HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场新型攻击活动，该活动疑似通过一款此前未被记录的.NET 恶意软件（代号 “CAPI 后门程序”），针对俄罗斯汽车行业与电子商务领域发起攻击。 根据 Seqrite 实验室的调查，此次攻击链的核心环节是发送钓鱼邮件，邮件中包含一个 ZIP 压缩包，攻击者通过该压缩包触发感染流程。该网络安全公司的分析基于 2025 年 10 月 3 日上传至 VirusTotal 平台的一个 ZIP 样本。 该 ZIP 压缩包内包含两个关键文件： 一份俄语诱饵文档，伪装成与所得税法规相关的通知； 一个 Windows 快捷方式（LNK 文件）。 这份 LNK 文件与 ZIP 压缩包同名（即 “Перерасчет заработной платы 01.10.2025”，俄语意为 “2025 年 10 月 1 日薪资重算”），其作用是借助微软合法二进制文件 “rundll32.exe” 执行.NET 植入程序（“adobe.dll”）。这种技术被称为 “living-off-the-land（LotL，就地取材）”，是网络攻击者常用的手段之一。 Seqrite 指出，该后门程序具备多项核心功能： 检查自身是否以管理员权限运行； 收集已安装的杀毒软件列表； 打开诱饵文档作为伪装，同时秘密连接远程服务器（地址：91.223.75 [.] 96）以接收后续执行指令。 通过这些指令，CAPI 后门程序可实现以下恶意操作： 从谷歌 Chrome、微软 Edge、火狐（Mozilla Firefox）等浏览器中窃取数据； 截取屏幕截图； 收集系统信息； 枚举文件夹内容； 将获取的结果回传至远程服务器。 此外，该后门程序还会执行一系列检测，判断当前运行环境是合法主机还是虚拟机。它通过两种方式实现持久化： 创建计划任务； 在 Windows “启动” 文件夹中生成 LNK 文件，确保复制到 Windows Roaming 文件夹的后门 DLL 文件能随系统自动启动。 Seqrite 判断攻击者瞄准俄罗斯汽车行业的依据是：与此次攻击活动相关的一个域名 “carprlce [.] ru”，疑似仿冒合法域名 “carprice [.] ru”（“carprice [.] ru” 通常与汽车价格查询、汽车行业服务相关）。 研究人员普里亚・帕特尔（Priya Patel）与苏巴吉特・辛格（Subhajeet Singha）表示：“该恶意载荷是一款.NET DLL 文件，既具备窃取功能，又能为后续恶意活动建立持久化机制。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织于周五宣布，已捣毁一个运作 SIM 卡农场的复杂 “网络犯罪即服务”（CaaS）平台。该平台为客户实施钓鱼攻击、投资诈骗等各类犯罪活动提供支持。 这场名为 “SIM 卡卡特尔行动”（Operation SIMCARTEL）的多国执法协作行动，共开展了 26 次搜查，逮捕 7 名嫌疑人，查获 1200 台 SIM 卡盒设备（内含 4 万张在用 SIM 卡）。其中 5 名被拘留者为拉脱维亚公民。 此外，行动还拆除了 5 台服务器，并于 2025 年 10 月 10 日接管了用于宣传该服务的两个网站 ——gogetsms [.] com 和 apisim [.] com，目前这两个网站已显示查封横幅。同时，执法人员查扣 4 辆豪华汽车，冻结嫌疑人银行账户资金 43.1 万欧元（约合 50.2 万美元）、加密货币账户资金 26.6 万欧元（约合 31 万美元）。 参与行动的国家与造成的损失 此次行动由奥地利、爱沙尼亚、芬兰、拉脱维亚四国执法部门牵头，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协同参与。 据欧洲刑警组织透露，该犯罪网络已被证实与奥地利 1700 多起独立网络诈骗案、拉脱维亚 1500 多起独立网络诈骗案相关。