亮点 | 青少年因幼儿园数据泄露案被捕，OpenAI捣毁网络犯罪集群

英国警方在赫特福德郡逮捕了两名17岁青少年，指控他们在针对伦敦Kido幼儿园的勒索软件攻击后泄露儿童信息。Radiant组织声称对此负责，称窃取了8000多名儿童的敏感数据和照片，并在网上泄露部分内容以勒索Kido。随后，由于该组织对Kido和受影响儿童家长的威胁未能得逞，文件被删除。Kido在英国、美国、中国和印度为超过15,000个家庭提供服务，确认被入侵数据托管在幼儿园软件平台Famly上，但Famly表示其系统未受破坏。

英国国家网络安全中心称此次针对儿童的攻击“特别恶劣”，伦敦警察厅强调将全力追查肇事者。这些逮捕反映了英国青少年参与重大网络攻击的广泛趋势，最近案件涉及玛莎百货、Co-op、哈罗德百货和伦敦交通局。

本周，OpenAI宣布捣毁了三个滥用ChatGPT进行网络犯罪和影响行动的恶意活动集群。第一个涉及俄语行为者使用多个账户开发远程访问木马、凭证窃取器和数据外泄工具组件。第二个与朝鲜行为者有关，使用ChatGPT协助开发恶意软件、网络钓鱼和C2基础设施——利用聊天机器人起草文本、进行实验和探索新技术。第三个与中国威胁组织“UNK_DropPitch”相关，利用该工具创建多语言网络钓鱼内容并自动化黑客任务。

除此之外，OpenAI还封锁了来自柬埔寨、缅甸、尼日利亚、俄罗斯和中国的网络，这些网络在诈骗、宣传和监视活动中使用AI，尽管所有提及的行为者都试图掩盖其滥用该工具的迹象以推进其行动。

威胁 | Crimson Collective组织入侵云系统窃取数据并勒索受害者

名为“Crimson Collective”的威胁组织对AWS云环境发起了一系列针对性攻击，通过多阶段入侵窃取敏感数据并勒索受害者。该组织最近从数千个私有GitLab仓库外泄了570 GB数据，随后与Scattered Lapsus$ Hunters联手加强其勒索活动。

研究人员解释了Crimson Collective的操作如何从使用TruffleHog等开源工具收集暴露的长期访问凭证开始。一旦进入，他们会创建新的特权账户并通过分配管理策略来提升权限，有效获得对受损环境的完全控制。在此阶段，攻击者会枚举用户、数据库和存储系统，为大规模数据盗窃做准备。

该组织的外泄过程包括修改数据库主密码，创建数据库快照，然后将其导出到S3并通过API调用传输。随后启动EBS卷并将其附加到宽松的安全组下，以更自由地移动数据。受害者通常在外泄完成后通过平台内电子邮件系统和外部地址收到勒索要求。

调查发现该组织使用许多IP地址，其中一些在不同事件中重复使用，这使得可以部分追踪其操作。虽然Crimson Collective的规模和技术设施尚不清楚，但其勒索策略表明对依赖云基础设施的组织构成日益扩大的威胁。使用短期、最小权限凭证并强制执行IAM策略有助于降低入侵风险。

研究人员警告称，泄露的凭证和宽松的权限管理继续是这些攻击的主要促成因素，并敦促公司加强访问控制、限制凭证寿命周期，并定期使用开源扫描工具审计暴露的密钥。

危机 | 攻击者入侵Discord客服系统，暴露550万用户数据

声称已入侵Discord客服系统的威胁行为者现在威胁要泄露据称从数百万用户窃取的数据，因为该公司拒绝支付赎金要求。这一最新威胁紧随报告称攻击者于9月下旬首次获得第三方支持提供商的访问权限，外泄了敏感用户信息，如姓名、电子邮件、政府身份证件和部分支付详情。

Discord确认入侵影响了用于客户服务的供应商系统，而非其内部基础设施，并表示约70,000用户的政府身份证照片被暴露——远低于攻击者声称的210万。公司强调夸大数字和赎金要求是勒索活动的一部分，不会奖励非法行为。

据威胁行为者称，他们通过属于外包支持代理的被入侵账户访问了Discord的支持平台58小时。在此期间，他们声称获取了1.6 TB数据，包括影响550万用户的840万张支持票据，其中约580,000张包含部分支付信息。攻击者还表示，支持系统与Discord内部数据库之间的集成允许他们运行数百万次API查询以获取额外用户数据。

攻击者最初要求500万美元，后来降至350万美元，随后Discord终止谈判并公开披露入侵。该组织此后威胁要发布被盗数据，这标志着2025年针对主要通信平台的最大勒索驱动数据盗窃事件之一。