HackerNews

HackerNews 编译，转载请注明出处： 常春藤名校普林斯顿大学近日发生重大数据泄露事件，所有曾在该校就读或毕业人员的个人信息均可能遭窃，受影响名单包括亚马逊创始人杰夫·贝索斯、美国前第一夫人米歇尔·奥巴马、美国国防部部长皮特・赫格塞思等政商界知名人士。 根据校方公告，11月10日外部攻击者入侵了普林斯顿大学发展事务处的数据库，该数据库存储着校友、捐赠者、教职员工、学生及家长等大学社区成员的信息。校方确认所有校友——包括曾入学但未毕业者——均在此次事件中受到影响。 泄露范围 作为全球最负盛名的研究型大学之一，普林斯顿培养了大量杰出人才：亚马逊CEO杰夫·贝索斯（1986届）、前第一夫人米歇尔·奥巴马（1986届）、谷歌前CEO埃里克·施密特（1976届）均位列其中。 更引人关注的是，美国现任国防部长皮特·赫格塞斯及八位最高法院大法官中的三位——塞缪尔·阿利托、埃琳娜·卡根和索尼娅·索托马约尔——的信息也可能遭泄露。 普林斯顿大学透露，此次信息泄露的受害者不仅包括校友，还涵盖校友配偶、学校捐赠者、学生家长以及历届和现任教职员工。 学校方面解释：“目前我们尚不清楚黑客具体查看或窃取了哪些信息。该数据库主要存储与学校筹款及校友联络相关的个人传记类信息，我们认为其中不包含密码、社会保障号码、信用卡信息或银行账户记录。” 攻击方式 据悉，攻击者通过钓鱼攻击获取了数据库访问权限。恶意攻击者通过电话锁定一名大学员工，冒充合法请求获取凭证后侵入系统。 这种社交工程手段与著名黑客组织Scattered Spider此前攻击英国零售商玛莎百货、美高梅度假村和凯撒娱乐的手法如出一辙。 普林斯顿大学表示，事件后，校方在24小时内成功阻断攻击，并已通报执法部门启动调查。 普林斯顿并非首所遭遇黑客入侵的常春藤盟校。今年 8 月底，哥伦比亚大学曾发生类似事件，近 90 万人信息被泄露，其中也包括大量往届校友。 顶尖高等教育机构往往是网络犯罪分子的目标。今年早些时候，一个勒索软件团伙声称对欧洲顶尖学府巴黎索邦大学发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Everest勒索软件组织宣称，已从巴西国家石油公司（Petrobras）窃取90GB敏感地震和勘探数据，并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称，事件涉及第三方服务商，其内部系统未受影响。 Everest组织在暗网泄密站点发布声明，给公司设下六天期限要求联系，否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。 Petrobras向Cybernews明确表示，其系统未发现未授权访问记录，并强调”所有敏感和战略数据均按照最严格信息安全标准保持安全”。据该公司说明，此次入侵事件与某勘探服务提供商相关，属于独立事件，不影响公司运营、客户及员工。 根据攻击者公布的信息，被盗数据包含： 原始地震导航数据（含船舶坐标） 海底节点位置信息 差分GPS精度数据 测线质量控制数据 震源方向报告 水听器与震源深度参数 震源压力数据 设备元数据与节点配置 系统状态初步质检报告 勘探进度总结PDF文件 初步质检结果与逐线结论 震源与节点间距方位数据 船舶运动参数与设备朝向 据称，这些数据包含坎波斯盆地三维和四维地震勘探信息。值得注意的是，Petrobras近期刚宣布在该盆地盐下层发现优质石油资源。公司在该赎金声明出现当日发布的新闻稿中确认：”该钻井作业已完成，含油层段通过电测录井、气体指示和流体取样得到证实。” Cybernews研究人员分析数据样本后指出：”目前无迹象表明攻击者具有实时数据访问权限，因此船舶和钻井基础设施应无直接间谍攻击风险。此次泄露主要影响企业声誉，暴露的导航数据和报告可能揭示船舶定位与使用设备，削弱公司竞争优势。” Everest组织自2021年7月开始活跃，今年持续针对关键基础设施实施攻击。本月该组织还袭击了意大利工业气体巨头SIAD集团；此前最严重的攻击导致欧洲多国机场值机系统瘫痪；9月宣称入侵宝马集团及德国第二大银行DZ Bank子公司（但银行予以否认）；7月针对邮件营销平台Mailchimp；5月袭击可口可乐中东分部并泄露近千名员工数据。     