HackerNews 编译，转载请注明出处： 美国MainStreet银行披露其合作供应商遭网络攻击，导致约5%客户敏感信息泄露。该行在提交美国证交会（SEC）的文件中表示，3月获知供应商系统被入侵后，立即终止了全部合作。4月下旬完成事件范围审查，未回应具体受害人数及信息类型的质询。 这家总部位于弗吉尼亚的银行在华盛顿特区设有55,000台ATM机及分支机构。调查确认银行自身系统未受入侵，未发生异常交易，客户账户资金安全无虞。银行已于5月26日通知监管机构及客户，并为受害人建立可疑活动监测系统。 银行声明该事件未产生重大运营影响。最新财报显示存款约19亿美元，净利润250万美元——而2024年该行曾亏损998万美元。 此次披露正值美国五大银行协会联合致函SEC要求废除网络安全事件强制披露规定之际。该2023年生效的规章遭国会与银行业持续抨击，被指增加合规风险成本、未能产生有效投资决策信息，反而“阻碍资本形成机制”。银行协会表示行业担忧已成现实：注册企业被迫在调查未完成时公开事件，导致市场获得无效信息，且黑客已将披露要求武器化——2023年阿尔法维勒索团伙就以此要挟金融软件公司MeridianLink，此类威胁正持续增多。 主要争议点聚焦于事件“重大性”判断标准：当前32份披露文件中仅9份在初报中确认重大影响，补充报告后总量也仅11份。协会指出标准混乱加剧市场不确定性，违背监管初衷。金融机构目前实际需遵守至少10项保密报告要求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国非营利医疗集团Covenant Health遭遇网络攻击，其运营的三家医院紧急关闭所有系统以控制安全事件影响。圣玛丽医疗系统公告称：“当前系统临时故障影响部分电话及病历系统，医疗服务仍在继续，但部分科室候诊时间可能延长”。新罕布什尔州圣约瑟夫医院则通知：“5月27日门诊实验室服务临时调整，仅主院区可接收持纸质检验单的患者”。 这家天主教背景的区域医疗集团在新英格兰地区运营多家医院、养老院及辅助生活机构。2025年5月26日爆发的网络攻击使其旗下医院、诊所全面断网，目前尚不确定是否涉及数据窃取或勒索软件。院方已聘请顶级网络安全专家介入调查，核心医疗服务仍维持运转，但部分系统及检验科室受到影响。 除圣约瑟夫医院外，缅因州两家医疗机构同样遭波及，院方建议患者按原计划就诊。“发现网络异常后，我们立即切断了所有医疗机构的数据系统访问权限，”集团发言人表示，“正全力保障正常医疗服务，患者可照常赴约，如有疑问请咨询主治医生办公室”。截至发稿，尚无勒索组织宣称对事件负责。 2025年美国医疗系统频遭网络攻击：3月RansomHouse团伙宣称窃取芝加哥洛雷托医院1.5TB敏感数据；4月Interlock勒索组织攻击肾脏透析巨头DaVita并泄露数据。据记录，2024年全美医疗机构遭遇98起勒索攻击，涉及1.17亿条记录，典型案例如Change Healthcare（1亿条）、波士顿儿童健康医生集团（90.9万条）等数据泄露事件。医院遭遇攻击后往往被迫启用纸质化应急流程。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 若企业主、关键基础设施实体员工或政府部门/机构人员遭遇勒索软件攻击并支付赎金，须依法向澳大利亚当局报告。 年营业额达300万澳元及以上的组织，须在支付赎金后72小时内向澳大利亚信号局（ASD）报告勒索软件或网络勒索付款情况，关键基础设施相关组织同样适用此规定。报告须包含企业及联系人信息、网络安全事件全部已知细节：事件发现时间、被利用漏洞、勒索软件变种或恶意软件类型、攻击责任方、企业自身或第三方中介支付的具体金额，以及与威胁行为者的所有通信记录。 若未支付赎金则无强制报告义务。例如仅收到勒索要求但拒绝付款时，无需上报事件。 ASD强调，无论网络安全事件是否源自境外或影响海外实体，均不影响报告义务。“若受影响的报告企业（直接或间接受害）收到勒索要求并选择付款，必须提交报告”，ASD在常见问题解答（FAQ）中明确说明。 强制付款报告制度已于5月30日（周五）生效。2025年底前的初始阶段将重点开展合规宣传而非立即处罚。逾期72小时未提交赎金报告的企业将面临19,800澳元罚款。 澳大利亚成为全球首个推行强制赎金报告制度的国家。