HackerNews 编译，转载请注明出处： 美国司法部6月4日宣布查获与非法信用卡交易平台BidenCash相关的加密货币资产及约145个明网与暗网域名。该平台通过简化盗刷信用卡及关联个人信息交易流程牟利，每笔交易收取手续费。 BidenCash于2022年3月上线，填补了Joker’s Stash等非法论坛关停后的市场空缺。据调查，该平台运营期间累计服务超11.7万用户，交易逾1500万张支付卡数据及个人信息，非法收益至少达1700万美元。为推广服务，2022年10月至2023年2月间曾免费泄露330万张信用卡信息，包含卡号、有效期、CVV码及持卡人住址等敏感数据。其中2023年2月泄露的210万张卡片中，半数归属美国实体。 该平台还以2美元低价兜售SSH入侵服务，提供目标服务器漏洞检测、算力定位等黑客工具包。网络安全公司CloudSEK曾警告，此类服务可能引发数据窃取、勒索软件攻击及非法挖矿等恶性事件。 本次行动由美国特勤局和联邦调查局主导，联合荷兰警方、暗影服务器基金会等国际机构实施。当局未披露查获加密货币具体价值及平台运营者身份信息。 此次打击行动前一周，国际执法机构刚查封4家提供反病毒规避服务的平台。另有一名35岁乌克兰籍黑客因入侵超5000个主机账户实施非法挖矿被起诉，其利用开源情报定位漏洞基础设施部署虚拟机的行为造成450万美元损失，最高面临15年监禁。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗相关黑客组织BladedFeline被确认为2024年初针对库尔德和伊拉克政府官员新一轮网络攻击的幕后黑手。该活动关联于ESET追踪的BladedFeline组织，中等置信度评估其为伊朗国家级网络行为体OilRig的子团队，自2017年9月针对库尔德地区政府(KRG)官员以来持续活跃。 斯洛伐克网络安全公司在技术报告中指出：“该组织开发恶意软件以维持并扩大对伊拉克及KRG内机构的访问权限。BladedFeline长期维持对库尔德外交官员的非法访问，同时利用乌兹别克斯坦地区电信提供商，并持续渗透伊拉克政府官员系统。” ESET于2024年5月首次披露BladedFeline，其APT活动报告详述了该组织针对伊拉克库尔德地区政府机构的攻击，以及最早可追溯至2022年5月对乌兹别克斯坦电信提供商的入侵。 2023年该组织使用Shahmaran后门攻击库尔德外交官员，该基础后门通过连接远程服务器执行操作者指令，实现文件上传下载、属性查询及目录操作等功能。去年11月，攻击者使用定制后门Whisper（又名Veaty）、Spearal和Optimizer针对伊拉克政府及驻外外交机构发动定向攻击。 ESET强调：“BladedFeline大量收集伊拉克组织的外交金融情报，表明伊拉克在伊朗政府战略目标中占据重要地位。同时，阿塞拜疆政府机构也是其重点目标。” 尽管入侵KRG的初始途径未明，但攻击者疑似利用互联网应用漏洞渗透伊拉克政府网络，并通过Flog网页木马维持持久远程访问。 恶意工具技术特征显示： Whisper后门：基于C#/.NET，通过入侵的Exchange邮箱以邮件附件形式与攻击者通信 Spearal后门：采用DNS隧道技术进行命令控制通信 Optimizer：Spearal的迭代版本，工作流与功能基本一致 Slippery Snakelet：2023年12月攻击中出现的Python植入程序，支持基础命令执行及文件传输 该组织还使用Laret和Pinar隧道工具维持网络访问，并部署恶意IIS模块PrimeCache。该被动后门通过监控预定义cookie结构的HTTP请求执行攻击指令并窃取文件，其功能与OilRig组织RDAT后门相似。 技术关联性方面：2017年在KRG受侵系统中发现的OilRig工具（RDAT及反向shell程序VideoSRV），结合Check Point 2024年9月关于OilRig使用Whisper/Spearal渗透伊拉克政府网络的报告，佐证了BladedFeline作为OilRig子团队的可能性（区别于另一子团队Lyceum）。 ESET另发现名为Hawking Listener的早期植入程序，通过指定端口运行cmd.exe指令。该公司总结称：“BladedFeline针对KRG和伊拉克政府实施网络间谍活动，旨在维持对高层官员的战略访问。