HackerNews 编译，转载请注明出处： 美国第二大私营医疗集团Ascension披露，因前合作伙伴系统遭入侵，超43.7万名患者的个人健康信息遭泄露。此次事件源于2024年12月的数据泄露，系第三方文件传输软件漏洞被Clop勒索软件组织利用所致。 根据4月28日提交至美国卫生与公众服务部（HHS）的备案文件，泄露数据涵盖患者姓名、联系方式、社保号码及就诊记录等敏感信息，具体字段因个案而异。得克萨斯州有114,692人、马萨诸塞州96名居民确认受影响。 Ascension在致患者的通知信中解释，2024年12月5日发现潜在安全事件后启动调查，至2025年1月21日确认：前商业合作伙伴因使用的第三方软件存在漏洞遭入侵，导致Ascension患者数据被窃。尽管未透露技术细节，安全专家推测与Clop团伙利用Cleo文件传输系统漏洞的勒索攻击有关。 目前，Ascension通过第三方机构Kroll为受影响患者提供为期两年的免费身份监控服务，包括信用监测、欺诈协助及身份恢复支持。这是该机构一年内遭遇的第二起重大网络安全事件——2024年5月，Black Basta勒索软件攻击曾导致其全美多家医院运营瘫痪。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非国有航空公司南非航空(SAA)于周二发布声明称，其于上周六遭遇网络攻击，导致官方网站和多个内部运营系统暂时中断。 此次攻击还影响了移动应用程序，但该公司表示IT团队已控制事态，并“将核心航班运营的干扰降至最低”。 在周二发布的声明中，南非航空强调：“我们确保了客户服务中心、销售办公室等关键客服渠道的持续运行，所有受影响平台已于当天恢复正常功能”。 该公司未回应此次事件是否涉及勒索软件的质询。 首席执行官约翰·拉莫拉表示，公司正在调查事件根本原因，并核查敏感信息是否外泄。作为预防措施，该事件已向国家安全局、南非警察局及信息监管机构报告。 南非航空承诺，若确认存在信息被盗将通知受影响人员。南非航空公司去年营收超3亿美元、运营16条航线。截至周三下午尚无黑客组织宣称负责。 此次攻击是南非关键机构持续遭受网络犯罪冲击的最新案例。2023年，勒索团伙曾泄露总统个人联系方式，并窃取国防部1.6TB数据。 此后，国有银行、能源巨头、政府雇员养老基金及国家实验室接连遇袭。仅2025年前四个月，政府气象服务部门、最大鸡肉生产商和主要电信公司已相继沦陷。 上周，非洲最大电信运营商MTN集团也确认遭遇数据泄露。 面对愈演愈烈的网络威胁，南非政府于今年4月出台新规，强制要求所有机构向信息监管机构报告网络攻击，以加强个人信息安全事件的监控。 这项立法恰逢南非航空等国有企业正从长期财务危机中复苏的关键时期——该航司2024年才实现13年来首次盈利，此前累计接受政府注资约137亿元人民币。        消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大音频传媒集团iHeartMedia披露，其旗下多家广播电台于去年12月遭遇网络入侵，导致员工社会安全号码、财务账户信息等敏感数据外泄。尽管该公司已向缅因州、马萨诸塞州与加利福尼亚州提交数据泄露报告，但拒绝向《记录未来新闻》透露受影响人数及遭攻击电台数量。 iHeartMedia发言人称：“我们在少数地方电台的部分系统中发现异常活动后，立即采取措施阻断入侵，启动事件响应流程，并聘请第三方网络安全公司协助调查。同时已向执法部门通报。”泄露通知文件显示，攻击者于12月24日至27日侵入公司系统，访问并窃取存储于地方电台的敏感文件。 经持续至今年4月11日的调查确认，外泄数据包括： 社会安全号码 税号 驾照/护照号码 金融账户信息 健康保险资料 支付卡号 受影响员工将获赠一年期身份保护服务，并可通过专设电话热线咨询。值得注意的是，在提交给缅因州的报告中，iHeartMedia刻意隐去了受害者总数统计项。目前尚无黑客组织宣称对此事件负责。 作为美国音频行业巨头，iHeartMedia运营着870余个广播电台，月均触达2.5亿听众，2023年营收达38亿美元。此次事件发生一周前，另一传媒集团Urban One也披露了2月遭遇勒索攻击导致的员工数据泄露，但同样未公布具体影响规模。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司FortiGuard事件响应团队（FGIR）在一份报告中披露，某伊朗国家支持的黑客组织对中东地区一家关键国家基础设施（CNI）实施了持续近两年的网络入侵。此次攻击活动从2023年5月持续至2025年2月，涉及“大规模间谍行动及疑似网络预置行为（一种用于维持长期访问以获取未来战略优势的战术）”。Fortinet指出，该攻击的技术特征与已知伊朗国家级威胁组织Lemon Sandstorm（原Rubidium，亦追踪为Parisite、Pioneer Kitten、UNC757）存在重叠。 