HackerNews 编译，转载请注明出处： 网络安全研究人员近期警示新型Python信息窃取木马“PXA Stealer”的传播活动。据Beazley Security与SentinelOne联合报告（已提交至The Hacker News），该恶意活动被判定为越南黑客操纵PXA恶意软件，全球攻陷4000台设备盗取20万密码语黑客团伙所为，其通过Telegram API构建订阅制地下生态，自动化转售和复用窃取数据以实现变现。 “此次攻击展现出技术手段的飞跃，融合了精细的反分析技术、非恶意诱饵内容，以及阻碍安全分析并延缓检测的强化命令控制管道”，安全研究员团队（Jim Walter、Alex Delamotte等）指出。此轮攻击已感染62个国家超4000个独立IP地址，韩国、美国、荷兰、匈牙利及奥地利为重灾区，窃取数据涵盖20多万组独立密码、数百条信用卡记录及超400万条浏览器Cookie。 PXA Stealer最早由思科Talos于2024年11月曝光，被用于针对欧亚政府及教育机构的攻击。该木马可窃取密码、浏览器自动填充数据、加密货币钱包及金融机构信息。其通过Telegram外泄数据至Sherlock等犯罪平台（专门交易窃取日志），下游攻击者可购买信息实施加密货币盗窃或渗透组织进行后续攻击，形成规模化运行的网络犯罪生态。 2025年的攻击活动呈现持续战术演变：攻击者采用DLL侧加载技术和复杂的分阶段部署层规避检测。恶意DLL执行感染全流程，最终部署窃密木马前会向受害者展示版权侵权通知等诱饵文档。新版木马通过向Chromium浏览器进程注入DLL突破“应用绑定加密保护”机制，并窃取VPN客户端、云命令行工具（CLI）、共享文件及Discord等应用数据。 “PXA Stealer利用BotID（存储为TOKEN_BOT）建立主机器人与多个ChatID（存储为CHAT_ID）的关联。ChatID对应的Telegram频道主要用于托管外泄数据，并向操作者推送更新通知”，研究人员解释称，“该威胁已发展为高度规避的多阶段攻击，由越南语攻击者驱动，其明显关联于有组织的、基于Telegram的黑市——专门销售受害者数据。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织UNC4899被指通过LinkedIn和Telegram接触两家不同企业的员工实施攻击。谷歌云部门在《2025年下半年云威胁地平线报告》[PDF]中表示：“UNC4899以软件开发的自由职业机会为幌子，利用社会工程技术成功说服目标员工在其工作站执行恶意Docker容器。” UNC4899与Jade Sleet、PUKCHONG、Slow Pisces及TraderTraitor等组织存在活动重叠。该国家级攻击组织自2020年起活跃，以针对加密货币和区块链行业著称，涉及多起重大加密货币盗窃案，包括2022年3月Axie Infinity（6.25亿美元）、2024年5月DMM Bitcoin（3.08亿美元）以及2025年2月Bybit（14亿美元）的黑客事件。 其攻击手段还包括利用JumpCloud基础设施攻击加密货币领域下游客户。据DTEX称，TraderTraitor隶属于朝鲜侦察总局第三局，在加密货币盗窃方面是平壤黑客组织中最高效的团体。该组织常以工作邀约为诱饵或上传恶意npm软件包，通过高薪合作机会或GitHub项目协作邀请目标企业员工，诱导其执行恶意npm库。 云安全公司Wiz本周报告强调：“TraderTraitor持续关注云平台及周边攻击面，最终目标通常是云平台客户而非平台本身。”谷歌观察到的攻击针对企业的谷歌云和AWS环境：攻击者首先部署GLASSCANNON下载器，进而植入PLOTTWIST和MAZEWIRE后门以连接攻击者控制服务器。 在谷歌云攻击案例中，攻击者使用窃取的凭证通过谷歌云CLI匿名VPN远程操作，进行大规模侦察和凭证窃取，但因受害者启用多因素认证（MFA）受阻。