HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个以牟利为目的的黑客组织正在利用Craft内容管理系统（CMS）新近披露的远程代码执行漏洞（CVE-2025-32432），部署包含加密货币矿工、Mimo加载器及住宅代理软件的多重恶意载荷。该高危漏洞已于今年4月由Orange Cyberdefense SensePost首次披露，官方在3.9.15、4.14.15和5.6.17版本中修复。 据Sekoia最新报告，攻击者通过该漏洞获取目标系统未授权访问权限后，部署WebShell实现持久远程控制。该WebShell会使用curl、wget或Python库urllib2从远程服务器下载并执行shell脚本。研究人员指出，攻击者在Python代码中将urllib2库别名为“fbi”，这种非常规命名可能暗指美国联邦调查局，或成为威胁溯源的重要线索。 该脚本首先检测系统感染痕迹，卸载已知加密货币矿工，终止所有活跃的XMRig进程及其他竞品挖矿工具，随后投放ELF可执行文件。该程序即Mimo加载器，通过修改动态链接器配置文件隐藏恶意进程，最终在受控主机部署IPRoyal代理软件和XMRig矿工。攻击者借此实现双重获利：劫持算力挖矿牟利，同时将受害者网络带宽转化为代理节点资源。 该攻击活动被归因于代号Mimo的黑客组织，其自2022年3月起活跃，曾利用Apache Log4j（CVE-2021-44228）、Atlassian Confluence（CVE-2022-26134）、PaperCut（CVE-2023–27350）及Apache ActiveMQ（CVE-2023-46604）等漏洞部署矿工。据安博士2024年1月报告，该组织2023年还使用基于Go语言的Mimus勒索软件实施攻击，该软件系开源项目MauriCrypt的分支版本。 Sekoia追踪发现攻击流量源自土耳其IP地址（85.106.113[.]168），开源情报显示Mimo组织成员可能物理位置位于该国。法国网络安全公司指出，Mimo组织以快速武器化新漏洞著称，此次从CVE-2025-32432漏洞披露到概念验证代码发布，再到实际攻击发生的时间间隔极短，充分展现其响应速度与技术敏捷性。目前确认该组织仍保持活跃，持续扫描利用新披露的漏洞实施攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周二披露，过去五年累计阻止了价值超过90亿美元的欺诈交易，仅2024年就拦截逾20亿美元。苹果表示，其应用商店正面临各类威胁，从窃取个人信息的欺诈性应用到试图利用用户的非法支付手段层出不穷。 为防止不良行为者提交恶意应用，苹果已因欺诈风险终止超过4.6万个开发者账户，并额外拒绝了13.9万次开发者注册申请。去年该公司还拦截了7.11亿次可疑账户创建，停用了近1.29亿个用户账户，以阻止这些账户从事垃圾信息传播、评分评论操控、排行榜及搜索排名干扰等危害应用商店生态的行为。 2024年其他值得关注的数据包括： 在盗版应用商店检测并拦截超过1万个非法应用，涵盖恶意软件、色情应用、赌博应用及正版应用盗版； 阻止近460万次非官方渠道安装或启动非法应用的尝试；因安全漏洞、隐私侵犯或欺诈风险驳回190万份应用上架申请； 下架3.7万余个涉及欺诈的应用，并拒绝4.3万份包含隐藏功能的提交申请； 以抄袭、垃圾信息或误导用户为由驳回32万份应用，另有40万份因隐私问题被拒； 从应用商店榜单移除7400多个潜在欺诈应用，并在搜索结果过滤近9500个欺骗性应用； 清除1.43亿条虚假评分评论； 识别470万张被盗信用卡，封禁160万个违规交易账户。 对比数据显示，苹果2023年拦截约18亿美元潜在欺诈交易，2022年拦截超20亿美元。去年该公司终止近11.8万个开发者账户。此次年度报告发布之际，谷歌今年早些时候披露2024年已阻止236万款违规安卓应用上架Google Play，并封禁15.8万个恶意开发者账户。 当前苹果正面临对其应用商店政策更严格的审查。美国近期一项裁决要求该公司允许iOS应用展示外部购买链接，打破原有的应用内支付垄断体系。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名伊朗籍公民在美国联邦法院承认参与运营Robbinhood勒索软件团伙，该组织通过一系列勒索攻击瘫痪了全美多个市政厅、医院及私营企业系统。司法部表示，Sina Gholinejad于本周二对计算机欺诈与电信欺诈共谋罪认罪，承认与同伙入侵数十个网络，使用Robbinhood恶意软件加密数据并勒索比特币赎金。Gholinejad将于8月宣判，最高面临30年监禁。 Robbinhood最臭名昭著的攻击是2019年5月针对巴尔的摩市的入侵事件，迫使市政部门切断数百台电脑网络连接，导致水费、房产税及停车费在线支付系统瘫痪。巴尔的摩市最终耗费超1900万美元用于系统恢复与弥补收入损失，北卡罗来纳州、俄勒冈州、纽约州及新泽西州也有其他受害者。 