HackerNews

HackerNews 编译，转载请注明出处： 谷歌于周二透露，作为其“隐私沙盒”（Privacy Sandbox）计划的一部分，将不再于Chrome浏览器中为第三方Cookie提供独立提示。 谷歌隐私沙盒副总裁安东尼·查韦斯（Anthony Chavez）表示：“我们已决定维持当前向Chrome用户提供第三方Cookie选择权的方案，不会推出新的独立第三方Cookie提示。用户仍可通过Chrome的隐私与安全设置选择最适合自己的选项。” 早在2024年7月，谷歌就表示已放弃逐步淘汰第三方跟踪Cookie的计划，转而推出一种新方案，让用户能够基于充分知情权做出选择。 谷歌称，来自出版商、开发者、监管机构和广告行业的反馈表明，对可能影响第三方Cookie可用性的调整存在“显著分歧”。 作为替代方案，谷歌表示将继续投入资源，增强Chrome隐身模式（默认屏蔽第三方Cookie）的跟踪防护功能，并计划在2025年第三季度推出新的“IP保护”功能。 该功能已作为开源项目发布，旨在限制隐身模式下用户原始IP地址在第三方场景中的暴露，防止跨站跟踪。 查韦斯指出：“基于此次更新，我们意识到隐私沙盒API可能在支持生态系统中承担不同角色。未来几个月，我们将与行业合作收集反馈，并分享包括未来投资方向在内的技术路线图更新。” 值得注意的是，尽管苹果Safari和Mozilla Firefox自2020年起已默认屏蔽第三方Cookie，但谷歌作为兼具浏览器厂商、广告平台和搜索引擎多重身份的竞争者，推行类似防护措施时面临更大阻力。 此次调整正值谷歌在美国面临严格监管审查之际。近期两项独立裁决指控该公司在搜索和广告市场维持垄断地位。 美国司法部上月提议通过剥离Chrome浏览器、强制谷歌将搜索结果分发给其他平台来恢复在线搜索市场的竞争。 据彭博社和路透社报道，若谷歌被迫出售Chrome，人工智能公司OpenAI表示有兴趣收购该浏览器，并“向用户展示以AI为核心的全新浏览器形态”。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）互联网犯罪投诉中心（IC3）2024年接报的网络犯罪损失金额达到破纪录的166亿美元，较2023年增长33%。根据《2024年IC3互联网犯罪报告》，这一“惊人”数字中绝大部分损失源于网络诈骗——即利用互联网实施资金盗窃、数据窃取、身份冒用或伪造商品服务的犯罪行为。网络诈骗占IC3投诉总量的38%，但占损失总额的83%（137亿美元）。 投资诈骗连续第三年成为FBI记录中损失最高的网络犯罪类型，达65亿美元，较2023年的45亿美元显著增长。其次是商务邮件入侵（BEC）造成的27亿美元损失，较2023年的29亿美元略有下降。2024年其他高损失网络犯罪类型包括技术支持诈骗（14亿美元）和个人数据泄露（14亿美元）。 FBI声明指出：“这些激增的损失更令人忧虑，因为本局去年已采取重大措施提高恶意攻击者的作案成本与难度。”2024年FBI接报的勒索软件攻击事件达3156起，高于2023年的2825起。FBI还发现勒索软件是2024年对关键基础设施最普遍的威胁，投诉量较上年增长9%。尽管如此，勒索软件造成的报告损失从2023年的596亿美元大幅降至124亿美元。 这些数据与其他近期勒索软件研究结果一致。区块链分析公司Chainalysis 2025年2月报告显示，2024年勒索支付金额同比下降35%。安全公司Blackfog四月数据显示，尽管2025年第一季度公开披露的勒索攻击创历史新高，但受害者支付赎金的意愿显著降低。可能的原因包括网络恢复能力提升使组织在考虑支付赎金前拥有更多恢复选项，以及去年执法部门打击LockBit等知名团伙导致勒索软件生态碎片化——小型团伙与独立攻击者转向攻击中小型目标。 联邦调查局表示，2024年共识别出67种新型勒索软件变种，其中报告最多的是Fog、Lynx、Cicada 3301、Dragonforce和Frag。     消息来源：infosecurity-magazine；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会周三宣布对苹果与Meta分别处以5亿欧元（5.7亿美元）与2亿欧元（2.28亿美元）罚款，认定两家公司违反欧盟《数字市场法案》（DMA）。这是该法案去年生效后开出的首批罚单，可能加剧欧盟与美国间的贸易摩擦。 调查显示，苹果违反DMA“反导流义务”条款，即禁止企业通过平台设计诱导消费者为平台运营商而非第三方创造收入。例如阻止Spotify等应用直接引导用户订阅，强制使用App Store支付系统。Meta则因“付费或同意”广告模式未向用户提供“使用更少个人数据的服务选项”而受罚，欧盟认定该模式损害用户数据自主权。 欧盟技术主权与安全事务负责人汉娜·维尔库宁强调：“DMA确保公民能完全掌控个人数据使用方式，企业可自由与客户沟通。今日裁决认定苹果与Meta剥夺用户自由选择权，必须整改。”此次罚款金额低于去年欧盟对两家公司的反垄断处罚（苹果18亿欧元、Meta8亿欧元），但正值欧美贸易紧张升级之际。按DMA规定，最高可处企业全球年收入10%的罚款（苹果2024年收入390亿美元，Meta160亿美元）。 苹果周三声明将上诉，指控欧盟委员会“不公正针对”。Meta全球事务主管乔尔·卡普兰（曾任白宫副幕僚长）批评欧盟“试图削弱美国企业竞争力，放任中欧公司适用不同标准”，称整改要求“实质施加数十亿美元关税”。