HackerNews 编译，转载请注明出处： 尼日利亚当局宣布逮捕了三名“知名网络诈骗嫌疑人”，据称他们参与了针对大型企业的钓鱼攻击，其中包括RaccoonO365钓鱼即服务计划的主要开发者。 尼日利亚警察部队国家网络犯罪中心表示，在与微软和联邦调查局的合作调查下，确认了奥基蒂皮·塞缪尔（又名摩西·费利克斯）是该钓鱼基础设施的主要嫌疑人和开发者。 “调查显示，他运营着一个Telegram频道，通过该频道出售钓鱼链接以换取加密货币，并利用窃取或欺诈获得的邮箱凭证在Cloudflare上托管欺诈性登录门户。”尼日利亚警方在社交媒体上发布的帖子中称。 此外，在对他们住所进行的搜查行动中，查获了与该活动相关的笔记本电脑、移动设备和其他数字设备。据尼日利亚警方称，另外两名被捕者与该钓鱼即服务的创建或运营无关。逮捕行动是在拉各斯州和埃多州进行的突击搜查后执行的。 RaccoonO365是一个以经济利益为动机的威胁组织及其钓鱼即服务工具包的名称，该工具包使攻击者能够通过模仿微软365登录页面的钓鱼页面进行凭证窃取攻击。微软在追踪该威胁组织时将其命名为Storm-2246。 早在2025年9月，这家科技巨头就表示与Cloudflare合作，查封了RaccoonO365使用的338个域名。据估计，自2024年7月以来，归因于该工具包的钓鱼基础设施已导致来自94个国家的至少5000个微软凭证被盗。 尼日利亚警方称，RaccoonO365被用来建立欺诈性的微软登录门户，旨在窃取用户凭证，并利用这些凭证非法访问企业、金融机构和教育机构的邮箱平台。联合调查发现了2025年1月至9月期间多起未经授权的微软365账户访问事件，这些事件源于模仿合法微软身份验证页面的钓鱼消息。 尼日利亚警方补充说，这些活动导致了跨多个司法管辖区的商业邮箱入侵、数据泄露和经济损失。 微软和Health-ISAC在9月提起的民事诉讼指控被告约书亚·奥贡迪佩和另外四名化名被告“出售、分发、购买和实施”该钓鱼工具包，以推动复杂的鱼叉式钓鱼并窃取敏感信息，从而运营网络犯罪活动。 诉讼称，被盗数据随后被用来助长更多网络犯罪，包括商业邮箱入侵、金融诈骗、勒索软件攻击，以及侵犯知识产权。 诉讼还指认奥贡迪佩是该行动的幕后主使。他目前下落不明。当被要求置评时，微软发言人告诉The Hacker News，调查正在进行中。 事态发展的同时，谷歌起诉了Darcula钓鱼即服务的运营者，将中国公民张宇程指认为该组织的头目，并列出另外24名成员。谷歌正寻求法院命令，查封该组织背后的服务器基础设施，这些基础设施一直是一波冒充美国政府机构的大规模短信钓鱼活动的源头。 据挪威广播公司和网络安全公司Mnemonic的调查，Darcula及其同伙估计窃取了近90万张信用卡号码，其中近4万张来自美国人。该中文钓鱼工具包于2023年7月首次出现。 该诉讼的消息由NBC新闻于2025年12月17日首次报道。事态发展距离谷歌起诉与另一个名为Lighthouse的钓鱼即服务相关的、据信已影响超过120个国家100万用户的、位于中国的黑客，仅过去一个多月。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 包括华擎、华硕、技嘉和微星在内的多家主板制造商的部分型号产品，存在一个安全漏洞，可能导致其受到早期启动阶段直接内存访问攻击的影响。该漏洞涉及采用统一可扩展固件接口和输入输出内存管理单元架构的系统。 UEFI和IOMMU旨在提供安全基础，防止外围设备进行未授权的内存访问，从而有效确保支持DMA的设备在操作系统加载前无法操控或探查系统内存。 该漏洞由Riot Games的尼克·彼得森和穆罕默德·阿尔-沙里菲在某些UEFI实现中发现，其根源在于DMA保护状态存在不一致。虽然固件显示DMA保护已启用，但在关键的启动阶段，固件未能正确配置并启用IOMMU。 “这一缺陷允许具有物理访问权限的恶意PCIe设备，在操作系统级防护建立之前，读取或修改系统内存，”CERT协调中心在一份公告中表示。“因此，攻击者可能访问内存中的敏感数据，或影响系统的初始状态，从而破坏启动过程的完整性。” 成功利用该漏洞，物理在场的攻击者可以在运行未修补固件的受影响系统上，在操作系统内核及其安全功能加载之前，通过DMA事务启用预启动代码注入，并访问或篡改系统内存。 导致早期启动内存保护被绕过的漏洞如下： CVE-2025-14304 ：影响华擎、华擎服务器及华擎工业主板，涉及Intel 500、600、700和800系列芯片组。 