HackerNews 编译，转载请注明出处： 与Play勒索软件家族有关的威胁行为者利用微软Windows最近修补的安全漏洞作为零日漏洞，攻击了美国一家未具名的机构。 据博通旗下的赛门铁克威胁猎手团队称，此次攻击利用了CVE-2025-29824，这是公共日志文件系统（CLFS）驱动程序中的一个权限提升漏洞，微软上个月对其进行了修补。 Play，也被称为Balloonfly和PlayCrypt，以其双重勒索策略而闻名，即在加密之前先窃取敏感数据，以换取赎金。它自2022年年中以来一直活跃。 赛门铁克观察到，在此次活动中，威胁行为者可能利用面向公众的思科自适应安全设备（ASA）作为切入点，通过尚未确定的方法转移到目标网络上的另一台Windows机器上。 此次攻击值得注意的是使用了Grixba，这是一个之前被归因于Play的定制信息窃取器，以及一个针对CVE-2025-29824的利用程序，该程序被放置在音乐文件夹中，并伪装成Palo Alto Networks软件（例如，“paloaltoconfig.exe”和“paloaltoconfig.dll”）。 威胁行为者还被观察到运行命令，收集受害者活动目录中所有可用机器的信息，并将结果保存到CSV文件中。 “在利用程序执行过程中，会在C:\ProgramData\SkyPDF路径下创建两个文件，”赛门铁克解释说。“第一个文件PDUDrv.blf是一个公共日志文件系统基础日志文件，是利用过程中产生的一个痕迹。” “第二个文件clssrv.inf是一个被注入到winlogon.exe进程中的DLL。这个DLL能够释放另外两个批处理文件。” 其中一个名为“servtask.bat”的批处理文件用于提升权限、转储SAM、SYSTEM和SECURITY注册表项，创建一个名为“LocalSvc”的新用户，并将其添加到管理员组。另一个批处理文件“cmdpostfix.bat”用于清除利用痕迹。 赛门铁克表示，在此次入侵中没有部署勒索软件负载。调查结果表明，在微软修复之前，针对CVE-2025-29824的利用程序可能已经被多个威胁行为者掌握。 值得注意的是，网络安全公司详细描述的利用方式与微软披露的另一项活动集群Storm-2460并不重叠，后者利用该漏洞进行有限的攻击，传播名为PipeMagic的木马。 CVE-2025-29824的利用也表明勒索软件行为者使用零日漏洞入侵目标的趋势。去年，赛门铁克透露，Black Basta团伙可能利用了CVE-2024-26169，这是Windows错误报告服务中的一个权限提升漏洞，作为零日漏洞。 “自带安装程序”EDR绕过技术在Babuk勒索软件攻击中的新应用 与此同时，Aon的Stroz Friedberg事件响应服务详细描述了一种名为“自带安装程序”的本地绕过技术，威胁行为者利用该技术禁用端点安全软件并部署Babuk勒索软件。 据该公司称，此次攻击针对了SentinelOne的端点检测与响应（EDR）系统，通过利用SentinelOne代理升级/降级过程中的一个漏洞，在获得一台面向公众的服务器的本地管理员权限后实施攻击。 “Aon的研究人员John Ailes和Tim Mashni表示：“自带安装程序是一种技术，威胁行为者可以通过在配置不当的情况下，及时终止代理更新过程，从而绕过主机上的EDR保护。” 这种方法值得注意，因为它不依赖于易受攻击的驱动程序或其他工具来解除安全软件的武装。相反，它利用代理升级过程中的一个时间窗口来终止正在运行的EDR代理，使设备处于无保护状态。 具体来说，它利用了这样一个事实：使用MSI文件安装软件的不同版本会导致它在执行更新之前终止已经运行的Windows进程。 “自带安装程序”攻击本质上涉及运行一个合法的安装程序，并在关闭正在运行的服务后，通过发出“taskkill”命令强行终止安装过程。 “Aon的研究人员表示：“由于SentinelOne的旧版本进程在升级过程中被终止，而新进程在启动前被中断，最终结果是一个没有SentinelOne保护的系统。” SentinelOne表示，这种技术也可以应用于其他端点保护产品，该公司已经对其本地升级授权功能进行了更新，以防止此类绕过再次发生。这包括默认为所有新客户启用该功能。 与此同时，思科透露，一个名为Crytox的勒索软件家族在其攻击链中使用了HRSword，以关闭端点安全保护。 HRSword此前曾在传播BabyLockerKZ和Phobos勒索软件的攻击中被观察到，以及那些旨在终止韩国AhnLab安全解决方案的攻击。 勒索软件新趋势 近几个月来，勒索软件攻击越来越多地将目标对准域控制器，以入侵组织，使威胁行为者能够获得特权账户的访问权限，并利用集中的网络访问权限在几分钟内加密数百或数千个系统。 “在超过78%的人为操作的网络攻击中，威胁行为者成功入侵了域控制器，”微软上个月透露。 “此外，在超过35%的案例中，主要传播设备——负责大规模分发勒索软件的系统——是域控制器，突显了其在实现广泛加密和运营中断中的关键作用。” 近几个月来，检测到的其他勒索软件攻击利用了一种名为PlayBoy Locker的新勒索软件即服务（RaaS），它为相对缺乏技能的网络犯罪分子提供了一个全面的工具包，包括勒索软件负载、管理仪表板和支持服务。 “PlayBoy Locker RaaS平台为附属机构提供了许多选项，用于构建针对Windows、NAS和ESXi系统的勒索软件二进制文件，能够根据不同的操作需求进行定制配置，”Cybereason表示。“PlayBoy Locker RaaS运营商为附属机构宣传定期更新、反检测功能，甚至提供客户支持。” 与此同时，DragonForce发起了一场勒索软件卡特尔运动，这是一个声称控制了RansomHub的网络犯罪团伙，RansomHub是一个在2025年3月底突然停止运营的RaaS计划。 白标签品牌服务旨在允许附属机构将DragonForce勒索软件伪装成不同的菌株，以换取额外费用。威胁行为者声称将从成功的勒索软件赎金中抽取20%的份额，允许附属机构保留剩余的80%。 DragonForce于2023年8月首次出现，最初定位为支持巴勒斯坦的黑客行动主义行动，随后发展成为一个完整的勒索软件行动。在最近几周，该RaaS集团因其针对英国零售商（如哈罗德、马莎和合作商店）的攻击而受到关注。 “这一举措，以及DragonForce将其自身品牌定位为‘勒索软件卡特尔’的推动，表明该组织希望通过启用一个生态系统来提高其在网络犯罪领域的知名度，”SentinelOne表示。“在这种模式下，DragonForce提供基础设施、恶意软件和持续的支持服务，而附属机构则以自己的品牌运行活动。” 据BBC新闻报道，针对英国零售行业的攻击被认为是由臭名昭著的威胁集团和RansomHub附属机构Scattered Spider（又名Octo Tempest或UNC3944）策划的。 “包括UNC3944在内的威胁行为者将零售组织视为有吸引力的目标是合理的，因为它们通常拥有大量个人身份信息（PII）和财务数据，”谷歌旗下的Mandiant表示。 “此外，如果勒索软件攻击影响了它们处理金融交易的能力，这些公司可能更有可能支付赎金要求。” 2024年，勒索软件攻击增加了25%，勒索软件组织泄露网站的数量增加了53%。根据Bitsight的说法，这种分裂是较小、更灵活的帮派的出现，它们正在攻击中型组织，这些组织可能并不总是有资源来应对这些威胁。 “勒索软件组织的激增意味着它们的增长速度超过了执法部门关闭它们的速度，它们对小型组织的关注意味着任何人都可能成为目标，”安全研究员Dov Lerner表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，联邦陪审团裁定，NSO集团需向Meta旗下的WhatsApp支付约1.68亿美元的赔偿金。此前四个月，一名联邦法官判定这家以色列公司违反美国法律，通过WhatsApp服务器部署Pegasus间谍软件，对全球超过1400名个人实施攻击。 