HackerNews

HackerNews 编译，转载请注明出处： 一台配置错误的Elasticsearch服务器暴露了包含数亿条高度详细记录的商业情报数据金矿，这些记录关联瑞典个人及组织。 Cybernews研究人员发现了这个未加密的数据库，它不需要任何身份验证即可访问，且完全暴露在公共互联网上。 泄露数据包含超过1亿条记录，时间跨度为2019至2024年，共分布在25个独立索引中，部分数据集体积超过200GB。 哪些数据被泄露？ 许多泄露记录包含高度敏感的个人和组织信息，包括： 完整法定姓名（含曾用名历史） 瑞典个人身份证号 出生日期和性别 瑞典境内及海外的地址历史 婚姻状况及已故人员信息 移民者的海外地址 债务记录、付款备注、破产历史、房产所有权指标 跨越数年的所得税数据（2019–2023） 活动及事件日志（包括收入申报提交、移民状态和地址更新） 这些记录实质上描绘了瑞典公民和组织长达五年的财务与行为画像。泄露数据提供了关于个人及组织运作方式的详细时间戳快照，追踪了从地址变更、收入变动到债务、税务申报及商业关联等一切信息。 信息的庞大规模和精确度使该数据集极具价值和危险性。银行、贷款机构和合规团队可利用其进行风险评估和信用分析。然而对威胁行为者而言，此类数据为各种形式的利用打开了大门——攻击者可将其武器化，用于企业监控、竞争对手画像、高精准钓鱼攻击、社会工程攻击或勒索。 与Risika商业情报的关联 对数据库结构及字段名的分析表明，暴露数据源自北欧领先的商业情报数据分析公司Risika。内部“dwh*”（数据仓库）标签及产品导向的索引命名方式与已知Risika产品规范吻合。 但进一步调查显示，该Elasticsearch集群并非由Risika自身运营，而是由一个尚未确认的第三方操作。命名惯例和元数据模式表明其为下游客户。 研究人员认为，这些数据可能是在商业许可下合法提供给该运营方的，但因配置错误而被公开暴露。 Cybernews已于5月10日向Risika发送负责任的披露通知，但未收到回应。该集群于次日下线。 披露时间线 2025年5月9日：发现数据泄露 2025年5月10日：发送首次披露通知 2025年5月11日：泄露通道关闭       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据NCC Group的最新研究结果，2025年第二季度全球勒索软件攻击数量较第一季度下降43%，执法行动与内部冲突对威胁态势产生了重大影响。 4月至6月期间共记录了1180次攻击，而第一季度为2074次。 该公司还观察到，2025年6月声称发动的勒索软件攻击连续第四个月下降，较5月减少6%，降至371次。 第二季度的放缓紧随今年前三个月攻击量的急剧上升，这一上升主要由Clop、RansomHub和Akira等主导团伙的激进攻击活动驱动。 然而，近期的执法行动已打击了一些关键勒索软件运营者，包括针对Clop和RansomHub的附属组织。值得注意的是，Clop和RansomHub在第二季度已从活跃勒索软件团伙前十名单中消失。 NCC Group研究人员指出：“这些打击可能在勒索软件团伙生态系统中产生了连锁反应，迫使附属组织重新集结或转向新兴勒索软件团伙。” 这份发布于7月23日的报告还强调，内部信息泄露及不同勒索软件行为者之间的冲突可能是攻击放缓的因素之一。5月，臭名昭著的LockBit团伙的内部信息遭泄露。 同时，研究人员观察到DragonForce在与竞争对手勒索软件运营者进行“地盘争夺战”，以图确立其在网络犯罪市场的主导地位。DragonForce似乎对2025年3月下旬RansomHub的基础设施中断负有责任，此举遏制了其运作。 攻击量下降的另一个可能因素是第二季度受复活节和斋月等全球性假期影响导致的季节性放缓。 Qilin领跑碎片化市场 Qilin（麒麟）是第二季度最活跃的勒索软件团伙，声称发动了151次攻击，占总量的13%。这一数字高于第一季度的95次攻击。 排名第二的是Akira（131次攻击），其次是Play（115次）和SafePay（108次）。SafePay在5月因声称发动70次攻击而引发广泛关注。该组织首次被发现于2024年9月，研究人员指出关于该团伙的公开信息相对较少。 专家将SafePay与其他知名行为者（如LockBit、BlackCat、INC Ransom和Play）联系起来。 NCC Group透露，2025年已追踪到86个新的和现有的活跃攻击组织，数量有望超过2024年的纪录。NCC Group全球威胁情报主管马特·赫尔（Matt Hull）评论道：“攻击者数量的增加意味着企业需要防范更广泛的攻击手法。” 行业目标分布 第二季度遭受攻击最多的行业是工业领域，共353次攻击，占总量的30%。紧随其后的是非必需消费品行业，251次攻击占总量21%。该行业包括零售业，后者在第二季度成为重点攻击目标。 信息技术（10%）、医疗保健（8%）和金融服务（6%）位列本季度前五大受攻击行业。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国就业局（France Travail）遭遇数据泄露事件，可能影响数十万求职者。 该机构于7月22日向其用户发送电子邮件，警告称其“就业”门户网站（供合作伙伴使用）在7月13日发现数据泄露。 此次泄露可能暴露34万用户的个人数据，包括姓名、邮政地址和电子邮件地址、电话号码、France Travail标识符以及求职者状态。该机构保证用户的密码和银行详细信息未受影响。 “但我们建议对网络钓鱼风险保持警惕。”该就业局在公开声明中警告道。 通过信息窃取程序实施的网络攻击凸显双因素认证（2FA）安全漏洞 据法国科技新闻媒体Next报道，此次泄露由法国网络安全机构（ANSSI）的计算机应急响应小组（CERT-FR）在7月12日发现。 据信，泄露的发生是由于位于伊泽尔省的一个培训组织的关联用户账户，通过信息窃取恶意软件（infostealer malware）遭到入侵。攻击者随后设法获得了对Kairos应用程序的访问权限，该应用程序使培训组织能够追踪求职者的培训进度。 