Latest Security Incidents

「声明：本博客中涉及到的相关漏洞均为官方已经公开并修复的漏洞，涉及到的安全技术也仅用于企业安全建设和安全对抗研究。本文仅限业内技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。」

2023

【20231110】工商银行美国分行被勒索软件攻击
- https://www.anquanke.com/post/id/291326
- https://therecord.media/icbc-dealing-with-ransomware-attack
- https://www.freebuf.com/news/383423.html
- 传闻是通过Citrix CVE-2023-4966 漏洞入侵的
- https://mp.weixin.qq.com/s/FKmd5g9tKgznGgmdHB0jPA
【20231020】身份识别与访问管理服务商OKTA，遭受黑客攻击
- 未经授权访问OKTA的客户支持系统，可以查看某些客户上传的HTTP存档文件（HAR），包含用户Cookie等凭据
- https://mp.weixin.qq.com/s?__biz=MzUzNDYxOTA1NA==&mid=2247540602&idx=2&sn=e81761f701273e40c273c1db80f1e856
【20231010】Citrix Bleed CVE-2023-4966
- https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/
- Citrix Bleed CVE-2023-4966 漏洞于 10 月 10 日被披露，这是一个影响 Citrix NetScaler ADC 和 NetScaler Gateway 的严重漏洞，允许访问设备上的敏感信息。
【20230920】微软 AI 安全研究人员Github上发布开源训练数据，泄露了Azure存储桶Token，导致 38T 内部数据泄露，包括该员工个人计算机备份等
- <https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers
- 微软官方回应：https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token/
【20230915】酒店剧透米高梅遭受勒索软件攻击，泄露1.4亿数据，姓名、地址、邮箱、电话、生日
- 经营赌场和酒店的米高梅集团本周遭到网络攻击，导致服务大规模瘫痪，到本周三仍然没有完全恢复。
- https://arstechnica.com/?p=1968329
【20230704】Edge 浏览器扩展 SwitchyOmega 存在后门
- https://www.v2ex.com/t/696314?p=2
- https://github.com/FelisCatus/SwitchyOmega/issues/2410
- https://github.com/FelisCatus/SwitchyOmega/issues/2004
【20230630】台积电被窃密勒索7000万，官方回应为供应商遭受攻击
- 台积电被Lockbit勒索团伙攻击，勒索7000万美元
- http://www.hackdig.com/07/hack-1027944.htm
【20230620】cdn.bootcss.com 存在投毒
- Bootcss CDN 疑似被投毒 https://www.v2ex.com/t/950163
- JS被投毒加载恶意脚本
【20230424】阿里云数据库服务存在严重漏洞 ApsaraDB RDS for PostgreSQL、AnalyticDB for PostgreSQL
- https://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247560463&idx=2&sn=850b8b3aa1bde77b54d3837bde1c7ef1
【20230308】宏碁公司疑似泄漏160GB敏感数据
- http://www.hackdig.com/03/hack-933818.htm
【20230302】拼多多利用漏洞攻击用户手机，恶意竞争
- 「深蓝洞察」2022 年度最“不可赦”漏洞 https://zhuanlan.zhihu.com/p/610241711
- 「深蓝洞察」2022 年度最“不可赦”漏洞 https://mp.weixin.qq.com/s?__biz=MzkyMjM5MTk3NQ==&mid=2247484287&idx=1&sn=73ebf1ae3aee7bbe1a1e479246fbd7f7&scene=21#wechat_redirect
- 当 App 有了系统权限，真的可以为所欲为？https://mp.weixin.qq.com/s/kiLvnJSDZpYRHI_XiUx9gg
- 开源分析 https://github.com/davinci1010/pinduoduo_backdoor
【20230212】45亿快递地址信息泄露
- 45亿快递地址信息泄露
【20230128】Yandex大量源代码被离职员工泄露
- http://www.hackdig.com/01/hack-893527.htm
- https://mp.weixin.qq.com/s?__biz=MzU2MTQwMzMxNA==&mid=2247529653&idx=2&sn=a7217b1103ddbf5b92317c9854b06e0e

