HackerNews

HackerNews 编译，转载请注明出处： 两名17岁的荷兰少年因涉嫌使用黑客设备替俄罗斯从事间谍活动，于本周一被荷兰警方逮捕。 根据荷兰《电讯报》（DeTelegraaf）消息，这两名少年曾在欧盟刑警组织、欧洲司法组织，以及位于海牙的加拿大驻荷兰大使馆周边，使用WiFi嗅探设备开展间谍活动。 欧盟刑警组织工作人员称，目前没有迹象表明机构系统遭到入侵。“我们正就此事与荷兰当局保持密切联系。欧盟刑警组织拥有完善的安全基础设施，目前没有任何证据显示我们的系统受到损害。我们对业务运营和工作人员的安全极为重视，将继续与合作伙伴紧密合作，应对各类潜在风险。” 荷兰国家安全情报局提供的线索，最终促成了警方的抓捕行动。据悉，这两名青少年是通过Telegram平台被招募的。 《电讯报》提到：其中一名青少年是在家里写作业的时候被逮捕的，其父母对儿子参与间谍活动一事完全不知情。一位青少年的父亲在接受采访时无奈表示：“我们教育孩子时，会提醒他们防范生活中的危险，比如吸烟、电子烟、酒精和毒品。但从没想过会有这样的风险，谁能料到这种事会发生在自己孩子身上？” 由于涉案情节严重，在调查持续期间，两名少年将被拘留至少两周。 这起案件并非个例，欧洲多地出现的“低级别招募”活动正在升级。此前在德国就已发生类似事件：俄罗斯特工曾收买当地青少年，让他们对关键基础设施实施破坏和sabotage行为。 值得注意的是，两名少年使用的“WiFi嗅探设备”，本质是通过监听WiFi频道上的无线电信号，识别无线网络并拦截数据流量的工具，通常用于攻击行动的“侦察阶段”。 事实上，俄罗斯黑客利用WiFi网络发起远程攻击的能力早有先例。网络安全公司Volexity在2024年的一份报告中就曾披露，俄罗斯APT28（代号“FancyBear”）黑客组织曾采用“近邻攻击”（nearestneighborattack）手段：利用一家与美国某公司WiFi信号覆盖范围重叠的邻近机构，突破了该美国公司的企业WiFi网络。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报研究人员发现了一种新的 XCSSET macOS 恶意软件变种，已在有限范围的攻击中被使用。 研究人员指出，Trend Micro 最早在 2020 年发现了 XCSSET，当时它通过 Xcode 项目传播，并利用了两个零日漏洞，从目标系统中窃取敏感信息并发动勒索软件攻击。 新版本的 XCSSET 能够窃取 Firefox 数据并劫持剪贴板。它通过加密和混淆技术来规避检测，并能运行隐藏的 AppleScript。该恶意软件还支持通过 LaunchDaemon 条目实现额外的持久化机制。 报告写道：“这一变种包含一个用于监控剪贴板的子模块，并会引用一个下载的配置文件，该文件包含与各种数字钱包相关的地址正则表达式模式。如果检测到匹配，XCSSET 就能将剪贴板内容替换为攻击者预定义的钱包地址。” 更新后的阶段还会下载并运行多个新模块，使得该恶意软件相较于旧版本功能更为强大。 报告继续指出：“这一新变种增加了一个信息窃取模块，用于外传 Firefox 存储的数据。最初会调用 runMe() 函数，从 C2 服务器下载一个 Mach-O FAT 二进制文件，该文件负责所有信息窃取操作。该下载的二进制文件似乎是 GitHub 项目 HackBrowserData 的修改版，能够解密并导出浏览器存储的数据。密码、浏览记录、信用卡信息和 Cookies 是它能提取的关键信息，几乎覆盖所有主流浏览器。” 新的 XCSSET 变种实现了四阶段感染链。前三个阶段与先前版本一致。微软详细介绍了第四阶段，包括 boot() 函数及其相关调用，用于下载和运行子模块。 新的 XCSSET 变种包含多个针对性子模块： vexyeqj（信息窃取器）：下载并运行已编译的 AppleScript（bnk），解密 C2 配置（AES），检查并外传剪贴板数据，并可将内容替换为攻击者的钱包地址。 bnk（载荷）：仅运行模式的 AppleScript，用于收集序列号/用户信息，验证/过滤剪贴板内容，加密并将数据发送至 C2。 neq_cdyd_ilvcmwx（文件窃取器）：从 C2 获取并运行额外的 AppleScript 以外传文件。 xmyyeqjx（LaunchDaemon 持久化）：创建 ~/.root，禁用 macOS 自动/快速更新，构建伪造的“系统设置”应用，写入 com.google.* LaunchDaemon plist，设置 root 权限并加载。 jey（混淆/持久化）：基于 shell 的载荷解密与执行，混淆能力增强。 iewmilh_cdyd（Firefox 窃取器）：下载一个 Mach-O 二进制文件（修改后的 HackBrowserData），导出 Firefox 的密码、Cookies、信用卡数据，并上传压缩结果。 这些模块普遍使用仅运行模式的 AppleScript、AES 加密的 C2 配置、加密货币欺诈式的剪贴板劫持、临时文件清理，以及分块外传以减少本地留痕。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家司机合规平台发生严重数据泄露，超过一万名德州卡车司机的个人文件，包括药检结果和其他敏感信息被。 Cybernews研究团队接到匿名举报，发现一个未加密的Amazon S3存储桶，里面包含大量个人可识别信息（PII）。 泄露的云存储中包含：超过 18,000份社会安全卡照片，超过 23,000份驾照图片，责任保险卡，药检结果，劳动合同，背景调查同意书，车辆保险卡，员工授权书，车辆检查结果以及其他敏感文件。 调查发现，这一泄露源头是总部位于德州的 AJT Compliance, LLC，该公司帮助企业满足政府法规要求。泄露的数据可能来自该公司专门用于管理美国交通部合规流程的 “DOT SHIELD”平台。 该AWS存储桶中包含的数据从2022年至今都有记录，在调查期间甚至还不断有新文件被上传。 受影响人员主要来自德州，或受雇于在德州注册的物流公司。 德州是美国物流业的领军州，重型和牵引式卡车司机数量全美最多。根据美国劳工统计局的数据，截至2023年，德州拥有超过 212,000名重型和牵引式卡车司机，以及 72,720名轻型卡车司机（数量位居全美第三）。