HackerNews 编译，转载请注明出处： 美国司法部已对谷歌计划以320亿美元收购云安全初创企业Wiz的交易启动反垄断审查。据彭博社报道，此项审查仍处于早期阶段，旨在评估该交易是否损害网络安全市场的竞争。报道指出，此类审查可能持续数月，或将包括与客户、竞争对手及并购双方的访谈。 谷歌于3月宣布的Wiz收购案，是其网络安全产品组合的关键布局——该组合此前已包含来自Mandiant的威胁情报技术和Siemplify的安全运营技术。谷歌对网络安全业务的雄心并非首次面临司法部审查：2022年其54亿美元收购Mandiant的交易同样接受过反垄断审查，但最终获批。 对于Wiz收购案，彭博社称双方已预判监管阻力，谷歌同意在交易失败时向Wiz支付约32亿美元的分手费。此次交易提出前一年，Wiz曾拒绝谷歌230亿美元的收购报价。若交易达成，将重塑微软主导的竞争格局，并改变投资者对云安全初创企业的投资逻辑。 谷歌长期难以在企业网络安全领域立足（尽管曾通过Chronicle和VirusTotal积极尝试），而此次整合Wiz技术与Mandiant资产后，公司正推行一项宏大战略：将主动与被动安全解决方案集成于统一平台。Wiz平台通过扫描所有主流云环境，构建代码、资源及连接的综合图谱，能精确定位潜在攻击路径，并根据影响程度对风险分级，为企业开发者和安全团队提供部署前的应用安全保障。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克安全团队近日披露，亚洲某金融机构上月遭遇Fog勒索软件攻击。该事件因攻击者使用非常规工具链及战术引发研究人员高度关注，其异常特征包括： 非典型工具植入 首次在勒索攻击中发现合法员工监控软件Syteca的滥用。该软件通常用于企业记录员工屏幕活动、追踪键盘输入等行为，但在此次攻击中被黑客武器化。 开源渗透工具滥用 攻击者部署多款非常规开源渗透测试工具（具体工具未公开），此类工具此前极少出现在勒索攻击前期准备阶段。 GC2渗透框架的异常使用 利用GC2框架通过Google Sheets/Microsoft SharePoint远程执行指令，并经由Google Drive/SharePoint实现数据外泄。该手法虽在2023年APT41攻击中出现过，但在勒索攻击中尚属首次。 攻击者在部署勒索软件后，竟反常地尝试建立持久化访问权限。赛门铁克高级情报分析师Brigid O Gorman指出：“绝大多数勒索攻击在完成数据窃取与加密后即终止，而此次攻击者表现出明确的网络持续控制意图。” 赛门铁克专家提出两种可能性： 勒索攻击可能仅是间谍行动的伪装，真实目的是长期渗透。 不排除黑客“顺带牟利”策略——在实施间谍活动同时通过勒索获取额外收益。 攻击路径与技术细节 初始入侵点：2台存在长期漏洞的Microsoft Exchange服务器被攻陷，此为勒索团伙常用入口 潜伏周期：攻击者在受害网络内部潜伏长达两周才启动勒索程序 痕迹清除：专项清理操作日志等数字证据，增加溯源难度 工具作用存疑：Syteca具体用途尚未明确，推测可能用于信息窃取或间谍监控 BeyondTrust技术总监James Maude补充道：“黑客越来越多地滥用合法软件，既能规避安全检测，又可集中资源进行社会工程攻击——尤其在用户拥有本地管理员权限的环境中，此类战术效果显著。” Fog勒索组织背景补充 该组织自2024年5月活跃，早期专注攻击美国教育机构（如俄克拉荷马大学）。其曾以“政府效率部（DOGE）”名义发送钓鱼邮件，借埃隆·马斯克相关话题嘲讽受害者，引发媒体关注。此次针对金融机构的复杂攻击，标志其战术升级与目标扩张。 赛门铁克最终结论：虽无确凿证据指向特定国家支持，但异常工具使用、持久化企图及勒索-间谍双重动机特征，表明这绝非普通勒索攻击，其背后可能隐藏更精密的地缘政治意图。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布其企业环境专用密码共享功能安全密码部署(Secure Password Deployment)全面上市。该功能本周起向Microsoft Edge企业版用户开放，通过加密凭证分发机制降低非授权访问风险，确保员工不会意外泄露密码至非目标接收方。 该功能适用于Microsoft 365商业高级版、E3及E5订阅版本，且需具备Edge管理员或全局管理员角色权限。 微软表示：“当今许多企业中，员工常通过便签或电子邮件共享密码。这不仅会向非目标接收方暴露敏感凭证，还增加密码被转发或滥用的风险。