HackerNews 编译，转载请注明出处： Sensata Technologies（简称 Sensata）在上周末遭受了一次勒索软件攻击，部分公司网络被加密，运营受到扰乱。 在向美国证券交易委员会（SEC）提交的 8-K 表格中，Sensata 表示此次攻击发生在 4 月 6 日星期日，并涉及数据泄露。 “此次事件暂时影响了 Sensata 的运营，包括发货、收货、制造生产以及各种其他支持功能，”通知中写道。 Sensata 是一家工业技术公司，开发、制造和销售各种传感器及传感器解决方案，以及电气保护组件和系统。 该公司产品主要用于汽车、航空航天和工业应用领域。2023 年，Sensata 报告的年收入为 40 亿美元。 Sensata 表示，公司已采取立即行动，加快受网络攻击影响的关键功能的恢复进程。然而，公司无法提供完成这一工作的具体时间表。 在外部网络安全专家的协助下进行的初步调查确认，黑客已从公司网络中窃取了数据。 数据泄露与勒索软件的常见策略 数据泄露是勒索软件攻击者常用的策略，用于勒索受害者、增加支付赎金的压力，并制造法律和监管上的复杂性。 目前，Sensata 正在确定此次攻击中被盗的文件，并将根据调查结果通知受影响的个人和监管机构。 公司预计此次事件对其截至今年 6 月 30 日的当前季度财务结果不会产生重大影响。 然而，Sensata 承认，随着对安全事件的全面范围和影响的进一步了解，这一预期可能会发生变化。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客在披露后数小时内开始利用 OttoKit（原名 SureTriggers）插件中的一个高危漏洞，该漏洞允许绕过认证。 强烈建议用户立即将 OttoKit/SureTriggers 升级到最新版本 1.0.79，该版本于本月初发布。 OttoKit WordPress 插件允许用户无需编写代码即可连接插件和外部工具（如 WooCommerce、Mailchimp 和 Google Sheets），并自动化发送邮件、添加用户或更新客户关系管理（CRM）系统等任务。统计数据显示，该产品在 100,000 个网站上处于活跃状态。 昨天，Wordfence 披露了 OttoKit 中的一个认证绕过漏洞，编号为 CVE-2025-3102。该漏洞影响所有版本的 SureTriggers/OttoKit，最高版本为 1.0.78。 漏洞源于 authenticate_user() 函数中缺少对空值的检查，该函数负责处理 REST API 认证。如果插件未配置 API 密钥，则存储的 secret_key 将保持为空，从而可能被利用。 攻击者可以通过发送一个空的 st_authorization 头来绕过检查，从而获得对受保护 API 端点的未授权访问权限。 本质上，CVE-2025-3102 允许攻击者在无需认证的情况下创建新的管理员账户，这可能导致网站被完全接管的高风险。 Wordfence 在 3 月中旬收到了来自安全研究员 “mikemyers” 的漏洞报告，该研究员因此发现获得了 1,024 美元的赏金。 插件供应商于 4 月 3 日收到完整的漏洞利用细节，并于同一天通过版本 1.0.79 发布了修复补丁。 然而，黑客迅速抓住了这一机会，利用管理员更新插件的延迟来利用该安全问题。 WordPress 安全平台 Patchstack 的研究人员警告称，在漏洞披露后仅数小时，就记录到了首次实际利用尝试。 “攻击者迅速利用了这一漏洞，首次记录的尝试发生在我们将其作为 vPatch 添加到数据库后仅四小时，”Patchstack 报告称。 “这种快速的漏洞利用突显了在此类漏洞公开披露后立即应用补丁或缓解措施的紧迫性，”研究人员表示。 威胁行为者尝试使用随机的用户名/密码和电子邮件地址组合创建新的管理员账户，这是任务自动化的迹象。 如果您正在使用 OttoKit/SureTriggers，请尽快升级到版本 1.0.79，并检查日志以查看是否有意外的管理员账户或其他用户角色、插件/主题安装、数据库访问事件以及安全设置的修改。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 执法机构宣布，他们追踪到了 SmokeLoader 恶意软件的客户，并拘留了至少五名个人。 “在一系列协调行动中，由名为‘Superstar’的运营商管理的 Smokeloader 按安装付费僵尸网络的客户面临了诸如逮捕、搜查住所、逮捕令或‘敲门谈话’等后果，”欧洲刑警组织在一份声明中表示。 据称，Superstar 运营了一项按安装付费的服务，使客户能够通过该加载器作为渠道，向受害者的机器部署下一阶段的恶意载荷。 根据欧洲执法机构的说法，该僵尸网络提供的访问权限被用于各种目的，包括键盘记录、网络摄像头访问、勒索软件部署和加密货币挖掘。 此次行动是名为“终局行动”（Operation Endgame）的持续协调行动的一部分，该行动去年导致了与多个恶意软件载荷器（如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相关的在线基础设施被拆解。 加拿大、捷克共和国、丹麦、法国、德国、荷兰和美国参与了此次后续行动，旨在针对网络犯罪生态系统的“需求侧”。 网络安全 据欧洲刑警组织称，当局通过之前查获的一个数据库追踪到注册的客户，将他们的在线身份与现实中的个人联系起来，并传唤他们接受询问。据信，有部分嫌疑人选择配合调查，并允许检查他们的个人设备以收集数字证据。 “一些嫌疑人以更高的价格转售从 SmokeLoader 购买的服务，从而为调查增加了额外的趣味性，”欧洲刑警组织表示。“一些嫌疑人曾以为他们已不在执法机构的监控范围内，但最终意识到他们仍然是目标。” 恶意软件载荷器的多种形式 这一发展与 Broadcom 旗下的赛门铁克披露的一项网络钓鱼活动的细节相吻合，该活动利用 Windows 屏保（SCR）文件格式在受害者的机器上分发基于 Delphi 的恶意软件载荷器 ModiLoader（又名 DBatLoader 和 NatsoLoader）。 这也与一项隐蔽的网络活动相吻合，该活动诱使用户运行恶意的 Windows 安装程序（MSI）文件以部署另一种名为 Legion Loader 的载荷器恶意软件。 “此次活动使用了一种称为‘粘贴劫持’（pastejacking）或‘剪贴板劫持’的方法，因为用户被指示将内容粘贴到运行窗口中，”Palo Alto Networks Unit 42 表示，并补充称，它利用了多种伪装策略，通过 CAPTCHA 页面规避检测，并将恶意软件下载页面伪装成博客网站。 网络钓鱼活动也成为了 Koi Loader 的分发渠道，后者随后用于下载和执行一种名为 Koi Stealer 的信息窃取工具，作为多阶段感染序列的一部分。 “像 Koi Loader 和 Koi Stealer 这样的恶意软件利用了反虚拟机（Anti-VM）能力，突显了现代威胁规避分析师、研究人员和沙箱的检测和分析的能力，”eSentire 在上个月发布的一份报告中表示。 不仅如此，最近几个月再次见证了 GootLoader（又名 SLOWPOUR）的回归，它通过谷歌的赞助搜索结果传播，这一技术最早于 2024 年 11 月初被发现。 攻击针对在谷歌上搜索“保密协议模板”的用户，提供虚假广告，点击后会重定向到一个网站（“lawliner[.]com”），要求用户输入电子邮件地址以接收文档。 “在用户输入电子邮件后不久，他们会收到来自 lawyer@skhm[.]org 的电子邮件，其中包含一个链接，指向他们请求的 Word 文档（DOCX），”一位名为 GootLoader 的安全研究人员表示，他多年来一直密切监控该恶意软件载荷器。 “如果用户通过了所有关卡，他们将下载一个压缩的 JavaScript 文件。当用户解压并执行 JavaScript 文件时，相同的 GootLoader 行为就会发生。” 还发现了一种名为 FakeUpdates（又名 SocGholish）的 JavaScript 下载器，它通常通过社会工程伎俩传播，诱使用户安装伪装成 Google Chrome 等网络浏览器合法更新的恶意软件。 “攻击者利用受损资源分发恶意软件，将恶意 JavaScript 注入易受攻击的网站以识别主机、执行资格检查，并显示虚假的更新页面，”谷歌表示。“恶意软件通常通过驱动下载分发。恶意 JavaScript 作为下载器，传递额外的恶意软件。” 这种虚假浏览器更新的攻击路径也被观察到分发另外两种名为 FAKESMUGGLES 的 JavaScript 恶意软件家族，它因使用 HTML 走私技术传递下一阶段载荷（如 NetSupport Manager）而得名，以及 FAKETREFF，它与远程服务器通信以检索额外的载荷（如 DarkGate）并发送基本的主机信息。