HackerNews

HackerNews 编译，转载请注明出处： 全球领先汽车租赁公司赫兹集团（Hertz Corporation）正就数据泄露事件通知客户及监管机构，确认客户敏感信息遭窃。 黑客窃取内容包括： 客户姓名 联系方式 出生日期 信用卡信息 驾照信息 根据数据事件通知，此次泄露还涉及工伤赔偿相关数据。赫兹声明：“极少数个体的社会安全号码、政府签发的其他身份证明、护照信息、医疗保险/医疗补助ID（关联工伤索赔）或车辆事故索赔中的伤情信息可能受影响。” 公司未披露受影响总人数。根据向缅因州总检察长办公室提交的文件，确认该州3,409位居民信息遭泄露。赫兹还向欧盟、英国及其他国家发布了独立的数据事件通告。 数据窃取确认于2025年2月10日。赫兹解释称，攻击者利用文件传输平台Cleo的零日漏洞（分别于2024年10月和12月被利用）。赫兹使用该平台仅用于有限用途”。 Cl0p勒索组织疑似幕后黑手。 Cybernews此前报道Cleo遭俄罗斯关联勒索组织Cl0p攻击。去年末，该组织威胁将公开约60家公司数据以胁迫赎金谈判。尽管泄露网站名单经脱敏处理，但包含”hertz####”条目。 Cleo软件产品（包括Harmony、VLTrader、LexiCom）广泛用于安全文件传输与业务整合流程。攻击者利用关键零日漏洞CVE-2024-50623和CVE-2024-55956（CVSS评分9.8/10）。漏洞允许未授权攻击者通过自动运行目录默认设置，在主机系统执行任意Bash/PowerShell命令，并存在可导致远程代码执行的无限制文件上传/下载风险。 Cleo声称拥有超过4,200家企业客户，去年曾强烈建议客户立即升级所有软件实例。Cl0p的此次攻击手法类似史上最大规模黑客活动MOVEit攻击（2023年影响超2,600家机构及9,000万个人，据称获利7,500万至1亿美元）。 目前Cl0p泄露网站公告称赫兹等57家公司无视赎金通知，故已发布完整文件”。赫兹集团旗下拥有Hertz、Dollar、Thrifty品牌，现为受影响客户提供两年免费身份监控服务。 公司声明：“赫兹确认Cleo已着手调查事件并修复漏洞，同时已向执法部门报告并将向相关监管机构通报。”尽管未发现泄露信息遭滥用，赫兹仍建议客户防范潜在欺诈，定期核查账户异常活动。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某非法论坛上名为”beltway”的新注册账号声称，其于2025年4月从武田制药官网Takeda.com导出约200万条用户信息。该威胁者表示：”我们现公开出售该数据集，起拍价7.5万美元，数据仅售一次。武田官网工作人员已联系我要求下架。” 威胁者提供了部分数据样本，据称包含大量敏感信息。样本内容显示个人身份信息、职业详情及内部系统标识符混杂存在，疑似来自CRM或数据管理系统（多次提及Veeva平台）。 样本清单包含： 姓名 电子邮箱 电话号码 职位头衔 组织隶属关系 各类系统数据（ID编号、联系数据、记录状态字段等） 日本最大制药企业武田制药（创立于1781年，市值450亿美元）尚未确认或否认该指控，也未向投资者发布相关信息。公司发言人表示：”武田高度重视数据与隐私安全。我们已知晓关于企业官网Takeda.com可能存在数据泄露的指控，已启动内部调查并评估其真实性。” 网络安全研究员Neringa Macijauskaitė分析称：”样本仅包含少量用户数据，难以验证真伪。不过Veeva系统确为生物医药行业常用CRM平台。”样本中提及的”医生”和”药师”字段显示数据可能涉及客户而非内部员工，包含医疗行业典型的客户追踪属性（专业资质、同意书状态、区域划分等）。 若数据泄露属实，受影响客户将面临商业电子邮件入侵（BEC）诈骗的高风险。Macijauskaitė警告：“详细的职业信息（如CEO、医生等头衔）可使钓鱼邮件更具针对性，伪造成可信医药公司索取敏感凭证。” 值得关注的是，成熟网络犯罪组织通常避免发布未经证实的信息。但近期虚假指控激增，如Babuk2黑客组织此前散布的伪造勒索声明。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Landmark Admin就其2024年5月遭遇的网络攻击调查发布更新，确认受影响人数已升至160万。 这家总部位于德克萨斯州的第三方管理公司（TPA）主要为Liberty Bankers Life、American Benefit Life等全国性大型保险公司提供保单核算、监管报告、再保险支持及IT系统服务。 2024年10月，该公司首次披露于2024年5月13日发现网络可疑活动。 未经授权的访问被认为导致806,519人的个人信息泄露，包括： 全名 家庭住址 社会安全号码 纳税识别号 驾照号码 州政府签发身份证 护照号码 金融账户号码 医疗信息 出生日期 健康保险单号 人寿及年金保单信息 具体泄露数据类型因人而异，Landmark承诺通过个性化信件告知每位受影响者其被泄露的具体信息。 在向缅因州总检察长办公室提交的更新文件中，Landmark表示调查显示实际受影响人数应为1,613,773人。 该公司强调取证调查仍在进行中，最终受影响人数可能进一步增加，未来或将多次修正统计结果。 最新公告声明：”Landmark已开始审查受影响系统，以确定具体受影响的个人及可能泄露的信息类型。在此过程中，我们将通过邮件逐步通知相关个人。” 数据泄露通知接收者可在收到通知后90日内通过专用热线提出质询。 Landmark同时提供12个月的身份盗窃保护与信用监控服务，以降低敏感数据暴露风险。 建议措施还包括监控信用报告、设置欺诈警报或启用安全冻结功能。