HackerNews

HackerNews 编译，转载请注明出处： 西班牙网络安全供应商S2 Grupo的研究人员发现了一种新的Outlook后门，该后门能使威胁行为窃取数据、上传文件并在受害者计算机上执行命令。 S2 Grupo的威胁情报实验室LAB52在9月3日发布的一份报告中分享了这一发现。 威胁分析人员因其代码中使用了“Nothing”一词，将该后门命名为“NotDoor”。他们将其归因于受俄罗斯支持的网络威胁组织APT28。 NotDoor：基于VBA的复杂Outlook恶意软件 NotDoor后门是一种基于Visual Basic for Applications（VBA）的复杂恶意软件，针对Microsoft Outlook，旨在监控传入电子邮件中的特定触发词并执行恶意命令。 VBA是微软的嵌入式脚本语言，用于在Office应用程序（如Excel、Word和Outlook）中自动执行任务。虽然合法用户使用VBA来提高工作效率，但威胁行为者利用它在宏中嵌入恶意代码，这些代码在打开文档或电子邮件时执行。 NotDoor滥用Outlook的事件驱动VBA触发器（例如Application_MAPILogonComplete（启动时）和Application_NewMailEx（收到新邮件时））来激活其有效负载。 该恶意软件的代码经过混淆处理，具有随机化的变量名和自定义的字符串编码技术，该技术会在Base64数据后附加垃圾字符，以模仿加密来阻碍分析。 NotDoor伪装在合法的Outlook宏中，使攻击者能够窃取数据、上传文件并在受感染的系统上运行任意命令。 值得注意的是，该恶意软件通过签名的微软二进制文件（OneDrive.exe）进行DLL侧加载，该文件会加载恶意的DLL（SSPICLI.dll）以部署后门，同时规避检测。 通过修改Outlook的注册表设置来禁用安全警告、在启动时启用宏并抑制对话框提示，确保持久化并实现静默运行。 该后门通过将受害者数据外泄到攻击者控制的邮箱（a.matti444@proton[.]me）并通过对webhook.site的DNS和HTTP回调验证执行，从而建立隐蔽通信。 感染后，它会创建一个隐藏目录（%TEMP%\Temp）来存储文件，这些文件会自动通过电子邮件发送给攻击者并被删除。 当收到包含预定义字符串（例如“Daily Report”）的电子邮件触发时，NotDoor会解析嵌入在邮件正文中的加密命令，支持每条邮件包含多个指令，例如文件窃取、命令执行或额外有效负载下载。 该恶意软件的模块化设计允许攻击者动态更新触发器和命令，使得检测和缓解具有挑战性。 通过滥用Outlook的原生VBA功能，该恶意软件具有持久性和隐蔽性，使其成为间谍活动或针对性攻击的有效工具。 LAB52的研究人员建议组织默认禁用宏，监控异常的Outlook活动，并检查基于电子邮件的触发器以防御此类威胁。 APT28：一个不断演变的威胁组织 APT28是一个以其破坏性攻击而臭名昭著的网络威胁组织。它还有许多别名，包括Fancy Bear、Fighting Ursa、Forest Blizzard、Pawn Storm、Strontium、Sednit、Sofacy和Tsar Team。APT28至少自2014年以来一直活跃，被归因于俄罗斯总参谋部情报总局（GRU）第85特殊服务中心（GTsSS）第26165军事部队。 2016年，据报道APT28入侵了希拉里·克林顿的总统竞选团队、民主党全国委员会（DNC）和民主党国会竞选委员会（DCCC），作为干预美国总统选举行动的一部分。 两年后，即2018年，美国司法部（DoJ）起诉了GRU第26165部队的五名军官，指控他们在2014年至2018年间策划了网络入侵活动。他们的目标包括世界反兴奋剂机构（WADA）、美国反兴奋剂机构、一家美国核设施、禁止化学武器组织（OPCW）和瑞士斯皮茨化学实验室等实体。 其中一些行动得到了GRU第74455部队（也称为Sandworm Team）的支持。根据LAB52研究人员的说法，NotDoor展示了“APT28的持续演变，表明它不断生成能够绕过既定防御机制的新工具”。 最近，APT28被关联到一场投放LameHug的行动中，LameHug是最早利用大型语言模型（LLM）的恶意软件之一。LameHug于2025年7月由乌克兰国家计算机应急响应小组（CERT-UA）首次发现，被MITRE研究人员描述为未来人工智能驱动攻击的“原始”测试平台。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与伊朗有关联的组织被指参与了一场针对欧洲及世界其他地区大使馆和领事馆的“协同”且“多波次”的鱼叉式网络钓鱼活动。 以色列网络安全公司 Dream 将此活动归因于与伊朗结盟的操作者，这些操作者与一个名为“Homeland Justice”（国土正义）的组织所进行的更广泛的攻击性网络活动有关。该公司称：“这些邮件被发送给全球多个政府收件人，伪装成合法的外交通信。有证据表明，在地缘政治紧张局势加剧时期，针对外交和政府实体的地区性间谍活动范围扩大了。” 该攻击链涉及使用与伊朗和以色列之间地缘政治紧张局势相关的鱼叉式网络钓鱼邮件来发送恶意 Microsoft Word 文档。该文档在打开后会催促收件人“启用内容”以执行内嵌的 Visual Basic for Applications (VBA) 宏，该宏负责部署恶意软件负载。 据 Dream 称，这些邮件被发送至中东、非洲、欧洲、亚洲和美洲的大使馆、领事馆和国际组织，这表明此次活动撒下了一张广泛的钓鱼网。据称，欧洲各国大使馆和非洲机构是遭受攻击最严重的对象。 这些数字邮件来自 104 个被入侵的独特地址，这些地址属于官员和伪政府实体，以此增添一层可信度。至少部分邮件来源于阿曼外交部在巴黎的一个被入侵邮箱（*@fm.gov.om）。 Dream 表示：“诱饵内容持续提及紧急的外交部通讯、传达权威性，并利用了启用宏来访问内容的常见做法，这是一场精心策划的间谍行动的标志， deliberately 掩盖了攻击来源。” 攻击的最终目的是利用 VBA 宏部署一个可执行文件，该文件能够建立持久性、联系命令与控制 (C2) 服务器并收集系统信息。 网络安全公司 ClearSky 在上个月底也详细说明了此次活动的某些方面，称这些网络钓鱼邮件被发送至多个外交部。 ClearSky 在 X 上的一篇帖子中表示：“伊朗威胁行为者在 2023 年针对阿尔巴尼亚的穆哈黑丁（Mojahedin-e-Khalq）时使用了类似的混淆技术。我们以中等把握评估，此次活动与相同的伊朗威胁行为者有关联。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称已从圣菲县（Santa Fe County）政府网站窃取了源代码。然而，Cybernews研究团队认为，他们是在兜售过时的信息。 这起所谓的黑客攻击事件由一个团伙在一个流行的数据泄露论坛上宣布，该论坛常被用来分享和出售被盗信息。攻击者声称获得了圣菲县政府网站的源代码，该网站供县官员和公民使用。 圣菲县位于新墨西哥州，拥有超过15万人口。 