HackerNews 编译，转载请注明出处： 过去数月，一场大规模的云存储订阅诈骗活动在全球范围内持续泛滥。大量用户频繁收到恐吓邮件，谎称其因“支付失败”导致照片、文件及账户即将被封锁或删除，以此诱导用户点击诈骗链接。 据安全媒体BleepingComputer观察，该诈骗活动在过去几个月中不断升级演进，受害者每天都会收到多个变种的诈骗邮件，这些邮件均疑似出自同一犯罪团伙之手。 尽管邮件正文内容略有差异，但核心话术一致：均试图通过编造“支付问题”或“存储空间不足”等理由制造紧迫感，威胁用户若不立即处理，其文件将被删除或访问权限遭封锁。 云存储诈骗邮件攻击详情 这些钓鱼邮件来自大量不同的发件域，其中绝大多数域名看起来是为此次垃圾邮件活动随机生成的，示例如下： Immediate Action Required. Payment Declined Cloud Storage 1TB: Payment overdue [personal name]¸Your Account Has been Blocked! Your Photos and Videos will be Removed Fri,30 Jan-2026. take action!! We’ve blocked your account!  Your photos and videos will be deleted . Renew your subscription for free now! [personal name] – Your store is full , click to check and save 80% , ID#88839 [personal name], Your Cloud Account has been locked on Mon,26 Jan-2026. Your photos and videos will be removed! Sorry [<personal email address>], We Have To Suspend Your Account Today ! Sat,24 Jan-2026 [name] – Your store is full , click to check and save 80% Cloud Storage 1TB: Payment overdue 这些诈骗邮件使用各类主题，核心目的均是恐吓收件人打开邮件。BleepingComputer收集到的部分主题行包括： 需要立即操作！付款被拒绝 云存储 1TB：付款逾期 [个人姓名]，您的账户已被封锁！您的照片和视频将于2026年1月30日（周五）被移除。请立即行动！！ 我们已封锁您的账户！您的照片和视频将被删除。立即免费续订订阅！ [个人姓名] – 您的存储空间已满，点击检查并节省80%，ID#88839 [个人姓名]，您的云账户已于2026年1月26日（周一）被锁定。您的照片和视频将被移除！ 抱歉 [<个人邮箱地址>]，我们必须在2026年1月24日（周六）暂停您的账户！ [姓名] – 您的存储空间已满，点击查看并节省80% 云存储 1TB：付款逾期 邮件内容谎称用户的云订阅续费失败或支付方式过期，警告若不立即处理，备份同步将停止，照片、视频、文档及设备备份可能永久丢失。为了增加欺骗性，邮件中还常包含虚构的账户ID、订阅编号和到期日期。邮件中还常包含伪造的账户 ID、订阅编号及到期日期，进一步伪装成合法通知。 BleepingComputer 获取的一封邮件中写道：“你的云订阅面临风险，近期支付处理失败。若未及时解决，云存储及备份功能可能被暂停” “紧急提醒：请尽快验证或更新支付方式，避免失去对照片、文件及设备备份的访问权限。” 该诈骗活动中的所有垃圾邮件均包含链接https://storage.googleapis.com/（谷歌云存储旗下服务），威胁分子在该链接下托管了静态重定向 HTML 文件。用户点击链接后，会被重定向至部署在随机域名上的诈骗 / 钓鱼网站。BleepingComputer测试发现，所有链接最终都指向同一套诈骗页面。