HackerNews

HackerNews 编译，转载请注明出处： 网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。 自2025年3月以来，Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者，他们冒充欧洲外交官和乌克兰官员。 这些电子邮件试图诱使人权工作者和非政府组织（NGO）工作人员交出能授予访问其Microsoft账户权限的身份验证代码。 攻击背后的复杂社会工程 被Volexity追踪为UTA0352和UTA0355的威胁行为者，采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息，提议就与乌克兰相关的事务举行会议。 这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接，并被要求提供用户在身份验证后看到的一个代码。 这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而，一旦受害者（通常通过同一即时通讯平台）返回所显示的代码，攻击者就会用它来生成一个访问令牌，从而解锁受害者的Microsoft 365数据。 在其中一个案例中，UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里，受害者在不知情的情况下触发了OAuth流程，并被提示发回授权代码。这些代码有效期长达60天，授予了访问用户Microsoft Graph数据的权限，实际上暴露了其电子邮件和文件。 在另一次活动中，Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。 一旦完成身份验证，攻击者就会将一个新设备注册到用户的Entra ID（原Azure AD）中，通过社会工程绕过安全设置并下载电子邮件数据。 关键入侵迹象 Volexity强调了几点组织可以监控的潜在入侵迹象，包括： 使用Visual Studio Code客户端ID进行的OAuth登录活动 重定向到insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL 新注册的、链接到代理IP地址的设备 异常的双重身份验证审批请求 与用户典型电子邮件客户端不匹配的应用程序ID 根据该安全公司的分析，这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。 “基于此，以及2025年2月观察到的类似战术，Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。 该公司还警告称，由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序，传统的安全控制措施可能效果不佳。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国德克萨斯州酒精与药物检测服务公司（TADTS）近日通报，其系统在2024年7月遭遇数据泄露事件，约75万人的个人信息被非法获取。该公司总部位于德克萨斯州，主要为德州及其他地区提供职场与个人酒精及药物检测服务。 TADTS声明，事件于2024年7月9日被发现，涉及未授权访问及窃取其系统数据。在专业数据挖掘团队协助下，近期完成的调查确认失窃数据包含个人信息。 潜在泄露信息涵盖： 姓名、出生日期、社保号码 驾照号码、护照号码及其他身份证件号码 财务与信用卡信息 健康保险详情 生物识别信息 登录凭证、邮箱及密码 美国移民局档案号或外籍人士登记号 该公司在官网通知中说明：“此列表描述受影响系统中的通用信息类别，部分类别可能不适用于每位潜在受影响个体。”向缅因州总检察长办公室提交的书面通知副本显示，这些信息是“个人在就业相关筛查测试中授权提供的。” 事件控制后，TADTS已重置所有系统密码，部署额外监控工具，强化端点检测协议，并向执法部门及相关机构报案。公司表示尚未发现事件引发的欺诈或身份盗窃行为，但建议受影响人员监控信用报告与账户流水，发现可疑活动及时向金融机构报告。 根据向缅因州总检察长办公室提交的文件，本次事件共影响748,763人，但TADTS明确表示不会提供免费身份盗窃保护服务。 尽管TADTS未透露具体攻击类型，知名勒索团伙BianLian于2024年7月14日宣称对此次入侵负责，声称窃取约218GB数据。目前尚不明确黑客是否已公开泄露数据——其基于Tor的泄密网站当前处于离线状态，且该团伙已沉寂数月（上一次公布受害者记录为2025年3月31日）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国奢侈品牌迪奥（Dior）近期开始向美国客户发送数据泄露通知，告知其2025年5月发生的网络安全事件导致个人信息被泄露。迪奥隶属于全球最大奢侈品集团路威酩轩（LVMH），该品牌年营收超120亿美元，在全球运营数百家精品店。 此次安全事件实际发生在2025年1月26日，但公司直到2025年5月7日才察觉并启动内部调查以确定影响范围。发送给受影响个人的通知中写道：“调查确定，未授权方于2025年1月26日非法访问了包含迪奥客户信息的数据库。迪奥已迅速采取措施控制事件，目前无证据表明系统后续再遭入侵。” 根据调查结果，以下信息已遭泄露： 全名 联系方式 住址 出生日期 护照或政府身份证号码（部分情况） 社保号码（部分情况） 公司澄清称，被入侵数据库未包含银行账户或支付卡信息等支付详情，故此类财务数据仍安全。迪奥已据此通知执法部门，并聘请第三方网络安全专家协助控制事件。 收到通知的用户需警惕诈骗和钓鱼企图，密切监控金融账户活动，及时识别并报告可疑行为。通知信函同时附带了免费领取24个月信用监控及身份盗窃保护服务的操作指南，该服务有效期截至2025年10月31日。 此次事件时间点与迪奥早前在韩国和中国披露的安全事件吻合。同为LVMH集团旗下的路易威登（Louis Vuitton）近期也披露了影响英国、韩国和土耳其客户的数据泄露事件。尽管涉事公司发言人未回应澄清请求，但行业信息表明，路易威登与迪奥事件实属同一网络攻击的一部分。 据信，此次攻击与勒索团伙ShinyHunters有关，其通过入侵第三方供应商数据库获取了LVMH客户信息。若属实，路易威登可能随后发布针对美国客户的类似披露。目前，迪奥尚未回应关于受影响美国客户数量的质询。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度加密货币交易所CoinDCX上周遭遇黑客攻击，损失约4420万美元。