安全密码部署允许管理员向组织内特定用户组分发加密共享密码。用户将在设备上接收密码，并实现无缝网站登录。” 该功能集成于Microsoft 365管理中心内的Edge管理服务，管理员可通过策略配置浏览器设置，向特定用户组分发加密密码。此功能扩展了内置自动填充体验，通过直观界面支持管理员添加、更新及撤销凭证。 管理员部署密码后，密码将自动出现在受管Windows设备的Edge工作配置文件中，在对应网站实现自动填充，提供安全登录体验。尽管密码可在Edge中访问，但用户无法查看、编辑、删除（网站特殊权限除外）或从密码管理器导出密码。 虽然通过浏览器开发者工具仍可能获取密码，但管理员可通过开发者工具可用性策略(DeveloperToolsAvailability policy)限制访问。密码经Microsoft信息保护SDK加密，并与Entra身份绑定，确保基于组织策略自动执行访问控制，无需手动密钥管理。 微软补充说明：“此集成将微软数据保护平台能力直接融入Edge管理体验，为管理员提供符合零信任原则与合规要求的凭证安全分发方案。通过将保护SDK直接嵌入Edge企业版，我们将数据保护能力延伸至终端——确保敏感信息从配置到使用的全流程安全。” 启用安全密码部署需首先访问Microsoft 365管理中心的Edge管理服务，选择现有配置策略或创建新策略。选定策略后，点击“自定义设置”标签页，进入安全密码部署页面。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国主要财产保险公司伊瑞保险（Erie Insurance）近日向监管机构及客户通报了一起网络安全事件及相关网络瘫痪。作为财富500强企业，该公司拥有超7000名员工和14000名代理人，其母公司伊瑞赔偿公司（Erie Indemnity Company）去年营收近40亿美元，目前持有超600万份有效保单。 然而，该公司昨日警告客户称，因上周六（6月7日）确认的“信息安全事件”导致“持续网络瘫痪”。公司官网公告声明： “6月7日星期六，伊瑞保险信息安全团队发现异常网络活动。我们立即采取行动应对此情况以保护系统和数据。自周六起，我们持续实施防护措施保障系统安全。 停电期间，伊瑞保险不会致电或发送电子邮件要求客户付款。最佳做法是：勿点击未知来源链接，勿通过电话或电子邮件提供个人信息。” 后一项提示表明，该公司担忧网络犯罪分子可能已获取客户数据，或正利用本次事件发起钓鱼攻击。 美国证券交易委员会文件显示，除已通报执法部门及正在执行事件响应协议外，暂无其他进展说明： “公司持续采取防护措施，并在领先第三方网络安全专家协助下开展全面的取证分析，以彻底查明事件全貌。鉴于事件发生时间较短，调查与响应仍在进行中，事件完整范围、性质及最终影响尚不明确。” 尽管具体细节未明，此次网络瘫痪极可能是该公司为遏制攻击影响范围而主动采取的隔离措施。鉴于保险公司持有大量敏感客户数据，它们已成为网络攻击的高频目标。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Infoblox在一份提供给The Hacker News的深度报告中披露，VexTrio Viper流量分发系统（Traffic Distribution Service, TDS）背后的威胁行为者已被证实与其他TDS服务（如Help TDS和Disposable TDS）有关联。这表明该复杂的网络犯罪行动本身就是一个庞大的企业，旨在分发恶意内容。 “VexTrio是一个由恶意广告技术公司组成的团体，它们通过不同的广告形式（包括智能链接和推送通知）分发诈骗和有害软件。”Infoblox在报告中指出。 VexTrio Viper旗下的部分恶意广告技术公司包括Los Pollos、Taco Loco和Adtrafico。这些公司运营着所谓的商业联盟网络（commercial affiliate network），该网络将恶意软件行为者（其网站会吸引毫无戒心的用户访问）与所谓的“广告联盟会员”（advertising affiliates）连接起来。后者提供各种形式的非法活动，如礼品卡欺诈、恶意应用程序、网络钓鱼网站和诈骗活动。 运作模式解析 简而言之，这些恶意流量分发系统旨在通过智能链接（SmartLink）或直接报价（direct offer）将受害者重定向至其目的地。