HackerNews

HackerNews 编译，转载请注明出处： 趋势科技敦促其Apex One终端安全解决方案本地版本的用户安装更新，以修复两个0day漏洞。该公司于周二发布的安全公告警告客户，两个被追踪为CVE-2025-54948和CVE-2025-54987的关键漏洞已在至少一起野外攻击中被利用。 这些安全漏洞被称为操作系统命令注入问题，会影响Apex One管理控制台。未经身份验证的远程攻击者可以利用这些漏洞上传恶意代码，并在受影响的系统上执行命令。 CVE-2025-54987被描述为“本质上与CVE-2025-54948相同”，但影响不同的CPU架构。 趋势科技告知客户：“对于这个特定的漏洞，攻击者必须能够访问趋势科技Apex One管理控制台。因此，如果客户将控制台IP地址暴露在外部，应考虑采取诸如源限制之类的缓解措施（如果尚未应用的话）。” 根据公告，漏洞已于8月1日报告给趋势科技，该公司似乎紧急发布了漏洞补丁。 目前尚未分享有关利用CVE-2025-54948和/或CVE-2025-54987的0day攻击的详细信息。 漏洞由台湾网络安全公司CoreCloud Tech的研究员Jacky Hsieh报告。 威胁行为者针对趋势科技产品漏洞发起攻击的情况并不罕见。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google成为最新一家在ShinyHunters勒索集团持续发动的Salesforce CRM数据窃取攻击中遭遇数据泄露的公司。 6月，Google曾警告称，一个被其归类为“UNC6040”的威胁行为者正针对企业员工发起语音钓鱼（vishing）社会工程攻击，以入侵Salesforce实例并下载客户数据。这些数据随后被用于勒索公司支付赎金，以防止数据泄露。 在昨晚发布的一则简要更新中，Google表示其自身也在6月成为同类攻击的受害者，旗下一个Salesforce CRM实例遭入侵，客户数据被盗。 “6月，Google的一个企业Salesforce实例受到了本公告所述UNC6040类似活动的影响。Google已对该活动做出响应，进行了影响分析并开始实施缓解措施，”Google的更新写道。“该实例用于存储中小企业的联系信息及相关备注。分析显示，威胁行为者在访问被切断前的短暂时间窗口内获取了数据。” “威胁行为者获取的数据仅限于基础的、且大部分为公开的商业信息，例如企业名称和联系方式。” Google将这些攻击背后的威胁行为者归类为“UNC6040”或“UNC6240”。然而，持续追踪此类攻击的BleepingComputer获悉，臭名昭著的威胁行为者ShinyHunters正是这些攻击的幕后黑手。 ShinyHunters活跃多年，对包括PowerSchool、Oracle Cloud、Snowflake数据窃取攻击、AT&T、NitroPDF、Wattpad、MathWay等在内的多起泄露事件负责。 在昨日与BleepingComputer的对话中，ShinyHunters声称已入侵多个Salesforce实例，且攻击仍在进行。该威胁行为者昨日向BleepingComputer宣称，他们入侵了一家市值万亿美元的公司，并正考虑直接泄露数据而非尝试勒索。目前尚不清楚这家公司是否为Google。 对于受攻击影响的其他公司，该威胁行为者正通过电子邮件进行勒索，要求其支付赎金以防止数据被公开泄露。一旦完成私下勒索，他们计划在黑客论坛上公开泄露或出售数据。 BleepingComputer获悉，已有一家公司支付了4枚比特币（约合40万美元）以防止其数据泄露。 其他受此次攻击影响的公司包括阿迪达斯、澳洲航空、安联人寿、思科，以及LVMH旗下的路易威登、迪奥和蒂芙尼公司。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为“幽灵呼叫”（Ghost Calls）的新型攻击后命令与控制（C2）规避技术，通过滥用Zoom和Microsoft Teams等会议应用的TURN服务器，将流量隧道化传输至受信任的基础设施中。 幽灵呼叫技术利用合法凭证、WebRTC及定制工具，在不依赖漏洞利用的情况下，绕过了大多数现有防御和反滥用措施。 该新战术由Praetorian安全研究员Adam Crosser在BlackHat USA大会上公布，并强调红队（Red Teams）在执行渗透模拟演习时可使用该技术。 “我们利用专为实时、低延迟通信设计的网络会议协议，这些协议通过作为天然流量中继的全球分布式媒体服务器运行，”演示文稿摘要中写道。“这种方法使操作者能够将交互式C2会话融入正常的企业流量模式中，使其看起来就像临时加入了一个在线会议。” 幽灵呼叫如何运作 TURN（Traversal Using Relays around NAT）是一种网络协议，常见于视频通话、VoIP和WebRTC服务中。当设备位于NAT防火墙后无法直接连接时，它可帮助设备相互通信。 当Zoom或Teams客户端加入会议时，它会收到临时TURN凭证。幽灵呼叫技术可劫持这些凭证，在攻击者与受害者之间建立基于TURN的WebRTC隧道。该隧道可用于代理任意数据，或将C2流量伪装成通过Zoom或Teams使用的受信任基础设施传输的常规视频会议流量。 由于流量通过企业广泛使用的合法域名和IP地址路由，恶意流量可绕过防火墙、代理和TLS检测。此外，WebRTC流量是加密的，因此隐蔽性极佳。通过滥用这些工具，攻击者既能避免暴露自身域名和基础设施，又能享受高性能、可靠的连接，以及通过443端口同时使用UDP和TCP的适应性优势。