HackerNews

HackerNews 编译，转载请注明出处： 比特币ATM上市公司Bitcoin Depot近日向数千名用户发出通知，其敏感数据（含驾照号码）可能已遭窃取。该泄露事件发生于一年前，但受害者直至近期才收到通知函。 自2025年7月8日起，26,732名消费者将陆续收到Bitcoin Depot关于此次数据泄露的函件。根据向缅因州总检察长办公室提交的文件，入侵事件实际发生于2024年6月23日。公司解释称，联邦执法部门要求其等待调查完成后再向受影响用户发送通知。近一年后的2025年6月13日，当局最终批准通知程序。 在致受影响用户的声明中，Bitcoin Depot表示：“公司监测到信息系统异常活动后立即启动调查，并聘请第三方事件响应专家协助评估未授权行为的范围”。入侵者获取了部分客户文件中的个人信息，包括姓名、电话号码、驾照号码，部分案例还涉及物理地址、出生日期及电子邮箱。 Bitcoin Depot对事件表示歉意，并强调高度重视数据安全，已采取“强化安全措施与监控、提升全员数据保护意识”等手段防止事件重演。公司同时建议用户监控金融账户流水与信用报告，警惕可疑交易。 Bitcoin Depot作为市值约3.8亿美元的上市公司，运营着数千台比特币ATM及实体兑换站点。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员确认，长期活跃的Android银行木马Anatsa近期针对北美金融机构和银行应用用户发起新攻击。荷兰网络安全公司ThreatFabric追踪显示，这至少是该恶意软件第三次瞄准美国与加拿大的移动银行用户。Anatsa具备窃取银行凭证、记录键盘输入及通过远程控制工具在受感染设备上直接实施欺诈交易的能力。 攻击活动通常始于开发者向应用商店上传看似合法的Android应用（如PDF阅读器或手机清理工具），这些应用在积累数万次下载前功能正常。随后通过更新注入恶意代码，将Anatsa作为独立程序安装到设备，并根据攻击目标执行不同恶意操作。本次攻击中，恶意代码潜伏于某款文件阅读器应用，在其发布约六周后（6月24日至30日期间）通过更新推送。该应用下架前在美国Play商店免费工具榜排名前列，累计下载量超5万次。 应用安全公司Cequence首席信息安全官Randolph Barr指出，这种两阶段攻击模式具有典型性：“即使资深用户亦可能疏忽，因初始应用表现正常。”虽然黑客如何推广应用以实现广泛传播尚未明确，且被盗数据具体用途仍不清晰（可能用于勒索攻击或暗网交易），但值得关注的是此次攻击目标清单显著扩展，覆盖了更广泛的美国移动银行应用。 银行木马作为窃取金融信息的常见犯罪工具，常导致未经授权的转账、账户接管及用户重大财产损失。Barr预测未来可能出现更复杂的攻击变种：“包括针对特定银行或地区的AI个性化恶意覆盖界面、安装后实时下载的模块化载荷、通过屏幕覆盖或令牌窃取绕过MFA多因素认证，以及更隐蔽的无障碍服务滥用与会话劫持。” 本月初，ThreatFabric还发现新型Android银行木马Crocodilus正在欧洲、南美及亚洲部分地区扩散。其最新变种能在受害者通讯录插入伪造联系人，使攻击者可伪装成银行客服等可信来源实施诈骗通话，潜在规避欺诈监测系统对陌生号码的警报机制。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，伊朗勒索软件团伙Pay2Key.I2P在中东紧张局势升级之际扩大行动规模，承诺向针对以色列和美国的网络攻击参与者提供更高比例的分成。该组织被认为是原Pay2Key行动的后继者，而Pay2Key已被证实与伊朗国家支持的“狐狸猫”（Fox Kitten）黑客组织有关联——该组织曾实施针对以色列和美国机构的网络间谍活动。 网络安全公司Morphisec最新报告显示，Pay2Key.I2P采用勒索软件即服务（RaaS）模式运营，宣称过去四个月已获取超过400万美元赎金。自今年6月以来，该组织将对伊朗敌对国实施攻击的附属团伙分成比例从70%提升至80%。该组织在暗网论坛发布的声明中宣称：“我们的伊朗兄弟正遭受军事侵略，我们愿为任何攻击伊朗敌人者提供最优厚分成比例。” Morphisec分析认为该组织兼具牟利与意识形态动机，目前正试图在俄语黑客论坛招募成员。研究显示Pay2Key.I2P与Mimic勒索软件运营商存在合作，而Mimic使用了已解散的Conti团伙泄露的代码——Conti曾因公开支持俄罗斯入侵乌克兰导致其工具代码被公开。 尽管Pay2Key.I2P宣称截至6月下旬其附属团伙已成功实施50余次攻击，但具体针对以色列和美国机构的攻击数量尚不明确。此次行动正值美国官员警告伊朗可能发动报复性网络攻击之际。去年美国情报机构曾指出，德黑兰当局正协调勒索软件团伙针对美国、以色列、阿塞拜疆和阿联酋的实体实施攻击，并明确将“狐狸猫”列为关键威胁行为者。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究员Brandon Perry发布最新研究，揭示电动汽车充电数据链路存在严重安全漏洞。当车辆接入充电桩时，双方通过电力线通信建立双向数据连接，形成双重攻击面。 该研究员搭建Linux系统充电桩进行测试，捕获特斯拉车辆通信数据包。连接建立后，设备自动协商协议并配置IPv6地址。充电桩与车辆交换标准化数据，包括车辆通信控制器标识（EVCCID）、供电设备标识（EVSEID）、电池状态等核心信息。