HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款新的安卓间谍软件痕迹，该软件很可能与伊朗情报与安全部（MOIS）有关联，并伪装成VPN应用和SpaceX提供的卫星互联网服务Starlink（星链）向目标分发。 移动安全供应商Lookout表示，在上个月以色列-伊朗冲突爆发后一周，他们发现了四个被其追踪为DCHSpy的间谍工具的样本。具体有多少人可能安装了这些应用尚不清楚。 安全研究人员Alemdar Islamoglu和Justin Albrecht表示：“DCHSpy收集WhatsApp数据、账户、联系人、短信、文件、位置和通话记录，并能录音和拍照。” DCHSpy最早于2024年7月被发现，被评估为与MOIS有关的伊朗国家背景黑客组织MuddyWater所为。该黑客团伙还被称为Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（原Mercury）、Seedworm、Static Kitten、TA450和Yellow Nix。 早期的DCHSpy版本已被发现通过Telegram渠道，利用反对伊朗政权主题的内容，针对英语和波斯语用户。鉴于使用VPN作为诱饵来宣传该恶意软件，异议人士、活动人士和记者很可能是该活动的目标。 据推测，新发现的DCHSpy变种正在针对该地区最近冲突中的对手进行部署，手段是将其伪装成看似有用的服务，如Earth VPN（“com.earth.earth_vpn”）、Comodo VPN（“com.comodoapp.comodovpn”）和Hide VPN（“com.hv.hide_vpn”）。 有趣的是，一个Earth VPN应用样本被发现以“starlink_vpn(1.3.0)-3012 (1).apk”名称的APK文件形式分发，这表明该恶意软件很可能利用与星链相关的诱饵传播给目标。 值得注意的是，星链的卫星互联网服务于上月在伊朗政府实施网络封锁期间被激活。但几周后，该国议会投票决定将其未经授权的使用定为非法。 作为一个模块化木马，DCHSpy配备了多种数据收集功能，包括设备登录账户、联系人、短信消息、通话记录、文件、位置、环境录音、照片和WhatsApp信息。 DCHSpy还与其他名为SandStrike的安卓恶意软件共享基础设施。卡巴斯基于2022年11月标记出SandStrike，该恶意软件伪装成看似无害的VPN应用针对波斯语个体。 DCHSpy的发现是安卓间谍软件被用于针对中东地区个人和实体的最新案例。其他有记录的恶意软件家族包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。 Lookout表示：“DCHSpy使用与SandStrike相似的战术和基础设施。它通过Telegram等即时通讯应用直接共享恶意链接，分发给目标群体和个人。” “这些最新的DCHSpy样本表明，随着中东局势的演变，尤其是伊朗在达成与以色列的停火后加强对本国公民的管控，该间谍工具在持续开发和利用。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究公司Comparitech的最新分析显示，2025年上半年，针对医疗保健行业的勒索软件攻击增长率（同比仅4%）远低于大多数其他行业。 Comparitech数据研究主管丽贝卡·穆迪（Rebecca Moody）指出，由于零售等其他行业正日益被视为更容易获利的目标，部分威胁行为者已转移了攻击重点。该公司追踪到2025年上半年医疗保健机构遭受了211起勒索软件攻击。相比之下，同期所有行业的勒索软件攻击平均增长率高达50%。 遭受攻击激增的行业包括技术业（85%）、零售业（85%）、法律服务业（71%）、运输业（66%）、制造业（64%）和政府机构（60%）。公用事业是唯一出现下降的行业（-31%）。 医疗行业受攻击率较低的原因 穆迪向Infosecurity表示，除了攻击者对零售业的兴趣增加外，医疗行业受攻击率较低还有多方面因素。她认为，2024年影响医疗服务的高调攻击事件（如美国医疗支付服务商Change Healthcare和英国NHS病理供应商Synnovis遭袭事件），可能促使整个医疗行业提升了网络安全意识并改进了防护系统。 穆迪还指出，攻击者出现新趋势：他们更倾向于瞄准医疗行业内不直接提供护理服务的企业，例如医疗器械制造商和制药公司。这使得黑客能通过单次攻击波及大量医疗提供商。“由于这类公司通常服务于大量医疗机构，它们掌握着庞大的数据库。因此，攻击这类企业可使黑客一次性瞄准多个组织及其数据。2025年1月Episource遭勒索攻击导致540万人数据泄露便是典型案例。” 但她同时警告，医疗行业仍是攻击者的关键目标，2025年迄今已发生多起严重事件。“正如本报告所发现，部分黑客（如INC和Medusa）仍在持续攻击医院等直接护理机构，并屡屡得手。针对这类机构的攻击可能会保持现有频率。” 医疗行业面临低于平均水平的赎金要求 该报告（发布于7月17日）指出，上半年医疗企业面临的赎金要求平均为47.9万美元。在已确认的攻击中，平均赎金要求更高，达60.8万美元。而其他行业的平均赎金要求则超过160万美元。 报告期内无任何机构确认支付赎金，但有10家实体表示拒绝了黑客的要求。Comparitech追踪到的上半年最高医疗赎金要求来自Medusa团伙：该团伙2月向英国独立护理集团HCRG Care Group索要200万美元。其次是Crazy Hunter团伙攻击台湾马偕纪念医院后索要的150万美元。 Comparitech指出，仅有少数勒索团伙会公开赎金要求数据，因此许多金额仍未知。在2025年上半年已知的24个赎金数据中，13个来自Medusa团伙。“目前像达维塔（DaVita）、Frederick Health和Kettering Health等重大攻击的赎金数额尚未披露。若未来公布，预计平均值将会上升。” 已确认泄露230万条医疗记录 在2025年1月至6月追踪到的211起医疗勒索攻击中，68起已获受害者公开确认。Comparitech发现这些确认事件导致超过230万条医疗相关记录泄露。 此期间最大的勒索相关泄露事件发生在2025年1月，Frederic Health遭攻击导致近100万患者记录泄露。上半年声称攻击医疗行业最多的勒索团伙是INC Ransom（声称34起，10起已确认），占该团伙同期总攻击声明的26%。