HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

与俄罗斯有关联的Everest勒索软件组织宣称，已从巴西国家石油公司（Petrobras）窃取90GB敏感地震和勘探数据，并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称，事件涉及第三方服务商，其内部系统未受影响。

Everest组织在暗网泄密站点发布声明，给公司设下六天期限要求联系，否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。

Petrobras向Cybernews明确表示，其系统未发现未授权访问记录，并强调"所有敏感和战略数据均按照最严格信息安全标准保持安全"。据该公司说明，此次入侵事件与某勘探服务提供商相关，属于独立事件，不影响公司运营、客户及员工。

根据攻击者公布的信息，被盗数据包含：

...

HackerNews 编译，转载请注明出处：

安全研究员发现一款名为 Coyote 的银行恶意软件，与新披露的通过 WhatsApp 传播的恶意程序 “Maverick” 存在诸多相似之处。

根据 CyberProof 的报告，这两款恶意软件均采用.NET 编写，以巴西用户和银行为攻击目标，具备相同的解密功能、银行 URL 定向功能及银行应用监控功能。更重要的是，两者都能通过 WhatsApp 网页版传播。

Maverick 于上月初由趋势科技首次记录在案，其攻击方被命名为 “水萨西”（Water Saci）。该攻击活动包含两个组件：一款名为 SORVEPOTEL 的自传播恶意软件，通过 WhatsApp 桌面网页版扩散，用于投递包含 Maverick 有效载荷的 ZIP 压缩包。

这款恶意软件会监控浏览器活动标签页，识别与预设拉丁美洲金融机构列表匹配的 URL。一旦检测到匹配 URL，它会与远程服务器建立连接，获取后续指令以收集系统信息，并推送钓鱼页面窃取凭证。

网络安全公司 Sophos 在后续报告中率先提出疑问，认为该活动可能与此前针对巴西用户传播 Coyote 的攻击事件相关，且 Maverick 可能是 Coyote 的升级版。卡巴斯基（Kaspersky）的另一项分析发现，Maverick 与 Coyote 存在大量代码重叠，但仍将其视为针对巴西的全新大规模威胁。

CyberProof 的最新调查结果显示，该 ZIP 文件包含一个 Windows 快捷方式（LNK 文件）。用户启动该快捷方式后，会运行 cmd.exe 或 PowerShell 连接外部服务器（zapgrande [.] com），下载第一阶段有效载荷。该 PowerShell 脚本能够启动中间工具，禁用微软 Defender 杀毒软件和用户账户控制（UAC），并获取.NET 加载器。

该加载器具备反分析技术，会检测逆向工程工具的存在，一旦发现便自动终止运行。随后加载器会下载攻击的核心模块：SORVEPOTEL 和 Maverick。值得注意的是，Maverick 仅在通过检测受感染主机的时区、语言、地区及日期时间格式，确认受害者位于巴西后才会安装。

CyberProof 还发现该恶意软件被用于针对性攻击巴西的酒店，表明其攻击目标可能正在扩大。

与此同时，趋势科技详细披露了 “水萨西” 的新型攻击链 —— 该攻击链采用基于电子邮件的命令与控制（C2）架构，依赖多向量持久化技术保障攻击韧性，并整合多项高级检测规避机制，提升操作隐蔽性，且仅在葡萄牙语系统中执行。

这家网络安全公司在上月末发布的报告中表示：“新攻击链还配备了复杂的远程命令与控制系统，允许攻击者进行实时管理，包括暂停、恢复和监控恶意软件活动，将受感染设备有效转化为僵尸网络工具，实现跨多个端点的协同动态操作。”

该感染流程未使用.NET 二进制文件，而是采用 Visual Basic 脚本（VBScript）和 PowerShell 劫持 WhatsApp 浏览器会话，并通过这款即时通讯应用传播 ZIP 文件。与此前的攻击链类似，WhatsApp 网页版劫持通过下载 ChromeDriver 和 Selenium 实现浏览器自动化。

攻击触发机制为用户下载并解压 ZIP 压缩包，其中包含一个经过混淆处理的 VBS 下载器（“Orcamento.vbs”，即 SORVEPOTEL）。该下载器会执行一条 PowerShell 命令，直接在内存中下载并运行 PowerShell 脚本（“tadeu.ps1”）。

该 PowerShell 脚本用于控制受害者的 WhatsApp 网页版会话，向账户关联的所有联系人分发恶意 ZIP 文件，同时显示名为 “WhatsApp Automation v6.0” 的虚假弹窗，掩盖其恶意意图。此外，该脚本还会连接 C2 服务器，获取消息模板并窃取联系人列表。

