HackerNews 编译，转载请注明出处： 美国家具品牌Lovesac警告称，该公司遭受了一起数据泄露事件，影响了数量不详的个人，其个人数据在一次网络安全事件中被泄露。 Lovesac是一家家具设计、制造和零售商，在美国运营着267家展厅，年净销售额为7.5亿美元。 该公司以其模块化沙发系统“sactionals”和被称为“sacs”的豆袋而闻名。 根据发送给受影响个人的通知，2025年2月12日至3月3日期间，黑客未经授权访问了该公司的内部系统，并窃取了存储在这些系统上的数据。 Lovesac在2025年2月28日发现了这一漏洞，这意味着他们花了三天时间才完全修复了这一问题，并阻止了威胁行为者对其网络的访问。 被盗数据包括全名和其他在通知样本中未披露的个人信息。该公司尚未澄清此次事件是否影响了客户、员工或承包商，也未披露受影响个人的确切数量。 在通知信中，收件人将找到有关如何通过Experian注册24个月信用监控服务的说明，该服务可兑换至2025年11月28日。 该公司指出，目前没有迹象表明被盗信息已被滥用，但敦促受影响的个人保持警惕，提防网络钓鱼企图。 勒索软件团伙声称对Lovesac发起攻击 尽管Lovesac没有指明攻击者，并且在信中没有提到数据加密，但RansomHub勒索软件团伙在2025年3月3日声称对Lovesac发起了攻击。 威胁行为者将Lovesac添加到他们的勒索门户上，宣布了这一漏洞，并表示如果不在支付赎金的情况下，他们计划泄露被盗数据。我们无法确定他们是否继续执行了这一威胁。 RansomHub勒索软件即服务（RaaS）行动于2024年2月出现，并自此积累了包括人力资源公司Manpower、油田服务巨头Halliburton、Rite Aid药房连锁店、川崎欧洲分公司、佳士得拍卖行、美国电信提供商Frontier Communications、Planned Parenthood医疗保健非营利组织以及意大利博洛尼亚足球俱乐部在内的一系列高调受害者。 该勒索软件行动在2025年4月悄然关闭，其许多附属机构转向了DragonForce。 BleepingComputer已联系Lovesac，以了解有关此次事件及其影响的更多信息，以及有多少客户受到影响，并将在收到回复后更新此报道。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院通过“正义赏金”计划悬赏最高1000万美元，征集有关俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫（Pavel Aleksandrovich Akulov）、米哈伊尔·米哈伊洛维奇·加夫里洛夫（Mikhail Mikhailovich Gavrilov）和马拉特·瓦列里耶维奇·秋科夫（Marat Valeryevich Tyukov）的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。 指控称，这些FSB官员试图获取并维持“对美国及国际数百家能源企业的未授权持久访问权限，使俄罗斯政府能够破坏这些关键设施”。其攻击范围涵盖135个国家超过380家能源企业，包括石油天然气公司、电力电网运营商、核电站、可再生能源企业以及工程技术服务商。 这三名官员均隶属于FSB第16中心（又名“Dragonfly”、“Berzerk Bear”、“Energetic Bear”和“Crouching Yeti”）。美国司法部早在2021年8月就已对他们提起指控。 两阶段攻击行动 2012至2017年间，Dragonfly APT（高级持续性威胁）组织针对能源行业的工业控制系统（ICS）和监控与数据采集系统（SCADA）发起多轮攻击： 第一阶段（2012-2014）：行动代号“Dragonfly”或“Havex”，采用供应链攻击手段入侵OT网络系统制造商和软件供应商，部署“Havex”恶意植入程序。