HackerNews 编译，转载请注明出处： 与伊朗有关的威胁行为体在一次未遂导弹袭击前，曾对船只自动识别系统（AIS）数据进行测绘。这表明，与德黑兰结盟的组织正在利用网络行动来支持并增强现实世界的实体攻击。 这项研究证明，网络战与传统实体作战之间的界限正迅速变得模糊。 亚马逊的威胁情报团队指出，国家背景的行为体正越来越多地利用网络行动来支持和增强实体攻击，他们将此趋势称为“网络赋能实体攻击”。 亚马逊发布的报告称：”我们正目睹国家行为体在战争方式上的根本性转变。这些不仅仅是恰好造成物理损坏的网络攻击；它们是经过协调的行动，其中数字操作被专门设计用来支持实体军事目标。” 在亚马逊专家描述的第一个案例中，与伊朗有关的APT组织”Imperial Kitten” 利用网络入侵来支持现实世界的海上攻击。2021年12月，他们入侵了一个船舶AIS平台；到2022年8月，他们扩大了活动范围，甚至访问了船载闭路电视系统以获取实时情报。2024年1月27日，他们搜索了一艘特定船只的AIS数据，标志着其转向了针对性跟踪。几天后的2024年2月1日，胡塞武装向该船只发动了导弹袭击。该案例显示了网络侦察如何能直接促成对海上目标的精确实体攻击。 研究人员描述的第二个案例涉及另一个伊朗关联的APT组织”MuddyWater”，其参与了支持实体攻击的网络行动。2025年5月13日，该组织为其活动架设了服务器。到6月17日，他们访问了另一台被入侵的服务器，该服务器正从耶路撒冷流式传输实时闭路电视画面，从而获得了实时情报。6月23日，伊朗向该市发动了导弹袭击，而以色列官员确认攻击者利用了被黑客入侵的摄像头来调整打击目标。该案例凸显了被入侵的监控系统如何能直接支持实体攻击。 报告进一步指出：”这个时间点并非巧合。正如《The Record》所报道，以色列官员曾敦促公民断开联网安全摄像头的连接，并警告伊朗正在利用它们来’收集实时情报并调整导弹目标’。” 亚马逊的研究表明，伊朗关联组织正在使用分层的网络基础设施来支持实体攻击。他们通过匿名VPN隐藏活动，使用攻击者控制的服务器进行持久性操作，并渗透到企业系统（如闭路电视网络和海事平台）以获取高价值情报。来自被入侵传感器的实时数据流，使攻击者能够在军事打击过程中调整目标。亚马逊引入了一个新术语——“网络赋能实体攻击”——来描述那些直接协助和改进现实世界军事攻击的网络行动，因为现有术语无法完全涵盖这一现象。 报告总结道：”我们相信，网络赋能实体攻击将在多个对手中变得越来越普遍。国家行为体正在认识到将数字侦察与实体攻击相结合所带来的’力量倍增器’效应。这一趋势代表了战争形式的根本性演变，网络行动与实体作战之间的传统界限正在瓦解。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，全球最高建筑迪拜哈利法塔的消防系统服务商——NAFFCO公司遭遇网络攻击。知名勒索软件组织INC Ransom声称窃取了该公司高达1TB的内部数据，导致其陷入严重的安保与声誉危机。 NAFFCO公司总部位于迪拜，是海湾地区消防设备、消防系统、火灾报警器及安防工程系统领域的顶尖生产供应商，年收入达44亿美元。 NAFFCO的客户涵盖多个行业，包括政府机构、民防部门和应急响应组织。 该公司为迪拜多座标志性建筑打造了消防安全项目，其中包括全球最高建筑哈利法塔、阿布扎比卢浮宫以及阿曼会展中心。 在能源领域，纳夫科与阿布扎比国家石油公司、阿布扎比石油公司、扎库姆石油开发公司等大型油气企业合作，提供消防安全解决方案。 数据泄露详情 根据INC Ransom的声明，他们从NAFFCO窃取了约1TB的内部数据。该组织于11月17日在其暗网泄露网站上公布了NAFFCO的名字，并附带了47张据称是失窃数据的截图。 经研究人员分析，泄露数据可能包含： 公司运营细节：包括公司结构、员工姓名、职位、电子邮件、电话号码和项目金额 年度合同清单：包含客户公司名称、合同金额和销售代表信息 与客户公司的个别合同 员工名单：包含姓名、职位、部门、身份证件个人识别信息和签证详情 员工身份证件照片 从样本数据的类型来看，此次泄露可能引发重大风险：受影响员工面临身份盗窃和社会工程学攻击的概率大幅上升；同时，公司的商业运营细节与员工信息曝光也可能对其声誉造成损害。 危险警示 INC Ransom是一个疑似与俄罗斯有关联的勒索软件组织，于2023年7月首次出现。