HackerNews

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国主要票务平台及在线图书零售商Yes24遭遇勒索软件攻击，导致该国娱乐产业陷入混乱——根据当地媒体报道，此次攻击迫使大量活动取消或延期，主办方正紧急应对持续的服务中断。本次攻击发生于周一（6月9日）凌晨，致使Yes24网站及服务连续四天瘫痪，在线演唱会预订、电子书访问和社区论坛功能均告中断。公司声明目标在6月15日前全面恢复运营。 韩国隐私监管机构“个人信息保护委员会”已启动调查，本次事件可能导致客户数据泄露。当局表示将审查Yes24是否履行了韩国数据隐私法规定的法律义务。 当地媒体报道称，Yes24服务中断引发连锁反应。包括朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I在内的多位韩流明星预售及粉丝活动已被推迟或取消。《廊桥遗梦》《阿拉丁》等音乐剧制作方要求观众出示纸质门票或邮件确认函入场。据报道，本周初因无法提供可验证票务信息，部分观众遭拒入场。 Yes24周三声明称已重新掌控管理员账户，正努力恢复其他服务。攻击者身份目前尚未明确。该公司表示尚未确认个人信息外泄，但已向韩国数据隐私机构报告涉及客户数据未授权访问的可疑活动。 “若后续调查证实个人信息泄露，我们将立即通知用户。”Yes24在官网公告中声明。票务平台因存储海量个人数据、处理高额支付流水，且面临避免活动中断与声誉受损的赎金支付压力，成为网络犯罪分子的高价值目标。在美国，黑客曾针对StubHub和Ticketmaster等平台发动攻击，尤其意图干扰泰勒·斯威夫特“时代巡回演唱会”门票销售。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织宣称窃取6400万条T-Mobile用户数据，包含税务ID、设备识别码等新型敏感字段，数据时效截至2025年6月1日。若属实，这将成为T-Mobile近五年内第9次重大数据泄露。 T-Mobile在美国拥有约1.31亿客户，2024年营收超810亿美元。其多数股权由欧洲最大、全球第五大电信运营商德国电信持有。 与此同时，Cybernews研究团队分析了帖子附件中的数据样本。研究人员称，该样本于东部时间凌晨2点左右上传，包含大量敏感细节： 全名 出生日期 税务ID 完整地址 电话号码 电子邮箱地址 设备唯一识别码 网站行为追踪码 IP地址 威胁行为者可利用这些被盗信息实施身份盗窃、金融诈骗和钓鱼攻击。例如，恶意行为者可能使用个人详细信息开设欺诈账户、提交虚假纳税申报或申请贷款。同时，设备识别码、网站行为追踪码与IP地址的组合，可被用于收集用户数据、分析其在线习惯。攻击者利用此类情报对高价值目标实施鱼叉式钓鱼攻击。 研究团队无法准确判定黑客宣称窃取的6400万条记录是否对应同等数量的独立个体。Cybernews个人数据泄露检查工具显示，样本中至少部分邮箱地址曾出现在T-Mobile历史泄露事件中。团队还指出，本次泄露似乎包含此前未出现的数据类型（如电话号码），但目前无法100%验证数据真实性。 “若数据属实，暴露6400万条高度敏感信息将引发严重的身份盗窃/欺诈、监控及更精准的客户定向攻击风险，”研究团队表示。若泄露数据确属新增，受影响个人将面临严峻隐私威胁。“T-Mobile屡次发生数据泄露事件，这令人质疑其持续性安全漏洞及防护措施的有效性。” 德国电信旗下的T-Mobile在2020年代屡遭黑客攻击。去年10月，该公司因系列数据泄露事件同意支付超1575万美元罚款。和解协议覆盖四起独立事件，其中两起导致数千万客户数据暴露： 2021年8月事件影响7660万客户 2023年1月事件泄露3700万用户详细信息 和解还涉及2022年攻击者访问T-Mobile管理平台的事件，以及2023年攻击者窃取账户凭证查看特定客户数据的事件。