HackerNews 编译，转载请注明出处： 有疑似印度背景的威胁行为体被观察到使用恶意软件攻击欧洲外交部，该恶意软件能够从受感染主机窃取敏感数据。 Trellix 高级研究中心 (Trellix Advanced Research Center) 将此活动归因于一个名为 DoNot Team（又名 APT-C-35、Mint Tempest、Origami Elephant、SECTOR02 和 Viceroy Tiger）的高级持续性威胁（APT）组织。据评估该组织自 2016 年以来一直活跃。 Trellix 的研究人员表示：“DoNot APT 组织以使用定制开发的 Windows 恶意软件而闻名，包括 YTY 和 GEdit 等后门程序，通常通过鱼叉式钓鱼邮件或恶意文档进行传播。” “该威胁组织通常针对政府机构、外交部、国防组织和非政府组织，特别是南亚和欧洲的相关机构。” 攻击链始于钓鱼邮件，其目的是诱骗收件人点击一个 Google 云端硬盘链接以下载 RAR 压缩包，从而为部署名为 LoptikMod 的恶意软件铺平道路。该组织至少从 2018 年起就专门使用此恶意软件。 根据 Trellix 的信息，这些邮件来自一个 Gmail 地址，并伪装成国防官员，邮件主题涉及意大利驻孟加拉国达卡国防武官的一次访问行程。 Trellix 在剖析感染过程时指出：“该电子邮件采用了支持 UTF-8 编码的 HTML 格式，以确保正确显示特殊字符（如‘Attaché’中的‘é’），这显示出攻击者为增加可信度而付出的细致关注。” 通过电子邮件分发的 RAR 压缩包中包含一个伪装成 PDF 文档的恶意可执行文件。打开此文件会导致 LoptikMod 远程访问木马执行。该木马能够通过计划任务在主机上建立持久性驻留，并连接到远程服务器以发送系统信息、接收后续指令、下载额外模块以及窃取数据。 它还采用反虚拟机技术和 ASCII 混淆技术来阻碍其在虚拟环境中的执行并逃避分析，从而大大增加了分析其功能目的的难度。此外，该攻击确保在受感染系统上只运行一个恶意软件实例，以避免潜在的干扰。 Trellix 表示，此攻击活动使用的命令与控制（C2）服务器目前已处于非活跃状态。这意味着相关基础设施要么被暂时停用或已失效，要么威胁行为体已迁移到完全不同的服务器。 C2 服务器处于非活跃状态也意味着目前无法确定发送给受感染端点的具体命令集，以及返回的响应数据种类。 研究人员说：“他们的行动以持续性监控、数据窃取和长期访问为特征，表明其具有强烈的网络间谍动机。尽管历史上他们主要关注南亚地区，但这次针对欧洲的南亚大使馆的事件，表明他们正将其目标明显扩展到欧洲的外交通信和情报领域。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员确认，长期活跃的Android银行木马Anatsa近期针对北美金融机构和银行应用用户发起新攻击。荷兰网络安全公司ThreatFabric追踪显示，这至少是该恶意软件第三次瞄准美国与加拿大的移动银行用户。Anatsa具备窃取银行凭证、记录键盘输入及通过远程控制工具在受感染设备上直接实施欺诈交易的能力。 攻击活动通常始于开发者向应用商店上传看似合法的Android应用（如PDF阅读器或手机清理工具），这些应用在积累数万次下载前功能正常。随后通过更新注入恶意代码，将Anatsa作为独立程序安装到设备，并根据攻击目标执行不同恶意操作。本次攻击中，恶意代码潜伏于某款文件阅读器应用，在其发布约六周后（6月24日至30日期间）通过更新推送。该应用下架前在美国Play商店免费工具榜排名前列，累计下载量超5万次。 应用安全公司Cequence首席信息安全官Randolph Barr指出，这种两阶段攻击模式具有典型性：“即使资深用户亦可能疏忽，因初始应用表现正常。”虽然黑客如何推广应用以实现广泛传播尚未明确，且被盗数据具体用途仍不清晰（可能用于勒索攻击或暗网交易），但值得关注的是此次攻击目标清单显著扩展，覆盖了更广泛的美国移动银行应用。 银行木马作为窃取金融信息的常见犯罪工具，常导致未经授权的转账、账户接管及用户重大财产损失。Barr预测未来可能出现更复杂的攻击变种：“包括针对特定银行或地区的AI个性化恶意覆盖界面、安装后实时下载的模块化载荷、通过屏幕覆盖或令牌窃取绕过MFA多因素认证，以及更隐蔽的无障碍服务滥用与会话劫持。” 本月初，ThreatFabric还发现新型Android银行木马Crocodilus正在欧洲、南美及亚洲部分地区扩散。