HackerNews 编译，转载请注明出处： 疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序，持续针对中东地区的航空航天、航空和国防行业发动攻击。 谷歌旗下的曼迪昂特（Mandiant）公司将该活动归因于一个代号为 UNC1549（又称 “雨云狮身人面像” 或 “狡猾蜗牛”）的威胁集群，该集群于去年年初首次被这家威胁情报公司记录在案。 研究人员穆罕默德・埃尔 – 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示：“2023 年末至 2025 年期间，UNC1549 采用了复杂的初始访问向量，包括滥用第三方合作关系获取入口（从服务提供商转向其客户）、从第三方虚拟桌面基础设施（VDI）突破，以及针对性极强、与角色相关的钓鱼攻击。” 此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时，该组织通过领英（LinkedIn）发起以招聘为主题的社会工程学攻击，成功入侵了 11 家机构。 事件响应与数字取证（DFIR）托管服务 谷歌称，攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动，以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。 尽管这些组织通常拥有强大的防御体系，但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用：他们先获取关联实体的访问权限，再渗透目标核心系统。 攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰（Citrix）、威睿（VMWare）和 Azure 虚拟桌面与应用程序（VDA）等服务相关的凭证，建立初始立足点，随后突破虚拟化会话限制，获取底层主机系统访问权限，并在目标网络内开展横向移动活动。 另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件，诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现，UNC1549 还在攻击中针对 IT 人员和管理员，以获取具有高权限的凭证，从而获得对网络的深度访问权。 攻击者一旦入侵成功，后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取，系统性收集网络 / IT 文档、知识产权和电子邮件。 该威胁行为者在攻击中使用的部分定制工具如下： MINIBIKE（又称 SlugResin）：已知的 C++ 后门程序，可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器（Google Chrome）、勇敢浏览器（Brave）和微软 Edge 浏览器的浏览数据，并截取屏幕截图。 TWOSTROKE：C++ 后门程序，支持系统信息收集、动态链接库（DLL）加载、文件操作和持久化驻留。 DEEPROOT：基于 Go 语言的 Linux 后门程序，支持执行 shell 命令、枚举系统信息和文件操作。 LIGHTRAIL：定制隧道工具，疑似基于开源 Socks4a 代理工具 Lastenzug 开发，利用 Azure 云基础设施进行通信。 GHOSTLINE：基于 Go 语言的 Windows 隧道工具，通过硬编码域名进行通信。 POLLBLEND：C++ Windows 隧道工具，利用硬编码的命令与控制（C2）服务器注册自身并下载隧道配置。 DCSYNCER.SLICK：基于 DCSyncer 开发的 Windows 工具，用于执行 DCSync 攻击以提升权限。 CRASHPAD：C++ Windows 工具，用于提取浏览器中保存的凭证。 SIGHTGRAB：C 语言编写的 Windows 工具，选择性部署以定期捕获屏幕截图并保存至磁盘。 TRUSTTRAP：恶意软件，通过弹出 Windows 提示框诱骗用户输入微软账户凭证。 网络安全配置（CIS）构建工具包 攻击者还使用了多款公开可用的程序，包括：用于查询活动目录（Active Directory）的 AD Explorer；用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具（Atelier Web Remote Commander，AWRC）；以及用于远程控制的 SCCMVNC。