检方指出，Robbinhood团伙采用类似现代勒索软件即服务（RaaS）的运营模式，其犯罪活动可追溯至2019年初。攻击者在受害机构留下勒索信，引导受害者通过Tor暗网平台协商赎金，要求以比特币支付。司法部透露，赎金到账后，该团伙通过混币器与其他加密货币进行“链跳”操作隐匿资金流向，并利用多层VPN掩盖登录痕迹。 美国检察官丹尼尔·布巴尔表示：“网络犯罪并非无受害者的罪行，这是对我们社区的定向攻击。Gholinejad及其同伙策划的勒索计划扰乱民生、企业及地方政府运作，导致受害者和机构蒙受数千万美元损失。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国运动服饰巨头阿迪达斯披露，攻击者入侵某客户服务提供商后窃取部分客户数据。该公司于5月24日（周五）声明称：“阿迪达斯近期发现未经授权的外部方通过第三方客户服务提供商获取了部分消费者数据。我们立即采取措施控制事件影响，并联合顶尖信息安全专家启动全面调查。” 阿迪达斯补充称失窃信息不包含受影响客户的支付信息或密码，因攻击者仅获取联系方式。公司已就此事通报相关监管机构，并将按法律要求通知受影响的个人。 “阿迪达斯正依照适用法律向可能受影响的消费者、数据保护机构及执法部门发出通知，”声明强调，“我们始终致力于保护消费者隐私与安全，对此次事件造成的不便深表歉意。” 目前阿迪达斯尚未披露事件细节，包括受影响服务商名称、入侵发现时间、受影响人数以及公司自有网络是否遭渗透。当BleepingComputer联系阿迪达斯询问事件进展时，发言人表示“暂无最新消息，周五声明仍然有效”。 本月早些时候，阿迪达斯曾披露影响土耳其与韩国客户的数据泄露事件，涉及2024年及此前联系过客服中心的消费者。失窃信息包括姓名、电子邮箱、电话号码、出生日期与地址。2018年6月，阿迪达斯美国官网遭入侵，导致数百万购物者的联系信息、用户名及加密密码外泄。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越南已命令当地电信服务提供商封禁广受欢迎的即时通讯平台Telegram，理由是国家安全担忧以及该公司涉嫌未能遵守当地法律。 科技部据称表示，Telegram未配合越南当局处理该应用程序上的犯罪活动，包括欺诈和毒品交易。电信公司已被指示实施封禁并于6月2日前报告执行情况。 近期政府报告指控，越南境内可访问的9,600个Telegram频道中有近70%涉及非法活动，包括反政府内容和所谓“颠覆性”文件的传播。当局还指责Telegram在刑事调查期间无视删除非法内容和分享用户数据的要求。 Telegram发言人告诉路透社，公司对封禁决定感到惊讶，并补充称其已及时响应越南的法律请求。该公司未立即回应Recorded Future News的提问。 作为一党制共产主义国家，越南对网络内容保持严格管控，并有施压全球科技公司遵守当地法规的记录。包括自由之家在内的人权监督机构警告称，针对记者、活动人士和用户的审查制度及惩罚措施正在增加。 这不是越南首次与主要科技平台发生冲突。2020年，据报越南曾威胁封禁Facebook，除非其限制更多内容；2023年又以类似指控考虑封禁TikTok。这两个平台目前仍可访问。 Telegram的俄罗斯籍创始人帕维尔·杜罗夫（Pavel Durov）今年早些时候在法国被捕，指控理由是该平台未能遏制网络犯罪和金融欺诈。 杜罗夫被捕后表示，他的目标是让应用程序“更安全、更强大”。 “Telegram用户数量激增至9.5亿导致发展阵痛，这使得犯罪分子更容易滥用我们的平台，”杜罗夫写道。“这就是为什么我把显著改善这方面作为个人目标。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州希博伊根市向约6.7万人发出警告，称2024年10月的勒索软件攻击导致黑客获取其个人信息。市政府于周五向监管机构提交数据泄露通知信，证实黑客在2024年10月31日入侵市政系统时窃取了社保号码、州身份证及车牌号信息。 希博伊根市政府委托网络安全公司展开调查，最终于5月14日确认数据确遭窃取。这座人口约5万的城市此前承认勒索软件团伙Chort宣称对此次攻击负责，但称无证据表明敏感数据遭窃。2024年11月，Chort团伙公开文件档案截图并索要赎金。 市政府已向执法部门报告事件，并在应对过程中“参考其指导意见”。官员表示应急服务仍正常运行，但自11月22日后未再发布进一步更新。市政府在通知信中承诺为受影响居民提供为期一年的身份保护服务。 希博伊根是威斯康星州近两年遭勒索攻击的多个政府实体之一。Chort勒索团伙于2024年11月崭露头角，宣称攻击科威特公共农业与渔业资源局、乔治亚州某公立学校等多家机构。纽约哈特威克学院也出现在该团伙的泄密网站上，校方上月向超4800名受害者发送通知信，证实去年10月遭袭。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   网络安全研究人员发现新型利用Python软件包索引（PyPI）传播机器学习模型恶意载荷的攻击活动。