Resecurity 研究人员警告道，Smishing Triad 正在开展新活动，该组织已将其行动范围扩展到巴基斯坦。 Smishing Triad 最新的手段是以巴基斯坦邮政的名义通过 iMessage 或 SMS 向移动运营商的客户发送恶意信息，从而窃取客户的个人信息和财务信息。 攻击者在该网络钓鱼工具包中使用的代码和模板与此前 Smishing Triad 攻击事件中的代码和模板一致。Smishing Triad 曾对其他地区（包括美国、欧盟、阿联酋和沙特阿拉伯）网上银行、电子商务和支付系统客户发起多次攻击活动。 分析师估算，黑客的活动规模非常庞大，每天发送的信息量在5万至10万条之间。黑客通过利用从暗网窃取的数据库实现这一目标，这些数据库包括含电话号码在内的敏感个人数据。2024年上半年，巴基斯坦发生了多起数据泄露事件，导致公民的个人身份信息（PII）被泄露。这些泄露的信息随后被自动化工具大规模处理，用于包括发送垃圾短信在内的各种恶意欺诈目的。 Resecurity 观察到，多个主机被攻击者用于操作针对巴基斯坦邮政服务提供商的钓鱼工具包。这些攻击与2023年7月之前观察到的针对西班牙国有邮政服务提供商 Correos 的钓鱼活动有关。分析发现，多个域名映射到同一个IP地址23[.]231[.]48[.]129： ep-gov-pkw[.]cfd ep-gov-ppk[.]cyou ep-gov-ppk[.]icu correosytelegrafos-civ[.]icu correos-es[.]cn Smishing（短信网络钓鱼）攻击可能具有高度欺骗性，其目的是通过短信诱骗个人点击恶意链接泄露个人信息，从而破坏数字身份并窃取支付数据。   消息来源：securityaffairs，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在一名黑客声称出售从电信公司 T-Mobile 窃取的数据后，该公司否认其遭到入侵或源代码被盗。 “T-Mobile 系统并未受到攻击。我们正在积极调查第三方服务提供商提出的问题，”T-Mobile 在给 BleepingComputer 的一份声明中说。”没有迹象表明 T-Mobile 的客户数据或源代码被包括在内，我们确认该黑客声称 T-Mobile 的基础设施被访问的说法是错误的”。 在发表这一声明之前，一知名黑客 IntelBroker 声称已于 2024 年 6 月入侵 T-Mobile 并窃取了源代码。 为了证明这些数据真实可靠且来自近期的网络攻击，IntelBroker 发布了几张截图，图中显示该黑客以管理权限访问了 Confluence 服务器和公司内部的开发人员 Slack 频道。 IntelBroker 表明出售的数据包含源代码、SQL 文件、图像、Terraform 数据、t-mobile.com 认证、Siloprograms。 IntelBroker 声称将出售 T-Mobile 近期数据泄露事件中数据的截图 BleepingComputer 了解到，IntelBroker 分享的实际上是 T-Mobile 基础设施的陈旧数据，这些数据在被上传到第三方供应商的服务器上后遭窃取。 近期，IntelBroker 迅速发布了一系列数据泄露事件，如果所有遭受数据泄露的组织都使用了这家云供应商，那么这些数据的来源就能得到解释。 据 IntelBroker 发布的截图，该黑客在本月就可以访问用于测试应用程序的 Jira 实例。 目前尚不清楚 IntelBroker 是如何入侵该提供商的，但其中一张泄露的图片显示出关键漏洞 CVE-2024-1597 的搜索记录，该漏洞影响了 Confluence 数据中心和服务器，严重程度为 9.8 分（满分 10 分）。 目前尚不清楚第三方供应商是否因该漏洞而被入侵。 此次事件是T-Mobile 在不到两年的时间里遭遇的第三起网络安全事件。2023 年 1 月 19 日，T-Mobile 披露黑客窃取了公司 3700 万用户的个人信息。 2023 年 5 月，该电信公司表示，从同年 2 月开始，数百名客户的数据被未知攻击者曝光长达一个多月。 