此外，该威胁行为者还通过删除远程桌面协议（RDP）连接历史注册表项来阻碍调查。 曼迪昂特公司表示：“UNC1549 的攻击活动特点在于其专注于预判调查行动，并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月，仅在受害者尝试清除后才激活以重新获取访问权限。” “他们利用大量反向 SSH 隧道（可减少取证证据）和策略性模仿受害者所在行业的域名，维持隐蔽性和命令与控制（C2）通信。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Resecurity 的最新报告详细说明了麒麟勒索软件即服务（RaaS）团伙如何依赖全球防弹托管网络来支持其勒索行动。Resecurity 的这份报告将探讨麒麟 RaaS 运营对防弹托管（BPH）基础设施的依赖，重点关注分布在全球不同地区的流氓提供商网络。 麒麟是当今勒索组织中最为活跃且强大的威胁团伙之一。最引人注目的是，他们最近声称对日本啤酒巨头朝日集团控股公司 9 月的勒索软件攻击负责，该攻击使朝日集团的运营和生产功能瘫痪了近两周。Resecurity 的调查人员与麒麟操作员进行了私下交流，得知威胁行为者正试图以 1,000 万美元的价格出售被盗的朝日数据。这些要求是在 10 月 11 日收到的，当时朝日集团的运营刚刚中断，这可能是麒麟排除中间人、加快对受害者施压的一种策略。 10 月 15 日，麒麟宣布了新的目标和已确认的受害者，包括但不限于： 西班牙税务管理机构（Agencia Tributaria），西班牙王国的税收机构 美国的 Centurion Family Office Services LLC 美国的 Rasi Laboratories，一家生产开发营养保健品的制造商，专注于胶囊、片剂、益生菌和功能性食品等膳食补充剂 位于美国俄克拉荷马州塔尔萨的 Victory Christian Center，一个以社区为中心的教堂 美国里士满行为健康管理局（RBHA），一个致力于为里士满市居民提供全面心理健康、智力障碍、药物滥用及预防服务的州级组织 非洲的 Turnkey Africa，一家为非洲保险行业提供技术解决方案的领先提供商 美国的 Charles River Properties，一家总部位于马萨诸塞州沃尔瑟姆的房地产经纪公司 美国的新泽西财产责任保险担保协会 法国南部 Pyrénées-Orientales 部门的圣克劳德市（Commune De Saint Claude），一个市政服务机构 法国南部 Pyrénées-Orientales 部门的 Ville-Elne，一个市镇 此前，在 10 月 14 日，麒麟宣布大众汽车集团法国公司（大众汽车股份公司的子公司）、德克萨斯州的 San Bernard 电力合作社和 Karnes 电力合作社已被攻破。 针对汽车行业尤其值得关注，特别是考虑到此前捷豹路虎（JLR）事件以及勒索软件活动的破坏性后果。麒麟可能是受到数据泄露成功结果的启发，或者他们与提供此类组织访问权限的初始访问代理（IAB）合作，这些访问权限在暗网上出售。 鉴于公布的受害者数量和新被攻击的组织数量，10 月可以说是麒麟最“丰收”的一个月。很明显，该团伙正在增加对美国的攻击，此前曾攻击过佛罗里达州里维埃拉海滩市和科布县等地方市政机构。该团伙已公布了来自不同市场领域和地理区域的 50 多个新受害者，包括克罗地亚、格林纳达、法国、德国、匈牙利、意大利、韩国、巴基斯坦和卡塔尔。 麒麟勒索软件团伙的一个显著特点是其与地下防弹托管（BPH）运营商的密切联系，这些运营商使网络犯罪分子能够秘密托管非法内容和基础设施，使其超出执法部门的管辖范围。例如，自该团伙出现以来，它一直引用多个文件共享托管来检索存储在复杂法律管辖区的受害者数据。 BPH 服务的隐蔽性使得网络安全研究人员和执法机构难以识别其运营商并摧毁其基础设施。这使得打击网络犯罪和保护用户免受网络威胁的努力变得复杂。与麒麟相关的防弹托管已进入“私密模式”，并在流行的暗网社区中实施了退出骗局。然而，截至 2025 年 10 月 15 日，与本报告中描述的活动相关的所有法人实体（位于俄罗斯和香港）仍在继续运营。 与麒麟这样的勒索软件团伙的联系证实了这种活动的有组织性，这是现代跨国网络犯罪团伙的典型特征，它们以盈利为目的运营，并利用司法管辖区的挑战来掩盖其活动。