HackerNews 编译，转载请注明出处： 德国国内情报机构警告称，疑似国家支持的威胁行为者正通过 Signal 等即时通讯应用，针对高级别人士进行网络钓鱼攻击。 此类攻击结合社会工程学手段与通讯应用的合法功能，窃取德国及欧洲各国政客、军官、外交官和调查记者的相关数据。 该安全警示基于德国联邦宪法保卫局（BfV）与联邦信息安全办公室（BSI）搜集的情报编制。 两家机构通报称：“此次攻击行动的典型特征是，攻击者既未使用恶意软件，也未利用即时通讯服务的技术漏洞。” 警示内容显示，攻击者会直接联系目标对象，伪装成即时通讯应用的客服团队或客服聊天机器人。 “攻击目的是秘密获取受害者的一对一聊天记录、群组聊天记录以及通讯录信息。” 此类攻击分为两种模式：一种是完全劫持账号，另一种是将受害者账号与攻击者设备绑定，以监控聊天活动。 第一种攻击模式中，攻击者伪装成 Signal 客服，发送虚假安全警示以制造紧迫感。 随后诱骗目标泄露 Signal PIN 码或短信验证码，攻击者便可将该账号注册至自己控制的设备上。进而劫持账号并将受害者踢出账号。 攻击者通过私信伪装成 Signal 客服（来源：BSI） 第二种攻击模式中，攻击者通过合理的借口诱骗目标扫描二维码。攻击者滥用 Signal 合法的设备关联功能，该功能本用于将账号绑定至电脑、平板、手机等多台设备。 最终受害者账号会与攻击者控制的设备绑定，攻击者可悄无声息地获取聊天记录与通讯录信息。 用于绑定新设备的二维码（来源：BSI） 尽管 Signal 会在 “设置> 关联设备” 中列出所有绑定账号的设备，但用户极少核查该列表。 此类攻击已在 Signal 平台被观测到，警示公告同时提醒，WhatsApp 也具备类似功能，可能被以相同方式滥用。 去年，谷歌威胁研究人员通报称，俄罗斯国家背景的威胁组织（如沙虫组织）已使用二维码绑定攻击技术。 乌克兰计算机应急响应小组（CERT-UA）也将类似的 WhatsApp 账号攻击事件归咎于俄罗斯黑客。 但此后包括网络犯罪分子在内的多个威胁组织，已在如“GhostPairing”等攻击行动中采用该技术劫持账号，实施诈骗活动。 德国当局建议用户切勿回复自称客服账号发来的 Signal 消息，因该通讯平台不会主动直接联系用户。 建议收到此类消息的用户直接屏蔽并举报相关账号。 作为额外安全防护措施，Signal 用户可在 “设置> 账号” 中开启 “注册锁定” 功能。该功能开启后，任何尝试使用用户手机号注册 Signal 的操作，均需输入用户自行设置的 PIN 码。 没有PIN码，在另一台设备上注册Signal账户将失败。因该验证码是注册必需信息，丢失 PIN 码可能导致用户无法登录自身账号。 同时强烈建议用户定期在 “设置> 关联设备” 中核查 Signal 账号的绑定设备列表，移除未知设备。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，德国检方宣布，一名疑似极右翼分子因涉嫌通过暗网网站策划刺杀高级政要被逮捕。据联邦检察官办公室透露，49岁德波双国籍嫌疑人马丁·S已于本周早些时候在多特蒙德落网。 该嫌疑人被指控创建网络平台，通过募集加密货币捐款来资助其针对多名民选官员发布的”死刑令”。该网站不仅包含制造爆炸物的指导手册，还披露潜在受害者的个人信息，据信自今年6月起持续活跃。 德国媒体报道该网站目前已被关闭。虽然官方未公开目标人物名单，但《明镜周刊》披露其包括前总理安格拉·默克尔与奥拉夫·肖尔茨，以及多名前部长与其他公众人物。警方还查获针对数十名政客、法官和检察官的”犯罪档案”与”死刑判决书”，以及涉及种族主义、反犹太主义和阴谋论的宣传材料。 该嫌疑人自2020年因参与新冠抗议活动引起安全部门注意。调查显示其长期与多特蒙德新纳粹势力保持联系，并频繁参加极右翼集会。当地媒体将马丁·S与”帝国公民运动”关联——该组织否认现代德国合法性，坚称1945年前的德意志帝国仍应存续。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汉堡知名的微缩景观馆已向多名游客发出通知，告知其遭遇了一起 “数据安全事件”。攻击者或许已获取了数十万人的信用卡数据。 这座微缩景观馆是德国北部城市汉堡最热门的旅游景点之一，也是全球规模最大的铁道模型展区。今年 4 月，曾有人在此释放刺激性气体。