谷歌指出：“UNC4899发现受害者账户拥有谷歌云项目管理权限后，直接禁用MFA要求。成功访问目标资源后，他们立即重新启用MFA以规避检测。” 针对AWS受害者的入侵采用类似手法，攻击者通过AWS凭证文件获取长期访问密钥远程操作AWS CLI。尽管遭遇访问控制限制，谷歌发现攻击者可能窃取了用户会话cookie，借此识别相关CloudFront配置和S3存储桶。“利用其访问权限固有的管理权限，攻击者将含恶意代码的JavaScript文件上传替换原有文件，旨在操纵加密货币功能并触发与目标组织加密货币钱包的交易。”最终两起攻击均成功窃取价值数百万美元的加密货币。 同期，Sonatype公司表示2025年1月至7月已拦截234个朝鲜Lazarus组织发布的恶意npm和PyPI软件包。部分软件包会投放已知凭证窃取程序BeaverTail（与长期活动Contagious Interview相关）。该软件供应链安全公司指出：“这些软件包伪装成流行开发工具，实则为间谍植入程序，用于窃取机密、分析主机并在关键基础设施建立持久后门。2025年上半年活动激增表明Lazarus战略转向：正以惊人速度将恶意软件直接嵌入npm和PyPI等开源软件包注册平台。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响澳洲航空、安联人寿、路易威登和阿迪达斯等公司的数据泄露事件已被证实与勒索集团ShinyHunters有关。该组织通过语音钓鱼攻击（vishing）侵入Salesforce CRM实例窃取数据。 2025年6月，谷歌威胁情报小组（GTIG）发出警告，被追踪为UNC6040的威胁行为者正针对Salesforce客户发起社会工程攻击。攻击者冒充IT支持人员致电目标企业员工，诱骗其访问Salesforce的“连接应用程序设置”页面，并要求输入“连接代码”。该操作会将恶意版本的Salesforce Data Loader OAuth应用程序关联至目标的Salesforce环境。为增强欺骗性，攻击者有时将数据加载器组件重命名为“我的票务门户”。 GTIG指出，此类攻击主要通过语音钓鱼实施，但攻击者也会伪造Okta登录页面窃取凭证及多因素认证（MFA）令牌。 同期多家企业报告涉及第三方客服或云端CRM系统的数据泄露： LVMH旗下路易威登、迪奥和蒂芙尼披露客户信息库遭未授权访问，蒂芙尼韩国分公司称攻击者入侵了“用于管理客户数据的供应商平台”。路易威登确认泄露数据包含客户姓名、性别、电话、住址及购买记录，但否认支付信息外泄。 安联人寿发言人向BleepingComputer证实：“2025年7月16日，恶意威胁行为者侵入北美安联人寿使用的第三方云端CRM系统”。 澳航虽未公开确认涉事平台，但当地媒体报道及法庭文件显示，攻击目标“账户”和“联系人”数据库表均为Salesforce特有对象。 BleepingComputer核实上述公司均属谷歌所述同一攻击活动的目标。目前威胁行为者正通过邮件私下勒索企业，自称ShinyHunters。若勒索失败，预计将采取类似Snowflake攻击的手法分批泄露数据。 网络安全社区最初误将攻击归因于Scattered Spider（UNC3944），因二者战术相似且同期瞄准航空、零售和保险业。但关键差异在于： Scattered Spider通常实施全面网络入侵，最终窃取数据或部署勒索软件 ShinyHunters（UNC6040）专注于特定云平台的数据窃取勒索 安全研究人员Allan Liska指出：“已知攻击的重叠战术技术证明二者可能存在成员交叉”。 部分研究人员认为该组织代表其他黑客团伙实施勒索并分成，类似勒索软件即服务（RaaS）模式。同时运营黑客论坛BreachForums，2023年被FBI关闭后于2024年重启，展示强大恢复能力。