HackerNews

HackerNews 编译，转载请注明出处： Check Point Research 的数据显示，网络犯罪分子如今平均每周针对全球组织实施 1,984 次网络攻击，较四年前激增了 143%。 2025 年第二季度，全球各组织遭受的网络攻击数量较去年同期增长了 21%，较两年前增长了 58%，与四年前相比更是激增了 2.4 倍。 尽管每周网络攻击的平均数量达到了 1,984 次，但不同行业和地区之间存在显著差异。 教育机构位居榜首，平均每周遭受 4,388 次网络攻击，较上年增长 31%。Check Point 的报告指出，教育行业持续面临压力，原因在于其安全防御资金不足，且“拥有极具诱惑力的学生和教职员工凭证财富，极易被利用”。 研究人员表示：“政府组织因其敏感数据及其可提供地缘政治筹码的能力，仍然是极具吸引力的目标。与此同时，电信行业的攻击量显著增加，突显了其作为国家关键基础设施的重要角色，以及其掌握的敏感客户信息可能成为攻击目标。” 政府组织平均每周遭受 2,632 次网络攻击，而电信行业每周则遭受 2,612 次探测攻击。Check Point 的数据收集自超过 15 万个网络和数百万个端点。 按地区划分，欧洲的网络攻击增长最为显著（22%），北美次之（20%）。研究人员指出：“虽然欧洲的平均攻击量并非最高（1,669 次），但其年增长率（22%）却是最大的，表明该地区的威胁活动呈上升趋势，攻击者正利用该地区的地缘政治紧张局势、监管碎片化以及高度集中的高价值数据。” 非洲的组织每周遭受的攻击次数最多（3,365 次），其次是亚太地区（2,874 次）。 北美公司承受着最具破坏性的勒索软件攻击的最大份额。全球报告了约 1,600 起勒索软件事件，其中 53% 发生在该地区。四分之一的勒索软件攻击袭击了欧洲公司，而亚太地区的占比为 11%。 受经济利益驱动的勒索软件附属团伙主要针对以下行业： 商业服务（10.7%） 工业制造（9.8%） 建筑与工程（9.5%） 医疗保健（7.8%） 消费品和服务（7.6%） 预计情况不会缓解。Check Point 表示：“随着网络攻击在数量和影响范围上不断增长，各组织需要采取主动而非被动的策略。以预防为先的战略，辅以分层防御和持续可见性，仍然是关键。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大的非营利性认证网络安全专业人士协会ISC2的最新调查显示，网络安全团队对AI安全工具的兴趣虽谨慎但正在增长。 企业正在拥抱AI工具来提升安全水平，但在此过程中，他们可能切断了未来网络人才的输送管道。 AI已至，并将持续存在 在接受调查的436名安全专业人士中，近三分之一表示他们的团队已将生成式模型、自动化响应代理或AI增强监控系统等AI工具集成到日常运营中。另有42%的团队正在测试或评估这些工具。 最大的采用者是拥有10,000名以上员工的大型企业以及IT服务和工业等数据密集型行业的企业。与此同时，公共部门组织行动迟缓，只有16%采取了行动。 在采用、测试或评估AI安全工具方面处于领先地位的行业包括：工业企业（38%）、IT服务（36%）、商业/消费领域（36%）和专业服务（34%）。而金融服务和公共部门的采用率最低，分别仅为21%和16%。 速度和效率正在推动更快的采用。约70%在安全工作中使用AI的人表示，它已经让团队更有效率，尤其是在入侵检测、网络监控和漏洞管理等繁重领域。 AI正被用于自动化以下安全工作领域： 网络监控与入侵检测：60% 端点保护与响应：56% 漏洞管理：50% 威胁建模：45% 安全测试：43% AI工具可能威胁初级岗位 超过半数（52%）的受访者认为AI工具将减少对入门级员工的需求。21%的受访者表示，AI已经改变了其组织招聘和为网络安全岗位做计划的方式。 然而，这种趋势可能对网络安全专业人员的技能组合产生长期影响。 一位受访者告诉ISC2：“你得先学会走，才能成为真正高效的跑步者。”而当下，初级员工甚至还没系好鞋带（打好基础），AI就已经跑在了前面。 安全团队正面临一个矛盾：他们需要AI是因为它让工作更轻松，但这种轻松可能以牺牲长期人才输送管道为代价。减少初级岗位招聘意味着未来专家会更少，导师指导机会减少，进入这个本就精英化严重的领域的多元化新人也会更少。 一位受访者警告：“减少入门级网络安全岗位可能导致显著的技能缺口，限制人才增长和创新。长期影响包括高级专业人员压力增大、威胁响应速度变慢，以及因争夺经验丰富人才而导致成本上升。” 新型AI增强的工作岗位 不过，并非所有人都在敲警钟。近半数（44%）表示他们公司的网络安全招聘尚未受到AI安全工具使用的影响。 31%的受访者抱有希望地认为，AI实际上可能创造新的入门级岗位，这些岗位融合传统网络知识与新兴AI技能。 根据ISC2的信息，为入门级网络安全专业人士宣传和讨论的新型及AI增强的岗位包括： AI辅助SOC分析师：与AI增强的安全信息与事件管理（SIEM）或安全编排、自动化与响应（SOAR）工具协作。 安全数据分析师/初级威胁情报分析师：专注于通过管理庞大的威胁指标数据集来帮助训练和验证AI模型。 自动化与安全编排助理：支持开发和维护安全自动化脚本和工作流（AI平台利用这些脚本和流程来采取行动）。 AI治理或合规专员：提供入门级支持，确保安全领域使用的AI系统符合道德和合规要求，以及更普遍的正常运行。 安全测试助理：测试AI驱动的安全工具的稳健性，包括评估其对对抗性输入的反应。 云安全支持分析师：与AI增强的云安全监控工具协作，确保关键云服务和数据存储库的安全、可用性和防御能力。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯，弗拉基米尔·普京（Vladimir Putin）视为“有争议”的内容可能包括独立新闻报道或关于乌克兰战争的新闻。 将在线搜索行为定为犯罪在俄罗斯并非新鲜事——现行法律规定人们不得分享有争议的内容。而新的修正案则更进一步，将惩罚那些仅仅是搜索此类内容的人。 该修正案将在俄罗斯《行政违法法典》中新增第13.53条，规定：“搜索已知的极端主义材料并访问它们，包括通过使用能够访问受限信息资源或信息电信网络的硬件和软件工具。” 该修正案还使得任何社群或组织无需法院命令即可被指定为“极端主义”。 根据国家杜马（State Duma）公布的文件，对“故意搜索极端主义材料”的罚款将从大约38美元到64美元不等。 另一项单独的修正案将对宣传VPN（虚拟专用网络）的行为处以罚款。对个人的罚款可能在640美元至1,025美元之间，对官员的罚款在1,030美元至1,900美元之间，对法人的罚款则在2,560美元至6,400美元之间。   这并非俄罗斯首次公开宣布对消费和传播克里姆林宫不认可的信息进行罚款。最近一次失败的例子就涉及总统弗拉基米尔·普京本人，他在2022年公开使用了“战争”一词，而非政府批准的“特别军事行动”。 普京说：“我们的目标是……结束这场战争。”