HackerNews 编译，转载请注明出处： 英国零售商Co-op已确认，在4月的大规模网络攻击中，其650万会员的个人数据被盗。此次攻击导致系统关闭，并造成其杂货店出现食品短缺。 Co-op（Co-operative Group的简称）是英国最大的消费者合作社之一，经营食品商店、殡葬服务、保险和法律服务。它由数百万会员共同拥有，会员可享受服务折扣并参与公司治理。 Co-op首席执行官Shirine Khoury-Haq今日在BBC《早餐》节目中致歉，证实攻击者成功窃取了其全部650万会员的数据。 “他们的数据被复制了，犯罪分子确实能够访问这些数据，就像他们入侵其他组织时一样。这无疑是事件中最恶劣的部分。”Khoury-Haq表示。 尽管攻击中未泄露财务或交易信息，但会员的联系信息已被盗取。首席执行官称，此次泄露对她个人而言更像是一场针对Co-op会员和受影响员工的攻击。“这与我个人无关，而是关乎我的同事们。之所以对我而言是个人打击，是因为它伤害了他们——伤害了我的会员。他们窃取了会员数据，也伤害了我们的顾客，这点我确实感同身受。”她在采访中解释道。 此次网络攻击发生于4月，迫使Co-op关闭了多个IT系统，以防止威胁行为者进一步扩散到其他设备并最终部署DragonForce勒索软件加密器。该公司最初将此事件轻描淡写为对其网络的未遂入侵，但后来承认攻击期间“大量”数据被访问和窃取。 消息人士当时向BleepingComputer透露，入侵最初发生在4月22日，攻击者通过社会工程攻击重置了某员工的密码。获得网络访问权限后，他们扩散到其他设备，最终窃取了Windows域的Windows NTDS.dit文件。该文件是Windows Active Directory服务的数据库，包含Windows账户的密码哈希值。攻击者通常通过窃取此文件脱机破解密码，以便进一步渗透网络。 BleepingComputer获悉，此次攻击与Scattered Spider相关威胁行为者有关联，该组织亦被指涉及玛莎百货（M&S）网络攻击事件（该事件中部署了DragonForce勒索软件）。BBC报道称，他们曾与DragonForce勒索软件运营者就Co-op事件对话，对方确认其一名附属成员策划了此次攻击。他们还向BBC分享了数据样本，声称攻击中窃取了Co-op的企业和客户数据。 上周，英国国家犯罪调查局（NCA）逮捕了四名涉嫌参与针对Co-op、玛莎百货的攻击及未遂哈罗德百货（Harrods）攻击的人员。被捕者为两名19岁男性、一名17岁男性和一名20岁女性，他们已在伦敦和西米德兰兹郡被拘留。据报道，其中一名嫌疑人被指与2023年美高梅度假村（MGM Resorts）遭袭事件有关，该事件导致逾100台VMware ESXi虚拟机被加密。美高梅攻击事件同样归因于Scattered Spider，当时该组织正与BlackCat勒索软件团伙合作。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由欧洲刑警组织和欧洲司法组织协调的一项国际行动，打击了名为 “NoName057(16)” 的亲俄网络犯罪团伙。这项名为 “Eastwood” 的行动，捣毁了由全球 100 多个计算机系统组成的攻击基础设施，该团伙的主要服务器基础设施也被下线。 行动于 2025 年 7 月 14 日至 17 日期间开展。此次行动的成果还包括在法国和西班牙实施逮捕，签发 7 份逮捕令，进行 24 次住宅搜查，讯问 13 人。另有 5 人被列入欧盟 “头号通缉犯” 名单。 其中两名居住在俄罗斯联邦的人员被指控为 “NoName057(16)” 活动的主要煽动者。德国当局已对这两人及另外四人签发逮捕令。 行动期间，欧洲刑警组织在其总部设立了协调中心，有法国、德国、西班牙、荷兰和欧洲司法组织的代表参与，并启用虚拟指挥站，将其他参与国与协调中心相连。 欧洲司法组织则协助有关部门协调司法活动，并在行动日期间规划各自的措施。 “NoName057(16)” 的参与者主要是讲俄语的支持者，他们使用自动化工具实施分布式拒绝服务（DDoS）攻击。 欧洲刑警组织称，该团伙没有正式的领导架构，技术水平也不高，其行动动机源于意识形态和报酬。