Meta表示将上诉，并认为欧盟行动与美欧贸易谈判相关。欧盟执行副主席特蕾莎·里贝拉回应：“苹果与Meta通过强化用户依赖性违反DMA，我们基于明确规则采取坚定而平衡的执法。所有在欧运营企业必须遵守法律并尊重欧洲价值观。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加利福尼亚州非营利健康保险机构蓝盾（Blue Shield of California）近日声明，因Google分析与广告平台配置错误导致470万会员的受保护健康信息泄露。该机构服务全州近600万会员，其官网发布的通报显示数据泄露时间为2021年4月至2024年1月。 美国卫生与公众服务部数据泄露门户网站更新信息证实，此次事件影响470万人的敏感健康数据。蓝盾表示，泄露源于部分官网Google Analytics配置错误，可能导致数据被共享至Google广告平台及第三方广告商。 官方声明指出：“2025年2月11日发现，2021年4月至2024年1月期间，Google Analytics配置允许将含受保护健康信息的会员数据共享至Google广告产品。Google可能利用这些数据对受影响会员实施精准广告投放。” 暴露数据类型包括： 保险计划名称、类型及团体编号 所在城市与邮政编码 性别与家庭规模 蓝盾会员账户识别码 医疗索赔服务日期、服务商名称、患者姓名及自付费用 “寻找医生”功能搜索条件与结果（含位置、计划信息、医疗提供方信息） 蓝盾强调社会安全号、驾照号、银行账户及信用卡信息未受影响，但仍建议会员密切监控账户动态与信用报告。目前机构未提供身份盗窃保护服务，尚不清楚是否会向受影响会员寄送个别通知。 这是加州蓝盾一年内披露的第二起重大网络安全事件。2024年该机构软件服务商Connexure（原Young Consulting）遭BlackSuit勒索软件组织入侵，导致近百万会员数据被盗。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月初以来，多个疑似与俄罗斯有关的威胁组织针对与乌克兰及人权事务相关的个人和机构发动攻击，旨在非法入侵Microsoft 365账户。Volexity指出，此类高度定向的攻击已从此前利用设备代码钓鱼技术的攻击方式转向新策略，表明相关威胁组织正在积极改进其攻击手法。 安全研究人员Charlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair和Tom Lancaster在详尽分析中表示：“近期观测到的攻击严重依赖与目标的点对点互动，攻击者必须说服目标点击链接并回传微软生成的验证码。”目前至少有两个追踪编号为UTA0352和UTA0355的威胁集群被认定参与攻击，但尚未排除其与APT29、UTA0304和UTA0307存在关联的可能性。 最新攻击的特征在于滥用合法的Microsoft OAuth 2.0身份验证工作流程。攻击者冒充欧洲多国官员，并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标，邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议，最终诱导受害者点击托管在Microsoft 365基础设施上的链接。 Volexity表示：“若目标回应信息，对话将迅速推进至实际安排会议时间。当约定时间临近时，伪装成欧洲政要的攻击者会再次联系目标，发送会议加入指引。”这些指引以文档形式呈现，随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。 具体而言，攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌，该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code（insiders.vscode[.]dev）实现的，令牌将在此界面显示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌以最终控制受害者M365账户。 Volexity还观测到该活动的早期版本会将用户重定向至“vscode-redirect.azurewebsites[.]net”网站，该网站再次重定向至本地IP地址（127.0.0.1）。研究人员解释称：“此时授权码仅存在于URL中，用户浏览器会显示空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。” 2025年4月初发现的另一社交工程攻击涉及UTA0355使用已入侵的乌克兰政府电子邮箱向目标发送钓鱼邮件，随后通过Signal和WhatsApp发送信息。这些信息邀请目标参加关于乌克兰“暴行罪”起诉及国际合作投资的视频会议。尽管最终目标与UTA0352相同，但存在关键差异：攻击者滥用微软365认证API获取受害者邮件数据，并将窃取的OAuth授权码用于在受害者Microsoft Entra ID（原Azure Active Directory）永久注册新设备。 攻击者随后发起第二轮社交工程以说服目标批准双重认证请求并劫持账户。Volexity指出：“在此次互动中，UTA0355要求受害者批准双重认证（2FA）请求以‘访问与会议关联的SharePoint实例’，此举旨在绕过受害者组织设置的额外安全要求以访问其邮箱。”