这一点值得注意，因为同年生效的一项法律将这场冲突称为“战争”或“入侵”定为刑事犯罪。 究竟什么是“极端主义材料”？ 克里姆林宫政权视为“极端主义”的内容几乎可以是任何东西。一份官方的禁限材料登记簿包含了约5500个条目。 例如，去年俄罗斯将“LGBT运动”列入极端主义和恐怖主义组织名单。反对派团体的社交媒体帖子（以及他们的一般活动）也被理解为极端主义。 名单上还有“所谓的纳粹意识形态”。尽管乍看之下这并不令人不安（谁会支持传播纳粹意识形态，对吧？），但其代价可能是惩罚那些通过独立媒体来源浏览有关乌克兰战争新闻的人。 俄罗斯政权曾多次声称，某些与克里姆林宫无关的政府及其领导人正在推行“新纳粹政权”。 有人支持这个想法吗？ 克里姆林宫的批评者以及与其有关联的个人和组织都直言不讳地反对这项修正案可能成为法律。 国际特赦组织（Amnesty International）东欧和中亚地区主任玛丽·斯特拉瑟斯（Marie Struthers）表示：“俄罗斯当局再次将他们无情的迫害异议行为伪装成打击‘极端主义’，通过模糊和过于宽泛的法律，为滥用解释和任意妄为提供了空间。如果这项关于‘极端主义’的法案成为法律，任何群体——甚至是一个私人的在线聊天群或朋友圈——只要有一名成员曾根据‘极端主义’指控被定罪（许多政府批评者都曾因此被定罪），就可以被指定为‘极端主义’并定罪。这将给执法机构一个看似无限的机会来撒网，甚至以与所谓‘极端分子’有遥远关联为由起诉更多的人。” 即使是与克里姆林宫有联系的记者也对此发表了看法，他们似乎担心如果这项修正案生效，他们进行“研究”也会受到惩罚。 “安全互联网联盟”（League for Safe Internet）负责人叶卡捷琳娜·米祖琳娜（Yekaterina Mizulina）在Telegram上发文（该文被《华盛顿邮报》引用）称：“结果就是，根据新法律，安全互联网联盟将无法向内务部移交有关极端主义社群的数据。他们将禁止我们监控极端主义。”米祖琳娜是一位俄罗斯参议员的女儿，她领导的联盟以针对批评政府的人士而闻名。 如果政府同意，拟议的修改将于2025年9月1日生效。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）报告称，与俄罗斯军事情报局（GRU）有关的威胁行为者一直在使用以前未知的恶意软件对受害者的电子邮件账户进行间谍活动。 这种新的复杂恶意软件被命名为“真实假象”（Authentic Antics），NCSC表示，与GRU有关的威胁组织APT28（又名Fancy Bear、Pawn Storm、Sednit、Sofacy和Iron Twilight）一直在负责部署该恶意软件。 NCSC的分析显示，“真实假象”是专门设计的，旨在通过伪装成合法活动，实现对微软云账户的持久端点访问。该恶意软件的设计投入了“大量心思”，以实现看起来像真实的微软Outlook活动的效果。 它会定期显示一个登录窗口，提示用户输入凭证，这些凭证随后会被恶意软件拦截，同时被拦截的还有用于访问微软服务的OAuth身份验证令牌。该恶意软件还会通过从受害者的账户向攻击者控制的电子邮件地址发送邮件来窃取受害者的数据，这些邮件不会出现在“已发送”文件夹中。 对该恶意软件的分析表明，它没有采用传统的命令与控制（C&C）机制，这种机制可能会增加其被检测到的可能性。 俄罗斯网络威胁持续存在 NCSC行动总监保罗·奇切斯特（Paul Chichester）评论道：“‘真实假象’恶意软件的使用，证明了俄罗斯GRU构成的网络威胁具有持续性和复杂性。多年来NCSC对GRU活动的调查表明，网络防御者不应轻视这种威胁，监控和保护行动对于防御系统至关重要。” “真实假象”恶意软件是在2023年发生一起网络事件后被发现的，该事件由微软和NCSC认证的网络事件响应服务提供商NCC Group进行了调查。 6月17日，乌克兰国家计算机应急响应小组（CERT-UA）识别出一种名为“LameHug”的新恶意软件，该机构表示，有中等把握认为该软件可能与APT28针对乌克兰安全和国防部门的网络攻击有关。 2025年5月，美国国家安全局与包括NCSC在内的盟友发布了一份联合网络安全咨询，强调了一场由俄罗斯国家支持、针对西方物流实体和科技公司的网络活动。该活动同样与APT28有关联。 英国制裁俄罗斯GRU军官 在英国政府分享“真实假象”恶意软件分析的同一天，英国政府还宣布对三个GRU单位（26165、29155和74455）以及18名GRU军官和特工实施制裁，原因是他们参与了全球范围内的网络和信息干扰行动，以支持俄罗斯更广泛的地缘政治和军事目标。 英国外交大臣戴维·拉米（David Lammy）表示：“克里姆林宫应该毫无疑问：我们看清了他们在阴影中的企图，我们不会容忍这种行为。这就是为什么我们要采取果断行动，制裁俄罗斯间谍。保护英国免受伤害是本政府‘变革计划’（Plan for Change）的根本。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的攻击活动，该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。 该漏洞编号为CVE-2021-41773（CVSS评分：7.5），是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞，可能导致远程代码执行。 “攻击者利用被攻陷的合法网站分发恶意软件，实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。 本月观察到的感染流程（源自印度尼西亚IP地址 103.193.177[.]152）旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本，负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序，这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。 “这种方法很巧妙，因为受害者连接的是拥有有效SSL证书的合法主机，降低了检测的可能性，”VulnCheck指出，“此外，这为下载站点（‘repositorylinux[.]org’）提供了一层隔离，因为恶意软件本身并不托管在那里。” 这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本，该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示，还在被攻陷的网站上发现了两个Windows可执行文件，表明攻击者可能也在针对微软的桌面操作系统。 值得注意的是，此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞（CVE-2024-36401，CVSS评分：9.8），Fortinet FortiGuard Labs在2024年9月记录了这一情况。 