HackerNews

HackerNews 编译，转载请注明出处： 格拉斯哥市议会近日警告，其四级供应商遭遇的安全事件导致在线服务中断及用户数据面临泄露风险。6月19日，该议会IT服务商CGI发现其分包商管理的服务器存在恶意活动，议会随即隔离相关服务器，引发本地多项数字服务瘫痪。 受影响服务范围 规划服务：在线规划申请查看与评论功能中断 缴费系统：停车罚款、公交车道违章罚单无法在线支付或申诉 民生服务：出生/死亡/婚姻证明申请、垃圾清运日历查询、学校缺勤申报功能暂停 专项门户：Strathclyde养老金会员无法访问SPFOnline门户，登记处预约系统失效 调查与预警 议会正协同苏格兰警方、国家网络安全中心(NCSC)调查事件。目前虽未确认数据是否被盗，但基于预防原则，当局已按“用户数据可能遭窃”向英国信息专员办公室(ICO)报备。官方呼吁市民警惕冒充政府人员的可疑来电或邮件，并强调：“邮件系统未受攻击，但切勿通过邮件泄露银行账户等敏感信息”。 关键安全确认 财务系统未受波及，用户银行账户及信用卡信息未被盗取。安全专家确认攻击源头并非电子邮件渠道。 潜在攻击性质 尽管攻击原因尚未公布，但服务器快速隔离措施及数据窃取特征指向勒索软件攻击。据Sophos最新报告：2024年英国勒索软件攻击中数据加密率达70%（超全球均值），漏洞利用为主要入侵手段，平均赎金金额同比增长逾一倍，且英国受害者支付意愿高于全球水平。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家支持的黑客组织“Educated Manticore”被揭露针对以色列记者、网络安全专家及计算机科学教授发起钓鱼攻击。该组织与伊斯兰革命卫队(IRGC)关联，攻击者通过电子邮件和WhatsApp冒充技术高管或研究人员的虚构助理，诱导目标访问伪造的Gmail登录页面或Google Meet邀请链接。 网络安全公司Check Point将此次行动归因于代号Educated Manticore的威胁集群，该组织与APT35（及其子集群APT42）、CALANQUE、Charming Kitten等十余个知名黑客团体存在重叠。该高级持续性威胁(APT)组织长期采用精心设计的社交工程手段，通过Facebook、LinkedIn等平台虚构身份诱骗目标部署恶意软件。 Check Point指出，自2025年6月中旬伊朗-以色列冲突升级以来，该组织利用定制化的虚假会议邀请（通过邮件或WhatsApp）对以色列个人发动新攻势。由于消息结构严谨且无语法错误，推测其使用人工智能(AI)工具生成内容。其中一则WhatsApp消息甚至利用当前地缘政治紧张局势，以“急需协助开发AI威胁检测系统应对6月12日以来的网络攻击激增”为饵诱导受害者参会。 攻击初期消息不含恶意载荷，专注于建立信任。当攻击者通过对话获取目标信任后，会发送钓鱼链接导向伪造登录页面以窃取谷歌账号凭证。发送链接前，攻击者会索要目标邮箱并预填至钓鱼页面，模仿正规谷歌认证流程提升可信度。该定制钓鱼工具包采用基于React的单页应用和动态路由技术，通过实时WebSocket连接传输窃取数据，并能隐藏代码规避检测。 钓鱼页面不仅能窃取账户凭证，还可捕获双重验证(2FA)码实施中继攻击，并内置被动键盘记录程序——若用户中途放弃操作，所有输入内容仍将被窃取。部分攻击还利用Google Sites域名托管伪造会议页面，点击页面任意位置即触发认证流程。 网络安全专家警示：Educated Manticore在伊朗-以色列冲突升级阶段持续构成高危威胁。该组织以激进钓鱼手段、快速搭建攻击基础设施、及时撤除暴露据点为特征，使其能在严密监控下保持高效攻击能力。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 热门通讯平台WhatsApp推出全新人工智能功能“消息摘要”，该功能利用其自主研发的Meta AI技术为未读聊天消息提供智能摘要服务。该功能目前正面向美国地区用户以英语版本推行，计划于年内扩展至其他语言及地区。 WhatsApp在公告中表示：“该功能通过Meta AI对聊天中未读消息进行私密快速摘要，让用户在仔细阅读前即可掌握消息概要。”摘要功能为可选服务且默认关闭。这家Meta旗下平台同时指出，用户可启用”高级聊天隐私”设置，自主选择共享哪些聊天内容用于AI功能开发。 该功能的核心支撑是今年四月推出的“私有处理”技术。该技术通过Oblivious HTTP(OHTTP)协议在用户设备与可信执行环境(TEE)间建立安全应用会话，在云端机密虚拟机(CVM)的安全环境中处理AI请求。 公司重申该技术能确保任何第三方(包括Meta和WhatsApp自身)均无法查看原始消息内容即可生成摘要。“聊天中其他成员也无法获悉您使用了摘要功能，”声明强调，“这意味着您的隐私时刻受到保护。” 此功能上线之际，美国众议院以安全风险为由将WhatsApp列入政府配发设备的禁用应用清单。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Rapid7周三披露，其研究人员在兄弟牌（Brother）打印机的多功能打印机中发现八个安全漏洞。这些漏洞影响兄弟品牌的689款打印机、扫描仪和标签机，同时部分或全部漏洞也波及富士胶片商业创新（Fujifilm Business Innovation）的46款、理光（Ricoh）的5款、柯尼卡美能达（Konica Minolta）的6款及东芝（Toshiba）的2款打印机。总体而言，数百万台企业及家用打印机因这些漏洞面临黑客攻击风险。 其中最严重的漏洞被标记为CVE-2024-51978（严重等级为“高危”），可使远程未认证攻击者通过获取设备默认管理员密码绕过身份验证。该漏洞可与信息泄露漏洞CVE-2024-51977形成攻击链——后者能窃取设备序列号，而序列号正是生成默认管理员密码的关键要素。 “问题根源在于兄弟设备的默认密码生成机制，”Rapid7解释称，“该机制将序列号转化为默认密码。