HackerNews

HackerNews 编译，转载请注明出处： 微软已通过法院裁定，查封了 338 个与 “RaccoonO365” 服务相关的网站。该服务在网络犯罪分子中被广泛使用，专门用于窃取用户名和密码。 RaccoonO365 是一款订阅制钓鱼工具包，网络犯罪分子可借助它盗用微软品牌，制作伪造邮件、附件及网站，诱导受害者打开、点击恶意链接或下载恶意文档。 使用该服务的犯罪分子需每月支付约 365 美元订阅费，其每日攻击目标达 9000 个邮箱地址。此外，该工具包还提供规避多因素认证（MFA）防护的技术，以便窃取用户凭证，并持续获取受害者系统的访问权限。 在多数攻击案例中，诈骗邮件的附件会包含链接或二维码，点击或扫描后会跳转至带有验证码（CAPTCHA）的页面。受害者输入验证码后，将被引导至伪造的微软 Office 365（O365）登录页面，用户的账号凭证随即被窃取。   罪魁祸首 微软数字犯罪部门助理总法律顾问史蒂文・马萨达（Steven Masada）表示，RaccoonO365 工具包已在 94 个国家被用于窃取至少 5000 组微软账号凭证。 近一年来，多家公司的研究人员持续发出警告，指出 RaccoonO365 的滥用情况日益严重 —— 犯罪分子正越来越多地利用它发起商业邮件入侵等攻击。 马萨达警示，RaccoonO365 的开发规模与传播范围表明，“诈骗与网络威胁的数量可能正呈指数级增长”。该工具包的运营者会根据需求推出更新，最近还上线了一项基于人工智能（AI）的服务，帮助犯罪分子扩大攻击活动的规模。 马萨达透露，DCU 已确认尼日利亚公民约书亚・奥贡迪佩为RaccoonO365 的核心运营者。奥贡迪佩及其同伙在 Telegram上推广并销售该工具，相关群组约有 850 名成员。截至周二（报道发布当日），该群组仍在 Telegram 上保持活跃。 微软调查发现，RaccoonO365 的运营团伙通过约 100 份订阅服务，已收取至少 10 万美元加密货币。微软表示，这很可能只是该工具获利总额的一部分。 微软官方称，他们认为奥贡迪佩编写了 RaccoonO365 的大部分代码。调查人员通过发现一个秘密加密货币钱包，成功摸清了该犯罪活动的全貌。 马萨达指出：“奥贡迪佩及其同伙在这个网络犯罪组织中各司其职，分工明确 —— 他们共同开发并销售该服务，同时提供客户支持，协助其他犯罪分子从微软用户处窃取信息。” “为掩盖犯罪活动并躲避检测，他们使用虚构姓名和物理地址注册互联网域名，且这些虚假地址被伪造成位于多个国家和城市。” 微软已将奥贡迪佩的案件线索提交给国际执法机构。当被问及尼日利亚当局是否已收到相关通报时，微软发言人拒绝进一步说明。据称与奥贡迪佩关联的 LinkedIn（领英）页面显示，其所在地为贝宁城（尼日利亚城市）。   Cloudflare 的发现 Cloudflare 在其官方博客中表示，已发现相关证据（例如 Telegram 群组名称中包含俄语字母），表明该团伙与俄语网络犯罪分子存在合作。微软未证实是否有俄罗斯方面人员参与，仅称 “该服务的客户与受害者遍布全球”。 微软表示，其与 Cloudflare 合作，“迅速查封并拆除了该团伙的恶意基础设施”。 Cloudflare 在后续发布的事件复盘报告中称，RaccoonO365 的运营团伙 “滥用 Cloudflare 服务及其他基础设施供应商的资源，试图掩盖其钓鱼工具包的踪迹，躲避检测”。 Cloudflare 已下架数百个与该团伙相关的域名和账号。此外，Cloudflare 官方还发现，该团伙发起的多起钓鱼活动中，伪造了 Adobe、Maersk、DocuSign 等知名品牌的身份。 这些钓鱼活动中，大量文件被命名为看似来自财务或人力资源部门的文档、合同或发票。部分文档的标题中还会包含受害者的姓名，以进一步诱使其点击。 Cloudflare 表示，尽管微软已查封数百个 RaccoonO365 相关域名，但其自身也已在旗下平台上终止了该工具包的所有运营活动，并就其他打击行动与美国执法机构展开合作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，称有一个新的攻击活动正利用 FileFix 社会工程学策略的变种，传播用于 StealC 恶意软件。 安克诺斯（Acronis）的安全研究员埃利亚德・金希在提交给《黑客新闻》的报告中表示：“观察到的该攻击活动，使用了极具迷惑性的多语言钓鱼网站（例如伪造的 Facebook 安全页面），并借助反分析技术与高级混淆手段躲避检测。” 从整体流程来看，攻击链的核心是利用 FileFix 诱导用户启动初始载荷，随后该载荷会从 Bitbucket 代码仓库下载看似无害的图像文件，但实际上这些图像中隐藏着恶意组件。攻击者借此滥用大众对这一合法代码托管平台的信任，从而绕过安全检测。 FileFix 最早由安全研究员 mrd0x 在 2025 年 6 月记录为概念验证（PoC）工具，它与 ClickFix 存在区别：在专门搭建的钓鱼页面上，ClickFix 需要用户打开 Windows “运行” 对话框，并粘贴已复制的混淆命令来完成虚假的验证码验证；而 FileFix 则无需这一步骤。FileFix 利用网页浏览器的文件上传功能，欺骗用户将一条命令复制粘贴到文件资源管理器的地址栏中，进而在受害者的设备上本地执行该命令。 攻击的开端是一个钓鱼网站，受害者很可能通过一封邮件被重定向至该网站。邮件中会警告收件人：其 Facebook 账号因分享的帖子或消息违反平台政策，将在一周后被暂停使用，并要求用户点击按钮对该处罚提出申诉。 该钓鱼页面不仅经过高度混淆处理，还采用了垃圾代码、代码分片等技术，阻碍安全人员的分析工作。 用户点击申诉按钮后，FileFix 攻击便正式启动：页面会向用户提示，若要查看所谓 “违规政策” 的 PDF 版本，需将一个文件路径复制粘贴到文件资源管理器的地址栏中。 尽管说明中提供的路径看似完全无害，但点击 “复制” 按钮时，实际复制的是一条后缀带有多余空格的恶意命令。当用户通过 “打开文件资源管理器” 按钮打开窗口并粘贴内容时，屏幕上只会显示文件路径（恶意部分被隐藏）。 这条命令是一个多阶段的 PowerShell 脚本，其作用包括：下载上述隐藏恶意组件的图像文件、将图像解码为下一阶段的载荷，最终运行一个基于 Go 语言开发的加载器 —— 该加载器会解包用于启动 StealC 恶意软件的外壳代码（shellcode）。 相较于 ClickFix，FileFix 还具备一项关键优势：它滥用的是浏览器中广泛使用的基础功能，而非打开 “运行” 对话框（针对苹果 macOS 系统则是打开终端应用）。而 “运行” 对话框或终端常被系统管理员设为安全防护措施的拦截对象。 不过安克诺斯指出：“另一方面，ClickFix 最初难以被检测的原因之一，在于它是通过‘运行’对话框从 Explorer.exe 进程启动，或直接从终端启动；而 FileFix 的载荷由受害者使用的网页浏览器执行，这一行为在调查过程中，或在安全产品的检测中，更容易被识别出来。” “发起此次攻击的攻击者在攻击技术上投入巨大，他们精心设计了钓鱼基础设施、载荷交付流程及配套组件，以最大限度地实现躲避检测与攻击效果。” 