中间人攻击可轻易拦截这些数据——当前通信协议未强制要求TLS加密，即便采用加密，证书多为自签名且未经验证机构认证，防护形同虚设。 充电网络通常将EVCCID作为自动计费凭证，而该标识实为通信接口的MAC地址。攻击者通过伪造MAC地址可冒用他人身份激活即插即充功能，实施窃电犯罪。研究还发现，向通信链路注入畸形数据包可触发系统崩溃漏洞。 更严峻的是，开发者常忽视充电线缆作为网络入口的风险。实测显示充电端口开放SSH服务，攻击者可直接通过充电线缆暴力破解登录凭证。公共充电桩普遍依赖充电站管理系统（CSMS）进行认证与电力调度，而开源系统StEVe CSMS和CitrineOS被证实存在致命缺陷：攻击者可远程触发系统崩溃，导致整个充电网络瘫痪，且异常日志中混杂的本地IP地址会大幅增加故障诊断难度。 物理安全同样堪忧。多数电动汽车充电接口盖板可被徒手撬开且不触发警报，专业调试设备已在市场流通，使硬件层面临直接威胁。这些安全漏洞可能引发电网波动、用户数据泄露及基础设施停摆等连锁风险。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FlirtAI约会助手应用因未受保护的云存储泄露16万张私密聊天截图。该iOS应用由德国柏林公司Buddy Network GmbH开发，主打AI辅助社交功能。用户上传聊天截图后，应用会生成五条定制回复建议。但研究人员发现其谷歌云存储桶未设权限保护，导致超16万张涉及私密对话的截图暴露。 核心风险点： 未成年人数据高危：泄露数据显示青少年为主要用户群体，其上传的截图包含同龄人私密对话。这些未成年人可能完全不知晓自己的聊天内容被截图并外泄。 非用户隐私裸奔：对话截图中的另一方（非应用使用者）个人信息遭泄露，且因聊天软件界面设计特性，其身份标识（如姓名、头像）更易被锁定。 心理伤害隐患：该应用目标用户多存在社交焦虑或自我认同危机，隐私泄露可能加剧其心理压力。 应用机制争议： 用户需手动截取约会软件聊天或个人资料界面，上传至FlirtAI获取回复建议。 应用条款虽要求“上传前需获得对话方授权”，但实际操作中几乎无法执行。 苹果商店标注17+年龄限制，但未有效阻止未成年人使用。 处置进展： 5月6日：研究人员发现漏洞 5月19日：向开发商发出披露通知 6月2日：通报计算机应急响应小组(CERT) 6月16日：存储桶访问权限修复 涉事公司另运营两款AI应用：情感陪伴应用“Angel”及AI日记工具“90 Seconds”。此次事件再次暴露移动应用生态的数据安全顽疾——近期针对15.6万款iOS应用的研究显示，71%的应用存在至少一项敏感数据泄露风险，平均每款应用暴露5.2个安全凭证。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第二季度，针对开发者、软件团队及CI/CD流水线的攻击规模和复杂度持续攀升。网络安全公司Sonatype监测数据显示，恶意开源软件包数量同比增长188%，凸显开源生态安全威胁加剧。 该公司通过监控npm、PyPI、Maven Central等主流仓库活动发现，本季度共检出16,279个恶意开源软件包。自2017年启动分析以来，累计识别恶意包总量已达845,204个。“攻击者不再仅是试探开源生态。数据表明，威胁行为者已将数据视为最具价值的目标，而开发者成为最易突破的入口，”Sonatype联合创始人兼首席技术官Brian Fox指出，“开发和安全团队必须保持警惕，威胁正日益潜伏于日常工具和依赖项中。” 恶意包攻击目标呈现集中化趋势： 数据窃取主导：55%的恶意包旨在窃取机密信息，包括个人身份数据、密码、访问令牌及API密钥； 数据破坏恶意软件激增：本季度检出400例此类攻击，数量较上季度翻倍，主要通过损毁文件、注入恶意代码等方式破坏应用运行； 加密挖矿占比下降：相关恶意包占比5%，较前季度略有减少。 国家级黑客组织深度渗透： 朝鲜知名黑客组织Lazarus被证实关联107个恶意包，累计下载量超30,000次。这反映威胁组织正将开源生态系统作为实施网络间谍和金融犯罪的新渠道。 值得注意的是，尽管Sonatype报告2024年恶意软件同比增长156%，但相比同期主流平台超6万亿次软件包下载量，实际检出比例仍属微量。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 海康威视坚定维护加拿大市场存在，通过法律行动反击政府禁令。 此前海康威视接受《加拿大投资法》的国家安全审查，结论认定其对加拿大国家安全构成威胁。因此，加拿大联邦政府于6月27日命令该公司停止在加运营并关闭业务，同时禁止所有联邦机构、政府部门及国营企业采购海康威视产品。 海康威视提起法律诉讼推翻加方限制 海康威视加拿大公司发言人7月7日公开声明，确认将“全力挑战该禁令，捍卫我们认为正确的立场”。公司已向加拿大总检察长提交申请，要求启动政府决定的司法审查程序，并请求法院在审查完成前暂停执行禁令。 据发言人透露，在与总检察长达成协议后，海康威视加拿大公司已暂时恢复正常运营，等待法院对暂缓执行申请的裁决。发言人强调，海康威视“始终全力投入加拿大市场及当地合作伙伴”，并“承诺在寻求法律救济过程中，全面保护和支持加拿大员工、经销商、安装商、集成商及终端用户”。 声明补充：“自进入加拿大市场以来，我们始终遵守所有适用法律法规，并将继续坚持立场——海康威视的产品与技术从未危及加拿大或任何运营所在国的国家安全。