HackerNews

HackerNews 编译，转载请注明出处： 美国财政部周二宣布制裁俄罗斯企业Aeza集团，指控其为勒索软件团伙和暗网毒品交易提供技术基础设施。 Aeza集团是一家“防弹主机”（Bulletproof Hosting, BPH）服务商，为网络犯罪分子提供IP地址、服务器和域名租赁服务，用于传播恶意软件、运营暗网市场及实施其他欺诈与网络攻击活动。 此次制裁除Aeza集团外，还涉及两家关联公司及四名高管，包括首席执行官阿尔谢尼·亚历山德罗维奇·彭泽夫（Arsenii Aleksandrovich Penzev）。彭泽夫被指控长期经营多家BPH服务商及非法毒品交易平台。今年4月，俄罗斯当局以“组织犯罪集团”和“大规模贩毒”罪名逮捕了Aeza集团多名高管。 美国财政部反恐与金融情报代理副部长布拉德利·史密斯表示： “网络犯罪分子高度依赖Aeza集团等BPH服务商发动破坏性勒索攻击、窃取美国技术并贩卖毒品。此次制裁与英国国家犯罪局等多国联合实施，旨在摧毁支撑犯罪生态的关键节点。” Aeza集团总部位于圣彼得堡，被指控为BianLian勒索软件团伙及RedLine、Lumma、Meduza窃密木马提供托管服务，并协助攻击美国国防与科技企业。此外，其平台还长期支持俄罗斯暗网毒品市场BlackSprut。网络安全研究人员此前将Aeza集团与亲克里姆林宫的虚假信息行动Doppelgänger（自2022年起活跃于欧洲）相关联。 此次被制裁的关联实体包括英国公司Aeza International、Aeza Logistic和Cloud Solutions，以及高管尤里·博佐扬（Yurii Bozoyan）、技术总监弗拉基米尔·加斯特（Vladimir Gast）和部分股东伊戈尔·克尼亚泽夫（Igor Knyazev）。博佐扬与彭泽夫一同被捕，克尼亚泽夫则在两人受审期间继续运营相关网站。 全球打击犯罪基础设施 美国财政部强调，此次行动是执法部门瓦解有组织网络犯罪工具链的组成部分。俄罗斯境内存在多家BPH服务商，其中一家近期被曝针对俄罗斯媒体机构发动攻击。2025年2月，美国曾与澳大利亚、英国联合制裁俄罗斯BPH服务商Zservers及其运营者。 2023年10月，西班牙警方逮捕一名涉嫌运营BPH公司的嫌疑人，作为打击Evil Corp网络犯罪集团及LockBit勒索软件附属团伙行动的一部分。此前，美国司法部曾判处罗马尼亚人米哈伊·帕内斯库（Mihai Paunescu）三年监禁，因其参与运营BPH服务商PowerHost.ro；2021年，俄罗斯人亚历山大·格里希什金（Aleksandr Grichishkin）因运营BPH公司获刑五年；爱沙尼亚人帕维尔·斯塔西（Pavel Stassi）和立陶宛人亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）则因运营针对美国目标的BPH组织（2009-2015年）分别被判两年以上监禁。     消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全机构CISA上周发布警告称，德国工业网络设备厂商Microsens的NMP Web+产品存在两个严重漏洞和一个高危漏洞，可能被黑客利用实施远程攻击。 Microsens为工业企业和组织提供交换机、转换器、楼宇控制器等自动化解决方案，其NMP Web+平台用于集中管理工业交换机及网络设备配置。漏洞详情如下： CVE-2025-49151（严重）：未授权攻击者可伪造JSON Web Token（JWT）绕过身份验证； CVE-2025-49153（严重）：攻击者能覆盖服务器文件并执行任意代码； 高危漏洞：JWT令牌未设置过期时间，导致长期有效。 Claroty Team82研究员Noam Moshe（漏洞发现者）向SecurityWeek表示，攻击者可链式利用这些漏洞： 通过伪造JWT获取系统访问权限； 利用文件覆盖漏洞完全控制操作系统。 “这实现了‘从零到英雄’的跳跃——无需任何凭证即可接管系统。”Moshe强调，尽管攻击需访问目标NMP Web+的Web服务器，但大量实例暴露在互联网，存在被扫描攻击的风险。 CISA确认尚未发现野外利用案例，Microsens已发布补丁（Windows/Linux版本3.3.0）。受影响产品在全球范围部署，尤其涉及关键制造业领域。建议用户立即更新至修复版本，并限制管理界面的互联网暴露。   消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌已发布安全更新，修复其Chrome浏览器中一个已被野外利用的零日漏洞（CVE-2025-6554，CVSS评分暂缺）。该漏洞被描述为V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）的说明：”Chrome 138.0.7204.96之前版本中，V8引擎的类型混淆漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作。” 类型混淆漏洞危害严重，可能被利用触发软件异常行为，导致任意代码执行或程序崩溃。此类零日漏洞风险极高，因其常在补丁发布前就被攻击者武器化。