HackerNews 编译，转载请注明出处： 美国得克萨斯州达拉斯市郊外的一个大型郊区，是本周全美范围内多个报告网络事件、且公共服务受影响的市政当局之一。 考夫曼县（Kaufman County）拥有近 20 万居民，该县表示周一发现一起网络攻击，迫使县官员通知了州级和联邦机构。 此次事件导致多个县级系统瘫痪，但警长办公室和应急服务未受影响。当地一家新闻媒体报道称，县法院的计算机已受到此次攻击影响。 考夫曼县法官杰基・艾伦（Jakie Allen）在一份声明中表示：“我们的首要任务始终是保障基本公共服务的连续性，并保护县级系统与信息安全。” 该县代表尚未回应置评请求。 针对考夫曼县的攻击，与全美范围内多起类似事件几乎同时发生。 周五，田纳西州拉弗恩市（La Vergne）表示，正调查一起网络事件，该事件导致政府官员使用的计算机系统陷入混乱。联邦调查局（FBI）及州级机构正与该市合作，协助其从攻击中恢复。 自发现网络攻击以来，该市的政府办公楼已关闭。 在周二发布的最新情况中，市政府官员解释称，用于缴纳水费和财产税的系统因网络攻击瘫痪，这迫使该市 4 万多名居民只能通过支票或汇票付款，现金和信用卡付款方式暂不接受。 该市承诺，在解决系统中断问题期间，不会收取滞纳金，也不会停止供水服务。 在市立法院，原定于周三举行的听证会因网络攻击被推迟。 印第安纳州的迪卡尔布县（Dekalb County）以及宾夕法尼亚州切斯特县（Chester County）的图书馆系统，在上个月也均报告了系统中断和网络攻击事件。 地方政府一直在艰难应对网络攻击，与此同时，为资金短缺的网络防御机构提供支持的联邦资源要么已到期，要么因当前政府停摆而受到限制。上个月，联邦网络安全机构终止了与互联网安全中心（CIS）的合作关系，而该中心曾为各市、县及州级机构提供关键威胁信息。 另一项规范网络威胁情报共享的重要联邦法律也于 9 月 30 日到期，这使得许多政府机构急于寻找关键网络安全信息的替代来源。 政府停摆期间，联邦部门的强制休假、预算削减和人员精简，也阻碍了关键机构为遭遇网络安全事件的地方政府提供援助的工作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本零售企业无印良品（Muji）因配送合作伙伴Askul遭遇勒索软件攻击，引发物流中断，现已暂停旗下门店线上业务。 日本时间周日晚间，无印良品表示，此次事件导致所有零售服务均受影响，具体包括线上商店浏览或购物、通过无印良品 APP 查看订单历史，以及部分网页内容显示功能。 尽管该公司未明确系统恢复时间表，但周一下午的最新公告显示，目前仅线上商店购物和月度固定费率服务申请仍受影响。 无印良品同时表示，正调查哪些货运订单受到影响，以确认攻击发生前已下单的订单，并将通过邮件通知相关消费者。 无印良品主打极简风格的家居用品、服装及家具，在日本、中国、新加坡、欧洲、澳大利亚及北美地区运营着逾 1000 家门店。该公司年营收约 40 亿美元，在全球拥有超过 2.45 万名员工。 Askul是一家大型B2B及B2C办公用品与物流电商公司，隶属于雅虎日本公司。 该公司于昨日发布声明，称自身成为勒索软件攻击目标，导致业务运营中断。 声明内容显示：“目前，Askul网站因勒索软件感染发生系统故障，我们已暂停订单处理及配送业务。” “我们正调查此次事件的影响范围，包括个人信息及客户数据是否泄露，一旦获取相关信息将立即通知公众。” 目前，Askul的产品退货申请、收据邮寄、商品目录寄送及取件服务均已暂停，其客服热线及网站客服渠道也暂时无法接通。 由于Askul仅负责无印良品在日本地区的销售配送，此次故障仅影响日本市场，无印良品在其他国家的门店均正常营业。 截至发稿时，尚未有勒索软件团伙在其勒索平台上宣称对爱速客乐发起攻击。 此次事件发生前不久，日本最大啤酒生产商朝日啤酒（Asahi）也遭遇勒索软件攻击，被迫暂停生产运营，并推迟原定产品上市计划。