HackerNews

HackerNews 编译，转载请注明出处： 与朝鲜关联的威胁行为组织“Contagious Interview”（传染性面试）在虚假招聘流程中设立了多家空壳公司，用于分发恶意软件。 网络安全公司Silent Push在深度分析中指出：“在此次新活动中，该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC（blocknovas[.]com）、Angeloper Agency（angeloper[.]com）和SoftGlide LLC（softglide[.]co）——通过‘面试诱饵’传播恶意软件。” 该活动被用于分发三种已知恶意软件家族：BeaverTail、InvisibleFerret和OtterCookie。 “Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口，诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。 此次攻击的升级体现在： 空壳公司网络：BlockNovas声称有14名员工，但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时，该公司自称“运营12年以上”，但实际注册时间仅1年。 社交媒体伪装：攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。 多阶段攻击链： BeaverTail：JavaScript窃取器/加载器，通过域名lianxinxiao[.]com建立C2通信，投递下一阶段载荷。 InvisibleFerret：Python后门，支持Windows/Linux/macOS持久化，可窃取浏览器数据、文件并安装AnyDesk远程控制软件。 OtterCookie：部分攻击链通过同一JS载荷分发。 基础设施细节： BlockNovas子域名托管“状态仪表盘”，监控lianxinxiao[.]com、angeloperonline[.]online等域名。 子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。 域名attisscmo[.]com托管加密货币钱包工具Kryptoneer，支持Suiet Wallet、Ethos Wallet等连接。 时间线与影响： 2024年9月：至少一名开发者的MetaMask钱包遭入侵。 2024年12月：BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。 2025年4月23日：FBI查封BlockNovas域名，指控其用于“虚假招聘及恶意软件分发”。 技术规避手段： 使用Astrill VPN和住宅代理隐藏基础设施。 利用AI工具Remaker生成虚假人物头像。 通过俄罗斯IP段（位于哈桑和伯力）连接VPS服务器，操作招聘网站和加密货币服务。Trend Micro指出，这些地区与朝鲜存在地理和经济关联，推测朝俄可能存在基础设施共享。 双重动机： 数据窃取：通过远程IT员工渗透企业（即Wagemole攻击）。 资金转移：将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI（GenAI）优化虚假身份创建、面试安排及实时语音/文本翻译。 行业警示： 企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务，此类要求可能成为恶意软件投递的切入点。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp推出了一项名为“高级聊天隐私（Advanced Chat Privacy）”的新功能，旨在保护私聊和群组对话中交换的敏感信息。该隐私选项可在点击聊天名称后启用，用于阻止他人保存媒体文件和导出聊天内容。 WhatsApp表示：“今天我们推出了最新的隐私层‘高级聊天隐私’。这项在聊天和群组中均可使用的新设置，能在您需要更高隐私时防止他人将WhatsApp内的内容外传。启用该设置后，您可阻止他人导出聊天记录、自动下载媒体至手机，以及将消息用于人工智能（AI）功能。这将使聊天中的每位成员更确信无人能将对话内容带出聊天。” 该公司补充称这是该功能的第一个版本，正在向所有已更新至最新版本WhatsApp的用户推送。WhatsApp还在为该功能开发更多防护措施以增强其效果。但需注意，即使启用“高级聊天隐私”，仍存在通过截屏（如果未禁用截图功能）等方式提取敏感媒体和信息的可能。 这项新功能是WhatsApp七年前启动的通信安全强化计划的一部分——当时该公司首次引入端到端加密。五年后（2021年10月），WhatsApp开始向iOS和Android设备推送端到端加密的聊天备份功能。同年12月，通过为所有新聊天添加默认“阅后即焚”消息支持进一步扩展隐私控制。 近期更新包括：使用密码或指纹锁定聊天、通过“秘密代码”隐藏锁定聊天、允许Android和iOS用户在通话时通过WhatsApp服务器代理隐藏地理位置。