一位France Travail发言人告诉Next：“该服务（指就业门户）连同所有其他为合作伙伴托管的服务被立即关闭。” France Travail已向法国当局提出投诉，通知了法国数据保护局（CNIL），并告知了受影响的个人。 作为预防措施而关闭的服务，包括该机构的就业门户和Kairos，预计将于7月24日重新启用。 France Travail表示已加强安全措施，并加速了为Kairos部署双因素认证（2FA）的进程，该部署原定于2026年10月进行。 这是France Travail两年内第二次遭遇数据泄露。2024年3月，恶意行为者攻击了该机构及Cap Emploi（一个支持残疾人的政府就业服务机构）的IT系统。那次事件影响了过去20年内注册用户的个人数据，意味着高达4300万潜在用户的数据被泄露。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名涉嫌管理俄语网络犯罪论坛 XSS 的男子于 7 月 22 日在乌克兰被捕。 法国检察官洛尔·贝科（Laure Beccuau）在 7 月 23 日的一份官方声明中表示，该个体是在法国警方和欧洲刑警组织（Europol）的合作下，被乌克兰当局拘留的。 此次逮捕是巴黎警察总局网络犯罪部门自 2021 年 7 月 2 日开始、历时四年调查的结果。 作为调查的一部分，法国警方截获了 Jabber 服务器 thesecure.biz 上的通信记录。该服务器伴随 XSS 论坛运行，旨在为网络犯罪分子之间的匿名交流提供便利。 这些截获的信息显示，被捕者据信与众多非法网络犯罪和勒索软件活动有关联，并确定其已从中获利至少 700 万美元。 2021 年 11 月 9 日，司法调查正式启动，指控罪名包括串谋攻击自动化数据处理系统、有组织团伙勒索以及参与犯罪团伙。 2024 年 9 月，案件进入在乌克兰的实战阶段。法国警方调查人员被部署到当地，欧洲刑警组织通过建立虚拟指挥所提供支持。随后于 2025 年 7 月 21 日开始了另一项行动，最终在基辅逮捕了主要嫌疑人。 欧洲刑警组织部署了一个移动办公室，为法国和乌克兰团队提供现场协调和证据收集支持。 根据欧洲刑警组织在 7 月 23 日发布的另一份声明，该论坛的疑似管理员不仅是一名技术操作员，据信还在促成犯罪活动方面发挥了核心作用。声明指出：“他扮演着可信第三方的角色，仲裁犯罪分子之间的纠纷，并担保交易的安全。” 贝科的声明还显示，参与行动的乌克兰和法国执法机构已查获了 XSS 论坛的相关域名，尽管在撰写本文时该网站似乎仍在运行。查获的数据现将被分析，以支持欧洲及其他地区正在进行的调查。 XSS：网络犯罪活动的重要暗网论坛 XSS 自 2013 年开始活跃，拥有超过 50,000 名注册用户。在俄语网络犯罪圈内，它是讨论网络攻击和恶意软件开发的主要论坛之一。 贝科指出，XSS 允许出售恶意软件、被入侵系统的访问权限、被盗数据以及勒索软件相关服务。 网络安全公司 Flare 的网络威胁情报分析师、俄语网络犯罪圈专家奥列格·利克波（Oleg Lykpo）认为，XSS 和另一个臭名昭著的犯罪论坛 Exploit，是俄语高级网络犯罪生态系统的支柱。 参与此次逮捕行动的乌克兰机构包括：国家网络部门、乌克兰安全局（SBU）和乌克兰总检察长办公室。 信息安全媒体 Infosecurity 联系了巴黎警察总局，该局目前拒绝就案件提供更多细节。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约州发布了一系列针对全州供水和废水处理系统的网络安全法规提案。 州长凯茜·霍楚（Kathy Hochul）在7月22日的公开声明中宣布了这些提案。提案包含由纽约州卫生部（DOH）和纽约州环境保护部（DEC）分别制定的、针对水务管理公司的运营技术（OT）安全要求。 同时，纽约州公共服务部（DPS）发布了针对自来水公司、其他公用事业公司及有线电视公司的信息技术安全法规提案。 这些现已开放公众评议的拟议规则，旨在加强关键水务系统的网络弹性，以应对该领域日益增多的攻击。 各机构共同努力，协调统一了每套要求中的定义和条款，并尽量减少重复和冲突的规则。 这些法规旨在与包括美国环境保护署（EPA）和网络安全与基础设施安全局（CISA）在内的联邦机构发布的相关指南保持一致。 除法规外，环境设施公司（EFC）将建立一个新的资助项目，并为保障水务系统安全提供技术援助。 霍楚州长评论道：“针对关键基础设施的网络攻击可能对社区造成毁灭性影响，我们必须立即行动起来，以应对其他关键领域同样的紧迫性和严谨性来保卫我们的供水和废水处理系统。”她接着说：“这些新法规和资助项目反映了我们的承诺，即在帮助资源不足的实体实现现代化的同时，保护公众健康和安全。” 公众可在以下截止日期前提交评议：DEC的评议期至2025年9月3日，DOH至9月14日，DPS至9月14日。 一旦采用，受监管实体须在2027年1月1日前遵守DEC和DOH的法规，并在2026年1月1日前遵守公共服务委员会（PSC）的法规。 新要求内容概要 卫生部 (DOH) DOH规则适用于服务超过3300人的社区供水系统，其中对服务5万人的系统有特定条款。 提案包括建立网络安全漏洞分析的要求。 规则还概述了网络安全计划的基线要求。该计划必须能够履行监管报告要求、提供身份验证和访问管理、维护网络资产清单以及监控和记录网络活动等功能。 所有适用的供水系统必须制定网络安全事件响应计划，并在事件发生后24小时内向DOH报告。此外，相关人员必须每三年至少接受一小时的网络安全培训。 环境保护部 (DEC) DEC条款适用于全州的废水处理设施。它们包含多项基线网络安全控制措施，包括符合最小权限原则的访问控制和身份验证程序。 其他控制措施涉及密码安全、多因素认证（MFA）以及实施网络安全漏洞管理流程。 废水处理设施还必须将OT系统与IT系统分离。 必须制定事件响应计划，在24小时内口头向区域水务工程师报告事件，并在30天内提交书面报告。 公共服务部 (DPS) DPS规则适用于所有服务5万或以上客户的公用事业公司和有线电视公司。 这些组织必须制定网络安全政策，该政策应实施数据屏蔽、多因素认证（MFA）和访问控制等措施，并包含应对网络攻击和从中恢复的计划。 此外，受监管实体必须聘用一名首席信息安全官（CISO），由其每年向公司领导层报告网络安全准备状况。 