HackerNews 编译，转载请注明出处： 一款名为Sturnus的新型安卓银行木马具备完全控制设备的能力，其攻击目标覆盖了WhatsApp、Telegram和Signal等安全通讯软件的信息。它通过捕获屏幕内容来绕过加密通讯，能够窃取银行凭证、远程控制设备，并向用户隐藏欺诈行为。 ThreatFabric的分析显示，Sturnus恶意软件仍处于开发阶段，或目前正处于有限的测试期。然而，该木马已将中南欧的金融机构列为目标，预示着攻击者正在为更广泛的攻击活动做准备。该恶意软件功能完备，并在通信协议和设备支持方面超越了已有的木马家族。有证据表明，攻击者开展了短暂、间歇性的活动，重点针对WhatsApp、Telegram和Signal等加密通讯应用，并使用了针对特定地区的攻击模板。操作者正在积极优化其工具以捕获敏感通信，为未来更协同、大规模的攻击行动做准备。 ThreatFabric在报告中指出：”Sturnus除了针对银行应用外，还会监控前台应用。一旦受害者打开如WhatsApp、Signal或Telegram等加密通讯服务，它会自动激活其UI树收集功能。” 该恶意代码的通信模式模仿了紫翅椋鸟杂乱无章的鸣叫，会在明文、RSA和AES消息之间不可预测地切换。它通过HTTP POST请求注册设备，接收一个UUID和RSA公钥，随后生成本地AES-256密钥，用RSA公钥加密后以Base64格式存储。密钥交换完成后，它使用AES/CBC/PKCS5Padding加密所有消息，在数据前附加一个随机的初始向量，并将数据封装在自定义结构中。 Sturnus通过两个相互关联的机制窃取数据：HTML覆盖层和基于无障碍服务的键盘记录。它存储针对特定银行应用的网络钓鱼模板，并通过一个WebView显示这些模板，该WebView会捕获所有输入并将其发送到命令与控制服务器。数据外泄后，它会禁用已使用的覆盖层以避免检测。它还可以使用全屏遮挡覆盖层来隐藏其活动。 其无障碍服务会记录文本变化、点击事件、焦点切换以及完整的UI树更新，即使屏幕捕获被阻止，攻击者也能据此重构用户操作。这些功能还使该恶意软件能够提取用于解锁设备的PIN码和密码。 报告进一步说明：”由于它依赖于无障碍服务日志记录而非网络拦截，该恶意软件可以读取屏幕上出现的所有内容——包括联系人、完整的对话线程以及收发消息的内容——而且是实时进行。这使得该功能尤其危险：它通过在被合法应用解密后访问信息，完全绕开了端到端加密，让攻击者能够直接查看本应私密的对话。” Sturnus通过两种互补的捕获方法，实现了对受感染设备的完全远程控制：一是通过安卓的显示捕获框架进行实时屏幕镜像；二是在标准捕获失败时，通过无障碍事件构建屏幕截图的备用系统。随后，一个原生库通过VNC RFB协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射，跟踪点击、文本输入、滚动和应用启动，而无需使用图像。这种方法占用带宽更少，能避免屏幕捕获警报，并且即使对隐藏或受保护的元素也有效。 Sturnus通过获取设备管理员权限来增强其持久性，它会监控解锁事件、阻止用户尝试撤销其权限，并防止自身被卸载。一个庞大的监控子系统负责追踪系统变更、网络连接状态、电源状态、SIM卡更换、应用安装、root迹象以及开发者选项。Sturnus还会分析传感器、硬件和网络信息，以调整其策略、规避分析，并保持对设备的长期控制。 报告总结道：”Sturnus代表了一种复杂且全面的威胁，它实现了多种攻击向量，使攻击者能够近乎完全地控制受感染设备。基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员权限滥用以及全面的环境监控相结合，对受害者的财务安全和隐私构成了极其危险的威胁。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，全球最高建筑迪拜哈利法塔的消防系统服务商——NAFFCO公司遭遇网络攻击。知名勒索软件组织INC Ransom声称窃取了该公司高达1TB的内部数据，导致其陷入严重的安保与声誉危机。 NAFFCO公司总部位于迪拜，是海湾地区消防设备、消防系统、火灾报警器及安防工程系统领域的顶尖生产供应商，年收入达44亿美元。 NAFFCO的客户涵盖多个行业，包括政府机构、民防部门和应急响应组织。 