该组织自2017年起活跃，攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。工业网络安全公司Dragos分析称，该组织曾利用Fortinet、Pulse Secure和Palo Alto Networks的VPN已知漏洞获取初始访问权限。2023年，美国网络安全与情报机构指控Lemon Sandstorm对美国、以色列、阿塞拜疆和阿联酋的实体部署勒索软件。 此次针对CNI实体的攻击分为四个阶段，攻击者根据受害方的防御措施持续升级工具链： 2023年5月15日至2024年4月29日，攻击者利用窃取的登录凭证入侵受害者SSL VPN系统，在对外服务器部署Web Shell，并植入Havoc、HanifNet、HXLibrary三款后门程序维持长期访问； 2024年4月30日至2024年11月22日，攻击者追加部署Web Shell及新型后门NeoExpressRAT，使用plink、Ngrok等工具渗透内网，定向窃取受害者邮件数据并进行横向移动至虚拟化基础设施； 2024年11月23日至2024年12月13日，在受害者启动初步封堵措施后，攻击者部署更多Web Shell及后门MeshCentral Agent、SystemBC； 2024年12月14日至今，攻击者尝试利用Biotime漏洞（CVE-2023-38950、CVE-2023-38951、CVE-2023-38952）重新渗透网络，并对11名员工发起钓鱼攻击以窃取Microsoft 365凭证 值得注意的是，Havoc和MeshCentral都是开源工具，分别作为命令和控制（C2）框架和远程监控和管理（RMM）软件。另一方面，SystemBC指的是一种商品恶意软件，通常是勒索软件部署的前兆。 下面简要介绍了攻击中使用的其他自定义恶意软件家族和开源工具： Havoc：开源C2框架 MeshCentral：开源远程监控管理（RMM）软件 SystemBC：常用于勒索攻击前期的商品化恶意软件 HanifNet：未签名的.NET可执行文件，支持远程命令执行（2023年8月首次出现） HXLibrary：恶意IIS模块，通过Google Docs文档获取C2配置（2023年10月部署） CredInterceptor：基于DLL的凭证窃取工具，针对LSASS进程内存（2023年11月使用） RemoteInjector：载荷加载器，用于启动Havoc等后续攻击模块（2024年4月投入） NeoExpressRAT：疑似通过Discord通信的后门程序（2024年8月出现） DarkLoadLibrary：开源加载器，用于激活SystemBC（2024年12月部署） 攻击者使用的C2服务器（apps.gist.githubapp[.]net、gupdate[.]net）与Lemon Sandstorm历史活动存在关联。Fortinet指出，受害者受限的运营技术（OT）网络是主要攻击目标，攻击者通过链式代理工具和定制化植入程序绕过网络分段限制进行横向移动，后期甚至串联四种不同代理工具访问内部网段。尽管攻击者渗透了OT相邻系统所在的网络分区，但尚未发现其侵入OT网络的证据。 分析显示，大部分恶意活动为人工键盘操作（依据命令错误及规律工作时间判断），且攻击者可能早在2021年5月15日已获得网络访问权限。Fortinet强调：“攻击者在整个入侵过程中展现出极高的战术素养，通过定制化工具链维持持久性并规避检测，其操作纪律性暗示该组织可能具有国家背景或掌握充足资源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的家居建材零售商Epicentr表示，其遭受的大规模网络攻击导致全国数十家门店运营中断，关键IT系统（包括收银机和物流服务）瘫痪。 本周一，乌克兰各地Epicentr门店的顾客因结账系统宕机无法购物，许多人反映无法接收订单、访问公司应用和网站。这家运营70多个购物中心（总面积超220万平方米）的零售商周二声明证实遭受定向攻击：“恶意行为者的蓄意攻击对公司基础设施造成严重后果。” 该公司未将事件归因于任何特定组织，也未明确黑客如何入侵系统或其最终目标，同时未确认攻击是否涉及勒索软件。截至周二下午，多数门店已恢复运营，但部分系统仍存在故障。Epicentr承认会计系统持续存在问题，关键财务记录和注册信息丢失，导致目前无法生成法定财务与税务报告。 Epicentr警告商品配送（尤其在线订单）可能出现延迟，顾客在其购物中心可能遭遇包裹追踪与自提服务问题。该公司雇佣29,000名员工，是乌克兰最大私营企业之一。 这是近月乌克兰企业遭遇的第三起重大网络攻击：2025年1月，该国农业巨头MHP报告“史上最严重”网络事件（未指明责任方）；3月，疑似俄罗斯黑客攻击国有铁路公司Ukrzaliznytsia，致使其在线售票服务中断。 除网络攻击外，Ukrzaliznytsia和Epicentr还屡遭俄罗斯导弹袭击。