HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场神秘的针对性钓鱼攻击活动。该活动冒充乌克兰总统办公室，且在发起当天便宣告终止，其目的是入侵参与战争救援工作的相关机构。 根据网络安全公司 SentinelLabs 周三发布的报告，10 月 8 日开展的这场单日攻击活动，目标群体包括国际红十字会、挪威难民委员会、联合国儿童基金会的工作人员，以及其他参与战争救援的非政府组织人员。 SentinelLabs 表示，目前尚不清楚这场被标记为PhantomCaptcha的攻击活动背后主使是谁，但从目标清单可推测，攻击者试图 “获取与乌克兰援助相关的人道主义行动、重建规划及国际协调工作等方面的情报”。 SentinelOne 研究负责人汤姆・黑格尔在报告中写道，从最初的基础设施注册到攻击实施当天，这场针对性钓鱼攻击经过了六个月的准备。但攻击活动仅持续一天，相关基础设施便下线，“这表明攻击者具备精密的规划能力和对操作安全的高度重视”。 攻击手段与方式 黑客还向乌克兰顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫斯克地区的政府机构发起攻击。 他们发送了一份伪装成乌克兰总统办公室官方文件的八页PDF文档，内含恶意程序。意图引导受害者陷入一套复杂的多阶段攻击链，以此获取受害者信任并绕过传统安全防护措施。 若受害者点击 PDF 中的嵌入链接，可能会被重定向至一个伪装成视频会议应用 Zoom 官方网站的域名，而该域名实际由俄罗斯服务商 KVMKA 掌控。 尽管攻击发起当天该服务器便无法解析，但 SentinelLabs 通过 VirusTotal 数据库获取了服务器响应数据，发现其是一个伪装成 Cloudflare 分布式拒绝服务（DDoS）防护网关的虚假页面。 这为入侵受害者设备提供了两种可能的途径。 一种是将受害者重定向至真实的密码保护 Zoom 会议，黑格尔写道，这可能便于黑客与受害者进行实时社会工程学诈骗通话。 另一种则是诱导受害者不慎执行复制到剪贴板的命令，研究人员将后一种手段称为ClickFix或 Paste and Run技术。 SentinelLabs 称，PhantomCaptcha攻击的变种手段会欺骗 Windows 用户，让其从虚假的 Cloudflare DDoS 防护网关复制 “令牌”，随后按下 “Windows + R” 组合键，粘贴 “令牌” 并执行命令 —— 而该命令实际是一段旨在入侵用户电脑的 PowerShell 脚本。 攻击者能力评估 研究人员表示：“这种社会工程学攻击手段极具效力，因为恶意代码是由用户自行执行的，能够避开那些仅专注于检测恶意文件的终端安全防护系统。” 尽管黑客很快关闭了面向公众的诱骗域名，但 SentinelLabs 发现，后台命令与控制基础设施在初始攻击日之后仍处于活跃状态，“这表明基础设施具备高度隔离性，且需要维护部分基础设施以控制已入侵的系统”。 研究人员发现，在攻击次日（10 月 9 日），一个与公众诱骗域名 URL 相似的新域名完成注册，“这可能意味着攻击者计划继续开展攻击活动”。 他们的基础设施分析还发现，该攻击与另一范围更广的攻击活动存在关联。后者 “利用成人社交与娱乐内容作为诱饵，且可能与俄罗斯 / 白俄罗斯的技术开发源头有关”，不过该攻击活动被列为单独的行动集群进行追踪。 具体而言，后一攻击活动的主题与报告中提及的 “乌克兰利沃夫市一家名为‘公主男士俱乐部’（Princess Men’s Club）的成人娱乐场所” 相关，包含一个网站和一个安卓应用安装包，旨在从受入侵设备中窃取各类个人信息与设备数据。 SentinelLabs 补充称，PhantomCaptcha攻击活动的时间线显示，攻击者 “既了解进攻性操作，也熟悉防御性检测能力”。不过该公司在发布报告时表示，暂无法将这一行动集群归属于某一已知黑客组织。 该公司表示，此次攻击活动的精密程度 “表明攻击者具备高水平的操作规划能力，从长期准备、基础设施隔离到刻意控制曝光度等方面均能体现这一点”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 2025 年 Pwn2Own 爱尔兰站比赛的首日，安全研究人员成功利用了 34 个独特的零日漏洞，并获得了 52.25 万美元的现金奖励。 当天的亮点是来自 DDOS 团队的 Bongeun Koo 和 Evangelos Daravigkas，他们通过串联 8 个零日漏洞，从 WAN 接口入侵了威联通（QNAP）Qhora-322 以太网无线路由器，并进一步获取了威联通 TS-453E 网络附加存储（NAS）设备的访问权限。