其次是Qilin（声称25起，10起确认）、SafePay（14起）、RansomHub（13起）和Medusa（13起）。 从已确认泄露记录数量看，Qilin以55.5万条位居首位，SafePay以26万条紧随其后。在所有追踪事件中，约66%（139起）针对美国企业。澳大利亚（10起）和英国（7起）分列二、三位。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）近期发出警报，发现一种名为LameHug的新型恶意软件。该软件利用大语言模型（LLM） 在受感染的Windows系统上生成并执行攻击指令。乌克兰专家将其归因于与俄罗斯有关的黑客组织APT28（又名UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM）。 CERT-UA在警报中指出：“LAMEHUG的显著特征是使用了LLM（大语言模型），根据其文本描述生成可执行命令。我们有中等把握认为该活动与UAC-0001（APT28）组织有关。” 2025年7月10日，CERT-UA发现一起针对政府部门的钓鱼攻击活动，攻击者通过伪装成政府文件的ZIP压缩包进行传播。该压缩包内含伪装成.pif文件的LAMEHUG恶意软件，该软件使用Python编写并通过PyInstaller打包。研究人员发现存在两种不同数据窃取方式的变体。攻击者使用了被入侵的电子邮箱账户，并将基础设施托管在合法但已被攻陷的平台上。 LAMEHUG通过huggingface[.]co服务API调用Qwen 2.5-Coder-32B-Instruct模型，基于静态输入的文本描述生成攻击指令。Qwen 2.5-Coder-32B-Instruct是由阿里巴巴Qwen团队开发的开源大语言模型，专门针对编程任务进行了优化。 该恶意软件会收集系统信息，并在常见文件夹中搜索Office、PDF和TXT文档。收集的数据先存储在本地，然后通过SFTP或HTTP POST方式外传。警报中详细说明：“该软件会收集计算机基本信息（硬件配置、进程、服务、网络连接）并存储在‘%PROGRAMDATA%\info\info.txt’文件中，同时递归搜索‘文档’、‘下载’和‘桌面’目录中的Microsoft Office文档（包括TXT和PDF文件），将其复制到‘%PROGRAMDATA%\info’文件夹。不同版本的程序会使用SFTP或HTTP POST请求外传获取的信息和文件。” LameHug是已知首款利用LLM生成攻击指令的恶意软件，使威胁行为者能够根据实际需求动态调整攻击链。该报告还包含了相关网络威胁指标。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周六向 SharePoint Server 客户发出紧急警告，称攻击者正在利用该软件产品中的一个零日漏洞（CVE-2025-53770，CVSS 评分为 9.8）。 目前尚无针对该漏洞（被命名为“ToolShell”）的补丁，微软称其为 CVE-2025-49706 的变种。这家总部位于华盛顿州雷德蒙德的科技巨头表示，安全更新正在开发中，并提供了缓解措施和检测指导。安全团队应立即采取行动，在此期间实施缓解措施。 谷歌发言人告诉 SecurityWeek：“谷歌威胁情报小组观察到威胁行为者利用此漏洞安装 Webshell，并从受害者服务器窃取加密密钥。这会导致持续的、未经身份验证的访问，并对受影响的组织构成重大风险。” 安全公司 Eye Security 表示，他们发现“数十个系统遭到主动入侵”，入侵可能发生在 7 月 18 日 18:00 左右（中欧时间）和 7 月 19 日 07:30 左右（中欧时间）的攻击中。 Palo Alto Networks Unit42 团队周六表示，他们也观察到影响 Microsoft SharePoint 的漏洞 CVE-2025-49704 和 CVE-2025-49706 正被积极利用。 微软在其安全公告中解释道：“为保护本地 SharePoint Server 环境，建议客户在 SharePoint 中配置 AMSI 集成，并在所有 SharePoint 服务器上部署 Defender AV。这将阻止未经身份验证的攻击者利用此漏洞。” Mandiant Consulting – Google Cloud 首席技术官查尔斯·卡玛卡尔评论道：“各组织需要立即实施缓解措施（并在补丁可用时应用），假设系统已遭入侵，调查在补丁/缓解措施应用之前系统是否已被入侵，并采取补救措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 里士满放射学协会（Radiology Associates of Richmond，简称RAR）披露了一起影响超过140万人的数据泄露事件。 该医疗机构在其官网上发布的《数据安全事件通告》显示，黑客在2024年4月的几天内入侵了该组织的系统。 超过一年后，里士满放射学协会确认，被入侵的系统中存储了包含可识别个人身份的健康及隐私信息的文件。 该机构目前没有证据表明泄露信息已被恶意使用，仅向社会保障号码（Social Security number）被包含在泄露文件中的患者提供免费的信用监控服务。 里士满放射学协会总部位于弗吉尼亚州里士满，在弗吉尼亚州中部多家医院、独立急诊中心和门诊影像中心提供医学影像服务。 美国卫生与公众服务部（HHS）的医疗数据泄露追踪系统显示，此次事件影响了1,419,091人。 目前没有已知的勒索软件组织宣称对此次攻击负责。 这并非近期披露的唯一重大医疗数据泄露事件。HHS追踪系统显示，马里兰州皮肤病服务提供商安妮阿伦德尔皮肤病学中心（Anne Arundel Dermatology）也遭遇了一起影响190万人的数据泄露。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Check Point Research 的数据显示，网络犯罪分子如今平均每周针对全球组织实施 1,984 次网络攻击，较四年前激增了 143%。 2025 年第二季度，全球各组织遭受的网络攻击数量较去年同期增长了 21%，较两年前增长了 58%，与四年前相比更是激增了 2.4 倍。 尽管每周网络攻击的平均数量达到了 1,984 次，但不同行业和地区之间存在显著差异。 教育机构位居榜首，平均每周遭受 4,388 次网络攻击，较上年增长 31%。