HackerNews 编译，转载请注明出处： 德克萨斯州阿尔文独立学区（AISD）发生数据泄露事件，导致47,606人的敏感个人信息遭窃。该学区确认漏洞发生于2024年6月，并于本周末启动对受影响人员的通知程序。 泄露数据包括姓名、社会安全号码、州政府签发的身份证件、信用卡/借记卡详细信息、金融账户号码、医疗数据及健康保险信息。德克萨斯州总检察长办公室于2025年5月2日通报了此事件。 勒索软件团伙Fog于2024年7月宣称对此次攻击负责，声称从AISD窃取了60GB数据，并将学区名称公布于其数据泄露网站——这是施压受害者支付赎金的常见手段。AISD尚未证实该团伙的说法，也未披露是否支付赎金。 截至本文撰写时，阿尔文独立学区未回应Infosecurity的置评请求。 Fog自2024年7月开始公布攻击活动，AISD与其首批受害者西阿利斯-西密尔沃基学区和阿斯伯里神学院并列。此后，Fog宣称实施了20起已确认的勒索软件攻击（其中12起针对教育机构）及157起未确认事件，其活动迹象于2025年4月停止。 该团伙以加密文件与窃取数据著称，常瞄准开发环境。尽管Fog多数受害者属教育领域，但其攻击范围不限于学校。 AISD事件是教育行业系统性遭受攻击的缩影。2024年，研究机构Comparitech记录到79起针对美国教育机构的勒索软件攻击，波及超280万条记录，平均赎金要求达82.7万美元。 近期其他校园勒索事件包括： 2025年4月，Medusa向福尔里弗公立学区索要40万美元 同月Qilin攻击西新墨西哥大学 Medusa入侵阿尔比恩学院致6,930人受影响 2024年10月RansomHub攻破南阿肯色大学理工学院 针对哈仙达拉普恩特联合学区的未认领攻击 2025年迄今，美国教育领域已发生15起确认及36起未确认的勒索软件攻击事件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国福利与薪资解决方案提供商Kelly Benefits（正式名称为Kelly & Associates Insurance Group）近日披露，其此前公布的数据泄露事件影响范围远超最初估计。 这家总部位于美国的公司为企业提供福利管理、薪资处理及劳动力管理解决方案。 2024年12月12日至17日期间，黑客入侵Kelly Benefits系统并窃取敏感个人数据。该公司最初于2025年4月通报称，事件影响近26.4万人，涉及CareFirst、Guardian、Beam Benefits等客户，泄露数据包括姓名、社保号（SSN）、医疗及财务信息。目前受影响人数已升至413,032人，调查仍在进行中。 根据向缅因州总检察长办公室提交的更新文件，Kelly Benefits于2025年5月2日代表其自身及附录A所列实体，向该州额外135名居民寄送通知信。新增受影响者的潜在泄露信息包括姓名、社保号及财务账户信息。至此，缅因州共有7,164名居民收到事件通知。 Kelly Benefits未透露攻击技术细节，目前尚无勒索软件组织宣称对此次入侵负责。该公司正代表CareFirst、Guardian、Beam Benefits等多个客户向受影响个体发送通知。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家指出，《纽约邮报》（New York Post）经过认证的X平台（原Twitter）账户疑似遭劫持，并被用于针对加密货币爱好者。2025年5月3日，Kerberus创始人兼CEO Alex Katz在X平台分享诈骗活动截图，显示@nypost认证账户被用于发送欺诈私信。 诈骗者冒充《纽约邮报》调查记者，以邀请嘉宾参与播客录制为名发送私信：“我们正在为新一期播客招募嘉宾，诚邀您参与录制。” 收到私信的用户若回复，会立即被对方在X平台拉黑，并被要求通过Telegram联系——此举疑似为避免触发《纽约邮报》团队警报，同时将受害者诱骗至Telegram实施加密货币诈骗。 网络安全公司Drew Security创始人、NFT收藏家Drew进一步分析称，此新型骗局利用用户对过往对话的信任，通过私信而非公开推送欺诈广告或恶意链接实施攻击。部分专家推测，攻击者可能试图利用Zoom等流行平台的安全漏洞安装恶意软件。 目前尚不清楚黑客如何获得账户权限及具体联系人数。《纽约邮报》尚未发布官方声明，Cybernews已联系该媒体寻求置评并将更新回应内容。 安全专家建议用户谨慎处理私信，尤其是要求切换至其他平台的请求——即使信息来自可信账户（因任何账户均可能被入侵）。截至发稿，@nypost账户仍可正常访问，但相关欺诈私信已被删除。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国外交部今日指控与俄罗斯军事情报局（GRU）相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。 周二发布的声明称：“法国以最强烈措辞谴责俄罗斯军事情报局（GRU）使用APT28攻击程序实施多起针对法国利益的网络攻击。这些破坏性活动不可接受，有损联合国安理会常任理事国身份，也违背俄罗斯曾承诺遵守的《联合国网络空间负责任国家行为规范》。” 法国国家信息系统安全局（ANSSI）同日发布的报告显示，遭APT28军方黑客攻击的法国机构包括： 部委级政府机构、地方政府及行政单位 国防工业基础相关组织 航空航天机构 研究机构及智库 经济与金融领域机构 ANSSI特别指出，自2021年以来APT28多次利用Roundcube邮件服务器漏洞实施攻击，并频繁使用免费网络服务发起钓鱼攻击。