HackerNews 编译，转载请注明出处： IT管理软件巨头ConnectWise披露遭遇疑似国家级黑客攻击，其ScreenConnect远程工具部分云客户环境遭入侵。公司公告称：“近期发现可疑活动，经研判系复杂国家级攻击者所为，受影响ScreenConnect客户数量极少。”目前ConnectWise已联合曼迪昂特开展取证调查，并协调执法部门处理。 这家佛罗里达企业为托管服务商（MSP）提供IT管理、远程监控及网络安全解决方案，ScreenConnect作为核心产品可实现技术人员对客户系统的安全远程维护。据CRN报道，ConnectWise已实施网络强化措施并部署增强监控系统，宣称客户环境未发现后续异常活动。 尽管ConnectWise拒绝透露具体受影响客户数、入侵时间及是否观察到恶意活动，但消息人士向BleepingComputer透露：攻击实际发生于2024年8月，公司直至2025年5月才察觉，且仅波及云托管版ScreenConnect实例。MSP服务商CNWR总裁杰森·斯拉格尔证实受害者数量极少，暗示攻击者实施的是精准定向攻击。 Reddit论坛用户披露关键细节：事件与CVE-2025-3935漏洞相关。该高危漏洞影响ScreenConnect 25.2.3及更早版本，因ASP.NET ViewState反序列化缺陷导致代码注入。拥有系统特权的攻击者可窃取服务器密钥构造恶意载荷，最终实现远程代码执行。ConnectWise虽未确认漏洞遭利用，但承认已于4月24日修复该“高危”漏洞，并在公开披露前完成云平台（screenconnect.com/hostedrmm.com）补丁更新。 鉴于仅云托管实例受影响，安全专家推测攻击者可能先入侵ConnectWise系统窃取密钥，进而通过RCE控制ScreenConnect服务器渗透客户环境。多位客户向BleepingComputer投诉ConnectWise拒绝提供入侵指标（IOC）及事件细节，致使客户无法有效排查风险。值得警惕的是，ScreenConnect去年曝光的CVE-2024-1709漏洞曾被勒索团伙及朝鲜APT组织用于恶意软件攻击。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化金融平台Cork Protocol周三凌晨遭黑客攻击，价值超1200万美元的加密货币被盗。联合创始人菲尔·福格尔宣布平台已暂停所有交易活动。 公司声明证实：“UTC时间11:23 wstETH:weETH交易市场遭受安全攻击。作为预防措施，其他所有交易市场均已暂停，目前仅该市场受影响。”尽管未回应具体攻击细节，但多家区块链安全公司追踪数据显示，黑客盗取4530枚以太坊（时值约1210万美元）。 这家特拉华州注册的平台专注于DeFi领域“脱锚风险”对冲交易（指锚定资产的加密货币因市场波动或流动性危机偏离设定价值，如2023年硅谷银行倒闭引发的稳定币危机）。其产品定位为“填补DeFi领域信用违约互换等传统金融工具的空白”，去年曾获安德森·霍洛维茨基金投资并参与其加密创业加速计划。 此次攻击距去中心化交易所Cetus遭窃2.23亿美元仅隔五日。更早前Bybit平台今年初损失超14亿美元。安全机构PeckShield统计显示，2024年加密货币平台累计损失逾30亿美元，较2023年增长15%。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名女性时尚品牌维多利亚的秘密（Victoria’s Secret）近日遭遇网络安全事件，目前正全力恢复运营。该公司虽未回应置评请求，但其官网victoriassecret.com已发布公告称“发现安全事件并正在采取措施处理”，同时强调“立即启动应急预案，聘请第三方专家介入，并预防性关闭官网及部分门店服务系统”。 网络安全专家证实该公告页面已持续显示至少三天。企业官网同步发布的声明补充说明技术团队正“全天候抢修以全面恢复运营”。作为全球拥有1380家门店、约3万名员工的头部内衣零售商，维密2024年净销售额达62亿美元（约合450亿人民币），此次停摆对其线上业务造成显著冲击。 这是近月来时尚行业系列网络安全事件的最新案例。此前阿迪达斯、迪奥、蒂芙尼等品牌相继披露客户及员工数据泄露事件。美国联邦调查局（FBI）已就此向零售企业发布安全预警——知名黑客组织Scattered Spider近期将攻击目标从英国转向美国市场。 该组织此前针对英国玛莎百货、Co-op超市及哈罗德百货的勒索软件攻击造成严重损失。谷歌威胁情报部门首席分析师约翰·霍特奎斯特指出：“有证据表明UNC3944组织（即Scattered Spider）正针对美国零售业发起勒索攻击，该组织以攻击手段激进、善于突破成熟防御体系著称。”