HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究员杰里米亚·福勒发现一个疑似属于房地产管理公司的数据库，内含大量未加密的个人身份信息(PII)。该数据库高达116.24GB，包含约17万条记录，且未设置密码保护，处于完全开放状态。 暴露的数据类型包括： 姓名与出生日期 社会安全号码 实际住址及电子邮箱 员工人事档案（含处分/解雇/辞职文件） 内部管理文件（安防记录/事件报告/警方档案/维修单据/报销明细） 福勒获取的样本数据显示，汽车旅馆员工的个人身份信息以明文形式存储在电子表格中。由于数据未经加密，黑客可轻易获取这些信息用于身份盗窃、金融欺诈或精准钓鱼攻击。 福勒在网站星球报告中指出：“数据库还包含房产检查报告、租客驱逐通知、员工降职解聘函、零用金报表，以及含有支付卡类型和末四位卡号的消费凭证。”他特别强调这是近年来接触过最值得警惕的数据库之一，因其涉及： 涉案人员逮捕记录 个人医疗状况文件 物业损毁现场照片 这些记录疑似关联加利福尼亚州的收益地产投资公司，该公司在美国多地经营房产项目。虽然数据归属指向该企业，但福勒无法确认是公司自身还是第三方服务商管理疏漏导致泄露。在收到漏洞披露通知当日，该数据库访问权限已被立即限制。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 牛津市议会披露一起网络安全事件，导致现任及前任议会工作人员21年间的个人信息遭泄露。该英国地方政府证实，攻击者于2025年6月7日至8日周末期间侵入其网络，议会自动安全系统虽清除了攻击者并限制其系统访问权限，但攻击者仍获取了部分遗留系统的历史数据。 议会声明称：“现已确认，2001至2022年间参与议会选举事务的工作人员（含投票站工作人员和计票员）的个人信息可能遭窃，其中多数为现任或前任议会职员。”目前尚无证据表明泄露信息被第三方获取，也未发现数据被大规模下载或提取的痕迹。 议会已向可能受影响人群发送单独通知，说明事件详情、可获支持及防范措施。虽未公布具体泄露数据类型，但议会强调已向政府主管部门及执法机构报告，正开展全面调查以确认数据泄露范围。 事件处理期间，议会聘请外部网络安全专家对所有主系统进行停机检查，导致地方政府服务中断逾一周。议会就服务不便公开致歉，并确认当前邮件系统及数字服务平台已恢复安全运行。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家电视台18日晚遭黑客攻击，常规节目被中断播放，转而出现号召民众街头抗议政府的视频。多个消息源证实该事件。 伊朗国际电视台称伊朗政府指责以色列策划了本次攻击。伊朗国家电视台随后发表声明称：“如果您在收看电视节目时出现信号中断或无关画面，系敌方干扰卫星信号所致。” 本次攻击是近期伊朗境内一系列网络攻击的最新案例，此前多起攻击已被证实与以色列有关联组织相关。就在同一天，伊朗赛帕银行和最大加密货币交易所Nobitex亦遭黑客入侵。 其中Nobitex被窃取逾9000万美元资产，这一嚣张行径使得已持续十余年的以伊网络战争骤然升级。 区块链分析机构TRM实验室指出：“伊朗机构将虚拟资产同时作为金融变通手段和战略资产，用以支持包括扩散先进武器技术在内的地缘政治野心。最新事件说明加密货币交易所正从冲突边缘地带，成为各方势力的战略目标。” 此次事态发展的背景在于，以色列官员披露伊朗正劫持以色列境内的私人安防摄像头以获取实时情报，该手法与2022年俄罗斯入侵乌克兰后所用战术如出一辙。 以色列国家网络理事会前副总干事拉斐尔·弗朗哥证实：“过去两三天内，伊朗持续试图接入摄像系统，通过分析导弹落点信息提升打击精度。” 网络安全公司Radware数据显示，本轮冲突爆发后针对以色列的分布式拒绝服务攻击占黑客活动总量的近40%。6月17日，黑客组织DieNet警告称若美国加入对伊作战将发动网络攻击。 随后阿拉伯幽灵、锡尔赫特帮派等组织相继声援该声明，暗示地面战事胶着之际，网络空间正形成潜在联合阵线。Radware威胁情报总监帕斯卡尔·吉恩斯警示：“企业需保持最高警戒。网络战若持续升级，关键基础设施、供应链乃至跨国企业都将成为附带打击目标。” “2025年以伊冲突堪称现代混合战争的范本——比特流与信息战的战略地位已堪比导弹和炸弹。” CloudSEK在双份研究报告中披露，35余个亲伊朗组织已对以色列基础设施发动协同攻击，而亲以色列的黑客团体数量不足其半数。安全研究员帕吉拉·马诺哈尔·雷迪分析称：“攻击集中于对政府网站、军事系统和关键基础设施的DDoS攻击、网页篡改及数据窃取。” “最具特征的是，这些攻击延续了黑客团体夸大事实与散布虚假消息的一贯模式——将无关系统故障归功于己、重复利用旧数据泄露事件、虚报损失规模以博取关注，其实际作战效能极为有限。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现两个本地权限提升（LPE）漏洞，攻击者可借此在主流Linux发行版中获取root权限。Qualys披露的两处漏洞如下： CVE-2025-6018：SUSE 15的可插拔认证模块（PAM）配置缺陷，允许普通用户获取“活跃用户权限”（allow_active） CVE-2025-6019：通过udisks守护进程，利用libblockdev漏洞将活跃用户权限提升至root Qualys威胁研究部门高级经理Saeed Abbasi指出：“这类现代‘本地到root’漏洞利用技术，彻底消除了普通登录用户与完全控制系统之间的安全屏障。攻击者通过串联udisks合法功能（如循环挂载）和PAM/环境特性，能在数秒内突破polkit的allow_active信任区，获取root控制权。” 