HackerNews 编译，转载请注明出处： Roundcube关键远程代码执行漏洞（CVE-2025-49113）补丁发布数日后即遭利用，全球超80,000台服务器受影响。该流行网页邮件平台长期遭APT28、Winter Vivern等高级威胁组织锁定，攻击者惯用此类漏洞窃取登录凭证并监控敏感通信，凸显未修复系统（尤其高价值目标）持续面临严峻风险。 此CVSS评分高达9.9的关键漏洞潜伏十余年后于上周曝光，攻击者可借此完全控制受感染系统执行恶意代码，致使用户及机构陷入重大危机。漏洞发现者FearsOff创始人基里尔·菲尔索夫评估其影响超5,300万台主机（涵盖cPanel、Plesk等管理工具）。美国国家标准与技术研究院（NIST）公告指出：“Roundcube Webmail 1.5.10之前版本及1.6.x系列1.6.11之前版本存在安全隐患，因program/actions/settings/upload.php未验证URL中的_from参数，导致经身份验证的用户通过PHP对象反序列化实现远程代码执行。” 该漏洞已在1.6.11与1.5.10 LTS版本修复。漏洞披露后，Positive Technologies团队成功复现攻击链，强烈建议用户立即升级。Shadowserver基金会监测显示，目前仍有约84,000个暴露于公网的Roundcube实例未打补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mount Rogers社区服务机构（心理健康服务提供商）出现在勒索团伙INC Ransom的暗网泄密网站上，攻击者宣称从其系统中窃取了大量隐私数据。勒索组织选择攻击目标时往往毫无顾忌，此次受害的Mount Rogers主要提供心理健康、发育障碍及药物滥用治疗服务。 本媒体已联系Mount Rogers机构寻求回应，将在获得回复后更新进展。网络犯罪分子常以泄露窃取数据胁迫支付赎金，为证实攻击有效性，威胁者公开了部分样本数据。经Cybernews研究团队核验，泄露样本包含以下内容： 姓名、住址 薪资单、发票单据 个人邮箱、内部通讯及保密协议 研究人员指出，尽管数据敏感性有限，但攻击者可利用这些信息实施网络钓鱼或身份盗窃。薪资单和内部文件可能被用于社会工程攻击，进一步渗透企业系统，此次泄露或将严重损害机构声誉并引发法律风险。 心理健康服务机构近期频遭针对性攻击： 行为健康中心Community Counseling of Bristol County（CCBC）此前遭入侵导致敏感健康信息泄露 本月初佐治亚州心理卫生协会（MHA）被攻破，患者诊断记录及处方药物信息遭窃 INC Ransom是当前最活跃的勒索组织之一： 2023年7月首次现身，攻击目标持续升级 受害者涵盖美国国防承包商Stark AeroSpace、旧金山芭蕾舞团、英国莱斯特市政府、苏格兰邓弗里斯-加洛韦卫生委员会及施乐公司 据Cybernews暗网监测工具Ransomlooker统计，过去12个月累计攻击163家机构       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Malwarebytes最新研究显示，近半数（44%）移动用户每日遭遇诈骗威胁，多数用户担忧重要文件丢失及生产力损失。该公司对美国、英国、奥地利、德国和瑞士的1300名成年人开展调查并发布《点击、滑动、诈骗》报告。 尽管报告聚焦个人安全威胁，但鉴于大量企业允许自带设备（BYOD），这些风险正持续向企业领域蔓延。数据显示美国（51%）和英国（49%）用户风险暴露率最高。 核心发现： 识别难度激增 66%受访者承认难以辨别诈骗与合法通讯，超三分之一（36%）曾因此受害，近五分之一（36%）遭遇过恶意软件感染。 攻击渠道分布 主要威胁渠道包括：电子邮件（65%）、电话（53%）、短信（50%）、社交媒体（47%）、即时通讯软件（40%）及交易平台（36%）。 社会工程主导 53%用户遭遇过社交工程攻击，其中19%受害。这与Zimperium研究相印证：2024年9月数据显示82%钓鱼网站针对移动设备，同年8月每日移动钓鱼攻击峰值超1000次。 勒索威胁蔓延 37%用户遭遇勒索类威胁，17%实际受害，具体包括：勒索软件（25%）、性勒索（24%）、深度伪造诈骗（20%）。值得注意的是，18%用户经历过虚拟绑架威胁。 