根据Cybernews的暗网监控工具RansomLooker数据，该组织已认领了453起攻击事件。 该团伙采用“多重勒索”模式：不仅加密受害者文件，还会窃取数据并威胁，若不支付赎金就泄露数据。 在选择目标时以 “无差别攻击” 著称，受害者涵盖医院、学校、政府机构及科技公司。 近期，该团伙声称从大型高尔夫服饰企业萨米特高尔夫品牌窃取了 47GB 数据，该公司旗下拥有 Zero Restriction、B. Draddy、Fairway & Greene、EP New York 等知名高尔夫服饰及运动品牌。 如今，这个网络犯罪集团正逐渐跻身 “最高产犯罪团伙” 之列，其受害者名单包括：美国国防部承包商斯塔克航空航天公司、旧金山芭蕾舞团、英国莱斯特市、苏格兰国民保健署邓弗里斯 – 加洛韦健康委员会，以及施乐公司。 涉案受害者还包括年营收 990 亿美元的零售巨头阿霍德德尔海兹集团，旗下包含连锁超市品牌 Stop & Shop 和 Albert Heijn。 芒特罗杰斯社区服务中心也出现在该勒索团伙的暗网泄露网站上，攻击者称从该机构系统中窃取了多项隐私信息。 该团伙甚至曾攻击过一座公墓：今年 6 月，他们将加拿大汉密尔顿教区天主教公墓列入暗网论坛的攻击名单。 今年 7 月，该团伙声称从美国北卡罗来纳州托马斯维尔市窃取了 260GB 数据。 而在今年年初，该团伙还声称攻击了印尼全国性广播及网络新闻机构 CNN 印尼频道。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一项新攻击活动的细节：攻击者结合社会工程学与 WhatsApp 劫持手段，向巴西用户分发一款名为 Eternidade Stealer 的德尔福（Delphi）语言银行木马。 Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示：“该恶意软件利用互联网消息访问协议（IMAP）动态获取命令与控制（C2）服务器地址，方便威胁行为体更新其控制服务器。” “它通过 WhatsApp 蠕虫活动传播，目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。” 此次发现紧随另一项名为 “Water Saci” 的攻击活动之后，后者同样以巴西用户为目标，通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播，进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。 Eternidade Stealer 攻击集群是一系列攻击活动的组成部分，这些活动利用 WhatsApp 在巴西的普及性，攻陷目标用户设备后，将这款即时通讯应用作为传播载体，对巴西机构发动大规模攻击。 攻击技术特点与地域针对性 另一个显著趋势是，针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高，还源于它曾在该地区的软件开发领域被广泛教授和使用。 攻击始于一个经过混淆处理的 Visual Basic 脚本，脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本，负责交付两个有效载荷，使感染链分化为两条： Python 脚本：通过 WhatsApp Web 以蠕虫方式传播恶意软件 MSI 安装程序：借助 AutoIt 脚本启动 Eternidade Stealer 这款 Python 脚本与 SORVEPOTEL 类似，会与远程服务器建立通信，并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表，同时过滤掉群组、企业联系人及广播列表。 随后，恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息，通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段，它会使用消息模板，填入基于时间的问候语和联系人姓名，向所有联系人发送恶意附件。 攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始，其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语，判断受感染设备是否位于巴西，若不满足则自动终止运行，体现出威胁行为体高度本地化的攻击目标。 