漏洞细节 CVE-2025-6018存在于openSUSE Leap 15和SUSE Enterprise 15的PAM配置中，致使远程SSH等普通会话被误判为物理在场操作，从而授予本应受限的polkit操作权。 CVE-2025-6019则影响默认安装于多数Linux发行版的udisks服务，结合前漏洞可让攻击者获得完整root权限。Abbasi强调：“尽管名义上需要‘allow_active’权限，但udisks几乎预装在所有Linux系统中。而包括本次PAM漏洞在内的技术，进一步削弱了权限壁垒。” 攻击后果 获取root权限后，攻击者能完全控制系统：关闭安全防护（如EDR）、植入持久后门、篡改配置，并将受控设备作为渗透内网的跳板。 影响范围与验证 Qualys已开发概念验证（PoC）代码，确认漏洞影响Ubuntu、Debian、Fedora及openSUSE Leap 15等主流发行版。其中openSUSE/SUSE同时受两漏洞影响，其他发行版主要面临CVE-2025-6019风险。 修复方案 立即安装补丁：各发行版已推送libblockdev安全更新（如Debian/Ubuntu需升级至libblockdev≥2.30或3.3.1） 临时缓解措施： 修改polkit规则，将org.freedesktop.udisks2.modify-device操作的allow_active=yes设为auth_admin 非必要场景可关闭udisks服务：systemctl mask udisks2.service 关联漏洞披露 Linux PAM维护者同时修复高危路径遍历漏洞CVE-2025-6020（CVSS 7.8）。该漏洞存在于pam_namespace模块（≤1.7.0版本），允许本地用户通过符号链接攻击和竞争条件提权至root。缓解方案包括禁用pam_namespace或确保其不操作用户可控路径。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI与美国国防部签署价值2亿美元的合同，旨在提升其人工智能能力，包括强化网络防御。该公司本周宣布启动“OpenAI for Government”计划，通过AI解决方案增强美国政府工作人员的效能。 美国国防部（DoD）将成为该计划的首个受益方，通过其首席数字与人工智能办公室（CDAO）开展试点项目。OpenAI声明称：“这份上限2亿美元的合同将借助OpenAI行业领先的专业能力，帮助国防部探索前沿AI如何变革行政运营——从优化军人及家属的医疗保健服务，到精简项目与采购数据处理，再到支持主动网络防御。”该公司同时强调“所有应用场景必须符合OpenAI的使用政策和准则”。 国防部表示，这笔资金将用于开发“原型前沿AI能力，以应对作战领域和企业领域的关键国家安全挑战”。网络安全媒体SecurityWeek已联系OpenAI获取更多网络防御能力细节，若获回应将更新报道。 AI治理与应用安全公司PointGuard AI高级官员Willy Leichter通过邮件评论：“生成式AI必将在国防和行政运营中发挥关键作用。鉴于AI发展的迅猛势头，外包给行业领导者比政府完全自主开发更切实可行。以国防部的标准看，2亿美元投入或许不算庞大，但这份一年期合同让OpenAI获得了宝贵的机会来原型开发广泛用例。如同私营领域，许多AI实验可能不尽如人意，但另一些或带来突破性成果。关键在于快速推进，而本次计划已迈出坚实的第一步。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新型安卓恶意软件“Godfather”通过虚拟环境窃取银行数据。该恶意软件利用嵌入虚拟化框架的APK文件，整合开源工具VirtualApp引擎和Xposed框架创建隔离环境。当用户设备安装目标银行应用时，恶意程序将其置入虚拟容器，通过“桩活动”(StubActivity)在宿主应用中启动。此举欺骗安卓系统使其误判为合法应用运行，实则拦截并操控所有操作。 核心欺骗技术 意图劫持：利用无障碍服务权限拦截银行应用启动指令，将其重定向至虚拟容器内的桩活动 视觉伪装：用户所见界面与真实银行应用完全一致，但所有交互数据（账号、密码、PIN码、触屏操作）均通过API钩子技术被窃取 场景欺骗：在关键操作节点弹出虚假锁屏界面诱骗输入密码，执行交易时显示伪装更新/黑屏界面掩盖后台操作 相比2022年Group-IB分析的版本（仅覆盖400个应用、16国），新版具备三大突破： 攻击范围：目标应用扩展至全球500余个银行/加密货币/电商平台 虚拟化深度：构建完整虚拟文件系统，伪造虚拟进程ID，实现更彻底的运行环境隔离 设备兼容：通过桩活动声明机制规避安卓系统对未注册活动的检测 威胁演变轨迹 2021年3月：由ThreatFabric首次发现，初代版本基于银行木马Anubis代码改造 2022年12月：进化至采用HTML覆盖攻击界面，移除GPS跟踪等冗余功能 2024年6月：Zimperium捕获最新变种，确认其具备虚拟环境操控能力，当前主要针对土耳其银行，但底层框架支持全球多区域攻击 防御建议 仅通过Google Play或可信渠道安装应用 启用Play Protect防护功能并定期更新系统 警惕应用索取的权限请求，特别是无障碍服务权限 该攻击模式与2023年末出现的FjordPhantom恶意软件类似，均通过虚拟化技术绕过检测。但Godfather的攻击广度与技术复杂度显著提升，标志着移动银行威胁进入新阶段。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 阿根廷情报部门近日披露一个涉嫌散布虚假信息的俄罗斯间谍网络，该组织被指控通过宣传活动服务莫斯科在拉美地区的地缘政治利益。据当地媒体援引国家情报秘书处（SIDE）消息，俄罗斯公民与阿根廷本地人员协作，通过宣传和虚假信息活动干预该国事务。 