HackerNews

HackerNews 编译，转载请注明出处： 近期发现一起将第二代窃取型恶意软件（StealC V2）植入 Blender 项目文件的攻击行动，该行动针对受害者的攻击时长已至少达六个月。 据莫菲塞克网络安全公司发布的最新预警显示，攻击者将篡改后的.blend 格式文件发布在 CGTrader 等平台上，用户会将这些文件当作常规的三维素材下载使用。 当用户开启 Blender 软件的自动运行功能并打开这类文件时，文件中隐藏的 Python 脚本就会自动执行，进而发起多阶段恶意程序入侵流程。 第二代窃取型恶意软件借恶意改造的 Blender 素材扩大攻击范围 今日发布的这项研究指出，该攻击行动与此前参与传播 StealC 系列恶意软件的俄语系威胁行为者有关联。 此次攻击行动与早前一起攻击事件的手法如出一辙。在那起事件中，攻击者冒充电子前沿基金会，专门针对《阿尔比恩 Online》的玩家发动攻击，且两次攻击均采用了诱饵内容植入、后台运行以及金字塔命令与控制架构等相同攻击要素。 此次攻击的入侵链路始于.blend 文件中植入的遭篡改的 Rig_Ui.py 脚本。该脚本会从远程的 workers.dev 域名服务器获取加载程序，随后加载程序会下载一个 PowerShell 执行程序以及两个内含 Python 窃密程序的压缩包。 这些文件被解压至 Windows 系统的临时文件夹后，恶意软件会创建快捷方式文件以实现持久驻留，接着借助金字塔命令与控制信道获取加密的恶意负载程序。 第二代窃取型恶意软件自 2025 年 4 月起就在地下论坛流传推广，其功能也在迅速拓展。目前该恶意软件可攻击 23 种以上的浏览器、超 100 款插件、15 款以上的桌面电子钱包，同时还能入侵各类即时通讯软件、虚拟专用网络客户端及邮件客户端。该恶意软件定价灵活，月付 200 美元，半年套餐 800 美元，这让那些寻求即用型攻击工具的底层网络犯罪分子也能轻易获取。 攻击溯源与入侵特征标识 调查过程中已发现多个入侵特征标识，具体包括： CGTrader 平台上存在的恶意.blend 格式文件； 通过多个 workers.dev 域名服务器获取恶意负载程序； 包含 Python 窃密程序与持久驻留组件的压缩包； 通过多个与金字塔架构相关联的互联网协议地址开展命令与控制通信。 莫菲塞克网络安全公司表示，其旗下基于诱捕技术的防护平台成功提前拦截了此次攻击。该平台会预先在系统内存与浏览器存储区域植入虚假认证信息，一旦第二代窃取型恶意软件尝试读取这些信息，防护系统就会立即触发防护机制。在恶意软件完成信息窃取或实现持久驻留之前，相关攻击进程就会被强制终止。 研究人员称，这种防护方式能直接挫败攻击者的信息窃取企图，在第二代窃取型恶意软件侵入终端设备并站稳脚跟之前就将其彻底拦截。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者声称已入侵美国一级结构钢制造巨头库珀钢铁制造公司（Cooper Steel Fabricators），并将该公司 FTP 服务器的 “完整镜像数据” 挂牌出售。 根据该威胁行为者在暗网发布的帖文，被盗数据包含高度详细的技术文档和专有项目信息。 威胁行为者表示，此次出售的是库珀钢铁 FTP 服务器的 “完整镜像”，数据总量达 330GB，“无任何删除或无关文件”，索求 2.85 万美元加密货币作为赎金。 Cybernews 已联系库珀钢铁公司，寻求有关此次数据盗窃事件的更多细节，一旦收到回复将更新相关报道。 据称，被盗数据包含该公司过往及在研项目的各类模型、框架图和设计图纸。 例如，威胁行为者声称正在出售普布利克斯格林斯伯勒冷藏配送中心（Publix Greensboro Refrigerated Distribution Center）的全套协同设计图纸，涵盖建筑、结构、机械及制冷管道系统等领域（该项目已于 2022 年竣工）。 挂牌出售的数据集还包含库珀钢铁参与建设的亚马逊俄亥俄州数据中心相关资料。 出于安全考虑，亚马逊对其基础设施信息高度保密，但该公司在俄亥俄州（别称 “七叶树州”）拥有数十座数据中心。威胁行为者宣称，“项目细节可能包含超大规模数据中心运营的结构规格参数”。 经 Cybernews 研究人员核实，挂牌数据中还涉及库珀钢铁承接的另一亚马逊项目 —— 为马萨诸塞州亚马逊分拣中心提供钢结构施工服务的相关信息。 此外，沃尔玛配送中心、冷藏仓储设施及其他配套建筑的设计图纸、3D 模型和相关数据也据称在出售之列。 库珀钢铁公司 2024 年营收达 5.93 亿美元，拥有美国钢结构协会（AISC）认证，是多家大型机构的直接承包商。今年 10 月，该公司被评为美国第四大钢铁企业。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 房地产金融科技公司 SitusAMC 已发布数据泄露通知，披露其遭遇黑客攻击的相关情况。该公司表示，其在11月12日获悉此时，最终确认恶意攻击者可能已访问了敏感数据。 事件披露 SitusAMC 是房地产解决方案市场的主要参与者，营收超过 11 亿美元，在全球 25 个地区拥有 4000 多名员工。 SitusAMC 为华尔街主要银行及数百家其他金融机构提供服务。众多机构依赖 SitusAMC 处理房地产贷款及抵押贷款收款业务，据称美国前 20 大银行均使用该公司的服务。SitusAMC 在泄露通知中指出，此次事件可能导致法律文件及客户的用户详细信息泄露。 据《纽约时报》报道，该公司已通知摩根大通、摩根士丹利和花旗银行，其数据可能在此次攻击中受损。 该公司在通知中解释：“与部分客户和 SitusAMC 合作相关的企业数据（如会计记录和法律协议）已受到影响，部分客户的用户相关数据也可能受到波及。目前公司正联合第三方顾问，对事件影响的范围、性质和程度展开调查。” 由于受影响的服务商负责抵押贷款支付处理，泄露数据可能包括个人身份信息（PII）以及贷款人客户的金融账户信息。此类数据对暗网黑客极具价值，可被用于身份盗窃、针对性社会工程学攻击等多种恶意行为。 SitusAMC 在泄露通知中表示：“我们正就此事与客户保持直接、定期的沟通。公司将持续重点分析可能受影响的数据，并在调查取得进展时直接向客户提供最新情况。” 第三方黑客攻击频发 近期多起数据泄露事件表明，针对服务商的攻击已成为恶意攻击者的 “金矿”。 例如，美国得克萨斯州数字营销、合规解决方案及客户关系管理（CRM）软件提供商 Marquis 近期遭遇攻击，该公司与美国 700 多家银行有合作关系。 目前已有至少两家贷款机构证实，此次攻击导致其客户数据受损，黑客可能获取了金融账户信息、社会安全号码（SSN）及其他敏感数据。不过 Marquis 的案例中，该公司是勒索软件团伙的攻击目标。 勒索软件犯罪集团尤其青睐攻击第三方服务商，因为这能为其提供多种恶意操作选项。如果初始攻击目标拒绝支付赎金，勒索软件团伙可转向其客户，以泄露数据为要挟索要赎金。 近期最臭名昭著的第三方攻击者之一是与俄罗斯有关联的 Cl0p 勒索软件犯罪集团。该集团利用甲骨文 E-Business Suite（EBS）的安全漏洞，对数十家企业发动攻击，导致《华盛顿邮报》、哈佛大学、甲骨文公司本身等多家机构的敏感数据被盗。