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta宣布将使用公开的欧盟用户数据来训练AI模型，恢复了去年因爱尔兰数据保护问题而暂停的计划。 Meta将开始使用欧盟成年人的公共数据来训练其AI模型，此前该计划因爱尔兰监管机构提出的数据保护问题于去年暂停。 2024年6月，这家社交媒体巨头宣布，应爱尔兰数据保护委员会（DPC）的要求，将推迟使用成年人在Facebook和Instagram上共享的公共内容对其大型语言模型（LLM）进行训练。 Meta对DPC的要求表示失望，公司指出这是“欧洲创新、AI开发竞争的倒退，将进一步延迟AI技术为欧洲民众带来的好处”。 “我们对爱尔兰数据保护委员会（DPC）作为欧洲数据保护机构（DPAs）牵头监管方提出的延迟训练要求感到失望，特别是我们已采纳监管反馈，且自3月起就持续向欧洲DPAs通报进展。”Meta在声明中表示，“这对欧洲创新、AI开发竞争是倒退之举，也将延后AI技术为欧洲民众带来的好处。” 该公司解释说，其人工智能，包括Llama LLM，已经在世界其他地区上市。Meta解释说，为了向其欧洲地区提供更好的服务，它需要就反映欧洲人民不同语言、地理和文化背景的相关信息对模型进行训练。出于这个原因，该公司最初计划使用其在欧盟的欧洲用户在其产品和服务上公开声明的内容来训练其大型语言模型。 Meta现在证实，它将恢复使用欧盟个人的公共数据训练其AI模型。 该公司发表的一篇帖子写道：“在欧盟，我们很快将开始训练我们的人工智能模型，了解人们在Meta上与人工智能的互动，以及成年人在Meta Products上共享的公共内容。”。“通过教授我们的生成式AI模型，更好地理解和反映他们的文化、语言和历史，这次培训将更好地支持欧洲数百万人和企业。” 该公司指出，欧盟用户可以选择反对将其公共数据用于AI训练的目的。从本周开始，欧盟用户将收到关于他们的数据被用于训练AI的通知，并可以随时选择反对。 Meta表示，他们不会使用人们与朋友和家人的私人信息来训练他们的生成AI模型。它还补充说，欧盟18岁以下人员账户中的公共数据不会用于训练目的。 “我们认为，我们有责任打造的 AI 不仅要让欧洲人能够使用，更要真正为他们而建。这就是为什么我们的生成式 AI 模型需要基于各种各样的数据进行训练，以便能够理解构成欧洲社区的那些令人惊叹的、丰富多样的细微差别和复杂性。”帖子总结道。“值得注意的是，我们正在进行的人工智能培训并不是Meta独有的，也不会是欧洲独有的。这就是我们自推出以来为其他地区训练生成式人工智能模型的方式。我们正在效仿包括谷歌和OpenAI在内的其他公司的榜样，这两家公司都已经使用欧洲用户的数据来训练他们的人工智能模型。我们很自豪我们的方法比许多行业同行更透明。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非营利组织MITRE公司表示，美国政府资金的不确定性可能导致通用漏洞和暴露（CVE）计划的中断和“恶化”。 在写给CVE董事会的一封信中，MITRE公司国土安全部中心的副总裁兼主任Yosry Barsoum表示，与美国政府管理该计划的合同将于4月16日到期，而后续资金尚未确定。 “2025年4月16日星期三，MITRE开发、运营和现代化CVE及其他相关计划（如CWE）的现有合同途径将到期。政府仍在努力延续MITRE在支持该计划中的角色，”Barsoum解释说。 他警告说：“如果出现服务中断，我们预计CVE将受到多重影响，包括国家漏洞数据库和公告的恶化、供应商响应速度减慢、应急响应能力受限，以及对各类关键基础设施的影响。” CVE计划旨在编目公开披露的网络安全漏洞，是漏洞披露和记录流程中的重要组成部分，被黑客、供应商和组织广泛用于分享关于网络安全风险的准确和一致信息。 该计划由非营利组织MITRE公司维护，该公司运营联邦研发中心，资金来源多样，包括美国政府、行业合作以及国际组织的支持。 本月早些时候，鉴于美国政府资金削减的预期，MITRE在其弗吉尼亚州办公室裁员超过400人。此前，特朗普政府宣布取消该公司价值超过2800万美元的合同。 关于CVE计划资金的担忧，正值美国国家标准与技术研究院（NIST）仍在努力清理国家漏洞数据库（NVD）中不断增加的CVE积压之际。 据NIST称，尽管国家漏洞数据库（NVD）处理新CVE的速度与2024年春季和初夏放缓之前相同，但去年提交量增加了32%，导致积压问题仍在加剧。 “我们预计2025年的提交量将继续增加，”该机构表示，并指出正在探索使用人工智能和机器学习技术来自动化某些处理任务。 积压问题已经在漏洞管理领域显现，NVD数据被视为事实来源，需要持续对数据进行分类和丰富。 如果没有更快地处理漏洞数据，报告问题与可操作情报之间的差距将扩大，这将给依赖及时信息来保护系统的组织带来严重问题。 NIST解释说，NVD现有的工作流程和数据摄取系统是为较低的CVE提交量设计的，过时的格式和手动丰富程序造成了严重的瓶颈。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Roller开源、基于Java的博客服务器软件被披露存在一个严重的安全漏洞，该漏洞可能允许恶意行为者即使在用户更改密码后仍能保持未经授权的访问权限。 该漏洞被分配了CVE编号CVE-2025-24859，其CVSS评分为10.0，表明其严重性极高。该漏洞影响Roller的所有版本，包括6.1.4版本。 “Apache Roller在6.1.5版本之前的版本中存在会话管理漏洞，用户更改密码后，活跃的用户会话未能被正确地失效，”项目维护者在一份安全公告中表示。“无论是用户自己还是管理员更改密码，现有的会话仍然保持活跃并可使用。” 