这些页面高度模仿主流云服务商的门站，醒目地展示着云服务品牌标识（甚至包括谷歌云Logo），并声称用户存储空间已满，照片、视频、联系人、文件等私人数据将停止备份并面临删除风险。页面声称用户云存储空间已满，警示照片、视频、联系人、文件及私密数据已停止备份，且即将被删除。 下方钓鱼页面显示：“因你已超出存储套餐限额，文档、联系人及设备数据已停止同步至云空间，照片及视频无法上传至云相册，云盘及云服务相关应用无法跨设备同步更新。” “若不立即处理，你的数据将因失去安全保护而丢失。” 点击 “继续” 按钮后，用户会进入虚假存储检测页面，该页面始终显示照片、云盘及邮箱均已占满存储空间。随后页面警示：除非升级云存储空间，否则数据将丢失，同时声称用户可享受限时 “老用户专属” 8 折升级优惠。但用户点击存储升级按钮后，并不会进入合法云服务页面，而是被重定向至联盟营销页面，推广与云存储无关的产品。该钓鱼活动推广的产品包括 VPN 服务、小众安全软件，及其他与云存储无关的订阅类产品。这些页面最终会跳转至结账表单，目的是收集用户信用卡信息，同时为诈骗分子赚取联盟营销佣金。 遗憾的是，许多收件人无法识别此类诈骗，会误以为购买相关产品可解决虚假的云存储问题，进而购买非必需产品。需明确的是，此类邮件及落地页均非合法云服务通知。 需明确的是，此类邮件及落地页均非合法云服务通知。此外，正规云服务提供商不会通过邮件引导用户进行存储检测，也不会让用户通过第三方安全软件或 VPN 产品解决计费问题。 同时，多数正规云存储提供商在用户未按时付费时，仅会封禁额外存储空间的访问权限，而非立即删除用户文件。例如谷歌规定，若谷歌云盘套餐被取消，用户将失去额外存储空间访问权限，补缴费用后可恢复，且文件仅会在 2 年后被删除；微软 OneDrive 采用类似规则，但规定若账户超出配额存储限制，相关文件可能在 6 个月后被删除。 收到此类垃圾邮件的用户应直接删除，切勿点击任何链接，也不要购买邮件推广的任何产品。该诈骗活动的核心目的是恐吓用户进行非必需消费，因此无视此类邮件是最佳应对方式，若用户对云存储或计费有疑问，应手动访问正规云服务的官方网站或 APP 进行核实。   消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙正在调整策略，窃取存储在云中的数据并锁定公司自有系统。 微软周三发布警告，称其近期发现一个自2021年以来一直发动勒索软件攻击的威胁行为者参与的活动。据这家科技公司称，该威胁行为者能够快速泄露大量数据，同时销毁备份并索要赎金。事件响应人员表示：“虽然该威胁行为者已知针对混合云环境，但他们的主要目标已从部署本地端点勒索软件转向使用基于云的勒索软件策略。” 尽管勒索软件团伙传统上依靠部署恶意软件来加密文件，但该威胁行为者近期的策略表明，他们在攻击过程中不再需要这样做。 微软将该黑客称为Storm-0501，其最初在2021年针对美国学区的攻击中使用了Sabbath勒索软件，此后在针对医疗保健领域时持续使用多种勒索软件变种。在2024年的攻击中，其最近使用了Embargo勒索软件。 随着云系统采用率的提高，该黑客改变了方法，开始瞄准能提供全局管理员权限的账户信息。 在微软追踪的最近一次活动中，该黑客成功访问了一个由多家安全成熟度不一的子公司组成的匿名“大型企业”。该黑客检查了哪些子公司和办公室未启用微软安全工具，试图在横向移动网络之前避免被检测到。经过多次移动，他们找到了一个未启用多因素认证的账户，从而能够重置该账户的密码并注册自己的MFA方法。 一旦获得公司云网络的完全访问权限，他们便创建了一个后门，使其能够以几乎任何用户身份登录。他们使用多种工具来定位组织的关键资产，然后窃取大量敏感数据并销毁信息。 该黑客还花时间删除了备份，然后索要赎金。 微软表示：“完成数据泄露阶段后，Storm-0501开始大规模删除包含受害组织数据的Azure资源，通过恢复数据阻止受害者采取补救和缓解措施。”“在该威胁行为者尝试大规模删除数据存储/托管资源的过程中，由于环境中现有的保护措施，他们遇到错误并未能删除部分资源。” 对于无法删除的数据，该黑客尝试使用基于云的加密方式来锁定公司自有数据。