该公司为迪拜多座标志性建筑打造了消防安全项目，其中包括全球最高建筑哈利法塔、阿布扎比卢浮宫以及阿曼会展中心。 在能源领域，纳夫科与阿布扎比国家石油公司、阿布扎比石油公司、扎库姆石油开发公司等大型油气企业合作，提供消防安全解决方案。 数据泄露详情 根据INC Ransom的声明，他们从NAFFCO窃取了约1TB的内部数据。该组织于11月17日在其暗网泄露网站上公布了NAFFCO的名字，并附带了47张据称是失窃数据的截图。 经研究人员分析，泄露数据可能包含： 公司运营细节：包括公司结构、员工姓名、职位、电子邮件、电话号码和项目金额 年度合同清单：包含客户公司名称、合同金额和销售代表信息 与客户公司的个别合同 员工名单：包含姓名、职位、部门、身份证件个人识别信息和签证详情 员工身份证件照片 从样本数据的类型来看，此次泄露可能引发重大风险：受影响员工面临身份盗窃和社会工程学攻击的概率大幅上升；同时，公司的商业运营细节与员工信息曝光也可能对其声誉造成损害。 危险警示 INC Ransom是一个疑似与俄罗斯有关联的勒索软件组织，于2023年7月首次出现。根据Cybernews的暗网监控工具RansomLooker数据，该组织已认领了453起攻击事件。 该团伙采用“多重勒索”模式：不仅加密受害者文件，还会窃取数据并威胁，若不支付赎金就泄露数据。 在选择目标时以 “无差别攻击” 著称，受害者涵盖医院、学校、政府机构及科技公司。 近期，该团伙声称从大型高尔夫服饰企业萨米特高尔夫品牌窃取了 47GB 数据，该公司旗下拥有 Zero Restriction、B. Draddy、Fairway & Greene、EP New York 等知名高尔夫服饰及运动品牌。 如今，这个网络犯罪集团正逐渐跻身 “最高产犯罪团伙” 之列，其受害者名单包括：美国国防部承包商斯塔克航空航天公司、旧金山芭蕾舞团、英国莱斯特市、苏格兰国民保健署邓弗里斯 – 加洛韦健康委员会，以及施乐公司。 涉案受害者还包括年营收 990 亿美元的零售巨头阿霍德德尔海兹集团，旗下包含连锁超市品牌 Stop & Shop 和 Albert Heijn。 芒特罗杰斯社区服务中心也出现在该勒索团伙的暗网泄露网站上，攻击者称从该机构系统中窃取了多项隐私信息。 该团伙甚至曾攻击过一座公墓：今年 6 月，他们将加拿大汉密尔顿教区天主教公墓列入暗网论坛的攻击名单。 今年 7 月，该团伙声称从美国北卡罗来纳州托马斯维尔市窃取了 260GB 数据。 而在今年年初，该团伙还声称攻击了印尼全国性广播及网络新闻机构 CNN 印尼频道。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国民保健署（NHS）英格兰数字部门周二发布公告称，近期披露的一个 7-Zip 安全漏洞已遭黑客在野外活跃利用。 该漏洞编号为 CVE-2025-11001（CVSS 评分 7.0），允许远程攻击者执行任意代码。2025 年 7 月发布的 7-Zip 25.00 版本已修复此漏洞。 趋势科技零日响应计划（ZDI）上月发布警报称：“该漏洞存在于 ZIP 文件符号链接的处理逻辑中。精心构造的 ZIP 文件数据可导致进程访问非预期目录。”“攻击者可利用此漏洞，以服务账户权限执行代码。” 该漏洞由 GMO Flatt Security 公司的滋贺亮太，以及该公司基于人工智能（AI）的应用安全审计工具 Takumi 发现并报告。 值得注意的是，7-Zip 25.00 版本还修复了另一个漏洞 CVE-2025-11002（CVSS 评分 7.0）。该漏洞同样源于 ZIP 压缩包中符号链接的不当处理，可导致目录遍历，进而实现远程代码执行。这两个漏洞均在 21.02 版本中被引入。 英国国民保健署英格兰数字部门表示：“已观测到 CVE-2025-11001 漏洞在野外被活跃利用。” 不过目前尚无细节表明，该漏洞被如何武器化、攻击者身份及攻击场景。 鉴于已有概念验证（PoC）漏洞利用代码公开，7-Zip 用户应尽快安装必要的修复程序（若尚未更新），以获得最佳防护。 发布该漏洞 PoC 代码的安全研究员多米尼克（化名 pacbypass）在详细说明中指出：“此漏洞仅能在以下场景被利用 —— 高权限用户 / 服务账户上下文，或已启用开发者模式的设备。”“该漏洞仅适用于 Windows 系统。