沃尔沃集团北美客户数据在 Conduent 黑客攻击中泄露
HackerNews 编译,转载请注明出处: 沃尔沃集团北美公司披露,因美国商业服务巨头 Conduent 的 IT 系统被攻陷,该公司发生间接数据泄露事件,Volvo 是 Conduent 的客户。 沃尔沃集团北美公司是这家瑞典跨国企业在美国、加拿大和墨西哥的运营分支机构。其主营商用车与重型设备制造,产品包括卡车、客车、工程设备、发动机及工业动力系统。美国知名品牌 Mack Trucks 是其旗下子公司。Volvo Group 与 Volvo Cars 并非同一家公司,前者不生产乘用车。 在 Conduent 于 2025 年末披露的大规模数据泄露事件中,沃尔沃集团北美公司近 17000 名客户及 / 或公司员工的个人信息遭泄露。 Conduent 是一家美国业务流程外包(BPO)公司,为政府及企业提供数字化平台与服务。该公司在 2024 年 10 月 21 日至 2025 年 1 月 13 日期间发生安全入侵事件,威胁攻击者窃取了用户全名、社会安全号码(SSN)、出生日期、医疗保险保单详情、身份证件号码及医疗信息。 Conduent 尚未确定受影响的具体人数,但此前已披露该事件波及俄勒冈州 1050 万人、得克萨斯州 1550 万人。 该公司目前正代其客户向受影响人员发送通知,为沃尔沃集团北美公司的客户及员工提供为期至少一年的免费身份监控服务,同时附赠信用监控、暗网监控及身份修复服务。此外,通知建议接收者为自己的信用报告设置欺诈预警或安全冻结。 沃尔沃集团北美公司近期再度发生数据泄露事件,同样由第三方供应商引发,导致员工全名、社会安全号码等信息泄露。此次泄露源于 IT 服务供应商 Miljödata 在 2025 年 8 月遭入侵,导致 150 万人信息泄露,其中包括沃尔沃集团在瑞典和美国的员工。 2021 年,Volvo Cars 曾发生安全入侵事件,黑客从其服务器窃取了研发(R&D)数据。数据勒索组织 Snatch 宣称对该起攻击负责,并在其勒索平台上泄露了窃取的文件。 消息来源: bleepingcomputer.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
伊朗黑客利用 DEEPROOT 和 TWOSTROKE 恶意软件袭击航空航天与国防领域
HackerNews 编译,转载请注明出处: 疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序,持续针对中东地区的航空航天、航空和国防行业发动攻击。 谷歌旗下的曼迪昂特(Mandiant)公司将该活动归因于一个代号为 UNC1549(又称 “雨云狮身人面像” 或 “狡猾蜗牛”)的威胁集群,该集群于去年年初首次被这家威胁情报公司记录在案。 研究人员穆罕默德・埃尔 – 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示:“2023 年末至 2025 年期间,UNC1549 采用了复杂的初始访问向量,包括滥用第三方合作关系获取入口(从服务提供商转向其客户)、从第三方虚拟桌面基础设施(VDI)突破,以及针对性极强、与角色相关的钓鱼攻击。” 此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时,该组织通过领英(LinkedIn)发起以招聘为主题的社会工程学攻击,成功入侵了 11 家机构。 事件响应与数字取证(DFIR)托管服务 谷歌称,攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动,以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。 尽管这些组织通常拥有强大的防御体系,但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用:他们先获取关联实体的访问权限,再渗透目标核心系统。 攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰(Citrix)、威睿(VMWare)和 Azure 虚拟桌面与应用程序(VDA)等服务相关的凭证,建立初始立足点,随后突破虚拟化会话限制,获取底层主机系统访问权限,并在目标网络内开展横向移动活动。 另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件,诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现,UNC1549 还在攻击中针对 IT 人员和管理员,以获取具有高权限的凭证,从而获得对网络的深度访问权。 攻击者一旦入侵成功,后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取,系统性收集网络 / IT 文档、知识产权和电子邮件。 该威胁行为者在攻击中使用的部分定制工具如下: MINIBIKE(又称 SlugResin):已知的 C++ 后门程序,可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器(Google Chrome)、勇敢浏览器(Brave)和微软 Edge 浏览器的浏览数据,并截取屏幕截图。 TWOSTROKE:C++ 后门程序,支持系统信息收集、动态链接库(DLL)加载、文件操作和持久化驻留。 DEEPROOT:基于 Go 语言的 Linux 后门程序,支持执行 shell 命令、枚举系统信息和文件操作。 LIGHTRAIL:定制隧道工具,疑似基于开源 Socks4a 代理工具 Lastenzug 开发,利用 Azure 云基础设施进行通信。 GHOSTLINE:基于 Go 语言的 Windows 隧道工具,通过硬编码域名进行通信。 POLLBLEND:C++ Windows 隧道工具,利用硬编码的命令与控制(C2)服务器注册自身并下载隧道配置。 DCSYNCER.SLICK:基于 DCSyncer 开发的 Windows 工具,用于执行 DCSync 攻击以提升权限。 CRASHPAD:C++ Windows 工具,用于提取浏览器中保存的凭证。 SIGHTGRAB:C 语言编写的 Windows 工具,选择性部署以定期捕获屏幕截图并保存至磁盘。 TRUSTTRAP:恶意软件,通过弹出 Windows 提示框诱骗用户输入微软账户凭证。 网络安全配置(CIS)构建工具包 攻击者还使用了多款公开可用的程序,包括:用于查询活动目录(Active Directory)的 AD Explorer;用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具(Atelier Web Remote Commander,AWRC);以及用于远程控制的 SCCMVNC。此外,该威胁行为者还通过删除远程桌面协议(RDP)连接历史注册表项来阻碍调查。 曼迪昂特公司表示:“UNC1549 的攻击活动特点在于其专注于预判调查行动,并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月,仅在受害者尝试清除后才激活以重新获取访问权限。” “他们利用大量反向 SSH 隧道(可减少取证证据)和策略性模仿受害者所在行业的域名,维持隐蔽性和命令与控制(C2)通信。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客入侵 SonicWall 云防火墙备份系统