恶意软件功能与控制机制 脚本随后会扫描运行进程和注册表项，确认是否存在安全软件，同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是，恶意软件通过进程注入（process hollowing）技术，将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。 作为一款德尔福语言编写的凭据窃取器，Eternidade 会持续扫描活动窗口和运行进程，查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串，包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。 研究人员表示：“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态，直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发，且不会被普通用户或沙箱环境发现。” 一旦检测到匹配项，恶意软件会联系 C2 服务器，相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制，同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱，会启用嵌入在源代码中的备用 C2 地址。 与服务器成功建立连接后，恶意软件会等待接收指令并在受感染设备上执行，使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下： <|OK|>：收集系统信息 <|PING|>：监控用户活动并上报当前活跃窗口 <|PedidoSenhas|>：根据活跃窗口发送自定义覆盖界面，窃取凭据 攻击基础设施与全球影响 Trustwave 表示，对威胁行为体基础设施的分析发现了两个面板：一个用于管理重定向系统，另一个是登录面板，可能用于监控受感染设备。重定向系统包含日志，记录了访问总数及试图连接 C2 地址的被拦截次数。 该系统仅允许巴西和阿根廷的设备访问，被拦截的连接会被重定向至 “google [.] com/error”。面板统计数据显示，454 次访问中有 452 次因地理围栏限制被拦截，仅 2 次访问被导向攻击目标域名。 在 454 条通信记录中，196 条来自美国，其次是荷兰（37 条）、德国（32 条）、英国（23 条）、法国（19 条）和巴西（3 条）。Windows 操作系统占 115 条连接，面板数据显示还有来自 macOS（94 条）、Linux（45 条）和 Android（18 条）的连接。 Trustwave 指出：“尽管该恶意软件家族及传播载体主要针对巴西，但可能的运营范围和受害者覆盖范围却遍及全球。网络安全防御人员应警惕可疑的 WhatsApp 活动、意外的 MSI 安装程序或脚本执行行为，以及与该持续攻击活动相关的威胁指标。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击活动已攻陷全球数万台过时或已停止支持（EoL）的华硕路由器，受影响设备主要集中在台湾地区、美国和俄罗斯，进而被纳入一个大型网络。 该路由器劫持活动被 SecurityScorecard 的 STRIKE 团队命名为 “WrtHug 行动”。东南亚及欧洲部分国家也出现感染案例，过去六个月内，全球已识别出超过 5 万个属于受 compromised 设备的独立 IP 地址。 攻击活动疑似利用已停止支持的华硕 WRT 路由器中的六个已知安全漏洞，获取易受攻击设备的控制权。所有受感染路由器均共享一个独特的自签名 TLS 证书，该证书有效期设定为自 2022 年 4 月起 100 年。 SecurityScorecard 表示，展示该证书的服务中，99% 是华硕 AiCloud 服务 —— 这是一项专有服务，旨在允许用户通过互联网访问本地存储。 攻击技术细节与关联威胁 该公司在提交给《黑客新闻》的报告中称：“攻击者利用专有 AiCloud 服务及已知漏洞（n-day 漏洞），在已停止支持的华硕 WRT 路由器上获取高权限。” 报告还指出，尽管此次活动并非典型的 “操作中继箱（ORB）”，但与其他关联中国的 ORB 网络及僵尸网络存在相似之处。 