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正利用 Gladinet 公司旗下 CentreStack 与 Triofox 产品中的零日漏洞（漏洞编号 CVE-2025-11371）发起攻击。该漏洞可使本地攻击者在无需身份验证的情况下，访问系统文件。 目前已有至少三家企业成为攻击目标。尽管官方补丁尚未发布，但用户可通过临时缓解措施降低风险。 CentreStack 与 Triofox 是 Gladinet 推出的企业级文件共享与远程访问解决方案，支持企业将自有存储资源用作 “私有云”。据厂商介绍，CentreStack “已被来自 49 个国家的数千家企业采用”。 此次发现的零日漏洞 CVE-2025-11371 属于 “本地文件包含漏洞”（Local File Inclusion，LFI），影响 CentreStack 与 Triofox 的默认安装配置，且所有版本（包括最新版本 16.7.10368.56560）均存在该漏洞。 托管式网络安全平台 Huntress 的研究人员于 9 月 27 日发现了这一安全问题 —— 当时有黑客成功利用该漏洞获取了目标设备的 “机器密钥”（machine key），并实现了远程代码执行。 进一步分析显示，黑客通过该 LFI 漏洞读取了系统中的 Web.config 配置文件，并从中提取出机器密钥。随后，黑客利用另一处老旧的 “反序列化漏洞”（漏洞编号 CVE-2025-30406），通过 ViewState（ASP.NET框架中的状态管理机制）实现了 “远程代码执行”（Remote Code Execution，RCE）—— 即远程操控目标设备。 值得注意的是，CentreStack 与 Triofox 中的 CVE-2025-30406 反序列化漏洞早在今年 3 月就已被黑客在实际攻击中利用。该漏洞的根源是软件中存在 “硬编码机器密钥”（即密钥被固定写入代码，无法修改），黑客一旦获取该密钥，即可在受影响系统上执行远程代码。 Huntress 在报告中表示：“经后续分析发现，黑客利用了这一无需身份验证的本地文件包含漏洞（CVE-2025-11371），从应用程序的 Web.config 文件中获取机器密钥，再通过上述 ViewState 反序列化漏洞实现远程代码执行。” Huntress 已就该漏洞联系 Gladinet 公司。厂商确认已知晓此漏洞，并表示正在通知用户采取临时规避措施，直至正式补丁发布。 研究人员已向受攻击的企业客户提供了缓解方案，并公开了以下针对 CVE-2025-11371 的防护建议： 找到路径为 “C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config” 的配置文件，禁用其中 “UploadDownloadProxy 组件” 的 “temp handler”（临时处理器）功能； 在该 Web.config 文件中定位并删除定义 “temp handler” 的代码行 —— 该行代码指向 “t.dn”。 上述代码行是触发漏洞的关键：黑客正是通过该功能利用本地文件包含漏洞发起攻击，因此删除该行代码可有效阻止 CVE-2025-11371 漏洞被利用。 研究人员同时提醒，这些缓解措施 “可能会对平台的部分功能产生影响”，但能确保漏洞不会被黑客利用。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了黑客组织 ShinyHunters所使用的 BreachForums 论坛域名。该域名此前被用作数据泄露勒索平台，与针对 Salesforce 的大规模攻击相关；而该黑客组织声称，执法部门还窃取了这个臭名昭著的黑客论坛的数据库备份。 此次被查封的域名为 Breachforums.hn。今年夏天，该域名曾被用于重新上线 BreachForums 黑客论坛，但不久后，因多名涉嫌运营该论坛的人员被捕，网站再次下线。 2025 年 10 月，一个名为 “Scattered Lapsus$ Hunters”的黑客团伙将该域名改造为 Salesforce 数据泄露平台，以勒索那些受 Salesforce 数据窃取攻击影响的企业。该团伙声称其成员与 ShinyHunters、Scattered Spider及 Lapsus$这三个勒索组织存在关联。 