HackerNews 编译，转载请注明出处： 网络安全公司Rapid7周三披露，其研究人员在兄弟牌（Brother）打印机的多功能打印机中发现八个安全漏洞。这些漏洞影响兄弟品牌的689款打印机、扫描仪和标签机，同时部分或全部漏洞也波及富士胶片商业创新（Fujifilm Business Innovation）的46款、理光（Ricoh）的5款、柯尼卡美能达（Konica Minolta）的6款及东芝（Toshiba）的2款打印机。总体而言，数百万台企业及家用打印机因这些漏洞面临黑客攻击风险。 其中最严重的漏洞被标记为CVE-2024-51978（严重等级为“高危”），可使远程未认证攻击者通过获取设备默认管理员密码绕过身份验证。该漏洞可与信息泄露漏洞CVE-2024-51977形成攻击链——后者能窃取设备序列号，而序列号正是生成默认管理员密码的关键要素。 “问题根源在于兄弟设备的默认密码生成机制，”Rapid7解释称，“该机制将序列号转化为默认密码。受影响设备在生产过程中，会根据每台设备的唯一序列号设定此默认密码。”一旦掌握管理员密码，攻击者即可重新配置设备或滥用需认证用户才能访问的功能。 其余漏洞严重等级为“中危”或“高危”，可被用于实施拒绝服务（DoS）攻击、强制打印机开启TCP连接、窃取已配置外部服务的密码、触发堆栈溢出以及发起任意HTTP请求。八个漏洞中有六个无需认证即可利用。 Rapid7约一年前通过日本计算机应急响应中心（JPCERT/CC）向兄弟打印机报告了漏洞。目前厂商已发布安全公告告知客户，并修复了大部分漏洞，但指出CVE-2024-51978无法通过固件完全修补。兄弟打印机表示将通过新生产工艺确保未来设备免疫该漏洞，现有设备则需采用临时缓解方案。JPCERT/CC及理光、富士胶片、东芝、柯尼卡美能达等厂商也同步发布了相关安全公告。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦法院系统首席信息官迈克尔·斯卡德（Michael Scudder）本周向国会委员会作证时表示，国家法院系统正持续遭受日益复杂的黑客攻击。身为联邦法院国家决策机构信息技术委员会主席的斯卡德向众议院司法委员会透露，2024财年法院系统成功拦截了约2亿次针对地方法院局域网的恶意网络攻击事件。 “司法系统不得不应对多轮高度复杂且持续的网络威胁，”斯卡德在书面证词中强调，“鉴于司法机构掌控的敏感信息，我们始终面临着极其严峻且不间断的安全威胁。”他警告称网络攻击未来将更具破坏性，并暗示已发生多起因敏感性而无法公开的网络安全事件。 当前美国法院通过法院电子记录公共访问系统（PACER） 实现法官和律师的电子化文件提交。该系统包含大量密封文件，涉及国家安全信息、经济价值专有证据、起诉书、合作证人姓名及逮捕搜查令等敏感内容。 斯卡德证实，外部专家及其委员会评估认为，由于日益严重的网络安全风险，PACER系统已“不可持续”，必须在未来几年内被更现代化的系统取代。该委员会正主导开发新一代系统，采用“敏捷开发”模式，并在全国法院分阶段试点运行。 这一问题早有预兆。2022年7月，美国司法部高级官员曾向众议院司法委员会披露正在调查一起重大黑客事件。时任委员会主席杰罗德·纳德勒（Jerry Nadler）当时揭露，2020年数据泄露事件中三个敌对外国行为体曾攻击PACER系统，其规模与范围“令人震惊”。 此次听证恰逢司法部申请2026财年7400万美元预算，其中部分将用于联邦法院电子案件系统的全面升级。斯卡德指出，国会已拨付的网络安全专项资金取得“实质性进展”，包括实施多因素认证、完成新身份凭证计划的首阶段（旨在降低对“过时密码模式”的依赖），以及强化网络监控工具、活动日志系统、防火墙和终端防护设备。 “事实证明司法系统是恶意攻击者和网络罪犯窃取机密信息、破坏美国司法程序的高价值目标，”斯卡德总结道，“这些攻击正危及整个司法体系的安全。”目前该委员会正与司法部国家安全司、联邦调查局网络专家、网络安全和基础设施安全局（CISA）及国家网络主任办公室密切协作，共同强化网络防御并调查网络攻击事件。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家电视台18日晚遭黑客攻击，常规节目被中断播放，转而出现号召民众街头抗议政府的视频。多个消息源证实该事件。 伊朗国际电视台称伊朗政府指责以色列策划了本次攻击。伊朗国家电视台随后发表声明称：“如果您在收看电视节目时出现信号中断或无关画面，系敌方干扰卫星信号所致。” 本次攻击是近期伊朗境内一系列网络攻击的最新案例，此前多起攻击已被证实与以色列有关联组织相关。