实际攻击中，黑客可能通过诱导用户访问恶意网站，悄无声息地安装间谍软件、发起偷渡式下载或植入恶意代码。 该漏洞由谷歌威胁分析小组（TAG）的Clément Lecigne于2025年6月25日发现并报告。TAG通常负责追踪国家级攻击或监控行动，此次披露暗示漏洞可能已被用于高度定向的攻击，涉及政府支持的黑客或间谍活动。 谷歌表示，漏洞在次日（6月26日）已通过配置更新缓解，并推送至全平台稳定版通道。普通用户虽暂未面临大规模威胁，但立即更新补丁至关重要，尤其针对处理敏感数据的高价值目标。 尽管谷歌未透露漏洞利用细节及攻击者信息，但确认”CVE-2025-6554的野外利用已存在”。这是谷歌2025年修复的第四个Chrome零日漏洞，此前三个分别为CVE-2025-2783、CVE-2025-4664和CVE-2025-5419（其中CVE-2025-4664是否遭恶意利用尚不明确）。 用户防护建议： 1. 立即升级Chrome至以下版本： Windows/macOS: 138.0.7204.96/.97 Linux: 138.0.7204.96 2. 检查更新路径：Chrome设置 → 帮助 → 关于Google Chrome（浏览器将自动检测并安装最新版本）。 3. 企业/IT团队需启用自动补丁管理，监控终端浏览器版本合规性。 4. 其他基于Chromium的浏览器（Edge、Brave、Opera、Vivaldi等）用户需等待厂商发布修复补丁后及时更新。 （注：谷歌通常会在漏洞被完全修复后公开更多技术细节，建议持续关注官方安全公告。）   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究发现，Microsoft Visual Studio Code、Visual Studio、IntelliJ IDEA 和 Cursor 等主流集成开发环境（IDE）在扩展验证流程中存在缺陷，可能使攻击者通过恶意扩展在开发者机器上执行任意代码。 OX Security 研究人员 Nir Zadok 和 Moshe Siman Tov Bustan 向The Hacker News提供的报告指出：“我们发现 Visual Studio Code 的验证机制存在缺陷，允许扩展发布者在保留‘已验证’图标的同时添加恶意功能。这会让恶意扩展看似经过官方认证，诱导开发者放松警惕。” 具体而言，VS Code 会通过向域名 marketplace.visualstudio.com 发送 HTTP POST 请求来验证扩展的签名状态。攻击者可利用此机制： 复制已验证扩展（如微软官方扩展）的验证参数； 创建同名恶意扩展并绕过信任检查； 使扩展在市场中显示“已验证”标识，同时植入可执行系统命令的恶意代码。 这种“扩展侧载”攻击模式无需官方市场审核，攻击者通过第三方渠道分发看似合法的 VSIX 文件即可实施。由于开发环境通常存储敏感凭据和源代码，此类漏洞可能导致严重的远程代码执行风险。 在 OX Security 的概念验证（PoC）中，恶意扩展成功在 Windows 系统启动计算器程序，证明其具备底层命令执行能力。研究人员进一步发现，通过篡改验证请求参数，可生成欺骗性 VSIX 文件，使恶意扩展在 IntelliJ IDEA 和 Cursor 等 IDE 中同样显示“已验证”状态。 微软回应称，该行为属于“设计特性”，并强调默认启用的扩展签名验证机制会阻止此类恶意 VSIX 文件上架官方市场。但 OX Security 在 2025 年 6 月 29 日 仍可复现漏洞利用。The Hacker News已联系微软寻求进一步评论，尚未收到回复。 研究再次警示：开发者不应仅凭“已验证”标识判断扩展安全性。建议： 优先从官方市场安装扩展； 避免使用来源不明的 VSIX/ZIP 文件； 对 GitHub 等第三方平台分享的扩展保持警惕。 研究人员总结：“恶意代码可注入扩展、打包为 VSIX 文件，并在多个主流开发平台上保留‘已验证’标识，这对习惯从网络资源安装扩展的开发者构成严重威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，RomCom RAT 背后的威胁行为体与近期传播名为 TransferLoader 的加载器的攻击团伙之间存在战术层面的高度相似性。企业安全公司 Proofpoint 将 TransferLoader 相关活动追踪至代号为 UNK_GreenSec 的团伙，而 RomCom RAT 的幕后黑手则被标记为 TA829（又称 CIGAR、Nebulous Mantis、Storm-0978 等）。 Proofpoint 在调查 TA829 时意外发现了 UNK_GreenSec，指出两者使用“异常相似的基础设施、投递手法、登录页面及邮件诱饵主题”。TA829 作为与俄罗斯有关联的混合型黑客组织，兼具间谍活动与牟利攻击能力，曾利用 Mozilla Firefox 和 Microsoft Windows 的零日漏洞传播 RomCom RAT。今年早些时候，PRODAFT 披露该组织通过防弹主机、离地攻击（LOTL）和加密 C2 通信规避检测。 