Aggregator

Silent Werewolf针对俄摩两国利用伪装邮件投递恶意加载器；UNC6040通过语音钓鱼攻击执行数据勒索；Conti团伙全员曝光；起底台“资通电军”APT组织技术底牌及网络攻击阴谋；金眼狗团伙近期使用“银狐”木马的窃密活动

HackerNews 编译，转载请注明出处： 安全研究团队在TLS证书中发现异常痕迹后，揭露了令人不安的事实：美国数百家水务公司的控制室操作面板暴露在公共互联网上，其中数十套系统无需密码即可完全控制水泵、阀门和化学药剂投加设备。 事件始于2024年10月，网络安全公司Censys例行扫描工业控制系统时，发现多台主机部署的证书中嵌有“SCADA”（监控与数据采集系统）字样。进一步调查显示，这些设备均运行同一款冷门浏览器端人机交互平台。研究人员获取实时操作界面截图时，目睹了水处理厂的动态流程画面：水箱液位波动、氯气泵启停状态切换、警报信号实时闪烁。 通过解析网页标题标签，团队确认所有暴露系统均属于市政水务设施，并依据访问权限划分为三类：需凭证认证（Authenticated）、仅可查看（Read-only）以及最危险的完全开放（Unauthenticated）。Censys在报告中指出：“40套系统处于完全开放状态，任何拥有浏览器的攻击者都能实施操控。” 由于涉及公共基础设施，该公司打破常规逐项披露流程，直接将包含IP地址、端口及地理位置信息的完整清单批量提交给美国环保署（EPA）和涉事软件商。九天内，24%的暴露系统完成防火墙加固或安全升级；一个月后，随着厂商发布多因素认证指南，防护率提升至58%。截至2025年5月的最新扫描，暴露系统已从最初的300余套降至不足20套。 此事件促使美国政府于去年末紧急发布警报，要求水务机构加强防护面向互联网的人机交互界面（HMI）。美国环保署和网络安全局（CISA）联合技术文件明确警告：“黑客已多次利用暴露的HMI漏洞——例如2024年亲俄黑客曾篡改水务设备参数，导致水泵和鼓风设备超负荷运行。”这些控制界面通常作为监控系统的延伸组件，使操作人员能远程管理工业设备，但配置缺陷可能引发灾难性后果。       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Currently trending CVE - Hype Score: 19 - vBulletin 5.0.0 through 5.7.5 and 6.0.0 through 6.0.3 allows unauthenticated users to invoke protected API controllers' methods when running on PHP 8.1 or later, as demonstrated by the /api.php?method=protectedMethod pattern, as exploited in the wild in May 2025.

CISA has issued an urgent warning about a critical zero-day vulnerability in Google Chrome’s V8 JavaScript engine that is being actively exploited by cybercriminals to execute arbitrary code on victims’ systems. On June 5, 2025, CISA added CVE-2025-5419 to its Known Exploited Vulnerabilities (KEV) Catalog, confirming that threat actors are leveraging this high-severity flaw in […]