当时事件造成 46 人受轻伤，馆内游客被全部疏散，不过半小时后该场馆便解除警戒，允许游客重新进入。 而此次遭受的另一起攻击，其造成的影响可能要严重得多。近几个月内到访过该场馆的部分游客刚刚收到一封邮件，邮件中告知了这起 “数据安全事件”，并说明他们的个人信息有可能受到影响。 邮件中写道：“汉堡微缩景观馆遭遇了网络攻击，未获授权的第三方或已通过此次攻击获取了你的信用卡数据。我们认为场馆门票线上购票页面存在安全漏洞，这导致信用卡数据不仅直接传输至了我们的支付服务商处，还被发送至了另一台独立服务器。” 赛博新闻网已联系汉堡微缩景观馆，希望其就该事件作出回应，并表示收到回复后将更新相关报道。截至目前，暗网论坛中尚未出现任何与该场馆遭黑客攻击相关的消息。 据悉，此次数据安全事件影响的范围为 6 月 6 日至 10 月 29 日期间通过线上渠道用信用卡完成的购票交易。 该场馆每年接待游客超 150 万人次。尽管并非所有游客都会提前线上购票，但可以确定的是，此次网络攻击至少会波及数千名游客，其受影响人数甚至可能更多。 场馆方面推测，游客在门票线上购票页面填写的所有信用卡信息（包括持卡人姓名、卡号、信用卡验证码以及有效期）均已受此次事件影响。 微缩景观馆在发给游客的邮件中表示：“我们无法排除这些数据被滥用的可能性。因此，该事件可能会给你带来不良后果，例如因信用卡被盗刷造成财产损失，或是个人身份信息遭冒用等情况。” 场馆还补充称，发现该事件后已立即隔离了受影响的服务器。但据推测，游客个人数据的泄露时长其实已接近整整五个月。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的网络犯罪团伙”Everest Group”在其暗网泄密网站上将爱尔兰都柏林机场列为受害者，指控其发动了此次勒索软件攻击。都柏林机场年客流量逾3500万人次，为40家航空公司提供超过150个航点的服务。 此前该团伙刚宣称攻破柯林斯航空航天公司及其用于值机服务和旅客管理的MUSE软件系统，该攻击曾导致欧洲多座主要机场瘫痪数日，引发航运混乱。 管理都柏林机场的公司Daa此前曾发布声明，称乘客数据是因第三方系统遭入侵而受影响。 此次黑客的声明可能与此前柯林斯航空航天公司的数据泄露事件相关，也可能意味着航空领域正遭受新一轮攻击。 目前该犯罪团伙尚未发布数据样本佐证其声明。其受害者网站上发布的公告包含倒计时器，显示机场方若未在五日内联系黑客，被盗数据将被公开。 勒索软件组织通常通过在暗网泄密网站公布受害者名单，企图胁迫相关机构支付赎金，否则将面临敏感数据泄露的严重后果。 该勒索软件组织声称窃取了包含旅客个人信息与航班运营数据的敏感信息。据其声明，被盗数据集涉及1,533,900条个人记录。 据称泄露内容包含：乘客全名、航班号、座位信息、起降机场、票号、常旅客信息，甚至涵盖办理值机及生成登机牌时所使用的设备详情。 都柏林机场疑似泄露数据类型清单 全名 旅客状态及分类（如成人/儿童/员工） 常旅客航空公司、会员编号及等级 免费行李额度与快速通关资格 预订编码(PNR) 航空公司名称及数字代码 航班号与日期 起降机场代码 座位号及舱位等级 序列号与航段数量 市场方与实际承运方 机票凭证及序列号 电子机票标识 登机牌签发来源及日期 证件类型与签发航司代号 安检抽检标识 国际证件验证状态 行李牌编号（含非连续编号） 值机或登机设备名称、ID及类型 工作站ID与时间戳 起飞日期与时间 条形码格式及软件版本号 若此次泄露被证实属实，旅客身份信息、航班规律、会员凭证及数字接触点都将面临曝光风险。 据信该团伙与BlackByte勒索组织存在关联。5月22日，Everest瞄准可口可乐中东分公司，最终泄露了该公司多个分销中心近千名员工资料。 作为对全球最大可口可乐装瓶商”可口可乐欧洲太平洋伙伴”大规模攻击的一环，该勒索组织据称窃取了约2300万条数据。 在对可口可乐攻击数日后，该组织又宣称攻破阿联酋知名国际私立医院Mediclinic、阿布扎比文化与旅游部以及约旦科威特银行。 该团伙还是2022年10月AT&T攻击事件的幕后黑手，声称可访问AT&T整个企业网络，并于2024年秋季攻击了Radisson Country Inn and Suites连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织SafePay声称对德国视频监控提供商Xortec的成功攻击负责，并将该公司列入其数据泄露网站。