该组织名为“La Compañía”（公司），据信与克里姆林宫及“拉赫塔项目”存在关联。该项目是由已故俄罗斯寡头、瓦格纳集团首领叶夫根尼·普里戈津主导的国际干预计划，曾在美国、欧洲及乌克兰实施公民干预行动。其媒体帝国以运营散布虚假信息的“水军工厂”著称（包括干预2016年美国总统大选），后于2024年10月正式解散。 调查显示，俄籍夫妇列夫·康斯坦丁诺维奇·安德里阿什维利与伊琳娜·雅科文科是该间谍网核心人物。二人长期在阿根廷活动，负责接收莫斯科直接资金，并与当地亲俄组织建立联系。阿根廷总统发言人曼努埃尔·阿多尼指出，该组织旨在“组建效忠俄罗斯利益的团体”，具体实施手段包括： 操控社交媒体舆论导向 渗透影响非政府组织及民间团体 举办焦点座谈会收集公民政治立场 整理传递战略情报至俄方 阿多尼在援引法新社的声明中强调：“阿根廷不会屈从于任何国家的干预”。此次行动揭露了俄罗斯通过第三方代理人在拉美地区实施的新型渗透模式——不同于传统间谍活动，该组织以民间身份为掩护实施“润物细无声”的信息干预。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球银行业巨头瑞银集团（UBS）因第三方供应商遭网络攻击而发生数据泄露。瑞银发言人在发送给Infosecurity的声明中确认事件发生，但强调“客户数据及业务运营未受影响”。声明指出：“外部供应商遭受的网络攻击导致瑞银及多家企业的信息被盗。事件发生后，瑞银立即采取迅速果断的行动，避免对业务运营造成任何影响。” 瑞士媒体《时代报》（Le Temps）报道称，勒索组织“世界泄露”（World Leaks，前身为“猎人国际”）在暗网公开了约13万名瑞银员工的详细信息。泄露数据包含员工电话号码、职位角色、办公地点及具体楼层信息，甚至涉及首席执行官塞尔吉奥·埃尔莫蒂（Sergio Ermotti）的直接电话号码。 瑞银向Infosecurity证实，涉事供应商为总部位于瑞士的采购服务商Chain IQ。另一家Chain IQ客户——瑞士私人银行百达（Pictet）也确认遭遇数据泄露，但声明被盗信息“仅涉及银行供应商的发票数据，不含任何客户资料”。 前所未有的全球性攻击 Chain IQ在6月19日的声明中表示，该公司与另外19家企业于6月12日遭受“全球范围内前所未见”的网络攻击。当日17:15（中欧时间），部分客户数据被发布至暗网。该公司称：“攻击导致精选客户员工的商务联系信息外泄，涵盖内部电话号码。”事发后Chain IQ立即通知了所有受影响客户及合作伙伴，并通报执法部门，同时采取强化系统安全的措施，但未说明攻击是否涉及勒索软件。 泄露事件的潜在连锁风险 网络安全专家针对事件影响提出多重警示： 风险潜伏性：ESET全球安全顾问杰克·摩尔（Jake Moore）指出，尽管当前未见客户数据泄露，“但历史经验表明，数据泄露的全部影响可能在数周后才会完全显现”； 声誉胁迫：OPSWAT国际业务高级副总裁詹姆斯·尼尔森（James Neilson）分析，公开员工信息是攻击者“通过公开羞辱施压企业支付赎金”的策略，此举可能严重损害银行声誉与客户信任； 衍生威胁：ImmuniWeb首席执行官伊利亚·科洛琴科（Ilia Kolochenko）警告，泄露数据可能被用于针对银行员工的社会工程攻击，结合深度伪造技术实施金融欺诈，甚至为洗钱活动提供便利。 第三方安全警钟再起 此次事件凸显供应链攻击对金融业的持续威胁。尼尔森强调：“金融系统的高度互联性使第三方供应商成为攻击大型银行的主要跳板。在银行业等强监管领域，整合第三方时必须设定最低安全运营标准，并实施审计与主动监控。”该观点呼应欧盟《数字运营弹性法案》（DORA）对金融机构第三方风险管理的要求。值得注意的是，近期英国零售商玛莎百货（M&S）等企业遭攻击的调查也显示，攻击者通过IT外包巨头塔塔咨询公司（TCS）的凭证入侵系统，而阿迪达斯5月同样因第三方漏洞导致客户数据泄露。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名甜甜圈连锁品牌Krispy Kreme近日披露，2024年11月发生的数据安全事件导致超16万人敏感信息泄露。泄露数据包含高度敏感的财务信息，可能使受影响者面临欺诈风险，具体涉及： 财务账户信息 金融账户访问凭证 附带安全码的信用卡/借记卡信息 金融账户登录凭证 攻击者还窃取了多类个人数据，包括医疗健康信息、医保详情，以及姓名、社保号码、出生日期、驾照/州身份证号、护照号码、电子签名、账户密码、邮箱及密码、生物特征数据、美国移民登记号及军人证编号。具体泄露信息类型因个体而异。 该公司表示正通知受影响人员，并强调“绝大多数收到通知者为现雇员、前雇员及其家属”，目前尚未证实客户数据是否遭波及。受影响个体将获赠免费信用监控与身份保护服务，相关注册指南将随通知信函一并寄送。 Krispy Kreme声明，目前“无证据表明泄露信息遭滥用”，但仍呼吁所有接收通知者警惕身份盗用风险，建议定期核查财务账户流水、信用报告等异常活动迹象。公司承诺“事件发生后已采取适当措施加固系统，并将持续强化系统安全以保障数据隐私”。 根据6月16日提交至缅因州总检察长办公室的通报文件，事件共影响161,676人。此次泄露已造成显著经济损失——该公司2025年2月发布的年报显示，事件导致1100万美元营收损失。早在2024年12月首次披露事件时，Krispy Kreme便承认网络安全事件引发的数字销售损失、顾问费用及系统恢复成本“可能对公司财务状况产生实质性影响”，并预计2025财年将持续承担相关支出。 经调查确认，个人信息泄露事实于2025年5月22日最终核实。尽管Play勒索软件组织曾宣称对此次攻击负责，但Krispy Kreme未就事件是否涉及勒索软件作出表态。