HackerNews 编译，转载请注明出处： 绰号为银狐的威胁行为者将攻击目标转向印度，在钓鱼攻击活动中利用个人所得税相关诱饵，分发一款名为谷鼠远程控制木马（又名 “温诺斯 4.0”）的模块化远程控制木马。 CloudSEK研究员普拉杰沃尔・阿瓦斯 thi 与库希克・帕尔在上周发布的分析报告中指出：“此次精密攻击采用了包含动态链接库劫持与模块化谷鼠远程控制木马在内的复杂攻击链，以此确保恶意程序能够长期驻留目标设备。” 银狐黑客组织另有 “游蛇”“山谷大盗”“UTG-Q-1000”“虚空蜘蛛” 等多个追踪代号，该组织是一个源自中国的激进网络犯罪团伙，自 2022 年起便持续活跃。 该组织实施的攻击活动类型多样，动机涵盖间谍活动、情报搜集、经济牟利、虚拟货币挖矿以及业务运营干扰等多个方面，是少数采用多元化攻击手段开展入侵行动的黑客团伙之一。 银狐的攻击目标最初以中文用户及相关机构为主，如今已拓展至公共、金融、医疗、科技等多个行业的机构。该组织主要借助搜索引擎优化投毒与钓鱼攻击两种方式，投放谷鼠远程控制木马、幽灵变种木马、牵手木马（又名 “幽灵文件木马”）等多款幽灵远程控制木马变种。 云安科梳理的攻击感染链条显示，攻击者会发送伪装成印度所得税部门的钓鱼邮件，邮件附件为诱饵 PDF 文件。用户一旦打开该 PDF，就会被引导至 “ggwk [.] cc” 恶意域名，进而下载一个名为 “税务事宜.zip” 的压缩包。 该压缩包内包含一个同名的 Nullsoft 脚本安装程序（“税务事宜.exe”），该程序会借助迅雷公司开发的 Windows 下载管理器 “迅雷.exe” 这一合法可执行文件，以及一个被恶意植入的动态链接库文件 “libexpat.dll” 实现加载运行。 这款恶意动态链接库文件会先执行多种反分析与反沙箱检测操作，确保恶意软件能在受感染主机上不受阻碍地运行，随后会关闭 Windows 更新服务，并充当 “甜甜圈加载器” 的载体，最终将谷鼠远程控制木马的最终有效载荷注入被掏空的 “资源管理器.exe” 进程中。 谷鼠远程控制木马可与外部控制服务器建立通信并等待后续指令，其采用插件化架构，能够灵活扩展功能，支持攻击者实施键盘记录、凭据窃取以及防御规避等操作。 云安科表示：“常驻于注册表的插件与延迟信标机制，使这款远程控制木马在设备重启后仍能存活，同时保持较低的隐蔽性特征。按需模块投递功能则允许攻击者根据受害者的身份与价值，开展针对性的凭据窃取与监视活动。” 与此同时，英国国家计算机应急响应小组指出，他们发现了银狐黑客组织用于追踪恶意安装程序下载活动的暴露链接管理面板（“ssl3 [.] space”）。该面板针对多款常用软件（包括微软团队办公软件）的恶意安装程序进行下载量统计，具体包含以下信息： 托管后门安装程序的恶意网页 钓鱼网站下载按钮的日点击量 下载按钮自上线以来的累计点击量 调查发现，银狐搭建的虚假网站仿冒了云聊、飞连 VPN、微软团队、开源 VPN、切切、三条、信号、西瓜视频、截图工具、搜狗、电报、远程桌面工具、金山办公、有道云笔记等多款知名应用。对下载链接来源 IP 地址的分析显示，至少有 217 次点击来自中国，其次为美国（39 次）、中国香港（29 次）、中国台湾（11 次）以及澳大利亚（7 次）。 该机构研究员狄龙・阿什莫尔与阿舍・格鲁表示：“银狐借助搜索引擎优化投毒手段，分发了至少 20 款常用应用的后门安装程序，涵盖通讯工具、虚拟专用网络以及办公生产力软件等类别。这些恶意程序主要针对中国境内的中文用户及机构，攻击最早可追溯至 2025 年 7 月，同时在亚太、欧洲、北美等地区也造成了额外的受害案例。” 通过这些虚假网站分发的压缩包内，包含一个基于 Nullsoft 脚本的安装程序。该程序会将微软防御杀毒软件加入排除列表，通过计划任务实现恶意程序持久化，随后连接远程服务器获取谷鼠远程控制木马的有效载荷。 