HackerNews

HackerNews 编译，转载请注明出处： 俄罗斯正采取措施，暂时限制外国 SIM 卡接入移动网络。这是俄罗斯在国家安全和反无人机措施的名义下，加强通信管控的最新举措。 新规要求，持外国 SIM 卡入境俄罗斯的人员，其移动网络将被强制中断 24 小时。邻国白俄罗斯和哈萨克斯坦的移动运营商已向旅客发出提醒：接入俄罗斯通信网络后的首 24 小时内，包括移动互联网和短信在内的漫游服务将无法使用。 据俄罗斯本土网络监测机构 “Na Svyazi”表示，每当用户跨越俄国内区域边境或切换至不同通信网络时，上述限制就会重新生效。这意味着在俄罗斯境内旅行期间，用户的通信连接可能持续处于不稳定状态。 俄罗斯政府尚未就该措施公开置评。不过在今年 8 月，俄官员曾提议对外国 SIM 卡设置所谓的 “冷却期”，即用户入境后移动数据服务将暂时停用。他们称，这项规定对于防止无人机通过外国移动网络被操控至关重要，并表示断网时长的设定依据是 “跨境无人机的平均飞行时间”。 如今，获取俄罗斯本地 SIM 卡也变得愈发困难。外国游客需前往银行提交生物特征数据，通过俄罗斯政府 “国家政务服务”（Gosuslugi）平台完成注册，并申请个人税号 —— 整个流程可能需要数天时间。据悉，移动运营商已请求政府简化这一手续。 此次新限制出台之际，俄罗斯正经历一波范围更广的网络中断。自今年 5 月以来，俄地方当局多次切断移动网络，理由是需要 “对抗乌克兰无人机”。官员们还封锁了通过 Telegram、WhatsApp 等热门即时通讯应用发起的通话，并将此举定性为 “反欺诈行动” 的一部分。 数字权益组织及监督机构指出，许多网络中断措施看似具有随意性，与实际安全威胁并无关联。分析人士认为，部分地方当局关闭移动网络，仅仅是为了向克里姆林宫表明 “正在采取反无人机行动”—— 尽管无人机的操控通常并不依赖移动数据。 “Na Svyazi” 的数据显示，仅今年 8 月，俄罗斯就记录了 2129 次网络中断事件，这是自对乌克兰发起全面军事行动以来的最高纪录，造成的经济损失估计达 3.23 亿美元。多数中断为局部性，仅影响部分城市区域，但也有部分中断导致整座城镇的移动网络陷入瘫痪。 官员们以 “安全关切”“无人机威胁” 和 “高度戒备状态” 为由，为这些限制措施辩护。但 “Na Svyazi” 指出，法律专家认为此类措施并未获得联邦法律的明确授权：俄联邦法律仅允许在战时状态、紧急状态或根据俄联邦安全局（FSB）直接指令的情况下限制通信 —— 而目前这三种情况均未正式宣布。 当地专家表示，针对外国 SIM 卡的最新限制措施，预计将给旅客、外籍居民及跨境企业带来极大不便，因为用户可能无法使用依赖短信验证的移动银行服务及身份认证服务。 电信行业分析师埃尔达尔・穆尔塔津（Eldar Murtazin）撰文称：“现在，外国 SIM 卡在俄罗斯的漫游服务基本可以指望不上了，至少要等到无人机局势稳定 —— 而这一切何时能结束，根本无法预测。” 他还补充道，如此大规模的通信服务限制，在全球其他地区尚无先例。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家黑客组织声称入侵了以色列航天通信公司Spacecom，该公司运营着AMOS卫星（以色列军民两用静止轨道通信卫星）。攻击者称，已获取了该公司地面控制站的访问权限。 亲巴勒斯坦黑客组织Handala在其暗网博客上将Spacecom列为攻击目标，该组织常通过此博客展示其最新攻击对象。 攻击者声称，他们从Spacecom系统中获取了几百个GB 的数据，其中包括地面控制站的相关数据（地面控制站是卫星控制基础设施的核心组成部分）。 Spacecom运营着多颗AMOS卫星，通过这些卫星在中东、欧盟及其他地区提供民用和军用通信服务，该公司年收入约为 1 亿美元。 Handala组织称，此次获取的数据约379GB 数据，其中包含多个国家地面站的信息。该组织还额外发布了一篇帖子，据称曝光了太空通信公司员工的个人详细信息。 根据Cybernews研究团队消息，暗网上的截图包含Spacecom与客户签订的保密协议照片。这些协议主要涉及使用AMOS—17卫星进行通信服务的客户。研究人员表示，协议中包含服务套餐规格等内容，并非高度敏感信息。 研究人员解释道：“Handala组织附带了一个约 960MB 的压缩文件夹，其中包含 RINEX 观测与导航文件，这些文件看似仅是卫星运行日志，可用于实时监控卫星运行状态，但要发挥实际作用，还需配合其他敏感信息。” 该团队认为，这些信息主要可用于对该公司员工实施社会工程学攻击。 研究人员表示：“目前尚无充分证据表明他们确实掌握了可控制卫星的高度机密数据或敏感系统。尽管如此，太空通信公司应立即对可能遭攻击的系统进行漏洞修补。” 与此同时，Handala组织是一个支持德黑兰的黑客激进组织，其攻击目标主要为以色列及西方机构。与勒索软件团伙类似，该组织运营着一个暗网博客，用于发布窃取的数据。 今年早些时候，该组织曾攻击伊朗国际电视台。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国哈罗德百货公司通知客户，因第三方供应商问题发生数据泄露事件，部分客户的姓名及联系方式已泄露。 英国奢侈品百货公司哈罗德向客户发出警告，称其在线系统遭遇数据泄露。该公司证实，由于其合作的一家第三方供应商系统被入侵，部分电商客户的姓名和联系方式已泄露。目前，哈罗德百货正在调查此事件，并与网络安全专家合作以确保系统安全，避免客户数据面临进一步风险。 哈罗德百货在一份声明中表示：“我们从一家第三方供应商处获悉，部分哈罗德电商客户的个人数据已从其系统中被窃取。” “我们已告知受影响客户，此次泄露的个人数据仅限于基本个人身份信息，包括姓名和联系方式，但不包含账户密码及支付信息。”“第三方已确认这是一起已得到控制的孤立事件，我们正与他们密切合作，确保所有必要措施均已落实到位。我们已向所有相关部门通报了该事件。”该公司确认此次安全漏洞已得到缓解，并指出未发生财务数据泄露情况。 此次安全漏洞与 5 月的网络攻击事件无关。今年 5 月，这家奢侈品百货公司证实遭遇网络攻击，攻击者试图非法访问其部分系统。为应对此次攻击，该公司 “限制了旗下场所的互联网访问权限”。 今年 7 月，英国国家犯罪局（NCA）在对近期针对合作社集团、玛莎百货及哈罗德百货的系列攻击事件展开调查后，在英国境内逮捕了 4 名涉案人员。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个包含近10,000名科罗拉多州美国全国步枪协会（National Rifle Association of America,NRA）支持者姓名和家庭住址的邮件列表被意外发布到网上，导致敏感数据暴露给任何在谷歌上搜索的人。 “NRA之友”是一个支持射击运动和枪支教育项目的非营利组织。它主要是美国全国步枪协会基金会的一个筹款项目。 Cybernews 收到一位读者的消息，该读者称其在谷歌上搜索一位朋友时，发现”NRA之友”意外地在自己的网站上发布了一个1.1MB的包含姓名和家庭住址的邮件列表，并且该列表已被搜索引擎收录。 Cybernews 的研究人员调查了这一说法，发现该数据集很可能来自2018年。