攻击疑似利用多个漏洞进行扩散，包括 CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912 及 CVE-2025-2492。近几个月来，另外两个针对路由器的 ORB 网络分别是 LapDogs 和 PolarEdge。 在所有受感染设备中，有七个 IP 地址同时表现出 WrtHug 和 AyySSHush 的入侵特征，这可能意味着两个攻击集群存在关联。不过，除共享同一漏洞外，目前尚无其他证据支持这一假设。 此次攻击针对的路由器型号如下： 华硕无线路由器 4G-AC55U 华硕无线路由器 4G-AC860U 华硕无线路由器 DSL-AC68U 华硕无线路由器 GT-AC5300 华硕无线路由器 GT-AX11000 华硕无线路由器 RT-AC1200HP 华硕无线路由器 RT-AC1300GPLUS 华硕无线路由器 RT-AC1300UHP CIS 定制套件 目前攻击方身份尚不明确，但活动对台湾地区的重点针对，以及与中国黑客组织此前 ORB 攻击战术的重叠，表明幕后可能是某个未知的关联中国的行为体。 SecurityScorecard 表示：“本研究凸显了恶意威胁行为体大规模感染路由器及其他网络设备的趋势日益明显。这些行为体通常（但不限于）与中国相关，他们以谨慎且精心策划的方式开展活动，以扩大和深化其全球影响力。” “威胁行为体通过串联命令注入和身份验证绕过漏洞，成功通过 SSH 部署持久化后门，还经常滥用路由器的合法功能，确保其控制在设备重启或固件更新后仍能存续。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯保险公司 VSK 遭遇重大网络攻击，系统受损导致官网、移动应用及其他数百万用户依赖的服务下线。目前该公司已耗时一周，仍在全力恢复相关服务。 作为俄罗斯规模最大的综合保险公司之一，总部位于莫斯科的 VSK 服务着约 3300 万个人客户和 50 多万家企业，业务涵盖财产险、交通险、健康险、旅游险、货运险及企业保险等多个领域。 尽管 VSK 未详细说明事件的全部影响，但大量客户涌入其社交媒体页面投诉。有用户反映无法购买车险、修改保单、获取担保函或预约医疗服务，部分人表示医疗机构因无法核实保险覆盖范围而拒绝提供服务。公司邮件服务也出现中断，VSK 已敦促客户通过平信提交咨询请求。 该公司尚未透露攻击者身份及攻击动机，俄罗斯网络安全专家向当地媒体表示，此次事件大概率为勒索软件攻击。 事件进展与官方回应 VSK 于 11 月 13 日公开确认了这一事件，称前一日检测到 “大规模网络攻击”，目前正联合外部专家推进系统恢复工作。 公司表示：“此次事件仅影响 IT 基础设施运行，客户及合作伙伴的数据安全无虞。” 同时补充称线下门店仍正常营业，并警告其企业域名已遭劫持，访问者会被重定向至虚假 Telegram 频道。 尽管 VSK 宣称未发生个人信息泄露，但与乌克兰黑客相关的 Telegram 频道已发布据称是该公司泄露信息及备份文件的截图，这些图片的真实性尚未得到独立核实。 公司背景与近期俄企网络安全态势 英国政府于 2024 年对 VSK 实施制裁，因其为俄罗斯所谓的 “影子舰队” 提供支持。这一舰队由监管薄弱的船舶组成，用于规避西方制裁、维持石油出口收入。英国方面称，VSK 是与俄罗斯相关的油轮及物流链的核心海运保险及相关服务提供商，欧盟随后也将该公司列入制裁名单。 此次攻击发生之际，俄罗斯大型企业遭遇的网络安全事件正呈激增态势。上周，俄罗斯港口运营商 Port Alliance 报告遭遇 “来自境外” 的大规模分布式拒绝服务（DDoS）攻击，核心数字系统受影响，据称攻击者意图干扰煤炭和化肥运输。10 月，俄罗斯农业与食品安全监管机构遭网络攻击，导致全国食品运输陷入混乱。目前这些事件的动机是政治性还是经济性，尚不清楚。 在 VSK 披露数据泄露几天后，亲俄黑客组织 NoName057 (16) 宣布对多家乌克兰保险公司发动 DDoS 攻击。该组织未明确将此次行动与 VSK 遇袭关联，目前也不清楚这些目标是否出现运营中断。   消息来源：therecord.media；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部及国际盟友于周三宣布，对俄罗斯知名 “防弹主机” 服务商 Media Land 实施制裁，指控其为勒索软件团伙及其他网络犯罪活动提供支持。 