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360最新报告揭露，一场利用虚假新闻网站（BNS）实施跨国投资诈骗的犯罪行动已蔓延至50个国家。这些伪装成CNN、BBC、CNBC或地区媒体的BNS网页发布虚假报道，杜撰公众人物、央行或金融品牌支持新型被动收入项目的消息，旨在快速建立信任并将读者引向Trap10、Solara Vynex等专业级诈骗平台。 诈骗者通过谷歌、Meta及博客网络的赞助广告引流，使用“知名人物最新爆料”等标题党文案搭配官方照片/国旗增强可信度。用户点击后将跳转至假新闻页，最终导向虚假交易平台。多数骗局采用双阶段结构：第一阶段通过广告和假文章诱骗受害者；第二阶段在受害者上钩后启动，所谓“投资顾问”会致电索取身份证件，要求加密货币存款，并以持续“账户验证”拖延提款。这种分层机制帮助诈骗团伙建立虚假信任、延缓怀疑，直至榨干受害者资产。 当前CTM360的Webhunt平台已追踪到17,000余个此类网站。它们普遍托管于.xyz/.click/.shop等廉价顶级域，部分攻击者甚至入侵真实网站的子目录托管BNS内容以增加关停难度。诈骗网页往往根据目标地区定制化呈现——使用当地语言、篡改媒体Logo、结合区域意见领袖及银行信息提升欺骗性。 多数受害者在搜索在线投资或被动收入方法时遭遇骗局，易被模仿正规财经建议的赞助广告诱导。假内容精准匹配高意向搜索词，如“自动化加密货币交易”、“名人背书投资”等定制化诱饵。当受害者进入诈骗平台注册后，“投资经理”会通过专业话术敦促其存入约240美元激活账户。虚假利润仪表盘随即开始模拟盈利，而越深入参与就越被胁迫追加投资。 此类骗局不仅滥用信任，更收集敏感数据用于钓鱼攻击、身份盗窃及二次诈骗，使诱饵新闻网站成为三位一体的跨界威胁：兼具投资欺诈、品牌冒充与数据收割功能。这种模式正日益出现在杀猪盘、虚假KYC平台及联盟欺诈网络中，其生态演变值得重点追踪。 基于MITRE框架开发的CTM360欺诈导航工具完整绘制了骗局全流程：从资源架设、广告投放、受害者交互到数据窃取与资金变现。BNS在传播阶段扮演关键角色，成为庞大欺诈链条的入口节点。目前CTM360持续监控相关活动，并向受影响国家/机构提供关停支持、威胁情报及风险防护服务。 （注：CTM360是集成外部攻击面管理、数字风险防护、网络威胁情报、品牌保护与反钓鱼等功能的统一安全平台，提供覆盖明网/深网/暗网的无缝监测及无限关停服务。该方案无需用户配置安装，所有数据预填充且定向匹配机构需求，全程由CTM360托管运营。）         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳洲航空（Qantas）确认遭遇网络攻击后，威胁行为体已开始实施勒索。该公司在更新声明中表示：“潜在网络犯罪分子已与我们联系，目前正在核实其身份。鉴于此事涉及刑事案件，我们已联络澳大利亚联邦警察（AFP），后续将不再透露具体接触细节。” 该航空公司在7月1日披露，其于前一日发现某呼叫中心使用的第三方系统存在异常活动。此次入侵导致客户姓名、电子邮箱、电话号码、出生日期及飞行常客号码泄露。但澳航强调，信用卡及财务信息、护照详情、密码、PIN码与登录凭证均未遭泄露。 澳航警告客户警惕利用被盗数据实施诈骗及钓鱼邮件的风险，声明所有官方邮件均来自qantas.com域名。公司同时承诺绝不会通过电话、短信或邮件索要密码、机票确认码等敏感信息。 此次事件是黑客组织Scattered Spider针对航空业系列攻击的一部分。该组织擅长社会工程攻击，常通过诱骗帮助台及支持供应商重置员工密码和多因素认证（MFA）侵入企业网络。其攻击目标从4月的零售业（玛莎百货、Co-op超市）转向保险业，近期又聚焦航空运输业，西捷航空与夏威夷航空此前已遭类似攻击。 澳航正协同网络安全专家、澳大利亚网络安全中心（ACSC）、澳大利亚信息专员办公室（OAIC）及澳大利亚联邦警察（AFP）展开联合调查。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 社交媒体公司TikTok正在就英国数据监管机构开出的1270万英镑罚款提起上诉之际，宣布将聘用该监管机构一名高级官员，此举可能引发利益冲突担忧。 信息专员办公室（ICO）监管监督副局长斯蒂芬·邦纳（Stephen Bonner）——这位被资深同事称为“ICO工作核心人物”的官员——将于今年晚些时候加入TikTok，担任其欧洲数据保护部门负责人。 该人事变动发生在ICO于2023年对TikTok处以1270万英镑（约1725万美元）罚款之后，处罚理由是该公司滥用儿童数据；2025年3月，ICO又针对该社交媒体平台持续收集儿童数据的行为启动了“重大调查”。据Politico率先披露，邦纳的职位变动被批评为“旋转门”现象（指监管者离职后加入被监管企业的现象）的典型代表。此类行为可能引发政治学家所称的“监管俘获”风险，即监管机构过度偏袒其本应监管的行业利益。 数字权利组织“开放权利集团”法律政策官员马里亚诺·德利桑蒂指出：“邦纳的跳槽是ICO未能维护公共生活标准的又一例证。公务员应致力于公共利益而非个人职业目标”。ICO副首席执行官保罗·阿诺德则为邦纳辩护称：“邦纳过去四年是我们成功的关键成员，我们祝愿他重返私营领域顺利”，并强调所有前ICO员工均受法定保密义务约束。 ICO特别说明：邦纳未参与2023年罚款决定的制定，也未参与针对TikTok儿童数据推荐系统的调查。尽管他接触过当前调查，但已主动回避以避免利益冲突嫌疑。