Aggregator

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭露一项规模化运行的钓鱼即服务（PhaaS）活动，该犯罪网络在短短数月内已导致数十万人受害。挪威安全公司Mnemonic披露，该代号“Darcula”的钓鱼平台专门针对iPhone和Android用户，通过仿冒知名品牌诱导受害者提交银行卡信息。 该组织通过短信、RCS和iMessage渠道在全球范围发起攻击，伪装成物流公司等品牌发送钓鱼信息。受害者会被要求支付“包裹签收费用”、“道路通行费”等虚假账单。早期报告显示，该平台持续迭代升级，已具备生成式AI定制钓鱼话术、反取证追踪等高级功能。 通过逆向工程分析，Mnemonic成功锁定该犯罪网络的核心——名为“Magic Cat”的自动化攻击套件。 该基础设施当前被约600个网络犯罪团伙租用，这些组织多潜伏于加密Telegram群组，利用SIM卡池扩大攻击覆盖面，通过卡终端设备处理窃取的数据。据研究人员估算，2023年至2024年的七个月内，通过该平台泄露的银行卡信息达88.4万条。 Mnemonic指出，Magic Cat是专为技术门槛较低的犯罪者设计的全功能工具包，可实现钓鱼短信攻击的批量化操作。该平台内置数百个跨国品牌仿冒模板，近期更新后自定义模板功能更为简化。 该工具具备实时数据流监控功能，可逐字符捕获受害者输入的敏感信息，并支持动态索取PIN码、无缝对接短信网关等高级特性。目前，已通报多国执法机构介入调查。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

Don't Fall for Easy Social Engineering Traps, Advises Mandiant
The teenage hackers behind Scattered Spider tend to launch attacks in waves against specific sectors - and it may be the retail sector's turn. High street British mainstays Marks & Spencer, Co-op and Harrods have all felt a wave of incidents.

Homeland Security Secretary Accuses Cyber Agency of Failing to Stop China Hacks
U.S. President Donald Trump will "shortly" reveal a "grand cyber plan," Homeland Security Secretary Kristi Noem told lawmakers Tuesday, even as the administration seeks to cut the Cybersecurity and Infrastructure Security Agency budget by $500 million. "CISA’s mission is to hunt and harden," Noem said.

Startup Says It Cuts Software Vulnerability Volume, Helps Developers Avoid Overload
Backed by YL Ventures and Mayfield, Minimus says its new curated software containers reduce vulnerabilities by over 95%—freeing developers from excessive scanning and patching and reframing the traditional relationship between development and security teams.

Jury Slams NSO With $167M Verdict for WhatsApp Hack
Meta has secured a $167 million punitive damages verdict against Israeli spyware vendor NSO Group, with a U.S. jury finding the firm illegally used Pegasus malware to hack 1,400 WhatsApp accounts tied to diplomats, dissidents and journalists using encrypted messaging platforms.

A vulnerability was found in Rukovoditel 2.5.2. It has been classified as problematic. Affected is an unknown function of the component Configuration Page. The manipulation leads to cross site scripting (Stored). This vulnerability is traded as CVE-2020-11813. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability was found in qdPM 9.1. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Host Header Handler. The manipulation leads to injection. This vulnerability is known as CVE-2020-11814. The attack can be launched remotely. There is no exploit available.

A vulnerability classified as problematic was found in Rukovoditel 2.5.2. This vulnerability affects unknown code. The manipulation of the argument form_session_token leads to cross-site request forgery. This vulnerability was named CVE-2020-11818. The attack can be initiated remotely. There is no exploit available.

A vulnerability has been found in Dolibarr 10.0.6 and classified as problematic. Affected by this vulnerability is an unknown functionality of the component Admin Tools. The manipulation leads to cross site scripting (Stored). This vulnerability is known as CVE-2020-11823. The attack can be launched remotely. There is no exploit available.

A vulnerability was found in Dolibarr 10.0.6 and classified as problematic. Affected by this issue is some unknown functionality. The manipulation leads to cross-site request forgery. This vulnerability is handled as CVE-2020-11825. The attack may be launched remotely. There is no exploit available.