凭借这一成功尝试，他们赢得了 10 万美元奖金，目前以 8 分位列 “破解大师（Master of Pwn）” 排行榜第二名。 Synacktiv 团队、Summoning 团队的 Sina Kheirkhah、DEVCORE 团队以及 Rapid7 的 Stephen Fewer 也各获 4 万美元奖金，他们分别成功获取了群晖（Synology）BeeStation Plus、群晖 DiskStation DS925+、威联通 TS-453E 和 Home Assistant Green 的 root 权限。 STARLabs、PetoWorks 团队、ANHTUD 团队和 Ierae 的研究人员先后四次攻克佳能（Canon）imageCLASS MF654Cdw 多功能激光打印机；STARLabs 还入侵了 Sonos Era 300 智能音箱，赢得 5 万美元；ANHTUD 团队则利用飞利浦（Phillips）Hue Bridge 的漏洞，获得 4 万美元奖金。 Summoning 团队的 Sina Kheirkhah 和 McCaulay Hudson 通过组合两个零日漏洞构成攻击链，获取了群晖 ActiveProtect Appliance DP320 的 root 权限，再获 5 万美元奖金。 Summoning 团队在比赛首日共赢得 10.25 万美元，以 11.5 分位居 “破解大师” 排行榜榜首。 零日倡议组织（Zero Day Initiative，ZDI）举办此类赛事，旨在在威胁 actors 利用漏洞前识别目标设备中的安全缺陷，并与受影响厂商协调进行负责任的漏洞披露。在 Pwn2Own 活动中被利用的零日漏洞，厂商将有 90 天时间发布安全更新，之后趋势科技（Trend Micro）旗下的 ZDI 才会公开披露这些漏洞。 2025 年 Pwn2Own 爱尔兰站黑客大赛涵盖八个类别，目标设备包括旗舰智能手机（苹果 iPhone 16、三星 Galaxy S25、谷歌 Pixel 9）、即时通讯应用、智能家居设备、打印机、家庭网络设备、网络存储系统、监控设备以及可穿戴技术（包括 Meta 的雷朋智能眼镜和 Quest 3/3S 头显）。 今年，ZDI 还扩展了移动设备类别的攻击向量，新增手机 USB 端口 exploitation，要求参赛者通过物理连接入侵已锁屏的手机。不过，蓝牙、Wi-Fi 和近场通信（NFC）等传统无线协议仍是有效的攻击途径。 比赛次日，安全研究人员将继续针对网络附加存储、打印机、智能家居和监控系统类别的设备，以及移动设备类别中的三星 Galaxy S25 发起攻击。 正如 8 月宣布的那样，ZDI 将首次为演示 “零点击” WhatsApp 漏洞的安全研究人员提供 100 万美元奖励 —— 该漏洞需实现无需用户交互即可执行代码。 Meta 与威联通、群晖共同赞助了此次 Pwn2Own 爱尔兰站比赛，赛事于 10 月 21 日至 24 日在爱尔兰科克举行。 在去年的 Pwn2Own 爱尔兰站活动中，安全研究人员因发现 70 多个零日漏洞获得 107.875 万美元奖金，其中越南电信网络安全公司（Viettel Cyber Security）凭借在威联通、Sonos 和利盟（Lexmark）设备中发现的漏洞斩获 20.5 万美元。 2026 年 1 月，ZDI 将重返东京汽车世界技术展，举办第三届 Pwn2Own 汽车专项赛，特斯拉将再次作为赞助商参与。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报团队（GTIG）研究人员表示，已发现与俄罗斯有关联的黑客组织 Coldriver 部署了一套新型恶意软件。 GTIG 在 10 月 20 日发布的报告中指出，这套恶意软件由多个通过交付链关联的家族组成。自 2025 年 5 月 Coldriver 此前的主力恶意软件 LostKeys 被公开披露后，该新型软件似乎已取代 LostKeys 的地位。 研究人员提到，与该组织此前所有已确认的恶意软件活动相比，这套新型软件的使用更为激进。 GTIG 认为，这一现象表明 Coldriver 的恶意软件开发与行动节奏正迅速加快。 Coldriver 还拥有 Star Blizzard、Callisto 和 UNC4057 等代号，是一个被认定与俄罗斯联邦安全局（FSB）有关联的威胁组织。 