有趣的是，漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的，其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。 近年来被利用来传播此挖矿程序的其他漏洞还包括： CVE-2023-22527：Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞 CVE-2023-34960：Chamilo学习管理系统(LMS)中的命令注入漏洞 CVE-2023-38646：Metabase中的命令注入漏洞 CVE-2024-0012 和 CVE-2024-9474：Palo Alto Networks防火墙中的认证绕过和权限提升漏洞 “所有这些都表明攻击者正在进行一项长期活动，采用一致的技术手段，例如n-day（已知漏洞）利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿，”VulnCheck表示，“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐，需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发，这种方法在很大程度上帮助攻击者避免了审查。” Exchange服务器遭GhostContainer后门攻击 与此同时，卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞（CVE-2020-0688，CVSS评分：8.8）。 这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”，该俄罗斯公司表示，并补充说“该后门使攻击者能够完全控制Exchange服务器，允许他们执行一系列恶意活动。” 该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。 怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁（APT）活动的一部分。 关于攻击者身份的信息不多，但他们被评估为技术高度娴熟，原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。 “GhostContainer后门不会连接任何[命令与控制]基础设施，”卡巴斯基表示，“相反，攻击者从外部连接到被攻陷的服务器，他们的控制命令隐藏在正常的Exchange Web请求中。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所BigONE披露，黑客在昨日的攻击中窃取了价值2700万美元的各类数字资产。该平台宣布，私钥和用户数据在此次入侵中未受影响，所有遭受损失的客户都将从可用储备金中获得全额赔偿。 公告中写道：“7月17日凌晨，BigONE检测到涉及平台部分资产的异常流动。经调查确认，这是第三方攻击我们热钱包的结果。” 该公司向用户保证，攻击方式已被识别并得到完全控制。BigONE已与安全公司SlowMist合作，追踪被盗资金并监控其在各条区块链上的转移情况。交易所表示：“BigONE将全额承担本次事件造成的所有损失。用户资产不会受到任何实质影响。” 几小时后，BigONE管理员宣布，在遭受网络攻击后，存款和交易服务已全面恢复，提款和场外交易功能也将很快重新启用（截至撰写时尚未恢复）。 此外，尚未有关于攻击者具体如何入侵交易所并窃取资金的详细信息公布，但SlowMist表示交易所是供应链攻击的受害者。 与此同时，区块链观测站Lookonchain报告称，黑客已开始洗钱活动，将被盗资产兑换为120枚比特币（BTC）、1272枚以太坊（ETH）、2625枚Solana（SOL）和2330万枚波场币（TRX）。 区块链犯罪调查员ZachXBT对此事件发表了评论，强调BigONE在处理大量源自杀猪盘和投资诈骗的非法收益方面扮演的角色，并表示此类黑客攻击可能有助于为该领域带来“一次自然的净化”。 加密货币盗窃创纪录之年 今日早些时候，Chainalysis发布了其2025年年中加密货币犯罪报告，指出截至目前被盗金额已超过21.7亿美元，超过了2024年的全年总额。 ByJet交易所15亿美元的黑客事件在创下这一破纪录数字中起到了关键作用，也使朝鲜黑客组织成为今年迄今为止的头号盗窃者。 Chainalysis强调了一个显著趋势，即黑客如今更专注于攻击个人钱包，今年所有被盗资金中有23.35%来自个人钱包。 该区块链情报公司还列举了暴力抢劫加密货币的案例，这类案件也随着比特币价格上涨而呈上升趋势。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话，诱骗目标启动Windows内置的远程工具快速助手（Quick Assist），随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包，内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。 Matanbuchus恶意即服务（MaaS）背景 该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广，是可直接在内存中执行恶意载荷的Windows加载器，旨在规避安全检测。2022年6月，威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击，分发Cobalt Strike信标。 技术演进：Matanbuchus 3.0新特性 终端防护公司Morphisec分析指出，3.0版本具备显著增强的隐匿与攻击能力： 通信协议升级：C2通信与字符串混淆从RC4加密更换为Salsa20算法 内存规避技术：所有载荷均在内存中启动，消除磁盘痕迹 反沙盒检测：新增区域验证机制，确保仅在指定地理区域运行 系统调用隐匿：通过自定义shellcode执行系统调用，绕过Windows API包装层及EDR监控钩子 静态分析对抗：使用MurmurHash3非加密哈希函数混淆API调用，增加逆向工程难度 攻击链与后期能力 信息收集：获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态（管理员/普通用户） 载荷执行：支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷 自适应攻击：C2服务器根据受害者安全环境动态调整攻击方式 Microsoft Teams滥用趋势 该协作工具近年频遭攻击者滥用： 2023年：研究人员利用软件漏洞实现外部账号恶意投递 2024年：DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器 当前：Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯酒类零售连锁品牌WineLab的2000余家门店因母公司遭勒索软件攻击，已停业三天。