这两个国家因此遭受的损失分别约为 450 万欧元（约合 525 万美元）和 42 万欧元（约合 48.9 万美元）。 该机构表示：“这个犯罪网络及其基础设施具备高度技术复杂性，使得全球范围内的犯罪者能够利用这项 SIM 卡盒服务，实施各类与电信相关的网络犯罪及其他犯罪活动。” 犯罪网络的运作模式与危害 该犯罪基础设施提供注册于 80 多个国家 / 地区的电话号码，供犯罪活动使用，包括在社交媒体和通信平台上创建虚假账户。其主要目的是隐藏犯罪者的真实身份与所在位置。据悉，通过该服务创建的在线虚假账户累计已超过 4900 万个。 这些虚假账户随后被用于实施钓鱼攻击和短信钓鱼攻击（smishing），并通过诱骗受害者向虚假交易计划投入资金来进行金融诈骗。另一种诈骗手法是，犯罪者在 WhatsApp 上冒充受害者的子女，谎称更换了新号码，以 “紧急情况” 为由要求对方转账，金额通常在四位数（欧元）级别。 此外，借助该平台还可能实施敲诈勒索、移民走私、传播儿童性虐待材料（CSAM）等其他犯罪行为。 涉事网站的宣传与用户反馈 从互联网档案馆（Internet Archive）存档的页面可见，GoGetSMS 网站曾将自身宣传为 “快速、安全获取临时电话号码” 的渠道，声称提供超过 1000 万个电话号码，可接收来自 160 多个在线服务的验证码。 GoGetSMS 网站还在页面上推广 “将现有 SIM 卡变现” 的功能，声称通过其 “专用软件” 可将 SIM 卡转化为 “创造被动收入的有力资产”，SIM 卡持有者每接收一条短信就能获得收益。 在评论网站 Trustpilot 上，该平台的付费用户抱怨 “无法获取可用的临时电话号码”。一名用户称，自己在该平台上付费购买了美国号码，却未得到可用的号码，“尝试了多次，既浪费时间又浪费钱。客服完全无回应 —— 不给帮助、不退款，什么都没有。” 拉脱维亚国家警察局在联合声明中指出，该平台专为 “匿名通信与匿名支付” 设计，已对多个国家的 3200 人造成影响。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际知名拍卖行Sotheby’s正通知相关人员，其系统发生数据泄露事件，威胁行为体窃取了包括财务细节在内的敏感信息。 此次黑客攻击于 7 月 24 日被发现，调查团队耗时两个月才确定被盗数据的类型及受影响人员范围。 Sotheby’s是全球领先的艺术品与高价值物品拍卖行，同时也提供资产抵押借贷服务。该公司每年处理价值数十亿美元的拍卖交易，去年总销售额达 60 亿美元。 根据Sotheby’s提交给缅因州总检察长办公室的文件，此次事件中泄露的数据包括人员全名、社会保障号码（SSN）以及财务账户信息。 Sotheby’s在发送给受影响人员的信函中写道：“2025 年 7 月 24 日，Sotheby’s发现部分公司数据疑似被未知行为体从我们的系统环境中窃取。” Sotheby’s在通知中表示：“我们立即启动调查，包括对数据进行全面审查，以确定并核实涉及的信息内容及相关人员身份。” 目前受影响人员的总数尚未披露，文件仅提及缅因州有 2 人、罗得岛州有 2 人受影响。 BleepingComputer 已联系苏富比，请求提供有关此次攻击、影响范围以及美国和全球受影响人数的信息，但截至发稿时未收到回复。 截至撰写本文时，尚无勒索软件团伙声称对Sotheby’s 此次攻击负责。 过去，勒索软件团伙曾将目标对准其他拍卖行，希望获取高额赎金。去年，RansomHub 黑客组织入侵了佳士得（Christie’s），据称窃取了 50 万名客户的详细信息。 Sotheby’s过去也发生过其他安全事件，尤其是其网站曾被植入恶意代码以窃取支付信息。2017 年 3 月至 2018 年 10 月期间，一款网页窃取器盗取了客户的银行卡数据和个人信息；2021 年，该公司还在一次供应链攻击中遭遇过类似事件。 此次收到数据泄露通知的Sotheby’s客户，可通过益博睿（TransUnion）获得为期 12 个月的免费身份保护与信用监控服务，需在 90 天内完成注册。 