HackerNews 编译，转载请注明出处： 德克萨斯州阿比林市表示，其正在努力恢复因遏制网络攻击而离线的系统。 此次攻击始于4月18日，当时该市内部网络部分系统报告无响应，随即启动事件响应预案。该市官员周一宣布，为保护网络，阿比林市已断开关键资产与受攻击影响系统的连接。 “我们已启动调查并聘请行业领先的网络安全专家确定事件性质与范围，同时通报相关部门。”官员称。阿比林市官员表示，其IT部门周末持续工作以恢复服务并减少对运营的影响，所有系统均处于异常活动监控中。 该市声明：“紧急服务仍保持正常运行并可及时提供协助，未检测到异常财务活动。水务用户仍可通过市政服务账单支付系统缴纳费用。”同时指出，系统恢复期间在线服务可能出现延迟，逾期账户不会被切断服务，现场与在线支付渠道均保持畅通。 “当前处于调查初期阶段。任何经历过网络事件的人员都清楚这是耗时过程。每周我们将进一步掌握事件范围，并随着调查进展通报细节。”该市呼吁公众保持耐心与理解。 现有信息表明阿比林市可能遭受勒索软件攻击，但截至发稿尚无勒索组织宣称负责。以大量儿童文学角色雕塑闻名并拥有三所基督教大学的阿比林市，人口约13万。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本金融厅（FSA）警告称，与遭入侵的证券账户相关的未授权交易金额已达数亿美元，针对互联网交易服务的非法访问及交易行为造成的损失正在扩大。 日本金融厅在警报中写道。“伪装成真实证券公司网站的钓鱼网站窃取客户信息（登录ID、密码等）后，攻击者利用这些信息对互联网交易服务进行未授权访问及未授权交易（第三方操作交易）的案例数量急剧上升。” 日本金融厅警告称，在线交易平台上通过钓鱼网站窃取登录凭证实施的未授权交易案例正快速增加。通常攻击者会劫持受害者账户，出售其持有股票并用所得资金购买股票等资产，这些资产在攻击后仍留存于账户内。报告的售出与买入金额为总交易量，不等于客户实际损失金额。 为避免因登录凭证泄露导致未授权交易，用户需遵循关键防护措施：切勿点击邮件或短信中的链接，始终通过预先保存的书签访问证券网站，启用多因素认证和登录通知等安全功能。避免密码复用，设置复杂密码并频繁检查账户活动。若怀疑欺诈，立即更改密码并联系所属证券公司。保持设备系统更新并使用可靠防病毒软件以防范恶意软件数据窃取。 日本金融厅建议用户查阅日本证券业协会发布的《证券公司在提供互联网交易服务时应注意事项》警示公告。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣称已完成“网络安全史上最大规模工程改造”，将所有微软账户（Microsoft Account）与Entra ID令牌签名密钥迁移至具备自动轮换机制的硬件安全模块或Azure机密虚拟机，旨在阻断曾导致国家级攻击者入侵微软系统的密钥窃取战术。 在推出“安全未来计划”（Secure Future Initiative）应对黑客攻击及美国政府严厉报告的18个月后，微软安全主管Charlie Bell宣布该计划28项目标中已有5项“接近完成”，另有11项取得“重大进展”。 Bell表示，除了将所有微软账户和Entra ID令牌签名密钥迁移至硬件安全模块或Azure机密虚拟机的核心修复措施外，超过90%的微软内部生产力账户已迁移至防钓鱼多因素认证，并且90%的第一方身份令牌通过新加固的软件开发工具包（SDK）进行验证。 Bell指出：“我们根据红队研究成果部署了深度防御保护措施，已将MSA签名服务迁移至Azure机密虚拟机，Entra ID签名服务迁移工作正在进行。”这些改进有助于缓解中国APT组织攻击微软时可能使用的攻击路径。 微软公开将此次入侵归因于从被黑工程师企业账户窃取的崩溃转储文件。该2021年4月的转储文件包含MSA消费者密钥，攻击者借此伪造令牌入侵OWA与Outlook.com账户。 在架构层面，Bell报告称已清除630万个休眠的Azure租户以保护云租户并隔离生产系统。微软还报告已将88%的活跃资源迁移至Azure资源管理器以实现更严格的策略执行，并对440万个托管身份进行分段，使其只能从经过批准的网络位置进行身份验证。 “安全未来计划”于2023年11月推出，承诺加速云补丁发布、优化身份密钥管理、提升默认软件安全基线。尽管取得进展，微软仍面临对其云产品第三方漏洞研究处理方式的批评，并持续受困于缺陷补丁与Windows零日攻击激增问题。