自2024年10月起，WhatsApp还开始加密联系人数据库以实现隐私同步，确保联系人列表与账户绑定（而非设备），便于设备更换时的管理。 Meta在2020年初宣布，来自180多个国家的超过20亿用户正在使用WhatsApp视频通话和即时通讯平台。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netcraft最新报告显示，Darcula的钓鱼即服务（PhaaS）平台幕后运营者已为其网络犯罪工具包添加生成式人工智能（GenAI）功能。这项升级显著降低了钓鱼攻击的技术门槛，即使缺乏技术背景的犯罪分子也能在数分钟内创建定制化欺诈页面。 该平台新增的AI辅助功能具备以下威胁特性： 多语言支持：自动生成含本地化语言元素的钓鱼表单 智能克隆：可1:1复制任意品牌官方网站的界面设计 零代码操作：无需编程知识即可构建定制化钓鱼站点 攻击活动时间线 2024年3月：Netcraft首次曝光Darcula利用苹果iMessage/RCS协议发送伪装成USPS等邮政服务的钓鱼短信（Smishing） 2025年1月：运营者开始测试网站克隆功能 2025年4月23日：正式集成GenAI实现多语言钓鱼攻击自动化 瑞士网络安全公司PRODAFT追踪发现，该平台开发者代号LARVA-246，通过Telegram频道”xxhcvv/darcula_channel”进行销售。技术特征显示其与另一款钓鱼工具Lucid存在代码复用，两者均隶属于“Smishing Triad”犯罪生态，该组织长期实施全球性金融诈骗。 自2024年3月至今，Netcraft已下线25,000+个Darcula钓鱼页面，封禁31,000+个恶意IP地址以及标记90,000+个钓鱼域名。 Netcraft安全研究员Harry Everett警告：“这种技术革新使初级攻击者能在5分钟内完成钓鱼站点搭建与传播，全球金融机构需立即升级多因素认证体系。”（报告全文已提交FBI网络犯罪投诉中心）     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Interlock勒索软件团伙声称对肾脏透析公司DaVita发动网络攻击，并泄露从该组织窃取的数据。 DaVita是《财富》500强肾脏护理服务提供商，在美国拥有2,600多个透析中心，在12个国家拥有76,000名员工，年收入超过128亿美元。 这家医疗公司向美国证券交易委员会（SEC）披露，其于4月12日遭受勒索软件攻击，影响了部分业务运营。DaVita当时表示正在调查该事件的影响。 今天早些时候，Interlock勒索软件团伙通过在其暗网数据泄露网站（DLS）公布的受害者名单中添加DaVita来声称对此次攻击负责。 根据该团伙的说法，他们从该医疗公司获取了约1.5TB数据，即近70万个文件，内容似乎包含敏感患者记录、用户账户信息、保险信息甚至财务细节。 威胁行为者已将文件发布在其DLS上，这表明与DaVita的赎金谈判已经失败。BleepingComputer未审查文件内容，也无法验证其真实性。 我们再次联系该医疗公司就Interlock的声明置评，发言人向我们发送了以下声明： “我们已知晓暗网上的帖子，正在对相关数据进行彻底审查，”DaVita告诉BleepingComputer。 “关于此事件的全面调查仍在进行中。我们正在尽快处理，并将酌情通知受影响方和个人。” “我们对这种针对医疗界的行动感到失望，并将继续与供应商和合作伙伴共享有用信息，以提高未来防御此类攻击的意识。” 如果您曾在DaVita中心接受治疗并向该组织提供过敏感数据，建议警惕潜在的钓鱼攻击，并向当局报告可疑通信。 Interlock是勒索软件领域较新的团伙之一。它于去年9月启动，主要针对Windows和FreeBSD系统。 尽管不与外部分支机构合作，但它是相对活跃且不断演变的威胁，已对十余次攻击负责。对于列出的多起事件，该威胁行为者声称从受害者网络窃取了数TB数据。 网络安全公司Sekoia上周发布的报告显示了Interlock战术的转变，该组织现在采用“ClickFix”策略诱骗目标自我感染信息窃取程序和远程访问木马（RAT），最终部署加密器有效载荷。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 耶鲁纽黑文健康系统（YNHHS）披露了一起数据泄露事件。此前发生的网络攻击导致550万名患者的个人信息暴露。 耶鲁纽黑文健康系统（YNHHS）是总部位于康涅狄格州纽黑文的非营利性医疗网络，现为美国该州最大医疗系统，提供全方位医疗服务。该系统在康涅狄格州、纽约州东南部和罗得岛州运营超过360个医疗点，管理逾2,400张病床，拥有约30,000名医疗专业人员，年收入超56亿美元。 2025年3月11日，YNHHS遭遇影响IT服务的网络安全事件。在网络安全公司Mandiant协助下，事件迅速得到控制。院方声明患者护理与医疗记录未受影响，但作为恢复工作的一部分，部分互联网和应用程序访问问题仍持续存在。机构已向主管部门报备。 YNHHS于2025年4月11日公开数据泄露事件，称攻击者窃取了患者敏感信息。