HackerNews 编译，转载请注明出处： 一款新型 iOS 零日漏洞攻击链被证实与某雇佣军间谍软件相关联，该软件可对高风险目标用户的设备实施隐秘监听。 攻击者串联起多个此前未被发现的系统漏洞，目标用户只需在苹果浏览器（Safari）中点击一个链接，就能让间谍软件完整植入其苹果手机。 此次攻击主要针对公民社会人士与政治相关目标。这一事件也凸显出，资金雄厚的间谍软件供应商正不断将浏览器及系统内核漏洞武器化，用于开展长期秘密监听活动。 攻击始于一个一次性恶意链接，这类链接通常通过加密通讯软件发送。当目标用户在苹果浏览器中打开该链接时，浏览器会加载一款漏洞利用程序，该程序会触发一个远程代码执行漏洞，此漏洞后续被编号为 CVE – 2023 – 41993 并完成修复。 攻击的第一阶段会借助通用漏洞利用框架，实现对苹果浏览器渲染进程的任意读写操作，随后进一步获取苹果移动操作系统新版中的原生代码执行权限。自 2021 年起，多个监听技术供应商及国家背景黑客组织均复用该框架，可见可复用漏洞组件已形成活跃的地下交易市场。 苹果浏览器被攻破后，攻击进入威力更强的第二阶段。攻击者利用编号为 CVE – 2023 – 41991 与 CVE – 2023 – 41992 的两个内核漏洞，突破苹果浏览器的沙箱限制并提升操作权限。这一步操作会向名为 “猎物猎手”（PREYHUNTER）的第三阶段恶意负载开放内核内存的读写权限。 “猎物猎手” 包含 “辅助模块” 和 “监控模块” 两大组件。前者可完成受害设备校验、躲避安全分析等操作；后者能执行早期监听任务，比如进行网络电话录音、记录键盘输入、拍摄摄像头画面等，且执行这些操作时会隐藏相关通知，避免被用户察觉。 感染过程与 “猎物猎手” 的运行机制 其套接字的简化配置代码如下： 以下为攻击链中涉及的漏洞详情表： 漏洞编号 漏洞类型 涉及组件 / 开发商 在攻击链中的作用 造成后果 CVE – 2023 – 41993 远程代码执行漏洞 苹果浏览器 / 苹果移动操作系统 初步攻破浏览器 获取浏览器进程的代码执行权限 CVE – 2023 – 41992 沙箱突破 + 本地权限提升漏洞 系统内核 / 苹果移动操作系统 突破苹果浏览器沙箱限制 获取系统级代码执行权限 CVE – 2023 – 41991 本地权限提升漏洞 系统内核 / 苹果移动操作系统 提升内核权限并实现持久化驻留 支持间谍软件对内核进行读写操作 这种精心设计的分阶段攻击模式，再加上攻击者获取的内核级操作权限，足以看出当前漏洞开发者、非法中间商与间谍软件运营者已形成成熟的黑色产业链。他们相互勾结，让针对苹果移动设备的监听攻击既能隐秘实施，又能长期持续。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究发现，知名威胁行为者 ToddyCat 团伙正采用新型攻击手段获取目标企业的邮件数据，包括使用一款名为 TCSectorCopy 的定制化工具。 “该攻击可通过用户浏览器获取 OAuth 2.0 授权协议令牌，攻击者可在受攻陷基础设施边界之外利用这些令牌访问企业邮件，” 卡巴斯基（Kaspersky）在技术分析报告中指出。 ToddyCat 团伙自 2020 年起活跃，长期针对欧洲及亚洲多国组织发动攻击，曾使用 Samurai、TomBerBil 等多款工具维持控制权，并窃取谷歌 Chrome、微软 Edge 等浏览器的 Cookie 与凭据信息。 历史攻击与工具迭代 今年 4 月，该团伙被证实利用 ESET 命令行扫描器的安全漏洞（CVE-2024-11859，CVSS 评分 6.8），投递了一款此前未被记录的恶意软件（代号 TCESB）。 卡巴斯基表示，在 2024 年 5 月至 6 月期间的攻击事件中，发现了 TomBerBil 的 PowerShell 变体（此前已监测到 C++ 和 C# 版本），该变体新增了从 Mozilla Firefox 浏览器提取数据的功能。