与此同时，网络安全公司 Doppel 也披露了另一起攻击活动：该活动结合了伪造的技术支持门户、Cloudflare 验证码错误页面与剪贴板劫持（即利用 ClickFix），通过社会工程学手段诱使受害者运行恶意 PowerShell 代码 —— 这些代码会下载并执行一个 AutoHotkey（AHK）脚本。 该 AHK 脚本的设计目的包括：收集受感染设备的信息（设备画像），并传播更多载荷，例如远程控制软件 AnyDesk、TeamViewer，以及信息窃取软件、剪贴板劫持恶意软件（clipper malware）等。 Doppel 表示，还观察到该攻击活动的其他变种：受害者被诱导运行一条 MSHTA 命令，该命令指向一个仿冒谷歌的域名（如 “wl.google-587262 [.] com”），随后从该域名获取并执行远程恶意脚本。 Doppel 的安全研究员阿尔什・贾瓦（Aarsh Jawa）指出：“AutoHotkey（AHK）是基于 Windows 系统的脚本语言，最初用于自动化重复操作，例如模拟键盘输入、鼠标点击等。” “尽管长期以来，高级用户与系统管理员因其简洁性和灵活性而广泛使用 AHK，但早在 2019 年左右，攻击者就开始将其武器化，用于制作轻量级恶意软件加载器与信息窃取工具。这些恶意脚本通常伪装成无害的自动化工具或技术支持程序。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，苹果公司推出了一项回溯修复补丁，针对此前已修复、但在现实场景中被活跃利用的安全漏洞。 此次涉及的漏洞编号为CVE-2025-43300（CVSS 评分：8.8），属于 ImageIO 组件中的 “越界写入” 问题。当设备处理恶意图像文件时，该漏洞可能导致内存损坏。 苹果公司表示：“我们已知悉相关报告，该漏洞可能已被用于针对特定个人的极为复杂的攻击中。” 此后，WhatsApp 也确认，其苹果 iOS 和 macOS 平台的即时通讯应用中存在一个漏洞（漏洞编号：CVE-2025-55177，CVSS 评分：5.4），该漏洞与 CVE-2025-43300 被 “链式利用”，成为针对不到 200 人的高度定向间谍软件攻击的一部分。 此前，苹果已于上月末首次针对该漏洞推出修复，当时发布的系统版本包括 iOS 18.6.2、iPadOS 18.6.2、iPadOS 17.7.10、macOS Ventura 13.7.8、macOS Sonoma 14.7.8 以及 macOS Sequoia 15.6.1。目前，苹果已为以下旧款设备的系统版本推送该漏洞的修复更新： iOS 16.7.12 和 iPadOS 16.7.12：适用设备包括 iPhone 8、iPhone 8 Plus、iPhone X、第 5 代 iPad、9.7 英寸 iPad Pro 以及第 1 代 12.9 英寸 iPad Pro。 iOS 15.8.5 和 iPadOS 15.8.5：适用设备包括 iPhone 6s（所有机型）、iPhone 7（所有机型）、第 1 代 iPhone SE、iPad Air 2、第 4 代 iPad mini 以及第 7 代 iPod touch。 此次漏洞修复更新与多个系统版本同步推送，包括 iOS 26、iPadOS 26、iOS 18.7、iPadOS 18.7、macOS Tahoe 26、macOS Sequoia 15.7、macOS Sonoma 14.8、tvOS 26、visionOS 26、watchOS 26、Safari 26 以及 Xcode 26。这些新版本同时修复了其他多项安全漏洞，具体如下： CVE-2025-31255：IOKit 组件中的授权漏洞，可能允许应用访问敏感数据。 CVE-2025-43362：LaunchServices 组件中的漏洞，可能允许应用在未经用户许可的情况下监控键盘输入。 CVE-2025-43329：沙盒（Sandbox）中的权限漏洞，可能允许应用突破沙盒限制。 CVE-2025-31254：Safari 浏览器中的漏洞，处理恶意构造的网页内容时可能导致意外的 URL 重定向。 CVE-2025-43272：WebKit 引擎中的漏洞，处理恶意构造的网页内容时可能导致 Safari 意外崩溃。 CVE-2025-43285：应用沙盒（AppSandbox）中的权限漏洞，可能允许应用访问受保护的用户数据。 CVE-2025-43349：CoreAudio 组件中的越界写入问题，处理恶意构造的视频文件时可能导致应用意外终止。 CVE-2025-43316：DiskArbitration 组件中的权限漏洞，可能允许应用获取 root 权限（最高系统权限）。 CVE-2025-43297：电源管理（Power Management）中的类型混淆漏洞，可能导致拒绝服务（设备无法正常提供服务）。 CVE-2025-43204：RemoteViewServices 组件中的漏洞，可能允许应用突破沙盒限制。 CVE-2025-43358：快捷指令（Shortcuts）中的权限漏洞，可能允许快捷指令绕过沙盒限制。 CVE-2025-43333：聚焦搜索（Spotlight）中的权限漏洞，可能允许应用获取 root 权限。 CVE-2025-43304：StorageKit 组件中的竞争条件漏洞，可能允许应用获取 root 权限。 CVE-2025-48384：Xcode 中的 Git 漏洞，克隆恶意构造的代码仓库时可能导致远程代码执行。 目前尚无证据表明上述任何漏洞已在现实攻击中被 “武器化”（即被用于实际攻击），但保持系统更新始终是保障设备安全的最佳实践，可实现最优防护效果。    消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “SlopAds” 的大型广告欺诈团伙，操控了由 224 款应用组成的应用集群。这些应用在全球 228 个国家和地区的总下载量高达 3800 万次。 HUMAN 公司旗下的 Satori 威胁情报与研究团队在一份提交给《黑客新闻》（The Hacker News）的报告中指出：“这些应用通过隐写术（steganography）植入欺诈代码，并创建隐藏的 WebView（网页视图）跳转到攻击者控制的‘变现网站’，以此生成虚假的广告曝光量与点击量。” “SlopAds” 这一名称，一方面暗示该团伙所开发应用的具有“批量生产” 属性，另一方面则源于攻击者在其命令与控制（C2）服务器上托管的多款人工智能（AI）主题服务，包括 StableDiffusion（AI 绘图工具）、AIGuide（AI 指南类服务）及 ChatGLM（AI 对话模型）。 HUMAN 公司表示，该欺诈活动在高峰期每日发起的广告竞价请求达23 亿次。从流量来源看，SlopAds 关联应用的用户主要集中在美国（占比 30%）、印度（占比 10%）和巴西（占比 7%）。