HackerNews 编译，转载请注明出处： 黑客声称，他们窃取了 巴西军事警察（Military Police）2TB的医疗记录，此次数据泄露可能会使警官及其家属的隐私暴露。 攻击者在一个知名的地下论坛发帖，声称已攻破巴西健康信息公司 Maida.health。 据称，被盗数据中包括超过两TB的巴西军事警察资料。其中涉及极其敏感的信息，例如警官及其家属的健康档案和身份证件。 医疗记录涵盖心脏病学、神经学和妇科学专家的诊断与治疗服务。被窃数据还包括医疗服务发票、行政流程文件、监管证书以及临床患者数据。 Cybernews 尚未能独立核实这些说法，因为相关数据样本尚不可访问。该媒体已联系 Maida.health，但暂未收到回应。 如果数据确实属实，后果将十分严重。医疗账单和体检报告通常包含大量敏感信息，如诊断结果和个人身份信息。 研究人员指出：“当此类数据泄露时，常常会导致身份盗窃或医疗欺诈。例如，犯罪分子可能冒充受害者接受医疗服务，或以受害者名义获取处方药。” 巴西的军事警察是身着制服的州级武装力量，负责街头巡逻和维护公共秩序。其遍布全国各州及联邦区，是当地的主要一线警务力量。 Maida.health的年营收据称为 4590万美元。该公司为医疗行业提供数字化解决方案和基于人工智能的自动化服务，业务涵盖保险理赔管理、账单处理以及远程问诊。 医疗数据面临威胁 近年来，医疗行业频频成为攻击目标，患者的敏感数据屡遭觊觎。而数字服务商的失误也让数百万患者面临风险。 据报道，超过120万台医疗设备被发现暴露在互联网上，使黑客能够在患者尚未知晓诊断结果之前就访问敏感信息。 欧洲网络安全公司Modat表示，其扫描互联网后发现超过 70 种不同类型的配置错误的联网医疗设备和系统，包括核磁共振（MRI）、CT、X光、DICOM 浏览器、血液检测系统、医院管理系统等。 此前 Cybernews的研究显示，第三方服务提供商也可能成为医疗机构的“特洛伊木马”。研究人员曾发现一次大规模数据泄露事件，涉及美国公民的医疗数据，包含约 270万份患者档案 和 880万条预约记录。这些泄露数据与一家名为 Gargle 的公司相关，该公司主营市场营销、SEO 和网页开发。 另外，攻击者还在其他地下论坛声称泄露了数据，范围包括医疗从业者的姓名、住址等信息。 攻击者并未具体说明数据来源，但声称其中包括 43.3万名美国医疗从业者 的信息。Cybernews 研究团队认为，这些数据可能源自某第三方服务商的泄露事件。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，美国网络安全研究机构GrammaTech被一家知名勒索软件集团攻破。该公司长期与美国政府机构保持合作，如：国防高级研究计划局、战争部以及其他重要机构。 这家网络安全研究公司的名字出现在 Play 勒索软件集团的暗网博客上，该组织惯常在此展示其最新的受害者。尽管攻击者声称已获取私人和机密数据，但并未提供任何证据或数据样本来支持其说法。 截至发稿时，该公司的官方网站仍可正常访问。 GrammaTech 之所以可能引起攻击者兴趣，是因为其业务包括软件分析、漏洞检测等服务。该公司在官网列出的合作伙伴包括 DARPA、美国国土安全部、NASA、空军研究实验室以及其他机构。 与此同时，Play 勒索软件声称还访问了 GrammaTech 的业务服务信息。根据 Cybernews 研究团队的说法，如果黑客的说法属实，攻击后果可能有限，因为“运营数据和漏洞研究成果未必受到影响”。 研究团队补充说：“如果该公司受聘参与涉及机密系统的工作，而这些系统在公众层面并不存在，那么可能会泄露一些机密细节，但除此之外影响相对有限。” Play 勒索软件集团是谁？ Play 勒索软件是网络犯罪地下世界的重要玩家，去年跻身最活跃的三大勒索软件团伙之列。 今年 8 月初，该组织声称攻击了 Jamco Aerospace Inc.，一家为美国海军、波音和诺斯罗普·格鲁曼提供商用与军用飞机零部件的供应商。 在 2023 年，Play 曾对爱荷华州 Palo Alto 县警长办公室和罗德岛州 Donald W. Wyatt 高安全级别拘留中心发动过攻击。 根据 Ransomlooker 数据（由 Cybernews 暗网监测工具提供），过去 12 个月内，Play 至少以 376 家公司为目标，使其成为同期攻击最频繁的组织之一。 根据 Adlumin 的资料，Play 被认为是最早使用 间歇性加密 的勒索软件组织之一。 