Check Point 的报告指出，教育行业持续面临压力，原因在于其安全防御资金不足，且“拥有极具诱惑力的学生和教职员工凭证财富，极易被利用”。 研究人员表示：“政府组织因其敏感数据及其可提供地缘政治筹码的能力，仍然是极具吸引力的目标。与此同时，电信行业的攻击量显著增加，突显了其作为国家关键基础设施的重要角色，以及其掌握的敏感客户信息可能成为攻击目标。” 政府组织平均每周遭受 2,632 次网络攻击，而电信行业每周则遭受 2,612 次探测攻击。Check Point 的数据收集自超过 15 万个网络和数百万个端点。 按地区划分，欧洲的网络攻击增长最为显著（22%），北美次之（20%）。研究人员指出：“虽然欧洲的平均攻击量并非最高（1,669 次），但其年增长率（22%）却是最大的，表明该地区的威胁活动呈上升趋势，攻击者正利用该地区的地缘政治紧张局势、监管碎片化以及高度集中的高价值数据。” 非洲的组织每周遭受的攻击次数最多（3,365 次），其次是亚太地区（2,874 次）。 北美公司承受着最具破坏性的勒索软件攻击的最大份额。全球报告了约 1,600 起勒索软件事件，其中 53% 发生在该地区。四分之一的勒索软件攻击袭击了欧洲公司，而亚太地区的占比为 11%。 受经济利益驱动的勒索软件附属团伙主要针对以下行业： 商业服务（10.7%） 工业制造（9.8%） 建筑与工程（9.5%） 医疗保健（7.8%） 消费品和服务（7.6%） 预计情况不会缓解。Check Point 表示：“随着网络攻击在数量和影响范围上不断增长，各组织需要采取主动而非被动的策略。以预防为先的战略，辅以分层防御和持续可见性，仍然是关键。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大的非营利性认证网络安全专业人士协会ISC2的最新调查显示，网络安全团队对AI安全工具的兴趣虽谨慎但正在增长。 企业正在拥抱AI工具来提升安全水平，但在此过程中，他们可能切断了未来网络人才的输送管道。 AI已至，并将持续存在 在接受调查的436名安全专业人士中，近三分之一表示他们的团队已将生成式模型、自动化响应代理或AI增强监控系统等AI工具集成到日常运营中。另有42%的团队正在测试或评估这些工具。 最大的采用者是拥有10,000名以上员工的大型企业以及IT服务和工业等数据密集型行业的企业。与此同时，公共部门组织行动迟缓，只有16%采取了行动。 在采用、测试或评估AI安全工具方面处于领先地位的行业包括：工业企业（38%）、IT服务（36%）、商业/消费领域（36%）和专业服务（34%）。而金融服务和公共部门的采用率最低，分别仅为21%和16%。 速度和效率正在推动更快的采用。约70%在安全工作中使用AI的人表示，它已经让团队更有效率，尤其是在入侵检测、网络监控和漏洞管理等繁重领域。 AI正被用于自动化以下安全工作领域： 网络监控与入侵检测：60% 端点保护与响应：56% 漏洞管理：50% 威胁建模：45% 安全测试：43% AI工具可能威胁初级岗位 超过半数（52%）的受访者认为AI工具将减少对入门级员工的需求。21%的受访者表示，AI已经改变了其组织招聘和为网络安全岗位做计划的方式。 然而，这种趋势可能对网络安全专业人员的技能组合产生长期影响。 一位受访者告诉ISC2：“你得先学会走，才能成为真正高效的跑步者。”而当下，初级员工甚至还没系好鞋带（打好基础），AI就已经跑在了前面。 安全团队正面临一个矛盾：他们需要AI是因为它让工作更轻松，但这种轻松可能以牺牲长期人才输送管道为代价。减少初级岗位招聘意味着未来专家会更少，导师指导机会减少，进入这个本就精英化严重的领域的多元化新人也会更少。 一位受访者警告：“减少入门级网络安全岗位可能导致显著的技能缺口，限制人才增长和创新。长期影响包括高级专业人员压力增大、威胁响应速度变慢，以及因争夺经验丰富人才而导致成本上升。” 新型AI增强的工作岗位 不过，并非所有人都在敲警钟。近半数（44%）表示他们公司的网络安全招聘尚未受到AI安全工具使用的影响。 31%的受访者抱有希望地认为，AI实际上可能创造新的入门级岗位，这些岗位融合传统网络知识与新兴AI技能。 根据ISC2的信息，为入门级网络安全专业人士宣传和讨论的新型及AI增强的岗位包括： AI辅助SOC分析师：与AI增强的安全信息与事件管理（SIEM）或安全编排、自动化与响应（SOAR）工具协作。 安全数据分析师/初级威胁情报分析师：专注于通过管理庞大的威胁指标数据集来帮助训练和验证AI模型。 自动化与安全编排助理：支持开发和维护安全自动化脚本和工作流（AI平台利用这些脚本和流程来采取行动）。 AI治理或合规专员：提供入门级支持，确保安全领域使用的AI系统符合道德和合规要求，以及更普遍的正常运行。 安全测试助理：测试AI驱动的安全工具的稳健性，包括评估其对对抗性输入的反应。 云安全支持分析师：与AI增强的云安全监控工具协作，确保关键云服务和数据存储库的安全、可用性和防御能力。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯，弗拉基米尔·普京（Vladimir Putin）视为“有争议”的内容可能包括独立新闻报道或关于乌克兰战争的新闻。 将在线搜索行为定为犯罪在俄罗斯并非新鲜事——现行法律规定人们不得分享有争议的内容。而新的修正案则更进一步，将惩罚那些仅仅是搜索此类内容的人。 该修正案将在俄罗斯《行政违法法典》中新增第13.53条，规定：“搜索已知的极端主义材料并访问它们，包括通过使用能够访问受限信息资源或信息电信网络的硬件和软件工具。” 该修正案还使得任何社群或组织无需法院命令即可被指定为“极端主义”。 根据国家杜马（State Duma）公布的文件，对“故意搜索极端主义材料”的罚款将从大约38美元到64美元不等。 另一项单独的修正案将对宣传VPN（虚拟专用网络）的行为处以罚款。对个人的罚款可能在640美元至1,025美元之间，对官员的罚款在1,030美元至1,900美元之间，对法人的罚款则在2,560美元至6,400美元之间。   这并非俄罗斯首次公开宣布对消费和传播克里姆林宫不认可的信息进行罚款。最近一次失败的例子就涉及总统弗拉基米尔·普京本人，他在2022年公开使用了“战争”一词，而非政府批准的“特别军事行动”。 普京说：“我们的目标是……结束这场战争。”这一点值得注意，因为同年生效的一项法律将这场冲突称为“战争”或“入侵”定为刑事犯罪。 究竟什么是“极端主义材料”？ 克里姆林宫政权视为“极端主义”的内容几乎可以是任何东西。