HackerNews

HackerNews 编译，转载请注明出处： 安全研究团队在TLS证书中发现异常痕迹后，揭露了令人不安的事实：美国数百家水务公司的控制室操作面板暴露在公共互联网上，其中数十套系统无需密码即可完全控制水泵、阀门和化学药剂投加设备。 事件始于2024年10月，网络安全公司Censys例行扫描工业控制系统时，发现多台主机部署的证书中嵌有“SCADA”（监控与数据采集系统）字样。进一步调查显示，这些设备均运行同一款冷门浏览器端人机交互平台。研究人员获取实时操作界面截图时，目睹了水处理厂的动态流程画面：水箱液位波动、氯气泵启停状态切换、警报信号实时闪烁。 通过解析网页标题标签，团队确认所有暴露系统均属于市政水务设施，并依据访问权限划分为三类：需凭证认证（Authenticated）、仅可查看（Read-only）以及最危险的完全开放（Unauthenticated）。Censys在报告中指出：“40套系统处于完全开放状态，任何拥有浏览器的攻击者都能实施操控。” 由于涉及公共基础设施，该公司打破常规逐项披露流程，直接将包含IP地址、端口及地理位置信息的完整清单批量提交给美国环保署（EPA）和涉事软件商。九天内，24%的暴露系统完成防火墙加固或安全升级；一个月后，随着厂商发布多因素认证指南，防护率提升至58%。截至2025年5月的最新扫描，暴露系统已从最初的300余套降至不足20套。 此事件促使美国政府于去年末紧急发布警报，要求水务机构加强防护面向互联网的人机交互界面（HMI）。美国环保署和网络安全局（CISA）联合技术文件明确警告：“黑客已多次利用暴露的HMI漏洞——例如2024年亲俄黑客曾篡改水务设备参数，导致水泵和鼓风设备超负荷运行。”这些控制界面通常作为监控系统的延伸组件，使操作人员能远程管理工业设备，但配置缺陷可能引发灾难性后果。       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国税务海关总署（HMRC）近日披露，犯罪团伙通过钓鱼手段盗用超过10万个纳税人账户，并利用这些账户向政府提交虚假退税申请，导致4700万英镑（约合6400万美元）资金被非法提取。HMRC首席执行官约翰-保罗·马克斯6月4日向议会财政委员会表示，该事件源于攻击者通过钓鱼活动或外部数据泄露获取个人信息，而非HMRC系统遭到入侵。 受影响的纳税人将在三周内收到通知信函，其账户已被临时锁定并清除异常登录信息。马克斯强调，所有受影响的纳税人不会因此承担经济损失，HMRC已从税务记录中删除错误申报信息。数据显示，HMRC去年成功拦截了犯罪分子试图窃取的19亿英镑资金，实际损失金额仅占攻击总额的2.5%。 HMRC副首席执行官安吉拉·麦克唐纳指出，诈骗者利用被盗身份信息创建或劫持在线账户，通过高度组织化的犯罪网络实施欺诈。尽管当局未透露具体攻击手法，但网络安全专家推测这可能涉及信息窃取软件感染或社工攻击。目前相关刑事调查仍在进行，部分嫌疑人已于去年被逮捕。 税务部门发言人重申，此次事件属于“利用外部获取的个人信息实施欺诈”，并非针对HMRC系统的网络攻击。该机构正与执法部门合作追回被盗资金，并建议纳税人警惕可疑邮件、短信及电话，避免在非官方渠道提交敏感信息。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌6月4日（周三）披露，黑客正诱骗欧美企业员工安装篡改版Salesforce关联应用，借此窃取海量数据、入侵企业云服务并实施勒索。 谷歌威胁情报小组追踪为UNC6040的黑客组织“在诱骗员工方面特别有效”。研究人员称，该组织诱导员工安装篡改版Salesforce数据加载器（Data Loader）——该专有工具通常用于批量导入Salesforce环境数据。黑客通过语音电话诱骗员工访问伪装的Salesforce关联应用设置页面，诱导其批准黑客仿制的未授权篡改应用。 若员工安装该应用，黑客将获得“从受侵Salesforce客户环境直接访问、查询和窃取敏感信息的强大能力”。研究人员指出，此类访问权限常使黑客能在客户网络内横向移动，进而攻击其他云服务及内部企业网络。 谷歌旗下Mandiant在X平台警示称：“企业准备好应对语音钓鱼了吗？UNC6040是以经济利益驱动的威胁集群，专门通过语音钓鱼（vishing）入侵企业Salesforce系统实施大规模数据窃取。” 该活动技术基础设施与松散犯罪生态系统“The Com”存在关联特征。谷歌发言人向路透社透露，过去数月约有20家机构遭UNC6040攻击，其中部分机构数据已被成功窃取。Salesforce发言人则声明：“无证据表明该问题源于平台固有漏洞”，并强调这是“针对个人网络安全意识漏洞的社会工程骗局”。 该发言人拒绝透露具体受影响客户数量，但表示“仅涉及少数客户，并非普遍性问题”。实际上，Salesforce早在2025年3月就预警过语音钓鱼攻击及篡改版数据加载器的滥用风险。 