https://www.theregister.com/2025/06/04/play_ransomware_infects_900_victims/
FBI联合多国网络安全机构披露,Play勒索软件团伙已攻击超过900家机构,近期更利用SimpleHelp远程访问工具的高危漏洞(CVE-2024-57727)发起新一轮攻击。该组织采用双重勒索手法,先窃取并加密敏感数据,再通过恐吓手段施压受害者付款。除了邮件勒索,攻击者还直接拨打电话给机构客服或员工进行威胁。Play团伙常利用旧漏洞获取初始访问权限,如FortiOS和Exchange漏洞,并重编译恶意代码以规避检测工具。安全专家警告,该团伙已将攻击目标扩展至Windows与ESXi系统,建议相关组织尽快修复SimpleHelp漏洞并加强终端防护。
https://www.theregister.com/2025/06/05/backdoored_malware_repos/
Sophos近期调查发现,一个名为“ischhfd83”的GitHub用户疑似单独或以小团体形式,创建了超过141个嵌入后门的项目,目标对象是初级黑客和游戏外挂爱好者。研究人员指出,这些项目往往伪装成远控木马或游戏作弊工具,其中超过半数宣称是“游戏辅助”,24%伪装为漏洞利用或攻击工具。项目普遍通过Visual Basic中的PreBuild事件植入恶意下载命令,感染尝试使用代码的“攻击者”自身。大部分项目还利用GitHub Actions自动提交,制造活跃维护假象。Sophos将其归类为一种“分发即服务(DaaS)”模式,并认为该行动始于2022年,常借助Discord、YouTube等社媒传播恶意链接。该事件揭示攻击者正在将黑产毒化至黑产从业者本身,提醒新手在下载开源项目时务必提高警惕。
https://www.govinfosecurity.com/lockbit-crackdown-fragmented-russian-cybercrime-groups-a-28585
国际执法机构对LockBit勒索软件团伙的打击重创了该勒索软件团伙,包括扣押其关键服务器、逮捕核心成员等,导致俄语黑产群体内部分裂与信任崩塌。英国国家警察局网络犯罪部门的Jeremy Banks在伦敦InfoSec Europe会议上指出,这一变局促使越来越多英语国家的黑客团体浮出水面,主要来自美、英、澳等国,虽然技术水平较低,但攻击手法简单有效。Scattered Spider被点名为典型代表,涉嫌攻击英国零售商Marks and Spencer、Harrods等,也被Google Mandiant和Sophos警告正扩展至美国目标。英国国家犯罪局(NCA)的William Lyne表示,LockBit的瓦解导致黑产组织更小型化,放弃使用传统勒索即服务(RaaS)平台,更多独立作战。而Coveware的应急响应负责人则指出,执法压力让攻击者不得不缩短潜伏时间,一些技术较弱者已将攻击重点从加密转向数据窃取。这一系列变革凸显执法行动已对勒索软件生态系统产生深远影响。
美国国务院近日宣布,通过“正义奖励计划”悬赏高达1000万美元,用于获取与RedLine信息窃取木马及其幕后人员有关的情报,重点追查疑似与外国政府有关的网络攻击者及RedLine开发者马克西姆·鲁多梅托夫(Maxim Rudometov)。该恶意软件曾用于攻击美国关键基础设施,并广泛传播于全球。鲁多梅托夫出生于1999年,长期管理RedLine的技术运营和加密货币账户,疑似在俄乌冲突爆发后逃往俄罗斯克拉斯诺达尔。此次悬赏行动背景是2024年10月由欧盟协调的“马格努斯行动”,该行动中荷兰警方与多国合作,捣毁了RedLine和Meta两款恶意软件的基础设施。执法机关控制了1200多个全球感染服务器,并获取大量客户数据。ESET安全公司也发布了免费扫描工具,帮助用户识别并清除感染。此举标志着各国正联合打击恶意软件即服务(MaaS)生态系统的决心。
https://www.govinfosecurity.com/unpatched-buffer-overflow-in-schneider-home-devices-a-28584