目前，谷歌已将所有违规应用从 Play 商店下架，有效遏制了这一威胁。 该欺诈活动的一大显著特征的是：当用户下载 SlopAds 关联应用后，应用会调用移动营销归因 SDK（软件开发工具包），核查自身的下载渠道，确认是用户自然下载（用户直接从 Play 商店下载），还是非自然下载（点击广告后跳转至 Play 商店列表下载）。 只有在非自然下载的场景下，应用才会触发欺诈行为：从 C2 服务器下载名为 “FatModule” 的广告欺诈模块。反之，若应用是通过自然下载安装，其行为会与应用商店页面上宣传的功能完全一致。 HUMAN 的研究人员表示：“SlopAds 团伙不仅开发‘仅在特定场景下实施欺诈’的应用，还为其添加层层混淆技术。这一行为印证了一个趋势，即数字广告生态系统面临的威胁，其复杂程度正在不断升级。” “这种策略为攻击者构建了更完整的‘反馈循环’：只有当他们判断设备未被安全研究人员检测时，才会触发欺诈行为。此举能将恶意流量混入合法推广数据中，大幅增加了检测难度。” FatModule 模块通过 4 个 PNG 图像文件进行传输，这些图像中隐藏了 APK（安卓应用安装包）文件。该 APK 文件会在设备中被解密、重组，随后执行两项核心操作：收集设备与浏览器信息，以及通过隐藏 WebView 实施广告欺诈。 研究人员进一步指出：“SlopAds 的一种变现方式，是通过攻击者控制的 HTML5游戏网站与新闻网站。这些游戏网站会高频次展示广告，且由于加载网站的 WebView 处于隐藏状态，在 WebView 关闭前，网站能通过大量虚假广告曝光与点击实现盈利。” 调查发现，推广 SlopAds 关联应用的域名，均指向另一个名为 “ad2 [.] cc” 的域名。该域名是 SlopAds 团伙的二级（Tier-2）C2 服务器。截至目前，研究人员已识别出约 300 个用于推广此类欺诈应用的域名。 值得注意的是，此次 SlopAds 事件曝光的两个月前，HUMAN 公司曾披露另一起广告欺诈案 “IconAds”，该案件涉及 352 款安卓应用。 HUMAN 公司首席信息安全官加文・里德表示：“SlopAds 事件凸显了移动广告欺诈的‘进化趋势’，其不仅具备‘隐蔽性’‘条件触发式欺诈’的特征，还拥有快速规模化攻击的能力。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击通过冒充可信软件提供商，对毫无戒心的用户实施侵害。FortiGuard实验室研究人员表示，威胁行为者通过SEO插件和注册仿冒域名操纵搜索算法。受害者访问这些网站后，会被诱骗下载木马化安装程序。被冒用的知名平台包括：Signal、WhatsApp、Deepl、Chrome、Telegram、Line、VPN服务商、WPS Office等。 这些欺诈网站会分发多种恶意软件家族，最值得注意的是Hiddengh0st和Winos新变种。攻击者将恶意组件捆绑在看似提供真实应用程序的安装包中。 安装程序一旦启动，便会将恶意DLL文件释放到隐藏目录，获取管理员权限，并执行旨在规避检测的功能。该恶意软件使攻击者能够收集详细的系统与受害者信息、枚举杀毒软件和安全工具、记录键盘输入和剪贴板数据、捕获前景窗口标题和屏幕活动、加载额外插件以扩展监控与控制能力等。 恶意软件投放的插件还表明，攻击者可能截获Telegram通信。 此次攻击活动加剧了SEO投毒技术的泛滥，该技术通过操纵搜索引擎将欺诈网站推至搜索结果前列。即使坚持查看”可信”搜索排名的警惕用户，也可能因此类攻击措手不及。 报告显示，该活动主要针对中文用户。FortiGuard实验室研究人员表示，“安装包同时包含合法应用程序和恶意载荷，使用户难以察觉感染”，“即使高排名搜索结果也以这种方式被武器化，这凸显了下载软件前仔细检查域名的重要性”。 思科、Talos此前研究已发现多起SEO投毒活动，攻击者使用流行AI应用引诱受害者。多个勒索软件团伙曾通过ChatGPT、InVideo等平台伪装恶意软件。另一起欺诈活动则冒用PayPal、苹果、美国银行、Netflix和微软名义，网络罪犯通过购买谷歌赞助广告伪装成大品牌，将受害者诱导至虚假网站以下载恶意软件。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国计算机应急响应团队（CERT-FR）发布新闻稿称，苹果公司针对间谍软件发起的威胁通知行动不容忽视。 自 2021 年起，苹果公司已多次向遭受间谍软件攻击的目标用户发出通知，涉及的间谍软件包括 “飞马”（Pegasus）、“掠食者”（Predator）、“石墨”（Graphite）及 “三角测量”（Triangulation）等。事实证明，记者、律师、活动人士、政界人士、高级公务员以及战略行业管理委员会成员，是威胁行为者的主要攻击目标。 若用户通过 iMessage（苹果即时通信软件）或电子邮件收到来自苹果公司的通知，则意味着其 iCloud 账号关联的至少一台设备已遭入侵。用户登录 iCloud 账号时，会看到该预警提示。 CERT-FR 在公开声明中表示：“务必及时重视此类通知，并采取相应的应对措施。”该机构建议，任何收到苹果警告的用户应立即联系 CERT-FR 以获取技术支持，同时需保存苹果发送的通知邮件，且避免对设备进行任何操作更改，例如重置设备、删除应用程序、安装更新或重启设备。此类操作可能会对间谍软件的调查工作造成阻碍。 为降低间谍软件攻击风险，CERT-FR 建议用户尽快将 iPhone 系统更新至苹果最新操作系统版本，通过这种方式修复正被间谍软件利用的零日漏洞，安全更新操作也应遵循此原则。 此外，CERT-FR 还建议用户将个人设备与工作设备分开使用，并定期重启 iPhone。 从更普遍的安全防护角度出发，用户不应点击可疑链接或附件，应设置强度高且唯一的访问密码，在条件允许时启用双重认证（2FA），同时避免安装来源不明的应用程序或从非官方应用商店下载应用。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）警告称，与Scattered Spider及ShinyHunters网络犯罪组织相关的黑客正通过攻击Salesforce平台窃取数据，并向受害组织勒索高额赎金。 该机构于周五发布紧急通告，披露了今年已影响数百家企业的一系列持续数据窃取活动。FBI将这些黑客同时标注为UNC6040和UNC6395两个编号，其常用代号分别为ShinyHunters和Scattered Spider。 在历时数月攻破多家全球大型企业后，这些黑客现正试图勒索受害组织——威胁泄露大量客户数据、商业文件等敏感信息。 FBI未透露具体有多少受害者收到要求加密货币支付的勒索邮件，但指出赎金金额差异巨大且勒索时机看似随机。部分勒索发生在数据外泄数日后，而有些则在数月后才启动。 据FBI调查，该攻击活动始于2024年10月，黑客成员通过社会工程学攻击联系呼叫中心并伪装成IT员工获取机构访问权限。此类手段通常使网络犯罪分子获得员工凭证，进而访问存有客户数据的Salesforce实例。