HackerNews 编译，转载请注明出处： 俄罗斯政府和企业采购的主要电子交易平台Roseltorg周一证实，该平台在最初声称中断因“维护工作”所致后，实则遭受了网络攻击。 Roseltorg是俄罗斯政府选定的开展公共采购（包括国防和建筑行业的合同）的最大电子交易运营商之一。该平台还提供电子文档管理和采购规划工具。 上周四，Roseltorg首次确认其服务已暂时暂停，但未提供进一步细节。在最近的一份Telegram声明中，Roseltorg透露，其遭受了“旨在破坏数据和整个电子交易基础设施的外部攻击”。 Roseltorg表示，此次攻击所影响的所有数据和基础设施已完全恢复，交易系统预计很快将恢复运营。然而，截至本文撰写时，该公司网站仍处于离线状态。 上周，此前鲜为人知的亲乌黑客组织Yellow Drift声称对Roseltorg的攻击负责，称他们删除了包括电子邮件和备份在内的550TB数据。作为证明，黑客们在他们的Telegram频道上发布了据称来自平台受损基础设施的截图。 “如果你支持暴政并资助战争，那就准备好回到石器时代吧，”黑客们说道。 Roseltorg遭受的网络攻击已经影响到依赖该平台运营的客户，包括政府机构、国有企业和供应商。在公司发布公告后，许多客户在评论区表达了担忧，抱怨可能遭受的财务损失和采购过程的延误。 Roseltorg在一份声明中表示，一旦交易系统恢复访问，包括合同签订在内的所有程序截止日期将自动延长，无需用户提出任何请求。 据当地媒体报道，Roseltorg服务于一些俄罗斯最大的企业，包括石油公司卢克石油、数字服务提供商俄罗斯电信和钻石开采公司阿尔罗萨，以及国防部等政府机构和网络监管机构Roskomnadzor。 Roseltorg是本月遭受亲乌黑客攻击的多家俄罗斯公司之一。上周，一个与未知势力有关联的黑客组织声称攻破了俄罗斯负责管理财产和土地记录的政府机构Rosreestr。 另一个名为乌克兰网络联盟的黑客组织也声称对俄罗斯互联网提供商Nodex的攻击负责，称其一夜之间摧毁了该公司的基础设施。Nodex证实了此次攻击。 周一，一个名为网络无政府主义小队的乌克兰黑客组织宣布，他们攻击了俄罗斯科技公司Infobis，该公司开发农业工作计划、监测和会计系统。黑客们声称已窃取了3TB的信息并破坏了该公司部分基础设施。Infobis未对所谓的攻击发表评论。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络威胁行为者正利用FastHTTP Go库，针对全球Microsoft 365账户发起高速暴力破解密码攻击。 近日，事件响应公司SpearTip发现了此次攻击活动，据称攻击始于2024年1月6日，目标直指Azure Active Directory Graph API。 研究人员警告称，这些暴力破解攻击有10%的时间能够成功接管账户。 滥用FastHTTP进行账户接管 FastHTTP是Go编程语言的高性能HTTP服务器和客户端库，专为处理HTTP请求而优化，即使在大量并发连接的情况下也能实现更高的吞吐量、更低的延迟和更高的效率。 在此次攻击活动中，黑客利用FastHTTP创建HTTP请求，自动化尝试未经授权的登录。 SpearTip指出，所有请求均针对Azure Active Directory的终端点，旨在暴力破解密码或反复发送多因素认证（MFA）挑战，以在MFA疲劳攻击中压垮目标。 SpearTip报告称，65%的恶意流量来自巴西，利用广泛的自治系统号（ASN）提供商和IP地址，其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。 研究人员表示，41.5%的攻击失败，21%因保护机制而触发账户锁定，17.7%因违反访问策略（地理位置或设备合规性）而被拒绝，10%受到MFA保护。 这意味着，有9.7%的情况下，威胁行为者成功认证到目标账户，这是一个相当高的成功率。 Microsoft 365账户接管可能导致机密数据泄露、知识产权被盗、服务中断等负面后果。 SpearTip已分享一个PowerShell脚本，管理员可利用该脚本在审核日志中检查是否存在FastHTTP用户代理，从而判断自己是否成为此次攻击的目标。 管理员还可以手动登录Azure门户，导航至“Microsoft Entra ID”→“用户”→“登录日志”，并应用“客户端应用：‘其他客户端’”筛选器来检查用户代理。 如果发现任何恶意活动迹象，建议管理员立即终止用户会话并重置所有账户凭据，审查已注册的MFA设备，并删除未经授权的添加项。 SpearTip报告的底部部分提供了与该攻击活动相关的妥协指标的完整列表。

