HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组指出，乌军近期遭到一系列新型网络攻击，攻击所使用的恶意软件为PLUGGYAPE。政府专家以中等置信度将该攻击归因于与俄罗斯有关联的组织Void Blizzard（又名Laundry Bear、UAC-0190），该组织自2024年开始活跃。 此次攻击的链路以社会工程学手段为开端。攻击者通过即时通讯软件联系目标对象，诱骗其访问一个伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的“文件资料”，而这些文件实则为恶意可执行程序。 这些恶意文件通常会被封装在带密码保护的压缩包中，或通过聊天工具直接发送，还会使用.docx.pif这类具有迷惑性的扩展名，以此伪装成无害文件。 一旦受害者打开文件，其中基于Python编写、经 PyInstaller打包的程序便会运行，进而安装PLUGGYAPE后门程序，让攻击者得以远程控制受感染的设备。 乌克兰计算机应急响应小组的报告中提到：“在至少五轮攻击行动中，所使用的PIF文件均为经PyInstaller打包生成的可执行文件。其底层软件代码基于Python编程语言开发，被归类为PLUGGYAPE后门程序。需要注意的是，2025年10月期间，攻击者曾使用扩展名是.pdf.exe的文件，该文件会启动一个加载器，其作用是下载Python解释器，并从 Pastebin平台获取早期版本的PLUGGYAPE Python恶意脚本。” 该恶意软件的后续版本功能更为完善。升级版的 PLUGGYAPE变种采用消息队列遥测传输协议进行通信，还加入了反分析检测机制，例如能够识别虚拟机环境。在部分攻击案例中，命令与控制服务器的相关信息会被隐藏，并从 Pastebin、rentry.co 等公共平台获取，且这些信息往往会经过编码处理，以规避安全检测。 自2025年12月起，攻击者开始部署经过混淆处理的 PLUGGYAPE.V2变种，该变种同样采用MQTT协议通信，具备反分析检测能力，其命令与控制服务器的相关信息会以编码形式藏匿于公共网站中。 PLUGGYAPE是一款基于Python 开发的恶意工具，通过WebSockets或MQTT与控制服务器建立连接，并采用JSON 格式传输数据。它会收集受感染设备的系统标识信息，通过 SHA-256算法生成唯一的设备编号，执行从控制服务器接收的恶意代码，同时还会将自身添加到系统的开机启动注册表项中，以此实现持久化驻留。 该报告的结论指出：“乌克兰计算机应急响应小组强调，网络威胁态势正处于持续演变之中。在网络攻击的初始阶段，攻击者愈发倾向于使用合法账户、乌克兰境内移动运营商的电话号码与目标对象建立联系，交流过程中会使用乌克兰语，并辅以音视频沟通手段，此外，攻击者还会展示出其对目标个人、相关机构及其运作模式的详尽了解。在移动设备和个人电脑上广泛使用的即时通讯工具，实际上已成为网络攻击工具最主要的传播渠道。” 今年5月，荷兰情报与安全总局及荷兰国防情报与安全局将一个先前未被发现的、代号为Laundry Bear（又名Void Blizzard）的俄罗斯关联组织与2024年的一起警方数据泄露事件联系起来。 2024年10月，荷兰司法部长向议员表示，荷兰警方将2024年9月的一起数据泄露事件归咎于国家行为体，该事件泄露了警员的联系方式。警方已向数据保护局报告了这起安全漏洞。威胁行为者侵入了一个警方系统，获取了多名警员的工作相关联系方式。攻击者能够访问警员的姓名、电子邮件、电话号码和一些私人信息。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地使用一种隐蔽的”浏览器套浏览器”攻击技术，企图窃取Facebook用户的登录凭证。 根据Trellix网络安全研究人员的分析，攻击者分发钓鱼邮件的数量激增，这些邮件诱使用户访问看似可信的认证界面，意图窃取用户名和密码。 据认为，攻击目的是为了劫持账户、窃取个人数据、实施身份欺诈或向用户的联系人传播诈骗。拥有超过30亿用户的Facebook，对网络罪犯来说仍然是进行攻击和诈骗的诱人目标。 这些活动通常始于钓鱼邮件：研究人员指出，攻击者通常会分发声称来自律师事务所的诱饵邮件，警告潜在受害者需要立即采取行动以避免版权侵权索赔。