HackerNews 编译，转载请注明出处： 英国法律援助署（LAA）确认，近期遭受的网络攻击实际影响远超最初评估，攻击者已窃取大量包含申请人敏感信息的数据。这一结论由深度参与调查的英国政府正式公布。 LAA作为英国司法部下设的执行机构，负责为无力承担法律费用的人群提供法律咨询、诉讼代理等法律援助服务。其援助资格审核涵盖申请人的收入、资产状况及案件性质（涉及家庭法、住房、债务、移民、心理健康和刑法等领域）。 本月初，该机构首次披露遭遇安全事件，称少量财务信息可能遭泄露。但最新发布于英国政府门户网站的公告显示事态更为严峻：自2010年至今的大量数据或已遭窃。公告指出：“5月16日（周五），我们发现攻击波及范围远超预期，攻击组织已获取与法律援助申请人相关的大量信息。据信该组织已访问并下载了自2010年以来通过我们数字服务申请法律援助人群的大量个人数据。” 潜在泄露数据包括： 联系方式 出生日期 国民身份证号 犯罪记录 就业状态 法律费用分摊金额、债务与支付记录 英国政府建议所有申请人警惕针对性的诈骗行为，强调在共享敏感信息前需验证通信真实性。法律援助署首席执行官Jane Harbottle就事件致歉，表示“对此深表遗憾”，并承诺将尽快提供更多进展通报。目前，所有LAA系统已在国家网络安全中心（NCSC）协助下完成加固，线上申请服务已暂时关闭。 此次事件正值英国合作社、哈罗德百货、玛莎百货等零售企业遭受灾难性攻击之际，相关攻击被认为与Scattered Spider组织有关联，攻击者试图在受感染网络部署DragonForce勒索软件。目前尚不清楚LAA事件是否与这些攻击存在关联。根据谷歌安全研究人员的追踪，该组织近期已将攻击目标转向美国。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Arla Foods向BleepingComputer证实，其生产运营因遭遇网络攻击而中断。 这家丹麦食品巨头澄清称，攻击仅影响其位于德国Upahl的生产部门，但预计将导致产品交付延迟甚至取消。“我们可以确认，在德国Upahl乳制品厂发现的可疑活动影响了当地IT网络，”Arla发言人表示，“出于安全考虑启动的应急措施导致生产暂时受阻。” Arla Foods是一家国际化乳制品生产商，拥有7,600名成员的农民合作社，在39个国家雇佣23,000名员工。该公司年收入达138亿欧元（约合15.5亿美元），旗下Arla、Lurpak、Puck、Castello和星巴克等品牌产品销往全球140个国家。 Arla向BleepingComputer透露，目前正全力恢复受影响工厂的运营，预计本周末前将取得进展。“自事件发生以来，我们始终致力于全面恢复运营。预计未来几天该工厂将恢复正常，其他生产基地未受影响。”考虑到有关生产中断的消息最早于周五传出，部分地区可能出现产品短缺。“我们已通知受影响客户可能存在延迟交付或取消订单的情况。”发言人补充道。 BleepingComputer曾询问此次攻击是否涉及数据窃取或加密（勒索软件攻击的典型特征），但Arla目前拒绝透露更多细节。与此同时，尚未有勒索组织在勒索门户网站宣称对此次事件负责，因此攻击类型与实施者仍属未知。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者至少持续八个月分发被植入木马的KeePass密码管理器版本，用于安装Cobalt Strike信标、窃取凭证并最终在攻陷网络中部署勒索软件。 WithSecure威胁情报团队在调查某次勒索攻击时发现了该活动。研究人员发现，攻击始于通过Bing广告推广的虚假软件网站传播恶意KeePass安装程序。 由于KeePass是开源软件，攻击者通过修改源代码构建了名为KeeLoader的木马版本。该版本保留了密码管理器的全部正常功能，但被植入了安装Cobalt Strike信标的代码，并将KeePass密码数据库以明文形式导出，随后通过信标实施窃取。 WithSecure指出，本次活动中使用的Cobalt Strike水印与某初始访问代理（IAB）存在关联，该代理疑似曾参与Black Basta勒索软件攻击。Cobalt Strike水印是嵌入信标的唯一标识符，与生成载荷时使用的许可证绑定。 “这种水印常见于涉及Black Basta勒索软件的信标和域名。很可能是由与Black Basta密切合作的初始访问代理使用，”WithSecure解释道，“我们尚未发现其他使用此Cobalt Strike信标水印的事件（无论是勒索软件还是其他类型），但这不意味着此类事件不存在。” 