公司联合创始人Neeraj Khandelwal与Sumit Gupta上周六通过社交媒体披露异常情况，随后确认被盗资金源自公司内部运营账户。 创始人声明用户资金未受影响：“受影响的操作账户已被隔离。由于运营账户与用户钱包物理隔离，风险仅限该账户，损失将由我们通过自有储备金全额承担。” 公司已向印度计算机应急响应小组（CERT-In）通报案情。 CoinDCX成立于2018年，作为印度头部加密平台拥有约1600万用户。公司表示正与安全团队合作调查事件、修复漏洞并追踪被盗资金以进行冻结回收，同时承诺推出漏洞悬赏计划。 Khandelwal及多家区块链安全公司确认，上周五晚间有价值4420万美元的USDC和USDT（两种锚定美元的稳定币）从平台盗走。CoinDCX周日发布的事件分析报告称将通过储备金覆盖损失，目前已追踪到两个分别持有2760万和1620万美元的涉事钱包，截至本周一下午虽显示清零，但专家发现资金已转移至新钱包。 Gupta在多平台警告用户防范冒充CoinDCX官员的诈骗者，强调“切勿向任何人提供账户信息”。公司承诺向协助追回资金者提供最高25%的返还金额，同时寻求黑客身份线索以提起法律诉讼。 此次攻击发生之际，距印度另一加密巨头WazirX遭窃2.3亿美元仅数月（2024年11月涉案嫌疑人被捕）。区块链安全公司Chainalysis上周数据显示，2025年全球加密资产被盗金额已达21.7亿美元，超2024年全年总和。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 科技制造商戴尔近日证实，黑客入侵了其产品演示平台，但向媒体强调事件未涉及敏感信息。 戴尔在声明中指出，某威胁行为体非法访问了“戴尔解决方案中心”（Dell’s Solution Center），该平台专为商业客户“展示产品功能及测试概念验证”而设立。 公司发言人明确表示，该平台“在设计上已与客户及合作伙伴系统隔离，同时独立于戴尔内部网络，不参与任何客户服务的提供流程”。平台使用的数据主要为虚假信息，源自公开数据集，仅用于产品演示等非生产场景。发言人补充道：“根据持续调查，攻击者获取的数据本质上是合成数据、公开信息或戴尔内部测试数据。” 作为全球最大计算机制造商之一，戴尔上个财年营收达956亿美元。 戴尔未透露事件具体发生时间及幕后组织，但勒索软件组织WorldLeaks声称对此次攻击负责。 该组织由三周前解散的Hunters International重组而来，解散前曾向既往受害者免费提供解密工具。Hunters International曾主导多起高调攻击，包括入侵美国法警局、纳米比亚国有电信运营商及西雅图知名癌症研究中心。 Hunters International的核心成员于2024年11月创建WorldLeaks。网络安全公司Group-IB评估认为，部分WorldLeaks与Hunters的管理员可能曾参与2023年被执法部门渗透瓦解的Hive勒索组织。 上周，谷歌事件响应团队披露，WorldLeaks成员正通过网络安全公司SonicWall的生命周期终止设备窃取企业敏感数据。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国阿拉斯加航空公司当地时间7月20日（周日）发生IT系统故障，导致所有航班停飞。该公司未说明故障具体性质，这已是其一年多来第二次全面停飞。 阿拉斯加航空在周日晚间向媒体发布的声明中表示：“太平洋时间周日晚8点左右（周一格林尼治时间0300），阿拉斯加航空遭遇影响航班运营的IT故障。我们已申请对阿拉斯加航空及旗下全资支线子公司地平线航空（Horizon Air）航班实施临时全系统地面停飞令。” 这家总部位于西雅图的航空公司称，当晚运营将持续受到后续影响，但未提供更多细节。 美国联邦航空管理局（FAA）状态页面显示，阿拉斯加航空干线飞机的地面停飞和地平线航空暂停运营影响了所有目的地。 2024年4月，阿拉斯加航空曾因飞机配载平衡计算系统问题全面停飞，此次事件距其波音737 MAX 9型客机舱门半空脱落事故仅数月之隔。 根据官网信息，阿拉斯加航空集团现运营238架波音737客机和87架巴航工业175客机。 今年6月，该集团旗下的夏威夷航空公司称部分IT系统遭黑客攻击。阿拉斯加航空集团表示仍在评估该事件的财务影响。 此次故障发生时，正值科技公司谷歌和Palo Alto Networks警告“Scattered Spider”黑客组织盯上航空业之际。 加拿大西捷航空6月遭遇不明网络攻击 澳大利亚澳航7月发生数据泄露事件，数百万客户信息遭窃 目前尚不清楚阿拉斯加航空故障是否与微软周日所称“政府机构和企业所用服务器软件遭主动攻击”有关。截至发稿，阿拉斯加航空未回应媒体关于两者关联性的质询。         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周日发布了针对SharePoint中一个正被恶意利用的安全漏洞的补丁，并同时公布了另一个漏洞的细节，该漏洞已通过“更强大的防护措施”得到解决。 微软承认，“目前发现攻击者正利用7月安全更新中未完全修复的漏洞，针对本地部署的SharePoint Server客户发起攻击”。 被利用的漏洞编号为CVE-2025-53770（CVSS评分：9.8），属于高危远程代码执行漏洞。该漏洞源于本地部署的Microsoft SharePoint Server在处理不可信数据时存在反序列化缺陷。 新披露的漏洞是一个SharePoint欺骗漏洞（CVE-2025-53771，CVSS评分：6.3）。一位匿名安全研究员因发现并报告该漏洞获得了微软官方致谢。 微软在2025年7月20日发布的安全公告中指出：“Microsoft Office SharePoint存在路径遍历漏洞，由于对受限目录的路径名限制不当，导致授权攻击者可通过网络实施欺骗攻击。” 微软还指出，CVE-2025-53770和CVE-2025-53771与另外两个SharePoint漏洞（CVE-2025-49704和CVE-2025-49706）存在关联，这些漏洞可被串联利用形成远程代码执行攻击链。该攻击链被称为ToolShell，已在微软2025年7月“补丁星期二”更新中得到修复。 微软表示：“针对CVE-2025-53770的更新比CVE-2025-49704的修复措施更完善”，“针对CVE-2025-53771的更新也比CVE-2025-49706的防护能力更强”。 值得注意的是，微软此前曾将CVE-2025-53770归类为CVE-2025-49706的变体漏洞。对此，微软发言人向媒体解释：“公司优先保障更新推送，同时会及时纠正内容不准确之处。”微软强调当前发布的信息准确无误，表述差异不影响对客户的安全指导。 