HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）发出警报，臭名昭著的网络犯罪团伙Scattered Spider（又名UNC3944）在连续攻击英美零售企业后，近期将目标转向美国保险行业。GTIG首席分析师约翰·胡尔奎斯特（John Hultquist）在周一的邮件声明中确认：“GTIG已发现多起入侵事件具备Scattered Spider攻击的全部特征。鉴于该组织历来采取逐行业定向攻击的模式，保险业需高度戒备针对服务台和呼叫中心的社会工程学攻击”。 Scattered Spider是以高级社会工程学手段闻名的松散黑客团体。最新情报显示，该组织据信已与勒索软件团伙DragonForce结成联盟，后者近期接管了RansomHub的基础设施资源。网络安全机构SOS Intelligence指出：“该团伙屡次展现冒充员工、欺骗IT支持团队、通过心理战术绕过多因素认证（MFA）的能力。其成员被描述为‘英语母语者’，疑似在西方国家活动，文化背景使其钓鱼电话攻击极具迷惑性。” 本月早前，安全公司ReliaQuest披露Scattered Spider与DragonForce正重点攻击IT服务商（MSP）和外包技术承包商，通过单点突破获取下游客户群访问权限。谷歌旗下Mandiant团队分析称，该组织通常锁定大型企业——尤其是服务台规模大、IT功能外包的机构——这类目标更容易受社会工程学攻击影响，且可能带来更高赎金收益。 为应对该团伙攻击，安全专家建议采取以下措施： 强化认证机制：实施严格身份验证流程 设立访问边界：限制权限升级和横向移动 专项人员培训：指导服务台员工在重置账户前必须核实员工身份       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用热门TP-Link路由器中的漏洞发动攻击，这些路由器在亚马逊上拥有数万条用户评价。美国网络监管机构紧急呼吁用户停用无法获得安全更新的旧款路由器型号。 美国网络安全与基础设施安全局（CISA）已将TP-Link的一处命令注入漏洞添加到其“已知被利用漏洞目录”中。尽管该漏洞两年前已被发现，但此次目录更新表明网络犯罪分子近期正积极利用此漏洞实施攻击。 该命令注入漏洞被评定为高危级别（CVSS评分为8.8/10），攻击者可借此在未经授权的情况下向路由器执行恶意命令。CISA警告称：“此类漏洞常被恶意攻击者利用，对联邦机构构成重大风险。” 受影响的系列在消费市场广受欢迎： TP-Link TL-WR940N 450Mbps路由器：V2/V4硬件版本已终止支持周期，无法再获得安全更新。该型号新型号仍在亚马逊销售，拥有超9000条好评，其最后固件更新发布于2016年。 TP-Link TL-WR841N：V8/V10版本存在漏洞，最后固件更新发布于2015年。这款诞生于2005年的型号至今仍位居亚马逊路由器销量榜第165位，累计收获超77,000条评价，V11及更早版本均已终止支持。 TP-Link TL-WR740N：V1/V2版本同样存在漏洞，所有型号均已终止支持，相关版本已有15年未获更新。 漏洞原理与风险 概念验证攻击代码已在网络广泛流传。该漏洞存在于路由器网页管理界面——当设备处理GET请求中的特定参数时，未能正确验证用户输入，致使黑客可注入恶意命令。虽然暴露在公网且开启远程访问功能的路由器风险最高，但同一局域网内的攻击者同样可利用此漏洞。 应对措施 CISA严令联邦机构在2025年7月7日前从网络中移除这些路由器，并强烈建议所有机构采取相同措施。CISA强调：“用户应立即停止使用受影响产品。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国知名俄罗斯问题研究专家基尔·贾尔斯（Keir Giles）上周末宣布，其多个电子邮箱账户遭黑客以“复杂账户接管”手段攻击，攻击者伪装成美国国务院人员。贾尔斯在领英发布的警告中提醒联系人谨慎处理任何看似由其发送的异常邮件。贾尔斯是《俄罗斯对所有人的战争》一书作者，同时担任智库查塔姆研究所（Chatham House）顾问研究员。 贾尔斯写道：“根据我们应对复杂账户接管攻击的长期经验，攻击者在被锁定前获取的信息（包括您或他人发送给我的消息）很可能被用于未来污染性数据泄露。”此前在去年，贾尔斯已成为为俄罗斯情报部门服务的黑客目标，这些黑客持续冒充研究人员与学者，试图侵入其同事邮箱账户，但当时贾尔斯的账户未被攻破。 网络安全公司Secureworks与Mandiant对针对贾尔斯的钓鱼邮件、附件及凭证窃取基础设施进行了独立分析。两家公司均认为，此次攻击由国家支持的黑客组织实施，该组织被追踪命名为Iron Frontier、Calisto、Coldriver或Star Blizzard。英国政府评估其隶属于俄罗斯情报机构，并于2013年将其归因于俄联邦安全局（FSB）第18中心（Center 18） ——英国政府曾为此召见俄罗斯大使，指控克里姆林宫幕后主导一系列“持续但未遂”的黑客泄密行动，意图破坏民主制度。 