HackerNews 编译，转载请注明出处： Cybernews研究人员发现腾讯云两个站点存在严重配置错误，导致敏感凭证和内部源代码暴露。这些关键漏洞可能使攻击者获得腾讯云内部服务及后端基础设施的完全访问权限。 核心要点： 腾讯云两个站点存在严重配置错误，暴露了敏感凭证与内部源代码。 含有硬编码管理员控制台凭证的环境文件及.git目录已公开数月，危及数百万腾讯云用户。 腾讯承认这是“已知问题”并已关闭访问权限。 2025年7月23日，Cybernews研究团队发现腾讯云官方域名的两个子域名意外暴露了配置文件。 暴露文件包含硬编码的明文密码、敏感的.git内部目录及其他可能被外部攻击者滥用的信息。 其中一个受影响服务涉及腾讯内部负载均衡器，另一子域名则是腾讯云推广的开源开发平台JEECG的部署实例。 硬编码凭证似乎可直接访问腾讯云管理控制台。 “若被恶意攻击者发现，这些凭证可能使其获得腾讯云后端基础设施或内部服务的完全控制权。”Cybernews研究人员表示。 此外，暴露的.git文件夹（用于存储项目历史记录和文件变更追踪）允许下载并重构腾讯云基础设施内部部署的源代码。控制台的根凭证也在此被发现。 暴露的密码强度薄弱且易受字典攻击，其组合方式仅包含公司名称、年份及简单符号。 历史数据调查显示，这些敏感文件至少从2025年4月起已暴露数月。 Cybernews已向腾讯云负责任地披露该发现。腾讯承认这是此前报告过的“已知问题”。漏洞现已修复，但截至发稿腾讯未回应置评请求。 黑客的敞开后门 若黑客获取这些公开配置文件，潜在后果可能极其严重，或引发针对腾讯全球用户的破坏性网络攻击。 “这为攻击者开辟了多种利用途径，”研究人员指出，“长期暴露引发严重担忧：多少爬虫机器人已获取数据？是否已被用于恶意目的？” 攻击者利用错误配置可能实现以下行为： 获取生产系统完全管理权限 篡改内部API服务 在可信前端代码中植入恶意负载 进一步渗透腾讯内部云基础设施 滥用可信腾讯域名进行钓鱼攻击 “当涉及云控制台、源代码和根权限时，没有所谓的小漏洞。腾讯云作为知名技术平台，仍难避免基础运维疏忽。”研究人员解释称。 尽管未尝试访问密码保护服务或克隆内部仓库，但可见暴露数据表明其涉及预发布和生产环境，意味着双重环境均受影响。 “当今开发者被鼓励盲目信任云服务。此次事件证明微小错误可升级为高风险故障，在供应链中引发连锁漏洞，”研究人员强调，“腾讯等巨头承载着用户对品牌的信任，攻击者对此心知肚明。” 腾讯云作为全球主要云服务商，隶属中国科技巨头腾讯控股，服务超1000万用户。其基础设施支撑着游戏、金融、通信及企业应用领域服务，每日触达全球数百万用户。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Group-IB披露名为ShadowSilk的新型威胁组织在中亚及亚太地区（APAC）针对政府机构发起攻击。该组织已渗透超过30个目标，主要动机为数据窃取，其工具集和基础设施与已知黑客团体YoroTrooper、SturgeonPhisher及Silent Lynx存在重叠。 受害者分布于乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦，以政府机构为主，能源、制造、零售和运输业实体亦受波及。研究人员尼基塔·罗斯托夫采夫（Nikita Rostovcev）和谢尔盖·特纳（Sergei Turner）指出：“该组织由双语团队运作——俄语开发者负责维护YoroTrooper遗留代码，中文操作者主导入侵行动，形成灵活的多区域威胁模式。但两组人员的具体合作深度及性质仍不明确。” 攻击手法演进 ShadowSilk延续了YoroTrooper的技术脉络（该组织最早由思科Talos于2023年3月披露，以欧洲政府、能源及国际组织为目标）。其初始攻击载体为鱼叉式钓鱼邮件，投递受密码保护的压缩文件，释放自定义加载器。该加载器将命令控制（C2）流量隐藏在Telegram机器人通信中以规避检测，并投递后续恶意载荷。攻击者通过修改Windows注册表实现持久化驻留。 