HackerNews 编译，转载请注明出处： 与伊朗有关联的威胁组织UNC2428在2024年10月针对以色列发起以招聘为主题的社会工程攻击，其通过部署名为MURKYTOUR的后门实施网络间谍活动。 谷歌旗下Mandiant公司将UNC2428称为与伊朗结盟的威胁组织，该组织通过“复杂的欺骗技术链”部署恶意软件。 根据Mandiant 2025年度《M-Trends报告》，UNC2428伪装成以色列国防承包商拉斐尔（Rafael）的招聘方，诱导目标用户访问仿冒网站并下载所谓的“求职辅助工具”。 该工具（“RafaelConnect.exe”）实为LONEFLEET安装程序，启动后会向受害者展示图形用户界面（GUI），要求输入个人信息并提交简历。一旦用户提交信息，LEAFPILE启动器将在后台激活MURKYTOUR后门，使攻击者获得对受感染设备的持续访问权限。 Mandiant指出：“伊朗相关威胁组织通过图形用户界面将恶意软件伪装成合法应用。这类仿冒安装程序的界面设计能有效降低目标用户的怀疑”。 此活动与以色列国家网络局归因于伊朗威胁组织黑影（Black Shadow）的攻击存在重叠，后者受伊朗情报和安全部（MOIS）支持，以攻击以色列学术、旅游、通信、金融等多领域而闻名。 2024年，多个伊朗威胁组织瞄准以色列，包括使用专有擦除器POKYBLIGHT的Cyber Toufan组织。 另一组织UNC3313通过钓鱼攻击进行监视和信息收集，其攻击手段包括在文件共享平台托管恶意软件，并嵌入以培训和网络研讨会为主题的钓鱼链接。UNC3313还分发JELLYBEAN投放器和CANDYBOX后门，并滥用9种合法远程监控工具（RMM）规避检测。 2024年7月，疑似伊朗背景的攻击者伪装成Palo Alto Networks的GlobalProtect远程访问软件安装包，暗中部署.NET后门CACTUSPAL。该后门启动后验证进程唯一性，随后与外部C2服务器通信。 伊朗威胁组织如UNC1549还通过云基础设施增强隐蔽性，例如利用拼写错误域名（Typosquatting）或复用合法域名托管C2节点。APT42（又名Charming Kitten）则通过伪造谷歌、微软、雅虎登录页面窃取凭证，并利用Google Sites和Dropbox引导目标访问虚假Google Meet页面。 2024年，Mandiant在中东攻击活动中识别出20余种伊朗组织专用恶意软件家族，包括APT34（OilRig）用于攻击伊拉克政府实体的DODGYLAFFA和SPAREPRIZE后门。该公司警告：“伊朗相关威胁组织将持续调整战术手段以适应当前形势。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜（朝鲜民主主义人民共和国，DPRK）存在关联的多个威胁活动集群被确认针对Web3及加密货币领域的机构与个人实施攻击。 谷歌旗下Mandiant公司在提供给《The Hacker News》的《2025 M-Trends报告》中指出：“朝鲜因遭受严厉国际制裁，其针对Web3与加密货币的攻击主要出于经济动机。这些活动旨在获取资金，据信用于支持朝鲜大规模杀伤性武器（WMD）计划及其他战略资产。” Mandiant表示，朝鲜相关攻击者已开发使用Golang、C++和Rust等多种语言编写的定制工具，具备感染Windows、Linux和macOS操作系统的能力。 追踪编号为UNC1069、UNC4899和UNC5342的三个威胁集群被发现重点攻击加密货币与区块链开发群体，主要渗透从事Web3项目的开发人员以非法获取加密货币钱包权限及其所属机构访问权限。各集群特征如下： UNC1069（活跃至少自2018年4月）：通过Telegram发送虚假会议邀请并伪装知名企业投资者身份，针对多行业实施社会工程攻击以窃取数字资产与加密货币 UNC4899（活跃自2022年）：以招聘测试为名分发恶意代码实施供应链攻击（与Jade Sleet、PUKCHONG、TraderTraitor等组织存在技术重叠） UNC5342（活跃自2024年1月）：使用含恶意代码的编程任务诱骗开发人员运行（与Contagious Interview、DEV#POPPER等组织存在技术重叠） 另一朝鲜攻击者UNC4736通过植入后门的交易软件渗透区块链行业，被指与2023年初3CX供应链攻击存在关联。