该攻击的特别有效性体现在：登录活动、邮件访问及设备注册均通过地理位置与受害者匹配的代理网络进行，大幅增加检测难度。 为应对此类攻击，建议组织审计新注册设备、培训用户警惕即时通讯平台上的非主动联络，并实施条件访问策略限制仅允许受审批/管理设备访问组织资源。Volexity补充道：“近期攻击活动完全利用微软官方基础设施进行用户交互，未使用攻击者自托管设施。同时，攻击不涉及需用户显式授权的恶意OAuth应用（此类应用可被组织轻松拦截）。已获许可的微软原生应用使用使得该技术的预防与检测极为困难。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关联的威胁组织UNC2428在2024年10月针对以色列发起以招聘为主题的社会工程攻击，其通过部署名为MURKYTOUR的后门实施网络间谍活动。 谷歌旗下Mandiant公司将UNC2428称为与伊朗结盟的威胁组织，该组织通过“复杂的欺骗技术链”部署恶意软件。 根据Mandiant 2025年度《M-Trends报告》，UNC2428伪装成以色列国防承包商拉斐尔（Rafael）的招聘方，诱导目标用户访问仿冒网站并下载所谓的“求职辅助工具”。 该工具（“RafaelConnect.exe”）实为LONEFLEET安装程序，启动后会向受害者展示图形用户界面（GUI），要求输入个人信息并提交简历。一旦用户提交信息，LEAFPILE启动器将在后台激活MURKYTOUR后门，使攻击者获得对受感染设备的持续访问权限。 Mandiant指出：“伊朗相关威胁组织通过图形用户界面将恶意软件伪装成合法应用。这类仿冒安装程序的界面设计能有效降低目标用户的怀疑”。 此活动与以色列国家网络局归因于伊朗威胁组织黑影（Black Shadow）的攻击存在重叠，后者受伊朗情报和安全部（MOIS）支持，以攻击以色列学术、旅游、通信、金融等多领域而闻名。 2024年，多个伊朗威胁组织瞄准以色列，包括使用专有擦除器POKYBLIGHT的Cyber Toufan组织。 另一组织UNC3313通过钓鱼攻击进行监视和信息收集，其攻击手段包括在文件共享平台托管恶意软件，并嵌入以培训和网络研讨会为主题的钓鱼链接。UNC3313还分发JELLYBEAN投放器和CANDYBOX后门，并滥用9种合法远程监控工具（RMM）规避检测。 2024年7月，疑似伊朗背景的攻击者伪装成Palo Alto Networks的GlobalProtect远程访问软件安装包，暗中部署.NET后门CACTUSPAL。该后门启动后验证进程唯一性，随后与外部C2服务器通信。 伊朗威胁组织如UNC1549还通过云基础设施增强隐蔽性，例如利用拼写错误域名（Typosquatting）或复用合法域名托管C2节点。APT42（又名Charming Kitten）则通过伪造谷歌、微软、雅虎登录页面窃取凭证，并利用Google Sites和Dropbox引导目标访问虚假Google Meet页面。 2024年，Mandiant在中东攻击活动中识别出20余种伊朗组织专用恶意软件家族，包括APT34（OilRig）用于攻击伊拉克政府实体的DODGYLAFFA和SPAREPRIZE后门。该公司警告：“伊朗相关威胁组织将持续调整战术手段以适应当前形势。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜（朝鲜民主主义人民共和国，DPRK）存在关联的多个威胁活动集群被确认针对Web3及加密货币领域的机构与个人实施攻击。 谷歌旗下Mandiant公司在提供给《The Hacker News》的《2025 M-Trends报告》中指出：“朝鲜因遭受严厉国际制裁，其针对Web3与加密货币的攻击主要出于经济动机。这些活动旨在获取资金，据信用于支持朝鲜大规模杀伤性武器（WMD）计划及其他战略资产。” Mandiant表示，朝鲜相关攻击者已开发使用Golang、C++和Rust等多种语言编写的定制工具，具备感染Windows、Linux和macOS操作系统的能力。 追踪编号为UNC1069、UNC4899和UNC5342的三个威胁集群被发现重点攻击加密货币与区块链开发群体，主要渗透从事Web3项目的开发人员以非法获取加密货币钱包权限及其所属机构访问权限。各集群特征如下： UNC1069（活跃至少自2018年4月）：通过Telegram发送虚假会议邀请并伪装知名企业投资者身份，针对多行业实施社会工程攻击以窃取数字资产与加密货币 UNC4899（活跃自2022年）：以招聘测试为名分发恶意代码实施供应链攻击（与Jade Sleet、PUKCHONG、TraderTraitor等组织存在技术重叠） UNC5342（活跃自2024年1月）：使用含恶意代码的编程任务诱骗开发人员运行（与Contagious Interview、DEV#POPPER等组织存在技术重叠） 另一朝鲜攻击者UNC4736通过植入后门的交易软件渗透区块链行业，被指与2023年初3CX供应链攻击存在关联。Mandiant公司还发现独立集群UNC3782实施针对加密货币行业的大规模钓鱼攻击，2023年针对TRON用户实施钓鱼攻击，单日转移价值超1.37亿美元资产，2024年转向攻击Solana用户诱导其访问含加密货币流失器的页面。 