本次数据泄露可能影响到该州 10%的卡车司机。 Cybernews研究团队指出：“这起事件尤其令人担忧，因为一个旨在确保合规的平台，反而泄露了与美国交通部要求相关的高度敏感个人信息。” 研究人员警告，泄露的数据极其危险，可能被用于诈骗或身份盗窃。“在恶意分子手中，这些信息可以被用来开设信用账户、冒领社会安全福利，甚至实施人肉搜索（doxxing）。” Cybernews已联系 AJT Compliance。该公司确认，其测试系统所使用的Amazon S3存储容器被错误地设置为“公共读取和列表权限”。 在收到负责任的漏洞披露后，相关数据已被保护。 这并不是美国公民数据首次被第三方服务提供商泄露。 去年，Cybernews研究发现，背景调查服务商 Protection Plus Solutions 泄露了数千份PDF文件，其中包含社会安全号码、护照信息以及马萨诸塞州的犯罪记录。 2023年，负责职业安全培训的 美国国家安全委员会（NSC） 泄露了近 10,000份电子邮件和密码，波及2000家机构，其中包括 NASA、美国司法部（DoJ）、Verizon、Tesla和Pfizer 等政府与企业组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡政府已要求 Meta Platforms 在9月30日前采取措施，遏制Facebook上的冒充诈骗行为。 9月24日，新加坡警察部队（SPF）向该科技巨头发布了一项执行指令。次日，该指令在新加坡内政部（MHA）官网公开。 根据《网络犯罪危害法》（OCHA），SPF 的主管机构敦促Meta必须在Facebook上采取措施，打击那些冒充新加坡政府高级官员的诈骗广告、账号、个人资料和/或商业页面。 这些措施分为两类：一是为新加坡用户加强人脸识别措施，二是优先处理来自新加坡用户的诈骗举报。 如果Meta未能在9月30日前遵守，且无法提出“合理理由”解释其不合规行为，公司将面临最高 100万新元（约77.7万美元） 的罚款，并在定罪后，每延迟一天额外再罚 10万新元（约7.7万美元）。 MHA和SPF还表示，他们愿意协助Meta识别其他可能被诈骗分子冒充的新加坡公众人物。 社交媒体诈骗案件激增 新加坡MHA观察到，在 2024年6月至2025年6月 之间，社交媒体诈骗活动显著增加，其中包括冒充政府人员的虚假广告、账户和页面。 根据MHA的说法，Facebook是诈骗活动最集中的平台。 在这一期间，SPF共打击了约 2000起 出现在Meta平台上的诈骗广告活动。 MHA在声明中表示：“遏制此类冒充诈骗的蔓延至关重要，这不仅能保护公众免受伤害，也能维护公众对政府及公共机构的信任。” 虽然MHA承认Meta已采取部分措施来应对冒充诈骗风险，但这些措施仍不足以遏制此类诈骗在新加坡的泛滥。 专家：大型科技公司必须在反诈骗上投入更多 BioCatch欧洲、中东及非洲区全球咨询总监、英国伦敦警察局国家欺诈与网络犯罪举报系统前负责人 Jonathan Frost 对新加坡的决定表示欢迎，但同时担心这不足以推动Meta加大对网络诈骗的治理力度。 他指出：“新加坡对Meta的打击是朝正确方向迈出的一步，但罚款金额相对较小，不足以对大型科技公司形成真正的威慑。SPF在Facebook上阻止的2000个诈骗广告只是沧海一粟，这一问题必须由全球范围内的监管机构共同应对。” 他认为，大型科技公司应当效仿金融行业的做法，加大对反诈骗的投资。 “银行每年投入数十亿美元来保护消费者，并承担起防止诈骗的责任。然而，欺诈通常在更上游的网站和社交媒体上发生。与此同时，大型科技公司却从诈骗广告中赚取数十亿美元利润，其中 Facebook和Instagram新增广告商的70%为诈骗分子。只有协调一致的全球监管响应，才能真正约束大型科技公司，推动情报共享，并保护消费者免于遭受改变人生的财务损失。” 新加坡政府补充称，他们正在考虑向其他社交媒体平台提出类似要求。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯高级持续性威胁（APT）组织 COLDRIVER 被指控发起新一轮 ClickFix 式攻击，用于投递两种新型“轻量级”恶意软件家族，分别为 BAITSWITCH 和 SIMPLEFIX。 本月早些时候，Zscaler ThreatLabz 发现了这一多阶段 ClickFix 攻击活动。研究人员指出，BAITSWITCH 是一个下载器，最终会投递 SIMPLEFIX ，一种基于 PowerShell 的后门。 COLDRIVER 也被称为 Callisto、Star Blizzard 和 UNC4057，自2019年以来一直被追踪为与俄罗斯相关的威胁行为体，其攻击目标涵盖多个领域。早期，该组织常通过鱼叉式钓鱼诱导受害者进入凭证窃取页面；近年来，他们逐渐开发并使用 SPICA 和 LOSTKEYS 等定制工具，显示出较高的技术成熟度。 该组织使用 ClickFix 战术的情况，早在2025年5月就被 Google 威胁情报组（GTIG）披露。当时他们通过伪造网站的“假验证码验证”界面，诱使受害者执行 PowerShell 命令，从而下载 LOSTKEYS 的 Visual Basic 脚本。 Zscaler 安全研究员 Sudeep Singh 和 Yin Hong Chang 在本周发布的报告中表示：“持续利用 ClickFix 表明它作为感染途径依然高效，即使这种方法既不新颖，也不算特别先进。” 最新攻击链沿用了相同模式：诱骗毫无防备的用户在 Windows 运行对话框中输入恶意 DLL，以完成伪造的验证码检查。这个 DLL（即 BAITSWITCH）会连接到攻击者控制的域名 captchanom[.]top，从中下载 SIMPLEFIX 后门，同时向受害者展示托管在 Google Drive 上的诱饵文档。 此外，该恶意程序还会向同一服务器发送多次 HTTP 请求，用于传送系统信息、接收建立持久化的命令、将加密载荷存储在 Windows 注册表中、下载 PowerShell 启动器，并清除运行对话框中最近执行的命令，以此抹除 ClickFix 攻击的痕迹。 