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙旗舰航空公司伊比利亚航空（Iberia）就一起与第三方供应商相关的数据泄露事件向客户发出警告。有威胁行为者宣称已窃取该航空公司 77GB 数据。 伊比利亚航空成立于 1927 年，总部位于马德里，是西班牙国家航空公司。该公司以马德里巴拉哈斯机场为枢纽，运营着庞大的国际航线网络，飞往欧洲、美洲、非洲、中东及亚洲的 140 多个城市。作为国际航空集团（IAG）的成员企业，其旗下还包括英国航空、伏林航空、LEVEL 航空及爱尔兰航空等品牌，业务涵盖客运、货运、飞机维修及机场地勤服务。 伊比利亚航空已正式披露此次安全事件，并确认部分客户信息遭泄露，包括姓名、电子邮箱及伊比利亚俱乐部（Iberia Club）会员 ID。 该公司向受影响客户发送的数据泄露通知中写道：“尊敬的客户，很遗憾地告知您，西班牙伊比利亚航空已检测到一起安全事件 —— 我们的一家供应商系统遭到未授权访问，导致部分数据的保密性受损。” “尽管伊比利亚航空已部署相关安全措施，但我们发现有证据表明客户的部分个人数据遭到未授权访问，其中可能包含您的信息。目前调查显示，泄露的数据可能包括姓名、电子邮箱地址及会员卡识别号（伊比利亚俱乐部）。” 官方明确表示，威胁行为者并未获取伊比利亚航空的客户账户权限、密码信息，且客户财务数据未受此次泄露事件影响。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SolarWinds 修复了其 Serv-U 文件传输解决方案中的三个关键漏洞，这些漏洞可能允许远程代码执行。 第一个漏洞，追踪编号为 CVE-2025-40549（CVSS 评分 9.1），是一个影响 Serv-U 的路径限制绕过问题。拥有管理员权限的攻击者可利用此漏洞在目录上执行代码。公告中写道：”Serv-U 中存在一个路径限制绕过漏洞，若被滥用，可能使拥有管理员权限的恶意行为者具备在目录上执行代码的能力。””滥用此问题需要管理员权限。在 Windows 系统上，由于路径和主目录处理方式的差异，该漏洞评级为中等。” 该公司修复的第二个漏洞，追踪编号为 CVE-2025-40548（CVSS 评分 9.1），是一个访问控制缺陷，可导致远程代码执行漏洞。公告中写道：”Serv-U 中存在一个缺失的验证过程，若被滥用，可能使拥有管理员权限的恶意行为者具备执行代码的能力。””滥用此问题需要管理员权限。在 Windows 部署环境中，由于服务默认通常在权限较低的服务账户下运行，该风险被评为中等。SolarWinds 指出，CVE-2025-40547 和 CVE-2025-40548 在 Windows 系统上仅具有中等严重性，因为受影响的服务通常在低权限账户下运行。 第三个漏洞，CVE-2025-40547（CVSS 评分 9.1），是 Serv-U 中的一个逻辑错误漏洞。拥有管理员权限的攻击者可利用此漏洞执行任意代码。这些漏洞影响 SolarWinds Serv-U 15.5.2.2.102 版本，该公司已发布 15.5.3 版本来解决这些问题。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利国家铁路集团（FS Italiane Group）是意大利国有铁路公司，负责客运、货运、基础设施及物流业务，业务覆盖国内外，提供高速列车、区域列车及货运服务。该集团旗下包括意大利铁路公司、意大利铁路网公司等多家子公司，每年为数百万客户提供服务。 Almaviva 是意大利领先的 IT 及数字服务提供商，业务涵盖客户关系管理、外包服务及云解决方案等。公司现有 4.1 万名员工，2024 年营收达 14.11 亿欧元。 黑客声称窃取的2.3TB敏感数据包括： 意大利国家铁路 2017-2035 年投资与产业规划 内部机密文件 公司敏感信息 内部使用资料（标注 “内部使用”“机密” 或 “专属” 的文件） 特权及机密通信与信息 合同与协议 保密协议Vitrociset 相关合同与信息（涉及 “金星计划”“莱昂纳多”“SIPAD” 等项目） 与国防部、空军的合同及协议 已签署的项目文件 代码信息 商业机密 法医报告 法律与法院文书 财务及银行文件 乘客个人数据（含护照号码） Mercitalia 多式联运公司、GrandiStazioni 零售公司、Delta State Italia、FENCEDIT 金融服务公司、意大利国家铁路基金会、意大利铁路网公司、意大利铁路公司、意大利国家铁路国际公司、FS 安全公司、FS 城市系统公司、FS 科技公司、Italferr 工程公司、Italcertifer 认证公司等公司的员工数据（包含全名、电子邮件地址、电话号码、职位、薪资及员工身份证号） Mercitalia 客户信息 国防相关物资优先供应清单 Almaviva 与客户及供应商的合同 Almaviva 与意大利金融警卫队总司令部、国防部、宪兵总司令部、卫生部门、外交与国际合作部等政府机构及私营企业的高管合同、协议 Almaviva 项目进度报告及技术文件 多家企业的招标相关文件 意大利通用保险公司（GENERALI ITALIA S.p.A.）总司内部结构文件 RIF 财务文件 泄露文件显示，大部分数据为近期信息，包括截至 2025 年第三季度的财务、行政及运营文件，表明此次数据泄露源自新的网络攻击，而非 2022 年 Almaviva 遭遇数据泄露后被盗资料的二次传播。 Almaviva 已发布声明，确认其企业系统遭遇网络攻击，部分数据被盗。公司已启动专业安全程序保护核心服务，目前核心服务仍正常运行。相关部门、合作伙伴及利益相关方已第一时间接到通知，Almaviva 将继续密切协调各方开展监控、调查及应对工作，优先保障数据安全并及时更新进展，同时遵守调查保密原则。 Almaviva声明写道：“ 近几周，公司安全监控服务发现并隔离了一起影响企业系统的网络攻击，导致部分数据被盗” ，“Almaviva 立即通过专业团队启动安全应急响应程序，确保核心服务的保护与全面运行。” “与此同时，我们已通知相关部门 —— 检察官办公室、邮政警察、国家网络安全局及意大利数据保护局，并正与这些机构、合作伙伴及其他相关方密切合作，确保在监控、调查及应对工作中实现最大程度的协调。” 值得注意的是，Almaviva 本身提供网络安全服务，声称能 “以全新高度洞察网络威胁”。该公司还涉足国防与安全领域，与武装部队及执法部门合作，为关键领域的决策流程提供解决方案。 数据保护倡导者克里斯蒂安・贝尔尼里表示：“此次 Almaviva 与意大利国家铁路的数据泄露极具危险性，波及企业、员工及普通公民。被盗的 2.3TB 文件包含薪资单、合同、银行账户详情及网络配置等信息，这些数据可能被利用，在多个层面造成重大危害。” “任何获取这些信息的人都能在各个层面造成巨大损害，而受害者尤其是普通公民难以有效应对。” 他补充道。 目前，此次安全漏洞的影响范围尚不清楚，也不确定意大利其他大型机构是否受到波及。Almaviva 尚未披露此次攻击的相关技术细节。