值得注意的是，此版本可由特权用户在域控制器上运行，并通过 SMB 协议借助网络共享资源访问浏览器文件。 该恶意软件通过计划任务执行 PowerShell 命令启动，具体功能为通过 SMB 协议搜索远程主机中的浏览器历史记录、Cookie 及保存的凭据。尽管包含敏感信息的复制文件通过 Windows 数据保护 API（DPAPI）加密，但 TomBerBil 具备捕获解密所需密钥的能力。 “早期版本的 TomBerBil 在目标主机上运行并复制用户令牌，通过 DPAPI 解密当前用户会话中的主密钥，进而解密文件本身，” 研究人员解释道，“而新版服务器端版本会复制 DPAPI 使用的用户加密密钥文件，攻击者借助这些密钥、用户 SID（安全标识符）及密码，可在本地解密所有复制文件。” 核心攻击手段解析 1. TCSectorCopy 窃取 Outlook OST 文件 ToddyCat 团伙通过定制化工具 TCSectorCopy（文件名为 “xCopy.exe”），窃取本地 Microsoft Outlook 存储的企业邮件（以 OST 文件，即离线存储表格式保存），该工具可绕过 Outlook 运行时对文件的访问限制。 TCSectorCopy 采用 C++ 开发，输入目标文件（此处为 OST 文件）后，会以只读模式挂载磁盘，按扇区顺序复制文件内容。OST 文件被写入攻击者指定路径后，通过开源工具 XstReader（支持 Outlook OST/PST 文件的查看器）提取邮件内容。 2. 内存中提取 Microsoft 365 访问令牌 针对使用 Microsoft 365 云服务的受害组织，该团伙还通过开源 C# 工具 SharpTokenFinder 直接从内存中获取访问令牌。该工具会枚举 Microsoft 365 应用程序，查找明文认证令牌（JSON Web 令牌 JWT）。 但在至少一起调查案例中，系统安装的安全软件阻止了 SharpTokenFinder 对 Outlook.exe 进程的内存 dump 操作，导致攻击受阻。为规避此限制，攻击者使用 Sysinternals 工具包中的 ProcDump 工具，通过特定参数对 Outlook 进程进行内存 dump。 “ToddyCat 高级持续性威胁（APT）团伙持续迭代攻击技术，不断探索可隐藏自身活动的手段，以获取受攻陷基础设施内的企业邮件数据，” 卡巴斯基总结道。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多家安全厂商近期接连发出预警，npm 代码仓库正遭遇新一轮网络攻击。此次攻击手法与此前的 “沙虫” 攻击如出一辙，这轮被命名为 “沙虫二号” 的供应链攻击事件已入侵数百个 npm 软件包。据艾基多、螺旋卫士、锦鲤安全、赛克特、斯特普安全及维兹安全等机构报告，这些植入恶意代码的 npm 软件包于 2025 年 11 月 21 日至 23 日期间被上传至 npm 平台。 维兹安全的研究人员指出：“此次攻击推出了恶意代码的新型变种，其会在软件预安装阶段执行恶意程序，这使得代码构建与运行环境面临的安全风险大幅上升。” 今年 9 月，“沙虫” 攻击事件浮出水面。与该事件类似，此次攻击也会将窃取的机密信息上传至代码托管平台吉特哈伯，且相关代码仓库的描述标注为 “沙虫二号：卷土重来”。 上一轮 “沙虫” 攻击的主要手段是入侵正规软件包并植入恶意代码。这些恶意代码会借助 “松露猎猪” 凭证扫描工具，搜查开发人员设备中的机密信息，并将信息传输至攻击者控制的外部服务器。此外，受感染的软件包变种还具备自我复制传播能力，会重新上传至遭入侵的开发者名下的其他 npm 软件包中。 而在此次攻击中，攻击者在软件配置文件（package.json）内添加了一个名为 “初始化邦恩脚本” 的预安装脚本。该脚本的作用是秘密安装或定位邦恩运行环境，进而执行内置的恶意脚本 “邦恩环境脚本”。 