HackerNews 编译，转载请注明出处： 全球知名航运代理集团S5 Agency World据称遭勒索软件组织攻击。攻击者宣称窃取近140GB数据，该公司名称已被公布在勒索团伙用于展示受害者的暗网泄露站点。网络犯罪组织借此施压受害企业支付赎金，以防数据被公开。 S5作为海运代理企业，业务覆盖全球360多个港口。这家总部位于伦敦的公司为航运公司提供船舶靠港期间的本地代理服务。攻击者为佐证其说辞，公布了据称窃取数据的部分截图。网络安全研究团队核查样本后确认数据真实性。 泄露样本包含检验报告、员工新冠疫苗接种记录、护照复印件及内部文件等，但实际失窃文件总量可能远超样本范围。海运关键企业历来是黑客重点目标，其业务停摆将引发供应链瓶颈并严重影响客户——船舶代理等机构尤其无法承受网络攻击导致的运营中断。 勒索组织“Bert”系2025年4月新出现的团伙，隶属于新兴网络犯罪联盟。监测数据显示，2025年第一季度活跃勒索组织激增至65个，而“Bert”在短期内已入侵十余家机构。研究指出该团伙通过合法软件供应链投递恶意程序，主要针对医疗和科技领域，专家警告其适应力可能演变为更大威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rare Werewolf（前称 Rare Wolf）黑客组织被关联到一系列针对俄罗斯和独立国家联合体（CIS）国家的网络攻击。Rare Werewolf，也被称为 Librarian Ghouls 和 Rezet，是一个被指定为高级持续性威胁（APT）组织的代号，该组织有攻击俄罗斯和乌克兰机构的记录。据悉其至少自 2019 年以来一直活跃。 “该威胁的一个显著特征是，攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件，”卡巴斯基表示。“本文描述的活动其恶意功能是通过命令文件和 PowerShell 脚本实现的。” 攻击意图是在受感染主机上建立远程访问、窃取凭证并部署 XMRig 加密货币矿工。该活动影响了数百名俄罗斯用户，涉及工业企业和工程院校，在白俄罗斯和哈萨克斯坦也记录了少量感染。 根据 BI.ZONE 的信息，该威胁行为者通过钓鱼邮件获得初始访问权限，利用立足点窃取文档、Telegram 通讯数据，并投放 Mipko Employee Monitor、WebBrowserPassView 和 Defender Control 等工具，用于与被感染系统交互、收集密码和禁用防病毒软件。 卡巴斯基记录的最新攻击显示，使用钓鱼邮件作为恶意软件传播载体，以包含可执行文件的受密码保护的压缩包作为激活感染的起点。 压缩包中存在一个安装程序，用于部署名为 4t Tray Minimizer 的合法工具以及其他载荷，包括一个模仿付款单的诱饵 PDF 文档。 “该软件可以将正在运行的应用程序最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。”卡巴斯基解释道。 这些中间载荷随后被用来从远程服务器获取其他文件，包括 Defender Control 和 Blat（一种通过 SMTP 将窃取的数据发送到攻击者控制邮箱的合法实用程序）。攻击的另一个特点是使用了 AnyDesk 远程桌面软件和一个 Windows 批处理脚本来促进数据窃取和矿工部署。 该批处理脚本的一个显著方面是，它启动了一个 PowerShell 脚本，该脚本具备在凌晨 1 点（当地时间）自动唤醒受害者系统，并通过 AnyDesk 允许攻击者对其进行四小时窗口远程访问的能力。然后，机器会在凌晨 5 点通过计划任务关闭。 卡巴斯基指出：“利用第三方合法软件进行恶意目的是常见的技术，这使得检测和归因 APT 活动变得更加困难，所有的恶意功能仍然依赖于安装程序、命令和 PowerShell 脚本。” 