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一项新攻击活动的细节：攻击者结合社会工程学与 WhatsApp 劫持手段，向巴西用户分发一款名为 Eternidade Stealer 的德尔福（Delphi）语言银行木马。 Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示：“该恶意软件利用互联网消息访问协议（IMAP）动态获取命令与控制（C2）服务器地址，方便威胁行为体更新其控制服务器。” “它通过 WhatsApp 蠕虫活动传播，目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。” 此次发现紧随另一项名为 “Water Saci” 的攻击活动之后，后者同样以巴西用户为目标，通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播，进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。 Eternidade Stealer 攻击集群是一系列攻击活动的组成部分，这些活动利用 WhatsApp 在巴西的普及性，攻陷目标用户设备后，将这款即时通讯应用作为传播载体，对巴西机构发动大规模攻击。 攻击技术特点与地域针对性 另一个显著趋势是，针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高，还源于它曾在该地区的软件开发领域被广泛教授和使用。 攻击始于一个经过混淆处理的 Visual Basic 脚本，脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本，负责交付两个有效载荷，使感染链分化为两条： Python 脚本：通过 WhatsApp Web 以蠕虫方式传播恶意软件 MSI 安装程序：借助 AutoIt 脚本启动 Eternidade Stealer 这款 Python 脚本与 SORVEPOTEL 类似，会与远程服务器建立通信，并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表，同时过滤掉群组、企业联系人及广播列表。 随后，恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息，通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段，它会使用消息模板，填入基于时间的问候语和联系人姓名，向所有联系人发送恶意附件。 攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始，其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语，判断受感染设备是否位于巴西，若不满足则自动终止运行，体现出威胁行为体高度本地化的攻击目标。 恶意软件功能与控制机制 脚本随后会扫描运行进程和注册表项，确认是否存在安全软件，同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是，恶意软件通过进程注入（process hollowing）技术，将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。 作为一款德尔福语言编写的凭据窃取器，Eternidade 会持续扫描活动窗口和运行进程，查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串，包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。 研究人员表示：“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态，直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发，且不会被普通用户或沙箱环境发现。” 一旦检测到匹配项，恶意软件会联系 C2 服务器，相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制，同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱，会启用嵌入在源代码中的备用 C2 地址。 