Sotheby’s通过发给 BleepingComputer 的声明证实，此次事件影响的是员工而非客户，因此文章内容与标题已相应更新。以下是声明全文： “Sotheby’s发现一起网络安全事件，可能涉及部分员工信息。事件发现后，我们立即联合顶尖数据保护与响应专家及执法部门启动调查。公司正依照相关要求，向所有受影响人员发出适当通知。我们高度重视公司及个人信息的安全性，并将继续全力以赴保护我们的系统与数据。”—— Sotheby’s发言人     消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 监控摄像头公司 Ring 于周四宣布，将开始与 Flock Safety 共享摄像头 footage。Flock Safety 是自动车牌识别摄像头及其他警方监控技术的制造商。 数百万美国人拥有 Ring 摄像头，这类设备通常拍摄住宅外部的画面。 根据 Ring 官网的一篇博客文章，在新的合作框架下，使用 Flock Safety 产品的执法机构可请求 Ring 用户提供摄像头画面，用于 “证据收集和调查工作”。 使用 Flock 平台的警务人员在请求 Ring 用户提供画面时，需说明所调查事件的具体时间范围、地点，以及调查原因。 此次 Ring 的合作仅适用于使用 Flock Nova 和 FlockOS 产品的执法机构。 Flock Nova 是一款新产品，它将车牌识别摄像头画面，与从数据经纪商处获取的信息及开源情报整合在一起。 使用 Flock 产品的执法部门可从一个共享的全国性数据库中调取车牌图像和位置信息，这一做法引发了隐私倡导者及其他批评人士的担忧。他们表示，该公司在为对数十亿未犯罪人员的无授权监控提供便利。目前，Flock 摄像头已在全美 6000 多个社区投入使用。 近几个月，Flock 因相关报道陷入争议：有报道称移民机构使用其技术寻找非法移民，还有警察利用该技术追踪一名因自行堕胎接受调查的女性。 2024 年 1 月，由于隐私倡导者和部分政客的不满，Ring 终止了一项类似计划 —— 该计划曾允许执法部门直接访问用户的家庭摄像头。同年 4 月，Ring 创始人杰米・西米诺夫（Jamie Siminoff）重返公司，并承诺将采取更多措施协助警方工作。 Ring 为亚马逊旗下公司。2023 年，有投诉称 Ring 允许员工和承包商访问消费者的私人视频，且未落实安全防护措施。此后，Ring 与美国联邦贸易委员会（FTC）达成了和解。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，一个与朝鲜有关联的威胁行为体，正利用 EtherHiding 技术传播恶意软件并实施加密货币盗窃。这是国家支持的黑客组织首次采用该方法。 谷歌威胁情报小组（GTIG）将这一活动归因为其追踪的威胁集群 UNC5342。该集群还拥有多个其他代号，不同机构对其命名分别为：帕洛阿尔托网络公司 Unit 42 称其为 CL-STA-0240，ESET 称其为 DeceptiveDevelopment，Securonix 称其为 DEV#POPPER，CrowdStrike 称其为 Famous Chollima，DTEX 称其为 Gwisin Gang，Datadog 称其为 Tenacious Pungsan，趋势科技则称其为 Void Dokkaebi。 此次攻击浪潮属于一个代号为 “传染性访谈”（Contagious Interview）的长期攻击活动。在该活动中，攻击者会在领英（LinkedIn）上伪装成招聘人员或招聘经理接触潜在目标，随后将对话转移到 Telegram 或 Discord 平台，再以 “职位评估” 为借口，诱骗目标运行恶意代码。 这些攻击行动的最终目标是非法访问开发者的设备、窃取敏感数据并盗取加密货币资产 —— 这与朝鲜同时追求网络间谍活动和经济利益的双重目标一致。 