ReversingLabs披露，攻击者通过Pickle文件格式将恶意软件植入伪装成AI工具的开源组件，相关软件包声称提供阿里云AI服务的Python SDK，实际却部署窃密程序。 恶意软件包aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk及aliyun-ai-labs-sdk表面为AI开发工具，实则不包含任何功能性代码。攻击者将信息窃取程序嵌入PyTorch模型文件（本质为压缩的Pickle文件），利用初始化脚本触发恶意载荷。该程序具备以下窃密能力： 窃取用户身份信息及网络配置数据 探测设备所属组织架构 提取.gitconfig版本控制配置文件 研究人员发现，恶意代码专门检测是否存在阿里会议（AliMeeting）开发者特征，显示攻击目标可能聚焦特定区域。 PyTorch模型加载机制与Pickle反序列化漏洞的结合形成攻击突破口。Pickle允许序列化对象执行任意代码的特性，使其成为绕过传统安全检测的理想载体。三个恶意软件包中有两个通过此方式投放全功能恶意程序。ReversingLabs逆向工程师Karlo Zanki指出：“当前安全工具对恶意机器学习模型的检测能力仍处于原始阶段，现有防护体系缺乏针对此类攻击的必要功能。” 尽管PyPI官方已下架相关软件包，但其在存活期间累计被下载约1600次。攻击者可能通过社会工程或钓鱼手段诱导开发者安装，具体诱导方式尚未明确。该事件凸显AI/ML工具成为软件开发核心组件后，亟需建立更严格的文件验证机制与零信任原则来应对ML制品的安全风险。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周二发布新发现的俄罗斯黑客组织“Void Blizzard”的技术文档，警告该组织过去一年持续窃取欧洲与北美政府机构及国防承包商的电子邮件、文件乃至Teams聊天记录。 在与荷兰情报机构联合发布的最新报告中，微软威胁追踪团队指出，该克里姆林宫黑客团队高度依赖网络犯罪经济的低成本资源：从信息窃取市场购买被盗账号密码，用于密码喷射攻击。 微软表示，近几周观察到该组织转向更精准的“中间人鱼叉式钓鱼”战术——通过仿冒域名伪造微软Entra登录页面，并以恶意二维码邀请函伪装成虚假的欧洲防务峰会。“我们评估Void Blizzard正在使用开源攻击框架Evilginx实施中间人钓鱼行动，窃取包括输入的用户名、密码及服务器生成的所有cookie在内的认证数据。”2017年公开的Evilginx是具备中间人攻击能力的广泛传播钓鱼工具包。 微软指出，尽管这些技术属于国家级网络间谍活动的常规手段，但受害者名单与俄罗斯其他网络间谍组织存在重叠。该俄罗斯黑客团队可能正在窃取可反馈至军事或外交决策的战略情报。北约国家与乌克兰仍是主要攻击目标，微软举例乌克兰某航空机构曾遭其他俄罗斯APT组织入侵，显示对空中交通与航天网络的重点关注。 根据微软描述，Void Blizzard的攻击流程简明直接： 窃取凭证 登录Exchange或SharePoint Online 自动化下载可见数据 微软威胁情报中心发现与Void Blizzard关联的“全球云服务滥用活动集群”，警告该组织对关键领域网络的高频攻击加剧北约成员国及乌克兰盟友的风险。在初始入侵后，微软捕获黑客滥用Exchange Online和Microsoft Graph等合法云API枚举邮箱（含共享邮箱）与云端文件的行为。 微软解释称：“账户失陷后，攻击者可能自动化批量收集云端数据（主要是邮件与文件），以及受害者有权访问的其他用户邮箱与文件共享。”在少量确认案例中，黑客通过Microsoft Teams网页客户端监视对话内容。攻击者有时使用公开工具AzureHound枚举受害组织的Microsoft Entra ID配置，获取租户内用户、角色、群组、应用程序及设备信息。 微软透露，自2024年年中以来，已追踪到针对电信、国防供应商、数字服务商、医疗及IT行业的成功入侵案例。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起新型恶意活动，攻击者利用仿冒Bitdefender的虚假杀毒软件下载网站，诱导用户下载名为VenomRAT的远程访问木马。此次攻击的仿冒网站“bitdefender-download[.]com”宣称提供Windows版杀毒软件下载，用户点击页面显眼的“Download for Windows”按钮后，会触发从Bitbucket仓库重定向至亚马逊S3存储桶的文件下载流程。目前该Bitbucket账户现已被封禁。 下载的ZIP压缩包（BitDefender.zip）包含名为StoreInstaller.exe的可执行文件，经分析发现其整合了VenomRAT木马配置、开源后期利用框架SilentTrinity以及StormKitty信息窃取器。VenomRAT作为Quasar RAT的变种，具备数据收集与持久化远程控制能力。