下载的 PowerShell 启动器随后会连接到外部服务器 southprovesolutions[.]com，下载 SIMPLEFIX，再与指挥控制（C2）服务器建立通信，执行远程 URL 上托管的 PowerShell 脚本、命令及二进制文件。 其中一段通过 SIMPLEFIX 执行的 PowerShell 脚本会窃取指定目录下、预设文件类型清单中的信息。这些扫描目录和文件扩展名与 LOSTKEYS 有部分重叠。 Zscaler 表示：“COLDRIVER APT组织长期以来以西方地区的非政府组织成员、人权维护者、智库研究人员，以及流亡在外的俄罗斯公民为主要攻击对象。本次活动的受害者画像与其一贯的攻击目标高度一致。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件攻击导致俄亥俄州联合县约45,487人的社会安全号码及金融数据被盗。 这起攻击发生在2025年5月18日，黑客入侵联合县系统并窃取了部分社会安全和金融信息。事件发生后，县政府已通知45,487名居民及工作人员。 在发现安全漏洞后，联合县立即展开调查，并聘请外部网络安全专家协助。 调查显示，网络犯罪分子在2025年5月6日至5月18日期间进入了县政府的网络并窃取了部分数据。8月25日，官方完成了对事件的审查，并开始通知受影响的个人。 联合县在发送给受害者并同时报送缅因州总检察长办公室的数据泄露通知信中写道：“2025年5月18日，我们在计算机网络中发现勒索软件。得知情况后，我们立即在全国知名的第三方网络安全与数据取证顾问的协助下展开调查，以保障网络安全并调查事件范围。同时，我们也已通报联邦执法部门。通过调查，我们确认网络犯罪分子自2025年5月6日至5月18日访问了我们的网络，并获取了部分县政府数据。” 被盗数据包括姓名、社会安全号码、驾照号码、金融账户信息、指纹数据、医疗信息、护照号码等。 截至目前，还没有任何勒索软件组织声称对该攻击负责。 联合县位于俄亥俄州中部，县治为玛丽斯维尔。2025年该县大约有75,159名居民，是俄亥俄州发展最快的县之一。该地区兼具小城镇与郊区社区特征，劳动力资源充足，家庭收入中位数较高。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 Vane Viper 的威胁行为者近日被揭露为恶意广告技术（adtech）的提供者，其背后依靠错综复杂的空壳公司与不透明的所有权结构来规避责任。 “Vane Viper 至少十年来一直为大规模恶意广告投放、广告欺诈以及网络威胁的传播提供核心基础设施。”Infoblox 在上周与 Guardio 和 Confiant 联合发布的技术报告中表示。 “Vane Viper 不仅为木马投放者和钓鱼者提供流量中介，还似乎运营着自己的广告欺诈活动，这与此前记录的欺诈手法高度一致。” 一、背景与溯源 Vane Viper 也被称为 Omnatuor。早在 2022 年 8 月，DNS 威胁情报公司就曾披露这一恶意广告网络，称其与 VexTrio Viper 类似，利用存在漏洞的 WordPress 网站构建庞大的受控域名网络，以此传播风险软件、间谍软件和广告软件。 该组织的一项显著持久性技术是 滥用推送通知权限，即便用户已离开最初访问的页面，仍能通过修改浏览器设置持续推送广告。这一方法依赖于 service workers，它们会保持一个持久的无头浏览器进程，以监听事件并推送不受欢迎的通知。 去年年底，Guardio Labs 披露了一项名为 DeceptionAds 的攻击活动，发现其利用 Vane Viper 的恶意广告网络来推动 ClickFix 式的社会工程攻击。该活动被归因于一家名为 Monetag 的公司，而据 Infoblox 称，Monetag 是 PropellerAds 的子公司，而 PropellerAds 又隶属于总部位于塞浦路斯的 AdTech Holding 控股公司。 与 PropellerAds 相关的域名长期以来因助长恶意广告投放、引流至漏洞利用工具包或其他欺诈网站而被标记。进一步分析还发现，一些广告欺诈活动的基础设施源自 PropellerAds。 二、庞大的基础设施与规模 网络安全公司表示，过去一年内，Vane Viper 在约一半客户网络中触发了 约 1 万亿次 DNS 查询。该组织利用数十万受控网站和恶意广告，将毫无防备的用户重定向至：恶意浏览器扩展、虚假购物网站、色情内容、调查问卷诈骗、假冒应用、可疑软件下载、恶意软件（包括 Android 恶意软件 Triada）。 此外，Vane Viper 似乎与 URL Solutions（又名 Pananames）、Webzilla 和 XBT Holdings 共用基础设施和人员。值得注意的是，URL Solutions 还与俄罗斯影响力行动 Doppelgänger 搭建的虚假信息网站有关。AdTech Holding 旗下的其他公司还包括 ProPushMe、Zeydoo、Notix 和 Adex。 据估算，约 6 万个域名 属于 Vane Viper 的基础设施，大多数活跃时间不足一个月。但也有少数域名已持续活跃超过 1200 天，其中包括最初的 omnatuor[.]com、propeller-tracking[.]com，以及一些围绕推送通知服务的域名。 该组织每月都会注册大量新域名。仅在 2024 年 10 月，注册域名数就高达 3500 个，而在 2023 年 4 月还不到 500 个。据统计，自 2023 年以来，Vane Viper 的域名占 URL Solutions 批量注册域名的近 50%。 三、官方回应与风险 PropellerAds 此前否认存在任何不当行为，声称自己只是一个“自动化的中介，帮助广告商寻找合适的发布者投放广告”，并且“并不支持、纵容或鼓励网络上的恶意广告”。 然而，Infoblox 指出：“Vane Viper 不只是一个隐藏在广告技术平台背后的威胁行为者，它本身就是作为广告技术平台运作的威胁行为者。AdTech Holding 声称为广告商提供规模化的覆盖与变现，但其实际交付的却是风险”，“Vane Viper 借助作为广告网络的合理否认，隐藏自身身份，同时利用其 TDS（流量分发系统） 投放多种威胁”。