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全监督组织公民实验室（Citizen Lab）披露，美国监控公司Paragon制造的间谍软件近期锁定了第二名意大利记者，这使已导致意大利总理焦尔吉娅·梅洛尼政府与Paragon终止合作的监控丑闻再添新疑点。 公民实验室在周四发布的报告中指出，调查记者西罗·佩莱格里诺（Ciro Pellegrino）的iPhone存在遭Paragon精密间谍软件攻击的证据。佩莱格里诺供职于网络媒体Fanpage，该媒体主编弗朗切斯科·坎切拉托（Francesco Cancellato）此前已公开表示，他是2025年1月收到WhatsApp间谍软件攻击警报的数十名用户之一。 Fanpage持续发布针对梅洛尼政府的批评性报道，尤其曾揭露其政党青年分支与新纳粹活动关联的独家新闻。该媒体记者遭监控的指控在意大利国内引发巨大争议。本周一，意大利政府与Paragon宣布终止合作，但双方对解约责任各执一词。 面对质询，Paragon援引其向以色列媒体《国土报》提供的声明称，曾向意大利当局提供验证系统是否被滥用的方案，但遭政府拒绝。 意大利政府未回应路透社就公民实验室报告提出的置评请求。佩莱格里诺在那不勒斯通过短信向路透社表示，发现自己成为间谍软件目标的感觉“极其可怕”，并强调手机是“存储个人健康数据、新闻来源等一切信息的生命黑匣子”。 意大利议会安全委员会（COPASIR）6月9日报告称，情报部门曾在执法工作中使用Paragon工具截获移民海上救援活动人士的通信，但“未发现针对Fanpage主编坎切拉托实施监控的证据”。人权组织“现在访问”（Access Now）高级律师纳塔利娅·克拉皮瓦指出：“佩莱格里诺的受害事实，严重质疑了议会调查的充分性。”该委员会未回应质询，仅表示保留进一步调查权。 公民实验室报告同时提到一名遭Paragon间谍软件攻击的欧洲记者（匿名），但以“保护隐私”为由拒绝透露其身份及攻击细节。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国主要财产保险公司伊瑞保险（Erie Insurance）近日向监管机构及客户通报了一起网络安全事件及相关网络瘫痪。作为财富500强企业，该公司拥有超7000名员工和14000名代理人，其母公司伊瑞赔偿公司（Erie Indemnity Company）去年营收近40亿美元，目前持有超600万份有效保单。 然而，该公司昨日警告客户称，因上周六（6月7日）确认的“信息安全事件”导致“持续网络瘫痪”。公司官网公告声明： “6月7日星期六，伊瑞保险信息安全团队发现异常网络活动。我们立即采取行动应对此情况以保护系统和数据。自周六起，我们持续实施防护措施保障系统安全。 停电期间，伊瑞保险不会致电或发送电子邮件要求客户付款。最佳做法是：勿点击未知来源链接，勿通过电话或电子邮件提供个人信息。” 后一项提示表明，该公司担忧网络犯罪分子可能已获取客户数据，或正利用本次事件发起钓鱼攻击。 美国证券交易委员会文件显示，除已通报执法部门及正在执行事件响应协议外，暂无其他进展说明： “公司持续采取防护措施，并在领先第三方网络安全专家协助下开展全面的取证分析，以彻底查明事件全貌。鉴于事件发生时间较短，调查与响应仍在进行中，事件完整范围、性质及最终影响尚不明确。” 尽管具体细节未明，此次网络瘫痪极可能是该公司为遏制攻击影响范围而主动采取的隔离措施。鉴于保险公司持有大量敏感客户数据，它们已成为网络攻击的高频目标。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。 企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。” TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。 虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。 按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。” 