这家总部位于圣彼得堡的公司，向黑客提供 IP 地址、服务器和域名服务，这些资源被用于传播恶意软件、组建僵尸网络军团及实施勒索软件攻击。美国、英国和澳大利亚指控 Media Land 为在线犯罪市场，以及 Lockbit、BlackSuit、Play 等勒索软件组织提供服务。美国财政部表示，该公司的服务还被用于对美国关键基础设施实体发动多起分布式拒绝服务（DDOS）攻击。 三国同时制裁了 Media Land 的关联公司 ——Data Center Kirishi 和 ML Cloud，这两家企业为勒索软件团伙提供其他技术基础设施支持。此次制裁还涉及 Media Land 总经理亚历山大・沃洛索维克、财务经理尤利娅・潘科娃，以及据称负责收取客户付款并协调网络犯罪服务的基里尔・扎托洛金。 美国财政部副部长约翰・赫利表示：“像 Media Land 这样的所谓‘防弹主机’服务商，为网络犯罪分子提供关键支持，帮助他们攻击美国及盟国企业。” 这类公司自称 “防弹”，是因为它们不会回应网络攻击受害者的投诉或相关法律文书。 对 Aeza 集团关联实体的追加制裁 美国和英国还制裁了 Hypercore 公司，该企业是另一家 “防弹主机” 服务商 Aeza 集团的 fronts 公司。美国财政部已于 7 月对 Aeza 集团实施过制裁，但官员周三表示，该公司已更名并搭建新基础设施，切断了与原有业务的关联。 Hypercore 在英国注册，被 Aeza 集团用于规避制裁。Aeza 集团新任董事马克西姆・弗拉基米罗维奇・马卡罗夫，以及公司另一名员工伊利亚・弗拉基米罗维奇・扎基罗夫同步遭到制裁。此次制裁名单还包括塞尔维亚和乌兹别克斯坦的两家 fronts 公司 ——Smart Digital Ideas DOO 和 Datavice MCHJ。 总部同样位于圣彼得堡的 Aeza 集团，据称曾为 “BianLian” 勒索软件团伙，以及 “ RedLine ”“ Lumma ”“ Meduza ” 等信息窃取类恶意软件的运营者提供主机服务。美国财政部此前指控 Aeza 集团协助黑客针对美国国防企业和科技公司发动攻击。网络安全研究人员还发现，该集团与亲克里姆林宫的虚假信息宣传活动 “ Doppelgänger ” 存在关联，该活动至少自 2022 年起就在欧洲活跃。 配套发布网络安全防护指南 在实施制裁的同时，美国网络安全与基础设施安全局（CISA）及其他联邦机构发布了一份指南，指导各类组织应对 “防弹主机” 服务商带来的风险。 这份由联合勒索软件特别工作组制定的指南，旨在帮助互联网服务提供商和网络防御人员 “打击日益严峻的勒索软件攻击威胁”。CISA 代理局长马杜・戈图穆卡表示：“防弹主机是现代网络犯罪的核心推手之一。通过曝光这些非法基础设施并为防御者提供具体行动方案，我们能加大犯罪分子的隐藏难度，让合作伙伴更易保护美国民众日常依赖的各类系统。” CISA 网络安全部门执行助理局长尼克・安德森补充称，“防弹主机” 平台正成为网络犯罪分子越来越常用的 “帮凶”，帮助他们躲避检测、难以追踪。CISA 解释，该指南的目标是降低 “防弹主机” 基础设施的效用，迫使网络犯罪分子转向合法基础设施提供商 —— 这类服务商都会回应受害者投诉和执法部门的下架请求。 过去一年，执法机构已针对多家俄罗斯 “防弹主机” 服务商采取行动，包括 Zservers、Lolek Hosted 等，多名运营者因相关行为被判处数年监禁。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 常春藤名校普林斯顿大学近日发生重大数据泄露事件，所有曾在该校就读或毕业人员的个人信息均可能遭窃，受影响名单包括亚马逊创始人杰夫·贝索斯、美国前第一夫人米歇尔·奥巴马、美国国防部部长皮特・赫格塞思等政商界知名人士。 根据校方公告，11月10日外部攻击者入侵了普林斯顿大学发展事务处的数据库，该数据库存储着校友、捐赠者、教职员工、学生及家长等大学社区成员的信息。校方确认所有校友——包括曾入学但未毕业者——均在此次事件中受到影响。 泄露范围 作为全球最负盛名的研究型大学之一，普林斯顿培养了大量杰出人才：亚马逊CEO杰夫·贝索斯（1986届）、前第一夫人米歇尔·奥巴马（1986届）、谷歌前CEO埃里克·施密特（1976届）均位列其中。 