HackerNews 编译，转载请注明出处： 荷兰与美国执法部门联合行动，成功瓦解一个由数千台感染物联网（IoT）设备及报废（EoL）路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务，四名涉案人员——三名俄罗斯公民（37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin）与一名哈萨克斯坦公民（38岁的Dmitriy Rubtsov）已被美国司法部起诉，指控其运营并利用代理服务非法牟利。 据司法部披露，用户需按月支付订阅费（9.95至110美元/月），攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局（FBI）在俄克拉荷马州发现，大量家用与商用路由器遭黑客入侵并植入恶意软件，用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出，该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制（C2）服务器通信，其中半数以上受害者位于美国，加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”（Operation Moonlander），已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示，这两个平台指向“同一僵尸网络，以不同品牌运营”。 互联网档案馆的网页快照显示，5socks.net曾宣称每日提供“超7000个在线代理节点”，覆盖美国各州及全球多国，攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称，受感染设备被植入名为“TheMoon”的恶意软件，该软件此前还支撑另一名为Faceless的犯罪代理服务。目前，该公司已对僵尸网络基础设施实施流量黑洞处理，阻断所有已知控制节点的通信。 FBI在公告中表示，攻击者利用报废路由器中的已知安全漏洞植入恶意软件，获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令，包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现，主要针对Linksys路由器。 安全专家指出，用户购买代理服务后仅需通过IP地址与端口组合即可连接，且服务激活后无需额外认证，极易被滥用。为降低风险，建议用户定期重启路由器、安装安全补丁、修改默认密码，并在设备报废后及时更换新型号。Lumen警告称，代理服务将继续威胁互联网安全，因其允许攻击者隐匿于住宅IP背后，而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周三，英国网络安全负责人宣布，该国情报部门看到了“俄罗斯网络攻击与我们安全面临的现实威胁之间存在直接联系”。 英国国家网络安全中心（NCSC）负责人理查德·霍恩在曼彻斯特举行的CYBERUK会议上警告称，莫斯科的恶意行为者“正在实施破坏行为，常常在其阴谋中使用犯罪代理”。 霍恩表示，无论是NCSC还是国内安全机构军情五处（MI5），都看到来自俄罗斯的网络威胁在英国街头显现，针对英国的各行各业和企业，使民众生命、关键服务和国家安全面临风险。 他告诉CYBERUK会议的听众，信息安全界的作用“因此不仅仅是保护系统，更是保护我们的人民、经济和社会免受伤害”。 霍恩说，NCSC无法透露行动细节，但解释说“网络手段”为一系列威胁行为者提供了侦察能力以及“发起现实威胁的能力”。 此次警告是在一系列疑似俄罗斯策划的欧洲破坏事件之后发布的。去年，欧洲各国的安全机构和政府就这些威胁发出了警告，同时北约和欧盟均谴责俄罗斯“日益加剧”的破坏活动和混合行动。 上个月，英国警方宣布逮捕了一名罗马尼亚男子，该男子涉嫌协助俄罗斯军事情报机构实施一项阴谋，其中包括一枚爆炸装置在伯明翰的DHL物流仓库爆炸。 