英国拟禁止公共部门向勒索软件黑客付赎金
根据英国政府的新提议,英国公共部门和关键基础设施组织可能被禁止支付赎金。英国内政部于周二启动了一项咨询,提议对勒索软件赎金实施“针对性禁令”。根据提案,公共部门机构将被禁止向勒索软件黑客支付赎金。政府表示这将“打击网络犯罪商业模式的核心”。根据新提案,关键基础设施组织在遭遇勒索软件攻击时支付赎金也将被视为犯罪行为。英国政府部门已被禁止向勒索软件团伙支付赎金。提案还详细规定了新强制性勒索软件事件报告制度,要求不在禁令范围内的网络攻击受害者向政府报告事件。另一项提案则建议实施一项计划,防止向受制裁实体支付赎金,政府将有权阻止此类支付。
—— Techcrunch
美国删除由中国支持的黑客植入计算机的恶意软件
美国司法部周二表示,已删除了由中国支持的一群犯罪黑客植入4,200多台计算机上的恶意软件。这种被称为“PlugX”的恶意软件影响了全球数千台计算机,并被用来感染和窃取信息。调查人员表示,该恶意软件是由一群名为“野马熊猫”和“斜纹台风”的黑客通过受感染的 USB 设备安装的。法国当局当时表示,网安公司 Sekoia 于2023年9月确定了黑客用来控制 PlugX 这一变体的命令和控制基础设施,并随后与法国执法部门合作,在2024年7月之前接管了该基础设施。根据美国联邦调查局的一份宣誓书,联邦调查局与法国当局合作,确定了恶意软件针对的美国设备,确定了受恶意软件攻击的美国设备,并向每台设备的恶意软件发送自我删除的命令
—— 路透社
美日韩联合声明指控朝鲜盗取逾 6.59 亿美元加密货币
日本、韩国和美国周二在一份罕见的联合声明中表示,朝鲜支持的黑客在 2024 年通过多次加密货币盗窃窃取了至少 6.59 亿美元,同时还部署 IT 人员渗透到区块链公司形成内部威胁。该声明首次正式证实,朝鲜是 7 月份印度最大加密货币交易所 WazirX 遭黑客攻击事件的幕后黑手,此次攻击事件造成 2.35 亿美元损失。其他重大攻击包括日本 DMM Bitcoin 被盗 3.08 亿美元、Upbit 和 Radiant Capital 各被盗 5000 万美元以及 Rain Management 被盗 1613 万美元。
联合声明称,朝鲜黑客的知名威胁组织 Lazarus Group 进行了社会工程攻击,并部署了 TraderTraitor 等加密货币窃取恶意软件来入侵交易所,同时还让朝鲜 IT 工作者冒充求职者来渗透区块链公司。
—— TechCrunch
黑客利用 Ivanti VPN 新漏洞入侵企业网络
美国软件巨头 Ivanti 警告称,其广泛使用的企业 VPN 设备中的零日漏洞已被利用来入侵其企业客户的网络。Ivanti 周三表示该漏洞被评为严重级别,编号为 CVE-2025-0282,无需任何身份验证即可利用该漏洞在 Ivanti 的 Connect Secure、Policy Secure 和 ZTA Gateways 产品上远程植入恶意代码。Ivanti 公司在周三发布的公告中确认,威胁行为者正在积极利用 CVE-2025-0282 “作为零日漏洞”,这意味着该公司在漏洞被发现和利用之前没有时间修复该漏洞,并且该公司知道“有限数量的客户”其 Ivanti Connect Secure 设备遭到黑客入侵。Ivanti 尚未透露有多少客户受到黑客攻击,也未透露谁是入侵者。
—— Techcrunch
日本警察厅发出与中国关联黑客的攻击警告
日本警察厅和内阁网络安全中心称,一个名为“MirrorFace”(也称为“Earth Kasha”)黑客组织的自 2019 年左右至今对日本境内的组织、企业和个人进行了210次网络攻击活动。调查中对攻击目标、方法、攻击基础设施等进行分析的结果显示,这是一次疑似中国参与的系统性网络攻击,旨在窃取与日本国家安全和先进技术相关的信息,受害者包括日本外交部和日本宇宙探索机构(JAXA)。日本警察厅同时了披露 MirrorFace 使用的 Windows Sandbox 和 VS Code 攻击方法和缓解措施,呼吁组织、企业和个人采取适当安全措施正确应对以上威胁。
