HackerNews 编译，转载请注明出处： 乌克兰军事情报局（HUR）宣称入侵了俄罗斯国有航空巨头图波列夫公司的内部系统，此前数日乌方刚对俄空军基地发动突袭式无人机打击。此次入侵据称使乌方特工获取了超过4.4GB敏感数据，涵盖内部通信、人事档案、采购记录及闭门会议纪要。HUR声称现已掌握俄战略轰炸机部队维护人员的完整信息——该部队曾参与对乌克兰城市的导弹袭击。 “图波列夫对乌克兰情报机构已无秘密可言，”HUR向多家当地媒体发布的声明称，并强调：“此次行动的影响将在地面与空中同时显现。”该机构还表示已将图波列夫官网首页替换为猫头鹰抓握俄罗斯飞机的图案——这正是HUR网络行动的标志性符号。截至报道时，该网站仍无法访问。 相关说法尚未得到独立核实，图波列夫公司及俄官方均未就入侵事件公开置评。 此次声明发布前一周，乌克兰刚发动大规模无人机攻势，袭击了四个俄空军基地，据称摧毁或损坏逾40架由图波列夫设计的远程轰炸机，包括Tu-95、Tu-22M3及Tu-160机型。这些无人机据称是从俄境内隐蔽的移动平台发射的。 作为苏联航空工业遗产的继承者，自2022年俄罗斯全面入侵乌克兰以来，图波列夫公司持续受到美国及西方国家的制裁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国MainStreet银行披露其合作供应商遭网络攻击，导致约5%客户敏感信息泄露。该行在提交美国证交会（SEC）的文件中表示，3月获知供应商系统被入侵后，立即终止了全部合作。4月下旬完成事件范围审查，未回应具体受害人数及信息类型的质询。 这家总部位于弗吉尼亚的银行在华盛顿特区设有55,000台ATM机及分支机构。调查确认银行自身系统未受入侵，未发生异常交易，客户账户资金安全无虞。银行已于5月26日通知监管机构及客户，并为受害人建立可疑活动监测系统。 银行声明该事件未产生重大运营影响。最新财报显示存款约19亿美元，净利润250万美元——而2024年该行曾亏损998万美元。 此次披露正值美国五大银行协会联合致函SEC要求废除网络安全事件强制披露规定之际。该2023年生效的规章遭国会与银行业持续抨击，被指增加合规风险成本、未能产生有效投资决策信息，反而“阻碍资本形成机制”。银行协会表示行业担忧已成现实：注册企业被迫在调查未完成时公开事件，导致市场获得无效信息，且黑客已将披露要求武器化——2023年阿尔法维勒索团伙就以此要挟金融软件公司MeridianLink，此类威胁正持续增多。 主要争议点聚焦于事件“重大性”判断标准：当前32份披露文件中仅9份在初报中确认重大影响，补充报告后总量也仅11份。协会指出标准混乱加剧市场不确定性，违背监管初衷。金融机构目前实际需遵守至少10项保密报告要求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国非营利医疗集团Covenant Health遭遇网络攻击，其运营的三家医院紧急关闭所有系统以控制安全事件影响。圣玛丽医疗系统公告称：“当前系统临时故障影响部分电话及病历系统，医疗服务仍在继续，但部分科室候诊时间可能延长”。新罕布什尔州圣约瑟夫医院则通知：“5月27日门诊实验室服务临时调整，仅主院区可接收持纸质检验单的患者”。 这家天主教背景的区域医疗集团在新英格兰地区运营多家医院、养老院及辅助生活机构。2025年5月26日爆发的网络攻击使其旗下医院、诊所全面断网，目前尚不确定是否涉及数据窃取或勒索软件。院方已聘请顶级网络安全专家介入调查，核心医疗服务仍维持运转，但部分系统及检验科室受到影响。 除圣约瑟夫医院外，缅因州两家医疗机构同样遭波及，院方建议患者按原计划就诊。“发现网络异常后，我们立即切断了所有医疗机构的数据系统访问权限，”集团发言人表示，“正全力保障正常医疗服务，患者可照常赴约，如有疑问请咨询主治医生办公室”。截至发稿，尚无勒索组织宣称对事件负责。 2025年美国医疗系统频遭网络攻击：3月RansomHouse团伙宣称窃取芝加哥洛雷托医院1.5TB敏感数据；4月Interlock勒索组织攻击肾脏透析巨头DaVita并泄露数据。