HackerNews 编译，转载请注明出处： 周二，乌克兰网络联盟组织的一部分黑客活动分子宣布，他们已侵入俄罗斯互联网服务提供商Nodex的网络，在窃取敏感文件后清除了被黑的系统。 昨日，这些乌克兰黑客在Telegram上宣布：“圣彼得堡的俄罗斯互联网提供商Nodex被完全洗劫并清空。数据被窃取，而他们留下的只是没有备份的空设备。” 黑客们还分享了他们在攻击期间入侵的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。 周二，Nodex在VKontakte上向客户证实了乌克兰网络联盟的声明，称其网络在疑似来自乌克兰的有计划攻击后“被摧毁”。 Nodex表示：“亲爱的用户！昨晚，我们的基础设施遭到攻击（推测来自乌克兰）。网络已被摧毁。我们正在从备份中恢复。目前没有时间表或预测。我们的首要任务是先恢复电话服务和呼叫中心。” 互联网监测组织NetBlocks也观察到，在Nodex确认遭受网络攻击后，其网络运营商的固定电话和移动服务连接在昨日午夜崩溃。 Nodex中断情况（NetBlocks） 《The Record》率先报道了此次攻击，称Nodex的网站仍然无法访问，俄罗斯互联网提供商仍在努力恢复系统。但该公司无法提供系统恢复在线的时间表。 此后，Nodex发布了更多关于恢复过程的更新，告知用户“网络核心已恢复”，其工程师仍在重置交换机。 三小时后，俄罗斯ISP表示DHCP服务器已上线，现在许多客户应能上网。 Nodex在VKontakte上的另一条更新中表示：“很多人应该能上网了。请重启您的路由器。” 乌克兰网络联盟自2016年以来一直活跃，当时多个黑客和黑客组织（如FalconsFlame、Trinity、RUH8和CyberHunta）联合起来，注册为非政府组织。 自那时以来，乌克兰网络联盟的网络活动分子声称多次攻破影响多个俄罗斯组织的系统，包括俄罗斯国防部、独立国家联合体研究所（由俄罗斯国家公司Gazprom资助）、顿涅茨克人民共和国煤炭和能源部、弗拉基米尔·普京的政治顾问弗拉基斯拉夫·苏尔科夫以及多名俄罗斯军官和媒体机构等。 2023年10月，乌克兰黑客还攻破了Trigona勒索软件团伙的服务器，在窃取包括源代码、数据库记录和加密货币热钱包在内的所有数据后将其清空。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发出警告，黑客在零日攻击中利用了Connect Secure远程代码执行漏洞（CVE-2025-0282），在设备上安装了恶意软件。 该公司表示，在Ivanti Integrity Checker Tool（ICT）检测到客户设备上的恶意活动后，他们意识到了这一漏洞。Ivanti随即展开调查，并确认威胁行为者正在积极利用CVE-2025-0282作为零日漏洞。 CVE-2025-0282是一个严重（9.0分）的栈溢出漏洞，存在于Ivanti Connect Secure 22.7R2.5版本之前、Ivanti Policy Secure 22.7R1.2版本之前以及Ivanti Neurons for ZTA网关22.7R2.3版本之前的版本中，允许未经身份验证的攻击者远程在设备上执行代码。 尽管该漏洞影响了这三款产品，但Ivanti表示，他们目前仅发现Ivanti Connect Secure设备受到了该漏洞的利用。 Ivanti的一篇博客文章写道：“在披露时，我们已知有少数客户的Ivanti Connect Secure设备受到了CVE-2025-0282的利用。” “我们尚未发现CVE在Ivanti Policy Secure或Neurons for ZTA网关中被利用。” Ivanti已紧急为Ivanti Connect Secure发布了安全补丁，该补丁已在固件版本22.7R2.5中解决。 然而，根据今日发布的安全公告，Ivanti Policy Secure和Ivanti Neurons for ZTA网关的补丁将于2025年1月21日发布。 Ivanti Policy Secure：此解决方案不面向互联网，因此被利用的风险显著降低。Ivanti Policy Secure的修复计划于2025年1月21日发布，并将在标准下载门户中提供。客户应始终确保其IPS设备根据Ivanti的建议进行配置，且不暴露于互联网。我们尚未发现CVE在Ivanti Policy Secure中被利用。 