HackerNews 编译，转载请注明出处： LNER表示，此次安全事件涉及一家第三方供应商，导致联系信息及其他数据被泄露。 英国铁路运营商LNER（伦敦东北铁路）披露了一起影响客户信息的数据泄露事件。 该公司负责东海岸主干线上的许多长途客运服务，其透露黑客获取了一家未具名的第三方供应商管理的文件。 泄露的信息包括客户联系信息以及一些关于以往行程的信息。 然而，LNER指出，银行信息、支付卡信息和密码信息未被泄露，因为受影响的第三方供应商无法访问此类信息。 该公司还指出，此次事件未对售票和列车运营产生影响。 “请对未经请求的通信保持警惕，尤其是那些索要个人信息的通信。如有疑问，请勿回复。”LNER对客户说。 目前尚未公布更多信息。目前尚不清楚该第三方供应商是被专门针对，还是像最近的Salesforce-Salesloft攻击事件中那样，是大规模攻击活动的众多受害者之一。 去年，在一次“黑客攻击”导致反伊斯兰信息出现在英国最大铁路枢纽的Wi-Fi服务用户界面上后，英国警方展开了调查。 调查结果显示，提供铁路Wi-Fi服务的公司的一名员工是该事件的幕后黑手。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与Akira勒索软件团伙有关的威胁行为者一直在针对SonicWall设备以获取初始访问权限。 网络安全公司Rapid7表示，在过去一个月中，观察到涉及SonicWall设备的入侵事件有所增加，特别是在2025年7月下旬有关Akira勒索软件活动重新出现的报道之后。 随后，SonicWall透露，针对其防火墙的SSL VPN活动涉及一个已存在一年的安全漏洞（CVE-2024-40766，CVSS评分：9.3），在迁移过程中，本地用户密码被保留且未被重置。 该公司指出：“我们观察到威胁行为者试图暴力破解用户凭据的活动有所增加。为了降低风险，客户应启用Botnet过滤功能以阻止已知的威胁行为者，并确保已启用账户锁定策略。” SonicWall还敦促用户审查LDAP SSL VPN默认用户组，如果在Akira勒索软件攻击的背景下配置错误，这将是一个“关键弱点”。 此设置会自动将每个成功通过LDAP身份验证的用户添加到预定义的本地组，无论他们是否实际属于Active Directory中的成员。如果该默认组可以访问敏感服务（如SSL VPN、管理界面或不受限制的网络区域），那么任何被入侵的AD账户，即使该账户并无合法理由需要这些服务，也会立即继承这些权限。 这实际上绕过了原本基于AD组的访问控制，一旦攻击者获得有效凭据，就会为他们直接进入网络边界提供一条路径。 Rapid7在其警报中表示，还观察到威胁行为者访问由SonicWall设备托管的虚拟办公门户，在某些默认配置下，这可能会促进公开访问，并使攻击者能够使用有效账户配置mMFA/TOTP，前提是此前存在凭据泄露的情况。 “Akira团伙可能正在利用这三种安全风险的组合来获取未经授权的访问权限并开展勒索软件行动。”该公司表示。 为了降低风险，建议组织机构更换所有SonicWall本地账户的密码，删除任何未使用或不活跃的SonicWall本地账户，确保已配置MFA/TOTP策略，并限制虚拟办公门户对内部网络的访问。 Akira针对SonicWall SSL VPN的目标也得到了澳大利亚网络安全中心（ACSC）的呼应，该中心承认，他们知道勒索软件团伙正通过这些设备攻击澳大利亚的易受攻击组织。 自2023年3月首次亮相以来，Akira一直是勒索软件威胁领域中持续存在的威胁，根据Ransomware.Live的信息，到目前为止，它已经声称有967名受害者。根据CYFIRMA分享的统计数据，在2025年7月，Akira共发动了40次攻击，使其成为继Qilin和INC Ransom之后的第三大活跃团伙。 在2025年第二季度影响全球工业实体的657次勒索软件攻击中，Qilin、Akira和Play勒索软件家族占据了前三名，分别报告了101起、79起和75起事件。 