作为俄罗斯最大酒类生产商之一的诺瓦贝夫集团（Novabev Group）旗下门店张贴告示称，关店系“技术问题”所致。 此次攻击瘫痪了诺瓦贝夫集团部分基础设施，导致WineLab收银系统及在线服务中断。公司确认攻击者索要赎金，但明确拒绝谈判。 “公司坚持拒绝与网络犯罪分子进行任何接触的立场，不会满足其要求。”诺瓦贝夫集团周三声明中表示。该公司补充称，目前尚无客户数据泄露迹象，调查仍在进行中。 攻击者身份尚未明确。尚无勒索组织宣称对事件负责，诺瓦贝夫集团也未公开归因攻击来源。该集团是俄罗斯主要烈酒生产分销商，旗下拥有白鲸（Beluga）和白伦卡亚（Belenkaya）等伏特加品牌。 据俄媒《生意人报》（Vedomosti）援引当地零售商消息，此次网络攻击已导致诺瓦贝夫集团产品发货中断至少两天。消费者报告称无法从门店或自助提货柜提取订单，客服表示将延长线上订单存储期限。 根据Yandex地图位置数据，WineLab在莫斯科、圣彼得堡及周边地区的主要门店目前处于关闭状态。诺瓦贝夫官网及移动应用仍处于离线状态。 《福布斯》俄罗斯版估算，每日停业可能造成2亿至3亿卢布（约260万至380万美元）收入损失。受访网络安全专家表示，俄罗斯大型零售连锁因网络攻击全面停运的情况“前所未见”。 诺瓦贝夫集团称，其内部IT团队正与外聘专家全天候协作恢复系统，并加强防御以应对未来威胁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件组织Stormous宣称窃取了亚利桑那州北部医疗提供商North Country HealthCare的60万名患者数据。 非营利机构North Country HealthCare是联邦认证的医疗中心（FQHC），在亚利桑那州北部11个社区运营14个站点，提供全年龄段基础医疗服务，包括家庭医学、儿科、产前护理、行为健康、牙科、远程医疗及物理治疗等。该机构接受多数保险计划，并为无保险患者提供基于收入的浮动折扣。 2025年7月13日，Stormous在其数据泄露网站列出North Country HealthCare，宣称窃取了60万名患者的敏感信息，包括： 完整的个人身份信息（PII）与医疗健康数据（PHI） 诊断代码（ICD）、诊所数据及医疗服务商详情 具体涵盖姓名、出生日期、性别、电话号码、诊所名称、就诊日期/地点、保险公司、ICD诊断代码及病情描述。该组织声称将出售其中10万患者的数据，并免费公开剩余50万条记录。 HIPAA Journal报道称：“Stormous宣称已获得患者数据，并于7月15日公开了文件。” Stormous是亲俄勒索团伙，自2022年初活跃，采用双重勒索模式（窃取数据+加密文件）。该组织至少攻击过150家机构，重点针对医疗、酒店、科技、商业服务及政府领域，受害者主要分布在西班牙、美国、阿联酋、法国和巴西。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子已被发现采用AI驱动的伪装工具，以绕过传统安全措施，并隐藏其钓鱼网站和恶意软件站点，使其难以被检测。 SlashNext的最新研究显示，诸如Hoax Tech和JS Click Cloaker等平台正在提供“伪装即服务”（CaaS），使威胁行为者能够将恶意内容隐藏在看似无害的网站背后。 这些工具利用先进的指纹识别、机器学习和行为定向技术，选择性地仅向真实用户展示诈骗页面，同时向自动化扫描程序提供安全内容。 “我认为这是技术和工具被恶意使用的明显例子，”Apollo Information Systems的首席信息安全官（CISO）安迪·贝内特（Andy Bennett）表示。“就像威胁行为者使用加密一样，他们采用这种原本旨在帮助机会主义营销人员的技术，并将其用于针对特定受害者或逃避检测，这并不令人惊讶。” 这种被称为“伪装”的技术并非新事物，但其对AI的应用代表了一次重大演进。Hoax Tech利用基于指纹的分析和自学习AI引擎，实时分析数百个访问者数据点。可疑流量会被重定向到无害页面，而真实用户则会看到预设的诈骗内容。 复杂的伪装服务商业化 JS Click Cloaker提供类似功能，通过评估每次点击的900多项特征来判断访问的合法性。尽管自称是基于JavaScript的工具，但据报道它避免依赖JavaScript，以应对Google等搜索引擎的检测。 两项服务都宣传提供诸如A/B测试、地理过滤和实时重定向等功能。 “这项研究揭示了网络威胁格局的关键性演进，”Qualys的安全研究经理马尤雷什·丹尼（Mayuresh Dani）先生表示。“像Hoax Tech和JS Click Cloaker这样的平台暴露了威胁行为者能力的显著升级。” 为了应对这些系统，丹尼建议： 实施行为和运行时分析工具 使用多视角和差异扫描 投资于自适应的、AI驱动的防御技术 在网络中全面采用零信任框架 制定针对基于AI威胁的事件响应计划 贝内特警告说，其风险远不止于逃避检测。“利用AI来区分一个检查电子邮件链接是否恶意的工具，和一个因为未检测到恶意活动而通过邮件过滤器、点击了链接的真实用户，这无疑是更高级别的操作，”贝内特说。他补充道，攻击者可能会越来越多地实时为每位访问者个性化定制内容，这进一步增加了检测难度。 安全专家敦促采取更广泛的防御措施 Bugcrowd的CISO特雷·福特（Trey Ford）指出了一些历史相似之处。“这是一个由来已久的问题。二十年前，攻击者使用FastFlux DNS来分析目标的风险并进行漏洞测绘——如今AI驱动的伪装服务就是该能力的现代化版本，”福特解释说。“检测与响应的军备竞赛不能只依赖单一的工具或层面。端点补丁管理、系统加固和浏览器保护仍然是关键的控制和监测点。” 随着伪装技术的演进，安全团队面临着日益增长的压力去适应。没有多层、行为感知的防御措施，恶意网站可能会继续逃避检测，毫无阻碍地触达用户。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软强调了Scattered Spider攻击组织不断演变的战术，并确认已观察到该组织使用新的手法来获取云环境访问权限。 通常，该被微软追踪为Octo Tempest的组织会利用云身份权限来获取本地访问权。但微软表示，最近的攻击活动在入侵初始阶段就涉及同时针对本地账户和基础设施，之后才转向云访问。该组织还被观察到部署DragonForce勒索软件。这家科技巨头的分析报告强调，此次勒索软件部署特别针对VMWare ESX虚拟机管理程序环境。 