该起攻击由 “麒麟”（Qilin）勒索软件团伙宣称负责，朝日啤酒在声明中证实，黑客从其系统中窃取了数据。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  周二，英国国家网络安全中心（NCSC）发布2024年度安全报告，宣布英国去年遭遇的国家级重大网络攻击数量创下历史纪录。 NCSC披露，在2024年9月初至今年8月末期间，工作人员紧急协助应对了429起攻击事件。其中204起被认定为“国家级重大”事件，同比增加一倍多。 在204起“国家级重大”事件中，18起被归类为“高度重大”事件，这是该机构分类体系中第二严重的级别，仅次于国家网络紧急状态。这18起攻击“对英国中央政府、基本公共服务、大部分民众或英国经济造成了严重影响”。 为应对攻击事件的激增，英国政府宣布，将致函本国主要企业的首席执行官和董事长，要求他们“采取切实行动”，保护企业免受攻击。 此前，捷豹路虎遭遇网络攻击，经历了持续一个多月的运营中断。这封信提醒企业界，针对英国企业的恶意网络活动已变得“更为密集、频繁且复杂”。 牛津大学网络安全研究卓越学术中心主任卢卡斯・凯洛将针对捷豹路虎的攻击评未：“不仅是企业运营中断事件”，更是“经济安全事件”。他表示：“如果中断持续数周或数月，将危及政府的核心增长使命。倘若英国的顶级出口行业陷入停滞，又如何能实现‘在七国集团中保持最高持续增长率’的目标？” 英国国家网络安全中心的年度报告特别提及这一威胁，并设有副标题呼吁全国“正视经济安全面临的紧迫风险”。 安全部长丹・贾维斯在报告序言中警告称，“网络安全对我们的国家安全和经济健康而言，从未像现在这样至关重要”。 在英国国家网络安全中心年度报告发布活动上发表演讲后，贾维斯将与富时350指数成分股公司的代表举行会议，强调企业需将网络韧性提升至董事会层面的职责范畴。他表示：“尽管我们夜以继日地应对威胁，并为各类规模的企业提供支持，但仅凭我们自身的力量远远不够。我们正与企业领导者合作，确保他们认识到威胁的严重性，并将网络安全列为首要任务。” 英国国家网络安全中心首席执行官理查德・霍恩警告称：“网络安全如今关乎企业生存与国家韧性。在该中心处理的事件中，超半数被认定为国家级重大事件，高度重大攻击事件较去年增加了50%，我们面临严重影响的集体风险正以惊人速度上升。” “抵御这些攻击的最佳方式是让各机构尽可能降低自身被攻击的可能性。这要求每位企业领导者立即行动：犹豫不决本身就是一种弱点，企业的未来取决于当下采取的行动。行动刻不容缓。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。 网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。 一、攻击链条解析 该攻击活动始于钓鱼邮件，邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件（.exe），以及一个恶意的 version.dll 文件，攻击者借此实现 “DLL 侧载”（DLL Sideloading）攻击。此后，攻击共分 10 个阶段逐步推进，通过加载器层、加密层与持久化机制的层层叠加，复杂度不断升级。 此次攻击活动的显著特点是，在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件（.exe）的技术转型。 攻击者对系统进程 RegAsm.exe 实施 “进程镂空”（Process Hollowing）攻击，对 Windows 自带的反恶意软件扫描接口（AMSI）和事件跟踪日志（ETW）等防御机制进行补丁篡改，随后逐步解包更多恶意载荷，最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制（C2）信道、主机指纹识别功能，以及加载额外恶意模块的能力。 