研究人员发现，可能与俄罗斯有关联的威胁组织 APT28正在监视中亚国家外交实体，以收集该地区的经济和政治情报。 该组织被追踪为 UAC-0063，至少自 2021 年以来一直活跃，此前曾针对乌克兰、以色列、印度以及哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等多个中亚国家的外交、非营利、学术、能源和国防实体进行攻击。 在对7 月份针对乌克兰科研机构的攻击进行分析时，乌克兰计算机应急反应小组 (CERT-UA) 认为 UAC-0063 与 APT28（又名 Fancy Bear 或 BlueDelta）有“中等信心”关联，后者与俄罗斯军事情报机构 (GRU) 有关联。 网络安全公司 Sekoia发现并于周一在一份报告中描述了正在进行的网络间谍活动，黑客使用合法文件（例如信函、草稿文件或内部行政记录）向受害者发送恶意软件，这些文件可能来自哈萨克斯坦外交部。 他们如何获得这些文件尚不清楚，但研究人员表示，这些文件可能是在早先的网络行动中被泄露的，或通过开源收集获得的，或通过物理操作获得的。 Sekoia发现了近二十份这样的文件，日期从 2021 年到 2024 年 10 月。其中大部分涉及哈萨克斯坦与其他国家之间的外交合作和经济问题。 这些恶意文件包含两种已知的恶意软件，Cherryspy 和 Hatvibe，这两种恶意软件都曾用于针对亚洲和乌克兰的网络间谍活动。Cherryspy 后门允许攻击者执行从命令和控制服务器收到的 Python 代码，而 Hatvibe 则可以在受感染的设备上下载和执行其他文件。 研究人员表示，尽管该组织在这次活动中使用了熟悉的工具，但感染链“非常独特”，并强调其专注于绕过安全解决方案。 研究人员认为，此次活动是针对中亚国家，特别是哈萨克斯坦外交关系的更大规模全球网络间谍行动的一部分。 他们表示：“此次攻击活动的目的可能是收集哈萨克斯坦与西亚、中亚国家关系的战略和经济情报。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/V7z5IYda7TOTQgLtpN2oEA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 《流放之路2》开发团队证实，一名黑客通过破解的管理员账号修改了密码，并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来，《流放之路2》（PoE 2）玩家账号频繁被盗的原因。 被攻破的管理员账号使黑客能够更改其他玩家账号的密码，导致许多玩家的游戏内购买物品丢失，包括他们耗费数百小时才获得的珍贵物品。 然而，由于日志保留的时间限制，目前无法确定此次事件波及的确切范围，这意味着可能有更多账号在此次攻击中失窃。 《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏，是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。 尽管目前仍处于抢先体验阶段，但这款游戏在Steam上好评如潮，已经形成了一个由数万名玩家组成的忠实社区，还有更多玩家翘首以盼其正式发行。 《流放之路2》的玩家在游戏论坛上报告称，近期出现了一波账号被盗事件。他们发现，无论是Steam账号还是独立的PoE账号，在未被触发双重身份验证代码请求的情况下就被攻破了。 这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时，发现黑客已经盗走了他们所有的游戏内物品，包括珍贵的神圣宝珠和终极装备。 据受害玩家在论坛上的帖子称，PoE客服告诉他们，无法回滚账号或恢复被盗物品，因此损失无法挽回。 通过旧Steam账号被盗取的管理员权限 据404 Media首次报道，昨日，《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认，此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的，该账号已被攻破。 黑客利用部分信息，如信用卡的最后四位数字，说服Steam客服重置凭据并控制了该账号。 