HackerNews

HackerNews 编译，转载请注明出处： 美国国务院表示，其与日本及韩国外务省协作在东京举办论坛，旨在应对朝鲜公民通过非法手段获取信息技术职位的多年渗透活动。本次论坛汇集130余位参与者，涵盖自由职业平台、支付服务提供商、加密货币企业及人工智能公司等领域。 该论坛旨在为各利益相关方搭建信息共享平台，共同制定防御策略。多起案例显示，日本与韩国企业（尤其是加密货币行业）因误雇朝鲜IT人员已损失数百万美元。 美日韩三国自2022年起就此展开合作，并于今年1月共同指出朝鲜知名黑客组织“拉撒路集团”（Lazarus Group）持续通过加密货币窃取活动实施网络犯罪，目标涵盖交易所、数字资产托管商及个人用户。除日本加密货币公司DMM Bitcoin和印度平台WazirX遭窃5亿美元外，朝鲜黑客还从Upbit、Rain Management及Radiant Capital等平台盗取1.16亿美元。 朝鲜政府通过该计划为其大规模杀伤性武器及弹道导弹项目筹集数亿美元资金。具体操作模式为：身处中国、俄罗斯或东南亚的朝鲜公民利用窃取的欧美身份证明，受雇于西方企业并获取高薪。数百名朝鲜人员以此获得职位，其中多人同时在多家财富500强企业兼任工作。 尽管部分公司承认这些IT人员工作能力合格，但美国官员警告潜在风险包括：敏感数据泄露、企业声誉损害、法律追责后果，以及掌握企业内部资产路径的朝鲜黑客可能发动后续攻击。 上月，美国财政部对三名参与IT渗透计划的朝鲜高级官员实施制裁，同时判处一名亚利桑那州女子八年监禁——该女子在美国境内运营“笔记本农场”，协助朝鲜人员伪装在美国本土工作。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡科技设计大学（SUTD）旗下ASSET（自动化系统安全）研究团队开发出一种无需依赖伪基站（gNB）即可将5G连接降级至低世代网络的新型攻击技术。该攻击基于名为Sni5Gect（“Sniffing 5G Inject”的缩写）的开源工具包，能够嗅探基站与用户设备（UE，即手机）间传输的未加密消息，并通过空口向目标设备注入恶意消息。 据研究者罗世杰（Shijie Luo）、Matheus Garbelini、Sudipta Chattopadhyay和周建英（Jianying Zhou）介绍，该框架可实现多种攻击，包括：使设备调制解调器崩溃、强制网络降级至旧世代、设备指纹识别或绕过认证机制。与传统依赖伪基站的5G攻击不同，Sni5Gect以第三方身份插入通信链路，在用户设备接入过程中被动嗅探消息并实时解码协议状态，进而利用状态信息精准注入攻击载荷。 技术原理与突破 攻击利用5G通信中认证前阶段的安全窗口：当手机发起随机接入（RACH）至建立NAS安全上下文期间，基站与设备交换的消息既无加密也无完整性保护。攻击者无需掌握设备凭证，即可监听上下行流量并注入伪造消息。其核心创新在于： 被动嗅探：实时解码基站与设备间未加密消息（如RRC建立请求、注册请求等），跟踪协议状态； 有状态注入：根据协议状态在关键时间点（如设备发送注册请求后）注入攻击载荷，设备误认消息来自合法基站而执行恶意指令。 攻击能力验证 研究团队在20米距离内对五款商用手机（一加Nord CE 2、三星Galaxy S22、谷歌Pixel 7、华为P40 Pro及Fibocom USB调制解调器）进行测试： 上下行流量嗅探准确率超80%； 数据包注入成功率高达70%-90%； 成功演示三类攻击： 单次注入生效：如注入畸形RRC消息触发调制解调器崩溃（利用5Ghoul漏洞），或注入“N1模式拒绝”消息强制5G降级至4G； 需响应的单次注入：通过“身份请求”消息诱骗设备返回加密的SUCI身份标识； 多阶段降级攻击（CVD-2024-0096）：篡改认证请求的序列号并重播，触发设备防护机制拉黑5G基站，最终迫使其自动连接4G网络。 行业影响与响应 全球移动通信系统协会（GSMA）已承认该降级攻击的威胁性，并为其分配漏洞编号CVD-2024-0096。研究者强调，Sni5Gect不仅是首个无需伪基站的5G空口嗅探与注入框架，更为安全研究提供关键工具：既可推动运营商优化认证前消息的完整性校验机制，也能促进5G物理层安全及入侵检测技术的发展。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日产汽车向BleepingComputer证实，其子公司Creative Box Inc.（CBI）的服务器遭到未授权访问，导致数据泄露。 此次回应是针对Qilin勒索软件团伙声称从CBI窃取4TB数据的声明。该团伙宣称窃取的数据包括3D车辆设计模型、内部报告、财务文件、VR设计工作流程及照片。 “2025年8月16日，日产设计承包商Creative Box Inc.（CBI）的数据服务器上检测到可疑访问，”日产发言人向BleepingComputer表示。“CBI立即实施了应急措施（例如阻断所有服务器访问权限）以降低风险，并向警方报案。” CBI是日产汽车株式会社全资拥有的东京设计工作室，定位为专注于实验性和概念车型设计的“智库”。 Qilin勒索组织于2025年8月20日在暗网勒索门户上添加CBI为受害者，声称窃取了所有设计项目并威胁公开数据，使竞争对手获得优势。该组织还公布了16张窃取数据的照片作为证据，内容涉及3D汽车设计图、电子表格、文档和汽车内饰图像。 Qilin勒索门户上列出的日产CBI条目   图片来源：BleepingComputer 日产声明目前正在调查事件，但已确认发生数据泄露。“详细调查正在进行中，现已确认部分设计数据遭泄露，”日产表示，“日产与CBI将继续调查并根据需要采取适当措施。” 这家日本汽车制造商强调，泄露数据仅影响日产自身（CBI的唯一客户），因此被盗数据不涉及其他公司、承包商或个人客户的信息。 Qilin勒索组织今年活动频繁，此前曾攻击出版集团Lee Enterprises和制药公司Inotiv等知名目标。该团伙被指利用Kickidler员工监控工具及两个Fortinet漏洞（CVE-2024-21762、CVE-2024-55591），无需认证即可在设备上远程执行代码。