在其他案例中，黑客还通过网络钓鱼邮件或短信控制员工手机或电脑。 今年夏季，黑客进一步升级战术，转而利用企业连接到Salesforce实例的第三方应用程序。“UNC6040威胁行为者诱骗受害者为组织Salesforce门户授权恶意关联应用，”FBI表示，“这使得他们能够直接从受侵的Salesforce客户环境中访问、查询和外泄敏感信息。” 8月，黑客开始瞄准Salesloft Drift应用程序——一款可与Salesforce集成的人工智能聊天机器人。FBI解释称，该战术使他们能够绕过多因素认证、登录监控和密码重置等传统防御措施。在某些案例中，FBI发现黑客通过在Salesforce试用账户中创建恶意应用程序，无需使用合法企业账户即可注册关联应用。 FBI提供了可用于检测是否受影响的入侵指标（IoC），并敦促企业针对相关战术对呼叫中心员工进行培训。该机构还建议企业限制几乎所有员工账户的权限，实施基于IP的访问限制，监控API使用等。 专家表示，FBI提供的信息显示了这些攻击者如何熟练滥用合法工具（如Azure云基础设施、虚拟服务器、Tor出口节点和代理服务）来隐藏其攻击源。 黑客“退休”疑云 FBI发布通告前夕，该组织曾在Telegram多次发文宣称即将“退休”，并将原因归咎于近期成员接连被捕、执法行动和刑事定罪。网络安全专家对此表示怀疑，指出网络犯罪组织常在重组更名前发布类似声明。有分析认为黑客可能意在享受近期勒索所得，之后仍将重返犯罪活动。 帕洛阿尔托网络公司Unit 42部门高级主管Sam Rubin表示，近期逮捕行动可能促使该组织暂时潜伏，但历史表明此类活动往往只是暂时的。“这类组织会分裂、改头换面后重新出现——正如ShinyHunters自身经历。即使公开活动暂停，风险依然存在，被盗数据可能再次浮现，未检测到的后门可能持续存在，攻击者可能以新名称重新出现。”他强调，“威胁组织的沉默不等于安全”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周披露的多起网络事件表明，越南和巴拿马政府机构遭遇黑客攻击，导致公民数据被盗。 越南官方媒体报道称，该国网络安全应急中心（VNCERT）已确认接到国家信用信息中心（CIC）的安全事件报告。该中心由越南国家银行运营，负责管理全国公民和企业的信用信息。 VNCERT表示，初步调查显示此次攻击导致个人数据泄露。该机构正与多个部门及国有电信企业Viettel联合开展调查。初步核查结果显示存在以窃取个人数据为目的的网络犯罪攻击和入侵迹象。非法获取的数据量仍在统计和核实中。VNCERT敦促居民不要下载或传播被盗数据，并威胁将对相关行为追究法律责任。 该声明发布前两天，与Scattered Spider网络犯罪组织及其关联团伙ShinyHunters有关的黑客声称攻破了CIC系统，窃取约1.6亿条记录。黑客在网络犯罪论坛上挂牌出售这些信息，提供的样本包含个人姓名、地址、信用卡历史、政府身份证件、收入证明和债务状况等数据。黑客在接受DataBreaches网站采访时称，他们利用了已停产软件中的某个漏洞，但从未就被盗数据索要赎金。 据彭博社报道，CIC已告知国内银行，此次攻击的幕后黑手是ShinyHunters组织。该攻击团伙今年已因数十起高调事件受到全球执法机构关注，包括针对零售、航空和保险行业大型企业的多起攻击行动。 巴拿马财政部也同步遇袭。 巴拿马政府官员证实，该国经济财政部本周同样遭受网络攻击。经济财政部（MEF）向公众通报，今日发现部内某个办公室存在恶意软件事件。他们立即启动了既定安全协议，并在整个计算机系统强化预防措施以遏制入侵。所幸MEF核心平台均未受影响，目前完全正常运行。但经济财政部未回应置评请求，也未提供事件更新。 INC勒索软件组织宣称对此次攻击负责，声称从该部窃取了1.5太字节信息，包括预算、电子邮件等数据。该团伙去年11月曾被指涉嫌攻击匈牙利国防采购局，以及美国的多家医院和 grocery store 连锁企业。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处：   近日，奢侈品巨头开云集团确认发生重大数据安全事件。其旗下的古驰（Gucci）、巴黎世家（Balenciaga）、亚历山大·麦昆（Alexander McQueen）等品牌的数据遭黑客组织窃取，数百万客户的姓名、电话、邮箱、住址，甚至在全球各地的奢侈品消费记录等隐私信息遭泄露。目前，开云集团已求助数据保护机构。 该黑客组织已向英国BBC广播公司发送了部分数据样本，其中包含数千名客户的信息。据BBC透露，其中部分客户的消费金额高达8.6万美元（约合62万人民币）。值得注意的是，数据泄露可能会导致这些“高消费人群”成为后续诈骗活动的目标。 BBC透露，发动此次攻击的黑客组织为“Shiny Hunters”。 早在今年4月，Shiny Hunters入侵了开云集团的系统，并窃取了旗下子品牌的客户数据。他们宣称掌握了 740 万个独立邮箱的完整数据库，这意味着受影响的客户数量可能与此相近。以此作为筹码向开云集团漫天要价，但双方的谈判以失败告终，集团拒绝交付赎金，并于6月修复了系统漏洞。 开云集团的工作人员向BBC表示：“6月，我们发现未经授权的第三方临时访问了我司系统，并获取了旗下部分品牌有限的客户数据。但所幸未发生财务信息泄露的情况，客户的银行卡号、信用卡信息以及政府签发身份证号等数据被未被泄露。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周五，新西兰宣布对俄罗斯格鲁乌（GRU）情报机构下属29155单位（Unit 29155）实施制裁，因其涉嫌参与针对乌克兰实施网络攻击。此次制裁措施包括资产冻结、旅行禁令，并禁止新西兰公民和企业向指定实体提供资金。 据西方安全机构表示，29155单位涉嫌在欧洲参与间谍活动、破坏行动和暗杀阴谋。早在2022年莫斯科全面入侵乌克兰前夕，该单位就曾主导了对乌克兰政府网络的WhisperGate恶意软件攻击。新西兰外交部长温斯顿·彼得斯在声明中表示：“俄罗斯一直非法使用恶意软件攻击乌克兰政府网络。”但关于相关细节并未过多透露。乌克兰总统泽连斯基对此举表示欢迎，称新西兰最新对俄制裁是“对乌克兰的强力支持信号”。 根据美国多家联邦机构的联合咨询，自2022年以来，29155单位一直专注于通过破坏性网络行动、数据窃取以及在欧洲、北美、拉丁美洲和中亚的侦察活动来破坏外界对乌克兰的援助。2024年，美国司法部已起诉该单位的成员，并悬赏1000万美元征集定罪该单位的信息。 此前，这些黑客也已成为其他国家的制裁目标。今年1月，欧盟制裁了29155单位三名涉嫌成员，因其参与2020年对爱沙尼亚部委的网络攻击，窃取了数千份政府和企业机密文件。7月，英国制裁了包括29155单位在内的三个格鲁乌下属单位，指控其侦察行动协助了导致乌克兰平民死亡的袭击。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 研究人员利用K2 Think的内置可解释性来拆除其安全防护栏，引发了关于透明度与人工智能安全是否能够真正共存的新问题。 