攻击者还大量采用“低成本现成外包基础设施”——包括免费托管服务、VPN服务、租用服务器及临时邮箱创建服务——以增强隐蔽性。 2024年至今，该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。这并非法国首次指控APT28：2023年10月报告显示，该组织自2021年下半年已渗透法国政府、高校、研究所、企业及智库的关键网络。 作为活跃逾20年的俄罗斯国家级黑客组织（亦被追踪为Strontium、Fancy Bear），APT28隶属GRU第26165军事部队，曾参与多起重大网络攻击： 2015年入侵德国联邦议会 2016年美国大选前渗透民主党国会竞选委员会（DCCC）及民主党全国委员会（DNC） 2018年美国起诉多名APT28成员，2020年欧盟因议会黑客事件对其实施制裁 2023年波兰政府机构遭大规模钓鱼攻击 2024年北约与欧盟共同谴责其针对德国、捷克等国的长期间谍活动 北约指出，近期俄罗斯的“混合行动”包括破坏、暴力行为、网络干扰、虚假信息等，已影响捷克、爱沙尼亚、德国、拉脱维亚、立陶宛、波兰及英国。法国外交部强调：“法国将与伙伴国共同运用一切手段，在必要时预见、威慑并应对俄罗斯在网络空间的恶意行为。”         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售巨头玛莎百货（Marks & Spencer）持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉，此次攻击被认为是由名为Scattered Spider的黑客组织实施的。 玛莎百货（M&S）是一家英国跨国零售商，拥有64,000名员工，在全球超过1,400家门店销售服装、食品和家居用品等各类商品。 上周二，M&S确认其遭受网络攻击，导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日，Sky News报道称中断仍在持续，约200名仓库员工被要求居家待命，公司正在应对此次攻击。 BleepingComputer现已获悉，持续中断是由加密公司服务器的勒索软件攻击导致。据悉，威胁行为者最早在2月首次入侵M&S，当时他们窃取了Windows域的NTDS.dit文件。 NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库，包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。 利用这些凭证，威胁行为者可在Windows域内横向移动，同时从网络设备和服务器窃取数据。 消息人士告诉BleepingComputer，攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。 BleepingComputer了解到，玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。 目前的调查表明，此次攻击的幕后黑手是被称为Scattered Spider的组织（微软称其为Octo Tempest）。当被问及此事时，M&S表示无法透露网络事件的具体细节。 Scattered Spider是谁？ Scattered Spider（又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra）是一群擅长使用社会工程攻击、钓鱼、多因素认证（MFA）轰炸（定向MFA疲劳攻击）和SIM卡劫持技术入侵大型组织的威胁行为者。 该组织成员包括以英语为母语的年轻人（最小16岁），他们活跃于相同的黑客论坛、Telegram频道和Discord服务器，并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区，涉及引发广泛媒体关注的暴力行为和网络事件。 尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙，但他们实际上是由不同个体组成的网络，每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵，后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。 2023年9月，该组织通过假冒员工致电米高梅度假村（MGM Resorts）IT服务台的社会工程攻击入侵系统，并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻，标志着英语系威胁行为者首次与俄语系勒索团伙合作。 此后，Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织，近期开始推广一项允许网络犯罪团队白标其服务的新业务。 研究人员通常通过特定入侵指标将攻击归因于Scattered Spider，包括针对单点登录（SSO）平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。 