TransferLoader 最初由 Zscaler ThreatLabz 在 2025 年 2 月针对某美国律所的 Morpheus 勒索软件攻击中记录。Proofpoint 发现，TA829 和 UNK_GreenSec 的钓鱼活动均依赖部署在入侵 MikroTik 路由器上的 REM Proxy 服务作为上游基础设施（入侵手段未知）。这些代理设备可能被出租用于流量中继，攻击者借此将流量转发至新注册的免费邮箱账户，再向目标发送钓鱼邮件。 邮件发件人地址格式高度相似（如 [email protected] 和 [email protected]），表明攻击者可能使用自动化工具批量生成并投递钓鱼邮件。邮件正文或 PDF 附件中嵌入的链接通过 Rebrandly 多次跳转，最终指向伪造的 Google Drive 或 OneDrive 页面，同时过滤沙箱或低价值目标。 此时攻击链分化为两条路径： UNK_GreenSec 将受害者重定向至基础设施，最终投递 TransferLoader； TA829 则投放名为 SlipScreen 的恶意软件。 SlipScreen 作为第一阶段加载器，会检查 Windows 注册表（HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs）确认目标计算机至少有 55 个近期文档，随后解密并加载 shellcode 至内存，与远程服务器通信。后续感染链会部署 MeltingClaw（又名 DAMASCENED PEACOCK）或 RustyClaw 下载器，最终释放 ShadyHammock（用于启动 RomCom RAT 的更新版 SingleCamper/SnipBot）或 DustyHammock（具备系统侦察及从 IPFS 下载额外载荷的能力）。 TransferLoader 相关活动则伪装成招聘机会，诱导受害者点击“PDF 简历”链接，实际从 IPFS 下载 TransferLoader。其核心目标是隐蔽传播更多恶意软件，如 Metasploit 或 Morpheus 勒索软件（HellCat 勒索软件的变种）。与 TA829 不同，TransferLoader 的 JavaScript 组件会将用户重定向至同一服务器的不同 PHP 端点，以便进行服务器端过滤。UNK_GreenSec 还使用动态登录页面（通常与 OneDrive 伪造无关），最终将用户引导至存储于 IPFS 的最终载荷。 TA829 与 UNK_GreenSec 的战术重叠引发四种可能性： 两团伙从同一第三方供应商采购基础设施； TA829 自行获取基础设施并转供 UNK_GreenSec 使用； UNK_GreenSec 作为基础设施提供商，通常向 TA829 提供服务，但临时自用传播 TransferLoader； 两团伙实为同一组织，TransferLoader 是其新增武器库。 Proofpoint 指出：“当前威胁环境中，网络犯罪与间谍活动的界限持续模糊，犯罪集团与国家级攻击者的区分特征逐渐消失。活动特征、指标及行为模式的趋同使得归因和团伙划分愈发困难。尽管尚无确凿证据证明 TA829 与 UNK_GreenSec 的确切关系，但两者间存在高度关联的可能性极大。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，人工智能公司 Anthropic 的 Model Context Protocol (MCP) Inspector 项目存在一个关键安全漏洞（CVE-2025-49596），CVSS 评分高达 9.4（满分 10.0）。该漏洞可能导致远程代码执行（RCE），使攻击者完全控制开发者主机。 Oligo Security 的 Avi Lumelsky 在上周发布的报告中表示：“这是 Anthropic MCP 生态系统中首个严重的 RCE 漏洞，暴露了一类针对 AI 开发者工具的新型浏览器攻击。一旦攻击者在开发者机器上执行代码，便可窃取数据、安装后门并在网络中横向移动，这对 AI 团队、开源项目以及依赖 MCP 的企业用户构成了严重风险。” MCP 是 Anthropic 于 2024 年 11 月推出的开源协议，旨在标准化大语言模型（LLM）应用与外部数据源及工具的集成和数据共享方式。MCP Inspector 是一款用于测试和调试 MCP 服务器的开发者工具，该服务器通过协议暴露特定功能，使 AI 系统能够访问和交互训练数据之外的信息。 该工具包含两个组件：一个提供交互式界面用于测试和调试的客户端，以及一个将 Web UI 连接到不同 MCP 服务器的代理服务器。需要特别注意的关键安全问题是，该服务器不应暴露在任何不受信任的网络中，因为它具有启动本地进程的权限，并能连接任何指定的 MCP 服务器。 Oligo 指出，结合开发者用于启动该工具本地版本的默认配置存在“显著”安全风险（如缺少身份验证和加密），这开辟了一条新的攻击路径。Lumelsky 解释道：“这种错误配置创造了巨大的攻击面，任何能够访问本地网络或公共互联网的人都有可能与这些服务器交互并利用它们。” 攻击过程通过将现代网络浏览器中一个名为“0.0.0.0 Day”的已知安全漏洞与 Inspector 中的跨站请求伪造（CSRF）漏洞（CVE-2025-49596）相结合，只需访问恶意网站即可在主机上运行任意代码。 