该组织继续使用激进的社工手段（如操控服务台支持人员）来获取初始访问权限，还部署了利用模仿合法组织的中间人(AiTM)域名的短信钓鱼(SMS) 攻击。 最近，该组织一直在积极针对航空公司实施勒索软件和数据勒索攻击。在2025年4月至7月间，其活动还针对了零售、餐饮服务、酒店组织和保险行业。 微软表示，随着Scattered Spider战术的不断演变，其安全产品将持续更新防护措施。 该公司特别强调了其Microsoft Defender和Microsoft Sentinel安全生态系统。 微软列举了Microsoft Defender中的广泛检测功能，可用于识别与Scattered Spider相关的活动。这些功能覆盖其安全组合的各个方面，包括端点、身份、软件即服务(SaaS)应用、电子邮件与协作工具、云工作负载等，以提供全面的防护覆盖。 攻击可通过利用Microsoft Defender内置的自防御能力（攻击中断）来阻断。攻击中断利用多个指标和行为，并在Microsoft Defender的各工作负载中将其关联为一个高保真事件。 微软表示，基于以往对常见Octo Tempest技术的研究，攻击中断将自动禁用Octo Tempest所使用的用户账户，并撤销该受损用户所有现有活跃会话。 然而，安全运营中心(SOC)团队仍需进行事件响应和事后分析，以确保在成功中断攻击后，威胁被完全遏制和清除。 微软强调了安全团队可通过其安全暴露管理(Security Exposure Management)解决方案采用的若干主动防护战术，以应对Scattered Spider。若部署得当，主动防御战术可以减少暴露面并减轻攻击者混合攻击战术的影响。这些战术包括关键资产防护、威胁行为者计划和攻击路径分析。 微软建议组织应通过（包括但不限于）多重身份验证(MFA)、基于风险的登录策略、用户和设备的最小特权访问等措施，来增强其身份、端点和云安全防护。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊旗下Whole Foods（全食超市）的主要供应商——联合天然食品公司（United Natural Foods, Inc.，NYSE：UNFI）表示，2025年6月发生的导致业务运营中断的网络攻击，预计将使2025财年净销售额减少约3.5亿至4亿美元。 这家总部位于罗得岛州的天然食品巨头在周三的更新公告中表示，“预期保险赔款”将大幅抵消这些损失。该公司在7月16日的业务更新中称：“公司预估此次网络事件将使2025财年净销售额减少约3.5亿至4亿美元，净亏损扩大5000万至6000万美元（含预估税费影响），调整后EBITDA（息税折旧摊销前利润）减少约4000万至5000万美元。这些预估数据未反映预期保险赔款的收益，公司预计相关赔款足以覆盖事件损失。除保险理赔外，公司目前预计该事件不会对2025财年第四季度之后产生显著的运营或财务影响。” 该公司曾于6月9日向美国证券交易委员会（SEC）提交文件披露，其于6月5日检测到部分IT系统存在未经授权的活动。为应对入侵，公司关闭了部分系统，导致其履行和配送客户订单的能力受到影响。 UNFI自称是北美最大的全服务杂货供应商，为超过3万个地点配送商品，包括天然产品大型超市、传统连锁超市、电商平台和独立零售商。公司年收入超300亿美元，通过50多个配送中心提供逾25万种天然、有机及传统商品。 UNFI首席执行官桑迪·道格拉斯（Sandy Douglas）表示：“在共渡这段充满挑战的时期期间，我们感谢客户、供应商和员工的抗压能力与配合度。随着运营逐步恢复常态，我们继续专注于为客户和供应商创造附加值，努力成为更高效、更具协作价值的合作伙伴。” 公司更新了全年业绩展望，以反映其在2025财年前三季度的强劲表现，以及6月网络事件相关的预估成本和费用。公告未就该事件提供更多细节，亦未说明攻击是否涉及勒索软件。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商Co-op已确认，在4月的大规模网络攻击中，其650万会员的个人数据被盗。此次攻击导致系统关闭，并造成其杂货店出现食品短缺。 Co-op（Co-operative Group的简称）是英国最大的消费者合作社之一，经营食品商店、殡葬服务、保险和法律服务。它由数百万会员共同拥有，会员可享受服务折扣并参与公司治理。 Co-op首席执行官Shirine Khoury-Haq今日在BBC《早餐》节目中致歉，证实攻击者成功窃取了其全部650万会员的数据。 “他们的数据被复制了，犯罪分子确实能够访问这些数据，就像他们入侵其他组织时一样。这无疑是事件中最恶劣的部分。”Khoury-Haq表示。 尽管攻击中未泄露财务或交易信息，但会员的联系信息已被盗取。首席执行官称，此次泄露对她个人而言更像是一场针对Co-op会员和受影响员工的攻击。“这与我个人无关，而是关乎我的同事们。之所以对我而言是个人打击，是因为它伤害了他们——伤害了我的会员。他们窃取了会员数据，也伤害了我们的顾客，这点我确实感同身受。”她在采访中解释道。 此次网络攻击发生于4月，迫使Co-op关闭了多个IT系统，以防止威胁行为者进一步扩散到其他设备并最终部署DragonForce勒索软件加密器。该公司最初将此事件轻描淡写为对其网络的未遂入侵，但后来承认攻击期间“大量”数据被访问和窃取。 消息人士当时向BleepingComputer透露，入侵最初发生在4月22日，攻击者通过社会工程攻击重置了某员工的密码。获得网络访问权限后，他们扩散到其他设备，最终窃取了Windows域的Windows NTDS.dit文件。该文件是Windows Active Directory服务的数据库，包含Windows账户的密码哈希值。攻击者通常通过窃取此文件脱机破解密码，以便进一步渗透网络。 BleepingComputer获悉，此次攻击与Scattered Spider相关威胁行为者有关联，该组织亦被指涉及玛莎百货（M&S）网络攻击事件（该事件中部署了DragonForce勒索软件）。BBC报道称，他们曾与DragonForce勒索软件运营者就Co-op事件对话，对方确认其一名附属成员策划了此次攻击。他们还向BBC分享了数据样本，声称攻击中窃取了Co-op的企业和客户数据。 上周，英国国家犯罪调查局（NCA）逮捕了四名涉嫌参与针对Co-op、玛莎百货的攻击及未遂哈罗德百货（Harrods）攻击的人员。被捕者为两名19岁男性、一名17岁男性和一名20岁女性，他们已在伦敦和西米德兰兹郡被拘留。据报道，其中一名嫌疑人被指与2023年美高梅度假村（MGM Resorts）遭袭事件有关，该事件导致逾100台VMware ESXi虚拟机被加密。美高梅攻击事件同样归因于Scattered Spider，当时该组织正与BlackCat勒索软件团伙合作。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 泰国警方于周二突袭了七处据称与柬埔寨知名参议员兼大亨高安（Kok An）有关的房产，此人被指控参与网络诈骗产业。