消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测显示，半导体公司 AMD（Advanced Micro Devices）产品信息及源代码疑似发生泄露。 据称，黑客 IntelBroker 正在黑客论坛上出售 AMD 被盗的数据，而该公司正在调查此次泄露事件是否属实。AMD表示：”我们正与执法人员和第三方合作调查这一说法的真实性和数据的重要程度。” 涉嫌泄露的内容包括AMD 未来产品的信息、详细技术规格、员工和客户数据库、财产相关文件、ROM、源代码、固件和财务记录。黑客 IntelBroker 声称员工数据库包括个人和专业信息，例如用户 ID、名字和姓氏、工作职能、公司电话号码、电子邮件地址和员工状态。 知道创宇暗网雷达截图 出售AMD数据的黑客论坛截图 与此同时，IntelBroker 还分享了一些 AMD 数据的截图，但尚未透露该数据的售价或获取方式。 AMD 数据截图 据了解，IntelBroker 因入侵 DC Health Link 而闻名，该入侵事件导致美国众议院议员和工作人员的个人数据发生泄露，并引发了一场国会听证会。 近期，该黑客还破坏了欧洲刑警组织专家平台（EPE），即一个国际执法机构之间共享信息的门户网站。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，bleepingcomputer

一名 22 岁的英国人在西班牙马略卡岛帕尔马被捕，据称该嫌疑人与 “Scattered Spider”黑客组织有关，涉嫌对 45 家美国公司发动的网络攻击负有责任。 该嫌疑人疑似为一网络犯罪团伙的头目，这一团伙专门从事从组织机构窃取数据和加密货币的活动，以不公布敏感数据为由进行敲诈勒索。 警方在公告中写道：“该团伙作案手法包括通过网络钓鱼技术获取个人访问凭证，接着利用凭证访问公司并攫取敏感信息，或访问受害者的加密货币钱包并将其接管。” 据调查人员称，该威胁组织利用上述计划窃取了价值2700万美元的加密货币。 联邦调查局收到国际逮捕令（OID）后，西班牙警方于 2024 年 5 月 31 日在帕尔马机场逮捕了这名网络罪犯，此时他正准备前往意大利那不勒斯。在逮捕过程中，他的笔记本电脑和手机交由法医调查人员进行检查以寻找罪证。 与 Scattered Spider 的联系 当局尚未透露嫌疑人所属威胁组织的详细信息，但 VX-Underground 在没有证据的情况下声称该嫌疑人为 “Tyler”，是臭名昭著的组织 Scattered Spider 的 SIM 卡交换专家。 Brian Krebs 报道称，据消息人士透露，”Tyler”又名 “tylerb”，经常出现在以 SIM 卡交换为主题的 Telegram 频道上。 Scattered Spider，又称 0ktapus 或 UNC3944，是一个以英语为沟通语言、组织结构松散且在不断演化的网络犯罪团伙，该团伙以使用社交工程、网络钓鱼、多因素身份验证（MFA）疲劳和 SIM 卡交换访问目标网络而闻名。 该团伙中的一些成员因参与以俄语为沟通语言的勒索软件团伙 BlackCat 而出名。 2023 年 9 月，据称 Scattered Spider 入侵了娱乐业巨头 MGM Resorts，部署了BlackCat/ALPHV 加密器并窃取了数据，对公司运营业务造成了严重干扰。 西班牙警方对该嫌疑人的网络活动、年龄和籍贯的描述与 Scattered Spider 成员的特征相符，嫌疑人发起网络攻击的策略也与该威胁组织的相关策略相似。但二者间的联系尚未正式确定。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，攻击者利用 PHP 中的一个关键远程执行漏洞入侵服务器并部署恶意软件，该恶意软件是 TellYouThePass 勒索软件活动的一部分。 Imperva Threat Research 公司在6月10日的一篇博文中表示，公司于6月8日，即PHP维护者发布补丁后的一两天，就发现了攻击者利用高严重性PHP漏洞（CVE-2024-4577）的情况。 PHP 是一种免费、开源的服务器端脚本语言，用于创建动态网页。超过 75% 的网站都使用 PHP 进行服务器端编程。 Imperva 的研究人员表示，由于许多类型的企业都依赖 PHP 安装来运行网站，而攻击者一旦入侵就很容易横向移动，因此安全团队应立即打补丁。 