HackerNews

HackerNews 编译，转载请注明出处： 由前MTV高管创立的澳大利亚最热门创意招聘平台The Loop于2024年关闭，但其用户敏感数据至今仍在泄露。该平台错误配置的Google Cloud存储桶导致210万份文件泄露，包括含全名、地址、电话号码、邮箱及完整职业履历的简历。利用这些数据，诈骗者可实施高度定向的钓鱼攻击、语音钓鱼和短信钓鱼，将用户置于风险之中。截至目前，尚未有任何机构采取行动保护这些数据。 2025年2月，Cybernews安全研究人员偶然发现了本不该暴露于世的秘密：一个配置错误的Google Cloud存储桶向全网开放，其中存放着210万份文件。泄露的文件包含高度敏感信息，例如原始简历（含全名、家庭地址、电话号码、电子邮箱以及详细的职业与教育经历）。 简而言之，这些数据为诈骗者提供了伪装成你本人或通过虚假职位窃取银行信息所需的一切。 The Loop泄露了哪些数据？ 含教育及职业背景的简历 全名 家庭地址 电子邮箱 电话号码 该平台由MTV前高管Pip Jamieson和Matt Fayle创立，声称拥有10万名注册艺术家用户，并与1.6万家企业建立联系。 Cybernews尝试联系该公司及计算机应急响应组（CERT），但未收到任何回应。 这种包含完整个人档案的数据泄露犹如一场“灾难自助餐”，尤其当受害者是依赖网络声誉接案的创意工作者和自由职业者时， 凭借详细简历，诈骗者可制作极度逼真的个性化钓鱼邮件。试想收到一封提及你真实职位名称、过往客户甚至日常使用工具的邮件——所有这些信息均从你的简历中提取。邮件可能附带虚假职位邀约、待签署合同，或要求你“验证身份”（需提供护照复印件）。当诈骗者掌握你的电话号码和背景信息时，语音钓鱼和短信钓鱼将变得极具说服力。例如，接到自称来自你曾实际应聘的创意机构的电话，要求“最终确认”银行信息。利用你的姓名、地址、生日、邮箱、电话号码及职业履历，诈骗者可伪装成你向客户或雇主发送虚假发票。 对某些人而言，这种场景看似难以置信。因此，让我们回顾史上最猖獗的网络诈骗案例：一名立陶宛男子通过伪造发票邮件诱骗Facebook和Google向其转账超1亿美元。这两家全球科技巨头在两年间持续付款且未提出任何质疑。试想，中小企业落入此类陷阱的难度将低得多。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周三发布带外（out-of-band）操作系统更新，修复两个已被用于针对少量iOS设备的“极其复杂”攻击的安全漏洞。 这两个漏洞编号为CVE-2025-31200和CVE-2025-31201，分别被归类为代码执行漏洞和安全缓解措施绕过漏洞，影响iOS、iPadOS及macOS平台。苹果称已收到报告，确认这些漏洞被用于针对特定iPhone目标的高端攻击。 CoreAudio组件漏洞（CVE-2025-31200） 处理恶意构造的媒体文件中的音频流时可能触发代码执行。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此内存损坏问题通过改进边界检查修复。该漏洞由谷歌威胁分析小组（TAG）报告。 RPAC组件漏洞（CVE-2025-31201） 具备任意读写能力的攻击者可能绕过指针认证（Pointer Authentication）机制。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此问题通过移除漏洞代码修复。（注：指针认证是ARM架构中的安全功能，用于检测指针是否被篡改） 漏洞补丁已覆盖所有运行macOS Sequoia系统的设备，但苹果强调目前仅观察到少量针对iPhone的攻击实例。 依照惯例，苹果未公开实际攻击的技术细节或入侵指标（IOCs）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁监测平台Shadowserver基金会报告称，超过16,000台置身于互联网的Fortinet设备被检测到感染了一种新型符号链接（symlink）后门，攻击者可借此获取对先前已遭入侵设备的敏感文件的只读访问权限。 此前，该平台曾报告14,000台设备受影响。目前，Shadowserver的Piotr Kijewski向BleepingComputer证实，该网络安全组织已检测到16,620台设备受此最新曝光的持久化机制影响。 上周，Fortinet警告客户称发现攻击者利用一种新型机制，在已修复漏洞但先前遭入侵的FortiGate设备上保留对根文件系统的远程只读访问权限。 Fortinet表示，此攻击并非利用新漏洞，而是与2023年至2024年的攻击行为相关。攻击者当时通过零日漏洞入侵FortiOS设备，并在启用SSL-VPN的设备上创建指向根文件系统的语言文件夹符号链接。由于启用SSL-VPN的FortiGate设备的语言文件可公开访问，攻击者可通过该文件夹持续获取根文件系统的只读权限（即使原始漏洞已被修复）。 Fortinet在声明中解释：攻击者利用已知漏洞对存在缺陷的FortiGate设备实施只读访问。其通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接实现。该修改发生于用户文件系统内，因此未被检测到。 即使客户设备已升级修复原始漏洞的FortiOS版本，此符号链接可能仍残留，使攻击者能持续读取设备文件系统内的配置等文件。 本月，Fortinet开始通过邮件私下通知被FortiGuard检测到感染符号链接后门的FortiGate设备用户。 Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接。