HackerNews 编译，转载请注明出处： 加拿大西捷航空（WestJet）近期遭受网络攻击，导致部分内部系统及公司应用程序访问受限。作为加拿大第二大航空公司，西捷航空成立于1996年，主营国内及国际航线，目前拥有7000多名员工，市场资本达12亿美元。 事件发生后，西捷航空迅速启动应急响应： 系统影响：内部系统与移动端应用访问权限被限制，但航班运营安全未受直接威胁。 处置措施：成立专项内部团队，协同加拿大交通部及执法部门调查事件、控制影响范围。 数据防护：重点保护乘客及员工的敏感数据与个人信息，建议相关人员提高信息共享警惕性。 公司于2025年6月13日发布声明称：“西捷航空已意识到涉及内部系统及应用程序的网络安全事件，该事件导致部分用户访问受限。我们正加速维护运营安全，并对由此造成的服务中断深表歉意。” 截至6月14日，受影响的数字服务正逐步恢复，但事件具体细节及攻击技术特征尚未披露。 行业背景与历史安全事件 此次攻击发生在加拿大关键基础设施频遭网络威胁的背景下： 航空业风险加剧：2023年加拿大航空（Air Canada）员工信息泄露，2023年森科能源（Suncor）攻击事件波及全国加油站支付系统。 基础设施威胁升级：2025年4月新斯科舍省电力公司遭遇网络攻击，IT系统全面瘫痪。 西捷航空安全漏洞史：2022年8月因技术故障致用户信息交叉泄露，部分客户可见他人电话号码、住址及信用卡末四位；2017年会员数据遭第三方非法披露。 事件关键进展与应对 调查重点：尚未确认攻击是否由勒索软件引发，或属主动关闭系统以遏制风险扩散的预防措施。 用户建议：乘客需警惕个人信息泄露风险，避免在非必要场景提供敏感数据。 行业警示：加拿大政府近年已投入7740万加元强化网络安全，但企业级防护仍存短板，尤其中小企业更易成为攻击目标。 西捷航空表示将随调查推进及时披露进展，当前首要任务是确保运营稳定与数据安全。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国主要票务平台及在线图书零售商Yes24遭遇勒索软件攻击，导致该国娱乐产业陷入混乱——根据当地媒体报道，此次攻击迫使大量活动取消或延期，主办方正紧急应对持续的服务中断。本次攻击发生于周一（6月9日）凌晨，致使Yes24网站及服务连续四天瘫痪，在线演唱会预订、电子书访问和社区论坛功能均告中断。公司声明目标在6月15日前全面恢复运营。 韩国隐私监管机构“个人信息保护委员会”已启动调查，本次事件可能导致客户数据泄露。当局表示将审查Yes24是否履行了韩国数据隐私法规定的法律义务。 当地媒体报道称，Yes24服务中断引发连锁反应。包括朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I在内的多位韩流明星预售及粉丝活动已被推迟或取消。《廊桥遗梦》《阿拉丁》等音乐剧制作方要求观众出示纸质门票或邮件确认函入场。据报道，本周初因无法提供可验证票务信息，部分观众遭拒入场。 Yes24周三声明称已重新掌控管理员账户，正努力恢复其他服务。攻击者身份目前尚未明确。该公司表示尚未确认个人信息外泄，但已向韩国数据隐私机构报告涉及客户数据未授权访问的可疑活动。 “若后续调查证实个人信息泄露，我们将立即通知用户。”Yes24在官网公告中声明。票务平台因存储海量个人数据、处理高额支付流水，且面临避免活动中断与声誉受损的赎金支付压力，成为网络犯罪分子的高价值目标。在美国，黑客曾针对StubHub和Ticketmaster等平台发动攻击，尤其意图干扰泰勒·斯威夫特“时代巡回演唱会”门票销售。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。 企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。” TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。 虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。 按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。” 此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Bitsight近日发布警报，全球超过40,000台监控摄像头正通过互联网暴露实时画面，任何知晓其IP地址的用户均可通过网页浏览器直接访问这些设备的直播流。