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，美国两个州的地方执法机构成为黑客攻击目标，多套 IT 系统受影响。 俄克拉荷马州克利夫兰县：勒索软件攻击波及内部系统 俄克拉荷马州克利夫兰县警长办公室于周四发布声明称，机构遭遇勒索软件攻击，部分内部计算机系统受到影响。 官方表示，公共安全服务未受中断，警员仍能正常响应 911 紧急呼叫。 “负责管理全县网络的县信息技术部门正积极推进问题解决。我们仍在评估事件的完整影响范围，后续将及时公布最新进展，” 警长办公室在声明中指出，“主动发布此信息是为确保公众获取准确资讯，避免谣言传播。” 克利夫兰县人口约 30 万，其中三分之一居民居住在诺曼市（俄克拉荷马大学所在地），该县位于俄克拉荷马城正南方约 20 分钟车程处。 截至周五，尚未有任何勒索软件集团宣称对此次克利夫兰县攻击事件负责。2025 年以来，俄克拉荷马州已有多个城市遭遇勒索软件攻击，包括杜兰特市和格罗夫市。 马萨诸塞州阿特尔伯勒市：政府系统瘫痪，邮件与电话中断 马萨诸塞州阿特尔伯勒市报告称，当地政府及警察局遭遇网络攻击。 该市于周四发布通知，证实有异常网络活动导致政府 IT 系统被迫下线，目前正联合网络安全专家、联邦机构及城市保险公司共同解决系统中断问题。 “阿特尔伯勒市及阿特尔伯勒警察局的所有常规电话线目前均无法使用，全市电子邮件服务也已中断，影响所有部门及工作人员，” 官方声明称，“调度员已采取手动调整措施，阿特尔伯勒警察局和消防局仍能正常响应紧急呼叫，未受任何影响。周边地区的执法及消防部门仍可通过常规互助渠道联系阿特尔伯勒调度中心。” 该市已公布警察局和消防局的备用电话号码，供公众处理非紧急事务使用。 阿特尔伯勒市政厅仍正常开放，但工作人员需使用纸质表格办公，且仅能接受线下账单支付及税款缴纳。 官方承认，部分部门需待系统恢复后才能正常开展全部工作，并提醒居民：由于暂时回归纸质办公流程，相关事务办理可能出现延迟，敬请谅解。 市长凯瑟琳・德西蒙尼（Cathleen DeSimone）表示，该市正优先保障紧急服务正常运转，并及时向公众通报进展。 “我们已采取直接措施处置此次事件，后续将持续更新工作进展，” 她补充称，当地公立学校系统未受影响。 阿特尔伯勒市人口约 5 万，位于马萨诸塞州与罗得岛州交界处，距离普罗维登斯市仅 20 分钟车程。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子宣称已对汽车电商平台 Revolution Parts 发起攻击，声称窃取了该公司超 500 万用户的个人信息，包括电子邮箱和 IP 地址等核心数据。 Revolution Parts 总部位于美国亚利桑那州坦佩市，通过其经销商网络每年销售价值超 6 亿美元的汽车零部件。 这则攻击声明被发布在一个知名数据泄露论坛上 —— 该平台是网络罪犯交换被盗数据的主要渠道。 与此同时，Cybernews 研究团队对攻击者提供的数据样本进行了核查。根据团队分析，该样本包含以下信息： 全名 电子邮箱 电话号码 家庭住址 IP 地址 设备数据 由于 Revolution Parts 是一家电商平台，攻击者声称窃取的信息与用户购物时填写的订单详情高度吻合，同时也符合用户注册账号时需提交的信息类型。 从理论上讲，攻击者可利用这些数据实施身份盗窃和钓鱼攻击。借助用户偏好、地理位置、电子邮箱等信息，不法分子能够发起精准定向的钓鱼攻击。 在这类攻击中，恶意攻击者通常会伪装成合法企业，诱骗用户泄露更敏感的信息；另一种常见手段是发送带毒邮件，诱使受害者在设备上下载恶意软件。 “当攻击者获取用户个人信息和设备数据后，他们可以据此设计针对特定设备的精准诈骗。此外，这些信息还可能被用于构建用户身份画像，为后续的欺诈行为做铺垫，” 研究团队解释道。 值得注意的是，Revolution Parts 同时面向企业客户提供服务，因此恶意攻击者也可能将企业列为重点攻击目标。不过截至发稿，尚不清楚泄露信息是否为最新数据 —— 攻击者有时会试图出售过时数据，本质上是在欺骗其他不法分子。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的 Cl0p 勒索软件犯罪集团宣称已获取多家企业的数据，英国国家医疗服务体系（NHS）、马自达（Mazda）、马自达美国分公司（Mazda USA）及佳能（Canon）近期被纳入该集团不断扩大的受害者名单。 这些企业名称被公布在 Cl0p 的暗网泄密网站上 —— 该平台是犯罪集团向受害者施压以索取赎金的主要工具。 NHS 发言人回应称，机构已获悉相关指控，目前正展开调查。 “NHS 已知悉自身被 Cl0p 网络犯罪集团的网站列为网络攻击受害者。我们正与国家网络安全中心（National Cyber Security Centre）及当地 NHS 机构密切合作推进调查，包括对该集团公布的数据进行评估与核实，”NHS 官方表示。 与此同时，Cybernews 研究团队已对攻击者为佐证其说法而公布的数据样本展开分析。尽管声称来自 NHS 的数据集规模达数百 GB，但团队仅对部分信息进行了核查。 研究人员指出，至少部分文件包含患者名单及个人身份信息（PII），涵盖姓名、诊断记录、保险信息等内容。从理论上讲，攻击者可利用这些数据实施身份盗窃、社会工程学诈骗及医疗欺诈等行为。 “由于此次数据泄露规模庞大，难以全面评估其影响。但这可能导致相关患者面临极高的身份信息泄露、欺诈及定向诈骗风险 —— 尤其是保险资格类别与居住信息结合后，可能会泄露个人社会经济状况，” 研究团队解释道。 医疗健康信息对网络犯罪分子极具价值，因其能开辟多种新的攻击途径。此外，医疗信息敏感度极高，且与信用卡或密码不同，无法随时间推移进行更换。 值得注意的是，Cl0p 并未公布佳能、马自达及马自达美国分公司的任何数据样本。这大概率是因为三家企业仍处于被勒索阶段 —— 勒索软件集团通常会先公开受害者名称施加预警压力，威胁若不满足赎金要求将泄露窃取的数据。 目前尚不清楚 Cl0p 如何入侵这些受害者，但极有可能是通过利用甲骨文 E-Business Suite（EBS）系统中的一个高危零日漏洞获取数据。 数月来，Cl0p 一直处于攻击狂潮中，持续上传通过该 EBS 漏洞入侵的新受害者信息 —— 甲骨文公司自身也被列入该集团的暗网论坛。许多机构在 8 月才发现自身遭入侵，部分是在收到该集团通过邮件发送的勒索信后得知。 甲骨文于 10 月 2 日首次披露了这一 Cl0p 漏洞利用行为，而谷歌研究人员早在 7 月就已监测到相关活动。此外，甲骨文在首次公告数日后发布的首个紧急补丁未能修复漏洞，不得不于 10 月 11 日推出第二个高危补丁，导致客户在此期间暴露于安全风险中。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oligo安全公司发出警告，有攻击者正在利用开源人工智能框架Ray中一个存在两年的安全漏洞发起持续攻击，将感染集群的NVIDIA GPU变成可自我复制的加密货币挖矿僵尸网络。 这项代号为 ShadowRay 2.0 的攻击活动，是2023年9月至2024年3月期间观察到的上一波攻击的升级版。攻击的核心是利用一个严重的身份认证缺失漏洞（CVE-2023-48022，CVSS评分：9.8），来控制易受攻击的实例，并劫持其算力用于XMRig的非法加密货币挖矿。 