阿诺德补充称：“ICO有诸多前雇员利用其经验提升数据保护标准，我们为此传统自豪。” 德利桑蒂进一步披露：“在野时，惠特彻奇女男爵琼斯曾在《数据法案》中提议修正案，禁止ICO职员加入遭监管执法的企业。”该修正案旨在阻断监管者任职期间“进入其监管行业就职的通道”。但工党执政后“废除了该提案”，这与其竞选时“恢复英国公共生活廉洁性”的承诺相悖。现任科学、创新与技术部（DSIT）初级部长的琼斯未回应置评请求。DSIT发言人仅表示：“ICO独立于政府运作，其现任及前任员工均受法定保密义务约束。” TikTok未立即回应置评请求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月起，针对俄罗斯组织的定向钓鱼攻击使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。该攻击自2024年7月以来持续进行，始于伪装成合同或附件的恶意.vbe文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。 卡巴斯基发布的报告指出：“自2025年3月初以来，我们的系统记录到俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、приложение.vbe和dogovor.vbe，中文译注：合同、附件）数量有所增加。定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。” 点击钓鱼邮件中的链接会下载VBE脚本，该脚本收集系统信息并从攻击者的域名检索恶意软件文件(WebView.exe)。该脚本检查操作系统版本以决定如何执行有效载荷，并将数据发送到命令与控制(C2)服务器。攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。 在攻击链的第二阶段，WebView.exe恶意软件（用Delphi编写）下载并显示虚假合同，然后开始监视受感染的系统。它收集系统日志、办公文档，并定期截取屏幕截图发送到新的C2服务器。为避免重复上传，它会对每个文件进行哈希处理。同时下载新的恶意软件阶段(javav.exe)并设置启动快捷方式，以便在系统重启时继续感染过程。 在攻击链的最后阶段，恶意软件javav.exe（用C++编写）扩展攻击范围，针对更多文件类型（如图像、电子邮件、演示文稿、存档），使用更新的感染ID(2hc1-…)将其传输到C2服务器。它现在可以更改C2地址，并通过computerdefaults.exe实现UAC绕过来下载/执行新有效载荷(windowsmsg.exe)。与C2的通信采用加密传输，并通过文件哈希避免重复上传。据卡巴斯基称，此阶段引入灵活性和持久性以促进进一步恶意活动。 研究人员注意到Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基遥测数据显示，数十家机构的超过100名用户收到了钓鱼邮件。 报告总结道：“值得注意的是，此次攻击的初始感染媒介是诱饵邮件。这凸显了常态化员工培训和提高企业网络安全实践意识的重要性。”        消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自称“Rey”的黑客宣称从西班牙电信巨头Telefónica窃取106GB数据，但该公司回应称这仅是敲诈企图。 在埃隆·马斯克旗下社交平台X的声明中，Rey指出Telefónica否认其内部网络遭数据窃取，因此将先行公开5GB数据作为证据。黑客威胁称：“我将很快公布完整文件目录树；若未来数周内Telefónica仍不妥协，全部数据档案将被公开 。” 据技术媒体BleepingComputer核实，Rey已发布超2万份文件佐证入侵真实性。黑客透露攻击发生于2025年5月30日，在Telefónica IT人员察觉前已持续窃密12小时。据称窃取总量达385,311份文件（106.3GB），涵盖五类核心数据： 内部通信记录（服务工单与邮件） 采购订单及商业伙伴发票 系统操作日志 客户档案 员工信息 Telefónica官方至今未承认事件，但有员工指称这是利用过时信息的敲诈行为。值得关注的是，Rey隶属勒索组织HellCat，该组织2025年1月就曾通过Jira开发服务器入侵Telefónica窃取客户信息。不同于传统勒索模式，HellCat采用“不认账即全泄露”的胁迫策略，此次事件再次印证其战术特征。 Telefónica作为全球顶级电信运营商，拥有逾10万员工，2024年营收达405亿美元（约合人民币2920亿元），毛利近205亿美元（约合人民币1476亿元）。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员监测到针对员工登录凭证的身份驱动型网络攻击激增。eSentire威胁响应部门（TRU）最新报告显示：2024年至2025年一季度期间，该机构处理的1.9万起身份相关安全事件同比激增156%，此类威胁在其服务的2000余家企业中占比高达59%。 钓鱼即服务（PhaaS）推动凭证窃取 Tycoon 2FA平台成为主要推手：该钓鱼即服务平台通过提供中间人攻击（AitM）能力绕过双因素认证（2FA），已超越EvilProxy等竞品成为2025年1-5月最活跃攻击工具。