最新固件版本也已更新检测与清除功能，并阻止内置Web服务器提供未知文件/目录访问。 若设备被检测为已入侵，攻击者可能已获取包含凭证的最新配置文件。因此，Fortinet建议管理员重置所有凭证，并遵循官方指南中的其他操作步骤。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种与已知后门程序BPFDoor相关的新型控制器组件。该组件被用于2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击。 趋势科技研究员Fernando Mercês在本周发布的技术报告中指出：该控制器可开启反向Shell，使攻击者通过横向移动深入受感染网络，控制更多系统或获取敏感数据。 该活动被中等置信度归因于追踪代号为Earth Bluecrow的威胁组织（亦被称为DecisiveArchitect、Red Dev 18和Red Menshen）。置信度较低的原因是BPFDoor恶意软件源代码已于2022年泄露，意味着其他黑客组织可能也在使用该工具。 BPFDoor是一款Linux后门程序，最早于2022年曝光。公开披露前至少一年，该恶意软件已被用作针对亚洲和中东实体的长期间谍工具。 其最显著特点是能为攻击者创建持久且隐蔽的通道，长期控制受感染工作站并窃取敏感数据。 该恶意软件得名于其使用的伯克利数据包过滤器（BPF）技术。该技术允许程序将网络过滤器附加到开放套接字，通过检查传入数据包并监测特定Magic Byte序列触发恶意行为。 Mercês解释：由于目标操作系统对BPF的实现方式，即使防火墙拦截了数据包，Magic Packet仍能触发后门——当数据包抵达内核的BPF引擎时，驻留的后门即被激活。此类特性常见于Rootkit，但在后门程序中极为罕见。 趋势科技最新分析发现，受攻击的Linux服务器还被一种此前未记录的恶意控制器感染。该控制器用于在横向移动后访问同一网络内其他受感染主机。 Mercês补充：控制器在发送BPFDoor植入的BPF过滤器所检测的Magic Packet前，会要求用户输入密码，该密码也将在BPFDoor端进行验证。 随后，控制器会根据提供的密码和命令行选项，指示受感染设备执行以下操作之一： 开启反向Shell 将新连接重定向至指定端口的Shell 确认后门处于活跃状态 需特别指出的是，控制器发送的密码必须与BPFDoor样本中的硬编码值匹配。该控制器除支持TCP、UDP和ICMP协议控制受感染主机外，还可启用加密模式确保通信安全。 此外，控制器支持直接模式（Direct Mode）——当输入正确密码时，攻击者可直连受感染设备并获取远程访问Shell。 Mercês警告：BPF为恶意软件开发者开启了未被探索的新可能。作为威胁研究人员，必须通过分析BPF代码为未来威胁做好准备，这将帮助组织抵御基于BPF的攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者正在利用一款名为Gamma的AI演示平台进行钓鱼攻击，将毫无戒心的用户引导至仿冒的微软登录页面。 Abnormal Security研究人员Callie Hinman Baron和Piotr Wojtyla在周二的分析报告中指出：“攻击者将Gamma（一种相对较新的基于AI演示工具）武器化，通过其向受害者发送虚假微软SharePoint登录门户的链接。” 攻击链始于钓鱼邮件（某些情况下通过合法但被入侵的邮箱账户发送），诱导收件人打开嵌入的PDF文档。 实际上，该PDF附件仅包含一个超链接。点击后，受害者会被重定向至托管在Gamma平台上的演示页面，并被提示点击“查看安全文档”按钮。 此操作会将用户带到一个仿冒微软的中间页面，要求他们在访问所谓文档前完成Cloudflare Turnstile验证步骤。这一验证码（CAPTCHA）环节既增强了攻击的真实性，也阻止了安全工具对链接进行自动化分析。 随后，目标用户将被导向伪装成微软SharePoint登录门户的钓鱼页面，攻击者试图窃取其凭证。 研究人员指出：“若用户输入错误凭证，页面会显示‘密码错误’提示，这表明攻击者使用了某种实时验证凭证的中间人（AiTM）手段。” 这一发现反映了当前钓鱼攻击的普遍趋势：攻击者滥用合法服务托管恶意内容，绕过SPF、DKIM、DMARC等邮件认证检查——这种技术被称为依赖可信站点生存（LOTS）。 研究人员表示：“这场复杂的多阶段攻击表明，如今的威胁行为者正利用小众工具产生的盲区规避检测、欺骗用户并实施账户入侵。” “攻击者并未直接链接至凭证窃取页面，而是将用户重定向至多个中间环节：首先是Gamma托管的演示页面，随后是受Cloudflare Turnstile保护的跳转页，最终到达仿冒的微软登录页面。这种多阶段跳转隐藏了真实目标，使静态链接分析工具难以追踪攻击路径。” 此次披露恰逢微软在其最新《网络信号》报告中警告称，AI驱动的欺诈攻击正在激增。攻击者利用深度伪造、语音克隆、钓鱼邮件、高仿假网站及虚假招聘信息生成可信内容以扩大攻击规模。 微软表示：“AI工具可扫描并抓取网络上的企业信息，帮助攻击者构建员工或其他目标的详细档案，从而设计极具说服力的社交工程诱饵。” “在某些案例中，攻击者通过伪造的AI增强产品评论和AI生成的网店页面，诱骗受害者陷入日益复杂的欺诈计划。诈骗者甚至创建完整的网站和电商品牌，编造虚假企业历史与客户评价。” 微软还宣布已对Storm-1811（又名STAC5777）组织的攻击采取行动。该组织通过Teams实施语音钓鱼（vishing），伪装成IT支持人员，诱骗受害者授予其设备远程访问权限以部署后续勒索软件。 