HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，与俄罗斯有关联的黑客组织近期针对塔吉克斯坦政府、学术及科研机构发动新型网络间谍行动。 Recorded Future旗下Insikt Group将2025年1月至2月期间的攻击活动归因于名为TAG-110的威胁组织，该团伙被认为与俄罗斯军事情报机构支持的APT28（又名BlueDelta）存在关联。 攻击者通过投递政府主题的钓鱼邮件实施入侵，诱饵文件包括塔吉克斯坦武装部队辐射安全通知和首都杜尚别选举日程表等伪造文档。研究人员指出，此次行动标志着TAG-110战术的重大转变——该组织弃用此前惯用的Hatvibe恶意软件，转而利用启用宏的Word模板作为初始感染载体。若攻击得逞，攻击者可能部署Cherryspie、Logpie等间谍工具或新型定制恶意软件。 自2021年以来，TAG-110持续在中亚地区开展网络间谍活动，其攻击目标还涉及印度、以色列、蒙古和乌克兰等国的实体。Insikt Group分析认为，此类行动与俄罗斯维持该地区战略影响力的宏观目标相契合，尤其是在区域格局变动与地缘政治紧张加剧的背景下。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化加密货币交易所Cetus周四凌晨遭攻击，损失金额达2.23亿美元。该公司最初在社交媒体向用户通报称因安全原因暂停平台运营，经调查后确认攻击者已窃取资金。平台声明表示：“我们立即采取行动锁定智能合约防止进一步资金流失”，并称已成功“冻结”1.62亿美元被盗资产。 基于Sui区块链运营的Cetus未就“冻结”的具体技术含义作出回应，但透露正与Sui基金会等机构合作追回剩余资金，承诺后续发布完整事件报告。区块链安全专家分析链上数据发现，约5000万美元被盗资金已转入新钱包地址。 关于攻击根源存在显著争议：部分人士援引Cetus官方Discord频道的消息，认为黑客利用协议漏洞实施窃取；彭博社援引专家观点称攻击可能涉及代币价格操纵。Cetus曾在四月披露平台累计处理交易量达500亿美元。 此次事件发生距朝鲜黑客组织攻击Bybit交易所致14亿美元损失仅三个月。2025年加密货币领域安全事件频发，Coinbase上周披露因内部员工泄密导致近7万名用户遭钓鱼攻击。区块链研究机构Chainalysis数据显示，2024年加密货币平台被盗金额超20亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国北卡罗来纳州全服务解剖病理实验室Marlboro-Chesterfield Pathology（MCP）近期遭遇勒索软件攻击，导致大量个人信息记录遭窃。该机构于官网发布的数据泄露通知显示，2025年1月16日发现内部IT系统存在未经授权活动，调查证实攻击者窃取了部分文件。 此次泄露数据包含姓名、住址、出生日期、医疗治疗信息及健康保险信息等敏感内容，具体泄露字段因个体差异有所不同。MCP本周向美国卫生与公众服务部（HHS）通报称，事件影响范围涉及235,911人。 勒索软件组织SafePay于一月下旬宣称对此次攻击负责，该团伙近期还攻击了商业服务提供商Conduent。值得关注的是，截至发稿时MCP已从SafePay的泄密网站下架，暗示受害方可能已支付赎金。SecurityWeek已联系涉事机构寻求置评，但尚未获得回应。 此次事件再次印证医疗行业面临的网络安全危机。当前医疗数据泄露呈现规模化特征，同类事件常波及数十万受害者，部分重大案例甚至影响数百万至数千万人。攻击者利用医疗机构IT系统漏洞与老旧设备防护薄弱点，通过勒索软件、网络钓鱼等手段实施数据窃取与系统加密，对患者隐私与机构运营构成双重威胁。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对macOS用户的伪造Ledger应用攻击活动持续升级，攻击者通过恶意软件窃取加密货币钱包助记词。Moonlock Lab追踪数据显示，此类攻击自2024年8月起已从单纯窃取密码升级为直接劫持数字资产。以下是攻击技术演进与防护建议： 恶意软件技术演变 Odyssey新型窃取程序：2025年3月发现的Odyssey恶意程序会替换受害者设备的合法Ledger Live应用，通过伪造”严重错误”弹窗诱导用户输入24词助记词。该程序可窃取macOS账户信息，并将钓鱼页面数据发送至攻击者的命令与控制服务器。 AMOS窃取器模仿攻击：地下论坛迅速出现模仿攻击，AMOS窃取器通过名为JandiInstaller.dmg的文件绕过Gatekeeper防护，安装篡改版Ledger Live。用户在输入助记词后会收到”应用损坏”虚假提示，攻击者利用时间差转移资产。 混合攻击模式扩展：Jamf公司发现新型攻击使用PyInstaller打包的二进制文件，在伪造的Ledger Live界面内嵌iframe加载钓鱼页面。