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 内华达州政府系统因周日（8月24日）凌晨发生的网络安全事件持续瘫痪，导致网站、电话线路及线下服务中断。州长乔·隆巴多（Joe Lombardo）周一下午发布声明称，紧急服务仍可运作，但该事件“持续影响州内特定技术系统的可用性” 。 隆巴多表示，“恢复期间，部分州政府网站或电话线路可能出现响应迟缓或短暂中断” 。州政府正与地方、部落及联邦合作伙伴协作恢复服务，并“使用临时路由和操作方案，尽可能维持公共访问渠道” 。 受事件影响，内华达州政府办公室周一全面暂停线下服务，各机构将另行通知恢复时间 。截至周一晚间，州政府官方网站仍处于离线状态 。州政府提醒居民警惕诈骗行为，强调绝不会通过电话或邮件索要个人信息或银行资料 。 州长声明补充称，调查将确认是否存在数据泄露 。目前尚无黑客组织宣称对此事件负责 ，联邦调查局已介入协助调查 。此次事件恰逢马里兰州政府同期报告网络攻击导致关键服务中断 ，而两周前拉斯维加斯刚举办全球顶尖的Black Hat网络安全大会 。 拉斯维加斯去年曾因美高梅度假村集团（MGM Resorts）勒索攻击事件陷入混乱：旗下曼德雷湾、贝拉吉奥等酒店赌场的角子机、房卡系统及ATM机大面积瘫痪数日，酒店无法受理信用卡支付，顾客被迫另寻住所，多家赌场员工被迫手工计算赌局盈亏 。美高梅最终承担超1亿美元损失，但拒绝支付赎金 。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦通信委员会（FCC）已将 1200 家语音服务提供商清除出美国电话网络，原因是它们未能遵守保护用户免受恶意和非法电话（即骚扰电话）侵害的规定。 这些公司被移出反骚扰电话缓解数据库（Robocall Mitigation Database, RMD），意味着所有其他语音服务和中间提供商必须停止直接接受来自这些不合规公司的所有呼叫。 这一千两百家公司未能向 FCC 提交有效的反骚扰电话缓解计划，或其计划缺乏必要信息。这些公司在收到警告后也未能提供解释和解决问题，“从而逃避了保护消费者免受非法骚扰电话侵害的责任”。 “骚扰电话对美国家庭来说是极其常见又令人沮丧的威胁，” FCC 主席布伦丹·卡尔（Brendan Carr）在一份声明中表示。“未能履行阻止这些电话职责的提供商，在我们的网络中没有立足之地。我们正在采取行动，并将继续这样做。” 美国的语音服务提供商必须实施 STIR/SHAKEN 来电显示认证框架，提交反骚扰电话缓解计划，并主动打击骚扰电话。RMD 数据库是一个关键工具，用于认证在相应网络所有基于 IP 的部分所实施的保护措施。 2024 年 12 月，FCC 曾命令 2411 家公司修正其 RMD 备案中的缺陷。然而，在 8 月 6 日，有 185 家提供商因未能做到这一点而被移出数据库，随后最近的行动又移除了超过 1200 家提供商。 一个由两党组成的 51 名州检察长团体已发起进一步行动。在代号为“Operation Robocall Roundup”（反骚扰电话行动）的行动中，他们向 37 家语音提供商发出了警告信，要求它们采取行动，阻止非法骚扰电话通过其网络进行路由。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于Discord的在线工具开发者声称，他们获取了数十亿条用户消息、大量语音会话、文件及用户资料。这些所谓泄露的数据是通过爬取平台获得的。 攻击者在一个知名数据泄露论坛发布服务广告，声称用户可通过付费筛选数十亿条Discord记录，用于骚扰平台用户。 目前我们已联系Discord寻求回应，收到回复后将更新本文。 该数据抓取服务宣称付费用户可查看以下内容： 18亿条Discord消息 3,500万用户数据 2.07亿次语音会话 6,000个Discord服务器 网络安全研究团队指出，攻击者可能获取了公开及潜在私密服务器的数据，但未订阅该犯罪团伙控制的服务则无法验证真实性。攻击者声称实时更新索引消息，表明数据处于最新状态。 Discord消息如何被滥用？ 攻击者可通过多种方式利用泄露的用户消息。除明显的隐私问题外，恶意分子常利用Discord活动骚扰个人及少数群体。 2024年，名为Spy.Pet的灰色网站声称爬取了近6.2亿用户的数十亿条公开Discord消息。 Spy.Pet不仅收集消息记录，还整合用户的Steam账号等关联平台，向有意用其数据训练AI模型的客户提供“企业选项”，据称包括联邦机构。 “该服务原理类似去年被Discord关停的Spy.Pet，但新服务进一步整合了泄露数据库和FiveM服务器，很可能旨在助长网络骚扰。”研究团队解释称。 2024年初，Discord封禁了Spy.Pet相关账户，切断了数据抓取机器人与平台服务器的连接。当时Discord声明此类抓取行为违反公司规定。 研究分析认为，新服务试图通过两种渠道牟利：付费查阅他人消息者，以及付费要求删除自身数据者。 该服务的条款页面显示其运营于欧盟成员国爱沙尼亚，需遵守全球最严格的隐私法。 “此工具极大简化了为骚扰或网络论战而进行的人肉搜索。虽可手动实现同等操作，但该服务大幅降低了人力成本。”研究人员指出。 值得注意的是，服务条款透露数据实际存储于俄罗斯联邦境内。运营者可能认为，将数据存于欧盟关系欠佳的国家可规避法律追责。 然而正如Spy.Pet案例所示，此类服务违反GDPR多项条款（如第17条“被遗忘权”）。 由于庞大的用户基数及紧密社群特性，Discord常成为攻击目标。例如今年初某团伙声称从近1,000个公开Discord服务器抓取3.48亿条消息。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于马萨诸塞州的数学软件开发商 MathWorks 遭遇勒索软件攻击，导致数千用户的个人详细信息被泄露。 MathWorks 近日披露了其今年早些时候遭受的勒索软件攻击的波及范围。该公司提交给缅因州总检察长办公室的信息显示，超过 10,000 名个人在此次黑客攻击中信息被暴露。 