HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一个乌克兰IP网络在2025年6月至7月期间针对SSL VPN和RDP设备发起大规模暴力破解和密码喷洒攻击活动。 根据法国网络安全公司Intrinsec的说法，该活动源自位于乌克兰的自治系统FDN3（AS211736）。 “我们高度确信FDN3是一个更广泛的滥用基础设施的一部分，该基础设施还包括另外两个乌克兰网络VAIZ-AS（AS61432）和ERISHENNYA-ASN（AS210950），以及一个位于塞舌尔的名为TK-NET（AS210848）的自治系统。”上周发布的一份报告称。 “这些系统均于2021年8月分配，并且经常相互交换IPv4前缀以规避封锁名单，持续托管恶意活动。” AS61432当前宣告一个单一前缀185.156.72[.]0/24，而AS210950宣告了两个前缀45.143.201[.]0/24和185.193.89[.]0/24。这两个自治系统分别于2021年5月和8月分配。它们的大部分前缀已在AS210848上宣告，这是另一个同样于2021年8月分配的自治系统。 “该网络将其所有的对等协议与IP Volume Inc. – AS202425共享，这是一家位于塞舌尔、由Ecatel所有者创建的公司，Ecatel因自2005年以来在荷兰运营广泛滥用的防弹主机服务而臭名昭著。”Intrinsec指出。 从AS61432和AS210950转移出来的全部前缀，现在由那些由空壳公司（如Global Internet Solutions LLC (gir.network)、Global Connectivity Solutions LLP、Verasel、IP Volume Inc.和Telkom Internet LTD）前台运营的防弹和滥用网络进行宣告。 这些发现基于先前的披露，即多个于2021年8月分配、位于乌克兰和塞舌尔的网络——AS61432、AS210848和AS210950——被用于垃圾邮件分发、网络攻击和恶意软件命令与控制托管。2025年6月，这些网络所宣告的部分IPv4前缀被转移到了FDN3，而FDN3本身创建于2021年8月。 不仅如此。AS210848所宣告的三个前缀以及AS61432所宣告的一个前缀，先前曾由另一个俄罗斯网络SibirInvest OOO (AS44446)宣告。在FDN3宣告的四个IPv4前缀中，其中一个（88.210.63[.]0/24）被评估为先前由一家名为Virtualine（AS214940和AS214943）的基于美国的防弹主机解决方案宣告。 正是这个IPv4前缀范围被归因于大规模的暴力破解和密码喷洒尝试，该活动在2025年7月6日至8日期间达到创纪录的高峰。 据Intrinsec称，针对SSL VPN和RDP资产的暴力破解和密码喷洒努力可能持续长达三天。值得注意的是，这些技术已被Black Basta、GLOBAL GROUP和RansomHub等各种勒索软件即服务（RaaS）组织采用，作为入侵企业网络的初始访问向量。 FDN3在6月宣告的另外两个前缀92.63.197[.]0/24和185.156.73[.]0/24，先前曾由AS210848宣告，这表明存在高度的操作重叠。就92.63.197[.]0/24而言，它与保加利亚的垃圾邮件网络（如ROZA-AS (AS212283)）存在关联。 “所有这些强烈的相似性，包括它们的配置、托管的内容以及创建日期，使我们能够高度确信地评估，上述自治系统由同一个防弹主机管理员运营，”Intrinsec解释道。 对FDN3的进一步分析发现了与一家名为Alex Host LLC的俄罗斯公司的联系，该公司过去曾与TNSECURITY等防弹主机提供商有关联，而这些提供商被用于托管Doppelganger基础设施。 “这项调查再次凸显了一种常见现象，即离岸ISP（如IP Volume Inc.）通过对等协议和前缀托管整体上为较小的防弹网络提供支持，”该公司表示。“得益于其离岸位置（如塞舌尔），这些公司的所有者得以匿名，通过这些网络实施的恶意活动无法直接归咎于他们。” 与此同时，Censys发现了一个与PolarEdge僵尸网络相关的回连代理管理系统，目前运行在2400多台主机上。该系统是一个RPX服务器，充当反向连接代理网关，能够管理代理节点并暴露代理服务。 “这个系统似乎是一个设计良好的服务器，可能是用于管理PolarEdge僵尸网络的众多工具之一，”高级安全研究员Mark Ellzey说。“也有可能这项特定服务与PolarEdge完全无关，而是僵尸网络用于在不同中继之间跳转的服务。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，Android恶意软件领域出现新趋势：传统上用于投放银行木马的“投放器应用”（dropper apps），如今也开始传播短信窃取器和基础间谍软件等更简单的恶意软件。 荷兰移动安全公司ThreatFabric在上周的报告中表示，这些攻击活动通过伪装成印度等亚洲地区政府或银行应用的投放器应用进行传播。 该公司认为，这一转变源于谷歌最近在新加坡、泰国、巴西和印度等特定市场试行的安全保护措施。这些措施会阻止用户侧载（sideloading）那些请求敏感权限（如短信和无障碍服务）的可疑应用，而无障碍服务是Android设备上常被滥用以执行恶意操作的设置。 ThreatFabric解释道：“Google Play Protect的防御机制，尤其是定向试点计划，能越来越有效地在风险应用运行前将其拦截。其次，攻击者希望其操作能适应未来。” “即便将基础有效负载封装在投放器中，攻击者也能获得一个保护壳，既能规避当前的检查，又能保持足够灵活性，以便日后更换负载和调整攻击活动。” ThreatFabric称，尽管谷歌的策略通过甚至在用户与恶意应用交互前就阻止其安装，提高了门槛，但攻击者正在尝试新的方法来规避这些保护措施——这显示出安全领域永无休止的“打地鼠”游戏。 这包括在设计投放器时考虑谷歌的试点计划，使其不申请高风险权限，仅显示一个无害的“更新”屏幕，从而在这些地区绕过扫描。 然而，只有当用户点击“更新”按钮时，真正的有效负载才会从外部服务器获取或解包，随后便开始申请实现其目标所需的权限。 “作为另一项扫描的一部分，Play Protect可能会显示风险警报，但只要用户接受这些警报，应用就会被安装，有效负载也就成功投递。”ThreatFabric指出，“这揭示了一个关键漏洞：如果用户坚持点击安装，Play Protect仍会允许风险应用通过，恶意软件也就依然能绕过试点计划。” RewardDropMiner就是这样一个投放器，它曾被发现在传播间谍软件负载的同时，还会分发一个可远程激活的门罗币加密货币挖矿程序。不过，该工具的最新变种已不再包含挖矿功能。 通过RewardDropMiner投递的一些恶意应用（均针对印度用户）列举如下： PM YOJANA 2025 (com.fluvdp.hrzmkgi) °RTO Challan (com.epr.fnroyex) SBI Online (com.qmwownic.eqmff) Axis Card (com.tolqppj.yqmrlytfzrxa) 其他可避免触发Play Protect或试点计划的投放器变种包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper和TiramisuDropper。 谷歌在回应The Hacker News的置评请求时表示，尚未在Play商店中发现任何使用这些技术分发应用的情况，并称正在持续增加新的保护措施。 一位发言人表示：“无论应用来自何处——即使是由‘投放器’应用安装——Google Play Protect都会通过自动检查威胁来帮助保护用户安全。” “在本报告发布之前，Google Play Protect已针对这些已识别的恶意软件版本提供了保护。