一份官方的禁限材料登记簿包含了约5500个条目。 例如，去年俄罗斯将“LGBT运动”列入极端主义和恐怖主义组织名单。反对派团体的社交媒体帖子（以及他们的一般活动）也被理解为极端主义。 名单上还有“所谓的纳粹意识形态”。尽管乍看之下这并不令人不安（谁会支持传播纳粹意识形态，对吧？），但其代价可能是惩罚那些通过独立媒体来源浏览有关乌克兰战争新闻的人。 俄罗斯政权曾多次声称，某些与克里姆林宫无关的政府及其领导人正在推行“新纳粹政权”。 有人支持这个想法吗？ 克里姆林宫的批评者以及与其有关联的个人和组织都直言不讳地反对这项修正案可能成为法律。 国际特赦组织（Amnesty International）东欧和中亚地区主任玛丽·斯特拉瑟斯（Marie Struthers）表示：“俄罗斯当局再次将他们无情的迫害异议行为伪装成打击‘极端主义’，通过模糊和过于宽泛的法律，为滥用解释和任意妄为提供了空间。如果这项关于‘极端主义’的法案成为法律，任何群体——甚至是一个私人的在线聊天群或朋友圈——只要有一名成员曾根据‘极端主义’指控被定罪（许多政府批评者都曾因此被定罪），就可以被指定为‘极端主义’并定罪。这将给执法机构一个看似无限的机会来撒网，甚至以与所谓‘极端分子’有遥远关联为由起诉更多的人。” 即使是与克里姆林宫有联系的记者也对此发表了看法，他们似乎担心如果这项修正案生效，他们进行“研究”也会受到惩罚。 “安全互联网联盟”（League for Safe Internet）负责人叶卡捷琳娜·米祖琳娜（Yekaterina Mizulina）在Telegram上发文（该文被《华盛顿邮报》引用）称：“结果就是，根据新法律，安全互联网联盟将无法向内务部移交有关极端主义社群的数据。他们将禁止我们监控极端主义。”米祖琳娜是一位俄罗斯参议员的女儿，她领导的联盟以针对批评政府的人士而闻名。 如果政府同意，拟议的修改将于2025年9月1日生效。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）报告称，与俄罗斯军事情报局（GRU）有关的威胁行为者一直在使用以前未知的恶意软件对受害者的电子邮件账户进行间谍活动。 这种新的复杂恶意软件被命名为“真实假象”（Authentic Antics），NCSC表示，与GRU有关的威胁组织APT28（又名Fancy Bear、Pawn Storm、Sednit、Sofacy和Iron Twilight）一直在负责部署该恶意软件。 NCSC的分析显示，“真实假象”是专门设计的，旨在通过伪装成合法活动，实现对微软云账户的持久端点访问。该恶意软件的设计投入了“大量心思”，以实现看起来像真实的微软Outlook活动的效果。 它会定期显示一个登录窗口，提示用户输入凭证，这些凭证随后会被恶意软件拦截，同时被拦截的还有用于访问微软服务的OAuth身份验证令牌。该恶意软件还会通过从受害者的账户向攻击者控制的电子邮件地址发送邮件来窃取受害者的数据，这些邮件不会出现在“已发送”文件夹中。 对该恶意软件的分析表明，它没有采用传统的命令与控制（C&C）机制，这种机制可能会增加其被检测到的可能性。 俄罗斯网络威胁持续存在 NCSC行动总监保罗·奇切斯特（Paul Chichester）评论道：“‘真实假象’恶意软件的使用，证明了俄罗斯GRU构成的网络威胁具有持续性和复杂性。多年来NCSC对GRU活动的调查表明，网络防御者不应轻视这种威胁，监控和保护行动对于防御系统至关重要。” “真实假象”恶意软件是在2023年发生一起网络事件后被发现的，该事件由微软和NCSC认证的网络事件响应服务提供商NCC Group进行了调查。 6月17日，乌克兰国家计算机应急响应小组（CERT-UA）识别出一种名为“LameHug”的新恶意软件，该机构表示，有中等把握认为该软件可能与APT28针对乌克兰安全和国防部门的网络攻击有关。 2025年5月，美国国家安全局与包括NCSC在内的盟友发布了一份联合网络安全咨询，强调了一场由俄罗斯国家支持、针对西方物流实体和科技公司的网络活动。该活动同样与APT28有关联。 英国制裁俄罗斯GRU军官 在英国政府分享“真实假象”恶意软件分析的同一天，英国政府还宣布对三个GRU单位（26165、29155和74455）以及18名GRU军官和特工实施制裁，原因是他们参与了全球范围内的网络和信息干扰行动，以支持俄罗斯更广泛的地缘政治和军事目标。 英国外交大臣戴维·拉米（David Lammy）表示：“克里姆林宫应该毫无疑问：我们看清了他们在阴影中的企图，我们不会容忍这种行为。这就是为什么我们要采取果断行动，制裁俄罗斯间谍。保护英国免受伤害是本政府‘变革计划’（Plan for Change）的根本。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的攻击活动，该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。 该漏洞编号为CVE-2021-41773（CVSS评分：7.5），是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞，可能导致远程代码执行。 “攻击者利用被攻陷的合法网站分发恶意软件，实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。 本月观察到的感染流程（源自印度尼西亚IP地址 103.193.177[.]152）旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本，负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序，这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。 “这种方法很巧妙，因为受害者连接的是拥有有效SSL证书的合法主机，降低了检测的可能性，”VulnCheck指出，“此外，这为下载站点（‘repositorylinux[.]org’）提供了一层隔离，因为恶意软件本身并不托管在那里。” 这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本，该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示，还在被攻陷的网站上发现了两个Windows可执行文件，表明攻击者可能也在针对微软的桌面操作系统。 