库尔德地区丰富的石油储备及与西方外交关系，使其成为伊朗相关行为体的诱人目标；而在伊拉克的行动，可能是为反制美国入侵后西方国家的影响力。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国地方报业巨头Lee Enterprises披露，2月遭遇的网络攻击导致近4万人的社保号码泄露。该公司于5月28日确认敏感信息外泄后，于本周三向缅因州监管机构提交通报。 2月3日发现的网络攻击使Lee Enterprises耗费数周时间恢复。后续调查证实，黑客窃取了39,779人的敏感信息。该公司在致受害者信函中表示已向美国联邦调查局（FBI）报案，承诺“配合调查并采取必要措施追究攻击者责任”，同时为受影响人群提供一年期免费信用监测服务。 发动攻击的麒麟（Qilin）勒索软件团伙宣称窃取该公司350GB数据。该俄罗斯黑客组织以攻击英国医疗系统等恶性事件闻名，本次攻击导致Lee旗下《圣路易斯邮报》《亚利桑那每日星报》《布法罗新闻》等多家报纸印刷及数字业务瘫痪。 总部位于爱荷华州的Lee Enterprises拥有约350种周报及专业刊物，覆盖25个州的72个市场。其向美国证交会提交的文件证实，黑客不仅窃取文件，还加密了影响产品分发、账单处理及供应商付款的“关键应用程序”。“事件对公司财务状况可能产生实质性影响”，公司2月向监管机构表示，“取证分析仍在评估潜在损失”。 上月财报电话会议上，CEO凯文·莫布雷透露事件恢复成本达200万美元，并指出报纸长期停刊导致广告收入受损。为此公司债权人已豁免其3月及4月的利息与租金支付。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 谷歌警告称，专业从事语音钓鱼（vishing）攻击的黑客组织UNC6040正针对Salesforce客户发起大规模数据窃取与勒索活动。该组织通过电话伪装成IT支持人员，诱骗目标企业员工授权恶意应用访问其Salesforce门户。 攻击过程中，UNC6040引导受害者访问Salesforce连接应用设置页面，诱导其批准经恶意篡改的Data Loader应用（Salesforce官方数据导入工具）的未授权版本。一旦获得访问权限，攻击者即可窃取企业Salesforce环境中的敏感信息，并利用这些数据实施勒索——部分案例中勒索行为发生在入侵数月后。 谷歌强调：“此类访问权限不仅直接导致数据外泄，更常成为横向渗透的跳板，使攻击者得以入侵其他云服务及企业内部网络。” 观测发现UNC6040利用Data Loader工具窃取数据后，已横向移动至Microsoft 365、Okta及Workplace等平台。 谷歌指出，所有案例中UNC6040仅依赖社会工程学实现初始入侵，未利用Salesforce平台漏洞（Salesforce数月前已预警此类攻击）。本次持续数月的攻击已波及美洲和欧洲约20家机构，涵盖教育、酒店、零售等多领域，具有明显的投机性特征。 该组织声称与臭名昭著的ShinyHunters黑客团伙存在关联（谷歌推测实为虚张声势），试图借此向受害者施压。其攻击基础设施同时托管用于钓鱼Okta凭证的欺诈面板，通话中还会索要用户密码及多因素认证码。 谷歌溯源发现，UNC6040的攻击策略与黑客团体“The Com”（Scattered Spider隶属该组织）高度重合，包括：通过IT支持实施社会工程、窃取Okta凭证、重点针对跨国企业英语用户等。这反映出威胁行为体正将IT支持人员作为入侵企业数据的核心突破口，凸显出日益严峻的安全趋势。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 户外品牌The North Face的母公司VF户外公司披露，其零售网站4月遭受数据泄露影响近3000名客户。VF户外公司（旗下还拥有JanSport和Timberland品牌）在向美国佛蒙特州及缅因州提交的数据泄露通知函中称，公司于4月23日首次发现异常活动，确认2861个账户遭非法访问。 调查显示，攻击者对The North Face官网发起凭据填充攻击——利用从其他渠道窃取的账号密码组合侵入用户账户。“攻击者极可能通过非本公司渠道获取您的邮箱与密码，再利用相同凭据入侵官网账户。”VF户外公司在声明中解释。公司强调本次事件未涉及法定必须通报的敏感信息，当前通知纯属“出于充分谨慎的考量”。 