消息来源：cybernews；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据媒体报道，本月早些时候一名俄罗斯黑客嫌犯在泰国被捕，据悉此人与一个新兴的、与克里姆林宫立场一致的黑客组织存在关联。该组织曾针对欧洲和北美多国的政府及关键基础设施网络发起攻击。 泰国警方上周证实，已拘留一名遭美国通缉的 “世界知名黑客”，此人涉嫌对美国政府机构发动网络攻击。随后，俄罗斯国家媒体今日俄罗斯电视台确认该嫌犯为 35 岁的丹尼斯・奥布列佐科，他是斯塔夫罗波尔人，此前曾任职于俄罗斯多家大型信息技术企业，负责 “为国内产业研发高科技系统”。 当地媒体援引执法部门消息称，此次逮捕行动由美国联邦调查局与泰国警方联合开展，奥布列佐科于 11 月 6 日落网。他入境泰国仅一周，警方便突袭了其位于普吉岛度假胜地的酒店房间，并查扣了笔记本电脑、手机及数字钱包等物品。 上周有报道显示，该嫌犯被捕后被关押在曼谷，等待引渡至美国。今日俄罗斯电视台称，嫌犯家属已确认其被捕一事，并表示正聘请律师，试图阻止将其移交美国当局。俄罗斯驻曼谷大使馆也已提出领事探视要求。 泰国官方尚未公开披露该嫌犯的身份信息，但当地警方知情人士向美国有线电视新闻网透露，奥布列佐科据称是 “Void Blizzard” 组织（又名 “洗衣熊”）的成员。这个与俄罗斯有关联的黑客组织，最早由微软公司在今年发布的报告中详细曝光。 新兴的 “暴雪” 势力 微软在 5 月发布的一份报告中指出，“Void Blizzard” 是一个新兴的间谍性质高级持续性威胁组织，其行动始终服务于俄罗斯政府的相关利益（微软公司会用 “暴雪” 为所有与俄罗斯有关联的黑客组织命名）。该黑客组织的攻击目标涵盖政府、国防、交通、媒体、非政府组织及医疗等多个领域的机构，攻击重点集中在欧洲和北美地区。 微软方面称，“Void Blizzard” 通常借助购买或窃取的账户凭证侵入目标网络，进而窃取大量电子邮件与内部文件。 2024 年 9 月，荷兰情报部门透露，该组织曾入侵包含荷兰国家警察部门在内的多家荷兰机构，并窃取了大量 “工作相关联络信息”。 微软表示：“该黑客组织频繁针对关键领域网络发动攻击，这不仅给北约成员国，也给乌克兰的一众盟友带来了日益严峻的安全风险。” 消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大电池制造商之一 LG 能源解决方案（LG Energy Solution）证实，其遭遇勒索软件攻击 —— 此前，一个上周被美国联邦调查局（FBI）重点通报的网络犯罪团伙已宣称对此负责。 这家总部位于韩国的公司发言人表示，企业近期发现了该起攻击事件，目前正实施安全措施以应对相关情况。 “攻击目标为某一特定海外工厂，经确认，总部及其他设施未受影响，” 发言人指出。LG 能源解决方案在全球多大洲设有生产基地，仅北美地区就有 8 家工厂。 “受影响工厂已通过恢复措施恢复正常运营，作为预防措施，我们正在开展安全运维及调查工作。” 该发言人未回应关于事件性质的进一步询问。 LG 能源解决方案是韩国跨国企业 LG 集团的子公司，2024 年通过为汽车制造商供应电池实现营收 175 亿美元。 本周一（注：结合上下文推测为 2025 年 11 月相关日期），“明”（Akira）勒索软件团伙将该公司列入其数据泄露网站，声称窃取了 1.7 太字节（TB）的数据，包括企业文件、员工信息数据库等内容。 11 月 13 日，FBI 发布了关于该勒索软件团伙的更新通报，警告称该黑客组织通过勒索软件攻击已非法获利超过 2.44 亿美元。 “‘明’勒索软件不仅窃取资金，还会破坏为医院、学校和企业提供支撑的关键系统，”FBI 网络部门助理局长布雷特・莱瑟曼（Brett Leatherman）表示。 通报同时警告，该团伙正重点针对制造业及其他多个行业发动攻击。 随着电池制造商在全球产业链中的地位日益凸显，这类企业已成为勒索软件团伙的重点攻击目标。