这款恶意程序会通过两种不同的工作流程执行一系列攻击操作： 将受感染的设备注册为一台名为 “沙虫二号” 的自建运行器，并添加一个路径为.github/workflows/discussion.yaml 的工作流程。该流程存在注入漏洞，且仅在自建运行器上运行。攻击者可通过在吉特哈伯代码仓库发布讨论帖的方式，在受感染设备上执行任意指令； 窃取吉特哈伯平台机密区存储的所有机密信息，并将这些信息以文件附件的形式上传至窃取信息专用代码仓库中一个名为 “操作机密文件” 的文件内。文件上传完成后会同步到攻击者控制的设备，随后该工作流程会被删除，以此掩盖攻击痕迹。 螺旋卫士安全团队表示：“恶意程序运行后，会下载并启动‘松露猎猪’工具扫描本地设备，窃取 npm 令牌、亚马逊云科技 / 谷歌云 / 微软云平台凭证以及环境变量等各类敏感信息。” 维兹安全监测到，此次攻击已波及约 350 名独立用户名下的 2.5 万余个代码仓库。在监测的最后数小时内，每 30 分钟就有 1000 个新仓库遭入侵，且该趋势持续蔓延。 维兹安全分析称：“此次攻击延续了此前‘沙虫’系列攻击针对 npm 供应链的攻击模式，且攻击名称与攻击技巧均与前者相关，但攻击者可能已更换。攻击者盗用软件开发者账号，发布植入恶意代码的正规 npm 软件包，这类软件包会在安装过程中执行凭证窃取与外传程序。” 锦鲤安全指出，第二轮攻击的攻击性显著增强。若恶意程序无法完成身份验证或无法在设备中常驻，便会试图删除受害者设备中的整个用户主目录，涵盖当前用户主目录下所有可写入的文件。不过，这种类似文件清除程序的功能仅在满足以下全部条件时才会触发： 无法通过吉特哈伯的身份验证； 无法创建吉特哈伯代码仓库； 无法获取吉特哈伯令牌； 无法找到 npm 令牌。 安全研究人员尤瓦尔・罗南与伊丹・达迪克曼表示：“也就是说，一旦‘沙虫二号’无法窃取凭证、获取令牌，也无法打通信息外传通道，就会启动毁灭性的数据销毁程序。相较于首轮仅以窃取数据为目标的攻击，此次攻击手段出现明显升级，攻击者的目的已从单纯的数据窃取转变为报复性破坏。” 此外，该恶意程序还会通过执行容器命令获取设备的超级管理员权限。其会将主机的根文件系统挂载到特权容器中，随后植入恶意的超级用户配置文件。攻击者凭借该配置文件，无需密码即可获取受感染设备的超级管理员权限。 针对此次安全威胁，安全专家建议相关机构采取以下防护措施：全面排查所有终端设备，确认是否安装了受感染的软件包；立即卸载存在安全隐患的软件版本；更换所有相关凭证；检查代码仓库的常驻程序，重点排查.github/workflows 路径下是否存在 “沙虫工作流程配置文件” 等可疑文件，同时留意仓库中是否出现异常分支。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体正利用伪装成流行软件的虚假安装程序，诱骗用户安装恶意软件。这场全球性的恶意广告活动被命名为 TamperedChef。 根据安克提斯威胁研究单位的最新报告，此攻击的最终目的是建立持久性控制并投放JavaScript恶意软件，以实现远程访问和控制。这家总部位于新加坡的公司指出，该攻击活动仍在持续，新的恶意样本不断被发现，相关基础设施也保持活跃。 研究人员Darrel Virtusio和Jozsef Gegeny表示：”攻击操作者依赖社会工程学手段，使用日常应用程序名称、恶意广告、搜索引擎优化以及被滥用的数字证书，旨在增加用户信任并规避安全检测。” TamperedChef 是一场长期攻击活动的代号，该活动利用看似合法的各类实用工具安装程序，来传播一款同名的信息窃取恶意软件。据评估，它是代号为 EvilAI 的更大规模攻击行动的一部分，该行动使用与人工智能工具和软件相关的诱饵进行恶意软件传播。 为使这些假冒应用披上合法外衣，攻击者使用为在美国、巴拿马和马来西亚注册的空壳公司所颁发的代码签名证书对程序进行签名。当旧证书被吊销后，他们会以不同公司名义获取新证书。 