此类混合攻击同时窃取浏览器数据、热钱包配置及系统信息，形成多维数据窃取链。 新兴威胁态势 暗网用户@mentalpositive近期宣传“反Ledger”攻击模块，虽暂未发现有效样本，但预示更复杂攻击工具可能出现。 攻击基础设施溯源发现关联政府实体的IP地址，该地址自2024年7月起托管多个macOS恶意文件。 企业级防护建议 应用来源管控：仅从Ledger官网下载应用，验证数字签名与哈希值。警惕第三方平台或弹窗推送的“紧急更新”。 助记词操作规范：助记词仅用于硬件钱包初始化/恢复场景，且必须通过物理设备输入。任何要求在网络界面输入助记词的行为均为钓鱼攻击。 系统防护强化：启用macOS完整磁盘访问控制，定期审计具有CreateChild权限的账户。部署EDR解决方案监控异常进程创建行为。 安全意识培训：重点识别钓鱼页面特征：非常规域名（如ledger-recovery.info）、紧迫性话术诱导、非官方通讯渠道通知。 技术监测手段：监控事件日志ID 5136（对象属性修改）、5137（服务主体创建）、2946（Kerberos认证请求），配置SIEM规则实时告警。 此次攻击活动揭示硬件钱包生态面临的新挑战：即使采用冷存储方案，配套软件的安全漏洞仍可能成为突破口。Moonlock Lab强调，攻击者正利用macOS用户对系统安全性的过度信任心理，结合社会工程学构建复合攻击链。随着加密货币持有者规模扩大，此类针对性攻击预计将持续增长。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现Windows Server 2025存在权限提升漏洞，攻击者可借此攻陷Active Directory（AD）中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出：“该攻击利用Windows Server 2025新增的委托托管服务账户（dMSA）功能，在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。” 这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档，dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时，原账户密码认证会被阻断，请求将重定向至本地安全机构（LSA）使用dMSA认证，后者自动继承原账户在AD中的所有访问权限。 Akamai发现的关键问题在于：dMSA的Kerberos认证阶段，密钥分发中心（KDC）签发的票据授予凭证（TGT）中嵌入的特权属性证书（PAC）会同时包含dMSA自身的安全标识符（SID）、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程，可让KDC误判合法权限继承，进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。 Gordon解释：“攻击过程无需对被替代账户拥有任何权限，仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后，KDC就会自动授予该dMSA与原用户完全相同的权限。” Akamai已于2025年4月1日向微软提交漏洞细节，微软将其评估为中等严重性，认为成功利用需攻击者已具备对dMSA对象的特定权限，故暂不发布紧急补丁。目前该公司正在开发修复程序。 鉴于漏洞暂无官方修复方案，建议企业采取以下措施： 限制创建dMSA账户的权限，特别是检查各组织单元（OU）的非默认主体权限。 部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。 加强AD对象属性修改行为的日志监控，重点关注事件ID 5136等关键日志项。 该漏洞的特殊性在于：即使攻击者仅拥有普通用户常见的CreateChild权限，也可通过操纵dMSA属性接管域内任意账户，其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示，dMSA功能设计初衷是帮助企业安全迁移遗留服务账户，但此次研究表明新安全功能本身可能成为攻击突破口。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场由全球执法机构和私营企业联盟发起的协同行动成功瓦解了与信息窃取软件Lumma（又名LummaC或LummaC2）相关的网络基础设施，查封了2,300个充当命令与控制（C2）主干网络的域名。这些域名被用于控制数百万台受感染的Windows系统。 美国司法部在声明中指出：“LummaC2等恶意软件被部署用于窃取数百万受害者的敏感信息（如用户登录凭证），以实施包括欺诈性银行转账和加密货币盗窃在内的多种犯罪。”被没收的基础设施通过附属机构和其他网络犯罪分子在全球范围内实施攻击。