相比之下，传统C2机制速度慢、特征明显，且通常缺乏支持VNC（虚拟网络计算）操作所需的实时交换能力。 TURNt工具 Crosser的研究最终开发出一款名为“TURNt”的自定义开源工具（可在GitHub获取），该工具可利用Zoom和Teams提供的WebRTC TURN服务器对C2流量进行隧道化传输。 TURNt包含两个组件：运行在攻击者端的控制器（Controller）和部署在已入侵主机上的中继器（Relay）。控制器运行一个SOCKS代理服务器，用于接收通过TURN隧道传输的连接。中继器使用TURN凭证回连控制器，并通过提供商的TURN服务器建立WebRTC数据通道。 TURNt可执行SOCKS代理、本地或远程端口转发、数据窃取，并支持隐蔽的VNC流量隧道传输。 尽管幽灵呼叫技术并未利用Zoom或Microsoft Teams的任何漏洞，BleepingComputer已联系两家供应商，询问其是否计划引入额外保障措施以降低该技术的可行性。将在收到任一方回复后更新本文。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，黑客一直在发送伪装成乌克兰法院传票的虚假邮件，以此针对乌克兰政府、军事及国防部门实施新的网络间谍活动。 乌克兰计算机应急响应小组（CERT-UA）追踪到此次攻击活动由黑客组织UAC-0099发起。乌克兰网络安全部门此前表示，该组织至少自2022年起就在该国活跃，并已非法远程入侵数十台本地计算机。 在最新行动中，黑客发送了伪装成法院传票的网络钓鱼邮件。这些邮件包含指向合法文件共享平台的链接，这些平台提供捆绑了恶意软件的压缩文件。 攻击中使用的主要恶意软件Matchboil能收集系统数据并部署其他恶意工具——包括允许远程命令执行的后门程序Matchwok，以及窃取浏览器密码、Cookies和桌面文件等数据的窃取程序Dragstare。 CERT-UA未透露受影响的系统数量及泄露的数据量。虽然该机构尚未将攻击归因于特定国家，但其战术和攻击模式与此前俄罗斯黑客的行动相似。 乌克兰网络安全机构此前曾将UAC-0099与2024年末的一系列攻击相关联，当时该组织针对林业部门、法医机构和工业设施发动攻击。当时该组织使用名为Lonepage的不同恶意软件，而在近期行动中似乎已替换为Matchboil。 “战术、技术和工具的转变表明这一网络威胁具有持续演变的特性。”研究人员指出。 在俄乌冲突背景下，CERT-UA的报告通常仅提供有限技术细节，但为持续的网络行动提供了罕见洞察。该机构早前曾警告，黑客通过冒充乌克兰无人机制造商和国家机构，在军事及政府系统中植入窃取数据的恶意软件。另一起在6月监测到的攻击活动则涉及通过加密通讯应用Signal分发与俄罗斯军事情报机构关联的恶意软件。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国电信（Deutsche Telekom）旗下的电视及流媒体平台MagentaTV，因广告投放平台漏洞导致用户数据泄露。研究人员认为，包含用户IP地址和MAC地址在内的数据在被修复前已暴露数月。 今年6月中旬，Cybernews研究团队发现由服务器端广告插入（SSAI）平台Serverside.ai托管的一个未受保护的Elasticsearch实例，从而揭露了此次泄露。该团队表示，暴露实例上的所有数据均源自德国电信（DT）拥有的视频流聚合平台MagentaTV。 这家德国电信公司是欧洲最大的电信运营商，旗下拥有多家子公司及T-Mobile品牌。而Serverside.ai隶属于法国广告技术公司Equativ。 研究人员认为该实例至少自2025年2月初起即可公开访问，直至6月团队联系后才被撤出公开范围。团队已联系德国电信寻求回应，将在收到回复后更新内容。 泄露涉及哪些具体信息？ 虽然暴露实例中的大部分信息可视为非敏感数据，但部分泄露日志包含MagentaTV客户发送请求的HTTP头部信息。用户每次与平台交互时都会生成带有HTTP头部的请求。 尽管第三方来源估计MagentaTV用户基数约为440万人，但暴露实例包含超过3.24亿条日志条目，数据量高达729GB。此外，研究人员称该实例每天新增400万至1800万条日志。 据团队分析，虽然大部分数据不敏感，但泄露内容仍包含部分用户数据： IP地址 MAC地址 会话ID 客户ID 用户代理 数据泄露揭示客户详情 这些暴露信息包括：唯一互联网连接标识符、硬件标识符、唯一用户账号、以及客户设备信息。理论上，攻击者可利用泄露数据追踪用户位置、识别身份并对特定设备发起定向攻击。但研究人员认为恶意利用这些数据需付出额外努力。 “理论上，包含客户ID和会话ID的HTTP头部可用于会话劫持，使攻击者无需账户信息或密码即可登录客户账户。但现实中，很可能存在额外的安全措施防止此类劫持。”研究人员解释道。 另一风险在于潜在的交叉比对。攻击者可将泄露数据与历史泄露库信息进行比对。由于IP地址常见于泄露数据中，这可能帮助恶意行为者识别MagentaTV用户。 调查还显示，MagentaTV服务主要通过德国电信销售的电视盒子访问，这与该流媒体聚合平台的所有权关系一致。这些设备由中国原始设备制造商（OEM）生产，后以德国电信合作品牌转售。团队认为此类OEM设备通常更易存在安全漏洞，加剧了此次泄露的风险。 “泄露信息对攻击者极具价值：暴露的IP地址有助于设备漏洞利用，而客户ID则能辅助网络犯罪分子实施攻击，具体危害取决于实际利用方式。”