HackerNews

HackerNews 编译，转载请注明出处： 黑客试图从Evertec的巴西子公司Sinqia S.A.窃取1.3亿美元，此前他们未经授权访问了该公司在央行实时支付系统（Pix）的环境。 Evertec是一家上市的金融科技巨头，是拉丁美洲、波多黎各和加勒比海地区主要的全方位服务交易处理商。Sinqia于2023年被Evertec收购，是一家总部位于圣保罗的上市公司，从事银行和金融行业的金融软件和IT服务业务。 Evertec在美国证券交易委员会（SEC）的一份文件中披露，黑客于8月29日入侵了Sinqia的系统，并试图进行未经授权的交易。 SEC文件中写道：“2025年8月29日，Evertec Inc.的巴西子公司Sinqia S.A.发现其巴西央行实时支付系统（Pix）环境中存在未经授权的活动。” “发现该事件后，Sinqia依据其事件响应协议，停止了其Pix环境中的交易处理，并开始与外部网络安全取证专家合作。” Pix是巴西的即时支付系统，由巴西中央银行于2020年11月推出，支持全天候即时资金转账。它已成为巴西最广泛使用的支付方式，并经常成为Android银行恶意软件的攻击目标。 黑客试图利用Sinqia的两家金融机构客户进行未经授权的企业间交易。当地媒体报道提及了汇丰银行（HSBC），而该行发言人强调，此事件未影响客户资金或数据。Evertec指出，这1.3亿美元中的部分资金已被追回，但未提及具体金额，追回工作仍在进行。 事件调查显示，黑客通过使用窃取的IT供应商账户凭证，获得了对Sinqia的Pix环境的访问权限。Evertec没有迹象表明影响范围超出了Sinqia的Pix环境，也没有证据表明个人数据遭到泄露。 目前，巴西中央银行已撤销Sinqia对Pix的访问权限，但该公司正通过向当局提供所有要求的细节和保证，努力争取尽快恢复访问。关于财务影响，Evertec指出Sinqia的Pix环境为巴西24家金融机构的运营提供支持。公司表示：“该事件对财务和声誉的影响，包括对公司内部控制的影响，目前尚不清楚，但可能是重大的。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）于周二宣布，迪士尼公司已同意支付1000万美元，以和解有关其在未通知父母或获得同意的情况下，从观看YouTube视频的儿童那里收集个人数据的指控。 根据FTC的移交，美国司法部提起了诉讼，指控迪士尼违反了《儿童在线隐私保护规则》（COPPA），因其未将“大量”上传至YouTube的视频标注为“面向儿童”。 被指定为面向儿童的视频会禁用定向广告。诉状称，迪士尼的行为使得儿童在未经父母通知或同意的情况下被收集个人数据，并据此成为定向广告的目标。 FTC在一份新闻稿中表示，其拟议的命令将要求迪士尼改变在流媒体服务上指定面向儿童视频的方式，并将推动YouTube开始使用年龄验证技术。 COPPA规则于今年1月更新，要求父母选择同意第三方向儿童投放广告。该规则强制要求网站和在线服务在收集、使用或分享13岁以下儿童的个人信息之前，必须获得可验证的父母同意。 诉状称，自2020年以来，迪士尼已向超过1250个YouTube频道上传了数万个视频。仅2020年三个月内，上传到三十多个迪士尼频道的视频就在美国获得了12亿次观看。 其中许多视频未被正确标注为面向儿童。诉状称，这家娱乐巨头从此做法中获利颇丰。 迪士尼从YouTube在这些视频上投放的广告中获得部分广告收入。它也会在一部分视频上投放自己的广告。 2019年11月，YouTube告知迪士尼，必须上报其上传的内容是否面向儿童，以确保符合COPPA。YouTube根据迪士尼是否将内容标注为“面向儿童”来决定允许哪些广告行为。 诉状称，迪士尼以“非面向儿童”标签发布的视频包括米老鼠卡通片段以及《冰雪奇缘》、《魔法满屋》、《海洋奇缘》、《赛车总动员》、《魔发奇缘》、《美食总动员》和《玩具总动员》等面向儿童电影的片段。 诉状称，YouTube早在2020年6月就告知迪士尼其未能正确标注视频，但迪士尼未能解决此问题。 迪士尼的一位发言人没有回复置评请求。 FTC主席安德鲁·弗格森在一份预备声明中表示：“此案强调了FTC执行COPPA的决心，该法案由国会颁布，旨在确保由父母而非迪士尼等公司来决定其孩子个人信息在网上的收集和使用。” 除了1000万美元的罚款外，拟议的和解方案还要求迪士尼在收集13岁以下儿童的个人数据前开始通知父母，并根据COPPA获得他们的同意。 迪士尼还被要求启动一个项目，以确保其上传到YouTube的视频被正确指定为面向儿童。然而，如果YouTube部署了自己的年龄验证技术，该命令的此条款将被取消。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare成功拦截了峰值达11.5 Tbps的创纪录DDoS攻击，这是一场主要源自谷歌云的UDP洪水攻击，也是持续数周的攻击浪潮的一部分。 Cloudflare在X平台上宣布，其已拦截了有史以来最大规模的DDoS攻击，峰值达到11.5 Tbps。这场主要来自谷歌云的UDP洪水攻击，是持续数周攻击浪潮的一部分。 Cloudflare表示，其在数周内已拦截了数百次大规模DDoS攻击，此次破纪录的UDP洪水攻击持续了约35秒。 “Cloudflare的防御系统一直超负荷运转。过去几周，我们的系统自动拦截了数百起超大规模DDoS攻击，其中最大攻击的峰值达到每秒51亿个数据包（5.1 Bpps）和11.5 Tbps。这场11.5 Tbps的攻击是一场主要源自谷歌云的UDP洪水攻击。” 今年6月，Cloudflare曾宣布在2025年第二季度自动拦截了已报告的最大规模DDoS攻击，峰值达到7.3 Tbps和每秒48亿个数据包（4.8 Bpps）。 该攻击规模比其之前的峰值高出12%，比知名网络安全记者布莱恩·克雷布斯（Brian Krebs）所报告的攻击峰值高出1 Tbps。 这场7.3 Tbps的DDoS攻击在短短45秒内喷射了37.4 TB的数据流量，相当于在一分钟内流畅播放9350部高清电影或下载935万首歌曲。其数据量相当于连续播放近一年的高清视频，或者压缩了4000年每日高清照片的数据总量，所有这些都塞进了不到一分钟的时间里。 Cloudflare发布的报告中写道：“37.4TB在当今的数据规模中并不惊人，但在45秒内喷射如此巨量数据堪称恐怖。” “这相当于在45秒内，向你的网络倾泻超过9350部全长高清电影的数据量，或者连续播放7480小时的高清视频（这几乎是接连不停 binge-watch 近一年的量）。” 此次攻击针对单个IP地址，平均每秒冲击21,925个端口，峰值时达到34,517个端口，源端口分布同样广泛。 这场7.3 Tbps的DDoS攻击采用多向量组合模式，其中99.996%为UDP洪水攻击，其余包括QOTD、Echo、NTP、Mirai、Portmap以及RIPv1攻击。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会方面表示：欧盟委员会主席乌尔苏拉·冯德莱恩的飞机在保加利亚上空遭遇疑似俄罗斯的GPS干扰，但已安全降落。 欧盟确认乌尔苏拉·冯德莱恩的飞机在飞往保加利亚途中经历了GPS干扰。