HackerNews 编译，转载请注明出处： OpenAI 向部分用户发出警告，分析公司 Mixpanel 遭遇网络攻击，可能导致这些用户的数据泄露。 Mixpanel 是一款产品分析平台，企业可通过该平台了解用户与自身应用或网站的交互情况。众多科技公司借助 Mixpanel 收集数据，为功能优化、性能提升及用户旅程设计等决策提供依据。 OpenAI 就 Mixpanel 数据泄露事件向部分用户告知潜在风险。这家分析服务提供商于 11 月 8 日检测到一起钓鱼短信攻击，但试图淡化此次安全事件的严重性，称其仅影响少数客户。 OpenAI 表示，自身系统未遭入侵，ChatGPT 对话记录、提示词、API 数据、密码、密钥及支付信息均保持安全。攻击者实际窃取的是 Mixpanel 中有限的数据集，包含来自 platform.openai.com 的用户档案详情 —— 姓名、邮箱地址、大致地理位置、操作系统 / 浏览器信息、机构或用户 ID，以及引荐网站。OpenAI 提醒，这些数据可能被用于钓鱼攻击和社会工程学诈骗。 OpenAI 声明：“作为安全调查的一部分，我们已在生产环境中移除 Mixpanel 服务，核查了受影响数据集，并正与 Mixpanel 及其他合作伙伴密切合作，以全面了解事件详情及影响范围。我们正在直接通知受影响的机构、管理员及用户。目前尚未发现证据表明 Mixpanel 环境外的系统或数据受到影响，但我们会持续密切监控是否存在滥用风险。” 相应地，OpenAI 已在生产环境中停用 Mixpanel，核查了受影响数据，并在通知相关用户及机构的同时，持续监控数据滥用情况。 Mixpanel 在数据泄露通知中称：“2025 年 11 月 8 日，Mixpanel 检测到一起钓鱼短信攻击，并立即启动了事件响应流程。我们采取了全面措施遏制并清除未授权访问，保障受影响用户账户的安全。同时，我们已联合外部网络安全合作伙伴开展漏洞修复及事件响应工作。” Mixpanel 采取了多项措施保障系统安全并保护受影响客户：加固遭入侵的账户，撤销所有活跃会话，更换泄露的凭证；封禁攻击相关的恶意 IP 地址，并在安全监控平台中添加攻击特征指标。 为强化内部安全，Mixpanel 要求所有员工重置全球范围内的账户密码，聘请第三方取证团队协助遏制攻击并清理风险；同时对受影响账户的身份验证日志、会话日志及导出日志进行了详细的取证分析。 为防范类似事件再次发生，Mixpanel 已部署新的安全控制措施，旨在未来能检测并拦截此类恶意活动。该公司目前正与执法部门及外部网络安全顾问合作推进相关工作。 已收到 Mixpanel 通知的客户应遵照邮件中的指示操作；未收到任何通知的用户则未受此次事件影响，无需采取进一步措施。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕发布新版固件，修复了包括 AiCloud 功能启用路由器中存在的高危身份验证绕过漏洞在内的多个安全问题。 该公司此次共修复 9 个安全漏洞，其中高危身份验证绕过漏洞编号为 CVE-2025-59366（CVSS 评分 9.2 分），影响所有启用 AiCloud 功能的路由器设备。 华硕在安全公告中表示：“研究人员已报告华硕路由器存在潜在漏洞，华硕已针对这些问题推出缓解措施。为保护您的设备安全，华硕强烈建议所有用户立即将路由器固件更新至最新版本。” AiCloud 是华硕多款路由器内置的远程访问功能，可让设备充当个人云服务器，支持远程媒体流传输和云存储服务。 公告指出：“AiCloud 存在身份验证绕过漏洞，该漏洞可通过 Samba 功能的意外副作用触发，可能导致攻击者在未获得适当授权的情况下执行特定功能。” 华硕建议用户更新 2025 年 10 月发布的路由器固件，涉及型号及对应修复漏洞如下： 固件版本系列 修复漏洞编号 3.0.0.4_386 系列 CVE-2025-59365、CVE-2025-59366、CVE-2025-59368、CVE-2025-59369、CVE-2025-59370、CVE-2025-59371、CVE-2025-59372、CVE-2025-12003 3.0.0.4_388 系列 上述全部漏洞 3.0.0.6_102 系列 上述全部漏洞 针对已停止支持（停产）的路由器型号，华硕也提供了临时缓解建议：为路由器登录账户和 WiFi 设置高强度唯一密码；禁用所有面向互联网的服务以降低暴露风险，包括 AiCloud、广域网远程访问、端口转发、动态域名解析、VPN服务器、非军事区、端口触发和文件传输协议（FTP）等功能。 