朝鲜通过派遣数千名IT人员（主要居住在中国与俄罗斯）渗透欧美亚企业远程岗位，这些人员大多隶属负责核计划的313总局。他们使用盗用身份与完全虚构身份，在面试阶段运用Deepfake技术创建逼真合成身份。 单操作员可使用多个合成身份应聘同一职位，长期潜伏企业虚拟桌面、网络与服务器实施数据窃取与网络攻击。 Palo Alto Networks Unit 42研究员Evan Gordenker指出该策略使朝鲜IT人员可规避安全公告通缉，显著降低检测概率。谷歌威胁情报组（GTIG）报告显示渗透人员还通过勒索雇主、薪资回流平壤等方式支持朝鲜战略目标。 2024年某朝鲜IT人员使用至少12个虚构身份应聘欧美岗位，某美国公司同一岗位出现两名朝鲜渗透人员竞争，其中一人成功入职，另有机构12个月内雇佣四名朝鲜IT渗透人员。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联合国警告称，网络诈骗活动正以工业化规模在东南亚及更广区域扩张。 联合国毒品和犯罪问题办公室（UNODC）新报告《拐点：东南亚诈骗中心、地下银行与非法在线市场的全球影响》披露了相关发现。 报告指出，诈骗中心由“复杂的跨国集团与洗钱者、人口贩子、数据中介及日益增多的专业服务提供商组成的犯罪集团驱动”。 这些组织倾向聚集在缅甸与柬埔寨等“脆弱”边境地区，大型整合集团正取代分散诈骗团伙，建设“工业科技园区、赌场及酒店”。 UNODC表示，此类集团利用腐败官员“进一步渗透东南亚许多偏远、脆弱及防护薄弱的地区，并日益向其他区域扩张”，年获利达数百亿美元。 报告警告称：“当前越来越明显的是，东南亚已发生可能无法逆转的溢出效应，犯罪集团可自由选择司法管辖区、转移业务与资产，导致局势迅速超出政府管控能力。” 据称，数十万被贩运受害者与“谋划者”共同推动产业扩张，通过犯罪市场、赌博平台、无证支付处理商、加密通信平台、稳定币及区块链网络等在线服务牟利。UNODC指出，生成式人工智能（GenAI）被滥用于诈骗的案例正日益增多。 联合国补充声明，2023年这些亚洲犯罪集团在本土通过网络诈骗获利约370亿美元，同时将业务扩展至非洲、南美、南亚及太平洋岛屿等遥远地区。报告呼吁采取多管齐下应对措施，包括提高政治意识、强化监管框架、加强跨机构与区域合作、提升执法部门技术能力。 UNODC东南亚及太平洋地区代理代表Benedikt Hofmann认为，犯罪集团扩张旨在对冲未来风险与干扰。“它像癌症般扩散，”Hofmann强调，“当局在某区域打击，但其根源永不消失；它们只是转移。这导致该区域实质上成为由复杂集团自由利用漏洞的相关联组织，从而危及国家主权，扭曲政策制定流程及其他政府体系。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商玛莎百货(M&S)周二宣布“过去数日持续处理网络事件”，此前社交媒体涌现大量顾客投诉。 事件的具体情况尚未披露。作为富时100指数成分股的玛莎百货，在全球拥有超过7万名员工，在英国拥有超过1000家门店。 该公司周二下午向伦敦证券交易所提交的声明称，在意识到事件后立即“对门店运营做出细微临时调整”。 顾客在社交媒体抱怨多种电子支付系统失效，包括银行卡支付、礼品卡及该零售商的“点击取货”服务。 玛莎百货在一份发给顾客的声明中确认，“您的‘点击提货’订单可能会出现一些有限的延迟，我们正在努力解决这个问题。”该公司向伦敦证券交易所表示，已聘请外部网络安全专家调查并处理该事件，并已向相关监管机构和国家网络安全中心报告。 “我们正在采取措施进一步保护我们的网络，并确保我们能够继续提供优质的客户服务，”该公司在声明中继续说道。 “对于由此造成的不便，我们深感抱歉。重要的是，我们的门店仍在营业，我们的网站和应用程序也正常运行。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿比林市表示，其正在努力恢复因遏制网络攻击而离线的系统。 此次攻击始于4月18日，当时该市内部网络部分系统报告无响应，随即启动事件响应预案。该市官员周一宣布，为保护网络，阿比林市已断开关键资产与受攻击影响系统的连接。 “我们已启动调查并聘请行业领先的网络安全专家确定事件性质与范围，同时通报相关部门。”官员称。阿比林市官员表示，其IT部门周末持续工作以恢复服务并减少对运营的影响，所有系统均处于异常活动监控中。 该市声明：“紧急服务仍保持正常运行并可及时提供协助，未检测到异常财务活动。水务用户仍可通过市政服务账单支付系统缴纳费用。”同时指出，系统恢复期间在线服务可能出现延迟，逾期账户不会被切断服务，现场与在线支付渠道均保持畅通。 “当前处于调查初期阶段。任何经历过网络事件的人员都清楚这是耗时过程。每周我们将进一步掌握事件范围，并随着调查进展通报细节。”该市呼吁公众保持耐心与理解。 现有信息表明阿比林市可能遭受勒索软件攻击，但截至发稿尚无勒索组织宣称负责。以大量儿童文学角色雕塑闻名并拥有三所基督教大学的阿比林市，人口约13万。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Active! Mail 零日远程代码执行漏洞正被积极利用，攻击日本的大型组织。 Active! Mail 是一款基于 Web 的电子邮件客户端，最初由 TransWARE 开发，后被 Qualitia 收购，这两家公司均为日本公司。 虽然 Active! 