HackerNews

HackerNews 编译，转载请注明出处： 某勒索软件组织宣称从迪拜最负盛名的医院之一窃取了4.5亿条患者记录，并威胁将公开泄露这些数据。 6月4日，该组织在其暗网泄露站点更新声明，声称已从迪拜美国医院（AHD）窃取敏感数据，影响患者记录高达4.5亿条。 “我们已从AHD转储海量数据，即将追加其财务数据。请持续关注本网站，”声明采用常见施压手段逼迫医院就范。该组织威胁将于6月8日公开泄露被盗数据。截至发稿时，涉事医院尚未回应置评请求。 作为该地区最负盛名的私立医疗机构，迪拜美国医院成立于1996年，隶属Mohamed & Obaid Al Mulla集团。这家拥有254张床位的急症护理机构位于迪拜Oud Metha区，提供超过40个专科的医疗服务，以医疗创新著称（包括1800多例使用达芬奇Xi手术系统的机器人手术）。 失窃数据类型 攻击者宣称窃取未压缩总量达4TB的数据，包括： 个人资料与人口统计数据 信用卡号 账单历史记录 阿联酋身份证号 含健康状况和治疗方案的临床记录 尽管攻击者声称包含患者数据，但实际核查的样本数据主要涉及财务内容，涵盖医院内部财务报告、工资单及账单记录等文件。若其宣称属实，此次泄露将引发严重的隐私与监管风险——尤其在网络安全法规严格的地区涉及财务及国民身份证数据。 Gunra勒索软件背景 Gunra是勒索软件领域的新兴威胁组织，2025年4月首次出现后已累计攻击12个目标。该组织以房地产、制药和制造业为攻击目标，采用双重勒索策略（威胁泄露数据+加密文件）谋取经济利益。入侵系统后，该软件会快速加密文件并添加“.ENCRT”扩展名，同时在每个目录留下勒索信，详细说明付款及数据恢复步骤。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一场广泛传播的钓鱼攻击活动正在针对酒店服务行业，攻击者通过伪装Booking.com的恶意邮件诱骗收件人下载恶意软件。这些攻击采用名为ClickFix的欺骗性验证码系统，诱导受害者在Windows设备上运行恶意脚本。 该攻击活动自2024年11月活跃至今，在2025年3月达到高峰，占其总攻击量的47%。攻击者发送冒充Booking.com的邮件，要求酒店员工处理客户问题或确认预订信息。邮件中嵌入的链接会将用户导向伪造的验证码页面，触发恶意软件下载流程。 ClickFix页面提示用户完成“验证步骤”，要求通过Windows快捷操作复制并执行脚本。这些脚本通常安装远程访问木马（RAT）或信息窃取程序。据监测数据显示，53%的攻击载荷为XWorm远程木马，其余主要为Pure Logs窃密程序与DanaBot恶意软件。 近期攻击邮件呈现新特征： 以酒店声誉受损为威胁，设置24小时紧急处理期限 伪造客户预订需求，要求提前入住或特殊设施安排 发送虚假确认函，诱导员工点击恶意链接响应 部分变种甚至模仿Cookie同意弹窗，用户点击“接受”即触发恶意下载。尽管出现模仿Cloudflare的验证码变体，此类手法目前仍属少数。 该技术标志着钓鱼方法的转变：用户并非直接下载文件，而是在三步骤中无意执行恶意脚本： 验证码页面将隐藏脚本植入剪贴板 诱导受害者打开Windows运行命令框 粘贴并执行脚本以激活恶意程序 部分脚本末端伪装成验证码，进一步掩盖真实目的。监测数据显示75%的攻击使用Booking.com标识，但也观察到模仿Cloudflare等服务的变种。 该攻击活动的持续演进和高成功率，正使住宿与餐饮服务行业面临日益严峻的安全挑战。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国的《2025年战略防务评估》（SDR）详细阐述了一项计划，旨在通过增加网络、人工智能（AI）和数字化作战手段的运用，整合其军事防御与进攻能力。 与美国一样，英国也参与攻击性网络行动，即使针对盟友，但并未公开证实。斯诺登泄密的资料中包括2010年至2013年进行的“社会主义行动”（Operation Socialist）。英国政府通信总部（GCHQ）成功利用量子插入攻击（Quantum Insert attack）攻击了比利时电信公司（Belgacom，比利时最大的电信供应商）。 尽管如此，英国一直坚称其不参与网络战——直到现在。这份于2025年6月2日发布的新版SDR（PDF文件）专注于整合英国在陆、海、空以及网络领域的进攻和防御军事能力。 这是一份军事评估报告，但自然也包括与“英国情报界[军情五处（MI5）、军情六处（MI6）和政府通信总部（GCHQ）]”的实时协作，“以在应对国家安全挑战时实现最大效果”。该评估报告的一个重要部分是全面且公开地承认网络与电磁频谱（CyberEM）的作用，以及在防御和进攻态势中增加对人工智能的应用；并强调需要整合这些能力。 “为最大化尖端技术和通用数字架构的效益，国防部门还必须协同努力，发展对现代战争至关重要的必要数字、人工智能、网络和电磁战技能。” 报告指出，网络电磁域（CyberEM）是现代战争的核心。“这是对手每天都在挑战的唯一作战域，”报告称。例如，据报道，英国的军事网络在过去两年内遭受了9万次‘灰色地带’攻击。（灰色地带攻击旨在扰乱或削弱对手，而不引发全面军事反应。）英国不同军种已在网络电磁域开展行动，但各自为政。这些行动既包括进攻也包括防御，包括英国自身针对对手使用的网络或技术进行的灰色地带活动。 