历史攻击轨迹包括：2021年窃取AT&T的7000万客户信息（起拍价20万美元），2024年5月连续入侵桑坦德银行（3000万记录+2800万信用卡）和Ticketmaster（5.6亿条数据）。 Salesforce向BleepingComputer声明平台本身未受攻击，问题源于客户账户遭社会工程入侵，并建议企业采取以下措施： 访问控制：强制受信IP范围登录，限制连接应用程序权限 认证强化：全域启用多因素认证（MFA） 权限管理：遵循最小特权原则分配应用权限 监控升级：部署Salesforce Shield实现威胁检测与事件监控 应急机制：设立专属安全联系人处理事件响应 攻击者利用OAuth应用授权机制漏洞，通过社会工程诱骗员工授权恶意应用。此攻击不依赖平台漏洞，因此传统补丁更新无法防御。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 俄罗斯两家最大连锁药店本周遭网络攻击，导致全国数百家药店停业，患者无法支付费用及预定药品。运营约1000家门店的Stolichki药店连锁证实，周二造成其业务中断的技术故障源于黑客攻击。截至周三，Stolichki仍在全力恢复服务，目前约半数门店已重新营业。 另一家大型连锁药店Neofarm（在莫斯科和圣彼得堡拥有超110家门店）同样暂停运营，店面张贴告示称系“技术问题”。两家药店的在线服务（包括药品预订和会员系统）均遭破坏，员工被遣散回家。 Stolichki与Neofarm同属一家控股公司，该公司原由前国家杜马议员叶夫根尼·尼凡蒂耶夫控制。2022年因支持俄罗斯入侵乌克兰遭西方制裁后，尼凡蒂耶夫将股份转让给投资基金。但当地媒体报道暗示他可能仍间接掌控该企业。 除药店外，莫斯科家庭医生诊所网络本周也报告网络事件，导致患者门户和在线预约系统暂时瘫痪。工作人员向国家通讯社表示，目前仅接受现场就诊。尚不确定该事件是否与药店攻击相关。 俄罗斯国家互联网监管机构Roskomnadzor声明此次中断非分布式拒绝服务（DDoS）攻击所致，但未说明黑客攻击方式或来源。目前尚无组织宣称对事件负责。暗网论坛用户谴责针对医疗服务的攻击违背道德，暗示可能存在地缘政治动机。 此次事件正值俄罗斯企业本月遭遇网络攻击激增。本周初，俄罗斯最大航空公司俄罗斯航空遭攻击导致大面积航班延误取消。亲乌克兰黑客组织“沉默之鸦”和白俄罗斯网络游击队宣称对此负责，称攻击目标是航空公司关键基础设施。 此外，本月初勒索软件攻击扰乱俄罗斯大型酒类生产商Novabev集团运营，迫使旗下2000多家WineLab酒店停业三天。该公司声明虽收到赎金要求但拒绝谈判。周三，圣彼得堡最大互联网供应商之一因遭受DDoS攻击出现网络中断，该公司定性为“恶意行为”，但未归因特定组织。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织Scattered Spider（又称0ktapus、Muddled Libra、Octo Tempest和UNC3944）正针对北美零售、航空及运输行业的VMware ESXi虚拟机管理程序发起攻击。谷歌旗下Mandiant团队指出，该组织主要采用欺骗性电话联系IT服务台的社会工程手段，而非利用软件漏洞实施入侵。 Scattered Spider采用“利用合法工具”（Living-off-the-Land）策略：通过社会工程获取访问权限后，滥用Active Directory权限渗透VMware vSphere环境，窃取数据并从虚拟机管理程序层部署勒索软件。此方式可绕过端点检测与响应（EDR）工具的防护，几乎不留入侵痕迹。 该策略高效的核心原因在于：虚拟中心设备（VCSA）与ESXi虚拟机管理程序无法运行传统EDR代理，导致虚拟化层存在严重的监控盲区。 该犯罪团伙的攻击链包含五个精密阶段： 第一阶段：社会工程突破 UNC3944利用个人信息（如社保号、出生日期）伪装成员工致电IT服务台，请求重置用户及特权管理员账户密码。