欧洲当局怀疑是俄罗斯进行了干扰，不过飞机最终安全降落。保加利亚官员提供了这一信息，欧盟发言人则称其为“公然的干扰行为”。 欧盟发言人表示：“我们确实可以确认发生了GPS干扰，但飞机已在保加利亚安全降落。我们从保加利亚当局获得的信息显示，他们怀疑这是俄罗斯的公然干扰所致。” 冯德莱恩的专机在普罗夫迪夫附近失去GPS信号，被迫盘旋一小时后使用模拟地图进行手动降落。官员将此事归咎于俄罗斯的干扰。保加利亚当局报告称，自2022年以来，GPS干扰和欺骗事件激增，这对飞机和地面系统的运行造成了干扰。 英国《金融时报》报道称：“周日下午，一架载有冯德莱恩前往普罗夫迪夫的飞机在接近该市机场时失去了电子导航辅助设备，三名了解事件的官员表示，这被视为俄罗斯的干扰行动。”其中一名官员称：“整个机场区域的GPS都失灵了。” 克里姆林宫发言人德米特里·佩斯科夫告诉《金融时报》：“你们的信息不正确”。 保加利亚当局确认该飞机的GPS信号被中和，空中交通管制随后使用地面导航工具提供了替代的降落指导以确保安全。 欧盟委员会称“威胁和恐吓是俄罗斯敌对行为的常规组成部分”，并表示此次事件将强化其“提升防御能力并支持乌克兰”的承诺。 在冯德莱恩前往保加利亚的航班受到GPS干扰后，欧盟计划发射更多近地轨道卫星以探测此类干扰。 在波罗的海附近飞行的航空公司报告了数万起GPS干扰事件。2024年3月，俄罗斯黑客通过电子战攻击击落了英国国防大臣格兰特·沙普斯所乘的皇家空军达索猎鹰900喷气式飞机的GPS和通信系统。当时，英国国防大臣格兰特·沙普斯的皇家空军达索猎鹰900喷气式飞机从波兰（他在那里访问了参加“坚定卫士”演习的英国部队）飞回英国。 《太阳报》的防务编辑当时就在这架皇家空军达索猎鹰900喷气式飞机上，他报道称GPS和通信系统被疑似俄罗斯发起的干扰攻击禁用。 皇家空军飞行员确认，在格兰特·沙普斯的飞机飞近俄罗斯飞地加里宁格勒（与波兰接壤）期间，GPS和其他信号被阻塞了将近30分钟。 没有GPS也可以飞行，但这会增加工作负荷、降低效率，并在能见度差的情况下限制进近的精度。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起网络事件已对捷豹路虎（JLR）的销售和生产运营造成“严重干扰”。 该公司在9月2日于其网站发布的一份简短声明中披露了此事。声明写道：“捷豹路虎受到一起网络事件的影响。我们已采取积极措施关闭系统，以立即减轻其影响。” 该公司表示，目前正努力以可控方式重启其全球应用程序。捷豹路虎补充说：“现阶段没有证据表明任何客户数据被窃，但我们的零售和生产活动已受到严重干扰。” 据报道，捷豹路虎的母公司塔塔汽车在9月1日向印度证券交易所披露，捷豹路虎正遭遇“全球性IT问题”。塔塔汽车援引了捷豹路虎的一份声明，声明写道：“我们正在加紧解决影响我们业务的全球IT问题。我们将在适当时候及时提供最新情况。” 捷豹路虎（JLR）面临全球IT问题；塔塔汽车正密切关注局势 捷豹路虎（塔塔汽车英国子公司）正迅速行动以#解决IT安全事件 公司承诺随着事态发展及时更新 目前尚未披露更多运营细节… pic.twitter.com/AtRoooBMHH — AoI Ventures (@aoiventures) 2025年9月1日 英国捷豹路虎员工被告知不要上班 据英国《利物浦回声报》报道，在捷豹路虎继续处理该事件期间，其位于默西塞德郡海尔伍德工厂的员工已被告知留在家中，不要来上班。 该报看到的一封在9月2日发送给员工的邮件写道：“领导团队已同意，生产人员将暂时停工，并根据相关协议记录工时。” 消息还补充说，除非另有通知，否则所有员工需在9月月3日（星期三）上班。据《Autocar》报道，由于此次事件，汽车经销商在9月1日无法注册新的捷豹路虎汽车。9月1日通常是英国新车注册最繁忙的日子之一。 攻击时机与行业背景 针对此次事件，ESET的全球网络安全顾问杰克·摩尔评论说，攻击者很可能是故意在制造商的重要时期针对捷豹路虎。 他解释说：“网络犯罪分子通常旨在对受害者造成尽可能大的破坏性影响。选择在比平常更多客户可能遇到新车注册和/或交付延迟的时期发动攻击，将是攻击者经过深思熟虑的决定，以期最响亮地传递他们的信息。” 制造业是网络犯罪分子的首要目标之一，其对传统OT系统（通常与IT应用程序和设备融合）的依赖，造成了显著的安全漏洞。 此外，攻击者通常能够对生产线造成重大的运营中断，从而给受害者带来财务和声誉损失。这使得制造业成为勒索软件和勒索攻击的有利可图的目标。Comparitech的一份新报告发现，从2025年7月到8月，制造业的勒索软件攻击增加了57%，从72起增加到113起。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一个乌克兰IP网络在2025年6月至7月期间针对SSL VPN和RDP设备发起大规模暴力破解和密码喷洒攻击活动。 根据法国网络安全公司Intrinsec的说法，该活动源自位于乌克兰的自治系统FDN3（AS211736）。 “我们高度确信FDN3是一个更广泛的滥用基础设施的一部分，该基础设施还包括另外两个乌克兰网络VAIZ-AS（AS61432）和ERISHENNYA-ASN（AS210950），以及一个位于塞舌尔的名为TK-NET（AS210848）的自治系统。”上周发布的一份报告称。 “这些系统均于2021年8月分配，并且经常相互交换IPv4前缀以规避封锁名单，持续托管恶意活动。” AS61432当前宣告一个单一前缀185.156.72[.]0/24，而AS210950宣告了两个前缀45.143.201[.]0/24和185.193.89[.]0/24。这两个自治系统分别于2021年5月和8月分配。它们的大部分前缀已在AS210848上宣告，这是另一个同样于2021年8月分配的自治系统。 “该网络将其所有的对等协议与IP Volume Inc. – AS202425共享，这是一家位于塞舌尔、由Ecatel所有者创建的公司，Ecatel因自2005年以来在荷兰运营广泛滥用的防弹主机服务而臭名昭著。”Intrinsec指出。 从AS61432和AS210950转移出来的全部前缀，现在由那些由空壳公司（如Global Internet Solutions LLC (gir.network)、Global Connectivity Solutions LLP、Verasel、IP Volume Inc.和Telkom Internet LTD）前台运营的防弹和滥用网络进行宣告。 这些发现基于先前的披露，即多个于2021年8月分配、位于乌克兰和塞舌尔的网络——AS61432、AS210848和AS210950——被用于垃圾邮件分发、网络攻击和恶意软件命令与控制托管。2025年6月，这些网络所宣告的部分IPv4前缀被转移到了FDN3，而FDN3本身创建于2021年8月。 不仅如此。AS210848所宣告的三个前缀以及AS61432所宣告的一个前缀，先前曾由另一个俄罗斯网络SibirInvest OOO (AS44446)宣告。在FDN3宣告的四个IPv4前缀中，其中一个（88.210.63[.]0/24）被评估为先前由一家名为Virtualine（AS214940和AS214943）的基于美国的防弹主机解决方案宣告。 