孤狼黑客携AI工具,72小时攻陷AWS云环境
发布时间 2026-07-107月9日,安全公司Sygnia披露,一名单兵威胁行为者利用人工智能辅助工作流程,在短短72小时内成功攻破一个大型亚马逊网络服务(AWS)环境,并对未具名的全球企业实施了勒索。攻击者并未利用单一配置错误,而是串联了应用程序服务、AWS资源、源代码库、CI/CD管道、运行时组件及数据存储中的多个漏洞,迅速完成凭证发现、密钥窃取、云枚举、部署管道滥用、数据库访问及运营中断等操作。其首先通过面向互联网的应用程序漏洞获取AWS访问密钥,随后通过四个并行工作流程系统性窃取机密、创建后门并泄露数据,同时采取S3存储桶拒绝访问、ECS服务限零、ACL阻断及清空SQS队列等可逆但极具威慑力的措施来施压受害者支付赎金。研究指出,攻击者利用AI加速侦察、工具开发及命令结构化,以远超常规的速度和规模实施攻击。Sygnia强调,企业需全面掌握资产和身份信息、强化身份安全控制、保护云与开发环境、部署分层防御及自动化响应流程,尤其应制定预定义遏制程序,将平均检测和修复时间大幅缩短,以应对AI驱动的快速攻击。
https://www.darkreading.com/cloud-security/lone-attacker-ai-breach-aws-cloud-environment
2. Nextcloud数据库配置错误致36万条敏感记录泄露
7月8日,德国模块化工作空间平台Nextcloud因数据库配置错误,导致7.92GB数据(含36.7万条记录)公开暴露,涉及发票、合同、员工及客户信息、系统管理脚本等大量敏感文件。安全团队于5月18日发现该公开Elasticsearch集群,其中未加密记录包含Nextcloud员工电邮、客户公司名称与地址、往来发票详情,甚至包含硬编码数据库凭据的Shell和Python脚本,以及用户名单、HTTP元数据和MD5哈希值。虽然公司声称客户服务器未受直接影响,但泄露数据可能被攻击者用于钓鱼、社会工程或针对客户系统的漏洞探测。Nextcloud接报后两天内关闭暴露数据集,并上报德国数据保护部门,确认问题源于托管基础设施配置错误,与产品本身无关,且尚无证据表明数据被滥用。然而,研究人员警告,恶意僵尸程序可能已在泄露期间窃取数据,增加了针对员工和客户的定向攻击风险。
https://cybernews.com/security/nextcloud-cloud-provider-data-leak/
3. 恶意npm包袭击Injective SDK,窃取加密钱包密钥
7月9日,应用安全公司Socket、Ox Security和StepSecurity披露了一起针对Injective Labs的供应链攻击事件。攻击者入侵了Injective Labs SDK项目合法贡献者的GitHub账户,在6月8日进行首次可疑提交后,于npm上发布了恶意版本的@injectivelabs/sdk-ts软件包(版本1.20.21),并同步污染了另外17个相关包,将其全部锁定至该被入侵版本。该TypeScript/JavaScript SDK专为Injective区块链(Layer-1 DeFi公链)设计,每周下载量约5万次,被广泛用于构建加密钱包、交易机器人、DEX及DeFi应用。恶意代码并未在安装时触发,而是在开发者调用SDK函数生成或导入钱包密钥时激活,实时捕获完整助记词和私钥,经base64编码后,通过HTTP POST请求发往Injective Labs的公共基础设施端点以伪装流量,并采用两秒批量打包机制,将多条密钥整合至请求头中发送,以便攻击者后续劫持钱包并转移资产。合法账户所有者在数分钟内察觉入侵,迅速撤销更改并发布干净版本1.20.23,但此前恶意包已被下载约310次,且GitHub上的恶意发布工件尚未删除。此外,该包拥有87个直接依赖及众多传递依赖,其累计下载量超11.2万次,潜在影响面广泛。
https://www.bleepingcomputer.com/news/security/injective-sdk-on-npm-infected-with-cryptocurrency-wallet-stealer/
4. 新型勒索组织Helix以语音钓鱼窃取SharePoint数据