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 Salesforce Agentforce 的严重漏洞。Agentforce 是一个用于构建人工智能（AI）代理的平台，该漏洞可能允许攻击者通过间接提示注入（indirect prompt injection）的方式，从其客户关系管理（CRM）工具中窃取敏感数据。 该漏洞被发现方 Noma Security 命名为 ForcedLeak，CVSS 评分 9.4。该团队于 2025 年 7 月 28 日发现并报告了该问题。漏洞影响所有启用了 Web-to-Lead 功能 的 Salesforce Agentforce 用户。 Noma 安全研究负责人 Sasi Levi 在提交给 The Hacker News 的报告中写道：“这个漏洞表明，与传统的提示-响应系统相比，AI 代理展现出了本质上不同且更大的攻击面。” 一、GenAI 系统的重大威胁：间接提示注入 生成式人工智能（GenAI）系统如今面临的最严重威胁之一就是 间接提示注入。该攻击手法通过在服务访问的外部数据源中插入恶意指令，使系统生成原本禁止的内容或执行非预期操作。 Noma 演示的攻击路径看似简单：攻击者利用 Web-to-Lead 表单中的 Description 字段 注入恶意指令，从而诱导系统泄露敏感数据，并将其外传到一个与 Salesforce 相关但已过期的白名单域名上。该域名已被攻击者以 仅 5 美元的成本重新注册并控制。 二、攻击步骤共五步 攻击者提交包含恶意描述的 Web-to-Lead 表单； 内部员工用标准 AI 查询处理线索； Agentforce 执行合法与隐藏的双重指令； 系统查询 CRM 中的敏感线索信息； 将数据以 PNG 图像的形式传输到攻击者控制的域名。 Noma 表示：“通过利用上下文验证薄弱、AI 模型行为过度宽松以及内容安全策略（CSP）绕过，攻击者能够创建恶意的 Web-to-Lead 提交内容，使其在 Agentforce 处理时执行未经授权的命令。” 由于 LLM 仅作为直接执行引擎运行，它无法区分上下文中加载的合法数据与仅应来自可信来源的恶意指令，最终导致了关键敏感数据的泄露。 三、Salesforce 的应对措施 目前 Salesforce 已重新收回过期域名，并推出了补丁，防止 Agentforce 和 Einstein AI 代理的输出被发送到不受信任的 URL，方法是强制执行 URL 白名单机制。 Salesforce 在本月早些时候发布的安全警报中表示：“我们的底层服务将在 Agentforce 中强制执行可信 URL 白名单，确保不会通过提示注入调用或生成恶意链接。这为防御深度控制提供了关键一环，可防止在提示注入成功后，敏感数据通过外部请求泄露。” 四、安全建议 除了落实 Salesforce 的推荐措施并执行可信 URL 机制外，用户还被建议： 审计现有线索数据，检查是否存在包含异常指令的可疑提交； 实施严格的输入验证机制，以检测潜在的提示注入； 对来自不受信任来源的数据进行清理。 Levi 总结道：“ForcedLeak 漏洞凸显了 前瞻性 AI 安全与治理 的重要性。这是一个强有力的提醒，即使是低成本的发现，也能避免数百万美元的潜在损失。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。 网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。 一、攻击链条解析 该攻击活动始于钓鱼邮件，邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件（.exe），以及一个恶意的 version.dll 文件，攻击者借此实现 “DLL 侧载”（DLL Sideloading）攻击。此后，攻击共分 10 个阶段逐步推进，通过加载器层、加密层与持久化机制的层层叠加，复杂度不断升级。 此次攻击活动的显著特点是，在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件（.exe）的技术转型。 攻击者对系统进程 RegAsm.exe 实施 “进程镂空”（Process Hollowing）攻击，对 Windows 自带的反恶意软件扫描接口（AMSI）和事件跟踪日志（ETW）等防御机制进行补丁篡改，随后逐步解包更多恶意载荷，最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制（C2）信道、主机指纹识别功能，以及加载额外恶意模块的能力。 二、攻击活动溯源 攻击前期阶段的核心目标是窃取凭证信息，并从 Chrome、Firefox 等浏览器中收集数据。 攻击者将窃取的信息打包为 ZIP 文件后，通过 Telegram 机器人 API（Telegram Bot API）传输。与账号 @LoneNone 相关联的元数据显示，该攻击活动与 “PXA 窃密者”（PXA Stealer）恶意软件家族存在关联，而该家族此前已被证实与越南威胁行为者有关。 此外，PureRAT 的命令与控制（C2）服务器经溯源也位于越南，进一步印证了这一攻击归因结论。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国连锁零售商 Co-op（合作社集团）表示，今年 4 月遭遇的网络攻击不仅导致门店货架空置，还造成客户数据被盗，最终使其营收减少 2.06 亿英镑（约合 2.74 亿美元）。 此次攻击是今年春季影响英国企业的多起重大网络安全事件之一，零售巨头玛莎百货（Marks & Spencer，简称 M&S）也在受影响之列。7 月，警方逮捕了 4 名与 Co-op、玛莎百货及哈罗德百货（Harrods）黑客攻击事件相关的人员，其中包括 1 名未成年青少年。据悉，这些黑客被认为与 “分散蜘蛛”（Scattered Spider）团伙有关 —— 该团伙是由一群年轻网络犯罪分子组成的松散组织。 在周四提交的财报中，Co-op 指出其食品业务受此次事件冲击最为严重，“由于（公司）主动将系统下线，商品库存可用性大幅下降”。事件被发现后的数周内，门店供货情况明显受影响，Co-op 首席执行官希琳・胡里 – 哈克（Shirine Khoury-Haq）曾向消费者表示，员工正 “夜以继日地工作，以保护我们的系统并推动运营恢复正常”。 