Ivanti Neurons for ZTA网关：在生产环境中，Ivanti Neurons ZTA网关无法被利用。如果为该解决方案生成的网关未连接到ZTA控制器，则存在该生成网关被利用的风险。修复计划于2025年1月21日发布。我们尚未发现CVE在ZTA网关中被利用。 该公司建议所有Ivanti Connect Secure管理员执行内部和外部ICT扫描。 如果扫描结果正常，Ivanti仍建议管理员在升级到Ivanti Connect Secure 22.7R2.5之前进行出厂重置。 但是，如果扫描结果显示存在安全漏洞，Ivanti表示，出厂重置应能移除已安装的恶意软件。然后，应使用22.7R2.5版本将设备重新投入生产。 今日的安全更新还修复了另一个被追踪为CVE-2025-0283的漏洞，Ivanti表示，该漏洞目前尚未被利用或与CVE-2025-0282结合使用。此漏洞允许经过身份验证的本地攻击者提升权限。 由于Ivanti正与Mandiant和微软威胁情报中心合作调查这些攻击，我们很快就会看到有关检测到的恶意软件的报告。 BleepingComputer就这些攻击向Ivanti提出了进一步的问题，并在收到回复后更新本文。 今年10月，Ivanti发布了安全更新，修复了三个在攻击中被积极利用的Cloud Services Appliance（CSA）零日漏洞。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。 该插件销量超过2万次，允许WooCommerce网站的用户在产品设计（如服装、马克杯、手机壳）中进行颜色更换、文本转换或尺寸修改等自定义操作。 2024年3月17日，Patchstack的Rafie Muhammad在检查该插件时发现，该插件存在以下两个严重漏洞： CVE-2024-51919（CVSS评分：9.0）：由于文件上传功能“save_remote_file”和“fpd_admin_copy_file”实现不安全，未正确验证或限制文件类型，导致未经身份验证的任意文件上传漏洞。攻击者可通过提供远程URL上传恶意文件，实现远程代码执行（RCE）。 CVE-2024-51818（CVSS评分：9.3）：由于使用了不足的“strip_tags”函数，导致用户输入未得到适当净化，从而引发未经身份验证的SQL注入漏洞。用户提供的输入未经适当验证便直接整合到数据库查询中，可能导致数据库被攻破，数据被检索、修改或删除。 Patchstack在发现这些问题后一天便通知了供应商，但Radykal至今未作回应。 Patchstack于1月6日将这两个漏洞添加到其数据库中，并于今日发布博客文章，以警告用户并提高对此类风险的认识。 Muhammad表示，尽管Radykal发布了20个新版本，且最新版本6.4.3也于2个月前发布，但这两个严重的安全问题仍未得到修复。 Patchstack的文章为攻击者提供了足够的技术信息，以便他们创建漏洞利用工具并开始针对使用Radykal的Fancy Product Designer插件的网店发起攻击。 作为一般建议，管理员应通过创建包含安全文件扩展名的允许列表来防止任意文件上传。此外，Patchstack还建议，通过对用户查询输入进行安全转义和格式化来净化输入，从而防范SQL注入攻击。 BleepingComputer已联系Radykal，询问其是否计划近期发布安全更新，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭示了一款名为NonEuclid的新型远程访问木马，该木马可使不法分子远程控制受感染的Windows系统。 Cyfirma上周发布的技术分析指出：“NonEuclid远程访问木马（RAT）采用C#开发，是一款高度复杂的恶意软件，通过先进的规避技术提供未经授权的远程访问。” “它运用多种机制，包括杀毒软件绕过、权限提升、反检测和针对关键文件的勒索软件加密。” 自2024年11月底以来，NonEuclid已在地下论坛中被宣传，并在Discord、YouTube等热门平台上发现了有关该恶意软件的教程和讨论。这表明有人正有组织地将其作为犯罪软件解决方案进行分发。 该RAT的核心是从客户端应用程序的初始化阶段开始，之后进行一系列检查以躲避检测，然后再为与指定IP和端口的通信建立TCP套接字。 