SDR提议在一个新的网络电磁司令部（CyberEM command）下协调这些活动，将其作为单一权威节点运作。其目的是协调甚至鼓励（而非执行）网络活动——充当一个“枢纽”，“整合全方位的军事行动，并为国防部门如何与盟友及工业界理解、发展和获取能力带来一致性。” 该机构还旨在制定电磁频谱作战的总体战略，包括与北约的方法进行联络和协调。 这种新的跨国防整合与协调的效果，体现在新兴的“数字战士”（Digital Warfighter）小组和“数字目标靶场”（digital targeting web）上。两者共同实现了数字战士与传统战士在行动中的并肩部署；而目标靶场（一个通用的数据架构，而非网站）则将传感器、决策者和效应器连接起来。 评估报告承认其从乌克兰汲取了教训，并补充道：“这[目标靶场]在决定如何跨域并在受争议的网络电磁域中削弱或摧毁已识别目标时，提供了选择和速度。例如，一个目标可能由舰船或太空中的传感器识别，随后被F-35战机、无人机或进攻性网络行动所摧毁。在人工智能的辅助和通用合成环境（common synthetic environment）的支持下，目标靶场体现了一体化部队（Integrated Force）必须如何作战与适应。它的存在本身就增强了威慑力。” 英国最新的战略防务评估深受当前地缘政治影响，从乌克兰的成功到俄罗斯对欧洲日益增长的威胁。但同样显而易见的是，这种包含重大国防改革、增加资金投入以及专注于与北约盟友合作的新方法，也很大程度上源于特朗普总统领导下的美国行动。无论他批评北约的确切目的为何，这已让欧洲意识到，它或许不应、甚至绝不能如此依赖美国的军事力量。整个欧洲都在进行重新武装的进程。 但同样清楚的是，这种对军事责任的反思既关乎进攻能力，也关乎防御能力——并且，现代战争无论在进攻还是防御方面，都无法与网络战割裂开来。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大Instantel公司生产的1000多台工业监控设备因存在严重漏洞可能面临远程黑客攻击。 网络安全机构CISA近期发布的公告披露，Instantel用于记录振动、噪音和空气超压的Micromate产品存在配置端口缺乏身份验证的安全漏洞。该漏洞编号为CVE-2025-1907（CVSS评分9.8），攻击者可借此在设备上执行任意命令。 发现此漏洞的Microsec研究员Souvik Kandar向SecurityWeek透露，全球范围内已识别出1000多台暴露在互联网中的Micromate设备可能遭受攻击。该产品广泛应用于采矿、隧道工程、桥梁监测、建筑施工和环境安全等领域。 Kandar解释称，成功在设备上执行命令的攻击者能够篡改或禁用监控功能，导致数据失真或缺失。破坏数据完整性的操作可能引发审计、合规或保险索赔问题。该研究员补充表示，设备还可能被破坏或强制关机，进而中断爆破、隧道掘进等关键作业。 据Kandar分析，攻击者或可利用被入侵设备横向渗透至其他连接的IT或OT系统。 CISA公告指出Instantel正在为该漏洞开发固件更新。在补丁发布前，建议用户将设备访问权限限制在可信IP地址范围内。针对SecurityWeek的置评请求，Instantel尚未作出回应。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两个恶意 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器以拦截和窃取数据 RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。这些恶意包会拦截敏感数据，包括聊天 ID 和消息内容、附件文件、代理凭证，甚至是可以用于劫持 Telegram 机器人的 Bot Token。 该供应链攻击由 Socket 安全研究人员发现，他们已通过报告向 Ruby 开发者社区发出风险警告。 这两个仿冒 Fastlane 插件的恶意包目前在 RubyGems 上仍然可用，名称如下： fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，已被下载 287 次。 fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，已被下载 133 次。 Fastlane 是一个合法的开源插件，作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知发送和元数据管理。 fastlane-plugin-telegram 是一个合法的插件，允许 Fastlane 通过 Telegram Bot 在指定频道发送通知。这对于需要在 Telegram 工作区中实时获取 CI/CD 管道更新状态的开发者非常有用，使他们无需频繁检查仪表板即可跟踪关键事件。 Socket 发现的恶意 gem 与合法插件几乎完全相同，具有相同的公共 API、自述文件、文档和核心功能。 唯一但至关重要的区别在于，它们将合法的 Telegram API 端点 (https://api.telegram.org/) 替换为攻击者控制的代理端点 (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev)，从而拦截（并且很可能收集）敏感信息。 