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜加密货币窃贼正悄然利用鲜为人知的Zoom远程协作功能，在加密货币交易员与风险投资人士的工作站植入信息窃取恶意软件。非营利性安全联盟（SEAL）与网络安全研究公司Trail of Bits的独立报告显示，伪装成风投机构的平壤黑客通过Calendly链接发送Zoom会议钓鱼诱饵。 该行动被SEAL追踪为“Elusive Comet”，始于标准公关推介或直接邀请目标参与Aureon Capital旗下播客节目。若受害者接受邀请，黑客将安排Zoom通话以获取更多信息，常刻意延迟发送会议细节以制造紧迫感。 SEAL警告称：“受害者加入通话后会被要求共享屏幕进行演示。此时黑客通过Zoom请求控制受害者计算机。若受害者疏忽，可能误授远程权限，使Elusive Comet得以部署恶意软件。”该恶意软件兼具即时窃密与潜伏型远程访问木马（RAT）双重功能。 Zoom远程控制功能需用户明确授权方可实施。在已观测攻击中，黑客将显示名称改为“Zoom”，将权限请求伪装成系统弹窗。用户一旦误点批准，攻击者即获得完整键鼠控制权，随后投放恶意程序（含数据窃取模块与全功能RAT），全面扫描浏览器会话、密码管理器及加密种子短语。 SEAL事件日志显示该行动已造成数百万美元损失，并列出近30个傀儡社交媒体账户与多个伪造的Aureon Capital企业网站。Trail of Bits透露，其首席执行官曾遭遇冒充彭博制片人的X平台账号邀约“加密专题”采访，攻击者拒绝转用邮件沟通、临时发送会议链接，且提供的Zoom账户属于消费级而非企业账户。 该公司技术博客指出，攻击成功依赖macOS“辅助功能”权限与四步社会工程策略： 1、安排看似合法的商务通话 2、屏幕共享时请求远程控制 3、将显示名改为“Zoom”伪装系统通知 4、获取权限后实施恶意操作 Zoom官方文档明确声明，远程控制功能“绝非用于非受控管理”，而是作为“会议内”便利功能存在，任何会议主持人可在账户/群组/用户层级禁用该功能。管理员还可锁定该设置并移除攻击者用于跨设备传输私钥的剪贴板共享选项。 然而实际应用中，该功能默认保持开启状态于多数企业租户账户，且权限请求对话框未提供任何视觉提示以区分常规Zoom流程与异常请求。 Trail of Bits指出这种界面模糊性正是攻击的真正威力所在：面对传统远程桌面提示会警觉的专业安全人员，却很少对熟悉的协作工具产生戒心。该公司警告称：“此攻击的致命之处在于权限对话框与其他无害Zoom通知高度相似。习惯性点击‘批准’按钮的用户可能在无意识中授予计算机完全控制权。” Trail of Bits表示，观测到的攻击手法与2024年2月Bybit遭窃15亿美元事件的技术原理如出一辙——攻击者均通过操控合法工作流而非利用代码漏洞实施攻击。该公司补充道：“这印证了我们的观点：区块链行业已进入‘操作安全失效’时代，人为因素威胁现已超越技术漏洞风险。” Trail of Bits安全团队已将Zoom远程控制功能标记为“非必要风险”，并在其计算机系统部署技术控制措施禁用该功能。公司声明：“通过精准限制实现远程控制的辅助功能权限，我们既阻断了Elusive Comet的攻击载体，又确保合法视频会议功能不受影响。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软确认，上周末Microsoft Entra账户锁定事件系因系统内部误存短期用户刷新令牌并触发失效机制所致。周六上午，多家机构报告开始收到Microsoft Entra警报，提示账户凭证泄露并触发自动锁定机制。 受影响客户最初认为账户锁定与名为“MACE凭据吊销”的新企业应用程序部署相关（该应用在警报触发前数分钟被安装）。但某受影响组织的管理员披露了微软发送的公告，指出根本原因是公司错误记录了受影响账户的完整用户刷新令牌（而非仅元数据）。 微软在意识到误记录实际令牌后启动失效程序，意外触发警报与锁定操作。微软在Reddit发布的官方公告称：“2025年4月18日（周五），我们发现内部系统错误记录了少量用户的短期刷新令牌（标准流程本应仅记录令牌元数据）。我们已立即纠正日志问题，并执行令牌失效程序以保护客户。但在失效过程中，我们无意间在Entra ID Protection中生成了’用户凭证可能已泄露’的警报。这些警报发送时间为UTC时间2025年4月20日4:00至9:00。目前没有证据表明这些令牌遭未授权访问——若后续发现任何非法访问迹象，我们将启动标准安全事件响应与通报流程。” 微软表示，受影响客户可通过Microsoft Entra中针对标记用户的“确认用户安全”反馈功能恢复账户访问权限。