勒索软件支付截止日期为2025年10月27日。 Xortec GmbH总部位于法兰克福，在德国各地设有办事处，是一家增值分销商和系统集成商，专注于视频监控、IP网络和安全解决方案。该公司为企业及安装服务客户提供摄像头、网络录像机、门禁系统、布线与咨询服务。Xortec于2021年被Beyond Capital Partners收购，是一家快速增长的B2B公司，拥有数十名员工，年收入超过750万欧元，其增长主要由大型安装项目驱动。 该公司的客户主要为B2B类型：包括系统集成商、专业安装商、系统厂商以及在全球（尤其是在德语区及更广泛的国际市场）运营的经销商。鉴于其核心业务聚焦于视频监控和通信解决方案，Xortec提供的产品与服务构成了零售、物流、公共及私人基础设施和关键设施等多个行业安全基础架构的支撑。 对Xortec这类公司的攻击可能因其在安全供应链中的角色而产生广泛影响。攻击者可能在安装商使用的硬件或软件中植入后门，从而泄露客户数据、监控布局和运输记录。遭篡改的固件可能破坏对数千个已部署系统的信任。若Xortec的物流运营受阻，其影响将波及经销商和最终用户，甚至可能涉及交通或公用事业等关键行业——这使得此次入侵事件成为一个超越单一公司范畴的、系统性的、多层级风险。 SafePay是一个自2024年底开始活跃的快速崛起的勒索软件组织。该组织独立运营，采用数据窃取与加密的双重勒索策略，其攻击目标遍布制造业、医疗保健和政府等全球多个行业。该网络犯罪组织在获取访问权限后的24小时内迅速行动，并且会避开俄罗斯系统，这暗示其可能源于东欧地区。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 图林根州内政部长格奥尔格・迈尔指控极右翼政党 “德国选择党”为俄罗斯从事间谍活动，并表示自己掌握支持该指控的证据。 迈尔向德国新闻媒体 Handelsblatt 表示：“一段时间以来，我们愈发担忧地观察到，德国选择党正滥用议会质询权，专门搜集我国关键基础设施的相关信息。” 身为德国社会民主党成员的迈尔指出，过去 12 个月里，德国选择党在图林根州就交通、数字基础设施以及水、能源供应领域，提出了 47 项相关质询。 他还向《商报》透露：“德国选择党对警方信息技术及装备表现出特殊兴趣，例如无人机探测与防御领域。由此产生的印象是，该党正通过质询来落实克里姆林宫的‘任务清单’。” 德国联邦议院情报监督委员会主席马克・亨里希曼对迈尔的担忧表示认同。 他表示：“俄罗斯显然在利用其在议会中的影响力 —— 尤其是通过德国选择党 —— 从事间谍活动并获取敏感信息。而德国选择党则心甘情愿为这种背叛行为‘拉普京的车’。” 德国选择党否认所有指控，称这些指控 “荒谬至极”。 长期以来，德国情报部门一直发出警告：俄罗斯正利用极端主义政党和个人，为自身利益搜集德国关键基础设施的敏感信息。目前，因德国选择党联邦议院议员马库斯・弗罗伊恩迈尔计划前往莫斯科，情报部门再次表达了担忧。 迈尔认为，问题不止于弗罗伊恩迈尔的既定行程。他称，俄罗斯试图 “传播虚假信息、破坏民主机构的合法性、阻碍议会程序，并与右翼极端组织建立联系”。 今年早些时候，德国情报机构经过长期调查得出结论：德国选择党正日益激进，目前已被认定为极右翼政党。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国工业自动化解决方案提供商Helmholz生产的路由器近期被发现并修补了多个潜在严重漏洞。上周，德国CERT@VDE发布公告，披露了Helmholz旗下REX 100路由器中存在的八个漏洞，这些漏洞使组织能够远程访问和管理工业网络，安全风险由此曝光。 Helmholz路由器通过遍布60个国家的合作伙伴网络在全球销售，覆盖北美、欧洲和亚洲等地区。根据CERT@VDE公告，其中三个漏洞被评定为“高危”级别，均允许拥有高权限的攻击者通过特制请求执行任意操作系统命令。其余问题归类为“中危”，可被用于SQL注入、XSS攻击及拒绝服务攻击（包括未认证的DoS）。 供应商已发布REX 100路由器固件版本2.3.3修复这些漏洞，此前所有固件版本均受影响。这些漏洞是由工业网络安全公司CyberDanube在奥地利一所大学组织的实验室演习中发现。尽管官方CVSS评分不高，但该公司认为部分漏洞实际危害严重。 