攻击者已知分发的其他诱饵还包括发送有关未授权登录尝试的虚假通知，或警告账户因可疑活动即将被关闭。 这些手段的设计目的都是迫使用户惊慌失措，并按照被告知的”必要步骤”操作，以防止账户被关闭。钓鱼邮件敦促用户点击看起来像是Facebook的链接以采取必要行动——尽管这些是经过伪装的虚假短链接，目的是让其看起来更可信。 令这些攻击看似可信的是，”浏览器套浏览器”弹窗看起来非常逼真，完全符合用户对Facebook登录页面的预期。弹出的浏览器窗口包含了真实的Facebook登录页面URL，这是攻击者硬编码到认证窗口中的。此外，攻击者还会在此之前部署一个虚假的验证码窗口。这两种策略都旨在诱骗受害者相信他们正在访问真正的Facebook登录页面。 这些”申诉”页面首先要求用户提供个人信息，包括姓名、电子邮件地址、电话号码和出生日期——随后在第二个页面要求用户”确认”密码。通过这些虚假页面，攻击者获得了敏感的个人信息、用户名和密码，可用于以受害者为代价实施进一步的欺诈。 “通过在受害者浏览器内创建自定义的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法察觉，”Trellix表示。 为帮助防范此类钓鱼攻击，建议用户为账户启用双因素认证：即使网络犯罪分子窃取了合法的登录凭证，2FA也能自动阻止账户被接管。同时，建议用户对突然出现的、意料之外的此类请求邮件保持警惕——如果担心账户通知的真实性，应直接通过浏览器登录Facebook官网，而不是点击不熟悉的链接。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，他们已阻断了流向与AISURU/Kimwolf僵尸网络相关的超过550个命令与控制节点的流量。 AISURU及其Android对应物Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务攻击，并为住宅代理服务转发恶意流量。 关于Kimwolf的细节于上月浮出水面。该软件通过直接或通过设备预装的不可靠应用程序，向受感染的设备分发一个名为ByteConnect的软件开发工具包，从而将其转变为住宅代理。最终结果是，该僵尸网络通过住宅代理网络进行隧道传输，已感染超过200万台暴露了Android调试桥服务的Android设备，使威胁行为者能够入侵大量电视盒子。 Synthient随后的报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。 Black Lotus Labs表示，基于对Aisuru后端C2服务器65.108.5[.]46的分析，他们于2025年9月识别出一组源自多个加拿大IP地址的住宅SSH连接，这些IP地址使用SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。 值得注意的是，该二级域名在2025年11月Cloudflare的顶级100域名榜单中曾超越Google，促使该网络基础设施公司将其从列表中移除。 随后，在2025年10月初，该网络安全公司表示，他们识别出另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su——其解析至104.171.170[.]21，这是一个属于犹他州托管服务提供商Resi Rack LLC的IP地址。该公司自称是”高级游戏服务器托管提供商”。 这一关联至关重要，因为独立安全记者Brian Krebs近期的报告揭示了基于此类僵尸网络的各类代理服务背后人员如何在一个名为resi[.]to的Discord服务器上推销其”warez”。这包括Resi Rack的联合创始人，据说他们近两年来一直积极通过Discord销售代理服务。 该服务器现已消失，其所有者名为”d”（推测是昵称”Dort”的缩写），而”Snow”被认为是僵尸网络的掌控者。 “在10月初，我们观察到在7天时间内，加入Kimwolf的新僵尸数量激增了300%，这是增长的开端，到月中时僵尸总数达到了80万，”Black Lotus Labs说，”这次激增中几乎所有的僵尸都被发现挂牌在单一的住宅代理服务上出售。” 