Cybernews研究团队仔细查看了攻击者在帖子中附加的数据，并得出结论：这些说法与实际情况并不完全相符。攻击者上传的数据包括： 几个管理员用户名和经过哈希处理的密码 数据库模型及其版本（该版本的支持截止于2017年4月1日） 一个于2010年发布（支持已于2011年终止）的PHP版本 据研究团队称，文件中包含的几个表没有实际数据，看起来像是模板，而非包含有用信息的东西。 此外，对当前圣菲县官网实时版本流量的检查显示，其运行架构与攻击者在所谓数据泄露中包含的架构不同。 研究团队解释说：“考虑到这些信息，所谓的源代码泄露很可能是2010年代某个旧版本的网站，这使得其影响相对较小。” 攻击者发布过时数据的原因有很多。其一可能是为了展示他们收集信息的能力。尽管这些信息可能是过去获取的或来自不同来源，但攻击者或许试图以此进行“概念验证”。 另一个原因是为了“刷存在感”。在数据泄露论坛上，声誉就是一种资本，而发布圣菲县信息的攻击者似乎是一个相对新手。在攻击者看来，通过源代码泄露事件获得关注可能会让他们“闯出名头”。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare成为近期一系列Salesloft Drift泄露事件的最新受影响公司，这些事件是上周披露的一起供应链攻击的一部分。 这家互联网巨头于周二透露，攻击者获得了其用于内部客户案例管理和客户支持的Salesforce实例的访问权限，该实例包含104个Cloudflare API令牌。 Cloudflare于8月23日收到漏洞通知，并于9月2日向受影响的客户通报了该事件。在将攻击事件告知客户之前，该公司还轮换了所有在泄露期间被窃取的104个由Cloudflare平台颁发的令牌，尽管尚未发现与这些令牌相关的任何可疑活动。 “这些信息大部分是客户联系信息和基本支持案例数据，但一些客户支持互动可能会透露客户配置信息，并可能包含访问令牌等敏感信息，”Cloudflare表示。 “鉴于Salesforce支持案例数据包含与Cloudflare的支持工单内容，客户可能通过我们的支持系统与Cloudflare共享的任何信息——包括日志、令牌或密码——都应视为已泄露，我们强烈建议您轮换可能通过此渠道与我们共享的任何凭据。” 公司的调查发现，在8月9日的初步侦察阶段之后，威胁行为者在8月12日至8月17日期间仅窃取了Salesforce案例对象中包含的文本（包括客户支持工单及其相关数据，但不包括附件）。 这些被窃取的案例对象仅包含基于文本的数据，包括： Salesforce案例的主题行 案例正文（如果客户向Cloudflare提供，可能包含密钥、机密信息等） 客户联系信息（例如，公司名称、请求者的电子邮件地址和电话号码、公司域名和公司所在国家） “我们认为这起事件并非孤立事件，而是威胁行为者意图收集凭证和客户信息以供未来攻击之用，”Cloudflare补充道。 “鉴于此次Drift漏洞事件影响了数百家组织，我们怀疑威胁行为者将利用这些信息对受影响组织的客户发起针对性攻击。” Salesforce数据泄露浪潮 今年以来，ShinyHunters勒索组织一直以 Salesforce 客户为目标进行数据窃取攻击，他们使用语音钓鱼（vishing）欺骗员工将恶意的 OAuth 应用程序与其公司的 Salesforce 实例关联起来。这种策略使攻击者能够窃取数据库，随后用于勒索受害者。 自谷歌在6月份首次报道这些攻击以来，多起数据泄露事件都与ShinyHunters的社会工程策略有关，包括针对谷歌自身、思科、澳洲航空（Qantas）、安联人寿（Allianz Life）、农夫保险（Farmers Insurance）、Workday、阿迪达斯（Adidas），以及路威酩轩（LVMH）子公司路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.）的攻击。 尽管一些安全研究人员告诉BleepingComputer，Salesloft供应链攻击涉及相同的威胁行为者，但谷歌尚未找到确凿证据将它们联系起来。 其他受害企业 Palo Alto Networks也在周末确认，Salesloft Drift漏洞背后的威胁行为者窃取了一些客户提交的支持数据，包括联系信息和文本评论。 Palo Alto Networks的事件也仅限于其Salesforce CRM，正如该公司告诉BleepingComputer的那样，它没有影响任何其产品、系统或服务。 这家网络安全公司观察到攻击者搜索机密信息，包括AWS访问密钥（AKIA）、VPN和SSO登录字符串、Snowflake令牌，以及诸如“secret”、“password”或“key”之类的通用关键词，这些信息可能被用于入侵更多云平台以窃取数据，从而进行其他勒索攻击。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客试图从Evertec的巴西子公司Sinqia S.A.窃取1.3亿美元，此前他们未经授权访问了该公司在央行实时支付系统（Pix）的环境。 Evertec是一家上市的金融科技巨头，是拉丁美洲、波多黎各和加勒比海地区主要的全方位服务交易处理商。Sinqia于2023年被Evertec收购，是一家总部位于圣保罗的上市公司，从事银行和金融行业的金融软件和IT服务业务。 Evertec在美国证券交易委员会（SEC）的一份文件中披露，黑客于8月29日入侵了Sinqia的系统，并试图进行未经授权的交易。 SEC文件中写道：“2025年8月29日，Evertec Inc.的巴西子公司Sinqia S.A.发现其巴西央行实时支付系统（Pix）环境中存在未经授权的活动。” “发现该事件后，Sinqia依据其事件响应协议，停止了其Pix环境中的交易处理，并开始与外部网络安全取证专家合作。” Pix是巴西的即时支付系统，由巴西中央银行于2020年11月推出，支持全天候即时资金转账。它已成为巴西最广泛使用的支付方式，并经常成为Android银行恶意软件的攻击目标。 黑客试图利用Sinqia的两家金融机构客户进行未经授权的企业间交易。当地媒体报道提及了汇丰银行（HSBC），而该行发言人强调，此事件未影响客户资金或数据。Evertec指出，这1.3亿美元中的部分资金已被追回，但未提及具体金额，追回工作仍在进行。 事件调查显示，黑客通过使用窃取的IT供应商账户凭证，获得了对Sinqia的Pix环境的访问权限。Evertec没有迹象表明影响范围超出了Sinqia的Pix环境，也没有证据表明个人数据遭到泄露。 目前，巴西中央银行已撤销Sinqia对Pix的访问权限，但该公司正通过向当局提供所有要求的细节和保证，努力争取尽快恢复访问。关于财务影响，Evertec指出Sinqia的Pix环境为巴西24家金融机构的运营提供支持。公司表示：“该事件对财务和声誉的影响，包括对公司内部控制的影响，目前尚不清楚，但可能是重大的。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）于周二宣布，迪士尼公司已同意支付1000万美元，以和解有关其在未通知父母或获得同意的情况下，从观看YouTube视频的儿童那里收集个人数据的指控。 