据记录，2024年全美医疗机构遭遇98起勒索攻击，涉及1.17亿条记录，典型案例如Change Healthcare（1亿条）、波士顿儿童健康医生集团（90.9万条）等数据泄露事件。医院遭遇攻击后往往被迫启用纸质化应急流程。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名女性时尚品牌维多利亚的秘密（Victoria’s Secret）近日遭遇网络安全事件，目前正全力恢复运营。该公司虽未回应置评请求，但其官网victoriassecret.com已发布公告称“发现安全事件并正在采取措施处理”，同时强调“立即启动应急预案，聘请第三方专家介入，并预防性关闭官网及部分门店服务系统”。 网络安全专家证实该公告页面已持续显示至少三天。企业官网同步发布的声明补充说明技术团队正“全天候抢修以全面恢复运营”。作为全球拥有1380家门店、约3万名员工的头部内衣零售商，维密2024年净销售额达62亿美元（约合450亿人民币），此次停摆对其线上业务造成显著冲击。 这是近月来时尚行业系列网络安全事件的最新案例。此前阿迪达斯、迪奥、蒂芙尼等品牌相继披露客户及员工数据泄露事件。美国联邦调查局（FBI）已就此向零售企业发布安全预警——知名黑客组织Scattered Spider近期将攻击目标从英国转向美国市场。 该组织此前针对英国玛莎百货、Co-op超市及哈罗德百货的勒索软件攻击造成严重损失。谷歌威胁情报部门首席分析师约翰·霍特奎斯特指出：“有证据表明UNC3944组织（即Scattered Spider）正针对美国零售业发起勒索攻击，该组织以攻击手段激进、善于突破成熟防御体系著称。”该团伙擅长社会工程学攻击及利用第三方漏洞渗透目标系统，曾制造米高梅度假村、凯撒娱乐集团等重大网络安全事件。 网络安全界普遍认为Scattered Spider系犯罪集团“the Com”的分支，该集团涉嫌攻击Coinbase、拳头游戏及Reddit等企业。过去三年欧美执法部门已逮捕该组织多名成员，但其网络犯罪活动仍在持续升级。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Arla Foods向BleepingComputer证实，其生产运营因遭遇网络攻击而中断。 这家丹麦食品巨头澄清称，攻击仅影响其位于德国Upahl的生产部门，但预计将导致产品交付延迟甚至取消。“我们可以确认，在德国Upahl乳制品厂发现的可疑活动影响了当地IT网络，”Arla发言人表示，“出于安全考虑启动的应急措施导致生产暂时受阻。” Arla Foods是一家国际化乳制品生产商，拥有7,600名成员的农民合作社，在39个国家雇佣23,000名员工。该公司年收入达138亿欧元（约合15.5亿美元），旗下Arla、Lurpak、Puck、Castello和星巴克等品牌产品销往全球140个国家。 Arla向BleepingComputer透露，目前正全力恢复受影响工厂的运营，预计本周末前将取得进展。“自事件发生以来，我们始终致力于全面恢复运营。预计未来几天该工厂将恢复正常，其他生产基地未受影响。”考虑到有关生产中断的消息最早于周五传出，部分地区可能出现产品短缺。“我们已通知受影响客户可能存在延迟交付或取消订单的情况。”发言人补充道。 BleepingComputer曾询问此次攻击是否涉及数据窃取或加密（勒索软件攻击的典型特征），但Arla目前拒绝透露更多细节。与此同时，尚未有勒索组织在勒索门户网站宣称对此次事件负责，因此攻击类型与实施者仍属未知。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大钢铁制造商纽柯钢铁公司（Nucor Corporation）近日披露遭遇网络攻击事件，导致部分系统断网隔离，多地工厂暂停生产。该公司通过向美国证券交易委员会（SEC）提交的8-K文件（重大事件报告）通报称，发现第三方未经授权访问其部分IT系统，已启动事件响应计划并采取隔离、修复措施。 纽柯钢铁在美国、墨西哥和加拿大拥有32,000名员工，今年第一季度营收达78.3亿美元，主营钢材生产及废金属回收业务，是美国建筑、桥梁、道路等基础设施用钢筋的主要供应商。此次攻击导致多地生产线临时中断，目前正逐步恢复运营。 