HackerNews

HackerNews 编译，转载请注明出处： 美国主要财产保险公司伊瑞保险（Erie Insurance）近日向监管机构及客户通报了一起网络安全事件及相关网络瘫痪。作为财富500强企业，该公司拥有超7000名员工和14000名代理人，其母公司伊瑞赔偿公司（Erie Indemnity Company）去年营收近40亿美元，目前持有超600万份有效保单。 然而，该公司昨日警告客户称，因上周六（6月7日）确认的“信息安全事件”导致“持续网络瘫痪”。公司官网公告声明： “6月7日星期六，伊瑞保险信息安全团队发现异常网络活动。我们立即采取行动应对此情况以保护系统和数据。自周六起，我们持续实施防护措施保障系统安全。 停电期间，伊瑞保险不会致电或发送电子邮件要求客户付款。最佳做法是：勿点击未知来源链接，勿通过电话或电子邮件提供个人信息。” 后一项提示表明，该公司担忧网络犯罪分子可能已获取客户数据，或正利用本次事件发起钓鱼攻击。 美国证券交易委员会文件显示，除已通报执法部门及正在执行事件响应协议外，暂无其他进展说明： “公司持续采取防护措施，并在领先第三方网络安全专家协助下开展全面的取证分析，以彻底查明事件全貌。鉴于事件发生时间较短，调查与响应仍在进行中，事件完整范围、性质及最终影响尚不明确。” 尽管具体细节未明，此次网络瘫痪极可能是该公司为遏制攻击影响范围而主动采取的隔离措施。鉴于保险公司持有大量敏感客户数据，它们已成为网络攻击的高频目标。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。 企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。” TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。 虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。 按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。” 此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Infoblox在一份提供给The Hacker News的深度报告中披露，VexTrio Viper流量分发系统（Traffic Distribution Service, TDS）背后的威胁行为者已被证实与其他TDS服务（如Help TDS和Disposable TDS）有关联。这表明该复杂的网络犯罪行动本身就是一个庞大的企业，旨在分发恶意内容。 “VexTrio是一个由恶意广告技术公司组成的团体，它们通过不同的广告形式（包括智能链接和推送通知）分发诈骗和有害软件。”Infoblox在报告中指出。 VexTrio Viper旗下的部分恶意广告技术公司包括Los Pollos、Taco Loco和Adtrafico。这些公司运营着所谓的商业联盟网络（commercial affiliate network），该网络将恶意软件行为者（其网站会吸引毫无戒心的用户访问）与所谓的“广告联盟会员”（advertising affiliates）连接起来。后者提供各种形式的非法活动，如礼品卡欺诈、恶意应用程序、网络钓鱼网站和诈骗活动。 运作模式解析 简而言之，这些恶意流量分发系统旨在通过智能链接（SmartLink）或直接报价（direct offer）将受害者重定向至其目的地。根据该DNS威胁情报公司的说法，Los Pollos招募恶意软件分发者（即发布联盟会员/publishing affiliates），承诺提供高回报报价；而Taco Loco则专注于推送变现（push monetization），并招募广告联盟会员。 WordPress网站成为跳板 这类攻击的另一个显著特点是WordPress网站被攻陷，并被注入恶意代码以启动重定向链，最终将访问者引导至VexTrio的诈骗基础设施。此类注入的示例包括Balada、DollyWay、Sign1以及DNS TXT记录活动。 域名注册商GoDaddy在2025年3月发布的一份报告中指出：“这些脚本通过关联VexTrio的流量代理网络将网站访问者重定向到各种诈骗页面。