根据FTC的移交，美国司法部提起了诉讼，指控迪士尼违反了《儿童在线隐私保护规则》（COPPA），因其未将“大量”上传至YouTube的视频标注为“面向儿童”。 被指定为面向儿童的视频会禁用定向广告。诉状称，迪士尼的行为使得儿童在未经父母通知或同意的情况下被收集个人数据，并据此成为定向广告的目标。 FTC在一份新闻稿中表示，其拟议的命令将要求迪士尼改变在流媒体服务上指定面向儿童视频的方式，并将推动YouTube开始使用年龄验证技术。 COPPA规则于今年1月更新，要求父母选择同意第三方向儿童投放广告。该规则强制要求网站和在线服务在收集、使用或分享13岁以下儿童的个人信息之前，必须获得可验证的父母同意。 诉状称，自2020年以来，迪士尼已向超过1250个YouTube频道上传了数万个视频。仅2020年三个月内，上传到三十多个迪士尼频道的视频就在美国获得了12亿次观看。 其中许多视频未被正确标注为面向儿童。诉状称，这家娱乐巨头从此做法中获利颇丰。 迪士尼从YouTube在这些视频上投放的广告中获得部分广告收入。它也会在一部分视频上投放自己的广告。 2019年11月，YouTube告知迪士尼，必须上报其上传的内容是否面向儿童，以确保符合COPPA。YouTube根据迪士尼是否将内容标注为“面向儿童”来决定允许哪些广告行为。 诉状称，迪士尼以“非面向儿童”标签发布的视频包括米老鼠卡通片段以及《冰雪奇缘》、《魔法满屋》、《海洋奇缘》、《赛车总动员》、《魔发奇缘》、《美食总动员》和《玩具总动员》等面向儿童电影的片段。 诉状称，YouTube早在2020年6月就告知迪士尼其未能正确标注视频，但迪士尼未能解决此问题。 迪士尼的一位发言人没有回复置评请求。 FTC主席安德鲁·弗格森在一份预备声明中表示：“此案强调了FTC执行COPPA的决心，该法案由国会颁布，旨在确保由父母而非迪士尼等公司来决定其孩子个人信息在网上的收集和使用。” 除了1000万美元的罚款外，拟议的和解方案还要求迪士尼在收集13岁以下儿童的个人数据前开始通知父母，并根据COPPA获得他们的同意。 迪士尼还被要求启动一个项目，以确保其上传到YouTube的视频被正确指定为面向儿童。然而，如果YouTube部署了自己的年龄验证技术，该命令的此条款将被取消。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare成功拦截了峰值达11.5 Tbps的创纪录DDoS攻击，这是一场主要源自谷歌云的UDP洪水攻击，也是持续数周的攻击浪潮的一部分。 Cloudflare在X平台上宣布，其已拦截了有史以来最大规模的DDoS攻击，峰值达到11.5 Tbps。这场主要来自谷歌云的UDP洪水攻击，是持续数周攻击浪潮的一部分。 Cloudflare表示，其在数周内已拦截了数百次大规模DDoS攻击，此次破纪录的UDP洪水攻击持续了约35秒。 “Cloudflare的防御系统一直超负荷运转。过去几周，我们的系统自动拦截了数百起超大规模DDoS攻击，其中最大攻击的峰值达到每秒51亿个数据包（5.1 Bpps）和11.5 Tbps。这场11.5 Tbps的攻击是一场主要源自谷歌云的UDP洪水攻击。” 今年6月，Cloudflare曾宣布在2025年第二季度自动拦截了已报告的最大规模DDoS攻击，峰值达到7.3 Tbps和每秒48亿个数据包（4.8 Bpps）。 该攻击规模比其之前的峰值高出12%，比知名网络安全记者布莱恩·克雷布斯（Brian Krebs）所报告的攻击峰值高出1 Tbps。 这场7.3 Tbps的DDoS攻击在短短45秒内喷射了37.4 TB的数据流量，相当于在一分钟内流畅播放9350部高清电影或下载935万首歌曲。其数据量相当于连续播放近一年的高清视频，或者压缩了4000年每日高清照片的数据总量，所有这些都塞进了不到一分钟的时间里。 Cloudflare发布的报告中写道：“37.4TB在当今的数据规模中并不惊人，但在45秒内喷射如此巨量数据堪称恐怖。” “这相当于在45秒内，向你的网络倾泻超过9350部全长高清电影的数据量，或者连续播放7480小时的高清视频（这几乎是接连不停 binge-watch 近一年的量）。” 此次攻击针对单个IP地址，平均每秒冲击21,925个端口，峰值时达到34,517个端口，源端口分布同样广泛。 这场7.3 Tbps的DDoS攻击采用多向量组合模式，其中99.996%为UDP洪水攻击，其余包括QOTD、Echo、NTP、Mirai、Portmap以及RIPv1攻击。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会方面表示：欧盟委员会主席乌尔苏拉·冯德莱恩的飞机在保加利亚上空遭遇疑似俄罗斯的GPS干扰，但已安全降落。 欧盟确认乌尔苏拉·冯德莱恩的飞机在飞往保加利亚途中经历了GPS干扰。欧洲当局怀疑是俄罗斯进行了干扰，不过飞机最终安全降落。保加利亚官员提供了这一信息，欧盟发言人则称其为“公然的干扰行为”。 欧盟发言人表示：“我们确实可以确认发生了GPS干扰，但飞机已在保加利亚安全降落。我们从保加利亚当局获得的信息显示，他们怀疑这是俄罗斯的公然干扰所致。” 冯德莱恩的专机在普罗夫迪夫附近失去GPS信号，被迫盘旋一小时后使用模拟地图进行手动降落。官员将此事归咎于俄罗斯的干扰。保加利亚当局报告称，自2022年以来，GPS干扰和欺骗事件激增，这对飞机和地面系统的运行造成了干扰。 英国《金融时报》报道称：“周日下午，一架载有冯德莱恩前往普罗夫迪夫的飞机在接近该市机场时失去了电子导航辅助设备，三名了解事件的官员表示，这被视为俄罗斯的干扰行动。”其中一名官员称：“整个机场区域的GPS都失灵了。” 克里姆林宫发言人德米特里·佩斯科夫告诉《金融时报》：“你们的信息不正确”。 保加利亚当局确认该飞机的GPS信号被中和，空中交通管制随后使用地面导航工具提供了替代的降落指导以确保安全。 欧盟委员会称“威胁和恐吓是俄罗斯敌对行为的常规组成部分”，并表示此次事件将强化其“提升防御能力并支持乌克兰”的承诺。 在冯德莱恩前往保加利亚的航班受到GPS干扰后，欧盟计划发射更多近地轨道卫星以探测此类干扰。 在波罗的海附近飞行的航空公司报告了数万起GPS干扰事件。2024年3月，俄罗斯黑客通过电子战攻击击落了英国国防大臣格兰特·沙普斯所乘的皇家空军达索猎鹰900喷气式飞机的GPS和通信系统。当时，英国国防大臣格兰特·沙普斯的皇家空军达索猎鹰900喷气式飞机从波兰（他在那里访问了参加“坚定卫士”演习的英国部队）飞回英国。 《太阳报》的防务编辑当时就在这架皇家空军达索猎鹰900喷气式飞机上，他报道称GPS和通信系统被疑似俄罗斯发起的干扰攻击禁用。 皇家空军飞行员确认，在格兰特·沙普斯的飞机飞近俄罗斯飞地加里宁格勒（与波兰接壤）期间，GPS和其他信号被阻塞了将近30分钟。 没有GPS也可以飞行，但这会增加工作负荷、降低效率，并在能见度差的情况下限制进近的精度。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起网络事件已对捷豹路虎（JLR）的销售和生产运营造成“严重干扰”。 