上周二，该平台的明网域名 breachforums.hn 及其 Tor 暗网版本均已下线。其中，Tor 暗网站点很快恢复访问，但 BreachForums 明网域名始终无法打开 —— 其域名已切换至美国政府此前查封其他域名时所用的 Cloudflare 域名服务器。  10 月 9 日晚，FBI 完成了查封行动：在该网站添加了查封公告横幅，并将域名的域名服务器切换为 ns1.fbi.seized.gov 与 ns2.fbi.seized.gov。 根据查封公告内容，在美国与法国执法部门的协作下，双方在 Scattered Lapsus$ Hunters团伙开始泄露 Salesforce 攻击所获数据之前，就已控制了 BreachForums 论坛的网络基础设施。 然而，由于该团伙的 Tor 暗网站点仍可访问，其声称将在美国东部时间10月10日晚 11 点 59 分开始泄露 Salesforce 相关数据，目标直指未支付赎金的企业。 2023 年以来的数据库备份已被 FBI 掌控 除捣毁上述数据泄露平台外，ShinyHunters 组织证实，执法部门还获取了 BreachForums 黑客论坛此前多个版本的存档数据库。 “BleepingComputer”媒体核实，ShinyHunters通过 Telegram 发布了一条用其 PGP 密钥签名的信息。该黑客组织在信息中称，此次查封 “早已不可避免”，并表示 “论坛时代已经结束”。 通过对执法部门行动后的情况分析，ShinyHunters得出结论：2023 年以来 BreachForums 论坛的所有数据库备份，以及该论坛最新一次重启后所有的第三方托管（escrow）数据库，均已被泄露。 该团伙还表示，其后台服务器已被查封，但该组织在暗网上的数据泄露站点仍在运行。 ShinyHunters称，其核心管理团队无人被捕，但不会再重新上线 BreachForums 论坛，并指出从今往后，此类论坛都应被视为 “蜜罐”。 根据该黑客组织的消息，在RaidForum平台被捣毁后，同一核心团队曾计划多次重启论坛，并利用 pompompurin等管理员作为幌子。 ShinyHunters 团伙在 FBI 查封 BreachForums 后的声明 该网络犯罪团伙强调，此次查封并未影响其针对 Salesforce 的攻击行动，数据泄露仍按原计划于美东时间当日晚 11 点 59 分进行。 该团伙的暗网数据泄露站点显示，受 Salesforce 攻击影响的企业名单冗长，其中包括联邦快递（FedEx）、迪士尼 / 葫芦视频（Disney/Hulu）、家得宝（Home Depot）、万豪（Marriott）、谷歌（Google）、思科（Cisco）、丰田（Toyota）、盖璞（Gap）、麦当劳（McDonald’s）、沃尔格林（Walgreens）、因斯塔卡特（Instacart）、卡地亚（Cartier）、阿迪达斯（Adidas）、萨克斯第五大道精品百货（Saks Fifth Avenue）、法航 – 荷航集团（Air France & KLM）、环联（TransUnion）、HBO MAX、联合包裹速递服务公司（UPS）、香奈儿（Chanel）及宜家（IKEA）等。 黑客声称，他们窃取了超 10 亿条包含用户信息的记录。 Scattered Lapsus$ Hunters利用 BreachForums 开展 Salesforce 攻击行动 BreachForums 论坛最近一次以经典形式重启，是由ShinyHunters于 2025 年 7 月宣布的 —— 此前几天，法国执法部门逮捕了该论坛前几次重启版本的 4 名管理员，其中包括用户名分别为 ShinyHunters、Hollow、Noct 和 Depressed 的人员。 与此同时，美国当局宣布对凯・韦斯特（Kai West）提起指控。凯・韦斯特又名 “IntelBroker”，是 BreachForums 网络犯罪生态系统中的知名成员。 2025 年 8 月中旬，BreachForums 论坛下线。ShinyHunters发布了一条经 PGP 签名的消息，称该论坛的基础设施已被法国 BL2C 部门（注：法国警方专门打击网络犯罪的单位）和 FBI 查封，并警告不会再有后续重启计划。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上月，马里兰州交通管理局（MTA）披露，多个州政府部门正遭遇网络攻击，相关系统受到影响，其中包括用于组织残障人士交通出行的系统。