谷歌表示，自 2025 年 2 月以来，已观察到 UNC5342 使用 EtherHiding 技术。这是一种隐蔽手段，通过将恶意代码嵌入公共区块链（如币安智能链 BSC 或以太坊）的智能合约中实现攻击。通过这种操作，区块链被转化为一个 “去中心化秘密传输解析器”，能有效抵抗溯源打击。 此外，EtherHiding 技术还存在两大风险点：一是滥用区块链交易的伪匿名特性，增加追踪智能合约部署者的难度；二是灵活性极强，控制智能合约的攻击者可随时更新恶意载荷（平均需支付 1.37 美元的 Gas 费），从而衍生出多种威胁形式。 谷歌云旗下 Mandiant 公司咨询主管罗伯特・华莱士（Robert Wallace）在接受《黑客新闻》（The Hacker News）采访时发表声明称：“这一动态标志着威胁格局的升级。如今，国家层面的威胁行为体正采用新技术传播恶意软件，这类软件既能抵抗执法部门的溯源打击，又能轻松调整以适配新的攻击活动。” 社交工程攻击触发的感染链是一个多阶段流程，可针对 Windows、macOS 和 Linux 三大系统发起攻击，涉及三类不同的恶意软件家族，具体如下： 初始下载器：以 npm 包（Node.js 包管理器）的形式存在； BeaverTail：一种 JavaScript 窃取器，负责窃取敏感信息，包括加密货币钱包、浏览器扩展数据及各类凭证； JADESNOW：一种 JavaScript 下载器，与以太坊交互以获取 “InvisibleFerret”； InvisibleFerret：Python 后门的 JavaScript 变体，针对高价值目标部署，可实现对受感染主机的远程控制，同时通过攻击 MetaMask、Phantom 钱包及 1Password 等密码管理器中的凭证，实现长期数据窃取。 简言之，攻击流程为：诱骗受害者运行代码，执行初始 JavaScript 下载器；该下载器与恶意 BSC 智能合约交互，下载 JADESNOW；JADESNOW 随后查询某以太坊地址关联的交易记录，获取第三阶段载荷 —— 即 JavaScript 版本的 InvisibleFerret。 此外，该恶意软件还会尝试安装便携式 Python 解释器，以执行存储在另一以太坊地址中的额外凭证窃取组件。这一发现意义重大，因为威胁行为体在 EtherHiding 活动中同时使用了多个区块链。 谷歌指出：“EtherHiding 标志着网络攻击向‘下一代防弹托管’转变 —— 区块链技术的固有特性被滥用于恶意目的。这一技术也凸显了网络威胁的持续演变：攻击者不断适应并利用新技术为己所用。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客声称已入侵得克萨斯州的电力合作社，泄露了敏感财务文件。 据称，发起此次勒索软件攻击的网络犯罪团伙 “麒麟”（Qilin）已在暗网的泄露网站上，将两家得克萨斯州电力分销合作社列为攻击受害者。 其中一家涉嫌受害的合作社是圣伯纳德电力合作社（San Bernard Electric Cooperative）。该合作社拥有约 3900 英里的配电线路，为得克萨斯州 8 个县（包括奥斯汀县、科罗拉多县、费耶特县、格莱姆斯县、哈里斯县、拉瓦卡县、蒙哥马利县和沃勒县）的约 2.8 万户家庭供电，年收入达 9250 万美元。 另一个攻击目标是卡恩斯电力合作社（Karnes Electric Cooperative）。该合作社运营着近 5000 英里的线路，为 12 个县的 2.3 万户家庭提供服务，年收入为 7580 万美元。 这些指控极具麻烦性，因为涉事企业属于美国关键基础设施范畴 —— 这意味着保护它们是国家安全的优先事项。 得克萨斯州电力供应商被盗取了哪些数据？ 该团伙在其泄露网站上，提供了据称属于受害者的被盗数据样本。在勒索软件攻击中，威胁者发布数据样本是一种常见手段，目的是警告企业支付赎金。 