ShinyHunters 大规模勒索行动中 Canvas 登录门户遭攻击
- 浏览次数 98
- 喜欢 0
勒索团伙 ShinyHunters 再次入侵教育技术巨头 Instructure,这次利用漏洞篡改了数百所高校的 Canvas 登录门户。
这些被篡改的页面在下线前大约显示了 30 分钟,上面有 ShinyHunters 留下的信息,声称对早前 Instructure 的数据泄露事件负责,并威胁称若不支付赎金就泄露被盗数据。
信息警告称,Instructure 和各学校需在 5 月 12 日前联系他们协商赎金,否则学生数据将被泄露。
篡改页面内容写道:“ShinyHunters(再次)入侵了 Instructure。他们没有联系我们解决问题,而是无视我们,还做了些‘安全补丁’。”
信息还称:“如果受影响名单中的任何学校希望阻止其数据被公布,请咨询网络安全咨询公司,并通过 TOX 私下联系我们协商解决方案。在 2026 年 5 月 12 日结束前,你们还有时间,之后所有数据都将被泄露。”
BleepingComputer 了解到,威胁行为者篡改了约 330 所教育机构的 Canvas 登录门户,将标准登录页面替换为勒索信息,该勒索信息在 Canvas 应用程序中也有显示。
据称,此次篡改是由于 Instructure 系统存在漏洞,使威胁行为者能够修改登录门户。此后,Instructure 已让 Canvas 下线,以应对这起最新的网络攻击。
上周,Instructure 透露正在调查一起网络攻击事件,此前威胁行为者声称利用其 Canvas 学习管理系统,从 8809 所学校、高校和教育平台窃取了 2.8 亿条学生和教职工记录。
ShinyHunters 团伙随后告诉 BleepingComputer,被盗数据包括用户记录、私人消息、注册数据及其他据称通过 Canvas 数据导出功能和 API 收集的信息。
Instructure 证实攻击期间数据被盗,但表示仍在调查该事件。
BleepingComputer 多次就此次攻击向 Instructure 提问,包括今日询问的是否计划通知学生和教职工数据泄露事件,但截至目前,邮件均未得到回复。
Canvas 是高等教育和 K - 12 教育环境中使用最广泛的学习管理系统之一,帮助学校管理课程作业、作业布置、评分以及学生与教师之间的沟通。
ShinyHunters 是谁
自 2018 年以来,ShinyHunters 这个名字一直与众多实施数据泄露的威胁行为者相关。
今年,使用 ShinyHunters 之名的威胁行为者已成为全球范围内实施数据盗窃和勒索攻击最为频繁的组织之一。
他们主要瞄准 Salesforce 及其他云软件即服务(SaaS)环境,与越来越多涉及谷歌、思科、PornHub 及在线约会巨头 Match Group 等公司的数据泄露事件有关。
该勒索团伙通常入侵第三方集成公司,并使用窃取的身份验证令牌访问相关的 SaaS 环境并窃取客户数据。
这些威胁行为者还以针对 Okta、微软和谷歌单点登录(SSO)账户进行语音网络钓鱼(vishing)攻击而闻名,他们冒充信息技术支持人员,诱骗员工在网络钓鱼网站上输入凭证和多因素身份验证(MFA)代码。
正如 BleepingComputer 最先报道的那样,ShinyHunters 组织最近还采用了设备代码语音网络钓鱼攻击来获取微软 Entra 身份验证令牌。
在窃取凭证和身份验证码后,威胁行为者劫持单点登录账户,入侵 Salesforce、微软 365、谷歌 Workspace、SAP、Slack、Adobe、Atlassian、Zendesk 和 Dropbox 等相关企业服务。
虽然 ShinyHunters 团伙成员实施了众多攻击,但他们也作为 “勒索即服务” 组织运作,代表其他威胁行为者进行勒索,以换取赎金分成。
已有多起与 ShinyHunters 相关的逮捕行动,包括与 Snowflake 数据盗窃攻击、PowerSchool 数据泄露以及 Breached v2 黑客论坛运营有关的嫌疑人。
然而,尽管有这些逮捕行动,各公司仍不断收到署名 “我们是 ShinyHunters” 的勒索邮件。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文