据信，2024年7月德国莱比锡的DHL物流链发生的一起火灾也是俄罗斯所为。德国安全部门表示，如果那枚寄往英国的包裹炸弹在航班上爆炸，可能会引发空难。 第三起事件发生在7月，地点是波兰首都华沙附近。据路透社报道，这些企图被认为是未来阴谋的“预演”，俄罗斯计划在跨大西洋飞往美国和加拿大的货运航班上在空中引爆爆炸装置。 据报道，这些装置被伪装成来自立陶宛的按摩机，内部含有镁基物质，这种物质燃烧时极具破坏性，可能导致飞机坠毁。 11月，立陶宛总统吉塔纳斯·纳乌斯的首席国家安全顾问克斯蒂托尼斯·布德里斯指责俄罗斯军事情报机构格鲁乌（GRU）策划了这些阴谋。其他西方安全官员也认同这一评估，《华尔街日报》对此进行了报道。 这一指控是在波兰国家检察官办公室证实7月逮捕了4名与藏有爆炸物的包裹相关的人员之后提出的，该办公室称这些包裹被认为是对飞往美国和加拿大航班发动攻击前的试运行。另一名涉嫌在立陶宛邮寄这些包裹的男子于9月被捕。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全局（CISA）、联邦调查局（FBI）、环境保护局（EPA）和能源部（DoE）于周二发布警报，警告针对美国石油和天然气行业的网络攻击。 政府机构表示，这些攻击利用了基本的入侵技术，但关键基础设施组织内部糟糕的网络安全卫生状况可能导致中断甚至物理损坏。 “CISA越来越意识到一些不太复杂的网络行为者正在针对美国关键基础设施部门（石油和天然气）内的工业控制系统/监控与数据采集系统（ICS/SCADA），特别是在能源和交通系统中，”网络安全机构指出。 CISA所指的不太复杂的威胁行为者很可能是黑客行动主义团体——或者声称自己是黑客行动主义者的黑客。近年来，许多此类团体针对暴露在互联网上且未受保护或使用默认密码的SCADA及其他ICS系统发动了攻击。 尽管黑客的许多说法被夸大了，但工业网络安全专家经常警告说，这些攻击可能会产生重大影响。 在他们的警报中，CISA、FBI、EPA和DoE敦促关键基础设施组织“立即采取行动，改善其网络安全态势，以应对专门针对联网运营技术和ICS的网络威胁活动”。 为了抵御这些威胁，组织应确保运营技术（OT）系统不能直接从互联网访问，并确保通过虚拟专用网络（VPN）、强密码和防钓鱼多因素身份验证（MFA）安全地远程访问它们。 他们还应识别并立即更改默认密码，对关键系统实施网络分段，并确保能够手动操作OT系统。 此外，建议组织与相关实体合作，识别和解决在标准操作、默认产品配置或由系统集成商或托管服务提供商引入的可能配置错误。 “撰写机构建议关键基础设施组织定期与他们的第三方托管服务提供商、系统集成商和系统制造商沟通，这些实体可能能够提供系统特定的配置指导，以帮助他们确保运营技术的安全，”CISA、FBI、EPA和DoE指出。 CISA还建议关键基础设施组织审查并实施该机构近年来提供的资源，以帮助他们减少攻击面、实施网络分段、采用安全设计原则和防钓鱼MFA等。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与Play勒索软件家族有关的威胁行为者利用微软Windows最近修补的安全漏洞作为零日漏洞，攻击了美国一家未具名的机构。 据博通旗下的赛门铁克威胁猎手团队称，此次攻击利用了CVE-2025-29824，这是公共日志文件系统（CLFS）驱动程序中的一个权限提升漏洞，微软上个月对其进行了修补。 Play，也被称为Balloonfly和PlayCrypt，以其双重勒索策略而闻名，即在加密之前先窃取敏感数据，以换取赎金。它自2022年年中以来一直活跃。 赛门铁克观察到，在此次活动中，威胁行为者可能利用面向公众的思科自适应安全设备（ASA）作为切入点，通过尚未确定的方法转移到目标网络上的另一台Windows机器上。 此次攻击值得注意的是使用了Grixba，这是一个之前被归因于Play的定制信息窃取器，以及一个针对CVE-2025-29824的利用程序，该程序被放置在音乐文件夹中，并伪装成Palo Alto Networks软件（例如，“paloaltoconfig.exe”和“paloaltoconfig.dll”）。 