HackerNews

HackerNews 编译，转载请注明出处： 攻击者据称已入侵瑞典主要制造商斯堪尼亚（Scania），从其企业保险部门窃取了数万份文件。 宣布这起所谓泄露事件的帖子出现在一个流行的“仅限邀请”的黑客论坛上，网络犯罪分子利用该论坛买卖被盗数据。攻击者称，他们设法渗透进了斯堪尼亚的企业保险部门。 这些网络犯罪分子声称窃取了34,000份从未向公众开放过的文件。截至撰写本文时，尚不清楚这些文件中可能包含何种信息。 斯堪尼亚的企业保险网站现已下线。然而，斯堪尼亚的企业保险涵盖该公司的商用车辆，这意味着暴露的文件可能包括客户信息以及通过车辆识别号码(VINs)所对应的车辆信息。 攻击者声称获取数据的那个斯堪尼亚网站目前无法访问。访客会看到一条消息，内容为：“我们目前正在对VabisLine系统进行维护。该系统已暂时下线。” 目前尚不清楚此次维护是否与所声称的黑客攻击有关。 斯堪尼亚是一家主要的商用车制造商。根据该公司2025年第一季度的财务报告，斯堪尼亚占据了欧洲商用车市场近19%的份额。该公司在全球拥有59,000名员工，2024年报告的营收超过220亿美元。 攻击者经常以汽车制造商为目标，因为大型跨国公司拥有大量敏感的企业和客户数据，并且在敲诈勒索的情况下有资源支付赎金。本月早些时候，攻击者称已入侵德国汽车巨头大众汽车集团（Volkswagen Group）。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场覆盖全欧洲的执法行动已成功取缔暗网上运行时间最长的毒品交易平台Archetyp Market。6月11日至13日期间，六国执法机构展开协调突袭行动，针对该平台基础设施及核心成员实施打击。此次代号为“深空哨兵行动（Operation Deep Sentinel）”的行动由德国、荷兰、罗马尼亚、西班牙和瑞典联合开展，并获欧洲刑警组织（Europol）、欧洲司法组织（Eurojust）及美国当局支持。约300名执法人员参与行动，最终实现平台下线、逮捕多名涉案人员，并查获约780万欧元（约合人民币6084万元）资产。 Archetyp Market运营时间超过五年，吸引全球逾60万用户，累计促成交易额超2.5亿欧元（约合人民币19.5亿元）。该平台提供超过17,000条商品清单，包括芬太尼等合成阿片类药物——这类物质在欧洲乃至全球日益成为用药过量致死事件的关联因素。 该平台30岁的德国籍管理员在巴塞罗那被捕，同时德国与瑞典执法部门对一名平台版主及六名顶级供应商采取行动。平台位于荷兰的技术基础设施已被完全拆除。 此次取缔标志着同类犯罪平台中最稳固的据点之一走向终结。除可卡因、摇头丸（MDMA）及苯丙胺等毒品外，Archetyp Market因促成高风险物质的匿名交易而臭名昭著，其性质与昔日暗网平台“Silk Road”、“Dream Market”如出一辙。 欧洲刑警组织行动副局长让-菲利普·勒库夫（Jean-Philippe Lecouffe） 表示：“此次行动铲除了暗网历史最悠久的毒品市场之一，切断了全球最危险物质的主要供应链。通过摧毁其基础设施并逮捕关键人物，我们传递了明确信号：伤害牟利者没有安全港。” 此次行动基于对该平台网络及运营的多年调查。当局通过追踪金融交易、分析法证证据，并与国际同行密切合作，最终锁定平台幕后人员。调查仍在进行中，或引发更多逮捕或起诉。执法部门强调，跨境协作与定向技术专长在平台关停中发挥了关键作用。 目前该平台原网址已被查封通告取代，并发布针对地下经济参与者的警示信息。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Insikt Group的最新分析显示，尽管自2023年7月起遭受美国制裁，Predator间谍软件仍持续吸引新用户。 该间谍软件活动在经历早期因制裁和公开曝光导致的衰退后近期再度活跃。研究团队发现其更新了基础设施网络，并首次确认莫桑比克成为新客户，凸显监控工具仍在持续扩散，尤其在非洲地区——Predator已识别的客户中超半数位于非洲大陆。此外，与捷克实体FoxITech s.r.o.的关联表明，幕后运营方Intellexa联盟仍在秘密运作。 2024年3月，美国财政部外国资产控制办公室（OFAC）宣布对Intellexa联盟的两名个人及五家实体采取行动，因其参与开发并分发用于攻击美国公民的Predator间谍软件。该监控软件还被用于监视美国政府官员、记者和政策专家。财政部警告称，商业间谍软件的扩散给美国带来日益增长的风险。该软件已被外国行为体滥用，针对全球范围内的异见人士和记者发动攻击。 Intellexa联盟成立于2019年，充当多家提供商业间谍软件及监控工具的进攻性网络公司的统一营销平台，这些工具专为定向和大规模监控活动设计。Predator间谍软件指一套可通过零点击攻击入侵受害者设备的监控工具组合，以其大规模数据窃取与监控能力著称。 Insikt Group揭露了Predator的新基础设施网络，包括规避性更新与高层级组件。