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta周三宣布将在Facebook上支持新一代密码标准通行密钥（passkeys）。该公司在公告中表示：“通行密钥是验证身份和登录账户的新方式，比传统密码更便捷安全。”该功能预计“很快”登陆安卓和iOS移动设备，未来数月也将扩展至Messenger平台。用户使用Meta Pay支付时，通行密钥还可自动填充付款信息。 网络安全方面，通行密钥由FIDO联盟支持，用户可凭生物识别或设备锁屏PIN码安全登录在线服务。Meta强调该技术能有效防范钓鱼攻击和密码喷洒攻击：“相比传统密码和短信验证码，通行密钥具备抗猜测、抗窃取特性，可抵御恶意网站和欺诈链接。”此前Meta已在WhatsApp部署该技术：安卓版于2023年10月推出，iOS版于2024年4月上线，Instagram的部署计划暂未公布。 上月微软已在新用户账户中默认启用通行密钥登录。近期苹果也预告将在iOS、iPadOS、macOS和visionOS 26系统中，支持用户在不同密码管理器间导入导出通行密钥。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 具有俄罗斯背景的黑客组织正利用谷歌“应用密码”功能实施钓鱼攻击，这是一种旨在窃取受害者邮箱访问权限的新型社会工程学手段。 谷歌威胁情报小组与公民实验室披露了这场高度定向攻击的细节，称攻击者主要伪装成美国国务院官员。研究员表示：“2025年4月至6月初期间，该组织持续针对知名学者及俄罗斯批评人士，通过长期建立信任关系与定制化话术，诱使目标创建16位应用密码(ASP)。受害者一旦分享密码，攻击者即可长期访问其邮箱。” 谷歌将攻击归因于UNC6293组织，该团伙疑与俄罗斯背景的APT29黑客集团（又名蓝徽章/舒适熊）相关。与传统制造紧迫感的钓鱼不同，攻击者耗费数周培养信任：他们发送伪装成会议邀请的钓鱼邮件，在抄送栏伪造至少四个“@state.gov”邮箱以增强可信度。公民实验室指出：“受害者可能认为‘若有问题，国务院人员会提醒我’。而攻击者显然掌握国务院邮件服务器不验证地址有效性的漏洞。” 攻击者以“保障内外部安全通讯”为由，诱骗受害者生成应用密码（注：该功能可使低安全性设备绕过双重认证访问谷歌账户）。在目标同意会面后，向其发送伪造的国务院云平台访问指南PDF。谷歌威胁情报组确认，攻击者借此建立邮件客户端持久访问权限，终极目标是监控受害者往来邮件。 谷歌表示还监测到以乌克兰为主题的同类攻击，攻击者主要使用住宅代理和云服务器隐藏行踪，谷歌已采取防护措施。UNC6293与APT29的关联基于其自年初实施的一系列创新攻击：包括利用设备验证码和入网验证钓鱼窃取Microsoft 365账户。微软上月披露，自2025年4月以来，俄罗斯背景黑客通过虚假会议链接诱导受害者发送OAuth授权码。该恶意链接会返回设备注册令牌，使黑客设备获得目标组织网络访问权限。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亲以色列黑客组织“Predatory Sparrow”宣称对伊朗最大加密货币交易所Nobitex发起网络攻击，窃取价值超9000万美元的加密货币并将其销毁。这场具有政治动机的袭击发生于2025年6月18日，Nobitex于美国东部时间凌晨2:24首次在社交平台X上披露入侵事件。 “6月19日上午，技术团队检测到部分报告基础设施和热钱包存在未经授权访问迹象，”Nobitex在声明中表示，“我们已立即暂停所有访问权限，内部安全团队正在紧急评估事件影响范围。” 袭击发生后不久，“Predatory Sparrow”通过其波斯语账号“Gonjeshke Darande”宣布对事件负责，并威胁将公开从Nobitex内部网络窃取的源代码及机密数据。该交易所网站自遇袭后始终处于瘫痪状态。 “继伊朗革命卫队旗下‘塞帕银行’之后，现在轮到Nobitex。警告！24小时后我们将公开其源代码与内部信息，届时仍滞留该平台的资产将面临风险，”该组织在声明中强调，“Nobitex交易所是该政权在全球资助恐怖主义的核心工具，更是其最偏好的制裁规避渠道。” 区块链分析公司Elliptic证实，超过9000万美元加密货币从Nobitex钱包中被转移至黑客控制的地址。但该组织并未试图变现牟利，而是将绝大部分资金转入嵌有反伊斯兰革命卫队（IRGC）标语的“靓号地址”（例如含“F*ckIRGCterrorists”字样的加密钱包）。此类特殊地址需消耗巨量算力生成可用私钥，而Elliptic指出：“创建如此长字符串名称的靓号地址在计算上不可行”，这意味着黑客实质永久锁死了这些资产。 “此次攻击显然非经济动机驱动，”Elliptic分析称，“黑客采用‘暴力破解’生成靓号地址——需创建海量密钥对直至匹配目标文本，但生成这种超长字符串地址的计算难度超出实际可行性。”调查还显示，Nobitex与伊朗革命卫队及高层存在关联。早前研究证实该交易所与最高领袖哈梅内伊亲属、革命卫队关联商业集团及受制裁个人有密切联系，这些人涉嫌利用平台转移勒索病毒赃款。 值得注意的是，“Predatory Sparrow”在袭击Nobitex前一日还攻陷了伊朗国有塞帕银行（Bank Sepah），同样以系统瘫痪为核心目标而非谋取资金。两起事件爆发之际，伊朗正通过日益严格的网络隔离措施降低关键基础设施遭受升级攻击的风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正将矛头对准加密货币与区块链行业的求职者，通过感染应聘者设备实施数据窃取。思科Talos研究人员发现，一个名为“千里马”（Famous Chollima）的朝鲜黑客组织自2024年中起，针对印度等地的少量目标人群发起定向攻击。 该组织伪造知名企业身份，诱使真实的软件工程师、营销人员及设计师等应聘者访问技能测试页面。