HackerNews 编译，转载请注明出处： 甲骨文电子商务套件（Oracle E – Business Suite，简称 EBS）遭黑客攻击事件中，几家被列为受害者的全球巨头，对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞，获取企业存储在甲骨文企业管理软件中的数据，进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌，但网络安全界认为，该行动可能是由一群威胁行为者推动的，其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业，涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者，网络犯罪分子发布了种子文件，指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明，确认发生数据泄露事件。许多企业称事件影响有限，但仍告知受影响人员潜在风险。 然而，仍有少数几家大型公司似乎尚未就此事发布任何公开声明，既未确认也未否认遭受攻击，甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司，以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过，大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据，但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析，发现这些文件确实源自甲骨文 EBS 环境。 以博通为例，网络犯罪分子公开了超过 2TB 的档案，据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时，指向柏克德和雅培文件的种子文件仍然可用，但无法获取数据进行分析。然而，这并不意味着网络犯罪分子无法再访问这些文件，因为它们也可能在地下论坛私下传播。 一方面，像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围，促使许多公司迅速发布声明，否认或淡化相关指控，以安抚客户和利益相关者，表明任何影响都是有限的。 此外，如果没有受监管的数据（如健康信息、社会安全号码或支付细节）遭到泄露，公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度，根据美国证券交易委员会（SEC）的规定，也无需向投资者报告。 另一方面，一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查，也可能引发诉讼、卖空压力或额外的监管审查。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DIY 连锁品牌 ManoMano 正通知客户发生数据泄露事件，该事件由黑客入侵第三方服务提供商导致。 该公司向 BleepingComputer 证实，其于 2026 年 1 月获悉此次入侵事件。事件调查结果显示，共有 3800 万人受到影响。 该公司向 BleepingComputer 表示：“我们可以确认，ManoMano 近期已就涉及一家第三方客户服务提供商（分包商）的安全事件通知了客户。” “2026 年 1 月，我们发现与该提供商相关的未授权访问行为，导致与客户账户及客服交互相关的部分个人数据被未授权提取。” ManoMano 是一家法国电商企业，运营专注于 DIY、家居装修、园艺及相关产品的在线商城。 其业务覆盖法国、比利时、西班牙、意大利、德国和英国，据称其线上商城每月独立访客量达 5000 万。 本月早些时候，一名使用化名 “Indra” 的人员在黑客论坛宣称对 ManoMano 发动攻击，声称其持有 3780 万用户账户信息以及数千份支持工单和附件。 据未经证实的报道，遭入侵的机构是一家位于突尼斯的客户支持服务提供商，该机构发生了 Zendesk 系统泄露。 网络安全公司 Hackmanac 发布消息称，ManoMano 于本周开始通知客户其数据已被盗取。 ManoMano 发言人向 BleepingComputer 解释称，暴露的信息因人而异，取决于用户与平台的交互类型。 暴露的数据类型包括： ·     姓名 ·     电子邮箱 ·     电话号码 ·     客服沟通记录 ManoMano 强调，账户密码未被访问，公司系统内未发生数据篡改。 