这些设备因采用HTTP或RTSP（实时流传输协议）运行，已成为网络攻击、间谍活动、敲诈勒索及恶意监控的意外工具。 技术原理与设备分类 HTTP摄像头 主要采用标准网络技术传输视频，常见于家庭及小型办公场所。部分设备完全暴露于公网，攻击者可直连管理界面获取视频流；另有设备虽需认证，但若通过API接口提交正确URI参数，仍能获取实时画面截图。 RTSP摄像头 专为低延迟连续视频传输设计，多用于专业安防系统。该类设备虽更难被识别，但研究人员发现其仍能响应通用URI请求并返回实时截图。 地域与行业分布 重灾区国家： 美国（超14,000台）居首，日本（约7,000台）次之；奥地利、捷克、韩国（各约2,000台）；德国、意大利、俄罗斯（各约1,000台）。 美国境内热点：加利福尼亚州、得克萨斯州设备最多，佐治亚州、纽约州、密苏里州、马萨诸塞州及佛罗里达州亦属高暴露区域。 行业风险层级： 电信业占比79%（主因家庭监控设备关联用户宽带IP） 科技行业（28.4%） 媒体/娱乐业（19.6%） 公共事业机构（11.9%） 商业服务（10.7%） 教育机构（10.6%） 潜在威胁与黑产利用 暗网论坛监测显示，黑客正积极搜寻暴露设备。这些摄像头不仅直接威胁个人隐私（如办公室、工厂、酒店等场所画面遭窥视），更可能被卷入僵尸网络，或成为渗透企业内网的攻击跳板。研究团队已发现设备覆盖餐厅、健身房、零售店等多种敏感场景。 Bitsight强调用户需立即采取以下行动： 强化网络认证：更换设备默认登录凭证，启用强密码策略 控制访问权限：关闭非必要的远程访问功能 系统持续更新：定期升级摄像头固件修补漏洞 异常行为监控：审计设备登录日志，排查可疑访问 公司警示：“无论是家庭用户还是企业管理者，采取正确防护措施将决定监控画面属于私人领域还是向全世界公开。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mount Rogers社区服务机构（心理健康服务提供商）出现在勒索团伙INC Ransom的暗网泄密网站上，攻击者宣称从其系统中窃取了大量隐私数据。勒索组织选择攻击目标时往往毫无顾忌，此次受害的Mount Rogers主要提供心理健康、发育障碍及药物滥用治疗服务。 本媒体已联系Mount Rogers机构寻求回应，将在获得回复后更新进展。网络犯罪分子常以泄露窃取数据胁迫支付赎金，为证实攻击有效性，威胁者公开了部分样本数据。经Cybernews研究团队核验，泄露样本包含以下内容： 姓名、住址 薪资单、发票单据 个人邮箱、内部通讯及保密协议 研究人员指出，尽管数据敏感性有限，但攻击者可利用这些信息实施网络钓鱼或身份盗窃。薪资单和内部文件可能被用于社会工程攻击，进一步渗透企业系统，此次泄露或将严重损害机构声誉并引发法律风险。 心理健康服务机构近期频遭针对性攻击： 行为健康中心Community Counseling of Bristol County（CCBC）此前遭入侵导致敏感健康信息泄露 本月初佐治亚州心理卫生协会（MHA）被攻破，患者诊断记录及处方药物信息遭窃 INC Ransom是当前最活跃的勒索组织之一： 2023年7月首次现身，攻击目标持续升级 受害者涵盖美国国防承包商Stark AeroSpace、旧金山芭蕾舞团、英国莱斯特市政府、苏格兰邓弗里斯-加洛韦卫生委员会及施乐公司 据Cybernews暗网监测工具Ransomlooker统计，过去12个月累计攻击163家机构       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，近期出现针对Apache Tomcat Manager接口的“协同暴力破解活动”。 该公司指出，2025年6月5日观察到暴力破解和登录尝试激增，表明这可能是“大规模识别和访问暴露Tomcat服务”的有组织行动。当日共发现295个独立IP地址参与针对Tomcat Manager的暴力破解尝试，均被归类为恶意地址。过去24小时内记录到188个独立IP，主要位于美国、英国、德国、荷兰和新加坡。 同期还监测到298个独立IP对Tomcat Manager实例发起登录尝试。过去24小时标记的246个IP地址均属恶意，来源地相同。攻击目标同期覆盖美国、英国、西班牙、德国、印度和巴西。GreyNoise强调大部分活动源自DigitalOcean（ASN 14061）托管的基础设施。 “尽管未关联特定漏洞，此行为表明暴露的Tomcat服务持续受到关注”，该公司补充道，“此类广泛的投机活动通常是未来攻击的前兆。” 建议暴露Tomcat Manager接口的组织实施强认证和访问限制，并监控可疑活动迹象。 此披露之际，Bitsight公司发现互联网上暴露超4万台监控摄像头，可能允许任何人通过HTTP或实时流协议（RTSP）访问实时视频。暴露设备集中在美国、日本、奥地利、捷克和韩国。电信行业占暴露摄像头的79%，其次是科技（6%）、媒体（4.1%）、公用事业（2.5%）、教育（2.2%）、商业服务（2.2%）和政府（1.2%）。这些设备分布在住宅、办公室、公共交通系统和工厂等场所，无意中泄露敏感信息，可能被用于间谍活动、跟踪和勒索。 建议用户修改默认账户密码，非必要则禁用远程访问（或通过防火墙和VPN限制访问），并保持固件更新。“这些用于安保或便利的摄像头，无意间成为敏感空间的公开窗口，且所有者往往毫不知情”，安全研究员João Cruz在报告中表示，“无论安装目的为何，设备即插即用的简易性正是威胁持续存在的主因。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。 “该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。” 攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。 根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。 卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。 压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。 “该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。 这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。 该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。 卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。” 与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。 该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。 “DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大上市食品批发商联合天然食品公司（UNFI）近日遭遇网络攻击，被迫关闭部分系统。这家总部位于罗德岛的企业运营着53座配送中心，为遍布美加的3万余家商超连锁、电商平台、天然产品卖场及餐饮服务商供应生鲜冻品。作为亚马逊全食超市的主要供应商，UNFI在2024年8月财报中披露年营收达310亿美元，合作供应商超1.1万家，雇员总数逾2.8万人。 公司在提交美国证监会的8-K公告及官网声明中证实，6月5日（周四）发现的网络攻击迫使部分系统下线，导致客户订单履行受阻。UNFI表示：“事件已并预计将持续造成业务运营临时中断。”企业已启动事件响应预案，主动隔离受影响系统，同时通报执法部门并聘请外部网络安全专家介入调查。目前正通过变通方案维持基础服务，全力恢复系统安全运行。 社交媒体自6月5日起涌现大量员工爆料，称系统瘫痪导致轮班取消。UNFI尚未披露攻击性质及是否发生数据泄露，也未有任何勒索组织宣称负责。公司发言人伊内斯·德米兰达向媒体强调：“评估未授权活动期间，客户、供应商与员工权益是最高优先级。”按原计划，UNFI将于6月11日（周二）发布2025财年第三季度财报。 此次事件延续了食品行业频遭网络威胁的趋势：今年3月沃尔玛旗下山姆会员店疑遭Clop勒索组织入侵；2021年全球最大牛肉生产商JBS食品遭REvil勒索攻击，被迫关停全球多地工厂并支付1100万美元赎金。过去数月，Scattered Spider威胁组织与DragonForce勒索软件持续袭击英国零售业（含哈罗德百货、Co-op超市、玛莎百货），近期攻击矛头已转向美国企业。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文