这种方法仅加密系统中的部分固定段落，使攻击者能够更快地访问并窃取受害者的数据。而且，似乎已有其他臭名昭著的组织效仿这一战术，包括 ALPHV/BlackCat、DarkBit 和 BianLian。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，韩国数据保护监管机构对本国第五大信用卡发行机构 —— 乐天信用卡（Lotte Card）遭遇的网络攻击展开调查。韩国个人信息保护委员会（Personal Information Protection Commission，PIPC）于周一表示，正与金融监管机构合作，以确定此次数据泄露的完整范围（约 300 万客户的个人信息已泄露），并核查乐天信用卡是否违反了韩国的数据保护相关法律。 乐天信用卡上周证实，黑客在 8 月中旬获取了大量用户数据，包括身份证号、内部用户标识及联系方式。此外，数千名用户的敏感财务信息（如卡号、有效期及验证码）也遭到泄露。 据韩国当地媒体报道，不明身份的攻击者利用了一台支付服务器上的未修复漏洞。该漏洞自 2017 年起便存在，尽管 2017 年就已发布相关安全补丁，但乐天信用卡承认，一台用于 “使用频率较低的海外支付服务” 的服务器并未安装该补丁。 另有报道称，在被认为已泄露的 2700 个文件中，仅约 56% 进行了加密处理。黑客入侵近两周后，该公司才在一次服务器例行检查中发现数据泄露事件。 这家总部位于首尔的信用卡机构，服务着约 960 万客户，处理的交易金额约占韩国每日信用卡消费总额的 10%。目前，该公司已开始通知受影响用户暂停使用信用卡或办理换卡手续，并表示尚未发现未经授权的交易记录。 在周四举行的新闻发布会上，乐天信用卡首席执行官赵和珍（Cho Jwa-jin）公开致歉，并承诺对用户遭受的损失进行全额赔偿。他表示：“我们将以此为契机，从根本上改革安全体系，完善公司整体管理架构。” 此次事件引发了公众对乐天信用卡的控股股东MBK Partners的争议，外界质疑其忽视了网络安全方面的投资。韩国当地媒体称，自 MBK Partners 收购乐天信用卡后，后者的安全预算有所缩减。 MBK Partners 否认了上述批评，称过去六年已向乐天信用卡的信息技术（包括网络安全）领域投入约 6000 亿韩元（折合 4.3 亿美元）。该公司一名官员表示：“我们将信息技术、网络安全及公司治理视为维护企业价值和客户信任的核心资产。” 尽管如此，据报道，韩国执政党国民力量党（People Power Party）计划在议会听证会上传唤 MBK Partners 董事长金秉柱（Kim Byung-ju），认为该公司应对此次数据泄露的严重程度承担责任。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲执法当局逮捕了5名嫌疑人，他们涉嫌参与一项“精心策划”的在线投资诈骗计划，从法国、德国、意大利和西班牙的100多名受害者那里窃取了超过1亿欧元（约合1.18亿美元）。 据欧洲司法合作署称，此次协调行动在西班牙和葡萄牙的五个地点以及意大利、罗马尼亚和保加利亚进行了搜查。与网络犯罪团伙相关的银行账户和其他金融资产被冻结。 该行动的主要实施者被指控通过运营一个在线投资平台多年，进行大规模诈骗和洗钱，通过承诺在各种加密货币投资中获得高额回报，诱骗毫无戒心的人交出资金。 一旦存款完成，资金就被转移到立陶宛的银行账户中进行洗钱。试图从该平台提取资产的受害者被要求支付额外费用，随后用于实施诈骗的网站消失了。 保加利亚、意大利、立陶宛、葡萄牙、罗马尼亚和西班牙的多个司法和执法机构参与了该诈骗计划的调查。 “这一诈骗至少自2018年以来一直在进行，涉及23个不同的国家，例如，作为转移诈骗所得的地区或受害者所在地。”欧洲司法合作署表示，该机构与欧洲刑警组织（Europol）的支持下协调了此次行动。 根据美国联邦贸易委员会（FTC）的数据，2024年美国人因诈骗损失创纪录的125亿美元，比前一年增加了25%，其中投资诈骗造成的损失最高，达到57亿美元，高于2023年的46亿美元和2022年的38亿美元。 “大多数（79%）报告投资相关诈骗的人损失了金钱，中位数损失超过9000美元，”联邦贸易委员会表示。“与在线开始的诈骗相比，人们因更‘传统’的联系方式（如电话、短信或电子邮件）而损失了大约19亿美元。” 