HackerNews 编译,转载请注明出处: SonicWall 公司周三披露,未经授权的第三方访问了所有使用其云备份服务的客户的防火墙配置备份文件。 该公司表示:”这些文件包含加密的凭证和配置数据;虽然加密仍保持有效,但持有这些文件可能会增加遭受定向攻击的风险。” 该公司还指出,正在着手通知所有合作伙伴和客户,并已发布工具协助进行设备评估和补救。同时,公司也在敦促用户登录系统检查自己的设备状况。 几周前,SonicWall 曾因 MySonicWall 账户遭遇安全漏洞导致防火墙配置备份文件泄露,而敦促客户重置凭证。此次事件正是在这之后发生的。 MySonicWall 门户上提供的受影响设备列表已被分配优先级,以帮助客户确定补救工作的先后顺序。标签分类如下: 活跃 – 高优先级:启用了面向互联网服务的设备 活跃 – 低优先级:未启用面向互联网服务的设备 不活跃:90 天内未与服务器通信的设备 最新的事后分析与该公司最初的评估大相径庭。起初,该公司声称威胁行为体仅访问了不到 5% 客户存储在云端的防火墙偏好备份文件。公司当时还表示,虽然这些文件中的凭证已加密,但其中包含 “可能使攻击者更容易潜在利用相关防火墙的信息”。 目前尚不清楚有多少客户使用该云备份服务。SonicWall 尚未透露攻击何时开始,也未指明幕后黑手是谁。不过,该公司表示,此后已 “加固” 了其基础设施,增加了额外的日志记录,并引入了更强的身份验证控制,以防止类似事件再次发生。 建议用户立即采取以下步骤: 登录MySonicWall.com账户,验证已注册的防火墙是否存在云备份 如果相关字段为空,则不受影响 如果字段包含备份详情,验证受影响的序列号是否在账户中列出 如果显示了序列号,用户应按照所列防火墙的遏制和补救指南操作 SonicWall 表示,如果客户使用了云备份功能,但未显示序列号或仅显示部分已注册序列号,公司将在未来几天提供额外指导。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
美国某知名安全公司遭黑客攻击,大量军方敏感信息外泄
近日,美国知名安全公司 Ultra Intelligence & Communications 遭遇Black Cat黑客攻击,导致瑞士空军文件被泄露到了暗网上。 Ultra Intelligence & Communications(简称ULTRA),是一家全球领先的技术公司,总部位于英国。该公司提供先进的情报、通信和安全技术解决方案,服务的客户包括国防部、联邦调查局、缉毒局、北约、美国电话电报公司、瑞士联邦国防部和国防承包商 RUAG 等。 攻击事件发生后,瑞士联邦国防部证实瑞士空军受到了此次攻击的影响,瑞士当局随即对该事件展开了调查。 据 SwissInfo 网站报道,Black Cat 从 ULTRA 公司窃取了约 30 G 敏感文件。泄露的文件中包括瑞士国防部与美国公司之间的一份合同,金额近 500 万美元(428 万瑞士法郎)。根据这份文件和其他泄露文件可的内容显示,瑞士国防部购买了空军加密通信技术。同时,在泄露的文件中,还有电子邮件和付款收据,展示了交易的时间。 不过,联邦国防部证实,武装部队的运行系统并没有受到此次事件的影响。 BlackCat勒索软件(又名AlphaVM、AlphaV或ALPHV)于2021年11月中旬首次被Malwarehuntertam研究人员披露,是第一个基于RUST语言编写的专业勒索软件系列,并因其高度定制化和个性化的攻击而迅速泛滥。 该软件不仅能够在各种企业环境进行攻击,还在短期内成功执行了多次引人注目的攻击,受害者包括汽车消费电子巨头 Voxx Electronics、美国法院、知名手表品牌Seiko等等。 据美国联邦调查局(FBI)调查显示,截至去年 9 月,ALPHV/BlackCat 勒索软件团伙已成功袭击全球 1000 多名受害者,狂“薅”了超过 3 亿美元的赎金,其中近 75% 受害者来自美国,其余约 250 个散布全球各地。 转自FreeBuf,原文链接:https://www.freebuf.com/news/389186.html 封面来源于网络,如有侵权请联系删除
澳大利亚地方法院遭勒索攻击:敏感案件数据遭泄露,司法权威性被破坏