思科Talos在6月18日的报告中指出：“从发布的职位信息可明确看出，千里马组织广泛锁定具有加密货币和区块链技术经验的人群。其技能测试网站伪装成Coinbase、Archblock、Robinhood等真实企业，以此精准定位目标人群。” 受害者会收到测试网站的邀请码，需填写个人信息并完成技能测试。随后，应聘者被要求录制视频面试。当用户授权网站使用摄像头时，页面会显示“安装视频驱动程序”的指令，诱导其复制粘贴恶意代码到终端。思科Talos将这种策略称为“点击修复”（ClickFix）——通过虚构系统错误提示，利用人类解决问题的本能心理，诱骗目标执行最终导致恶意软件下载的命令。 黑客为MacOS和Windows系统开发了专属恶意软件“PylangGhost”，可窃取多种浏览器扩展程序存储的凭证、会话cookie等关键数据。该恶意软件具有模块化结构，通过RC4加密通信连接命令控制服务器，支持远程系统操控及文件窃取。 “千里马”等组织深度参与朝鲜向欧美科技公司渗透公民的计划：既通过合法薪资赚取外汇，又借助对区块链企业的渗透实施加密货币盗窃。美国执法部门估算，此类行动为朝鲜军方创收数十亿美元。本次攻击活动还暴露出朝鲜更深层的意图：窃取加密货币领域成功求职者的属性信息，为其公民伪造身份应聘提供参考；同时预先感染可能入职合法企业的开发者设备，为后续攻击埋下伏笔。 去年12月，加密货币平台Radiant Capital遭遇的5000万美元劫案正是类似手法的重演：黑客冒充公司前承包商，向工程师发送暗藏恶意软件INLETDRIFT的PDF文件，该后门专门针对macOS设备。自2023年以来，安全专家持续警告使用MacBook的加密货币从业者是朝鲜黑客的首要目标。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗保健服务与技术公司Episource近期披露重大数据泄露事件，约540万人的敏感信息可能遭窃。该公司主要为联邦医疗保险优势计划（Medicare Advantage）、医疗补助计划（Medicaid）及平价医疗法案（ACA）市场中的医疗机构提供风险调整服务、临床数据分析及病历审查解决方案。 据公司官网发布的违规通知披露，2025年2月6日发现系统异常活动后，Episource立即启动应急响应：关闭所有计算机系统，聘请网络安全专家开展调查，并向执法部门报案。调查确认黑客在1月27日至2月6日期间侵入系统并复制数据，但截至目前尚未发现数据遭滥用证据。 “受影响数据因人而异，可能包含联系方式、健康保险信息及医疗记录等敏感信息。”通知中特别强调，“少数案例中甚至涉及社会安全号码或出生日期等核心身份标识。”具体可能泄露的数据包括： 联系方式（姓名、地址、电话及邮箱） 有限数量的社会安全号码及出生日期 健康保险计划/保单、保险公司、会员/团体编号及政府医保ID 医疗记录编号、主治医师、诊断结果、用药记录、检测报告及诊疗影像 治疗护理相关敏感健康信息 尽管财务数据基本未受影响，公司仍建议受影响者密切监控医疗账单、财务及税务记录异常情况。Episource已于4月23日起陆续通知合作医疗机构及受影响个体。 医疗行业正面临日益严峻的网络安全威胁。就在本月，康涅狄格州最大非营利医疗网络耶鲁纽黑文健康系统（YNHHS）刚披露影响550万患者的网络攻击事件，与本次Episource事件形成行业警示。这两起百万级数据泄露事件凸显医疗健康数据在暗网市场的超高价值，也暴露出行业在第三方服务商安全管理方面的系统性风险。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国健康数据管理软件公司Freedman Healthcare（FHC）CEO向Cybernews表示，周一引发广泛关注的勒索攻击中未泄露任何健康数据——但事件似乎另有隐情，因为宣称对此负责的“世界泄密者”（World Leaks）黑客组织已在暗网公开超过52GB敏感数据。 这家为美国二十余个州立公共卫生部门、非营利组织及保险公司提供技术服务的公司，于周一被“世界泄密者”勒索组织宣称攻破。公司CEO约翰·弗里德曼（John Freedman）在周二向Cybernews发送的个人声明中着重强调：“本次事件中没有任何健康数据遭到泄露。” 问题在于，弗里德曼的声明虽可能属实，却未回应黑客宣称的另一关键事实——52.4GB敏感数据已于周二按计划在该组织的暗网泄密博客公开。 泄露数据包含上万份敏感文件 据称此次攻击共窃取42204份文件。经Cybernews核查，泄露数据中存在大量2021至2024年的敏感企业文档与电子表格。泄露文件内容涉及： 年度预算报告与供应商合同 保险文件及客户资料清单 内含FHC州政府客户账户明文登录凭证的数据库 另发现数十份按姓名分类的员工档案，包含： 未加密的工作合同与薪酬单 签证/绿卡/真实身份证申请材料 完整银行流水与税务文件 简历、学历证书副本及新冠检测结果 这些个人身份信息极易被用于实施鱼叉式钓鱼攻击或身份盗用。 公司回应与事实矛盾点 CEO称事件发生于“四月下旬”，仅“影响有限范围的IT系统”。公司声明表示：“已立即聘请外部网络安全专家加固网络并开展全面取证调查”，坚称事件“仅波及单个文件服务器，未涉及任何客户的受保护健康信息”，且“所有恶意文件均被定位清除，系统重新加固”。 黑客组织背景 “世界泄密者”于2025年1月以“勒索即服务”平台形态首次出现。其独特运作模式在于： 不瘫痪受害方系统，专注窃取敏感数据 被证实为知名勒索组织“猎人国际”（Hunter’s International）衍生的分支项目 通过放弃传统加密勒索、仅实施数据勒索降低执法关注度 据Cybernews勒索追踪器（Ransomlooker）显示： “猎人国际”过去12个月发起166次攻击 “世界泄密者”平台年初至今累计曝光22名受害者（半数位于美国） 尽管“猎人国际”曾宣布关闭业务并重组为“世界泄密者”，安全机构Group-IB指出两者目前仍在同步运作。