与此同时，美国司法部起诉了参与第18中心钓鱼活动的两名俄罗斯公民：FSB官员鲁斯兰·亚历山德罗维奇·佩列季亚特科（Ruslan Aleksandrovich Peretyatko） 及欺诈域名创建者安德烈·斯坦尼斯拉沃维奇·科里涅茨（Andrey Stanislavovich Korinets） ，相关行动可追溯至2016年。英国政府披露，该组织在英国的既往目标包括英国秘密情报局（MI6）前局长理查德·迪尔洛夫爵士（Sir Richard Dearlove） ，以及致力于反制俄罗斯信息战的智库“治国方略研究所”（Institute for Statecraft）。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多名《华盛顿邮报》记者的电子邮箱账户遭疑似国家支持的黑客攻击入侵。该事件于上周四晚间被发现，该报随即启动调查。6月15日（星期日），一份内部备忘录发送给员工，通知其“邮件系统可能遭受针对性未授权入侵”。 据《华尔街日报》报道，该备忘录由执行主编马特·默里（Matt Murray）签署，确认少数记者的微软账户受影响。由亚马逊创始人杰夫·贝佐斯持有的《华盛顿邮报》是美国最具影响力的新闻出版机构之一。 内部消息人士向《华尔街日报》透露，此次攻击针对报道国家安全、经济政策议题的记者，部分涉华报道记者亦遭锁定。高级持续性威胁（APT）即国家支持的黑客组织，常以微软Exchange等邮件系统为攻击目标。 去年，微软曾警告黑客利用Exchange中的关键权限提升漏洞作为零日漏洞，实施NTLM中继攻击。 《华盛顿邮报》目前未公开披露事件任何细节。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙早已恶名昭著，但近日其行径再度突破底线——竟将魔爪伸向墓地。活跃度极高的勒索组织INC Ransom宣称成功入侵加拿大汉密尔顿教区天主教墓园，并将该机构列入其暗网受害者名单。 与常规勒索攻击手法一致，黑客公开了据称窃取的数据样本。网络安全研究团队谨慎核查后发现，泄露信息涵盖： 财务文件 墓地规划图 合同文书 客户及员工姓名 出生日期 员工薪资单 理论上，攻击者可利用这些敏感信息针对丧亲家属实施金融诈骗：冒充殡葬服务机构骗取个人敏感数据，或定向推送欺诈信息。当前INC Ransom已成为最猖獗的勒索组织之一。该团伙自2023年7月活跃至今，攻击版图持续扩张，受害者包括： 美国国防承包商Stark AeroSpace 旧金山芭蕾舞团 英国莱斯特市政府 苏格兰NHS邓弗里斯-加洛韦卫生委员会 施乐公司（曾遭数据窃取） 据监测工具显示，过去12个月该组织累计侵害至少163家机构。该团伙采用”加密+窃密”的双重勒索模式，随机攻击医疗、教育、政府等多领域目标。虽其成员背景不明，但多数受害者集中于西方国家，且遵循“不攻击独联体国家”的潜规则——这与俄罗斯黑客组织的行为特征高度吻合。 有研究指出，新兴勒索组织Lynx可能是INC Ransom的分支或重组产物。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织宣称窃取6400万条T-Mobile用户数据，包含税务ID、设备识别码等新型敏感字段，数据时效截至2025年6月1日。若属实，这将成为T-Mobile近五年内第9次重大数据泄露。 T-Mobile在美国拥有约1.31亿客户，2024年营收超810亿美元。其多数股权由欧洲最大、全球第五大电信运营商德国电信持有。 与此同时，Cybernews研究团队分析了帖子附件中的数据样本。研究人员称，该样本于东部时间凌晨2点左右上传，包含大量敏感细节： 全名 出生日期 税务ID 完整地址 电话号码 电子邮箱地址 设备唯一识别码 网站行为追踪码 IP地址 威胁行为者可利用这些被盗信息实施身份盗窃、金融诈骗和钓鱼攻击。例如，恶意行为者可能使用个人详细信息开设欺诈账户、提交虚假纳税申报或申请贷款。同时，设备识别码、网站行为追踪码与IP地址的组合，可被用于收集用户数据、分析其在线习惯。攻击者利用此类情报对高价值目标实施鱼叉式钓鱼攻击。 研究团队无法准确判定黑客宣称窃取的6400万条记录是否对应同等数量的独立个体。Cybernews个人数据泄露检查工具显示，样本中至少部分邮箱地址曾出现在T-Mobile历史泄露事件中。团队还指出，本次泄露似乎包含此前未出现的数据类型（如电话号码），但目前无法100%验证数据真实性。 “若数据属实，暴露6400万条高度敏感信息将引发严重的身份盗窃/欺诈、监控及更精准的客户定向攻击风险，”研究团队表示。若泄露数据确属新增，受影响个人将面临严峻隐私威胁。“T-Mobile屡次发生数据泄露事件，这令人质疑其持续性安全漏洞及防护措施的有效性。” 德国电信旗下的T-Mobile在2020年代屡遭黑客攻击。去年10月，该公司因系列数据泄露事件同意支付超1575万美元罚款。和解协议覆盖四起独立事件，其中两起导致数千万客户数据暴露： 2021年8月事件影响7660万客户 2023年1月事件泄露3700万用户详细信息 和解还涉及2022年攻击者访问T-Mobile管理平台的事件，以及2023年攻击者窃取账户凭证查看特定客户数据的事件。