失窃数据因患者而异，包含以下内容： 全名 出生日期 家庭住址 电话号码 电子邮箱 种族/民族 社会安全号码（SSN） 患者类型 医疗记录编号 院方明确表示泄露数据不包含财务信息、医疗记录或治疗细节。 YNHHS发布的《数据安全事件通告》称：“2025年3月8日，我们发现影响信息系统(IT)的异常活动，立即启动事件控制程序并展开调查（含外部网络安全专家介入），同时向执法部门报告。调查确认有未经授权的第三方侵入网络，并于2025年3月8日获取了特定数据副本。此事件从未影响我院患者护理能力。” 自4月14日起，YNHHS开始向受影响患者寄送书面通知。虽未发现数据滥用案例，但将为涉及社会安全号码的患者提供免费信用监控服务。机构已设立专项呼叫中心（1-855-549-2678）解答疑问。 根据美国卫生与公众服务部违规事件门户数据，该事件影响5,556,702人。YNHHS未披露攻击技术细节，目前尚无勒索软件组织宣称对此负责。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发布了一款大多数现代Linux安全系统无法察觉其活动的rootkit。该恶意软件滥用了此前谷歌因安全风险在Android设备上禁用的性能优化方法。 攻击者可借此悄无声息地入侵Linux系统。总部位于特拉维夫的安全公司ARMO警告称，这暴露出大多数现代Linux安全检测方案存在关键漏洞。 黑客可利用“io_uring”方法实施绕过传统检测机制的恶意活动。多数CISO尚未意识到这一漏洞。 为验证该漏洞，研究人员公开了一款全功能rootkit。ARMO研究人员解释称：“安全工具的关键弱点在于过度依赖传统系统调用监控作为主要检测机制。虽然这种方法对多数威胁有效，但无法应对完全绕过系统调用的技术手段。” “io_uring”漏洞利用并非新发现，安全专家普遍认为其存在安全隐患。2023年6月，谷歌得出结论称60%的漏洞赏金提交利用了“io_uring”组件，因此决定限制其在谷歌产品中的使用。目前Android应用无法访问该方法，且ChromeOS已彻底禁用该功能。 但在大多数Linux发行版中，该框架仍提供用于异步输入/输出处理的内核API，既能减少传统系统调用需求，又可加速特定操作。 ARMO指出：“io_uring”为攻击者提供了绕过安全产品依赖的典型系统调用的漏洞利用空间。该框架支持61种操作能力，包括网络和文件系统操作。 研究人员发现，这种攻击方式影响了eBPF技术——一种被云安全厂商广泛采用的监控技术。受此影响的安全工具包括Falco和Tetragon等。 研究人员表示：“当前Linux EDR领域的大多数商业解决方案都依赖系统调用钩子技术。测试发现多个知名商业产品存在此类检测漏洞。” 为何要发布rootkit？ 研究人员希望通过发布名为Curing的全功能rootkit，提升网络安全界对攻击者仍在利用的隐蔽机制的认知。“过去两年已有文献详述如何利用该技术绕过检测机制，但多数网络安全厂商仍未解决该问题。” rootkit是最危险的恶意软件类型之一，能为攻击者提供系统root权限并完美隐藏自身。Curing rootkit可与C2服务器通信、获取指令并无需系统调用即可执行。 “核心思路是证明io_uring支持如此多关键操作，足以在其基础上编写完整rootkit。” 该研究团队还解释了如何检测此类恶意软件，建议监控“io_uring”的异常使用，因为现代程序通常不会主动调用该接口。 Linux新推出的内核运行时安全检测机制（KRSI）能实现深度监控。即使隐藏的rootkit仍需执行某些可见操作（如读取或发送数据），这些行为仍可被捕捉。 “io_uring”机制自2019年5月5日发布的Linux 5.1版本开始存在。研究人员总结道：“这不仅是理论威胁——我们测试了包括Falco和Tetragon在内的主流安全方案，确认它们均无法检测此类攻击。鉴于Linux是云基础设施的基石，这项研究将影响所有相关企业。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第一季度，多达159个CVE编号被标记为实际遭到利用，高于2024年第四季度的151个。 VulnCheck在与《The Hacker News》共享的报告中表示：“我们持续观察到漏洞被快速利用的现象，28.3%的漏洞在其CVE公开后1天内即遭利用。”这意味着有45个安全漏洞在公开当天就被武器化用于真实攻击。另有14个漏洞在1个月内被利用，还有45个漏洞在一年内遭到滥用。 VulnCheck表示，大部分被利用漏洞存在于内容管理系统（CMS），其次是网络边缘设备、操作系统、开源软件和服务器软件。具体分类如下： 内容管理系统（CMS）（35个） 网络边缘设备（29个） 操作系统（24个） 开源软件（14个） 服务器软件（14个） 该时期被攻击的主要厂商及产品包括：微软Windows（15个漏洞）、博通VMware（6个）、Cyber PowerPanel（5个）、Litespeed Technologies（4个）和TOTOLINK路由器（4个）。 VulnCheck指出：“平均每周披露11.4个KEV漏洞，每月53个。虽然CISA KEV本季度新增80个漏洞，但其中仅有12个此前没有公开的利用证据。”