德国电池制造商瓦尔塔集团（Varta AG）去年曾因网络攻击导致系统瘫痪数周；2024 年，某电池关键材料主要供应商遭黑客窃取 6000 万美元。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布 Chrome 安全更新，修复了两个漏洞，其中包括一个编号为 CVE-2025-13223 的高危 V8 类型混淆漏洞 —— 该漏洞已被野外活跃利用。 Chrome V8 引擎是谷歌开发的开源 JavaScript 及 WebAssembly 引擎（采用 C++ 编写），为谷歌 Chrome 浏览器、Node.js 等应用程序提供代码执行支持。 类型混淆漏洞是指软件将某块内存错误解读为其他类型对象的安全问题。这种混淆可能导致攻击者破坏内存数据、崩溃程序或执行恶意代码，在浏览器等 C/C++ 开发的应用中较为常见 —— 这类语言较弱的内存安全性为漏洞利用提供了可能。 攻击者可通过构造恶意 HTML 页面触发该漏洞，实现代码执行或导致程序崩溃。 该漏洞影响版本号低于 142.0.7444.175 的谷歌 Chrome 浏览器中的 V8 脚本引擎。 美国国家标准与技术研究院（NIST）在安全公告中指出：“谷歌 Chrome 142.0.7444.175 版本之前的 V8 引擎存在类型混淆漏洞，远程攻击者可通过构造恶意 HTML 页面潜在利用此漏洞实施堆破坏。（Chromium 安全等级：高危）” 公告同时明确：“谷歌已知悉 CVE-2025-13223 漏洞存在野外利用样本。” 该漏洞由谷歌威胁分析小组（TAG）的克莱芒・勒西涅（Clément Lecigne）于 2025 年 11 月 12 日报告。谷歌 TAG 团队主要负责调查国家级黑客组织及商业间谍软件供应商发起的攻击活动，此次漏洞大概率已被某类威胁行为者用于野外攻击。与往常一致，谷歌未披露该漏洞相关攻击事件的具体细节。 此外，谷歌还修复了另一个 V8 类型混淆漏洞 CVE-2025-13224，该漏洞由谷歌通过其 “Big Sleep” 安全机制于 2025 年 10 月 9 日自行发现。 用户应根据自身操作系统，将 Chrome 浏览器更新至 142.0.7444.175 或 142.0.7444.176 版本，并重启浏览器以应用修复补丁。 CVE-2025-13223 是 2025 年以来谷歌修复的第七个被野外活跃利用的 Chrome 零日漏洞，其余已修复的零日漏洞包括： CVE-2025-10585：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 CVE-2025-6558：谷歌 Chrome 138.0.7204.157 版本之前的 ANGLE 组件及 GPU 模块存在不可信输入验证不充分问题，远程攻击者可通过构造恶意 HTML 页面潜在实现沙箱逃逸。 CVE-2025-5419：谷歌 Chrome 浏览器早期版本的 V8 JavaScript 引擎存在越界读写漏洞，攻击者可通过构造恶意 HTML 页面触发堆破坏，该漏洞已被野外活跃利用。 CVE-2025-4664：Chrome 浏览器漏洞，可能导致账户完全被盗取；谷歌已知悉该漏洞存在野外利用样本（注：原文此处疑似笔误，误写为 CVE-2025-5419，已按上下文逻辑修正表述）。 CVE-2025-2783：Windows 平台 Mojo 组件在特定场景下存在句柄处理错误漏洞，由卡巴斯基研究员鲍里斯・拉林（@oct0xor）和伊戈尔・库兹涅佐夫（@2igosha）于 2025 年 3 月 20 日报告。谷歌针对 Windows 版 Chrome 浏览器发布了紧急更新以修复该高危漏洞，该漏洞曾被用于针对俄罗斯境内机构的攻击活动。 CVE-2025-6554：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国外卖配送与物流公司 DoorDash 宣布，其遭遇一起社交工程攻击，引发数据泄露事件，用户、配送员（Dashers）及商户的姓名、地址、电子邮件和电话号码等信息被泄露。 该公司在 cybersecurity 事件声明中表示：“我们的团队近期发现并终止了一起网络安全事件，期间有未授权第三方非法获取并窃取了部分用户信息。