HackerNews

HackerNews 编译，转载请注明出处： 2025年5月19日至22日，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协调发起的“终局行动”（Operation ENDGAME）成功摧毁了全球勒索软件基础设施。执法部门共查封300台服务器和650个域名，并签发20份国际逮捕令。 欧洲刑警组织在新闻稿中披露：“行动周期间，海牙总部设立了指挥中心，来自加拿大、丹麦、法国、德国、荷兰、英国和美国的调查人员与欧洲网络犯罪中心（EC3）及其联合网络犯罪行动特别工作组（J-CAT）展开合作。自2024年调查启动以来，欧洲司法组织始终提供关键司法协作支持，确保各国当局高效交换信息并协调调查行动。” 当局还查获价值350万欧元的加密货币，使累计缴获金额突破2120万欧元。此次行动延续了2024年打击僵尸网络的成果，旨在遏制不断演变的恶意软件威胁和网络犯罪集团。 行动重点打击勒索软件部署前的初始入侵恶意软件，已瓦解包括Bumblebee、Lactrodectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie在内的多个恶意软件家族，这些工具普遍应用于勒索软件即服务（RaaS）模式。执法机构同时针对核心运营者签发20份国际通缉令。 多名恶意软件幕后主脑已被列入国际公开通缉名单。德国将于5月23日起将其中18人列入欧盟头号通缉名单，指控其提供或运营用于重大勒索攻击的工具。 欧洲刑警组织执行主任Catherine De Bolle强调：“即便犯罪分子更新装备重组架构，此次行动再次证明执法部门具备灵活应对能力。通过破坏勒索软件赖以生存的服务链，我们正从源头斩断犯罪生态。”     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦网络防御部门发出警告，称黑客正瞄准数据管理巨头Commvault客户的云环境。这家总部位于新泽西的公司此前披露，微软在2月通报了一起由某未具名国家背景威胁组织引发的数据泄露事件，该事件导致“部分客户用于验证M365环境的应用程序凭证”遭窃取。 周四晚间，美国网络安全和基础设施安全局（CISA）发布通告称，Commvault正在“监测针对其微软Azure云托管应用的网络威胁活动”，认为“该活动可能是针对多家SaaS厂商云应用的大规模攻击行动组成部分，攻击者利用默认配置与高权限设置实施入侵”。 CISA指出，威胁组织可能“窃取了Commvault旗下Metallic微软365备份SaaS解决方案托管的客户密钥”。此处密钥指代连接应用与服务器的唯一验证代码。Commvault在3至5月间的多篇博客中解释称，此次泄露“影响少量与微软存在业务交集的客户”，但强调黑客从未触及该公司存储保护的客户备份数据，并表示正与CISA及FBI协作处理，已对受影响客户实施凭证轮换等处置措施。 CISA在公告中同步给出防护建议清单，包括监控日志、更换凭证等操作指引。该机构特别提到，近期已将Commvault漏洞CVE-2025-3928纳入已知被利用漏洞目录，并“持续联合合作机构调查恶意活动”。Commvault早前透露，取证调查发现攻击者“利用零日漏洞实施入侵”，并附有该漏洞的公告链接。 针对为何选择周四发布公告的质询，CISA拒绝置评。Commvault发言人回应称：“CISA此次警示内容无新增信息，所有情况均已在5月4日公告中披露，当前仅为情况重申。”微软则未回应关于攻击方国家归属、具体受害企业及数据风险等问询。 曾调查类似事件的BeyondTrust现场首席技术官詹姆斯·莫德指出，此类事件凸显第三方特权访问的风险隐患：“他们的漏洞终将成为你的漏洞。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，代号ViciousTrap的黑客组织已入侵全球84个国家近5,300台网络边缘设备，将其改造成类蜜罐网络。该组织利用思科小型企业路由器（型号RV016、RV042、RV042G、RV082、RV320、RV325）的关键漏洞CVE-2023-20118实施大规模入侵，其中850台受控设备位于澳门。 安全公司Sekoia在周四发布的分析报告中指出：“感染链涉及执行名为NetGhost的shell脚本，该脚本将被入侵路由器特定端口的流量重定向至攻击者控制的类蜜罐设施，从而实现网络流量劫持。” 此前，法国网络安全公司曾将该漏洞利用归因于另一个名为PolarEdge的僵尸网络。 尽管尚无证据表明这两项活动存在关联，但研究人员认为ViciousTrap背后的组织正通过入侵大量暴露于互联网的设备构建蜜罐基础设施，涉及品牌包括Araknis、华硕、D-Link、领势、威联通等50余个厂商的SOHO路由器、SSL VPN、数字录像机及基板管理控制器。 分析报告补充称：“这种架构使攻击者能观察多环境渗透尝试，可能收集未公开或零日漏洞利用方案，并劫持其他威胁组织的入侵成果。” 攻击链首先通过漏洞利用下载bash脚本，该脚本从外部服务器获取wget工具后再次触发漏洞，执行第二阶段的NetGhost脚本。 NetGhost脚本配置了流量重定向功能，将被控系统流量导向攻击者控制的第三方设施，实施中间人攻击，同时具备自删除能力以减少取证痕迹。