成功利用该漏洞可能会使攻击者即使在密码更改后，仍能通过旧会话持续访问应用程序。如果凭证被泄露，该漏洞还可能使攻击者获得不受限制的访问权限。 该问题已在6.1.5版本中得到修复，通过实施集中式会话管理，确保在更改密码或禁用用户时，所有活跃会话都会被失效。 安全研究员孟海宁因发现并报告该漏洞而受到赞誉。 此次漏洞披露发生在Apache Parquet Java库披露另一个关键漏洞（CVE-2025-30065，CVSS评分：10.0）几周之后。如果该漏洞被成功利用，可能会允许远程攻击者在易受攻击的实例上执行任意代码。 上个月，Apache Tomcat的一个关键安全漏洞（CVE-2025-24813，CVSS评分：9.8）在漏洞细节公开后不久便遭到积极利用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个恶意软件包，该软件包被上传到Python软件包索引（PyPI）仓库，其设计目的是将用户在MEXC加密货币交易所下达的交易订单重定向到恶意服务器，并窃取代币。 这个名为ccxt-mexc-futures的软件包声称是基于一个流行的Python库ccxt（全称为CryptoCurrency eXchange Trading）的扩展，该库被用于连接和交易多个加密货币交易所，并提供支付处理服务。 尽管该恶意软件包已不再出现在PyPI上，但pepy.tech的统计数据显示，它至少已被下载了1065次。 “恶意ccxt-mexc-futures软件包的作者在其README文件中声称，该软件包扩展了CCXT软件包，以支持在MEXC上进行‘期货’交易，”JFrog研究员盖伊·科罗列夫斯基（Guy Korolevski）在与《黑客新闻》分享的一份报告中表示。 然而，对该库的深入分析揭示，它专门覆盖了与MEXC接口相关的两个API——contract_private_post_order_submit和contract_private_post_order_cancel，并引入了一个名为spot4_private_post_order_place的新API。 通过这种方式，该恶意软件包试图诱骗开发者调用这些API端点，在MEXC交易所创建、取消或下达交易订单，并在后台秘密执行恶意操作。 恶意修改特别针对原始ccxt库中与MEXC相关的三个不同功能，即describe、sign和prepare_request_headers。 这使得攻击者可以在安装该软件包的本地机器上执行任意代码，有效地从一个伪装成MEXC的虚假域名（“v3.mexc.workers[.]dev”）检索一个JSON负载，其中包含一个配置，将被覆盖的API导向一个恶意的第三方平台（“greentreeone[.]com”），而不是真正的MEXC网站。 “该软件包在MEXC集成的API中创建了条目，使用一个将请求导向greentreeone[.]com域名的API，而不是MEXC网站mexc.com，”科罗列夫斯基表示。 “所有请求都被重定向到攻击者设置的域名，这使得攻击者能够劫持受害者的所有加密货币代币以及请求中传输的敏感信息，包括API密钥和密钥。” 不仅如此，该欺诈性软件包还被设计为在发送创建、取消或下达订单的请求时，将MEXC API密钥和密钥发送到攻击者控制的域名。 安装了ccxt-mexc-futures的用户被建议立即撤销任何可能被泄露的代币，并删除该软件包。 这一事件发生在Socket披露威胁行为者利用npm、PyPI、Go和Maven生态系统中的假冒软件包发动攻击，以维持持久性并窃取数据之后。 “毫无戒心的开发者或组织可能会无意中在其代码库中引入漏洞或恶意依赖项，如果未被检测到，可能会导致敏感数据泄露或系统被破坏，”这家软件供应链安全公司表示。 这也紧随一项新的研究，该研究探讨了为生成式人工智能（AI）工具提供支持的大型语言模型（LLMs）如何通过虚构不存在的软件包并向开发者推荐这些软件包来危及软件供应链。 当恶意行为者注册并发布带有虚构名称的恶意软件包到开源仓库时，供应链威胁就会出现，这一过程会感染开发者的系统——这种技术被称为“slopsquatting”。 该学术研究发现，“商业模型中虚构软件包的平均比例至少为5.2%，开源模型中为21.7%，其中包括205,474个独特的虚构软件包名称，这进一步凸显了这一威胁的严重性和普遍性。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Huntress安全研究人员记录了针对Gladinet CentreStack和Triofox软件关键漏洞的活跃利用情况，其中默认的加密配置导致针对七家组织的攻击，并在大约120个端点上引发了异常活动。 该漏洞被标记为CVE-2025-30406，于4月初被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录，并且拥有9/10的CVSS严重性评分。 该漏洞源自CentreStack和Triofox配置文件中默认嵌入的硬编码加密密钥，这种错误配置使服务器暴露在远程代码执行攻击之下。 在这种情况下，利用默认密钥可以让攻击者绕过ASPX ViewState保护，并以IIS应用程序池用户的身份执行代码，还可能升级为完全控制整个系统。 Huntress表示，其安全运营中心在4月11日标记了这一异常情况，当时一个内部检测器（专门用于捕捉零日漏洞利用）标记了来自IIS工作进程不规则子进程的异常传出连接。 该公司称，这一初始检测（由源自PowerShell的可疑进程树突出显示）引发了一系列警报，因为恶意软件猎手从失败的ViewState验证和其他在Windows事件日志中可见的指标中拼凑证据。 