Mandiant公司还发现独立集群UNC3782实施针对加密货币行业的大规模钓鱼攻击，2023年针对TRON用户实施钓鱼攻击，单日转移价值超1.37亿美元资产，2024年转向攻击Solana用户诱导其访问含加密货币流失器的页面。 朝鲜通过派遣数千名IT人员（主要居住在中国与俄罗斯）渗透欧美亚企业远程岗位，这些人员大多隶属负责核计划的313总局。他们使用盗用身份与完全虚构身份，在面试阶段运用Deepfake技术创建逼真合成身份。 单操作员可使用多个合成身份应聘同一职位，长期潜伏企业虚拟桌面、网络与服务器实施数据窃取与网络攻击。 Palo Alto Networks Unit 42研究员Evan Gordenker指出该策略使朝鲜IT人员可规避安全公告通缉，显著降低检测概率。谷歌威胁情报组（GTIG）报告显示渗透人员还通过勒索雇主、薪资回流平壤等方式支持朝鲜战略目标。 2024年某朝鲜IT人员使用至少12个虚构身份应聘欧美岗位，某美国公司同一岗位出现两名朝鲜渗透人员竞争，其中一人成功入职，另有机构12个月内雇佣四名朝鲜IT渗透人员。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜加密货币窃贼正悄然利用鲜为人知的Zoom远程协作功能，在加密货币交易员与风险投资人士的工作站植入信息窃取恶意软件。非营利性安全联盟（SEAL）与网络安全研究公司Trail of Bits的独立报告显示，伪装成风投机构的平壤黑客通过Calendly链接发送Zoom会议钓鱼诱饵。 该行动被SEAL追踪为“Elusive Comet”，始于标准公关推介或直接邀请目标参与Aureon Capital旗下播客节目。若受害者接受邀请，黑客将安排Zoom通话以获取更多信息，常刻意延迟发送会议细节以制造紧迫感。 SEAL警告称：“受害者加入通话后会被要求共享屏幕进行演示。此时黑客通过Zoom请求控制受害者计算机。若受害者疏忽，可能误授远程权限，使Elusive Comet得以部署恶意软件。”该恶意软件兼具即时窃密与潜伏型远程访问木马（RAT）双重功能。 Zoom远程控制功能需用户明确授权方可实施。在已观测攻击中，黑客将显示名称改为“Zoom”，将权限请求伪装成系统弹窗。用户一旦误点批准，攻击者即获得完整键鼠控制权，随后投放恶意程序（含数据窃取模块与全功能RAT），全面扫描浏览器会话、密码管理器及加密种子短语。 SEAL事件日志显示该行动已造成数百万美元损失，并列出近30个傀儡社交媒体账户与多个伪造的Aureon Capital企业网站。Trail of Bits透露，其首席执行官曾遭遇冒充彭博制片人的X平台账号邀约“加密专题”采访，攻击者拒绝转用邮件沟通、临时发送会议链接，且提供的Zoom账户属于消费级而非企业账户。 该公司技术博客指出，攻击成功依赖macOS“辅助功能”权限与四步社会工程策略： 1、安排看似合法的商务通话 2、屏幕共享时请求远程控制 3、将显示名改为“Zoom”伪装系统通知 4、获取权限后实施恶意操作 Zoom官方文档明确声明，远程控制功能“绝非用于非受控管理”，而是作为“会议内”便利功能存在，任何会议主持人可在账户/群组/用户层级禁用该功能。管理员还可锁定该设置并移除攻击者用于跨设备传输私钥的剪贴板共享选项。 然而实际应用中，该功能默认保持开启状态于多数企业租户账户，且权限请求对话框未提供任何视觉提示以区分常规Zoom流程与异常请求。 Trail of Bits指出这种界面模糊性正是攻击的真正威力所在：面对传统远程桌面提示会警觉的专业安全人员，却很少对熟悉的协作工具产生戒心。该公司警告称：“此攻击的致命之处在于权限对话框与其他无害Zoom通知高度相似。习惯性点击‘批准’按钮的用户可能在无意识中授予计算机完全控制权。” Trail of Bits表示，观测到的攻击手法与2024年2月Bybit遭窃15亿美元事件的技术原理如出一辙——攻击者均通过操控合法工作流而非利用代码漏洞实施攻击。该公司补充道：“这印证了我们的观点：区块链行业已进入‘操作安全失效’时代，人为因素威胁现已超越技术漏洞风险。” Trail of Bits安全团队已将Zoom远程控制功能标记为“非必要风险”，并在其计算机系统部署技术控制措施禁用该功能。公司声明：“通过精准限制实现远程控制的辅助功能权限，我们既阻断了Elusive Comet的攻击载体，又确保合法视频会议功能不受影响。