HackerNews

HackerNews 编译，转载请注明出处： 英国知名俄罗斯问题研究专家基尔·贾尔斯（Keir Giles）上周末宣布，其多个电子邮箱账户遭黑客以“复杂账户接管”手段攻击，攻击者伪装成美国国务院人员。贾尔斯在领英发布的警告中提醒联系人谨慎处理任何看似由其发送的异常邮件。贾尔斯是《俄罗斯对所有人的战争》一书作者，同时担任智库查塔姆研究所（Chatham House）顾问研究员。 贾尔斯写道：“根据我们应对复杂账户接管攻击的长期经验，攻击者在被锁定前获取的信息（包括您或他人发送给我的消息）很可能被用于未来污染性数据泄露。”此前在去年，贾尔斯已成为为俄罗斯情报部门服务的黑客目标，这些黑客持续冒充研究人员与学者，试图侵入其同事邮箱账户，但当时贾尔斯的账户未被攻破。 网络安全公司Secureworks与Mandiant对针对贾尔斯的钓鱼邮件、附件及凭证窃取基础设施进行了独立分析。两家公司均认为，此次攻击由国家支持的黑客组织实施，该组织被追踪命名为Iron Frontier、Calisto、Coldriver或Star Blizzard。英国政府评估其隶属于俄罗斯情报机构，并于2013年将其归因于俄联邦安全局（FSB）第18中心（Center 18） ——英国政府曾为此召见俄罗斯大使，指控克里姆林宫幕后主导一系列“持续但未遂”的黑客泄密行动，意图破坏民主制度。 与此同时，美国司法部起诉了参与第18中心钓鱼活动的两名俄罗斯公民：FSB官员鲁斯兰·亚历山德罗维奇·佩列季亚特科（Ruslan Aleksandrovich Peretyatko） 及欺诈域名创建者安德烈·斯坦尼斯拉沃维奇·科里涅茨（Andrey Stanislavovich Korinets） ，相关行动可追溯至2016年。英国政府披露，该组织在英国的既往目标包括英国秘密情报局（MI6）前局长理查德·迪尔洛夫爵士（Sir Richard Dearlove） ，以及致力于反制俄罗斯信息战的智库“治国方略研究所”（Institute for Statecraft）。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部已对谷歌计划以320亿美元收购云安全初创企业Wiz的交易启动反垄断审查。据彭博社报道，此项审查仍处于早期阶段，旨在评估该交易是否损害网络安全市场的竞争。报道指出，此类审查可能持续数月，或将包括与客户、竞争对手及并购双方的访谈。 谷歌于3月宣布的Wiz收购案，是其网络安全产品组合的关键布局——该组合此前已包含来自Mandiant的威胁情报技术和Siemplify的安全运营技术。谷歌对网络安全业务的雄心并非首次面临司法部审查：2022年其54亿美元收购Mandiant的交易同样接受过反垄断审查，但最终获批。 对于Wiz收购案，彭博社称双方已预判监管阻力，谷歌同意在交易失败时向Wiz支付约32亿美元的分手费。此次交易提出前一年，Wiz曾拒绝谷歌230亿美元的收购报价。若交易达成，将重塑微软主导的竞争格局，并改变投资者对云安全初创企业的投资逻辑。 谷歌长期难以在企业网络安全领域立足（尽管曾通过Chronicle和VirusTotal积极尝试），而此次整合Wiz技术与Mandiant资产后，公司正推行一项宏大战略：将主动与被动安全解决方案集成于统一平台。Wiz平台通过扫描所有主流云环境，构建代码、资源及连接的综合图谱，能精确定位潜在攻击路径，并根据影响程度对风险分级，为企业开发者和安全团队提供部署前的应用安全保障。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于爱尔兰的眼科护理技术公司Ocuco已向美国卫生与公众服务部（HHS）通报一起数据泄露事件，影响超过24万人。该公司自称全球最大的眼镜零售软件企业，其软件服务覆盖77个国家/地区的6000个服务点。 Ocuco尚未公开发布事件通告，但该事件很可能与勒索组织KillSec的黑客攻击相关——该组织今年早些时候宣称从Ocuco窃取了大量文件。4月初，黑客在其基于Tor的泄露网站上公布了Ocuco的信息，并发布多张截图佐证其攻击行为。 其中一张截图显示，黑客从该公司窃取了至少67万份文件（总计340GB数据）。黑客网站声称被盗数据已公开，但截至发稿时，Ocuco数据尚未出现在KillSec网站的可下载列表中。SecurityWeek已联系Ocuco寻求置评，若获回复将更新报道。 KillSec组织至少自2023年秋季开始活跃，其勒索软件即服务（RaaS） 业务于2024年6月对外宣布。目前该组织的泄露网站列出了约140名受害者。