根据我们当前的检测，Google Play上未发现包含这些版本恶意软件的应用。我们正在不断强化保护措施，帮助用户免受恶意行为者的侵害。” CIS构建工具包 与此同时，Bitdefender实验室警告称，一场新的恶意广告活动正在利用Facebook广告，以提供免费的Android版TradingView应用高级版本为诱饵，最终部署改进版的Brokewell银行木马，用以监控、控制受害设备并窃取敏感信息。 自2025年7月22日起，已运行不少于75条恶意广告，仅在欧洲联盟就覆盖了数万名用户。这场针对Android的攻击浪潮只是一个更大规模恶意广告操作的一部分，该操作还滥用Facebook广告，伪装成各种金融和加密货币应用来针对Windows桌面用户。 这家罗马尼亚网络安全公司表示：“这次活动展示了网络犯罪分子如何精细调整策略以适应用户行为。通过针对移动用户并将恶意软件伪装成受信任的交易工具，攻击者希望从人们对加密应用和金融平台日益增长的依赖中获利。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sitecore体验平台中被披露存在三个新的安全漏洞，攻击者可能利用这些漏洞实现信息泄露和远程代码执行。 根据watchTowr Labs的报告，这些漏洞具体如下： CVE-2025-53693 – 通过不安全的反射实现HTML缓存投毒 CVE-2025-53691 – 通过不安全的反序列化实现远程代码执行（RCE） CVE-2025-53694 – ItemService API中存在信息泄露漏洞，受限匿名用户可通过暴力破解手段获取缓存密钥 Sitecore已于2025年6月针对前两个漏洞发布了补丁，并在7月修复了第三个漏洞。公司表示“成功利用相关漏洞可能导致远程代码执行以及对信息的非授权访问”。 这些发现是基于watchTowr在6月份详细报告的同一产品中的另外三个漏洞： CVE-2025-34509（CVSS评分：8.2） – 使用硬编码凭证 CVE-2025-34510（CVSS评分：8.8） – 通过路径遍历实现认证后远程代码执行 CVE-2025-34511（CVSS评分：8.8） – 通过Sitecore PowerShell扩展实现认证后远程代码执行 watchTowr Labs的研究员Piotr Bazydlo表示，新发现的漏洞可以组合成一个完整的攻击链，通过将认证前的HTML缓存投毒漏洞与一个认证后的远程代码执行问题相结合，从而入侵完全打好补丁的Sitecore体验平台实例。 导致代码执行的完整攻击链如下：威胁行为者可以利用（如果暴露的）ItemService API轻松枚举存储在Sitecore缓存中的HTML缓存密钥，并向这些密钥发送HTTP缓存投毒请求。 随后，此攻击可与CVE-2025-53691链接，提供恶意的HTML代码，最终通过无限制的BinaryFormatter调用实现代码执行。 “我们成功利用了一个受限严重的反射路径来调用一个方法，该方法允许我们污染任何HTML缓存密钥，”Bazydlo说。“这单一的原语操作打开了劫持Sitecore体验平台页面的大门——并从此处投放任意JavaScript以触发认证后远程代码执行（Post-Auth RCE）漏洞。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队成功挫败了一起试图利用微软认证流程发起的水坑攻击。该攻击活动被认定为与俄罗斯国家级黑客组织APT29有关。 在8月29日发布的帖子中，亚马逊首席信息安全官（CISO）CJ·摩西（CJ Moses）分享了该攻击活动的细节。其团队在发现由APT29控制的域名后，锁定了这起攻击。 水坑攻击是一种针对性网络攻击活动，黑客会入侵特定用户群体常访问的网站，并将用户重定向至恶意基础设施。其目的是投放恶意软件、窃取凭据或实施网络间谍活动。 在此次事件中，亚马逊发现多个合法网站被植入JavaScript代码，这些代码会将约10%的访客重定向至APT29控制的域名。攻击者的目标是诱骗用户通过微软的设备代码认证流程，授权由攻击者控制的设备。 这些域名（包括findcloudflare[.]com）模仿Cloudflare验证页面，以伪装成合法网站。 摩西写道：“亚马逊云服务（AWS）系统未受到入侵，也未观察到AWS服务或基础设施受到直接影响。” 代码分析显示，攻击者采用了多种规避检测的技术，包括随机重定向、Base64编码和持久化Cookie。此外，当防御系统拦截恶意基础设施时，威胁行为体会迅速转向新的域名和服务器，以维持攻击活动的持续性。 APT29攻击目标已超越政府人员 APT29是一个知名的网络威胁组织，拥有多个别名，包括“午夜暴风雪”（Midnight Blizzard）、“舒适熊”（Cozy Bear）、“诺贝尔奖”（Nobelium）和“公爵”（The Dukes）。该组织被美西方国家认为与俄罗斯对外情报局（SVR）有关联，至少自2013年以来一直活跃。 APT29以针对政府和关键行业实施间谍活动与情报收集著称，但近期观察显示其攻击目标范围正不断扩大。据报道，该组织参与了多起鱼叉式钓鱼活动，包括2025年4月针对欧洲外交官、以品酒会为主题的钓鱼攻击，以及2025年6月针对英国俄罗斯信息作战专家基尔·贾尔斯（Keir Giles）的攻击活动。 亚马逊威胁情报团队表示，此次新的水坑攻击“表明APT29在不断升级其攻击手段，扩大行动规模，以在情报收集工作中撒下更广泛的网”。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正滥用Meta的广告平台，通过虚假的“免费TradingView Premium应用”优惠来传播针对Android设备的Brokewell恶意软件。 该活动以加密货币资产为目标，自至少7月22日起通过大约75条本地化广告持续进行。 Brokewell恶意软件在2024年初就已出现，其功能广泛，包括窃取敏感数据、远程监控和控制受感染的设备。 接管设备 网络安全公司Bitdefender的研究人员调查了该活动中的广告，这些广告使用了TradingView的品牌标识和视觉元素，以“免费高级版应用”的承诺诱骗潜在受害者。 他们指出，该活动专门针对移动用户设计，如果从其他操作系统访问广告，只会看到无害内容。 然而，从Android设备点击广告，会被重定向到一个模仿原始TradingView网站的页面，该页面提供了一个托管在tradiwiw[.]online/的恶意tw-update.apk文件。 “被投放的应用会请求无障碍权限，一旦获得权限，屏幕就会被一个假的更新提示覆盖。在后台，该应用正在授予自身所有需要的权限。”研究人员在本周的一份报告中表示。 此外，该恶意应用还通过模拟需要锁屏密码的Android更新请求，试图获取设备的解锁PIN码。 据Bitdefender称，这个假的TradingView应用是“Brokewell恶意软件的一个高级版本”，拥有“庞大的工具库，旨在监控、控制和窃取敏感信息”： 扫描BTC、ETH、USDT、银行账号（IBANs） 窃取并导出Google Authenticator中的代码（绕过双因素认证） 通过覆盖虚假登录界面来窃取账户 录制屏幕和键盘输入、窃取Cookie、激活摄像头和麦克风并跟踪位置 劫持默认短信应用以拦截消息，包括银行和双因素认证代码 远程控制 – 可通过Tor或Websocket接收命令来发送短信、拨打电话、卸载应用甚至自毁。 研究人员提供了该恶意软件工作原理的技术概述，以及一份包含130多个命令的扩展列表。 Bitdefender表示，此活动是一个更大规模操作的一部分，该操作最初使用冒充“数十个知名品牌”的Facebook广告来针对Windows用户。