值得注意的是，瑞利奎斯特公司近期发布的一份报告指出，银狐黑客组织在针对中国境内机构发起攻击时，曾仿冒俄罗斯威胁行为者的攻击特征，并使用与微软团队相关的钓鱼诱饵网站，试图混淆攻击溯源方向。 英国国家计算机应急响应小组强调：“该管理面板的数据显示，来自中国内地的点击量达数百次，且受害者遍布亚太、欧洲、北美等多个地区，这印证了此次攻击活动的波及范围之广，以及其针对中文用户的精准战略定位。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 欧洲航天局在周二发布的官方声明中披露：“近期，我局察觉到一起网络安全事件，涉事服务器均位于本机构企业外网。我们已启动安全取证分析工作，目前工作正在进行中，同时已采取相关措施，对所有可能受影响的设备进行安全加固。” 欧洲航天局强调，此次事件影响范围有限。“截至目前的分析结果显示，仅有极少数外网服务器可能受到波及。这些服务器主要用于支撑科学界非涉密合作工程项目的开展。所有相关利益相关方均已收到通知，后续一旦掌握更多信息，我们将第一时间发布更新公告。” 关于此次攻击的入侵路径、实施主体以及被窃取的数据，相关细节目前仍十分匮乏。欧洲航天局明确表示，涉事服务器均处于其核心企业防御体系之外，这类服务器很可能由第三方合作机构托管，主要用于对地观测、行星探测等航天任务的联合研究工作。 尽管这些服务器存储的均为非涉密数据，但平台内往往包含工程设计图纸、仿真模拟数据以及遥测数据等内容。这些信息虽不涉密，却可能间接帮助敌对势力锁定航天基础设施的攻击目标。 安全警醒 网络安全专家认为，此次事件为航天领域敲响了警钟。“国家级黑客组织经常针对航天机构展开侦察，以窃取知识产权。” CyberSpace Watch的威胁情报分析师埃琳娜・瓦斯奎兹博士表示，“即便是‘非涉密’数据，也可能成为供应链攻击的助力，2023 年俄乌冲突期间发生的Viasat黑客攻击事件就是典型例证。” 欧洲航天局表示，此次事件未对核心业务造成干扰，阿丽亚娜 6 型火箭发射任务、欧几里得望远镜数据处理工作等均正常推进。不过，其科学界合作伙伴，包括各大高校以及空中客车公司等私营企业，可能需要就终端安全问题接受严格审查。 随着安全取证工作的持续推进，欧洲航天局此番公开透明的应对态度或有助于提升公众信任，但同时也凸显出，在拓展型网络中构建零信任安全架构的必要性已迫在眉睫。当前，欧盟层面出台航天网络安全强制规范的呼声日益高涨，欧洲航天局承诺将尽快发布后续进展。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一组影响多款主流蓝牙耳机及耳塞设备的高危漏洞。黑客利用这些漏洞，可窃听用户通话、盗取敏感数据，甚至直接劫持与之配对的智能手机。 这组漏洞的编号分别为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，主要影响搭载络达（Airoha）蓝牙系统级芯片 的设备。索尼、Bose、JBL、Marshall、Jabra等多家主流音频设备厂商的产品均采用该芯片。 漏洞编号 漏洞名称 通用漏洞评分系统（CVSS）评分 CVE-2025-20700 低功耗蓝牙（BLE）认证缺失漏洞 8.8 CVE-2025-20701 传统蓝牙认证缺失漏洞 8.8 CVE-2025-20702 RACE 协议远程代码执行 / 任意读取漏洞 9.6 研究人员最初于 2025 年 6 月披露了这些漏洞，为设备厂商留出了开发安全补丁的时间。 然而时隔半年，仍有大量设备未完成补丁推送。为此，研究人员公开发布了漏洞完整技术细节，同时配套发布了一份白皮书及RACE 工具包—— 用户和安全专业人员可借助该工具检测自身设备是否存在漏洞风险。 