2022

【20221223】LastPass被黑
- https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
【20220915】Uber被黑客攻击
- https://thehackernews.com/2022/09/uber-says-its-investigating-potential.html
【20220906】ATW 造谣 Tiktok&Wechat 数据泄露
- ATW论坛账号已经被封 https://breached.to/Thread-TikTok-WeChat-breach
【20220905】西北工业大学遭美国NSA TAO攻击
- https://mp.weixin.qq.com/s/XkagZquRSjJLnC-soqumSg
【20220829】网传用友等头部软件厂商遭勒索攻击
- http://www.hackdig.com/08/hack-761496.htm
【20220823】朱东海证券幽灵案刑事判决书公布
- David木马，潜伏数十家金融证券企业，长达十多年，获取内幕消息，股票基金交易获利。
- 报道：https://mp.weixin.qq.com/s/PxKsbwHD3-qrE8S22pcNtA
- 判决书：https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=e7d56949c57f48b7bb99aefa0023b393
【20220811】传言美的被勒索
- https://mp.weixin.qq.com/s?__biz=MzU2MjM4NDYxOQ==&mid=2247488949&idx=1&sn=62aaa7f54980ab87e0ba4f1ca2052eee
- https://www.freebuf.com/news/341718.html
【20220811】思科披露5月份的数据泄露事件
- 判定入侵者很可能包括前段时间很火的 Lapsus$，以及 UNC2447、Yanluowang等攻击团伙。
- 攻击入口是思科员工个人Google账号，账号内同步了大量思科内部密码等敏感数据，攻击者随后使用语音网络钓鱼等手段绕过MFA，通过Cisco VPN进入内网。
- https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
【20220706】疑似河南GA 9000万数据
- https://breached.to/Thread-Selling-2022-HNGA-Henan-Police-Citizen-Database
【20220626】黑产通过QQ二维码钓鱼发黄图
【20220621】学习通数据泄露
- https://www.cnbeta.com/articles/tech/1283267.htm
- 泄露的数据包含含学校/组织名，姓名，手机号，学号/工号，性别，邮箱等信息达1亿7273万条
【202205】搜狐全体员工遭遇工资补贴诈骗
- https://cj.sina.com.cn/articles/view/3024571071/b4474abf00101u5zm
- https://m.weibo.cn/status/4772938299475075?wm=3333_2001&from=10C5193010
- 诈骗知名门户的黑产团伙，被我们锁定 https://mp.weixin.qq.com/s/uEiJIFzCqVuFsPzONu7v_A
【202202】中国的网络能力：战争、间谍活动和对美国的影响
- PDF https://www.uscc.gov/sites/default/files/2022-02/Adam_Kozy_Testimony.pdf
【20220401】LAPSUS$ 分析
- https://mp.weixin.qq.com/s/knMB7oEy4UmPXyJL0in5aA
- Lapsus$黑客入侵T-Mobile的系统并窃取其源代码 https://www.cnbeta.com/articles/tech/1261769.htm
【20220325】Okta被 APT 组织 LAPSUS$ 攻击
- https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise/
【20220322】微软发现 APT 组织 DEV-0537（LAPSUS$）攻击行为，微软数据泄露
- https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
【20220109】NodeJS库color被加入作者恶意代码
- https://mp.weixin.qq.com/s/1e_USSXKd0S5Y-OahReo1w

2021

【20211011】Facebook BGP路由问题导致大瘫痪
【20210511】美国输油管道商遭勒索，美国进入国家紧急状态
- https://mp.weixin.qq.com/s/r8Q66vUa_SKP-krNBNufjw
- https://mp.weixin.qq.com/s/YPRYM4CFttPK4cBt6iglzQ
【20210422】Weblogic利用工具供应链攻击
- https://mp.weixin.qq.com/s/bFXsbQKpS3nMM-9ob2k-GQ
【20210422】Homebrew Cask仓库任意代码执行
- https://brew.sh/2021/04/21/security-incident-disclosure/
- https://blog.ryotak.me/post/homebrew-security-incident/
【20210303】Immunity Canvas 7.26渗透工具泄露
【20210222】红杉资本遭遇黑客攻击
- https://www.freebuf.com/news/264018.html
【20210126】APT事件 - 朝鲜黑客定向攻击安全人员
- 朝鲜黑客定向APT攻击安全人员 https://threatpost.com/north-korea-security-researchers-0-day/163333/
- 通过社交媒体针对安全研究人员的社会工程学攻击活动 https://mp.weixin.qq.com/s/K_1b99drnBbHvEQbrLi77g