此举早有预兆——去年该国政府实体、关键基础设施和企业持续遭受国家背景黑客组织的攻击。ASD在年度网络威胁报告中指出：“这些行为体为实现国家目标开展网络行动，包括间谍活动、恶意影响、干涉胁迫，以及预置网络破坏能力。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧美执法机构宣布取缔全球最猖獗的反杀毒软件（CAV）服务平台AVCheck。该平台允许恶意软件开发者检测其代码能否被商业杀毒工具识别，从而设计更隐蔽有效的恶意软件。 荷兰国家警察5月31日通报，其与美国、芬兰执法部门协同捣毁该平台，重创网络犯罪生态关键环节。荷兰高科技犯罪调查组负责人Matthijs Jaspers称此为打击网络犯罪的“重要一步”：“此举将提前阻断犯罪链条，保护潜在受害者。多年调查已掌握AVCheck及其关联服务Cryptor.biz、Crypt.guru管理员与用户的关键证据。” 查封公告以英俄双语发布，指出行动成功“源于管理员的失误”，并强调：“管理员未能兑现其安全承诺。执法部门已接管AVCheck服务器，查获含用户名、邮箱、支付信息等的用户数据库。”调查人员正据此追查该服务的犯罪使用者。 此次5月27日的取缔行动与2024年5月启动的“终局行动”密切相关——该行动旨在打击传播IcedID、SystemBC等初始入侵恶意软件的犯罪网络。Jaspers表示：“网络罪犯追踪难度高，必须通过跨国协作与公私合作提升数字安全防御能力。”美国司法部声明呼应此观点，检察官Nicholas Ganjei指出：“现代犯罪威胁需要现代执法手段。端掉此类恶意工具供应商，相当于切断网络犯罪的输血通道。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 预装应用曝高危漏洞！Ulefone与Krüger&Matz安卓设备存在三项安全缺陷，可致任意应用触发恢复出厂设置及加密应用。漏洞详情如下： CVE-2024-13915（CVSS评分6.9） Ulefone与Krüger&Matz设备预装的“com.pri.factorytest”应用暴露“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置。 CVE-2024-13916（CVSS评分6.9） Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法（路径：com.android.providers.settings.fingerprint.PriFpShareProvider）允许恶意应用窃取用户设置的PIN码——该PIN码本用于通过生物识别或手动输入加密任意应用。 CVE-2024-13917（CVSS评分8.3） 同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。 虽然利用CVE-2024-13917需知晓PIN码，但结合CVE-2024-13916的PIN窃取能力可形成完整攻击链。波兰计算机应急响应中心（CERT Polska）披露漏洞并致谢研究员Szymon Chadam，目前厂商修复状态尚不明确。The Hacker News已联系涉事企业，将及时更新进展。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一场新的鱼叉式钓鱼攻击活动正在利用名为 Netbird 的合法远程访问工具，针对欧洲、非洲、加拿大、中东和南亚地区的银行、能源公司、保险公司和投资公司的首席财务官（CFO）和财务高管。 “这似乎是一场多阶段的钓鱼行动，攻击者的目标是在受害者的计算机上部署 NetBird，一种基于 WireGuard 的合法远程访问工具，” Trellix 研究员 Srini Seethapathy 在一份分析报告中表示。该活动由该网络安全公司于 2025 年 5 月中旬首次发现，尚未归因于任何已知的威胁行为者或组织。 攻击的起点是一封冒充 Rothschild & Co 公司招聘人员的钓鱼邮件，声称提供该公司的“战略机会”。该邮件旨在诱使收件人打开一个声称是 PDF 附件的内容，实际上这是一个钓鱼链接，会将他们重定向到一个托管在 Firebase 应用上的 URL。 