HackerNews 编译，转载请注明出处： 两名17岁的荷兰少年因涉嫌使用黑客设备替俄罗斯从事间谍活动，于本周一被荷兰警方逮捕。 根据荷兰《电讯报》（DeTelegraaf）消息，这两名少年曾在欧盟刑警组织、欧洲司法组织，以及位于海牙的加拿大驻荷兰大使馆周边，使用WiFi嗅探设备开展间谍活动。 欧盟刑警组织工作人员称，目前没有迹象表明机构系统遭到入侵。“我们正就此事与荷兰当局保持密切联系。欧盟刑警组织拥有完善的安全基础设施，目前没有任何证据显示我们的系统受到损害。我们对业务运营和工作人员的安全极为重视，将继续与合作伙伴紧密合作，应对各类潜在风险。” 荷兰国家安全情报局提供的线索，最终促成了警方的抓捕行动。据悉，这两名青少年是通过Telegram平台被招募的。 《电讯报》提到：其中一名青少年是在家里写作业的时候被逮捕的，其父母对儿子参与间谍活动一事完全不知情。一位青少年的父亲在接受采访时无奈表示：“我们教育孩子时，会提醒他们防范生活中的危险，比如吸烟、电子烟、酒精和毒品。但从没想过会有这样的风险，谁能料到这种事会发生在自己孩子身上？” 由于涉案情节严重，在调查持续期间，两名少年将被拘留至少两周。 这起案件并非个例，欧洲多地出现的“低级别招募”活动正在升级。此前在德国就已发生类似事件：俄罗斯特工曾收买当地青少年，让他们对关键基础设施实施破坏和sabotage行为。 值得注意的是，两名少年使用的“WiFi嗅探设备”，本质是通过监听WiFi频道上的无线电信号，识别无线网络并拦截数据流量的工具，通常用于攻击行动的“侦察阶段”。 事实上，俄罗斯黑客利用WiFi网络发起远程攻击的能力早有先例。网络安全公司Volexity在2024年的一份报告中就曾披露，俄罗斯APT28（代号“FancyBear”）黑客组织曾采用“近邻攻击”（nearestneighborattack）手段：利用一家与美国某公司WiFi信号覆盖范围重叠的邻近机构，突破了该美国公司的企业WiFi网络。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家司机合规平台发生严重数据泄露，超过一万名德州卡车司机的个人文件，包括药检结果和其他敏感信息被。 Cybernews研究团队接到匿名举报，发现一个未加密的Amazon S3存储桶，里面包含大量个人可识别信息（PII）。 泄露的云存储中包含：超过 18,000份社会安全卡照片，超过 23,000份驾照图片，责任保险卡，药检结果，劳动合同，背景调查同意书，车辆保险卡，员工授权书，车辆检查结果以及其他敏感文件。 调查发现，这一泄露源头是总部位于德州的 AJT Compliance, LLC，该公司帮助企业满足政府法规要求。泄露的数据可能来自该公司专门用于管理美国交通部合规流程的 “DOT SHIELD”平台。 该AWS存储桶中包含的数据从2022年至今都有记录，在调查期间甚至还不断有新文件被上传。 受影响人员主要来自德州，或受雇于在德州注册的物流公司。 德州是美国物流业的领军州，重型和牵引式卡车司机数量全美最多。根据美国劳工统计局的数据，截至2023年，德州拥有超过 212,000名重型和牵引式卡车司机，以及 72,720名轻型卡车司机（数量位居全美第三）。本次数据泄露可能影响到该州 10%的卡车司机。 Cybernews研究团队指出：“这起事件尤其令人担忧，因为一个旨在确保合规的平台，反而泄露了与美国交通部要求相关的高度敏感个人信息。” 研究人员警告，泄露的数据极其危险，可能被用于诈骗或身份盗窃。“在恶意分子手中，这些信息可以被用来开设信用账户、冒领社会安全福利，甚至实施人肉搜索（doxxing）。” Cybernews已联系 AJT Compliance。该公司确认，其测试系统所使用的Amazon S3存储容器被错误地设置为“公共读取和列表权限”。 在收到负责任的漏洞披露后，相关数据已被保护。 这并不是美国公民数据首次被第三方服务提供商泄露。 去年，Cybernews研究发现，背景调查服务商 Protection Plus Solutions 泄露了数千份PDF文件，其中包含社会安全号码、护照信息以及马萨诸塞州的犯罪记录。 