HackerNews 编译，转载请注明出处： 欧盟委员会周三宣布对苹果与Meta分别处以5亿欧元（5.7亿美元）与2亿欧元（2.28亿美元）罚款，认定两家公司违反欧盟《数字市场法案》（DMA）。这是该法案去年生效后开出的首批罚单，可能加剧欧盟与美国间的贸易摩擦。 调查显示，苹果违反DMA“反导流义务”条款，即禁止企业通过平台设计诱导消费者为平台运营商而非第三方创造收入。例如阻止Spotify等应用直接引导用户订阅，强制使用App Store支付系统。Meta则因“付费或同意”广告模式未向用户提供“使用更少个人数据的服务选项”而受罚，欧盟认定该模式损害用户数据自主权。 欧盟技术主权与安全事务负责人汉娜·维尔库宁强调：“DMA确保公民能完全掌控个人数据使用方式，企业可自由与客户沟通。今日裁决认定苹果与Meta剥夺用户自由选择权，必须整改。”此次罚款金额低于去年欧盟对两家公司的反垄断处罚（苹果18亿欧元、Meta8亿欧元），但正值欧美贸易紧张升级之际。按DMA规定，最高可处企业全球年收入10%的罚款（苹果2024年收入390亿美元，Meta160亿美元）。 苹果周三声明将上诉，指控欧盟委员会“不公正针对”。Meta全球事务主管乔尔·卡普兰（曾任白宫副幕僚长）批评欧盟“试图削弱美国企业竞争力，放任中欧公司适用不同标准”，称整改要求“实质施加数十亿美元关税”。Meta表示将上诉，并认为欧盟行动与美欧贸易谈判相关。欧盟执行副主席特蕾莎·里贝拉回应：“苹果与Meta通过强化用户依赖性违反DMA，我们基于明确规则采取坚定而平衡的执法。所有在欧运营企业必须遵守法律并尊重欧洲价值观。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加利福尼亚州非营利健康保险机构蓝盾（Blue Shield of California）近日声明，因Google分析与广告平台配置错误导致470万会员的受保护健康信息泄露。该机构服务全州近600万会员，其官网发布的通报显示数据泄露时间为2021年4月至2024年1月。 美国卫生与公众服务部数据泄露门户网站更新信息证实，此次事件影响470万人的敏感健康数据。蓝盾表示，泄露源于部分官网Google Analytics配置错误，可能导致数据被共享至Google广告平台及第三方广告商。 官方声明指出：“2025年2月11日发现，2021年4月至2024年1月期间，Google Analytics配置允许将含受保护健康信息的会员数据共享至Google广告产品。Google可能利用这些数据对受影响会员实施精准广告投放。” 暴露数据类型包括： 保险计划名称、类型及团体编号 所在城市与邮政编码 性别与家庭规模 蓝盾会员账户识别码 医疗索赔服务日期、服务商名称、患者姓名及自付费用 “寻找医生”功能搜索条件与结果（含位置、计划信息、医疗提供方信息） 蓝盾强调社会安全号、驾照号、银行账户及信用卡信息未受影响，但仍建议会员密切监控账户动态与信用报告。目前机构未提供身份盗窃保护服务，尚不清楚是否会向受影响会员寄送个别通知。 这是加州蓝盾一年内披露的第二起重大网络安全事件。2024年该机构软件服务商Connexure（原Young Consulting）遭BlackSuit勒索软件组织入侵，导致近百万会员数据被盗。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月初以来，多个疑似与俄罗斯有关的威胁组织针对与乌克兰及人权事务相关的个人和机构发动攻击，旨在非法入侵Microsoft 365账户。Volexity指出，此类高度定向的攻击已从此前利用设备代码钓鱼技术的攻击方式转向新策略，表明相关威胁组织正在积极改进其攻击手法。 安全研究人员Charlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair和Tom Lancaster在详尽分析中表示：“近期观测到的攻击严重依赖与目标的点对点互动，攻击者必须说服目标点击链接并回传微软生成的验证码。”目前至少有两个追踪编号为UTA0352和UTA0355的威胁集群被认定参与攻击，但尚未排除其与APT29、UTA0304和UTA0307存在关联的可能性。 