此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Infoblox在一份提供给The Hacker News的深度报告中披露，VexTrio Viper流量分发系统（Traffic Distribution Service, TDS）背后的威胁行为者已被证实与其他TDS服务（如Help TDS和Disposable TDS）有关联。这表明该复杂的网络犯罪行动本身就是一个庞大的企业，旨在分发恶意内容。 “VexTrio是一个由恶意广告技术公司组成的团体，它们通过不同的广告形式（包括智能链接和推送通知）分发诈骗和有害软件。”Infoblox在报告中指出。 VexTrio Viper旗下的部分恶意广告技术公司包括Los Pollos、Taco Loco和Adtrafico。这些公司运营着所谓的商业联盟网络（commercial affiliate network），该网络将恶意软件行为者（其网站会吸引毫无戒心的用户访问）与所谓的“广告联盟会员”（advertising affiliates）连接起来。后者提供各种形式的非法活动，如礼品卡欺诈、恶意应用程序、网络钓鱼网站和诈骗活动。 运作模式解析 简而言之，这些恶意流量分发系统旨在通过智能链接（SmartLink）或直接报价（direct offer）将受害者重定向至其目的地。根据该DNS威胁情报公司的说法，Los Pollos招募恶意软件分发者（即发布联盟会员/publishing affiliates），承诺提供高回报报价；而Taco Loco则专注于推送变现（push monetization），并招募广告联盟会员。 WordPress网站成为跳板 这类攻击的另一个显著特点是WordPress网站被攻陷，并被注入恶意代码以启动重定向链，最终将访问者引导至VexTrio的诈骗基础设施。此类注入的示例包括Balada、DollyWay、Sign1以及DNS TXT记录活动。 域名注册商GoDaddy在2025年3月发布的一份报告中指出：“这些脚本通过关联VexTrio的流量代理网络将网站访问者重定向到各种诈骗页面。VexTrio是已知最大的网络犯罪联盟网络之一，它利用复杂的DNS技术、流量分发系统和域名生成算法在全球网络中传播恶意软件和诈骗。” 打击行动与后续变化 VexTrio的运营在2024年11月中旬左右遭受打击。此前，网络安全组织Qurium揭露瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分，导致Los Pollos停止了其推送链接变现服务。这进而引发了“出逃潮”，严重依赖Los Pollos网络的威胁行为者被迫转向其他重定向目的地，例如Help TDS和Disposable TDS。 两个独立C2集群的行为演变 Infoblox对来自受感染网站的450万条DNS TXT记录响应进行了为期六个月的分析。分析显示，参与DNS TXT记录活动的域名可分为两个集合，每个集合拥有各自独立的命令与控制（C2）服务器。 “两台服务器都托管在与俄罗斯有关联的基础设施上，但它们的托管服务及其TXT响应内容并无重叠，”该公司表示。“即使两者最初都指向VexTrio，随后又指向Help TDS，但每个集合都维持着不同的重定向URL结构。” 进一步的证据表明，Help TDS和Disposable TDS实际上是同一个服务。并且，在2024年11月之前，该服务与VexTrio保持着“独家关系”。历史上将流量重定向至VexTrio域名的Help TDS，现已转向Monetizer——一个利用TDS技术将发布联盟会员的网络流量与广告商连接起来的变现平台。 Help TDS的俄罗斯背景 “Help TDS与俄罗斯有紧密联系，其托管和域名注册经常通过俄罗斯实体完成，”Infoblox描述道，并称其运营商可能是独立的。“它不具备VexTrio TDS的完整功能，并且除了与VexTrio诡异的联系外，没有明显的商业往来。” 恶意广告技术公司生态 VexTrio只是众多被揭露为商业广告技术公司的TDS之一，其他还包括Partners House、BroPush、RichAds、Admeking和RexPush。