2023年，负责职业安全培训的 美国国家安全委员会（NSC） 泄露了近 10,000份电子邮件和密码，波及2000家机构，其中包括 NASA、美国司法部（DoJ）、Verizon、Tesla和Pfizer 等政府与企业组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡政府已要求 Meta Platforms 在9月30日前采取措施，遏制Facebook上的冒充诈骗行为。 9月24日，新加坡警察部队（SPF）向该科技巨头发布了一项执行指令。次日，该指令在新加坡内政部（MHA）官网公开。 根据《网络犯罪危害法》（OCHA），SPF 的主管机构敦促Meta必须在Facebook上采取措施，打击那些冒充新加坡政府高级官员的诈骗广告、账号、个人资料和/或商业页面。 这些措施分为两类：一是为新加坡用户加强人脸识别措施，二是优先处理来自新加坡用户的诈骗举报。 如果Meta未能在9月30日前遵守，且无法提出“合理理由”解释其不合规行为，公司将面临最高 100万新元（约77.7万美元） 的罚款，并在定罪后，每延迟一天额外再罚 10万新元（约7.7万美元）。 MHA和SPF还表示，他们愿意协助Meta识别其他可能被诈骗分子冒充的新加坡公众人物。 社交媒体诈骗案件激增 新加坡MHA观察到，在 2024年6月至2025年6月 之间，社交媒体诈骗活动显著增加，其中包括冒充政府人员的虚假广告、账户和页面。 根据MHA的说法，Facebook是诈骗活动最集中的平台。 在这一期间，SPF共打击了约 2000起 出现在Meta平台上的诈骗广告活动。 MHA在声明中表示：“遏制此类冒充诈骗的蔓延至关重要，这不仅能保护公众免受伤害，也能维护公众对政府及公共机构的信任。” 虽然MHA承认Meta已采取部分措施来应对冒充诈骗风险，但这些措施仍不足以遏制此类诈骗在新加坡的泛滥。 专家：大型科技公司必须在反诈骗上投入更多 BioCatch欧洲、中东及非洲区全球咨询总监、英国伦敦警察局国家欺诈与网络犯罪举报系统前负责人 Jonathan Frost 对新加坡的决定表示欢迎，但同时担心这不足以推动Meta加大对网络诈骗的治理力度。 他指出：“新加坡对Meta的打击是朝正确方向迈出的一步，但罚款金额相对较小，不足以对大型科技公司形成真正的威慑。SPF在Facebook上阻止的2000个诈骗广告只是沧海一粟，这一问题必须由全球范围内的监管机构共同应对。” 他认为，大型科技公司应当效仿金融行业的做法，加大对反诈骗的投资。 “银行每年投入数十亿美元来保护消费者，并承担起防止诈骗的责任。然而，欺诈通常在更上游的网站和社交媒体上发生。与此同时，大型科技公司却从诈骗广告中赚取数十亿美元利润，其中 Facebook和Instagram新增广告商的70%为诈骗分子。只有协调一致的全球监管响应，才能真正约束大型科技公司，推动情报共享，并保护消费者免于遭受改变人生的财务损失。” 新加坡政府补充称，他们正在考虑向其他社交媒体平台提出类似要求。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯高级持续性威胁（APT）组织 COLDRIVER 被指控发起新一轮 ClickFix 式攻击，用于投递两种新型“轻量级”恶意软件家族，分别为 BAITSWITCH 和 SIMPLEFIX。 本月早些时候，Zscaler ThreatLabz 发现了这一多阶段 ClickFix 攻击活动。研究人员指出，BAITSWITCH 是一个下载器，最终会投递 SIMPLEFIX ，一种基于 PowerShell 的后门。 COLDRIVER 也被称为 Callisto、Star Blizzard 和 UNC4057，自2019年以来一直被追踪为与俄罗斯相关的威胁行为体，其攻击目标涵盖多个领域。早期，该组织常通过鱼叉式钓鱼诱导受害者进入凭证窃取页面；近年来，他们逐渐开发并使用 SPICA 和 LOSTKEYS 等定制工具，显示出较高的技术成熟度。 该组织使用 ClickFix 战术的情况，早在2025年5月就被 Google 威胁情报组（GTIG）披露。当时他们通过伪造网站的“假验证码验证”界面，诱使受害者执行 PowerShell 命令，从而下载 LOSTKEYS 的 Visual Basic 脚本。 Zscaler 安全研究员 Sudeep Singh 和 Yin Hong Chang 在本周发布的报告中表示：“持续利用 ClickFix 表明它作为感染途径依然高效，即使这种方法既不新颖，也不算特别先进。” 