在159个漏洞中，25.8%被发现正在等待或接受NIST国家漏洞数据库（NVD）分析，3.1%被赋予新的“延期”状态。 根据Verizon最新发布的《2025年数据泄露调查报告》，作为数据泄露初始访问途径的漏洞利用量增长34%，占所有入侵事件的20%。谷歌旗下Mandiant收集的数据也显示，漏洞利用连续第五年成为最常观察到的初始感染途径，而窃取凭证已超越钓鱼攻击成为第二大初始访问途径。 Mandiant表示：“在确定初始感染途径的入侵事件中，33%始于漏洞利用。这比2023年（漏洞利用占入侵初始途径的38%）有所下降，但与2022年（32%）基本持平。”尽管攻击者试图逃避检测，防御者在识别入侵方面的能力仍在持续提升。 全球驻留时间中位数（即攻击者从入侵到被检测到在系统中停留的天数）达到11天，较2023年增加1天。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌于周二透露，作为其“隐私沙盒”（Privacy Sandbox）计划的一部分，将不再于Chrome浏览器中为第三方Cookie提供独立提示。 谷歌隐私沙盒副总裁安东尼·查韦斯（Anthony Chavez）表示：“我们已决定维持当前向Chrome用户提供第三方Cookie选择权的方案，不会推出新的独立第三方Cookie提示。用户仍可通过Chrome的隐私与安全设置选择最适合自己的选项。” 早在2024年7月，谷歌就表示已放弃逐步淘汰第三方跟踪Cookie的计划，转而推出一种新方案，让用户能够基于充分知情权做出选择。 谷歌称，来自出版商、开发者、监管机构和广告行业的反馈表明，对可能影响第三方Cookie可用性的调整存在“显著分歧”。 作为替代方案，谷歌表示将继续投入资源，增强Chrome隐身模式（默认屏蔽第三方Cookie）的跟踪防护功能，并计划在2025年第三季度推出新的“IP保护”功能。 该功能已作为开源项目发布，旨在限制隐身模式下用户原始IP地址在第三方场景中的暴露，防止跨站跟踪。 查韦斯指出：“基于此次更新，我们意识到隐私沙盒API可能在支持生态系统中承担不同角色。未来几个月，我们将与行业合作收集反馈，并分享包括未来投资方向在内的技术路线图更新。” 值得注意的是，尽管苹果Safari和Mozilla Firefox自2020年起已默认屏蔽第三方Cookie，但谷歌作为兼具浏览器厂商、广告平台和搜索引擎多重身份的竞争者，推行类似防护措施时面临更大阻力。 此次调整正值谷歌在美国面临严格监管审查之际。近期两项独立裁决指控该公司在搜索和广告市场维持垄断地位。 美国司法部上月提议通过剥离Chrome浏览器、强制谷歌将搜索结果分发给其他平台来恢复在线搜索市场的竞争。 据彭博社和路透社报道，若谷歌被迫出售Chrome，人工智能公司OpenAI表示有兴趣收购该浏览器，并“向用户展示以AI为核心的全新浏览器形态”。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）互联网犯罪投诉中心（IC3）2024年接报的网络犯罪损失金额达到破纪录的166亿美元，较2023年增长33%。根据《2024年IC3互联网犯罪报告》，这一“惊人”数字中绝大部分损失源于网络诈骗——即利用互联网实施资金盗窃、数据窃取、身份冒用或伪造商品服务的犯罪行为。网络诈骗占IC3投诉总量的38%，但占损失总额的83%（137亿美元）。 投资诈骗连续第三年成为FBI记录中损失最高的网络犯罪类型，达65亿美元，较2023年的45亿美元显著增长。其次是商务邮件入侵（BEC）造成的27亿美元损失，较2023年的29亿美元略有下降。2024年其他高损失网络犯罪类型包括技术支持诈骗（14亿美元）和个人数据泄露（14亿美元）。 FBI声明指出：“这些激增的损失更令人忧虑，因为本局去年已采取重大措施提高恶意攻击者的作案成本与难度。”2024年FBI接报的勒索软件攻击事件达3156起，高于2023年的2825起。FBI还发现勒索软件是2024年对关键基础设施最普遍的威胁，投诉量较上年增长9%。尽管如此，勒索软件造成的报告损失从2023年的596亿美元大幅降至124亿美元。 这些数据与其他近期勒索软件研究结果一致。区块链分析公司Chainalysis 2025年2月报告显示，2024年勒索支付金额同比下降35%。安全公司Blackfog四月数据显示，尽管2025年第一季度公开披露的勒索攻击创历史新高，但受害者支付赎金的意愿显著降低。可能的原因包括网络恢复能力提升使组织在考虑支付赎金前拥有更多恢复选项，以及去年执法部门打击LockBit等知名团伙导致勒索软件生态碎片化——小型团伙与独立攻击者转向攻击中小型目标。 联邦调查局表示，2024年共识别出67种新型勒索软件变种，其中报告最多的是Fog、Lynx、Cicada 3301、Dragonforce和Frag。     消息来源：infosecurity-magazine；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会周三宣布对苹果与Meta分别处以5亿欧元（5.7亿美元）与2亿欧元（2.28亿美元）罚款，认定两家公司违反欧盟《数字市场法案》（DMA）。这是该法案去年生效后开出的首批罚单，可能加剧欧盟与美国间的贸易摩擦。 