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，与俄罗斯防弹主机服务商Proton66关联的IP地址近期出现“大规模扫描、凭证暴力破解及漏洞利用尝试”激增现象。根据Trustwave SpiderLabs上周发布的两阶段分析报告，自2025年1月8日以来检测到该活动针对全球组织机构。 安全研究人员Pawel Knapczyk与Dawid Nesterowicz指出：“IP段45.135.232.0/24和45.140.17.0/24在大规模扫描与暴力破解方面表现尤为活跃。部分涉事IP地址此前未参与过恶意活动或已休眠超过两年。” 经评估，俄罗斯自治系统Proton66与另一个名为PROSPERO的自治系统存在关联。法国安全公司Intrinsec去年详细披露了这两个系统与俄语网络犯罪论坛中以Securehost和BEARHOST名义销售的防弹服务的联系。包括GootLoader和SpyNote在内的多个恶意软件家族已在Proton66上托管其命令与控制（C2）服务器和钓鱼页面。今年2月初，安全记者Brian Krebs揭露PROSPERO已开始通过俄罗斯杀毒软件厂商卡巴斯基实验室（莫斯科）运营的网络进行路由。 然而，卡巴斯基否认与PROSPERO存在合作，并表示“通过卡巴斯基运营网络进行路由并不默认意味着提供该公司服务，因为卡巴斯基的自治系统（AS）路径可能作为技术前缀出现在与其合作并提供DDoS服务的电信供应商网络中。” Trustwave最新分析显示，2025年2月从Proton66某个IP段（193.143.1[.]65）发起的恶意请求试图利用多个最新高危漏洞： CVE-2025-0108：Palo Alto Networks PAN-OS软件的认证绕过漏洞 CVE-2024-41713：Mitel MiCollab中NuPoint统一消息组件（NPM）的输入验证不足漏洞 CVE-2024-10914：D-Link NAS的命令注入漏洞 CVE-2024-55591与CVE-2025-24472：Fortinet FortiOS的认证绕过漏洞 值得注意的是，Fortinet FortiOS两个漏洞的利用行为已被归因于某初始访问中间商Mora_001，该实体被发现投放名为SuperBlack的新型勒索软件。 该网络安全公司表示还观察到多个与Proton66关联的恶意软件活动，旨在传播XWorm、StrelaStealer及名为WeaXor的勒索软件等家族。 另一项显著活动涉及利用与Proton66关联IP地址“91.212.166[.]21”的遭入侵WordPress网站，将安卓设备用户重定向至仿冒Google Play应用列表的钓鱼页面，诱骗用户下载恶意APK文件。这些重定向通过托管在Proton66 IP地址的恶意JavaScript实现。对虚假应用商店域名的分析表明，该活动专门针对法语、西班牙语和希腊语用户。 研究人员解释称：“重定向脚本经过混淆处理，并对受害者实施多项检查，例如排除爬虫程序与VPN/代理用户。通过ipify.org查询获取用户IP地址，随后通过ipinfo.io验证VPN或代理的存在。最终仅在检测到安卓浏览器时实施重定向。” 在某个Proton66 IP地址中还托管着可部署XWorm恶意软件的ZIP压缩包，专门通过社会工程手段针对韩语聊天室用户。攻击第一阶段为Windows快捷方式（LNK）文件，执行PowerShell命令后运行Visual Basic脚本，进而从同一IP地址下载Base64编码的.NET DLL文件。该DLL继续下载并加载XWorm二进制程序。 Proton66关联基础设施还被用于实施针对德语用户的钓鱼邮件活动，传播可与C2服务器（193.143.1[.]205）通信的信息窃取软件StrelaStealer。最后，WeaXor勒索软件（Mallox的修订版本）的组件被发现与Proton66网络中的C2服务器（“193.143.1[.]139”）通信。 建议各组织封锁所有与Proton66及疑似关联的香港服务商Chang Way Technologies相关的无类别域间路由（CIDR）范围，以消除潜在威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，朝鲜国家支持的黑客组织Kimsuky发起了新型恶意攻击，利用微软远程桌面服务（RDS）的BlueKeep漏洞（CVE-2019-0708）对日韩重点行业实施系统渗透。该行动被安实验室安全应急中心（ASEC）命名为Larva-24005。 