受影响设备在生产过程中，会根据每台设备的唯一序列号设定此默认密码。”一旦掌握管理员密码，攻击者即可重新配置设备或滥用需认证用户才能访问的功能。 其余漏洞严重等级为“中危”或“高危”，可被用于实施拒绝服务（DoS）攻击、强制打印机开启TCP连接、窃取已配置外部服务的密码、触发堆栈溢出以及发起任意HTTP请求。八个漏洞中有六个无需认证即可利用。 Rapid7约一年前通过日本计算机应急响应中心（JPCERT/CC）向兄弟打印机报告了漏洞。目前厂商已发布安全公告告知客户，并修复了大部分漏洞，但指出CVE-2024-51978无法通过固件完全修补。兄弟打印机表示将通过新生产工艺确保未来设备免疫该漏洞，现有设备则需采用临时缓解方案。JPCERT/CC及理光、富士胶片、东芝、柯尼卡美能达等厂商也同步发布了相关安全公告。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦法院系统首席信息官迈克尔·斯卡德（Michael Scudder）本周向国会委员会作证时表示，国家法院系统正持续遭受日益复杂的黑客攻击。身为联邦法院国家决策机构信息技术委员会主席的斯卡德向众议院司法委员会透露，2024财年法院系统成功拦截了约2亿次针对地方法院局域网的恶意网络攻击事件。 “司法系统不得不应对多轮高度复杂且持续的网络威胁，”斯卡德在书面证词中强调，“鉴于司法机构掌控的敏感信息，我们始终面临着极其严峻且不间断的安全威胁。”他警告称网络攻击未来将更具破坏性，并暗示已发生多起因敏感性而无法公开的网络安全事件。 当前美国法院通过法院电子记录公共访问系统（PACER） 实现法官和律师的电子化文件提交。该系统包含大量密封文件，涉及国家安全信息、经济价值专有证据、起诉书、合作证人姓名及逮捕搜查令等敏感内容。 斯卡德证实，外部专家及其委员会评估认为，由于日益严重的网络安全风险，PACER系统已“不可持续”，必须在未来几年内被更现代化的系统取代。该委员会正主导开发新一代系统，采用“敏捷开发”模式，并在全国法院分阶段试点运行。 这一问题早有预兆。2022年7月，美国司法部高级官员曾向众议院司法委员会披露正在调查一起重大黑客事件。时任委员会主席杰罗德·纳德勒（Jerry Nadler）当时揭露，2020年数据泄露事件中三个敌对外国行为体曾攻击PACER系统，其规模与范围“令人震惊”。 此次听证恰逢司法部申请2026财年7400万美元预算，其中部分将用于联邦法院电子案件系统的全面升级。斯卡德指出，国会已拨付的网络安全专项资金取得“实质性进展”，包括实施多因素认证、完成新身份凭证计划的首阶段（旨在降低对“过时密码模式”的依赖），以及强化网络监控工具、活动日志系统、防火墙和终端防护设备。 “事实证明司法系统是恶意攻击者和网络罪犯窃取机密信息、破坏美国司法程序的高价值目标，”斯卡德总结道，“这些攻击正危及整个司法体系的安全。”目前该委员会正与司法部国家安全司、联邦调查局网络专家、网络安全和基础设施安全局（CISA）及国家网络主任办公室密切协作，共同强化网络防御并调查网络攻击事件。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家医疗服务体系（NHS）证实，去年导致伦敦多家医院血液检测服务瘫痪的勒索软件攻击事件，已直接造成一名患者死亡。 2023年6月，网络犯罪团伙Qilin对伦敦病理服务提供商Synnovis发动勒索攻击，致使伦敦大量NHS医院及医疗机构的服务严重中断。此次攻击导致血液检测效率大幅下降。国王学院医院NHS基金会信托发言人表示，在事件期间，检测延迟构成“多重因素共同作用”，最终导致一名患者不幸身亡。该结论由权威医疗期刊《健康服务期刊》率先披露。 “我们沉痛确认，一名患者在勒索攻击期间意外离世。依据标准流程，我们已对其诊疗过程展开详细审查，”发言人声明，“患者安全事故调查表明，其死亡由多重因素共同导致。其中包括因网络攻击影响病理服务而造成的血液检测结果严重延误。我们已会面告知患者家属调查结果。” 出于患者隐私保护，发言人拒绝透露其他影响因素细节。 Synnovis首席执行官Mark Dollar在声明中回应：“获悉去年恶意网络攻击被确认为患者离世的诱因之一，我们深感悲痛，并向涉事家属致以深切哀悼。” 上月，Recorded Future News披露2024年影响NHS的两起网络攻击已被正式认定存在临床安全风险。除Synnovis事件外，另一起针对Wirral大学教学医院NHS基金会信托的攻击，亦导致癌症治疗服务延误。 据信，Qilin团伙通过勒索手段泄露了超90万人的敏感数据，包括性传播感染和癌症患者的检测结果。数据泄露分析公司CaseMatrix确认，泄露内容涵盖患者姓名、出生日期、NHS编号及联系方式，甚至包含医疗机构间流转的病理学与组织学检查表单。 事件发生一年后，受影响患者仍未获知自身具体哪些数据遭泄露。Synnovis发言人上月表示：“调查已接近尾声，我们正最后确定通报机制，将适时向受影响机构及个人更新信息。” 此次攻击的连锁反应导致全英血液库存锐减——因血液配型功能受限，医生被迫使用万能供血者血型，多家医院濒临仅能向危重患者输血的困境。本月稍早，NHS再度呼吁公众献血以缓解持续低位的血库储备。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mainline健康系统披露了一起影响超过10万人的数据泄露事件。该机构成立于1978年，是一家位于阿肯色州波特兰市的非营利性联邦认证健康中心（Federally Qualified Health Center），服务覆盖阿肯色州东南部地区。通过30多个分支机构（包括校内诊所和社区中心），它提供全面的基础医疗、牙科及行为健康服务。 此次泄露事件共影响101,104人。安全漏洞发生于2024年4月10日左右，波及该机构的内部网络。 “获悉后立即启动全面调查，同时向联邦执法部门通报事件，聘请外部网络安全专家，并对受影响文件展开人工审查。”