每日安全简讯(20260121)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 APT组织Konni利用谷歌和Naver广告传播恶意软件
研究人员披露,波塞冬行动(Operation Poseidon)是臭名昭著的Konni APT组织发起的精密攻击活动。攻击者滥用ad.doubleclick[.]net、mkt.naver[.]com的合法重定向链接,使初始点击对安全过滤器呈良性,诱导用户经广告服务器跳转至已被攻陷的WordPress网站获取恶意载荷。攻击精准针对韩国目标,伪装人权组织、金融机构发送钓鱼邮件,以“材料提交说明”“转账交易记录确认”等名义诱骗下载恶意压缩包,还通过HTML隐藏文本的内容填充技术,用无意义英文语句混淆AI安全扫描器。
https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing
2 TamperedChef攻击活动通过谷歌广告分发信息窃取程序
研究人员揭露TamperedChef攻击活动自2025年6月起活跃,9月被正式检测,通过谷歌广告分发带毒的“AppSuite PDF编辑器”,已感染全球19国超100台设备,欧洲地区受害最为集中。攻击者利用有效EV代码签名证书为恶意程序签名,成功绕过Windows SmartScreen防护,降低用户警惕。这款看似合法的编辑器会静默安装窃密软件,窃取浏览器密码、会话Cookie等敏感数据,其元数据含“Manual FinderApp”标识,专门诱骗寻找产品手册的专业人士。
https://www.sophos.com/en-us/blog/tamperedchef-serves-bad-ads-with-infostealers-as-the-main-course
3 键盘记录器入侵美国银行员工商店窃取敏感数据
研究人员在美国三大银行之一的员工商品商店中,发现一款活跃键盘记录器,该网站服务超20万名员工,用于订购企业定制商品,恶意软件可窃取表单中登录凭证、银行卡号及个人信息。截至1月15日更新,该恶意软件已被移除,累计活跃约18小时。其采用两阶段加载机制,通过字符编码混淆规避静态分析,借助图片信标技术外传数据以绕过防护。该威胁仅被Sansec检测到,暴露通用安全工具盲区,且涉事银行未公开security.txt致漏洞上报受阻,专家建议将员工商店纳入安全审计,部署专用工具防护客户端脚本攻击。
https://sansec.io/research/keylogger-major-us-bank-employees
4 美国两起医疗行业数据泄露事件影响数万名患者信息
美国两起医疗行业数据泄露事件曝光,波及数万名患者敏感信息。密歇根州中部医疗账单服务公司2025年3月27日检测到网络异常,经调查确认28185名患者受影响,泄露信息含姓名、出生日期、诊疗记录、医保信息、生物识别数据等,少数人社保号遭泄露,该公司已联动客户通知受影响者。纽约VillageCareMAX医疗服务机构则因合作方TMG Health(高知特旗下)遭入侵而受波及,黑客于2024年11月至2025年9月期间非法访问其系统长达10个月,可能泄露患者姓名、社保号等信息。
https://www.hipaajournal.com/mid-michigan-billing-service-village-care-max-data-breach/
5 英迈遭勒索软件攻击泄露4.2万个人信息
全球科技分销商英迈(Ingram Micro)确认遭遇勒索软件攻击,约4.2万人个人信息受影响,涉事黑客组织为Safepay。该公司2025年7月3日检测到网络异常,随即联合安全专家展开调查,通过关停部分系统控制事态,7月9日完成系统恢复并全面重启全球业务。调查显示,黑客于7月2日至3日窃取内部文件,泄露信息含姓名、出生日期、社保号、驾照/护照信息及雇佣评估等雇佣与求职记录。英迈未披露谈判细节,但Safepay团伙已在Tor泄露网站认领攻击,声称窃取3.5TB敏感数据并公开,暗示谈判破裂。
https://securityaffairs.com/187083/data-breach/ransomware-attack-on-ingram-micro-impacts-42000-individuals.html
6 多国警方联合追捕Black Basta勒索软件团伙头目
德、荷、乌等多国警方联合开展针对Black Basta勒索软件团伙的打击行动,突袭两名嫌疑人住所并对团伙创始人、35岁俄罗斯人奥列格·叶夫根尼耶维奇·涅费多夫发出国际通缉令,其目前在逃且大概率藏匿于俄罗斯。该团伙2022年3月至2025年2月活跃期间,累计攻击全球超600名受害者,敛财数亿美元加密货币,主要针对西方目标及医疗等关键基础设施。团伙分工明确,此次被捕的乌克兰成员负责破解密码、获取初始访问权限,另有成员擅长伪装恶意软件躲避检测。
https://www.govinfosecurity.com/ransomware-most-wanted-cops-seek-head-black-basta-a-30554
页:
[1]