该公司在9月2日于其网站发布的一份简短声明中披露了此事。声明写道：“捷豹路虎受到一起网络事件的影响。我们已采取积极措施关闭系统，以立即减轻其影响。” 该公司表示，目前正努力以可控方式重启其全球应用程序。捷豹路虎补充说：“现阶段没有证据表明任何客户数据被窃，但我们的零售和生产活动已受到严重干扰。” 据报道，捷豹路虎的母公司塔塔汽车在9月1日向印度证券交易所披露，捷豹路虎正遭遇“全球性IT问题”。塔塔汽车援引了捷豹路虎的一份声明，声明写道：“我们正在加紧解决影响我们业务的全球IT问题。我们将在适当时候及时提供最新情况。” 捷豹路虎（JLR）面临全球IT问题；塔塔汽车正密切关注局势 捷豹路虎（塔塔汽车英国子公司）正迅速行动以#解决IT安全事件 公司承诺随着事态发展及时更新 目前尚未披露更多运营细节… pic.twitter.com/AtRoooBMHH — AoI Ventures (@aoiventures) 2025年9月1日 英国捷豹路虎员工被告知不要上班 据英国《利物浦回声报》报道，在捷豹路虎继续处理该事件期间，其位于默西塞德郡海尔伍德工厂的员工已被告知留在家中，不要来上班。 该报看到的一封在9月2日发送给员工的邮件写道：“领导团队已同意，生产人员将暂时停工，并根据相关协议记录工时。” 消息还补充说，除非另有通知，否则所有员工需在9月月3日（星期三）上班。据《Autocar》报道，由于此次事件，汽车经销商在9月1日无法注册新的捷豹路虎汽车。9月1日通常是英国新车注册最繁忙的日子之一。 攻击时机与行业背景 针对此次事件，ESET的全球网络安全顾问杰克·摩尔评论说，攻击者很可能是故意在制造商的重要时期针对捷豹路虎。 他解释说：“网络犯罪分子通常旨在对受害者造成尽可能大的破坏性影响。选择在比平常更多客户可能遇到新车注册和/或交付延迟的时期发动攻击，将是攻击者经过深思熟虑的决定，以期最响亮地传递他们的信息。” 制造业是网络犯罪分子的首要目标之一，其对传统OT系统（通常与IT应用程序和设备融合）的依赖，造成了显著的安全漏洞。 此外，攻击者通常能够对生产线造成重大的运营中断，从而给受害者带来财务和声誉损失。这使得制造业成为勒索软件和勒索攻击的有利可图的目标。Comparitech的一份新报告发现，从2025年7月到8月，制造业的勒索软件攻击增加了57%，从72起增加到113起。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一个乌克兰IP网络在2025年6月至7月期间针对SSL VPN和RDP设备发起大规模暴力破解和密码喷洒攻击活动。 根据法国网络安全公司Intrinsec的说法，该活动源自位于乌克兰的自治系统FDN3（AS211736）。 “我们高度确信FDN3是一个更广泛的滥用基础设施的一部分，该基础设施还包括另外两个乌克兰网络VAIZ-AS（AS61432）和ERISHENNYA-ASN（AS210950），以及一个位于塞舌尔的名为TK-NET（AS210848）的自治系统。”上周发布的一份报告称。 “这些系统均于2021年8月分配，并且经常相互交换IPv4前缀以规避封锁名单，持续托管恶意活动。” AS61432当前宣告一个单一前缀185.156.72[.]0/24，而AS210950宣告了两个前缀45.143.201[.]0/24和185.193.89[.]0/24。这两个自治系统分别于2021年5月和8月分配。它们的大部分前缀已在AS210848上宣告，这是另一个同样于2021年8月分配的自治系统。 “该网络将其所有的对等协议与IP Volume Inc. – AS202425共享，这是一家位于塞舌尔、由Ecatel所有者创建的公司，Ecatel因自2005年以来在荷兰运营广泛滥用的防弹主机服务而臭名昭著。”Intrinsec指出。 从AS61432和AS210950转移出来的全部前缀，现在由那些由空壳公司（如Global Internet Solutions LLC (gir.network)、Global Connectivity Solutions LLP、Verasel、IP Volume Inc.和Telkom Internet LTD）前台运营的防弹和滥用网络进行宣告。 这些发现基于先前的披露，即多个于2021年8月分配、位于乌克兰和塞舌尔的网络——AS61432、AS210848和AS210950——被用于垃圾邮件分发、网络攻击和恶意软件命令与控制托管。2025年6月，这些网络所宣告的部分IPv4前缀被转移到了FDN3，而FDN3本身创建于2021年8月。 不仅如此。AS210848所宣告的三个前缀以及AS61432所宣告的一个前缀，先前曾由另一个俄罗斯网络SibirInvest OOO (AS44446)宣告。在FDN3宣告的四个IPv4前缀中，其中一个（88.210.63[.]0/24）被评估为先前由一家名为Virtualine（AS214940和AS214943）的基于美国的防弹主机解决方案宣告。 正是这个IPv4前缀范围被归因于大规模的暴力破解和密码喷洒尝试，该活动在2025年7月6日至8日期间达到创纪录的高峰。 据Intrinsec称，针对SSL VPN和RDP资产的暴力破解和密码喷洒努力可能持续长达三天。值得注意的是，这些技术已被Black Basta、GLOBAL GROUP和RansomHub等各种勒索软件即服务（RaaS）组织采用，作为入侵企业网络的初始访问向量。 FDN3在6月宣告的另外两个前缀92.63.197[.]0/24和185.156.73[.]0/24，先前曾由AS210848宣告，这表明存在高度的操作重叠。就92.63.197[.]0/24而言，它与保加利亚的垃圾邮件网络（如ROZA-AS (AS212283)）存在关联。 “所有这些强烈的相似性，包括它们的配置、托管的内容以及创建日期，使我们能够高度确信地评估，上述自治系统由同一个防弹主机管理员运营，”Intrinsec解释道。 对FDN3的进一步分析发现了与一家名为Alex Host LLC的俄罗斯公司的联系，该公司过去曾与TNSECURITY等防弹主机提供商有关联，而这些提供商被用于托管Doppelganger基础设施。 “这项调查再次凸显了一种常见现象，即离岸ISP（如IP Volume Inc.）通过对等协议和前缀托管整体上为较小的防弹网络提供支持，”该公司表示。“得益于其离岸位置（如塞舌尔），这些公司的所有者得以匿名，通过这些网络实施的恶意活动无法直接归咎于他们。” 与此同时，Censys发现了一个与PolarEdge僵尸网络相关的回连代理管理系统，目前运行在2400多台主机上。该系统是一个RPX服务器，充当反向连接代理网关，能够管理代理节点并暴露代理服务。 “这个系统似乎是一个设计良好的服务器，可能是用于管理PolarEdge僵尸网络的众多工具之一，”高级安全研究员Mark Ellzey说。“也有可能这项特定服务与PolarEdge完全无关，而是僵尸网络用于在不同中继之间跳转的服务。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，Android恶意软件领域出现新趋势：传统上用于投放银行木马的“投放器应用”（dropper apps），如今也开始传播短信窃取器和基础间谍软件等更简单的恶意软件。 