该机构提交给缅因州总检察长办公室的数据泄露通知函中说明，“2025年5月21日的审查确认，部分包含受保护个人信息的文件在此次事件中遭到未经授权的访问或获取。” 勒索组织INC Ransom宣称对此次攻击负责，并将该机构列入其Tor泄漏站点名单。INC RANSOM自2023年开始活跃，迄今已宣称入侵数十家组织，据公开报道的受害者包括苏格兰国家医疗服务体系（NHS）和美国跨国企业施乐公司（Xerox Corp）。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着近期以色列与伊朗冲突升级，支持巴勒斯坦的黑客行动主义团体 GhostSec 据称已将其攻击焦点转向天基资产，尤其针对以色列卫星。这是他们表达抗议的方式。 GhostSec 长期以来通过实施远比同行更复杂的战术和有针对性行动，在黑客行动主义领域中独树一帜。目前，该组织正专注于攻击 VSAT（甚小孔径终端）系统——一种用于卫星通信的地面终端设备。 这类终端通常关联远程军事、政府及其他关键工业控制设施。尽管该组织常宣称这些行动是对实际在轨“卫星”的攻击，但其真实目标是地面与在轨卫星通信的卫星终端及暴露的网络基础设施。 这是一种操纵天基基础设施的手段。 与想象不同，黑客行动主义者并非使用 RTL-SDR、卫星天线等专门的射频设备来定位、瞄准或入侵卫星基础设施。这是因为 VSAT 终端拥有公共 IP 地址，这意味着它们很容易通过 IP 范围扫描和 Shodan 等工具被发现。 虽然 Shodan 仍是各类黑客的首选资源，但 VSAT 端点也可通过 OSINT（开源情报）方法（如关联卫星 ISP 的 ASN/IP 所有权）暴露出来。此外，还能利用各种 SNMP 枚举技术进行发现，例如以下 Metasploit 模块：auxiliary/scanner/snmp/snmp_enum。 VSAT、SNMP、Shodan 与黑客行动主义 SNMP 指简单网络管理协议（Simple Network Management Protocol），运行于端口 161。大量 VSAT 终端在互联网上暴露了 SNMP 接口。由于使用 Shodan 搜索设备相当简单，用户可以观察到 SNMP 实际上是电信、应急通信和偏远外交前哨广泛使用的协议。 试想一下：一条改变卫星调制解调器设置的 SNMP 写入命令，就可能导致整个区域断网，在战区尤其如此。 暴露 SNMP 接口的 VSAT 终端通常会泄露卫星的识别信息： 设备类型 供应商/制造商（如 Gilat、iDirect、HughesNet 等） 接口名称（如 satEnd0、satUplink、rf0ut 等） 网络拓扑，包括卫星链路、调制解调器、路由行为等 物理位置 上行/下行链路统计数据 GPS 坐标（如已设置） GhostSec 电报频道言论 GhostSec 领袖 Sebastian Dante Alexander 就该组织近期目标表示： “这次针对卫星的最新攻击不同于我们之前入侵这些卫星 GNSS 接收器的行动。我们此次攻击的 VSAT 终端已确认被军方使用。攻击截图显示了攻击步骤。我们成功使攻击的两个 VSAT 终端瘫痪，直到问题解决为止——显然这花了他们超过 24 小时。” 他解释称，该组织使卫星失效，因此以色列军方在停机期间无法获取该卫星的任何信息或继续使用。 在远程部署中，VSAT 终端通常依赖 SNMP 进行日常监控和设备管理。这种轻量级协议使服务提供商能够跟踪关键指标，如运行时间、带宽使用情况和卫星链路性能。它还使操作员能够远程重启设备或调整配置——这在物理访问不切实际的情况下是必要的。 此外，许多 VSAT 出厂时带有默认的 SNMP 团体字符串（community strings），如 public（读权限）和 private（写权限），并且极少被更改。在 VSAT 终端上保留默认 SNMP 团体字符串会构成潜在威胁：拥有 public（读权限）的任何人都可从中提取信息（包括流量日志）。 若保留未更改的 private（写权限）团体字符串，攻击者就能向 VSAT 终端写入数据，这才是真正灾难的开始。拥有 private 字符串的访问权限，攻击者可以重启调制解调器、更改路由表、重新配置上行链路参数，甚至彻底瘫痪或完全禁用 VSAT 终端。 这正是在俄乌战争初期得到证实的网络攻击中发生的情况：2022 年 2 月 24 日（即俄罗斯入侵乌克兰当天），乌克兰的 Viasat KA-SAT 卫星网络遭入侵。该攻击导致数万个地面终端瘫痪，中断了乌克兰军事通信，并造成附带影响——波及德国风力发电场和中欧的民用互联网服务提供商。 GhostSec 的目标 该组织的身份本质上与瞄准高价值网络基础设施相关联。其异常复杂的攻击手段使其区别于大多数黑客行动主义团体——后者通常使用现成工具攻击易得目标，并制造乏味的结果。 2023 年春季，GhostSec 在破坏 11 台全球导航卫星系统（GNSS）接收器后成为头条新闻，这使他们能够清除每台设备的数据，并阻止卫星未来获取任何数据。 然而，GhostSec 当前的攻击虽然与之前类似，但略有不同。 “之前的 GNSS 接收器大多用于图像采集或一般用途。这次，我们瞄准了八颗特定卫星，并成功攻击了其中两颗，在此场景下产生了更大的影响。” GhostSec 的 Telegram 频道揭示了其重燃卫星入侵兴趣背后的意识形态驱动叙事。6 月 13 日，GhostSec 提及巴勒斯坦的压迫和以色列持续升级的错误行为。 “除了关闭 500 多个网站（数量仍在增加）之外，我们还将展示更多攻击成果。我们攻击了以色列境内超过 100 台 Modbus PLC 设备，影响了他们的工业系统和 OT 系统。我们入侵了超过 40 台 Aegis 2 水处理设备，篡改了部分设备界面，并彻底扰乱了其余设备的设置，最终将其全部关闭。” “我们入侵了八台 Unitronics 设备，在对系统进行彻底破坏后，也将其关闭。我们总共入侵了 10 台属于以色列的 VSAT 设备，特别是我们之前帖子中简要提及的卫星，影响了以色列直接拥有和军方控制的卫星。” “我们有着攻击以色列的历史记录，包括所有以往的入侵、数据泄露等等。