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多名《华盛顿邮报》记者的电子邮箱账户遭疑似国家支持的黑客攻击入侵。该事件于上周四晚间被发现，该报随即启动调查。6月15日（星期日），一份内部备忘录发送给员工，通知其“邮件系统可能遭受针对性未授权入侵”。 据《华尔街日报》报道，该备忘录由执行主编马特·默里（Matt Murray）签署，确认少数记者的微软账户受影响。由亚马逊创始人杰夫·贝佐斯持有的《华盛顿邮报》是美国最具影响力的新闻出版机构之一。 内部消息人士向《华尔街日报》透露，此次攻击针对报道国家安全、经济政策议题的记者，部分涉华报道记者亦遭锁定。高级持续性威胁（APT）即国家支持的黑客组织，常以微软Exchange等邮件系统为攻击目标。 去年，微软曾警告黑客利用Exchange中的关键权限提升漏洞作为零日漏洞，实施NTLM中继攻击。 《华盛顿邮报》目前未公开披露事件任何细节。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoomcar Holdings（Zoomcar）披露称，未经授权的系统访问导致840万用户遭遇数据泄露。该事件于6月9日被发现，此前威胁行为者向公司员工发送邮件，警告其系统遭网络攻击。 尽管未造成实质性服务中断，公司内部调查确认部分客户的敏感数据已遭泄露。Zoomcar是印度一家点对点汽车共享平台，连接亚洲新兴市场的车主与租户，提供中短期车辆租赁服务。该公司于2023年底通过与美国特殊目的收购公司IOAC合并，成为在美注册的特拉华州上市公司，其股票现于纳斯达克交易（代码：ZCAR）。 根据美国财务报告标准，公司需向美国证券交易委员会（SEC）报告此事件。Zoomcar声明：“2025年6月9日，Zoomcar Holdings, Inc.发现一起网络安全事件，涉及对其信息系统的未授权访问。公司在部分员工收到威胁行为者关于数据遭非法获取的外部通信后察觉此事。” 初步调查结果显示，840万客户的以下数据已暴露给未授权方： 全名 电话号码 车辆登记号 家庭地址 电子邮箱地址 Zoomcar表示，无证据表明用户财务信息、明文密码或其他可识别个人身份的高风险数据被泄露。公司强调仍在评估事件确切范围及潜在影响。目前攻击类型尚未确定，无勒索软件组织宣称对此负责。 BleepingComputer曾就事件性质询问Zoomcar，但未获回应。 2018年，Zoomcar曾遭遇另一次重大数据泄露，超350万客户记录（含姓名、邮箱、IP地址、电话号码及bcrypt哈希加密的密码）遭曝光。该数据最终于2020年在暗网市场出售，导致用户面临更高风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克安全团队近日披露，亚洲某金融机构上月遭遇Fog勒索软件攻击。该事件因攻击者使用非常规工具链及战术引发研究人员高度关注，其异常特征包括： 非典型工具植入 首次在勒索攻击中发现合法员工监控软件Syteca的滥用。该软件通常用于企业记录员工屏幕活动、追踪键盘输入等行为，但在此次攻击中被黑客武器化。 开源渗透工具滥用 攻击者部署多款非常规开源渗透测试工具（具体工具未公开），此类工具此前极少出现在勒索攻击前期准备阶段。 GC2渗透框架的异常使用 利用GC2框架通过Google Sheets/Microsoft SharePoint远程执行指令，并经由Google Drive/SharePoint实现数据外泄。该手法虽在2023年APT41攻击中出现过，但在勒索攻击中尚属首次。 攻击者在部署勒索软件后，竟反常地尝试建立持久化访问权限。赛门铁克高级情报分析师Brigid O Gorman指出：“绝大多数勒索攻击在完成数据窃取与加密后即终止，而此次攻击者表现出明确的网络持续控制意图。” 赛门铁克专家提出两种可能性： 勒索攻击可能仅是间谍行动的伪装，真实目的是长期渗透。 不排除黑客“顺带牟利”策略——在实施间谍活动同时通过勒索获取额外收益。 攻击路径与技术细节 初始入侵点：2台存在长期漏洞的Microsoft Exchange服务器被攻陷，此为勒索团伙常用入口 潜伏周期：攻击者在受害网络内部潜伏长达两周才启动勒索程序 痕迹清除：专项清理操作日志等数字证据，增加溯源难度 工具作用存疑：Syteca具体用途尚未明确，推测可能用于信息窃取或间谍监控 BeyondTrust技术总监James Maude补充道：“黑客越来越多地滥用合法软件，既能规避安全检测，又可集中资源进行社会工程攻击——尤其在用户拥有本地管理员权限的环境中，此类战术效果显著。” Fog勒索组织背景补充 该组织自2024年5月活跃，早期专注攻击美国教育机构（如俄克拉荷马大学）。