它还会配置Microsoft Defender防病毒排除项，以防止安全工具标记其相关文件，并监控如“taskmgr.exe”、“processhacker.exe”和“procexp.exe”等常用于分析和进程管理的进程。 Cyfirma表示：“它使用Windows API调用（CreateToolhelp32Snapshot、Process32First、Process32Next）来枚举进程，并检查其可执行文件名是否与指定目标匹配。如果找到匹配项，则根据AntiProcessMode设置，要么终止该进程，要么触发客户端应用程序退出。” 该恶意软件采用的一些反分析技术包括检查其是否在虚拟或沙盒环境中运行，一旦发现，则立即终止程序。此外，它还具备绕过Windows反恶意软件扫描接口（AMSI）的功能。 NonEuclid通过计划任务和Windows注册表更改实现持久性，并试图通过绕过用户帐户控制（UAC）保护来提升权限并执行命令。 一个相对罕见的功能是，它能够加密具有特定扩展名（如.CSV、.TXT和.PHP）的文件，并将它们重命名为“.NonEuclid”扩展名，从而有效转变为勒索软件。 Cyfirma称：“NonEuclid RAT是现代恶意软件日益复杂的典型代表，结合了先进的隐蔽机制、反检测功能和勒索软件能力。它在地下论坛、Discord服务器和教程平台上的广泛宣传表明，它对网络犯罪分子具有吸引力，并凸显了应对此类威胁的挑战。该恶意软件集成了权限提升、AMSI绕过和进程阻止等功能，展示了其在躲避安全措施方面的适应性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意行为者在各种恶意垃圾邮件活动中继续通过伪造发件人电子邮件地址取得成功。 伪造电子邮件的发件人地址通常被视为一种让数字信息看起来更合法并绕过可能将其标记为恶意的安全机制的手段。 尽管有域名密钥识别邮件（DKIM）、基于域名的邮件身份验证、报告和一致性（DMARC）以及发件人策略框架（SPF）等保障措施可以防止垃圾邮件发送者伪造知名域名，但这些措施反而促使他们利用老旧、被忽视的域名进行活动。 这样做的话，电子邮件信息很可能会绕过依赖域名年龄来识别垃圾邮件的安全检查。 一家DNS威胁情报公司在与《黑客新闻》分享的一项新分析中发现，包括Muddling Meerkat在内的威胁行为者滥用了一些自身拥有的、已近20年未用于托管内容的老旧顶级域名（TLD）。 “这些域名缺少大多数DNS记录，包括通常用于检查发件人域名真实性的记录，如SPF记录，”该公司表示，“这些域名简短且属于高声誉的顶级域名。”自2022年12月以来一直活跃的一项此类活动涉及分发带有指向钓鱼网站的二维码附件的电子邮件，并指示收件人打开附件并使用手机上的支付宝或微信应用扫描二维码。 这些电子邮件使用中文撰写的与税收相关的诱饵，同时以不同方式将二维码文档隐藏在电子邮件正文中包含的四位数字密码之后。在其中一个案例中，钓鱼网站要求用户输入其身份和银行卡信息，然后向攻击者进行欺诈付款。 “尽管这些活动确实使用了我们在Muddling Meerkat中看到的废弃域名，但它们似乎还广泛伪造随机域名，甚至包括不存在的域名，”Infoblox解释道，“行为者可能会使用这种技术来避免发送来自同一发件人的重复电子邮件。” 该公司表示，它还观察到了冒充亚马逊、万事达卡和SMBC等知名品牌，利用流量分发系统（TDSes）将受害者重定向到假冒登录页面以窃取其凭据的钓鱼活动。以下是一些已确定使用伪造发件人域名的电子邮件地址： mailto:ak@fdd.xpv[.]org mailto:mh@thq.cyxfyxrv[.]com mailto:mfhez@shp.bzmb[.]com mailto:gcini@vjw.mosf[.]com mailto:iipnf@gvy.zxdvrdbtb[.]com mailto:zmrbcj@bce.xnity[.]net mailto:nxohlq@vzy.dpyj[.]com 第三类垃圾邮件与勒索有关，其中电子邮件收件人被要求支付1800美元的比特币以删除据称安装在其系统上的远程访问木马所录制的令人尴尬的视频。 “行为者伪造用户自己的电子邮件地址，并挑战他们进行检查，”Infoblox表示，电子邮件告诉用户他们的设备已被入侵，作为证明，行为者声称该邮件是从用户自己的帐户发送的。” 