Cybernews 的研究人员对 “麒麟” 团伙声称属于圣伯纳德电力合作社的数据样本进行了调查，发现其中包含以下文件： 首次事件报告，包含人员全名、电话号码和事件详情 年度预算报告 保险文件 费率案费用报告 来自其他公司的发票 人工与设备费用报告 地役权合同 暗网上与卡恩斯电力合作社相关的帖子中，包含的数据样本泄露了以下信息： 董事会成员名单，包括成员姓名、地址和联系方式 财务文件，如收支余额报告和日常财务运营文件 组织成员数据，包括姓名、地址和邮政编码 目前这些数据的真实性尚未得到核实 —— 勒索软件团伙重新拿出以往数据泄露事件中的旧数据，谎称是新入侵获取的情况，并不罕见。 但如果数据被证实为真实，将对涉事企业产生安全影响。这不仅表明关键基础设施易受网络攻击，还可能使企业的声誉和业务流程面临风险。 Cybernews 研究人员表示：“泄露的财务数据可能会暴露定价策略、导致信任丧失或竞争劣势；被公开的事件则可能反映出服务质量问题。” “个人身份信息（PII）可能被用于身份盗窃、骚扰和针对性的社会工程攻击，对董事会成员而言尤其如此。” Cybernews 已联系涉事企业寻求证实，但尚未收到回复。 什么是 “麒麟” 勒索软件？ “麒麟”（Qilin）是勒索软件领域的知名势力。该团伙与俄罗斯有关联，已知会针对医院和制造业发起攻击。“麒麟” 于 2022 年首次出现在勒索软件领域，但它在暗网泄露网站上声称，其早在 2021 年就已开始运作。 根据 Cybernews 的 “勒索观察”（Ransomlooker）监控工具显示，仅从 9 月初至今，“麒麟” 就已列出超过 88 名受害者；截至目前，该团伙在过去 12 个月内已针对约 585 名受害者发起攻击，跃居最活跃勒索软件团伙榜首。 “麒麟” 的攻击活跃度远超其他勒索软件对手，如 Cl0p Play、INC Ransom 和 Akira。2025 年 1 月 1 日至今，“麒麟” 已声称发起了超过 500 次攻击。 今年 4 月，该团伙声称对韩国 SK 电信（SK Telecom）发起了勒索软件攻击，并宣称窃取了 1TB 数据。4 月底，SK 电信通知了用户，并为所有用户启动了免费的 SIM 卡更换服务。 “麒麟” 还声称对日本最大啤酒生产商朝日集团控股（Asahi Holdings）发起了网络攻击。此次攻击扰乱了朝日的运营，导致日本最受欢迎的啤酒、软饮料和冰茶出现供应短缺。 8 月，日产汽车（Nissan）位于东京的创意盒子设计工作室（Creative Box）遭到该团伙攻击，“麒麟” 声称窃取了 4TB 的敏感设计数据。这家日本汽车巨头目前已在公开声明中证实其网络遭遇入侵。 该团伙还声称入侵了旧金山加州高尔夫俱乐部（California Golf Club of San Francisco）—— 这是美国最顶级的会员制高尔夫俱乐部之一，也是硅谷高管们的热门去处。据称，团伙窃取了该俱乐部 10GB 的会员数据。 此外，“麒麟” 还制造了针对英国国民医疗服务体系（NHS）合作伙伴赛诺维斯实验室（Synnovis Laboratories）的臭名昭著的攻击。此次攻击造成了毁灭性后果：医院被迫立即将患者转移到其他机构，并取消了超过 1 万次预约、择期治疗和外科手术（包括所有移植手术），原因是血液输注供应中断。 最近，同样与俄罗斯有关联的知名团伙 “锁比特”（LockBit）与 “龙力”（DragonForce）、“麒麟” 勒索软件组成了联盟。专家认为，“锁比特”、“麒麟” 与 “龙力” 的联盟可能通过资源共享，推动攻击策略升级，并增加攻击数量。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚航空公司澳航（Qantas）证实，黑客最近公布了他们在今年夏天的一次网络攻击中窃取的数据。 澳航告诉客户，它已获得澳大利亚法院的禁令，以阻止该国境内的人访问、查看或发布这些数据。目前该公司正在调查哪些数据被泄露了。 在Scattered LAPSUS$ Hunters网络犯罪组织周五公布了从澳航和其他五家大公司窃取的信息之后，澳航才承认了数据泄露一事。