HELLCAT 勒索软件组织宣称对捷豹路虎（JLR）的重大数据泄露事件负责。此次事件致使大量敏感数据外泄，其中包含专有文档、源代码、员工信息以及合作伙伴详细信息。

该组织的攻击模式与之前针对西班牙电信、施耐德电气和 Orange 等知名企业的攻击如出一辙，都依赖利用受损的员工凭证，尤其是从 Atlassian Jira 实例中获取的凭证。

事件分析

此次泄密事件的核心，是一种愈发有效的攻击技术：先使用信息窃取恶意软件窃取凭证，再凭借这些凭证渗透进企业关键系统。在此次案件中，被泄露的凭证属于一名 LG 电子员工，该员工感染了信息窃取者恶意软件，且有权限访问 JLR 的 Jira 服务器。此次攻击导致名为 “Rey” 的威胁行为者泄露了 JLR 的数百份内部文件。

此次泄密事件中发现了该公司数百份内部文件

追踪信息窃取者感染的网络安全公司 Hudson Rock 指出，由于这类感染，数千家公司的 Jira 相关凭证遭到泄露。

Hudson Rock 的网络犯罪情报数据库由超过 30,000,000 台受 Infostealer 感染的计算机组成，显示数千家不同的公司因 Infostealer 感染而泄露了与 Jira 相关的凭证

该公司数据库中有超过 3000 万台受感染计算机，这充分显示出此类威胁的广泛性。

在 Rey 首次发布声明几天后，另一个以 “APTS” 为别名的威胁行为者现身，声称自 2021 年起就利用类似凭证访问 JLR 的系统，这导致了更大规模的数据泄露，估计数据量达 350GB。APTS 分享了 Jira 仪表板的屏幕截图，其中显示了其他敏感数据，并确认所使用的凭据与 Hudson Rock 数据库中的凭据相匹配。

攻击方法

HELLCAT 的作案手法是通过网络钓鱼电子邮件、恶意下载或受感染的网站，悄然感染员工设备。

用于实施入侵的登录凭据多年前被 Hudson Rock 的 Cavalier 发现

一旦植入成功，像 Lumma（与施耐德电气漏洞有关）这类信息窃取恶意软件就会提取企业系统的敏感登录凭证，然后在暗网上售卖或交易。在 JLR 漏洞事件中，Rey 确认 Atlassian Jira 实例为入侵入口点后，很明显这些被盗凭证可轻易用于提升权限和提取敏感数据。

被盗凭证的危险性

JLR 泄密事件尤其令人担忧的一点是，被盗凭证存在的时间很长。Hudson Rock 此前已将这些被盗登录信息纳入其庞大数据库。这些凭证在捷豹路虎的系统中依旧有效且未变更，这一情况凸显出公司在凭证管理和轮换方面存在严重疏忽，也凸显了信息窃取恶意软件带来的长期威胁。

APTS 泄露捷豹路虎更多数据

对于企业而言，从中得到的教训十分明确 —— 信息窃取者感染并非孤立事件，而是持续存在的威胁。除非实施强有力的监控、多因素身份验证（MFA）以及及时的凭证轮换，否则被盗取的凭证可能多年都保持有效。

Atlassian Jira 在企业工作流程中至关重要，因其在数据存储方面的核心地位，已成为主要攻击目标。像 HELLCAT 这样的威胁行为者一旦进入系统，就能轻松提升权限并提取数据。

在捷豹路虎评估损失并保护其系统的同时，网络安全社区也在为可能出现的后续攻击做准备。泄露的数据可能会被用于有针对性的网络钓鱼活动或知识产权盗窃，特别是人工智能工具会放大此类违规行为的影响。鉴于 HELLCAT 的得逞，很可能会出现模仿行动，信息窃取者凭证在暗网上依旧备受追捧。

这一事件清晰地警示了主动网络安全措施的重要性，包括完善的凭证管理以及集成网络犯罪情报 API 以增强现有网络安全解决方案。

参考及来源：https://gbhackers.com/jaguar-land-rover-hit-by-hellcat-ransomware/