不像 Gmail 或 Outlook 那样在全球范围内广泛使用，但它经常被用作大型企业、大学、政府机构和银行等日语环境中的群件组件。据 Active! 供应商称，该公司已在超过 2,250 家组织中使用，拥有超过 11,000,000 个帐户，使其成为日本商业 Web 邮件市场的重要参与者。 上周晚些时候，Qualitia 发布了一份安全公告，报告了一个基于堆栈的缓冲区溢出漏洞，漏洞编号为 CVE-2025-42599（CVSS v3 评分：9.8，“严重”），该漏洞影响所有受支持操作系统平台上 Active! 的所有版本（包括“BuildInfo: 6.60.05008561”）。 公告称：“如果远程第三方发送恶意构建的请求，则可能存在任意代码执行或触发拒绝服务 (DoS) 的情况。” 尽管 Qualitia 表示正在调查该漏洞是否已被利用，但日本计算机紧急响应小组 (CERT) 已确认该漏洞正处于活跃利用状态，并敦促所有用户尽快更新至 Active! Mail 6 BuildInfo: 6.60.06008562。 日本网络托管和 IT 服务 (SMB) 提供商 Kagoya Japan 上周末报告了数起外部攻击，导致其暂停服务。 “我们怀疑此问题与 QUALITIA（开发商）披露的一个漏洞有关，” Kagoya 此前发布的公告中写道。 网络托管和 IT 服务提供商 WADAX 也报告了类似的服务中断，据称是由于有人试图利用该漏洞。 “目前，我们还无法保证客户能够安全使用该服务，” WADAX 宣布。 “因此，出于客户安全的首要考虑，我们已暂时停止 Active! 邮件服务，以防万一。” Macnica 安全研究员 Yutaka Sejiyama 告诉 BleepingComputer，至少有 227 台暴露在互联网上的 Active! 服务器可能面临此类攻击，其中 63 台服务器用于大学。 日本计算机应急响应小组 (CERT) 为无法立即安全更新应用的用户提出了具体的缓解措施，包括配置 Web 应用程序防火墙 (WAF) 以启用 HTTP 请求正文检查，并在 multipart/form-data 标头的大小超过一定阈值时进行阻止。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 日本金融厅（FSA）警告称，与遭入侵的证券账户相关的未授权交易金额已达数亿美元，针对互联网交易服务的非法访问及交易行为造成的损失正在扩大。 日本金融厅在警报中写道。“伪装成真实证券公司网站的钓鱼网站窃取客户信息（登录ID、密码等）后，攻击者利用这些信息对互联网交易服务进行未授权访问及未授权交易（第三方操作交易）的案例数量急剧上升。” 日本金融厅警告称，在线交易平台上通过钓鱼网站窃取登录凭证实施的未授权交易案例正快速增加。通常攻击者会劫持受害者账户，出售其持有股票并用所得资金购买股票等资产，这些资产在攻击后仍留存于账户内。报告的售出与买入金额为总交易量，不等于客户实际损失金额。 为避免因登录凭证泄露导致未授权交易，用户需遵循关键防护措施：切勿点击邮件或短信中的链接，始终通过预先保存的书签访问证券网站，启用多因素认证和登录通知等安全功能。避免密码复用，设置复杂密码并频繁检查账户活动。若怀疑欺诈，立即更改密码并联系所属证券公司。保持设备系统更新并使用可靠防病毒软件以防范恶意软件数据窃取。 日本金融厅建议用户查阅日本证券业协会发布的《证券公司在提供互联网交易服务时应注意事项》警示公告。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SK Telecom警告称，攻击者通过恶意软件获取了客户的通用用户识别模块（USIM）信息。 SK Telecom是韩国最大的无线通信公司，也是该国移动与技术领域的主要参与者。该公司占据韩国移动服务市场约48%的份额，意味着约3400万用户使用其网络。该公司提供蜂窝通信服务，同时涉及5G技术开发、人工智能服务、物联网解决方案、云计算及智慧城市基础设施建设。 该运营商隶属于韩国最大财团SK集团（业务范围涵盖能源、半导体、化工等领域）。 SK Telecom报告称，攻击者通过恶意软件攻击获取了客户的USIM相关信息。通用用户识别模块（USIM）是移动设备中使用的智能卡，其安全存储包括国际移动用户识别码（IMSI）和加密密钥在内的用户信息。 SK Telecom于2025年4月19日（周六）晚11点检测到系统感染。发现感染后，该公司于4月20日（周日）立即向韩国互联网与安全局（KISA）报告事件，清理受感染系统并隔离可疑黑客设备。截至目前尚未确认信息遭滥用案例。 SK Telecom宣布已加强防御措施，阻断非法SIM卡更换及异常身份验证尝试。该公司还向受影响客户免费提供“SIM保护服务”订阅。 “2025年4月19日晚11点左右，SK Telecom发现因恶意软件攻击可能导致部分客户SIM相关信息泄露。”该公司发布的数据泄露通知中写道，“SK Telecom在确认泄露可能性后立即删除恶意软件并隔离可疑黑客设备。目前尚未发现信息遭实际滥用的确认案例，但我们正在实施以下措施以预防客户损失。” SK Telecom仍在调查此次安全事件以确定确切原因、事件规模及泄露数据范围，并于4月22日（周二）上午10点向个人信息保护委员会报告数据泄露事件。 需要额外安全措施的客户可注册SIM保护服务。