水务领域威胁上升 专家近年来强调了水务领域日益增长的网络安全风险，威胁范围涵盖出于经济动机的组织到国家支持组织的破坏性攻击。 Semperis在2025年4月的一份报告发现，过去一年中，超过五分之三的美国和英国水电企业成为网络攻击的目标，其中大多数遭受了严重干扰。 2024年8月，美国政府问责署（GAO）敦促环境保护署（EPA）解决供水和废水处理系统面临的网络风险。GAO强调了该领域存在的重大安全风险，包括普遍存在的难以更新网络安全防护的老旧技术，以及OT与IT系统之间日益增长的连接性。 影响供水服务的重大事件包括2024年10月对泽西岛运营商American Water的攻击，该攻击扰乱了计费系统。 2024年9月，堪萨斯州阿肯色城报告其水处理设施遭遇网络安全事件，促使该设施暂时切换为手动操作模式。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌宣布推出一项名为“OSS Rebuild”的新计划，旨在增强开源软件包生态系统的安全性，防范软件供应链攻击。 谷歌开源安全团队（GOSST）的Matthew Suozzo在本周的博客文章中表示：“随着供应链攻击持续针对广泛使用的依赖库，OSS Rebuild能为安全团队提供强大的数据来避免遭受入侵，同时无需增加上游维护者的负担。” 该项目旨在为Python Package Index (Python)、npm (JS/TS) 和 Crates.io (Rust) 软件包注册表提供构建溯源（build provenance），并计划将其扩展到其他开源软件开发平台。 OSS Rebuild 的核心思路是结合利用声明式构建定义（declarative build definitions）、构建工具（build instrumentation）和网络监控能力，生成可信的安全元数据。这些元数据随后可用于验证软件包的来源，并确保其未被篡改。 谷歌表示：“通过自动化和启发式方法，我们确定目标软件包的预期构建定义并重建它。我们将结果与现有的上游制品进行语义比较，对两者进行归一化处理，以消除导致比特级（bit-for-bit）比较失败的不稳定因素（例如，归档压缩差异）。” 成功复现软件包后，构建定义和结果将通过 SLSA Provenance 作为证明机制发布。这使用户能够可靠地验证其来源、重复构建过程，甚至从已知功能基线定制构建。 在自动化无法完全复现软件包的情况下，OSS Rebuild 提供了可替代使用的手动构建规范。 谷歌指出，OSS Rebuild 有助于检测不同类别的供应链入侵事件，包括： 包含公共源代码仓库中不存在代码的已发布软件包（例如 @solana/web3.js 事件） 可疑的构建活动（例如 tj-actions/changed-files 案例） 通过人工审查难以识别的、嵌入在软件包中的异常执行路径或可疑操作（例如 XZ Utils 后门） 除了保护软件供应链，该方案还能改进软件物料清单（SBOM）、加速漏洞响应、增强软件包的可信度，并消除组织依赖 CI/CD 平台负责其软件包安全性的需要。 谷歌解释道：“重建工作通过分析已发布的元数据和制品来推导，并与上游软件包版本进行评估。成功后，将为上游制品发布构建证明，验证上游制品的完整性，并消除许多可能的入侵来源。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： Lumma信息窃取恶意软件（Infostealer）行动在5月遭受大规模执法打击后正逐步恢复活动。此前执法行动查获了2300个域名及部分基础设施，但该恶意软件即服务（MaaS）平台并未关闭。 运营商随即在XSS论坛发布声明，承认执法行动的影响，但声称其核心服务器未被查获（尽管已遭远程擦除），且恢复工作已在进行中。趋势科技（Trend Micro）报告显示，Lumma的基础设施在打击后数周内迅速重建，活动水平已接近行动前状态。该组织为规避进一步打击，已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。 当前Lumma主要通过四类渠道传播恶意软件： 虚假破解工具/密钥生成器：通过恶意广告和篡改的搜索结果推广，诱导用户访问欺诈网站。这些网站先用流量检测系统（TDS）分析用户环境，再分发Lumma下载器。 ClickFix技术：入侵网站植入虚假验证码页面，诱骗用户执行PowerShell命令，直接将Lumma载入内存以规避文件检测机制。 GitHub仓库：攻击者创建含AI生成内容的仓库，以虚假游戏外挂为诱饵（如“TempSpoofer.exe”），通过可执行文件或ZIP压缩包分发恶意负载。 YouTube/Facebook平台：利用视频和帖子推广破解软件，将用户引流至托管Lumma的第三方站点（甚至滥用Google协作平台等可信服务提升可信度）。 趋势科技指出，Lumma的复苏印证了缺乏逮捕或起诉的执法行动难以阻止高利润的MaaS运营者，其核心成员仅将此类打击视为“需规避的常规障碍。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国工业自动化解决方案提供商Helmholz生产的路由器近期被发现并修补了多个潜在严重漏洞。上周，德国CERT@VDE发布公告，披露了Helmholz旗下REX 100路由器中存在的八个漏洞，这些漏洞使组织能够远程访问和管理工业网络，安全风险由此曝光。 Helmholz路由器通过遍布60个国家的合作伙伴网络在全球销售，覆盖北美、欧洲和亚洲等地区。根据CERT@VDE公告，其中三个漏洞被评定为“高危”级别，均允许拥有高权限的攻击者通过特制请求执行任意操作系统命令。其余问题归类为“中危”，可被用于SQL注入、XSS攻击及拒绝服务攻击（包括未认证的DoS）。 供应商已发布REX 100路由器固件版本2.3.3修复这些漏洞，此前所有固件版本均受影响。这些漏洞是由工业网络安全公司CyberDanube在奥地利一所大学组织的实验室演习中发现。尽管官方CVSS评分不高，但该公司认为部分漏洞实际危害严重。 CyberDanube指出，虽然多数漏洞需认证才能利用，但设备存在默认凭证，可能被攻击者绕过此限制。部分漏洞可让攻击者以root权限在目标设备上执行任意代码，导致服务中断、通信拦截或转向攻击网络内其他系统。 