HackerNews 编译，转载请注明出处： 与朝鲜关联的威胁行为组织“Contagious Interview”（传染性面试）在虚假招聘流程中设立了多家空壳公司，用于分发恶意软件。 网络安全公司Silent Push在深度分析中指出：“在此次新活动中，该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC（blocknovas[.]com）、Angeloper Agency（angeloper[.]com）和SoftGlide LLC（softglide[.]co）——通过‘面试诱饵’传播恶意软件。” 该活动被用于分发三种已知恶意软件家族：BeaverTail、InvisibleFerret和OtterCookie。 “Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口，诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。 此次攻击的升级体现在： 空壳公司网络：BlockNovas声称有14名员工，但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时，该公司自称“运营12年以上”，但实际注册时间仅1年。 社交媒体伪装：攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。 多阶段攻击链： BeaverTail：JavaScript窃取器/加载器，通过域名lianxinxiao[.]com建立C2通信，投递下一阶段载荷。 InvisibleFerret：Python后门，支持Windows/Linux/macOS持久化，可窃取浏览器数据、文件并安装AnyDesk远程控制软件。 OtterCookie：部分攻击链通过同一JS载荷分发。 基础设施细节： BlockNovas子域名托管“状态仪表盘”，监控lianxinxiao[.]com、angeloperonline[.]online等域名。 子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。 域名attisscmo[.]com托管加密货币钱包工具Kryptoneer，支持Suiet Wallet、Ethos Wallet等连接。 时间线与影响： 2024年9月：至少一名开发者的MetaMask钱包遭入侵。 2024年12月：BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。 2025年4月23日：FBI查封BlockNovas域名，指控其用于“虚假招聘及恶意软件分发”。 技术规避手段： 使用Astrill VPN和住宅代理隐藏基础设施。 利用AI工具Remaker生成虚假人物头像。 通过俄罗斯IP段（位于哈桑和伯力）连接VPS服务器，操作招聘网站和加密货币服务。Trend Micro指出，这些地区与朝鲜存在地理和经济关联，推测朝俄可能存在基础设施共享。 双重动机： 数据窃取：通过远程IT员工渗透企业（即Wagemole攻击）。 资金转移：将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI（GenAI）优化虚假身份创建、面试安排及实时语音/文本翻译。 行业警示： 企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务，此类要求可能成为恶意软件投递的切入点。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp推出了一项名为“高级聊天隐私（Advanced Chat Privacy）”的新功能，旨在保护私聊和群组对话中交换的敏感信息。该隐私选项可在点击聊天名称后启用，用于阻止他人保存媒体文件和导出聊天内容。 WhatsApp表示：“今天我们推出了最新的隐私层‘高级聊天隐私’。这项在聊天和群组中均可使用的新设置，能在您需要更高隐私时防止他人将WhatsApp内的内容外传。启用该设置后，您可阻止他人导出聊天记录、自动下载媒体至手机，以及将消息用于人工智能（AI）功能。这将使聊天中的每位成员更确信无人能将对话内容带出聊天。” 该公司补充称这是该功能的第一个版本，正在向所有已更新至最新版本WhatsApp的用户推送。WhatsApp还在为该功能开发更多防护措施以增强其效果。但需注意，即使启用“高级聊天隐私”，仍存在通过截屏（如果未禁用截图功能）等方式提取敏感媒体和信息的可能。 这项新功能是WhatsApp七年前启动的通信安全强化计划的一部分——当时该公司首次引入端到端加密。五年后（2021年10月），WhatsApp开始向iOS和Android设备推送端到端加密的聊天备份功能。同年12月，通过为所有新聊天添加默认“阅后即焚”消息支持进一步扩展隐私控制。 近期更新包括：使用密码或指纹锁定聊天、通过“秘密代码”隐藏锁定聊天、允许Android和iOS用户在通话时通过WhatsApp服务器代理隐藏地理位置。