攻击者以月租200-300美元（约合人民币1450-2170元）获取以下服务： 伪装成可信来源的邮件模板 突破MFA防护的中间人攻击模块 反调试与规避检测工具 内置凭证窃取功能 客户支持及定期更新 攻击者利用该平台实施商业邮件欺诈（BEC）：主要针对应收账款部门员工，窃取其凭证后篡改支付路径，将企业资金转入攻击者控制账户。 信息窃取器提供低成本替代方案 攻击者通过Lumma窃密程序等工具批量获取凭证：地下市场中单份窃密日志仅售10美元（约合人民币72元），每份日志可能包含数十项高价值数据： 邮箱/银行服务登录凭据 密码管理器数据库 加密钱包及浏览器扩展数据 VPN/FTP客户端及本地文件 该窃密程序自2022年活跃至今，其内置自动化过滤机制可快速识别高价值数据，大幅缩短凭证利用周期，并通过”Russian Market”等黑市加速销赃。 凭证窃取呈现高回报特性 据FBI统计：2013年至今全球累计发生超30万起商业邮件欺诈案件，造成550亿美元（约合人民币3980亿元）损失。2025年第一季度，信息窃取器占eSentire阻断恶意软件的35%，身份攻击的经济回报率已超越传统漏洞利用。 防御建议 eSentire TRU预测此类威胁将持续蔓延，呼吁企业采取三项核心措施：部署钓鱼攻击免疫的身份验证技术、实施零信任架构、建立实时访问监控机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。 ESET研究证实，该组织自2017年首次入侵库尔德政府系统以来，持续升级其攻击工具库，展现出显著的技术演进。最新攻击活动中，攻击者部署了专为隐蔽驻留设计的恶意软件套件，其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件，规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行：监控所有传入HTTP请求，仅在检测到预设Cookie结构时激活攻击功能，其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar，以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力： ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示，BladedFeline与伊朗国家级黑客组织OilRig存在强关联性：恶意软件功能设计与OilRig标志性后门RDAT高度相似，攻击基础设施存在重叠，战术目标均聚焦中东地缘政治情报收集。据此评估，BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势： ① 时间跨度：最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展：从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代：从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态：2024年初仍检测到新版恶意工具活跃 ESET警告称：“从简单后门到模块化潜伏工具的技术转型，印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序，以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级，在区域情报收集中构建更隐蔽的作战能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场利用搜索引擎优化（SEO）投毒技术传播恶意软件加载器Oyster（亦称Broomstick或CleanUpLoader）的攻击活动。据Arctic Wolf分析，该恶意广告活动通过伪造托管合法工具（如PuTTY和WinSCP）木马化版本的网站，诱骗搜索这些程序的技术人员下载安装。报告指出：“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化，通过rundll32.exe调用恶意DLL文件（twain_96.dll）的DllRegisterServer导出函数，表明其采用DLL注册机制维持控制。” 已发现的欺诈网站包括： updaterputty[.]com zephyrhype[.]com putty[.]run putty[.]bet puttyy[.]org 攻击者可能还针对其他IT工具传播恶意软件，用户必须严格依赖可信渠道和官方供应商站点下载软件。 当前黑帽SEO投毒技术正被用来操纵人工智能（AI）相关关键词的搜索结果，散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码，在收集受害者浏览器信息后启动重定向链，最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包（内含Vidar/Lumma窃密程序），密码直接显示在下载页面上，”Zscaler ThreatLabz分析称，“解压后出现800MB的NSIS安装包，攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。 