Sekoia表示所有攻击尝试均源自单一IP地址（101.99.91[.]151），最早活动可追溯至2025年3月。次月监测到该组织将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。 安全研究人员费利克斯·艾梅与杰里米·希恩指出：“该行为与攻击者使用NetGhost的策略相符，流量重定向机制使其成为静默观察者，可收集渗透尝试及传输中的WebShell访问痕迹。” 本月最新攻击活动转向华硕路由器，使用另一IP地址（101.99.91[.]239），但未在受控设备部署蜜罐。所有活跃IP均位于马来西亚，归属托管服务商Shinjiru运营的自治系统AS45839。 基于与GobRAT基础设施的微弱关联，以及流量重定向至中国台湾地区和美国多地资产的事实，研究人员判断该组织可能具备中文背景。Sekoia总结称：“尽管高度确信ViciousTrap构建的是类蜜罐网络，但其最终目标仍未明确。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场恶意软件活动，该活动通过伪装为LetsVPN、QQ浏览器等流行工具的虚假软件安装程序，最终投递Winos 4.0框架。这项由Rapid7在2025年2月首次监测到的攻击行动，使用了名为Catena的多阶段驻内存加载器。 “Catena通过嵌入shellcode和配置切换逻辑，将Winos 4.0等有效载荷完全驻留内存，规避了传统杀毒软件的检测，”安全研究人员安娜·希罗科娃与伊万·费格尔表示，“植入后，它会静默连接攻击者控制的服务器——多数位于香港——接收后续指令或额外恶意程序。”这类攻击与历史上部署Winos 4.0的案例相似，似乎专门针对中文环境，网络安全公司指出幕后存在具备高度能力的威胁组织进行“缜密的长期规划”。 趋势科技于2024年6月首次公开记录到Winos 4.0（又名ValleyRAT），当时该恶意程序通过VPN应用的恶意Windows安装包（MSI文件）针对中文用户发起攻击。相关活动被归因于追踪代号为Void Arachne的威胁集团，该组织也被称为Silver Fox。 后续传播该恶意软件的行动转而使用游戏相关应用作为诱饵，包括安装工具、加速器和优化程序等，诱骗用户安装。2025年2月披露的另一次攻击浪潮通过伪装台湾地区税务机构的钓鱼邮件针对当地实体。 基于知名远程木马Gh0st RAT的代码基础，Winos 4.0是采用C++编写的先进恶意框架，利用插件化系统实现数据窃取、远程Shell访问及发动分布式拒绝服务（DDoS）攻击。 2025年2月发现的基于QQ浏览器的感染流程显示，所有相关攻击载体均依赖NSIS安装程序。这些安装包捆绑了经过签名的诱饵应用，将shellcode嵌入.ini文件，并通过反射式DLL注入技术实现隐蔽驻留。整个感染链被命名为Catena。 研究人员指出：“该活动在2025年全年持续活跃，感染链保持稳定但存在战术调整，显示出攻击者具备强大适应能力。”攻击起点是伪装成腾讯开发的QQ浏览器安装包的恶意NSIS程序，通过Catena框架投递Winos 4.0。恶意程序通过TCP 18856端口和HTTPS 443端口与硬编码的C2基础设施通信。 在2025年4月发现的LetsVPN安装包攻击案例中，恶意程序通过创建计划任务实现持久化，这些任务在初始入侵数周后执行。虽然该恶意软件包含检测系统中文语言设置的显性校验，但即使未发现中文环境仍会继续执行。 这一现象表明该功能尚未完善，预计会在后续版本中改进。Rapid7透露，2025年4月监测到攻击者进行了“战术调整”，不仅修改了Catena执行链的某些组件，还新增了反杀毒检测规避功能。 新版攻击流程中，NSIS安装程序伪装成LetsVPN安装文件，运行PowerShell命令为所有驱动器（C:\至Z:\）添加Microsoft Defender排除项。随后释放的恶意载荷包含一个可执行文件，该文件会对运行进程进行快照扫描，检查是否存在奇虎360开发的杀毒软件相关进程。 该二进制文件使用威瑞信颁发的过期证书进行签名，证书显示归属方为腾讯科技（深圳），有效期从2018年10月11日至2020年2月2日。其主要功能是反射式加载DLL文件，该DLL会连接C2服务器（134.122.204[.]11:18852或103.46.185[.]44:443）以下载执行Winos 4.0。 研究人员总结称：“该行动展现出高度组织化的区域性恶意软件攻击模式，通过特制NSIS安装程序静默植入Winos 4.0。攻击者大量使用内存驻留载荷、反射式DLL加载及合法证书签名的诱饵软件规避告警，基础设施重叠和语言定向特征暗示其与Silver Fox APT存在关联，活动目标可能持续锁定中文语系环境。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现新型恶意软件活动正利用TikTok的病毒式传播特性与庞大用户基数，通过诱导用户执行PowerShell命令传播Vidar和StealC等窃密木马。趋势科技最新报告指出，攻击者采用AI生成的短视频教程，声称可免费激活Microsoft Office或Spotify Premium服务，实则触发恶意代码下载链。 攻击活动全程在TikTok平台内完成，恶意指令通过语音解说与画面动态展示规避传统安全检测。