網(wǎng)絡(luò )安全公司 Flare  與 BleepingComputer 分享的一份報告顯示，在對暗網(wǎng)和 Telegram 渠道上出售的近 2000 萬(wàn)條泄密數據日志進(jìn)行分析后，發(fā)現信息竊取惡意軟件已實(shí)現了對商業(yè)環(huán)境的嚴重滲透。

信息竊取程序是一種惡意軟件，可竊取存儲在 Web 瀏覽器、電子郵件客戶(hù)端、即時(shí)消息、加密貨幣錢(qián)包、FTP 客戶(hù)端和游戲服務(wù)等應用程序中的數據。被盜信息被打包到稱(chēng)為“日志”的檔案中，然后將其上傳回攻擊者用于下一步攻擊或在網(wǎng)絡(luò )犯罪市場(chǎng)上出售。

報告發(fā)現，有37.5萬(wàn) 個(gè)日志包含對幾個(gè)主流業(yè)務(wù)應用程序的訪(fǎng)問(wèn)權限，包括：

· 

17.9萬(wàn) 個(gè) AWS 控制臺憑證 

· 

· 

2300 個(gè) Google Cloud 憑據

· 

· 

6.45萬(wàn) 個(gè) DocuSign 憑據

· 

· 

1.55萬(wàn) 個(gè) QuickBooks 憑證

· 

· 

2.3萬(wàn)個(gè) Salesforce 憑證

· 

· 

6.6萬(wàn) 個(gè) CRM 憑證

· 

此外還有大約 4.8萬(wàn) 個(gè)日志包括對“okta.com”的訪(fǎng)問(wèn)，這是組織用于云和本地用戶(hù)身份驗證的企業(yè)級身份管理服務(wù)。

這些日志中有74% 發(fā)布在 Telegram 頻道上，而 25% 的日志在和俄羅斯有關(guān)的市場(chǎng)。Flare 報告描述稱(chēng)，包含企業(yè)訪(fǎng)問(wèn)權限的日志在俄羅斯市場(chǎng)和 VIP Telegram 頻道上的比例過(guò)高，這表明攻擊者用來(lái)獲取日志的方法可能無(wú)意或有意地針對更多企業(yè)。而在一些公開(kāi)的Telegram 頻道可能會(huì )故意發(fā)布價(jià)值較低的日志，為付費客戶(hù)保留高價(jià)值的日志。

Flare 還發(fā)現了20多萬(wàn)多個(gè)包含 OpenAI 憑證的日志，是 Group-IB 最近報告數量的兩倍，這些日志存在泄漏專(zhuān)有信息、內部業(yè)務(wù)戰略、源代碼等的風(fēng)險。

Flare 研究員 Eric Clay 解釋道：“根據來(lái)自暗網(wǎng)論壇 Exploit 的證據，我們認為通過(guò)初始訪(fǎng)問(wèn)代理極有可能使用竊取的日志作為主要來(lái)源，以在企業(yè)環(huán)境中獲得初步立足點(diǎn)，然后在頂級暗網(wǎng)論壇上進(jìn)行拍賣(mài)?！?

參考資料：

https://www.bleepingcomputer.com/news/security/over-400-000-corporate-credentials-stolen-by-info-stealing-malware/

原文來(lái)源：FreeBuf