HackerNews

HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在npm包注册表中发现了四个新的恶意包，这些包能够从以太坊开发者那里窃取加密货币钱包的凭证。 “这些包伪装成合法的加密工具和Flashbots MEV基础设施，同时秘密地将私钥和助记词种子发送到威胁行为者控制的Telegram机器人，”Socket研究员Kush Pandya在分析中表示。 这些包是由一个名为“flashbotts”的用户上传到npm的，最早的库可以追溯到2023年9月。最近一次上传发生在2025年8月19日。截至本文撰写时，所有这些包仍然可以下载，它们的列表如下： – @flashbotts/ethers-provider-bundle（52次下载） – flashbot-sdk-eth（467次下载） – sdk-ethers（90次下载） – gram-utilz（83次下载） 鉴于Flashbots在对抗以太坊网络上最大可提取价值（MEV）的不利影响（如夹击攻击、清算、后跑、前跑和时间窃贼攻击）中的作用，对Flashbots的伪装并非巧合。 在被识别的库中，最危险的是“@flashbotts/ethers-provider-bundle”，它利用其功能性的伪装来隐藏恶意操作。在声称提供完整的Flashbots API兼容性的幌子下，该包包含了通过Mailtrap使用SMTP发送环境变量的隐蔽功能。 此外，npm包实现了一个交易操纵函数，将所有未签名的交易重定向到攻击者控制的钱包地址，并记录预签名交易的元数据。 根据Socket的说法，sdk-ethers大多是无害的，但它包含了两个函数，这些函数只有在不知情的开发者在自己的项目中调用它们时，才会将助记词短语发送到Telegram机器人。 第二个伪装成Flashbots的包flashbot-sdk-eth，也被设计成触发私钥的窃取，而gram-utilz为将任意数据泄露给威胁行为者的Telegram聊天提供了模块化机制。 由于助记词短语是恢复加密货币钱包访问权限的“主钥匙”，这些单词序列的被盗可能会让威胁行为者进入受害者的钱包并完全控制他们的钱包。 源代码中存在越南语注释，这表明出于经济动机的威胁行为者可能是讲越南语的。 这些发现表明，攻击者有意识地利用与该平台相关的信任来实施软件供应链攻击，更不用说在大多是无害的代码中隐藏恶意功能以避开审查了。 “由于Flashbots被验证者、搜索者和DeFi开发者广泛信任，任何看似官方SDK的包都有很高的机会被运行交易机器人或管理热钱包的运营商采用，”Pandya指出。“在这种环境下，被入侵的私钥可能导致资金的即时、不可逆的被盗。” “通过利用开发者对熟悉包名的信任，并在合法工具中填充恶意代码，这些包将常规的Web3开发变成了通往威胁行为者控制的Telegram机器人的直接管道。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 捷豹路虎（JLR）正在调查一个与“Scattered Spider”（散裂蜘蛛）组织有关的黑客联盟所声称的、对这家汽车制造巨头的攻击负责的说法。 该英语网络犯罪组织据信应对今年早些时候针对英国零售商玛莎百货（M&S）、Co-op 和哈罗德（Harrods）的网络攻击负责。 英国广播公司（BBC）报道了这一声称，该报道基于与一位自称是该集团发言人的个体的私人短信对话。该集团自称为“Scattered LapsusHunters”，暗示了ScatteredSpider、ShinyHunters和Lapsus之间可能存在合作。 BBC称，该集团声称已访问了捷豹路虎的系统，并试图向该公司勒索钱财。 目前尚未确认是否有数据被窃，或Scattered Lapsus$ Hunters是否安装了勒索软件。 然而，该集团在即时通讯应用Telegram上分享了声称截取自捷豹路虎IT网络内部的截图。这些未经核实的图像包括用于排查汽车充电问题的内部指令和内部计算机日志。 捷豹路虎的一位发言人在回应置评请求时表示：“我们知悉与近期网络事件相关的声称，我们正在持续积极调查。” 捷豹路虎于9月2日首次确认遭受网络事件，称在汽车制造商主动关闭系统以减轻事件影响后，其销售和生产运营受到严重干扰。 由于网络事件造成的干扰，在英国默西塞德郡哈利伍德（Halewood）生产工厂工作的员工被告知9月2日星期二不要上班。 截至撰写本文时，捷豹路虎尚未提供有关运营影响的进一步细节。然而，当地新闻媒体《利物浦回声报》在9月4日报道称，捷豹路虎员工仍未返回默西塞德郡工厂。 Scattered Spider 寻求关注其活动 NetSPI EMEA服务总监Sam Kirkman表示，该集团与BBC的互动显示了其希望引起外界对其活动关注的渴望，这是其在4月份攻击玛莎百货后也采用过的策略。 他指出：“该集团努力吸引人们关注其活动，这表明除了对目标进行财务勒索外，运营中断和声誉影响也是其目标。” Kirkman继续表示：“需要注意的是，截图无法核实，可能是为了给该集团吸引更多关注而伪造的。” ESET全球网络安全顾问Jake Moore指出，像Scattered Spider这样的黑客组织正变得越来越大胆，热衷于炫耀他们的“成功”。 他评论道：“通过使用Telegram来炫耀他们的声称和勒索要求，这显示了其肆无忌惮的自信，认为可以保持不被发现，这简直是在受害者的伤口上撒盐。” 明显的跨集团合并令人担忧 Acumen Cyber的首席顾问Nathan Webb认为，Scattered Spider与ShinyHunters和Lapsus$的明显合作可能会对该集团的能力产生重大影响。 这三个集团都以使用社会工程学技术进入目标而闻名，之后使用勒索和数据窃取等策略获取经济利益。 最近，Scattered Spider和ShinyHunters使用了语音钓鱼（vishing）技术来获取第三方IT提供商的高价值凭证。这包括ShinyHunters被报道的入侵Salesforce客户凭证事件，影响了包括谷歌、香奈儿和阿迪达斯在内的公司。 Webb评论说：“这些威胁行为者显然已经联合起来，以提高建立初始访问受害者系统的有效性，该集团在技术和可用数据上进行合作以增强其攻击。” 