与服务器成功建立连接后，恶意软件会等待接收指令并在受感染设备上执行，使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下： <|OK|>：收集系统信息 <|PING|>：监控用户活动并上报当前活跃窗口 <|PedidoSenhas|>：根据活跃窗口发送自定义覆盖界面，窃取凭据 攻击基础设施与全球影响 Trustwave 表示，对威胁行为体基础设施的分析发现了两个面板：一个用于管理重定向系统，另一个是登录面板，可能用于监控受感染设备。重定向系统包含日志，记录了访问总数及试图连接 C2 地址的被拦截次数。 该系统仅允许巴西和阿根廷的设备访问，被拦截的连接会被重定向至 “google [.] com/error”。面板统计数据显示，454 次访问中有 452 次因地理围栏限制被拦截，仅 2 次访问被导向攻击目标域名。 在 454 条通信记录中，196 条来自美国，其次是荷兰（37 条）、德国（32 条）、英国（23 条）、法国（19 条）和巴西（3 条）。Windows 操作系统占 115 条连接，面板数据显示还有来自 macOS（94 条）、Linux（45 条）和 Android（18 条）的连接。 Trustwave 指出：“尽管该恶意软件家族及传播载体主要针对巴西，但可能的运营范围和受害者覆盖范围却遍及全球。网络安全防御人员应警惕可疑的 WhatsApp 活动、意外的 MSI 安装程序或脚本执行行为，以及与该持续攻击活动相关的威胁指标。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击活动已攻陷全球数万台过时或已停止支持（EoL）的华硕路由器，受影响设备主要集中在台湾地区、美国和俄罗斯，进而被纳入一个大型网络。 该路由器劫持活动被 SecurityScorecard 的 STRIKE 团队命名为 “WrtHug 行动”。东南亚及欧洲部分国家也出现感染案例，过去六个月内，全球已识别出超过 5 万个属于受 compromised 设备的独立 IP 地址。 攻击活动疑似利用已停止支持的华硕 WRT 路由器中的六个已知安全漏洞，获取易受攻击设备的控制权。所有受感染路由器均共享一个独特的自签名 TLS 证书，该证书有效期设定为自 2022 年 4 月起 100 年。 SecurityScorecard 表示，展示该证书的服务中，99% 是华硕 AiCloud 服务 —— 这是一项专有服务，旨在允许用户通过互联网访问本地存储。 攻击技术细节与关联威胁 该公司在提交给《黑客新闻》的报告中称：“攻击者利用专有 AiCloud 服务及已知漏洞（n-day 漏洞），在已停止支持的华硕 WRT 路由器上获取高权限。” 报告还指出，尽管此次活动并非典型的 “操作中继箱（ORB）”，但与其他关联中国的 ORB 网络及僵尸网络存在相似之处。 攻击疑似利用多个漏洞进行扩散，包括 CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912 及 CVE-2025-2492。近几个月来，另外两个针对路由器的 ORB 网络分别是 LapDogs 和 PolarEdge。 在所有受感染设备中，有七个 IP 地址同时表现出 WrtHug 和 AyySSHush 的入侵特征，这可能意味着两个攻击集群存在关联。不过，除共享同一漏洞外，目前尚无其他证据支持这一假设。 此次攻击针对的路由器型号如下： 华硕无线路由器 4G-AC55U 华硕无线路由器 4G-AC860U 华硕无线路由器 DSL-AC68U 华硕无线路由器 GT-AC5300 华硕无线路由器 GT-AX11000 华硕无线路由器 RT-AC1200HP 华硕无线路由器 RT-AC1300GPLUS 华硕无线路由器 RT-AC1300UHP CIS 定制套件 目前攻击方身份尚不明确，但活动对台湾地区的重点针对，以及与中国黑客组织此前 ORB 攻击战术的重叠，表明幕后可能是某个未知的关联中国的行为体。 SecurityScorecard 表示：“本研究凸显了恶意威胁行为体大规模感染路由器及其他网络设备的趋势日益明显。这些行为体通常（但不限于）与中国相关，他们以谨慎且精心策划的方式开展活动，以扩大和深化其全球影响力。” “威胁行为体通过串联命令注入和身份验证绕过漏洞，成功通过 SSH 部署持久化后门，还经常滥用路由器的合法功能，确保其控制在设备重启或固件更新后仍能存续。