MathWorks 主要以其数据分析软件 MATLAB 和仿真软件 SIMULINK 而闻名。该公司年收入达 15 亿美元，仅 MATLAB 在全球就有 500 万用户。 公司发现其系统于 2025 年 5 月 18 日遭到入侵。这次攻击导致其部分服务中断近一周，影响了数百万客户的访问。没有任何勒索软件团伙宣称对此次攻击负责。 此外，根据公司的数据泄露通知，攻击者很可能在其系统内活动了近一个月——从 4 月 17 日一直持续到 5 月份入侵被发现为止。 公司声称，在获悉该事件后，其“聘请了第三方取证专家对受影响的系统进行全面审查，以协助控制威胁、清除威胁行为者并进行补救。” 调查显示，攻击者可能访问了用户的个人详细信息，包括： 姓名 地址 出生日期 社会安全号码（或其他国家身份证号码） 理论上，攻击者可以利用窃取的信息进行身份盗窃，最坏情况下可能用于金融欺诈。虽然 MathWorks 指出受影响的数据在暴露个体之间存在差异，但那些姓名和身份证件信息被泄露的个人可能面临更高的隐私风险。 例如，攻击者可能试图建立欺诈账户、获取贷款，甚至尝试窃取现有账户。然而，MathWorks 强调，对于数据可能被泄露的个人，公司并未意识到存在任何“实际的或企图滥用个人信息或造成任何财务损害”的情况。 与类似情况下的通常做法一样，MathWorks 表示将为受影响的个人提供免费的身份保护服务。数据泄露通知建议用户保持警惕，并监控其财务账户是否存在异常活动。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Docker 修复了 Windows 和 macOS 版 Docker Desktop 应用程序中的一个高危漏洞（CVE-2025-9074，CVSS 评分 9.3），攻击者可能利用该漏洞突破容器隔离限制。 根据 Docker 官方文档披露，恶意容器能够访问 Docker 引擎并在无需套接字的情况下启动新容器，即使启用了增强容器隔离（ECI）功能，仍存在主机文件被访问的风险。安全公告指出：“Docker Desktop 中存在一个漏洞，允许本地运行的 Linux 容器通过默认配置的 Docker 子网（192.168.65.7:2375）访问 Docker 引擎 API。无论是否启用增强容器隔离功能，或是否开启‘通过 无 TLS 暴露守护进程’选项，该漏洞都会存在。攻击者可借此向引擎 API 执行大量特权命令，包括控制其他容器、创建新容器、管理镜像等。在某些情况下（如使用 WSL 后端的 Windows 版 Docker Desktop），攻击者还能以 Docker Desktop 运行用户的相同权限挂载主机驱动器。” 该漏洞由研究人员费利克斯·布勒（Felix Boulet）和菲利普·杜格雷（Philippe Dugre，zer0x64）发现。布勒证实漏洞允许容器在无需认证的情况下连接 Docker 引擎 API（192.168.65.7:2375）。概念验证显示，任何容器均可发送请求绑定主机的 C:\ 驱动器，随后启动具有主机文件读写权限的容器，最终导致完全控制主机。布勒表示：“这个漏洞本质上是由于一个简单的疏忽——Docker 的内部 HTTP API 可以从任何容器访问，且无需认证或访问控制。这深刻提醒我们，关键安全漏洞往往源于最基本的假设。我通过对 Docker 文档记载的私有网络进行快速 nmap 扫描发现了这个问题。扫描整个私有子网只需几分钟，可能会揭示你并未如想象中那样隔离。务必测试网络隔离假设，不要默认所有安全模型都已对齐。” 杜格雷发现 Windows 版 Docker Desktop 漏洞允许攻击者以管理员权限挂载完整文件系统，读取敏感数据或覆盖 DLL 获取主机控制权。专家解释称，得益于系统隔离机制，macOS 受影响程度较低，但攻击者仍可后门化 Docker 配置。Linux 系统不受影响，因其使用命名管道进行通信。漏洞利用途径包括恶意容器或通过 SSRF（服务器端请求伪造）代理请求至 Docker 套接字。杜格雷补充说明：“虽然最简单的利用方式是通过攻击者控制的易受攻击/恶意容器，但服务器端请求伪造（SSRF）也是可行的攻击向量。该漏洞允许攻击者通过易受攻击的应用程序代理请求访问 Docker 套接字，实际影响尤其取决于 HTTP 请求方法的可用性（多数 SSRF 仅允许 GET 请求，但在某些特殊情况下允许使用 POST、PATCH、DELETE 方法）。”该漏洞已在 4.44.3 版本中修复。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场旨在传播 Atomic macOS Stealer (AMOS) 变种的高级恶意广告活动已针对数百家组织发起。 在 2025 年 6 月至 8 月期间，该活动将受害者引向欺诈性的 macOS 帮助网站，并诱使他们执行恶意的单行安装命令。 其最终目的是让受害者感染 SHAMOS 变种（AMOS 信息窃取程序），该变种由恶意软件即服务 (MaaS) 团伙 Cookie Spider 开发。 在此期间，CrowdStrike 表示其阻止了该恶意广告活动企图入侵其超过 300 个客户环境的尝试。 “这次活动突显了恶意单行安装命令在网络犯罪（eCrime）行为者中的流行程度。” CrowdStrike 在最近的一篇博客中表示。 该技术使网络犯罪分子能够绕过 Gatekeeper 安全检查，将 Mach-O（一种主要由 macOS 使用的二进制格式）可执行文件直接安装到受害者设备上。 Cuckoo Stealer 和 SHAMOS 的操作者曾在 2024 年 5 月至 2025 年 1 月期间发生的 Homebrew 恶意广告活动中利用过此方法。 CrowdStrike 指出，该恶意广告网站出现在包括英国、美国、日本、中国、哥伦比亚、加拿大、墨西哥、意大利等地的谷歌搜索结果中。 该公司的分析称，没有受害者位于俄罗斯。“这很可能是因为俄罗斯的网络犯罪论坛禁止商品化恶意软件操作者针对位于俄罗斯的用户，”该公司表示。 这些欺诈性的 macOS 帮助网站提供了关于用户如何解决问题的错误指导。