公司承诺将在调查结束后发布事件事后审查报告（PIR），并与所有受影响客户共享该报告。BleepingComputer周六已就此事联系微软，但截至发稿尚未获得回复。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 娱乐场所管理公司Legends International警告称，其于2024年11月遭遇数据泄露事件，波及员工及曾前往其管理场馆的访客。 在一份提交给监管机构的通知信中，该公司表示于2024年11月9日发现其IT系统存在未经授权的活动，随即在外部网络安全专家的协助下展开调查。 调查结果证实，入侵者窃取了个人数据文件，但通知信样本中未明确泄露数据类型。 Legends International是一家全球性体育娱乐服务公司，业务涵盖场馆规划、销售、合作、接待、周边商品及技术解决方案，年收入超11亿美元。 该公司管理着全球五大洲超过350个场馆，包括洛杉矶索菲体育场（SoFi Stadium）、纽约世贸中心观景台（One World Observatory）、得克萨斯州AT&T体育场、西班牙圣地亚哥伯纳乌球场（Santiago Bernabéu）与诺坎普球场（Camp Nou），以及英国安菲尔德球场（Anfield）和温布利OVO体育馆（OVO Arena Wembley）。 近期，该公司通过收购全球领先的场馆管理企业ASM Global进一步扩展业务版图。 目前数据泄露的具体范围及受影响人数尚未公布。但鉴于该公司业务规模及所管理海量敏感数据，事件引发广泛担忧。BleepingComputer已联系公司要求披露详情，但暂未获得回应。 在发送给受影响个体的通知信中，Legends International称事件前已部署安全防护措施，并在系统恢复后追加了额外措施，但未提供具体细节。 受影响者可注册享受益博睿（Experian）提供的为期24个月的身份盗用检测服务，注册截止日期为2025年7月31日。 Legends International在信中表示，目前尚无证据表明泄露个人信息遭恶意利用，但仍建议用户保持警惕。 截至本文发布时，尚无勒索组织宣称对此次攻击负责，因此攻击类型及实施者身份仍不明确。     消息来源：bleepingcomputer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一场持续进行的恶意广告活动，该活动利用Node.js提供能够窃取信息及数据泄露的恶意载荷。 该活动最早于2024年10月被发现，通过伪装成币安（Binance）或TradingView等合法软件的欺诈网站，以加密货币交易为诱饵，诱骗用户安装恶意安装程序。 下载的安装程序内嵌动态链接库（“CustomActions.dll”），其功能包括通过Windows管理规范（WMI）收集基础系统信息，并通过计划任务在受感染主机上实现持久化驻留。 为维持伪装，该动态链接库会通过“msedge_proxy.exe”启动浏览器窗口，显示合法的加密货币交易网站。值得注意的是，“msedge_proxy.exe”可用于将任意网站显示为网络应用程序。 与此同时，计划任务被配置为运行PowerShell命令，从远程服务器下载附加脚本。这些脚本负责将正在运行的PowerShell进程及当前目录排除在Microsoft Defender for Endpoint的扫描范围之外，以此规避检测。 设置排除项后，系统会执行一条经过混淆的PowerShell命令，从远程URL获取并运行能够收集操作系统、BIOS、硬件及已安装应用等详细信息的脚本。 所有窃取的数据均被转换为JSON格式，并通过HTTPS POST请求发送至命令与控制（C2）服务器。 攻击链随后进入下一阶段：另一条PowerShell脚本被启动，从C2服务器下载包含Node.js运行时二进制文件及JavaScript编译（JSC）文件的压缩包。Node.js可执行文件触发JSC文件的运行，该文件会建立网络连接并可能窃取浏览器敏感信息。 微软观察到的另一感染链中，攻击者采用“ClickFix”策略实现内联JavaScript执行，即通过恶意PowerShell命令直接下载Node.js二进制文件并运行JavaScript代码（而非从文件加载）。 内联JavaScript执行的操作包括：通过网络探测识别高价值资产，将C2流量伪装为合法的Cloudflare活动以躲避监测以及通过修改Windows注册表启动项实现持久化。 