通过鱼叉式钓鱼和水坑攻击，在美国及海外超过17,000台设备上安装恶意软件，其中包括电力能源企业使用的ICS/SCADA控制器。 第二阶段（2014-2017）：升级为“Dragonfly 2.0”，集中针对500余家欧美能源企业和政府机构（包括美国核管理委员会）的3,300多名ICS/SCADA系统工程师发起定向攻击。 新型攻击手段曝光 2025年8月，FBI警告称俄罗斯关联黑客组织“Static Tundra”正在利用Cisco Smart Install（SMI）中未修复的漏洞（CVE-2018-0171，CVSS评分9.8）和简单网络管理协议（SNMP），攻击全球范围内的老旧网络设备。该漏洞允许攻击者远程执行任意代码或导致设备重启。 Static Tundra与FSB第16中心存在关联，十年来持续通过以下手段实施网络间谍活动： 利用过时协议（SMI、SNMP v1/v2） 部署定制化工具如Cisco “SYNful Knock”恶意固件 建立GRE隧道实现隐蔽通信 窃取数千台美国关键基础设施设备的配置数据 思科Talos团队报告显示，该组织主要针对北美、亚洲、非洲和欧洲的电信、高等教育和制造领域机构，受害者选择标准取决于其对俄罗斯政府的战略价值。 SYNful Knock作为模块化路由器后门，自2015年被Mandiant首次披露以来，持续为攻击者提供持久化访问和情报收集能力。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家发现，与朝鲜有关的黑客组织正试图系统性地利用网络威胁情报（CTI）平台。这项调查由SentinelLabs和互联网情报公司Validin共同完成，并将该活动与被称为“传染性面试”（Contagious Interview）的黑客集群联系起来，该集群以通过带有恶意软件的招聘诱饵针对求职者而闻名。 报告显示，在2025年3月至6月期间，该组织试图访问Validin的基础设施情报门户网站。在Validin发布了一篇详细描述与Lazarus集团相关活动的博客文章后数小时内，黑客便注册了多个账户。他们使用了此前行动中关联过的Gmail邮箱地址，不过Validin迅速封锁了这些账户。尽管如此，黑客又使用了新注册的域名创建了新账户回来。 持续尝试与策略调整 这些威胁行为者表现出极强的持久性，在数月内反复创建账户并尝试登录。SentinelLabs有意允许其中一个账户保持活跃状态以观察其战术。调查人员发现了团队协作的证据，包括疑似使用Slack即时共享搜索结果。 黑客并未对其基础设施进行大规模更改以避免被发现，而是专注于部署新系统来替代被服务提供商关闭的旧系统。这一策略使得他们在即使被曝光后，仍能维持较高的受害者接触频率。 基础设施侦察与操作安全（OPSEC）失误 研究人员观察到，该组织使用Validin不仅是为了追踪自身被发现的迹象，还会在购买新基础设施之前对其进行侦察。他们对诸如skillquestions[.]com和hiringassessment[.]net等招聘主题域名的搜索表明，其正努力避免使用已被标记的资产。 然而，一些操作安全上的失误暴露了日志文件和目录结构，为了解其工作流程提供了罕见视角。 调查还揭示了“ContagiousDrop”应用——这些嵌入招聘网站的恶意软件交付系统。当受害者执行恶意命令时，这些应用会发送电子邮件警报，并记录姓名、电话号码和IP地址等详细信息。在2025年1月至3月期间，主要来自加密货币行业的230多人受到影响。 活动目标与更广泛的影响 根据SentinelLabs的说法，“传染性面试”活动主要服务于朝鲜获取收入的需求，通过社会工程学手段针对全球的加密货币专业人士。尽管该组织未采取系统性的措施来屏蔽其基础设施，但其韧性来自于快速的重新部署和持续的受害者获取。 SentinelLabs解释称：“鉴于其活动在接触目标方面持续成功，对威胁行为者而言，部署新基础设施可能比维护现有资产更务实、更高效。” 报告强调，求职者保持警惕仍然至关重要，尤其是在加密货币领域。