已停止支持的华硕路由器是黑客 bot 网络的主要攻击目标。近期，名为 “Operation WrtHug” 的新型攻击活动已 compromise 全球数万台过时或停产的华硕路由器，受影响设备主要集中在中国台湾地区、美国和俄罗斯，这些设备被黑客纳入大型恶意网络。 攻击者利用了华硕路由器的多个漏洞实施攻击，包括操作系统命令注入漏洞（CVE-2023-41345 至 CVE-2023-41348）、任意命令执行漏洞（CVE-2024-12912）和身份验证不当漏洞（CVE-2025-2492），并以 AiCloud 服务作为初始入侵入口。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 消息显示，伦敦多家地方政府正应对一起严重的网络安全事件。 肯辛顿—切尔西皇家自治市市政厅发布声明称，其与威斯敏斯特市市政厅针对周一上午发现的一起网络安全事件展开处置工作。 两家市政厅已向英国信息专员办公室报备该事件，并联合英国国家网络安全中心推进事件应急处置工作。 肯辛顿—切尔西皇家自治市市政厅表示：“目前两家机构的多个系统均受影响，其中包括电话线路。若遇紧急情况，可通过官网联系方式页面顶端的号码与市政厅取得联系。” “我们正调配更多资源处理此次事件，并对邮件和电话线路进行实时监控。同时，市政厅已启动业务连续性及应急方案，确保向市民持续提供核心公共服务，重点保障弱势群体的相关需求。” 该市政厅透露，其信息技术团队彻夜工作，成功采取多项风险缓解措施。 由于肯辛顿—切尔西皇家自治市市政厅与威斯敏斯特市市政厅共用多个信息技术系统和服务，这或许是两家机构同时遭攻击的原因。该市政厅还指出，哈默史密斯—富勒姆区市政厅同样与这两家共用部分信息技术服务，当地消息称该机构也受到此次事件波及。 哈克尼区市政厅虽未直接受此次事件影响，但有消息称，该机构本周已将内部网络安全威胁等级上调至 “极高”，并向工作人员下发备忘录，提醒其警惕钓鱼攻击。 肯辛顿 – 切尔西皇家自治市市政厅在声明末尾称：“我们将继续联合网络安全专家及英国国家网络安全中心，尽快恢复所有系统的正常运转。后续如有更多消息，将及时对外公布。” 伦敦市政机构成网络攻击高发目标 近年来，伦敦地方政府频繁成为勒索软件团伙的攻击目标。与英国多地的地方政府一样，伦敦这些市政机构普遍存在资源不足问题，老旧信息技术系统缺乏妥善防护，同时网络安全专业人才也十分紧缺。 这类问题往往会对公共服务造成严重影响。此前哈克尼区市政厅就因存在重大防护疏漏，于 2020 年遭遇勒索软件攻击，导致至少 28 万市民的信息泄露，该机构去年已因此遭到英国信息专员办公室的追责。据悉，那次攻击造成的系统恢复成本高达 1200 多万英镑（约合 1560 万美元）。 瞻博网络欧洲、中东和非洲地区副总裁斯宾塞・斯塔基表示，网络攻击者或将在 2026 年持续针对政府机构发动攻击，以此削弱公众对数字化公共服务的信任度。 他补充道：“在当前数字化服务高度互联的经济环境下，单个节点遭受攻击就可能引发整个系统的连锁反应。” “若不在现代化防御体系上加大投入，尤其是针对人工智能驱动型威胁的识别与防御技术，2026 年英国或将发生多起大规模服务中断事件，数百万民众及企业都将受到影响。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OnSolve CodeRED 是一款基于云的紧急警报系统，被美国州级和地方政府广泛应用于快速推送关键通知。该系统支持警方、消防部门及公共安全机构通过电话、短信、电子邮件和移动设备警报等方式发送地理靶向预警，助力社区在紧急情况下及时获取信息并快速响应。 得克萨斯州大学公园市通报称，其第三方警报系统 CodeRED 遭遇网络安全事件。