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个凭证数据集曝光了史上最大规模的数据泄露事件之一，总计暴露了惊人的160亿条登录凭证。这些数据很可能源自各种信息窃取程序。 不必要地汇总敏感信息可能与主动窃取数据同样危险。例如，Cybernews研究团队发现了多个超大规模数据集，其中存储了数十亿条登录凭证。从社交媒体、企业平台到VPN和开发者门户，无一幸免。 自今年年初以来，我们的团队一直在密切监控网络活动。截至目前，他们已发现30个被暴露的数据集，每个数据集包含的记录从数千万条到超过35亿条不等。总体而言，研究人员揭露了难以想象的160亿条记录。 除一个数据集外，其他所有被暴露的数据集此前均未报告：今年5月下旬，《连线》杂志曾报道一名安全研究人员发现了一个包含1.84亿条记录的“神秘数据库”。但该数据库的规模在本团队发现的列表中勉强挤进前二十名。最令人担忧的是，研究人员声称每隔几周就会出现新的大规模数据集，这表明信息窃取恶意软件的传播程度远超想象。 研究人员表示：“这不仅仅是一次泄露——它是大规模利用的蓝图。超过160亿条登录记录的暴露，使网络犯罪分子现在能够以前所未有的规模获取个人凭证，这些凭证可用于账户接管、身份盗窃和高度针对性的网络钓鱼攻击。”他们补充道：“尤其令人担忧的是这些数据集的结构和时效性——它们并非回收利用的旧泄露数据。这是新鲜的、可直接用于攻击的大规模情报。” 唯一的一线希望是，所有这些数据集都只是短暂暴露：时间刚好足够研究人员发现它们，但不足以查明是谁在控制这些海量数据。大多数数据集是通过未采取安全措施的Elasticsearch实例或对象存储实例暂时可访问的。 数十亿条暴露的记录包含什么？ 研究人员称，泄露数据集中的大部分数据是窃取程序恶意软件（stealer malware）的详细信息、凭证填充（credential stuffing）数据集和重新打包的泄露数据的混合体。 无法有效比较不同数据集之间的数据，但可以肯定存在重复记录。换句话说，无法确切得知实际有多少人或账户被暴露。 然而，团队设法收集到的信息显示，大部分信息遵循清晰的结构：首先是URL，然后是登录详情和密码。大多数现代信息窃取程序——即窃取敏感信息的恶意软件——正是以这种方式收集数据。 泄露数据集中的信息几乎为任何能想到的在线服务敞开了大门，从苹果、Facebook和Google，到GitHub、Telegram以及各种政府服务。当160亿条记录摆在面前时，很难遗漏任何东西。 据研究人员称，如此规模的凭证泄露为钓鱼攻击、账户接管、勒索软件入侵和商业邮件诈骗（BEC）攻击提供了燃料。该团队表示：“新旧窃取程序日志的混合——通常包含令牌（tokens）、cookie和元数据——使得这些数据对缺乏多因素认证（MFA）或凭证管理措施的组织尤其危险。” 哪些数据集暴露了数十亿条凭证？ 团队发现的数据集差异很大。例如，最小的数据集以恶意软件命名，包含超过1600万条记录。而最大的一个数据集很可能与葡萄牙语人群相关，包含超过35亿条记录。平均而言，一个暴露凭证的数据集包含5.5亿条记录。 有些数据集命名泛泛，如“logins”（登录）、“credentials”（凭证）等类似术语，导致团队难以深入了解其内容。然而，另一些数据集的名称则暗示了它们关联的服务。 例如，一个包含超过4.55亿条记录的数据集，其名称表明其源于俄罗斯联邦。另一个包含超过6000万条记录的数据集则以Telegram命名，这是一个基于云的即时通讯平台。 该团队强调：“新旧窃取程序日志的混合——通常包含令牌、cookie和元数据——使得这些数据对缺乏多因素认证或凭证管理措施的组织尤其危险。” 虽然命名并非推断数据来源的最佳方式，但似乎部分信息与云服务、商业导向数据甚至加密文件有关。一些数据集的名称很可能指向用于收集数据的某种恶意软件。 目前尚不清楚谁拥有这些泄露的数据。虽然可能是安全研究人员为检查和监控数据泄露而汇编的数据集，但几乎可以肯定其中一些泄露的数据集归网络犯罪分子所有。网络犯罪分子钟爱大规模数据集，因为聚合的数据集能帮助他们扩大各种攻击的规模，例如身份盗窃、钓鱼诈骗和未经授权的访问。 即使成功率不足百分之一，也可能为攻击者打开通向数百万个人的大门，这些人可能被诱骗泄露更敏感的信息，例如金融账户。令人担忧的是，由于不清楚谁拥有这些暴露的数据集，用户能采取的防护措施影响甚微。 然而，基本的网络安全防护至关重要。强大且频繁更换的密码可能是账户安全与信息被盗之间的分水岭。用户还应检查其系统是否存在信息窃取程序，以避免数据落入攻击者之手。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 根据Barracuda与哥伦比亚大学、芝加哥大学研究人员合作进行的一项研究，目前有超过半数（51%）的恶意和垃圾邮件是使用AI工具生成的。 该研究团队分析了Barracuda在2022年2月至2025年4月期间检测到的垃圾邮件数据集。他们使用训练有素的检测器，自动识别恶意或未经请求的电子邮件是否由AI生成。 该过程发现，从2022年11月到2024年初，由AI生成的垃圾邮件比例呈稳步上升趋势。2022年11月，全球首个公开可用的大型语言模型（LLM）ChatGPT正式发布。 2024年3月，AI生成的诈骗邮件比例出现大幅激增。此后该比例出现波动，最终在2025年4月达到峰值51%。 哥伦比亚大学电气工程与计算机科学副教授阿萨夫·西顿（Asaf Cidon）在接受采访时表示，目前尚无法确定这一突然激增的明确原因。