安克提斯将此基础设施描述为”工业化且如同正规商业运作”，这有效帮助了操作者稳定地批量生成新证书，并利用人们对签名应用固有的信任，将恶意软件伪装成合法软件。 需要特别指出的是，TrueSec和G DATA追踪的这款名为TamperedChef的恶意软件，被Expel称为BaoLoader。它与最初作为EvilAI活动一部分分发、嵌入在恶意食谱应用中的原始TamperedChef恶意软件并不相同。 安克提斯向The Hacker News透露，他们选择使用TamperedChef来指代该恶意软件家族，因为此名称已被网络安全界广泛采纳。他们表示：”这有助于避免混淆，并与其他厂商现有的出版物和检测名称保持一致，这些厂商同样将该恶意软件家族称为TamperedChef。” 典型攻击流程如下： 用户在Bing等搜索引擎上搜索PDF编辑器或产品手册时，会看到恶意广告或被篡改的URL。点击后，用户会被引导至托管在NameCheap上的陷阱域名，这些域名会诱骗用户下载安装程序。 用户执行安装程序后，会被提示同意程序的许可条款。接着，在安装完成时，程序会打开一个新的浏览器标签页显示感谢信息，以维持骗局。然而，在后台，一个XML文件被释放，用于创建计划任务，该任务旨在启动一个经过混淆处理的JavaScript后门。 这个后门随即会连接到一个外部服务器，并通过HTTPS发送经过加密和Base64编码的JSON字符串，其中包含会话ID、机器ID和其他元数据等基本信息。 尽管如此，该攻击活动的最终目的仍然不甚明确。研究发现某些变种会协助进行广告欺诈，这表明了其背后的经济动机。威胁行为体也可能试图将其网络访问权限转售给其他网络犯罪分子，或者窃取敏感数据在地下论坛出售以实施欺诈。 遥测数据显示，大部分感染集中在美国，其次是以色列、西班牙、德国、印度和爱尔兰。医疗保健、建筑和制造业是受影响最严重的行业。 研究人员指出：”这些行业似乎对此类攻击活动尤其缺乏抵抗力，这可能是因为它们高度依赖专业性强、技术含量高的设备，这常常促使用户在线搜索产品手册——而这一行为正被TamperedChef攻击活动所利用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰警方查获了 250 台运行 “防弹主机” 服务的服务器，该服务专为网络犯罪分子所用，自 2022 年以来已涉及 80 多起网络犯罪调查。 荷兰国家警察部队（Politie）在声明中表示：“在对一家非法主机服务商的调查中，荷兰东部网络犯罪调查小组查获了数千台服务器。警方称，该主机服务商完全用于犯罪活动。调查显示，自 2022 年以来，该公司已出现在国内外 80 多起网络犯罪调查中，且近期仍在被用于实施犯罪活动。” 荷兰警方已将数千台虚拟服务器下线，此举既阻断了犯罪分子对该服务的使用，也为后续调查提供了支持。 何为 “防弹主机”？ “防弹主机”（Bulletproof Hosting）是一种故意无视或抵制滥用举报、下架请求及执法命令的主机服务，其设计目的是让用户能够开展非法或有害活动，且被关闭的风险极低。 此类服务的典型犯罪用途包括： 恶意软件命令与控制（C2）服务器 钓鱼网站与诈骗网站 勒索软件基础设施 僵尸网络控制面板 数据泄露或勒索网站 这些服务商通常在执法力度薄弱的司法管辖区运营，或频繁迁移基础设施以规避检测。 此次服务器查获行动，使得调查人员能够深入调查服务器上的犯罪活动，同时阻止该 “防弹主机” 服务被用于进一步的网络犯罪。 尽管荷兰当局未披露被查获的 “防弹主机” 服务商名称，但有消息人士向 BleepingComputer 透露，荷兰警方从海牙某数据中心扣押了隶属于 CrazyRDP 的服务器，目前该服务已下线。CrazyRDP 提供无需实名认证（no-KYC）、无日志记录的匿名虚拟专用服务器（VPS）/ 远程桌面协议（RDP）服务，常被威胁行为者推荐作为 “防弹主机” 使用。该平台的 Telegram 频道已删除所有帖子并迁移至新频道，用户在新频道中反映其丢失了多台服务器，并担心遭遇 “跑路诈骗”（exit scam）。