窃取的数据包括： Bot Token 消息数据 任何上传的文件 配置的代理凭证（如果配置了的话） 攻击者有充分的利用和持久化机会，因为 Telegram Bot Token 在受害者手动撤销之前一直有效。 Socket 指出，这些 gem 的页面声称代理“不存储或修改您的 Bot Token”，但无法验证这一说法。“Cloudflare Worker 脚本不可公开查看，威胁行为者完全有能力记录、检查或篡改传输中的任何数据，”Socket 解释道。“使用此代理，结合仿冒可信的 Fastlane 插件，清楚地表明其意图是在正常 CI 行为的幌子下窃取 Token 和消息数据。此外，威胁行为者尚未公开 Worker 的源代码，使其实现完全不透明。” 建议措施： 立即移除： 已安装这两个恶意 gem 的开发者应立即将其移除。 重建二进制文件： 重建自安装该恶意 gem 日期后生成的任何移动应用二进制文件。 轮换 Bot Token： 所有与 Fastlane 一起使用过的 Bot Token 都应立即轮换（因为它们已被泄露）。 网络屏蔽： Socket 还建议屏蔽到 *.workers[.]dev 的流量，除非明确需要。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据最新报告显示，一个鲜为人知的黑客组织已成为俄罗斯国家机构和关键行业的重大威胁，其攻击旨在制造最大程度的破坏并谋取经济利益。 俄罗斯网络安全公司卡巴斯基的研究人员表示，Black Owl（亦称黑猫头鹰）组织自2024年初开始活跃，似乎独立运作且拥有专属工具库和攻击策略。该组织最具破坏性的行动之一是上月的网络攻击，据称摧毁了俄罗斯约三分之一的国家电子法院档案系统。乌克兰军事情报局（HUR）此前声明曾与BO组织合作开展多项行动，包括入侵俄罗斯联邦数字签名机构及其下属科研中心。 该组织通常通过携带高迷惑性恶意附件的钓鱼邮件获取受害者系统的初始访问权限。入侵成功后，BO组织可能潜伏数周甚至数月才行动——这种延迟在通常追求快速破坏或窃取数据的黑客行动主义者中极为罕见。其持续升级的工具包包含DarkGate、BrockenDoor和Remcos等后门程序。 研究人员指出，攻陷网络后，该组织会使用微软SDelete等工具删除备份及虚拟基础设施，并在部分案例中部署Babuk勒索软件加密数据索要赎金。黑客常将恶意软件伪装成合法的Windows程序。 BO组织专门针对俄罗斯实体，包括国有企业和科技、电信及制造业机构。他们频繁在Telegram上宣扬攻击成果，既为恐吓受害者，也为吸引媒体关注。 卡巴斯基强调：“BO组织因非常规的网络攻击手段，对俄罗斯机构构成严重威胁。” 研究人员补充称，与其他亲乌克兰黑客组织不同，该组织几乎未表现出协作、合作或工具共享迹象——这在俄罗斯当前的黑客行动生态中尤为特殊。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google 修复了 Chrome 浏览器中的三个漏洞，包括一个已在攻击中被积极利用的漏洞，追踪编号为 CVE-2025-5419。 该漏洞源于Google Chrome 旧版本中 V8 JavaScript 引擎的越界读写问题。攻击者可通过构造的 HTML 页面利用此漏洞触发堆损坏。 谷歌威胁分析小组 (Google Threat Analysis Group) 的 Clement Lecigne 和 Benoît Sevens 于 2025 年 5 月 27 日报告了该漏洞，次日（2025 年 5 月 28 日）通过向所有 Chrome Stable 平台应用配置更新解决了该问题。 公告中写道：“Google 已知悉针对 CVE-2025-5419 漏洞的利用程序已在野存在。” Chrome Stable 已更新至 137.0.7151.68/.69（适用于 Windows 和 Mac）以及 137.0.7151.68（适用于 Linux），将在未来几天内推送。 与往常一样，公司未披露利用此漏洞进行攻击的技术细节。 Google 还修复了一个中危漏洞，被追踪为 CVE-2025-5068，这是 Blink 渲染引擎中的一个释放后使用 (use-after-free) 问题。Walkman 于 2025 年 4 月 7 日报告了该漏洞。 在 2025 年 3 月，Google 曾发布其他计划外补丁，以修复自年初以来首个遭在野利用的 Chrome 零日漏洞。该漏洞是 Windows 版 Chrome 浏览器中的一个高危安全问题，被追踪为 CVE-2025-2783。 该漏洞是 Windows 上 Mojo 在未明确情况下提供错误句柄所致。卡巴斯基研究人员 Boris Larin (@oct0xor) 和 Igor Kuznetsov (@2igosha) 于 2025 年 3 月 20 日报告了该漏洞。卡巴斯基研究人员报告称，该漏洞在针对俄罗斯组织的攻击中被积极利用。 Mojo 是 Google 用于基于 Chromium 的浏览器的 IPC（进程间通信）库，管理着用于安全通信的沙盒进程。在 Windows 上，它增强了 Chrome 的安全性，但过去的漏洞曾导致沙箱逃逸和权限提升。 Google 未分享有关利用此漏洞进行攻击的细节或幕后威胁行为者的身份信息。