基础设施提供商也扮演着关键角色，快速的查封能显著干扰这些操作。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 普利司通美洲公司（Bridgestone Americas）周四证实，该公司遭遇了一起所谓的“有限的网络事件”——巧合的是，同日豪华汽车制造商捷豹路虎（Jaguar Land Rover）也遭到了由“Scattered Spider”牵头、三个勒索软件团伙组成的、渴求曝光的黑客组织的入侵。 普利司通相信其“客户数据或接口均未受到影响”，但未提供其他信息。至少有一份报告称，该公司所有北美制造设施均受到影响。 位于纳什维尔市的普利司通大厦于2017年落成。图片由 Michael Gordon | Shutterstock 提供 消费者隐私倡导组织Comparitech的保罗·比肖夫（Paul Bischoff）表示：“这次攻击具有勒索软件攻击的许多特征，尽管尚未得到证实。” 比肖夫指出，周日的攻击“破坏了公司的制造设施，不仅仅是我们通常在大多数攻击中看到的通信、销售和工资等非必要部门。”他补充说，尽管普利司通声称及早阻止了攻击，“但在调查完成之前，最好做最坏的打算。” 尚无组织声称负责——目前如此 尽管尚无黑客出面声称对普利司通事件负责，但Comparitech的数据研究主管丽贝卡·穆迪（Rebecca Moody）表示：“很可能在未来几周内我们会看到有勒索软件组织声称发动了此次攻击，尤其是如果普利司通选择不支付攻击者要求的赎金。” 穆迪预测的事件发展顺序正是捷豹路虎（JLR）当前面临的局面。一个由“Scattered Spider”主导、包括臭名昭著的“Shiny Hunters”和“LAPSUS$”团伙在内的黑客组织，已声称对JLR的入侵负责，并且据报道正迫不及待地要求支付赎金。 此次攻击也迫使这家高端汽车制造商“主动关闭其系统，导致其零售和生产活动严重中断，”JLR本周早些时候宣布。 图片由 Priyanshu Singh | 路透社 / Telegram 提供 普利司通美洲公司成立于1931年，总部位于田纳西州纳什维尔市，同时也是美国另一轮胎制造巨头凡世通（Firestone）的母公司。其网站显示，公司在北美和南美洲拥有13个公司办公室，分布在加拿大、墨西哥、巴西、阿根廷和哥斯达黎加等地。 普利司通还在美洲拥有近三十六家制造工厂，其中包括位于南卡罗来纳州艾肯市的两处设施和位于魁北克省朱伊特市（Joliette）的另一处设施。这两处设施均报告在周日受到网络攻击影响——巧合的是，攻击JLR也发生在同一天。 在朱伊特市，据报道一份内部备忘录已发送给该工厂的1400名员工，告知他们工厂运营已于周日暂停，但未提供关于运营何时恢复的更多信息，当地新闻媒体MonJoilette报道。 朱伊特市市长表示他曾直接与普利司通高管交谈，他告诉加拿大媒体，“据信此次网络事件影响了北美所有工厂。” 普利司通在北美拥有29家轮胎制造工厂。图片由普利司通美洲公司提供。 制造商高度警惕 这个新出现的勒索软件组织自称为“scattered LAPSUS$ hunters”，据称于8月31日周日入侵了JRL，并在其Telegram频道上嘲弄该汽车制造商，并发布了据称是窃取的敏感文件样本。 勒索软件组织“Scattered Spider”与另一个名为“DragonForce”的组织合作，今年已被指责应对一系列重大入侵事件负责，包括对英国玛莎百货（Marks & Spencer）及其他英国零售商的攻击。 如今，这个最新的黑客三人组被认为与近期针对Salesforce供应链的一系列攻击有关，这些攻击影响了全球超过700家公司，仅在过去一周就包括网络安全巨头Palo Alto Networks、Cloudflare和Zscaler。 穆迪引用Comparitech的八月勒索软件汇总报告指出，“制造商面临的勒索软件攻击数量正在增加，并且是黑客的主要目标，因为通过加密系统，他们可以造成大量中断。”报告称，仅从七月到八月，制造业的勒索软件攻击就猛增了57%。 