其中许多公司专注于推送通知服务，利用Google Firebase Cloud Messaging (FCM) 或基于Push API定制开发的脚本，通过推送通知分发指向恶意内容的链接。 规模与追责困境 Infoblox强调：“全球每年有数十万个被入侵的网站将受害者重定向到VexTrio及其联盟TDS的复杂网络中。VexTrio和其他联盟广告公司知道恶意软件行为者是谁，或者他们至少掌握足够的信息来追踪这些人。许多公司都在要求某种程度‘了解你的客户’（Know Your Customer, KYC）的国家注册，但即使没有这些要求，发布联盟会员也会受到其客户经理的审查。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Bitsight近日发布警报，全球超过40,000台监控摄像头正通过互联网暴露实时画面，任何知晓其IP地址的用户均可通过网页浏览器直接访问这些设备的直播流。这些设备因采用HTTP或RTSP（实时流传输协议）运行，已成为网络攻击、间谍活动、敲诈勒索及恶意监控的意外工具。 技术原理与设备分类 HTTP摄像头 主要采用标准网络技术传输视频，常见于家庭及小型办公场所。部分设备完全暴露于公网，攻击者可直连管理界面获取视频流；另有设备虽需认证，但若通过API接口提交正确URI参数，仍能获取实时画面截图。 RTSP摄像头 专为低延迟连续视频传输设计，多用于专业安防系统。该类设备虽更难被识别，但研究人员发现其仍能响应通用URI请求并返回实时截图。 地域与行业分布 重灾区国家： 美国（超14,000台）居首，日本（约7,000台）次之；奥地利、捷克、韩国（各约2,000台）；德国、意大利、俄罗斯（各约1,000台）。 美国境内热点：加利福尼亚州、得克萨斯州设备最多，佐治亚州、纽约州、密苏里州、马萨诸塞州及佛罗里达州亦属高暴露区域。 行业风险层级： 电信业占比79%（主因家庭监控设备关联用户宽带IP） 科技行业（28.4%） 媒体/娱乐业（19.6%） 公共事业机构（11.9%） 商业服务（10.7%） 教育机构（10.6%） 潜在威胁与黑产利用 暗网论坛监测显示，黑客正积极搜寻暴露设备。这些摄像头不仅直接威胁个人隐私（如办公室、工厂、酒店等场所画面遭窥视），更可能被卷入僵尸网络，或成为渗透企业内网的攻击跳板。研究团队已发现设备覆盖餐厅、健身房、零售店等多种敏感场景。 Bitsight强调用户需立即采取以下行动： 强化网络认证：更换设备默认登录凭证，启用强密码策略 控制访问权限：关闭非必要的远程访问功能 系统持续更新：定期升级摄像头固件修补漏洞 异常行为监控：审计设备登录日志，排查可疑访问 公司警示：“无论是家庭用户还是企业管理者，采取正确防护措施将决定监控画面属于私人领域还是向全世界公开。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列研究人员近日发现一种名为“SmartAttack”的新型数据窃取技术，该技术利用智能手表作为隐蔽的超声波信号接收装置，从物理隔离的气隙系统中窃取数据。气隙系统广泛应用于政府设施、武器平台和核电站等关键任务环境，通过物理隔绝外部网络来防范恶意软件感染和数据窃取。尽管如此，系统仍面临内部人员威胁（如恶意员工使用USB设备）或国家级供应链攻击的渗透风险。 攻击流程分为三个阶段： 系统渗透 攻击者首先需通过U盘植入等方式使气隙系统感染恶意软件，该程序可窃取键盘记录、加密密钥等敏感信息。 超声波信号传输 恶意软件通过计算机内置扬声器发射18.5kHz（代表“0”）和19.5kHz（代表“1”）的超声波信号，采用二进制频移键控（B-FSK）技术将数据编码为声波。此频率超出人耳听觉范围，但可被附近人员佩戴的智能手表麦克风捕获。 数据外泄 智能手表上的监听程序通过信号处理技术解调声波频率，将二进制数据还原。窃取的信息最终通过手表蓝牙、Wi-Fi或蜂窝网络传输至外部攻击者。