最新攻击的特征在于滥用合法的Microsoft OAuth 2.0身份验证工作流程。攻击者冒充欧洲多国官员，并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标，邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议，最终诱导受害者点击托管在Microsoft 365基础设施上的链接。 Volexity表示：“若目标回应信息，对话将迅速推进至实际安排会议时间。当约定时间临近时，伪装成欧洲政要的攻击者会再次联系目标，发送会议加入指引。”这些指引以文档形式呈现，随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。 具体而言，攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌，该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code（insiders.vscode[.]dev）实现的，令牌将在此界面显示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌以最终控制受害者M365账户。 Volexity还观测到该活动的早期版本会将用户重定向至“vscode-redirect.azurewebsites[.]net”网站，该网站再次重定向至本地IP地址（127.0.0.1）。研究人员解释称：“此时授权码仅存在于URL中，用户浏览器会显示空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。” 2025年4月初发现的另一社交工程攻击涉及UTA0355使用已入侵的乌克兰政府电子邮箱向目标发送钓鱼邮件，随后通过Signal和WhatsApp发送信息。这些信息邀请目标参加关于乌克兰“暴行罪”起诉及国际合作投资的视频会议。尽管最终目标与UTA0352相同，但存在关键差异：攻击者滥用微软365认证API获取受害者邮件数据，并将窃取的OAuth授权码用于在受害者Microsoft Entra ID（原Azure Active Directory）永久注册新设备。 攻击者随后发起第二轮社交工程以说服目标批准双重认证请求并劫持账户。Volexity指出：“在此次互动中，UTA0355要求受害者批准双重认证（2FA）请求以‘访问与会议关联的SharePoint实例’，此举旨在绕过受害者组织设置的额外安全要求以访问其邮箱。”该攻击的特别有效性体现在：登录活动、邮件访问及设备注册均通过地理位置与受害者匹配的代理网络进行，大幅增加检测难度。 为应对此类攻击，建议组织审计新注册设备、培训用户警惕即时通讯平台上的非主动联络，并实施条件访问策略限制仅允许受审批/管理设备访问组织资源。Volexity补充道：“近期攻击活动完全利用微软官方基础设施进行用户交互，未使用攻击者自托管设施。同时，攻击不涉及需用户显式授权的恶意OAuth应用（此类应用可被组织轻松拦截）。已获许可的微软原生应用使用使得该技术的预防与检测极为困难。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关联的威胁组织UNC2428在2024年10月针对以色列发起以招聘为主题的社会工程攻击，其通过部署名为MURKYTOUR的后门实施网络间谍活动。 谷歌旗下Mandiant公司将UNC2428称为与伊朗结盟的威胁组织，该组织通过“复杂的欺骗技术链”部署恶意软件。 根据Mandiant 2025年度《M-Trends报告》，UNC2428伪装成以色列国防承包商拉斐尔（Rafael）的招聘方，诱导目标用户访问仿冒网站并下载所谓的“求职辅助工具”。 该工具（“RafaelConnect.exe”）实为LONEFLEET安装程序，启动后会向受害者展示图形用户界面（GUI），要求输入个人信息并提交简历。一旦用户提交信息，LEAFPILE启动器将在后台激活MURKYTOUR后门，使攻击者获得对受感染设备的持续访问权限。 Mandiant指出：“伊朗相关威胁组织通过图形用户界面将恶意软件伪装成合法应用。