该公司称，这些漏洞利用遵循了一个众所周知的剧本。一旦确定了易受攻击的服务器，攻击者就会发出精心设计的PowerShell命令来触发漏洞，最终导致远程代码执行。 在一次事件中，Huntress研究人员表示，他们追踪到了一个涉及编码的PowerShell指令的命令序列，该指令旨在下载并执行一个DLL，这种手法在最近针对CrushFTP软件漏洞的攻击中也曾出现。 “根据Shodan的数据显示，目前有几百台易受攻击的服务器暴露在公共互联网上。虽然这个数字相对较小，但立即被攻陷的风险仍然很严重，”Huntress警告说。 Huntress表示，他们观察到攻击者在网络中横向移动，利用MeshCentral等工具维持远程访问。该公司称，黑客还试图添加新的用户账户，执行标准的枚举命令，并使用默认的Impacket脚本。 Gladinet已经发布了补丁，并承认了远程代码执行的风险。 “我们可以确认，Gladinet CentreStack和Triofox的补丁在我们测试的概念验证中是有效的，能够阻止漏洞利用，”Huntress表示。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）的安全研究人员指出，Nvidia针对Nvidia容器工具包中一个关键漏洞的补丁存在问题，警告称这种不完整的缓解措施使企业仍然容易受到容器逃逸攻击。 该漏洞被标记为CVE-2024-0132，CVSS评分为9/10，去年9月作为高优先级问题进行了修补，但现在Trend Micro表示，该补丁是“不完整的”，为黑客留下了可乘之机，使他们能够在受影响的系统上执行任意命令、窃取敏感数据或提升权限。 根据Trend Micro的分析，一个精心设计的容器可以利用容器访问宿主文件系统时的检查与实际执行访问之间存在的TOCTOU（检查时到使用时）时间窗口。 这一漏洞使得攻击者能够在容器运行时注入操作，绕过预期的隔离机制，有效地让容器访问或操纵宿主资源。Trend Micro解释说，补丁未能强制执行严格的检查以排除这种竞争条件，这是该漏洞存在的原因。 Trend Micro在其对有缺陷补丁的文档中指出：“利用这些漏洞可能会使攻击者能够访问敏感的宿主数据，或者通过耗尽宿主资源来造成重大运营中断。” “成功利用这些漏洞可能会导致未经授权访问敏感宿主数据、窃取专有AI模型或知识产权、严重的运营中断，以及由于资源耗尽或系统无法访问而导致的长时间停机。” 该公司表示，使用Nvidia容器工具包或在人工智能、云计算或容器化环境中使用Docker的组织直接受到影响，特别是那些使用默认配置或最近版本中引入的特定工具包功能的组织。 “部署人工智能工作负载或基于Docker的容器基础设施的公司可能面临风险。”该公司补充道。 根据Trend Micro的分析，该工具包1.17.3及以下版本存在固有漏洞，而1.17.4版本需要明确启用allow-cuda-compat-libs-from-container功能才可被利用。 此外，Trend Micro还发现了一个与Linux系统上的Docker相关的拒绝服务漏洞。使用bind-propagation配置了多个挂载点的容器（特别是那些带有共享标志的容器）可能会触发Linux挂载表的无限制增长。 Trend Micro表示，由此导致的文件描述符耗尽构成了严重的拒绝服务风险，有效地阻止了容器的创建，并拒绝了通过SSH的远程连接。 该公司敦促企业用户将Docker API的使用限制在授权人员范围内，避免不必要的root级权限，并在Nvidia容器工具包中禁用非必要的功能，除非这些功能是严格必需的。 根据云安全供应商Wiz的文档，该漏洞威胁到超过35%使用Nvidia GPU的云环境，使攻击者能够逃逸容器并控制底层宿主系统。鉴于Nvidia GPU解决方案在云计算和本地人工智能运营中的广泛使用，这一漏洞的影响范围相当广泛。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet研究人员发现多个恶意NPM包被用于针对PayPal用户。这些包于3月初由名为tommyboy_h1和tommyboy_h2的攻击者上传至仓库，用于窃取PayPal凭证和劫持加密货币转账。 “使用与PayPal相关的名称有助于这些恶意包躲避检测，使攻击者更容易窃取敏感信息。通过在恶意包名称中加入‘PayPal’，例如oauth2-paypal和buttonfactoryserv-paypal，攻击者还营造了一种虚假的合法性，诱使开发者安装它们。”Fortinet发布的分析报告中指出，“该代码会收集并传输系统数据，如用户名和目录路径，这些数据随后可用于针对PayPal账户或出售以用于欺诈目的。” 恶意NPM包利用预安装钩子运行隐藏脚本，窃取系统信息，混淆数据，并将其传输至攻击者控制的服务器，以便用于未来的攻击。 Fortinet研究人员建议留意假冒的PayPal相关包，检查网络日志以查找异常连接，清除威胁，更新凭证，并在安装包时保持谨慎。 同一攻击者很可能创建了tommyboy_h1和tommyboy_h2这两个恶意包，以针对PayPal用户。 “tommyboy_h1和tommyboy_h2的作者很可能是同一个人，在短时间内发布了多个恶意包。我们怀疑同一作者创建了这些包，目的是针对PayPal用户。”报告总结道，“我们敦促公众在下载包时保持谨慎，并确保它们来自可信来源，以避免成为此类攻击的受害者。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肾脏透析公司DaVita表示，周六遭遇的勒索软件攻击已经影响了其部分业务，并加密了其网络的部分内容。 