HackerNews 编译，转载请注明出处： Google成为最新一家在ShinyHunters勒索集团持续发动的Salesforce CRM数据窃取攻击中遭遇数据泄露的公司。 6月，Google曾警告称，一个被其归类为“UNC6040”的威胁行为者正针对企业员工发起语音钓鱼（vishing）社会工程攻击，以入侵Salesforce实例并下载客户数据。这些数据随后被用于勒索公司支付赎金，以防止数据泄露。 在昨晚发布的一则简要更新中，Google表示其自身也在6月成为同类攻击的受害者，旗下一个Salesforce CRM实例遭入侵，客户数据被盗。 “6月，Google的一个企业Salesforce实例受到了本公告所述UNC6040类似活动的影响。Google已对该活动做出响应，进行了影响分析并开始实施缓解措施，”Google的更新写道。“该实例用于存储中小企业的联系信息及相关备注。分析显示，威胁行为者在访问被切断前的短暂时间窗口内获取了数据。” “威胁行为者获取的数据仅限于基础的、且大部分为公开的商业信息，例如企业名称和联系方式。” Google将这些攻击背后的威胁行为者归类为“UNC6040”或“UNC6240”。然而，持续追踪此类攻击的BleepingComputer获悉，臭名昭著的威胁行为者ShinyHunters正是这些攻击的幕后黑手。 ShinyHunters活跃多年，对包括PowerSchool、Oracle Cloud、Snowflake数据窃取攻击、AT&T、NitroPDF、Wattpad、MathWay等在内的多起泄露事件负责。 在昨日与BleepingComputer的对话中，ShinyHunters声称已入侵多个Salesforce实例，且攻击仍在进行。该威胁行为者昨日向BleepingComputer宣称，他们入侵了一家市值万亿美元的公司，并正考虑直接泄露数据而非尝试勒索。目前尚不清楚这家公司是否为Google。 对于受攻击影响的其他公司，该威胁行为者正通过电子邮件进行勒索，要求其支付赎金以防止数据被公开泄露。一旦完成私下勒索，他们计划在黑客论坛上公开泄露或出售数据。 BleepingComputer获悉，已有一家公司支付了4枚比特币（约合40万美元）以防止其数据泄露。 其他受此次攻击影响的公司包括阿迪达斯、澳洲航空、安联人寿、思科，以及LVMH旗下的路易威登、迪奥和蒂芙尼公司。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为“幽灵呼叫”（Ghost Calls）的新型攻击后命令与控制（C2）规避技术，通过滥用Zoom和Microsoft Teams等会议应用的TURN服务器，将流量隧道化传输至受信任的基础设施中。 幽灵呼叫技术利用合法凭证、WebRTC及定制工具，在不依赖漏洞利用的情况下，绕过了大多数现有防御和反滥用措施。 该新战术由Praetorian安全研究员Adam Crosser在BlackHat USA大会上公布，并强调红队（Red Teams）在执行渗透模拟演习时可使用该技术。 “我们利用专为实时、低延迟通信设计的网络会议协议，这些协议通过作为天然流量中继的全球分布式媒体服务器运行，”演示文稿摘要中写道。“这种方法使操作者能够将交互式C2会话融入正常的企业流量模式中，使其看起来就像临时加入了一个在线会议。” 幽灵呼叫如何运作 TURN（Traversal Using Relays around NAT）是一种网络协议，常见于视频通话、VoIP和WebRTC服务中。当设备位于NAT防火墙后无法直接连接时，它可帮助设备相互通信。 当Zoom或Teams客户端加入会议时，它会收到临时TURN凭证。幽灵呼叫技术可劫持这些凭证，在攻击者与受害者之间建立基于TURN的WebRTC隧道。该隧道可用于代理任意数据，或将C2流量伪装成通过Zoom或Teams使用的受信任基础设施传输的常规视频会议流量。 由于流量通过企业广泛使用的合法域名和IP地址路由，恶意流量可绕过防火墙、代理和TLS检测。此外，WebRTC流量是加密的，因此隐蔽性极佳。通过滥用这些工具，攻击者既能避免暴露自身域名和基础设施，又能享受高性能、可靠的连接，以及通过443端口同时使用UDP和TCP的适应性优势。