自2024年10月起，WhatsApp还开始加密联系人数据库以实现隐私同步，确保联系人列表与账户绑定（而非设备），便于设备更换时的管理。 Meta在2020年初宣布，来自180多个国家的超过20亿用户正在使用WhatsApp视频通话和即时通讯平台。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netcraft最新报告显示，Darcula的钓鱼即服务（PhaaS）平台幕后运营者已为其网络犯罪工具包添加生成式人工智能（GenAI）功能。这项升级显著降低了钓鱼攻击的技术门槛，即使缺乏技术背景的犯罪分子也能在数分钟内创建定制化欺诈页面。 该平台新增的AI辅助功能具备以下威胁特性： 多语言支持：自动生成含本地化语言元素的钓鱼表单 智能克隆：可1:1复制任意品牌官方网站的界面设计 零代码操作：无需编程知识即可构建定制化钓鱼站点 攻击活动时间线 2024年3月：Netcraft首次曝光Darcula利用苹果iMessage/RCS协议发送伪装成USPS等邮政服务的钓鱼短信（Smishing） 2025年1月：运营者开始测试网站克隆功能 2025年4月23日：正式集成GenAI实现多语言钓鱼攻击自动化 瑞士网络安全公司PRODAFT追踪发现，该平台开发者代号LARVA-246，通过Telegram频道”xxhcvv/darcula_channel”进行销售。技术特征显示其与另一款钓鱼工具Lucid存在代码复用，两者均隶属于“Smishing Triad”犯罪生态，该组织长期实施全球性金融诈骗。 自2024年3月至今，Netcraft已下线25,000+个Darcula钓鱼页面，封禁31,000+个恶意IP地址以及标记90,000+个钓鱼域名。 Netcraft安全研究员Harry Everett警告：“这种技术革新使初级攻击者能在5分钟内完成钓鱼站点搭建与传播，全球金融机构需立即升级多因素认证体系。”（报告全文已提交FBI网络犯罪投诉中心）     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Interlock勒索软件团伙声称对肾脏透析公司DaVita发动网络攻击，并泄露从该组织窃取的数据。 DaVita是《财富》500强肾脏护理服务提供商，在美国拥有2,600多个透析中心，在12个国家拥有76,000名员工，年收入超过128亿美元。 这家医疗公司向美国证券交易委员会（SEC）披露，其于4月12日遭受勒索软件攻击，影响了部分业务运营。DaVita当时表示正在调查该事件的影响。 今天早些时候，Interlock勒索软件团伙通过在其暗网数据泄露网站（DLS）公布的受害者名单中添加DaVita来声称对此次攻击负责。 根据该团伙的说法，他们从该医疗公司获取了约1.5TB数据，即近70万个文件，内容似乎包含敏感患者记录、用户账户信息、保险信息甚至财务细节。 威胁行为者已将文件发布在其DLS上，这表明与DaVita的赎金谈判已经失败。BleepingComputer未审查文件内容，也无法验证其真实性。 我们再次联系该医疗公司就Interlock的声明置评，发言人向我们发送了以下声明： “我们已知晓暗网上的帖子，正在对相关数据进行彻底审查，”DaVita告诉BleepingComputer。 “关于此事件的全面调查仍在进行中。我们正在尽快处理，并将酌情通知受影响方和个人。” “我们对这种针对医疗界的行动感到失望，并将继续与供应商和合作伙伴共享有用信息，以提高未来防御此类攻击的意识。” 如果您曾在DaVita中心接受治疗并向该组织提供过敏感数据，建议警惕潜在的钓鱼攻击，并向当局报告可疑通信。 Interlock是勒索软件领域较新的团伙之一。它于去年9月启动，主要针对Windows和FreeBSD系统。 尽管不与外部分支机构合作，但它是相对活跃且不断演变的威胁，已对十余次攻击负责。对于列出的多起事件，该威胁行为者声称从受害者网络窃取了数TB数据。 网络安全公司Sekoia上周发布的报告显示了Interlock战术的转变，该组织现在采用“ClickFix”策略诱骗目标自我感染信息窃取程序和远程访问木马（RAT），最终部署加密器有效载荷。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 耶鲁纽黑文健康系统（YNHHS）披露了一起数据泄露事件。此前发生的网络攻击导致550万名患者的个人信息暴露。 耶鲁纽黑文健康系统（YNHHS）是总部位于康涅狄格州纽黑文的非营利性医疗网络，现为美国该州最大医疗系统，提供全方位医疗服务。该系统在康涅狄格州、纽约州东南部和罗得岛州运营超过360个医疗点，管理逾2,400张病床，拥有约30,000名医疗专业人员，年收入超56亿美元。 2025年3月11日，YNHHS遭遇影响IT服务的网络安全事件。在网络安全公司Mandiant协助下，事件迅速得到控制。院方声明患者护理与医疗记录未受影响，但作为恢复工作的一部分，部分互联网和应用程序访问问题仍持续存在。机构已向主管部门报备。 YNHHS于2025年4月11日公开数据泄露事件，称攻击者窃取了患者敏感信息。