攻击可能由恶意员工主动配合实施，也可能在用户不知情时通过感染手表完成。 攻击性能与局限 传输距离：受限于智能手表麦克风的低信噪比特性，有效传输距离为6-9米（20-30英尺），且手表需与计算机扬声器保持视线无障碍 传输速率：实际速率仅5-50比特/秒，速率提升或距离增加将显著降低可靠性 环境干扰：键盘敲击等背景噪音会影响信号接收（参见图示） 防御建议 设备管控：在安全敏感区域全面禁用智能手表 硬件改造：移除气隙系统内置扬声器，彻底消除声学攻击面 技术防护：采用超声波干扰（发射宽带噪声）、软件防火墙或音频隔离技术作为补充方案 该研究由以色列本·古里安大学的Mordechai Guri教授团队主导。Guri此前还开发过利用屏幕噪声、内存调制、LED信号、USB射频等物理介质的数据窃取技术。尽管此类攻击在实施层面存在较高难度，但其创新性揭示了物理隔离系统的潜在脆弱性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp于周三宣布，将介入苹果公司与英国政府之间的法律诉讼案，该案争议焦点在于iPhone制造商是否应被迫保留对其用户iCloud账户内容的访问权限，以满足法律搜查令要求。此案源于今年四月英国调查权力法庭（该国唯一可审理特定国家安全案件的法院）的裁决，该裁决确认苹果正就一项秘密法律命令起诉英国政府。 WhatsApp负责人威尔·卡思卡特声明，已“申请介入本案，以保护全球用户的隐私”。他批评道：“自由民主国家本应为其公民提供最佳安全保障，但英国却通过秘密命令背道而驰。此案可能树立危险先例，助长各国破坏保护私人通信的加密技术。”卡思卡特强调：“WhatsApp将挑战任何试图削弱服务加密机制的法律或政府要求，并继续捍卫人们在线私人对话的权利”。 据广泛报道，英国政府此前向苹果发出“技术能力通知”（TCN），要求其停止部署“高级数据保护”功能。这项可选功能将使iCloud存储内容实现端到端加密，导致苹果即使收到合法搜查令也无法向当局提供数据访问权限。英国政府依政策既不证实也不否认具体法律要求的存在。苹果随后于二月关闭了对英国用户的该功能，但未说明具体原因。 虽然法律未禁止报道TCN存在，但通知对象被要求不得披露内容，违者可能面临刑事诉讼（尽管对该法律解释存在争议）。《华盛顿邮报》一月曝光该TCN时，曾将其描述为“允许英国当局获取全球苹果用户云端数据的后门”，但依据法规，TCN实际功能与此不符。尽管存在潜在误读，英国政府未回应外界对其法律通知隐私影响的担忧。 专家（包括英国情报界内部人士）主张，政府访问加密通讯平台的尝试应更透明。学者认为英国内政部持续“不承认也不否认”的态度既不可持续也不合理。四月法庭裁决后，政府发言人首度回应舆论质疑：“技术能力通知本身不直接提供数据访问权限，仍需配合针对性搜查令和授权。其目的仅是确保现有权力可有效行使，纯粹是为打击严重犯罪追捕罪犯，不影响对言论自由的承诺。” 英国政府此前指责苹果部署高级数据保护功能属“单方面行动”，将“阻碍恐怖主义和严重虐童案件调查，严重危及公共安全”。调查权力法庭目前尚未公布本案后续审理时间表。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Roundcube关键远程代码执行漏洞（CVE-2025-49113）补丁发布数日后即遭利用，全球超80,000台服务器受影响。该流行网页邮件平台长期遭APT28、Winter Vivern等高级威胁组织锁定，攻击者惯用此类漏洞窃取登录凭证并监控敏感通信，凸显未修复系统（尤其高价值目标）持续面临严峻风险。 此CVSS评分高达9.9的关键漏洞潜伏十余年后于上周曝光，攻击者可借此完全控制受感染系统执行恶意代码，致使用户及机构陷入重大危机。漏洞发现者FearsOff创始人基里尔·菲尔索夫评估其影响超5,300万台主机（涵盖cPanel、Plesk等管理工具）。美国国家标准与技术研究院（NIST）公告指出：“Roundcube Webmail 1.5.10之前版本及1.6.x系列1.6.11之前版本存在安全隐患，因program/actions/settings/upload.php未验证URL中的_from参数，导致经身份验证的用户通过PHP对象反序列化实现远程代码执行。” 