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 AkiraBot 的人工智能（AI）驱动平台的细节，该平台用于向网站聊天框、评论区和联系表单发送垃圾信息，以推广可疑的搜索引擎优化（SEO）服务，如 Akira 和 ServicewrapGO。 “自 2024 年 9 月以来，AkiraBot 已针对超过 40 万个网站，并成功向至少 8 万个网站发送了垃圾信息，”SentinelOne 研究人员 Alex Delamotte 和 Jim Walter 在一份与《黑客新闻》分享的报告中表示。“该机器人利用 OpenAI 生成基于网站用途的定制化推广信息。” 该活动的目标包括中小型企业的联系表单和聊天小部件，其框架使用 OpenAI 的大型语言模型（LLMs）生成垃圾内容。这个基于 Python 的“广泛”工具的独特之处在于，它能够生成内容以绕过垃圾信息过滤器。 据信，这个批量消息工具自 2024 年 9 月起开始使用，最初名为“Shopbot”，似乎是指使用 Shopify 的网站。 随着时间的推移，AkiraBot 扩大了其目标范围，包括使用 GoDaddy、Wix 和 Squarespace 开发的网站，以及那些使用 Reamaze 构建的通用联系表单和实时聊天小部件的网站。 该操作的核心——生成垃圾内容——是通过利用 OpenAI API 实现的。该工具还提供了一个图形用户界面（GUI），用于选择要攻击的网站列表，并定制可以同时攻击的网站数量。 “通过处理包含机器人应发送消息类型的一般大纲的模板，AkiraBot 为目标网站创建定制的垃圾信息，”研究人员表示。“该模板通过发送到 OpenAI 聊天 API 的提示进行处理，以根据网站内容生成定制化的推广信息。” OpenAI 生成的垃圾信息 对源代码的分析显示，OpenAI 客户端使用了 gpt-4o-mini 模型，并被赋予了“生成营销信息的助手”角色。 该服务的另一个显著特点是，它能够绕过 CAPTCHA 障碍，大规模垃圾攻击网站，并通过依赖通常提供给广告商的代理服务来规避基于网络的检测。目标 CAPTCHA 服务包括 hCAPTCHA、reCAPTCHA 和 Cloudflare Turnstile。 为了实现这一点，该机器人的网络流量被设计为模仿合法最终用户，并利用 SmartProxy 提供的不同代理主机来掩盖流量来源。 AkiraBot 还被配置为将其活动记录在一个名为“submissions.csv”的文件中，该文件记录了成功和失败的垃圾信息尝试。对这些文件的检查显示，到目前为止，已有超过 42 万个独特域名被攻击。此外，与 CAPTCHA 绕过和代理轮换相关的成功指标被收集并通过 API 发送到 Telegram 频道。 针对这些发现，OpenAI 已禁用了威胁行为者使用的 API 密钥和其他相关资产。 “作者或作者们为此机器人绕过常用 CAPTCHA 技术的能力投入了大量努力，这表明运营商有动机违反服务提供商的保护措施，”研究人员表示。“AkiraBot 使用大型语言模型生成垃圾信息内容，展示了人工智能对防御网站垃圾攻击的新兴挑战。” 这一发展与一个名为 Xanthorox AI 的网络犯罪工具的出现相吻合，该工具被宣传为一个一站式聊天机器人，用于处理代码生成、恶意软件开发、漏洞利用和数据分析。该平台还支持通过实时语音通话和异步语音消息进行语音交互。 “Xanthorox AI 由五个不同的模型提供支持，每个模型都针对不同的操作任务进行了优化，”SlashNext 表示。“这些模型完全运行在卖家控制的本地服务器上，而不是部署在公共云基础设施上或通过暴露的 API。这种以本地为主的模式大幅降低了被发现、关闭或追踪的可能性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的威胁组织 Gamaredon（又名 Shuckworm）被指对乌克兰境内的一个外国军事任务发动了网络攻击，目的是投放一种名为 GammaSteel 的已知恶意软件的更新版本。 据赛门铁克威胁猎手团队称，该组织针对一个西方国家的军事任务，首次检测到恶意活动的迹象是在 2025 年 2 月 26 日。 赛门铁克在其报告中表示：“攻击者使用的初始感染向量似乎是一个被感染的可移动驱动器。” 攻击从在 Windows 注册表的 UserAssist 键下创建一个值开始，随后通过 “explorer.exe” 启动 “mshta.exe”，以启动一个多阶段感染链并运行两个文件。 