CVE-2025-11901 ：影响华硕主板，涉及Intel Z490、W480、B460、H410、Z590、B560、H510、Z690、B660、W680、Z790、B760及W790系列芯片组。 CVE-2025-14302 ：影响技嘉主板，涉及Intel Z890、W880、Q870、B860、H810、Z790、B760、Z690、Q670、B660、H610、W790系列芯片组，以及AMD X870E、X870、B850、B840、X670、B650、A620、A620A和TRX50系列芯片组。 CVE-2025-14303 ：影响微星主板，涉及Intel 600和700系列芯片组。 受影响的供应商已发布固件更新，以纠正IOMMU初始化顺序并在整个启动过程中强制执行DMA保护。终端用户和管理员必须在更新可用后尽快应用，以防范威胁。 “在无法完全控制或依赖物理访问的环境中，及时打补丁并遵循硬件安全最佳实践尤为重要，”CERT/CC表示。“由于IOMMU在虚拟化和云环境中的隔离与信任委派方面也扮演着基础角色，此漏洞突显了确保正确配置固件的重要性，即使对于通常不在数据中心使用的系统也是如此。” Riot Games在另一篇帖子中表示，该关键漏洞可被用于注入代码，并补充说明了在机器上运行的操作系统启动其安全控制之前，如何操控与早期启动序列相关的特权状态。 “这个问题可能导致硬件作弊工具可能在不被察觉的情况下注入代码，即使主机上的安全设置看似已启用，”阿尔-沙里菲将其描述为一个“‘沉睡的保镖’问题”。 虽然预启动DMA保护旨在通过IOMMU在启动序列早期防止恶意DMA访问系统内存，但该漏洞源于固件错误地向操作系统发出信号，表明此功能已完全启用，而实际上固件在早期启动期间未能正确初始化IOMMU。 “这意味着，尽管BIOS中‘预启动DMA保护’设置看似已启用，但底层的硬件实现在启动过程的最初几秒并未完全初始化IOMMU，”阿尔-沙里菲补充道。“本质上，系统的‘保镖’看似在岗，但实际上却在椅子上睡着了。因此，当系统完全加载后，它无法100%确信没有通过DMA注入破坏完整性的代码。” 这个短暂的利用窗口可能为“复杂的硬件作弊工具”打开大门，使其能够进入系统、获得提升的权限并隐藏自身，而不触发任何警报。“通过堵上这个预启动漏洞，我们正在消除一整类此前无法触及的作弊手段，并显著提高不公平游戏的成本，”Riot Games指出。 尽管此漏洞是从游戏行业的角度被描述的，但其安全风险延伸到任何可能滥用物理访问权限来注入恶意代码的攻击。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 悉尼大学披露一起数据泄露事件：黑客入侵该校一个内部代码库后，导致数万名教职工、学生及校友的个人信息泄露。 该校表示，上周在其 IT 团队使用的在线代码仓库中发现了这一事件，并迅速采取了系统安全加固措施。该平台主要用于软件开发，但同时存储了一个已停用系统的历史数据，包含截至 2018 年 9 月该校员工的姓名、出生日期、电话号码、家庭住址及工作相关详细信息。 副校长妮可・高尔（Nicole Gower）称，目前尚无证据表明泄露数据已被滥用或公开。 “我们正积极监测数据是否存在被使用或公开的迹象，一旦发生此类情况，将立即通知相关人员，” 她表示。 该校内部调查正在进行中，预计将持续至明年。学校已向相关政府部门通报了此事。官方称，此次泄露仅限于单个平台，未影响其他校园系统，黑客身份目前仍不明朗。 初步调查结果显示，泄露数据包括约 2.05 万名现任及前任教职工、关联人员的个人信息，以及 2010 年至 2019 年的历史数据集 —— 涉及约 5000 名学生、校友及 6 名学校支持者的相关信息。 悉尼大学是澳大利亚历史最悠久的公立研究型高校之一，现有学生超 7 万人，教职工约 8000 人。该校曾在 2023 年报告过一起网络安全事件，当时因第三方服务提供商出现安全问题，导致近期入学的国际申请者数据泄露。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 丹麦国防情报局在一份新闻稿中指出：“经评估，2024 年对丹麦某自来水厂发动破坏性网络攻击的亲俄组织 Z-Pentest与俄罗斯政府存在关联；2025年丹麦市镇及地区议会选举前夕，对丹麦境内网站发起DDoS攻击的无名者NoName057(16)组织，同样与俄方存在关联。