HackerNews 编译，转载请注明出处： SANS 技术研究所的互联网风暴中心（Internet Storm Center）近期观察到针对两个思科（Cisco）智能许可工具（Smart Licensing Utility）漏洞的利用尝试，这两个漏洞已于半年前修复。 2024 年 9 月初，思科披露其智能许可工具存在两个关键漏洞（CVE-2024-20439 和 CVE-2024-20440），并发布了相关补丁。这两个漏洞可能允许未经身份验证的远程攻击者收集敏感信息或管理受影响系统上的相关服务。 CVE-2024-20439：这是一个静态凭证漏洞，攻击者可以通过一个硬编码的密码访问该软件。 CVE-2024-20440：该漏洞与一个记录过多信息的日志文件有关，攻击者在利用第一个漏洞后可以访问该日志文件。 SANS 的研究员 Johannes Ullrich 报告称，观察到攻击者尝试使用默认凭据访问思科智能许可工具实例。攻击者的目标尚不明确，但 Ullrich 指出，同一威胁行为者似乎也在尝试入侵其他类型的系统，包括一些暴露在互联网上的物联网设备。 目前，尚无公开报告表明这两个思科漏洞在野外被利用的情况。思科的安全公告显示，这两个漏洞是内部发现的，截至本文撰写时，尚未提及野外利用情况。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 瑞士全球解决方案提供商 Ascom 确认其 IT 基础设施遭到网络攻击，黑客组织 Hellcat 正在利用被盗凭据攻击全球的 Jira 服务器。 该公司在一份新闻稿中宣布，黑客在周日入侵了其技术工单系统，目前公司正在调查此次事件。Ascom 是一家电信公司，在 18 个国家设有子公司，专注于无线现场通信。 黑客组织 HellCat 声称对此次攻击负责，并告诉 BleepingComputer，他们窃取了大约 44GB 的数据，可能会影响该公司所有部门。Ascom 表示，黑客入侵了其技术工单系统，但此次事件并未影响公司的业务运营，客户和合作伙伴无需采取任何预防措施。 “针对此类犯罪行为的调查已立即启动，并正在进行中。Ascom 正在与相关当局密切合作。”—— Ascom HellCat 黑客组织成员 Rey 告诉 BleepingComputer，他们从 Ascom 窃取了多个产品的源代码、各种项目的详细信息、发票、机密文件以及工单系统中的问题。尽管瑞士公司没有提供有关此次入侵的技术细节，但攻击 Jira 工单系统已经成为 HellCat 黑客的常见攻击手段。 HellCat 的 Jira 攻击狂潮 Jira 是一种常用于软件开发和 IT 团队的项目管理和问题跟踪平台，用于跟踪和管理项目。该平台通常包含敏感数据，例如源代码、身份验证密钥、IT 计划、客户信息以及与这些项目相关的内部讨论。 此前，HellCat 声称对施耐德电气（Schneider Electric）、西班牙电信（Telefónica）和法国电信集团（Orange Group）的攻击负责，这些公司均证实了相关事件。在这三起事件中，黑客都是通过入侵 Jira 服务器进入系统。 最近，该黑客组织还声称对英国跨国汽车制造商捷豹路虎（Jaguar Land Rover，JLR）的攻击负责，并窃取和泄露了约 700 份内部文件。 据该威胁行为者描述，泄露内容包括“开发日志、跟踪数据、源代码”以及一名员工的数据，暴露了“用户名、电子邮件、显示名称、时区等敏感信息”。 HellCat 勒索软件泄露捷豹路虎数据 威胁情报公司 Hudson Rock 的联合创始人兼首席技术官 Alon Gal 表示，捷豹路虎事件符合 HellCat 黑客的特定模式。 “此次事件的核心是一种已经成为 HELL CAT 标志的技术：利用从被信息窃取器感染的员工那里收集到的 Jira 凭据。”—— Alon Gal 该研究人员表示，捷豹路虎事件是通过使用 LG 电子员工的第三方凭据入侵 JLR 的 Jira 服务器实现的。Gal 指出，这些被盗凭据并非新近泄露，而是多年前就已经曝光，但一直有效，黑客因此得以利用。 HellCat 的活动并未止步于这些入侵事件。该威胁行为者今天宣布，他们入侵了汽车行业的营销公司 Affinitiv 的 Jira 系统。该公司为原始设备制造商（OEM）和经销商提供数据分析平台。 该威胁行为者向 BleepingComputer 确认，他们通过 Jira 系统入侵了 Affinitiv，并公开披露称，他们窃取了一个包含超过 47 万个“唯一电子邮件”和超过 78 万条记录的数据库。 