自全面入侵开始以来，Epicentr已损失10个购物中心（总面积超177,500平方米）。 乌克兰在持续战争背景下面临网络攻击浪潮：2024年，最大电信运营商Kyivstar遭毁灭性攻击致服务中断数日；近期乌当局报告国家登记系统遭攻击，涉及含生物识别、税务及房产数据的敏感数据库；2025年1月，某数据中心遭入侵，影响多家大型国企、国家邮政局及能源公司。 大型零售商全球范围内成恶意黑客首要目标。英国玛莎百货（Marks & Spencer）已应对网络攻击约一周。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售巨头玛莎百货（Marks & Spencer）持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉，此次攻击被认为是由名为Scattered Spider的黑客组织实施的。 玛莎百货（M&S）是一家英国跨国零售商，拥有64,000名员工，在全球超过1,400家门店销售服装、食品和家居用品等各类商品。 上周二，M&S确认其遭受网络攻击，导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日，Sky News报道称中断仍在持续，约200名仓库员工被要求居家待命，公司正在应对此次攻击。 BleepingComputer现已获悉，持续中断是由加密公司服务器的勒索软件攻击导致。据悉，威胁行为者最早在2月首次入侵M&S，当时他们窃取了Windows域的NTDS.dit文件。 NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库，包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。 利用这些凭证，威胁行为者可在Windows域内横向移动，同时从网络设备和服务器窃取数据。 消息人士告诉BleepingComputer，攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。 BleepingComputer了解到，玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。 目前的调查表明，此次攻击的幕后黑手是被称为Scattered Spider的组织（微软称其为Octo Tempest）。当被问及此事时，M&S表示无法透露网络事件的具体细节。 Scattered Spider是谁？ Scattered Spider（又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra）是一群擅长使用社会工程攻击、钓鱼、多因素认证（MFA）轰炸（定向MFA疲劳攻击）和SIM卡劫持技术入侵大型组织的威胁行为者。 该组织成员包括以英语为母语的年轻人（最小16岁），他们活跃于相同的黑客论坛、Telegram频道和Discord服务器，并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区，涉及引发广泛媒体关注的暴力行为和网络事件。 尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙，但他们实际上是由不同个体组成的网络，每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵，后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。 2023年9月，该组织通过假冒员工致电米高梅度假村（MGM Resorts）IT服务台的社会工程攻击入侵系统，并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻，标志着英语系威胁行为者首次与俄语系勒索团伙合作。 此后，Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织，近期开始推广一项允许网络犯罪团队白标其服务的新业务。 研究人员通常通过特定入侵指标将攻击归因于Scattered Spider，包括针对单点登录（SSO）平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。 过去两年，执法机构正加大对该组织的打击力度，在美国、英国和西班牙逮捕了多名据称是成员的人员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非电信巨头MTN集团于本周四证实遭遇网络攻击，导致数量不明的客户个人信息泄露。这家总部位于约翰内斯堡的公司声明称，“不明身份的第三方声称已访问其系统部分数据”，事件导致“部分市场MTN客户的个人信息遭到未授权访问”。 