该公司于周一上午通知了美国证券交易委员会这一事件，并警告称，尽管已经实施了应急计划，但仍在继续为患者提供护理。 “在发现攻击后，我们立即启动了响应协议，并采取了遏制措施，包括主动隔离受影响的系统。”官员解释道，“然而，此次事件仍对我们的部分运营产生了影响。尽管我们已经采取了临时措施以恢复某些功能，但目前我们还无法估计此次中断的持续时间和范围。” DaVita表示，现在还难以确定此次攻击对公司总体产生的影响。 该公司去年报告的收入为128亿美元，是全球最大的肾脏护理提供商之一，全球共有3166个门诊透析中心，为约281100名患者提供服务。DaVita在美国运营着2500多个中心，并在其他13个国家拥有数百个中心。 其主要职能是治疗终末期肾病，这需要患者每周进行三次肾脏透析，直到获得新的肾脏。 截至周一上午，尚无任何勒索软件团伙声称对此次攻击负责。该公司也未回应有关攻击者身份或是否会支付赎金的评论请求。 网络安全专家在2025年追踪到100多起针对医疗机构的勒索软件攻击，数十家医院、诊所、实验室等因安全事件面临运营问题。 微软上个月警告称，由于患者护理中断以及与大型医院网络相比支付赎金的困难，勒索软件攻击仍然是农村医院的主要担忧。 微软官员凯特·贝恩肯表示，勒索软件攻击常常成为医院关闭的“临界点”，这不仅影响医院本身，还可能对它们所服务的社区产生危及生命的后果。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年的报税季，人工智能（AI）为一系列税务诈骗活动提供了强大助力，诈骗者利用深度伪造音频和其他技术手段拦截资金，并诱骗纳税人向他们发送财务文件。 网络犯罪分子一直以来都会利用报税季的前四个月进行诈骗，但多位网络安全专家最近指出，这些诈骗手段中出现了一个令人担忧的新变化：利用人工智能（AI）进行语音网络钓鱼攻击。 黑客利用AI生成的音频伪装成纳税人的税务准备人员、会计师或国税局工作人员，利用之前窃取的个人信息来增加诈骗的可信度。 Bugcrowd创始人Casey Ellis表示，生成式人工智能和深度伪造技术是“诈骗者的改变游戏规则的技术”。他说：“这些技术使攻击者能够扩大其运营规模，同时增加诈骗的可信度。例如，一个‘税务顾问’的深度伪造视频可以被用来诱骗受害者分享敏感信息，或者AI生成的电子邮件可以以惊人的准确性模仿国税局的官方沟通风格。” 他还表示，他们已经看到AI驱动的攻击急剧增加，这些攻击帮助网络犯罪分子制造“极具说服力的网络钓鱼电子邮件、语音电话甚至视频信息”。 Deepwatch首席信息安全官Chad Cragle和其他一些人也分别证实，今年报税季AI驱动的攻击有所增加，尤其是那些具有说服力的网络钓鱼电子邮件和深度伪造音频，这些音频被设计用来假冒值得信赖的税务官员。 Cragle补充说，攻击者正在复制声音以通过电话欺骗受害者，并主动提出帮助受害者创建国税局在线账户，诱使他们交出敏感的财务信息。 Keeper Security副总裁Patrick Tiquet指出，网络犯罪分子现在可以创建国税局工作人员、税务专业人士甚至家庭成员的逼真视频和音频模仿，诱骗个人透露像社保号码或税务凭证这样的信息。 Tiquet和Ellis表示，人们应该留意不一致之处，因为AI通常在细节方面存在困难。人们还应在交出信息之前验证身份，并拒绝任何听起来紧急的要求，无论是通过电话还是电子邮件。Ellis还补充说，一些反向图像和视频搜索工具也可以通知你内容是否是人工生成或被篡改过的。 短信诈骗、域名抢注和特朗普退税 除了AI语音诈骗外，防御者还继续看到一些经过改良的经典报税季网络盗窃手段。 Zimperium的Kern Smith表示，他看到移动优先攻击有所增加，攻击者伪装成国税局或税务服务机构发送短信，敦促收件人点击恶意链接或下载虚假应用程序。 Smith表示，这些诈骗活动旨在窃取登录凭证、社保号码和其他敏感财务信息。 专家们还强调了各种钓鱼网站和假冒平台，这些平台利用人们搜索“特朗普退税”等术语，或者寻找像H&R Block这样的知名税务公司。 Cragle表示，假冒网站利用搜索引擎优化（SEO）中毒技术，篡改搜索引擎排名，使其看起来合法并吸引受害者，而Ellis补充说，网络犯罪分子还在利用税务软件或第三方集成中的未修补漏洞。 微软上周发布了一篇长篇博客，强调了最近通过电子邮件传播恶意软件的钓鱼活动，这些电子邮件的主题行写着“通知：国税局发现您的纳税申报存在问题”或“重要行动要求：国税局审计”。 许多电子邮件都带有国税局相关文件名的PDF附件，目标是客户以及注册会计师和会计师。 微软表示：“2025年2月12日至28日，以税务为主题的钓鱼电子邮件被发送到超过2300个组织，这些组织大多位于美国的工程、信息技术和咨询行业，这些电子邮件虽然正文为空，但带有链接到恶意软件的PDF附件，附件中包含二维码。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一种新型的凭证网络钓鱼计划，该计划确保被盗信息与有效的在线账户相关联。 这种技术被Cofense命名为“精准验证网络钓鱼”，它采用实时电子邮件验证，以便只有经过筛选的高价值目标才会看到伪造的登录页面。 “这种策略不仅使攻击者在获取可用凭证方面成功率更高，因为他们只针对特定的、预先收集的、有效的电子邮件账户列表进行攻击，”该公司表示。 与通常通过大量发送垃圾邮件以随机获取受害者登录信息的“广撒网”凭证收集活动不同，最新的攻击策略将鱼叉式网络钓鱼提升到了一个新的水平，只与攻击者已验证为活跃、合法且高价值的电子邮件地址进行互动。 在这种情况下，受害者在钓鱼落地页面输入的电子邮件地址会与攻击者的数据库进行验证，之后才会显示伪造的登录页面。