施耐德电气近日披露其Wiser系列智能家居设备存在一个未修补的远程缓冲区溢出漏洞(CVE-2023-4041),漏洞评分高达9.3分,攻击者可借此在设备固件更新过程中注入恶意代码或绕过身份验证,进而远程控制设备。受影响产品包括已停产的Wiser AvatarOn 6K Freelocate和Wiser Cuadro H 5P Socket。由于产品生命周期已结束,施耐德建议用户禁用固件更新功能或更换设备。该漏洞源于Silicon Labs提供的Bootloader缺乏固件完整性验证机制,可能被用作攻击企业网络的跳板。虽然目前尚无实质性攻击报告,但CISA警告该漏洞易于远程利用,建议将此类设备隔离部署,减少暴露面,并使用VPN等安全手段访问。此外,施耐德另一平台EcoStruxure Power Build Rapsody也存在较低风险的本地缓冲区溢出漏洞(CVE-2025-3916),已发布补丁更新。
Mozilla近日宣布,在Firefox扩展插件平台上部署一项全新安全系统,专门用于识别并阻止盗取加密货币的恶意扩展程序。这些恶意插件通常伪装成知名钱包扩展,诱骗用户安装后窃取其私钥和加密资产。Mozilla表示,该系统通过为每个加密钱包扩展生成风险画像,一旦超过预设阈值,便会自动触发警报并交由人工审查。若确认为恶意插件,将立即下架并封锁。据统计,2024年加密钱包盗取攻击共造成约4.94亿美元损失,涉及超过30万个地址。Mozilla扩展运营经理Andreas Wagner指出,他们近年来已移除数百个类似恶意插件,并提醒用户应只通过官方渠道安装钱包扩展。该举措旨在强化浏览器生态系统安全,防止日益猖獗的数字资产盗窃行为。
美国知名税务解决公司Optima Tax Relief近期遭遇Chaos勒索软件攻击,黑客不仅加密了其服务器,还窃取并公开了69GB公司及客户数据。攻击事件已被该勒索团伙列入其泄密网站。Optima自称为美国领先的税务和债务解决机构,已协助客户解决超30亿美元税务负债。本次泄露的数据包含大量敏感客户档案和企业资料,其中涉及社保号码、电话、住址等关键个人信息,极有可能被用于身份盗窃或进一步犯罪活动。消息人士向BleepingComputer透露,此次事件为“双重勒索”攻击,即数据在被窃取的同时也被加密,施压公司支付赎金。Chaos勒索软件是2025年3月兴起的新型勒索组织,迄今已声称多起攻击,包括近期对救世军的侵害。值得注意的是,此Chaos团伙并非2021年活跃的“Chaos Builder”工具用户群,而是一个新兴、独立的勒索组织。Optima尚未正式回应相关媒体的置评请求。
https://hackread.com/hackers-leak-86m-att-records-with-decrypted-ssns/
2025年6月,黑客在俄语地下论坛上公开泄露了超过8600万条AT&T客户记录,包括已解密的社会安全号码(SSN)、出生日期、地址等完整个人身份信息。该数据据称源自2024年4月ShinyHunters组织入侵Snowflake云平台事件。然而经Hackread.com分析,泄露数据结构清晰、格式规范,与此前AT&T确认的Snowflake泄露存在出入,尚无法确认是否为同一事件的数据集。更令人担忧的是,这些SSN原本为加密状态,现已被完全解密,极大提升了身份盗用与金融欺诈的风险。AT&T尚未确认此次泄露的具体来源,仅表示已通知受影响用户并配合第三方安全机构展开调查。此次事件引发美国参议员对AT&T与Snowflake安全管理的质疑,也再次凸显关键基础服务提供商在客户数据保护方面的巨大挑战。
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/EN/2025/06_Geldbu%C3%9Fe-Vodafone.html
德国联邦数据保护与信息自由专员(BfDI)对沃达丰德国公司处以总额达4500万欧元的罚款,原因是其数据保护管理存在严重漏洞,导致客户数据遭受利用。其中1500万欧元罚款源于沃达丰未能对其代理合作伙伴进行充分监督,致使部分代理员工伪造合同或擅自更改客户协议,构成欺诈行为。另一项3000万欧元罚款则针对沃达丰“MeinVodafone”线上服务与热线系统联用中的身份验证缺陷,漏洞一度允许未经授权的第三方访问用户eSIM配置文件。此外,BfDI还就其分销系统中存在的安全问题向沃达丰发出正式警告。沃达丰现已更换部分系统、改进流程,并与违规合作方终止合作。专员表示,沃达丰在整个调查过程中保持充分配合,并主动披露不利信息。罚款已全额缴纳。监管机构强调,数据保护不应成为企业的短板,而是建立用户信任的重要竞争力。沃达丰已将数据保护作为企业战略重点,并向多家推广网络安全与数字素养的公益组织捐款,以表其改过决心。
https://www.anquanke.com/post/id/308197
VMware NSX网络虚拟化平台中的多个跨站点脚本(XSS)漏洞可能允许恶意行为者注入和执行有害代码。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
