HackerNews 编译，转载请注明出处： 英国知名俄罗斯问题研究专家基尔·贾尔斯（Keir Giles）上周末宣布，其多个电子邮箱账户遭黑客以“复杂账户接管”手段攻击，攻击者伪装成美国国务院人员。贾尔斯在领英发布的警告中提醒联系人谨慎处理任何看似由其发送的异常邮件。贾尔斯是《俄罗斯对所有人的战争》一书作者，同时担任智库查塔姆研究所（Chatham House）顾问研究员。 贾尔斯写道：“根据我们应对复杂账户接管攻击的长期经验，攻击者在被锁定前获取的信息（包括您或他人发送给我的消息）很可能被用于未来污染性数据泄露。”此前在去年，贾尔斯已成为为俄罗斯情报部门服务的黑客目标，这些黑客持续冒充研究人员与学者，试图侵入其同事邮箱账户，但当时贾尔斯的账户未被攻破。 网络安全公司Secureworks与Mandiant对针对贾尔斯的钓鱼邮件、附件及凭证窃取基础设施进行了独立分析。两家公司均认为，此次攻击由国家支持的黑客组织实施，该组织被追踪命名为Iron Frontier、Calisto、Coldriver或Star Blizzard。英国政府评估其隶属于俄罗斯情报机构，并于2013年将其归因于俄联邦安全局（FSB）第18中心（Center 18） ——英国政府曾为此召见俄罗斯大使，指控克里姆林宫幕后主导一系列“持续但未遂”的黑客泄密行动，意图破坏民主制度。 与此同时，美国司法部起诉了参与第18中心钓鱼活动的两名俄罗斯公民：FSB官员鲁斯兰·亚历山德罗维奇·佩列季亚特科（Ruslan Aleksandrovich Peretyatko） 及欺诈域名创建者安德烈·斯坦尼斯拉沃维奇·科里涅茨（Andrey Stanislavovich Korinets） ，相关行动可追溯至2016年。英国政府披露，该组织在英国的既往目标包括英国秘密情报局（MI6）前局长理查德·迪尔洛夫爵士（Sir Richard Dearlove） ，以及致力于反制俄罗斯信息战的智库“治国方略研究所”（Institute for Statecraft）。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多名《华盛顿邮报》记者的电子邮箱账户遭疑似国家支持的黑客攻击入侵。该事件于上周四晚间被发现，该报随即启动调查。6月15日（星期日），一份内部备忘录发送给员工，通知其“邮件系统可能遭受针对性未授权入侵”。 据《华尔街日报》报道，该备忘录由执行主编马特·默里（Matt Murray）签署，确认少数记者的微软账户受影响。由亚马逊创始人杰夫·贝佐斯持有的《华盛顿邮报》是美国最具影响力的新闻出版机构之一。 内部消息人士向《华尔街日报》透露，此次攻击针对报道国家安全、经济政策议题的记者，部分涉华报道记者亦遭锁定。高级持续性威胁（APT）即国家支持的黑客组织，常以微软Exchange等邮件系统为攻击目标。 去年，微软曾警告黑客利用Exchange中的关键权限提升漏洞作为零日漏洞，实施NTLM中继攻击。 《华盛顿邮报》目前未公开披露事件任何细节。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者通过利用SimpleHelp远程监控与管理（RMM）工具中的漏洞，成功入侵了一家公用事业软件计费服务提供商的客户系统。网络安全和基础设施安全局（CISA）发布的新公告警告称，此事件反映出勒索组织自2025年1月以来针对未修复版本SimpleHelp RMM的广泛攻击模式。 SimpleHelp 5.5.7及更早版本存在多个漏洞，其中包括路径遍历漏洞CVE-2024-57727。CISA指出：“勒索组织很可能利用CVE-2024-57727漏洞访问下游客户未修复的SimpleHelp RMM工具，通过双重勒索手段破坏服务。” 所有软件供应商、下游客户及终端用户均被敦促立即核查是否因该漏洞遭受入侵，并采取缓解措施。 漏洞利用详情 路径遍历漏洞CVE-2024-57727于2025年1月公开，并于同年2月13日被列入CISA已知可利用漏洞（KEV）目录。该漏洞可使未经认证的远程攻击者通过构造特殊HTTP请求，从SimpleHelp主机下载任意文件（包括含有机密信息和哈希用户密码的服务器配置文件）。 2025年5月，Sophos研究人员观察到DragonForce勒索软件通过组合利用CVE-2024-57727及同期披露的另外两个漏洞（CVE-2024-57728：允许管理员用户通过上传特制压缩包在文件系统任意位置写入文件的高危漏洞；CVE-2024-57726：允许低权限技术人员创建越权API密钥的严重漏洞）入侵多个客户网络。