HackerNews 编译，转载请注明出处： 教育出版巨头培生集团（Pearson）向BleepingComputer证实遭遇网络攻击，威胁分子窃取了企业数据和客户信息。 这家总部位于英国的公司是全球最大的学术出版、数字学习工具和标准化考试服务商之一，通过印刷与在线服务为70多个国家的学校、大学及个人提供服务。 培生发言人表示：“我们近期发现未经授权的攻击者入侵了部分系统。发现异常活动后，我们立即采取措施阻止并聘请取证专家调查事件影响范围，同时配合执法机构调查。已部署额外防护措施，包括增强安全监控和身份验证。当前认为攻击者主要窃取历史遗留数据，将通过适当渠道向客户及合作伙伴通报详细信息。”培生强调失窃数据未包含员工信息。 知情人士透露，攻击者于2025年1月通过公开的.git/config文件中暴露的GitLab个人访问令牌(PAT)入侵培生开发环境。此类本地配置文件通常存储Git项目名称、邮箱等设置，若远程URL中嵌入访问令牌被意外公开，可导致攻击者访问内部代码库。在此次攻击中，暴露的令牌使威胁分子获取公司源代码，其中包含硬编码的云平台凭证与认证令牌。 据称攻击者随后利用这些凭证从培生内部网络及AWS、Google Cloud、Snowflake、Salesforce CRM等云基础设施窃取数TB数据，涉及客户信息、财务记录、支持工单和源代码，数百万用户受影响。当BleepingComputer询问培生是否支付赎金、“遗留数据”具体定义、受影响客户数量及通知计划时，该公司拒绝置评。此前培生在1月披露其子公司PDRI遭入侵，据信与本次攻击相关。 网络安全专家指出，扫描Git配置文件和暴露凭证已成为攻击者入侵云服务的常用手段。去年互联网档案馆（Internet Archive）就因Git配置文件暴露导致GitLab仓库令牌泄露而遭入侵。安全建议包括限制.git/config文件公开访问、避免在远程URL嵌入凭证。培生事件再次印证代码仓库安全管理的重要性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit勒索软件组织遭黑客入侵，其暗网后台基础设施数据被窃取并泄露。攻击者攻陷了该团伙的暗网泄密网站并篡改页面，发布警示信息及后台联盟面板MySQL数据库转储链接。 篡改后的页面显示“别犯罪，犯罪是坏事 xoxo来自布拉格”，并附有可下载“paneldb_dump.zip”的链接。该数据库包含20个核心表，涉及以下关键信息： 59,975个比特币地址：用于收取赎金的钱包清单 4,442条谈判记录：2024年12月19日至2025年4月29日期间，LockBit运营者与受害者之间的勒索对话 构建配置数据：包含目标公司名称、应规避加密的文件类型等攻击参数 75名成员信息：管理员及分支机构账户的明文密码（例如“Weekendlover69”等） LockBit头目“LockBitSupp”通过私聊承认入侵属实，但声称私钥和核心数据未泄露。安全研究人员发现，数据库中的构建配置表关联了特定受害者的公钥与私钥对，这为开发通用解密工具提供了可能。意大利网络安全专家Emanuele De Lucia分析指出，勒索金额根据目标估值动态调整，初始索要金额跨度从5万至150万美元不等，受害者顶级域名涉及埃塞俄比亚(.et)、日本(.jp)、巴西(.br)等国家地区。 此次攻击暴露了LockBit运营体系的脆弱性： 分支机构活跃度低下：44个生成加密器的账户中仅30个处于活跃状态，反映该组织实际攻击能力缩水 基础设施漏洞：与近期Everest勒索软件组织遭入侵事件类似，攻击者可能利用PHP 8.1.2的远程代码执行漏洞(CVE-2024-4577)实施入侵 内部安防缺失：明文存储密码、未隔离核心数据库等低级错误，凸显犯罪组织的运维缺陷 安全界认为这是继2024年2月国际执法机构“Cronos行动”后，对LockBit的又一次重创。泄露数据为追踪资金流向、归因攻击事件提供了关键线索，或将加速该犯罪集团的瓦解。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 5月7日（周三）起，美国正式实施“真实身份证”（REAL ID）新规，这项联邦标准化身份认证系统将生物识别数据与机场面部识别技术深度绑定。尽管官方宣称此举能提升安全等级，但网络安全专家警告其可能成为全球黑客的“巨型靶心”和“监控超级武器”。 Polyguard网络安全公司联合创始人兼CEO约书亚·麦肯蒂（Joshua McKenty）指出，REAL ID通过整合全美50个州机动车管理局数据库，建立了“国家超级数据库”，将持卡人的“生物特征信息与面部数据关联”。