涉事的@gitallowed、@zane.houghton和@digitaldreams771账号（目前已被封停）发布多支AI配音视频，通过分屏演示逐步引导用户输入命令。单个视频观看量近50万次，获超2万点赞，高互动量显著提升设备感染风险。 植入的PowerShell脚本执行以下恶意操作： 在用户目录创建隐藏文件并添加至Windows Defender排除列表 从amssh[.]co等域名下载Vidar或StealC木马 采用重试逻辑确保代码执行成功率 通过注册表修改实现持久化驻留 清除日志文件消除入侵痕迹 Vidar木马通过将C2服务器IP地址嵌入Steam游戏平台及Telegram消息元数据实现通信伪装，StealC则专门窃取加密货币钱包与浏览器凭证。趋势科技呼吁企业升级防御策略，建议监控社交媒体平台高互动技术指导类视频，部署行为检测工具识别异常命令行操作，并加强用户对视听组合式社会工程学攻击的识别培训。目前TikTok已下架违规内容，但相同攻击手法的变种仍在暗网传播。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，全球知名饮料企业可口可乐公司疑似遭遇Everest勒索软件团伙攻击，其暗网泄密网站已列出该公司数据泄露条目。攻击者公布的样本数据显示，近千名软饮制造商员工的个人身份信息与内部机密文件遭泄露，具体包括： 员工身份信息：包含姓名、工号、薪酬等级等人力资源部门管理的核心数据。 企业敏感文件：涉及中东地区分销商的运营策略文档、供应链管理协议等内部资料。 系统访问凭证：疑似包含远程桌面协议（RDP）登录凭据及网络架构拓扑图。 Everest团伙被指与俄罗斯关联的Black-Byte勒索软件即服务（RaaS）组织存在技术关联，主要利用泄露的合法凭证突破企业防御，通过远程桌面协议（RDP）实施横向移动。 根据泄露数据特征，可能衍生多重安全威胁： 精准钓鱼攻击：攻击者可结合员工薪酬信息伪造税务核查邮件，诱导点击恶意链接。 供应链渗透：利用分销商网络拓扑图，对上下游合作伙伴发起协同攻击。 商业间谍活动：竞品企业可能收购泄露的运营策略文档，获取市场竞争优势。 此次事件是Everest团伙过去12个月内发起的第91次企业级网络攻击。该组织曾于2022年10月入侵AT&T公司网络，试图出售其核心网络访问权限。网络安全监测平台Ransomlooker数据显示，食品饮料行业已成为勒索软件攻击的重灾区，2025年第一季度相关事件同比激增67%。 截至发稿时，可口可乐公司尚未对数据泄露事件作出官方回应。安全专家建议受影响员工立即启用多因素认证，并监控银行账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，助眠类iOS应用《Sleep Journey: Insomnia Helper》因配置错误导致数万用户隐私泄露，涉及姓名、饮酒习惯等敏感数据。该应用由塞浦路斯注册公司Fitsia Holdings Limited运营，因开发人员错误配置Firebase数据库服务器，超过25,000条用户记录可被公开访问。由于Firebase作为临时数据库的特性，实际泄露规模可能远超当前可见数据量。 泄露信息包含多维敏感内容： 身份信息：用户真实姓名、电子邮箱、出生日期、性别 健康数据：睡眠监测记录、尼古丁与酒精摄入量、睡前活动模式、药物使用情况 行为轨迹：应用使用过程中生成的交互日志 研究团队指出，攻击者可利用泄露数据实施精准钓鱼攻击、凭证填充攻击或社会工程操纵。更严重的是，应用客户端代码中暴露了API密钥、Google应用ID、存储空间凭证等核心密钥，理论上允许攻击者绕过认证系统直接访问用户设备数据，甚至操控第三方服务实施资源滥用。 此次事件是iOS应用安全问题的又一典型案例。Cybernews团队近期扫描App Store 15.6万款应用发现，71%的应用存在至少一项密钥泄露问题，平均每款应用暴露5.2个敏感凭证。此前已有多款涉及小众社交通讯的应用被曝泄露用户私密照片。 安全专家建议采取分层修复措施： 对Firebase数据库启用基于角色的访问控制，限制未授权访问。 将硬编码密钥迁移至服务器端，通过代理网关管理服务调用。 在开发流程中集成静态代码分析工具，自动检测密钥暴露风险。 该漏洞于2025年1月7日被发现，研究团队于1月15日通报涉事企业，并于2月11日提交计算机应急响应组。截至目前，Fitsia Holdings Limited尚未就事件作出公开回应。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，与俄罗斯有关联的黑客组织近期针对塔吉克斯坦政府、学术及科研机构发动新型网络间谍行动。 Recorded Future旗下Insikt Group将2025年1月至2月期间的攻击活动归因于名为TAG-110的威胁组织，该团伙被认为与俄罗斯军事情报机构支持的APT28（又名BlueDelta）存在关联。 攻击者通过投递政府主题的钓鱼邮件实施入侵，诱饵文件包括塔吉克斯坦武装部队辐射安全通知和首都杜尚别选举日程表等伪造文档。研究人员指出，此次行动标志着TAG-110战术的重大转变——该组织弃用此前惯用的Hatvibe恶意软件，转而利用启用宏的Word模板作为初始感染载体。若攻击得逞，攻击者可能部署Cherryspie、Logpie等间谍工具或新型定制恶意软件。 