随后发现，在2025年10月20日至11月6日期间，Kimwolf的C2架构会扫描PYPROXY等服务以寻找易受攻击的设备——这种行为是因为僵尸网络利用了众多代理服务中的一个安全漏洞，该漏洞使其能够与住宅代理端点内网的设备交互并植入恶意软件。 这进而将设备转变为住宅代理节点，导致其公网IP地址被列在住宅代理提供商网站上出租。威胁行为者随后租用对受感染节点的访问权限，并利用它扫描本地网络，寻找启用了ADB模式的设备以进一步传播。 “在2025年10月成功阻断一次路由后，我们观察到greatfirewallisacensorshiptool域名转移到了104.171.170[.]201，这是另一个Resi Rack LLC的IP地址，”Black Lotus Labs指出，”随着该服务器上线，我们观察到大量流量涌向176.65.149[.]19:25565，这是一个用于托管其恶意软件的服务器。该服务器所在的自治系统号当时正被Aisuru僵尸网络同时使用。” 此次披露的背景是，Chawkr的一份报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯ISP中运行。”所有832台设备上一致的SSH指纹和相同的配置指向了自动化的大规模利用，无论是利用窃取的凭证、嵌入式后门还是路由器固件中已知的安全漏洞，”报告称，”每台被入侵的路由器都同时保持HTTP和SSH访问权限。” 鉴于这些被入侵的SOHO路由器充当住宅代理节点，它们为威胁行为者提供了融入正常互联网流量以开展恶意活动的能力。这说明了对手如何越来越多地利用消费级设备作为多阶段攻击的渠道。 “与数据中心IP或已知托管提供商的地址不同，这些住宅代理端点在大多数安全厂商声誉列表和威胁情报源的雷达之下运行，”Chawkr指出，”其合法的住宅分类和清洁的IP声誉使得恶意流量能够伪装成普通的消费者活动，规避了那些会立即标记出来自可疑托管基础设施或已知代理服务请求的检测机制。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Node.js已发布更新，修复了一个被其描述为影响”几乎所有生产环境Node.js应用”的严重安全问题。若被成功利用，该漏洞可能引发拒绝服务条件。 Node.js的Matteo Collina和Joyee Cheung在周二的一份公告中表示：”Node.js/V8会尽力从栈空间耗尽中恢复，并抛出一个可捕获的错误，许多框架已依赖此机制来保证服务可用性。但一个仅在启用async_hooks时才会复现的bug会破坏这种恢复尝试，导致当用户代码中的递归耗尽栈空间时，Node.js会直接退出并返回代码7，而不会抛出可捕获的错误。这使得那些递归深度由未净化的输入控制的应用程序容易遭受拒绝服务攻击。” 该漏洞的核心在于，当启用async_hooks且用户代码发生栈溢出时，Node.js会直接以退出码7（表示内部异常处理程序运行时失败）退出，而不是正常地处理异常。Async_hooks是一个底层的Node.js API，允许开发者跟踪数据库查询、定时器或HTTP请求等异步资源的生命周期。 Node.js表示，由于许多框架和应用程序性能监控工具使用了AsyncLocalStorage（一个构建在async_hooks模块之上的组件，使得在整个异步操作生命周期内存储数据成为可能），该问题影响了多个框架和APM工具，包括React Server Components、Next.js、Datadog、New Relic、Dynatrace、Elastic APM和OpenTelemetry。 该漏洞已在以下版本中得到修复： Node.js 20.20.0 (LTS) Node.js 22.22.0 (LTS) Node.js 24.13.0 (LTS) Node.js 25.3.0 (Current) 此问题还影响从8.x（首个包含async_hooks的版本）到18.x的所有Node.js版本。值得注意的是，代号为Carbon的Node.js 8.0.0版本发布于2017年5月30日。然而，这些版本由于已达到生命终止状态，将不会收到补丁。 已实施的修复会检测栈溢出错误并将其重新抛给用户代码，而不是将其视为致命错误。该漏洞被追踪为CVE-2025-59466（CVSS评分：7.5）。