就在同一天，伊朗赛帕银行和最大加密货币交易所Nobitex亦遭黑客入侵。 其中Nobitex被窃取逾9000万美元资产，这一嚣张行径使得已持续十余年的以伊网络战争骤然升级。 区块链分析机构TRM实验室指出：“伊朗机构将虚拟资产同时作为金融变通手段和战略资产，用以支持包括扩散先进武器技术在内的地缘政治野心。最新事件说明加密货币交易所正从冲突边缘地带，成为各方势力的战略目标。” 此次事态发展的背景在于，以色列官员披露伊朗正劫持以色列境内的私人安防摄像头以获取实时情报，该手法与2022年俄罗斯入侵乌克兰后所用战术如出一辙。 以色列国家网络理事会前副总干事拉斐尔·弗朗哥证实：“过去两三天内，伊朗持续试图接入摄像系统，通过分析导弹落点信息提升打击精度。” 网络安全公司Radware数据显示，本轮冲突爆发后针对以色列的分布式拒绝服务攻击占黑客活动总量的近40%。6月17日，黑客组织DieNet警告称若美国加入对伊作战将发动网络攻击。 随后阿拉伯幽灵、锡尔赫特帮派等组织相继声援该声明，暗示地面战事胶着之际，网络空间正形成潜在联合阵线。Radware威胁情报总监帕斯卡尔·吉恩斯警示：“企业需保持最高警戒。网络战若持续升级，关键基础设施、供应链乃至跨国企业都将成为附带打击目标。” “2025年以伊冲突堪称现代混合战争的范本——比特流与信息战的战略地位已堪比导弹和炸弹。” CloudSEK在双份研究报告中披露，35余个亲伊朗组织已对以色列基础设施发动协同攻击，而亲以色列的黑客团体数量不足其半数。安全研究员帕吉拉·马诺哈尔·雷迪分析称：“攻击集中于对政府网站、军事系统和关键基础设施的DDoS攻击、网页篡改及数据窃取。” “最具特征的是，这些攻击延续了黑客团体夸大事实与散布虚假消息的一贯模式——将无关系统故障归功于己、重复利用旧数据泄露事件、虚报损失规模以博取关注，其实际作战效能极为有限。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）发出警报，臭名昭著的网络犯罪团伙Scattered Spider（又名UNC3944）在连续攻击英美零售企业后，近期将目标转向美国保险行业。GTIG首席分析师约翰·胡尔奎斯特（John Hultquist）在周一的邮件声明中确认：“GTIG已发现多起入侵事件具备Scattered Spider攻击的全部特征。鉴于该组织历来采取逐行业定向攻击的模式，保险业需高度戒备针对服务台和呼叫中心的社会工程学攻击”。 Scattered Spider是以高级社会工程学手段闻名的松散黑客团体。最新情报显示，该组织据信已与勒索软件团伙DragonForce结成联盟，后者近期接管了RansomHub的基础设施资源。网络安全机构SOS Intelligence指出：“该团伙屡次展现冒充员工、欺骗IT支持团队、通过心理战术绕过多因素认证（MFA）的能力。其成员被描述为‘英语母语者’，疑似在西方国家活动，文化背景使其钓鱼电话攻击极具迷惑性。” 本月早前，安全公司ReliaQuest披露Scattered Spider与DragonForce正重点攻击IT服务商（MSP）和外包技术承包商，通过单点突破获取下游客户群访问权限。谷歌旗下Mandiant团队分析称，该组织通常锁定大型企业——尤其是服务台规模大、IT功能外包的机构——这类目标更容易受社会工程学攻击影响，且可能带来更高赎金收益。 为应对该团伙攻击，安全专家建议采取以下措施： 强化认证机制：实施严格身份验证流程 设立访问边界：限制权限升级和横向移动 专项人员培训：指导服务台员工在重置账户前必须核实员工身份       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Predatory Sparrow黑客组织宣称对伊朗赛帕银行（Bank Sepah）发动网络攻击，称此举旨在报复该银行涉嫌资助伊朗军事及核计划。 此次攻击于6月17日凌晨发生，据伊朗伊斯兰革命卫队关联媒体报道，赛帕银行的客户服务系统遭破坏，造成账户访问障碍、取款及刷卡支付问题。 攻击还波及依赖该银行处理交易的伊朗加油站系统。事件发生时，部分德黑兰居民因担忧地区冲突升级而连夜逃离。当地报道称，袭击后赛帕银行多家分行关闭，政府雇员和安全人员的工资发放亦出现延迟。 该组织在社交媒体X上发布声明，宣称“在勇敢的伊朗人协助下摧毁了银行基础设施”，并警告：“这就是致力于维护独裁者恐怖主义野心的机构的下场。”此次网络攻击紧随以色列空袭伊朗核设施及关键基础设施之后，而伊朗此前亦对以色列目标实施了报复性打击。安全专家指出，冲突已蔓延至网络空间，引发国家支持的黑客组织及其附属黑客活动团队的连锁行动。 