比肖夫还指出，普利司通曾在2022年遭受过现已式微的LockBit团伙的勒索软件攻击，这将使得本次事件成为这家制造业巨头第二次成为勒索软件的受害者。 Cybernews已联系普利司通美洲公司寻求进一步说明，但在本文发布时尚未收到回复。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客试图从Evertec的巴西子公司Sinqia S.A.窃取1.3亿美元，此前他们未经授权访问了该公司在央行实时支付系统（Pix）的环境。 Evertec是一家上市的金融科技巨头，是拉丁美洲、波多黎各和加勒比海地区主要的全方位服务交易处理商。Sinqia于2023年被Evertec收购，是一家总部位于圣保罗的上市公司，从事银行和金融行业的金融软件和IT服务业务。 Evertec在美国证券交易委员会（SEC）的一份文件中披露，黑客于8月29日入侵了Sinqia的系统，并试图进行未经授权的交易。 SEC文件中写道：“2025年8月29日，Evertec Inc.的巴西子公司Sinqia S.A.发现其巴西央行实时支付系统（Pix）环境中存在未经授权的活动。” “发现该事件后，Sinqia依据其事件响应协议，停止了其Pix环境中的交易处理，并开始与外部网络安全取证专家合作。” Pix是巴西的即时支付系统，由巴西中央银行于2020年11月推出，支持全天候即时资金转账。它已成为巴西最广泛使用的支付方式，并经常成为Android银行恶意软件的攻击目标。 黑客试图利用Sinqia的两家金融机构客户进行未经授权的企业间交易。当地媒体报道提及了汇丰银行（HSBC），而该行发言人强调，此事件未影响客户资金或数据。Evertec指出，这1.3亿美元中的部分资金已被追回，但未提及具体金额，追回工作仍在进行。 事件调查显示，黑客通过使用窃取的IT供应商账户凭证，获得了对Sinqia的Pix环境的访问权限。Evertec没有迹象表明影响范围超出了Sinqia的Pix环境，也没有证据表明个人数据遭到泄露。 目前，巴西中央银行已撤销Sinqia对Pix的访问权限，但该公司正通过向当局提供所有要求的细节和保证，努力争取尽快恢复访问。关于财务影响，Evertec指出Sinqia的Pix环境为巴西24家金融机构的运营提供支持。公司表示：“该事件对财务和声誉的影响，包括对公司内部控制的影响，目前尚不清楚，但可能是重大的。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队成功挫败了一起试图利用微软认证流程发起的水坑攻击。该攻击活动被认定为与俄罗斯国家级黑客组织APT29有关。 在8月29日发布的帖子中，亚马逊首席信息安全官（CISO）CJ·摩西（CJ Moses）分享了该攻击活动的细节。其团队在发现由APT29控制的域名后，锁定了这起攻击。 水坑攻击是一种针对性网络攻击活动，黑客会入侵特定用户群体常访问的网站，并将用户重定向至恶意基础设施。其目的是投放恶意软件、窃取凭据或实施网络间谍活动。 在此次事件中，亚马逊发现多个合法网站被植入JavaScript代码，这些代码会将约10%的访客重定向至APT29控制的域名。攻击者的目标是诱骗用户通过微软的设备代码认证流程，授权由攻击者控制的设备。 这些域名（包括findcloudflare[.]com）模仿Cloudflare验证页面，以伪装成合法网站。 摩西写道：“亚马逊云服务（AWS）系统未受到入侵，也未观察到AWS服务或基础设施受到直接影响。” 代码分析显示，攻击者采用了多种规避检测的技术，包括随机重定向、Base64编码和持久化Cookie。此外，当防御系统拦截恶意基础设施时，威胁行为体会迅速转向新的域名和服务器，以维持攻击活动的持续性。 APT29攻击目标已超越政府人员 APT29是一个知名的网络威胁组织，拥有多个别名，包括“午夜暴风雪”（Midnight Blizzard）、“舒适熊”（Cozy Bear）、“诺贝尔奖”（Nobelium）和“公爵”（The Dukes）。