俄罗斯政府将这两个组织作为针对西方混合战争的抓手，意在通过攻击制造目标国的社会不安，并报复这些国家对乌克兰的支持。” 混合战争是一种国家结合军事和非军事手段来削弱或破坏对手，而不宣战的策略。它通常混合了以下元素： 网络行动（黑客攻击、蓄意破坏、数据泄露） 虚假信息与舆论宣传 经济施压（规避制裁、能源牵制） 政治干预（操纵选举、影响力渗透） 利用代理人（黑客激进分子、雇佣兵、犯罪集团） 有限度或可否认的军事行动 混合战争的目的是制造局势不确定性、扰乱社会秩序、削弱公众对政府机构的信任、迫使对手付出代价，同时保持行动的 “合理推诿空间”，避免引发常规武装冲突。 丹麦情报部门指出，俄方借选举之机发动攻击以博取公众关注，这一伎俩在欧洲多国均有出现。自2022年俄罗斯对乌克兰发起特别军事行动以来，丹麦始终通过制裁、军事援助、人员培训及财政支持等方式为乌克兰提供援助。 丹麦国防大臣谴责上述网络攻击行为，称其“完全不可接受”。他特别提及2024年12月发生在丹麦克厄市的一起事件——黑客篡改了当地水务设施的水泵压力参数，最终导致管道爆裂。 伦德・鲍尔森表示：“这是一个明确的信号——我们一直警惕的混合战，如今已真实发生在我们身边。这一事件再次让人们聚焦欧洲当前所处的严峻局势。俄罗斯方面在丹麦境内实施混合攻击，是绝对不可接受的行径。” 丹麦官员表示，近期发生的多起网络攻击及无人机侵扰事件虽未造成大规模破坏，但暴露了本国在安全防护方面的重大漏洞。他们坦言，丹麦目前尚未做好充分准备，应对来自俄罗斯的混合攻击。 今年3月，受欧洲地区网络威胁升温影响，丹麦已将本国电信行业的网络间谍威胁等级从中等上调至高级。 丹麦社会保障局发布了一份针对电信行业的全新网络威胁评估报告，重点强调了欧洲电信企业面临的风险隐患。 国家级黑客组织常将电信运营商作为网络间谍活动的目标，通过入侵其系统获取用户数据、监控通信内容，并可能以此为跳板发动后续网络或实体攻击。 该评估报告指出，在针对海外电信行业的网络攻击中，国家级黑客已展现出对电信基础设施及通信协议的深厚技术掌握能力。 丹麦关键基础设施计算机安全事件应急响应小组（SektorCERT）曾通报，2023年5月，丹麦遭遇了该国历史上规模最大的关键基础设施网络攻击事件。 首轮攻击于当年5月11日发起，短暂停歇后，第二轮攻击在5月22日接踵而至，该应急响应小组也是在这一天监测到攻击活动。 据该机构披露，共有22家能源基础设施企业的网络系统遭到威胁行为体入侵，其中11家企业的系统被直接攻破。攻击者利用了丹麦众多关键基础设施运营商使用的Zyxel防火墙中的零日漏洞实施攻击。 专家分析认为，此次攻击由多个威胁行为体协同发起，其中至少有一个团伙与俄罗斯关联组织Sandworm存在渊源。 国际态势 近期，美国网络安全与基础设施安全局及多国合作伙伴发出预警：亲俄黑客激进组织正对全球范围内的关键基础设施展开积极攻击。 诸如CARR、Z-Pentest及NoName057(16)等亲俄黑客激进组织，常利用安全防护薄弱的虚拟网络控制台连接，入侵关键基础设施中的运营技术设备，造成不同程度的破坏，部分攻击甚至引发实体损伤。这些组织的攻击目标主要集中在水务、食品、农业及能源领域，其攻击手段的技术复杂度和攻击造成的影响，均低于高级持续性威胁组织。 FBI、CISA、NSA及多国合作机构联合发布的一份预警报告指出：“此次网络安全预警是对2025年5月6日CISA联合情况说明书《降低运营技术网络威胁的主要缓解措施》，以及欧洲刑警组织网络犯罪中心‘东木行动’内容的补充。在上述两份文件中，CISA、FBI、美国能源部、美国环境保护署与欧洲刑警组织网络犯罪中心，曾联合披露针对全球及美国关键基础设施运营技术和工业控制系统的网络攻击事件相关信息。” CARR曾对美国水务系统及洛杉矶一家肉类加工厂发动攻击，造成泄漏、外溢等实体损害。有证据显示，这些攻击活动由俄罗斯联邦武装力量总参谋部情报总局授意资助，攻击目标直指关键基础设施与选举场所。一名化名为Cyber_1ce_Killer的俄罗斯总参谋部情报总局关联人员，不仅直接指挥CARR的攻击目标选择、出资雇佣DDoS服务，其本身也是该组织的核心成员。 美国国务院已悬赏征集相关线索：提供CARR组织成员信息者，最高可获200万美元赏金；提供NoName057(16)组织关联人员线索者，赏金上限高达1000万美元。