ManoMano 发言人表示：“发现事件后，我们立即采取措施加固环境安全，包括禁用相关访问权限、撤销分包商对客户数据的访问权限，并强化访问控制与监控。” “我们已通知包括 CNIL 和 ANSSI 在内的相关监管机构，并告知受影响客户保持警惕，防范钓鱼攻击与社会工程学攻击。” 发送给客户的通知（来源：ManoMano） ManoMano 向 BleepingComputer 提供的通知样本中包含对客户的建议，包括核验 incoming 通信与发件人身份、监控银行账户是否存在欺诈交易、避免点击可疑链接或下载邮件附件。 ManoMano 表示，调查仍在进行中，现阶段无法提供更多技术细节。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 发现一起针对 Citrix Gateway 的双模式侦察活动，攻击者利用超过 6.3 万个住宅代理及亚马逊云科技（AWS）基础设施，搜寻登录面板并枚举系统版本。 2026年1月28日至2月2日期间，GreyNoise 追踪到一起协同进行的侦察活动，目标直指 Citrix ADC 和 NetScaler 网关。攻击者先通过超 6.3 万个住宅代理探测登录面板，随后切换至 AWS 基础设施，在 11.1 万余次会话中集中枚举暴露在外的系统版本。 该活动共记录来自超 6.3 万个 IP 的 111834 次会话，其中 79% 的流量直指 Citrix 网关蜜罐，可见攻击者是针对性开展基础设施测绘，而非随机爬取。GreyNoise 发布的报告指出：“数据足以说明问题 ——111834 次会话、超 6.3 万个独立源 IP，且对 Citrix 网关蜜罐的针对性攻击率达 79%，这一比例至关重要，远高于基准扫描噪声水平，表明攻击者是刻意开展基础设施测绘，而非投机性爬取。” 就在 2026 年 2 月 1 日前夕，发生了两起针对 Citrix 基础设施的相关活动。其一活动通过全网扫描探测登录面板，另一场则快速核查软件版本，可见这是一场协同化的侦察行动。 登录面板探测环节高度依赖住宅代理。攻击者将大量流量集中在一个大型 Azure IP 上，剩余流量则来自全球数千个合法民用 IP。每个 IP 均配有唯一浏览器指纹，助力攻击者绕过地理围栏及信誉过滤机制。 版本核查环节由 10 个 AWS IP 发起，持续超 6 小时，且均使用同一老旧 Chrome 浏览器指纹。这种快速且精准的活动态势表明，攻击者在锁定潜在目标后迅速开展行动。 基于 Azure 的扫描器通过 VPN 及隧道转发流量，且采用略低于标准的最大分段大小（MSS），可见攻击者具备严谨的操作安全意识。住宅代理源自 Windows 设备，但会经 Linux 代理转发，以此混入民用流量规避检测。AWS 版本扫描器则使用了只有在数据中心环境下才可能配置的巨帧设置，这证实了攻击者依赖的是专用基础设施，而非普通的消费级网络。 TCP 协议分析显示，尽管基础设施配置不同，但三者共用同一框架：Azure 流量走 VPN 隧道、住宅代理扫描经 Linux 代理转发、AWS 扫描则依赖数据中心级网络配置。三者共享相同 TCP 特征，表明三场攻击活动依托同一底层工具集。 报告补充道：“尽管基础设施类型不同，但所有指纹的 TCP 选项顺序完全一致，这表明即便操作层面相互隔离，底层仍共用同一工具或框架”。 此次侦察活动大概率是攻击前的基础设施测绘，攻击者重点瞄准 EPA 安装文件，或为后续针对性漏洞利用做准备。企业应重点监测异常用户代理、快速登录枚举行为、老旧浏览器指纹及针对敏感路径的外部访问请求。防护措施包括限制基础设施暴露面、强化身份认证机制、隐藏系统版本信息、标记可疑地区流量。 该报告（内含入侵指标）总结道：“此次侦察活动大概率是漏洞利用前的基础设施测绘，对 EPA 安装文件路径的精准瞄准，表明攻击者有意针对已知 Citrix ADC 漏洞开发版本专属利用程序，或开展漏洞验证”。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Step Finance 发布公告称，因公司高管团队设备遭黑客入侵，平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵，并联系了网络安全研究人员，后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融（DeFi）平台和分析工具，允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一，还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP，该代币交易量相对有限。 