该组织至少自 2017 年起开始活跃，其已知行动重点是 “凭证钓鱼” 活动，目标包括知名非政府组织（NGO）、前情报与军事官员以及北约（NATO）成员国政府，目的是开展间谍活动。 2023 年 12 月，英国国家网络安全中心（NCSC）表示，该组织是一系列持续网络攻击的幕后黑手，这些攻击旨在干预英国政治与民主进程。 2024 年 1 月，谷歌发现该组织的行动已不止于 “钓鱼窃取凭证”，还开始投放能够从目标设备中窃取敏感信息的恶意软件。 2025 年 5 月，GTIG 监测到 Coldriver 在同年 1 月至 3 月的恶意活动中，使用了一款名为 LostKeys 的新型恶意软件。 GTIG 在 10 月 20 日的新报告中称，自 LostKeys 被披露后，尚未再观察到这款恶意软件的活动痕迹。 相反，Coldriver 似乎已转向一套新型恶意软件家族，谷歌将其分别追踪为 NoRobot、YesRobot 和 MaybeRobot。 攻击始于一个 “ClickFix 风格” 的钓鱼诱饵 —— 这是一个伪造的验证码（CAPTCHA）页面，目的是诱骗受害者认为自己必须完成 “人机验证” 才能继续操作。谷歌将该诱饵追踪为 ColdCopy。 该页面会诱导用户通过 Windows 合法工具 rundll32.exe，下载并运行一个名为 NoRobot 的恶意动态链接库（DLL）。为强化 “验证码验证” 的伪装，该 DLL 的导出函数被命名为 “humanCheck”（人机检查）。 这种方式取代了过去依赖 PowerShell 的旧方法，使得监控 “基于脚本执行” 的安全工具更难检测到攻击。 NoRobot DLL 执行后会充当 “下载器” 的角色。其早期版本采用 “分钥加密” 机制，部分解密密钥隐藏在下载文件和 Windows 注册表中（例如 HKEY_CURRENT_USER\SOFTWARE\Classes.pietas 路径下）。这一设计增加了分析难度，因为缺失任何一个组件都会导致解密失败。 随后，NoRobot 会从恶意域名 inspectguarantee [.] org 获取三个内容：一个自解压的 Python 3.8 安装程序、两个加密的 Python 脚本（分别为 libsystemhealthcheck.py 和 libcryptopydatasize.py），以及一个用于确保恶意软件在设备重启后仍能运行的计划任务。 这些 Python 脚本会协同工作，解密并启动一个精简的、基于 Python 的第一阶段后门程序 —— 谷歌将其追踪为 YesRobot。该后门通过 HTTPS 协议与硬编码的命令与控制（C2）服务器通信。 GTIG 指出，Coldriver 仅使用了 YesRobot 两周就将其弃用，原因很可能是该软件操作繁琐且易被检测 —— 尤其是 “安装 Python 环境” 这一步骤会留下明显痕迹。 研究人员认为，在 LostKeys 被曝光后，YesRobot 仅是该组织临时使用的 “过渡工具”。 2025 年 6 月前后，Coldriver 转而使用 MaybeRobot—— 一款更灵活的、基于 PowerShell 的后门程序，且无需依赖 Python 脚本。 在这一新版攻击链中，NoRobot 的功能被简化：仅需获取一个登录脚本，通过在用户登录脚本中添加 PowerShell 命令，即可实现 MaybeRobot 的持久化运行。 MaybeRobot 采用自定义 C2 协议，包含三项核心命令： 从指定 URL 下载并执行文件 通过 cmd.exe 运行命令 执行 PowerShell 代码块 与 YesRobot 不同，MaybeRobot 的设计具备 “可扩展性”，意味着攻击者可动态发送复杂命令；但该后门本身仍缺乏部分内置功能，例如 “自动数据窃取”。 2025 年 6 月至 9 月期间，Coldriver 持续对 NoRobot 进行迭代，在 “简化版” 与 “复杂版” 感染链之间交替切换。这种操作既能阻碍安全人员分析，又能确保 MaybeRobot 这款 PowerShell 后门稳定交付。 该组织还频繁进行细微调整，例如轮换基础设施、文件名和导出函数。这些举动体现了 Coldriver “适应性强的攻击手法”，迫使防御方必须捕获多个攻击组件，才能完整还原攻击过程。 GTIG 的这份报告进一步补充了 Zscaler 在 9 月发布的研究内容。在 Zscaler 的追踪体系中，NoRobot 被命名为 BaitSwitch，MaybeRobot 则被命名为 SimpleFix。