相比之下，传统C2机制速度慢、特征明显，且通常缺乏支持VNC（虚拟网络计算）操作所需的实时交换能力。 TURNt工具 Crosser的研究最终开发出一款名为“TURNt”的自定义开源工具（可在GitHub获取），该工具可利用Zoom和Teams提供的WebRTC TURN服务器对C2流量进行隧道化传输。 TURNt包含两个组件：运行在攻击者端的控制器（Controller）和部署在已入侵主机上的中继器（Relay）。控制器运行一个SOCKS代理服务器，用于接收通过TURN隧道传输的连接。中继器使用TURN凭证回连控制器，并通过提供商的TURN服务器建立WebRTC数据通道。 TURNt可执行SOCKS代理、本地或远程端口转发、数据窃取，并支持隐蔽的VNC流量隧道传输。 尽管幽灵呼叫技术并未利用Zoom或Microsoft Teams的任何漏洞，BleepingComputer已联系两家供应商，询问其是否计划引入额外保障措施以降低该技术的可行性。将在收到任一方回复后更新本文。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球历史最悠久的电影节已确认遭遇数据泄露，导致多位参与者的个人信息外泄。 威尼斯国际电影节确认发生数据泄露事件，黑客获取了包括记者在内的参与者的个人信息。该事件在《好莱坞报道》（The Hollywood Reporter）记者收到泄露通知函后被曝光，通知函称攻击发生于今年7月。 据《好莱坞报道》称，活动主办方表示黑客攻击发生于2025年7月7日，未经授权的个人入侵了电影节系统并复制了其服务器上存储的文件。少量数据从电影节系统中被盗，包括姓名、电子邮箱地址、电话号码、税号及邮寄地址。 电影节IT团队表示已“迅速采取行动”，成功隔离“受影响系统”并完成加固。“我们已立即通知主管当局，并启动了系统恢复操作。” 此次黑客攻击恰逢第82届威尼斯国际电影节前夕，本届电影节定于2025年8月27日至9月6日举行。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国和荷兰的载旗航空公司法航（Air France）与荷兰皇家航空（KLM Royal Dutch Airlines）已向受影响的客户发送数据泄露通知，告知其个人信息受到第三方数据泄露事件影响。 据荷兰科技媒体Tweakers.com获取的泄露通知显示，攻击者通过入侵第三方服务提供商获取了荷航的客户数据。该公司向Cybernews确认发生了第三方数据泄露事件。同属一家控股公司的法航和荷航正在调查各自公司数据遭非法访问的情况。 “我们在客服中心使用的第三方平台上检测到异常活动，这促使我们的IT安全团队与相关第三方系统迅速实施纠正措施以终止该事件。”公司通过电子邮件发送给Cybernews的声明中写道。 通知称，护照号码、支付卡详细信息、密码或航空公司忠诚计划“蓝天飞行”（Flying Blue Miles）的里程余额未在此次攻击中泄露。但攻击者成功获取了以下个人身份信息： 姓氏 名字 联系方式 “蓝天飞行”会员号及等级 服务请求邮件的主题行 泄露数据强烈表明攻击者入侵了荷航的客户服务合作伙伴或类似服务提供商。 目前尚不清楚有多少人受此次荷航客户数据泄露影响，但受影响者将面临更高的网络安全风险。一方面，攻击者可利用被盗信息进行身份盗用，这通常会导致开设欺诈账户。网络犯罪分子还可能利用数据进行社会工程攻击，冒充航空公司代表针对客户实施诈骗。这类定向骗局常利用客户对航班取消或其他旅行问题的恐慌心理。 荷航的泄露通知声明，航空公司已向荷兰数据保护局报告该事件，同时建议受影响客户保持警惕，谨防可疑信息。 作为法航-荷航航空控股公司的一部分，荷航是欧洲航空业的重要参与者。该公司拥有近200架飞机，去年营收超过145亿美元，员工超36,000人。法航则拥有38,000名员工，年营收近190亿美元。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在亚马逊弹性容器服务（Amazon Elastic Container Service, ECS）中演示了一种“端到端权限提升链条”攻击方法。攻击者可利用该漏洞进行横向移动、访问敏感数据并控制整个云环境。 