与此同时，Positive Technologies 披露，一个名为 DarkGaboon 的出于经济动机的网络犯罪组织，一直在使用 LockBit 3.0 勒索软件针对俄罗斯实体。据悉 DarkGaboon 自 2023 年 5 月起活跃，于 2025 年 1 月首次被发现。 该公司表示，攻击使用带有包含 RTF 诱饵文档和 Windows 屏保文件的压缩包的钓鱼邮件，来投放 LockBit 加密器以及 XWorm 和 Revenge RAT 等木马。使用现成工具被视为攻击者试图融入更广泛的网络犯罪活动并挑战归因努力的一部分。 “DarkGaboon 并非 LockBit RaaS（勒索软件即服务）的客户，而是独立行动，这体现在使用了公开可用的 LockBit 勒索软件版本、在被攻击公司中未发现数据外泄痕迹，以及传统的在[数据泄露站点]门户上公布被盗信息的威胁上，”Positive Technologies 研究员 Victor Kazakov 说道。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Palo Alto Networks旗下Unit 42团队警告称，新型Windows恶意软件Blitz正通过含后门的游戏作弊工具包传播，对游戏作弊者发起攻击。该恶意软件诱使安卓游戏玩家在电脑模拟器上使用不公平优势手段。 Blitz恶意软件最早于2024年被发现，至今仍在持续更新版本进行攻击活动。需注意该恶意软件与正规游戏辅助工具Blitz.gg（提供实时数据统计的覆盖应用）无关。 Blitz恶意软件伪装成游戏作弊工具传播，其攻击分为两个阶段：下载器先获取僵尸程序载荷，使黑客获得计算机的全面远程控制权。网络犯罪分子还滥用合法代码托管平台散布虚假作弊工具，曾将恶意软件托管在人工智能代码库Hugging Face Spaces上，并在Telegram等社交平台活跃传播。 Unit 42研究人员在报告中指出：“Blitz幕后操纵者疑似俄语使用者，社交媒体使用代号sw1zzx，此人很可能就是开发者。其通过Telegram渠道散布含后门的游戏作弊工具作为初始感染载体。” 至少存在两波Blitz攻击活动：早期通过仿冒正规软件破解安装包传播，后期转为游戏作弊工具包传播。主要针对热门手游《Standoff 2》玩家（该游戏下载量超1亿次）。 当用户下载含虚假作弊工具的压缩包，解压并运行.exe文件后，Blitz下载器将在后台激活。该工具包内含实际作弊程序（可能是黑客破解所得），针对《Standoff 2》的作弊工具需在安卓模拟器BlueStacks上运行。下载器通过加密和反沙盒检测规避查杀，通过验证后即连接远程服务器获取Blitz僵尸程序。 该僵尸程序可实现全面感染： 键盘记录：窃取密码等敏感数据 屏幕监控：截取用户活动画面 加密货币挖矿：利用CPU秘密挖掘门罗币 DDoS攻击：将设备变为僵尸网络节点 远程命令执行：运行任意指令或下载更多恶意软件 研究人员从某命令控制服务器提取的289个已注册僵尸主机显示，俄罗斯用户占比最高（166例），其次为乌克兰（45例）、白俄罗斯（23例）和哈萨克斯坦（12例）。当Unit 42发布威胁情报后，恶意软件运营者在Telegram发布告别声明并提供了木马清除工具。 Unit 42强调：“强烈建议用户避免下载破解软件及游戏作弊工具，此类行为不仅违反法律伦理，更会使系统面临包括Blitz在内的重大安全风险。”       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现大量存在漏洞的光伏逆变器暴露在互联网上。近35,000台太阳能发电设备的管理界面可直接访问，攻击者可利用一系列已知漏洞实施攻击。对设备所有者而言，在线查看光伏板发电数据虽然便利，却带来巨大风险——黑客同样能访问这些设备。 网络安全公司Forescout旗下Vedere Labs实验室披露，35,000台暴露设备涵盖42个品牌的逆变器、数据记录仪、网关等设备。