这些突袭行动是针对这位与政界关系密切商人的最新举措，而泰柬两国因边境争端引发的外交纠纷正持续加深，并已导致泰国总理贝东丹·西那瓦（Paetongtarn Shinawatra）遭停职。 据《曼谷邮报》报道，警方突袭了沙缴府（Sa Kaeo）的两处房屋，其所有者是两名女子。当局称，这两人协助管理位于柬埔寨边境城市波贝（Poipet）的一栋高层诈骗园区。当局指控该园区由高安的一个女儿朱瑞·克隆基乍恭（Juree Khlongkijjakol）运营。 警方还突袭了据称与朱瑞有关的两处曼谷办公室和一处住宅，以及其姐妹普·车林（Phu Chelin）的一处办公室和住所。周一，警方以涉嫌参与跨国犯罪为由，对高安的女儿们及其儿子基蒂萨克（Kittisak）发出了逮捕令。 警方已于7月初对高安发出了逮捕令——他是波贝一系列物业（包括皇冠赌场度假村）的所有者——并宣布将要求国际刑警组织对其发出红色通缉令。据《曼谷邮报》报道，7月8日，泰国警方突袭了据称与高安诈骗网络有关的19处房产，并查获了价值超过3380万美元的资产。 自5月底两国因争议边境地区局势升级以来，泰国政府加大了对柬埔寨网络诈骗产业的批评力度，并以保护国家免受跨国犯罪侵害为由关闭了边境。 周日，柬埔寨参议院主席兼前首相洪森（Hun Sen）对这些指控进行了反击。他在社交媒体上表示：“我敦促泰国政客停止毫无根据地指责柬埔寨，同时对自己国家已成为诈骗集团、毒贩和洗钱网络庇护所的事实视而不见。” 国际特赦组织（Amnesty International）近期发布了一份关于柬埔寨诈骗问题的严厉报告，确认该国境内有50多个此类园区在运作，并采访了被贩运至园区内被迫实施诈骗的幸存者。与执政的柬埔寨人民党（Cambodian People’s Party）关系密切的商界重量级人物被牵涉其中，包括一名柬埔寨首相顾问，此人因涉及侵犯人权行为已于去年9月遭到美国财政部制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 入侵企业网络的黑客可以将管理员的生物识别数据替换为自己的面部信息，从而解锁敏感的Windows系统。研究人员警告称，面部识别模板所受到的安全保护，比它们要解锁的系统更为薄弱。 ERNW研究人员声称，Windows Hello企业版（该系统通过面部识别或其他生物特征验证用户身份）存在固有的架构缺陷。黑客能够操纵并替换Windows中存储的生物识别模板，随后用自己的面部解锁本应由这些模板保护的系统与数据。 攻击者需先获得已入侵到组织内部网络（通常连接到公司域）计算机的访问权限，同时还需将自身权限提升至本地管理员级别。满足这些条件后，攻击者即可篡改Windows Hello用于用户登录时识别人脸的生物识别模板。 黑客可借此阻止合法用户访问系统，或进行“换脸”操作——用自己的面部登录IT人员甚至域管理员的账户。 研究人员在insinuator.net的博客文章中解释：“此架构存在一些挑战。首先，生物特征识别与身份验证之间仅有松散的耦合关系。此外，系统在任何环节均未引入外部熵来生成加密密钥。” 尽管Windows对生物识别模板进行了加密，但解密所需的所有信息都存储在计算机本地。研究人员声称：“拥有管理员权限的攻击者可解密此文件头，访问其中存储的所有信息，并加以篡改。” 这也意味着，能物理接触机器的攻击者可能解锁敏感数据（如电子邮件、文件和内部系统）。黑客可滥用此权限在网络中横向移动，攻击其他计算机。 该威胁并非理论假设：研究人员已发布概念验证，仅依赖Windows内置工具即可实现攻击，以此证明攻击的简易性。“两名用户已注册Windows Hello企业版。其中至少一名是域用户，另一名是本地管理员，”报告描述道，“我们的概念验证程序交换了各自WINBIO_IDENTITY结构中的安全标识符。现在，本地管理员的面部可解锁域用户账户，反之亦然。” 研究人员已向微软报告此漏洞，但他们预计这家科技巨头不会修复问题，因为“过去类似问题均未解决”，且修复“需要对系统架构进行大规模重构”。 为何攻击者能解锁Windows生物识别模板并实施“换脸”？ Windows将生物识别数据存储在包含三部分的数据库中：通过CryptProtectData加密的文件头（内含生物识别模板密钥）、未加密的文件头版本信息，以及加密的模板本体。 虽然CryptProtectData使用用户密码生成密钥，但Windows生物识别服务以系统账户NT AUTHORITY\SYSTEM运行，这意味着派生密钥所需数据均存储于系统本地。拥有管理员权限的攻击者可解密数据库，访问并篡改其中所有信息。 研究人员指出，防范此类“换脸”攻击的唯一解决方案是“将用户的生物特征用作熵源”，但这需要对系统进行彻底重构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 你是否曾在工作时点击过钓鱼链接？如果有，那么你可能会犯下更多网络安全错误，而你的雇主应当采取“正确干预措施”。最新数据显示，仅一小部分员工造成了绝大多数的网络安全风险行为。 根据人力风险管理平台Living Security的报告，仅10%的员工将导致近四分之三（73%）的网络安全风险。该公司的数据来源于100多家企业和数亿用户事件。 Living Security首席执行官兼联合创始人阿什利·罗斯（Ashley Rose）在新闻稿中表示：“安全团队始终清楚人为因素在安全漏洞中的关键作用，但过去缺乏采取行动的可视化依据。网络安全已不仅是技术问题，更是行为问题。”世界经济论坛此前估计，95%的网络安全问题可追溯至人为失误。 Living Security详细说明，采用“正确干预措施”的企业可将高风险用户数量减少50%，并将高风险行为的持续时间缩短60%。该公司将其平台定位为风险评估和针对性培训工具，聚焦于教育与行为改进。报告中指出：“显然，2025年保护企业的关键在于管理人而不仅是系统。”建议通过数据驱动的行动计划来削减高风险用户群体。 关键发现： 极少数员工（超过1%）触发了其所在组织的大部分安全警报，这意味着不存在“通过改造或解雇单个人就能解决”人为风险问题的可能。 10%的员工将导致： 超过75%的数据丢失事件 超过65%的恶意软件威胁 超过50%的钓鱼邮件、身份验证及访问相关事件 由Cyentia Institute进行的该研究还发现，与普遍认知相反，远程和兼职员工的实际风险低于办公室员工。报告指出：“承包商和远程员工常被视为安全隐患，但其实际风险低于整体平均水平（灰色菱形标识）。就承包商而言，他们更警惕的表现可能源于诸如强制要求所有访问启用多因素认证（MFA），以及必须完成培训以维持有效状态等政策。”此外，五分之四的员工实际上对风险防控的贡献大于其引发的风险。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fitify公开可访问的谷歌云存储桶暴露了数十万个文件。