同类SEO投毒活动还通过伪造热门网络应用的搜索结果，将用户导向虚假Cloudflare验证页面，运用臭名昭著的“点击修复”（ClickFix）策略，借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示，2025年1至4月期间，约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%，Outlook与PowerPoint各占16%，ChatGPT恶意文件数量同比激增115%。 尽管滥用虚假搜索列表是常见手段，但近期攻击出现新变种：劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心，但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果，而实际参数在搜索结果中不可见，极具迷惑性。 攻击者还在Facebook平台投放虚假广告：以“Pi Network桌面版更新”为诱饵传播窃密程序，盗取凭证与加密钱包密钥；通过4000余个仿冒电商网站（GhostVendors网络）投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。 同时，针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器（最终投递Lumma窃密程序）活动被命名为“黑暗伙伴”（Dark Partners）。PayDay加载器利用Google日历事件隐藏C2服务器地址，其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”，表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库，定位加密钱包数据并外传到硬编码C2服务器。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家与巴基斯坦无关的黑客组织被发现使用名为DRAT的远程访问木门程序的修改变种攻击印度政府机构。 Recorded Future旗下Insikt研究小组将此活动归因于追踪编号为TAG-140的威胁组织。该组织与SideCopy存在重合——后者被评估为透明部落（Transparent Tribe）的攻击子集群（该组织亦称为APT-C-56、APT36、Datebug、Earth Karkaddan、Mythic Leopard、Operation C-Major及ProjectM）。隶属于万事达卡的研究机构在上月发布的分析报告中指出：“TAG-140持续展现出恶意软件库与攻击手段的迭代升级与多样化能力。本次以克隆国防部新闻门户为诱饵的攻击行动，标志着其在恶意软件架构与C2功能方面均实现显著转变。” 新版DRAT被命名为DRAT V2，成为SideCopy武器库的最新成员。该组织还拥有Action RAT、AllaKore RAT、Ares RAT、CurlBack RAT、ReverseRAT、Spark RAT和Xeno RAT等工具，可同时针对Windows和Linux系统实施攻击。攻击活动展现出攻击者不断进化的战术：通过打造”可替换套件式”的多样化木马程序，在窃取敏感数据时干扰溯源、检测和监控工作。 该威胁组织的攻击范围已从政府、国防、海事和学术领域，扩展到铁路系统、石油天然气及外交部相关机构。据悉该组织自2019年起持续活跃。 Recorded Future记录的攻击链采用点击修复式攻击手法：克隆印度国防部新闻发布门户，传播新版.NET架构DRAT（现变异为Delphi编译版本）。假冒网站仅保留单一有效链接，点击后将秘密复制恶意命令至剪贴板，诱骗受害者通过命令终端执行。此举导致设备从外部服务器（trade4wealth[.]in）获取HTA文件，由mshta.exe加载名为BroaderAspect的加载器。该加载器负责下载诱饵PDF、通过注册表实现驻留、并从同一服务器获取并运行DRAT V2。 DRAT V2新增任意命令执行功能增强灵活性，其C2地址采用Base64编码混淆，并升级为支持ASCII/Unicode双模式的专属TCP协议（服务器仅响应ASCII，而原始DRAT需全程使用Unicode）。报告指出：“相较前代版本，DRAT V2减少了字符串混淆处理，多数命令头保留明文——可能更注重运行稳定性而非隐蔽性。由于缺乏高级反分析技术并采用基础驻留方式，该木马可通过静态和行为分析检测。” 其他已知功能包括：在被控主机执行侦察任务、上传额外载荷、实施数据窃取。研究人员表示：“这些功能使TAG-140能持久灵活控制系统，无需额外工具即可展开自动化或交互式攻击。DRAT V2更倾向于模块化补充而非彻底升级，这印证了TAG-140将持续轮换木马程序以隐藏特征、维持攻击灵活性的预判。” APT36攻击行动散布Ares木马与DISGOMOJI 2025年5月印巴冲突期间，巴基斯坦背景的国家级黑客组织与协同黑客行动异常活跃。APT36借机散布Ares木马，针对国防、政府、IT、医疗、教育和电信领域发动攻击。Seqrite实验室五月警告称：“Ares木马使攻击者获得系统完全控制权，可能导致监控活动、数据窃取及关键服务破坏。” 近期监测显示，APT36通过伪造国家信息中心采购订单的钓鱼邮件，向印度防务人员投递恶意PDF附件。诱导点击文档内嵌按钮后，设备将下载伪装成PDF图标的双重扩展名文件（*.pdf.exe）。该程序内置反调试和反虚拟机功能，可于内存加载具备文件枚举、键盘记录、剪贴板捕获、浏览器凭证窃取及C2通信能力的载荷。 