调查显示，苹果违反DMA“反导流义务”条款，即禁止企业通过平台设计诱导消费者为平台运营商而非第三方创造收入。例如阻止Spotify等应用直接引导用户订阅，强制使用App Store支付系统。Meta则因“付费或同意”广告模式未向用户提供“使用更少个人数据的服务选项”而受罚，欧盟认定该模式损害用户数据自主权。 欧盟技术主权与安全事务负责人汉娜·维尔库宁强调：“DMA确保公民能完全掌控个人数据使用方式，企业可自由与客户沟通。今日裁决认定苹果与Meta剥夺用户自由选择权，必须整改。”此次罚款金额低于去年欧盟对两家公司的反垄断处罚（苹果18亿欧元、Meta8亿欧元），但正值欧美贸易紧张升级之际。按DMA规定，最高可处企业全球年收入10%的罚款（苹果2024年收入390亿美元，Meta160亿美元）。 苹果周三声明将上诉，指控欧盟委员会“不公正针对”。Meta全球事务主管乔尔·卡普兰（曾任白宫副幕僚长）批评欧盟“试图削弱美国企业竞争力，放任中欧公司适用不同标准”，称整改要求“实质施加数十亿美元关税”。Meta表示将上诉，并认为欧盟行动与美欧贸易谈判相关。欧盟执行副主席特蕾莎·里贝拉回应：“苹果与Meta通过强化用户依赖性违反DMA，我们基于明确规则采取坚定而平衡的执法。所有在欧运营企业必须遵守法律并尊重欧洲价值观。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加利福尼亚州非营利健康保险机构蓝盾（Blue Shield of California）近日声明，因Google分析与广告平台配置错误导致470万会员的受保护健康信息泄露。该机构服务全州近600万会员，其官网发布的通报显示数据泄露时间为2021年4月至2024年1月。 美国卫生与公众服务部数据泄露门户网站更新信息证实，此次事件影响470万人的敏感健康数据。蓝盾表示，泄露源于部分官网Google Analytics配置错误，可能导致数据被共享至Google广告平台及第三方广告商。 官方声明指出：“2025年2月11日发现，2021年4月至2024年1月期间，Google Analytics配置允许将含受保护健康信息的会员数据共享至Google广告产品。Google可能利用这些数据对受影响会员实施精准广告投放。” 暴露数据类型包括： 保险计划名称、类型及团体编号 所在城市与邮政编码 性别与家庭规模 蓝盾会员账户识别码 医疗索赔服务日期、服务商名称、患者姓名及自付费用 “寻找医生”功能搜索条件与结果（含位置、计划信息、医疗提供方信息） 蓝盾强调社会安全号、驾照号、银行账户及信用卡信息未受影响，但仍建议会员密切监控账户动态与信用报告。目前机构未提供身份盗窃保护服务，尚不清楚是否会向受影响会员寄送个别通知。 这是加州蓝盾一年内披露的第二起重大网络安全事件。2024年该机构软件服务商Connexure（原Young Consulting）遭BlackSuit勒索软件组织入侵，导致近百万会员数据被盗。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月初以来，多个疑似与俄罗斯有关的威胁组织针对与乌克兰及人权事务相关的个人和机构发动攻击，旨在非法入侵Microsoft 365账户。Volexity指出，此类高度定向的攻击已从此前利用设备代码钓鱼技术的攻击方式转向新策略，表明相关威胁组织正在积极改进其攻击手法。 安全研究人员Charlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair和Tom Lancaster在详尽分析中表示：“近期观测到的攻击严重依赖与目标的点对点互动，攻击者必须说服目标点击链接并回传微软生成的验证码。”目前至少有两个追踪编号为UTA0352和UTA0355的威胁集群被认定参与攻击，但尚未排除其与APT29、UTA0304和UTA0307存在关联的可能性。 最新攻击的特征在于滥用合法的Microsoft OAuth 2.0身份验证工作流程。攻击者冒充欧洲多国官员，并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标，邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议，最终诱导受害者点击托管在Microsoft 365基础设施上的链接。 Volexity表示：“若目标回应信息，对话将迅速推进至实际安排会议时间。当约定时间临近时，伪装成欧洲政要的攻击者会再次联系目标，发送会议加入指引。”这些指引以文档形式呈现，随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。 具体而言，攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌，该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code（insiders.vscode[.]dev）实现的，令牌将在此界面显示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌以最终控制受害者M365账户。 