该团伙与多起 DDoS 攻击有关联，还构建了自己的僵尸网络，由数百台服务器组成，能够增强攻击强度。 欧洲刑警组织表示，该团伙估计有 4000 名支持者，这些人通过亲俄渠道、论坛以及社交媒体和即时通讯应用上的小众聊天群组招募而来。 该团伙还通过这些渠道分享行动信息、教程和最新动态。像 “DDoSia” 这样的平台被用来简化技术流程并提供指导，让新成员能快速投入行动。 “NoName057(16)” 的攻击者以加密货币获取报酬，志愿者还会收到类似游戏的参与通知，比如排行榜、定期点名和徽章等。 欧洲刑警组织称，这种游戏化的操控手段常针对年轻违法者，其背后的叙事 —— 如保卫俄罗斯或报复政治事件 —— 进一步强化了这种情感驱动。 该网络犯罪团伙最初主要以乌克兰为攻击目标。但欧洲刑警组织指出，他们后来也开始攻击那些在俄乌冲突中支持乌克兰的国家。 2023 年至 2024 年，该犯罪团伙参与了对瑞典当局和银行网站的攻击。 自 2023 年 11 月欧洲刑警组织启动调查以来，德国遭遇了 14 波攻击，波及 250 多家企业和机构。 2023 年 6 月，乌克兰向瑞士联合议会发表视频讲话期间，以及 2024 年 6 月在比尔根山举行乌克兰和平峰会期间，瑞士都遭到了多起来自该团伙的攻击。 荷兰当局也证实，2025 年 6 月在荷兰举行的北约峰会期间，发生了一起与该网络有关的攻击。这些攻击均被成功化解，未造成重大中断。 2025 年 7 月的这次行动，有捷克、法国、德国、意大利、立陶宛、波兰、西班牙、瑞典、瑞士、荷兰和美国的执法及司法部门参与。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 安全研究人员近日发现针对香港金融机构的新型恶意软件攻击浪潮，其核心是名为 SquidLoader 的加载器。该隐蔽加载器会部署 Cobalt Strike Beacon，并拥有先进的抗分析策略。 Trellix 的安全研究人员在周一发布的最新报告中指出，该恶意软件被发现能规避几乎所有检测手段，对目标受害者构成极大威胁。 高度规避的多阶段攻击链 SquidLoader 攻击活动始于鱼叉式钓鱼邮件。这些用普通话编写的邮件冒充金融机构，内含伪装成发票的带密码保护的 RAR 压缩包。 用户打开压缩包后，会发现一个伪装成 Microsoft Word 文档的恶意 PE 二进制文件。该文件在视觉上具有欺骗性，同时模仿合法的 “AMDRSServ.exe” 程序以增强社会工程效果。 一旦被执行，SquidLoader 便会嵌入系统并启动多阶段感染过程： 自我解包以解密其内部负载 通过混淆代码动态解析关键的 Windows API 初始化一个基于堆栈的自定义结构来存储操作数据 执行各种规避例程，旨在绕过沙箱、调试器和防病毒工具 联系远程命令控制 (C2) 服务器并下载 Cobalt Strike Beacon 广泛的抗分析与规避特性 SquidLoader 的一个显著特点是其广泛的抗分析策略。它利用环境检查、字符串混淆、控制流混淆和未公开的 Windows 系统调用来隐藏自身。如果检测到任何已知的分析工具或防病毒进程（包括 “windbg.exe”、“ida64.exe” 和 “MsMpEng.exe”），该恶意软件会自行终止。 为了绕过模拟器和自动化沙箱，SquidLoader 启动具有长时间睡眠的线程，并采用异步过程调用来监控异常行为。如果任何检查失败或系统显示调试迹象，恶意软件将退出。 另一种策略是显示一条中文假错误信息：“文件损坏无法打开”，这需要用户交互，进一步阻碍自动化分析。 通过这些检查后，SquidLoader 会使用模仿 Kubernetes 服务路径的 URL 联系 C2 服务器，可能是为了混入正常的企业流量中。随后，它会收集并传输主机数据，包括用户名、IP 地址、操作系统版本和管理员状态。 最后，它从一个次级 IP 地址下载 Cobalt Strike Beacon，为攻击者提供持久的远程访问权限。 该攻击活动在地域上集中于香港的机构。然而，类似样本表明相关攻击可能也在新加坡和澳大利亚进行。 