如果电子邮件地址不在数据库中，页面要么返回错误，要么将用户重定向到像维基百科这样的无害页面，以逃避安全分析。 通过将基于API或JavaScript的验证服务集成到钓鱼工具包中，该服务会在进入密码捕获步骤之前确认电子邮件地址，从而完成这些检查。 “这提高了攻击的效率，以及被盗凭证属于真实、活跃使用的账户的可能性，从而提高了收集到的数据的质量，以便转售或进一步利用，”Cofense表示。 “自动化安全爬虫和沙箱环境也难以分析这些攻击，因为它们无法绕过验证过滤器。这种针对性的方法降低了攻击者的风险，并延长了钓鱼活动的生命周期。” 随着网络安全公司还披露了一项使用文件删除提醒作为诱饵以获取凭证并传播恶意软件的电子邮件钓鱼活动的细节，这一发展也随之而来。 这种双管齐下的攻击利用了一个嵌入式URL，该URL似乎指向一个计划从名为files.fm的合法文件存储服务中删除的PDF文件。如果消息接收者点击链接，他们将被带到一个合法的files.fm链接，从那里他们可以下载所谓的PDF文件。 然而，当PDF文件被打开时，用户会被提供两个选项，要么预览文件，要么下载文件。选择预览的用户会被带到一个伪造的微软登录页面，该页面旨在窃取他们的凭证。而选择下载选项时，它会释放一个声称是微软OneDrive的可执行文件，但实际上是从ConnectWise的ScreenConnect远程桌面软件。 “这几乎就像是攻击者故意设计攻击来诱捕用户，迫使他们选择他们将落入哪种‘陷阱’，”Cofense表示。“两种选择都导致了相同的结果，目标相似，但实现目标的方式不同。” 这一发现也紧随一项复杂的多阶段攻击的发现之后，该攻击结合了语音钓鱼（vishing）、远程访问工具和利用现有系统资源（living-off-the-land）技术来获取初始访问权限并建立持久性。在活动中观察到的攻击手法与被追踪为Storm-1811（又名STAC5777）的攻击集群一致。 “攻击者利用暴露的通信渠道，通过Microsoft Teams消息传递恶意PowerShell负载，随后使用Quick Assist远程访问环境，”Ontinue表示。“这导致了签名二进制文件（例如TeamViewer.exe）的部署、一个侧加载的恶意DLL（TV.dll），最终通过Node.js执行基于JavaScript的C2后门。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马，该木马已被观察到针对医疗保健和制药行业发起攻击。 “攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵，旨在迫使收件人点击恶意链接，”Morphisec实验室研究员Nadav Lorber表示，“一旦访问，该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。” 最近一次观察到的活动是在2025年3月10日，其与去年思科Talos和Check Point记录的传播信息窃取恶意软件（如Lumma和Rhadamanthys）的网络钓鱼活动存在基础设施和传递机制的重叠。此次行动的一个显著特点是使用本地化的网络钓鱼诱饵，电子邮件以目标国家主要使用的语言撰写，包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语，这表明攻击者试图通过针对特定地区的攻击来扩大攻击范围，以最大限度地提高感染率。 电子邮件内容涉及法律调查或版权侵权等主题，旨在制造虚假的紧迫感，增加用户互动的可能性。 感染链的特征是使用DLL侧加载技术来启动进程。第一阶段是一个内存加载器，它解密并执行主要有效载荷，同时还采用多种技巧来逃避检测。ResolverRAT有效载荷不仅使用加密和压缩，而且一旦解码，它只存在于内存中。 “ResolverRAT的初始化序列揭示了一个复杂、多阶段的引导过程，旨在实现隐蔽性和弹性，”Lorber说，并补充说它通过Windows注册表和在文件系统中安装在不同位置作为备用机制，实现了多种冗余持久化方法。 一旦启动，该恶意软件在与命令与控制（C2）服务器建立联系之前使用定制的证书认证，从而绕过机器的根证书颁发机构。它还实施了一个IP轮换系统，如果主C2服务器不可用或被关闭，它将连接到备用C2服务器。 此外，ResolverRAT配备了通过证书固定、源代码混淆和不规则信标模式向C2服务器发送信号来逃避检测的能力。 “这种先进的C2基础设施展示了攻击者的高级能力，结合了安全通信、备用机制和旨在维持持久访问同时逃避安全监控系统检测的逃避技术，”Morphisec表示。 该恶意软件的最终目标是处理C2服务器发出的命令，并将响应数据传回，将超过1MB大小的数据分解为16KB的块，以最大限度地减少被检测到的可能性。 尽管此次行动尚未被归因于特定的组织或国家，但诱饵主题的相似性和与之前观察到的网络钓鱼攻击中使用的DLL侧加载的使用暗示了可能的联系。 “这种对齐表明攻击者基础设施或行动手册可能存在重叠，可能指向相关威胁组织之间的共同附属模式或协调活动，”该公司表示。 随着CYFIRMA详细描述了另一种名为海王星RAT的远程访问木马，该木马采用模块化、基于插件的方法来窃取信息、在主机上保持持久性、索要500美元的赎金，甚至覆盖主引导记录（MBR）以扰乱Windows系统的正常运行，这一发展也随之而来。 它通过GitHub、Telegram和YouTube免费传播。尽管如此，与该恶意软件相关的GitHub个人资料（称为MasonGroup，即FREEMASONRY）目前已无法访问。 “海王星RAT结合了先进的反分析技术和持久性方法，以在受害者的系统上长期保持存在，并配备了危险的功能，”该公司在上周发布的分析中指出。 