澳大利亚维多利亚州法院系统遭受了勒索软件攻击。一位独立安全专家认为,此次攻击由俄罗斯黑客策划。 维多利亚州法院服务局(CSV)发言人表示,黑客侵入了法院系统的音视频存档区域。这意味着高度敏感案件的证人证词等听证录音可能已被访问或窃取。 CSV正在努力通知出庭记录遭黑客访问的人,并计划设立一个联系中心,向自认为受到攻击的人提供服务。 相关录音覆盖了2023年11月1日至12月21日期间的听证会,也可能包括11月之前的部分听证会。 此次攻击于2023年12月21日被发现。当时,圣诞节假期将至,员工发现他们的计算机被锁定,屏幕上出现一条消息,写着“你被黑了!”(YOU HAVE BEEN PWND)。 根据消息提示,法庭工作人员查看了一个文本文件。黑客在文件中威胁要公布从法院系统窃取的文件,并要求工作人员访问暗网的一个地址,获取如何恢复文件的说明。 黑客访问了近两个月的县级法院录音 周二(1月2日)上午,CSV发布最新消息,表示县级法院案件受到的影响最为严重。黑客可能在线访问了去年11月1日至12月21日期间所有刑事和民事听证会的录音,其中有至少两起案件涉及童年性虐待问题。 维多利亚州最高法院也受到重创,去年11月的录音可能都被黑客访问,涉及上诉法院、刑事庭、实践法庭以及两个地区性听证会。 去年11月或12月开始的儿童法庭听证会录音没有受到影响。但是,去年10月的一次听证会录音或已在线曝光。 一些治安法庭的预审听证会录音受到影响,但维多利亚州民事及行政法庭(VCAT)的听证会录音未受波及。 代理州长Ben Carroll表示,法院运营并未受到影响。他说,“据我了解,这次攻击基本上已经被限制,所有法院案件、听证、证据和程序都得到了彻底的保护。我们非常有信心将查明事件真相。” 专家称攻击可能是俄罗斯黑客所为 独立网络安全专家Robert Potter在查验攻击证据之后,认为基本可以确定法院系统遭受了网络钓鱼攻击,攻击者是俄罗斯黑客,使用了“麒麟”(Qilin)商业勒索软件。 他说,“这是一种双重勒索手段。黑客把数据拿走,然后加密。如果你不付钱,他们就会泄露数据,你也永远无法访问数据。” CSV发言人表示,“我们立即采取了行动,隔离并停用受影响网络,并制定计划,确保法院持续运营。因此,一月的听证会将继续进行。维护法院用户的安全是我们的优先事项。目前,我们的工作重点是确保系统安全。” 本周,澳大利亚广播公司报道,知名酸奶品牌养乐多的澳大利亚公司遭受了一次重大网络攻击,公司记录和护照等敏感员工文件被发布在暗网上。 电信巨头澳都斯和医疗保险公司Medibank等其他大型公司和机构也遭受了大规模攻击。圣文森特健康网络在圣诞节前也成为了攻击目标。 知名网络安全专家Troy Hunt表示,“澳大利亚是一头肥羊,因为我们属于第一世界,是拥有大量财富的现代国家。不可避免的是,我们有安全漏洞,会招致攻击。公司无法独自解决问题,警方也无力提供帮助。” 转自安全内参,原文链接:https://www.secrss.com/articles/62480 封面来源于网络,如有侵权请联系删除
美国金融巨头 First American 遭受黑客攻击
美国第二大保险公司 First American 面临严重的网络攻击 。对此,为了尽量减少此次事件的后果,部分公司系统被禁用,该公司的官方网站也暂时关闭。 First American 成立于 1889 年,专门为房地产行业提供金融和经纪服务。该公司年收入达 76 亿美元,拥有超过 21,000 名员工和数十万客户,是保险市场的重要参与者。 最近的一次是 11 月 28 日,First American 因 2019 年 5 月黑客攻击引发的网络安全违规行为支付了 100 万美元的罚款。据纽约州金融服务部称,该公司积累了大量客户的个人和财务数据,但没有为他们提供适当水平的保护,使其成为网络犯罪分子的有吸引力的目标。 到目前为止,还没有已知的黑客组织声称对 First American 的攻击负责。该公司的官方代表也没有发表评论。 除了First American之外,另一家保险公司富达国民金融公司最近也遭受了类似的网络攻击。 该公司上个月 报告的这一事件 还导致系统暂时中断。 Fidelity National Financial 表示,网络攻击已于 11 月 26 日得到遏制,目前仍在努力恢复正常业务运营。在攻击过程中,获得了某些凭证,但细节和可能的后果尚未披露。 转自安全客,原文链接:https://www.anquanke.com/post/id/292135 封面来源于网络,如有侵权请联系删除
今年一季度黑客利用微软和谷歌等服务发送了 5200 万条恶意信息