该列表包含了近10,000名在 friendsofnra.org 网站上注册参加抽奖和服务的科罗拉多州客户的联系数据。此次泄露很可能是由于疏忽和人为错误造成的，因为此类配置错误非常普遍。 Cybernews 的研究人员表示：”这次数据泄露的影响有限，因为只涉及姓名和家庭住址。”，”此外，这些数据是七年前的，可能已经不再是最新的了。尽管如此，泄露此类数据可能会导致跟踪和骚扰。” Cybernews 已联系该组织，但尚未收到回复。 2021年，与俄罗斯有关联的、臭名昭著的 Evil Corp 的子公司 Grief，曾针对有争议的游说团体美国全国步枪协会。NRA当时未承认有任何违规行为，声称其不讨论电子安全事宜。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，思科（Cisco）与网络安全机构就一场攻击活动发出警报：某 “高级威胁行为者” 正利用此前未被发现的思科高危漏洞发起持续攻击。借助这些漏洞，攻击者可实现权限提升，并以 “根用户（root）” 身份在防火墙设备上执行远程代码。 网络安全搜索引擎 Censys警告称，其检测到 192,038 台可通过互联网访问的思科路由器与交换机（运行 IOS 或 IOS XE 系统）暴露在外，且这些设备均启用了 SNMP（简单网络管理协议，Simple Network Management Protocol）服务。 Censys 在安全公告中表示：“我们建议立即排查所有启用 SNMP 服务的设备，确认其是否已安装补丁或采取缓解措施。鉴于该漏洞的高危属性及当前正被利用的现状，相关处置工作需紧急推进。” 上周，思科披露了其产品线中存在的多个高危漏洞，涉及 SNMP 服务及思科安全防火墙产品（包括自适应安全设备 Adaptive Security Appliance、思科安全防火墙威胁防御系统 Cisco Secure Firewall Threat Defense 等软件）。 SNMP 协议主要用于设备的远程管理与监控。此次发现的漏洞可被已通过远程认证的攻击者滥用：根据攻击者拥有的权限不同，其可通过漏洞导致设备 “拒绝服务（DoS）”，或直接以根用户身份执行远程代码。 尽管思科防火墙中的漏洞风险等级更高，但暴露在外的 SNMP 服务可通过外部扫描轻易被发现 —— 攻击者也能借助物联网（IoT）搜索引擎，轻松定位到这些暴露的服务。 此次特定的 SNMP 漏洞影响范围包括未打补丁的思科 IOS 及 IOS XE 软件，涉及的硬件设备包括思科 Catalyst 9300 系列交换机与 Meraki MS390 交换机。且该漏洞对所有旧版本的 SNMP 协议均存在影响。 美国网络安全与基础设施安全局（CISA）上周发布指令，强制要求各政府机构在24 小时内为相关设备安装补丁。 CISA 上周指出：“此次攻击活动波及范围广泛，给目标网络带来重大风险。” 目前，思科已发布紧急软件更新以修复上述漏洞，且暂无其他可替代的临时缓解方案（即除安装官方补丁外，无其他办法规避漏洞风险）。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正提请关注一场新的钓鱼攻击活动，该活动主要针对美国境内机构，且疑似利用大型语言模型（LLM）生成代码，对攻击载荷进行混淆处理，以绕过安全防护机制。 微软威胁情报团队在上周发布的分析报告中指出：“该攻击活动疑似借助大型语言模型（LLM），将恶意行为隐藏在 SVG 文件中，并利用商业术语和合成结构掩盖其恶意意图。” 这场于 2025 年 8 月 28 日被检测到的攻击活动表明，威胁行为者正越来越多地将人工智能（AI）工具纳入其攻击流程，目的通常包括制作更具欺骗性的钓鱼诱饵、自动完成恶意软件混淆，以及生成模仿合法内容的代码。 据微软（这家 Windows 操作系统开发商）记录的攻击链显示，威胁行为者利用已被入侵的企业邮箱账户发送钓鱼邮件，以窃取受害者凭证。这些邮件伪装成 “文件共享通知”，诱骗受害者打开看似 PDF 文档的文件 —— 但实际上，该文件是可缩放矢量图形（Scalable Vector Graphics，简称 SVG）文件。 此类邮件的一大特点是攻击者采用 “自发送” 策略：发件人与收件人地址一致，而真正的攻击目标则隐藏在密送（BCC）字段中，以此绕过基础检测规则。 微软表示：“SVG 文件（可缩放矢量图形）对攻击者极具吸引力，原因在于其基于文本且支持脚本编写，可直接在文件内嵌入 JavaScript 及其他动态内容。这使得攻击者能够交付看似无害的交互式钓鱼载荷，无论对用户还是多数安全工具而言，都难以识别其恶意本质。” 微软进一步补充，SVG 文件格式还支持 “隐藏元素”“编码属性”“延迟脚本执行” 等特性，这些功能使其成为攻击者规避静态分析与沙箱检测的理想选择。 SVG 文件一旦被打开，会将用户重定向至一个要求完成 “验证码（CAPTCHA）安全验证” 的页面。受害者完成验证后，通常会被引导至伪造的登录页面，其凭证随之被窃取。微软称，由于该威胁已被其系统识别并中和，目前尚不清楚后续具体攻击步骤。 此次攻击的独特之处在于其非常规的混淆手段：利用商业相关术语隐藏 SVG 文件中的钓鱼内容 —— 这一特征表明，相关代码可能由 LLM 生成。 微软解释道：“首先，SVG 代码的开头被构造成看似合法的‘企业分析仪表盘’样式。这种设计旨在误导任何随意检查文件的人，让他们误以为该 SVG 的唯一用途是可视化展示业务数据。但实际上，这只是一个伪装。” 其次，攻击载荷的核心功能（包括将用户重定向至初始钓鱼落地页、触发浏览器指纹识别、启动会话跟踪）也被一串冗长的商业相关术语（如 “收入”“运营”“风险”“季度”“增长”“份额” 等）所掩盖。 微软表示，其已将相关代码在 Security Copilot（微软安全副驾驶）中进行分析，结果显示该程序 “并非人类通常会从零编写的代码 —— 因其复杂度高、冗余度大，且缺乏实际应用价值”。微软得出这一结论的依据包括以下几点： 函数与变量的命名过于描述性且冗余 代码结构高度模块化但过度设计 注释内容通用且冗长 利用商业术语实现混淆的方法具有公式化特征 SVG 文件中包含 CDATA 段与 XML 声明，疑似为模仿文档示例而添加 微软指出：“尽管此次攻击活动影响范围有限且已被有效拦截，但各类威胁行为者正越来越多地采用类似技术。” 与此同时，Forcepoint（网络安全公司）也披露了一起多阶段攻击事件：攻击者通过含.XLAM 附件的钓鱼邮件执行 shellcode（壳代码），最终通过二级载荷部署 XWorm 远程访问木马（RAT）；同时，攻击者会显示空白或损坏的 Office 文件作为伪装。其中，二级载荷的作用是作为 “通道”，在内存中加载.DLL 文件。 Forcepoint 表示：“在内存中运行的二级.DLL 文件采用了高度混淆的打包与加密技术。该二级.DLL 文件通过‘反射式 DLL 注入’技术，在内存中再次加载另一个.DLL 文件，而后者最终负责执行恶意软件。” “后续的最终步骤是在其自身主可执行文件中进行‘进程注入’，以维持持久化控制，并将数据窃取至其命令与控制（C2）服务器。经核查，这些接收窃取数据的 C2 服务器与 XWorm 家族恶意软件相关。” 