二、攻击活动溯源 攻击前期阶段的核心目标是窃取凭证信息，并从 Chrome、Firefox 等浏览器中收集数据。 攻击者将窃取的信息打包为 ZIP 文件后，通过 Telegram 机器人 API（Telegram Bot API）传输。与账号 @LoneNone 相关联的元数据显示，该攻击活动与 “PXA 窃密者”（PXA Stealer）恶意软件家族存在关联，而该家族此前已被证实与越南威胁行为者有关。 此外，PureRAT 的命令与控制（C2）服务器经溯源也位于越南，进一步印证了这一攻击归因结论。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国连锁零售商 Co-op（合作社集团）表示，今年 4 月遭遇的网络攻击不仅导致门店货架空置，还造成客户数据被盗，最终使其营收减少 2.06 亿英镑（约合 2.74 亿美元）。 此次攻击是今年春季影响英国企业的多起重大网络安全事件之一，零售巨头玛莎百货（Marks & Spencer，简称 M&S）也在受影响之列。7 月，警方逮捕了 4 名与 Co-op、玛莎百货及哈罗德百货（Harrods）黑客攻击事件相关的人员，其中包括 1 名未成年青少年。据悉，这些黑客被认为与 “分散蜘蛛”（Scattered Spider）团伙有关 —— 该团伙是由一群年轻网络犯罪分子组成的松散组织。 在周四提交的财报中，Co-op 指出其食品业务受此次事件冲击最为严重，“由于（公司）主动将系统下线，商品库存可用性大幅下降”。事件被发现后的数周内，门店供货情况明显受影响，Co-op 首席执行官希琳・胡里 – 哈克（Shirine Khoury-Haq）曾向消费者表示，员工正 “夜以继日地工作，以保护我们的系统并推动运营恢复正常”。 该公司在财报中称：“门店虽持续营业，但受到多重因素影响：商品库存不足、竞争对手趁机抢占市场份额，以及核心交易系统与促销活动暂时无法正常运行。” 据悉，Co-op 通过断开网络连接，避免了其系统被勒索软件锁定的风险。尽管如此，该公司 650 万会员的全部数据仍在此次事件中被盗。 Co-op 表示，今年上半年，这起网络攻击造成的总利润损失达 8000 万英镑（约合 1.067 亿美元）。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 4 月起，一个此前未被记录的黑客组织 ComicForm 发起了钓鱼攻击活动，白俄罗斯、哈萨克斯坦和俄罗斯的多家机构成为其攻击目标。 网络安全公司 F6 在上周发布的分析报告中指出，此次攻击活动主要针对工业、金融、旅游、生物技术、科研及贸易行业。 该攻击链的具体流程如下：首先发送主题为 “等待签署文件”“付款发票” 或 “待签署对账单” 的电子邮件，诱导收件人打开一个 RR 压缩文件；压缩文件内包含一个伪装成 PDF 文档的 Windows 可执行文件（例如 “Акт_сверки pdf 010.exe”，俄语 “对账单” 相关文件名）。这些邮件分别以俄语或英语撰写，发送邮箱地址的顶级域名为.ru（俄罗斯）、.by（白俄罗斯）和.kz（哈萨克斯坦）。 上述可执行文件是一个经过混淆处理的.NET 加载器，其作用是启动恶意动态链接库（DLL）“MechMatrix Pro.dll”；随后，该动态链接库会运行第三阶段有效载荷 —— 另一个名为 “Montero.dll” 的动态链接库，该文件实为 Formbook 恶意软件的投放器。在投放恶意软件前，“Montero.dll” 会先创建计划任务，并配置微软防御者（Microsoft Defender）的排除项，以躲避检测。 有趣的是，研究人员发现该可执行文件中还包含指向 Tumblr 平台的链接，这些链接指向蝙蝠侠等漫画超级英雄的完全无害 GIF 动图，黑客组织 “ComicForm” 的名称也正源于此。F6 公司研究员弗拉季斯拉夫・库甘（Vladislav Kugan）表示：“这些图片并未用于任何攻击行为，仅作为恶意软件代码的一部分存在。” 