2021 年第 1 季度,网络犯罪分子利用 Office 365、Azure、OneDrive、SharePoint、G-Suite 和 Firebase 等存储服务发送了 5200 万条恶意信息。在疫情期间在企业加速推进云端迁移的过程中,犯罪分子将钓鱼电子邮件隐藏到微软和Google的各项服务中,来达到窃取用户数据、勒索用户等目的。 Proofpoint 安全研究人员发现,仅在 2021 年第 1 季度,从 Microsoft 365 发出的恶意电子邮件就超过 700 万封,从Google基础设施发出的恶意邮件就超过 4500 万封。此外,他们还发现,网络犯罪分子利用 Office 365、Azure、OneDrive、SharePoint、G-Suite 和 Firebase 存储,以便发送钓鱼邮件和主机攻击。 报告中指出:“通过这些受信任的云服务的恶意信息发送量已经超过 2020 年任意僵尸网络,而这些域名的受信任声誉,包括 outlook.com 和 sharepoint.com,增加了防御者的检测难度”。 只要一个账号被攻克就有可能导致一大片网络的沦陷,ProofPoint 估计有 95% 的组织成为云账户泄露的目标,而且超过一半以上是成功。此外,超过 30% 的被攻击的组织“经历了访问后的活动,包括文件操作、电子邮件转发和OAuth活动”。 一旦攻击者掌握了证书,他们就可以迅速切换各种服务,发送更有说服力的钓鱼邮件。Proofpoint提供了许多活动的例子,这些活动试图诱使用户交出他们的详细资料或提供恶意软件,同时隐藏在微软和Google的背后。 根据Proofpoint团队的说法,有一条信息包括一个微软的SharePoint URL,声称将收件人引向详细介绍COVID-19准则的文件。这条恶意信息被发送给运输、制造和商业服务行业的5000名收件人。 最近的另一个欺诈性视频会议凭证网络钓鱼活动使用了.onmicrosoft.com域名。这些信息包括一个重定向到一个假的网络邮件认证页面的URL,旨在窃取用户凭证。这一数量不多的活动由大约10,000条信息组成,目标是制造业、技术和金融服务的消费者。 (消息及封面来源:cnBeta)
美警署文件服务器发生数据泄露 黑客威胁不交付赎金就曝光线人信息
近日,Babuk Locker 勒索软件团伙在网站上曝光了哥伦比亚大都会警察局的内部服务器文件,威胁如何不支付赎金,就释出警方调查和线人的相关信息。华盛顿特区警察局公共发言人 Sean Hickman 在致外媒 The Record 的一封电子邮件中称,其已知晓内部文件服务器上发生了未经授权的访问。 截图表明勒索软件团伙已取得警方调查报告、警员纪律、本地帮派、面容照片、以及管理文件的访问权限,Babuk Locker 宣称其从特区警察局服务器上拖走 250GB 以上的数据。 现该组织给警局提供了三天时间,以回应它们的赎金要求。如若不然,Babuk Locker 将与当地帮派联系并曝光警方线人。 特区警官向 The Record 表示,他们正在调查本次数据泄露事件,并且邀请了联邦调查局来协助,以确定影响的严重程度。 至于 Babuk Locker,该团伙似乎是当下最活跃的勒索软件组织之一。 据悉,Babuk Locker 于 2021 年 1 月开始冒头,并且已经对某些大型企业造成了打击,比如西班牙连锁手机零售商 Phone House、以及 NBA 休斯顿火箭队。 其特点是能够对 VMware eSXI 共享虚拟磁盘驱动器上的文件进行加密,目前只有 Darkside 和 RansonExx 和该组织一样能够达成。 安全公司 EMSIsoft 上周警告称,这项功能经常遇到问题,且可能导致勒索软件对受害者的文件造成永久性的破坏。 几天后,Babuk Locker 团队在某个黑客论坛的一篇帖子上作出了回应,宣称它们已经修复了该 bug 。 (消息及封面来源:cnBeta)
研究员发现一个专门盗取用户信息的虚假 DirectX12 下载网站