该组织被美西方国家认为与俄罗斯对外情报局（SVR）有关联，至少自2013年以来一直活跃。 APT29以针对政府和关键行业实施间谍活动与情报收集著称，但近期观察显示其攻击目标范围正不断扩大。据报道，该组织参与了多起鱼叉式钓鱼活动，包括2025年4月针对欧洲外交官、以品酒会为主题的钓鱼攻击，以及2025年6月针对英国俄罗斯信息作战专家基尔·贾尔斯（Keir Giles）的攻击活动。 亚马逊威胁情报团队表示，此次新的水坑攻击“表明APT29在不断升级其攻击手段，扩大行动规模，以在情报收集工作中撒下更广泛的网”。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，以经济利益为驱动的威胁组织Storm-0501已调整其攻击策略，将重点转向针对云环境进行数据窃取和勒索。 至少自2021年起开始活跃的Storm-0501，因在针对本地和混合云环境的攻击中使用多种勒索软件家族而闻名，包括Sabbath、Alphv/BlackCat、Hive、Hunters International、LockBit以及Embargo。 去年，该黑客组织通过入侵Active Directory环境，转而攻击Entra ID，将权限提升至全局管理员，在Entra ID租户配置中植入后门，并部署本地勒索软件以加密文件。 在最近一次针对大型企业的攻击中，该威胁行为者使用了类似手法：它入侵了多个Active Directory域，进行侦察以识别受保护的端点并规避检测，并利用Evil-WinRM这一利用后工具进行横向移动。 随后，Storm-0501攻陷了一台Entra Connect Sync服务器，并伪装成域控制器以请求域用户的密码哈希值。它还枚举了用户、角色和Azure资源，并尝试以多个特权用户身份登录。 登录尝试失败后，黑客随后在不同的Active Directory域之间穿梭，攻陷了另一台Entra Connect服务器，识别出一个在Entra ID中拥有全局管理员权限的非人类同步身份，并重置其密码以访问该账户。 微软解释道：“因此，威胁行为者能够使用新密码以该用户身份向Entra ID进行身份验证。由于该用户未注册MFA，在使用新分配的密码成功验证后，威胁行为者被直接引导至在其控制下注册一个新的MFA方法。” 在识别出一台Microsoft Entra混合联接设备后，Storm-0501得以以全局管理员身份访问Azure门户，从而获得了对云域的完全控制权。它立即通过注册一个新的Entra ID租户部署了后门，使其能够以任何用户身份登录。 在获得顶级的Entra ID权限后，黑客将其权限提升为受害者所有Azure订阅的“所有者”Azure角色，实质上接管了整个Azure环境。 微软指出：“我们评估认为，威胁行为者使用各种技术（包括使用AzureHound工具）启动了一个全面的发现阶段，试图定位组织的关键资产，包括包含敏感信息的数据存储，以及用于备份本地和云端点设备的数据存储资源。” 攻击者还瞄准了Azure存储账户，滥用Azure“所有者”角色窃取其访问密钥，然后将无法通过互联网访问的账户暴露到互联网及其自身基础设施中，随后使用AzCopy命令行工具（CLI）进行数据外泄。 窃取数据后，黑客开始大规模删除数据以防止补救措施。他们还试图删除那些保护数据免遭删除的防护措施，并对无法删除的资源实施基于云的加密。 微软称：“在成功外泄并销毁Azure环境中的数据后，威胁行为者启动了勒索阶段，他们使用先前已入侵的一个用户账户通过Microsoft Teams联系受害者，要求支付赎金。” 这家科技巨头还指出，Storm-0501在入侵受害者的云环境后，依赖云原生命令和功能来执行侦察、横向移动、凭据外泄、权限提升以及数据外泄、删除和加密。 公司强调：“Storm-0501持续展现出在本地和云环境之间移动的熟练能力，这例证了随着混合云采用率的增长，威胁行为者是如何适应的。