Predatory Sparrow（波斯语名Gonjeshke Darande）被广泛认为与以色列军事情报机构有关。该组织此前曾宣称对伊朗国有钢铁公司、加油站及燃料分配系统发动过重大网络攻击。截至发稿，伊朗官方及赛帕银行均未回应此次袭击。值得提及的是，赛帕银行因涉嫌协助伊朗开发可携带核弹头的导弹，于2007年遭美国制裁，但银行否认相关指控。 特拉维夫网络安全公司Radware近期报告指出，尽管以色列官方从不承认发动进攻性网络行动，但多起针对伊朗燃料基础设施、铁路和工业设施的高影响网络事件均被归因于以色列关联组织。以色列空袭后，Radware观察到亲伊朗威胁组织在公开及私人Telegram频道上的活跃度激增，这些组织讨论了包括攻击以色列公共紧急警报系统在内的行动计划，并向约旦、沙特阿拉伯等邻国发出警告，称支持以色列可能招致针对其国家基础设施的网络攻击。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用热门TP-Link路由器中的漏洞发动攻击，这些路由器在亚马逊上拥有数万条用户评价。美国网络监管机构紧急呼吁用户停用无法获得安全更新的旧款路由器型号。 美国网络安全与基础设施安全局（CISA）已将TP-Link的一处命令注入漏洞添加到其“已知被利用漏洞目录”中。尽管该漏洞两年前已被发现，但此次目录更新表明网络犯罪分子近期正积极利用此漏洞实施攻击。 该命令注入漏洞被评定为高危级别（CVSS评分为8.8/10），攻击者可借此在未经授权的情况下向路由器执行恶意命令。CISA警告称：“此类漏洞常被恶意攻击者利用，对联邦机构构成重大风险。” 受影响的系列在消费市场广受欢迎： TP-Link TL-WR940N 450Mbps路由器：V2/V4硬件版本已终止支持周期，无法再获得安全更新。该型号新型号仍在亚马逊销售，拥有超9000条好评，其最后固件更新发布于2016年。 TP-Link TL-WR841N：V8/V10版本存在漏洞，最后固件更新发布于2015年。这款诞生于2005年的型号至今仍位居亚马逊路由器销量榜第165位，累计收获超77,000条评价，V11及更早版本均已终止支持。 TP-Link TL-WR740N：V1/V2版本同样存在漏洞，所有型号均已终止支持，相关版本已有15年未获更新。 漏洞原理与风险 概念验证攻击代码已在网络广泛流传。该漏洞存在于路由器网页管理界面——当设备处理GET请求中的特定参数时，未能正确验证用户输入，致使黑客可注入恶意命令。虽然暴露在公网且开启远程访问功能的路由器风险最高，但同一局域网内的攻击者同样可利用此漏洞。 应对措施 CISA严令联邦机构在2025年7月7日前从网络中移除这些路由器，并强烈建议所有机构采取相同措施。CISA强调：“用户应立即停止使用受影响产品。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于爱尔兰的眼科护理技术公司Ocuco已向美国卫生与公众服务部（HHS）通报一起数据泄露事件，影响超过24万人。该公司自称全球最大的眼镜零售软件企业，其软件服务覆盖77个国家/地区的6000个服务点。 Ocuco尚未公开发布事件通告，但该事件很可能与勒索组织KillSec的黑客攻击相关——该组织今年早些时候宣称从Ocuco窃取了大量文件。4月初，黑客在其基于Tor的泄露网站上公布了Ocuco的信息，并发布多张截图佐证其攻击行为。 其中一张截图显示，黑客从该公司窃取了至少67万份文件（总计340GB数据）。黑客网站声称被盗数据已公开，但截至发稿时，Ocuco数据尚未出现在KillSec网站的可下载列表中。SecurityWeek已联系Ocuco寻求置评，若获回复将更新报道。 KillSec组织至少自2023年秋季开始活跃，其勒索软件即服务（RaaS） 业务于2024年6月对外宣布。目前该组织的泄露网站列出了约140名受害者。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克安全团队近日披露，亚洲某金融机构上月遭遇Fog勒索软件攻击。该事件因攻击者使用非常规工具链及战术引发研究人员高度关注，其异常特征包括： 非典型工具植入 首次在勒索攻击中发现合法员工监控软件Syteca的滥用。该软件通常用于企业记录员工屏幕活动、追踪键盘输入等行为，但在此次攻击中被黑客武器化。 开源渗透工具滥用 攻击者部署多款非常规开源渗透测试工具（具体工具未公开），此类工具此前极少出现在勒索攻击前期准备阶段。 