HELLCAT 勒索軟件組織宣稱對捷豹路虎（JLR）的重大數據泄露事件負責。此次事件致使大量敏感數據外泄，其中包含專有文檔、源代碼、員工信息以及合作伙伴詳細信息。

該組織的攻擊模式與之前針對西班牙電信、施耐德電氣和 Orange 等知名企業的攻擊如出一轍，都依賴利用受損的員工憑證，尤其是從 Atlassian Jira 實例中獲取的憑證。

事件分析

此次泄密事件的核心，是一種愈發有效的攻擊技術：先使用信息竊取惡意軟件竊取憑證，再憑借這些憑證滲透進企業關鍵系統。在此次案件中，被泄露的憑證屬于一名 LG 電子員工，該員工感染了信息竊取者惡意軟件，且有權限訪問 JLR 的 Jira 服務器。此次攻擊導致名為 “Rey” 的威脅行為者泄露了 JLR 的數百份內部文件。

此次泄密事件中發現了該公司數百份內部文件

追蹤信息竊取者感染的網絡安全公司 Hudson Rock 指出，由于這類感染，數千家公司的 Jira 相關憑證遭到泄露。

Hudson Rock 的網絡犯罪情報數據庫由超過 30,000,000 臺受 Infostealer 感染的計算機組成，顯示數千家不同的公司因 Infostealer 感染而泄露了與 Jira 相關的憑證

該公司數據庫中有超過 3000 萬臺受感染計算機，這充分顯示出此類威脅的廣泛性。

在 Rey 首次發布聲明幾天后，另一個以 “APTS” 為別名的威脅行為者現身，聲稱自 2021 年起就利用類似憑證訪問 JLR 的系統，這導致了更大規模的數據泄露，估計數據量達 350GB。APTS 分享了 Jira 儀表板的屏幕截圖，其中顯示了其他敏感數據，并確認所使用的憑據與 Hudson Rock 數據庫中的憑據相匹配。

攻擊方法

HELLCAT 的作案手法是通過網絡釣魚電子郵件、惡意下載或受感染的網站，悄然感染員工設備。

用于實施入侵的登錄憑據多年前被 Hudson Rock 的 Cavalier 發現

一旦植入成功，像 Lumma（與施耐德電氣漏洞有關）這類信息竊取惡意軟件就會提取企業系統的敏感登錄憑證，然后在暗網上售賣或交易。在 JLR 漏洞事件中，Rey 確認 Atlassian Jira 實例為入侵入口點后，很明顯這些被盜憑證可輕易用于提升權限和提取敏感數據。

被盜憑證的危險性

JLR 泄密事件尤其令人擔憂的一點是，被盜憑證存在的時間很長。Hudson Rock 此前已將這些被盜登錄信息納入其龐大數據庫。這些憑證在捷豹路虎的系統中依舊有效且未變更，這一情況凸顯出公司在憑證管理和輪換方面存在嚴重疏忽，也凸顯了信息竊取惡意軟件帶來的長期威脅。

APTS 泄露捷豹路虎更多數據

對于企業而言，從中得到的教訓十分明確 —— 信息竊取者感染并非孤立事件，而是持續存在的威脅。除非實施強有力的監控、多因素身份驗證（MFA）以及及時的憑證輪換，否則被盜取的憑證可能多年都保持有效。

Atlassian Jira 在企業工作流程中至關重要，因其在數據存儲方面的核心地位，已成為主要攻擊目標。像 HELLCAT 這樣的威脅行為者一旦進入系統，就能輕松提升權限并提取數據。

在捷豹路虎評估損失并保護其系統的同時，網絡安全社區也在為可能出現的后續攻擊做準備。泄露的數據可能會被用于有針對性的網絡釣魚活動或知識產權盜竊，特別是人工智能工具會放大此類違規行為的影響。鑒于 HELLCAT 的得逞，很可能會出現模仿行動，信息竊取者憑證在暗網上依舊備受追捧。

這一事件清晰地警示了主動網絡安全措施的重要性，包括完善的憑證管理以及集成網絡犯罪情報 API 以增強現有網絡安全解決方案。

參考及來源：https://gbhackers.com/jaguar-land-rover-hit-by-hellcat-ransomware/