尽管实际影响重大，但Node.js表示，由于以下几个原因，他们仅将此修复视为一种缓解措施： 栈空间耗尽不属于ECMAScript规范的一部分。 V8 JavaScript引擎不将其视为安全问题。 作为异常处理最后一道防线的”uncaughtException”处理程序存在限制。 Node.js表示：”尽管这是对未指定行为的错误修复，但由于其对生态系统的广泛影响，我们选择将其包含在安全版本中。React Server Components、Next.js以及几乎所有的APM工具都受到影响。此修复改善了开发者体验，并使错误处理更具可预测性。” 鉴于该漏洞的严重性，建议相关框架/工具的用户及服务器托管提供商尽快更新。同时，建议库和框架的维护者应用更强大的防御措施来应对栈空间耗尽问题，确保服务可用性。 此次披露之际，Node.js还修复了另外三个高危漏洞（CVE-2025-55131、CVE-2025-55130和CVE-2025-59465），这些漏洞可能分别被利用来实现数据泄漏或损坏、通过精心构造的相对符号链接路径读取敏感文件，以及触发远程拒绝服务攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护监管机构对一家法国电信巨头处以4800万美元罚款，因其网络安全漏洞导致大规模数据泄露， 2024年10月，一名黑客侵入了法国Free SAS及其姊妹公司Free Mobile的信息系统，获取了包括国际银行账号在内的2400万订阅者的个人数据。 Free SAS是一家主要电信服务提供商，Free Mobile是一家移动网络运营商。两者都是法国Iliad集团的子公司。 数据保护监管机构，即法国国家信息与自由委员会，在数据泄露事件发生后启动了调查，并发现其违反了欧洲的《通用数据保护条例》。 CNIL周三表示，对Free罚款2700万欧元（3100万美元），对Free SAS罚款1500万欧元（1700万美元）。 Iliad集团的一位发言人在一份声明中表示，公司将就这一决定向法国最高行政法院提出上诉。”该决定的严厉程度前所未有，与先前涉及网络攻击的案件相比，所施加的制裁完全不成比例，”声明称。”自2024年10月以来，我们已加强了安全架构，强化了访问控制，并实施了增强的实时监控。我们订阅者的数据受到符合最高安全标准的系统保护。” 根据CNIL的说法，罚款金额受到了被黑数据的敏感性、公司的高额利润以及其”对基本安全原则缺乏了解”的影响。 CNIL表示，公司缺乏足够的安全措施，包括为其VPN连接提供弱认证程序，以及没有有效的措施来检测其信息系统上的异常活动。 公司还违反了GDPR关于泄露通知的要求，没有向受影响客户提供足够的信息，以”直接理解数据泄露的后果，或了解他们可以采取哪些措施来保护自己”。 CNIL还指控，Free Mobile保留了前订阅者的数据，不必要地使其面临风险。 该机构表示，自调查开始以来，公司已采取措施改善其安全性，并被责令继续这样做。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日捣毁了一个名为RedVDS的流行网络犯罪订阅服务平台。据称，仅在美国，该平台就造成了超过4000万美元的诈骗损失。 微软助理总法律顾问史蒂文·正田表示，RedVDS为网络犯罪分子提供了一次性的虚拟计算机，这使得诈骗活动成本低廉、易于扩大规模且难以追踪。 作为一场与欧洲刑警组织和德国当局合作的更广泛国际执法行动的一部分，微软在美国和英国提起了民事诉讼。该公司与执法部门合作，查封了托管RedVDS市场和客户门户的两个域名，并采取措施追查该骗局背后的涉案人员。目前尚未公开任何嫌疑人姓名。 德国州刑事警察查封了一台用于运行RedVDS的服务器，使得该市场平台下线。 “RedVDS是一种在线订阅服务，属于日益增长的’网络犯罪即服务’生态系统的一部分，网络犯罪分子在此买卖服务和工具以大规模发起攻击，”正田说。”它提供对运行未授权软件的廉价、有效、一次性虚拟计算机的访问，使犯罪分子能够快速、匿名地跨境操作。” 网络犯罪分子每月仅需支付24美元即可访问该平台，并利用它发送钓鱼邮件、托管诈骗基础设施等。RedVDS自2019年开始存在，一直通过一家据称位于巴哈马的虚假公司公开运营。大多数客户使用比特币和其他加密货币购买该网站的服务。 