由于一项与Ray开发最佳实践相一致的”长期设计决策”要求其必须在隔离网络中运行并仅执行可信代码，该漏洞至今未被修补。 该攻击活动通过向暴露在公网的Ray仪表盘上的未认证Ray作业提交API（”/api/jobs/”）提交恶意作业来实现，其命令范围从简单的侦察到复杂的多阶段Bash和Python有效负载。随后，被攻陷的Ray集群被用于”广撒网”式攻击，将有效负载分发到其他Ray仪表盘，从而形成一个本质上可以从一个受害者传播到另一个受害者的蠕虫。 研究发现，攻击者利用GitLab和GitHub来投送恶意软件，使用诸如”ironern440-group”和”thisisforwork440-ops”等名称创建代码库并存放恶意负载。这两个账户现均已无法访问。然而，网络犯罪分子通过创建新的GitHub账户来应对封禁措施，这显示了他们的顽固性以及快速恢复运营的能力。 这些有效负载进而利用该平台的编排能力，横向移动至不面向互联网的节点，传播恶意软件，创建到攻击者控制基础设施的反向Shell以实现远程控制，并通过一个每15分钟运行一次的定时任务来建立持久化，该任务会从GitLab拉取最新版本的恶意软件以重新感染主机。 研究人员Avi Lumelsky和Gal Elbaz表示，威胁行为者”已将Ray的合法编排功能转变为工具，用于运行一个可自我传播的全球加密货币劫持行动，该行动能在暴露的Ray集群间自主传播。” 该攻击活动很可能利用了大语言模型来创建GitLab有效负载。这一评估是基于恶意软件的”结构、注释和错误处理模式”得出的。 其感染链包含一个明确的检查，用以判断受害者是否位于中国。如果是，则投放一个针对该区域的特定版本恶意软件。它还旨在通过扫描运行的进程来寻找并终止其他加密货币挖矿程序，从而消除竞争——这是加密货币劫持组织广泛采用的一种策略，旨在最大化主机的挖矿收益。 另一个值得注意的特点是，攻击使用了多种技术来规避检测，包括将恶意进程伪装成合法的Linux内核工作进程，并将CPU使用率限制在60%左右。据信，该攻击活动可能自2024年9月以来就一直处于活跃状态。 尽管Ray本应部署在”受控的网络环境”中，但研究结果表明，用户正在将Ray服务器暴露在互联网上，这为不法分子打开了一个有利可图的攻击面。攻击者使用开源漏洞检测工具interact.sh来识别哪些Ray仪表盘IP地址是可利用的。目前，有超过230,500台Ray服务器可公开访问。 Ray的最初开发者Anyscale公司已发布了一款”Ray开放端口检查器”工具，用于验证集群配置是否正确，以防止意外暴露。其他缓解策略包括配置防火墙规则以限制未经授权的访问，并在Ray仪表盘端口（默认8265）之上增加授权机制。 Oligo指出：”攻击者部署了sockstress（一种TCP状态耗尽工具）来攻击生产网站。这表明被入侵的Ray集群正被武器化，用于发动拒绝服务攻击，目标可能是竞争矿池或其他基础设施。” “这使得该行动从纯粹的加密货币劫持转变为一个多用途僵尸网络。发动DDoS攻击的能力增加了另一种变现途径——攻击者可以出租DDoS容量，或利用它来消除竞争。目标端口3333通常被矿池使用，这表明攻击是针对竞争对手的挖矿基础设施。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体正利用伪装成流行软件的虚假安装程序，诱骗用户安装恶意软件。这场全球性的恶意广告活动被命名为 TamperedChef。 根据安克提斯威胁研究单位的最新报告，此攻击的最终目的是建立持久性控制并投放JavaScript恶意软件，以实现远程访问和控制。这家总部位于新加坡的公司指出，该攻击活动仍在持续，新的恶意样本不断被发现，相关基础设施也保持活跃。 研究人员Darrel Virtusio和Jozsef Gegeny表示：”攻击操作者依赖社会工程学手段，使用日常应用程序名称、恶意广告、搜索引擎优化以及被滥用的数字证书，旨在增加用户信任并规避安全检测。” TamperedChef 是一场长期攻击活动的代号，该活动利用看似合法的各类实用工具安装程序，来传播一款同名的信息窃取恶意软件。据评估，它是代号为 EvilAI 的更大规模攻击行动的一部分，该行动使用与人工智能工具和软件相关的诱饵进行恶意软件传播。 为使这些假冒应用披上合法外衣，攻击者使用为在美国、巴拿马和马来西亚注册的空壳公司所颁发的代码签名证书对程序进行签名。当旧证书被吊销后，他们会以不同公司名义获取新证书。 安克提斯将此基础设施描述为”工业化且如同正规商业运作”，这有效帮助了操作者稳定地批量生成新证书，并利用人们对签名应用固有的信任，将恶意软件伪装成合法软件。 需要特别指出的是，TrueSec和G DATA追踪的这款名为TamperedChef的恶意软件，被Expel称为BaoLoader。它与最初作为EvilAI活动一部分分发、嵌入在恶意食谱应用中的原始TamperedChef恶意软件并不相同。 安克提斯向The Hacker News透露，他们选择使用TamperedChef来指代该恶意软件家族，因为此名称已被网络安全界广泛采纳。他们表示：”这有助于避免混淆，并与其他厂商现有的出版物和检测名称保持一致，这些厂商同样将该恶意软件家族称为TamperedChef。” 典型攻击流程如下： 用户在Bing等搜索引擎上搜索PDF编辑器或产品手册时，会看到恶意广告或被篡改的URL。点击后，用户会被引导至托管在NameCheap上的陷阱域名，这些域名会诱骗用户下载安装程序。 用户执行安装程序后，会被提示同意程序的许可条款。接着，在安装完成时，程序会打开一个新的浏览器标签页显示感谢信息，以维持骗局。然而，在后台，一个XML文件被释放，用于创建计划任务，该任务旨在启动一个经过混淆处理的JavaScript后门。 这个后门随即会连接到一个外部服务器，并通过HTTPS发送经过加密和Base64编码的JSON字符串，其中包含会话ID、机器ID和其他元数据等基本信息。 尽管如此，该攻击活动的最终目的仍然不甚明确。研究发现某些变种会协助进行广告欺诈，这表明了其背后的经济动机。威胁行为体也可能试图将其网络访问权限转售给其他网络犯罪分子，或者窃取敏感数据在地下论坛出售以实施欺诈。 遥测数据显示，大部分感染集中在美国，其次是以色列、西班牙、德国、印度和爱尔兰。医疗保健、建筑和制造业是受影响最严重的行业。 研究人员指出：”这些行业似乎对此类攻击活动尤其缺乏抵抗力，这可能是因为它们高度依赖专业性强、技术含量高的设备，这常常促使用户在线搜索产品手册——而这一行为正被TamperedChef攻击活动所利用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关的威胁行为体在一次未遂导弹袭击前，曾对船只自动识别系统（AIS）数据进行测绘。这表明，与德黑兰结盟的组织正在利用网络行动来支持并增强现实世界的实体攻击。 这项研究证明，网络战与传统实体作战之间的界限正迅速变得模糊。 亚马逊的威胁情报团队指出，国家背景的行为体正越来越多地利用网络行动来支持和增强实体攻击，他们将此趋势称为“网络赋能实体攻击”。 亚马逊发布的报告称：”我们正目睹国家行为体在战争方式上的根本性转变。