MOVEit缝隙致数据泄露，Nam3L3ss组织曝光数百万员工纪录

首页 > 安全钻研 > 安全传递 > 安全简讯

MOVEit缝隙致数据泄露，Nam3L3ss组织曝光数百万员工纪录

颁布功夫 2024-12-05

1. MOVEit缝隙致数据泄露，Nam3L3ss组织曝光数百万员工纪录

12月3日，一路涉及MOVEit文件传输工具的安全缝隙事务引发了宽泛关注。该缝隙被Cl0p勒索病毒团伙利用，导致数千家公司的敏感数据被盗，其中蕴含来自27家大公司的超过760,000份员工纪录，以及仲量联行公司(JLL.com)的1200万行数据，总数达到1312万条。这些数据蕴含姓名、电子邮件、电话号码、地址和公司地位坐标等敏感信息，被泄露后可能会被用于社会工程攻击、身份偷窃或网络垂钓诳骗等恶意行为。泄露数据的组织Nam3L3ss自称“数据义勇军”，在黑客论坛BreachForums上颁布了这些信息，并宣称是从MOVEit缝隙中获得的数据。这次泄密事务涉及的公司蕴含美国银杏注诺基亚、摩根士丹利等行业巨头，总数达到近1亿幼我。固然Nam3L3ss的动机尚不明确，但他们的行为无疑露出了MOVEit缝隙的沉大影响以及被盗员工数据带来的风险。受影响公司的员工应维持警惕，以防网络垂钓等攻击。

https://hackread.com/data-vigilante-leaks-772k-employee-record-database/

2. Kimsuky利用垂钓邮件进行凭证窃取，滥用俄罗斯发件人地址

12月3日，与朝鲜结盟的威胁行为者Kimsuky，被指与一系列网络垂钓攻击有关联。这些攻击重要通过发送源自俄罗斯发件人地址的电子邮件进行，旨在窃取凭证。据韩国网络安全公司Genians观察，垂钓邮件最初重要通过日本和韩国的电子邮件服务发送，但从9月中旬起头，假装成来自俄罗斯的垂钓邮件逐步增多，滥用VK的Mail.ru电子邮件服务，该服务支持五个别号域。Kimsuky攻击者利用这些发件人域假装成金融机构和互联网门户网站，如Naver，进行网络垂钓活动。此表，还发送仿照Naver MYBOX云存储服务的新闻，诱导用户点击链接，宣称在其帐户中检测到恶意文件并必要删除，以此诱骗用户。这些新闻固然表表上是从特定域名发送的，但现实上是利用受习染的电子邮件服务器发送的。Kimsuky还善于使用合法电子邮件工具如PHPMailer和Star，以逃避安全查抄。这些攻击的最终指标是凭证偷窃，进而劫持受害者账户，并利用它们对其他员工或熟人提议后续攻击。

https://thehackernews.com/2024/12/north-korean-kimsuky-hackers-use.html

3. 欧警捣毁加密犯罪平台MATRIX，缴获大量犯法资产

12月4日，欧洲刑警组织颁发，法国和荷兰法律部门已捣毁与国际贩毒、兵器贩运和洗钱等严沉犯罪有关的名为MATRIX的加密信息服务。该平台最初由荷兰当局在一名罪犯手机中发现，占有近8000名用户，服务器遍布多个国度，重要在德国和法国。警方在三个月的调查中截获并破译了230多万条信息，并在国际行动中粉碎了服务器，扣留了三名嫌疑人，蕴含平台的嫌疑所有者和运营商。MATRIX占有复杂的基础设施，提供加密新闻传递、安全通话、视频和语音共享以及匿名网页浏览等服务，甚至推出了打赌利用法式和钱币。欧洲刑警组织暗示，MATRIX比之前被取缔的Sky ECC和EncroChat等平台更为复杂，用户只能通过约请参与。警方将持续调查与该平台有关的犯罪活动。

https://therecord.media/matrix-criminal-encrypted-chat-platform-takedown-police

4. CISA将三个缝隙增长到已知被利用缝隙目录

12月4日，美国网络安全和基础设施安全局（CISA）近日更新了其已知被利用缝隙（KEV）目录，新增了三个缝隙，别离是ProjectSend的身份验证不当缝隙（CVE-2024-11680）、North Grid Proself的XML表部实体（XEE）引用缝隙（CVE-2023-45727）以及Zyxel多防火墙的蹊径遍历缝隙（CVE-2024-11667）。其中，Proself的缝隙允许未经授权的攻击者读取服务器文件，蕴含账户数据；ProjectSend的缝隙则影响r1720之前的版本，攻击者可借此未经授权批改利用配置，创建账户，上传恶意软件；而Zyxel的缝隙则可能让攻击者通过精心设计的URL下载或上传文件。据VulnCheck钻研人员称，ProjectSend的缝隙似乎已被野表攻击者利用，且攻击者已采取一系列行动，如更改登录页面标题，启用用户注册以获取身份验证后的接见权限，并上传Webshell。CISA已要求联国机构在2024年12月24日之前建复这些缝隙，并建议个人组织审查该目录并解决其基础设施中的缝隙，以�；ね缑馐芄セ�。

https://securityaffairs.com/171638/security/u-s-cisa-adds-projectsend-north-grid-proself-and-zyxel-firewalls-bugs-to-its-known-exploited-vulnerabilities-catalog.html

5. DroidBot：新型Android银行恶意软件窃取多国加密钱币及银行凭证

12月4日，DroidBot是一种新型Android银行恶意软件，自2024年6月起活跃，以恶意软件即服务（MaaS）大局运营，每月售价3000美元。它试图窃取英国、意大利、法国、西班牙、葡萄牙等国的77多个加密钱币买卖所和银行利用的凭证。只管职能并不新鲜复杂，但DroidBot在英国、意大利、法国、土耳其和德国已造成776起怪异习染，显示其高度活跃。此恶意软件正大力开发中，并试图扩大至新地域，蕴含拉丁美洲。DroidBot由土耳其开发者创建，为同盟成员提供恶意软件构建器、号令和节造（C2）服务器及中央治理面板等工具，使网络犯罪分子易于使用。它常假装成Google Chrome、Google Play商店或Android安全中心，诱骗用户装置，充任木马角色窃取敏感信息。重要特点蕴含键盘纪录、覆盖合法银行利用界面显示虚伪登录页面、短信拦截和VNC�？�。它还滥用Android辅助职能服务监控用户操作。为了减轻威胁，建议Android用户仅从Google Play下载利用，仔细查抄权限要求，并确保Play Protect处于活动状态。

https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/

6. BT集团遭Black Basta勒索软件攻击，部门服务器已关关

12月4日，跨国电信巨头BT集团（前身为英国电信）确认其BT会议业务部门在遭逢Black Basta勒索软件攻击后，已关关部门服务器。只管这次安全事务未影响BT集团的运营或BT会议服务，但Black Basta团伙宣称已入侵该公司服务器并窃取500GB数据，蕴含财政、组织、用户数据和幼我文档等。该团伙还在暗网泄密网站上增长了倒计时，宣称将于下周泄露据称被盗的数据。BT集团暗示将持续积极调查此事，并与有关机构合作应对。Black Basta勒索软件行动自2022年4月以来已造成很多驰名受害者，蕴含医疗保健公司、当局承包商等，其分支机构已入侵500多个组织，并从90多名受害者手中收取至少1亿美元的赎金。

https://www.bleepingcomputer.com/news/security/bt-conferencing-division-took-servers-offline-after-black-basta-ransomware-attack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研