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯保险公司 VSK 遭遇重大网络攻击，系统受损导致官网、移动应用及其他数百万用户依赖的服务下线。目前该公司已耗时一周，仍在全力恢复相关服务。 作为俄罗斯规模最大的综合保险公司之一，总部位于莫斯科的 VSK 服务着约 3300 万个人客户和 50 多万家企业，业务涵盖财产险、交通险、健康险、旅游险、货运险及企业保险等多个领域。 尽管 VSK 未详细说明事件的全部影响，但大量客户涌入其社交媒体页面投诉。有用户反映无法购买车险、修改保单、获取担保函或预约医疗服务，部分人表示医疗机构因无法核实保险覆盖范围而拒绝提供服务。公司邮件服务也出现中断，VSK 已敦促客户通过平信提交咨询请求。 该公司尚未透露攻击者身份及攻击动机，俄罗斯网络安全专家向当地媒体表示，此次事件大概率为勒索软件攻击。 事件进展与官方回应 VSK 于 11 月 13 日公开确认了这一事件，称前一日检测到 “大规模网络攻击”，目前正联合外部专家推进系统恢复工作。 公司表示：“此次事件仅影响 IT 基础设施运行，客户及合作伙伴的数据安全无虞。” 同时补充称线下门店仍正常营业，并警告其企业域名已遭劫持，访问者会被重定向至虚假 Telegram 频道。 尽管 VSK 宣称未发生个人信息泄露，但与乌克兰黑客相关的 Telegram 频道已发布据称是该公司泄露信息及备份文件的截图，这些图片的真实性尚未得到独立核实。 公司背景与近期俄企网络安全态势 英国政府于 2024 年对 VSK 实施制裁，因其为俄罗斯所谓的 “影子舰队” 提供支持。这一舰队由监管薄弱的船舶组成，用于规避西方制裁、维持石油出口收入。英国方面称，VSK 是与俄罗斯相关的油轮及物流链的核心海运保险及相关服务提供商，欧盟随后也将该公司列入制裁名单。 此次攻击发生之际，俄罗斯大型企业遭遇的网络安全事件正呈激增态势。上周，俄罗斯港口运营商 Port Alliance 报告遭遇 “来自境外” 的大规模分布式拒绝服务（DDoS）攻击，核心数字系统受影响，据称攻击者意图干扰煤炭和化肥运输。10 月，俄罗斯农业与食品安全监管机构遭网络攻击，导致全国食品运输陷入混乱。目前这些事件的动机是政治性还是经济性，尚不清楚。 在 VSK 披露数据泄露几天后，亲俄黑客组织 NoName057 (16) 宣布对多家乌克兰保险公司发动 DDoS 攻击。该组织未明确将此次行动与 VSK 遇袭关联，目前也不清楚这些目标是否出现运营中断。   消息来源：therecord.media；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部及国际盟友于周三宣布，对俄罗斯知名 “防弹主机” 服务商 Media Land 实施制裁，指控其为勒索软件团伙及其他网络犯罪活动提供支持。 这家总部位于圣彼得堡的公司，向黑客提供 IP 地址、服务器和域名服务，这些资源被用于传播恶意软件、组建僵尸网络军团及实施勒索软件攻击。美国、英国和澳大利亚指控 Media Land 为在线犯罪市场，以及 Lockbit、BlackSuit、Play 等勒索软件组织提供服务。美国财政部表示，该公司的服务还被用于对美国关键基础设施实体发动多起分布式拒绝服务（DDOS）攻击。 三国同时制裁了 Media Land 的关联公司 ——Data Center Kirishi 和 ML Cloud，这两家企业为勒索软件团伙提供其他技术基础设施支持。此次制裁还涉及 Media Land 总经理亚历山大・沃洛索维克、财务经理尤利娅・潘科娃，以及据称负责收取客户付款并协调网络犯罪服务的基里尔・扎托洛金。 美国财政部副部长约翰・赫利表示：“像 Media Land 这样的所谓‘防弹主机’服务商，为网络犯罪分子提供关键支持，帮助他们攻击美国及盟国企业。” 这类公司自称 “防弹”，是因为它们不会回应网络攻击受害者的投诉或相关法律文书。 对 Aeza 集团关联实体的追加制裁 美国和英国还制裁了 Hypercore 公司，该企业是另一家 “防弹主机” 服务商 Aeza 集团的 fronts 公司。美国财政部已于 7 月对 Aeza 集团实施过制裁，但官员周三表示，该公司已更名并搭建新基础设施，切断了与原有业务的关联。 