多元化攻击工具 除利用Drupal（CVE-2018-7600、CVE-2018-7602）和WP-Automatic插件漏洞（CVE-2024-27956）外，ShadowSilk还整合了侦察与渗透工具： 网络扫描工具：FOFA、Fscan、Gobuster、Dirsearch 漏洞利用框架：Metasploit、Cobalt Strike 地下市场资源：从暗网获取JRAT和Morf Project控制面板管理受控设备 数据窃取工具：定制化工具窃取Chrome密码存储文件及解密密钥 内网渗透与数据窃取 入侵得逞后，攻击者部署WebShell（如ANTSWORD、Behinder、Godzilla、FinalShell）和基于Sharp语言的利用工具，结合隧道工具Resocks和Chisel横向移动、提权并窃取数据。其专属Python远程木马（RAT）通过Telegram机器人接收指令并回传数据，将恶意流量伪装成合法通讯。Cobalt Strike和Metasploit模块用于截取屏幕及摄像头画面，定制PowerShell脚本则扫描特定扩展名文件并压缩回传至外部服务器。 语言证据与活动特征 Group-IB分析表明，YoroTrooper核心成员精通俄语，专注恶意软件开发与初始入侵。但攻击者工作站截图显示：键盘布局为中文、吉尔吉斯斯坦政府网站被自动翻译为中文、漏洞扫描器界面为中文，表明中文操作者深度参与行动。该组织近期仍高度活跃，7月仍有新受害者出现，持续聚焦中亚及亚太政府领域，需严密监控其基础设施以防长期潜伏与数据泄露。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日产汽车向BleepingComputer证实，其子公司Creative Box Inc.（CBI）的服务器遭到未授权访问，导致数据泄露。 此次回应是针对Qilin勒索软件团伙声称从CBI窃取4TB数据的声明。该团伙宣称窃取的数据包括3D车辆设计模型、内部报告、财务文件、VR设计工作流程及照片。 “2025年8月16日，日产设计承包商Creative Box Inc.（CBI）的数据服务器上检测到可疑访问，”日产发言人向BleepingComputer表示。“CBI立即实施了应急措施（例如阻断所有服务器访问权限）以降低风险，并向警方报案。” CBI是日产汽车株式会社全资拥有的东京设计工作室，定位为专注于实验性和概念车型设计的“智库”。 Qilin勒索组织于2025年8月20日在暗网勒索门户上添加CBI为受害者，声称窃取了所有设计项目并威胁公开数据，使竞争对手获得优势。该组织还公布了16张窃取数据的照片作为证据，内容涉及3D汽车设计图、电子表格、文档和汽车内饰图像。 Qilin勒索门户上列出的日产CBI条目   图片来源：BleepingComputer 日产声明目前正在调查事件，但已确认发生数据泄露。“详细调查正在进行中，现已确认部分设计数据遭泄露，”日产表示，“日产与CBI将继续调查并根据需要采取适当措施。” 这家日本汽车制造商强调，泄露数据仅影响日产自身（CBI的唯一客户），因此被盗数据不涉及其他公司、承包商或个人客户的信息。 Qilin勒索组织今年活动频繁，此前曾攻击出版集团Lee Enterprises和制药公司Inotiv等知名目标。该团伙被指利用Kickidler员工监控工具及两个Fortinet漏洞（CVE-2024-21762、CVE-2024-55591），无需认证即可在设备上远程执行代码。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 内华达州政府系统因周日（8月24日）凌晨发生的网络安全事件持续瘫痪，导致网站、电话线路及线下服务中断。州长乔·隆巴多（Joe Lombardo）周一下午发布声明称，紧急服务仍可运作，但该事件“持续影响州内特定技术系统的可用性” 。 隆巴多表示，“恢复期间，部分州政府网站或电话线路可能出现响应迟缓或短暂中断” 。州政府正与地方、部落及联邦合作伙伴协作恢复服务，并“使用临时路由和操作方案，尽可能维持公共访问渠道” 。 受事件影响，内华达州政府办公室周一全面暂停线下服务，各机构将另行通知恢复时间 。截至周一晚间，州政府官方网站仍处于离线状态 。