当 BleepingComputer 就此次攻击联系 Affinitiv 时，该公司表示已经开始展开调查。为了证明入侵，黑客发布了两张截图，其中包含姓名、电子邮件地址、邮政地址和经销商名称。 Alon Gal 警告称，由于 Jira 在企业工作流程中的核心地位以及其存储的大量数据，“Jira 已成为攻击者的首要目标”，此类访问权限可用于“横向移动、提升权限以及提取敏感信息”。 由于信息窃取器收集的凭据很容易找到，且其中一些凭据多年来一直未更改，因为公司未能将其纳入定期轮换流程，此类攻击可能会变得更加频繁。 消息来源：BleepingComputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场精心策划的网络钓鱼活动正在悄然改变其攻击目标，从 Windows 系统转向 macOS，引发了网络安全领域的高度关注。据以色列网络安全公司 LayerX 的最新报告，这场以窃取用户登录凭证为目的的恐吓软件攻击活动，近期调整了攻击策略，将矛头指向了 macOS 用户。 在 2024 年及 2025 年初，该攻击活动主要针对 Windows 用户，通过入侵合法网站并植入恶意代码，制造虚假的微软安全警报。这些警报声称用户的计算机已被入侵并锁定，随后网页会被恶意代码冻结，制造出系统故障的假象。受害者在恐慌中被诱导输入 Windows 用户名和密码，攻击者借此获取敏感信息。 为了增加攻击的可信度，攻击者将钓鱼页面托管在微软旗下的合法 Azure 应用托管平台 Windows.net 上。由于该平台的高信誉度，攻击者成功绕过了许多基于顶级域名（TLD）声誉检查的反钓鱼防御机制。LayerX 指出：“Windows.net 是一个知名且被广泛使用的平台，由信誉良好的微软公司运营。因此，这些钓鱼页面能够轻易绕过传统的安全防护机制。” 此外，攻击者还利用随机化、快速变形的子域名来托管恶意代码，并精心设计钓鱼页面，使其看起来极为专业。他们甚至加入了反机器人和验证码验证机制，以延缓自动化检测系统的识别。 然而，随着 Chrome、Firefox 和 Microsoft Edge 浏览器近期新增了反恐吓软件功能，针对 Windows 系统的攻击成功率大幅下降，攻击活动减少了 90%。这迫使攻击者将注意力转向 macOS 用户，因为 macOS 系统并未受到这些新防御机制的保护。 LayerX 表示，在针对 Windows 的攻击活动进行期间，并未观察到对 macOS 的攻击。但在新的反钓鱼防御措施推出后的两周内，针对 macOS 用户的攻击便迅速展开。这些钓鱼页面与之前用于攻击 Windows 的页面几乎完全相同，但布局和信息已被调整以适应 macOS 用户，恶意代码也经过修改以针对 Safari 浏览器。 据 LayerX 报告，攻击者利用用户错误输入合法网站 URL 的机会，将其引导至被入侵的域名“托管”页面，随后通过多个域名重定向，最终将用户带到钓鱼页面。在一个具体案例中，一名 LayerX 企业客户的 macOS 和 Safari 用户成为攻击目标。尽管该组织部署了安全网络网关（SWG），但攻击仍然成功绕过了这一防护措施。 LayerX 认为，攻击者可能会在将 macOS 上的 Safari 用户作为主要攻击目标后，对现有基础设施进行最小限度的修改，以进一步调整其攻击策略。LayerX 产品营销主管 Eyal Arazi 强调：“个人非企业账户被入侵通常仅限于暴露该个人用户的信息，而企业账户被入侵可能导致组织层面的数据泄露，使威胁变得更加严重。” 这场从 Windows 到 macOS 的攻击向量转变表明，攻击者正在不断调整和优化其攻击策略，以寻找新的漏洞和目标。这场攻击活动不仅高度专业、持续性强，还具有很强的适应性，对企业用户构成了重大威胁。随着攻击手段的不断演变，企业和个人用户必须保持警惕，及时更新安全防护措施，以应对日益复杂和隐蔽的网络攻击。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据公民实验室（The Citizen Lab）的一份新报告称，澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡政府很可能是以色列公司 Paragon Solutions 开发的间谍软件的客户。 Paragon 由 Ehud Barak 和 Ehud Schneorson 于 2019 年创立，该公司开发了一种名为 Graphite 的监控工具，能够从设备上的即时通讯应用中收集敏感数据。 公民实验室表示，通过梳理与该间谍软件相关的服务器基础设施，已将上述六国政府识别为“疑似 Paragon 部署”对象。 