威胁行为者还被观察到运行命令，收集受害者活动目录中所有可用机器的信息，并将结果保存到CSV文件中。 “在利用程序执行过程中，会在C:\ProgramData\SkyPDF路径下创建两个文件，”赛门铁克解释说。“第一个文件PDUDrv.blf是一个公共日志文件系统基础日志文件，是利用过程中产生的一个痕迹。” “第二个文件clssrv.inf是一个被注入到winlogon.exe进程中的DLL。这个DLL能够释放另外两个批处理文件。” 其中一个名为“servtask.bat”的批处理文件用于提升权限、转储SAM、SYSTEM和SECURITY注册表项，创建一个名为“LocalSvc”的新用户，并将其添加到管理员组。另一个批处理文件“cmdpostfix.bat”用于清除利用痕迹。 赛门铁克表示，在此次入侵中没有部署勒索软件负载。调查结果表明，在微软修复之前，针对CVE-2025-29824的利用程序可能已经被多个威胁行为者掌握。 值得注意的是，网络安全公司详细描述的利用方式与微软披露的另一项活动集群Storm-2460并不重叠，后者利用该漏洞进行有限的攻击，传播名为PipeMagic的木马。 CVE-2025-29824的利用也表明勒索软件行为者使用零日漏洞入侵目标的趋势。去年，赛门铁克透露，Black Basta团伙可能利用了CVE-2024-26169，这是Windows错误报告服务中的一个权限提升漏洞，作为零日漏洞。 “自带安装程序”EDR绕过技术在Babuk勒索软件攻击中的新应用 与此同时，Aon的Stroz Friedberg事件响应服务详细描述了一种名为“自带安装程序”的本地绕过技术，威胁行为者利用该技术禁用端点安全软件并部署Babuk勒索软件。 据该公司称，此次攻击针对了SentinelOne的端点检测与响应（EDR）系统，通过利用SentinelOne代理升级/降级过程中的一个漏洞，在获得一台面向公众的服务器的本地管理员权限后实施攻击。 “Aon的研究人员John Ailes和Tim Mashni表示：“自带安装程序是一种技术，威胁行为者可以通过在配置不当的情况下，及时终止代理更新过程，从而绕过主机上的EDR保护。” 这种方法值得注意，因为它不依赖于易受攻击的驱动程序或其他工具来解除安全软件的武装。相反，它利用代理升级过程中的一个时间窗口来终止正在运行的EDR代理，使设备处于无保护状态。 具体来说，它利用了这样一个事实：使用MSI文件安装软件的不同版本会导致它在执行更新之前终止已经运行的Windows进程。 “自带安装程序”攻击本质上涉及运行一个合法的安装程序，并在关闭正在运行的服务后，通过发出“taskkill”命令强行终止安装过程。 “Aon的研究人员表示：“由于SentinelOne的旧版本进程在升级过程中被终止，而新进程在启动前被中断，最终结果是一个没有SentinelOne保护的系统。” SentinelOne表示，这种技术也可以应用于其他端点保护产品，该公司已经对其本地升级授权功能进行了更新，以防止此类绕过再次发生。这包括默认为所有新客户启用该功能。 与此同时，思科透露，一个名为Crytox的勒索软件家族在其攻击链中使用了HRSword，以关闭端点安全保护。 HRSword此前曾在传播BabyLockerKZ和Phobos勒索软件的攻击中被观察到，以及那些旨在终止韩国AhnLab安全解决方案的攻击。 勒索软件新趋势 近几个月来，勒索软件攻击越来越多地将目标对准域控制器，以入侵组织，使威胁行为者能够获得特权账户的访问权限，并利用集中的网络访问权限在几分钟内加密数百或数千个系统。 “在超过78%的人为操作的网络攻击中，威胁行为者成功入侵了域控制器，”微软上个月透露。 “此外，在超过35%的案例中，主要传播设备——负责大规模分发勒索软件的系统——是域控制器，突显了其在实现广泛加密和运营中断中的关键作用。” 近几个月来，检测到的其他勒索软件攻击利用了一种名为PlayBoy Locker的新勒索软件即服务（RaaS），它为相对缺乏技能的网络犯罪分子提供了一个全面的工具包，包括勒索软件负载、管理仪表板和支持服务。 “PlayBoy Locker RaaS平台为附属机构提供了许多选项，用于构建针对Windows、NAS和ESXi系统的勒索软件二进制文件，能够根据不同的操作需求进行定制配置，”Cybereason表示。“PlayBoy Locker RaaS运营商为附属机构宣传定期更新、反检测功能，甚至提供客户支持。” 与此同时，DragonForce发起了一场勒索软件卡特尔运动，这是一个声称控制了RansomHub的网络犯罪团伙，RansomHub是一个在2025年3月底突然停止运营的RaaS计划。 白标签品牌服务旨在允许附属机构将DragonForce勒索软件伪装成不同的菌株，以换取额外费用。威胁行为者声称将从成功的勒索软件赎金中抽取20%的份额，允许附属机构保留剩余的80%。 DragonForce于2023年8月首次出现，最初定位为支持巴勒斯坦的黑客行动主义行动，随后发展成为一个完整的勒索软件行动。在最近几周，该RaaS集团因其针对英国零售商（如哈罗德、马莎和合作商店）的攻击而受到关注。 “这一举措，以及DragonForce将其自身品牌定位为‘勒索软件卡特尔’的推动，表明该组织希望通过启用一个生态系统来提高其在网络犯罪领域的知名度，”SentinelOne表示。“在这种模式下，DragonForce提供基础设施、恶意软件和持续的支持服务，而附属机构则以自己的品牌运行活动。” 据BBC新闻报道，针对英国零售行业的攻击被认为是由臭名昭著的威胁集团和RansomHub附属机构Scattered Spider（又名Octo Tempest或UNC3944）策划的。 “包括UNC3944在内的威胁行为者将零售组织视为有吸引力的目标是合理的，因为它们通常拥有大量个人身份信息（PII）和财务数据，”谷歌旗下的Mandiant表示。 “此外，如果勒索软件攻击影响了它们处理金融交易的能力，这些公司可能更有可能支付赎金要求。” 2024年，勒索软件攻击增加了25%，勒索软件组织泄露网站的数量增加了53%。根据Bitsight的说法，这种分裂是较小、更灵活的帮派的出现，它们正在攻击中型组织，这些组织可能并不总是有资源来应对这些威胁。 “勒索软件组织的激增意味着它们的增长速度超过了执法部门关闭它们的速度，它们对小型组织的关注意味着任何人都可能成为目标，”安全研究员Dov Lerner表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，联邦陪审团裁定，NSO集团需向Meta旗下的WhatsApp支付约1.68亿美元的赔偿金。此前四个月，一名联邦法官判定这家以色列公司违反美国法律，通过WhatsApp服务器部署Pegasus间谍软件，对全球超过1400名个人实施攻击。 WhatsApp于2019年首次对NSO集团提起诉讼，指控其利用Pegasus针对记者、人权活动家和政治异见人士。 审判期间公布的法庭文件显示，此次行动中，456名墨西哥人被攻击，其次是印度的100名受害者、巴林的82人、摩洛哥的69人和巴基斯坦的58人。总计有来自51个不同国家的个人受到影响。 这些攻击利用了当时WhatsApp语音通话功能的一个零日漏洞（CVE-2019-3568，CVSS评分：9.8），触发了间谍软件的部署。 2024年12月发布的一项裁决中，美国地区法官Phyllis J. Hamilton指出，在2019年5月的相关时间段内，Pegasus通过WhatsApp位于加利福尼亚的服务器发送了43次。 Meta旗下WhatsApp的负责人Will Cathcart在X上表示：“我们对间谍软件开发商NSO的案件在2024年12月创造了历史，当时法院裁定他们违反了美国的联邦和州法律。” “今天陪审团对NSO的惩罚性裁决是对间谍软件行业的一个重要威慑，防止他们对美国公司和全球用户进行非法行为。” Cathcart补充说，公司的下一步是申请法院命令，防止NSO再次攻击WhatsApp，并表示将向致力于保护人们免受此类攻击的数字权利组织捐款。 除了1.67254亿美元的惩罚性赔偿外，陪审团还裁定NSO集团必须向WhatsApp支付444719美元的补偿性赔偿，以补偿WhatsApp工程师为阻止攻击途径所做的重大努力。 