值得注意的是，此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞（CVE-2024-36401，CVSS评分：9.8），Fortinet FortiGuard Labs在2024年9月记录了这一情况。 有趣的是，漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的，其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。 近年来被利用来传播此挖矿程序的其他漏洞还包括： CVE-2023-22527：Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞 CVE-2023-34960：Chamilo学习管理系统(LMS)中的命令注入漏洞 CVE-2023-38646：Metabase中的命令注入漏洞 CVE-2024-0012 和 CVE-2024-9474：Palo Alto Networks防火墙中的认证绕过和权限提升漏洞 “所有这些都表明攻击者正在进行一项长期活动，采用一致的技术手段，例如n-day（已知漏洞）利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿，”VulnCheck表示，“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐，需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发，这种方法在很大程度上帮助攻击者避免了审查。” Exchange服务器遭GhostContainer后门攻击 与此同时，卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞（CVE-2020-0688，CVSS评分：8.8）。 这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”，该俄罗斯公司表示，并补充说“该后门使攻击者能够完全控制Exchange服务器，允许他们执行一系列恶意活动。” 该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。 怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁（APT）活动的一部分。 关于攻击者身份的信息不多，但他们被评估为技术高度娴熟，原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。 “GhostContainer后门不会连接任何[命令与控制]基础设施，”卡巴斯基表示，“相反，攻击者从外部连接到被攻陷的服务器，他们的控制命令隐藏在正常的Exchange Web请求中。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所BigONE披露，黑客在昨日的攻击中窃取了价值2700万美元的各类数字资产。该平台宣布，私钥和用户数据在此次入侵中未受影响，所有遭受损失的客户都将从可用储备金中获得全额赔偿。 公告中写道：“7月17日凌晨，BigONE检测到涉及平台部分资产的异常流动。经调查确认，这是第三方攻击我们热钱包的结果。” 该公司向用户保证，攻击方式已被识别并得到完全控制。BigONE已与安全公司SlowMist合作，追踪被盗资金并监控其在各条区块链上的转移情况。交易所表示：“BigONE将全额承担本次事件造成的所有损失。用户资产不会受到任何实质影响。” 几小时后，BigONE管理员宣布，在遭受网络攻击后，存款和交易服务已全面恢复，提款和场外交易功能也将很快重新启用（截至撰写时尚未恢复）。 此外，尚未有关于攻击者具体如何入侵交易所并窃取资金的详细信息公布，但SlowMist表示交易所是供应链攻击的受害者。 与此同时，区块链观测站Lookonchain报告称，黑客已开始洗钱活动，将被盗资产兑换为120枚比特币（BTC）、1272枚以太坊（ETH）、2625枚Solana（SOL）和2330万枚波场币（TRX）。 区块链犯罪调查员ZachXBT对此事件发表了评论，强调BigONE在处理大量源自杀猪盘和投资诈骗的非法收益方面扮演的角色，并表示此类黑客攻击可能有助于为该领域带来“一次自然的净化”。 加密货币盗窃创纪录之年 今日早些时候，Chainalysis发布了其2025年年中加密货币犯罪报告，指出截至目前被盗金额已超过21.7亿美元，超过了2024年的全年总额。 ByJet交易所15亿美元的黑客事件在创下这一破纪录数字中起到了关键作用，也使朝鲜黑客组织成为今年迄今为止的头号盗窃者。 Chainalysis强调了一个显著趋势，即黑客如今更专注于攻击个人钱包，今年所有被盗资金中有23.35%来自个人钱包。 该区块链情报公司还列举了暴力抢劫加密货币的案例，这类案件也随着比特币价格上涨而呈上升趋势。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话，诱骗目标启动Windows内置的远程工具快速助手（Quick Assist），随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包，内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。 Matanbuchus恶意即服务（MaaS）背景 该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广，是可直接在内存中执行恶意载荷的Windows加载器，旨在规避安全检测。2022年6月，威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击，分发Cobalt Strike信标。 