据外媒报道,恶意软件的所有者似乎找到了一种新方法来欺骗用户安装他们的软件,并且不幸的是,Google还在其中帮了忙。日前,安全研究员Oliver Hough发现黑客创建了一个伪造的DirectX 12下载网站,它看起来完全拥有安全证书、隐私政策、免责声明、DMCA政策等让人们相信它是真的内容,但它却会推送恶意软件扫描用户的电脑以获取私人信息。 这些信息包括桌面截图、个人电脑详细信息、缓存,重要的是还可能包含用户拥有的任何加密货币钱包。据悉,恶意软件会搜索Ledger Live和Waves.Exchange、Coinomi、Electrum、Electron Cash、BTCP Electrum、Jaxx、Exodus、MultiBit HD、Aomtic和Monero。 这些信息随后被会保存在一个临时目录中并上传到黑客的网络上。 据悉,黑客们一直在使用被他们攻击的网站然后将其链接到他们的虚假网页,这显然能帮助提高该网页在Google上的搜索排名,而这会诱骗更多的用户点击他们的虚假下载链接。 因此,越来越重要的是,用户在搜索要下载的软件时要更加警惕,如在Google中输入Spotify下载,那么在下载前一定要仔细检查页面的凭证和URL,而不是假定页面第一个跳出的链接就是合法的。 外媒指出,理想情况下,用户应该坚持使用内置在个人电脑中的官方应用商店。 (消息及封面来源:cnBeta)
勒索软件团伙试图在 Spring Loaded 活动前勒索苹果公司 要求支付赎金
据外媒The Record报道,REvil勒索软件的运营商要求苹果公司支付赎金,以避免其机密信息在暗网中遭泄露。REvil团队声称,他们是在对广达电脑公司进行网络攻击后掌握了苹果产品的数据,广达电脑公司是全球第一大笔记型电脑研发设计制造公司,也是根据预先提供的产品设计和原理图组装苹果官方产品的公司之一。REvil团伙在一个暗网门户网站上发布的信息中说,广达公司拒绝付款以取回其被盗的数据,因此,REvil运营商现在决定转而对付该公司的主要客户。 REvil团伙发布了21张描述MacBook原理图的截图,并威胁说每天都会发布新的数据,直到苹果或广达支付赎金要求。 此外,该勒索软件团伙还暗示,其他公司的数据也可能被泄露到网上。“我们的团队正在与几个大品牌协商出售大量的机密图纸和数千兆字节的个人数据,”REvil运营商写道。“我们建议苹果公司在5月1日前买回可用数据。” 广达电脑公司的已知客户包括一些世界上最大的笔记本电脑供应商,如惠普、戴尔、微软、东芝、LG、联想和许多其他公司。 一位熟悉广达谈判的消息人士说,REvil团伙要求的赎金为5000万美元,与他们上个月向笔记本电脑制造商宏基要求的金额相似。目前还不清楚REvil团伙现在期望从苹果公司得到多少钱。 这次勒索企图的时间安排与苹果公司宣布新产品和软件更新的Spring Loaded活动相吻合,以获得最大的知名度。 Dmitry Smilyanets是Recorded Future的威胁情报分析师,他告诉The Record,REvil的公共发言人,一个绰号为UNKN的人,在周日的论坛帖子中暗示了周一的公告,称今天的泄密是 “有史以来最引人关注的攻击”。 Smilyanets告诉The Record,这也是赎金软件团伙在被攻击的公司拒绝支付赎金费用后,公开向受害者的客户提出赎金要求的第一个重大事件。这是双重勒索中的一种新方法,即威胁者在与主要受害者谈判赎金未果后,与受影响的第三方进行接触。 苹果公司表示,它正在调查这一事件,目前没有什么消息可以分享。The Record无法联系到广达电脑公司的发言人进行评论,一位接听电话的人要求第二天再打电话。 两家公司仍极有可能淡化这一事件,并将被盗数据归类为非敏感信息。 周二泄露的文件显示了Macbook笔记本电脑的原理图,其中没有一个是特别敏感的,似乎也不包括组装信息和技术细节以外的内容。其中一个文件的日期是2021年3月9日,但不清楚所描述的产品是新产品还是只是更新的技术规格。 虽然广达被认为是世界上最大的笔记本电脑制造商,但第二家,同为中国台湾公司的仁宝在2020年11月遭遇了自己的勒索软件事件,当时它的一些文件被DoppelPaymer勒索软件团伙盗取,内部网络被加密。 (消息及封面来源:cnBeta)