上月，可口可乐欧洲太平洋合作伙伴（CCEP）的64GB数据遭泄露。业内人士怀疑攻击者并非直接入侵可口可乐系统，而是通过该公司Salesforce账户获取数据。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部6月4日宣布查获与非法信用卡交易平台BidenCash相关的加密货币资产及约145个明网与暗网域名。该平台通过简化盗刷信用卡及关联个人信息交易流程牟利，每笔交易收取手续费。 BidenCash于2022年3月上线，填补了Joker’s Stash等非法论坛关停后的市场空缺。据调查，该平台运营期间累计服务超11.7万用户，交易逾1500万张支付卡数据及个人信息，非法收益至少达1700万美元。为推广服务，2022年10月至2023年2月间曾免费泄露330万张信用卡信息，包含卡号、有效期、CVV码及持卡人住址等敏感数据。其中2023年2月泄露的210万张卡片中，半数归属美国实体。 该平台还以2美元低价兜售SSH入侵服务，提供目标服务器漏洞检测、算力定位等黑客工具包。网络安全公司CloudSEK曾警告，此类服务可能引发数据窃取、勒索软件攻击及非法挖矿等恶性事件。 本次行动由美国特勤局和联邦调查局主导，联合荷兰警方、暗影服务器基金会等国际机构实施。当局未披露查获加密货币具体价值及平台运营者身份信息。 此次打击行动前一周，国际执法机构刚查封4家提供反病毒规避服务的平台。另有一名35岁乌克兰籍黑客因入侵超5000个主机账户实施非法挖矿被起诉，其利用开源情报定位漏洞基础设施部署虚拟机的行为造成450万美元损失，最高面临15年监禁。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗相关黑客组织BladedFeline被确认为2024年初针对库尔德和伊拉克政府官员新一轮网络攻击的幕后黑手。该活动关联于ESET追踪的BladedFeline组织，中等置信度评估其为伊朗国家级网络行为体OilRig的子团队，自2017年9月针对库尔德地区政府(KRG)官员以来持续活跃。 斯洛伐克网络安全公司在技术报告中指出：“该组织开发恶意软件以维持并扩大对伊拉克及KRG内机构的访问权限。BladedFeline长期维持对库尔德外交官员的非法访问，同时利用乌兹别克斯坦地区电信提供商，并持续渗透伊拉克政府官员系统。” ESET于2024年5月首次披露BladedFeline，其APT活动报告详述了该组织针对伊拉克库尔德地区政府机构的攻击，以及最早可追溯至2022年5月对乌兹别克斯坦电信提供商的入侵。 2023年该组织使用Shahmaran后门攻击库尔德外交官员，该基础后门通过连接远程服务器执行操作者指令，实现文件上传下载、属性查询及目录操作等功能。去年11月，攻击者使用定制后门Whisper（又名Veaty）、Spearal和Optimizer针对伊拉克政府及驻外外交机构发动定向攻击。 ESET强调：“BladedFeline大量收集伊拉克组织的外交金融情报，表明伊拉克在伊朗政府战略目标中占据重要地位。同时，阿塞拜疆政府机构也是其重点目标。” 尽管入侵KRG的初始途径未明，但攻击者疑似利用互联网应用漏洞渗透伊拉克政府网络，并通过Flog网页木马维持持久远程访问。 恶意工具技术特征显示： Whisper后门：基于C#/.NET，通过入侵的Exchange邮箱以邮件附件形式与攻击者通信 Spearal后门：采用DNS隧道技术进行命令控制通信 Optimizer：Spearal的迭代版本，工作流与功能基本一致 Slippery Snakelet：2023年12月攻击中出现的Python植入程序，支持基础命令执行及文件传输 该组织还使用Laret和Pinar隧道工具维持网络访问，并部署恶意IIS模块PrimeCache。该被动后门通过监控预定义cookie结构的HTTP请求执行攻击指令并窃取文件，其功能与OilRig组织RDAT后门相似。 技术关联性方面：2017年在KRG受侵系统中发现的OilRig工具（RDAT及反向shell程序VideoSRV），结合Check Point 2024年9月关于OilRig使用Whisper/Spearal渗透伊拉克政府网络的报告，佐证了BladedFeline作为OilRig子团队的可能性（区别于另一子团队Lyceum）。 ESET另发现名为Hawking Listener的早期植入程序，通过指定端口运行cmd.exe指令。该公司总结称：“BladedFeline针对KRG和伊拉克政府实施网络间谍活动，旨在维持对高层官员的战略访问。库尔德地区丰富的石油储备及与西方外交关系，使其成为伊朗相关行为体的诱人目标；而在伊拉克的行动，可能是为反制美国入侵后西方国家的影响力。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国地方报业巨头Lee Enterprises披露，2月遭遇的网络攻击导致近4万人的社保号码泄露。