这一发现距离 Meta 旗下的 WhatsApp 声明其通知约 90 名记者和民间社会组织成员（称其为 Graphite 攻击目标）还不到两个月。这些攻击已于 2024 年 12 月被阻断。 这些攻击的目标人群遍布 20 多个国家，包括欧洲的比利时、希腊、拉脱维亚、立陶宛、奥地利、塞浦路斯、捷克共和国、丹麦、德国、荷兰、葡萄牙、西班牙和瑞典等国。 当时，一位 WhatsApp 发言人对《黑客新闻》表示：“这是最新例证，说明为何间谍软件公司必须为其非法行为负责。WhatsApp 将继续保护人们私下交流的能力。” 在这些攻击中，目标对象被添加到 WhatsApp 群组中，随后收到一份 PDF 文档。该文档会被自动解析，触发现已修复的零日漏洞，从而加载 Graphite 间谍软件。最终阶段是突破安卓沙盒，入侵目标设备上的其他应用。 对被入侵的安卓设备的进一步调查发现了一种名为 BIGPRETZEL 的取证痕迹，据信该痕迹可用于唯一识别 Paragon 的 Graphite 间谍软件感染。 此外，证据还表明，2024 年 6 月，意大利难民在利比亚组织的一名创始人所使用的 iPhone 可能遭到 Paragon 感染。苹果公司随后通过发布 iOS 18 解决了这一攻击途径。 苹果公司在一份声明中表示：“此类雇佣间谍软件攻击极为复杂，开发成本高达数百万美元，使用寿命通常较短，且专门针对特定个体，因其身份或行为而成为攻击目标。” “在检测到相关攻击后，我们的安全团队迅速开发并在 iOS 18 初始版本中部署了修复程序，以保护 iPhone 用户，并向可能被单独针对的用户发送苹果威胁通知，以告知并协助他们。”     消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Veeam 和 IBM 近日发布了安全更新，以修复其 Backup 和 AIX 系统中的高风险漏洞。 Veeam 发布了安全更新，修复了影响其 Backup & Replication 软件的一个关键安全漏洞，该漏洞可能导致远程代码执行。该漏洞编号为 CVE-2025-23120，其 CVSS 评分为 9.9（满分 10.0），影响 12.3.0.310 版本及所有更早的 12 版本。 Veeam 在周三发布的安全公告中表示：“该漏洞允许经过身份验证的域用户执行远程代码。” 安全研究人员 Piotr Bazydlo（来自 watchTowr）因发现并报告该漏洞而受到赞誉，该漏洞已在 12.3.1 版本（构建号 12.3.1.1139）中得到修复。 根据 Bazydlo 和研究员 Sina Kheirkhah 的分析，CVE-2025-23120 源自 Veeam 对反序列化机制的不一致处理，导致一个允许反序列化的白名单类为一种内部反序列化铺平了道路，而这种内部反序列化采用了基于黑名单的方法来阻止公司认为有风险的数据反序列化。 这也意味着攻击者可以利用黑名单中缺失的反序列化工具（例如 Veeam.Backup.EsxManager.xmlFrameworkDs 和 Veeam.Backup.Core.BackupSummary）来实现远程代码执行。 “任何属于 Veeam 服务器 Windows 主机本地用户组的用户都可以利用这些漏洞，”研究人员表示，“更糟糕的是，如果你的服务器已加入域，那么任何域用户都可以利用这些漏洞。” Veeam 的补丁将这两个工具添加到现有黑名单中，这意味着如果发现其他可行的反序列化工具，该解决方案可能会再次面临类似风险。 与此同时，IBM 也发布了补丁，修复了其 AIX 操作系统中的两个关键漏洞，这些漏洞可能允许执行命令。受影响的 AIX 版本为 7.2 和 7.3，具体漏洞如下： CVE-2024-56346（CVSS 评分：10.0）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimesis NIM 主服务执行任意命令。 CVE-2024-56347（CVSS 评分：9.6）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimsh 服务的 SSL/TLS 保护机制执行任意命令。 尽管目前没有证据表明这些关键漏洞已被实际利用，但用户仍被建议尽快应用必要的补丁，以防范潜在威胁。 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件，该软件可能针对俄语用户。 