正田解释说，仅在一个月内，微软就观察到超过2600个不同的RedVDS虚拟机向微软客户平均每天发送100万条钓鱼信息。虽然大部分信息被拦截，但仍有少量可能到达了目标收件箱。自9月以来，RedVDS支持的攻击”已导致全球超过130,000个组织中的超过191,000个微软电子邮件账户遭到入侵或被欺诈性访问”，他补充道。 微软与两家共同原告方一起提起了民事诉讼以关闭这些平台：一家是位于阿拉巴马州的制药公司H2 Pharma，另一家是佛罗里达州的Gatehouse Dock共管公寓协会。H2 Pharma遭遇的网络犯罪分子利用RedVDS窃取了超过730万美元，而该公寓协会则损失了居民和业主为维修贡献的约50万美元资金。 房地产诈骗 网络犯罪分子通常使用RedVDS进行支付转移欺诈，也称为商业电子邮件入侵。该平台允许威胁行为者侵入电子邮件账户、监控对话，并在支付或电汇发生前将自己插入邮件链中。通过冒充邮件链中的其他参与者，黑客能够在几秒钟内转移资金，远在组织意识到资金发送错误之前。 正田指出，RedVDS一直是房地产支付转移诈骗蔓延的关键推手。网络犯罪分子越来越多地针对房地产经纪人、托管代理或产权公司，窃取人们以为用于支付房屋首付款的数百万美元。”对于家庭和首次购房者来说，后果可能是毁灭性的，一次被转移的支付就可能耗尽毕生积蓄或彻底破坏购房计划，”正田说。”仅房地产领域，微软就观察到RedVDS支持的活动影响了超过9,000名客户，在加拿大和澳大利亚等国影响尤为严重。而且威胁远不止于房地产。RedVDS支持的诈骗已波及建筑、制造、医疗、物流、教育、法律服务等众多行业——扰乱了从生产线到患者护理的方方面面。” 微软观察到网络犯罪分子发送虚假发票或要求更改付款账户的电子邮件，并利用紧迫感迫使受害者尽快汇款。在某些情况下，他们发送虚假的未付发票，要求当天偿还债务。 RedVDS本身并不拥有物理数据中心，而是从美国、加拿大、英国、法国和荷兰的第三方托管提供商那里租用服务器。这使得网络犯罪分子能够从靠近受害者目标的IP地址发起攻击，从而绕过基于地理位置的安全过滤器。 欧洲刑警组织也协助捣毁了支持RedVDS客户的更广泛的服务器和支付网络。 “即用型”平台 微软表示，RedVDS是网络犯罪分子获取基于Windows的远程桌面协议服务器的途径，这些服务器具有完全管理员控制权且无使用限制。该公司最终追查到了数千条被盗凭证、从目标组织窃取的发票、群发邮件工具和钓鱼工具包，它们都指向该平台。 这些网络犯罪分子使用了几种不同的工具来验证大型电子邮件地址数据库、分类和清理邮件列表以及发送批量邮件，所有这些操作都是通过RedVDS实例完成的，他们还使用注重隐私的网页浏览器和VPN来隐藏身份。一些用户甚至部署了ChatGPT和其他OpenAI工具来撰写有说服力的英文电子邮件。 研究人员解释说：”一旦配置完成，这些克隆的Windows主机为攻击者提供了一个即用型平台，用于研究目标、部署钓鱼基础设施、窃取凭证、劫持邮箱，并以最小的阻力执行基于冒充的金融欺诈。威胁行为者受益于RedVDS无限制的管理员访问权限和微乎其微的日志记录，使得他们能够在没有有效监督的情况下操作。RedVDS服务器统一、一次性的特性使网络犯罪分子能够快速迭代攻击活动，自动化大规模投递，并迅速从初始目标选定转移到金融盗窃。” 与RedVDS相关的其他平台能生成PDF或HTML诱饵附件，自动化电子邮件发送周期，并创建看似合法网站的钓鱼域名。在30多天的时间里，微软发现了超过7,300个与RedVDS基础设施相关的IP地址，这些地址共同托管了超过3,700个用于冒充合法平台的域名。 当受害者在这些网站上输入他们的凭证时，RedVDS会协助提取令牌或Cookie，从而使网络犯罪分子能够绕过多因素身份验证。利用窃取的信息，攻击者登录邮箱，搜索任何涉及财务、发票或供应商的对话。 微软表示，这是该公司为关闭网络犯罪基础设施而采取的第35次民事诉讼行动。在2025年秋季，它采取了类似行动关闭了一个名为RaccoonO365的流行服务，该服务被网络犯罪分子用于窃取用户名和密码。至少有一名在尼日利亚的男子因运营RaccoonO365平台被捕。微软观察到的许多使用RaccoonO365钓鱼服务的网络犯罪分子也同时使用了RedVDS。