HackerNews 编译，转载请注明出处： 一个臭名昭著的关联俄罗斯勒索软件团伙声称，已从意大利最大的工业气体生产商之一窃取 159GB 数据，并已启动公开泄露倒计时。 这起勒索软件攻击的幕后黑手是关联俄罗斯的网络犯罪团伙 “珠穆朗玛峰集团”（Everest Group），该团伙已在暗网的泄露站点上将西亚德集团（SIAD Group）列为受害者。 西亚德集团是意大利领先的化工及工业气体公司，生产和分销应用于食品、医疗、汽车、冶金和化工制造等多个行业的气体产品。其业务还包括液化石油气（LPG）和天然气供应。 除气体生产外，该公司还研发气体处理设备、压缩机和自动化系统，并提供家庭及医院医疗保健服务。西亚德集团于 1927 年在贝加莫成立，2024 年营业额超过 11 亿欧元。 目前，该团伙尚未发布数据样本佐证其说法。受害者站点上的帖子包含一个计时器，显示该公司需在 8 天内联系网络犯罪分子，否则被盗数据将被公开。 西亚德集团勒索软件攻击事件 勒索软件团伙常将受害者列在暗网泄露站点上，试图通过勒索迫使企业支付赎金。 此次潜在数据泄露的影响范围和后果目前尚无法确定。 “尚未有任何证据上传，因此我们不清楚哪些系统可能受到影响，”Cybernews 研究人员表示。 “由于西亚德集团是多种工业耗材的主要供应商，若勒索软件攻击导致其生产运营中断，可能会使其无法向客户交付所需耗材，进而对欧盟地区的制造业、医疗保健和能源行业造成一定程度的干扰，” 研究人员补充道。 Cybernews 已联系该公司寻求说明，但尚未收到回应。 珠穆朗玛峰集团（Everest Group）是谁？ 珠穆朗玛峰集团大概率关联俄罗斯，于 2021 年 7 月首次现身。该团伙今年发动的最具破坏性攻击瞄准了航空业。 他们声称入侵了柯林斯航空航天公司（Collins Aerospace）及其 MUSE 值机软件 —— 这款软件用于机场值机和乘客管理。 此次攻击影响了欧洲多个主要机场，导致连续数日的出行混乱。随后，该团伙威胁要泄露与柯林斯航空航天公司入侵事件相关的都柏林机场乘客数据。 今年 9 月，该团伙声称宝马集团（BMW）遭其攻击，还宣称入侵了德国第二大银行德国中央合作银行（DZ Bank）的一家子公司，并威胁泄露被盗数据，但该银行否认发生过任何攻击事件。 7 月，该集团声称攻击了知名电子邮件营销平台 Mailchimp，窃取了一批 “公司内部文件”，但部分安全圈内人士称这些文件只是 “零星碎片”。 该团伙被认为与 BlackByte 勒索软件集团存在关联。5 月 22 日，珠穆朗玛峰集团将目标对准可口可乐中东分部，最终泄露了该公司多个配送中心近 1000 名员工的数据。 据悉，这起攻击似乎是针对全球最大可口可乐装瓶商 “可口可乐欧洲太平洋合作伙伴公司” 的大规模攻击的一部分，勒索软件团伙声称窃取了约 2300 万条记录。 在攻击可口可乐后数日，珠穆朗玛峰集团又声称攻击了知名国际私立医院集团 Mediclinic（在阿联酋设有分院）、阿布扎比文化和旅游部，以及约旦科威特银行（JKB）。 此外，该团伙还曾在 2022 年 10 月攻击美国电话电报公司（AT&T），据称当时试图出售 AT&T 整个企业网络的访问权限；2024 年秋季，还攻击了丽笙乡村旅馆及套房连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利知名通信业高管兼政治顾问披露，自己成为 Paragon 间谍软件的攻击目标。这使得他成为这起震动意大利政府的丑闻中第五位公开现身的意大利受害者。 数字取证研究员已就此次攻击事件与当事人弗朗切斯科・尼科德莫沟通，据他透露，尼科德莫是收到 WhatsApp 通知的受害者之一，该通知提供了其遭 Paragon 旗下 Graphite 间谍软件攻击的相关证据。 意大利新闻媒体 Fanpage 率先报道了这一消息。据该媒体称，尼科德莫长期为政治候选人提供通信事务咨询，仅 2024 年一年，其公司就参与了 13 场选举活动。值得注意的是，尼科德莫同时担任意大利最大政党民主党的通信主管，该政党是当前意大利联合政府的组成部分。 意大利总理焦尔吉娅・梅洛尼领导的政府已承认，曾使用 Paragon 间谍软件试图监控上述五名已知意大利受害者中的部分人士，但否认与两名公开披露感染情况的 Fanpage 记者遭攻击事件有关联。