每日安全简讯(20250421)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 荷兰零售集团旗下超市被勒索组织窃取数据
2025年4月18日,荷兰零售集团Ahold Delhaize USA证实,旗下超市被勒索组织窃取了文件。Ahold Delhaize USA旗下拥有Hannaford、Stop & Shop等超2000家超市。事件导致2024年11月多家超市品牌网站处于线下状态,无法线下配送订单。“内部业务系统”在遭INC勒索组织网络攻击且6TB数据被窃,窃取数据包括运营数据在内的敏感信息。
https://therecord.media/dutch-cyberattack-stolen-hannafords-grocery
2 SmokeLoader恶意软件运营者因窃取数据被起诉
2025年4月19日,美国佛蒙特州联邦法院指控黑客Nicholas Moses(化名“scrublord”)运营SmokeLoader恶意软件,窃取超6.5万名受害者的个人信息及密码。Moses自2022年1月至2023年5月通过荷兰服务器操控该恶意软件,入侵全球数千台设备,并在地下市场以每条1至5美元的价格出售盗取的流媒体、金融账户凭证。SmokeLoader兼具木马加载器与信息窃取功能,可发起DDoS攻击及键盘记录。
https://therecord.media/alleged-smokeloader-operator-charged-in-vermont
3 恶意npm包模仿Telegram Bot API在Linux上植SSH后门
2025年4月19日,研究人员披露,npm仓库中三个伪装成热门Telegram Bot API(Telegram机器人应用程序接口)的恶意软件包(node-telegram-utils、node-telegram-bots-api、node-telegram-util)被用于攻击Linux开发环境。这些软件包仿冒合法库node-telegram-bot-api,通过“星劫持”(starjacking)手段伪造GitHub仓库关联性,诱导开发者下载。恶意包内嵌SSH后门,可窃取系统权限并外泄数据。
https://thehackernews.com/2025/04/rogue-npm-packages-mimic-telegram-bot.html
4 钓鱼即服务平台SheByte为攻击者提供定制化工具
2025年4月19日,研究人员披露,继LabHost平台取缔后,新型钓鱼即服务(PhaaS)平台SheByte迅速崛起,以每月199美元订阅模式向网络罪犯提供针对加拿大及美国金融机构的定制化攻击工具。该平台自运营以来,已占据加拿大Interac钓鱼攻击流量的10%,其“v2版”工具上线后进一步推高攻击频率。SheByte提供17家加拿大银行、4家美国银行及电信、加密货币平台的钓鱼套件,并配备LiveRAT实时监控面板,可截获多因素认证(MFA)码及受害者敏感信息。
https://cybersecuritynews.com/new-shebyte-paas-offering-199-subscription/
5 Gorilla安卓木马拦截并窃取短信验证码
2025年4月19日,研究人员发现Android恶意程序“Gorilla”,该恶意程序通过拦截包含短信验证码(OTP)的SMS消息针对银行及Yandex用户发起攻击。该恶意程序通过精细化权限滥用与通信隐蔽技术,构建针对金融账户的OTP窃取链条。其利用WebSocket实时传输数据,并规避常规检测API的行为。Catalyst警告,此类攻击可能破坏多因素认证(MFA)安全性,直接威胁用户资金与隐私。
https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/
6 SonicWall SMA设备远程代码漏洞被恶意利用
2025年4月19日,研究人员披露,自1月起,攻击者持续利用SonicWall Secure Mobile Access(SMA)设备漏洞(CVE-2021-20035)实施入侵。该漏洞为SMA100管理界面的操作系统命令注入缺陷,允许远程认证攻击者以“nobody”用户权限执行任意代码,并可引发拒绝服务(DoS)攻击。研究发现,攻击者重点针对SMA 200/210/400/410/500v系列设备,通过默认超级管理员账户及口令窃取VPN凭证。即便设备已完全修补,若账户密码策略松懈仍可能沦陷。
https://securityaffairs.com/176706/security/attackers-exploited-sonicwall-sma-appliances-since-january-2025.html
页:
[1]