HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称：“对 Medusa 数据泄露站点的分析显示，自 2025 年 11 月初以来，美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击，还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年，Lazarus 旗下名为 Andariel（又称 Stonefly）的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月，该黑客组织还与 Play 勒索软件攻击相关联，标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过，并非只有 Andariel 从定制勒索软件转向使用现成版本。去年，Bitdefender 披露，另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件，而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示，这些变化可能标志着朝鲜黑客组织的战术转变：他们开始作为成熟 RaaS 组织的合作方运作，而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示：“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁，何必费力开发自己的勒索软件有效载荷？”“他们可能认为，扣除合作方费用后，收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具： ·     RP_Proxy，一款定制代理工具 ·     Mimikatz，一款公开可用的凭证窃取程序 ·     Comebacker，该威胁行为者专用的定制后门 ·     InfoHook，一款此前被发现与 Comebacker 配合使用的信息窃取工具 ·     BLINDINGCAN（又称 AIRDRY、ZetaNile），一款远程访问木马 ·     ChromeStealer，一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似，但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示：“转向使用 Medusa 表明，朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构，但 Lazarus 似乎不受任何此类约束。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家安全局（NSA）近日发布了一套新版《零信任实施指南》（ZIGs），该指南详细说明各类组织如何推进零信任建设，直至达到目标成熟度等级。 该指南包含了ZIGs的第一与第二阶段，其设计初衷是支持美国战争部（DoW，即原国防部）的零信任架构及更广泛的美国政府网络安全战略落地。 此次发布的两个阶段内容，目的是推动组织从零信任探索阶段逐步过渡至目标级落地实施阶段。指南明确了各阶段必备行动、依赖条件及预期成果，同时保留灵活性，允许企业结合自身业务需求与约束条件定制落地方案。 第一阶段聚焦搭建安全基准防线，该阶段明确了 36 项核心行动，支撑 30 项零信任核心能力落地，助力组织在深度集成前搭建或完善基础安全管控体系。第二阶段在第一阶段基础上推进，包含 41 项行动，可新增落地 34 项零信任能力，核心任务是实现核心零信任方案在各组件环境中的跨域集成。 这种分阶段的推进方式体现了一种模块化设计理念，而非僵化的固定路线。 AppOmni公司首席技术官兼联合创始人布莱恩·索比指出，这种结构强化了零信任并非一次性部署项目的观念。