对 ComicForm 组织基础设施的分析显示，2025 年 6 月该组织曾向哈萨克斯坦某未具名企业发送钓鱼邮件，2025 年 4 月则针对白俄罗斯某银行发起过类似攻击。 F6 公司还透露，就在 2025 年 7 月 25 日，他们检测到并拦截了一批钓鱼邮件：这些邮件伪装成来自哈萨克斯坦某工业企业的邮箱地址，发送给俄罗斯的制造企业。邮件诱导潜在目标点击内置链接 “验证账户”，以避免账户 “可能被冻结”。 用户点击链接后，会被重定向至一个伪造的登录页面 —— 该页面模仿当地某文档管理服务的登录界面。一旦用户输入账户信息，这些信息就会通过 HTTP POST 请求发送至黑客控制的域名，从而实现账号窃取。 库甘解释道：“此外，研究人员在该钓鱼页面的代码中发现了一段 JavaScript 脚本，其功能包括：从 URL 参数中提取用户邮箱地址，并自动填充到 ID 为‘email’的输入框中；从邮箱地址中提取域名；通过 screenshotapi [.] net 接口获取该域名官网的截图，并将其设为钓鱼页面的背景（以增强伪装性）。” 针对白俄罗斯某银行的攻击则采用了 “发票主题诱饵”：黑客发送钓鱼邮件，诱导用户在一个表单中输入邮箱地址和手机号，这些信息随后会被捕获并发送至外部黑客域名。 F6 公司指出：“该组织针对俄罗斯、白俄罗斯和哈萨克斯坦多国不同行业的企业发起攻击；而英语版本钓鱼邮件的存在表明，攻击者还将目标拓展到了其他国家的机构。攻击者采用的手段包括两种：一是通过钓鱼邮件分发 FormBook 恶意软件，二是搭建伪装成正规网络服务的钓鱼平台，以窃取账号凭证。” 亲俄组织针对韩国发起攻击，部署 Formbook 恶意软件 与此同时，新加坡网络安全公司 NSHC 的 ThreatRecon 团队披露了另一起事件：一个亲俄网络犯罪组织针对韩国的制造、能源及半导体行业发起了攻击。该攻击活动被归因于名为 SectorJ149（又称 UAC-0050）的黑客集群。 2024 年 11 月，研究人员观测到了上述攻击活动。其流程始于针对企业高管及员工的鱼叉式钓鱼邮件，邮件以 “生产设备采购” 或 “报价请求” 相关内容作为诱饵；收件人一旦打开邮件附件，会触发一个伪装成微软压缩包（CAB 格式）的 Visual Basic 脚本（VBScript），该脚本进而执行 Lumma Stealer（ Lumma 窃取器）、Formbook（Formbook 恶意软件）和 Remcos RAT（Remcos 远程访问木马）等常见恶意软件。 该 Visual Basic 脚本被设计为执行一条 PowerShell 命令，通过访问 Bitbucket 或 GitHub 代码仓库获取一个 JPG 图片文件 —— 该图片中隐藏着一个加载器可执行文件，最终由该加载器启动窃取器和远程访问木马（RAT）等恶意有效载荷。 NSHC 公司表示：“在内存区域直接执行的可移植可执行文件（PE 格式）恶意软件属于加载器类型。它会通过预设参数中包含的 URL，下载伪装成文本文件（.txt 格式）的额外恶意数据，对其进行解密后，生成并执行新的 PE 格式恶意软件。” “过去，SectorJ149 组织的活动主要以获取经济利益为目的，但近期针对韩国企业的黑客活动则被认为具有强烈的黑客行动主义（hacktivist）属性 —— 攻击者通过黑客技术传递政治、社会或意识形态相关信息。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。 自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。 攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。 尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。 