重要的是，未授权第三方并未获取任何敏感信息，目前也没有迹象表明这些数据被用于欺诈或身份盗用行为。” DoorDash 证实，其一名员工成为社交工程诈骗的受害者，但公司已切断入侵者的访问权限并通知了执法部门。此次泄露的数据包括用户、配送员（Dashers）和商户的姓名、地址、电子邮件及电话号码。 声明进一步指出：“一名 DoorDash 员工近期成为社交工程诈骗的攻击目标。响应团队已确认该事件，切断了未授权方的访问权限，启动了调查，并将此事移交执法部门处理。” 公司强调，攻击者并未获取社会保障号（SSNs）、身份证号、驾照信息或银行 / 支付详情等敏感数据。 DoorDash 表示，目前没有证据表明被盗数据已被滥用，同时确认 Wolt 和 Deliveroo 平台的用户未受到此次事件影响。 这家美国外卖配送与物流公司已向受影响用户发送了通知。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰警方查获了 250 台运行 “防弹主机” 服务的服务器，该服务专为网络犯罪分子所用，自 2022 年以来已涉及 80 多起网络犯罪调查。 荷兰国家警察部队（Politie）在声明中表示：“在对一家非法主机服务商的调查中，荷兰东部网络犯罪调查小组查获了数千台服务器。警方称，该主机服务商完全用于犯罪活动。调查显示，自 2022 年以来，该公司已出现在国内外 80 多起网络犯罪调查中，且近期仍在被用于实施犯罪活动。” 荷兰警方已将数千台虚拟服务器下线，此举既阻断了犯罪分子对该服务的使用，也为后续调查提供了支持。 何为 “防弹主机”？ “防弹主机”（Bulletproof Hosting）是一种故意无视或抵制滥用举报、下架请求及执法命令的主机服务，其设计目的是让用户能够开展非法或有害活动，且被关闭的风险极低。 此类服务的典型犯罪用途包括： 恶意软件命令与控制（C2）服务器 钓鱼网站与诈骗网站 勒索软件基础设施 僵尸网络控制面板 数据泄露或勒索网站 这些服务商通常在执法力度薄弱的司法管辖区运营，或频繁迁移基础设施以规避检测。 此次服务器查获行动，使得调查人员能够深入调查服务器上的犯罪活动，同时阻止该 “防弹主机” 服务被用于进一步的网络犯罪。 尽管荷兰当局未披露被查获的 “防弹主机” 服务商名称，但有消息人士向 BleepingComputer 透露，荷兰警方从海牙某数据中心扣押了隶属于 CrazyRDP 的服务器，目前该服务已下线。CrazyRDP 提供无需实名认证（no-KYC）、无日志记录的匿名虚拟专用服务器（VPS）/ 远程桌面协议（RDP）服务，常被威胁行为者推荐作为 “防弹主机” 使用。该平台的 Telegram 频道已删除所有帖子并迁移至新频道，用户在新频道中反映其丢失了多台服务器，并担心遭遇 “跑路诈骗”（exit scam）。CrazyRDP 的客服起初将问题归咎于数据中心故障，随后便停止更新相关信息，目前事态进展尚不明确。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序，持续针对中东地区的航空航天、航空和国防行业发动攻击。 谷歌旗下的曼迪昂特（Mandiant）公司将该活动归因于一个代号为 UNC1549（又称 “雨云狮身人面像” 或 “狡猾蜗牛”）的威胁集群，该集群于去年年初首次被这家威胁情报公司记录在案。 研究人员穆罕默德・埃尔 – 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示：“2023 年末至 2025 年期间，UNC1549 采用了复杂的初始访问向量，包括滥用第三方合作关系获取入口（从服务提供商转向其客户）、从第三方虚拟桌面基础设施（VDI）突破，以及针对性极强、与角色相关的钓鱼攻击。” 此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时，该组织通过领英（LinkedIn）发起以招聘为主题的社会工程学攻击，成功入侵了 11 家机构。 