南非警察总局（SAPS）与南非优先犯罪调查局（DPCI）已获知此事，MTN集团也向业务所在国的其他执法机构通报了攻击。声明未透露受影响客户规模，但表示正在启动客户通知程序。 MTN集团是全球最大移动运营商之一，业务覆盖20余个国家，用户超2亿。该公司去年营收约90亿美元，主要来自南非、加纳和尼日利亚市场。 “核心网络、计费系统和金融基础设施仍安全且正常运营，”公司强调，“目前无证据表明客户账户与电子钱包直接受损。” 对于受影响人数、被盗数据类型及攻击者身份等关键问题，MTN集团未予回应。截至周五，尚无网络犯罪组织宣称对此负责。 尼日利亚当地媒体报道称，该国业务未受此次网络事件影响。 这是南非电信业遭遇的最新攻击事件。去年另一大运营商Cell C曾确认遭攻击后数据在暗网泄露。南非正面临针对主要机构与企业的持续网络攻击浪潮，促使政府出台多项网络安全法规。上月，该国最大禽肉生产商因网络攻击导致交付延误等问题，损失超100万美元。     消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿比林市表示，其正在努力恢复因遏制网络攻击而离线的系统。 此次攻击始于4月18日，当时该市内部网络部分系统报告无响应，随即启动事件响应预案。该市官员周一宣布，为保护网络，阿比林市已断开关键资产与受攻击影响系统的连接。 “我们已启动调查并聘请行业领先的网络安全专家确定事件性质与范围，同时通报相关部门。”官员称。阿比林市官员表示，其IT部门周末持续工作以恢复服务并减少对运营的影响，所有系统均处于异常活动监控中。 该市声明：“紧急服务仍保持正常运行并可及时提供协助，未检测到异常财务活动。水务用户仍可通过市政服务账单支付系统缴纳费用。”同时指出，系统恢复期间在线服务可能出现延迟，逾期账户不会被切断服务，现场与在线支付渠道均保持畅通。 “当前处于调查初期阶段。任何经历过网络事件的人员都清楚这是耗时过程。每周我们将进一步掌握事件范围，并随着调查进展通报细节。”该市呼吁公众保持耐心与理解。 现有信息表明阿比林市可能遭受勒索软件攻击，但截至发稿尚无勒索组织宣称负责。以大量儿童文学角色雕塑闻名并拥有三所基督教大学的阿比林市，人口约13万。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员详细披露了一起针对Docker环境的恶意软件攻击活动，该活动采用了一种此前未被记录的加密货币挖矿技术。据Darktrace与Cado Security分析，此攻击模式标志着加密货币劫持行动从直接部署XMRig等矿工程序非法利用计算资源，转向新型Web3基础设施攻击。 该恶意程序部署于名为Teneo的去中心化物理基础设施网络（DePIN）节点。Teneo允许用户通过运行社区节点（Community Node）将社交媒体数据货币化，用户可获得Teneo积分（Teneo Points），并兑换为$TENEO代币。此类节点实质上充当分布式社交媒体爬虫，从Facebook、X平台、Reddit及TikTok等平台抓取公开帖文。 从蜜罐中收集的工件的分析表明，攻击始于从Docker Hub注册表中启动容器映像“kazutod/tene:ten”的请求。该图像于两个月前上传，迄今已被下载325次。 容器映像旨在运行一个嵌入式Python脚本，该脚本被严重混淆，需要63次迭代才能解压缩实际代码，从而建立与teneo[.]pro的连接。 Darktrace在与The Hacker News分享的一份报告中表示：“恶意软件脚本只是连接到WebSocket并发送保活ping，以便从Teneo获得更多积分，而不会进行任何实际的抓取。”。“根据该网站，大多数奖励都是根据心跳次数来决定的，这可能就是这种方法奏效的原因。” 此次攻击与另一起恶意活动存在相似性：后者通过感染配置错误的Docker实例植入9Hits Viewer软件，通过流量引导至特定网站以获取积分。该入侵手法亦类似于代理劫持（proxyjacking）等带宽共享方案——通过下载特定软件共享闲置网络资源以换取经济收益。 Darktrace强调：“传统加密货币劫持依赖XMRig矿工程序，但因其高检测率，攻击者正转向替代性挖矿手段。此类新方法是否更具盈利性尚待观察。” 此次披露正值Fortinet FortiGuard Labs公布新型僵尸网络RustoBot之际。该恶意程序利用TOTOLINK（CVE-2022-26210与CVE-2022-26187）及DrayTek（CVE-2024-12987）设备漏洞传播，主要针对日本、台湾、越南及墨西哥的科技行业实施DDoS攻击。 安全研究员Vincent Li指出：“物联网与网络设备普遍存在防护薄弱问题，成为攻击者理想入侵目标。强化端点监控与认证机制可显著降低被利用风险，遏制此类恶意软件活动。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文