这两个漏洞仅影响本地部署的SharePoint服务器，不涉及Microsoft 365中的SharePoint Online。目前已修复的版本包括： Microsoft SharePoint Server 2019（16.0.10417.20027） Microsoft SharePoint Enterprise Server 2016（16.0.5508.1000） Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Server 2019 Core Microsoft SharePoint Server 2016（待确认） 为防范潜在攻击，建议用户采取以下措施： 使用受支持的本地SharePoint版本（SharePoint Server 2016、2019及Subscription Edition） 立即安装最新安全更新 开启反恶意软件扫描接口（AMSI）并启用全模式防护，同时配置Defender Antivirus等杀毒软件 部署Microsoft Defender for Endpoint或同类威胁防护解决方案 轮换SharePoint Server的ASP.NET机器密钥 微软特别提醒：“安装上述安全更新或启用AMSI后，必须轮换SharePoint服务器的ASP.NET机器密钥，并重启所有SharePoint服务器的IIS服务。若无法启用AMSI，安装更新后也需立即轮换密钥。” 有安全公司向媒体透露，已有至少54家机构遭受攻击，包括银行、高校及政府部门。据该公司称，攻击活动始于7月18日左右。 美国网络安全和基础设施安全局（CISA）已将CVE-2025-53770纳入已知被利用漏洞目录，要求联邦民用行政机构在2025年7月21日前完成修复。 帕洛阿尔托网络公司（Palo Alto Networks）旗下Unit 42团队也在追踪这起“高影响、持续性威胁事件”，指出政府、教育机构、医疗机构（含医院）及大型企业面临直接风险。 Unit 42首席技术官兼威胁情报负责人Michael Sikorski表示： “攻击者正绕过MFA和SSO等身份验证机制获取特权访问权限。入侵后会窃取敏感数据、植入持久化后门并盗取加密密钥。攻击者已利用该漏洞建立攻击据点。” “本地SharePoint服务器若暴露在公网环境，应假定已遭入侵。仅靠补丁无法彻底清除威胁。更危险的是SharePoint与微软生态的深度整合，Office、Teams、OneDrive和Outlook等服务存储的敏感信息都会成为攻击目标，一次入侵可能导致整个网络沦陷。” 该安全厂商将此次事件列为高严重度、高紧急度威胁，敦促本地SharePoint用户立即安装补丁、轮换加密凭证并启动事件响应流程。Sikorski补充道：“临时应急方案可先断开SharePoint服务器的公网连接直至补丁部署完成。错误的安全认知可能导致威胁持续扩散。” （事件仍在发展中，请关注后续更新。）       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的攻击活动已侵入了全球超过 3500 个网站，植入了 JavaScript 加密货币挖矿程序，标志着曾由 CoinHive 等推动的基于浏览器的加密劫持攻击卷土重来。 虽然此类服务在浏览器制造商采取措施禁止挖矿相关应用和插件后已关闭，但 c/side 的研究人员表示，他们在混淆过的 JavaScript 中发现了隐形挖矿程序的证据。该程序会评估设备的计算能力，并生成后台 Web Worker 线程来并行执行挖矿任务，且不引发任何警报。 更重要的是，该活动被发现利用 WebSocket 从外部服务器获取挖矿任务，以便根据设备能力动态调整挖矿强度，并相应地限制资源消耗以保持隐蔽。 安全研究员 Himanshu Anand 表示：“这是一个隐形挖矿程序，旨在通过保持在用户和安全工具的探测阈值以下来避免被发现。” 这种做法的最终结果是，用户在浏览被入侵网站时会不知不觉地挖掘加密货币，在不知情或未同意的情况下，他们的计算机就变成了隐蔽的加密货币生成机器。目前尚不清楚这些网站是如何被攻破以促成浏览器内挖矿的。 进一步分析已确定超过 3500 个网站被卷入这场大规模的非法加密挖矿活动中。托管该 JavaScript 挖矿程序的域名过去还与 Magecart 信用卡盗刷工具有关联，这表明攻击者试图使其攻击载荷和收入来源多样化。 使用相同域名来传送挖矿程序和信用卡/借记卡数据窃取脚本，表明威胁行为者有能力将 JavaScript 武器化，并针对毫无戒心的网站访问者发动投机性攻击。 c/side 表示：“攻击者现在优先考虑隐蔽性而非蛮力式的资源窃取，使用混淆、WebSocket 和基础设施重用以保持隐藏。目标不是瞬间耗尽设备资源，而是长期持续地汲取资源，如同数字吸血鬼。” 这一发现恰逢一起针对东亚电子商务网站的 Magecart 盗刷活动，该活动利用 OpenCart 内容管理系统（CMS），在结账时注入虚假支付表单，并从受害者那里收集包括银行信息在内的财务信息。窃取到的信息随后被外传到攻击者的服务器。 近几周，发现的客户端和网站定向攻击呈现出多种形式： 滥用与合法 Google OAuth 端点（“accounts.google[.]com/o/oauth2/revoke”）关联的回调参数的 JavaScript 嵌入代码，重定向至一个混淆的 JavaScript 攻击载荷，该载荷会创建指向攻击者控制域名的恶意 WebSocket 连接。 使用直接注入 WordPress 数据库（即 wp_options 和 wp_posts 表）的 Google Tag Manager (GTM) 脚本，以加载远程 JavaScript，将访问超过 200 个网站的访客重定向至垃圾广告域名。 破坏 WordPress 站点的 wp-settings.php 文件，使其直接从 ZIP 存档中引入恶意 PHP 脚本，该脚本连接到命令与控制（C2）服务器，并最终利用网站的搜索引擎排名注入垃圾内容，提升其可疑网站在搜索结果中的位置。 将恶意代码注入 WordPress 站点主题的页脚 PHP 脚本以实现浏览器重定向。 使用一个以受感染域名命名的虚假 WordPress 插件来逃避检测，并仅在检测到搜索引擎爬虫时启动，以提供旨在操控搜索引擎结果的垃圾内容。 在供应链攻击中，通过官方下载页面分发后门版本的 WordPress 插件 Gravity Forms（仅影响 2.9.11.1 和 2.9.12 版）。该后门插件会联系外部服务器获取额外攻击载荷，并添加一个管理员账户，使攻击者能完全控制网站。 