攻击者通过Shodan搜索引擎可轻易发现这些设备。研究人员不仅新发现46个漏洞，还确认93个已知漏洞的存在，暴露设备可能面临更多未知风险。 研究人员警告，攻击者可能利用漏洞造成大范围停电，类似今年早些时候西班牙电网瘫痪事件。“随着这些系统逐渐成为全球电网的关键组件，其对电网稳定性的威胁与日俱增”，报告指出。暴露设备最多的品牌包括：德国SMA（12,434台）、奥地利Fronius（4,409台）、德国Solare Datensysteme（3,832台）、日本Contec（2,738台）和中国阳光电源（2,132台）。值得注意的是，这与市场份额排名并不一致，华为、锦浪科技等头部厂商未出现在暴露名单中。 暴露设备中SMA Sunny Webbox占比最高，该设备自2014年12月起就存在硬编码漏洞。地域分布显示：76%位于欧洲（德国与希腊各占全球总量的20%），17%在亚洲，5%在美洲。研究人员解释：“设备暴露通常源于用户配置端口映射，这种行为已被厂商明确反对”。监测还发现，威胁组织频繁攻击暴露设备，至少43个IP地址近期针对SolarView Compact设备发起攻击，这些设备运行着27种不同固件版本，且无一更新至最新版本。 Forescout警告：“数千台暴露设备往往未打补丁，极易被攻击者劫持”。建议用户及时更新固件并关闭管理界面的互联网直连权限。路透社此前报道称，部分中国制造的太阳能设备存在“不明通信模块”，进一步增加了安全风险。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国地方报业巨头Lee Enterprises披露，2月遭遇的网络攻击导致近4万人的社保号码泄露。该公司于5月28日确认敏感信息外泄后，于本周三向缅因州监管机构提交通报。 2月3日发现的网络攻击使Lee Enterprises耗费数周时间恢复。后续调查证实，黑客窃取了39,779人的敏感信息。该公司在致受害者信函中表示已向美国联邦调查局（FBI）报案，承诺“配合调查并采取必要措施追究攻击者责任”，同时为受影响人群提供一年期免费信用监测服务。 发动攻击的麒麟（Qilin）勒索软件团伙宣称窃取该公司350GB数据。该俄罗斯黑客组织以攻击英国医疗系统等恶性事件闻名，本次攻击导致Lee旗下《圣路易斯邮报》《亚利桑那每日星报》《布法罗新闻》等多家报纸印刷及数字业务瘫痪。 总部位于爱荷华州的Lee Enterprises拥有约350种周报及专业刊物，覆盖25个州的72个市场。其向美国证交会提交的文件证实，黑客不仅窃取文件，还加密了影响产品分发、账单处理及供应商付款的“关键应用程序”。“事件对公司财务状况可能产生实质性影响”，公司2月向监管机构表示，“取证分析仍在评估潜在损失”。 上月财报电话会议上，CEO凯文·莫布雷透露事件恢复成本达200万美元，并指出报纸长期停刊导致广告收入受损。为此公司债权人已豁免其3月及4月的利息与租金支付。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 户外品牌The North Face的母公司VF户外公司披露，其零售网站4月遭受数据泄露影响近3000名客户。VF户外公司（旗下还拥有JanSport和Timberland品牌）在向美国佛蒙特州及缅因州提交的数据泄露通知函中称，公司于4月23日首次发现异常活动，确认2861个账户遭非法访问。 调查显示，攻击者对The North Face官网发起凭据填充攻击——利用从其他渠道窃取的账号密码组合侵入用户账户。“攻击者极可能通过非本公司渠道获取您的邮箱与密码，再利用相同凭据入侵官网账户。”VF户外公司在声明中解释。公司强调本次事件未涉及法定必须通报的敏感信息，当前通知纯属“出于充分谨慎的考量”。 遭窃数据涵盖用户在官网的购买记录、收货地址、全名、出生日期及电话号码。