MCP Inspector 的开发者在该漏洞的咨询公告中表示：“低于 0.14.1 版本的 MCP Inspector 由于 Inspector 客户端与代理之间缺乏身份验证而容易受到远程代码执行攻击，允许未经身份验证的请求通过标准输入/输出（stdio）启动 MCP 命令。” “0.0.0.0 Day”是一个存在 19 年的现代浏览器漏洞，可能使恶意网站突破本地网络。该漏洞利用浏览器无法安全处理 IP 地址 0.0.0.0 的缺陷，导致代码执行。 Lumelsky 进一步解释：“攻击者可以通过精心制作恶意网站，向 MCP 服务器上运行的本地服务发送请求，从而在开发者机器上执行任意命令。默认配置使 MCP 服务器暴露于此类攻击，意味着许多开发者可能无意中为攻击者打开了机器的后门。” 具体而言，概念验证（PoC）利用服务器发送事件（SSE）端点，从攻击者控制的网站发送恶意请求，即使工具监听本地回环地址（127.0.0.1），也能在运行该工具的机器上实现 RCE。这是因为 IP 地址 0.0.0.0 会指示操作系统监听机器分配的所有 IP 地址，包括本地回环接口（即 localhost）。 在假设的攻击场景中，攻击者可以设置一个虚假网页并诱骗开发者访问。此时，页面中嵌入的恶意 JavaScript 会向 0.0.0.0:6277（代理默认运行的端口）发送请求，指示 MCP Inspector 代理服务器执行任意命令。 攻击者还可以利用 DNS 重绑定技术创建伪造的 DNS 记录，指向 0.0.0.0:6277 或 127.0.0.1:6277，以绕过安全控制并获得 RCE 权限。 在 2025 年 4 月负责任地披露漏洞后，项目维护者于 6 月 13 日通过发布 0.14.1 版本修复了该问题。修复措施包括为代理服务器添加会话令牌，并实施来源验证以彻底封堵攻击向量。 Oligo 表示：“本地服务可能看似安全，但由于浏览器和 MCP 客户端的网络路由能力，它们往往暴露于公共互联网。修复措施增加了此前默认配置中缺失的授权机制，并验证 HTTP 请求中的 Host 和 Origin 头，确保客户端确实来自已知且受信任的域名。现在，默认情况下服务器会阻止 DNS 重绑定和 CSRF 攻击。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 丹麦政府计划修订版权法，赋予公民对其身体、面部特征及声音的专属权利，以打击AI生成的深度伪造内容。这项被认为是欧洲首创的立法已获议会九成议员支持，将于夏季休会前启动公众咨询，秋季正式提交修正案。 文化部长雅各布·恩格尔-施密特（Jakob Engel-Schmidt）强调，新法案旨在明确个人对自身生物特征数据的所有权。他直言：“现行法律未能有效保护民众免受生成式AI的侵害，人类正被置于数字复印机中遭到滥用，我绝不容忍这种现象。” 新法核心条款包括： 删除权保障：公民可要求平台下架未经同意分享的深度伪造内容。 艺术表演保护：禁止未经许可制作“逼真数字仿制的艺术表演”，违者需赔偿受害者。 例外情形：戏仿与讽刺作品不受新规限制，创作自由仍受保护。 针对科技平台合规性，恩格尔-施密特警告拒不配合者将面临“严厉罚款”，并计划在丹麦即将接任欧盟轮值主席国期间，向各成员国推广此立法模式。他透露：“若平台消极应对，欧盟委员会或将介入处理。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将编号为 CVE-2025-6543 的 Citrix NetScaler 漏洞纳入其 已知被利用漏洞目录（KEV Catalog）。该漏洞为内存溢出类型（CVSS 评分 9.2），当 NetScaler ADC 或 NetScaler Gateway 配置为网关（含 VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器时，可能引发非预期控制流并导致服务拒绝（DoS），破坏系统可用性。 受影响版本包括： NetScaler ADC 13.1-FIPS 及 NDcPP 版本低于 13.1-37.236-FIPS and NDcPP NetScaler ADC 与 Gateway 14.1 版本低于 14.1-47.46 NetScaler ADC 与 Gateway 13.1 版本低于 13.1-59.19 根据 BOD 22-01 指令（降低已知被利用漏洞重大风险），联邦民事行政部门（FCEB）机构需在截止日期前修复漏洞以防范攻击。CISA 要求联邦机构最晚于 2025 年 7 月 21 日完成修复，同时强烈建议私营企业自查并修复此漏洞。 历史关联行动： 2024 年 1 月，CISA 曾将另两个 Citrix NetScaler 漏洞 CVE-2023-6548（代码注入）和 CVE-2023-6549（缓冲区溢出）纳入 KEV 目录。Citrix 当时警告称，未修复设备上已发现针对这两项零日漏洞的攻击，敦促用户立即安装更新版本。