这些不仅仅是恰好造成物理损坏的网络攻击；它们是经过协调的行动，其中数字操作被专门设计用来支持实体军事目标。” 在亚马逊专家描述的第一个案例中，与伊朗有关的APT组织”Imperial Kitten” 利用网络入侵来支持现实世界的海上攻击。2021年12月，他们入侵了一个船舶AIS平台；到2022年8月，他们扩大了活动范围，甚至访问了船载闭路电视系统以获取实时情报。2024年1月27日，他们搜索了一艘特定船只的AIS数据，标志着其转向了针对性跟踪。几天后的2024年2月1日，胡塞武装向该船只发动了导弹袭击。该案例显示了网络侦察如何能直接促成对海上目标的精确实体攻击。 研究人员描述的第二个案例涉及另一个伊朗关联的APT组织”MuddyWater”，其参与了支持实体攻击的网络行动。2025年5月13日，该组织为其活动架设了服务器。到6月17日，他们访问了另一台被入侵的服务器，该服务器正从耶路撒冷流式传输实时闭路电视画面，从而获得了实时情报。6月23日，伊朗向该市发动了导弹袭击，而以色列官员确认攻击者利用了被黑客入侵的摄像头来调整打击目标。该案例凸显了被入侵的监控系统如何能直接支持实体攻击。 报告进一步指出：”这个时间点并非巧合。正如《The Record》所报道，以色列官员曾敦促公民断开联网安全摄像头的连接，并警告伊朗正在利用它们来’收集实时情报并调整导弹目标’。” 亚马逊的研究表明，伊朗关联组织正在使用分层的网络基础设施来支持实体攻击。他们通过匿名VPN隐藏活动，使用攻击者控制的服务器进行持久性操作，并渗透到企业系统（如闭路电视网络和海事平台）以获取高价值情报。来自被入侵传感器的实时数据流，使攻击者能够在军事打击过程中调整目标。亚马逊引入了一个新术语——“网络赋能实体攻击”——来描述那些直接协助和改进现实世界军事攻击的网络行动，因为现有术语无法完全涵盖这一现象。 报告总结道：”我们相信，网络赋能实体攻击将在多个对手中变得越来越普遍。国家行为体正在认识到将数字侦察与实体攻击相结合所带来的’力量倍增器’效应。这一趋势代表了战争形式的根本性演变，网络行动与实体作战之间的传统界限正在瓦解。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维也纳大学的一个研究团队发现了一个WhatsApp安全漏洞，攻击者可利用此漏洞批量获取约35亿账户的信息。Meta公司随后修复了该漏洞，以阻止这种批量信息枚举技术。 用户通过向WhatsApp服务器查询电话号码来发现联系人，这种机制本身使得电话号码枚举成为可能。尽管平台设有标准的速率限制机制，但研究人员仍能以每小时超过1亿个号码的速度进行探测，且未被拦截，这暴露了平台在大规模枚举攻击面前的脆弱性。研究发现，在2021年Facebook数据泄露事件中遭泄露的电话号码，有近一半目前仍在WhatsApp上活跃使用。 研究人员在报告中指出：”这种架构本质上就支持电话号码枚举，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御手段，但我们重新审视了这个问题，并证明WhatsApp在面对大规模枚举时依然高度脆弱。在我们的研究中，我们能够以每小时超过一亿个电话号码的速度进行探测，而未遭遇拦截或有效的速率限制。” 研究人员开发了一种方法，能为全球245个国家/地区生成符合格式的可疑手机号码，将全球候选号码范围缩小至630亿。他们分析了35亿个WhatsApp账户，收集的数据包括电话号码、时间戳、个人资料图片、”个性签名”文本以及端到端加密公钥，由此创建了目前规模最大、且符合伦理研究规范的数据集之一。将此数据集与2021年通过Facebook数据爬取获得的5亿条记录进行比较后，发现其中一半号码仍在活跃使用，显示了早期数据泄露的长期影响。 该团队进行了一次”人口普查”，揭示了账户活跃度、设备类型、操作系统市场份额和资料使用情况，凸显了尽管平台采用端到端加密，但仍存在大量数据可见性。他们还在明令禁止使用该服务的地区（如中国、缅甸、朝鲜、伊朗）识别出了活跃账户，表明封禁措施效果有限。对X25519密钥的分析显示，存在大量密钥复用以及跨设备重复使用一次性预密钥的情况，这表明某些实现存在安全隐患或可能存在欺诈行为。一些美国号码甚至使用了全零的私钥，这强烈暗示其随机数生成器存在缺陷或使用了非标准软件。 Meta公司试图淡化此问题，声称用户的聊天消息、联系人或其他私人数据并未因此泄露，且个人资料照片或”个性签名”文本仅在用户将其设置为”所有人”可见时才会被查看。研究人员在2024年至2025年间逐步报告了此问题，但Meta表示直至2025年8月才收到完整的技术细节。相关的缓解措施于9月初开始部署，并在10月追加了进一步的保护机制。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为Sturnus的新型安卓银行木马具备完全控制设备的能力，其攻击目标覆盖了WhatsApp、Telegram和Signal等安全通讯软件的信息。它通过捕获屏幕内容来绕过加密通讯，能够窃取银行凭证、远程控制设备，并向用户隐藏欺诈行为。 ThreatFabric的分析显示，Sturnus恶意软件仍处于开发阶段，或目前正处于有限的测试期。然而，该木马已将中南欧的金融机构列为目标，预示着攻击者正在为更广泛的攻击活动做准备。该恶意软件功能完备，并在通信协议和设备支持方面超越了已有的木马家族。有证据表明，攻击者开展了短暂、间歇性的活动，重点针对WhatsApp、Telegram和Signal等加密通讯应用，并使用了针对特定地区的攻击模板。操作者正在积极优化其工具以捕获敏感通信，为未来更协同、大规模的攻击行动做准备。 ThreatFabric在报告中指出：”Sturnus除了针对银行应用外，还会监控前台应用。一旦受害者打开如WhatsApp、Signal或Telegram等加密通讯服务，它会自动激活其UI树收集功能。” 该恶意代码的通信模式模仿了紫翅椋鸟杂乱无章的鸣叫，会在明文、RSA和AES消息之间不可预测地切换。它通过HTTP POST请求注册设备，接收一个UUID和RSA公钥，随后生成本地AES-256密钥，用RSA公钥加密后以Base64格式存储。密钥交换完成后，它使用AES/CBC/PKCS5Padding加密所有消息，在数据前附加一个随机的初始向量，并将数据封装在自定义结构中。 Sturnus通过两个相互关联的机制窃取数据：HTML覆盖层和基于无障碍服务的键盘记录。它存储针对特定银行应用的网络钓鱼模板，并通过一个WebView显示这些模板，该WebView会捕获所有输入并将其发送到命令与控制服务器。数据外泄后，它会禁用已使用的覆盖层以避免检测。它还可以使用全屏遮挡覆盖层来隐藏其活动。 其无障碍服务会记录文本变化、点击事件、焦点切换以及完整的UI树更新，即使屏幕捕获被阻止，攻击者也能据此重构用户操作。这些功能还使该恶意软件能够提取用于解锁设备的PIN码和密码。 报告进一步说明：”由于它依赖于无障碍服务日志记录而非网络拦截，该恶意软件可以读取屏幕上出现的所有内容——包括联系人、完整的对话线程以及收发消息的内容——而且是实时进行。