HackerNews

HackerNews 编译，转载请注明出处： 名为 RomCom 的恶意软件家族背后的威胁行为者，通过一款名为 SocGholish 的 JavaScript 加载器，针对美国一家土木工程公司发起攻击，旨在分发 Mythic Agent 恶意软件。 “这是首次观察到 RomCom 有效载荷通过 SocGholish 进行分发，” Arctic Wolf Labs研究员雅各布・费尔斯在周二发布的报告中表示。 该活动被中高置信度归因于俄罗斯联邦武装力量总参谋部总局（即格鲁乌，GRU）的 29155 部队。这家网络安全公司称，受攻击实体过去曾为一座与乌克兰联系密切的城市提供服务。 相关背景：SocGholish 恶意软件特性 SocGholish（又称 FakeUpdates）与一个名为 TA569 的经济利益驱动型威胁行为者相关联，其本质是初始访问中介，允许其他威胁行为者分发各类有效载荷。已知使用该工具的威胁组织包括邪恶 corp（Evil Corp）、洛克比特（LockBit）、德赖德克斯（Dridex）和树莓罗宾（Raspberry Robin）等。 此类攻击链的典型流程为：在遭入侵的合法网站上推送谷歌 Chrome 或火狐浏览器的虚假更新提示，诱骗毫无防备的用户下载恶意 JavaScript 脚本。该脚本负责安装加载器，进而获取更多恶意软件。 攻击通常针对安全防护薄弱的网站，利用插件中的已知安全漏洞注入 JavaScript 代码，触发弹窗显示并启动感染链。 RomCom 威胁行为者概况 RomCom是一个与俄罗斯结盟的威胁行为者，至少自 2022 年起便涉足网络犯罪与间谍活动。 该组织通过鱼叉式钓鱼、零日漏洞利用等多种手段入侵目标网络，并在受害主机上植入同名远程访问木马。其攻击目标主要包括乌克兰境内实体及北约相关国防组织。 北极狼实验室分析显示，此次攻击中，虚假更新有效载荷使威胁行为者能够通过与命令控制（C2）服务器建立的反向 shell，在受感染主机上执行命令，包括开展侦察活动及部署代号为 VIPERTUNNEL 的定制 Python 后门。 攻击中还分发了一款与 RomCom 相关的 DLL 加载器，用于启动 Mythic Agent—— 这是一款跨平台、后渗透阶段红队框架的核心组件，可与对应服务器通信，支持命令执行、文件操作等功能。 尽管此次攻击最终未获成功，在进一步扩散前被成功拦截，但这一动态表明，RomCom 威胁行为者持续关注乌克兰及为乌提供援助的实体，无论关联程度多么微弱。 “从通过（虚假更新）感染到分发 RomCom 加载器的时间间隔不足 30 分钟，” 雅各布・费尔斯表示，“只有在验证目标的 Active Directory 域与威胁行为者提供的已知值匹配后，才会执行恶意软件分发。” “SocGholish 攻击的广泛传播性，以及从初始访问到完成感染的快速推进速度，使其成为全球组织面临的重大威胁。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究发现，知名威胁行为者 ToddyCat 团伙正采用新型攻击手段获取目标企业的邮件数据，包括使用一款名为 TCSectorCopy 的定制化工具。 “该攻击可通过用户浏览器获取 OAuth 2.0 授权协议令牌，攻击者可在受攻陷基础设施边界之外利用这些令牌访问企业邮件，” 卡巴斯基（Kaspersky）在技术分析报告中指出。 ToddyCat 团伙自 2020 年起活跃，长期针对欧洲及亚洲多国组织发动攻击，曾使用 Samurai、TomBerBil 等多款工具维持控制权，并窃取谷歌 Chrome、微软 Edge 等浏览器的 Cookie 与凭据信息。 历史攻击与工具迭代 今年 4 月，该团伙被证实利用 ESET 命令行扫描器的安全漏洞（CVE-2024-11859，CVSS 评分 6.8），投递了一款此前未被记录的恶意软件（代号 TCESB）。 卡巴斯基表示，在 2024 年 5 月至 6 月期间的攻击事件中，发现了 TomBerBil 的 PowerShell 变体（此前已监测到 C++ 和 C# 版本），该变体新增了从 Mozilla Firefox 浏览器提取数据的功能。值得注意的是，此版本可由特权用户在域控制器上运行，并通过 SMB 协议借助网络共享资源访问浏览器文件。 该恶意软件通过计划任务执行 PowerShell 命令启动，具体功能为通过 SMB 协议搜索远程主机中的浏览器历史记录、Cookie 及保存的凭据。尽管包含敏感信息的复制文件通过 Windows 数据保护 API（DPAPI）加密，但 TomBerBil 具备捕获解密所需密钥的能力。 “早期版本的 TomBerBil 在目标主机上运行并复制用户令牌，通过 DPAPI 解密当前用户会话中的主密钥，进而解密文件本身，” 研究人员解释道，“而新版服务器端版本会复制 DPAPI 使用的用户加密密钥文件，攻击者借助这些密钥、用户 SID（安全标识符）及密码，可在本地解密所有复制文件。” 核心攻击手段解析 1. TCSectorCopy 窃取 Outlook OST 文件 ToddyCat 团伙通过定制化工具 TCSectorCopy（文件名为 “xCopy.exe”），窃取本地 Microsoft Outlook 存储的企业邮件（以 OST 文件，即离线存储表格式保存），该工具可绕过 Outlook 运行时对文件的访问限制。 TCSectorCopy 采用 C++ 开发，输入目标文件（此处为 OST 文件）后，会以只读模式挂载磁盘，按扇区顺序复制文件内容。OST 文件被写入攻击者指定路径后，通过开源工具 XstReader（支持 Outlook OST/PST 文件的查看器）提取邮件内容。 2. 内存中提取 Microsoft 365 访问令牌 针对使用 Microsoft 365 云服务的受害组织，该团伙还通过开源 C# 工具 SharpTokenFinder 直接从内存中获取访问令牌。该工具会枚举 Microsoft 365 应用程序，查找明文认证令牌（JSON Web 令牌 JWT）。 但在至少一起调查案例中，系统安装的安全软件阻止了 SharpTokenFinder 对 Outlook.exe 进程的内存 dump 操作，导致攻击受阻。为规避此限制，攻击者使用 Sysinternals 工具包中的 ProcDump 工具，通过特定参数对 Outlook 进程进行内存 dump。 “ToddyCat 高级持续性威胁（APT）团伙持续迭代攻击技术，不断探索可隐藏自身活动的手段，以获取受攻陷基础设施内的企业邮件数据，” 卡巴斯基总结道。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。 “攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。” 