Hypercore 在英国注册，被 Aeza 集团用于规避制裁。Aeza 集团新任董事马克西姆・弗拉基米罗维奇・马卡罗夫，以及公司另一名员工伊利亚・弗拉基米罗维奇・扎基罗夫同步遭到制裁。此次制裁名单还包括塞尔维亚和乌兹别克斯坦的两家 fronts 公司 ——Smart Digital Ideas DOO 和 Datavice MCHJ。 总部同样位于圣彼得堡的 Aeza 集团，据称曾为 “BianLian” 勒索软件团伙，以及 “ RedLine ”“ Lumma ”“ Meduza ” 等信息窃取类恶意软件的运营者提供主机服务。美国财政部此前指控 Aeza 集团协助黑客针对美国国防企业和科技公司发动攻击。网络安全研究人员还发现，该集团与亲克里姆林宫的虚假信息宣传活动 “ Doppelgänger ” 存在关联，该活动至少自 2022 年起就在欧洲活跃。 配套发布网络安全防护指南 在实施制裁的同时，美国网络安全与基础设施安全局（CISA）及其他联邦机构发布了一份指南，指导各类组织应对 “防弹主机” 服务商带来的风险。 这份由联合勒索软件特别工作组制定的指南，旨在帮助互联网服务提供商和网络防御人员 “打击日益严峻的勒索软件攻击威胁”。CISA 代理局长马杜・戈图穆卡表示：“防弹主机是现代网络犯罪的核心推手之一。通过曝光这些非法基础设施并为防御者提供具体行动方案，我们能加大犯罪分子的隐藏难度，让合作伙伴更易保护美国民众日常依赖的各类系统。” CISA 网络安全部门执行助理局长尼克・安德森补充称，“防弹主机” 平台正成为网络犯罪分子越来越常用的 “帮凶”，帮助他们躲避检测、难以追踪。CISA 解释，该指南的目标是降低 “防弹主机” 基础设施的效用，迫使网络犯罪分子转向合法基础设施提供商 —— 这类服务商都会回应受害者投诉和执法部门的下架请求。 过去一年，执法机构已针对多家俄罗斯 “防弹主机” 服务商采取行动，包括 Zservers、Lolek Hosted 等，多名运营者因相关行为被判处数年监禁。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 常春藤名校普林斯顿大学近日发生重大数据泄露事件，所有曾在该校就读或毕业人员的个人信息均可能遭窃，受影响名单包括亚马逊创始人杰夫·贝索斯、美国前第一夫人米歇尔·奥巴马、美国国防部部长皮特・赫格塞思等政商界知名人士。 根据校方公告，11月10日外部攻击者入侵了普林斯顿大学发展事务处的数据库，该数据库存储着校友、捐赠者、教职员工、学生及家长等大学社区成员的信息。校方确认所有校友——包括曾入学但未毕业者——均在此次事件中受到影响。 泄露范围 作为全球最负盛名的研究型大学之一，普林斯顿培养了大量杰出人才：亚马逊CEO杰夫·贝索斯（1986届）、前第一夫人米歇尔·奥巴马（1986届）、谷歌前CEO埃里克·施密特（1976届）均位列其中。 更引人关注的是，美国现任国防部长皮特·赫格塞斯及八位最高法院大法官中的三位——塞缪尔·阿利托、埃琳娜·卡根和索尼娅·索托马约尔——的信息也可能遭泄露。 普林斯顿大学透露，此次信息泄露的受害者不仅包括校友，还涵盖校友配偶、学校捐赠者、学生家长以及历届和现任教职员工。 学校方面解释：“目前我们尚不清楚黑客具体查看或窃取了哪些信息。该数据库主要存储与学校筹款及校友联络相关的个人传记类信息，我们认为其中不包含密码、社会保障号码、信用卡信息或银行账户记录。” 攻击方式 据悉，攻击者通过钓鱼攻击获取了数据库访问权限。恶意攻击者通过电话锁定一名大学员工，冒充合法请求获取凭证后侵入系统。 这种社交工程手段与著名黑客组织Scattered Spider此前攻击英国零售商玛莎百货、美高梅度假村和凯撒娱乐的手法如出一辙。 普林斯顿大学表示，事件后，校方在24小时内成功阻断攻击，并已通报执法部门启动调查。 普林斯顿并非首所遭遇黑客入侵的常春藤盟校。今年 8 月底，哥伦比亚大学曾发生类似事件，近 90 万人信息被泄露，其中也包括大量往届校友。 顶尖高等教育机构往往是网络犯罪分子的目标。今年早些时候，一个勒索软件团伙声称对欧洲顶尖学府巴黎索邦大学发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Everest勒索软件组织宣称，已从巴西国家石油公司（Petrobras）窃取90GB敏感地震和勘探数据，并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称，事件涉及第三方服务商，其内部系统未受影响。 