这使得黑客能够访问《流放之路2》的管理员账号，并进一步访问其他玩家的账号。 虽然开发团队尚未确认，但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图，据称该面板被用于修改玩家的密码。 更糟糕的是，当《流放之路2》的账号密码被更改时，它会被记录为一个可编辑的备注，而不是作为一个不可编辑的审计条目进行记录。 “实际上，存在一个漏洞，即将新密码设置为账号的事件被错误地标记为备注，而不是像审计事件那样。”罗杰斯在采访中说道。 “这意味着备注是客户服务人员可以添加到玩家账号上的内容，他们可以编辑和删除它们。因此，将密码更改标记为备注可能会被客户服务人员意外删除，而不是以任何人都无法更改的方式永久保留。” “因此，这实际上意味着，那些成功获取账号的人，他们是通过发送一个随机密码来攻击账号，然后在之后删除该备注。” 虽然开发团队正在分析日志以查找受影响的账号，但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间，一些日志被删除。 “实际上，去年11月有五天我们没有日志，之后有66个账号的备注被删除，”罗杰斯继续说道。 开发团队承认游戏后端存在错误和安全漏洞，这些漏洞本可预防此次攻击。他们表示：“我们这次彻底搞砸了。” Grinding Gear Games向玩家保证，事件发生后，已经采取了多项安全措施，包括取消将Steam账号与管理员账号关联的功能。 然而，对于那些受影响的账号，Grinding Gear Games并未宣布任何补偿计划，而是表示无法恢复被盗物品。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亲俄黑客Noname057(16)上周末针对意大利各部委、机构、关键基础设施网站和私人组织发动攻击。新一轮攻击恰逢乌克兰总统泽连斯基访问意大利。 该组织在其 Telegram 频道上宣布对此次攻击负责。 1 月 11 日星期六，攻击针对了意大利各部委和政府机构，而周日，新一波 DDoS 攻击袭击了意大利银行和私营企业。 黑客活动分子发起的攻击在威胁领域并不是什么新鲜事，并且会造成一些破坏和暂时的服务中断。 国家网络安全局 (ACN) 的专家为受影响的组织提供支持，减轻攻击并恢复功能。 目标名单很长，包括外交部、基础设施和交通部、意大利金融市场监管机构 Consob、空军、海军、宪兵队和当地公共交通公司，包括罗马的 Atac 和热那亚的 Amt。 Noname057(16) 黑客还攻击了意大利银行，包括 Intesa、Monte Paschi di Siena 以及意大利塔兰托和的里雅斯特港口。亲俄黑客还针对私人组织，包括 Vulcanair 和 Olidata。 12 月底，在地缘政治紧张局势加剧的背景下，亲俄组织 NoName057 对意大利的几家网站发起了新一轮 DDoS 攻击，其中包括马尔彭萨机场和利纳特机场。 NoName57 组织自 2022 年 3 月以来一直活跃，并以全球政府和关键基础设施组织为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ipCD7Z-4hPdf7PBBMiEiDA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 微软透露，正对一家“境外威胁行为组织”采取法律行动，因该组织运营了一项“黑客即服务”基础设施，故意绕过其生成式人工智能（AI）服务的安全控制，制作攻击性和有害内容。 这家科技巨头的数字犯罪部门（DCU）表示，已观察到这些威胁行为者“开发了复杂的软件，利用从公共网站上抓取到的暴露的客户凭证”，并“试图识别和非法访问某些生成式AI服务的账户，故意篡改这些服务的功能”。 随后，这些对手利用Azure OpenAI服务等，通过向其他恶意行为者出售访问权限来获利，并为他们提供如何使用这些定制工具生成有害内容的详细指导。微软表示，其于2024年7月发现了这一活动。 微软表示，自那以后，已撤销了该威胁行为组织的访问权限，实施了新的应对措施，并加强了保障措施，以防止此类活动在未来再次发生。同时，微软还表示已获得法院命令，查封了该组织犯罪活动的核心网站（“aitism[.]net”）。 随着OpenAI ChatGPT等AI工具的普及，威胁行为者滥用这些工具进行恶意活动的现象也屡见不鲜，从制作违禁内容到开发恶意软件等。