然而，页面指示受害者复制、粘贴并执行一个恶意的单行安装命令，该命令会解码 Base64 编码的字符串。 随后，该命令会从 https[:]//icloudservers[.]com/gm/install[.]sh 下载一个文件。该文件是一个 Bash 脚本，会捕获用户密码并从 https[:]//icloudservers[.]com/gm/update 下载 SHAMOS 的 Mach-O 可执行文件。 自 2025 年 6 月首次报告此类活动以来，CrowdStrike Counter Adversary Operations 表示，他们持续观察到机会主义的网络犯罪威胁行为者利用恶意的 GitHub 仓库诱使受害者执行下载 SHAMOS 的命令。 CrowdStrike Counter Adversary Operations 高度确信，网络犯罪行为者很可能会继续利用恶意广告和单行安装命令来分发 macOS 信息窃取程序。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯一名高级官员表示，政府正在考虑封禁视频会议服务 Google Meet。此前，上周末该服务在俄罗斯出现了短暂中断。 国家杜马信息技术委员会副主席安德烈·斯温佐夫（Andrei Svintsov）表示，被认为对国家安全构成威胁的西方应用程序最终可能会被禁止。 “那些能够监视我国公民并向西方情报机构发送信息的应用程序很可能会被屏蔽，”斯温佐夫在评论近期 Google Meet 中断事件时对当地媒体表示，并补充说该服务目前尚未被禁。 监控服务 Downdetector 周五收到了超过 2300 起关于 Meet 运行状况的投诉，用户报告了通话卡顿冻结、视频和音频消失以及应用程序关闭等问题。访问随后恢复。谷歌未回应置评请求。 俄罗斯互联网监管机构 Roskomnadzor 否认对 Meet 实施了限制。斯温佐夫暗示，故障可能是由于本月早些时候俄罗斯限制了 WhatsApp 和 Telegram 的通话功能后用户涌入造成的。 独立记者和数字权利专家表示，随着克里姆林宫推动推广一款名为 Max 的国家支持的消息应用，封禁 Meet 是可能的。Max 由 VKontakte 创始人帕维尔·杜罗夫的继任团队开发，仿照中国微信模式。从 9 月开始，Max 将预装在俄罗斯销售的所有新智能手机上。 本月早些时候，莫斯科屏蔽了 WhatsApp 和 Telegram 的语音和视频通话功能，指责这两款美国应用程序助长欺诈、破坏活动和恐怖主义。当局表示，如果这些公司遵守与俄罗斯执法部门共享数据的要求，服务可以恢复。 科技巨头 Meta 旗下的 WhatsApp 称，限制其应用程序通话功能的决定是企图剥夺俄罗斯人安全通信的权利，并迫使他们转向“安全性较低的服务，以便政府实施监控”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 马里兰州多个政府部门正应对一起影响残障人士交通服务系统的网络攻击。 周日，马里兰州交通管理局（MTA）在其社交媒体和网站上发布了关于一起网络事件的警告，该事件涉及对其部分系统的未经授权访问。 虽然 MTA 的核心交通服务（包括公交线路、地铁和轻轨系统）未受影响，但用于名为“Mobility”的专项客运服务的部分实时信息系统和其他工具受到了影响。 Mobility 服务于无法到达或等候公交车站的人士。这项共享乘车服务通过网站预约，可将乘客从家中送至目的地。 MTA 表示 Mobility 服务“无法安排新的行程或重新预订现有行程”。 “此外，部分 MTA 服务运营和信息系统，包括实时信息和我们的呼叫中心，可能会受到影响，”该部门解释道。“我们正与第三方网络安全专家和执法合作伙伴合作，评估事件范围并减轻其影响。” 所有本周已预定的 Mobility 行程将照常提供。需要预约新行程的人士应使用“Call-A-Ride”服务，可通过其网站或电话号码进行预约。 MTA 表示，该州的应急管理部门已启动了包含信息技术部和其他关键机构在内的全州紧急行动中心。 截至周一下午，尚未有任何黑客组织认领此次事件。今年早些时候，马里兰州最大的县曾遭受网络攻击，导致政府服务受限数日。 过去两年间，黑客通过对美国地方政府的网络攻击，屡次导致市政残障服务出现问题。在密苏里州、弗吉尼亚州等地区，网络攻击或勒索软件事件导致关键系统离线后，当地政府不得不为残障居民提供替代方案。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国保险巨头农民保险公司（Farmers Insurance）披露了一起影响 110 万客户的数据泄露事件。BleepingComputer 获悉，这些数据是在波及广泛的 Salesforce 攻击中被盗取的。 农民保险公司是一家美国保险公司，提供汽车、家庭、人寿和商业保险产品。它通过代理商和子公司网络运营，为全美超过 1000 万个家庭提供服务。 该公司在其网站上发布公告披露了此次数据泄露，称其一家第三方供应商的数据库于 2025 年 5 月 29 日遭到入侵。 “2025 年 5 月 30 日，农民公司的一家第三方供应商向农民公司发出警报，称发现可疑活动，涉及未经授权的行为者访问了该供应商包含农民公司客户信息的数据库（以下简称‘事件’），”其网站上的数据泄露通知写道。“该第三方供应商配备了监控工具，使其能够快速检测到该活动并采取适当的遏制措施，包括封锁未经授权的行为者。在获悉该活动后，农民公司立即展开了全面调查，以确定事件的性质和范围，并通知了适当的执法部门。” 该公司表示，其调查确定，客户的姓名、地址、出生日期、驾照号码和/或社会安全号码的后四位在此次泄露事件中被盗。 农民公司于 8 月 22 日开始向受影响的个人发送数据泄露通知。提交给缅因州总检察长办公室的通知样本显示，共有 1,111,386 名客户受到影响。 虽然农民公司没有透露第三方供应商的名称，但 BleepingComputer 获悉，这些数据是在今年影响众多机构的广泛 Salesforce 数据盗窃攻击中被盗取的。 