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员详细披露了一起针对Docker环境的恶意软件攻击活动，该活动采用了一种此前未被记录的加密货币挖矿技术。据Darktrace与Cado Security分析，此攻击模式标志着加密货币劫持行动从直接部署XMRig等矿工程序非法利用计算资源，转向新型Web3基础设施攻击。 该恶意程序部署于名为Teneo的去中心化物理基础设施网络（DePIN）节点。Teneo允许用户通过运行社区节点（Community Node）将社交媒体数据货币化，用户可获得Teneo积分（Teneo Points），并兑换为$TENEO代币。此类节点实质上充当分布式社交媒体爬虫，从Facebook、X平台、Reddit及TikTok等平台抓取公开帖文。 从蜜罐中收集的工件的分析表明，攻击始于从Docker Hub注册表中启动容器映像“kazutod/tene:ten”的请求。该图像于两个月前上传，迄今已被下载325次。 容器映像旨在运行一个嵌入式Python脚本，该脚本被严重混淆，需要63次迭代才能解压缩实际代码，从而建立与teneo[.]pro的连接。 Darktrace在与The Hacker News分享的一份报告中表示：“恶意软件脚本只是连接到WebSocket并发送保活ping，以便从Teneo获得更多积分，而不会进行任何实际的抓取。”。“根据该网站，大多数奖励都是根据心跳次数来决定的，这可能就是这种方法奏效的原因。” 此次攻击与另一起恶意活动存在相似性：后者通过感染配置错误的Docker实例植入9Hits Viewer软件，通过流量引导至特定网站以获取积分。该入侵手法亦类似于代理劫持（proxyjacking）等带宽共享方案——通过下载特定软件共享闲置网络资源以换取经济收益。 Darktrace强调：“传统加密货币劫持依赖XMRig矿工程序，但因其高检测率，攻击者正转向替代性挖矿手段。此类新方法是否更具盈利性尚待观察。” 此次披露正值Fortinet FortiGuard Labs公布新型僵尸网络RustoBot之际。该恶意程序利用TOTOLINK（CVE-2022-26210与CVE-2022-26187）及DrayTek（CVE-2024-12987）设备漏洞传播，主要针对日本、台湾、越南及墨西哥的科技行业实施DDoS攻击。 安全研究员Vincent Li指出：“物联网与网络设备普遍存在防护薄弱问题，成为攻击者理想入侵目标。强化端点监控与认证机制可显著降低被利用风险，遏制此类恶意软件活动。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 扒窃技术正在升级。一种新型Android恶意软件利用NFC技术，在您与诈骗者通话时盗取您的银行卡。 试想您收到一条看似来自银行的短信，警告存在“可疑交易”并催促您联系客服。出于谨慎，您拨打电话，一个平静且令人安心的声音回应道：“别担心，我们会指导您处理。” 但几分钟后，您已经在不知情中安装了恶意软件、泄露了PIN码、解除了借记卡的消费限额，并应诈骗者要求完全授权其清空您的卡片。 这听起来像噩梦？欢迎了解新型恶意软件变种SuperCard X。正如安全公司Cleafy研究人员所描述的，它界面简洁、近乎隐形且破坏力极强。 这款源自Android的恶意程序通过恶意软件即服务（MaaS）分发，由中文语系攻击者开发，利用NFC中继攻击实时窃取、盗刷您的银行卡。 SuperCard X的精妙之处在于其多阶段欺诈： 首先是通过虚假短信或WhatsApp消息进行钓鱼（smishing），声称您的账户已被入侵。 接着是电话导向攻击传递（TOAD），诈骗者致电建立信任。一旦您上钩，他们会引导您泄露PIN码、关闭卡片限额，并以安全软件为幌子让您安装恶意应用。 然后是致命一击：说服您“轻触手机验证卡片”。但该应用会通过NFC静默窃取卡片信息并发送至攻击者控制的克隆设备，随后他们可通过ATM非接触取现套现资金。 该活动已追踪到意大利受害者。类似NFC中继欺诈已在美国出现。ESET研究人员此前曾发现针对三家捷克银行客户的Android NFC恶意软件。 没有任何合法企业会要求您移除安全设置。 SuperCard X的高效性不仅在于恶意软件，更在于人为因素。据网络安全公司Cequence首席信息安全官Randolph Barr称，此类攻击仍具有地域针对性，早期迹象显示其聚焦特定区域。 “如果威胁扩大，很可能是因为用户沦为社交工程学受害者并被说服关闭内置安全防护——这是明确危险信号。”他解释道。 Barr同时指出区域风险：“亚洲地区Android用户集中度极高，这可能提升该地区风险。”换言之，骗局扩散范围越广，Android主导地区（尤其是侧载应用普遍的地区）受冲击可能性越大。 尽管Android的灵活性是其魅力所在，却也成为SuperCard X等骗局的入口。正如Barr所述：“相较而言，iOS设备实施更严格限制（尤其是NFC访问）。尽管有人认为这是局限，但从安全角度看，这是有价值的管控。” 虽然恶意软件技术复杂，但危险信号仍属传统套路。Barr强调：“Android用户应更熟悉社交工程学危险信号——有时只需在操作前验证请求合法性。” 如果有陌生人让您“安装这款安全应用”并“关闭卡片限额”，请记住：真正的安全永远不会要求您先解除自身防护。 “任何合法企业都不应要求您降低或移除设备安全设置。”