研究人员在多个国家发现活动复苏证据，其中莫桑比克为新关联国家。分析还指出，第五层基础设施（Tier 5）与捷克实体FoxITech存在技术连接，而后者与Intellexa联盟相关。新版基础设施包含可能用于投送有效载荷和攻击受害者的域名。早期域名常伪装成新闻媒体等合法站点，而近期域名改用随机英文或葡萄牙语词汇组合（部分暗示特定目标区域，如伊拉克库尔德斯坦的Badinan地区）。这些域名多通过PublicDomainRegistry注册，且托管网络范围更广，反映出逃避检测的意图。 Predator基础设施已升级为更复杂的五层架构。前四层通过多重路由隐藏间谍软件源头，其中第四层常指向客户所在国家的IP地址。仍具神秘色彩的第五层（Tier 5）则关联捷克公司FoxITech——该公司与Intellexa联盟存在联系。运营方还启用虚假网站（如伪造的404错误页面、登录界面或模拟活动网站）作为欺骗策略。这些调整表明Predator仍是网络领域中持续存在且适应性极强的威胁。 “尽管仅前四层基础设施直接关联Predator客户的操作网络，但Insikt Group持续监测被称为第五层的附加层级——该层级在Predator相关操作中似乎扮演核心角色（具体机制尚不明确）”，报告指出，“第五层服务器已关联捷克实体FoxITech s.r.o.，该公司此前公开资料显示与Intellexa存在关联。” 自2024年3月起，Insikt Group追踪到Predator在十余个国家的活动。部分区域（如刚果民主共和国和安哥拉）在公开曝光后活动曾暂停，但安哥拉于2025年初重启操作。莫桑比克作为新用户出现，其关联域名和IP地址指向一个仍在使用虚假新闻及生活类网站的活动运营方。另一短暂出现的集群（可能关联东欧）暗示其正在进行技术测试或应对新制裁。 “Insikt Group发现的证据表明，尽管媒体广泛报道且针对Intellexa及相关实体的制裁持续实施，Predator仍在包括莫桑比克在内的地区被使用”，报告总结称，“尽管观察到近期活动，但疑似运营商数量较早期报告减少，表明公开曝光、制裁及相关措施可能已对Intellexa造成运营成本压力。此外，Predator运营商历史上长期保持稳定操作手法，但最新发现揭示其已采用新策略以规避检测。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国知名俄罗斯问题研究专家基尔·贾尔斯（Keir Giles）上周末宣布，其多个电子邮箱账户遭黑客以“复杂账户接管”手段攻击，攻击者伪装成美国国务院人员。贾尔斯在领英发布的警告中提醒联系人谨慎处理任何看似由其发送的异常邮件。贾尔斯是《俄罗斯对所有人的战争》一书作者，同时担任智库查塔姆研究所（Chatham House）顾问研究员。 贾尔斯写道：“根据我们应对复杂账户接管攻击的长期经验，攻击者在被锁定前获取的信息（包括您或他人发送给我的消息）很可能被用于未来污染性数据泄露。”此前在去年，贾尔斯已成为为俄罗斯情报部门服务的黑客目标，这些黑客持续冒充研究人员与学者，试图侵入其同事邮箱账户，但当时贾尔斯的账户未被攻破。 网络安全公司Secureworks与Mandiant对针对贾尔斯的钓鱼邮件、附件及凭证窃取基础设施进行了独立分析。两家公司均认为，此次攻击由国家支持的黑客组织实施，该组织被追踪命名为Iron Frontier、Calisto、Coldriver或Star Blizzard。英国政府评估其隶属于俄罗斯情报机构，并于2013年将其归因于俄联邦安全局（FSB）第18中心（Center 18） ——英国政府曾为此召见俄罗斯大使，指控克里姆林宫幕后主导一系列“持续但未遂”的黑客泄密行动，意图破坏民主制度。 与此同时，美国司法部起诉了参与第18中心钓鱼活动的两名俄罗斯公民：FSB官员鲁斯兰·亚历山德罗维奇·佩列季亚特科（Ruslan Aleksandrovich Peretyatko） 及欺诈域名创建者安德烈·斯坦尼斯拉沃维奇·科里涅茨（Andrey Stanislavovich Korinets） ，相关行动可追溯至2016年。英国政府披露，该组织在英国的既往目标包括英国秘密情报局（MI6）前局长理查德·迪尔洛夫爵士（Sir Richard Dearlove） ，以及致力于反制俄罗斯信息战的智库“治国方略研究所”（Institute for Statecraft）。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部已对谷歌计划以320亿美元收购云安全初创企业Wiz的交易启动反垄断审查。据彭博社报道，此项审查仍处于早期阶段，旨在评估该交易是否损害网络安全市场的竞争。报道指出，此类审查可能持续数月，或将包括与客户、竞争对手及并购双方的访谈。 谷歌于3月宣布的Wiz收购案，是其网络安全产品组合的关键布局——该组合此前已包含来自Mandiant的威胁情报技术和Siemplify的安全运营技术。