BleepingComputer 联系了农民公司询问有关泄露事件的更多问题，若收到回复将更新报道。 Salesforce 数据盗窃攻击 自今年年初以来，被归类为“UNC6040”或“UNC6240”的威胁行为者一直在对 Salesforce 客户进行社会工程学攻击。 在这些攻击中，威胁行为者进行语音钓鱼（vishing），诱骗员工将恶意的 OAuth 应用程序与其公司的 Salesforce 实例关联。 一旦关联成功，威胁行为者便利用该连接下载并窃取数据库，然后通过电子邮件对公司进行勒索。 勒索要求来自 ShinyHunters 网络犯罪团伙。该团伙告诉 BleepingComputer，攻击涉及多个重叠的威胁组织，每个组织负责特定的任务以入侵 Salesforce 实例并窃取数据。 “就像我们反复说过的那样，ShinyHunters 和 Scattered Spider 是一体的，”ShinyHunters 告诉 BleepingComputer。“他们为我们提供初始访问权限，我们则负责 Salesforce CRM 实例的转储和窃取。就像我们对 Snowflake 所做的那样。” 受这些攻击影响的其他公司包括谷歌、思科、Workday、阿迪达斯、澳洲航空、安联人寿以及 LVMH 旗下的路易威登、迪奥和蒂芙尼。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国零售商欧尚（Auchan）正通知其客户，一场网络攻击导致数十万客户的会员账户相关敏感数据被泄露。 该公司正在向受事件影响的客户发送数据泄露通知。 “我们写信通知您，欧尚已成为网络攻击的受害者。此次攻击导致与您会员账户相关的某些个人数据遭到未经授权的访问，”该零售商的声明中写道。 根据通知样本，此次攻击中泄露的数据包括全名、称谓和客户状态、邮政地址、电子邮件地址、电话号码以及会员卡号。 该零售商强调，银行数据、密码和 PIN 码未受影响。 欧尚向客户发送的通知      图片来源：Zataz 该公司发言人向法媒证实“数十万”客户数据遭泄露。 欧尚是一家法国跨国零售集团，在欧洲和非洲的13个国家经营着超过 2,100 家门店。该集团拥有 154,000 名员工，年收入超过 350 亿美元。 该公司表示已就此次数据泄露事件通知法国数据保护机构（CNIL）。 同时，欧尚建议收到通知的客户对可能利用被盗信息进行的钓鱼攻击保持警惕。 “我们提醒您，欧尚绝不会通过电子邮件、短信或电话向您索要登录信息、密码或会员卡 PIN 码，”欧尚警告道，“如果您收到此类消息，请不要点击任何链接，不要拨打提供的电话号码，并忽略其中包含的信息，因为这很可能是一次钓鱼尝试。” BleepingComputer 几天前联系了欧尚以请求获取有关此次攻击的更多信息，但该公司尚未回复。 欧尚的数据泄露事件发生在法国其他大型实体（包括法国航空、荷兰皇家航空、Orange 和 Bouygues Telecom）相继披露类似事件之后不久，其中部分事件与黑客组织 ShinyHunters 攻击 Salesforce 有关联。 目前，没有证据表明这些攻击相互关联，或表明存在针对该国大型企业的协同行动。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zscaler 旗下 ThreatLabs 团队在调查一波针对安卓设备的 Anatsa（Teabot）银行木马新感染浪潮时，发现 77 款恶意安卓应用在 Google Play 上被安装了超过 1900 万次，这些应用向用户传播多种恶意软件家族。 虽然大部分恶意应用（超过 66%）包含广告软件组件，但最常见的安卓恶意软件是 Joker，研究人员在近 25% 的分析应用中发现了它。安装到设备后，Joker 可以读取和发送短信、截屏、拨打电话、窃取通讯录、访问设备信息，并为用户订阅高级服务。 较小比例的应用程序包含伪装软件（maskware），该术语用于定义那些伪装成不会引起任何怀疑的合法应用的恶意软件。此类恶意软件可能表现为功能正常的合法应用，但会在后台执行恶意活动，例如窃取凭证、银行信息或其他敏感数据（位置、短信）。网络犯罪分子也可能利用伪装软件传播其他恶意软件。 Zscaler 研究人员还发现了一种名为 Harly 的 Joker 变种，它以一个表面合法的应用程序形式出现，但将恶意负载隐藏在代码深处，以在审核过程中规避检测。在 3 月的一份报告中，Human Security 研究人员称 Harly 可以隐藏在流行应用中，例如游戏、壁纸、手电筒和照片编辑器。 Anatsa 木马持续进化 据 Zscaler 称，最新版本的 Anatsa 银行木马进一步扩大了其目标范围，试图窃取数据的银行和加密货币应用数量从此前的 650 个增加到了 831 个。该恶意软件运营商使用一款名为“Document Reader – File Manager”（文档阅读器 – 文件管理器）的应用作为诱饵，该应用仅在安装后才下载恶意的 Anatsa 负载，以此规避谷歌的代码审查。 最新活动已从过去使用的远程 DEX 动态代码加载方式，转变为直接安装负载，从 JSON 文件中解包，然后将其删除。在规避检测方面，它使用畸形的 APK 文件来破坏静态分析，运行时基于 DES 的字符串解密，以及模拟环境检测。包名和哈希值也会定期更改。 在功能方面，Anatsa 滥用安卓系统的无障碍权限，自动授予自身广泛权限。它从服务器获取针对 831 多个应用的钓鱼页面，现已覆盖德国和韩国，同时还添加了键盘记录模块用于窃取通用数据。 在 ThreatFabric 于 7 月发现的另一波攻击之后，最新的 Anatsa 活动接踵而至。当时该木马伪装成 PDF 阅读器潜入 Google Play，下载量超过 5 万次。更早的 Anatsa 活动包括：2024 年 5 月的一次 PDF 和 QR 码阅读器攻击，感染 7 万台设备；2024 年 2 月的一次手机清理器和 PDF 攻击，获得 15 万次下载；以及 2023 年 3 月的一次 PDF 阅读器攻击，安装量达到 3 万次。 