他强调：“（零信任）是一种运营模式，而非单纯的产品。”，同时强调，随着环境变化，相关策略决策必须持续评估并严格执行。 从边界防护转向持续评估 该指南进一步推动了安全理念的转变，即从依赖网络边界防护，转向对用户、设备及应用程序进行持续的身份验证与授权。零信任遵循 “永不信任、始终验证” 及 “默认已遭入侵” 的核心原则，随着网络威胁不断演变，该理念愈发被认为是安全防护的必要方案。 索比认为，该指南的一大亮点在于其重点关注身份验证之后的活动。“持续动态评估必须在用户登录后开展，而非仅在登录环节执行。”他表示。索比指出，当前许多成功的网络攻击均发生在身份认证之后，若无法对应用内部行为实现可视管控，仅靠基础身份核验与设备状态评估，能提供的防护能力十分有限。 该指南借鉴了美国第 14028 号行政令下出台的多项成熟框架，包括美国国家标准与技术研究院特别出版物 800-207、美国网络安全与基础设施安全局零信任成熟度模型 2.0 版本及美国战争部零信任参考架构。美国国家安全局与美国战争部首席信息官紧密协作制定该指南，将 152 项零信任相关行动梳理整合为结构化的实施阶段。 然而，索比也警告称，但索比警示，当前许多组织对零信任仍存在误用，仅过度聚焦网络访问管控这单一维度，若将零信任网络访问等同于完整的零信任解决方案，会忽略应用自身的访问决策制定与执行逻辑。 他表示：“任何零信任架构，若将应用策略决策点的可视性与管控能力排除在外，不仅实施成本高昂，防护效果也会严重不足。” 美国国家安全局表示，当前版本指南旨在帮助专业技术人员推动组织达成目标级零信任成熟度，未来或还将推出更多高级阶段的实施内容。     消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国田纳西州一名男子承认入侵了美国最高法院的电子档案系统，并入侵了美国联邦机构AmeriCorps和美国退伍军人事务部的账户。 联邦检察官表示，来自田纳西州斯普林菲尔德的24岁男子尼古拉斯·摩尔在2023年8月至10月期间，使用窃取的凭据访问了最高法院受限的电子档案系统至少25次。 此外，他有时每天多次使用相同的被盗凭据登录最高法院的系统。 据称，摩尔在Instagram上吹嘘这些入侵行为，将包含受害者姓名和来自最高法院账户的档案系统详细信息的截图发布到一个名为@ihackedthegovernment的账户。 美国司法部周五表示：”摩尔曾三次在其Instagram账户@ihackedthegovernment上发布其受害者的最高法院档案系统详细信息的截图，包括受害者的姓名和其他信息。” 他还在2023年8月至10月期间，使用被盗的MyAmeriCorps凭据七次访问第二名受害者的AmeriCorps账户，从该机构的服务器获取了个人信息（包括姓名、出生日期、电子邮件地址、家庭住址、电话号码、公民身份、退伍军人身份、服役历史以及社会安全号码的最后四位数字），并将其泄露在同一Instagram账户上。 摩尔还在2023年9月至10月期间，使用从一名美国海军陆战队退伍军人那里窃取的登录凭据，五次访问退伍军人事务部的”My HealtheVet”在线个人健康记录门户网站。退伍军人事务部还运营着美国最大的综合医疗保健系统，在美国1,380个医疗保健机构提供护理服务。 检察官在法庭文件中表示：”这次入侵使摩尔能够访问该退伍军人的私人健康信息，包括处方药和其他私密数据。摩尔随后将退伍军人的健康信息发布到@ihackedthegovernment账户，并吹嘘自己获得了访问退伍军人事务部服务器的权限。” 摩尔承认了一项计算机欺诈罪，这是一项轻罪，最高可判处一年监禁和10万美元罚款。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在美国部队周六采取行动抓捕委内瑞拉领导人尼古拉斯·马杜罗之际，加拉加斯陷入了一片黑暗。 这次停电不仅仅是为了掩护部队行动；它展示了恶意软件如何塑造现代战场。 