他补充道：“威胁行为者集团之间为实施犯罪而日益增长的合作，强调了他们现在多么像企业一样运作，并强化了加强防御的必要性。” 与Scattered Spider一样，ShinyHunters和Lapsus$也由讲英语的行为者组成。 Scattered Spider和ShinyHunters与“The Com”有关，这是一个松散组织的在线犯罪网络，涉及数千名讲英语的个人。 据信这些集团包含年轻的，通常是青少年黑客。 2023年8月，英国法院认定一名牛津青少年对涉及知名品牌的一系列黑客事件负责，其是臭名昭著的Lapsus$集团的一部分。 2025年7月，英国执法部门逮捕了三名青少年和一名20岁男子，怀疑他们参与了4月份针对玛莎百货、Co-op和哈罗德的网络攻击。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院通过“正义赏金”计划悬赏最高1000万美元，征集有关俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫（Pavel Aleksandrovich Akulov）、米哈伊尔·米哈伊洛维奇·加夫里洛夫（Mikhail Mikhailovich Gavrilov）和马拉特·瓦列里耶维奇·秋科夫（Marat Valeryevich Tyukov）的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。 指控称，这些FSB官员试图获取并维持“对美国及国际数百家能源企业的未授权持久访问权限，使俄罗斯政府能够破坏这些关键设施”。其攻击范围涵盖135个国家超过380家能源企业，包括石油天然气公司、电力电网运营商、核电站、可再生能源企业以及工程技术服务商。 这三名官员均隶属于FSB第16中心（又名“Dragonfly”、“Berzerk Bear”、“Energetic Bear”和“Crouching Yeti”）。美国司法部早在2021年8月就已对他们提起指控。 两阶段攻击行动 2012至2017年间，Dragonfly APT（高级持续性威胁）组织针对能源行业的工业控制系统（ICS）和监控与数据采集系统（SCADA）发起多轮攻击： 第一阶段（2012-2014）：行动代号“Dragonfly”或“Havex”，采用供应链攻击手段入侵OT网络系统制造商和软件供应商，部署“Havex”恶意植入程序。通过鱼叉式钓鱼和水坑攻击，在美国及海外超过17,000台设备上安装恶意软件，其中包括电力能源企业使用的ICS/SCADA控制器。 第二阶段（2014-2017）：升级为“Dragonfly 2.0”，集中针对500余家欧美能源企业和政府机构（包括美国核管理委员会）的3,300多名ICS/SCADA系统工程师发起定向攻击。 新型攻击手段曝光 2025年8月，FBI警告称俄罗斯关联黑客组织“Static Tundra”正在利用Cisco Smart Install（SMI）中未修复的漏洞（CVE-2018-0171，CVSS评分9.8）和简单网络管理协议（SNMP），攻击全球范围内的老旧网络设备。该漏洞允许攻击者远程执行任意代码或导致设备重启。 Static Tundra与FSB第16中心存在关联，十年来持续通过以下手段实施网络间谍活动： 利用过时协议（SMI、SNMP v1/v2） 部署定制化工具如Cisco “SYNful Knock”恶意固件 建立GRE隧道实现隐蔽通信 窃取数千台美国关键基础设施设备的配置数据 思科Talos团队报告显示，该组织主要针对北美、亚洲、非洲和欧洲的电信、高等教育和制造领域机构，受害者选择标准取决于其对俄罗斯政府的战略价值。 SYNful Knock作为模块化路由器后门，自2015年被Mandiant首次披露以来，持续为攻击者提供持久化访问和情报收集能力。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，海康威视HikCentral软件中存在三个漏洞，该软件是广泛应用于视频监控、门禁控制和集成安全运营的集中管理平台。 这三个漏洞分别是： CVE-2025-39245（基础评分4.7）：部分HikCentral Master Lite版本存在CSV注入漏洞，攻击者可通过恶意CSV数据注入可执行命令。 CVE-2025-39246（基础评分5.3）：部分HikCentral FocSign版本存在未加引号的服务路径漏洞，已认证用户可能通过本地访问实现权限提升。 CVE-2025-39247（基础评分8.6）：部分HikCentral Professional版本存在访问控制漏洞，未认证用户可获取管理员权限。 其中，CVE-2025-39247被评定为高风险等级，它允许未经任何认证的用户完全接管HikCentral Professional系统。当攻击者甚至无需登录即可提升其权限时，他们实质上就掌控了整个环境。这为操纵配置、篡改日志甚至关闭关键监控功能开辟了直接路径。 HikCentral是许多组织安全基础设施的核心。公司依赖它来管理监控摄像头、控制建筑物出入并将来自多个设备的数据集成到一个统一的平台中。攻击者可以利用此权限提升漏洞接管这些功能。一旦攻击者提升了权限，他们就可以以管理员身份操作、安装恶意软件、创建隐藏账户或窃取敏感信息。想象一下这样的场景：攻击者在物理入侵期间关闭摄像头、解锁受限门禁或修改审计日志以隐藏证据。这种场景对受影响组织的安全和业务连续性构成了严重威胁。 受影响的版本及修复版本如下： 产品名称 CVE 编号 受影响版本 修复版本 HikCentral Master Lite CVE-2025-39245 V2.2.1 至 V2.3.2 V2.4.0 HikCentral FocSign CVE-2025-39246 V1.4.0 至 V2.2.0 V2.3.0 HikCentral Professional CVE-2025-39247 V2.3.1 至 V2.6.2 及 V3.0.0 V2.6.3/V3.0.1 运行这些版本的组织应将此披露视为一个警示。 就HikCentral而言，风险更高是因为攻击者甚至无需先进行身份验证。他们可以匿名访问系统，利用该漏洞，并立即获得提升的控制权。