HackerNews 编译，转载请注明出处： 南非电信巨头MTN集团于本周四证实遭遇网络攻击，导致数量不明的客户个人信息泄露。这家总部位于约翰内斯堡的公司声明称，“不明身份的第三方声称已访问其系统部分数据”，事件导致“部分市场MTN客户的个人信息遭到未授权访问”。 南非警察总局（SAPS）与南非优先犯罪调查局（DPCI）已获知此事，MTN集团也向业务所在国的其他执法机构通报了攻击。声明未透露受影响客户规模，但表示正在启动客户通知程序。 MTN集团是全球最大移动运营商之一，业务覆盖20余个国家，用户超2亿。该公司去年营收约90亿美元，主要来自南非、加纳和尼日利亚市场。 “核心网络、计费系统和金融基础设施仍安全且正常运营，”公司强调，“目前无证据表明客户账户与电子钱包直接受损。” 对于受影响人数、被盗数据类型及攻击者身份等关键问题，MTN集团未予回应。截至周五，尚无网络犯罪组织宣称对此负责。 尼日利亚当地媒体报道称，该国业务未受此次网络事件影响。 这是南非电信业遭遇的最新攻击事件。去年另一大运营商Cell C曾确认遭攻击后数据在暗网泄露。南非正面临针对主要机构与企业的持续网络攻击浪潮，促使政府出台多项网络安全法规。上月，该国最大禽肉生产商因网络攻击导致交付延误等问题，损失超100万美元。     消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第一季度，多达159个CVE编号被标记为实际遭到利用，高于2024年第四季度的151个。 VulnCheck在与《The Hacker News》共享的报告中表示：“我们持续观察到漏洞被快速利用的现象，28.3%的漏洞在其CVE公开后1天内即遭利用。”这意味着有45个安全漏洞在公开当天就被武器化用于真实攻击。另有14个漏洞在1个月内被利用，还有45个漏洞在一年内遭到滥用。 VulnCheck表示，大部分被利用漏洞存在于内容管理系统（CMS），其次是网络边缘设备、操作系统、开源软件和服务器软件。具体分类如下： 内容管理系统（CMS）（35个） 网络边缘设备（29个） 操作系统（24个） 开源软件（14个） 服务器软件（14个） 该时期被攻击的主要厂商及产品包括：微软Windows（15个漏洞）、博通VMware（6个）、Cyber PowerPanel（5个）、Litespeed Technologies（4个）和TOTOLINK路由器（4个）。 VulnCheck指出：“平均每周披露11.4个KEV漏洞，每月53个。虽然CISA KEV本季度新增80个漏洞，但其中仅有12个此前没有公开的利用证据。”在159个漏洞中，25.8%被发现正在等待或接受NIST国家漏洞数据库（NVD）分析，3.1%被赋予新的“延期”状态。 根据Verizon最新发布的《2025年数据泄露调查报告》，作为数据泄露初始访问途径的漏洞利用量增长34%，占所有入侵事件的20%。谷歌旗下Mandiant收集的数据也显示，漏洞利用连续第五年成为最常观察到的初始感染途径，而窃取凭证已超越钓鱼攻击成为第二大初始访问途径。 Mandiant表示：“在确定初始感染途径的入侵事件中，33%始于漏洞利用。这比2023年（漏洞利用占入侵初始途径的38%）有所下降，但与2022年（32%）基本持平。”尽管攻击者试图逃避检测，防御者在识别入侵方面的能力仍在持续提升。 全球驻留时间中位数（即攻击者从入侵到被检测到在系统中停留的天数）达到11天，较2023年增加1天。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿比林市表示，其正在努力恢复因遏制网络攻击而离线的系统。 此次攻击始于4月18日，当时该市内部网络部分系统报告无响应，随即启动事件响应预案。该市官员周一宣布，为保护网络，阿比林市已断开关键资产与受攻击影响系统的连接。 “我们已启动调查并聘请行业领先的网络安全专家确定事件性质与范围，同时通报相关部门。”官员称。阿比林市官员表示，其IT部门周末持续工作以恢复服务并减少对运营的影响，所有系统均处于异常活动监控中。 该市声明：“紧急服务仍保持正常运行并可及时提供协助，未检测到异常财务活动。水务用户仍可通过市政服务账单支付系统缴纳费用。”同时指出，系统恢复期间在线服务可能出现延迟，逾期账户不会被切断服务，现场与在线支付渠道均保持畅通。 “当前处于调查初期阶段。任何经历过网络事件的人员都清楚这是耗时过程。每周我们将进一步掌握事件范围，并随着调查进展通报细节。”该市呼吁公众保持耐心与理解。 现有信息表明阿比林市可能遭受勒索软件攻击，但截至发稿尚无勒索组织宣称负责。以大量儿童文学角色雕塑闻名并拥有三所基督教大学的阿比林市，人口约13万。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员详细披露了一起针对Docker环境的恶意软件攻击活动，该活动采用了一种此前未被记录的加密货币挖矿技术。