据信，美国网络司令部及其盟军部队在委内瑞拉电力运营商内部部署了一种针对电网的攻击载荷。一旦被触发，该代码会悄然打开断路器，使控制系统失步，并切断现场设备与中央控制台之间的连接。 其结果是，加拉加斯关键区域按计划分阶段停电，在限制平民伤害的同时，也使遍布全城的效忠部队陷入”失明”。 Politico的分析师后来确认，该恶意软件是一种模块化的电网攻击工具，其手法明显指向了此前针对该地区公用事业公司的攻击活动。 他们对网络遥测数据和时间节点的审查表明，攻击者通过一个定制的加载程序，经由被攻陷的VPN网关侵入了控制网络。 随后，恶意软件绘制了变电站控制器的地图，并标记了向加拉加斯市中心供电的关键馈线。 据该地区电网工程师称，问题的初步迹象是监控屏幕上出现的短暂、滚动式电压下降，而非全面崩溃。 日志显示，数条230千伏线路出现了突发但有序的跳闸，随后是一波虚假的传感器读数，令当地操作员感到困惑。等到备用的柴油发电机组启动时，城市核心区已经陷入黑暗。 感染机制与攻击载荷行为 感染链始于发送给国家公用事业公司工程师的鱼叉式网络钓鱼邮件，这些邮件在伪造的维护报告中携带了一个带有签名的远程访问工具。 一旦用户打开文件，加载程序便会使用窃取的VPN凭证渗透进入控制网络，随后在管理SCADA工作站和历史数据库的Windows服务器上投放第二阶段模块。 在受感染的服务器上，恶意软件运行一个紧密的循环，查询实时断路器状态，并仅在电网负载保持在安全范围内时，才将关机命令排队等候执行。 这种设计有助于确保攻击的精确性，限制对硬件的损害，并在城市恢复供电后延缓调查。它也拖延了响应人员的速度，因为他们面对的是干净的日志、虚假的读数以及看似自行恢复的系统。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 昨日，美国对委内瑞拉发动 “大规模军事打击”，抓获委内瑞拉总统尼古拉斯・马杜罗及其夫人，目前二人已被押解至美国纽约，面临联邦指控。特朗普暗示，美国动用了网络攻击及其他技术手段切断了当地电力供应。 互联网监测机构NetBlocks在Mastodon上发文称：“已确认：监测数据显示，委内瑞拉加拉加斯部分地区的互联网连接中断，时间点与美国军事行动期间的停电情况吻合。此次行动对首都实施了打击，并将马杜罗总统拘捕带离委内瑞拉。” 据美国政治新闻网POLITICO报道：“唐纳德・特朗普总统表示，在对委内瑞拉首都加拉加斯发起军事打击、抓获委内瑞拉总统尼古拉斯・马杜罗的行动中，美方动用了网络攻击或其他技术手段切断了当地电力供应。”若该消息属实，这将是美国网络作战力量少有的一次公开实战应用。 特朗普在海湖庄园举行的新闻发布会上详述此次行动时称：“当时的加拉加斯一片漆黑，全城电力基本中断，这正是我们技术优势的体现。那是一个黑暗之夜，也是一场致命行动。” Tor的监测数据可以呈现，美军军事行动期间，委内瑞拉境内使用该匿名网络的用户数量是否出现显著变化。下图数据显示，该国 Tor 网络用户量出现急剧攀升。 委内瑞拉 Tor 用户数量的激增，是社会陷入严重政治与信息危机的典型信号。当民众意识到常规网络渠道已不再安全可靠时，便会转向具备匿名性、抗审查能力的工具，以此突破本土信息壁垒。 此次事件后，多重因素共同推动了这一趋势。 首先，有报道称社交媒体、即时通讯软件及独立新闻网站遭遇封锁、限流或选择性屏蔽，民众被迫使用 Tor 绕过网络过滤，获取境外媒体、非政府组织及流亡群体发布的信息。 其次，随着压制力度不断升级，活动人士、记者及普通民众愈发担忧自身网络浏览与通讯内容遭到监控。Tor 能够隐藏用户 IP 地址，并通过多节点中继传输网络数据，成为少数能保障用户安全组织活动、披露证据，甚至只是安全浏览新闻的工具。 最后，面对当局的网络管控，海外侨民网络与数字权利组织通常会迅速行动，推广 Tor 等工具并发布使用指南，一旦形成传播规模，用户数量便会出现爆发式增长。 