Volexity还观测到该活动的早期版本会将用户重定向至“vscode-redirect.azurewebsites[.]net”网站，该网站再次重定向至本地IP地址（127.0.0.1）。研究人员解释称：“此时授权码仅存在于URL中，用户浏览器会显示空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。” 2025年4月初发现的另一社交工程攻击涉及UTA0355使用已入侵的乌克兰政府电子邮箱向目标发送钓鱼邮件，随后通过Signal和WhatsApp发送信息。这些信息邀请目标参加关于乌克兰“暴行罪”起诉及国际合作投资的视频会议。尽管最终目标与UTA0352相同，但存在关键差异：攻击者滥用微软365认证API获取受害者邮件数据，并将窃取的OAuth授权码用于在受害者Microsoft Entra ID（原Azure Active Directory）永久注册新设备。 攻击者随后发起第二轮社交工程以说服目标批准双重认证请求并劫持账户。Volexity指出：“在此次互动中，UTA0355要求受害者批准双重认证（2FA）请求以‘访问与会议关联的SharePoint实例’，此举旨在绕过受害者组织设置的额外安全要求以访问其邮箱。”该攻击的特别有效性体现在：登录活动、邮件访问及设备注册均通过地理位置与受害者匹配的代理网络进行，大幅增加检测难度。 为应对此类攻击，建议组织审计新注册设备、培训用户警惕即时通讯平台上的非主动联络，并实施条件访问策略限制仅允许受审批/管理设备访问组织资源。Volexity补充道：“近期攻击活动完全利用微软官方基础设施进行用户交互，未使用攻击者自托管设施。同时，攻击不涉及需用户显式授权的恶意OAuth应用（此类应用可被组织轻松拦截）。已获许可的微软原生应用使用使得该技术的预防与检测极为困难。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关联的威胁组织UNC2428在2024年10月针对以色列发起以招聘为主题的社会工程攻击，其通过部署名为MURKYTOUR的后门实施网络间谍活动。 谷歌旗下Mandiant公司将UNC2428称为与伊朗结盟的威胁组织，该组织通过“复杂的欺骗技术链”部署恶意软件。 根据Mandiant 2025年度《M-Trends报告》，UNC2428伪装成以色列国防承包商拉斐尔（Rafael）的招聘方，诱导目标用户访问仿冒网站并下载所谓的“求职辅助工具”。 该工具（“RafaelConnect.exe”）实为LONEFLEET安装程序，启动后会向受害者展示图形用户界面（GUI），要求输入个人信息并提交简历。一旦用户提交信息，LEAFPILE启动器将在后台激活MURKYTOUR后门，使攻击者获得对受感染设备的持续访问权限。 Mandiant指出：“伊朗相关威胁组织通过图形用户界面将恶意软件伪装成合法应用。这类仿冒安装程序的界面设计能有效降低目标用户的怀疑”。 此活动与以色列国家网络局归因于伊朗威胁组织黑影（Black Shadow）的攻击存在重叠，后者受伊朗情报和安全部（MOIS）支持，以攻击以色列学术、旅游、通信、金融等多领域而闻名。 2024年，多个伊朗威胁组织瞄准以色列，包括使用专有擦除器POKYBLIGHT的Cyber Toufan组织。 另一组织UNC3313通过钓鱼攻击进行监视和信息收集，其攻击手段包括在文件共享平台托管恶意软件，并嵌入以培训和网络研讨会为主题的钓鱼链接。UNC3313还分发JELLYBEAN投放器和CANDYBOX后门，并滥用9种合法远程监控工具（RMM）规避检测。 2024年7月，疑似伊朗背景的攻击者伪装成Palo Alto Networks的GlobalProtect远程访问软件安装包，暗中部署.NET后门CACTUSPAL。该后门启动后验证进程唯一性，随后与外部C2服务器通信。 伊朗威胁组织如UNC1549还通过云基础设施增强隐蔽性，例如利用拼写错误域名（Typosquatting）或复用合法域名托管C2节点。APT42（又名Charming Kitten）则通过伪造谷歌、微软、雅虎登录页面窃取凭证，并利用Google Sites和Dropbox引导目标访问虚假Google Meet页面。 2024年，Mandiant在中东攻击活动中识别出20余种伊朗组织专用恶意软件家族，包括APT34（OilRig）用于攻击伊拉克政府实体的DODGYLAFFA和SPAREPRIZE后门。该公司警告：“伊朗相关威胁组织将持续调整战术手段以适应当前形势。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜（朝鲜民主主义人民共和国，DPRK）存在关联的多个威胁活动集群被确认针对Web3及加密货币领域的机构与个人实施攻击。 谷歌旗下Mandiant公司在提供给《The Hacker News》的《2025 M-Trends报告》中指出：“朝鲜因遭受严厉国际制裁，其针对Web3与加密货币的攻击主要出于经济动机。