这一披露正值法律、政府和建筑部门自2024年9月初以来成为旨在窃取Microsoft 365凭据的新型钓鱼活动“肉铺”的目标。 据Obsidian Security称，这些攻击滥用Canva、Dropbox DocSend和Google Accelerated Mobile Pages（AMP）等受信任平台将用户重定向到恶意网站。其他一些渠道包括电子邮件和被入侵的WordPress网站。 “在显示钓鱼页面之前，会显示一个带有Cloudflare Turnstile的自定义页面，以验证用户实际上是人类，”该公司表示，“这些旋转门使得电子邮件保护系统（如URL扫描器）更难检测到钓鱼网站。” 近几个月来，短信钓鱼活动冒充阿联酋执法机构发送虚假的付款请求，涉及不存在的交通违规、停车违规和执照续期。为此目的而设立的一些虚假网站被归因于一个名为Smishing Triad的已知威胁行为者。 中东的银行业客户也成为了一种复杂的社交工程计划的攻击目标，该计划在电话中冒充政府官员，并使用远程访问软件窃取信用卡信息和一次性密码（OTP）。 Group-IB在今天发布的一项分析中表示，这场针对个人数据已在暗网上通过窃取器恶意软件泄露的女性消费者的活动，据推测是未知母语为阿拉伯语的人所为。 “骗子利用受害者的合作意愿和服从指令的意愿，希望为他们不满意的购买获得退款。” Cofense发现的另一场活动涉及发送声称来自美国社会保障管理局的电子邮件，其中嵌入了下载ConnectWise远程访问软件安装程序的链接或将受害者定向到凭据收集页面。 这一发展发生在根据Interisle Consulting Group的一份报告，在2023年9月至2024年8月期间报告的网络犯罪域名中，通用顶级域名（gTLD）如.top、.xyz、.shop、.vip和.club占37%，尽管它们仅占域名市场总量的11%。 由于价格低廉且缺乏注册要求，这些域名已成为恶意行为者的诱人目标，从而为滥用打开了大门。在广泛用于网络犯罪的顶级域名中，有22个提供的注册费用低于2.00美元。 威胁行为者还被发现宣传一个名为PhishWP的恶意WordPress插件，该插件可用于创建可自定义的支付页面，模仿Stripe等合法支付处理器，通过Telegram窃取个人和财务数据。 SlashNext在一份新报告中表示：“攻击者既可以入侵合法的WordPress网站，也可以设置欺诈网站来安装它。在配置插件以模仿支付网关后，不明真相的用户会被诱骗输入其支付详情。插件会收集这些信息并将其直接发送给攻击者，通常是在实时状态下。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今日，白宫宣布推出美国网络信任标志（U.S. Cyber Trust Mark），这是针对联网消费设备的全新网络安全安全标签。 该网络信任标志将于今年晚些时候出现在美国销售的智能产品上，帮助美国消费者判断他们想要购买的设备是否安全安装在家中。 该标志专为家用智能设备设计，如安全摄像头、电视、联网家电、健身追踪器、气候控制系统和婴儿监护器等，它表明该联网设备具备美国国家标准与技术研究院（NIST）批准的一系列安全功能。 若厂商产品符合NIST的网络安全标准，则可在其产品上贴上网络信任标志。这些标准包括使用独特且强大的默认密码、软件更新、数据保护以及事件检测能力。 消费者可通过扫描网络信任标志旁的二维码获取额外的安全信息，如更改默认密码的说明、安全配置设备的步骤、自动更新的详细信息（包括非自动更新的访问方法）、产品的最小支持期限，以及制造商是否提供设备更新的通知。 美国网络信任标志示例（由桑迪亚国家实验室提供） 拜登政府周二表示：“美国人担心犯罪分子远程黑入家庭安全系统解锁家门，或恶意攻击者利用不安全的家庭摄像头非法录制对话的情况日益增多。” “白宫发起这一两党合作行动，旨在教育美国消费者，为他们提供一种简单的方法来评估此类产品的网络安全，并激励公司生产出更多安全的设备，正如能源之星标签对能效的作用一样。” “该项目将于2025年正式开放：公司很快就能提交产品进行测试以获得标签，百思买和亚马逊等公司将重点展示带有标签的产品，消费者可在货架上寻找带有信任标志的产品。” 该项目于2023年7月公布，当时亚马逊、谷歌、百思买、LG电子美国公司、罗技和三星电子等主要电子产品、家电和消费品制造商宣布参与。 在过去18个月里，联邦通信委员会（FCC）委员一致批准了该项目，还通过了最终规定以及网络信任标志认证产品的独特盾形商标。 