MS-TNAP（微软Telnet认证协议）扩展的NTLM认证过程中的配置错误。受影响系统包括从Windows 2000到Windows Server 2008 R2的旧版微软操作系统。虽然这些系统相对较旧，但许多组织仍在使用它们运行遗留应用程序或基础设施。

技术上，漏洞源于认证握手过程中SSPI（安全支持提供程序接口）标志配置不当。服务器使用SECPKG_CRED_BOTH标志初始化NTLM安全，并使用带有ASC_REQ_DELEGATEASC_REQ_MUTUAL_AUTH标志的AcceptSecurityContext()，这种组合允许攻击者颠倒认证关系。

2025年一季度，我国软件和信息技术服务业运行态势良好，软件业务收入稳健增长，利润总额保持两位数增长，软件业务出口增速由负转正。 

一季度，我国软件业务收入31479亿元，同比增长10.6%；软件业利润总额3726亿元，同比增长11.6%；软件业务出口131亿美元，增速由负转正，同比增长2.4%。

其中，信息安全收入增速加快：信息安全产品和服务收入481亿元，同比增长8.6%。

Sansec近日披露，一起大规模的协调供应链攻击已经危及约500至1000家使用Magento平台的电子商务网站，其中包括一家市值400亿美元的跨国公司。攻击者通过在21个Magento扩展程序中植入后门代码实施了这次攻击，并获取电子商务服务器的完全控制权。

研究人员发现，这些恶意代码早在2019年就已被注入，但直到2025年4月才被激活。受影响的扩展程序来自三家供应商：Tigren、Meetanshi和MGS。在所有观察到的案例中，扩展程序都在许可证检查文件中包含了PHP后门。这些恶意代码会检查包含特殊参数"requestKey"和"dataSign"的HTTP请求，并根据PHP文件中的硬编码密钥进行验证。如果验证成功，后门将允许访问文件中的其他管理功能，包括允许远程用户上传新许可证并将其保存为文件。然后，该文件通过"include_once()"PHP函数加载并自动执行上传的许可证文件中的任何代码。

Sansec表示，这个后门被用来向其客户网站上传webshell。鉴于能够上传和运行任何PHP代码，攻击可能导致数据窃取、信用卡窃取器注入、任意管理员账户创建等严重后果。

爱尔兰数据保护委员会(DPC)因TikTok违反欧盟GDPR数据保护法规，非法将欧洲经济区(EEA)用户个人数据传输至中国，对其处以5.3亿欧元(约合6.01亿美元)罚款。

此次罚款包括两部分：因违反GDPR第46(1)条关于数据传输合法性规定被罚4.85亿欧元，以及因违反第13(1)(f)条关于透明度不足被罚4500万欧元。DPC还要求TikTok在六个月内使其数据处理符合规定，否则将暂停所有对中国的数据传输。

DPC副专员Graham Doyle指出，TikTok未能验证、保证并证明中国员工远程访问的EEA用户个人数据得到与欧盟同等水平的保护。TikTok欧洲公共政策与政府关系主管Christine Grahn表示公司不认同DPC的决定，并计划提出上诉，理由是DPC未考虑TikTok新推出的Project Clover数据安全计划。该计划实施了先进的隐私增强技术，确保非限制性数据在中国员工访问前被去识别化。

这是爱尔兰数据保护机构迄今为止施加的第三大罚款，仅次于对亚马逊的7.46亿欧元和对Facebook的12亿欧元罚款。

近日，哪吒汽车App和官网出现断网故障，导致车主无法远程操控车辆，引发广泛关注。据多位车主反映，从5月2日开始，哪吒汽车App出现无法登录、显示"HTTP 502 Bad Gateway"错误提示，或虽能打开但汽车定位无法更新、无法查看充电和续航信息等问题。同时，官网也无法正常访问。

一位不愿具名的知情人士透露,此次哪吒汽车App出现断网等问题，主要是流量欠费，假期无人看管造成的。这些服务已恢复正常运行。

值得注意的是，这已非哪吒汽车首次出现类似问题。今年1月和4月，哪吒汽车官网和App均曾被曝出现异常。作为曾在2022年以约15.21万辆年销量登顶造车新势力榜首的"黑马"，哪吒汽车自2023年销量大幅下滑后，经营状况持续恶化。2024年10月起，公司被曝出大规模裁员、降薪、拖欠供应商货款和停工停产等负面消息。

近期发现，臭名昭著的恶意软件即服务(MaaS)提供商Golden Chickens(又称Venom Spider)在2025年初推出了两款新型恶意软件工具：TerraStealerV2和TerraLogger，旨在窃取用户凭证和加密货币钱包数据。

据Insikt Group的威胁研究人员报告，他们在2025年1月至4月期间发现了与Golden Chickens相关的10个恶意软件样本。其中：

TerraStealerV2主要针对Chrome浏览器的"Login Data"数据库，收集保存的密码和浏览器扩展信息，但目前尚未能绕过Chrome在2024年中引入的应用程序绑定加密(ABE)安全功能。该恶意软件通过Telegram和可疑的文件传输域名wetransfers[.]io将数据外泄，并以多种文件格式(LNK、MSI、DLL和EXE)传播。

曾被特朗普政府官员使用的聊天应用TM SGNL因数据泄露事件暂停运营。此次安全漏洞导致存档消息、政府官员联系信息、后台面板的用户名和密码，以及客户机构信息被黑客获取。

TM SGNL由美以合资公司TeleMessage开发。据报道，一名匿名黑客声称仅用"15-20分钟"就成功入侵了TeleMessage的后台基础设施。受影响的客户包括美国海关与边境保护局(CBP)和加密货币巨头Coinbase，但黑客表示未获取特朗普内阁官员或国家安全顾问Mike Waltz的消息。

软件工程师Micah Lee分析应用源代码后发现严重漏洞，包括硬编码凭证。此前TeleMessage对Signal进行了修改，添加了消息存档功能，这可能是为了满足政府官员的记录保存合规要求。然而，这种修改导致解密后的消息以明文形式存储在TeleMessage的服务器上，成为安全隐患。黑客确认被入侵的正是用于消息存档的Amazon Web Services(AWS)服务器，证实了这一漏洞。Signal发言人重申，该公司"无法保证非官方版Signal的隐私或安全属性"。

黑客"NullBulge"，一名25岁加州男子Ryan Kramer近日认罪，承认非法访问迪士尼内部Slack频道并窃取超过1.1TB的公司内部数据。

据美国司法部透露，Kramer于2024年初创建了一个恶意程序，在GitHub等平台上将其伪装成AI图像生成工具。这款恶意软件能让Kramer访问安装者的计算机，窃取设备上的数据和密码。据报道，迪士尼员工Matthew Van Andel下载并执行了该程序，从而让Kramer获得了他设备的访问权限，包括存储在1Password密码管理器中的凭证。利用这些被盗凭证，Kramer进入迪士尼的Slack频道，下载了1.1TB的企业数据。

随后，Kramer冒充俄罗斯黑客组织"NullBulge"联系Van Andel，威胁称如不配合，将公开其个人信息和迪士尼被盗的Slack数据。在未收到回应后，NullBulge于2024年7月12日在黑客论坛BreachForums上发帖，标题为"DISNEY INTERNAL SLACK"，声称已入侵迪士尼并泄露了1.1TB的被盗数据。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除