然而，有证据表明，这场Teams钓鱼活动的幕后团伙可能正在改变策略。ReliaQuest最新报告显示，攻击者采用了一种此前未公开的持久化手段——通过TypeLib COM劫持和新型PowerShell后门逃避检测并维持对入侵系统的访问。 据称，该威胁组织自2025年1月起开发多版PowerShell恶意软件，早期版本通过恶意Bing广告投放。两个月后发现的攻击活动瞄准金融、专业服务及科技行业客户，重点针对女性化名字的高管层员工。 攻击链后期阶段的策略变化引发猜测：Storm-1811可能正在升级手法，或是分支组织所为，亦或是其他威胁行为者复制了其独有的初始入侵技术。 ReliaQuest指出：“钓鱼聊天信息的时间经过精心设计，集中在下午2点至3点之间（与目标组织的当地时间完全同步），利用员工午后警惕性较低的时段实施攻击。” “无论此次微软Teams钓鱼活动是否由Black Basta组织发起，可以肯定的是，通过Teams实施的钓鱼攻击不会消失。攻击者持续寻找绕过防御并潜伏在组织内部的巧妙方法。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周三透露，该公司在2024年暂停了超过3920万个广告主账户，其中大部分账户在其向用户推送有害广告之前已被系统识别并拦截。 这家科技巨头表示，去年总计屏蔽了51亿条违规广告，限制了91亿条广告，并在13亿个页面上屏蔽或限制了广告展示。此外，该公司还因诈骗相关违规行为暂停了超过500万个账户。 前六类广告政策违规行为包括：广告网络滥用（7.931亿次）、商标滥用（5.031亿次）、个性化广告违规（4.913亿次）、法律要求不达标（2.803亿次）、金融服务违规（1.937亿次）以及虚假陈述（1.469亿次）等。 被屏蔽或限制广告的页面大多涉及以下内容：色情信息、危险或贬损性内容、恶意软件、令人不适的内容、武器推广与销售、在线赌博、烟草/酒精销售或滥用、知识产权侵权以及露骨性内容。 谷歌表示，其一直在使用人工智能（AI）驱动的工具快速标记新兴威胁和滥用模式，通过企业身份仿冒和非法支付信息等信号作为早期指标来打击广告欺诈。 该公司在提供给《黑客新闻》的声明中称：我们打击了利用AI生成的深度伪造技术进行的公众人物仿冒诈骗，为此类违规行为暂停了超过70万个账户。作为更广泛行动的一部分，我们共屏蔽/移除了4.15亿条广告，并因诈骗违规暂停了超500万个账户。 谷歌还提到，已将广告主身份验证计划扩展至200多个国家和地区，以提高透明度并加强对选举广告中AI生成内容的管控。2024年，超过8900个新注册的选举广告主通过验证，同时移除了来自未经验证账户的1070万条选举广告。 谷歌持续加强广告安全的举措，源于恶意广告（malvertising）仍是恶意软件初始传播的重要渠道——攻击者通过滥用谷歌搜索（及其他搜索引擎）的欺诈性广告，将用户引导至虚假网站。 该公司强调：广告安全形势不断变化，受AI技术进步、新兴滥用策略及全球事件的影响，行业需要持续保持敏捷应对能力。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球领先汽车租赁公司赫兹集团（Hertz Corporation）正就数据泄露事件通知客户及监管机构，确认客户敏感信息遭窃。 黑客窃取内容包括： 客户姓名 联系方式 出生日期 信用卡信息 驾照信息 根据数据事件通知，此次泄露还涉及工伤赔偿相关数据。赫兹声明：“极少数个体的社会安全号码、政府签发的其他身份证明、护照信息、医疗保险/医疗补助ID（关联工伤索赔）或车辆事故索赔中的伤情信息可能受影响。” 公司未披露受影响总人数。根据向缅因州总检察长办公室提交的文件，确认该州3,409位居民信息遭泄露。赫兹还向欧盟、英国及其他国家发布了独立的数据事件通告。 数据窃取确认于2025年2月10日。赫兹解释称，攻击者利用文件传输平台Cleo的零日漏洞（分别于2024年10月和12月被利用）。赫兹使用该平台仅用于有限用途”。 Cl0p勒索组织疑似幕后黑手。 Cybernews此前报道Cleo遭俄罗斯关联勒索组织Cl0p攻击。去年末，该组织威胁将公开约60家公司数据以胁迫赎金谈判。尽管泄露网站名单经脱敏处理，但包含”hertz####”条目。 Cleo软件产品（包括Harmony、VLTrader、LexiCom）广泛用于安全文件传输与业务整合流程。攻击者利用关键零日漏洞CVE-2024-50623和CVE-2024-55956（CVSS评分9.8/10）。漏洞允许未授权攻击者通过自动运行目录默认设置，在主机系统执行任意Bash/PowerShell命令，并存在可导致远程代码执行的无限制文件上传/下载风险。 Cleo声称拥有超过4,200家企业客户，去年曾强烈建议客户立即升级所有软件实例。Cl0p的此次攻击手法类似史上最大规模黑客活动MOVEit攻击（2023年影响超2,600家机构及9,000万个人，据称获利7,500万至1亿美元）。 目前Cl0p泄露网站公告称赫兹等57家公司无视赎金通知，故已发布完整文件”。赫兹集团旗下拥有Hertz、Dollar、Thrifty品牌，现为受影响客户提供两年免费身份监控服务。 公司声明：“赫兹确认Cleo已着手调查事件并修复漏洞，同时已向执法部门报告并将向相关监管机构通报。”尽管未发现泄露信息遭滥用，赫兹仍建议客户防范潜在欺诈，定期核查账户异常活动。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某非法论坛上名为”beltway”的新注册账号声称，其于2025年4月从武田制药官网Takeda.com导出约200万条用户信息。