其中部分文件是用户上传的进度照片，用于追踪身体随时间的变化。在Cybernews联系该公司后，未受保护的实例被关闭。 5月初，Cybernews研究团队发现了一个Fitify拥有且公开可访问的谷歌云存储桶。虽然该未受保护实例中暴露的大部分文件是锻炼计划和指导视频，但研究人员也注意到用户与应用的“AI教练”分享的照片以及他们的身体扫描图。 该应用的目标用户是希望减肥、塑形或以其他方式改善体态的人群。身体扫描允许用户根据健身计划锻炼或节食后追踪身体随时间的变化。Fitify在Google应用商店的描述中明确声明“数据在传输中加密”，向用户保证他们的私人照片不会被泄露。 然而，Cybernews团队或任何其他人，无需任何密码或安全密钥即可访问该云存储。 “值得注意的是，‘进度照片’和‘身体扫描’通常穿着较少的衣物拍摄，以便更好地展示减肥和增肌的进展。因此，大多数泄露的图像可能是用户通常希望保持私密、不与互联网上任何人分享的类型。”研究团队表示。 Fitify Workouts（该应用背后的公司）在收到Cybernews研究人员的联系后作出回应，关闭了暴露的实例，将其从公开访问中移除。 Fitify数据泄露的范围有多大？ 现已关闭的谷歌云存储桶总共包含37.3万个文件。其中20.6万是用户个人资料照片，另有13.8万被标记为进度照片。1.3万个文件是通过应用AI教练消息附件共享的，还有6000个被标记为“身体扫描”数据，包括图片和AI元数据。 身体扫描功能允许用户进行身体的3D扫描，应用会提供其瘦体重、体脂、姿势及其他他们可能希望改善或追踪方面的详细分析。 “此次泄露表明，应用实施的数据访问控制不足以保护用户数据，而该数据无需任何密码或密钥即可被访问的事实，证明用户数据在静态时未加密。”研究团队解释道。 在发现暴露的实例后，研究人员交叉核对了Fitify的名称是否包含在他们用来调查苹果应用商店应用实际安全性的随机选取数据集中。 Cybernews研究人员下载了15.6万个iOS应用（约占苹果应用商店所有应用的8%），发现开发者经常在应用代码中留下任何人都可访问的明文凭证。 调查结果显示，71%的被分析应用至少泄露一个机密凭证，平均每个应用代码暴露5.2个机密凭证。事实证明，Fitify也不例外。 “在调查了暴露的凭证后，我们发现了可能用于访问更多客户数据和应用后端基础设施的凭证。”该团队解释道。 “这也表明，配置错误的云存储桶访问控制并非应用开发者的唯一失误，因为许多API密钥和敏感端点位置也被硬编码在应用前端中。” Fitify应用暴露了哪些硬编码机密凭证？ 开发者硬编码机密凭证有多种原因。虽然有时是应用正常运行所必需的，但某些凭证和密钥不应保持可访问状态，因为它们会让攻击者深入应用内部，并可能访问私人用户数据。 研究团队注意到开发环境和生产环境之间存在不同类型的机密凭证。Fitify的开发环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) 攻击者可以利用ID和密钥访问谷歌和Firebase基础设施组件，收集信息，然后深入挖掘应用，可能获取敏感用户数据。 例如，暴露谷歌客户端ID和安卓客户端ID可能使恶意行为者能够冒充合法的应用实例，从而可能获得用户账户的访问权限。同时，存储桶可能使攻击者能够注入恶意文件或修改现有内容。 与此同时，Fitify的生产环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) Facebook应用ID (Facebook App ID) Facebook客户端令牌 (Facebook Client Token) Firebase动态自定义域名 (Firebase Dynamic Custom Domains) Algolia API密钥 (Algolia API Key) 结合先前泄露的信息，硬编码的凭证可能使攻击者能够通过Fitify访问用户的社交媒体数据。与谷歌凭证结合使用，这为影响健身数据和社交媒体档案的多种攻击场景创造了多个攻击途径。 该团队声称，虽然Fitify在解释他们使用的第三方供应商及其用途方面比大多数应用做得更好，但其隐私政策并未提及使用Algolia。 “Algolia仅以软件即服务（SaaS）模式提供，没有自托管选项，这意味着数据库中的数据由Algolia或其第三方供应商托管。”研究人员表示。 如何修复易泄露的应用？ 我们的研究人员认为，要有效缓解此问题，最好分别处理暴露的实例和硬编码的凭证。为了解决云存储桶相关问题，团队建议： 配置云存储桶内置的身份验证功能，将访问权限限制在仅限应访问存储数据的员工和系统。 同时，为防止应用机密凭证落入错误的人手中，团队建议采取以下措施： 泄露的凭证需要撤销，新凭证应在公司控制的服务器内安全地生成和存储，需要对暴露端点的访问控制设置进行审查，并建议执行审计以确定这些漏洞和错误配置是否已被恶意行为者利用。应用需要更新以兼容新的、更安全的基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由欧洲刑警组织和欧洲司法组织协调的一项国际行动，打击了名为 “NoName057(16)” 的亲俄网络犯罪团伙。这项名为 “Eastwood” 的行动，捣毁了由全球 100 多个计算机系统组成的攻击基础设施，该团伙的主要服务器基础设施也被下线。 行动于 2025 年 7 月 14 日至 17 日期间开展。此次行动的成果还包括在法国和西班牙实施逮捕，签发 7 份逮捕令，进行 24 次住宅搜查，讯问 13 人。另有 5 人被列入欧盟 “头号通缉犯” 名单。 其中两名居住在俄罗斯联邦的人员被指控为 “NoName057(16)” 活动的主要煽动者。德国当局已对这两人及另外四人签发逮捕令。 行动期间，欧洲刑警组织在其总部设立了协调中心，有法国、德国、西班牙、荷兰和欧洲司法组织的代表参与，并启用虚拟指挥站，将其他参与国与协调中心相连。 欧洲司法组织则协助有关部门协调司法活动，并在行动日期间规划各自的措施。 “NoName057(16)” 的参与者主要是讲俄语的支持者，他们使用自动化工具实施分布式拒绝服务（DDoS）攻击。 欧洲刑警组织称，该团伙没有正式的领导架构，技术水平也不高，其行动动机源于意识形态和报酬。该团伙与多起 DDoS 攻击有关联，还构建了自己的僵尸网络，由数百台服务器组成，能够增强攻击强度。 欧洲刑警组织表示，该团伙估计有 4000 名支持者，这些人通过亲俄渠道、论坛以及社交媒体和即时通讯应用上的小众聊天群组招募而来。 该团伙还通过这些渠道分享行动信息、教程和最新动态。像 “DDoSia” 这样的平台被用来简化技术流程并提供指导，让新成员能快速投入行动。 “NoName057(16)” 的攻击者以加密货币获取报酬，志愿者还会收到类似游戏的参与通知，比如排行榜、定期点名和徽章等。 欧洲刑警组织称，这种游戏化的操控手段常针对年轻违法者，其背后的叙事 —— 如保卫俄罗斯或报复政治事件 —— 进一步强化了这种情感驱动。 