通过API漏洞窃取的超700万推特用户数据在互联网传播。

事件分析

2022年7月,有攻击者在黑客论坛以3万美元的价格出售超过540万的推特用户信息。经过调查,这些信息是利用2021年12月的一个推特API漏洞(提交到了HackerOne)窃取的,攻击者利用该漏洞可以通过手机号和邮箱地址来提取相关的推特ID,窃取的数据包含推特ID、姓名、登录名、位置、验证状态等公开信息,以及用户手机号码、邮件地址等非公开的个人隐私信息。

Forum post selling the scraped Twitter data目前还不清楚漏洞的泄露是否是HackerOne,但有安全研究人员称有多个黑客利用该漏洞从推特窃取用户隐私信息。推特已于2022年1月修复了该漏洞。

A redacted example of one of a leaked Twitter user record此外,还有利用另外一个API爬取的140万推特用户个人简介数据在出售,累计有约700万包含个人隐私信息的推特个人简介信息泄露。

2022年11月23日,有黑客在黑客论坛发帖称可以免费下载这540万推特用户的数据。安全研究人员Pompompurin确认该数据与7月出售的推特用户数据是一致的,包含5485635条推特用户记录,包括用户推特账户ID、姓名、验证状态、位置、URL、描述、关注者数量、账户创建日期、好友数、状态数、个人简介图像URL。

5.4 million Twitter records leaked online for free

更大规模数据泄露

黑客免费发布了540亿推特用户数据,更令人担忧的是有黑客称利用该漏洞窃取了更大规模的用户数据。其中可能包含数千万推特用户记录,包括个人手机号、验证状态、账户名、推特ID、个人简介等信息。

安全专家Chad Loder称获得确切证据,确认了影响数百万美国和欧洲地区推特用户的大规模数据泄露。Chad Loder与部分受影响的账户样本联系并确认泄露的数据是准确的,且数据泄露事件发生日期在2021年之后。

Chad Loder sharing news of the larger breach on Mastodon

BleepingComputer获得了部分数据样本,其中包含1,377,132法国用户的手机号码。通过确认发现手机号码泄露是真实有效的,因此其他数据泄露应该也是真实有效的。

有知情人士透露有超过1700万用户数据泄露,但并未经过验证。

安全研究人员称这些数据可能会被用于定向钓鱼攻击来获取登录凭证,因此用于需要注意收到的自称来自推特的邮件。在点击邮件中链接后和输入登录凭证前,需要确认是否是推特的域名。

通过API漏洞窃取的超700万推特用户数据在互联网传播。

事件分析

2022年7月,有攻击者在黑客论坛以3万美元的价格出售超过540万的推特用户信息。经过调查,这些信息是利用2021年12月的一个推特API漏洞(提交到了HackerOne)窃取的,攻击者利用该漏洞可以通过手机号和邮箱地址来提取相关的推特ID,窃取的数据包含推特ID、姓名、登录名、位置、验证状态等公开信息,以及用户手机号码、邮件地址等非公开的个人隐私信息。

Forum post selling the scraped Twitter data目前还不清楚漏洞的泄露是否是HackerOne,但有安全研究人员称有多个黑客利用该漏洞从推特窃取用户隐私信息。推特已于2022年1月修复了该漏洞。

A redacted example of one of a leaked Twitter user record此外,还有利用另外一个API爬取的140万推特用户个人简介数据在出售,累计有约700万包含个人隐私信息的推特个人简介信息泄露。

2022年11月23日,有黑客在黑客论坛发帖称可以免费下载这540万推特用户的数据。安全研究人员Pompompurin确认该数据与7月出售的推特用户数据是一致的,包含5485635条推特用户记录,包括用户推特账户ID、姓名、验证状态、位置、URL、描述、关注者数量、账户创建日期、好友数、状态数、个人简介图像URL。

5.4 million Twitter records leaked online for free

更大规模数据泄露

黑客免费发布了540亿推特用户数据,更令人担忧的是有黑客称利用该漏洞窃取了更大规模的用户数据。其中可能包含数千万推特用户记录,包括个人手机号、验证状态、账户名、推特ID、个人简介等信息。

安全专家Chad Loder称获得确切证据,确认了影响数百万美国和欧洲地区推特用户的大规模数据泄露。Chad Loder与部分受影响的账户样本联系并确认泄露的数据是准确的,且数据泄露事件发生日期在2021年之后。