这使得该功能尤其危险：它通过在被合法应用解密后访问信息，完全绕开了端到端加密，让攻击者能够直接查看本应私密的对话。” Sturnus通过两种互补的捕获方法，实现了对受感染设备的完全远程控制：一是通过安卓的显示捕获框架进行实时屏幕镜像；二是在标准捕获失败时，通过无障碍事件构建屏幕截图的备用系统。随后，一个原生库通过VNC RFB协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射，跟踪点击、文本输入、滚动和应用启动，而无需使用图像。这种方法占用带宽更少，能避免屏幕捕获警报，并且即使对隐藏或受保护的元素也有效。 Sturnus通过获取设备管理员权限来增强其持久性，它会监控解锁事件、阻止用户尝试撤销其权限，并防止自身被卸载。一个庞大的监控子系统负责追踪系统变更、网络连接状态、电源状态、SIM卡更换、应用安装、root迹象以及开发者选项。Sturnus还会分析传感器、硬件和网络信息，以调整其策略、规避分析，并保持对设备的长期控制。 报告总结道：”Sturnus代表了一种复杂且全面的威胁，它实现了多种攻击向量，使攻击者能够近乎完全地控制受感染设备。基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员权限滥用以及全面的环境监控相结合，对受害者的财务安全和隐私构成了极其危险的威胁。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，全球最高建筑迪拜哈利法塔的消防系统服务商——NAFFCO公司遭遇网络攻击。知名勒索软件组织INC Ransom声称窃取了该公司高达1TB的内部数据，导致其陷入严重的安保与声誉危机。 NAFFCO公司总部位于迪拜，是海湾地区消防设备、消防系统、火灾报警器及安防工程系统领域的顶尖生产供应商，年收入达44亿美元。 NAFFCO的客户涵盖多个行业，包括政府机构、民防部门和应急响应组织。 该公司为迪拜多座标志性建筑打造了消防安全项目，其中包括全球最高建筑哈利法塔、阿布扎比卢浮宫以及阿曼会展中心。 在能源领域，纳夫科与阿布扎比国家石油公司、阿布扎比石油公司、扎库姆石油开发公司等大型油气企业合作，提供消防安全解决方案。 数据泄露详情 根据INC Ransom的声明，他们从NAFFCO窃取了约1TB的内部数据。该组织于11月17日在其暗网泄露网站上公布了NAFFCO的名字，并附带了47张据称是失窃数据的截图。 经研究人员分析，泄露数据可能包含： 公司运营细节：包括公司结构、员工姓名、职位、电子邮件、电话号码和项目金额 年度合同清单：包含客户公司名称、合同金额和销售代表信息 与客户公司的个别合同 员工名单：包含姓名、职位、部门、身份证件个人识别信息和签证详情 员工身份证件照片 从样本数据的类型来看，此次泄露可能引发重大风险：受影响员工面临身份盗窃和社会工程学攻击的概率大幅上升；同时，公司的商业运营细节与员工信息曝光也可能对其声誉造成损害。 危险警示 INC Ransom是一个疑似与俄罗斯有关联的勒索软件组织，于2023年7月首次出现。根据Cybernews的暗网监控工具RansomLooker数据，该组织已认领了453起攻击事件。 该团伙采用“多重勒索”模式：不仅加密受害者文件，还会窃取数据并威胁，若不支付赎金就泄露数据。 在选择目标时以 “无差别攻击” 著称，受害者涵盖医院、学校、政府机构及科技公司。 近期，该团伙声称从大型高尔夫服饰企业萨米特高尔夫品牌窃取了 47GB 数据，该公司旗下拥有 Zero Restriction、B. Draddy、Fairway & Greene、EP New York 等知名高尔夫服饰及运动品牌。 如今，这个网络犯罪集团正逐渐跻身 “最高产犯罪团伙” 之列，其受害者名单包括：美国国防部承包商斯塔克航空航天公司、旧金山芭蕾舞团、英国莱斯特市、苏格兰国民保健署邓弗里斯 – 加洛韦健康委员会，以及施乐公司。 涉案受害者还包括年营收 990 亿美元的零售巨头阿霍德德尔海兹集团，旗下包含连锁超市品牌 Stop & Shop 和 Albert Heijn。 芒特罗杰斯社区服务中心也出现在该勒索团伙的暗网泄露网站上，攻击者称从该机构系统中窃取了多项隐私信息。 该团伙甚至曾攻击过一座公墓：今年 6 月，他们将加拿大汉密尔顿教区天主教公墓列入暗网论坛的攻击名单。 今年 7 月，该团伙声称从美国北卡罗来纳州托马斯维尔市窃取了 260GB 数据。 而在今年年初，该团伙还声称攻击了印尼全国性广播及网络新闻机构 CNN 印尼频道。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国民保健署（NHS）英格兰数字部门周二发布公告称，近期披露的一个 7-Zip 安全漏洞已遭黑客在野外活跃利用。 该漏洞编号为 CVE-2025-11001（CVSS 评分 7.0），允许远程攻击者执行任意代码。2025 年 7 月发布的 7-Zip 25.00 版本已修复此漏洞。 趋势科技零日响应计划（ZDI）上月发布警报称：“该漏洞存在于 ZIP 文件符号链接的处理逻辑中。精心构造的 ZIP 文件数据可导致进程访问非预期目录。”“攻击者可利用此漏洞，以服务账户权限执行代码。” 该漏洞由 GMO Flatt Security 公司的滋贺亮太，以及该公司基于人工智能（AI）的应用安全审计工具 Takumi 发现并报告。 值得注意的是，7-Zip 25.00 版本还修复了另一个漏洞 CVE-2025-11002（CVSS 评分 7.0）。该漏洞同样源于 ZIP 压缩包中符号链接的不当处理，可导致目录遍历，进而实现远程代码执行。这两个漏洞均在 21.02 版本中被引入。 英国国民保健署英格兰数字部门表示：“已观测到 CVE-2025-11001 漏洞在野外被活跃利用。” 不过目前尚无细节表明，该漏洞被如何武器化、攻击者身份及攻击场景。 鉴于已有概念验证（PoC）漏洞利用代码公开，7-Zip 用户应尽快安装必要的修复程序（若尚未更新），以获得最佳防护。 发布该漏洞 PoC 代码的安全研究员多米尼克（化名 pacbypass）在详细说明中指出：“此漏洞仅能在以下场景被利用 —— 高权限用户 / 服务账户上下文，或已启用开发者模式的设备。”“该漏洞仅适用于 Windows 系统。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一项新攻击活动的细节：攻击者结合社会工程学与 WhatsApp 劫持手段，向巴西用户分发一款名为 Eternidade Stealer 的德尔福（Delphi）语言银行木马。 Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示：“该恶意软件利用互联网消息访问协议（IMAP）动态获取命令与控制（C2）服务器地址，方便威胁行为体更新其控制服务器。” “它通过 WhatsApp 蠕虫活动传播，目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。” 此次发现紧随另一项名为 “Water Saci” 的攻击活动之后，后者同样以巴西用户为目标，通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播，进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。 