加密数据后，攻击者采用双重勒索策略，在索要赎金的同时威胁泄露窃取数据。CISA未透露攻击公用事业软件提供商的勒索组织名称。 防护措施 CISA针对不同主体提出建议： 1.软件供应商 若供应商自有软件中嵌入了SimpleHelp，或第三方服务提供商在下游客户网络中部署了SimpleHelp，应核查服务器版本（位于配置文件顶部）。若发现自2025年1月以来使用过5.5.7或更早版本，需立即执行： 隔离SimpleHelp服务器实例与互联网连接或停止服务器进程 升级至最新版本修复漏洞 通知所有下游客户并指导其加固终端设备，同时在网络中开展威胁狩猎 2.下游客户与终端用户 下游客户需立即核查系统是否直接或通过第三方软件间接运行未修复的SimpleHelp RMM。 若发现存在SimpleHelp，可通过向服务器发起HTTP查询确认版本。若确认系统存在5.5.7或更早版本，组织应： 开展威胁狩猎行动寻找入侵证据 持续监控SimpleHelp服务器的异常进出流量 若未发现入侵痕迹，立即升级至最新版本；若无法立即修复则应用临时解决方案 补充说明 SimpleHelp Ltd公司已发布移动端远程支持工具，但该应用与此次漏洞无关。CISA强调，及时升级和主动监控是应对此类供应链攻击的关键防线。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Bitsight近日发布警报，全球超过40,000台监控摄像头正通过互联网暴露实时画面，任何知晓其IP地址的用户均可通过网页浏览器直接访问这些设备的直播流。这些设备因采用HTTP或RTSP（实时流传输协议）运行，已成为网络攻击、间谍活动、敲诈勒索及恶意监控的意外工具。 技术原理与设备分类 HTTP摄像头 主要采用标准网络技术传输视频，常见于家庭及小型办公场所。部分设备完全暴露于公网，攻击者可直连管理界面获取视频流；另有设备虽需认证，但若通过API接口提交正确URI参数，仍能获取实时画面截图。 RTSP摄像头 专为低延迟连续视频传输设计，多用于专业安防系统。该类设备虽更难被识别，但研究人员发现其仍能响应通用URI请求并返回实时截图。 地域与行业分布 重灾区国家： 美国（超14,000台）居首，日本（约7,000台）次之；奥地利、捷克、韩国（各约2,000台）；德国、意大利、俄罗斯（各约1,000台）。 美国境内热点：加利福尼亚州、得克萨斯州设备最多，佐治亚州、纽约州、密苏里州、马萨诸塞州及佛罗里达州亦属高暴露区域。 行业风险层级： 电信业占比79%（主因家庭监控设备关联用户宽带IP） 科技行业（28.4%） 媒体/娱乐业（19.6%） 公共事业机构（11.9%） 商业服务（10.7%） 教育机构（10.6%） 潜在威胁与黑产利用 暗网论坛监测显示，黑客正积极搜寻暴露设备。这些摄像头不仅直接威胁个人隐私（如办公室、工厂、酒店等场所画面遭窥视），更可能被卷入僵尸网络，或成为渗透企业内网的攻击跳板。研究团队已发现设备覆盖餐厅、健身房、零售店等多种敏感场景。 Bitsight强调用户需立即采取以下行动： 强化网络认证：更换设备默认登录凭证，启用强密码策略 控制访问权限：关闭非必要的远程访问功能 系统持续更新：定期升级摄像头固件修补漏洞 异常行为监控：审计设备登录日志，排查可疑访问 公司警示：“无论是家庭用户还是企业管理者，采取正确防护措施将决定监控画面属于私人领域还是向全世界公开。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州与伊利诺伊州政府机构近日相继发布数据泄露警报，事件涉及数万民众敏感信息。 5月12日，德克萨斯州交通部（TxDOT）工作人员发现其车祸记录信息系统（CRIS）存在异常活动，调查显示黑客入侵某账户后下载近30万份车祸报告。该系统依法记录车祸细节及涉事人员信息，泄露数据包含姓名、住址、驾照号、车牌号、车险保单号等核心信息，所有报告还涵盖伤情描述及事故经过叙述。 尽管法律未强制要求公开通报，德州政府仍决定向受影响民众寄送通知信函警示风险。目前已冻结涉事账户并持续调查，但未回应黑客背景问询。受害者收到警告需警惕涉及历史车祸的可疑邮件、短信或来电，官方已开通专项咨询热线。 同日，伊利诺伊州医疗家庭服务部（HFS）披露2月发生的数据泄露事件：黑客通过入侵其他政府邮箱向HFS员工发送伪装邮件，诱使一名员工点击后窃取其邮件与文档。事件导致933人信息被盗，涵盖社会安全号、驾照、州身份证件，以及儿童抚养、医疗补助相关的财务数据。 两起事件凸显政府系统安全风险，尤其涉及民生数据的部门更需强化防护。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 警方称，马来西亚内政部长的WhatsApp账号遭黑客入侵并被用于向联系人发送恶意链接。 