谷歌对网络安全业务的雄心并非首次面临司法部审查：2022年其54亿美元收购Mandiant的交易同样接受过反垄断审查，但最终获批。 对于Wiz收购案，彭博社称双方已预判监管阻力，谷歌同意在交易失败时向Wiz支付约32亿美元的分手费。此次交易提出前一年，Wiz曾拒绝谷歌230亿美元的收购报价。若交易达成，将重塑微软主导的竞争格局，并改变投资者对云安全初创企业的投资逻辑。 谷歌长期难以在企业网络安全领域立足（尽管曾通过Chronicle和VirusTotal积极尝试），而此次整合Wiz技术与Mandiant资产后，公司正推行一项宏大战略：将主动与被动安全解决方案集成于统一平台。Wiz平台通过扫描所有主流云环境，构建代码、资源及连接的综合图谱，能精确定位潜在攻击路径，并根据影响程度对风险分级，为企业开发者和安全团队提供部署前的应用安全保障。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于爱尔兰的眼科护理技术公司Ocuco已向美国卫生与公众服务部（HHS）通报一起数据泄露事件，影响超过24万人。该公司自称全球最大的眼镜零售软件企业，其软件服务覆盖77个国家/地区的6000个服务点。 Ocuco尚未公开发布事件通告，但该事件很可能与勒索组织KillSec的黑客攻击相关——该组织今年早些时候宣称从Ocuco窃取了大量文件。4月初，黑客在其基于Tor的泄露网站上公布了Ocuco的信息，并发布多张截图佐证其攻击行为。 其中一张截图显示，黑客从该公司窃取了至少67万份文件（总计340GB数据）。黑客网站声称被盗数据已公开，但截至发稿时，Ocuco数据尚未出现在KillSec网站的可下载列表中。SecurityWeek已联系Ocuco寻求置评，若获回复将更新报道。 KillSec组织至少自2023年秋季开始活跃，其勒索软件即服务（RaaS） 业务于2024年6月对外宣布。目前该组织的泄露网站列出了约140名受害者。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多名《华盛顿邮报》记者的电子邮箱账户遭疑似国家支持的黑客攻击入侵。该事件于上周四晚间被发现，该报随即启动调查。6月15日（星期日），一份内部备忘录发送给员工，通知其“邮件系统可能遭受针对性未授权入侵”。 据《华尔街日报》报道，该备忘录由执行主编马特·默里（Matt Murray）签署，确认少数记者的微软账户受影响。由亚马逊创始人杰夫·贝佐斯持有的《华盛顿邮报》是美国最具影响力的新闻出版机构之一。 内部消息人士向《华尔街日报》透露，此次攻击针对报道国家安全、经济政策议题的记者，部分涉华报道记者亦遭锁定。高级持续性威胁（APT）即国家支持的黑客组织，常以微软Exchange等邮件系统为攻击目标。 去年，微软曾警告黑客利用Exchange中的关键权限提升漏洞作为零日漏洞，实施NTLM中继攻击。 《华盛顿邮报》目前未公开披露事件任何细节。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoomcar Holdings（Zoomcar）披露称，未经授权的系统访问导致840万用户遭遇数据泄露。该事件于6月9日被发现，此前威胁行为者向公司员工发送邮件，警告其系统遭网络攻击。 尽管未造成实质性服务中断，公司内部调查确认部分客户的敏感数据已遭泄露。Zoomcar是印度一家点对点汽车共享平台，连接亚洲新兴市场的车主与租户，提供中短期车辆租赁服务。该公司于2023年底通过与美国特殊目的收购公司IOAC合并，成为在美注册的特拉华州上市公司，其股票现于纳斯达克交易（代码：ZCAR）。 根据美国财务报告标准，公司需向美国证券交易委员会（SEC）报告此事件。Zoomcar声明：“2025年6月9日，Zoomcar Holdings, Inc.发现一起网络安全事件，涉及对其信息系统的未授权访问。公司在部分员工收到威胁行为者关于数据遭非法获取的外部通信后察觉此事。” 初步调查结果显示，840万客户的以下数据已暴露给未授权方： 全名 电话号码 车辆登记号 家庭地址 电子邮箱地址 Zoomcar表示，无证据表明用户财务信息、明文密码或其他可识别个人身份的高风险数据被泄露。公司强调仍在评估事件确切范围及潜在影响。目前攻击类型尚未确定，无勒索软件组织宣称对此负责。 BleepingComputer曾就事件性质询问Zoomcar，但未获回应。 2018年，Zoomcar曾遭遇另一次重大数据泄露，超350万客户记录（含姓名、邮箱、IP地址、电话号码及bcrypt哈希加密的密码）遭曝光。该数据最终于2020年在暗网市场出售，导致用户面临更高风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克安全团队近日披露，亚洲某金融机构上月遭遇Fog勒索软件攻击。该事件因攻击者使用非常规工具链及战术引发研究人员高度关注，其异常特征包括： 非典型工具植入 首次在勒索攻击中发现合法员工监控软件Syteca的滥用。