VexTrio是已知最大的网络犯罪联盟网络之一，它利用复杂的DNS技术、流量分发系统和域名生成算法在全球网络中传播恶意软件和诈骗。” 打击行动与后续变化 VexTrio的运营在2024年11月中旬左右遭受打击。此前，网络安全组织Qurium揭露瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分，导致Los Pollos停止了其推送链接变现服务。这进而引发了“出逃潮”，严重依赖Los Pollos网络的威胁行为者被迫转向其他重定向目的地，例如Help TDS和Disposable TDS。 两个独立C2集群的行为演变 Infoblox对来自受感染网站的450万条DNS TXT记录响应进行了为期六个月的分析。分析显示，参与DNS TXT记录活动的域名可分为两个集合，每个集合拥有各自独立的命令与控制（C2）服务器。 “两台服务器都托管在与俄罗斯有关联的基础设施上，但它们的托管服务及其TXT响应内容并无重叠，”该公司表示。“即使两者最初都指向VexTrio，随后又指向Help TDS，但每个集合都维持着不同的重定向URL结构。” 进一步的证据表明，Help TDS和Disposable TDS实际上是同一个服务。并且，在2024年11月之前，该服务与VexTrio保持着“独家关系”。历史上将流量重定向至VexTrio域名的Help TDS，现已转向Monetizer——一个利用TDS技术将发布联盟会员的网络流量与广告商连接起来的变现平台。 Help TDS的俄罗斯背景 “Help TDS与俄罗斯有紧密联系，其托管和域名注册经常通过俄罗斯实体完成，”Infoblox描述道，并称其运营商可能是独立的。“它不具备VexTrio TDS的完整功能，并且除了与VexTrio诡异的联系外，没有明显的商业往来。” 恶意广告技术公司生态 VexTrio只是众多被揭露为商业广告技术公司的TDS之一，其他还包括Partners House、BroPush、RichAds、Admeking和RexPush。其中许多公司专注于推送通知服务，利用Google Firebase Cloud Messaging (FCM) 或基于Push API定制开发的脚本，通过推送通知分发指向恶意内容的链接。 规模与追责困境 Infoblox强调：“全球每年有数十万个被入侵的网站将受害者重定向到VexTrio及其联盟TDS的复杂网络中。VexTrio和其他联盟广告公司知道恶意软件行为者是谁，或者他们至少掌握足够的信息来追踪这些人。许多公司都在要求某种程度‘了解你的客户’（Know Your Customer, KYC）的国家注册，但即使没有这些要求，发布联盟会员也会受到其客户经理的审查。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Bitsight近日发布警报，全球超过40,000台监控摄像头正通过互联网暴露实时画面，任何知晓其IP地址的用户均可通过网页浏览器直接访问这些设备的直播流。这些设备因采用HTTP或RTSP（实时流传输协议）运行，已成为网络攻击、间谍活动、敲诈勒索及恶意监控的意外工具。 技术原理与设备分类 HTTP摄像头 主要采用标准网络技术传输视频，常见于家庭及小型办公场所。部分设备完全暴露于公网，攻击者可直连管理界面获取视频流；另有设备虽需认证，但若通过API接口提交正确URI参数，仍能获取实时画面截图。 RTSP摄像头 专为低延迟连续视频传输设计，多用于专业安防系统。该类设备虽更难被识别，但研究人员发现其仍能响应通用URI请求并返回实时截图。 地域与行业分布 重灾区国家： 美国（超14,000台）居首，日本（约7,000台）次之；奥地利、捷克、韩国（各约2,000台）；德国、意大利、俄罗斯（各约1,000台）。 美国境内热点：加利福尼亚州、得克萨斯州设备最多，佐治亚州、纽约州、密苏里州、马萨诸塞州及佛罗里达州亦属高暴露区域。 行业风险层级： 电信业占比79%（主因家庭监控设备关联用户宽带IP） 科技行业（28.4%） 媒体/娱乐业（19.6%） 公共事业机构（11.9%） 商业服务（10.7%） 教育机构（10.6%） 潜在威胁与黑产利用 暗网论坛监测显示，黑客正积极搜寻暴露设备。