根据该DNS威胁情报公司的说法，Los Pollos招募恶意软件分发者（即发布联盟会员/publishing affiliates），承诺提供高回报报价；而Taco Loco则专注于推送变现（push monetization），并招募广告联盟会员。 WordPress网站成为跳板 这类攻击的另一个显著特点是WordPress网站被攻陷，并被注入恶意代码以启动重定向链，最终将访问者引导至VexTrio的诈骗基础设施。此类注入的示例包括Balada、DollyWay、Sign1以及DNS TXT记录活动。 域名注册商GoDaddy在2025年3月发布的一份报告中指出：“这些脚本通过关联VexTrio的流量代理网络将网站访问者重定向到各种诈骗页面。VexTrio是已知最大的网络犯罪联盟网络之一，它利用复杂的DNS技术、流量分发系统和域名生成算法在全球网络中传播恶意软件和诈骗。” 打击行动与后续变化 VexTrio的运营在2024年11月中旬左右遭受打击。此前，网络安全组织Qurium揭露瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分，导致Los Pollos停止了其推送链接变现服务。这进而引发了“出逃潮”，严重依赖Los Pollos网络的威胁行为者被迫转向其他重定向目的地，例如Help TDS和Disposable TDS。 两个独立C2集群的行为演变 Infoblox对来自受感染网站的450万条DNS TXT记录响应进行了为期六个月的分析。分析显示，参与DNS TXT记录活动的域名可分为两个集合，每个集合拥有各自独立的命令与控制（C2）服务器。 “两台服务器都托管在与俄罗斯有关联的基础设施上，但它们的托管服务及其TXT响应内容并无重叠，”该公司表示。“即使两者最初都指向VexTrio，随后又指向Help TDS，但每个集合都维持着不同的重定向URL结构。” 进一步的证据表明，Help TDS和Disposable TDS实际上是同一个服务。并且，在2024年11月之前，该服务与VexTrio保持着“独家关系”。历史上将流量重定向至VexTrio域名的Help TDS，现已转向Monetizer——一个利用TDS技术将发布联盟会员的网络流量与广告商连接起来的变现平台。 Help TDS的俄罗斯背景 “Help TDS与俄罗斯有紧密联系，其托管和域名注册经常通过俄罗斯实体完成，”Infoblox描述道，并称其运营商可能是独立的。“它不具备VexTrio TDS的完整功能，并且除了与VexTrio诡异的联系外，没有明显的商业往来。” 恶意广告技术公司生态 VexTrio只是众多被揭露为商业广告技术公司的TDS之一，其他还包括Partners House、BroPush、RichAds、Admeking和RexPush。其中许多公司专注于推送通知服务，利用Google Firebase Cloud Messaging (FCM) 或基于Push API定制开发的脚本，通过推送通知分发指向恶意内容的链接。 规模与追责困境 Infoblox强调：“全球每年有数十万个被入侵的网站将受害者重定向到VexTrio及其联盟TDS的复杂网络中。VexTrio和其他联盟广告公司知道恶意软件行为者是谁，或者他们至少掌握足够的信息来追踪这些人。许多公司都在要求某种程度‘了解你的客户’（Know Your Customer, KYC）的国家注册，但即使没有这些要求，发布联盟会员也会受到其客户经理的审查。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Roundcube关键远程代码执行漏洞（CVE-2025-49113）补丁发布数日后即遭利用，全球超80,000台服务器受影响。该流行网页邮件平台长期遭APT28、Winter Vivern等高级威胁组织锁定，攻击者惯用此类漏洞窃取登录凭证并监控敏感通信，凸显未修复系统（尤其高价值目标）持续面临严峻风险。 此CVSS评分高达9.9的关键漏洞潜伏十余年后于上周曝光，攻击者可借此完全控制受感染系统执行恶意代码，致使用户及机构陷入重大危机。漏洞发现者FearsOff创始人基里尔·菲尔索夫评估其影响超5,300万台主机（涵盖cPanel、Plesk等管理工具）。美国国家标准与技术研究院（NIST）公告指出：“Roundcube Webmail 1.5.10之前版本及1.6.x系列1.6.11之前版本存在安全隐患，因program/actions/settings/upload.php未验证URL中的_from参数，导致经身份验证的用户通过PHP对象反序列化实现远程代码执行。” 