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日破获一起大规模诈骗案件，诈骗分子仿冒新加坡高级官员身份实施犯罪。 该诈骗团伙利用经过验证的谷歌广告（Google Ads）、虚假新闻网站和深度伪造（deepfake）视频，诱骗受害者进入虚假投资平台。为营造可信度，诈骗活动还谎称与新加坡总理黄循财（Lawrence Wong）及国家安全统筹部长尚穆根（K Shanmugam）有关联。 根据 Group-IB 公司今日发布的报告，该诈骗活动专门针对新加坡居民，通过配置谷歌广告使其仅对本地 IP 地址可见。点击广告的受害者会被引导至一系列跳转网站，这些网站的作用是隐藏最终的诈骗目的地 —— 一个在毛里求斯注册的外汇投资平台。 调查人员确认，该诈骗活动背后共有 28 个经过验证的广告客户账户。这些账户大多由保加利亚个人注册，其余则来自罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦。 这些账户投放的恶意谷歌广告以 “高收益回报” 为诱饵，将用户引导至 52 个中间域名。这些域名再将用户重定向至仿冒主流媒体的虚假新闻页面，包括仿冒新加坡亚洲新闻台（CNA）和雅虎新闻（Yahoo! News）的网站。 Group-IB 还发现，共有 119 个恶意域名模仿主流新闻网站。例如，仿冒的 CNA 网站发布了一段深度伪造视频，视频中 “黄循财总理” 为名为 “即时时代”（Immediate Era）的项目站台；而仿冒的雅虎新闻文章则谎称 “尚穆根部长” 为该投资平台背书。 为躲避监管检测，诈骗分子采用了多种高级规避技术，包括 IP 过滤、开发者工具检测和 URL 参数拦截，确保诈骗内容仅对新加坡境内的真实用户可见。 一旦受害者提供联系方式，诈骗分子会通过电话或邮件联系对方，并施压要求其进行投资。而当受害者尝试提现时，诈骗分子常以 “行政流程” 为由拖延或拒绝处理。 尽管这个在毛里求斯注册的投资平台持有监管牌照，看似合法，但 Group-IB 指出，其位于塞浦路斯的母公司曾多次被暂停业务，并于 2022 年失去了英国的经营授权。 Group-IB 估算，上个月共有 3808 名新加坡人点击了该恶意广告，其中 685 人被引导至诈骗网站。该团队认为，此案体现了网络诈骗的 “专业化” 趋势 —— 犯罪分子整合经过验证的广告网络、监管漏洞和 AI 驱动的媒体操纵技术，以实现对用户的欺骗。 专家提醒，语法错误、URL 可疑等传统诈骗 “警示信号” 已不再可靠，并建议用户采取以下措施： 独立核实投资宣传内容的真实性 避免在陌生网站上提供个人信息 对网络广告中出现的名人或官员背书保持警惕 Group-IB 表示：“如今，无论是调查人员还是普通用户，都必须从整体角度评估诈骗行为。” “需综合考虑技术指标、行为特征和场景背景，才能有效识别诈骗。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着美国执法人员与公众之间的紧张关系达到临界点，在近期一次大规模协同黑客攻击事件中，美国国土安全部与司法部的数百名雇员遭遇“人肉搜索”，黑客已曝光数百名执法人员的个人信息。 据 404 media 报道，信息泄露发生之际，特朗普政府正重启对抗议活动及移民事务的严厉打击行动。国土安全部与移民海关执法局执法人员在各大城市实施抓捕，批评人士将这些场景描述为“政府批准的绑架行为”。 特朗普政府多次称执法人员“面临威胁”，但批评者认为，这一说法只是为“信息保密”、“过度使用武力”及“压制公众监督”提供正当理由。 政府还施压各平台下架“ICEBlock”等用于追踪和举报移民海关执法局的应用程序。目前白宫尚未就此次数据泄露事件置评，受影响部门也未公开承认信息泄露的波及范围。 近千名执法人员信息遭曝光 此次数据泄露由黑客组织“Com”发起，该组织此前曾实施多起具有政治动机的信息泄露及高级别网络攻击。 据称，此次最新行动曝光了680名国土安全部雇员、190名司法部官员的个人信息，以及170名联邦调查局工作人员的电子邮件地址。 黑客组织在“ScatteredLAPSUS$Hunters”Telegram频道中留言称：“大伙儿接下来想让国税局上榜吗？” 据404媒体报道，泄露的信息包括姓名、办公地点，部分信息还涉及家庭住址。记者已通过独立渠道核实，大部分泄露信息属实。 该Telegram频道中另一条疑似帖子嘲讽道：“墨西哥，把钱还给我”，此举可能是在嘲讽国土安全部关于贩毒集团已悬赏追杀联邦特工的说法。 