这些摄像头不仅直接威胁个人隐私（如办公室、工厂、酒店等场所画面遭窥视），更可能被卷入僵尸网络，或成为渗透企业内网的攻击跳板。研究团队已发现设备覆盖餐厅、健身房、零售店等多种敏感场景。 Bitsight强调用户需立即采取以下行动： 强化网络认证：更换设备默认登录凭证，启用强密码策略 控制访问权限：关闭非必要的远程访问功能 系统持续更新：定期升级摄像头固件修补漏洞 异常行为监控：审计设备登录日志，排查可疑访问 公司警示：“无论是家庭用户还是企业管理者，采取正确防护措施将决定监控画面属于私人领域还是向全世界公开。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列研究人员近日发现一种名为“SmartAttack”的新型数据窃取技术，该技术利用智能手表作为隐蔽的超声波信号接收装置，从物理隔离的气隙系统中窃取数据。气隙系统广泛应用于政府设施、武器平台和核电站等关键任务环境，通过物理隔绝外部网络来防范恶意软件感染和数据窃取。尽管如此，系统仍面临内部人员威胁（如恶意员工使用USB设备）或国家级供应链攻击的渗透风险。 攻击流程分为三个阶段： 系统渗透 攻击者首先需通过U盘植入等方式使气隙系统感染恶意软件，该程序可窃取键盘记录、加密密钥等敏感信息。 超声波信号传输 恶意软件通过计算机内置扬声器发射18.5kHz（代表“0”）和19.5kHz（代表“1”）的超声波信号，采用二进制频移键控（B-FSK）技术将数据编码为声波。此频率超出人耳听觉范围，但可被附近人员佩戴的智能手表麦克风捕获。 数据外泄 智能手表上的监听程序通过信号处理技术解调声波频率，将二进制数据还原。窃取的信息最终通过手表蓝牙、Wi-Fi或蜂窝网络传输至外部攻击者。攻击可能由恶意员工主动配合实施，也可能在用户不知情时通过感染手表完成。 攻击性能与局限 传输距离：受限于智能手表麦克风的低信噪比特性，有效传输距离为6-9米（20-30英尺），且手表需与计算机扬声器保持视线无障碍 传输速率：实际速率仅5-50比特/秒，速率提升或距离增加将显著降低可靠性 环境干扰：键盘敲击等背景噪音会影响信号接收（参见图示） 防御建议 设备管控：在安全敏感区域全面禁用智能手表 硬件改造：移除气隙系统内置扬声器，彻底消除声学攻击面 技术防护：采用超声波干扰（发射宽带噪声）、软件防火墙或音频隔离技术作为补充方案 该研究由以色列本·古里安大学的Mordechai Guri教授团队主导。Guri此前还开发过利用屏幕噪声、内存调制、LED信号、USB射频等物理介质的数据窃取技术。尽管此类攻击在实施层面存在较高难度，但其创新性揭示了物理隔离系统的潜在脆弱性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp于周三宣布，将介入苹果公司与英国政府之间的法律诉讼案，该案争议焦点在于iPhone制造商是否应被迫保留对其用户iCloud账户内容的访问权限，以满足法律搜查令要求。此案源于今年四月英国调查权力法庭（该国唯一可审理特定国家安全案件的法院）的裁决，该裁决确认苹果正就一项秘密法律命令起诉英国政府。 WhatsApp负责人威尔·卡思卡特声明，已“申请介入本案，以保护全球用户的隐私”。他批评道：“自由民主国家本应为其公民提供最佳安全保障，但英国却通过秘密命令背道而驰。此案可能树立危险先例，助长各国破坏保护私人通信的加密技术。”卡思卡特强调：“WhatsApp将挑战任何试图削弱服务加密机制的法律或政府要求，并继续捍卫人们在线私人对话的权利”。 据广泛报道，英国政府此前向苹果发出“技术能力通知”（TCN），要求其停止部署“高级数据保护”功能。这项可选功能将使iCloud存储内容实现端到端加密，导致苹果即使收到合法搜查令也无法向当局提供数据访问权限。英国政府依政策既不证实也不否认具体法律要求的存在。苹果随后于二月关闭了对英国用户的该功能，但未说明具体原因。 虽然法律未禁止报道TCN存在，但通知对象被要求不得披露内容，违者可能面临刑事诉讼（尽管对该法律解释存在争议）。《华盛顿邮报》一月曝光该TCN时，曾将其描述为“允许英国当局获取全球苹果用户云端数据的后门”，但依据法规，TCN实际功能与此不符。尽管存在潜在误读，英国政府未回应外界对其法律通知隐私影响的担忧。 专家（包括英国情报界内部人士）主张，政府访问加密通讯平台的尝试应更透明。