络达是蓝牙系统级芯片领域的核心供应商，其产品尤其广泛应用于真无线立体声（TWS）耳塞设备。该公司向各大厂商提供芯片参考设计方案及软件开发工具包（SDK），厂商基于此进行产品集成与功能开发。 ERNW 安全研究团队发现，搭载络达芯片的设备会通过低功耗蓝牙、传统蓝牙、通用串行总线人机接口设备等多种接口，开放一款名为RACE 的自定义协议。 RACE 协议最初设计用途为工厂调试与固件更新，具备强大的底层操作能力，支持对设备闪存和随机存取存储器的任意地址进行读写操作。 CVE-2025-20700 漏洞：存在于低功耗蓝牙的通用属性配置文件（GATT）服务中，核心问题是认证机制缺失。黑客无需与耳机配对，即可在蓝牙信号覆盖范围内发现并连接存在漏洞的设备，静默获取 RACE 协议的访问权限。这类连接通常不会向用户推送任何通知，攻击过程具备完全隐蔽性。 CVE-2025-20701 漏洞：针对传统蓝牙连接的认证机制缺陷。尽管这类连接有时更容易被用户察觉，甚至可能造成音频播放中断，但黑客可利用未授权访问权限建立双向音频连接，借助耳机的免提配置文件（HFP），通过设备麦克风实现窃听。 CVE-2025-20702 漏洞：聚焦于 RACE 协议本身暴露的高危功能。 通过该漏洞，黑客可发送特定指令获取设备信息、读取闪存页面、对 RAM 执行任意读写操作，还能提取设备的传统蓝牙地址。这些操作足以让黑客对设备进行永久性篡改，并窃取其中的敏感配置数据。 从耳机蔓延至智能手机 这组漏洞最严重的危害在于，黑客可通过漏洞链攻击，实现对配对智能手机的入侵。攻击流程如下：首先，黑客通过低功耗蓝牙或传统蓝牙连接附近存在漏洞的耳机；随后利用 RACE 协议导出设备闪存中的数据。 闪存中存储着设备的配对列表，包含所有曾配对设备的信息，其中就有耳机与智能手机之间用于双向认证的加密链路密钥（Link Key）。 一旦获取该链路密钥，黑客即可伪装成受信任的耳机设备，以特权身份连接受害者的智能手机。 ERNW 研究团队指出，这种攻击方式可衍生多种攻击路径：提取受害者的手机号码与通讯录信息；唤醒苹果智能语音助手（Siri）或谷歌智能语音助手，发送信息或拨打电话；劫持来电通话；甚至利用手机内置麦克风建立窃听连接。 研究人员通过概念验证攻击，成功入侵了受害者的 WhatsApp 及亚马逊账户，直观印证了这些漏洞的真实危害程度。 目前，研究人员已确认多款热门设备存在漏洞，但受影响产品的完整清单尚未完全明确。 已核实存在漏洞的设备包括：索尼 WH 系列与 WF 系列多款耳机（含旗舰型号 WH-1000XM5 和 WF-1000XM5）、博士消噪耳塞、杰宝 LIVE Buds 3、马歇尔 MAJOR V 与 MINOR IV，以及拜雅（Beyerdynamic）、捷波朗、德斐尔（Teufel）等品牌的多款机型。 部分厂商已发布修复漏洞的固件更新。其中捷波朗的信息披露最为透明，不仅在其安全中心公开列出受影响设备型号，还在固件更新说明中标注了对应的漏洞编号。马歇尔和拜雅也已推送相关更新，但不同厂商的信息公开程度差异显著。 安全建议 用户层面：应立即通过设备厂商官方应用或官网，为蓝牙耳机安装最新固件更新。记者、外交官、政界人士等高危目标人群，建议暂时改用有线耳机，彻底规避蓝牙攻击风险；同时需定期查看手机蓝牙配对列表，移除不常用的配对设备，减少链路密钥泄露的潜在风险。 厂商层面：必须立即应用络达提供的软件开发工具包安全补丁，并在产品上市前开展全面的安全评估。遵循成熟的蓝牙安全测试方法论，可有效避免同类漏洞在后续产品中复现。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年圣诞节期间，一场协同攻击行动爆发，黑客针对 Adobe ColdFusion 服务器及其他 47 种以上技术平台发起了超 250 万次恶意请求。 经调查，此次攻击由单一威胁攻击者发起，其攻击基础设施位于日本境内。