该威胁者表示：”我们现公开出售该数据集，起拍价7.5万美元，数据仅售一次。武田官网工作人员已联系我要求下架。” 威胁者提供了部分数据样本，据称包含大量敏感信息。样本内容显示个人身份信息、职业详情及内部系统标识符混杂存在，疑似来自CRM或数据管理系统（多次提及Veeva平台）。 样本清单包含： 姓名 电子邮箱 电话号码 职位头衔 组织隶属关系 各类系统数据（ID编号、联系数据、记录状态字段等） 日本最大制药企业武田制药（创立于1781年，市值450亿美元）尚未确认或否认该指控，也未向投资者发布相关信息。公司发言人表示：”武田高度重视数据与隐私安全。我们已知晓关于企业官网Takeda.com可能存在数据泄露的指控，已启动内部调查并评估其真实性。” 网络安全研究员Neringa Macijauskaitė分析称：”样本仅包含少量用户数据，难以验证真伪。不过Veeva系统确为生物医药行业常用CRM平台。”样本中提及的”医生”和”药师”字段显示数据可能涉及客户而非内部员工，包含医疗行业典型的客户追踪属性（专业资质、同意书状态、区域划分等）。 若数据泄露属实，受影响客户将面临商业电子邮件入侵（BEC）诈骗的高风险。Macijauskaitė警告：“详细的职业信息（如CEO、医生等头衔）可使钓鱼邮件更具针对性，伪造成可信医药公司索取敏感凭证。” 值得关注的是，成熟网络犯罪组织通常避免发布未经证实的信息。但近期虚假指控激增，如Babuk2黑客组织此前散布的伪造勒索声明。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Landmark Admin就其2024年5月遭遇的网络攻击调查发布更新，确认受影响人数已升至160万。 这家总部位于德克萨斯州的第三方管理公司（TPA）主要为Liberty Bankers Life、American Benefit Life等全国性大型保险公司提供保单核算、监管报告、再保险支持及IT系统服务。 2024年10月，该公司首次披露于2024年5月13日发现网络可疑活动。 未经授权的访问被认为导致806,519人的个人信息泄露，包括： 全名 家庭住址 社会安全号码 纳税识别号 驾照号码 州政府签发身份证 护照号码 金融账户号码 医疗信息 出生日期 健康保险单号 人寿及年金保单信息 具体泄露数据类型因人而异，Landmark承诺通过个性化信件告知每位受影响者其被泄露的具体信息。 在向缅因州总检察长办公室提交的更新文件中，Landmark表示调查显示实际受影响人数应为1,613,773人。 该公司强调取证调查仍在进行中，最终受影响人数可能进一步增加，未来或将多次修正统计结果。 最新公告声明：”Landmark已开始审查受影响系统，以确定具体受影响的个人及可能泄露的信息类型。在此过程中，我们将通过邮件逐步通知相关个人。” 数据泄露通知接收者可在收到通知后90日内通过专用热线提出质询。 Landmark同时提供12个月的身份盗窃保护与信用监控服务，以降低敏感数据暴露风险。 建议措施还包括监控信用报告、设置欺诈警报或启用安全冻结功能。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta宣布将使用公开的欧盟用户数据来训练AI模型，恢复了去年因爱尔兰数据保护问题而暂停的计划。 Meta将开始使用欧盟成年人的公共数据来训练其AI模型，此前该计划因爱尔兰监管机构提出的数据保护问题于去年暂停。 2024年6月，这家社交媒体巨头宣布，应爱尔兰数据保护委员会（DPC）的要求，将推迟使用成年人在Facebook和Instagram上共享的公共内容对其大型语言模型（LLM）进行训练。 Meta对DPC的要求表示失望，公司指出这是“欧洲创新、AI开发竞争的倒退，将进一步延迟AI技术为欧洲民众带来的好处”。 “我们对爱尔兰数据保护委员会（DPC）作为欧洲数据保护机构（DPAs）牵头监管方提出的延迟训练要求感到失望，特别是我们已采纳监管反馈，且自3月起就持续向欧洲DPAs通报进展。”Meta在声明中表示，“这对欧洲创新、AI开发竞争是倒退之举，也将延后AI技术为欧洲民众带来的好处。” 该公司解释说，其人工智能，包括Llama LLM，已经在世界其他地区上市。Meta解释说，为了向其欧洲地区提供更好的服务，它需要就反映欧洲人民不同语言、地理和文化背景的相关信息对模型进行训练。出于这个原因，该公司最初计划使用其在欧盟的欧洲用户在其产品和服务上公开声明的内容来训练其大型语言模型。 Meta现在证实，它将恢复使用欧盟个人的公共数据训练其AI模型。 该公司发表的一篇帖子写道：“在欧盟，我们很快将开始训练我们的人工智能模型，了解人们在Meta上与人工智能的互动，以及成年人在Meta Products上共享的公共内容。”。“通过教授我们的生成式AI模型，更好地理解和反映他们的文化、语言和历史，这次培训将更好地支持欧洲数百万人和企业。” 该公司指出，欧盟用户可以选择反对将其公共数据用于AI训练的目的。从本周开始，欧盟用户将收到关于他们的数据被用于训练AI的通知，并可以随时选择反对。 Meta表示，他们不会使用人们与朋友和家人的私人信息来训练他们的生成AI模型。它还补充说，欧盟18岁以下人员账户中的公共数据不会用于训练目的。 “我们认为，我们有责任打造的 AI 不仅要让欧洲人能够使用，更要真正为他们而建。这就是为什么我们的生成式 AI 模型需要基于各种各样的数据进行训练，以便能够理解构成欧洲社区的那些令人惊叹的、丰富多样的细微差别和复杂性。”帖子总结道。“值得注意的是，我们正在进行的人工智能培训并不是Meta独有的，也不会是欧洲独有的。这就是我们自推出以来为其他地区训练生成式人工智能模型的方式。