该团伙擅长社会工程学攻击及利用第三方漏洞渗透目标系统，曾制造米高梅度假村、凯撒娱乐集团等重大网络安全事件。 网络安全界普遍认为Scattered Spider系犯罪集团“the Com”的分支，该集团涉嫌攻击Coinbase、拳头游戏及Reddit等企业。过去三年欧美执法部门已逮捕该组织多名成员，但其网络犯罪活动仍在持续升级。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司GreyNoise披露，新型僵尸网络“AyySSHush”已入侵全球超9000台华硕路由器，并同步针对思科、D-Link等品牌的SOHO设备。该活动最早于2025年3月中旬被发现，攻击手法呈现国家级黑客组织特征。 攻击者采用三重渗透策略： 暴力破解：尝试常见弱口令组合 身份验证绕过：利用老旧漏洞突破防线 漏洞利用：重点针对华硕RT-AC3100、RT-AC3200及RT-AX55型号设备，通过命令注入漏洞CVE-2023-39780植入SSH公钥 值得注意的是，攻击者通过官方功能添加密钥，使得配置更改在固件升级后仍保留。后门程序将SSH守护进程绑定至非常规端口53282，同时关闭系统日志与趋势科技AiProtection防护功能，实现隐蔽驻留。 法国安全公司Sekoia追踪的“Vicious Trap”活动与该僵尸网络存在技术重叠。攻击者除路由器外，还针对SSL VPN、DVR设备及基板管理控制器实施入侵。观察到恶意脚本通过重定向受控设备流量至第三方节点，但尚未发现DDoS攻击或流量代理行为，推测其正构建基础设施为后续攻击铺路。 华硕已发布受影响型号固件更新（具体发布时间因型号而异），建议用户： 立即升级至最新固件版本 检查路由器“authorized_keys”文件是否包含攻击者SSH密钥（IoC列表参见原文） 将关联IP地址（101.99.91[.]151等四组）加入防火墙黑名单 如遇可疑活动，执行恢复出厂设置并采用高强度密码重新配置 GreyNoise监测数据显示，过去三个月仅捕获30次恶意请求，但成功入侵设备达九千余台，显示攻击具备高度精准性。研究人员提醒，传统固件升级无法清除已植入的后门，彻底排查需结合日志审计与密钥验证。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌云旗下Mandiant威胁情报团队发布报告称，越南黑客组织UNC6032自2024年中期起，通过社交媒体平台投放虚假AI工具广告实施大规模恶意软件攻击。该组织利用Luma AI、Canva Dream Lab等知名AI视频生成工具的名义创建仿冒网站，诱导用户下载包含多阶段恶意载荷的压缩包。 攻击者通过Facebook和LinkedIn平台创建或劫持账户，投放数千条虚假广告。当用户点击广告后，会被重定向至高度仿真的AI工具网站。无论用户输入何种内容，网站均会生成虚假视频并推送恶意ZIP压缩包，其中包含以下组件： STARKVEIL投放器：使用Rust语言编写，负责释放后续恶意模块 XWORM后门：具备键盘记录、屏幕截图及远程控制功能 FROSTRIFT后门：采集系统信息并窃取浏览器扩展数据 GRIMPULL下载器：用于从C2服务器获取额外插件扩展攻击能力 研究人员发现攻击者注册了30余个仿冒域名，通过120多个广告群组覆盖欧盟地区超230万用户。为逃避检测，该组织采取动态域名轮换策略——新注册域名通常在24小时内即被投入广告投放，单个广告存活周期不超过48小时。LinkedIn平台相关广告主要针对美国（占比65%）、欧洲（20%）及澳大利亚（15%）用户，单日展示量达5万至25万次。 技术分析显示，攻击链采用“故障保护”设计理念。即使部分恶意模块被安全软件拦截，其他载荷仍可维持攻击有效性。XWORM后门与Morphisec此前报告的Noodlophile窃密程序存在捆绑分发现象，两者均能通过内存注入实现隐蔽驻留。恶意软件通过DLL侧载、进程注入等技术突破防御，并利用注册表AutoRun键实现持久化。 Mandiant强调，攻击者利用AI技术热潮构建的钓鱼陷阱已突破传统行业界限，任何对新兴工具感兴趣的用户均可能成为目标。企业应加强员工安全意识培训，重点识别社交媒体广告中的异常跳转链接。个人用户需通过官方渠道验证AI工具真实性，避免下载来路不明的压缩文件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个以牟利为目的的黑客组织正在利用Craft内容管理系统（CMS）新近披露的远程代码执行漏洞（CVE-2025-32432），部署包含加密货币矿工、Mimo加载器及住宅代理软件的多重恶意载荷。