这表明攻击者正开展大规模漏洞扫描行动，目标既包括最新暴露的漏洞，也涵盖了近 20 年间的遗留漏洞。 在针对 ColdFusion 服务器的专项攻击阶段，攻击者利用了 2023-2024 年间披露的 10 余个高危漏洞（CVE 编号），其中圣诞节当天的攻击流量峰值占比高达 68%。攻击者特意选择节假日发起攻击，此时企业安全团队人手不足、防护能力下降，显然是有意利用这一监控空档期。 此次攻击共波及全球 20 个国家的 ColdFusion 服务器，相关恶意请求约 5940 次，其中美国地区的攻击会话占比达 68%。 攻击流量主要来自 CTG 服务器有限公司托管的两个核心 IP 地址，分别是 134.122.136.119 与 134.122.136.96。 攻击技术细节 该威胁攻击者借助 ProjectDiscovery Interactsh这一带外测试平台，验证攻击是否成功生效，并在 oast.pro、oast.site 及 oast.me 等服务上部署了近 1 万个独立的带外测试域名，用于接收攻击回调信息。 攻击者采用的核心攻击路径为WDDX 反序列化漏洞，进而触发Java 命名和目录接口 / 轻量级目录访问协议注入（JNDI/LDAP 注入） 攻击，攻击目标直指 com.sun.rowset.JdbcRowSetImpl 这一 Java 组件调用链。值得注意的是，针对 ColdFusion 服务器的攻击仅占此次大规模行动的 0.2%。 对整个攻击行动的全面分析显示，攻击者对 Java 应用服务器、Web 框架、内容管理系统平台及企业级应用中的 767 个不同漏洞展开了系统性侦察。其中，攻击频率最高的两个漏洞分别是 Confluence 的 OGNL 注入漏洞（CVE-2022-26134），遭 12481 次攻击；以及 “破壳” 漏洞（Shellshock，CVE-2014-6271），遭 8527 次攻击。 网络指纹分析结果显示，此次攻击共出现 4118 个独立的 JA4H HTTP 签名，这意味着攻击者很可能使用了 “Nuclei” 等框架开展模板化扫描。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的勒索软件团伙宣称，已从马萨诸塞州一家拥有 75 年历史的会计事务所窃取了纳税申报数据和社保号码，目前正静待受害者支付赎金。 随着报税季日益临近，网络犯罪分子正加紧对纳税人和会计事务所发起攻击。 此次遭到攻击的是马萨诸塞州老牌会计事务所CSA 税务咨询公司，该公司主营税务相关服务，而发起攻击的正是Lynx勒索软件团伙。 12 月 26 日，该团伙在暗网的数据泄露网站发布公告，声称已窃取这家公司及其客户的相关数据。这种公开窃取数据的行为，是勒索软件团伙逼迫受害者支付赎金的惯用手段，此次Lynx团伙显然也是故技重施。该团伙在其网站上声称，他们的行事宗旨是避免对目标机构造成不必要的损害。 其公告中写道：“我们的运作模式倡导通过沟通协商解决问题，而非制造混乱与破坏。” 截至目前，CSA 税务咨询公司尚未公开证实此次数据泄露事件。cybernews已就此联系该公司寻求置评，目前仍在等待回应。 据称遭窃取的数据包含哪些内容？ 为证实攻击属实，该团伙公布了据称是这家公司的数据截图。cybernews对这些数据样本进行核查后发现，被盗数据可能包含以下信息： 完整姓名 社会保障号码 实际居住地址 配偶医疗保险承保协议 服务发票 个人所得税申报数据 美国国税局电子申报签名授权表 企业内部通信记录 若这些数据被证实真实有效，CSA 税务咨询公司的客户将面临钓鱼攻击和身份盗用的风险。 cybernews研究团队表示：“这类数据会让钓鱼攻击极具迷惑性。试想一下，当有人打电话给你，不仅知道你的住址、配偶姓名，还掌握你近期报税的具体细节，你很容易就会相信对方。” 