韩国网络安全公司ASEC披露：“部分系统的初始入侵途径确认为RDP协议漏洞（BlueKeep，CVE-2019-0708）利用。尽管在受控系统发现RDP漏洞扫描工具，但尚未发现实际使用证据。” 技术漏洞分析： CVE-2019-0708（CVSS评分9.8）是远程桌面服务中的高危可蠕虫漏洞，允许未认证攻击者远程执行代码，进而安装任意程序、访问数据甚至创建具备完全权限的新账户。微软已于2019年5月发布补丁修复该漏洞，但攻击者仍需通过RDP协议向目标系统发送特制请求方可利用。 攻击链扩展分析： 除BlueKeep外，攻击者还采用钓鱼邮件作为第二入侵向量，利用Equation Editor漏洞（CVE-2017-11882，CVSS评分7.8）触发恶意负载。渗透成功后，攻击者部署名为MySpy的信息窃取器及RDPWrap工具，并修改系统配置开启RDP访问权限。 攻击终局阶段： 最终投放KimaLogger和RandomQuery等键盘记录器实施按键捕获。ASEC确认，自2023年10月以来，攻击活动主要针对韩国软件、能源及金融行业，日本同为重灾区。该组织其他已知目标国家包括美国、中国、德国等13国。 防御建议： 1、立即验证CVE-2019-0708补丁状态 2、强化RDP访问控制策略 3、部署邮件安全网关过滤恶意附件 4、监控异常RDP连接行为 5、定期审计系统日志寻找入侵痕迹 据MITRE ATT&CK框架分析，本次攻击活动涉及T1190（漏洞利用）、T1204（用户执行）、T1059（命令执行）等战术阶段，符合APT组织典型作战模式。目前相关IoC指标已纳入主流威胁情报平台。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一个公开可访问的服务器，内含超过1.58亿条AWS密钥记录。其中大部分密钥是跨不同区域端点和配置复制的重复条目。 然而进一步调查发现，攻击者通过爬取和其他方式收集AWS密钥，对存储桶进行加密并索要赎金的恶意活动。研究人员将密钥列表精简至1,229组独特的AWS密钥对，每组包含访问密钥ID及对应的秘密访问密钥。许多密钥对已被轮换，但仍在生效的有效密钥对已导致含有勒索信的S3存储桶被加密。 某未知威胁行为体正滥用AWS原生服务端加密功能以隐藏行踪。网络安全研究员、SecurityDiscovery.com所有者Bob Diachenko表示：“这是罕见且可能前所未有的协同勒索攻击案例——攻击者利用泄露的AWS凭证，在存储桶所有者未察觉或未操作的情况下，通过客户提供密钥的服务器端加密（SSE-C）对S3存储桶数据进行加密。” 关键要点： 1、发现超过1.58亿条泄露的AWS密钥记录，指向1,229组独特凭证。有效AWS密钥允许攻击者列出S3存储桶并检索勒索要求。 2、勒索信显示文件是使用客户提供密钥的服务器端加密（SSE-C）加密的。 3、勒索金额为每名受害者0.3枚比特币（约合2.5万美元）。 部分受害者仍不知情。 此次恶意活动无明确归属且高度自动化。攻击者在名为warning.txt的文件中留下勒索信。每个被加密的S3存储桶似乎都有独立的警告信息及唯一的比特币（BTC）地址。黑客留下联系邮箱awsdecrypt[@]techie.com。 攻击者正在利用AWS对抗其客户——他们滥用客户提供密钥的AWS服务器端加密（SSE-C）来加密S3存储桶数据。Halcyon RISE团队此前已详细说明过该技术。这意味着攻击者生成自己的加密密钥（AES-256），用于锁定数据，使得没有密钥就无法恢复。 这种攻击模式允许”静默入侵”，漏洞发生时不会向受害者发出警报或报告，也没有文件删除日志。威胁行为体保持存储桶结构完整。此外，攻击者似乎甚至懒得窃取数据实施双重勒索。 此前观察到攻击者设置S3生命周期策略在7天内删除加密数据，进一步逼迫受害者付款。令人担忧的是，多个案例中受影响的AWS环境仍在运行，表明受害者可能仍未意识到漏洞存在。 “部分受害者可能尚未察觉其存储桶已被加密，尤其是当受影响文件访问频率较低，或存储桶用于备份时。某些暴露的备份是空的且可能是新创建的，这使未来项目面临风险。”Diachenko表示。 研究人员还指出，攻击者在多个案例中警告受害者不要更改凭证，并通过允许测试文件恢复来提供’解密证明’。”此事件标志着云勒索策略的重大升级。其简单性使其特别危险：攻击者仅需窃取密钥——无需复杂漏洞利用。”Diachenko补充道。 