支付信息未受波及，因信用卡数据由第三方支付平台托管，官网仅保留无法在非官网场景发起交易的令牌。VF户外公司已强制重置所有账户密码，并提醒客户：若在多平台使用相同密码应立即修改。本次事件不提供身份保护服务。 此次事件是VF户外公司近年第二起同类事故——2022年该公司曾向缅因州报告另一起凭据填充攻击，致近20万客户信息泄露。值得关注的是，该公司还是美国证监会新规生效首日首家申报“重大勒索软件攻击”的企业：2023年12月的攻击曾严重扰乱其订单处理系统。 The North Face遇袭之际，英美多领域零售商正持续遭受黑客组织Scattered Spider长达数月的攻击。上周女性时尚品牌Victoria’s Secret因安全事件被迫推迟财报发布；本周二卡地亚向客户发出系统遭入侵警告；阿迪达斯、迪奥与蒂芙尼近两周亦接连公告客户及员工数据泄露。美国联邦调查局已就此向主要零售商发布网络安全情报简报——此前该组织攻击目标已从英国零售商玛莎百货、Co-op转向美国企业。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IT管理软件巨头ConnectWise披露遭遇疑似国家级黑客攻击，其ScreenConnect远程工具部分云客户环境遭入侵。公司公告称：“近期发现可疑活动，经研判系复杂国家级攻击者所为，受影响ScreenConnect客户数量极少。”目前ConnectWise已联合曼迪昂特开展取证调查，并协调执法部门处理。 这家佛罗里达企业为托管服务商（MSP）提供IT管理、远程监控及网络安全解决方案，ScreenConnect作为核心产品可实现技术人员对客户系统的安全远程维护。据CRN报道，ConnectWise已实施网络强化措施并部署增强监控系统，宣称客户环境未发现后续异常活动。 尽管ConnectWise拒绝透露具体受影响客户数、入侵时间及是否观察到恶意活动，但消息人士向BleepingComputer透露：攻击实际发生于2024年8月，公司直至2025年5月才察觉，且仅波及云托管版ScreenConnect实例。MSP服务商CNWR总裁杰森·斯拉格尔证实受害者数量极少，暗示攻击者实施的是精准定向攻击。 Reddit论坛用户披露关键细节：事件与CVE-2025-3935漏洞相关。该高危漏洞影响ScreenConnect 25.2.3及更早版本，因ASP.NET ViewState反序列化缺陷导致代码注入。拥有系统特权的攻击者可窃取服务器密钥构造恶意载荷，最终实现远程代码执行。ConnectWise虽未确认漏洞遭利用，但承认已于4月24日修复该“高危”漏洞，并在公开披露前完成云平台（screenconnect.com/hostedrmm.com）补丁更新。 鉴于仅云托管实例受影响，安全专家推测攻击者可能先入侵ConnectWise系统窃取密钥，进而通过RCE控制ScreenConnect服务器渗透客户环境。多位客户向BleepingComputer投诉ConnectWise拒绝提供入侵指标（IOC）及事件细节，致使客户无法有效排查风险。值得警惕的是，ScreenConnect去年曝光的CVE-2024-1709漏洞曾被勒索团伙及朝鲜APT组织用于恶意软件攻击。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化金融平台Cork Protocol周三凌晨遭黑客攻击，价值超1200万美元的加密货币被盗。联合创始人菲尔·福格尔宣布平台已暂停所有交易活动。 公司声明证实：“UTC时间11:23 wstETH:weETH交易市场遭受安全攻击。作为预防措施，其他所有交易市场均已暂停，目前仅该市场受影响。”尽管未回应具体攻击细节，但多家区块链安全公司追踪数据显示，黑客盗取4530枚以太坊（时值约1210万美元）。 这家特拉华州注册的平台专注于DeFi领域“脱锚风险”对冲交易（指锚定资产的加密货币因市场波动或流动性危机偏离设定价值，如2023年硅谷银行倒闭引发的稳定币危机）。