另一个潜在风险在于该工业路由器永久连接至供应商的云端环境——用户通过Web界面管理和配置工业网络设备的基础。若攻击者发现该云系统漏洞，可能入侵其他客户设备，造成“灾难性”后果。CyberDanube已发布包含技术细节和漏洞利用代码（PoC）的独立公告。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚金融监管机构已对金融服务公司Fortnum Private Wealth采取法律行动，指控该公司使客户面临不可接受的网络安全风险。 澳大利亚证券与投资委员会（ASIC）于7月21日在新南威尔士州（NSW）最高法院对这家财务咨询公司提起诉讼。 ASIC声称Fortnum Private Wealth未能制定充分的政策、框架、系统和控制措施来应对网络安全风险。 该委员会指控，这些失误导致Fortnum的许多客户和授权代表（ARs）遭遇了网络事件。 其中一起事件导致2022年9月发生了大规模数据泄露，涉及高达9828名客户的超过200GB数据。这些机密信息随后被发布在暗网上。 在多次事件中，威胁行为者成功访问了授权代表的电子邮件账户，并利用这些账户向客户发送网络钓鱼邮件。 这些事件大多发生在Fortnum于2021年4月推出一项具体的网络安全政策之后。ASIC辩称，该政策不足以有效管理网络安全风险，尤其对于一家负责处理高度敏感客户数据的金融服务公司而言。 该政策后来在2023年5月进行了修订。 诉讼中强调的主要网络安全失误包括： 未要求授权代表接受规定的最低限度的网络安全教育或培训； 未能监督或监控其授权代表的网络安全风险管理框架； 未配备拥有网络安全专业知识和经验的员工，也未聘请专业顾问协助制定其网络安全政策； 未能建立解决网络安全问题的风险管理系统，或未能制定可识别和评估其所有授权代表网络安全风险的政策、框架、系统或控制措施。 ASIC主席乔·隆戈（Joe Longo）评论道：“Fortnum涉嫌未能充分管理网络安全风险，使该公司、其代表及其客户暴露在不可接受的网络攻击风险水平之下。”他补充说：“ASIC一直在强调公司的网络安全责任。尤其是澳大利亚金融服务持牌机构，持有大量敏感和机密信息。” ASIC表示，正在寻求法院宣布Fortnum的违规行为，并对该公司处以经济处罚。 Fortnum首席执行官马特·布朗（Matt Brown）在Financial Newswire发表的声明中表示，该公司“强烈反驳”ASIC关于其未能实施适当网络安全控制的指控。布朗补充道：“由于此事现已进入法庭程序，Fortnum目前无法进一步置评。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科（Cisco）警告称，其身份服务引擎（Identity Services Engine, ISE）中近期修复的三个严重远程代码执行（RCE）漏洞现遭积极利用。 尽管该供应商未具体说明漏洞如何被利用以及攻击是否成功，但尽快应用安全更新变得至关重要。 “2025年7月，思科产品安全事件响应团队（PSIRT）获悉这些漏洞中的一部分在野外遭到尝试性利用，”更新后的公告中写道。 “思科继续强烈建议客户升级至已修复的软件版本以修补这些漏洞。” 思科身份服务引擎（ISE）是一个使大型组织能够控制网络访问并执行安全策略的平台。 这些最高严重性的漏洞最初由供应商于2025年6月25日（CVE-2025-20281 和 CVE-2025-20282）和2025年7月16日（CVE-2025-20337）披露。 以下是这些漏洞的简要描述： CVE-2025-20281：思科身份服务引擎（ISE）及ISE被动身份连接器（ISE-PIC）中存在严重的未认证远程代码执行漏洞。攻击者可发送特制的API请求，无需认证即可在底层操作系统上以root权限执行任意命令。已在ISE 3.3 Patch 7 和 3.4 Patch 2 中修复。 CVE-2025-20282：思科ISE及ISE-PIC 3.4版本中存在严重的未认证任意文件上传与执行漏洞。文件验证缺失允许攻击者将恶意文件上传至特权目录并以root权限执行。已在ISE 3.4 Patch 2 中修复。 CVE-2025-20337：影响思科ISE及ISE-PIC的严重未认证远程代码执行漏洞。攻击者可利用输入验证不足的缺陷，通过特制API请求获取root权限，无需凭证。已在ISE 3.3 Patch 7 和 3.4 Patch 2 中修复。 这三个漏洞均被评为最高严重性（CVSS评分：10.0），且无需认证即可远程利用，这使其成为黑客寻求侵入企业网络的宝贵目标。 思科此前曾因漏洞发现时间不同，为这三个漏洞分别发布了两次单独的热修复补丁。为一次性缓解所有漏洞，建议管理员采取以下措施： ISE 3.3 用户必须升级至 Patch 7 ISE 3.4 用户必须升级至 Patch 2 使用 ISE 3.2 或更早版本的用户不受影响，无需采取任何措施。 这三个漏洞没有可行的缓解措施（Workaround），因此应用更新是唯一推荐的解决途径。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲中部大型医疗网络运营商AMEOS集团宣布遭遇安全漏洞，可能导致客户、员工及合作伙伴信息泄露。 该组织在其网站上发表声明（根据《通用数据保护条例》(GDPR) 第34条要求，发生数据泄露时必须发布公开通知）。 AMEOS是一家总部位于苏黎世的医疗保健提供商，在瑞士、德国和奥地利拥有100多家医院、诊所、康复中心和护理院，员工达18,000人。 它是更广泛的DACH（德国、奥地利、瑞士德语区）地区最大的私立医院集团之一，拥有超过10,000张床位，年收入超过14亿美元。 AMEOS表示，尽管已采取“广泛的安全措施”，但外部行为者未经授权访问了其IT系统并获取了敏感信息。 公告中写道：“患者、员工和合作伙伴的数据——以及与您或您公司相关的联系信息——可能因未授权访问而受到影响。不能排除这些数据可能在互联网上被滥用，损害受影响方的利益，或提供给第三方。” 作为应对，AMEOS已关闭所有IT系统并终止所有外部和内部网络连接。此外，它加强了现有措施，并聘请了外部IT和取证专家协助响应工作。 