这六家公司是两周前最初在网络犯罪分子的泄露网站上列出的约 40 家 Salesforce 知名客户中的一部分。 该公司周一表示：“澳航是全球多家在 7 月初的网络事件后数据被网络犯罪分子发布的公司之一，在那次事件中，客户数据通过第三方平台被盗。” 澳航补充说，自 7 月以来，其对该事件的评估没有改变，7 月时他们告诉客户，约 570 万人的信息在网络攻击中被泄露。 约 280 万客户的姓名、电子邮件地址和澳航常旅客号码被泄露。至少还有 170 万客户的部分信息被泄露，包括家庭地址、出生日期、电话号码、餐饮偏好或性别等。 公告称，没有信用卡或护照细节被泄露，该公司表示，被盗信息不能用于入侵澳航常旅客账户。客户已被直接联系，并根据被盗信息的类型得到了建议。 澳航本周表示，它已经设立了一个电话支持热线，并将继续与澳大利亚政府机构以及新西兰隐私专员办公室合作，以协助受害者。 该航空公司敦促客户对任何声称来自澳航的信息保持警惕，并注意所有账户是否有可疑活动。 该公司表示：“我们注意到，冒充澳航的诈骗者的报告有所增加。这些诈骗者试图利用人们对我们情况的高度关注，诱使澳航客户点击链接或分享个人细节。” 上个月，澳航表示，在网络攻击发生后，该航空公司的高级领导的年度奖金减少了 15%，其中包括澳航集团首席执行官瓦妮莎・哈德森（Vanessa Hudson）的薪酬减少了 25 万澳元。 本周末被Scattered Spider泄露数据的其他公司均未回应置评请求。 越南网络安全机构 VNCERT 向当地一家新闻媒体证实，越南航空公司被列在Scattered LAPSUS$ Hunters的网站上，并表示正在调查此次数据泄露事件。 数据泄露网站 HaveIBeenPwned 查看了来自越南航空公司的一批数据，称出生日期、电子邮件地址、姓名、电话号码和忠诚度计划细节被泄露。数据范围从 2020 年 11 月到 2025 年 6 月。 Scattered LAPSUS$ Hunters最初向 Salesforce 索要赎金，承诺如果支付一笔未公开的款项，就会停止勒索该公司的客户。Salesforce 拒绝支付赎金，周五晚上晚些时候，一批批数据被发布。 周日，美国联邦调查局（FBI）证实，它关闭了黑客计划用来发布被盗数据的几个域名，但黑客几乎立即创建了一个新平台，可以在上面访问被盗信息。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部从柬埔寨某知名企业集团董事长名下账户中，查获了价值约 150 亿美元的比特币。该董事长已被起诉，指控称其公司是一个庞大诈骗帝国的幕后操纵者。 美国财政部于周二同步宣布制裁措施，目标直指该企业 —— Prince Group，以及与其相关的 146 名个人和实体。其中包括 117 家空壳公司，这些公司被指用于洗钱活动。 英国外交、联邦与发展事务部也对该公司实施了制裁，并宣布查获了伦敦境内多处据称与该集团有关的房产，包括一栋价值 1 亿英镑的写字楼、一座 1200 万英镑的豪宅，以及 17 套公寓。 Prince Group是柬埔寨最知名的企业之一，业务涵盖房地产、金融服务和娱乐等多个领域。此前有媒体报道称，该公司还涉足柬埔寨利润丰厚的诈骗行业。在这一行业中，人们会被诱骗至规模化运营的园区，被迫对全球各地的民众实施诈骗。美国政府估计，去年美国人被东南亚诈骗分子骗取的资金至少达 100 亿美元。 根据 10 月 8 日在纽约东区联邦地区法院提交的起诉书，该公司董事长陈志（Chen Zhi）直接参与了诈骗园区的运营。这些园区依靠被贩卖的强迫劳动力，实施 “杀猪盘” 及其他类型的投资诈骗。美国司法部表示，陈志拥五国国籍，他被指在柬埔寨全国范围内主导建造并运营了至少 10 个诈骗园区，其中包括沿海城市西哈努克市臭名昭著的 “金贝园区”（Jinbei Compound），以及磅士卑省的 “芒果公园”（Mango Park）。 调查人员获取的公司文件，似乎揭示了这些诈骗运营的内部运作机制。文件中包含诈骗利润追踪记录，以及园区内各楼层、各楼栋具体负责何种类型诈骗的详细分工。 