•全球执法行动"RapTor"重创暗网：270名犯罪嫌疑人落网

•惊人发现：1.84亿组登录凭据在未加密数据库中泄露

•GoDaddy被监管机构要求强化托管服务安全措施

•可口可乐遭遇双重攻击，黑客声称已窃取海量数据

•多家云服务提供商基础设施被利用分发Lumma Stealer恶意软件

•去中心化加密平台Cetus遭黑客攻击，2.23亿美元资金被盗

•AI生成的TikTok视频成为信息窃取恶意软件新的分发渠道

•GitLab AI助手间接注入漏洞，可导致源代码被窃取

•Signal更新Windows应用阻止Microsoft  Recall截屏功能 

一项代号为"Operation RapTor"的国际执法行动近日成功打击暗网犯罪网络，共有270名暗网卖家和买家在欧洲、南美、亚洲和北美（美国）等十个国家被捕。此次行动缴获现金和加密货币共计约1.84亿欧元（2.07亿美元），查获超过2吨毒品（包括安非他明、可卡因、氯胺酮、阿片类药物和大麻），以及180多支枪支。

执法部门通过分析Nemesis、Tor2Door、Bohemia和Kingdom Market等多个暗网市场被关闭后收集的情报，成功锁定了这些嫌疑人。其中大部分嫌疑人在美国（130人）、德国（42人）、英国（37人）、法国（29人）和韩国（19人）被捕，另有13人在荷兰、奥地利、巴西、西班牙和瑞士被拘留。

Europol欧洲网络犯罪中心主任Edvardas Šileris表示，Operation RapTor表明暗网并非法律无法触及的地方。此次行动是继2023年 "Operation SpecTor" （逮捕288名暗网犯罪分子）、2020年 "DisrupTor" （179人被捕）和 "Dark HunTOR" （150名高交易量暗网卖家被捕）等行动后的又一次重大打击。

原文链接：

https://www.bleepingcomputer.com/news/security/police-arrests-270-dark-web-vendors-buyers-in-global-crackdown/

网络安全研究人员Jeremiah Fowler近日发现了一个配置错误且未受保护的数据库，其中包含超过1.84亿组独特的登录名和密码，总计约47.42GB数据。这些凭据很可能是通过信息窃取恶意软件(infostealer)收集而来。

该数据库未经密码或加密保护，存储了众多在线服务的凭据，包括流行电子邮件提供商、Microsoft等主要科技平台，以及Facebook、Instagram、Snapchat和Roblox等社交媒体网站。更严重的是，泄露还包含来自各国的银行账户、健康平台甚至政府门户网站的访问信息，使毫无防备的个人面临高风险。Fowler通过联系数据库中发现的部分电子邮件所有者，多位用户证实列出的密码确实准确有效。Fowler迅速通知了托管提供商，该数据库已被移除公共访问。

数据库的IP地址指向两个域名，但真正所有者仍然未知。从表面看，该数据库属于使用信息窃取工具收集数据的网络犯罪分子，且数据特征与Lumma等信息窃取工具设计窃取的内容高度一致。这类恶意软件在犯罪分子中广泛使用且效果显著，报告显示，即使美国军方和FBI的系统也曾被仅售10美元的信息窃取工具入侵。

Fowler敦促用户停止将电子邮件用作冷存储，定期更新密码（尤其是在未知泄露情况下），切勿在多个账户中重复使用密码，启用双因素认证(2FA)，并开启登录通知或可疑活动警报。

原文链接：

https://hackread.com/database-leak-184-million-infostealer-emails-passwords/

美国联邦贸易委员会（FTC）近日最终确定了一项命令，要求网络托管巨头GoDaddy加强其服务安全措施，以解决自2018年以来导致多次数据泄露的安全漏洞问题。

今年1月，FTC指控拥有约500万客户的GoDaddy误导用户关于其安全实践的信息。调查发现，由于缺乏标准安全措施，GoDaddy未能及时发现其托管环境中的漏洞。

根据FTC的命令，GoDaddy必须建立健全的信息安全计划，使用HTTPS或其他安全传输协议保护API，并设立软件和固件更新管理程序。此外，该公司还需聘请独立第三方评估机构对其信息安全计划进行两年一次的审查，并在客户数据被暴露、访问或窃取后10天内报告任何事件。