此前，Fanpage 于 2024 年 6 月发表深度调查报道，揭露了梅洛尼与青年法西斯分子之间的关联。 斯科特 – 雷尔顿表示：“尽管意大利当局承认了部分案件，但无法解释的 Paragon Graphite 间谍软件攻击案例仍在不断增加，针对政治领域及选举活动相关人员的攻击主题仍在持续。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯网络安全公司宣称，已发现证据表明意大利Memento Labs公司开发的监控软件，疑似被用于针对俄罗斯和白俄罗斯境内组织的网络攻击。 卡巴斯基实验室周一发布研究报告称，他们在多起与黑客组织”ForumTroll”相关的攻击中，识别出该公司开发的商业监控软件“Dante”。研究人员强调，目前未发现该间谍软件在卡巴斯基客户网络中活跃感染的迹象，且无法确定ForumTroll行动的幕后雇主。报告同时指出，攻击者使用该监控软件的具体费用，以及开发商是否知晓其软件被部署的情况，目前仍属未知。 “精通俄语并熟悉当地特性是ForumTroll组织的显著特征，我们在其过往攻击活动中也观察到这些特质。”研究人员分析称，”但其他案例中出现的语言错误表明，攻击者并非以俄语为母语者。” 位于米兰的Memento Labs公司未回应置评请求。研究人员指出，这是自2023年Memento Labs在执法与情报机构闭门会议上推出Dante以来，该监控软件在真实网络攻击中被使用的首个实证案例。 此次发现源于卡巴斯基今年3月对ForumTroll间谍攻击的调查。该黑客组织当时通过伪装成俄罗斯知名科学专家论坛邀请函的钓鱼邮件，针对俄罗斯媒体机构、高等院校、科研中心、政府机关及金融组织发动攻击。研究人员透露，攻击者发送的恶意链接利用了谷歌Chrome浏览器的零日漏洞（现被标识为CVE-2025-2783），该漏洞已由卡巴斯基上报并被谷歌修复。 尽管Dante未在此次攻击中投入使用，但卡巴斯基正是通过调查ForumTroll事件，最终在其他网络入侵中发现了这款监控软件的踪迹。研究人员表示，ForumTroll最新攻击行动中包含其定制工具LeetAgent——这个至少可追溯至2022年的工具，在某些情况下会作为更先进的Dante软件的加载器。 值得关注的是，Memento Labs的前身Hacking Team在2015年遭遇大规模数据泄露前，曾向全球政府客户销售入侵与监控工具。数字权益监督机构”公民实验室”报告指出，该公司因向”持续存在严重人权侵害行为”的国家出售RCS监控软件而备受批评。2014年报告显示，RCS软件的使用范围覆盖沙特阿拉伯、苏丹、墨西哥、阿塞拜疆、埃及、匈牙利、意大利和哈萨克斯坦等至少20国。经历数据泄露事件后，该公司经收购重组更名为Memento Labs，继续向执法和情报机构推广其”情报解决方案”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利政府周三警告称，黑客窃取了数万名酒店住客的身份证明文件并在网上非法销售。意大利数字署计算机应急响应小组（CERT-AGID）指出，黑客“mydocs”近期在暗网论坛累计兜售超过9万份证件。 这些高分辨率扫描件据称来自10家不同意大利酒店，包含旅客入住登记时提供的护照及其他官方身份证件。黑客“mydocs”自上周起在知名地下论坛分多批次销售这些数据。意大利数字署声明称：“不排除未来数日出现新增案例的可能性。此类失窃数据可能被用于欺诈活动：包括伪造证件、开设银行账户、实施社会工程攻击及数字身份盗窃，受害者或将面临严重的财务与法律风险。” 近期入住意大利酒店的旅客需警惕个人数据遭滥用迹象，例如冒名信贷申请或非法开设金融账户。尽管黑客攻击发生在今年6月至7月间，但酒店存储扫描件的年限不明，实际受影响住客总数尚难确定。涉事酒店名称未被公开。 CERT-AGID警示称，今年早些曾发生类似事件：该小组当时挫败了旨在“窃取身份证明文件（尤其包含证件与持证人面部对照自拍照）”的短信钓鱼活动。声明强调：“身份文件非法交易的增长印证了强化防护措施的紧迫性，相关机构及公民均需提升防范意识。” 