荷兰移动安全公司ThreatFabric在上周的报告中表示，这些攻击活动通过伪装成印度等亚洲地区政府或银行应用的投放器应用进行传播。 该公司认为，这一转变源于谷歌最近在新加坡、泰国、巴西和印度等特定市场试行的安全保护措施。这些措施会阻止用户侧载（sideloading）那些请求敏感权限（如短信和无障碍服务）的可疑应用，而无障碍服务是Android设备上常被滥用以执行恶意操作的设置。 ThreatFabric解释道：“Google Play Protect的防御机制，尤其是定向试点计划，能越来越有效地在风险应用运行前将其拦截。其次，攻击者希望其操作能适应未来。” “即便将基础有效负载封装在投放器中，攻击者也能获得一个保护壳，既能规避当前的检查，又能保持足够灵活性，以便日后更换负载和调整攻击活动。” ThreatFabric称，尽管谷歌的策略通过甚至在用户与恶意应用交互前就阻止其安装，提高了门槛，但攻击者正在尝试新的方法来规避这些保护措施——这显示出安全领域永无休止的“打地鼠”游戏。 这包括在设计投放器时考虑谷歌的试点计划，使其不申请高风险权限，仅显示一个无害的“更新”屏幕，从而在这些地区绕过扫描。 然而，只有当用户点击“更新”按钮时，真正的有效负载才会从外部服务器获取或解包，随后便开始申请实现其目标所需的权限。 “作为另一项扫描的一部分，Play Protect可能会显示风险警报，但只要用户接受这些警报，应用就会被安装，有效负载也就成功投递。”ThreatFabric指出，“这揭示了一个关键漏洞：如果用户坚持点击安装，Play Protect仍会允许风险应用通过，恶意软件也就依然能绕过试点计划。” RewardDropMiner就是这样一个投放器，它曾被发现在传播间谍软件负载的同时，还会分发一个可远程激活的门罗币加密货币挖矿程序。不过，该工具的最新变种已不再包含挖矿功能。 通过RewardDropMiner投递的一些恶意应用（均针对印度用户）列举如下： PM YOJANA 2025 (com.fluvdp.hrzmkgi) °RTO Challan (com.epr.fnroyex) SBI Online (com.qmwownic.eqmff) Axis Card (com.tolqppj.yqmrlytfzrxa) 其他可避免触发Play Protect或试点计划的投放器变种包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper和TiramisuDropper。 谷歌在回应The Hacker News的置评请求时表示，尚未在Play商店中发现任何使用这些技术分发应用的情况，并称正在持续增加新的保护措施。 一位发言人表示：“无论应用来自何处——即使是由‘投放器’应用安装——Google Play Protect都会通过自动检查威胁来帮助保护用户安全。” “在本报告发布之前，Google Play Protect已针对这些已识别的恶意软件版本提供了保护。根据我们当前的检测，Google Play上未发现包含这些版本恶意软件的应用。我们正在不断强化保护措施，帮助用户免受恶意行为者的侵害。” CIS构建工具包 与此同时，Bitdefender实验室警告称，一场新的恶意广告活动正在利用Facebook广告，以提供免费的Android版TradingView应用高级版本为诱饵，最终部署改进版的Brokewell银行木马，用以监控、控制受害设备并窃取敏感信息。 自2025年7月22日起，已运行不少于75条恶意广告，仅在欧洲联盟就覆盖了数万名用户。这场针对Android的攻击浪潮只是一个更大规模恶意广告操作的一部分，该操作还滥用Facebook广告，伪装成各种金融和加密货币应用来针对Windows桌面用户。 这家罗马尼亚网络安全公司表示：“这次活动展示了网络犯罪分子如何精细调整策略以适应用户行为。通过针对移动用户并将恶意软件伪装成受信任的交易工具，攻击者希望从人们对加密应用和金融平台日益增长的依赖中获利。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sitecore体验平台中被披露存在三个新的安全漏洞，攻击者可能利用这些漏洞实现信息泄露和远程代码执行。 根据watchTowr Labs的报告，这些漏洞具体如下： CVE-2025-53693 – 通过不安全的反射实现HTML缓存投毒 CVE-2025-53691 – 通过不安全的反序列化实现远程代码执行（RCE） CVE-2025-53694 – ItemService API中存在信息泄露漏洞，受限匿名用户可通过暴力破解手段获取缓存密钥 Sitecore已于2025年6月针对前两个漏洞发布了补丁，并在7月修复了第三个漏洞。公司表示“成功利用相关漏洞可能导致远程代码执行以及对信息的非授权访问”。 这些发现是基于watchTowr在6月份详细报告的同一产品中的另外三个漏洞： CVE-2025-34509（CVSS评分：8.2） – 使用硬编码凭证 CVE-2025-34510（CVSS评分：8.8） – 通过路径遍历实现认证后远程代码执行 CVE-2025-34511（CVSS评分：8.8） – 通过Sitecore PowerShell扩展实现认证后远程代码执行 watchTowr Labs的研究员Piotr Bazydlo表示，新发现的漏洞可以组合成一个完整的攻击链，通过将认证前的HTML缓存投毒漏洞与一个认证后的远程代码执行问题相结合，从而入侵完全打好补丁的Sitecore体验平台实例。 导致代码执行的完整攻击链如下：威胁行为者可以利用（如果暴露的）ItemService API轻松枚举存储在Sitecore缓存中的HTML缓存密钥，并向这些密钥发送HTTP缓存投毒请求。 随后，此攻击可与CVE-2025-53691链接，提供恶意的HTML代码，最终通过无限制的BinaryFormatter调用实现代码执行。 “我们成功利用了一个受限严重的反射路径来调用一个方法，该方法允许我们污染任何HTML缓存密钥，”Bazydlo说。“这单一的原语操作打开了劫持Sitecore体验平台页面的大门——并从此处投放任意JavaScript以触发认证后远程代码执行（Post-Auth RCE）漏洞。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队成功挫败了一起试图利用微软认证流程发起的水坑攻击。该攻击活动被认定为与俄罗斯国家级黑客组织APT29有关。 在8月29日发布的帖子中，亚马逊首席信息安全官（CISO）CJ·摩西（CJ Moses）分享了该攻击活动的细节。其团队在发现由APT29控制的域名后，锁定了这起攻击。 水坑攻击是一种针对性网络攻击活动，黑客会入侵特定用户群体常访问的网站，并将用户重定向至恶意基础设施。其目的是投放恶意软件、窃取凭据或实施网络间谍活动。 在此次事件中，亚马逊发现多个合法网站被植入JavaScript代码，这些代码会将约10%的访客重定向至APT29控制的域名。