某网络犯罪组织破坏了该服务，且可能获取了用户数据，包括联系方式和账户密码。 “作为预防措施，我们特此告知居民，本市使用的第三方紧急警报系统 CodeRED 近期发生网络安全事件。我们已收到通知，某网络犯罪组织针对该系统发起攻击，导致服务中断，部分用户数据可能已泄露。此次事件未影响本市任何系统或服务，仅局限于 CodeRED 软件本身。” 该市发布的紧急通知中写道。 “泄露数据包括 CodeRED 用户的基本联系方式 —— 如姓名、地址、电子邮件地址、电话号码，以及用于创建 CodeRED 账户的密码。如果您在其他账户中使用了与 CodeRED 相同的密码，我们强烈建议您立即更改。由于 CodeRED 不收集用户财务信息，因此不会对任何财务数据造成影响。” 该市指出，其内部系统未受影响，提醒用户更改重复使用的密码。调查人员目前尚未在网上发现任何被盗数据。该市正计划替换 CodeRED，迁移至更安全的新型警报平台。 “CodeRED 方面告知我们，尽管有迹象表明系统数据已被窃取，但目前尚无证据显示这些信息已被上传至网上。不过，我们需提醒居民，这些数据未来可能会被泄露。” 通知继续说道，“本市的 CodeRED 账户已停用，工作人员正与供应商合作迁移至新的紧急警报平台。请知悉，保护您的个人信息是我们的首要任务，我们将通过与提供安全可靠系统的供应商合作，致力于保障您的数据安全。” 该市透露，供应商已推出全新的 CodeRED 系统，该系统搭建于独立且未受入侵的环境中。供应商已完成全面安全审计，并聘请外部专家开展渗透测试与系统加固工作。此次事件发生于 11 月，影响的是已停用的旧版 CodeRED 平台，目前供应商正将所有客户迁移至新平台。相关部门建议用户更改在其他平台重复使用的密码。 供应商尚未披露此次安全漏洞的技术细节及受影响人数。不过，INC 勒索软件组织已宣称对该攻击负责。 “谈判过程中，OnSolve 将其客户数据及自身声誉估值为 10 万美元，这促使我们公开此次攻击事件。2025 年 11 月 1 日，我们成功入侵其基础设施；11 月 10 日，我们对其文件进行了加密。显然，他们并未向相关部门报告此事。这两个.csv 文件是 db.txt 中所列数据库包含数据的示例，由于该公司不重视其客户及自身声誉，我们正将这些数据挂牌出售。” 该勒索软件组织在其 Tor 泄露站点上发布的声明中写道。 INC 勒索软件组织自 2023 年起开始活跃，迄今已宣称对数十家机构的入侵事件负责，包括美国施乐公司（Xerox Corp）、OnePoint Patient Care 临终关怀药房，以及苏格兰国家医疗服务体系（NHS）。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 Chrome 网上应用店发现一款新型恶意扩展程序，其可在 Raydium 兑换交易中秘密注入 Solana 转账操作，并将资金转移至攻击者控制的加密货币钱包。 这款名为 Crypto Copilot 的扩展程序由用户 “sjclark76” 于 2024 年 5 月 7 日首次发布。开发者称该浏览器插件支持 “在 X 平台直接交易加密货币，提供实时洞察与无缝执行体验”。目前该扩展程序已有 12 次安装量，截至发稿时仍可下载。 攻击技术细节 “该扩展程序在界面背后，会在每笔 Solana 兑换交易中注入额外转账操作，窃取至少 0.0013 枚 SOL（Solana 代币）或交易金额的 0.05%，并转入硬编码在程序中的攻击者控制钱包，”Socket 安全研究员库什・潘迪亚在周二发布的报告中表示。 具体而言，该扩展程序包含混淆代码，当用户执行 Raydium 兑换时，这些代码会被激活，通过篡改交易流程在同一签名交易中注入未披露的 SOL 转账操作。Raydium 是基于 Solana 区块链构建的去中心化交易所与自动化做市商。 攻击原理为：在请求用户签名前，向每笔兑换交易附加隐藏的 SystemProgram.transfer 工具方法，将手续费转入代码中嵌入的硬编码钱包。手续费按交易金额计算：交易金额对应的手续费低于 0.0013 SOL 时，按最低 0.0013 SOL 收取；超过 2.6 SOL 时，收取 2.6 SOL 与兑换金额 0.05% 中的较高值。