HackerNews 编译，转载请注明出处： 奢侈品巨头LVMH的英国分部成为最新遭遇严重安全事件的英国零售商，该公司已开始通知客户其个人数据可能泄露。根据社交平台X（原推特）上分享的客户通知截图，路易威登英国表示于7月2日发现此次泄露事件。 公司声明，可能泄露的个人身份信息（PII）包括：姓名、性别、国籍、电话号码、电子邮箱与邮政地址、出生日期、购买记录及偏好数据。通知强调：“鉴于涉及数据的敏感性，我们强烈建议您对任何未经请求的可疑通信保持警惕，包括电子邮件、电话或短信。尽管目前尚无证据表明您的数据被滥用，但仍可能发生钓鱼攻击、欺诈或信息盗用。” 公司已向英国信息专员办公室（ICO）报告此事。此次事件发生仅一周前，路易威登刚披露其韩国业务遭黑客攻击导致部分个人信息泄露。今年LVMH集团旗下另两大品牌——克里斯汀·迪奥高级时装（Christian Dior Couture）与蒂芙尼（Tiffany）也发生过客户数据泄露事件，并自五月起接受政府调查。 路易威登是近期遭受网络攻击的英国零售商名单中的最新成员。此前黑客组织“Scattered Spider”被指应对玛莎百货（M&S）、英国合作社集团（Co-op）的攻击负责，哈罗德百货（Harrods）和阿迪达斯（Adidas）同样成为攻击目标。上周，四名涉嫌攻击玛莎百货、合作社集团和哈罗德百货的嫌疑人被逮捕：西米德兰兹郡逮捕一名17岁英国男性和一名19岁拉脱维亚人；斯塔福德郡抓获一名20岁英国女性；伦敦羁押一名19岁英国男性。 黑鸭公司（Black Duck）基础设施安全总监托马斯·理查兹分析称，尽管路易威登事件未涉及财务数据，但风险依然显著：“攻击者可能冒充客户向客服套取更多信息，或发送伪装成路易威登的恶意邮件骗取登录/财务信息。客户需警惕要求立即行动否则面临负面后果的突然通知。LVMH多地机构接连遭类似手段入侵，暗示其可能存在系统性漏洞——泄露可能未被完全控制，或各业务单元使用了存在漏洞的同类技术系统。”他补充建议LVMH应进行全集团安全评估，查明根本原因并实施整改措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化交易所GMX表示，7月9日（周三）凌晨遭遇黑客攻击，价值超过4000万美元的加密货币被盗。 GMX允许用户交易多种加密货币，该平台在社交媒体发布声明称遭遇“漏洞攻击”，目前正调查事件原因。GMX补充说明，其平台此前已接受过“顶级安全专家的多次审计”。 多家区块链安全公司确认了此次盗窃，追踪到约4300万美元用户资金从平台流出。平台交易功能已被紧急禁用。 黑客在得手后迅速转移赃款，将被盗资产分批兑换为以太坊（ETH）及与美元挂钩的稳定币USDC和DAI。链上监测显示，黑客目前通过5个钱包持有约11,700枚ETH（价值3233万美元）及1049.5万枚FRAX，总价值约4280万美元。 GMX成立于2021年，宣称拥有71.4万用户，累计交易量达3050亿美元。 有网友在线批评加密货币公司未及时冻结涉及犯罪的地址，指出黑客曾短暂持有价值近3000万美元的USDC——该稳定币由加密巨头Circle发行——随后才进一步转移赃款。 GMX通过以太坊区块链向黑客发送消息，承认遭遇攻击，并提出若黑客在48小时内归还90%被盗资金，愿支付10%作为“赏金”。GMX承诺若资金归还将不提起诉讼——这是多家加密公司为促使黑客还赃曾提出的争议性法律主张。但此前联邦检察机关通常无视受害方意愿，坚持起诉加密黑客。 该公司与安全专家向关联平台提供了技术建议，指导其防范同类漏洞。 两周前，去中心化金融平台Resupply遭黑客入侵，1000万美元加密货币被盗。区块链安全公司TRM Labs统计显示，2025年上半年共发生75起确认的网络攻击，造成加密交易所及其他数字资产机构约21亿美元损失，较2022年同期创下的纪录增长10%。即使排除朝鲜黑客从迪拜交易所Bybit窃取15亿美元的极端案例，该公司监测到其中四个月的单月损失仍超过1亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第二季度，针对开发者、软件团队及CI/CD流水线的攻击规模和复杂度持续攀升。网络安全公司Sonatype监测数据显示，恶意开源软件包数量同比增长188%，凸显开源生态安全威胁加剧。 该公司通过监控npm、PyPI、Maven Central等主流仓库活动发现，本季度共检出16,279个恶意开源软件包。自2017年启动分析以来，累计识别恶意包总量已达845,204个。