团队总结道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta正在打击东南亚的大型诈骗中心，这些中心同时运作多种欺诈活动。Meta表示已检测并封禁超过680万个WhatsApp账户，并将在该平台推出新的安全功能。 默认情况下，WhatsApp允许任何人邀请其他用户加入群组，除非用户自行更改隐私设置。这一功能常被网络犯罪分子滥用，用于实施加密货币投资诈骗、传销计划及其他骗局。 黑客只需获得用户电话号码即可将其拉入群组，而这些号码在数据泄露事件中持续暴露或被出售于暗网市场。 “WhatsApp始终允许任何获知您电话号码的人发送消息或将您拉入群组。这就像任何人获知您的联系方式后都能发送短信或邮件一样。默认情况下，您的群组隐私设置处于‘所有人’可添加的状态。”支持页面如此说明。 这一机制虽未改变，但当用户被未知联系人拉入群组时，现在将收到警示。“我们将推出新的安全概览功能。当您被不在通讯录中的联系人添加至一个可能不熟悉的WhatsApp新群组时，系统会向您展示该群组的关键信息和安全提示，”Meta表示。 该警示将提供选项：用户无需查看聊天内容即可直接退出群组，或进入聊天界面查看更多上下文。“无论选择如何，在您明确表示愿意留在群组前，该群组的所有通知将被静音，”Meta补充道。 Meta同时认识到诈骗者常尝试通过私聊信息首次接触用户。WhatsApp正在测试新方法，以在与不请自来的发件人互动前提升用户警觉性。“我们正探索在您与通讯录外联系人发起聊天时发出警示，通过展示对方更多背景信息助您做出明智决定。” 今年上半年，WhatsApp已封禁超过680万个与诈骗中心关联的账户。其中许多账户在诈骗分子利用其进行恶意活动前已被检测并删除。这款即时通讯应用拥有近30亿月活跃用户。 据Meta透露，WhatsApp与OpenAI合作挫败了来自柬埔寨的诈骗活动。诈骗者使用ChatGPT编写初始信息→引导至WhatsApp聊天→转移至Telegram→以“点赞TikTok视频换取报酬”为诱饵。最终这些收益均为虚假，诈骗者会要求受害者向加密货币账户存款。 “诈骗手法包括：虚假点赞换酬金、租赁摩托车传销计划、加密货币投资骗局等。” 若您不希望被陌生人拉入群组，请更改WhatsApp群组隐私设置：进入设置→隐私→群组，在此选择“我的联系人”或其他限制选项。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球历史最悠久的电影节已确认遭遇数据泄露，导致多位参与者的个人信息外泄。 威尼斯国际电影节确认发生数据泄露事件，黑客获取了包括记者在内的参与者的个人信息。该事件在《好莱坞报道》（The Hollywood Reporter）记者收到泄露通知函后被曝光，通知函称攻击发生于今年7月。 据《好莱坞报道》称，活动主办方表示黑客攻击发生于2025年7月7日，未经授权的个人入侵了电影节系统并复制了其服务器上存储的文件。少量数据从电影节系统中被盗，包括姓名、电子邮箱地址、电话号码、税号及邮寄地址。 电影节IT团队表示已“迅速采取行动”，成功隔离“受影响系统”并完成加固。“我们已立即通知主管当局，并启动了系统恢复操作。” 此次黑客攻击恰逢第82届威尼斯国际电影节前夕，本届电影节定于2025年8月27日至9月6日举行。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国和荷兰的载旗航空公司法航（Air France）与荷兰皇家航空（KLM Royal Dutch Airlines）已向受影响的客户发送数据泄露通知，告知其个人信息受到第三方数据泄露事件影响。 据荷兰科技媒体Tweakers.com获取的泄露通知显示，攻击者通过入侵第三方服务提供商获取了荷航的客户数据。该公司向Cybernews确认发生了第三方数据泄露事件。同属一家控股公司的法航和荷航正在调查各自公司数据遭非法访问的情况。 “我们在客服中心使用的第三方平台上检测到异常活动，这促使我们的IT安全团队与相关第三方系统迅速实施纠正措施以终止该事件。”公司通过电子邮件发送给Cybernews的声明中写道。 通知称，护照号码、支付卡详细信息、密码或航空公司忠诚计划“蓝天飞行”（Flying Blue Miles）的里程余额未在此次攻击中泄露。但攻击者成功获取了以下个人身份信息： 姓氏 名字 联系方式 “蓝天飞行”会员号及等级 服务请求邮件的主题行 泄露数据强烈表明攻击者入侵了荷航的客户服务合作伙伴或类似服务提供商。 目前尚不清楚有多少人受此次荷航客户数据泄露影响，但受影响者将面临更高的网络安全风险。一方面，攻击者可利用被盗信息进行身份盗用，这通常会导致开设欺诈账户。网络犯罪分子还可能利用数据进行社会工程攻击，冒充航空公司代表针对客户实施诈骗。这类定向骗局常利用客户对航班取消或其他旅行问题的恐慌心理。 荷航的泄露通知声明，航空公司已向荷兰数据保护局报告该事件，同时建议受影响客户保持警惕，谨防可疑信息。 作为法航-荷航航空控股公司的一部分，荷航是欧洲航空业的重要参与者。该公司拥有近200架飞机，去年营收超过145亿美元，员工超36,000人。法航则拥有38,000名员工，年营收近190亿美元。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在亚马逊弹性容器服务（Amazon Elastic Container Service, ECS）中演示了一种“端到端权限提升链条”攻击方法。