州政府提醒居民警惕诈骗行为，强调绝不会通过电话或邮件索要个人信息或银行资料 。 州长声明补充称，调查将确认是否存在数据泄露 。目前尚无黑客组织宣称对此事件负责 ，联邦调查局已介入协助调查 。此次事件恰逢马里兰州政府同期报告网络攻击导致关键服务中断 ，而两周前拉斯维加斯刚举办全球顶尖的Black Hat网络安全大会 。 拉斯维加斯去年曾因美高梅度假村集团（MGM Resorts）勒索攻击事件陷入混乱：旗下曼德雷湾、贝拉吉奥等酒店赌场的角子机、房卡系统及ATM机大面积瘫痪数日，酒店无法受理信用卡支付，顾客被迫另寻住所，多家赌场员工被迫手工计算赌局盈亏 。美高梅最终承担超1亿美元损失，但拒绝支付赎金 。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 马里兰州多个政府部门正应对一起影响残障人士交通服务系统的网络攻击。 周日，马里兰州交通管理局（MTA）在其社交媒体和网站上发布了关于一起网络事件的警告，该事件涉及对其部分系统的未经授权访问。 虽然 MTA 的核心交通服务（包括公交线路、地铁和轻轨系统）未受影响，但用于名为“Mobility”的专项客运服务的部分实时信息系统和其他工具受到了影响。 Mobility 服务于无法到达或等候公交车站的人士。这项共享乘车服务通过网站预约，可将乘客从家中送至目的地。 MTA 表示 Mobility 服务“无法安排新的行程或重新预订现有行程”。 “此外，部分 MTA 服务运营和信息系统，包括实时信息和我们的呼叫中心，可能会受到影响，”该部门解释道。“我们正与第三方网络安全专家和执法合作伙伴合作，评估事件范围并减轻其影响。” 所有本周已预定的 Mobility 行程将照常提供。需要预约新行程的人士应使用“Call-A-Ride”服务，可通过其网站或电话号码进行预约。 MTA 表示，该州的应急管理部门已启动了包含信息技术部和其他关键机构在内的全州紧急行动中心。 截至周一下午，尚未有任何黑客组织认领此次事件。今年早些时候，马里兰州最大的县曾遭受网络攻击，导致政府服务受限数日。 过去两年间，黑客通过对美国地方政府的网络攻击，屡次导致市政残障服务出现问题。在密苏里州、弗吉尼亚州等地区，网络攻击或勒索软件事件导致关键系统离线后，当地政府不得不为残障居民提供替代方案。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国零售商欧尚（Auchan）正通知其客户，一场网络攻击导致数十万客户的会员账户相关敏感数据被泄露。 该公司正在向受事件影响的客户发送数据泄露通知。 “我们写信通知您，欧尚已成为网络攻击的受害者。此次攻击导致与您会员账户相关的某些个人数据遭到未经授权的访问，”该零售商的声明中写道。 根据通知样本，此次攻击中泄露的数据包括全名、称谓和客户状态、邮政地址、电子邮件地址、电话号码以及会员卡号。 该零售商强调，银行数据、密码和 PIN 码未受影响。 欧尚向客户发送的通知      图片来源：Zataz 该公司发言人向法媒证实“数十万”客户数据遭泄露。 欧尚是一家法国跨国零售集团，在欧洲和非洲的13个国家经营着超过 2,100 家门店。该集团拥有 154,000 名员工，年收入超过 350 亿美元。 该公司表示已就此次数据泄露事件通知法国数据保护机构（CNIL）。 同时，欧尚建议收到通知的客户对可能利用被盗信息进行的钓鱼攻击保持警惕。 “我们提醒您，欧尚绝不会通过电子邮件、短信或电话向您索要登录信息、密码或会员卡 PIN 码，”欧尚警告道，“如果您收到此类消息，请不要点击任何链接，不要拨打提供的电话号码，并忽略其中包含的信息，因为这很可能是一次钓鱼尝试。” BleepingComputer 几天前联系了欧尚以请求获取有关此次攻击的更多信息，但该公司尚未回复。 欧尚的数据泄露事件发生在法国其他大型实体（包括法国航空、荷兰皇家航空、Orange 和 Bouygues Telecom）相继披露类似事件之后不久，其中部分事件与黑客组织 ShinyHunters 攻击 Salesforce 有关联。 目前，没有证据表明这些攻击相互关联，或表明存在针对该国大型企业的协同行动。