1 月 31 日，Step Finance 发布公告称，平台多个金库钱包遭入侵，威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示：“今日早些时候（亚太时段），我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备，并与网络安全专业团队紧密协作，快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报，被盗资产折合 261854 枚 SOL 代币，价值约 2890 万美元，但 Step Finance 经调查确认，本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调，目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响，平台已暂停部分业务，全力推进安全防护加固工作。Step Finance 指出，其旗下子平台 Remora Markets 未受此次事件波及，且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前，暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存，针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份，这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测，相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心，但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示，今年 1 月全球加密资产失窃总金额达 3.98 亿美元，其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件，总损失近 28.7 亿美元；而历史损失最高年份仍为 2022 年，当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Discord（知名社交平台）表示，不会向声称窃取了该公司 Zendesk 客服系统数据的威胁行为者支付赎金。黑客称此次泄露涉及 550 万独立用户的信息，其中包括部分用户的政府身份证件（如身份证、护照等）及不全的支付信息。 对于黑客 “泄露 210 万张政府身份证件照片” 的说法，Discord 同样予以驳斥，称实际仅有约 7 万名用户的政府身份证件照片可能被曝光。 尽管黑客声称泄露是通过 Discord 的 Zendesk 客服系统发生的，但 Discord 并未证实这一说法，仅表示事件与一款用于客户支持的第三方服务有关。 Discord 官方回应：未自身遭入侵，数据量说法不实 Discord 在给 BleepingComputer（科技媒体）的声明中表示：“首先，正如我们在博客文章中所提及的，此次事件并非 Discord 自身系统遭入侵，而是我们用于辅助客户服务的第三方服务出现问题。 其次，目前流传的数据规模说法均不准确，这些说法是黑客试图向 Discord 勒索赎金的手段之一。在全球范围内受影响的账户中，我们已确认约 7 万名用户的政府身份证件照片可能被曝光 —— 这些照片是我们的服务商此前用于审核年龄相关申诉时留存的。 第三，我们不会为这些人的非法行为提供任何‘奖励’（即支付赎金）。” 黑客自述：通过外包客服账户入侵，窃取 1.6TB 数据 BleepingComputer 与黑客沟通后了解到，对方认为 Discord 未如实披露此次泄露的严重性，并声称从 Discord 的 Zendesk 系统中窃取了 1.6 太字节（TB）的数据。 据威胁行为者称，他们自 2025 年 9 月 20 日起，持续访问 Discord 的 Zendesk 系统长达 58 小时。但黑客表示，此次入侵并非源于 Zendesk 自身的漏洞或安全 breach，而是通过一个 “外包客服账户” 实现的 —— 该账户归属 Discord 合作的业务流程外包（BPO）服务商旗下的一名客服人员，且该账户已被黑客控制。 