该公司于5月28日确认敏感信息外泄后，于本周三向缅因州监管机构提交通报。 2月3日发现的网络攻击使Lee Enterprises耗费数周时间恢复。后续调查证实，黑客窃取了39,779人的敏感信息。该公司在致受害者信函中表示已向美国联邦调查局（FBI）报案，承诺“配合调查并采取必要措施追究攻击者责任”，同时为受影响人群提供一年期免费信用监测服务。 发动攻击的麒麟（Qilin）勒索软件团伙宣称窃取该公司350GB数据。该俄罗斯黑客组织以攻击英国医疗系统等恶性事件闻名，本次攻击导致Lee旗下《圣路易斯邮报》《亚利桑那每日星报》《布法罗新闻》等多家报纸印刷及数字业务瘫痪。 总部位于爱荷华州的Lee Enterprises拥有约350种周报及专业刊物，覆盖25个州的72个市场。其向美国证交会提交的文件证实，黑客不仅窃取文件，还加密了影响产品分发、账单处理及供应商付款的“关键应用程序”。“事件对公司财务状况可能产生实质性影响”，公司2月向监管机构表示，“取证分析仍在评估潜在损失”。 上月财报电话会议上，CEO凯文·莫布雷透露事件恢复成本达200万美元，并指出报纸长期停刊导致广告收入受损。为此公司债权人已豁免其3月及4月的利息与租金支付。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 谷歌警告称，专业从事语音钓鱼（vishing）攻击的黑客组织UNC6040正针对Salesforce客户发起大规模数据窃取与勒索活动。该组织通过电话伪装成IT支持人员，诱骗目标企业员工授权恶意应用访问其Salesforce门户。 攻击过程中，UNC6040引导受害者访问Salesforce连接应用设置页面，诱导其批准经恶意篡改的Data Loader应用（Salesforce官方数据导入工具）的未授权版本。一旦获得访问权限，攻击者即可窃取企业Salesforce环境中的敏感信息，并利用这些数据实施勒索——部分案例中勒索行为发生在入侵数月后。 谷歌强调：“此类访问权限不仅直接导致数据外泄，更常成为横向渗透的跳板，使攻击者得以入侵其他云服务及企业内部网络。” 观测发现UNC6040利用Data Loader工具窃取数据后，已横向移动至Microsoft 365、Okta及Workplace等平台。 谷歌指出，所有案例中UNC6040仅依赖社会工程学实现初始入侵，未利用Salesforce平台漏洞（Salesforce数月前已预警此类攻击）。本次持续数月的攻击已波及美洲和欧洲约20家机构，涵盖教育、酒店、零售等多领域，具有明显的投机性特征。 该组织声称与臭名昭著的ShinyHunters黑客团伙存在关联（谷歌推测实为虚张声势），试图借此向受害者施压。其攻击基础设施同时托管用于钓鱼Okta凭证的欺诈面板，通话中还会索要用户密码及多因素认证码。 谷歌溯源发现，UNC6040的攻击策略与黑客团体“The Com”（Scattered Spider隶属该组织）高度重合，包括：通过IT支持实施社会工程、窃取Okta凭证、重点针对跨国企业英语用户等。这反映出威胁行为体正将IT支持人员作为入侵企业数据的核心突破口，凸显出日益严峻的安全趋势。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 户外品牌The North Face的母公司VF户外公司披露，其零售网站4月遭受数据泄露影响近3000名客户。VF户外公司（旗下还拥有JanSport和Timberland品牌）在向美国佛蒙特州及缅因州提交的数据泄露通知函中称，公司于4月23日首次发现异常活动，确认2861个账户遭非法访问。 调查显示，攻击者对The North Face官网发起凭据填充攻击——利用从其他渠道窃取的账号密码组合侵入用户账户。“攻击者极可能通过非本公司渠道获取您的邮箱与密码，再利用相同凭据入侵官网账户。”VF户外公司在声明中解释。公司强调本次事件未涉及法定必须通报的敏感信息，当前通知纯属“出于充分谨慎的考量”。 遭窃数据涵盖用户在官网的购买记录、收货地址、全名、出生日期及电话号码。支付信息未受波及，因信用卡数据由第三方支付平台托管，官网仅保留无法在非官网场景发起交易的令牌。VF户外公司已强制重置所有账户密码，并提醒客户：若在多平台使用相同密码应立即修改。本次事件不提供身份保护服务。 此次事件是VF户外公司近年第二起同类事故——2022年该公司曾向缅因州报告另一起凭据填充攻击，致近20万客户信息泄露。值得关注的是，该公司还是美国证监会新规生效首日首家申报“重大勒索软件攻击”的企业：2023年12月的攻击曾严重扰乱其订单处理系统。 The North Face遇袭之际，英美多领域零售商正持续遭受黑客组织Scattered Spider长达数月的攻击。上周女性时尚品牌Victoria’s Secret因安全事件被迫推迟财报发布；本周二卡地亚向客户发出系统遭入侵警告；阿迪达斯、迪奥与蒂芙尼近两周亦接连公告客户及员工数据泄露。