其曾以“政府效率部（DOGE）”名义发送钓鱼邮件，借埃隆·马斯克相关话题嘲讽受害者，引发媒体关注。此次针对金融机构的复杂攻击，标志其战术升级与目标扩张。 赛门铁克最终结论：虽无确凿证据指向特定国家支持，但异常工具使用、持久化企图及勒索-间谍双重动机特征，表明这绝非普通勒索攻击，其背后可能隐藏更精密的地缘政治意图。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大西捷航空（WestJet）近期遭受网络攻击，导致部分内部系统及公司应用程序访问受限。作为加拿大第二大航空公司，西捷航空成立于1996年，主营国内及国际航线，目前拥有7000多名员工，市场资本达12亿美元。 事件发生后，西捷航空迅速启动应急响应： 系统影响：内部系统与移动端应用访问权限被限制，但航班运营安全未受直接威胁。 处置措施：成立专项内部团队，协同加拿大交通部及执法部门调查事件、控制影响范围。 数据防护：重点保护乘客及员工的敏感数据与个人信息，建议相关人员提高信息共享警惕性。 公司于2025年6月13日发布声明称：“西捷航空已意识到涉及内部系统及应用程序的网络安全事件，该事件导致部分用户访问受限。我们正加速维护运营安全，并对由此造成的服务中断深表歉意。” 截至6月14日，受影响的数字服务正逐步恢复，但事件具体细节及攻击技术特征尚未披露。 行业背景与历史安全事件 此次攻击发生在加拿大关键基础设施频遭网络威胁的背景下： 航空业风险加剧：2023年加拿大航空（Air Canada）员工信息泄露，2023年森科能源（Suncor）攻击事件波及全国加油站支付系统。 基础设施威胁升级：2025年4月新斯科舍省电力公司遭遇网络攻击，IT系统全面瘫痪。 西捷航空安全漏洞史：2022年8月因技术故障致用户信息交叉泄露，部分客户可见他人电话号码、住址及信用卡末四位；2017年会员数据遭第三方非法披露。 事件关键进展与应对 调查重点：尚未确认攻击是否由勒索软件引发，或属主动关闭系统以遏制风险扩散的预防措施。 用户建议：乘客需警惕个人信息泄露风险，避免在非必要场景提供敏感数据。 行业警示：加拿大政府近年已投入7740万加元强化网络安全，但企业级防护仍存短板，尤其中小企业更易成为攻击目标。 西捷航空表示将随调查推进及时披露进展，当前首要任务是确保运营稳定与数据安全。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Resecurity发现暗网上出现740万条巴拉圭公民个人身份信息（PII）记录。最新监测显示，这些数据已于今日在暗网泄露。上周，网络罪犯公开兜售该国全体公民信息，勒索740万美元赎金（相当于每位公民1美元）。该勒索软件组织以6月13日为最后通牒，试图敲诈整个国家——这可能是巴拉圭史上最重大的网络安全事件之一。 被盗数据已通过多个地下论坛发布。值得注意的是，攻击者除提供数据库压缩文件外，还同步公开了种子文件，使其他用户可通过P2P网络自由下载公民记录。此类手法此前曾被勒索组织LockBit 3.0使用，其利用P2P平台传播数据，有效规避了内容删除机制。 此次泄露覆盖巴拉圭全国人口信息，包含从多个政府信息系统窃取的敏感数据。攻击者在勒索声明中谴责该国领导层存在腐败问题，且长期忽视公民数据保护。巴拉圭政府已公开拒绝支付赎金，但未说明750万公民信息的具体失窃过程，仅给出模糊解释。数据公开前几日，该国总统的推特账号也遭入侵。 泄露源主要涉及三大政府系统： 国家交通与道路安全局（车辆登记及身份证信息） 公共卫生与社会福利部（医疗健康记录） 另一未具名的公民信息库 这已非巴拉圭首次遭遇大规模泄露。2025年内已连续发生两起重大事件： 最高选举法院（TSJE） 超700万人信息暴露 财政部、央行与伊泰普水电站 1.7万条公务人员薪资及身份证号泄露 更早的2023年，国家警察局还发生过在押人员犯罪记录与照片外泄事件。 实施攻击的黑客组织自称“网络雇佣兵”（Cyber PMC），宣称以牟利为目的入侵政府系统。其背景存在两种可能： 纯粹的网络犯罪团伙 受外国政府资助的势力（借犯罪掩盖间谍行动） Resecurity特别指出：巴拉圭是南美唯一承认台湾“独立”的国家。这种地缘政治矛盾可能加剧网络攻击。 当前形势表明：针对南美政府系统的网络攻击正持续升级，外国威胁组织正系统性入侵存储公民信息的国家数据库。巴拉圭遭遇的“入侵+泄露”模式，因其规模（全国人口数据）和性质（国家级勒索），已成为网络安全领域的标志性事件。