为防御诸如 SquidLoader 等威胁，组织应考虑加强电子邮件过滤、端点监控和行为分析能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州债务清偿公司Next Level Finance Partners（以Century Support Services名义运营）披露了一起影响大量用户的数据泄露事件。 该公司已开始向受影响个人发送数据安全事件通知，告知其系统在2024年11月遭到黑客入侵。事件响应调查于5月下旬确认，黑客可能访问或窃取了存储个人信息的文件。 泄露信息包括：姓名、社会安全号码、出生日期、驾照号码、州身份证号码、护照号码、医疗及健康保险信息，以及金融账户信息与数字签名。 Century Support Services本周向缅因州总检察长办公室报告称，此次数据泄露影响逾16万人。根据公司官网信息，其累计服务客户近30万。 受影响个人将获赠12个月的免费身份盗用保护及信用监控服务。截至目前，尚无任何已知勒索组织宣称对本次攻击负责。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国知名百货连锁店 Belk 据称已成为 DragonForce 黑客组织的攻击目标。该组织此前曾对英国零售商玛莎百货发动网络攻击，给该公司造成数亿美元损失。 Belk 被发布在了 DarkForce 的暗网博客上 —— 该博客是其用于展示最新受害者的平台。攻击者声称，他们获取了超过 156 千兆字节的公司数据，范围从备份资料到员工档案不等。 与此同时，Cybernews 研究团队对 DragonForce 的说法展开了调查。研究人员表示，此次数据泄露似乎属实，且包含大量敏感信息。该团队称，若得到证实，这次黑客攻击可能会 “产生重大影响”。 泄露的数据似乎包括所有可用的商店优惠券、员工及注册客户数据（如姓名、出生日期、地址、电话号码、电子邮件地址），以及客户订单（包括所购商品）。此外，部分信息似乎来自 Belk 的移动应用基础设施。 研究人员称：由于受影响人数众多且泄露数据范围广泛，这次泄露的规模相当大。订单详情和所购商品等数据可能会被恶意分子或灰色市场组织（如数据经纪人或医疗保险企业）利用，用于分析个人行为和风险因素。 该团队表示，很难确定此次攻击中暴露的具体人数，但参考过往类似事件，泄露数据中可能涉及百万用户。不过研究人员指出，部分暴露的用户可能是测试账户。 DragonForce 分享了一张截图，其中包含超过 20 个据称被这些网络罪犯访问过的目录。攻击者可能访问的数据范围广泛，从商店数据到 Belk 的在线用户信息都有涉及。 Belk 成立于 1888 年，是美国最古老的百货连锁店之一。该公司在美国 16 个州运营着近 300 家门店，据《福布斯》报道，其去年的收入为 40 亿美元。 Belk 之前是否遭过黑客攻击？ 6 月初，Belk 向新罕布什尔州总检察长办公室提交了一份数据泄露通知，称公司 “遭遇了网络事件，未经授权的第三方访问了某些公司系统和数据”。 截至发稿时，尚不清楚这两起事件是否相关。 与此同时，DragonForce 在其暗网博客上发表了一些大胆言论，称其本意并非 “摧毁你的业务”。但在该公司拒绝支付赎金后，该团伙采取了破坏性行动。 DragonForce 正迅速成为目前最臭名昭著的勒索软件集团之一。该团伙最近因对英国大型零售商玛莎百货发动破坏性攻击而登上新闻头条。 那次攻击导致玛莎百货的在线服装业务下线，部分食品货架空置，并使其股市市值蒸发超过 10 亿英镑。暂停在线购物的决定严重影响了该部门的在线销售额和交易利润。 总体而言，预计这次攻击将使该公司损失约 3 亿英镑（4.03 亿美元）的运营利润。 该团伙于 2023 年首次被发现，此后也一直在给其竞争对手制造麻烦。该集团声称攻击了 BlackLock 和 Mamona（两个相关的勒索软件组织）的数据泄露网站。 DragonForce 还表示，他们入侵了 RansomHub—— 另一个知名的勒索软件集团，也是去年最活跃的团伙之一。DragonForce 以加入其阵营为诱饵吸引竞争对手，并声称已接管了 RansomHub 的基础设施。