此策略绕过传统技术攻击，直接获取内部访问权限。入侵后执行双路径侦查： A路径：扫描SharePoint等内部文档定位“vSphere Admins”等高权限AD组 B路径：窃取密码管理器或特权访问管理（PAM）工具中的凭证 锁定特权用户后，二次致电冒充目标获取完全管理员权限，为攻击VMware基础设施奠定基础。防御需监控密码重置行为、异常AD组变更及文件访问，关键措施包括禁止电话渠道的特权账户密码重置，并强化敏感系统与文档保护。 第二阶段：vCenter接管 获取AD特权凭证后，攻击者登录vCenter图形界面，重启VCSA虚拟机修改GRUB获取root shell权限。随后重置root密码、启用SSH服务，并部署合法远程工具Teleport建立持久化加密C2通道。此隐蔽控制手段得以成功，源于vCenter默认信任AD认证且缺乏多因素验证（MFA）机制。 第三阶段：离线凭证窃取 攻击者启用ESXi主机SSH服务，强制关闭域控制器虚拟机，挂载其虚拟磁盘至孤立虚拟机，提取NTDS.dit文件。数据通过Teleport通道外泄。此隐蔽方法规避EDR检测及网络分段防护。关键防御包括启用虚拟机加密、清理未使用虚拟机、强化ESXi访问控制，并开启远程审计日志。 第四阶段：备份系统破坏 在部署勒索软件前，攻击者滥用域管理员权限或向AD添加”Veeam Administrators”组成员，删除备份任务及虚拟机快照，蓄意破坏恢复能力。 第五阶段：超高速勒索攻击 通过ESXi主机SSH上传勒索软件，强制关闭所有虚拟机并加密虚拟磁盘文件。此操作完全绕过虚拟机内部安全防护。 谷歌威胁情报小组（GTIG）在报告中总结：“防御UNC3944的攻击策略需根本性转变——从依赖EDR威胁狩猎转向主动式基础设施核心防护。该威胁与传统Windows勒索软件存在两大差异：速度与隐蔽性。传统攻击者可能耗费数日甚至数周进行侦查，而UNC3944以极端速度行动；从初始入侵到数据外泄再到最终勒索部署，全程可在短短数小时内完成。这种速度与极少的取证痕迹相结合，要求企业不仅要识别异常，更需实时拦截可疑行为模式，方能阻止全面入侵。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家航空公司俄航（Aeroflot）因遭遇严重网络攻击，7月28日被迫取消数十架次航班，导致全球面积最大国家的航空运输网络陷入混乱。两个亲乌克兰黑客组织声称实施了此次瘫痪性攻击。 克里姆林宫发言人德米特里·佩斯科夫表示：“公开信息显示的情况令人担忧，黑客威胁是所有面向公众服务的大型企业持续面临的隐患。”检方已确认系统中断源于网络攻击并启动刑事调查。 资深议员安东·戈列尔金称俄罗斯正遭受数字攻击：“我们必须意识到针对我国的战争已在所有战线展开，包括数字领域。不排除宣称对此负责的‘黑客活动分子’受非友好国家指使。”另一名议员安东·涅姆金则要求调查人员必须追查攻击者及“导致系统性防护失职的责任方”。 俄航未透露系统恢复时间，但莫斯科谢列梅捷沃机场的航班信息屏在旅游旺季期间因航班取消而大面积飘红。截至格林尼治时间13时，该公司股价下跌3.9%，超过大盘1.4%的跌幅。 自称“沉默乌鸦”的黑客组织发布声明称，此次行动是与白俄罗斯网络游击队联合实施——后者是反对总统卢卡申科、宣称要解放白俄罗斯的反独裁黑客团体。声明以“乌克兰万岁！白俄罗斯自由永存！”结尾，而白俄罗斯网络游击队官网宣称：“我们正协助乌克兰对抗侵略者，通过对俄航的网络攻击瘫痪俄罗斯最大航空公司。”乌克兰当局暂未回应此事。 “沉默乌鸦”此前曾宣称对今年多起攻击事件负责，包括入侵俄罗斯不动产数据库、国有电信公司、大型保险企业、莫斯科政府IT部门及韩国起亚汽车俄罗斯办公室，部分攻击导致大规模数据泄露。 俄航通报信息系统故障后，已取消40余架次航班（多为国内航线，含明斯克和埃里温国际航线）。