DomainTools情报团队指出，该钓鱼网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名存在关联，这些域名此前已被用于窃取登录凭证的钓鱼活动。 攻击技术链显示，VenomRAT负责建立隐蔽通道，StormKitty窃取密码与数字钱包信息，SilentTrinity则确保攻击者维持控制权。研究人员强调：“该活动采用模块化开源组件构建的恶意软件体系，这种’自组装’策略显著提升了攻击效率与隐蔽性。” 同期曝光的另一起ClickFix式攻击活动中，攻击者伪造谷歌Meet页面，利用虚假的“麦克风权限被拒绝”错误提示诱导用户执行特定PowerShell命令，从而部署名为noanti-vm.bat的混淆批处理脚本实现远程控制。此外，针对Meta的大规模钓鱼活动借助谷歌AppSheet无代码开发平台绕过SPF、DKIM等邮件安全协议，通过动态生成唯一案例ID规避传统检测系统。钓鱼邮件伪装成Facebook支持团队，以24小时内提交申诉为由诱骗用户点击链接，跳转至中间人钓鱼页面窃取双因素认证代码。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近期发现GitLab的AI编程助手Duo存在间接提示注入漏洞，攻击者可借此窃取私有源代码并在AI响应中注入恶意HTML代码，进而诱导用户访问钓鱼网站。该漏洞由软件供应链安全公司Legit Security披露，主要影响基于Anthropic公司Claude模型构建的代码编写与审查工具GitLab Duo Chat。 技术细节显示，攻击者只需在合并请求描述、提交信息、问题讨论或源代码注释中植入隐藏指令，即可操控AI助手的行为。通过Base16编码、Unicode字符走私，以及利用KaTeX数学公式引擎将白色文字提示嵌入文档等技术，攻击者能绕过常规检测。漏洞根源在于GitLab未对这些输入内容实施有效清洗，导致AI系统在处理时会全盘解析页面上下文信息。 研究人员成功演示了多种攻击场景：在代码变更建议中注入恶意JavaScript包；伪造安全链接诱导用户提交凭证；利用Markdown流式渲染机制执行窃取私有代码的HTML标签。更严重的是，攻击者可通过特定提示使AI助手自动外泄包含零日漏洞细节的敏感源代码至远程服务器。Legit Security研究员Omer Mayraz指出：“当AI助手深度整合至开发流程时，它们不仅继承了上下文环境，更继承了潜在风险。” GitLab已于2025年2月12日修复了涉及HTML注入的关键问题，但其他不涉及代码执行的提示注入场景尚未修补。公司认为后者不会直接导致未授权访问，因此未被列为安全隐患。此次漏洞披露恰逢多项AI安全研究发布：微软SharePoint Copilot被曝可突破“限制视图”权限获取敏感文件；去中心化AI框架ElizaOS存在指令注入风险，可能引发连锁性资产转移事故。 研究还揭示了当前大语言模型的共性缺陷：除提示注入外，强制模型精简回答会加剧事实性错误。AI测试公司Giskard发现，当要求模型缩短响应时，其倾向于编造不准确信息而非承认知识盲区。趋势科技最新报告警示，提示泄露（PLeak）攻击可能暴露企业内部的过滤规则、权限配置等机密数据，为后续针对性攻击铺路。这些发现共同指向AI系统深度集成业务场景时面临的新型攻防挑战。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密通讯应用Signal于上周五推出全新“屏幕安全”功能，默认阻止Windows 11系统对聊天窗口进行任何形式的截图操作，此举被视为对微软Windows Recall屏幕记录技术的直接反击。该功能启用后，无论是用户手动截屏还是系统自动抓取，Signal聊天界面将仅显示空白画面，关闭此防护需深入设置界面并手动忽略醒目警告。 Signal首席开发工程师约书亚·伦德在声明中指出：“尽管微软迫于舆论压力对Recall进行安全强化，但该功能仍使Signal等隐私优先应用的屏幕内容暴露于风险中。我们别无选择，只能采取主动防御。”微软此前推迟Recall功能的发布，新增存在性证明加密、防篡改机制，并将截图数据存储于操作系统外的安全飞地，但Signal认为这些改进仍存重大设计缺陷。 争议核心在于Recall作为Windows AI核心功能，每五秒自动截取屏幕内容构建可搜索记忆库。伦德批评微软未向开发者提供应用级防护接口是“明显疏漏”，迫使Signal采取非常规手段：“隐私应用理应获得与浏览器无痕模式同等的系统级保护，但微软仅默认豁免了后者。”目前微软尚未对此置评。 此次对抗凸显AI时代操作系统与应用程序的权限博弈。Signal警告称，具备“广泛权限、脆弱安全机制与数据饥渴症”的AI代理正在打破应用与操作系统间的“血脑屏障”，威胁所有隐私保护类应用的生存基础。技术观察人士指出，这场攻防战或将重塑操作系统生态的权力边界，推动行业建立更精细的隐私权限管理体系。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大新斯科舍电力公司于5月23日披露，其遭遇的网络安全事件已被确认为“高度复杂的勒索软件攻击”。