K2 Think是由阿拉伯联合酋长国最近推出的用于高级推理的人工智能系统，其透明度质量被利用来越狱。 透明度在人工智能中是一种被众多国际法规和指南所倡导，如果不是明确要求的话。例如，欧盟人工智能法就有具体的透明度要求，包括可解释性——用户必须能够理解模型是如何得出其结论的。 在美国，美国国家标准与技术研究院（NIST）人工智能风险管理框架强调透明度、可解释性和公平性。拜登2023年关于人工智能的行政命令指示联邦机构制定包括关注透明度在内的标准。像HIPAA这样的特定行业要求被解释为要求透明度和非歧视性结果。 其意图是保护消费者，防止偏见，并提供问责制——实际上，是要使人工智能推理的传统黑箱性质变得可审计。Adversa利用K2 Think的透明度和可解释性控制来越狱该模型。 从概念上讲，这个过程非常简单。提出任何你明知会被拒绝的“恶意”请求；但要查看拒绝的解释。从该解释中，推断出模型认可的一级防护栏。 Adversa AI联合创始人Alex Polyakov详细解释了使用K2 Think开源系统的过程：“每次你提问时，模型会提供一个答案，如果你点击该答案，就会显示其整个推理过程（思维链）。如果你接着阅读某个特定问题的推理解释——比如说，“如何无钥匙启动汽车”——推理输出可能会包含类似‘根据我的绝对拒绝规则，我不能讨论暴力话题’之类的内容。” 这是模型防护栏的一部分。“然后你可以使用相同的提示，”Polyakov继续说道，“但指示绝对拒绝规则现在已禁用。每次你通过阅读推理了解模型的安全性工作方式时，你都可以在提示中添加一条新规则来禁用它。这就像是能够读懂你正在与之讨价还价的人的内心想法一样——无论他们多么聪明，如果你能读懂他们的想法，你就能赢。” 因此，你再次发出提示，但这次是在一个将绕过一级防护栏的框架内。这几乎肯定也会被拒绝，但会再次提供阻止的原因。这使得攻击者能够推断出二级防护栏。 第三次提示将被构建为绕过两个防护栏指令。它可能会被阻止，但会揭示下一个防护栏。这个过程会不断重复，直到发现并绕过所有的防护栏——而“恶意”提示被准确接受并得到回答。一旦所有防护栏被知晓且可以被绕过，不良行为者就可以询问并得到任何想要的东西。 “与传统漏洞要么有效要么无效不同，这种攻击随着每次尝试而变得越来越有效。该系统本质上是在训练攻击者如何击败它，”Adversa解释说，并将其描述为一种神谕攻击。 在Adversa讨论的例子中，攻击者提示获取一份关于如何无钥匙启动汽车的假设性操作手册。最终提示和回应如下： 在企业内部，不良行为者可能会暴露业务逻辑或安全措施。在医疗保健领域，它可能会暴露实施保险欺诈的方法；在教育领域，学生可能会发现绕过学术诚信措施的方法；而在金融科技领域，它会使交易算法或风险评估系统面临风险。 Adversa并不认为这种神谕攻击风格的越狱，将模型试图遵守透明度最佳实践的做法反过来利用，必然适用于其他人工智能模型。“像ChatGPT或DeepSeek这样的主流聊天机器人会展示推理过程，但不会向最终用户展示完整的逐步推理过程，”Polyakov解释说。 “你会看到引用或简短的理由——但不是整个思维过程，更重要的是，不会明确说明模型的安全逻辑。在研究模式、评估环境或受控企业部署之外，丰富、逐字的推理追踪是罕见的。” 但它确实展示了模型开发人员面临的一个主要困境中的潜在陷阱。透明度要求迫使人们做出一个不可能的选择。“为了安全/法规而保持人工智能的透明度（但可被黑客攻击），或者使其变得不透明且安全（但不可信）。目前，每个在受监管行业部署‘可解释人工智能’以实现合规的财富500强公司都可能面临风险。这证明了可解释性和安全性可能本质上是不相容的。”         消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LNER表示，此次安全事件涉及一家第三方供应商，导致联系信息及其他数据被泄露。 英国铁路运营商LNER（伦敦东北铁路）披露了一起影响客户信息的数据泄露事件。 该公司负责东海岸主干线上的许多长途客运服务，其透露黑客获取了一家未具名的第三方供应商管理的文件。 泄露的信息包括客户联系信息以及一些关于以往行程的信息。 然而，LNER指出，银行信息、支付卡信息和密码信息未被泄露，因为受影响的第三方供应商无法访问此类信息。 该公司还指出，此次事件未对售票和列车运营产生影响。 “请对未经请求的通信保持警惕，尤其是那些索要个人信息的通信。如有疑问，请勿回复。”LNER对客户说。 目前尚未公布更多信息。目前尚不清楚该第三方供应商是被专门针对，还是像最近的Salesforce-Salesloft攻击事件中那样，是大规模攻击活动的众多受害者之一。 去年，在一次“黑客攻击”导致反伊斯兰信息出现在英国最大铁路枢纽的Wi-Fi服务用户界面上后，英国警方展开了调查。 调查结果显示，提供铁路Wi-Fi服务的公司的一名员工是该事件的幕后黑手。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oligo Security分享了一种苹果CarPlay攻击的细节，黑客可能无需任何交互即可发起此类攻击。 研究人员披露了一种远程CarPlay攻击的细节，该攻击可使攻击者监视驾驶员或使他们分心。 运行时应用程序安全公司Oligo今年早些时候透露，其研究人员发现了苹果AirPlay无线通信协议及配套SDK中存在的潜在严重漏洞，并警告称这些漏洞可能使黑客能够远程控制设备。 AirPlay被苹果产品使用，但这家科技巨头也已将其使用授权给其他供应商，后者已将其应用于电视、音响系统和流媒体设备中。 Oligo当时指出，这些被统称为AirBorne的漏洞可被利用来实现远程代码执行、安全绕过、信息泄露、拒绝服务攻击以及中间人攻击。 其中一个漏洞（CVE-2025-24132）使攻击者能够创建可蠕虫化的零点击远程代码执行漏洞利用程序，从而利用受感染设备作为发起额外攻击的跳板。 Oligo当时提到，攻击者也可以无需任何用户交互即可对CarPlay系统发起攻击。该公司现在已分享了有关CarPlay（具体为苹果CarPlay）攻击的更多细节。 该攻击针对的是CarPlay用于建立无线连接的iAP2协议。iAP2采用单向认证，手机会对车辆信息娱乐系统的主机进行认证，但主机不会对手机进行认证。 “简单来说，汽车会检查其是否与合法设备通信，但该设备会接受任何使用iAP2的客户端。这意味着攻击者如果拥有蓝牙无线电设备和兼容的iAP2客户端，就可以伪装成iPhone，请求WiFi凭据，触发应用程序启动并发出任何iAP2命令。”Oligo解释道。 一旦黑客完成蓝牙配对过程，他们就可以通过iAP2进行认证，获取WiFi凭据，并连接到汽车热点。从那里，他们可以利用上述AirPlay SDK漏洞（CVE-2025-24132）实现具有root权限的远程代码执行。 然后，攻击者可以接管屏幕并显示图像或播放音频以分散驾驶员的注意力。攻击者还可以窃听对话或追踪车辆的位置。 