研究人员发现多个KeeLoader变种已通过合法证书签名，并借助keeppaswrd[.]com、keegass[.]com和KeePass[.]me等仿冒域名传播。BleepingComputer证实，keeppaswrd[.]com网站仍在运营，持续分发带毒安装程序（VirusTotal检测记录）。 除部署Cobalt Strike信标外，木马化KeePass程序还包含密码窃取功能，可窃取用户输入的所有凭证。WithSecure报告指出：“KeeLoader不仅被改造为恶意软件加载器，其功能还被扩展以实现密码数据库窃取。当KeePass数据库被打开时，账户、登录名、密码、网站及备注信息会以CSV格式导出至%localappdata%目录，文件名采用100-999之间的随机整数值。” 在WithSecure调查的案例中，攻击最终导致该公司的VMware ESXi服务器遭勒索软件加密。进一步调查发现，攻击者构建了庞大基础设施用于分发伪装成合法工具的恶意程序，以及用于窃取凭证的钓鱼页面。 aenys[.]com域名被用于托管多个仿冒知名企业的子域名，包括WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank和DEX Screener。这些子域名分别用于分发不同恶意软件变种或实施凭证窃取。 WithSecure以中等置信度将该活动归因于UNC4696组织，该团伙此前与Nitrogen Loader攻击活动存在关联。早期的Nitrogen活动涉及BlackCat/ALPHV勒索软件。 安全专家建议用户始终从官方网站下载软件（尤其是密码管理器等高敏感度工具），并避免点击广告中的链接。即使广告显示的是软件服务的正确URL，也应保持警惕——攻击者已多次证明其有能力绕过广告政策，在显示真实URL的同时将用户导向仿冒网站。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： RVTools的官方网站遭到黑客攻击，开始提供被篡改的流行VMware环境报告工具的安装程序。 “Robware.net和RVTools.com目前处于离线状态。我们正在紧急恢复服务，感谢您的耐心等待，”该公司在其网站上发布的声明中表示，“Robware.net和RVTools.com是唯一授权且受支持的RVTools软件下载网站。请勿从任何其他网站或来源搜索或下载所谓的RVTools软件。” 这一事件源于安全研究员Aidan Leon的披露：从该网站下载的受感染安装程序版本被用于侧载一个恶意DLL，该DLL最终被证实是名为Bumblebee的已知恶意软件加载器。目前尚不清楚这个被植入木马的RVTools版本可供下载的时间有多长，也不清楚在该网站下线前有多少用户安装了该版本。在此期间，建议用户验证安装程序的哈希值，并检查用户目录中任何version.dll的执行情况。 此次曝光恰逢另一事件：Procolored打印机提供的官方软件被发现包含一个基于Delphi的后门程序XRed，以及名为SnipVex的剪贴板劫持恶意软件。后者能够将剪贴板中的钱包地址替换为硬编码的攻击者地址。YouTube频道Serial Hobbyism的运营者Cameron Coward最早发现了这些恶意活动细节。 据信至少从2019年就开始活跃的XRed具备收集系统信息、记录键盘输入、通过连接的USB设备传播，以及执行来自攻击者控制服务器的命令（用于截取屏幕截图、枚举文件系统和目录、下载文件、删除系统文件）等功能。G DATA研究员Karsten Hahn对此事件进行了深入调查后指出：“[SnipVex]会搜索剪贴板中类似BTC地址的内容，并将其替换为攻击者的地址，从而使加密货币交易资金被转移到攻击者手中。” 值得注意的是，该恶意软件通过向.EXE文件注入剪贴板劫持功能进行传播，并在文件末尾使用感染标记序列0x0A 0x0B 0x0C以避免重复感染。截至目前，相关钱包地址已收到9.30857859 BTC（约合97.4万美元）。 Procolored公司承认，这些软件包是2024年10月通过USB设备上传至Mega文件托管服务的，恶意软件可能在此过程中被植入。目前仅限F13 Pro、VF13 Pro和V11 Pro产品提供软件下载。Hahn补充说明：“自2024年2月以来，该恶意软件的指挥控制服务器一直处于离线状态。因此XRed在此日期之后无法建立成功的远程连接。但与之配套的剪贴板银行木马SnipVex仍是严重威胁。尽管BTC地址在2024年3月3日之后未再收到交易，文件感染本身仍会对系统造成损害。