我们正在效仿包括谷歌和OpenAI在内的其他公司的榜样，这两家公司都已经使用欧洲用户的数据来训练他们的人工智能模型。我们很自豪我们的方法比许多行业同行更透明。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非营利组织MITRE公司表示，美国政府资金的不确定性可能导致通用漏洞和暴露（CVE）计划的中断和“恶化”。 在写给CVE董事会的一封信中，MITRE公司国土安全部中心的副总裁兼主任Yosry Barsoum表示，与美国政府管理该计划的合同将于4月16日到期，而后续资金尚未确定。 “2025年4月16日星期三，MITRE开发、运营和现代化CVE及其他相关计划（如CWE）的现有合同途径将到期。政府仍在努力延续MITRE在支持该计划中的角色，”Barsoum解释说。 他警告说：“如果出现服务中断，我们预计CVE将受到多重影响，包括国家漏洞数据库和公告的恶化、供应商响应速度减慢、应急响应能力受限，以及对各类关键基础设施的影响。” CVE计划旨在编目公开披露的网络安全漏洞，是漏洞披露和记录流程中的重要组成部分，被黑客、供应商和组织广泛用于分享关于网络安全风险的准确和一致信息。 该计划由非营利组织MITRE公司维护，该公司运营联邦研发中心，资金来源多样，包括美国政府、行业合作以及国际组织的支持。 本月早些时候，鉴于美国政府资金削减的预期，MITRE在其弗吉尼亚州办公室裁员超过400人。此前，特朗普政府宣布取消该公司价值超过2800万美元的合同。 关于CVE计划资金的担忧，正值美国国家标准与技术研究院（NIST）仍在努力清理国家漏洞数据库（NVD）中不断增加的CVE积压之际。 据NIST称，尽管国家漏洞数据库（NVD）处理新CVE的速度与2024年春季和初夏放缓之前相同，但去年提交量增加了32%，导致积压问题仍在加剧。 “我们预计2025年的提交量将继续增加，”该机构表示，并指出正在探索使用人工智能和机器学习技术来自动化某些处理任务。 积压问题已经在漏洞管理领域显现，NVD数据被视为事实来源，需要持续对数据进行分类和丰富。 如果没有更快地处理漏洞数据，报告问题与可操作情报之间的差距将扩大，这将给依赖及时信息来保护系统的组织带来严重问题。 NIST解释说，NVD现有的工作流程和数据摄取系统是为较低的CVE提交量设计的，过时的格式和手动丰富程序造成了严重的瓶颈。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Roller开源、基于Java的博客服务器软件被披露存在一个严重的安全漏洞，该漏洞可能允许恶意行为者即使在用户更改密码后仍能保持未经授权的访问权限。 该漏洞被分配了CVE编号CVE-2025-24859，其CVSS评分为10.0，表明其严重性极高。该漏洞影响Roller的所有版本，包括6.1.4版本。 “Apache Roller在6.1.5版本之前的版本中存在会话管理漏洞，用户更改密码后，活跃的用户会话未能被正确地失效，”项目维护者在一份安全公告中表示。“无论是用户自己还是管理员更改密码，现有的会话仍然保持活跃并可使用。” 成功利用该漏洞可能会使攻击者即使在密码更改后，仍能通过旧会话持续访问应用程序。如果凭证被泄露，该漏洞还可能使攻击者获得不受限制的访问权限。 该问题已在6.1.5版本中得到修复，通过实施集中式会话管理，确保在更改密码或禁用用户时，所有活跃会话都会被失效。 安全研究员孟海宁因发现并报告该漏洞而受到赞誉。 此次漏洞披露发生在Apache Parquet Java库披露另一个关键漏洞（CVE-2025-30065，CVSS评分：10.0）几周之后。如果该漏洞被成功利用，可能会允许远程攻击者在易受攻击的实例上执行任意代码。 上个月，Apache Tomcat的一个关键安全漏洞（CVE-2025-24813，CVSS评分：9.8）在漏洞细节公开后不久便遭到积极利用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个恶意软件包，该软件包被上传到Python软件包索引（PyPI）仓库，其设计目的是将用户在MEXC加密货币交易所下达的交易订单重定向到恶意服务器，并窃取代币。 这个名为ccxt-mexc-futures的软件包声称是基于一个流行的Python库ccxt（全称为CryptoCurrency eXchange Trading）的扩展，该库被用于连接和交易多个加密货币交易所，并提供支付处理服务。 尽管该恶意软件包已不再出现在PyPI上，但pepy.tech的统计数据显示，它至少已被下载了1065次。 “恶意ccxt-mexc-futures软件包的作者在其README文件中声称，该软件包扩展了CCXT软件包，以支持在MEXC上进行‘期货’交易，”JFrog研究员盖伊·科罗列夫斯基（Guy Korolevski）在与《黑客新闻》分享的一份报告中表示。 然而，对该库的深入分析揭示，它专门覆盖了与MEXC接口相关的两个API——contract_private_post_order_submit和contract_private_post_order_cancel，并引入了一个名为spot4_private_post_order_place的新API。 通过这种方式，该恶意软件包试图诱骗开发者调用这些API端点，在MEXC交易所创建、取消或下达交易订单，并在后台秘密执行恶意操作。 恶意修改特别针对原始ccxt库中与MEXC相关的三个不同功能，即describe、sign和prepare_request_headers。 