过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。 这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。 此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。 攻击源头与技术特征 经评估，攻击始于虚假成人网站 —— 毫无防备的用户通过恶意广告或其他社会工程学手段被引导至这些网站后，会突然收到 “紧急安全更新” 提示。研究人员发现部分网站版本包含俄语开发者注释，暗示攻击团伙可能为俄语系威胁行为者。 “Windows 更新界面完全通过 HTML 和 JavaScript 代码构建，受害者与钓鱼网站的任何元素交互后便会弹出，” 安全研究员埃利亚德・金希（Eliad Kimhy）表示，“该页面会通过 JavaScript 尝试全屏显示，同时生成一个背景为蓝色、文字为白色的高度仿真 Windows 更新窗口，让人联想到 Windows 著名的蓝屏死机（blue screen of death）界面。” 此次攻击的显著特征是大量使用混淆技术隐藏 ClickFix 相关代码，并通过禁用 Esc、F11、F5 及 F12 键阻止用户退出全屏弹窗。不过由于逻辑缺陷，用户仍可通过 Esc 和 F11 键关闭全屏模式。 初始执行的命令是一个 MSHTA 负载，通过合法的 mshta.exe 二进制文件启动，该负载包含的 JavaScript 代码会执行 PowerShell 命令，从远程服务器获取另一个 PowerShell 脚本。这些恶意域名经过特殊设计：直接访问会跳转至谷歌（Google）或 Steam 等良性网站。 “仅当通过 irm 或 iwr PowerShell 命令访问时，域名才会返回恶意代码，” 安克诺斯解释道，“这增加了额外的混淆层，阻碍安全人员分析。” 提权尝试与多负载投递 下载的 PowerShell 脚本集成了多种混淆与反分析机制，包括使用垃圾代码增加分析难度。脚本还会尝试提权，并为命令与控制（C2）服务器地址及负载存放路径添加微软 Defender 杀毒软件排除项。 为实现权限提升，恶意软件利用 Start-Process cmdlet 命令结合 “-Verb RunAs” 参数，以管理员权限启动 PowerShell，并持续弹出 UAC（用户账户控制）请求，直至受害者授权。该步骤成功后，脚本会释放更多负载，例如用于连接 C2 服务器的简易远程访问木马（RAT），后续可能进一步投递其他恶意软件。 研究发现，该 PowerShell 脚本最多可投递 8 种不同负载，安克诺斯将其称为 “最典型的广撒网攻击（spray and pray）”。这些负载包括 Rhadamanthys 窃密软件、Vidar 窃密软件 2.0 版本、RedLine 窃密软件、Amadey 木马，以及其他未明确标识的加载器和远程访问木马。 “只要其中一款负载成功运行，受害者就可能面临密码、加密货币钱包等资产被盗的风险，” 金希指出，“对于部分加载器，攻击者还可能后续投递其他恶意程序，导致攻击迅速升级。” 关联攻击活动：隐写术隐藏窃密软件 与此同时，亨特雷斯（Huntress）安全公司披露了另一项多阶段恶意软件执行链：攻击者同样以伪装成 Windows 更新的 ClickFix 为诱饵，通过隐写术（steganography）将攻击最终阶段隐藏在图片中，投递 Lumma、Rhadamanthys 等窃密软件。 与 JackFix 攻击类似，复制到剪贴板并粘贴至运行对话框的 ClickFix 命令，会通过 mshta.exe 运行 JavaScript 负载，该负载可在内存中直接执行远程托管的 PowerShell 脚本。 PowerShell 代码用于解密并启动一个.NET 程序集负载 —— 名为 Stego Loader 的加载器，该加载器负责执行隐藏在加密 PNG 图片中的 Donut 打包壳代码。提取的壳代码随后被注入目标进程，最终部署 Lumma 或 Rhadamanthys 窃密软件。 值得注意的是，亨特雷斯列出的用于获取 PowerShell 脚本的域名之一 “securitysettings [.] live”，也被安克诺斯标记为 JackFix 攻击的关联域名，表明这两起攻击活动可能存在关联。 “威胁行为者频繁更换承载第一阶段 MSHTA 负载的 URI 路径（如 /tick.odd、/gpsc.dat、/ercx.dat 等），” 安全研究员本・福兰（Ben Folland）与安娜・范（Anna Pham）在报告中指出，“此外，威胁行为者已将第二阶段负载的托管域名从 securitysettings [.] live 更换为 xoiiasdpsdoasdpojas [.] com，但两个域名均指向同一 IP 地址 141.98.80 [.] 175，该 IP 也用于投递第一阶段（即 mshta.exe 运行的 JavaScript 代码）。” 防御建议 ClickFix 攻击的成功源于其简单有效的攻击逻辑：诱骗用户自行感染设备，从而绕过安全防护。企业可通过以下方式防御此类攻击： 加强员工培训，提升对 ClickFix 类威胁的识别能力； 通过修改注册表或组策略（Group Policy）禁用 Windows 运行对话框（Run box）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项威胁狩猎行动中，研究人员发现一批数量持续增长的欺诈域名，这些域名仿冒埃及主流服务提供商，包括法里电子支付平台、埃及邮政及卡里姆出行服务平台等。 Dark Atlas 威胁情报机构的这一发现表明，Smishing Triad 正在扩大其攻击规模 —— 该集团以大规模短信钓鱼活动著称。 此类欺诈域名旨在支持针对个人和企业的诈骗及数据窃取计划。 新型恶意域名曝光 分析师通过分析该集团基础设施的 HTTP 头信息，并利用这些指标在 Shodan中开展定向搜索，最终发现了更多恶意域名。这些域名仿冒全球知名品牌及金融平台，且集中分布在 AS132203 网络段 —— 该网络段与腾讯基础设施存在关联。 分析师指出，同一网络空间还被用于托管仿冒银联（UnionPay）、抖音国际版（TikTok）等服务的钓鱼页面，可见该犯罪集团广泛依赖共享托管资源开展攻击活动。 调查还显示，该集团依赖 Telegram（即时通讯软件）推广和销售其 “钓鱼即服务（Phishing-as-a-Service, PhaaS）” 产品。 通过分析该集团早期的 Telegram 频道，分析师发现了一段由名为 “wangduoyu8” 的成员发布的视频，视频展示了该集团的可定制化钓鱼短信工具包。这些工具包可快速部署至虚拟服务器，自动解压并配置针对多个地区受害者的钓鱼模板。 