CYFIRMA分析指出：“APT36对印度国防系统构成持续重大威胁。其钓鱼策略与凭证窃取技术印证了现代网络间谍手段的进化。”该组织还专门针对印度政府广泛使用的BOSS Linux系统，通过伪装成安全通告的钓鱼消息投放恶意ELF程序。研究机构强调：“Linux专属恶意软件的出现标志着APT36能力升级，政府与国防关键基础设施风险加剧。这种多阶段攻击可规避传统安防措施，使攻击者长期潜伏于敏感系统。” 360威胁情报中心另披露：攻击者通过钓鱼邮件散布含DISGOMOJI新变种的陷阱压缩包。该安全公司表示，这款基于Golang的ELF程序改用谷歌云服务进行C2通信，区别于此前依赖Discord的方案。“除浏览器插件窃取外，攻击者还将下载远程控制工具实施后续窃密。DISGOMOJI功能与前代载荷相似，但C2基础设施完成迁移。” Confucius组织投放WooperStealer与Anondoor 与此同时，网络间谍组织Confucius被指发起新攻击行动，散布信息窃取程序WooperStealer及新型模块化后门Anondoor。该组织据信自2013年起活跃，目标锁定南亚和东亚的政府军事单位，其攻击目标与印度密切相关。 据Seebug旗下404团队分析，攻击以Windows快捷方式文件（LNK）为起点，通过DLL劫持技术投放Anondoor后门。该后门具备完整攻击能力：可执行系统命令、屏幕截图、文件下载、Chrome密码提取及目录遍历。在收集系统信息后，恶意程序会从远程服务器获取WooperStealer。 研究报告指出：“该组织已从单一线程木马进化为模块化后门，技术迭代能力显著提升。其后门组件封装于C#动态库，通过反射机制规避沙箱检测。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IT巨头英迈科技（Ingram Micro）正经历全球性系统中断，其网站和内部系统均受影响。由于该公司对故障原因保持沉默，客户担忧这可能是网络攻击所致。 英迈科技是全球最大的企业对企业（B2B）技术分销商和服务提供商之一，向全球范围内的经销商和托管服务提供商提供硬件、软件、云服务、物流和培训解决方案。 该公司拥有约24,000名员工，2024年营收约为480亿美元。 系统中断始于上周四上午，网站下线，客户无法下单。BleepingComputer网站获悉，部分英迈科技的内部系统员工也无法访问。 目前访问 ingrammicro.com 网站，会显示其使用的网络服务商Akamai的通用访问受限提示，或如下图所示维护信息。 英迈客户在 Reddit 上表示，该公司对中断原因三缄其口，员工同样被蒙在鼓里。部分人称被告知中断背后可能是网络攻击（潜在勒索软件），但BleepingComputer网站尚未能证实这些说法的真实性。 然而，长时间中断及关闭内部系统通常是某种入侵的常见迹象。 BleepingComputer网站已就中断事件联系英迈科技，若收到回复将更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示已暂停了3,000个Outlook和Hotmail电子邮件账户，该公司认为这些账户是由朝鲜IT工作者创建的，这是其为帮助企业应对这一高成本计划所做努力的一部分。 微软称，多年来其一直监控朝鲜让其公民受雇于美国公司IT职位的活动，并最近观察到该活动的运作方式发生了变化。朝鲜IT工作者现在大量使用人工智能（AI）技术来“替换窃取的就业和身份证明文件中的图像，并增强朝鲜IT工作者的照片，使其看起来更专业”。 “我们还观察到他们一直在使用变声软件，”微软在一篇博客文章中解释道，该文章发布的同时，美国司法部公布了两份起诉书，指控数名朝鲜人和至少两名美国公民参与了此项IT工作者计划。 去年10月，微软的威胁情报部门发现了一个公共存储库，其中包含疑似朝鲜IT工作者的真实照片和经过AI增强处理的照片。该存储库还包含这些人员的简历、使用的电子邮件账户、关于如何使用VPN账户开展工作的指南、实施身份盗用的操作手册、关于如何在自由职业网站上获取工作的指导手册，以及向协助者付款的信息。 “根据我们对该存储库的审查，朝鲜IT工作者似乎会先进行身份盗用，然后使用像Faceswap这样的人工智能工具将他们的照片移植到窃取的就业和身份证明文件上，”微软研究人员表示。“攻击者还使用这些AI工具拍摄工作者的照片，并将其移植到看起来更专业的背景环境中。然后，这些工作者在申请工作时，将使用这些AI生成的照片制作一份或多份简历或资料。” 该活动的幕后人员正在大量试验变声软件和其他AI技术——这印证了其他几家监控此类计划的网络安全公司所做的评估。微软警告说，虽然尚未发现这些IT工作者使用AI语音和视频产品，但这种手段“可能允许朝鲜IT工作者直接进行面试，不再依赖协助者代替他们面试或向他们出售账户访问权限”。 美国司法部于本周早些时候公布的起诉书进一步揭露了朝鲜计划的巨大规模。联邦调查局（FBI）在16个州执行了搜查行动，目标是29个“笔记本电脑农场”——即由美国居民接收公司笔记本电脑并安装软件，从而让朝鲜人能够远程访问这些设备的地点。 法庭文件中已确认有多名美国公民共谋者参与其中，包括一名持有安全许可的现役美军士兵。 为了说明朝鲜通过该计划所获经济利益的规模，知名加密货币调查员Zachary Wolk（又名ZachXBT）表示，近期一项调查发现，自1月1日以来，向已知朝鲜IT工作者控制的账户发送的加密货币付款已超过1,650万美元，平均每月近300万美元（约合人民币2,190万元）。