攻击者的目标是诱骗用户通过微软的设备代码认证流程，授权由攻击者控制的设备。 这些域名（包括findcloudflare[.]com）模仿Cloudflare验证页面，以伪装成合法网站。 摩西写道：“亚马逊云服务（AWS）系统未受到入侵，也未观察到AWS服务或基础设施受到直接影响。” 代码分析显示，攻击者采用了多种规避检测的技术，包括随机重定向、Base64编码和持久化Cookie。此外，当防御系统拦截恶意基础设施时，威胁行为体会迅速转向新的域名和服务器，以维持攻击活动的持续性。 APT29攻击目标已超越政府人员 APT29是一个知名的网络威胁组织，拥有多个别名，包括“午夜暴风雪”（Midnight Blizzard）、“舒适熊”（Cozy Bear）、“诺贝尔奖”（Nobelium）和“公爵”（The Dukes）。该组织被美西方国家认为与俄罗斯对外情报局（SVR）有关联，至少自2013年以来一直活跃。 APT29以针对政府和关键行业实施间谍活动与情报收集著称，但近期观察显示其攻击目标范围正不断扩大。据报道，该组织参与了多起鱼叉式钓鱼活动，包括2025年4月针对欧洲外交官、以品酒会为主题的钓鱼攻击，以及2025年6月针对英国俄罗斯信息作战专家基尔·贾尔斯（Keir Giles）的攻击活动。 亚马逊威胁情报团队表示，此次新的水坑攻击“表明APT29在不断升级其攻击手段，扩大行动规模，以在情报收集工作中撒下更广泛的网”。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正滥用Meta的广告平台，通过虚假的“免费TradingView Premium应用”优惠来传播针对Android设备的Brokewell恶意软件。 该活动以加密货币资产为目标，自至少7月22日起通过大约75条本地化广告持续进行。 Brokewell恶意软件在2024年初就已出现，其功能广泛，包括窃取敏感数据、远程监控和控制受感染的设备。 接管设备 网络安全公司Bitdefender的研究人员调查了该活动中的广告，这些广告使用了TradingView的品牌标识和视觉元素，以“免费高级版应用”的承诺诱骗潜在受害者。 他们指出，该活动专门针对移动用户设计，如果从其他操作系统访问广告，只会看到无害内容。 然而，从Android设备点击广告，会被重定向到一个模仿原始TradingView网站的页面，该页面提供了一个托管在tradiwiw[.]online/的恶意tw-update.apk文件。 “被投放的应用会请求无障碍权限，一旦获得权限，屏幕就会被一个假的更新提示覆盖。在后台，该应用正在授予自身所有需要的权限。”研究人员在本周的一份报告中表示。 此外，该恶意应用还通过模拟需要锁屏密码的Android更新请求，试图获取设备的解锁PIN码。 据Bitdefender称，这个假的TradingView应用是“Brokewell恶意软件的一个高级版本”，拥有“庞大的工具库，旨在监控、控制和窃取敏感信息”： 扫描BTC、ETH、USDT、银行账号（IBANs） 窃取并导出Google Authenticator中的代码（绕过双因素认证） 通过覆盖虚假登录界面来窃取账户 录制屏幕和键盘输入、窃取Cookie、激活摄像头和麦克风并跟踪位置 劫持默认短信应用以拦截消息，包括银行和双因素认证代码 远程控制 – 可通过Tor或Websocket接收命令来发送短信、拨打电话、卸载应用甚至自毁。 研究人员提供了该恶意软件工作原理的技术概述，以及一份包含130多个命令的扩展列表。 Bitdefender表示，此活动是一个更大规模操作的一部分，该操作最初使用冒充“数十个知名品牌”的Facebook广告来针对Windows用户。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zscaler警告称，在威胁行为者获取其Salesforce实例访问权限并窃取客户信息（包括部分支持案例内容）后，公司遭遇了数据泄露。 此次事件源于Salesloft Drift（一款与Salesforce集成的人工智能聊天代理程序）遭入侵，攻击者窃取了OAuth和刷新令牌，从而能够访问客户的Salesforce环境并窃取敏感数据。 Zscaler在一份公告中表示，其Salesforce实例受到此次供应链攻击影响，导致客户信息暴露。 “在此次攻击活动中，未经授权的行为者获取了包括Zscaler在内的客户所有的Salesloft Drift凭证，”Zscaler的公告中写道。“经过我们持续调查中的详细审查，已确定这些凭证允许（攻击者）有限访问Zscaler的某些Salesforce信息。” 泄露信息包括： 姓名 商业电子邮件地址 职位 电话号码 区域/位置详情 Zscaler产品许可和商业信息 某些支持案例的内容 公司强调，此次数据泄露仅影响其Salesforce实例，未波及任何Zscaler产品、服务或基础设施。 尽管Zscaler表示尚未发现相关信息被滥用，但仍建议客户对可能利用这些信息实施的网络钓鱼和社会工程攻击保持高度警惕。 公司还称，已撤销所有Salesloft Drift与其Salesforce实例的集成，轮换了其他API令牌，并正在对此事件进行调查。 Zscaler还加强了响应客户支持电话时的身份验证协议，以防范社会工程攻击。 谷歌威胁情报小组（GTIG）上周警告，一个追踪为UNC6395的威胁行为者是此次攻击的幕后黑手，其窃取支持案例是为了获取客户在请求支持时分享的身份验证令牌、密码和机密信息。 “GT观察到UNC6395以敏感凭证为目标，例如亚马逊云服务（AWS）访问密钥（AKIA）、密码和与Snowflake相关的访问令牌，”谷歌报告称。“UNC6395通过删除查询作业展示了其操作安全意识，但日志未受影响，各组织仍应审查相关日志以寻找数据暴露的证据。” 之后有消息透露，Salesloft供应链攻击不仅影响了Drift与Salesforce的集成，还波及用于管理邮件回复和组织CRM及营销自动化数据库的Drift Email。 谷歌上周警告，攻击者在此次泄露中还使用窃取的OAuth令牌访问了Google Workspace电子邮件账户并读取邮件。 谷歌和Salesforce已暂时禁用其Drift集成，等待调查完成。 一些研究人员向BleepingComputer表示，他们认为Salesloft Drift入侵事件与勒索组织ShinyHunters近期的Salesforce数据窃取攻击存在重叠。 自今年年初以来，该威胁行为者一直通过进行社会工程攻击来入侵Salesforce实例并下载数据。 在这些攻击中，威胁行为者进行语音钓鱼（vishing），诱骗员工将恶意OAuth应用与其公司的Salesforce实例关联。 一旦关联，威胁行为者便利用该连接下载并窃取数据库，随后通过邮件对公司进行勒索。 自谷歌于6月首次报告这些攻击以来，多起数据泄露事件已被证实与这些社会工程攻击有关，涉及谷歌自身、思科、农夫保险、Workday、阿迪达斯、澳航、安联人寿以及LVMH子公司路易威登、迪奥和蒂芙尼等。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部及数百万用户使用的关键代码目前仅由一名俄罗斯开发者独立维护。