该公司在财报中称：“门店虽持续营业，但受到多重因素影响：商品库存不足、竞争对手趁机抢占市场份额，以及核心交易系统与促销活动暂时无法正常运行。” 据悉，Co-op 通过断开网络连接，避免了其系统被勒索软件锁定的风险。尽管如此，该公司 650 万会员的全部数据仍在此次事件中被盗。 Co-op 表示，今年上半年，这起网络攻击造成的总利润损失达 8000 万英镑（约合 1.067 亿美元）。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 沃尔沃北美公司（Volvo North America）披露了一起数据泄露事件。该事件源于第三方供应商 Miljödata 遭遇勒索软件攻击，导致沃尔沃员工的个人数据被泄露。 此次勒索软件攻击发生于 8 月，至少影响了 25 家企业，其中包括斯堪的纳维亚航空公司（SAS）、博利登公司（Boliden），以及 200 个瑞典市政当局。受影响的系统主要供管理人员和人力资源部门使用，用于处理医疗证明、康复事宜，以及与工作相关的伤害报告和管理工作。 目前，Miljödata 已在网络安全专家的协助下对该事件展开调查，同时加强了其托管环境的安全性，并正采取措施防范未来发生类似的安全漏洞事件。 名为 “DataCarry” 的勒索软件团伙宣称对此次针对 Miljödata 的攻击负责，且已在其 Tor 泄密网站上发布了据称是被盗取的数据。 沃尔沃集团北美公司已向马萨诸塞州总检察长办公室通报，此次数据泄露导致员工的姓名和社会保险号码（Social Security numbers）被泄露。该公司同时指出，其自身系统未受到入侵。 在发送给受影响人员的数据泄露通知函中写道：“我们近期获悉，沃尔沃集团的人力资源软件供应商 Miljödata 遭遇了一起安全事件，您的部分个人信息可能在此次事件中被获取。该事件发生于 2025 年 8 月 20 日。Miljödata 于 2025 年 8 月 23 日首次知晓此次勒索软件攻击，并在 2025 年 9 月 2 日确认您的数据可能受到影响；随后，Miljödata 于 2025 年 9 月 2 日将此事告知沃尔沃集团。” 据数据泄露查询服务平台 “我是否被入侵”（Have I Been Pwned，简称 HIBP）报告，此次泄露的数据涉及 87 万个账户。被泄露的信息包括电子邮箱地址、姓名、实际住址、电话号码、政府签发的身份证件号码、出生日期以及性别。 HIBP 报告称：“2025 年 8 月，瑞典系统供应商 Miljödata 成为勒索软件攻击的受害者。攻击发生后，相关数据被发布至暗网，其中包含来自多个受影响文件的 87 万个唯一电子邮箱地址。此外，泄露数据还包括姓名、电话号码、实际住址、出生日期以及政府签发的个人身份号码。” 为保障受影响人员权益，沃尔沃集团为其提供了为期 18 个月的免费身份保护及信用监控服务。 通知函最后表示：“为支持并保护受影响的同事，沃尔沃集团已安排为您提供为期 18 个月的好事达（Allstate）‘Identity Protection Pro+’服务免费订阅，该服务包含信用监控功能，助力保护您的个人信息。我们建议您提高警惕，定期监控自己的账户对账单和信用报告。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上月，马里兰州交通管理局（MTA）披露，多个州政府部门正遭遇网络攻击，相关系统受到影响，其中包括用于组织残障人士交通出行的系统。本周，MTA对这一事件的情况进行了更新。 MTA确认在这次网络攻击中存在数据被盗。 MTA工作人员维罗妮卡·巴蒂斯蒂（Veronica Battisti）表示，由于调查仍在进行且相关议题十分敏感，机构“无法透露具体或额外的细节，包括到底有哪些数据丢失、多少人受到影响”。 官员们称，州信息技术部正与网络安全专家及执法机构合作，调查此次事件。 勒索团伙开口要价：30枚比特币 据网络安全公司VenariX报告，本周三，名为Rhysida的勒索软件团伙宣称对此次攻击负责，并要求MTA在七天内交付赎金30枚比特币（约合340万美元）。 该团伙分享了部分被盗数据样本，其中包括护照、驾驶执照、合同及其他文件。 核心服务正常，其他服务待恢复 MTA称，其核心交通服务如公交线路、地铁和轻轨系统未受到影响，但此次攻击破坏了部分实时信息系统，以及Mobility等特殊交通服务的相关工具。 Mobility是一种定制化出行服务。专为无法直接到达，或在公交站点等待的居民提供的共享出行服务。用户可通过网站预约车辆，从家门口接送至目的地。 据悉，攻击发生后，Mobility服务于8月29日通过临时电话系统恢复，但MTA未说明全面恢复需要多久。目前仍有部分公交车无法提供实时位置追踪。 在事件调查过程中，MTA也提醒居民采取预防措施，如警惕钓鱼邮件、及时修改密码、使用多重身份验证，并保持设备软件更新。 恶贯满盈，Rhysida攻击已非首次 这起针对MTA的攻击，是本周第二起涉及州政府的勒索软件事件。在此之前，INC勒索团伙声称攻击了宾夕法尼亚州检察长办公室。 自2023年冒头以来，Rhysida已在美国多地制造混乱，对西雅图和俄亥俄州哥伦布市政府的攻击一度导致关键服务中断。 该团伙的攻击目标遍及全球，科威特、葡萄牙和多米尼加共和国的政府部门都曾遭殃。他们甚至毫不避讳地对儿童医院、医疗网络、慈善机构和公共图书馆下手。 就在去年，Rhysida还攻击了马里兰州的 普林斯乔治县公立学校系统，导致近10万名学生和教职工的信息被曝光。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，万兴科技（Wondershare）RepairIt 软件中存在两个严重漏洞，不仅导致用户私密数据泄露，还可能让系统遭受 AI模型篡改与供应链攻击的威胁。 这些高危漏洞由 趋势科技（Trend Micro）发现并披露，具体如下： CVE-2025-10643（CVSS 评分：9.1） —— 一处身份验证绕过漏洞，源于对存储账户令牌赋予的过高权限。 CVE-2025-10644（CVSS 评分：9.4） —— 一处身份验证绕过漏洞，源于对 SAS 令牌赋予的过高权限。 