“攻击者不再仅是试探开源生态。数据表明，威胁行为者已将数据视为最具价值的目标，而开发者成为最易突破的入口，”Sonatype联合创始人兼首席技术官Brian Fox指出，“开发和安全团队必须保持警惕，威胁正日益潜伏于日常工具和依赖项中。” 恶意包攻击目标呈现集中化趋势： 数据窃取主导：55%的恶意包旨在窃取机密信息，包括个人身份数据、密码、访问令牌及API密钥； 数据破坏恶意软件激增：本季度检出400例此类攻击，数量较上季度翻倍，主要通过损毁文件、注入恶意代码等方式破坏应用运行； 加密挖矿占比下降：相关恶意包占比5%，较前季度略有减少。 国家级黑客组织深度渗透： 朝鲜知名黑客组织Lazarus被证实关联107个恶意包，累计下载量超30,000次。这反映威胁组织正将开源生态系统作为实施网络间谍和金融犯罪的新渠道。 值得注意的是，尽管Sonatype报告2024年恶意软件同比增长156%，但相比同期主流平台超6万亿次软件包下载量，实际检出比例仍属微量。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳洲航空（Qantas）确认遭遇网络攻击后，威胁行为体已开始实施勒索。该公司在更新声明中表示：“潜在网络犯罪分子已与我们联系，目前正在核实其身份。鉴于此事涉及刑事案件，我们已联络澳大利亚联邦警察（AFP），后续将不再透露具体接触细节。” 该航空公司在7月1日披露，其于前一日发现某呼叫中心使用的第三方系统存在异常活动。此次入侵导致客户姓名、电子邮箱、电话号码、出生日期及飞行常客号码泄露。但澳航强调，信用卡及财务信息、护照详情、密码、PIN码与登录凭证均未遭泄露。 澳航警告客户警惕利用被盗数据实施诈骗及钓鱼邮件的风险，声明所有官方邮件均来自qantas.com域名。公司同时承诺绝不会通过电话、短信或邮件索要密码、机票确认码等敏感信息。 此次事件是黑客组织Scattered Spider针对航空业系列攻击的一部分。该组织擅长社会工程攻击，常通过诱骗帮助台及支持供应商重置员工密码和多因素认证（MFA）侵入企业网络。其攻击目标从4月的零售业（玛莎百货、Co-op超市）转向保险业，近期又聚焦航空运输业，西捷航空与夏威夷航空此前已遭类似攻击。 澳航正协同网络安全专家、澳大利亚网络安全中心（ACSC）、澳大利亚信息专员办公室（OAIC）及澳大利亚联邦警察（AFP）展开联合调查。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自称“Rey”的黑客宣称从西班牙电信巨头Telefónica窃取106GB数据，但该公司回应称这仅是敲诈企图。 在埃隆·马斯克旗下社交平台X的声明中，Rey指出Telefónica否认其内部网络遭数据窃取，因此将先行公开5GB数据作为证据。黑客威胁称：“我将很快公布完整文件目录树；若未来数周内Telefónica仍不妥协，全部数据档案将被公开 。” 据技术媒体BleepingComputer核实，Rey已发布超2万份文件佐证入侵真实性。黑客透露攻击发生于2025年5月30日，在Telefónica IT人员察觉前已持续窃密12小时。据称窃取总量达385,311份文件（106.3GB），涵盖五类核心数据： 内部通信记录（服务工单与邮件） 采购订单及商业伙伴发票 系统操作日志 客户档案 员工信息 Telefónica官方至今未承认事件，但有员工指称这是利用过时信息的敲诈行为。值得关注的是，Rey隶属勒索组织HellCat，该组织2025年1月就曾通过Jira开发服务器入侵Telefónica窃取客户信息。不同于传统勒索模式，HellCat采用“不认账即全泄露”的胁迫策略，此次事件再次印证其战术特征。 Telefónica作为全球顶级电信运营商，拥有逾10万员工，2024年营收达405亿美元（约合人民币2920亿元），毛利近205亿美元（约合人民币1476亿元）。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。 ESET研究证实，该组织自2017年首次入侵库尔德政府系统以来，持续升级其攻击工具库，展现出显著的技术演进。