它包括“加密剪贴板、能够窃取270多个不同应用程序凭证的密码窃取器、勒索软件功能以及实时桌面监控，使其成为一个极其严重的威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年12月，SEQRITE检测到一个与巴基斯坦有关联的威胁行为者针对印度多个领域发起攻击，涉及铁路、石油天然气以及外交部等多个部门。此次攻击标志着该黑客组织的攻击范围已从政府、国防、海洋以及大学等领域进一步扩大。 此次攻击中使用了多种远程访问木马，包括Xeno RAT、Spark RAT以及之前未被记录的CurlBack RAT恶意软件家族。安全研究员Sathwik Ram Prakki指出：“近期攻击活动中一个显著的变化是从使用HTML应用程序（HTA）文件转变为采用微软安装程序（MSI）包作为主要的初始攻击手段。” SideCopy被认为是活跃于2019年至今的Transparent Tribe（又名APT36）的一个分支。该组织之所以得此名，是因为其模仿了另一个名为SideWinder的威胁行为者的攻击链来传递自己的恶意载荷。 2024年6月，SEQRITE曾指出SideCopy使用了经过混淆处理的HTA文件，并利用了此前在SideWinder攻击中观察到的技术。这些文件还被发现包含指向由SideWinder使用的RTF文件的URL链接。 攻击最终导致了Action RAT和ReverseRAT两种已知恶意软件家族的部署，它们均被归因于SideCopy。此外，攻击还涉及其他多种载荷，包括用于窃取文件和图片的Cheex、从连接的驱动器中抽取数据的USB复制器，以及一种基于.NET的Geta RAT，该恶意软件能够执行来自远程服务器的30条命令。 该RAT能够窃取火狐浏览器以及基于Chromium的浏览器的所有账户、配置文件和Cookie数据，这一功能是从AsyncRAT借鉴而来的。 SEQRITE当时指出：“APT36主要针对Linux系统，而SideCopy则针对Windows系统，并为其武器库增添了新的载荷。” CurlBack RAT和Spark RAT 最新发现表明，该黑客组织仍在不断发展成熟，通过电子邮件钓鱼作为恶意软件的传播载体。这些电子邮件包含各种类型的诱饵文件，从铁路工作人员的假期名单到由印度石油公司（HPCL）发布的信息安全指南等。 其中一个攻击集群特别值得关注，因为它能够同时针对Windows和Linux系统，最终导致跨平台远程访问木马Spark RAT和一种新的基于Windows的恶意软件CurlBack RAT的部署。CurlBack RAT能够收集系统信息、从宿主下载文件、执行任意命令、提升权限以及列出用户账户。 另一个攻击集群被观察到使用诱饵文件作为启动多步骤感染过程的一种方式，该过程会投放一个定制版本的Xeno RAT，该软件采用了基本的字符串操作方法。 该公司指出：“该组织已从使用HTA文件转变为使用MSI包作为主要的初始攻击手段，并继续采用诸如DLL侧加载、反射加载以及通过PowerShell进行AES解密等高级技术。” “此外，他们还利用定制化的开源工具，如Xeno RAT和Spark RAT，并部署了新发现的CurlBack RAT。被入侵的域名和虚假网站被用于凭证钓鱼和载荷托管，凸显了该组织持续增强持久性和规避检测的努力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全与基础设施安全局（CISA）正在敲定计划，准备在白宫的密切关注下削减人员和开支。白宫一直对CISA的角色不满，认为其在压制保守派观点方面发挥了作用。 据一位直接了解计划进展的消息人士向Recorded Future News透露，该机构计划通过裁掉大约一半的全职员工和40%的合同工，总共裁掉大约1300人。 两位熟悉计划的消息人士称，该机构的国家风险管理中心（NRMC）——作为分析网络和关键基础设施风险的中心枢纽——预计将面临大幅削减。其中一位消息人士称，该办公室的部分系统性风险责任可能会被转移到该机构的网络安全司。 官员们表示，裁员的分配以及具体谁将失去工作仍在决定之中。特朗普政府过去曾在最终决定前改变过方向，消息人士强调，目前关于要削减什么的讨论可能会发生变化。 他们还表示，宣布的时间表尚未确定。 CBS新闻首先报道了CISA计划裁掉1300名员工的消息。CISA的一位发言人拒绝置评。 这一举措正值总统唐纳德·特朗普加大对CISA的审查力度之际，该机构因处理选举干预和虚假信息传播的方式而受到保守派的批评。周三，总统发布了一份备忘录，包括“对CISA过去6年所有活动的全面评估”，并撤销了该机构首任局长克里斯·克雷布斯所持有的安全许可。 参议院国土安全与政府事务委员会主席、肯塔基州共和党参议员兰德·保罗表示，他希望取消该机构，因为他认为该机构审查了保守派观点。 除了NRMC，CISA的利益相关方参与司（SED）——负责协调政府机构、私营公司和非营利组织执行保护关键基础设施特定方面的角色——也在考虑削减对象之列，两位了解当前想法的消息人士称。 据一位熟悉讨论的消息人士称，CISA的地方办事处也在讨论范围之内，其中包括将这些办事处的主任改为政治任命人员。 两位熟悉政府当前计划的消息人士称，CISA的威胁狩猎团队将被削减，但不会被取消。 CISA所在的国土安全部最近扩大了其自愿离职计划，包括提前退休，以及在某些情况下的买断工龄，为那些即将自愿离职的员工提供高达25000美元的一次性付款，4月7日的一份备忘录显示。备忘录称，员工需在周一之前决定是否接受这一提议。 另外，参议院俄勒冈州民主党参议员罗恩·怀登阻止了被选中负责CISA的肖恩·普兰基的提名。