如今，许多企业会将客服及 IT 帮助台业务外包给 BPO 服务商，这类外包账户已成为黑客的热门攻击目标，攻击者可通过其获取下游客户环境的访问权限。 黑客还声称，通过 Discord 内部的 Zendesk 系统，他们得以访问一款名为 “Zenbar” 的客服应用。借助该应用，黑客可执行多种客服相关操作，例如关闭用户的双重认证（MFA）、查询用户的手机号及邮箱地址等。 攻击者表示，通过入侵 Discord 的客服平台，他们窃取了 1.6TB 的数据，其中包括约 1.5TB 的工单附件（如用户提交的申诉材料）和超过 100GB 的工单对话记录（客服与用户的沟通内容）。 黑客称，这些数据涉及约 840 万条客服工单，覆盖 550 万独立用户，其中约 58 万名用户的信息中包含某种形式的支付数据。 不过，威胁行为者也向 BleepingComputer 承认，他们无法确定政府身份证件的具体泄露数量，但认为远不止 Discord 所说的 7 万份 —— 因为仅涉及 “年龄验证” 的工单就有约 52.1 万条（这类工单通常需用户提交身份证件）。 泄露数据样本含多类敏感信息，支付数据或通过系统集成获取 黑客还分享了部分窃取的用户数据样本，内容涵盖多种敏感信息，包括：用户邮箱地址、Discord 用户名及 ID、手机号、不全的支付信息（如部分银行卡号）、出生日期、双重认证相关配置信息、账户可疑活动等级，以及其他 Discord 内部标注的用户信息。 黑客称，部分用户的支付信息可通过 Zendesk 与 Discord 内部系统的集成功能获取。据其描述，这些集成功能使得攻击者能通过 Zendesk 平台，向 Discord 内部数据库发起数百万次 API 查询，进而获取更多用户数据。 目前，BleepingComputer 尚未能独立核实黑客的说法，也无法确认所提供数据样本的真实性。 勒索谈判破裂，黑客威胁公开泄露数据 黑客透露，该团伙最初向 Discord 索要 500 万美元赎金，后降至 350 万美元，并在 9 月 25 日至 10 月 2 日期间与 Discord 进行了私下谈判。 在 Discord 终止沟通并就此事发布公开声明后，黑客表示 “极度愤怒”，并威胁称若赎金要求得不到满足，将公开泄露所有窃取的数据。 BleepingComputer 就黑客的说法向 Discord 提出了进一步疑问（例如 “为何在完成年龄验证后仍留存用户的政府身份证件”），但除上述声明外，未获得更多回应。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为TA558的威胁行为者被归因于一系列新的攻击，这些攻击通过各种远程访问木马（RAT）如Venom RAT入侵巴西和西班牙语市场的酒店。 俄罗斯网络安全供应商卡巴斯基正在追踪这一活动，该活动发生在2025年夏季，被其追踪为RevengeHotels。 “威胁行为者继续使用带有发票主题的网络钓鱼邮件，通过JavaScript加载器和PowerShell下载器传递Venom RAT植入物，”该公司表示，“在这次活动中，初始感染器和下载器代码的很大一部分似乎是由大型语言模型（LLM）代理生成的。” 这些发现表明，网络犯罪团伙利用人工智能（AI）来增强其技术手段，这是一种新的趋势。 自2015年以来一直活跃的RevengeHotels，一直针对拉丁美洲的酒店、酒店和旅游组织，目的是在受损系统上安装恶意软件。 该威胁行为者活动的早期版本被发现分发带有精心制作的Word、Excel或PDF文档的电子邮件附件，其中一些利用了微软Office中的已知远程代码执行漏洞（CVE-2017-0199），以触发Revenge RAT、NjRAT、NanoCoreRAT和888 RAT的部署，以及一种名为ProCC的自定义恶意软件。 Proofpoint和Positive Technologies记录的后续活动表明，该威胁行为者有能力完善其攻击链，以传递各种RAT，如Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake Keylogger和Vjw0rm。 这些攻击的主要目标是从酒店系统中捕获客人和旅行者的信用卡数据，以及从Booking.com等流行的在线旅行社（OTAs）收到的信用卡数据。 据卡巴斯基称，最新的活动涉及发送用葡萄牙语和西班牙语撰写的网络钓鱼邮件，这些邮件带有酒店预订和工作申请的诱饵，以诱使收件人点击欺诈链接，从而下载WScript JavaScript有效载荷。 “该脚本似乎是通过大型语言模型（LLM）生成的，其大量注释的代码和类似这种技术产生的格式就是证据，”该公司表示，“该脚本的主要功能是加载后续脚本，以促进感染。” 这包括一个PowerShell脚本，该脚本从外部服务器检索名为“cargajecerrr.txt”的下载器，并通过PowerShell运行它。顾名思义，下载器会获取两个额外的有效载荷：一个负责启动Venom RAT恶意软件的加载器。 基于开源的Quasar RAT，Venom RAT是一种商业工具，终身许可证售价650美元。将恶意软件与HVNC和Stealer组件捆绑的一个月订阅费用为350美元。 该恶意软件配备了窃取数据、充当反向代理的功能，并具有反杀保护机制，以确保其不间断运行。为此，它修改了与运行进程相关的自由裁量访问控制列表（DACL），删除任何可能干扰其运行的权限，并终止任何与硬编码进程匹配的运行进程。 “这种反杀措施的第二个组成部分涉及一个运行持续循环的线程，每50毫秒检查一次运行进程列表，”卡巴斯基表示。 “该循环专门针对那些通常由安全分析师和系统管理员用于监控主机活动或分析.NET二进制文件等任务的进程。如果RAT检测到这些进程中的任何一个，它将不提示用户而终止它们。” 反杀功能还配备了使用Windows注册表修改在主机上设置持久性的能力，并在相关进程未在运行进程列表中找到时重新运行恶意软件。 如果恶意软件以提升的权限执行，它将继续设置SeDebugPrivilege令牌，并将自身标记为关键系统进程，从而即使在尝试终止进程时也能保持持久性。它还会强制计算机显示器保持开启状态，并防止其进入睡眠模式。 最后，Venom RAT工件具备通过可移动USB驱动器传播和终止与Microsoft Defender Antivirus相关进程的能力，以及篡改任务计划程序和注册表以禁用安全程序。 “RevengeHotels显著增强了其能力，开发了新的战术来针对酒店和旅游部门，”卡巴斯基表示，“在LLM代理的帮助下，该组织能够生成和修改其网络钓鱼诱饵，将其攻击扩展到新的地区。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）警告称，与Scattered Spider及ShinyHunters网络犯罪组织相关的黑客正通过攻击Salesforce平台窃取数据，并向受害组织勒索高额赎金。 该机构于周五发布紧急通告，披露了今年已影响数百家企业的一系列持续数据窃取活动。FBI将这些黑客同时标注为UNC6040和UNC6395两个编号，其常用代号分别为ShinyHunters和Scattered Spider。 在历时数月攻破多家全球大型企业后，这些黑客现正试图勒索受害组织——威胁泄露大量客户数据、商业文件等敏感信息。 FBI未透露具体有多少受害者收到要求加密货币支付的勒索邮件，但指出赎金金额差异巨大且勒索时机看似随机。部分勒索发生在数据外泄数日后，而有些则在数月后才启动。 据FBI调查，该攻击活动始于2024年10月，黑客成员通过社会工程学攻击联系呼叫中心并伪装成IT员工获取机构访问权限。此类手段通常使网络犯罪分子获得员工凭证，进而访问存有客户数据的Salesforce实例。在其他案例中，黑客还通过网络钓鱼邮件或短信控制员工手机或电脑。 今年夏季，黑客进一步升级战术，转而利用企业连接到Salesforce实例的第三方应用程序。“UNC6040威胁行为者诱骗受害者为组织Salesforce门户授权恶意关联应用，”FBI表示，“这使得他们能够直接从受侵的Salesforce客户环境中访问、查询和外泄敏感信息。” 8月，黑客开始瞄准Salesloft Drift应用程序——一款可与Salesforce集成的人工智能聊天机器人。FBI解释称，该战术使他们能够绕过多因素认证、登录监控和密码重置等传统防御措施。在某些案例中，FBI发现黑客通过在Salesforce试用账户中创建恶意应用程序，无需使用合法企业账户即可注册关联应用。 FBI提供了可用于检测是否受影响的入侵指标（IoC），并敦促企业针对相关战术对呼叫中心员工进行培训。该机构还建议企业限制几乎所有员工账户的权限，实施基于IP的访问限制，监控API使用等。 专家表示，FBI提供的信息显示了这些攻击者如何熟练滥用合法工具（如Azure云基础设施、虚拟服务器、Tor出口节点和代理服务）来隐藏其攻击源。 黑客“退休”疑云 FBI发布通告前夕，该组织曾在Telegram多次发文宣称即将“退休”，并将原因归咎于近期成员接连被捕、执法行动和刑事定罪。