他解释道：“很难确切知道原因，但这可能由多种因素导致：例如，攻击者使用了新发布的AI模型，或者攻击者发送的垃圾邮件类型发生了变化，从而提高了AI生成邮件的比例。” 研究人员还观察到，在商业邮件诈骗（BEC）中，AI生成内容的使用比例增长要缓慢得多，在2025年4月仅占所有尝试的14%。这很可能是因为此类攻击（即冒充组织中特定高管要求电汇或金融交易）的精准性要求较高，而AI目前在这方面的效果可能还不够理想。 然而，西顿预计，随着AI技术的进步，它在BEC诈骗尝试中的使用比例将会上升。“特别是考虑到近期非常有效且廉价的语音克隆模型兴起，我们认为攻击者会将深度伪造语音融入BEC攻击中，以便更好地冒充特定人物，例如CEO。”他说道。 研究人员发现，攻击者使用AI主要有两个原因：规避邮件检测系统，以及让恶意信息对收件人显得更可信。 分析显示，与人工撰写的邮件相比，AI生成的邮件通常行文更正式、语法错误更少、语言复杂度更高。这使得它们更有可能绕过检测，并且在收件人看来显得更专业。研究人员在6月18日发布的报告中指出：“当攻击者的母语与其目标不同时，这点尤其有帮助。在Barracuda的数据集中，大多数收件人位于广泛使用英语的国家。” 研究人员还观察到攻击者使用AI测试不同的措辞变体，以找出哪些能更有效地绕过防御。他们表示，这个过程类似于传统营销中的A/B测试。 研究发现，在传达紧迫感方面，LLM生成的邮件与人工生成的邮件并无显著差异。紧迫感是网络钓鱼攻击中的常见策略，旨在迫使收件人快速做出情绪化反应。这表明，AI主要用于提高邮件的渗透率和可信度，而非促成策略的改变。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的多阶段恶意软件活动，专门针对《我的世界》（Minecraft）玩家。该活动使用基于Java的恶意软件，并利用名为“Stargazers Ghost Network”的分发即服务（DaaS）平台进行传播。 Check Point公司的研究人员雅罗米尔·霍雷伊希（Jaromír Hořejší）和安东尼斯·特雷福斯（Antonis Terefos）在一份报告中指出：“这些攻击活动导致了一个针对《我的世界》玩家的多阶段攻击链。恶意软件假冒了名为Oringo和Taunahi的工具，这些是‘脚本和宏工具’（即作弊工具）。第一和第二阶段的恶意程序均使用Java开发，并且只能在目标主机上安装了《我的世界》运行环境时才能执行。” 攻击的最终目的是诱骗玩家从GitHub下载《我的世界》模组（mod），进而投放具有全面数据窃取能力的.NET信息窃取程序。该网络安全公司于2025年3月首次检测到此活动。 该活动的显著特点是利用了名为“Stargazers Ghost Network”的非法服务平台。该网络利用数千个GitHub帐户建立被污染的代码仓库（repository），这些仓库伪装成破解软件和游戏作弊工具。 特雷福斯表示，他们已标记了“大约500个GitHub仓库，包括被复刻（fork）或复制的仓库”，并补充说“我们还观察到大约70个帐户产生了700个点赞（star）”。 这些伪装成《我的世界》模组的恶意仓库，是感染这款热门视频游戏用户的渠道。它们会投放一个Java加载器（例如“Oringo-1.8.9.jar”），截至报告发布时，该加载器仍未被任何防病毒引擎检测到。 这些Java存档（JAR）文件实施了简单的反虚拟机（anti-VM）和反分析技术以规避检测。其主要目的是下载并运行另一个JAR文件，这是一个第二阶段窃取程序，当受害者启动游戏时，它会获取并执行一个.NET窃取程序作为最终有效载荷。 第二阶段组件是从一个IP地址（“147.45.79.104”）获取的，该地址以Base64编码格式存储在Pastebin上。这本质上将Pastebin工具变成了一个“死投解析器”（dead drop resolver）。 研究人员解释说：“若要将模组添加到《我的世界》游戏中，用户必须将恶意JAR文件复制到《我的世界》的模组文件夹（mods folder）中。启动游戏后，《我的世界》进程将加载该文件夹中的所有模组，包括恶意模组，该模组随后会下载并执行第二阶段程序。” 除了下载.NET窃取程序，第二阶段窃取程序还能窃取Discord和《我的世界》的令牌（token）以及Telegram相关数据。另一方面，.NET窃取程序则能够从各种网络浏览器中窃取凭证，并收集文件、加密货币钱包信息以及其他应用程序（如Steam和FileZilla）的数据。 它还可以截取屏幕截图，并收集有关正在运行的进程、系统的外部IP地址和剪贴板内容的信息。最终，捕获的信息会被打包，并通过Discord的Webhook传输回攻击者。 研究人员怀疑该活动是一个俄语威胁行为者的手笔，因为发现了多个俄语编写的文件残留，并且攻击者的代码提交时间戳显示为UTC+3时区。据估计，可能有超过1,500台设备成为该计划的受害者。 研究人员总结道：“此案例凸显了流行的游戏社区如何被利用为恶意软件分发的有效载体，强调了下载第三方内容时保持谨慎的重要性。Stargazers Ghost Network一直在积极分发这种恶意软件，目标是那些寻求模组来增强游戏体验的《我的世界》玩家。看似无害的下载，实则是基于Java的加载器，它们会部署另外两个窃取程序，能够窃取凭证和其他敏感数据。” KimJongRAT窃取程序新变种现身 与此同时，Palo Alto Networks公司Unit 42团队详细介绍了名为KimJongRAT的信息窃取程序的两个新变种。该恶意软件很可能与BabyShark和Stolen Pencil背后的朝鲜威胁行为者有关联。KimJongRAT早在2013年5月就已被检测到，在BabyShark攻击中作为次级载荷投放。 安全研究员多米尼克·赖歇尔（Dominik Reichel）表示：“一个新变种使用可移植可执行（PE）文件，另一个则使用PowerShell脚本实现。