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部对12名嫌疑人提出指控，称其涉嫌参与一系列加密货币盗窃及后续洗钱活动，涉案金额达数亿美元。指控包括用于打击有组织犯罪的RICO共谋罪、电汇欺诈共谋、洗钱和妨碍司法公正。案件中的两名新增嫌疑人——20岁的Malone Lam和21岁的Jeandiel Serrano——于2024年9月被捕，被控通过社会工程攻击从华盛顿特区一名受害者处窃取约2.45亿美元。 司法部表示，该团伙成员最初通过在线游戏平台结识。自2023年10月起，他们利用窃取数据库中的信息锁定持有大量加密货币的潜在目标。据称部分嫌疑人“主动致电受害者，通过社会工程手段说服他们其账户正遭受网络攻击，而团伙成员试图帮助保护账户”。 检方指控该团伙通过多种骗局获利，包括一笔1400万美元和另一笔290万美元的盗窃。2024年7月，Lam入侵某受害者的iCloud账户以监控其位置。随后19岁的Marlon Ferro闯入该目标位于新墨西哥州的住宅，窃取与其加密账户关联的硬件设备。 2024年8月，据加密货币调查员ZachXBT（自称协助执法部门研究此案）透露，Lam和四名未具名嫌疑人瞄准加密借贷平台Genesis的债权人。他们冒充加密货币交易所Gemini的客服人员，谎称受害者账户被黑，指示其重置多因素认证并将资金转入被控钱包，同时诱骗受害者使用AnyDesk共享屏幕导致私钥泄露。 ZachXBT发布的视频据称记录了该团伙盗取资金时的实时反应，视频中有人反复高喊“我们搞定了！”。 检方称，该团伙成员利用非法所得过着奢侈生活，使用伪造文件在佛罗里达和加州租赁豪宅，乘坐私人飞机前往汉普顿，并购买多辆豪车。在为期三周的时间内，他们涉嫌在洛杉矶夜店挥霍400万美元。 嫌疑人Kunal Mehta、Hamza Doost、Joel Cortez和Evan Tangeman被控参与洗钱活动。据称担任数据库黑客兼团伙组织者的Conor Flansburg曾对Lam发出疑问：“我们怎么都比别人强这么多……我们怎么在几个月内就超越了那些混了八年圈子的人？” 起诉书显示，2024年9月18日，一名休班执法人员告知Lam警方正在逼近。在警察抵达其迈阿密住所实施逮捕前，Lam走向屋后通往比斯坎湾的码头，将手机扔入水中。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苏黎世联邦理工学院（ETH Zürich）的研究人员发现了一个新的安全漏洞，影响所有现代英特尔CPU并导致内存敏感数据泄露，这表明被称为Spectre的漏洞在七年后仍在持续影响计算机系统。该漏洞被命名为分支特权注入（BPI），“可被利用来滥用CPU（中央处理器）的预测计算，从而未经授权获取其他处理器用户的信息”。 研究作者之一、计算机安全组（COMSEC）负责人Kaveh Razavi表示，该缺陷影响所有英特尔处理器，可能使攻击者读取处理器缓存内容及同一CPU其他用户的工作内存。该攻击利用分支预测器竞态条件（BPRC），当处理器为不同权限用户切换预测计算时，未授权的黑客可借此绕过安全屏障获取特权进程的机密信息。 英特尔已发布微码补丁修复该漏洞（CVE编号CVE-2024-45332，CVSS v4评分5.7）。在5月13日的公告中，英特尔称“某些英特尔处理器间接分支预测器中由共享微架构预测状态引发的敏感信息泄露，可能允许已认证用户通过本地访问实现信息泄露”。 与此同时，阿姆斯特丹自由大学系统与网络安全组（VUSec）的研究人员披露了一类自训练Spectre v2攻击（代号Training Solo）。VUSec表示：“攻击者可在同一域（如内核）内推测劫持控制流，跨权限边界泄露机密，无需依赖eBPF等强大沙箱环境即可重现经典Spectre v2场景。” 这两个硬件漏洞（CVE-2024-28956和CVE-2025-24495）可针对英特尔CPU以最高17 KB/s的速度泄露内核内存。研究发现它们能“完全打破域隔离，重新启用传统用户-用户、虚拟机-虚拟机甚至虚拟机-宿主机Spectre-v2攻击”： CVE-2024-28956（CVSS v4评分5.7）：间接目标选择（ITS）漏洞，影响第9-11代英特尔酷睿及第2-3代至强等处理器 CVE-2025-24495（CVSS v4评分6.8）：Lion Cove分支预测单元问题，影响采用Lion Cove核心的英特尔CPU 尽管英特尔已发布微码更新修复这些缺陷，AMD表示已修订现有Spectre和Meltdown漏洞指南，明确强调使用经典伯克利数据包过滤器（cBPF）的风险。