心理创伤加剧： 75%受害者遭受心理伤害，其中心理健康问题占比46%，勒索骚扰达25%。Malwarebytes高级隐私倡导者David Ruiz指出：“移动威胁既是技术问题，更是人身安全问题。随着深度伪造与AI技术被犯罪者利用，我们需超越意识培养，为用户配备防护工具与知识。数字生活不该以诈骗为代价——无需感到羞耻，我们应让民众自信识别、阻断并举报任何隐私性诈骗。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国立法者向国会提交了一项新的《医疗网络安全法案》，旨在扩大联邦政府在预防和应对美国公民医疗数据泄露事件中的职能范围。 众议员杰森·克罗（民主党，科罗拉多州）于6月10日牵头提出这项两党共同支持的法案，旨在应对美国激增的医疗数据泄露事件。2025年1月披露的数据显示，仅2024年因Change Healthcare勒索软件攻击就导致1.9亿美国公民的个人及医疗数据记录遭受影响，该事件还严重扰乱了患者护理服务。 该法案明确规定网络安全和基础设施安全局（CISA）与美国卫生及公众服务部（HHS）需开展协作，共同提升医疗保健和公共卫生部门的网络安全防护能力。具体合作内容包括： 推动机构间网络威胁情报共享，深化对医疗领域网络风险的理解 CISA为医疗机构所有者及运营方提供风险应对培训 HHS与CISA联合制定针对医疗行业的风险管理计划，评估政府在数据泄露事件全周期中对相关技术、服务及公共设施的安全支持方案 建立医疗领域高风险资产的客观评估标准，并通知相关资产所有者及运营方 CISA定期向国会提交其为医疗和公共卫生部门主动防范网络威胁所提供的支持及行动报告 共同提案人布赖恩·菲茨帕特里克（共和党，宾夕法尼亚州）强调：“这项两党法案采取直接战略行动：授权CISA与HHS开展实时威胁信息共享，扩大医疗服务提供者的网络安全培训，设立专职联络官强化响应机制。我们不仅应对攻击，更在构建防御基础设施以保护患者隐私，捍卫国家安全的生命线。” 2025年1月，HHS宣布计划更新《1996年健康保险流通与责法案》（HIPAA）安全规则，要求医疗服务提供方对受保护的健康信息（PHI）实施强化安全措施，包括为受监管实体设定特定级别的系统访问认证标准，并强制要求持续测试安全防护机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，近期出现针对Apache Tomcat Manager接口的“协同暴力破解活动”。 该公司指出，2025年6月5日观察到暴力破解和登录尝试激增，表明这可能是“大规模识别和访问暴露Tomcat服务”的有组织行动。当日共发现295个独立IP地址参与针对Tomcat Manager的暴力破解尝试，均被归类为恶意地址。过去24小时内记录到188个独立IP，主要位于美国、英国、德国、荷兰和新加坡。 同期还监测到298个独立IP对Tomcat Manager实例发起登录尝试。过去24小时标记的246个IP地址均属恶意，来源地相同。攻击目标同期覆盖美国、英国、西班牙、德国、印度和巴西。GreyNoise强调大部分活动源自DigitalOcean（ASN 14061）托管的基础设施。 “尽管未关联特定漏洞，此行为表明暴露的Tomcat服务持续受到关注”，该公司补充道，“此类广泛的投机活动通常是未来攻击的前兆。” 建议暴露Tomcat Manager接口的组织实施强认证和访问限制，并监控可疑活动迹象。 此披露之际，Bitsight公司发现互联网上暴露超4万台监控摄像头，可能允许任何人通过HTTP或实时流协议（RTSP）访问实时视频。暴露设备集中在美国、日本、奥地利、捷克和韩国。电信行业占暴露摄像头的79%，其次是科技（6%）、媒体（4.1%）、公用事业（2.5%）、教育（2.2%）、商业服务（2.2%）和政府（1.2%）。这些设备分布在住宅、办公室、公共交通系统和工厂等场所，无意中泄露敏感信息，可能被用于间谍活动、跟踪和勒索。 建议用户修改默认账户密码，非必要则禁用远程访问（或通过防火墙和VPN限制访问），并保持固件更新。“这些用于安保或便利的摄像头，无意间成为敏感空间的公开窗口，且所有者往往毫不知情”，安全研究员João Cruz在报告中表示，“无论安装目的为何，设备即插即用的简易性正是威胁持续存在的主因。