WhatsApp于2019年首次对NSO集团提起诉讼，指控其利用Pegasus针对记者、人权活动家和政治异见人士。 审判期间公布的法庭文件显示，此次行动中，456名墨西哥人被攻击，其次是印度的100名受害者、巴林的82人、摩洛哥的69人和巴基斯坦的58人。总计有来自51个不同国家的个人受到影响。 这些攻击利用了当时WhatsApp语音通话功能的一个零日漏洞（CVE-2019-3568，CVSS评分：9.8），触发了间谍软件的部署。 2024年12月发布的一项裁决中，美国地区法官Phyllis J. Hamilton指出，在2019年5月的相关时间段内，Pegasus通过WhatsApp位于加利福尼亚的服务器发送了43次。 Meta旗下WhatsApp的负责人Will Cathcart在X上表示：“我们对间谍软件开发商NSO的案件在2024年12月创造了历史，当时法院裁定他们违反了美国的联邦和州法律。” “今天陪审团对NSO的惩罚性裁决是对间谍软件行业的一个重要威慑，防止他们对美国公司和全球用户进行非法行为。” Cathcart补充说，公司的下一步是申请法院命令，防止NSO再次攻击WhatsApp，并表示将向致力于保护人们免受此类攻击的数字权利组织捐款。 除了1.67254亿美元的惩罚性赔偿外，陪审团还裁定NSO集团必须向WhatsApp支付444719美元的补偿性赔偿，以补偿WhatsApp工程师为阻止攻击途径所做的重大努力。 这一裁决是隐私倡导者和人权组织的重大胜利，他们曾多次指责NSO集团将其强大的监控软件授权给客户，以监视民间社会成员。 尽管NSO集团试图通过声称其无法了解客户如何使用Pegasus来逃避责任，但汉密尔顿法官指出，它不能一方面声称其意图是帮助客户打击恐怖主义和儿童剥削，另一方面又声称与客户如何使用该技术无关，除了提供建议和支持。 Meta表示：“NSO被迫承认，它每年花费数千万美元开发恶意软件安装方法，包括通过即时通讯、浏览器和操作系统，而且其间谍软件至今仍能够入侵iOS或Android设备。” 在与Courthouse News和POLITICO分享的声明中，NSO集团表示，其技术在防止严重犯罪和恐怖主义方面发挥着关键作用，并且打算寻求适当的法律补救措施。该公司因从事“恶意网络活动”于2021年被美国政府制裁。 苹果公司曾对NSO集团提起类似的诉讼，但在2024年9月撤销了该诉讼，理由是继续进行可能会泄露其安全计划的敏感细节。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 新墨西哥州多所公立学区及一所大学正遭受网络攻击，导致数千名学生日常学习活动陷入混乱。佐治亚州科维塔县学区周日声明称，其29所K-12学校的23,000名学生因周五晚间的网络攻击受到持续影响。 学区官员Dean Jackson将此次攻击定性为“严重事件”，并称已向州应急管理署及国土安全部门上报。IT系统于周五发现异常活动后立即切断网络连接。“调查期间将限制内部网络访问权限以确保取证工作顺利开展，”Jackson解释道。 此次攻击正值各校筹备期末考试与大学预修课程（AP）测试的关键节点（原定周一启动）。学生仍可使用Chromebook及无线网络，但教职员工被禁止接入办公设备。学区正与网络安全专家及联邦、州级机构合作，评估学生与教职工数据是否遭窃。 过去一周内，多起针对K-12学校的网络攻击被曝光： 俄克拉荷马州巴特尔斯维尔公立学校因系统瘫痪被迫取消州级测试 巴尔的摩公立学校遭勒索软件攻击影响超2万名现任及前任员工 南卡罗来纳州查尔斯顿学区2024年8月遭RansomHub团伙攻击，20,653名学生信息泄露 得克萨斯州阿尔文独立学区2024年7月被Fog勒索团伙入侵，波及47,000名学生 西新墨西哥大学（WNMU）遭受持续数周的网络攻击，官方网站至今无法恢复，校方被迫通过临时页面及Facebook向银城校区的3000余名师生提供替代服务。