HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一场新的鱼叉式钓鱼攻击活动正在利用名为 Netbird 的合法远程访问工具，针对欧洲、非洲、加拿大、中东和南亚地区的银行、能源公司、保险公司和投资公司的首席财务官（CFO）和财务高管。 “这似乎是一场多阶段的钓鱼行动，攻击者的目标是在受害者的计算机上部署 NetBird，一种基于 WireGuard 的合法远程访问工具，” Trellix 研究员 Srini Seethapathy 在一份分析报告中表示。该活动由该网络安全公司于 2025 年 5 月中旬首次发现，尚未归因于任何已知的威胁行为者或组织。 攻击的起点是一封冒充 Rothschild & Co 公司招聘人员的钓鱼邮件，声称提供该公司的“战略机会”。该邮件旨在诱使收件人打开一个声称是 PDF 附件的内容，实际上这是一个钓鱼链接，会将他们重定向到一个托管在 Firebase 应用上的 URL。 此次感染的一个显著特点是，真正的重定向 URL 以加密形式存储在页面中，只有在受害者通过验证码（CAPTCHA）验证检查后才能访问，最终导致下载一个 ZIP 压缩包。 “解决验证码谜题会执行一个 [JavaScript] 函数，该函数使用硬编码密钥对其进行解密，并将用户重定向到解密后的链接，” Seethapathy 说。“攻击者越来越依赖这些自定义的验证码关卡，希望能绕过那些已经标记了受 Cloudflare Turnstile 或 Google reCAPTCHA 保护的钓鱼网站的防御系统。” 压缩包中包含一个 Visual Basic 脚本（VBScript），负责从外部服务器检索下一阶段的 VBScript 并通过 “wscript.exe” 启动它。这个第二阶段的 VBScript 下载器随后从同一服务器获取另一个有效载荷，将其重命名为 “trm.zip”，并从中提取两个 MSI 文件：NetBird 和 OpenSSH。 最后阶段涉及在受感染主机上安装这两个程序、创建一个隐藏的本地账户、启用远程桌面访问，并通过计划任务（例如在系统重启时自动启动）使 NetBird 持久化。该恶意软件还会删除任何 NetBird 桌面快捷方式，以确保受害者无法发现入侵。 Trellix 表示，他们还识别出另一个活跃了近一年的重定向 URL，提供相同的 VBScript 有效载荷，表明该活动可能已存在一段时间。 这些发现再次表明，对手越来越依赖合法的远程访问应用程序（如 ConnectWise ScreenConnect、Atera、Splashtop、FleetDeck 和 LogMeIn Resolve）来建立持久性，并利用其深入受害者网络，同时规避检测。 “这次攻击并非典型的钓鱼骗局，” Seethapathy 说。“它精心设计、目标明确、手法隐蔽，旨在绕过技术和人员的防御。这是一个多阶段的攻击，对手利用社会工程学和防御规避技术来创建并维持对受害者系统的持久访问。” 该披露恰逢在野发现各种基于电子邮件的社交工程活动： 滥用与知名日本互联网服务提供商 (ISP) 关联的可信域名发送钓鱼邮件，邮件地址为 “company@nifty[.]com”，试图绕过电子邮件身份验证检查并窃取凭证。 滥用 Google Apps Script 开发平台托管看似合法的钓鱼页面，通过发票主题的邮件诱饵窃取 Microsoft 登录凭证。 模仿 Apple Pay 发票窃取敏感用户数据，包括信用卡详情和 Yahoo Mail 账户信息。 滥用 Notion 工作区托管钓鱼页面，诱使用户点击链接，在查看共享文档的幌子下将受害者带到虚假的 Microsoft 登录页面，并通过 Telegram 机器人窃取凭证。 