此次感染的一个显著特点是，真正的重定向 URL 以加密形式存储在页面中，只有在受害者通过验证码（CAPTCHA）验证检查后才能访问，最终导致下载一个 ZIP 压缩包。 “解决验证码谜题会执行一个 [JavaScript] 函数，该函数使用硬编码密钥对其进行解密，并将用户重定向到解密后的链接，” Seethapathy 说。“攻击者越来越依赖这些自定义的验证码关卡，希望能绕过那些已经标记了受 Cloudflare Turnstile 或 Google reCAPTCHA 保护的钓鱼网站的防御系统。” 压缩包中包含一个 Visual Basic 脚本（VBScript），负责从外部服务器检索下一阶段的 VBScript 并通过 “wscript.exe” 启动它。这个第二阶段的 VBScript 下载器随后从同一服务器获取另一个有效载荷，将其重命名为 “trm.zip”，并从中提取两个 MSI 文件：NetBird 和 OpenSSH。 最后阶段涉及在受感染主机上安装这两个程序、创建一个隐藏的本地账户、启用远程桌面访问，并通过计划任务（例如在系统重启时自动启动）使 NetBird 持久化。该恶意软件还会删除任何 NetBird 桌面快捷方式，以确保受害者无法发现入侵。 Trellix 表示，他们还识别出另一个活跃了近一年的重定向 URL，提供相同的 VBScript 有效载荷，表明该活动可能已存在一段时间。 这些发现再次表明，对手越来越依赖合法的远程访问应用程序（如 ConnectWise ScreenConnect、Atera、Splashtop、FleetDeck 和 LogMeIn Resolve）来建立持久性，并利用其深入受害者网络，同时规避检测。 “这次攻击并非典型的钓鱼骗局，” Seethapathy 说。“它精心设计、目标明确、手法隐蔽，旨在绕过技术和人员的防御。这是一个多阶段的攻击，对手利用社会工程学和防御规避技术来创建并维持对受害者系统的持久访问。” 该披露恰逢在野发现各种基于电子邮件的社交工程活动： 滥用与知名日本互联网服务提供商 (ISP) 关联的可信域名发送钓鱼邮件，邮件地址为 “company@nifty[.]com”，试图绕过电子邮件身份验证检查并窃取凭证。 滥用 Google Apps Script 开发平台托管看似合法的钓鱼页面，通过发票主题的邮件诱饵窃取 Microsoft 登录凭证。 模仿 Apple Pay 发票窃取敏感用户数据，包括信用卡详情和 Yahoo Mail 账户信息。 滥用 Notion 工作区托管钓鱼页面，诱使用户点击链接，在查看共享文档的幌子下将受害者带到虚假的 Microsoft 登录页面，并通过 Telegram 机器人窃取凭证。 利用 Microsoft Office 中一个存在多年的安全漏洞 (CVE-2017-11882) 来投递隐藏在虚假 PNG 文件中的 Formbook 恶意软件变种，并从受感染主机窃取敏感数据。 这些发现也出现在 Trustwave 详细说明 Tycoon 和 DadSec（又名 Phoenix）钓鱼工具包之间运营联系之际，强调了它们的基础设施重叠以及集中式钓鱼基础设施的使用。DadSec 是由 Microsoft 以代号 Storm-1575 追踪的威胁行为者的作品。 “DadSec 使用的基础设施也与一个利用 ‘Tycoon 2FA’ 钓鱼即服务 (PhaaS) 平台的新活动相关联，” Trustwave 研究人员 Cris Tomboc 和 King Orande 说。“对 Tycoon2FA 钓鱼工具包的调查揭示了对手如何在钓鱼即服务 (PhaaS) 生态系统中持续完善和扩展其策略。” PhaaS 服务日益普及的证据是，出现了一个名为 Haozi 的新“即插即用”中文工具包。据估计，该工具包在过去五个月中通过向第三方服务销售广告，促成了价值超过 28 万美元的犯罪交易。它以每年 2000 美元的订阅费运营。 “与需要攻击者手动配置脚本或基础设施的传统钓鱼工具包不同，Haozi 提供了一个简洁的公共网络面板，” Netcraft 说。“一旦攻击者购买服务器并将其凭据输入面板，钓鱼软件就会自动设置，无需运行任何命令。” “这种无摩擦的设置与其他 PhaaS 工具（如支持 AI 的 Darcula 套件）形成对比，后者仍需少量命令行操作。” 