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意广告网络如同不死鸟，每次被打击后都会以新名称重生，犯罪团伙随即蜂拥而至。安全研究团队近期揭露：网站黑客与特定广告技术公司存在深度勾结。 自2015年底起，黑客劫持WordPress等网站后，会将访问者重定向至VexTrio——全球最大的犯罪流量分发系统（TDS）。该恶意联盟计划进而通过被劫持网站传播恶意软件、诈骗信息及非法内容。这套犯罪系统如同智能路由：在伪装无害的前提下，精准将用户引导至恶意站点。 安全公司Infoblox研究发现，多家表面独立的广告技术公司实际与该犯罪网络紧密交织。整个体系犹如多头蛇怪：一个广告技术节点被斩断，立即会有新节点补位。11月13日曝光的瑞士-捷克广告公司Los Pollos便是典型代表——该企业不仅参与犯罪活动，更被俄罗斯虚假信息组织Doppelganger用于宣传操作。 Los Pollos的推送链接变现服务关停后，被劫持的WordPress网站立即更新重定向机制，以完全相同的方式将用户导向新广告技术平台Help TDS。调查显示，Help TDS并非新生系统，而是与VexTrio勾结多年的老牌犯罪渠道。GoDaddy研究团队曾指出，Help与此前发现的“一次性TDS”高度相似，两者均长期为VexTrio输送犯罪流量。 深层溯源揭露更多广告技术公司与VexTrio存在惊人共性：共享代码架构的Partners House、BroPush、RichAds等平台，其URL结构、核心文件均指向同一技术源头。尽管这些企业均存在俄罗斯关联且长期互相引流，但至今未发现明确的共同股权关系。 犯罪链条的商业模式 为何黑客不自建网络而依赖广告平台？关键在于精细化欺诈：恶意流量分发系统按“用户行为”向被劫持网站支付佣金——当受害者提交邮箱、信用卡等敏感信息时，犯罪收益便自动生成。 这些所谓“广告内容”实为诈骗陷阱： 冠以“主流交友”、“抽奖活动”之名的加密货币骗局 成人内容与恶意软件下载站 通过欺诈性订阅推送通知实施持续诈骗 犯罪广告平台通常运营封闭的广告池，仅对特定恶意合作伙伴开放。 犯罪基础设施的双重布局 Infoblox通过分析450万次DNS查询，发现两套位于俄罗斯的独立控制服务器集群： 使用差异化主机服务 配置不同的重定向域名 采用分离的URL结构 共同点为最终均指向VexTrio犯罪网络。 追责困境与突破口 犯罪者身份仍隐匿于： 通过Cloudflare等代理服务隐藏行踪 利用防弹主机掩盖服务器位置 刻意分割技术特征规避溯源 广告平台常以“无法管控恶意合作方”推诿责任，强调其仅充当发布商与广告主的中介。但安全团队指出：这些平台掌握着犯罪联盟的会员信息与交易数据，实为追踪犯罪者的关键突破口。能否配合执法提交证据，将成为检验其是否“被动涉罪”的试金石——毕竟它们清楚知晓，每天将多少无辜访客引向了全球诈骗犯的陷阱。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙早已恶名昭著，但近日其行径再度突破底线——竟将魔爪伸向墓地。活跃度极高的勒索组织INC Ransom宣称成功入侵加拿大汉密尔顿教区天主教墓园，并将该机构列入其暗网受害者名单。 与常规勒索攻击手法一致，黑客公开了据称窃取的数据样本。网络安全研究团队谨慎核查后发现，泄露信息涵盖： 财务文件 墓地规划图 合同文书 客户及员工姓名 出生日期 员工薪资单 理论上，攻击者可利用这些敏感信息针对丧亲家属实施金融诈骗：冒充殡葬服务机构骗取个人敏感数据，或定向推送欺诈信息。当前INC Ransom已成为最猖獗的勒索组织之一。该团伙自2023年7月活跃至今，攻击版图持续扩张，受害者包括： 美国国防承包商Stark AeroSpace 旧金山芭蕾舞团 英国莱斯特市政府 苏格兰NHS邓弗里斯-加洛韦卫生委员会 施乐公司（曾遭数据窃取） 据监测工具显示，过去12个月该组织累计侵害至少163家机构。该团伙采用”加密+窃密”的双重勒索模式，随机攻击医疗、教育、政府等多领域目标。虽其成员背景不明，但多数受害者集中于西方国家，且遵循“不攻击独联体国家”的潜规则——这与俄罗斯黑客组织的行为特征高度吻合。 有研究指出，新兴勒索组织Lynx可能是INC Ransom的分支或重组产物。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 邮轮旺季正式到来，不法分子正虎视眈眈地瞄准粗心游客展开诈骗。如果您计划今年或明年夏季乘坐邮轮，务必警惕诈骗者的新伎俩，避免假期被毁。 