FTC的投诉指出，GoDaddy存在安全措施不足的问题，包括缺乏多因素认证（MFA）、适当的软件更新管理和安全事件日志记录。这些安全缺陷导致了多次重大安全漏事件：2023年2月，GoDaddy披露未知威胁行为者在被入侵的服务器上安装了恶意软件，并在入侵其cPanel共享托管环境后窃取了源代码；2021年11月的漏洞中，攻击者使用被盗密码入侵GoDaddy的托管环境，窃取了120万Managed WordPress客户的电子邮件地址、WordPress管理员密码、sFTP和数据库凭证以及SSL私钥。

原文链接：

https://www.bleepingcomputer.com/news/security/ftc-finalizes-order-requiring-godaddy-to-secure-hosting-services/

可口可乐公司及其装瓶合作伙伴可口可乐欧太平洋合作伙伴公司(CCEP)近日成为两个不同威胁组织的攻击目标。Everest勒索软件团伙声称已入侵可口可乐系统，而另一个名为Gehenna(又称GHNA)的黑客组织则声称从CCEP的Salesforce环境中窃取了大量数据库。

Everest勒索软件组织在其暗网泄露网站上列出可口可乐为受害者，分享的截图显示他们获取了内部文件和959名员工的个人信息，包括签证和护照扫描件、薪资数据和其他人力资源相关记录。根据样本审查，此次入侵似乎影响了可口可乐在中东的业务，多个文件表明迪拜机场自由区(DAFZ)的迪拜办事处可能是特定目标。

与此同时，Gehenna黑客组织声称本月早些时候入侵了CCEP的Salesforce仪表板。该组织称他们窃取了超过2300万条记录，包含自2016年以来的敏感客户关系管理(CRM)数据。据称，这些数据包括750万Salesforce账户记录(6GB)、950万客户服务案例(52GB)、600万联系人条目(5GB)和超过40万产品记录(300MB)。Gehenna发布了一条针对CCEP员工的信息，表示他们"接受报价"，并警告称"还有更多数据"。

截至发稿时，可口可乐和CCEP尚未公开确认入侵事件。

原文链接：

https://hackread.com/coca-cola-bottling-partner-ransomware-data-breach/

安全研究人员本周发现，威胁行为者正在利用多个云服务提供商的基础设施分发臭名昭著的Lumma Stealer恶意软件。该攻击活动利用Oracle Cloud Infrastructure（OCI）、Scaleway Object Storage和Tigris等合法云平台托管恶意内容，针对各组织的特权用户实施攻击。

CATO Networks指出，攻击者故意使用多个云提供商作为战术，创建了冗余，即使一个托管位置被发现并阻止，也能帮助他们保持持久性。攻击者采用社会工程策略，通过伪装的免费游戏下载和假冒的reCAPTCHA验证页面诱骗受害者。这些欺骗性元素战略性地分布在不同的云提供商上，创建了一个难以检测和缓解的分布式攻击基础设施。

感染过程始于受害者与伪装的游戏下载或假冒的reCAPTCHA表单交互。当用户与这些元素互动时，系统会下载一个ZIP压缩包，其中包含一个签名的可执行文件。这个看似合法的可执行文件随后从内存中执行Lumma Stealer，使其能够收集凭证、加密货币钱包和其他敏感信息。攻击者还通过恶意MpGear.dll文件使用DLL搜索顺序劫持技术，确保恶意软件在启动某些合法应用程序时自动加载，从而在受感染系统上提供持久性，并允许长时间持续数据窃取。

安全专家建议实施能够识别可疑云托管内容的高级威胁检测系统，为特权用户维持严格的访问控制，并部署全面的端点保护解决方案，以降低此类攻击带来的风险。

原文链接：

https://cybersecuritynews.com/russian-hackers-leverage-oracle-cloud-infrastructure/

去中心化加密货币交易所Cetus于5月22日遭遇黑客攻击，约2.23亿美元资金被盗。Cetus当天在社交媒体上首先宣布发生安全事件，随后确认攻击者窃取了用户资金。

该公司表示，他们立即采取行动锁定合约，防止更多资金被盗。据悉，1.62亿美元的受损资金已被成功"暂停"。运行在Sui区块链上的Cetus正与Sui Foundation等机构合作，积极寻求途径追回剩余被盗资金，并承诺稍后提供完整事件报告。

多位加密货币安全专家表示，区块链数据显示约5000万美元被盗资金已转移至新钱包。关于事件原因存在争议，有人指出黑客可能利用协议漏洞，也有专家认为攻击者操纵了代币价格。