这使得攻击者可以在安装该软件包的本地机器上执行任意代码，有效地从一个伪装成MEXC的虚假域名（“v3.mexc.workers[.]dev”）检索一个JSON负载，其中包含一个配置，将被覆盖的API导向一个恶意的第三方平台（“greentreeone[.]com”），而不是真正的MEXC网站。 “该软件包在MEXC集成的API中创建了条目，使用一个将请求导向greentreeone[.]com域名的API，而不是MEXC网站mexc.com，”科罗列夫斯基表示。 “所有请求都被重定向到攻击者设置的域名，这使得攻击者能够劫持受害者的所有加密货币代币以及请求中传输的敏感信息，包括API密钥和密钥。” 不仅如此，该欺诈性软件包还被设计为在发送创建、取消或下达订单的请求时，将MEXC API密钥和密钥发送到攻击者控制的域名。 安装了ccxt-mexc-futures的用户被建议立即撤销任何可能被泄露的代币，并删除该软件包。 这一事件发生在Socket披露威胁行为者利用npm、PyPI、Go和Maven生态系统中的假冒软件包发动攻击，以维持持久性并窃取数据之后。 “毫无戒心的开发者或组织可能会无意中在其代码库中引入漏洞或恶意依赖项，如果未被检测到，可能会导致敏感数据泄露或系统被破坏，”这家软件供应链安全公司表示。 这也紧随一项新的研究，该研究探讨了为生成式人工智能（AI）工具提供支持的大型语言模型（LLMs）如何通过虚构不存在的软件包并向开发者推荐这些软件包来危及软件供应链。 当恶意行为者注册并发布带有虚构名称的恶意软件包到开源仓库时，供应链威胁就会出现，这一过程会感染开发者的系统——这种技术被称为“slopsquatting”。 该学术研究发现，“商业模型中虚构软件包的平均比例至少为5.2%，开源模型中为21.7%，其中包括205,474个独特的虚构软件包名称，这进一步凸显了这一威胁的严重性和普遍性。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Huntress安全研究人员记录了针对Gladinet CentreStack和Triofox软件关键漏洞的活跃利用情况，其中默认的加密配置导致针对七家组织的攻击，并在大约120个端点上引发了异常活动。 该漏洞被标记为CVE-2025-30406，于4月初被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录，并且拥有9/10的CVSS严重性评分。 该漏洞源自CentreStack和Triofox配置文件中默认嵌入的硬编码加密密钥，这种错误配置使服务器暴露在远程代码执行攻击之下。 在这种情况下，利用默认密钥可以让攻击者绕过ASPX ViewState保护，并以IIS应用程序池用户的身份执行代码，还可能升级为完全控制整个系统。 Huntress表示，其安全运营中心在4月11日标记了这一异常情况，当时一个内部检测器（专门用于捕捉零日漏洞利用）标记了来自IIS工作进程不规则子进程的异常传出连接。 该公司称，这一初始检测（由源自PowerShell的可疑进程树突出显示）引发了一系列警报，因为恶意软件猎手从失败的ViewState验证和其他在Windows事件日志中可见的指标中拼凑证据。 该公司称，这些漏洞利用遵循了一个众所周知的剧本。一旦确定了易受攻击的服务器，攻击者就会发出精心设计的PowerShell命令来触发漏洞，最终导致远程代码执行。 在一次事件中，Huntress研究人员表示，他们追踪到了一个涉及编码的PowerShell指令的命令序列，该指令旨在下载并执行一个DLL，这种手法在最近针对CrushFTP软件漏洞的攻击中也曾出现。 “根据Shodan的数据显示，目前有几百台易受攻击的服务器暴露在公共互联网上。虽然这个数字相对较小，但立即被攻陷的风险仍然很严重，”Huntress警告说。 Huntress表示，他们观察到攻击者在网络中横向移动，利用MeshCentral等工具维持远程访问。该公司称，黑客还试图添加新的用户账户，执行标准的枚举命令，并使用默认的Impacket脚本。 Gladinet已经发布了补丁，并承认了远程代码执行的风险。 “我们可以确认，Gladinet CentreStack和Triofox的补丁在我们测试的概念验证中是有效的，能够阻止漏洞利用，”Huntress表示。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）的安全研究人员指出，Nvidia针对Nvidia容器工具包中一个关键漏洞的补丁存在问题，警告称这种不完整的缓解措施使企业仍然容易受到容器逃逸攻击。 该漏洞被标记为CVE-2024-0132，CVSS评分为9/10，去年9月作为高优先级问题进行了修补，但现在Trend Micro表示，该补丁是“不完整的”，为黑客留下了可乘之机，使他们能够在受影响的系统上执行任意命令、窃取敏感数据或提升权限。 根据Trend Micro的分析，一个精心设计的容器可以利用容器访问宿主文件系统时的检查与实际执行访问之间存在的TOCTOU（检查时到使用时）时间窗口。 这一漏洞使得攻击者能够在容器运行时注入操作，绕过预期的隔离机制，有效地让容器访问或操纵宿主资源。Trend Micro解释说，补丁未能强制执行严格的检查以排除这种竞争条件，这是该漏洞存在的原因。 Trend Micro在其对有缺陷补丁的文档中指出：“利用这些漏洞可能会使攻击者能够访问敏感的宿主数据，或者通过耗尽宿主资源来造成重大运营中断。” “成功利用这些漏洞可能会导致未经授权访问敏感宿主数据、窃取专有AI模型或知识产权、严重的运营中断，以及由于资源耗尽或系统无法访问而导致的长时间停机。” 