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zscaler警告称，在威胁行为者获取其Salesforce实例访问权限并窃取客户信息（包括部分支持案例内容）后，公司遭遇了数据泄露。 此次事件源于Salesloft Drift（一款与Salesforce集成的人工智能聊天代理程序）遭入侵，攻击者窃取了OAuth和刷新令牌，从而能够访问客户的Salesforce环境并窃取敏感数据。 Zscaler在一份公告中表示，其Salesforce实例受到此次供应链攻击影响，导致客户信息暴露。 “在此次攻击活动中，未经授权的行为者获取了包括Zscaler在内的客户所有的Salesloft Drift凭证，”Zscaler的公告中写道。“经过我们持续调查中的详细审查，已确定这些凭证允许（攻击者）有限访问Zscaler的某些Salesforce信息。” 泄露信息包括： 姓名 商业电子邮件地址 职位 电话号码 区域/位置详情 Zscaler产品许可和商业信息 某些支持案例的内容 公司强调，此次数据泄露仅影响其Salesforce实例，未波及任何Zscaler产品、服务或基础设施。 尽管Zscaler表示尚未发现相关信息被滥用，但仍建议客户对可能利用这些信息实施的网络钓鱼和社会工程攻击保持高度警惕。 公司还称，已撤销所有Salesloft Drift与其Salesforce实例的集成，轮换了其他API令牌，并正在对此事件进行调查。 Zscaler还加强了响应客户支持电话时的身份验证协议，以防范社会工程攻击。 谷歌威胁情报小组（GTIG）上周警告，一个追踪为UNC6395的威胁行为者是此次攻击的幕后黑手，其窃取支持案例是为了获取客户在请求支持时分享的身份验证令牌、密码和机密信息。 “GT观察到UNC6395以敏感凭证为目标，例如亚马逊云服务（AWS）访问密钥（AKIA）、密码和与Snowflake相关的访问令牌，”谷歌报告称。“UNC6395通过删除查询作业展示了其操作安全意识，但日志未受影响，各组织仍应审查相关日志以寻找数据暴露的证据。” 之后有消息透露，Salesloft供应链攻击不仅影响了Drift与Salesforce的集成，还波及用于管理邮件回复和组织CRM及营销自动化数据库的Drift Email。 谷歌上周警告，攻击者在此次泄露中还使用窃取的OAuth令牌访问了Google Workspace电子邮件账户并读取邮件。 谷歌和Salesforce已暂时禁用其Drift集成，等待调查完成。 一些研究人员向BleepingComputer表示，他们认为Salesloft Drift入侵事件与勒索组织ShinyHunters近期的Salesforce数据窃取攻击存在重叠。 自今年年初以来，该威胁行为者一直通过进行社会工程攻击来入侵Salesforce实例并下载数据。 在这些攻击中，威胁行为者进行语音钓鱼（vishing），诱骗员工将恶意OAuth应用与其公司的Salesforce实例关联。 一旦关联，威胁行为者便利用该连接下载并窃取数据库，随后通过邮件对公司进行勒索。 自谷歌于6月首次报告这些攻击以来，多起数据泄露事件已被证实与这些社会工程攻击有关，涉及谷歌自身、思科、农夫保险、Workday、阿迪达斯、澳航、安联人寿以及LVMH子公司路易威登、迪奥和蒂芙尼等。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部及数百万用户使用的关键代码目前仅由一名俄罗斯开发者独立维护。有人对此不以为然，认为互联网的半壁江山本就依赖于某些人的个人项目。网络安全圈的这番骚动，凸显出人们对国家行为体可能对个体维护者施加影响的担忧。 Hunted Labs的安全研究人员近期重点关注了“fast-glob”，这是一个广泛应用于Node.js环境中进行快速文件和文件夹搜索的工具。报告指出：“由单人维护的状况给超过5000个软件包（包括Node.js中的容器镜像及美国国防部系统内的容器）带来了供应链风险。我们的调查发现，在经批准的国防部系统中，超过30个容器存在此组件。” GitHub上的依赖关系图显示，该代码被超过2700万个代码仓库使用，并在JavaScript包管理器NPM上每周获得7500万次下载。 Hunted Labs报告称，fast-glob的维护者mrmInc（本名Denis Malinochkin）一直居住在莫斯科，并曾为俄罗斯科技巨头Yandex工作。众所周知，Yandex在与俄罗斯政府合作进行公民跟踪、审查和压迫方面有所配合。报告认为这是一个风险点，“鉴于开源社区往往在几乎不了解贡献者背景的情况下就盲目采纳项目”。但目前并无迹象表明该开发者曾有任何不当行为。 该开发者强调，从未有人要求他操纵该工具、向项目引入隐藏更改或收集分享系统数据。Malinochkin甚至联系了The Register并解释，他从2016年起就开始独立开发fast-glob，这远早于他加入Yandex的时间。这个完全开源的项目完全在本地运行，任何人都可以查看代码。 播客主、博主兼Anchore公司安全副总裁Josh Bressers站出来为这位俄罗斯开发者辩护。他在一篇博文中论证：“让THE WHOLE F*CKING PLANET运转的软件是由一个人写的。在一个国家。但我们不知道是哪个国家。注意，不是同一个人，但就是一个人。几乎所有的开源软件 literally 都是由一个人完成的。”专家用数据支持了这一说法：在ecosyste.ms跟踪的1180万个开源项目中，约有700万个由单人维护。由于400万个项目的维护者人数未知，实际数字可能更大。“实际上比这还要多，”Bressers说，“其中一大批项目将会是一个人维护的。”由单名开发者维护的代码几乎占据了NPM上最受欢迎代码库的一半。“大约13000个下载量最大的NPM包中，有一半是仅由一个人维护的，”专家强调。许多独立开发者还拥有不止一个软件包，并且其中可能没多少人拥有他们可能需要的适当资源。 Bresser认为，真正的供应链风险在于维护者薪酬过低和工作过度，而不在于他们来自哪个国家。“让我们面对现实吧，俄罗斯人还没蠢到去给一个住在俄罗斯的人所拥有的软件包植入后门。他们会做一些事情，比如假装来自另一个国家，用像Jia Tan这样的名字，而不是Boris D. Badguy。这可不是《波波鹿与飞天鼠》的剧集。” 这场讨论在程序员和技术专业人士驱动的社区论坛Lobste.rs上热度渐起。计算机科学家Kornel Lesinski认为，维护者的数量并不是衡量协作的正确标准，因为一个普通的NPM依赖树涉及许多不同的人。发布小型独立的软件包，比让多个维护者在一个单一的整体库上协作更为便利。然而，其他人则表示担忧，认为任何国家行为体能够接触到的代码都可能被滥用。当面对秘密法院的令状时，开发者将没有太多选择。“我对俄罗斯政府的信任程度与对一个人的信任程度截然不同。”一位开发者说。 尽管许多人同意过分关注单一维护者可能有些夸大其词，但对地缘政治或系统性风险保持谨慎的认识仍然必要。Hunted Labs的研究人员承认，替换或修复fast-glob没有快速简便的解决方案。“最佳选择是让mrmInc为项目增加额外的维护者和监督机制，新的维护者需为开源社区所知且居住在民主社会。这是最简单的解决方案，能立即保护使用fast-glob的数百万项目。”Hunted Labs建议道。其他替代方案包括选择不同的工具，或者对其进行分叉（fork）并维护一个独立的版本。 然而，研究人员也敦促立即从美国国防部或情报界使用的产品中移除fast-glob。美国国防部此前曾发布一份备忘录，指示所有技术必须经过验证，确保其安全，能防范来自俄罗斯及其他对手的潜在供应链攻击。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称已获取AT&T基础设施的实时访问权限，这实质上使他们能够绕过与特定电话号码绑定的双因素认证。据称，此次黑客攻击影响了数百万AT&T用户。 