有人对此不以为然，认为互联网的半壁江山本就依赖于某些人的个人项目。网络安全圈的这番骚动，凸显出人们对国家行为体可能对个体维护者施加影响的担忧。 Hunted Labs的安全研究人员近期重点关注了“fast-glob”，这是一个广泛应用于Node.js环境中进行快速文件和文件夹搜索的工具。报告指出：“由单人维护的状况给超过5000个软件包（包括Node.js中的容器镜像及美国国防部系统内的容器）带来了供应链风险。我们的调查发现，在经批准的国防部系统中，超过30个容器存在此组件。” GitHub上的依赖关系图显示，该代码被超过2700万个代码仓库使用，并在JavaScript包管理器NPM上每周获得7500万次下载。 Hunted Labs报告称，fast-glob的维护者mrmInc（本名Denis Malinochkin）一直居住在莫斯科，并曾为俄罗斯科技巨头Yandex工作。众所周知，Yandex在与俄罗斯政府合作进行公民跟踪、审查和压迫方面有所配合。报告认为这是一个风险点，“鉴于开源社区往往在几乎不了解贡献者背景的情况下就盲目采纳项目”。但目前并无迹象表明该开发者曾有任何不当行为。 该开发者强调，从未有人要求他操纵该工具、向项目引入隐藏更改或收集分享系统数据。Malinochkin甚至联系了The Register并解释，他从2016年起就开始独立开发fast-glob，这远早于他加入Yandex的时间。这个完全开源的项目完全在本地运行，任何人都可以查看代码。 播客主、博主兼Anchore公司安全副总裁Josh Bressers站出来为这位俄罗斯开发者辩护。他在一篇博文中论证：“让THE WHOLE F*CKING PLANET运转的软件是由一个人写的。在一个国家。但我们不知道是哪个国家。注意，不是同一个人，但就是一个人。几乎所有的开源软件 literally 都是由一个人完成的。”专家用数据支持了这一说法：在ecosyste.ms跟踪的1180万个开源项目中，约有700万个由单人维护。由于400万个项目的维护者人数未知，实际数字可能更大。“实际上比这还要多，”Bressers说，“其中一大批项目将会是一个人维护的。”由单名开发者维护的代码几乎占据了NPM上最受欢迎代码库的一半。“大约13000个下载量最大的NPM包中，有一半是仅由一个人维护的，”专家强调。许多独立开发者还拥有不止一个软件包，并且其中可能没多少人拥有他们可能需要的适当资源。 Bresser认为，真正的供应链风险在于维护者薪酬过低和工作过度，而不在于他们来自哪个国家。“让我们面对现实吧，俄罗斯人还没蠢到去给一个住在俄罗斯的人所拥有的软件包植入后门。他们会做一些事情，比如假装来自另一个国家，用像Jia Tan这样的名字，而不是Boris D. Badguy。这可不是《波波鹿与飞天鼠》的剧集。” 这场讨论在程序员和技术专业人士驱动的社区论坛Lobste.rs上热度渐起。计算机科学家Kornel Lesinski认为，维护者的数量并不是衡量协作的正确标准，因为一个普通的NPM依赖树涉及许多不同的人。发布小型独立的软件包，比让多个维护者在一个单一的整体库上协作更为便利。然而，其他人则表示担忧，认为任何国家行为体能够接触到的代码都可能被滥用。当面对秘密法院的令状时，开发者将没有太多选择。“我对俄罗斯政府的信任程度与对一个人的信任程度截然不同。”一位开发者说。 尽管许多人同意过分关注单一维护者可能有些夸大其词，但对地缘政治或系统性风险保持谨慎的认识仍然必要。Hunted Labs的研究人员承认，替换或修复fast-glob没有快速简便的解决方案。“最佳选择是让mrmInc为项目增加额外的维护者和监督机制，新的维护者需为开源社区所知且居住在民主社会。这是最简单的解决方案，能立即保护使用fast-glob的数百万项目。”Hunted Labs建议道。其他替代方案包括选择不同的工具，或者对其进行分叉（fork）并维护一个独立的版本。 然而，研究人员也敦促立即从美国国防部或情报界使用的产品中移除fast-glob。美国国防部此前曾发布一份备忘录，指示所有技术必须经过验证，确保其安全，能防范来自俄罗斯及其他对手的潜在供应链攻击。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称已获取AT&T基础设施的实时访问权限，这实质上使他们能够绕过与特定电话号码绑定的双因素认证。据称，此次黑客攻击影响了数百万AT&T用户。 恶意行为者在一个流行的地下论坛上宣布了他们的最新行为，该论坛通常用于交易数据泄露信息和软件漏洞。根据帖子内容，有人侵入了美国电信巨头AT&T的系统，并在其内部植入恶意软件长达数周而未被发现。 我们已联系AT&T，并在收到回复后更新本文。 与此同时，Cybernews研究团队正在调查攻击者的说法。包含所谓数据样本的网站被发布在暗网上，但目前无法访问，因此无法验证说法的真实性。一旦获得更多数据细节，我们将更新本文。 （AT&T数据泄露帖子暗网截图，由Cybernews提供） “威胁行为者声称已部署了一个定制的恶意负载，这使他们能够对AT&T的核心系统拥有读/写权限，”我们的团队解释道。 “根据黑客的说法，这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码，并访问一个包含约2400万AT&T用户数据的数据库。截至目前，Cybernews研究团队尚无法验证这些说法的任何一项。” 这次AT&T数据泄露可能有多危险？ 帖子作者声称，他们入侵的数据库不是静态的，这意味着所谓的攻击使攻击者能够修改AT&T基础设施内的信息。如果得到证实，这对黑客来说将是一个金矿。 攻击者的说法实质是，他们已能够将2400万AT&T用户的电话号码转移到他们想要的任何SIM卡上。这进而使得SIM交换攻击成为可能，这种攻击方式深受Scattered Spider等黑客组织的青睐，该组织曾攻击过拉斯维加斯的米高梅和凯撒酒店以及英国最大零售商玛莎百货。 “根据黑客的说法，这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码，以及访问一个包含约2400万AT&T用户数据的数据库。截至目前，Cybernews研究团队尚无法验证这些说法的任何一项。”团队解释道。 SIM交换允许攻击者接管发送到特定电话号码的所有通信。想想你在尝试登录受保护服务时，手机上收到的双因素认证码。 此外，对实时数据库的访问可能使攻击者能够实时查看认证码，这对从社交媒体账户到银行业务的一切都构成了重大的网络安全问题。 AT&T过去的安全事件 网络犯罪分子不断针对AT&T。攻击者充分意识到该公司储存了大量美国人的数据，因为它是世界上最大的电信公司之一，年收入超过1220亿美元。 今年早些时候，恶意行为者声称他们掌握了数千万AT&T的记录，包括税务ID、姓名和IP地址。然而，攻击者提供的数据样本不足以证实黑客攻击。 去年四月，AT&T表示其客户数据从第三方云平台被非法下载，几乎所有客户都受到影响。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室（OAG）已确认遭遇勒索软件攻击，导致民事和刑事案件审理延误。 