该公司表示，使用Nvidia容器工具包或在人工智能、云计算或容器化环境中使用Docker的组织直接受到影响，特别是那些使用默认配置或最近版本中引入的特定工具包功能的组织。 “部署人工智能工作负载或基于Docker的容器基础设施的公司可能面临风险。”该公司补充道。 根据Trend Micro的分析，该工具包1.17.3及以下版本存在固有漏洞，而1.17.4版本需要明确启用allow-cuda-compat-libs-from-container功能才可被利用。 此外，Trend Micro还发现了一个与Linux系统上的Docker相关的拒绝服务漏洞。使用bind-propagation配置了多个挂载点的容器（特别是那些带有共享标志的容器）可能会触发Linux挂载表的无限制增长。 Trend Micro表示，由此导致的文件描述符耗尽构成了严重的拒绝服务风险，有效地阻止了容器的创建，并拒绝了通过SSH的远程连接。 该公司敦促企业用户将Docker API的使用限制在授权人员范围内，避免不必要的root级权限，并在Nvidia容器工具包中禁用非必要的功能，除非这些功能是严格必需的。 根据云安全供应商Wiz的文档，该漏洞威胁到超过35%使用Nvidia GPU的云环境，使攻击者能够逃逸容器并控制底层宿主系统。鉴于Nvidia GPU解决方案在云计算和本地人工智能运营中的广泛使用，这一漏洞的影响范围相当广泛。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet研究人员发现多个恶意NPM包被用于针对PayPal用户。这些包于3月初由名为tommyboy_h1和tommyboy_h2的攻击者上传至仓库，用于窃取PayPal凭证和劫持加密货币转账。 “使用与PayPal相关的名称有助于这些恶意包躲避检测，使攻击者更容易窃取敏感信息。通过在恶意包名称中加入‘PayPal’，例如oauth2-paypal和buttonfactoryserv-paypal，攻击者还营造了一种虚假的合法性，诱使开发者安装它们。”Fortinet发布的分析报告中指出，“该代码会收集并传输系统数据，如用户名和目录路径，这些数据随后可用于针对PayPal账户或出售以用于欺诈目的。” 恶意NPM包利用预安装钩子运行隐藏脚本，窃取系统信息，混淆数据，并将其传输至攻击者控制的服务器，以便用于未来的攻击。 Fortinet研究人员建议留意假冒的PayPal相关包，检查网络日志以查找异常连接，清除威胁，更新凭证，并在安装包时保持谨慎。 同一攻击者很可能创建了tommyboy_h1和tommyboy_h2这两个恶意包，以针对PayPal用户。 “tommyboy_h1和tommyboy_h2的作者很可能是同一个人，在短时间内发布了多个恶意包。我们怀疑同一作者创建了这些包，目的是针对PayPal用户。”报告总结道，“我们敦促公众在下载包时保持谨慎，并确保它们来自可信来源，以避免成为此类攻击的受害者。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肾脏透析公司DaVita表示，周六遭遇的勒索软件攻击已经影响了其部分业务，并加密了其网络的部分内容。 该公司于周一上午通知了美国证券交易委员会这一事件，并警告称，尽管已经实施了应急计划，但仍在继续为患者提供护理。 “在发现攻击后，我们立即启动了响应协议，并采取了遏制措施，包括主动隔离受影响的系统。”官员解释道，“然而，此次事件仍对我们的部分运营产生了影响。尽管我们已经采取了临时措施以恢复某些功能，但目前我们还无法估计此次中断的持续时间和范围。” DaVita表示，现在还难以确定此次攻击对公司总体产生的影响。 该公司去年报告的收入为128亿美元，是全球最大的肾脏护理提供商之一，全球共有3166个门诊透析中心，为约281100名患者提供服务。DaVita在美国运营着2500多个中心，并在其他13个国家拥有数百个中心。 其主要职能是治疗终末期肾病，这需要患者每周进行三次肾脏透析，直到获得新的肾脏。 截至周一上午，尚无任何勒索软件团伙声称对此次攻击负责。该公司也未回应有关攻击者身份或是否会支付赎金的评论请求。 网络安全专家在2025年追踪到100多起针对医疗机构的勒索软件攻击，数十家医院、诊所、实验室等因安全事件面临运营问题。 微软上个月警告称，由于患者护理中断以及与大型医院网络相比支付赎金的困难，勒索软件攻击仍然是农村医院的主要担忧。 微软官员凯特·贝恩肯表示，勒索软件攻击常常成为医院关闭的“临界点”，这不仅影响医院本身，还可能对它们所服务的社区产生危及生命的后果。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年的报税季，人工智能（AI）为一系列税务诈骗活动提供了强大助力，诈骗者利用深度伪造音频和其他技术手段拦截资金，并诱骗纳税人向他们发送财务文件。 网络犯罪分子一直以来都会利用报税季的前四个月进行诈骗，但多位网络安全专家最近指出，这些诈骗手段中出现了一个令人担忧的新变化：利用人工智能（AI）进行语音网络钓鱼攻击。 黑客利用AI生成的音频伪装成纳税人的税务准备人员、会计师或国税局工作人员，利用之前窃取的个人信息来增加诈骗的可信度。 Bugcrowd创始人Casey Ellis表示，生成式人工智能和深度伪造技术是“诈骗者的改变游戏规则的技术”。他说：“这些技术使攻击者能够扩大其运营规模，同时增加诈骗的可信度。例如，一个‘税务顾问’的深度伪造视频可以被用来诱骗受害者分享敏感信息，或者AI生成的电子邮件可以以惊人的准确性模仿国税局的官方沟通风格。” 他还表示，他们已经看到AI驱动的攻击急剧增加，这些攻击帮助网络犯罪分子制造“极具说服力的网络钓鱼电子邮件、语音电话甚至视频信息”。 