攻击者可利用该漏洞进行横向移动、访问敏感数据并控制整个云环境。 该攻击技术被安全研究公司Sweet Security的研究员Naor Haziz命名为“ECScape”，他于今日在拉斯维加斯举行的Black Hat USA安全会议上公布了这一发现。 “我们发现了一种方法，可以滥用一项未记录的ECS内部协议，获取同一EC2实例上其他ECS任务所属的AWS凭证，”Haziz在分享给The Hacker News的报告中说，“一个拥有低权限IAM（身份与访问管理）角色的恶意容器，可以获取在同一主机上运行的更高权限容器的权限。” Amazon ECS是一项完全托管的容器编排服务，允许用户部署、管理和扩展容器化应用程序，并与Amazon Web Services（AWS）集成以在云中运行容器工作负载。 Sweet Security发现的漏洞本质上允许权限提升：运行在ECS实例上的低权限任务，可以通过窃取凭证劫持同一EC2机器上更高权限容器的IAM权限。 换言之，ECS集群中的恶意应用程序可以伪装成更高权限的任务。这是通过利用在地址169.254.170[.]2运行的元数据服务实现的，该服务暴露了与任务IAM角色关联的临时凭证。 虽然这种方法确保每个任务在运行时获得其IAM角色的凭证，但ECS代理身份的泄露可能允许攻击者冒充该代理并获取主机上任何任务的凭证。完整攻击序列如下： 获取主机的IAM角色凭证（EC2实例角色）以冒充代理 发现代理通信的ECS控制平面端点 收集必要的标识符（集群名称/ARN、容器实例ARN、代理版本信息、Docker版本、ACS协议版本和序列号），使用任务元数据端点和ECS内省API作为代理进行身份验证 伪造并签署代理通信服务（Agent Communication Service, ACS）WebSocket请求，冒充代理并将“sendCredentials”参数设置为“true” 收集该实例上所有运行中任务的凭证 “伪造的代理通道也能保持隐蔽，”Haziz表示，“我们的恶意会话模仿了代理的预期行为——确认消息、递增序列号、发送心跳——因此不会显得异常。” “通过冒充代理的上游连接，ECScape彻底瓦解了该信任模型：一个被攻陷的容器可以被动收集同一EC2实例上所有其他任务的IAM角色凭证，并立即以这些权限行动。” 在共享EC2主机上运行ECS任务时，ECScape可能造成严重后果，因为它为跨任务权限提升、凭证泄露和元数据窃取打开了大门。 在负责任的披露后，亚马逊强调了客户在适用情况下采用更强隔离模型的必要性，并明确在其文档中指出：在EC2中没有任务隔离，“容器可能访问同一容器实例上其他任务的凭证”。 作为缓解措施，建议： 避免在同一实例上部署高权限任务与不可信或低权限任务 使用AWS Fargate实现完全隔离 禁用或限制任务的实例元数据服务（IMDS）访问 限制ECS代理权限 设置CloudTrail警报以检测IAM角色的异常使用 “核心教训是应将每个容器视为可能被攻陷的对象，并严格限制其爆炸半径，”Haziz说，“AWS便捷的抽象（任务角色、元数据服务等）方便了开发者，但当多个具有不同权限级别的任务共享底层主机时，其安全性仅取决于隔离它们的机制——而这些机制可能存在微妙的弱点。” 此漏洞披露正值近期报告多起云安全漏洞之际，包括： 谷歌Cloud Build与GitHub集成中的竞争条件漏洞（可能绕过维护者审查执行未审核代码） Oracle云基础设施（OCI）代码编辑器中的远程代码执行漏洞（可劫持Cloud Shell环境） 名为“I SPy”的攻击技术（利用Microsoft Entra ID中的服务主体进行权限提升和持久化） Azure机器学习服务中的权限提升漏洞（允许存储账户访问者执行任意代码） 旧版AmazonGuardDutyFullAccess策略的范围漏洞（可能导致组织被完全接管） 滥用Azure Arc进行权限提升和持久化的攻击技术 Azure内置Reader角色权限过高及API漏洞（可被串联利用泄露VPN密钥） 谷歌Gerrit中的供应链漏洞“GerriScary”（允许向ChromiumOS等关键项目提交未授权代码） 谷歌云平台配置错误（暴露了互联网交换点内部子网络） “ConfusedFunction”权限提升漏洞的扩展（可适配AWS和Azure平台） “最有效的缓解策略是确保云环境中所有服务账户（SA）遵循最小权限原则，且没有遗留云SA仍在使用，”Talos表示，“确保所有云服务和依赖项均已应用最新安全补丁。若存在遗留SA，请用最小权限SA替换它们。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司披露，在针对其公司代表的语音钓鱼（vishing）攻击后，网络犯罪分子窃取了在Cisco.com注册用户的基本档案信息。 这家网络设备巨头于7月24日发现该事件，调查发现攻击者诱骗了一名员工，并获得了对思科使用的第三方云客户关系管理（CRM）系统的访问权限。 这导致攻击者窃取了拥有Cisco.com用户账户的个人的个人信息和用户信息，包括姓名、组织名称、地址、思科分配的用户ID、电子邮箱地址、电话号码以及账户元数据（如创建日期）。 然而，思科表示攻击者未获取“组织客户的机密或专有信息，或任何密码及其他类型的敏感信息”。思科补充说，该事件未影响其产品或服务，且其他思科CRM系统实例也未受影响。 “获悉事件后，我们立即终止了攻击者对该CRM系统实例的访问权限，并启动了调查。思科已与数据保护机构沟通，并根据法律要求通知了受影响的用户，”该公司称。