APT28利用XSS缝隙对多邮件系统发起网络间谍行动

首页 > 安全钻研 > 安全传递 > 安全简讯

APT28利用XSS缝隙对多邮件系统发起网络间谍行动

颁布功夫 2025-05-16

1. APT28利用XSS缝隙对多邮件系统发起网络间谍行动

5月15日，斯洛伐克网络安全公司ESET最新钻研发现，与俄罗斯有关联的威胁组织针对Roundcube、Horde、MDaemon和Zimbra等主流邮件系统执行了名为“Operation RoundPress”的网络间谍活动。这次行动主题指标是窃取特定邮箱账户的机密数据，重要受害者为东欧当局机构及军工企业，同时非洲、欧洲和南美洲确当部门门也遭到攻击。钻研人员将其归因于俄罗斯当局支持的黑客组织APT28，凭据蕴含垂钓邮件发件地址沉叠和服务器配置手法类似。攻击者通过邮件系统的XSS缝隙在网页邮箱界面执行肆意JavaScript代码。其中，MDaemon的XSS缝隙在攻击初期为零日缝隙，虽后续已建复，但其时未建复。APT28通过电子邮件发送XSS缝隙利用法式，恶意代码在浏览器运行的网页邮箱客户端中执行。缝隙利用成功后，名为SpyPress的混合JavaScript有效载荷会窃取邮箱凭证、邮件内容和联系人信息，部门变种还能创建Sieve规定，持续转发新邮件至攻击者邮箱。窃取的数据通过HTTP POST要求发送至C2服务器，某些变种还能捕获登录纪录、2FA代码，甚至为MDAEMON创建利用密码。

https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html

2. Coinbase客户数据泄露，预计损失达4亿

5月15日，加密钱币买卖所Coinbase披露，网络犯罪分子与恶意海表客服人员合作窃取了客户数据，并索要2000万美元赎金以不公开被盗信息。Coinbase回绝支付赎金，但设立2000万美元嘉奖基金，以激励提供有关攻击者的线索。此前，黑客向Coinbase发送电子邮件威胁颁布客户账户和内部文件信息，Coinbase调查发现攻击者在美国境表承包商或支持人员的援手下获取了客户数据，这些人员受雇接见内部系统，Coinbase发现后已开除有关人员。只管威胁行为者窃取了Coinbase约1%客户的幼我身份信息，但无法获取客户私钥、密码或接见Coinbase Prime账户和钱包。被盗数据蕴含姓名、地址、电话、电子邮件、部门社会保险号、银行账号信息、当局身份证图像、账户数据及有限的公司数据。Coinbase强调没有密码、私钥或资金泄露，并将赔偿被诱骗向攻击者汇款的客户。固然财政影响仍在评估中，但Coinbase估计补救和客户赔偿用度将在1.8亿美元至4亿美元之间。为预防将来违规行为，Coinbase打算开设新的支持中心赔偿受影响客户，并增长对内部威胁检测、安全威胁仿照和自动响应的投资。

https://www.bleepingcomputer.com/news/security/coinbase-discloses-breach-faces-up-to-400-million-in-losses/

3. 恶意NPM包使用Unicode隐写术来逃避检测

5月15日，代码安全评估公司Veracode发现，Node包治理器索引中存在名为“os-info-checker-es6”的恶意软件包，该包自本月初以来已被下载超过1000次。该软件包最初版本于3月19日上传至NPM，最初职能仅是网络操作系统信息，看似无害。然而，几天后，作者对软件包进行了批改，增长了特定于平台的二进造文件和混合的装置剧本。5月7日，该软件包颁布新版本，其中蕴含用于传递最终有效载荷的复杂C2（号令和节造）机造代码。Veracode忠告称，当前npm上可用的最新版本v1.0.8为恶意版本。此表，该软件包还被列为其他四个NPM软件包的依赖项，但目前尚不明显这些软件包是否或若何被威胁行为者推广。在恶意版本中，攻击者利用Unicode隐写术，将数据嵌入看似“|”的字符串中，而竖线后暗藏了一长串不私见的Unicode字符，这些字符用于推进基于文本的隐写术。Veracode通过解码和反混合字符串，找到了复杂C2机造的有效载荷，该机造依赖Google日历短链接达到托管最终有效载荷的地位。钻研人员诠氏缢从获取Google日历链接到最终解码获取恶意软件有效载荷的整个过程，并指出最终有效载荷可能经过加密。

https://www.bleepingcomputer.com/news/security/malicious-npm-package-uses-unicode-steganography-to-evade-detection/