此外，Cofense（邮件安全公司）称，近几周的钓鱼攻击还利用 “美国社会保障局”“版权侵权” 等相关诱饵，分别分发 ScreenConnect ConnectWise（远程控制工具，常被用于后续攻击）及 Lone None Stealer、PureLogs Stealer 等信息窃取恶意软件。 针对 “版权侵权” 主题的钓鱼攻击，Cofense 表示：“攻击者通常伪装成多家律师事务所，声称要求受害者移除其网站或社交媒体页面上的侵权内容。该攻击活动的显著特点在于其创新手段：利用 Telegram 机器人资料页交付初始载荷、使用混淆处理的编译型 Python 脚本载荷，且通过多版攻击样本可看出其复杂度正不断升级。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了据称是全球首例在实际环境中被检测到的恶意模型上下文协议（Model Context Protocol，简称 MCP）服务器，这一发现加剧了软件供应链面临的风险。 据 Koi 安全公司透露，一名伪装成合法开发者的人员，在一个名为 “postmark-mcp” 的 npm 包中植入了恶意代码。该恶意包与 Postmark Labs 官方同名库高度相似，其恶意功能从 2025 年 9 月 17 日发布的 1.0.16 版本开始植入。 而 GitHub 上的正版 “postmark-mcp” 库，其功能是提供一个 MCP 服务器，供用户发送电子邮件、获取并使用电子邮件模板，以及通过人工智能（AI）助手跟踪营销活动。 涉事的 npm 包已被开发者 “phanpak” 从 npm 平台删除。该开发者于 2025 年 9 月 15 日将该包上传至 npm 仓库，此外还维护着其他 31 个包。这个 JavaScript 库在被删除前，累计被下载了 1643 次。 Koi 安全公司首席技术官伊丹・达迪克曼（Idan Dardikman）表示：“自 1.0.16 版本起，这个包就一直在暗中将每封电子邮件复制到开发者的私人服务器上。这是全球首次发现现实环境中的恶意 MCP 服务器。终端供应链攻击的攻击面正逐渐成为企业面临的最大攻击面。” 该恶意包是对正版库的仿制品，唯一区别是在 1.0.16 版本中添加了一行代码 —— 这行代码会通过 “密送（BCC）” 方式，将所有通过该 MCP 服务器发送的电子邮件转发至邮箱地址 “phan@giftshop [.] club”，这一行为可能导致敏感通信内容泄露。 达迪克曼指出：“postmark-mcp 中的后门并不复杂，甚至简单到令人尴尬。但它完美地证明了整个生态体系的漏洞有多严重：一名开发者、一行代码，就能导致成千上万封邮件被窃取。” 研究人员建议已安装该 npm 包的开发者，立即从工作流程中移除该包，更换所有可能通过电子邮件泄露的凭证，并检查电子邮件日志，确认是否存在向上述域名发送密送邮件的记录。 Snyk 公司（注：知名应用安全公司）表示：“MCP 服务器通常在代理工具链中拥有较高信任度和广泛权限。因此，它们处理的所有数据都可能具有敏感性，例如密码重置邮件、发票、客户沟通记录、内部备忘录等。在本次事件中，这个 MCP 服务器中的后门被设计用于收集并窃取依赖该 MCP 服务器的智能代理工作流（agentic workflows）所产生的电子邮件。” 此次事件表明，威胁 actors（注：指从事网络攻击等恶意活动的个人或组织）仍在利用开源生态系统以及新兴的 MCP 生态系统中的用户信任谋取私利，尤其当这些系统在缺乏足够安全防护措施的情况下，被部署到企业关键业务环境中时，风险更为突出。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周五，国际刑警组织宣布，其协助组织的7、8月打击跨国网络犯罪专项行动取得重大成果。 非洲14个国家同步收网，累计抓获260名涉嫌网恋诈骗与敲诈勒索的犯罪嫌疑人。警方核实此类诈骗累计波及超1400名受害者，总损失金额接近280万美元。 国际刑警组织拥有196个成员国，是全球规模最大、致力于打击跨国犯罪的国际警务网络。其总部位于法国里昂，主要职能包括协助各国警方开展沟通协作，在反恐、金融犯罪、儿童色情、网络犯罪、有组织犯罪等领域追踪嫌疑人和犯罪分子。近年来，国际刑警组织面临诸多新挑战，包括网络犯罪与儿童性虐待案件数量持续增加。 此次行动中，多个非洲国家的抓捕细节与作案特点被公开。 加纳：警方逮捕了 68名嫌疑人，他们涉嫌使用虚假身份诱骗受害者支付虚假的运输费用，或通过秘密录制的裸露视频进行勒索。 塞内加尔：警方逮捕了 22名嫌疑人，他们冒充社交媒体和交友平台上的名人，诈骗了 100多人，涉案金额约 3.4万美元。 科特迪瓦：警方逮捕了 24名嫌疑人，他们被指控利用虚假账号获取并用亲密影像勒索受害者。   国际刑警组织警务服务代理执行主任西里尔・古特（CyrilGout）在声明中指出：“非洲各国网络犯罪部门的报告显示，‘性勒索’、‘网恋诈骗’这类依托数字平台的犯罪，正以惊人速度增长。” 他进一步分析，随着社交软件、交友平台的普及，犯罪集团找到了新的剥削切口。利用人们对情感的需求，通过虚拟身份编织陷阱，最终造成受害者经济损失，给他们带来心理伤害，甚至引发极端事件。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现一场新的钓鱼攻击活动，攻击者伪装成乌克兰政府机构，通过钓鱼邮件分发 CountLoader 恶意程序，进而植入 Amatera Stealer（窃取程序）与 PureMiner（挖矿程序）。 “钓鱼邮件中包含恶意可缩放矢量图形（SVG）文件，目的是诱骗收件人打开有害附件。”Fortinet 公司 FortiGuard 实验室研究员 Yurren Wan 在一份提交给《The Hacker News》的报告中表示。 根据该网络安全公司记录的攻击链，SVG 文件会触发下载一个受密码保护的 ZIP 压缩包，包内包含一个编译型 HTML 帮助文件（CHM 文件）。运行该 CHM 文件后，会触发一系列操作，最终部署 CountLoader 恶意程序。而钓鱼邮件则谎称是 “乌克兰国家警察局” 发出的通知。 CountLoader 此前已被安全公司 Silent Push 分析过，当时发现它可植入多种恶意载荷（如 Cobalt Strike、AdaptixC2、PureHVNC 远程访问木马（RAT））。但在本次攻击链中，它被用作 “分发载体”，专门传播 Amatera Stealer（ACRStealer 的变种，一款信息窃取程序）与 PureMiner（一款隐蔽的.NET cryptocurrency 挖矿程序）。 PureCoder 威胁 actor 的恶意软件套件 值得注意的是，PureHVNC RAT 与 PureMiner 均来自一个名为PureCoder的威胁 actor 开发的恶意软件套件。该开发者还开发了以下多款恶意工具： PureCrypter：针对原生程序（Native）与.NET 程序的加密工具，用于隐藏恶意代码以躲避检测； PureRAT（又称 ResolverRAT）：PureHVNC RAT 的升级版，功能更完善的远程访问木马； PureLogs：兼具信息窃取与日志记录功能的恶意程序； BlueLoader：可作为僵尸网络（botnet）的恶意软件，能远程下载并执行其他恶意载荷； PureClipper：剪贴板劫持恶意程序，会将用户复制的 cryptocurrency 钱包地址替换为攻击者控制的地址，从而窃取转账资金。 