Google Play 上的恶意应用浪潮 除了此次发现的恶意 Anatsa 应用外，Zscaler 发现的大多数是广告软件家族，其次是“Joker”、“Harly”和各种伪装软件。 “ThreatLabz 发现 Google Play 商店上的广告软件应用数量急剧上升，同时还有诸如 Joker、Harly 以及 Anatsa 等银行木马类恶意软件，”Zscaler 研究员 Himanshu Sharma 解释道，“相比之下，像 Facestealer 和 Coper 这样的恶意软件家族数量则出现了明显下降。” 工具和个性化应用占用于传播这些恶意软件的诱饵的一半以上，因此这两类应用，连同娱乐、摄影和设计类应用，应被视为高风险类别。包括含有 Anatsa 木马的应用在内，这 77 款恶意应用在 Google Play 上的总下载量达到 1900 万次。 Zscaler 报告称，在其报告后，谷歌已从 Play 商店中移除了他们此次发现的所有恶意应用。安卓用户必须确保其设备上的 Play Protect 服务处于激活状态，以便标记恶意应用进行移除。若感染了 Anatsa 木马，则需采取额外步骤联系银行，以保护可能已被泄露的电子银行账户或凭证安全。 为尽量减少来自 Google Play 上恶意软件加载器的风险，请仅信任信誉良好的发布者，至少阅读几条用户评论，并且仅授予与应用核心功能直接相关的权限。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。 网络安全公司CYFIRMA表示：“初始入侵通过钓鱼邮件实现。攻击者利用武器化的.desktop快捷方式文件针对BOSS Linux环境，一旦用户打开这些文件，便会下载并执行恶意载荷。” 透明部落（又称APT36）被评估为源自巴基斯坦。该组织及其分支SideCopy长期以多种远程控制木马（RAT）入侵印度政府机构。此次跨平台攻击展示了该组织的持续技术演进，使其能扩大目标范围并确保在受害系统中的持久访问权限。 攻击链分析 攻击始于伪装成会议通知的钓鱼邮件，实际附件为恶意Linux桌面快捷方式文件（如“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件假冒PDF文档诱骗用户点击，触发执行隐藏的Shell脚本。该脚本作为下载器，从攻击者控制的服务器（”securestore[.]cv”）获取十六进制编码文件，保存为ELF二进制程序；同时启动Firefox浏览器打开Google Drive上的伪装PDF文件以降低怀疑。基于Go语言的二进制程序会连接硬编码的命令与控制（C2）服务器（modgovindia[.]space:4000），接收指令、获取后续载荷并窃取数据。恶意软件还通过cron计划任务实现持久化，确保系统重启或进程终止后自动执行主载荷。 技术对抗手段 安全公司CloudSEK独立证实此活动，指出恶意软件具备系统侦察功能，并通过虚拟反调试和反沙盒检测混淆分析工具。Hunt.io进一步分析发现，攻击最终部署了透明部落已知后门Poseidon，支持数据收集、长期访问、凭证窃取及潜在横向移动能力。CYFIRMA强调：“APT36能根据目标操作系统环境定制投递机制，显著提升攻击成功率，使其得以长期潜伏于关键政府基础设施并规避传统安全防护。” 历史攻击模式关联 此次披露前数周，透明部落还被发现通过仿冒域名针对印度国防机构及关联政府实体，旨在窃取凭证和双因素认证（2FA）验证码。用户通过钓鱼邮件被诱导至恶意链接。CYFIRMA描述其流程：“受害者在仿冒登录页输入有效邮箱并点击‘下一步’后，将被重定向至第二页面，诱骗其输入邮箱密码及Kavach验证码。”需注意的是，针对印度政府机构使用的双因素认证系统Kavach的攻击，是透明部落及SideCopy自2022年初反复使用的成熟手段。CYFIRMA补充：“此类抢注域名与巴基斯坦服务器托管基础设施的组合，完全符合该组织一贯的战术、技术和程序（TTPs）。” 南亚地区威胁扩展 同期，另一南亚APT组织SideWinder也被曝光通过钓鱼邮件攻击孟加拉国、尼泊尔、巴基斯坦、斯里兰卡和土耳其。Hunt.io指出：“攻击者仿冒官方通信，诱骗受害者在托管于Netlify和Pages.dev的伪造登录页提交凭证。其伪造的Zimbra邮箱和安全门户页面模仿政府邮件、文件共享服务界面，引导用户通过虚假登录面板提交凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲执法部门在国际刑警组织协调的“塞伦盖蒂行动2.0”中逮捕了1,200余名嫌疑人，该行动旨在打击跨境网络犯罪团伙。2025年6月至8月期间，执法人员查获9,740万美元资金，并捣毁11,432个恶意基础设施，这些设施针对全球87,858名受害者发动攻击。 国际刑警组织周五声明：“在这场由国际刑警协调的大规模行动中，非洲各地当局逮捕了1,209名网络罪犯，其犯罪活动涉及近88,000名受害者。”行动期间，赞比亚当局摧毁了一个造成65,000名受害者损失3亿美元的加密投资骗局，安哥拉则关闭了25个非法加密货币挖矿中心，查获价值3,700万美元的设备并逮捕60名犯罪分子。 “塞伦盖蒂行动2.0（2025年6月至8月）汇聚了来自18个非洲国家及英国的调查人员，共同打击高危害性网络犯罪，包括勒索软件、网络诈骗和商务电邮入侵(BEC)。”此次行动隶属“非洲联合反网络犯罪行动”框架，由英国外交联邦与发展事务部资助。 联合行动还利用了私营合作伙伴的数据支持，包括Cybercrime Atlas、Fortinet、Group-IB、卡巴斯基、Shadowserver基金会、Team Cymru、趋势科技、TRM Labs和乌普萨拉安全公司。这是近年来针对非洲网络犯罪集团的最新行动，此前多次联合行动已摧毁涉案金额达数百万美元的犯罪网络。 2024年11月至2025年2月开展的”红牌行动”中，306名涉嫌网络犯罪的嫌疑人被捕，其攻击波及全球5,000余名受害者。更早的2024年9月至10月，国际刑警协调的首次”塞伦盖蒂行动”逮捕了1,006名嫌疑人，该团伙涉及勒索软件、数字勒索、商务电邮入侵及网络诈骗。 