Deepwatch首席信息安全官Chad Cragle和其他一些人也分别证实，今年报税季AI驱动的攻击有所增加，尤其是那些具有说服力的网络钓鱼电子邮件和深度伪造音频，这些音频被设计用来假冒值得信赖的税务官员。 Cragle补充说，攻击者正在复制声音以通过电话欺骗受害者，并主动提出帮助受害者创建国税局在线账户，诱使他们交出敏感的财务信息。 Keeper Security副总裁Patrick Tiquet指出，网络犯罪分子现在可以创建国税局工作人员、税务专业人士甚至家庭成员的逼真视频和音频模仿，诱骗个人透露像社保号码或税务凭证这样的信息。 Tiquet和Ellis表示，人们应该留意不一致之处，因为AI通常在细节方面存在困难。人们还应在交出信息之前验证身份，并拒绝任何听起来紧急的要求，无论是通过电话还是电子邮件。Ellis还补充说，一些反向图像和视频搜索工具也可以通知你内容是否是人工生成或被篡改过的。 短信诈骗、域名抢注和特朗普退税 除了AI语音诈骗外，防御者还继续看到一些经过改良的经典报税季网络盗窃手段。 Zimperium的Kern Smith表示，他看到移动优先攻击有所增加，攻击者伪装成国税局或税务服务机构发送短信，敦促收件人点击恶意链接或下载虚假应用程序。 Smith表示，这些诈骗活动旨在窃取登录凭证、社保号码和其他敏感财务信息。 专家们还强调了各种钓鱼网站和假冒平台，这些平台利用人们搜索“特朗普退税”等术语，或者寻找像H&R Block这样的知名税务公司。 Cragle表示，假冒网站利用搜索引擎优化（SEO）中毒技术，篡改搜索引擎排名，使其看起来合法并吸引受害者，而Ellis补充说，网络犯罪分子还在利用税务软件或第三方集成中的未修补漏洞。 微软上周发布了一篇长篇博客，强调了最近通过电子邮件传播恶意软件的钓鱼活动，这些电子邮件的主题行写着“通知：国税局发现您的纳税申报存在问题”或“重要行动要求：国税局审计”。 许多电子邮件都带有国税局相关文件名的PDF附件，目标是客户以及注册会计师和会计师。 微软表示：“2025年2月12日至28日，以税务为主题的钓鱼电子邮件被发送到超过2300个组织，这些组织大多位于美国的工程、信息技术和咨询行业，这些电子邮件虽然正文为空，但带有链接到恶意软件的PDF附件，附件中包含二维码。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一种新型的凭证网络钓鱼计划，该计划确保被盗信息与有效的在线账户相关联。 这种技术被Cofense命名为“精准验证网络钓鱼”，它采用实时电子邮件验证，以便只有经过筛选的高价值目标才会看到伪造的登录页面。 “这种策略不仅使攻击者在获取可用凭证方面成功率更高，因为他们只针对特定的、预先收集的、有效的电子邮件账户列表进行攻击，”该公司表示。 与通常通过大量发送垃圾邮件以随机获取受害者登录信息的“广撒网”凭证收集活动不同，最新的攻击策略将鱼叉式网络钓鱼提升到了一个新的水平，只与攻击者已验证为活跃、合法且高价值的电子邮件地址进行互动。 在这种情况下，受害者在钓鱼落地页面输入的电子邮件地址会与攻击者的数据库进行验证，之后才会显示伪造的登录页面。如果电子邮件地址不在数据库中，页面要么返回错误，要么将用户重定向到像维基百科这样的无害页面，以逃避安全分析。 通过将基于API或JavaScript的验证服务集成到钓鱼工具包中，该服务会在进入密码捕获步骤之前确认电子邮件地址，从而完成这些检查。 “这提高了攻击的效率，以及被盗凭证属于真实、活跃使用的账户的可能性，从而提高了收集到的数据的质量，以便转售或进一步利用，”Cofense表示。 “自动化安全爬虫和沙箱环境也难以分析这些攻击，因为它们无法绕过验证过滤器。这种针对性的方法降低了攻击者的风险，并延长了钓鱼活动的生命周期。” 随着网络安全公司还披露了一项使用文件删除提醒作为诱饵以获取凭证并传播恶意软件的电子邮件钓鱼活动的细节，这一发展也随之而来。 这种双管齐下的攻击利用了一个嵌入式URL，该URL似乎指向一个计划从名为files.fm的合法文件存储服务中删除的PDF文件。如果消息接收者点击链接，他们将被带到一个合法的files.fm链接，从那里他们可以下载所谓的PDF文件。 然而，当PDF文件被打开时，用户会被提供两个选项，要么预览文件，要么下载文件。选择预览的用户会被带到一个伪造的微软登录页面，该页面旨在窃取他们的凭证。而选择下载选项时，它会释放一个声称是微软OneDrive的可执行文件，但实际上是从ConnectWise的ScreenConnect远程桌面软件。 “这几乎就像是攻击者故意设计攻击来诱捕用户，迫使他们选择他们将落入哪种‘陷阱’，”Cofense表示。“两种选择都导致了相同的结果，目标相似，但实现目标的方式不同。” 这一发现也紧随一项复杂的多阶段攻击的发现之后，该攻击结合了语音钓鱼（vishing）、远程访问工具和利用现有系统资源（living-off-the-land）技术来获取初始访问权限并建立持久性。在活动中观察到的攻击手法与被追踪为Storm-1811（又名STAC5777）的攻击集群一致。 “攻击者利用暴露的通信渠道，通过Microsoft Teams消息传递恶意PowerShell负载，随后使用Quick Assist远程访问环境，”Ontinue表示。“这导致了签名二进制文件（例如TeamViewer.exe）的部署、一个侧加载的恶意DLL（TV.dll），最终通过Node.js执行基于JavaScript的C2后门。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文