自2019年以来，TellYouThePass勒索软件一直很活跃，频繁针对Windows和Linux系统的企业和个人发动攻击。该勒索软件因利用 Apache Log4j 漏洞 CVE-2021-44228 而闻名，也有报道称它利用了 CVE-2023-46604。 Keeper Security 公司联合创始人兼首席执行官 Darren Guccione 解释道，大多数安全团队都非常清楚，网络犯罪分子会密切关注公开披露的信息和概念验证版本，以便迅速利用任何他们可以轻松攻击的漏洞。网络犯罪分子的目标是利用未修补的 PHP 安装（存在CVE-2024-4577等漏洞），未经授权地访问系统。 “该勒索软件一旦进入系统，就会利用横向移动的方式，侵入其他系统并寻找有价值的数据，”Guccione 说。“为了防御 TellYouThePass 勒索软件等漏洞的攻击，安全团队必须在新的安全更新发布后立即应用，以最大限度地减少攻击者的机会窗口。” ColorTokens 公司副总裁兼 CISO 顾问 Agnidipta Sarkar 补充说，表面来看我们只需打上补丁，但这是有风险的。 PHP 是最流行的服务器端脚本语言之一，被用于创建动态网页和复杂的应用程序。一些实时部署了基于 PHP 的应用程序的企业，特别是对安全关注较少、或是没有在临时环境中快速修补PHP漏洞计划的企业，都会受到攻击。   消息来源：scmagazine，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

黑莓公司正在调查一起涉及在暗网上出售其网络安全部门 Cylance 数据的事件，但该公司表示，这些数据似乎比较陈旧，并非来自公司系统。 暗网情报员上周报道称，一名威胁分子希望以 75 万美元的价格购买据称属于黑莓公司网络安全部门 Cylance 的客户、合作伙伴和员工的数据。 终端安全公司 Cylance 于2019年被黑莓以14亿美元收购后，成为了黑莓公司旗下一个网安部门。 网络犯罪分子声称掌握了 “34万亿封客户和员工电子邮件”，同时获得了客户电子邮件、个人身份信息、销售前景以及用户和合作伙伴名单。 黑莓公司在与 SecurityWeek 取得联系后表示，公司已经意识到可能发生了数据泄露这一点，并正在对该事件进行调查。目前还没有证据表明黑莓与客户、产品和运营有关的数据和系统遭到了破坏。 黑莓公司表示：“根据对相关数据的初步审查，目前 Cylance 客户没有受到影响，数据也不涉及敏感信息。该数据是从与黑莓无关的第三方平台获取的，似乎是在2015-2018年间，黑莓收购 Cylance 产品组合前被访问的。” “我们将持续密切关注这一情况，并将采取一切必要的预防措施，以维护产品和系统的完整性及客户对我们的信任。” Emsisoft 威胁分析师 Brett Callow 指出，Cylance 的数据可能是在最近针对云数据平台 Snowflake 客户的攻击活动中获得的。 Snowflake 活动影响了许多组织，包括 Ticketmaster、Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等知名企业。 Mandiant 周一报告称，大约有 165 家组织受到了这一攻击活动的影响，攻击者似乎在利用窃取的 Snowflake 客户凭据来攻击他们的云存储。 据 Mandiant 称，这些攻击是由有经济动机的黑客实施的，黑客通过信息窃取恶意软件从 Snowflake 客户的系统中获取的用户凭证。 目前没有证据表明这些攻击涉及 Snowflake 系统或产品中的漏洞，也没有证据表明供应商的生产或企业系统受到了攻击。 黑莓没有具体证实或否认这些数据来自 Snowflake，但他们强调该公司目前不是 Snowflake 的客户。   消息来源：securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据称，“Akira ”勒索软件的目标是位于德国的 E-T-A Elektrotechnische Apparate GmbH 公司。该勒索软件团伙声称窃取了 24 千兆字节的敏感资料，包括客户信息、保密协议（NDA）、财务记录和员工个人信息。 