攻击始于4月13日，导致校内多系统停摆。 尽管校方在社交媒体持续更新进展，但未透露是否涉及勒索攻击或全面恢复时间表。临时网站警告学生避免使用未经IT部门安全检查的校园台式机，无线网络仍处中断状态。“我们正通过短信、邮件与社媒渠道保持沟通，并在系统恢复后第一时间通知全校，”校方声明称。 临近考试周，教授们已延长作业提交期限以减轻影响。然而，Facebook评论区充斥学生不满——尤其是依赖在线资源的远程学习者，抱怨进度更新缺失及完成期末任务的额外负担。 安全专家指出，四月至五月间针对教育机构的勒索攻击显著激增，攻击者试图利用考试季技术依赖心理迫使学校支付赎金。2025年迄今已追踪到超70起教育领域勒索事件，多所高校去年遗留的数据泄露问题亦浮出水面。上周，Albion学院确认Medusa团伙2024年12月攻击导致数据外泄，南阿肯色大学理工学院则证实RansomHub团伙二月入侵属实。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大音频传媒集团iHeartMedia披露，其旗下多家广播电台于去年12月遭遇网络入侵，导致员工社会安全号码、财务账户信息等敏感数据外泄。尽管该公司已向缅因州、马萨诸塞州与加利福尼亚州提交数据泄露报告，但拒绝向《记录未来新闻》透露受影响人数及遭攻击电台数量。 iHeartMedia发言人称：“我们在少数地方电台的部分系统中发现异常活动后，立即采取措施阻断入侵，启动事件响应流程，并聘请第三方网络安全公司协助调查。同时已向执法部门通报。”泄露通知文件显示，攻击者于12月24日至27日侵入公司系统，访问并窃取存储于地方电台的敏感文件。 经持续至今年4月11日的调查确认，外泄数据包括： 社会安全号码 税号 驾照/护照号码 金融账户信息 健康保险资料 支付卡号 受影响员工将获赠一年期身份保护服务，并可通过专设电话热线咨询。值得注意的是，在提交给缅因州的报告中，iHeartMedia刻意隐去了受害者总数统计项。目前尚无黑客组织宣称对此事件负责。 作为美国音频行业巨头，iHeartMedia运营着870余个广播电台，月均触达2.5亿听众，2023年营收达38亿美元。此次事件发生一周前，另一传媒集团Urban One也披露了2月遭遇勒索攻击导致的员工数据泄露，但同样未公布具体影响规模。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近日修复了46个Android安全漏洞，其中包括一个已被在野利用的高危漏洞（追踪编号CVE-2025-27363，CVSS评分8.1）。该公司未透露相关攻击活动细节及漏洞利用者的身份信息。 该漏洞存在于系统组件中，成功利用可导致本地代码执行。2025年5月安卓安全公告指出：“最严重的问题是系统组件中的高危漏洞，攻击者无需额外权限即可执行本地代码，且无需用户交互即可完成利用。有迹象表明CVE-2025-27363可能已被定向攻击者有限度利用。” 今年3月中旬，Meta曾警告称FreeType库中的越界写入漏洞（同样追踪为CVE-2025-27363）可能已遭活跃利用。该漏洞影响FreeType 2.13.0及更早版本，具体存在于解析TrueType GX和可变字体文件的子字形结构时。“漏洞代码将带符号短整型数值赋给无符号长整型变量，叠加静态值后引发数值回绕，导致堆缓冲区分配过小。攻击者可借此越界写入最多6个带符号长整型数据，最终可能实现任意代码执行。”Meta公告称，同样未披露攻击细节、攻击者身份或攻击规模。 安全专家警告，多个Linux发行版仍在使用存在漏洞的旧版FreeType库，面临被攻击风险。谷歌在公告中强调：“新版安卓平台的多项安全增强机制大幅提升了漏洞利用难度，建议所有用户尽可能升级至最新系统版本。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭露一项规模化运行的钓鱼即服务（PhaaS）活动，该犯罪网络在短短数月内已导致数十万人受害。