CrazyRDP 的客服起初将问题归咎于数据中心故障，随后便停止更新相关信息，目前事态进展尚不明确。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一系列影响人工智能推理引擎的关键漏洞，波及Meta、英伟达、微软及vLLM、SGLang等开源项目。这些被统称为”ShadowMQ”的安全隐患，均源于ZeroMQ与Python pickle反序列化的不安全使用模式。 漏洞根源可追溯至Meta Llama大型语言模型框架中的一个缺陷（CVE-2024-50050）。该框架通过ZeroMQ套接字在网络暴露，并利用recv_pyobj()方法对传入数据执行pickle反序列化，使得攻击者可通过发送恶意数据实现任意代码执行。 研究机构Oligo发现，相同的不安全模式已在多个推理框架中重现：英伟达TensorRT-LLM（CVE-2025-23254，已修复）、微软Sarathi-Serve（未修复）、Modular Max Server（已修复）、vLLM（CVE-2025-30165，默认引擎切换）及SGLang（不完全修复）。调查显示，这些漏洞多源于直接复制粘贴代码行为——例如SGLang承认适配vLLM代码，而Modular Max Server则同时借鉴了这两个项目的逻辑。 作为AI基础设施的核心组件，推理引擎一旦被攻陷，攻击者可在集群中执行任意代码、提升权限、窃取模型，甚至部署加密货币挖矿程序等恶意负载。研究人员指出：”项目开发速度惊人，借鉴架构组件已成常态，但当代码复用包含不安全模式时，后果将快速扩散。” 同期另一报告显示，AI代码编辑器Cursor的内置浏览器同样存在风险，可通过JavaScript注入技术窃取凭证，恶意扩展程序更可能使开发者工作站完全失控。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织与欧洲司法组织联手开展全球行动，捣毁涉案 6 亿欧元加密货币诈骗网络，已有 9 人因涉嫌参与某加密货币洗钱网络被捕。 据欧洲司法组织（Eurojust）今日发布的声明，这场行动于 10 月 27 日至 29 日期间在塞浦路斯、西班牙和德国同步开展，被捕嫌疑人被控参与诈骗相关洗钱活动。 执法部门在嫌疑人住所实施逮捕的同时，还开展了搜查行动，共查获银行账户资金 80 万欧元（约 91.8 万美元）、加密货币 41.5 万欧元（约 47.6 万美元）以及现金 30 万欧元（约 34.4 万美元）。部分信源显示，此次搜查还扣押了价值超 10 万欧元（约 11.48 万美元）的奢侈品手表，相关涉案房产仍在评估中。 除欧洲司法组织外，法国、比利时、塞浦路斯、德国和西班牙的执法机构也参与了这场 “同步化” 行动，欧洲刑警组织（Europol）为调查提供了关键支持。 欧洲司法组织表示：“该犯罪网络搭建了数十个伪装成合法网站的虚假加密货币投资平台，以高回报为诱饵吸引投资者。他们通过社交媒体广告、陌生电话推销、虚假新闻报道以及伪造名人或成功投资者的推荐证言等多种方式招募受害者。” 一旦受害者向这些虚假平台投入资金，其加密资产便会通过区块链技术被洗钱转移，该犯罪网络最终非法获利约 6 亿欧元。执法部门透露，犯罪分子会将资金在多个钱包和交易所之间流转，以此掩盖资金来源。 欧洲司法组织指出，此次洗钱及诈骗网络的调查工作始于受害者投诉无法取回投资款之后，最终以上周开展的突袭行动收尾。另有消息显示，法国当局在 2023 年收到多起加密货币诈骗报案后，相关调查便已启动。 此次案件披露之际，欧洲刑警组织表示，加密货币和区块链技术的非法使用正变得日益专业化、精密化和有组织化，应对这种 “无国界特性” 的威胁需要采取同等规模的协同应对措施。 该机构强调：“执法部门、私营部门合作伙伴及学术界正迅速提升应对复杂加密货币相关犯罪和洗钱活动威胁的能力。