2020

【20201215】SolarWinds供应链攻击
- 从Solarwinds供应链攻击（金链熊）看APT行动中的隐蔽作战 https://mp.weixin.qq.com/s/UqXC1vovKUu97569LkYm2Q
【20201209】Fireeye披露红队工具包被APT攻击团队窃取
- https://mp.weixin.qq.com/s/tUi0_ZMXnVRCEiVK3YghRA
【20200715】Twitter账户被大规模入侵事件
- 官方调查进展：https://twitter.com/TwitterSupport/status/1283591844962750464
- https://mp.weixin.qq.com/s/u0j2Tw1cCFmqIZMogEKV-g
- 细节和整改措施：https://www.cnbeta.com/articles/tech/1004863.htm
【20200401】万豪又报告520客户信息泄露
- https://www.bleepingcomputer.com/news/security/marriott-reports-data-breach-affecting-up-to-52-million-guests/

2019

【20191211】2019年全球重大网络攻击及数据泄露事件回顾
- https://www.freebuf.com/articles/network/222565.html
[20191122]一加被入侵订单信息泄露
- https://forums.oneplus.com/threads/security-notification.1144088/
【20191101】Web.com知名域名服务商信息泄露
- https://www.freebuf.com/news/218772.html
【20191012】Twitter流传FireEyeSummit大会上曝出APT41曾入侵Teamview进行供应链攻击
- https://mp.weixin.qq.com/s/9_CvcElTDDl81ZkXSPtpdw
- https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html
- APT41 疑似与 Winnti、BARIUM 为同一团伙，而Winnti 疑似与Axiom、APT17、Ke3chang为同一团伙。
【20190920】PHPStudy被爆出2016年以来被植入后门
- 后门分析：https://www.freebuf.com/news/topnews/214912.html
- 隐藏后门分析：https://mp.weixin.qq.com/s/dTzWfYGdkNqEl0vd72oC2w
【20190526】Canva 1.39 亿用户数据泄露
- https://www.solidot.org/story?sid=60755
【20190526】易到用车服务器被攻击，核心数据库被锁
- https://www.cnbeta.com/articles/tech/850865.htm
【20190419】APT34军火库泄露
- APT34攻击样本分析http://blog.nsfocus.net/apt34-event-analysis-report/
- 主要内容由：
- Glimpse（DNS隧道远控工具）
- PoisonFrog（窃取受控端信息和执行C&C端cmd指令的的远控工具）
- Webmask（DNS代理与HTTP劫持，包括一个ICAP协议的透明代理脚本，ICAP通常用于扩展透明代理服务器，在透明HTTP代理缓存中实现内容过滤器等功能）
- ICAP协议全称是Internet Content Adaptation Protocol，RFC 3507
【20190130】LinkedIn数据泄露
- 1月30日上午，一位名叫“Andrev”的黑客通过Pastebin发布了一则消息，声称其攻击了LinkedIn服务器，并窃取了约1.59亿的用户信息。
- https://www.freebuf.com/news/195406.html