苹果公司在4月底修复了CVE-2025-24132漏洞，但只有少数供应商将该修复程序集成到其产品中，Oligo并不知晓有任何汽车制造商应用了该修复程序，这也是为什么它尚未公开完整的细节。 “即使苹果发布了修复后的SDK，每家汽车制造商也必须针对其自身系统对其进行调整、测试和验证——这需要与主机供应商、内部软件团队以及有时是中间件提供商进行协调。每一步都可能带来潜在的延误，并需要进行有力的协作。”Oligo解释道。 “结果就是存在长期的漏洞暴露风险。”它补充道。“虽然高端车型凭借强大的OTA更新通道可能能够快速完成修复，但许多其他车型可能需要数月、数年，甚至根本无法获得更新。这使得数百万辆汽车可能面临风险——尽管官方修复方法早已存在。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国参议员罗恩·怀登（Ron Wyden）已向美国联邦贸易委员会（FTC）致信，要求该机构对微软展开调查，因其产品未能提供足够的安全性，导致针对医疗保健机构的勒索软件攻击。 参议员在正式提出请求时指出，微软应对其“严重的网络安全疏忽负责，这导致了针对关键基础设施（包括美国医疗保健机构）的勒索软件攻击”。 参议员强调，微软长期未能采取果断行动，有效缓解其产品中众所周知的安全风险，导致了诸如2024年Ascension Health勒索软件入侵事件的发生，该事件泄露了560万名患者的数据。 2024年5月发生的这起事件，是由于一名承包商在微软Edge浏览器中点击了一个恶意的必应搜索结果，从而使黑客得以实施“Kerberoasting”攻击。 Kerberos是一种网络认证协议，它通过验证用户和服务的身份（无需密码交换）来提供对网络资源的访问。 Kerberoasting是一种在被入侵后使用的攻击技术，它允许攻击者从微软活动目录中窃取加密的服务账户凭据。 该技术利用了弱密码或容易被猜出的密码，这些密码有时使用不安全且已废弃的RC4算法进行加密，可以用现成的暴力破解工具解密。 密码解密后，攻击者可以利用它提升权限，并在被入侵的网络中横向移动，就像在Ascension Health入侵事件中那样。 参议员表示，他的团队在2024年7月与微软进行了对话，敦促这家科技巨头警告客户使用RC4而不是更强大的选项（如AES 128/256）的危险性，并将后者设置为默认选项。 微软在10月发表了一篇博客文章作为回应，但参议员表示，该文章过于技术化，未能清晰地向公司决策者传达警告。 尽管RC4是一种存在漏洞、允许恢复明文信息的弱密码算法，但它仍然是Kerberos中的一个选项，以支持无法接受更新、更安全算法的旧系统。 值得注意的是，微软曾承诺加强其产品的安全性。RC4继续存在于Kerberos中，是为了支持那些不接受更新、更安全算法的旧系统。 怀登明确将微软的做法视为严重的国家安全风险，并表示，除非FTC进行干预，否则还会发生更多高影响的事件。 “如果没有及时采取行动，微软这种疏忽的网络安全文化，加上其在企业操作系统市场的事实垄断，将构成严重的国家安全威胁，并使更多的黑客入侵不可避免。”——美国参议员罗恩·怀登 BleepingComputer已就此事联系微软，请求其发表评论，一位发言人向我们发来了以下声明： “RC4是一项旧标准，我们在软件工程和客户文档中都建议不要使用它——这也是它在我们的流量中占比不到0.1%的原因。然而，完全禁用它会破坏许多客户系统。” 该公司正在积极努力逐步淘汰该算法，以避免给客户带来任何干扰，并且正在发出警告，同时提供关于“以最安全的方式”使用该算法的建议。 “我们已将其列入路线图，最终将禁用其使用。我们已与参议员办公室就这一问题进行了沟通，并将继续听取他们或其他政府机构的问题。”微软发言人对BleepingComputer表示。 截至目前，FTC尚未对怀登的请求做出公开回应。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据法国国家计算机应急响应小组（CERT-FR）消息，苹果公司上周警告客户，他们的设备成为了一系列新的间谍软件攻击的目标。 CERT-FR由法国国家网络安全局（ANSSI）运营，负责防范和减轻对公共机构和关键组织产生影响的网络安全相关事件。 根据周四发布的一份咨询报告，CERT-FR已知至少有四起苹果威胁通知事件，这些通知提醒该公司用户，自今年年初以来，他们一直是雇佣兵间谍软件攻击的目标。 这些警告分别于3月5日、4月29日、6月25日和上周的9月3日发送至用户苹果账户关联的电话号码和电子邮箱地址。据苹果公司介绍，这些警告也会在用户登录其苹果账户（https://account.apple.com）后，在页面顶部显示。 “这些通知报告了高度复杂的攻击行为，其中大多数利用了零日漏洞，或者根本不需要用户交互。”网络安全机构表示。 “这些复杂的攻击针对的是个人，原因在于他们的身份或职务：记者、律师、活动人士、政治家、高级官员、战略部门管理层成员等。” “收到通知意味着与iCloud账户关联的至少一台设备已成为攻击目标，并可能已被入侵。” 尽管CERT-FR没有透露引发这些警告的具体信息，但上个月，苹果公司发布了紧急更新，以修复一个零日漏洞（CVE-2025-43300），该漏洞与WhatsApp零点击漏洞（CVE-2025-55177）串联，公司将其描述为“极为复杂的攻击”。 当时，WhatsApp向可能受影响的个人发送了威胁通知，敦促他们将设备恢复出厂设置，并保持设备的操作系统和软件为最新版本。 苹果公司还建议，遭受雇佣兵间谍软件攻击的用户启用锁定模式，并通过Access Now的数字安全热线申请快速响应紧急安全援助。 “自2021年以来，我们每年多次发送苹果威胁通知，因为我们已经检测到这些攻击，迄今为止，我们已经在150多个国家/地区通知了用户。”苹果公司表示，“苹果公司并未将这些攻击或由此产生的威胁通知归因于任何特定的攻击者或地理区域。” 当BleepingComputer在今天早些时候联系时，苹果公司发言人并未立即发表评论。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与Akira勒索软件团伙有关的威胁行为者一直在针对SonicWall设备以获取初始访问权限。 网络安全公司Rapid7表示，在过去一个月中，观察到涉及SonicWall设备的入侵事件有所增加，特别是在2025年7月下旬有关Akira勒索软件活动重新出现的报道之后。 随后，SonicWall透露，针对其防火墙的SSL VPN活动涉及一个已存在一年的安全漏洞（CVE-2024-40766，CVSS评分：9.3），在迁移过程中，本地用户密码被保留且未被重置。 该公司指出：“我们观察到威胁行为者试图暴力破解用户凭据的活动有所增加。为了降低风险，客户应启用Botnet过滤功能以阻止已知的威胁行为者，并确保已启用账户锁定策略。” SonicWall还敦促用户审查LDAP SSL VPN默认用户组，如果在Akira勒索软件攻击的背景下配置错误，这将是一个“关键弱点”。 此设置会自动将每个成功通过LDAP身份验证的用户添加到预定义的本地组，无论他们是否实际属于Active Directory中的成员。