自2022年底活跃的Lumma Stealer估计已被用于至少170万次信息窃取活动，目标包括浏览器数据、自动填充信息、登录凭证和加密货币助记词等。美国联邦调查局（FBI）已追踪到约1000万例感染事件。 此次查封影响了五个作为管理员和付费客户登录面板的域名，有效阻止了其继续入侵计算机和窃取受害者信息。欧洲刑警组织透露：“2025年3月16日至5月16日期间，微软在全球范围内识别出超过394,000台感染Lumma恶意软件的Windows计算机”，并称此次行动切断了恶意工具与受害者之间的通信。该机构将Lumma描述为“全球最具威胁性的信息窃取软件”。 微软数字犯罪调查部门（DCU）联合ESET、BitSight、Lumen、Cloudflare、CleanDNS和GMO Registry等网络安全公司，摧毁了构成Lumma基础设施主干的约2,300个恶意域名。DCU助理总法律顾问Steven Masada表示：“Lumma的主要开发者来自俄罗斯，使用网络化名‘Shamel’。他通过Telegram和其他俄语聊天论坛销售不同层级的服务——网络犯罪分子可根据购买的服务等级定制恶意软件、添加隐藏和分发工具，并通过在线门户追踪窃取的信息。” 这款以恶意软件即服务（MaaS）模式运营的窃取工具，提供从250至1000美元不等的订阅服务，开发者还提供20,000美元套餐以获取源代码和转售权。ESET补充说明：“基础套餐包含基本过滤和日志下载功能，高级套餐则提供自定义数据收集、规避工具和新功能优先使用权，最昂贵的套餐强调隐蔽性和适应性，提供独特构建生成和降低检测率功能。” 近年来，Lumma通过日益流行的点击修复（ClickFix）等传播方式成为知名威胁。微软追踪到该窃取软件背后的威胁组织Storm-2477，指出其分发基础设施具有“动态弹性”特征，综合运用钓鱼攻击、恶意广告、路过式下载、可信平台滥用和Prometheus等流量分发系统。Cato Networks周三发布的报告披露，疑似俄罗斯威胁组织正利用Tigris对象存储、Oracle云基础设施（OCI）对象存储和Scaleway对象存储托管虚假reCAPTCHA页面，通过点击修复式诱导下载Lumma Stealer。 该恶意软件的显著特征包括：采用九组频繁变更的一级域名和托管在Steam个人资料/Telegram频道的备用C2构成多层级基础设施；通过付费安装（PPI）网络或流量销售商分发；通常与商业软件的破解版捆绑传播；运营者创建了带评级系统的Telegram黑市供附属机构直接销售数据；核心二进制文件采用低级虚拟机（LLVM核心）、控制流扁平化等高级混淆技术阻碍静态分析；2024年4月至6月期间网络犯罪论坛上出现超21,000个Lumma日志销售帖，同比增幅达71.7%。 微软强调：“Lumma Stealer的分发基础设施灵活且适应性强，运营者持续优化技术手段——轮换恶意域名、利用广告网络和合法云服务规避检测。所有C2服务器都隐藏在Cloudflare代理之后，这种动态架构既能最大化攻击成功率，又增加了追踪难度。”云基础设施公司Cloudflare表示，其在恶意C2服务器和黑市域名前部署了新型验证警告页，并对相关账户采取封禁措施。Cloudforce One负责人Blake Darché指出：“虽然此次行动对全球最大信息窃取基础设施造成重大打击，但与其他威胁组织类似，Lumma运营者将调整策略卷土重来。” 2025年1月安全研究人员g0njxa的采访显示，Lumma开发者曾表示计划在次年秋季停止运营：“我们为当前成果付出了两年努力，这已成为日常生活而不仅仅是工作。” 该声明暗示着网络犯罪生态中恶意软件即服务模式的商业化程度已达到新高度。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟宣布新一轮制裁，针对与俄罗斯混合战争（涵盖虚假信息传播、破坏活动及间谍行动）相关的个人与实体。此次制裁覆盖俄罗斯军事情报总局（GRU）成员、社交媒体操控者及关键技术支持企业（如网络托管服务商与GPS干扰设备制造商），旨在应对俄乌冲突以来升级的混合威胁。欧盟外交政策高级代表约瑟普·博雷利强调：“俄罗斯战争持续越久，我们的回应将越强硬。” 制裁名单包括总部位于布拉格的亲俄媒体“欧洲之声”（Voice of Europe），该机构通过网站及Facebook、YouTube等平台实施“事实扭曲与媒体操纵”。调查显示，其资金源自与克里姆林宫关系密切的乌克兰政商寡头维克托·梅德韦丘克，该团伙曾干预2024年欧洲议会选举，资助亲俄候选人。捷克当局声称已于2023年捣毁该网络。此外，非洲倡议通讯社（African Initiative）及其负责人维克托·卢科文科因在非洲多国传播亲俄叙事被列入制裁。 英国网络托管商Stark Industries及其两名摩尔多瓦籍运营者因支持大规模网络攻击与虚假信息活动（如俄方主导的“Doppelgänger”行动）被制裁。该公司服务器被俄罗斯黑客组织及网络犯罪团伙频繁用于攻击基础设施。