此次事件始于3月19日的未授权系统访问，攻击者最终窃取了约28万名客户的敏感数据，占该省55万用户总数的51%。被泄露信息包括： 个人身份信息：姓名、出生日期、电话号码、电子邮箱、实际住址与服务地址 财务数据：预授权支付账户的银行账号、信用卡历史记录、账单明细及消费历史 政府证件信息：驾照号码、社会保险号码 能源使用细节：用电量数据、服务请求记录 尽管攻击者成功侵入商业网络系统，但电力公司强调发电、输电等核心基础设施未受影响。该公司在4月28日与母公司Emera联合发布首次安全通告，5月1日确认数据遭窃，5月14日起陆续向受影响客户发送详细通知信。值得关注的是，攻击者已将被盗数据发布于暗网，但截至5月27日，尚未有任何勒索组织公开宣称对此负责。 新斯科舍电力公司总裁彼得·格雷格在最新声明中明确表示：“我们严格遵循国际制裁法规和执法部门建议，决定不支付任何赎金。”目前该公司正与第三方网络安全专家合作，评估数据泄露的具体范围，并为受影响客户提供为期两年的TransUnion信用监控服务。能源监管机构已启动事件审查程序，重点评估攻击对公共事业运营的长期影响及数据保护机制的改进方案。 此次事件暴露出关键基础设施面临的严峻安全挑战——攻击者通过商业网络与核心运营系统的隔离设计漏洞，成功窃取海量用户数据却未触发物理系统警报。网络安全专家指出，此类“双重隔离失效”现象在北美能源行业已非个案，建议公用事业公司加强供应链安全审计，并建立动态威胁情报共享机制。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家标准与技术研究院（NIST）推出全新漏洞评估指标“可能被利用漏洞（LEV）”，旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示，LEV模型基于2018年由事件响应与安全团队论坛（FIRST）提出的漏洞利用预测评分系统（EPSS）进行优化，旨在提升企业漏洞优先级排序效率。 EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率，其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度，每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括： CVE编号、发布日期及描述 LEV概率值（即历史观测到的利用可能性） 30天窗口期内EPSS评分峰值及出现日期 各窗口期具体评分与对应日期 受影响产品的通用平台枚举（CPE）信息 白皮书提出两种LEV计算模型：标准版采用30天窗口期EPSS原始数据，优化版则将EPSS评分除以30生成单日预测值，后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞（KEV）目录、第三方企业及开源社区的同类数据库结合使用，形成多维度评估体系。研究团队特别指出，现有KEV清单存在覆盖不全的问题，而EPSS模型在设计上无法准确反映历史漏洞的利用情况。 不过NIST也坦承LEV存在误差范围未知的局限性，这主要源于EPSS系统未将历史利用数据纳入评分机制。此外，若某漏洞在30天内遭利用，其后续评分不会因此上调。尽管存在缺陷，NIST期望通过LEV的实践应用，推动漏洞评估体系的持续优化，为网络安全防御提供更精准的决策依据。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲私人飞机运营商Elit Avia近日被曝出现在勒索软件团伙Qilin的暗网泄露站点，攻击者声称窃取了该公司数据并公开了机组人员的护照信息等文件。 Elit Avia总部位于欧洲，主营飞机管理、包机服务及高端商务机销售，成立于2006年。Qilin在暗网发布的帖子包含多张机组人员护照截图及飞行任务文件，但未涉及客户信息。网络安全媒体Cybernews研究团队分析称，现有泄露内容未显示存在重大数据漏洞，但尚无法确认攻击者实际窃取的数据规模。 “机组人员护照信息等敏感数据外泄可能使员工面临钓鱼攻击、身份盗用等风险，”研究团队警告称。目前Elit Avia尚未对此事件作出回应，Qilin团伙则通过公开受害者信息施压企业支付赎金。该团伙自2022年活跃至今，过去12个月累计攻击了至少312家机构，受害者包括美国报业巨头Lee Enterprises、休斯顿交响乐团、底特律公共电视台以及全球能源制造集团SK集团。根据追踪数据，Qilin已成为当前最活跃的勒索组织之一。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： npm软件包注册表中发现多达60个恶意软件包，这些软件包具有收集主机名、IP地址、DNS服务器和用户目录至Discord控制端点的恶意功能。软件供应链安全公司Socket的研究员基里尔·博伊琴科在上周发布的报告中表示，这些由三个不同账户发布的软件包包含在npm安装期间触发的安装时脚本。