诈骗者近期频繁针对预订热门目的地（如美国、英国、巴哈马群岛）邮轮行程的游客。为此，三大邮轮巨头——嘉年华邮轮、皇家加勒比邮轮和挪威邮轮——联合发布旅行警报，提醒乘客防范欺诈陷阱。 骗子手段多样。例如，他们伪造看似正规的预订网站，以“难以置信的优惠”为饵，诱骗计划预订酒店、机票或邮轮的网民。此外，当旅客尝试联系邮轮公司、酒店或航司咨询已有预订时，诈骗者会通过谷歌搜索结果中的恶意广告（Malvertising）劫持通话。一旦受害者使用该渠道联系，电话将被转接至冒充邮轮公司客服的骗子，进而兜售听似诱人实则欺诈的“优惠方案”。 一位嘉年华邮轮乘客在Reddit分享亲身经历：她在处理常规登船问题时，通过谷歌搜索拨打了虚假客服电话。对方声称提供“限时促销”，要求她立即重新预订即可享受1000美元折扣。心生疑虑的她挂断电话后直接联系嘉年华官方，证实遭遇诈骗，邮轮公司随即冻结其账户防止资金损失。 皇家加勒比和挪威邮轮乘客也报告类似事件。诈骗者常伪装成邮轮公司代理，以“限时优惠”为由催促交易，或要求重新确认个人信息及支付凭证。 邮轮公司敦促旅客：通过官网核实联系方式，避免使用第三方渠道，全程保持警惕。谷歌信任与安全团队在夏季旅行预警中指出：“虚假旅游网站常以‘过于优惠’的价格、体验或折扣诱骗用户。这些欺诈网站通常模仿知名酒店或伪装成正规旅行社，在节假日等预订高峰期尤其活跃，并通过即时通讯软件或电话实施诈骗。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者通过利用SimpleHelp远程监控与管理（RMM）工具中的漏洞，成功入侵了一家公用事业软件计费服务提供商的客户系统。网络安全和基础设施安全局（CISA）发布的新公告警告称，此事件反映出勒索组织自2025年1月以来针对未修复版本SimpleHelp RMM的广泛攻击模式。 SimpleHelp 5.5.7及更早版本存在多个漏洞，其中包括路径遍历漏洞CVE-2024-57727。CISA指出：“勒索组织很可能利用CVE-2024-57727漏洞访问下游客户未修复的SimpleHelp RMM工具，通过双重勒索手段破坏服务。” 所有软件供应商、下游客户及终端用户均被敦促立即核查是否因该漏洞遭受入侵，并采取缓解措施。 漏洞利用详情 路径遍历漏洞CVE-2024-57727于2025年1月公开，并于同年2月13日被列入CISA已知可利用漏洞（KEV）目录。该漏洞可使未经认证的远程攻击者通过构造特殊HTTP请求，从SimpleHelp主机下载任意文件（包括含有机密信息和哈希用户密码的服务器配置文件）。 2025年5月，Sophos研究人员观察到DragonForce勒索软件通过组合利用CVE-2024-57727及同期披露的另外两个漏洞（CVE-2024-57728：允许管理员用户通过上传特制压缩包在文件系统任意位置写入文件的高危漏洞；CVE-2024-57726：允许低权限技术人员创建越权API密钥的严重漏洞）入侵多个客户网络。加密数据后，攻击者采用双重勒索策略，在索要赎金的同时威胁泄露窃取数据。CISA未透露攻击公用事业软件提供商的勒索组织名称。 防护措施 CISA针对不同主体提出建议： 1.软件供应商 若供应商自有软件中嵌入了SimpleHelp，或第三方服务提供商在下游客户网络中部署了SimpleHelp，应核查服务器版本（位于配置文件顶部）。若发现自2025年1月以来使用过5.5.7或更早版本，需立即执行： 隔离SimpleHelp服务器实例与互联网连接或停止服务器进程 升级至最新版本修复漏洞 通知所有下游客户并指导其加固终端设备，同时在网络中开展威胁狩猎 2.下游客户与终端用户 下游客户需立即核查系统是否直接或通过第三方软件间接运行未修复的SimpleHelp RMM。 若发现存在SimpleHelp，可通过向服务器发起HTTP查询确认版本。若确认系统存在5.5.7或更早版本，组织应： 开展威胁狩猎行动寻找入侵证据 持续监控SimpleHelp服务器的异常进出流量 若未发现入侵痕迹，立即升级至最新版本；若无法立即修复则应用临时解决方案 补充说明 SimpleHelp Ltd公司已发布移动端远程支持工具，但该应用与此次漏洞无关。CISA强调，及时升级和主动监控是应对此类供应链攻击的关键防线。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个在合法网站上注入恶意 JavaScript 的大规模攻击活动。 据 Palo Alto Networks Unit 42 报告，这些恶意注入代码使用 JSFuck 进行混淆。