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球第二大汽车制造商大众汽车表示，其正在调查一起数据泄露声明。截至目前，该公司尚未发现任何系统被入侵或客户数据暴露的迹象。 黑客组织声称的大众汽车集团数据泄露事件可能只是虚张声势，因为未检测到任何未经授权的访问。虽然公司知晓相关声明，但迄今没有迹象表明攻击者访问了其任何系统。 “就目前情况而言，根据内部调查的现有认知，没有发生外部第三方对客户个人数据或敏感公司数据的未经授权访问。因此，也未发现此类数据被滥用，”大众汽车集团发言人告诉Cybernews。 该汽车制造商表示将继续调查所有可用信息，以排除对公司或其客户造成任何损害的可能性。大众发言人补充说，“如果证明有助于进一步的全面澄清”，公司将让执法部门参与调查。 “我们非常严肃地对待任何关于数据被未经授权访问的报告。我们会立即跟进实质性报告并仔细调查。如果未经授权访问和使用数据的嫌疑得到证实，我们始终会联系相关当局，”发言人表示。 本周早些时候，Stormous勒索软件团伙在其用于展示最新受害者的暗网泄密网站上列出了大众集团。该威胁行为者声称他们获取了用户账户数据、身份验证令牌、身份与访问控制数据以及其他各种详细信息。 根据Cybernews的暗网追踪器Ransomlooker，Stormous在过去12个月中攻击了34个组织。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews 研究人员发现了一起影响美国公民医疗数据的大规模泄露事件。大约 270 万名患者的资料和 880 万条预约记录对任何知道查看位置的人来说都是完全开放的。 此次泄露是由一个未设置安全防护的 MongoDB 数据库引起的。数据所有者尚未得到官方确认，但数据库中埋藏的线索指向了 Gargle 公司。 该公司专门为牙科诊所提供营销、搜索引擎优化（SEO）和网站开发服务。虽然 Gargle 本身并非医疗保健提供者，但其业务模式依赖于处理面向患者的基础设施，在此案例中，可能还包括患者数据。 目前尚不清楚该数据库暴露了多长时间，或者在锁定之前谁可能访问过它。在 Cybernews 告知该公司有关泄露事件后，该数据集已被保护起来。目前尚未收到该公司的评论。 泄露了哪些数据？ 姓名 出生日期 电子邮件地址 住址 电话号码 性别 病历 ID 语言偏好 账单详情 包含患者元数据、时间戳和机构参考信息的预约记录 泄露是如何发生的？ MongoDB 数据库为数以千计的现代网络应用程序提供支持，从电子商务平台到医疗门户网站。在此案例中，泄露很可能源于一个常见且常被忽视的漏洞：由于人为错误，数据库在没有适当身份验证的情况下被暴露。 正如 Cybernews 的研究所示，这是一个持续困扰着各种规模和行业的公司的盲点。Gargle 在其网站上强调，其设计的 SEO 优化网站通过鼓励用户预约来提升转化率。 该公司还提供实时预约安排、患者沟通、支付处理和在线表格提交等集成服务。所有这些服务都是关键接触点，如果未进行安全配置，就可能成为攻击者的入口。暴露的医疗数据很可能与这些第三方服务相关的内部基础设施中泄露。 泄露的医疗数据如何被利用？ 泄露的数据集包含属于美国患者的深度敏感信息：已验证的手机号码、家庭住址、账单分类和机构 ID。孤立地看，其中任何一个数据点可能危害不大。但捆绑在一起，它们就构成了个人身份的全面蓝图。这类数据为各种滥用行为打开了大门。身份盗窃是唾手可得的果实，攻击者可以冒充受害者以获取经济利益。 有了医疗数据，风险就变得严重得多。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。受害者还容易受到精心设计的钓鱼攻击和社会工程攻击。如此大规模的泄露事件，引发了关于其不遵守《健康保险流通与责任法案》（HIPAA）的严重质疑。根据该法规，处理患者数据的公司有法律义务采取严格的安全措施来保护数据。 应对策略 该公司应通知受影响的个人，并按照 HIPAA 要求公开披露此事件。如果您最近有牙科预约，并怀疑您的数据可能受到此次泄露的影响，请警惕钓鱼攻击。对任何提及医疗保健提供者或医疗历史的不请自来的电子邮件要格外小心。请密切关注您的医疗和保险记录，留意未经授权的索赔或活动迹象，并考虑注册身份盗窃监控服务。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越来越多的恶意活动利用了一种名为Crocodilus的新发现安卓银行木马，针对欧洲和南美用户。 根据ThreatFabric发布的一份新报告，该恶意软件还采用了改进的混淆技术来阻碍分析和检测，并新增了在受害者联系人列表中创建新联系人的能力。 荷兰安全公司ThreatFabric表示：“近期活动显示，多个攻击活动在继续针对土耳其的同时，已将欧洲国家纳入目标范围，并正将攻击版图向全球扩展至南美洲。” Crocodilus木马于2025年3月首次被公开披露，当时它通过伪装成谷歌Chrome等合法应用，主要针对西班牙和土耳其的安卓设备用户。该木马具备发起覆盖攻击的能力，攻击目标是从外部服务器获取的一系列金融应用列表，目的是窃取凭证。 它还会滥用辅助功能权限来捕获与加密货币钱包关联的助记词，这些助记词随后可被用于盗取钱包中存储的虚拟资产。 