这位前NASA首席云架构师强调，即使旅客在机场安检时选择退出面部识别，其生物信息早在申请证件时已被采集，且数据删除政策存在模糊性。随着深度伪造技术泛滥，这类集中化存储的生物特征数据库可能被用于身份欺诈和仿冒攻击。 iProov生物识别安全公司创始人安德鲁·巴德（Andrew Bud）则认为，REAL ID为构建“信任经济”奠定基础，有利于提升政府、金融和医疗机构的身份核验效率，并为移动数字驾照等未来技术铺路。但麦肯蒂揭示出三重悖论：系统在提供便利的同时，也加剧了“监控与隐私”、“集中控制与个人数据主权”之间的矛盾。他呼吁建立“可撤回授权、透明化操作、真正可移植”的验证体系，使个人能自主管理生物数据。 尽管国土安全部长克里斯蒂·诺姆（Kristi Noem）表示未持REAL ID者仍可用护照登机，但需接受额外安检。关键注意事项包括： 国际航班仍需护照，REAL ID仅限美国境内使用 18岁以下未成年人免持REAL ID 各州车管局发放的临时纸质凭证无效，必须使用实体证件 姓名变更者需携带法院文件或结婚证等补充材料 目前全美81%居民已完成证件升级，但仍有数百万人在各地车管局排长队办理。网络安全公司Guardio监测发现，诈骗分子正通过伪造车管局网站、钓鱼邮件等手段窃取申请者个人信息，提醒公众务必通过官方渠道办理。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现iOS游戏《Cats Tower: The Cat Game!》存在数据泄露，该应用使近45万用户面临被黑客追踪、劫持Facebook账户甚至武器化其后端系统的风险。Cybernews团队确认，这款由App Store显示开发商为Rhino Games（隐私政策链接指向亚美尼亚移动游戏公司Next Epic LLC）的游戏，因Firebase配置错误导致以下信息暴露：用户名称、IP地址、Facebook用户ID及访问令牌以及硬编码密钥。 泄露的IP地址虽非精确GPS坐标，但结合其他公开或泄露数据仍可定位用户居住地。尤其危险的是229组Facebook访问令牌，攻击者可借此侵入账户发布加密货币诈骗或向好友发送钓鱼链接。研究人员多次联系相关公司均未获回应。 调查期间，暴露的Firebase实例持续泄露超45万用户的IP与用户名，由于Firebase作为临时数据库会定期与永久后端同步，当前可见数据可能只是冰山一角。技术娴熟的黑客可部署实时爬虫监控数据库，将单次泄露转为持续性监控行动。 更严重的是，该应用代码库中散布着本应对开发团队保密的敏感密钥，包括：客户端ID、反向客户端ID、安卓客户端ID、API密钥、项目ID、存储桶、谷歌应用ID、数据库URL、GAD应用标识符。 这些密钥属于iOS应用中最常泄露的前十类敏感信息。网络安全专家警告，将API密钥等凭证硬编码至发布版应用的行为存在极大风险，攻击者可借此逆向工程整个后端系统，滥用服务收集更多用户数据、伪造请求甚至通过应用基础设施直接发送垃圾信息。 此次泄露事件是Cybernews对App Store中15.6万款iOS应用（约占总量8%）调查的典型案例。研究发现71%的受检应用至少泄露一项密钥，平均每款应用暴露5.2项敏感信息。例如多款热门约会应用泄露的硬编码凭证可访问存有近150万用户照片的云存储桶（含已删除图片、违规内容及私密消息图片）；某家庭位置追踪应用实时泄露GPS坐标；某防骚扰应用泄露拦截号码、关键词及含真实姓名/邮件的客服工单。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 端点检测与响应（EDR）解决方案已成为多数组织的标准网络安全产品，但它们并非无懈可击。5月5日，怡安集团旗下Stroz Friedberg事件响应服务研究人员发布报告，披露攻击者利用一种新型技术成功绕过头部EDR产品SentinelOne的防护。该技术名为“自带安装程序”（Bring Your Own Installer），通过利用SentinelOne代理程序升级/降级流程中的漏洞，绕过防篡改功能，导致终端失去保护。 Stroz Friedberg研究人员观察到攻击者使用该技术获取本地管理员权限，绕过EDR防护并执行Babuk勒索软件变种。SentinelOne已针对该报告向客户提供缓解措施。“截至报告发布时，怡安集团Stroz Friedberg尚未发现任何EDR厂商（包括SentinelOne）在正确配置产品的情况下受到此攻击影响。”研究人员在报告中指出。 