为了证实这些说法，该黑客附上了一张包含以上信息的截图。 E-T-A 拥有六家生产工厂，业务遍及全球 60 个国家。公司的产品范围包括众多行业必不可少的电气保护解决方案，同时以生产断路器、电子电路保护器和其他各种电子元件而闻名。 尽管勒索软件组织声称已成功窃取信息，但该公司官方网站似乎仍在正常运行，也没有任何异常迹象。为进一步核实 Akira 对 E-T-A 的网络攻击是否属实，The Cyber Express 团队联系了 E-T-A ，要求其发表官方声明。 但截至发稿时，The Cyber Express 尚未收到该公司的回复。E-T-A 官方也没有确认或否认这一事件，所以勒索软件的说法无法得到证实。 Akira 勒索软件此前跟踪记录 Akira勒索软件团伙对主要集中在欧洲、北美和澳大利亚的中小型企业（SMB）构成了威胁，他们经常非法访问公司的VPN。 Sophos X-Ops 研究表明，Akira 经常使用泄露的登录凭证或是利用 VPN 技术的弱点，如 Cisco ASA SSL VPN 或 Cisco AnyConnect。 2024 年 5 月，Akira 对一家著名的木工店 Western Dovetail 发起攻击。2024 年 4 月，Akira 确认对北美、欧洲和澳大利亚的企业和关键基础设施发了一系列网络攻击。 据 FBI 称，自 2023 年 3 月以来，Akira 已入侵了 250 多家公司，收取了约 4200 万美元的赎金。Akira 最初的攻击目标是 Windows 系统，后来逐步扩大为 Linux 计算机，这一变化引起了国际网络安全机构的担忧。 这些网络攻击事件表明，Akira 的策略是针对各行各业不同规模的企业，通常会造成重大运营中断和经济损失。 从目前的情况来看，关于 Akira 勒索软件组织对 E-T-A 实施网络攻击的指控缺乏事实依据。由于该公司没有做出官方回应，因此这些说法并不能被证实。尽管该公司的网站仍在运行，但数据泄露可能会造成严重后果，危及客户保密性、财务完整性和员工隐私。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据暗网行动者报告，马来西亚铁路资产公司（RAC）遭到黑客攻击，该公司是马来西亚交通部下属的重要部门。黑客 “billy100” 入侵该公司后在 BreachForums 平台上发布了相关指控。 RAC 数据泄露事件被公开到黑客论坛上，据称泄露数据包含公司 RAC 有关人事记录。 据 billy100 称，被入侵的数据库中有 481 行文件。黑客提供了 CSV 文件 “users_id ”和 “detail ”的样本作为数据真实的证据，样本包括散列密码、电子邮件地址和用户名。 RAC 数据泄露事件涉嫌暴露敏感信息 来源：暗网 RAC 是一家根据 1991 年《铁路法》成立的联邦法定实体，其任务是支持马来西亚的铁路基础设施建设。自 1992 年成立以来，铁路资产公司在推动马来西亚铁路行业与其他领先国家接轨方面发挥了重要作用。该公司负责管理和发展铁路资产，因此非常重要。 据称，敏感员工数据隐藏在 RAC 数据泄露库中，披露细节包含人事多方面的信息。两个构成被盗数据的主要文件是 users_id.csv（包含 ID、姓名、电子邮件、密码等重要用户信息）和 detail.csv（提供更多深入的员工信息，如个人身份信息、部门信息、工资和出生日期）。 对铁路部门的调查和网络攻击 The Cyber Express 向该组织提出关于 RAC 数据丢失和涉及勒索软件团伙的相关问题。然而，截至本文撰写之时，该组织尚未做出正式回应或声明，因此有关 RAC 数据泄漏的指控仍未得到证实。 铁路作为数字时代的重要基础设施，受到网络威胁的可能性越来越大，一旦受到攻击就会危及日常运营和公共安全。近来针对国际铁路网络的攻击让人们开始关注加强网络安全保护的必要性。过时的系统、不安全的网络和物联网设备的漏洞都会增加被入侵的风险。 铁路运营商需要优先考虑资产可视性，采用强大的身份验证和加密通信网络；同时，为加强安全性，还需储备最新的补丁和升级程序。员工接受全面的网络安全培训也至关重要。要使交通运输在未来继续保持可靠和安全，就必须将网络安全全面纳入铁路运营考虑范围内。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