The post CISA Warns of Chrome 0-Day Vulnerability Exploited in the Wild to Execute Arbitrary Code appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 英国税务海关总署（HMRC）近日披露，犯罪团伙通过钓鱼手段盗用超过10万个纳税人账户，并利用这些账户向政府提交虚假退税申请，导致4700万英镑（约合6400万美元）资金被非法提取。HMRC首席执行官约翰-保罗·马克斯6月4日向议会财政委员会表示，该事件源于攻击者通过钓鱼活动或外部数据泄露获取个人信息，而非HMRC系统遭到入侵。 受影响的纳税人将在三周内收到通知信函，其账户已被临时锁定并清除异常登录信息。马克斯强调，所有受影响的纳税人不会因此承担经济损失，HMRC已从税务记录中删除错误申报信息。数据显示，HMRC去年成功拦截了犯罪分子试图窃取的19亿英镑资金，实际损失金额仅占攻击总额的2.5%。 HMRC副首席执行官安吉拉·麦克唐纳指出，诈骗者利用被盗身份信息创建或劫持在线账户，通过高度组织化的犯罪网络实施欺诈。尽管当局未透露具体攻击手法，但网络安全专家推测这可能涉及信息窃取软件感染或社工攻击。目前相关刑事调查仍在进行，部分嫌疑人已于去年被逮捕。 税务部门发言人重申，此次事件属于“利用外部获取的个人信息实施欺诈”，并非针对HMRC系统的网络攻击。该机构正与执法部门合作追回被盗资金，并建议纳税人警惕可疑邮件、短信及电话，避免在非官方渠道提交敏感信息。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌6月4日（周三）披露，黑客正诱骗欧美企业员工安装篡改版Salesforce关联应用，借此窃取海量数据、入侵企业云服务并实施勒索。 谷歌威胁情报小组追踪为UNC6040的黑客组织“在诱骗员工方面特别有效”。研究人员称，该组织诱导员工安装篡改版Salesforce数据加载器（Data Loader）——该专有工具通常用于批量导入Salesforce环境数据。黑客通过语音电话诱骗员工访问伪装的Salesforce关联应用设置页面，诱导其批准黑客仿制的未授权篡改应用。 若员工安装该应用，黑客将获得“从受侵Salesforce客户环境直接访问、查询和窃取敏感信息的强大能力”。研究人员指出，此类访问权限常使黑客能在客户网络内横向移动，进而攻击其他云服务及内部企业网络。 谷歌旗下Mandiant在X平台警示称：“企业准备好应对语音钓鱼了吗？UNC6040是以经济利益驱动的威胁集群，专门通过语音钓鱼（vishing）入侵企业Salesforce系统实施大规模数据窃取。” 该活动技术基础设施与松散犯罪生态系统“The Com”存在关联特征。谷歌发言人向路透社透露，过去数月约有20家机构遭UNC6040攻击，其中部分机构数据已被成功窃取。Salesforce发言人则声明：“无证据表明该问题源于平台固有漏洞”，并强调这是“针对个人网络安全意识漏洞的社会工程骗局”。 该发言人拒绝透露具体受影响客户数量，但表示“仅涉及少数客户，并非普遍性问题”。实际上，Salesforce早在2025年3月就预警过语音钓鱼攻击及篡改版数据加载器的滥用风险。 上月，可口可乐欧洲太平洋合作伙伴（CCEP）的64GB数据遭泄露。业内人士怀疑攻击者并非直接入侵可口可乐系统，而是通过该公司Salesforce账户获取数据。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

DayDayMap年中大回馈会员积分免费领！更有过万好礼等你拿！

HackerNews 编译，转载请注明出处： 美国司法部6月4日宣布查获与非法信用卡交易平台BidenCash相关的加密货币资产及约145个明网与暗网域名。该平台通过简化盗刷信用卡及关联个人信息交易流程牟利，每笔交易收取手续费。 BidenCash于2022年3月上线，填补了Joker’s Stash等非法论坛关停后的市场空缺。据调查，该平台运营期间累计服务超11.7万用户，交易逾1500万张支付卡数据及个人信息，非法收益至少达1700万美元。为推广服务，2022年10月至2023年2月间曾免费泄露330万张信用卡信息，包含卡号、有效期、CVV码及持卡人住址等敏感数据。其中2023年2月泄露的210万张卡片中，半数归属美国实体。 该平台还以2美元低价兜售SSH入侵服务，提供目标服务器漏洞检测、算力定位等黑客工具包。网络安全公司CloudSEK曾警告，此类服务可能引发数据窃取、勒索软件攻击及非法挖矿等恶性事件。 本次行动由美国特勤局和联邦调查局主导，联合荷兰警方、暗影服务器基金会等国际机构实施。当局未披露查获加密货币具体价值及平台运营者身份信息。 此次打击行动前一周，国际执法机构刚查封4家提供反病毒规避服务的平台。另有一名35岁乌克兰籍黑客因入侵超5000个主机账户实施非法挖矿被起诉，其利用开源情报定位漏洞基础设施部署虚拟机的行为造成450万美元损失，最高面临15年监禁。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Mass layoffs create cybersecurity vulnerabilities through dormant accounts and disgruntled employees.