这一披露正值区块链分析公司Chainalysis透露，2025年9月2日，一名Venus协议用户成为社会工程学攻击的目标，以及如何通过早期检测和迅速行动，使被盗资金约1300万美元得以恢复。 “攻击源于社会工程学：恶意行为者利用受损的Zoom客户端获得系统访问权限，”Chainalysis表示。 “在渗透受害者的机器后，攻击者操纵用户提交了一笔区块链交易，从而获得了该账户的委托人身份。这使他们能够代表受害者借入和赎回资产，有效地耗尽了资金。” 区块链分析公司表示，Venus在恶意交易发生后的20分钟内暂停了其协议，有效地阻止了攻击者进一步转移资金。在接下来的12小时内，Venus强制清算攻击者的钱包，追回了被盗资金，并恢复了全面服务。 “Venus通过治理提案冻结了攻击者仍然控制的300万美元资产，”Chainalysis指出。“攻击者不仅没有获利；他们实际上还因社区果断行动而损失了300万美元。” 欧洲司法合作署的打击行动也与首尔大都会警察厅（SMPA）本月早些时候采取的类似行动相呼应，该行动破坏了一个网络犯罪行动，估计从258名高调受害者那里窃取了约3000万美元，包括企业高管。 “这一行动非常复杂：在成功黑客攻击受害者的个人信息并窃取资金后，犯罪分子会冒充机构员工，接近受害者的家人以收集更多个人信息，为额外的盗窃行为做准备，”Chainalysis指出。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国公共广播档案馆（American Archive of Public Broadcasting，简称 AAPB）官网存在一处漏洞，多年来导致受保护及私密媒体内容可被下载；本月，该漏洞已被悄悄修复。 网络安全研究员（要求匿名）向 BleepingComputer 网站透露了这一漏洞，称至少自 2021 年起，该漏洞就被人利用 —— 即便此前研究员已向 AAPB 通报过该问题。 在就漏洞联系 AAPB 后，该机构发言人确认了问题存在；研究员随后验证，漏洞在 48 小时内便完成修复。 AAPB 传播经理艾米丽・鲍克（Emily Balk）向 BleepingComputer 表示：“我们致力于保护和保存 AAPB 的档案资料，目前已加强了档案馆的安全防护措施。我们期待继续向公众免费开放公共媒体历史内容，让所有人都能便捷获取。” 美国公共广播档案馆由 WGBH 教育基金会（WGBH Educational Foundation，简称 GBH）与美国国会图书馆联合运营，是一家公共非营利性档案馆。其核心使命是收集、数字化并保存美国公共广播电台及电视台制作的具有历史意义的内容。 BleepingComputer 了解到，AAPB 这一漏洞最初是在 “失落媒体维基”（Lost Media Wiki）的 Discord 频道中流传开来的 —— 当时该频道正讨论《芝麻街》（Sesame Street）“西方邪恶女巫”（Wicked Witch of the West）剧集片段的泄露事件。 “失落媒体维基” 已下架了该剧集片段，称其 “很可能是通过非法数据泄露获取”，并敦促频道成员不要在 Discord 上重新分享。 最初，利用该漏洞的方法处于保密状态；但到 2024 年年中，其开始在 Discord 的内容保存社群中传播，导致更多受保护内容在专注于内容保存的 Discord 服务器上泄露。 这类社群被称为 “数据囤积者”（data hoarders），他们致力于存档软件、网站、操作系统及各类媒体内容（包括电视节目、音乐、电影等）。然而，他们的运作往往处于 “灰色地带”—— 所保存和分享的内容涉及版权问题，模糊了与数字盗版之间的界限。 即便 AAPB 采取了下架措施，该漏洞的利用方法仍在多个 Discord 服务器及即时通讯应用中传播。研究员向 BleepingComputer 提供的 “概念验证”（proof-of-concept）显示，滥用这一漏洞的操作极为简单。 研究员分享的漏洞利用工具是一个简单的 Tampermonkey 脚本（浏览器插件脚本），其利用的是 “不安全的直接对象引用”（Insecure Direct Object Reference，简称 IDOR）漏洞。通过该脚本，用户可通过媒体 ID 直接请求媒体文件，从而绕过 AAPB 的访问控制机制。 该漏洞允许用户篡改媒体访问请求中的 “媒体 ID 参数”：即便某些内容处于受保护或私密状态，只要用户通过 ID 发起访问请求，就能获取相应资源。 