山猫勒索软件团伙是什么来头？ 该团伙于 2024 年年中首次进入公众视野，采用勒索软件即服务 的运营模式，主攻金融、建筑和制造行业的机构。 据cybernews自主研发的监控工具 Ransomlooker监测数据显示，自 2024 年以来，该团伙已将 294 家机构列为攻击目标，是勒索软件领域的主要作恶势力之一。 此前，该团伙曾宣称入侵了医疗巨头亨利・谢恩公司旗下的 TriMed 医疗子公司，并在暗网上泄露了其敏感数据，这一事件后续得到了 TriMed 公司的证实。 该团伙还宣称，英国知名建筑企业多德集团是其近期的攻击目标之一。 今年 9 月，Lynx团伙声称从美国最大的寿司及海鲜供应商真世界集团有限责任公司窃取了数据。 除此之外，据称遭到该团伙攻击的目标还包括达乐公司、美国第二大鸡蛋生产商玫瑰园农场，以及哥伦比亚广播公司旗下的主要附属电视台WDEF 电视台。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 大韩航空的机上配餐及免税品供应商 —— 大韩航空配餐免税服务公司（KC&D）遭遇黑客攻击，导致约 3 万名大韩航空员工的个人信息泄露，大韩航空因此陷入数据安全危机。 大韩航空是韩国的国家航空公司，同时也是亚洲规模最大的航空公司之一，运营着覆盖全球的客运与货运航线。该航企在全球范围内拥有约 1.8 万至 2 万名员工，航线网络连通各大洲多个目的地。2024 年，大韩航空承运旅客超 2300 万人次；截至 2025 年，其旅客运输量已突破 1600 万人次。大韩航空拥有一支现代化的庞大机队，以首尔主要机场为枢纽，搭建起密集的国际、国内航线网络。 据《韩国中央日报》援引消息人士报道，大韩航空已发布内部通知称，KC&D 公司已就其员工个人信息相关的安全漏洞事件进行通报。 大韩航空强调，此次网络安全事件未涉及任何客户数据泄露。 通知中指出：“2020 年从本公司拆分独立运营的机上配餐及机上零售企业 ——KC&D 服务公司，近期遭到境外黑客组织攻击。经核实，存储在该公司企业资源规划服务器中的本公司员工个人信息（姓名、银行账号）已发生泄露。本公司近期收到 KC&D 服务公司的相关通报后，方才获悉此事。尽管该事件发生于已拆分出售的外部合作企业的管理范围内，但鉴于涉及本公司员工信息，公司对此高度重视。” 大韩航空表示，在获悉数据泄露事件后，已立即启动应急安全措施，向有关部门进行报案，并正全力排查事件影响范围及受波及员工名单。该航企确认目前无更多员工数据泄露，但同时提醒全体员工警惕可疑信息。后续公司将为员工提供进一步指导与支持，并全面审查与合作方的安全协议，杜绝类似事件再次发生。 大韩航空副会长禹基洪在致员工的公开信中表示：“即便此次事件源于已剥离的第三方合作商，但鉴于涉及员工数据，大韩航空对此高度重视。目前，公司正集中全部力量，排查数据泄露的完整范围及具体受影响人员。” 大韩航空已向相关主管部门进行通报，同时正开展调查工作，以明确数据泄露的具体范围及泄露信息的针对性目标。 大韩航空并未指明发起此次攻击的具体黑客组织，但早在今年 11 月，Clop勒索软件团伙就已宣称对 KC&D 公司的攻击负责。该团伙不仅将 KC&D 公司列入其洋葱网络数据泄露网站，还公开了据称是窃取所得的数据。 自今年 8 月初以来，Clop勒索软件团伙一直利用甲骨文  EBS的高危零日漏洞CVE-2025-61882实施攻击，从全球多家机构窃取敏感数据，受影响对象包括美国特使航空、哈佛大学、《华盛顿邮报》、罗技公司、宾夕法尼亚大学以及凤凰城大学等。  Cl0p是一个活跃的俄语勒索软件即服务（RaaS）团伙，专攻 “大鱼狩猎” 式攻击，惯用 “双重勒索” 手段牟利。 