工具包中包含仿冒知名品牌的国际化模板，调查中发现的案例包括： 仿冒敦豪、Evri 物流、联合包裹的虚假配送通知 仿冒美国电话电报公司、西班牙电信、沃达丰的电信账单提醒 仿冒美国邮政、英国政府官网、埃及邮政的政府及邮政服务通知 来自 Darcula 的竞争压力加剧 Dark Atlas 在同一份安全公告中还详细披露了另一项相关动态：大型钓鱼即服务（PhaaS）平台 Darcula 正快速崛起。该平台在 100 多个国家 / 地区运营着超过 2 万个仿冒域名。 Netcraft 报告称，Darcula 3.0 升级版本新增了反检测功能、增强型管理面板、信用卡克隆工具及人工智能驱动的自动化功能 —— 操作人员仅需一键即可生成钓鱼页面。分析师警告，这些功能升级可能导致钓鱼攻击数量大幅上升。 研究团队表示，无论是Smishing Triad，还是 Darcula 等新兴钓鱼即服务（PhaaS）平台，均表明全球钓鱼攻击活动的技术成熟度正不断提升。 Dark Atlas 警示：“我们的调查强调，主动开展威胁狩猎、持续监控钓鱼基础设施及提升用户安全意识，对于降低此类攻击活动带来的风险至关重要。” “随着网络犯罪分子持续创新攻击手段，深入了解其战术、技术和流程，对于构建具备韧性的防御体系、保护全球敏感信息安全而言不可或缺。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型 macOS 恶意软件链近期被发现，该恶意软件通过分阶段脚本、凭据窃取诱饵程序及持久化 Go 语言后门，实现绕过用户防护机制、伪装恶意行为并长期控制受感染系统的攻击目标。 根据 Jamf 威胁实验室（Jamf Threat Labs）发布的最新安全公告，该攻击活动包含一个第二阶段 shell 脚本，其核心功能为重构下载路径，并根据目标系统的芯片类型（arm64 架构或 Intel 芯片）获取对应负载。 网络安全研究人员指出，该脚本会先下载包含下一阶段加载器的压缩包，将其解压至临时目录，随后在后台启动该组件。同时，脚本通过写入 LaunchAgent（macOS 系统启动代理）实现持久化，强制加载器在用户登录时自动运行。Jamf 实验室透露，脚本执行后会启动一个伪装应用，模仿 Chrome 浏览器的权限请求弹窗，最终显示一个 Chrome 风格的密码输入窗口，以此窃取用户凭据。 该伪装程序会将窃取的密码发送至一个 Dropbox 账户。为躲避检测，恶意软件通过拼接短字符串片段构造 Dropbox 服务器地址，随后利用合法的 Dropbox 上传 API 实现数据窃取；同时，它还会查询api.ipify.org接口以获取受害者的公网 IP 地址。 Go 语言后门的核心作用 进入第三阶段后，加载器脚本会调用一个名为 CDrivers 的恶意 Golang 项目（Go 语言开发）。该后门首先生成一个简短的设备标识符并检查重复，随后连接至硬编码的命令服务器，进入持久化命令循环，可执行以下恶意任务： 收集系统信息 上传 / 下载文件 执行 shell 命令 提取 Chrome 浏览器配置文件数据 触发自动凭据窃取 若执行过程中出现错误，恶意软件会回退至系统信息收集命令，暂停 5 分钟后恢复活动，避免单次故障导致攻击流程中断。 Jamf 实验室将该攻击活动归因于 FlexibleFerret 黑客组织，该组织持续优化攻击诱饵，诱导目标用户手动运行恶意脚本。 研究人员总结道：“企业应将来路不明的‘面试’评估请求及基于终端（Terminal）的‘修复’指令列为高风险事项，并确保用户知晓此类提示需立即停止操作并上报，切勿遵照执行。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，运营知名联盟忠诚度平台 Travel Club 的西班牙航空里程公司（Air Miles España）遭遇 Everest 勒索软件团伙攻击。 Cybernews 研究人员表示，黑客在暗网泄露门户发布的帖子中附带了 CSV 文档截图样本，包含完整的用户姓名、邮箱及忠诚度计划数据。 目前西班牙航空里程公司尚未公开证实 Everest 团伙的相关声明，但从历史规律来看，该团伙通常在完成数据窃取后才会公开列出受害机构，因此其声明可信度较高。 Cybernews 已联系西班牙航空里程公司运营的 Travel Club 平台寻求置评，收到回复后将第一时间更新报道。 Travel Club 在西班牙应用广泛，拥有超 600 万用户，用户可通过零售合作伙伴、航空公司、燃油公司及在线商家累积积分。该平台与西班牙多家大型品牌建立合作关系，包括雷普索尔（Repsol）能源公司、 Eroski 零售集团及伊比利亚航空（Iberia）等，在西班牙广告及忠诚度奖励生态系统中占据重要地位。 这意味着此次数据泄露的影响将远超普通消费者层面，可能波及所有依赖该平台分析数据与交叉推广数据的营销合作伙伴、零售连锁及广告商。 Cybernews 研究人员指出：“预计用户将面临更多社会工程学攻击，涉事公司可能遭遇监管审查，同时面临声誉损失。” 事实上，由于广告及忠诚度奖励行业通常存储大量敏感数据，已成为勒索软件团伙日益青睐的攻击目标。此类数据泄露不仅危害用户隐私，也可能对更广泛的市场造成负面影响。 Everest 是目前最活跃的勒索软件团伙之一，近期曾攻击巴西石油巨头巴西国家石油公司（Petrobras）及全球运动服饰品牌安德玛（Under Armour）。该团伙被认为与俄罗斯存在关联，于 2021 年首次被发现，2022 年 10 月攻击美国电信巨头美国电话电报公司（AT&T）后引发广泛关注。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，一名 21 岁的科技企业家兼网络安全专家在莫斯科因叛国罪被捕 —— 这是针对俄罗斯本土科技界的最新案件。 该案细节已被列为机密，但俄罗斯媒体报道称，季穆尔・基林（Timur Kilin）可能因公开批评国有即时通讯应用 Max 及政府反网络犯罪立法而引发官方不满。 基林曾开发多款安全工具，并于今年创办了一家网络安全初创公司。他在自己的 Telegram 频道中将 Max 称为 “一款糟糕的产品”，称自己曾向开发者报告多个漏洞，却被列入其群组聊天黑名单。他指出的漏洞包括该应用使用 “不友好国家” 的软件库，认为这可能导致俄罗斯人的数据被外国势力获取。 俄罗斯官方支持的即时通讯应用 Max 正被推广为该国替代西方平台的旗舰产品，从 2025 年起，它将预装在俄罗斯所有新智能手机中。该应用支持通话、聊天和支付功能，但安全专家警告称，其缺乏端到端加密且与政府系统深度集成，使其具备巨大的监控潜力。 基林还批评了一项拟议的反网络欺诈法案，该法案将把披露安全漏洞和利用方法列为刑事犯罪 —— 其他专家也对这一措施提出了批评。 “我能理解禁止 VPN、某些技术和网站，” 基林写道，“但没有任何文明社会会禁止全球共享的知识。” 据报道，这位企业家还与俄罗斯科技供应商 Aeza 集团存在法律纠纷。