美国联邦调查局已就此向主要零售商发布网络安全情报简报——此前该组织攻击目标已从英国零售商玛莎百货、Co-op转向美国企业。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰军事情报局（HUR）宣称入侵了俄罗斯国有航空巨头图波列夫公司的内部系统，此前数日乌方刚对俄空军基地发动突袭式无人机打击。此次入侵据称使乌方特工获取了超过4.4GB敏感数据，涵盖内部通信、人事档案、采购记录及闭门会议纪要。HUR声称现已掌握俄战略轰炸机部队维护人员的完整信息——该部队曾参与对乌克兰城市的导弹袭击。 “图波列夫对乌克兰情报机构已无秘密可言，”HUR向多家当地媒体发布的声明称，并强调：“此次行动的影响将在地面与空中同时显现。”该机构还表示已将图波列夫官网首页替换为猫头鹰抓握俄罗斯飞机的图案——这正是HUR网络行动的标志性符号。截至报道时，该网站仍无法访问。 相关说法尚未得到独立核实，图波列夫公司及俄官方均未就入侵事件公开置评。 此次声明发布前一周，乌克兰刚发动大规模无人机攻势，袭击了四个俄空军基地，据称摧毁或损坏逾40架由图波列夫设计的远程轰炸机，包括Tu-95、Tu-22M3及Tu-160机型。这些无人机据称是从俄境内隐蔽的移动平台发射的。 作为苏联航空工业遗产的继承者，自2022年俄罗斯全面入侵乌克兰以来，图波列夫公司持续受到美国及西方国家的制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员揭露了Meta和Yandex使用的新型追踪技术，该技术能在数十亿安卓用户浏览网页时有效去匿名化，即使用户开启无痕模式也无效。根据西班牙IMDEA Networks研究所、荷兰拉德堡德大学及比利时鲁汶大学联合报告，当安卓用户浏览网页时，Yandex（俄罗斯主要科技公司）和Meta的应用程序会在后台通过本地端口通信秘密监听网站数据。 这种技术绕过了安卓系统与浏览器的沙盒防护及其他安全措施。研究发现：“包括Facebook、Instagram以及Yandex地图、浏览器在内的多款应用，会为追踪目的在固定本地端口静默监听”。其运作原理如下： 网站脚本与应用的隐蔽通道：全球数百万网站嵌入了Meta Pixel或Yandex Metrica脚本。当用户访问这些网站时，脚本会通过本地回环接口（localhost）向对应应用发送数据，将浏览行为与实际用户关联。 规避隐私保护机制：该方法无视清除Cookie、无痕模式等常规隐私防护，甚至突破安卓权限控制。更严重的是，它为恶意软件窃取用户网页活动数据敞开大门。 具体技术细节显示： 端口监听机制：Meta Pixel通过WebRTC向UDP端口12580-12585传输Cookie，任何监听这些端口的应用均可接收；Yandex自2017年起使用端口29009、29010、30102和30103进行类似操作。 数据隐藏手段：Meta采用“SDP Minging”技术将含用户数据的Cookie隐藏在互联网技术消息中，规避检测工具分析。 波及范围：Meta Pixel嵌入超过580万个网站，Yandex Metrica覆盖近300万站点。 恶意软件可利用漏洞： 所有监听相同端口的应用均可截获网页追踪脚本与应用间的通信。实验证明Chrome、Firefox、Edge等主流浏览器均存在浏览历史泄露风险。 仅Brave浏览器因拦截本地请求而免疫此问题，DuckDuckGo因屏蔽列表缺失部分域名受轻微影响。 跨平台风险与厂商响应： iOS潜在威胁：虽然WebKit支持本地连接且应用可监听端口，但苹果对后台应用的严格限制可能阻止了该技术在iOS的部署。 Meta已停止行为：截至6月3日，Meta Pixel脚本已停止向本地端口发送数据，相关代码几乎被完全移除。 修复进展：主流安卓浏览器厂商已着手部署补丁，但研究人员警告需更全面的措施才能彻底解决问题。 两家公司均未在官方文档中披露此追踪机制，致使网站运营者与用户长期处于不知情状态。值得注意的是，这些追踪脚本甚至在用户看到Cookie同意弹窗前就已加载运行。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某勒索软件组织宣称从迪拜最负盛名的医院之一窃取了4.5亿条患者记录，并威胁将公开泄露这些数据。 6月4日，该组织在其暗网泄露站点更新声明，声称已从迪拜美国医院（AHD）窃取敏感数据，影响患者记录高达4.5亿条。 “我们已从AHD转储海量数据，即将追加其财务数据。请持续关注本网站，”声明采用常见施压手段逼迫医院就范。该组织威胁将于6月8日公开泄露被盗数据。截至发稿时，涉事医院尚未回应置评请求。 作为该地区最负盛名的私立医疗机构，迪拜美国医院成立于1996年，隶属Mohamed & Obaid Al Mulla集团。