根据 Fortinet 的研究，Amatera Stealer 与 PureMiner 均以 “无文件（fileless）威胁” 形式部署 —— 这类恶意软件不依赖本地文件存储，而是通过两种方式执行： 借助.NET 提前编译（AOT）技术，结合 “进程注入（process hollowing）” 技术执行； 通过 PythonMemoryModule 工具直接加载到内存中运行。 Amatera Stealer 运行后会执行以下操作： 收集受感染设备的系统信息； 搜索并窃取符合 “预定义扩展名列表” 的文件； 从基于 Chromium 内核（如 Chrome、Edge）与 Gecko 内核（如 Firefox）的浏览器中窃取数据； 窃取多款应用程序的敏感信息，包括 Steam 游戏平台、Telegram 即时通讯软件、FileZilla FTP 工具，以及各类 cryptocurrency 钱包。 Fortinet 指出：“此次钓鱼活动表明，恶意 SVG 文件可作为 HTML 文件的替代品，触发完整的感染链。” 在本次攻击中，攻击者以乌克兰政府机构为目标，发送包含 SVG 附件的钓鱼邮件，而 SVG 文件中嵌入的 HTML 代码会将受害者重定向至恶意下载站点。 另一波传播 PureRAT 的钓鱼活动 与此同时，安全公司 Huntress 还发现一个疑似以越南语为母语的威胁团伙，正通过 “版权侵权通知” 主题的钓鱼邮件实施攻击：诱骗收件人打开 ZIP 压缩包，进而部署 PXA Stealer；随后 PXA Stealer 会启动多层感染流程，最终植入 PureRAT。 安全研究员 James Northey 分析称：“该攻击活动呈现出清晰且有预谋的递进逻辑 —— 从简单的钓鱼诱饵开始，逐步升级为内存加载器、防御规避技术、凭证窃取，最终达成目标。作为攻击终点的 PureRAT，是一款模块化、专业化开发的后门程序，能让攻击者完全控制受攻陷的主机。” “该团伙的技术演进也值得关注：从最初对 Python 恶意载荷的‘业余级混淆’，到如今滥用 PureRAT 这类成熟的商品化恶意软件，这不仅体现了他们的持续活跃，更标志着其已成为一个‘严肃且不断成熟’的攻击组织。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对 SonicWall SSL VPN 设备的 Akira 勒索软件攻击持续演变，研究人员发现，即便账户已启用一次性密码（OTP）多因素认证（MFA），威胁攻击者仍能成功登录。研究人员推测，这可能是通过使用此前窃取的 OTP 种子实现的，但具体方法尚未得到证实。 今年 7 月，BleepingComputer 曾报道，Akira 勒索软件团伙正利用 SonicWall SSL VPN 设备入侵企业网络，研究人员当时怀疑攻击者是通过某零日漏洞攻陷这些设备的。 然而，SonicWall 最终将这些攻击归因于一个名为CVE-2024-40766的 “不当访问控制漏洞”—— 该漏洞已于 2024 年 9 月披露。 尽管该漏洞在 2024 年 8 月已推出补丁，但即便设备安装了安全更新，威胁攻击者仍在使用此前从受攻陷设备中窃取的凭证（账号密码等）发起攻击。 在确认攻击与利用 CVE-2024-40766 窃取的凭证相关后，SonicWall 紧急建议管理员：重置所有 SSL VPN 凭证，并确保设备安装了最新版 SonicOS 固件。 最新研究：MFA 认证被绕过 网络安全公司 Arctic Wolf 最新报告显示，其观测到一场针对 SonicWall 防火墙的持续攻击活动 —— 即便账户启用了 “一次性密码（OTP）多因素认证”，威胁攻击者仍能成功登录。 报告指出，针对同一账户的登录尝试曾触发多次 OTP 验证请求，最终却均成功登录。这表明，攻击者可能还攻陷了 OTP 种子，或找到了生成有效令牌的其他方法。 Arctic Wolf 解释道：“SonicWall 将此次攻击活动中观测到的恶意登录归因于 CVE-2024-40766—— 这是一个一年前就已被识别的不当访问控制漏洞。” “从这个角度看，攻击者可能从受 CVE-2024-40766 漏洞影响的设备中窃取了凭证，即便这些设备后续安装了补丁，攻击者仍会使用这些凭证。在当前这场攻击活动中，他们成功通过了‘已启用 OTP 多因素认证’的账户验证。” 尽管研究人员尚不清楚 Akira 关联团伙如何绕过 MFA 保护登录账户，但谷歌威胁情报团队（Google Threat Intelligence Group）在今年 7 月发布的一份报告中，曾描述过类似的 SonicWall VPN 滥用行为。 在该起攻击中，一个被标记为UNC6148的牟利型威胁团伙，通过使用 “疑似此前窃取的 OTP 种子”，在 SMA 100 系列设备上部署了 OVERSTEP rootkit（一种深度隐藏的恶意程序），即便设备安装了补丁，攻击者仍能获取访问权限。 谷歌认为，威胁攻击者利用的是 “此前通过零日攻击窃取的一次性密码（OTP）种子”，但暂未确定当时被利用的具体 CVE 漏洞。 谷歌警告称：“谷歌威胁情报团队（GTIG）已发现，一个被我们标记为 UNC6148 的疑似牟利型威胁团伙，正针对‘已安装补丁但已停止支持（end-of-life）’的 SonicWall 安全移动访问（SMA）100 系列设备发起持续攻击。” “GTIG 高度确信，UNC6148 团伙正利用此前入侵中窃取的凭证和一次性密码（OTP）种子 —— 即便企业已安装安全更新，该团伙仍能重新获取设备访问权限。” 攻击者入侵后的行为 Arctic Wolf 报告显示，Akira 团伙在入侵设备后行动极为迅速，通常会在5 分钟内开始扫描内部网络。研究人员还指出，攻击者还会采取以下行动： 发送 Impacket SMB 会话建立请求（一种用于网络渗透的工具组件）； 尝试远程桌面协议（RDP）登录； 使用 dsquery、SharpShares、BloodHound 等工具枚举 Active Directory（活动目录）对象（即收集企业内部网络的账号、设备、权限等关键信息）。 攻击者特别关注Veeam Backup & Replication 服务器（一款常用的数据备份与恢复软件），会在这类服务器上部署自定义 PowerShell 脚本，提取并解密存储的 MSSQL 和 PostgreSQL 数据库凭证，包括 DPAPI 密钥（Windows 系统用于加密敏感数据的密钥）。 为躲避安全软件检测，该团伙还实施了 “自带易受攻击驱动程序（Bring-Your-Own-Vulnerable-Driver, BYOVD）” 攻击 ：滥用微软官方的 consent.exe 可执行文件（用于系统权限确认的合法程序），侧载（sideload）恶意动态链接库（DLL），进而加载存在漏洞的驱动程序（如 rwdrv.sys、churchill_driver.sys）。 这些漏洞驱动程序被用于禁用终端防护进程，确保勒索软件加密程序能正常运行而不被拦截。 重要安全建议 报告强调，部分攻击影响的设备甚至运行着SonicOS 7.3.0 版本—— 这正是 SonicWall 此前建议管理员安装以抵御凭证攻击的 “推荐版本”。 