该公司今年因涉嫌支持勒索软件运营和在线毒品市场，被美国和英国实施制裁。基林表示，法院已下令该公司向其支付赔偿金和罚款，不过其陈述的真实性难以核实。 当地媒体报道称，基林开发了一套大规模漏洞扫描系统，运营着主机服务 TverHost，并于近期创办了一家名为 Spide Security 的网络安全公司。记者通过一次数据泄露事件中暴露的电话号码，成功关联到他的多个 Telegram 频道。 他的逮捕令使俄罗斯科技专业人士和普通互联网用户遭受打压的案例名单进一步拉长。2023 年，网络安全公司 Group-IB 联合创始人伊利亚・萨奇科夫（Ilya Sachkov）被判处 14 年严格管制刑拘，罪名包括涉嫌向美国当局泄露与军事情报相关的黑客组织 “奇幻熊”（Fancy Bear）的信息，而他本人否认了所有指控。 普通互联网用户也因在线言论面临严厉惩罚。去年，一名 72 岁女性因在 VKontakte（俄罗斯社交平台）发布反战帖子，被判处 5.5 年监禁。另一名俄罗斯公民因发布批评莫斯科入侵乌克兰的帖子，被判处 6 年监禁，法院称其行为构成 “具有政治动机的仇恨”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多家安全厂商近期接连发出预警，npm 代码仓库正遭遇新一轮网络攻击。此次攻击手法与此前的 “沙虫” 攻击如出一辙，这轮被命名为 “沙虫二号” 的供应链攻击事件已入侵数百个 npm 软件包。据艾基多、螺旋卫士、锦鲤安全、赛克特、斯特普安全及维兹安全等机构报告，这些植入恶意代码的 npm 软件包于 2025 年 11 月 21 日至 23 日期间被上传至 npm 平台。 维兹安全的研究人员指出：“此次攻击推出了恶意代码的新型变种，其会在软件预安装阶段执行恶意程序，这使得代码构建与运行环境面临的安全风险大幅上升。” 今年 9 月，“沙虫” 攻击事件浮出水面。与该事件类似，此次攻击也会将窃取的机密信息上传至代码托管平台吉特哈伯，且相关代码仓库的描述标注为 “沙虫二号：卷土重来”。 上一轮 “沙虫” 攻击的主要手段是入侵正规软件包并植入恶意代码。这些恶意代码会借助 “松露猎猪” 凭证扫描工具，搜查开发人员设备中的机密信息，并将信息传输至攻击者控制的外部服务器。此外，受感染的软件包变种还具备自我复制传播能力，会重新上传至遭入侵的开发者名下的其他 npm 软件包中。 而在此次攻击中，攻击者在软件配置文件（package.json）内添加了一个名为 “初始化邦恩脚本” 的预安装脚本。该脚本的作用是秘密安装或定位邦恩运行环境，进而执行内置的恶意脚本 “邦恩环境脚本”。 这款恶意程序会通过两种不同的工作流程执行一系列攻击操作： 将受感染的设备注册为一台名为 “沙虫二号” 的自建运行器，并添加一个路径为.github/workflows/discussion.yaml 的工作流程。该流程存在注入漏洞，且仅在自建运行器上运行。攻击者可通过在吉特哈伯代码仓库发布讨论帖的方式，在受感染设备上执行任意指令； 窃取吉特哈伯平台机密区存储的所有机密信息，并将这些信息以文件附件的形式上传至窃取信息专用代码仓库中一个名为 “操作机密文件” 的文件内。文件上传完成后会同步到攻击者控制的设备，随后该工作流程会被删除，以此掩盖攻击痕迹。 螺旋卫士安全团队表示：“恶意程序运行后，会下载并启动‘松露猎猪’工具扫描本地设备，窃取 npm 令牌、亚马逊云科技 / 谷歌云 / 微软云平台凭证以及环境变量等各类敏感信息。” 维兹安全监测到，此次攻击已波及约 350 名独立用户名下的 2.5 万余个代码仓库。在监测的最后数小时内，每 30 分钟就有 1000 个新仓库遭入侵，且该趋势持续蔓延。 维兹安全分析称：“此次攻击延续了此前‘沙虫’系列攻击针对 npm 供应链的攻击模式，且攻击名称与攻击技巧均与前者相关，但攻击者可能已更换。攻击者盗用软件开发者账号，发布植入恶意代码的正规 npm 软件包，这类软件包会在安装过程中执行凭证窃取与外传程序。” 锦鲤安全指出，第二轮攻击的攻击性显著增强。若恶意程序无法完成身份验证或无法在设备中常驻，便会试图删除受害者设备中的整个用户主目录，涵盖当前用户主目录下所有可写入的文件。不过，这种类似文件清除程序的功能仅在满足以下全部条件时才会触发： 无法通过吉特哈伯的身份验证； 无法创建吉特哈伯代码仓库； 无法获取吉特哈伯令牌； 无法找到 npm 令牌。 安全研究人员尤瓦尔・罗南与伊丹・达迪克曼表示：“也就是说，一旦‘沙虫二号’无法窃取凭证、获取令牌，也无法打通信息外传通道，就会启动毁灭性的数据销毁程序。相较于首轮仅以窃取数据为目标的攻击，此次攻击手段出现明显升级，攻击者的目的已从单纯的数据窃取转变为报复性破坏。” 此外，该恶意程序还会通过执行容器命令获取设备的超级管理员权限。其会将主机的根文件系统挂载到特权容器中，随后植入恶意的超级用户配置文件。攻击者凭借该配置文件，无需密码即可获取受感染设备的超级管理员权限。 针对此次安全威胁，安全专家建议相关机构采取以下防护措施：全面排查所有终端设备，确认是否安装了受感染的软件包；立即卸载存在安全隐患的软件版本；更换所有相关凭证；检查代码仓库的常驻程序，重点排查.github/workflows 路径下是否存在 “沙虫工作流程配置文件” 等可疑文件，同时留意仓库中是否出现异常分支。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在乌克兰东部被占领土运营的一家俄罗斯国有邮政机构宣称，其系统因遭遇 “外部干扰” 陷入瘫痪。此前，一个亲乌黑客组织声称已清除该机构数千台设备的数据。 这家名为顿巴斯邮政（Donbas Post）的机构，业务范围覆盖顿涅茨克与卢甘斯克的俄控区域。该机构表示，此次事件已影响其企业内网、网络平台及电子邮件系统。目前公司已限制多项服务的访问权限以控制漏洞影响范围，同时正全力推进系统恢复工作。 此前在周五，乌克兰网络联盟就已宣称发动了此次攻击。该组织称，攻击共摧毁了 1000 多台工作站、约 100 台虚拟机，还销毁了数十太字节的数据，并公开了多张据称来自顿巴斯邮政内部系统的截图。 此次邮政系统瘫痪，恰逢上周乌克兰对该被占地区的能源设施发动无人机袭击。相关部门称，那次袭击导致 50 万人陷入停电。顿巴斯邮政表示，受停电影响，旗下邮政网点及呼叫中心已暂停运营。目前尚不清楚此次网络攻击与无人机袭击是协同行动，还是单纯的时间巧合。 乌克兰网络联盟成立于 2016 年，是由亲乌网络活动人士组成的组织。自 2022 年俄罗斯发起全面入侵以来，该组织的攻击行动愈发频繁。此前，该组织还曾宣称对多家俄罗斯金融机构、互联网服务商及市政系统发动攻击，受影响对象包括汽车金融公司卡摩尼、诺德克斯电信公司，同时部分停车管理系统也遭其攻击。 乌克兰被占领土已成为黑客组织及国家背景网络攻击势力的高频攻击目标。