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  随着威胁行为者发起大规模的虚假在线零售商店攻击活动，2025年假日购物季面临着重大的网络安全威胁。这些欺诈性域名旨在冒充全球知名品牌，诱骗毫无戒心的消费者泄露敏感的财务信息或下载恶意软件。 该行动组织严密，利用自动化工具大量生产仿冒网站，高度模仿Zalando、Birkenstock和IKEA等合法零售商的观感。这一恶意活动利用了超过200个新注册的域名网络，这些域名主要通过中国基础设施提供商建立。犯罪分子利用”黑色星期五”、”双十一”等活动期间激增的在线购物流量，企图最大限度地扩大其影响范围。攻击途径包括在TikTok和Facebook等平台进行社交媒体推广，将用户引诱至这些虚假店铺。 一旦受害者访问这些网站，通常会看到仿冒的结账系统，用于窃取信用卡信息或将他们重定向至恶意载荷。 Bfore.ai的分析师于2025年11月发现了这一活动，并指出其依赖于隐私保护的WHOIS数据来隐藏攻击者身份。研究人员强调，该活动显示出”工业化”欺诈模式的迹象，不同活动集群可追溯到特定的托管服务提供商和自治系统。这种复杂的基础设施使攻击者能够在旧域名被检测和下线时，迅速转向并部署新域名。 对消费者的影响是严重的，除了直接的经济损失外，还可能涉及潜在的身份盗窃。该活动的规模表明，其背后是一个拥有资源以维持长期攻击的经济动机团伙。 欺骗性诱饵与规避技术 该活动采用多种欺骗性策略来规避检测并操纵用户信任。一种值得注意的方法是”议题导向”活动，即重新利用像”peaceforsecurity[.]com”这样的域名来销售时尚商品。此战术可能旨在通过使用与典型零售欺诈无关的关键词来绕过安全过滤器。 另一种技术通过混合品牌名称来制造混淆，例如一个推广无关护发产品的”lululemonsalehub”域名。这些不一致之处可以在利用品牌知名度的同时迷惑用户。此外，攻击者使用填充了无意义名称和”免运费”优惠的通用模板来营造合法性假象。 技术分析揭示了使用相同的JavaScript库和结账URL模式，例如： /collections/all /products/item123 最后，通过像”mango-flashsale[.]com”这样的域名制造季节性紧迫感，模仿合法的促销活动以促使用户仓促决策。 这些复杂的诱饵，加上共享的名称服务器和后端基础设施，展示了现代零售钓鱼活动不断演变的复杂性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款流行的WordPress主题中发现安全漏洞，该漏洞可能允许权限最低的已登录用户获得受影响网站的完全控制权。 该问题涉及一个任意文件上传漏洞，允许”订阅者”及以上级别的用户安装并激活插件，从而可能执行恶意代码。Motors主题是一款广泛用于汽车网站的WordPress解决方案，包括汽车经销商、车辆租赁平台和分类信息列表网站。由StylemixThemes开发，目前拥有超过20，000个活跃安装。 此漏洞影响5.6.81及以下版本，已分配编号CVE-2025-64374。漏洞由Patchstack Alliance社区的成员Denver Jackson发现并负责任地报告。漏洞存在于一个允许通过后端功能安装插件的AJAX处理程序中。虽然该功能使用随机数（nonce）进行请求验证，但缺乏适当的权限检查。 由于”订阅者”级别的用户可以从WordPress管理界面获取该随机数值，任何已登录用户都可以提供任意的插件URL。这使得恶意插件可以被上传和激活，最终导致网站被完全控制。Patchstack指出，这反映了WordPress组件中普遍存在的一个更广泛的问题。随机数的设计目的是防止请求伪造，而非强制执行访问控制。 WordPress开发者文档建议：”切勿依赖随机数进行身份验证、授权或访问控制。请使用current_user_can()函数保护您的功能，并始终假设随机数可能被泄露。” 该问题已在Motors 5.6.82版本中修复，该版本引入了current_user_can权限检查。这确保了只有授权用户才能触发插件的安装和激活过程。该补丁于11月3日发布，此前在9月已向供应商披露。PatchStack今天发布的公告为开发者和网站所有者强调了几个关键教训： 仅靠随机数不足以保护特权功能 所有修改网站的操作都应执行严格的权限检查 绝不能默认假设已登录用户是可信的 强烈建议运行Motors主题的网站所有者更新至5.6.82或更高版本以降低风险。