ThreatFabric的最新发现表明，该恶意软件的地理攻击范围正在扩大，并且其功能和特性也在持续开发增强，这表明其背后的运营者正在对其进行积极维护。 研究发现，针对波兰的部分攻击活动利用Facebook上的虚假广告作为传播媒介，这些广告模仿银行和电子商务平台，诱骗受害者下载应用以领取所谓的奖励积分。试图下载该应用的用户会被引导至一个恶意网站，该网站会投放Crocodilus的安装器（dropper）。 其他针对西班牙和土耳其用户的攻击波次则伪装成网络浏览器更新和在线赌场。阿根廷、巴西、印度、印度尼西亚和美国也是该恶意软件锁定的目标国家。 除了采用各种混淆技术增加逆向工程分析的难度外，新变种的Crocodilus还具备在收到“TRU9MMRHBCRO”命令后，向受害者联系人列表添加指定联系人的能力。 据推测，此功能旨在应对谷歌在安卓系统中引入的新安全防护措施——当用户在与未知联系人进行屏幕共享期间启动银行应用时，系统会发出可能的诈骗警报。 ThreatFabric分析称：“我们认为其意图是添加一个具有说服力名称（如‘银行客服’）的电话号码，使攻击者能够以看似合法的身份呼叫受害者。这也可能绕过那些标记未知号码的欺诈预防措施。” 另一个新功能是自动化的助记词收集器，它利用解析器来提取特定加密货币钱包的助记词和私钥。 该公司总结道：“涉及Crocodilus安卓银行木马的最新攻击活动，标志着该恶意软件在技术复杂性和操作范围上都发生了令人担忧的演变。值得注意的是，其攻击活动不再局限于特定区域；该木马已将触角延伸至新的地理区域，凸显出其已转变为真正的全球性威胁。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 警方称，马来西亚内政部长的WhatsApp账号遭黑客入侵并被用于向联系人发送恶意链接。 当局在周五的新闻发布会上表示，攻击者据称使用虚拟专用网络（VPN）入侵了Datuk Seri Saifuddin Nasution Ismail的账号，目前尚无受害者报告经济损失。警方未详细说明入侵手法。 负责监管执法、移民和审查事务的内政部已确认该事件，并敦促公众勿回应任何自称来自部长的信息或电话，尤其是涉及财务或个人要求的通讯。 此次数据泄露事件正在调查中，执法部门正全力追踪黑客位置。 手机钓鱼诈骗在马来西亚日益猖獗。当地媒体报道称，诈骗分子常冒充警察、银行职员或法院代表实施犯罪。 近期WhatsApp事件与此前针对其他高级官员的攻击如出一辙： 2025年3月：诈骗分子劫持议长乔哈里·阿卜杜勒的WhatsApp账号，诱骗其联系人汇款； 2022年：黑客入侵前总理伊斯梅尔·萨布里的Telegram和Signal账号； 2015年：黑客控制马来西亚皇家警察的Twitter和Facebook账号，发布支持伊斯兰国组织的信息。 Nasution Ismail因账号被黑事件遭遇网络批评与嘲讽。当地媒体指出，鉴于该国最高安全官员竟遭黑客成功攻击，民众对马来西亚网络安全措施的有效性提出质疑。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奢侈品牌卡地亚向客户发出警告称，其系统遭入侵后发生数据泄露事件，导致客户个人信息外泄。 卡地亚在今日发送并由收件人于社交媒体分享的通知函中披露，黑客入侵其系统并窃取了少量客户信息。“特此告知您，未经授权方曾短暂访问我方系统并获取了少量客户信息，”卡地亚在数据泄露通知中声明，“我们已控制事态，并进一步强化了系统及数据的防护措施。” 据该公司透露，泄露信息包括客户姓名、电子邮箱地址及居住国家。卡地亚强调，此次泄露不涉及密码、信用卡号或银行账户详情等敏感数据。但公司警告失窃数据可能被用于定向攻击，建议客户对未经请求的可疑通信保持警惕。“鉴于数据性质，建议您警惕任何未经请求的通信及其他可疑信函，”通知补充道。 卡地亚表示已就事件通报执法部门，并正与外部网络安全公司合作处理漏洞。BleepingComputer曾联系卡地亚询问事件发生时间及受影响人数等细节，但截至发稿未获回复。 时尚品牌接连遇袭 此次事件发生前，近月已有多家时尚品牌披露类似安全事故： 五月，迪奥（Dior）在系统遭威胁分子入侵后坦承数据泄露，客户联系方式、购买记录及消费偏好被窃 同月，阿迪达斯（Adidas）因某第三方服务商系统失陷导致数据泄露，攻击者获取联系方式但未触及支付信息或账户凭证 上周，维多利亚的秘密（Victoria’s Secret）因持续安全事件下线官网并暂停部分门店服务，与卡地亚、迪奥及阿迪达斯相同，该品牌已联合网络安全专家启动调查。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国MainStreet银行披露其合作供应商遭网络攻击，导致约5%客户敏感信息泄露。该行在提交美国证交会（SEC）的文件中表示，3月获知供应商系统被入侵后，立即终止了全部合作。4月下旬完成事件范围审查，未回应具体受害人数及信息类型的质询。 这家总部位于弗吉尼亚的银行在华盛顿特区设有55,000台ATM机及分支机构。调查确认银行自身系统未受入侵，未发生异常交易，客户账户资金安全无虞。银行已于5月26日通知监管机构及客户，并为受害人建立可疑活动监测系统。 银行声明该事件未产生重大运营影响。最新财报显示存款约19亿美元，净利润250万美元——而2024年该行曾亏损998万美元。 