同时，俄罗斯联邦无线电频率中心（GRFC）及其负责人因批准在加里宁格勒部署新型GPS干扰设备，导致波罗的海国家民航系统频发信号故障，被纳入制裁范围。 欧盟对参与GPS干扰设备研发的俄罗斯军工企业及个人实施资产冻结与旅行禁令。GRFC电子战中心近期配备可大范围阻断通信的先进干扰系统，并在加里宁格勒开展演习。罗马尼亚与波兰总统选举前均监测到俄方虚假信息活动激增，欧洲多国纵火破坏事件也被认为与俄方特工有关。 被制裁实体与个人在欧盟境内的资产将被冻结，欧盟公民及企业禁止与其进行资金往来，相关人员同时被禁止入境（含过境）。此轮制裁是欧盟继2024年3月打击俄网络间谍网络后的又一次行动，反映其对混合威胁的持续高压态势。近期，爱沙尼亚、立陶宛等国报告俄方加强海底光缆侦察活动，欧盟正协同北约强化关键基础设施防护。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州电信运营商Cellcom确认，过去一周的语音与短信服务中断系网络攻击所致。该事件影响威斯康星州及密歇根上半岛地区用户，目前部分服务已逐步恢复。公司首席执行官布里吉德·里尔登在致客户信中表示：“尽管遭遇不幸，但我们对此类事件并非毫无准备，现有应急预案正在执行中。” Cellcom已向执法部门通报攻击事件，并与外部网络安全专家合作推进调查与系统修复。公司强调攻击仅影响不存储客户敏感数据的网络分区，暂未发现用户姓名、地址、财务信息等隐私外泄迹象。虽然部分服务已恢复，但全面运营可能需至本周末，具体时间表尚未明确。 里尔登在声明中透露，团队于前夜取得重大修复进展，预计本周内完成剩余服务恢复，但承诺“不会因追求速度而牺牲安全性与可信度”。此次攻击导致用户长达七日无法使用基础通信功能，社交媒体涌现大量投诉——有客户反映错过医疗预约、工作面试等重要事务。尽管公司承诺不涉及数据泄露，但拒绝提供账户迁移所需信息，加剧用户不满情绪。威斯康星州公共服务委员会正评估运营商是否违反紧急服务保障条例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称通过滥用Meta旗下Facebook的应用程序接口（API）非法获取了包含12亿条用户记录的数据库，并将该数据集发布于知名数据泄露论坛。若得到证实，这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查，发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息，初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度，因该攻击者此前仅发布过两次数据帖，推测可能通过分批次爬取累积至此规模。 此次事件再次暴露Facebook在API安全防护上的系统性缺陷。2021年曾有攻击者泄露超5亿用户电话号码与地理位置信息，导致欧盟罚款2.65亿欧元。研究人员指出，此类重复性事件表明Meta在数据安全措施上长期采取被动应对策略，尤其在保护公开可见但依然敏感的隐私数据方面存在严重疏漏。缺乏有效防护机制使数亿用户面临钓鱼攻击、金融诈骗及身份盗用风险。 攻击者利用此类大规模数据库可实施自动化攻击，例如向用户精准推送伪装成Facebook登录页面的钓鱼链接，或结合地理位置与生日信息设计定向诈骗剧本。安全专家强调，攻击者通过API接口超量获取数据已成行业顽疾，Shopify、GoDaddy等平台近年均遭遇类似攻击。API作为现代互联网服务的基础组件，其滥用问题亟待技术性与监管层面的双重解决方案。 Meta此前承认使用公开的Facebook与Instagram数据训练AI助手，此举引发隐私合规争议。目前Meta尚未就此次泄露事件发表声明，爱尔兰数据保护委员会正评估事件影响范围。欧盟监管部门重申将依据GDPR第25条“通过设计保护数据”原则，加大对科技企业数据滥用行为的处罚力度。安全社区建议用户立即启用双重验证并监控账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全博客KrebsOnSecurity近期遭遇峰值达6.3太比特/秒（Tbps）的分布式拒绝服务（DDoS）攻击，创下Google防御系统处理流量的新纪录。该博客由美国知名安全调查记者Brian Krebs运营，受Google免费反DDoS服务Project Shield保护，尽管攻击仅持续45秒，未造成服务中断，但暴露出物联网僵尸网络Aisuru的恐怖威力。 此次攻击由自2024年活跃的Aisuru僵尸网络发起，该网络通过Telegram以每周数百美元价格提供DDoS租用服务。攻击流量包含每秒5.85亿个UDP数据包，随机轰击服务器端口。Google安全工程师Damian Menscher证实，这是Google有史以来拦截的最大规模攻击，但得益于Project Shield的即时响应，博客未出现可见服务降级。 