学者认为英国内政部持续“不承认也不否认”的态度既不可持续也不合理。四月法庭裁决后，政府发言人首度回应舆论质疑：“技术能力通知本身不直接提供数据访问权限，仍需配合针对性搜查令和授权。其目的仅是确保现有权力可有效行使，纯粹是为打击严重犯罪追捕罪犯，不影响对言论自由的承诺。” 英国政府此前指责苹果部署高级数据保护功能属“单方面行动”，将“阻碍恐怖主义和严重虐童案件调查，严重危及公共安全”。调查权力法庭目前尚未公布本案后续审理时间表。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Roundcube关键远程代码执行漏洞（CVE-2025-49113）补丁发布数日后即遭利用，全球超80,000台服务器受影响。该流行网页邮件平台长期遭APT28、Winter Vivern等高级威胁组织锁定，攻击者惯用此类漏洞窃取登录凭证并监控敏感通信，凸显未修复系统（尤其高价值目标）持续面临严峻风险。 此CVSS评分高达9.9的关键漏洞潜伏十余年后于上周曝光，攻击者可借此完全控制受感染系统执行恶意代码，致使用户及机构陷入重大危机。漏洞发现者FearsOff创始人基里尔·菲尔索夫评估其影响超5,300万台主机（涵盖cPanel、Plesk等管理工具）。美国国家标准与技术研究院（NIST）公告指出：“Roundcube Webmail 1.5.10之前版本及1.6.x系列1.6.11之前版本存在安全隐患，因program/actions/settings/upload.php未验证URL中的_from参数，导致经身份验证的用户通过PHP对象反序列化实现远程代码执行。” 该漏洞已在1.6.11与1.5.10 LTS版本修复。漏洞披露后，Positive Technologies团队成功复现攻击链，强烈建议用户立即升级。Shadowserver基金会监测显示，目前仍有约84,000个暴露于公网的Roundcube实例未打补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mount Rogers社区服务机构（心理健康服务提供商）出现在勒索团伙INC Ransom的暗网泄密网站上，攻击者宣称从其系统中窃取了大量隐私数据。勒索组织选择攻击目标时往往毫无顾忌，此次受害的Mount Rogers主要提供心理健康、发育障碍及药物滥用治疗服务。 本媒体已联系Mount Rogers机构寻求回应，将在获得回复后更新进展。网络犯罪分子常以泄露窃取数据胁迫支付赎金，为证实攻击有效性，威胁者公开了部分样本数据。经Cybernews研究团队核验，泄露样本包含以下内容： 姓名、住址 薪资单、发票单据 个人邮箱、内部通讯及保密协议 研究人员指出，尽管数据敏感性有限，但攻击者可利用这些信息实施网络钓鱼或身份盗窃。薪资单和内部文件可能被用于社会工程攻击，进一步渗透企业系统，此次泄露或将严重损害机构声誉并引发法律风险。 心理健康服务机构近期频遭针对性攻击： 行为健康中心Community Counseling of Bristol County（CCBC）此前遭入侵导致敏感健康信息泄露 本月初佐治亚州心理卫生协会（MHA）被攻破，患者诊断记录及处方药物信息遭窃 INC Ransom是当前最活跃的勒索组织之一： 2023年7月首次现身，攻击目标持续升级 受害者涵盖美国国防承包商Stark AeroSpace、旧金山芭蕾舞团、英国莱斯特市政府、苏格兰邓弗里斯-加洛韦卫生委员会及施乐公司 据Cybernews暗网监测工具Ransomlooker统计，过去12个月累计攻击163家机构       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Malwarebytes最新研究显示，近半数（44%）移动用户每日遭遇诈骗威胁，多数用户担忧重要文件丢失及生产力损失。该公司对美国、英国、奥地利、德国和瑞士的1300名成年人开展调查并发布《点击、滑动、诈骗》报告。 尽管报告聚焦个人安全威胁，但鉴于大量企业允许自带设备（BYOD），这些风险正持续向企业领域蔓延。数据显示美国（51%）和英国（49%）用户风险暴露率最高。 核心发现： 识别难度激增 66%受访者承认难以辨别诈骗与合法通讯，超三分之一（36%）曾因此受害，近五分之一（36%）遭遇过恶意软件感染。 