这一裁决是隐私倡导者和人权组织的重大胜利，他们曾多次指责NSO集团将其强大的监控软件授权给客户，以监视民间社会成员。 尽管NSO集团试图通过声称其无法了解客户如何使用Pegasus来逃避责任，但汉密尔顿法官指出，它不能一方面声称其意图是帮助客户打击恐怖主义和儿童剥削，另一方面又声称与客户如何使用该技术无关，除了提供建议和支持。 Meta表示：“NSO被迫承认，它每年花费数千万美元开发恶意软件安装方法，包括通过即时通讯、浏览器和操作系统，而且其间谍软件至今仍能够入侵iOS或Android设备。” 在与Courthouse News和POLITICO分享的声明中，NSO集团表示，其技术在防止严重犯罪和恐怖主义方面发挥着关键作用，并且打算寻求适当的法律补救措施。该公司因从事“恶意网络活动”于2021年被美国政府制裁。 苹果公司曾对NSO集团提起类似的诉讼，但在2024年9月撤销了该诉讼，理由是继续进行可能会泄露其安全计划的敏感细节。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 印度卡纳塔克邦高等法院于2025年4月29日裁定，要求印度政府在全国范围内封禁加密邮件服务提供商Proton Mail。此裁决源于印度公司M Moser Design Associated India Pvt Ltd于2025年1月提起的一项法律诉讼。 根据法律媒体LiveLaw报道，该公司指控其员工收到通过Proton Mail发送的包含淫秽辱骂语言、AI生成的深度伪造图像及其他露骨色情内容的电子邮件。 在听证会上，法官M Nagaprasanna命令印度政府“根据《2008年信息技术法案》第69A条及《2009年信息封锁规则》第10条启动程序封禁Proton Mail”，并强调“在印度政府完成相关程序前，应立即封锁相关违规URL”。截至本文撰写时，Proton Mail在印度境内仍可正常访问。网络安全媒体The Hacker News已联系瑞士Proton公司寻求置评，尚未收到回复。 这是Proton Mail在印度第二次面临封禁威胁。去年初，因有报道称通过该平台发送虚假炸弹威胁，Proton公司曾声明“坚决反对任何违反瑞士法律使用其服务的行为”。根据瑞士法律，该公司虽不得向外国政府机构传输数据，但有义务配合瑞士当局的调查要求——瑞士执法部门可能会与境外机构合作打击非法活动。Proton补充说明：“尽管端到端加密技术为用户的邮件、文件、日历项和密码提供强隐私保护，但禁止利用该服务从事违反瑞士法律的行为。” 此次裁决再度引发关于加密通信服务监管的争议。支持者认为全面封禁侵犯用户隐私权，而执法部门则强调加密技术可能被滥用于非法活动。业界正密切关注Proton公司的后续回应及印度政府的执行措施。值得关注的是，Proton Mail作为全球知名隐私优先邮件服务，其运营基于瑞士严格的隐私法规，长期吸引重视数据安全的用户群体。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国外交部今日指控与俄罗斯军事情报局（GRU）相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。 周二发布的声明称：“法国以最强烈措辞谴责俄罗斯军事情报局（GRU）使用APT28攻击程序实施多起针对法国利益的网络攻击。这些破坏性活动不可接受，有损联合国安理会常任理事国身份，也违背俄罗斯曾承诺遵守的《联合国网络空间负责任国家行为规范》。” 法国国家信息系统安全局（ANSSI）同日发布的报告显示，遭APT28军方黑客攻击的法国机构包括： 部委级政府机构、地方政府及行政单位 国防工业基础相关组织 航空航天机构 研究机构及智库 经济与金融领域机构 ANSSI特别指出，自2021年以来APT28多次利用Roundcube邮件服务器漏洞实施攻击，并频繁使用免费网络服务发起钓鱼攻击。攻击者还大量采用“低成本现成外包基础设施”——包括免费托管服务、VPN服务、租用服务器及临时邮箱创建服务——以增强隐蔽性。 