尽管 AAPB 官网的主要媒体页面（路径为/media/{ID}）设有部分访问控制，但攻击者可通过篡改后台的 “fetch” 或 “XMLHttpRequest”（两种网页数据请求方式）绕过限制。 按照正常逻辑，AAPB 的服务器本应通过 “403 禁止访问”（403 Forbidden）错误拒绝这类非法请求；但实际情况是，只要请求中包含有效的媒体 ID，服务器就会直接返回对应内容。 目前该漏洞虽已修复，但尚不清楚 “数据囤积者” 社群已获取并分享了多少内容。 此次美国公共广播档案馆的内容泄露事件，并非今年首例与公共广播相关的信息安全问题。此前，美国公共广播公司（PBS）员工的联系信息也曾遭泄露，并在 “PBS Kids”（PBS 儿童频道）粉丝的 Discord 服务器中传播。 这两起事件均表明，即便不带有恶意目的，档案社群及粉丝社群仍有可能获取敏感或私密数据。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据西方研究人员、摩尔多瓦官员以及泄露文件的消息显示，在摩尔多瓦议会选举前夕，俄罗斯正加大虚假信息宣传及秘密影响力行动的力度，企图阻碍该国加入欧盟的进程。 摩尔多瓦将于 9 月 28 日选举产生新议会，届时总统玛雅・桑杜（Maia Sandu）领导的执政党 “行动与团结党”（PAS）将与亲俄反对派联盟展开对决。尽管有与俄罗斯相关的势力试图影响选举结果，但桑杜仍在 2024 年 11 月的第二轮总统选举中击败前摩尔多瓦总检察长亚历山大・斯托亚诺格洛（Alexandr Stoianoglo），成功连任总统。 美国战争研究所（ISW）在 9 月初发布的报告中指出，克里姆林宫正再次试图干预 2025 年议会选举，以阻止执政党继续占据议会多数席位。 研究人员表示：“这些选举影响力行动，是莫斯科为实现其长期战略目标 —— 阻止摩尔多瓦与西方融合 —— 所采取的整体举措的一部分。” 虚假信息网络 英国广播公司（BBC）周末报道称，一个由俄罗斯资助的网络正招募摩尔多瓦人在 TikTok 和 Facebook 上发布宣传内容，每月通过已遭制裁的俄罗斯普罗姆斯维亚兹银行（Promsvyazbank）向他们支付约 3000 列伊（折合 170 美元）报酬。 招募方要求参与者使用人工智能生成内容，以毫无根据的指控攻击桑杜及行动与团结党，例如声称政府计划操纵选举、加入欧盟要求公民改变性取向、桑杜与儿童贩卖活动有关联等。 BBC 指出，该网络与逃亡寡头伊兰・肖尔（Ilan Shor）存在关联。肖尔因协助克里姆林宫实施影响力行动，已受到美国和英国的制裁。报道确认，至少有 90 个 TikTok 账号参与其中，这些账号今年已发布数千条视频，累计观看量超过 2300 万次。 战争研究所还表示，自 4 月以来，俄罗斯还强化了 “套娃”（Matryoshka）和 “过载”（Overload）两项虚假信息行动 —— 前者旨在传播亲俄虚假叙事，后者则通过大量编造内容让事实核查机构应接不暇。 这些行动均隶属于俄罗斯规模更大的 “分身”（Doppelganger）行动，该行动的核心是 “克隆” 合法媒体机构及公共机构的网站，以此传播宣传内容。 摩尔多瓦的应对措施 摩尔多瓦执法部门正针对涉嫌参与亲俄影响力行动的人员展开搜查。 上周，当局在一系列突袭行动中查获约 30.2 万美元资金，称这些资金与俄罗斯支持的洗钱计划有关；同时还关停了一家被指控传播与肖尔相关宣传内容的媒体机构。 本周一，当地警方拘留了数十人，此次行动是针对一起涉嫌由俄罗斯支持、旨在煽动大规模骚乱的阴谋所开展的调查的一部分。警方表示，突袭行动覆盖多个地区，涉及超过 100 名相关人员。 克里姆林宫的 “行动手册” 彭博社周一援引泄露的克里姆林宫文件报道称，莫斯科已制定一项战略，旨在削弱桑杜在议会选举中的影响力，并最终将其赶下台。 泄露文件中披露的该计划详细列出了多项举措：动员摩尔多瓦海外侨民选民、组织街头抗议活动，以及在 TikTok、Telegram 和 Facebook 上发起协调一致的虚假信息宣传。尽管彭博社无法证实该计划是否已付诸实施，但两名了解此事的欧洲官员表示，“几乎可以肯定” 俄罗斯有意推进计划中的大部分内容。 战争研究所指出，俄罗斯似乎从 2024 年罗马尼亚总统选举干预行动中吸取了经验，尤其是在 TikTok 的广泛使用方面。此前，亲俄极端民族主义者卡林・乔治斯库（Calin Georgescu）曾利用该平台推广其竞选活动 —— 他在后来被宣布无效的首轮选举中获胜。 