鉴于“此类非法活动日益频繁”，意大利数字署指出“收集和管理身份文件的机构亟需采取严格措施保护信息安全，既要确保数据处理合规，更须防范数字系统及门户遭未授权访问”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全监督组织公民实验室（Citizen Lab）披露，美国监控公司Paragon制造的间谍软件近期锁定了第二名意大利记者，这使已导致意大利总理焦尔吉娅·梅洛尼政府与Paragon终止合作的监控丑闻再添新疑点。 公民实验室在周四发布的报告中指出，调查记者西罗·佩莱格里诺（Ciro Pellegrino）的iPhone存在遭Paragon精密间谍软件攻击的证据。佩莱格里诺供职于网络媒体Fanpage，该媒体主编弗朗切斯科·坎切拉托（Francesco Cancellato）此前已公开表示，他是2025年1月收到WhatsApp间谍软件攻击警报的数十名用户之一。 Fanpage持续发布针对梅洛尼政府的批评性报道，尤其曾揭露其政党青年分支与新纳粹活动关联的独家新闻。该媒体记者遭监控的指控在意大利国内引发巨大争议。本周一，意大利政府与Paragon宣布终止合作，但双方对解约责任各执一词。 面对质询，Paragon援引其向以色列媒体《国土报》提供的声明称，曾向意大利当局提供验证系统是否被滥用的方案，但遭政府拒绝。 意大利政府未回应路透社就公民实验室报告提出的置评请求。佩莱格里诺在那不勒斯通过短信向路透社表示，发现自己成为间谍软件目标的感觉“极其可怕”，并强调手机是“存储个人健康数据、新闻来源等一切信息的生命黑匣子”。 意大利议会安全委员会（COPASIR）6月9日报告称，情报部门曾在执法工作中使用Paragon工具截获移民海上救援活动人士的通信，但“未发现针对Fanpage主编坎切拉托实施监控的证据”。人权组织“现在访问”（Access Now）高级律师纳塔利娅·克拉皮瓦指出：“佩莱格里诺的受害事实，严重质疑了议会调查的充分性。”该委员会未回应质询，仅表示保留进一步调查权。 公民实验室报告同时提到一名遭Paragon间谍软件攻击的欧洲记者（匿名），但以“保护隐私”为由拒绝透露其身份及攻击细节。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利政府在被指控使用间谍软件监控批评者的手机后，该国议会文件周一表示已终止与以色列监控软件公司Paragon的合同。Paragon未立即回应路透社的置评请求。 Meta旗下WhatsApp聊天服务今年早些时候称，Paragon间谍软件曾针对多名用户进行监控，包括一名记者和批评总理乔治亚·梅洛尼的移民海上救援组织Mediterranea成员。意大利政府二月承认国内有七名手机用户成为该间谍软件目标，但否认参与非法活动，并表示已要求国家网络安全局调查此事。 议会安全委员会COPASIR最新报告显示，在媒体强烈抗议后，意大利情报部门先是暂停了与Paragon的合作，最终终止了合同。报告称意国内情报机构AISI和对外情报机构AISE分别于2023年和2024年与Paragon签约，经检察官授权后对极少数目标使用该软件。该委员会表示，对外情报机构使用该软件是为追查逃犯、打击非法移民、涉嫌恐怖主义、有组织犯罪、燃油走私及反间谍活动。 报告特别指出，海上救援组织Mediterranea成员“并非作为人权活动家被监控，而是因其可能涉及非常规移民的活动”获得政府授权。梅洛尼的情报事务负责人、内阁副秘书长阿尔弗雷多·曼托瓦诺于2024年9月5日批准对该组织成员卢卡·卡萨里尼和朱塞佩·卡恰使用Paragon间谍软件。曼托瓦诺暂未回应此事。 另据披露，西西里岛法官上月已下令以协助非法移民罪审判Mediterranea六名成员（含上述两人），这是首次有救援船船员面临此类起诉，所有被告均否认有不当行为。报告同时指出，调查网站Fanpage主编弗朗切斯科·坎切拉托（其自称是监控目标）未有证据表明遭Paragon软件监控，这与他向路透社等媒体的指控不符。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