“我们正在实施进一步的安全措施，以降低未来发生类似事件的风险，包括重新培训员工如何识别和防范潜在的语音钓鱼攻击。” 思科尚未披露有多少个人的个人信息和用户账户信息在此次事件中被盗，也未说明攻击者是否要求支付赎金以换取不泄露被盗数据。 Salesforce CRM数据泄露事件 尽管思科尚未确认，但这很可能与持续利用语音钓鱼和社会工程技术的Salesforce数据窃取攻击浪潮有关，该攻击被归因于ShinyHunters勒索团伙。 近期还有其他知名企业受到Salesforce数据泄露影响，包括阿迪达斯（Adidas）、澳洲航空（Qantas）、安联人寿（Allianz Life）、LVMH集团旗下品牌路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.），以及时尚巨头香奈儿（Chanel）。 BleepingComputer联系思科发言人希望分享受影响用户数量详情并确认数据是否从被入侵的Salesforce实例窃取时，对方未立即回应。 去年10月，在名为IntelBroker的威胁攻击者于黑客论坛BreachForums泄露“非公开”数据后，思科还不得不将其公共DevHub门户下线。一个月后，思科确认该攻击者从配置错误的面向公众的DevHub门户下载了文件，其中包括一些属于CX Professional Services客户的文件。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 丹麦珠宝巨头Pandora披露了一起数据泄露事件，其客户信息在持续的Salesforce数据窃取攻击中被盗。 Pandora是全球最大的珠宝品牌之一，拥有2700个门店及超过37,000名员工。 “我们特此告知您，您的联系信息被未经授权方通过我们使用的第三方平台获取，”Pandora发送给客户的数据泄露通知中写道。“我们已终止该访问行为，并进一步强化了安全措施。” 据《福布斯》率先报道，此次攻击中仅窃取了客户的姓名、出生日期和电子邮箱地址。密码、身份证明文件及财务信息未遭泄露。 尽管Pandora未公布第三方平台名称，但BleepingComputer获悉数据是从该公司的Salesforce数据库中窃取的。 自2025年1月（或更早）起，威胁攻击者持续针对企业员工及服务台开展社会工程和钓鱼攻击。这些攻击旨在窃取Salesforce凭证，或诱骗员工向恶意OAuth应用授予其Salesforce账户的访问权限。 攻击者利用该权限下载并窃取企业的Salesforce数据库，继而勒索企业支付赎金以阻止数据泄露。 ShinyHunters组织向BleepingComputer证实，他们正私下勒索企业，并威胁将对拒绝支付赎金的企业实施大规模数据销售或泄露，其手法类似此前针对Snowflake的数据窃取攻击。该组织同时确认攻击仍在持续，因此所有企业应遵循Salesforce关于强化账户安全的建议。 Salesforce向BleepingComputer表示：“Salesforce平台本身未遭入侵，所述问题也非因平台已知漏洞所致。尽管我们为企业级安全构建了全面防护，但客户在保障自身数据安全方面同样扮演关键角色——尤其是在复杂钓鱼与社会工程攻击激增的背景下。我们持续敦促所有客户遵循安全最佳实践，包括启用多因素认证（MFA）、执行最小权限原则，以及审慎管理关联应用。” 其他受此攻击影响的企业包括阿迪达斯（Adidas）、澳洲航空（Qantas）、安联人寿（Allianz Life），以及LVMH集团旗下的路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.）。但据BleepingComputer了解，尚有更多未公开披露的受害企业。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，间谍软件制造商Candiru据信利用新基础设施，通过Windows恶意软件攻击计算机。 Recorded Future公司Insikt研究小组周一发布的研究报告揭示了与该间谍软件（“DevilsTongue”）相关的八个不同的操作集群。报告称，其中五个集群高度活跃，包括与匈牙利和沙特阿拉伯相关的集群。 报告指出，“此基础设施既包括可能用于部署和控制Candiru‘DevilsTongue’间谍软件的面向受害者组件，也包括间谍软件操作者使用的高层基础设施。”研究人员表示，“虽然有些集群直接管理其面向受害者的基础设施，但其他集群通过中间基础设施层或Tor网络（允许使用暗网）进行管理。” 除与匈牙利和沙特阿拉伯相关的活跃集群外，研究人员还发现另一个与印度尼西亚相关的集群，其活跃状态似乎持续至2024年11月。报告称，研究人员无法确定与阿塞拜疆相关的另外两个集群是否仍处于活跃状态。 “DevilsTongue”是微软为该Windows间谍软件命名的。研究报告作者、Recorded Future高级威胁研究员朱利安-费迪南德·沃格勒（Julian-Ferdinand Vögele）表示，关于其全部部署方法的公开报道有限。不过，沃格勒称，泄露的材料显示它“理论上”可以通过恶意链接、武器化文件、中间人攻击以及对Windows设备的物理访问进行传播。 沃格勒表示，“DevilsTongue”既通过攻击者控制的URL（例如在鱼叉式网络钓鱼邮件中发现的链接）部署，也通过名为“水坑攻击”的战略性网站入侵（通常利用网络浏览器中的漏洞）进行部署。 