事件响应与数字取证（DFIR）托管服务 谷歌称，攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动，以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。 尽管这些组织通常拥有强大的防御体系，但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用：他们先获取关联实体的访问权限，再渗透目标核心系统。 攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰（Citrix）、威睿（VMWare）和 Azure 虚拟桌面与应用程序（VDA）等服务相关的凭证，建立初始立足点，随后突破虚拟化会话限制，获取底层主机系统访问权限，并在目标网络内开展横向移动活动。 另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件，诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现，UNC1549 还在攻击中针对 IT 人员和管理员，以获取具有高权限的凭证，从而获得对网络的深度访问权。 攻击者一旦入侵成功，后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取，系统性收集网络 / IT 文档、知识产权和电子邮件。 该威胁行为者在攻击中使用的部分定制工具如下： MINIBIKE（又称 SlugResin）：已知的 C++ 后门程序，可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器（Google Chrome）、勇敢浏览器（Brave）和微软 Edge 浏览器的浏览数据，并截取屏幕截图。 TWOSTROKE：C++ 后门程序，支持系统信息收集、动态链接库（DLL）加载、文件操作和持久化驻留。 DEEPROOT：基于 Go 语言的 Linux 后门程序，支持执行 shell 命令、枚举系统信息和文件操作。 LIGHTRAIL：定制隧道工具，疑似基于开源 Socks4a 代理工具 Lastenzug 开发，利用 Azure 云基础设施进行通信。 GHOSTLINE：基于 Go 语言的 Windows 隧道工具，通过硬编码域名进行通信。 POLLBLEND：C++ Windows 隧道工具，利用硬编码的命令与控制（C2）服务器注册自身并下载隧道配置。 DCSYNCER.SLICK：基于 DCSyncer 开发的 Windows 工具，用于执行 DCSync 攻击以提升权限。 CRASHPAD：C++ Windows 工具，用于提取浏览器中保存的凭证。 SIGHTGRAB：C 语言编写的 Windows 工具，选择性部署以定期捕获屏幕截图并保存至磁盘。 TRUSTTRAP：恶意软件，通过弹出 Windows 提示框诱骗用户输入微软账户凭证。 网络安全配置（CIS）构建工具包 攻击者还使用了多款公开可用的程序，包括：用于查询活动目录（Active Directory）的 AD Explorer；用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具（Atelier Web Remote Commander，AWRC）；以及用于远程控制的 SCCMVNC。此外，该威胁行为者还通过删除远程桌面协议（RDP）连接历史注册表项来阻碍调查。 曼迪昂特公司表示：“UNC1549 的攻击活动特点在于其专注于预判调查行动，并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月，仅在受害者尝试清除后才激活以重新获取访问权限。” “他们利用大量反向 SSH 隧道（可减少取证证据）和策略性模仿受害者所在行业的域名，维持隐蔽性和命令与控制（C2）通信。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，多个恶意软件攻击活动正利用如今十分猖獗的点击诱骗式社会工程学攻击手段，投放阿玛特拉窃取器与网络支持远程控制木马。 