这种绕过行为削弱了对标准认证过程的所有信任。 厂商已发布修复指南，最好的应对措施是立即应用更新。HikCentral管理员应： 在应用更新的同时加固环境：限制系统的外部暴露。 检查其部署的版本号：如果版本处于受影响范围内，则需要关注。 下载并安装海康威视在其官方安全公告中提供的最新补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家发现，与朝鲜有关的黑客组织正试图系统性地利用网络威胁情报（CTI）平台。这项调查由SentinelLabs和互联网情报公司Validin共同完成，并将该活动与被称为“传染性面试”（Contagious Interview）的黑客集群联系起来，该集群以通过带有恶意软件的招聘诱饵针对求职者而闻名。 报告显示，在2025年3月至6月期间，该组织试图访问Validin的基础设施情报门户网站。在Validin发布了一篇详细描述与Lazarus集团相关活动的博客文章后数小时内，黑客便注册了多个账户。他们使用了此前行动中关联过的Gmail邮箱地址，不过Validin迅速封锁了这些账户。尽管如此，黑客又使用了新注册的域名创建了新账户回来。 持续尝试与策略调整 这些威胁行为者表现出极强的持久性，在数月内反复创建账户并尝试登录。SentinelLabs有意允许其中一个账户保持活跃状态以观察其战术。调查人员发现了团队协作的证据，包括疑似使用Slack即时共享搜索结果。 黑客并未对其基础设施进行大规模更改以避免被发现，而是专注于部署新系统来替代被服务提供商关闭的旧系统。这一策略使得他们在即使被曝光后，仍能维持较高的受害者接触频率。 基础设施侦察与操作安全（OPSEC）失误 研究人员观察到，该组织使用Validin不仅是为了追踪自身被发现的迹象，还会在购买新基础设施之前对其进行侦察。他们对诸如skillquestions[.]com和hiringassessment[.]net等招聘主题域名的搜索表明，其正努力避免使用已被标记的资产。 然而，一些操作安全上的失误暴露了日志文件和目录结构，为了解其工作流程提供了罕见视角。 调查还揭示了“ContagiousDrop”应用——这些嵌入招聘网站的恶意软件交付系统。当受害者执行恶意命令时，这些应用会发送电子邮件警报，并记录姓名、电话号码和IP地址等详细信息。在2025年1月至3月期间，主要来自加密货币行业的230多人受到影响。 活动目标与更广泛的影响 根据SentinelLabs的说法，“传染性面试”活动主要服务于朝鲜获取收入的需求，通过社会工程学手段针对全球的加密货币专业人士。尽管该组织未采取系统性的措施来屏蔽其基础设施，但其韧性来自于快速的重新部署和持续的受害者获取。 SentinelLabs解释称：“鉴于其活动在接触目标方面持续成功，对威胁行为者而言，部署新基础设施可能比维护现有资产更务实、更高效。” 报告强调，求职者保持警惕仍然至关重要，尤其是在加密货币领域。基础设施提供商也扮演着关键角色，快速的查封能显著干扰这些操作。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际象棋热门平台Chess.com已通知数千名用户，由于黑客入侵了该公司的数据存储供应商，他们的个人信息可能已被泄露。 Chess.com在向受影响用户发送的数据泄露通知中透露，用户数据可能已落入他人之手。通知称，今年六月下旬，公司获悉“存储于Chess.com所使用的第三方文件传输应用中的数据遭到了未经授权的访问”。 值得注意的是，后续调查显示，未经授权的访问在今年6月5日和6月18日发生了两次。公司强调，只有存储在第三方文件传输应用上的文件被访问，此次网络安全事件并未影响Chess.com自身的系统。 该公司提交给缅因州总检察长办公室的信息显示，超过4500人受到此次攻击影响。这家同类中最大的平台强调，此次攻击仅影响了其0.003%的用户。 发送给可能受影响用户的违规通知称，“Chess.com的代码及其会员账户未被泄露”，并且公司未发现泄露信息存在“任何欺诈性使用或公开披露”。 “获悉该事件后，我们迅速采取措施调查事件的性质和范围，并通知了执法部门。我们还采取了措施进一步保护我们的系统。事件已得到控制，”公司表示。 然而，为帮助用户减轻潜在风险，公司表示将通过第三方为用户提供信用监控服务。公司还建议用户保持警惕，审查和监控账户是否存在可疑活动。 2023年，Chess.com也曾成为恶意行为者的目标。当时，攻击者在一个流行的数据泄露论坛上分享了来自超过80万Chess.com用户的数据。据称，泄露的数据包括电子邮件、用户ID、姓名、位置、积分、等级、会员级别、注册日期以及一些其他用于在平台上对弈和互动的详细信息。 Chess.com是一个受欢迎的社交网站和在线国际象棋服务器，其用户群已超过2亿。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 普利司通美洲公司（Bridgestone Americas）周四证实，该公司遭遇了一起所谓的“有限的网络事件”——巧合的是，同日豪华汽车制造商捷豹路虎（Jaguar Land Rover）也遭到了由“Scattered Spider”牵头、三个勒索软件团伙组成的、渴求曝光的黑客组织的入侵。 普利司通相信其“客户数据或接口均未受到影响”，但未提供其他信息。至少有一份报告称，该公司所有北美制造设施均受到影响。 位于纳什维尔市的普利司通大厦于2017年落成。图片由 Michael Gordon | Shutterstock 提供 消费者隐私倡导组织Comparitech的保罗·比肖夫（Paul Bischoff）表示：“这次攻击具有勒索软件攻击的许多特征，尽管尚未得到证实。” 比肖夫指出，周日的攻击“破坏了公司的制造设施，不仅仅是我们通常在大多数攻击中看到的通信、销售和工资等非必要部门。”他补充说，尽管普利司通声称及早阻止了攻击，“但在调查完成之前，最好做最坏的打算。” 尚无组织声称负责——目前如此 尽管尚无黑客出面声称对普利司通事件负责，但Comparitech的数据研究主管丽贝卡·穆迪（Rebecca Moody）表示：“很可能在未来几周内我们会看到有勒索软件组织声称发动了此次攻击，尤其是如果普利司通选择不支付攻击者要求的赎金。” 