遭窃数据涵盖用户在官网的购买记录、收货地址、全名、出生日期及电话号码。支付信息未受波及，因信用卡数据由第三方支付平台托管，官网仅保留无法在非官网场景发起交易的令牌。VF户外公司已强制重置所有账户密码，并提醒客户：若在多平台使用相同密码应立即修改。本次事件不提供身份保护服务。 此次事件是VF户外公司近年第二起同类事故——2022年该公司曾向缅因州报告另一起凭据填充攻击，致近20万客户信息泄露。值得关注的是，该公司还是美国证监会新规生效首日首家申报“重大勒索软件攻击”的企业：2023年12月的攻击曾严重扰乱其订单处理系统。 The North Face遇袭之际，英美多领域零售商正持续遭受黑客组织Scattered Spider长达数月的攻击。上周女性时尚品牌Victoria’s Secret因安全事件被迫推迟财报发布；本周二卡地亚向客户发出系统遭入侵警告；阿迪达斯、迪奥与蒂芙尼近两周亦接连公告客户及员工数据泄露。美国联邦调查局已就此向主要零售商发布网络安全情报简报——此前该组织攻击目标已从英国零售商玛莎百货、Co-op转向美国企业。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰军事情报局（HUR）宣称入侵了俄罗斯国有航空巨头图波列夫公司的内部系统，此前数日乌方刚对俄空军基地发动突袭式无人机打击。此次入侵据称使乌方特工获取了超过4.4GB敏感数据，涵盖内部通信、人事档案、采购记录及闭门会议纪要。HUR声称现已掌握俄战略轰炸机部队维护人员的完整信息——该部队曾参与对乌克兰城市的导弹袭击。 “图波列夫对乌克兰情报机构已无秘密可言，”HUR向多家当地媒体发布的声明称，并强调：“此次行动的影响将在地面与空中同时显现。”该机构还表示已将图波列夫官网首页替换为猫头鹰抓握俄罗斯飞机的图案——这正是HUR网络行动的标志性符号。截至报道时，该网站仍无法访问。 相关说法尚未得到独立核实，图波列夫公司及俄官方均未就入侵事件公开置评。 此次声明发布前一周，乌克兰刚发动大规模无人机攻势，袭击了四个俄空军基地，据称摧毁或损坏逾40架由图波列夫设计的远程轰炸机，包括Tu-95、Tu-22M3及Tu-160机型。这些无人机据称是从俄境内隐蔽的移动平台发射的。 作为苏联航空工业遗产的继承者，自2022年俄罗斯全面入侵乌克兰以来，图波列夫公司持续受到美国及西方国家的制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员揭露了Meta和Yandex使用的新型追踪技术，该技术能在数十亿安卓用户浏览网页时有效去匿名化，即使用户开启无痕模式也无效。根据西班牙IMDEA Networks研究所、荷兰拉德堡德大学及比利时鲁汶大学联合报告，当安卓用户浏览网页时，Yandex（俄罗斯主要科技公司）和Meta的应用程序会在后台通过本地端口通信秘密监听网站数据。 这种技术绕过了安卓系统与浏览器的沙盒防护及其他安全措施。研究发现：“包括Facebook、Instagram以及Yandex地图、浏览器在内的多款应用，会为追踪目的在固定本地端口静默监听”。其运作原理如下： 网站脚本与应用的隐蔽通道：全球数百万网站嵌入了Meta Pixel或Yandex Metrica脚本。当用户访问这些网站时，脚本会通过本地回环接口（localhost）向对应应用发送数据，将浏览行为与实际用户关联。 规避隐私保护机制：该方法无视清除Cookie、无痕模式等常规隐私防护，甚至突破安卓权限控制。更严重的是，它为恶意软件窃取用户网页活动数据敞开大门。 具体技术细节显示： 端口监听机制：Meta Pixel通过WebRTC向UDP端口12580-12585传输Cookie，任何监听这些端口的应用均可接收；Yandex自2017年起使用端口29009、29010、30102和30103进行类似操作。 数据隐藏手段：Meta采用“SDP Minging”技术将含用户数据的Cookie隐藏在互联网技术消息中，规避检测工具分析。 波及范围：Meta Pixel嵌入超过580万个网站，Yandex Metrica覆盖近300万站点。 恶意软件可利用漏洞： 所有监听相同端口的应用均可截获网页追踪脚本与应用间的通信。实验证明Chrome、Firefox、Edge等主流浏览器均存在浏览历史泄露风险。 