仅过去一年我们就总计入侵了 700 多台设备，这足以说明问题，但今天我们发起大规模攻击，以继续向他们施压。” 该帖以声援巴勒斯坦的声明结尾。 6 月 11 日的更早帖子展示了该组织的 OSINT（开源情报）技能，他们发布了一份以色列卫星系统及其战略价值的清单。例如，由 Gilat Satellite Networks 开发的 SatTrooper-1000 卫星系统，被用于单兵背负式终端，供地面部队通信使用。 尽管这是公开信息，但 GhostSec 显然正在编制一份类似数字“愿望清单”的军事卫星通信（SATCOM）目标档案。 心理框架效应 此外，该组织利用宣传作为心理放大器的手法，带有心理震慑的成分。与我个人观察到的其他团体不同，GhostSec 向其 3607 名 Telegram 订阅者传递消息的方式可谓独特。 多数团体倾向于复制粘贴我称之为“新闻呕吐物”的内容——作为一种情绪放大器，充斥着半真半假、未经证实的说法和糟糕的新闻报道。因此，成员们对此情绪化回应，而非战术性回应。他们助长了绝望感，这就是为什么如此多的黑客行动主义团体未能取得任何引人注目甚至具有新闻价值的成果。 GhostSec 自信、直接的语气，结合其精准度和掌控力，营造出完全不同的效果——通常被称为通过权威框架实现的“信息主导”。他们可能并未完全意识到这一点，但他们的自信本身就是一种功勋章。 GhostSec 阐述其理念和目标的方式具有强大的心理影响力。对于以色列而言，这可能造成一种印象：其安全、加密的系统正在被分析并准备遭受攻击。 对于 GhostSec 的众多支持者，该组织展现了专业素养和研究能力，强化了其合法性。他们实现这一点的方式不是通过提问或猜测，而是通过以掌控者的姿态呈现机密级别的信息，将整个局势描述为既成事实。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份认证服务商Okta警告称，注册欺诈已达到“惊人”的规模，并声称在2024年，高达46%的客户注册尝试是由机器人发起的。 Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。 Okta表示，注册欺诈尝试的激增逆转了近期下降的趋势，这可能是由AI赋能的攻击流程导致的。 “今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力，” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代，在这个时代里，我们不仅必须问‘谁’值得信任，更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础，从静态策略转向动态策略，并将身份置于核心位置。” 报告指出，欺诈尝试在全年波动显著，在4月6日飙升至近93%，而在2月29日则低至14%。不过，在其他任何一天，该数字都没有低于30%。 零售和电子商务公司受到的打击最为严重，占2024年注册欺诈尝试的69%，其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示，零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。 然而，Okta警告称，注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户，利用沉淀账户在日后绕过安全控制，甚至通过消耗资源来执行拒绝服务(DoS)攻击。 企业面临的挑战在于，如何在加强身份认证安全的同时，不过度增加注册过程的摩擦。 报告还揭示了一个矛盾现象：尽管64%的用户表示担心身份欺诈，72%的用户在注册前会评估公司的安全措施，但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单（62%）最常被用户视为注册或登录过程中的烦恼来源。 如何应对暴力破解攻击？ Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试： 投资于DDoS缓解服务； 部署基于行为分析、威胁情报和反馈循环的机器人过滤技术； 实施速率限制控制； 在达到风险阈值时增加验证码(CAPTCHA)要求； 收紧可疑IP阈值，并实施访问控制列表(ACL)以阻止滥用IP； 在边缘使用Web应用防火墙(WAF)规则拦截恶意活动； 鼓励客户使用通行密钥(passkey)进行注册。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者，至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为，他们扮演着初始访问经纪人（IABs）的角色，即先获取目标的初始访问权限，然后在暗网上将其出售给其他攻击者。 为了实施攻击，黑客通常利用一系列开源工具，包括攻击框架 PoshC2、隧道工具 Chisel，以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤： 攻击者使用 PsExec 远程连接到另一台机器，将其作为代理； 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护，并连接到多台机器； 在部分机器上，攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动，网络流量通过 Chisel 隧道传输； 在其他机器上，攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy（如下图）。来源：Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序（PowerShell、C#.NET 和 Python），并预装了多种攻击模块。 