该攻击技术被安全研究公司Sweet Security的研究员Naor Haziz命名为“ECScape”，他于今日在拉斯维加斯举行的Black Hat USA安全会议上公布了这一发现。 “我们发现了一种方法，可以滥用一项未记录的ECS内部协议，获取同一EC2实例上其他ECS任务所属的AWS凭证，”Haziz在分享给The Hacker News的报告中说，“一个拥有低权限IAM（身份与访问管理）角色的恶意容器，可以获取在同一主机上运行的更高权限容器的权限。” Amazon ECS是一项完全托管的容器编排服务，允许用户部署、管理和扩展容器化应用程序，并与Amazon Web Services（AWS）集成以在云中运行容器工作负载。 Sweet Security发现的漏洞本质上允许权限提升：运行在ECS实例上的低权限任务，可以通过窃取凭证劫持同一EC2机器上更高权限容器的IAM权限。 换言之，ECS集群中的恶意应用程序可以伪装成更高权限的任务。这是通过利用在地址169.254.170[.]2运行的元数据服务实现的，该服务暴露了与任务IAM角色关联的临时凭证。 虽然这种方法确保每个任务在运行时获得其IAM角色的凭证，但ECS代理身份的泄露可能允许攻击者冒充该代理并获取主机上任何任务的凭证。完整攻击序列如下： 获取主机的IAM角色凭证（EC2实例角色）以冒充代理 发现代理通信的ECS控制平面端点 收集必要的标识符（集群名称/ARN、容器实例ARN、代理版本信息、Docker版本、ACS协议版本和序列号），使用任务元数据端点和ECS内省API作为代理进行身份验证 伪造并签署代理通信服务（Agent Communication Service, ACS）WebSocket请求，冒充代理并将“sendCredentials”参数设置为“true” 收集该实例上所有运行中任务的凭证 “伪造的代理通道也能保持隐蔽，”Haziz表示，“我们的恶意会话模仿了代理的预期行为——确认消息、递增序列号、发送心跳——因此不会显得异常。” “通过冒充代理的上游连接，ECScape彻底瓦解了该信任模型：一个被攻陷的容器可以被动收集同一EC2实例上所有其他任务的IAM角色凭证，并立即以这些权限行动。” 在共享EC2主机上运行ECS任务时，ECScape可能造成严重后果，因为它为跨任务权限提升、凭证泄露和元数据窃取打开了大门。 在负责任的披露后，亚马逊强调了客户在适用情况下采用更强隔离模型的必要性，并明确在其文档中指出：在EC2中没有任务隔离，“容器可能访问同一容器实例上其他任务的凭证”。 作为缓解措施，建议： 避免在同一实例上部署高权限任务与不可信或低权限任务 使用AWS Fargate实现完全隔离 禁用或限制任务的实例元数据服务（IMDS）访问 限制ECS代理权限 设置CloudTrail警报以检测IAM角色的异常使用 “核心教训是应将每个容器视为可能被攻陷的对象，并严格限制其爆炸半径，”Haziz说，“AWS便捷的抽象（任务角色、元数据服务等）方便了开发者，但当多个具有不同权限级别的任务共享底层主机时，其安全性仅取决于隔离它们的机制——而这些机制可能存在微妙的弱点。” 此漏洞披露正值近期报告多起云安全漏洞之际，包括： 谷歌Cloud Build与GitHub集成中的竞争条件漏洞（可能绕过维护者审查执行未审核代码） Oracle云基础设施（OCI）代码编辑器中的远程代码执行漏洞（可劫持Cloud Shell环境） 名为“I SPy”的攻击技术（利用Microsoft Entra ID中的服务主体进行权限提升和持久化） Azure机器学习服务中的权限提升漏洞（允许存储账户访问者执行任意代码） 旧版AmazonGuardDutyFullAccess策略的范围漏洞（可能导致组织被完全接管） 滥用Azure Arc进行权限提升和持久化的攻击技术 Azure内置Reader角色权限过高及API漏洞（可被串联利用泄露VPN密钥） 谷歌Gerrit中的供应链漏洞“GerriScary”（允许向ChromiumOS等关键项目提交未授权代码） 谷歌云平台配置错误（暴露了互联网交换点内部子网络） “ConfusedFunction”权限提升漏洞的扩展（可适配AWS和Azure平台） “最有效的缓解策略是确保云环境中所有服务账户（SA）遵循最小权限原则，且没有遗留云SA仍在使用，”Talos表示，“确保所有云服务和依赖项均已应用最新安全补丁。