已相应通知了相关国家的数据保护机构，并向警方提起了刑事申诉。 建议曾在AMEOS机构接受过护理的人员警惕网络钓鱼和诈骗企图。 该医疗保健提供商表示，迄今为止，没有迹象表明被访问的数据已在网上传播。 调查仍在进行中，AMEOS承诺将在获得新信息后提供更新。 该组织声明：“目前，我们没有具体证据表明您的个人数据确实发生了泄露。正在进行的审查和调查措施完成后，我们将通过本页面立即通知您。” 截至本文撰写时，尚无主要勒索软件组织宣称对AMEOS的攻击负责。该组织未说明攻击是否涉及数据加密，因此事件类型和肇事者尚不清楚。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二警告北美和欧洲的企业，需加强系统防护以应对一种新的Interlock勒索软件变种。 该双重勒索组织于2024年秋季首次出现在勒索软件领域，已知针对各种关键基础设施组织和行业，包括医疗保健、教育、技术、政府和制造业。 “这些行为者本质上是机会主义且受经济利益驱动，采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。 “Interlock勒索软件是一个鲜明的例子，展示了当今勒索软件组织变得多么危险和不可预测，”Swimlane的首席安全自动化架构师Nick Tausek表示。 “尽管他们直到2024年底才被发现，但该组织一直非常活跃，并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。 今年5月，Interlock成为头条新闻，原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责，该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。 JavaScript转向PHP FBI表示，已观察到Interlock通过入侵合法网站进行路过式下载（drive-by download）来获得对其受害者的初始访问权限，将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新，这对勒索软件行为者而言是一种非典型方法。 该组织还以使用“ClickFix社会工程技术”而闻名，例如，通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马（RAT）。 “验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容，然后执行恶意Base64编码的PowerShell进程。”公告称。 该警告发布不到一周前，The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。 这种新变种转而使用PHP，似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。 Interlock Kongtube FileFix 恶意软件活动 链接的JavaScript首先提示用户点击验证码以“验证您是人类”，然后是“验证步骤”，要求打开运行命令并粘贴剪贴板内容。粘贴后，它会执行一个PowerShell脚本，最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。 Tausek解释说，Interlock的独特之处在于其战术多样性。 “该组织曾使用ClickFix攻击冒充IT工具渗透网络，部署远程访问木马（RAT）来传播恶意软件，并且最近采用了双重勒索策略以最大化对受害者的压力。” 安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处，表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。 World Secrets Blog 已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心（C2），然后通常会下载PowerShell来安装某种信息窃取程序（如LumanStealer）以及键盘记录器二进制文件，以“窃取凭据进行横向移动和权限提升”。 Interlock会部署针对Windows和Linux操作系统的勒索软件加密器，同时也常用AnyDesk进行远程文件传输。 在加密受害者的文件（使用.interlock或.1nt3rlock文件扩展名）后，该团伙会发送一张便条，指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。 “您的网络已被入侵，我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道，威胁称除非支付未公开的赎金，否则将公布其声称从Kettering网络中窃取的1TB数据。 Broadcom在2024年10月对该勒索软件团伙的分析报告中指出，其“警告受害者不要修改文件、使用恢复软件或重启系统，因为这些行为可能导致不可逆转的损害。”Broadcom还表示，Interlock受害者通常只有96小时进行谈判。 根据Cybernews的Ransomlooker工具，自今年1月以来，该组织已声称至少攻击了35名勒索软件受害者，其中约一半的攻击发生在过去六周内。 “这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量，通常是同时进行，组织必须做好准备，”Tausek告诉Cybernews。 CISA建议组织通过实施强大的端点检测和响应（EDR）工具及能力来加固系统，包括修补暴露的系统、采用多因素认证和进行网络分段。 Tuasek表示，除了定期修补、网络分段和其他主动防御措施外，“同样关键的是让员工具备识别社会工程尝试的意识，以免导致系统被入侵。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国政府已确认将推进一项拟议禁令，禁止公共部门和关键国家基础设施（CNI）组织支付勒索软件赎金。 此前在2025年1月发起的一项公众咨询中，四分之三的受访者表示支持该提案。 