这些活动旨在获取资金，据信用于支持朝鲜大规模杀伤性武器（WMD）计划及其他战略资产。” Mandiant表示，朝鲜相关攻击者已开发使用Golang、C++和Rust等多种语言编写的定制工具，具备感染Windows、Linux和macOS操作系统的能力。 追踪编号为UNC1069、UNC4899和UNC5342的三个威胁集群被发现重点攻击加密货币与区块链开发群体，主要渗透从事Web3项目的开发人员以非法获取加密货币钱包权限及其所属机构访问权限。各集群特征如下： UNC1069（活跃至少自2018年4月）：通过Telegram发送虚假会议邀请并伪装知名企业投资者身份，针对多行业实施社会工程攻击以窃取数字资产与加密货币 UNC4899（活跃自2022年）：以招聘测试为名分发恶意代码实施供应链攻击（与Jade Sleet、PUKCHONG、TraderTraitor等组织存在技术重叠） UNC5342（活跃自2024年1月）：使用含恶意代码的编程任务诱骗开发人员运行（与Contagious Interview、DEV#POPPER等组织存在技术重叠） 另一朝鲜攻击者UNC4736通过植入后门的交易软件渗透区块链行业，被指与2023年初3CX供应链攻击存在关联。Mandiant公司还发现独立集群UNC3782实施针对加密货币行业的大规模钓鱼攻击，2023年针对TRON用户实施钓鱼攻击，单日转移价值超1.37亿美元资产，2024年转向攻击Solana用户诱导其访问含加密货币流失器的页面。 朝鲜通过派遣数千名IT人员（主要居住在中国与俄罗斯）渗透欧美亚企业远程岗位，这些人员大多隶属负责核计划的313总局。他们使用盗用身份与完全虚构身份，在面试阶段运用Deepfake技术创建逼真合成身份。 单操作员可使用多个合成身份应聘同一职位，长期潜伏企业虚拟桌面、网络与服务器实施数据窃取与网络攻击。 Palo Alto Networks Unit 42研究员Evan Gordenker指出该策略使朝鲜IT人员可规避安全公告通缉，显著降低检测概率。谷歌威胁情报组（GTIG）报告显示渗透人员还通过勒索雇主、薪资回流平壤等方式支持朝鲜战略目标。 2024年某朝鲜IT人员使用至少12个虚构身份应聘欧美岗位，某美国公司同一岗位出现两名朝鲜渗透人员竞争，其中一人成功入职，另有机构12个月内雇佣四名朝鲜IT渗透人员。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联合国警告称，网络诈骗活动正以工业化规模在东南亚及更广区域扩张。 联合国毒品和犯罪问题办公室（UNODC）新报告《拐点：东南亚诈骗中心、地下银行与非法在线市场的全球影响》披露了相关发现。 报告指出，诈骗中心由“复杂的跨国集团与洗钱者、人口贩子、数据中介及日益增多的专业服务提供商组成的犯罪集团驱动”。 这些组织倾向聚集在缅甸与柬埔寨等“脆弱”边境地区，大型整合集团正取代分散诈骗团伙，建设“工业科技园区、赌场及酒店”。 UNODC表示，此类集团利用腐败官员“进一步渗透东南亚许多偏远、脆弱及防护薄弱的地区，并日益向其他区域扩张”，年获利达数百亿美元。 报告警告称：“当前越来越明显的是，东南亚已发生可能无法逆转的溢出效应，犯罪集团可自由选择司法管辖区、转移业务与资产，导致局势迅速超出政府管控能力。” 据称，数十万被贩运受害者与“谋划者”共同推动产业扩张，通过犯罪市场、赌博平台、无证支付处理商、加密通信平台、稳定币及区块链网络等在线服务牟利。UNODC指出，生成式人工智能（GenAI）被滥用于诈骗的案例正日益增多。 联合国补充声明，2023年这些亚洲犯罪集团在本土通过网络诈骗获利约370亿美元，同时将业务扩展至非洲、南美、南亚及太平洋岛屿等遥远地区。报告呼吁采取多管齐下应对措施，包括提高政治意识、强化监管框架、加强跨机构与区域合作、提升执法部门技术能力。 UNODC东南亚及太平洋地区代理代表Benedikt Hofmann认为，犯罪集团扩张旨在对冲未来风险与干扰。“它像癌症般扩散，”Hofmann强调，“当局在某区域打击，但其根源永不消失；它们只是转移。这导致该区域实质上成为由复杂集团自由利用漏洞的相关联组织，从而危及国家主权，扭曲政策制定流程及其他政府体系。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商玛莎百货(M&S)周二宣布“过去数日持续处理网络事件”，此前社交媒体涌现大量顾客投诉。 事件的具体情况尚未披露。作为富时100指数成分股的玛莎百货，在全球拥有超过7万名员工，在英国拥有超过1000家门店。 该公司周二下午向伦敦证券交易所提交的声明称，在意识到事件后立即“对门店运营做出细微临时调整”。 顾客在社交媒体抱怨多种电子支付系统失效，包括银行卡支付、礼品卡及该零售商的“点击取货”服务。 玛莎百货在一份发给顾客的声明中确认，“您的‘点击提货’订单可能会出现一些有限的延迟，我们正在努力解决这个问题。”该公司向伦敦证券交易所表示，已聘请外部网络安全专家调查并处理该事件，并已向相关监管机构和国家网络安全中心报告。 “我们正在采取措施进一步保护我们的网络，并确保我们能够继续提供优质的客户服务，”该公司在声明中继续说道。 “对于由此造成的不便，我们深感抱歉。重要的是，我们的门店仍在营业，我们的网站和应用程序也正常运行。