最新攻击链沿用了相同模式：诱骗毫无防备的用户在 Windows 运行对话框中输入恶意 DLL，以完成伪造的验证码检查。这个 DLL（即 BAITSWITCH）会连接到攻击者控制的域名 captchanom[.]top，从中下载 SIMPLEFIX 后门，同时向受害者展示托管在 Google Drive 上的诱饵文档。 此外，该恶意程序还会向同一服务器发送多次 HTTP 请求，用于传送系统信息、接收建立持久化的命令、将加密载荷存储在 Windows 注册表中、下载 PowerShell 启动器，并清除运行对话框中最近执行的命令，以此抹除 ClickFix 攻击的痕迹。 下载的 PowerShell 启动器随后会连接到外部服务器 southprovesolutions[.]com，下载 SIMPLEFIX，再与指挥控制（C2）服务器建立通信，执行远程 URL 上托管的 PowerShell 脚本、命令及二进制文件。 其中一段通过 SIMPLEFIX 执行的 PowerShell 脚本会窃取指定目录下、预设文件类型清单中的信息。这些扫描目录和文件扩展名与 LOSTKEYS 有部分重叠。 Zscaler 表示：“COLDRIVER APT组织长期以来以西方地区的非政府组织成员、人权维护者、智库研究人员，以及流亡在外的俄罗斯公民为主要攻击对象。本次活动的受害者画像与其一贯的攻击目标高度一致。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件攻击导致俄亥俄州联合县约45,487人的社会安全号码及金融数据被盗。 这起攻击发生在2025年5月18日，黑客入侵联合县系统并窃取了部分社会安全和金融信息。事件发生后，县政府已通知45,487名居民及工作人员。 在发现安全漏洞后，联合县立即展开调查，并聘请外部网络安全专家协助。 调查显示，网络犯罪分子在2025年5月6日至5月18日期间进入了县政府的网络并窃取了部分数据。8月25日，官方完成了对事件的审查，并开始通知受影响的个人。 联合县在发送给受害者并同时报送缅因州总检察长办公室的数据泄露通知信中写道：“2025年5月18日，我们在计算机网络中发现勒索软件。得知情况后，我们立即在全国知名的第三方网络安全与数据取证顾问的协助下展开调查，以保障网络安全并调查事件范围。同时，我们也已通报联邦执法部门。通过调查，我们确认网络犯罪分子自2025年5月6日至5月18日访问了我们的网络，并获取了部分县政府数据。” 被盗数据包括姓名、社会安全号码、驾照号码、金融账户信息、指纹数据、医疗信息、护照号码等。 截至目前，还没有任何勒索软件组织声称对该攻击负责。 联合县位于俄亥俄州中部，县治为玛丽斯维尔。2025年该县大约有75,159名居民，是俄亥俄州发展最快的县之一。该地区兼具小城镇与郊区社区特征，劳动力资源充足，家庭收入中位数较高。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。 网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。 一、攻击链条解析 该攻击活动始于钓鱼邮件，邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件（.exe），以及一个恶意的 version.dll 文件，攻击者借此实现 “DLL 侧载”（DLL Sideloading）攻击。此后，攻击共分 10 个阶段逐步推进，通过加载器层、加密层与持久化机制的层层叠加，复杂度不断升级。 此次攻击活动的显著特点是，在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件（.exe）的技术转型。 攻击者对系统进程 RegAsm.exe 实施 “进程镂空”（Process Hollowing）攻击，对 Windows 自带的反恶意软件扫描接口（AMSI）和事件跟踪日志（ETW）等防御机制进行补丁篡改，随后逐步解包更多恶意载荷，最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制（C2）信道、主机指纹识别功能，以及加载额外恶意模块的能力。 二、攻击活动溯源 攻击前期阶段的核心目标是窃取凭证信息，并从 Chrome、Firefox 等浏览器中收集数据。 