该禁令旨在通过使这些目标对网络犯罪团伙的吸引力降低，从而更好地保护医院、学校和交通等基本公共服务免受勒索软件攻击。 过去一年中，众多英国公共部门服务遭受了勒索软件影响，包括地方议会和医院。5月，英格兰国民医疗服务体系(NHS England)敦促其供应商承诺采取强有力的网络安全措施，以应对“普遍存在”的勒索软件威胁。 不在禁令覆盖范围内的企业将被要求在向攻击者支付赎金前通知政府。政府随后将向受害者提供建议和支持，包括告知他们如果资金流向受制裁的网络犯罪团伙，支付赎金将面临违法风险。 安全部长丹·贾维斯（Dan Jarvis）评论道：“勒索软件是一种掠夺性犯罪，它将公众置于风险之中，破坏生计，并威胁我们所依赖的服务。这就是为什么我们决心粉碎网络犯罪分子的商业模式，在我们实施‘变革计划’（Plan for Change）的同时，保护我们所有人都依赖的服务。” 英国将制定强制性勒索软件报告制度 作为反勒索软件措施的一部分，英国政府还承诺建立强制性勒索软件事件报告制度。 政府表示，在咨询期间，该制度获得了强烈支持。 强制性报告旨在为英国执法机构增强有关勒索软件攻击的情报收集能力。这些信息也可用于支持针对勒索软件团伙的国际执法行动。 专家对提案的有效性表示质疑 专家们对政府计划的有效性提出了担忧。 这包括制造“双重体系”的风险，即不在禁令覆盖范围内的企业和实体面临更多攻击目标的风险。 另一个风险是可能将勒索软件攻击进一步推向地下，那些认为自己别无选择只能支付的受害者可能会设法规避禁令进行支付，例如使用第三方中介来处理付款。 一些组织也可能选择错误标记勒索软件攻击，以逃避审查或潜在处罚。 Immersive网络威胁情报高级总监凯夫·布林（Kev Breen）警告说：“针对新措施，我们应考虑一个问题：这是否存在将公司推离报告的危险？如果选项是通过支付来快速恢复，对比因被禁止而无法恢复，诱惑可能是支付赎金然后干脆不报告。” 佩恩·希克斯·比奇（Payne Hicks Beach）律师事务所争议解决团队合伙人马克·琼斯（Mark Jones）指出，在意大利（支付勒索软件攻击者赎金已属非法）的一项调查显示，43%的组织仍然承认支付了勒索软件赎金。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。 自2025年3月以来，Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者，他们冒充欧洲外交官和乌克兰官员。 这些电子邮件试图诱使人权工作者和非政府组织（NGO）工作人员交出能授予访问其Microsoft账户权限的身份验证代码。 攻击背后的复杂社会工程 被Volexity追踪为UTA0352和UTA0355的威胁行为者，采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息，提议就与乌克兰相关的事务举行会议。 这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接，并被要求提供用户在身份验证后看到的一个代码。 这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而，一旦受害者（通常通过同一即时通讯平台）返回所显示的代码，攻击者就会用它来生成一个访问令牌，从而解锁受害者的Microsoft 365数据。 在其中一个案例中，UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里，受害者在不知情的情况下触发了OAuth流程，并被提示发回授权代码。这些代码有效期长达60天，授予了访问用户Microsoft Graph数据的权限，实际上暴露了其电子邮件和文件。 在另一次活动中，Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。 一旦完成身份验证，攻击者就会将一个新设备注册到用户的Entra ID（原Azure AD）中，通过社会工程绕过安全设置并下载电子邮件数据。 关键入侵迹象 Volexity强调了几点组织可以监控的潜在入侵迹象，包括： 使用Visual Studio Code客户端ID进行的OAuth登录活动 重定向到insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL 新注册的、链接到代理IP地址的设备 异常的双重身份验证审批请求 与用户典型电子邮件客户端不匹配的应用程序ID 根据该安全公司的分析，这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。 “基于此，以及2025年2月观察到的类似战术，Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。 该公司还警告称，由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序，传统的安全控制措施可能效果不佳。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国德克萨斯州酒精与药物检测服务公司（TADTS）近日通报，其系统在2024年7月遭遇数据泄露事件，约75万人的个人信息被非法获取。该公司总部位于德克萨斯州，主要为德州及其他地区提供职场与个人酒精及药物检测服务。 TADTS声明，事件于2024年7月9日被发现，涉及未授权访问及窃取其系统数据。在专业数据挖掘团队协助下，近期完成的调查确认失窃数据包含个人信息。 潜在泄露信息涵盖： 姓名、出生日期、社保号码 驾照号码、护照号码及其他身份证件号码 财务与信用卡信息 健康保险详情 生物识别信息 登录凭证、邮箱及密码 美国移民局档案号或外籍人士登记号 该公司在官网通知中说明：“此列表描述受影响系统中的通用信息类别，部分类别可能不适用于每位潜在受影响个体。”向缅因州总检察长办公室提交的书面通知副本显示，这些信息是“个人在就业相关筛查测试中授权提供的。” 事件控制后，TADTS已重置所有系统密码，部署额外监控工具，强化端点检测协议，并向执法部门及相关机构报案。