由于在该威胁行为者删除密钥后，公司得以恢复密钥来解锁数据，此举未能成功。 微软称，在完成所有这一切后，该黑客通过Microsoft Teams联系了受害公司，“使用先前被入侵的一个用户，要求支付赎金”。 多家安全公司警告，过去使用勒索软件的精密黑客现已转向针对公司存储在云中的数据。过去一年中，已发生多起涉及从Snowflake和Salesforce等存储巨头窃取数据的高调活动。 谷歌周一表示，发现一项活动中黑客利用第三方服务窃取Salesforce数据——其主要目标似乎是窃取登录凭证，这可能“允许他们进一步危害受害者和客户环境，并转向受害者的客户或合作伙伴环境”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fitify公开可访问的谷歌云存储桶暴露了数十万个文件。其中部分文件是用户上传的进度照片，用于追踪身体随时间的变化。在Cybernews联系该公司后，未受保护的实例被关闭。 5月初，Cybernews研究团队发现了一个Fitify拥有且公开可访问的谷歌云存储桶。虽然该未受保护实例中暴露的大部分文件是锻炼计划和指导视频，但研究人员也注意到用户与应用的“AI教练”分享的照片以及他们的身体扫描图。 该应用的目标用户是希望减肥、塑形或以其他方式改善体态的人群。身体扫描允许用户根据健身计划锻炼或节食后追踪身体随时间的变化。Fitify在Google应用商店的描述中明确声明“数据在传输中加密”，向用户保证他们的私人照片不会被泄露。 然而，Cybernews团队或任何其他人，无需任何密码或安全密钥即可访问该云存储。 “值得注意的是，‘进度照片’和‘身体扫描’通常穿着较少的衣物拍摄，以便更好地展示减肥和增肌的进展。因此，大多数泄露的图像可能是用户通常希望保持私密、不与互联网上任何人分享的类型。”研究团队表示。 Fitify Workouts（该应用背后的公司）在收到Cybernews研究人员的联系后作出回应，关闭了暴露的实例，将其从公开访问中移除。 Fitify数据泄露的范围有多大？ 现已关闭的谷歌云存储桶总共包含37.3万个文件。其中20.6万是用户个人资料照片，另有13.8万被标记为进度照片。1.3万个文件是通过应用AI教练消息附件共享的，还有6000个被标记为“身体扫描”数据，包括图片和AI元数据。 身体扫描功能允许用户进行身体的3D扫描，应用会提供其瘦体重、体脂、姿势及其他他们可能希望改善或追踪方面的详细分析。 “此次泄露表明，应用实施的数据访问控制不足以保护用户数据，而该数据无需任何密码或密钥即可被访问的事实，证明用户数据在静态时未加密。”研究团队解释道。 在发现暴露的实例后，研究人员交叉核对了Fitify的名称是否包含在他们用来调查苹果应用商店应用实际安全性的随机选取数据集中。 Cybernews研究人员下载了15.6万个iOS应用（约占苹果应用商店所有应用的8%），发现开发者经常在应用代码中留下任何人都可访问的明文凭证。 调查结果显示，71%的被分析应用至少泄露一个机密凭证，平均每个应用代码暴露5.2个机密凭证。事实证明，Fitify也不例外。 “在调查了暴露的凭证后，我们发现了可能用于访问更多客户数据和应用后端基础设施的凭证。”该团队解释道。 “这也表明，配置错误的云存储桶访问控制并非应用开发者的唯一失误，因为许多API密钥和敏感端点位置也被硬编码在应用前端中。” Fitify应用暴露了哪些硬编码机密凭证？ 开发者硬编码机密凭证有多种原因。虽然有时是应用正常运行所必需的，但某些凭证和密钥不应保持可访问状态，因为它们会让攻击者深入应用内部，并可能访问私人用户数据。 研究团队注意到开发环境和生产环境之间存在不同类型的机密凭证。Fitify的开发环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) 攻击者可以利用ID和密钥访问谷歌和Firebase基础设施组件，收集信息，然后深入挖掘应用，可能获取敏感用户数据。 例如，暴露谷歌客户端ID和安卓客户端ID可能使恶意行为者能够冒充合法的应用实例，从而可能获得用户账户的访问权限。