攻击者将窃取的信息打包为 ZIP 文件后，通过 Telegram 机器人 API（Telegram Bot API）传输。与账号 @LoneNone 相关联的元数据显示，该攻击活动与 “PXA 窃密者”（PXA Stealer）恶意软件家族存在关联，而该家族此前已被证实与越南威胁行为者有关。 此外，PureRAT 的命令与控制（C2）服务器经溯源也位于越南，进一步印证了这一攻击归因结论。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际刑警组织周三宣布，今年夏季开展的最新一轮跨国打击网络诈骗行动，共追回价值4.39亿美元的资产。 根据国际刑警组织消息，4月至8月期间，来自40多个国家和地区的执法机构共冻结了约6.8万个银行账户和约400个加密货币钱包。 此次打击的诈骗类型包括“电话诈骗、网络交友诈骗、网络性勒索、投资诈骗、与非法网络赌博相关的洗钱、商业电邮诈骗以及电商欺诈”。 追回的资产包括3.42亿美元的传统货币，以及价值9700万美元的“实物与数字”资产。 这是名为“HAECHI”的国际执法合作项目的第六阶段，该项目由韩国提供资金支持。国际刑警组织此前表示，在2024年11月结束的上一阶段行动中，追回了类似规模的资金，并逮捕了5500人。 国际刑警组织未具体说明本轮行动的总逮捕人数，但指出葡萄牙当局逮捕了45人，并捣毁了一个“由多个相互关联团伙组成的大型犯罪网络，该网络涉嫌挪用原本用于援助弱势家庭的资金”。 国际刑警组织称，泰国皇家警察在一起案件中查获了660万美元，这是该国迄今为止单案最大数额。“该案件涉及一个由泰国和西非成员组成的跨国有组织犯罪团伙，他们通过精心设计的商业电邮诈骗，诱骗一家日本大型企业将资金转入一家位于曼谷的虚构合作伙伴账户。” 此外，韩国警方还与阿联酋当局合作，追回了约合390万美元的韩元。这笔钱原本被转入迪拜一家“非法银行账户”，系某韩国钢铁公司在发现运输单据被伪造后报案。 此前几轮“HAECHI”行动的成果曾于2023年12月、2022年11月、2021年11月及2021年5月公布。 国际刑警组织指出，网恋诈骗、投资诈骗以及其他“网络助推型”犯罪往往源自东南亚一些由有组织犯罪集团运营的园区，这些园区通过绑架和人口贩运手段强迫人员参与诈骗活动。国际社会对这一非法产业的打压力度不断加大，包括制裁、非政府调查以及执法部门对诈骗园区的直接突袭行动。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 位于拉斯维加斯的大型博彩公司Boyd披露，近日遭遇了一起网络安全事件，导致员工及其他部分人员的个人数据被泄露。 9月23日，Boyd公司向美国证券交易委员会（SEC）提交的8-K文件中报告了这一事件。文件显示，一名未经授权的第三方访问了其内部IT系统。 公司在文件中写道：“公司已确认，未经授权的第三方从公司的IT系统中窃取了部分数据，其中包括员工信息以及数量有限的其他个人信息。公司正在通知受影响的个人，并已或将按要求通知相关监管机构和其他政府部门。” 目前尚未披露被盗数据的具体性质，或受影响人员的数量。截至2024年底，Boyd公司共有16,129名员工。该公司在内华达州、密西西比州、伊利诺伊州、印第安纳州和路易斯安那州共拥有29家赌场和酒店。 公司表示，已在顶级网络安全专家的协助下，并与美国联邦执法部门合作，采取措施进行补救。关于事件发生的具体时间并未透露。 公司补充称，其认为此次事件不会对Boyd的财务状况或经营结果产生重大不利影响。 Boyd还表示：“公司已投保全面的网络安全保险，我们预计该保险将涵盖事件响应和取证调查相关费用，以及业务中断、法律诉讼和监管罚款（如有），但需受限于保单额度和免赔额。” 值得注意的是，2023年，另一场震动业界的事件中，拉斯维加斯的两大赌场和酒店运营商 MGM国际酒店集团和 凯撒娱乐公司在几天之内相继遭遇网络攻击。 这些勒索软件攻击被认为与“Scattered Spider”黑客组织有关，给受害公司带来了巨额成本和业务中断。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局在纽约联合国总部附近查获一个秘密通信网络，收缴 10 万张 SIM 卡与 300 台服务器。