微软和OpenAI曾多次披露，来自中国、伊朗、朝鲜和俄罗斯的国家组织正在利用他们的服务进行侦察、翻译和虚假信息宣传活动。 法院文件显示，至少有三名未知人员参与了此次活动，他们利用窃取的Azure API密钥和客户Entra ID认证信息侵入微软系统，违反可接受使用政策，使用DALL-E创建有害图像。据信，还有另外七方使用了他们提供的服务和工具进行类似活动。 目前尚不清楚这些API密钥是如何被窃取的，但微软表示，被告从包括多家美国公司在内的多个客户那里进行了“系统性API密钥盗窃”，其中一些公司位于宾夕法尼亚州和新泽西州。 微软在一份文件中表示：“被告使用属于美国微软客户的被盗Microsoft API密钥，创建了一个‘黑客即服务’计划，该计划可通过‘rentry.org/de3u’和‘aitism.net’等基础设施访问，专门用于滥用微软的Azure基础设施和软件。” 一个现已被删除的GitHub存储库显示，de3u被描述为“具有反向代理支持的DALL-E 3前端”。该GitHub账户于2023年11月8日创建。 据说，在查封“aitism[.]net”后，这些威胁行为者采取了“掩盖行踪”的措施，包括试图删除某些Rentry.org页面、de3u工具的GitHub存储库以及反向代理基础设施的部分内容。 微软指出，这些威胁行为者使用de3u和一款名为oai反向代理的定制反向代理服务，利用被盗的API密钥向Azure OpenAI Service API发出请求，以文本提示非法生成数千张有害图像。目前尚不清楚创建了何种类型的攻击性图像。 运行在服务器上的oai反向代理服务旨在通过Cloudflare隧道将de3u用户计算机的通信传输到Azure OpenAI Service，并将响应传回用户设备。 “de3u软件允许用户通过简单的用户界面发出Microsoft API调用，利用Azure API访问Azure OpenAI Service，使用DALL-E模型生成图像，”微软解释道。 “被告的de3u应用程序使用未记录的Microsoft网络API与Azure计算机通信，发送旨在模仿合法Azure OpenAPI Service API请求的请求。这些请求使用被盗的API密钥和其他认证信息进行身份验证。” 值得一提的是，Sysdig于2024年5月指出，使用代理服务非法访问大型语言模型（LLM）服务与针对Anthropic、AWS Bedrock、Google Cloud Vertex AI、Microsoft Azure、Mistral和OpenAI等AI服务的LLMjacking攻击活动有关，这些攻击活动利用了被盗的云凭证，并将访问权限出售给其他行为者。 微软表示：“被告通过协调一致和持续的非法活动模式，开展Azure滥用企业的相关事务，以实现其共同的非法目的。” “被告的非法活动模式不仅限于对微软的攻击。微软迄今发现的证据表明，Azure滥用企业一直在瞄准并侵害其他AI服务提供商。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自“白厅进程”启动以应对商业黑客工具“泛滥及滥用”问题一年以来，其参与者担忧该倡议缺乏实际改变这些工具交易和使用方式的能力。 白厅进程组织者周三发布的咨询总结显示，所谓商业网络入侵能力（CCIC）的市场正在扩大，并警告称，CCIC对国家安全和人权构成的威胁“预计将在未来几年增加”。 早在2023年，英国政府通信总部（GCHQ）就警告称，过去十年里，80多个国家购买了间谍软件，其中一些国家利用这些软件“瞄准记者、人权活动家、政治异见人士和反对者以及外国政府官员”。 为应对这一问题，去年2月，英国和法国政府在伦敦共同主办了一场会议，召集外交官、行业代表、学者和民间团体承诺采取行动。 据Recorded Future News当时报道，一些最重要的CCIC出口国——尤其是以色列、印度、奥地利、埃及和北马其顿——选择不参加会议，且参会行业代表中没有销售引起担忧的CCIC者。同样拥有国内CCIC行业的俄罗斯也不太可能受邀参会。 尽管会议召开之际，美国刚宣布将限制“涉及滥用商业间谍软件”人员的签证，并将多家涉嫌助长侵犯人权行为的间谍软件公司列入制裁名单，但参会国家此后均未采取类似措施。 相反，与会者现已就CCIC供应商和国家的良好做法应为何样，制定了一份56页的咨询报告。该报告多次提及“担忧”（超过30次），并附带说明不代表英国或法国政府政策，广泛质疑该进程如何能将那些对解决问题毫无兴趣的政府和企业纳入其中。 