UNC4990 小组已经证明，即使过时的技术仍然非常有效。 UNC4990小组最近在意大利活跃，利用受感染的USB设备进行网络攻击，涉及医疗保健、运输、建筑和物流等多个行业。攻击方式包括通过USB传播恶意软件，使用GitHub、Vimeo和Ars Technica等网站来托管额外的有效负载，并且采用PowerShell从这些站点下载和解密恶意文件。UNC4990的最终目标尚不清楚，但已确定其中一个案例涉及加密货币挖矿，表明可能存在财务动机。 此外，Fortgale和Yoroi的研究人员也记录了类似的恶意活动。感染过程始于受害者启动恶意LNK文件，导致执行远程服务器加载EMPTYSPACE的PowerShell脚本。EMPTYSPACE具有四种风格，分别用Golang、.NET、Node.js和Python编写，用于下载下一阶段的恶意软件，包括QUIETBOARD后门。 QUIETBOARD是一个功能广泛的Python后门，可以执行任意命令、更改加密货币钱包地址和收集系统信息，还可以传播到可移动存储设备并截取屏幕截图。尽管攻击者使用流行网站来托管恶意软件，但这些网站的内容对普通用户并不构成直接威胁。 分析EMPTYSPACE和QUIETBOARD表明，攻击者采用模块化方法开发工具，表现出实验性和适应性。这些事件证明，即使是旧的妥协方法（如分发受感染的USB驱动器）仍然有效，并且内置安全系统通常无法识别它们。这些攻击强调了不断改进网络防御的重要性，只有综合考虑技术、流程和人为因素，才能确保适当的安全级别。   转自安全客，原文链接：https://www.anquanke.com/post/id/293056 封面来源于网络，如有侵权请联系删除

意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时； 意大利CERT发布预警称，此次攻击使用了“慢速HTTP”的新型DDoS手法，传统防御措施较难抵御，需要针对性处置； 亲俄黑客团伙Killnet声称对本次攻击负责。 意大利计算机安全事件响应小组（CSIRT，类似于国家CERT）警告称，近期已出现多起针对意大利重要政府网站的DDoS攻击。 DDoS（分布式拒绝服务）是一种常见的网络攻击，旨在耗尽服务器上的可用资源，致使其无法响应正常用户请求，所托管的网站也无法正常访问。 意大利多个重要政府网站瘫痪 意大利安莎通讯社报道称，当地时间5月11日，意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时，受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。 亲俄黑客团伙Killnet声称对本次攻击负责。此前，他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。 作为对意大利DDoS攻击新闻报道的回应，Killnet团伙在Telegram频道上发布消息称，未来可能将出现进一步攻击。 一名Killnet代表成员在Telegram上宣称，“我们的‘军团’正在你国开展军事网络演习，旨在训练提升攻击技能。这与你国的行为类似——意大利人和西班牙人也在乌克兰境内学习作战。我们的‘军团’正在消灭你们的服务器！” “请注意，当前阶段还只是训练。别再大呼小叫，发布什么参议院遭到攻击的消息了。我可以保证，我们的网络部队很快就会在意大利领土之内完成训练，并继续发动进攻。这一切会来得很猛，来得很快。” 当前防御措施难以抵御慢速HTTP手法 CSIRT在公告中解释称，恶意黑客针对该国政府、各部委、议会乃至军队网站的攻击活动，使用到了所谓的“慢速HTTP”技术。 该技术每次向Web服务器发送一条HTTP请求，但会为请求设置极慢的传输速率或故意发送不完整请求，导致服务器等待下一条请求。 服务器首先检测传入的通信，再分配专用于等待剩余数据的资源。当这类请求过多时，服务器就会不堪重负，无法再接收任何其他连接，最终导致站点无法访问。 CSIRT表示，“这种攻击手法在使用POST请求时更加有效，因为这些请求会同时向Web服务器发送大量数据。” CSIRT称“慢速HTTP”是一种比较少见的DDoS攻击类型，并警告如果系统管理员不做出针对性处置，那么现有防御措施恐怕将无能为力。 “对于自5月11日起发现的这几次针对国内及国际目标的DDoS攻击，我们发现其不同于常规的1类容量耗尽攻击。由于实际占用的带宽较为有限，因此无法利用市面上常用的保护系统加以抵御。” ——CSIRT CSIRT已经在公告中分享了缓解此类攻击的可能方法。 转自 安全内参，原文链接：https://www.secrss.com/articles/42446 封面来源于网络，如有侵权请联系删除