穆迪预测的事件发展顺序正是捷豹路虎（JLR）当前面临的局面。一个由“Scattered Spider”主导、包括臭名昭著的“Shiny Hunters”和“LAPSUS$”团伙在内的黑客组织，已声称对JLR的入侵负责，并且据报道正迫不及待地要求支付赎金。 此次攻击也迫使这家高端汽车制造商“主动关闭其系统，导致其零售和生产活动严重中断，”JLR本周早些时候宣布。 图片由 Priyanshu Singh | 路透社 / Telegram 提供 普利司通美洲公司成立于1931年，总部位于田纳西州纳什维尔市，同时也是美国另一轮胎制造巨头凡世通（Firestone）的母公司。其网站显示，公司在北美和南美洲拥有13个公司办公室，分布在加拿大、墨西哥、巴西、阿根廷和哥斯达黎加等地。 普利司通还在美洲拥有近三十六家制造工厂，其中包括位于南卡罗来纳州艾肯市的两处设施和位于魁北克省朱伊特市（Joliette）的另一处设施。这两处设施均报告在周日受到网络攻击影响——巧合的是，攻击JLR也发生在同一天。 在朱伊特市，据报道一份内部备忘录已发送给该工厂的1400名员工，告知他们工厂运营已于周日暂停，但未提供关于运营何时恢复的更多信息，当地新闻媒体MonJoilette报道。 朱伊特市市长表示他曾直接与普利司通高管交谈，他告诉加拿大媒体，“据信此次网络事件影响了北美所有工厂。” 普利司通在北美拥有29家轮胎制造工厂。图片由普利司通美洲公司提供。 制造商高度警惕 这个新出现的勒索软件组织自称为“scattered LAPSUS$ hunters”，据称于8月31日周日入侵了JRL，并在其Telegram频道上嘲弄该汽车制造商，并发布了据称是窃取的敏感文件样本。 勒索软件组织“Scattered Spider”与另一个名为“DragonForce”的组织合作，今年已被指责应对一系列重大入侵事件负责，包括对英国玛莎百货（Marks & Spencer）及其他英国零售商的攻击。 如今，这个最新的黑客三人组被认为与近期针对Salesforce供应链的一系列攻击有关，这些攻击影响了全球超过700家公司，仅在过去一周就包括网络安全巨头Palo Alto Networks、Cloudflare和Zscaler。 穆迪引用Comparitech的八月勒索软件汇总报告指出，“制造商面临的勒索软件攻击数量正在增加，并且是黑客的主要目标，因为通过加密系统，他们可以造成大量中断。”报告称，仅从七月到八月，制造业的勒索软件攻击就猛增了57%。 比肖夫还指出，普利司通曾在2022年遭受过现已式微的LockBit团伙的勒索软件攻击，这将使得本次事件成为这家制造业巨头第二次成为勒索软件的受害者。 Cybernews已联系普利司通美洲公司寻求进一步说明，但在本文发布时尚未收到回复。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护机构国家信息与自由委员会（CNIL）宣布，因违反Cookie使用规则，对谷歌和希音（Shein）分别处以3.25亿欧元（约合3.79亿美元）和1.5亿欧元（约合1.75亿美元）的罚款。 CNIL指出，两家公司在未征得用户同意的情况下，在其浏览器上设置了广告Cookie。希音此后已更新系统以符合法规要求。据路透社报道，希音计划对此决定提出上诉。 CNIL特别说明，“在创建谷歌账户时，用户被引导选择与个性化广告展示相关的Cookie，而非通用广告相关的Cookie，且未明确告知用户为广告目的存储Cookie是使用谷歌服务的前提条件”。以此方式获得的用户同意无效，违反了《法国数据保护法》第82条。尽管谷歌在2023年10月增加了拒绝Cookie的选项，但“缺乏知情同意的问题依然存在”。 谷歌还因在Gmail“促销”和“社交”标签页中以邮件形式插入广告而受到指责。CNIL强调，根据《法国邮政与电子通信法典》（CPCE），展示此类广告需获得用户明确同意。法国电信运营商Orange曾在2024年12月因类似行为，未经用户同意在邮件中插入广告而被罚款5000万欧元。谷歌被要求六个月内完成整改，否则将面临每日10万欧元的罚款。 与此同时，美国一个陪审团裁定谷歌侵犯用户隐私，即在用户选择退出“网页与应用活动”跟踪后仍收集其数据。该集体诉讼最终判决谷歌支付4.25亿美元赔偿金。谷歌在给路透社的声明中表示，该裁决“误解了其产品的工作原理”，强调其隐私工具赋予用户数据控制权，并计划上诉。 此外，美国联邦贸易委员会（FTC）宣布，迪士尼已同意支付1000万美元以了结指控，因其未经家长通知或同意收集观看YouTube视频的儿童个人数据，违反了美国《儿童在线隐私保护规则》（COPPA）。FTC指出，迪士尼未正确标注其上传至YouTube的部分视频为“儿童制作”，从而收集了13岁以下儿童观看内容的数据并用于定向广告。拟议和解方案要求迪士尼在收集13岁以下儿童个人数据前开始通知家长并征得同意，并启动一个项目确保上传到YouTube的视频被正确标注。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 盗版IPTV网络凭借低廉价格和广泛内容吸引用户，背后隐藏着数据泄露与恶意软件的巨大风险。 网络安全研究人员近日揭露了一个庞大的互联网协议电视（IPTV）盗版网络，该网络跨越1100多个域名和超过1万个IP地址。 这一已运作数年的盗版活动据称影响了20多个知名娱乐和体育品牌。 盗版网络的核心组织与运营 Silent Push的调查将该盗版网络与两家从托管未经许可内容中获利的公司联系起来——XuiOne和Tiyansoft。 这家网络安全公司还确认，阿富汗赫拉特的Nabi Neamati是其运营的关键人物。有证据表明，Neamati拥有Tiyansoft公司，并直接管理与该网络相关的域名。 盗版产业的巨额利润 调查结果凸显了盗版行业的暴利本质。此前研究显示，盗版IPT流媒体及相关内容每年产生数十亿美元的收益。 其中一个例子是该网络中的一个关联网站JVTVlive，声称在198个国家运行着2000台服务器。根据Silent Push的数据，这一说法似乎准确。 