正是这个IPv4前缀范围被归因于大规模的暴力破解和密码喷洒尝试，该活动在2025年7月6日至8日期间达到创纪录的高峰。 据Intrinsec称，针对SSL VPN和RDP资产的暴力破解和密码喷洒努力可能持续长达三天。值得注意的是，这些技术已被Black Basta、GLOBAL GROUP和RansomHub等各种勒索软件即服务（RaaS）组织采用，作为入侵企业网络的初始访问向量。 FDN3在6月宣告的另外两个前缀92.63.197[.]0/24和185.156.73[.]0/24，先前曾由AS210848宣告，这表明存在高度的操作重叠。就92.63.197[.]0/24而言，它与保加利亚的垃圾邮件网络（如ROZA-AS (AS212283)）存在关联。 “所有这些强烈的相似性，包括它们的配置、托管的内容以及创建日期，使我们能够高度确信地评估，上述自治系统由同一个防弹主机管理员运营，”Intrinsec解释道。 对FDN3的进一步分析发现了与一家名为Alex Host LLC的俄罗斯公司的联系，该公司过去曾与TNSECURITY等防弹主机提供商有关联，而这些提供商被用于托管Doppelganger基础设施。 “这项调查再次凸显了一种常见现象，即离岸ISP（如IP Volume Inc.）通过对等协议和前缀托管整体上为较小的防弹网络提供支持，”该公司表示。“得益于其离岸位置（如塞舌尔），这些公司的所有者得以匿名，通过这些网络实施的恶意活动无法直接归咎于他们。” 与此同时，Censys发现了一个与PolarEdge僵尸网络相关的回连代理管理系统，目前运行在2400多台主机上。该系统是一个RPX服务器，充当反向连接代理网关，能够管理代理节点并暴露代理服务。 “这个系统似乎是一个设计良好的服务器，可能是用于管理PolarEdge僵尸网络的众多工具之一，”高级安全研究员Mark Ellzey说。“也有可能这项特定服务与PolarEdge完全无关，而是僵尸网络用于在不同中继之间跳转的服务。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，Android恶意软件领域出现新趋势：传统上用于投放银行木马的“投放器应用”（dropper apps），如今也开始传播短信窃取器和基础间谍软件等更简单的恶意软件。 荷兰移动安全公司ThreatFabric在上周的报告中表示，这些攻击活动通过伪装成印度等亚洲地区政府或银行应用的投放器应用进行传播。 该公司认为，这一转变源于谷歌最近在新加坡、泰国、巴西和印度等特定市场试行的安全保护措施。这些措施会阻止用户侧载（sideloading）那些请求敏感权限（如短信和无障碍服务）的可疑应用，而无障碍服务是Android设备上常被滥用以执行恶意操作的设置。 ThreatFabric解释道：“Google Play Protect的防御机制，尤其是定向试点计划，能越来越有效地在风险应用运行前将其拦截。其次，攻击者希望其操作能适应未来。” “即便将基础有效负载封装在投放器中，攻击者也能获得一个保护壳，既能规避当前的检查，又能保持足够灵活性，以便日后更换负载和调整攻击活动。” ThreatFabric称，尽管谷歌的策略通过甚至在用户与恶意应用交互前就阻止其安装，提高了门槛，但攻击者正在尝试新的方法来规避这些保护措施——这显示出安全领域永无休止的“打地鼠”游戏。 这包括在设计投放器时考虑谷歌的试点计划，使其不申请高风险权限，仅显示一个无害的“更新”屏幕，从而在这些地区绕过扫描。 然而，只有当用户点击“更新”按钮时，真正的有效负载才会从外部服务器获取或解包，随后便开始申请实现其目标所需的权限。 “作为另一项扫描的一部分，Play Protect可能会显示风险警报，但只要用户接受这些警报，应用就会被安装，有效负载也就成功投递。”ThreatFabric指出，“这揭示了一个关键漏洞：如果用户坚持点击安装，Play Protect仍会允许风险应用通过，恶意软件也就依然能绕过试点计划。” RewardDropMiner就是这样一个投放器，它曾被发现在传播间谍软件负载的同时，还会分发一个可远程激活的门罗币加密货币挖矿程序。不过，该工具的最新变种已不再包含挖矿功能。 通过RewardDropMiner投递的一些恶意应用（均针对印度用户）列举如下： PM YOJANA 2025 (com.fluvdp.hrzmkgi) °RTO Challan (com.epr.fnroyex) SBI Online (com.qmwownic.eqmff) Axis Card (com.tolqppj.yqmrlytfzrxa) 其他可避免触发Play Protect或试点计划的投放器变种包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper和TiramisuDropper。 谷歌在回应The Hacker News的置评请求时表示，尚未在Play商店中发现任何使用这些技术分发应用的情况，并称正在持续增加新的保护措施。 一位发言人表示：“无论应用来自何处——即使是由‘投放器’应用安装——Google Play Protect都会通过自动检查威胁来帮助保护用户安全。” “在本报告发布之前，Google Play Protect已针对这些已识别的恶意软件版本提供了保护。根据我们当前的检测，Google Play上未发现包含这些版本恶意软件的应用。我们正在不断强化保护措施，帮助用户免受恶意行为者的侵害。” CIS构建工具包 与此同时，Bitdefender实验室警告称，一场新的恶意广告活动正在利用Facebook广告，以提供免费的Android版TradingView应用高级版本为诱饵，最终部署改进版的Brokewell银行木马，用以监控、控制受害设备并窃取敏感信息。 自2025年7月22日起，已运行不少于75条恶意广告，仅在欧洲联盟就覆盖了数万名用户。这场针对Android的攻击浪潮只是一个更大规模恶意广告操作的一部分，该操作还滥用Facebook广告，伪装成各种金融和加密货币应用来针对Windows桌面用户。 这家罗马尼亚网络安全公司表示：“这次活动展示了网络犯罪分子如何精细调整策略以适应用户行为。通过针对移动用户并将恶意软件伪装成受信任的交易工具，攻击者希望从人们对加密应用和金融平台日益增长的依赖中获利。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sitecore体验平台中被披露存在三个新的安全漏洞，攻击者可能利用这些漏洞实现信息泄露和远程代码执行。 根据watchTowr Labs的报告，这些漏洞具体如下： CVE-2025-53693 – 通过不安全的反射实现HTML缓存投毒 CVE-2025-53691 – 通过不安全的反序列化实现远程代码执行（RCE） CVE-2025-53694 – ItemService API中存在信息泄露漏洞，受限匿名用户可通过暴力破解手段获取缓存密钥 Sitecore已于2025年6月针对前两个漏洞发布了补丁，并在7月修复了第三个漏洞。