4. 印第安纳州当局忠告：警惕假冒官方邮件的通畅费诳骗

5月13日，印第安纳州当局机构于周二向居民发出忠告，要求删除使用州当局官方电子邮件地址发送的虚伪电子邮件。这些垂钓邮件来自多个州当部门门，蕴含儿童服务部、跑马委员会等，它们糊弄性地奉告收件人存在未缴纳的通畅费，并威胁若不缴纳将面对经济处�；虺盗镜羌潜唤亓�。邮件结尾常以“感激您，TxTag 客服”作为署名，并蕴含疑似恶意网站的链接。印第安纳州河山安全数通过技术办公室在X平台颁布新闻，提醒公家警惕此类诳骗。申明指出，州当局不会通过短信或电子邮件发送未缴通畅费通知，并暗示技术办公室正与涉事公司合作，以阻止任何进一步的通讯。据相识，州当局于去年年底终止了与一家未具名供给商的合同，但未删除该州的账户。这次事务中，一名承包商的账户遭到黑客攻击，并被用于发送这些虚伪信息，而州系统并未发现入侵迹象。电子邮件截图显示，这些信息是通过丹佛软件公司Granicus的软件GovDelivery Communications Cloud分发的。Granicus讲话人Sharon Rushen暗示，该事务并未舒展至其自身平台，系统是安全的。她指出，问题源于治理员用户账户被入侵，可能是通过猜测凭证或社交工程伎俩获取。

https://statescoop.com/indiana-phishing-attack-contractor-hacked/

5. FrigidStealer通过虚伪浏览器更新攻击macOS用户

5月15日，FrigidStealer恶意软件正通过虚伪浏览器更新提醒攻击macOS用户，该变种于2025年2月初次被发现，并已波及北美、欧洲和亚洲的用户。此恶意软件从属于Ferret恶意软件家族，与TA2726和TA2727病毒有关，两者均以利用虚伪浏览器更新为攻击伎俩而著称。该恶意软件假装成Safari更新的磁盘映像文件（DMG），诱骗用户下载并装置。装置过程中，它会提醒用户输入密码，从而绕过Apple的Gatekeeper�；せ�，并借助内置的AppleScript职能执行恶意操作。装置后，它会假装成一个带有特定bundle ID的恶意利用，与合法利用混合视听。一旦激活，FrigidStealer便起头网络用户的敏感数据，蕴含浏览器凭证、系统文件、加密钱币钱包信息及Apple Notes等，并通过macOS的mDNSResponder路由的DNS查问，将这些数据泄露到号令与节造服务器。窃取数据后，该恶意软件会自我终止，以降低被发现的风险。据开源网络安全公司Wazuh披露，FrigidStealer并不依赖传统的缝隙利用工具包或缝隙，而是利用用户对系统通知和浏览器更新提醒的信赖进行攻击，这使得它更为危险且有效。此表，该恶意软件还利用macOS特有的行为来维持悠久性，通过注册为前台利用法式等方式与系统交互，并在执行后删除自身痕迹，以维持暗藏。

https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/

6. 招聘平台HireClick570万份简历遭泄露

5月15日，Cybernews钻研人员近日发现一路大规模数据泄露事务，本原指向面向中幼型企业的招聘平台HireClick。由于亚马逊AWS S3存储桶配置谬误，该平台超过570万份文件被露出在互联网上，其中重要是求职者的简历，这些文件泄露了求职者的全名、家庭住址、电子邮件地址、电话号码及就业信息等敏感和个人数据。这次数据泄露对HireClick客户的影响深远。泄露的数据一旦落入犯法分子之手，可能被用于身份偷窃、假意、网络垂钓等多侄嗫骗活动。攻击者可能假扮招聘经理，利用泄露的信息诱骗求职者提供身份证扫描件、社会安全号码甚至银行信息，或通过电话诱骗求职者泄漏银行信息或装置恶意软件。此表，诳骗者还可利用泄露的简历创建虚伪身份进行就业验证诳骗，甚至假意求职者进入工作场所系统。这种数据泄露行为的风险不仅限于数据偷窃自身，还可能引发网络人肉搜索，即恶意曝光个人信息以骚扰或恐吓他人。攻击者把握了受害者的全名、电子邮件、电话号码和现实地址，就能等闲锁定并骚扰受害者。

https://cybernews.com/security/hireclick-resume-database-data-leak/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研