这类仿冒安装程序的界面设计能有效降低目标用户的怀疑”。 此活动与以色列国家网络局归因于伊朗威胁组织黑影（Black Shadow）的攻击存在重叠，后者受伊朗情报和安全部（MOIS）支持，以攻击以色列学术、旅游、通信、金融等多领域而闻名。 2024年，多个伊朗威胁组织瞄准以色列，包括使用专有擦除器POKYBLIGHT的Cyber Toufan组织。 另一组织UNC3313通过钓鱼攻击进行监视和信息收集，其攻击手段包括在文件共享平台托管恶意软件，并嵌入以培训和网络研讨会为主题的钓鱼链接。UNC3313还分发JELLYBEAN投放器和CANDYBOX后门，并滥用9种合法远程监控工具（RMM）规避检测。 2024年7月，疑似伊朗背景的攻击者伪装成Palo Alto Networks的GlobalProtect远程访问软件安装包，暗中部署.NET后门CACTUSPAL。该后门启动后验证进程唯一性，随后与外部C2服务器通信。 伊朗威胁组织如UNC1549还通过云基础设施增强隐蔽性，例如利用拼写错误域名（Typosquatting）或复用合法域名托管C2节点。APT42（又名Charming Kitten）则通过伪造谷歌、微软、雅虎登录页面窃取凭证，并利用Google Sites和Dropbox引导目标访问虚假Google Meet页面。 2024年，Mandiant在中东攻击活动中识别出20余种伊朗组织专用恶意软件家族，包括APT34（OilRig）用于攻击伊拉克政府实体的DODGYLAFFA和SPAREPRIZE后门。该公司警告：“伊朗相关威胁组织将持续调整战术手段以适应当前形势。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜（朝鲜民主主义人民共和国，DPRK）存在关联的多个威胁活动集群被确认针对Web3及加密货币领域的机构与个人实施攻击。 谷歌旗下Mandiant公司在提供给《The Hacker News》的《2025 M-Trends报告》中指出：“朝鲜因遭受严厉国际制裁，其针对Web3与加密货币的攻击主要出于经济动机。这些活动旨在获取资金，据信用于支持朝鲜大规模杀伤性武器（WMD）计划及其他战略资产。” Mandiant表示，朝鲜相关攻击者已开发使用Golang、C++和Rust等多种语言编写的定制工具，具备感染Windows、Linux和macOS操作系统的能力。 追踪编号为UNC1069、UNC4899和UNC5342的三个威胁集群被发现重点攻击加密货币与区块链开发群体，主要渗透从事Web3项目的开发人员以非法获取加密货币钱包权限及其所属机构访问权限。各集群特征如下： UNC1069（活跃至少自2018年4月）：通过Telegram发送虚假会议邀请并伪装知名企业投资者身份，针对多行业实施社会工程攻击以窃取数字资产与加密货币 UNC4899（活跃自2022年）：以招聘测试为名分发恶意代码实施供应链攻击（与Jade Sleet、PUKCHONG、TraderTraitor等组织存在技术重叠） UNC5342（活跃自2024年1月）：使用含恶意代码的编程任务诱骗开发人员运行（与Contagious Interview、DEV#POPPER等组织存在技术重叠） 另一朝鲜攻击者UNC4736通过植入后门的交易软件渗透区块链行业，被指与2023年初3CX供应链攻击存在关联。Mandiant公司还发现独立集群UNC3782实施针对加密货币行业的大规模钓鱼攻击，2023年针对TRON用户实施钓鱼攻击，单日转移价值超1.37亿美元资产，2024年转向攻击Solana用户诱导其访问含加密货币流失器的页面。 朝鲜通过派遣数千名IT人员（主要居住在中国与俄罗斯）渗透欧美亚企业远程岗位，这些人员大多隶属负责核计划的313总局。他们使用盗用身份与完全虚构身份，在面试阶段运用Deepfake技术创建逼真合成身份。 单操作员可使用多个合成身份应聘同一职位，长期潜伏企业虚拟桌面、网络与服务器实施数据窃取与网络攻击。 Palo Alto Networks Unit 42研究员Evan Gordenker指出该策略使朝鲜IT人员可规避安全公告通缉，显著降低检测概率。