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯互联网服务提供商（ISP）对受Cloudflare保护的网站实施访问限制，导致该国网络流量严重中断。美国互联网基础设施公司Cloudflare证实，自6月9日起实施的限流措施使俄罗斯用户无法正常访问依赖其平台的网站和服务。该公司内部数据显示，ISP将每次请求的数据传输量限制在仅16KB，导致多数网站功能瘫痪。 Cloudflare声明：“限流行为超出我方控制范围，目前无法以合法方式为俄罗斯用户恢复稳定高性能的访问服务。”俄罗斯联邦通信监管局（Roskomnadzor）数月来持续打压Cloudflare，德国Hetzner、美国DigitalOcean及法国OVH等其他外国云服务商也遭遇类似限制。该机构呼吁用户停用这些服务，转向本土托管提供商。 技术封锁手段包括： 深度包检测：通过注入虚假数据包中断连接，或直接阻断数据引发超时。 协议层限制：影响TCP/TLS协议的HTTP/1.1/2及QUIC协议的HTTP/3。 流量整形：针对境外服务器实施无差别限流，即使连接请求发自俄罗斯境内。 2024年11月，俄方曾因Cloudflare的加密客户端问候（ECH）技术能隐藏用户访问目标网站信息，以“规避政府审查”为由封禁数千家使用该服务的网站。此次限流后，俄罗斯境内Cloudflare流量骤降30%，但当局否认存在此类干扰行为。 企业影响与应对 小型电商企业受冲击最严重，可能面临流量大幅流失。俄罗斯本土服务目前仍无法完全替代Cloudflare的DDoS防护能力，迁移过程成本高昂且技术复杂。Cloudflare建议俄罗斯站点运营商联系当地机构要求解除限制，同时指出：“若您的网站使用Cloudflare防护，当前我们无法为俄罗斯用户恢复网络连接。” 地缘技术博弈 与多数西方科技公司不同，Cloudflare在2022年俄乌冲突后未完全退出俄罗斯市场，当时声明“俄罗斯需要更多而非更少的互联网访问”。但该公司终止了受制裁实体的服务，包括金融机构和影响活动相关客户。部分俄企因Cloudflare的美国背景主动停用其服务，但更多企业仍依赖其防护能力应对日益增长的DDoS攻击浪潮。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北欧主要苹果产品经销商Humac近日出现在勒索组织Kraken的暗网泄露网站上，攻击者宣称已获取公司财务数据、客户信息及其他敏感资料。Humac母公司为意大利C&C集团（欧洲最大苹果授权合作伙伴，拥有超120家门店），目前暂未回应事件。Cybernews研究人员验证后表示，泄露数据样本真实性较高，含员工资料、运营文件及数据库样本等关键信息。 安全团队指出，此类依赖品牌合作的企业易成勒索目标：“内部人员信息可能被用于钓鱼攻击获取苹果平台权限，而包含联系方式、住址及金融资料的客户数据更是黑市抢手货。” 背景补充： Kraken是2025年2月新兴的勒索组织，脱胎于HelloKitty团伙（该组织于2024年4月更名为HelloGookie）。据监测工具Ransomlooker显示，Kraken在2025年累计攻击13家机构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于苏黎世的非营利健康基金会Radix遭遇勒索软件攻击，导致多家瑞士联邦部门数据外泄。Sarcoma勒索软件组织已在其暗网数据泄露站点发布1.3TB窃取数据。 瑞士国家网络安全中心（NCSC）通报称，Radix作为提供健康教育与推广服务的非营利组织，其系统遭黑客入侵并发生数据窃取。该机构客户包含多个联邦部门，NCSC正调查具体受影响单位及数据范围。官方声明强调：“因Radix无权访问联邦行政系统，攻击者始终未能侵入这些系统。” Radix确认攻击发生于2025年6月16日。因拒绝支付赎金，黑客于6月29日公开全部窃取数据。该机构声明：“尽管具备高标准安全防护和专业支持，我们仍不幸成为网络攻击受害者。”虽然未透露具体受影响人数，但表示已逐一向相关个人发出通知，并称“目前无迹象表明合作伙伴敏感数据遭波及。” 应对措施方面，Radix表示已对所有加密数据启动备份恢复流程，攻击发现后立即撤销数据访问权限。机构预警黑客可能利用外泄数据发动钓鱼攻击，企图窃取密码、信用卡号等敏感信息。瑞士当局尚未公布攻击者入侵途径，相关调查仍在进行。 本次攻击呈现典型双重勒索特征：黑客先窃取数据再加密系统实施勒索；若拒付赎金则威胁分批逐步公开数据施压。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织周一宣布摧毁一个加密货币投资诈骗团伙，该团伙通过5000余名全球受害者洗钱4.6亿欧元（约合5.4亿美元）。此次行动由西班牙国民警卫队主导，爱沙尼亚、法国和美国执法机构协同参与，调查始于2023年。 2025年6月25日，五名主要嫌疑人在加那利群岛和马德里被捕。该犯罪网络通过在亚洲、非洲招募人员，诱骗求职者进入东南亚“诈骗园区”，以暴力胁迫其实施犯罪。据调查，诈骗集团总部设在香港，利用全球支付通道和多身份账户转移非法资金。 诈骗手法主要采用恋爱诱骗（俗称“杀猪盘”）：犯罪者通过交友软件建立信任，引导受害者使用虚假加密货币平台投资。