据Darktrace与Cado Security分析，此攻击模式标志着加密货币劫持行动从直接部署XMRig等矿工程序非法利用计算资源，转向新型Web3基础设施攻击。 该恶意程序部署于名为Teneo的去中心化物理基础设施网络（DePIN）节点。Teneo允许用户通过运行社区节点（Community Node）将社交媒体数据货币化，用户可获得Teneo积分（Teneo Points），并兑换为$TENEO代币。此类节点实质上充当分布式社交媒体爬虫，从Facebook、X平台、Reddit及TikTok等平台抓取公开帖文。 从蜜罐中收集的工件的分析表明，攻击始于从Docker Hub注册表中启动容器映像“kazutod/tene:ten”的请求。该图像于两个月前上传，迄今已被下载325次。 容器映像旨在运行一个嵌入式Python脚本，该脚本被严重混淆，需要63次迭代才能解压缩实际代码，从而建立与teneo[.]pro的连接。 Darktrace在与The Hacker News分享的一份报告中表示：“恶意软件脚本只是连接到WebSocket并发送保活ping，以便从Teneo获得更多积分，而不会进行任何实际的抓取。”。“根据该网站，大多数奖励都是根据心跳次数来决定的，这可能就是这种方法奏效的原因。” 此次攻击与另一起恶意活动存在相似性：后者通过感染配置错误的Docker实例植入9Hits Viewer软件，通过流量引导至特定网站以获取积分。该入侵手法亦类似于代理劫持（proxyjacking）等带宽共享方案——通过下载特定软件共享闲置网络资源以换取经济收益。 Darktrace强调：“传统加密货币劫持依赖XMRig矿工程序，但因其高检测率，攻击者正转向替代性挖矿手段。此类新方法是否更具盈利性尚待观察。” 此次披露正值Fortinet FortiGuard Labs公布新型僵尸网络RustoBot之际。该恶意程序利用TOTOLINK（CVE-2022-26210与CVE-2022-26187）及DrayTek（CVE-2024-12987）设备漏洞传播，主要针对日本、台湾、越南及墨西哥的科技行业实施DDoS攻击。 安全研究员Vincent Li指出：“物联网与网络设备普遍存在防护薄弱问题，成为攻击者理想入侵目标。强化端点监控与认证机制可显著降低被利用风险，遏制此类恶意软件活动。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，与俄罗斯防弹主机服务商Proton66关联的IP地址近期出现“大规模扫描、凭证暴力破解及漏洞利用尝试”激增现象。根据Trustwave SpiderLabs上周发布的两阶段分析报告，自2025年1月8日以来检测到该活动针对全球组织机构。 安全研究人员Pawel Knapczyk与Dawid Nesterowicz指出：“IP段45.135.232.0/24和45.140.17.0/24在大规模扫描与暴力破解方面表现尤为活跃。部分涉事IP地址此前未参与过恶意活动或已休眠超过两年。” 经评估，俄罗斯自治系统Proton66与另一个名为PROSPERO的自治系统存在关联。法国安全公司Intrinsec去年详细披露了这两个系统与俄语网络犯罪论坛中以Securehost和BEARHOST名义销售的防弹服务的联系。包括GootLoader和SpyNote在内的多个恶意软件家族已在Proton66上托管其命令与控制（C2）服务器和钓鱼页面。今年2月初，安全记者Brian Krebs揭露PROSPERO已开始通过俄罗斯杀毒软件厂商卡巴斯基实验室（莫斯科）运营的网络进行路由。 然而，卡巴斯基否认与PROSPERO存在合作，并表示“通过卡巴斯基运营网络进行路由并不默认意味着提供该公司服务，因为卡巴斯基的自治系统（AS）路径可能作为技术前缀出现在与其合作并提供DDoS服务的电信供应商网络中。” Trustwave最新分析显示，2025年2月从Proton66某个IP段（193.143.1[.]65）发起的恶意请求试图利用多个最新高危漏洞： CVE-2025-0108：Palo Alto Networks PAN-OS软件的认证绕过漏洞 CVE-2024-41713：Mitel MiCollab中NuPoint统一消息组件（NPM）的输入验证不足漏洞 CVE-2024-10914：D-Link NAS的命令注入漏洞 CVE-2024-55591与CVE-2025-24472：Fortinet FortiOS的认证绕过漏洞 值得注意的是，Fortinet FortiOS两个漏洞的利用行为已被归因于某初始访问中间商Mora_001，该实体被发现投放名为SuperBlack的新型勒索软件。 该网络安全公司表示还观察到多个与Proton66关联的恶意软件活动，旨在传播XWorm、StrelaStealer及名为WeaXor的勒索软件等家族。 