JSFuck 指的是一种“深奥且具有教育意义的编程风格”，它仅使用有限的字符集来编写和执行代码。 由于涉及不雅用语，这家网络安全公司将该技术赋予了另一个名称“JSFireTruck”。 “已识别出多个网站被注入了使用 JSFireTruck混淆的恶意 JavaScript，该混淆主要由符号 [, ], +, $, {, } 构成，”安全研究员哈迪克·沙赫（Hardik Shah）、布拉德·邓肯（Brad Duncan）和普拉奈·查帕瓦尔（Pranay Kumar Chhaparwal）表示。“代码的混淆隐藏了其真实目的，阻碍了分析。” 进一步的分析确定，注入的代码旨在检查网站的引荐来源（“document.referrer”），该信息标识了发出请求的网页地址。 如果引荐来源是诸如 Google、Bing、DuckDuckGo、Yahoo! 或 AOL 这样的搜索引擎，JavaScript 代码就会将受害者重定向到可以传播恶意软件、漏洞利用程序、进行流量变现和传播恶意广告（malvertising）的恶意网址。 Unit 42 表示，其遥测数据显示，在 2025 年 3 月 26 日至 4 月 25 日期间，有 269,552 个网页被发现感染了使用 JS消防车技术的 JavaScript 代码。该活动在 4 月 12 日首次出现峰值，当天单日就发现了超过 5 万个受感染的网页。 “该活动的规模和隐蔽性构成了重大威胁，”研究人员说。“这些感染的普遍性表明存在一项协同努力，旨在通过攻陷合法网站作为攻击载体，以实施进一步的恶意活动。” 这一消息发布的背景是：Gen Digital 揭开了一种名为 HelloTDS 的复杂流量分发服务（Traffic Distribution Service, TDS）的面纱。该服务旨在通过注入网站的远程托管 JavaScript 代码，有条件地将网站访问者重定向到虚假验证码（CAPTCHA）页面、技术支持诈骗页面、虚假浏览器更新提示、不需要的浏览器扩展以及加密货币骗局。 该 TDS 的主要目标是将受害者设备采集指纹特征后，作为一个网关来确定要向他们投放的具体内容性质。如果用户未被认定为合适的目标，受害者会被重定向到一个良性网页。 “攻击活动的入口点是受感染或被攻击者控制的其他流媒体网站、文件共享服务，以及恶意广告（malvertising）活动。”研究员沃伊捷赫·克莱萨（Vojtěch Krejsa）和米兰·斯平卡（Milan Špinka）在本月发布的一份报告中表示。 “受害者的筛选会基于地理位置、IP地址和浏览器指纹特征；例如，通过VPN或无头浏览器的连接会被检测并拒绝。” 其中一些攻击链已被发现会提供虚假验证码页面，这些页面利用 ClickFix 策略欺骗用户运行恶意代码，从而使他们的机器感染一种名为“峰值之光”（PEAKLIGHT，也称为 Emmenhtal Loader）的恶意软件。已知该恶意软件会加载信息窃取程序，如 Lumma。 HelloTDS 基础设施的核心是使用 .top、.shop 和 .com 顶级域名来托管 JavaScript 代码，并在经过多阶段（旨在收集网络和浏览器信息）的指纹采集过程后触发重定向。 “这些虚假验证码活动背后的 HelloTDS 基础设施，展示了攻击者如何不断完善其方法，以绕过传统防护措施、逃避检测并有选择性地锁定受害者。”研究人员表示。 “通过利用复杂的指纹识别、动态域名基础设施和欺骗手段（例如模仿合法网站或向研究人员提供良性内容），这些活动既能保持隐蔽性，又能达到大规模。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布其企业环境专用密码共享功能安全密码部署(Secure Password Deployment)全面上市。该功能本周起向Microsoft Edge企业版用户开放，通过加密凭证分发机制降低非授权访问风险，确保员工不会意外泄露密码至非目标接收方。 该功能适用于Microsoft 365商业高级版、E3及E5订阅版本，且需具备Edge管理员或全局管理员角色权限。 微软表示：“当今许多企业中，员工常通过便签或电子邮件共享密码。这不仅会向非目标接收方暴露敏感凭证，还增加密码被转发或滥用的风险。安全密码部署允许管理员向组织内特定用户组分发加密共享密码。用户将在设备上接收密码，并实现无缝网站登录。” 该功能集成于Microsoft 365管理中心内的Edge管理服务，管理员可通过策略配置浏览器设置，向特定用户组分发加密密码。此功能扩展了内置自动填充体验，通过直观界面支持管理员添加、更新及撤销凭证。 