Chad Loder sharing news of the larger breach on Mastodon

BleepingComputer获得了部分数据样本,其中包含1,377,132法国用户的手机号码。通过确认发现手机号码泄露是真实有效的,因此其他数据泄露应该也是真实有效的。

有知情人士透露有超过1700万用户数据泄露,但并未经过验证。

安全研究人员称这些数据可能会被用于定向钓鱼攻击来获取登录凭证,因此用于需要注意收到的自称来自推特的邮件。在点击邮件中链接后和输入登录凭证前,需要确认是否是推特的域名。

谷歌研究人员发现5个可被利用的Arm Mali GPU驱动漏洞在补丁发布数月后仍未修复。

谷歌Project Zero安全研究人员在2022年6月发现了影响Arm Mali GPU驱动的多个安全漏洞,漏洞CVE编号为CVE-2022-33917、CVE-2022-36449。

CVE-2022-33917漏洞允许非特权用户进行不当GPU处理操作来访问空闲的内存空间。漏洞影响Arm Mali GPU kernel驱动Valhall r29p0版本到 r38p0版本。

CVE-2022-36449漏洞允许非特权用户访问释放的内存空间,进行缓存越界写,以及泄露内存映射细节。漏洞影响Arm Mali GPU kernel驱动Midgard r4p0版本到r32p0版本,Bifrost r0p0到r38p0版本、r39p0版本,Valhall r19p0到r39p0版本。

目前芯片厂商已经发布补丁。但研究人员发现在芯片厂商发布补丁数月后,相关漏洞仍然未被修复,数百万安卓用户设备受到影响,涉及谷歌、三星、小米、OPPO等其他手机厂商。相关品牌用户正在等待补丁到达终端用户。

芯片厂商发布补丁后,设备厂商需要时间来测试补丁并在其品牌的设备上实现,这一过程使得芯片厂商发布补丁到终端用户安装补丁之间存在时间差。

相关漏洞的验证等级为中,表明漏洞可被利用,而且会影响大量的安卓设备。Valhall驱动应用于Mali G710、G610、G510芯片中,而这些芯片应用在谷歌Pixel 7、Asus ROG Phone 6、红米Note 11、红米Note 12、荣耀Honor 70 Pro、RealMe GT、小米Xiaomi 12 Pro、Oppo Find X5 Pro、 Reno 8 Pro、Motorola Edge和OnePlus 10R中。

Android devices using the Mali G710 chip

图 使用Mali G710芯片的安卓设备

Bifrost驱动应用于Mali G76、G72、G52芯片(2018年左右)中,采用这些芯片的设备有三星Galaxy S10、S9、A51和A71,红米Redmi Note 10、华为Huawei P30 、华为P40 Pro、荣耀Honor View 20、Motorola Moto G60S和 Realme 7。

Midgard驱动使用的芯片包括Mali T800和T700系列芯片,使用的设备包括三星Galaxy S7、Note 7、Sony Xperia X XA1、华为Mate 8、Nokia 3.1、LG X、红米Note 4。

目前,Arm的补丁尚未达到OEM厂商,安卓和Pixel也正在测试补丁。未来几周内,安卓将向相关厂商发布补丁,随后厂商将负责实现补丁并向用户推送。目前终端用户唯一能做的就是等待厂商提供补丁。

更多参见:https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html

谷歌研究人员发现5个可被利用的Arm Mali GPU驱动漏洞在补丁发布数月后仍未修复。

谷歌Project Zero安全研究人员在2022年6月发现了影响Arm Mali GPU驱动的多个安全漏洞,漏洞CVE编号为CVE-2022-33917、CVE-2022-36449。

CVE-2022-33917漏洞允许非特权用户进行不当GPU处理操作来访问空闲的内存空间。漏洞影响Arm Mali GPU kernel驱动Valhall r29p0版本到 r38p0版本。

CVE-2022-36449漏洞允许非特权用户访问释放的内存空间,进行缓存越界写,以及泄露内存映射细节。漏洞影响Arm Mali GPU kernel驱动Midgard r4p0版本到r32p0版本,Bifrost r0p0到r38p0版本、r39p0版本,Valhall r19p0到r39p0版本。

目前芯片厂商已经发布补丁。但研究人员发现在芯片厂商发布补丁数月后,相关漏洞仍然未被修复,数百万安卓用户设备受到影响,涉及谷歌、三星、小米、OPPO等其他手机厂商。相关品牌用户正在等待补丁到达终端用户。

