1.Central Group遭遇新数据泄露,500万会员信息危在旦夕
11月20日,泰国跨国企业集团Central Group近期遭遇了数据泄露事件。据DataBreaches报告,2021年10月,Central Restaurant Group曾遭到名为DESORDEN的威胁行为者攻击。而近期,另一名威胁行为者0mid16B声称,在2024年8月至11月期间,通过Central Retail网络暴露的受损API端点,访问并窃取了5,108,826条Central Group The1 Card会员个人信息记录。The1 Card是Central Group旗下所有零售和消费品牌采用的会员系统,拥有超过1700万会员。0mid16B表示,由于与Central Group的谈判失败,决定出售这些会员个人信息记录,包括名字、姓氏、会员号码、国民身份证号码、国家、手机电话和电子邮件等敏感信息,总大小为582MB。该黑客在黑客论坛和上发布了数据列表,并提供了数据样本和验证真实性的方法。此外,0mid16B还指责泰国公司不重视数据保护,因为不会受到任何惩罚。DataBreaches曾尝试联系Central Group,但截至发稿时尚未收到回复。
/2024/11/20/thai-loyalty-membership-card-data-of-5-million-customers-put-up-for-sale-on-hacking-forum/
2. “Ghost Tap”:网络犯罪分子利用NFC技术套现新策略
11月20日,网络犯罪分子采用了一种名为“Ghost Tap”的新颖套现方法,该方法利用被盗的信用卡信息,特别是与Apple Pay和Google Pay等移动支付系统相关的数据,通过全球范围内的“钱骡”实现非法获利。与先前的移动恶意软件如NGate相比,Ghost Tap更为隐蔽且难以检测,无需受害者的实体卡或设备,也不需持续接触受害者,而是通过远程交互完成。该策略首先涉及窃取支付卡数据和一次性密码(OTP),这可以通过银行恶意软件、钓鱼页面或键盘记录等方式实现。然后,利用NFCGate工具和中继服务器,将支付信息发送给庞大的钱骡网络,这些钱骡使用其设备的NFC芯片在多个地点进行零售购买,从而掩盖了主要攻击者的踪迹。由于交易看似合法且分散于不同地点,金融机构难以发现和阻止这种策略,尤其是当涉及大量小额支付时。为了逃避追踪,钱骡们还会将设备置于飞行模式,但保持NFC系统运行。为了防范“Ghost Tap”,银行需要标记使用同一张卡在不同地点进行的非实际可达的交易,而消费者则需监控欺诈交易并立即向银行报告。
/news/security/new-ghost-tap-attack-abuses-nfc-mobile-payments-to-steal-money/
3. Ubuntu Server needrestart包曝出十年老漏洞,允许本地提权
11月20日,Ubuntu Server自21.04版起默认安装的needrestart包中存在多个已有十年历史的安全漏洞,这些漏洞可能使本地攻击者无需用户交互即可获得root权限。Qualys威胁研究部门于上月发现并报告了这些漏洞,指出它们极易被利用,用户需迅速行动修复。漏洞自2014年4月27日needrestart 0.8版引入解释器支持后一直存在,影响Debian、Ubuntu等Linux发行版。Needrestart是一个用于扫描系统以确定在共享库更新后需重启的服务,以避免系统全面重启的实用程序。它集成到服务器映像中,在APT操作后自动运行,识别关键库更新后需重启的服务,确保服务使用最新库版本,提高正常运行时间和性能。Qualys发现的五个漏洞包括通过诱骗needrestart使用攻击者控制的PYTHONPATH或RUBYLIB环境变量运行解释器,或以root身份执行任意shell命令。Ubuntu指出已在3.8版中解决这些问题,并建议用户下载最新补丁,或禁用解释器扫描器作为临时缓解措施。
/2024/11/decades-old-security-vulnerabilities.html
4. 墨西哥政府法律事务办公室遭Ransomhub勒索软件攻击
11月21日,随着网络安全威胁的不断加剧,墨西哥总统克劳迪娅·辛鲍姆证实,政府正在调查一起针对其法律事务办公室的勒索软件攻击事件。据称,勒索软件团伙Ransomhub对此次攻击负责,并已公布政府数据库中的个人信息样本,声称窃取了313 GB的数据,包括合同、保险和财务文件等。Ransomhub在其泄密网站上发布了被盗文件样本,这些文件似乎来自政府雇员数据库。此次事件并非墨西哥总统办公室首次遭遇涉及敏感信息的黑客攻击,今年1月就曾发生263名报道总统活动的记者的个人信息被泄露的事件。RansomHub是一个相对较新的勒索软件即服务(RaaS)组织,因其激进策略和对关键基础设施的关注而声名狼藉,被认为是Knight勒索软件的改版,该恶意软件针对多个平台,并采用了双重勒索模型。
/171257/data-breach/mexico-suffers-ransomware-attack.html
5. 微软重拳打击ONNX网络钓鱼服务,查封240个域名
11月21日,自2017年起,微软已查封ONNX(一个网络钓鱼即服务平台)客户使用的240个域名,这些域名被用于针对全球公司及个人。据微软《2024年数字防御报告》,ONNX(又称Caffeine和FUHRER)是2024年上半年最大的中间人网络钓鱼服务,每月发送数千万至数亿封钓鱼邮件,主要瞄准Microsoft 365帐户及其他科技公司客户。ONNX通过Telegram推广销售钓鱼工具包,提供多种订阅模式,并采用二维码钓鱼等手段。这些攻击难以通过典型端点检测监控,对网络安全提供商构成挑战。在Dark Atlas安全研究人员披露其所有者Abanoub Nady(网名MRxC0DER)身份后,ONNX运营于6月停止。微软通过民事法庭命令将恶意技术基础设施重定向至自身服务器,切断威胁行为者访问权限,并永久阻止这些域名用于未来钓鱼攻击。微软还与LF Projects合作,该公司是ONNX名称和徽标的合法所有者。
/news/security/microsoft-disrupts-onnx-phishing-as-a-service-infrastructure/
6. 全球工业控制系统(ICS)互联网暴露情况严峻
11月21日,新的研究显示,全球175个国家/地区存在超过145,000个暴露在互联网上的工业控制系统(ICS),其中美国占比超过三分之一。这些ICS服务暴露主要源于常用的ICS协议,如Modbus、IEC 60870-5-104等,且地区间存在差异。例如,Modbus、S7和IEC 60870-5-104在欧洲更常见,而Fox、BACnet等在北美更常见。Censys公司的分析指出,许多ICS协议可追溯至20世纪70年代,但并未实现与其他地区相同的安全改进。尽管专门针对ICS系统的网络攻击相对较少,但近年来有所增加,特别是在俄乌战争后。此外,HMI也越来越多地通过互联网提供以支持远程访问,且大多数暴露的HMI位于美国。Censys还指出,用于监控和与ICS系统交互的HMI和ICS服务大多位于移动或商业级互联网服务提供商上,这增加了识别和通知所有者的难度。因此,组织必须采取措施识别和保护暴露的OT和ICS设备,更新默认凭据,并监控网络是否存在恶意活动。
/2024/11/over-145000-industrial-control-systems.html
[来源: 启明星辰]