自2021年以来，TAG-110持续在中亚地区开展网络间谍活动，其攻击目标还涉及印度、以色列、蒙古和乌克兰等国的实体。Insikt Group分析认为，此类行动与俄罗斯维持该地区战略影响力的宏观目标相契合，尤其是在区域格局变动与地缘政治紧张加剧的背景下。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化加密货币交易所Cetus周四凌晨遭攻击，损失金额达2.23亿美元。该公司最初在社交媒体向用户通报称因安全原因暂停平台运营，经调查后确认攻击者已窃取资金。平台声明表示：“我们立即采取行动锁定智能合约防止进一步资金流失”，并称已成功“冻结”1.62亿美元被盗资产。 基于Sui区块链运营的Cetus未就“冻结”的具体技术含义作出回应，但透露正与Sui基金会等机构合作追回剩余资金，承诺后续发布完整事件报告。区块链安全专家分析链上数据发现，约5000万美元被盗资金已转入新钱包地址。 关于攻击根源存在显著争议：部分人士援引Cetus官方Discord频道的消息，认为黑客利用协议漏洞实施窃取；彭博社援引专家观点称攻击可能涉及代币价格操纵。Cetus曾在四月披露平台累计处理交易量达500亿美元。 此次事件发生距朝鲜黑客组织攻击Bybit交易所致14亿美元损失仅三个月。2025年加密货币领域安全事件频发，Coinbase上周披露因内部员工泄密导致近7万名用户遭钓鱼攻击。区块链研究机构Chainalysis数据显示，2024年加密货币平台被盗金额超20亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国北卡罗来纳州全服务解剖病理实验室Marlboro-Chesterfield Pathology（MCP）近期遭遇勒索软件攻击，导致大量个人信息记录遭窃。该机构于官网发布的数据泄露通知显示，2025年1月16日发现内部IT系统存在未经授权活动，调查证实攻击者窃取了部分文件。 此次泄露数据包含姓名、住址、出生日期、医疗治疗信息及健康保险信息等敏感内容，具体泄露字段因个体差异有所不同。MCP本周向美国卫生与公众服务部（HHS）通报称，事件影响范围涉及235,911人。 勒索软件组织SafePay于一月下旬宣称对此次攻击负责，该团伙近期还攻击了商业服务提供商Conduent。值得关注的是，截至发稿时MCP已从SafePay的泄密网站下架，暗示受害方可能已支付赎金。SecurityWeek已联系涉事机构寻求置评，但尚未获得回应。 此次事件再次印证医疗行业面临的网络安全危机。当前医疗数据泄露呈现规模化特征，同类事件常波及数十万受害者，部分重大案例甚至影响数百万至数千万人。攻击者利用医疗机构IT系统漏洞与老旧设备防护薄弱点，通过勒索软件、网络钓鱼等手段实施数据窃取与系统加密，对患者隐私与机构运营构成双重威胁。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对macOS用户的伪造Ledger应用攻击活动持续升级，攻击者通过恶意软件窃取加密货币钱包助记词。Moonlock Lab追踪数据显示，此类攻击自2024年8月起已从单纯窃取密码升级为直接劫持数字资产。以下是攻击技术演进与防护建议： 恶意软件技术演变 Odyssey新型窃取程序：2025年3月发现的Odyssey恶意程序会替换受害者设备的合法Ledger Live应用，通过伪造”严重错误”弹窗诱导用户输入24词助记词。该程序可窃取macOS账户信息，并将钓鱼页面数据发送至攻击者的命令与控制服务器。 AMOS窃取器模仿攻击：地下论坛迅速出现模仿攻击，AMOS窃取器通过名为JandiInstaller.dmg的文件绕过Gatekeeper防护，安装篡改版Ledger Live。用户在输入助记词后会收到”应用损坏”虚假提示，攻击者利用时间差转移资产。 混合攻击模式扩展：Jamf公司发现新型攻击使用PyInstaller打包的二进制文件，在伪造的Ledger Live界面内嵌iframe加载钓鱼页面。此类混合攻击同时窃取浏览器数据、热钱包配置及系统信息，形成多维数据窃取链。 新兴威胁态势 暗网用户@mentalpositive近期宣传“反Ledger”攻击模块，虽暂未发现有效样本，但预示更复杂攻击工具可能出现。 攻击基础设施溯源发现关联政府实体的IP地址，该地址自2024年7月起托管多个macOS恶意文件。 企业级防护建议 应用来源管控：仅从Ledger官网下载应用，验证数字签名与哈希值。警惕第三方平台或弹窗推送的“紧急更新”。 助记词操作规范：助记词仅用于硬件钱包初始化/恢复场景，且必须通过物理设备输入。任何要求在网络界面输入助记词的行为均为钓鱼攻击。 系统防护强化：启用macOS完整磁盘访问控制，定期审计具有CreateChild权限的账户。部署EDR解决方案监控异常进程创建行为。 安全意识培训：重点识别钓鱼页面特征：非常规域名（如ledger-recovery.info）、紧迫性话术诱导、非官方通讯渠道通知。 技术监测手段：监控事件日志ID 5136（对象属性修改）、5137（服务主体创建）、2946（Kerberos认证请求），配置SIEM规则实时告警。 此次攻击活动揭示硬件钱包生态面临的新挑战：即使采用冷存储方案，配套软件的安全漏洞仍可能成为突破口。