攻击渠道分布 主要威胁渠道包括：电子邮件（65%）、电话（53%）、短信（50%）、社交媒体（47%）、即时通讯软件（40%）及交易平台（36%）。 社会工程主导 53%用户遭遇过社交工程攻击，其中19%受害。这与Zimperium研究相印证：2024年9月数据显示82%钓鱼网站针对移动设备，同年8月每日移动钓鱼攻击峰值超1000次。 勒索威胁蔓延 37%用户遭遇勒索类威胁，17%实际受害，具体包括：勒索软件（25%）、性勒索（24%）、深度伪造诈骗（20%）。值得注意的是，18%用户经历过虚拟绑架威胁。 心理创伤加剧： 75%受害者遭受心理伤害，其中心理健康问题占比46%，勒索骚扰达25%。Malwarebytes高级隐私倡导者David Ruiz指出：“移动威胁既是技术问题，更是人身安全问题。随着深度伪造与AI技术被犯罪者利用，我们需超越意识培养，为用户配备防护工具与知识。数字生活不该以诈骗为代价——无需感到羞耻，我们应让民众自信识别、阻断并举报任何隐私性诈骗。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国立法者向国会提交了一项新的《医疗网络安全法案》，旨在扩大联邦政府在预防和应对美国公民医疗数据泄露事件中的职能范围。 众议员杰森·克罗（民主党，科罗拉多州）于6月10日牵头提出这项两党共同支持的法案，旨在应对美国激增的医疗数据泄露事件。2025年1月披露的数据显示，仅2024年因Change Healthcare勒索软件攻击就导致1.9亿美国公民的个人及医疗数据记录遭受影响，该事件还严重扰乱了患者护理服务。 该法案明确规定网络安全和基础设施安全局（CISA）与美国卫生及公众服务部（HHS）需开展协作，共同提升医疗保健和公共卫生部门的网络安全防护能力。具体合作内容包括： 推动机构间网络威胁情报共享，深化对医疗领域网络风险的理解 CISA为医疗机构所有者及运营方提供风险应对培训 HHS与CISA联合制定针对医疗行业的风险管理计划，评估政府在数据泄露事件全周期中对相关技术、服务及公共设施的安全支持方案 建立医疗领域高风险资产的客观评估标准，并通知相关资产所有者及运营方 CISA定期向国会提交其为医疗和公共卫生部门主动防范网络威胁所提供的支持及行动报告 共同提案人布赖恩·菲茨帕特里克（共和党，宾夕法尼亚州）强调：“这项两党法案采取直接战略行动：授权CISA与HHS开展实时威胁信息共享，扩大医疗服务提供者的网络安全培训，设立专职联络官强化响应机制。我们不仅应对攻击，更在构建防御基础设施以保护患者隐私，捍卫国家安全的生命线。” 2025年1月，HHS宣布计划更新《1996年健康保险流通与责法案》（HIPAA）安全规则，要求医疗服务提供方对受保护的健康信息（PHI）实施强化安全措施，包括为受监管实体设定特定级别的系统访问认证标准，并强制要求持续测试安全防护机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，近期出现针对Apache Tomcat Manager接口的“协同暴力破解活动”。 该公司指出，2025年6月5日观察到暴力破解和登录尝试激增，表明这可能是“大规模识别和访问暴露Tomcat服务”的有组织行动。当日共发现295个独立IP地址参与针对Tomcat Manager的暴力破解尝试，均被归类为恶意地址。过去24小时内记录到188个独立IP，主要位于美国、英国、德国、荷兰和新加坡。 同期还监测到298个独立IP对Tomcat Manager实例发起登录尝试。过去24小时标记的246个IP地址均属恶意，来源地相同。攻击目标同期覆盖美国、英国、西班牙、德国、印度和巴西。GreyNoise强调大部分活动源自DigitalOcean（ASN 14061）托管的基础设施。 “尽管未关联特定漏洞，此行为表明暴露的Tomcat服务持续受到关注”，该公司补充道，“此类广泛的投机活动通常是未来攻击的前兆。” 建议暴露Tomcat Manager接口的组织实施强认证和访问限制，并监控可疑活动迹象。 此披露之际，Bitsight公司发现互联网上暴露超4万台监控摄像头，可能允许任何人通过HTTP或实时流协议（RTSP）访问实时视频。暴露设备集中在美国、日本、奥地利、捷克和韩国。