谢列梅捷沃机场实时离港信息屏显示另有数十架航班延误。公司声明称：“技术人员正全力减轻对航班时刻表的影响并恢复系统运作。” “沉默乌鸦”与白俄罗斯网络游击队的联合声明指出，此次网络攻击是持续一年的渗透行动成果：已深度侵入俄航网络，摧毁7000台服务器，并掌控包括高管在内的员工个人电脑。他们公布了据称来自俄航内部的目录截图，威胁将很快泄露“所有曾搭乘俄航的俄罗斯公民个人信息”以及截获的员工通话记录与邮件。 自2022年2月俄乌冲突爆发以来，俄罗斯旅客已习惯因无人机袭击导致机场临时关闭引发的航班中断。尽管俄罗斯企业和政府网站常遭零星黑客攻击，但本次事件因波及范围广且涉及旗舰航司，可能成为最具破坏性的案例。 前俄航飞行员、航空专家安德烈·利特维诺夫向路透社表示：“这是场严重灾难。航班延误尚可忍受，但国有企业的损失将是巨大的。若所有通信记录和公司数据全部泄露，可能引发长期后果……先是无人机袭击，现在又从内部引爆危机。” 乘客在社交网络VK宣泄愤怒，抱怨航司信息不透明。用户Malena Ashi写道：“我在伏尔加格勒机场苦等5小时！航班已第三次改期！最新通知14:50起飞，可原计划是5:00啊！”另一名用户尤利娅·帕霍塔质疑：“客服电话不通、网站瘫痪、APP失效，我该如何退票或改签？” 俄航表示系统恢复后将立即为受影响乘客办理退款或改签，并正协调其他航空公司协助转运。尽管西方制裁大幅限制了俄罗斯的航空出行范围和航线，但据官网数据显示，俄航去年客运量达5530万人次，仍位居全球航空公司前20强。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰司法系统遭黑客入侵事件中，俄罗斯背景的黑客被列为重点嫌疑对象。据荷兰《AD报》援引知情人士消息，有强烈迹象表明荷兰公共检察署（OM）的系统入侵事件系俄罗斯黑客所为。攻击者潜伏在司法部系统内数周未被察觉。 风险预警始于6月17日，当时检察署远程办公使用的第三方软件Citrix NetScaler被发现存在严重漏洞。该漏洞在通用漏洞评分系统（CVSS）中被评为9.3分，属于最高风险级别。检察署向《 Volkskrant 》报证实，虽已按建议更新系统，但有理由认为漏洞在修补前已被利用。 为阻断攻击，检察署主动断开内部计算机的互联网连接。据信黑客可能已潜伏数周，接触了包括在办警方调查案卷、未审结刑事案件卷宗及员工个人信息在内的高度敏感数据。目前尚不明确具体泄露的数据范围。 历史关联 此次并非荷兰首次遭俄罗斯黑客锁定。2024年5月，荷兰情报安全局（AIVD）已确认俄罗斯黑客窃取了数万名警察的个人数据。2024年9月，荷兰国家警察披露超过65,000名警员的联系方式通过“Cookie传递攻击”从服务器被盗——该技术通过伪造用户会话凭证实施入侵。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁组织EncryptHub（又名Larva-208）通过入侵Steam平台游戏《Chemia》，向不知情用户分发信息窃取类恶意软件。 近日，该黑客组织将恶意二进制文件植入由“Aether Forge Studios”开发的生存制作类游戏《Chemia》中。该游戏目前以“抢先体验”形式登陆Steam，尚未公布正式发行日期。 据威胁情报公司Prodaft分析，攻击始于7月22日。EncryptHub在游戏文件中添加了恶意软件HijackLoader（文件名CVKRUTNP.exe），该程序在受害设备上建立持久化机制，并下载信息窃取程序Vidar（文件名v9d9d.exe）。研究人员发现，恶意软件通过某Telegram频道获取命令与控制（C2）服务器地址。 三小时后，攻击者再次通过DLL文件（cclib.dll）植入第二款恶意软件Fickle Stealer。该文件利用PowerShell脚本（worker.ps1）从域名soft-gets[.]com获取主载荷。