Moonlock Lab强调，攻击者正利用macOS用户对系统安全性的过度信任心理，结合社会工程学构建复合攻击链。随着加密货币持有者规模扩大，此类针对性攻击预计将持续增长。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现Windows Server 2025存在权限提升漏洞，攻击者可借此攻陷Active Directory（AD）中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出：“该攻击利用Windows Server 2025新增的委托托管服务账户（dMSA）功能，在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。” 这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档，dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时，原账户密码认证会被阻断，请求将重定向至本地安全机构（LSA）使用dMSA认证，后者自动继承原账户在AD中的所有访问权限。 Akamai发现的关键问题在于：dMSA的Kerberos认证阶段，密钥分发中心（KDC）签发的票据授予凭证（TGT）中嵌入的特权属性证书（PAC）会同时包含dMSA自身的安全标识符（SID）、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程，可让KDC误判合法权限继承，进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。 Gordon解释：“攻击过程无需对被替代账户拥有任何权限，仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后，KDC就会自动授予该dMSA与原用户完全相同的权限。” Akamai已于2025年4月1日向微软提交漏洞细节，微软将其评估为中等严重性，认为成功利用需攻击者已具备对dMSA对象的特定权限，故暂不发布紧急补丁。目前该公司正在开发修复程序。 鉴于漏洞暂无官方修复方案，建议企业采取以下措施： 限制创建dMSA账户的权限，特别是检查各组织单元（OU）的非默认主体权限。 部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。 加强AD对象属性修改行为的日志监控，重点关注事件ID 5136等关键日志项。 该漏洞的特殊性在于：即使攻击者仅拥有普通用户常见的CreateChild权限，也可通过操纵dMSA属性接管域内任意账户，其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示，dMSA功能设计初衷是帮助企业安全迁移遗留服务账户，但此次研究表明新安全功能本身可能成为攻击突破口。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场由全球执法机构和私营企业联盟发起的协同行动成功瓦解了与信息窃取软件Lumma（又名LummaC或LummaC2）相关的网络基础设施，查封了2,300个充当命令与控制（C2）主干网络的域名。这些域名被用于控制数百万台受感染的Windows系统。 美国司法部在声明中指出：“LummaC2等恶意软件被部署用于窃取数百万受害者的敏感信息（如用户登录凭证），以实施包括欺诈性银行转账和加密货币盗窃在内的多种犯罪。”被没收的基础设施通过附属机构和其他网络犯罪分子在全球范围内实施攻击。自2022年底活跃的Lumma Stealer估计已被用于至少170万次信息窃取活动，目标包括浏览器数据、自动填充信息、登录凭证和加密货币助记词等。美国联邦调查局（FBI）已追踪到约1000万例感染事件。 此次查封影响了五个作为管理员和付费客户登录面板的域名，有效阻止了其继续入侵计算机和窃取受害者信息。欧洲刑警组织透露：“2025年3月16日至5月16日期间，微软在全球范围内识别出超过394,000台感染Lumma恶意软件的Windows计算机”，并称此次行动切断了恶意工具与受害者之间的通信。该机构将Lumma描述为“全球最具威胁性的信息窃取软件”。 微软数字犯罪调查部门（DCU）联合ESET、BitSight、Lumen、Cloudflare、CleanDNS和GMO Registry等网络安全公司，摧毁了构成Lumma基础设施主干的约2,300个恶意域名。DCU助理总法律顾问Steven Masada表示：“Lumma的主要开发者来自俄罗斯，使用网络化名‘Shamel’。他通过Telegram和其他俄语聊天论坛销售不同层级的服务——网络犯罪分子可根据购买的服务等级定制恶意软件、添加隐藏和分发工具，并通过在线门户追踪窃取的信息。” 这款以恶意软件即服务（MaaS）模式运营的窃取工具，提供从250至1000美元不等的订阅服务，开发者还提供20,000美元套餐以获取源代码和转售权。ESET补充说明：“基础套餐包含基本过滤和日志下载功能，高级套餐则提供自定义数据收集、规避工具和新功能优先使用权，最昂贵的套餐强调隐蔽性和适应性，提供独特构建生成和降低检测率功能。” 