公司表示已通报执法部门并聘请外部网络安全专家协助调查，但尚未透露攻击发生时间、具体类型及是否涉及数据窃取或加密。截至发稿，尚无勒索组织宣称对此事件负责。BleepingComputer已联系纽柯钢铁获取更多细节，尚未收到回复。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 教育出版巨头培生集团（Pearson）向BleepingComputer证实遭遇网络攻击，威胁分子窃取了企业数据和客户信息。 这家总部位于英国的公司是全球最大的学术出版、数字学习工具和标准化考试服务商之一，通过印刷与在线服务为70多个国家的学校、大学及个人提供服务。 培生发言人表示：“我们近期发现未经授权的攻击者入侵了部分系统。发现异常活动后，我们立即采取措施阻止并聘请取证专家调查事件影响范围，同时配合执法机构调查。已部署额外防护措施，包括增强安全监控和身份验证。当前认为攻击者主要窃取历史遗留数据，将通过适当渠道向客户及合作伙伴通报详细信息。”培生强调失窃数据未包含员工信息。 知情人士透露，攻击者于2025年1月通过公开的.git/config文件中暴露的GitLab个人访问令牌(PAT)入侵培生开发环境。此类本地配置文件通常存储Git项目名称、邮箱等设置，若远程URL中嵌入访问令牌被意外公开，可导致攻击者访问内部代码库。在此次攻击中，暴露的令牌使威胁分子获取公司源代码，其中包含硬编码的云平台凭证与认证令牌。 据称攻击者随后利用这些凭证从培生内部网络及AWS、Google Cloud、Snowflake、Salesforce CRM等云基础设施窃取数TB数据，涉及客户信息、财务记录、支持工单和源代码，数百万用户受影响。当BleepingComputer询问培生是否支付赎金、“遗留数据”具体定义、受影响客户数量及通知计划时，该公司拒绝置评。此前培生在1月披露其子公司PDRI遭入侵，据信与本次攻击相关。 网络安全专家指出，扫描Git配置文件和暴露凭证已成为攻击者入侵云服务的常用手段。去年互联网档案馆（Internet Archive）就因Git配置文件暴露导致GitLab仓库令牌泄露而遭入侵。安全建议包括限制.git/config文件公开访问、避免在远程URL嵌入凭证。培生事件再次印证代码仓库安全管理的重要性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 媒体集团Urban One近日报告了一起数据泄露事件，涉及员工及其他人员的个人信息。根据向得克萨斯州和马萨诸塞州提交的违规通知信，这家总部位于马里兰州的公司表示，网络攻击始于2月13日，系通过”复杂的社会工程攻击”实施。 攻击者成功窃取公司数据，但公司直到3月15日才发现该事件。事件未影响公司运营，但截至3月30日的取证调查确认数据已被窃取。泄露信息包括：姓名、地址、社会保险号、直接存款信息及W-2税务信息。该公司未回应置评请求，但报告得克萨斯州有355人受影响。 受影响人员将获得两年信用监控服务，事件已通报执法部门。Urban One是面向非裔社区的最大媒体公司，运营多个电视频道、数十家广播电台及新闻网站。该公司2024年营收约4.5亿美元，此前曾在2019年向加州监管机构报告过涉及1000多个社会保险号的数据泄露事件。 Cactus勒索软件团伙于3月12日宣称对此次攻击负责。该组织于2023年出现，最初因通过在线广告分发恶意软件感染目标而被微软曝光。其攻击记录包括：全球最大温控仓库房地产投资信托Americold、瑞典大型连锁超市、洛杉矶市住房管理局及法国跨国企业施耐德电气。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一款伪装成合法WordPress插件的危险恶意软件变种。该恶意软件名为“WP-antymalwary-bot.php”，可让攻击者持久访问受感染网站、注入恶意代码，并能向网站访问者推送远程广告。 Wordfence威胁情报团队在2025年1月22日的常规网站清理中发现，该恶意软件模仿真实插件的结构，包含标准格式和元数据。