电信行业占暴露摄像头的79%，其次是科技（6%）、媒体（4.1%）、公用事业（2.5%）、教育（2.2%）、商业服务（2.2%）和政府（1.2%）。这些设备分布在住宅、办公室、公共交通系统和工厂等场所，无意中泄露敏感信息，可能被用于间谍活动、跟踪和勒索。 建议用户修改默认账户密码，非必要则禁用远程访问（或通过防火墙和VPN限制访问），并保持固件更新。“这些用于安保或便利的摄像头，无意间成为敏感空间的公开窗口，且所有者往往毫不知情”，安全研究员João Cruz在报告中表示，“无论安装目的为何，设备即插即用的简易性正是威胁持续存在的主因。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 全球知名航运代理集团S5 Agency World据称遭勒索软件组织攻击。攻击者宣称窃取近140GB数据，该公司名称已被公布在勒索团伙用于展示受害者的暗网泄露站点。网络犯罪组织借此施压受害企业支付赎金，以防数据被公开。 S5作为海运代理企业，业务覆盖全球360多个港口。这家总部位于伦敦的公司为航运公司提供船舶靠港期间的本地代理服务。攻击者为佐证其说辞，公布了据称窃取数据的部分截图。网络安全研究团队核查样本后确认数据真实性。 泄露样本包含检验报告、员工新冠疫苗接种记录、护照复印件及内部文件等，但实际失窃文件总量可能远超样本范围。海运关键企业历来是黑客重点目标，其业务停摆将引发供应链瓶颈并严重影响客户——船舶代理等机构尤其无法承受网络攻击导致的运营中断。 勒索组织“Bert”系2025年4月新出现的团伙，隶属于新兴网络犯罪联盟。监测数据显示，2025年第一季度活跃勒索组织激增至65个，而“Bert”在短期内已入侵十余家机构。研究指出该团伙通过合法软件供应链投递恶意程序，主要针对医疗和科技领域，专家警告其适应力可能演变为更大威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织FIN6近期采用新型社交工程攻击手段，通过伪装求职者身份瞄准招聘人员。该组织（又名“Skeleton Spider”）早期以攻陷POS系统窃取信用卡信息著称，2019年起拓展勒索软件攻击业务，近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。 DomainTools最新报告显示，FIN6颠覆传统招聘诈骗模式，以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系，继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL（如bobbyweisman[.]com等匿名注册域名），攻击者使用AWS云服务托管规避安全工具检测。 攻击链包含精密规避机制： 实施环境指纹识别，拦截VPN/云连接及Linux/macOS访问者，仅向目标展示无害内容。 通过验证的受害者会遭遇虚假验证码环节，随后下载伪装成简历的ZIP压缩包。 压缩包内藏Windows快捷方式（LNK）文件，执行脚本下载“More_eggs”后门。 该后门由威胁组织“Venom Spider”开发，具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求，企业应通过独立渠道核实求职者背景信息。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 密尔沃基工具箱或勃肯凉鞋半价促销？研究人员发现涉及数十个知名品牌仿冒、涵盖超4000个域名的庞大虚假市场诈骗网络。诈骗者正在社交媒体大量投放广告。 威胁分析机构Silent Push发现了一个名为“幽灵供应商”（GhostVendors）的巨型虚假市场网络。该网络包含超过4000个仿冒亚马逊、Argos、开市客、诺德斯特龙、劳力士、勃肯等品牌的诈骗网站。 这些网站通过Facebook Marketplace广告推广，广告痕迹在活动结束后自动消失。研究人员警告称，诈骗者利用现有Meta政策隐藏行踪：通过欺诈广告侵害各大品牌权益后彻底删除广告内容。报告指出：“威胁团伙投放恶意广告数日后便停止活动，导致所有广告痕迹从Meta广告库中清除。