2023 年，俄罗斯卡巴斯基实验室的研究人员发现了一种新型恶意软件，该软件专门用于监控顿涅茨克、卢甘斯克及克里米亚地区的政府机构、农业和交通领域相关组织，而这些地区早在 2014 年就被俄罗斯实际控制。此外，已有迹象表明，“云图” 网络间谍组织也将攻击目标对准了该被占地区内的诸多知名机构。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 哈佛大学宣布，其校友事务与发展系统遭语音钓鱼（vishing）攻击入侵，导致学生、教职工、校友的联系信息、捐赠记录及个人履历数据泄露。 哈佛方面表示，受影响系统未存储社会安全号码、密码、支付卡数据或财务账户信息。 校方官员称，此次泄露可能波及的群体包括：校友、校友配偶 / 伴侣及遗属、大学捐赠者、在校及往届学生家长，以及部分在校学生、教职员工。 目前哈佛大学已联合外部网络安全专家启动事件调查，并通知了执法部门。11 月 22 日，校方已向受影响人员发送数据泄露通知。 通知中写道：“2025 年 11 月 18 日（周二），哈佛大学发现校友事务与发展系统遭未授权人员通过电话钓鱼攻击非法访问。校方立即采取行动，切断了攻击者的系统访问权限，防止进一步未授权入侵。尽管被访问的信息系统通常不包含社会安全号码、密码或财务账户号码，但其中存储有个人信息，包括电子邮箱地址、电话号码、家庭及工作地址、活动参与记录以及向学校的捐赠详情。” 哈佛大学提醒受影响人员，需警惕看似来自校方的可疑通信，尤其要留意索要敏感信息的请求。校方建议收件人在回应前保持谨慎，对意外来电、短信或邮件（特别是要求提供个人数据或重置密码的内容）保持警惕，即使这些信息看似来自可信联系人。 校方还敦促相关人员，如需核实异常请求，应通过可信的独立渠道进行确认，切勿直接回复可疑信息中提供的联系方式。 今年 10 月中旬，哈佛大学曾证实遭 Cl0p 勒索软件集团针对甲骨文 E-Business Suite（EBS）系统的攻击，该集团在其泄露网站上将哈佛列入攻击目标，并声称泄露了 1.3TB 据称来自哈佛的被盗数据。当时哈佛试图淡化事件影响，称此次安全漏洞似乎仅局限于一个小型行政部门。 Cl0p 勒索软件集团当时宣布入侵了这所知名学府，并在其 Tor 数据泄露网站上为哈佛大学创建了专属页面，宣称即将公开被盗数据。 哈佛方面此前披露，攻击者利用了甲骨文 EBS 系统一个近期已修复的漏洞发动攻击，目前暂无证据表明其他系统受到影响。谷歌 TIG 团队与曼迪昂特（Mandiant）公司的报告显示，此次攻击共波及数十家机构，被盗数据包括财务、人力资源、客户、供应商及库存信息，不同受害者的数据敏感程度各异。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现一起将第二代窃取型恶意软件（StealC V2）植入 Blender 项目文件的攻击行动，该行动针对受害者的攻击时长已至少达六个月。 据莫菲塞克网络安全公司发布的最新预警显示，攻击者将篡改后的.blend 格式文件发布在 CGTrader 等平台上，用户会将这些文件当作常规的三维素材下载使用。 当用户开启 Blender 软件的自动运行功能并打开这类文件时，文件中隐藏的 Python 脚本就会自动执行，进而发起多阶段恶意程序入侵流程。 第二代窃取型恶意软件借恶意改造的 Blender 素材扩大攻击范围 今日发布的这项研究指出，该攻击行动与此前参与传播 StealC 系列恶意软件的俄语系威胁行为者有关联。 此次攻击行动与早前一起攻击事件的手法如出一辙。在那起事件中，攻击者冒充电子前沿基金会，专门针对《阿尔比恩 Online》的玩家发动攻击，且两次攻击均采用了诱饵内容植入、后台运行以及金字塔命令与控制架构等相同攻击要素。 此次攻击的入侵链路始于.blend 文件中植入的遭篡改的 Rig_Ui.py 脚本。该脚本会从远程的 workers.dev 域名服务器获取加载程序，随后加载程序会下载一个 PowerShell 执行程序以及两个内含 Python 窃密程序的压缩包。 这些文件被解压至 Windows 系统的临时文件夹后，恶意软件会创建快捷方式文件以实现持久驻留，接着借助金字塔命令与控制信道获取加密的恶意负载程序。 第二代窃取型恶意软件自 2025 年 4 月起就在地下论坛流传推广，其功能也在迅速拓展。目前该恶意软件可攻击 23 种以上的浏览器、超 100 款插件、15 款以上的桌面电子钱包，同时还能入侵各类即时通讯软件、虚拟专用网络客户端及邮件客户端。该恶意软件定价灵活，月付 200 美元，半年套餐 800 美元，这让那些寻求即用型攻击工具的底层网络犯罪分子也能轻易获取。 攻击溯源与入侵特征标识 调查过程中已发现多个入侵特征标识，具体包括： CGTrader 平台上存在的恶意.blend 格式文件； 通过多个 workers.dev 域名服务器获取恶意负载程序； 包含 Python 窃密程序与持久驻留组件的压缩包； 通过多个与金字塔架构相关联的互联网协议地址开展命令与控制通信。 莫菲塞克网络安全公司表示，其旗下基于诱捕技术的防护平台成功提前拦截了此次攻击。该平台会预先在系统内存与浏览器存储区域植入虚假认证信息，一旦第二代窃取型恶意软件尝试读取这些信息，防护系统就会立即触发防护机制。在恶意软件完成信息窃取或实现持久驻留之前，相关攻击进程就会被强制终止。 研究人员称，这种防护方式能直接挫败攻击者的信息窃取企图，在第二代窃取型恶意软件侵入终端设备并站稳脚跟之前就将其彻底拦截。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者声称已入侵美国一级结构钢制造巨头库珀钢铁制造公司（Cooper Steel Fabricators），并将该公司 FTP 服务器的 “完整镜像数据” 挂牌出售。 根据该威胁行为者在暗网发布的帖文，被盗数据包含高度详细的技术文档和专有项目信息。 威胁行为者表示，此次出售的是库珀钢铁 FTP 服务器的 “完整镜像”，数据总量达 330GB，“无任何删除或无关文件”，索求 2.85 万美元加密货币作为赎金。 Cybernews 已联系库珀钢铁公司，寻求有关此次数据盗窃事件的更多细节，一旦收到回复将更新相关报道。 据称，被盗数据包含该公司过往及在研项目的各类模型、框架图和设计图纸。 例如，威胁行为者声称正在出售普布利克斯格林斯伯勒冷藏配送中心（Publix Greensboro Refrigerated Distribution Center）的全套协同设计图纸，涵盖建筑、结构、机械及制冷管道系统等领域（该项目已于 2022 年竣工）。 挂牌出售的数据集还包含库珀钢铁参与建设的亚马逊俄亥俄州数据中心相关资料。 出于安全考虑，亚马逊对其基础设施信息高度保密，但该公司在俄亥俄州（别称 “七叶树州”）拥有数十座数据中心。威胁行为者宣称，“项目细节可能包含超大规模数据中心运营的结构规格参数”。 经 Cybernews 研究人员核实，挂牌数据中还涉及库珀钢铁承接的另一亚马逊项目 —— 为马萨诸塞州亚马逊分拣中心提供钢结构施工服务的相关信息。 