仅Brave浏览器因拦截本地请求而免疫此问题，DuckDuckGo因屏蔽列表缺失部分域名受轻微影响。 跨平台风险与厂商响应： iOS潜在威胁：虽然WebKit支持本地连接且应用可监听端口，但苹果对后台应用的严格限制可能阻止了该技术在iOS的部署。 Meta已停止行为：截至6月3日，Meta Pixel脚本已停止向本地端口发送数据，相关代码几乎被完全移除。 修复进展：主流安卓浏览器厂商已着手部署补丁，但研究人员警告需更全面的措施才能彻底解决问题。 两家公司均未在官方文档中披露此追踪机制，致使网站运营者与用户长期处于不知情状态。值得注意的是，这些追踪脚本甚至在用户看到Cookie同意弹窗前就已加载运行。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某勒索软件组织宣称从迪拜最负盛名的医院之一窃取了4.5亿条患者记录，并威胁将公开泄露这些数据。 6月4日，该组织在其暗网泄露站点更新声明，声称已从迪拜美国医院（AHD）窃取敏感数据，影响患者记录高达4.5亿条。 “我们已从AHD转储海量数据，即将追加其财务数据。请持续关注本网站，”声明采用常见施压手段逼迫医院就范。该组织威胁将于6月8日公开泄露被盗数据。截至发稿时，涉事医院尚未回应置评请求。 作为该地区最负盛名的私立医疗机构，迪拜美国医院成立于1996年，隶属Mohamed & Obaid Al Mulla集团。这家拥有254张床位的急症护理机构位于迪拜Oud Metha区，提供超过40个专科的医疗服务，以医疗创新著称（包括1800多例使用达芬奇Xi手术系统的机器人手术）。 失窃数据类型 攻击者宣称窃取未压缩总量达4TB的数据，包括： 个人资料与人口统计数据 信用卡号 账单历史记录 阿联酋身份证号 含健康状况和治疗方案的临床记录 尽管攻击者声称包含患者数据，但实际核查的样本数据主要涉及财务内容，涵盖医院内部财务报告、工资单及账单记录等文件。若其宣称属实，此次泄露将引发严重的隐私与监管风险——尤其在网络安全法规严格的地区涉及财务及国民身份证数据。 Gunra勒索软件背景 Gunra是勒索软件领域的新兴威胁组织，2025年4月首次出现后已累计攻击12个目标。该组织以房地产、制药和制造业为攻击目标，采用双重勒索策略（威胁泄露数据+加密文件）谋取经济利益。入侵系统后，该软件会快速加密文件并添加“.ENCRT”扩展名，同时在每个目录留下勒索信，详细说明付款及数据恢复步骤。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一场广泛传播的钓鱼攻击活动正在针对酒店服务行业，攻击者通过伪装Booking.com的恶意邮件诱骗收件人下载恶意软件。这些攻击采用名为ClickFix的欺骗性验证码系统，诱导受害者在Windows设备上运行恶意脚本。 该攻击活动自2024年11月活跃至今，在2025年3月达到高峰，占其总攻击量的47%。攻击者发送冒充Booking.com的邮件，要求酒店员工处理客户问题或确认预订信息。邮件中嵌入的链接会将用户导向伪造的验证码页面，触发恶意软件下载流程。 ClickFix页面提示用户完成“验证步骤”，要求通过Windows快捷操作复制并执行脚本。这些脚本通常安装远程访问木马（RAT）或信息窃取程序。据监测数据显示，53%的攻击载荷为XWorm远程木马，其余主要为Pure Logs窃密程序与DanaBot恶意软件。 近期攻击邮件呈现新特征： 以酒店声誉受损为威胁，设置24小时紧急处理期限 伪造客户预订需求，要求提前入住或特殊设施安排 发送虚假确认函，诱导员工点击恶意链接响应 部分变种甚至模仿Cookie同意弹窗，用户点击“接受”即触发恶意下载。尽管出现模仿Cloudflare的验证码变体，此类手法目前仍属少数。 该技术标志着钓鱼方法的转变：用户并非直接下载文件，而是在三步骤中无意执行恶意脚本： 验证码页面将隐藏脚本植入剪贴板 诱导受害者打开Windows运行命令框 粘贴并执行脚本以激活恶意程序 部分脚本末端伪装成验证码，进一步掩盖真实目的。监测数据显示75%的攻击使用Booking.com标识，但也观察到模仿Cloudflare等服务的变种。 该攻击活动的持续演进和高成功率，正使住宿与餐饮服务行业面临日益严峻的安全挑战。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文