该漏洞已在1.6.11与1.5.10 LTS版本修复。漏洞披露后，Positive Technologies团队成功复现攻击链，强烈建议用户立即升级。Shadowserver基金会监测显示，目前仍有约84,000个暴露于公网的Roundcube实例未打补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国立法者向国会提交了一项新的《医疗网络安全法案》，旨在扩大联邦政府在预防和应对美国公民医疗数据泄露事件中的职能范围。 众议员杰森·克罗（民主党，科罗拉多州）于6月10日牵头提出这项两党共同支持的法案，旨在应对美国激增的医疗数据泄露事件。2025年1月披露的数据显示，仅2024年因Change Healthcare勒索软件攻击就导致1.9亿美国公民的个人及医疗数据记录遭受影响，该事件还严重扰乱了患者护理服务。 该法案明确规定网络安全和基础设施安全局（CISA）与美国卫生及公众服务部（HHS）需开展协作，共同提升医疗保健和公共卫生部门的网络安全防护能力。具体合作内容包括： 推动机构间网络威胁情报共享，深化对医疗领域网络风险的理解 CISA为医疗机构所有者及运营方提供风险应对培训 HHS与CISA联合制定针对医疗行业的风险管理计划，评估政府在数据泄露事件全周期中对相关技术、服务及公共设施的安全支持方案 建立医疗领域高风险资产的客观评估标准，并通知相关资产所有者及运营方 CISA定期向国会提交其为医疗和公共卫生部门主动防范网络威胁所提供的支持及行动报告 共同提案人布赖恩·菲茨帕特里克（共和党，宾夕法尼亚州）强调：“这项两党法案采取直接战略行动：授权CISA与HHS开展实时威胁信息共享，扩大医疗服务提供者的网络安全培训，设立专职联络官强化响应机制。我们不仅应对攻击，更在构建防御基础设施以保护患者隐私，捍卫国家安全的生命线。” 2025年1月，HHS宣布计划更新《1996年健康保险流通与责法案》（HIPAA）安全规则，要求医疗服务提供方对受保护的健康信息（PHI）实施强化安全措施，包括为受监管实体设定特定级别的系统访问认证标准，并强制要求持续测试安全防护机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现Salesforce行业云（Salesforce Industries）存在20多项配置相关风险，可能导致敏感数据被未授权的内外部人员获取。这些缺陷影响FlexCards、数据映射器、集成程序（IProcs）、数据包、OmniOut及OmniScript会话存储等多个组件。 “Salesforce行业云等低代码平台虽简化了应用构建流程，但若忽视安全则可能付出代价。”AppOmni SaaS安全研究主管Aaron Costello向The Hacker News表示。这些配置疏漏若未修复，将允许攻击者访问加密的员工与客户机密数据、用户交互会话记录、Salesforce及其他系统的凭证，以及核心业务逻辑。 经负责任披露后，Salesforce已修复其中3项缺陷，并为另外2项发布配置指南，其余16项需客户自行修复。已分配CVE编号的漏洞包括： CVE-2025-43697（CVSS评分：暂无）：若未启用“Extract”和“Turbo Extract数据映射器”的字段级安全检查，将绕过“查看加密数据”权限验证，导致加密字段明文泄露 CVE-2025-43698（CVSS评分：暂无）：SOQL数据源获取数据时绕过所有字段级安全控制 CVE-2025-43699（CVSS评分5.3）：FlexCard未强制执行OmniUlCard对象的“必需权限”字段 CVE-2025-43700（CVSS评分7.5）：FlexCard未验证“查看加密数据”权限，返回经典加密字段的明文值 CVE-2025-43701（CVSS评分7.5）：FlexCard允许访客用户访问自定义设置值 攻击者可利用这些漏洞绕过安全控制窃取关键信息。AppOmni指出，CVE-2025-43967和CVE-2025-43698已通过新增的“EnforceDMFLSAndDataEncryption”安全设置修复，客户启用后能确保仅具权限用户可查看数据映射器返回的明文。 “对于需遵守HIPAA、GDPR等合规要求的企业，这些漏洞构成实质性监管风险，”该公司警告，“由于安全配置责任在客户方，单点配置失误可能导致数千条记录泄露，且供应商不承担责任。” Salesforce发言人回应称多数问题“源于客户配置问题”，非应用固有漏洞。