与其他EDR产品类似，SentinelOne的EDR具备防篡改功能，旨在阻止未授权用户禁用防护措施及恶意软件终止EDR进程。该功能需要管理员在管理控制台执行操作或使用唯一代码才能解除防护。然而，Stroz Friedberg研究人员发现攻击者通过利用公开服务器应用的漏洞，获取了运行SentinelOne EDR主机的本地管理员权限。 在系统取证分析中，研究人员发现多项EDR绕过迹象，包括：多个合法签名的SentinelOne安装程序文件（如SentinelOneInstaller_windows_64bit_v23_4_4_223.exe和SentinelInstaller_windows_64bit_v23_4_6_347.msi）的创建记录；与产品版本变更相关的额外事件日志（包括计划任务变更、服务停止/启动事件、本地防火墙配置变更等）。 基于这些发现，Stroz Friedberg研究人员通过实验复现了SentinelOne EDR软件的潜在漏洞。他们在安装23.4.6.223版本SentinelOne EDR的Windows 2022 Server虚拟机上，使用MSI安装程序启动代理程序升级/降级流程。升级/降级过程会在生成新版本进程前约55秒终止所有现有进程，形成短暂的无防护窗口期。研究人员利用本地管理员权限执行taskkill命令终止与升级相关的msiexec.exe进程，最终导致系统失去SentinelOne防护，并在管理控制台显示为离线状态。 针对该发现，SentinelOne迅速向客户发布缓解指南，包括：启用默认开启的本地代理密码功能防止未授权卸载；使用本地升级授权功能确保通过控制台认证升级流程。报告发布后，SentinelOne已对所有新客户默认开启本地更新授权功能，并协助研究人员将攻击模式私下披露给其他EDR厂商。部分被联系厂商未对此攻击模式披露作出回应。     消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关的威胁行为者COLDRIVER被发现分发名为LOSTKEYS的新恶意软件，该行动采用类似ClickFix的社会工程诱饵实施网络间谍活动。谷歌威胁情报组（GTIG）表示：“LOSTKEYS能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和运行进程。” GTIG称，该恶意软件在2025年1月、3月和4月针对西方政府和军队现任及前任顾问、记者、智库、非政府组织以及乌克兰相关人士的攻击中被发现。LOSTKEYS是COLDRIVER继SPICA之后开发的第二个定制恶意软件，标志着该组织持续偏离其知名的凭证钓鱼活动。该黑客组织还被追踪为Callisto、Star Blizzard和UNC4057。 网络安全研究人员Wesley Shields表示：“他们以窃取凭证闻名，在获取目标账户访问权限后会窃取邮件和联系人列表。在特定案例中，COLDRIVER还会向目标设备投放恶意软件，并试图访问系统文件。” 最新攻击始于包含虚假验证码验证提示的诱饵网站，受害者被要求打开Windows运行对话框并粘贴复制的PowerShell命令。这种被广泛称为ClickFix的社会工程技术会下载并执行远程服务器（“165.227.148[.]68”）的第二阶段载荷，该载荷在可能进行虚拟机检测后才会下载第三阶段恶意软件。 经过Base64编码的第三阶段载荷被解码为PowerShell脚本，负责在受感染主机上执行LOSTKEYS，使攻击者能够收集系统信息、运行进程以及硬编码列表中的文件。与SPICA类似，该恶意软件被认为是选择性部署的，表明攻击具有高度针对性。 谷歌还发现了可追溯至2023年12月的LOSTKEYS伪装样本，这些样本假扮成Maltego开源调查平台的二进制文件。目前尚不清楚这些样本是否与COLDRIVER有关，或恶意软件是否从2025年1月开始被攻击者重新利用。 随着ClickFix技术被更多威胁行为者采用，包括传播银行木马Lampion和窃密软件Atomic Stealer，其应用范围持续扩大。根据Palo Alto Networks Unit 42的分析，传播Lampion的攻击使用带有ZIP附件的钓鱼邮件，压缩包内的HTML文件会将受害者重定向至包含ClickFix指令的虚假登录页面。 “Lampion感染链的另一个有趣之处在于其分为多个非连续阶段，作为独立进程执行，”Unit 42指出，“这种分散式执行使检测复杂化，因为攻击流程不会形成易于识别的进程树，而是由看似无害的独立事件组成复杂链条。”该活动主要针对葡萄牙语用户，涉及政府、金融和运输等多个领域。 