Gravity Forms 开发团队 RocketGenius 表示：“如果安装，恶意代码修改将阻止更新该包的尝试，并试图联系外部服务器下载额外攻击载荷。” “如果该载荷成功执行，它将尝试添加一个管理员账户。这将打开一个后门，导致一系列其他可能的恶意操作，例如扩大远程访问、额外的未经授权的任意代码注入、操控现有管理员账户以及访问存储的 WordPress 数据。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款新的安卓间谍软件痕迹，该软件很可能与伊朗情报与安全部（MOIS）有关联，并伪装成VPN应用和SpaceX提供的卫星互联网服务Starlink（星链）向目标分发。 移动安全供应商Lookout表示，在上个月以色列-伊朗冲突爆发后一周，他们发现了四个被其追踪为DCHSpy的间谍工具的样本。具体有多少人可能安装了这些应用尚不清楚。 安全研究人员Alemdar Islamoglu和Justin Albrecht表示：“DCHSpy收集WhatsApp数据、账户、联系人、短信、文件、位置和通话记录，并能录音和拍照。” DCHSpy最早于2024年7月被发现，被评估为与MOIS有关的伊朗国家背景黑客组织MuddyWater所为。该黑客团伙还被称为Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（原Mercury）、Seedworm、Static Kitten、TA450和Yellow Nix。 早期的DCHSpy版本已被发现通过Telegram渠道，利用反对伊朗政权主题的内容，针对英语和波斯语用户。鉴于使用VPN作为诱饵来宣传该恶意软件，异议人士、活动人士和记者很可能是该活动的目标。 据推测，新发现的DCHSpy变种正在针对该地区最近冲突中的对手进行部署，手段是将其伪装成看似有用的服务，如Earth VPN（“com.earth.earth_vpn”）、Comodo VPN（“com.comodoapp.comodovpn”）和Hide VPN（“com.hv.hide_vpn”）。 有趣的是，一个Earth VPN应用样本被发现以“starlink_vpn(1.3.0)-3012 (1).apk”名称的APK文件形式分发，这表明该恶意软件很可能利用与星链相关的诱饵传播给目标。 值得注意的是，星链的卫星互联网服务于上月在伊朗政府实施网络封锁期间被激活。但几周后，该国议会投票决定将其未经授权的使用定为非法。 作为一个模块化木马，DCHSpy配备了多种数据收集功能，包括设备登录账户、联系人、短信消息、通话记录、文件、位置、环境录音、照片和WhatsApp信息。 DCHSpy还与其他名为SandStrike的安卓恶意软件共享基础设施。卡巴斯基于2022年11月标记出SandStrike，该恶意软件伪装成看似无害的VPN应用针对波斯语个体。 DCHSpy的发现是安卓间谍软件被用于针对中东地区个人和实体的最新案例。其他有记录的恶意软件家族包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。 Lookout表示：“DCHSpy使用与SandStrike相似的战术和基础设施。它通过Telegram等即时通讯应用直接共享恶意链接，分发给目标群体和个人。” “这些最新的DCHSpy样本表明，随着中东局势的演变，尤其是伊朗在达成与以色列的停火后加强对本国公民的管控，该间谍工具在持续开发和利用。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究公司Comparitech的最新分析显示，2025年上半年，针对医疗保健行业的勒索软件攻击增长率（同比仅4%）远低于大多数其他行业。 Comparitech数据研究主管丽贝卡·穆迪（Rebecca Moody）指出，由于零售等其他行业正日益被视为更容易获利的目标，部分威胁行为者已转移了攻击重点。该公司追踪到2025年上半年医疗保健机构遭受了211起勒索软件攻击。相比之下，同期所有行业的勒索软件攻击平均增长率高达50%。 遭受攻击激增的行业包括技术业（85%）、零售业（85%）、法律服务业（71%）、运输业（66%）、制造业（64%）和政府机构（60%）。公用事业是唯一出现下降的行业（-31%）。 医疗行业受攻击率较低的原因 穆迪向Infosecurity表示，除了攻击者对零售业的兴趣增加外，医疗行业受攻击率较低还有多方面因素。她认为，2024年影响医疗服务的高调攻击事件（如美国医疗支付服务商Change Healthcare和英国NHS病理供应商Synnovis遭袭事件），可能促使整个医疗行业提升了网络安全意识并改进了防护系统。 穆迪还指出，攻击者出现新趋势：他们更倾向于瞄准医疗行业内不直接提供护理服务的企业，例如医疗器械制造商和制药公司。这使得黑客能通过单次攻击波及大量医疗提供商。“由于这类公司通常服务于大量医疗机构，它们掌握着庞大的数据库。因此，攻击这类企业可使黑客一次性瞄准多个组织及其数据。2025年1月Episource遭勒索攻击导致540万人数据泄露便是典型案例。” 但她同时警告，医疗行业仍是攻击者的关键目标，2025年迄今已发生多起严重事件。“正如本报告所发现，部分黑客（如INC和Medusa）仍在持续攻击医院等直接护理机构，并屡屡得手。针对这类机构的攻击可能会保持现有频率。” 医疗行业面临低于平均水平的赎金要求 该报告（发布于7月17日）指出，上半年医疗企业面临的赎金要求平均为47.9万美元。在已确认的攻击中，平均赎金要求更高，达60.8万美元。而其他行业的平均赎金要求则超过160万美元。 报告期内无任何机构确认支付赎金，但有10家实体表示拒绝了黑客的要求。Comparitech追踪到的上半年最高医疗赎金要求来自Medusa团伙：该团伙2月向英国独立护理集团HCRG Care Group索要200万美元。其次是Crazy Hunter团伙攻击台湾马偕纪念医院后索要的150万美元。 Comparitech指出，仅有少数勒索团伙会公开赎金要求数据，因此许多金额仍未知。在2025年上半年已知的24个赎金数据中，13个来自Medusa团伙。“目前像达维塔（DaVita）、Frederick Health和Kettering Health等重大攻击的赎金数额尚未披露。若未来公布，预计平均值将会上升。” 已确认泄露230万条医疗记录 在2025年1月至6月追踪到的211起医疗勒索攻击中，68起已获受害者公开确认。Comparitech发现这些确认事件导致超过230万条医疗相关记录泄露。 此期间最大的勒索相关泄露事件发生在2025年1月，Frederic Health遭攻击导致近100万患者记录泄露。上半年声称攻击医疗行业最多的勒索团伙是INC Ransom（声称34起，10起已确认），占该团伙同期总攻击声明的26%。