过去两年，执法机构正加大对该组织的打击力度，在美国、英国和西班牙逮捕了多名据称是成员的人员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员观察到，攻击者利用Craft CMS中两个新披露的关键漏洞（零日漏洞）入侵服务器并获取未授权访问。 Orange Cyberdefense SensePost于2025年2月14日首次观测到此类攻击，其通过链式利用以下漏洞实现入侵： CVE-2024-58136（CVSS评分：9.0）：Craft CMS使用的Yii PHP框架中“备用路径保护不当”漏洞，可被利用访问受限功能或资源（此为CVE-2024-4990的回归漏洞） CVE-2025-32432（CVSS评分：10.0）：Craft CMS内置图像转换功能中的远程代码执行（RCE）漏洞（已在3.9.15、4.14.15和5.6.17版本修复） 网络安全公司指出，CVE-2025-32432存在于允许站点管理员将图像转换为特定格式的内置功能中。 安全研究员Nicolas Bourras表示：“CVE-2025-32432的利用依赖于未认证用户可向负责图像转换的端点发送POST请求，且服务器会解析POST数据。在Craft CMS 3.x版本中，资产ID会在创建转换对象前被检查，而4.x和5.x版本则在创建后检查。因此，攻击者需找到有效资产ID才能在所有版本中成功利用此漏洞。” 在Craft CMS中，资产ID（Asset ID）指管理文档文件和媒体的唯一标识符。攻击者通过批量发送POST请求直至发现有效资产ID，随后执行Python脚本验证服务器漏洞状态，并从GitHub仓库下载PHP文件至服务器。 研究人员称：“2月10日至11日期间，攻击者通过Python脚本多次测试下载filemanager.php文件至Web服务器以改进攻击脚本。2月12日，该文件被重命名为autoload_classmap.php，并于2月14日首次投入使用。” 截至2025年4月18日，全球已发现约13,000个存在漏洞的Craft CMS实例，其中近300个确认遭入侵。 Craft CMS在公告中强调：“若在防火墙或Web服务器日志中发现向actions/assets/generate-transform端点发送的异常POST请求（请求体中包含__class字符串），则表明您的站点已被扫描探测。但此现象仅说明漏洞被探测，不意味着已遭入侵。” 若确认遭入侵，建议用户刷新安全密钥、轮换数据库凭证、重置用户密码（作为额外防护），并在防火墙层面拦截恶意请求。 此漏洞披露之际，Active! Mail零日栈溢出漏洞（CVE-2025-42599，CVSS评分：9.8）正被活跃用于攻击日本企业以实现远程代码执行。该漏洞已在6.60.06008562版本修复。 Qualitia在公告中警告：“若远程第三方发送特制请求，可能导致任意代码执行或拒绝服务（DoS）。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）近日披露，自2024年6月起，一个名为Earth Kurma的高级持续性威胁（APT）组织对东南亚多国政府及电信行业发起复杂攻击。该组织使用定制化恶意软件、内核级Rootkit及云存储服务实施间谍活动，已造成高业务风险。主要受害国家包括菲律宾、越南、泰国和马来西亚。 安全研究人员Nick Dai和Sunny Lu在上周发布的分析中表示：“由于针对性间谍活动、凭证窃取、通过内核级Rootkit建立的持久驻留，以及通过可信云平台进行数据外泄，此次攻击活动构成较高的业务风险。” 该威胁组织的活动可追溯至2020年11月。其入侵主要依赖Dropbox和Microsoft OneDrive等服务，使用TESDAT和SIMPOBOXSPY等工具窃取敏感数据。 其武器库中还包括KRNRAT和Moriya等Rootkit。后者此前曾被观察到用于针对亚洲和非洲知名组织的攻击，属于代号TunnelSnake的间谍行动。 趋势科技称，攻击中使用的SIMPOBOXSPY和数据外泄脚本与另一个代号ToddyCat的APT组织存在相似性，但尚未明确归属关系。 目前尚不清楚攻击者如何初始侵入目标环境。其利用初始驻留点扫描网络并通过NBTSCAN、Ladon、FRPC、WMIHACKER和ICMPinger等工具横向移动，同时部署名为KMLOG的键盘记录器窃取凭证。 攻击者通过三种加载器（DUNLOADER、TESDAT和DMLOADER）实现主机持久化。这些加载器能将后续载荷加载到内存并执行，包括Cobalt Strike Beacons、KRNRAT和Moriya等Rootkit，以及数据窃取恶意软件。 此类攻击的独特之处在于使用“利用现成工具技术（LotL）”部署Rootkit。黑客利用合法系统工具（例如syssetup.dll）而非易检测的恶意软件实现攻击。 Moriya被设计用于检查传入的TCP数据包是否包含恶意载荷，并将Shellcode注入新创建的svchost.exe进程。KRNRAT则整合了五个开源项目功能，可操控进程、隐藏文件、执行Shellcode、隐藏流量，并与命令控制（C2）服务器通信。 与Moriya类似，KRNRAT会加载用户模式代理（Rootkit）并将其注入svchost.exe。该代理作为后门从C2服务器获取后续攻击载荷。 研究人员指出：“在数据外泄前，加载器TESDAT通过执行多个命令收集特定扩展名的文档（如.