利用 Microsoft Office 中一个存在多年的安全漏洞 (CVE-2017-11882) 来投递隐藏在虚假 PNG 文件中的 Formbook 恶意软件变种，并从受感染主机窃取敏感数据。 这些发现也出现在 Trustwave 详细说明 Tycoon 和 DadSec（又名 Phoenix）钓鱼工具包之间运营联系之际，强调了它们的基础设施重叠以及集中式钓鱼基础设施的使用。DadSec 是由 Microsoft 以代号 Storm-1575 追踪的威胁行为者的作品。 “DadSec 使用的基础设施也与一个利用 ‘Tycoon 2FA’ 钓鱼即服务 (PhaaS) 平台的新活动相关联，” Trustwave 研究人员 Cris Tomboc 和 King Orande 说。“对 Tycoon2FA 钓鱼工具包的调查揭示了对手如何在钓鱼即服务 (PhaaS) 生态系统中持续完善和扩展其策略。” PhaaS 服务日益普及的证据是，出现了一个名为 Haozi 的新“即插即用”中文工具包。据估计，该工具包在过去五个月中通过向第三方服务销售广告，促成了价值超过 28 万美元的犯罪交易。它以每年 2000 美元的订阅费运营。 “与需要攻击者手动配置脚本或基础设施的传统钓鱼工具包不同，Haozi 提供了一个简洁的公共网络面板，” Netcraft 说。“一旦攻击者购买服务器并将其凭据输入面板，钓鱼软件就会自动设置，无需运行任何命令。” “这种无摩擦的设置与其他 PhaaS 工具（如支持 AI 的 Darcula 套件）形成对比，后者仍需少量命令行操作。” 除了支持管理员面板（用户可以在一个地方管理所有活动）外，Haozi 还被发现提供广告位，充当中间人连接钓鱼工具包买家与第三方服务（例如与短信供应商相关的服务）。 Haozi 区别于其他工具包的另一个方面是，它有一个专门的售后 Telegram 频道 (@yuanbaoaichiyu)，帮助客户调试问题和优化活动，这使其成为那些没有技术专长的网络犯罪新手的诱人选择。 “随着企业安全团队在检测和应对入侵尝试方面变得更加有效，攻击者正在部署社会工程学和钓鱼诈骗等策略，这些策略不需要突破加固的边界，” Netcraft 研究员 Harry Everett 说。 “PhaaS 产品通过自动化和社区支持降低了技能门槛并扩大了活动规模。这些新模式运作起来更像是 SaaS 企业而非黑市黑客组织，拥有订阅定价、客户服务和产品更新等全套服务。” Microsoft 在上周发布的一份公告中进一步揭示了随着多因素身份验证 (MFA) 的普及，PhaaS 平台如何日益推动中间人攻击 (AiTM) 凭证钓鱼。 其他一些技术包括设备代码钓鱼；OAuth 同意钓鱼（威胁行为者利用开放授权 (OAuth) 协议发送包含第三方应用程序恶意同意链接的电子邮件）；设备加入钓鱼（威胁行为者使用钓鱼链接诱骗目标授权其控制的设备加入域）。 这家 Windows 制造商表示，观察到疑似与俄罗斯有关的威胁行为者使用第三方应用程序消息或提及即将举行的会议邀请的电子邮件来投递包含有效授权码的恶意链接。设备加入钓鱼技术由 Volexity 在 2025 年 4 月首次记录。 “虽然最终用户和自动化安全措施在识别恶意钓鱼附件和链接方面都变得更有能力，但动机明确的威胁行为者继续依赖利用人类行为进行有说服力的诱骗，” Microsoft 身份部门企业副总裁兼副首席信息安全官 Igor Sakhnov 表示，“由于这些攻击依赖于欺骗用户，用户培训和了解常见的社会工程学技术是防御它们的关键。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化金融平台Cork Protocol周三凌晨遭黑客攻击，价值超1200万美元的加密货币被盗。联合创始人菲尔·福格尔宣布平台已暂停所有交易活动。 公司声明证实：“UTC时间11:23 wstETH:weETH交易市场遭受安全攻击。