—— 日本警察厅
中国黑客攻击菲律宾总统并窃取军事数据
据三位知情人士透露,中国政府支持的黑客入侵了菲律宾政府行政部门,并在长达数年的行动中窃取了敏感数据。网络安全专家发现了行政部门遭到入侵,并于2023年向菲律宾官员报告了此事,去年8月,同样的入侵事件再次被报告。据电子邮件显示,总统办公室5月致函其中一位专家,询问有关黑客攻击的详细信息。其中两名知情人士称,被盗数据包括军事文件,其中一些与中国和菲律宾持续存在的南海领土争端有关。知情人士表示,大多数攻击以及数据窃取都发生在2023年初至2024年6月之间,攻击者使用的策略通常与一个名为 APT41 的中国国有黑客组织有关。在针对总统办公室的攻击中,黑客使用窃取的用户名和密码访问计算机网络、安装恶意软件并删除他们在系统内的证据。
—— 彭博社
中国对美运营商的黑客入侵比之前所知更多
据知情人士透露,中国黑客入侵了比之前所知更多的美国电信公司,其中包括特许通讯、联合通讯 (CCII.UL) 和 Windstream。黑客还利用了安全供应商 Fortinet 未打补丁的网络设备,并入侵了思科系统的大型网络路由器。除了深度入侵 AT&T 和 Verizon 之外,黑客还入侵了流明科技和 T-Mobile 的其它网络。中国政府否认参与此类行动并指责美国散布虚假信息。AT&T 和 Verizon 在上星期首次承认遭受攻击时说,他们与执法部门和政府官员合作,因此他们的美国网络现在是安全的。T-Mobile 称已阻止了近期入侵其系统的企图,并保护敏感客户信息不被访问。
—— 路透社、华尔街日报
美国财政部称其遭到中国支持的黑客入侵
美国财政部当地时间12月30日发送给国会的信函显示,美国财政部遭到了中国政府支持的行为者通过第三方软件服务提供商的黑客攻击。信中称,财政部将这次入侵描述为“重大网络安全事件”,因为这是由国家支持的行为者所为。据信中所述,12月8日,第三方软件提供商 BeyondTrust 通知财政部,一名黑客获得了“供应商用于保护云服务的密钥,该服务用于远程为财政部部门办公室最终用户提供技术支持”。该部门得到了网络安全和基础设施安全局、联邦调查局、情报部门和第三方取证调查员的协助。根据现有信息,该事件背后是与中国有关的高级黑客。
—— 彭博社
黑客劫持多个 Chrome 扩展以试图窃取数据
据媒体报道,早在12月中旬,网络攻击活动就在多个 Chrome 浏览器扩展程序中植入了恶意代码。据 Cyberhaven 博客文章称,这些代码似乎旨在窃取浏览器 Cookie 和身份验证会话,目标是特定的社交媒体广告和人工智能平台。Cyberhaven 将此次遭受攻击归咎于一封钓鱼电子邮件,并在另一篇技术分析文章中写道,这些代码似乎专门针对脸书广告账户。安全研究员布拉斯科认为,这次攻击只是随机的,并非专门针对 Cyberhaven。他在 X 平台上发帖称,他发现一些 VPN 和 AI 扩展程序也被植入相同的恶意代码。其他可能受到影响的扩展程序包括 Internxt VPN、VPNCity、Uvoice 和 ParrotTalks 。
—— TheVerge
美国指控一名以色列国民与LockBit黑客合作
美国当局周五表示,他们指控一名拥有俄罗斯和以色列双重国籍的人涉嫌参与LockBit勒索软件组织,并正在寻求将其引渡。根据美国司法部周五公布的指控,罗斯季斯拉夫·帕涅夫自2022年1月左右以来一直担任LockBit的开发人员和编程员,并因其工作获得了约23万美元的加密货币转账。这名51岁的男子于8月在以色列被捕,目前被关押在那里,美国检察官正在法庭上寻求引渡他。LockBit与一系列勒索软件攻击有关,受害者包括波音公司、中国工商银行和英国皇家邮政。帕涅夫通过电报与LockBit通信。辩护律师莎伦·纳哈里表示,帕涅夫应黑客组织的要求开发了工具,但对该软件的预期用途一无所知。
—— 彭博社