芯片厂商发布补丁后,设备厂商需要时间来测试补丁并在其品牌的设备上实现,这一过程使得芯片厂商发布补丁到终端用户安装补丁之间存在时间差。

相关漏洞的验证等级为中,表明漏洞可被利用,而且会影响大量的安卓设备。Valhall驱动应用于Mali G710、G610、G510芯片中,而这些芯片应用在谷歌Pixel 7、Asus ROG Phone 6、红米Note 11、红米Note 12、荣耀Honor 70 Pro、RealMe GT、小米Xiaomi 12 Pro、Oppo Find X5 Pro、 Reno 8 Pro、Motorola Edge和OnePlus 10R中。

Android devices using the Mali G710 chip

图 使用Mali G710芯片的安卓设备

Bifrost驱动应用于Mali G76、G72、G52芯片(2018年左右)中,采用这些芯片的设备有三星Galaxy S10、S9、A51和A71,红米Redmi Note 10、华为Huawei P30 、华为P40 Pro、荣耀Honor View 20、Motorola Moto G60S和 Realme 7。

Midgard驱动使用的芯片包括Mali T800和T700系列芯片,使用的设备包括三星Galaxy S7、Note 7、Sony Xperia X XA1、华为Mate 8、Nokia 3.1、LG X、红米Note 4。

目前,Arm的补丁尚未达到OEM厂商,安卓和Pixel也正在测试补丁。未来几周内,安卓将向相关厂商发布补丁,随后厂商将负责实现补丁并向用户推送。目前终端用户唯一能做的就是等待厂商提供补丁。

更多参见:https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html

2022年1月至7月,俄罗斯黑客组织共窃取超过5000万用户账户密码。

研究人员分析发现至少34个不同的俄罗斯黑客组织使用信息窃取恶意软件在2022年1月至7月期间,从超过89.6万个用户处累计窃取了5035万账户密码。窃取的凭证信息包括加密货币钱包、Steam、Roblox、Amazon、PayPal账户、以及支付卡记录。

Group-IB分析发现,攻击活动的目标设计111个国家和地区,其中大多数的受害者位于美国、德国、印尼、巴西、印度。

Countries with most infections in H1 2022

图 2022年1月-7月,俄罗斯攻击活动的受害者国家分布

2022年,信息窃取恶意软件数量大量增长,许多技术实力并不强的黑客也希望通过攻击活动来进行获利。

垃圾邮件攻击活动的过程是完全自动化的,入门门槛非常低,攻击者只需要在Telegram机器人中创建一个窃取器文件,然后引流即可。目前,在Telegram上有34个活跃的网络犯罪组织运营着大规模的信息窃取群组,每个群组有大约200个成员。其中23个群组使用Redline 信息窃取器,8个使用Raccoon恶意软件,3个使用定制的恶意软件。 

Group-IB对2021年10个月的信息窃取恶意软件活动与2022年前7个月的信息窃取恶意软件活动进行了对比,发现:

窃取密码的数量:50,352,518(增长80%)

Cookie文件窃取的数量:2,117,626,523(增长74%)

窃取加密货币钱包数量:113,204(增长216%)

支付卡入侵数量:103,150(增长81%)

Infostealer operation stats from first seven months of 2022 图 2022年1月-7月信息窃取攻击活动统计数据

Telegram在网络犯罪攻击活动中起着非常重要的角色,主要包括攻击活动组织和维护功能结构。私有Telegram频道可以为攻击者提供支持和技术指导,机器人可以为客户7*24地生成定制的恶意软件版本。

2022年1月至7月,俄罗斯黑客组织共窃取超过5000万用户账户密码。

研究人员分析发现至少34个不同的俄罗斯黑客组织使用信息窃取恶意软件在2022年1月至7月期间,从超过89.6万个用户处累计窃取了5035万账户密码。窃取的凭证信息包括加密货币钱包、Steam、Roblox、Amazon、PayPal账户、以及支付卡记录。