他们警告称，对采用AWS原生强加密锁定的数据进行暴力破解或其他方式解密实际上是不可能的。 黑客如何收集AWS密钥？ 威胁行为体收集海量AWS密钥的确切方法尚未证实。但Cybernews研究人员提出几种最可能的假设： 1、公共代码库泄露的AWS密钥：密钥凭证常被误提交至GitHub、Bitbucket等平台。攻击者随后使用TruffleHog、Gitleaks等工具爬取这些代码库获取密钥。 2、不安全的CI/CD（持续集成/持续部署）工具：Jenkins或GitLab Runner常存储AWS密钥。这些密钥可能因配置错误部署或弱凭证而暴露。 3、Web应用中配置错误的.env和config.php或JSON配置文件：这些文件本应保密，但因配置错误可能导致凭证泄露。 4、泄露与入侵事件：被入侵的开发工具、云控制面板或密码管理器可能成为来源。黑客可从非法市场收集凭证。 5、陈旧/被遗忘的IAM用户：许多云环境中普遍存在极少轮换且长期有效的非活跃IAM用户凭证，这些是静默攻击的主要目标。 攻击者还可通过其他多种方式提取凭证。此前Cybernews研究发现，iOS应用平均包含5个硬编码密钥，可能导致泄露与数据泄露。 如何保护云存储桶？ AWS凭证本应保密。Cybernews研究人员建议通过以下方法强化AWS环境： 1、立即审计所有IAM凭证。停用未使用的密钥并轮换有效密钥。 2、实施AWS Config和GuardDuty服务以检测可疑访问模式。 3、使用自动化工具扫描公共代码库是否泄露密钥。 4、强制使用短期临时令牌，并从应用中移除硬编码凭证。 5、对所有IAM角色应用最小权限原则。 6、监控存储桶中warning.txt等未知新文件。 7、配置策略限制SSE-C使用，并启用详细日志记录以检测异常活动。 Cybernews已将暴露实例通报AWS。我们也联系对方寻求更多评论，收到回复后将予以补充。 AWS鼓励所有客户遵循安全、身份与合规最佳实践。若客户怀疑遭受入侵，可先参考本文列出的步骤或联系AWS支持团队。       消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种与已知后门程序BPFDoor相关的新型控制器组件。该组件被用于2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击。 趋势科技研究员Fernando Mercês在本周发布的技术报告中指出：该控制器可开启反向Shell，使攻击者通过横向移动深入受感染网络，控制更多系统或获取敏感数据。 该活动被中等置信度归因于追踪代号为Earth Bluecrow的威胁组织（亦被称为DecisiveArchitect、Red Dev 18和Red Menshen）。置信度较低的原因是BPFDoor恶意软件源代码已于2022年泄露，意味着其他黑客组织可能也在使用该工具。 BPFDoor是一款Linux后门程序，最早于2022年曝光。公开披露前至少一年，该恶意软件已被用作针对亚洲和中东实体的长期间谍工具。 其最显著特点是能为攻击者创建持久且隐蔽的通道，长期控制受感染工作站并窃取敏感数据。 该恶意软件得名于其使用的伯克利数据包过滤器（BPF）技术。该技术允许程序将网络过滤器附加到开放套接字，通过检查传入数据包并监测特定Magic Byte序列触发恶意行为。 Mercês解释：由于目标操作系统对BPF的实现方式，即使防火墙拦截了数据包，Magic Packet仍能触发后门——当数据包抵达内核的BPF引擎时，驻留的后门即被激活。此类特性常见于Rootkit，但在后门程序中极为罕见。 趋势科技最新分析发现，受攻击的Linux服务器还被一种此前未记录的恶意控制器感染。该控制器用于在横向移动后访问同一网络内其他受感染主机。 Mercês补充：控制器在发送BPFDoor植入的BPF过滤器所检测的Magic Packet前，会要求用户输入密码，该密码也将在BPFDoor端进行验证。 随后，控制器会根据提供的密码和命令行选项，指示受感染设备执行以下操作之一： 开启反向Shell 将新连接重定向至指定端口的Shell 确认后门处于活跃状态 需特别指出的是，控制器发送的密码必须与BPFDoor样本中的硬编码值匹配。该控制器除支持TCP、UDP和ICMP协议控制受感染主机外，还可启用加密模式确保通信安全。 此外，控制器支持直接模式（Direct Mode）——当输入正确密码时，攻击者可直连受感染设备并获取远程访问Shell。 