先进工具减少了对人工追踪的依赖，而一系列成功的跨境行动则彰显了合作的力量。” 据悉，涉案嫌疑人目前正在多个国家接受司法审理，面临有组织诈骗、洗钱、提供无资质投资服务及参与犯罪团伙等多项指控。根据法国法律，此类违法行为最高可判处 10 年监禁和 100 万欧元（约 115 万美元）罚款。比利时、塞浦路斯、德国和西班牙的当局仍在持续收集证据，并调查可能存在的其他涉案人员。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞（CVE-2025-20352），部署 Linux rootkit 并获取持久访问权限。 此次攻击所利用的安全问题，影响思科 IOS 和 IOS XE 系统中的简单网络管理协议（SNMP）。若攻击者拥有 root 权限，便可通过该漏洞实现远程代码执行（RCE）。 据网络安全公司趋势科技（Trend Micro）称，攻击目标主要是思科 9400、9300 系列交换机，以及老旧的 3750G 系列设备，这些设备均未部署端点检测与响应解决方案。 在 10 月 6 日更新的 CVE-2025-20352 原始公告中，思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队（PSIRT）表示，已知该漏洞 “已被成功利用”。 趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”（Operation Zero Disco），原因是恶意软件会设置一个通用访问密码，其中包含 “disco” 一词。 趋势科技的报告指出，威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞，位于 IOS 和 IOS XE 系统的集群管理协议（Cluster Management Protocol）代码中。 在易受攻击的系统上植入的 rootkit，具备一个 UDP 控制器，该控制器可实现多种功能：监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表（ACLs）、启用 / 禁用通用密码、隐藏运行配置项，以及重置这些配置项的最后修改时间戳。 研究人员在模拟攻击中证实，攻击者可通过该 rootkit 实现多项操作：禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则，以及在不同虚拟局域网（VLAN）间横向移动。 尽管新型交换机借助地址空间布局随机化（ASLR）保护，对这类攻击的抵抗力更强，但趋势科技表示，它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。 研究人员称，rootkit 部署完成后，恶意软件会 “在 IOSd 进程上安装多个钩子（hooks），导致无文件组件在设备重启后消失”。 目前，研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。 趋势科技指出，当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击，建议对底层固件和只读存储器（ROM）区域进行深度排查。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，代号为 UNC5142、以经济利益为动机的威胁行为体，正滥用区块链智能合约分发信息窃取器，涉及 Atomic（AMOS）、Lumma、Rhadamanthys（又称 RADTHIEF）及 Vidar 等类型，攻击目标涵盖 Windows 和苹果 macOS 系统。 谷歌威胁情报小组（GTIG）在提交给《黑客新闻》（The Hacker News）的报告中表示：“UNC5142 的显著特征是，利用受入侵的 WordPress 网站和‘EtherHiding’技术 —— 这种技术通过将恶意代码或数据存储在公共区块链（如币安智能链 BSC）上实现隐藏。” 