怀登昨天宣布，他将搁置这一提名，直到CISA发布一份详细说明该国电信系统安全漏洞的文件。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fourlis集团在欧洲多国经营宜家门店，日前表示，黑客攻击使其遭受了数千万美元的损失。 黑客在去年黑色星期五的两天前入侵了该公司的系统，影响了希腊、塞浦路斯、保加利亚和罗马尼亚的Fourlis集团资产。当时，尚不清楚该公司哪部分业务受到了影响，但最终发现是其宜家门店受到了冲击。 据Fourlis集团最近发布的财务业绩新闻稿称，此次攻击影响了该集团的家具业务板块，也就是其宜家门店。该公司声称，此次攻击造成了暂时性的中断。 黑客入侵持续了两周多，严重影响了宜家的在线商店和客户管理系统。据Fourlis集团的新闻稿显示，此次攻击导致公司销售额损失约1500万欧元（约合1700万美元）。该公司声称，截至今年3月，公司所有系统已全面恢复，此次攻击的影响已完全消除。 “2024年底，我们遭遇了一起网络安全事件，暂时扰乱了运营。但我们迅速且有效地应对，保护了数据，恢复了系统，并保障了集团的盈利能力。”Fourlis集团首席执行官在新闻稿中如是说。 据报道，该公司并未支付赎金，而是选择承受损失，并重新加大对IT领域的投资。然而，如果该公司真的没有支付赎金，那么攻击者很可能会选择公布被盗数据。 到目前为止，还没有勒索软件组织声称对此次攻击负责。 这并非宜家门店首次成为黑客的目标。2022年，勒索软件团伙Vice Society入侵了摩洛哥和科威特的宜家门店，并在该团伙的暗网博客上曝光了该公司。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非第四大电信运营商Cell C近日确认，2024年的一次网络攻击导致其客户数据泄露。Cell C成立于2001年，提供预付费和后付费移动套餐、数据套餐、互联网服务、光纤宽带、漫游及国际通话服务，以及SIM卡套餐和设备交易。 此次攻击由勒索软件组织RansomHouse发起，该组织在暗网泄露网站上公布了被盗数据，声称窃取了2TB的数据。泄露信息包括客户全名、联系方式、身份证号码、银行信息、驾照号码、医疗记录和护照详情。Cell C表示，攻击者未经授权访问了其部分IT系统。 Cell C在声明中指出，RansomHouse未经授权披露了此次网络安全事件中泄露的数据。公司迅速采取行动，与顶级网络安全和取证专家合作，通知相关机构，并积极支持受影响的利益相关者。Cell C还提醒客户保持警惕，防范欺诈、网络钓鱼和身份盗窃，并提供了包括向南非金融部门反欺诈计划（SAFPS）注册以获得额外保护的指导。 RansomHouse勒索软件组织背景 RansomHouse自2021年12月开始活跃，与其他勒索组织不同，该组织不加密数据，而是专注于数据盗窃以加快勒索活动。其受害者包括AMD和Keralty等公司。该组织通过泄露数据来羞辱未支付赎金的受害者。专家建议，仅靠备份数据不足以防范此类攻击，入侵预防系统（IPS）是更好的保护手段。 美国医疗机构成网络攻击重点目标 美国医疗机构因其管理的大量敏感数据成为网络攻击者的重点目标。2024年，美国医疗保健提供商遭受的勒索软件攻击激增，共发生98起攻击事件，涉及1.17亿条记录。这些攻击导致医院系统被锁定，迫使医院切换到手动操作流程。其中一些重大数据泄露事件包括Change Healthcare（1亿条记录）、Summit Pathology（180万条记录）、OnePoint Patient Care（79.6万条记录）和波士顿儿童健康医生（90.9万条记录）。 Loretto医院数据安全事件 2023年，Loretto医院也经历了一起数据安全事件。2023年1月19日，一名前员工盗用了少数患者的监控录像，并将其发布在Facebook上。事件被发现后，相关录像被删除。Loretto医院识别了受影响的个人，并于2023年3月15日通过邮件通知他们，提供保护信息的指导。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，日产Leaf电动汽车存在一系列漏洞，攻击者可利用这些漏洞远程入侵车辆，进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司PCAutomotive开展，并在2025年4月1日举办的Black Hat Asia 2025上进行了详细展示。 研究人员以2020年生产的第二代日产Leaf为研究对象，发现其信息娱乐系统的蓝牙功能存在漏洞，可被攻击者利用作为入侵车辆内部网络的入口。攻击者随后能够提升权限，并通过车载通信模块建立命令与控制（C&C）通道，从而通过互联网直接、隐蔽且持续地访问电动汽车。 研究人员展示了攻击者如何利用这些漏洞监视车主，例如跟踪车辆位置、截取信息娱乐系统屏幕截图以及录制车内人员对话。此外，攻击者还能远程操控车辆的多项物理功能，包括车门、雨刷、喇叭、后视镜、车窗、车灯，甚至方向盘，即使车辆处于行驶状态也不例外。 这些漏洞共被分配了八个CVE编号，从CVE-2025-32056到CVE-2025-32063。研究人员表示，漏洞披露流程始于2023年8月，日产在2024年1月确认了这些发现，但直到最近才完成CVE分配。 日产的一位发言人表示：“PCAutomotive就其研究与日产取得了联系。出于安全原因，我们拒绝透露具体的对策或细节。为了我们客户的出行安全和安心，我们将继续开发并推出对抗日益复杂网络攻击的技术。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文