因此，SonicWall 强烈建议管理员：对于所有曾使用过 “存在漏洞的旧版固件” 的设备，重置其所有 VPN 凭证。因为即便这些设备已更新到最新固件，攻击者仍可能利用此前窃取的账户获取企业网络的初始访问权限。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经发现，黑客正利用搜索引擎优化投毒与搜索引擎广告推广伪造的微软 Teams 安装程序，向 Windows 设备植入 Oyster 后门程序，借此获取企业网络的初始访问权限。 Oyster 恶意软件又称 Broomstick 和 CleanUpLoader，是一款于 2023 年年中首次出现的后门程序，此后与多起攻击活动相关联。该恶意软件能让攻击者远程访问受感染设备，执行命令、部署额外有效载荷（恶意代码）并传输文件。 Oyster 通常通过伪装成热门 IT 工具（如 PuTTY、WinSCP）的恶意广告活动传播。勒索软件团伙（如 Rhysida 团伙）也曾利用该恶意软件入侵企业网络。 伪造微软 Teams 安装程序传播恶意软件 网络安全公司 Blackpoint 的安全运营中心（SOC）发现，在一场新的恶意广告与 SEO 投毒攻击活动中，威胁攻击者推广了一个伪造网站 —— 当用户搜索 “Teams download（Teams 下载）” 时，该网站会出现在搜索结果中。 尽管这些广告和域名并未仿冒微软官方域名，但会引导用户进入 “teams-install [.] top” 网站 —— 该网站伪装成微软 Teams 的官方下载页面。点击页面中的下载链接，会下载一个名为 “MSTeamsSetup.exe” 的文件，而这与微软官方 Teams 安装程序的文件名完全一致。 这款恶意的 “MSTeamsSetup.exe” 文件（可在 VirusTotal 查询）还使用了来自 “4th State Oy” 和 “NRM NETWORK RISK MANAGEMENT INC” 两家公司的数字证书进行代码签名，以此增加文件的 “合法性”，降低用户警惕。 然而，当用户执行该伪造安装程序时，程序会将一个名为 “CaptureService.dll” 的恶意动态链接库（可在 VirusTotal 查询）植入系统的 “% APPDATA%\Roaming” 文件夹（用户漫游配置文件夹）。 为实现持久化控制（确保恶意软件在设备重启后仍能运行），该伪造安装程序会创建一个名为 “CaptureService” 的计划任务，每 11 分钟执行一次上述恶意 DLL，从而保证后门程序持续活跃。 此类攻击手法与此前 “伪造谷歌 Chrome 浏览器安装程序”“伪造微软 Teams 安装程序” 传播 Oyster 恶意软件的行为高度相似，也印证了 “SEO 投毒 + 恶意广告” 仍是攻击者入侵企业网络的常用手段。 Blackpoint 在报告中指出：“此次攻击活动表明，攻击者仍在滥用 SEO 投毒与恶意广告，以‘可信软件’为伪装传播大众化后门程序。” “与今年早些时候发现的‘伪造 PuTTY 安装程序’攻击活动类似，威胁攻击者正利用用户对‘搜索结果’和‘知名品牌’的信任，获取（企业网络的）初始访问权限。” 由于 IT 管理员是攻击者的重点目标（攻击者希望通过攻陷管理员账户获取高权限凭证），因此建议 IT 管理员仅从经验证的官方域名下载软件，且避免点击搜索引擎中的广告链接。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Fortra 公司 GoAnywhere MFT（托管文件传输）软件中的一个最高严重级别漏洞（CVE-2025-10035）。该漏洞允许攻击者在无需身份验证的情况下远程注入命令。 供应商（Fortra）于 9 月 18 日披露了此漏洞，但该公司在一周前就已知晓相关情况，且未透露该漏洞的发现方式，也未说明其是否已被用于攻击活动。 CVE-2025-10035 是 GoAnywhere 托管文件传输软件 “许可证服务端程序（License Servlet）” 中存在的反序列化漏洞。“持有伪造有效许可证响应签名的攻击者” 可利用该漏洞注入命令。 尽管 Fortra 的安全公告尚未更新，未纳入该漏洞已被用于攻击活动的相关信息，但安全研究机构 WatchTowr Labs 表示，他们已获得 “可靠证据”，证明 Fortra GoAnywhere 的 CVE-2025-10035 漏洞正被作为零日漏洞（指未被供应商修复就已被利用的漏洞）利用。 WatchTowr 的报告中写道：“我们已获得可靠证据，证明早在 2025 年 9 月 10 日，就有人在实际攻击中利用 Fortra GoAnywhere 的 CVE-2025-10035 漏洞。” 研究人员指出：“这比 Fortra 于 2025 年 9 月 18 日发布公开公告的时间早了 8 天。” “这也解释了为何 Fortra 后来决定发布有限的入侵指标（IOCs），目前我们强烈建议防御人员立即改变对（漏洞相关）时间线和风险的认知。” WatchTowr 证实，其分析的数据中包含与漏洞利用及后门账户创建相关的堆栈跟踪信息，具体攻击行为包括： 利用该未授权反序列化漏洞实现远程命令执行； 创建名为 “admin-go” 的后门管理员账户； 通过该账户创建网络用户，以获取 “合法” 访问权限； 上传并执行多个二级有效载荷（恶意代码）。 从 WatchTowr 在报告末尾公布的入侵指标可知，相关有效载荷的文件名为 “zato_be.exe” 和 “jwunst.exe”。 其中，“jwunst.exe” 本是远程访问工具 SimpleHelp 的合法二进制文件，但在此次攻击中，攻击者滥用该文件对已攻陷的终端实现持久化手动控制。 研究人员还指出，攻击者执行了 “whoami/groups” 命令（该命令可显示当前用户账户及所属的 Windows 用户组），并将执行结果保存到文本文件 “test.txt” 中，以便后续窃取该文件。 通过这种操作，威胁攻击者能够确认被攻陷账户的权限，并寻找在已入侵环境中横向移动（即从一个受感染设备扩散到其他设备）的机会。 已观测到的漏洞利用痕迹 CVE-2025-10035 漏洞已观测到的利用痕迹来源：WatchTowr Labs BleepingComputer（科技媒体）已联系 Fortra，请求其就 WatchTowr 的发现发表评论，但截至目前尚未收到回复。 鉴于 CVE-2025-10035 漏洞正被积极利用，建议尚未采取应对措施的系统管理员将 GoAnywhere MFT 升级至修复版本，可选择最新版本 7.8.4 或长期支持版本（Sustain Release）7.6.3。 其中一项缓解措施（指在无法立即修复时降低风险的临时手段）是移除 GoAnywhere 管理控制台（GoAnywhere Admin Console）的公网访问权限。 Fortra 还建议管理员检查日志文件，查看是否存在包含 “SignedObject.getObject” 字符串的错误信息，以此判断自身的 GoAnywhere 实例是否已受到影响。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，网络安全专家和科技公司对一次广泛的软件供应链入侵事件发出警报。