据据称获取的情报显示，贩毒集团已指示其支持者（包括芝加哥的街头帮派）追踪、骚扰甚至暗杀联邦执法人员。 文件显示，贩毒集团设立了结构化悬赏体系以煽动暴力行为，悬赏金额根据目标职位等级及攻击性质逐级递增： 收集执法人员情报或对其实施“人肉搜索”（包括拍摄照片、确认其家庭成员身份），可获得2000美元报酬； 绑架执法人员或对一线探员实施非致命袭击，可获得5000至10000美元报酬； 暗杀高级别官员，报酬据称最高可达50000美元。 国土安全部执法人员遭攻击 随着公众对移民政策的反对情绪升温，曝光执法人员私人信息可能对其安全构成威胁。10月9日，国土安全部发布声明，谴责此类“危险的人肉搜索攻击”。 声明在新闻稿中指出：“我们的执法人员遭遇袭击的次数增长超1000%，其家人也面临人肉搜索及网络威胁。” 新闻稿显示，9月，联邦大陪审团对三名女性提起诉讼。这三人曾通过直播追踪一名移民海关执法局探员至其住所，高喊“邻居是移民海关执法局的人！”“移民海关执法局的人住你这条街，你们该知道！”，随后还在Instagram上公开了该探员的住址。一场抗议活动就此演变为实时直播的“人肉搜索”行动。 在得克萨斯州，一名移民海关执法局探员的配偶接到威胁电话，对方称：“真不知道你怎么能容忍丈夫为移民海关执法局工作，还能安心睡觉……去你的，去你全家的。我真希望你的孩子被误判驱逐……你知道二战后纳粹的下场吗？你们家也会落得同样的下场。” 另有一名探员的配偶收到来自马萨诸塞州莱克维尔市居民罗伯特・巴克利（RobertBuckley）的Facebook消息，内容为：“你丈夫这移民海关执法局的混蛋，报应终会找上你们。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心事件概况 俄罗斯黑客组织 Lynx窃取并泄露了英国皇家空军（RAF）和皇家海军 8 处基地的国防部（MoD）文件，在这场通过 “多德集团”（Dodd Group）入侵发起的 “灾难性” 网络攻击中，人员敏感数据遭到曝光。 此次事件发生于 9 月 23 日。据《每日邮报》（The Daily Mail）报道，攻击源头是英国国防部的承包商多德集团 —— 该集团被Lynx组织攻破后，数百份涉及 8 处皇家空军及皇家海军基地的敏感文件遭窃取并泄露，《每日邮报》将此次攻击定性为 “灾难性” 事件。 泄露数据与涉事企业背景 泄露数据内容：遭泄露的信息包括工作人员姓名与邮箱、承包商姓名、电话号码、车辆详情及国防部人员联系方式。部分文件还标注有 “受控”（Controlled）或 “官方敏感”（Official Sensitive）等级。 多德集团简介：该集团拥有超过 1100 名员工，业务覆盖教育、医疗、住房、公用事业及国防领域的重大项目，包括为英国国防部提供维护与建筑服务，是英国领先的私营工程及设施管理公司之一。 攻击后续发展：Lynx这一勒索软件组织已将多德集团列入其 Tor 数据泄露网站，声称窃取了约 4TB 数据。目前该组织已开始泄露被盗数据，泄露原因可能是双方谈判破裂。 涉事军事基地与文件细节 据《每日邮报》披露，泄露的国防部文件包含多处皇家空军及海军基地的敏感信息，涉及基地包括： 莱肯希思基地（RAF Lakenheath）：部署有美国 F-35 战斗机，且据信存放有核弹。 波特里斯基地（RAF Portreath）：北约防空网络的顶级机密雷达站。 普雷丹纳克基地（RAF Predannack）：现为英国国家无人机中心（National Drone Hub）所在地。 泄露文件总量约 1000 份，具体包括： 波特里斯皇家空军基地和卡尔德罗斯皇家海军航空站（RNAS Culdrose）的访客记录。 内部邮件与安全指南。 莱肯希思皇家空军基地和米尔登霍尔皇家空军基地（RAF Mildenhall）的建筑施工记录，其中包含敏感作战细节。 各方回应与风险警示 多德集团回应：该集团已公开披露此次数据泄露事件，但公司发言人称仅 “少量数据”（limited data）被盗。 专家警示：情报专家指出，国家级行为体可能将被盗数据用于情报收集，或对受影响机构发起进一步网络攻击。 英国国防部行动：目前英国国防部已针对该事件启动调查。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本零售企业无印良品（Muji）因配送合作伙伴Askul遭遇勒索软件攻击，引发物流中断，现已暂停旗下门店线上业务。 日本时间周日晚间，无印良品表示，此次事件导致所有零售服务均受影响，具体包括线上商店浏览或购物、通过无印良品 APP 查看订单历史，以及部分网页内容显示功能。 