谷歌威胁情报组（GTIG）报告显示渗透人员还通过勒索雇主、薪资回流平壤等方式支持朝鲜战略目标。 2024年某朝鲜IT人员使用至少12个虚构身份应聘欧美岗位，某美国公司同一岗位出现两名朝鲜渗透人员竞争，其中一人成功入职，另有机构12个月内雇佣四名朝鲜IT渗透人员。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联合国警告称，网络诈骗活动正以工业化规模在东南亚及更广区域扩张。 联合国毒品和犯罪问题办公室（UNODC）新报告《拐点：东南亚诈骗中心、地下银行与非法在线市场的全球影响》披露了相关发现。 报告指出，诈骗中心由“复杂的跨国集团与洗钱者、人口贩子、数据中介及日益增多的专业服务提供商组成的犯罪集团驱动”。 这些组织倾向聚集在缅甸与柬埔寨等“脆弱”边境地区，大型整合集团正取代分散诈骗团伙，建设“工业科技园区、赌场及酒店”。 UNODC表示，此类集团利用腐败官员“进一步渗透东南亚许多偏远、脆弱及防护薄弱的地区，并日益向其他区域扩张”，年获利达数百亿美元。 报告警告称：“当前越来越明显的是，东南亚已发生可能无法逆转的溢出效应，犯罪集团可自由选择司法管辖区、转移业务与资产，导致局势迅速超出政府管控能力。” 据称，数十万被贩运受害者与“谋划者”共同推动产业扩张，通过犯罪市场、赌博平台、无证支付处理商、加密通信平台、稳定币及区块链网络等在线服务牟利。UNODC指出，生成式人工智能（GenAI）被滥用于诈骗的案例正日益增多。 联合国补充声明，2023年这些亚洲犯罪集团在本土通过网络诈骗获利约370亿美元，同时将业务扩展至非洲、南美、南亚及太平洋岛屿等遥远地区。报告呼吁采取多管齐下应对措施，包括提高政治意识、强化监管框架、加强跨机构与区域合作、提升执法部门技术能力。 UNODC东南亚及太平洋地区代理代表Benedikt Hofmann认为，犯罪集团扩张旨在对冲未来风险与干扰。“它像癌症般扩散，”Hofmann强调，“当局在某区域打击，但其根源永不消失；它们只是转移。这导致该区域实质上成为由复杂集团自由利用漏洞的相关联组织，从而危及国家主权，扭曲政策制定流程及其他政府体系。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商玛莎百货(M&S)周二宣布“过去数日持续处理网络事件”，此前社交媒体涌现大量顾客投诉。 事件的具体情况尚未披露。作为富时100指数成分股的玛莎百货，在全球拥有超过7万名员工，在英国拥有超过1000家门店。 该公司周二下午向伦敦证券交易所提交的声明称，在意识到事件后立即“对门店运营做出细微临时调整”。 顾客在社交媒体抱怨多种电子支付系统失效，包括银行卡支付、礼品卡及该零售商的“点击取货”服务。 玛莎百货在一份发给顾客的声明中确认，“您的‘点击提货’订单可能会出现一些有限的延迟，我们正在努力解决这个问题。”该公司向伦敦证券交易所表示，已聘请外部网络安全专家调查并处理该事件，并已向相关监管机构和国家网络安全中心报告。 “我们正在采取措施进一步保护我们的网络，并确保我们能够继续提供优质的客户服务，”该公司在声明中继续说道。 “对于由此造成的不便，我们深感抱歉。重要的是，我们的门店仍在营业，我们的网站和应用程序也正常运行。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿比林市表示，其正在努力恢复因遏制网络攻击而离线的系统。 此次攻击始于4月18日，当时该市内部网络部分系统报告无响应，随即启动事件响应预案。该市官员周一宣布，为保护网络，阿比林市已断开关键资产与受攻击影响系统的连接。 “我们已启动调查并聘请行业领先的网络安全专家确定事件性质与范围，同时通报相关部门。”官员称。阿比林市官员表示，其IT部门周末持续工作以恢复服务并减少对运营的影响，所有系统均处于异常活动监控中。 该市声明：“紧急服务仍保持正常运行并可及时提供协助，未检测到异常财务活动。水务用户仍可通过市政服务账单支付系统缴纳费用。”同时指出，系统恢复期间在线服务可能出现延迟，逾期账户不会被切断服务，现场与在线支付渠道均保持畅通。 “当前处于调查初期阶段。任何经历过网络事件的人员都清楚这是耗时过程。每周我们将进一步掌握事件范围，并随着调查进展通报细节。”