Fickle Stealer专门窃取浏览器存储数据，包括账户凭证、自动填充信息、Cookie及加密货币钱包数据。该恶意软件去年曾被EncryptHub用于大规模鱼叉式钓鱼攻击，导致全球超六百家组织沦陷。 此威胁组织在黑客领域行为特殊：既恶意利用Windows零日漏洞，又曾向微软负责任的披露关键漏洞。Prodaft在报告中指出：“被篡改的可执行文件对Steam用户显示为合法程序，这种攻击依赖平台信任而非传统欺骗手段，形成高效的社会工程陷阱。当用户在免费游戏中点击《Chemia》的‘测试版’时，实际下载的是恶意软件。” 恶意软件在后台静默运行，不影响游戏性能，玩家难以察觉异常。目前尚不清楚EncryptHub如何将恶意文件植入游戏项目，推测可能有内部人员协助。游戏开发商未在Steam页面或社交媒体发布任何声明。 截至发稿，《Chemia》仍可于Steam下载，无法确认最新版本是否已清除恶意代码。建议用户等待Steam官方公告前避免接触该游戏。 此为Steam平台2025年第三起恶意软件事件：此前3月《Sniper: Phantom’s Resolution》与2月《PirateFi》均曾中招。三款游戏均为“抢先体验”阶段作品，表明Steam对此类内容的审核机制可能存在疏漏。用户下载开发中游戏时需保持警惕。 本次攻击的入侵指标（IOC）已公开。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 清洁用品巨头高乐氏（Clorox）已起诉其委托运营IT服务热线的承包商高知特（Cognizant），指控后者直接导致了2023年造成数亿美元损失的网络攻击事件。 本周二在加利福尼亚州高等法院提交的诉讼文件显示，为高乐氏提供服务的高知特承包商多次向黑客移交关键登录信息，致使公司系统遭入侵并引发运营瘫痪。高知特作为协助企业实施业务流程技术化的大型专业服务公司，尚未回应置评请求。 高乐氏指控高知特“其失职行为直接引发了2023年8月的网络攻击，并对公司业务运营造成重大破坏”。公司宣称因此遭受3.8亿美元损失，要求高知特承担该赔偿金额及惩罚性损害赔偿。高乐氏指出，其明确规定的密码重置政策屡遭高知特客服人员无视。 “高乐氏将保护企业系统的关键职责托付给高知特——而他们彻底搞砸了，”高乐氏外部法律顾问玛丽·罗斯·亚历山大表示，“高知特不仅玩忽职守，更是将企业网络密钥拱手交给臭名昭著的网络犯罪团伙，公然漠视高乐氏的政策与长期建立的网络安全标准。通话录音完整记录了整个过程，这种行为无可辩驳。” 高知特发言人则将责任归咎于高乐氏，称“像高乐氏这种规模的企业竟拥有如此低效的内部网络安全系统来抵御攻击，令人震惊”。该发言人强调：“高知特仅承担有限的热线服务范畴，且已合理履行义务。我们并未负责高乐氏的网络安全事务。” 诉讼文件中，高乐氏提供了黑客与客服热线的通话记录文本——显示网络犯罪分子曾多次致电要求重置密码，却始终无需身份验证或证明其员工身份。2023年8月，高乐氏因网络攻击被迫关闭系统，并向联邦监管机构报告称业务运营受阻，不得不采取变通方案维持客户产品供应。 该公司遭遇持续数月的运营故障，部分IT基础设施遭破坏导致“大规模瘫痪”。依靠旗下明星清洁产品及Pine Sol、Burt’s Bees等品牌创造数十亿美元收入的高乐氏，在攻击后被迫恢复人工订单处理流程。由于订单处理效率骤降，其产品在零售渠道持续缺货。攻击事件后六个月内，公司出货量减少导致销售额下降6%，同时需斥资聘请咨询机构、IT恢复团队及取证专家进行事件调查与修复。高乐氏声称已投入4900万美元修复损失，并蒙受数亿美元业务损失。最新财报显示，公司近期获得与网络攻击相关的1亿美元保险理赔。 社会工程攻击全流程还原 诉讼文件描绘了高知特员工的重大失职行为（该公司运营高乐氏热线逾十年），同时详述了网络安全专家指出的、犯罪分子日益猖獗的社会工程手段。