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿比林市表示，其正在努力恢复因遏制网络攻击而离线的系统。 此次攻击始于4月18日，当时该市内部网络部分系统报告无响应，随即启动事件响应预案。该市官员周一宣布，为保护网络，阿比林市已断开关键资产与受攻击影响系统的连接。 “我们已启动调查并聘请行业领先的网络安全专家确定事件性质与范围，同时通报相关部门。”官员称。阿比林市官员表示，其IT部门周末持续工作以恢复服务并减少对运营的影响，所有系统均处于异常活动监控中。 该市声明：“紧急服务仍保持正常运行并可及时提供协助，未检测到异常财务活动。水务用户仍可通过市政服务账单支付系统缴纳费用。”同时指出，系统恢复期间在线服务可能出现延迟，逾期账户不会被切断服务，现场与在线支付渠道均保持畅通。 “当前处于调查初期阶段。任何经历过网络事件的人员都清楚这是耗时过程。每周我们将进一步掌握事件范围，并随着调查进展通报细节。”该市呼吁公众保持耐心与理解。 现有信息表明阿比林市可能遭受勒索软件攻击，但截至发稿尚无勒索组织宣称负责。以大量儿童文学角色雕塑闻名并拥有三所基督教大学的阿比林市，人口约13万。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Active! Mail 零日远程代码执行漏洞正被积极利用，攻击日本的大型组织。 Active! Mail 是一款基于 Web 的电子邮件客户端，最初由 TransWARE 开发，后被 Qualitia 收购，这两家公司均为日本公司。 虽然 Active! 不像 Gmail 或 Outlook 那样在全球范围内广泛使用，但它经常被用作大型企业、大学、政府机构和银行等日语环境中的群件组件。据 Active! 供应商称，该公司已在超过 2,250 家组织中使用，拥有超过 11,000,000 个帐户，使其成为日本商业 Web 邮件市场的重要参与者。 上周晚些时候，Qualitia 发布了一份安全公告，报告了一个基于堆栈的缓冲区溢出漏洞，漏洞编号为 CVE-2025-42599（CVSS v3 评分：9.8，“严重”），该漏洞影响所有受支持操作系统平台上 Active! 的所有版本（包括“BuildInfo: 6.60.05008561”）。 公告称：“如果远程第三方发送恶意构建的请求，则可能存在任意代码执行或触发拒绝服务 (DoS) 的情况。” 尽管 Qualitia 表示正在调查该漏洞是否已被利用，但日本计算机紧急响应小组 (CERT) 已确认该漏洞正处于活跃利用状态，并敦促所有用户尽快更新至 Active! Mail 6 BuildInfo: 6.60.06008562。 日本网络托管和 IT 服务 (SMB) 提供商 Kagoya Japan 上周末报告了数起外部攻击，导致其暂停服务。 “我们怀疑此问题与 QUALITIA（开发商）披露的一个漏洞有关，” Kagoya 此前发布的公告中写道。 网络托管和 IT 服务提供商 WADAX 也报告了类似的服务中断，据称是由于有人试图利用该漏洞。 “目前，我们还无法保证客户能够安全使用该服务，” WADAX 宣布。 “因此，出于客户安全的首要考虑，我们已暂时停止 Active! 邮件服务，以防万一。” Macnica 安全研究员 Yutaka Sejiyama 告诉 BleepingComputer，至少有 227 台暴露在互联网上的 Active! 服务器可能面临此类攻击，其中 63 台服务器用于大学。 日本计算机应急响应小组 (CERT) 为无法立即安全更新应用的用户提出了具体的缓解措施，包括配置 Web 应用程序防火墙 (WAF) 以启用 HTTP 请求正文检查，并在 multipart/form-data 标头的大小超过一定阈值时进行阻止。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 日本金融厅（FSA）警告称，与遭入侵的证券账户相关的未授权交易金额已达数亿美元，针对互联网交易服务的非法访问及交易行为造成的损失正在扩大。 日本金融厅在警报中写道。“伪装成真实证券公司网站的钓鱼网站窃取客户信息（登录ID、密码等）后，攻击者利用这些信息对互联网交易服务进行未授权访问及未授权交易（第三方操作交易）的案例数量急剧上升。” 日本金融厅警告称，在线交易平台上通过钓鱼网站窃取登录凭证实施的未授权交易案例正快速增加。通常攻击者会劫持受害者账户，出售其持有股票并用所得资金购买股票等资产，这些资产在攻击后仍留存于账户内。报告的售出与买入金额为总交易量，不等于客户实际损失金额。 为避免因登录凭证泄露导致未授权交易，用户需遵循关键防护措施：切勿点击邮件或短信中的链接，始终通过预先保存的书签访问证券网站，启用多因素认证和登录通知等安全功能。避免密码复用，设置复杂密码并频繁检查账户活动。若怀疑欺诈，立即更改密码并联系所属证券公司。保持设备系统更新并使用可靠防病毒软件以防范恶意软件数据窃取。 日本金融厅建议用户查阅日本证券业协会发布的《证券公司在提供互联网交易服务时应注意事项》警示公告。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文