HackerNews 编译，转载请注明出处： 谷歌威胁情报团队首席分析师John Hultquist向BleepingComputer透露，使用“Scattered Spider”攻击手法的黑客组织在针对英国零售业后，已将矛头转向美国零售企业。该组织被追踪为UNC3944，涉嫌实施勒索软件攻击与数据勒索双重威胁。 英国零售巨头玛莎百货（Marks & Spencer）此前遭遇勒索攻击，攻击者使用DragonForce加密器对VMware ESXi主机上的虚拟机进行加密。微软将该攻击归因于Octo Tempest（即Scattered Spider）。连锁超市Co-op确认攻击者窃取了大量现会员及前会员数据，哈罗德百货（Harrods）则于5月1日因网络渗透尝试被迫限制网站访问权限，疑似主动阻断攻击。 DragonForce勒索组织宣称对上述三起事件负责。BleepingComputer获悉，攻击者使用了与Scattered Spider关联的社会工程学策略。该勒索组织于2023年12月首次出现，近期推出“白标服务”供其他犯罪团伙定制化使用。 自Scattered Spider于4月开始攻击英国零售商以来，英国国家网络安全中心（NCSC）已发布防御指南，并警告这些攻击应被视为“警钟”。NCSC表示尚未确认攻击是否由单一组织发起，目前正与受害者及执法部门联合调查。 Scattered Spider（别名0ktapus、UNC3944、Scatter Swine）指代一个流动性威胁团伙，以社会工程学攻击闻名，擅长钓鱼攻击、SIM卡劫持、MFA轰炸（定向疲劳攻击）等手法。2023年9月，该组织入侵美高梅度假村，通过冒充员工致电IT部门获取权限，利用BlackCat勒索软件加密超100台VMware ESXi虚拟机。 该组织还曾作为RansomHub、Qilin及DragonForce等勒索软件的附属团伙活动，受害者包括Twilio、Coinbase、DoorDash、凯撒娱乐、MailChimp、拳头游戏及Reddit。部分成员据信隶属于“Com”社群——该松散团体因实施网络攻击与暴力行为备受关注。 这些网络罪犯年龄最小仅16岁，多为英语使用者，活跃于Telegram频道、Discord服务器及黑客论坛，实时策划攻击行动。尽管媒体与安全研究者常将“Scattered Spider”描述为统一团伙，但其实际是由采用特定战术的松散成员构成，追踪难度较高。 Hultquist指出：“这些攻击者攻击性强、手法创新，尤其擅长突破成熟安全体系。他们在社会工程学及第三方入侵方面屡获成功。”美国零售企业需警惕近期威胁升级。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti近日发布安全更新，修复其移动终端管理平台Endpoint Manager Mobile（EPMM）中两个可被组合利用实现远程代码执行的安全漏洞。 被修复的漏洞包括： CVE-2025-4427（CVSS评分5.3）——EPMM中的身份验证绕过漏洞，允许攻击者在无凭证情况下访问受保护资源； CVE-2025-4428（CVSS评分7.2）——EPMM中的远程代码执行漏洞，允许攻击者在目标系统执行任意代码。 漏洞影响以下产品版本： 11.12.0.4及更早版本（需升级至11.12.0.5） 12.3.0.1及更早版本（需升级至12.3.0.2） 12.4.0.1及更早版本（需升级至12.4.0.2） 12.5.0.0及更早版本（需升级至12.5.0.1） Ivanti确认漏洞与EPMM集成的两个开源库有关，但未披露具体库名称。该公司表示“在漏洞披露时仅发现极少数客户遭遇攻击”，且尚未获得可靠的入侵指标。建议用户通过内置Portal ACL功能或外部Web应用防火墙（WAF）过滤API访问以降低风险，并强调该漏洞仅影响本地部署的EPMM产品，云端管理解决方案Ivanti Neurons for MDM及其他产品不受影响。 此外，Ivanti还修复了本地版Neurons for ITSM的身份验证绕过漏洞CVE-2025-22462（CVSS评分9.8），该漏洞允许未经认证的远程攻击者获取系统管理员权限，目前未发现野外利用迹象。鉴于近年来Ivanti设备频繁曝出零日漏洞，安全专家强烈建议用户立即升级至最新版本以增强防护。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Android企业版推出全新设备信任（Device Trust）解决方案，通过实时验证设备安全状态强化移动端防护，应对混合办公模式下的数据泄露风险。该功能基于零信任原则，持续监测操作系统版本、安全补丁级别及屏幕锁强度等指标，无论设备是否受企业统一管理，均能在访问敏感数据前完成安全评估。 