加州某福利平台遭到攻击数千个账户信息泄露
发布时间 2024-04-294月27日,威胁行为者入侵了加州一个专门用于福利项目的平台上的 19000 多个在线帐户。官员们报告称,安全漏洞发生在 2 月 9 日,当时有人登录了一些 BenefitsCal 用户的账户。威胁行为者利用从第三方网站获得的重复使用的密码。BenefitsCal 是一个位于加利福尼亚州的网络平台,使用户能够申请和监督一系列福利计划,包括食品券、现金援助和医疗福利。根据日期泄露通知,潜在泄露的信息可能包括用户姓名、地址、出生日期、社会安全号码的完整或最后四位数字、电子邮件地址、电话号码、EBT 卡号、案件编号、Medi-Cal ID 号以及有关其计划资格和福利的信息。BenefitsCal 正在通知受影响的用户并向他们提供可以做什么的说明。为了应对这一事件,该机构停用了账户并启动了调查,结果显示攻击者在 2023 年 3 月 1 日至 2024 年 2 月 13 日期间拥有访问权限。
https://securityaffairs.com/162408/data-breach/california-state-welfare-platform-accounts-compromise.html
2. 欧洲刑警组织宣布在执法行动中取缔LabHost
4月26日,欧洲刑警组织宣布,全球最大的Phaas平台之一 LabHost 在全球执法行动中被捣毁。来自不少于 19 个国家的当局加入了由英国伦敦警察厅牵头的为期一年的行动,逮捕了 37 名嫌疑人,其中包括据称与该服务运营及其原始开发有关的人。全球约有 10000 人使用该服务,月费平均为 249 美元。调查发现至少 40000 个与 LabHost 链接的网络钓鱼域名,并诱骗用户交出敏感详细信息。了解有关视频中的刺痛的更多信息,并确保您知道如何避免成为网络钓鱼攻击的受害者。在其他网络犯罪新闻中,美国执法部门对 Samourai Wallet加密货币混合服务的创始人提出洗钱指控,同时联邦打击此类服务。
https://www.welivesecurity.com/en/videos/major-phishing-as-a-service-platform-disrupted-week-security-tony-anscombe/
3. 研究团队发现使用office漏洞针对乌克兰的攻击活动
4月27日,网络安全研究人员发现了针对乌克兰的一项有针对性的攻击活动,该行动利用了 Microsoft Office 中近七年的某个漏洞,在受感染的系统上传 Cobalt Strike。据 Deep Instinct 称,该攻击链发生于 2023 年底,采用 PowerPoint 幻灯片文件(“signal-2023-12-20-160512.ppsx”)作为起点,文件名暗示它可能已通过 Signal 即时通讯应用程序共享。尽管如此,没有实际证据表明 PPSX 文件是以这种方式分发的,尽管乌克兰计算机紧急响应小组 (CERT-UA) 发现了两个使用该消息应用程序作为恶意软件传递的不同活动过去的向量。这涉及利用CVE-2017-8570(CVSS 分数:7.8),这是 Office 中现已修补的远程代码执行错误,该错误可能允许攻击者在说服受害者打开特制文件、加载远程脚本托管在 weavesilk[.]space 上。
https://thehackernews.com/2024/04/ukraine-targeted-in-cyberattack.html
4. Okta 警告客户可能遭受前所未有的撞库攻击
4月27日,Okta 警告称,针对其身份和访问管理解决方案的撞库攻击出现了前所未有的激增。威胁行为者通过自动尝试通常从网络犯罪分子那里购买的用户名和密码列表,使用凭证填充来登录。Okta 在今天的一份公告中表示,这些攻击似乎源自 Cisco Talos 之前报告的暴力破解和密码喷射攻击中使用的相同基础设施。在 Okta 观察到的所有攻击中,请求均来自 TOR 匿名网络和各种住宅代理(例如 NSOCKS、Luminati 和 DataImpulse)。Okta 表示,监测到的攻击针对在 Okta Classic Engine 上运行且 ThreatInsight 配置为仅审核模式而不是日志和强制模式的组织特别容易。同样,不拒绝匿名代理访问的组织也看到了更高的攻击成功率。Okta 表示,只有一小部分客户的攻击取得了成功。
https://www.bleepingcomputer.com/news/security/okta-warns-of-unprecedented-credential-stuffing-attacks-on-customers/
5. 旧代码中的新错误和针对 KASLR 的侧通道
4月26日,即将推出的 Windows 11 版本 24H2 目前正在通过 Windows Insider 计划进行公开预览。这篇文章介绍了发现 24H2 中引入的多个内核漏洞并编写漏洞利用程序的过程,包括绕过内核 ASLR (KASLR) 的新强化。这里描述的所有漏洞都存在于 NT 内核本身 (ntoskrnl.exe) 中,位于可由任何进程调用的系统调用中,无论其权限级别或沙箱如何。在 24H2 对 NT 内核的各个部分进行逆向工程时,我发现了两个漏洞,这两个漏洞都是用户模式内存的双重获取。这些错误特别有趣,因为它们出现在以前安全的长期存在的代码中。在以前的 Windows 版本中,由于许多系统调用在其输出中包含内核指针,因此击败 KASLR 是微不足道的。然而,在 24H2 中,这些内核地址泄漏不再可供非特权调用者使用。在没有经典的 KASLR 绕过的情况下,为了确定内核的布局,需要一种新技术。我听说过一种在 Linux 上使用的技术,称为EntryBleed,它使用计时旁路来确定内核的地址,并决定研究是否可以在 Windows 上使用类似的技术。
https://exploits.forsale/24h2-nt-exploit/
6. ICICI银行泄露17000名客户的信用卡数据
4月28日,ICICI 银行是印度领先的私人银行之一,意外地将数千张新信用卡的数据暴露给非预期接收者的客户。ICICI 银行有限公司是一家印度跨国银行和金融服务公司,总部位于孟买。它为企业和零售客户提供广泛的银行和金融服务。该银行在印度各地拥有 6000 家分行和 17000 台 ATM 机,业务遍及 17 个国家。由于其移动银行应用程序“iMobile”中的技术错误,该银行冻结了 17,000 张信用卡。该故障导致用户可获取其他客户的详细信息。暴露的财务信息包括信用卡号、有效期和卡验证值 (CVV)。在一些客户在社交媒体上报告该问题后,该银行意识到了这一问题。该银行表示,该事件影响了该银行约 0.1% 的信用卡。ICICI 银行正在向受影响的客户发行新的信用卡。2023 年 4 月,Cybernews 的研究人员报告称,ICICI 银行泄露了数百万条包含敏感数据的记录,包括该银行客户的财务信息和个人文件。
https://securityaffairs.com/162479/security/icici-bank-technical-glitch.html
京公网安备11010802024551号