其产品定位为“填补DeFi领域信用违约互换等传统金融工具的空白”，去年曾获安德森·霍洛维茨基金投资并参与其加密创业加速计划。 此次攻击距去中心化交易所Cetus遭窃2.23亿美元仅隔五日。更早前Bybit平台今年初损失超14亿美元。安全机构PeckShield统计显示，2024年加密货币平台累计损失逾30亿美元，较2023年增长15%。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰网络安全公司EclecticIQ披露，针对移动设备管理软件Ivanti Endpoint Manager Mobile（EPMM）漏洞的大规模恶意攻击活动已波及英国两家医疗机构。 此次攻击利用编号为CVE-2025-4427和CVE-2025-4428的两个漏洞进行组合利用，攻击者首先通过身份验证绕过漏洞（CVSS评分5.3）突破防线，随后利用远程代码执行漏洞（CVSS评分7.2）接管系统。 全球范围内包括英国、美国、德国、韩国等国家的多个组织遭受冲击，英国国家医疗服务体系（NHS）下属的伦敦大学学院医院NHS信托基金会和南安普顿大学医院NHS信托基金会成为重点目标。 根据Sky News获取的证据，攻击者已成功侵入这两家医疗机构的IT系统。EclecticIQ首席执行官Cody Barrow指出，此类攻击可能导致患者敏感数据外泄，包括员工电话号码、设备IMEI码及身份认证令牌等技术信息。不过NHS England向Infosecurity杂志表示，当前尚未发现患者数据遭窃取的直接证据，医疗业务仍正常运转。NHS网络运营中心正与英国国家网络安全中心（NCSC）密切协作，通过24小时监控体系和高危预警机制优先处置关键漏洞。 此次被利用的漏洞最早于5月13日由欧盟计算机应急响应小组（CERT-EU）向Ivanti报告，厂商在当天发布安全公告并推出修复补丁。网络安全公司WatchTowr于5月15日公开技术分析报告及漏洞利用验证代码后，推测可能涉及国家级支持的黑客活动。 针对医疗行业频发的供应链安全风险，Bridewell公司网络安全副总监Emran Ali强调，医疗机构作为患者数据的核心保管者，必须构建覆盖供应商管理、技术控制、事件响应的立体防御体系。Netskope威胁实验室最新报告显示，81%的医疗数据违规事件涉及受GDPR等法规保护的敏感信息，突显第三方软件漏洞带来的连锁风险。近期NHS要求技术供应商签署公开安全承诺书的举措，标志着医疗行业正推动建立更严格的技术供应链问责机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州希博伊根市向约6.7万人发出警告，称2024年10月的勒索软件攻击导致黑客获取其个人信息。市政府于周五向监管机构提交数据泄露通知信，证实黑客在2024年10月31日入侵市政系统时窃取了社保号码、州身份证及车牌号信息。 希博伊根市政府委托网络安全公司展开调查，最终于5月14日确认数据确遭窃取。这座人口约5万的城市此前承认勒索软件团伙Chort宣称对此次攻击负责，但称无证据表明敏感数据遭窃。2024年11月，Chort团伙公开文件档案截图并索要赎金。 市政府已向执法部门报告事件，并在应对过程中“参考其指导意见”。官员表示应急服务仍正常运行，但自11月22日后未再发布进一步更新。市政府在通知信中承诺为受影响居民提供为期一年的身份保护服务。 希博伊根是威斯康星州近两年遭勒索攻击的多个政府实体之一。Chort勒索团伙于2024年11月崭露头角，宣称攻击科威特公共农业与渔业资源局、乔治亚州某公立学校等多家机构。纽约哈特威克学院也出现在该团伙的泄密网站上，校方上月向超4800名受害者发送通知信，证实去年10月遭袭。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文