该软件通常用于企业记录员工屏幕活动、追踪键盘输入等行为，但在此次攻击中被黑客武器化。 开源渗透工具滥用 攻击者部署多款非常规开源渗透测试工具（具体工具未公开），此类工具此前极少出现在勒索攻击前期准备阶段。 GC2渗透框架的异常使用 利用GC2框架通过Google Sheets/Microsoft SharePoint远程执行指令，并经由Google Drive/SharePoint实现数据外泄。该手法虽在2023年APT41攻击中出现过，但在勒索攻击中尚属首次。 攻击者在部署勒索软件后，竟反常地尝试建立持久化访问权限。赛门铁克高级情报分析师Brigid O Gorman指出：“绝大多数勒索攻击在完成数据窃取与加密后即终止，而此次攻击者表现出明确的网络持续控制意图。” 赛门铁克专家提出两种可能性： 勒索攻击可能仅是间谍行动的伪装，真实目的是长期渗透。 不排除黑客“顺带牟利”策略——在实施间谍活动同时通过勒索获取额外收益。 攻击路径与技术细节 初始入侵点：2台存在长期漏洞的Microsoft Exchange服务器被攻陷，此为勒索团伙常用入口 潜伏周期：攻击者在受害网络内部潜伏长达两周才启动勒索程序 痕迹清除：专项清理操作日志等数字证据，增加溯源难度 工具作用存疑：Syteca具体用途尚未明确，推测可能用于信息窃取或间谍监控 BeyondTrust技术总监James Maude补充道：“黑客越来越多地滥用合法软件，既能规避安全检测，又可集中资源进行社会工程攻击——尤其在用户拥有本地管理员权限的环境中，此类战术效果显著。” Fog勒索组织背景补充 该组织自2024年5月活跃，早期专注攻击美国教育机构（如俄克拉荷马大学）。其曾以“政府效率部（DOGE）”名义发送钓鱼邮件，借埃隆·马斯克相关话题嘲讽受害者，引发媒体关注。此次针对金融机构的复杂攻击，标志其战术升级与目标扩张。 赛门铁克最终结论：虽无确凿证据指向特定国家支持，但异常工具使用、持久化企图及勒索-间谍双重动机特征，表明这绝非普通勒索攻击，其背后可能隐藏更精密的地缘政治意图。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大西捷航空（WestJet）近期遭受网络攻击，导致部分内部系统及公司应用程序访问受限。作为加拿大第二大航空公司，西捷航空成立于1996年，主营国内及国际航线，目前拥有7000多名员工，市场资本达12亿美元。 事件发生后，西捷航空迅速启动应急响应： 系统影响：内部系统与移动端应用访问权限被限制，但航班运营安全未受直接威胁。 处置措施：成立专项内部团队，协同加拿大交通部及执法部门调查事件、控制影响范围。 数据防护：重点保护乘客及员工的敏感数据与个人信息，建议相关人员提高信息共享警惕性。 公司于2025年6月13日发布声明称：“西捷航空已意识到涉及内部系统及应用程序的网络安全事件，该事件导致部分用户访问受限。我们正加速维护运营安全，并对由此造成的服务中断深表歉意。” 截至6月14日，受影响的数字服务正逐步恢复，但事件具体细节及攻击技术特征尚未披露。 行业背景与历史安全事件 此次攻击发生在加拿大关键基础设施频遭网络威胁的背景下： 航空业风险加剧：2023年加拿大航空（Air Canada）员工信息泄露，2023年森科能源（Suncor）攻击事件波及全国加油站支付系统。 基础设施威胁升级：2025年4月新斯科舍省电力公司遭遇网络攻击，IT系统全面瘫痪。 西捷航空安全漏洞史：2022年8月因技术故障致用户信息交叉泄露，部分客户可见他人电话号码、住址及信用卡末四位；2017年会员数据遭第三方非法披露。 事件关键进展与应对 调查重点：尚未确认攻击是否由勒索软件引发，或属主动关闭系统以遏制风险扩散的预防措施。 用户建议：乘客需警惕个人信息泄露风险，避免在非必要场景提供敏感数据。 行业警示：加拿大政府近年已投入7740万加元强化网络安全，但企业级防护仍存短板，尤其中小企业更易成为攻击目标。 西捷航空表示将随调查推进及时披露进展，当前首要任务是确保运营稳定与数据安全。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Resecurity发现暗网上出现740万条巴拉圭公民个人身份信息（PII）记录。最新监测显示，这些数据已于今日在暗网泄露。上周，网络罪犯公开兜售该国全体公民信息，勒索740万美元赎金（相当于每位公民1美元）。该勒索软件组织以6月13日为最后通牒，试图敲诈整个国家——这可能是巴拉圭史上最重大的网络安全事件之一。 被盗数据已通过多个地下论坛发布。值得注意的是，攻击者除提供数据库压缩文件外，还同步公开了种子文件，使其他用户可通过P2P网络自由下载公民记录。此类手法此前曾被勒索组织LockBit 3.0使用，其利用P2P平台传播数据，有效规避了内容删除机制。 此次泄露覆盖巴拉圭全国人口信息，包含从多个政府信息系统窃取的敏感数据。攻击者在勒索声明中谴责该国领导层存在腐败问题，且长期忽视公民数据保护。