公司表示尚未发现事件引发的欺诈或身份盗窃行为，但建议受影响人员监控信用报告与账户流水，发现可疑活动及时向金融机构报告。 根据向缅因州总检察长办公室提交的文件，本次事件共影响748,763人，但TADTS明确表示不会提供免费身份盗窃保护服务。 尽管TADTS未透露具体攻击类型，知名勒索团伙BianLian于2024年7月14日宣称对此次入侵负责，声称窃取约218GB数据。目前尚不明确黑客是否已公开泄露数据——其基于Tor的泄密网站当前处于离线状态，且该团伙已沉寂数月（上一次公布受害者记录为2025年3月31日）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国奢侈品牌迪奥（Dior）近期开始向美国客户发送数据泄露通知，告知其2025年5月发生的网络安全事件导致个人信息被泄露。迪奥隶属于全球最大奢侈品集团路威酩轩（LVMH），该品牌年营收超120亿美元，在全球运营数百家精品店。 此次安全事件实际发生在2025年1月26日，但公司直到2025年5月7日才察觉并启动内部调查以确定影响范围。发送给受影响个人的通知中写道：“调查确定，未授权方于2025年1月26日非法访问了包含迪奥客户信息的数据库。迪奥已迅速采取措施控制事件，目前无证据表明系统后续再遭入侵。” 根据调查结果，以下信息已遭泄露： 全名 联系方式 住址 出生日期 护照或政府身份证号码（部分情况） 社保号码（部分情况） 公司澄清称，被入侵数据库未包含银行账户或支付卡信息等支付详情，故此类财务数据仍安全。迪奥已据此通知执法部门，并聘请第三方网络安全专家协助控制事件。 收到通知的用户需警惕诈骗和钓鱼企图，密切监控金融账户活动，及时识别并报告可疑行为。通知信函同时附带了免费领取24个月信用监控及身份盗窃保护服务的操作指南，该服务有效期截至2025年10月31日。 此次事件时间点与迪奥早前在韩国和中国披露的安全事件吻合。同为LVMH集团旗下的路易威登（Louis Vuitton）近期也披露了影响英国、韩国和土耳其客户的数据泄露事件。尽管涉事公司发言人未回应澄清请求，但行业信息表明，路易威登与迪奥事件实属同一网络攻击的一部分。 据信，此次攻击与勒索团伙ShinyHunters有关，其通过入侵第三方供应商数据库获取了LVMH客户信息。若属实，路易威登可能随后发布针对美国客户的类似披露。目前，迪奥尚未回应关于受影响美国客户数量的质询。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度加密货币交易所CoinDCX上周遭遇黑客攻击，损失约4420万美元。公司联合创始人Neeraj Khandelwal与Sumit Gupta上周六通过社交媒体披露异常情况，随后确认被盗资金源自公司内部运营账户。 创始人声明用户资金未受影响：“受影响的操作账户已被隔离。由于运营账户与用户钱包物理隔离，风险仅限该账户，损失将由我们通过自有储备金全额承担。” 公司已向印度计算机应急响应小组（CERT-In）通报案情。 CoinDCX成立于2018年，作为印度头部加密平台拥有约1600万用户。公司表示正与安全团队合作调查事件、修复漏洞并追踪被盗资金以进行冻结回收，同时承诺推出漏洞悬赏计划。 Khandelwal及多家区块链安全公司确认，上周五晚间有价值4420万美元的USDC和USDT（两种锚定美元的稳定币）从平台盗走。CoinDCX周日发布的事件分析报告称将通过储备金覆盖损失，目前已追踪到两个分别持有2760万和1620万美元的涉事钱包，截至本周一下午虽显示清零，但专家发现资金已转移至新钱包。 Gupta在多平台警告用户防范冒充CoinDCX官员的诈骗者，强调“切勿向任何人提供账户信息”。公司承诺向协助追回资金者提供最高25%的返还金额，同时寻求黑客身份线索以提起法律诉讼。 此次攻击发生之际，距印度另一加密巨头WazirX遭窃2.3亿美元仅数月（2024年11月涉案嫌疑人被捕）。区块链安全公司Chainalysis上周数据显示，2025年全球加密资产被盗金额已达21.7亿美元，超2024年全年总和。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 科技制造商戴尔近日证实，黑客入侵了其产品演示平台，但向媒体强调事件未涉及敏感信息。 戴尔在声明中指出，某威胁行为体非法访问了“戴尔解决方案中心”（Dell’s Solution Center），该平台专为商业客户“展示产品功能及测试概念验证”而设立。 公司发言人明确表示，该平台“在设计上已与客户及合作伙伴系统隔离，同时独立于戴尔内部网络，不参与任何客户服务的提供流程”。平台使用的数据主要为虚假信息，源自公开数据集，仅用于产品演示等非生产场景。发言人补充道：“根据持续调查，攻击者获取的数据本质上是合成数据、公开信息或戴尔内部测试数据。” 作为全球最大计算机制造商之一，戴尔上个财年营收达956亿美元。 戴尔未透露事件具体发生时间及幕后组织，但勒索软件组织WorldLeaks声称对此次攻击负责。 该组织由三周前解散的Hunters International重组而来，解散前曾向既往受害者免费提供解密工具。Hunters International曾主导多起高调攻击，包括入侵美国法警局、纳米比亚国有电信运营商及西雅图知名癌症研究中心。 Hunters International的核心成员于2024年11月创建WorldLeaks。网络安全公司Group-IB评估认为，部分WorldLeaks与Hunters的管理员可能曾参与2023年被执法部门渗透瓦解的Hive勒索组织。 上周，谷歌事件响应团队披露，WorldLeaks成员正通过网络安全公司SonicWall的生命周期终止设备窃取企业敏感数据。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国阿拉斯加航空公司当地时间7月20日（周日）发生IT系统故障，导致所有航班停飞。该公司未说明故障具体性质，这已是其一年多来第二次全面停飞。 阿拉斯加航空在周日晚间向媒体发布的声明中表示：“太平洋时间周日晚8点左右（周一格林尼治时间0300），阿拉斯加航空遭遇影响航班运营的IT故障。