公司表示“成功利用相关漏洞可能导致远程代码执行以及对信息的非授权访问”。 这些发现是基于watchTowr在6月份详细报告的同一产品中的另外三个漏洞： CVE-2025-34509（CVSS评分：8.2） – 使用硬编码凭证 CVE-2025-34510（CVSS评分：8.8） – 通过路径遍历实现认证后远程代码执行 CVE-2025-34511（CVSS评分：8.8） – 通过Sitecore PowerShell扩展实现认证后远程代码执行 watchTowr Labs的研究员Piotr Bazydlo表示，新发现的漏洞可以组合成一个完整的攻击链，通过将认证前的HTML缓存投毒漏洞与一个认证后的远程代码执行问题相结合，从而入侵完全打好补丁的Sitecore体验平台实例。 导致代码执行的完整攻击链如下：威胁行为者可以利用（如果暴露的）ItemService API轻松枚举存储在Sitecore缓存中的HTML缓存密钥，并向这些密钥发送HTTP缓存投毒请求。 随后，此攻击可与CVE-2025-53691链接，提供恶意的HTML代码，最终通过无限制的BinaryFormatter调用实现代码执行。 “我们成功利用了一个受限严重的反射路径来调用一个方法，该方法允许我们污染任何HTML缓存密钥，”Bazydlo说。“这单一的原语操作打开了劫持Sitecore体验平台页面的大门——并从此处投放任意JavaScript以触发认证后远程代码执行（Post-Auth RCE）漏洞。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队成功挫败了一起试图利用微软认证流程发起的水坑攻击。该攻击活动被认定为与俄罗斯国家级黑客组织APT29有关。 在8月29日发布的帖子中，亚马逊首席信息安全官（CISO）CJ·摩西（CJ Moses）分享了该攻击活动的细节。其团队在发现由APT29控制的域名后，锁定了这起攻击。 水坑攻击是一种针对性网络攻击活动，黑客会入侵特定用户群体常访问的网站，并将用户重定向至恶意基础设施。其目的是投放恶意软件、窃取凭据或实施网络间谍活动。 在此次事件中，亚马逊发现多个合法网站被植入JavaScript代码，这些代码会将约10%的访客重定向至APT29控制的域名。攻击者的目标是诱骗用户通过微软的设备代码认证流程，授权由攻击者控制的设备。 这些域名（包括findcloudflare[.]com）模仿Cloudflare验证页面，以伪装成合法网站。 摩西写道：“亚马逊云服务（AWS）系统未受到入侵，也未观察到AWS服务或基础设施受到直接影响。” 代码分析显示，攻击者采用了多种规避检测的技术，包括随机重定向、Base64编码和持久化Cookie。此外，当防御系统拦截恶意基础设施时，威胁行为体会迅速转向新的域名和服务器，以维持攻击活动的持续性。 APT29攻击目标已超越政府人员 APT29是一个知名的网络威胁组织，拥有多个别名，包括“午夜暴风雪”（Midnight Blizzard）、“舒适熊”（Cozy Bear）、“诺贝尔奖”（Nobelium）和“公爵”（The Dukes）。该组织被美西方国家认为与俄罗斯对外情报局（SVR）有关联，至少自2013年以来一直活跃。 APT29以针对政府和关键行业实施间谍活动与情报收集著称，但近期观察显示其攻击目标范围正不断扩大。据报道，该组织参与了多起鱼叉式钓鱼活动，包括2025年4月针对欧洲外交官、以品酒会为主题的钓鱼攻击，以及2025年6月针对英国俄罗斯信息作战专家基尔·贾尔斯（Keir Giles）的攻击活动。 亚马逊威胁情报团队表示，此次新的水坑攻击“表明APT29在不断升级其攻击手段，扩大行动规模，以在情报收集工作中撒下更广泛的网”。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正滥用Meta的广告平台，通过虚假的“免费TradingView Premium应用”优惠来传播针对Android设备的Brokewell恶意软件。 该活动以加密货币资产为目标，自至少7月22日起通过大约75条本地化广告持续进行。 Brokewell恶意软件在2024年初就已出现，其功能广泛，包括窃取敏感数据、远程监控和控制受感染的设备。 接管设备 网络安全公司Bitdefender的研究人员调查了该活动中的广告，这些广告使用了TradingView的品牌标识和视觉元素，以“免费高级版应用”的承诺诱骗潜在受害者。 他们指出，该活动专门针对移动用户设计，如果从其他操作系统访问广告，只会看到无害内容。 然而，从Android设备点击广告，会被重定向到一个模仿原始TradingView网站的页面，该页面提供了一个托管在tradiwiw[.]online/的恶意tw-update.apk文件。 “被投放的应用会请求无障碍权限，一旦获得权限，屏幕就会被一个假的更新提示覆盖。在后台，该应用正在授予自身所有需要的权限。”研究人员在本周的一份报告中表示。 此外，该恶意应用还通过模拟需要锁屏密码的Android更新请求，试图获取设备的解锁PIN码。 据Bitdefender称，这个假的TradingView应用是“Brokewell恶意软件的一个高级版本”，拥有“庞大的工具库，旨在监控、控制和窃取敏感信息”： 扫描BTC、ETH、USDT、银行账号（IBANs） 窃取并导出Google Authenticator中的代码（绕过双因素认证） 通过覆盖虚假登录界面来窃取账户 录制屏幕和键盘输入、窃取Cookie、激活摄像头和麦克风并跟踪位置 劫持默认短信应用以拦截消息，包括银行和双因素认证代码 远程控制 – 可通过Tor或Websocket接收命令来发送短信、拨打电话、卸载应用甚至自毁。 研究人员提供了该恶意软件工作原理的技术概述，以及一份包含130多个命令的扩展列表。 Bitdefender表示，此活动是一个更大规模操作的一部分，该操作最初使用冒充“数十个知名品牌”的Facebook广告来针对Windows用户。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zscaler警告称，在威胁行为者获取其Salesforce实例访问权限并窃取客户信息（包括部分支持案例内容）后，公司遭遇了数据泄露。 此次事件源于Salesloft Drift（一款与Salesforce集成的人工智能聊天代理程序）遭入侵，攻击者窃取了OAuth和刷新令牌，从而能够访问客户的Salesforce环境并窃取敏感数据。 Zscaler在一份公告中表示，其Salesforce实例受到此次供应链攻击影响，导致客户信息暴露。 “在此次攻击活动中，未经授权的行为者获取了包括Zscaler在内的客户所有的Salesloft Drift凭证，”Zscaler的公告中写道。“经过我们持续调查中的详细审查，已确定这些凭证允许（攻击者）有限访问Zscaler的某些Salesforce信息。” 泄露信息包括： 姓名 商业电子邮件地址 职位 电话号码 区域/位置详情 Zscaler产品许可和商业信息 某些支持案例的内容 公司强调，此次数据泄露仅影响其Salesforce实例，未波及任何Zscaler产品、服务或基础设施。 