卡巴斯基在一份分析报告中表示：“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端，以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。 攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接，打开后，该存档文件会解压出一个名为 start.bat 的批处理文件，该文件负责通过 PowerShell 检索另一个存档文件。 随后，该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件，同时禁用 Windows SmartScreen 保护功能，并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。 这两个二进制文件中，一个是加密货币矿工，另一个是名为 VGS 的盗取器，它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月，攻击者已被发现用 Arcane 替代了 VGS。 “尽管其中很多内容是从其他盗取器中借鉴而来的，但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。 除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外，Arcane 还能够收集全面的系统数据，以及以下多个应用程序的配置文件、设置和账户信息： VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN 网络客户端和工具：ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 通讯软件：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber 电子邮件客户端：Microsoft Outlook 游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原 Uplay）、Roblox、Battle.net 以及各种 Minecraft 客户端 加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi 此外，Arcane 还被设计为能够截取受感染设备的屏幕截图，枚举正在运行的进程，并列出已保存的 Wi-Fi 网络及其密码。 “大多数浏览器会生成唯一密钥，用于加密其存储的敏感数据，如登录信息、密码、Cookie 等。”卡巴斯基表示，“Arcane 利用数据保护 API（DPAPI）获取这些密钥，这是盗取器的典型行为。” “但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件，它利用该工具破解浏览器密钥。为此，该工具会被秘密地写入磁盘并启动，盗取器从其控制台输出中获取所需的全部密钥。” 此外，该盗取器恶意软件还采用了一种单独的方法，通过调试端口启动浏览器副本，从而从基于 Chromium 的浏览器中提取 Cookie。 该行动背后的不明威胁行为者已经扩大了他们的业务范围，包括一个名为 ArcanaLoader 的加载器，该加载器声称用于下载游戏外挂，但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。 “这场特定的活动之所以有趣，是因为它展示了网络犯罪分子的灵活性，他们始终在更新他们的工具和分发方法。”卡巴斯基表示，“此外，Arcane 盗取器本身也很有趣，因为它收集了各种不同的数据，并且使用了各种技巧来提取攻击者想要的信息。” 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造（SSRF）漏洞（CVE-2024-27564）发起攻击。尽管该漏洞的严重程度被评为中等，但其带来的威胁已引发广泛关注。 据网络安全公司Veriti的研究，攻击者已经在多起真实攻击中利用该漏洞，证明即使是中等风险的安全缺陷，也可能成为攻击者突破AI系统防线的有效手段。 Veriti的研究数据显示，仅在一周内，已有10,479次攻击尝试来自恶意IP地址。这些攻击表现出高度协调性，目标多为使用OpenAI技术的机构。 美国是遭受攻击最严重的国家，占比高达33%。德国和泰国紧随其后，各占7%。此外，印度尼西亚、哥伦比亚和英国等国也报告了相关攻击事件，反映了这一威胁的全球性。 