趋势科技指出：“恶意软件会终止所有现有 Chrome 进程并清除旧会话以确保操作纯净，随后将受害者的合法 Chrome 配置文件数据（包括 Cookie、认证令牌和已保存的浏览器会话）复制到其临时工作目录。”

“这种技术能够完全绕过 WhatsApp 网页版的认证机制，无需扫描二维码或触发安全警报，即可直接访问受害者的 WhatsApp 账户。”

该公司补充称，这款恶意软件还内置了复杂的远程控制机制，允许攻击者实时暂停、恢复和监控 WhatsApp 传播过程，使其成为能够像僵尸网络一样控制受感染主机的恶意程序。

在 ZIP 文件的实际分发过程中，PowerShell 代码会遍历所有窃取的联系人，发送个性化消息前先检查是否存在暂停指令。个性化消息通过在模板中替换变量，插入基于时间的问候语和联系人姓名生成。

SORVEPOTEL 的另一大显著特征是，它未使用传统的基于 HTTP 的通信方式，而是利用硬编码的电子邮件凭证，通过 IMAP 协议连接terra.com[.] br 邮箱账户，获取攻击指令。部分此类账户已启用多因素认证（MFA）以防范未授权访问。

网络安全与基础设施安全局（CIS）构建工具包

据称，这一额外安全层导致攻击操作出现延迟 —— 每次登录都需要攻击者手动输入一次性认证码才能访问邮箱，获取用于发送指令的 C2 服务器 URL。随后后门程序会定期轮询 C2 服务器，获取攻击指令。支持的指令列表如下：

...

HackerNews 编译，转载请注明出处：

Zimbra 零日漏洞详情

Zimbra 协作套件（Zimbra Collaboration）中一个现已修复的安全漏洞，于今年早些时候被作为零日漏洞（指未被厂商发现、未修复的漏洞）利用，攻击者借此针对巴西军方发起网络攻击。

该漏洞编号为CVE-2025-27915，CVSS 漏洞评分（衡量漏洞严重程度的标准）为 5.4，本质是 Zimbra 经典网页客户端（Classic Web Client）中的存储型跨站脚本漏洞（XSS） 。其成因是对 ICS 日历文件中的 HTML 内容过滤不充分，最终可导致攻击者执行任意代码。

美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述指出：“当用户查看包含恶意 ICS 条目（指 ICS 文件中的特定内容块）的电子邮件时，嵌入在<details>标签内、通过ontoggle事件触发的 JavaScript 代码会被执行。”

这种漏洞利用方式使得攻击者能在受害者的会话（即用户当前登录状态）中运行任意 JavaScript 代码，进而可能实施未授权操作 —— 例如设置邮件过滤器，将受害者的邮件重定向至攻击者控制的邮箱地址。最终，攻击者可对受害者账号执行多种未授权操作，包括邮件劫持与数据窃取。

...

HackerNews 编译，转载请注明出处：

黑客声称，他们窃取了 巴西军事警察（Military Police）2TB的医疗记录，此次数据泄露可能会使警官及其家属的隐私暴露。

攻击者在一个知名的地下论坛发帖，声称已攻破巴西健康信息公司 Maida.health。

据称，被盗数据中包括超过两TB的巴西军事警察资料。其中涉及极其敏感的信息，例如警官及其家属的健康档案和身份证件。

医疗记录涵盖心脏病学、神经学和妇科学专家的诊断与治疗服务。被窃数据还包括医疗服务发票、行政流程文件、监管证书以及临床患者数据。

Cybernews 尚未能独立核实这些说法，因为相关数据样本尚不可访问。该媒体已联系 Maida.health，但暂未收到回应。

如果数据确实属实，后果将十分严重。医疗账单和体检报告通常包含大量敏感信息，如诊断结果和个人身份信息。

研究人员指出：“当此类数据泄露时，常常会导致身份盗窃或医疗欺诈。例如，犯罪分子可能冒充受害者接受医疗服务，或以受害者名义获取处方药。”

巴西的军事警察是身着制服的州级武装力量，负责街头巡逻和维护公共秩序。其遍布全国各州及联邦区，是当地的主要一线警务力量。

Maida.health的年营收据称为 4590万美元。该公司为医疗行业提供数字化解决方案和基于人工智能的自动化服务，业务涵盖保险理赔管理、账单处理以及远程问诊。

...

HackerNews 编译，转载请注明出处：

KillSec 勒索软件声称对巴西医疗软件解决方案提供商 MedicSolution 发起了网络攻击负责。

...