最新攻击活动中，攻击者部署了专为隐蔽驻留设计的恶意软件套件，其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件，规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行：监控所有传入HTTP请求，仅在检测到预设Cookie结构时激活攻击功能，其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar，以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力： ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示，BladedFeline与伊朗国家级黑客组织OilRig存在强关联性：恶意软件功能设计与OilRig标志性后门RDAT高度相似，攻击基础设施存在重叠，战术目标均聚焦中东地缘政治情报收集。据此评估，BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势： ① 时间跨度：最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展：从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代：从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态：2024年初仍检测到新版恶意工具活跃 ESET警告称：“从简单后门到模块化潜伏工具的技术转型，印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序，以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级，在区域情报收集中构建更隐蔽的作战能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家与巴基斯坦无关的黑客组织被发现使用名为DRAT的远程访问木门程序的修改变种攻击印度政府机构。 Recorded Future旗下Insikt研究小组将此活动归因于追踪编号为TAG-140的威胁组织。该组织与SideCopy存在重合——后者被评估为透明部落（Transparent Tribe）的攻击子集群（该组织亦称为APT-C-56、APT36、Datebug、Earth Karkaddan、Mythic Leopard、Operation C-Major及ProjectM）。隶属于万事达卡的研究机构在上月发布的分析报告中指出：“TAG-140持续展现出恶意软件库与攻击手段的迭代升级与多样化能力。本次以克隆国防部新闻门户为诱饵的攻击行动，标志着其在恶意软件架构与C2功能方面均实现显著转变。” 新版DRAT被命名为DRAT V2，成为SideCopy武器库的最新成员。该组织还拥有Action RAT、AllaKore RAT、Ares RAT、CurlBack RAT、ReverseRAT、Spark RAT和Xeno RAT等工具，可同时针对Windows和Linux系统实施攻击。攻击活动展现出攻击者不断进化的战术：通过打造”可替换套件式”的多样化木马程序，在窃取敏感数据时干扰溯源、检测和监控工作。 该威胁组织的攻击范围已从政府、国防、海事和学术领域，扩展到铁路系统、石油天然气及外交部相关机构。据悉该组织自2019年起持续活跃。 Recorded Future记录的攻击链采用点击修复式攻击手法：克隆印度国防部新闻发布门户，传播新版.NET架构DRAT（现变异为Delphi编译版本）。假冒网站仅保留单一有效链接，点击后将秘密复制恶意命令至剪贴板，诱骗受害者通过命令终端执行。此举导致设备从外部服务器（trade4wealth[.]in）获取HTA文件，由mshta.exe加载名为BroaderAspect的加载器。该加载器负责下载诱饵PDF、通过注册表实现驻留、并从同一服务器获取并运行DRAT V2。 DRAT V2新增任意命令执行功能增强灵活性，其C2地址采用Base64编码混淆，并升级为支持ASCII/Unicode双模式的专属TCP协议（服务器仅响应ASCII，而原始DRAT需全程使用Unicode）。报告指出：“相较前代版本，DRAT V2减少了字符串混淆处理，多数命令头保留明文——可能更注重运行稳定性而非隐蔽性。由于缺乏高级反分析技术并采用基础驻留方式，该木马可通过静态和行为分析检测。” 其他已知功能包括：在被控主机执行侦察任务、上传额外载荷、实施数据窃取。研究人员表示：“这些功能使TAG-140能持久灵活控制系统，无需额外工具即可展开自动化或交互式攻击。