其次是Qilin（声称25起，10起确认）、SafePay（14起）、RansomHub（13起）和Medusa（13起）。 从已确认泄露记录数量看，Qilin以55.5万条位居首位，SafePay以26万条紧随其后。在所有追踪事件中，约66%（139起）针对美国企业。澳大利亚（10起）和英国（7起）分列二、三位。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）近期发出警报，发现一种名为LameHug的新型恶意软件。该软件利用大语言模型（LLM） 在受感染的Windows系统上生成并执行攻击指令。乌克兰专家将其归因于与俄罗斯有关的黑客组织APT28（又名UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM）。 CERT-UA在警报中指出：“LAMEHUG的显著特征是使用了LLM（大语言模型），根据其文本描述生成可执行命令。我们有中等把握认为该活动与UAC-0001（APT28）组织有关。” 2025年7月10日，CERT-UA发现一起针对政府部门的钓鱼攻击活动，攻击者通过伪装成政府文件的ZIP压缩包进行传播。该压缩包内含伪装成.pif文件的LAMEHUG恶意软件，该软件使用Python编写并通过PyInstaller打包。研究人员发现存在两种不同数据窃取方式的变体。攻击者使用了被入侵的电子邮箱账户，并将基础设施托管在合法但已被攻陷的平台上。 LAMEHUG通过huggingface[.]co服务API调用Qwen 2.5-Coder-32B-Instruct模型，基于静态输入的文本描述生成攻击指令。Qwen 2.5-Coder-32B-Instruct是由阿里巴巴Qwen团队开发的开源大语言模型，专门针对编程任务进行了优化。 该恶意软件会收集系统信息，并在常见文件夹中搜索Office、PDF和TXT文档。收集的数据先存储在本地，然后通过SFTP或HTTP POST方式外传。警报中详细说明：“该软件会收集计算机基本信息（硬件配置、进程、服务、网络连接）并存储在‘%PROGRAMDATA%\info\info.txt’文件中，同时递归搜索‘文档’、‘下载’和‘桌面’目录中的Microsoft Office文档（包括TXT和PDF文件），将其复制到‘%PROGRAMDATA%\info’文件夹。不同版本的程序会使用SFTP或HTTP POST请求外传获取的信息和文件。” LameHug是已知首款利用LLM生成攻击指令的恶意软件，使威胁行为者能够根据实际需求动态调整攻击链。该报告还包含了相关网络威胁指标。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周六向 SharePoint Server 客户发出紧急警告，称攻击者正在利用该软件产品中的一个零日漏洞（CVE-2025-53770，CVSS 评分为 9.8）。 目前尚无针对该漏洞（被命名为“ToolShell”）的补丁，微软称其为 CVE-2025-49706 的变种。这家总部位于华盛顿州雷德蒙德的科技巨头表示，安全更新正在开发中，并提供了缓解措施和检测指导。安全团队应立即采取行动，在此期间实施缓解措施。 谷歌发言人告诉 SecurityWeek：“谷歌威胁情报小组观察到威胁行为者利用此漏洞安装 Webshell，并从受害者服务器窃取加密密钥。这会导致持续的、未经身份验证的访问，并对受影响的组织构成重大风险。” 安全公司 Eye Security 表示，他们发现“数十个系统遭到主动入侵”，入侵可能发生在 7 月 18 日 18:00 左右（中欧时间）和 7 月 19 日 07:30 左右（中欧时间）的攻击中。 Palo Alto Networks Unit42 团队周六表示，他们也观察到影响 Microsoft SharePoint 的漏洞 CVE-2025-49704 和 CVE-2025-49706 正被积极利用。 微软在其安全公告中解释道：“为保护本地 SharePoint Server 环境，建议客户在 SharePoint 中配置 AMSI 集成，并在所有 SharePoint 服务器上部署 Defender AV。这将阻止未经身份验证的攻击者利用此漏洞。” Mandiant Consulting – Google Cloud 首席技术官查尔斯·卡玛卡尔评论道：“各组织需要立即实施缓解措施（并在补丁可用时应用），假设系统已遭入侵，调查在补丁/缓解措施应用之前系统是否已被入侵，并采取补救措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 里士满放射学协会（Radiology Associates of Richmond，简称RAR）披露了一起影响超过140万人的数据泄露事件。 该医疗机构在其官网上发布的《数据安全事件通告》显示，黑客在2024年4月的几天内入侵了该组织的系统。 超过一年后，里士满放射学协会确认，被入侵的系统中存储了包含可识别个人身份的健康及隐私信息的文件。 该机构目前没有证据表明泄露信息已被恶意使用，仅向社会保障号码（Social Security number）被包含在泄露文件中的患者提供免费的信用监控服务。 里士满放射学协会总部位于弗吉尼亚州里士满，在弗吉尼亚州中部多家医院、独立急诊中心和门诊影像中心提供医学影像服务。 美国卫生与公众服务部（HHS）的医疗数据泄露追踪系统显示，此次事件影响了1,419,091人。 目前没有已知的勒索软件组织宣称对此次攻击负责。 这并非近期披露的唯一重大医疗数据泄露事件。HHS追踪系统显示，马里兰州皮肤病服务提供商安妮阿伦德尔皮肤病学中心（Anne Arundel Dermatology）也遭遇了一起影响190万人的数据泄露。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Check Point Research 的数据显示，网络犯罪分子如今平均每周针对全球组织实施 1,984 次网络攻击，较四年前激增了 143%。 2025 年第二季度，全球各组织遭受的网络攻击数量较去年同期增长了 21%，较两年前增长了 58%，与四年前相比更是激增了 2.4 倍。 尽管每周网络攻击的平均数量达到了 1,984 次，但不同行业和地区之间存在显著差异。 教育机构位居榜首，平均每周遭受 4,388 次网络攻击，较上年增长 31%。Check Point 的报告指出，教育行业持续面临压力，原因在于其安全防御资金不足，且“拥有极具诱惑力的学生和教职员工凭证财富，极易被利用”。 研究人员表示：“政府组织因其敏感数据及其可提供地缘政治筹码的能力，仍然是极具吸引力的目标。