尽管Zscaler表示尚未发现相关信息被滥用，但仍建议客户对可能利用这些信息实施的网络钓鱼和社会工程攻击保持高度警惕。 公司还称，已撤销所有Salesloft Drift与其Salesforce实例的集成，轮换了其他API令牌，并正在对此事件进行调查。 Zscaler还加强了响应客户支持电话时的身份验证协议，以防范社会工程攻击。 谷歌威胁情报小组（GTIG）上周警告，一个追踪为UNC6395的威胁行为者是此次攻击的幕后黑手，其窃取支持案例是为了获取客户在请求支持时分享的身份验证令牌、密码和机密信息。 “GT观察到UNC6395以敏感凭证为目标，例如亚马逊云服务（AWS）访问密钥（AKIA）、密码和与Snowflake相关的访问令牌，”谷歌报告称。“UNC6395通过删除查询作业展示了其操作安全意识，但日志未受影响，各组织仍应审查相关日志以寻找数据暴露的证据。” 之后有消息透露，Salesloft供应链攻击不仅影响了Drift与Salesforce的集成，还波及用于管理邮件回复和组织CRM及营销自动化数据库的Drift Email。 谷歌上周警告，攻击者在此次泄露中还使用窃取的OAuth令牌访问了Google Workspace电子邮件账户并读取邮件。 谷歌和Salesforce已暂时禁用其Drift集成，等待调查完成。 一些研究人员向BleepingComputer表示，他们认为Salesloft Drift入侵事件与勒索组织ShinyHunters近期的Salesforce数据窃取攻击存在重叠。 自今年年初以来，该威胁行为者一直通过进行社会工程攻击来入侵Salesforce实例并下载数据。 在这些攻击中，威胁行为者进行语音钓鱼（vishing），诱骗员工将恶意OAuth应用与其公司的Salesforce实例关联。 一旦关联，威胁行为者便利用该连接下载并窃取数据库，随后通过邮件对公司进行勒索。 自谷歌于6月首次报告这些攻击以来，多起数据泄露事件已被证实与这些社会工程攻击有关，涉及谷歌自身、思科、农夫保险、Workday、阿迪达斯、澳航、安联人寿以及LVMH子公司路易威登、迪奥和蒂芙尼等。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部及数百万用户使用的关键代码目前仅由一名俄罗斯开发者独立维护。有人对此不以为然，认为互联网的半壁江山本就依赖于某些人的个人项目。网络安全圈的这番骚动，凸显出人们对国家行为体可能对个体维护者施加影响的担忧。 Hunted Labs的安全研究人员近期重点关注了“fast-glob”，这是一个广泛应用于Node.js环境中进行快速文件和文件夹搜索的工具。报告指出：“由单人维护的状况给超过5000个软件包（包括Node.js中的容器镜像及美国国防部系统内的容器）带来了供应链风险。我们的调查发现，在经批准的国防部系统中，超过30个容器存在此组件。” GitHub上的依赖关系图显示，该代码被超过2700万个代码仓库使用，并在JavaScript包管理器NPM上每周获得7500万次下载。 Hunted Labs报告称，fast-glob的维护者mrmInc（本名Denis Malinochkin）一直居住在莫斯科，并曾为俄罗斯科技巨头Yandex工作。众所周知，Yandex在与俄罗斯政府合作进行公民跟踪、审查和压迫方面有所配合。报告认为这是一个风险点，“鉴于开源社区往往在几乎不了解贡献者背景的情况下就盲目采纳项目”。但目前并无迹象表明该开发者曾有任何不当行为。 该开发者强调，从未有人要求他操纵该工具、向项目引入隐藏更改或收集分享系统数据。Malinochkin甚至联系了The Register并解释，他从2016年起就开始独立开发fast-glob，这远早于他加入Yandex的时间。这个完全开源的项目完全在本地运行，任何人都可以查看代码。 播客主、博主兼Anchore公司安全副总裁Josh Bressers站出来为这位俄罗斯开发者辩护。他在一篇博文中论证：“让THE WHOLE F*CKING PLANET运转的软件是由一个人写的。在一个国家。但我们不知道是哪个国家。注意，不是同一个人，但就是一个人。几乎所有的开源软件 literally 都是由一个人完成的。”专家用数据支持了这一说法：在ecosyste.ms跟踪的1180万个开源项目中，约有700万个由单人维护。由于400万个项目的维护者人数未知，实际数字可能更大。“实际上比这还要多，”Bressers说，“其中一大批项目将会是一个人维护的。”由单名开发者维护的代码几乎占据了NPM上最受欢迎代码库的一半。“大约13000个下载量最大的NPM包中，有一半是仅由一个人维护的，”专家强调。许多独立开发者还拥有不止一个软件包，并且其中可能没多少人拥有他们可能需要的适当资源。 Bresser认为，真正的供应链风险在于维护者薪酬过低和工作过度，而不在于他们来自哪个国家。“让我们面对现实吧，俄罗斯人还没蠢到去给一个住在俄罗斯的人所拥有的软件包植入后门。他们会做一些事情，比如假装来自另一个国家，用像Jia Tan这样的名字，而不是Boris D. Badguy。这可不是《波波鹿与飞天鼠》的剧集。” 这场讨论在程序员和技术专业人士驱动的社区论坛Lobste.rs上热度渐起。计算机科学家Kornel Lesinski认为，维护者的数量并不是衡量协作的正确标准，因为一个普通的NPM依赖树涉及许多不同的人。发布小型独立的软件包，比让多个维护者在一个单一的整体库上协作更为便利。然而，其他人则表示担忧，认为任何国家行为体能够接触到的代码都可能被滥用。当面对秘密法院的令状时，开发者将没有太多选择。“我对俄罗斯政府的信任程度与对一个人的信任程度截然不同。”一位开发者说。 尽管许多人同意过分关注单一维护者可能有些夸大其词，但对地缘政治或系统性风险保持谨慎的认识仍然必要。Hunted Labs的研究人员承认，替换或修复fast-glob没有快速简便的解决方案。“最佳选择是让mrmInc为项目增加额外的维护者和监督机制，新的维护者需为开源社区所知且居住在民主社会。这是最简单的解决方案，能立即保护使用fast-glob的数百万项目。”Hunted Labs建议道。其他替代方案包括选择不同的工具，或者对其进行分叉（fork）并维护一个独立的版本。 然而，研究人员也敦促立即从美国国防部或情报界使用的产品中移除fast-glob。美国国防部此前曾发布一份备忘录，指示所有技术必须经过验证，确保其安全，能防范来自俄罗斯及其他对手的潜在供应链攻击。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称已获取AT&T基础设施的实时访问权限，这实质上使他们能够绕过与特定电话号码绑定的双因素认证。据称，此次黑客攻击影响了数百万AT&T用户。 恶意行为者在一个流行的地下论坛上宣布了他们的最新行为，该论坛通常用于交易数据泄露信息和软件漏洞。根据帖子内容，有人侵入了美国电信巨头AT&T的系统，并在其内部植入恶意软件长达数周而未被发现。 我们已联系AT&T，并在收到回复后更新本文。 与此同时，Cybernews研究团队正在调查攻击者的说法。包含所谓数据样本的网站被发布在暗网上，但目前无法访问，因此无法验证说法的真实性。