本周，MTA对这一事件的情况进行了更新。 MTA确认在这次网络攻击中存在数据被盗。 MTA工作人员维罗妮卡·巴蒂斯蒂（Veronica Battisti）表示，由于调查仍在进行且相关议题十分敏感，机构“无法透露具体或额外的细节，包括到底有哪些数据丢失、多少人受到影响”。 官员们称，州信息技术部正与网络安全专家及执法机构合作，调查此次事件。 勒索团伙开口要价：30枚比特币 据网络安全公司VenariX报告，本周三，名为Rhysida的勒索软件团伙宣称对此次攻击负责，并要求MTA在七天内交付赎金30枚比特币（约合340万美元）。 该团伙分享了部分被盗数据样本，其中包括护照、驾驶执照、合同及其他文件。 核心服务正常，其他服务待恢复 MTA称，其核心交通服务如公交线路、地铁和轻轨系统未受到影响，但此次攻击破坏了部分实时信息系统，以及Mobility等特殊交通服务的相关工具。 Mobility是一种定制化出行服务。专为无法直接到达，或在公交站点等待的居民提供的共享出行服务。用户可通过网站预约车辆，从家门口接送至目的地。 据悉，攻击发生后，Mobility服务于8月29日通过临时电话系统恢复，但MTA未说明全面恢复需要多久。目前仍有部分公交车无法提供实时位置追踪。 在事件调查过程中，MTA也提醒居民采取预防措施，如警惕钓鱼邮件、及时修改密码、使用多重身份验证，并保持设备软件更新。 恶贯满盈，Rhysida攻击已非首次 这起针对MTA的攻击，是本周第二起涉及州政府的勒索软件事件。在此之前，INC勒索团伙声称攻击了宾夕法尼亚州检察长办公室。 自2023年冒头以来，Rhysida已在美国多地制造混乱，对西雅图和俄亥俄州哥伦布市政府的攻击一度导致关键服务中断。 该团伙的攻击目标遍及全球，科威特、葡萄牙和多米尼加共和国的政府部门都曾遭殃。他们甚至毫不避讳地对儿童医院、医疗网络、慈善机构和公共图书馆下手。 就在去年，Rhysida还攻击了马里兰州的 普林斯乔治县公立学校系统，导致近10万名学生和教职工的信息被曝光。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个网络犯罪集团声称已成功攻击德国的包机运营商 FAI Aviation Group。攻击者表示，他们获取了大量敏感数据，从公司文件到医疗信息不等。 该航空公司被列在 J Group 勒索软件团伙的暗网博客上。该博客用于展示其最新的受害者，有时也会公布被窃取的数据。网络犯罪分子称，他们掌握了近 3TB 的数据。 FAI 是一家总部位于纽伦堡的包机运营商，提供固定翼救护机服务、豪华公务机包机以及任务关键型航空服务。该公司在迪拜和巴林设有子公司，员工总数约 300 人。 FAI 数据泄露了什么？ J Group 在其帖子中声称，此次数据泄露涉及多类敏感和个人信息。例如，黑客称他们获取了私密的患者数据，这可能与 FAI 的空中救护服务相关。数据集中据称包含患者的临床信息。 攻击者还表示，泄露的信息包括商业文件、项目资料、涉及员工投诉的公司内部文件，以及其他原本不应公开的内容。 Cybernews 研究团队调查了攻击者在暗网帖子中附带的文件。不过，该附件仅是一个文本文件，显示了所谓被盗文件和文件夹的目录树。据团队称，目录中提及了：各类员工培训文件、审计文件、飞机规格文件、个人简历（CV）、护照复印件等。 研究团队认为，恶意行为者可能利用这些泄露的信息进行身份盗窃和欺诈。相关文件可能被用于开设虚假账户，从而对被泄露人员造成经济损失。 另一个潜在风险是 社会工程攻击。例如，攻击者可能冒充 FAI 或其他包机服务公司行骗，因为他们知道受害者群体使用此类服务，而且很可能具备一定的资金实力。 更糟的是，医疗和生物识别数据 不可更改。一旦被泄露，用户无法“修改”自己的病历，从而带来长期风险。与此同时，内部审计文件可能揭示公司系统的弱点，未来可能被持续攻击者利用。 黑客团伙往往将航空公司与包机运营商作为攻击目标，因为任何业务中断对航空公司来说都代价高昂。过去三个月内，已有多家航空公司中招，包括加拿大第二大航空公司 西捷航空（WestJet Airlines）、美国的 阿拉斯加航空（Alaska Airlines）、澳大利亚的澳洲航空（Qantas）以及美国的 夏威夷航空（Hawaiian Airlines）。 J Group 勒索软件团伙是谁？ J Group 是网络犯罪地下世界的一支新兴力量，最早在 2025 年初被发现。目前关于该团伙的活动信息不多。