挪威安全公司Mnemonic披露，该代号“Darcula”的钓鱼平台专门针对iPhone和Android用户，通过仿冒知名品牌诱导受害者提交银行卡信息。 该组织通过短信、RCS和iMessage渠道在全球范围发起攻击，伪装成物流公司等品牌发送钓鱼信息。受害者会被要求支付“包裹签收费用”、“道路通行费”等虚假账单。早期报告显示，该平台持续迭代升级，已具备生成式AI定制钓鱼话术、反取证追踪等高级功能。 通过逆向工程分析，Mnemonic成功锁定该犯罪网络的核心——名为“Magic Cat”的自动化攻击套件。 该基础设施当前被约600个网络犯罪团伙租用，这些组织多潜伏于加密Telegram群组，利用SIM卡池扩大攻击覆盖面，通过卡终端设备处理窃取的数据。据研究人员估算，2023年至2024年的七个月内，通过该平台泄露的银行卡信息达88.4万条。 Mnemonic指出，Magic Cat是专为技术门槛较低的犯罪者设计的全功能工具包，可实现钓鱼短信攻击的批量化操作。该平台内置数百个跨国品牌仿冒模板，近期更新后自定义模板功能更为简化。 该工具具备实时数据流监控功能，可逐字符捕获受害者输入的敏感信息，并支持动态索取PIN码、无缝对接短信网关等高级特性。目前，已通报多国执法机构介入调查。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿尔文独立学区（AISD）发生数据泄露事件，导致47,606人的敏感个人信息遭窃。该学区确认漏洞发生于2024年6月，并于本周末启动对受影响人员的通知程序。 泄露数据包括姓名、社会安全号码、州政府签发的身份证件、信用卡/借记卡详细信息、金融账户号码、医疗数据及健康保险信息。德克萨斯州总检察长办公室于2025年5月2日通报了此事件。 勒索软件团伙Fog于2024年7月宣称对此次攻击负责，声称从AISD窃取了60GB数据，并将学区名称公布于其数据泄露网站——这是施压受害者支付赎金的常见手段。AISD尚未证实该团伙的说法，也未披露是否支付赎金。 截至本文撰写时，阿尔文独立学区未回应Infosecurity的置评请求。 Fog自2024年7月开始公布攻击活动，AISD与其首批受害者西阿利斯-西密尔沃基学区和阿斯伯里神学院并列。此后，Fog宣称实施了20起已确认的勒索软件攻击（其中12起针对教育机构）及157起未确认事件，其活动迹象于2025年4月停止。 该团伙以加密文件与窃取数据著称，常瞄准开发环境。尽管Fog多数受害者属教育领域，但其攻击范围不限于学校。 AISD事件是教育行业系统性遭受攻击的缩影。2024年，研究机构Comparitech记录到79起针对美国教育机构的勒索软件攻击，波及超280万条记录，平均赎金要求达82.7万美元。 近期其他校园勒索事件包括： 2025年4月，Medusa向福尔里弗公立学区索要40万美元 同月Qilin攻击西新墨西哥大学 Medusa入侵阿尔比恩学院致6,930人受影响 2024年10月RansomHub攻破南阿肯色大学理工学院 针对哈仙达拉普恩特联合学区的未认领攻击 2025年迄今，美国教育领域已发生15起确认及36起未确认的勒索软件攻击事件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年Verizon《2025年数据泄露调查报告》（DBIR）中最值得关注的并非勒索软件头条或零日漏洞利用，而是推动这些攻击的深层诱因。在诸多严重泄露事件中，两个底层因素持续发挥着作用：第三方暴露与机器凭证滥用。 根据2025年DBIR，涉及第三方的泄露事件同比翻倍（从15%上升至30%）。与此同时，攻击者越来越多地利用机器凭证和未受管控的机器账户获取访问权限、提升特权并窃取敏感数据。 这一趋势传递出明确信号：仅保护内部员工账户已远远不够。要真正抵御现代威胁，企业必须在统一的安全策略下管理所有身份——包括员工、非员工与机器身份。 