此次披露正值美国五大银行协会联合致函SEC要求废除网络安全事件强制披露规定之际。该2023年生效的规章遭国会与银行业持续抨击，被指增加合规风险成本、未能产生有效投资决策信息，反而“阻碍资本形成机制”。银行协会表示行业担忧已成现实：注册企业被迫在调查未完成时公开事件，导致市场获得无效信息，且黑客已将披露要求武器化——2023年阿尔法维勒索团伙就以此要挟金融软件公司MeridianLink，此类威胁正持续增多。 主要争议点聚焦于事件“重大性”判断标准：当前32份披露文件中仅9份在初报中确认重大影响，补充报告后总量也仅11份。协会指出标准混乱加剧市场不确定性，违背监管初衷。金融机构目前实际需遵守至少10项保密报告要求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国非营利医疗集团Covenant Health遭遇网络攻击，其运营的三家医院紧急关闭所有系统以控制安全事件影响。圣玛丽医疗系统公告称：“当前系统临时故障影响部分电话及病历系统，医疗服务仍在继续，但部分科室候诊时间可能延长”。新罕布什尔州圣约瑟夫医院则通知：“5月27日门诊实验室服务临时调整，仅主院区可接收持纸质检验单的患者”。 这家天主教背景的区域医疗集团在新英格兰地区运营多家医院、养老院及辅助生活机构。2025年5月26日爆发的网络攻击使其旗下医院、诊所全面断网，目前尚不确定是否涉及数据窃取或勒索软件。院方已聘请顶级网络安全专家介入调查，核心医疗服务仍维持运转，但部分系统及检验科室受到影响。 除圣约瑟夫医院外，缅因州两家医疗机构同样遭波及，院方建议患者按原计划就诊。“发现网络异常后，我们立即切断了所有医疗机构的数据系统访问权限，”集团发言人表示，“正全力保障正常医疗服务，患者可照常赴约，如有疑问请咨询主治医生办公室”。截至发稿，尚无勒索组织宣称对事件负责。 2025年美国医疗系统频遭网络攻击：3月RansomHouse团伙宣称窃取芝加哥洛雷托医院1.5TB敏感数据；4月Interlock勒索组织攻击肾脏透析巨头DaVita并泄露数据。据记录，2024年全美医疗机构遭遇98起勒索攻击，涉及1.17亿条记录，典型案例如Change Healthcare（1亿条）、波士顿儿童健康医生集团（90.9万条）等数据泄露事件。医院遭遇攻击后往往被迫启用纸质化应急流程。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 若企业主、关键基础设施实体员工或政府部门/机构人员遭遇勒索软件攻击并支付赎金，须依法向澳大利亚当局报告。 年营业额达300万澳元及以上的组织，须在支付赎金后72小时内向澳大利亚信号局（ASD）报告勒索软件或网络勒索付款情况，关键基础设施相关组织同样适用此规定。报告须包含企业及联系人信息、网络安全事件全部已知细节：事件发现时间、被利用漏洞、勒索软件变种或恶意软件类型、攻击责任方、企业自身或第三方中介支付的具体金额，以及与威胁行为者的所有通信记录。 若未支付赎金则无强制报告义务。例如仅收到勒索要求但拒绝付款时，无需上报事件。 ASD强调，无论网络安全事件是否源自境外或影响海外实体，均不影响报告义务。“若受影响的报告企业（直接或间接受害）收到勒索要求并选择付款，必须提交报告”，ASD在常见问题解答（FAQ）中明确说明。 强制付款报告制度已于5月30日（周五）生效。2025年底前的初始阶段将重点开展合规宣传而非立即处罚。逾期72小时未提交赎金报告的企业将面临19,800澳元罚款。 澳大利亚成为全球首个推行强制赎金报告制度的国家。此举早有预兆——去年该国政府实体、关键基础设施和企业持续遭受国家背景黑客组织的攻击。ASD在年度网络威胁报告中指出：“这些行为体为实现国家目标开展网络行动，包括间谍活动、恶意影响、干涉胁迫，以及预置网络破坏能力。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧美执法机构宣布取缔全球最猖獗的反杀毒软件（CAV）服务平台AVCheck。该平台允许恶意软件开发者检测其代码能否被商业杀毒工具识别，从而设计更隐蔽有效的恶意软件。 荷兰国家警察5月31日通报，其与美国、芬兰执法部门协同捣毁该平台，重创网络犯罪生态关键环节。荷兰高科技犯罪调查组负责人Matthijs Jaspers称此为打击网络犯罪的“重要一步”：“此举将提前阻断犯罪链条，保护潜在受害者。多年调查已掌握AVCheck及其关联服务Cryptor.biz、Crypt.guru管理员与用户的关键证据。” 查封公告以英俄双语发布，指出行动成功“源于管理员的失误”，并强调：“管理员未能兑现其安全承诺。执法部门已接管AVCheck服务器，查获含用户名、邮箱、支付信息等的用户数据库。”调查人员正据此追查该服务的犯罪使用者。 此次5月27日的取缔行动与2024年5月启动的“终局行动”密切相关——该行动旨在打击传播IcedID、SystemBC等初始入侵恶意软件的犯罪网络。Jaspers表示：“网络罪犯追踪难度高，必须通过跨国协作与公私合作提升数字安全防御能力。”美国司法部声明呼应此观点，检察官Nicholas Ganjei指出：“现代犯罪威胁需要现代执法手段。端掉此类恶意工具供应商，相当于切断网络犯罪的输血通道。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 预装应用曝高危漏洞！