国际刑警组织秘书长瓦尔代西·乌尔基扎周五强调：“每次由国际刑警协调的行动都承前启后，不断深化成员国间的合作、加强信息共享并提升调查技能。随着更多贡献和专业知识的共享，行动成果的规模和影响力持续扩大。这个全球网络比以往任何时候都更强大，正在取得实际成果并保护受害者。”       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 科技制造商 Data I/O 周四晚间向联邦监管机构报告了一起勒索软件攻击，称该事件导致关键运营系统瘫痪。 这家总部位于华盛顿州雷德蒙的公司表示，勒索软件攻击始于 8 月 16 日，导致其用于运输、制造、生产和其他支持功能的技术中断。 Data I/O 生产用于汽车和消费设备的电子产品。今年第二季度，其超过 65% 的业务来自汽车电子生产，其中包括与中国电动车制造商签订的合同，用于生产充电站技术。其网站列出了特斯拉、松下、亚马逊、谷歌和微软等主要客户。 在向美国证券交易委员会（SEC）提交的一份 8K 报告中，Data I/O 表示已采取遏制措施，包括将系统下线，以保护其全球 IT 网络。 公司正在等待第三方调查完成后，再通知可能受数据泄露影响的个人。 目前尚无服务完全恢复的时间表。公司承认，“与此次事件相关的预期成本，包括支付给网络安全专家及其他顾问的费用，以及恢复受影响系统的成本，很可能对公司的经营业绩和财务状况产生重大影响。” 该公司上季度报告的销售额为 590 万美元，比 2025 年第一季度减少了 30 万美元。 Data I/O 是本周第二家向 SEC 报告勒索软件攻击的公司。此前，药物研究公司 Inotiv 表示正在从 8 月 8 日开始的一起事件中恢复。 网络安全公司 Dragos 上周表示，其在 4 月至 6 月期间跟踪到全球范围内 657 起针对工业实体的勒索软件攻击。制造业受影响最严重，占第二季度受害者的 65%，其中包括钢铁制造商 Nucor 和医疗设备制造商 Masimo。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肾透析公司 DaVita 确认一起勒索软件攻击导致数据泄露，约 270 万人的个人和健康信息遭曝光。 美国卫生部民权办公室（OCR）更新的受影响人数为 2,689,826 人。 DaVita Inc. 通过遍布美国的 2,675 家门诊中心为 200,800 名患者提供肾透析服务，并在其他 11 个国家的 367 家门诊中心为 49,400 名患者提供服务。DaVita 专注于治疗终末期肾病（ESRD），患者除非接受肾移植，否则必须每周透析三次。该公司在美国透析市场的份额为 37%，总部位于丹佛，但注册地在特拉华州。DaVita 位列财富 500 强第 341 位。 2025 年 4 月 18 日，该公司宣布正在调查和处理一起网络安全事件，该事件一度导致部分内部运营中断。 DaVita 表示，网络攻击发生后，公司将维持住院透析护理作为首要任务，并在必要时启用应急计划和手工流程，同时努力安全恢复受影响的系统。 公司声明：“2025 年 4 月 12 日，DaVita 发现一起影响并加密部分本地系统的勒索软件事件。我们立即启动事件响应协议，并采取了遏制措施，包括主动断开部分网络连接。 外部网络安全专家正在协助我们的响应、修复和恢复工作，我们正在重建和恢复被加密的系统，并以安全方式使其重新上线。尽管该事件导致我们的内部运营受到干扰，但我们在必要时依然有应急计划和手工流程，以确保患者护理的连续性。” Interlock 勒索软件团伙已声称对 DaVita 的攻击负责。该组织声称窃取了 1510 GB 的敏感数据，包括患者记录、保险和财务信息。Interlock 已在其数据泄露网站上公布了据称从 DaVita 窃取的文件。 根据该公司披露，攻击者在 3 月 24 日至 4 月 12 日期间进入其网络，并窃取了透析实验室的数据。 公司声明称：“经过深入调查，我们确认此次网络事件始于 2025 年 3 月 24 日，并持续到 4 月 12 日威胁行为者被阻止访问我们的服务器。2025 年 4 月 24 日，威胁行为者在其泄露网站上公布了声称来自 DaVita 的数据。DaVita 全力确认相关信息，并于 2025 年 6 月 18 日左右获取了威胁行为者公布的数据集，确定其中涉及我们透析实验室数据库的敏感个人信息。” 泄露的信息因人而异，可能包括姓名、地址、出生日期、社会安全号码、健康保险相关信息，以及 DaVita 内部使用的其他识别信息，还包括部分临床信息，如健康状况、其他治疗信息及部分透析实验室检测结果。公司指出，对于部分个人，泄露信息还包括税号，极少数情况下还涉及支付给 DaVita 的支票影像。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员提醒，多起攻击行动正在利用已知安全漏洞和暴露的 Redis 服务器从事多种恶意活动，包括将受害设备变为物联网僵尸网络、住宅代理或加密货币挖矿基础设施。 第一类攻击涉及对 CVE-2024-36401（CVSS 评分：9.8）的利用，这是一种影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞，自去年底以来已被武器化用于网络攻击。 Palo Alto Networks Unit 42 的研究人员 Zhibin Zhang、Yiheng An、Chao Lei 和 Haozhe Zhang 在技术报告中表示：“犯罪分子利用该漏洞部署合法的软件开发工具包（SDK）或修改过的应用，以通过网络共享或住宅代理获得被动收入。” “这种被动收入的方式尤其隐蔽。它模仿了一些正规应用开发者的变现策略，这些开发者选择 SDK 而不是展示传统广告。这可能是出于善意的选择，旨在保护用户体验并提升应用留存率。” 该网络安全公司表示，攻击者至少自 2025 年 3 月初起就开始探测暴露在互联网上的 GeoServer 实例，借此植入由对手控制的服务器下载的定制可执行文件。与常见的 HTTP 服务器不同，这些载荷通过一个私有文件共享服务 transfer.sh 分发。 