图表呈现的趋势显示，前期使用量量平稳波动，后期突然跃升至此前基准线的数倍，与其他危机事件中的情况高度吻合，例如部分国家爆发大规模抗议活动或选举后动荡，当局随即实施网络管控时。这一变化并非临时性技术故障，而是民众网络行为的根本性转变：数万委内瑞拉人试图在常规网络渠道风险高企的当下，重新掌控自身的网络浏览、言论表达与信息分享权利。 值得一提的是，2025年12 月中旬，委内瑞拉国家石油公司PDVSA曾遭遇网络攻击，其石油出口业务一度受扰。该公司当时宣称，此次攻击仅波及部分行政系统，未对生产运营造成实质影响。 委内瑞拉国家石油公司强调，其安全防护机制有效避免了供应链及出口业务中断，并将此次网络攻击定性为一次蓄意挑衅，直指美方试图通过网络手段夺取委内瑞拉石油资源。该油气企业明确指控，美国政府是此次网络攻击的幕后黑手。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部于本周一宣布，查获一个用于实施银行账户盗用诈骗的网络域名及相关数据库，该犯罪活动专门针对美国民众并实施诈骗。 涉案域名为web3adspanels[.]org，其功能为后端网络控制面板，用于存储和操控非法获取的银行账户登录凭据。目前，访问该网站的用户会看到查扣公告，公告显示该域名已在一场由美国与爱沙尼亚执法机构牵头的国际执法行动中被依法关停。 美国司法部指出：“该银行账户盗用诈骗团伙通过谷歌、必应等搜索引擎投放欺诈广告，这些广告模仿合法金融机构的搜索引擎赞助广告样式，以此混淆视听。” 这些欺诈广告会将毫无防备的用户重定向至由诈骗分子操控的虚假银行网站。该网站内置了一款未公开具体信息的恶意软件，专门窃取受害者输入的登录凭据。随后，犯罪分子利用这些被盗取的凭据登录合法银行网站，接管受害者账户并转走资金。 涉案规模与危害 据统计，该诈骗案目前已造成全美范围内 19 名受害者，其中包括佐治亚州北区的两家企业，未遂损失金额约达 2800 万美元，实际损失金额则高达 1460 万美元。 美国司法部表示，此次查获的域名不仅存储了数千名受害者的被盗登录凭据，其搭载的后端服务器直至上月仍在为账户盗用诈骗活动提供支持。 美国联邦调查局（FBI）公布的数据显示，自 2025 年 1 月以来，互联网犯罪投诉中心已收到超过 5100 起与银行账户盗用诈骗相关的投诉，涉案上报损失金额累计超 2.62 亿美元。 相关部门建议用户，在网络或社交媒体上分享个人信息时务必谨慎；定期检查账户是否存在异常资金交易；为各类账户设置独一无二且复杂度高的密码；登录银行网站前，务必核对网址的正确性；同时提高警惕，防范钓鱼攻击与可疑来电。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部本周宣布，在一起涉及数百万美元的ATM“吐钞”计划中，对54名个人提起指控。 这项大规模合谋涉及部署名为Ploutus的恶意软件入侵美国各地的自动取款机，并强制其吐出现金。据称，被指控的成员是委内瑞拉帮派Tren de Aragua的一部分，该帮派已被美国国务院指定为外国恐怖组织。 2025年7月，美国政府宣布对该组织头目赫克托·拉斯特福德·格雷罗·弗洛雷斯及其他五名关键成员实施制裁，原因是他们参与了“非法毒品贸易、人口走私和贩卖、勒索、对妇女和儿童的性剥削以及洗钱等犯罪活动”。 美国司法部表示，2025年12月9日提交的一份起诉书指控22人涉嫌犯有银行诈骗、入室盗窃和洗钱罪。检察官还称，TdA利用“吐钞”计划在美国吸走数百万美元，并在其成员及同伙之间转移非法所得。 另外32人则在2025年10月21日提交的另一份相关起诉书中被指控，罪名包括“一项合谋实施银行诈骗罪、一项合谋实施银行入室盗窃和计算机诈骗罪、18项银行诈骗罪、18项银行入室盗窃罪以及18项破坏计算机罪”。 如果罪名成立，被告可能面临最高20年至335年不等的监禁。 “这些被告采用有条不紊的监视和入室盗窃技术将恶意软件安装到ATM机中，然后从机器中窃取并清洗资金，部分目的是为指定的外国恐怖组织TDA的恐怖活动及其他影响广泛的犯罪活动提供资金，”司法部刑事司代理助理检察长马修·R·加莱奥蒂表示。 