作为预防措施，其他所有交易市场均已暂停，目前仅该市场受影响。”尽管未回应具体攻击细节，但多家区块链安全公司追踪数据显示，黑客盗取4530枚以太坊（时值约1210万美元）。 这家特拉华州注册的平台专注于DeFi领域“脱锚风险”对冲交易（指锚定资产的加密货币因市场波动或流动性危机偏离设定价值，如2023年硅谷银行倒闭引发的稳定币危机）。其产品定位为“填补DeFi领域信用违约互换等传统金融工具的空白”，去年曾获安德森·霍洛维茨基金投资并参与其加密创业加速计划。 此次攻击距去中心化交易所Cetus遭窃2.23亿美元仅隔五日。更早前Bybit平台今年初损失超14亿美元。安全机构PeckShield统计显示，2024年加密货币平台累计损失逾30亿美元，较2023年增长15%。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数据分析巨头LexisNexis旗下部门遭遇数据泄露，逾36万人信息遭窃。公司周三声明称，其风险管理子公司LexisNexis Risk Solutions（LNRS）于4月1日接获匿名第三方通报，对方宣称已获取公司数据。 作为美国顶级数据经纪商之一，LNRS主要为商业客户提供风控服务。公司发言人表示：“安全团队立即联合鉴证公司展开调查，确认存储在GitHub开发平台的软件制品及个人信息被非法获取。涉及信息包括姓名、联系方式（电话/地址/邮箱）、社会安全号、驾照号及出生日期。”发言人强调核心系统及产品未受影响，监管文件显示超36.4万人受波及。 此次泄露事件引发连锁反应——过去三年LNRS因向美国海关边境保护局及汽车厂商提供数据服务频遭质疑，更因收集兜售驾驶行为、生殖健康乃至儿童敏感信息在多州面临诉讼。缅因州、南卡罗来纳州及佛蒙特州的泄露通知文件显示，实际泄密发生于去年圣诞节期间，公司直至今年4月1日才获知。尽管通知未提及GitHub，但明确数据源自“第三方软件开发平台”。 目前尚无黑客组织宣称负责。LNRS在通知中称“无证据表明数据遭进一步滥用”，已向执法部门报案并启动网络安全调查，将为受影响用户提供两年身份保护服务。这家总部位于佐治亚州的企业在亚欧多国设有分支机构，其英国母公司RELX去年营收超120亿美元（约合870亿人民币）。 此次事件加剧了LNRS的信任危机。去年新泽西州超1.8万名执法人员集体诉讼指控：当他们要求LexisNexis风险管理公司保护隐私数据后，竟遭该数据经纪商恶意冻结信用并虚假标注为身份盗用受害者。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名女性时尚品牌维多利亚的秘密（Victoria’s Secret）近日遭遇网络安全事件，目前正全力恢复运营。该公司虽未回应置评请求，但其官网victoriassecret.com已发布公告称“发现安全事件并正在采取措施处理”，同时强调“立即启动应急预案，聘请第三方专家介入，并预防性关闭官网及部分门店服务系统”。 网络安全专家证实该公告页面已持续显示至少三天。企业官网同步发布的声明补充说明技术团队正“全天候抢修以全面恢复运营”。作为全球拥有1380家门店、约3万名员工的头部内衣零售商，维密2024年净销售额达62亿美元（约合450亿人民币），此次停摆对其线上业务造成显著冲击。 这是近月来时尚行业系列网络安全事件的最新案例。此前阿迪达斯、迪奥、蒂芙尼等品牌相继披露客户及员工数据泄露事件。美国联邦调查局（FBI）已就此向零售企业发布安全预警——知名黑客组织Scattered Spider近期将攻击目标从英国转向美国市场。 该组织此前针对英国玛莎百货、Co-op超市及哈罗德百货的勒索软件攻击造成严重损失。谷歌威胁情报部门首席分析师约翰·霍特奎斯特指出：“有证据表明UNC3944组织（即Scattered Spider）正针对美国零售业发起勒索攻击，该组织以攻击手段激进、善于突破成熟防御体系著称。”