2024年12月，FCC宣布批准11家公司成为网络安全标签管理员，负责该项目的日常管理和认证美国网络信任标志的使用。 消费者报告技术政策主管贾斯汀·布鲁克曼周二表示：“该标志还将告知消费者，一家公司是否计划通过软件更新支持该产品，以及支持多久。” “虽然该标志是自愿申请的，但消费者报告希望制造商能申请该标志，并且消费者能在其推出后主动寻找它。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，软件代码分析公司Veracode宣布收购软件供应链领域初创企业Phylum的关键资产。 此次交易的财务条款未予公布。 总部位于美国马萨诸塞州伯灵顿的Veracode表示，此次收购包括Phylum的某些资产，如其恶意软件包分析、检测和缓解技术。 自2020年成立以来，总部位于科罗拉多州的Phylum已筹集约2000万美元的风险投资资金，旨在保护开源生态系统周边的应用程序。 Veracode表示，此次收购旨在增强其识别和阻止开源库中恶意代码的能力，并将为客户提供更全面的开源代码使用风险视图。 该公司援引数据显示，预计到2031年，软件供应链攻击的成本将从2023年的460亿美元增至1380亿美元，并表示Phylum技术的加入将有助于通过实时识别和阻止恶意软件包和漏洞来主动预防攻击。 Veracode计划将Phylum的技术，包括其恶意软件包数据库和包管理防火墙，整合到其SCA产品中，预计今年年初即可全面上市。 此次收购是Veracode在不到一年内完成的第二起收购。去年4月，该公司收购了初创企业Longbow Security，增加了帮助安全团队快速发现云和应用资产并轻松评估其威胁暴露程度的技术。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA已警告美国联邦机构，需针对Oracle WebLogic Server和Mitel MiCollab系统中正被积极利用的关键漏洞加强系统安全。 该网络安全机构已将Mitel MiCollab统一通信平台中NuPoint Unified Messaging（NPM）组件存在的关键路径遍历漏洞（CVE-2024-41713）添加到其“已知被利用漏洞目录”中。 此安全漏洞使攻击者能够执行未经授权的管理操作，并访问用户和网络信息。“成功利用此漏洞可能会使攻击者获得未经授权的访问权限，从而对系统的保密性、完整性和可用性产生潜在影响。此漏洞无需身份验证即可被利用，”MiCollab解释道。 “如果漏洞被成功利用，攻击者可能无需身份验证即可访问配置信息，包括非敏感用户和网络信息，并在MiCollab服务器上执行未经授权的管理操作。” Oracle WebLogic Server存在的关键漏洞（CVE-2020-2883）四年前的2020年4月已被修复，但该漏洞仍使未经身份验证的攻击者能够远程控制未打补丁的服务器。 美国网络安全机构还警告了Mitel MiCollab存在的第二个路径遍历漏洞（CVE-2024-55550），该漏洞使拥有管理员权限的已验证攻击者能够读取易受攻击服务器上的任意文件。然而，由于成功利用该漏洞无法提升权限，且可访问的文件不包含敏感系统信息，因此其影响有限。 今日，CISA已将这三个漏洞全部添加到其“已知被利用漏洞目录”中，并将其标记为正在被积极利用。根据2021年11月发布的《强制性操作指令》（BOD）22-01的要求，联邦民用行政部门（FCEB）机构必须在1月28日前的三周内确保其网络安全。 CISA周二表示：“此类漏洞是恶意网络行为者的常见攻击途径，对联邦机构构成重大风险。” 虽然“已知被利用漏洞”（KEV）目录主要关注向美国联邦机构发出有关应尽快修补漏洞的警报，但建议所有组织优先缓解这些安全漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个以Mirai为基础的新型僵尸网络正逐渐变得更为复杂，现在正在利用工业路由器和智能家居设备安全漏洞的零日漏洞进行攻击。 据Chainxin X Lab研究人员监测，该僵尸网络的发展和攻击始于2024年11月，开始利用之前未知的漏洞。 其中一个安全问题是CVE-2024-12856，这是Four-Faith工业路由器的一个漏洞，VulnCheck在12月底发现，但注意到在12月20日左右已有人试图利用该漏洞。 