Ulefone与Krüger&Matz安卓设备存在三项安全缺陷，可致任意应用触发恢复出厂设置及加密应用。漏洞详情如下： CVE-2024-13915（CVSS评分6.9） Ulefone与Krüger&Matz设备预装的“com.pri.factorytest”应用暴露“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置。 CVE-2024-13916（CVSS评分6.9） Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法（路径：com.android.providers.settings.fingerprint.PriFpShareProvider）允许恶意应用窃取用户设置的PIN码——该PIN码本用于通过生物识别或手动输入加密任意应用。 CVE-2024-13917（CVSS评分8.3） 同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。 虽然利用CVE-2024-13917需知晓PIN码，但结合CVE-2024-13916的PIN窃取能力可形成完整攻击链。波兰计算机应急响应中心（CERT Polska）披露漏洞并致谢研究员Szymon Chadam，目前厂商修复状态尚不明确。The Hacker News已联系涉事企业，将及时更新进展。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一场新的鱼叉式钓鱼攻击活动正在利用名为 Netbird 的合法远程访问工具，针对欧洲、非洲、加拿大、中东和南亚地区的银行、能源公司、保险公司和投资公司的首席财务官（CFO）和财务高管。 “这似乎是一场多阶段的钓鱼行动，攻击者的目标是在受害者的计算机上部署 NetBird，一种基于 WireGuard 的合法远程访问工具，” Trellix 研究员 Srini Seethapathy 在一份分析报告中表示。该活动由该网络安全公司于 2025 年 5 月中旬首次发现，尚未归因于任何已知的威胁行为者或组织。 攻击的起点是一封冒充 Rothschild & Co 公司招聘人员的钓鱼邮件，声称提供该公司的“战略机会”。该邮件旨在诱使收件人打开一个声称是 PDF 附件的内容，实际上这是一个钓鱼链接，会将他们重定向到一个托管在 Firebase 应用上的 URL。 此次感染的一个显著特点是，真正的重定向 URL 以加密形式存储在页面中，只有在受害者通过验证码（CAPTCHA）验证检查后才能访问，最终导致下载一个 ZIP 压缩包。 “解决验证码谜题会执行一个 [JavaScript] 函数，该函数使用硬编码密钥对其进行解密，并将用户重定向到解密后的链接，” Seethapathy 说。“攻击者越来越依赖这些自定义的验证码关卡，希望能绕过那些已经标记了受 Cloudflare Turnstile 或 Google reCAPTCHA 保护的钓鱼网站的防御系统。” 压缩包中包含一个 Visual Basic 脚本（VBScript），负责从外部服务器检索下一阶段的 VBScript 并通过 “wscript.exe” 启动它。这个第二阶段的 VBScript 下载器随后从同一服务器获取另一个有效载荷，将其重命名为 “trm.zip”，并从中提取两个 MSI 文件：NetBird 和 OpenSSH。 最后阶段涉及在受感染主机上安装这两个程序、创建一个隐藏的本地账户、启用远程桌面访问，并通过计划任务（例如在系统重启时自动启动）使 NetBird 持久化。该恶意软件还会删除任何 NetBird 桌面快捷方式，以确保受害者无法发现入侵。 Trellix 表示，他们还识别出另一个活跃了近一年的重定向 URL，提供相同的 VBScript 有效载荷，表明该活动可能已存在一段时间。 这些发现再次表明，对手越来越依赖合法的远程访问应用程序（如 ConnectWise ScreenConnect、Atera、Splashtop、FleetDeck 和 LogMeIn Resolve）来建立持久性，并利用其深入受害者网络，同时规避检测。 “这次攻击并非典型的钓鱼骗局，” Seethapathy 说。“它精心设计、目标明确、手法隐蔽，旨在绕过技术和人员的防御。这是一个多阶段的攻击，对手利用社会工程学和防御规避技术来创建并维持对受害者系统的持久访问。” 该披露恰逢在野发现各种基于电子邮件的社交工程活动： 滥用与知名日本互联网服务提供商 (ISP) 关联的可信域名发送钓鱼邮件，邮件地址为 “company@nifty[.]com”，试图绕过电子邮件身份验证检查并窃取凭证。 滥用 Google Apps Script 开发平台托管看似合法的钓鱼页面，通过发票主题的邮件诱饵窃取 Microsoft 登录凭证。 模仿 Apple Pay 发票窃取敏感用户数据，包括信用卡详情和 Yahoo Mail 账户信息。 滥用 Notion 工作区托管钓鱼页面，诱使用户点击链接，在查看共享文档的幌子下将受害者带到虚假的 Microsoft 登录页面，并通过 Telegram 机器人窃取凭证。 