谷歌指出，截至 2025 年 6 月，已标记约 1.4 万个包含注入式 JavaScript 的网页，这些脚本表现出与 UNC5142 相关的行为，表明该团伙在无差别攻击存在漏洞的 WordPress 网站。但这家科技巨头同时提到，自 2025 年 7 月 23 日起，未再发现任何 UNC5142 的活动痕迹，这一现象可能意味着其行动暂停，也可能是运营方向发生转变。 EtherHiding 技术最早由 Guardio Labs 于 2023 年 10 月记录在案。当时该实验室详细披露了一系列攻击事件：受感染网站会弹出虚假浏览器更新提示，攻击者通过这些网站利用币安智能链（BSC）合约分发恶意代码。 支撑整个攻击链的关键组件，是一款名为 CLEARSHORT 的多阶段 JavaScript 下载器，它能通过被入侵网站分发恶意软件。攻击流程分为两个主要阶段：第一阶段是将 JavaScript 恶意代码注入目标网站，该代码会与存储在币安智能链（BSC）上的恶意智能合约交互，获取第二阶段内容；第一阶段恶意代码通常被添加到网站的插件相关文件、主题文件中，部分情况下甚至直接注入 WordPress 数据库。 而智能合约的作用是，从外部服务器获取 CLEARSHORT 的钓鱼落地页。该落地页会采用 “ClickFix” 社会工程策略，诱骗受害者在 Windows 的 “运行” 对话框（或 macOS 的 “终端” 应用）中执行恶意命令，最终使系统感染窃取器恶意软件。自 2024 年 12 月起，这些落地页（通常托管在 Cloudflare 的.dev 域名下）开始以加密格式传输。 CLEARSHORT 感染链 在 Windows 系统中，恶意命令会触发执行一个从 MediaFire 链接下载的 HTML 应用程序（HTA 文件）。该文件随后释放 PowerShell 脚本以绕过防御机制，从 GitHub、MediaFire 或攻击者自身基础设施（部分情况下）获取加密的最终载荷，并直接在内存中运行窃取器，不在磁盘上留下文件痕迹。 在 2025 年 2 月至 4 月针对 macOS 系统的攻击中，攻击者利用 ClickFix 诱饵，诱导用户在终端中运行一条 bash 命令，该命令会获取一个 shell 脚本。脚本随后通过 curl 命令，从远程服务器下载 Atomic 窃取器载荷。 UNC5142 最终载荷的时间分布 经分析，CLEARSHORT 被认定为 ClearFake 的变体。2025 年 3 月，法国网络安全公司 Sekoia 曾对 ClearFake 进行深入分析。ClearFake 是一套部署在受入侵网站上的恶意 JavaScript 框架，通过 “无交互下载” 技术分发恶意软件，自 2023 年 7 月起开始活跃，2024 年 5 月前后其攻击活动中开始采用 ClickFix 策略。 滥用区块链技术为 UNC5142 带来多重便利：这种巧妙的技术不仅能混入正常的 Web3 活动，还能提升 UNC5142 运营的韧性，使其更难被检测和溯源打击。 谷歌表示，过去一年间，该威胁行为体的攻击活动不断演进：2024 年 11 月起，从 “单一合约系统” 升级为更复杂的 “三智能合约系统”，以提升运营灵活性；2025 年 1 月初，这套系统又经历了进一步优化。 谷歌解释道：“新架构借鉴了合法软件设计中的‘代理模式’—— 开发者通常用这种模式实现合约的可升级性。” “该架构本质上是一套高效的‘路由 – 逻辑 – 存储’体系，每个合约承担特定功能。这种设计能让攻击者快速更新攻击中的关键部分（如落地页 URL 或解密密钥），且无需修改受入侵网站上的 JavaScript 代码。最终使攻击活动更灵活，且更难被溯源打击。” UNC5142 实现这一点的关键，在于利用智能合约数据的可修改性（需注意，程序代码一旦部署便不可更改）来修改载荷 URL。