该州总检察长戴夫·森迪（Dave Sunday）证实，此次事件已于8月初导致总检察长办公室的服务器下线。森迪在8月29日发布的最新通报中透露：“此次中断由外部人员通过加密文件，迫使OAG支付赎金以恢复运营所致。目前尚未支付任何赎金。” 对于此次攻击中是否存在数据被盗的可能性，总检察长办公室未给出任何说明。 森迪接着表示：“目前正与其他机构开展联合调查，这使得我们无法就调查进展或事件应对措施进一步置评。”他补充道：“我们一直在向公众定期通报事件最新情况，并将继续这样做。若调查显示有必要，这些通报将包括向相关个人发送通知。” 美国宾夕法尼亚州总检察长办公室是该州最高执法机构，职责包括提起刑事诉讼和执行消费者保护法。 事件导致刑事与民事案件审理延误 受本次技术故障影响，宾夕法尼亚州多家法院被迫发布命令，延长刑事案件和民事案件的审理期限。 森迪指出：“不过，根据目前调查所掌握的情况，我们预计不会出现仅因外部干扰就导致刑事起诉、调查或民事诉讼受到负面影响的情况。” 这起网络事件于8月18日首次披露，当时总检察长办公室的网站陷入下线状态，办公邮箱账户及固定电话线路也无法使用。 最新通报证实，目前大多数总检察长办公室工作人员已恢复邮箱访问权限，并正通过邮箱与选民及利益相关者沟通。此外，办公室主电话线和官方网站均已恢复上线。 恢复全部功能的工作仍在进行中，同时总检察长办公室正与其他机构合作，“以避免类似情况再次发生”。 森迪表示：“总体而言，总检察长办公室的约1200名工作人员（分布在全州17个办公地点）仍在开展日常工作，尽管部分工作需通过替代渠道和方式完成。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴尔的摩市监察长表示，该市向一名诈骗者支付了超过150万美元的欺诈款项；此人成功冒充某供应商，并骗过了市政府员工，使其更改了该承包商的银行账户信息。 巴尔的摩监察长伊莎贝尔·梅赛德斯·卡明（Isabel Mercedes Cumming）在对此事件的事后分析中表示，该市应付账款部门未能在此前的欺诈事件后实施纠正措施，也没有建立适当的保护措施来核实供应商详细信息。 2024年12月，诈骗者使用一名合法公司员工的姓名提交了一份供应商联系表，以获取该供应商Workday系统的访问权限。被冒充的这名人员并无权访问公司财务信息，且诈骗者提供的电子邮件地址也非公司官方地址。然而，应付账款部门的一名员工并未联系供应商以确认此人身份。 诈骗者多次提交请求，要求更改Workday中关联的银行账户，这些请求最终获得两名员工的批准。在2月和3月，巴尔的摩应付账款部门向所谓的供应商支付了两笔款项——分别超过80万美元和72.1万美元——之后在收到收款方银行关于可疑活动的通知后，他们才发现这可能是一场欺诈。该市成功追回了数额较小的那笔付款。 这起供应商诈骗案至少是自2019年以来巴尔的摩市政府遇到的第三起同类事件。2022年，市长儿童与家庭成功办公室一笔超过376,213美元的款项，在诈骗者说服市财政部门更改账户信息后，最终流入了一个诈骗者的账户。三年前，在对某供应商的信息进行修改后，有62,377美元被汇入一个欺诈账户。 根据监察长关于2022年事件的一份报告，该市财务总监曾表示，事发后已制定了新政策，要求部门员工“独立地向请求更改银行的供应商的高管级别员工核实变更信息”。 应付账款总监小蒂莫西·戈德斯比（Timothy Goldsby, Jr.）在给最新报告的书面回应中表示，在此办公室于2023年1月从财政部迁至审计长办公室之前，先前的控制措施“并未完全制度化”。 他写道：“应付账款部门同意监察长的评估，即该事件的发生是由于验证程序存在漏洞以及供应商账户保障措施不足所致。” 他表示，事件发生后，该部门正在修订其供应商联系和银行信息更新的操作流程，并要求对任何银行信息的更改进行交叉验证。他们还在加强Workday系统内的保障措施，包括创建一个受限用户角色来管理账户的敏感更改，并加强员工培训，以提高对社交工程欺诈的识别能力。 巴尔的摩市曾经历过几起具有重大影响的网络事件，其中包括2019年的一次勒索软件攻击，该攻击造成了约1900万美元的损失，并导致服务中断数月。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰和美国当局宣布，已捣毁一个向全球网络罪犯销售伪造身份证件的非法交易平台VerifTools。 在此次行动中，两个主要市场域名（verif[.]tools 和 veriftools[.]net）以及一个相关博客已被关闭。访问这些站点的用户将被重定向到一个说明页面，页面显示此次行动由美国联邦调查局（FBI）依据美国地方法院签发的授权令执行。服务器在阿姆斯特丹被查没。 然而，平台运营者于2025年8月28日在Telegram上发布消息称，他们已在“veriftools[.]com”域名上重新恢复了服务。根据DomainTools的记录，该域名注册于2018年12月10日。目前该平台管理员的身份仍未知晓。 美国司法部周四表示：“VerifTools的运营者制作并销售伪造的驾驶执照、护照及其他身份证件，这些证件可用于绕过身份验证系统，并未经授权访问在线账户。”美国司法部称，FBI在2022年发现某个利用窃取的身份信息访问加密货币账户的犯罪活动后，开始对此服务展开调查。调查显示，该非法平台被用于生成美国所有50个州以及其他国家的伪造身份证件，价格低至9美元。 FBI称，与VerifTools市场有关的非法收益约达640万美元。在VerifTools网站上，运营者通过声明试图“合理推诿”其责任：“服务的合法使用是您的责任。使用服务时，您必须了解您所在司法管辖区的本地、州和联邦法律，并对您的行为独自承担责任。” 平台关闭后，一位名为Powda_reaper的Reddit用户在该平台的r/blackhat版块上声称，网站所有者给他们发消息说“网站因重大故障目前无法访问”，并承诺在8月29日前让网站重新上线，同时安抚他们“您的资金是安全的”。 美国代理检察官瑞安·埃里森表示：“互联网不是罪犯的避难所。如果你开发或销售能让罪犯冒充受害者的工具，那你就是犯罪的一部分。我们将动用一切合法手段打击你的业务，没收你的利润，并将你绳之以法。没有任何一个犯罪组织能大过我们的联合行动。” 荷兰国家警察在一份联合声明中将VerifTools描述为最大的虚假身份证件提供商之一。除两台物理服务器外，还有超过21台虚拟服务器被没收。官员们还指出，服务器上网站的全部基础设施已被安全扣押并复制，以供后续分析。在荷兰，伪造、使用虚假身份证明以及使用伪造支付工具，最高可判处六年监禁。 荷兰警察机关指出：“许多公司和机构使用所谓的‘了解你的客户’（KYC）验证，这通常只需要一张身份证件图像。通过使用VerifTools，这种KYC控制可能会被绕过。”他们进一步说明：“犯罪分子非常乐于使用VerifTools这类平台，因为他们可以利用制作的文档实施欺诈，例如银行帮助台欺诈和网络钓鱼。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文