除了支持管理员面板（用户可以在一个地方管理所有活动）外，Haozi 还被发现提供广告位，充当中间人连接钓鱼工具包买家与第三方服务（例如与短信供应商相关的服务）。 Haozi 区别于其他工具包的另一个方面是，它有一个专门的售后 Telegram 频道 (@yuanbaoaichiyu)，帮助客户调试问题和优化活动，这使其成为那些没有技术专长的网络犯罪新手的诱人选择。 “随着企业安全团队在检测和应对入侵尝试方面变得更加有效，攻击者正在部署社会工程学和钓鱼诈骗等策略，这些策略不需要突破加固的边界，” Netcraft 研究员 Harry Everett 说。 “PhaaS 产品通过自动化和社区支持降低了技能门槛并扩大了活动规模。这些新模式运作起来更像是 SaaS 企业而非黑市黑客组织，拥有订阅定价、客户服务和产品更新等全套服务。” Microsoft 在上周发布的一份公告中进一步揭示了随着多因素身份验证 (MFA) 的普及，PhaaS 平台如何日益推动中间人攻击 (AiTM) 凭证钓鱼。 其他一些技术包括设备代码钓鱼；OAuth 同意钓鱼（威胁行为者利用开放授权 (OAuth) 协议发送包含第三方应用程序恶意同意链接的电子邮件）；设备加入钓鱼（威胁行为者使用钓鱼链接诱骗目标授权其控制的设备加入域）。 这家 Windows 制造商表示，观察到疑似与俄罗斯有关的威胁行为者使用第三方应用程序消息或提及即将举行的会议邀请的电子邮件来投递包含有效授权码的恶意链接。设备加入钓鱼技术由 Volexity 在 2025 年 4 月首次记录。 “虽然最终用户和自动化安全措施在识别恶意钓鱼附件和链接方面都变得更有能力，但动机明确的威胁行为者继续依赖利用人类行为进行有说服力的诱骗，” Microsoft 身份部门企业副总裁兼副首席信息安全官 Igor Sakhnov 表示，“由于这些攻击依赖于欺骗用户，用户培训和了解常见的社会工程学技术是防御它们的关键。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部宣布制裁菲律宾科技公司Funnull Technology，该公司通过运营数十万个恶意网站支持网络诈骗活动，造成美国民众损失超2亿美元。Funnull通过批量采购云服务IP地址并向网络罪犯出售这些地址及托管服务，为虚拟货币投资骗局（即“杀猪盘”骗局）提供基础设施支持。 此类骗局中，犯罪分子通过交友网站、社交媒体和即时通讯应用接触受害者，建立信任后诱使其参与虚假投资计划。诈骗者将资金转移至其控制的账户而非实际投资，最终窃取受害人财产。该公司利用域名生成算法（DGA）批量生成独特域名，并为犯罪团伙提供仿冒知名品牌的网站模板，同时协助其快速切换IP地址和域名以规避封禁措施。 “向联邦调查局（FBI）报告的虚拟货币投资诈骗网站中，绝大多数与Funnull存在关联，”美国财政部外国资产控制办公室（OFAC）周四声明指出，“美国受害者因此类诈骗网站造成的损失总额超过2亿美元，人均损失逾15万美元。” 制裁令生效后，美国公民及机构禁止与Funnull进行任何交易，其在美资产将被冻结。与之开展交易的金融机构及外国实体亦可能面临处罚。 FBI同步发布技术警报披露关键指标： 2025年1月至今识别出548个专属Funnull规范名（CNAME） 关联超33.2万个独立域名 2023年2月至2025年4月间，抽样分析的8个域名呈现三种CNAME活动模式 2023年10月至2025年4月期间，使用Funnull基础设施的域名观测到多类IP活动模式 数百个域名在同一时间段内集体迁移IP地址 FBI上月披露数据显示：2024年网络罪犯从美国民众处窃取创纪录的166亿美元，其中投资诈骗造成逾65亿美元损失，较上年激增33%。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IT管理软件巨头ConnectWise披露遭遇疑似国家级黑客攻击，其ScreenConnect远程工具部分云客户环境遭入侵。公司公告称：“近期发现可疑活动，经研判系复杂国家级攻击者所为，受影响ScreenConnect客户数量极少。”目前ConnectWise已联合曼迪昂特开展取证调查，并协调执法部门处理。 这家佛罗里达企业为托管服务商（MSP）提供IT管理、远程监控及网络安全解决方案，ScreenConnect作为核心产品可实现技术人员对客户系统的安全远程维护。