该团伙擅长社会工程学攻击及利用第三方漏洞渗透目标系统，曾制造米高梅度假村、凯撒娱乐集团等重大网络安全事件。 网络安全界普遍认为Scattered Spider系犯罪集团“the Com”的分支，该集团涉嫌攻击Coinbase、拳头游戏及Reddit等企业。过去三年欧美执法部门已逮捕该组织多名成员，但其网络犯罪活动仍在持续升级。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大医疗合作社Unimed因暴露的Kafka实例导致数百万条医患对话泄露，内含患者上传的图片、文档等敏感信息。医疗数据作为个人最私密的资产之一，却始终难以幸免于数据泄露风险。 网络安全研究团队发现，巴西医疗巨头Unimed一处未受保护的Kafka实例暴露在公网。这家服务约1500万用户的行业领军企业，其聊天机器人“Sara”及真实医患间的对话通过该开源实时数据传输平台持续外泄。研究人员成功拦截逾14万条聊天记录，而实例日志显示至少1400万条信息曾以不安全方式传输。 “此次泄露的医疗机密信息极其敏感，”研究人员警告，“攻击者可能利用这些数据实施歧视及针对性仇恨犯罪，更常见的手段包括身份盗用、医保诈骗、金融欺诈和钓鱼攻击。”泄露详情涵盖： 患者上传的图片及文档 文字聊天内容 患者姓名、电话号码及邮箱 Unimed医疗卡号 医疗数据在黑市备受追捧，因其可被用于多重犯罪：除身份盗用和保险欺诈外，健康记录还能成为敲诈勒索或冒充患者的工具。更严峻的是，研究人员指出攻击者理论上可拦截、篡改甚至删除特定用户的通信内容，其潜在危害难以估量。 Unimed在接到通报后已关闭暴露实例。为防范类似事件，研究团队建议： 严格限制Kafka实例访问权限，仅允许授权消费者与生产者连接 启用IP白名单机制 激活平台内置的认证授权功能       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰网络安全公司EclecticIQ披露，针对移动设备管理软件Ivanti Endpoint Manager Mobile（EPMM）漏洞的大规模恶意攻击活动已波及英国两家医疗机构。 此次攻击利用编号为CVE-2025-4427和CVE-2025-4428的两个漏洞进行组合利用，攻击者首先通过身份验证绕过漏洞（CVSS评分5.3）突破防线，随后利用远程代码执行漏洞（CVSS评分7.2）接管系统。 全球范围内包括英国、美国、德国、韩国等国家的多个组织遭受冲击，英国国家医疗服务体系（NHS）下属的伦敦大学学院医院NHS信托基金会和南安普顿大学医院NHS信托基金会成为重点目标。 根据Sky News获取的证据，攻击者已成功侵入这两家医疗机构的IT系统。EclecticIQ首席执行官Cody Barrow指出，此类攻击可能导致患者敏感数据外泄，包括员工电话号码、设备IMEI码及身份认证令牌等技术信息。不过NHS England向Infosecurity杂志表示，当前尚未发现患者数据遭窃取的直接证据，医疗业务仍正常运转。NHS网络运营中心正与英国国家网络安全中心（NCSC）密切协作，通过24小时监控体系和高危预警机制优先处置关键漏洞。 此次被利用的漏洞最早于5月13日由欧盟计算机应急响应小组（CERT-EU）向Ivanti报告，厂商在当天发布安全公告并推出修复补丁。网络安全公司WatchTowr于5月15日公开技术分析报告及漏洞利用验证代码后，推测可能涉及国家级支持的黑客活动。 针对医疗行业频发的供应链安全风险，Bridewell公司网络安全副总监Emran Ali强调，医疗机构作为患者数据的核心保管者，必须构建覆盖供应商管理、技术控制、事件响应的立体防御体系。Netskope威胁实验室最新报告显示，81%的医疗数据违规事件涉及受GDPR等法规保护的敏感信息，突显第三方软件漏洞带来的连锁风险。