Group-IB分析发现,攻击活动的目标设计111个国家和地区,其中大多数的受害者位于美国、德国、印尼、巴西、印度。

Countries with most infections in H1 2022

图 2022年1月-7月,俄罗斯攻击活动的受害者国家分布

2022年,信息窃取恶意软件数量大量增长,许多技术实力并不强的黑客也希望通过攻击活动来进行获利。

垃圾邮件攻击活动的过程是完全自动化的,入门门槛非常低,攻击者只需要在Telegram机器人中创建一个窃取器文件,然后引流即可。目前,在Telegram上有34个活跃的网络犯罪组织运营着大规模的信息窃取群组,每个群组有大约200个成员。其中23个群组使用Redline 信息窃取器,8个使用Raccoon恶意软件,3个使用定制的恶意软件。 

Group-IB对2021年10个月的信息窃取恶意软件活动与2022年前7个月的信息窃取恶意软件活动进行了对比,发现:

窃取密码的数量:50,352,518(增长80%)

Cookie文件窃取的数量:2,117,626,523(增长74%)

窃取加密货币钱包数量:113,204(增长216%)

支付卡入侵数量:103,150(增长81%)

Infostealer operation stats from first seven months of 2022 图 2022年1月-7月信息窃取攻击活动统计数据

Telegram在网络犯罪攻击活动中起着非常重要的角色,主要包括攻击活动组织和维护功能结构。私有Telegram频道可以为攻击者提供支持和技术指导,机器人可以为客户7*24地生成定制的恶意软件版本。

1500个APP暴露Algolia API密钥,影响超300万用户。 

Algolia 成立于2012年,是一个面向开发者的搜索功能API接口,为网站及APP的开发者提供搜索功能接口,可以为其提供发现和推荐功能,用户超过11万企业。新加坡网络安全公司CloudSEK研究人员发现有1550个移动APP会泄露Algolia API密钥,敏感内部服务和存储的用户信息有泄露的风险。

Algolia API系统有5类API key,分别对应Admin、Search、Monitoring、Usage和Analytics功能。这些API key中只有Search是可公开的,可以在前端代码中看到,帮助用户在APP中执行搜索查询。Monitoring key 为管理员提供集群状态信息。Usage和Analytics为用户提供使用统计数据。Admin key提供对其他4类API服务的访问,以及:

浏览、删除索引;

添加、删除记录;

列出索引;

获取、设置索引设置;

获得访问记录。

滥用以上服务可以宝库用户的敏感数据,比如用户设备、网络访问信息、使用统计数据、检索记录和其他相关信息的操作。

CloudSEK自动扫描工具发现有1550个APP泄露了Algolia API key和应用ID,攻击者利用这些泄露的信息可以实现对内部信息的非授权访问。这些暴露Algolia Admin API key的APP下载次数累计超过325万,其中有APP下载次数超过百万。其中32个APP会泄露admin secret,其中包括57个唯一的管理员密钥,攻击者利用泄露的管理员密钥可以访问敏感用户信息或修改APP索引记录和设置。

攻击者利用admin API key可以执行许多关键操作,并实现对敏感数据的访问,比如攻击者可以检索或者查看敏感数据。根据APP的版本,攻击者可以利用这些敏感访问更多的敏感数据。

API keys leak

图 API keys 暴露引发的攻击流程image.png

图 暴露API的APP种类和下载次数

暴露密钥最多的APP种类为商城APP,下载次数超过230万次。此外,还有新闻APP、食品和饮料、教育、健身、医疗和商业APP,累计下载量超过95万次。

CloudSEK已联系了受影响的APP开发者,告知了密钥暴露情况和潜在的安全风险。

完整技术分析参见:https://cloudsek.com/whitepapers_reports/hardcoded-algolia-api-keys-could-be-exploited-by-threat-actors-to-steal-millions-of-users-data/

1500个APP暴露Algolia API密钥,影响超300万用户。 

Algolia 成立于2012年,是一个面向开发者的搜索功能API接口,为网站及APP的开发者提供搜索功能接口,可以为其提供发现和推荐功能,用户超过11万企业。新加坡网络安全公司CloudSEK研究人员发现有1550个移动APP会泄露Algolia API密钥,敏感内部服务和存储的用户信息有泄露的风险。

Algolia API系统有5类API key,分别对应Admin、Search、Monitoring、Usage和Analytics功能。这些API key中只有Search是可公开的,可以在前端代码中看到,帮助用户在APP中执行搜索查询。Monitoring key 为管理员提供集群状态信息。Usage和Analytics为用户提供使用统计数据。Admin key提供对其他4类API服务的访问,以及:

浏览、删除索引;

添加、删除记录;

列出索引;

获取、设置索引设置;