但它具有多个特别危险的后门功能：紧急登录所有管理员（emergency_login_all_admins）功能允许攻击者使用GET请求和硬编码密码以管理员身份登录；执行管理员命令（execute_admin_command）功能通过REST API接收命令并无权限检查地执行，使攻击者能将PHP代码注入主题头部或清除插件缓存。 该插件最令人担忧的是自我复制特性。若被删除，它会通过修改后的wp-cron.php文件重新安装。该文件在网站被访问时运行，成为隐秘的再感染渠道：将恶意插件重新写入系统并自动激活。 恶意软件每分钟都会与位于塞浦路斯的命令与控制（C2）服务器通信，发送受感染网站的URL和时间戳。这种利用WordPress内置调度器的报告功能属于非常规策略，用于维护被入侵网站的数据库。 根据Wordfence，WP-antymalwary-bot.php的主要感染迹象包括： 包含check_plugin或emergency_login的异常GET请求 被篡改的wp-cron.php文件 主题header.php文件中的代码注入 通过base64解码URL插入的JavaScript广告 近期变种显示其复杂程度提升，允许动态更新广告推送URL（部分实现仍不完整），表明该恶意软件正在积极开发中并可能持续改进。 为降低感染风险，网站管理员应： 定期审计已安装插件和主题 移除未使用或可疑文件 监控未经授权的修改 确保文件完整性 禁用直接文件编辑功能 使用强管理员凭证和多因素认证（MFA） 实施定期异地备份 部署可靠的安全插件或防火墙       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。 上周，SAP披露了其Visual Composer组件的元数据上传器（Metadata Uploader）中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件，实现代码执行并完全控制系统。 包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击，威胁行为者利用其在易受攻击的服务器上部署网页后门程序。 SAP发言人向BleepingComputer表示，已知悉攻击尝试，并于2024年4月8日发布临时缓解方案，随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。 研究人员证实，大量存在漏洞的SAP Netweaver服务器暴露于互联网，成为攻击主要目标。 Shadowserver Foundation发现427台暴露服务器，警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国（149台）、印度（50台）、澳大利亚（37台）、中国（31台）、德国（30台）、荷兰（13台）、巴西（10台）和法国（10台）。 网络安全搜索引擎Onyphe则指出，目前有1,284台漏洞服务器在线暴露，其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露：“约20家《财富》500强/全球500强企业存在漏洞，其中多家已遭入侵。” 研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门，但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大，但由于SAP NetWeaver广泛应用于大型企业与跨国公司，风险仍然显著。 建议用户根据SAP公告应用最新安全更新。若无法立即更新，可采取以下临时措施： 限制对/developmentserver/metadatauploader 端点的访问 若未使用Visual Composer，考虑彻底关闭该组件 将日志转发至SIEM系统并扫描servlet路径下的未授权文件 RedRays已发布针对CVE-2025-31324的扫描工具，可协助大型环境中的风险定位。 BleepingComputer已就漏洞活跃利用问题联系SAP，将在获得回应后更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文