当局在周五的新闻发布会上表示，攻击者据称使用虚拟专用网络（VPN）入侵了Datuk Seri Saifuddin Nasution Ismail的账号，目前尚无受害者报告经济损失。警方未详细说明入侵手法。 负责监管执法、移民和审查事务的内政部已确认该事件，并敦促公众勿回应任何自称来自部长的信息或电话，尤其是涉及财务或个人要求的通讯。 此次数据泄露事件正在调查中，执法部门正全力追踪黑客位置。 手机钓鱼诈骗在马来西亚日益猖獗。当地媒体报道称，诈骗分子常冒充警察、银行职员或法院代表实施犯罪。 近期WhatsApp事件与此前针对其他高级官员的攻击如出一辙： 2025年3月：诈骗分子劫持议长乔哈里·阿卜杜勒的WhatsApp账号，诱骗其联系人汇款； 2022年：黑客入侵前总理伊斯梅尔·萨布里的Telegram和Signal账号； 2015年：黑客控制马来西亚皇家警察的Twitter和Facebook账号，发布支持伊斯兰国组织的信息。 Nasution Ismail因账号被黑事件遭遇网络批评与嘲讽。当地媒体指出，鉴于该国最高安全官员竟遭黑客成功攻击，民众对马来西亚网络安全措施的有效性提出质疑。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国运动服饰巨头阿迪达斯披露，攻击者入侵某客户服务提供商后窃取部分客户数据。该公司于5月24日（周五）声明称：“阿迪达斯近期发现未经授权的外部方通过第三方客户服务提供商获取了部分消费者数据。我们立即采取措施控制事件影响，并联合顶尖信息安全专家启动全面调查。” 阿迪达斯补充称失窃信息不包含受影响客户的支付信息或密码，因攻击者仅获取联系方式。公司已就此事通报相关监管机构，并将按法律要求通知受影响的个人。 “阿迪达斯正依照适用法律向可能受影响的消费者、数据保护机构及执法部门发出通知，”声明强调，“我们始终致力于保护消费者隐私与安全，对此次事件造成的不便深表歉意。” 目前阿迪达斯尚未披露事件细节，包括受影响服务商名称、入侵发现时间、受影响人数以及公司自有网络是否遭渗透。当BleepingComputer联系阿迪达斯询问事件进展时，发言人表示“暂无最新消息，周五声明仍然有效”。 本月早些时候，阿迪达斯曾披露影响土耳其与韩国客户的数据泄露事件，涉及2024年及此前联系过客服中心的消费者。失窃信息包括姓名、电子邮箱、电话号码、出生日期与地址。2018年6月，阿迪达斯美国官网遭入侵，导致数百万购物者的联系信息、用户名及加密密码外泄。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，代号ViciousTrap的黑客组织已入侵全球84个国家近5,300台网络边缘设备，将其改造成类蜜罐网络。该组织利用思科小型企业路由器（型号RV016、RV042、RV042G、RV082、RV320、RV325）的关键漏洞CVE-2023-20118实施大规模入侵，其中850台受控设备位于澳门。 安全公司Sekoia在周四发布的分析报告中指出：“感染链涉及执行名为NetGhost的shell脚本，该脚本将被入侵路由器特定端口的流量重定向至攻击者控制的类蜜罐设施，从而实现网络流量劫持。” 此前，法国网络安全公司曾将该漏洞利用归因于另一个名为PolarEdge的僵尸网络。 尽管尚无证据表明这两项活动存在关联，但研究人员认为ViciousTrap背后的组织正通过入侵大量暴露于互联网的设备构建蜜罐基础设施，涉及品牌包括Araknis、华硕、D-Link、领势、威联通等50余个厂商的SOHO路由器、SSL VPN、数字录像机及基板管理控制器。 分析报告补充称：“这种架构使攻击者能观察多环境渗透尝试，可能收集未公开或零日漏洞利用方案，并劫持其他威胁组织的入侵成果。” 攻击链首先通过漏洞利用下载bash脚本，该脚本从外部服务器获取wget工具后再次触发漏洞，执行第二阶段的NetGhost脚本。 NetGhost脚本配置了流量重定向功能，将被控系统流量导向攻击者控制的第三方设施，实施中间人攻击，同时具备自删除能力以减少取证痕迹。Sekoia表示所有攻击尝试均源自单一IP地址（101.99.91[.]151），最早活动可追溯至2025年3月。次月监测到该组织将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。 安全研究人员费利克斯·艾梅与杰里米·希恩指出：“该行为与攻击者使用NetGhost的策略相符，流量重定向机制使其成为静默观察者，可收集渗透尝试及传输中的WebShell访问痕迹。” 