近年来，Lumma通过日益流行的点击修复（ClickFix）等传播方式成为知名威胁。微软追踪到该窃取软件背后的威胁组织Storm-2477，指出其分发基础设施具有“动态弹性”特征，综合运用钓鱼攻击、恶意广告、路过式下载、可信平台滥用和Prometheus等流量分发系统。Cato Networks周三发布的报告披露，疑似俄罗斯威胁组织正利用Tigris对象存储、Oracle云基础设施（OCI）对象存储和Scaleway对象存储托管虚假reCAPTCHA页面，通过点击修复式诱导下载Lumma Stealer。 该恶意软件的显著特征包括：采用九组频繁变更的一级域名和托管在Steam个人资料/Telegram频道的备用C2构成多层级基础设施；通过付费安装（PPI）网络或流量销售商分发；通常与商业软件的破解版捆绑传播；运营者创建了带评级系统的Telegram黑市供附属机构直接销售数据；核心二进制文件采用低级虚拟机（LLVM核心）、控制流扁平化等高级混淆技术阻碍静态分析；2024年4月至6月期间网络犯罪论坛上出现超21,000个Lumma日志销售帖，同比增幅达71.7%。 微软强调：“Lumma Stealer的分发基础设施灵活且适应性强，运营者持续优化技术手段——轮换恶意域名、利用广告网络和合法云服务规避检测。所有C2服务器都隐藏在Cloudflare代理之后，这种动态架构既能最大化攻击成功率，又增加了追踪难度。”云基础设施公司Cloudflare表示，其在恶意C2服务器和黑市域名前部署了新型验证警告页，并对相关账户采取封禁措施。Cloudforce One负责人Blake Darché指出：“虽然此次行动对全球最大信息窃取基础设施造成重大打击，但与其他威胁组织类似，Lumma运营者将调整策略卷土重来。” 2025年1月安全研究人员g0njxa的采访显示，Lumma开发者曾表示计划在次年秋季停止运营：“我们为当前成果付出了两年努力，这已成为日常生活而不仅仅是工作。” 该声明暗示着网络犯罪生态中恶意软件即服务模式的商业化程度已达到新高度。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟宣布新一轮制裁，针对与俄罗斯混合战争（涵盖虚假信息传播、破坏活动及间谍行动）相关的个人与实体。此次制裁覆盖俄罗斯军事情报总局（GRU）成员、社交媒体操控者及关键技术支持企业（如网络托管服务商与GPS干扰设备制造商），旨在应对俄乌冲突以来升级的混合威胁。欧盟外交政策高级代表约瑟普·博雷利强调：“俄罗斯战争持续越久，我们的回应将越强硬。” 制裁名单包括总部位于布拉格的亲俄媒体“欧洲之声”（Voice of Europe），该机构通过网站及Facebook、YouTube等平台实施“事实扭曲与媒体操纵”。调查显示，其资金源自与克里姆林宫关系密切的乌克兰政商寡头维克托·梅德韦丘克，该团伙曾干预2024年欧洲议会选举，资助亲俄候选人。捷克当局声称已于2023年捣毁该网络。此外，非洲倡议通讯社（African Initiative）及其负责人维克托·卢科文科因在非洲多国传播亲俄叙事被列入制裁。 英国网络托管商Stark Industries及其两名摩尔多瓦籍运营者因支持大规模网络攻击与虚假信息活动（如俄方主导的“Doppelgänger”行动）被制裁。该公司服务器被俄罗斯黑客组织及网络犯罪团伙频繁用于攻击基础设施。同时，俄罗斯联邦无线电频率中心（GRFC）及其负责人因批准在加里宁格勒部署新型GPS干扰设备，导致波罗的海国家民航系统频发信号故障，被纳入制裁范围。 欧盟对参与GPS干扰设备研发的俄罗斯军工企业及个人实施资产冻结与旅行禁令。GRFC电子战中心近期配备可大范围阻断通信的先进干扰系统，并在加里宁格勒开展演习。罗马尼亚与波兰总统选举前均监测到俄方虚假信息活动激增，欧洲多国纵火破坏事件也被认为与俄方特工有关。 被制裁实体与个人在欧盟境内的资产将被冻结，欧盟公民及企业禁止与其进行资金往来，相关人员同时被禁止入境（含过境）。此轮制裁是欧盟继2024年3月打击俄网络间谍网络后的又一次行动，反映其对混合威胁的持续高压态势。近期，爱沙尼亚、立陶宛等国报告俄方加强海底光缆侦察活动，欧盟正协同北约强化关键基础设施防护。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州电信运营商Cellcom确认，过去一周的语音与短信服务中断系网络攻击所致。该事件影响威斯康星州及密歇根上半岛地区用户，目前部分服务已逐步恢复。公司首席执行官布里吉德·里尔登在致客户信中表示：“尽管遭遇不幸，但我们对此类事件并非毫无准备，现有应急预案正在执行中。” Cellcom已向执法部门通报攻击事件，并与外部网络安全专家合作推进调查与系统修复。公司强调攻击仅影响不存储客户敏感数据的网络分区，暂未发现用户姓名、地址、财务信息等隐私外泄迹象。虽然部分服务已恢复，但全面运营可能需至本周末，具体时间表尚未明确。 里尔登在声明中透露，团队于前夜取得重大修复进展，预计本周内完成剩余服务恢复，但承诺“不会因追求速度而牺牲安全性与可信度”。此次攻击导致用户长达七日无法使用基础通信功能，社交媒体涌现大量投诉——有客户反映错过医疗预约、工作面试等重要事务。尽管公司承诺不涉及数据泄露，但拒绝提供账户迁移所需信息，加剧用户不满情绪。