该漏洞已在1.6.11与1.5.10 LTS版本修复。漏洞披露后，Positive Technologies团队成功复现攻击链，强烈建议用户立即升级。Shadowserver基金会监测显示，目前仍有约84,000个暴露于公网的Roundcube实例未打补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mount Rogers社区服务机构（心理健康服务提供商）出现在勒索团伙INC Ransom的暗网泄密网站上，攻击者宣称从其系统中窃取了大量隐私数据。勒索组织选择攻击目标时往往毫无顾忌，此次受害的Mount Rogers主要提供心理健康、发育障碍及药物滥用治疗服务。 本媒体已联系Mount Rogers机构寻求回应，将在获得回复后更新进展。网络犯罪分子常以泄露窃取数据胁迫支付赎金，为证实攻击有效性，威胁者公开了部分样本数据。经Cybernews研究团队核验，泄露样本包含以下内容： 姓名、住址 薪资单、发票单据 个人邮箱、内部通讯及保密协议 研究人员指出，尽管数据敏感性有限，但攻击者可利用这些信息实施网络钓鱼或身份盗窃。薪资单和内部文件可能被用于社会工程攻击，进一步渗透企业系统，此次泄露或将严重损害机构声誉并引发法律风险。 心理健康服务机构近期频遭针对性攻击： 行为健康中心Community Counseling of Bristol County（CCBC）此前遭入侵导致敏感健康信息泄露 本月初佐治亚州心理卫生协会（MHA）被攻破，患者诊断记录及处方药物信息遭窃 INC Ransom是当前最活跃的勒索组织之一： 2023年7月首次现身，攻击目标持续升级 受害者涵盖美国国防承包商Stark AeroSpace、旧金山芭蕾舞团、英国莱斯特市政府、苏格兰邓弗里斯-加洛韦卫生委员会及施乐公司 据Cybernews暗网监测工具Ransomlooker统计，过去12个月累计攻击163家机构       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Malwarebytes最新研究显示，近半数（44%）移动用户每日遭遇诈骗威胁，多数用户担忧重要文件丢失及生产力损失。该公司对美国、英国、奥地利、德国和瑞士的1300名成年人开展调查并发布《点击、滑动、诈骗》报告。 尽管报告聚焦个人安全威胁，但鉴于大量企业允许自带设备（BYOD），这些风险正持续向企业领域蔓延。数据显示美国（51%）和英国（49%）用户风险暴露率最高。 核心发现： 识别难度激增 66%受访者承认难以辨别诈骗与合法通讯，超三分之一（36%）曾因此受害，近五分之一（36%）遭遇过恶意软件感染。 攻击渠道分布 主要威胁渠道包括：电子邮件（65%）、电话（53%）、短信（50%）、社交媒体（47%）、即时通讯软件（40%）及交易平台（36%）。 社会工程主导 53%用户遭遇过社交工程攻击，其中19%受害。这与Zimperium研究相印证：2024年9月数据显示82%钓鱼网站针对移动设备，同年8月每日移动钓鱼攻击峰值超1000次。 勒索威胁蔓延 37%用户遭遇勒索类威胁，17%实际受害，具体包括：勒索软件（25%）、性勒索（24%）、深度伪造诈骗（20%）。值得注意的是，18%用户经历过虚拟绑架威胁。 心理创伤加剧： 75%受害者遭受心理伤害，其中心理健康问题占比46%，勒索骚扰达25%。Malwarebytes高级隐私倡导者David Ruiz指出：“移动威胁既是技术问题，更是人身安全问题。随着深度伪造与AI技术被犯罪者利用，我们需超越意识培养，为用户配备防护工具与知识。数字生活不该以诈骗为代价——无需感到羞耻，我们应让民众自信识别、阻断并举报任何隐私性诈骗。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国立法者向国会提交了一项新的《医疗网络安全法案》，旨在扩大联邦政府在预防和应对美国公民医疗数据泄露事件中的职能范围。 