受影响的主要品牌 受到影响的知名品牌包括： Prime Video Disney Plus Netflix Apple TV Hulu HBO Formula 1 Premier League UFC 盗版服务的运营模式与风险 这些盗版服务以大幅折扣的价格提供 premium 内容，有时甚至宣传以低至每月15美元的价格提供数千个频道。 除了侵犯版权之外，这些平台对用户构成危险。Silent Push指出，消费者在与非法IPTV提供商打交道时经常面临欺诈性收费、身份盗窃或恶意软件的风险。 盗版网络的技术基础设施 与合法流媒体平台不同，IPTV网络通常依赖私人基础设施分发内容，这使得它们更难追踪，并且更容易被滥用于大规模盗版。 Silent Push研究人员指出，IP地址的数量超过了域名数量，这种模式与IPTV一致，而非其他类型的网络威胁。 调查人员将该网络追溯至多个站点。虽然这些域名随着时间的推移更换了IP地址和注册详细信息，但技术指纹和社交媒体账户将它们与Neamati及其公司联系起来。 版权确认的挑战 Silent Push强调，虽然该网络的内容几乎完全未经许可，但最终确认取决于受影响媒体公司的回应。 “没有这样的确认，从技术上讲，一些媒体公司可能与这些超 aggressive 的IPTV网络有许可协议，”Silent Push写道。 “然而，我们的团队没有观察到支持这一结论的证据。” 该公司计划在2025年9月23日举行的题为“大规模阻止盗版分发网络”的网络研讨会中讨论其调查结果。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种手法娴熟老练的骗局正在针对PayPal用户展开。与大多数骗局一样，它也存在一些容易识破的欺骗迹象，只要你仔细审视。 Malwarebytes的研究人员发现了一个针对PayPal用户的高度复杂的网络钓鱼骗局。该骗局使用了多种技术，在外行看来，这些技术会令人警觉并迫使用户采取行动，使得受害者很容易直接落入恶意行为者的陷阱。此骗局的幕后操纵者成功伪造了PayPal的电子邮件地址，这为欺骗增添了一层额外的伪装。 据Malwarebytes称，电子邮件欺骗是指威胁行为者通过发送带有虚假发件人地址的电子邮件来冒充他人。通过这样做，受害者更可能相信电子邮件来自真实来源而非骗子。通过伪造此电子邮件，用户更可能相信它来自PayPal，并且可能更倾向于点击邮件中的链接或联系相关的电话号码。 研究人员注意到的另一个迹象是奇怪的收件人地址，该地址与受害者的地址没有直接关联。这是因为骗子设置了一个分发列表来批量 targeting 人群，而非针对单个受害者。更简单且或许更能说明这是网络钓鱼骗局的迹象来自电子邮件的内容。 尽管骗子成功复制了PayPal通常发送的电子邮件布局，但邮件的主题和要求采取的行动却大相径庭。例如，这封邮件要求受害者设置他们的PayPal账户 profile。但下面的文字却显示有一笔新的扣款已处理。 文字称检测到一笔新的 profile 扣款，金额超过900美元，这会让任何未曾有意通过PayPal花费如此多金额的人感到震惊。虽然它看起来可能很 legitimate，但有多种警告迹象表明这是一个网络钓鱼骗局。 首先，是信息中透露的紧迫感。PayPal声称链接将在24小时后失效，这意味着收到电子邮件的人将无法在此时间点之后解决这个虚假问题。 其次，金额超过900美元，这 specifically 是为了“吸引你的注意力”，Malwarebytes 说道。 第三，是加密货币的引入。据称从受害者账户中扣除的900美元是由加密货币交易平台Kraken.com收取的。 当受害者收到非预期的、要求他们通过加密货币进行支付的电子邮件时，这通常是一个骗局。最后，研究人员表示，邮件中列出的电话号码被国际公认的商业监督机构“Better Business Bureau”认定为与诈骗有关联的电话号码。 更令人担忧的是，邮件内的链接按钮实际上指向了PayPal官方网站。但是，这个链接并非将用户引导至支付争议部分或让他们设置账户 profile，而是允许恶意行为者被添加到他们的PayPal账户中。通过向你的PayPal账户添加一个次级用户，你实质上允许第二个人访问你的账户，随后账户资金可能会被迅速转移一空。 虽然网络钓鱼攻击可用于窃取凭证，但在这种情况下，它显然被用来对用户进行财务剥削。PayPal拥有超过4.34亿的庞大用户群，这使其成为试图利用脆弱用户的犯罪分子巨大的攻击面。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）警告称，黑客正在积极利用两个漏洞：一个影响非常流行的TP-Link WiFi扩展器，另一个是近期被高度复杂攻击者利用的WhatsApp漏洞。 基于主动利用的证据，CISA已将这两个漏洞列入其已知被利用漏洞（KEV）目录。 该监管机构警告称：“此类漏洞是恶意网络行为者的常见攻击载体，并对联邦企业构成重大风险。” 第一个漏洞具有8.8分（满分10分）的高严重性评级，影响了一款非常流行的TP-Link TL-WA855RE WiFi范围扩展器，该设备用于增强WiFi覆盖范围。 此设备在亚马逊上拥有超过120,500条评论。 然而，该漏洞现已存在五年，影响未打补丁且硬件版本为V5的设备。供应商已提供了固件更新。 漏洞描述中写道：“TP-Link TL-WA855RE V5……设备允许未经身份验证的攻击者（在同一网络上）提交TDDP_RESET POST请求以进行工厂重置和重启。然后，攻击者可以通过设置新的管理密码获得错误的访问控制。” CISA指示联邦机构采取缓解措施或停止使用该产品，因为它可能不再受支持或已达到生命周期终点。 黑客通常以老旧、易受攻击的设备为目标，利用已知漏洞。ShadowServer基金会的数据显示，他们不断扫描存在2016年至2023年间已识别漏洞的设备。 CISA警告的第二个漏洞影响用于iOS设备和Mac电脑的WhatsApp。WhatsApp和苹果公司为此发布了一个紧急更新，以应对利用此漏洞的高级间谍软件活动。 该应用程序中“链接设备同步消息的授权不完整，可能允许无关用户触发处理目标设备上任意URL的内容。” 供应商评估认为，该漏洞可能已被用于针对特定目标用户的复杂攻击中。