利用 Microsoft Office 中一个存在多年的安全漏洞 (CVE-2017-11882) 来投递隐藏在虚假 PNG 文件中的 Formbook 恶意软件变种，并从受感染主机窃取敏感数据。 这些发现也出现在 Trustwave 详细说明 Tycoon 和 DadSec（又名 Phoenix）钓鱼工具包之间运营联系之际，强调了它们的基础设施重叠以及集中式钓鱼基础设施的使用。DadSec 是由 Microsoft 以代号 Storm-1575 追踪的威胁行为者的作品。 “DadSec 使用的基础设施也与一个利用 ‘Tycoon 2FA’ 钓鱼即服务 (PhaaS) 平台的新活动相关联，” Trustwave 研究人员 Cris Tomboc 和 King Orande 说。“对 Tycoon2FA 钓鱼工具包的调查揭示了对手如何在钓鱼即服务 (PhaaS) 生态系统中持续完善和扩展其策略。” PhaaS 服务日益普及的证据是，出现了一个名为 Haozi 的新“即插即用”中文工具包。据估计，该工具包在过去五个月中通过向第三方服务销售广告，促成了价值超过 28 万美元的犯罪交易。它以每年 2000 美元的订阅费运营。 “与需要攻击者手动配置脚本或基础设施的传统钓鱼工具包不同，Haozi 提供了一个简洁的公共网络面板，” Netcraft 说。“一旦攻击者购买服务器并将其凭据输入面板，钓鱼软件就会自动设置，无需运行任何命令。” “这种无摩擦的设置与其他 PhaaS 工具（如支持 AI 的 Darcula 套件）形成对比，后者仍需少量命令行操作。” 除了支持管理员面板（用户可以在一个地方管理所有活动）外，Haozi 还被发现提供广告位，充当中间人连接钓鱼工具包买家与第三方服务（例如与短信供应商相关的服务）。 Haozi 区别于其他工具包的另一个方面是，它有一个专门的售后 Telegram 频道 (@yuanbaoaichiyu)，帮助客户调试问题和优化活动，这使其成为那些没有技术专长的网络犯罪新手的诱人选择。 “随着企业安全团队在检测和应对入侵尝试方面变得更加有效，攻击者正在部署社会工程学和钓鱼诈骗等策略，这些策略不需要突破加固的边界，” Netcraft 研究员 Harry Everett 说。 “PhaaS 产品通过自动化和社区支持降低了技能门槛并扩大了活动规模。这些新模式运作起来更像是 SaaS 企业而非黑市黑客组织，拥有订阅定价、客户服务和产品更新等全套服务。” Microsoft 在上周发布的一份公告中进一步揭示了随着多因素身份验证 (MFA) 的普及，PhaaS 平台如何日益推动中间人攻击 (AiTM) 凭证钓鱼。 其他一些技术包括设备代码钓鱼；OAuth 同意钓鱼（威胁行为者利用开放授权 (OAuth) 协议发送包含第三方应用程序恶意同意链接的电子邮件）；设备加入钓鱼（威胁行为者使用钓鱼链接诱骗目标授权其控制的设备加入域）。 这家 Windows 制造商表示，观察到疑似与俄罗斯有关的威胁行为者使用第三方应用程序消息或提及即将举行的会议邀请的电子邮件来投递包含有效授权码的恶意链接。设备加入钓鱼技术由 Volexity 在 2025 年 4 月首次记录。 “虽然最终用户和自动化安全措施在识别恶意钓鱼附件和链接方面都变得更有能力，但动机明确的威胁行为者继续依赖利用人类行为进行有说服力的诱骗，” Microsoft 身份部门企业副总裁兼副首席信息安全官 Igor Sakhnov 表示，“由于这些攻击依赖于欺骗用户，用户培训和了解常见的社会工程学技术是防御它们的关键。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部宣布制裁菲律宾科技公司Funnull Technology，该公司通过运营数十万个恶意网站支持网络诈骗活动，造成美国民众损失超2亿美元。Funnull通过批量采购云服务IP地址并向网络罪犯出售这些地址及托管服务，为虚拟货币投资骗局（即“杀猪盘”骗局）提供基础设施支持。 此类骗局中，犯罪分子通过交友网站、社交媒体和即时通讯应用接触受害者，建立信任后诱使其参与虚假投资计划。诈骗者将资金转移至其控制的账户而非实际投资，最终窃取受害人财产。该公司利用域名生成算法（DGA）批量生成独特域名，并为犯罪团伙提供仿冒知名品牌的网站模板，同时协助其快速切换IP地址和域名以规避封禁措施。 “向联邦调查局（FBI）报告的虚拟货币投资诈骗网站中，绝大多数与Funnull存在关联，”美国财政部外国资产控制办公室（OFAC）周四声明指出，“美国受害者因此类诈骗网站造成的损失总额超过2亿美元，人均损失逾15万美元。” 制裁令生效后，美国公民及机构禁止与Funnull进行任何交易，其在美资产将被冻结。与之开展交易的金融机构及外国实体亦可能面临处罚。 FBI同步发布技术警报披露关键指标： 2025年1月至今识别出548个专属Funnull规范名（CNAME） 关联超33.2万个独立域名 2023年2月至2025年4月间，抽样分析的8个域名呈现三种CNAME活动模式 2023年10月至2025年4月期间，使用Funnull基础设施的域名观测到多类IP活动模式 数百个域名在同一时间段内集体迁移IP地址 FBI上月披露数据显示：2024年网络罪犯从美国民众处窃取创纪录的166亿美元，其中投资诈骗造成逾65亿美元损失，较上年激增33%。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文