高乐氏员工通常通过高知特服务台进行密码找回或账户设备重置。公司明确要求服务商“重置凭证前必须严格验证身份”，但2023年8月11日，犯罪分子致电索取网络访问凭证时，“高知特直接交出了权限”。 “录音显示，高知特在未验证身份的情况下，将高乐氏企业网络密钥交给了网络罪犯，”高乐氏律师控诉，“犯罪分子利用当日通过类似通话获取的凭证发动攻击，致使高乐氏企业网络瘫痪、业务运营陷入困境。” 高乐氏透露，其内部服务台经理每周与印孚瑟斯团队管理人员开会强调规则制度。2023年1月，公司更新指引要求客服人员使用身份验证工具MyID；若该工具不可用，则需核实致电者直属经理姓名及账户名。 黑客当时要求重置某员工的Okta账户密码。客服人员虽建议其连接公司虚拟专用网络（VPN），但在黑客声称忘记VPN密码后，该人员直接重置了两套系统密码，“完全违反高乐氏凭证支持流程”。当黑客声称微软多因素认证（MFA）失效时——高乐氏认为这应触发警报——客服却在未验证身份的情况下直接重置了MFA。同日，黑客二次致电要求重复重置微软MFA，该要求再度获准。第三次通话中，黑客再次要求重置Okta凭证，客服仍无任何身份核验即执行操作。黑客进而要求将账户MFA验证手机号变更，客服依旧照办。 “整个过程中，客服从未验证致电者确系该员工本人，也从未遵守高乐氏的凭证支持流程——无论是2023年前旧规还是新规，”公司律师指出，“客服既未向员工及其经理发送密码重置通知邮件，也未执行任何身份核验程序。” 犯罪分子利用重置凭证登录网络窃取信息，进而锁定另一名IT安全部门员工故技重施。通过两次致电，黑客再度获取该员工Okta及微软系统的MFA密码重置权限。此账户使黑客获得高乐氏网络特权访问权限。公司三小时后察觉入侵并试图遏制，但最终被迫全面关闭系统、暂停生产线，转为依赖人工处理订单。 诉讼文件关键部分经编辑处理，高乐氏未确认是否遭受勒索软件攻击。目前尚无网络犯罪组织宣称对此事件负责。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国最大造船企业海军集团（Naval Group）据称遭遇重大黑客攻击。研究人员认为攻击者在网上分享的数据样本包含真实细节。该公司深度参与法国国防领域。 一名威胁行为者在知名数据泄露论坛上宣布了据称的海军集团数据泄露事件。攻击者声称已获取法国潜艇和护卫舰使用的作战管理系统（CMS）访问权限。 值得注意的是，攻击者似乎无意出售数据（数据泄露论坛用户常采取此做法），而是试图通过威胁泄露数据来勒索海军集团。 泄露数据样本内容 海军集团是欧洲国防领域的重要参与者，员工超15,000人，年收入超50亿美元（43亿欧元）。其主要股东为法国政府和泰雷兹集团。 我们已联系该公司寻求置评，收到回复后将更新本文内容。 泄露数据涉及哪些内容？ 根据攻击者在数据泄露论坛的帖子，网络犯罪分子据称获取了以下内容： 军用舰艇CMS的源代码 网络数据 标注不同限制级别的技术文档 开发人员虚拟机访问权限 机密通信记录 若得到证实，此次数据泄露将对该公司及法国国家安全构成重大威胁。潜艇和护卫舰CMS源代码的泄露将引起法国所有对手的兴趣，且需投入资金缓解问题。 网络安全研究团队分析了攻击者帖子中附带的13GB数据样本，认定泄露细节似乎真实可信。样本包含各类合同、据称来自CMS的信息，以及疑似潜艇监控系统的视频（但视频时间戳显示为2003年）。 然而，出于经济动机的攻击者常夸大所获数据的实际影响以胁迫受害者满足勒索要求。目前尚不清楚数据泄露的真实程度。 总部位于巴黎的海军集团是法国海军防务设计、开发和建造的关键角色。该公司历史可追溯至17世纪末，自成立以来一直是法国海军防务不可或缺的一部分。例如，法国唯一的核动力航空母舰“夏尔·戴高乐”号即由海军集团（当时名为DCN“法国舰艇建造局”）建造。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文