一旦获得更多数据细节，我们将更新本文。 （AT&T数据泄露帖子暗网截图，由Cybernews提供） “威胁行为者声称已部署了一个定制的恶意负载，这使他们能够对AT&T的核心系统拥有读/写权限，”我们的团队解释道。 “根据黑客的说法，这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码，并访问一个包含约2400万AT&T用户数据的数据库。截至目前，Cybernews研究团队尚无法验证这些说法的任何一项。” 这次AT&T数据泄露可能有多危险？ 帖子作者声称，他们入侵的数据库不是静态的，这意味着所谓的攻击使攻击者能够修改AT&T基础设施内的信息。如果得到证实，这对黑客来说将是一个金矿。 攻击者的说法实质是，他们已能够将2400万AT&T用户的电话号码转移到他们想要的任何SIM卡上。这进而使得SIM交换攻击成为可能，这种攻击方式深受Scattered Spider等黑客组织的青睐，该组织曾攻击过拉斯维加斯的米高梅和凯撒酒店以及英国最大零售商玛莎百货。 “根据黑客的说法，这种访问权限允许进行SIM交换攻击、读取通过短信发送的2FA验证码，以及访问一个包含约2400万AT&T用户数据的数据库。截至目前，Cybernews研究团队尚无法验证这些说法的任何一项。”团队解释道。 SIM交换允许攻击者接管发送到特定电话号码的所有通信。想想你在尝试登录受保护服务时，手机上收到的双因素认证码。 此外，对实时数据库的访问可能使攻击者能够实时查看认证码，这对从社交媒体账户到银行业务的一切都构成了重大的网络安全问题。 AT&T过去的安全事件 网络犯罪分子不断针对AT&T。攻击者充分意识到该公司储存了大量美国人的数据，因为它是世界上最大的电信公司之一，年收入超过1220亿美元。 今年早些时候，恶意行为者声称他们掌握了数千万AT&T的记录，包括税务ID、姓名和IP地址。然而，攻击者提供的数据样本不足以证实黑客攻击。 去年四月，AT&T表示其客户数据从第三方云平台被非法下载，几乎所有客户都受到影响。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室（OAG）已确认遭遇勒索软件攻击，导致民事和刑事案件审理延误。 该州总检察长戴夫·森迪（Dave Sunday）证实，此次事件已于8月初导致总检察长办公室的服务器下线。森迪在8月29日发布的最新通报中透露：“此次中断由外部人员通过加密文件，迫使OAG支付赎金以恢复运营所致。目前尚未支付任何赎金。” 对于此次攻击中是否存在数据被盗的可能性，总检察长办公室未给出任何说明。 森迪接着表示：“目前正与其他机构开展联合调查，这使得我们无法就调查进展或事件应对措施进一步置评。”他补充道：“我们一直在向公众定期通报事件最新情况，并将继续这样做。若调查显示有必要，这些通报将包括向相关个人发送通知。” 美国宾夕法尼亚州总检察长办公室是该州最高执法机构，职责包括提起刑事诉讼和执行消费者保护法。 事件导致刑事与民事案件审理延误 受本次技术故障影响，宾夕法尼亚州多家法院被迫发布命令，延长刑事案件和民事案件的审理期限。 森迪指出：“不过，根据目前调查所掌握的情况，我们预计不会出现仅因外部干扰就导致刑事起诉、调查或民事诉讼受到负面影响的情况。” 这起网络事件于8月18日首次披露，当时总检察长办公室的网站陷入下线状态，办公邮箱账户及固定电话线路也无法使用。 最新通报证实，目前大多数总检察长办公室工作人员已恢复邮箱访问权限，并正通过邮箱与选民及利益相关者沟通。此外，办公室主电话线和官方网站均已恢复上线。 恢复全部功能的工作仍在进行中，同时总检察长办公室正与其他机构合作，“以避免类似情况再次发生”。 森迪表示：“总体而言，总检察长办公室的约1200名工作人员（分布在全州17个办公地点）仍在开展日常工作，尽管部分工作需通过替代渠道和方式完成。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴尔的摩市监察长表示，该市向一名诈骗者支付了超过150万美元的欺诈款项；此人成功冒充某供应商，并骗过了市政府员工，使其更改了该承包商的银行账户信息。 巴尔的摩监察长伊莎贝尔·梅赛德斯·卡明（Isabel Mercedes Cumming）在对此事件的事后分析中表示，该市应付账款部门未能在此前的欺诈事件后实施纠正措施，也没有建立适当的保护措施来核实供应商详细信息。 2024年12月，诈骗者使用一名合法公司员工的姓名提交了一份供应商联系表，以获取该供应商Workday系统的访问权限。被冒充的这名人员并无权访问公司财务信息，且诈骗者提供的电子邮件地址也非公司官方地址。然而，应付账款部门的一名员工并未联系供应商以确认此人身份。 诈骗者多次提交请求，要求更改Workday中关联的银行账户，这些请求最终获得两名员工的批准。在2月和3月，巴尔的摩应付账款部门向所谓的供应商支付了两笔款项——分别超过80万美元和72.1万美元——之后在收到收款方银行关于可疑活动的通知后，他们才发现这可能是一场欺诈。该市成功追回了数额较小的那笔付款。 这起供应商诈骗案至少是自2019年以来巴尔的摩市政府遇到的第三起同类事件。2022年，市长儿童与家庭成功办公室一笔超过376,213美元的款项，在诈骗者说服市财政部门更改账户信息后，最终流入了一个诈骗者的账户。三年前，在对某供应商的信息进行修改后，有62,377美元被汇入一个欺诈账户。 根据监察长关于2022年事件的一份报告，该市财务总监曾表示，事发后已制定了新政策，要求部门员工“独立地向请求更改银行的供应商的高管级别员工核实变更信息”。 应付账款总监小蒂莫西·戈德斯比（Timothy Goldsby, Jr.）在给最新报告的书面回应中表示，在此办公室于2023年1月从财政部迁至审计长办公室之前，先前的控制措施“并未完全制度化”。 他写道：“应付账款部门同意监察长的评估，即该事件的发生是由于验证程序存在漏洞以及供应商账户保障措施不足所致。” 他表示，事件发生后，该部门正在修订其供应商联系和银行信息更新的操作流程，并要求对任何银行信息的更改进行交叉验证。他们还在加强Workday系统内的保障措施，包括创建一个受限用户角色来管理账户的敏感更改，并加强员工培训，以提高对社交工程欺诈的识别能力。 巴尔的摩市曾经历过几起具有重大影响的网络事件，其中包括2019年的一次勒索软件攻击，该攻击造成了约1900万美元的损失，并导致服务中断数月。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰和美国当局宣布，已捣毁一个向全球网络罪犯销售伪造身份证件的非法交易平台VerifTools。 在此次行动中，两个主要市场域名（verif[.]tools 和 veriftools[.]net）以及一个相关博客已被关闭。访问这些站点的用户将被重定向到一个说明页面，页面显示此次行动由美国联邦调查局（FBI）依据美国地方法院签发的授权令执行。服务器在阿姆斯特丹被查没。 然而，平台运营者于2025年8月28日在Telegram上发布消息称，他们已在“veriftools[.]com”域名上重新恢复了服务。根据DomainTools的记录，该域名注册于2018年12月10日。