工业网络安全公司Dragos在上个月发布的一份报告中表示，Akira在“针对制造业和运输行业的持续攻击中保持了相当大的活动量，通过复杂的网络钓鱼和多平台勒索软件部署来实现”。 最近的Akira勒索软件感染还利用搜索引擎优化（SEO）中毒技术来分发流行IT管理工具的特洛伊木马化安装程序，这些安装程序随后被用来投放Bumblebee恶意软件加载器。 然后，这些攻击利用Bumblebee作为通道来分发AdaptixC2后利用和对抗性仿真框架、安装RustDesk以实现持久远程访问、窃取数据并部署勒索软件。 根据Palo Alto Networks Unit 42的说法，AdaptixC2的多功能性和模块化特性允许威胁行为者在受感染的系统上执行命令、传输文件并进行数据窃取。由于它也是开源的，这意味着攻击者可以根据自己的需求对其进行定制。 该网络安全公司表示，其他传播AdaptixC2的活动还利用模仿IT帮助台的Microsoft Teams通话来欺骗毫无戒心的用户，通过快速协助授予他们远程访问权限，并投放一个PowerShell脚本，该脚本解密并加载到内存中的shellcode有效载荷。 “Akira勒索软件团伙遵循标准的攻击流程：通过SSLVPN组件获得初始访问权限，提升到具有更高权限的账户或服务账户，从网络共享或文件服务器中定位并窃取敏感文件，删除或停止备份，并在虚拟化层部署勒索软件加密。”Rapid7表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 这是NPM生态系统历史上最大的供应链妥协事件，大约影响了10%的云环境，但攻击者几乎没有从中获利。 此次攻击发生在本周早些时候，维护者Josh Junon（qix）中了一个密码重置网络钓鱼诱饵，导致多个非常受欢迎的NPM软件包被入侵，其中包括每周下载量超过26亿次的chalk和debug-js。 在入侵Junon的账户后，攻击者推送了带有恶意模块的恶意更新，该模块通过将交易重定向到威胁行为者那里来窃取加密货币。 开源软件社区迅速发现了这次攻击，所有恶意软件包在两小时内被移除。 根据云安全公司Wiz的研究人员称，被入侵的软件包之一或多个是几乎所有JavaScript/Node项目的基石，在99%的云环境中被使用。 在它们可供下载的两小时窗口期内，大约10%的云环境下载了这些被入侵的软件包。 Wiz解释说：“在恶意版本在npm上可用的短短两小时内，恶意代码成功地进入了10%的云环境。” “这表明在像这样的供应链攻击中，恶意代码传播的速度有多快。” 10%的比例是基于Wiz对客户云环境的可见性以及公开来源得出的。虽然它可能不是一个具有代表性的比例，但它仍然表明了攻击的快速传播和覆盖范围。 攻击者获利不到1000美元 尽管这次攻击造成了显著的干扰，需要公司花费大量时间进行清理、重建和审计，但安全影响微不足道，就像威胁行为者的利润一样。 根据安全联盟的分析，注入的代码针对浏览器环境，拦截以太坊和索拉纳的签名请求，将加密货币钱包地址替换为攻击者控制的地址（加密劫持）。 这种类型的恶意负载拯救了那些下载了被入侵设备的公司，使它们免于更严重的安全事件，因为威胁行为者本可以利用他们的访问权限植入反向shell，在网络中横向移动，或者植入破坏性恶意软件。 尽管攻击规模巨大，受害者众多，但攻击者只转移了价值五美分的ETH和价值20美元的几乎无人知晓的meme币。 昨天，Socket研究人员发布了一份报告，提醒说，同样的网络钓鱼活动也影响了DuckDB维护者账户，用同样的加密货币窃取代码入侵了该项目的软件包。 根据他们的说法，追踪到攻击者钱包的利润大约是429美元的以太坊，46美元的索拉纳，以及少量的比特币、波场、比特币现金和莱特币，总计600美元。 还指出，持有任何显著金额的攻击者钱包地址已经被标记，限制了他们转换或使用他们赚到的少量钱的能力。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为LunaLock的新兴勒索软件团伙出现在威胁环境中，采用了一种独特的网络勒索技术，威胁将窃取的艺术作品转化为人工智能训练数据。 