周一，加拿大不列颠哥伦比亚省的一位部长表示，该省的政府系统疑似遭到国家支持的黑客攻击，据称 22 个电子邮件收件箱受到影响，其中包含19人的敏感信息。 据该国公共广播公司 CBC 报道，该省公共安全部长 Mike Farnworth 表示目前 “没有迹象表明公众信息被获取”。 法恩沃斯补充说：“我们没有发现任何滥用这些信息的行为，也没有发现黑客访问特定文件的证据。” 该省副省长 Shannon Salter 此前称，此次黑客攻击是由国家支持的黑客所为，该黑客曾试图入侵政府系统三次。 “受到影响的都是员工档案。只有一名员工的收件箱里包含家人的信息，”法恩沃斯说。“所有人都已收到信息泄露的通知，并将接受信用监控和身份保护支持。” 尚不清楚此次事件的幕后黑手属于哪个国家，但在此之前，加拿大安全情报局（CSIS）上周发布了一份年度报告。 报告指出：“加拿大强大的民主体制、发达的经济、创新的研究部门和领先的学术机构，让加拿大成为网络间谍、网络攻击和受外国影响活动的目标，所有这些都对加拿大的国家安全构成重大威胁。” CSIS 还特别点名了印度， 2023 年在不列颠哥伦比亚省，可能由印度国家支持的锡克分离主义者 Hardeep Singh Nijjar 被暗杀后，两国之间的 “双边关系恶化”。 然而，报告指出，加拿大安全情报局迄今只观察到与印度结盟的非国家支持的黑客针对加拿大的低级网络行动。没有迹象表明印度政府需要对这些网络事件负责。   消息来源：therecord，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

洛杉矶联合学区（LAUSD）官员正在调查黑客声称出售被盗数据库的事件，以确认其真实性。据称，该被盗数据库包含数百万学生和数千名教师的个人信息。 洛杉矶联合学区是美国第二大公立校区，拥有超过 25900 名教师、约 48700 名其他员工，2023-2024 学年在校学生超过 563000 人。 黑客称，黑客论坛上以 1000 美元价格出售的 CSV 文件包含超过 11GB 的数据，数据包括 2600 多万条学生信息、24000 多条教师信息和大约 500 条员工信息。 他们还分享了两个数据样本以作为信息真实性的证据，样本中包含约 1000 份学生记录，其中有社会安全号 (SSN)、学生地址、家长地址、电子邮件地址、联系信息和出生日期。 分析样本的研究人员告诉 BleepingComputer，出售的数据似乎是真实的，但可能是旧数据，因为数据集中不包括最近的日期。然而，该黑客只共享了一小部分被盗数据的样本，因此可能还有尚未共享的新信息。 BleepingComputer 今天早些时候联系了洛杉矶联合学区，试图确认该黑客的说法是否属实。 洛杉矶联合学区公共信息官 Britt Vaughan 告诉 BleepingComputer：“我们正在调查此事，如果有进一步的信息，我们会及时与您联系。” 洛杉矶联合学区被盗数据涉嫌在网上出售 Vice Society 勒索软件攻击 2022 年 9 月的劳动节周末，洛杉矶联合学区也遭到了勒索软件攻击。Vice Society 声称对此次攻击负责，并称他们在加密校区系统之前还窃取了 500GB 的文件。 在洛杉矶校区披露此次攻击事件的当天，联邦调查局、CISA 和 MS-ISAC 发布了一份联合公告，警告 Vice Society 过度针对教育组织。 攻击发生后，洛杉矶校区要求所有员工（包括教师、辅助人员和管理人员）和学生亲自到学区现场重置 @LAUSD.net 帐户凭据，并加快推出多因素身份验证。 袭击发生近一个月后，Vice Society 在其暗网泄露网站上公布了洛杉矶联合学区被盗的数据，执法人员表示其中包括 “对学生的机密心理评估、合同和法律文件、商业记录以及大量数据库条目”。 泄露事件发生前，该学区宣布不会支付勒索软件团伙索要的赎金，因为支付赎金无法保证数据的完全恢复，而且 “公共资金最好用在学生身上”。 目前尚不清楚黑客论坛上出售的数据是否与 Vice Society 窃取的数据有关。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文