网络安全专家对此表示怀疑，指出网络犯罪组织常在重组更名前发布类似声明。有分析认为黑客可能意在享受近期勒索所得，之后仍将重返犯罪活动。 帕洛阿尔托网络公司Unit 42部门高级主管Sam Rubin表示，近期逮捕行动可能促使该组织暂时潜伏，但历史表明此类活动往往只是暂时的。“这类组织会分裂、改头换面后重新出现——正如ShinyHunters自身经历。即使公开活动暂停，风险依然存在，被盗数据可能再次浮现，未检测到的后门可能持续存在，攻击者可能以新名称重新出现。”他强调，“威胁组织的沉默不等于安全”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 捷豹路虎（JLR）正在调查一个与“Scattered Spider”（散裂蜘蛛）组织有关的黑客联盟所声称的、对这家汽车制造巨头的攻击负责的说法。 该英语网络犯罪组织据信应对今年早些时候针对英国零售商玛莎百货（M&S）、Co-op 和哈罗德（Harrods）的网络攻击负责。 英国广播公司（BBC）报道了这一声称，该报道基于与一位自称是该集团发言人的个体的私人短信对话。该集团自称为“Scattered LapsusHunters”，暗示了ScatteredSpider、ShinyHunters和Lapsus之间可能存在合作。 BBC称，该集团声称已访问了捷豹路虎的系统，并试图向该公司勒索钱财。 目前尚未确认是否有数据被窃，或Scattered Lapsus$ Hunters是否安装了勒索软件。 然而，该集团在即时通讯应用Telegram上分享了声称截取自捷豹路虎IT网络内部的截图。这些未经核实的图像包括用于排查汽车充电问题的内部指令和内部计算机日志。 捷豹路虎的一位发言人在回应置评请求时表示：“我们知悉与近期网络事件相关的声称，我们正在持续积极调查。” 捷豹路虎于9月2日首次确认遭受网络事件，称在汽车制造商主动关闭系统以减轻事件影响后，其销售和生产运营受到严重干扰。 由于网络事件造成的干扰，在英国默西塞德郡哈利伍德（Halewood）生产工厂工作的员工被告知9月2日星期二不要上班。 截至撰写本文时，捷豹路虎尚未提供有关运营影响的进一步细节。然而，当地新闻媒体《利物浦回声报》在9月4日报道称，捷豹路虎员工仍未返回默西塞德郡工厂。 Scattered Spider 寻求关注其活动 NetSPI EMEA服务总监Sam Kirkman表示，该集团与BBC的互动显示了其希望引起外界对其活动关注的渴望，这是其在4月份攻击玛莎百货后也采用过的策略。 他指出：“该集团努力吸引人们关注其活动，这表明除了对目标进行财务勒索外，运营中断和声誉影响也是其目标。” Kirkman继续表示：“需要注意的是，截图无法核实，可能是为了给该集团吸引更多关注而伪造的。” ESET全球网络安全顾问Jake Moore指出，像Scattered Spider这样的黑客组织正变得越来越大胆，热衷于炫耀他们的“成功”。 他评论道：“通过使用Telegram来炫耀他们的声称和勒索要求，这显示了其肆无忌惮的自信，认为可以保持不被发现，这简直是在受害者的伤口上撒盐。” 明显的跨集团合并令人担忧 Acumen Cyber的首席顾问Nathan Webb认为，Scattered Spider与ShinyHunters和Lapsus$的明显合作可能会对该集团的能力产生重大影响。 这三个集团都以使用社会工程学技术进入目标而闻名，之后使用勒索和数据窃取等策略获取经济利益。 最近，Scattered Spider和ShinyHunters使用了语音钓鱼（vishing）技术来获取第三方IT提供商的高价值凭证。这包括ShinyHunters被报道的入侵Salesforce客户凭证事件，影响了包括谷歌、香奈儿和阿迪达斯在内的公司。 Webb评论说：“这些威胁行为者显然已经联合起来，以提高建立初始访问受害者系统的有效性，该集团在技术和可用数据上进行合作以增强其攻击。” 他补充道：“威胁行为者集团之间为实施犯罪而日益增长的合作，强调了他们现在多么像企业一样运作，并强化了加强防御的必要性。” 与Scattered Spider一样，ShinyHunters和Lapsus$也由讲英语的行为者组成。 Scattered Spider和ShinyHunters与“The Com”有关，这是一个松散组织的在线犯罪网络，涉及数千名讲英语的个人。 据信这些集团包含年轻的，通常是青少年黑客。 2023年8月，英国法院认定一名牛津青少年对涉及知名品牌的一系列黑客事件负责，其是臭名昭著的Lapsus$集团的一部分。 