这家拥有254张床位的急症护理机构位于迪拜Oud Metha区，提供超过40个专科的医疗服务，以医疗创新著称（包括1800多例使用达芬奇Xi手术系统的机器人手术）。 失窃数据类型 攻击者宣称窃取未压缩总量达4TB的数据，包括： 个人资料与人口统计数据 信用卡号 账单历史记录 阿联酋身份证号 含健康状况和治疗方案的临床记录 尽管攻击者声称包含患者数据，但实际核查的样本数据主要涉及财务内容，涵盖医院内部财务报告、工资单及账单记录等文件。若其宣称属实，此次泄露将引发严重的隐私与监管风险——尤其在网络安全法规严格的地区涉及财务及国民身份证数据。 Gunra勒索软件背景 Gunra是勒索软件领域的新兴威胁组织，2025年4月首次出现后已累计攻击12个目标。该组织以房地产、制药和制造业为攻击目标，采用双重勒索策略（威胁泄露数据+加密文件）谋取经济利益。入侵系统后，该软件会快速加密文件并添加“.ENCRT”扩展名，同时在每个目录留下勒索信，详细说明付款及数据恢复步骤。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一场广泛传播的钓鱼攻击活动正在针对酒店服务行业，攻击者通过伪装Booking.com的恶意邮件诱骗收件人下载恶意软件。这些攻击采用名为ClickFix的欺骗性验证码系统，诱导受害者在Windows设备上运行恶意脚本。 该攻击活动自2024年11月活跃至今，在2025年3月达到高峰，占其总攻击量的47%。攻击者发送冒充Booking.com的邮件，要求酒店员工处理客户问题或确认预订信息。邮件中嵌入的链接会将用户导向伪造的验证码页面，触发恶意软件下载流程。 ClickFix页面提示用户完成“验证步骤”，要求通过Windows快捷操作复制并执行脚本。这些脚本通常安装远程访问木马（RAT）或信息窃取程序。据监测数据显示，53%的攻击载荷为XWorm远程木马，其余主要为Pure Logs窃密程序与DanaBot恶意软件。 近期攻击邮件呈现新特征： 以酒店声誉受损为威胁，设置24小时紧急处理期限 伪造客户预订需求，要求提前入住或特殊设施安排 发送虚假确认函，诱导员工点击恶意链接响应 部分变种甚至模仿Cookie同意弹窗，用户点击“接受”即触发恶意下载。尽管出现模仿Cloudflare的验证码变体，此类手法目前仍属少数。 该技术标志着钓鱼方法的转变：用户并非直接下载文件，而是在三步骤中无意执行恶意脚本： 验证码页面将隐藏脚本植入剪贴板 诱导受害者打开Windows运行命令框 粘贴并执行脚本以激活恶意程序 部分脚本末端伪装成验证码，进一步掩盖真实目的。监测数据显示75%的攻击使用Booking.com标识，但也观察到模仿Cloudflare等服务的变种。 该攻击活动的持续演进和高成功率，正使住宿与餐饮服务行业面临日益严峻的安全挑战。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国的《2025年战略防务评估》（SDR）详细阐述了一项计划，旨在通过增加网络、人工智能（AI）和数字化作战手段的运用，整合其军事防御与进攻能力。 与美国一样，英国也参与攻击性网络行动，即使针对盟友，但并未公开证实。斯诺登泄密的资料中包括2010年至2013年进行的“社会主义行动”（Operation Socialist）。英国政府通信总部（GCHQ）成功利用量子插入攻击（Quantum Insert attack）攻击了比利时电信公司（Belgacom，比利时最大的电信供应商）。 尽管如此，英国一直坚称其不参与网络战——直到现在。这份于2025年6月2日发布的新版SDR（PDF文件）专注于整合英国在陆、海、空以及网络领域的进攻和防御军事能力。 这是一份军事评估报告，但自然也包括与“英国情报界[军情五处（MI5）、军情六处（MI6）和政府通信总部（GCHQ）]”的实时协作，“以在应对国家安全挑战时实现最大效果”。该评估报告的一个重要部分是全面且公开地承认网络与电磁频谱（CyberEM）的作用，以及在防御和进攻态势中增加对人工智能的应用；并强调需要整合这些能力。 “为最大化尖端技术和通用数字架构的效益，国防部门还必须协同努力，发展对现代战争至关重要的必要数字、人工智能、网络和电磁战技能。” 报告指出，网络电磁域（CyberEM）是现代战争的核心。“这是对手每天都在挑战的唯一作战域，”报告称。例如，据报道，英国的军事网络在过去两年内遭受了9万次‘灰色地带’攻击。（灰色地带攻击旨在扰乱或削弱对手，而不引发全面军事反应。）英国不同军种已在网络电磁域开展行动，但各自为政。这些行动既包括进攻也包括防御，包括英国自身针对对手使用的网络或技术进行的灰色地带活动。 SDR提议在一个新的网络电磁司令部（CyberEM command）下协调这些活动，将其作为单一权威节点运作。其目的是协调甚至鼓励（而非执行）网络活动——充当一个“枢纽”，“整合全方位的军事行动，并为国防部门如何与盟友及工业界理解、发展和获取能力带来一致性。” 