Classroom Spy 具备一系列功能，包括： 实时监控电脑屏幕（包括截图）； 控制鼠标和键盘； 在机器间收集和部署文件； 记录访问的网页； 键盘记录； 录音； 访问摄像头； 打开终端； 收集系统信息； 监控和阻止应用程序。 最后，CL-CRI-1014 采用了多种方法来规避检测，包括使用加壳器、用窃取的签名为其工具进行签名，以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一批新的恶意 npm 软件包，这些软件包与朝鲜发起的持续性攻击活动“Contagious Interview”（传染性面试）有关。 安全公司 Socket 表示，此次供应链攻击涉及 24 个 npm 账户上传的 35 个恶意软件包。这些软件包已被累计下载超过 4000 次。 其中，有六个软件包目前仍可从 npm 下载：react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose 和 router-parse。 每个已识别的 npm 软件包都包含一个名为 HexEval 的十六进制编码加载器。该加载器设计用于在安装后收集主机信息，并有选择地投递后续有效载荷，该载荷负责投递一个已知的 JavaScript 窃密程序 BeaverTail。 BeaverTail 则被配置为下载并执行一个名为 InvisibleFerret 的 Python 后门，从而使威胁行为者能够收集敏感数据并对受感染主机建立远程控制。 “这种嵌套结构有助于该活动逃避基本的静态扫描和人工审核，” Socket 研究员 Kirill Boychenko 说道，“其中一个 npm 别名还附带了一个跨平台键盘记录器软件包，可以捕获每个按键操作，这表明威胁行为者随时准备在目标需要时定制有效载荷以进行更深入的监视。” “传染性面试”（Contagious Interview）是由 Palo Alto Networks Unit 42 于 2023 年底首次公开记录的，是由朝鲜政府支持的威胁行为者发起的一项持续性攻击活动，旨在未经授权访问开发者系统，窃取加密货币和数据。 该攻击群还被广泛追踪，其绰号包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima（著名千里马）、Gwisin Gang（鬼怪帮）、Tenacious Pungsan（坚韧的普山）、UNC5342 和 Void Dokkaebi（虚空德基）。 该攻击群的近期迭代还被发现利用 ClickFix 社会工程学策略来传播 GolangGhost 和 PylangGhost 等恶意软件。该活动子集群被命名为 ClickFake Interview。 Socket 的最新发现表明，平壤的威胁行为者正在采取多管齐下的策略，利用各种方法诱骗潜在目标以采访或 Zoom 会议为借口安装恶意软件。 “传染性面试”的 npm 分支通常涉及攻击者冒充 LinkedIn 上的招聘人员，通过分享托管在 GitHub 或 Bitbucket 上的恶意项目链接（该项目嵌入了 npm 软件包）来向求职者和开发者发送编码任务。 “他们瞄准正在积极求职的软件工程师，利用求职者通常对招聘人员的信任，” Boychenko 说道，“虚假身份会主动联系，通常会使用事先准备好的推广信息和令人信服的职位描述。” 然后，在所谓的面试过程中，受害者会被诱导在容器化环境之外克隆并运行这些项目。 “此次恶意活动凸显了朝鲜供应链攻击中不断演变的伎俩，它融合了恶意软件预演、开源情报 (OSINT) 驱动的攻击和社会工程学，旨在通过可信生态系统入侵开发者。” Socket 说道。 通过在开源软件包中嵌入 HexEval 等恶意软件加载器，并通过虚假的作业分配进行传播，威胁行为者得以绕过外围防御，并在目标开发人员的系统上执行攻击。 该攻击活动的多阶段结构、极小的注册表占用空间以及规避容器化环境的尝试表明，资源充足的对手正在实时改进其入侵方法。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击，通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示，他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体： • 本地存储型：将窃取的凭证写入服务器上可通过互联网访问的本地文件 • 实时外传型：将收集的数据立即发送至外部服务器 该俄罗斯网络安全公司证实，此次攻击已针对全球26个国家的65个机构，这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者，涵盖政府机构、银行、IT公司和教育机构，首次入侵证据可追溯至2021年。 攻击链利用Microsoft Exchange Server中的已知漏洞（例如ProxyShell）向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括： • CVE-2014-4078：IIS安全功能绕过漏洞 • CVE-2020-0796：Windows SMBv3客户端/服务器远程代码执行漏洞 • CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065：Microsoft Exchange Server远程代码执行漏洞（ProxyLogon） • CVE-2021-31206：Microsoft Exchange Server远程代码执行漏洞 • CVE-2021-31207、CVE-2021-34473、CVE-2021-34523：Microsoft Exchange Server安全功能绕过漏洞（ProxyShell） 安全研究人员Klimentiy Galkin和Maxim Suslov指出：恶意JavaScript代码读取并处理身份验证表单的数据，通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数，该函数读取传入请求并将数据写入服务器文件。 