众议员杰森·克罗（民主党，科罗拉多州）于6月10日牵头提出这项两党共同支持的法案，旨在应对美国激增的医疗数据泄露事件。2025年1月披露的数据显示，仅2024年因Change Healthcare勒索软件攻击就导致1.9亿美国公民的个人及医疗数据记录遭受影响，该事件还严重扰乱了患者护理服务。 该法案明确规定网络安全和基础设施安全局（CISA）与美国卫生及公众服务部（HHS）需开展协作，共同提升医疗保健和公共卫生部门的网络安全防护能力。具体合作内容包括： 推动机构间网络威胁情报共享，深化对医疗领域网络风险的理解 CISA为医疗机构所有者及运营方提供风险应对培训 HHS与CISA联合制定针对医疗行业的风险管理计划，评估政府在数据泄露事件全周期中对相关技术、服务及公共设施的安全支持方案 建立医疗领域高风险资产的客观评估标准，并通知相关资产所有者及运营方 CISA定期向国会提交其为医疗和公共卫生部门主动防范网络威胁所提供的支持及行动报告 共同提案人布赖恩·菲茨帕特里克（共和党，宾夕法尼亚州）强调：“这项两党法案采取直接战略行动：授权CISA与HHS开展实时威胁信息共享，扩大医疗服务提供者的网络安全培训，设立专职联络官强化响应机制。我们不仅应对攻击，更在构建防御基础设施以保护患者隐私，捍卫国家安全的生命线。” 2025年1月，HHS宣布计划更新《1996年健康保险流通与责法案》（HIPAA）安全规则，要求医疗服务提供方对受保护的健康信息（PHI）实施强化安全措施，包括为受监管实体设定特定级别的系统访问认证标准，并强制要求持续测试安全防护机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，近期出现针对Apache Tomcat Manager接口的“协同暴力破解活动”。 该公司指出，2025年6月5日观察到暴力破解和登录尝试激增，表明这可能是“大规模识别和访问暴露Tomcat服务”的有组织行动。当日共发现295个独立IP地址参与针对Tomcat Manager的暴力破解尝试，均被归类为恶意地址。过去24小时内记录到188个独立IP，主要位于美国、英国、德国、荷兰和新加坡。 同期还监测到298个独立IP对Tomcat Manager实例发起登录尝试。过去24小时标记的246个IP地址均属恶意，来源地相同。攻击目标同期覆盖美国、英国、西班牙、德国、印度和巴西。GreyNoise强调大部分活动源自DigitalOcean（ASN 14061）托管的基础设施。 “尽管未关联特定漏洞，此行为表明暴露的Tomcat服务持续受到关注”，该公司补充道，“此类广泛的投机活动通常是未来攻击的前兆。” 建议暴露Tomcat Manager接口的组织实施强认证和访问限制，并监控可疑活动迹象。 此披露之际，Bitsight公司发现互联网上暴露超4万台监控摄像头，可能允许任何人通过HTTP或实时流协议（RTSP）访问实时视频。暴露设备集中在美国、日本、奥地利、捷克和韩国。电信行业占暴露摄像头的79%，其次是科技（6%）、媒体（4.1%）、公用事业（2.5%）、教育（2.2%）、商业服务（2.2%）和政府（1.2%）。这些设备分布在住宅、办公室、公共交通系统和工厂等场所，无意中泄露敏感信息，可能被用于间谍活动、跟踪和勒索。 建议用户修改默认账户密码，非必要则禁用远程访问（或通过防火墙和VPN限制访问），并保持固件更新。“这些用于安保或便利的摄像头，无意间成为敏感空间的公开窗口，且所有者往往毫不知情”，安全研究员João Cruz在报告中表示，“无论安装目的为何，设备即插即用的简易性正是威胁持续存在的主因。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 全球知名航运代理集团S5 Agency World据称遭勒索软件组织攻击。攻击者宣称窃取近140GB数据，该公司名称已被公布在勒索团伙用于展示受害者的暗网泄露站点。网络犯罪组织借此施压受害企业支付赎金，以防数据被公开。 S5作为海运代理企业，业务覆盖全球360多个港口。