据称，该“吐钞”行动依赖TdA在全国范围内招募数量不详的人员来部署恶意软件。这些人会先进行初步侦察，评估各ATM机的外部安全措施，然后尝试打开ATM机的外盖，以检查是否触发了警报或执法部门的反应。 完成此步骤后，威胁行为者会安装Ploutus恶意软件，方法要么是更换已预装恶意程序的硬盘，要么是连接可移动U盘。该恶意软件能够发出与ATM机现金取款模块相关的未经授权命令，从而强制提取现金。 “Ploutus恶意软件还被设计用来删除恶意软件的证据，以试图隐藏、制造假象、误导或以其他方式欺骗银行和信用合作社的员工，使其无法得知ATM机上已部署恶意软件，”司法部表示。“然后，合谋成员会按预定比例分赃。” Ploutus于2013年在墨西哥首次被发现。赛门铁克在2014年的一份报告中详细介绍了如何利用基于Windows XP的ATM机的弱点，使网络犯罪分子仅通过向被入侵的ATM机发送短信即可提取现金。FireEye在2017年的一项后续分析中，详细说明了其控制Diebold品牌ATM机以及在各种Windows版本上运行的能力。 “一旦部署到ATM机上，Ploutus-D能使‘钱骡’在几分钟内获取数千美元，”当时解释道。“‘钱骡’必须拥有打开ATM机顶部（或能够撬开）的主钥匙、连接机器的物理键盘以及一个激活码（由负责行动的‘老板’提供），才能让ATM机吐出现金。” 据该机构称，自2021年以来，美国共记录了1529起“吐钞”事件，截至2025年8月，该国际犯罪网络已造成约4073万美元损失。 “这一合谋导致全美ATM机被掏空了数百万美元，据称这些钱流向了Tren de Aragua的头目，用于资助他们的恐怖活动和目的，”美国检察官莱斯利·伍兹表示。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  委内瑞拉国有石油公司——委内瑞拉石油公司（PDVSA）上周末遭遇网络攻击，扰乱了其出口业务。 委内瑞拉国有石油公司PDVSA上周末遭遇网络攻击，出口业务受到干扰。该公司表示，该事件仅影响部分行政系统，未影响运营。 该公司在Telegram上发布的一份声明中称：”得益于PDVSA专业人才的技术能力，运营区域未受到任何影响；攻击仅限于其行政系统。” PDVSA表示，安全协议防止了供应或出口中断，并将此次网络事件定性为一次试图的侵犯行为，与美国涉嫌企图扣押委内瑞拉石油有关。 声明继续写道：”我们坚决反对这种由外国势力策划的可耻行径。” 委内瑞拉政府将此次安全事件定性为企图攻击”主权能源发展的权利”。声明最后称：”必须指出，这已不是美国政府联合极端主义势力首次试图破坏国家稳定，夺走委内瑞拉人民的圣诞节。” PDVSA指示员工关闭电脑、断开外部设备连接、禁用WiFi和Starlink，同时加强了其设施的安全措施。 彭博社报道称：”知情人士引述看到的一份内部备忘录称，PDVSA告诉员工关闭电脑，断开外部硬件连接，并切断WiFi和Starlink连接。自周日以来，公司设施的安全措施也得到了加强。””该公司周一在一份声明中表示，已挫败了一起旨在扰乱其运营的’破坏企图’。声明补充说，石油产量未受影响。” 这种应对措施通常与正在进行的勒索软件攻击有关。PDVSA的一位消息人士告诉路透社，该公司几天前检测到勒索软件攻击，而杀毒软件的修复措施最终导致整个行政系统瘫痪。 一位公司消息人士告诉路透社：”（货物）无法交付，所有系统都瘫痪了。” 此次网络攻击发生之际，正值委内瑞拉和美国之间紧张局势升级，此前美国最近扣押了一艘运载委内瑞拉原油的受制裁油轮，这是自2019年美国外国资产控制办公室（OFAC）制裁PDVSA以来的首次。PDVSA指责美国及其国内合作者策划了此次攻击以破坏该国稳定，声称这是夺取委内瑞拉石油战略的一部分。该国有石油公司强烈反对所谓的侵犯行为，将其定性为对委内瑞拉主权能源发展的攻击。