此次行动中使用的应用程序尽量保持低调，几乎不消耗资源，同时通过隐秘的方式利用受害者的网络带宽获利，而无需分发定制恶意软件。这些二进制文件由 Dart 编写，旨在与合法的被动收入服务交互，悄悄利用设备资源进行带宽共享等活动。 这种方式对各方来说都是“双赢”：应用开发者通过集成该功能获得报酬，而网络犯罪分子则能借助看似无害的渠道，从闲置带宽中获利。 Unit 42 表示：“一旦运行，可执行文件会在后台秘密工作，监控设备资源，并在可能时非法共享受害者带宽。这为攻击者带来被动收入。” 该公司收集的遥测数据显示，全球共有 99 个国家的 7100 多个 GeoServer 实例暴露在互联网上，其中中国、美国、德国、英国和新加坡位居前五。 Unit 42 指出：“这场持续的行动展示了攻击者在变现受害系统方面的重要演进。攻击者的核心策略强调隐蔽且持久的收益，而不是对资源的激烈利用。这种方式更倾向于长期、低调的收入生成，而非容易被察觉的技术。” 与此同时，Censys 披露了一个大规模物联网僵尸网络 PolarEdge 的基础设施，该网络由企业级防火墙及路由器、网络摄像头和 VoIP 电话等消费类设备组成，通过利用已知安全漏洞形成。目前其确切用途尚不清楚，但很明显它并未被用于无差别的大规模扫描。 攻击者在获得初始访问权限后，会植入一个基于 Mbed TLS 的定制 TLS 后门，该后门可实现加密的指挥与控制、日志清理以及动态基础设施更新。该后门通常被部署在高位的非标准端口上，可能是为了绕过传统的网络扫描与防御监控范围。 PolarEdge 的特征符合“运营中继箱”（ORB）网络。攻击面管理平台指出，该行动可能最早可追溯至 2023 年 6 月，截至本月，活跃设备数量已达约 4 万台，感染设备中超过 70% 分布在韩国、美国、中国香港、瑞典和加拿大。 安全研究员 Himaja Motheram 表示：“ORB 是被攻陷的出口节点，用来转发流量，以便为威胁行为者执行更多的入侵或攻击。ORB 的价值在于，攻击者无需接管设备的核心功能，它们可以在后台安静地中继流量，而设备仍然保持正常运行，从而让设备所有者或运营商难以察觉。” 近几个月来，攻击者还利用 DrayTek、TP-Link、Raisecom 和 Cisco 等厂商产品中的漏洞入侵设备，并部署一个代号为 gayfemboy 的 Mirai 变种，表明攻击范围正在扩大。 Fortinet 表示：“gayfemboy 行动覆盖多个国家，包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标涉及广泛行业，如制造业、科技、建筑业，以及媒体或通信。” gayfemboy 能够针对多种系统架构，包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它具备四个主要功能： Monitor：跟踪线程和进程，并具备持久化和沙箱逃避技术 Watchdog：尝试绑定到 UDP 端口 47272 Attacker：通过 UDP、TCP 和 ICMP 协议发起 DDoS 攻击，并连接远程服务器获取命令以实现后门访问 Killer：在接收到服务器指令或检测到沙箱环境时自我终止 安全研究员 Vincent Li 表示：“虽然 gayfemboy 继承了 Mirai 的结构元素，但它引入了显著的改进，提升了复杂性和规避检测的能力。这一演变反映出现代恶意软件的日益复杂化，也凸显了主动、情报驱动防御策略的必要性。” 与此同时，另一起加密劫持行动也被曝光。威胁行为者 TA-NATALSTATUS 正在针对暴露的 Redis 服务器投放加密货币挖矿程序。 攻击方式包括扫描 6379 端口上的未认证 Redis 服务器，然后执行合法的 CONFIG、SET 和 SAVE 命令，进而创建一个恶意的定时任务，运行脚本以关闭 SELinux、规避防御、阻断 Redis 端口的外部连接（防止其他攻击者入侵），并终止竞争对手的挖矿进程（如 Kinsing）。 攻击者还会部署脚本安装 masscan 或 pnscan 等工具，随后执行类似“masscan –shard”的命令扫描互联网上的易受攻击 Redis 实例。最后一步是通过每小时的定时任务建立持久化，并启动挖矿进程。 网络安全公司 CloudSEK 表示，该活动是 Trend Micro 在 2020 年 4 月披露的一次攻击行动的演化版本，新增了类似 rootkit 的功能，以隐藏恶意进程并修改文件时间戳，从而迷惑取证分析。 研究员 Abhishek Mathew 表示：“通过将系统二进制文件 ps 和 top 重命名为 ps.original，并用恶意包装器替代，它们会在输出中过滤掉自身的恶意进程。管理员在使用标准工具寻找矿工进程时，将无法发现它的存在。他们还将 curl 和 wget 分别重命名为 cd1 和 wd1。这是一种简单但巧妙的方法，可以绕过那些专门监控 curl、wget 下载行为的安全产品。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。 自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。 攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。 尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。 安装后，恶意软件会索要多项高危权限： 地理位置访问 短信及媒体文件读取 摄像头与录音调用 无障碍服务控制 后台持续运行权限 随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令： 窃取短信、联系人、通话记录、地理位置及存储图像 激活麦克风窃听、摄像头监控及屏幕流捕捉 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用） 执行远程命令、维持持久化访问并启用自我保护机制 Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文