恶意行为者在一个流行的地下论坛上宣布了他们的最新行为，该论坛通常用于交易数据泄露信息和软件漏洞。根据帖子内容，有人侵入了美国电信巨头AT&T的系统，并在其内部植入恶意软件长达数周而未被发现。 我们已联系AT&T，并在收到回复后更新本文。 与此同时，Cybernews研究团队正在调查攻击者的说法。包含所谓数据样本的网站被发布在暗网上，但目前无法访问，因此无法验证说法的真实性。一旦获得更多数据细节，我们将更新本文。 （AT&T数据泄露帖子暗网截图，由Cybernews提供） “威胁行为者声称已部署了一个定制的恶意负载，这使他们能够对AT&T的核心系统拥有读/写权限，”我们的团队解释道。 “根据黑客的说法，这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码，并访问一个包含约2400万AT&T用户数据的数据库。截至目前，Cybernews研究团队尚无法验证这些说法的任何一项。” 这次AT&T数据泄露可能有多危险？ 帖子作者声称，他们入侵的数据库不是静态的，这意味着所谓的攻击使攻击者能够修改AT&T基础设施内的信息。如果得到证实，这对黑客来说将是一个金矿。 攻击者的说法实质是，他们已能够将2400万AT&T用户的电话号码转移到他们想要的任何SIM卡上。这进而使得SIM交换攻击成为可能，这种攻击方式深受Scattered Spider等黑客组织的青睐，该组织曾攻击过拉斯维加斯的米高梅和凯撒酒店以及英国最大零售商玛莎百货。 “根据黑客的说法，这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码，以及访问一个包含约2400万AT&T用户数据的数据库。截至目前，Cybernews研究团队尚无法验证这些说法的任何一项。”团队解释道。 SIM交换允许攻击者接管发送到特定电话号码的所有通信。想想你在尝试登录受保护服务时，手机上收到的双因素认证码。 此外，对实时数据库的访问可能使攻击者能够实时查看认证码，这对从社交媒体账户到银行业务的一切都构成了重大的网络安全问题。 AT&T过去的安全事件 网络犯罪分子不断针对AT&T。攻击者充分意识到该公司储存了大量美国人的数据，因为它是世界上最大的电信公司之一，年收入超过1220亿美元。 今年早些时候，恶意行为者声称他们掌握了数千万AT&T的记录，包括税务ID、姓名和IP地址。然而，攻击者提供的数据样本不足以证实黑客攻击。 去年四月，AT&T表示其客户数据从第三方云平台被非法下载，几乎所有客户都受到影响。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室（OAG）已确认遭遇勒索软件攻击，导致民事和刑事案件审理延误。 该州总检察长戴夫·森迪（Dave Sunday）证实，此次事件已于8月初导致总检察长办公室的服务器下线。森迪在8月29日发布的最新通报中透露：“此次中断由外部人员通过加密文件，迫使OAG支付赎金以恢复运营所致。目前尚未支付任何赎金。” 对于此次攻击中是否存在数据被盗的可能性，总检察长办公室未给出任何说明。 森迪接着表示：“目前正与其他机构开展联合调查，这使得我们无法就调查进展或事件应对措施进一步置评。”他补充道：“我们一直在向公众定期通报事件最新情况，并将继续这样做。若调查显示有必要，这些通报将包括向相关个人发送通知。” 美国宾夕法尼亚州总检察长办公室是该州最高执法机构，职责包括提起刑事诉讼和执行消费者保护法。 事件导致刑事与民事案件审理延误 受本次技术故障影响，宾夕法尼亚州多家法院被迫发布命令，延长刑事案件和民事案件的审理期限。 森迪指出：“不过，根据目前调查所掌握的情况，我们预计不会出现仅因外部干扰就导致刑事起诉、调查或民事诉讼受到负面影响的情况。” 这起网络事件于8月18日首次披露，当时总检察长办公室的网站陷入下线状态，办公邮箱账户及固定电话线路也无法使用。 最新通报证实，目前大多数总检察长办公室工作人员已恢复邮箱访问权限，并正通过邮箱与选民及利益相关者沟通。此外，办公室主电话线和官方网站均已恢复上线。 恢复全部功能的工作仍在进行中，同时总检察长办公室正与其他机构合作，“以避免类似情况再次发生”。 森迪表示：“总体而言，总检察长办公室的约1200名工作人员（分布在全州17个办公地点）仍在开展日常工作，尽管部分工作需通过替代渠道和方式完成。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴尔的摩市监察长表示，该市向一名诈骗者支付了超过150万美元的欺诈款项；此人成功冒充某供应商，并骗过了市政府员工，使其更改了该承包商的银行账户信息。 巴尔的摩监察长伊莎贝尔·梅赛德斯·卡明（Isabel Mercedes Cumming）在对此事件的事后分析中表示，该市应付账款部门未能在此前的欺诈事件后实施纠正措施，也没有建立适当的保护措施来核实供应商详细信息。 2024年12月，诈骗者使用一名合法公司员工的姓名提交了一份供应商联系表，以获取该供应商Workday系统的访问权限。被冒充的这名人员并无权访问公司财务信息，且诈骗者提供的电子邮件地址也非公司官方地址。然而，应付账款部门的一名员工并未联系供应商以确认此人身份。 诈骗者多次提交请求，要求更改Workday中关联的银行账户，这些请求最终获得两名员工的批准。在2月和3月，巴尔的摩应付账款部门向所谓的供应商支付了两笔款项——分别超过80万美元和72.1万美元——之后在收到收款方银行关于可疑活动的通知后，他们才发现这可能是一场欺诈。该市成功追回了数额较小的那笔付款。 这起供应商诈骗案至少是自2019年以来巴尔的摩市政府遇到的第三起同类事件。2022年，市长儿童与家庭成功办公室一笔超过376,213美元的款项，在诈骗者说服市财政部门更改账户信息后，最终流入了一个诈骗者的账户。三年前，在对某供应商的信息进行修改后，有62,377美元被汇入一个欺诈账户。 根据监察长关于2022年事件的一份报告，该市财务总监曾表示，事发后已制定了新政策，要求部门员工“独立地向请求更改银行的供应商的高管级别员工核实变更信息”。 应付账款总监小蒂莫西·戈德斯比（Timothy Goldsby, Jr.）在给最新报告的书面回应中表示，在此办公室于2023年1月从财政部迁至审计长办公室之前，先前的控制措施“并未完全制度化”。 他写道：“应付账款部门同意监察长的评估，即该事件的发生是由于验证程序存在漏洞以及供应商账户保障措施不足所致。” 他表示，事件发生后，该部门正在修订其供应商联系和银行信息更新的操作流程，并要求对任何银行信息的更改进行交叉验证。他们还在加强Workday系统内的保障措施，包括创建一个受限用户角色来管理账户的敏感更改，并加强员工培训，以提高对社交工程欺诈的识别能力。 巴尔的摩市曾经历过几起具有重大影响的网络事件，其中包括2019年的一次勒索软件攻击，该攻击造成了约1900万美元的损失，并导致服务中断数月。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰和美国当局宣布，已捣毁一个向全球网络罪犯销售伪造身份证件的非法交易平台VerifTools。 在此次行动中，两个主要市场域名（verif[.]tools 和 veriftools[.]net）以及一个相关博客已被关闭。访问这些站点的用户将被重定向到一个说明页面，页面显示此次行动由美国联邦调查局（FBI）依据美国地方法院签发的授权令执行。服务器在阿姆斯特丹被查没。 然而，平台运营者于2025年8月28日在Telegram上发布消息称，他们已在“veriftools[.]com”域名上重新恢复了服务。根据DomainTools的记录，该域名注册于2018年12月10日。目前该平台管理员的身份仍未知晓。 美国司法部周四表示：“VerifTools的运营者制作并销售伪造的驾驶执照、护照及其他身份证件，这些证件可用于绕过身份验证系统，并未经授权访问在线账户。”