其最新变种能在受害者通讯录插入伪造联系人，使攻击者可伪装成银行客服等可信来源实施诈骗通话，潜在规避欺诈监测系统对陌生号码的警报机制。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究员Brandon Perry发布最新研究，揭示电动汽车充电数据链路存在严重安全漏洞。当车辆接入充电桩时，双方通过电力线通信建立双向数据连接，形成双重攻击面。 该研究员搭建Linux系统充电桩进行测试，捕获特斯拉车辆通信数据包。连接建立后，设备自动协商协议并配置IPv6地址。充电桩与车辆交换标准化数据，包括车辆通信控制器标识（EVCCID）、供电设备标识（EVSEID）、电池状态等核心信息。中间人攻击可轻易拦截这些数据——当前通信协议未强制要求TLS加密，即便采用加密，证书多为自签名且未经验证机构认证，防护形同虚设。 充电网络通常将EVCCID作为自动计费凭证，而该标识实为通信接口的MAC地址。攻击者通过伪造MAC地址可冒用他人身份激活即插即充功能，实施窃电犯罪。研究还发现，向通信链路注入畸形数据包可触发系统崩溃漏洞。 更严峻的是，开发者常忽视充电线缆作为网络入口的风险。实测显示充电端口开放SSH服务，攻击者可直接通过充电线缆暴力破解登录凭证。公共充电桩普遍依赖充电站管理系统（CSMS）进行认证与电力调度，而开源系统StEVe CSMS和CitrineOS被证实存在致命缺陷：攻击者可远程触发系统崩溃，导致整个充电网络瘫痪，且异常日志中混杂的本地IP地址会大幅增加故障诊断难度。 物理安全同样堪忧。多数电动汽车充电接口盖板可被徒手撬开且不触发警报，专业调试设备已在市场流通，使硬件层面临直接威胁。这些安全漏洞可能引发电网波动、用户数据泄露及基础设施停摆等连锁风险。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第二季度，针对开发者、软件团队及CI/CD流水线的攻击规模和复杂度持续攀升。网络安全公司Sonatype监测数据显示，恶意开源软件包数量同比增长188%，凸显开源生态安全威胁加剧。 该公司通过监控npm、PyPI、Maven Central等主流仓库活动发现，本季度共检出16,279个恶意开源软件包。自2017年启动分析以来，累计识别恶意包总量已达845,204个。“攻击者不再仅是试探开源生态。数据表明，威胁行为者已将数据视为最具价值的目标，而开发者成为最易突破的入口，”Sonatype联合创始人兼首席技术官Brian Fox指出，“开发和安全团队必须保持警惕，威胁正日益潜伏于日常工具和依赖项中。” 恶意包攻击目标呈现集中化趋势： 数据窃取主导：55%的恶意包旨在窃取机密信息，包括个人身份数据、密码、访问令牌及API密钥； 数据破坏恶意软件激增：本季度检出400例此类攻击，数量较上季度翻倍，主要通过损毁文件、注入恶意代码等方式破坏应用运行； 加密挖矿占比下降：相关恶意包占比5%，较前季度略有减少。 国家级黑客组织深度渗透： 朝鲜知名黑客组织Lazarus被证实关联107个恶意包，累计下载量超30,000次。这反映威胁组织正将开源生态系统作为实施网络间谍和金融犯罪的新渠道。 值得注意的是，尽管Sonatype报告2024年恶意软件同比增长156%，但相比同期主流平台超6万亿次软件包下载量，实际检出比例仍属微量。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳洲航空（Qantas）确认遭遇网络攻击后，威胁行为体已开始实施勒索。该公司在更新声明中表示：“潜在网络犯罪分子已与我们联系，目前正在核实其身份。鉴于此事涉及刑事案件，我们已联络澳大利亚联邦警察（AFP），后续将不再透露具体接触细节。” 该航空公司在7月1日披露，其于前一日发现某呼叫中心使用的第三方系统存在异常活动。此次入侵导致客户姓名、电子邮箱、电话号码、出生日期及飞行常客号码泄露。但澳航强调，信用卡及财务信息、护照详情、密码、PIN码与登录凭证均未遭泄露。 澳航警告客户警惕利用被盗数据实施诈骗及钓鱼邮件的风险，声明所有官方邮件均来自qantas.com域名。公司同时承诺绝不会通过电话、短信或邮件索要密码、机票确认码等敏感信息。 此次事件是黑客组织Scattered Spider针对航空业系列攻击的一部分。该组织擅长社会工程攻击，常通过诱骗帮助台及支持供应商重置员工密码和多因素认证（MFA）侵入企业网络。其攻击目标从4月的零售业（玛莎百货、Co-op超市）转向保险业，近期又聚焦航空运输业，西捷航空与夏威夷航空此前已遭类似攻击。 