微软表示：“Node.js是一个开源、跨平台的JavaScript运行时环境，允许JavaScript代码在浏览器外运行。因其支持开发者构建前端与后端应用，受到广泛信任。然而，攻击者正利用Node.js的特性，试图将恶意软件与合法应用混淆，绕过传统安全防护机制，并长期潜伏在目标环境中。” 此次披露之际，CloudSEK发现一个仿冒PDF Candy（域名为candyxpdf[.]com或candyconverterpdf[.]com）的虚假PDF转DOCX网站，利用“ClickFix”社会工程学手段诱导受害者运行编码后的PowerShell命令，最终部署SectopRAT（又名ArechClient2）木马。 安全研究员Varun Ajmera在本周发布的报告中指出：“攻击者精心复制了真实平台的用户界面，并注册了外观相似的域名以欺骗用户。攻击链通过诱骗受害者执行PowerShell命令来安装Arechclient2木马。该木马属于危险的SectopRAT信息窃取家族，以从受感染系统窃取敏感数据著称。” 此外，钓鱼活动还被发现使用基于PHP的工具包，以人力资源（HR）主题骗局针对企业员工，未经授权访问薪资门户并修改受害者银行账户信息，将资金转移至攻击者控制的账户。 部分活动被归因于名为“薪资海盗”（Payroll Pirates）的黑客组织。攻击者通过谷歌的赞助广告投放恶意搜索广告，仿冒人力资源页面，诱骗受害者提交账户凭证及双因素认证（2FA）代码。     消息来源：thehackernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者正在利用一款名为Gamma的AI演示平台进行钓鱼攻击，将毫无戒心的用户引导至仿冒的微软登录页面。 Abnormal Security研究人员Callie Hinman Baron和Piotr Wojtyla在周二的分析报告中指出：“攻击者将Gamma（一种相对较新的基于AI演示工具）武器化，通过其向受害者发送虚假微软SharePoint登录门户的链接。” 攻击链始于钓鱼邮件（某些情况下通过合法但被入侵的邮箱账户发送），诱导收件人打开嵌入的PDF文档。 实际上，该PDF附件仅包含一个超链接。点击后，受害者会被重定向至托管在Gamma平台上的演示页面，并被提示点击“查看安全文档”按钮。 此操作会将用户带到一个仿冒微软的中间页面，要求他们在访问所谓文档前完成Cloudflare Turnstile验证步骤。这一验证码（CAPTCHA）环节既增强了攻击的真实性，也阻止了安全工具对链接进行自动化分析。 随后，目标用户将被导向伪装成微软SharePoint登录门户的钓鱼页面，攻击者试图窃取其凭证。 研究人员指出：“若用户输入错误凭证，页面会显示‘密码错误’提示，这表明攻击者使用了某种实时验证凭证的中间人（AiTM）手段。” 这一发现反映了当前钓鱼攻击的普遍趋势：攻击者滥用合法服务托管恶意内容，绕过SPF、DKIM、DMARC等邮件认证检查——这种技术被称为依赖可信站点生存（LOTS）。 研究人员表示：“这场复杂的多阶段攻击表明，如今的威胁行为者正利用小众工具产生的盲区规避检测、欺骗用户并实施账户入侵。” “攻击者并未直接链接至凭证窃取页面，而是将用户重定向至多个中间环节：首先是Gamma托管的演示页面，随后是受Cloudflare Turnstile保护的跳转页，最终到达仿冒的微软登录页面。这种多阶段跳转隐藏了真实目标，使静态链接分析工具难以追踪攻击路径。” 此次披露恰逢微软在其最新《网络信号》报告中警告称，AI驱动的欺诈攻击正在激增。攻击者利用深度伪造、语音克隆、钓鱼邮件、高仿假网站及虚假招聘信息生成可信内容以扩大攻击规模。 微软表示：“AI工具可扫描并抓取网络上的企业信息，帮助攻击者构建员工或其他目标的详细档案，从而设计极具说服力的社交工程诱饵。” “在某些案例中，攻击者通过伪造的AI增强产品评论和AI生成的网店页面，诱骗受害者陷入日益复杂的欺诈计划。诈骗者甚至创建完整的网站和电商品牌，编造虚假企业历史与客户评价。” 微软还宣布已对Storm-1811（又名STAC5777）组织的攻击采取行动。该组织通过Teams实施语音钓鱼（vishing），伪装成IT支持人员，诱骗受害者授予其设备远程访问权限以部署后续勒索软件。 然而，有证据表明，这场Teams钓鱼活动的幕后团伙可能正在改变策略。ReliaQuest最新报告显示，攻击者采用了一种此前未公开的持久化手段——通过TypeLib COM劫持和新型PowerShell后门逃避检测并维持对入侵系统的访问。 