2025年7月，英国执法部门逮捕了三名青少年和一名20岁男子，怀疑他们参与了4月份针对玛莎百货、Co-op和哈罗德的网络攻击。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 普利司通美洲公司（Bridgestone Americas）周四证实，该公司遭遇了一起所谓的“有限的网络事件”——巧合的是，同日豪华汽车制造商捷豹路虎（Jaguar Land Rover）也遭到了由“Scattered Spider”牵头、三个勒索软件团伙组成的、渴求曝光的黑客组织的入侵。 普利司通相信其“客户数据或接口均未受到影响”，但未提供其他信息。至少有一份报告称，该公司所有北美制造设施均受到影响。 位于纳什维尔市的普利司通大厦于2017年落成。图片由 Michael Gordon | Shutterstock 提供 消费者隐私倡导组织Comparitech的保罗·比肖夫（Paul Bischoff）表示：“这次攻击具有勒索软件攻击的许多特征，尽管尚未得到证实。” 比肖夫指出，周日的攻击“破坏了公司的制造设施，不仅仅是我们通常在大多数攻击中看到的通信、销售和工资等非必要部门。”他补充说，尽管普利司通声称及早阻止了攻击，“但在调查完成之前，最好做最坏的打算。” 尚无组织声称负责——目前如此 尽管尚无黑客出面声称对普利司通事件负责，但Comparitech的数据研究主管丽贝卡·穆迪（Rebecca Moody）表示：“很可能在未来几周内我们会看到有勒索软件组织声称发动了此次攻击，尤其是如果普利司通选择不支付攻击者要求的赎金。” 穆迪预测的事件发展顺序正是捷豹路虎（JLR）当前面临的局面。一个由“Scattered Spider”主导、包括臭名昭著的“Shiny Hunters”和“LAPSUS$”团伙在内的黑客组织，已声称对JLR的入侵负责，并且据报道正迫不及待地要求支付赎金。 此次攻击也迫使这家高端汽车制造商“主动关闭其系统，导致其零售和生产活动严重中断，”JLR本周早些时候宣布。 图片由 Priyanshu Singh | 路透社 / Telegram 提供 普利司通美洲公司成立于1931年，总部位于田纳西州纳什维尔市，同时也是美国另一轮胎制造巨头凡世通（Firestone）的母公司。其网站显示，公司在北美和南美洲拥有13个公司办公室，分布在加拿大、墨西哥、巴西、阿根廷和哥斯达黎加等地。 普利司通还在美洲拥有近三十六家制造工厂，其中包括位于南卡罗来纳州艾肯市的两处设施和位于魁北克省朱伊特市（Joliette）的另一处设施。这两处设施均报告在周日受到网络攻击影响——巧合的是，攻击JLR也发生在同一天。 在朱伊特市，据报道一份内部备忘录已发送给该工厂的1400名员工，告知他们工厂运营已于周日暂停，但未提供关于运营何时恢复的更多信息，当地新闻媒体MonJoilette报道。 朱伊特市市长表示他曾直接与普利司通高管交谈，他告诉加拿大媒体，“据信此次网络事件影响了北美所有工厂。” 普利司通在北美拥有29家轮胎制造工厂。图片由普利司通美洲公司提供。 制造商高度警惕 这个新出现的勒索软件组织自称为“scattered LAPSUS$ hunters”，据称于8月31日周日入侵了JRL，并在其Telegram频道上嘲弄该汽车制造商，并发布了据称是窃取的敏感文件样本。 勒索软件组织“Scattered Spider”与另一个名为“DragonForce”的组织合作，今年已被指责应对一系列重大入侵事件负责，包括对英国玛莎百货（Marks & Spencer）及其他英国零售商的攻击。 如今，这个最新的黑客三人组被认为与近期针对Salesforce供应链的一系列攻击有关，这些攻击影响了全球超过700家公司，仅在过去一周就包括网络安全巨头Palo Alto Networks、Cloudflare和Zscaler。 穆迪引用Comparitech的八月勒索软件汇总报告指出，“制造商面临的勒索软件攻击数量正在增加，并且是黑客的主要目标，因为通过加密系统，他们可以造成大量中断。”报告称，仅从七月到八月，制造业的勒索软件攻击就猛增了57%。 比肖夫还指出，普利司通曾在2022年遭受过现已式微的LockBit团伙的勒索软件攻击，这将使得本次事件成为这家制造业巨头第二次成为勒索软件的受害者。 Cybernews已联系普利司通美洲公司寻求进一步说明，但在本文发布时尚未收到回复。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文