该机构还旨在制定电磁频谱作战的总体战略，包括与北约的方法进行联络和协调。 这种新的跨国防整合与协调的效果，体现在新兴的“数字战士”（Digital Warfighter）小组和“数字目标靶场”（digital targeting web）上。两者共同实现了数字战士与传统战士在行动中的并肩部署；而目标靶场（一个通用的数据架构，而非网站）则将传感器、决策者和效应器连接起来。 评估报告承认其从乌克兰汲取了教训，并补充道：“这[目标靶场]在决定如何跨域并在受争议的网络电磁域中削弱或摧毁已识别目标时，提供了选择和速度。例如，一个目标可能由舰船或太空中的传感器识别，随后被F-35战机、无人机或进攻性网络行动所摧毁。在人工智能的辅助和通用合成环境（common synthetic environment）的支持下，目标靶场体现了一体化部队（Integrated Force）必须如何作战与适应。它的存在本身就增强了威慑力。” 英国最新的战略防务评估深受当前地缘政治影响，从乌克兰的成功到俄罗斯对欧洲日益增长的威胁。但同样显而易见的是，这种包含重大国防改革、增加资金投入以及专注于与北约盟友合作的新方法，也很大程度上源于特朗普总统领导下的美国行动。无论他批评北约的确切目的为何，这已让欧洲意识到，它或许不应、甚至绝不能如此依赖美国的军事力量。整个欧洲都在进行重新武装的进程。 但同样清楚的是，这种对军事责任的反思既关乎进攻能力，也关乎防御能力——并且，现代战争无论在进攻还是防御方面，都无法与网络战割裂开来。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大Instantel公司生产的1000多台工业监控设备因存在严重漏洞可能面临远程黑客攻击。 网络安全机构CISA近期发布的公告披露，Instantel用于记录振动、噪音和空气超压的Micromate产品存在配置端口缺乏身份验证的安全漏洞。该漏洞编号为CVE-2025-1907（CVSS评分9.8），攻击者可借此在设备上执行任意命令。 发现此漏洞的Microsec研究员Souvik Kandar向SecurityWeek透露，全球范围内已识别出1000多台暴露在互联网中的Micromate设备可能遭受攻击。该产品广泛应用于采矿、隧道工程、桥梁监测、建筑施工和环境安全等领域。 Kandar解释称，成功在设备上执行命令的攻击者能够篡改或禁用监控功能，导致数据失真或缺失。破坏数据完整性的操作可能引发审计、合规或保险索赔问题。该研究员补充表示，设备还可能被破坏或强制关机，进而中断爆破、隧道掘进等关键作业。 据Kandar分析，攻击者或可利用被入侵设备横向渗透至其他连接的IT或OT系统。 CISA公告指出Instantel正在为该漏洞开发固件更新。在补丁发布前，建议用户将设备访问权限限制在可信IP地址范围内。针对SecurityWeek的置评请求，Instantel尚未作出回应。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两个恶意 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器以拦截和窃取数据 RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。这些恶意包会拦截敏感数据，包括聊天 ID 和消息内容、附件文件、代理凭证，甚至是可以用于劫持 Telegram 机器人的 Bot Token。 该供应链攻击由 Socket 安全研究人员发现，他们已通过报告向 Ruby 开发者社区发出风险警告。 这两个仿冒 Fastlane 插件的恶意包目前在 RubyGems 上仍然可用，名称如下： fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，已被下载 287 次。 fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，已被下载 133 次。 Fastlane 是一个合法的开源插件，作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知发送和元数据管理。 fastlane-plugin-telegram 是一个合法的插件，允许 Fastlane 通过 Telegram Bot 在指定频道发送通知。这对于需要在 Telegram 工作区中实时获取 CI/CD 管道更新状态的开发者非常有用，使他们无需频繁检查仪表板即可跟踪关键事件。 Socket 发现的恶意 gem 与合法插件几乎完全相同，具有相同的公共 API、自述文件、文档和核心功能。 唯一但至关重要的区别在于，它们将合法的 Telegram API 端点 (https://api.telegram.org/) 替换为攻击者控制的代理端点 (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev)，从而拦截（并且很可能收集）敏感信息。 