英国渗透测试企业NCC Group的政府事务主管凯瑟琳·索默表示：“‘白厅进程’面临的挑战在于，它故意撒下大网，旨在纳入并吸引CCIC生态系统中的大多数，但实际上如何触及那些行为和做法需要改变以真正产生影响的群体。”“负责任的行为者和寻求澄清和指导的积极参与者将从‘白厅进程’下一阶段的成果中受益。但我们所有人都希望看到的重大转变目前仍难以预见，”索默告诉Recorded Future News，并补充说，“但这不应阻止我们继续尝试！” 网络研究非营利组织Virtual Routes（以其原名参与‘白厅进程’）联合主任詹姆斯·夏尔斯称赞该进程是“CCIC治理方面迈出的一大步”，但仍“遇到与其他努力相同的根本障碍”。 夏尔斯强调，各国对“国家安全”的不同定义助长了CCIC的滥用，并阻碍了对这些能力采购情况的独立监督。 他补充说，“与网络安全能力建设之间的联系凸显了‘有者’和‘无者’之间的不公平感。对一些发展中国家而言，具有讽刺意味的是，‘白厅进程’的组织者英国和法国一方面想限制（CCIC的）获取，另一方面却又支持自己的间谍软件行业。” 夏尔斯还表示，“大帐篷式做法有可能同意联合国已确立的那类自愿准则或最佳做法——而这些准则在更广泛的网络空间负责任国家行为方面经常被公然违反——而不是针对已知违规者和滥用者（无论是国家还是公司）采取具体、有针对性的行动。” 迄今为止，只有美国采取了针对性行动。国务卿安东尼·布林肯称CCIC威胁“隐私和言论自由、和平集会和结社自由”。他在国务院发布针对从事间谍软件行业人员的签证限制时发表的评论还谈到了该技术“在最恶劣的情况下与任意拘留、强迫失踪和法外处决有关”。 在唐纳德·特朗普赢得选举胜利后举行的白厅进程会议上，据一位与会者称，与会者对新政府是否会对此话题表现出同等兴趣表示怀疑，一些人因其他政府没有紧急采取具体行动解决CCIC滥用问题而感到沮丧。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本周三将过去五年针对该国国家安全和高科技目标发动的 200 多起网络攻击归咎于黑客组织MirrorFace，详细介绍了他们的策略，并呼吁政府机构和企业加强预防措施。 日本警察厅表示，通过对 MirrorFace 在 2019 年至 2024 年期间发起的网络攻击的目标、方法和基础设施的分析，得出结论，这些攻击的目的是窃取日本国家安全和先进技术的数据。 NPA 表示，网络攻击目标包括日本外务省和防卫省、国家航天局以及政治家、记者、私营公司和与高科技相关的智库等个人。 NPA 调查发现，MirrorFace 主要在 2019 年 12 月至 2023 年 7 月期间向目标组织和个人发送了带有恶意软件附件的电子邮件，以查看计算机上保存的数据，这些邮件通常来自使用被盗身份的 Gmail 和 Microsoft Outlook 地址。 NPA 表示，这些电子邮件通常使用“日美同盟”、“台海”、“俄乌战争”和“自由开放的印太地区”等关键词作为主题，并附有研究小组的邀请、参考文献和小组成员名单。 另一种策略是，黑客在 2023 年 2 月至 10 月期间利用虚拟专用网络中的漏洞获取未经授权的信息访问，攻击了日本航空航天、半导体、信息和通信领域的组织。 此次攻击包括针对日本宇宙航空研究开发机构（JAXA）的一次攻击。该机构于 6 月承认，自 2023 年以来遭受了一系列网络攻击，但与火箭、卫星和国防相关的敏感信息并未受到影响。该机构正在调查并采取预防措施。 去年，一次网络攻击导致名古屋市港口集装箱码头的 运营陷入瘫痪三天。 最近，日本航空在圣诞节期间遭遇网络攻击，导致 20 多个国内航班延误或取消，该航空公司成功阻止了攻击并在数小时后恢复了系统，飞行安全并未受到影响。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NS_xe7HsbAdmau4a9gpjgg 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 周二，乌克兰网络联盟组织的一部分黑客活动分子宣布，他们已侵入俄罗斯互联网服务提供商Nodex的网络，在窃取敏感文件后清除了被黑的系统。 昨日，这些乌克兰黑客在Telegram上宣布：“圣彼得堡的俄罗斯互联网提供商Nodex被完全洗劫并清空。数据被窃取，而他们留下的只是没有备份的空设备。” 黑客们还分享了他们在攻击期间入侵的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。 