与此同时，电信行业的攻击量显著增加，突显了其作为国家关键基础设施的重要角色，以及其掌握的敏感客户信息可能成为攻击目标。” 政府组织平均每周遭受 2,632 次网络攻击，而电信行业每周则遭受 2,612 次探测攻击。Check Point 的数据收集自超过 15 万个网络和数百万个端点。 按地区划分，欧洲的网络攻击增长最为显著（22%），北美次之（20%）。研究人员指出：“虽然欧洲的平均攻击量并非最高（1,669 次），但其年增长率（22%）却是最大的，表明该地区的威胁活动呈上升趋势，攻击者正利用该地区的地缘政治紧张局势、监管碎片化以及高度集中的高价值数据。” 非洲的组织每周遭受的攻击次数最多（3,365 次），其次是亚太地区（2,874 次）。 北美公司承受着最具破坏性的勒索软件攻击的最大份额。全球报告了约 1,600 起勒索软件事件，其中 53% 发生在该地区。四分之一的勒索软件攻击袭击了欧洲公司，而亚太地区的占比为 11%。 受经济利益驱动的勒索软件附属团伙主要针对以下行业： 商业服务（10.7%） 工业制造（9.8%） 建筑与工程（9.5%） 医疗保健（7.8%） 消费品和服务（7.6%） 预计情况不会缓解。Check Point 表示：“随着网络攻击在数量和影响范围上不断增长，各组织需要采取主动而非被动的策略。以预防为先的战略，辅以分层防御和持续可见性，仍然是关键。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大的非营利性认证网络安全专业人士协会ISC2的最新调查显示，网络安全团队对AI安全工具的兴趣虽谨慎但正在增长。 企业正在拥抱AI工具来提升安全水平，但在此过程中，他们可能切断了未来网络人才的输送管道。 AI已至，并将持续存在 在接受调查的436名安全专业人士中，近三分之一表示他们的团队已将生成式模型、自动化响应代理或AI增强监控系统等AI工具集成到日常运营中。另有42%的团队正在测试或评估这些工具。 最大的采用者是拥有10,000名以上员工的大型企业以及IT服务和工业等数据密集型行业的企业。与此同时，公共部门组织行动迟缓，只有16%采取了行动。 在采用、测试或评估AI安全工具方面处于领先地位的行业包括：工业企业（38%）、IT服务（36%）、商业/消费领域（36%）和专业服务（34%）。而金融服务和公共部门的采用率最低，分别仅为21%和16%。 速度和效率正在推动更快的采用。约70%在安全工作中使用AI的人表示，它已经让团队更有效率，尤其是在入侵检测、网络监控和漏洞管理等繁重领域。 AI正被用于自动化以下安全工作领域： 网络监控与入侵检测：60% 端点保护与响应：56% 漏洞管理：50% 威胁建模：45% 安全测试：43% AI工具可能威胁初级岗位 超过半数（52%）的受访者认为AI工具将减少对入门级员工的需求。21%的受访者表示，AI已经改变了其组织招聘和为网络安全岗位做计划的方式。 然而，这种趋势可能对网络安全专业人员的技能组合产生长期影响。 一位受访者告诉ISC2：“你得先学会走，才能成为真正高效的跑步者。”而当下，初级员工甚至还没系好鞋带（打好基础），AI就已经跑在了前面。 安全团队正面临一个矛盾：他们需要AI是因为它让工作更轻松，但这种轻松可能以牺牲长期人才输送管道为代价。减少初级岗位招聘意味着未来专家会更少，导师指导机会减少，进入这个本就精英化严重的领域的多元化新人也会更少。 一位受访者警告：“减少入门级网络安全岗位可能导致显著的技能缺口，限制人才增长和创新。长期影响包括高级专业人员压力增大、威胁响应速度变慢，以及因争夺经验丰富人才而导致成本上升。” 新型AI增强的工作岗位 不过，并非所有人都在敲警钟。近半数（44%）表示他们公司的网络安全招聘尚未受到AI安全工具使用的影响。 31%的受访者抱有希望地认为，AI实际上可能创造新的入门级岗位，这些岗位融合传统网络知识与新兴AI技能。 根据ISC2的信息，为入门级网络安全专业人士宣传和讨论的新型及AI增强的岗位包括： AI辅助SOC分析师：与AI增强的安全信息与事件管理（SIEM）或安全编排、自动化与响应（SOAR）工具协作。 安全数据分析师/初级威胁情报分析师：专注于通过管理庞大的威胁指标数据集来帮助训练和验证AI模型。 自动化与安全编排助理：支持开发和维护安全自动化脚本和工作流（AI平台利用这些脚本和流程来采取行动）。 AI治理或合规专员：提供入门级支持，确保安全领域使用的AI系统符合道德和合规要求，以及更普遍的正常运行。 安全测试助理：测试AI驱动的安全工具的稳健性，包括评估其对对抗性输入的反应。 云安全支持分析师：与AI增强的云安全监控工具协作，确保关键云服务和数据存储库的安全、可用性和防御能力。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯，弗拉基米尔·普京（Vladimir Putin）视为“有争议”的内容可能包括独立新闻报道或关于乌克兰战争的新闻。 将在线搜索行为定为犯罪在俄罗斯并非新鲜事——现行法律规定人们不得分享有争议的内容。而新的修正案则更进一步，将惩罚那些仅仅是搜索此类内容的人。 该修正案将在俄罗斯《行政违法法典》中新增第13.53条，规定：“搜索已知的极端主义材料并访问它们，包括通过使用能够访问受限信息资源或信息电信网络的硬件和软件工具。” 该修正案还使得任何社群或组织无需法院命令即可被指定为“极端主义”。 根据国家杜马（State Duma）公布的文件，对“故意搜索极端主义材料”的罚款将从大约38美元到64美元不等。 另一项单独的修正案将对宣传VPN（虚拟专用网络）的行为处以罚款。对个人的罚款可能在640美元至1,025美元之间，对官员的罚款在1,030美元至1,900美元之间，对法人的罚款则在2,560美元至6,400美元之间。   这并非俄罗斯首次公开宣布对消费和传播克里姆林宫不认可的信息进行罚款。最近一次失败的例子就涉及总统弗拉基米尔·普京本人，他在2022年公开使用了“战争”一词，而非政府批准的“特别军事行动”。 普京说：“我们的目标是……结束这场战争。”这一点值得注意，因为同年生效的一项法律将这场冲突称为“战争”或“入侵”定为刑事犯罪。 究竟什么是“极端主义材料”？ 克里姆林宫政权视为“极端主义”的内容几乎可以是任何东西。一份官方的禁限材料登记簿包含了约5500个条目。 例如，去年俄罗斯将“LGBT运动”列入极端主义和恐怖主义组织名单。反对派团体的社交媒体帖子（以及他们的一般活动）也被理解为极端主义。 名单上还有“所谓的纳粹意识形态”。尽管乍看之下这并不令人不安（谁会支持传播纳粹意识形态，对吧？），但其代价可能是惩罚那些通过独立媒体来源浏览有关乌克兰战争新闻的人。 俄罗斯政权曾多次声称，某些与克里姆林宫无关的政府及其领导人正在推行“新纳粹政权”。 