Barr总结道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 机场零售商Paradies Shops即将以690万美元达成和解协议，了结2020年勒索软件攻击导致员工个人信息泄露的集体诉讼。该和解方案本周已获佐治亚州联邦法官初步批准，并获公司及原告双方同意。 根据前员工提起的诉讼，网络犯罪分子窃取了涉及7.6万名现任及前任雇员的姓名与社会安全号码等敏感信息。总部位于亚特兰大的Paradies Shops截至2021年在美国与加拿大机场运营着逾1000家商店、酒吧及餐厅。 攻击者于2020年10月持续五天访问该公司行政系统。据称REvil勒索软件团伙宣称对此事件负责。Paradies Shops在八个月后向数据泄露受害者发出通知，并向州总检察长办公室提交报告。 诉讼指控该公司在保护员工信息方面存在疏忽与过失，且延迟通知受害者加剧了损害程度。公司还被指“刻意隐瞒具体漏洞与事件根本原因”。Paradies否认上述指控，同意和解因“认定诉讼持续将耗费高昂成本”。 此类集体诉讼现已成为数据泄露事件标准后续程序。本周早些时候，眼科医疗集团Retina Group of Washington就2023年数据泄露事件与受害者达成360万美元和解。去年秋季，Lehigh Valley Health Network在黑客窃取患者裸照等敏感信息后同意支付6500万美元赔偿。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣称已完成“网络安全史上最大规模工程改造”，将所有微软账户（Microsoft Account）与Entra ID令牌签名密钥迁移至具备自动轮换机制的硬件安全模块或Azure机密虚拟机，旨在阻断曾导致国家级攻击者入侵微软系统的密钥窃取战术。 在推出“安全未来计划”（Secure Future Initiative）应对黑客攻击及美国政府严厉报告的18个月后，微软安全主管Charlie Bell宣布该计划28项目标中已有5项“接近完成”，另有11项取得“重大进展”。 Bell表示，除了将所有微软账户和Entra ID令牌签名密钥迁移至硬件安全模块或Azure机密虚拟机的核心修复措施外，超过90%的微软内部生产力账户已迁移至防钓鱼多因素认证，并且90%的第一方身份令牌通过新加固的软件开发工具包（SDK）进行验证。 Bell指出：“我们根据红队研究成果部署了深度防御保护措施，已将MSA签名服务迁移至Azure机密虚拟机，Entra ID签名服务迁移工作正在进行。”这些改进有助于缓解中国APT组织攻击微软时可能使用的攻击路径。 微软公开将此次入侵归因于从被黑工程师企业账户窃取的崩溃转储文件。该2021年4月的转储文件包含MSA消费者密钥，攻击者借此伪造令牌入侵OWA与Outlook.com账户。 在架构层面，Bell报告称已清除630万个休眠的Azure租户以保护云租户并隔离生产系统。微软还报告已将88%的活跃资源迁移至Azure资源管理器以实现更严格的策略执行，并对440万个托管身份进行分段，使其只能从经过批准的网络位置进行身份验证。 “安全未来计划”于2023年11月推出，承诺加速云补丁发布、优化身份密钥管理、提升默认软件安全基线。尽管取得进展，微软仍面临对其云产品第三方漏洞研究处理方式的批评，并持续受困于缺陷补丁与Windows零日攻击激增问题。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜加密货币窃贼正悄然利用鲜为人知的Zoom远程协作功能，在加密货币交易员与风险投资人士的工作站植入信息窃取恶意软件。非营利性安全联盟（SEAL）与网络安全研究公司Trail of Bits的独立报告显示，伪装成风投机构的平壤黑客通过Calendly链接发送Zoom会议钓鱼诱饵。 该行动被SEAL追踪为“Elusive Comet”，始于标准公关推介或直接邀请目标参与Aureon Capital旗下播客节目。若受害者接受邀请，黑客将安排Zoom通话以获取更多信息，常刻意延迟发送会议细节以制造紧迫感。 SEAL警告称：“受害者加入通话后会被要求共享屏幕进行演示。此时黑客通过Zoom请求控制受害者计算机。若受害者疏忽，可能误授远程权限，使Elusive Comet得以部署恶意软件。”该恶意软件兼具即时窃密与潜伏型远程访问木马（RAT）双重功能。 Zoom远程控制功能需用户明确授权方可实施。在已观测攻击中，黑客将显示名称改为“Zoom”，将权限请求伪装成系统弹窗。用户一旦误点批准，攻击者即获得完整键鼠控制权，随后投放恶意程序（含数据窃取模块与全功能RAT），全面扫描浏览器会话、密码管理器及加密种子短语。 SEAL事件日志显示该行动已造成数百万美元损失，并列出近30个傀儡社交媒体账户与多个伪造的Aureon Capital企业网站。Trail of Bits透露，其首席执行官曾遭遇冒充彭博制片人的X平台账号邀约“加密专题”采访，攻击者拒绝转用邮件沟通、临时发送会议链接，且提供的Zoom账户属于消费级而非企业账户。 该公司技术博客指出，攻击成功依赖macOS“辅助功能”权限与四步社会工程策略： 1、安排看似合法的商务通话 2、屏幕共享时请求远程控制 3、将显示名改为“Zoom”伪装系统通知 4、获取权限后实施恶意操作 Zoom官方文档明确声明，远程控制功能“绝非用于非受控管理”，而是作为“会议内”便利功能存在，任何会议主持人可在账户/群组/用户层级禁用该功能。