“所有问题均已解决，补丁已推送客户，官方文档同步更新。目前未发现相关漏洞在客户环境中的利用证据。” 与此同时，安全研究员Tobia Righi（代号MasterSplinter）披露了未分配CVE编号的SOQL注入漏洞。该零日漏洞存在于所有Salesforce部署的默认Aura控制器中，攻击者通过操控“contentDocumentId”参数注入恶意SOQL语句，可窃取敏感用户数据。结合公开的ID暴力破解脚本（利用Salesforce ID可预测性），攻击者还能获取非公开文档信息。 Salesforce确认：“收到报告后已及时修复该漏洞，未观察到利用迹象。我们感谢Tobia的负责任披露，并持续鼓励通过官方渠道报告安全问题。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）就Badbox 2.0僵尸网络发布安全警报后，敦促智能家居用户警惕联网设备中的入侵指标（IoCs）。 该执法机构在公共服务公告（PSA）中称，威胁行为者要么在用户购买前给设备预装恶意软件，要么通过设置过程中必须下载的含后门“必要应用”实施感染。受影响设备主要包括电视流媒体设备、数字投影仪、售后车辆信息娱乐系统、电子相框等产品。 公告补充道：“一旦这些受感染的物联网设备接入家庭网络，便可能沦为Badbox 2.0僵尸网络的一部分，成为已知用于恶意活动的住宅代理服务节点。” Badbox 2.0是原始Badbox僵尸网络在2024年遭打击后出现的第二代变种。与前代相同，它主要针对安卓系统产品。FBI指出：“Badbox 2.0僵尸网络由数百万受感染设备组成，其维护的众多代理服务后门被网络犯罪分子出售或免费提供，用于实施各类犯罪活动。” 公告特别警示用户需警惕两类设备：要求禁用Google Play Protect安全设置的设备，以及宣传具备“解锁”或“免费访问内容”功能的通用电视流媒体设备。同时建议用户避免使用非官方应用市场和陌生品牌产品，若发现无法解释的可疑网络流量应立即采取行动。 为降低网络风险，FBI建议家庭互联网用户采取以下措施： 监控家庭网络的互联网流量 检查所有接入家庭网络的物联网设备是否存在可疑活动 避免从宣传免费流媒体内容的非官方市场下载应用 保持所有操作系统、软件和固件更新，优先修补防火墙漏洞及暴露于互联网的系统中已知被利用的漏洞 据Human Security早前监测，2023年10月的原始Badbox活动中已发现74,000台安卓手机、平板和联网电视盒存在感染迹象。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 特朗普政府于6月6日发布升级版网络安全行政令，包含近十二项指令以强化国家安全，涵盖人工智能应用、后量子密码技术、物联网设备认证及应对国家级别网络威胁等领域。该行政令是对奥巴马政府2015年签署的13694号行政令及特朗普今年1月25日签署的《促进国家网络安全创新》14144号行政令的补充。 特朗普在行政令序言中强调：“我下令采取新行动提升国家网络安全防御能力，重点包括：保护数字基础设施、确保关键数字服务安全、增强应对核心威胁的能力”。 核心指令要点： 人工智能整合 要求2025年11月1日前将AI技术整合至联邦网络用于漏洞管理，并在8月1日前推进安全软件开发。身份安全企业CyberArk创新高级副总裁凯文·博切克指出：“全球AI竞争加速催生了新型攻击面，AI防御技术能快速识别漏洞、扩大威胁检测规模并实现自动化防护”。该指令同时要求11月前向学术研究界开放网络安全研究数据集。 后量子密码技术 针对量子计算机未来可能破解现有公钥密码体系的威胁，行政令要求联邦政府过渡至抗量子破解的加密算法，并在2025年12月前建立支持后量子密码(PQC)的产品动态清单。博切克特别警示“机器身份泛滥”风险：“当前企业机器身份数量已达人类身份的82倍，但68%机构缺乏AI身份管控能力”。 物联网与系统加固 指令要求2027年1月起所有联邦采购的物联网设备必须携带“美国网络信任标记”认证标签；美国国家标准与技术研究院(NIST)需在2025年9月更新安全补丁部署指南；联邦预算管理局(OMB)则获三年期限制定政府IT系统现代化改造及风险应对框架。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文