该团伙于 2019 年 2 月左右首次出现在网络威胁视野中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起便活跃在网络空间的、以牟利为目的的黑客组织。 与其他俄罗斯背景的黑客组织类似， Cl0p团伙不会将前苏联国家列为攻击目标，且其恶意软件无法在主要使用俄语的计算机系统上激活运行。 该团伙的操作员及附属人员会锁定高价值目标，窃取敏感数据、加密目标网络，随后在数据泄露网站上公布窃取的文件，以此向受害者施压，迫使其支付赎金。克洛普团伙擅长利用零日漏洞及存在安全隐患的第三方软件（如 MOVEit 文件传输工具、GoAnywhere 安全文件传输软件、甲骨文企业业务套件等）发起攻击，同时借助 “初始访问中间人” 及自动化工具，并运用复杂的规避检测与横向移动技术，最大限度扩大攻击影响、提升勒索收益。 克洛普团伙的攻击目标遍布全球，其中包括壳牌公司、英国航空公司、庞巴迪公司、科罗拉多大学、普华永道会计师事务所及英国广播公司（BBC）等知名机构。 该团伙曾策划多起大规模攻击行动，包括： 2020-2021 年 安讯奔（Accellion）文件传输应用攻击事件：利用这款文件传输设备中的零日漏洞，窃取了约 100 家机构的数据。 2023 年 GoAnywhere 安全文件传输软件攻击事件：针对该软件存在的漏洞（CVE-2023-0669）发起攻击，致使超 130 家机构的系统遭到入侵。 2023 年 MOVEit 文件传输工具攻击事件：这是历史上规模最大的勒索软件攻击事件之一，该团伙利用 SQL 注入零日漏洞（CVE-2023-34362）发动攻击，影响了全球数百家企业，其中不乏美国与欧洲的知名公司。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 26 日，罗马尼亚最大燃煤电力生产商 —— 奥尔特尼亚能源综合体遭受勒索软件攻击，其信息技术系统陷入瘫痪。 奥尔特尼亚能源综合体（简称奥能综合体）是罗马尼亚主要的国有褐煤开采及燃煤发电企业，在罗维纳里、图尔切尼、克拉约瓦三地运营着 12 座发电机组，总装机容量达 3570 兆瓦；同时下辖 15 座露天矿，年褐煤产量约 1500 万至 1800 万吨。该企业现有员工约 1 万人（较此前的 1.5 万人有所缩减），服务于数十万至数百万量级的电力批发及零售客户；2017 年营收约为 9.4 亿欧元，在业务重组后实现了近期盈利。面对欧盟绿色转型政策要求，该企业正投入 14 亿欧元发展光伏发电与天然气发电项目，以保障基础电力供应安全。 2025 年 12 月 26 日，该企业检测到 Gentlemen勒索软件攻击，此次攻击导致大量文件被加密，企业资源规划系统（ERP）、电子邮箱及官方网站等核心信息技术系统均受干扰。尽管公司部分业务运转受到波及，但这家罗马尼亚能源供应商强调，全国能源供应未受影响。奥尔特尼亚能源综合体已对受影响系统进行隔离，并向罗马尼亚国家网络安全局、能源部等相关部门通报情况。 信息技术团队已着手在新的基础设施上，通过备份数据恢复各项服务，而此次事件的影响范围以及是否存在数据泄露问题，目前仍在调查之中。 该企业发布的声明称：“2025 年 12 月 26 日凌晨 1 时 40 分左右，我方检测到一起名为 Gentlemen勒索软件网络攻击，此次攻击对奥尔特尼亚能源综合体的业务信息技术基础设施造成影响。” 声明还指出：“攻击发生后，部分文档和文件被加密，多个计算机应用程序暂时无法使用，其中包括企业资源规划系统、文件管理应用、电子邮件服务及公司官网。公司业务运营受到部分影响，但未对国家能源系统的稳定运行构成威胁。” 目前，该企业正就此次事件展开调查，以确定安全漏洞的波及范围和具体严重程度。尚无法确认攻击者是否从奥尔特尼亚能源综合体窃取了数据。 此外，该企业已向罗马尼亚有组织犯罪与恐怖主义调查局提起刑事诉讼。 