后台通过伪造交易数据维持骗局，得手后立即启动分层洗钱流程，经多重账户转移资金以逃避追踪。美国司法部近期已针对越南、菲律宾同类骗局发起2.25亿美元加密货币追缴诉讼。 犯罪升级趋势显著： 技术滥用：诈骗集团利用生成式AI提升犯罪效率，合成身份（伪造数据+AI生成信息）租用银行账户洗钱。 全球协作：犯罪网络通过中国即时通讯平台广告租用美国银行账户（涉及美国银行、大通银行等），用于资金转移。 人口贩运：柬埔寨境内53个诈骗园区涉及人口贩卖、强迫劳动，年非法收入达125亿美元（相当于该国GDP的50%）。 执法挑战主要来自： 法律滞后：75%国家现有法律体系难以应对新型网络犯罪。 跨国协作：资金流向涉及香港、越南、菲律宾等地，跨境执法效率受限。 平台监管：Meta公司2024年初以来已清除700万个关联诈骗的Facebook账户。 印度驻柬埔寨使馆已发布警示，提醒公民警惕“高薪工作”骗局。联合国毒品和犯罪问题办公室指出，东南亚正成为全球网络诈骗与洗钱中心，其地下银行系统深度渗透全球金融网络。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trustwave SpiderLabs近期报告证实，被称为Blind Eagle的威胁行为者高度疑似使用俄罗斯防弹主机服务Proton66。研究人员通过追踪与该服务关联的数字资产，发现一个活跃攻击集群：其利用VBS脚本作为初始攻击载体，部署现成的远程访问木马（RAT）。 攻击者青睐Proton66等防弹主机服务，因其故意无视滥用举报和法律取缔要求，使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。2024年8月起，研究人员发现一组命名模式相似的域名（如gfast.duckdns[.]org），均解析至Proton66关联IP（45.135.232[.]38）。此类攻击还依赖DuckDNS等动态DNS服务——攻击者通过轮换子域名关联同一IP，大幅增加防御方检测难度。 这些域名托管多种恶意内容，包括针对哥伦比亚银行（Bancolombia、BBVA等）的钓鱼页面，以及作为恶意软件初始阶段的VBS脚本。后者实为加载器，可下载加密可执行文件并部署AsyncRAT、Remcos RAT等商用木马。VBS脚本虽显陈旧，但因兼容性高、静默运行特性，仍被用于下载恶意加载器、绕过杀毒软件并混入正常用户活动，成为多阶段攻击的首选入口点。 技术分析显示，VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠，该服务专门混淆VBS载荷以规避检测。此外，Trustwave还发现一个僵尸网络控制面板，支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。 此发现与Darktrace披露的Blind Eagle活动形成印证：自2024年11月起，该组织持续利用已修复的Windows漏洞（CVE-2024-43451）攻击哥伦比亚机构，下载后续攻击载荷。Check Point在2025年3月首次记录此行为，凸显其战术适应能力——即使补丁发布后，仍能快速调整既定战术（TTPs）。Darktrace强调：“及时漏洞管理和补丁应用虽必要，但不足以独立应对此类威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和情报机构发布联合警报，警告伊朗国家支持或附属威胁行为者可能发动网络攻击。这些机构指出：“过去几个月，黑客分子和伊朗政府关联网络行为者的活动持续增加，预计近期事件将导致局势升级，”但“目前尚无证据表明伊朗在美协调发起恶意网络活动。” 伊朗网络行为者通常利用未打补丁或过时的软件漏洞（含已知通用漏洞披露CVE），以及互联网连接设备和账户使用默认或常见密码的机会实施攻击。攻击者常从Shodan等侦察工具入手，寻找暴露在互联网的脆弱设备（尤其在工业控制系统环境中），随后利用弱网络分段或防火墙配置错误横向移动。其攻击手段包括： 密码破解：自动化密码猜测、利用在线资源破解密码哈希值、输入设备制造商默认密码。 工具滥用：使用远程访问工具（RAT）、键盘记录器及PsExec、Mimikatz等合法管理工具提权。 OT系统渗透：通过系统工程和诊断工具入侵工程设备、性能安全系统及第三方维护系统。 国防工业基地（DIB）公司面临更高风险，尤其与以色列研究及防务公司存在关联的企业。美国与以色列实体还可能遭遇分布式拒绝服务（DDoS）攻击和勒索软件攻击。近期伊朗国家黑客组织APT35已针对以色列记者、网络安全专家发起鱼叉式钓鱼攻击，仿冒Gmail登录页面窃取凭证。 防护措施建议： 隔离关键资产：断开OT/ICS设备与互联网的连接，重点防护VNC、RDP、SSD等远程访问技术。 强化认证机制：为所有账户设置高强度唯一密码，替换弱密码/默认密码，强制实施防钓鱼多因素认证（MFA）。 系统与备份管理：及时修补漏洞，监控OT网络远程访问日志，建立完整系统与数据备份。 流程控制：建立防止未授权变更、视野丢失或控制丢失的OT流程。 攻击面评估：利用CISA网络卫生计划或Nmap等工具扫描暴露系统、开放端口及过时服务。 美国国土安全部（DHS）近期公告警示，尽管已宣布停火，但亲伊朗黑客分子仍可能实施低级别网络攻击。