Insikt研究小组还在Candiru的公司网络内发现了一个新实体，该实体似乎是在Candiru资产被美国投资公司“诚信伙伴基金”（Integrity Partners）收购时成立的。报告将该新实体确定为“一家名为Integrity Labs Ltd的以色列私营公司”。研究人员认为，时间点表明这家独立公司可能参与了收购过程。 科技新闻媒体CTech于今年4月报道称，诚信伙伴基金以3000万美元收购了Candiru的资产。CTech报道称，诚信伙伴基金随后将Candiru的资产和员工转移至一个新实体，从而规避了美国政府的制裁。 诚信伙伴基金在其网站上未列出媒体联系人信息或任何电子邮件地址。该公司的一位合伙人未立即回复通过LinkedIn发送的消息。 美国商务部于2021年将Candiru列入其实体清单。被列入该清单意味着该公司被认为构成国家安全风险，并对其出口和其他交易施加重大限制。 根据公民实验室（Citizen Lab）2022年的一份报告揭示西班牙政府实施的大规模监控行动，西班牙加泰罗尼亚独立运动成员曾成为Candiru间谍软件的目标。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 年龄验证系统无助于使互联网对儿童更安全。根据电子前沿基金会（EFF）的说法，这是保护儿童上网的最新“误导性尝试”之一。 2025年7月25日，英国《在线安全法案》正式生效。该立法旨在防止未成年人访问含有色情内容及其他有害信息的网站，例如涉及自残、饮食失调或自杀的内容。 新法规要求网站所有者和应用程序开发者部署年龄验证系统及控制措施以核验用户年龄。拒绝合规的平台将面临最高1800万英镑或其全球年营业额10%（以较高者为准）的罚款。 自法案提出之初，批评者便质疑其有效性。埃隆·马斯克（Elon Musk）指责英国政府“加强审查制度”。英国Spotify用户同样不满，认为政府此举为“警察国家”铺平了道路。 致力于维护互联网公民自由的国际非营利组织——电子前沿基金会（EFF）也对《在线安全法案》提出批评。 该民权组织指出，该法案不过是保护儿童上网的“误导性方案”，并呼吁政界人士探索更有效的年龄验证方法。 “《在线安全法案》威胁用户隐私，通过仲裁网络言论限制表达自由，面部检查导致用户遭受算法歧视，更使数百万没有个人设备或身份证件的群体被排除在网络之外，”EFF在博客中声明，“若英国真想实现‘全球最安全网络空间’的目标，就必须率先推行真正保护所有用户（包括儿童）的政策，而非强制实施伤害本应保护对象的法规。” 英国通信管理局Ofcom回应称，虽知年龄验证系统并非“万全之策”，但仍支持该立法。 “过去儿童即使无意搜索也可能轻易接触到色情等有害内容。年龄核验将有效阻止此类情况，”Ofcom网络安全事务总监奥利弗·格里菲斯（Oliver Griffiths）在法案生效时向媒体表示，“我们正在评估平台合规情况，未达标企业将面临执法行动。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肾脏透析巨头DaVita今年初遭遇勒索软件攻击，单州超1.3万人受影响。该公司向数千名美国公民发出违规通知，告知其可能已成为网络攻击受害者。2025年4月，勒索软件团伙入侵DaVita实验室服务器，公司向华盛顿州总检察长办公室提交的数据显示，仅该州就有13,000余人信息被泄露。 根据DaVita在2025年4月12日发布的声明：“发现安全事件导致实验室服务器遭未授权访问，当日即启动事件响应协议清除入侵者”。泄露信息包含： 姓名；地址；出生日期；社会安全号码；健康保险信息 临床数据（健康状况、治疗记录、透析实验室检测结果） 部分人员税务识别号及支付给DaVita的支票影像 公司强调并非所有个体均暴露全部数据字段，但攻击者可能利用信息实施身份盗窃、金融欺诈或医疗身份盗用（例如骗取管制药物处方）。此次攻击由Interlock勒索软件团伙发起，该团伙自2024年底活跃，因攻击DaVita及中西部医疗集团Kettering Health而臭名昭著。据监测工具Ransomlooker统计，该团伙过去12个月已侵害至少51个组织。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科Talos研究人员周二披露，戴尔数百万台笔记本电脑采用的安全芯片存在漏洞，可能使攻击者窃取敏感数据，并在设备重装操作系统后仍维持访问权限。该研究此前未公开，经戴尔6月安全公告确认，影响超100款笔记本型号，涉及存储密码、生物识别数据及安全代码的专用芯片，该芯片同时负责安装指纹/智能卡/NFC驱动及固件。 研究人员表示尚无漏洞野外利用迹象。戴尔已于3月至5月分阶段发布补丁，并于6月13日发布完整安全公告。漏洞专属于戴尔ControlVault安全固件与软件采用的博通BCM5820X芯片。思科Talos高级漏洞研究员Philippe Laulheret指出，受影响的Latitude与Precision等机型广泛用于网络安全行业及政府场景，“需通过智能卡或NFC强化登录安全的敏感行业更易受波及”。 Laulheret在周二发布的博客中透露，相关分析将于8月6日拉斯维加斯黑帽安全大会上展示。思科Talos外联负责人Nick Biasini强调，此发现凸显需加强对处理生物识别等敏感数据的硬件安全研究：“安全飞地、生物识别等技术的应用日益广泛，虽提升设备安全性，却也引入了新攻击面”。 戴尔发言人声明称已“快速透明地解决问题”，并指引用户查阅6月13日公告：“建议客户及时安装我们提供的安全更新并升级至受支持的产品版本，以确保系统安全。