技术演进：Matanbuchus 3.0新特性 终端防护公司Morphisec分析指出，3.0版本具备显著增强的隐匿与攻击能力： 通信协议升级：C2通信与字符串混淆从RC4加密更换为Salsa20算法 内存规避技术：所有载荷均在内存中启动，消除磁盘痕迹 反沙盒检测：新增区域验证机制，确保仅在指定地理区域运行 系统调用隐匿：通过自定义shellcode执行系统调用，绕过Windows API包装层及EDR监控钩子 静态分析对抗：使用MurmurHash3非加密哈希函数混淆API调用，增加逆向工程难度 攻击链与后期能力 信息收集：获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态（管理员/普通用户） 载荷执行：支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷 自适应攻击：C2服务器根据受害者安全环境动态调整攻击方式 Microsoft Teams滥用趋势 该协作工具近年频遭攻击者滥用： 2023年：研究人员利用软件漏洞实现外部账号恶意投递 2024年：DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器 当前：Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯酒类零售连锁品牌WineLab的2000余家门店因母公司遭勒索软件攻击，已停业三天。作为俄罗斯最大酒类生产商之一的诺瓦贝夫集团（Novabev Group）旗下门店张贴告示称，关店系“技术问题”所致。 此次攻击瘫痪了诺瓦贝夫集团部分基础设施，导致WineLab收银系统及在线服务中断。公司确认攻击者索要赎金，但明确拒绝谈判。 “公司坚持拒绝与网络犯罪分子进行任何接触的立场，不会满足其要求。”诺瓦贝夫集团周三声明中表示。该公司补充称，目前尚无客户数据泄露迹象，调查仍在进行中。 攻击者身份尚未明确。尚无勒索组织宣称对事件负责，诺瓦贝夫集团也未公开归因攻击来源。该集团是俄罗斯主要烈酒生产分销商，旗下拥有白鲸（Beluga）和白伦卡亚（Belenkaya）等伏特加品牌。 据俄媒《生意人报》（Vedomosti）援引当地零售商消息，此次网络攻击已导致诺瓦贝夫集团产品发货中断至少两天。消费者报告称无法从门店或自助提货柜提取订单，客服表示将延长线上订单存储期限。 根据Yandex地图位置数据，WineLab在莫斯科、圣彼得堡及周边地区的主要门店目前处于关闭状态。诺瓦贝夫官网及移动应用仍处于离线状态。 《福布斯》俄罗斯版估算，每日停业可能造成2亿至3亿卢布（约260万至380万美元）收入损失。受访网络安全专家表示，俄罗斯大型零售连锁因网络攻击全面停运的情况“前所未见”。 诺瓦贝夫集团称，其内部IT团队正与外聘专家全天候协作恢复系统，并加强防御以应对未来威胁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件组织Stormous宣称窃取了亚利桑那州北部医疗提供商North Country HealthCare的60万名患者数据。 非营利机构North Country HealthCare是联邦认证的医疗中心（FQHC），在亚利桑那州北部11个社区运营14个站点，提供全年龄段基础医疗服务，包括家庭医学、儿科、产前护理、行为健康、牙科、远程医疗及物理治疗等。该机构接受多数保险计划，并为无保险患者提供基于收入的浮动折扣。 2025年7月13日，Stormous在其数据泄露网站列出North Country HealthCare，宣称窃取了60万名患者的敏感信息，包括： 完整的个人身份信息（PII）与医疗健康数据（PHI） 诊断代码（ICD）、诊所数据及医疗服务商详情 具体涵盖姓名、出生日期、性别、电话号码、诊所名称、就诊日期/地点、保险公司、ICD诊断代码及病情描述。该组织声称将出售其中10万患者的数据，并免费公开剩余50万条记录。 HIPAA Journal报道称：“Stormous宣称已获得患者数据，并于7月15日公开了文件。” Stormous是亲俄勒索团伙，自2022年初活跃，采用双重勒索模式（窃取数据+加密文件）。该组织至少攻击过150家机构，重点针对医疗、酒店、科技、商业服务及政府领域，受害者主要分布在西班牙、美国、阿联酋、法国和巴西。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子已被发现采用AI驱动的伪装工具，以绕过传统安全措施，并隐藏其钓鱼网站和恶意软件站点，使其难以被检测。 SlashNext的最新研究显示，诸如Hoax Tech和JS Click Cloaker等平台正在提供“伪装即服务”（CaaS），使威胁行为者能够将恶意内容隐藏在看似无害的网站背后。 这些工具利用先进的指纹识别、机器学习和行为定向技术，选择性地仅向真实用户展示诈骗页面，同时向自动化扫描程序提供安全内容。 “我认为这是技术和工具被恶意使用的明显例子，”Apollo Information Systems的首席信息安全官（CISO）安迪·贝内特（Andy Bennett）表示。“就像威胁行为者使用加密一样，他们采用这种原本旨在帮助机会主义营销人员的技术，并将其用于针对特定受害者或逃避检测，这并不令人惊讶。” 这种被称为“伪装”的技术并非新事物，但其对AI的应用代表了一次重大演进。Hoax Tech利用基于指纹的分析和自学习AI引擎，实时分析数百个访问者数据点。可疑流量会被重定向到无害页面，而真实用户则会看到预设的诈骗内容。 复杂的伪装服务商业化 JS Click Cloaker提供类似功能，通过评估每次点击的900多项特征来判断访问的合法性。尽管自称是基于JavaScript的工具，但据报道它避免依赖JavaScript，以应对Google等搜索引擎的检测。 两项服务都宣传提供诸如A/B测试、地理过滤和实时重定向等功能。 “这项研究揭示了网络威胁格局的关键性演进，”Qualys的安全研究经理马尤雷什·丹尼（Mayuresh Dani）先生表示。“像Hoax Tech和JS Click Cloaker这样的平台暴露了威胁行为者能力的显著升级。” 为了应对这些系统，丹尼建议： 实施行为和运行时分析工具 使用多视角和差异扫描 投资于自适应的、AI驱动的防御技术 在网络中全面采用零信任框架 制定针对基于AI威胁的事件响应计划 贝内特警告说，其风险远不止于逃避检测。“利用AI来区分一个检查电子邮件链接是否恶意的工具，和一个因为未检测到恶意活动而通过邮件过滤器、点击了链接的真实用户，这无疑是更高级别的操作，”贝内特说。他补充道，攻击者可能会越来越多地实时为每位访问者个性化定制内容，这进一步增加了检测难度。 安全专家敦促采取更广泛的防御措施 Bugcrowd的CISO特雷·福特（Trey Ford）指出了一些历史相似之处。“这是一个由来已久的问题。