截至本文发稿时， Gentlemen勒索软件团伙尚未将这家罗马尼亚能源企业列入其洋葱网络数据泄露网站，这一情况或表明双方正处于赎金谈判阶段。 近期，罗马尼亚国家水利管理局同样遭遇了勒索软件攻击。 据罗马尼亚国家网络安全局通报，此次攻击影响了该局总部及 11 个地区分局中的 10 个分局，波及约 1000 台计算机系统。地理信息系统服务器、数据库、电子邮件、网络服务、Windows 工作站以及域名服务器等多项信息技术资产均受干扰。 有关部门强调，负责水利基础设施管控的运营技术系统未受攻击影响，水利业务运转一切正常。 参与事件调查的政府专家证实，攻击者使用Windows BitLocker 加密功能对系统实施加密，并发布勒索通知，要求受害者在 7 日内与其取得联系。不过，目前此次攻击的传播途径尚未查明。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国两家银行近日相继发声，提醒客户其信息受到了今年 8 月一起针对知名金融软件公司的勒索软件攻击影响。 工匠银行与维拉银行上周向缅因州监管机构通报，近期发生的数据泄露事件，源头正是Marquis Software遭遇的网络攻击。这家软件公司此前曾披露，约在 8 月 14 日遭受勒索软件攻击，导致数十家企业客户及数千名下游用户受到波及。 维拉银行在致受害者的信函中说明，Marquis Software是该行 “客户沟通与数据分析服务商”。 这家总部位于得克萨斯州的银行表示：“该服务商有权访问你的相关数据，一方面用于向你推送重要的必要信息更新，另一方面也用于分析何种银行产品与服务最契合你的需求。我们是在服务商签订数据安全保护相关合同后，才向其开放数据访问权限的。” 此次事件共导致 37318 人的信息被盗，但信函中并未提及具体失窃的信息内容。 总部位于特拉华州的工匠银行透露，该行于 10 月收到Marquis Software的事件通知，经核查发现，有 32344 人的姓名及社会保障号码因这次网络攻击泄露。 两家银行均强调，黑客并未入侵银行自身系统，被盗信息均为 “由Marquis Software负责维护的数据”。 Marquis Software为美国数百家信用社及银行提供数据分析、合规解决方案与数字营销工具，维拉银行和工匠银行是最新一批披露受该公司攻击事件波及的下游金融机构。 Marquis Software在其发布的事件公告中表示，公司于 8 月发现攻击后，已第一时间向联邦执法部门报案。 经调查，此次入侵的根源是其梭子鱼防火墙设备存在安全漏洞。该公司称，被盗的个人信息包括姓名、住址、电话号码、社会保障号码、纳税人识别号、不含安全码或访问码的金融账户信息，以及出生日期。 10 月 27 日至 11 月 25 日期间，Marquis Software已通知至少 74 家银行、信用社及金融机构，告知其信息涉及本次数据泄露。除了向缅因州、南卡罗来纳州、华盛顿州、艾奥瓦州等多地监管机构提交自身的事件报告外，该公司还代多家金融机构发布了数据泄露通知。 对于受影响金融机构数量是否持续增加、以及受害者总人数等问题，马奎斯软件未回应置评请求。 多家律所及网络安全研究人员通过汇总多州数据泄露登记系统的受害者统计数据推算，此次事件的受害者人数或在 78.8 万至 135 万之间。 网络安全公司 “比较科技” 还获取到了一封已被删除的泄露通知函，该函件来自艾奥瓦州的第一社区信用社，其中提到Marquis Software已向发起此次攻击的黑客组织支付了赎金。 针对赎金支付相关问题，Marquis Software同样未予置评。目前，尚无任何勒索软件团伙公开宣称对此次攻击负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者注册了一个与 Microsoft Activation Scripts（MAS）工具极其相似的域名，通过拼写错误诱导用户下载恶意 PowerShell 脚本，进而感染 Windows 系统，植入名为 Cosmali Loader 的加载器。 