研究人员表示，俄罗斯影响力行动的主要目标是确保摩尔多瓦议会中出现一个对克里姆林宫友好的多数派。 战争研究所补充道：“若基希讷乌（摩尔多瓦首都）和蒂拉斯波尔（德涅斯特河沿岸地区自称的首都）均出现对克里姆林宫友好的政府，莫斯科将能同时对摩尔多瓦西部的北约（成员国）和东部的乌克兰构成威胁。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 4 月起，一个此前未被记录的黑客组织 ComicForm 发起了钓鱼攻击活动，白俄罗斯、哈萨克斯坦和俄罗斯的多家机构成为其攻击目标。 网络安全公司 F6 在上周发布的分析报告中指出，此次攻击活动主要针对工业、金融、旅游、生物技术、科研及贸易行业。 该攻击链的具体流程如下：首先发送主题为 “等待签署文件”“付款发票” 或 “待签署对账单” 的电子邮件，诱导收件人打开一个 RR 压缩文件；压缩文件内包含一个伪装成 PDF 文档的 Windows 可执行文件（例如 “Акт_сверки pdf 010.exe”，俄语 “对账单” 相关文件名）。这些邮件分别以俄语或英语撰写，发送邮箱地址的顶级域名为.ru（俄罗斯）、.by（白俄罗斯）和.kz（哈萨克斯坦）。 上述可执行文件是一个经过混淆处理的.NET 加载器，其作用是启动恶意动态链接库（DLL）“MechMatrix Pro.dll”；随后，该动态链接库会运行第三阶段有效载荷 —— 另一个名为 “Montero.dll” 的动态链接库，该文件实为 Formbook 恶意软件的投放器。在投放恶意软件前，“Montero.dll” 会先创建计划任务，并配置微软防御者（Microsoft Defender）的排除项，以躲避检测。 有趣的是，研究人员发现该可执行文件中还包含指向 Tumblr 平台的链接，这些链接指向蝙蝠侠等漫画超级英雄的完全无害 GIF 动图，黑客组织 “ComicForm” 的名称也正源于此。F6 公司研究员弗拉季斯拉夫・库甘（Vladislav Kugan）表示：“这些图片并未用于任何攻击行为，仅作为恶意软件代码的一部分存在。” 对 ComicForm 组织基础设施的分析显示，2025 年 6 月该组织曾向哈萨克斯坦某未具名企业发送钓鱼邮件，2025 年 4 月则针对白俄罗斯某银行发起过类似攻击。 F6 公司还透露，就在 2025 年 7 月 25 日，他们检测到并拦截了一批钓鱼邮件：这些邮件伪装成来自哈萨克斯坦某工业企业的邮箱地址，发送给俄罗斯的制造企业。邮件诱导潜在目标点击内置链接 “验证账户”，以避免账户 “可能被冻结”。 用户点击链接后，会被重定向至一个伪造的登录页面 —— 该页面模仿当地某文档管理服务的登录界面。一旦用户输入账户信息，这些信息就会通过 HTTP POST 请求发送至黑客控制的域名，从而实现账号窃取。 库甘解释道：“此外，研究人员在该钓鱼页面的代码中发现了一段 JavaScript 脚本，其功能包括：从 URL 参数中提取用户邮箱地址，并自动填充到 ID 为‘email’的输入框中；从邮箱地址中提取域名；通过 screenshotapi [.] net 接口获取该域名官网的截图，并将其设为钓鱼页面的背景（以增强伪装性）。” 针对白俄罗斯某银行的攻击则采用了 “发票主题诱饵”：黑客发送钓鱼邮件，诱导用户在一个表单中输入邮箱地址和手机号，这些信息随后会被捕获并发送至外部黑客域名。 F6 公司指出：“该组织针对俄罗斯、白俄罗斯和哈萨克斯坦多国不同行业的企业发起攻击；而英语版本钓鱼邮件的存在表明，攻击者还将目标拓展到了其他国家的机构。攻击者采用的手段包括两种：一是通过钓鱼邮件分发 FormBook 恶意软件，二是搭建伪装成正规网络服务的钓鱼平台，以窃取账号凭证。” 亲俄组织针对韩国发起攻击，部署 Formbook 恶意软件 与此同时，新加坡网络安全公司 NSHC 的 ThreatRecon 团队披露了另一起事件：一个亲俄网络犯罪组织针对韩国的制造、能源及半导体行业发起了攻击。该攻击活动被归因于名为 SectorJ149（又称 UAC-0050）的黑客集群。 2024 年 11 月，研究人员观测到了上述攻击活动。其流程始于针对企业高管及员工的鱼叉式钓鱼邮件，邮件以 “生产设备采购” 或 “报价请求” 相关内容作为诱饵；收件人一旦打开邮件附件，会触发一个伪装成微软压缩包（CAB 格式）的 Visual Basic 脚本（VBScript），该脚本进而执行 Lumma Stealer（ Lumma 窃取器）、Formbook（Formbook 恶意软件）和 Remcos RAT（Remcos 远程访问木马）等常见恶意软件。 