周二，Nodex在VKontakte上向客户证实了乌克兰网络联盟的声明，称其网络在疑似来自乌克兰的有计划攻击后“被摧毁”。 Nodex表示：“亲爱的用户！昨晚，我们的基础设施遭到攻击（推测来自乌克兰）。网络已被摧毁。我们正在从备份中恢复。目前没有时间表或预测。我们的首要任务是先恢复电话服务和呼叫中心。” 互联网监测组织NetBlocks也观察到，在Nodex确认遭受网络攻击后，其网络运营商的固定电话和移动服务连接在昨日午夜崩溃。 Nodex中断情况（NetBlocks） 《The Record》率先报道了此次攻击，称Nodex的网站仍然无法访问，俄罗斯互联网提供商仍在努力恢复系统。但该公司无法提供系统恢复在线的时间表。 此后，Nodex发布了更多关于恢复过程的更新，告知用户“网络核心已恢复”，其工程师仍在重置交换机。 三小时后，俄罗斯ISP表示DHCP服务器已上线，现在许多客户应能上网。 Nodex在VKontakte上的另一条更新中表示：“很多人应该能上网了。请重启您的路由器。” 乌克兰网络联盟自2016年以来一直活跃，当时多个黑客和黑客组织（如FalconsFlame、Trinity、RUH8和CyberHunta）联合起来，注册为非政府组织。 自那时以来，乌克兰网络联盟的网络活动分子声称多次攻破影响多个俄罗斯组织的系统，包括俄罗斯国防部、独立国家联合体研究所（由俄罗斯国家公司Gazprom资助）、顿涅茨克人民共和国煤炭和能源部、弗拉基米尔·普京的政治顾问弗拉基斯拉夫·苏尔科夫以及多名俄罗斯军官和媒体机构等。 2023年10月，乌克兰黑客还攻破了Trigona勒索软件团伙的服务器，在窃取包括源代码、数据库记录和加密货币热钱包在内的所有数据后将其清空。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，一名涉嫌泄露总统通话记录的美陆军士兵卡梅伦·约翰·瓦格纽斯（Cameron John Wagenius），于12月20日在德克萨斯州胡德堡被捕，他面临两项非法转移机密电话记录的指控。 瓦格纽斯现年20岁，被怀疑为一名网络罪犯，其网名“Kiberphant0m”，涉嫌提供并泄露从电信提供商AT&T和Verizon窃取的通话记录。 此次逮捕大约发生在调查记者布莱恩·克雷布斯（Brian Krebs）揭露一名美军士兵可能参与影响包括安海斯-布希（Anheuser-Busch）、好事达（Allstate）、美国前进汽车零件公司（Advance Auto Parts）、三菱（Mitsubishi）、尼曼马库斯（Neiman Marcus）、前进保险（Progressive）、桑坦德银行（Santander Bank）、州立农业保险（State Farm）和Ticketmaster在内的数百家组织的“雪花”黑客攻击行动的一个月后。 克雷布斯在一份新报告中透露，瓦格纽斯曾驻韩，是一名通信专家，很可能就是“Kiberphant0m”，且与10月底因“雪花”账户黑客攻击案被捕的加拿大公民康纳·莱利·穆卡（Connor Riley Moucka，网名Judische）有关联。 穆卡被捕后不久，“Kiberphant0m”为勒索AT&T，在网络犯罪门户BreachForums上发布了疑似被盗的特朗普总统和哈里斯副总统的通话记录。 他还提供了据称来自美国国家安全局的“数据架构”、据称从美国政府机构和Verizon应急响应人员处窃取的通话记录，以及针对Verizon一键通（PTT）客户的SIM卡交换服务。 “Kiberphant0m”还在Telegram上吹嘘自己黑进了包括AT&T和Verizon在内的15家电信提供商，并维护了一个分布式拒绝服务（DDoS）僵尸网络。 12月20日的起诉书（PDF）指控瓦格纽斯于11月初参与了机密电话记录信息的销售和传输，但未提供有关嫌疑人身份或其与“雪花”攻击关联的更多细节。 然而，据克雷布斯称，瓦格纽斯的母亲已确认他参与了网络犯罪活动，而穆卡此前也透露，他将从“雪花”客户处窃取的数据销售外包给了“Kiberphant0m”。 迄今为止，已有三人因“雪花”攻击案被捕。除穆卡和瓦格纽斯外，当局还逮捕了约翰·艾琳·宾斯（John Erin Binns），此人曾因2021年黑进T-Mobile而自居功劳，目前被关押在土耳其监狱。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文