同时，存储桶可能使攻击者能够注入恶意文件或修改现有内容。 与此同时，Fitify的生产环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) Facebook应用ID (Facebook App ID) Facebook客户端令牌 (Facebook Client Token) Firebase动态自定义域名 (Firebase Dynamic Custom Domains) Algolia API密钥 (Algolia API Key) 结合先前泄露的信息，硬编码的凭证可能使攻击者能够通过Fitify访问用户的社交媒体数据。与谷歌凭证结合使用，这为影响健身数据和社交媒体档案的多种攻击场景创造了多个攻击途径。 该团队声称，虽然Fitify在解释他们使用的第三方供应商及其用途方面比大多数应用做得更好，但其隐私政策并未提及使用Algolia。 “Algolia仅以软件即服务（SaaS）模式提供，没有自托管选项，这意味着数据库中的数据由Algolia或其第三方供应商托管。”研究人员表示。 如何修复易泄露的应用？ 我们的研究人员认为，要有效缓解此问题，最好分别处理暴露的实例和硬编码的凭证。为了解决云存储桶相关问题，团队建议： 配置云存储桶内置的身份验证功能，将访问权限限制在仅限应访问存储数据的员工和系统。 同时，为防止应用机密凭证落入错误的人手中，团队建议采取以下措施： 泄露的凭证需要撤销，新凭证应在公司控制的服务器内安全地生成和存储，需要对暴露端点的访问控制设置进行审查，并建议执行审计以确定这些漏洞和错误配置是否已被恶意行为者利用。应用需要更新以兼容新的、更安全的基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cyble的最新监测数据显示，由于云存储桶配置错误导致的海量数据泄露仍在持续恶化。这家专注于暗网监控与威胁情报的企业透露，其漏洞扫描工具在七大主流云服务商处发现超过66万个暴露的存储桶，涉及2000亿份外泄文件。 仅针对凭证、源代码和机密文件三类敏感数据的筛选就暴露出数百万份高风险文件。Cyble研究人员具体指出：以“源代码”和Go语言为筛选条件，发现560万条结果；环境变量凭证过滤显示11万份敏感信息；机密文件检索则呈现逾160万条记录。 与去年8月相比，暴露云存储桶数量激增30%以上（当时监测到超50万个）。分析报告强调，存储桶配置错误已成为数据泄露的常见诱因——“即使大型企业也难以完美管控云存储访问权限，公开可访问的配置失误屡见不鲜。虽然云存储默认私有，但在共享对象或资源时极易引发复杂风险”。 监测案例显示，外泄数据类型涵盖文档、凭证、源代码乃至内部备份等关键资产。Cyble警告称，这类漏洞正在成为攻击者获取初始访问权限的重要跳板。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

本周一，Security Joes安全研究人员报告称发现黑客正在利用两个已公开的MinIO对象存储系统漏洞入侵云平台和企业网络执行任意代码，窃取私密信息甚至接管服务器，且不会被传统的基于签名的安全检测机制发现！ MinIO是一种开源高性能（非本机）对象存储系统服务，提供与Amazon S3的兼容性，并能够存储大小高达50TB的非结构化数据、日志、备份和容器映像。 由于MinIO的高性能和多功能（特别是对于大规模AI/ML和数据湖应用程序），使其对初创公司和大型企业都颇具吸引力，是当下流行的、经济高效的非本机对象存储系统平台。 Security Joes事件响应人员发现，黑客攻击中利用的两个漏洞（统称Evil MinIO漏洞）分别是CVE-2023-28432（CVSS评分7.5）和CVE-2023-28434（CVSS评分8.8），这两个高严重性漏洞影响2023-03-20发布的T20-16-18Z之前的所有MinIO版本。 虽然这两个漏洞已由供应商于2023年3月3日披露并修复，但其漏洞利用代码已被发布到Github。 