巴拉圭政府已公开拒绝支付赎金，但未说明750万公民信息的具体失窃过程，仅给出模糊解释。数据公开前几日，该国总统的推特账号也遭入侵。 泄露源主要涉及三大政府系统： 国家交通与道路安全局（车辆登记及身份证信息） 公共卫生与社会福利部（医疗健康记录） 另一未具名的公民信息库 这已非巴拉圭首次遭遇大规模泄露。2025年内已连续发生两起重大事件： 最高选举法院（TSJE） 超700万人信息暴露 财政部、央行与伊泰普水电站 1.7万条公务人员薪资及身份证号泄露 更早的2023年，国家警察局还发生过在押人员犯罪记录与照片外泄事件。 实施攻击的黑客组织自称“网络雇佣兵”（Cyber PMC），宣称以牟利为目的入侵政府系统。其背景存在两种可能： 纯粹的网络犯罪团伙 受外国政府资助的势力（借犯罪掩盖间谍行动） Resecurity特别指出：巴拉圭是南美唯一承认台湾“独立”的国家。这种地缘政治矛盾可能加剧网络攻击。 当前形势表明：针对南美政府系统的网络攻击正持续升级，外国威胁组织正系统性入侵存储公民信息的国家数据库。巴拉圭遭遇的“入侵+泄露”模式，因其规模（全国人口数据）和性质（国家级勒索），已成为网络安全领域的标志性事件。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意广告网络如同不死鸟，每次被打击后都会以新名称重生，犯罪团伙随即蜂拥而至。安全研究团队近期揭露：网站黑客与特定广告技术公司存在深度勾结。 自2015年底起，黑客劫持WordPress等网站后，会将访问者重定向至VexTrio——全球最大的犯罪流量分发系统（TDS）。该恶意联盟计划进而通过被劫持网站传播恶意软件、诈骗信息及非法内容。这套犯罪系统如同智能路由：在伪装无害的前提下，精准将用户引导至恶意站点。 安全公司Infoblox研究发现，多家表面独立的广告技术公司实际与该犯罪网络紧密交织。整个体系犹如多头蛇怪：一个广告技术节点被斩断，立即会有新节点补位。11月13日曝光的瑞士-捷克广告公司Los Pollos便是典型代表——该企业不仅参与犯罪活动，更被俄罗斯虚假信息组织Doppelganger用于宣传操作。 Los Pollos的推送链接变现服务关停后，被劫持的WordPress网站立即更新重定向机制，以完全相同的方式将用户导向新广告技术平台Help TDS。调查显示，Help TDS并非新生系统，而是与VexTrio勾结多年的老牌犯罪渠道。GoDaddy研究团队曾指出，Help与此前发现的“一次性TDS”高度相似，两者均长期为VexTrio输送犯罪流量。 深层溯源揭露更多广告技术公司与VexTrio存在惊人共性：共享代码架构的Partners House、BroPush、RichAds等平台，其URL结构、核心文件均指向同一技术源头。尽管这些企业均存在俄罗斯关联且长期互相引流，但至今未发现明确的共同股权关系。 犯罪链条的商业模式 为何黑客不自建网络而依赖广告平台？关键在于精细化欺诈：恶意流量分发系统按“用户行为”向被劫持网站支付佣金——当受害者提交邮箱、信用卡等敏感信息时，犯罪收益便自动生成。 这些所谓“广告内容”实为诈骗陷阱： 冠以“主流交友”、“抽奖活动”之名的加密货币骗局 成人内容与恶意软件下载站 通过欺诈性订阅推送通知实施持续诈骗 犯罪广告平台通常运营封闭的广告池，仅对特定恶意合作伙伴开放。 犯罪基础设施的双重布局 Infoblox通过分析450万次DNS查询，发现两套位于俄罗斯的独立控制服务器集群： 使用差异化主机服务 配置不同的重定向域名 采用分离的URL结构 共同点为最终均指向VexTrio犯罪网络。 追责困境与突破口 犯罪者身份仍隐匿于： 通过Cloudflare等代理服务隐藏行踪 利用防弹主机掩盖服务器位置 刻意分割技术特征规避溯源 广告平台常以“无法管控恶意合作方”推诿责任，强调其仅充当发布商与广告主的中介。但安全团队指出：这些平台掌握着犯罪联盟的会员信息与交易数据，实为追踪犯罪者的关键突破口。能否配合执法提交证据，将成为检验其是否“被动涉罪”的试金石——毕竟它们清楚知晓，每天将多少无辜访客引向了全球诈骗犯的陷阱。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙早已恶名昭著，但近日其行径再度突破底线——竟将魔爪伸向墓地。活跃度极高的勒索组织INC Ransom宣称成功入侵加拿大汉密尔顿教区天主教墓园，并将该机构列入其暗网受害者名单。 与常规勒索攻击手法一致，黑客公开了据称窃取的数据样本。网络安全研究团队谨慎核查后发现，泄露信息涵盖： 财务文件 墓地规划图 合同文书 客户及员工姓名 出生日期 员工薪资单 理论上，攻击者可利用这些敏感信息针对丧亲家属实施金融诈骗：冒充殡葬服务机构骗取个人敏感数据，或定向推送欺诈信息。当前INC Ransom已成为最猖獗的勒索组织之一。该团伙自2023年7月活跃至今，攻击版图持续扩张，受害者包括： 美国国防承包商Stark AeroSpace 旧金山芭蕾舞团 英国莱斯特市政府 苏格兰NHS邓弗里斯-加洛韦卫生委员会 施乐公司（曾遭数据窃取） 据监测工具显示，过去12个月该组织累计侵害至少163家机构。