某人2011年上报的BUG，十四年后，说，我们修了

HackerNews 编译，转载请注明出处： 伊朗相关黑客组织BladedFeline被确认为2024年初针对库尔德和伊拉克政府官员新一轮网络攻击的幕后黑手。该活动关联于ESET追踪的BladedFeline组织，中等置信度评估其为伊朗国家级网络行为体OilRig的子团队，自2017年9月针对库尔德地区政府(KRG)官员以来持续活跃。 斯洛伐克网络安全公司在技术报告中指出：“该组织开发恶意软件以维持并扩大对伊拉克及KRG内机构的访问权限。BladedFeline长期维持对库尔德外交官员的非法访问，同时利用乌兹别克斯坦地区电信提供商，并持续渗透伊拉克政府官员系统。” ESET于2024年5月首次披露BladedFeline，其APT活动报告详述了该组织针对伊拉克库尔德地区政府机构的攻击，以及最早可追溯至2022年5月对乌兹别克斯坦电信提供商的入侵。 2023年该组织使用Shahmaran后门攻击库尔德外交官员，该基础后门通过连接远程服务器执行操作者指令，实现文件上传下载、属性查询及目录操作等功能。去年11月，攻击者使用定制后门Whisper（又名Veaty）、Spearal和Optimizer针对伊拉克政府及驻外外交机构发动定向攻击。 ESET强调：“BladedFeline大量收集伊拉克组织的外交金融情报，表明伊拉克在伊朗政府战略目标中占据重要地位。同时，阿塞拜疆政府机构也是其重点目标。” 尽管入侵KRG的初始途径未明，但攻击者疑似利用互联网应用漏洞渗透伊拉克政府网络，并通过Flog网页木马维持持久远程访问。 恶意工具技术特征显示： Whisper后门：基于C#/.NET，通过入侵的Exchange邮箱以邮件附件形式与攻击者通信 Spearal后门：采用DNS隧道技术进行命令控制通信 Optimizer：Spearal的迭代版本，工作流与功能基本一致 Slippery Snakelet：2023年12月攻击中出现的Python植入程序，支持基础命令执行及文件传输 该组织还使用Laret和Pinar隧道工具维持网络访问，并部署恶意IIS模块PrimeCache。该被动后门通过监控预定义cookie结构的HTTP请求执行攻击指令并窃取文件，其功能与OilRig组织RDAT后门相似。 技术关联性方面：2017年在KRG受侵系统中发现的OilRig工具（RDAT及反向shell程序VideoSRV），结合Check Point 2024年9月关于OilRig使用Whisper/Spearal渗透伊拉克政府网络的报告，佐证了BladedFeline作为OilRig子团队的可能性（区别于另一子团队Lyceum）。 ESET另发现名为Hawking Listener的早期植入程序，通过指定端口运行cmd.exe指令。该公司总结称：“BladedFeline针对KRG和伊拉克政府实施网络间谍活动，旨在维持对高层官员的战略访问。库尔德地区丰富的石油储备及与西方外交关系，使其成为伊朗相关行为体的诱人目标；而在伊拉克的行动，可能是为反制美国入侵后西方国家的影响力。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

明日开赛！

Ohio-Based Organization Says It's Making Progress Restoring IT, Beefing Up Security
Cybercrime group Interlock has begun publishing some of the 941-gbytes of data the gang claims to have stolen in a disruptive May attack on Kettering Health. The Ohio-based healthcare organization is making IT system restoration progress and cyber enhancements, but is still recovering.

Data Defense Startup Focuses on Unstructured Data and On-Device Endpoint Protection
Backed by Paladin and Crosspoint, Seattle-based data security startup Mind aims to double its team and develop small language models that power endpoint classification. The company is carving a niche in data loss prevention by prioritizing unstructured data and actionable enforcement.

BladedFeline Hackers Spying on Kurdish Officials Since at Least 2017
An Iranian state espionage group stayed hidden for more than half-a-decade until security researchers spotted it in 2023, researchers said Thursday in a report detailing a growing arsenal of hacking tools it deployed against Kurdish and Iraqi government officials.

Hackers Impersonate IT Support Staff
A hacking collective linked to recent British retailer attacks is targeting cloud companies through or voice phishing scams for data theft from European hospitality, retail and education sectors. Hackers impersonate IT support staff.