A vulnerability was found in PrestaShop up to 3.0.x. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the component ps_link Module. The manipulation leads to cross site scripting (Stored). This vulnerability is known as CVE-2020-5266. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in PrestaShop up to 3.0.x. It has been rated as problematic. Affected by this issue is some unknown functionality of the component ps_linklist Module. The manipulation leads to cross site scripting (Stored). This vulnerability is handled as CVE-2020-5273. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic has been found in PrestaShop up to 2.0.x. This affects an unknown part of the component ps_facetedsearch Module. The manipulation leads to cross site scripting (Reflected). This vulnerability is uniquely identified as CVE-2020-5294. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 德克萨斯州阿尔文独立学区（AISD）发生数据泄露事件，导致47,606人的敏感个人信息遭窃。该学区确认漏洞发生于2024年6月，并于本周末启动对受影响人员的通知程序。 泄露数据包括姓名、社会安全号码、州政府签发的身份证件、信用卡/借记卡详细信息、金融账户号码、医疗数据及健康保险信息。德克萨斯州总检察长办公室于2025年5月2日通报了此事件。 勒索软件团伙Fog于2024年7月宣称对此次攻击负责，声称从AISD窃取了60GB数据，并将学区名称公布于其数据泄露网站——这是施压受害者支付赎金的常见手段。AISD尚未证实该团伙的说法，也未披露是否支付赎金。 截至本文撰写时，阿尔文独立学区未回应Infosecurity的置评请求。 Fog自2024年7月开始公布攻击活动，AISD与其首批受害者西阿利斯-西密尔沃基学区和阿斯伯里神学院并列。此后，Fog宣称实施了20起已确认的勒索软件攻击（其中12起针对教育机构）及157起未确认事件，其活动迹象于2025年4月停止。 该团伙以加密文件与窃取数据著称，常瞄准开发环境。尽管Fog多数受害者属教育领域，但其攻击范围不限于学校。 AISD事件是教育行业系统性遭受攻击的缩影。2024年，研究机构Comparitech记录到79起针对美国教育机构的勒索软件攻击，波及超280万条记录，平均赎金要求达82.7万美元。 近期其他校园勒索事件包括： 2025年4月，Medusa向福尔里弗公立学区索要40万美元 同月Qilin攻击西新墨西哥大学 Medusa入侵阿尔比恩学院致6,930人受影响 2024年10月RansomHub攻破南阿肯色大学理工学院 针对哈仙达拉普恩特联合学区的未认领攻击 2025年迄今，美国教育领域已发生15起确认及36起未确认的勒索软件攻击事件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年Verizon《2025年数据泄露调查报告》（DBIR）中最值得关注的并非勒索软件头条或零日漏洞利用，而是推动这些攻击的深层诱因。在诸多严重泄露事件中，两个底层因素持续发挥着作用：第三方暴露与机器凭证滥用。 根据2025年DBIR，涉及第三方的泄露事件同比翻倍（从15%上升至30%）。与此同时，攻击者越来越多地利用机器凭证和未受管控的机器账户获取访问权限、提升特权并窃取敏感数据。 这一趋势传递出明确信号：仅保护内部员工账户已远远不够。要真正抵御现代威胁，企业必须在统一的安全策略下管理所有身份——包括员工、非员工与机器身份。 当前企业生态由承包商、供应商、商业伙伴、托管服务提供商、关联公司等多方交织构成。这些合作关系虽提升效率，也催生了复杂的身份生态系统。若缺乏严格治理，第三方身份将成为攻击者伺机利用的盲点。 与第三方访问相关的泄露通常源于糟糕的生命周期管理，例如项目结束后未停用承包商账户，或商业伙伴账户权限过度宽松。2025年DBIR指出，这一趋势正在加速且跨行业蔓延——医疗、金融、制造业和公共部门均报告了由第三方暴露引发的重大事件。 企业须以管理内部员工的同等严格标准，将身份治理扩展至非员工群体，确保对所有第三方用户的可视性、责任归属与及时账户停用。 尽管人类身份依然脆弱，机器身份的风险增长更为迅猛。服务账户、机器人流程自动化（RPA）、AI代理、API接口等“数字劳动力”数量激增，却普遍缺乏明确归属与监管。随着AI代理的普及，机器身份的增长速度与复杂程度将远超企业当前管理能力。 2025年DBIR发现，基于凭证的攻击仍是主要初始入侵手段，攻击者正日益瞄准未受管控的机器账户作为突破口。未受保护的机器账户直接关联多起重大泄露与升级的勒索软件攻击。 风险持续加剧，但多数传统身份安全工具仍将机器视为次要对象。因此，企业必须摒弃临时性机器管理措施，转向专为规模化与自动化设计的治理模型。欲深入了解该问题，可参阅白皮书《谁在守护机器身份？》。 碎片化身份治理已不再是弱点，而是重大责任。若将员工、第三方用户和机器身份（如果存在管理）分别置于孤立系统中管理，攻击者将获得足以渗透的裂缝——他们无需攻破所有防线，只需找到一个突破口。 与第三方用户和机器账户相关的泄露事件增速已超过内部员工泄露，这一现象明确警示：不一致的治理模式正在催生新漏洞。现实在于：身份即身份。无论是人类、非员工还是机器身份，都必须在统一策略下实施妥善管理、治理与保护。 能在未来威胁中存活的企业，并非那些试图拼凑解决方案的机构，而是意识到“全域身份统一治理”是唯一出路的主体。通过整合员工、承包商、合作伙伴、服务账户、机器人与AI代理的身份安全，企业方能填补关键防御缺口、提升可视性，并在关键时刻强化安全壁垒。 SailPoint通过专为复杂企业环境设计的解决方案（以SailPoint Atlas平台为支撑），帮助企业实现全域身份安全。无论您需要管理机器身份还是管控非员工访问，SailPoint提供的统一身份安全体验能将身份混乱转化为清晰防线。 人类与机器身份间的安全鸿沟正在扩大。是时候主动弥合这一缺口了——否则攻击者将替您完成此事。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Microsoft Office. It has been classified as critical. Affected is an unknown function. The manipulation leads to memory corruption. This vulnerability is traded as CVE-2015-2467. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.

听刘龙威讲讲如何从0到建设一个成熟的安全团队

听刘龙威讲讲如何从0到建设一个成熟的安全团队

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文