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。 企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。” TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。 虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。 按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。” 此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球知名航运代理集团S5 Agency World据称遭勒索软件组织攻击。攻击者宣称窃取近140GB数据，该公司名称已被公布在勒索团伙用于展示受害者的暗网泄露站点。网络犯罪组织借此施压受害企业支付赎金，以防数据被公开。 S5作为海运代理企业，业务覆盖全球360多个港口。这家总部位于伦敦的公司为航运公司提供船舶靠港期间的本地代理服务。攻击者为佐证其说辞，公布了据称窃取数据的部分截图。网络安全研究团队核查样本后确认数据真实性。 泄露样本包含检验报告、员工新冠疫苗接种记录、护照复印件及内部文件等，但实际失窃文件总量可能远超样本范围。海运关键企业历来是黑客重点目标，其业务停摆将引发供应链瓶颈并严重影响客户——船舶代理等机构尤其无法承受网络攻击导致的运营中断。 勒索组织“Bert”系2025年4月新出现的团伙，隶属于新兴网络犯罪联盟。监测数据显示，2025年第一季度活跃勒索组织激增至65个，而“Bert”在短期内已入侵十余家机构。研究指出该团伙通过合法软件供应链投递恶意程序，主要针对医疗和科技领域，专家警告其适应力可能演变为更大威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织FIN6近期采用新型社交工程攻击手段，通过伪装求职者身份瞄准招聘人员。该组织（又名“Skeleton Spider”）早期以攻陷POS系统窃取信用卡信息著称，2019年起拓展勒索软件攻击业务，近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。 DomainTools最新报告显示，FIN6颠覆传统招聘诈骗模式，以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系，继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL（如bobbyweisman[.]com等匿名注册域名），攻击者使用AWS云服务托管规避安全工具检测。 攻击链包含精密规避机制： 实施环境指纹识别，拦截VPN/云连接及Linux/macOS访问者，仅向目标展示无害内容。 通过验证的受害者会遭遇虚假验证码环节，随后下载伪装成简历的ZIP压缩包。 压缩包内藏Windows快捷方式（LNK）文件，执行脚本下载“More_eggs”后门。 该后门由威胁组织“Venom Spider”开发，具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求，企业应通过独立渠道核实求职者背景信息。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。 “该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。” 攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。 根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。 卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。 压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。 “该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。 这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。 该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。 卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。” 与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。 该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。 “DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文