二十年前，攻击者使用FastFlux DNS来分析目标的风险并进行漏洞测绘——如今AI驱动的伪装服务就是该能力的现代化版本，”福特解释说。“检测与响应的军备竞赛不能只依赖单一的工具或层面。端点补丁管理、系统加固和浏览器保护仍然是关键的控制和监测点。” 随着伪装技术的演进，安全团队面临着日益增长的压力去适应。没有多层、行为感知的防御措施，恶意网站可能会继续逃避检测，毫无阻碍地触达用户。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软强调了Scattered Spider攻击组织不断演变的战术，并确认已观察到该组织使用新的手法来获取云环境访问权限。 通常，该被微软追踪为Octo Tempest的组织会利用云身份权限来获取本地访问权。但微软表示，最近的攻击活动在入侵初始阶段就涉及同时针对本地账户和基础设施，之后才转向云访问。该组织还被观察到部署DragonForce勒索软件。这家科技巨头的分析报告强调，此次勒索软件部署特别针对VMWare ESX虚拟机管理程序环境。 该组织继续使用激进的社工手段（如操控服务台支持人员）来获取初始访问权限，还部署了利用模仿合法组织的中间人(AiTM)域名的短信钓鱼(SMS) 攻击。 最近，该组织一直在积极针对航空公司实施勒索软件和数据勒索攻击。在2025年4月至7月间，其活动还针对了零售、餐饮服务、酒店组织和保险行业。 微软表示，随着Scattered Spider战术的不断演变，其安全产品将持续更新防护措施。 该公司特别强调了其Microsoft Defender和Microsoft Sentinel安全生态系统。 微软列举了Microsoft Defender中的广泛检测功能，可用于识别与Scattered Spider相关的活动。这些功能覆盖其安全组合的各个方面，包括端点、身份、软件即服务(SaaS)应用、电子邮件与协作工具、云工作负载等，以提供全面的防护覆盖。 攻击可通过利用Microsoft Defender内置的自防御能力（攻击中断）来阻断。攻击中断利用多个指标和行为，并在Microsoft Defender的各工作负载中将其关联为一个高保真事件。 微软表示，基于以往对常见Octo Tempest技术的研究，攻击中断将自动禁用Octo Tempest所使用的用户账户，并撤销该受损用户所有现有活跃会话。 然而，安全运营中心(SOC)团队仍需进行事件响应和事后分析，以确保在成功中断攻击后，威胁被完全遏制和清除。 微软强调了安全团队可通过其安全暴露管理(Security Exposure Management)解决方案采用的若干主动防护战术，以应对Scattered Spider。若部署得当，主动防御战术可以减少暴露面并减轻攻击者混合攻击战术的影响。这些战术包括关键资产防护、威胁行为者计划和攻击路径分析。 微软建议组织应通过（包括但不限于）多重身份验证(MFA)、基于风险的登录策略、用户和设备的最小特权访问等措施，来增强其身份、端点和云安全防护。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊旗下Whole Foods（全食超市）的主要供应商——联合天然食品公司（United Natural Foods, Inc.，NYSE：UNFI）表示，2025年6月发生的导致业务运营中断的网络攻击，预计将使2025财年净销售额减少约3.5亿至4亿美元。 这家总部位于罗得岛州的天然食品巨头在周三的更新公告中表示，“预期保险赔款”将大幅抵消这些损失。该公司在7月16日的业务更新中称：“公司预估此次网络事件将使2025财年净销售额减少约3.5亿至4亿美元，净亏损扩大5000万至6000万美元（含预估税费影响），调整后EBITDA（息税折旧摊销前利润）减少约4000万至5000万美元。这些预估数据未反映预期保险赔款的收益，公司预计相关赔款足以覆盖事件损失。除保险理赔外，公司目前预计该事件不会对2025财年第四季度之后产生显著的运营或财务影响。” 该公司曾于6月9日向美国证券交易委员会（SEC）提交文件披露，其于6月5日检测到部分IT系统存在未经授权的活动。为应对入侵，公司关闭了部分系统，导致其履行和配送客户订单的能力受到影响。 UNFI自称是北美最大的全服务杂货供应商，为超过3万个地点配送商品，包括天然产品大型超市、传统连锁超市、电商平台和独立零售商。公司年收入超300亿美元，通过50多个配送中心提供逾25万种天然、有机及传统商品。 UNFI首席执行官桑迪·道格拉斯（Sandy Douglas）表示：“在共渡这段充满挑战的时期期间，我们感谢客户、供应商和员工的抗压能力与配合度。随着运营逐步恢复常态，我们继续专注于为客户和供应商创造附加值，努力成为更高效、更具协作价值的合作伙伴。” 公司更新了全年业绩展望，以反映其在2025财年前三季度的强劲表现，以及6月网络事件相关的预估成本和费用。公告未就该事件提供更多细节，亦未说明攻击是否涉及勒索软件。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商Co-op已确认，在4月的大规模网络攻击中，其650万会员的个人数据被盗。此次攻击导致系统关闭，并造成其杂货店出现食品短缺。 Co-op（Co-operative Group的简称）是英国最大的消费者合作社之一，经营食品商店、殡葬服务、保险和法律服务。它由数百万会员共同拥有，会员可享受服务折扣并参与公司治理。 Co-op首席执行官Shirine Khoury-Haq今日在BBC《早餐》节目中致歉，证实攻击者成功窃取了其全部650万会员的数据。 “他们的数据被复制了，犯罪分子确实能够访问这些数据，就像他们入侵其他组织时一样。这无疑是事件中最恶劣的部分。”Khoury-Haq表示。 尽管攻击中未泄露财务或交易信息，但会员的联系信息已被盗取。首席执行官称，此次泄露对她个人而言更像是一场针对Co-op会员和受影响员工的攻击。“这与我个人无关，而是关乎我的同事们。之所以对我而言是个人打击，是因为它伤害了他们——伤害了我的会员。他们窃取了会员数据，也伤害了我们的顾客，这点我确实感同身受。”她在采访中解释道。 此次网络攻击发生于4月，迫使Co-op关闭了多个IT系统，以防止威胁行为者进一步扩散到其他设备并最终部署DragonForce勒索软件加密器。该公司最初将此事件轻描淡写为对其网络的未遂入侵，但后来承认攻击期间“大量”数据被访问和窃取。 