2024年至今，该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。这并非法国首次指控APT28：2023年10月报告显示，该组织自2021年下半年已渗透法国政府、高校、研究所、企业及智库的关键网络。 作为活跃逾20年的俄罗斯国家级黑客组织（亦被追踪为Strontium、Fancy Bear），APT28隶属GRU第26165军事部队，曾参与多起重大网络攻击： 2015年入侵德国联邦议会 2016年美国大选前渗透民主党国会竞选委员会（DCCC）及民主党全国委员会（DNC） 2018年美国起诉多名APT28成员，2020年欧盟因议会黑客事件对其实施制裁 2023年波兰政府机构遭大规模钓鱼攻击 2024年北约与欧盟共同谴责其针对德国、捷克等国的长期间谍活动 北约指出，近期俄罗斯的“混合行动”包括破坏、暴力行为、网络干扰、虚假信息等，已影响捷克、爱沙尼亚、德国、拉脱维亚、立陶宛、波兰及英国。法国外交部强调：“法国将与伙伴国共同运用一切手段，在必要时预见、威慑并应对俄罗斯在网络空间的恶意行为。”         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会周三宣布对苹果与Meta分别处以5亿欧元（5.7亿美元）与2亿欧元（2.28亿美元）罚款，认定两家公司违反欧盟《数字市场法案》（DMA）。这是该法案去年生效后开出的首批罚单，可能加剧欧盟与美国间的贸易摩擦。 调查显示，苹果违反DMA“反导流义务”条款，即禁止企业通过平台设计诱导消费者为平台运营商而非第三方创造收入。例如阻止Spotify等应用直接引导用户订阅，强制使用App Store支付系统。Meta则因“付费或同意”广告模式未向用户提供“使用更少个人数据的服务选项”而受罚，欧盟认定该模式损害用户数据自主权。 欧盟技术主权与安全事务负责人汉娜·维尔库宁强调：“DMA确保公民能完全掌控个人数据使用方式，企业可自由与客户沟通。今日裁决认定苹果与Meta剥夺用户自由选择权，必须整改。”此次罚款金额低于去年欧盟对两家公司的反垄断处罚（苹果18亿欧元、Meta8亿欧元），但正值欧美贸易紧张升级之际。按DMA规定，最高可处企业全球年收入10%的罚款（苹果2024年收入390亿美元，Meta160亿美元）。 苹果周三声明将上诉，指控欧盟委员会“不公正针对”。Meta全球事务主管乔尔·卡普兰（曾任白宫副幕僚长）批评欧盟“试图削弱美国企业竞争力，放任中欧公司适用不同标准”，称整改要求“实质施加数十亿美元关税”。Meta表示将上诉，并认为欧盟行动与美欧贸易谈判相关。欧盟执行副主席特蕾莎·里贝拉回应：“苹果与Meta通过强化用户依赖性违反DMA，我们基于明确规则采取坚定而平衡的执法。所有在欧运营企业必须遵守法律并尊重欧洲价值观。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月初以来，多个疑似与俄罗斯有关的威胁组织针对与乌克兰及人权事务相关的个人和机构发动攻击，旨在非法入侵Microsoft 365账户。Volexity指出，此类高度定向的攻击已从此前利用设备代码钓鱼技术的攻击方式转向新策略，表明相关威胁组织正在积极改进其攻击手法。 安全研究人员Charlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair和Tom Lancaster在详尽分析中表示：“近期观测到的攻击严重依赖与目标的点对点互动，攻击者必须说服目标点击链接并回传微软生成的验证码。”目前至少有两个追踪编号为UTA0352和UTA0355的威胁集群被认定参与攻击，但尚未排除其与APT29、UTA0304和UTA0307存在关联的可能性。 最新攻击的特征在于滥用合法的Microsoft OAuth 2.0身份验证工作流程。攻击者冒充欧洲多国官员，并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标，邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议，最终诱导受害者点击托管在Microsoft 365基础设施上的链接。 