GC2渗透框架的异常使用 利用GC2框架通过Google Sheets/Microsoft SharePoint远程执行指令，并经由Google Drive/SharePoint实现数据外泄。该手法虽在2023年APT41攻击中出现过，但在勒索攻击中尚属首次。 攻击者在部署勒索软件后，竟反常地尝试建立持久化访问权限。赛门铁克高级情报分析师Brigid O Gorman指出：“绝大多数勒索攻击在完成数据窃取与加密后即终止，而此次攻击者表现出明确的网络持续控制意图。” 赛门铁克专家提出两种可能性： 勒索攻击可能仅是间谍行动的伪装，真实目的是长期渗透。 不排除黑客“顺带牟利”策略——在实施间谍活动同时通过勒索获取额外收益。 攻击路径与技术细节 初始入侵点：2台存在长期漏洞的Microsoft Exchange服务器被攻陷，此为勒索团伙常用入口 潜伏周期：攻击者在受害网络内部潜伏长达两周才启动勒索程序 痕迹清除：专项清理操作日志等数字证据，增加溯源难度 工具作用存疑：Syteca具体用途尚未明确，推测可能用于信息窃取或间谍监控 BeyondTrust技术总监James Maude补充道：“黑客越来越多地滥用合法软件，既能规避安全检测，又可集中资源进行社会工程攻击——尤其在用户拥有本地管理员权限的环境中，此类战术效果显著。” Fog勒索组织背景补充 该组织自2024年5月活跃，早期专注攻击美国教育机构（如俄克拉荷马大学）。其曾以“政府效率部（DOGE）”名义发送钓鱼邮件，借埃隆·马斯克相关话题嘲讽受害者，引发媒体关注。此次针对金融机构的复杂攻击，标志其战术升级与目标扩张。 赛门铁克最终结论：虽无确凿证据指向特定国家支持，但异常工具使用、持久化企图及勒索-间谍双重动机特征，表明这绝非普通勒索攻击，其背后可能隐藏更精密的地缘政治意图。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Resecurity发现暗网上出现740万条巴拉圭公民个人身份信息（PII）记录。最新监测显示，这些数据已于今日在暗网泄露。上周，网络罪犯公开兜售该国全体公民信息，勒索740万美元赎金（相当于每位公民1美元）。该勒索软件组织以6月13日为最后通牒，试图敲诈整个国家——这可能是巴拉圭史上最重大的网络安全事件之一。 被盗数据已通过多个地下论坛发布。值得注意的是，攻击者除提供数据库压缩文件外，还同步公开了种子文件，使其他用户可通过P2P网络自由下载公民记录。此类手法此前曾被勒索组织LockBit 3.0使用，其利用P2P平台传播数据，有效规避了内容删除机制。 此次泄露覆盖巴拉圭全国人口信息，包含从多个政府信息系统窃取的敏感数据。攻击者在勒索声明中谴责该国领导层存在腐败问题，且长期忽视公民数据保护。巴拉圭政府已公开拒绝支付赎金，但未说明750万公民信息的具体失窃过程，仅给出模糊解释。数据公开前几日，该国总统的推特账号也遭入侵。 泄露源主要涉及三大政府系统： 国家交通与道路安全局（车辆登记及身份证信息） 公共卫生与社会福利部（医疗健康记录） 另一未具名的公民信息库 这已非巴拉圭首次遭遇大规模泄露。2025年内已连续发生两起重大事件： 最高选举法院（TSJE） 超700万人信息暴露 财政部、央行与伊泰普水电站 1.7万条公务人员薪资及身份证号泄露 更早的2023年，国家警察局还发生过在押人员犯罪记录与照片外泄事件。 实施攻击的黑客组织自称“网络雇佣兵”（Cyber PMC），宣称以牟利为目的入侵政府系统。其背景存在两种可能： 纯粹的网络犯罪团伙 受外国政府资助的势力（借犯罪掩盖间谍行动） Resecurity特别指出：巴拉圭是南美唯一承认台湾“独立”的国家。这种地缘政治矛盾可能加剧网络攻击。 当前形势表明：针对南美政府系统的网络攻击正持续升级，外国威胁组织正系统性入侵存储公民信息的国家数据库。巴拉圭遭遇的“入侵+泄露”模式，因其规模（全国人口数据）和性质（国家级勒索），已成为网络安全领域的标志性事件。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。 企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。” TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。 虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。 按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。” 此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文