另一项显著活动涉及利用与Proton66关联IP地址“91.212.166[.]21”的遭入侵WordPress网站，将安卓设备用户重定向至仿冒Google Play应用列表的钓鱼页面，诱骗用户下载恶意APK文件。这些重定向通过托管在Proton66 IP地址的恶意JavaScript实现。对虚假应用商店域名的分析表明，该活动专门针对法语、西班牙语和希腊语用户。 研究人员解释称：“重定向脚本经过混淆处理，并对受害者实施多项检查，例如排除爬虫程序与VPN/代理用户。通过ipify.org查询获取用户IP地址，随后通过ipinfo.io验证VPN或代理的存在。最终仅在检测到安卓浏览器时实施重定向。” 在某个Proton66 IP地址中还托管着可部署XWorm恶意软件的ZIP压缩包，专门通过社会工程手段针对韩语聊天室用户。攻击第一阶段为Windows快捷方式（LNK）文件，执行PowerShell命令后运行Visual Basic脚本，进而从同一IP地址下载Base64编码的.NET DLL文件。该DLL继续下载并加载XWorm二进制程序。 Proton66关联基础设施还被用于实施针对德语用户的钓鱼邮件活动，传播可与C2服务器（193.143.1[.]205）通信的信息窃取软件StrelaStealer。最后，WeaXor勒索软件（Mallox的修订版本）的组件被发现与Proton66网络中的C2服务器（“193.143.1[.]139”）通信。 建议各组织封锁所有与Proton66及疑似关联的香港服务商Chang Way Technologies相关的无类别域间路由（CIDR）范围，以消除潜在威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，名为XorDDoS的分布式拒绝服务（DDoS）恶意软件持续构成威胁，2023年11月至2025年2月期间观测到的攻击中有71.3%针对美国。 “2020至2023年间，XorDDoS木马感染量显著攀升，”思科Talos研究员Joey Chen在周四的分析报告中指出，”此趋势不仅源于XorDDoS木马的全球广泛传播，更与其命令控制（C2）基础设施相关的恶意DNS请求激增有关。除常规暴露的Linux设备外，该木马现已将攻击范围扩展至Docker服务器，将受感染主机转化为僵尸节点。” 近42%的受控设备位于美国，其次是日本、加拿大、丹麦、意大利、摩洛哥与中国。 XorDDoS是臭名昭著的恶意软件，过去十余年持续攻击Linux系统。2022年5月，微软报告XorDDoS活动激增，其感染为Tsunami等加密货币挖矿软件铺路。 主要初始入侵途径是通过SSH暴力攻击获取有效凭证，进而在存在漏洞的物联网及其他联网设备上下载安装恶意软件。 成功植入后，恶意软件通过内嵌初始化脚本与定时任务（cron job）建立持久化机制，确保系统启动时自动运行。同时利用XOR密钥”BB2FA36AAA9541F0″解密内置配置，提取C2通信所需IP地址。 Talos表示，2024年观测到名为VIP版的XorDDoS子控制器新版本及其配套中央控制器与构建器，表明该恶意软件可能已进入商业化销售阶段。 中央控制器负责管理多个XorDDoS子控制器并同步发送DDoS指令，每个子控制器则操控由受感染设备组成的僵尸网络。 Chen强调道。“多层控制器、XorDDoS构建器与控制端绑定工具的语言设置强烈暗示，幕后运营者为中文使用者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁监测平台Shadowserver基金会报告称，超过16,000台置身于互联网的Fortinet设备被检测到感染了一种新型符号链接（symlink）后门，攻击者可借此获取对先前已遭入侵设备的敏感文件的只读访问权限。 此前，该平台曾报告14,000台设备受影响。目前，Shadowserver的Piotr Kijewski向BleepingComputer证实，该网络安全组织已检测到16,620台设备受此最新曝光的持久化机制影响。 上周，Fortinet警告客户称发现攻击者利用一种新型机制，在已修复漏洞但先前遭入侵的FortiGate设备上保留对根文件系统的远程只读访问权限。 Fortinet表示，此攻击并非利用新漏洞，而是与2023年至2024年的攻击行为相关。攻击者当时通过零日漏洞入侵FortiOS设备，并在启用SSL-VPN的设备上创建指向根文件系统的语言文件夹符号链接。由于启用SSL-VPN的FortiGate设备的语言文件可公开访问，攻击者可通过该文件夹持续获取根文件系统的只读权限（即使原始漏洞已被修复）。 Fortinet在声明中解释：攻击者利用已知漏洞对存在缺陷的FortiGate设备实施只读访问。其通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接实现。