该团伙采用”加密+窃密”的双重勒索模式，随机攻击医疗、教育、政府等多领域目标。虽其成员背景不明，但多数受害者集中于西方国家，且遵循“不攻击独联体国家”的潜规则——这与俄罗斯黑客组织的行为特征高度吻合。 有研究指出，新兴勒索组织Lynx可能是INC Ransom的分支或重组产物。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 邮轮旺季正式到来，不法分子正虎视眈眈地瞄准粗心游客展开诈骗。如果您计划今年或明年夏季乘坐邮轮，务必警惕诈骗者的新伎俩，避免假期被毁。 诈骗者近期频繁针对预订热门目的地（如美国、英国、巴哈马群岛）邮轮行程的游客。为此，三大邮轮巨头——嘉年华邮轮、皇家加勒比邮轮和挪威邮轮——联合发布旅行警报，提醒乘客防范欺诈陷阱。 骗子手段多样。例如，他们伪造看似正规的预订网站，以“难以置信的优惠”为饵，诱骗计划预订酒店、机票或邮轮的网民。此外，当旅客尝试联系邮轮公司、酒店或航司咨询已有预订时，诈骗者会通过谷歌搜索结果中的恶意广告（Malvertising）劫持通话。一旦受害者使用该渠道联系，电话将被转接至冒充邮轮公司客服的骗子，进而兜售听似诱人实则欺诈的“优惠方案”。 一位嘉年华邮轮乘客在Reddit分享亲身经历：她在处理常规登船问题时，通过谷歌搜索拨打了虚假客服电话。对方声称提供“限时促销”，要求她立即重新预订即可享受1000美元折扣。心生疑虑的她挂断电话后直接联系嘉年华官方，证实遭遇诈骗，邮轮公司随即冻结其账户防止资金损失。 皇家加勒比和挪威邮轮乘客也报告类似事件。诈骗者常伪装成邮轮公司代理，以“限时优惠”为由催促交易，或要求重新确认个人信息及支付凭证。 邮轮公司敦促旅客：通过官网核实联系方式，避免使用第三方渠道，全程保持警惕。谷歌信任与安全团队在夏季旅行预警中指出：“虚假旅游网站常以‘过于优惠’的价格、体验或折扣诱骗用户。这些欺诈网站通常模仿知名酒店或伪装成正规旅行社，在节假日等预订高峰期尤其活跃，并通过即时通讯软件或电话实施诈骗。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者通过利用SimpleHelp远程监控与管理（RMM）工具中的漏洞，成功入侵了一家公用事业软件计费服务提供商的客户系统。网络安全和基础设施安全局（CISA）发布的新公告警告称，此事件反映出勒索组织自2025年1月以来针对未修复版本SimpleHelp RMM的广泛攻击模式。 SimpleHelp 5.5.7及更早版本存在多个漏洞，其中包括路径遍历漏洞CVE-2024-57727。CISA指出：“勒索组织很可能利用CVE-2024-57727漏洞访问下游客户未修复的SimpleHelp RMM工具，通过双重勒索手段破坏服务。” 所有软件供应商、下游客户及终端用户均被敦促立即核查是否因该漏洞遭受入侵，并采取缓解措施。 漏洞利用详情 路径遍历漏洞CVE-2024-57727于2025年1月公开，并于同年2月13日被列入CISA已知可利用漏洞（KEV）目录。该漏洞可使未经认证的远程攻击者通过构造特殊HTTP请求，从SimpleHelp主机下载任意文件（包括含有机密信息和哈希用户密码的服务器配置文件）。 2025年5月，Sophos研究人员观察到DragonForce勒索软件通过组合利用CVE-2024-57727及同期披露的另外两个漏洞（CVE-2024-57728：允许管理员用户通过上传特制压缩包在文件系统任意位置写入文件的高危漏洞；CVE-2024-57726：允许低权限技术人员创建越权API密钥的严重漏洞）入侵多个客户网络。加密数据后，攻击者采用双重勒索策略，在索要赎金的同时威胁泄露窃取数据。CISA未透露攻击公用事业软件提供商的勒索组织名称。 防护措施 CISA针对不同主体提出建议： 1.软件供应商 若供应商自有软件中嵌入了SimpleHelp，或第三方服务提供商在下游客户网络中部署了SimpleHelp，应核查服务器版本（位于配置文件顶部）。若发现自2025年1月以来使用过5.5.7或更早版本，需立即执行： 隔离SimpleHelp服务器实例与互联网连接或停止服务器进程 升级至最新版本修复漏洞 通知所有下游客户并指导其加固终端设备，同时在网络中开展威胁狩猎 2.下游客户与终端用户 下游客户需立即核查系统是否直接或通过第三方软件间接运行未修复的SimpleHelp RMM。 若发现存在SimpleHelp，可通过向服务器发起HTTP查询确认版本。若确认系统存在5.5.7或更早版本，组织应： 开展威胁狩猎行动寻找入侵证据 持续监控SimpleHelp服务器的异常进出流量 若未发现入侵痕迹，立即升级至最新版本；若无法立即修复则应用临时解决方案 补充说明 SimpleHelp Ltd公司已发布移动端远程支持工具，但该应用与此次漏洞无关。CISA强调，及时升级和主动监控是应对此类供应链攻击的关键防线。