他们寻找混合云环境中未受管理的设备和安全漏洞以规避检测并提升云权限，在某些情况下，还会在多租户设置中穿梭租户以达到其目标。”         消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织Lab Dookhtegan据称扰乱了60艘伊朗船只的通信。此次攻击至少影响了39艘油轮和25艘货轮，这些船只由受美国制裁的伊朗海运企业——国家伊朗油轮公司和伊朗伊斯兰共和国航运公司运营。 黑客攻破了卫星通信公司Fannava，禁用“猎鹰”通信系统并清除了核心数据。攻击致使伊朗船只陷入“失明”状态。 该组织发布的截图显示，他们已获取运行iDirect卫星软件（版本2.6.35）的Linux终端根权限。该软件版本陈旧，不符合基本网络安全标准。 黑客通过逐个调制解调器测绘伊朗船队，控制了“猎鹰”通信系统，并持续潜伏五个月后，于8月使船只陷入瘫痪。 “一旦入侵成功，黑客便瞄准名为‘猎鹰’的核心系统——正是这套软件维持着卫星链路的运行。它如同船舶通信系统的心脏。停止‘猎鹰’系统，船只便陷入黑暗：无法与岸上邮件往来，收不到气象更新，失去港口协调能力，彻底与世隔绝。”博客作者Nariman Gharib报道称。 “但邮件日志实际揭示的内容更为惊人：时间戳可追溯至五月和六月。这意味着Lab-Dookhtegan并非仅在三月实施突击后就撤离。他们持续潜伏在伊朗海事网络中长达五个月，始终保持着访问权限，可随时启停系统，很可能监控了所有往来通信。” 攻击者以造成永久性破坏为目标，用零值覆盖六个存储分区，清除了日志、配置和恢复数据，彻底摧毁了船舶通信系统。 “我正查看一份包含电话号码、IP地址的电子表格——最令人难堪的是——密码竟以明文存储。诸如‘1402@Argo’‘1406@Diamond’这类弱密码随处可见。”博客文章继续指出，“凭借这些数据，攻击者理论上可监听船港间通话，冒充船舶身份，甚至通过切断语音通信制造更大混乱。” 这是Lab-Dookhtegan今年发起的第二次攻击，此前曾在三月导致116艘船只通信中断。本次袭击恰逢美国对伊朗石油实施新制裁，使得破坏程度尤为严重。黑客不仅造成临时中断，每艘受影响船舶现在都需要完全重装系统，这个过程可能导致船只停运数周甚至数月。对于本就承受压力、依赖持续通信协调以避免被扣押的伊朗船队而言，这无疑是灾难性打击。失去导航能力、通信功能甚至求救手段，整个船队已实际陷入瘫痪。此次攻击绝非意外，而是经过精密策划、瞄准伊朗最脆弱时刻的精准打击，所有证据表明，这场行动取得了成功。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕一名涉嫌入侵地方政府教育管理系统的大学生，该嫌疑人被控篡改成绩并侵入教授电子邮箱。据警方通报，这名21岁的男子在塞维利亚被捕，涉嫌入侵安达卢西亚地区教育平台Séneca。该平台覆盖西班牙人口最密集区域，被当地学校及大学广泛使用。警方称其不仅篡改本人中学及大学入学考试成绩，还修改了同学的分数。 调查发现，哈恩、科尔多瓦、塞维利亚、韦尔瓦、加的斯和阿尔梅里亚六地至少13名教授的工作邮箱遭入侵，其中包括负责编写2025年大学入学试题的教师。案件于今年3月曝光，当时哈恩圣胡安·博斯科高中的工作人员向警方举报Séneca系统异常。警方随后搜查嫌疑人在塞维利亚的住所，查获作案电脑设备及记录篡改成绩细节的笔记本。 该男子面临非法访问计算机系统、身份盗用及文件伪造三项指控。警方未公开其身份，但当地媒体披露其与哈恩学校无关，且有类似犯罪前科。Séneca平台是安达卢西亚地区管理成绩、考勤及学籍的核心系统，供教师、行政人员、学生及家庭日常使用。 全球教育系统近期频繁遭黑客攻击：今年1月，美国马萨诸塞州学生因入侵存储超6000万师生数据的PowerSchool平台被起诉；6月，哥伦比亚大学披露数据泄露事件，超86万人个人信息外泄。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文