美国司法部称，FBI在2022年发现某个利用窃取的身份信息访问加密货币账户的犯罪活动后，开始对此服务展开调查。调查显示，该非法平台被用于生成美国所有50个州以及其他国家的伪造身份证件，价格低至9美元。 FBI称，与VerifTools市场有关的非法收益约达640万美元。在VerifTools网站上，运营者通过声明试图“合理推诿”其责任：“服务的合法使用是您的责任。使用服务时，您必须了解您所在司法管辖区的本地、州和联邦法律，并对您的行为独自承担责任。” 平台关闭后，一位名为Powda_reaper的Reddit用户在该平台的r/blackhat版块上声称，网站所有者给他们发消息说“网站因重大故障目前无法访问”，并承诺在8月29日前让网站重新上线，同时安抚他们“您的资金是安全的”。 美国代理检察官瑞安·埃里森表示：“互联网不是罪犯的避难所。如果你开发或销售能让罪犯冒充受害者的工具，那你就是犯罪的一部分。我们将动用一切合法手段打击你的业务，没收你的利润，并将你绳之以法。没有任何一个犯罪组织能大过我们的联合行动。” 荷兰国家警察在一份联合声明中将VerifTools描述为最大的虚假身份证件提供商之一。除两台物理服务器外，还有超过21台虚拟服务器被没收。官员们还指出，服务器上网站的全部基础设施已被安全扣押并复制，以供后续分析。在荷兰，伪造、使用虚假身份证明以及使用伪造支付工具，最高可判处六年监禁。 荷兰警察机关指出：“许多公司和机构使用所谓的‘了解你的客户’（KYC）验证，这通常只需要一张身份证件图像。通过使用VerifTools，这种KYC控制可能会被绕过。”他们进一步说明：“犯罪分子非常乐于使用VerifTools这类平台，因为他们可以利用制作的文档实施欺诈，例如银行帮助台欺诈和网络钓鱼。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，以经济利益为驱动的威胁组织Storm-0501已调整其攻击策略，将重点转向针对云环境进行数据窃取和勒索。 至少自2021年起开始活跃的Storm-0501，因在针对本地和混合云环境的攻击中使用多种勒索软件家族而闻名，包括Sabbath、Alphv/BlackCat、Hive、Hunters International、LockBit以及Embargo。 去年，该黑客组织通过入侵Active Directory环境，转而攻击Entra ID，将权限提升至全局管理员，在Entra ID租户配置中植入后门，并部署本地勒索软件以加密文件。 在最近一次针对大型企业的攻击中，该威胁行为者使用了类似手法：它入侵了多个Active Directory域，进行侦察以识别受保护的端点并规避检测，并利用Evil-WinRM这一利用后工具进行横向移动。 随后，Storm-0501攻陷了一台Entra Connect Sync服务器，并伪装成域控制器以请求域用户的密码哈希值。它还枚举了用户、角色和Azure资源，并尝试以多个特权用户身份登录。 登录尝试失败后，黑客随后在不同的Active Directory域之间穿梭，攻陷了另一台Entra Connect服务器，识别出一个在Entra ID中拥有全局管理员权限的非人类同步身份，并重置其密码以访问该账户。 微软解释道：“因此，威胁行为者能够使用新密码以该用户身份向Entra ID进行身份验证。由于该用户未注册MFA，在使用新分配的密码成功验证后，威胁行为者被直接引导至在其控制下注册一个新的MFA方法。” 在识别出一台Microsoft Entra混合联接设备后，Storm-0501得以以全局管理员身份访问Azure门户，从而获得了对云域的完全控制权。它立即通过注册一个新的Entra ID租户部署了后门，使其能够以任何用户身份登录。 在获得顶级的Entra ID权限后，黑客将其权限提升为受害者所有Azure订阅的“所有者”Azure角色，实质上接管了整个Azure环境。 微软指出：“我们评估认为，威胁行为者使用各种技术（包括使用AzureHound工具）启动了一个全面的发现阶段，试图定位组织的关键资产，包括包含敏感信息的数据存储，以及用于备份本地和云端点设备的数据存储资源。” 攻击者还瞄准了Azure存储账户，滥用Azure“所有者”角色窃取其访问密钥，然后将无法通过互联网访问的账户暴露到互联网及其自身基础设施中，随后使用AzCopy命令行工具（CLI）进行数据外泄。 窃取数据后，黑客开始大规模删除数据以防止补救措施。他们还试图删除那些保护数据免遭删除的防护措施，并对无法删除的资源实施基于云的加密。 微软称：“在成功外泄并销毁Azure环境中的数据后，威胁行为者启动了勒索阶段，他们使用先前已入侵的一个用户账户通过Microsoft Teams联系受害者，要求支付赎金。” 这家科技巨头还指出，Storm-0501在入侵受害者的云环境后，依赖云原生命令和功能来执行侦察、横向移动、凭据外泄、权限提升以及数据外泄、删除和加密。 公司强调：“Storm-0501持续展现出在本地和云环境之间移动的熟练能力，这例证了随着混合云采用率的增长，威胁行为者是如何适应的。他们寻找混合云环境中未受管理的设备和安全漏洞以规避检测并提升云权限，在某些情况下，还会在多租户设置中穿梭租户以达到其目标。”         消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者一直通过Google广告推广的多个网站，分发一款看似可信的PDF编辑应用，实则投放名为TamperedChef的信息窃取恶意软件。 此次行动是一个更大规模操作的一部分，涉及多个能相互下载的应用程序，其中一些会诱骗用户将其系统纳入住宅代理网络。目前已识别出超过50个域名用于托管这些具有欺骗性的应用，这些应用使用了至少四家不同公司颁发的伪造证书进行签名。研究人员表示，该活动范围广泛且策划周密，操作者等待广告投放周期结束后才激活应用程序中的恶意组件。 网络安全服务公司Truesec的技术分析描述了TamperedChef信息窃取程序如何被投放到用户系统。研究人员发现，该恶意软件通过多个网站进行分发，这些网站推广一款名为AppSuite PDF Editor的免费工具。根据网络记录，调查人员确定该活动始于6月26日，当时许多相关网站被注册或开始宣传AppSuite PDF Editor。 然而，研究人员发现这款恶意应用在5月15日已通过VirusTotal恶意软件扫描服务的验证。该程序在8月21日前表现正常，直至收到一次更新，激活了其内置的恶意功能，开始收集凭证和网络Cookie等敏感数据。据Truesec称，TamperedChef信息窃取程序是通过PDF编辑器可执行文件的“-fullupdate”参数传递的。 该恶意软件会检查主机上安装的各种安全代理。它还使用DPAPI（数据保护应用程序编程接口）——Windows中用于加密敏感数据的组件——查询已安装网页浏览器的数据库。Truesec研究人员深入挖掘分发方式，发现证据表明，在AppSuites PDF Editor中传播TamperedChef的威胁行为者依赖Google广告来推广这款恶意程序。 “Truesec已观察到至少5个不同的Google广告系列ID，这表明了一场广泛的运动”——Truesec 威胁行为者可能有一套策略，旨在激活AppSuites PDF Editor中的恶意组件前最大化下载量，因为他们选择在Google广告活动典型的60天有效期结束前四天投放信息窃取程序。 进一步研究AppSuites PDF Editor后，研究人员发现该程序的不同版本由“至少四家公司”的证书签名，其中包括ECHO Infini SDN BHD、GLINT By J SDN. BHD 和 SUMMIT NEXUS Holdings LLC, BHD。 Truesec发现，该活动的操作者至少从2024年8月起就开始活跃，并推广其他工具，包括OneStart和Epibrowser浏览器。