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙成员越来越多地使用名为Skitnet（又名“Bossnet”）的新型恶意软件，在已入侵的网络中实施隐蔽的入侵后活动。 该恶意软件自2024年4月起在RAMP等地下论坛出售，但网络安全公司Prodaft的研究人员称，其真正在勒索团伙中流行始于2025年初。Prodaft向BleepingComputer证实，已观察到BlackBasta、Cactus等多个勒索组织在真实攻击中部署Skitnet，例如BlackBasta曾利用该工具通过微软Teams钓鱼攻击渗透企业网络。 Skitnet感染始于在目标系统上投放并执行的Rust语言编写的加载器，该加载器会解密经过ChaCha20算法加密的Nim语言二进制文件，并将其加载至内存运行。Nim模块随后建立基于DNS的反向Shell连接（通过随机生成DNS查询发起），与C2服务器通信。恶意软件启动三个独立线程： 发送心跳DNS请求的线程 监控并外传Shell输出的线程 监听并解密DNS响应指令的线程 通过Skitnet的C2控制面板，攻击者可查看目标IP地址、地理位置和设备状态，并通过HTTP或DNS协议发送执行指令。支持的核心命令包括： startup：通过下载三个文件（含恶意DLL）并在启动文件夹创建指向华硕合法程序ISP.exe的快捷方式实现持久化，触发DLL劫持执行PowerShell脚本pas.ps1维持C2通信。 Screen：使用PowerShell截取桌面截图，上传至Imgur图床后向C2发送图片链接。 Anydesk：静默安装AnyDesk远程工具并隐藏窗口和通知托盘图标。 Rutserv：静默安装另一款合法远程工具RUT-Serv。 Shell：启动PowerShell命令循环，每5秒轮询服务器获取新指令并通过Invoke-Expression执行。 Av：通过查询WMI（SELECT * FROM AntiVirusProduct in root\SecurityCenter2）枚举已安装杀毒软件信息并回传。 除基础指令外，攻击者还可利用.NET加载器在内存中执行PowerShell脚本，实现更深度的攻击定制。尽管勒索组织常使用低杀毒检出率的定制化工具，但这些工具开发成本高昂且需要稀缺的技术人才（尤其对中小型团伙而言）。使用Skitnet这类现成恶意软件成本更低、部署更快，且多团伙共用可增加溯源难度。Prodaft已在GitHub公开该恶意软件的入侵指标（IoCs）。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时移动虚拟网络使能者（MVNE）公司Effortel发生数据泄露，导致三家移动虚拟网络运营商（MVNO）——Carrefour Mobile、Neibo和Undo——的7万名客户个人信息遭窃。此次事件发生在该公司中央数据库的测试阶段，攻击者通过侵入MVNO与Telfort之间的支持门户获取了测试生成的客户数据文件。 泄露信息包含客户姓名、出生日期、电子邮箱、电话号码、住址、护照号码、用户编号及SIM卡技术识别码等敏感数据。Effortel总经理Laurent Bataille解释称：“约60%-65%的客户通过在线支付验证身份，此类用户身份数据未被存储，仅保留支付ID（需通过支付服务商才能关联到个人信息）。” Bataille呼吁受影响客户警惕钓鱼攻击，强调诈骗者可能利用泄露数据伪造精准骗局。值得注意的是，此次事件已是相关企业近期第二起重大数据泄露： 上月：Carrefour Mobile报告6.4万名客户信息被盗； 三周前：Undo曾警告遭遇网络攻击，客户数据被非法窃取。 Effortel作为技术服务商，为全球30多家MVNO提供计费、SIM卡激活等平台支持，其业务模式依赖与实体网络运营商（如Proximus）的协作。此次漏洞暴露了MVNE生态链中第三方测试环节的安全盲区，攻击者通过渗透测试环境间接劫持客户数据流。比利时数据保护机构已介入调查，初步认定涉事企业存在未加密存储测试数据、支持门户访问控制失效等违规行为。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意攻击者利用AI技术伪造美国高级官员身份，通过短信和语音钓鱼（分别称为smishing和vishing）实施诈骗。根据美国联邦调查局（FBI）5月15日发布的警报，自2025年4月以来，这些深度伪造骗局持续针对美国现任或前任联邦/州政府高级官员及其联系人。 