此外，沃尔玛配送中心、冷藏仓储设施及其他配套建筑的设计图纸、3D 模型和相关数据也据称在出售之列。 库珀钢铁公司 2024 年营收达 5.93 亿美元，拥有美国钢结构协会（AISC）认证，是多家大型机构的直接承包商。今年 10 月，该公司被评为美国第四大钢铁企业。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 房地产金融科技公司 SitusAMC 已发布数据泄露通知，披露其遭遇黑客攻击的相关情况。该公司表示，其在11月12日获悉此时，最终确认恶意攻击者可能已访问了敏感数据。 事件披露 SitusAMC 是房地产解决方案市场的主要参与者，营收超过 11 亿美元，在全球 25 个地区拥有 4000 多名员工。 SitusAMC 为华尔街主要银行及数百家其他金融机构提供服务。众多机构依赖 SitusAMC 处理房地产贷款及抵押贷款收款业务，据称美国前 20 大银行均使用该公司的服务。SitusAMC 在泄露通知中指出，此次事件可能导致法律文件及客户的用户详细信息泄露。 据《纽约时报》报道，该公司已通知摩根大通、摩根士丹利和花旗银行，其数据可能在此次攻击中受损。 该公司在通知中解释：“与部分客户和 SitusAMC 合作相关的企业数据（如会计记录和法律协议）已受到影响，部分客户的用户相关数据也可能受到波及。目前公司正联合第三方顾问，对事件影响的范围、性质和程度展开调查。” 由于受影响的服务商负责抵押贷款支付处理，泄露数据可能包括个人身份信息（PII）以及贷款人客户的金融账户信息。此类数据对暗网黑客极具价值，可被用于身份盗窃、针对性社会工程学攻击等多种恶意行为。 SitusAMC 在泄露通知中表示：“我们正就此事与客户保持直接、定期的沟通。公司将持续重点分析可能受影响的数据，并在调查取得进展时直接向客户提供最新情况。” 第三方黑客攻击频发 近期多起数据泄露事件表明，针对服务商的攻击已成为恶意攻击者的 “金矿”。 例如，美国得克萨斯州数字营销、合规解决方案及客户关系管理（CRM）软件提供商 Marquis 近期遭遇攻击，该公司与美国 700 多家银行有合作关系。 目前已有至少两家贷款机构证实，此次攻击导致其客户数据受损，黑客可能获取了金融账户信息、社会安全号码（SSN）及其他敏感数据。不过 Marquis 的案例中，该公司是勒索软件团伙的攻击目标。 勒索软件犯罪集团尤其青睐攻击第三方服务商，因为这能为其提供多种恶意操作选项。如果初始攻击目标拒绝支付赎金，勒索软件团伙可转向其客户，以泄露数据为要挟索要赎金。 近期最臭名昭著的第三方攻击者之一是与俄罗斯有关联的 Cl0p 勒索软件犯罪集团。该集团利用甲骨文 E-Business Suite（EBS）的安全漏洞，对数十家企业发动攻击，导致《华盛顿邮报》、哈佛大学、甲骨文公司本身等多家机构的敏感数据被盗。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙旗舰航空公司伊比利亚航空（Iberia）就一起与第三方供应商相关的数据泄露事件向客户发出警告。有威胁行为者宣称已窃取该航空公司 77GB 数据。 伊比利亚航空成立于 1927 年，总部位于马德里，是西班牙国家航空公司。该公司以马德里巴拉哈斯机场为枢纽，运营着庞大的国际航线网络，飞往欧洲、美洲、非洲、中东及亚洲的 140 多个城市。作为国际航空集团（IAG）的成员企业，其旗下还包括英国航空、伏林航空、LEVEL 航空及爱尔兰航空等品牌，业务涵盖客运、货运、飞机维修及机场地勤服务。 伊比利亚航空已正式披露此次安全事件，并确认部分客户信息遭泄露，包括姓名、电子邮箱及伊比利亚俱乐部（Iberia Club）会员 ID。 该公司向受影响客户发送的数据泄露通知中写道：“尊敬的客户，很遗憾地告知您，西班牙伊比利亚航空已检测到一起安全事件 —— 我们的一家供应商系统遭到未授权访问，导致部分数据的保密性受损。” “尽管伊比利亚航空已部署相关安全措施，但我们发现有证据表明客户的部分个人数据遭到未授权访问，其中可能包含您的信息。目前调查显示，泄露的数据可能包括姓名、电子邮箱地址及会员卡识别号（伊比利亚俱乐部）。” 官方明确表示，威胁行为者并未获取伊比利亚航空的客户账户权限、密码信息，且客户财务数据未受此次泄露事件影响。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SolarWinds 修复了其 Serv-U 文件传输解决方案中的三个关键漏洞，这些漏洞可能允许远程代码执行。 第一个漏洞，追踪编号为 CVE-2025-40549（CVSS 评分 9.1），是一个影响 Serv-U 的路径限制绕过问题。拥有管理员权限的攻击者可利用此漏洞在目录上执行代码。公告中写道：”Serv-U 中存在一个路径限制绕过漏洞，若被滥用，可能使拥有管理员权限的恶意行为者具备在目录上执行代码的能力。””滥用此问题需要管理员权限。在 Windows 系统上，由于路径和主目录处理方式的差异，该漏洞评级为中等。” 该公司修复的第二个漏洞，追踪编号为 CVE-2025-40548（CVSS 评分 9.1），是一个访问控制缺陷，可导致远程代码执行漏洞。公告中写道：”Serv-U 中存在一个缺失的验证过程，若被滥用，可能使拥有管理员权限的恶意行为者具备执行代码的能力。””滥用此问题需要管理员权限。在 Windows 部署环境中，由于服务默认通常在权限较低的服务账户下运行，该风险被评为中等。SolarWinds 指出，CVE-2025-40547 和 CVE-2025-40548 在 Windows 系统上仅具有中等严重性，因为受影响的服务通常在低权限账户下运行。 第三个漏洞，CVE-2025-40547（CVSS 评分 9.1），是 Serv-U 中的一个逻辑错误漏洞。拥有管理员权限的攻击者可利用此漏洞执行任意代码。这些漏洞影响 SolarWinds Serv-U 15.5.2.2.102 版本，该公司已发布 15.5.3 版本来解决这些问题。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利国家铁路集团（FS Italiane Group）是意大利国有铁路公司，负责客运、货运、基础设施及物流业务，业务覆盖国内外，提供高速列车、区域列车及货运服务。该集团旗下包括意大利铁路公司、意大利铁路网公司等多家子公司，每年为数百万客户提供服务。 Almaviva 是意大利领先的 IT 及数字服务提供商，业务涵盖客户关系管理、外包服务及云解决方案等。公司现有 4.1 万名员工，2024 年营收达 14.11 亿欧元。 