MOVEit漏洞致数据泄露，Nam3L3ss组织曝光数百万员工记录

首页 > 宁静研究 > 宁静通报 > 宁静简讯

MOVEit漏洞致数据泄露，Nam3L3ss组织曝光数百万员工记录

宣布时间 2024-12-05

1. MOVEit漏洞致数据泄露，Nam3L3ss组织曝光数百万员工记录

12月3日，一起涉及MOVEit文件传输工具的宁静漏洞事件引发了广泛关注。该漏洞被Cl0p勒索病毒团伙利用，导致数千家公司的敏感数据被盗，其中包罗来自27家大公司的凌驾760,000份员工记录，以及仲量联行公司(JLL.com)的1200万行数据，总数到达1312万条。这些数据包罗姓名、电子邮件、电话号码、地址和公司位置坐标等敏感信息，被泄露后可能会被用于社会工程攻击、身份偷窃或网络钓鱼诈骗等恶意行为。泄露数据的组织Nam3L3ss自称“数据义勇军”，在黑客论坛BreachForums上宣布了这些信息，并声称是从MOVEit漏洞中获得的数据。此次泄密事件涉及的公司包罗美国银行、诺基亚、摩根士丹利等行业巨头，总数到达近1亿个人。虽然Nam3L3ss的动机尚不明确，但他们的行为无疑袒露了MOVEit漏洞的重大影响以及被盗员工数据带来的风险。受影响公司的员工应保持警惕，以防网络钓鱼等攻击。

https://hackread.com/data-vigilante-leaks-772k-employee-record-database/

2. Kimsuky利用钓鱼邮件进行凭证窃取，滥用俄罗斯发件人地址

12月3日，与朝鲜结盟的威胁行为者Kimsuky，被指与一系列网络钓鱼攻击有关联。这些攻击主要通过发送源自俄罗斯发件人地址的电子邮件进行，旨在窃取凭证。据韩国网络宁静公司Genians视察，钓鱼邮件最初主要通过日本和韩国的电子邮件服务发送，但从9月中旬开始，伪装成来自俄罗斯的钓鱼邮件逐渐增多，滥用VK的Mail.ru电子邮件服务，该服务支持五个体名域。Kimsuky攻击者利用这些发件人域伪装成金融机构和互联网门户网站，如Naver，进行网络钓鱼活动。此外，还发送模仿Naver MYBOX云存储服务的消息，诱导用户点击链接，声称在其帐户中检测到恶意文件并需要删除，以此诱骗用户。这些消息虽然外貌上是从特定域名发送的，但实际上是利用受熏染的电子邮件服务器发送的。Kimsuky还擅长使用合法电子邮件工具如PHPMailer和Star，以逃避宁静检查。这些攻击的最终目标是凭证偷窃，进而劫持受害者账户，并利用它们对其他员工或熟人提倡后续攻击。

https://thehackernews.com/2024/12/north-korean-kimsuky-hackers-use.html

3. 欧警捣毁加密犯罪平台MATRIX，缴获大量非法资产

12月4日，欧洲刑警组织宣布，法国和荷兰执法部门已捣毁与国际贩毒、武器贩运和洗钱等严重犯罪有关的名为MATRIX的加密信息服务。该平台最初由荷兰政府在一名罪犯手机中发现，拥有近8000名用户，服务器遍布多个国家，主要在德国和法国。警方在三个月的视察中截获并破译了230多万条信息，并在国际行动中摧毁了服务器，逮捕了三名嫌疑人，包罗平台的嫌疑所有者和运营商。MATRIX拥有庞大的基础设施，提供加密消息通报、宁静通话、视频和语音共享以及匿名网页浏览等服务，甚至推出了赌钱应用法式和货币。欧洲刑警组织体现，MATRIX比之前被取缔的Sky ECC和EncroChat等平台更为庞大，用户只能通过邀请加入。警方将继续视察与该平台相关的犯罪活动。

https://therecord.media/matrix-criminal-encrypted-chat-platform-takedown-police

4. CISA将三个漏洞添加到已知被利用漏洞目录

12月4日，美国网络宁静和基础设施宁静局（CISA）近日更新了其已知被利用漏洞（KEV）目录，新增了三个漏洞，分别是ProjectSend的身份验证不妥漏洞（CVE-2024-11680）、North Grid Proself的XML外部实体（XEE）引用漏洞（CVE-2023-45727）以及Zyxel多防火墙的路径遍历漏洞（CVE-2024-11667）。其中，Proself的漏洞允许未经授权的攻击者读取服务器文件，包罗账户数据；ProjectSend的漏洞则影响r1720之前的版本，攻击者可借此未经授权修改应用配置，创建账户，上传恶意软件；而Zyxel的漏洞则可能让攻击者通过精心设计的URL下载或上传文件。据VulnCheck研究人员称，ProjectSend的漏洞似乎已被野外攻击者利用，且攻击者已接纳一系列行动，如更改登录页面标题，启用用户注册以获取身份验证后的访问权限，并上传Webshell。CISA已要求联邦机构在2024年12月24日之前修复这些漏洞，并建议私人组织审查该目录并解决其基础设施中的漏洞，以�；ね缑馐芄セ�。

https://securityaffairs.com/171638/security/u-s-cisa-adds-projectsend-north-grid-proself-and-zyxel-firewalls-bugs-to-its-known-exploited-vulnerabilities-catalog.html

5. DroidBot：新型Android银行恶意软件窃取多国加密货币及银行凭证

12月4日，DroidBot是一种新型Android银行恶意软件，自2024年6月起活跃，以恶意软件即服务（MaaS）形式运营，每月售价3000美元。它试图窃取英国、意大利、法国、西班牙、葡萄牙等国的77多个加密货币交易所和银行应用的凭证。尽管功效并不新颖庞大，但DroidBot在英国、意大利、法国、土耳其和德国已造成776起奇特熏染，显示其高度活跃。此恶意软件正鼎力开发中，并试图扩展至新地域，包罗拉丁美洲。DroidBot由土耳其开发者创建，为联盟成员提供恶意软件构建器、命令和控制（C2）服务器及中央管理面板等工具，使网络犯罪分子易于使用。它常伪装成Google Chrome、Google Play商店或Android宁静中心，诱骗用户安装，充当木马角色窃取敏感信息。主要特征包罗键盘记录、笼罩合法银行应用界面显示虚假登录页面、短信拦截和VNC�？�。它还滥用Android辅助功效服务监控用户操作。为了减轻威胁，建议Android用户仅从Google Play下载应用，仔细检查权限请求，并确保Play Protect处于活动状态。

https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/

6. BT集团遭Black Basta勒索软件攻击，部门服务器已关闭

12月4日，跨国电信巨头BT集团（前身为英国电信）确认其BT会议业务部门在遭受Black Basta勒索软件攻击后，已关闭部门服务器。尽管此次宁静事件未影响BT集团的运营或BT会议服务，但Black Basta团伙声称已入侵该公司服务器并窃取500GB数据，包罗财政、组织、用户数据和个人文档等。该团伙还在暗网泄密网站上添加了倒计时，声称将于下周泄露据称被盗的数据。BT集团体现将继续积极视察此事，并与相关机构合作应对。Black Basta勒索软件行动自2022年4月以来已造成许多知名受害者，包罗医疗保健公司、政府承包商等，其分支机构已入侵500多个组织，并从90多名受害者手中收取至少1亿美元的赎金。

https://www.bleepingcomputer.com/news/security/bt-conferencing-division-took-servers-offline-after-black-basta-ransomware-attack/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究