Eternidade Stealer 攻击集群是一系列攻击活动的组成部分，这些活动利用 WhatsApp 在巴西的普及性，攻陷目标用户设备后，将这款即时通讯应用作为传播载体，对巴西机构发动大规模攻击。 攻击技术特点与地域针对性 另一个显著趋势是，针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高，还源于它曾在该地区的软件开发领域被广泛教授和使用。 攻击始于一个经过混淆处理的 Visual Basic 脚本，脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本，负责交付两个有效载荷，使感染链分化为两条： Python 脚本：通过 WhatsApp Web 以蠕虫方式传播恶意软件 MSI 安装程序：借助 AutoIt 脚本启动 Eternidade Stealer 这款 Python 脚本与 SORVEPOTEL 类似，会与远程服务器建立通信，并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表，同时过滤掉群组、企业联系人及广播列表。 随后，恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息，通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段，它会使用消息模板，填入基于时间的问候语和联系人姓名，向所有联系人发送恶意附件。 攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始，其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语，判断受感染设备是否位于巴西，若不满足则自动终止运行，体现出威胁行为体高度本地化的攻击目标。 恶意软件功能与控制机制 脚本随后会扫描运行进程和注册表项，确认是否存在安全软件，同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是，恶意软件通过进程注入（process hollowing）技术，将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。 作为一款德尔福语言编写的凭据窃取器，Eternidade 会持续扫描活动窗口和运行进程，查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串，包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。 研究人员表示：“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态，直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发，且不会被普通用户或沙箱环境发现。” 一旦检测到匹配项，恶意软件会联系 C2 服务器，相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制，同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱，会启用嵌入在源代码中的备用 C2 地址。 与服务器成功建立连接后，恶意软件会等待接收指令并在受感染设备上执行，使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下： <|OK|>：收集系统信息 <|PING|>：监控用户活动并上报当前活跃窗口 <|PedidoSenhas|>：根据活跃窗口发送自定义覆盖界面，窃取凭据 攻击基础设施与全球影响 Trustwave 表示，对威胁行为体基础设施的分析发现了两个面板：一个用于管理重定向系统，另一个是登录面板，可能用于监控受感染设备。重定向系统包含日志，记录了访问总数及试图连接 C2 地址的被拦截次数。 该系统仅允许巴西和阿根廷的设备访问，被拦截的连接会被重定向至 “google [.] com/error”。面板统计数据显示，454 次访问中有 452 次因地理围栏限制被拦截，仅 2 次访问被导向攻击目标域名。 在 454 条通信记录中，196 条来自美国，其次是荷兰（37 条）、德国（32 条）、英国（23 条）、法国（19 条）和巴西（3 条）。Windows 操作系统占 115 条连接，面板数据显示还有来自 macOS（94 条）、Linux（45 条）和 Android（18 条）的连接。 Trustwave 指出：“尽管该恶意软件家族及传播载体主要针对巴西，但可能的运营范围和受害者覆盖范围却遍及全球。网络安全防御人员应警惕可疑的 WhatsApp 活动、意外的 MSI 安装程序或脚本执行行为，以及与该持续攻击活动相关的威胁指标。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击活动已攻陷全球数万台过时或已停止支持（EoL）的华硕路由器，受影响设备主要集中在台湾地区、美国和俄罗斯，进而被纳入一个大型网络。 该路由器劫持活动被 SecurityScorecard 的 STRIKE 团队命名为 “WrtHug 行动”。东南亚及欧洲部分国家也出现感染案例，过去六个月内，全球已识别出超过 5 万个属于受 compromised 设备的独立 IP 地址。 攻击活动疑似利用已停止支持的华硕 WRT 路由器中的六个已知安全漏洞，获取易受攻击设备的控制权。所有受感染路由器均共享一个独特的自签名 TLS 证书，该证书有效期设定为自 2022 年 4 月起 100 年。 SecurityScorecard 表示，展示该证书的服务中，99% 是华硕 AiCloud 服务 —— 这是一项专有服务，旨在允许用户通过互联网访问本地存储。 攻击技术细节与关联威胁 该公司在提交给《黑客新闻》的报告中称：“攻击者利用专有 AiCloud 服务及已知漏洞（n-day 漏洞），在已停止支持的华硕 WRT 路由器上获取高权限。” 报告还指出，尽管此次活动并非典型的 “操作中继箱（ORB）”，但与其他关联中国的 ORB 网络及僵尸网络存在相似之处。 攻击疑似利用多个漏洞进行扩散，包括 CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912 及 CVE-2025-2492。近几个月来，另外两个针对路由器的 ORB 网络分别是 LapDogs 和 PolarEdge。 在所有受感染设备中，有七个 IP 地址同时表现出 WrtHug 和 AyySSHush 的入侵特征，这可能意味着两个攻击集群存在关联。不过，除共享同一漏洞外，目前尚无其他证据支持这一假设。 