第一个文件名为 “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”，用于与命令与控制（C2）服务器建立通信。该服务器通过访问与合法服务（如 Teletype、Telegram 和 Telegraph 等）相关的特定 URL 来获取。 第二个文件名为 “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”，设计用于通过创建每个文件夹的快捷方式文件来感染任何可移动驱动器和网络驱动器，以执行恶意的 “mshta.exe” 命令并隐藏它。 随后在 2025 年 3 月 1 日，脚本被执行以联系 C2 服务器，窃取系统元数据，并接收一个 Base64 编码的负载，该负载随后用于运行一个设计用于下载混淆后的新版本脚本的 PowerShell 命令。 该脚本连接到一个硬编码的 C2 服务器以获取另外两个 PowerShell 脚本。第一个脚本是一个侦察工具，能够截取屏幕截图、运行 systeminfo 命令、获取主机上运行的安全软件的详细信息、枚举桌面中的文件和文件夹，并列出正在运行的进程。 第二个 PowerShell 脚本是 GammaSteel 的改进版本，这是一种已知的信息窃取工具，能够根据桌面和文档文件夹中的扩展名白名单从受害者的设备中窃取文件。 “这次攻击标志着 Shuckworm 在复杂性上有所提升，尽管它看起来比其他俄罗斯组织的技术能力稍逊一筹，但它通过不懈地专注于乌克兰的目标来弥补这一点，”赛门铁克表示。 “尽管该组织似乎没有像一些其他俄罗斯组织那样的技术能力，但 Shuckworm 现在似乎正在通过不断对其使用的代码进行小幅度修改、添加混淆以及利用合法的网络服务来尝试降低被发现的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者继续向npm注册表上传恶意包，以篡改已安装的合法库的本地版本并执行恶意代码，这被视为一种更隐蔽的软件供应链攻击手段。 最新发现的名为pdf-to-office的包伪装成一个将PDF文件转换为Microsoft Word文档的工具。但实际上，它包含可以向与Atomic Wallet和Exodus相关的加密货币钱包软件注入恶意代码的功能。 “实际上，受害者试图将加密货币发送到另一个加密货币钱包时，原本的钱包目标地址会被替换为恶意行为者拥有的地址，”ReversingLabs研究员Lucija Valentić在与The Hacker News分享的一份报告中表示。 该npm包于2025年3月24日首次发布，此后已更新三次，但之前的版本可能已被作者自己删除。最新版本1.1.2于4月8日上传，目前仍可供下载。该包迄今已被下载334次。 这一披露仅在软件供应链安全公司发现两个名为ethers-provider2和ethers-providerz的npm包几周后。这些包被设计为感染本地安装的包，并通过SSH连接到威胁行为者的服务器建立反向shell。 这种攻击方式对威胁行为者来说是一个有吸引力的选择，因为它允许恶意软件在恶意包被移除后仍然存在于开发者的系统中。 对pdf-to-office的分析显示，嵌入在包中的恶意代码会检查Windows计算机的“AppData/Local/Programs”文件夹中是否存在“atomic/resources/app.asar”存档，以确定是否安装了Atomic Wallet。如果是，则引入剪贴板功能。 “如果该存档存在，恶意代码会用一个新的特洛伊木马版本覆盖其中一个文件，该文件与合法文件具有相同的功能，但将发送资金的外部加密货币地址替换为威胁行为者拥有的Base64编码的Web3钱包地址，”Valentić表示。 同样地，该有效载荷还设计为特洛伊木马化与Exodus钱包相关的文件“src/app/ui/index.js”。 但有趣的是，这些攻击针对的是Atomic Wallet（2.91.5和2.90.6）和Exodus（25.13.3和25.9.2）的两个特定版本，以确保覆盖正确的JavaScript文件。 “如果pdf-to-office包碰巧从计算机中移除，Web3钱包的软件仍会保持受损状态，并继续将加密货币资金转移到攻击者的钱包，”Valentić表示。“要完全从Web3钱包的软件中移除恶意特洛伊木马文件，唯一的方法是从计算机中完全移除它们并重新安装。” 