有人支持这个想法吗？ 克里姆林宫的批评者以及与其有关联的个人和组织都直言不讳地反对这项修正案可能成为法律。 国际特赦组织（Amnesty International）东欧和中亚地区主任玛丽·斯特拉瑟斯（Marie Struthers）表示：“俄罗斯当局再次将他们无情的迫害异议行为伪装成打击‘极端主义’，通过模糊和过于宽泛的法律，为滥用解释和任意妄为提供了空间。如果这项关于‘极端主义’的法案成为法律，任何群体——甚至是一个私人的在线聊天群或朋友圈——只要有一名成员曾根据‘极端主义’指控被定罪（许多政府批评者都曾因此被定罪），就可以被指定为‘极端主义’并定罪。这将给执法机构一个看似无限的机会来撒网，甚至以与所谓‘极端分子’有遥远关联为由起诉更多的人。” 即使是与克里姆林宫有联系的记者也对此发表了看法，他们似乎担心如果这项修正案生效，他们进行“研究”也会受到惩罚。 “安全互联网联盟”（League for Safe Internet）负责人叶卡捷琳娜·米祖琳娜（Yekaterina Mizulina）在Telegram上发文（该文被《华盛顿邮报》引用）称：“结果就是，根据新法律，安全互联网联盟将无法向内务部移交有关极端主义社群的数据。他们将禁止我们监控极端主义。”米祖琳娜是一位俄罗斯参议员的女儿，她领导的联盟以针对批评政府的人士而闻名。 如果政府同意，拟议的修改将于2025年9月1日生效。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）报告称，与俄罗斯军事情报局（GRU）有关的威胁行为者一直在使用以前未知的恶意软件对受害者的电子邮件账户进行间谍活动。 这种新的复杂恶意软件被命名为“真实假象”（Authentic Antics），NCSC表示，与GRU有关的威胁组织APT28（又名Fancy Bear、Pawn Storm、Sednit、Sofacy和Iron Twilight）一直在负责部署该恶意软件。 NCSC的分析显示，“真实假象”是专门设计的，旨在通过伪装成合法活动，实现对微软云账户的持久端点访问。该恶意软件的设计投入了“大量心思”，以实现看起来像真实的微软Outlook活动的效果。 它会定期显示一个登录窗口，提示用户输入凭证，这些凭证随后会被恶意软件拦截，同时被拦截的还有用于访问微软服务的OAuth身份验证令牌。该恶意软件还会通过从受害者的账户向攻击者控制的电子邮件地址发送邮件来窃取受害者的数据，这些邮件不会出现在“已发送”文件夹中。 对该恶意软件的分析表明，它没有采用传统的命令与控制（C&C）机制，这种机制可能会增加其被检测到的可能性。 俄罗斯网络威胁持续存在 NCSC行动总监保罗·奇切斯特（Paul Chichester）评论道：“‘真实假象’恶意软件的使用，证明了俄罗斯GRU构成的网络威胁具有持续性和复杂性。多年来NCSC对GRU活动的调查表明，网络防御者不应轻视这种威胁，监控和保护行动对于防御系统至关重要。” “真实假象”恶意软件是在2023年发生一起网络事件后被发现的，该事件由微软和NCSC认证的网络事件响应服务提供商NCC Group进行了调查。 6月17日，乌克兰国家计算机应急响应小组（CERT-UA）识别出一种名为“LameHug”的新恶意软件，该机构表示，有中等把握认为该软件可能与APT28针对乌克兰安全和国防部门的网络攻击有关。 2025年5月，美国国家安全局与包括NCSC在内的盟友发布了一份联合网络安全咨询，强调了一场由俄罗斯国家支持、针对西方物流实体和科技公司的网络活动。该活动同样与APT28有关联。 英国制裁俄罗斯GRU军官 在英国政府分享“真实假象”恶意软件分析的同一天，英国政府还宣布对三个GRU单位（26165、29155和74455）以及18名GRU军官和特工实施制裁，原因是他们参与了全球范围内的网络和信息干扰行动，以支持俄罗斯更广泛的地缘政治和军事目标。 英国外交大臣戴维·拉米（David Lammy）表示：“克里姆林宫应该毫无疑问：我们看清了他们在阴影中的企图，我们不会容忍这种行为。这就是为什么我们要采取果断行动，制裁俄罗斯间谍。保护英国免受伤害是本政府‘变革计划’（Plan for Change）的根本。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的攻击活动，该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。 该漏洞编号为CVE-2021-41773（CVSS评分：7.5），是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞，可能导致远程代码执行。 “攻击者利用被攻陷的合法网站分发恶意软件，实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。 本月观察到的感染流程（源自印度尼西亚IP地址 103.193.177[.]152）旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本，负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序，这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。 “这种方法很巧妙，因为受害者连接的是拥有有效SSL证书的合法主机，降低了检测的可能性，”VulnCheck指出，“此外，这为下载站点（‘repositorylinux[.]org’）提供了一层隔离，因为恶意软件本身并不托管在那里。” 这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本，该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示，还在被攻陷的网站上发现了两个Windows可执行文件，表明攻击者可能也在针对微软的桌面操作系统。 值得注意的是，此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞（CVE-2024-36401，CVSS评分：9.8），Fortinet FortiGuard Labs在2024年9月记录了这一情况。 有趣的是，漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的，其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。 