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙能源公司Endesa披露了一起数据泄露事件，大量用户核心信息遭泄露，涵盖联系方式、国民身份证号码及支付相关数据。 Endesa发布公告称：“对此，我们遗憾地通知您，Endesa Energía 检测到一宗安全事件，导致其商业平台遭到未经授权和非法的访问。该事件损害了Endesa Energía负责保管的某些数据的机密性。尽管本公司已实施安全措施，但我们检测到有证据表明，与客户能源合同相关的某些个人数据（遭到了未经授权和非法的访问。” Endesa是西班牙一家主要的跨国电力公用事业公司，也是西班牙最大的电力供应商。该公司发电、配电并销售电力和天然气，在国内为超过1000万客户提供服务。 Endesa是意大利公用事业集团Enel的控股子公司，Enel持有其约70%的股份。该公司约有8900名员工（2024年数据）。2024年，Endesa报告营收213亿欧元，净利润约18.9亿欧元，反映出较前一年强劲的盈利增长。 Endesa Energía 表示，攻击者侵入系统后，可能窃取了用户身份信息、联系方式、国民身份证号码、合同数据，甚至可能包含国际银行账户号码，但用户密码未被泄露。目前，公司已启动安全应急协议，阻断了所有被非法入侵的访问路径，并第一时间向受影响用户及西班牙数据保护局等监管机构进行了通报。针对此次事件的调查仍在与供应商协同推进，系统持续监控工作也在同步进行。 公告最后指出：“截至本通知发布之日，尚无证据显示本次事件涉及的数据被用于欺诈活动，因此该事件对您的合法权益与隐私自由造成高风险影响的可能性较低。即便如此，恶意人员对您个人数据的未授权访问，仍有可能导致您遭遇身份冒充、个人信息被公开泄露，或成为钓鱼诈骗、垃圾信息的攻击目标。” Endesa提醒用户，需警惕各类可疑来电、邮件及信息，如有任何疑虑可拨打客服热线800-760-366咨询。同时切勿向陌生对象泄露个人敏感信息，若怀疑遭遇欺诈行为，应立即通知恩德萨或向执法机关报案。该公司同时确认，目前所有业务与服务均正常运转。 对于此次数据泄露的技术细节，Endesa并未进一步披露。但有威胁攻击者在网络犯罪论坛上宣称，已从该公司窃取了1.05TB的数据。 以下是该威胁攻击者在黑客论坛发布的信息： “我入侵了西班牙最大的电力天然气供应商 —— Endesa！拥有对一切的完全访问权限，这份数据库目前只有我一人掌握。 本帖内容已通过审核，所涉数据经核验真实且独一无二。 价格可议，数据总量达 1,055,950,885,115 字节。 这份全新出炉的 SQL 数据库中，包含超过 2000 万用户的信息，此前从未对外泄露！”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。 在该公司的一份声明中，教元集团表示周六早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。 这家由韩国首富之一张平淳所有的企业集团表示，”已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。” 自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。 教元集团表示，在与其所谓的”专业安全人员”和相关政府机构合作调查”入侵原因、影响范围以及是否有数据受影响”的同时，已将网络下线以”稳定服务并优先保护客户”。 据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。 该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。 该集团网站上的一条横幅声明写道：”如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。” 此前，首尔近期发生了一起涉及该国最大在线零售商Coupang的数据泄露丑闻，据报道是由一名已逃往中国的前员工造成。 这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰上诉法院判处一名44岁黑客7年监禁，罪名是通过入侵欧洲物流枢纽的港口系统，协助可卡因走私进入荷兰。上诉法院将刑期从10年减至7年，理由是该上诉审理过程拖延超过21个月。 