近期ClickFix策略还与名为EtherHiding的隐匿技术结合使用，通过币安智能链（BSC）合约隐藏载荷，最终传播macOS窃密软件Atomic Stealer。化名Badbyte的研究人员表示：“点击‘我不是机器人’会触发币安智能合约，使用EtherHiding技术向剪贴板传递Base64编码命令，提示用户通过macOS快捷键（⌘ + Space, ⌘ + V）在终端运行。该命令下载的脚本会获取并执行经签名的Mach-O二进制文件，确认为Atomic Stealer。” 进一步调查发现，该活动可能已入侵约2,800个合法网站来提供虚假验证码提示。研究人员将这次大规模水坑攻击代号定为MacReaper。研究人员补充道。“攻击利用混淆JavaScript、三个全屏iframe和基于区块链的命令基础设施来最大化感染范围，”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周三，英国网络安全负责人宣布，该国情报部门看到了“俄罗斯网络攻击与我们安全面临的现实威胁之间存在直接联系”。 英国国家网络安全中心（NCSC）负责人理查德·霍恩在曼彻斯特举行的CYBERUK会议上警告称，莫斯科的恶意行为者“正在实施破坏行为，常常在其阴谋中使用犯罪代理”。 霍恩表示，无论是NCSC还是国内安全机构军情五处（MI5），都看到来自俄罗斯的网络威胁在英国街头显现，针对英国的各行各业和企业，使民众生命、关键服务和国家安全面临风险。 他告诉CYBERUK会议的听众，信息安全界的作用“因此不仅仅是保护系统，更是保护我们的人民、经济和社会免受伤害”。 霍恩说，NCSC无法透露行动细节，但解释说“网络手段”为一系列威胁行为者提供了侦察能力以及“发起现实威胁的能力”。 此次警告是在一系列疑似俄罗斯策划的欧洲破坏事件之后发布的。去年，欧洲各国的安全机构和政府就这些威胁发出了警告，同时北约和欧盟均谴责俄罗斯“日益加剧”的破坏活动和混合行动。 上个月，英国警方宣布逮捕了一名罗马尼亚男子，该男子涉嫌协助俄罗斯军事情报机构实施一项阴谋，其中包括一枚爆炸装置在伯明翰的DHL物流仓库爆炸。 据信，2024年7月德国莱比锡的DHL物流链发生的一起火灾也是俄罗斯所为。德国安全部门表示，如果那枚寄往英国的包裹炸弹在航班上爆炸，可能会引发空难。 第三起事件发生在7月，地点是波兰首都华沙附近。据路透社报道，这些企图被认为是未来阴谋的“预演”，俄罗斯计划在跨大西洋飞往美国和加拿大的货运航班上在空中引爆爆炸装置。 据报道，这些装置被伪装成来自立陶宛的按摩机，内部含有镁基物质，这种物质燃烧时极具破坏性，可能导致飞机坠毁。 11月，立陶宛总统吉塔纳斯·纳乌斯的首席国家安全顾问克斯蒂托尼斯·布德里斯指责俄罗斯军事情报机构格鲁乌（GRU）策划了这些阴谋。其他西方安全官员也认同这一评估，《华尔街日报》对此进行了报道。 这一指控是在波兰国家检察官办公室证实7月逮捕了4名与藏有爆炸物的包裹相关的人员之后提出的，该办公室称这些包裹被认为是对飞往美国和加拿大航班发动攻击前的试运行。另一名涉嫌在立陶宛邮寄这些包裹的男子于9月被捕。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全局（CISA）、联邦调查局（FBI）、环境保护局（EPA）和能源部（DoE）于周二发布警报，警告针对美国石油和天然气行业的网络攻击。 政府机构表示，这些攻击利用了基本的入侵技术，但关键基础设施组织内部糟糕的网络安全卫生状况可能导致中断甚至物理损坏。 “CISA越来越意识到一些不太复杂的网络行为者正在针对美国关键基础设施部门（石油和天然气）内的工业控制系统/监控与数据采集系统（ICS/SCADA），特别是在能源和交通系统中，”网络安全机构指出。 CISA所指的不太复杂的威胁行为者很可能是黑客行动主义团体——或者声称自己是黑客行动主义者的黑客。近年来，许多此类团体针对暴露在互联网上且未受保护或使用默认密码的SCADA及其他ICS系统发动了攻击。 尽管黑客的许多说法被夸大了，但工业网络安全专家经常警告说，这些攻击可能会产生重大影响。 在他们的警报中，CISA、FBI、EPA和DoE敦促关键基础设施组织“立即采取行动，改善其网络安全态势，以应对专门针对联网运营技术和ICS的网络威胁活动”。 为了抵御这些威胁，组织应确保运营技术（OT）系统不能直接从互联网访问，并确保通过虚拟专用网络（VPN）、强密码和防钓鱼多因素身份验证（MFA）安全地远程访问它们。 他们还应识别并立即更改默认密码，对关键系统实施网络分段，并确保能够手动操作OT系统。 