威斯康星州公共服务委员会正评估运营商是否违反紧急服务保障条例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称通过滥用Meta旗下Facebook的应用程序接口（API）非法获取了包含12亿条用户记录的数据库，并将该数据集发布于知名数据泄露论坛。若得到证实，这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查，发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息，初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度，因该攻击者此前仅发布过两次数据帖，推测可能通过分批次爬取累积至此规模。 此次事件再次暴露Facebook在API安全防护上的系统性缺陷。2021年曾有攻击者泄露超5亿用户电话号码与地理位置信息，导致欧盟罚款2.65亿欧元。研究人员指出，此类重复性事件表明Meta在数据安全措施上长期采取被动应对策略，尤其在保护公开可见但依然敏感的隐私数据方面存在严重疏漏。缺乏有效防护机制使数亿用户面临钓鱼攻击、金融诈骗及身份盗用风险。 攻击者利用此类大规模数据库可实施自动化攻击，例如向用户精准推送伪装成Facebook登录页面的钓鱼链接，或结合地理位置与生日信息设计定向诈骗剧本。安全专家强调，攻击者通过API接口超量获取数据已成行业顽疾，Shopify、GoDaddy等平台近年均遭遇类似攻击。API作为现代互联网服务的基础组件，其滥用问题亟待技术性与监管层面的双重解决方案。 Meta此前承认使用公开的Facebook与Instagram数据训练AI助手，此举引发隐私合规争议。目前Meta尚未就此次泄露事件发表声明，爱尔兰数据保护委员会正评估事件影响范围。欧盟监管部门重申将依据GDPR第25条“通过设计保护数据”原则，加大对科技企业数据滥用行为的处罚力度。安全社区建议用户立即启用双重验证并监控账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全博客KrebsOnSecurity近期遭遇峰值达6.3太比特/秒（Tbps）的分布式拒绝服务（DDoS）攻击，创下Google防御系统处理流量的新纪录。该博客由美国知名安全调查记者Brian Krebs运营，受Google免费反DDoS服务Project Shield保护，尽管攻击仅持续45秒，未造成服务中断，但暴露出物联网僵尸网络Aisuru的恐怖威力。 此次攻击由自2024年活跃的Aisuru僵尸网络发起，该网络通过Telegram以每周数百美元价格提供DDoS租用服务。攻击流量包含每秒5.85亿个UDP数据包，随机轰击服务器端口。Google安全工程师Damian Menscher证实，这是Google有史以来拦截的最大规模攻击，但得益于Project Shield的即时响应，博客未出现可见服务降级。 Aisuru的独特之处在于其专注于劫持路由器、监控摄像头等物联网设备，且未与其他僵尸网络形成设备资源竞争，这使得其攻击火力更为集中。安全专家警告，该网络利用未知漏洞控制设备，潜在破坏力远超传统僵尸网络。 此次攻击规模仅次于Cloudflare在2025年4月记录的6.5Tbps历史峰值。数据显示，2025年第一季度Cloudflare已拦截超700次“超大规模”攻击（流量超1Tbps），这类攻击通常仅持续35-45秒，但足以瞬间瘫痪多数网络基础设施。 Brian Krebs通过线索追踪到僵尸网络运营者“Forky”，此人长期经营DDoS租用业务。但面对质询时，Forky否认参与此次攻击，并拒绝透露客户信息。安全社区担忧，此类服务的匿名性正使DDoS攻击日益成为商业打击与网络勒索的常规武器。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现并调查了谷歌云平台（GCP）Cloud Functions与Cloud Build服务中潜在的权限升级漏洞。该漏洞最初由Tenable研究团队披露，攻击者可利用GCP云函数的部署流程获取高权限。谷歌随后发布补丁，限制默认Cloud Build服务账户的过度权限。 思科Talos团队在Tenable研究基础上，复现攻击手法并测试其对多云平台的影响。研究人员在GCP部署含恶意package.json文件的Debian服务器（集成NPM与Ngrok），通过提取令牌模拟攻击，确认谷歌补丁已修复原始提权路径。但实验表明，即使无特权访问，相同技术仍可用于环境探测（如系统映射）。将篡改后的package.json部署至AWS Lambda与Azure Functions后，验证该策略在跨云场景中的普适性。 研究揭示攻击者可利用的多种系统信息收集手段： 基于ICMP协议的网络拓扑发现 检测.dockerenv文件确认容器化环境 分析CPU调度机制识别初始化系统 容器ID与挂载点检查（用于逃逸路径探测） 操作系统与内核版本信息提取 用户权限扫描（辅助提权） 网络流量分析（漏洞评估） 此类技术无需特权凭证即可实施，在服务账户权限受控场景下仍具威胁。 谷歌根据Tenable报告调整Cloud Build运行逻辑，新增细粒度服务账户管控策略。Talos证实，GCP中利用此方法窃取服务账户令牌已不可行。