CyberDanube指出，虽然多数漏洞需认证才能利用，但设备存在默认凭证，可能被攻击者绕过此限制。部分漏洞可让攻击者以root权限在目标设备上执行任意代码，导致服务中断、通信拦截或转向攻击网络内其他系统。 另一个潜在风险在于该工业路由器永久连接至供应商的云端环境——用户通过Web界面管理和配置工业网络设备的基础。若攻击者发现该云系统漏洞，可能入侵其他客户设备，造成“灾难性”后果。CyberDanube已发布包含技术细节和漏洞利用代码（PoC）的独立公告。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

据《华尔街日报》报道，德国计划在2029年底之前，从其5G移动网络中完全移除中国制造的组件。这一决定旨在解决多年来的争论，并回应美国对该问题的安全警告。德国讨论限制使用中国（5G）设备/部件已有六年，此前尽管美国不断施压，前总理默克尔政府出于成本和反制担忧，一直拒绝出台禁令。 根据初步协议草案，德国主要电信运营商已同意在2026年底前，从核心网络中移除华为和中兴通讯制造的组件。到2029年底，所有无线接入网的网络管理系统也应清除中国制造的部件。目前，政府和运营商尚未签署最终协议，未来几天可能会有细节变化。 多年来，虽然中国的5G电信设备物美价廉，但是美国不断警告其西方盟友，谎称中国制造的5G设备可能存在后门，允许中国政府窃取数据或在冲突时关闭设备。近年来，在美国的压力下，德国承诺减少对中国技术和原材料的依赖。德国安全机构也警告来东方的间谍活动日益猖獗，并逮捕了几名疑似间谍。然而，由于经济停滞和政府内部摩擦，遏制中国的政策实施遇到障碍。 尽管一些德国政府官员担心中国构成安全威胁，但现任德国总理朔尔茨希望鼓励中国投资，防止双边贸易崩溃。这些摩擦导致德国淡化对华战略，并反对欧盟抵制中国廉价进口商品的行动。 德国内政部表示，将采取措施确保5G网络关键部分的安全。德国电信、Telefonica和沃达丰均未对此置评，华为和中兴通讯也未回应。 近年来，包括英国和波罗的海国家在内的欧洲国家已禁止中国零部件进入其电信网络。分析人士指出，德国的决定将使其与其他欧洲国家保持一致，但行动来得太晚，且大多基于运营商提出的条件。研究公司荣鼎的顾问Noah Barkin表示，这一协议时间表显示，大多数中国零部件只有在达到使用期限时才会被移除。 数据显示，2022年，德国5G网络中中国零部件占比59%，而英国为41%，法国为17%，波罗的海国家为0%。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/MuIdTYmirK22naLC1KLSAw 封面来源于网络，如有侵权请联系删除

Proofpoint警告称，TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者，通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。 TA547是一个受利益的威胁行为者，至少从2017年11月开始就一直活跃，它被观察到进行了多次活动，以交付各种Android和Windows恶意软件，包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。 该组织还作为初始访问代理(IAB)运营，并以不同的地理区域为目标。 研究人员指出，这是第一个使用此恶意软件家族的TA547集团。在过去的活动中，该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。 TA547集团假冒德国零售公司Metro向受害者发送电子邮件，据称与发票有关。这些消息包含一个密码保护的ZIP文件，打开后包含一个链接文件。执行链接文件时，它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件，并将其作为程序集加载到内存中，然后执行它。专家们注意到，恶意代码直接在内存中执行，而没有将任何工件写入磁盘。“值得注意的是，当解混淆时，用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征，这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。 