这一披露正值ExtensionTotal详细描述了10个恶意Visual Studio Code扩展，这些扩展会偷偷下载一个禁用Windows安全的PowerShell脚本，通过计划任务建立持久性，并安装一个XMRig加密货币矿工。 这些扩展在被移除之前总共被安装了超过一百万次。以下是扩展的名称： Prettier — VSCode的代码（由prettier提供） VS Code的Discord Rich Presence（由Mark H提供） Rojo — Roblox Studio同步（由evaera提供） Solidity编译器（由VSCode Developer提供） Claude AI（由Mark H提供） Golang编译器（由Mark H提供） VSCode的ChatGPT代理（由Mark H提供） HTML混淆器（由Mark H提供） VSCode的Python混淆器（由Mark H提供） VSCode的Rust编译器（由Mark H提供） “攻击者创建了一个复杂的多阶段攻击，甚至安装了他们模仿的合法扩展，以避免在后台挖掘加密货币时引起怀疑，”ExtensionTotal表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细描述了NVIDIA容器工具包中一个之前已修复的安全漏洞的不完整修复情况。如果该漏洞被成功利用，可能会使敏感数据面临风险。 原始漏洞CVE-2024-0132（CVSS评分：9.0）是一个时间检查到时间使用（TOCTOU）漏洞，可能导致容器逃逸攻击，并允许未经授权访问底层主机。 虽然NVIDIA在2024年9月解决了这一漏洞，但Trend Micro的新分析显示，修复并不完整，并且还存在一个相关的性能问题，影响Linux上的Docker，可能导致拒绝服务（DoS）状态。 网络安全 “这些问题可能使攻击者能够突破容器隔离，访问敏感的主机资源，并造成严重的运营中断，”Trend Micro研究人员Abdelrahman Esmail在今天发布的一份新报告中表示。 TOCTOU漏洞的持续存在意味着一个精心设计的容器可能被滥用以访问主机文件系统，并以root权限执行任意命令。该漏洞影响版本1.17.4，前提是明确启用了功能allow-cuda-compat-libs-from-container。 “具体漏洞存在于mount_files函数中，”Trend Micro表示。“该问题源于在对对象执行操作时缺乏适当的锁定。攻击者可以利用此漏洞提升权限，并在主机上下文中执行任意代码。” 然而，要使这种权限提升生效，攻击者必须已经获得了在容器内执行代码的能力。 该缺陷已被分配CVE标识符CVE-2025-23359（CVSS评分：9.0），此前云安全公司Wiz在2025年2月将其标记为CVE-2024-0132的绕过漏洞。该问题已在版本1.17.4中得到修复。 网络安全公司表示，在分析CVE-2024-0132时，还发现了一个性能问题，可能在主机上导致拒绝服务（DoS）漏洞。该问题影响Linux系统上的Docker实例。 “当使用(bind-propagation=shared)配置多个挂载创建新容器时，会建立多个父/子路径。然而，在容器终止后，Linux挂载表中相关的条目并未被移除，”Esmail表示。 “这导致挂载表快速增长且无法控制，耗尽可用文件描述符（fd）。最终，Docker因fd耗尽而无法创建新容器。这种过大的挂载表还会导致严重的性能问题，阻止用户连接到主机（例如通过SSH）。” 为缓解此问题，建议监控Linux挂载表的异常增长，限制Docker API访问仅限授权人员，实施严格的访问控制策略，并定期审计容器到主机文件系统绑定、卷挂载和套接字连接。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络钓鱼攻击者正在采用一种名为“精准验证钓鱼”的新规避技术，该技术仅在用户输入攻击者特定目标的电子邮件地址时才会显示虚假登录表单。 与传统的广泛目标网络钓鱼不同，这种新方法使用实时电子邮件验证，确保只有经过预先验证的高价值目标才能看到钓鱼内容。 尽管这种新策略并不特别复杂或高深，但它将所有非有效目标排除在网络钓鱼过程之外，从而阻止他们了解攻击操作。 电子邮件安全公司Cofense记录了这种新策略的采用率上升，并指出这给他们的工作带来了显著的实际问题。 