尽管该公司未明确系统恢复时间表，但周一下午的最新公告显示，目前仅线上商店购物和月度固定费率服务申请仍受影响。 无印良品同时表示，正调查哪些货运订单受到影响，以确认攻击发生前已下单的订单，并将通过邮件通知相关消费者。 无印良品主打极简风格的家居用品、服装及家具，在日本、中国、新加坡、欧洲、澳大利亚及北美地区运营着逾 1000 家门店。该公司年营收约 40 亿美元，在全球拥有超过 2.45 万名员工。 Askul是一家大型B2B及B2C办公用品与物流电商公司，隶属于雅虎日本公司。 该公司于昨日发布声明，称自身成为勒索软件攻击目标，导致业务运营中断。 声明内容显示：“目前，Askul网站因勒索软件感染发生系统故障，我们已暂停订单处理及配送业务。” “我们正调查此次事件的影响范围，包括个人信息及客户数据是否泄露，一旦获取相关信息将立即通知公众。” 目前，Askul的产品退货申请、收据邮寄、商品目录寄送及取件服务均已暂停，其客服热线及网站客服渠道也暂时无法接通。 由于Askul仅负责无印良品在日本地区的销售配送，此次故障仅影响日本市场，无印良品在其他国家的门店均正常营业。 截至发稿时，尚未有勒索软件团伙在其勒索平台上宣称对爱速客乐发起攻击。 此次事件发生前不久，日本最大啤酒生产商朝日啤酒（Asahi）也遭遇勒索软件攻击，被迫暂停生产运营，并推迟原定产品上市计划。该起攻击由 “麒麟”（Qilin）勒索软件团伙宣称负责，朝日啤酒在声明中证实，黑客从其系统中窃取了数据。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客通过接管多个机场的公共广播系统（PA 系统）、航班信息显示屏及公共播报系统，造成了严重混乱。 据官员及新闻报道，周二（事件发生日），黑客入侵了四座机场的公共广播系统 ，其中三座位于加拿大，一座位于美国，并播放吹捧哈马斯、批评唐纳德・特朗普的内容。 加拿大不列颠哥伦比亚省基洛纳国际机场的 “广告流媒体服务” 曾 “短暂遭入侵，未授权内容被播放”，加拿大皇家骑警（基洛纳分部）证实了该情况。 加拿大皇家骑警表示，正联合其他机构对此次黑客入侵事件展开调查，暂不提供更多细节。 不列颠哥伦比亚省维多利亚国际机场的发言人称，黑客曾在机场公共广播系统中播放外语内容及音乐。 该发言人称，黑客通过入侵第三方软件获取了公共广播系统的控制权，机场随后切换至内部系统才重新夺回控制权。 加拿大网络安全中心正协助该机场及加拿大皇家骑警开展调查。 美国运输部长肖恩・达菲周三在社交媒体发文称，黑客以类似方式入侵了美国宾夕法尼亚州哈里斯堡国际机场的公共广播系统。 他表示，美国联邦航空管理局（FAA）及机场官员正对此入侵事件进行调查。 截至目前，美国联邦航空管理局尚未回应置评请求。 安大略省温莎国际机场官员透露，周二晚间，黑客同样入侵了该机场的航班信息显示屏及公共广播系统，并播放 “未授权图像及播报内容”。 该机场在声明中称，此次入侵针对的是机场使用的 “某云基软件供应商”，“后续系统已迅速恢复正常”。 上述四座机场均为小型支线机场。2024 年，其中客流量最大的基洛纳国际机场旅客吞吐量仅略超 200 万人次；而不列颠哥伦比亚省最大机场 —— 温哥华国际机场的年旅客吞吐量则超过 2500 万人次。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国区域航空公司 envoy 航空于周五证实，其甲骨文电子商务套件（Oracle E-Business Suite）应用程序遭黑客入侵，导致信息被窃取，成为第二家确认此类事件的企业。 该航空公司发言人表示，其 IT 系统受到近期一场黑客攻击的影响，据称这场攻击由俄罗斯网络犯罪组织 “克洛普”（Clop）发起。作为美国航空的全资子公司，envoy 航空称 “少量商业信息和商业联系方式可能已泄露”。 周四晚间，该网络犯罪组织声称从美国航空窃取了数量未公开的信息，并将美国航空列入其泄密网站。 美国航空发言人则表示，这一指控实际涉及 envoy 航空，美国航空本身并未使用甲骨文电子商务套件应用程序。该发言人透露，母公司在过去几周内开展了审查，确认此次事件仅与子公司相关。 envoy 航空发言人向 “Recorded Future News” 透露：“我们已知晓 envoy 航空甲骨文电子商务套件应用程序发生的这起事件。得知此事后，我们立即展开调查，并已联系执法部门。” 该发言人还表示：“我们已对涉及的数据进行了全面审查，确认未涉及敏感信息或客户数据。” 