国际数据公司（IDC）终端安全研究总监Mike Jude指出：“企业需要确保接入业务系统的个人设备达到基本安全标准，Android企业版设备信任方案为此提供了重要支撑。”该平台与CrowdStrike、Okta、Omnissa、Urmobo、Zimperium等安全厂商深度集成，覆盖终端管理（EMM/UEM）、身份认证（IdPs）、端点防护（EDR/MTD）及安全信息事件管理（SIEM）四大领域，输出20余项Android专属安全指标，实现分层策略与实时决策。 设备信任方案兼容企业设备与员工自有Android终端，无需完整注册管理（EMM）即可通过安装合作安全应用完成验证，尤其适用于临时工、承包商等需快速接入业务系统的场景——任务完成后可立即撤销权限。通过实时威胁可视化管理，IT团队能及时应对系统版本过时、设备丢失等风险，提升事件响应效率。 该服务支持Android 10及以上系统。Android企业版将于7月10日举办“设备信任实践研讨会”，分享技术洞察与应用案例。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司ReliaQuest今日发布最新报告称，至少有两个网络犯罪团伙BianLian和RansomExx正在利用SAP NetWeaver近期披露的安全漏洞，表明多组威胁分子正在争相利用该漏洞。 ReliaQuest表示发现了BianLian数据勒索团伙和RansomExx勒索软件家族（微软追踪代号Storm-2460）的活动痕迹。通过基础设施关联，研究人员确认BianLian至少参与了一起攻击事件，其服务器184[.]174[.]96[.]74运行的rs64.exe程序负责反向代理服务，该IP与同一托管商运营的184[.]174[.]96[.]70存在关联，后者曾被标记为BianLian的命令控制（C2）服务器，两者共享相同的证书与端口配置。 研究人员还观察到名为PipeMagic的插件式木马被部署，该恶意软件近期通过Windows通用日志文件系统（CLFS）权限提升漏洞（CVE-2025-29824）的零日攻击，针对美国、委内瑞拉、西班牙和沙特阿拉伯实体发起定向攻击。攻击者通过利用SAP NetWeaver漏洞植入WebShell后投放PipeMagic木马。 “尽管首次攻击尝试失败，但后续攻击通过内联MSBuild任务执行部署了Brute Ratel C2框架，”ReliaQuest指出，“在此过程中生成的dllhost.exe进程表明攻击者试图再次利用CLFS漏洞（CVE-2025-29824），此次通过内联汇编技术发起新攻击。” SAP安全公司Onapsis补充称，自2025年3月以来，威胁分子同时利用CVE-2025-31324漏洞及同组件的反序列化漏洞（CVE-2025-42999）实施攻击，新补丁已修复CVE-2025-31324的根本原因。 ReliaQuest在声明中强调：“只要CVE-2025-31324仍可被利用，其与CVE-2025-42999的实际危害差异微乎其微。尽管CVE-2025-42999需要更高权限，但CVE-2025-31324本身已能获取完整系统权限。攻击者无论通过认证或非认证用户均能同样利用这两个漏洞，因此两者的修复建议完全一致。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场名为“Meta Mirage”的新型全球钓鱼攻击活动，该活动针对使用Meta商务套件的企业，专门劫持包含广告管理和品牌官方页面在内的高价值账户。 安全公司CTM360指出，攻击者通过伪造Meta官方通知诱导用户提交密码和安全验证码等敏感信息。研究人员已发现超过14,000个恶意链接，其中约78%在报告发布时仍未被浏览器拦截，这一规模令人担忧。 攻击者利用GitHub、Firebase和Vercel等可信云平台托管虚假页面以增强隐蔽性。该手法与微软近期披露的云服务滥用案例相似——攻击者通过托管服务平台渗透Kubernetes应用，这表明利用可信平台规避检测已成为常用手段。攻击者通过邮件和私信发送账户违规警告、暂停通知或紧急验证提示，利用伪造的Meta官方通信使信息显得紧急而权威。这种策略与近期利用Google Sites钓鱼活动中使用谷歌托管页面欺骗用户的手法高度相似。 主要攻击手段分为两种模式： 凭证窃取：引导用户在高仿真页面输入密码及OTP，通过伪造错误提示迫使重复提交以确保证据有效性。 Cookie劫持：窃取浏览器Cookie实现无密码持续访问，类似PlayPraetor恶意软件劫持社交媒体账户投放欺诈广告的模式。 CTM360报告揭示了攻击者为提高成功率采用的渐进式策略：初期通过非紧急的普通违规通知接触受害者，后续逐步升级为账户即时暂停或永久删除等严重威胁。