窃取的数据包括： Bot Token 消息数据 任何上传的文件 配置的代理凭证（如果配置了的话） 攻击者有充分的利用和持久化机会，因为 Telegram Bot Token 在受害者手动撤销之前一直有效。 Socket 指出，这些 gem 的页面声称代理“不存储或修改您的 Bot Token”，但无法验证这一说法。“Cloudflare Worker 脚本不可公开查看，威胁行为者完全有能力记录、检查或篡改传输中的任何数据，”Socket 解释道。“使用此代理，结合仿冒可信的 Fastlane 插件，清楚地表明其意图是在正常 CI 行为的幌子下窃取 Token 和消息数据。此外，威胁行为者尚未公开 Worker 的源代码，使其实现完全不透明。” 建议措施： 立即移除： 已安装这两个恶意 gem 的开发者应立即将其移除。 重建二进制文件： 重建自安装该恶意 gem 日期后生成的任何移动应用二进制文件。 轮换 Bot Token： 所有与 Fastlane 一起使用过的 Bot Token 都应立即轮换（因为它们已被泄露）。 网络屏蔽： Socket 还建议屏蔽到 *.workers[.]dev 的流量，除非明确需要。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据最新报告显示，一个鲜为人知的黑客组织已成为俄罗斯国家机构和关键行业的重大威胁，其攻击旨在制造最大程度的破坏并谋取经济利益。 俄罗斯网络安全公司卡巴斯基的研究人员表示，Black Owl（亦称黑猫头鹰）组织自2024年初开始活跃，似乎独立运作且拥有专属工具库和攻击策略。该组织最具破坏性的行动之一是上月的网络攻击，据称摧毁了俄罗斯约三分之一的国家电子法院档案系统。乌克兰军事情报局（HUR）此前声明曾与BO组织合作开展多项行动，包括入侵俄罗斯联邦数字签名机构及其下属科研中心。 该组织通常通过携带高迷惑性恶意附件的钓鱼邮件获取受害者系统的初始访问权限。入侵成功后，BO组织可能潜伏数周甚至数月才行动——这种延迟在通常追求快速破坏或窃取数据的黑客行动主义者中极为罕见。其持续升级的工具包包含DarkGate、BrockenDoor和Remcos等后门程序。 研究人员指出，攻陷网络后，该组织会使用微软SDelete等工具删除备份及虚拟基础设施，并在部分案例中部署Babuk勒索软件加密数据索要赎金。黑客常将恶意软件伪装成合法的Windows程序。 BO组织专门针对俄罗斯实体，包括国有企业和科技、电信及制造业机构。他们频繁在Telegram上宣扬攻击成果，既为恐吓受害者，也为吸引媒体关注。 卡巴斯基强调：“BO组织因非常规的网络攻击手段，对俄罗斯机构构成严重威胁。” 研究人员补充称，与其他亲乌克兰黑客组织不同，该组织几乎未表现出协作、合作或工具共享迹象——这在俄罗斯当前的黑客行动生态中尤为特殊。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google 修复了 Chrome 浏览器中的三个漏洞，包括一个已在攻击中被积极利用的漏洞，追踪编号为 CVE-2025-5419。 该漏洞源于Google Chrome 旧版本中 V8 JavaScript 引擎的越界读写问题。攻击者可通过构造的 HTML 页面利用此漏洞触发堆损坏。 谷歌威胁分析小组 (Google Threat Analysis Group) 的 Clement Lecigne 和 Benoît Sevens 于 2025 年 5 月 27 日报告了该漏洞，次日（2025 年 5 月 28 日）通过向所有 Chrome Stable 平台应用配置更新解决了该问题。 公告中写道：“Google 已知悉针对 CVE-2025-5419 漏洞的利用程序已在野存在。” Chrome Stable 已更新至 137.0.7151.68/.69（适用于 Windows 和 Mac）以及 137.0.7151.68（适用于 Linux），将在未来几天内推送。 与往常一样，公司未披露利用此漏洞进行攻击的技术细节。 Google 还修复了一个中危漏洞，被追踪为 CVE-2025-5068，这是 Blink 渲染引擎中的一个释放后使用 (use-after-free) 问题。Walkman 于 2025 年 4 月 7 日报告了该漏洞。 在 2025 年 3 月，Google 曾发布其他计划外补丁，以修复自年初以来首个遭在野利用的 Chrome 零日漏洞。该漏洞是 Windows 版 Chrome 浏览器中的一个高危安全问题，被追踪为 CVE-2025-2783。 该漏洞是 Windows 上 Mojo 在未明确情况下提供错误句柄所致。卡巴斯基研究人员 Boris Larin (@oct0xor) 和 Igor Kuznetsov (@2igosha) 于 2025 年 3 月 20 日报告了该漏洞。