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 全球知名航运代理集团S5 Agency World据称遭勒索软件组织攻击。攻击者宣称窃取近140GB数据，该公司名称已被公布在勒索团伙用于展示受害者的暗网泄露站点。网络犯罪组织借此施压受害企业支付赎金，以防数据被公开。 S5作为海运代理企业，业务覆盖全球360多个港口。这家总部位于伦敦的公司为航运公司提供船舶靠港期间的本地代理服务。攻击者为佐证其说辞，公布了据称窃取数据的部分截图。网络安全研究团队核查样本后确认数据真实性。 泄露样本包含检验报告、员工新冠疫苗接种记录、护照复印件及内部文件等，但实际失窃文件总量可能远超样本范围。海运关键企业历来是黑客重点目标，其业务停摆将引发供应链瓶颈并严重影响客户——船舶代理等机构尤其无法承受网络攻击导致的运营中断。 勒索组织“Bert”系2025年4月新出现的团伙，隶属于新兴网络犯罪联盟。监测数据显示，2025年第一季度活跃勒索组织激增至65个，而“Bert”在短期内已入侵十余家机构。研究指出该团伙通过合法软件供应链投递恶意程序，主要针对医疗和科技领域，专家警告其适应力可能演变为更大威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织FIN6近期采用新型社交工程攻击手段，通过伪装求职者身份瞄准招聘人员。该组织（又名“Skeleton Spider”）早期以攻陷POS系统窃取信用卡信息著称，2019年起拓展勒索软件攻击业务，近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。 DomainTools最新报告显示，FIN6颠覆传统招聘诈骗模式，以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系，继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL（如bobbyweisman[.]com等匿名注册域名），攻击者使用AWS云服务托管规避安全工具检测。 攻击链包含精密规避机制： 实施环境指纹识别，拦截VPN/云连接及Linux/macOS访问者，仅向目标展示无害内容。 通过验证的受害者会遭遇虚假验证码环节，随后下载伪装成简历的ZIP压缩包。 压缩包内藏Windows快捷方式（LNK）文件，执行脚本下载“More_eggs”后门。 该后门由威胁组织“Venom Spider”开发，具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求，企业应通过独立渠道核实求职者背景信息。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 密尔沃基工具箱或勃肯凉鞋半价促销？研究人员发现涉及数十个知名品牌仿冒、涵盖超4000个域名的庞大虚假市场诈骗网络。诈骗者正在社交媒体大量投放广告。 威胁分析机构Silent Push发现了一个名为“幽灵供应商”（GhostVendors）的巨型虚假市场网络。该网络包含超过4000个仿冒亚马逊、Argos、开市客、诺德斯特龙、劳力士、勃肯等品牌的诈骗网站。 这些网站通过Facebook Marketplace广告推广，广告痕迹在活动结束后自动消失。研究人员警告称，诈骗者利用现有Meta政策隐藏行踪：通过欺诈广告侵害各大品牌权益后彻底删除广告内容。报告指出：“威胁团伙投放恶意广告数日后便停止活动，导致所有广告痕迹从Meta广告库中清除。Meta政策规定，仅当广告处于活动状态时才会保留记录。” 与其他类似骗局相同，网络罪犯以超低价商品诱骗消费者。某案例中，诈骗者用“Millaeke”名称仿冒密尔沃基工具品牌，广告展示正品工具箱图片并标注129美元价格，推广域名wuurkf[.]com。其他广告则使用“清仓”“节日促销”等话术，诱导用户访问恶意网站。该团伙常克隆网站模板批量生成仿冒站点。 Silent Push警告称，黑客利用这些欺诈网站实施多种财务诈骗：“通过不发货或窃取支付信息达成欺诈目的”。但报告重点指出，因Meta宽松的广告数据留存规则，防御者追踪此类活动面临巨大挑战——诈骗者采用闪电式启动-停止策略逃避监测。研究人员强调：“目前无法在该网络实现恶意广告的全面追踪。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文