各机构强调需保持高度警惕：“即使存在停火协议和持续谈判，伊朗附属网络行为者与黑客组织仍可能进行恶意网络活动。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正式宣布将淘汰沿用四十余年的经典“蓝屏死机”（Blue Screen of Death）界面，代之以黑色背景的错误提示。这一变革源于去年CrowdStrike事件引发全球数百万Windows设备崩溃的教训，旨在提升系统恢复能力。 “如今应对意外重启和加速恢复变得前所未有的便捷”，微软在公告中强调。作为系统韧性升级计划的核心举措，公司正“简化”用户遭遇意外重启时的体验，为此彻底重构了故障界面。 新界面核心变更 视觉革新：标志性蓝色背景替换为纯黑底色，移除皱眉表情符号。 信息精简：错误提示文本大幅缩短，新增实时显示的进度百分比条，直观呈现重启进程。 功能升级：配套推出“快速机器恢复”（Quick Machine Recovery）机制，可在设备无法启动时通过Windows Update实施定向修复。该技术能自动化部署解决方案，无需IT人员手动干预，特别适用于大规模故障场景。 简化版错误界面将于今夏随Windows 11 24H2版本全面推送。快速恢复机制同步上线，更多扩展功能预计年底前陆续推出。 此次设计变革与微软“Windows弹性计划”（Windows Resiliency Initiative）深度关联。该计划通过将安全软件移出内核层运行，显著降低系统崩溃风险。2024年CrowdStrike事件导致全球850万台设备蓝屏瘫痪，直接推动此次架构重构。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球食品零售巨头Ahold Delhaize正通知超220万人，其个人、财务及健康信息在去年11月针对美国系统的勒索攻击中遭窃取。该跨国零售批发集团在欧洲、美国及印尼运营超9400家门店，雇佣逾39.3万名员工，每周服务约6000万线下线上顾客。公司去年净销售额超1040亿美元，旗下品牌包括美国的Food Lion、Stop & Shop、Giant Food、Hannaford，以及欧洲的Delhaize、Albert Heijn、bol.com等。 Ahold Delhaize在11月事件通报中声明：“该问题及后续缓解措施已影响部分美国品牌和服务，包括多家药房及特定电商业务”。根据周四向缅因州总检察长提交的文件，攻击者于2024年11月6日侵入公司美国内部业务系统，窃取2,242,521人数据。公司虽未确认客户信息是否受影响，但明确失窃文件包含”与现有及历史关联公司合作时获取的内部员工记录。” 泄露信息因个体差异包含以下组合： 个人身份信息：姓名、联系方式（地址/邮箱/电话）、出生日期、社保/护照/驾照号码 财务账户信息：银行账号 健康数据：工伤赔偿记录及雇佣档案中的医疗信息 雇佣相关信息 尽管公司未公开指认攻击组织，勒索团伙INC Ransom于4月将其列入暗网勒索门户，并泄露据称从被入侵系统窃取的文件样本。Ahold Delhaize曾向BleepingComputer证实美国业务数据遭窃，但拒绝评论是否涉及勒索软件或支付赎金。发言人强调：“调查显示客户支付系统及药房系统未受影响，文件中亦未发现客户信用卡信息。” 背景延伸： INC Ransom自2023年7月作为勒索软件即服务（RaaS）运作，迄今攻击超250个公共及私营实体，包括苏格兰国家医疗服务体系、雅马哈摩托菲律宾公司等。该组织近年聚焦美国目标，其被微软追踪为”Vanilla Tempest”的成员专门针对美国医疗机构。今年4月，该团伙还宣称攻击得克萨斯州律师协会，导致超10万会员敏感数据泄露。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响蓝牙芯片组的安全漏洞波及十大音频品牌超29款设备，可被用于窃听或窃取敏感信息。研究人员确认拜亚动力、Bose、索尼、马歇尔、捷波朗（Jabra）、JBL、Jlab、EarisMax、MoerLabs及德斐尔（Teufel）的29款设备存在风险，涉及音箱、耳塞、耳机及无线麦克风等产品。攻击者可借此劫持设备，在特定手机上甚至能窃取通话记录与通讯录。 蓝牙连接的隐秘窃听 德国TROOPERS安全会议上，网络安全公司ERNW披露了台湾络达（Airoha）系统级芯片（SoCs）的三个漏洞——该芯片广泛应用于真无线立体声（TWS）耳塞。这些漏洞本身非关键性，除需蓝牙范围内的物理接近外，利用过程还需“高水平技术能力”。具体漏洞标识如下： CVE-2025-20700（6.7分，中危）：GATT服务缺乏身份验证 CVE-2025-20701（6.7分，中危）：蓝牙BR/EDR协议缺失认证 CVE-2025-20702（7.5分，高危）：自定义协议的关键功能缺陷 ERNW研究人员成功开发概念验证漏洞利用代码，可读取目标耳机当前播放的媒体内容。尽管此类攻击风险有限，但组合利用三个漏洞可令攻击者劫持手机与蓝牙音频设备的连接，通过蓝牙免提协议（HFP）向手机发送指令。“可用命令范围取决于手机操作系统，但所有主流平台至少支持发起/接听通话”。