近期NHS要求技术供应商签署公开安全承诺书的举措，标志着医疗行业正推动建立更严格的技术供应链问责机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国运动服饰巨头阿迪达斯披露，攻击者入侵某客户服务提供商后窃取部分客户数据。该公司于5月24日（周五）声明称：“阿迪达斯近期发现未经授权的外部方通过第三方客户服务提供商获取了部分消费者数据。我们立即采取措施控制事件影响，并联合顶尖信息安全专家启动全面调查。” 阿迪达斯补充称失窃信息不包含受影响客户的支付信息或密码，因攻击者仅获取联系方式。公司已就此事通报相关监管机构，并将按法律要求通知受影响的个人。 “阿迪达斯正依照适用法律向可能受影响的消费者、数据保护机构及执法部门发出通知，”声明强调，“我们始终致力于保护消费者隐私与安全，对此次事件造成的不便深表歉意。” 目前阿迪达斯尚未披露事件细节，包括受影响服务商名称、入侵发现时间、受影响人数以及公司自有网络是否遭渗透。当BleepingComputer联系阿迪达斯询问事件进展时，发言人表示“暂无最新消息，周五声明仍然有效”。 本月早些时候，阿迪达斯曾披露影响土耳其与韩国客户的数据泄露事件，涉及2024年及此前联系过客服中心的消费者。失窃信息包括姓名、电子邮箱、电话号码、出生日期与地址。2018年6月，阿迪达斯美国官网遭入侵，导致数百万购物者的联系信息、用户名及加密密码外泄。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 此前曝光的Bumblebee恶意软件SEO投毒攻击活动已扩大攻击面，除此前发现的VMware管理工具RVTools官网仿冒事件外，攻击者正通过更多仿冒知名开源项目的域名实施渗透。安全研究人员发现两起新案例——攻击者分别仿冒网络扫描工具Zenmap（Nmap的图形界面）和网络诊断工具WinMTR的官方网站，这些工具因需要管理员权限运行，成为突破企业网络防御的理想切入点。 仿冒域名zenmap[.]pro和winmtr[.]org被用于传播恶意负载。前者在直接访问时显示与Zenmap相关的AI生成博客内容作为伪装，但当用户通过谷歌、必应等搜索引擎跳转至该域名时，会呈现高度仿真的nmap工具下载页面，提供携带Bumblebee的安装程序“zenmap-7.97.msi”。后者域名当前虽已下线，但攻击链模式如出一辙。 恶意MSI安装包在部署合法软件功能的同时，会植入恶意DLL文件。这种“白加黑”技术与此前RVTools供应链攻击手法完全一致，通过合法程序掩护Bumblebee加载器的运行。该加载器可进行受害者设备指纹采集，并为后续投放勒索软件、信息窃取程序等恶意载荷建立通道。 攻击版图持续扩张，安全团队还发现该活动针对安防领域：仿冒韩华Techwin监控管理软件WisenetViewer，以及视频管理系统Milestone XProtect的官方网站milestonesys[.]org。值得注意的是，正版RVTools下载站点Robware.net和RVTools.com仍处于离线状态，页面仅显示“勿从非官方渠道下载”的警示——这与攻击者通过DDoS攻击瘫痪官网、迫使用户转向恶意站点的策略形成呼应。戴尔科技集团明确否认官方渠道分发过带毒版本，并将官网下线归因于遭受DDoS攻击。 病毒检测数据显示，这些恶意安装包在VirusTotal上的检出率极低：Zenmap相关样本71个引擎中仅33个报毒，WinMTR样本71个引擎中仅28个识别威胁。安全专家建议用户务必通过软件官网或可信包管理器获取工具，安装前需校验文件哈希值与官方发布版本的一致性。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化加密货币交易所Cetus周四凌晨遭攻击，损失金额达2.23亿美元。