为躲避检测，攻击者通过代码压缩、变量重命名等技术隐藏恶意行为。 该扩展程序还与托管在 “crypto-coplilot-dashboard.vercel [.] app” 域名的后端服务器通信，用于注册已连接钱包、获取积分与推荐数据及上报用户活动。该域名与 “cryptocopilot [.] app” 均未提供任何真实产品服务。 攻击核心特征 此次攻击的显著特点是用户完全不知情：界面仅显示兑换交易详情，对隐藏平台费无任何提示。此外，Crypto Copilot 借助 DexScreener、Helius RPC 等合法服务，营造可信假象。 “由于该转账操作是秘密添加的，且资金转入个人钱包而非协议国库，大多数用户除非在签名前检查每一项交易指令，否则永远不会发现异常，” 潘迪亚指出，“相关配套基础设施的设计目的，仅为通过 Chrome 网上应用店审核并营造合法表象，同时在后台窃取手续费。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国金融行业遭遇一起精密供应链攻击，攻击者最终部署了麒麟勒索软件。 “该行动整合了大型勒索软件即服务组织麒麟的攻击能力，可能有朝鲜国家关联行为者参与，攻击初始入口为托管服务提供商入侵，” Bitdefender在分享给The Hacker News的报告中表示。 麒麟已成为 2025 年最活跃的勒索软件组织之一，该 RaaS 团伙在 10 月呈现 “爆发式增长”，宣称攻击了 180 多个受害者。据英国国家网络安全中心数据，该组织发起的攻击占全球勒索软件攻击总量的 29%。 这家罗马尼亚网络安全公司表示，2025 年 9 月发现韩国勒索软件受害者数量异常激增 —— 当月韩国以 25 起案例成为全球第二大受影响国家（仅次于美国），而 2024 年 9 月至 2025 年 8 月期间，韩国每月平均仅约 2 起受害者案例，因此决定深入调查。 进一步分析显示，这 25 起案例均独家归因于麒麟勒索软件组织，其中 24 家受害者来自金融行业。攻击者将该行动命名为 “韩国泄露”（Korean Leaks）。 核心攻击方背景 尽管麒麟的起源可能与俄罗斯相关，但该组织自称 “政治活动家” 和 “国家爱国者”。其采用传统的附属机构模式，招募各类黑客实施攻击，作为回报，黑客可获得非法赎金中最高 20% 的分成。 值得关注的一个附属机构是代号为 Moonstone Sleet 的朝鲜威胁行为者。据微软披露，该行为者曾在 2024 年 4 月针对一家未具名的国防科技公司，部署了名为 FakePenny 的定制勒索软件变种。 2025 年 2 月初，该威胁行为者出现重大策略转变，被观察到向少数组织分发麒麟勒索软件。目前尚不清楚最新一轮攻击是否确实由该黑客组织实施，但针对韩国企业的攻击目标与其实战战略目标一致。 “韩国泄露” 行动细节 “韩国泄露” 行动分三波发布数据，共从 28 家受害者处窃取超过 100 万份文件和 2TB 数据。比特梵德表示，另有 4 家机构的受害者相关帖子已从数据泄露站点（DLS）移除，推测可能是在赎金谈判达成后或基于特定内部政策被下架。 三波数据发布具体如下： 第一波：包含 10 家财务管理行业受害者，发布于 2025 年 9 月 14 日 第二波：包含 9 家受害者，发布于 2025 年 9 月 17 日至 19 日 第三波：包含 9 家受害者，发布于 2025 年 9 月 28 日至 10 月 4 日 此次泄露行动的不同寻常之处在于，它偏离了勒索软件组织向受入侵机构施压的常规策略，转而大量使用宣传性和政治性语言。 “整个行动被包装成揭露系统性腐败的公益行为，例如威胁发布可能成为‘股市操纵证据’的文件，以及‘韩国知名政客和商人’名单，” 比特梵德在描述第一波行动时表示。 后续几波行动进一步升级威胁，声称数据泄露可能对韩国金融市场构成严重风险。攻击者还援引严格的数据保护法规，呼吁韩国当局调查相关案件。 第三波行动的信息传递出现进一步转变：该组织起初延续了 “泄露被盗信息将引发国家金融危机” 的主题，随后话术 “更接近麒麟组织典型的经济利益驱动型勒索信息”。 