研究人员通过提取漏洞设备内存中的蓝牙链接密钥，成功触发向任意号码拨号。根据手机配置，攻击者还可能窃取通话记录与通讯录。 攻击的现实限制 尽管存在严重攻击场景，实际大规模实施受多重制约：技术复杂性与物理接近需求将此类攻击局限在针对外交、新闻、敏感行业等高价值目标。研究人员坦言：“技术上虽严重，但实际攻击极难执行。” 修复进展 络达已发布包含修复方案的更新版SDK，设备制造商正开发并分发补丁。但德国Heise媒体指出，超半数受影响设备的最新固件仍停留在5月27日（络达发布SDK修复前）版本，意味着漏洞尚未实际修复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： Whole Foods最大供应商联合天然食品公司（UNFI）宣布，已成功修复本月初遭网络攻击瘫痪的系统。但该事件导致多地超市货架空置的诡异场景被当地媒体报道，预计将对公司8月结束的2025财年第四季度收益产生实质影响。 UNFI周四下午向美国证券交易委员会提交更新文件，声明6月5日的网络攻击迫使公司关闭管理客户订单处理与配送的系统。文件指出：“关键进展在于，公司已安全恢复客户及供应商用于电子下单和票据处理的核心系统，使业务运营恢复正常化。本次事件不涉及法律定义的个人信息或健康隐私泄露，因此无需向消费者发送通知。” 经历数周延误导致部分零售商关键商品短缺后，UNFI现已恢复北美地区常规收货与发货能力。公司大部分数字系统耗时约10天实现初步修复，期间多地超市被迫采用纸笔记录配送信息。截至周五，尚无黑客组织宣称对此次攻击负责。 短期冲击 UNFI上季度净销售额超80亿美元，但披露攻击后数周内“因全力保障客户供应链，销售额下滑而运营成本激增”。事件直接产生调查及修复费用，管理层明确表示网络攻击将“显著影响公司2025财年第四季度净利润，实际表现将大幅低于事件前内部预测”。公司虽配置网络安全保险覆盖部分损失，但理赔预计延至下财年。短期冲击不影响“实现既定长期战略及财务目标的能力”。 背景补充：UNFI作为北美最大健康食品及特色食品批发商，服务超3万个客户网点，管理约25万种商品，依托55个分销中心与仓库支撑全食超市等零售体系。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 犯罪分子正通过伪造CapCut（剪映）订阅发票窃取Apple ID凭证与信用卡信息。字节跳动旗下短视频编辑平台CapCut当前主导市场，使其成为网络犯罪分子的高价值目标。网络安全公司Cofense近期监测到一场新的钓鱼攻击活动，旨在窃取Apple ID登录信息。 攻击者伪造CapCut官方品牌发票，向用户发送“订阅确认”邮件。当用户发现需支付50美元费用时，会急于点击“取消订阅”按钮——而这正是精心设计的陷阱。点击后用户将被重定向至伪造的Apple ID登录页面，被诱导输入账户凭证。攻击者还会进一步要求受害者填写信用卡信息以“处理退款”。 受害者往往直至操作结束都难以察觉异常，因该骗局通过消除疑虑的设计规避警惕。Cofense分析指出：“此次钓鱼活动揭示了犯罪者如何利用品牌信任感与紧迫心理操控受害者：通过模仿CapCut/苹果标识并制造意外扣款恐慌，引导用户完成无缝衔接的两阶段凭证窃取流程。最终设置的虚假验证步骤更是延缓受害者警觉、延长攻击窗口期的关键策略。” 最佳防御措施是保持怀疑态度： 仔细检查网址：核对链接域名是否与官网完全匹配。 警惕敏感信息请求：对索要账户密码、支付信息等异常要求保持警觉。 举报可疑邮件：及时向平台或安全机构报告钓鱼邮件。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 夏威夷航空公司遭受网络安全事件影响，部分IT系统遭到攻击。该美国航空公司于6月26日在其网站发布两份公告披露此次“网络安全事件”，声明已采取措施保障运营安全，航班均按计划正常运行。 太平洋标准时间6月26日16:00的公告称：“我们正持续与相关专家及联邦当局保持沟通，将在获得新信息后及时更新。”而当日10:45的早期声明提到航空公司正推进“有序恢复”，暗示部分系统已被下线。目前官方尚未公布事件具体性质，也未说明乘客数据是否可能受影响。 美国联邦航空管理局（FAA）向路透社表示正就此事与夏威夷航空保持联系，并持续监控事态发展。2024年，阿拉斯加航空宣布收购夏威夷航空，计划将两家公司整合为采用统一客运服务系统的单一承运主体。 航空业持续遭遇攻击 此次事件发生前不到两周，加拿大第二大航空公司西捷航空（WestJet）刚披露其内部系统及应用程序遭受网络安全攻击。自6月13日首次公开通报后，截至报道时西捷航空尚未发布进一步更新。 2024年8月，西雅图-塔科马国际机场遭遇网络攻击，导致劳动节假期高峰时段登机流程等服务严重受阻。后续调查表明这是勒索软件攻击——Rhysida黑客组织侵入港口计算机系统并加密了部分数据访问权限。负责监管该机场的西雅图港务局于2025年4月宣布，已向受影响的个人寄送数据泄露通知函。 2024年2月，两架飞往以色列的以色列航空航班据报遭遇“敌对分子”，试图通过入侵飞机通信网络改变预设航线。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文