不过，安全研究人员指出，该团伙的攻击目标跨度极大，从游乐园到马铃薯加工企业都有涉及。 研究者认为，该团伙的行为表明他们仍在尝试确立身份并寻找稳定的运作模式。有趣的是，他们可能会采取一种日益流行的数据经纪手法。 传统勒索软件团伙通常以“公开泄露数据”来威胁受害者，如果对方拒绝支付赎金。而类似 J Group 的团伙则可能尝试直接 公开出售数据，以在谈判失败后套现。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据显示，J Group 至今已攻击至少 32 家机构，成为近期最活跃的新兴黑客组织之一。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一次新的供应链攻击中，超过180个NPM包被一种自复制恶意软件击中，该恶意软件用于窃取机密、在GitHub上发布这些机密，并将私有仓库变为公开仓库。 作为攻击的一部分，黑客入侵了超过40个开发者账户，并在NPM注册表上发布了700多个恶意包版本。 这次攻击在9月15日被Loka高级软件工程师Daniel dos Santos Pereira发现，但攻击始于9月14日，当时只有不到十几个恶意包被发布。到当天结束时，大约有50个包版本被发布。 到了9月16日，这次被命名为Shai-Hulud的攻击（基于代码将机密信息转储到的公共仓库的名称）已经影响了超过180个包，Ox Security警告说。 一些受影响的包包括@ctrl/tinycolor（每周下载量超过200万）、ngx-bootstrap（每周下载量30万）、ng2-file-upload（每周下载量10万）以及多个CrowdStrike NPM包（这些包被立即移除）。 这些包被注入了一个post-install脚本，该脚本旨在获取TruffleHog机密扫描工具以识别和窃取机密，并收集环境变量和IMDS暴露的云密钥。 该脚本还会验证收集到的凭据，如果识别到GitHub令牌，就会使用它们创建一个公共仓库，并将机密信息转储到其中。 此外，它还会推送一个GitHub Actions工作流，将每个仓库中的机密信息泄露到一个硬编码的webhook（由于超出允许的回调限制而被停用），并将私有仓库迁移到标记为“Shai-Hulud迁移”的公共仓库。 网络安全公司Socket在GitHub上发现了超过700个带有Shai-Hulud迁移标签的公共仓库，这些仓库都是在攻击发生时创建的。 使用受害者受损账户创建的公共GitHub仓库来发布被盗机密，这与几周前的s1ngularity供应链攻击中看到的模式相似。事实上，安全公司Wiz表示，Shai-Hulud的首批受害者也是s1ngularity攻击的已知受害者。 使这次攻击与众不同的是恶意代码，它使用任何识别到的NPM令牌来枚举和更新受损害维护者控制的包，并将恶意post-install脚本注入其中。 “这次攻击是一种自我传播的蠕虫。当一个受损的包在受害环境中遇到额外的NPM令牌时，它将自动发布它可以访问的任何包的恶意版本，”Wiz指出。 根据StepSecurity对Shai-Hulud攻击流程的技术分析，该蠕虫针对Linux和macOS执行环境，并故意跳过Windows机器。 JFrog指出，相同的窃取数据的有效载荷的多个变体已被注入到受损包的恶意版本中。该代码被看到针对GitHub、NPM、AWS和Google Cloud凭证，以及Atlassian密钥和Datadog API密钥。 “尽管主要功能相同，但一些版本存在细微差异，表明攻击者在活动过程中进行了迭代调整。例如，一些版本将‘Shai-Hulud’仓库设为私有，隐藏起来避免被发现。另一个版本还试图窃取Azure凭证，”JFrog说。 根据GitGuardian的说法，作为这次攻击的一部分，共有278个机密被公开泄露，其中包括从本地机器收集的90个和通过恶意工作流被泄露的188个。大多数机密被迅速撤销，但仍有数十个，主要是GitHub API令牌，仍然有效。 安全公司警告说，恶意代码的自我传播潜力可能会使这场活动再持续几天。 为了避免被感染，用户应该警惕那些在NPM上有新版本但在GitHub上没有的包，并建议固定依赖项以避免意外的包更新。 Wiz表示，它没有观察到新的Shai-Hulud仓库的创建，但由于蠕虫通过使用受害者维护者的凭证来发布新包来自动化传播，任何受损账户都可能被用来重新启动攻击。 “这个循环允许恶意软件持续感染维护者可以访问的每一个包。