Mercês警告：BPF为恶意软件开发者开启了未被探索的新可能。作为威胁研究人员，必须通过分析BPF代码为未来威胁做好准备，这将帮助组织抵御基于BPF的攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球领先汽车租赁公司赫兹集团（Hertz Corporation）正就数据泄露事件通知客户及监管机构，确认客户敏感信息遭窃。 黑客窃取内容包括： 客户姓名 联系方式 出生日期 信用卡信息 驾照信息 根据数据事件通知，此次泄露还涉及工伤赔偿相关数据。赫兹声明：“极少数个体的社会安全号码、政府签发的其他身份证明、护照信息、医疗保险/医疗补助ID（关联工伤索赔）或车辆事故索赔中的伤情信息可能受影响。” 公司未披露受影响总人数。根据向缅因州总检察长办公室提交的文件，确认该州3,409位居民信息遭泄露。赫兹还向欧盟、英国及其他国家发布了独立的数据事件通告。 数据窃取确认于2025年2月10日。赫兹解释称，攻击者利用文件传输平台Cleo的零日漏洞（分别于2024年10月和12月被利用）。赫兹使用该平台仅用于有限用途”。 Cl0p勒索组织疑似幕后黑手。 Cybernews此前报道Cleo遭俄罗斯关联勒索组织Cl0p攻击。去年末，该组织威胁将公开约60家公司数据以胁迫赎金谈判。尽管泄露网站名单经脱敏处理，但包含”hertz####”条目。 Cleo软件产品（包括Harmony、VLTrader、LexiCom）广泛用于安全文件传输与业务整合流程。攻击者利用关键零日漏洞CVE-2024-50623和CVE-2024-55956（CVSS评分9.8/10）。漏洞允许未授权攻击者通过自动运行目录默认设置，在主机系统执行任意Bash/PowerShell命令，并存在可导致远程代码执行的无限制文件上传/下载风险。 Cleo声称拥有超过4,200家企业客户，去年曾强烈建议客户立即升级所有软件实例。Cl0p的此次攻击手法类似史上最大规模黑客活动MOVEit攻击（2023年影响超2,600家机构及9,000万个人，据称获利7,500万至1亿美元）。 目前Cl0p泄露网站公告称赫兹等57家公司无视赎金通知，故已发布完整文件”。赫兹集团旗下拥有Hertz、Dollar、Thrifty品牌，现为受影响客户提供两年免费身份监控服务。 公司声明：“赫兹确认Cleo已着手调查事件并修复漏洞，同时已向执法部门报告并将向相关监管机构通报。”尽管未发现泄露信息遭滥用，赫兹仍建议客户防范潜在欺诈，定期核查账户异常活动。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某非法论坛上名为”beltway”的新注册账号声称，其于2025年4月从武田制药官网Takeda.com导出约200万条用户信息。该威胁者表示：”我们现公开出售该数据集，起拍价7.5万美元，数据仅售一次。武田官网工作人员已联系我要求下架。” 威胁者提供了部分数据样本，据称包含大量敏感信息。样本内容显示个人身份信息、职业详情及内部系统标识符混杂存在，疑似来自CRM或数据管理系统（多次提及Veeva平台）。 样本清单包含： 姓名 电子邮箱 电话号码 职位头衔 组织隶属关系 各类系统数据（ID编号、联系数据、记录状态字段等） 日本最大制药企业武田制药（创立于1781年，市值450亿美元）尚未确认或否认该指控，也未向投资者发布相关信息。公司发言人表示：”武田高度重视数据与隐私安全。我们已知晓关于企业官网Takeda.com可能存在数据泄露的指控，已启动内部调查并评估其真实性。” 网络安全研究员Neringa Macijauskaitė分析称：”样本仅包含少量用户数据，难以验证真伪。不过Veeva系统确为生物医药行业常用CRM平台。”样本中提及的”医生”和”药师”字段显示数据可能涉及客户而非内部员工，包含医疗行业典型的客户追踪属性（专业资质、同意书状态、区域划分等）。 若数据泄露属实，受影响客户将面临商业电子邮件入侵（BEC）诈骗的高风险。Macijauskaitė警告：“详细的职业信息（如CEO、医生等头衔）可使钓鱼邮件更具针对性，伪造成可信医药公司索取敏感凭证。” 值得关注的是，成熟网络犯罪组织通常避免发布未经证实的信息。但近期虚假指控激增，如Babuk2黑客组织此前散布的伪造勒索声明。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文