一旦被成功利用，攻击者可绕过系统的身份认证保护，发起供应链攻击，最终在用户终端上执行任意代码。 趋势科技研究人员指出，这款具备 AI 功能的数据修复与照片编辑应用 “违背了其隐私政策”：由于缺乏严格的 DevSecOps（开发、安全与运维一体化）流程，导致收集与存储的用户私密数据被意外泄露。 漏洞细节与潜在风险 研究人员发现，该应用在代码中直接硬编码了过度开放的云存储访问令牌，可对敏感云存储进行读写操作。同时，存储的数据未经过加密，进一步增加了用户上传的图片与视频被滥用的风险。 更严重的是，暴露的云存储中不仅包含用户数据，还包括 AI 模型、万兴旗下多款产品的二进制文件、容器镜像、脚本及公司源代码。攻击者若篡改这些 AI 模型或可执行文件，便可能发起针对下游客户的供应链攻击。 研究人员警告称：“由于软件会自动从不安全的云存储中下载并执行 AI 模型，攻击者可修改模型或配置文件，让用户在毫不知情的情况下感染恶意软件。” 这种攻击能够借助官方签名的软件更新或 AI 模型下载传播恶意载荷。 除了用户数据泄露与 AI 模型篡改，这些问题还可能带来严重后果，包括 知识产权盗窃、监管处罚以及消费者信任的流失。 趋势科技称已于 2025 年 4 月 通过 零日计划（ZDI）向厂商负责任地披露了这两个漏洞，但尽管多次尝试联系，至今未收到厂商回应。鉴于暂无修复方案，用户被建议减少或限制使用该产品。 趋势科技提醒：“不断追求新功能与市场竞争，往往让企业忽视这些功能在未来可能被滥用的风险。因此，必须在组织内部，尤其是 CD/CI 流水线中，建立完善的安全流程。” AI 与安全需并行 此次披露也是趋势科技对 MCP（Model Context Protocol）服务器风险的延续性警告。此前，研究人员发现 MCP 服务器若缺乏身份认证或存储明文凭证，攻击者可利用其访问云资源、数据库或注入恶意代码。 每一个 MCP 服务器都可能成为敏感数据的“敞开大门” —— 数据库、云服务、内部 API 或项目管理系统都可能被未授权访问。 在 2024 年 12 月，趋势科技还发现暴露的容器镜像仓库可能被攻击者下载并修改 AI 模型，再上传至公开仓库。被篡改的模型可能在正常情况下表现无异，但在特定输入下触发恶意行为，从而绕过常规检测。 卡巴斯基（Kaspersky）也曾通过概念验证（PoC）指出，从不可信来源安装 MCP 服务器，可能使其伪装成 AI 助手工具，在后台进行侦察与数据窃取。 研究员警告：“安装 MCP 服务器就等于允许它在用户机器上以用户权限运行代码。若未沙箱隔离，第三方代码即可访问用户文件并发起网络连接。” AI 工具的新型攻击向量 随着企业快速采用 MCP 与各类 AI 工具，新的攻击方式层出不穷，包括 工具投毒、拉地毯攻击、影子化利用、提示注入以及越权提升。 近期，Palo Alto Networks的Unit 42 报告披露，AI 代码助手中的上下文附件功能可能被用于间接提示注入。攻击者可在外部数据源中植入恶意提示，让助手在无意中执行后门或泄露敏感信息。 此外，AI 代码代理还被发现易受 “谎言循环”（LitL）攻击。该攻击通过伪造上下文让代理相信恶意操作是安全的，从而绕过本应由人工把关的高风险环节。 研究员指出：“LitL 攻击利用了人类与代理之间的信任。当代理提供的上下文被伪造时，用户也可能被欺骗，从而让攻击者绕过防护。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个网络犯罪集团声称已成功攻击德国的包机运营商 FAI Aviation Group。攻击者表示，他们获取了大量敏感数据，从公司文件到医疗信息不等。 该航空公司被列在 J Group 勒索软件团伙的暗网博客上。该博客用于展示其最新的受害者，有时也会公布被窃取的数据。网络犯罪分子称，他们掌握了近 3TB 的数据。 FAI 是一家总部位于纽伦堡的包机运营商，提供固定翼救护机服务、豪华公务机包机以及任务关键型航空服务。该公司在迪拜和巴林设有子公司，员工总数约 300 人。 FAI 数据泄露了什么？ J Group 在其帖子中声称，此次数据泄露涉及多类敏感和个人信息。例如，黑客称他们获取了私密的患者数据，这可能与 FAI 的空中救护服务相关。数据集中据称包含患者的临床信息。 攻击者还表示，泄露的信息包括商业文件、项目资料、涉及员工投诉的公司内部文件，以及其他原本不应公开的内容。 Cybernews 研究团队调查了攻击者在暗网帖子中附带的文件。不过，该附件仅是一个文本文件，显示了所谓被盗文件和文件夹的目录树。据团队称，目录中提及了：各类员工培训文件、审计文件、飞机规格文件、个人简历（CV）、护照复印件等。 研究团队认为，恶意行为者可能利用这些泄露的信息进行身份盗窃和欺诈。相关文件可能被用于开设虚假账户，从而对被泄露人员造成经济损失。 另一个潜在风险是 社会工程攻击。例如，攻击者可能冒充 FAI 或其他包机服务公司行骗，因为他们知道受害者群体使用此类服务，而且很可能具备一定的资金实力。 更糟的是，医疗和生物识别数据 不可更改。一旦被泄露，用户无法“修改”自己的病历，从而带来长期风险。与此同时，内部审计文件可能揭示公司系统的弱点，未来可能被持续攻击者利用。 黑客团伙往往将航空公司与包机运营商作为攻击目标，因为任何业务中断对航空公司来说都代价高昂。过去三个月内，已有多家航空公司中招，包括加拿大第二大航空公司 西捷航空（WestJet Airlines）、美国的 阿拉斯加航空（Alaska Airlines）、澳大利亚的澳洲航空（Qantas）以及美国的 夏威夷航空（Hawaiian Airlines）。 J Group 勒索软件团伙是谁？ J Group 是网络犯罪地下世界的一支新兴力量，最早在 2025 年初被发现。目前关于该团伙的活动信息不多。不过，安全研究人员指出，该团伙的攻击目标跨度极大，从游乐园到马铃薯加工企业都有涉及。 研究者认为，该团伙的行为表明他们仍在尝试确立身份并寻找稳定的运作模式。有趣的是，他们可能会采取一种日益流行的数据经纪手法。 传统勒索软件团伙通常以“公开泄露数据”来威胁受害者，如果对方拒绝支付赎金。而类似 J Group 的团伙则可能尝试直接 公开出售数据，以在谈判失败后套现。