管理员还可锁定该设置并移除攻击者用于跨设备传输私钥的剪贴板共享选项。 然而实际应用中，该功能默认保持开启状态于多数企业租户账户，且权限请求对话框未提供任何视觉提示以区分常规Zoom流程与异常请求。 Trail of Bits指出这种界面模糊性正是攻击的真正威力所在：面对传统远程桌面提示会警觉的专业安全人员，却很少对熟悉的协作工具产生戒心。该公司警告称：“此攻击的致命之处在于权限对话框与其他无害Zoom通知高度相似。习惯性点击‘批准’按钮的用户可能在无意识中授予计算机完全控制权。” Trail of Bits表示，观测到的攻击手法与2024年2月Bybit遭窃15亿美元事件的技术原理如出一辙——攻击者均通过操控合法工作流而非利用代码漏洞实施攻击。该公司补充道：“这印证了我们的观点：区块链行业已进入‘操作安全失效’时代，人为因素威胁现已超越技术漏洞风险。” Trail of Bits安全团队已将Zoom远程控制功能标记为“非必要风险”，并在其计算机系统部署技术控制措施禁用该功能。公司声明：“通过精准限制实现远程控制的辅助功能权限，我们既阻断了Elusive Comet的攻击载体，又确保合法视频会议功能不受影响。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者利用谷歌基础设施的漏洞发送伪造邮件，这些邮件通过全部验证但指向收集登录凭证的欺诈页面。 欺诈邮件看似来自”[email protected]”并通过了域名密钥识别邮件（DKIM）认证，但实际发件地址不同。 以太坊域名服务（ENS）首席开发者Nick Johnson收到一封伪装成谷歌安全警报的邮件，声称因执法机构传票要求获取其谷歌账户内容。 该邮件几乎完全仿冒真实警报，甚至被归类至合法安全通知会话中，极易误导非技术用户。然而Johnson发现邮件中的“支持门户”托管在谷歌免费建站平台sites.google.com上，由此产生怀疑。 由于域名归属谷歌，受害者更难识别风险。Johnson指出该钓鱼页面“与真实页面完全一致，唯一破绽在于托管在sites.google.com而非accounts.google.com”。 此次攻击的巧妙之处在于通过DKIM重放攻击使伪造邮件通过验证。邮件详情显示，“mailed-by”标头地址并非谷歌官方地址，收件人地址为攻击者伪造的类谷歌域名邮箱。但邮件仍由谷歌签名发送。 Johnson还原了攻击链条： 1、注册仿冒域名并创建“me@domain”谷歌账户 2、创建Google OAuth应用并将钓鱼信息写入应用名称字段 3、通过大量空白字符分隔合法通知与欺诈内容 4、授权OAuth应用访问邮箱时触发谷歌系统生成含有效DKIM签名的警报邮件 5、将警报邮件转发至受害者邮箱 邮件认证公司EasyDMARC的技术分析证实，由于DKIM仅验证邮件内容及标头而非信封，此类伪造邮件可绕过检测。 攻击者还利用“me@”前缀使Gmail显示邮件直接发送至受害者地址。类似手法已在PayPal平台重现。 3月的攻击中，欺诈者通过PayPal“礼品地址”功能绑定新邮箱，在地址字段插入钓鱼信息。PayPal系统自动发送的确认邮件经攻击者转发至受害者列表。BleepingComputer 就此问题联系了 PayPal，但一直未收到回复。 Johnson 还向 Google 提交了一份错误报告，该公司最初的回复是该流程运行正常。然而，Google 后来重新考虑了这个问题，认为它对用户构成了风险，目前正在努力修复 OAuth 漏洞。 目前已有至少6款信息窃取恶意软件滥用该机制，包括Lumma、Rhadamanthys等家族，可恢复过期谷歌认证Cookie实现持久访问。       消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 微软确认，上周末Microsoft Entra账户锁定事件系因系统内部误存短期用户刷新令牌并触发失效机制所致。周六上午，多家机构报告开始收到Microsoft Entra警报，提示账户凭证泄露并触发自动锁定机制。 受影响客户最初认为账户锁定与名为“MACE凭据吊销”的新企业应用程序部署相关（该应用在警报触发前数分钟被安装）。但某受影响组织的管理员披露了微软发送的公告，指出根本原因是公司错误记录了受影响账户的完整用户刷新令牌（而非仅元数据）。 微软在意识到误记录实际令牌后启动失效程序，意外触发警报与锁定操作。微软在Reddit发布的官方公告称：“2025年4月18日（周五），我们发现内部系统错误记录了少量用户的短期刷新令牌（标准流程本应仅记录令牌元数据）。我们已立即纠正日志问题，并执行令牌失效程序以保护客户。但在失效过程中，我们无意间在Entra ID Protection中生成了’用户凭证可能已泄露’的警报。这些警报发送时间为UTC时间2025年4月20日4:00至9:00。目前没有证据表明这些令牌遭未授权访问——若后续发现任何非法访问迹象，我们将启动标准安全事件响应与通报流程。” 微软表示，受影响客户可通过Microsoft Entra中针对标记用户的“确认用户安全”反馈功能恢复账户访问权限。公司承诺将在调查结束后发布事件事后审查报告（PIR），并与所有受影响客户共享该报告。BleepingComputer周六已就此事联系微软，但截至发稿尚未获得回复。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文