最近，LunaLock团伙针对艺术家与客户（Artists&Clients）网站发起攻击，窃取了数字艺术作品。该团伙向受害者索要5万美元，威胁要泄露数据，并将窃取的数据用于训练大型语言模型（LLMs）。 “我们入侵了艺术家与客户网站，窃取并加密了其全部数据。如果你是该网站的用户，我们敦促你联系网站所有者，并要求他们支付赎金。如果赎金未支付，我们将在该Tor网站上公开发布所有数据，包括源代码和用户个人信息。此外，我们将把所有艺术作品提交给人工智能公司，加入其训练数据集。”勒索软件团伙在其Tor数据泄露网站上发布的公告中写道。 LunaLock黑客在技术上相当熟练，且似乎是以英语为母语的人。 这种新型勒索手段旨在通过将被盗数据纳入用于训练LLMs的数据集中，来侵犯受害者的知识产权。未来，其他勒索软件团伙可能会将被盗数据上传至公开可访问的数据库，使其能被人工智能训练管道轻松抓取。一旦数据被纳入人工智能模型，它就变得事实上永久存在，与可能随时间逐渐消失的暗网泄露不同。LunaLock的做法开创了一个危险的先例。 专家指出，LunaLock对艺术家与客户网站的攻击不同寻常，因为勒索软件通常会针对那些有可能支付赎金的行业。双重或三重勒索对自由职业者可能无效。艺术家们已经在保护他们的作品，使其免受黑客攻击和人工智能数据抓取的侵害。 像OpenAI、谷歌和Anthropic这样的人工智能公司会抓取在线艺术作品来训练模型。Anthropic最近同意支付至少15亿美元来解决由作者提起的版权诉讼，这是美国首例人工智能版权案件。 为应对这一问题，芝加哥大学计算机科学教授赵本（Ben Zhao）创建了Glaze和Nightshade这两种工具，它们可以微妙地改变图像，使其对人类看起来正常，但却会误导人工智能训练。 赵本的工具Glaze和Nightshade于2022年推出，至今已有超过300万次下载，被艺术家广泛用于保护他们的作品免受人工智能抓取和像LunaLock这样的勒索软件威胁。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国顶级鸡蛋生产商Rose Acre Farms已被一个知名网络犯罪集团控制，攻击者声称他们已加密该公司的数据。过去针对主要农产品生产商的攻击导致产品短缺和价格上涨。 臭名昭著的勒索软件集团Lynx声称对此次攻击负责，并在其暗网博客上发布了该公司的相关信息。这个特定的地下网站专门用于展示Lynx的最新受害者。 Red Acre Farms 是美国一家大型鸡蛋生产商，在多个州设有工厂。该公司预计营收接近 7 亿美元，员工人数超过 2000 人。过去，该公司的鸡蛋在美国零售巨头沃尔玛 (Walmart) 销售，现在很可能在奥乐齐 (Aldi) 销售。 与此同时，攻击者声称Rose Acre Farms数据泄露事件发生在上周晚些时候，当时他们入侵了该公司的网络。与Lynx勒索软件的惯常做法一样，他们没有立即提供被盗数据样本，只是指出该公司的数据已被加密，并将稍后提供证据。 勒索软件可能会扰乱价格 Cybernews 研究团队指出，此类攻击对于缺乏可用备份的公司而言，可能造成毁灭性打击。在最坏的情况下，加密可能导致运营和生产中断。对于像 Rose Acre Farms 这样的食品生产商而言，风险尤其高，因为未送达的食品可能会迅速变质，造成严重的经济损失。 我们的研究人员解释说：“此类攻击可能会给受害者造成经济损失，在这种情况下，还可能因供应减少而导致市场波动。进而影响最终用户的产品供应和定价。” “此类攻击可能会给受害者造成经济损失，在这种情况下，还可能因供应减少而引发市场波动。进而可能影响最终用户的产品供应和定价。”研究人员解释道。 例如，2021年，全球最大的肉类加工公司JBS遭受勒索软件攻击，导致价格上涨，并威胁到美国整个肉类供应链。2021年，美国最大的燃油管道——殖民输油管道也遭遇攻击，导致其停产近一周，进而引发价格上涨。 与此同时，上周对豪华汽车制造商捷豹路虎的攻击迫使这家英国汽车制造商关闭其系统，导致“其零售和生产活动严重中断”。 