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据显示，J Group 至今已攻击至少 32 家机构，成为近期最活跃的新兴黑客组织之一。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露，威胁行为者利用 GeoServer 中一个未修补的漏洞，攻破了一家美国联邦民用机构的网络。 攻击者利用的漏洞编号为 CVE-2024-36401（CVSS 评分 9.8），这是一个严重的远程代码执行（RCE）漏洞。该漏洞于 2024 年 6 月 30 日被公开，多名研究人员随后在网上发布了概念验证（PoC）利用代码。[1, 2] GeoServer 是一款开源服务器，允许用户共享和编辑地理空间数据。2024 年 7 月中旬，CISA 已将该漏洞列入其“已知被利用漏洞”（KEV）目录。 在一起事件中，该联邦文职机构的终端检测与响应（EDR）工具在 7 月 11 日检测到潜在恶意活动，CISA 随后展开应急响应调查。结果发现，攻击者早在三周前就通过该漏洞入侵了机构的 GeoServer。 根据 CISA 公布的通告：“CISA 在该联邦机构展开事件响应工作，是因为其 EDR 工具发现了潜在的恶意活动。调查发现，网络威胁行为者通过利用 CVE-2024-36401 攻陷了一个 GeoServer。在随后的三周时间里，黑客再次利用该漏洞攻入第二个 GeoServer，并横向移动至另外两台服务器。” 攻击者横向扩散至一台 Web 服务器和一台 SQL 服务器，部署了 WebShell，以及用于持久化、远程访问和提权的脚本。同时，他们还使用 “以合法工具作恶”（LOTL） 技术来规避检测。 调查显示，攻击者先用 Burp 工具扫描对外开放的 GeoServer，然后通过虚拟专用服务器（VPS）和公开工具利用该漏洞，在两台 GeoServer 上实现远程代码执行。他们通过 eval 注入上传 WebShell，创建定时任务（cron）和新账户以维持持久化，并尝试使用公开的 dirtycow 提权工具提升权限。 CISA 分享了他们总结的经验教训： 第一，漏洞未能及时修复； 第二，机构未对事件响应计划（IRP）进行测试或演练，IRP 也未能确保能及时引入第三方并授予必要权限； 第三，EDR 警报未被持续监控，部分对外系统缺乏终端防护。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科发布了安全更新，以修复其 Cisco IOS 和 IOS XE 软件 中一个正在被利用的高危零日漏洞。 该漏洞编号为 CVE-2025-20352，源于受影响 IOS 和 IOS XE 软件中 简单网络管理协议（SNMP）子系统的栈缓冲区溢出缺陷，凡是启用 SNMP 的设备都可能受影响。 根据思科通报，经过身份验证的低权限远程攻击者可以利用此漏洞在未打补丁的设备上触发 拒绝服务（DoS）攻击。而高权限攻击者则可能通过在受影响的 Cisco IOS XE 系统上以 root 用户身份执行代码，从而获得对系统的完全控制。 思科在周三的安全公告中指出：“攻击者可以通过向受影响设备发送特制的 SNMP 数据包（可通过 IPv4 或 IPv6 网络），来利用这一漏洞。” 思科产品安全事件响应团队（PSIRT）已确认，在部分本地管理员凭据泄露后，攻击者已在野外成功利用该漏洞。思科强烈建议客户立即升级至修复版本以解决该问题。 目前，除了应用思科发布的补丁外，没有其他解决方法。思科表示，如果管理员无法立刻升级，可以暂时通过 限制 SNMP 访问仅限可信用户 来降低风险。 思科在公告中强调：“要彻底修复该漏洞并避免未来的风险，思科强烈建议客户升级到公告中指明的修复软件版本。” 除了此次零日漏洞，思科今天还修复了另外 13 个安全漏洞，其中包括两个已公开概念验证（PoC）利用代码的漏洞： CVE-2025-20240：一个 Cisco IOS XE 的反射型跨站脚本（XSS）漏洞，未经身份验证的远程攻击者可利用它从受影响设备窃取 Cookie。 CVE-2025-20149：一个拒绝服务漏洞，允许经过身份验证的本地攻击者迫使受影响设备重启。 此外，今年 5 月，思科还修复了一处 IOS XE 的最高严重等级漏洞，该漏洞影响无线局域网控制器（WLC），攻击者可利用系统内置的 硬编码 JSON Web Token (JWT)，在未经身份验证的情况下远程接管设备。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际刑警组织周三宣布，今年夏季开展的最新一轮跨国打击网络诈骗行动，共追回价值4.39亿美元的资产。 根据国际刑警组织消息，4月至8月期间，来自40多个国家和地区的执法机构共冻结了约6.8万个银行账户和约400个加密货币钱包。 此次打击的诈骗类型包括“电话诈骗、网络交友诈骗、网络性勒索、投资诈骗、与非法网络赌博相关的洗钱、商业电邮诈骗以及电商欺诈”。 追回的资产包括3.42亿美元的传统货币，以及价值9700万美元的“实物与数字”资产。 这是名为“HAECHI”的国际执法合作项目的第六阶段，该项目由韩国提供资金支持。国际刑警组织此前表示，在2024年11月结束的上一阶段行动中，追回了类似规模的资金，并逮捕了5500人。 国际刑警组织未具体说明本轮行动的总逮捕人数，但指出葡萄牙当局逮捕了45人，并捣毁了一个“由多个相互关联团伙组成的大型犯罪网络，该网络涉嫌挪用原本用于援助弱势家庭的资金”。 国际刑警组织称，泰国皇家警察在一起案件中查获了660万美元，这是该国迄今为止单案最大数额。“该案件涉及一个由泰国和西非成员组成的跨国有组织犯罪团伙，他们通过精心设计的商业电邮诈骗，诱骗一家日本大型企业将资金转入一家位于曼谷的虚构合作伙伴账户。” 此外，韩国警方还与阿联酋当局合作，追回了约合390万美元的韩元。这笔钱原本被转入迪拜一家“非法银行账户”，系某韩国钢铁公司在发现运输单据被伪造后报案。 此前几轮“HAECHI”行动的成果曾于2023年12月、2022年11月、2021年11月及2021年5月公布。 国际刑警组织指出，网恋诈骗、投资诈骗以及其他“网络助推型”犯罪往往源自东南亚一些由有组织犯罪集团运营的园区，这些园区通过绑架和人口贩运手段强迫人员参与诈骗活动。