DRAT V2更倾向于模块化补充而非彻底升级，这印证了TAG-140将持续轮换木马程序以隐藏特征、维持攻击灵活性的预判。” APT36攻击行动散布Ares木马与DISGOMOJI 2025年5月印巴冲突期间，巴基斯坦背景的国家级黑客组织与协同黑客行动异常活跃。APT36借机散布Ares木马，针对国防、政府、IT、医疗、教育和电信领域发动攻击。Seqrite实验室五月警告称：“Ares木马使攻击者获得系统完全控制权，可能导致监控活动、数据窃取及关键服务破坏。” 近期监测显示，APT36通过伪造国家信息中心采购订单的钓鱼邮件，向印度防务人员投递恶意PDF附件。诱导点击文档内嵌按钮后，设备将下载伪装成PDF图标的双重扩展名文件（*.pdf.exe）。该程序内置反调试和反虚拟机功能，可于内存加载具备文件枚举、键盘记录、剪贴板捕获、浏览器凭证窃取及C2通信能力的载荷。 CYFIRMA分析指出：“APT36对印度国防系统构成持续重大威胁。其钓鱼策略与凭证窃取技术印证了现代网络间谍手段的进化。”该组织还专门针对印度政府广泛使用的BOSS Linux系统，通过伪装成安全通告的钓鱼消息投放恶意ELF程序。研究机构强调：“Linux专属恶意软件的出现标志着APT36能力升级，政府与国防关键基础设施风险加剧。这种多阶段攻击可规避传统安防措施，使攻击者长期潜伏于敏感系统。” 360威胁情报中心另披露：攻击者通过钓鱼邮件散布含DISGOMOJI新变种的陷阱压缩包。该安全公司表示，这款基于Golang的ELF程序改用谷歌云服务进行C2通信，区别于此前依赖Discord的方案。“除浏览器插件窃取外，攻击者还将下载远程控制工具实施后续窃密。DISGOMOJI功能与前代载荷相似，但C2基础设施完成迁移。” Confucius组织投放WooperStealer与Anondoor 与此同时，网络间谍组织Confucius被指发起新攻击行动，散布信息窃取程序WooperStealer及新型模块化后门Anondoor。该组织据信自2013年起活跃，目标锁定南亚和东亚的政府军事单位，其攻击目标与印度密切相关。 据Seebug旗下404团队分析，攻击以Windows快捷方式文件（LNK）为起点，通过DLL劫持技术投放Anondoor后门。该后门具备完整攻击能力：可执行系统命令、屏幕截图、文件下载、Chrome密码提取及目录遍历。在收集系统信息后，恶意程序会从远程服务器获取WooperStealer。 研究报告指出：“该组织已从单一线程木马进化为模块化后门，技术迭代能力显著提升。其后门组件封装于C#动态库，通过反射机制规避沙箱检测。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。 思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。 这些攻击利用用户对知名品牌的信任，通过PDF附件嵌入看似合法的二维码或链接，将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL，伪装成便签、评论或表单字段，同时链接到真实网页以增强可信度。 在TOAD攻击中，受害者会被诱导拨打邮件中的“客服电话”，攻击者则冒充品牌客服代表，诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段，增强欺骗效果。 美国联邦调查局（FBI）2025年5月曾警告，一个名为“Luna Moth”的金融犯罪集团利用类似手法，冒充IT部门人员入侵企业网络。Mirzaei指出：“攻击者通过语音通话直接操控受害者情绪，利用人们对电话沟通的天然信任实施社会工程学攻击。” 大多数攻击者使用VoIP号码隐藏身份，部分号码甚至连续使用四天，以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调：“品牌冒充是最常见的社会工程学手段之一，建立品牌冒充检测引擎对防御此类攻击至关重要。” 近期，攻击者还利用微软365（M365）的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户，即可伪造内部用户身份发送邮件。自2025年5月以来，已有超过70家组织成为此类攻击的目标。 这些伪造邮件不仅看似来自组织内部，还利用智能主机地址的可预测性（如“<tenant_name>.mail.protection.outlook.com”）绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件，或通过伪造支付页面窃取信用卡信息。 