该高危漏洞已于今年4月由Orange Cyberdefense SensePost首次披露，官方在3.9.15、4.14.15和5.6.17版本中修复。 据Sekoia最新报告，攻击者通过该漏洞获取目标系统未授权访问权限后，部署WebShell实现持久远程控制。该WebShell会使用curl、wget或Python库urllib2从远程服务器下载并执行shell脚本。研究人员指出，攻击者在Python代码中将urllib2库别名为“fbi”，这种非常规命名可能暗指美国联邦调查局，或成为威胁溯源的重要线索。 该脚本首先检测系统感染痕迹，卸载已知加密货币矿工，终止所有活跃的XMRig进程及其他竞品挖矿工具，随后投放ELF可执行文件。该程序即Mimo加载器，通过修改动态链接器配置文件隐藏恶意进程，最终在受控主机部署IPRoyal代理软件和XMRig矿工。攻击者借此实现双重获利：劫持算力挖矿牟利，同时将受害者网络带宽转化为代理节点资源。 该攻击活动被归因于代号Mimo的黑客组织，其自2022年3月起活跃，曾利用Apache Log4j（CVE-2021-44228）、Atlassian Confluence（CVE-2022-26134）、PaperCut（CVE-2023–27350）及Apache ActiveMQ（CVE-2023-46604）等漏洞部署矿工。据安博士2024年1月报告，该组织2023年还使用基于Go语言的Mimus勒索软件实施攻击，该软件系开源项目MauriCrypt的分支版本。 Sekoia追踪发现攻击流量源自土耳其IP地址（85.106.113[.]168），开源情报显示Mimo组织成员可能物理位置位于该国。法国网络安全公司指出，Mimo组织以快速武器化新漏洞著称，此次从CVE-2025-32432漏洞披露到概念验证代码发布，再到实际攻击发生的时间间隔极短，充分展现其响应速度与技术敏捷性。目前确认该组织仍保持活跃，持续扫描利用新披露的漏洞实施攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名伊朗籍公民在美国联邦法院承认参与运营Robbinhood勒索软件团伙，该组织通过一系列勒索攻击瘫痪了全美多个市政厅、医院及私营企业系统。司法部表示，Sina Gholinejad于本周二对计算机欺诈与电信欺诈共谋罪认罪，承认与同伙入侵数十个网络，使用Robbinhood恶意软件加密数据并勒索比特币赎金。Gholinejad将于8月宣判，最高面临30年监禁。 Robbinhood最臭名昭著的攻击是2019年5月针对巴尔的摩市的入侵事件，迫使市政部门切断数百台电脑网络连接，导致水费、房产税及停车费在线支付系统瘫痪。巴尔的摩市最终耗费超1900万美元用于系统恢复与弥补收入损失，北卡罗来纳州、俄勒冈州、纽约州及新泽西州也有其他受害者。 检方指出，Robbinhood团伙采用类似现代勒索软件即服务（RaaS）的运营模式，其犯罪活动可追溯至2019年初。攻击者在受害机构留下勒索信，引导受害者通过Tor暗网平台协商赎金，要求以比特币支付。司法部透露，赎金到账后，该团伙通过混币器与其他加密货币进行“链跳”操作隐匿资金流向，并利用多层VPN掩盖登录痕迹。 美国检察官丹尼尔·布巴尔表示：“网络犯罪并非无受害者的罪行，这是对我们社区的定向攻击。Gholinejad及其同伙策划的勒索计划扰乱民生、企业及地方政府运作，导致受害者和机构蒙受数千万美元损失。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周二发布新发现的俄罗斯黑客组织“Void Blizzard”的技术文档，警告该组织过去一年持续窃取欧洲与北美政府机构及国防承包商的电子邮件、文件乃至Teams聊天记录。 在与荷兰情报机构联合发布的最新报告中，微软威胁追踪团队指出，该克里姆林宫黑客团队高度依赖网络犯罪经济的低成本资源：从信息窃取市场购买被盗账号密码，用于密码喷射攻击。 微软表示，近几周观察到该组织转向更精准的“中间人鱼叉式钓鱼”战术——通过仿冒域名伪造微软Entra登录页面，并以恶意二维码邀请函伪装成虚假的欧洲防务峰会。“我们评估Void Blizzard正在使用开源攻击框架Evilginx实施中间人钓鱼行动，窃取包括输入的用户名、密码及服务器生成的所有cookie在内的认证数据。”2017年公开的Evilginx是具备中间人攻击能力的广泛传播钓鱼工具包。 微软指出，尽管这些技术属于国家级网络间谍活动的常规手段，但受害者名单与俄罗斯其他网络间谍组织存在重叠。该俄罗斯黑客团队可能正在窃取可反馈至军事或外交决策的战略情报。北约国家与乌克兰仍是主要攻击目标，微软举例乌克兰某航空机构曾遭其他俄罗斯APT组织入侵，显示对空中交通与航天网络的重点关注。 