安装后，恶意软件会索要多项高危权限： 地理位置访问 短信及媒体文件读取 摄像头与录音调用 无障碍服务控制 后台持续运行权限 随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令： 窃取短信、联系人、通话记录、地理位置及存储图像 激活麦克风窃听、摄像头监控及屏幕流捕捉 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用） 执行远程命令、维持持久化访问并启用自我保护机制 Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Eclypsium研究人员发现部分联想摄像头存在统称为BadCam的漏洞，攻击者可将其改造成BadUSB设备实施击键注入等跨操作系统攻击。首席安全研究员杰西·迈克尔（Jesse Michael）和米奇·什卡托夫（Mickey Shkatov）在DEF CON 33大会上演示了该漏洞。这可能是首次证实：已接入计算机的Linux系统USB外设遭入侵后可被武器化用于恶意目的。 Eclypsium在报告中指出：“研究人员发现联想特定型号摄像头运行Linux系统且未验证固件，可被武器化为BadUSB设备。据我们所知，这是首次证明攻击者能利用已接入计算机的非恶意USB设备发起攻击。” BadUSB攻击通过重编程固件模拟人机接口设备（HID）执行恶意指令，利用系统对USB设备的信任绕过防护。该技术由卡斯滕·诺尔（Karsten Nohl）和雅各布·莱尔（Jakob Lell）在2014年黑帽大会上首次展示，现已有Rubber Ducky、Flipper Zero等工具和开源载荷实现攻击模块化。此类攻击具有隐蔽性、模块化和持久化特点，常可窃取数据、提权或部署勒索软件。 Eclypsium研究证实，基于Linux的USB外设（如摄像头）无需物理接触即可被远程劫持为BadUSB设备。通过重刷固件，攻击者可令其伪装成恶意HID设备注入载荷，即使用户重装系统仍能持续感染主机。Linux的USB Gadget功能使这类设备能模拟可信外设，威胁范围扩展至众多基于Linux的USB设备。 报告进一步说明：“迈克尔和什卡托夫证实，运行Linux的USB外设无需插拔即可远程改造成BadUSB设备，这标志着攻击模式的重大演进——获得远程代码执行权限的攻击者可重刷已连接摄像头的固件，将其变成恶意HID或模拟额外USB设备。被武器化的摄像头在保持正常功能表象下，可实施击键注入、投递恶意载荷或建立持久化据点。” Eclypsium确认联想510 FHD和Performance FHD两款摄像头存在固件更新漏洞，攻击者可完全控制设备。两者均采用支持Linux USB Gadget的SigmaStar ARM芯片，易受BadUSB攻击。研究人员发现其更新流程缺乏保护机制，简单USB指令即可擦写8MB SPI闪存，使得攻击者在保留设备正常功能的同时植入恶意固件。 Eclypsium敦促联想和SigmaStar为受影响芯片添加固件验证机制。联想已发布带签名验证的新版安装工具修复漏洞，受影响用户应从官网下载更新。该公司正与SigmaStar合作评估并修复漏洞。 报告总结道：“随着设备供应链多元化和USB外设复杂化，企业亟需实施固件签名验证、设备认证机制，并细化终端外设的监控粒度。当BadUSB攻击不仅可通过物理接触，还能远程操控日常外设实现时，机构必须重构终端与硬件信任模型。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新报告揭露，今夏为期12天的对以冲突期间，亲伊朗黑客组织的网络威胁活动骤然激增。SecurityScorecard称其分析了25万条Telegram消息，揭示出涵盖情报收集、宣传攻势及针对关键基础设施与公共实体的直接攻击等多重活动。这些行动源自国家支持的黑客、代理人组织及支持伊朗战争目标的“意识形态同盟黑客活动分子”等多元群体。 