该 Visual Basic 脚本被设计为执行一条 PowerShell 命令，通过访问 Bitbucket 或 GitHub 代码仓库获取一个 JPG 图片文件 —— 该图片中隐藏着一个加载器可执行文件，最终由该加载器启动窃取器和远程访问木马（RAT）等恶意有效载荷。 NSHC 公司表示：“在内存区域直接执行的可移植可执行文件（PE 格式）恶意软件属于加载器类型。它会通过预设参数中包含的 URL，下载伪装成文本文件（.txt 格式）的额外恶意数据，对其进行解密后，生成并执行新的 PE 格式恶意软件。” “过去，SectorJ149 组织的活动主要以获取经济利益为目的，但近期针对韩国企业的黑客活动则被认为具有强烈的黑客行动主义（hacktivist）属性 —— 攻击者通过黑客技术传递政治、社会或意识形态相关信息。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周六，一场针对值机与登机系统的网络攻击扰乱了欧洲多座主要机场的空中交通，造成大面积航班延误。尽管此次事件对旅客的影响似乎有限，但专家表示，这一入侵行为暴露了安全系统存在的漏洞。 报道称，布鲁塞尔机场、柏林勃兰登堡机场及伦敦希思罗机场的电子系统出现故障，各机场只能通过人工方式办理值机与登机。欧洲其他多家机场则表示，其运营未受影响。 随后布鲁塞尔机场在声明中称：“9 月 19 日（上周五）夜间，值机与登机系统的服务提供商遭遇网络攻击，波及包括布鲁塞尔机场在内的多座欧洲机场。” 各机场均表示，问题出在值机与登机系统的服务提供商身上，而非航空公司或机场本身。 柯林斯航空（Collins Aerospace）的系统可为旅客提供自助值机、打印登机牌和行李标签以及通过自助服务机办理行李托运等服务。该公司表示，其 “多用户系统环境”（MUSE）软件在 “部分机场” 出现 “与网络相关的故障”。 “一场极具巧思的网络攻击” 目前尚不清楚谁是此次网络攻击的幕后黑手，但专家表示，凶手可能是黑客、犯罪组织或国家行为体。 旅游分析师保罗・查尔斯表示，此次攻击波及全球顶尖航空与防务企业之一，令他 “既惊讶又震惊”。他表示：“一家实力如此雄厚、本该拥有高可靠性系统的公司竟会受此影响，这实在令人深感担忧。”他在接受天空新闻（Sky News）采访时称：“这无疑是一场极具巧思的网络攻击，攻击者侵入了支撑着欧洲各地机场、各个值机柜台的旅客值机流程的核心系统。进而同时影响了多家航空公司和机场。” 随着时间推移，此次事件的影响得到了控制。 布鲁塞尔机场发言人伊赫桑・舒阿・莱赫利向比利时 VTM 电视台透露，截至20日上午，已有 9 个航班取消，4 个航班转降其他机场，15 个航班延误 1 小时以上。她表示，目前尚不清楚故障可能持续多久。 柏林勃兰登堡机场公关负责人阿克塞尔・施密特表示，截至上午，“目前尚未遭受网络攻击的原因取消任何航班，但情况可能会发生变化”。该机场表示，运营方已切断与受影响系统的连接。 作为欧洲最繁忙的机场，伦敦希思罗机场表示，此次故障的影响 “微乎其微”，暂无航班因柯林斯航空系统出现的问题而直接取消。 各机场均建议旅客查询自身航班状态，并对由此带来的不便表示抱歉。 值机柜台前的不满情绪 由于目前很多旅客倾向于选择自助值机，大多数航空公司已缩减了传统值机柜台的工作人员数量。部分旅客对工作人员不足的情况表达了不满。 玛丽亚・凯西计划搭乘阿提哈德航空前往泰国进行为期两周的背包旅行，她表示自己在希思罗机场 4 号航站楼的行李托运处排队等候了 3 小时。她说：“工作人员不得不手写行李标签，而且只有两个柜台有工作人员值班，这就是我们生气的原因。” 柯林斯航空是雷神技术公司旗下的子公司，主营航空与防务技术。该公司表示，“正积极采取措施解决问题，尽快为客户恢复系统的全部功能”。 该公司在声明中称：“此次故障仅影响电子客票值机和行李托运服务，可通过人工值机操作缓解影响。” 依赖第三方平台致航空业存在漏洞 尽管如此，专家表示，此次攻击暴露了航空业存在的漏洞，而黑客正越来越多地试图利用这些漏洞。 网络安全公司 Check Point 企业部门负责人夏洛特・威尔逊表示，由于高度依赖共享数字系统，航空业已成为 “网络犯罪分子日益青睐的目标”。 