2018

【20190101】2018网络安全大事记
- https://mp.weixin.qq.com/s/YvlUX8Zjp9gfAtJ6YY27BA
【20181214】供应链攻击：驱动人生升级通道被攻击，软件携带后门病毒
- https://www.freebuf.com/vuls/192014.html
- 一场精心策划的针对驱动人生公司的定向攻https://www.freebuf.com/articles/system/192194.html
【20181127】供应链攻击：JavaScript公共库event-stream被植入恶意代码
- https://cert.360.cn/warning/detail?id=00e13636ea1705250545e370bbd8b539
- 恶意依赖已经存在了2.5个月内未被发现
- https://mp.weixin.qq.com/s/IaOWxG0XLvn2znvvP1dmwA
- 相关的Github Issues: https://github.com/dominictarr/event-stream/issues/115 https://github.com/dominictarr/event-stream/issues/116
- 详细介绍：https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream
- 恶意的commit: https://github.com/dominictarr/event-stream/commit/e3163361fed01384c986b9b4c18feb1fc42b8285
- 影响范围：如果你的项目使用了加密货币相关的库并且当你运行命令npm ls event-stream flatmap-stream后你可以看到[email protected]，你很可能就受影响了
- 减轻方案：Downgrade to [email protected]
- 受影响版本：[email protected] (目前已知) 或者 flatmap-stream@any
【20180828】华住大量开房信息泄露
【20180817】APT DarkHotel
- 利用CVE-2018-8373 0day漏洞的攻击与Darkhotel团伙相关的分析https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/
【20180712】Carbanak APT团伙恶意木马源码泄露
【20180709】Bancor交易所入侵
- https://bcsec.org/index/detail?id=195&tag=1
【20180707】币安API再次出现事故，SYSCoin被高价卖出
- https://bcsec.org/index/detail?id=186&tag=2
【20180619】Docker供应链攻击，攻击者如何利用现代容器化趋势获益
- 分析：https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers
- 新闻：被下载500万次后 Docker Hub终于撤下了后门镜像https://www.cnbeta.com/articles/tech/737509.htm
【20180613】Acfun被黑客攻击，数据泄露，暗网售卖
- 数据样品：https://github.com/SakuraKisser/AC_300fun
- 官方公告：http://www.acfun.cn/a/ac4405547
- 暗网帖子：http://lei6ezsexd4iq2tm.onion/viewtopic.php?f=37&t=4545
【20180524】VPNFilter 新型IoT、网络设备僵尸网络，已感染超过50万台
- 报告：https://blog.talosintelligence.com/2018/05/VPNFilter.html
- 分析：VPNFilter-新型IoTBotnet深度解析https://mp.weixin.qq.com/s/SnchceLdNX7JYiWfSH2Hmw
【20180524】BTG（Bitcoin Gold） 51%攻击
- 报道：https://www.bleepingcomputer.com/news/security/hacker-makes-over-18-million-in-double-spend-attack-on-bitcoin-gold-network/
【20180509】百度软件中心putty污染
- 分析：https://m.threatbook.cn/detail/499?from=timeline&isappinstalled=0
【20180423】BEC美链整型溢出漏洞蒸发60亿
- 分析：https://zhuanlan.zhihu.com/p/35989258?
- 描述：转账时转账总额存在整型溢出漏洞。攻击者同时转给两个人，转账总金额超过uint256取值范围，溢出为0，绕过了余额校验逻辑。而接收方每个人获得了大量BEC。
- 分析：BEC漏洞复盘
- 解析：http://www.freebuf.com/vuls/169741.html
- 报道：BEC、SMT现重大漏洞，这8个智能合约也可能凉凉
【20180402】1.5亿MyFitnessPal用户的数据被泄漏
- 报道：http://www.4hou.com/info/news/10939.html
- vk.com泄露数据：https://mega.nz/#!NSRFDQiR!cSH1YObNiwUAptH7oqzcFi-Zh5Qij7xO1F1Eh87KFQs
【20180320】Facebook用户好友关系泄露
- 卫报报道：https://www.theguardian.com/technology/2018/mar/17/facebook-cambridge-analytica-kogan-data-algorithm
- https://mp.weixin.qq.com/s/v9daFF0ZTuHBp-PwteDd0Q
- 描述：这个应用在要求用户使用Facebook账号登录，给用户 2-5 美元来完成一个调查，同时获取你的好友关系并且查看你点赞了哪些东西，通过调查和你点赞的数据来给你画像，判断你对什么感兴趣，然后以此可以给你更精准的广告信息。
- 扎克伯格回应: https://www.facebook.com/zuck/posts/10104712037900071
- http://url.cn/5ic0R1C
【20180307】币安API Key被攻击
- 用Unicode的币安域名，底部有两个点，类似于ẹ字符。
- https://mp.weixin.qq.com/s/z39hBMif1bQJeb4Ar_zRAw
- http://36kr.com/p/5122966.html
- https://steemit.com/eos/@whynot/how-to-newest-phishing-sites-e-g-eos-binance-how-to-protect-yourself
【20180120】一加称 4 万客户的信用卡信息泄露
- https://www.solidot.org/story?sid=55280

2017

【201711】macOS High Sierra Root账户空口令漏洞
- http://soft.hqbpc.com/html/2017/11/60928.html
【201709】PyPI 官方库被发现混入了名字相似的恶意模块
- http://www.solidot.org/story?sid=53867
【201709】Equifax数据泄露事件致CIO和CISO离职
- Struts2
- 2018年12月发布细节，https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
【201708】 XSHELL 后门植入