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个在合法网站上注入恶意 JavaScript 的大规模攻击活动。 据 Palo Alto Networks Unit 42 报告，这些恶意注入代码使用 JSFuck 进行混淆。JSFuck 指的是一种“深奥且具有教育意义的编程风格”，它仅使用有限的字符集来编写和执行代码。 由于涉及不雅用语，这家网络安全公司将该技术赋予了另一个名称“JSFireTruck”。 “已识别出多个网站被注入了使用 JSFireTruck混淆的恶意 JavaScript，该混淆主要由符号 [, ], +, $, {, } 构成，”安全研究员哈迪克·沙赫（Hardik Shah）、布拉德·邓肯（Brad Duncan）和普拉奈·查帕瓦尔（Pranay Kumar Chhaparwal）表示。“代码的混淆隐藏了其真实目的，阻碍了分析。” 进一步的分析确定，注入的代码旨在检查网站的引荐来源（“document.referrer”），该信息标识了发出请求的网页地址。 如果引荐来源是诸如 Google、Bing、DuckDuckGo、Yahoo! 或 AOL 这样的搜索引擎，JavaScript 代码就会将受害者重定向到可以传播恶意软件、漏洞利用程序、进行流量变现和传播恶意广告（malvertising）的恶意网址。 Unit 42 表示，其遥测数据显示，在 2025 年 3 月 26 日至 4 月 25 日期间，有 269,552 个网页被发现感染了使用 JS消防车技术的 JavaScript 代码。该活动在 4 月 12 日首次出现峰值，当天单日就发现了超过 5 万个受感染的网页。 “该活动的规模和隐蔽性构成了重大威胁，”研究人员说。“这些感染的普遍性表明存在一项协同努力，旨在通过攻陷合法网站作为攻击载体，以实施进一步的恶意活动。” 这一消息发布的背景是：Gen Digital 揭开了一种名为 HelloTDS 的复杂流量分发服务（Traffic Distribution Service, TDS）的面纱。该服务旨在通过注入网站的远程托管 JavaScript 代码，有条件地将网站访问者重定向到虚假验证码（CAPTCHA）页面、技术支持诈骗页面、虚假浏览器更新提示、不需要的浏览器扩展以及加密货币骗局。 该 TDS 的主要目标是将受害者设备采集指纹特征后，作为一个网关来确定要向他们投放的具体内容性质。如果用户未被认定为合适的目标，受害者会被重定向到一个良性网页。 “攻击活动的入口点是受感染或被攻击者控制的其他流媒体网站、文件共享服务，以及恶意广告（malvertising）活动。”研究员沃伊捷赫·克莱萨（Vojtěch Krejsa）和米兰·斯平卡（Milan Špinka）在本月发布的一份报告中表示。 “受害者的筛选会基于地理位置、IP地址和浏览器指纹特征；例如，通过VPN或无头浏览器的连接会被检测并拒绝。” 其中一些攻击链已被发现会提供虚假验证码页面，这些页面利用 ClickFix 策略欺骗用户运行恶意代码，从而使他们的机器感染一种名为“峰值之光”（PEAKLIGHT，也称为 Emmenhtal Loader）的恶意软件。已知该恶意软件会加载信息窃取程序，如 Lumma。 HelloTDS 基础设施的核心是使用 .top、.shop 和 .com 顶级域名来托管 JavaScript 代码，并在经过多阶段（旨在收集网络和浏览器信息）的指纹采集过程后触发重定向。 “这些虚假验证码活动背后的 HelloTDS 基础设施，展示了攻击者如何不断完善其方法，以绕过传统防护措施、逃避检测并有选择性地锁定受害者。”研究人员表示。 “通过利用复杂的指纹识别、动态域名基础设施和欺骗手段（例如模仿合法网站或向研究人员提供良性内容），这些活动既能保持隐蔽性，又能达到大规模。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布其企业环境专用密码共享功能安全密码部署(Secure Password Deployment)全面上市。该功能本周起向Microsoft Edge企业版用户开放，通过加密凭证分发机制降低非授权访问风险，确保员工不会意外泄露密码至非目标接收方。 该功能适用于Microsoft 365商业高级版、E3及E5订阅版本，且需具备Edge管理员或全局管理员角色权限。 微软表示：“当今许多企业中，员工常通过便签或电子邮件共享密码。这不仅会向非目标接收方暴露敏感凭证，还增加密码被转发或滥用的风险。安全密码部署允许管理员向组织内特定用户组分发加密共享密码。用户将在设备上接收密码，并实现无缝网站登录。” 该功能集成于Microsoft 365管理中心内的Edge管理服务，管理员可通过策略配置浏览器设置，向特定用户组分发加密密码。此功能扩展了内置自动填充体验，通过直观界面支持管理员添加、更新及撤销凭证。 