更引人关注的是，美国现任国防部长皮特·赫格塞斯及八位最高法院大法官中的三位——塞缪尔·阿利托、埃琳娜·卡根和索尼娅·索托马约尔——的信息也可能遭泄露。 普林斯顿大学透露，此次信息泄露的受害者不仅包括校友，还涵盖校友配偶、学校捐赠者、学生家长以及历届和现任教职员工。 学校方面解释：“目前我们尚不清楚黑客具体查看或窃取了哪些信息。该数据库主要存储与学校筹款及校友联络相关的个人传记类信息，我们认为其中不包含密码、社会保障号码、信用卡信息或银行账户记录。” 攻击方式 据悉，攻击者通过钓鱼攻击获取了数据库访问权限。恶意攻击者通过电话锁定一名大学员工，冒充合法请求获取凭证后侵入系统。 这种社交工程手段与著名黑客组织Scattered Spider此前攻击英国零售商玛莎百货、美高梅度假村和凯撒娱乐的手法如出一辙。 普林斯顿大学表示，事件后，校方在24小时内成功阻断攻击，并已通报执法部门启动调查。 普林斯顿并非首所遭遇黑客入侵的常春藤盟校。今年 8 月底，哥伦比亚大学曾发生类似事件，近 90 万人信息被泄露，其中也包括大量往届校友。 顶尖高等教育机构往往是网络犯罪分子的目标。今年早些时候，一个勒索软件团伙声称对欧洲顶尖学府巴黎索邦大学发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Everest勒索软件组织宣称，已从巴西国家石油公司（Petrobras）窃取90GB敏感地震和勘探数据，并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称，事件涉及第三方服务商，其内部系统未受影响。 Everest组织在暗网泄密站点发布声明，给公司设下六天期限要求联系，否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。 Petrobras向Cybernews明确表示，其系统未发现未授权访问记录，并强调”所有敏感和战略数据均按照最严格信息安全标准保持安全”。据该公司说明，此次入侵事件与某勘探服务提供商相关，属于独立事件，不影响公司运营、客户及员工。 根据攻击者公布的信息，被盗数据包含： 原始地震导航数据（含船舶坐标） 海底节点位置信息 差分GPS精度数据 测线质量控制数据 震源方向报告 水听器与震源深度参数 震源压力数据 设备元数据与节点配置 系统状态初步质检报告 勘探进度总结PDF文件 初步质检结果与逐线结论 震源与节点间距方位数据 船舶运动参数与设备朝向 据称，这些数据包含坎波斯盆地三维和四维地震勘探信息。值得注意的是，Petrobras近期刚宣布在该盆地盐下层发现优质石油资源。公司在该赎金声明出现当日发布的新闻稿中确认：”该钻井作业已完成，含油层段通过电测录井、气体指示和流体取样得到证实。” Cybernews研究人员分析数据样本后指出：”目前无迹象表明攻击者具有实时数据访问权限，因此船舶和钻井基础设施应无直接间谍攻击风险。此次泄露主要影响企业声誉，暴露的导航数据和报告可能揭示船舶定位与使用设备，削弱公司竞争优势。” Everest组织自2021年7月开始活跃，今年持续针对关键基础设施实施攻击。本月该组织还袭击了意大利工业气体巨头SIAD集团；此前最严重的攻击导致欧洲多国机场值机系统瘫痪；9月宣称入侵宝马集团及德国第二大银行DZ Bank子公司（但银行予以否认）；7月针对邮件营销平台Mailchimp；5月袭击可口可乐中东分部并泄露近千名员工数据。     消息来源：cybernews；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，Aisuru 僵尸网络从 50 万个 IP 地址向 Azure 发起 15.7 太比特 / 秒的 DDoS 攻击，采用大规模 UDP 洪水攻击，峰值达 36 亿包 / 秒。2025 年 10 月 24 日，Azure DDoS 保护系统检测到并缓解了一场大规模多向量攻击，峰值达 15.72 太比特 / 秒、36.4 亿包 / 秒，这是有记录以来最大规模的云 DDoS 攻击，目标是澳大利亚的一个单一终端节点。 Azure 的全球保护网络对流量进行了过滤，确保服务持续在线。此次攻击来自 Aisuru 僵尸网络，这是一个 Turbo Mirai 类物联网僵尸网络，利用被入侵的家用路由器和摄像头开展攻击。 