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。 网络安全公司CYFIRMA表示：“初始入侵通过钓鱼邮件实现。攻击者利用武器化的.desktop快捷方式文件针对BOSS Linux环境，一旦用户打开这些文件，便会下载并执行恶意载荷。” 透明部落（又称APT36）被评估为源自巴基斯坦。该组织及其分支SideCopy长期以多种远程控制木马（RAT）入侵印度政府机构。此次跨平台攻击展示了该组织的持续技术演进，使其能扩大目标范围并确保在受害系统中的持久访问权限。 攻击链分析 攻击始于伪装成会议通知的钓鱼邮件，实际附件为恶意Linux桌面快捷方式文件（如“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件假冒PDF文档诱骗用户点击，触发执行隐藏的Shell脚本。该脚本作为下载器，从攻击者控制的服务器（”securestore[.]cv”）获取十六进制编码文件，保存为ELF二进制程序；同时启动Firefox浏览器打开Google Drive上的伪装PDF文件以降低怀疑。基于Go语言的二进制程序会连接硬编码的命令与控制（C2）服务器（modgovindia[.]space:4000），接收指令、获取后续载荷并窃取数据。恶意软件还通过cron计划任务实现持久化，确保系统重启或进程终止后自动执行主载荷。 技术对抗手段 安全公司CloudSEK独立证实此活动，指出恶意软件具备系统侦察功能，并通过虚拟反调试和反沙盒检测混淆分析工具。Hunt.io进一步分析发现，攻击最终部署了透明部落已知后门Poseidon，支持数据收集、长期访问、凭证窃取及潜在横向移动能力。CYFIRMA强调：“APT36能根据目标操作系统环境定制投递机制，显著提升攻击成功率，使其得以长期潜伏于关键政府基础设施并规避传统安全防护。” 历史攻击模式关联 此次披露前数周，透明部落还被发现通过仿冒域名针对印度国防机构及关联政府实体，旨在窃取凭证和双因素认证（2FA）验证码。用户通过钓鱼邮件被诱导至恶意链接。CYFIRMA描述其流程：“受害者在仿冒登录页输入有效邮箱并点击‘下一步’后，将被重定向至第二页面，诱骗其输入邮箱密码及Kavach验证码。”需注意的是，针对印度政府机构使用的双因素认证系统Kavach的攻击，是透明部落及SideCopy自2022年初反复使用的成熟手段。CYFIRMA补充：“此类抢注域名与巴基斯坦服务器托管基础设施的组合，完全符合该组织一贯的战术、技术和程序（TTPs）。” 南亚地区威胁扩展 同期，另一南亚APT组织SideWinder也被曝光通过钓鱼邮件攻击孟加拉国、尼泊尔、巴基斯坦、斯里兰卡和土耳其。Hunt.io指出：“攻击者仿冒官方通信，诱骗受害者在托管于Netlify和Pages.dev的伪造登录页提交凭证。其伪造的Zimbra邮箱和安全门户页面模仿政府邮件、文件共享服务界面，引导用户通过虚假登录面板提交凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 科技制造商 Data I/O 周四晚间向联邦监管机构报告了一起勒索软件攻击，称该事件导致关键运营系统瘫痪。 这家总部位于华盛顿州雷德蒙的公司表示，勒索软件攻击始于 8 月 16 日，导致其用于运输、制造、生产和其他支持功能的技术中断。 Data I/O 生产用于汽车和消费设备的电子产品。今年第二季度，其超过 65% 的业务来自汽车电子生产，其中包括与中国电动车制造商签订的合同，用于生产充电站技术。其网站列出了特斯拉、松下、亚马逊、谷歌和微软等主要客户。 在向美国证券交易委员会（SEC）提交的一份 8K 报告中，Data I/O 表示已采取遏制措施，包括将系统下线，以保护其全球 IT 网络。 公司正在等待第三方调查完成后，再通知可能受数据泄露影响的个人。 目前尚无服务完全恢复的时间表。公司承认，“与此次事件相关的预期成本，包括支付给网络安全专家及其他顾问的费用，以及恢复受影响系统的成本，很可能对公司的经营业绩和财务状况产生重大影响。” 该公司上季度报告的销售额为 590 万美元，比 2025 年第一季度减少了 30 万美元。 Data I/O 是本周第二家向 SEC 报告勒索软件攻击的公司。