当前企业生态由承包商、供应商、商业伙伴、托管服务提供商、关联公司等多方交织构成。这些合作关系虽提升效率，也催生了复杂的身份生态系统。若缺乏严格治理，第三方身份将成为攻击者伺机利用的盲点。 与第三方访问相关的泄露通常源于糟糕的生命周期管理，例如项目结束后未停用承包商账户，或商业伙伴账户权限过度宽松。2025年DBIR指出，这一趋势正在加速且跨行业蔓延——医疗、金融、制造业和公共部门均报告了由第三方暴露引发的重大事件。 企业须以管理内部员工的同等严格标准，将身份治理扩展至非员工群体，确保对所有第三方用户的可视性、责任归属与及时账户停用。 尽管人类身份依然脆弱，机器身份的风险增长更为迅猛。服务账户、机器人流程自动化（RPA）、AI代理、API接口等“数字劳动力”数量激增，却普遍缺乏明确归属与监管。随着AI代理的普及，机器身份的增长速度与复杂程度将远超企业当前管理能力。 2025年DBIR发现，基于凭证的攻击仍是主要初始入侵手段，攻击者正日益瞄准未受管控的机器账户作为突破口。未受保护的机器账户直接关联多起重大泄露与升级的勒索软件攻击。 风险持续加剧，但多数传统身份安全工具仍将机器视为次要对象。因此，企业必须摒弃临时性机器管理措施，转向专为规模化与自动化设计的治理模型。欲深入了解该问题，可参阅白皮书《谁在守护机器身份？》。 碎片化身份治理已不再是弱点，而是重大责任。若将员工、第三方用户和机器身份（如果存在管理）分别置于孤立系统中管理，攻击者将获得足以渗透的裂缝——他们无需攻破所有防线，只需找到一个突破口。 与第三方用户和机器账户相关的泄露事件增速已超过内部员工泄露，这一现象明确警示：不一致的治理模式正在催生新漏洞。现实在于：身份即身份。无论是人类、非员工还是机器身份，都必须在统一策略下实施妥善管理、治理与保护。 能在未来威胁中存活的企业，并非那些试图拼凑解决方案的机构，而是意识到“全域身份统一治理”是唯一出路的主体。通过整合员工、承包商、合作伙伴、服务账户、机器人与AI代理的身份安全，企业方能填补关键防御缺口、提升可视性，并在关键时刻强化安全壁垒。 SailPoint通过专为复杂企业环境设计的解决方案（以SailPoint Atlas平台为支撑），帮助企业实现全域身份安全。无论您需要管理机器身份还是管控非员工访问，SailPoint提供的统一身份安全体验能将身份混乱转化为清晰防线。 人类与机器身份间的安全鸿沟正在扩大。是时候主动弥合这一缺口了——否则攻击者将替您完成此事。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国福利与薪资解决方案提供商Kelly Benefits（正式名称为Kelly & Associates Insurance Group）近日披露，其此前公布的数据泄露事件影响范围远超最初估计。 这家总部位于美国的公司为企业提供福利管理、薪资处理及劳动力管理解决方案。 2024年12月12日至17日期间，黑客入侵Kelly Benefits系统并窃取敏感个人数据。该公司最初于2025年4月通报称，事件影响近26.4万人，涉及CareFirst、Guardian、Beam Benefits等客户，泄露数据包括姓名、社保号（SSN）、医疗及财务信息。目前受影响人数已升至413,032人，调查仍在进行中。 根据向缅因州总检察长办公室提交的更新文件，Kelly Benefits于2025年5月2日代表其自身及附录A所列实体，向该州额外135名居民寄送通知信。新增受影响者的潜在泄露信息包括姓名、社保号及财务账户信息。至此，缅因州共有7,164名居民收到事件通知。 Kelly Benefits未透露攻击技术细节，目前尚无勒索软件组织宣称对此次入侵负责。该公司正代表CareFirst、Guardian、Beam Benefits等多个客户向受影响个体发送通知。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文