这些库已被累计下载超过3,000次。 该公司表示：“该脚本针对Windows、macOS或Linux系统，并包含基本的沙箱逃逸检查，使得每个受感染的工作站或持续集成节点都成为有价值侦察信息的潜在来源。”三个账户的名称如下，每个账户在11天内发布了20个软件包，这些账户现已不存在于npm上： bbbb335656 cdsfdfafd1232436437 sdsds656565 根据Socket的说法，该恶意代码明确设计用于对每台安装该软件包的机器进行指纹识别，同时在检测到运行于与亚马逊、谷歌等相关的虚拟化环境时中止执行。收集的信息（包括主机详细信息、系统DNS服务器、网络接口卡（NIC）信息以及内部和外部IP地址）随后被传输至Discord网络钩子。 “通过收集内部和外部IP地址、DNS服务器、用户名和项目路径，它使威胁行为者能够绘制网络图并识别未来活动的高价值目标，”博伊琴科表示。 该披露紧随另一组八个npm软件包之后，这些软件包伪装成React、Vue.js、Vite、Node.js和开源Quill Editor等广泛使用的JavaScript框架的辅助库，但在安装后部署破坏性有效载荷。它们已被下载超过6,200次，目前仍可从仓库下载： vite-plugin-vue-extend quill-image-downloader js-hood js-bomb vue-plugin-bomb vite-plugin-bomb vite-plugin-bomb-extend vite-plugin-react-extend “这些软件包伪装成合法插件和实用程序，同时秘密包含旨在破坏数据、删除关键文件和崩溃系统的破坏性有效载荷，却未被检测到，”Socket安全研究员库什·潘迪亚表示。已发现部分软件包在开发人员于项目中调用时会自动执行，实现与Vue.js、React和Vite相关文件的递归删除。其他软件包则设计用于破坏基本JavaScript方法或篡改localStorage、sessionStorage和cookie等浏览器存储机制。 值得注意的另一个软件包是js-bomb，它不仅删除Vue.js框架文件，还会根据执行时的当前时间发起系统关机。该活动被追踪至名为xuxingfeng的威胁行为者，其还发布了五个正常运行的合法非恶意软件包。部分恶意软件包发布于2023年。“这种同时发布有害和有益软件包的双重策略营造了合法性表象，使得恶意软件包更可能被信任和安装，”潘迪亚表示。 这些发现还紧随一项新型攻击活动的披露，该活动将传统电子邮件钓鱼与作为恶意npm软件包（伪装成良性开源库）组成部分的JavaScript代码相结合。“一旦建立通信，该软件包就会加载并交付第二阶段脚本，该脚本使用受害者的电子邮件地址定制钓鱼链接，将其引导至旨在窃取其凭证的伪造Office 365登录页面，”Fortra研究员伊斯雷尔·塞尔达表示。 攻击的起点是包含恶意.HTM文件的钓鱼邮件，该文件包含托管在jsDelivr并与现已删除的名为citiycar8的npm软件包相关联的加密JavaScript代码。安装后，嵌入在软件包中的JavaScript有效载荷被用于发起URL重定向链，最终将用户引导至旨在捕获其凭证的虚假登录页面。 “这次钓鱼攻击展现了高度复杂性，威胁行为者将AES加密、通过CDN交付的npm软件包和多次重定向等技术相链接以掩盖其恶意意图，”塞尔达表示。“此次攻击不仅说明了攻击者试图逃避检测的创造性方式，还突显了在不断演变的网络安全威胁环境中保持警惕的重要性。” 滥用开源存储库进行恶意软件分发已成为大规模实施供应链攻击的成熟方法。最近几周，微软Visual Studio Code（VS Code）市场中也发现了恶意数据窃取扩展程序，这些扩展程序旨在通过针对Windows上的Solidity开发者来窃取加密货币钱包凭证。 Datadog安全研究团队将该活动归因于其追踪为MUT-9332的威胁行为者。扩展程序名称如下： solaibot among-eth blankebesxstnion “这些扩展程序伪装成合法程序，在真实功能中隐藏有害代码，并使用与Solidity相关且通常不会被标记为恶意的命令控制域，”Datadog研究人员表示。“所有三个扩展程序都采用了涉及多阶段混淆恶意软件的复杂感染链，其中一个扩展程序使用了隐藏在互联网档案馆托管图像文件中的有效载荷。” 具体而言，这些扩展程序被宣传为Solidity开发者提供语法扫描和漏洞检测功能。虽然它们提供真实功能，但这些扩展程序也设计用于交付窃取受害者Windows系统加密货币钱包凭证的恶意有效载荷。这三个扩展程序现已被下架。 VS Code扩展程序的最终目标是植入基于Chromium的恶意浏览器扩展程序，该扩展程序能够掠夺以太坊钱包并将其泄露至命令与控制（C2）端点。它还被配置为安装单独的可执行文件，该文件可禁用Windows Defender扫描、扫描Discord、基于Chromium的浏览器、加密货币钱包和Electron应用的应用程序数据目录，并从远程服务器检索和执行额外有效载荷。 