Veriti的研究人员指出：“此次攻击模式表明，即使是微小的漏洞也可能成为攻击者的目标。只要有机会，他们便会加以利用。” 攻击量在2025年1月急剧上升，随后在2月和3月略有回落，可能表明攻击者的策略有所调整，或是受到防御措施的影响。 CVE-2024-27564是一种服务器端请求伪造漏洞，允许攻击者在输入参数中注入恶意URL，从而迫使ChatGPT的应用程序在攻击者的指令下执行请求。 该漏洞通常发生在用户输入未经过适当验证时。在本次事件中，攻击者通过操控ChatGPT的pictureproxy.php组件中的url参数，发送任意请求，可能绕过安全控制。 风险概览 风险因素 详情 影响产品 ChatGPT（commit f9f4bbc中的pictureproxy.php组件）OpenAI基础设施 影响 发送任意请求、暴露敏感信息 攻击条件 远程利用可能 CVSS 3.1评分 6.5（中等） 金融机构成为主要目标 在此次攻击中，银行和金融科技公司成为主要受害者。这类机构高度依赖AI驱动的服务和API集成，使其更容易受到SSRF攻击的侵害。 攻击可能导致数据泄露、未经授权的交易、合规性处罚以及声誉损害。 应对措施 令人担忧的是，Veriti发现35%的受影响机构由于入侵防护系统（IPS）、Web应用防火墙（WAF）和传统防火墙配置不当而未能有效防御此漏洞。 为应对此威胁，安全专家建议机构立即采取以下措施： 审查并修复IPS、WAF和防火墙配置，确保防御CVE-2024-27564。 实施严格的输入验证，防止恶意URL注入。 监控日志，检测来自已知恶意IP的攻击尝试。 考虑网络分段，隔离处理URL请求的组件。 在风险评估程序中优先关注与AI相关的安全漏洞。   近年来，国家支持的黑客组织和网络犯罪分子逐渐将AI系统作为攻击目标。根据最新报告，自2024年初以来，攻击者已在20多起事件中尝试滥用ChatGPT进行恶意活动。     消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者将恶意Word文件嵌入PDF文件中，以规避传统安全扫描。这种被称为“PDF中的MalDoc”的攻击方式，最早可追溯至2023年7月，它使受害者在打开看似普通的文档时触发宏，可能导致系统被攻陷，同时避开常见安全工具的检测。 据JPCERT/CC称，该攻击利用了技术漏洞，使文件在保持PDF签名的同时仍能作为Word文档运行。尽管这些混合文件具有PDF的魔数和文件结构，但它们可以直接在Microsoft Word中打开，触发嵌入的宏并执行恶意代码。在已记录的攻击中，文件通常使用.doc扩展名，确保根据Windows默认文件关联自动路由到Word。 这种技术之所以危险，是因为其双重性质的构成。这些文件在用标准PDF安全工具分析时看似无害，因为恶意内容存储在PDF对象结构之外但同一文件容器内。攻击基础设施涉及在合法的PDF文件对象后附加一个包含嵌入宏的mht文件。安全研究人员在检查文件的十六进制转储时确认，这种结构保持了PDF的头部信息，同时包含了Word文档的组成部分。 这意味着文件可以在不同的应用程序环境中运行，但结果却截然不同。当在标准的PDF查看器中打开时，文件会显示正常内容而不执行恶意行为。然而，当相同的文件被Microsoft Word处理时，它会激活嵌入的宏，建立命令和控制连接。传统的安全工具在面对这种技术时显示出显著的局限性。常见的PDF分析工具如pdfid无法识别恶意组件，因为它们仅专注于评估PDF的结构元素。同样，沙箱和防病毒解决方案可能会根据文件的初始PDF签名错误分类这些文件。 尽管存在这些规避能力，但安全团队可以实施有效的对策。OLEVBA，一个用于检测恶意Office宏的分析工具，对PDF中的MalDoc文件仍然有效。在处理这些混合文档时，OLEVBA能够成功识别并提取嵌入的宏代码，使安全人员能够识别恶意内容。 安全专业人员可以部署自定义的Yara规则来检测这些混合威胁。以下检测规则通过查找PDF签名和嵌入的Office文档结构来识别潜在的PDF中的MalDoc文件。 这种技术不会绕过Word的宏安全设置，如果禁用了自动宏执行，用户仍会收到安全提示。然而，这种方法在自动分析工作流中造成了显著的盲点，可能允许恶意软件穿透防御层。组织应更新其安全协议，以特别测试这些混合文件格式，特别是在经常处理来自外部来源的文档附件的环境中。建议实施技术和用户意识培训，以最小化风险暴露。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机紧急响应小组（CERT-UA）发出警告，称有人利用被攻破的 Signal 账户发送恶意软件，对国防工业企业的员工及该国军队成员实施高度定向攻击。 