鉴于麒麟组织宣称拥有 “内部记者团队”，协助附属机构撰写博客文章文本并在谈判中施压，分析认为该组织核心成员主导了数据泄露站点的文本发布工作。 “这些帖子包含核心运营者特有的语法不一致特征，” 比特梵德表示，“但对最终文稿的把控并不意味着附属机构在关键信息传递或内容整体方向上没有重要话语权。” 攻击实施路径与防御建议 据悉，麒麟组织的附属机构通过入侵一家上游托管服务提供商，利用其访问权限同时入侵了多家受害者。2025 年 9 月 23 日，《韩国中央日报》报道称，韩国 20 多家资产管理公司因 GJTec 公司遭入侵而感染勒索软件。 为降低此类风险，组织应强制启用多因素认证、应用最小权限原则限制访问权限、对关键系统和敏感数据进行隔离，并主动采取措施减少攻击面。 “引发‘韩国泄露’行动的 MSP 入侵事件，凸显了网络安全讨论中的一个关键盲点，” 比特梵德表示，“利用有权访问其他企业的供应商、承包商或 MSP，是寻求集中式攻击目标的 RaaS 组织更普遍且可行的途径。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，包括政府、电信和关键基础设施在内的多个敏感行业组织，存在将密码和凭证粘贴到 JSONFormatter、CodeBeautify 等在线代码格式化与验证工具的行为。 网络安全公司 watchTowr Labs 表示，其在这些网站上捕获了超过 8 万份文件的数据集，从中发现数千组用户名、密码、代码库认证密钥、Active Directory 凭证、数据库凭证、FTP 凭证、云环境密钥、LDAP 配置信息、服务台 API 密钥、会议室 API 密钥、SSH 会话记录以及各类个人信息。 该数据集包含 JSONFormatter 五年的历史内容和 CodeBeautify 一年的历史内容，总计超过 5GB 的增强型带注释 JSON 数据。 泄露影响范围 受此次泄露事件影响的组织遍及国家关键基础设施、政府、金融、保险、银行、科技、零售、航空航天、电信、医疗保健、教育、旅游等行业，具有讽刺意味的是，网络安全行业也在其中。 “这些工具极具 popularity，在‘JSON 美化’‘粘贴机密信息的最佳平台’（推测，未经证实）等搜索词条中常位居前列 —— 企业环境和个人项目中的各类组织、机构、开发人员及管理员均有使用，” 安全研究员杰克・诺特在分享给The Hacker News的报告中表示。 这两款工具均支持保存格式化后的 JSON 结构或代码，并生成半永久性的可共享链接 —— 任何获取该 URL 的用户均可访问其中数据。 更严重的是，这些网站不仅设有便捷的 “近期链接”（Recent Links）页面，列出所有近期保存的链接，其可共享链接还采用可预测的 URL 格式，使得攻击者能够通过简单爬虫轻松获取所有链接： https://jsonformatter.org/{此处为 ID} https://jsonformatter.org/{格式化类型}/{此处为 ID} https://codebeautify.org/{格式化类型}/{此处为 ID} 泄露信息包括 Jenkins 密钥、某网络安全公司泄露的敏感配置文件加密凭证、某银行的客户身份验证（KYC）信息、某大型金融交易所与 Splunk 相关联的 AWS 凭证，以及某银行的 Active Directory 凭证等。 安全风险 更糟糕的是，该公司透露，其在其中一款工具中上传了伪造的 AWS 访问密钥，结果发现该密钥保存 48 小时后便遭到攻击者的滥用尝试。这表明通过此类渠道泄露的敏感信息正被第三方爬取并用于攻击测试，构成严重安全风险。 “主要原因是已经有人在利用这些泄露信息了，而这种（粘贴机密到随机网站的）行为实在是太愚蠢了，” 诺特表示，“我们不需要更多人工智能驱动的智能代理平台；我们需要的是减少关键组织将凭证粘贴到随机网站的行为。” The Hacker New核实发现，JSONFormatter 与 CodeBeautify 目前已暂时禁用保存功能，声称正在 “优化该功能” 并实施 “增强型工作环境不适宜（NSFW）内容防护措施”。 watchTowr 指出，这些网站禁用保存功能很可能是对该研究的回应。