这家总部位于伦敦的公司为航运公司提供船舶靠港期间的本地代理服务。攻击者为佐证其说辞，公布了据称窃取数据的部分截图。网络安全研究团队核查样本后确认数据真实性。 泄露样本包含检验报告、员工新冠疫苗接种记录、护照复印件及内部文件等，但实际失窃文件总量可能远超样本范围。海运关键企业历来是黑客重点目标，其业务停摆将引发供应链瓶颈并严重影响客户——船舶代理等机构尤其无法承受网络攻击导致的运营中断。 勒索组织“Bert”系2025年4月新出现的团伙，隶属于新兴网络犯罪联盟。监测数据显示，2025年第一季度活跃勒索组织激增至65个，而“Bert”在短期内已入侵十余家机构。研究指出该团伙通过合法软件供应链投递恶意程序，主要针对医疗和科技领域，专家警告其适应力可能演变为更大威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织FIN6近期采用新型社交工程攻击手段，通过伪装求职者身份瞄准招聘人员。该组织（又名“Skeleton Spider”）早期以攻陷POS系统窃取信用卡信息著称，2019年起拓展勒索软件攻击业务，近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。 DomainTools最新报告显示，FIN6颠覆传统招聘诈骗模式，以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系，继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL（如bobbyweisman[.]com等匿名注册域名），攻击者使用AWS云服务托管规避安全工具检测。 攻击链包含精密规避机制： 实施环境指纹识别，拦截VPN/云连接及Linux/macOS访问者，仅向目标展示无害内容。 通过验证的受害者会遭遇虚假验证码环节，随后下载伪装成简历的ZIP压缩包。 压缩包内藏Windows快捷方式（LNK）文件，执行脚本下载“More_eggs”后门。 该后门由威胁组织“Venom Spider”开发，具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求，企业应通过独立渠道核实求职者背景信息。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 密尔沃基工具箱或勃肯凉鞋半价促销？研究人员发现涉及数十个知名品牌仿冒、涵盖超4000个域名的庞大虚假市场诈骗网络。诈骗者正在社交媒体大量投放广告。 威胁分析机构Silent Push发现了一个名为“幽灵供应商”（GhostVendors）的巨型虚假市场网络。该网络包含超过4000个仿冒亚马逊、Argos、开市客、诺德斯特龙、劳力士、勃肯等品牌的诈骗网站。 这些网站通过Facebook Marketplace广告推广，广告痕迹在活动结束后自动消失。研究人员警告称，诈骗者利用现有Meta政策隐藏行踪：通过欺诈广告侵害各大品牌权益后彻底删除广告内容。报告指出：“威胁团伙投放恶意广告数日后便停止活动，导致所有广告痕迹从Meta广告库中清除。Meta政策规定，仅当广告处于活动状态时才会保留记录。” 与其他类似骗局相同，网络罪犯以超低价商品诱骗消费者。某案例中，诈骗者用“Millaeke”名称仿冒密尔沃基工具品牌，广告展示正品工具箱图片并标注129美元价格，推广域名wuurkf[.]com。其他广告则使用“清仓”“节日促销”等话术，诱导用户访问恶意网站。该团伙常克隆网站模板批量生成仿冒站点。 Silent Push警告称，黑客利用这些欺诈网站实施多种财务诈骗：“通过不发货或窃取支付信息达成欺诈目的”。但报告重点指出，因Meta宽松的广告数据留存规则，防御者追踪此类活动面临巨大挑战——诈骗者采用闪电式启动-停止策略逃避监测。研究人员强调：“目前无法在该网络实现恶意广告的全面追踪。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文