该市呼吁公众保持耐心与理解。 现有信息表明阿比林市可能遭受勒索软件攻击，但截至发稿尚无勒索组织宣称负责。以大量儿童文学角色雕塑闻名并拥有三所基督教大学的阿比林市，人口约13万。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Active! Mail 零日远程代码执行漏洞正被积极利用，攻击日本的大型组织。 Active! Mail 是一款基于 Web 的电子邮件客户端，最初由 TransWARE 开发，后被 Qualitia 收购，这两家公司均为日本公司。 虽然 Active! 不像 Gmail 或 Outlook 那样在全球范围内广泛使用，但它经常被用作大型企业、大学、政府机构和银行等日语环境中的群件组件。据 Active! 供应商称，该公司已在超过 2,250 家组织中使用，拥有超过 11,000,000 个帐户，使其成为日本商业 Web 邮件市场的重要参与者。 上周晚些时候，Qualitia 发布了一份安全公告，报告了一个基于堆栈的缓冲区溢出漏洞，漏洞编号为 CVE-2025-42599（CVSS v3 评分：9.8，“严重”），该漏洞影响所有受支持操作系统平台上 Active! 的所有版本（包括“BuildInfo: 6.60.05008561”）。 公告称：“如果远程第三方发送恶意构建的请求，则可能存在任意代码执行或触发拒绝服务 (DoS) 的情况。” 尽管 Qualitia 表示正在调查该漏洞是否已被利用，但日本计算机紧急响应小组 (CERT) 已确认该漏洞正处于活跃利用状态，并敦促所有用户尽快更新至 Active! Mail 6 BuildInfo: 6.60.06008562。 日本网络托管和 IT 服务 (SMB) 提供商 Kagoya Japan 上周末报告了数起外部攻击，导致其暂停服务。 “我们怀疑此问题与 QUALITIA（开发商）披露的一个漏洞有关，” Kagoya 此前发布的公告中写道。 网络托管和 IT 服务提供商 WADAX 也报告了类似的服务中断，据称是由于有人试图利用该漏洞。 “目前，我们还无法保证客户能够安全使用该服务，” WADAX 宣布。 “因此，出于客户安全的首要考虑，我们已暂时停止 Active! 邮件服务，以防万一。” Macnica 安全研究员 Yutaka Sejiyama 告诉 BleepingComputer，至少有 227 台暴露在互联网上的 Active! 服务器可能面临此类攻击，其中 63 台服务器用于大学。 日本计算机应急响应小组 (CERT) 为无法立即安全更新应用的用户提出了具体的缓解措施，包括配置 Web 应用程序防火墙 (WAF) 以启用 HTTP 请求正文检查，并在 multipart/form-data 标头的大小超过一定阈值时进行阻止。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 日本金融厅（FSA）警告称，与遭入侵的证券账户相关的未授权交易金额已达数亿美元，针对互联网交易服务的非法访问及交易行为造成的损失正在扩大。 日本金融厅在警报中写道。“伪装成真实证券公司网站的钓鱼网站窃取客户信息（登录ID、密码等）后，攻击者利用这些信息对互联网交易服务进行未授权访问及未授权交易（第三方操作交易）的案例数量急剧上升。” 日本金融厅警告称，在线交易平台上通过钓鱼网站窃取登录凭证实施的未授权交易案例正快速增加。通常攻击者会劫持受害者账户，出售其持有股票并用所得资金购买股票等资产，这些资产在攻击后仍留存于账户内。报告的售出与买入金额为总交易量，不等于客户实际损失金额。 为避免因登录凭证泄露导致未授权交易，用户需遵循关键防护措施：切勿点击邮件或短信中的链接，始终通过预先保存的书签访问证券网站，启用多因素认证和登录通知等安全功能。避免密码复用，设置复杂密码并频繁检查账户活动。若怀疑欺诈，立即更改密码并联系所属证券公司。保持设备系统更新并使用可靠防病毒软件以防范恶意软件数据窃取。 日本金融厅建议用户查阅日本证券业协会发布的《证券公司在提供互联网交易服务时应注意事项》警示公告。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文