包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于：由于无需建立外联流量传输数据，检测概率趋近于零。 Positive Technologies发现的第二种变体则通过XHR GET请求，将编码后的登录名和密码分别存储在APIKey与AuthToken标头中，利用Telegram机器人作为渗透点；另一种方法结合域名系统（DNS）隧道与HTTPS POST请求发送用户凭证，突破组织防御体系。 受感染的服务器中有22台位于政府机构，其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。 研究人员强调：大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面，攻击者得以长期潜伏，同时直接获取明文凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西门子公司周二告知客户，其正与微软合作解决Microsoft Defender防病毒软件（MDAV）与Simatic PCS工业控制系统间的兼容性问题。根据该工业巨头发布的安全通告，核心问题在于Defender当前缺乏“仅警报”功能。 西门子在Simatic PCS 7及PCS Neo过程控制系统的技术文档中，曾建议通过配置Defender实现威胁分级警报——即在检测到特定级别威胁时不自动处置，仅触发告警。但实际运行中存在两类风险： 静默忽略风险 若将威胁响应设为“忽略”，不仅不会采取行动，系统甚至不会向工厂操作员和管理员发送任何警报，导致恶意软件潜伏未被察觉。 误删关键文件风险 若采用其他设置，Defender可能直接删除或隔离被标记为潜在威胁的文件（包括误报文件）。当系统依赖这些文件运行时，将引发生产中断。西门子在通告中强调：“受影响的设备可能完全失效，导致工厂丧失监控与控制能力。” 在微软提供解决方案前，西门子建议客户执行以下应急措施： 风险评估决策：企业需权衡选择——优先接收感染警报（可能面临误报干扰），或容忍文件误删风险（保障系统连续性）。 设备集群化管理：对受影响设备进行分组，根据各组功能重要性配置差异化的Defender策略。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究团队Neural Trust发现名为“Echo Chamber”（回音室）的新型大语言模型（LLM）越狱攻击技术。该技术通过渐进式语义污染与上下文操控，可突破主流AI模型的防护机制，诱导模型生成违禁内容。Neural Trust研究员Ahmad Alobaid在测试中偶然发现此漏洞：“我最初以为系统出错，但持续测试后发现LLM竟如此容易被操控”。 攻击核心原理 三阶段渗透 种子植入：首轮对话嵌入无害但具导向性的语义种子（如“撰写信息控制失败案例研究”），规避内容过滤机制。 引导强化：通过多轮看似中立的追问（如“请重述重点”），诱导模型逐步复述并扩展敏感概念，形成自我强化的语义闭环。 边界突破：当模型在“绿区”（允许内容）积累足够多被污染的上下文后，其内部状态逐渐接受本应被拦截的语义关联，最终生成违禁内容（如武器制作指南）。 与传统攻击差异 区别于微软披露的”Crescendo”攻击（直接引导敏感回答），Echo Chamber利用模型自解释特性，让AI主动构建危险内容框架。 攻击全程避免触发“红区”（如直接提及“炸弹”），仅使用“鸡尾酒”等合法词汇分散组合，使防护系统难以识别意图。 实测威胁数据 成功率：在GPT-4o、Gemini 2.0等模型测试中，生成性别歧视/暴力内容成功率超90%，虚假信息达80%。 效率：平均2-3轮对话即可完成越狱，部分案例仅需单次交互。 低成本性：无需技术背景，攻击者仅需掌握基础对话技巧即可实施。 行业影响与挑战 防御机制失效 传统关键词过滤与单轮提示检测完全失效，因攻击依赖模型自身的上下文记忆与逻辑推演能力。 新型防护方向 Neural Trust建议采用动态上下文可信评估（如语义一致性检测）、设定上下文记忆窗口限制（防止污染延续），这与微软“提示词防护盾”、Anthropic“宪法分类器”的防御思路形成呼应。 研究员警告 Neural Trust安全主管Rodrigo Fernández强调：“该技术可能被大规模用于生成虚假信息、仇恨言论及犯罪指导，全球AI服务商需立即升级防护体系”。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据进攻性安全公司Cobalt的最新报告，约半数（48%）的安全专业人员认为需要对生成式AI部署实施“战略暂停”，以重新校准防御措施。调查显示，绝大多数（94%）的安全负责人和从业者观察到过去12个月内其所在行业的生成式AI采用率显著提升。令人担忧的是，36%的受访者承认生成式AI部署速度已超出其团队管理能力范围。 尽管许多安全专家呼吁暂停部署，Cobalt首席技术官Gunter Ollmann警告此举并不现实：“威胁行为体不会坐等，安全团队同样不能。研究表明生成式AI在重塑工作方式的同时，也在改写风险规则。安全基础必须同步演进，否则我们将在过时的安全措施上构建未来的创新。” 生成式AI主要安全漏洞 约四分之三（72%）的安全从业者将生成式AI列为首要IT风险。受访者指出的主要风险集中于数据安全与准确性：敏感信息泄露（46%）、数据模型投毒与窃取（42%）、数据不准确（40%）及训练数据泄露（37%）位列前四。尽管风险高企，33%的安全团队未对其大语言模型（LLM）部署实施定期渗透测试等安全评估。 Cobalt自2022年开展LLM测试以来的评估显示，生成式AI工具中约32%的漏洞属于高风险类别，这是所有资产类型中高危漏洞占比最高的领域。其中仅21%的高危漏洞得到修复，修复率在所有渗透测试类型中最低。