Meta政策规定，仅当广告处于活动状态时才会保留记录。” 与其他类似骗局相同，网络罪犯以超低价商品诱骗消费者。某案例中，诈骗者用“Millaeke”名称仿冒密尔沃基工具品牌，广告展示正品工具箱图片并标注129美元价格，推广域名wuurkf[.]com。其他广告则使用“清仓”“节日促销”等话术，诱导用户访问恶意网站。该团伙常克隆网站模板批量生成仿冒站点。 Silent Push警告称，黑客利用这些欺诈网站实施多种财务诈骗：“通过不发货或窃取支付信息达成欺诈目的”。但报告重点指出，因Meta宽松的广告数据留存规则，防御者追踪此类活动面临巨大挑战——诈骗者采用闪电式启动-停止策略逃避监测。研究人员强调：“目前无法在该网络实现恶意广告的全面追踪。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 费城最大的特许学校网络Mastery Schools证实遭遇勒索软件攻击，导致37,031人的个人数据泄露。Mastery Schools在费城及卡姆登运营23所校园，服务约14,000名学生，涵盖小学至高中全学段。该事件发生于2024年9月，泄露的敏感信息包括社会保障号、医疗记录和学生档案等广泛内容。 Mastery于上周末开始向受影响人员发送正式通知。校方表示在2024年9月15日发现攻击事件，当时发现未经授权者加密了系统。该事件导致电话、邮件等核心业务中断。勒索组织DragonForce宣称对事件负责，称窃取了该校系统171GB数据，并将其列入泄密网站名单。但Mastery未证实该说法，也未披露攻击者入侵方式或是否支付赎金。 “我们确定未经授权者下载了部分数据。”校方在通知中声明，并强调目前尚无证据表明泄露数据被用于身份盗用或欺诈。 据披露，泄露数据包含： 姓名、出生日期 社会保障号、纳税人识别号 政府签发的身份证件、护照号 银行及财务信息、信用卡/借记卡详情 生物识别数据、账户密码 医疗及健康保险信息 学籍号、学生档案 防护措施与响应 为协助受影响人员，Mastery通过Experian的IdentityWorks服务提供免费身份保护，受影响者需在2025年8月31日前注册。首席执行官Joel Boyd博士表示，机构正在加强多因素认证应用并提升终端监控能力以强化安全防护。同时已引入外部网络安全专家团队，并联合联邦执法部门深入调查事件，降低未来风险。 美国教育系统网络威胁升级 Comparitech数据显示，2024年美国学校及大学共遭遇79起勒索攻击，波及近290万条记录。近期德克萨斯州、佐治亚州等地学区均成受害者。此类攻击常导致考试延期、薪资系统瘫痪等重大运营中断。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现Salesforce行业云（Salesforce Industries）存在20多项配置相关风险，可能导致敏感数据被未授权的内外部人员获取。这些缺陷影响FlexCards、数据映射器、集成程序（IProcs）、数据包、OmniOut及OmniScript会话存储等多个组件。 “Salesforce行业云等低代码平台虽简化了应用构建流程，但若忽视安全则可能付出代价。”AppOmni SaaS安全研究主管Aaron Costello向The Hacker News表示。这些配置疏漏若未修复，将允许攻击者访问加密的员工与客户机密数据、用户交互会话记录、Salesforce及其他系统的凭证，以及核心业务逻辑。 经负责任披露后，Salesforce已修复其中3项缺陷，并为另外2项发布配置指南，其余16项需客户自行修复。已分配CVE编号的漏洞包括： CVE-2025-43697（CVSS评分：暂无）：若未启用“Extract”和“Turbo Extract数据映射器”的字段级安全检查，将绕过“查看加密数据”权限验证，导致加密字段明文泄露 CVE-2025-43698（CVSS评分：暂无）：SOQL数据源获取数据时绕过所有字段级安全控制 CVE-2025-43699（CVSS评分5.3）：FlexCard未强制执行OmniUlCard对象的“必需权限”字段 CVE-2025-43700（CVSS评分7.5）：FlexCard未验证“查看加密数据”权限，返回经典加密字段的明文值 CVE-2025-43701（CVSS评分7.5）：FlexCard允许访客用户访问自定义设置值 攻击者可利用这些漏洞绕过安全控制窃取关键信息。