在研究网络钓鱼网站时，研究人员通常会输入虚假的电子邮件地址或他们控制的地址，以映射凭证盗窃活动。 然而，随着这种新技巧的出现，研究人员输入的无效或测试电子邮件地址现在会显示错误或将其重定向到无害的网站。这影响了研究中使用的自动化安全爬虫和沙箱，降低了检测率并延长了网络钓鱼活动的寿命。 “网络安全团队传统上依赖于通过提交虚假凭证来观察攻击者行为和基础设施的受控网络钓鱼分析，”Cofense解释道。 “通过精准验证钓鱼，这些策略变得无效，因为任何未识别的电子邮件在钓鱼内容被交付之前就会被拒绝。” 根据Cofense的说法，攻击者使用两种主要技术来实现实时电子邮件验证。 第一种方法是滥用集成在网络钓鱼工具包中的第三方电子邮件验证服务，通过API调用实时检查受害者地址的有效性。 第二种方法是在网络钓鱼页面中部署自定义JavaScript，该脚本会将受害者在钓鱼页面上输入的电子邮件地址发送到攻击者的服务器，以确认其是否在预先收集的列表中。 如果没有匹配项，受害者将被重定向到无害的网站，比如维基百科。 Cofense解释说，通过简单地输入向他们报告网络钓鱼尝试的人员的电子邮件地址来绕过这一限制通常是不可能的，因为他们的客户施加了使用限制。 即使他们被允许使用真实目标的地址，分析人员也指出，一些活动更进一步，在受害者在钓鱼页面上输入有效电子邮件后，会向其收件箱发送一个验证代码或链接。 为了继续网络钓鱼过程，受害者需要输入他们收件箱中收到的代码，而这超出了安全分析师的访问范围。 这对电子邮件安全工具，尤其是依赖传统检测方法的工具，产生了严重的影响，因为它们更有可能无法向目标发出网络钓鱼尝试的警报。 随着网络钓鱼活动采用动态输入验证，防御者必须采用新的检测策略，强调行为指纹识别和实时威胁情报关联，以保持领先于攻击者。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文终于在发给客户的电子邮件通知中确认，一名黑客窃取并泄露了从其描述为“两台过时服务器”中盗取的凭据。 然而，该公司补充说，其甲骨文云服务器并未被攻破，此次事件未影响客户数据和云服务。 “甲骨文希望明确声明，甲骨文云——也称为甲骨文云基础设施或 OCI——并未发生安全漏洞，”甲骨文在与 BleepingComputer 共享的客户通知中表示。 “没有 OCI 客户环境被攻破。没有 OCI 客户数据被查看或窃取。没有任何 OCI 服务被中断或以任何方式受到损害，”甲骨文在从 replies@oracle-mail.com 发送的电子邮件中补充道，敦促客户如有其他问题联系甲骨文支持或其账户经理。 “一名黑客确实访问并发布了从未属于 OCI 的两台过时服务器中的用户名。由于这两台服务器上的密码要么被加密，要么被哈希处理，因此黑客并未暴露可用的密码。因此，黑客无法访问任何客户环境或客户数据。” 自今年 3 月事件曝光以来，当时一名威胁者（rose87168）在 BreachForums 上出售 600 万条数据记录，甲骨文在与媒体分享的声明中一直否认有关甲骨文云漏洞的报道。尽管这确实与甲骨文告诉客户的内容相符——即漏洞影响的是旧平台甲骨文云经典版——但网络安全专家凯文·博蒙特表示，这只是文字游戏。 “甲骨文将旧的甲骨文云服务重新命名为甲骨文经典版。甲骨文经典版发生了安全事件，”博蒙特说。“甲骨文通过这种范围界定否认‘甲骨文云’被入侵——但仍是甲骨文管理的甲骨文云服务。这就是文字游戏的一部分。” BleepingComputer 已联系甲骨文确认这些通知的真实性，并非由威胁者或其他第三方发送，但尚未收到回复。甲骨文也尚未澄清被攻破的服务器是否属于甲骨文云经典版或其他平台。 据称从甲骨文云窃取的数据正在出售 资料来源：BleepingComputer 此前一周，该公司在与部分客户的私下通话中承认，攻击者在攻破 2017 年最后一次使用的“遗留环境”后窃取了旧的客户凭据。 然而，尽管甲骨文告诉客户这是非敏感的旧遗留数据，但漏洞背后的威胁者与 BleepingComputer 分享了 2024 年末的数据，并在 BreachForums 上发布了 2025 年的新记录。 BleepingComputer 还与多名甲骨文客户单独确认，从威胁者那里收到的泄露数据样本（包括关联的 LDAP 显示名称、电子邮件地址、名字和其他识别信息）是有效的，此前甲骨文曾告诉 BleepingComputer，“甲骨文云未发生任何漏洞。发布的凭据不属于甲骨文云。没有甲骨文云客户遭受漏洞或丢失任何数据。” 