Aisuru的独特之处在于其专注于劫持路由器、监控摄像头等物联网设备，且未与其他僵尸网络形成设备资源竞争，这使得其攻击火力更为集中。安全专家警告，该网络利用未知漏洞控制设备，潜在破坏力远超传统僵尸网络。 此次攻击规模仅次于Cloudflare在2025年4月记录的6.5Tbps历史峰值。数据显示，2025年第一季度Cloudflare已拦截超700次“超大规模”攻击（流量超1Tbps），这类攻击通常仅持续35-45秒，但足以瞬间瘫痪多数网络基础设施。 Brian Krebs通过线索追踪到僵尸网络运营者“Forky”，此人长期经营DDoS租用业务。但面对质询时，Forky否认参与此次攻击，并拒绝透露客户信息。安全社区担忧，此类服务的匿名性正使DDoS攻击日益成为商业打击与网络勒索的常规武器。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现并调查了谷歌云平台（GCP）Cloud Functions与Cloud Build服务中潜在的权限升级漏洞。该漏洞最初由Tenable研究团队披露，攻击者可利用GCP云函数的部署流程获取高权限。谷歌随后发布补丁，限制默认Cloud Build服务账户的过度权限。 思科Talos团队在Tenable研究基础上，复现攻击手法并测试其对多云平台的影响。研究人员在GCP部署含恶意package.json文件的Debian服务器（集成NPM与Ngrok），通过提取令牌模拟攻击，确认谷歌补丁已修复原始提权路径。但实验表明，即使无特权访问，相同技术仍可用于环境探测（如系统映射）。将篡改后的package.json部署至AWS Lambda与Azure Functions后，验证该策略在跨云场景中的普适性。 研究揭示攻击者可利用的多种系统信息收集手段： 基于ICMP协议的网络拓扑发现 检测.dockerenv文件确认容器化环境 分析CPU调度机制识别初始化系统 容器ID与挂载点检查（用于逃逸路径探测） 操作系统与内核版本信息提取 用户权限扫描（辅助提权） 网络流量分析（漏洞评估） 此类技术无需特权凭证即可实施，在服务账户权限受控场景下仍具威胁。 谷歌根据Tenable报告调整Cloud Build运行逻辑，新增细粒度服务账户管控策略。Talos证实，GCP中利用此方法窃取服务账户令牌已不可行。企业防护措施应包括： 对所有服务账户实施最小权限原则 定期审计与监控权限配置 设置云函数异常修改告警 检查外发流量是否存在数据窃取迹象 验证外部NPM包的完整性 尽管原始漏洞已修补，该研究仍凸显宽松配置带来的持续性风险及多云环境持续监控的重要性。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Check Point披露，黑客利用伪造的Kling AI社交媒体页面及广告，诱导用户下载恶意软件。Kling AI是快手科技2024年6月推出的AI生成图像与视频平台，截至2025年4月用户超2200万。攻击者仿冒官网（如klingaimedia[.]com）设置钓鱼网站，宣称支持浏览器端生成多媒体内容，实则提供藏匿恶意代码的ZIP压缩包。 恶意文件采用双重扩展名（如.jpg.exe）及韩语填充符（0xE3 0x85 0xA4）伪装。压缩包内嵌加载器程序，可植入远程访问木马PureHVNC，并窃取浏览器凭证、会话令牌等数据。该加载器具备反分析能力： 监测Wireshark、OllyDbg等安全工具进程 修改注册表实现持久化驻留 通过注入CasPol.exe等系统进程规避检测 第二阶段载荷PureHVNC RAT使用.NET Reactor混淆，连接C2服务器185.149.232[.]197，具备窃取Chromium浏览器加密货币钱包插件数据、捕捉含特定关键词（银行/钱包名称）窗口截屏等功能。 Check Point已发现至少70个仿冒Kling AI的推广帖，部分广告显示攻击者可能来自越南。这种利用Facebook广告分发窃密软件的手法，与越南黑客组织近年活动模式高度吻合——例如2025年4月Morphisec曾曝光越南团伙通过虚假AI工具传播Noodlophile窃密程序。 《华尔街日报》指出，Meta旗下Facebook和Instagram正面临“诈骗泛滥”，虚假促销、投资骗局及赠品欺诈内容多源自斯里兰卡、越南及菲律宾。另据Rest of World调查，东南亚人口贩卖集团通过Telegram和Facebook发布虚假招聘广告，诱骗印尼青年至诈骗园区从事跨国投资欺诈。 Check Point警告，此类攻击结合社会工程与高阶恶意软件技术，标志着社交媒体定向攻击趋向精准化、复杂化。安全团队建议用户警惕AI工具类广告，下载前验证域名真实性，并启用实时文件扫描防护。