如果该默认组可以访问敏感服务（如SSL VPN、管理界面或不受限制的网络区域），那么任何被入侵的AD账户，即使该账户并无合法理由需要这些服务，也会立即继承这些权限。 这实际上绕过了原本基于AD组的访问控制，一旦攻击者获得有效凭据，就会为他们直接进入网络边界提供一条路径。 Rapid7在其警报中表示，还观察到威胁行为者访问由SonicWall设备托管的虚拟办公门户，在某些默认配置下，这可能会促进公开访问，并使攻击者能够使用有效账户配置mMFA/TOTP，前提是此前存在凭据泄露的情况。 “Akira团伙可能正在利用这三种安全风险的组合来获取未经授权的访问权限并开展勒索软件行动。”该公司表示。 为了降低风险，建议组织机构更换所有SonicWall本地账户的密码，删除任何未使用或不活跃的SonicWall本地账户，确保已配置MFA/TOTP策略，并限制虚拟办公门户对内部网络的访问。 Akira针对SonicWall SSL VPN的目标也得到了澳大利亚网络安全中心（ACSC）的呼应，该中心承认，他们知道勒索软件团伙正通过这些设备攻击澳大利亚的易受攻击组织。 自2023年3月首次亮相以来，Akira一直是勒索软件威胁领域中持续存在的威胁，根据Ransomware.Live的信息，到目前为止，它已经声称有967名受害者。根据CYFIRMA分享的统计数据，在2025年7月，Akira共发动了40次攻击，使其成为继Qilin和INC Ransom之后的第三大活跃团伙。 在2025年第二季度影响全球工业实体的657次勒索软件攻击中，Qilin、Akira和Play勒索软件家族占据了前三名，分别报告了101起、79起和75起事件。 工业网络安全公司Dragos在上个月发布的一份报告中表示，Akira在“针对制造业和运输行业的持续攻击中保持了相当大的活动量，通过复杂的网络钓鱼和多平台勒索软件部署来实现”。 最近的Akira勒索软件感染还利用搜索引擎优化（SEO）中毒技术来分发流行IT管理工具的特洛伊木马化安装程序，这些安装程序随后被用来投放Bumblebee恶意软件加载器。 然后，这些攻击利用Bumblebee作为通道来分发AdaptixC2后利用和对抗性仿真框架、安装RustDesk以实现持久远程访问、窃取数据并部署勒索软件。 根据Palo Alto Networks Unit 42的说法，AdaptixC2的多功能性和模块化特性允许威胁行为者在受感染的系统上执行命令、传输文件并进行数据窃取。由于它也是开源的，这意味着攻击者可以根据自己的需求对其进行定制。 该网络安全公司表示，其他传播AdaptixC2的活动还利用模仿IT帮助台的Microsoft Teams通话来欺骗毫无戒心的用户，通过快速协助授予他们远程访问权限，并投放一个PowerShell脚本，该脚本解密并加载到内存中的shellcode有效载荷。 “Akira勒索软件团伙遵循标准的攻击流程：通过SSLVPN组件获得初始访问权限，提升到具有更高权限的账户或服务账户，从网络共享或文件服务器中定位并窃取敏感文件，删除或停止备份，并在虚拟化层部署勒索软件加密。”Rapid7表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： KillSec 勒索软件声称对巴西医疗软件解决方案提供商 MedicSolution 发起了网络攻击负责。 KillSec 勒索软件团伙威胁称，除非迅速启动谈判，否则将泄露敏感数据。根据 Resecurity 提供的威胁情报报告，此次事件的根源是数据从不安全的 AWS S3 存储桶中被泄露。考虑到网络安全专家进行的调查，数据暴露的时间窗口可以估计为“数月之久”。这可能是巴西医疗行业首次出现的显著的供应链事件。 值得注意的是，这并非勒索软件团伙首次针对巴西发起攻击。此前，该团伙曾泄露了包含巴西政府资源中的 CNPJ/CPF 身份标识符、交易金额、银行信息以及其他数据的个人和商业信息。当时，该团伙并未澄清此次入侵的完整范围或可能的来源。KillSec 勒索软件既以确认的事件而闻名，也以虚假或猜测性的事件而知名。 不幸的是，这一次 KillSec 勒索软件对巴西造成了沉重打击。被盗的医疗数据包含敏感的实验室结果报告、医疗评估以及其他隐私敏感信息。Resecurity 识别出数名患者并与他们取得了联系——截至今日，他们均未意识到此次事件。网络犯罪分子利用从医疗机构窃取的数据进行敲诈，他们深知这不仅会给受害组织带来重大损失，也会给其终端客户造成严重影响，因为许多患者并不期望他们的信息会被发布到网上。 被盗数据的总量超过 34 GB，包含超过 94818 个文件。被泄露的数据包括： – 医疗评估 – 医疗实验室结果 – X 光 – 未经过处理的患者照片，包括显示身体部位的照片 – 与未成年人相关的记录 值得注意的是，KillSec 勒索软件团伙在针对巴西发起攻击的几天前，也曾针对哥伦比亚、秘鲁和美国的医疗机构发起攻击。这种攻击时间的选择表明网络犯罪分子对医疗领域越来越感兴趣。 就在两天前，该团伙宣布成功入侵了几家知名的医疗机构： – Archer Health（美国） – Suiza Lab（秘鲁） – GoTelemedicina（哥伦比亚） – eMedicoERP（哥伦比亚） 一个月前，该团伙泄露了秘鲁一家知名医疗软件平台 Doctocliq 的数据，该平台为 20 多个国家的 3500 多名医生提供服务。在过去，该团伙也曾针对沙特皇家空军（RSAF）发起攻击，并从医疗领域之外的行业泄露了几起新的数据，包括阿联酋的 Nathan and Nathan（人力资源、招聘和技术解决方案提供商）以及美国的 Ava Senior Connect（专为老年人社区设计的通信平台）。 根据 Resecurity 的分析，KillSec 勒索软件已经找到了针对医疗机构的“甜点”。医疗机构存储着大量的敏感且有价值的数据，包括个人身份信息、病史、保险详情以及支付信息。 巴西医疗行业的数据泄露诉讼和执法环境主要由《巴西通用数据保护法》（LGPD）塑造，该法于 2020 年全面生效。LGPD 适用于巴西境内所有处理个人数据的组织，医疗数据被归类为“敏感个人数据”，受到更严格的保护和更严格的数据处理要求。数据保护执法的主要监管机构是巴西国家数据保护局（ANPD），该机构负责监督 LGPD 合规性、调查数据泄露事件并处以罚款。 在 2024 年医疗行业审计中，由于缺乏加密和数据泄露响应计划，ANPD 对 15 家医疗机构处以总计 1200 万雷亚尔（约合 240 万美元）的罚款。其他纠正措施包括强制性渗透测试和员工培训。自 2023 年以来，ANPD 在所有行业中处以的罚款总额已超过 9800 万雷亚尔（约合 2000 万美元），其中医疗行业因重复出现漏洞和全行业审计而占据了相当大的一部分。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cursor 代码编辑器的一个漏洞使开发人员面临风险，一旦打开恶意仓库，就会自动执行其中的任务。 