玫瑰农场 (Rose Acre Farms) 数据泄露事件的幕后黑手是谁？ Lynx 勒索软件团伙于 2024 年年中首次被发现，是典型的勒索软件即服务 (RaaS) 操作。RaaS 团伙通过出售所谓的关联公司部署的加密恶意软件的访问权限来运营。攻击成功后，关联公司会与恶意软件开发者瓜分赎金。 攻击者通过入侵公司系统窃取并加密数据。如果受害者不满足赎金要求，恶意攻击者就会威胁交出被盗数据并保持系统加密——这对于依赖按时交付产品的企业来说，是一项代价高昂的举措。 一些研究人员认为，Lynx 勒索软件集团是臭名昭著的 INC Ransom 集团相关人员的一个分支或品牌重塑尝试。 据 Cybernews 的暗网监控工具 Ransomlooker 称，Lynx 在过去 12 个月内已经攻击了超过 200 个组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 哈萨克斯坦国家石油公司否认了印度网络安全公司 Seqrite 的说法，称该公司是与俄罗斯有关联的新黑客组织的目标，并称该事件实际上是一次内部网络钓鱼演习。 Seqrite Labs 上周发布了一项针对其所称的新发现组织 NoisyBear 的研究报告。该公司称，该组织自 4 月以来一直活跃，主要针对中亚能源行业。该公司表示，NoisyBear 在 5 月份入侵了哈萨克斯坦国家石油公司 (KazMunayGas) 一名财务员工的邮箱，并利用该邮箱发送伪装成公司政策更新、薪资调整和 IT 部门通知的网络钓鱼邮件。这些邮件携带恶意存档文件，旨在安装更多有效载荷。 Seqrite 将此次攻击活动归咎于俄罗斯，理由是攻击者使用俄语，且基础设施由受制裁的服务提供商 Aeza Group 托管，且与此前与莫斯科攻击者相关的攻击活动存在相似之处。Aeza于今年 7 月因涉嫌支持勒索软件运营商和在线毒品市场而受到美国财政部的制裁。 但哈萨克斯坦国家石油公司（KazMunayGas）否认了Seqrite的结论。该公司在接受哈萨克斯坦媒体Orda采访时表示，此次事件是一次预定的模拟演习。 该公司表示：“2025年5月，KMG组织并开展了一次有计划的内部演习，旨在测试、评估并提高员工的信息安全意识。” 该公司还补充说，部分员工已提前收到通知，并利用此次活动向员工提供建议。 Seqrite 自身报告中的证据似乎也支持这一说法：俄罗斯网络安全专家 Oleg Shakirov指出，此次网络钓鱼活动的一张截图显示，收件人中存在测试账户，例如格式为“test@kmg[.]kz.”的地址。Seqrite 尚未回应 Recorded Future News 的置评请求。 外部安全报告与公司自身账户发生冲突的情况并非首例。今年5月，美国云存储公司Snowflake反驳了网络安全公司Hudson Rock的指控，该公司称攻击者在与Ticketmaster和桑坦德银行相关的一起备受瞩目的事件中入侵了其系统。Snowflake表示，没有客户数据泄露，Hudson Rock引用的账户属于一名前员工的演示环境。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国家具品牌Lovesac警告称，该公司遭受了一起数据泄露事件，影响了数量不详的个人，其个人数据在一次网络安全事件中被泄露。 Lovesac是一家家具设计、制造和零售商，在美国运营着267家展厅，年净销售额为7.5亿美元。 该公司以其模块化沙发系统“sactionals”和被称为“sacs”的豆袋而闻名。 根据发送给受影响个人的通知，2025年2月12日至3月3日期间，黑客未经授权访问了该公司的内部系统，并窃取了存储在这些系统上的数据。 Lovesac在2025年2月28日发现了这一漏洞，这意味着他们花了三天时间才完全修复了这一问题，并阻止了威胁行为者对其网络的访问。 被盗数据包括全名和其他在通知样本中未披露的个人信息。该公司尚未澄清此次事件是否影响了客户、员工或承包商，也未披露受影响个人的确切数量。 在通知信中，收件人将找到有关如何通过Experian注册24个月信用监控服务的说明，该服务可兑换至2025年11月28日。 