7月9日,网络安全公司ReliaQuest近日披露,一个名为Helix的新型数据勒索组织正采用以身份为中心的多层次攻击手段,主要针对企业的SharePoint环境实施数据窃取与勒索。该组织的攻击链条始于语音网络钓鱼(vishing):攻击者冒充目标员工的经理,通过来电显示欺骗等技术伪装成合法联系人,直接致电员工以建立信任。其核心目的是诱导受害者落入设备代码网络钓鱼陷阱,这是一种利用微软等平台设备代码认证流程的社会工程学攻击,一旦用户不慎输入攻击者提供的代码,攻击者便能劫持其账户访问权限。成功入侵后,Helix操作员会迅速注册新的多因素身份验证器应用以实现持久化控制,随即开始全面枚举和遍历SharePoint站点,利用"contentclass:STS_Site"加通配符的搜索语法清点所有可访问内容,随后从固定IP地址使用"python-requests/2.28.1"用户代理批量下载文件。被盗数据随后被用于双重勒索。ReliaQuest指出,Helix在技术手法和基础设施上与已解散的BlackFile组织及知名黑客团体ShinyHunters存在显著关联。
https://www.bleepingcomputer.com/news/security/new-helix-vishing-group-emerges-in-sharepoint-data-theft-attacks/
5. Forg365钓鱼平台用AI窃取微软账户
7月9日,网络安全公司ZeroBEC披露,名为Forg365的新型网络钓鱼即服务平台正以Microsoft 365账户为目标,融合中间人攻击、设备代码钓鱼及AI辅助诱饵生成等高级手段。该平台提供ForgCookie浏览器扩展,能自动刷新微软SSO Cookie,使攻击者长期维持对被盗账户的访问。研究人员发现,Forg365控制面板集成了一站式功能:创建钓鱼活动、配置OAuth应用、管理令牌,并内置AI模块自动生成定制化钓鱼邮件,大幅降低攻击门槛。面板还包含关键词监控,可实时扫描被入侵邮箱并告警。Forg365支持两条攻击路径:设备代码钓鱼利用微软合法OAuth 2.0设备代码流,诱骗用户授权攻击者设备;AiTM钓鱼则通过代理截获身份验证会话Cookie。平台部署了AntiBot防护机制,包括加密重定向、机器人检测和沙箱检查,并在检测VPN时隐藏真实页面。其基础设施结合Amazon SES、Cloudflare Pages和Gophish框架。ZeroBEC指出,该平台功能与Kali365、Sneaky2FA相似但未确认关联。建议企业禁用非必要设备代码认证,监控Entra日志中的异常认证、邮箱规则变更及OAuth授权,发现入侵后立即撤销所有令牌和会话。
https://www.bleepingcomputer.com/news/security/new-forg365-phishing-platform-uses-ai-to-target-microsoft-365-accounts/
6. 拉脱维亚林业巨头遭勒索攻击,泄露凭证密钥
7月9日,拉脱维亚国有林业公司LVM于7月10日披露,该公司在遭受勒索软件攻击后,历经数周仍在艰难恢复IT系统。此次攻击最早于6月下旬被发现,导致其地图平台、狩猎应用程序以及与承包商和客户进行信息交换的核心系统全面瘫痪。拉脱维亚当局调查显示,攻击者可能在被发现前已潜伏于公司网络超过一周。LVM首席技术官马里斯·库兹明斯表示,当前态势虽已趋于稳定,但恢复正常运营仍“相当具有挑战性”,目前约有三分之二签订服务合同的客户仍无法访问受影响系统。库兹明斯透露,攻击者利用了一个两年未更新软件中的已知漏洞入侵,但未指明具体软件名称。该公司此前明确表示未收到赎金要求,即便收到也坚决拒绝支付。拉脱维亚国家计算机应急响应小组(CERT.LV)将此次攻击归咎于一个以经济利益为驱动的外国勒索软件组织,该组织此前曾攻击过北约和欧盟成员国的多家公司和公共机构,但官方尚未公开其具体身份。攻击者在网上泄露了约44GB的窃取数据,但调查人员认为实际被窃取的信息远超此规模,泄露文件包括内部文档、电子邮件往来、软件代码库、数字证书、加密密钥和用户凭证,构成严重的安全隐患。
https://therecord.media/latvia-state-owned-foresty-company-lvm-ransomware


京公网安备11010802024551号