起诉书指出，文件显示有两处场所存放了 1250 部手机，这些手机控制着某未具名社交媒体平台上的 7.6 万个账户。 起诉书称：“Prince Group的其他内部文件还包含与受害者建立信任的操作指南，以及批量注册社交媒体账户的方法指导。其中明确要求，使用的女性头像不应‘过于漂亮’，以确保账户看起来更真实。” 据称，该集团的一名同谋曾吹嘘，公司通过诈骗每天能获利超过 3000 万美元。 另有文件显示，部分官员与王子集团存在串通行为。这些官员 “利用自身政治影响力，在多个国家为诈骗园区的运营提供保护，使其免受执法部门查处”。被指涉及此事的机构包括中国公安部和国家安全部。 检察官指控，该公司高管通过向官员行贿，获取有关执法部门突袭检查园区的预警信息。 Prince Group被指将非法所得用于为合法加密货币挖矿业务提供资金，以此洗钱。 截至 2020 年左右，陈志已通过 25 个非托管加密货币钱包，囤积了 127271 枚比特币（价值约 150 亿美元）。此次资产没收行动，是美国司法部历史上规模最大的一次。 纽约东区联邦检察官约瑟夫・诺塞拉（Joseph Nocella）表示：“正如起诉书所指控的，被告操纵了史上规模最大的投资诈骗活动之一，助长了一个正呈蔓延态势的非法行业。王子集团的投资诈骗给全球受害者 —— 包括纽约本地受害者 —— 造成了数十亿美元的损失和难以估量的痛苦，而这一切的代价，是由那些被贩卖、被迫违心工作的人承担的。” 庞大的关联网络 对Prince Group及相关实体的制裁，凸显了诈骗行业的规模及其向东南亚以外地区扩散的态势。制裁目标包括在全球范围内注册的 100 家空壳公司，同时也针对王子集团向太平洋岛国帕劳的扩张行动。该公司在帕劳与一名被指为当地 “有组织犯罪协助者” 的人士合作，在一座岛屿上开发豪华度假村，并获得了该岛屿 99 年的租赁权。 美国财政部表示，此次行动 “旨在支持帕劳为防范源自中华人民共和国的跨国有组织犯罪集团进行掠夺性投资所做的持续努力”。 美国金融犯罪执法网络（FinCEN）也于周二针对诈骗行业采取行动，切断了总部位于柬埔寨的汇旺集团（Huione Group）与美国金融体系的联系。该机构此前已将这家金融机构列为洗钱关注对象。 汇旺集团被指是 “关键节点”，为朝鲜网络犯罪活动以及东南亚跨国有组织犯罪集团的非法所得提供洗钱服务。该机构称，2021 年 8 月至 2025 年 1 月期间，汇旺集团洗钱的非法所得至少达 40 亿美元。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  周二，英国国家网络安全中心（NCSC）发布2024年度安全报告，宣布英国去年遭遇的国家级重大网络攻击数量创下历史纪录。 NCSC披露，在2024年9月初至今年8月末期间，工作人员紧急协助应对了429起攻击事件。其中204起被认定为“国家级重大”事件，同比增加一倍多。 在204起“国家级重大”事件中，18起被归类为“高度重大”事件，这是该机构分类体系中第二严重的级别，仅次于国家网络紧急状态。这18起攻击“对英国中央政府、基本公共服务、大部分民众或英国经济造成了严重影响”。 为应对攻击事件的激增，英国政府宣布，将致函本国主要企业的首席执行官和董事长，要求他们“采取切实行动”，保护企业免受攻击。 此前，捷豹路虎遭遇网络攻击，经历了持续一个多月的运营中断。这封信提醒企业界，针对英国企业的恶意网络活动已变得“更为密集、频繁且复杂”。 牛津大学网络安全研究卓越学术中心主任卢卡斯・凯洛将针对捷豹路虎的攻击评未：“不仅是企业运营中断事件”，更是“经济安全事件”。他表示：“如果中断持续数周或数月，将危及政府的核心增长使命。倘若英国的顶级出口行业陷入停滞，又如何能实现‘在七国集团中保持最高持续增长率’的目标？” 英国国家网络安全中心的年度报告特别提及这一威胁，并设有副标题呼吁全国“正视经济安全面临的紧迫风险”。 安全部长丹・贾维斯在报告序言中警告称，“网络安全对我们的国家安全和经济健康而言，从未像现在这样至关重要”。 