该公司指出，目前没有迹象表明被盗信息已被滥用，但敦促受影响的个人保持警惕，提防网络钓鱼企图。 勒索软件团伙声称对Lovesac发起攻击 尽管Lovesac没有指明攻击者，并且在信中没有提到数据加密，但RansomHub勒索软件团伙在2025年3月3日声称对Lovesac发起了攻击。 威胁行为者将Lovesac添加到他们的勒索门户上，宣布了这一漏洞，并表示如果不在支付赎金的情况下，他们计划泄露被盗数据。我们无法确定他们是否继续执行了这一威胁。 RansomHub勒索软件即服务（RaaS）行动于2024年2月出现，并自此积累了包括人力资源公司Manpower、油田服务巨头Halliburton、Rite Aid药房连锁店、川崎欧洲分公司、佳士得拍卖行、美国电信提供商Frontier Communications、Planned Parenthood医疗保健非营利组织以及意大利博洛尼亚足球俱乐部在内的一系列高调受害者。 该勒索软件行动在2025年4月悄然关闭，其许多附属机构转向了DragonForce。 BleepingComputer已联系Lovesac，以了解有关此次事件及其影响的更多信息，以及有多少客户受到影响，并将在收到回复后更新此报道。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Proofpoint、SpyCloud、Tanium和Tenable已确认其Salesforce实例中的信息在最近的Salesforce–Salesloft Drift攻击中遭到泄露。 此次攻击活动于8月26日公开披露，当时谷歌威胁情报团队报告称，被追踪为UNC6395的威胁行为者利用被泄露的OAuth令牌，从第三方人工智能聊天机器人Salesloft Drift中导出了大量数据。 谷歌表示，攻击者利用Salesforce-Salesloft Drift集成来窃取数百个组织的相关数据，目标是敏感信息，如AWS访问密钥、密码和与Snowflake相关的访问令牌。 最初认为只会影响使用Drift集成的组织，但后来发现其他Salesforce客户也受到了影响。 8月28日，谷歌透露Workspace客户受到影响，网络安全公司Cloudflare、Palo Alto Networks和Zscaler也很快披露了受影响情况。 总体而言，此次攻击估计影响了超过700个组织，Proofpoint、SpyCloud、Tanium和Tenable已确认受到影响。 Proofpoint透露，攻击者通过被泄露的Drift集成访问了其Salesforce租户，并查看了其中存储的某些信息。 “目前没有证据表明此次供应链事件影响了Proofpoint的软件、服务、安全产品、客户受保护的数据或内部企业网络，”该公司表示。 SpyCloud此前是Salesloft Drift的客户，该公司宣布在此次攻击中标准客户关系管理字段遭到泄露。 “据信消费者数据未被访问。我们上周通知了客户，与他们与SpyCloud的关系相关的数据通过此次Salesloft Drift事件被泄露，”SpyCloud表示。 Tanium确认攻击者利用Salesloft Drift集成访问了其Salesforce实例中的数据，姓名、电子邮件地址、电话号码以及地区/位置引用等信息遭到泄露。 “我们可以明确确认未经授权的访问仅限于我们的Salesforce数据，没有对Tanium平台或任何其他内部系统或资源进行访问，”Tanium指出。 Tenable透露，在此次攻击中，支持案例信息遭到泄露，包括主题行、初始描述以及业务联系人详细信息，如姓名、电话号码、业务电子邮件地址以及地区/位置引用。 该公司还指出，没有证据表明被盗信息被滥用，并补充说，它采取了所有必要的措施来解决这一问题，包括轮换凭据、移除应用程序、保护其系统以及监控Salesforce实例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 捷豹路虎（JLR）正在调查一个与“Scattered Spider”（散裂蜘蛛）组织有关的黑客联盟所声称的、对这家汽车制造巨头的攻击负责的说法。 