管理员部署密码后，密码将自动出现在受管Windows设备的Edge工作配置文件中，在对应网站实现自动填充，提供安全登录体验。尽管密码可在Edge中访问，但用户无法查看、编辑、删除（网站特殊权限除外）或从密码管理器导出密码。 虽然通过浏览器开发者工具仍可能获取密码，但管理员可通过开发者工具可用性策略(DeveloperToolsAvailability policy)限制访问。密码经Microsoft信息保护SDK加密，并与Entra身份绑定，确保基于组织策略自动执行访问控制，无需手动密钥管理。 微软补充说明：“此集成将微软数据保护平台能力直接融入Edge管理体验，为管理员提供符合零信任原则与合规要求的凭证安全分发方案。通过将保护SDK直接嵌入Edge企业版，我们将数据保护能力延伸至终端——确保敏感信息从配置到使用的全流程安全。” 启用安全密码部署需首先访问Microsoft 365管理中心的Edge管理服务，选择现有配置策略或创建新策略。选定策略后，点击“自定义设置”标签页，进入安全密码部署页面。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国主要票务平台及在线图书零售商Yes24遭遇勒索软件攻击，导致该国娱乐产业陷入混乱——根据当地媒体报道，此次攻击迫使大量活动取消或延期，主办方正紧急应对持续的服务中断。本次攻击发生于周一（6月9日）凌晨，致使Yes24网站及服务连续四天瘫痪，在线演唱会预订、电子书访问和社区论坛功能均告中断。公司声明目标在6月15日前全面恢复运营。 韩国隐私监管机构“个人信息保护委员会”已启动调查，本次事件可能导致客户数据泄露。当局表示将审查Yes24是否履行了韩国数据隐私法规定的法律义务。 当地媒体报道称，Yes24服务中断引发连锁反应。包括朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I在内的多位韩流明星预售及粉丝活动已被推迟或取消。《廊桥遗梦》《阿拉丁》等音乐剧制作方要求观众出示纸质门票或邮件确认函入场。据报道，本周初因无法提供可验证票务信息，部分观众遭拒入场。 Yes24周三声明称已重新掌控管理员账户，正努力恢复其他服务。攻击者身份目前尚未明确。该公司表示尚未确认个人信息外泄，但已向韩国数据隐私机构报告涉及客户数据未授权访问的可疑活动。 “若后续调查证实个人信息泄露，我们将立即通知用户。”Yes24在官网公告中声明。票务平台因存储海量个人数据、处理高额支付流水，且面临避免活动中断与声誉受损的赎金支付压力，成为网络犯罪分子的高价值目标。在美国，黑客曾针对StubHub和Ticketmaster等平台发动攻击，尤其意图干扰泰勒·斯威夫特“时代巡回演唱会”门票销售。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织宣称窃取6400万条T-Mobile用户数据，包含税务ID、设备识别码等新型敏感字段，数据时效截至2025年6月1日。若属实，这将成为T-Mobile近五年内第9次重大数据泄露。 T-Mobile在美国拥有约1.31亿客户，2024年营收超810亿美元。其多数股权由欧洲最大、全球第五大电信运营商德国电信持有。 与此同时，Cybernews研究团队分析了帖子附件中的数据样本。研究人员称，该样本于东部时间凌晨2点左右上传，包含大量敏感细节： 全名 出生日期 税务ID 完整地址 电话号码 电子邮箱地址 设备唯一识别码 网站行为追踪码 IP地址 威胁行为者可利用这些被盗信息实施身份盗窃、金融诈骗和钓鱼攻击。例如，恶意行为者可能使用个人详细信息开设欺诈账户、提交虚假纳税申报或申请贷款。同时，设备识别码、网站行为追踪码与IP地址的组合，可被用于收集用户数据、分析其在线习惯。攻击者利用此类情报对高价值目标实施鱼叉式钓鱼攻击。 研究团队无法准确判定黑客宣称窃取的6400万条记录是否对应同等数量的独立个体。Cybernews个人数据泄露检查工具显示，样本中至少部分邮箱地址曾出现在T-Mobile历史泄露事件中。团队还指出，本次泄露似乎包含此前未出现的数据类型（如电话号码），但目前无法100%验证数据真实性。 “若数据属实，暴露6400万条高度敏感信息将引发严重的身份盗窃/欺诈、监控及更精准的客户定向攻击风险，”研究团队表示。若泄露数据确属新增，受影响个人将面临严峻隐私威胁。“T-Mobile屡次发生数据泄露事件，这令人质疑其持续性安全漏洞及防护措施的有效性。” 德国电信旗下的T-Mobile在2020年代屡遭黑客攻击。去年10月，该公司因系列数据泄露事件同意支付超1575万美元罚款。