网络安全公司 CybelAngel 上周首次透露，甲骨文告诉客户，攻击者早在 2025 年 1 月就在甲骨文的部分 Gen 1（也称为甲骨文云经典版）服务器上部署了 Web Shell 和其他恶意软件。据称，直到 2 月下旬漏洞被发现之前，威胁者从甲骨文身份管理器（IDM）数据库中窃取了数据，包括用户电子邮件、哈希密码和用户名。 上个月，BleepingComputer 首次报道，甲骨文私下通知客户，甲骨文健康（一家之前称为 Cerner 的软件即服务（SaaS）公司）在 1 月发生了另一起漏洞，影响了美国多家医疗机构和医院的患者数据。 消息人士告诉 BleepingComputer，一名名为“Andrew”的威胁者——尚未声称与任何勒索或勒索软件操作有关——现在正在勒索被攻破的医院，要求以加密货币支付数百万美元，以不出售或泄露被盗数据。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： F5 Labs 的研究人员发现了一场针对性攻击活动，该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造（SSRF）漏洞来提取 EC2 元数据，这些元数据可能包括来自 IMDSv1 端点的身份和访问管理（IAM）凭据。 检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务，可能导致敏感数据泄露、操作和中断服务。 F5 Labs 的研究人员报告称，恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明，这是由单一威胁者实施的。 SSRF 问题是网络漏洞，使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求，而这些资源通常是攻击者无法访问的。 在 F5 观察到的活动中，攻击者找到了具有 SSRF 漏洞的 EC2 主机网站，使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。 EC2 元数据是亚马逊 EC2（弹性计算云）中的一项服务，提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置，以及潜在的安全凭据。 该元数据服务只能通过连接到内部 IP 地址上的特殊 URL（如 http://169.254.169.254/latest/meta-data/）的虚拟机访问。 首个恶意 SSRF 探测记录在 3 月 13 日，但活动在 3 月 15 日至 25 日之间升级到全面规模，使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。 在此期间，攻击者轮换了六个查询参数名称（dest、file、redirect、target、URI、URL）和四个子路径（例如，/meta-data/、/user-data），显示出从易受攻击的站点中提取敏感数据的系统性方法。 这些攻击之所以成功，是因为易受攻击的实例运行在 IMDSv1 上，这是 AWS 的旧元数据服务，允许任何对实例有访问权限的人检索元数据，包括任何存储的 IAM 凭据。 该系统已被 IMDSv2 取代，后者需要会话令牌（身份验证）来保护网站免受 SSRF 攻击。 这些攻击在 2025 年 3 月的威胁趋势报告中被强调，F5 Labs 文档记录了过去一个月中被利用最多的漏洞。 按数量计算，被利用最多的前四个 CVE 是： CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit（69,433 次尝试） CVE-2020-8958 – 广州 ONU OS 命令注入 RCE（4,773 次尝试） CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE（4,698 次尝试） CVE-2019-9082 – ThinkPHP PHP 注入 RCE（3,534 次尝试） 报告强调，旧漏洞仍然是高度针对性的，40% 的被利用 CVE 年龄超过四年。 为了缓解威胁，建议应用可用的安全更新、加强路由器和物联网设备配置，并用受支持的型号替换已停产的网络设备。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文