国际社会对这一非法产业的打压力度不断加大，包括制裁、非政府调查以及执法部门对诈骗园区的直接突袭行动。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 位于拉斯维加斯的大型博彩公司Boyd披露，近日遭遇了一起网络安全事件，导致员工及其他部分人员的个人数据被泄露。 9月23日，Boyd公司向美国证券交易委员会（SEC）提交的8-K文件中报告了这一事件。文件显示，一名未经授权的第三方访问了其内部IT系统。 公司在文件中写道：“公司已确认，未经授权的第三方从公司的IT系统中窃取了部分数据，其中包括员工信息以及数量有限的其他个人信息。公司正在通知受影响的个人，并已或将按要求通知相关监管机构和其他政府部门。” 目前尚未披露被盗数据的具体性质，或受影响人员的数量。截至2024年底，Boyd公司共有16,129名员工。该公司在内华达州、密西西比州、伊利诺伊州、印第安纳州和路易斯安那州共拥有29家赌场和酒店。 公司表示，已在顶级网络安全专家的协助下，并与美国联邦执法部门合作，采取措施进行补救。关于事件发生的具体时间并未透露。 公司补充称，其认为此次事件不会对Boyd的财务状况或经营结果产生重大不利影响。 Boyd还表示：“公司已投保全面的网络安全保险，我们预计该保险将涵盖事件响应和取证调查相关费用，以及业务中断、法律诉讼和监管罚款（如有），但需受限于保单额度和免赔额。” 值得注意的是，2023年，另一场震动业界的事件中，拉斯维加斯的两大赌场和酒店运营商 MGM国际酒店集团和 凯撒娱乐公司在几天之内相继遭遇网络攻击。 这些勒索软件攻击被认为与“Scattered Spider”黑客组织有关，给受害公司带来了巨额成本和业务中断。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局在纽约联合国总部附近查获一个秘密通信网络，收缴 10 万张 SIM 卡与 300 台服务器。该网络具备每分钟发送 3000 万条短信的能力，可瘫痪手机信号塔并实施大规模监控，引发公众对移动网络安全的新担忧。 美国特勤局发布的公告中写道：“近日，我们捣毁了一个分布在纽约都会区的电子设备网络，这些设备被用于实施多起针对美国高级政府官员的电信相关威胁，对特勤局的安保行动构成直接威胁。” 公告还指出：“此次安全情报调查行动中，工作人员在多个地点发现了 300 余台共置的 SIM 服务器，以及 10 万张 SIM 卡。” 特工人员在查获通信设备的同时，还发现了非法枪支、电脑、手机及 80 克可卡因。可见，目前网络犯罪活动与传统犯罪组织之间的界限正逐渐模糊。 情报专家推测，该网络或与 “国家行为体”的行动有关。 《纽约时报》报道称：“调查人员表示，此次查获的设备库与当时正在召开的联合国大会虽无直接关联，但其所处位置及潜在威胁引起了我们的担忧。一名官员指出，特勤局此前从未发现过规模如此庞大的非法通信网络，部分专家怀疑此次有国家行为体参与其中。” 此次被捣毁的设备库是一个完整的“平行通信网络”，由成架的服务器与 10 万余张 SIM 卡组成，可对通信运营商发起流量攻击、破坏服务，或发起大规模钓鱼攻击。专家警告，除造成通信中断外，该网络还可能被用于间谍活动、窃听或追踪政府官员。 对SIM卡的初步分析显示，其与某外国及包括犯罪集团在内的多个犯罪组织存在关联，凸显出国家级行为体与网络犯罪团伙之间的勾结。 美国特勤局在公告中进一步表示：“目前对这些设备的司法鉴定仍在进行中，但据初步分析显示，国家级威胁行为体与部分已被联邦执法部门关注的人员之间存在手机通信联系。” 前白宫网络安全官员、现任FTI咨询公司全球网络安全负责人安东尼·J·费兰特（Anthony J. Ferrante）向《纽约时报》表示：“这个网络技术复杂且投入高昂，我的直觉是，它被用于间谍活动。” 研究人员认为，仅有“俄罗斯、以色列等少数国家” 具备搭建此类秘密通信网络的资源与能力。 尽管此次发现的网络规模前所未有，但通信网络被非法利用或劫持的情况并非首次出现： 2017 年，华盛顿特区的安全专家在白宫、国会山等敏感区域附近检测到多台 “IMSI 捕集器”（一种模拟合法手机信号塔以拦截通话和短信的设备）。 2021 年，墨西哥当局捣毁了由贩毒集团运营的平行电信网络，其中包括定制信号塔和中继系统，这些设备被用于协调贩毒活动，且不受正规通信运营商的监管。 此次事件表明，通信网络可被“武器化”利用。瘫痪手机网络、实施间谍活动、劫持数据等威胁真实存在，且会对安全防护造成影响。在联合国总部附近发现此类网络，也凸显出联合国大会等重大活动期间的安全风险，每分钟数百万条信息的传输量与匿名通信渠道，都可能被用于间谍活动。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司 Unit 221B 宣布完成 500 万美元种子轮融资，本轮融资由 J2 Ventures 领投，Pipeline Capital 及其他投资者跟投。 这家总部位于纽约的公司由资深威胁情报与技术专家于十年前创立，专注于提供可执行的威胁情报，其中包括能够促成黑客被逮捕的相关情报。 Unit 221B 开发了一款名为 eWitness 的专有威胁情报平台，该平台依托一个由调查员、分析师和研究人员组成的精心筛选的网络，用于追踪英语国家的网络犯罪分子并揭露攻击活动。eWitness 依赖 人力情报（HUMINT） —— 一个由经过审查的可信成员组成的社区，共同收集高价值的威胁情报，用于数据的捕获、管理和存储。此外，Unit 221B 还为执法机构和跨国企业提供量身定制的调查工具与威胁狩猎服务。 多年来，该公司曾参与多项调查，推动威胁行动的瓦解，并协助对多名网络罪犯提起诉讼和实施逮捕，其中包括上个月 RapperBot DDoS 僵尸网络管理员 Ethan Foltz 的落网。 Unit 221B 表示，将利用这笔新资金提升 eWitness 平台的新功能，并加速调查合作与市场拓展。 Unit 221B 首席执行官 May Chen-Contino 表示：“集体行动有能力改变结果。我们正在联合企业、执法机构和政府的调查人员，共同打造一个更安全的线上与线下世界。打击这些犯罪网络的唯一方法就是携手合作。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文