这种焦虑诱导手法促使用户未经核实即快速响应。 安全防护建议包括： 仅使用专用设备管理企业社媒账户； 设置独立的工作邮箱；启用双因素认证（2FA）； 定期审查账户安全设置和活跃会话； 培训员工识别及报告可疑信息。 本次大规模钓鱼活动凸显了保持警惕并采取主动防护措施对保护线上资产的重要性。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的钓鱼攻击活动，旨在通过名为Horabot的恶意软件针对墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷等拉丁美洲国家的Windows用户。 Fortinet FortiGuard Labs研究员Cara Lin表示，该活动“通过伪造发票或财务文档的精心设计邮件诱骗受害者打开恶意附件，能够窃取邮箱凭证、收集联系人列表并安装银行木马”。 该网络安全公司于2025年4月观测到这一活动，主要针对西班牙语用户。攻击还被发现利用Outlook COM自动化功能从受害者邮箱发送钓鱼信息，从而在企业或个人网络内部横向传播恶意软件。 攻击者通过执行多种VBScript、AutoIt和PowerShell脚本进行系统侦察、凭证窃取及投放额外恶意载荷。Horabot最早由思科Talos于2023年6月记录为针对拉丁美洲西班牙语用户的威胁，其攻击活动可追溯至至少2020年11月，评估认为攻击者来自巴西。 去年Trustwave SpiderLabs披露了另一起针对同一地区的钓鱼活动，其恶意载荷与Horabot存在相似性。 最新攻击始于以发票为诱饵的钓鱼邮件，诱使用户打开包含PDF文档的ZIP压缩包。实际上该ZIP文件内含恶意HTML文件，其中包含Base64编码的HTML数据，用于连接远程服务器下载第二阶段的恶意载荷。 第二阶段载荷是另一个包含HTML应用程序（HTA）文件的ZIP压缩包，该文件负责加载远程服务器托管的脚本。脚本随后注入外部VBScript代码，执行系列检测——若系统安装Avast杀毒软件或处于虚拟环境则终止攻击。 VBScript继续收集基础系统信息并外传至远程服务器，同时获取额外载荷，包括通过恶意DLL释放银行木马的AutoIt脚本，以及扫描Outlook联系人数据构建目标邮箱列表后传播钓鱼邮件的PowerShell脚本。 Cara Lin表示：“恶意软件随后从Brave、Yandex、Epic Privacy Browser、Comodo Dragon、Cent Browser、Opera、Microsoft Edge和Google Chrome等浏览器窃取相关数据。除数据窃取外，Horabot还监控受害者行为，注入伪造弹窗以窃取敏感登录凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟网络安全局（ENISA）5月13日宣布正式启动新型漏洞数据库计划。该计划被命名为“欧洲漏洞数据库（EUVD）”，此前已进行测试运行，现根据NIS2指令要求正式上线。其功能定位与美国国家漏洞数据库（NVD）类似，旨在为网络防御者提供集中化漏洞信息源。 EUVD将整合来自计算机安全事件响应团队（CSIRT）、供应商及现有数据库（如CISA已知被利用漏洞目录、MITRE CVE计划）的漏洞数据，自动同步至平台。数据库提供三大仪表板： 关键漏洞看板：展示高危漏洞信息 被利用漏洞看板：聚焦已遭攻击的漏洞 欧盟协调漏洞看板：由欧洲CSIRT团队提供支持 每条漏洞记录包含“EUVD”专属标识符，并关联CVE编号、云安全联盟全球安全数据库（GSD）及GitHub安全公告（GHSA）等外部标识。具体数据条目涵盖： 漏洞描述 受影响IT产品/服务及版本 漏洞严重程度与利用方式 CSIRT等机构提供的补丁与缓解指南 ENISA执行主任尤汉·莱帕萨尔表示：“该数据库确保受影响ICT产品用户的信息透明度，将成为查找缓解措施的高效信息来源。”主要用户群体包括公众、网络/信息系统供应商及其客户、私营企业、研究人员及CSIRT等国家机构。 当前网络安全界正关注CVE计划的长期前景——美国CISA近期紧急延长MITRE合同11个月以维持运行。EUVD的推出被视为欧盟构建自主漏洞管理能力的关键举措。     消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）就消息应用TeleMessage的漏洞发出警告。该应用近期因特朗普前国家安全顾问迈克·沃尔茨（Mike Waltz）的使用引发关注——沃尔茨在担任国安顾问期间因两起通信事故陷入争议。 首先是在“信号门”事件中，他误将记者拉入国家安全高层讨论也门军事行动的Signal群聊；随后又被发现使用名为TeleMessage Signal的应用，再度引发安全隐患。