我们已申请对阿拉斯加航空及旗下全资支线子公司地平线航空（Horizon Air）航班实施临时全系统地面停飞令。” 这家总部位于西雅图的航空公司称，当晚运营将持续受到后续影响，但未提供更多细节。 美国联邦航空管理局（FAA）状态页面显示，阿拉斯加航空干线飞机的地面停飞和地平线航空暂停运营影响了所有目的地。 2024年4月，阿拉斯加航空曾因飞机配载平衡计算系统问题全面停飞，此次事件距其波音737 MAX 9型客机舱门半空脱落事故仅数月之隔。 根据官网信息，阿拉斯加航空集团现运营238架波音737客机和87架巴航工业175客机。 今年6月，该集团旗下的夏威夷航空公司称部分IT系统遭黑客攻击。阿拉斯加航空集团表示仍在评估该事件的财务影响。 此次故障发生时，正值科技公司谷歌和Palo Alto Networks警告“Scattered Spider”黑客组织盯上航空业之际。 加拿大西捷航空6月遭遇不明网络攻击 澳大利亚澳航7月发生数据泄露事件，数百万客户信息遭窃 目前尚不清楚阿拉斯加航空故障是否与微软周日所称“政府机构和企业所用服务器软件遭主动攻击”有关。截至发稿，阿拉斯加航空未回应媒体关于两者关联性的质询。         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周日发布了针对SharePoint中一个正被恶意利用的安全漏洞的补丁，并同时公布了另一个漏洞的细节，该漏洞已通过“更强大的防护措施”得到解决。 微软承认，“目前发现攻击者正利用7月安全更新中未完全修复的漏洞，针对本地部署的SharePoint Server客户发起攻击”。 被利用的漏洞编号为CVE-2025-53770（CVSS评分：9.8），属于高危远程代码执行漏洞。该漏洞源于本地部署的Microsoft SharePoint Server在处理不可信数据时存在反序列化缺陷。 新披露的漏洞是一个SharePoint欺骗漏洞（CVE-2025-53771，CVSS评分：6.3）。一位匿名安全研究员因发现并报告该漏洞获得了微软官方致谢。 微软在2025年7月20日发布的安全公告中指出：“Microsoft Office SharePoint存在路径遍历漏洞，由于对受限目录的路径名限制不当，导致授权攻击者可通过网络实施欺骗攻击。” 微软还指出，CVE-2025-53770和CVE-2025-53771与另外两个SharePoint漏洞（CVE-2025-49704和CVE-2025-49706）存在关联，这些漏洞可被串联利用形成远程代码执行攻击链。该攻击链被称为ToolShell，已在微软2025年7月“补丁星期二”更新中得到修复。 微软表示：“针对CVE-2025-53770的更新比CVE-2025-49704的修复措施更完善”，“针对CVE-2025-53771的更新也比CVE-2025-49706的防护能力更强”。 值得注意的是，微软此前曾将CVE-2025-53770归类为CVE-2025-49706的变体漏洞。对此，微软发言人向媒体解释：“公司优先保障更新推送，同时会及时纠正内容不准确之处。”微软强调当前发布的信息准确无误，表述差异不影响对客户的安全指导。 这两个漏洞仅影响本地部署的SharePoint服务器，不涉及Microsoft 365中的SharePoint Online。目前已修复的版本包括： Microsoft SharePoint Server 2019（16.0.10417.20027） Microsoft SharePoint Enterprise Server 2016（16.0.5508.1000） Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Server 2019 Core Microsoft SharePoint Server 2016（待确认） 为防范潜在攻击，建议用户采取以下措施： 使用受支持的本地SharePoint版本（SharePoint Server 2016、2019及Subscription Edition） 立即安装最新安全更新 开启反恶意软件扫描接口（AMSI）并启用全模式防护，同时配置Defender Antivirus等杀毒软件 部署Microsoft Defender for Endpoint或同类威胁防护解决方案 轮换SharePoint Server的ASP.NET机器密钥 微软特别提醒：“安装上述安全更新或启用AMSI后，必须轮换SharePoint服务器的ASP.NET机器密钥，并重启所有SharePoint服务器的IIS服务。若无法启用AMSI，安装更新后也需立即轮换密钥。” 有安全公司向媒体透露，已有至少54家机构遭受攻击，包括银行、高校及政府部门。据该公司称，攻击活动始于7月18日左右。 美国网络安全和基础设施安全局（CISA）已将CVE-2025-53770纳入已知被利用漏洞目录，要求联邦民用行政机构在2025年7月21日前完成修复。 帕洛阿尔托网络公司（Palo Alto Networks）旗下Unit 42团队也在追踪这起“高影响、持续性威胁事件”，指出政府、教育机构、医疗机构（含医院）及大型企业面临直接风险。 Unit 42首席技术官兼威胁情报负责人Michael Sikorski表示： “攻击者正绕过MFA和SSO等身份验证机制获取特权访问权限。入侵后会窃取敏感数据、植入持久化后门并盗取加密密钥。攻击者已利用该漏洞建立攻击据点。” “本地SharePoint服务器若暴露在公网环境，应假定已遭入侵。仅靠补丁无法彻底清除威胁。更危险的是SharePoint与微软生态的深度整合，Office、Teams、OneDrive和Outlook等服务存储的敏感信息都会成为攻击目标，一次入侵可能导致整个网络沦陷。” 该安全厂商将此次事件列为高严重度、高紧急度威胁，敦促本地SharePoint用户立即安装补丁、轮换加密凭证并启动事件响应流程。Sikorski补充道：“临时应急方案可先断开SharePoint服务器的公网连接直至补丁部署完成。错误的安全认知可能导致威胁持续扩散。” （事件仍在发展中，请关注后续更新。）       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文