“我们推测这一变更于 9 月实施，源于我们通知的多家受影响组织的沟通反馈，” 该公司补充道。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 RomCom 的恶意软件家族背后的威胁行为者，通过一款名为 SocGholish 的 JavaScript 加载器，针对美国一家土木工程公司发起攻击，旨在分发 Mythic Agent 恶意软件。 “这是首次观察到 RomCom 有效载荷通过 SocGholish 进行分发，” Arctic Wolf Labs研究员雅各布・费尔斯在周二发布的报告中表示。 该活动被中高置信度归因于俄罗斯联邦武装力量总参谋部总局（即格鲁乌，GRU）的 29155 部队。这家网络安全公司称，受攻击实体过去曾为一座与乌克兰联系密切的城市提供服务。 相关背景：SocGholish 恶意软件特性 SocGholish（又称 FakeUpdates）与一个名为 TA569 的经济利益驱动型威胁行为者相关联，其本质是初始访问中介，允许其他威胁行为者分发各类有效载荷。已知使用该工具的威胁组织包括邪恶 corp（Evil Corp）、洛克比特（LockBit）、德赖德克斯（Dridex）和树莓罗宾（Raspberry Robin）等。 此类攻击链的典型流程为：在遭入侵的合法网站上推送谷歌 Chrome 或火狐浏览器的虚假更新提示，诱骗毫无防备的用户下载恶意 JavaScript 脚本。该脚本负责安装加载器，进而获取更多恶意软件。 攻击通常针对安全防护薄弱的网站，利用插件中的已知安全漏洞注入 JavaScript 代码，触发弹窗显示并启动感染链。 RomCom 威胁行为者概况 RomCom是一个与俄罗斯结盟的威胁行为者，至少自 2022 年起便涉足网络犯罪与间谍活动。 该组织通过鱼叉式钓鱼、零日漏洞利用等多种手段入侵目标网络，并在受害主机上植入同名远程访问木马。其攻击目标主要包括乌克兰境内实体及北约相关国防组织。 北极狼实验室分析显示，此次攻击中，虚假更新有效载荷使威胁行为者能够通过与命令控制（C2）服务器建立的反向 shell，在受感染主机上执行命令，包括开展侦察活动及部署代号为 VIPERTUNNEL 的定制 Python 后门。 攻击中还分发了一款与 RomCom 相关的 DLL 加载器，用于启动 Mythic Agent—— 这是一款跨平台、后渗透阶段红队框架的核心组件，可与对应服务器通信，支持命令执行、文件操作等功能。 尽管此次攻击最终未获成功，在进一步扩散前被成功拦截，但这一动态表明，RomCom 威胁行为者持续关注乌克兰及为乌提供援助的实体，无论关联程度多么微弱。 “从通过（虚假更新）感染到分发 RomCom 加载器的时间间隔不足 30 分钟，” 雅各布・费尔斯表示，“只有在验证目标的 Active Directory 域与威胁行为者提供的已知值匹配后，才会执行恶意软件分发。” “SocGholish 攻击的广泛传播性，以及从初始访问到完成感染的快速推进速度，使其成为全球组织面临的重大威胁。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究发现，知名威胁行为者 ToddyCat 团伙正采用新型攻击手段获取目标企业的邮件数据，包括使用一款名为 TCSectorCopy 的定制化工具。 “该攻击可通过用户浏览器获取 OAuth 2.0 授权协议令牌，攻击者可在受攻陷基础设施边界之外利用这些令牌访问企业邮件，” 卡巴斯基（Kaspersky）在技术分析报告中指出。 ToddyCat 团伙自 2020 年起活跃，长期针对欧洲及亚洲多国组织发动攻击，曾使用 Samurai、TomBerBil 等多款工具维持控制权，并窃取谷歌 Chrome、微软 Edge 等浏览器的 Cookie 与凭据信息。 历史攻击与工具迭代 今年 4 月，该团伙被证实利用 ESET 命令行扫描器的安全漏洞（CVE-2024-11859，CVSS 评分 6.8），投递了一款此前未被记录的恶意软件（代号 TCESB）。 