主要活动包括： 宣传渗透：至少178个Telegram群组散布亲伊朗宣传，将“意识形态驱动讯息与协同网络攻击结合”，典型频道含“伊斯兰黑客军团”“抵抗阵线”等。 混合攻击：巴勒斯坦关联组织Cyber Islamic Resistance、Cyber Fattah，阿富汗Fatimion团队及伊斯兰黑客军团等团体，以“地方不满叙事”为名发起DDoS攻击、钓鱼行动及数据转储。 数据窃取：国家背景的Cyber Fattah通过扫描网络漏洞入侵沙特运动会系统，泄露含数千条个人身份信息（PII）的记录。 破坏行动：Fatimion团队实施网站篡改与DDoS攻击；Cyber Islamic Resistance进行服务中断、宣传广播及“士气动员”。 漏洞交易：突尼斯Maskers网络部队等牟利组织售卖零日漏洞并实施数据窃取。 国家级APT攻击同步升级 黑客组织Tortoiseshell（又名Cuboid Sandstorm）在冲突爆发数日内注册nowsupportisrael[.]com等煽动性域名，利用虚拟服务器托管钓鱼页面。该组织通过仿造支持以色列的请愿表单，诱骗希伯来语用户提交信息，并向筛选目标投放RemCosRAT远控木马。 报告指出，这些威胁行为体与伊朗伊斯兰革命卫队（IRGC）的关联程度及技术能力差异显著。“区分国家支持组织与机会主义团体对厘清日益复杂的网空冲突至关重要。”建议企业加强员工对钓鱼攻击的警觉性，并要求安全供应商评估自身是否可能成为攻击目标。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf报告显示，自7月下旬以来，SonicWall防火墙设备遭Akira勒索软件攻击的频率显著上升，攻击者可能利用了一个此前未知的安全漏洞。 Akira勒索组织自2023年3月活跃至今，已累计入侵超300家机构，受害者涵盖日产（大洋洲及澳大利亚地区）、日立、斯坦福大学等知名企业及高校。截至2024年4月，美国联邦调查局（FBI）确认该组织通过250余起攻击事件获利超4200万美元。 Arctic Wolf实验室观察到，自7月15日起多起勒索入侵事件涉及通过SonicWall SSL VPN连接的非授权访问。研究人员指出：“本次攻击活动的初始入侵方式尚未完全确认。尽管零日漏洞存在的可能性极高，但通过暴力破解、字典攻击和凭证填充等方式获取访问权限的可能性在所有案例中均未被完全排除。” 攻击呈现显著特征： 快速入侵加密：攻击者从通过SSL VPN账户初始访问网络到实施数据加密的间隔极短，该模式与至少自2024年10月观察到的同类攻击一致，表明针对SonicWall设备的持续性攻击活动； 异常认证源：勒索运营者使用虚拟私有服务器（VPS）进行VPN认证，而合法VPN连接通常源自宽带互联网服务提供商； 基础设施共享：多起入侵事件存在共享基础设施特征，表明攻击存在协同性。 防御建议 鉴于SonicWall零日漏洞极可能被野外利用，Arctic Wolf建议管理员： 暂时禁用SonicWall SSL VPN服务； 在补丁发布前实施强化措施：增强日志监控、部署终端检测、阻止托管服务商网络的VPN认证请求。 关联漏洞预警 报告发布一周前，SonicWall曾警告客户修复安全移动接入（SMA 100）设备中的高危漏洞（CVE-2025-40599）。该漏洞可导致未修复设备遭受远程代码执行攻击，但利用需管理员权限且暂无活跃利用证据。同时提醒：Google威胁情报小组发现攻击者正利用泄露凭证在SMA 100设备上部署新型OVERSTEP rootkit恶意软件。 SonicWall强烈建议客户： 对照GTIG报告中的入侵指标（IoCs）检查设备； 审查日志中的非授权访问及可疑活动； 发现入侵证据立即联系官方支持。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文