目前该平台管理员的身份仍未知晓。 美国司法部周四表示：“VerifTools的运营者制作并销售伪造的驾驶执照、护照及其他身份证件，这些证件可用于绕过身份验证系统，并未经授权访问在线账户。”美国司法部称，FBI在2022年发现某个利用窃取的身份信息访问加密货币账户的犯罪活动后，开始对此服务展开调查。调查显示，该非法平台被用于生成美国所有50个州以及其他国家的伪造身份证件，价格低至9美元。 FBI称，与VerifTools市场有关的非法收益约达640万美元。在VerifTools网站上，运营者通过声明试图“合理推诿”其责任：“服务的合法使用是您的责任。使用服务时，您必须了解您所在司法管辖区的本地、州和联邦法律，并对您的行为独自承担责任。” 平台关闭后，一位名为Powda_reaper的Reddit用户在该平台的r/blackhat版块上声称，网站所有者给他们发消息说“网站因重大故障目前无法访问”，并承诺在8月29日前让网站重新上线，同时安抚他们“您的资金是安全的”。 美国代理检察官瑞安·埃里森表示：“互联网不是罪犯的避难所。如果你开发或销售能让罪犯冒充受害者的工具，那你就是犯罪的一部分。我们将动用一切合法手段打击你的业务，没收你的利润，并将你绳之以法。没有任何一个犯罪组织能大过我们的联合行动。” 荷兰国家警察在一份联合声明中将VerifTools描述为最大的虚假身份证件提供商之一。除两台物理服务器外，还有超过21台虚拟服务器被没收。官员们还指出，服务器上网站的全部基础设施已被安全扣押并复制，以供后续分析。在荷兰，伪造、使用虚假身份证明以及使用伪造支付工具，最高可判处六年监禁。 荷兰警察机关指出：“许多公司和机构使用所谓的‘了解你的客户’（KYC）验证，这通常只需要一张身份证件图像。通过使用VerifTools，这种KYC控制可能会被绕过。”他们进一步说明：“犯罪分子非常乐于使用VerifTools这类平台，因为他们可以利用制作的文档实施欺诈，例如银行帮助台欺诈和网络钓鱼。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，以经济利益为驱动的威胁组织Storm-0501已调整其攻击策略，将重点转向针对云环境进行数据窃取和勒索。 至少自2021年起开始活跃的Storm-0501，因在针对本地和混合云环境的攻击中使用多种勒索软件家族而闻名，包括Sabbath、Alphv/BlackCat、Hive、Hunters International、LockBit以及Embargo。 去年，该黑客组织通过入侵Active Directory环境，转而攻击Entra ID，将权限提升至全局管理员，在Entra ID租户配置中植入后门，并部署本地勒索软件以加密文件。 在最近一次针对大型企业的攻击中，该威胁行为者使用了类似手法：它入侵了多个Active Directory域，进行侦察以识别受保护的端点并规避检测，并利用Evil-WinRM这一利用后工具进行横向移动。 随后，Storm-0501攻陷了一台Entra Connect Sync服务器，并伪装成域控制器以请求域用户的密码哈希值。它还枚举了用户、角色和Azure资源，并尝试以多个特权用户身份登录。 登录尝试失败后，黑客随后在不同的Active Directory域之间穿梭，攻陷了另一台Entra Connect服务器，识别出一个在Entra ID中拥有全局管理员权限的非人类同步身份，并重置其密码以访问该账户。 微软解释道：“因此，威胁行为者能够使用新密码以该用户身份向Entra ID进行身份验证。由于该用户未注册MFA，在使用新分配的密码成功验证后，威胁行为者被直接引导至在其控制下注册一个新的MFA方法。” 在识别出一台Microsoft Entra混合联接设备后，Storm-0501得以以全局管理员身份访问Azure门户，从而获得了对云域的完全控制权。它立即通过注册一个新的Entra ID租户部署了后门，使其能够以任何用户身份登录。 在获得顶级的Entra ID权限后，黑客将其权限提升为受害者所有Azure订阅的“所有者”Azure角色，实质上接管了整个Azure环境。 微软指出：“我们评估认为，威胁行为者使用各种技术（包括使用AzureHound工具）启动了一个全面的发现阶段，试图定位组织的关键资产，包括包含敏感信息的数据存储，以及用于备份本地和云端点设备的数据存储资源。” 攻击者还瞄准了Azure存储账户，滥用Azure“所有者”角色窃取其访问密钥，然后将无法通过互联网访问的账户暴露到互联网及其自身基础设施中，随后使用AzCopy命令行工具（CLI）进行数据外泄。 窃取数据后，黑客开始大规模删除数据以防止补救措施。他们还试图删除那些保护数据免遭删除的防护措施，并对无法删除的资源实施基于云的加密。 微软称：“在成功外泄并销毁Azure环境中的数据后，威胁行为者启动了勒索阶段，他们使用先前已入侵的一个用户账户通过Microsoft Teams联系受害者，要求支付赎金。” 这家科技巨头还指出，Storm-0501在入侵受害者的云环境后，依赖云原生命令和功能来执行侦察、横向移动、凭据外泄、权限提升以及数据外泄、删除和加密。 公司强调：“Storm-0501持续展现出在本地和云环境之间移动的熟练能力，这例证了随着混合云采用率的增长，威胁行为者是如何适应的。他们寻找混合云环境中未受管理的设备和安全漏洞以规避检测并提升云权限，在某些情况下，还会在多租户设置中穿梭租户以达到其目标。”         消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者一直通过Google广告推广的多个网站，分发一款看似可信的PDF编辑应用，实则投放名为TamperedChef的信息窃取恶意软件。 此次行动是一个更大规模操作的一部分，涉及多个能相互下载的应用程序，其中一些会诱骗用户将其系统纳入住宅代理网络。目前已识别出超过50个域名用于托管这些具有欺骗性的应用，这些应用使用了至少四家不同公司颁发的伪造证书进行签名。研究人员表示，该活动范围广泛且策划周密，操作者等待广告投放周期结束后才激活应用程序中的恶意组件。 网络安全服务公司Truesec的技术分析描述了TamperedChef信息窃取程序如何被投放到用户系统。研究人员发现，该恶意软件通过多个网站进行分发，这些网站推广一款名为AppSuite PDF Editor的免费工具。根据网络记录，调查人员确定该活动始于6月26日，当时许多相关网站被注册或开始宣传AppSuite PDF Editor。 然而，研究人员发现这款恶意应用在5月15日已通过VirusTotal恶意软件扫描服务的验证。该程序在8月21日前表现正常，直至收到一次更新，激活了其内置的恶意功能，开始收集凭证和网络Cookie等敏感数据。据Truesec称，TamperedChef信息窃取程序是通过PDF编辑器可执行文件的“-fullupdate”参数传递的。 该恶意软件会检查主机上安装的各种安全代理。它还使用DPAPI（数据保护应用程序编程接口）——Windows中用于加密敏感数据的组件——查询已安装网页浏览器的数据库。