该网络犯罪团伙最初主要以乌克兰为攻击目标。但欧洲刑警组织指出，他们后来也开始攻击那些在俄乌冲突中支持乌克兰的国家。 2023 年至 2024 年，该犯罪团伙参与了对瑞典当局和银行网站的攻击。 自 2023 年 11 月欧洲刑警组织启动调查以来，德国遭遇了 14 波攻击，波及 250 多家企业和机构。 2023 年 6 月，乌克兰向瑞士联合议会发表视频讲话期间，以及 2024 年 6 月在比尔根山举行乌克兰和平峰会期间，瑞士都遭到了多起来自该团伙的攻击。 荷兰当局也证实，2025 年 6 月在荷兰举行的北约峰会期间，发生了一起与该网络有关的攻击。这些攻击均被成功化解，未造成重大中断。 2025 年 7 月的这次行动，有捷克、法国、德国、意大利、立陶宛、波兰、西班牙、瑞典、瑞士、荷兰和美国的执法及司法部门参与。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 安全研究人员近日发现针对香港金融机构的新型恶意软件攻击浪潮，其核心是名为 SquidLoader 的加载器。该隐蔽加载器会部署 Cobalt Strike Beacon，并拥有先进的抗分析策略。 Trellix 的安全研究人员在周一发布的最新报告中指出，该恶意软件被发现能规避几乎所有检测手段，对目标受害者构成极大威胁。 高度规避的多阶段攻击链 SquidLoader 攻击活动始于鱼叉式钓鱼邮件。这些用普通话编写的邮件冒充金融机构，内含伪装成发票的带密码保护的 RAR 压缩包。 用户打开压缩包后，会发现一个伪装成 Microsoft Word 文档的恶意 PE 二进制文件。该文件在视觉上具有欺骗性，同时模仿合法的 “AMDRSServ.exe” 程序以增强社会工程效果。 一旦被执行，SquidLoader 便会嵌入系统并启动多阶段感染过程： 自我解包以解密其内部负载 通过混淆代码动态解析关键的 Windows API 初始化一个基于堆栈的自定义结构来存储操作数据 执行各种规避例程，旨在绕过沙箱、调试器和防病毒工具 联系远程命令控制 (C2) 服务器并下载 Cobalt Strike Beacon 广泛的抗分析与规避特性 SquidLoader 的一个显著特点是其广泛的抗分析策略。它利用环境检查、字符串混淆、控制流混淆和未公开的 Windows 系统调用来隐藏自身。如果检测到任何已知的分析工具或防病毒进程（包括 “windbg.exe”、“ida64.exe” 和 “MsMpEng.exe”），该恶意软件会自行终止。 为了绕过模拟器和自动化沙箱，SquidLoader 启动具有长时间睡眠的线程，并采用异步过程调用来监控异常行为。如果任何检查失败或系统显示调试迹象，恶意软件将退出。 另一种策略是显示一条中文假错误信息：“文件损坏无法打开”，这需要用户交互，进一步阻碍自动化分析。 通过这些检查后，SquidLoader 会使用模仿 Kubernetes 服务路径的 URL 联系 C2 服务器，可能是为了混入正常的企业流量中。随后，它会收集并传输主机数据，包括用户名、IP 地址、操作系统版本和管理员状态。 最后，它从一个次级 IP 地址下载 Cobalt Strike Beacon，为攻击者提供持久的远程访问权限。 该攻击活动在地域上集中于香港的机构。然而，类似样本表明相关攻击可能也在新加坡和澳大利亚进行。 为防御诸如 SquidLoader 等威胁，组织应考虑加强电子邮件过滤、端点监控和行为分析能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发出警告，一种名为Matanbuchus的知名恶意软件加载器出现新变种，其新增多项功能显著增强隐蔽性以规避检测。 Matanbuchus是一种恶意软件即服务（MaaS），可作为传递后续攻击载荷的渠道，包括Cobalt Strike信标和勒索软件。该恶意软件自2021年2月起在俄语网络犯罪论坛以2500美元租用价格公开推广，曾被用于类似ClickFix的诱导攻击——通过诱骗用户访问遭入侵的合法网站触发恶意行为。 该加载器的独特之处在于其传播方式：通常不通过垃圾邮件或路过式下载扩散，而是采用直接交互式社会工程学手段，由攻击者直接欺骗用户执行。某些情况下，它被初始访问经纪人用于向勒索团伙出售企业网络入口，这种针对性部署使其比普通商业化加载器更具威胁。 据Morphisec分析，新版加载器（追踪为Matanbuchus 3.0）具备多项新特性： 改进的通信协议技术 内存操作能力增强 混淆技术升级 支持CMD与PowerShell反向Shell 可运行DLL、EXE及Shellcode等后续载荷 本月初观察到一起攻击案例：某企业员工收到伪装成IT服务台的微软Teams外部通话，攻击者诱骗其启动Quick Assist获取远程访问权限，最终通过PowerShell脚本部署Matanbuchus。值得注意的是，类似社工手段曾被Black Basta勒索组织使用。 “受害者被精准定位并诱骗执行脚本，该脚本触发下载含恶意载荷的压缩包”Morphisec首席技术官Michael Gorelik解释，“压缩包内包含重命名的Notepad++更新程序(GUP)、篡改的XML配置文件及用于侧加载的Matanbuchus恶意DLL”。 Matanbuchus 3.0当前公开租用价格为：HTTPS版本每月1万美元，DNS版本每月1.5万美元。恶意软件启动后执行以下操作： 收集系统信息并扫描运行进程以识别安全工具 检测进程权限状态（是否以管理员身份运行） 将信息发送至C2服务器获取MSI安装包或可执行文件等后续载荷 通过创建计划任务实现持久化驻留 “开发者采用高阶技术实现任务调度：通过COM组件交互注入Shellcode”Gorelik进一步说明，“该Shellcode实现了基础的API解析（字符串比对）及操纵ITaskService的复杂COM执行流程”。 C2服务器还可远程触发加载器功能以： 收集所有运行中的进程和服务列表 获取已安装应用程序清单 “Matanbuchus 3.0已进化为高度复杂的威胁”Gorelik总结道，“新版具备先进的通信协议、内存隐身技术、强化混淆能力，并支持WQL查询及CMD/PowerShell反向Shell。其通过regsvr32、rundll32、msiexec或进程镂空执行命令的多功能特性，大幅提升被入侵系统的风险等级”。 随着恶意软件即服务模式的演进，Matanbuchus 3.0体现了当前加载器的发展趋势：优先采用无文件攻击（LOLBins）、COM对象劫持和PowerShell分阶段加载等隐身技术规避检测。威胁研究人员正加紧将这些加载器纳入攻击面管理策略，并追踪其通过Microsoft Teams、Zoom等企业协作工具实施的滥用行为。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文