失窃数据因患者而异，包含以下内容： 全名 出生日期 家庭住址 电话号码 电子邮箱 种族/民族 社会安全号码（SSN） 患者类型 医疗记录编号 院方明确表示泄露数据不包含财务信息、医疗记录或治疗细节。 YNHHS发布的《数据安全事件通告》称：“2025年3月8日，我们发现影响信息系统(IT)的异常活动，立即启动事件控制程序并展开调查（含外部网络安全专家介入），同时向执法部门报告。调查确认有未经授权的第三方侵入网络，并于2025年3月8日获取了特定数据副本。此事件从未影响我院患者护理能力。” 自4月14日起，YNHHS开始向受影响患者寄送书面通知。虽未发现数据滥用案例，但将为涉及社会安全号码的患者提供免费信用监控服务。机构已设立专项呼叫中心（1-855-549-2678）解答疑问。 根据美国卫生与公众服务部违规事件门户数据，该事件影响5,556,702人。YNHHS未披露攻击技术细节，目前尚无勒索软件组织宣称对此负责。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发布了一款大多数现代Linux安全系统无法察觉其活动的rootkit。该恶意软件滥用了此前谷歌因安全风险在Android设备上禁用的性能优化方法。 攻击者可借此悄无声息地入侵Linux系统。总部位于特拉维夫的安全公司ARMO警告称，这暴露出大多数现代Linux安全检测方案存在关键漏洞。 黑客可利用“io_uring”方法实施绕过传统检测机制的恶意活动。多数CISO尚未意识到这一漏洞。 为验证该漏洞，研究人员公开了一款全功能rootkit。ARMO研究人员解释称：“安全工具的关键弱点在于过度依赖传统系统调用监控作为主要检测机制。虽然这种方法对多数威胁有效，但无法应对完全绕过系统调用的技术手段。” “io_uring”漏洞利用并非新发现，安全专家普遍认为其存在安全隐患。2023年6月，谷歌得出结论称60%的漏洞赏金提交利用了“io_uring”组件，因此决定限制其在谷歌产品中的使用。目前Android应用无法访问该方法，且ChromeOS已彻底禁用该功能。 但在大多数Linux发行版中，该框架仍提供用于异步输入/输出处理的内核API，既能减少传统系统调用需求，又可加速特定操作。 ARMO指出：“io_uring”为攻击者提供了绕过安全产品依赖的典型系统调用的漏洞利用空间。该框架支持61种操作能力，包括网络和文件系统操作。 研究人员发现，这种攻击方式影响了eBPF技术——一种被云安全厂商广泛采用的监控技术。受此影响的安全工具包括Falco和Tetragon等。 研究人员表示：“当前Linux EDR领域的大多数商业解决方案都依赖系统调用钩子技术。测试发现多个知名商业产品存在此类检测漏洞。” 为何要发布rootkit？ 研究人员希望通过发布名为Curing的全功能rootkit，提升网络安全界对攻击者仍在利用的隐蔽机制的认知。“过去两年已有文献详述如何利用该技术绕过检测机制，但多数网络安全厂商仍未解决该问题。” rootkit是最危险的恶意软件类型之一，能为攻击者提供系统root权限并完美隐藏自身。Curing rootkit可与C2服务器通信、获取指令并无需系统调用即可执行。 “核心思路是证明io_uring支持如此多关键操作，足以在其基础上编写完整rootkit。” 该研究团队还解释了如何检测此类恶意软件，建议监控“io_uring”的异常使用，因为现代程序通常不会主动调用该接口。 Linux新推出的内核运行时安全检测机制（KRSI）能实现深度监控。即使隐藏的rootkit仍需执行某些可见操作（如读取或发送数据），这些行为仍可被捕捉。 “io_uring”机制自2019年5月5日发布的Linux 5.1版本开始存在。研究人员总结道：“这不仅是理论威胁——我们测试了包括Falco和Tetragon在内的主流安全方案，确认它们均无法检测此类攻击。鉴于Linux是云基础设施的基石，这项研究将影响所有相关企业。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第一季度，多达159个CVE编号被标记为实际遭到利用，高于2024年第四季度的151个。 VulnCheck在与《The Hacker News》共享的报告中表示：“我们持续观察到漏洞被快速利用的现象，28.3%的漏洞在其CVE公开后1天内即遭利用。”这意味着有45个安全漏洞在公开当天就被武器化用于真实攻击。另有14个漏洞在1个月内被利用，还有45个漏洞在一年内遭到滥用。 VulnCheck表示，大部分被利用漏洞存在于内容管理系统（CMS），其次是网络边缘设备、操作系统、开源软件和服务器软件。具体分类如下： 内容管理系统（CMS）（35个） 网络边缘设备（29个） 操作系统（24个） 开源软件（14个） 服务器软件（14个） 该时期被攻击的主要厂商及产品包括：微软Windows（15个漏洞）、博通VMware（6个）、Cyber PowerPanel（5个）、Litespeed Technologies（4个）和TOTOLINK路由器（4个）。 VulnCheck指出：“平均每周披露11.4个KEV漏洞，每月53个。