黑客声称窃取的2.3TB敏感数据包括： 意大利国家铁路 2017-2035 年投资与产业规划 内部机密文件 公司敏感信息 内部使用资料（标注 “内部使用”“机密” 或 “专属” 的文件） 特权及机密通信与信息 合同与协议 保密协议Vitrociset 相关合同与信息（涉及 “金星计划”“莱昂纳多”“SIPAD” 等项目） 与国防部、空军的合同及协议 已签署的项目文件 代码信息 商业机密 法医报告 法律与法院文书 财务及银行文件 乘客个人数据（含护照号码） Mercitalia 多式联运公司、GrandiStazioni 零售公司、Delta State Italia、FENCEDIT 金融服务公司、意大利国家铁路基金会、意大利铁路网公司、意大利铁路公司、意大利国家铁路国际公司、FS 安全公司、FS 城市系统公司、FS 科技公司、Italferr 工程公司、Italcertifer 认证公司等公司的员工数据（包含全名、电子邮件地址、电话号码、职位、薪资及员工身份证号） Mercitalia 客户信息 国防相关物资优先供应清单 Almaviva 与客户及供应商的合同 Almaviva 与意大利金融警卫队总司令部、国防部、宪兵总司令部、卫生部门、外交与国际合作部等政府机构及私营企业的高管合同、协议 Almaviva 项目进度报告及技术文件 多家企业的招标相关文件 意大利通用保险公司（GENERALI ITALIA S.p.A.）总司内部结构文件 RIF 财务文件 泄露文件显示，大部分数据为近期信息，包括截至 2025 年第三季度的财务、行政及运营文件，表明此次数据泄露源自新的网络攻击，而非 2022 年 Almaviva 遭遇数据泄露后被盗资料的二次传播。 Almaviva 已发布声明，确认其企业系统遭遇网络攻击，部分数据被盗。公司已启动专业安全程序保护核心服务，目前核心服务仍正常运行。相关部门、合作伙伴及利益相关方已第一时间接到通知，Almaviva 将继续密切协调各方开展监控、调查及应对工作，优先保障数据安全并及时更新进展，同时遵守调查保密原则。 Almaviva声明写道：“ 近几周，公司安全监控服务发现并隔离了一起影响企业系统的网络攻击，导致部分数据被盗” ，“Almaviva 立即通过专业团队启动安全应急响应程序，确保核心服务的保护与全面运行。” “与此同时，我们已通知相关部门 —— 检察官办公室、邮政警察、国家网络安全局及意大利数据保护局，并正与这些机构、合作伙伴及其他相关方密切合作，确保在监控、调查及应对工作中实现最大程度的协调。” 值得注意的是，Almaviva 本身提供网络安全服务，声称能 “以全新高度洞察网络威胁”。该公司还涉足国防与安全领域，与武装部队及执法部门合作，为关键领域的决策流程提供解决方案。 数据保护倡导者克里斯蒂安・贝尔尼里表示：“此次 Almaviva 与意大利国家铁路的数据泄露极具危险性，波及企业、员工及普通公民。被盗的 2.3TB 文件包含薪资单、合同、银行账户详情及网络配置等信息，这些数据可能被利用，在多个层面造成重大危害。” “任何获取这些信息的人都能在各个层面造成巨大损害，而受害者尤其是普通公民难以有效应对。” 他补充道。 目前，此次安全漏洞的影响范围尚不清楚，也不确定意大利其他大型机构是否受到波及。Almaviva 尚未披露此次攻击的相关技术细节。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，美国两个州的地方执法机构成为黑客攻击目标，多套 IT 系统受影响。 俄克拉荷马州克利夫兰县：勒索软件攻击波及内部系统 俄克拉荷马州克利夫兰县警长办公室于周四发布声明称，机构遭遇勒索软件攻击，部分内部计算机系统受到影响。 官方表示，公共安全服务未受中断，警员仍能正常响应 911 紧急呼叫。 “负责管理全县网络的县信息技术部门正积极推进问题解决。我们仍在评估事件的完整影响范围，后续将及时公布最新进展，” 警长办公室在声明中指出，“主动发布此信息是为确保公众获取准确资讯，避免谣言传播。” 克利夫兰县人口约 30 万，其中三分之一居民居住在诺曼市（俄克拉荷马大学所在地），该县位于俄克拉荷马城正南方约 20 分钟车程处。 截至周五，尚未有任何勒索软件集团宣称对此次克利夫兰县攻击事件负责。2025 年以来，俄克拉荷马州已有多个城市遭遇勒索软件攻击，包括杜兰特市和格罗夫市。 马萨诸塞州阿特尔伯勒市：政府系统瘫痪，邮件与电话中断 马萨诸塞州阿特尔伯勒市报告称，当地政府及警察局遭遇网络攻击。 该市于周四发布通知，证实有异常网络活动导致政府 IT 系统被迫下线，目前正联合网络安全专家、联邦机构及城市保险公司共同解决系统中断问题。 “阿特尔伯勒市及阿特尔伯勒警察局的所有常规电话线目前均无法使用，全市电子邮件服务也已中断，影响所有部门及工作人员，” 官方声明称，“调度员已采取手动调整措施，阿特尔伯勒警察局和消防局仍能正常响应紧急呼叫，未受任何影响。周边地区的执法及消防部门仍可通过常规互助渠道联系阿特尔伯勒调度中心。” 该市已公布警察局和消防局的备用电话号码，供公众处理非紧急事务使用。 阿特尔伯勒市政厅仍正常开放，但工作人员需使用纸质表格办公，且仅能接受线下账单支付及税款缴纳。 官方承认，部分部门需待系统恢复后才能正常开展全部工作，并提醒居民：由于暂时回归纸质办公流程，相关事务办理可能出现延迟，敬请谅解。 市长凯瑟琳・德西蒙尼（Cathleen DeSimone）表示，该市正优先保障紧急服务正常运转，并及时向公众通报进展。 “我们已采取直接措施处置此次事件，后续将持续更新工作进展，” 她补充称，当地公立学校系统未受影响。 阿特尔伯勒市人口约 5 万，位于马萨诸塞州与罗得岛州交界处，距离普罗维登斯市仅 20 分钟车程。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子宣称已对汽车电商平台 Revolution Parts 发起攻击，声称窃取了该公司超 500 万用户的个人信息，包括电子邮箱和 IP 地址等核心数据。 Revolution Parts 总部位于美国亚利桑那州坦佩市，通过其经销商网络每年销售价值超 6 亿美元的汽车零部件。 这则攻击声明被发布在一个知名数据泄露论坛上 —— 该平台是网络罪犯交换被盗数据的主要渠道。 与此同时，Cybernews 研究团队对攻击者提供的数据样本进行了核查。根据团队分析，该样本包含以下信息： 全名 电子邮箱 电话号码 家庭住址 IP 地址 设备数据 由于 Revolution Parts 是一家电商平台，攻击者声称窃取的信息与用户购物时填写的订单详情高度吻合，同时也符合用户注册账号时需提交的信息类型。 从理论上讲，攻击者可利用这些数据实施身份盗窃和钓鱼攻击。借助用户偏好、地理位置、电子邮箱等信息，不法分子能够发起精准定向的钓鱼攻击。 在这类攻击中，恶意攻击者通常会伪装成合法企业，诱骗用户泄露更敏感的信息；另一种常见手段是发送带毒邮件，诱使受害者在设备上下载恶意软件。 “当攻击者获取用户个人信息和设备数据后，他们可以据此设计针对特定设备的精准诈骗。此外，这些信息还可能被用于构建用户身份画像，为后续的欺诈行为做铺垫，” 研究团队解释道。 