此外，建议组织与相关实体合作，识别和解决在标准操作、默认产品配置或由系统集成商或托管服务提供商引入的可能配置错误。 “撰写机构建议关键基础设施组织定期与他们的第三方托管服务提供商、系统集成商和系统制造商沟通，这些实体可能能够提供系统特定的配置指导，以帮助他们确保运营技术的安全，”CISA、FBI、EPA和DoE指出。 CISA还建议关键基础设施组织审查并实施该机构近年来提供的资源，以帮助他们减少攻击面、实施网络分段、采用安全设计原则和防钓鱼MFA等。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了SysAid IT支持软件本地版本中的多个安全漏洞，这些漏洞可能被利用来实现预认证的远程代码执行，并提升权限。 这些漏洞被追踪为CVE-2025-2775、CVE-2025-2776和CVE-2025-2777，均被描述为XML外部实体（XXE）注入漏洞，这种情况发生在攻击者能够成功干扰应用程序解析XML输入时。 反过来，这可能会允许攻击者将不安全的XML实体注入到Web应用程序中，使他们能够执行服务器端请求伪造（SSRF）攻击，最坏的情况下，实现远程代码执行。 根据watchTowr Labs研究人员Sina Kheirkhah和Jake Knott的说法，这3个漏洞的描述如下： CVE-2025-2775和CVE-2025-2776：在/mdm/checkin端点中的预认证XXE CVE-2025-2777：在/lshw端点中的预认证XXE watchTowr Labs表示，通过向相关端点发送精心制作的HTTP POST请求，可以轻而易举地利用这些漏洞。 成功利用这些漏洞可以使攻击者检索包含敏感信息的本地文件，包括SysAid自己的“InitAccount.cmd”文件，其中包含安装期间创建的管理员账户用户名和明文密码信息。 凭借这些信息，攻击者可以作为具有管理员权限的用户，获得对SysAid的完全管理访问权限。 更糟糕的是，XXE漏洞可以与另一个操作系统命令注入漏洞（由第三方发现）串联，以实现远程代码执行。该命令注入问题已被分配为CVE-2025-2778。 SysAid已于2025年3月初通过发布本地版本24.4.60 b16修复了这4个漏洞。一个结合这4个漏洞的概念验证（PoC）利用程序已经公开。 鉴于SysAid的安全漏洞（如CVE-2023-47246）此前曾被Cl0p等勒索软件行为者在零日攻击中利用，用户必须更新其实例至最新版本。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响 OttoKit（原名 SureTriggers）WordPress 插件的第二个安全漏洞已在野外遭到积极利用。 该漏洞被追踪为 CVE-2025-27007（CVSS 评分：9.8），是一个权限提升漏洞，影响了该插件1.0.82版本及之前的所有版本。 Wordfence表示：“这是由于 create_wp_connection() 函数缺少能力检查，且对用户的身份验证凭据验证不足。这使得未经认证的攻击者能够建立连接，最终可能导致权限提升。” 也就是说，该漏洞仅在以下两种可能的情况下可被利用—— 当网站从未启用或使用过应用密码，且 OttoKit 以前也从未使用应用密码连接到该网站时； 当攻击者已获得网站的认证访问权限并能够生成有效的应用密码时。 Wordfence 透露，其观察到威胁行为者试图利用初始连接漏洞与网站建立连接，随后通过 automation/action 端点创建管理员用户账户。 此外，攻击尝试同时针对 CVE-2025-3102（CVSS 评分：8.1），这是同一插件中的另一个漏洞，自上个月以来也在野外遭到了利用。 这表明威胁行为者可能在伺机扫描 WordPress 安装，查看其是否易受这两个漏洞中的任何一个影响。以下是观察到针对这些漏洞的 IP 地址—— 2a0b:4141:820:1f4::2 41.216.188.205 144.91.119.115 194.87.29.57 196.251.69.118 107.189.29.12 205.185.123.102 198.98.51.24 198.98.52.226 199.195.248.147 鉴于该插件的活跃安装量超过10万次，用户必须尽快应用最新补丁（版本1.0.83）。 Wordfence 表示：“攻击者可能早在2025年5月2日就开始积极瞄准此漏洞，大规模利用则始于2025年5月4日。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文