她说：“这类攻击通常通过供应链发起，利用为多家航空公司和机场同时提供服务的第三方平台。一旦某家供应商遭到入侵，其影响会迅速扩散，造成跨境范围的大规模混乱。” 专家表示，目前判断攻击幕后黑手为时尚早，他们正试图从蛛丝马迹中寻找线索。 英国巴斯大学信息技术教授詹姆斯・达文波特表示：“根据我们掌握的信息，此次攻击看起来更像是恶意破坏，而非勒索。我认为，除非出现重大新线索，否则这一判断不会改变。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，加拿大皇家骑警已关停加密货币交易所 TradeOgre，并查获逾 4000 万美元据信源自犯罪活动的加密资产。这是加拿大执法部门首次取缔加密货币交易所，同时也是该国历史上规模最大的资产扣押行动。 TradeOgre 是一家小型交易平台，主打用户隐私保护，除交易小众山寨币外，还涉及难以追踪的门罗币（一种加密货币）交易。 该平台此前因允许用户无需通过 “了解你的客户”（KYC）政策完成身份验证而闻名，且一直未遵守加拿大相关法律法规。 非法加密货币平台 加拿大洗钱调查小组（MLIT），在接到欧洲刑警组织的线索后，于 2024 年 6 月启动了对 TradeOgre 运营活动的调查。 7 月底，该平台突然停止运营，运营方未发布任何通知，这引发部分用户猜测其可能存在 “跑路诈骗”的行为。 不过，执法部门向科技媒体 BleepingComputer 证实，当时是警方为推进此次执法行动而关停了该网站。 加拿大皇家骑警表示，该平台属非法运营，原因是 “其未以货币服务企业身份在加拿大金融交易与报告分析中心（FINTRAC）注册，且未对客户进行身份识别”。 由于用户注册账户时无需提供身份证明，调查人员认为，网络犯罪分子可能利用 TradeOgre 进行洗钱活动。 该平台部分用户对此作出回应，称并非所有用户都是犯罪分子。例如，加密货币钱包 MetaMask 的泰勒・莫纳汉就坦言，她和朋友们一直在使用 TradeOgre。 莫纳汉表示：“非常期待看到相关证据，也希望你们（执法部门）能为所有在未获通知、未经正当程序的情况下被你们‘夺走’资金的无辜者提供追索途径。” 加拿大皇家骑警在给 BleepingComputer 的声明中称，无法 “确认所有被扣押的加密货币均源自非法交易”。 加拿大皇家骑警表示：“对于特定类型的犯罪活动（如勒索款项支付）是否通过该平台进行，我们无法置评；同时，也无法提供可能利用该平台洗钱的犯罪资金来源相关细节。” 尽管如此，BleepingComputer 获悉，据称由于该平台具备匿名性且支持门罗币交易，它被用于转移网络犯罪所得。 加拿大皇家骑警指出，对于 TradeOgre 的非犯罪用户，“若加拿大皇家骑警决定申请没收相关加密货币，这些用户可通过加拿大法院体系寻求追索”。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司ESET发现证据表明，与俄罗斯有关联的黑客组织 Gamaredon 和 Turla协作， 于 2025 年 2 月至 4 月期间展开了针对乌克兰的网络攻击。 与俄罗斯有关联的高级持续性威胁（APT）组织 Gamaredon（又名 Shuckworm、Armageddon、Primitive Bear、ACTINIUM、Callisto），自 2013 年起便以乌克兰政府、执法部门及国防机构为攻击目标，这一点已为外界所熟知。 另一个 APT 组织 Turla（又名 Snake、Uroburos、Waterbug、Venomous Bear、KRYPTON）至少自 2004 年起开始活跃，其攻击范围覆盖中东、亚洲、欧洲、北美及南美地区，目标包括外交机构、政府组织及私营企业，同时也涉及前苏联加盟共和国。 Turla 隶属于俄罗斯联邦安全局（FSB）的 16 中心 —— 该中心是克格勃（KGB）负责对外情报的第 16 总局的继承者；而 Gamaredon 则与 FSB 的 18 中心存在关联，该中心的前身是克格勃负责国内安全的第 2 总局。这两个部门在过去便常有合作，如今职责仍存在重叠，在针对乌克兰的行动中表现尤为明显。尽管俄罗斯各情报机构间竞争激烈，但同一部门下属的组织往往会展开协作，此次 Turla 与 Gamaredon 的联手便是典型案例。 ESET 研究人员表示，这两个得到俄罗斯政府支持的黑客组织，在 2025 年 2 月至 4 月对乌克兰的网络攻击中进行了合作：Gamaredon 先部署自有工具重启目标系统，随后在选定的乌克兰目标设备上植入 Turla 的恶意软件。