Security Joes警告称，（通过Shodan搜索）公共互联网上暴露了52125个MinIO实例，其中约62%都运行着存在攻击漏洞的软件版本。中国是Evil MinIO漏洞的重灾区，有多达29243个实例暴露（包括8343个阿里云实例和4198个腾讯云实例）： 安全专家呼吁全球云系统管理员迅速采取行动，尽快部署可用的安全更新，以保护其资产免受MinIO漏洞攻击者的侵害。 “Evil MinIO”攻击 在一次事件响应过程中，Security Joes分析师发现攻击者试图安装代码中添加了远程访问后门的MinIO恶意版本（名为Evil MinIO），该版本可在GitHub上找到。 攻击者将CVE-2023-28432信息泄露和CVE-2023-28434漏洞关联起来，用MinIO恶意版本替换原来MinIO软件。 此次攻击事件中，攻击者首先使用社会工程手段欺骗DevOPS工程师将MinIO降级到受漏洞影响的早期版本。然后，黑客利用CVE-2023-28432远程访问服务器的环境变量，包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD变量。（这个漏洞利用了MinIO依赖环境变量来配置管理员凭据。换句话说，攻击者通过一个请求就可以检索易受攻击实例的管理员账号） 这些管理账号允许黑客使用MinIO客户端访问MinIO管理控制台。使用此客户端，攻击者将软件更新URL修改为他们控制的URL，以推送恶意更新（MinIO的恶意版本）。 接下来，攻击者还会通过漏洞利用链使用CVE-2023-28434漏洞将合法的.go源代码文件替换为被篡改的文件。 恶意（更新）的MinIO与合法版本的功能相同，但添加了后门代码，允许通过以下URL（图1）远程执行命令（图2）到受感染的服务器： 图1 图2：远程执行命令的函数 在Security Joes监测到的事件中，分析人员看到攻击者使用此后门运行Bash命令并下载Python脚本（下图）。 图3：在被入侵端点中检测到的活动 被入侵端点扮演内置后门的角色，使未经授权的个人能够在运行应用程序的主机上执行命令。” “值得注意的是，攻击者所执行的命令继承了启动应用程序的用户的系统权限。在本次网络攻击事件中，DevOps工程师由于安全实践不足，使用root权限启动了应用程序。”研究人员补充道。 Security Joes报告称，尽管该工具一个月前就已发布，但Virus Total扫描平台上的引擎并未检测到Evil MinIO中的后门。 图4：MinIO恶意版本（EvilMinIO）中的后门功能 后继攻击阶段活动 成功入侵对象存储系统后，攻击者会与命令和控制(C2)服务器建立通信通道，从该服务器获取后继攻击阶段所需的额外有效负载。 这些有效负载在Linux系统中通过“curl”或“wget”下载，在Windows系统中通过“winhttpjs.bat”或“bitsadmin”下载，包含以下内容： 系统分析脚本：收集系统信息，例如用户详细信息、内存、cronjobs和磁盘使用情况。 网络侦察脚本：识别可访问的网络接口、主机和端口。 Windows帐户创建脚本：在受感染的系统上创建名为“support”或“servicemanager”的用户帐户。 PING扫描脚本：使用asyncio Python模块识别受感染网络中的可访问资产。 类似China Chopper的webshell：一种单行webshell，与China Chopper具有相似之处。 Security Joes还在报告中公布了MinIO漏洞的入侵指标和Yara规则（链接在文末）。 总结：非本机对象存储是一把双刃剑 虽然非本机对象存储解决方案提供了灵活性、可扩展性和不受供应商锁定等引人注目的优势，但它们也带来了一系列安全挑战。当此类解决方案从不太可靠的来源获取或集成到复杂的多云环境中时，这些风险就会放大。因此，努力践行安全最佳实践对于积极采用此类技术的企业来说尤为重要。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/lV0ZjSCRiNA5qaDZ6JcSPQ 封面来源于网络，如有侵权请联系删除