该修改发生于用户文件系统内，因此未被检测到。 即使客户设备已升级修复原始漏洞的FortiOS版本，此符号链接可能仍残留，使攻击者能持续读取设备文件系统内的配置等文件。 本月，Fortinet开始通过邮件私下通知被FortiGuard检测到感染符号链接后门的FortiGate设备用户。 Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接。最新固件版本也已更新检测与清除功能，并阻止内置Web服务器提供未知文件/目录访问。 若设备被检测为已入侵，攻击者可能已获取包含凭证的最新配置文件。因此，Fortinet建议管理员重置所有凭证，并遵循官方指南中的其他操作步骤。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Landmark Admin就其2024年5月遭遇的网络攻击调查发布更新，确认受影响人数已升至160万。 这家总部位于德克萨斯州的第三方管理公司（TPA）主要为Liberty Bankers Life、American Benefit Life等全国性大型保险公司提供保单核算、监管报告、再保险支持及IT系统服务。 2024年10月，该公司首次披露于2024年5月13日发现网络可疑活动。 未经授权的访问被认为导致806,519人的个人信息泄露，包括： 全名 家庭住址 社会安全号码 纳税识别号 驾照号码 州政府签发身份证 护照号码 金融账户号码 医疗信息 出生日期 健康保险单号 人寿及年金保单信息 具体泄露数据类型因人而异，Landmark承诺通过个性化信件告知每位受影响者其被泄露的具体信息。 在向缅因州总检察长办公室提交的更新文件中，Landmark表示调查显示实际受影响人数应为1,613,773人。 该公司强调取证调查仍在进行中，最终受影响人数可能进一步增加，未来或将多次修正统计结果。 最新公告声明：”Landmark已开始审查受影响系统，以确定具体受影响的个人及可能泄露的信息类型。在此过程中，我们将通过邮件逐步通知相关个人。” 数据泄露通知接收者可在收到通知后90日内通过专用热线提出质询。 Landmark同时提供12个月的身份盗窃保护与信用监控服务，以降低敏感数据暴露风险。 建议措施还包括监控信用报告、设置欺诈警报或启用安全冻结功能。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）周二警告称，一个被其追踪为 UAC-0173 的有组织犯罪团伙重新活跃，该团伙通过感染计算机部署名为 DCRat（又名 DarkCrystal RAT）的远程访问木马。 乌克兰网络安全机构表示，最新一波攻击始于 2025 年 1 月中旬，目标是乌克兰公证人。 感染链利用声称代表乌克兰司法部发送的网络钓鱼邮件，诱使收件人下载一个可执行文件，该文件一旦启动，就会部署 DCRat 恶意软件。该二进制文件托管在 Cloudflare 的 R2 云存储服务上。 “通过这种方式，攻击者获得了对公证人自动化工作场所的初步访问权限，随后采取措施安装额外工具，特别是 RDPWRAPPER，该工具实现了并行 RDP 会话的功能，结合使用 BORE 工具，允许从互联网直接建立到计算机的 RDP 连接，”CERT-UA 表示。 这些攻击还以使用其他工具和恶意软件家族为特征，如 FIDDLER（用于拦截国家注册表网络界面输入的认证数据）、NMAP（用于网络扫描）和 XWorm（用于窃取敏感数据，如凭据和剪贴板内容）。 此外，受感染的系统被用作发送恶意邮件的渠道，使用 SENDMAIL 控制台工具进一步传播攻击。 这一发展发生在 CERT-UA 将 Sandworm 黑客组织（又名 APT44、Seashell Blizzard 和 UAC-0002）的一个子集群归因于利用微软 Windows 中的一个现已修补的安全漏洞（CVE-2024-38213，CVSS 评分：6.5）后的几天，该漏洞在 2024 年下半年通过带有陷阱的文档被利用。 攻击链被发现执行 PowerShell 命令，负责显示诱饵文件，同时在后台启动其他有效负载，包括 SECONDBEST（又名 EMPIREPAST）、SPARK 和一个名为 CROOKBAG 的 Golang 加载器。 CERT-UA 将此活动归因于 UAC-0212，该活动在 2024 年 7 月至 2025 年 2 月期间针对塞尔维亚、捷克共和国和乌克兰的供应商公司，其中一些攻击记录针对了 20 多家乌克兰企业，这些企业专注于自动化过程控制系统（ACST）、电气工程和货运运输。 这些攻击中的一些已被 StrikeReady Labs 和微软记录，后者将该威胁组织追踪为 BadPilot。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文