微软发布的报告中写道：“2025 年 10 月 24 日，Azure DDoS 保护系统自动检测到并缓解了一场多向量 DDoS 攻击，强度达 15.72 太比特 / 秒、近 36.4 亿包 / 秒。这是云环境中观测到的最大规模 DDoS 攻击，目标是澳大利亚的一个单一终端节点。此次攻击源自 Aisuru 僵尸网络。” 该攻击通过 50 多万个 IP 地址向单一公网地址发起大规模 UDP 洪水攻击，欺骗性较低且源端口随机，这使得追踪攻击源头更为容易。这一现象凸显了攻击者正随着互联网发展不断升级攻击规模：家用光纤速度提升和物联网设备性能增强，持续推高 DDoS 攻击的规模上限。 报告总结道：“攻击者正随着互联网本身的发展而升级攻击能力。随着光纤入户速度提升和物联网设备性能增强，攻击规模的基准线不断攀升。临近假日季，务必确保所有面向互联网的应用程序和工作负载都具备充足的 DDoS 攻击防护能力。”网络安全公司 Netscout 报告称，2025 年 10 月，基于 Mirai 的 Aisuru 物联网僵尸网络还发起过另一场规模超 20 太比特 / 秒的大规模 DDoS 攻击，主要针对在线游戏领域。 该僵尸网络利用住宅代理发起 HTTPS 反射 DDoS 攻击。其节点主要是消费级路由器、闭路电视 / 数字录像机以及其他易受攻击的客户终端设备，攻击者持续寻找新的漏洞利用方式以扩大僵尸网络规模。 Aisuru 作为 “付费 DDoS 攻击服务” 运营，避开政府和军事目标，但受感染客户设备发起的超 1.5 太比特 / 秒攻击，给宽带运营商造成了严重中断。 与其他 TurboMirai 类僵尸网络类似，Aisuru 具备额外的专用 DDoS 攻击能力和多用途功能，使攻击者能够开展其他非法活动，包括凭证填充、人工智能驱动的网页抓取、垃圾邮件发送和钓鱼攻击等。 攻击采用 UDP、TCP 和 GRE 洪水攻击方式，使用中等大小数据包，端口 / 标志位随机化。受感染客户终端设备产生的超 1 太比特 / 秒流量会扰乱宽带服务，40 亿包 / 秒以上的洪水攻击已导致路由器线路卡故障。Netscout 指出，Aisuru 和 TurboMirai 类物联网僵尸网络主要发起单向量、直接路径 DDoS 攻击，偶尔会与其他付费 DDoS 攻击服务联合开展多向量攻击。攻击类型包括中大型或小型数据包 UDP 洪水攻击、小型或大型数据包 TCP 洪水攻击，以及多达 119 种 TCP 标志位组合攻击。部分流量模仿合法 HTTP 数据包，而 HTTPS 攻击则利用内置住宅代理实施。研究人员指出，由于大多数网络缺乏特权访问和源地址验证机制，该僵尸网络的攻击流量未经过欺骗处理。 Cloudflare 称，Aisuru 僵尸网络与该公司 2025 年 9 月缓解的一场创纪录 DDoS 攻击有关，那场攻击的规模达 22.2 太比特 / 秒。     消息来源：securityaffair； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肯尼亚政府本周一上午遭遇网络攻击，多个部委官网被黑客篡改并悬挂种族主义信息长达数小时。攻击者将政府部门网站标记上白人至上主义标语。 包括内政部、卫生部、教育部、能源部、劳工部及水资源部在内的多个政府官网遭黑客接管。肯尼亚内政部发布公告确认此次事件，称多个政府网站因攻击暂时无法访问。 政府声明称：”初步调查显示，此次攻击疑似由自称‘PCP@肯尼亚’的组织实施。事件发生后，我们立即启动事件响应与恢复程序，协同相关各方减轻影响并恢复平台访问。目前局势已得到控制，系统正处于持续监控状态。” 内政部呼吁民众若掌握任何关于此次网络攻击的信息，立即联系国家肯尼亚计算机事件响应小组。 值得注意的是，与肯尼亚接壤的索马里刚于前一天报告其移民与公民事务局遭遇网络攻击。索马里政府表示发现通过电子签证入境人员的资料遭泄露，该机构正在调查事件并确定受影响人数范围。 美国驻索马里使馆指出，此事与11月11日出现的指控相关——当时黑客声称渗透该国电子签证系统，可能泄露”至少3.5万人的个人数据，其中包括数千名美国公民”。使馆补充说明：”泄露数据包含签证申请人的姓名、照片、出生日期与地点、电子邮箱、婚姻状况及家庭住址。虽然摩加迪沙使馆无法确认具体个体数据是否遭泄，但所有申请过索马里电子签证的人员都可能受到影响。” 截至周一下午，尚未有任何黑客组织宣称对这两起事件负责。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文