此外，发言人证实此次事件仅局限于 envoy 航空，未对航班运行或机场地勤操作造成影响。但对于入侵发生的时间、克洛普组织在其系统中潜伏多久等问题，该公司未予回应。 envoy 航空拥有超过 2 万名员工，以 “美国鹰航”（American Eagle）品牌运营，为 160 多个目的地提供区域航班服务，日均管理约 800 架次航班。 同时，该公司还在达拉斯、芝加哥和迈阿密为多家美国航空的航班提供地勤服务。这家总部位于得克萨斯州的公司，由多家小型区域航空公司整合组建而成。 本周一，哈佛大学成为首家确认受此次黑客攻击影响的机构。甲骨文公司未回应置评请求，但Mandiant的事件响应人员此前表示，他们已知晓数十起受害案例，且 “预计实际受害案例会更多”。 谷歌及其他安全公司的报告显示，黑客利用了甲骨文电子商务套件中的多个漏洞获取访问权限，其中至少包含一个上周才被新增至联邦监控清单的新发现漏洞。 网络犯罪组织 “克洛普” 最初试图通过威胁泄露从该应用程序中窃取的敏感信息，向企业高管勒索钱财。甲骨文公司已确认此次黑客攻击事件，但起初仅表示黑客利用的是 7 月更新中已修复的漏洞，未具体说明涉及哪些漏洞。 美国联邦调查局（FBI）助理局长布雷特・莱瑟曼（Brett Leatherman）上周表示，此次攻击中被利用的漏洞之一属于 “‘需立即停止手头工作并进行补丁修复’的高危漏洞”。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与”传染性面试”攻击活动相关的朝鲜威胁行为体被观察到合并了其两个恶意软件程序的部分功能，这表明该黑客组织正在积极改进其工具集。 这一结论来自思科Talos的新发现，该机构表示，在黑客组织近期的攻击活动中，BeaverTail和OtterCookie的功能比以往任何时候都更加接近，同时后者还新增了一个用于键盘记录和屏幕截图的功能模块。 该活动被归因于一个被网络安全社区以多个代号追踪的威胁集群，这些代号包括：CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、PurpleBravo、Tenacious Pungsan、UNC5342、Void Dokkaebi和WaterPlum。 这一进展出现之际，谷歌威胁情报小组和Mandiant披露，该威胁行为体使用了一种名为“EtherHiding”的隐秘技术，从BNB智能链或以太坊区块链获取下一阶段的有效载荷，实质上将去中心化基础设施变成了一个弹性的命令与控制服务器。这是首个有记录的国家级行为体使用该方法的案例，而该方法此前一直被网络犯罪集团所采用。 “传染性面试”指的是一项始于2022年底左右的精心策划的招聘骗局，朝鲜威胁行为体冒充招聘组织，针对求职者，欺骗他们安装信息窃取型恶意软件，作为所谓的技术评估或编码任务的一部分，从而导致敏感数据和加密货币被盗。 近几个月来，该攻击活动发生了几次转变，包括利用ClickFix社会工程学技术来投递恶意软件家族，如GolangGhost、PylangGhost、TsunamiKit、Tropidoor和AkdoorTea。然而，这些攻击的核心是被称为BeaverTail、OtterCookie和InvisibleFerret的恶意软件家族。 BeaverTail和OtterCookie是独立但互补的恶意软件工具，后者于2024年9月首次在真实世界的攻击中被发现。与作为信息窃取器和下载器的BeaverTail不同，OtterCookie的初始交互旨在联系远程服务器并获取在受感染主机上执行的命令。 思科Talos检测到的活动涉及一家总部位于斯里兰卡的组织。据评估，该公司并非该威胁行为体的有意目标，而是他们的一台系统可能在一名用户成为虚假工作机会的受害者后被感染，该虚假工作指示他们安装一个名为Chessfi的被木马化的Node.js应用程序（托管在Bitbucket上），作为面试过程的一部分。 有趣的是，该恶意软件包含一个通过名为”node-nvm-ssh”的包引入的依赖项，该包由名为”trailer”的用户于2025年8月20日发布到官方npm仓库。该包总共获得了306次下载，随后于六天后被npm维护者下架。 同样值得注意的是，上述npm包是软件供应链安全公司Socket本周早些时候标记的与”传染性面试”活动相关的338个恶意Node.js库之一。 该包一旦安装，就会通过其package.json文件中的一个postinstall钩子触发恶意行为，该钩子被配置为运行一个名为”skip”的自定义脚本，以启动一个JavaScript有效载荷，该有效载荷进而加载另一个负责执行最终阶段恶意软件的JavaScript文件。 