据称，该威胁组织自2025年1月起开发多版PowerShell恶意软件，早期版本通过恶意Bing广告投放。两个月后发现的攻击活动瞄准金融、专业服务及科技行业客户，重点针对女性化名字的高管层员工。 攻击链后期阶段的策略变化引发猜测：Storm-1811可能正在升级手法，或是分支组织所为，亦或是其他威胁行为者复制了其独有的初始入侵技术。 ReliaQuest指出：“钓鱼聊天信息的时间经过精心设计，集中在下午2点至3点之间（与目标组织的当地时间完全同步），利用员工午后警惕性较低的时段实施攻击。” “无论此次微软Teams钓鱼活动是否由Black Basta组织发起，可以肯定的是，通过Teams实施的钓鱼攻击不会消失。攻击者持续寻找绕过防御并潜伏在组织内部的巧妙方法。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周三透露，该公司在2024年暂停了超过3920万个广告主账户，其中大部分账户在其向用户推送有害广告之前已被系统识别并拦截。 这家科技巨头表示，去年总计屏蔽了51亿条违规广告，限制了91亿条广告，并在13亿个页面上屏蔽或限制了广告展示。此外，该公司还因诈骗相关违规行为暂停了超过500万个账户。 前六类广告政策违规行为包括：广告网络滥用（7.931亿次）、商标滥用（5.031亿次）、个性化广告违规（4.913亿次）、法律要求不达标（2.803亿次）、金融服务违规（1.937亿次）以及虚假陈述（1.469亿次）等。 被屏蔽或限制广告的页面大多涉及以下内容：色情信息、危险或贬损性内容、恶意软件、令人不适的内容、武器推广与销售、在线赌博、烟草/酒精销售或滥用、知识产权侵权以及露骨性内容。 谷歌表示，其一直在使用人工智能（AI）驱动的工具快速标记新兴威胁和滥用模式，通过企业身份仿冒和非法支付信息等信号作为早期指标来打击广告欺诈。 该公司在提供给《黑客新闻》的声明中称：我们打击了利用AI生成的深度伪造技术进行的公众人物仿冒诈骗，为此类违规行为暂停了超过70万个账户。作为更广泛行动的一部分，我们共屏蔽/移除了4.15亿条广告，并因诈骗违规暂停了超500万个账户。 谷歌还提到，已将广告主身份验证计划扩展至200多个国家和地区，以提高透明度并加强对选举广告中AI生成内容的管控。2024年，超过8900个新注册的选举广告主通过验证，同时移除了来自未经验证账户的1070万条选举广告。 谷歌持续加强广告安全的举措，源于恶意广告（malvertising）仍是恶意软件初始传播的重要渠道——攻击者通过滥用谷歌搜索（及其他搜索引擎）的欺诈性广告，将用户引导至虚假网站。 该公司强调：广告安全形势不断变化，受AI技术进步、新兴滥用策略及全球事件的影响，行业需要持续保持敏捷应对能力。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Landmark Admin就其2024年5月遭遇的网络攻击调查发布更新，确认受影响人数已升至160万。 这家总部位于德克萨斯州的第三方管理公司（TPA）主要为Liberty Bankers Life、American Benefit Life等全国性大型保险公司提供保单核算、监管报告、再保险支持及IT系统服务。 2024年10月，该公司首次披露于2024年5月13日发现网络可疑活动。 未经授权的访问被认为导致806,519人的个人信息泄露，包括： 全名 家庭住址 社会安全号码 纳税识别号 驾照号码 州政府签发身份证 护照号码 金融账户号码 医疗信息 出生日期 健康保险单号 人寿及年金保单信息 具体泄露数据类型因人而异，Landmark承诺通过个性化信件告知每位受影响者其被泄露的具体信息。 在向缅因州总检察长办公室提交的更新文件中，Landmark表示调查显示实际受影响人数应为1,613,773人。 该公司强调取证调查仍在进行中，最终受影响人数可能进一步增加，未来或将多次修正统计结果。 最新公告声明：”Landmark已开始审查受影响系统，以确定具体受影响的个人及可能泄露的信息类型。在此过程中，我们将通过邮件逐步通知相关个人。” 数据泄露通知接收者可在收到通知后90日内通过专用热线提出质询。 Landmark同时提供12个月的身份盗窃保护与信用监控服务，以降低敏感数据暴露风险。 建议措施还包括监控信用报告、设置欺诈警报或启用安全冻结功能。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文