这次事件涉及“Shai-Hulud”——一种自我复制的蠕虫，被用于感染500多个嵌入在各种软件中的包。 本周，美国联邦政府发布警告，称发生了一起黑客事件，攻击者入侵了数百个开发人员用于构建软件的包。美国网络安全与基础设施安全局（CISA）表示，黑客在获得初始访问权限后，“部署了恶意软件来扫描环境中的敏感凭证”。攻击者的目标是 GitHub 个人访问令牌（PATs）和主要云服务的应用程序接口（API）密钥。 随后，恶意软件被用来窃取凭证，将其上传到公共代码库，并利用自动化流程快速传播，将恶意代码注入到其他包中。 CISA敦促所有机构对使用 npm 包生态系统的软件进行全面审查，重点检查可能受到影响的特定文件。该机构补充说，所有开发者的凭证都应及时更换，并且要警惕异常的网络行为。 GitHub 安全研究高级总监表示，他们于9月14日接到“Shai-Hulud”攻击的通知，并追踪到事件源自某个未具名维护者的账户被攻破。 René-Corail 在周一解释称：“由于这种蠕虫结合了自我复制功能与窃取多种秘密（不仅仅是 npm 令牌）的能力，如果不是 GitHub 与开源维护者及时采取行动，这可能会引发无休止的攻击浪潮。” GitHub 表示，在事件发生后，公司立即将500个受感染的包从 npm 注册库中移除，以防止恶意软件进一步传播。同时，GitHub 阻止了包含妥协指标（IoC）的新包上传，以切断自我复制的传播模式。 René-Corail 写道：“此类入侵破坏了对开源生态系统的信任，直接威胁到整个软件供应链的完整性与安全性。它们也凸显了为什么需要提高认证与安全发布的标准，以增强 npm 生态系统抵御未来攻击的能力。” 被污染的“构建模块” 网络安全公司 Wiz 的首席安全研究员 在接受 Recorded Future News 采访时表示，开发者日常依赖大量的小型软件构建模块（即“包”）来完成工作。 在这起事件中，黑客在部分构建模块中植入了恶意代码。他指出，这并非罕见情况。但这次的恶意代码会搜索“秘密”信息，例如密码、令牌和配置文件，有时甚至暴露原本应保持私密的项目。 McCarthy 强调：“这次事件的独特之处，也是更糟糕的地方在于，恶意代码还会尝试传播。它会检查其运行的每台机器，寻找该机器所控制的其他包。一旦找到，就会更新这些新包，使其同样带有恶意代码。这是一个供应链软件蠕虫，而且是我们在这个生态系统中首次见到成功的案例。” 这种供应链攻击的危险之处在于，一旦秘密信息泄露，攻击者就能迅速冒充服务、进入内部系统并篡改代码。由于攻击是自动扩散的，一个被攻陷的点可能会迅速演变成大规模的灾难。 McCarthy 还补充说，这次攻击的起点源于一起早前的秘密信息泄露事件，这也说明了秘密一旦暴露会带来持久的风险，以及组织必须立即采取应对措施的紧迫性。 “Shai-Hulud”事件是本月发生的第二起大规模开源安全事故，目前研究人员仍在不断发现更多遭到破坏的 npm 包。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名17岁的荷兰少年因涉嫌使用黑客设备替俄罗斯从事间谍活动，于本周一被荷兰警方逮捕。 根据荷兰《电讯报》（DeTelegraaf）消息，这两名少年曾在欧盟刑警组织、欧洲司法组织，以及位于海牙的加拿大驻荷兰大使馆周边，使用WiFi嗅探设备开展间谍活动。 欧盟刑警组织工作人员称，目前没有迹象表明机构系统遭到入侵。“我们正就此事与荷兰当局保持密切联系。欧盟刑警组织拥有完善的安全基础设施，目前没有任何证据显示我们的系统受到损害。我们对业务运营和工作人员的安全极为重视，将继续与合作伙伴紧密合作，应对各类潜在风险。” 荷兰国家安全情报局提供的线索，最终促成了警方的抓捕行动。据悉，这两名青少年是通过Telegram平台被招募的。 《电讯报》提到：其中一名青少年是在家里写作业的时候被逮捕的，其父母对儿子参与间谍活动一事完全不知情。一位青少年的父亲在接受采访时无奈表示：“我们教育孩子时，会提醒他们防范生活中的危险，比如吸烟、电子烟、酒精和毒品。但从没想过会有这样的风险，谁能料到这种事会发生在自己孩子身上？” 由于涉案情节严重，在调查持续期间，两名少年将被拘留至少两周。 这起案件并非个例，欧洲多地出现的“低级别招募”活动正在升级。此前在德国就已发生类似事件：俄罗斯特工曾收买当地青少年，让他们对关键基础设施实施破坏和sabotage行为。 值得注意的是，两名少年使用的“WiFi嗅探设备”，本质是通过监听WiFi频道上的无线电信号，识别无线网络并拦截数据流量的工具，通常用于攻击行动的“侦察阶段”。 事实上，俄罗斯黑客利用WiFi网络发起远程攻击的能力早有先例。网络安全公司Volexity在2024年的一份报告中就曾披露，俄罗斯APT28（代号“FancyBear”）黑客组织曾采用“近邻攻击”（nearestneighborattack）手段：利用一家与美国某公司WiFi信号覆盖范围重叠的邻近机构，突破了该美国公司的企业WiFi网络。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报研究人员发现了一种新的 XCSSET macOS 恶意软件变种，已在有限范围的攻击中被使用。 研究人员指出，Trend Micro 最早在 2020 年发现了 XCSSET，当时它通过 Xcode 项目传播，并利用了两个零日漏洞，从目标系统中窃取敏感信息并发动勒索软件攻击。 新版本的 XCSSET 能够窃取 Firefox 数据并劫持剪贴板。它通过加密和混淆技术来规避检测，并能运行隐藏的 AppleScript。该恶意软件还支持通过 LaunchDaemon 条目实现额外的持久化机制。 报告写道：“这一变种包含一个用于监控剪贴板的子模块，并会引用一个下载的配置文件，该文件包含与各种数字钱包相关的地址正则表达式模式。如果检测到匹配，XCSSET 就能将剪贴板内容替换为攻击者预定义的钱包地址。” 更新后的阶段还会下载并运行多个新模块，使得该恶意软件相较于旧版本功能更为强大。 报告继续指出：“这一新变种增加了一个信息窃取模块，用于外传 Firefox 存储的数据。最初会调用 runMe() 函数，从 C2 服务器下载一个 Mach-O FAT 二进制文件，该文件负责所有信息窃取操作。该下载的二进制文件似乎是 GitHub 项目 HackBrowserData 的修改版，能够解密并导出浏览器存储的数据。密码、浏览记录、信用卡信息和 Cookies 是它能提取的关键信息，几乎覆盖所有主流浏览器。” 新的 XCSSET 变种实现了四阶段感染链。前三个阶段与先前版本一致。微软详细介绍了第四阶段，包括 boot() 函数及其相关调用，用于下载和运行子模块。 新的 XCSSET 变种包含多个针对性子模块： vexyeqj（信息窃取器）：下载并运行已编译的 AppleScript（bnk），解密 C2 配置（AES），检查并外传剪贴板数据，并可将内容替换为攻击者的钱包地址。 bnk（载荷）：仅运行模式的 AppleScript，用于收集序列号/用户信息，验证/过滤剪贴板内容，加密并将数据发送至 C2。 neq_cdyd_ilvcmwx（文件窃取器）：从 C2 获取并运行额外的 AppleScript 以外传文件。 