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据，过去 12 个月里，DragonForce 已攻击了 104 家机构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 东南亚的政府组织正成为一场新攻击活动的目标，该活动旨在通过一个此前未被记录的 Windows 后门程序（名为 HazyBeacon）收集敏感信息。 帕洛阿尔托网络公司 Unit 42 团队正追踪这一活动，将其命名为 CL-STA-1020，其中 “CL” 代表 “集群”，“STA” 指 “国家支持的动机”。 安全研究员利奥尔・罗奇伯格在周一的分析中表示，这一活动集群背后的威胁行为者一直在从政府机构收集敏感信息，包括近期关税和贸易争端相关信息。 由于在敏感贸易谈判、军事现代化以及美中权力动态中的战略定位，东南亚日益成为网络间谍活动的焦点。针对该地区政府机构的攻击可获取有关外交政策方向、基础设施规划以及影响地区和全球市场的内部监管变化等有价值的情报。 目前尚不清楚用于交付恶意软件的确切初始访问向量，但有证据表明，攻击者使用了 DLL 侧载技术在受感染主机上部署恶意软件。具体而言，这涉及植入一个名为 mscorsvc.dll 的恶意 DLL 文件，同时搭配合法的 Windows 可执行文件 mscorsvw.exe。 一旦该二进制文件启动，DLL 就会与攻击者控制的 URL 建立通信，从而能够执行任意命令并下载额外的有效载荷。攻击者通过一项服务实现持久化，确保系统重启后该 DLL 仍能启动。 HazyBeacon 的显著特点是利用亚马逊云服务（AWS）的 Lambda URL 作为命令与控制（C2）渠道，这表明威胁行为者持续滥用合法服务以隐匿行踪、逃避检测。 罗奇伯格解释道，AWS Lambda URL 是 AWS Lambda 的一项功能，允许用户通过 HTTPS 直接调用无服务器函数。这种技术利用合法的云功能隐藏在公开视野中，构建出可靠、可扩展且难以检测的通信渠道。 防御者应关注发往极少使用的云端点（如 *.lambda-url.*.amazonaws.com）的出站流量，尤其是当这些流量由异常的二进制文件或系统服务发起时。虽然 AWS 的使用本身并不可疑，但结合上下文的基线分析（如关联进程来源、父子执行链和端点行为）有助于区分合法活动与利用云原生技术进行规避的恶意软件。 下载的有效载荷中包含一个文件收集模块，负责收集符合特定扩展名（如 doc、docx、xls、xlsx 和 pdf）且在特定时间范围内的文件。这包括尝试搜索与美国近期实施的关税措施相关的文件。 威胁行为者还被发现利用谷歌云端硬盘和 Dropbox 等其他服务作为数据泄露渠道，以混入正常网络流量并传输收集到的数据。在 Unit 42 团队分析的这起事件中，向这些云存储服务上传文件的尝试据称已被阻止。 在攻击的最后阶段，攻击者会运行清理命令以避免留下活动痕迹，删除所有已暂存文件的存档以及攻击过程中下载的其他有效载荷。 罗奇伯格表示，威胁行为者将 HazyBeacon 用作在受影响政府实体中维持立足点并收集敏感信息的主要工具。这场攻击活动凸显了攻击者不断寻找新方法滥用合法、可信的云服务。 HazyBeacon 反映了一个更广泛的趋势，即高级持续威胁利用可信平台作为秘密渠道 —— 这种策略通常被称为依托可信服务（LOTS）。作为这一基于云的恶意软件集群的一部分，人们已在其他威胁中观察到类似技术，这些威胁利用谷歌工作空间、微软 Teams 或 Dropbox 的 API 来规避检测并促进持久访问。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 沙特工业巨头Rezayat集团遭遇勒索软件攻击。这家价值数十亿美元的工业服务提供商被曝出现在暗网泄露站点，攻击者宣称已窃取该公司数GB数据。据称实施攻击的是Everest勒索软件团伙，该团伙将Rezayat列在其用于展示受害企业的暗网站点上。 Rezayat集团旗下拥有25家涉及工程、制造、物流等领域的子公司。