本月最新攻击活动转向华硕路由器，使用另一IP地址（101.99.91[.]239），但未在受控设备部署蜜罐。所有活跃IP均位于马来西亚，归属托管服务商Shinjiru运营的自治系统AS45839。 基于与GobRAT基础设施的微弱关联，以及流量重定向至中国台湾地区和美国多地资产的事实，研究人员判断该组织可能具备中文背景。Sekoia总结称：“尽管高度确信ViciousTrap构建的是类蜜罐网络，但其最终目标仍未明确。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 攻击者声称通过滥用Meta旗下Facebook的应用程序接口（API）非法获取了包含12亿条用户记录的数据库，并将该数据集发布于知名数据泄露论坛。若得到证实，这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查，发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息，初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度，因该攻击者此前仅发布过两次数据帖，推测可能通过分批次爬取累积至此规模。 此次事件再次暴露Facebook在API安全防护上的系统性缺陷。2021年曾有攻击者泄露超5亿用户电话号码与地理位置信息，导致欧盟罚款2.65亿欧元。研究人员指出，此类重复性事件表明Meta在数据安全措施上长期采取被动应对策略，尤其在保护公开可见但依然敏感的隐私数据方面存在严重疏漏。缺乏有效防护机制使数亿用户面临钓鱼攻击、金融诈骗及身份盗用风险。 攻击者利用此类大规模数据库可实施自动化攻击，例如向用户精准推送伪装成Facebook登录页面的钓鱼链接，或结合地理位置与生日信息设计定向诈骗剧本。安全专家强调，攻击者通过API接口超量获取数据已成行业顽疾，Shopify、GoDaddy等平台近年均遭遇类似攻击。API作为现代互联网服务的基础组件，其滥用问题亟待技术性与监管层面的双重解决方案。 Meta此前承认使用公开的Facebook与Instagram数据训练AI助手，此举引发隐私合规争议。目前Meta尚未就此次泄露事件发表声明，爱尔兰数据保护委员会正评估事件影响范围。欧盟监管部门重申将依据GDPR第25条“通过设计保护数据”原则，加大对科技企业数据滥用行为的处罚力度。安全社区建议用户立即启用双重验证并监控账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit勒索软件组织遭黑客入侵，其暗网后台基础设施数据被窃取并泄露。攻击者攻陷了该团伙的暗网泄密网站并篡改页面，发布警示信息及后台联盟面板MySQL数据库转储链接。 篡改后的页面显示“别犯罪，犯罪是坏事 xoxo来自布拉格”，并附有可下载“paneldb_dump.zip”的链接。该数据库包含20个核心表，涉及以下关键信息： 59,975个比特币地址：用于收取赎金的钱包清单 4,442条谈判记录：2024年12月19日至2025年4月29日期间，LockBit运营者与受害者之间的勒索对话 构建配置数据：包含目标公司名称、应规避加密的文件类型等攻击参数 75名成员信息：管理员及分支机构账户的明文密码（例如“Weekendlover69”等） LockBit头目“LockBitSupp”通过私聊承认入侵属实，但声称私钥和核心数据未泄露。安全研究人员发现，数据库中的构建配置表关联了特定受害者的公钥与私钥对，这为开发通用解密工具提供了可能。意大利网络安全专家Emanuele De Lucia分析指出，勒索金额根据目标估值动态调整，初始索要金额跨度从5万至150万美元不等，受害者顶级域名涉及埃塞俄比亚(.et)、日本(.jp)、巴西(.br)等国家地区。 此次攻击暴露了LockBit运营体系的脆弱性： 分支机构活跃度低下：44个生成加密器的账户中仅30个处于活跃状态，反映该组织实际攻击能力缩水 基础设施漏洞：与近期Everest勒索软件组织遭入侵事件类似，攻击者可能利用PHP 8.1.2的远程代码执行漏洞(CVE-2024-4577)实施入侵 内部安防缺失：明文存储密码、未隔离核心数据库等低级错误，凸显犯罪组织的运维缺陷 安全界认为这是继2024年2月国际执法机构“Cronos行动”后，对LockBit的又一次重创。泄露数据为追踪资金流向、归因攻击事件提供了关键线索，或将加速该犯罪集团的瓦解。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文