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新报告揭露，今夏为期12天的对以冲突期间，亲伊朗黑客组织的网络威胁活动骤然激增。SecurityScorecard称其分析了25万条Telegram消息，揭示出涵盖情报收集、宣传攻势及针对关键基础设施与公共实体的直接攻击等多重活动。这些行动源自国家支持的黑客、代理人组织及支持伊朗战争目标的“意识形态同盟黑客活动分子”等多元群体。 主要活动包括： 宣传渗透：至少178个Telegram群组散布亲伊朗宣传，将“意识形态驱动讯息与协同网络攻击结合”，典型频道含“伊斯兰黑客军团”“抵抗阵线”等。 混合攻击：巴勒斯坦关联组织Cyber Islamic Resistance、Cyber Fattah，阿富汗Fatimion团队及伊斯兰黑客军团等团体，以“地方不满叙事”为名发起DDoS攻击、钓鱼行动及数据转储。 数据窃取：国家背景的Cyber Fattah通过扫描网络漏洞入侵沙特运动会系统，泄露含数千条个人身份信息（PII）的记录。 破坏行动：Fatimion团队实施网站篡改与DDoS攻击；Cyber Islamic Resistance进行服务中断、宣传广播及“士气动员”。 漏洞交易：突尼斯Maskers网络部队等牟利组织售卖零日漏洞并实施数据窃取。 国家级APT攻击同步升级 黑客组织Tortoiseshell（又名Cuboid Sandstorm）在冲突爆发数日内注册nowsupportisrael[.]com等煽动性域名，利用虚拟服务器托管钓鱼页面。该组织通过仿造支持以色列的请愿表单，诱骗希伯来语用户提交信息，并向筛选目标投放RemCosRAT远控木马。 报告指出，这些威胁行为体与伊朗伊斯兰革命卫队（IRGC）的关联程度及技术能力差异显著。“区分国家支持组织与机会主义团体对厘清日益复杂的网空冲突至关重要。”建议企业加强员工对钓鱼攻击的警觉性，并要求安全供应商评估自身是否可能成为攻击目标。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布安全更新修复安卓系统多项安全漏洞，包含两个已被实际利用的高通漏洞。漏洞涉及CVE-2025-21479（CVSS评分8.6）与CVE-2025-27038（CVSS评分7.5），二者与CVE-2025-21480（CVSS评分8.6）均由芯片制造商于2025年6月披露。 CVE-2025-21479属于图形组件授权错误漏洞，可能导致因GPU微代码中未经授权的命令执行而引发内存损坏。CVE-2025-27038则是图形组件的释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。 目前尚无漏洞实际利用细节，但高通曾声明“谷歌威胁分析小组迹象表明，CVE-2025-21479、CVE-2025-21480、CVE-2025-27038可能已被有限且针对性利用”。鉴于Variston、Cy4Gate等商业间谍软件供应商曾利用类似高通芯片漏洞，推测上述漏洞可能已被同类场景滥用。 这三项漏洞已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞目录，要求联邦机构在2025年6月24日前完成更新。 谷歌2025年8月补丁还修复了安卓框架中两个高危权限提升漏洞（CVE-2025-22441与CVE-2025-48533）以及系统组件关键漏洞（CVE-2025-48530）。后者在与其他漏洞串联时，无需额外权限或用户交互即可实现远程代码执行。 谷歌提供2025-08-01和2025-08-05两套补丁级别，后者额外包含Arm与高通闭源及第三方组件修复方案。建议安卓用户及时安装更新以防范潜在威胁。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。 此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。 Wiz已向NVIDIA负贵披露这些发现，目前补丁已发布。我们感谢NVIDIA安全团队的高效协作与快速响应。NVIDIA为此漏洞链分配了以下标识符：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334。强烈建议所有Triton用户升级至最新版本。本文概述这些新漏洞及其潜在影响。此研究是Wiz披露的系列NVIDIA漏洞中的最新成果，包括两个容器逃逸漏洞：CVE-2025-23266和CVE-2024-0132。 防护措施 立即升级：首要措施是根据NVIDIA安全公告将Triton服务器及Python后端升级至25.07版本。 Wiz客户可通过以下方式检测云环境中易受攻击的实例： 在漏洞发现页面筛选关键问题相关实例 使用安全图谱识别公开暴露的虚拟机/无服务器容器 高级客户可通过动态扫描器筛选已验证结果 传感器客户可筛选运行时验证结果 代码安全客户可通过一键修复生成代码库修复方案 Triton内部机制 Triton作为通用推理服务器，通过模块化后端系统支持主流AI框架（如PyTorch、TensorFlow）。当推理请求到达时，服务器自动将其路由至对应后端执行。本次研究聚焦Python后端——因其不仅是热门多功能后端，还是其他后端的依赖组件。该后端核心逻辑由C++实现，通过独立“存根”进程加载并执行模型代码。二者通过共享内存（/dev/shm）实现高速进程间通信(IPC)，依赖唯一系统路径访问内存区域。 