xmyyeqjx（LaunchDaemon 持久化）：创建 ~/.root，禁用 macOS 自动/快速更新，构建伪造的“系统设置”应用，写入 com.google.* LaunchDaemon plist，设置 root 权限并加载。 jey（混淆/持久化）：基于 shell 的载荷解密与执行，混淆能力增强。 iewmilh_cdyd（Firefox 窃取器）：下载一个 Mach-O 二进制文件（修改后的 HackBrowserData），导出 Firefox 的密码、Cookies、信用卡数据，并上传压缩结果。 这些模块普遍使用仅运行模式的 AppleScript、AES 加密的 C2 配置、加密货币欺诈式的剪贴板劫持、临时文件清理，以及分块外传以减少本地留痕。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家司机合规平台发生严重数据泄露，超过一万名德州卡车司机的个人文件，包括药检结果和其他敏感信息被。 Cybernews研究团队接到匿名举报，发现一个未加密的Amazon S3存储桶，里面包含大量个人可识别信息（PII）。 泄露的云存储中包含：超过 18,000份社会安全卡照片，超过 23,000份驾照图片，责任保险卡，药检结果，劳动合同，背景调查同意书，车辆保险卡，员工授权书，车辆检查结果以及其他敏感文件。 调查发现，这一泄露源头是总部位于德州的 AJT Compliance, LLC，该公司帮助企业满足政府法规要求。泄露的数据可能来自该公司专门用于管理美国交通部合规流程的 “DOT SHIELD”平台。 该AWS存储桶中包含的数据从2022年至今都有记录，在调查期间甚至还不断有新文件被上传。 受影响人员主要来自德州，或受雇于在德州注册的物流公司。 德州是美国物流业的领军州，重型和牵引式卡车司机数量全美最多。根据美国劳工统计局的数据，截至2023年，德州拥有超过 212,000名重型和牵引式卡车司机，以及 72,720名轻型卡车司机（数量位居全美第三）。本次数据泄露可能影响到该州 10%的卡车司机。 Cybernews研究团队指出：“这起事件尤其令人担忧，因为一个旨在确保合规的平台，反而泄露了与美国交通部要求相关的高度敏感个人信息。” 研究人员警告，泄露的数据极其危险，可能被用于诈骗或身份盗窃。“在恶意分子手中，这些信息可以被用来开设信用账户、冒领社会安全福利，甚至实施人肉搜索（doxxing）。” Cybernews已联系 AJT Compliance。该公司确认，其测试系统所使用的Amazon S3存储容器被错误地设置为“公共读取和列表权限”。 在收到负责任的漏洞披露后，相关数据已被保护。 这并不是美国公民数据首次被第三方服务提供商泄露。 去年，Cybernews研究发现，背景调查服务商 Protection Plus Solutions 泄露了数千份PDF文件，其中包含社会安全号码、护照信息以及马萨诸塞州的犯罪记录。 2023年，负责职业安全培训的 美国国家安全委员会（NSC） 泄露了近 10,000份电子邮件和密码，波及2000家机构，其中包括 NASA、美国司法部（DoJ）、Verizon、Tesla和Pfizer 等政府与企业组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡政府已要求 Meta Platforms 在9月30日前采取措施，遏制Facebook上的冒充诈骗行为。 9月24日，新加坡警察部队（SPF）向该科技巨头发布了一项执行指令。次日，该指令在新加坡内政部（MHA）官网公开。 根据《网络犯罪危害法》（OCHA），SPF 的主管机构敦促Meta必须在Facebook上采取措施，打击那些冒充新加坡政府高级官员的诈骗广告、账号、个人资料和/或商业页面。 这些措施分为两类：一是为新加坡用户加强人脸识别措施，二是优先处理来自新加坡用户的诈骗举报。 如果Meta未能在9月30日前遵守，且无法提出“合理理由”解释其不合规行为，公司将面临最高 100万新元（约77.7万美元） 的罚款，并在定罪后，每延迟一天额外再罚 10万新元（约7.7万美元）。 MHA和SPF还表示，他们愿意协助Meta识别其他可能被诈骗分子冒充的新加坡公众人物。 社交媒体诈骗案件激增 新加坡MHA观察到，在 2024年6月至2025年6月 之间，社交媒体诈骗活动显著增加，其中包括冒充政府人员的虚假广告、账户和页面。 根据MHA的说法，Facebook是诈骗活动最集中的平台。 在这一期间，SPF共打击了约 2000起 出现在Meta平台上的诈骗广告活动。 MHA在声明中表示：“遏制此类冒充诈骗的蔓延至关重要，这不仅能保护公众免受伤害，也能维护公众对政府及公共机构的信任。” 虽然MHA承认Meta已采取部分措施来应对冒充诈骗风险，但这些措施仍不足以遏制此类诈骗在新加坡的泛滥。 专家：大型科技公司必须在反诈骗上投入更多 BioCatch欧洲、中东及非洲区全球咨询总监、英国伦敦警察局国家欺诈与网络犯罪举报系统前负责人 Jonathan Frost 对新加坡的决定表示欢迎，但同时担心这不足以推动Meta加大对网络诈骗的治理力度。 他指出：“新加坡对Meta的打击是朝正确方向迈出的一步，但罚款金额相对较小，不足以对大型科技公司形成真正的威慑。SPF在Facebook上阻止的2000个诈骗广告只是沧海一粟，这一问题必须由全球范围内的监管机构共同应对。” 他认为，大型科技公司应当效仿金融行业的做法，加大对反诈骗的投资。 “银行每年投入数十亿美元来保护消费者，并承担起防止诈骗的责任。然而，欺诈通常在更上游的网站和社交媒体上发生。与此同时，大型科技公司却从诈骗广告中赚取数十亿美元利润，其中 Facebook和Instagram新增广告商的70%为诈骗分子。只有协调一致的全球监管响应，才能真正约束大型科技公司，推动情报共享，并保护消费者免于遭受改变人生的财务损失。” 新加坡政府补充称，他们正在考虑向其他社交媒体平台提出类似要求。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯高级持续性威胁（APT）组织 COLDRIVER 被指控发起新一轮 ClickFix 式攻击，用于投递两种新型“轻量级”恶意软件家族，分别为 BAITSWITCH 和 SIMPLEFIX。 本月早些时候，Zscaler ThreatLabz 发现了这一多阶段 ClickFix 攻击活动。研究人员指出，BAITSWITCH 是一个下载器，最终会投递 SIMPLEFIX ，一种基于 PowerShell 的后门。 COLDRIVER 也被称为 Callisto、Star Blizzard 和 UNC4057，自2019年以来一直被追踪为与俄罗斯相关的威胁行为体，其攻击目标涵盖多个领域。早期，该组织常通过鱼叉式钓鱼诱导受害者进入凭证窃取页面；近年来，他们逐渐开发并使用 SPICA 和 LOSTKEYS 等定制工具，显示出较高的技术成熟度。 该组织使用 ClickFix 战术的情况，早在2025年5月就被 Google 威胁情报组（GTIG）披露。当时他们通过伪造网站的“假验证码验证”界面，诱使受害者执行 PowerShell 命令，从而下载 LOSTKEYS 的 Visual Basic 脚本。 