黑客声称入侵Resecurity,公司称实为蜜罐陷阱
黑客声称入侵Resecurity,公司称实为蜜罐陷阱
作者
03:34 PM
更新:本文已更新,反映ShinyHunters声称未参与此活动。我们已更新报道和标题。
与"Scattered Lapsus$ Hunters"(SLH)相关的威胁行为者声称已入侵网络安全公司Resecurity的系统并窃取内部数据,而Resecurity表示攻击者仅访问了一个故意部署的、包含用于监控其活动的虚假信息的蜜罐。
今日,威胁行为者在Telegram上发布了据称是入侵证据的截图,声称窃取了员工数据、内部通信、威胁情报报告和客户信息。
威胁行为者在Telegram上发布的部分帖子内容
来源:BleepingComputer
为证明其说法,威胁行为者发布了据称从Resecurity窃取的截图,包括一个似乎是Mattermost协作平台的界面,显示了Resecurity员工与Pastebin人员之间关于该文本共享平台上托管恶意内容的通信。
这些自称"Scattered Lapsus$ Hunters"的威胁行为者(据称与ShinyHunters、Lapsus$和Scattered Spider威胁组织存在重叠)表示,此次攻击是对Resecurity持续尝试通过社会工程手段渗透该组织并了解其运作的报复。
威胁行为者称,Resecurity员工在据称的越南金融系统数据库销售过程中冒充买家,试图获取免费样本和额外信息。
在本文发布后,ShinyHunters发言人向BleepingComputer表示他们未参与此活动。尽管ShinyHunters一直声称是Scattered Lapsus$ Hunters的一部分,但他们声明未参与此次攻击。
我们已根据此信息更新文章。
如果您有此事件或其他未公开攻击的相关信息,可通过Signal(646-961-3731)或邮箱tips@bleepingcomputer.com与我们保密联系。
Resecurity称其为蜜罐
Resecurity反驳了威胁行为者的说法,称所谓被入侵的系统并非其合法生产基础设施的一部分,而是为吸引和监控威胁行为者而设计的蜜罐。
在BleepingComputer就此事联系Resecurity后,该公司分享了其于2025年12月24日发布的
一份报告
,其中称首次检测到威胁行为者于2025年11月21日探测其公开暴露的系统。
该公司表示,其数字取证与事件响应(DFIR)团队早期识别了侦察迹象,并记录了与该行为者相关的多个IP地址,包括来自埃及和Mullvad VPN服务的地址。
Resecurity称,其响应措施是在隔离环境中部署了一个"蜜罐"账户,允许威胁行为者登录并访问包含虚假员工、客户和支付数据的系统,同时研究人员对其进行监控。
蜜罐是一种故意暴露的受监控系统或账户,旨在诱捕攻击者,允许观察和分析其行为,并在不危及真实数据或基础设施的情况下收集其活动情报。
该公司表示,蜜罐中填充了模拟真实业务数据的合成数据集,包括超过28,000条合成消费者记录和190,000多条合成支付交易记录,均基于Stripe官方API格式生成。
据Resecurity称,威胁行为者于12月开始尝试自动化数据外泄,在12月12日至24日期间使用大量住宅代理IP地址生成了超过188,000次请求。
在此活动期间,该公司表示收集了关于攻击者战术、技术和基础设施的遥测数据。
Resecurity对蜜罐活动的监控
来源:Resecurity
Resecurity声称,由于代理连接故障,攻击者多次短暂暴露了确认的IP地址,相关情报已报告给执法部门。
在观察到更多活动后,Resecurity表示添加了更多虚假数据集以研究攻击者行为,这导致攻击者出现更多操作安全(OPSEC)失误,有助于缩小其基础设施范围。
该公司称后来识别了通过住宅代理自动化攻击的服务器,并将情报也分享给了执法部门。
Resecurity表示:"一旦通过可用网络情报和时间戳定位到攻击者,Resecurity的合作伙伴——一家外国执法组织——就发出了关于该威胁行为者的传票请求。"
截至发稿时,威胁行为者未提供进一步证据,仅在Telegram上发布新帖子称更多信息即将公布。
Telegram帖子写道:"Resecurity的损害控制做得不错。更多信息即将公布!"