据CRN报道，ConnectWise已实施网络强化措施并部署增强监控系统，宣称客户环境未发现后续异常活动。 尽管ConnectWise拒绝透露具体受影响客户数、入侵时间及是否观察到恶意活动，但消息人士向BleepingComputer透露：攻击实际发生于2024年8月，公司直至2025年5月才察觉，且仅波及云托管版ScreenConnect实例。MSP服务商CNWR总裁杰森·斯拉格尔证实受害者数量极少，暗示攻击者实施的是精准定向攻击。 Reddit论坛用户披露关键细节：事件与CVE-2025-3935漏洞相关。该高危漏洞影响ScreenConnect 25.2.3及更早版本，因ASP.NET ViewState反序列化缺陷导致代码注入。拥有系统特权的攻击者可窃取服务器密钥构造恶意载荷，最终实现远程代码执行。ConnectWise虽未确认漏洞遭利用，但承认已于4月24日修复该“高危”漏洞，并在公开披露前完成云平台（screenconnect.com/hostedrmm.com）补丁更新。 鉴于仅云托管实例受影响，安全专家推测攻击者可能先入侵ConnectWise系统窃取密钥，进而通过RCE控制ScreenConnect服务器渗透客户环境。多位客户向BleepingComputer投诉ConnectWise拒绝提供入侵指标（IOC）及事件细节，致使客户无法有效排查风险。值得警惕的是，ScreenConnect去年曝光的CVE-2024-1709漏洞曾被勒索团伙及朝鲜APT组织用于恶意软件攻击。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露苹果Safari浏览器存在设计缺陷，攻击者可利用全屏模式实施“浏览器中间人攻击”（BitM）窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时，Safari缺乏明确警示机制，使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司SquareX指出，攻击者通过滥用全屏API实现三重欺骗： 利用noVNC等开源工具在受害者会话层叠加远程控制浏览器 通过赞助广告/社交媒体推送伪造目标服务登录页链接 当用户点击登录按钮时激活隐藏的BitM窗口 典型案例显示，攻击者伪造Steam和Figma登录页诱导用户输入凭证。由于登录过程实际发生在攻击者控制的浏览器中，受害者仍能正常登录账户，难以察觉信息泄露。值得注意的是，此类攻击能规避端点检测（EDR）及安全访问服务边缘（SASE/SSE）等防护方案。 浏览器防护机制对比显示： Firefox/Chrome/Edge进入全屏时强制弹出警示框 Safari仅显示易被忽略的滑动动画 SquareX研究人员强调：“尽管所有浏览器均受影响，但Safari因缺乏视觉警示使攻击更具欺骗性。” 苹果公司收到漏洞报告后回应称“无意修复”，认为现有动画提示已足够。目前安全社区正推动苹果重新评估该决定。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化金融平台Cork Protocol周三凌晨遭黑客攻击，价值超1200万美元的加密货币被盗。联合创始人菲尔·福格尔宣布平台已暂停所有交易活动。 公司声明证实：“UTC时间11:23 wstETH:weETH交易市场遭受安全攻击。作为预防措施，其他所有交易市场均已暂停，目前仅该市场受影响。”尽管未回应具体攻击细节，但多家区块链安全公司追踪数据显示，黑客盗取4530枚以太坊（时值约1210万美元）。 这家特拉华州注册的平台专注于DeFi领域“脱锚风险”对冲交易（指锚定资产的加密货币因市场波动或流动性危机偏离设定价值，如2023年硅谷银行倒闭引发的稳定币危机）。其产品定位为“填补DeFi领域信用违约互换等传统金融工具的空白”，去年曾获安德森·霍洛维茨基金投资并参与其加密创业加速计划。 此次攻击距去中心化交易所Cetus遭窃2.23亿美元仅隔五日。更早前Bybit平台今年初损失超14亿美元。安全机构PeckShield统计显示，2024年加密货币平台累计损失逾30亿美元，较2023年增长15%。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文