Truesec研究人员深入挖掘分发方式，发现证据表明，在AppSuites PDF Editor中传播TamperedChef的威胁行为者依赖Google广告来推广这款恶意程序。 “Truesec已观察到至少5个不同的Google广告系列ID，这表明了一场广泛的运动”——Truesec 威胁行为者可能有一套策略，旨在激活AppSuites PDF Editor中的恶意组件前最大化下载量，因为他们选择在Google广告活动典型的60天有效期结束前四天投放信息窃取程序。 进一步研究AppSuites PDF Editor后，研究人员发现该程序的不同版本由“至少四家公司”的证书签名，其中包括ECHO Infini SDN BHD、GLINT By J SDN. BHD 和 SUMMIT NEXUS Holdings LLC, BHD。 Truesec发现，该活动的操作者至少从2024年8月起就开始活跃，并推广其他工具，包括OneStart和Epibrowser浏览器。值得注意的是，OneStart通常被标记为潜在不需要程序（PUP），这通常是广告软件的代称。 然而，托管检测与响应公司Expel的研究人员也调查了涉及AppSuites PDF Editor、ManualFinder和OneStart的事件，所有这些程序都“丢弃高度可疑的文件、执行意外命令并将主机变为住宅代理”，这更接近恶意软件的行为。 他们发现OneStart可以下载AppSuite-PDF（由ECHO INFINI SDN. BHD证书签名），而AppSuite-PDF又能获取PDF Editor。“OneStart、AppSuite-PDF和PDF Editor的初始下载是通过一个大型广告活动分发的，该活动宣传PDF和PDF编辑器。这些广告将用户引导至众多提供AppSuite-PDF、PDF Editor和OneStart下载的网站之一，”Expel称。 此次活动中使用的代码签名证书已被撤销，但对于当前已安装的用户，风险仍然存在。在某些PDF Editor的实例中，应用会向用户显示一条消息，请求允许将其设备用作住宅代理，以换取免费使用该工具。研究人员指出，代理网络提供商可能是未参与此次活动的合法实体，PDF Editor的操作者是作为 affiliates 以此牟利。 看来，PDF Editor的背后操纵者正试图以全球用户为代价，最大化其利润。即使此次活动中的程序被视为PUP，其能力也典型地属于恶意软件，应同样对待。 研究人员警告，他们发现的此次行动涉及更多应用程序，其中一些尚未被武器化，这些程序能够分发恶意软件或可疑文件，或在系统上秘密执行命令。Truesec和Expel的报告都包含了大量的入侵指标（IoCs），这有助于防御者保护用户和资产免受感染。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp已修复其iOS和macOS消息客户端中的一个安全漏洞，该漏洞在针对性的零日攻击中被利用。 公司表示，此零点击漏洞（编号为CVE-2025-55177）影响2.25.21.73之前版本的iOS版WhatsApp、2.25.21.78之前版本的iOS版WhatsApp Business，以及2.25.21.78之前版本的Mac版WhatsApp。 WhatsApp在一份周五发布的安全公告中称：“WhatsApp中关联设备同步消息的授权机制不完整……可能允许无关用户触发目标设备处理来自任意URL的内容。” “我们评估认为，此漏洞与苹果平台的操作系统级漏洞（CVE-2025-43300）结合，可能已被用于针对特定目标用户的复杂攻击。” 苹果本月早些时候发布紧急更新以修补CVE-2025-43300零日漏洞时，也曾表示该漏洞已被用于“极其复杂的攻击”。 尽管两家公司尚未发布有关此次攻击的进一步信息，国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示，WhatsApp已向部分用户发出警告，称他们在过去90天内已成为一项高级间谍软件活动的目标。 警告中写道：“我们已通过更改防止此特定攻击通过WhatsApp发生。然而，您的设备操作系统可能仍受恶意软件危害，或可能遭受其他方式的攻击。” 在向可能受影响的个人发送的安全威胁通知中，WhatsApp建议他们将设备恢复出厂设置，并保持设备操作系统和软件为最新状态。 今年三月，WhatsApp在收到多伦多大学公民实验室安全研究人员的报告后，修复了另一个被用于安装Paragon的Graphite间谍软件的零日漏洞。 当时一位WhatsApp发言人表示：“WhatsApp已挫败由Paragon发起的间谍软件活动，该活动针对多名用户，包括记者和公民社会成员。我们已直接联系了我们认为受影响的人士。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织Lab Dookhtegan据称扰乱了60艘伊朗船只的通信。此次攻击至少影响了39艘油轮和25艘货轮，这些船只由受美国制裁的伊朗海运企业——国家伊朗油轮公司和伊朗伊斯兰共和国航运公司运营。 黑客攻破了卫星通信公司Fannava，禁用“猎鹰”通信系统并清除了核心数据。攻击致使伊朗船只陷入“失明”状态。 该组织发布的截图显示，他们已获取运行iDirect卫星软件（版本2.6.35）的Linux终端根权限。该软件版本陈旧，不符合基本网络安全标准。 黑客通过逐个调制解调器测绘伊朗船队，控制了“猎鹰”通信系统，并持续潜伏五个月后，于8月使船只陷入瘫痪。 “一旦入侵成功，黑客便瞄准名为‘猎鹰’的核心系统——正是这套软件维持着卫星链路的运行。它如同船舶通信系统的心脏。停止‘猎鹰’系统，船只便陷入黑暗：无法与岸上邮件往来，收不到气象更新，失去港口协调能力，彻底与世隔绝。”博客作者Nariman Gharib报道称。 “但邮件日志实际揭示的内容更为惊人：时间戳可追溯至五月和六月。这意味着Lab-Dookhtegan并非仅在三月实施突击后就撤离。他们持续潜伏在伊朗海事网络中长达五个月，始终保持着访问权限，可随时启停系统，很可能监控了所有往来通信。” 攻击者以造成永久性破坏为目标，用零值覆盖六个存储分区，清除了日志、配置和恢复数据，彻底摧毁了船舶通信系统。 “我正查看一份包含电话号码、IP地址的电子表格——最令人难堪的是——密码竟以明文存储。诸如‘1402@Argo’‘1406@Diamond’这类弱密码随处可见。”博客文章继续指出，“凭借这些数据，攻击者理论上可监听船港间通话，冒充船舶身份，甚至通过切断语音通信制造更大混乱。” 这是Lab-Dookhtegan今年发起的第二次攻击，此前曾在三月导致116艘船只通信中断。本次袭击恰逢美国对伊朗石油实施新制裁，使得破坏程度尤为严重。黑客不仅造成临时中断，每艘受影响船舶现在都需要完全重装系统，这个过程可能导致船只停运数周甚至数月。对于本就承受压力、依赖持续通信协调以避免被扣押的伊朗船队而言，这无疑是灾难性打击。失去导航能力、通信功能甚至求救手段，整个船队已实际陷入瘫痪。此次攻击绝非意外，而是经过精密策划、瞄准伊朗最脆弱时刻的精准打击，所有证据表明，这场行动取得了成功。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文