该网络具备每分钟发送 3000 万条短信的能力，可瘫痪手机信号塔并实施大规模监控，引发公众对移动网络安全的新担忧。 美国特勤局发布的公告中写道：“近日，我们捣毁了一个分布在纽约都会区的电子设备网络，这些设备被用于实施多起针对美国高级政府官员的电信相关威胁，对特勤局的安保行动构成直接威胁。” 公告还指出：“此次安全情报调查行动中，工作人员在多个地点发现了 300 余台共置的 SIM 服务器，以及 10 万张 SIM 卡。” 特工人员在查获通信设备的同时，还发现了非法枪支、电脑、手机及 80 克可卡因。可见，目前网络犯罪活动与传统犯罪组织之间的界限正逐渐模糊。 情报专家推测，该网络或与 “国家行为体”的行动有关。 《纽约时报》报道称：“调查人员表示，此次查获的设备库与当时正在召开的联合国大会虽无直接关联，但其所处位置及潜在威胁引起了我们的担忧。一名官员指出，特勤局此前从未发现过规模如此庞大的非法通信网络，部分专家怀疑此次有国家行为体参与其中。” 此次被捣毁的设备库是一个完整的“平行通信网络”，由成架的服务器与 10 万余张 SIM 卡组成，可对通信运营商发起流量攻击、破坏服务，或发起大规模钓鱼攻击。专家警告，除造成通信中断外，该网络还可能被用于间谍活动、窃听或追踪政府官员。 对SIM卡的初步分析显示，其与某外国及包括犯罪集团在内的多个犯罪组织存在关联，凸显出国家级行为体与网络犯罪团伙之间的勾结。 美国特勤局在公告中进一步表示：“目前对这些设备的司法鉴定仍在进行中，但据初步分析显示，国家级威胁行为体与部分已被联邦执法部门关注的人员之间存在手机通信联系。” 前白宫网络安全官员、现任FTI咨询公司全球网络安全负责人安东尼·J·费兰特（Anthony J. Ferrante）向《纽约时报》表示：“这个网络技术复杂且投入高昂，我的直觉是，它被用于间谍活动。” 研究人员认为，仅有“俄罗斯、以色列等少数国家” 具备搭建此类秘密通信网络的资源与能力。 尽管此次发现的网络规模前所未有，但通信网络被非法利用或劫持的情况并非首次出现： 2017 年，华盛顿特区的安全专家在白宫、国会山等敏感区域附近检测到多台 “IMSI 捕集器”（一种模拟合法手机信号塔以拦截通话和短信的设备）。 2021 年，墨西哥当局捣毁了由贩毒集团运营的平行电信网络，其中包括定制信号塔和中继系统，这些设备被用于协调贩毒活动，且不受正规通信运营商的监管。 此次事件表明，通信网络可被“武器化”利用。瘫痪手机网络、实施间谍活动、劫持数据等威胁真实存在，且会对安全防护造成影响。在联合国总部附近发现此类网络，也凸显出联合国大会等重大活动期间的安全风险，每分钟数百万条信息的传输量与匿名通信渠道，都可能被用于间谍活动。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司 Unit 221B 宣布完成 500 万美元种子轮融资，本轮融资由 J2 Ventures 领投，Pipeline Capital 及其他投资者跟投。 这家总部位于纽约的公司由资深威胁情报与技术专家于十年前创立，专注于提供可执行的威胁情报，其中包括能够促成黑客被逮捕的相关情报。 Unit 221B 开发了一款名为 eWitness 的专有威胁情报平台，该平台依托一个由调查员、分析师和研究人员组成的精心筛选的网络，用于追踪英语国家的网络犯罪分子并揭露攻击活动。eWitness 依赖 人力情报（HUMINT） —— 一个由经过审查的可信成员组成的社区，共同收集高价值的威胁情报，用于数据的捕获、管理和存储。此外，Unit 221B 还为执法机构和跨国企业提供量身定制的调查工具与威胁狩猎服务。 多年来，该公司曾参与多项调查，推动威胁行动的瓦解，并协助对多名网络罪犯提起诉讼和实施逮捕，其中包括上个月 RapperBot DDoS 僵尸网络管理员 Ethan Foltz 的落网。 Unit 221B 表示，将利用这笔新资金提升 eWitness 平台的新功能，并加速调查合作与市场拓展。 Unit 221B 首席执行官 May Chen-Contino 表示：“集体行动有能力改变结果。我们正在联合企业、执法机构和政府的调查人员，共同打造一个更安全的线上与线下世界。打击这些犯罪网络的唯一方法就是携手合作。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文