Volexity表示：“若目标回应信息，对话将迅速推进至实际安排会议时间。当约定时间临近时，伪装成欧洲政要的攻击者会再次联系目标，发送会议加入指引。”这些指引以文档形式呈现，随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。 具体而言，攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌，该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code（insiders.vscode[.]dev）实现的，令牌将在此界面显示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌以最终控制受害者M365账户。 Volexity还观测到该活动的早期版本会将用户重定向至“vscode-redirect.azurewebsites[.]net”网站，该网站再次重定向至本地IP地址（127.0.0.1）。研究人员解释称：“此时授权码仅存在于URL中，用户浏览器会显示空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。” 2025年4月初发现的另一社交工程攻击涉及UTA0355使用已入侵的乌克兰政府电子邮箱向目标发送钓鱼邮件，随后通过Signal和WhatsApp发送信息。这些信息邀请目标参加关于乌克兰“暴行罪”起诉及国际合作投资的视频会议。尽管最终目标与UTA0352相同，但存在关键差异：攻击者滥用微软365认证API获取受害者邮件数据，并将窃取的OAuth授权码用于在受害者Microsoft Entra ID（原Azure Active Directory）永久注册新设备。 攻击者随后发起第二轮社交工程以说服目标批准双重认证请求并劫持账户。Volexity指出：“在此次互动中，UTA0355要求受害者批准双重认证（2FA）请求以‘访问与会议关联的SharePoint实例’，此举旨在绕过受害者组织设置的额外安全要求以访问其邮箱。”该攻击的特别有效性体现在：登录活动、邮件访问及设备注册均通过地理位置与受害者匹配的代理网络进行，大幅增加检测难度。 为应对此类攻击，建议组织审计新注册设备、培训用户警惕即时通讯平台上的非主动联络，并实施条件访问策略限制仅允许受审批/管理设备访问组织资源。Volexity补充道：“近期攻击活动完全利用微软官方基础设施进行用户交互，未使用攻击者自托管设施。同时，攻击不涉及需用户显式授权的恶意OAuth应用（此类应用可被组织轻松拦截）。已获许可的微软原生应用使用使得该技术的预防与检测极为困难。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商玛莎百货(M&S)周二宣布“过去数日持续处理网络事件”，此前社交媒体涌现大量顾客投诉。 事件的具体情况尚未披露。作为富时100指数成分股的玛莎百货，在全球拥有超过7万名员工，在英国拥有超过1000家门店。 该公司周二下午向伦敦证券交易所提交的声明称，在意识到事件后立即“对门店运营做出细微临时调整”。 顾客在社交媒体抱怨多种电子支付系统失效，包括银行卡支付、礼品卡及该零售商的“点击取货”服务。 玛莎百货在一份发给顾客的声明中确认，“您的‘点击提货’订单可能会出现一些有限的延迟，我们正在努力解决这个问题。”该公司向伦敦证券交易所表示，已聘请外部网络安全专家调查并处理该事件，并已向相关监管机构和国家网络安全中心报告。 “我们正在采取措施进一步保护我们的网络，并确保我们能够继续提供优质的客户服务，”该公司在声明中继续说道。 “对于由此造成的不便，我们深感抱歉。重要的是，我们的门店仍在营业，我们的网站和应用程序也正常运行。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文