漏洞链分析 第一步：后端共享内存名称泄露 通过发送特制超长请求触发异常，错误响应中意外暴露内部IPC共享内存区域的完整密钥（例如“triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859”）。此密钥本应保持私密，泄露构成攻击链的关键突破点。 第二步：滥用共享内存API实现任意读写 Triton提供面向用户的共享内存API以优化性能。攻击者利用泄露的内部密钥调用注册接口后，可构造推理请求操纵该内存区域。由于API未验证密钥归属，攻击者借此获得对Python后端私有内存的读写权限，包括其IPC控制结构。 第三步：实现远程代码执行的路径 通过篡改共享内存中的数据结构和指针（如MemoryShm、SendMessageBase），攻击者可触发越界内存访问。进一步操纵IPC消息队列可构造恶意指令，最终实现从内存破坏到逻辑漏洞的完整利用链（具体技术细节暂不公开）。 攻击影响 模型窃取：窃取专有高价值AI模型 数据泄露：截获模型处理的用户隐私或金融数据 结果操控：篡改AI输出以制造错误或恶意结果 横向移动：以受控服务器为跳点渗透内网 结论 此案例证明看似微小的漏洞串联可引发系统级入侵。Python后端的详细错误信息与主服务API的验证缺失，共同构成了完整的攻击路径。随着AI/ML的广泛部署，基础架构安全防护至关重要。       消息来源：wiz； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州贝灵汉市的放射诊疗机构西北放射医学中心（Northwest Radiologists）向约35万名当地居民发出通知，称其个人信息在数据泄露事件中遭泄露。该机构表示，事件发生于2025年1月25日，当日部分系统遭遇“网络中断”。机构早在3月首次披露事件时已指出，受影响系统存储的受保护健康信息（PHI）可能被波及。 此次最新通报确认，攻击者在1月20日至25日期间侵入其网络，并获取了受影响系统中的数据。泄露信息涵盖患者姓名、住址、电话号码、电子邮箱、出生日期、社会安全号码、驾照号码、政府身份证件号码、诊断及治疗细节、健康保险信息、财务与银行数据等。 该机构称已加强系统安全防护，防止类似事件重演，并向受影响个体提供免费信用监控与身份保护服务。西北放射医学中心向华盛顿州总检察长办公室通报称，共有348,118名该州居民受此次攻击影响。由于该机构在阿拉斯加州也开展业务，且事件尚未列入美国卫生与公众服务部违规通报平台，其他州居民是否受影响尚不明确。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360发现代号“ClickTok”的新型全球恶意软件活动，通过仿冒TikTok店铺传播SparkKitty间谍软件窃取加密货币资金。该间谍木马专门针对TikTok Shop全球用户设计，采用结合钓鱼与恶意软件的混合诈骗模式，欺骗平台买家及联盟计划参与者。ClickTok活动中发现的SparkKitty间谍软件与卡巴斯基此前披露的SparkCat变种高度相似，安装后渗透用户设备、访问相册并提取含加密货币钱包凭证的截图。其独特之处在于同时运用钓鱼与恶意软件技术，大幅提升攻击效果与隐蔽性。 诈骗始于仿冒TikTok商业生态（含TikTok Shop、TikTok Wholesale、TikTok Mall）。攻击者创建界面高度仿真的虚假网站诱导用户登录购物。结算环节强制要求加密货币支付，用户完成付款后，内置SparkKitty的木马化应用开始窃取设备敏感数据（包括通过读取截图获取钱包凭证），最终盗取数字资产。CTM360已完成ClickTok诈骗深度分析并发布完整报告。 攻击者核心目标分为两方面： 钓鱼网站：通过Meta广告分发虚假店铺链接，诱导用户输入登录凭证、支付信息及卖家资料并静默窃取。 木马化应用：移动端诱导用户安装携带SparkKitty的篡改版TikTok应用，该间谍软件具备深度设备监控、剪贴板窃取及凭证盗用能力。这些伪造应用界面与正版完全一致，使用户误认操作合法应用的同时在后台窃取数据。 诈骗团伙利用AI生成虚假视频及Meta广告扩大传播范围，将用户导向精心伪造的域名（形似真实TikTok网址）。截至目前CTM360已发现：超10,000个仿冒TikTok网站（多采用.top/.shop/.icu等廉价顶级域）；超5,000个恶意应用实例（通过二维码/通讯应用/应用内下载传播）；诈骗活动不仅仿冒TikTok Shop，还涉及TikTok Wholesale与TikTok Mall。 ClickTok活动通过伪造TikTok Shop登录页面窃取用户凭证，并通过木马化应用实施账户劫持。其采用替代支付架构排除传统银行卡交易，强制要求加密货币钱包付款。受害者常被诱导向伪造的TikTok钱包或泰达币（USDT）、以太币（ETH）等加密货币充值。 CTM360建议用户与机构保持警惕并采取以下防护措施： 避免下载来源不明的修改版/破解版软件（尤其警惕种子站与Telegram渠道） 输入登录或支付信息前务必手动核对域名真实性，检查拼写错误及可疑后缀 向TikTok或本国网络安全部门举报可疑内容 品牌方应借助威胁情报平台持续监测品牌滥用与仿冒趋势 部署强效杀毒或终端防护（EDR）方案预防SparkKitty入侵 加密货币用户应选用具备剪贴板保护机制的钱包       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文