SloppyLemming利用Cloudflare Workers等工具发动间谍攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

SloppyLemming利用Cloudflare Workers等工具发动间谍攻击

宣布时间 2024-09-27

1. SloppyLemming利用Cloudflare Workers等工具发动间谍攻击

9月25日，高级连续性威胁（APT）组织“SloppyLemming”近期被发现利用Cloudflare的Worker云服务以及Discord、Dropbox、GitHub等工具，在印度次大陆及周边地域对政府和执法机构进行广泛的间谍活动。该组织被Crowdstrike追踪为“Outrider Tiger”，其行动与从印度及周边国家敏感组织窃取情报高度相关。受害者包罗政府机构、IT和电信企业、建筑公司，甚至巴基斯坦的核电设施，且攻击范围还扩展至孟加拉国、斯里兰卡及中国的能源与学术机构，甚至可能触及澳大利亚首都堪培拉。SloppyLemming通过精心设计的鱼叉式网络钓鱼邮件启动攻击，利用Cloudflare Workers这一无服务器计算平台执行恶意脚本，拦截并操作流经Cloudflare的Web流量，以窃取登录凭证和泄露电子邮件。此外，SloppyLemming还开发了名为“CloudPhish”的定制工具，专门用于凭证窃取和泄露，通过模仿目标Webmail登录页面来诱骗用户输入信息。同时，该组织还利用Google OAuth令牌收集和RAR文件漏洞利用（CVE-2023-38831）等手段，构建庞大的攻击链，进一步加剧了宁静威胁。

https://www.darkreading.com/cloud-security/sloppylemming-apt-cloudflare-pakistan-attacks

2. 法国9500万条公民数据遭泄露，涉及多行业信息

9月25日，法国近期发生了一起震惊的数据泄露事件，涉及凌驾9500万条公民数据记录被果然置于互联网上，远超法国总人口数，数据范围涵盖姓名、联系方式、电子邮件及部门支付信息等敏感内容。此次事件由Cybernews与网络宁静专家配合揭露，源头指向一个开放的Elasticsearch服务器“vip-v3”，无需认证即可访问，内含至少30GB数据，源于17起差异的数据泄露事故。泄露数据不仅数量庞大，且种类繁多，涉及电信、电商、社交媒体等多个行业，包罗知名公司如Lycamobile、Pandabuy、Darty、Discord及Snapchat等，反映了数据泄露问题的广泛性和严重性。尤为值得关注的是，数据库果然状态已连续一段时间，不排除已有恶意第三方复制数据用于非法活动。此外，该行为明显违反了欧盟GDPR规则，显示出数据库管理者对执法的无视及潜在的恶意目的。研究人员警告，如此集中且详尽的个人信息袒露，将极大提升身份偷窃、欺诈及网络攻击的风险，对数百万个人及企业组成威胁。

https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/

3. 美国国会超3000名事情人员信息遭暗网泄露

9月26日，美国国会大厦近期成为大规模网络攻击的受害者，导致凌驾3,000名国会事情人员的敏感个人信息在暗网上曝光。据Proton和Constella Intelligence公司的研究发现，这些泄露数据包罗密码、IP地址及社交媒体信息，共计约3,191条记录，其中近五分之一的国会员工受到波及。特别值得注意的是，部门员工因不良习惯，如使用官方邮箱注册包罗约会和成人网站等高风险网站，导致信息被多次泄露，最高单例涉及31个密码。Proton指出，这种将事情邮箱与不宁静平台绑定的行为组成了严重宁静漏洞。公司允许将进一步宣布视察结果，并强调在总统选举期间加强防护的重要性。同时，公司已向所有受影响的国会事情人员发出警示。此外，今年6月，同一视察团队还发现数百名英国及欧盟政客的个人信息同样在暗网市场上流通，包罗电子邮箱、密码及出生日期等敏感数据，凸显了全球政治领域面临的网络宁静挑战。