在英国国家网络安全中心年度报告发布活动上发表演讲后，贾维斯将与富时350指数成分股公司的代表举行会议，强调企业需将网络韧性提升至董事会层面的职责范畴。他表示：“尽管我们夜以继日地应对威胁，并为各类规模的企业提供支持，但仅凭我们自身的力量远远不够。我们正与企业领导者合作，确保他们认识到威胁的严重性，并将网络安全列为首要任务。” 英国国家网络安全中心首席执行官理查德・霍恩警告称：“网络安全如今关乎企业生存与国家韧性。在该中心处理的事件中，超半数被认定为国家级重大事件，高度重大攻击事件较去年增加了50%，我们面临严重影响的集体风险正以惊人速度上升。” “抵御这些攻击的最佳方式是让各机构尽可能降低自身被攻击的可能性。这要求每位企业领导者立即行动：犹豫不决本身就是一种弱点，企业的未来取决于当下采取的行动。行动刻不容缓。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗影像服务提供商西蒙医疗影像公司（SimonMed Imaging）正向超过 120 万人发出通知，告知其敏感信息在一场数据泄露事件中遭到泄露。 西蒙医疗影像公司是一家门诊医疗影像及放射科服务提供商，提供的服务包括磁共振成像（MRI）、计算机断层扫描（CT）、X 光、超声波、乳房 X 光检查、正电子发射断层扫描（PET）、核医学、骨密度检测以及介入放射学检查等项目。这家放射科公司在美国 11 个州运营着约 170 家医疗中心，年收入超过 5 亿美元。 三周的未授权访问 根据提交给有关部门的通知显示，黑客在今年年初的 1 月 21 日至 2 月 5 日期间入侵了西蒙医疗的系统，并非法访问了该公司的网络。1 月 27 日，西蒙医疗从其一家供应商处得知了此次数据泄露事件，该供应商当时发出警报称 “自身正遭遇安全事件”。在启动调查后，这家医疗公司于次日确认其网络存在可疑活动。 该公司表示：“在发现我们成为恶意攻击的受害者后，我们立即展开调查，并采取措施控制事态发展。” 所采取的措施包括重置密码、启用多因素身份认证、增加终端检测与响应（EDR）监控、取消第三方供应商对西蒙医疗内部系统及其相关工具的直接访问权限，以及将进出流量限制在可信连接范围内。 该公司还已通知执法部门，并寻求数据安全与隐私专业人士的服务支持。 除全名外，西蒙医疗尚未公开黑客窃取的具体信息内容，但考虑到医疗影像公司系统中存储的数据类型，被盗信息可能包含高度敏感内容。 不过，该公司强调，截至 10 月 10 日（即通知发布当日），尚无证据表明被访问的信息已被用于欺诈或身份盗窃等非法活动。收到通知函的人员可通过益博睿（Experian）免费订阅身份盗窃防护服务。 美杜莎勒索软件团伙声称实施了此次攻击 2 月 7 日，美杜莎（Medusa）勒索软件团伙在其勒索门户网站上公开了西蒙医疗影像公司的相关信息，声称窃取了 212GB 的数据。 为证明攻击属实，黑客还泄露了部分数据，其中包括身份证扫描件、包含患者详细信息的电子表格、支付详情、账户余额、医疗报告以及原始影像扫描件等内容。 当时，黑客要求支付 100 万美元赎金，若需延期一天公布所有被盗文件，则需额外支付 1 万美元。 目前，西蒙医疗影像公司已不再出现在美杜莎勒索软件的数据泄露网站名单中。这一情况通常表明该公司已与黑客就赎金问题进行谈判并完成了支付。 美杜莎勒索软件即服务（RaaS）运营模式于 2023 年推出，该团伙因袭击明尼阿波利斯公立学校（MPS）等事件而声名狼藉，还曾将丰田金融服务公司列为攻击目标。 美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）以及多州信息共享与分析中心（MS-ISAC）在 2025 年 3 月联合发布的一份预警报告中，对美杜莎勒索软件的活动发出警告，指出该威胁团伙已影响到美国超过 300 家关键基础设施机构。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文