卡巴斯基表示，在 2024 年 5 月至 6 月期间的攻击事件中，发现了 TomBerBil 的 PowerShell 变体（此前已监测到 C++ 和 C# 版本），该变体新增了从 Mozilla Firefox 浏览器提取数据的功能。值得注意的是，此版本可由特权用户在域控制器上运行，并通过 SMB 协议借助网络共享资源访问浏览器文件。 该恶意软件通过计划任务执行 PowerShell 命令启动，具体功能为通过 SMB 协议搜索远程主机中的浏览器历史记录、Cookie 及保存的凭据。尽管包含敏感信息的复制文件通过 Windows 数据保护 API（DPAPI）加密，但 TomBerBil 具备捕获解密所需密钥的能力。 “早期版本的 TomBerBil 在目标主机上运行并复制用户令牌，通过 DPAPI 解密当前用户会话中的主密钥，进而解密文件本身，” 研究人员解释道，“而新版服务器端版本会复制 DPAPI 使用的用户加密密钥文件，攻击者借助这些密钥、用户 SID（安全标识符）及密码，可在本地解密所有复制文件。” 核心攻击手段解析 1. TCSectorCopy 窃取 Outlook OST 文件 ToddyCat 团伙通过定制化工具 TCSectorCopy（文件名为 “xCopy.exe”），窃取本地 Microsoft Outlook 存储的企业邮件（以 OST 文件，即离线存储表格式保存），该工具可绕过 Outlook 运行时对文件的访问限制。 TCSectorCopy 采用 C++ 开发，输入目标文件（此处为 OST 文件）后，会以只读模式挂载磁盘，按扇区顺序复制文件内容。OST 文件被写入攻击者指定路径后，通过开源工具 XstReader（支持 Outlook OST/PST 文件的查看器）提取邮件内容。 2. 内存中提取 Microsoft 365 访问令牌 针对使用 Microsoft 365 云服务的受害组织，该团伙还通过开源 C# 工具 SharpTokenFinder 直接从内存中获取访问令牌。该工具会枚举 Microsoft 365 应用程序，查找明文认证令牌（JSON Web 令牌 JWT）。 但在至少一起调查案例中，系统安装的安全软件阻止了 SharpTokenFinder 对 Outlook.exe 进程的内存 dump 操作，导致攻击受阻。为规避此限制，攻击者使用 Sysinternals 工具包中的 ProcDump 工具，通过特定参数对 Outlook 进程进行内存 dump。 “ToddyCat 高级持续性威胁（APT）团伙持续迭代攻击技术，不断探索可隐藏自身活动的手段，以获取受攻陷基础设施内的企业邮件数据，” 卡巴斯基总结道。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。 “攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。” 过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。 这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。 此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。 攻击源头与技术特征 经评估，攻击始于虚假成人网站 —— 毫无防备的用户通过恶意广告或其他社会工程学手段被引导至这些网站后，会突然收到 “紧急安全更新” 提示。研究人员发现部分网站版本包含俄语开发者注释，暗示攻击团伙可能为俄语系威胁行为者。 “Windows 更新界面完全通过 HTML 和 JavaScript 代码构建，受害者与钓鱼网站的任何元素交互后便会弹出，” 安全研究员埃利亚德・金希（Eliad Kimhy）表示，“该页面会通过 JavaScript 尝试全屏显示，同时生成一个背景为蓝色、文字为白色的高度仿真 Windows 更新窗口，让人联想到 Windows 著名的蓝屏死机（blue screen of death）界面。” 此次攻击的显著特征是大量使用混淆技术隐藏 ClickFix 相关代码，并通过禁用 Esc、F11、F5 及 F12 键阻止用户退出全屏弹窗。