近年来被利用来传播此挖矿程序的其他漏洞还包括： CVE-2023-22527：Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞 CVE-2023-34960：Chamilo学习管理系统(LMS)中的命令注入漏洞 CVE-2023-38646：Metabase中的命令注入漏洞 CVE-2024-0012 和 CVE-2024-9474：Palo Alto Networks防火墙中的认证绕过和权限提升漏洞 “所有这些都表明攻击者正在进行一项长期活动，采用一致的技术手段，例如n-day（已知漏洞）利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿，”VulnCheck表示，“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐，需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发，这种方法在很大程度上帮助攻击者避免了审查。” Exchange服务器遭GhostContainer后门攻击 与此同时，卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞（CVE-2020-0688，CVSS评分：8.8）。 这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”，该俄罗斯公司表示，并补充说“该后门使攻击者能够完全控制Exchange服务器，允许他们执行一系列恶意活动。” 该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。 怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁（APT）活动的一部分。 关于攻击者身份的信息不多，但他们被评估为技术高度娴熟，原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。 “GhostContainer后门不会连接任何[命令与控制]基础设施，”卡巴斯基表示，“相反，攻击者从外部连接到被攻陷的服务器，他们的控制命令隐藏在正常的Exchange Web请求中。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所BigONE披露，黑客在昨日的攻击中窃取了价值2700万美元的各类数字资产。该平台宣布，私钥和用户数据在此次入侵中未受影响，所有遭受损失的客户都将从可用储备金中获得全额赔偿。 公告中写道：“7月17日凌晨，BigONE检测到涉及平台部分资产的异常流动。经调查确认，这是第三方攻击我们热钱包的结果。” 该公司向用户保证，攻击方式已被识别并得到完全控制。BigONE已与安全公司SlowMist合作，追踪被盗资金并监控其在各条区块链上的转移情况。交易所表示：“BigONE将全额承担本次事件造成的所有损失。用户资产不会受到任何实质影响。” 几小时后，BigONE管理员宣布，在遭受网络攻击后，存款和交易服务已全面恢复，提款和场外交易功能也将很快重新启用（截至撰写时尚未恢复）。 此外，尚未有关于攻击者具体如何入侵交易所并窃取资金的详细信息公布，但SlowMist表示交易所是供应链攻击的受害者。 与此同时，区块链观测站Lookonchain报告称，黑客已开始洗钱活动，将被盗资产兑换为120枚比特币（BTC）、1272枚以太坊（ETH）、2625枚Solana（SOL）和2330万枚波场币（TRX）。 区块链犯罪调查员ZachXBT对此事件发表了评论，强调BigONE在处理大量源自杀猪盘和投资诈骗的非法收益方面扮演的角色，并表示此类黑客攻击可能有助于为该领域带来“一次自然的净化”。 加密货币盗窃创纪录之年 今日早些时候，Chainalysis发布了其2025年年中加密货币犯罪报告，指出截至目前被盗金额已超过21.7亿美元，超过了2024年的全年总额。 ByJet交易所15亿美元的黑客事件在创下这一破纪录数字中起到了关键作用，也使朝鲜黑客组织成为今年迄今为止的头号盗窃者。 Chainalysis强调了一个显著趋势，即黑客如今更专注于攻击个人钱包，今年所有被盗资金中有23.35%来自个人钱包。 该区块链情报公司还列举了暴力抢劫加密货币的案例，这类案件也随着比特币价格上涨而呈上升趋势。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话，诱骗目标启动Windows内置的远程工具快速助手（Quick Assist），随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包，内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。 Matanbuchus恶意即服务（MaaS）背景 该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广，是可直接在内存中执行恶意载荷的Windows加载器，旨在规避安全检测。2022年6月，威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击，分发Cobalt Strike信标。 技术演进：Matanbuchus 3.0新特性 终端防护公司Morphisec分析指出，3.0版本具备显著增强的隐匿与攻击能力： 通信协议升级：C2通信与字符串混淆从RC4加密更换为Salsa20算法 内存规避技术：所有载荷均在内存中启动，消除磁盘痕迹 反沙盒检测：新增区域验证机制，确保仅在指定地理区域运行 系统调用隐匿：通过自定义shellcode执行系统调用，绕过Windows API包装层及EDR监控钩子 静态分析对抗：使用MurmurHash3非加密哈希函数混淆API调用，增加逆向工程难度 攻击链与后期能力 信息收集：获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态（管理员/普通用户） 载荷执行：支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷 自适应攻击：C2服务器根据受害者安全环境动态调整攻击方式 Microsoft Teams滥用趋势 该协作工具近年频遭攻击者滥用： 2023年：研究人员利用软件漏洞实现外部账号恶意投递 2024年：DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器 当前：Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文