此次攻击针对的路由器型号如下： 华硕无线路由器 4G-AC55U 华硕无线路由器 4G-AC860U 华硕无线路由器 DSL-AC68U 华硕无线路由器 GT-AC5300 华硕无线路由器 GT-AX11000 华硕无线路由器 RT-AC1200HP 华硕无线路由器 RT-AC1300GPLUS 华硕无线路由器 RT-AC1300UHP CIS 定制套件 目前攻击方身份尚不明确，但活动对台湾地区的重点针对，以及与中国黑客组织此前 ORB 攻击战术的重叠，表明幕后可能是某个未知的关联中国的行为体。 SecurityScorecard 表示：“本研究凸显了恶意威胁行为体大规模感染路由器及其他网络设备的趋势日益明显。这些行为体通常（但不限于）与中国相关，他们以谨慎且精心策划的方式开展活动，以扩大和深化其全球影响力。” “威胁行为体通过串联命令注入和身份验证绕过漏洞，成功通过 SSH 部署持久化后门，还经常滥用路由器的合法功能，确保其控制在设备重启或固件更新后仍能存续。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯保险公司 VSK 遭遇重大网络攻击，系统受损导致官网、移动应用及其他数百万用户依赖的服务下线。目前该公司已耗时一周，仍在全力恢复相关服务。 作为俄罗斯规模最大的综合保险公司之一，总部位于莫斯科的 VSK 服务着约 3300 万个人客户和 50 多万家企业，业务涵盖财产险、交通险、健康险、旅游险、货运险及企业保险等多个领域。 尽管 VSK 未详细说明事件的全部影响，但大量客户涌入其社交媒体页面投诉。有用户反映无法购买车险、修改保单、获取担保函或预约医疗服务，部分人表示医疗机构因无法核实保险覆盖范围而拒绝提供服务。公司邮件服务也出现中断，VSK 已敦促客户通过平信提交咨询请求。 该公司尚未透露攻击者身份及攻击动机，俄罗斯网络安全专家向当地媒体表示，此次事件大概率为勒索软件攻击。 事件进展与官方回应 VSK 于 11 月 13 日公开确认了这一事件，称前一日检测到 “大规模网络攻击”，目前正联合外部专家推进系统恢复工作。 公司表示：“此次事件仅影响 IT 基础设施运行，客户及合作伙伴的数据安全无虞。” 同时补充称线下门店仍正常营业，并警告其企业域名已遭劫持，访问者会被重定向至虚假 Telegram 频道。 尽管 VSK 宣称未发生个人信息泄露，但与乌克兰黑客相关的 Telegram 频道已发布据称是该公司泄露信息及备份文件的截图，这些图片的真实性尚未得到独立核实。 公司背景与近期俄企网络安全态势 英国政府于 2024 年对 VSK 实施制裁，因其为俄罗斯所谓的 “影子舰队” 提供支持。这一舰队由监管薄弱的船舶组成，用于规避西方制裁、维持石油出口收入。英国方面称，VSK 是与俄罗斯相关的油轮及物流链的核心海运保险及相关服务提供商，欧盟随后也将该公司列入制裁名单。 此次攻击发生之际，俄罗斯大型企业遭遇的网络安全事件正呈激增态势。上周，俄罗斯港口运营商 Port Alliance 报告遭遇 “来自境外” 的大规模分布式拒绝服务（DDoS）攻击，核心数字系统受影响，据称攻击者意图干扰煤炭和化肥运输。10 月，俄罗斯农业与食品安全监管机构遭网络攻击，导致全国食品运输陷入混乱。目前这些事件的动机是政治性还是经济性，尚不清楚。 在 VSK 披露数据泄露几天后，亲俄黑客组织 NoName057 (16) 宣布对多家乌克兰保险公司发动 DDoS 攻击。该组织未明确将此次行动与 VSK 遇袭关联，目前也不清楚这些目标是否出现运营中断。   消息来源：therecord.media；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部及国际盟友于周三宣布，对俄罗斯知名 “防弹主机” 服务商 Media Land 实施制裁，指控其为勒索软件团伙及其他网络犯罪活动提供支持。 这家总部位于圣彼得堡的公司，向黑客提供 IP 地址、服务器和域名服务，这些资源被用于传播恶意软件、组建僵尸网络军团及实施勒索软件攻击。美国、英国和澳大利亚指控 Media Land 为在线犯罪市场，以及 Lockbit、BlackSuit、Play 等勒索软件组织提供服务。美国财政部表示，该公司的服务还被用于对美国关键基础设施实体发动多起分布式拒绝服务（DDOS）攻击。 三国同时制裁了 Media Land 的关联公司 ——Data Center Kirishi 和 ML Cloud，这两家企业为勒索软件团伙提供其他技术基础设施支持。此次制裁还涉及 Media Land 总经理亚历山大・沃洛索维克、财务经理尤利娅・潘科娃，以及据称负责收取客户付款并协调网络犯罪服务的基里尔・扎托洛金。 美国财政部副部长约翰・赫利表示：“像 Media Land 这样的所谓‘防弹主机’服务商，为网络犯罪分子提供关键支持，帮助他们攻击美国及盟国企业。” 这类公司自称 “防弹”，是因为它们不会回应网络攻击受害者的投诉或相关法律文书。 对 Aeza 集团关联实体的追加制裁 美国和英国还制裁了 Hypercore 公司，该企业是另一家 “防弹主机” 服务商 Aeza 集团的 fronts 公司。美国财政部已于 7 月对 Aeza 集团实施过制裁，但官员周三表示，该公司已更名并搭建新基础设施，切断了与原有业务的关联。 Hypercore 在英国注册，被 Aeza 集团用于规避制裁。Aeza 集团新任董事马克西姆・弗拉基米罗维奇・马卡罗夫，以及公司另一名员工伊利亚・弗拉基米罗维奇・扎基罗夫同步遭到制裁。此次制裁名单还包括塞尔维亚和乌兹别克斯坦的两家 fronts 公司 ——Smart Digital Ideas DOO 和 Datavice MCHJ。 总部同样位于圣彼得堡的 Aeza 集团，据称曾为 “BianLian” 勒索软件团伙，以及 “ RedLine ”“ Lumma ”“ Meduza ” 等信息窃取类恶意软件的运营者提供主机服务。美国财政部此前指控 Aeza 集团协助黑客针对美国国防企业和科技公司发动攻击。网络安全研究人员还发现，该集团与亲克里姆林宫的虚假信息宣传活动 “ Doppelgänger ” 存在关联，该活动至少自 2022 年起就在欧洲活跃。 配套发布网络安全防护指南 在实施制裁的同时，美国网络安全与基础设施安全局（CISA）及其他联邦机构发布了一份指南，指导各类组织应对 “防弹主机” 服务商带来的风险。 这份由联合勒索软件特别工作组制定的指南，旨在帮助互联网服务提供商和网络防御人员 “打击日益严峻的勒索软件攻击威胁”。CISA 代理局长马杜・戈图穆卡表示：“防弹主机是现代网络犯罪的核心推手之一。通过曝光这些非法基础设施并为防御者提供具体行动方案，我们能加大犯罪分子的隐藏难度，让合作伙伴更易保护美国民众日常依赖的各类系统。” CISA 网络安全部门执行助理局长尼克・安德森补充称，“防弹主机” 平台正成为网络犯罪分子越来越常用的 “帮凶”，帮助他们躲避检测、难以追踪。CISA 解释，该指南的目标是降低 “防弹主机” 基础设施的效用，迫使网络犯罪分子转向合法基础设施提供商 —— 这类服务商都会回应受害者投诉和执法部门的下架请求。 过去一年，执法机构已针对多家俄罗斯 “防弹主机” 服务商采取行动，包括 Zservers、Lolek Hosted 等，多名运营者因相关行为被判处数年监禁。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文