“为便于理解，每月付款范围在3,000至8,000美元之间，这意味着他们已渗透进入了至少345个（按最高薪酬计算）至多920个（按最低薪酬计算）工作岗位。”他在社交媒体帖子中写道。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着亚马逊Prime Day临近，各种优惠承诺令人期待，网络犯罪分子也如秃鹫般盘旋伺机而动。 今年的亚马逊Prime Day定于7月8日，当购物者们为折扣和优惠摩拳擦掌时，黑客们正忙于炮制虚假网站、钓鱼邮件和域名陷阱。大型购物节日往往潜藏着混乱的可能，而犯罪分子深知混乱有利可图。 仅在六月的头几周，Check Point的安全研究人员就发现了超过1,230个试图冒充亚马逊的新域名。其中约87%的域名充其量可疑，往坏了说则完全是恶意的。近1/81的这些域名包含了“Amazon Prime”字眼，旨在诱骗用户点击并泄露其登录凭证。 研究人员警告，骗子们正在发送看似亚马逊客服的钓鱼邮件，主题行涉及“退款错误”或“账户问题”。这些邮件经过精心设计，意在触发受害者的紧迫感。一旦点击链接，用户会被带到一个几可乱真的虚假亚马逊登录页面。结果不是更新了所需信息，而是将亚马逊凭证拱手送给了威胁行为者。 在此活动中观察到的一些欺诈网站示例： Amazon02atonline51[.]online amazon-2025[.]top 此类攻击一旦成功，可能导致未经授权的购物、身份盗用或礼品卡滥用。在黑色星期五、网络星期一或情人节前夕，也曾观察到类似的诈骗威胁激增，专家警告购物者需保持高度警惕。 如何在亚马逊Prime Day期间保证安全？ 警惕可疑网址：如果你要点击一个以 .top 或 .online 结尾、或者带有连字符和额外数字的链接，请停手。计划好购物，直接访问亚马逊官网或应用。如果使用浏览器，务必手动输入 amazon.com。 避免点击邮件链接：如果收到关于账户问题的紧急邮件，请新开标签页手动访问亚马逊。不要跟随骗子设下的数字陷阱。 检查锁标，但仍需验证：HTTPS 和挂锁图标有帮助，但虚假网站也能伪造这些。真正的关键点在于域名本身。如果它看起来可疑，那很可能就是钓鱼。 启用双重认证并使用强密码：在亚马逊上设置双重认证。同时，使用密码管理器，因为重复使用密码会大大增加被入侵的风险。 紧急=诈骗套路：如果信息尖叫着要你立即行动，请先深呼吸。骗子总是利用紧迫感设局。如果是真的，十分钟后它依然还在。 难以置信的优惠？那很可能就是骗局：如果某款iPhone在一个非亚马逊的随机网站上打85折，那是个陷阱。你唯一可能拆箱的只有后悔。 使用安全支付方式：虚拟卡、支付应用等任何提供额外保护的方式，都是在线购物的好选择。避免电汇或直接银行转账。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人人都信任PDF——而这正是网络犯罪分子如此痴迷于它们的原因。 便携式文档格式（Portable Document Format），更常被称为PDF，每天被分发数百万次。从税务文件、简历到发票、数字手册或任何其他信息，都通过电子邮件以PDF附件的形式发送。 PDF简单、跨平台且普遍受信任。它们可以包含图像、可点击链接和看似官方的标识。这使它们成为攻击者想要混入其中的完美载体，也正是黑客们当前痴迷于它们的原因。 过去几个月，网络安全分析师观察到通过PDF文件发起的钓鱼攻击急剧增加。这些PDF被设计成模仿科技巨头和服务提供商的合法通信，以诱骗受害者泄露凭证或下载恶意软件。 根据思科Talos的洞察，在2025年5月5日至6月5日期间，使用PDF附件进行品牌冒充的行为激增。被冒充最多的品牌是微软（Microsoft）和DocuSign。而NortonLifeLock、PayPal和Geek Squad则属于包含PDF附件的电话导向攻击（TOAD）邮件中最常被冒充的品牌之列。 这些钓鱼活动是全球性的，许多源自美国和欧洲的IP地址。 攻击者如何利用PDF？ 最近的一次攻击冒充了微软，使用了诸如“薪资调整”之类的诱饵主题行，时间点特意选在各组织可能发生晋升或绩效变动的时期。 该PDF看起来像一份标准的人力资源文件，足以让受害者相信并扫描其中的二维码，该二维码会将他们重定向到一个窃取凭证的网站。Dropbox也常被用作分发恶意PDF的平台。 然后是电话导向攻击（TOAD）。这些钓鱼PDF的目的不是让受害者简单地点击链接——而是通过电话对他们进行钓鱼。骗子通常会发送关于账单错误、可疑活动或订阅续费的信息，并包含一个“客服”电话号码。 这些邮件诈骗中使用的大多数电话号码是网络电话（VoIP）号码，追踪到真实个人或物理位置的难度远高于普通固话。 骗子还滥用Adobe电子签名服务等合法平台。2025年4月至5月期间，Talos发现了通过Adobe系统发送的PDF，冒充PayPal等品牌。 PDF也是二维码钓鱼的绝佳载体，而二维码钓鱼当下正大行其道。这些二维码通常冒充微软或Adobe等公司。 此外，还有一种危险策略是滥用PDF文件中的注释功能。PDF可以在评论、便签或表单域等地方隐藏链接。所有这些区域都会被许多扫描器忽略。 攻击者还会在文件中填充无关文本来混淆检测引擎。在某些情况下，他们会嵌入两个URL：一个看起来是干净的（用于建立信任），另一个隐藏的URL则会将你带到真正的钓鱼页面。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文