若存在遗留SA，请用最小权限SA替换它们。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 丹麦珠宝巨头Pandora披露了一起数据泄露事件，其客户信息在持续的Salesforce数据窃取攻击中被盗。 Pandora是全球最大的珠宝品牌之一，拥有2700个门店及超过37,000名员工。 “我们特此告知您，您的联系信息被未经授权方通过我们使用的第三方平台获取，”Pandora发送给客户的数据泄露通知中写道。“我们已终止该访问行为，并进一步强化了安全措施。” 据《福布斯》率先报道，此次攻击中仅窃取了客户的姓名、出生日期和电子邮箱地址。密码、身份证明文件及财务信息未遭泄露。 尽管Pandora未公布第三方平台名称，但BleepingComputer获悉数据是从该公司的Salesforce数据库中窃取的。 自2025年1月（或更早）起，威胁攻击者持续针对企业员工及服务台开展社会工程和钓鱼攻击。这些攻击旨在窃取Salesforce凭证，或诱骗员工向恶意OAuth应用授予其Salesforce账户的访问权限。 攻击者利用该权限下载并窃取企业的Salesforce数据库，继而勒索企业支付赎金以阻止数据泄露。 ShinyHunters组织向BleepingComputer证实，他们正私下勒索企业，并威胁将对拒绝支付赎金的企业实施大规模数据销售或泄露，其手法类似此前针对Snowflake的数据窃取攻击。该组织同时确认攻击仍在持续，因此所有企业应遵循Salesforce关于强化账户安全的建议。 Salesforce向BleepingComputer表示：“Salesforce平台本身未遭入侵，所述问题也非因平台已知漏洞所致。尽管我们为企业级安全构建了全面防护，但客户在保障自身数据安全方面同样扮演关键角色——尤其是在复杂钓鱼与社会工程攻击激增的背景下。我们持续敦促所有客户遵循安全最佳实践，包括启用多因素认证（MFA）、执行最小权限原则，以及审慎管理关联应用。” 其他受此攻击影响的企业包括阿迪达斯（Adidas）、澳洲航空（Qantas）、安联人寿（Allianz Life），以及LVMH集团旗下的路易威登（Louis Vuitton）、迪奥（Dior）和蒂芙尼（Tiffany & Co.）。但据BleepingComputer了解，尚有更多未公开披露的受害企业。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肾脏透析巨头DaVita今年初遭遇勒索软件攻击，单州超1.3万人受影响。该公司向数千名美国公民发出违规通知，告知其可能已成为网络攻击受害者。2025年4月，勒索软件团伙入侵DaVita实验室服务器，公司向华盛顿州总检察长办公室提交的数据显示，仅该州就有13,000余人信息被泄露。 根据DaVita在2025年4月12日发布的声明：“发现安全事件导致实验室服务器遭未授权访问，当日即启动事件响应协议清除入侵者”。泄露信息包含： 姓名；地址；出生日期；社会安全号码；健康保险信息 临床数据（健康状况、治疗记录、透析实验室检测结果） 部分人员税务识别号及支付给DaVita的支票影像 公司强调并非所有个体均暴露全部数据字段，但攻击者可能利用信息实施身份盗窃、金融欺诈或医疗身份盗用（例如骗取管制药物处方）。此次攻击由Interlock勒索软件团伙发起，该团伙自2024年底活跃，因攻击DaVita及中西部医疗集团Kettering Health而臭名昭著。据监测工具Ransomlooker统计，该团伙过去12个月已侵害至少51个组织。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新报告揭露，今夏为期12天的对以冲突期间，亲伊朗黑客组织的网络威胁活动骤然激增。SecurityScorecard称其分析了25万条Telegram消息，揭示出涵盖情报收集、宣传攻势及针对关键基础设施与公共实体的直接攻击等多重活动。这些行动源自国家支持的黑客、代理人组织及支持伊朗战争目标的“意识形态同盟黑客活动分子”等多元群体。 主要活动包括： 宣传渗透：至少178个Telegram群组散布亲伊朗宣传，将“意识形态驱动讯息与协同网络攻击结合”，典型频道含“伊斯兰黑客军团”“抵抗阵线”等。 