获得访问记录。

滥用以上服务可以宝库用户的敏感数据,比如用户设备、网络访问信息、使用统计数据、检索记录和其他相关信息的操作。

CloudSEK自动扫描工具发现有1550个APP泄露了Algolia API key和应用ID,攻击者利用这些泄露的信息可以实现对内部信息的非授权访问。这些暴露Algolia Admin API key的APP下载次数累计超过325万,其中有APP下载次数超过百万。其中32个APP会泄露admin secret,其中包括57个唯一的管理员密钥,攻击者利用泄露的管理员密钥可以访问敏感用户信息或修改APP索引记录和设置。

攻击者利用admin API key可以执行许多关键操作,并实现对敏感数据的访问,比如攻击者可以检索或者查看敏感数据。根据APP的版本,攻击者可以利用这些敏感访问更多的敏感数据。

API keys leak

图 API keys 暴露引发的攻击流程image.png

图 暴露API的APP种类和下载次数

暴露密钥最多的APP种类为商城APP,下载次数超过230万次。此外,还有新闻APP、食品和饮料、教育、健身、医疗和商业APP,累计下载量超过95万次。

CloudSEK已联系了受影响的APP开发者,告知了密钥暴露情况和潜在的安全风险。

完整技术分析参见:https://cloudsek.com/whitepapers_reports/hardcoded-algolia-api-keys-could-be-exploited-by-threat-actors-to-steal-millions-of-users-data/

ProxyNotShell Exchange 0day漏洞PoC代码在线公开,已发现在野利用。

ProxyNotShell Exchange漏洞是微软Exchange中的两个严重漏洞,CVE编号为CVE-2022-41082、CVE-2022-41040。漏洞影响Exchange Server 2013、2016、2019版本,攻击者利用这两个漏洞可以实现权限提升,在system权限下运行powershell,并在被入侵的服务器上获得任意代码执行权限和远程代码执行权限。

微软在11月的微软补丁日发布了这两个漏洞的安全更新补丁。但研究人员从2022年9月开始就监测到了ProxyNotShell的在野漏洞利用和攻击。

微软在发布ProxyNotShell安全更新后,安全研究人员Janggggg就发布了攻击者使用的PoC漏洞利用代码。漏洞分析师Will Dormann测试了该漏洞利用并确认该漏洞利用可以成功应用于Exchange Server 2016和2019版本,但在Exchange Server 2013上需要做一些修改。

威胁情报公司GreyNoise 追踪了2022年9月起的ProxyNotShell漏洞利用情况,并提供了ProxyNotShell扫描活动以及与这些攻击相关的IP地址。

ProxyNotShell vulnerabilty scans

图 ProxyNotShell漏洞扫描情况

攻击者将这两个漏洞链接在一起来在被入侵的服务器上部署中国菜刀web shell,以实现驻留和数据窃取,并为下一步攻击活动做好准备。

研究人员建议用户安装微软发布的补丁以保护系统免受攻击。

ProxyNotShell Exchange 0day漏洞PoC代码在线公开,已发现在野利用。

ProxyNotShell Exchange漏洞是微软Exchange中的两个严重漏洞,CVE编号为CVE-2022-41082、CVE-2022-41040。漏洞影响Exchange Server 2013、2016、2019版本,攻击者利用这两个漏洞可以实现权限提升,在system权限下运行powershell,并在被入侵的服务器上获得任意代码执行权限和远程代码执行权限。

微软在11月的微软补丁日发布了这两个漏洞的安全更新补丁。但研究人员从2022年9月开始就监测到了ProxyNotShell的在野漏洞利用和攻击。

微软在发布ProxyNotShell安全更新后,安全研究人员Janggggg就发布了攻击者使用的PoC漏洞利用代码。漏洞分析师Will Dormann测试了该漏洞利用并确认该漏洞利用可以成功应用于Exchange Server 2016和2019版本,但在Exchange Server 2013上需要做一些修改。

威胁情报公司GreyNoise 追踪了2022年9月起的ProxyNotShell漏洞利用情况,并提供了ProxyNotShell扫描活动以及与这些攻击相关的IP地址。

ProxyNotShell vulnerabilty scans

图 ProxyNotShell漏洞扫描情况

攻击者将这两个漏洞链接在一起来在被入侵的服务器上部署中国菜刀web shell,以实现驻留和数据窃取,并为下一步攻击活动做好准备。

研究人员建议用户安装微软发布的补丁以保护系统免受攻击。