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 创意与娱乐联盟（ACE）与埃及当局已联手关闭了全球最大的非法体育直播网络Streameast，并逮捕了两名涉嫌与该运营相关的人员。 Streameast自2018年开始运营，是一个依靠广告支持的免费流媒体服务，提供来自授权广播公司的高清流媒体内容。 据报道，Streameast运营着80个域名，这些域名每月共获得1.36亿次访问。在过去一年中，该平台记录了16亿次访问，主要用户来自美国、加拿大、英国、菲律宾和德国。 该体育盗版平台未经授权转播了包括英格兰英超联赛、西班牙西甲联赛、意大利甲级联赛、德国足球甲级联赛、法国足球甲级联赛、葡萄牙超级联赛和美国职业足球大联盟（MLS）在内的足球联赛。 它还覆盖了国际足联世界杯、 UEFA欧洲杯、UEFA国家联赛等国家队比赛，以及美洲杯、欧冠联赛和欧罗巴联赛等国际俱乐部赛事。 Streameast还转播了美国主要体育赛事的流媒体，包括NFL（橄榄球）、NBA（篮球）、NHL（冰球）、MLB（棒球），以及按次付费的拳击比赛、综合格斗（MMA）和来自世界各地的各种摩托车赛事，例如一级方程式赛车（Formula One）和世界摩托车锦标赛（MotoGP）。 六天前，该非法流媒体服务首次出现运营中断的迹象，当时用户在Reddit上报告称他们无法访问该网站，或者流媒体和聊天功能无法加载。 今日，ACE确认在埃及当局的帮助下，该流媒体平台已被捣毁。 DAZN集团首席运营官埃德·麦卡锡表示：“铲除Streameast对于所有投资并依赖于体育直播生态系统的各方而言都是一次重大胜利。该犯罪活动一直在窃取各级体育赛事的价值，并使全球各地的粉丝面临风险。” 据《纽约时报》报道，埃及吉萨省El-Sheikh Zaid地区有两人被捕，警方没收了笔记本电脑、智能手机、现金和多张信用卡。 调查人员据称已将此次流媒体运营活动与一家阿联酋空壳公司联系起来，该公司自2010年以来 allegedly 被用于清洗620万美元的广告收入，以及额外的20万美元加密货币。 此前属于Streameast的80个域名现已重定向至ACE的“合法观看”网站，该网站包含合法内容托管平台的链接。 然而，BleepingComputer仍然能够找到一些未重定向至ACE页面的域名，因此执法行动很可能并未查封所有相关域名，或者有新的域名在短时间内被注册。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在利用X平台的内置AI助手Grok，绕过该平台为减少恶意广告而引入的链接发布限制。 正如Guardio Labs研究员Nati Tal所发现，恶意广告商经常运行包含成人内容诱饵的可疑视频广告，并避免包含指向主站的链接以避免被X平台拦截。 相反，他们将链接隐藏在视频卡片下方不起眼的“From:”元数据字段中，该字段显然未被社交媒体平台扫描以检查恶意链接。 接下来，（很可能是）同一批行为者通过回复广告来询问Grok关于帖子的信息，例如“这个视频来自哪里？”或“这个视频的链接是什么？”。 Grok会解析隐藏的“From:”字段，并在回复中以可点击的格式提供完整的恶意链接，使用户能够点击并直接进入恶意网站。 由于Grok在X平台上自动是一个受信任的系统账户，其发布的内容提升了链接的可信度、覆盖范围、搜索引擎优化（SEO）和声誉，从而增加了该链接被广播给大量用户的可能性。 研究人员发现，许多此类链接通过 shady 广告网络进行跳转，最终导向诸如虚假验证码（CAPTCHA）测试、信息窃取恶意软件和其他恶意负载的诈骗。 这些链接不仅没有被X平台阻止，反而通过恶意广告向平台用户推广，并借助Grok进一步扩大了影响力。 Tal将利用此漏洞的技术称为“Grokking”，并指出其非常有效，在某些情况下能将恶意广告的曝光量放大至数百万次展示。 潜在的解决方案包括扫描所有字段、拦截隐藏链接以及对Grok添加上下文清理机制，这样AI助手就不会在用户询问时盲目地反馈链接，而是会根据拦截列表对其进行过滤和检查。 Tal向我们确认，他已联系X平台报告此问题，并得到了非官方确认，表示Grok工程师已收到报告。 BleepingComputer也联系了X平台，询问他们是否意识到这种滥用行为以及是否计划采取任何措施，但在本文发布前未收到回复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一次大规模数据泄露事件导致超过2.5亿条身份记录在七个国家遭到曝光。 超过2.5亿条身份记录被公开访问，波及至少七个国家的公民，包括土耳其、埃及、沙特阿拉伯、阿拉伯联合酋长国（UAE）、墨西哥、南非和加拿大。 三个托管在巴西和阿联酋注册的IP地址上的配置错误的服务器包含了详细的个人信息，这些信息类似于政府级别的身份档案。泄露的信息包括身份证号码、出生日期、联系方式和家庭住址。 发现此次数据暴露的Cybernews研究人员表示，这些数据库似乎共享相同的结构和命名约定，这可能表明它们源自同一处。然而，目前无法最终确定是谁在运营这些服务器。 “由于数据结构相似，这些数据库很可能由单一方操作，但没有证据表明谁控制了数据，也没有任何确凿线索证明这些实例属于同一方，”我们的研究人员表示。 此次泄露对土耳其、埃及和南非的公民尤其严重，因为这些数据库包含了全方位的身份详细信息。详细信息的泄露为各种滥用行为打开了大门，从金融欺诈和冒名顶替到有针对性的网络钓鱼活动和诈骗。 Cybernews已联系相关托管提供商，截至目前，数据已不再公开可访问。 整个国家受到数据泄露影响 这并非首次在线发现存有公民数据的巨大数据集。Cybernews的研究表明，巴西全国人口可能都曾受到一次数据泄露的影响。 一个配置错误的Elasticsearch实例包含了包含全名、出生日期、性别和自然人登记号（CPF）的数据。这个11位数字用于识别巴西的个人纳税人。 同年，一场与Bankingly有关的数据泄露影响了多米尼加共和国、墨西哥、厄瓜多尔、萨尔瓦多、玻利维亚、哥斯达黎加和多米尼加共和国的公民。Bankingly是一家为拉丁美洲金融机构提供网络服务和移动应用程序的金融科技平台。 据Cybernews研究人员称，这家总部位于乌拉圭的公司因配置错误的Azure Blob Storage存储桶，暴露了七家金融机构的数据。 