未能应用此更新将使网站暴露于WordPress最严重的漏洞类别之一。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国技术公司DXS International披露了一起影响其内部系统的网络安全事件。该公司的软件在英国国家医疗服务体系（NHS）中广泛使用。 该公司在向伦敦证券交易所发布的通知中称，于12月14日发现其办公服务器遭到未经授权的访问。DXS表示已控制住此次入侵，其临床服务始终未受影响且保持正常运行。 目前尚无NHS患者数据是否泄露的确认信息，但该公司表示已通知英国数据保护监管机构信息专员办公室（ICO）。对于患者数据是否受影响的问题，NHS英格兰的一位发言人未立即回应置评请求。 DXS表示调查仍在进行中，正与NHS网络安全团队及外部专家合作，”他们正在进行彻底调查，以确定事件的性质和范围”。公司补充称，目前认为此事不会对其财务状况造成重大不利影响。 该公司为全英格兰的全科医生诊所和初级保健网络提供临床决策支持和转诊管理工具。其产品与NHS核心系统集成。据公司自身声明，其支持了英格兰约10%的NHS转诊，软件涉及数百万注册患者的工作流程。DXS并非核心电子健康记录提供商，也不存储中心医疗记录，但患者数据会由其用于向医疗保健提供者提供临床指导的部分系统进行处理。 并非孤立事件 此次事件发生之际，人们对英国卫生技术供应商遭受攻击的担忧日益加剧。此类事件凸显了即使第三方系统不托管核心记录，其遭受攻击也可能对运营产生影响。 去年，病理学供应商Synnovis遭受勒索软件攻击后，据信至少有一名患者死亡，数千例手术和预约被取消。2022年，软件供应商Advanced遭受的另一起勒索软件攻击导致用于分诊非紧急但急需医疗电话的NHS 111关键服务暂时关闭。在那次事件中，由于IT系统受影响，医生、护士和其他工作人员被迫使用纸笔完成工作，引发了英国政府的COBR危机管理会议，官员们担心攻击可能对患者护理造成影响。Advanced随后因安全漏洞被ICO罚款300万英镑。 英国现行的网络安全法规并未自动将DXS等第三方卫生IT供应商纳入要求其满足特定安全标准的条款。政府上个月向议会提交了具有里程碑意义的《网络安全与韧性法案》，威胁对未能保护自身免受网络攻击的公司处以高额罚款。根据该法案，为包括医疗保健在内的关键领域提供IT管理服务的公司可能会被纳入监管范围。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  被称为Kimsuky的朝鲜威胁行为者，被证实与一场新的攻击活动有关。该活动通过伪装成总部位于首尔的物流公司CJ Logistics（前身为CJ Korea Express）的钓鱼网站上托管的二维码，分发一种名为DocSwap的安卓恶意软件新变种。 韩国网络安全公司ENKI表示：”该威胁行为者利用二维码和通知弹窗，诱使受害者在移动设备上安装并执行恶意软件。该恶意应用程序会解密一个内嵌的加密APK文件，并启动一个提供远程访问木马功能的恶意服务。由于安卓系统默认阻止安装来源不明的应用并显示安全警告，威胁行为者声称该应用是安全、官方的版本，以此欺骗受害者忽略警告并安装恶意软件。” 据该公司称，其中一些恶意软件伪装成包裹快递服务应用。据评估，威胁行为者正在使用冒充快递公司的短信钓鱼或钓鱼邮件，诱骗收件人点击托管着恶意应用的恶意网址。 这次攻击的一个值得注意的特点是使用基于二维码的移动重定向。当用户从桌面电脑访问网址时，会提示他们在安卓设备上扫描页面显示的二维码，以安装所谓的包裹追踪应用并查询状态。该二维码设计用于将用户重定向到”tracking.php”脚本，该脚本实现服务器端逻辑，检查浏览器的User-Agent字符串，并显示一条消息，借口因所谓的”国际海关安全政策”需要验证身份，敦促他们安装”安全模块”。 如果受害者继续安装该应用，便会从服务器（”27.102.137[.]181″）下载一个APK包（”SecDelivery.apk”）。然后，该APK文件会解密并加载嵌入其资源中的加密APK，以启动新版本的DocSwap，但在此之前会先确认其已获得读取和管理外部存储、访问互联网以及安装其他软件包的必要权限。 ENKI表示：”一旦确认所有权限，它会立即将新加载APK的MainService注册为’com.delivery.security.MainService’。