对该攻击中使用的工具的进一步分析发现，”它兼具BeaverTail和OtterCookie的特征，模糊了两者之间的区别，”安全研究人员Vanja Svajcer和Michael Kelley表示，并补充说它包含了一个新的键盘记录和屏幕截图模块，该模块使用合法的npm包来分别捕获击键和进行屏幕截图，并将信息渗出到C2服务器。 该新模块的至少一个版本配备了一个辅助剪贴板监控功能，以窃取剪贴板内容。新版本OtterCookie的出现描绘了一个工具从基本数据收集演变为用于数据窃取和远程命令执行的模块化程序的图景。 该恶意软件中同样存在的功能类似于BeaverTail，用于枚举浏览器配置文件和扩展、从Web浏览器和加密货币钱包窃取数据、安装AnyDesk以实现持久远程访问，以及下载一个被称为InvisibleFerret的Python后门。 OtterCookie中存在的其他一些模块列于下文： 远程Shell模块：向C2服务器发送系统信息和剪贴板内容，并安装”socket.io-client” npm包以连接到OtterCookie C2服务器的特定端口，并接收待执行的进一步命令。 文件上传模块：系统地枚举所有驱动器并遍历文件系统，以查找匹配特定扩展名和命名模式的文件，将其上传到C2服务器。 加密货币扩展窃取模块：从安装在Google Chrome和Brave浏览器上的加密货币钱包扩展中提取数据。 此外，Talos表示检测到一个基于Qt的BeaverTail构件和一个包含BeaverTail和OtterCookie代码的恶意Visual Studio Code扩展，这提高了该组织可能正在试验新的恶意软件投递方法的可能性。 研究人员指出：”该扩展也可能是与Famous Chollima无关的另一行为者（甚至可能是研究人员）进行实验的结果，因为这与他们通常的战术、技术和程序不同。” 此消息披露之际，NTT Security Holdings分享了自2025年7月起与”传染性面试”活动相关部署的新恶意软件OtterCandy的详细信息，该恶意软件针对Windows、macOS和Linux系统。OtterCandy的一个早期样本于2025年2月上传到VirusTotal平台。 根据这家日本网络安全公司的说法，OtterCandy结合了OtterCookie和RATatouille的特性，后者是一种远程访问木马，曾通过2025年5月npm包”rand-user-agent”的供应链漏洞进行分发。这是首次将该攻击归因于朝鲜威胁行为体。 根据Aikido的说法，嵌入在npm包中的混淆有效载荷旨在与远程服务器建立隐秘通信通道，并渗出特定目录内的文件以及执行shell命令，后者仅针对Windows系统。 支持的完整命令列表如下： env：在整个文件系统中搜索秘密文件名。 imp：在home目录内搜索秘密文件名。 pat：在当前目录内搜索与预设模式匹配的文件名。 upload：将系统信息、浏览器密码、钱包文件以及来自Google Chrome和Edge的扩展数据传输到C2服务器。 exec：取消正在进行的扫描或上传、上传单个文件、递归上传目录内容、更改当前目录或终止恶意软件进程。 据称，OtterCandy通过一个被追踪为”ClickFake Interview”的子集群活动分发，该活动涉及用ClickFix风格诱饵欺骗用户运行恶意命令，以修复所谓的摄像头或麦克风问题。 “NTT Security表示：”OtterCandy是一个通过Node.js实现的RAT和信息窃取器。它是结合了RATatouille和OtterCookie元素的恶意软件。OtterCandy在通过Socket.IO连接到C2服务器时接受命令。” 用于投递OtterCandy的第一阶段恶意软件名为DiggingBeaver，这是一个JavaScript有效载荷，在受害者通过Windows”运行”对话框复制并运行命令后执行。DiggingBeaver也被发现分发其他已知的ClickFake Interview恶意软件，如GolangGhost和FROSTYFERRET。 NTT Security表示，还在2025年8月观察到OtterCandy的一个新变种，该变种扩展了功能，可以从三个额外的加密货币钱包扩展中收集数据，并增强了”ss_del”命令以删除Windows注册表项以及擦除文件和目录。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文