每个发布的包都成为了一个新的传播载体：一旦有人安装它，蠕虫就会执行、复制，并进一步传播到生态系统中，”安全公司Aikido指出。 Wiz称Shai-Hulud是“迄今为止观察到的最严重的JavaScript供应链攻击之一”，而ReversingLabs警告说，NPM生态系统中的包依赖关系放大了活动的影响。 ReversingLabs表示，受影响的各方包括“科技公司创始人和首席技术官；提供软件开发服务的公司；为非营利组织工作的开发人员；在赌博硬件和软件以及创建办公开发套件的公司中担任技术领导的开发人员；人工智能公司的开发人员；安全供应商——包括一家领先的端点检测和响应（EDR）供应商；学生开发人员；以及其他每天依赖NPM构建软件的人。” 为了检测潜在的入侵，NPM用户被建议检查其GitHub账户下创建的新仓库或分支，搜索包含其组织名称的名为Shai-Hulud或Shai-Hulud迁移的公共仓库，审查GitHub审计日志，并查找可疑的API调用。 如果他们发现任何入侵迹象，用户应该撤销并重新发放所有GitHub和NPM令牌，以及SSH和API密钥、环境变量机密，并重新安装其仓库中的所有包。 Shai-Hulud是在s1ngularity攻击和最近Josh Junon（Qix）被入侵之后，针对NPM生态系统的第三次重大供应链攻击，Josh Junon是18个NPM包的维护者，这些包每周的总下载量超过25亿次。 “这些攻击并非异常，只要攻击向量仍然有效，就会继续发生。组织需要确切了解其软件环境中包含的内容，并在出现问题时做好采取行动的准备。这意味着审计依赖项，纳入软件材料清单（SBOM）以提供透明度并能够快速进行漏洞评估，通过特权访问管理实施强大的身份验证和访问控制，监控异常行为，并保护机密，以便被盗凭证不能被武器化，”Keeper Security首席信息安全官Shane Barney说。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称，已获取谷歌 执法请求系统（LERS ）及美国联邦调查局（FBI）电子背景调查系统的访问权限。 LERS是一个安全的在线门户，供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息，另一方面确保整个流程符合法定程序要求。 谷歌证实，威胁行为者通过创建虚假账号，成功获取LERS平台的访问权限，目前已将该账号停用。 谷歌指出，攻击者未通过该欺诈账号发起任何请求，同时强调 “未发生数据泄露”。然而，未经授权访问谷歌 LERS 仍存在多重风险：可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机，且会损害公众对该系统的信任。 而若 FBI 电子背景调查系统（eCheck）遭遇入侵，风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改，甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性，必须建立强有力的安全防护措施，以保障用户隐私、数据完整性及机构公信力。 据悉，该威胁团伙最初通过社会工程学手段，诱骗企业员工将 Salesforce 数据加载器（Salesforce Data Loader）关联至公司账号，进而实施数据窃取与勒索。随后，他们入侵了 Salesloft 公司的 GitHub 代码仓库，使用 Trufflehog（一款敏感信息扫描工具）扫描代码，发现了 Drift（一款客户互动平台）的认证令牌，并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。 此次 Salesforce 数据窃取攻击影响了多家大型企业客户，包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。 9 月 11 日，该团伙在 BreachForums [.] hn（一个数据泄露相关论坛）上发布 “告别” 信息，宣布将 “隐匿”。 团伙在留言中写道：“虚荣不过是转瞬即逝的胜利，操纵舆论也终究只是徒劳的自负。正因如此，我们决定，从今往后，沉默将成为我们的力量。”“未来，你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业，以及部分政府机构（包括安全级别极高的机构）的新数据泄露报告中看到我们的名字，但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   近日，奢侈品巨头开云集团确认发生重大数据安全事件。