值得注意的是，Revolution Parts 同时面向企业客户提供服务，因此恶意攻击者也可能将企业列为重点攻击目标。不过截至发稿，尚不清楚泄露信息是否为最新数据 —— 攻击者有时会试图出售过时数据，本质上是在欺骗其他不法分子。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的 Cl0p 勒索软件犯罪集团宣称已获取多家企业的数据，英国国家医疗服务体系（NHS）、马自达（Mazda）、马自达美国分公司（Mazda USA）及佳能（Canon）近期被纳入该集团不断扩大的受害者名单。 这些企业名称被公布在 Cl0p 的暗网泄密网站上 —— 该平台是犯罪集团向受害者施压以索取赎金的主要工具。 NHS 发言人回应称，机构已获悉相关指控，目前正展开调查。 “NHS 已知悉自身被 Cl0p 网络犯罪集团的网站列为网络攻击受害者。我们正与国家网络安全中心（National Cyber Security Centre）及当地 NHS 机构密切合作推进调查，包括对该集团公布的数据进行评估与核实，”NHS 官方表示。 与此同时，Cybernews 研究团队已对攻击者为佐证其说法而公布的数据样本展开分析。尽管声称来自 NHS 的数据集规模达数百 GB，但团队仅对部分信息进行了核查。 研究人员指出，至少部分文件包含患者名单及个人身份信息（PII），涵盖姓名、诊断记录、保险信息等内容。从理论上讲，攻击者可利用这些数据实施身份盗窃、社会工程学诈骗及医疗欺诈等行为。 “由于此次数据泄露规模庞大，难以全面评估其影响。但这可能导致相关患者面临极高的身份信息泄露、欺诈及定向诈骗风险 —— 尤其是保险资格类别与居住信息结合后，可能会泄露个人社会经济状况，” 研究团队解释道。 医疗健康信息对网络犯罪分子极具价值，因其能开辟多种新的攻击途径。此外，医疗信息敏感度极高，且与信用卡或密码不同，无法随时间推移进行更换。 值得注意的是，Cl0p 并未公布佳能、马自达及马自达美国分公司的任何数据样本。这大概率是因为三家企业仍处于被勒索阶段 —— 勒索软件集团通常会先公开受害者名称施加预警压力，威胁若不满足赎金要求将泄露窃取的数据。 目前尚不清楚 Cl0p 如何入侵这些受害者，但极有可能是通过利用甲骨文 E-Business Suite（EBS）系统中的一个高危零日漏洞获取数据。 数月来，Cl0p 一直处于攻击狂潮中，持续上传通过该 EBS 漏洞入侵的新受害者信息 —— 甲骨文公司自身也被列入该集团的暗网论坛。许多机构在 8 月才发现自身遭入侵，部分是在收到该集团通过邮件发送的勒索信后得知。 甲骨文于 10 月 2 日首次披露了这一 Cl0p 漏洞利用行为，而谷歌研究人员早在 7 月就已监测到相关活动。此外，甲骨文在首次公告数日后发布的首个紧急补丁未能修复漏洞，不得不于 10 月 11 日推出第二个高危补丁，导致客户在此期间暴露于安全风险中。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oligo安全公司发出警告，有攻击者正在利用开源人工智能框架Ray中一个存在两年的安全漏洞发起持续攻击，将感染集群的NVIDIA GPU变成可自我复制的加密货币挖矿僵尸网络。 这项代号为 ShadowRay 2.0 的攻击活动，是2023年9月至2024年3月期间观察到的上一波攻击的升级版。攻击的核心是利用一个严重的身份认证缺失漏洞（CVE-2023-48022，CVSS评分：9.8），来控制易受攻击的实例，并劫持其算力用于XMRig的非法加密货币挖矿。 由于一项与Ray开发最佳实践相一致的”长期设计决策”要求其必须在隔离网络中运行并仅执行可信代码，该漏洞至今未被修补。 该攻击活动通过向暴露在公网的Ray仪表盘上的未认证Ray作业提交API（”/api/jobs/”）提交恶意作业来实现，其命令范围从简单的侦察到复杂的多阶段Bash和Python有效负载。随后，被攻陷的Ray集群被用于”广撒网”式攻击，将有效负载分发到其他Ray仪表盘，从而形成一个本质上可以从一个受害者传播到另一个受害者的蠕虫。 研究发现，攻击者利用GitLab和GitHub来投送恶意软件，使用诸如”ironern440-group”和”thisisforwork440-ops”等名称创建代码库并存放恶意负载。这两个账户现均已无法访问。然而，网络犯罪分子通过创建新的GitHub账户来应对封禁措施，这显示了他们的顽固性以及快速恢复运营的能力。 这些有效负载进而利用该平台的编排能力，横向移动至不面向互联网的节点，传播恶意软件，创建到攻击者控制基础设施的反向Shell以实现远程控制，并通过一个每15分钟运行一次的定时任务来建立持久化，该任务会从GitLab拉取最新版本的恶意软件以重新感染主机。 研究人员Avi Lumelsky和Gal Elbaz表示，威胁行为者”已将Ray的合法编排功能转变为工具，用于运行一个可自我传播的全球加密货币劫持行动，该行动能在暴露的Ray集群间自主传播。” 该攻击活动很可能利用了大语言模型来创建GitLab有效负载。这一评估是基于恶意软件的”结构、注释和错误处理模式”得出的。 其感染链包含一个明确的检查，用以判断受害者是否位于中国。如果是，则投放一个针对该区域的特定版本恶意软件。它还旨在通过扫描运行的进程来寻找并终止其他加密货币挖矿程序，从而消除竞争——这是加密货币劫持组织广泛采用的一种策略，旨在最大化主机的挖矿收益。 另一个值得注意的特点是，攻击使用了多种技术来规避检测，包括将恶意进程伪装成合法的Linux内核工作进程，并将CPU使用率限制在60%左右。据信，该攻击活动可能自2024年9月以来就一直处于活跃状态。 尽管Ray本应部署在”受控的网络环境”中，但研究结果表明，用户正在将Ray服务器暴露在互联网上，这为不法分子打开了一个有利可图的攻击面。攻击者使用开源漏洞检测工具interact.sh来识别哪些Ray仪表盘IP地址是可利用的。目前，有超过230,500台Ray服务器可公开访问。 Ray的最初开发者Anyscale公司已发布了一款”Ray开放端口检查器”工具，用于验证集群配置是否正确，以防止意外暴露。其他缓解策略包括配置防火墙规则以限制未经授权的访问，并在Ray仪表盘端口（默认8265）之上增加授权机制。 Oligo指出：”攻击者部署了sockstress（一种TCP状态耗尽工具）来攻击生产网站。这表明被入侵的Ray集群正被武器化，用于发动拒绝服务攻击，目标可能是竞争矿池或其他基础设施。” “这使得该行动从纯粹的加密货币劫持转变为一个多用途僵尸网络。发动DDoS攻击的能力增加了另一种变现途径——攻击者可以出租DDoS容量，或利用它来消除竞争。目标端口3333通常被矿池使用，这表明攻击是针对竞争对手的挖矿基础设施。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文