具体来说，PowerShell脚本在脚本的每个组件上方都包含一个磅符号，后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出，表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell，或从其他使用过它的来源复制了脚本。” 这次活动表明威胁行为者的技术转变，利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。 专家们还发现了在恶意软件活动中使用LLM的企图。 报告总结道：“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链，使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样，威胁行为者可能会将这些资源纳入整个活动中。” “然而，值得注意的是，虽然TA547将可疑的LLM生成的内容纳入整个攻击链，但它并没有改变恶意软件的功能或效力，也没有改变安全工具对它的防御方式。在这种情况下，潜在的LLM生成的代码是一个脚本，它有助于交付恶意软件的有效载荷，但没有观察到它改变了有效载荷本身。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/HJiuPyuiO6HSUSJRJbtp3Q 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，在3月的一起针对德国数十家机构网络钓鱼活动中，研究人员发现，攻击者使用的 PowerShell 脚本很有可能由人工智能辅助创建。 网络安全公司 Proofpoint 的研究人员将这次攻击归因于一个至少从 2017 年起就开始活跃、被追踪为 TA547 的攻击者，又名 Scully Spider，擅长利用各类恶意软件针对Windows和安卓系统。而此次攻击活动中使用的是一种名为“Rhadamanthys”的模块化窃取程序，能够搜集剪贴板、浏览器、cookie中的数据。 研究人员称， TA547 在此次攻击活动中冒充德国麦德龙，以发票为诱饵，欺骗了德国各行各业的数十家组织。 这些邮件包括一个用密码 “MAR26 “保护的 ZIP 压缩包，其中包含一个恶意快捷方式文件（.LNK），访问该快捷方式文件会触发 PowerShell 运行远程脚本，并在内存中执行恶意代码。 在分析加载 Rhadamanthys 的 PowerShell 脚本时，研究人员注意到脚本中包含一个哈希符号 (#)，后面是每个组件的特定注释，这在由真人创建的代码中并不常见。 研究人员指出，这是由ChatGPT、Gemini 或 CoPilot 等生成式人工智能所生成代码的典型特征。虽然他们不能绝对确定 PowerShell 代码来自大型语言模型（LLM）解决方案，但研究人员表示，脚本内容表明 TA547 有可能使用了生成式人工智能来编写或改写 PowerShell 脚本。 Proofpoint 威胁研究主管丹尼尔·布莱克福德（Daniel Blackford）告诉BleepingComputer，虽然开发人员很擅长编写代码，但他们的注释通常是隐晦的，而且存在语法错误。而这些疑似由 LLM 生成的 PowerShell 脚本注释缜密，语法无懈可击，几乎每一行代码都有一些相关注释。 此外，根据使用 LLM 生成代码的实验结果，研究人员已几乎相信TA547所用的代码就是使用此类技术生成。BleepingComputer 使用 ChatGPT-4 创建了一个类似的 PowerShell 脚本，输出的代码看起来与 Proofpoint 看到的代码相似，包括变量名和注释，这进一步表明该脚本很可能是由人工智能生成。 自 OpenAI 于 2022 年底发布 ChatGPT 以来，出于经济动机的攻击者一直在利用人工智能来创建定制化或本地化的网络钓鱼电子邮件、运行网络扫描以识别主机或网络上的漏洞，以及构建高度可信的网络钓鱼页面。但由于大多数大型语言学习模型都试图限制可能被用于恶意软件或恶意行为的输出，网络犯罪分子开始推出专门用于恶意目的的人工智能平台。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397597.html 封面来源于网络，如有侵权请联系删除