根据微软描述，Void Blizzard的攻击流程简明直接： 窃取凭证 登录Exchange或SharePoint Online 自动化下载可见数据 微软威胁情报中心发现与Void Blizzard关联的“全球云服务滥用活动集群”，警告该组织对关键领域网络的高频攻击加剧北约成员国及乌克兰盟友的风险。在初始入侵后，微软捕获黑客滥用Exchange Online和Microsoft Graph等合法云API枚举邮箱（含共享邮箱）与云端文件的行为。 微软解释称：“账户失陷后，攻击者可能自动化批量收集云端数据（主要是邮件与文件），以及受害者有权访问的其他用户邮箱与文件共享。”在少量确认案例中，黑客通过Microsoft Teams网页客户端监视对话内容。攻击者有时使用公开工具AzureHound枚举受害组织的Microsoft Entra ID配置，获取租户内用户、角色、群组、应用程序及设备信息。 微软透露，自2024年年中以来，已追踪到针对电信、国防供应商、数字服务商、医疗及IT行业的成功入侵案例。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）发布警告称，自2022年起活跃的“Silent勒索组织”，简称SRG，又名月蛾、话痨蜘蛛、UNC3753，持续利用IT主题社会工程学通话及回拨式钓鱼邮件攻击美国律师事务所，通过获取系统远程访问权限窃取敏感数据实施勒索。该组织曾参与“BazarCall”恶意活动，并为Ryuk和Conti勒索软件攻击提供初始渗透支持。 FBI在警报中指出：“尽管该组织历史上攻击过多个行业企业，但自2023年春季起持续锁定美国律所，主要瞄准法律行业数据的高度敏感性。”最新监测显示，截至2025年3月，攻击者开始冒充IT支持人员致电员工，诱骗其开放远程访问权限，随后使用WinSCP、Rclone等工具窃取数据，多数情况下无需管理员权限即可得手。这种新型战术虽近期才出现，但已导致多起成功入侵事件。 得手后，该组织通过匿名邮件威胁出售或公开数据，甚至直接致电受害企业员工施压谈判。虽然运营着数据泄露网站，但FBI发现其威胁公示数据的行为存在反复。该组织攻击活动痕迹极少，常借助合法远程工具规避杀毒软件检测。典型攻击迹象包括：未经授权下载Zoho Assist/AnyDesk等工具、异常的WinSCP/Rclone外联流量、匿名组织的勒索来电/邮件，以及催促收件人致电取消订阅的钓鱼邮件。 报告最后建议：“实施基础防护措施，包括保持警惕、使用强密码、多因素认证及安装杀毒软件。针对静默勒索集团应重点采取以下措施：开展反钓鱼培训、制定IT人员身份核验规范、定期备份数据、全员启用双因素认证。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦网络防御部门发出警告，称黑客正瞄准数据管理巨头Commvault客户的云环境。这家总部位于新泽西的公司此前披露，微软在2月通报了一起由某未具名国家背景威胁组织引发的数据泄露事件，该事件导致“部分客户用于验证M365环境的应用程序凭证”遭窃取。 周四晚间，美国网络安全和基础设施安全局（CISA）发布通告称，Commvault正在“监测针对其微软Azure云托管应用的网络威胁活动”，认为“该活动可能是针对多家SaaS厂商云应用的大规模攻击行动组成部分，攻击者利用默认配置与高权限设置实施入侵”。 CISA指出，威胁组织可能“窃取了Commvault旗下Metallic微软365备份SaaS解决方案托管的客户密钥”。此处密钥指代连接应用与服务器的唯一验证代码。Commvault在3至5月间的多篇博客中解释称，此次泄露“影响少量与微软存在业务交集的客户”，但强调黑客从未触及该公司存储保护的客户备份数据，并表示正与CISA及FBI协作处理，已对受影响客户实施凭证轮换等处置措施。 CISA在公告中同步给出防护建议清单，包括监控日志、更换凭证等操作指引。该机构特别提到，近期已将Commvault漏洞CVE-2025-3928纳入已知被利用漏洞目录，并“持续联合合作机构调查恶意活动”。Commvault早前透露，取证调查发现攻击者“利用零日漏洞实施入侵”，并附有该漏洞的公告链接。 针对为何选择周四发布公告的质询，CISA拒绝置评。Commvault发言人回应称：“CISA此次警示内容无新增信息，所有情况均已在5月4日公告中披露，当前仅为情况重申。”微软则未回应关于攻击方国家归属、具体受害企业及数据风险等问询。 曾调查类似事件的BeyondTrust现场首席技术官詹姆斯·莫德指出，此类事件凸显第三方特权访问的风险隐患：“他们的漏洞终将成为你的漏洞。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文