执行这类更新所需的网络费用，通常在 0.25 美元至 1.50 美元之间。 进一步分析发现，该威胁行为体使用两套独立的智能合约基础设施，借助 CLEARSHORT 下载器分发窃取器恶意软件。其中，“主基础设施”（Main）创建于 2024 年 11 月 24 日；“次要基础设施”（Secondary）则是并行架构，于 2025 年 2 月 18 日完成资金注入。 GTIG 表示：“主基础设施是核心攻击基础设施，特点是创建时间早、更新频率稳定。次要基础设施则是并行的战术性部署，推测用途包括支持特定时期的攻击激增需求、测试新型诱饵，或单纯增强运营韧性。” “过去一年半里，该团伙的感染链频繁更新、运营节奏稳定、受入侵网站数量庞大、分发的恶意软件类型多样。种种迹象表明，UNC5142 的攻击活动很可能已取得一定程度的成功。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗影像服务提供商西蒙医疗影像公司（SimonMed Imaging）正向超过 120 万人发出通知，告知其敏感信息在一场数据泄露事件中遭到泄露。 西蒙医疗影像公司是一家门诊医疗影像及放射科服务提供商，提供的服务包括磁共振成像（MRI）、计算机断层扫描（CT）、X 光、超声波、乳房 X 光检查、正电子发射断层扫描（PET）、核医学、骨密度检测以及介入放射学检查等项目。这家放射科公司在美国 11 个州运营着约 170 家医疗中心，年收入超过 5 亿美元。 三周的未授权访问 根据提交给有关部门的通知显示，黑客在今年年初的 1 月 21 日至 2 月 5 日期间入侵了西蒙医疗的系统，并非法访问了该公司的网络。1 月 27 日，西蒙医疗从其一家供应商处得知了此次数据泄露事件，该供应商当时发出警报称 “自身正遭遇安全事件”。在启动调查后，这家医疗公司于次日确认其网络存在可疑活动。 该公司表示：“在发现我们成为恶意攻击的受害者后，我们立即展开调查，并采取措施控制事态发展。” 所采取的措施包括重置密码、启用多因素身份认证、增加终端检测与响应（EDR）监控、取消第三方供应商对西蒙医疗内部系统及其相关工具的直接访问权限，以及将进出流量限制在可信连接范围内。 该公司还已通知执法部门，并寻求数据安全与隐私专业人士的服务支持。 除全名外，西蒙医疗尚未公开黑客窃取的具体信息内容，但考虑到医疗影像公司系统中存储的数据类型，被盗信息可能包含高度敏感内容。 不过，该公司强调，截至 10 月 10 日（即通知发布当日），尚无证据表明被访问的信息已被用于欺诈或身份盗窃等非法活动。收到通知函的人员可通过益博睿（Experian）免费订阅身份盗窃防护服务。 美杜莎勒索软件团伙声称实施了此次攻击 2 月 7 日，美杜莎（Medusa）勒索软件团伙在其勒索门户网站上公开了西蒙医疗影像公司的相关信息，声称窃取了 212GB 的数据。 为证明攻击属实，黑客还泄露了部分数据，其中包括身份证扫描件、包含患者详细信息的电子表格、支付详情、账户余额、医疗报告以及原始影像扫描件等内容。 当时，黑客要求支付 100 万美元赎金，若需延期一天公布所有被盗文件，则需额外支付 1 万美元。 目前，西蒙医疗影像公司已不再出现在美杜莎勒索软件的数据泄露网站名单中。这一情况通常表明该公司已与黑客就赎金问题进行谈判并完成了支付。 美杜莎勒索软件即服务（RaaS）运营模式于 2023 年推出，该团伙因袭击明尼阿波利斯公立学校（MPS）等事件而声名狼藉，还曾将丰田金融服务公司列为攻击目标。 美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）以及多州信息共享与分析中心（MS-ISAC）在 2025 年 3 月联合发布的一份预警报告中，对美杜莎勒索软件的活动发出警告，指出该威胁团伙已影响到美国超过 300 家关键基础设施机构。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文