不过由于逻辑缺陷，用户仍可通过 Esc 和 F11 键关闭全屏模式。 初始执行的命令是一个 MSHTA 负载，通过合法的 mshta.exe 二进制文件启动，该负载包含的 JavaScript 代码会执行 PowerShell 命令，从远程服务器获取另一个 PowerShell 脚本。这些恶意域名经过特殊设计：直接访问会跳转至谷歌（Google）或 Steam 等良性网站。 “仅当通过 irm 或 iwr PowerShell 命令访问时，域名才会返回恶意代码，” 安克诺斯解释道，“这增加了额外的混淆层，阻碍安全人员分析。” 提权尝试与多负载投递 下载的 PowerShell 脚本集成了多种混淆与反分析机制，包括使用垃圾代码增加分析难度。脚本还会尝试提权，并为命令与控制（C2）服务器地址及负载存放路径添加微软 Defender 杀毒软件排除项。 为实现权限提升，恶意软件利用 Start-Process cmdlet 命令结合 “-Verb RunAs” 参数，以管理员权限启动 PowerShell，并持续弹出 UAC（用户账户控制）请求，直至受害者授权。该步骤成功后，脚本会释放更多负载，例如用于连接 C2 服务器的简易远程访问木马（RAT），后续可能进一步投递其他恶意软件。 研究发现，该 PowerShell 脚本最多可投递 8 种不同负载，安克诺斯将其称为 “最典型的广撒网攻击（spray and pray）”。这些负载包括 Rhadamanthys 窃密软件、Vidar 窃密软件 2.0 版本、RedLine 窃密软件、Amadey 木马，以及其他未明确标识的加载器和远程访问木马。 “只要其中一款负载成功运行，受害者就可能面临密码、加密货币钱包等资产被盗的风险，” 金希指出，“对于部分加载器，攻击者还可能后续投递其他恶意程序，导致攻击迅速升级。” 关联攻击活动：隐写术隐藏窃密软件 与此同时，亨特雷斯（Huntress）安全公司披露了另一项多阶段恶意软件执行链：攻击者同样以伪装成 Windows 更新的 ClickFix 为诱饵，通过隐写术（steganography）将攻击最终阶段隐藏在图片中，投递 Lumma、Rhadamanthys 等窃密软件。 与 JackFix 攻击类似，复制到剪贴板并粘贴至运行对话框的 ClickFix 命令，会通过 mshta.exe 运行 JavaScript 负载，该负载可在内存中直接执行远程托管的 PowerShell 脚本。 PowerShell 代码用于解密并启动一个.NET 程序集负载 —— 名为 Stego Loader 的加载器，该加载器负责执行隐藏在加密 PNG 图片中的 Donut 打包壳代码。提取的壳代码随后被注入目标进程，最终部署 Lumma 或 Rhadamanthys 窃密软件。 值得注意的是，亨特雷斯列出的用于获取 PowerShell 脚本的域名之一 “securitysettings [.] live”，也被安克诺斯标记为 JackFix 攻击的关联域名，表明这两起攻击活动可能存在关联。 “威胁行为者频繁更换承载第一阶段 MSHTA 负载的 URI 路径（如 /tick.odd、/gpsc.dat、/ercx.dat 等），” 安全研究员本・福兰（Ben Folland）与安娜・范（Anna Pham）在报告中指出，“此外，威胁行为者已将第二阶段负载的托管域名从 securitysettings [.] live 更换为 xoiiasdpsdoasdpojas [.] com，但两个域名均指向同一 IP 地址 141.98.80 [.] 175，该 IP 也用于投递第一阶段（即 mshta.exe 运行的 JavaScript 代码）。” 防御建议 ClickFix 攻击的成功源于其简单有效的攻击逻辑：诱骗用户自行感染设备，从而绕过安全防护。企业可通过以下方式防御此类攻击： 加强员工培训，提升对 ClickFix 类威胁的识别能力； 通过修改注册表或组策略（Group Policy）禁用 Windows 运行对话框（Run box）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文