和解协议覆盖四起独立事件，其中两起导致数千万客户数据暴露： 2021年8月事件影响7660万客户 2023年1月事件泄露3700万用户详细信息 和解还涉及2022年攻击者访问T-Mobile管理平台的事件，以及2023年攻击者窃取账户凭证查看特定客户数据的事件。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全监督组织公民实验室（Citizen Lab）披露，美国监控公司Paragon制造的间谍软件近期锁定了第二名意大利记者，这使已导致意大利总理焦尔吉娅·梅洛尼政府与Paragon终止合作的监控丑闻再添新疑点。 公民实验室在周四发布的报告中指出，调查记者西罗·佩莱格里诺（Ciro Pellegrino）的iPhone存在遭Paragon精密间谍软件攻击的证据。佩莱格里诺供职于网络媒体Fanpage，该媒体主编弗朗切斯科·坎切拉托（Francesco Cancellato）此前已公开表示，他是2025年1月收到WhatsApp间谍软件攻击警报的数十名用户之一。 Fanpage持续发布针对梅洛尼政府的批评性报道，尤其曾揭露其政党青年分支与新纳粹活动关联的独家新闻。该媒体记者遭监控的指控在意大利国内引发巨大争议。本周一，意大利政府与Paragon宣布终止合作，但双方对解约责任各执一词。 面对质询，Paragon援引其向以色列媒体《国土报》提供的声明称，曾向意大利当局提供验证系统是否被滥用的方案，但遭政府拒绝。 意大利政府未回应路透社就公民实验室报告提出的置评请求。佩莱格里诺在那不勒斯通过短信向路透社表示，发现自己成为间谍软件目标的感觉“极其可怕”，并强调手机是“存储个人健康数据、新闻来源等一切信息的生命黑匣子”。 意大利议会安全委员会（COPASIR）6月9日报告称，情报部门曾在执法工作中使用Paragon工具截获移民海上救援活动人士的通信，但“未发现针对Fanpage主编坎切拉托实施监控的证据”。人权组织“现在访问”（Access Now）高级律师纳塔利娅·克拉皮瓦指出：“佩莱格里诺的受害事实，严重质疑了议会调查的充分性。”该委员会未回应质询，仅表示保留进一步调查权。 公民实验室报告同时提到一名遭Paragon间谍软件攻击的欧洲记者（匿名），但以“保护隐私”为由拒绝透露其身份及攻击细节。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国主要财产保险公司伊瑞保险（Erie Insurance）近日向监管机构及客户通报了一起网络安全事件及相关网络瘫痪。作为财富500强企业，该公司拥有超7000名员工和14000名代理人，其母公司伊瑞赔偿公司（Erie Indemnity Company）去年营收近40亿美元，目前持有超600万份有效保单。 然而，该公司昨日警告客户称，因上周六（6月7日）确认的“信息安全事件”导致“持续网络瘫痪”。公司官网公告声明： “6月7日星期六，伊瑞保险信息安全团队发现异常网络活动。我们立即采取行动应对此情况以保护系统和数据。自周六起，我们持续实施防护措施保障系统安全。 停电期间，伊瑞保险不会致电或发送电子邮件要求客户付款。最佳做法是：勿点击未知来源链接，勿通过电话或电子邮件提供个人信息。” 后一项提示表明，该公司担忧网络犯罪分子可能已获取客户数据，或正利用本次事件发起钓鱼攻击。 美国证券交易委员会文件显示，除已通报执法部门及正在执行事件响应协议外，暂无其他进展说明： “公司持续采取防护措施，并在领先第三方网络安全专家协助下开展全面的取证分析，以彻底查明事件全貌。鉴于事件发生时间较短，调查与响应仍在进行中，事件完整范围、性质及最终影响尚不明确。” 尽管具体细节未明，此次网络瘫痪极可能是该公司为遏制攻击影响范围而主动采取的隔离措施。鉴于保险公司持有大量敏感客户数据，它们已成为网络攻击的高频目标。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。 企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。” TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。 虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。 按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。” 此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文