其旗下的古驰（Gucci）、巴黎世家（Balenciaga）、亚历山大·麦昆（Alexander McQueen）等品牌的数据遭黑客组织窃取，数百万客户的姓名、电话、邮箱、住址，甚至在全球各地的奢侈品消费记录等隐私信息遭泄露。目前，开云集团已求助数据保护机构。 该黑客组织已向英国BBC广播公司发送了部分数据样本，其中包含数千名客户的信息。据BBC透露，其中部分客户的消费金额高达8.6万美元（约合62万人民币）。值得注意的是，数据泄露可能会导致这些“高消费人群”成为后续诈骗活动的目标。 BBC透露，发动此次攻击的黑客组织为“Shiny Hunters”。 早在今年4月，Shiny Hunters入侵了开云集团的系统，并窃取了旗下子品牌的客户数据。他们宣称掌握了 740 万个独立邮箱的完整数据库，这意味着受影响的客户数量可能与此相近。以此作为筹码向开云集团漫天要价，但双方的谈判以失败告终，集团拒绝交付赎金，并于6月修复了系统漏洞。 开云集团的工作人员向BBC表示：“6月，我们发现未经授权的第三方临时访问了我司系统，并获取了旗下部分品牌有限的客户数据。但所幸未发生财务信息泄露的情况，客户的银行卡号、信用卡信息以及政府签发身份证号等数据被未被泄露。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国顶级鸡蛋生产商Rose Acre Farms已被一个知名网络犯罪集团控制，攻击者声称他们已加密该公司的数据。过去针对主要农产品生产商的攻击导致产品短缺和价格上涨。 臭名昭著的勒索软件集团Lynx声称对此次攻击负责，并在其暗网博客上发布了该公司的相关信息。这个特定的地下网站专门用于展示Lynx的最新受害者。 Red Acre Farms 是美国一家大型鸡蛋生产商，在多个州设有工厂。该公司预计营收接近 7 亿美元，员工人数超过 2000 人。过去，该公司的鸡蛋在美国零售巨头沃尔玛 (Walmart) 销售，现在很可能在奥乐齐 (Aldi) 销售。 与此同时，攻击者声称Rose Acre Farms数据泄露事件发生在上周晚些时候，当时他们入侵了该公司的网络。与Lynx勒索软件的惯常做法一样，他们没有立即提供被盗数据样本，只是指出该公司的数据已被加密，并将稍后提供证据。 勒索软件可能会扰乱价格 Cybernews 研究团队指出，此类攻击对于缺乏可用备份的公司而言，可能造成毁灭性打击。在最坏的情况下，加密可能导致运营和生产中断。对于像 Rose Acre Farms 这样的食品生产商而言，风险尤其高，因为未送达的食品可能会迅速变质，造成严重的经济损失。 我们的研究人员解释说：“此类攻击可能会给受害者造成经济损失，在这种情况下，还可能因供应减少而导致市场波动。进而影响最终用户的产品供应和定价。” “此类攻击可能会给受害者造成经济损失，在这种情况下，还可能因供应减少而引发市场波动。进而可能影响最终用户的产品供应和定价。”研究人员解释道。 例如，2021年，全球最大的肉类加工公司JBS遭受勒索软件攻击，导致价格上涨，并威胁到美国整个肉类供应链。2021年，美国最大的燃油管道——殖民输油管道也遭遇攻击，导致其停产近一周，进而引发价格上涨。 与此同时，上周对豪华汽车制造商捷豹路虎的攻击迫使这家英国汽车制造商关闭其系统，导致“其零售和生产活动严重中断”。 玫瑰农场 (Rose Acre Farms) 数据泄露事件的幕后黑手是谁？ Lynx 勒索软件团伙于 2024 年年中首次被发现，是典型的勒索软件即服务 (RaaS) 操作。RaaS 团伙通过出售所谓的关联公司部署的加密恶意软件的访问权限来运营。攻击成功后，关联公司会与恶意软件开发者瓜分赎金。 攻击者通过入侵公司系统窃取并加密数据。如果受害者不满足赎金要求，恶意攻击者就会威胁交出被盗数据并保持系统加密——这对于依赖按时交付产品的企业来说，是一项代价高昂的举措。 一些研究人员认为，Lynx 勒索软件集团是臭名昭著的 INC Ransom 集团相关人员的一个分支或品牌重塑尝试。 据 Cybernews 的暗网监控工具 Ransomlooker 称，Lynx 在过去 12 个月内已经攻击了超过 200 个组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文