值得注意的是，OneStart通常被标记为潜在不需要程序（PUP），这通常是广告软件的代称。 然而，托管检测与响应公司Expel的研究人员也调查了涉及AppSuites PDF Editor、ManualFinder和OneStart的事件，所有这些程序都“丢弃高度可疑的文件、执行意外命令并将主机变为住宅代理”，这更接近恶意软件的行为。 他们发现OneStart可以下载AppSuite-PDF（由ECHO INFINI SDN. BHD证书签名），而AppSuite-PDF又能获取PDF Editor。“OneStart、AppSuite-PDF和PDF Editor的初始下载是通过一个大型广告活动分发的，该活动宣传PDF和PDF编辑器。这些广告将用户引导至众多提供AppSuite-PDF、PDF Editor和OneStart下载的网站之一，”Expel称。 此次活动中使用的代码签名证书已被撤销，但对于当前已安装的用户，风险仍然存在。在某些PDF Editor的实例中，应用会向用户显示一条消息，请求允许将其设备用作住宅代理，以换取免费使用该工具。研究人员指出，代理网络提供商可能是未参与此次活动的合法实体，PDF Editor的操作者是作为 affiliates 以此牟利。 看来，PDF Editor的背后操纵者正试图以全球用户为代价，最大化其利润。即使此次活动中的程序被视为PUP，其能力也典型地属于恶意软件，应同样对待。 研究人员警告，他们发现的此次行动涉及更多应用程序，其中一些尚未被武器化，这些程序能够分发恶意软件或可疑文件，或在系统上秘密执行命令。Truesec和Expel的报告都包含了大量的入侵指标（IoCs），这有助于防御者保护用户和资产免受感染。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp已修复其iOS和macOS消息客户端中的一个安全漏洞，该漏洞在针对性的零日攻击中被利用。 公司表示，此零点击漏洞（编号为CVE-2025-55177）影响2.25.21.73之前版本的iOS版WhatsApp、2.25.21.78之前版本的iOS版WhatsApp Business，以及2.25.21.78之前版本的Mac版WhatsApp。 WhatsApp在一份周五发布的安全公告中称：“WhatsApp中关联设备同步消息的授权机制不完整……可能允许无关用户触发目标设备处理来自任意URL的内容。” “我们评估认为，此漏洞与苹果平台的操作系统级漏洞（CVE-2025-43300）结合，可能已被用于针对特定目标用户的复杂攻击。” 苹果本月早些时候发布紧急更新以修补CVE-2025-43300零日漏洞时，也曾表示该漏洞已被用于“极其复杂的攻击”。 尽管两家公司尚未发布有关此次攻击的进一步信息，国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示，WhatsApp已向部分用户发出警告，称他们在过去90天内已成为一项高级间谍软件活动的目标。 警告中写道：“我们已通过更改防止此特定攻击通过WhatsApp发生。然而，您的设备操作系统可能仍受恶意软件危害，或可能遭受其他方式的攻击。” 在向可能受影响的个人发送的安全威胁通知中，WhatsApp建议他们将设备恢复出厂设置，并保持设备操作系统和软件为最新状态。 今年三月，WhatsApp在收到多伦多大学公民实验室安全研究人员的报告后，修复了另一个被用于安装Paragon的Graphite间谍软件的零日漏洞。 当时一位WhatsApp发言人表示：“WhatsApp已挫败由Paragon发起的间谍软件活动，该活动针对多名用户，包括记者和公民社会成员。我们已直接联系了我们认为受影响的人士。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织Lab Dookhtegan据称扰乱了60艘伊朗船只的通信。此次攻击至少影响了39艘油轮和25艘货轮，这些船只由受美国制裁的伊朗海运企业——国家伊朗油轮公司和伊朗伊斯兰共和国航运公司运营。 黑客攻破了卫星通信公司Fannava，禁用“猎鹰”通信系统并清除了核心数据。攻击致使伊朗船只陷入“失明”状态。 该组织发布的截图显示，他们已获取运行iDirect卫星软件（版本2.6.35）的Linux终端根权限。该软件版本陈旧，不符合基本网络安全标准。 黑客通过逐个调制解调器测绘伊朗船队，控制了“猎鹰”通信系统，并持续潜伏五个月后，于8月使船只陷入瘫痪。 “一旦入侵成功，黑客便瞄准名为‘猎鹰’的核心系统——正是这套软件维持着卫星链路的运行。它如同船舶通信系统的心脏。停止‘猎鹰’系统，船只便陷入黑暗：无法与岸上邮件往来，收不到气象更新，失去港口协调能力，彻底与世隔绝。”博客作者Nariman Gharib报道称。 “但邮件日志实际揭示的内容更为惊人：时间戳可追溯至五月和六月。这意味着Lab-Dookhtegan并非仅在三月实施突击后就撤离。他们持续潜伏在伊朗海事网络中长达五个月，始终保持着访问权限，可随时启停系统，很可能监控了所有往来通信。” 攻击者以造成永久性破坏为目标，用零值覆盖六个存储分区，清除了日志、配置和恢复数据，彻底摧毁了船舶通信系统。 “我正查看一份包含电话号码、IP地址的电子表格——最令人难堪的是——密码竟以明文存储。诸如‘1402@Argo’‘1406@Diamond’这类弱密码随处可见。”博客文章继续指出，“凭借这些数据，攻击者理论上可监听船港间通话，冒充船舶身份，甚至通过切断语音通信制造更大混乱。” 这是Lab-Dookhtegan今年发起的第二次攻击，此前曾在三月导致116艘船只通信中断。本次袭击恰逢美国对伊朗石油实施新制裁，使得破坏程度尤为严重。黑客不仅造成临时中断，每艘受影响船舶现在都需要完全重装系统，这个过程可能导致船只停运数周甚至数月。对于本就承受压力、依赖持续通信协调以避免被扣押的伊朗船队而言，这无疑是灾难性打击。失去导航能力、通信功能甚至求救手段，整个船队已实际陷入瘫痪。此次攻击绝非意外，而是经过精密策划、瞄准伊朗最脆弱时刻的精准打击，所有证据表明，这场行动取得了成功。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称泄露的详细信息包括从医疗从业者的姓名到家庭住址的一切信息。Cybernews研究团队认为，这些数据可能源自第三方服务提供商的漏洞。 该帖子被发布在一个流行的数据泄露论坛上，此类论坛常被用来分享被盗数据。攻击者并未明确说明数据的具体来源，但他们声称数据包含了43.3万名美国医疗从业者的信息。 Cybernews研究团队查看了攻击者提供的数据样本，并得出结论认为，其中的信息混合了个人和工作账户。包含的数据类型表明，这些信息可能是从多次数据泄露中整理而来，或是某个被黑的特定第三方服务提供商泄露的。 （攻击者在数据泄露论坛上发布的帖子图片，由Cybernews提供。） “其中一些电子邮件此前并未出现在数据泄露事件中，这进一步增加了以下可能性：数据可能来自不同来源，或者此次漏洞尚未公开。”我们的团队解释道。 据称，该数据库包含了大量关于医生、外科医生和医疗保健专业人员的个人敏感信息，包括： 全名 电话号码 职称 专业领域 医院信息 电子邮件 地址 其他数据 团队注意到，该帖子的作者此前曾发布过按地点、行业和泄露细节数量分类的类似数据库。“换句话说，该帖文的作者可能是从许多不同来源收集数据，并且对其来源秘而不宣。”团队解释道。 与此同时，恶意行为者可以通过多种邪恶途径利用这些泄露的详细信息。最明显的是身份盗窃，即攻击者冒充个人建立欺诈账户。 然而，由于泄露的数据揭示了特定人群的信息，网络犯罪分子更可能利用这些信息进行定向钓鱼攻击。在这种情况下，攻击者会精心制作信息，其中包含能吸引（例如）医疗从业者的内容。 “其中一些电子邮件此前并未出现在数据泄露事件中，这进一步增加了数据可能来自不同来源，或者此次漏洞尚未公开的可能性。” Cybernews研究团队解释道。 攻击者的主要目标是让受害者透露更多个人信息，或诱骗他们下载恶意软件。医疗数据是网络犯罪地下市场中最有价值的战利品之一，因为它通常能使网络犯罪分子提交欺诈性医疗索赔，从而用于非法购买处方药。 此外，攻击者会以医护人员为目标投放恶意软件，因为这可能促成针对医疗保健提供商的勒索软件攻击。勒索软件团伙专注于攻击医院，因为此类组织无法允许系统宕机，并且在攻击者看来，它们更有可能支付赎金。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动，利用了一份国家情报通讯刊物来诱骗受害者。 网络安全公司Seqrite在8月29日发布的新报告中披露，APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。 这项被称为“韩国幻影行动”（Operation HanKook Phantom）的行动包含两波活动，期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。 以首尔情报为诱饵的鱼叉式钓鱼 第一波活动利用名为“国家情报研究学会通讯-第52期”（韩语：국가정보연구회 소식지 (52호)）的文档作为诱饵。 《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述，并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步（如人工智能）和韩朝关系的 ongoing 讨论。 根据Seqrite研究人员的说法，攻击者分发这份看起来合法的PDF文件的同时，还附带了一个恶意的LNK（Windows快捷方式）文件，该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。 一旦LNK文件被执行，便会触发载荷下载或命令执行，使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法，包括内存执行、伪装诱饵和隐藏的数据渗出例程。 通过分析攻击链，Seqrite研究人员发现其最终载荷是RokRAT，这是一个通常作为编码后的二进制文件分发的后门程序，在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。 此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者，他们通常是以下一个或多个韩国机构的成员： 国家情报研究协会 光云大学 高丽大学 国家安全战略研究院 中央劳动经济研究所 能源安全与环境协会 救国精神振兴会 养志会（纪念会议主办方） 韩国整合战略 以朝鲜官方通讯为诱饵的鱼叉式钓鱼 第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。 Seqrite报告指出，根据平壤的朝鲜中央通讯社（KCNA）报道，该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称：“它强烈批评韩国改善朝韩关系的尝试，称其毫无意义或虚伪。”文件还提到，朝鲜断然拒绝未来与韩国的任何对话或合作，宣布结束和解努力，并将在未来采取敌对、基于对抗的立场。 此攻击链与第一波活动相似，从一个恶意的LNK文件开始，该文件在部署混淆组件（tony33.bat, tony32.dat, tony31.dat）到%TEMP%目录的同时，会释放一个诱饵文档。LNK文件会自行删除，随后批处理脚本触发无文件攻击：tony32.dat在内存中解码，用XOR解密（密钥0x37）tony31.dat，并通过API调用（VirtualAlloc+CreateThread）将其注入。 投放器通过伪造的HTTP请求从命令与控制（C2）服务器获取次要载荷（abs.tmp），通过PowerShell（-EncodedCommand）执行它并删除痕迹。同时，它通过在删除前通过伪装的POST请求（模仿PDF上传）来渗出%TEMP%文件，并使用合法系统工具（LOLBins）、内存执行和流量混合来逃避检测。 第二波活动的目标包括： 李在明政府（韩国政府内阁） 统一部 美韩军事同盟 亚太经合组织（APEC） APT37使用高度定制的鱼叉式钓鱼攻击 Seqrite将这两波结合的活动命名为“韩国幻影行动”（Operation HanKook Phantom），“HanKook”是一个通常用于指代韩国的韩语词，而“Phantom”（幻影）则代表了在整个感染链中使用的隐蔽且规避的技术。 APT37是一个网络间谍组织，拥有许多别名，包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃，并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门，近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。 2017年，APT37将其目标范围扩展到朝鲜半岛以外，包括日本、越南和中东，并瞄准了更广泛的行业领域，包括化工、电子、制造、航空航天、汽车和医疗保健组织。 Seqrite研究人员总结道：“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击，利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司Anthropic近期阻止了一起网络犯罪活动，该犯罪分子利用Claude Code编写钓鱼邮件、创建恶意代码并绕过安全过滤机制。 Anthropic最新版《威胁情报报告》显示，黑客、网络犯罪分子及其他威胁行为者已调整策略，开始利用AI的最先进能力实施攻击。AI模型正被用于执行复杂的网络攻击，同时该技术显著降低了从事网络犯罪的门槛——即便缺乏技术和编程能力的犯罪分子，如今也能借助AI实施勒索软件攻击或钓鱼骗局。 诈骗者更将AI嵌入其全流程操作：从受害者画像分析、窃取数据解析到伪造身份扩大潜在目标范围。报告中列举了Claude遭滥用的近期案例，包括： 利用Claude Code实施的大规模勒索行动 朝鲜背景的欺诈性就业骗局 仅具备基础编程能力的犯罪分子销售AI生成的勒索软件 首个案例中，威胁行为者使用Claude Code自动化执行侦察任务、窃取受害者凭证并渗透网络。Anthropic指出：“Claude被允许作出战术与战略决策，包括决定窃取哪些数据、如何设计心理定向勒索方案。它分析窃取的财务数据以确定赎金金额，并在受害者机器上生成视觉警示性勒索信。” 研究人员认为，此事标志着AI辅助网络犯罪的升级：“代理型AI工具正为攻击提供技术建议和实战支持，此类攻击原本需团队协作才能完成。由于这些工具能自适应防御措施，防护与执法难度持续增大。” 随着AI辅助工具日益精进和普及，此类复杂攻击将更加频繁。Anthropic表示，最佳解决方案是改进检测与遏制模型滥用的方法，承诺在该领域深化研究。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： nx构建系统的维护者已向用户发出供应链攻击警报，此次攻击导致恶意版本的流行npm软件包及具有数据收集功能的辅助插件被发布。 维护者在周三发布的公告中表示：“恶意版本的nx软件包以及一些辅助插件包被发布到npm，其中包含扫描文件系统、收集凭证并将其作为用户账户下的仓库发布到GitHub的代码。” Nx是一个开源、与技术无关的构建平台，旨在管理代码库。它被宣传为“AI优先的构建平台，将从编辑器到CI（持续集成）的一切连接起来”。该npm软件包每周下载量超过350万次。 受影响软件包及版本列表如下。