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   卡巴斯基最新研究发现，俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示：“针对俄罗斯企业的攻击活动始于2023年3月，但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件，攻击者通过使用双扩展名（如“doc_054_[已编辑].pdf.rar”）将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序，当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”，同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件，运行系统工具“InstallUtil.exe”，并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制（C2）服务器建立SSL连接传输系统信息，包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应，C2服务器会发送多种执行恶意操作的辅助模块： PluginPcOption：可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify：检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词，并执行未经授权的资金转移等后续操作。 PluginClipper：作为剪切板劫持恶意软件，将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出：“该木马包含下载和运行任意文件的模块，可完全访问文件系统、注册表、进程、摄像头和麦克风，实现键盘记录功能，并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件，这是被称为PureCrypter的商业化下载器，自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件，该文件通过上述攻击流程运行“InstallUtil.exe”，最终启动名为“Ttcxxewxtly.exe”的可执行程序，该程序会解压并运行名为PureLogs的DLL载荷（“Bftvbho.dll”）。 PureLogs是一款现成的信息窃取程序，可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调：“PureRAT后门和PureLogs窃取程序具有广泛功能，可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯多个关键政府服务系统于本周二遭遇大规模分布式拒绝服务（DDoS）攻击，导致服务中断。据监测平台Downdetector数据显示，联邦税务局（FNS）、数字密钥管理系统（Goskey）及电子文档平台（Saby）等均受影响。Saby与FNS已确认攻击源自境外，正全力修复系统。 企业用户报告称，酒类销售管控平台与商品防伪追踪系统无法访问。此次事件距离上周大规模服务中断仅数日——彼时俄罗斯银行应用、社交平台VKontakte、即时通讯工具、Yandex服务及移动网络集体瘫痪。圣彼得堡电信运营商Severen-Telecom曾报告服务器遭DDoS攻击，但俄通信监管局（Roskomnadzor）未透露故障原因。 上周，某私立医院系统遭持续多日的网络攻击，导致患者病历管理软件瘫痪。亲乌克兰黑客组织4B1D宣称对此负责，但院方未披露细节。本周二，莫斯科卫生部门通报医疗记录系统“临时故障”，但拒绝归因于网络攻击。 俄乌网络战中，攻击常与重大政治事件同步。此次中断恰逢美国前总统特朗普与俄总统普京进行两小时通话，讨论乌克兰停火协议。尽管攻击方尚未认领责任，但历史数据显示，乌克兰IT Army等组织曾对类似目标实施攻击。网络安全专家指出，攻击是否刻意选择政治敏感时点仍有待调查。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球顶尖石油天然气企业的网络安全评估结果令人担忧。网络安全机构Cybernews最新报告显示，市值排名前400的能源巨头中仅10%通过基础安全测评，69%的企业得分处于D或F级高危区间。研究覆盖391家企业，其中超半数在过去30天内至少遭遇一次数据泄露，27.1%上周刚经历安全事件。 测评发现，91%企业存在SSL/TLS证书配置缺陷，导致数据传输面临窃听与篡改风险；74%企业的核心业务系统托管环境存在配置漏洞；48%未部署反钓鱼与反欺骗的邮件防护措施。软件补丁管理同样堪忧——32%企业存在常规补丁漏洞，20%放任可被直接利用的关键漏洞。Cybernews安全研究主管Vincentas Baubonis指出，单次勒索攻击即可引发生产停滞、股价暴跌与投资者信任危机，全行业仅有10%企业建立有效数字防线。 