该英语网络犯罪组织据信应对今年早些时候针对英国零售商玛莎百货（M&S）、Co-op 和哈罗德（Harrods）的网络攻击负责。 英国广播公司（BBC）报道了这一声称，该报道基于与一位自称是该集团发言人的个体的私人短信对话。该集团自称为“Scattered LapsusHunters”，暗示了ScatteredSpider、ShinyHunters和Lapsus之间可能存在合作。 BBC称，该集团声称已访问了捷豹路虎的系统，并试图向该公司勒索钱财。 目前尚未确认是否有数据被窃，或Scattered Lapsus$ Hunters是否安装了勒索软件。 然而，该集团在即时通讯应用Telegram上分享了声称截取自捷豹路虎IT网络内部的截图。这些未经核实的图像包括用于排查汽车充电问题的内部指令和内部计算机日志。 捷豹路虎的一位发言人在回应置评请求时表示：“我们知悉与近期网络事件相关的声称，我们正在持续积极调查。” 捷豹路虎于9月2日首次确认遭受网络事件，称在汽车制造商主动关闭系统以减轻事件影响后，其销售和生产运营受到严重干扰。 由于网络事件造成的干扰，在英国默西塞德郡哈利伍德（Halewood）生产工厂工作的员工被告知9月2日星期二不要上班。 截至撰写本文时，捷豹路虎尚未提供有关运营影响的进一步细节。然而，当地新闻媒体《利物浦回声报》在9月4日报道称，捷豹路虎员工仍未返回默西塞德郡工厂。 Scattered Spider 寻求关注其活动 NetSPI EMEA服务总监Sam Kirkman表示，该集团与BBC的互动显示了其希望引起外界对其活动关注的渴望，这是其在4月份攻击玛莎百货后也采用过的策略。 他指出：“该集团努力吸引人们关注其活动，这表明除了对目标进行财务勒索外，运营中断和声誉影响也是其目标。” Kirkman继续表示：“需要注意的是，截图无法核实，可能是为了给该集团吸引更多关注而伪造的。” ESET全球网络安全顾问Jake Moore指出，像Scattered Spider这样的黑客组织正变得越来越大胆，热衷于炫耀他们的“成功”。 他评论道：“通过使用Telegram来炫耀他们的声称和勒索要求，这显示了其肆无忌惮的自信，认为可以保持不被发现，这简直是在受害者的伤口上撒盐。” 明显的跨集团合并令人担忧 Acumen Cyber的首席顾问Nathan Webb认为，Scattered Spider与ShinyHunters和Lapsus$的明显合作可能会对该集团的能力产生重大影响。 这三个集团都以使用社会工程学技术进入目标而闻名，之后使用勒索和数据窃取等策略获取经济利益。 最近，Scattered Spider和ShinyHunters使用了语音钓鱼（vishing）技术来获取第三方IT提供商的高价值凭证。这包括ShinyHunters被报道的入侵Salesforce客户凭证事件，影响了包括谷歌、香奈儿和阿迪达斯在内的公司。 Webb评论说：“这些威胁行为者显然已经联合起来，以提高建立初始访问受害者系统的有效性，该集团在技术和可用数据上进行合作以增强其攻击。” 他补充道：“威胁行为者集团之间为实施犯罪而日益增长的合作，强调了他们现在多么像企业一样运作，并强化了加强防御的必要性。” 与Scattered Spider一样，ShinyHunters和Lapsus$也由讲英语的行为者组成。 Scattered Spider和ShinyHunters与“The Com”有关，这是一个松散组织的在线犯罪网络，涉及数千名讲英语的个人。 据信这些集团包含年轻的，通常是青少年黑客。 2023年8月，英国法院认定一名牛津青少年对涉及知名品牌的一系列黑客事件负责，其是臭名昭著的Lapsus$集团的一部分。 2025年7月，英国执法部门逮捕了三名青少年和一名20岁男子，怀疑他们参与了4月份针对玛莎百货、Co-op和哈罗德的网络攻击。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文