公告称，此类攻击自本月起开始出现，攻击者通过 Signal 发送伪装成会议报告的档案。 由于部分消息来自目标熟悉的现有着，他们打开档案的可能性更高。 档案中包含一个 PDF 文件和一个可执行文件，前者作为诱饵引诱受害者打开，进而触发后者的启动。 可执行文件被归类为 DarkTortilla 加密程序/加载程序，启动后会解密并执行远程访问木马 Dark Crystal RAT（DCRAT）。 攻击概览 来源：CERT-UA CERT-UA 表示，此类活动已被追踪为 UAC-0200，这是一个自 2024 年 6 月以来一直利用 Signal 进行类似攻击的威胁集群。 然而，在最近的攻击中，钓鱼诱饵已更新，以反映乌克兰当前的重要话题，尤其是与军事领域相关的内容。 “自 2025 年 2 月起，诱饵信息的重点已转向无人机、电子战系统和其他军事技术相关话题，”CERT-UA 在其最新公告中解释道。 2025 年 2 月，谷歌威胁情报小组（GTIG）报告称，俄罗斯黑客滥用 Signal 的合法 “已链接设备” 功能，以获取对感兴趣账户的未授权访问权限。 自认为可能是间谍活动和定向钓鱼攻击目标的 Signal 用户，应关闭附件的自动下载功能，并对所有消息保持警惕，尤其是包含文件的消息。 此外，建议定期检查 Signal 上的已链接设备列表，以避免成为攻击的代理。 最后，Signal 用户应将所有平台上的消息传递应用程序更新至最新版本，并启用双因素认证，以增加账户保护。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州教育协会（PSEA）是宾夕法尼亚州最大的公共部门工会，该协会通知超过 50 万人，其个人信息在 2024 年 7 月的一次安全漏洞中被盗。 该工会代表超过 17.8 万名教育专业人士，包括教师、支持人员、高等教育人员、护士、退休教师和未来教师。 “PSEA 在 2024 年 7 月 6 日左右经历了一起影响我们网络环境的安全事件，”该组织在发送给 517,487 个人的漏洞通知信中表示。 “通过在 2025 年 2 月 18 日完成的彻底调查和对受影响数据的广泛审查，我们确定未授权行为者获取的数据包含了一些属于个人的信息，这些信息包含在我们网络中某些文件内。” PSEA 表示，被盗信息因人而异，包括个人、财务和健康数据，如驾照或州身份证、社保号、账户 PIN 码、安全码、支付卡信息、护照信息、纳税人 ID 号、凭证、健康保险和医疗信息。 该工会为社保号受到影响的个人提供免费的 IDX 信用监控和身份恢复服务，前提是他们在 2025 年 6 月 17 日之前注册。同时，建议受影响者监控其财务账户对账单和信用报告中的可疑活动，获取免费信用报告，并在其信用档案上设置欺诈警报和/或安全冻结。 尽管 PSEA 未将此次攻击归咎于特定的威胁行为者，但 Rhysida 勒索软件团伙在 2024 年 9 月 9 日声称对此漏洞负责。 该网络犯罪集团要求支付 20 比特币的赎金，并威胁如果不支付赎金就泄露被盗数据。尽管 PSEA 未透露是否支付了赎金以防止数据泄露，但勒索软件团伙已将其从暗网泄露网站上移除。 Rhysida 勒索软件即服务（RaaS）行动于近两年前的 2023 年 5 月浮出水面，并在入侵英国图书馆和智利陆军后声名狼藉。 该团伙在 2023 年 11 月入侵了索尼子公司 Insomniac Games，并在游戏工作室拒绝支付 200 万美元赎金后泄露了 1,67 TB 的文件。 Rhysida 勒索软件附属机构还声称在 2024 年 2 月对芝加哥的 Lurie 儿童医院发起了网络攻击，这是一家每年为超过 20 万名儿童提供护理的美国领先儿科急性护理机构，他们提出出售被盗数据以换取 60 比特币（当时约合 370 万美元）。 更近一些时候，Singing River 健康系统发出警告，称在 2023 年 8 月的一次勒索软件攻击中，近 90 万人的数据被盗，而俄亥俄州哥伦布市在 2024 年 7 月的一次 Rhysida 攻击后通知了 50 万人数据泄露。 美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）警告称，Rhysida 附属机构是许多机会主义攻击的幕后黑手，这些攻击针对广泛行业领域的组织，而美国卫生与公众服务部（HHS）已将 Rhysida 与针对医疗机构的攻击联系起来。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文