管理员部署密码后，密码将自动出现在受管Windows设备的Edge工作配置文件中，在对应网站实现自动填充，提供安全登录体验。尽管密码可在Edge中访问，但用户无法查看、编辑、删除（网站特殊权限除外）或从密码管理器导出密码。 虽然通过浏览器开发者工具仍可能获取密码，但管理员可通过开发者工具可用性策略(DeveloperToolsAvailability policy)限制访问。密码经Microsoft信息保护SDK加密，并与Entra身份绑定，确保基于组织策略自动执行访问控制，无需手动密钥管理。 微软补充说明：“此集成将微软数据保护平台能力直接融入Edge管理体验，为管理员提供符合零信任原则与合规要求的凭证安全分发方案。通过将保护SDK直接嵌入Edge企业版，我们将数据保护能力延伸至终端——确保敏感信息从配置到使用的全流程安全。” 启用安全密码部署需首先访问Microsoft 365管理中心的Edge管理服务，选择现有配置策略或创建新策略。选定策略后，点击“自定义设置”标签页，进入安全密码部署页面。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国主要票务平台及在线图书零售商Yes24遭遇勒索软件攻击，导致该国娱乐产业陷入混乱——根据当地媒体报道，此次攻击迫使大量活动取消或延期，主办方正紧急应对持续的服务中断。本次攻击发生于周一（6月9日）凌晨，致使Yes24网站及服务连续四天瘫痪，在线演唱会预订、电子书访问和社区论坛功能均告中断。公司声明目标在6月15日前全面恢复运营。 韩国隐私监管机构“个人信息保护委员会”已启动调查，本次事件可能导致客户数据泄露。当局表示将审查Yes24是否履行了韩国数据隐私法规定的法律义务。 当地媒体报道称，Yes24服务中断引发连锁反应。包括朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I在内的多位韩流明星预售及粉丝活动已被推迟或取消。《廊桥遗梦》《阿拉丁》等音乐剧制作方要求观众出示纸质门票或邮件确认函入场。据报道，本周初因无法提供可验证票务信息，部分观众遭拒入场。 Yes24周三声明称已重新掌控管理员账户，正努力恢复其他服务。攻击者身份目前尚未明确。该公司表示尚未确认个人信息外泄，但已向韩国数据隐私机构报告涉及客户数据未授权访问的可疑活动。 “若后续调查证实个人信息泄露，我们将立即通知用户。”Yes24在官网公告中声明。票务平台因存储海量个人数据、处理高额支付流水，且面临避免活动中断与声誉受损的赎金支付压力，成为网络犯罪分子的高价值目标。在美国，黑客曾针对StubHub和Ticketmaster等平台发动攻击，尤其意图干扰泰勒·斯威夫特“时代巡回演唱会”门票销售。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织宣称窃取6400万条T-Mobile用户数据，包含税务ID、设备识别码等新型敏感字段，数据时效截至2025年6月1日。若属实，这将成为T-Mobile近五年内第9次重大数据泄露。 T-Mobile在美国拥有约1.31亿客户，2024年营收超810亿美元。其多数股权由欧洲最大、全球第五大电信运营商德国电信持有。 与此同时，Cybernews研究团队分析了帖子附件中的数据样本。研究人员称，该样本于东部时间凌晨2点左右上传，包含大量敏感细节： 全名 出生日期 税务ID 完整地址 电话号码 电子邮箱地址 设备唯一识别码 网站行为追踪码 IP地址 威胁行为者可利用这些被盗信息实施身份盗窃、金融诈骗和钓鱼攻击。例如，恶意行为者可能使用个人详细信息开设欺诈账户、提交虚假纳税申报或申请贷款。同时，设备识别码、网站行为追踪码与IP地址的组合，可被用于收集用户数据、分析其在线习惯。攻击者利用此类情报对高价值目标实施鱼叉式钓鱼攻击。 研究团队无法准确判定黑客宣称窃取的6400万条记录是否对应同等数量的独立个体。Cybernews个人数据泄露检查工具显示，样本中至少部分邮箱地址曾出现在T-Mobile历史泄露事件中。团队还指出，本次泄露似乎包含此前未出现的数据类型（如电话号码），但目前无法100%验证数据真实性。 “若数据属实，暴露6400万条高度敏感信息将引发严重的身份盗窃/欺诈、监控及更精准的客户定向攻击风险，”研究团队表示。若泄露数据确属新增，受影响个人将面临严峻隐私威胁。“T-Mobile屡次发生数据泄露事件，这令人质疑其持续性安全漏洞及防护措施的有效性。” 德国电信旗下的T-Mobile在2020年代屡遭黑客攻击。去年10月，该公司因系列数据泄露事件同意支付超1575万美元罚款。和解协议覆盖四起独立事件，其中两起导致数千万客户数据暴露： 2021年8月事件影响7660万客户 2023年1月事件泄露3700万用户详细信息 和解还涉及2022年攻击者访问T-Mobile管理平台的事件，以及2023年攻击者窃取账户凭证查看特定客户数据的事件。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文