消息人士当时向BleepingComputer透露，入侵最初发生在4月22日，攻击者通过社会工程攻击重置了某员工的密码。获得网络访问权限后，他们扩散到其他设备，最终窃取了Windows域的Windows NTDS.dit文件。该文件是Windows Active Directory服务的数据库，包含Windows账户的密码哈希值。攻击者通常通过窃取此文件脱机破解密码，以便进一步渗透网络。 BleepingComputer获悉，此次攻击与Scattered Spider相关威胁行为者有关联，该组织亦被指涉及玛莎百货（M&S）网络攻击事件（该事件中部署了DragonForce勒索软件）。BBC报道称，他们曾与DragonForce勒索软件运营者就Co-op事件对话，对方确认其一名附属成员策划了此次攻击。他们还向BBC分享了数据样本，声称攻击中窃取了Co-op的企业和客户数据。 上周，英国国家犯罪调查局（NCA）逮捕了四名涉嫌参与针对Co-op、玛莎百货的攻击及未遂哈罗德百货（Harrods）攻击的人员。被捕者为两名19岁男性、一名17岁男性和一名20岁女性，他们已在伦敦和西米德兰兹郡被拘留。据报道，其中一名嫌疑人被指与2023年美高梅度假村（MGM Resorts）遭袭事件有关，该事件导致逾100台VMware ESXi虚拟机被加密。美高梅攻击事件同样归因于Scattered Spider，当时该组织正与BlackCat勒索软件团伙合作。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 泰国警方于周二突袭了七处据称与柬埔寨知名参议员兼大亨高安（Kok An）有关的房产，此人被指控参与网络诈骗产业。这些突袭行动是针对这位与政界关系密切商人的最新举措，而泰柬两国因边境争端引发的外交纠纷正持续加深，并已导致泰国总理贝东丹·西那瓦（Paetongtarn Shinawatra）遭停职。 据《曼谷邮报》报道，警方突袭了沙缴府（Sa Kaeo）的两处房屋，其所有者是两名女子。当局称，这两人协助管理位于柬埔寨边境城市波贝（Poipet）的一栋高层诈骗园区。当局指控该园区由高安的一个女儿朱瑞·克隆基乍恭（Juree Khlongkijjakol）运营。 警方还突袭了据称与朱瑞有关的两处曼谷办公室和一处住宅，以及其姐妹普·车林（Phu Chelin）的一处办公室和住所。周一，警方以涉嫌参与跨国犯罪为由，对高安的女儿们及其儿子基蒂萨克（Kittisak）发出了逮捕令。 警方已于7月初对高安发出了逮捕令——他是波贝一系列物业（包括皇冠赌场度假村）的所有者——并宣布将要求国际刑警组织对其发出红色通缉令。据《曼谷邮报》报道，7月8日，泰国警方突袭了据称与高安诈骗网络有关的19处房产，并查获了价值超过3380万美元的资产。 自5月底两国因争议边境地区局势升级以来，泰国政府加大了对柬埔寨网络诈骗产业的批评力度，并以保护国家免受跨国犯罪侵害为由关闭了边境。 周日，柬埔寨参议院主席兼前首相洪森（Hun Sen）对这些指控进行了反击。他在社交媒体上表示：“我敦促泰国政客停止毫无根据地指责柬埔寨，同时对自己国家已成为诈骗集团、毒贩和洗钱网络庇护所的事实视而不见。” 国际特赦组织（Amnesty International）近期发布了一份关于柬埔寨诈骗问题的严厉报告，确认该国境内有50多个此类园区在运作，并采访了被贩运至园区内被迫实施诈骗的幸存者。与执政的柬埔寨人民党（Cambodian People’s Party）关系密切的商界重量级人物被牵涉其中，包括一名柬埔寨首相顾问，此人因涉及侵犯人权行为已于去年9月遭到美国财政部制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 入侵企业网络的黑客可以将管理员的生物识别数据替换为自己的面部信息，从而解锁敏感的Windows系统。研究人员警告称，面部识别模板所受到的安全保护，比它们要解锁的系统更为薄弱。 ERNW研究人员声称，Windows Hello企业版（该系统通过面部识别或其他生物特征验证用户身份）存在固有的架构缺陷。黑客能够操纵并替换Windows中存储的生物识别模板，随后用自己的面部解锁本应由这些模板保护的系统与数据。 攻击者需先获得已入侵到组织内部网络（通常连接到公司域）计算机的访问权限，同时还需将自身权限提升至本地管理员级别。满足这些条件后，攻击者即可篡改Windows Hello用于用户登录时识别人脸的生物识别模板。 黑客可借此阻止合法用户访问系统，或进行“换脸”操作——用自己的面部登录IT人员甚至域管理员的账户。 研究人员在insinuator.net的博客文章中解释：“此架构存在一些挑战。首先，生物特征识别与身份验证之间仅有松散的耦合关系。此外，系统在任何环节均未引入外部熵来生成加密密钥。” 尽管Windows对生物识别模板进行了加密，但解密所需的所有信息都存储在计算机本地。研究人员声称：“拥有管理员权限的攻击者可解密此文件头，访问其中存储的所有信息，并加以篡改。” 这也意味着，能物理接触机器的攻击者可能解锁敏感数据（如电子邮件、文件和内部系统）。黑客可滥用此权限在网络中横向移动，攻击其他计算机。 该威胁并非理论假设：研究人员已发布概念验证，仅依赖Windows内置工具即可实现攻击，以此证明攻击的简易性。“两名用户已注册Windows Hello企业版。其中至少一名是域用户，另一名是本地管理员，”报告描述道，“我们的概念验证程序交换了各自WINBIO_IDENTITY结构中的安全标识符。现在，本地管理员的面部可解锁域用户账户，反之亦然。” 研究人员已向微软报告此漏洞，但他们预计这家科技巨头不会修复问题，因为“过去类似问题均未解决”，且修复“需要对系统架构进行大规模重构”。 为何攻击者能解锁Windows生物识别模板并实施“换脸”？ Windows将生物识别数据存储在包含三部分的数据库中：通过CryptProtectData加密的文件头（内含生物识别模板密钥）、未加密的文件头版本信息，以及加密的模板本体。 虽然CryptProtectData使用用户密码生成密钥，但Windows生物识别服务以系统账户NT AUTHORITY\SYSTEM运行，这意味着派生密钥所需数据均存储于系统本地。拥有管理员权限的攻击者可解密数据库，访问并篡改其中所有信息。 研究人员指出，防范此类“换脸”攻击的唯一解决方案是“将用户的生物特征用作熵源”，但这需要对系统进行彻底重构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文