https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html

4. Unit 42揭示RomCom恶意软件新变种SnipBot

9月25日，Unit 42宁静团队近期揭露了污名昭著的RomCom恶意软件家族的新变种“SnipBot”，该变种于2024年初崭露头角，专为企业网络设计，具备远程操控与恶意负载下载能力。SnipBot以其创新的代码混淆技术和高级反检测计谋为特点，被推测为针对IT服务、企业法人及农业等行业提倡的广泛网络攻击的一部门。2024年4月，Unit 42捕捉到一个异常DLL�？�，确认为SnipBot工具包组件。通过深入分析，研究人员还原了SnipBot的熏染路径及后续活动。其熏染始于伪装成合法PDF文件的钓鱼邮件，内含恶意可执行文件。一旦入侵乐成，SnipBot赋予攻击者全面控制权，允许其执行任意命令、搜集系统信息及窃取数据。同时，SnipBot能下载如SnippingTool.dll、svcnet.exe等特别�？�，增强攻击能力。Unit 42视察到，攻击者特别关注从受害者网络中提取数据，尤其是域控制器信息，利用PuTTY、WinRAR等合法工具及fsutil.exe、dsutil.exe等伪装执行恶意操作。尽管RomCom家族常与勒索软件活动相关联，但SnipBot的行为模式显示出其正转向情报收集与间谍活动。

https://securityonline.info/new-romcom-variant-snipbot-unveiled-a-sophisticated-malware-targeting-enterprise-networks/

5. 起亚经销商网站现严重漏洞：黑客可凭车牌号远程控制数百万车辆

9月26日，宁静领域近期曝出一起针对起亚汽车的宁静漏洞事件，该漏洞涉及起亚汽车经销商门户网站，使得黑客仅凭车牌号就能在极短时间内远程控制数百万辆2013年后生产的起亚汽车。这一发现追溯至今年6月，由宁静研究员萨姆-库里等人揭露。与去年曝光的涉及多家汽车品牌的漏洞类似，此次起亚漏洞不仅让黑客能远程操控车辆，还袒露了车主的敏感个人信息，如姓名、联系方式及地址。研究人员通过注册经销商账户并获取访问令牌，乐成渗透后端API，进而实现对车辆及车主数据的全面访问。他们开发了一个演示工具，展示了黑客如何通过车牌号在30秒内执行包罗锁定/解锁、启动/停止车辆、鸣笛及定位在内的远程控制操作。更为严重的是，黑客还能在车主毫不知情的情况下，将自己添加为车辆的第二用户，实现隐蔽的远程操控。幸运的是，这些漏洞已被及时发现并修复，且未发现有恶意利用的记录。起亚团队也确认了漏洞未被外部恶意攻击所利用。

https://www.bleepingcomputer.com/news/security/kia-dealer-portal-flaw-could-let-attackers-hack-millions-of-cars/

6. Rhadamanthys在0.7.0版本中添加了创新的AI功效

9月26日，Rhadamanthys是一款自2022年起迅速演进的高级信息窃取法式，其最新0.7.0版本集成了人工智能驱动的光学字符识别技术，能从图像中提取加密货币种子短语，极大提升了其威胁性。尽管面临地域性禁令，该恶意软件仍活跃于地下市场，利用MSI安装法式伪装等手段规避检测，以偷取凭证、系统信息及财政数据。其AI图像识别功效尤为引人注目，使攻击者能自动捕捉并泄露加密货币信息。Rhadamanthys的开发者通过TOX和Telegram等平台连续推广，并针对北美、南美等地加密货币用户实施精准攻击。为应对这一威胁，Insikt Group提出了多种缓解计谋，包罗基于互斥锁的终止开关、高级检测规则及强化端点�；さ�，旨在主动阻止恶意软件执行并提升系统防护能力。展望未来，随着Rhadamanthys 0.8.0等新版本的研发，预计其将融合更多机器学习技术，进一步提升窃取效率与隐蔽性。因此，保持检测技术的连续更新与升级，对于有效抵御此类高级威胁至关重要。

https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究