Cetus曾在今年4月宣布其总交易量已达500亿美元。此次攻击发生在加密货币交易所Bybit遭朝鲜黑客攻击损失14亿美元三个月后。

原文链接：https://therecord.media/decentralized-crypto-platform-cetus-theft

近日，安全研究人员发现一种新型恶意软件攻击活动正利用TikTok的病毒式传播特性和庞大用户群，分发Vidar和StealC等信息窃取恶意软件。根据Trend Micro的最新安全公告，这种社会工程攻击方式标志着恶意软件传播策略的转变，攻击者通过看似无害的视频内容，利用平台的影响力和用户信任来传播有害软件。

与以往依赖恶意网站和JavaScript注入的攻击不同，此次攻击完全在TikTok平台内进行。攻击者发布疑似由AI工具创建的短视频，指导用户执行PowerShell命令。这些命令被伪装成激活Microsoft Office或Spotify等流行软件的方法，实际上会启动恶意软件感染链。

这种策略通过视频中的口头和视觉指导传递命令，而非嵌入文本或链接，使传统安全系统难以检测。用户被诱导自行输入这些命令，从而在不知情的情况下参与恶意软件的安装过程。恶意软件链通过PowerShell从allaivo[.]me下载脚本，然后获取并安装Vidar或StealC。该PowerShell脚本会在用户目录中隐藏文件，将其添加到Windows Defender的排除列表中，从amssh[.]co下载恶意软件，使用重试逻辑确保执行，建立系统持久性，并清理取证证据以避免检测。

Trend Micro呼吁组织主动监控社交媒体平台上包含技术指令的高互动帖子，实施行为检测工具以标记异常用户操作，并加强用户教育，帮助识别和报告欺骗性视频内容。

原文链接：

https://www.infosecurity-magazine.com/news/ai-tiktok-videos-infostealer/

安全研究人员近日披露，GitLab的AI助手Duo存在间接提示注入(indirect prompt injection)漏洞，攻击者可利用该漏洞窃取源代码、引导用户访问恶意网站，甚至分发恶意软件。

Legit Security的研究人员发现，Duo在处理输入和输出时缺乏足够的审查机制。攻击者可以通过在代码中隐藏特殊提示来操纵AI助手，从而实施钓鱼攻击、投放恶意软件或窃取敏感数据。从问题跟踪到CI/CD管道和源代码，Duo与整个DevSecOps流程的深度集成。由于Duo分析丰富的交叉链接项目数据，因此滥用的攻击面更广。

Duo不仅会处理源代码中的隐藏提示，还会执行注入到提交消息、问题描述和合并请求评论中的恶意提示。攻击者甚至可以使用编码提示或白色文本（与网页背景相同）来隐藏其恶意行为。最严重的漏洞与Duo响应的渲染方式有关。Duo以Markdown格式逐行输出响应，并在生成过程中实时渲染HTML。研究人员设计了一个概念验证(PoC)提示，可隐藏在合并请求描述或提交评论中，当受害者使用Duo审查时，Duo会将恶意HTML传递给浏览器，然后浏览器会向攻击者的服务器发送GET请求，窃取受害者的私有源代码。

GitLab已修复HTML渲染问题，并在5月21日解决了所有相关问题。

原文链接：

https://www.darkreading.com/application-security/gitlab-ai-assistant-opened-devs-to-code-theft

Signal即时通讯应用近日更新了其Windows版本，通过默认启用"屏幕安全"(screen security)功能，阻止Microsoft的AI驱动Recall功能对用户对话进行截屏，以保护用户隐私。

Microsoft Recall是Windows 11上的一项功能，它每隔几秒钟自动截取所有活动窗口的屏幕截图，并分析这些内容建立可通过自然语言搜索的数据库。Signal的屏幕安全功能通过在应用窗口上设置数字版权管理(DRM)标志，阻止Recall或其他Windows应用和功能捕获其内容。

值得注意的是，屏幕安全功能可能会导致屏幕阅读器出现问题。用户可以通过Signal设置 > 隐私 > 屏幕安全来关闭此功能，但Signal会显示警告，提醒用户一旦禁用该功能，Windows将能够截取Signal聊天内容。

Microsoft于2024年5月推出Recall功能，当时安全专家将其描述为"隐私噩梦"和重大安全风险。为解决这些担忧，Microsoft将Recall设为可移除的选择性功能，并增加了过滤敏感信息和排除某些应用、网站或私人浏览会话的功能。

原文链接：

https://www.bleepingcomputer.com/news/security/signal-now-blocks-microsoft-recall-screenshots-on-windows-11/