这些版本现已从npm注册表中移除。nx软件包的入侵发生在2025年8月26日。 nx 21.5.0, 20.9.0, 20.10.0, 21.6.0, 20.11.0, 21.7.0, 21.8.0, 20.12.0 @nx/devkit 21.5.0, 20.9.0 @nx/enterprise-cloud 3.2.0 @nx/eslint 21.5.0 @nx/js 21.5.0, 20.9.0 @nx/key 3.2.0 @nx/node 21.5.0, 20.9.0 @nx/workspace 21.5.0, 20.9.0 项目维护者表示，问题的根本原因源于2025年8月21日添加的一个存在漏洞的工作流程，该流程引入了使用特别制作的拉取请求（PR）标题来注入可执行代码的能力。虽然在该工作流程被发现在恶意环境中可利用后，“master”分支中的流程“几乎立即”被恢复，但评估认为威胁行为者针对仍包含该工作流程的过时分支发起了PR以发动攻击。 nx团队表示：“pull_request_target触发器被用作一种方式，在PR创建或修改时触发操作运行。然而，被忽略的是警告信息：与标准的pull_request触发器不同，此触发器以提升的权限运行工作流程，包括具有读/写仓库权限的GITHUB_TOKEN。” 据信，GITHUB_TOKEN被用来触发“publish”工作流程，该流程负责使用npm令牌将nx软件包发布到注册表。 但由于PR验证工作流程以提升的权限运行，“publish工作流程”在“nrwl/nx”仓库上被触发运行，同时引入了恶意更改，使得将npm令牌外泄到攻击者控制的webhook[.]site端点成为可能。 nx团队解释说：“作为bash注入的一部分，PR验证工作流程触发了publish.yml的运行，并附带此恶意提交，将我们的npm令牌发送到一个陌生的webhook。我们相信这就是攻击者获取用于发布恶意版本nx的npm令牌的方式。” 换句话说，如果提交了恶意的PR标题，注入漏洞就能实现任意命令执行，而pull_request_target触发器则通过提供具有仓库读/写权限的GITHUB_TOKEN来授予提升的权限。 这些恶意版本的软件包中被发现包含一个安装后脚本（postinstall script），该脚本在软件包安装后被激活，用于扫描系统以查找文本文件、收集凭证，并将详细信息作为Base64编码的字符串发送到用户账户下包含名称“s1ngularity”的公开可访问的GitHub仓库。 维护者补充说：“恶意安装后脚本还修改了.zshrc和.bashrc文件（这些文件在终端启动时运行），以包含sudo命令，该命令会提示用户输入系统密码，如果提供，将立即关闭机器。” 尽管GitHub已开始归档这些仓库，但遇到这些仓库的用户仍应假设已遭入侵，并轮换GitHub和npm的凭证及令牌。还建议用户停止使用恶意软件包，并检查.zshrc和.bashrc文件中的任何不熟悉的指令并将其删除。 nx团队表示，他们还采取了补救措施，包括轮换其npm和GitHub令牌、审计组织内所有GitHub和npm活动以查找可疑活动，以及更新nx的发布访问权限以要求双因素认证（2FA）或自动化。 Wiz研究人员Merav Bar和Rami McCarthy表示，超过1000个被泄露的GitHub令牌中，有90%仍然有效，还有数十个有效的云凭证和npm令牌。据称，恶意软件通常在开发者机器上运行，通常是通过nx Visual Studio Code扩展。GitGuardian检测到多达1346个包含“s1ngularity-repository”字符串的仓库。 在2349个不同的被泄露秘密中，绝大多数是GitHub OAuth密钥和个人访问令牌（PAT），其次是Google AI、OpenAI、Amazon Web Services、OpenRouter、Anthropic Claude、PostgreSQL和Datadog的API密钥和凭证。 云安全公司发现，该有效负载仅能在Linux和macOS系统上运行，会系统性地搜索敏感文件并提取凭证、SSH密钥和.gitconfig文件。 该公司表示：“值得注意的是，该活动通过使用危险标志提示已安装的AI CLI工具来窃取文件系统内容，利用受信任的工具进行恶意侦察。” StepSecurity表示，此事件是首例已知的攻击者将开发者AI助手（如Claude、Google Gemini和Amazon Q）转变为供应链利用工具并绕过传统安全边界的案例。 Socket表示：“在作用域nx软件包中的恶意软件与nx软件包中的恶意软件之间存在一些差异。首先，AI提示不同。在这些软件包中，AI提示更基本一些。这个LLM提示的范围也远没有那么广泛，主要针对加密钱包密钥和秘密模式以及特定目录，而@nx中的提示则会抓取任何有趣的文本文件。” Aikido的Charlie Eriksen表示，使用LLM客户端作为枚举受害机器上秘密的载体是一种新颖的方法，并为防御者提供了关于攻击者未来可能方向的洞察。 StepSecurity的Ashish Kurmi说：“鉴于nx生态系统的流行度以及AI工具滥用的新颖性，此事件凸显了供应链攻击不断演变的复杂性。对于任何安装了受感染版本的用户来说，立即采取补救措施至关重要。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多家加密货币公司联合行动，成功阻止了通过“浪漫诱骗”诈骗手段窃取的近5000万美元资金落入犯罪分子手中。 区块链分析公司Chainalysis表示，其与加密货币交易所Binance、OKX以及稳定币公司Tether合作，查封了这笔资金。Chainalysis利用其调查工具，识别出与东南亚某“浪漫诱骗”组织相关的数个地址。 这类骗局通常结合情感欺骗和投资欺诈：诈骗者在约会网站上寻找目标人群，通过建立信任进行“情感培养”，随后说服受害者参与某种虚假的投资骗局。 Chainalysis识别出诈骗者用于接收来自数百个受害者钱包付款的五个钱包——其中一些钱包在2022年11月至2023年7月期间发送了超过100万美元。 Chainalysis解释称：“资金转移后，诈骗者将所得收益发送至一个归集钱包，该钱包又将4690万美元的USDT（Tether）转移到三个中间地址。随后，这些资金又流向了五个不同的钱包。” Tether随后将调查结果分享给一家亚太地区的执法机构，并应其要求于2024年6月冻结了资金。目前尚不清楚为何时隔较久才公开此次行动。 Tether首席执行官Paolo Ardoino告诉Chainalysis：“与以太币和比特币等其他加密货币不同，Tether拥有冻结已知非法资金的技术能力。我们致力于与全球执法机构合作，冻结与‘杀猪盘’诈骗及各种非法活动相关的资金，最终目标是为受害者挽回损失。” 然而，这并非首次此类行动。2023年11月，Tether和OKX曾宣布与美国司法部（DOJ）合作，冻结了约2.25亿美元的USDT，这些资金与东南亚一个涉及浪漫骗局的国际人口贩卖集团有关。 “浪漫诱骗”呈上升趋势 “浪漫诱骗”正成为网络犯罪分子日益猖獗的牟利手段。Chainalysis二月份的一份报告显示，2024年与此相关的损失同比增长了40%，占加密货币诈骗总金额的三分之一。 报告还指出，2024年，“浪漫诱骗”诈骗者接收的存款数量同比增长了210%，表明受害者数量在不断增长。 今年三月，美国当局和区块链分析公司TRM Labs宣布，他们已查封了正准备流向“浪漫诱骗”诈骗者的820万美元资金。 此类犯罪通常由东南亚大型诈骗园区内遭受人口贩卖、失去自由的人员实施。根据Chainalysis的说法，Huione Guarantee等在线市场也为这种犯罪提供了便利，该市场自2021年以来已处理了超过490亿美元的加密货币交易。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文