企业防护措施应包括： 对所有服务账户实施最小权限原则 定期审计与监控权限配置 设置云函数异常修改告警 检查外发流量是否存在数据窃取迹象 验证外部NPM包的完整性 尽管原始漏洞已修补，该研究仍凸显宽松配置带来的持续性风险及多云环境持续监控的重要性。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Check Point披露，黑客利用伪造的Kling AI社交媒体页面及广告，诱导用户下载恶意软件。Kling AI是快手科技2024年6月推出的AI生成图像与视频平台，截至2025年4月用户超2200万。攻击者仿冒官网（如klingaimedia[.]com）设置钓鱼网站，宣称支持浏览器端生成多媒体内容，实则提供藏匿恶意代码的ZIP压缩包。 恶意文件采用双重扩展名（如.jpg.exe）及韩语填充符（0xE3 0x85 0xA4）伪装。压缩包内嵌加载器程序，可植入远程访问木马PureHVNC，并窃取浏览器凭证、会话令牌等数据。该加载器具备反分析能力： 监测Wireshark、OllyDbg等安全工具进程 修改注册表实现持久化驻留 通过注入CasPol.exe等系统进程规避检测 第二阶段载荷PureHVNC RAT使用.NET Reactor混淆，连接C2服务器185.149.232[.]197，具备窃取Chromium浏览器加密货币钱包插件数据、捕捉含特定关键词（银行/钱包名称）窗口截屏等功能。 Check Point已发现至少70个仿冒Kling AI的推广帖，部分广告显示攻击者可能来自越南。这种利用Facebook广告分发窃密软件的手法，与越南黑客组织近年活动模式高度吻合——例如2025年4月Morphisec曾曝光越南团伙通过虚假AI工具传播Noodlophile窃密程序。 《华尔街日报》指出，Meta旗下Facebook和Instagram正面临“诈骗泛滥”，虚假促销、投资骗局及赠品欺诈内容多源自斯里兰卡、越南及菲律宾。另据Rest of World调查，东南亚人口贩卖集团通过Telegram和Facebook发布虚假招聘广告，诱骗印尼青年至诈骗园区从事跨国投资欺诈。 Check Point警告，此类攻击结合社会工程与高阶恶意软件技术，标志着社交媒体定向攻击趋向精准化、复杂化。安全团队建议用户警惕AI工具类广告，下载前验证域名真实性，并启用实时文件扫描防护。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   卡巴斯基最新研究发现，俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示：“针对俄罗斯企业的攻击活动始于2023年3月，但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件，攻击者通过使用双扩展名（如“doc_054_[已编辑].pdf.rar”）将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序，当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”，同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件，运行系统工具“InstallUtil.exe”，并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制（C2）服务器建立SSL连接传输系统信息，包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应，C2服务器会发送多种执行恶意操作的辅助模块： PluginPcOption：可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify：检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词，并执行未经授权的资金转移等后续操作。 PluginClipper：作为剪切板劫持恶意软件，将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出：“该木马包含下载和运行任意文件的模块，可完全访问文件系统、注册表、进程、摄像头和麦克风，实现键盘记录功能，并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件，这是被称为PureCrypter的商业化下载器，自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件，该文件通过上述攻击流程运行“InstallUtil.exe”，最终启动名为“Ttcxxewxtly.exe”的可执行程序，该程序会解压并运行名为PureLogs的DLL载荷（“Bftvbho.dll”）。 PureLogs是一款现成的信息窃取程序，可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调：“PureRAT后门和PureLogs窃取程序具有广泛功能，可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文