在服务注册的同时，基础应用程序会启动AuthActivity。该活动伪装成一次性密码（OTP）认证界面，并使用快递单号验证用户身份。” 快递单号在APK中硬编码为”742938128549″，很可能与恶意网址在初始访问阶段一同传递。一旦用户输入提供的快递单号，应用程序将生成一个随机的六位数验证码并作为通知显示，随后提示用户输入生成的验证码。 验证码一经输入，应用程序就会打开一个指向合法网址“www.cjlogistics[.]com/ko/tool/parcel/tracking”的WebView。与此同时，木马会在后台连接到攻击者控制的服务器（”27.102.137[.]181:50005″），并接收多达57条命令，使其能够记录键盘输入、捕获音频、开始/停止摄像头录制、执行文件操作、运行命令、上传/下载文件，以及收集位置信息、短信、联系人、通话记录和已安装应用列表。 ENKI表示，还发现了另外两个伪装样本：一个是P2B空投应用，另一个是被木马化的合法VPN程序BYCOM VPN（”com.bycomsolutions.bycomvpn”）的版本。该VPN程序在Google Play商店中提供，由一家名为Bycom Solutions的印度IT服务公司开发。安全公司补充道：”这表明威胁行为者向合法的APK中注入了恶意功能，并重新打包用于攻击。” 对威胁行为者基础设施的进一步分析，发现了模仿韩国Naver和Kakao等平台的钓鱼网站，旨在窃取用户凭证。这些网站被发现与先前Kimsuky针对Naver用户的凭证窃取活动存在关联。 ENKI表示：”执行的恶意软件会启动一个RAT服务，类似于过去的案例，但展示了进化的能力，例如使用新的原生函数来解密内部APK，并融合了多种伪装行为。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： HPE已修复其OneView软件中的一个最高严重性安全漏洞，如果被成功利用，可能导致远程代码执行。 这个被标记为CVE-2025-37164的关键漏洞，其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件，旨在简化IT运营并通过集中式仪表板界面控制系统。 HPE在本周发布的公告中表示：”已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用，允许远程未经身份验证的用户执行远程代码执行。” 该漏洞影响11.00版本之前的所有软件版本，而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。 值得注意的是，从6.60或更高版本升级到7.00.00版本后，或在执行任何HPE Synergy Composer重镜像操作后，必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2，提供了单独的热修复补丁。 尽管HPE未提及该漏洞在野外被利用的情况，但用户尽快应用补丁以获得最佳保护至关重要。 今年6月初，该公司还发布了更新，修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞，这些漏洞可能导致身份验证绕过和远程代码执行。此外，还发布了OneView 10.00版本，以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜相关联的黑客组织，已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中，该组织窃取金额至少达 20.2 亿美元。 区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示，这一数字较2024年的13亿美元增加6.81亿美元，同比增幅达 51%。该公司指出：“就被盗金额而言，2025年是朝鲜加密货币盗窃史上最严重的一年，其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前，朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。” 在朝鲜窃取的20.2亿美元中，仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor（又名 Jade Sleet、Slow Pisces）的黑客集群。