这种罕见的协作模式表明，不同威胁行为者可通过协同行动扩大攻击影响力，在紧张的地缘政治背景下，加剧了对乌克兰关键系统攻击的复杂性与持久性。 2025 年初，ESET 在乌克兰发现了四起 “双组织协同入侵” 事件：在这些事件中，Gamaredon 部署了 PteroLNK、PteroGraphin 等多款工具，而 Turla 则植入了 Kazuar 恶意软件。在某一台受感染设备上，Turla 甚至利用 Gamaredon 的植入程序重启了自身的 Kazuar 恶意软件，这一行为直接证明了两个网络间谍组织之间存在主动协作。此后，Gamaredon 还直接部署了 Kazuar v2 版本恶意软件，这进一步印证了 Turla 对 Gamaredon 的依赖 —— 后者为其获取乌克兰关键目标的访问权限提供了支持。专家指出，这是首次发现两个组织之间存在技术层面的关联证据。 ESET 发布的报告中写道：“2025 年 2 月，通过 ESET 的遥测数据，我们在乌克兰发现了四起 Gamaredon 与 Turla 协同入侵的案例。在这些受感染设备上，Gamaredon 部署了多款工具，包括 PteroLNK、PteroStew、PteroOdd、PteroEffigy 及 PteroGraphin，而 Turla 仅部署了 Kazuar v3 版本恶意软件。” 在过去 18 个月中，研究人员在乌克兰的 7 台设备上追踪到了 Turla 的活动痕迹。其中 4 台设备于 2025 年 1 月先被 Gamaredon 入侵，随后 Turla 在次月（2 月）在这些设备上部署了 Kazuar v3。在此之前，Turla 最近一次在乌克兰发起攻击可追溯至 2024 年 2 月。Gamaredon 采用 “大规模感染” 策略，在乌克兰境内广泛传播恶意软件；而 Turla 则采取 “精选目标” 策略，仅选择最具价值的系统（很可能是存储敏感情报的设备）发动攻击，这一行为印证了其对高价值间谍目标的专注。 这两个与俄罗斯联邦安全局（FSB）相关联的 APT 组织，显然在针对乌克兰的行动中展开了协作。Gamaredon 此前就有向其他组织（如 InvisiMole）共享目标访问权限的记录；而 Turla 则常 “劫持” 其他组织的基础设施，例如 2019 年针对 OilRig 组织、2023 年针对 Andromeda 组织、2024 年针对 Amadey 组织的行动中均出现过此类行为。分析人员认为，最有可能的协作模式是：Gamaredon 向 Turla 开放了部分目标设备的访问权限，为其部署 Kazuar 恶意软件创造了条件。其他可能性较低的情况包括：Turla 劫持了 Gamaredon 的工具，或 Gamaredon 在未公开的情况下自行使用 Kazuar 恶意软件。 以下是针对 ESET 观察结果提出的三种假设： 报告进一步指出： “可能性低：Gamaredon 获得了 Kazuar 的使用权限，并在特定设备上部署该恶意软件。考虑到 Gamaredon 的攻击风格向来‘高调且范围广’，我们认为该组织不太可能刻意仅在极少量目标设备上谨慎部署 Kazuar。” “可能性极高：鉴于两个组织同属俄罗斯联邦安全局（FSB）（虽分属不同中心），Gamaredon 向 Turla 的操作人员开放了目标设备访问权限，使其能在特定设备上发送命令以重启 Kazuar，并在其他部分设备上部署 Kazuar v2 版本。” “可能性低：Turla 入侵了 Gamaredon 的基础设施，并利用这一访问权限重新获取了乌克兰某台设备的控制权。由于 PteroGraphin（Gamaredon 的工具）包含用于修改命令与控制（C&C）服务器页面的硬编码令牌，这一可能性无法完全排除。但这意味着 Turla 需完整复刻 Gamaredon 的攻击链条，实现难度极大。” 目前，Gamaredon 最初获取目标设备访问权限的方式仍不明确，但研究人员指出，该组织通常依赖鱼叉式钓鱼邮件，以及通过可移动存储设备传播含恶意 LNK 文件（借助 PteroLNK 等工具实现）的方式发起攻击。 针对已调查的攻击事件，ESET 已发布相关入侵指标（IoCs，用于识别网络攻击的线索，如恶意 IP、文件哈希值等）及恶意软件样本。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文