数据泄露已成常态，94%的受评企业曾发生泄密事件，80%企业员工凭证遭暗网贩卖，38%域名存在邮件伪造漏洞。历史数据显示，北美企业数据泄露发生率最高，但亚洲企业在多项风险指标中表现最差：68%重复使用已泄露密码（北美31%，欧洲39%），59%域名易受邮件伪造攻击（北美35%，欧洲27%），30%存在高风险漏洞，27%存在可被直接利用的致命漏洞。欧洲企业在各维度相对均衡，云环境风险与系统配置薄弱项少于其他地区。 该研究通过物联网搜索引擎、IP/域名信誉库及定制化扫描，基于公开信息评估企业网络安全状态。评估维度涵盖软件更新、网络防护、邮件安全、系统声誉、SSL配置、系统托管与泄密历史七大领域，旨在为企业提供透明化风险画像，助力构建抗攻击的数字基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国生鲜物流企业Peter Green Chilled近期遭遇勒索软件攻击，部分系统遭加密。该公司为乐购（Tesco）、奥乐齐（Aldi）等零售巨头提供冷链运输服务，此次事件距离玛莎百货（Marks & Spencer）重大网络攻击尚不足一月。BBC报道称，攻击者于周三加密企业数据并扰乱运营，公司内部邮件证实正在处理勒索软件事件。 网络安全研究员Aras Nazarovas指出，此类攻击可使物流企业陷入服务瘫痪，导致合作超市特定商品短期缺货。ISACA全球战略官Chris Dimitriadis强调，网络罪犯正将目标转向供应链环节——配送中断、库存损耗与财务损失将引发连锁反应。 近期英国零售业频现安全危机，除玛莎百货外，哈罗德百货（Harrods）、合作社集团（Co-op）相继遭入侵。据路透社数据，玛莎百货因攻击已损失超6000万英镑（约8000万美元）利润，市值蒸发逾10亿英镑。调查显示，攻击者通过第三方服务商塔塔咨询（TCS）两名员工的凭证侵入系统，黑客组织Scattered Spider被怀疑参与作案。该团伙以钓鱼技术著称，2023年曾伪装IT支持人员攻陷拉斯维加斯美高梅度假村与凯撒娱乐集团。 尽管Scattered Spider作案手法老练，执法机构已展开全球缉捕。2023年，涉嫌参与美高梅攻击的22岁英国公民Tyler Robert Buchanan在西班牙落网。同年11月，美国起诉包括Ahmed Hossam Eldin Elbadawy在内的五名该组织成员。安全专家警示，供应链环节的数字化依赖度攀升，物流企业需强化第三方供应商的凭证管理及零信任架构部署。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Thales《2025年数据威胁报告》显示，面对生成式AI（GenAI）带来的安全风险，73%的企业正在通过新增预算或重新分配资源的方式采购AI专用安全工具。其中，超三分之二的企业选择云服务商提供的解决方案，60%依赖传统安全厂商，约半数尝试新兴初创公司的产品。AI安全已成为企业第二大安全投入重点，仅次于云安全。 近70%的IT与安全从业者认为，快速迭代的生成式AI生态系统（涵盖新型基础设施、SaaS服务与自主代理）是采用该技术的首要安全顾虑。此外，64%担忧数据完整性，57%质疑结果可信度。尽管存在风险，仍有三分之一企业处于GenAI技术的”集成”或”转型”阶段。 报告指出，45%的受访企业曾遭遇数据泄露，较2024年的49%略有下降。自2021年（56%）以来，受泄密影响的企业比例呈逐步下降趋势。过去12个月内发生泄露的企业占比为14%，与上年持平。值得注意的是，未通过合规审计的企业中有78%曾遭遇数据泄露，而通过审计的企业该比例仅为21%。恶意软件、钓鱼攻击与勒索软件仍是年度三大主要攻击类型。 近60%的企业采用生物识别技术，47%部署无密码认证（如通行密钥），这类技术能有效防范钓鱼攻击与凭证填充等账户劫持行为。研究覆盖全球20个国家、15个行业的3000余名IT与安全专家。 451 Research首席分析师Eric Hanselman评论称：“生成式AI的快速演进迫使企业加速布局，但往往以牺牲谨慎为代价。许多企业在尚未完全理解应用架构的情况下仓促部署，加之集成GenAI能力的SaaS工具激增，多重因素叠加放大了复杂性与风险。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netacea最新研究显示，大西洋两岸近半数消费者曾遭遇社交媒体平台推送的零售欺诈广告，这些广告以“退款技巧”为幌子诱导用户参与诈骗。该公司对英美2000余名消费者展开调查，发现欺诈行为正通过主流社交媒体的高曝光广告逐渐“去罪化”。 地下犯罪产业阳光化 报告指出，以往仅存于暗网“欺诈即服务”论坛的犯罪指南，如今公然现身TikTok等平台。Netacea威胁服务副总裁Matthew Gracey-McMinn分析称：“犯罪组织利用社交媒体近乎无限的‘干净账户’资源（即未被风控系统标记的可信账户），通过诱导千禧一代‘轻松赚钱’，实际上将其培养成实施恶意活动的‘数字骡子’。” 