卡巴斯基研究人员报告称，该漏洞在针对俄罗斯组织的攻击中被积极利用。 Mojo 是 Google 用于基于 Chromium 的浏览器的 IPC（进程间通信）库，管理着用于安全通信的沙盒进程。在 Windows 上，它增强了 Chrome 的安全性，但过去的漏洞曾导致沙箱逃逸和权限提升。 Google 未分享有关利用此漏洞进行攻击的细节或幕后威胁行为者的身份信息。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球第二大汽车制造商大众汽车表示，其正在调查一起数据泄露声明。截至目前，该公司尚未发现任何系统被入侵或客户数据暴露的迹象。 黑客组织声称的大众汽车集团数据泄露事件可能只是虚张声势，因为未检测到任何未经授权的访问。虽然公司知晓相关声明，但迄今没有迹象表明攻击者访问了其任何系统。 “就目前情况而言，根据内部调查的现有认知，没有发生外部第三方对客户个人数据或敏感公司数据的未经授权访问。因此，也未发现此类数据被滥用，”大众汽车集团发言人告诉Cybernews。 该汽车制造商表示将继续调查所有可用信息，以排除对公司或其客户造成任何损害的可能性。大众发言人补充说，“如果证明有助于进一步的全面澄清”，公司将让执法部门参与调查。 “我们非常严肃地对待任何关于数据被未经授权访问的报告。我们会立即跟进实质性报告并仔细调查。如果未经授权访问和使用数据的嫌疑得到证实，我们始终会联系相关当局，”发言人表示。 本周早些时候，Stormous勒索软件团伙在其用于展示最新受害者的暗网泄密网站上列出了大众集团。该威胁行为者声称他们获取了用户账户数据、身份验证令牌、身份与访问控制数据以及其他各种详细信息。 根据Cybernews的暗网追踪器Ransomlooker，Stormous在过去12个月中攻击了34个组织。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews 研究人员发现了一起影响美国公民医疗数据的大规模泄露事件。大约 270 万名患者的资料和 880 万条预约记录对任何知道查看位置的人来说都是完全开放的。 此次泄露是由一个未设置安全防护的 MongoDB 数据库引起的。数据所有者尚未得到官方确认，但数据库中埋藏的线索指向了 Gargle 公司。 该公司专门为牙科诊所提供营销、搜索引擎优化（SEO）和网站开发服务。虽然 Gargle 本身并非医疗保健提供者，但其业务模式依赖于处理面向患者的基础设施，在此案例中，可能还包括患者数据。 目前尚不清楚该数据库暴露了多长时间，或者在锁定之前谁可能访问过它。在 Cybernews 告知该公司有关泄露事件后，该数据集已被保护起来。目前尚未收到该公司的评论。 泄露了哪些数据？ 姓名 出生日期 电子邮件地址 住址 电话号码 性别 病历 ID 语言偏好 账单详情 包含患者元数据、时间戳和机构参考信息的预约记录 泄露是如何发生的？ MongoDB 数据库为数以千计的现代网络应用程序提供支持，从电子商务平台到医疗门户网站。在此案例中，泄露很可能源于一个常见且常被忽视的漏洞：由于人为错误，数据库在没有适当身份验证的情况下被暴露。 正如 Cybernews 的研究所示，这是一个持续困扰着各种规模和行业的公司的盲点。Gargle 在其网站上强调，其设计的 SEO 优化网站通过鼓励用户预约来提升转化率。 该公司还提供实时预约安排、患者沟通、支付处理和在线表格提交等集成服务。所有这些服务都是关键接触点，如果未进行安全配置，就可能成为攻击者的入口。暴露的医疗数据很可能与这些第三方服务相关的内部基础设施中泄露。 泄露的医疗数据如何被利用？ 泄露的数据集包含属于美国患者的深度敏感信息：已验证的手机号码、家庭住址、账单分类和机构 ID。孤立地看，其中任何一个数据点可能危害不大。但捆绑在一起，它们就构成了个人身份的全面蓝图。这类数据为各种滥用行为打开了大门。身份盗窃是唾手可得的果实，攻击者可以冒充受害者以获取经济利益。 有了医疗数据，风险就变得严重得多。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。受害者还容易受到精心设计的钓鱼攻击和社会工程攻击。如此大规模的泄露事件，引发了关于其不遵守《健康保险流通与责任法案》（HIPAA）的严重质疑。根据该法规，处理患者数据的公司有法律义务采取严格的安全措施来保护数据。 应对策略 该公司应通知受影响的个人，并按照 HIPAA 要求公开披露此事件。如果您最近有牙科预约，并怀疑您的数据可能受到此次泄露的影响，请警惕钓鱼攻击。对任何提及医疗保健提供者或医疗历史的不请自来的电子邮件要格外小心。请密切关注您的医疗和保险记录，留意未经授权的索赔或活动迹象，并考虑注册身份盗窃监控服务。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文