例如，2025年6月17日的一封钓鱼邮件伪装成语音邮件通知，附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出：“攻击者利用M365 Direct Send功能发送内部邮件，这类邮件比外部邮件更容易绕过审查，成为低门槛的钓鱼载体。” 与此同时，Netcraft的最新研究发现，当用户向大型语言模型（LLM）询问50个不同品牌的登录网址时，模型有三分之一的时间会返回错误结果：近30%的域名未注册或闲置，5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。 Netcraft还发现，攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手（如Cursor）。安全研究员Bilaal Rashid表示：“攻击者不仅发布代码，还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户，伪装成可信开发者，诱导AI训练模型收录恶意代码。” 此外，攻击者还通过名为“Hacklink”的非法市场，向被入侵的政府（.gov）或教育（.edu）网站注入JavaScript或HTML代码，操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释：“Hacklink允许犯罪分子购买数千个被入侵网站的权限，插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联，当用户搜索相关内容时，被入侵网站会出现在搜索结果中。” 更令人担忧的是，攻击者无需完全控制网站，即可篡改搜索结果中的文本内容，进一步损害品牌信誉和用户信任。     消息来源： thehackernews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全机构CISA上周发布警告称，德国工业网络设备厂商Microsens的NMP Web+产品存在两个严重漏洞和一个高危漏洞，可能被黑客利用实施远程攻击。 Microsens为工业企业和组织提供交换机、转换器、楼宇控制器等自动化解决方案，其NMP Web+平台用于集中管理工业交换机及网络设备配置。漏洞详情如下： CVE-2025-49151（严重）：未授权攻击者可伪造JSON Web Token（JWT）绕过身份验证； CVE-2025-49153（严重）：攻击者能覆盖服务器文件并执行任意代码； 高危漏洞：JWT令牌未设置过期时间，导致长期有效。 Claroty Team82研究员Noam Moshe（漏洞发现者）向SecurityWeek表示，攻击者可链式利用这些漏洞： 通过伪造JWT获取系统访问权限； 利用文件覆盖漏洞完全控制操作系统。 “这实现了‘从零到英雄’的跳跃——无需任何凭证即可接管系统。”Moshe强调，尽管攻击需访问目标NMP Web+的Web服务器，但大量实例暴露在互联网，存在被扫描攻击的风险。 CISA确认尚未发现野外利用案例，Microsens已发布补丁（Windows/Linux版本3.3.0）。受影响产品在全球范围部署，尤其涉及关键制造业领域。建议用户立即更新至修复版本，并限制管理界面的互联网暴露。   消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）披露，臭名昭著的网络犯罪组织Scattered Spider已将其攻击范围扩大至航空业。为此，该机构正积极联合航空业及行业合作伙伴共同打击此类活动并协助受害者。 FBI在社交媒体平台X上发布声明称：“该组织依赖社会工程学技术，通常冒充员工或承包商欺骗IT服务台以获取访问权限。这些技术常涉及绕过多因素认证（MFA）的方法，例如诱使服务台人员在受感染账户中添加未经授权的MFA设备。” Scattered Spider的攻击还以第三方IT供应商为目标获取大型机构访问权限，使得可信供应商和承包商面临潜在攻击风险。此类攻击通常为数据窃取、勒索和勒索软件攻击铺平道路。 Palo Alto Networks旗下Unit 42的研究员Sam Rubin在LinkedIn确认该威胁组织针对航空业的攻击，敦促各机构对高级社会工程学尝试和可疑的MFA重置请求保持“高度警惕”。 