这些事件最终导致沃尔茨被解职。 以色列公司TeleMessage（现属美国俄勒冈州Smarsh通信集团）主要为用户提供WhatsApp、Telegram和Signal等即时通讯工具的消息存档服务。在沃尔茨使用该应用曝光后，调查发现其已被美国政府内部采用，且存在严重安全风险。 黑客声称窃取了TeleMessage旗下Signal、WhatsApp、微信和Telegram克隆应用的私聊与群组记录。尽管未获取政府官员消息，但攻击证实TeleMessage存档的聊天日志未加密，可被威胁分子轻易获取。Smarsh公司已暂停所有TeleMessage服务配合调查。 安全研究员Micah Lee分析TeleMessage源代码发现：其定制版Signal应用”TM SGNL”虽宣称支持端到端加密，但实际在应用与消息存档服务器间采用明文传输。这一漏洞（现获CVE编号CVE-2025-47729）使攻击者可获取明文聊天记录，包括加密货币公司Coinbase的Telegram私密对话及数百名海关与边境保护局员工名单。 CISA已将CVE-2025-47729纳入已知被利用漏洞（KEV）目录。美国联邦机构需在21天内修补该漏洞，其他组织也应优先处理。鉴于漏洞存在于服务器端，CISA建议用户停用TeleMessage服务作为主要防护措施。国家漏洞数据库明确指出该漏洞已被在野利用。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件公司Adobe发布多款产品安全更新，修复至少39个漏洞，并警告存在远程代码执行漏洞利用风险。此次“补丁星期二”的重点是Adobe ColdFusion（冷聚变）的重大更新，解决多个可导致代码执行和权限提升的关键漏洞。 根据安全公告，Adobe ColdFusion修复的7个高危漏洞（CVSS评分9.1）可能引发任意文件读取、代码执行及权限提升攻击。此外： Adobe Photoshop：修复3个可导致代码执行的高危漏洞。 Adobe Illustrator：紧急修补1个关键漏洞。 Adobe Lightroom/Dreamweaver/Connect/InDesign：修复代码执行漏洞，攻击成功可引发拒绝服务。 其他受影响产品包括Adobe Substance 3D Painter、Adobe Bridge和Adobe Dimension，均存在高危漏洞。此次更新与微软安全公告同期发布，后者披露5个在野利用的零日漏洞，涉及脚本引擎和Windows通用日志文件系统驱动（CLFS）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全厂商Fortinet发布安全更新，修复一个已被作为零日漏洞利用的关键远程代码执行漏洞（CVE-2025-32756）。该漏洞影响FortiVoice企业电话系统、FortiMail邮件安全网关、FortiNDR网络检测响应系统、FortiRecorder监控平台及FortiCamera安防设备。 根据7月2日发布的安全公告，远程未认证攻击者可通过构造恶意HTTP请求，利用该基于栈的溢出漏洞执行任意代码或命令。Fortinet产品安全团队通过监测攻击活动发现该漏洞，攻击特征包括： 网络扫描探测行为 删除系统崩溃日志掩盖入侵痕迹 启用fcgi调试模式记录系统凭证和SSH登录尝试 攻击源IP地址包括：198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244, and 218.187.69[.]59。 Fortinet在攻击分析中发现，受感染系统普遍启用了非常规的fcgi调试模式。用户可通过执行诊断命令diag debug application fcgi验证系统状态，若返回general to-file ENABLED则表明存在风险。 调查显示，攻击者在入侵设备后执行以下恶意操作： 部署定制化恶意软件 创建用于窃取凭证的定时任务（cron jobs） 投放网络扫描脚本探测受害者内网 对于无法立即安装补丁的用户，Fortinet建议在受影响设备上禁用HTTP/HTTPS管理接口作为临时缓解措施。该漏洞修补前，上月Shadowserver基金会已发现超过16,000台暴露在公网的Fortinet设备遭新型符号链接后门攻击，攻击者可借此读取历史漏洞设备中的敏感文件。 此外，Fortinet曾在4月初警告存在可远程重置管理员密码的FortiSwitch交换机高危漏洞（CVE-2024-23110），该漏洞CVSS评分9.6，影响全系列版本交换机操作系统。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文