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx），将其放入新建的‘tmp’文件夹，并使用指定密码通过WinRAR压缩。” 专用工具SIMPOBOXSPY可将压缩文件通过访问令牌上传至Dropbox。卡巴斯基2023年10月报告称，此类通用Dropbox上传器“可能并非ToddyCat专用”。 另一工具ODRIZ通过指定OneDrive刷新令牌作为输入参数，将数据上传至OneDrive。 趋势科技强调：“Earth Kurma仍高度活跃，持续针对东南亚国家。其具备适应受害者环境的能力，并能保持隐蔽存在。他们可复用历史攻击活动的代码库定制工具，甚至利用受害者基础设施达成目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件领域正在进行重组，一个名为DragonForce的黑客组织正试图通过卡特尔式架构整合其他勒索团伙。DragonForce目前采用分布式附属品牌模式激励勒索软件参与者，为其他勒索软件即服务（RaaS）运营商提供无需承担基础设施维护成本的业务开展方式。 该组织代表向BleepingComputer表示，他们纯粹以经济利益为驱动，但也遵循“道德准则”，反对攻击某些医疗机构。 传统RaaS运营商拥有自己的附属团队或合作伙伴，勒索软件开发商会提供文件加密恶意软件和基础设施。附属方负责构建加密软件变种、入侵受害者网络并部署勒索软件，同时管理解密密钥并与受害者谈判赎金。开发商维护所谓的“数据泄露网站（DLS）”用于公布拒付赎金受害者的失窃信息。作为使用恶意软件和基础设施的交换，开发商通常从赎金中抽取最高30%的费用。 DragonForce自称“勒索软件卡特尔”，收取已支付赎金的20%。在其模式下，附属方可访问基础设施（谈判工具、失窃数据存储、恶意软件管理后台），并以自有品牌使用DragonForce加密器。该组织于3月宣布“新方向”，称附属方可“在已验证合作伙伴支持下创建自有品牌”。 DragonForce旨在管理“无限品牌”，这些品牌可针对ESXi、NAS、BSD和Windows系统。 DragonForce向BleepingComputer解释其架构类似于市场平台，附属方可选择以DragonForce品牌或其他品牌部署攻击。本质上，威胁行为者团体可使用该服务并以白标形式使用自有品牌。作为回报，他们无需运营数据泄露网站、开发恶意软件或处理谈判事务。 不过附属方必须遵守规则，首次违规即遭除名。“我们是遵守规则的诚信合作伙伴。”DragonForce代表表示。“他们必须遵守规则，我们能实施控制，因为所有操作都在我们的服务器上运行，否则这种模式就没有意义。”这些规则仅适用于接受新商业模式的威胁行为者。 当被问及是否禁止攻击医院或医疗机构时，DragonForce表示这取决于医院类型，并表现出某种程度的同理心。“我们不攻击癌症患者或心脏相关机构，我们更愿意给他们捐款。我们是为了生意和金钱，我和合作伙伴都不是来杀人的。”该组织告诉BleepingComputer。 网络安全公司Secureworks研究人员认为，DragonForce的模式可能吸引更多附属方，包括技术能力较弱的威胁行为者。“即使技术老练的威胁行为者也可能青睐这种无需自建基础设施就能部署恶意软件的灵活性。”通过扩大附属基数，DragonForce有望凭借其模式的灵活性获取更大利润。 目前尚不清楚有多少勒索软件附属方已接触该卡特尔组织，但DragonForce称成员名单包含知名团伙。“我不能透露具体数字，但来找我们合作的包括你们经常报道的那些组织。”一个名为RansomBay的新兴勒索团伙已加入该模式。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，追踪编号为Storm-1977的威胁行为者在过去一年中对教育行业的云租户实施了密码喷洒攻击。微软威胁情报团队在分析中表示：“此次攻击使用了AzureChecker.exe——一个被多种威胁行为者广泛使用的命令行接口（CLI）工具。” 这家科技巨头指出，他们观察到该二进制文件会连接到名为“sac-auth.nodefunction[.]vip”的外部服务器，以获取包含密码喷洒目标列表的AES加密数据。该工具还接受名为“accounts.txt”的文本文件作为输入，该文件包含用于执行密码喷洒攻击的用户名和密码组合。 微软表示：“威胁行为者随后使用来自这两个文件的信息，将凭证提交到目标租户进行验证。” 在雷德蒙德（微软总部所在地）观察到的一起成功账户入侵案例中，该威胁行为者利用来宾账户在被入侵的订阅中创建了一个资源组。攻击者随后在该资源组内创建了200多个容器，最终目的是进行非法加密货币挖矿。 微软称，诸如Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击，包括利用以下途径： 被入侵的云凭证来接管集群 存在漏洞和错误配置的容器镜像执行恶意操作 错误配置的管理接口访问Kubernetes API并部署恶意容器或劫持整个集群 运行存在漏洞代码或软件的节点 为缓解此类恶意活动，建议组织采取以下措施：确保容器部署和运行时的安全性，监控异常的Kubernetes API请求，配置策略阻止从未受信任的注册表部署容器，并确保容器中部署的镜像不存在漏洞。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文