谷歌旗下Mandiant公司近期曾警告Scattered Spider瞄准美国保险业，此次也呼应了该警报，表示已察觉多起手法与该黑客组织作案模式相似的航空运输业安全事件。Mandiant的Charles Carmakal建议：“行业应立即采取措施，在向员工/承包商账户添加新电话号码（可能被威胁分子用于自助密码重置）、重置密码、向MFA解决方案添加设备或提供员工信息（如员工ID）前，严格加强服务台身份验证流程。” Scattered Spider持续得逞的关键在于其对人类工作流程的深度理解。即使存在MFA等技术防御措施，该组织仍专注于系统背后的人员——他们深知服务台员工也可能被精心编造的故事蒙蔽。这并非暴力破解，而是通过短暂建立信任实施渗透。在时间紧迫或压力较大时，伪造的员工请求极易蒙混过关。因此各机构需超越传统端点安全策略，重新评估实时身份验证机制。 该组织活动与Muddled Libra、Octo Tempest、Oktapus、Scatter Swine、Star Fraud及UNC3944等威胁集群存在重叠。该组织最初以SIM卡交换攻击闻名，其初始入侵手段涵盖社会工程学、服务台钓鱼和内部访问等技术，专门渗透混合环境。安全公司Halcyon指出：“Scattered Spider代表着勒索软件风险的重大演变，融合了深层社会工程学、多层次技术复杂性和快速双重勒索能力。该组织能在数小时内突破防御、建立持久访问、窃取敏感数据、禁用恢复机制，并在本地和云环境中引爆勒索软件。” 真正使其具备高度危险性的是其“耐心策划与突然发难”的组合策略。Scattered Spider不仅依赖窃取凭证，更投入大量时间收集目标情报，常结合社交媒体研究和公开泄露数据实施精准身份冒充。此类混合威胁融合商业邮件入侵（BEC）技术与云基础设施破坏手段，具有极强的隐蔽性。 该组织隶属于名为“The Com”（又名Comm）的无定型集体，其中亦包含LAPSUS$等组织。据评估其至少自2021年便开始活跃。Unit 42分析称：“该组织在Discord和Telegram通信平台中发展壮大，吸纳了不同背景和需求的成员。其松散的流动性结构导致破坏行动存在固有难度。” ReliaQuest上周五发布的报告详细披露了Scattered Spider上月末针对某未具名机构的攻击：通过锁定首席财务官（CFO），冒充其致电IT服务台，诱骗工作人员重置与该账户绑定的MFA设备和凭证。攻击者还利用侦察阶段获取的CFO出生日期和社会安全号码后四位，在公司公共登录门户完成身份验证，最终确认员工ID有效性。报告强调：“Scattered Spider偏爱高管账户的两大主因在于：此类账户通常权限过高，且相关IT服务台请求常被紧急处理——这大幅提高了社会工程的成功率。获取这些账户意味着通向核心系统的捷径，使侦察成为其定制化攻击计划的基石。” 掌握CFO账户权限后，攻击者展示了其快速适应和升级攻击的能力： 执行Entra ID枚举，扫描特权账户、特权组和服务主体以提升权限 搜索SharePoint敏感文件及协作资源，深度解析目标机构工作流程与IT/云架构 利用窃取的CFO凭证渗透Horizon虚拟桌面设施（VDI），通过社会工程学控制两个新增账户 入侵机构VPN基础设施以确保对内部资源的持续访问 重新启用已停用虚拟机（VM）并创建新VM，借此关闭虚拟化生产域控制器，提取NTDS.dit数据库文件 利用提升的权限破解CyberArk密码库，获取超1400项机密信息 通过特权账户推进入侵（包括向受控账户分配管理员角色） 使用ngrok等合法工具在控制虚拟机中建立持久访问 在行踪暴露后启动”焦土策略”：蓄意删除Azure防火墙策略规则集合以破坏正常业务运营 这反映出社会工程学攻击已演变为成熟的“身份威胁战役”——攻击者凭借详尽的战术手册突破层层防御。从SIM卡交换、语音钓鱼到权限提升，Scattered Spider展示了攻击路径畅通时的极速行动力。对多数企业而言，首要措施并非采购新工具，而是收紧内部流程（特别是服务台审批和账户恢复机制）。安全研究员Alexa Feminella与James Xiang指出：“Scattered Spider的初始入侵手段暴露了众多机构的关键弱点：过度依赖以人为中心的身份验证流程。该组织通过武器化信任绕过了强大的技术防御，证明攻击者可轻易操纵既定流程达成目标。这一漏洞凸显企业亟需重新评估并强化身份验证协议，降低人为失误成为攻击入口的风险。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文