Everest组织在暗网泄密站点发布声明，给公司设下六天期限要求联系，否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。 Petrobras向Cybernews明确表示，其系统未发现未授权访问记录，并强调”所有敏感和战略数据均按照最严格信息安全标准保持安全”。据该公司说明，此次入侵事件与某勘探服务提供商相关，属于独立事件，不影响公司运营、客户及员工。 根据攻击者公布的信息，被盗数据包含： 原始地震导航数据（含船舶坐标） 海底节点位置信息 差分GPS精度数据 测线质量控制数据 震源方向报告 水听器与震源深度参数 震源压力数据 设备元数据与节点配置 系统状态初步质检报告 勘探进度总结PDF文件 初步质检结果与逐线结论 震源与节点间距方位数据 船舶运动参数与设备朝向 据称，这些数据包含坎波斯盆地三维和四维地震勘探信息。值得注意的是，Petrobras近期刚宣布在该盆地盐下层发现优质石油资源。公司在该赎金声明出现当日发布的新闻稿中确认：”该钻井作业已完成，含油层段通过电测录井、气体指示和流体取样得到证实。” Cybernews研究人员分析数据样本后指出：”目前无迹象表明攻击者具有实时数据访问权限，因此船舶和钻井基础设施应无直接间谍攻击风险。此次泄露主要影响企业声誉，暴露的导航数据和报告可能揭示船舶定位与使用设备，削弱公司竞争优势。” Everest组织自2021年7月开始活跃，今年持续针对关键基础设施实施攻击。本月该组织还袭击了意大利工业气体巨头SIAD集团；此前最严重的攻击导致欧洲多国机场值机系统瘫痪；9月宣称入侵宝马集团及德国第二大银行DZ Bank子公司（但银行予以否认）；7月针对邮件营销平台Mailchimp；5月袭击可口可乐中东分部并泄露近千名员工数据。     消息来源：cybernews；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据媒体报道，本月早些时候一名俄罗斯黑客嫌犯在泰国被捕，据悉此人与一个新兴的、与克里姆林宫立场一致的黑客组织存在关联。该组织曾针对欧洲和北美多国的政府及关键基础设施网络发起攻击。 泰国警方上周证实，已拘留一名遭美国通缉的 “世界知名黑客”，此人涉嫌对美国政府机构发动网络攻击。随后，俄罗斯国家媒体今日俄罗斯电视台确认该嫌犯为 35 岁的丹尼斯・奥布列佐科，他是斯塔夫罗波尔人，此前曾任职于俄罗斯多家大型信息技术企业，负责 “为国内产业研发高科技系统”。 当地媒体援引执法部门消息称，此次逮捕行动由美国联邦调查局与泰国警方联合开展，奥布列佐科于 11 月 6 日落网。他入境泰国仅一周，警方便突袭了其位于普吉岛度假胜地的酒店房间，并查扣了笔记本电脑、手机及数字钱包等物品。 上周有报道显示，该嫌犯被捕后被关押在曼谷，等待引渡至美国。今日俄罗斯电视台称，嫌犯家属已确认其被捕一事，并表示正聘请律师，试图阻止将其移交美国当局。俄罗斯驻曼谷大使馆也已提出领事探视要求。 泰国官方尚未公开披露该嫌犯的身份信息，但当地警方知情人士向美国有线电视新闻网透露，奥布列佐科据称是 “Void Blizzard” 组织（又名 “洗衣熊”）的成员。这个与俄罗斯有关联的黑客组织，最早由微软公司在今年发布的报告中详细曝光。 新兴的 “暴雪” 势力 微软在 5 月发布的一份报告中指出，“Void Blizzard” 是一个新兴的间谍性质高级持续性威胁组织，其行动始终服务于俄罗斯政府的相关利益（微软公司会用 “暴雪” 为所有与俄罗斯有关联的黑客组织命名）。该黑客组织的攻击目标涵盖政府、国防、交通、媒体、非政府组织及医疗等多个领域的机构，攻击重点集中在欧洲和北美地区。 微软方面称，“Void Blizzard” 通常借助购买或窃取的账户凭证侵入目标网络，进而窃取大量电子邮件与内部文件。 2024 年 9 月，荷兰情报部门透露，该组织曾入侵包含荷兰国家警察部门在内的多家荷兰机构，并窃取了大量 “工作相关联络信息”。 微软表示：“该黑客组织频繁针对关键领域网络发动攻击，这不仅给北约成员国，也给乌克兰的一众盟友带来了日益严峻的安全风险。” 消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文