混合攻击：巴勒斯坦关联组织Cyber Islamic Resistance、Cyber Fattah，阿富汗Fatimion团队及伊斯兰黑客军团等团体，以“地方不满叙事”为名发起DDoS攻击、钓鱼行动及数据转储。 数据窃取：国家背景的Cyber Fattah通过扫描网络漏洞入侵沙特运动会系统，泄露含数千条个人身份信息（PII）的记录。 破坏行动：Fatimion团队实施网站篡改与DDoS攻击；Cyber Islamic Resistance进行服务中断、宣传广播及“士气动员”。 漏洞交易：突尼斯Maskers网络部队等牟利组织售卖零日漏洞并实施数据窃取。 国家级APT攻击同步升级 黑客组织Tortoiseshell（又名Cuboid Sandstorm）在冲突爆发数日内注册nowsupportisrael[.]com等煽动性域名，利用虚拟服务器托管钓鱼页面。该组织通过仿造支持以色列的请愿表单，诱骗希伯来语用户提交信息，并向筛选目标投放RemCosRAT远控木马。 报告指出，这些威胁行为体与伊朗伊斯兰革命卫队（IRGC）的关联程度及技术能力差异显著。“区分国家支持组织与机会主义团体对厘清日益复杂的网空冲突至关重要。”建议企业加强员工对钓鱼攻击的警觉性，并要求安全供应商评估自身是否可能成为攻击目标。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州贝灵汉市的放射诊疗机构西北放射医学中心（Northwest Radiologists）向约35万名当地居民发出通知，称其个人信息在数据泄露事件中遭泄露。该机构表示，事件发生于2025年1月25日，当日部分系统遭遇“网络中断”。机构早在3月首次披露事件时已指出，受影响系统存储的受保护健康信息（PHI）可能被波及。 此次最新通报确认，攻击者在1月20日至25日期间侵入其网络，并获取了受影响系统中的数据。泄露信息涵盖患者姓名、住址、电话号码、电子邮箱、出生日期、社会安全号码、驾照号码、政府身份证件号码、诊断及治疗细节、健康保险信息、财务与银行数据等。 该机构称已加强系统安全防护，防止类似事件重演，并向受影响个体提供免费信用监控与身份保护服务。西北放射医学中心向华盛顿州总检察长办公室通报称，共有348,118名该州居民受此次攻击影响。由于该机构在阿拉斯加州也开展业务，且事件尚未列入美国卫生与公众服务部违规通报平台，其他州居民是否受影响尚不明确。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道，香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库，事件于7月25日首次被发现。此次泄露仅影响美国客户，涉及个人联系信息。 香奈儿发言人声明：“调查显示，未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息，受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称，网络安全媒体BleepingComputer确认数据是从该公司Salesforce实例窃取。 此次攻击被归因于黑客组织ShinyHunters发起的Salesforce数据窃取攻击浪潮。据Mandiant首次披露，攻击者通过语音钓鱼（vishing）攻击定向入侵Salesforce客户：诱骗员工授权恶意OAuth应用或窃取凭证访问其Salesforce门户。一旦侵入系统，便窃取数据库并以此勒索客户。 Salesforce向BleepingComputer强调其平台未被攻破，问题源于客户账户遭社工攻击：“Salesforce自身无安全漏洞，事件均由钓鱼攻击和社交工程导致。我们持续建议客户启用多因素认证（MFA）、实施最小权限原则并严格管理关联应用。”截至目前，攻击者尚未公开泄露任何企业数据，仅通过电子邮件实施勒索。 除香奈儿外，此轮攻击的受害者还包括阿迪达斯、澳洲航空、安联人寿，以及LVMH集团旗下路易威登、迪奥和蒂芙尼。BleepingComputer知悉其他未公开的潜在受害企业，但尚未能独立核实。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文