虽然CISA KEV本季度新增80个漏洞，但其中仅有12个此前没有公开的利用证据。”在159个漏洞中，25.8%被发现正在等待或接受NIST国家漏洞数据库（NVD）分析，3.1%被赋予新的“延期”状态。 根据Verizon最新发布的《2025年数据泄露调查报告》，作为数据泄露初始访问途径的漏洞利用量增长34%，占所有入侵事件的20%。谷歌旗下Mandiant收集的数据也显示，漏洞利用连续第五年成为最常观察到的初始感染途径，而窃取凭证已超越钓鱼攻击成为第二大初始访问途径。 Mandiant表示：“在确定初始感染途径的入侵事件中，33%始于漏洞利用。这比2023年（漏洞利用占入侵初始途径的38%）有所下降，但与2022年（32%）基本持平。”尽管攻击者试图逃避检测，防御者在识别入侵方面的能力仍在持续提升。 全球驻留时间中位数（即攻击者从入侵到被检测到在系统中停留的天数）达到11天，较2023年增加1天。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌于周二透露，作为其“隐私沙盒”（Privacy Sandbox）计划的一部分，将不再于Chrome浏览器中为第三方Cookie提供独立提示。 谷歌隐私沙盒副总裁安东尼·查韦斯（Anthony Chavez）表示：“我们已决定维持当前向Chrome用户提供第三方Cookie选择权的方案，不会推出新的独立第三方Cookie提示。用户仍可通过Chrome的隐私与安全设置选择最适合自己的选项。” 早在2024年7月，谷歌就表示已放弃逐步淘汰第三方跟踪Cookie的计划，转而推出一种新方案，让用户能够基于充分知情权做出选择。 谷歌称，来自出版商、开发者、监管机构和广告行业的反馈表明，对可能影响第三方Cookie可用性的调整存在“显著分歧”。 作为替代方案，谷歌表示将继续投入资源，增强Chrome隐身模式（默认屏蔽第三方Cookie）的跟踪防护功能，并计划在2025年第三季度推出新的“IP保护”功能。 该功能已作为开源项目发布，旨在限制隐身模式下用户原始IP地址在第三方场景中的暴露，防止跨站跟踪。 查韦斯指出：“基于此次更新，我们意识到隐私沙盒API可能在支持生态系统中承担不同角色。未来几个月，我们将与行业合作收集反馈，并分享包括未来投资方向在内的技术路线图更新。” 值得注意的是，尽管苹果Safari和Mozilla Firefox自2020年起已默认屏蔽第三方Cookie，但谷歌作为兼具浏览器厂商、广告平台和搜索引擎多重身份的竞争者，推行类似防护措施时面临更大阻力。 此次调整正值谷歌在美国面临严格监管审查之际。近期两项独立裁决指控该公司在搜索和广告市场维持垄断地位。 美国司法部上月提议通过剥离Chrome浏览器、强制谷歌将搜索结果分发给其他平台来恢复在线搜索市场的竞争。 据彭博社和路透社报道，若谷歌被迫出售Chrome，人工智能公司OpenAI表示有兴趣收购该浏览器，并“向用户展示以AI为核心的全新浏览器形态”。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）互联网犯罪投诉中心（IC3）2024年接报的网络犯罪损失金额达到破纪录的166亿美元，较2023年增长33%。根据《2024年IC3互联网犯罪报告》，这一“惊人”数字中绝大部分损失源于网络诈骗——即利用互联网实施资金盗窃、数据窃取、身份冒用或伪造商品服务的犯罪行为。网络诈骗占IC3投诉总量的38%，但占损失总额的83%（137亿美元）。 投资诈骗连续第三年成为FBI记录中损失最高的网络犯罪类型，达65亿美元，较2023年的45亿美元显著增长。其次是商务邮件入侵（BEC）造成的27亿美元损失，较2023年的29亿美元略有下降。2024年其他高损失网络犯罪类型包括技术支持诈骗（14亿美元）和个人数据泄露（14亿美元）。 FBI声明指出：“这些激增的损失更令人忧虑，因为本局去年已采取重大措施提高恶意攻击者的作案成本与难度。”2024年FBI接报的勒索软件攻击事件达3156起，高于2023年的2825起。FBI还发现勒索软件是2024年对关键基础设施最普遍的威胁，投诉量较上年增长9%。尽管如此，勒索软件造成的报告损失从2023年的596亿美元大幅降至124亿美元。 这些数据与其他近期勒索软件研究结果一致。区块链分析公司Chainalysis 2025年2月报告显示，2024年勒索支付金额同比下降35%。安全公司Blackfog四月数据显示，尽管2025年第一季度公开披露的勒索攻击创历史新高，但受害者支付赎金的意愿显著降低。可能的原因包括网络恢复能力提升使组织在考虑支付赎金前拥有更多恢复选项，以及去年执法部门打击LockBit等知名团伙导致勒索软件生态碎片化——小型团伙与独立攻击者转向攻击中小型目标。 联邦调查局表示，2024年共识别出67种新型勒索软件变种，其中报告最多的是Fog、Lynx、Cicada 3301、Dragonforce和Frag。     消息来源：infosecurity-magazine；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文