PE和PowerShell变种都是通过点击Windows快捷方式（LNK）文件触发的，该文件会从攻击者控制的内容分发网络（CDN）账户下载一个投放器（dropper）文件。” PE变种的投放器会部署一个加载器（loader）、一个诱饵PDF文件和一个文本文件；而PowerShell变种的投放器则部署一个诱饵PDF文件和一个ZIP压缩包。加载器接着会下载辅助载荷，包括KimJongRAT的窃取程序组件。 PowerShell变种投放器提供的ZIP压缩包中包含嵌入了基于PowerShell的KimJongRAT窃取程序和键盘记录器组件的脚本。 这两个新变种都能够收集并传输受害者信息、符合特定扩展名的文件以及浏览器数据（如凭证和加密货币钱包扩展的详细信息）。PE变种的KimJongRAT还被设计用于窃取FTP和电子邮件客户端信息。 Unit 42团队指出：“KimJongRAT的持续开发和部署，以及其不断变化的技术（例如使用合法的CDN服务器来伪装其分发），表明其构成明确且持续的威胁。这种适应性不仅展示了此类恶意软件带来的持久威胁，也突显了其开发者更新和扩展其功能的决心。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗政府限制国内互联网访问，声称此举旨在阻止以色列开展秘密网络行动。此前以色列对伊朗发动前所未有攻击，加剧地区地缘政治紧张局势。 伊朗政府发言人法蒂梅·莫哈杰拉尼及网络警察部队FATA表示，网络降速是为“维护网络稳定性”，措施系“临时性、针对性且受控的网络防御行动”。网络监测机构NetBlocks数据显示，当地时间下午5：30左右出现“网络流量显著下降”。 此次断网发生在军事冲突升级背景下。自上周五起，以色列与伊朗持续进行导弹互袭，网络安全专家警告该冲突已蔓延至网络空间。伊朗政府已禁止官员使用手机等通信设备，并限制公众互联网访问，部分地区出现固话通信中断。伊朗国家电视台还呼吁民众卸载即时通讯软件WhatsApp，未提供任何证据地宣称该应用被以色列用于监控用户。WhatsApp母公司Meta否认指控，声明绝不追踪用户或向政府提供批量数据。 网络攻防呈现双向对抗特征： 亲以黑客精准打击：亲以色列组织“掠食麻雀”（Predatory Sparrow）本周宣称对伊朗赛帕银行（Bank Sepah）发动网络攻击，致其网站及ATM系统瘫痪。该组织公开声明指控该银行“规避国际制裁，挪用伊朗民众资金资助恐怖主义代理势力、弹道导弹计划及核武项目”，并称行动得到“勇敢伊朗人协助”，强调“服务于独裁者恐怖主义幻想的机构终将如此下场”。6月18日，该组织再度攻击伊朗最大加密货币交易所Nobitex，造成价值9000万美元数字资产被盗并永久锁定。区块链分析确认黑客通过特殊技术将资金转入嵌有反伊斯兰革命卫队信息的特定地址，实现彻底销毁。 伊朗网军全面反击：特拉维夫网络安全公司Radware监测发现，伊朗关联威胁组织在Telegram频道活跃度激增。包括“神秘孟加拉队”、“阿拉伯幽灵”在内的组织已威胁约旦、沙特等邻国，警告支持以色列将招致基础设施网络打击。其中“阿拉伯幽灵”宣称成功入侵以色列公共紧急警报系统，意图制造社会恐慌。 网络冲突持续升级之际，美国国务院宣布悬赏通缉使用IOCONTROL恶意软件攻击美以关键基础设施的伊朗黑客组织“Cyber Av3ngers”，指控其受雇于伊朗伊斯兰革命卫队网络电子司令部。 【事件最新进展】 6月18日，Nobitex交易所发布安全警报称，检测到“部分报告基础设施和热钱包遭未授权访问”后已暂停所有访问权限，承诺全额赔偿用户损失。区块链调查机构ZachXBT追踪发现，约8170万美元数字资产通过波场链（Tron）、以太坊虚拟机链（EVM）和比特币链（BTC）被盗，攻击者使用含反伊斯兰革命卫队辱骂信息的特定地址“TKFuckiRGCTerroristsNoBiTEXy2r7mNX”转移资金。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）发出警报，臭名昭著的网络犯罪团伙Scattered Spider（又名UNC3944）在连续攻击英美零售企业后，近期将目标转向美国保险行业。GTIG首席分析师约翰·胡尔奎斯特（John Hultquist）在周一的邮件声明中确认：“GTIG已发现多起入侵事件具备Scattered Spider攻击的全部特征。鉴于该组织历来采取逐行业定向攻击的模式，保险业需高度戒备针对服务台和呼叫中心的社会工程学攻击”。 Scattered Spider是以高级社会工程学手段闻名的松散黑客团体。最新情报显示，该组织据信已与勒索软件团伙DragonForce结成联盟，后者近期接管了RansomHub的基础设施资源。网络安全机构SOS Intelligence指出：“该团伙屡次展现冒充员工、欺骗IT支持团队、通过心理战术绕过多因素认证（MFA）的能力。其成员被描述为‘英语母语者’，疑似在西方国家活动，文化背景使其钓鱼电话攻击极具迷惑性。” 本月早前，安全公司ReliaQuest披露Scattered Spider与DragonForce正重点攻击IT服务商（MSP）和外包技术承包商，通过单点突破获取下游客户群访问权限。谷歌旗下Mandiant团队分析称，该组织通常锁定大型企业——尤其是服务台规模大、IT功能外包的机构——这类目标更容易受社会工程学攻击影响，且可能带来更高赎金收益。 为应对该团伙攻击，安全专家建议采取以下措施： 强化认证机制：实施严格身份验证流程 设立访问边界：限制权限升级和横向移动 专项人员培训：指导服务台员工在重置账户前必须核实员工身份       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文