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州皮尔斯县图书馆系统遭遇网络攻击，导致超过34万人的信息泄露。 皮尔斯县图书馆系统本周在其网站及多个州发布了违规通知信。这些信件涉及一起网络安全事件，该事件于4月21日首次被发现，迫使图书馆系统关闭了所有系统。 截至5月12日，该机构确认黑客入侵其系统并窃取了图书馆员工及客户信息。该图书馆系统共有19个分馆，服务西雅图郊外近百万人口的县区。 通知信称，调查显示黑客在4月15日至4月21日期间入侵了机构系统。泄露信息因用户身份而异：图书馆服务用户的姓名和出生日期遭泄露；当前或前任员工的失窃数据则包括社会安全号码、财务账户信息、驾照号码、信用卡信息、护照号码、健康保险信息及医疗数据。 今年5月，INC勒索软件团伙宣称对此次攻击负责。该团伙在2025年已针对政府系统发动多起严重攻击。 皮尔斯县此前曾在2023年遭遇针对公共巴士服务的勒索软件攻击，导致日均1.8万人使用的系统瘫痪。 近年来，公共图书馆系统反复遭受勒索软件团伙攻击，攻击者认为图书馆在线服务的需求将迫使政府支付赎金。 除了对大型系统等高知名度目标的大规模攻击外，美国多个州及加拿大的众多图书馆都曾因勒索软件攻击导致服务中断。 全球图书馆频遭攻击的状况甚至促使美国官员采取专项措施，专门收集关于网络安全和高级防火墙服务的数据，以帮助图书馆更好地防御黑客攻击。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，组织松散的支持俄罗斯的黑客行动团体一直在利用暴露的虚拟网络计算连接，入侵多个行业的运营技术系统。 根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）及其他国内外合作伙伴发布的一份新报告，这些攻击是近期一波技术含量低但具有破坏性的入侵活动的一部分，影响了美国水处理、食品生产和能源领域的实体。 报告撰写机构指出，“俄罗斯重生网络军”（CARR）、”Z-Pentest”、”NoName057(16)”以及”Sector16″等组织正在使用简单的侦察工具和常见的密码猜测技术，来访问面向互联网的人机界面。 尽管他们的活动水平不如国家支持的威胁组织先进，但在某些情况下已导致实际影响。 CISA表示，这些黑客行动分子通常追求的是曝光度而非战略优势，经常夸大他们在网上公开的事件规模。 即便如此，在攻击者篡改参数、禁用警报或重启设备后，运营商仍面临暂时的监控失灵以及代价高昂的手动恢复工作。 该报告概述了自2022年以来，几个亲俄黑客团体如何扩张，其中一些还得到了与俄罗斯国家有关联组织的间接或直接支持。 CARR和NoName057(16)在2024年组建Z-Pentest之前曾广泛合作，而Sector16则在2025年初通过类似联盟出现。每个团体都依赖广泛可用的工具来扫描端口、暴力破解弱密码、录制被入侵系统的屏幕截图，并在网上传播。 给运营商的建议措施 报告强调，工业和运营技术的所有者应加强系统暴露面管理和认证措施。建议的措施包括： 减少运营技术资产对公共互联网的访问 采用更强的资产管理，例如映射数据流 使用强身份验证，在可能的情况下包括多因素身份验证 报告还强调了网络分段、严格的防火墙策略、软件更新以及允许在系统受损时快速手动操作的应急计划的重要性。 报告警告称，发现存在弱凭证的暴露系统的组织应假定已遭入侵，并立即启动事件响应。 尽管这些攻击仍然相对简单，但报告撰写机构警告称，持续的活动可能会导致更严重的后果。 “本报告中强调的亲俄黑客行动团体已表现出对脆弱系统造成实际损害的意图和能力，” CISA网络安全执行助理局长尼克·安德森警告说。 “除了实施建议的缓解措施并严格验证其安全控制外，我们呼吁所有运营技术设备制造商优先考虑安全设计原则——因为从一开始就构建安全性对于降低风险和保护国家最重要的系统至关重要。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文