此前，Cybernews曾报道据称属于政府实体的海量数据集被在线出售。2024年，威胁行为者列出了涉及10亿中国公民的23太字节数据以及上海警察局的数十亿条案件记录。 1.05亿印度尼西亚公民的个人数据，包括身份证号码、全名、出生日期和其他个人身份信息（PII），也已被泄露并在线出售。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙网络安全供应商S2 Grupo的研究人员发现了一种新的Outlook后门，该后门能使威胁行为窃取数据、上传文件并在受害者计算机上执行命令。 S2 Grupo的威胁情报实验室LAB52在9月3日发布的一份报告中分享了这一发现。 威胁分析人员因其代码中使用了“Nothing”一词，将该后门命名为“NotDoor”。他们将其归因于受俄罗斯支持的网络威胁组织APT28。 NotDoor：基于VBA的复杂Outlook恶意软件 NotDoor后门是一种基于Visual Basic for Applications（VBA）的复杂恶意软件，针对Microsoft Outlook，旨在监控传入电子邮件中的特定触发词并执行恶意命令。 VBA是微软的嵌入式脚本语言，用于在Office应用程序（如Excel、Word和Outlook）中自动执行任务。虽然合法用户使用VBA来提高工作效率，但威胁行为者利用它在宏中嵌入恶意代码，这些代码在打开文档或电子邮件时执行。 NotDoor滥用Outlook的事件驱动VBA触发器（例如Application_MAPILogonComplete（启动时）和Application_NewMailEx（收到新邮件时））来激活其有效负载。 该恶意软件的代码经过混淆处理，具有随机化的变量名和自定义的字符串编码技术，该技术会在Base64数据后附加垃圾字符，以模仿加密来阻碍分析。 NotDoor伪装在合法的Outlook宏中，使攻击者能够窃取数据、上传文件并在受感染的系统上运行任意命令。 值得注意的是，该恶意软件通过签名的微软二进制文件（OneDrive.exe）进行DLL侧加载，该文件会加载恶意的DLL（SSPICLI.dll）以部署后门，同时规避检测。 通过修改Outlook的注册表设置来禁用安全警告、在启动时启用宏并抑制对话框提示，确保持久化并实现静默运行。 该后门通过将受害者数据外泄到攻击者控制的邮箱（a.matti444@proton[.]me）并通过对webhook.site的DNS和HTTP回调验证执行，从而建立隐蔽通信。 感染后，它会创建一个隐藏目录（%TEMP%\Temp）来存储文件，这些文件会自动通过电子邮件发送给攻击者并被删除。 当收到包含预定义字符串（例如“Daily Report”）的电子邮件触发时，NotDoor会解析嵌入在邮件正文中的加密命令，支持每条邮件包含多个指令，例如文件窃取、命令执行或额外有效负载下载。 该恶意软件的模块化设计允许攻击者动态更新触发器和命令，使得检测和缓解具有挑战性。 通过滥用Outlook的原生VBA功能，该恶意软件具有持久性和隐蔽性，使其成为间谍活动或针对性攻击的有效工具。 LAB52的研究人员建议组织默认禁用宏，监控异常的Outlook活动，并检查基于电子邮件的触发器以防御此类威胁。 APT28：一个不断演变的威胁组织 APT28是一个以其破坏性攻击而臭名昭著的网络威胁组织。它还有许多别名，包括Fancy Bear、Fighting Ursa、Forest Blizzard、Pawn Storm、Strontium、Sednit、Sofacy和Tsar Team。APT28至少自2014年以来一直活跃，被归因于俄罗斯总参谋部情报总局（GRU）第85特殊服务中心（GTsSS）第26165军事部队。 2016年，据报道APT28入侵了希拉里·克林顿的总统竞选团队、民主党全国委员会（DNC）和民主党国会竞选委员会（DCCC），作为干预美国总统选举行动的一部分。 两年后，即2018年，美国司法部（DoJ）起诉了GRU第26165部队的五名军官，指控他们在2014年至2018年间策划了网络入侵活动。他们的目标包括世界反兴奋剂机构（WADA）、美国反兴奋剂机构、一家美国核设施、禁止化学武器组织（OPCW）和瑞士斯皮茨化学实验室等实体。 其中一些行动得到了GRU第74455部队（也称为Sandworm Team）的支持。根据LAB52研究人员的说法，NotDoor展示了“APT28的持续演变，表明它不断生成能够绕过既定防御机制的新工具”。 最近，APT28被关联到一场投放LameHug的行动中，LameHug是最早利用大型语言模型（LLM）的恶意软件之一。LameHug于2025年7月由乌克兰国家计算机应急响应小组（CERT-UA）首次发现，被MITRE研究人员描述为未来人工智能驱动攻击的“原始”测试平台。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与伊朗有关联的组织被指参与了一场针对欧洲及世界其他地区大使馆和领事馆的“协同”且“多波次”的鱼叉式网络钓鱼活动。 以色列网络安全公司 Dream 将此活动归因于与伊朗结盟的操作者，这些操作者与一个名为“Homeland Justice”（国土正义）的组织所进行的更广泛的攻击性网络活动有关。该公司称：“这些邮件被发送给全球多个政府收件人，伪装成合法的外交通信。有证据表明，在地缘政治紧张局势加剧时期，针对外交和政府实体的地区性间谍活动范围扩大了。” 该攻击链涉及使用与伊朗和以色列之间地缘政治紧张局势相关的鱼叉式网络钓鱼邮件来发送恶意 Microsoft Word 文档。该文档在打开后会催促收件人“启用内容”以执行内嵌的 Visual Basic for Applications (VBA) 宏，该宏负责部署恶意软件负载。 据 Dream 称，这些邮件被发送至中东、非洲、欧洲、亚洲和美洲的大使馆、领事馆和国际组织，这表明此次活动撒下了一张广泛的钓鱼网。据称，欧洲各国大使馆和非洲机构是遭受攻击最严重的对象。 这些数字邮件来自 104 个被入侵的独特地址，这些地址属于官员和伪政府实体，以此增添一层可信度。至少部分邮件来源于阿曼外交部在巴黎的一个被入侵邮箱（*@fm.gov.om）。 