Zscaler 安全研究员 Sudeep Singh 和 Yin Hong Chang 在本周发布的报告中表示：“持续利用 ClickFix 表明它作为感染途径依然高效，即使这种方法既不新颖，也不算特别先进。” 最新攻击链沿用了相同模式：诱骗毫无防备的用户在 Windows 运行对话框中输入恶意 DLL，以完成伪造的验证码检查。这个 DLL（即 BAITSWITCH）会连接到攻击者控制的域名 captchanom[.]top，从中下载 SIMPLEFIX 后门，同时向受害者展示托管在 Google Drive 上的诱饵文档。 此外，该恶意程序还会向同一服务器发送多次 HTTP 请求，用于传送系统信息、接收建立持久化的命令、将加密载荷存储在 Windows 注册表中、下载 PowerShell 启动器，并清除运行对话框中最近执行的命令，以此抹除 ClickFix 攻击的痕迹。 下载的 PowerShell 启动器随后会连接到外部服务器 southprovesolutions[.]com，下载 SIMPLEFIX，再与指挥控制（C2）服务器建立通信，执行远程 URL 上托管的 PowerShell 脚本、命令及二进制文件。 其中一段通过 SIMPLEFIX 执行的 PowerShell 脚本会窃取指定目录下、预设文件类型清单中的信息。这些扫描目录和文件扩展名与 LOSTKEYS 有部分重叠。 Zscaler 表示：“COLDRIVER APT组织长期以来以西方地区的非政府组织成员、人权维护者、智库研究人员，以及流亡在外的俄罗斯公民为主要攻击对象。本次活动的受害者画像与其一贯的攻击目标高度一致。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件攻击导致俄亥俄州联合县约45,487人的社会安全号码及金融数据被盗。 这起攻击发生在2025年5月18日，黑客入侵联合县系统并窃取了部分社会安全和金融信息。事件发生后，县政府已通知45,487名居民及工作人员。 在发现安全漏洞后，联合县立即展开调查，并聘请外部网络安全专家协助。 调查显示，网络犯罪分子在2025年5月6日至5月18日期间进入了县政府的网络并窃取了部分数据。8月25日，官方完成了对事件的审查，并开始通知受影响的个人。 联合县在发送给受害者并同时报送缅因州总检察长办公室的数据泄露通知信中写道：“2025年5月18日，我们在计算机网络中发现勒索软件。得知情况后，我们立即在全国知名的第三方网络安全与数据取证顾问的协助下展开调查，以保障网络安全并调查事件范围。同时，我们也已通报联邦执法部门。通过调查，我们确认网络犯罪分子自2025年5月6日至5月18日访问了我们的网络，并获取了部分县政府数据。” 被盗数据包括姓名、社会安全号码、驾照号码、金融账户信息、指纹数据、医疗信息、护照号码等。 截至目前，还没有任何勒索软件组织声称对该攻击负责。 联合县位于俄亥俄州中部，县治为玛丽斯维尔。2025年该县大约有75,159名居民，是俄亥俄州发展最快的县之一。该地区兼具小城镇与郊区社区特征，劳动力资源充足，家庭收入中位数较高。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 Vane Viper 的威胁行为者近日被揭露为恶意广告技术（adtech）的提供者，其背后依靠错综复杂的空壳公司与不透明的所有权结构来规避责任。 “Vane Viper 至少十年来一直为大规模恶意广告投放、广告欺诈以及网络威胁的传播提供核心基础设施。”Infoblox 在上周与 Guardio 和 Confiant 联合发布的技术报告中表示。 “Vane Viper 不仅为木马投放者和钓鱼者提供流量中介，还似乎运营着自己的广告欺诈活动，这与此前记录的欺诈手法高度一致。” 一、背景与溯源 Vane Viper 也被称为 Omnatuor。早在 2022 年 8 月，DNS 威胁情报公司就曾披露这一恶意广告网络，称其与 VexTrio Viper 类似，利用存在漏洞的 WordPress 网站构建庞大的受控域名网络，以此传播风险软件、间谍软件和广告软件。 该组织的一项显著持久性技术是 滥用推送通知权限，即便用户已离开最初访问的页面，仍能通过修改浏览器设置持续推送广告。这一方法依赖于 service workers，它们会保持一个持久的无头浏览器进程，以监听事件并推送不受欢迎的通知。 去年年底，Guardio Labs 披露了一项名为 DeceptionAds 的攻击活动，发现其利用 Vane Viper 的恶意广告网络来推动 ClickFix 式的社会工程攻击。该活动被归因于一家名为 Monetag 的公司，而据 Infoblox 称，Monetag 是 PropellerAds 的子公司，而 PropellerAds 又隶属于总部位于塞浦路斯的 AdTech Holding 控股公司。 与 PropellerAds 相关的域名长期以来因助长恶意广告投放、引流至漏洞利用工具包或其他欺诈网站而被标记。进一步分析还发现，一些广告欺诈活动的基础设施源自 PropellerAds。 二、庞大的基础设施与规模 网络安全公司表示，过去一年内，Vane Viper 在约一半客户网络中触发了 约 1 万亿次 DNS 查询。该组织利用数十万受控网站和恶意广告，将毫无防备的用户重定向至：恶意浏览器扩展、虚假购物网站、色情内容、调查问卷诈骗、假冒应用、可疑软件下载、恶意软件（包括 Android 恶意软件 Triada）。 此外，Vane Viper 似乎与 URL Solutions（又名 Pananames）、Webzilla 和 XBT Holdings 共用基础设施和人员。值得注意的是，URL Solutions 还与俄罗斯影响力行动 Doppelgänger 搭建的虚假信息网站有关。AdTech Holding 旗下的其他公司还包括 ProPushMe、Zeydoo、Notix 和 Adex。 据估算，约 6 万个域名 属于 Vane Viper 的基础设施，大多数活跃时间不足一个月。但也有少数域名已持续活跃超过 1200 天，其中包括最初的 omnatuor[.]com、propeller-tracking[.]com，以及一些围绕推送通知服务的域名。 该组织每月都会注册大量新域名。仅在 2024 年 10 月，注册域名数就高达 3500 个，而在 2023 年 4 月还不到 500 个。据统计，自 2023 年以来，Vane Viper 的域名占 URL Solutions 批量注册域名的近 50%。 三、官方回应与风险 PropellerAds 此前否认存在任何不当行为，声称自己只是一个“自动化的中介，帮助广告商寻找合适的发布者投放广告”，并且“并不支持、纵容或鼓励网络上的恶意广告”。 然而，Infoblox 指出：“Vane Viper 不只是一个隐藏在广告技术平台背后的威胁行为者，它本身就是作为广告技术平台运作的威胁行为者。AdTech Holding 声称为广告商提供规模化的覆盖与变现，但其实际交付的却是风险”，“Vane Viper 借助作为广告网络的合理否认，隐藏自身身份，同时利用其 TDS（流量分发系统） 投放多种威胁”。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文