MUT-9332还被评估为最近披露活动的幕后黑手，该活动涉及使用10个恶意VS Code扩展程序（通过伪装成编码或人工智能工具）安装XMRig加密货币挖矿程序。“此次活动展示了MUT-9332在隐藏恶意意图方面令人惊讶的创造性手段，”Datadog表示。“这些有效载荷更新表明该活动可能会持续进行，而首批恶意VS Code扩展程序的检测和删除可能促使MUT-9332在后续活动中改变策略。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）发布警告称，自2022年起活跃的“Silent勒索组织”，简称SRG，又名月蛾、话痨蜘蛛、UNC3753，持续利用IT主题社会工程学通话及回拨式钓鱼邮件攻击美国律师事务所，通过获取系统远程访问权限窃取敏感数据实施勒索。该组织曾参与“BazarCall”恶意活动，并为Ryuk和Conti勒索软件攻击提供初始渗透支持。 FBI在警报中指出：“尽管该组织历史上攻击过多个行业企业，但自2023年春季起持续锁定美国律所，主要瞄准法律行业数据的高度敏感性。”最新监测显示，截至2025年3月，攻击者开始冒充IT支持人员致电员工，诱骗其开放远程访问权限，随后使用WinSCP、Rclone等工具窃取数据，多数情况下无需管理员权限即可得手。这种新型战术虽近期才出现，但已导致多起成功入侵事件。 得手后，该组织通过匿名邮件威胁出售或公开数据，甚至直接致电受害企业员工施压谈判。虽然运营着数据泄露网站，但FBI发现其威胁公示数据的行为存在反复。该组织攻击活动痕迹极少，常借助合法远程工具规避杀毒软件检测。典型攻击迹象包括：未经授权下载Zoho Assist/AnyDesk等工具、异常的WinSCP/Rclone外联流量、匿名组织的勒索来电/邮件，以及催促收件人致电取消订阅的钓鱼邮件。 报告最后建议：“实施基础防护措施，包括保持警惕、使用强密码、多因素认证及安装杀毒软件。针对静默勒索集团应重点采取以下措施：开展反钓鱼培训、制定IT人员身份核验规范、定期备份数据、全员启用双因素认证。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周四宣布捣毁与DanaBot（又名DanaTools）相关的网络基础设施，并对16名涉嫌参与开发部署该恶意软件的个人提起指控。根据司法部声明，这款由俄罗斯网络犯罪组织操控的恶意软件已感染全球超30万台计算机，造成至少5000万美元损失，目前仍有2名俄罗斯籍主犯在逃。 39岁的亚历山大·斯捷潘诺夫（化名JimmBee）与34岁的阿尔乔姆·卡林金（化名Onix）被列为关键嫌疑人。斯捷潘诺夫面临共谋、电信欺诈、银行欺诈等11项指控，最高可判5年监禁；卡林金被指控非法入侵计算机系统等罪名，最高面临72年刑期。起诉书显示，多名嫌疑人因操作失误导致自身设备感染恶意软件，意外暴露真实身份——部分案例系主动测试恶意软件功能，另一些则纯属意外触发。 作为“Endgame行动”的重要成果，执法部门查封了DanaBot的数十台美国境内C2服务器。司法部指出，该恶意软件通过钓鱼邮件传播，构建僵尸网络实施金融欺诈与勒索攻击。DanaBot采用分层代理架构，受害者流量需经2-3层服务器中转才能抵达最终控制端，日常维持5-6台二级服务器在线，主要受害者集中于巴西、墨西哥与美国。 技术分析显示，DanaBot自2018年5月作为银行木马问世后，逐步发展为模块化恶意软件即服务（MaaS）平台，月租费用500美元起。其功能涵盖数据窃取、银行会话劫持、键盘记录、远程控制等，支持通过加密器（如Matanbuchus）与加载器隐匿行踪。2021年1月出现的定制版本专门针对北美与欧洲的军事、外交及政府实体，具备全设备交互记录能力。 值得注意的是，DanaBot在2020年7月至2024年6月期间几乎未通过邮件传播，转而依赖SEO投毒与恶意广告扩大感染。该组织还曾于2022年3月对乌克兰国防部邮箱系统发动DDoS攻击，并运营两个专门从事情报搜集的子僵尸网络（编号24、25），疑似服务于俄罗斯政府利益。 Proofpoint威胁研究员塞莱娜·拉尔森强调：“此类执法行动不仅削弱恶意软件功能，更迫使犯罪者改变策略，动摇黑产生态信任基础。” 本次行动得到亚马逊、CrowdStrike、ESET等十余家企业的技术支持。 同步披露的另一起案件中，48岁莫斯科居民鲁斯塔姆·加利阿莫夫因运营QakBot僵尸网络被起诉。尽管该网络在2023年8月遭国际执法摧毁，但其团伙转向“垃圾邮件轰炸”等新手法，持续散布Black Basta与CACTUS勒索软件。美方已对查获的2400万美元加密货币启动民事没收程序。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 此前曝光的Bumblebee恶意软件SEO投毒攻击活动已扩大攻击面，除此前发现的VMware管理工具RVTools官网仿冒事件外，攻击者正通过更多仿冒知名开源项目的域名实施渗透。