昨日，Reddit 上多名 MAS 用户发帖称，系统突然弹出警告窗口，提示已感染“Cosmali Loader”： 你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。 该恶意软件的面板未设权限，任何访问者都能控制你的电脑。 请重装系统，下次别再打错。 想验证是否中毒，打开任务管理器查看可疑 PowerShell 进程即可。 合法 MAS 官方地址为 get.activated.win，攻击者仅去掉一个字母 d，注册相似域名 get.activate[.]win，专等用户手滑输错。 安全研究员 RussianPanda 发现，这些弹窗与开源 Cosmali Loader 有关，其功能包括投递挖矿程序与远程控制木马 XWorm。 目前尚不清楚是谁向受害者推送了“好心警告”，推测有白帽潜入恶意软件控制面板，借其广播功能提醒中招用户。 MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合，可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具，项目方也已发公告提醒用户核对网址、谨慎输入命令。 安全建议 不执行看不懂的远程命令 先在沙箱测试 尽量复制粘贴，避免手打误入钓鱼域 非官方激活器历来常被用来带毒，务必三思 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   育碧旗下战术射击游戏《彩虹六号：围攻》（R6）发生安全事件：攻击者滥用内部系统，随意封禁/解封玩家、篡改封禁公告，并向全球账号发放巨额游戏货币与全部外观物品。 据玩家截图与社区反馈，黑客至少实现了以下操作： 任意封禁或解封玩家账号 在滚动封禁公告中插入伪造信息 给所有玩家发放约 20 亿点 R6 点券 与声望 解锁全部外观，含仅限开发者的内部皮肤 R6 点券为官方商城出售的付费货币，定价 15,000 点券 ≈ $99.99，因此 20 亿点券价值约 1,333 万美元。 周六上午 9:10，@Rainbow6Game 官方账号发推承认“发现问题，团队正在处理”。 随后育碧主动关闭游戏服务器及内置商城：“为确保修复，Siege 与 Marketplace 已暂时下线。” 最终公告明确三点： 玩家不会因花掉被发放的点券而受到处罚； 所有自 UTC 11:00 起的交易将被回滚； 滚动封禁信息并非官方生成，该功能早已禁用。 目前服务器仍处维护状态，育碧尚未发布正式事故报告，也未回复 BleepingComputer 的置评邮件。 更大规模入侵传闻 VX-Underground 称，有多个互无关联的黑客组织宣称已深入育碧基础设施： 组织 A：仅利用 R6 服务操纵封禁与库存，未触碰用户数据； 组织 B：借助近期公开的 MongoDB 漏洞 CVE-2025-14847（MongoBleed），从暴露实例中提取内存凭据，进而进入育碧内部 Git，声称窃取自 1990 年代至今的全部源代码； 组织 C：同样利用 MongoBleed 拿到用户数据，正向育碧勒索； 组织 D：反驳部分说法，称“组织 B 拿到源码已有一段时间”。 BleepingComputer 尚无法独立验证上述声明，包括 MongoBleed 是否被利用、源码或用户数据是否泄露。 目前可确认的范围仅限于《彩虹六号：围攻》游戏内异常。 若育碧后续披露更多信息，我们将持续更新。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文