触目惊心的数据 45%受访者承认收到过零售欺诈指南广告，58%接触过伪装成网红内容的退款骗局 16%认为零售欺诈属于“无受害者犯罪”，58%认为零售商应自行承担欺诈损失且不会影响经营 23%曾产生欺诈冲动，15%表示在特定条件下会尝试更严重的欺诈行为，34%认为单笔100英镑以内的欺诈可以接受 社交裂变式传播 18%受访者表示看到过网红推广欺诈手段，而通过亲友（37%）、同事（21%）、同学（9%）接触相关信息的比例高达82%。常见欺诈手法包括：谎称未收到货物骗取退款/补发、调包退货、盗用支付信息购物、使用非法获取的礼品卡或账户余额消费、雇佣专业“退单服务商”等。 内部腐败风险攀升 18%受访者承认认识从事内部欺诈的人员（其中12%在零售企业工作，6%在物流服务商任职）。这与Ravelin上周发布的报告相呼应——零售商普遍认为普通消费者带来的威胁已不亚于职业欺诈团伙。 Netacea警告称，欺诈行为的文化接受度正在发生危险转变：“我们每天监控暗网市场的职业罪犯，但如今零售欺诈技术已从阴影走向公开——它们在朋友间传播，在网络平台大肆推广。令人震惊的是，相当部分公众不仅看得见这些行为，甚至认为其可以接受。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点目标。 研究人员发现，攻击者采用鱼叉式钓鱼邮件结合地理围栏技术，确保仅特定国家的目标会收到恶意载荷。攻击链通过诱饵文档激活感染流程，最终部署名为StealerBot的恶意软件，该作案手法与此前披露的SideWinder活动特征一致。 此次攻击瞄准南亚多国关键部门，包括孟加拉国电信监管委员会、国防部与财政部，巴基斯坦本土技术发展局，以及斯里兰卡外债管理局、国防部与中央银行。攻击者利用微软Office中历史悠久的远程代码执行漏洞（CVE-2017-0199与CVE-2017-11882）作为初始攻击媒介，部署具备持久化访问能力的恶意程序。 恶意文档被打开时触发CVE-2017-0199漏洞，通过DLL侧载技术释放后续载荷安装StealerBot。攻击者采用地理围栏技术增强隐蔽性：若受害者IP地址不符合预设国家范围，系统仅返回空白RTF文件作为诱饵。实际恶意RTF文件利用公式编辑器漏洞CVE-2017-11882触发内存破坏，执行基于shellcode的加载器运行StealerBot。 StealerBot是基于.NET开发的模块化植入程序，能够投放额外恶意组件、启动反向shell，并从受控主机窃取屏幕截图、键盘记录、密码、文件等敏感数据。分析指出，该组织展现出持续的活跃度与精准控制能力——恶意载荷仅在限定时间内分发给经过严格筛选的目标，反映出其组织架构的延续性与攻击意图的持久性。 攻击活动中，SideWinder延续了其标志性战术：频繁更新工具集以规避安全检测，通常在安全解决方案识别其工具后5小时内生成新变种。若遭遇行为检测，则迅速调整持久化维持与组件加载技术，并修改恶意文件路径及名称。尽管主要依赖旧版Office漏洞实施攻击，但其对目标选择的高度精准性与攻击流程的严密控制，仍使其成为南亚地区最具威胁的APT组织之一。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序，这些程序表面提供生产力工具、VPN、加密服务等实用功能，实则暗藏数据窃取、远程代码执行等恶意模块。 网络安全公司DomainTools调查发现，攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站，诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限，可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码，甚至利用临时DOM元素的“onreset”事件处理器绕过内容安全策略（CSP）。 部分恶意扩展被检测到与超过100个仿冒网站相关联，其中一些网站嵌入了Facebook追踪ID，暗示攻击者可能通过Meta平台（如群组、广告）进行传播。用户安装后，扩展会窃取浏览器Cookie、建立WebSocket代理通道，并操控流量实现重定向攻击。 尽管Google已下架相关扩展，但安全专家指出，攻击者通过在应用商店和常规搜索结果中同时存在虚假页面，大幅提升用户中招概率。更隐蔽的是，部分扩展（如仿冒DeepSeek的案例）将低分评价用户重定向至私人反馈表单，而高分评价则正常显示在官方页面，以此伪造虚假好评。 DomainTools建议用户仅从认证开发者处下载扩展，安装前仔细审查权限请求，警惕名称相似的仿冒应用。同时提醒，评分系统可能被恶意过滤负面评价所操控，需结合多方信息综合判断。目前尚未明确攻击者身份，相关调查仍在进行中。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文