澳航正协同网络安全专家、澳大利亚网络安全中心（ACSC）、澳大利亚信息专员办公室（OAIC）及澳大利亚联邦警察（AFP）展开联合调查。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员监测到针对员工登录凭证的身份驱动型网络攻击激增。eSentire威胁响应部门（TRU）最新报告显示：2024年至2025年一季度期间，该机构处理的1.9万起身份相关安全事件同比激增156%，此类威胁在其服务的2000余家企业中占比高达59%。 钓鱼即服务（PhaaS）推动凭证窃取 Tycoon 2FA平台成为主要推手：该钓鱼即服务平台通过提供中间人攻击（AitM）能力绕过双因素认证（2FA），已超越EvilProxy等竞品成为2025年1-5月最活跃攻击工具。攻击者以月租200-300美元（约合人民币1450-2170元）获取以下服务： 伪装成可信来源的邮件模板 突破MFA防护的中间人攻击模块 反调试与规避检测工具 内置凭证窃取功能 客户支持及定期更新 攻击者利用该平台实施商业邮件欺诈（BEC）：主要针对应收账款部门员工，窃取其凭证后篡改支付路径，将企业资金转入攻击者控制账户。 信息窃取器提供低成本替代方案 攻击者通过Lumma窃密程序等工具批量获取凭证：地下市场中单份窃密日志仅售10美元（约合人民币72元），每份日志可能包含数十项高价值数据： 邮箱/银行服务登录凭据 密码管理器数据库 加密钱包及浏览器扩展数据 VPN/FTP客户端及本地文件 该窃密程序自2022年活跃至今，其内置自动化过滤机制可快速识别高价值数据，大幅缩短凭证利用周期，并通过”Russian Market”等黑市加速销赃。 凭证窃取呈现高回报特性 据FBI统计：2013年至今全球累计发生超30万起商业邮件欺诈案件，造成550亿美元（约合人民币3980亿元）损失。2025年第一季度，信息窃取器占eSentire阻断恶意软件的35%，身份攻击的经济回报率已超越传统漏洞利用。 防御建议 eSentire TRU预测此类威胁将持续蔓延，呼吁企业采取三项核心措施：部署钓鱼攻击免疫的身份验证技术、实施零信任架构、建立实时访问监控机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IT巨头英迈科技（Ingram Micro）正经历全球性系统中断，其网站和内部系统均受影响。由于该公司对故障原因保持沉默，客户担忧这可能是网络攻击所致。 英迈科技是全球最大的企业对企业（B2B）技术分销商和服务提供商之一，向全球范围内的经销商和托管服务提供商提供硬件、软件、云服务、物流和培训解决方案。 该公司拥有约24,000名员工，2024年营收约为480亿美元。 系统中断始于上周四上午，网站下线，客户无法下单。BleepingComputer网站获悉，部分英迈科技的内部系统员工也无法访问。 目前访问 ingrammicro.com 网站，会显示其使用的网络服务商Akamai的通用访问受限提示，或如下图所示维护信息。 英迈客户在 Reddit 上表示，该公司对中断原因三缄其口，员工同样被蒙在鼓里。部分人称被告知中断背后可能是网络攻击（潜在勒索软件），但BleepingComputer网站尚未能证实这些说法的真实性。 然而，长时间中断及关闭内部系统通常是某种入侵的常见迹象。 BleepingComputer网站已就中断事件联系英迈科技，若收到回复将更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警关闭Archetyp Market——运营时间最长的暗网毒品网站，警方在西班牙逮捕管理员，瑞典打击顶级供应商。 由德国当局主导的国际执法行动，在欧洲刑警组织和欧洲司法机构的支持下，成功关闭了运营时间最长的暗网毒品市场Archetyp Market。此次协调行动跨越六个国家，在西班牙逮捕了该市场的管理员，并在瑞典打击了顶级供应商。 “6月11日至13日期间，德国、荷兰、罗马尼亚、西班牙、瑞典等国开展了一系列协调行动，针对平台管理员、版主、主要供应商和技术基础设施。约300名执法人员被部署执行执法行动并保护关键证据，”欧洲刑警组织在新闻稿中表示。“Archetyp Market作为毒品市场运营超过五年，全球用户超过60万，总交易额至少2.5亿欧元。该市场拥有超过1.7万种商品列表，是少数允许销售芬太尼和其他高纯度合成阿片类药物的暗网市场之一，加剧了这些药物在欧洲及其他地区构成的日益严重的威胁。” 现在，该网站已被查封页面取代，更多信息和一个针对暗网的视频信息已发布在www.operation-deepsentinel.com。 