AppOmni指出，CVE-2025-43967和CVE-2025-43698已通过新增的“EnforceDMFLSAndDataEncryption”安全设置修复，客户启用后能确保仅具权限用户可查看数据映射器返回的明文。 “对于需遵守HIPAA、GDPR等合规要求的企业，这些漏洞构成实质性监管风险，”该公司警告，“由于安全配置责任在客户方，单点配置失误可能导致数千条记录泄露，且供应商不承担责任。” Salesforce发言人回应称多数问题“源于客户配置问题”，非应用固有漏洞。“所有问题均已解决，补丁已推送客户，官方文档同步更新。目前未发现相关漏洞在客户环境中的利用证据。” 与此同时，安全研究员Tobia Righi（代号MasterSplinter）披露了未分配CVE编号的SOQL注入漏洞。该零日漏洞存在于所有Salesforce部署的默认Aura控制器中，攻击者通过操控“contentDocumentId”参数注入恶意SOQL语句，可窃取敏感用户数据。结合公开的ID暴力破解脚本（利用Salesforce ID可预测性），攻击者还能获取非公开文档信息。 Salesforce确认：“收到报告后已及时修复该漏洞，未观察到利用迹象。我们感谢Tobia的负责任披露，并持续鼓励通过官方渠道报告安全问题。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。 “该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。” 攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。 根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。 卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。 压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。 “该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。 这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。 该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。 卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。” 与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。 该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。 “DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州与伊利诺伊州政府机构近日相继发布数据泄露警报，事件涉及数万民众敏感信息。 5月12日，德克萨斯州交通部（TxDOT）工作人员发现其车祸记录信息系统（CRIS）存在异常活动，调查显示黑客入侵某账户后下载近30万份车祸报告。该系统依法记录车祸细节及涉事人员信息，泄露数据包含姓名、住址、驾照号、车牌号、车险保单号等核心信息，所有报告还涵盖伤情描述及事故经过叙述。 尽管法律未强制要求公开通报，德州政府仍决定向受影响民众寄送通知信函警示风险。目前已冻结涉事账户并持续调查，但未回应黑客背景问询。受害者收到警告需警惕涉及历史车祸的可疑邮件、短信或来电，官方已开通专项咨询热线。 同日，伊利诺伊州医疗家庭服务部（HFS）披露2月发生的数据泄露事件：黑客通过入侵其他政府邮箱向HFS员工发送伪装邮件，诱使一名员工点击后窃取其邮件与文档。事件导致933人信息被盗，涵盖社会安全号、驾照、州身份证件，以及儿童抚养、医疗补助相关的财务数据。 两起事件凸显政府系统安全风险，尤其涉及民生数据的部门更需强化防护。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文