检方称，该犯罪团伙通过此手法从鹿特丹港走私进口了210公斤可卡因。该黑客贿赂了一名安特卫普港工作人员，使其插入感染恶意软件的U盘，从而创建了一个后门，远程访问了集装箱、闸门和门禁控制系统。 阿姆斯特丹上诉法院裁定：”被告被判处七年监禁。他犯有协助计算机入侵罪。此举的目的是获取港口系统访问权限，以便在无人察觉的情况下进口毒品，从而为毒品贩运提供便利。被告还犯有协助向荷兰进口210公斤可卡因罪。此外，他犯有企图勒索罪。关于获取和使用SkyECC消息作为证据的辩护被驳回。支持受害方的索赔请求，并判令被告支付连带法律费用。” 根据法庭文件，被告说服了安特卫普一个集装箱码头的一名港口员工，将载有恶意软件的U盘插入工作电脑。该恶意软件创建了一个数字后门，使黑客能够远程访问用于管理集装箱、闸门和人员进出的内部港口系统。 这款恶意软件使该犯罪集团能够秘密远程监控集装箱、操纵闸门并发放准入凭证，该后门在系统中存留数月，期间持续尝试获取管理员权限。调查人员严重依赖从Sky ECC截获的消息，被告在这些消息中详细描述了他对港口系统的控制，并指导同伙进行黑客攻击。 调查人员发现恶意软件在港口系统中隐藏了数月，并反复尝试获取管理员权限。攻击者声称拥有完全控制权，包括准入通行证和闸门。 法院文件指出：”2020年9月18日，在系统AV150081C上安装了一个潜在后门。2020年9月19日至27日期间，攻击者使用了各种权限提升工具，试图控制[受影响方]环境中的一个管理员账户。攻击者使用多种漏洞利用工具进行了多次尝试，这表明他们可能未能成功提升权限。此外，没有证据表明攻击者能够接管具有管理员权限的账户。(…) 此外，有证据表明，2020年9月18日安装的后门至少在2021年4月24日之前一直处于活跃状态。(…) 在2020年9月21日至2020年10月19日期间，威胁行为者多次访问了AV150081C上的Solvo集装箱管理应用程序。” 该团伙窃取并共享了摄像头位置、员工照片和布局图等敏感数据。法官表示，此次黑客攻击旨在支持毒品贩运，严重危及港口安全。 法院认定该男子犯有伪造运输文件和Portbase记录以运送可卡因的罪行。法官还判定该男子犯有企图勒索罪，因其就丢失的可卡因威胁亲属，并以暴力相威胁索要120万欧元。 该被告目前仍被关押在荷兰西部，并已提起另一项上诉。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时综合医院网络AZ Monica遭遇网络攻击，被迫关闭所有服务器，取消预定手术，并转移危重病人。AZ Monica在安特卫普和德尔讷设有两个院区，为当地居民提供急症、门诊及专科医疗服务。 医院在检测到网络攻击后，于今天清晨6点32分断开了系统连接。AZ Monica目前仍在提供紧急护理并治疗现有患者，但由于员工无法访问电子病历，已推迟了非紧急的门诊预约。 “今天早上，AZ Monica的IT系统遭受了严重干扰。作为预防措施，德尔讷和安特卫普两个院区的所有服务器均已主动关闭。”医院发布的一份新闻声明称。”受此情况影响，今日所有计划进行的手术均无法实施。我们已通知所有相关患者。急诊科目前运行能力有限。MUG和PIT服务暂时不可用。门诊照常进行。访客始终欢迎。” 该医疗机构已就此事件展开调查，并通知了警方和检察官办公室。在红十字会的协助下，AZ Monica安全转移了七名危重病人，其他所有患者则继续接受治疗。 “我们的急诊科目前以较低容量运行。救护车不会将患者转运至我院急诊科。因此，如果您需要紧急护理，请尽可能联系您的全科医生、非工作时间全科医生诊所或其他急诊服务机构。”一份网络事件更新公告写道。 AZ Monica未透露事件的具体细节。《布鲁塞尔时报》报道了有关勒索要求的未经证实说法，但当局和医院官员均未予以确认。 医院强调，患者安全和护理的连续性是当前的首要任务，正在密切监测情况，并将提供进一步的信息更新。 针对医院的网络攻击极其危险，因为它们可能扰乱关键的医疗服务，危及患者生命。医院依赖数字系统处理病历、检验和治疗，系统中断会延误紧急护理。这类攻击还可能暴露敏感的患者数据，并迫使医院分流病人，从而给整个医疗服务体系带来更大压力。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文