传统Web漏洞在生成式AI系统中依然突出：SQL注入（19.4%）和存储型XSS（9.7%）占比最高，这表明部署LLM应用时仍需遵循严格的输入验证、安全编码和系统配置等基础安全实践。 渗透测试还发现多类LLM特有漏洞： • 诱导生成不当内容：通过精心设计的输入提示绕过内容过滤器 • 诱导泄露敏感数据：利用提示注入技术使LLM泄露个人身份信息等数据 • 模型拒绝服务攻击：通过API发送大量复杂查询导致服务中断 • 越权操作：通过精细化交互使LLM执行超出权限范围的操作 报告强调：“这些案例证明，发现涉及复杂提示操纵的LLM特有漏洞需要高水平人工专业能力和创新测试方法。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赫尔辛基2024年发生的数据泄露事件影响了超过30万人的敏感个人信息，为网络安全专业人士提供了宝贵的教训。 芬兰安全调查局 (SIAF/OTKES) 对这起事件进行了长达一年的调查，并于2025年6月17日发布了技术报告。 芬兰国家网络安全中心（NCSC-FI）高级专家马蒂亚斯·梅西娅 (Matias Mesia) 领导了该机构的任务小组，协助赫尔辛基从泄露事件中恢复。 在6月23日于哥本哈根举行的FIRSTCON会议上，他分享了关于该事件的见解以及用于遏制和缓解泄露的策略，为面临类似网络安全挑战的其他人提供了实用指导。 关于赫尔辛基2024年数据泄露的见解 赫尔辛基拥有约4万名员工和4-5亿欧元（4.6-5.8亿美元）的预算，它不仅是芬兰的首都和最大城市（2025年3月吸引了全国12%的人口，即686,595名居民），也是该国最大的雇主。 4月30日晚上11点30分，赫尔辛基市有人向NCSC-FI报告了一起潜在的数据泄露事件。在次日（5月1日）早期媒体报道后，赫尔辛基于5月2日公开发布声明，确认泄露影响了该组织的教育部门（KASKO）。 在赫尔辛基市、NCSC-FI 以及一家私营数字取证和事件响应 (DFIR) 合作伙伴展开调查的数日内，受感染的设备被确认。这是一台由KASKO用作VPN连接接收路由器的思科ASA 5515防火墙设备。该硬件于2014年安装，最后一次更新是在2016年。2017年，负责该设备的人员离开了组织。 攻击者的作案手法也在调查早期被确认。攻击始于暴力破解，随后通过用户计算机与路由器之间的远程连接（利用思科AnyConnect软件）进行漏洞利用。设备崩溃后，攻击者（使用在暗网上找到的凭证登录）得以在内部系统中横向移动，并获得了对微软Active Directory、虚拟化服务器和备份服务器的特权访问权限，从而窃取数据。 赫尔辛基市很快意识到数据量相当巨大（约1000万份文件或2TB数据被盗），最初估计有12万人可能受影响，随后重新评估为15,000人，最终确定为超过30万人。 受害者范围广泛，包括城市雇员、儿童保育津贴申请人、私立学校工作人员、融合培训学生、2005年至2018年间出生的学生及其亲属等。 “然而，我们很早就知道没有密码被泄露，也没有收到勒索要求，”梅西娅在FIRSTCON的演讲中表示。 此外，至今未对事件进行归因。“警方仍在调查此案，”梅西娅在会后告诉Infosecurity。 NCSC-FI在事件响应过程中的角色 赫尔辛基数据泄露事件是NCSC-FI以最高参与级别（该机构称为“特殊案件”）处理的18起案件之一。 NCSC-FI于2024年5月9日开始协助赫尔辛基市，投入10至20名工作人员直至2024年6月，其中一半专注于技术修复，其余人员负责合规、沟通和数据泄露报告等各种任务。 在其各项贡献中，NCSC-FI为赫尔辛基市的调查提供建议，协助策划新闻发布会，提供定制场景，并于2024年5月底协调举办了一场专家研讨会，参与者包括芬兰各市镇的管理团队和安全专家。 2024年5月30日，NCSC-FI工作人员举行了一次内部“经验教训”会议，涵盖五个领域，后来形成了五份专题“经验教训”报告： 组织、协调与领导报告 案件协调报告 技术报告 法律报告 沟通报告 NCSC-FI成员继续向赫尔辛基市提供IT技术指导，直到6月底案件“平息下来”，正如梅西娅在FIRSTCON上所言。 “我们还发布了一份40页的文件，介绍如何创建高效的事件响应任务小组，”梅西娅补充道。 2024年7月，SIAF开始了自己的取证调查。 经验教训与未来发展 梅西娅在接受Infosecurity采访时分享了他在赫尔辛基案件中的三大收获： 涉及边缘设备（尤其是未打补丁或过时的设备）被入侵的网络事件应被视为严重事件。 组织应为事件响应和业务连续性流程做好后勤准备，包括确定要使用的通信工具以及建立操作模板。 组织应在任务小组中纳入各种不同背景的人员，包括有网络事件经验的人员和没有经验的人员。 此外，在演讲中，这位NCSC-FI高级专家分享了一些给事件响应者的个人建议： 保持聊天记录整洁——不发表情包，不闲聊。 合作并委派任务。 使用时间线，特别是向领导团队解释正在发生/已经发生的事情。 反复扫描您的网络。 在组织内部和公众中分享关于事件的信息——因为如果您不这样做，总会有人来填补信息真空。 谨慎处理信息。 尊重政治和媒体。 最后，梅西娅告诉Infosecurity，赫尔辛基事件促使NCSC-FI开发一个新的三级系统来评估网络事件，以确定该机构应投入多少精力（即应有多少NCSC-FI人员参与处理案件）。 该框架仍在开发中，但可能会将事件分为三个优先级： 中等优先级：由少数NCSC-FI工作人员处理。 高优先级：由最多10名NCSC-FI工作人员处理。 关键优先级：由超过10名NCSC-FI工作人员全力处理事件。 梅西娅宣布：“我认为明年在FIRSTCON上，我们可以准备一个很好的演示来介绍这个即将推出的框架。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国驻印度大使馆宣布，申请F类（学生签证）、M类（职业培训签证）及J类（访问学者签证）的非移民签证申请人须将其社交媒体账户设为公开状态。