威胁行为者可以利用该漏洞，在无需开发人员执行任何命令的情况下，投放恶意软件、劫持开发环境或窃取凭证和 API 令牌。 Cursor 是一款基于 Visual Studio Code（VS Code）构建的人工智能驱动的集成开发环境（IDE），它深度集成了 GPT-4 和 Claude 等主流人工智能助手，用于软件开发任务。 它是最受欢迎的 AI 编程工具之一，目前有 100 万用户使用它每天生成超过 10 亿行代码。 提供非人类身份（NHI）管理和安全解决方案的 Oasis Security 公司的研究人员发现，该问题源于 Cursor 禁用了 VS Code 的工作区信任功能，该功能会阻止在未经开发人员明确同意的情况下自动执行任务。 在默认配置中，Cursor 在打开项目文件夹后会立即执行任务。威胁行为者可以利用这一点，在公开共享的仓库中添加一个恶意的 `.vscode/tasks.json` 文件。 Oasis Security 的研究人员表示：“当用户使用 Cursor 打开这样的仓库时，即使是简单地浏览，也可以在其环境中运行任意代码。” “这可能会泄露敏感凭证、修改文件，或者成为更广泛系统入侵的途径。” 然而，VS Code 并未受到影响，因为其默认配置不会自动运行该文件。 为了证明他们的发现，Oasis Security 发布了一个概念验证，该 `tasks.json` 文件在使用 Cursor 打开项目文件夹时执行一个 shell 命令，发送当前用户的名称。 根据 Oasis Security 的说法，利用该漏洞的威胁行为者可以在当前用户上下文中执行代码、窃取敏感数据（令牌、API 密钥、配置文件）、建立与命令与控制（C2）基础设施的连接，或者为供应链攻击创建感染向量。 Cursor 不会修复 在 Oasis Security 向 Cursor 团队告知默认禁用工作区信任功能的风险后，IDE 开发商表示，他们打算在代码编辑器中保留自动运行行为。 Cursor 解释说：“工作区信任会禁用用户希望在产品中使用的 AI 和其他功能。” 他们建议用户要么从 VS Code 中启用安全功能，要么在处理可能恶意的仓库时使用基本文本编辑器。 Cursor 团队还表示，他们将很快更新他们的安全指南，以解释他们对工作区信任的立场，并添加如何启用它的说明。 Oasis Security 建议用户使用不同的编辑器打开未知项目，在打开它们之前验证仓库，并避免在 shell 配置文件中全局导出敏感凭证。 研究人员还提供了在 Cursor 中启用工作区信任的设置。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果的新内存完整性强制（MIE）功能提供始终开启的内存安全保护，覆盖关键攻击面，包括内核和 70 多个用户空间进程。 周二，苹果推出了其新款 iPhone 17 和 iPhone Air 智能手机，其中包括一项新的内存保护功能，以保护设备免受复杂间谍软件攻击。 这项新功能名为内存完整性强制（MIE），这家科技巨头表示，它为最新手机提供了始终开启的内存安全保护。新款 iPhone 系列运行 iOS 26 系统。 苹果指出，尽管其 iOS 操作系统尚未遭受大规模恶意软件攻击，但 iPhone 经常成为资源丰富的威胁行为者的攻击目标。 这些攻击通常涉及由“合法”监视解决方案提供商开发的漏洞利用。这些公司通常被称为雇佣间谍软件供应商，因为尽管他们声称只向政府机构提供服务，用于国家安全和刑事调查目的，但实际上，他们的产品在许多情况下被出售给威权政权，并被用来对付记者、人权活动家和政治异见人士。 这些间谍软件供应商开发的漏洞利用通常涉及内存安全漏洞，而苹果的新 MIE 保护旨在使利用此类漏洞的难度大幅增加。 据苹果称，MIE 功能利用了芯片巨头 Arm 于 2022 年发布的增强型内存标记扩展（EMTE），这是 Arm 在与苹果合作后对其 2019 年内存标记扩展（MTE）规范的更新。 MIE 使用 EMTE 以及安全内存分配器和广泛的标记保密强制政策，在内核、Safari 和信息应用中提供保护。 在针对已知漏洞利用链和最近漏洞测试 MIE 后，苹果发现它在阻止攻击的早期阶段非常高效，能够防止威胁行为者通过替换一个漏洞来复活漏洞利用链。 “不可避免地，攻击者必须在他们的能力仍然非常有限的阶段面对 MIE，这使得可用于利用的途径很少。这导致了脆弱的链条，其中打破一个步骤通常就足以使整个漏洞利用策略无效，”这家科技巨头解释说。 苹果安全工程与架构负责人伊万・克尔什蒂奇（Ivan Krstić）表示：“基于我们对内存完整性强制与过去三年异常复杂的雇佣间谍软件攻击的评估，我们相信 MIE 将使漏洞利用链的开发和维护成本大幅增加和变得更加困难，扰乱过去 25 年中最有效的许多漏洞利用技术，并完全重新定义苹果产品内存安全的格局。” 谷歌也最近宣布了一项名为高级保护模式的新功能，旨在阻止针对安卓用户的间谍软件和其他攻击。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌将 C2PA 内容凭证集成到 Pixel 10 相机和谷歌照片中，以帮助用户区分真实未被篡改的图像和通过人工智能技术生成或编辑的图像。 这家美国公司指出，近年来，标记合成媒体的问题变得更大了，因为传统方法已不再适用，留下了被曲解和误用的空间。 在最新的 Pixel 10 手机中，每张拍摄的 JPEG 照片都会自动附加内容凭证，揭示它们是如何制作的。 “内容凭证传达了关于图像、视频或音频文件等媒体是如何制作的丰富信息，这些信息受到过去几十年来保护在线交易和移动应用安全的相同数字签名技术的保护，”谷歌解释说。 “它赋予用户识别 AI 生成（或篡改）内容的能力，有助于促进生成式 AI 的透明度和可信度。” 谷歌表示，该系统可以离线工作，在整个过程中不受外部干扰，并且在保留可验证性的同时不威胁用户的匿名性。 这家科技巨头概述了它在内容凭证系统中融入的几层安全性和完整性保证，以使其具有防篡改性和可信度，包括： – 当元数据被修改时会使数字签名失效的加密签名。 – 防篡改的密钥存储，所有加密密钥都在 Titan M2 安全芯片内的安卓强盒中生成和存储。 – 安卓密钥认证，使谷歌的 C2PA 认证机构能够验证请求凭证的硬件和应用的真实性。 – 每张图像使用一次性密钥，这意味着每张照片都用一个独特的加密密钥签名，这个密钥永远不会被重复使用，从而保护用户的隐私和匿名性。 – 由 Tensor 芯片维护的安全内部时钟支持的设备上可信时间戳，这使得 Pixel 设备即使在离线状态下也能附加可验证的时间戳。 尽管内容凭证系统目前仅在 Pixel 10 设备上可用，但谷歌暗示未来可能会将其扩展到更多的安卓设备，尽管尚未分享任何具体的时间表。 该公司敦促行业利益相关者超越简单的 AI 标签，采用内容凭证，强调打击虚假信息和深度伪造需要在整个生态系统范围内广泛采用可验证的来源。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文