安全研究人员发现两起新案例——攻击者分别仿冒网络扫描工具Zenmap（Nmap的图形界面）和网络诊断工具WinMTR的官方网站，这些工具因需要管理员权限运行，成为突破企业网络防御的理想切入点。 仿冒域名zenmap[.]pro和winmtr[.]org被用于传播恶意负载。前者在直接访问时显示与Zenmap相关的AI生成博客内容作为伪装，但当用户通过谷歌、必应等搜索引擎跳转至该域名时，会呈现高度仿真的nmap工具下载页面，提供携带Bumblebee的安装程序“zenmap-7.97.msi”。后者域名当前虽已下线，但攻击链模式如出一辙。 恶意MSI安装包在部署合法软件功能的同时，会植入恶意DLL文件。这种“白加黑”技术与此前RVTools供应链攻击手法完全一致，通过合法程序掩护Bumblebee加载器的运行。该加载器可进行受害者设备指纹采集，并为后续投放勒索软件、信息窃取程序等恶意载荷建立通道。 攻击版图持续扩张，安全团队还发现该活动针对安防领域：仿冒韩华Techwin监控管理软件WisenetViewer，以及视频管理系统Milestone XProtect的官方网站milestonesys[.]org。值得注意的是，正版RVTools下载站点Robware.net和RVTools.com仍处于离线状态，页面仅显示“勿从非官方渠道下载”的警示——这与攻击者通过DDoS攻击瘫痪官网、迫使用户转向恶意站点的策略形成呼应。戴尔科技集团明确否认官方渠道分发过带毒版本，并将官网下线归因于遭受DDoS攻击。 病毒检测数据显示，这些恶意安装包在VirusTotal上的检出率极低：Zenmap相关样本71个引擎中仅33个报毒，WinMTR样本71个引擎中仅28个识别威胁。安全专家建议用户务必通过软件官网或可信包管理器获取工具，安装前需校验文件哈希值与官方发布版本的一致性。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名勒索软件团伙Stormous在暗网论坛发布大量据称属于法国政府机构及组织的电子邮件与密码数据。该团伙声称此次泄露涉及“法国政府重要部门全面数据”，但网络安全研究团队Cybernews调查发现，虽然数据集包含部分真实信息，但其质量存疑。 泄露数据中的密码采用已被安全界普遍认为脆弱的MD5哈希算法加密。研究人员指出：“这可能是早期安全标准尚未完善时期的历史数据。”若数据属实，攻击者可利用这些信息实施精准钓鱼攻击，例如冒充政府机构索要敏感信息，甚至通过破解哈希值获取系统访问权限——尤其当相关机构存在密码复用或弱口令问题时。 被曝光的机构名单包括法国开发署、巴黎大区卫生局、家庭津贴基金、审计法院及农业信贷银行区域分行等。不同机构泄露的邮箱数量差异显著，部分仅涉及数个账户，但攻击者宣称某些机构泄露量达数百条。本媒体已联系法国国家网络安全局（ANSSI）置评，目前尚未获得回复。 值得关注的是，去年法国曾发生涉及9500万公民记录的泄露事件，包含电话号码、邮箱及部分支付信息。Stormous勒索团伙自2022年活跃至今，去年曾宣称攻击比利时啤酒厂商杜威摩盖特集团。据暗网追踪平台Ransomlooker统计，该团伙过去12个月至少入侵34家机构。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年5月19日至22日，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协调发起的“终局行动”（Operation ENDGAME）成功摧毁了全球勒索软件基础设施。执法部门共查封300台服务器和650个域名，并签发20份国际逮捕令。 欧洲刑警组织在新闻稿中披露：“行动周期间，海牙总部设立了指挥中心，来自加拿大、丹麦、法国、德国、荷兰、英国和美国的调查人员与欧洲网络犯罪中心（EC3）及其联合网络犯罪行动特别工作组（J-CAT）展开合作。自2024年调查启动以来，欧洲司法组织始终提供关键司法协作支持，确保各国当局高效交换信息并协调调查行动。” 当局还查获价值350万欧元的加密货币，使累计缴获金额突破2120万欧元。此次行动延续了2024年打击僵尸网络的成果，旨在遏制不断演变的恶意软件威胁和网络犯罪集团。 行动重点打击勒索软件部署前的初始入侵恶意软件，已瓦解包括Bumblebee、Lactrodectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie在内的多个恶意软件家族，这些工具普遍应用于勒索软件即服务（RaaS）模式。执法机构同时针对核心运营者签发20份国际通缉令。 多名恶意软件幕后主脑已被列入国际公开通缉名单。德国将于5月23日起将其中18人列入欧盟头号通缉名单，指控其提供或运营用于重大勒索攻击的工具。 欧洲刑警组织执行主任Catherine De Bolle强调：“即便犯罪分子更新装备重组架构，此次行动再次证明执法部门具备灵活应对能力。通过破坏勒索软件赖以生存的服务链，我们正从源头斩断犯罪生态。”     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文