Dream 表示：“诱饵内容持续提及紧急的外交部通讯、传达权威性，并利用了启用宏来访问内容的常见做法，这是一场精心策划的间谍行动的标志， deliberately 掩盖了攻击来源。” 攻击的最终目的是利用 VBA 宏部署一个可执行文件，该文件能够建立持久性、联系命令与控制 (C2) 服务器并收集系统信息。 网络安全公司 ClearSky 在上个月底也详细说明了此次活动的某些方面，称这些网络钓鱼邮件被发送至多个外交部。 ClearSky 在 X 上的一篇帖子中表示：“伊朗威胁行为者在 2023 年针对阿尔巴尼亚的穆哈黑丁（Mojahedin-e-Khalq）时使用了类似的混淆技术。我们以中等把握评估，此次活动与相同的伊朗威胁行为者有关联。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称已从圣菲县（Santa Fe County）政府网站窃取了源代码。然而，Cybernews研究团队认为，他们是在兜售过时的信息。 这起所谓的黑客攻击事件由一个团伙在一个流行的数据泄露论坛上宣布，该论坛常被用来分享和出售被盗信息。攻击者声称获得了圣菲县政府网站的源代码，该网站供县官员和公民使用。 圣菲县位于新墨西哥州，拥有超过15万人口。 Cybernews研究团队仔细查看了攻击者在帖子中附加的数据，并得出结论：这些说法与实际情况并不完全相符。攻击者上传的数据包括： 几个管理员用户名和经过哈希处理的密码 数据库模型及其版本（该版本的支持截止于2017年4月1日） 一个于2010年发布（支持已于2011年终止）的PHP版本 据研究团队称，文件中包含的几个表没有实际数据，看起来像是模板，而非包含有用信息的东西。 此外，对当前圣菲县官网实时版本流量的检查显示，其运行架构与攻击者在所谓数据泄露中包含的架构不同。 研究团队解释说：“考虑到这些信息，所谓的源代码泄露很可能是2010年代某个旧版本的网站，这使得其影响相对较小。” 攻击者发布过时数据的原因有很多。其一可能是为了展示他们收集信息的能力。尽管这些信息可能是过去获取的或来自不同来源，但攻击者或许试图以此进行“概念验证”。 另一个原因是为了“刷存在感”。在数据泄露论坛上，声誉就是一种资本，而发布圣菲县信息的攻击者似乎是一个相对新手。在攻击者看来，通过源代码泄露事件获得关注可能会让他们“闯出名头”。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare成为近期一系列Salesloft Drift泄露事件的最新受影响公司，这些事件是上周披露的一起供应链攻击的一部分。 这家互联网巨头于周二透露，攻击者获得了其用于内部客户案例管理和客户支持的Salesforce实例的访问权限，该实例包含104个Cloudflare API令牌。 Cloudflare于8月23日收到漏洞通知，并于9月2日向受影响的客户通报了该事件。在将攻击事件告知客户之前，该公司还轮换了所有在泄露期间被窃取的104个由Cloudflare平台颁发的令牌，尽管尚未发现与这些令牌相关的任何可疑活动。 “这些信息大部分是客户联系信息和基本支持案例数据，但一些客户支持互动可能会透露客户配置信息，并可能包含访问令牌等敏感信息，”Cloudflare表示。 “鉴于Salesforce支持案例数据包含与Cloudflare的支持工单内容，客户可能通过我们的支持系统与Cloudflare共享的任何信息——包括日志、令牌或密码——都应视为已泄露，我们强烈建议您轮换可能通过此渠道与我们共享的任何凭据。” 公司的调查发现，在8月9日的初步侦察阶段之后，威胁行为者在8月12日至8月17日期间仅窃取了Salesforce案例对象中包含的文本（包括客户支持工单及其相关数据，但不包括附件）。 这些被窃取的案例对象仅包含基于文本的数据，包括： Salesforce案例的主题行 案例正文（如果客户向Cloudflare提供，可能包含密钥、机密信息等） 客户联系信息（例如，公司名称、请求者的电子邮件地址和电话号码、公司域名和公司所在国家） “我们认为这起事件并非孤立事件，而是威胁行为者意图收集凭证和客户信息以供未来攻击之用，”Cloudflare补充道。 “鉴于此次Drift漏洞事件影响了数百家组织，我们怀疑威胁行为者将利用这些信息对受影响组织的客户发起针对性攻击。” Salesforce数据泄露浪潮 今年以来，ShinyHunters勒索组织一直以 Salesforce 客户为目标进行数据窃取攻击，他们使用语音钓鱼（vishing）欺骗员工将恶意的 OAuth 应用程序与其公司的 Salesforce 实例关联起来。这种策略使攻击者能够窃取数据库，随后用于勒索受害者。 自谷歌在6月份首次报道这些攻击以来，多起数据泄露事件都与ShinyHunters的社会工程策略有关，包括针对谷歌自身、思科、澳洲航空（Qantas）、安联人寿（Allianz Life）、农夫保险（Farmers Insurance）、Workday、阿迪达斯（Adidas），以及路威酩轩（LVMH）子公司路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.）的攻击。 尽管一些安全研究人员告诉BleepingComputer，Salesloft供应链攻击涉及相同的威胁行为者，但谷歌尚未找到确凿证据将它们联系起来。 其他受害企业 Palo Alto Networks也在周末确认，Salesloft Drift漏洞背后的威胁行为者窃取了一些客户提交的支持数据，包括联系信息和文本评论。 Palo Alto Networks的事件也仅限于其Salesforce CRM，正如该公司告诉BleepingComputer的那样，它没有影响任何其产品、系统或服务。 这家网络安全公司观察到攻击者搜索机密信息，包括AWS访问密钥（AKIA）、VPN和SSO登录字符串、Snowflake令牌，以及诸如“secret”、“password”或“key”之类的通用关键词，这些信息可能被用于入侵更多云平台以窃取数据，从而进行其他勒索攻击。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文