安全研究团队调查了攻击者随帖附带的所谓数据样本，发现包含多份疑似客户合同、技术报告以及工业设备技术图纸的截图。研究人员警告称：“这些涉及合作企业的敏感文件若属实，不仅将损害Rezayat的商业信誉，还可能被用于策划供应链攻击。” 尽管攻击者声称窃取了10GB数据，但仅凭截图难以验证其真实性。勒索软件团伙惯用分批泄露数据的手段施压，威胁称如果受害公司拒付赎金将持续泄露数据。 该沙特集团在13个国家通过25家子公司开展业务，全球员工超两万人。Everest作为勒索软件领域的老牌团伙（2021年首次被发现），近期攻击目标包括价值50亿美元的医疗集团Mediclinic及饮料巨头可口可乐。该团伙还涉嫌参与2022年10月针对AT&T的攻击，并宣称可访问其整个企业网络。 攻击技术层面，Everest常利用被入侵账户及远程桌面协议(RDP)进行横向移动。据监测数据显示，过去12个月该团伙已列出超百家受害企业。安全专家指出：“中东地区已成为众多网络犯罪团伙的高优先级目标，而Everest正主导着该区域的敛财行动。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奢侈品巨头LVMH的英国分部成为最新遭遇严重安全事件的英国零售商，该公司已开始通知客户其个人数据可能泄露。根据社交平台X（原推特）上分享的客户通知截图，路易威登英国表示于7月2日发现此次泄露事件。 公司声明，可能泄露的个人身份信息（PII）包括：姓名、性别、国籍、电话号码、电子邮箱与邮政地址、出生日期、购买记录及偏好数据。通知强调：“鉴于涉及数据的敏感性，我们强烈建议您对任何未经请求的可疑通信保持警惕，包括电子邮件、电话或短信。尽管目前尚无证据表明您的数据被滥用，但仍可能发生钓鱼攻击、欺诈或信息盗用。” 公司已向英国信息专员办公室（ICO）报告此事。此次事件发生仅一周前，路易威登刚披露其韩国业务遭黑客攻击导致部分个人信息泄露。今年LVMH集团旗下另两大品牌——克里斯汀·迪奥高级时装（Christian Dior Couture）与蒂芙尼（Tiffany）也发生过客户数据泄露事件，并自五月起接受政府调查。 路易威登是近期遭受网络攻击的英国零售商名单中的最新成员。此前黑客组织“Scattered Spider”被指应对玛莎百货（M&S）、英国合作社集团（Co-op）的攻击负责，哈罗德百货（Harrods）和阿迪达斯（Adidas）同样成为攻击目标。上周，四名涉嫌攻击玛莎百货、合作社集团和哈罗德百货的嫌疑人被逮捕：西米德兰兹郡逮捕一名17岁英国男性和一名19岁拉脱维亚人；斯塔福德郡抓获一名20岁英国女性；伦敦羁押一名19岁英国男性。 黑鸭公司（Black Duck）基础设施安全总监托马斯·理查兹分析称，尽管路易威登事件未涉及财务数据，但风险依然显著：“攻击者可能冒充客户向客服套取更多信息，或发送伪装成路易威登的恶意邮件骗取登录/财务信息。客户需警惕要求立即行动否则面临负面后果的突然通知。LVMH多地机构接连遭类似手段入侵，暗示其可能存在系统性漏洞——泄露可能未被完全控制，或各业务单元使用了存在漏洞的同类技术系统。”他补充建议LVMH应进行全集团安全评估，查明根本原因并实施整改措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种新的黑客技术，该技术利用了现代智能手机中使用的eSIM（嵌入式SIM）技术的弱点，将用户置于严重风险之中。 问题出在Kigen公司的eUICC（嵌入式通用集成电路卡）上。根据这家爱尔兰公司的网站数据，截至2020年12月，已有超过20亿张物联网设备SIM卡由其平台启用。 该发现来自AG Security Research公司旗下的研究实验室Security Explorations。Kigen公司向该团队支付了30,000美元的漏洞赏金以感谢其报告。 eSIM是一种数字SIM卡，它以软件形式直接嵌入到设备中的eUICC芯片上。eSIM允许用户无需物理SIM卡即可激活运营商的蜂窝网络套餐。eUICC软件提供了更改运营商配置文件、远程配置和管理SIM配置文件的能力。 “eUICC卡使得将所谓的eSIM配置文件安装到目标芯片中成为可能，”Security Explorations解释道，“eSIM配置文件是移动订阅的软件表现形式。” 根据Kigen发布的安全公告，该漏洞源于GSMA TS.48通用测试配置文件（6.0及更早版本），该规范据称用于eSIM产品的无线电合规性测试。 具体而言，该缺陷允许安装未经验证且可能恶意的Java Card小程序（applet）。GSMA已于上月发布的TS.48 v7.0版本通过限制测试配置文件的使用来缓解此问题。该规范的所有其他版本均已被弃用。 “成功利用此漏洞需要满足一系列特定条件的组合。攻击者必须首先获得目标eUICC的物理访问权限，并使用公开已知的密钥，”Kigen表示，“这使得攻击者能够安装恶意的JavaCard小程序。” 此外，该漏洞还可能促成提取Kigen eUICC的身份证书，从而使得攻击者能够以明文形式下载移动网络运营商（MNO）的任意配置文件、访问MNO的机密信息、篡改配置文件并将其植入任意eUICC中，且不会被MNO标记。 Security Explorations指出，此次发现建立在其2019年的研究基础上。该研究曾发现Oracle Java Card中存在多个安全漏洞，这些漏洞可能为在卡中部署持久性后门铺平道路。其中一个缺陷也影响了同样依赖Java Card技术的金雅拓（Gemalto）SIM卡。 这些安全缺陷可被利用来“破坏底层Java Card虚拟机的内存安全”，获得对卡内存的完全访问权限，突破小程序防火墙，甚至可能实现本地代码执行。 然而，Oracle当时淡化了潜在影响，并指出这些“安全隐患”并未影响其商用Java Card虚拟机生产版本。Security Explorations表示，如今这些“隐患”已被证明是“真实存在的漏洞”。 这些攻击手段听起来可能难以实施，但恰恰相反，它们完全在具备能力的国家级黑客组织的掌握范围之内。攻击者可能借此入侵eSIM卡并部署隐蔽后门，有效拦截所有通信。 “下载的配置文件可能被以某种方式修改，导致运营商完全失去对它的控制（无法远程控制/无法禁用作废等），运营商可能看到关于配置文件状态的完全虚假信息，或者其所有活动都可能被监控，”该公司补充道。 “我们认为，仅通过攻破一个eUICC或窃取一份eUICC GSMA证书，就能窥探（明文下载）任意MNO的eSIM配置文件，这构成了eSIM架构的重大弱点。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全机构SentinelOne警告称，黑客正将恶意软件ZuRu木马植入正版Mac工具，通过污染搜索引擎结果推广被篡改的软件包，诱使用户感染。最新攻击活动中，黑客篡改了跨平台SSH客户端及远程服务器管理工具Termius的应用安装包。 被篡改的软件包内含新版macOS.ZuRu后门病毒。该木马安装后将在后台静默运行，建立持久化访问通道，可远程下载有害组件并执行攻击者指令。 ZuRu后门最早于2021年7月在中国通过百度搜索结果传播。此后该木马持续感染开发者常用工具，包括SecureCRT、Navicat及微软远程桌面等Mac版软件。去年起，盗版应用开始搭载升级版木马，具备更强大的远程控制功能。 攻击者通过替换开发者原始代码签名植入临时签名，以此绕过macOS的代码签名保护机制。SentinelOne研究人员在报告中指出：“ZuRu最新变种延续了攻击者篡改开发者和IT专业人员所用正版macOS应用的一贯手法。” 安全专家评估认为，该攻击主要针对“缺乏有效终端防护”的环境。VirusTotal上出现的篡改版Termius包含持久性下载器，可获取并解码开源渗透工具Khepri。 恶意代码执行时同步启动木马加载器与正版应用，确保用户无法察觉异常。恶意程序要求系统至少为2023年10月发布的Sonoma 14.1或更新版本。 远程控制功能涵盖文件传输、系统侦察、进程操控及指令执行反馈等。攻击者使用开源工具Khepri beacon建立命令控制通道，近期攻击中使用的恶意域名包括termius[.]fun和termius[.]info。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文