该僵尸网络还依赖于针对Neterbit路由器和Vimar智能家居设备中未知漏洞的自定义漏洞利用程序。 它于去年2月被发现，目前拥有15,000个每日活跃僵尸节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。 其主要目标似乎是为了盈利而对指定目标进行分布式拒绝服务（DDoS）攻击，每天针对数百个实体，活动在2024年10月和11月达到高峰。 目标国家 该恶意软件利用20多个漏洞的公共和私有漏洞利用程序，传播到暴露在互联网上的设备，针对数字视频录像机（DVR）、工业和家庭路由器以及智能家居设备。 具体来说，它针对以下设备： ASUS路由器（通过N日漏洞利用程序） 华为路由器（通过CVE-2017-17215） Neterbit路由器（自定义漏洞利用程序） LB-Link路由器（通过CVE-2023-26801） Four-Faith工业路由器（通过现在被追踪为CVE-2024-12856的零日漏洞） PZT摄像机（通过CVE-2024-8956和CVE-2024-8957） Kguard DVR Lilin DVR（通过远程代码执行漏洞利用程序） 通用DVR（使用如TVT editBlackAndWhiteList RCE等漏洞利用程序） Vimar智能家居设备（可能使用未公开的漏洞） 各种5G/LTE设备（可能通过配置错误或弱凭据） 该僵尸网络具有针对弱Telnet密码的暴力破解模块，使用具有唯一签名的自定义UPX打包，并实现基于Mirai的命令结构，用于更新客户端、扫描网络和进行DDoS攻击。 X Lab报告称，该僵尸网络的DDoS攻击持续时间短，在10到30秒之间，但强度很高，流量超过100 Gbps，即使对于坚固的基础设施也会造成中断。 “攻击目标遍布全球，分布在各行各业，”X Lab解释说。 “攻击的主要目标分布在中国、美国、德国、英国和新加坡，”研究人员说。 总体而言，该僵尸网络展示了利用N日甚至零日漏洞在多种设备类型上保持高感染率的独特能力。 用户可以遵循一般建议来保护他们的设备，即安装来自供应商的最新设备更新，如果不需要则禁用远程访问，并更改默认管理帐户凭据。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本电子产品制造商卡西欧表示，2024年10月发生的勒索软件事件导致约8500人的个人信息被泄露。 受影响人员主要为卡西欧员工和商业合作伙伴，但泄露数据中还包括一小部分客户个人信息。 此次网络攻击发生在10月5日，勒索软件团伙利用钓鱼战术攻破了公司网络，导致IT系统瘫痪。 10月10日，地下勒索软件团伙声称对此次攻击负责，并威胁称，除非支付赎金，否则将披露机密文件、财务文件、项目信息及员工数据。 不久后，卡西欧确认地下团伙已窃取员工、合作伙伴和客户的个人数据，但当时未透露受影响人数。 随着调查结束，卡西欧现已公布数据泄露范围的全部细节。 公司最新公告列出以下泄露数据： 员工（6456人）：姓名、员工编号、电子邮件地址、所属部门、性别、出生日期、家庭信息、地址、电话号码、纳税人识别号及总部系统账户信息。 商业合作伙伴（1931人）：姓名、电子邮件地址、电话号码、公司名称、公司地址及部分人的身份证件信息。 客户（91人）：需要送货及安装的商品的送货地址、姓名、电话号码、购买日期及产品名称。 其他泄露数据：包括发票、合同及会议材料等在内的内部文件。 一旦确定受影响人员，卡西欧将向他们发送关于此次事件的个性化通知。 尽管一些员工收到疑似与勒索软件事件及敏感数据泄露相关的垃圾邮件，但公司表示，截至目前，他们、合作伙伴及客户均未遭受二次损害。 卡西欧特别指出，客户数据或信用卡信息未遭地下勒索软件团伙泄露，因为存储客户信息的数据库未受此次事件影响。 这家日本公司还明确表示，他们未与网络犯罪分子进行谈判。 卡西欧解释说：“在与执法机构、外部律师和安全专家协商后，卡西欧未对实施非法访问的勒索软件团伙提出的任何无理要求作出回应。” 至于受影响的服务，卡西欧表示，尽管部分服务尚未恢复，但大部分已恢复正常运行状态。 与此同时，虽然卡西欧的CASIO ID和ClassPad.net平台未被标记为勒索软件攻击的影响对象，但这两个服务在2024年10月也遭遇了另一起泄露事件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文