哈德逊・罗克本月初发布的分析报告显示，一台感染了 Lumma Stealer恶意软件的设备，因关联邮箱 “trevorgreer9312@gmail [.] com”的存在，被证实与Bybit黑客攻击的基础设施相关联。 此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月，韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗，此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局，据估计，2020年至2023年间，该组织通过超25次加密货币盗窃，窃取了至少2亿美元。 黑客组织的双重作案策略 作为全球最活跃的黑客组织之一，朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者，以高薪工作为诱饵，诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性：一是收集敏感数据，二是规避国际制裁，为朝鲜政权赚取非法收入。 朝鲜黑客采用的第二种策略是，通过虚假身份或专门设立的幌子公司，将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限，为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出：“2025年盗窃金额创纪录，部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透，这种方式能加速初始访问和横向移动，为大规模盗窃铺路。” 资金洗白路径与相关案件判决 无论使用何种方法，被盗资金都会通过中文的钱款转移和担保服务，以及跨链桥、混币器和Huione等专门市场进行洗钱。此外，被盗资产遵循一种结构化的、多阶段的洗钱路径，该路径大约在黑客攻击后的45天内展开： 第一阶段：即时分层（0-5 天）—— 利用去中心化金融协议和混币服务，迅速将资金与盗窃源头脱钩； 第二阶段：初步整合（6-10 天）—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥； 第三阶段：最终整合（20-45 天）—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。 Chainalysis 表示：“朝鲜黑客大量使用专业中文洗钱服务和场外交易商，这表明他们与亚太地区的非法行为者联系紧密，也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。” 与此同时，美国司法部披露，马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划，被判处 15 个月监禁。2021 年至 2024 年间，该男子伪装其教育背景、培训经历和工作经验，成功受雇于至少 13 家美国公司，包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。 美国司法部表示：”Vong与他人合谋，包括一名住在沈阳、化名为William James的外国国民，欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后，Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。 值得注意的是，朝鲜关联黑客的 IT 人员渗透策略正发生转变：他们越来越多地以招聘者身份，通过 Upwork、Freelancer 等平台招募合作者，以扩大运作规模。 Security Alliance上月发布的报告指出：“这些招聘者会按照固定话术接触目标，寻求‘合作者’帮助投标和交付项目，并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中，受害者最终会交出自由职业者账户的完全访问权限，或安装 AnyDesk、Chrome 远程桌面等远程控制工具，这使得黑客能够以受害者的已验证身份和 IP 地址运作，规避平台审核并开展非法活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文