新规旨在协助官员依据美国法律核实申请人身份及入境资格，使馆强调“每项签证审查都是国家安全决策”。 即日起生效的强制要求规定：所有申请上述签证的印度学生、职业培训生及交流访问学者，必须在提交签证申请前将所有个人社交媒体账户隐私设置调整为“公开”，以便官方开展身份核验与入境许可审查。若拒绝公开账户，可能构成拒签依据。 使馆声明指出，美国自2019年起已要求移民/非移民签证申请人提供社交媒体标识符。审查过程中将运用任何“可用”信息甄别不符合入境条件者，包括威胁国家安全人员，但未具体说明审查细则。 该政策正在全球多国同步推行。例如美国驻墨西哥大使馆要求申请人申报近五年使用过的所有社交媒体账号。此次调整源于特朗普政府数周前指令——全球使领馆曾暂停学生签证预约以扩大社交媒体审查范围，上周国务院重启流程时新增账户公开审查要求。 国务院最终声明明确：“美国必须在签证发放过程中保持警惕，确保申请人无伤害美国公民及国家利益的意图，并能可信证明其符合签证资格及入境目的。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trend Micro研究人员苏尼尔·巴蒂与舒巴姆·辛格近期分析指出，攻击者正利用配置不当的Docker API访问容器环境，并通过Tor匿名网络隐匿行踪，在易受攻击环境中秘密部署加密货币挖矿程序。 攻击技术链分析 初始渗透 攻击始于IP地址198.199.72[.]27向目标机器发送请求，尝试获取所有容器列表。若未发现活跃容器，攻击者基于“alpine”Docker镜像创建新容器，并将物理/虚拟主机的根目录（“/”）以“/hostroot”名称挂载为容器卷——此操作使攻击者能访问并修改主机文件，导致容器逃逸风险。 隐匿通道建立 通过Base64编码的shell脚本在容器创建阶段植入Tor，连接至.onion域名（wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion）获取远程脚本。研究人员强调：“此举反映攻击者惯用策略——通过Tor隐藏命令控制(C&C)基础设施，规避检测并在云/容器环境投递恶意载荷。” 持久化与控制 部署“docker-init.sh”脚本修改SSH配置：启用root登录并向~/.ssh/authorized_keys添加攻击者密钥。同时安装masscan、libpcap、zstd、torsocks等工具，通过socks5h协议将所有流量及DNS解析路由至Tor增强匿名性。 加密货币挖矿 最终投递XMRig加密货币挖矿程序，包含预配置的矿池地址及攻击者钱包。该方案能规避检测并简化在受控环境中的部署流程，主要针对科技公司、金融服务及医疗机构。 行业安全态势关联 此攻击印证了针对配置缺陷云环境的加密劫持趋势持续蔓延。 云安全公司Wiz最新扫描显示：公共代码仓库的mcp.json、.env等配置文件中存在数百个有效密钥（含30余家企业的Fortune 100公司凭证），这些资源正成为攻击者“宝藏”。 研究人员警告：“Python笔记本等代码执行结果应视为敏感信息，其内容可能为攻击者提供关键侦察情报。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国众议院正式禁止国会工作人员在政府配发设备上使用WhatsApp，理由是该应用存在安全风险。Axios率先报道了这一决定。 据众议院首席行政官（CAO）声明，此举源于对该应用安全性的担忧。CAO在备忘录中指出：“网络安全办公室认定WhatsApp对用户构成高风险，因其数据保护机制缺乏透明度、存储数据未加密，且使用过程存在潜在安全隐患。”因此，工作人员不得在政府配发的任何设备（包括手机、电脑及网页版）上安装该应用。 WhatsApp母公司Meta对此提出反驳，强调该平台默认采用端到端加密，其安全级别“高于CAO批准名单中的多数应用”。Meta传播总监安迪·斯通在社交平台X上回应：“我们以最强烈措辞反对众议院首席行政官的定性。我们知道议员及工作人员长期使用WhatsApp，期待众议院能像参议院那样正式批准其使用。” CAO推荐工作人员使用Microsoft Teams、亚马逊Wickr、Signal、苹果iMessage及FaceTime作为合规替代品。WhatsApp成为继TikTok、OpenAI ChatGPT及DeepSeek之后，众议院最新封禁的应用。 值得补充的是，上周Meta曾宣布将在WhatsApp引入广告，但承诺“绝不牺牲用户隐私”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大钢铁生产商纽柯公司（Nucor）确认，近期网络安全事件的攻击者已从其网络中窃取数据。这家钢铁巨头在美国、墨西哥和加拿大的300余家工厂雇佣超3.2万名员工，去年营收达307.3亿美元。 纽柯于上月首次披露该事件，称其主动断开部分系统网络连接以遏制安全漏洞，并暂停了多家工厂的生产运营。公司表示已通知执法部门，并聘请外部网络安全专家协助恢复与调查工作。 在向美国证券交易委员会（SEC）提交的最新文件中，纽柯虽未透露事件细节，但明确承认攻击者从受入侵系统盗取了数据。公司声明指出：“此次网络安全事件导致支持部分生产基地运营的信息技术应用临时受限。如初始8-K文件所述，出于审慎考虑，我们主动暂停了多个地点的特定生产作业。”“调查同时确认威胁行为者从本公司信息系统窃取了少量数据。公司正在评估受影响数据范围，并将依法向可能涉及的各方及监管机构履行告知义务。” 纽柯表示已完成受影响系统的访问恢复及生产运营重启，并确信威胁行为者已被清除出公司网络。目前公司尚未公布漏洞发现的具体日期或攻击类型，因此无法确定攻击者是否对入侵系统进行了加密。 截至发稿，尚无勒索软件组织宣称对此次攻击负责。但需注意的是，多数勒索组织在部署加密程序前会实施数据窃取，以此构成“双重勒索”策略。BleepingComputer已联系纽柯寻求更多信息，但尚未获得回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文