攻击者通过发送文本短信和AI生成的语音信息，诱使受害者点击恶意链接（通常伪装成要求切换至其他通讯平台），试图非法访问官员的个人或工作账户。成功入侵后，攻击者会利用获取的可信联系人信息，继续针对其他政府官员及其关联人士实施攻击，同时可能冒充可信联系人套取敏感信息或财务资源。 FBI防范AI钓鱼攻击指南 为帮助公众应对AI驱动的社交工程攻击，FBI建议采取以下防护措施： 通过反向查询号码并通过独立渠道验证身份，确认联系人的真实性 仔细检查通信中使用的邮箱地址、电话号码、URL链接和拼写细节（注意细微差异） 警惕图像/视频中的瑕疵，识别AI生成内容特征 切勿向网络或电话结识者透露敏感信息或联系方式 避免向未经验证身份者转账或转移资产 在确认发送者身份前，不要点击邮件/短信中的链接 谨慎下载附件或应用程序 启用双因素认证（2FA），绝不向他人分享验证码 与家人约定暗语或密语用于身份验证 FBI特别指出，攻击者通过精准模仿官员常用通讯方式（如Signal、Telegram等加密平台），利用“紧急事务”、“政策调整”等话术提升欺骗性。近期案例显示，部分钓鱼链接会诱导受害者输入双因素验证码，直接绕过账户保护机制。安全专家建议政府工作人员定期更新隐私设置，限制社交媒体公开信息，并启用高级账号监控服务。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Darktrace的新数据显示，针对医疗行业的网络攻击强度在2024年“显著上升”，该领域遭受的安全事件数量超过其他关键行业。该公司透露，去年共处理了45起影响医疗机构的网络安全事件，高于金融行业（37起）、能源行业（22起）、保险行业（14起）和电信行业（12起）。 医疗行业成为重点攻击目标的关键因素在于其高价值属性。Darktrace指出，全球范围内医疗数据泄露造成的损失高于任何其他行业，在2020年至2024年间平均达到1000万美元。Darktrace首席网络分析师Nicole Wong表示：“医疗成为最受攻击的行业之一符合我们长期观察的趋势，但2024年的攻击强度明显加剧。医院和医疗服务机构存储着大量患者个人敏感数据，这使它们成为数据泄露、勒索软件和其他网络攻击的主要目标。” 她还补充道：“患者信息的敏感性加上关键服务可能中断的风险，构成了攻击者的高价值目标。此外，医疗作为国家关键基础设施的重要性，使其特别吸引基于国家利益的政治动机威胁行为者。” 关于攻击者如何入侵医疗系统，新报告强调钓鱼攻击（32%）和边缘基础设施漏洞利用（36%）合计占医疗系统入侵事件的三分之二以上，其余包括暴露端口、配置错误和淘汰设备漏洞利用。Wong表示这与其他行业的攻击模式类似。 值得注意的是，75%的医疗网络入侵事件仅限于企业邮箱或云账户入侵，并未升级为勒索软件或数据窃取。报告指出：“这反映出APT组织典型的多阶段攻击模式，意味着针对医疗行业的威胁行为者整体能力有所提升，安全团队需做好应对准备。” 研究人员观察到钓鱼攻击对医疗行业的针对性增强。例如，三分之一的攻击针对VIP用户，表明威胁行为者正重点关注拥有更高访问权限或决策权的个体。此外，Darktrace发现2024年“相当比例”的钓鱼邮件要么冒充供应商，要么来自已被入侵的供应商账户。Darktrace高级网络分析师Nahisha Nobregas表示：“这种演变令人担忧，因为它利用了医疗机构与供应商之间的信任关系，由于通信看似来自合法商业伙伴，检测难度显著增加。” 在漏洞利用方面，Darktrace事件数据显示攻击者频繁利用Citrix、思科、Fortinet和Ivanti等厂商的边缘基础设施设备漏洞。受影响的医疗机构类型从设备供应商到非重症护理机构均有涉及。 研究人员警告称，医疗机构的攻击面正在扩大，为威胁行为者创造了更多机会。这包括云服务使用增加导致的SaaS覆盖范围扩大、更多第三方设备和服务的整合，以及医疗物联网（IoMT）设备的增长。Darktrace举例称，曾检测到一台感染PurpleFox rootkit和DirtyMoe恶意软件的数字成像设备，表明专用医疗设备已成为另一个易受攻击的操作系统载体。在此案例中，攻击者似乎无意窃取受保护的健康信息，而是试图将该设备作为渗透网络的跳板。 Darktrace高级网络分析师Patrick Anjos警告：“这一发现凸显了防御者需要像监控IT基础设施中的其他设备一样持续监控临床设备。必须将安全监控范围从传统IT系统扩展到专用医疗设备。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文