此前，药物研究公司 Inotiv 表示正在从 8 月 8 日开始的一起事件中恢复。 网络安全公司 Dragos 上周表示，其在 4 月至 6 月期间跟踪到全球范围内 657 起针对工业实体的勒索软件攻击。制造业受影响最严重，占第二季度受害者的 65%，其中包括钢铁制造商 Nucor 和医疗设备制造商 Masimo。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名网络犯罪团伙“散裂蜘蛛”（Scattered Spider）一名20岁成员被判处十年监禁，其涉嫌参与系列重大黑客攻击及加密货币盗窃案。诺亚·迈克尔·厄本（Noah Michael Urban）已于2025年4月对电信欺诈和严重身份盗窃指控认罪。该判决由彭博社及杰克逊维尔当地媒体News4JAX率先报道。 除120个月联邦监禁外，厄本还需接受三年监督释放，并向受害者支付1300万美元赔偿金。厄本向安全记者布莱恩·克雷布斯表示，该判决“不公正”。 厄本曾使用“Sosa”“Elijah”“King Bob”“Gustavo Fring”“Anthony Ramirez”等多个化名，于2024年1月在佛罗里达州被捕。美国司法部指出，其在2022年8月至2023年3月期间实施的电信欺诈和严重身份盗窃，造成至少五名受害者损失超80万美元。 检方称，厄本与同伙通过SIM卡劫持攻击劫持受害者加密货币账户，盗取数字资产。2024年11月，美国司法部对厄本及其他四名散裂蜘蛛成员提起刑事指控，指控其利用社会工程学手段针对美国企业员工，入侵公司网络窃取专有数据并转移数百万美元加密货币。其中同伙泰勒·罗伯特·布坎南（Tyler Robert Buchanan）已于2025年4月从西班牙引渡回美国。 当前，散裂蜘蛛已与ShinyHunters、LAPSUS$等黑客组织组成新联盟。该团伙关联更广泛的英语系网络犯罪团体“The Com”，长期从事社会工程学攻击、凭证窃取、SIM卡劫持、初始访问渗透、勒索软件部署、数据盗窃及敲诈勒索。 零狐（ZeroFox）情报副总裁亚当·达拉表示：“散裂蜘蛛惯用制造紧迫感、吸引媒体关注、威胁曝光等手段迫使受害者快速付款。定时泄露信息、倒计时威胁及嘲讽安全公司均是他们的固定策略。与其他团伙的合作使其获得更多工具、数据和基础设施，威胁性成倍放大。执法打击加剧时，这类组织往往通过合并求生，最终形成更具破坏力的联合体。” 网络安全公司Flashpoint近期分析指出，该以牟利为目的的黑客组织采取“波浪式攻击策略”——短期内集中攻击特定行业多家企业。“散裂蜘蛛的战术证明，通过社会工程学手段（如语音钓鱼、短信钓鱼、MFA疲劳攻击）针对人员而非系统漏洞进行攻击，可轻易绕过最先进的技术防御体系。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国跨国电信公司Colt Technology Services于8月21日（周四）确认，黑客已从其系统中窃取部分数据。Colt为欧洲、亚洲及美国的客户提供网络、语音等服务。该公司曾于8月14日宣布，因应对网络安全事件主动下线部分系统，导致部分支持服务中断。 Colt强调，受攻击的内部系统与客户基础设施相互隔离。尽管公司持续修复受影响系统，但Colt在线门户及语音API平台等服务至今仍处于停用状态。 在8月21日的最新通报中，Colt表示，尽管受影响的业务支持系统独立于客户基础设施，但调查证实攻击者已窃取部分数据。“我们现已确认威胁行为体访问了某些可能包含客户相关数据的文件，”Colt指出，网络犯罪分子已在暗网公开窃取文件的标题。 新兴勒索软件组织WarLock在其基于Tor的泄露网站上宣称对Colt的攻击负责。黑客声称窃取100万份文件，目前正拍卖这些文件。 近期被WarLock点名的电信公司并非仅有Colt。该组织同时宣称从法国Orange公司窃取数据。而Orange比利时及其母公司Orange近期各自披露了网络安全事件，但尚不确定WarLock的声明是否与其中任何事件相关。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文