该公司最初在社交媒体向用户通报称因安全原因暂停平台运营，经调查后确认攻击者已窃取资金。平台声明表示：“我们立即采取行动锁定智能合约防止进一步资金流失”，并称已成功“冻结”1.62亿美元被盗资产。 基于Sui区块链运营的Cetus未就“冻结”的具体技术含义作出回应，但透露正与Sui基金会等机构合作追回剩余资金，承诺后续发布完整事件报告。区块链安全专家分析链上数据发现，约5000万美元被盗资金已转入新钱包地址。 关于攻击根源存在显著争议：部分人士援引Cetus官方Discord频道的消息，认为黑客利用协议漏洞实施窃取；彭博社援引专家观点称攻击可能涉及代币价格操纵。Cetus曾在四月披露平台累计处理交易量达500亿美元。 此次事件发生距朝鲜黑客组织攻击Bybit交易所致14亿美元损失仅三个月。2025年加密货币领域安全事件频发，Coinbase上周披露因内部员工泄密导致近7万名用户遭钓鱼攻击。区块链研究机构Chainalysis数据显示，2024年加密货币平台被盗金额超20亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对macOS用户的伪造Ledger应用攻击活动持续升级，攻击者通过恶意软件窃取加密货币钱包助记词。Moonlock Lab追踪数据显示，此类攻击自2024年8月起已从单纯窃取密码升级为直接劫持数字资产。以下是攻击技术演进与防护建议： 恶意软件技术演变 Odyssey新型窃取程序：2025年3月发现的Odyssey恶意程序会替换受害者设备的合法Ledger Live应用，通过伪造”严重错误”弹窗诱导用户输入24词助记词。该程序可窃取macOS账户信息，并将钓鱼页面数据发送至攻击者的命令与控制服务器。 AMOS窃取器模仿攻击：地下论坛迅速出现模仿攻击，AMOS窃取器通过名为JandiInstaller.dmg的文件绕过Gatekeeper防护，安装篡改版Ledger Live。用户在输入助记词后会收到”应用损坏”虚假提示，攻击者利用时间差转移资产。 混合攻击模式扩展：Jamf公司发现新型攻击使用PyInstaller打包的二进制文件，在伪造的Ledger Live界面内嵌iframe加载钓鱼页面。此类混合攻击同时窃取浏览器数据、热钱包配置及系统信息，形成多维数据窃取链。 新兴威胁态势 暗网用户@mentalpositive近期宣传“反Ledger”攻击模块，虽暂未发现有效样本，但预示更复杂攻击工具可能出现。 攻击基础设施溯源发现关联政府实体的IP地址，该地址自2024年7月起托管多个macOS恶意文件。 企业级防护建议 应用来源管控：仅从Ledger官网下载应用，验证数字签名与哈希值。警惕第三方平台或弹窗推送的“紧急更新”。 助记词操作规范：助记词仅用于硬件钱包初始化/恢复场景，且必须通过物理设备输入。任何要求在网络界面输入助记词的行为均为钓鱼攻击。 系统防护强化：启用macOS完整磁盘访问控制，定期审计具有CreateChild权限的账户。部署EDR解决方案监控异常进程创建行为。 安全意识培训：重点识别钓鱼页面特征：非常规域名（如ledger-recovery.info）、紧迫性话术诱导、非官方通讯渠道通知。 技术监测手段：监控事件日志ID 5136（对象属性修改）、5137（服务主体创建）、2946（Kerberos认证请求），配置SIEM规则实时告警。 此次攻击活动揭示硬件钱包生态面临的新挑战：即使采用冷存储方案，配套软件的安全漏洞仍可能成为突破口。Moonlock Lab强调，攻击者正利用macOS用户对系统安全性的过度信任心理，结合社会工程学构建复合攻击链。随着加密货币持有者规模扩大，此类针对性攻击预计将持续增长。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文