由德国当局主导的行动关闭了Archetyp Market，在西班牙逮捕了其管理员，并查获了780万欧元资产。该市场实现了大规模的匿名毒品交易，包括可卡因和合成阿片类药物，并与Dream Market和Silk Road等主要暗网平台齐名。 欧洲刑警组织报告称，Archetyp Market的取缔是多年调查的结果。当局追踪资金流向，分析数字证据，并进行国际合作。欧洲刑警组织和欧洲司法机构协调了各方努力，促成了逮捕行动和资产扣押。 “通过这次取缔行动，执法部门摧毁了暗网运行时间最长的毒品市场之一，切断了世界上最危险物质的主要供应线。通过摧毁其基础设施并逮捕关键人物，我们发出了一个明确的信息：那些从伤害中获利的人没有安全避风港。”欧洲刑警组织行动副主任Jean-Philippe Lecouffe表示。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国政府警告称，在美国对伊朗核设施实施打击后，伊朗可能继续发动网络攻击。 据路透社报道，亲伊朗黑客威胁将公开据称从特朗普总统身边人手中窃取的电子邮件，美国联邦当局称此举是“精心策划的抹黑行动”。 美国网络安全和基础设施安全局（CISA）周一晚间表示，这些针对特朗普的邮件威胁“不过是数字宣传”，目的是损害特朗普及其他联邦官员的形象。 CISA发言人玛西·麦卡锡在社交媒体发文称：“敌对的外国势力威胁非法利用所谓被盗且未经核实的材料，企图转移注意力、抹黑和分裂美国。这些犯罪分子将被追查并绳之以法。” 路透社报道称，他们通过在线渠道联系了这些所谓的黑客。对方声称掌握大量邮件，包括特朗普幕僚长苏西·威尔斯、其他高级顾问以及色情演员斯托米·丹尼尔斯（特朗普因向其支付“封口费”而被定罪）的通信记录。 去年，联邦检察官指控三名伊朗人入侵特朗普总统竞选团队。黑客还针对拜登和哈里斯的民主党竞选团队发动攻击，并曾试图将所谓窃取的特朗普材料泄露给民主党人和媒体记者，但未成功。 就在CISA、FBI和国家安全局发布公开警告的同一天，出现了这一新的邮件泄露威胁。三家机构警告称，尽管伊朗与以色列达成脆弱停火，但支持德黑兰的黑客组织仍可能攻击美国利益。 当局警告，这些黑客可能试图破坏或瘫痪关键基础设施，如公用事业、交通和经济枢纽，还可能针对与以色列有关联的美国国防承包商或其他企业。 公告建议采取防御措施，包括定期更新软件和使用强密码管理系统。 在美国打击伊朗核设施后，支持德黑兰的黑客曾针对美国银行、国防承包商和能源公司发动攻击，但尚未造成大规模破坏。     消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚旗舰航空公司澳航（Qantas）正通知客户，其呼叫中心使用的第三方平台遭网络攻击，可能导致客户个人信息被窃取。 该航空公司表示，此次事件于6月30日被发现，当时黑客入侵了呼叫中心使用的第三方平台。 尽管澳航系统未被入侵且航班运营未受影响，但攻击者成功从被入侵平台窃取了数据。 “该平台存有600万客户的服务记录。我们仍在调查具体有多少数据被盗，但预计数量可能相当可观。”该公司声明称。 可能被泄露的信息包括姓名、电子邮箱、电话号码、出生日期及常旅客会员号。该平台未存储信用卡、财务或护照信息。 “常旅客账户未被入侵，密码、PIN码或登录信息也未被访问。”澳航补充道。 澳航表示已立即封锁被入侵系统，通知执法机构及相关部门，并开始向客户通报事件。公司还设立了专门的客户支持热线及网页，持续更新信息。 “我们真诚地向客户致歉，并理解此事带来的不确定性。客户信任我们保护其个人信息，我们对此高度重视。今天起我们将联系所有受影响客户，全力提供必要支持。”澳航集团首席执行官Vanessa Hudson表示。 澳航未透露攻击者信息，但此次事件发生在阿拉斯加航空集团子公司夏威夷航空披露网络攻击数日后。网络安全公司Mandiant警告称，臭名昭著的黑客组织Scattered Spider正瞄准航空及运输行业。 “尽管Scattered Spider有针对全球组织（包括澳大利亚企业）的历史，但目前尚无证据表明其已将澳大利亚航空公司纳入当前攻击目标。”Mandiant咨询首席技术官Charles Carmakal向SecurityWeek表示。 “包括我们称为UNC6040的金融动机威胁组织在内，多种黑客利用电话社交工程手段入侵企业。”Carmakal补充道。     消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文