该攻击活动于本月被监测到，加拿大网络安全公司易森泰尔将其命名为 “评估行动” 并持续追踪。 阿玛特拉窃取器于 2025 年 6 月首次被发现，经证实其源于 “灼雨” 窃取器。“灼雨” 窃取器此前以恶意软件即服务的模式对外售卖，直至 2024 年 7 月中旬停止发售。阿玛特拉窃取器则采用订阅制售卖模式，月付套餐定价 199 美元，年费套餐定价 1499 美元。 这家加拿大网络安全厂商表示：“阿玛特拉窃取器为攻击者提供了强大的数据窃取能力，攻击目标涵盖加密货币钱包、浏览器、即时通讯软件、文件传输协议客户端以及电子邮件服务等。值得注意的是，该窃取器运用了 WoW64 系统调用等先进的规避技术，以此绕过沙箱、杀毒软件和终端检测与响应系统普遍采用的用户态挂钩机制。” 与各类点击诱骗攻击的典型手法一致，攻击者会在虚假钓鱼页面设置谷歌人机验证环节，诱骗用户通过 Windows 系统的 “运行” 对话框执行恶意命令。该命令会触发多步攻击流程：先通过系统中的微软脚本宿主程序启动 PowerShell 脚本，再由该脚本从文件存储平台媒体火上下载一个点网框架程序。 攻击载荷为阿玛特拉窃取器动态链接库文件，该文件经纯加密器加密处理。纯加密器是一款基于 C# 语言开发的多功能加密工具与加载器，由名为纯编码者的攻击者以恶意软件即服务的模式对外推广售卖。攻击者会将这一动态链接库文件注入微软生成程序进程，随后该窃取器会窃取用户敏感数据，并连接外部服务器执行 PowerShell 命令，进而获取并运行网络支持远程控制木马。 易森泰尔指出：“阿玛特拉窃取器调用的 PowerShell 脚本中，有一设计尤为值得警惕 —— 它会先检测受攻击设备是否加入企业域，或是是否存有加密货币钱包等具有潜在价值的文件。若这两项条件均不满足，脚本便不会下载网络支持远程控制木马。” 这一攻击态势与近期发现的多起钓鱼攻击活动相呼应，这些攻击活动正大肆传播各类恶意软件，具体情况如下： 含 Visual Basic 脚本附件的钓鱼邮件，这类邮件伪装成发票单据，通过批处理脚本调用 PowerShell 加载器来植入 X 蠕虫病毒； 部分网站遭攻击者入侵并植入恶意脚本，访客访问这些网站时会被重定向至伪造的点击诱骗页面。这些页面仿冒云 flare 验证界面，借此投放网络支持远程控制木马。该攻击活动代号为 “智猿行动”，同时也被标记为 “汉尼曼尼” 及 “ZPHP” 攻击行动； 攻击者搭建伪装成缤客旅行网的虚假网站，通过虚假验证界面实施点击诱骗，诱使用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，最终植入账号密码窃取程序； 伪造内部 “邮件投递” 通知邮件，谎称拦截了与未付账单、快递配送及报价申请相关的重要邮件，诱骗收件人点击链接。该链接实则用于窃取用户登录凭证，借口是帮助用户将被拦截邮件移至收件箱； 借助 “瑟法斯” 和 “巨头双重验证” 两款钓鱼工具发起攻击。其中 “瑟法斯” 钓鱼工具于 2024 年 8 月首次出现，这两款工具会将用户诱导至恶意登录页面，进而窃取账号密码。 梭子鱼网络安全公司在上周发布的分析报告中称：“瑟法斯钓鱼工具的一大显著特征是采用了独特且罕见的代码混淆技术。该工具会在源代码中嵌入随机不可见字符对代码进行隐藏，既能避开反钓鱼扫描工具的检测，还能阻止基于特征码的雅拉规则识别其具体钓鱼手段。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露，随着 Android 系统持续采用 Rust 编程语言，内存安全漏洞数量占总漏洞的比例首次降至 20% 以下。 “我们采用 Rust 是看中其安全性，相比 Android 中的 C 和 C++ 代码，Rust 代码的内存安全漏洞密度降低了 1000 倍。但最令人意外的是 Rust 对软件交付的影响，” 谷歌的杰夫・范德・斯托普表示，“Rust 代码修改的回滚率降低了 4 倍，代码审查时间缩短了 25%，如今更安全的开发方式同时也是更高效的方式。” 此前一年多，这家科技巨头曾披露，向 Rust 语言转型已促使内存安全漏洞数量从 2019 年的 223 个降至 2024 年的不足 50 个。 谷歌指出，Rust 代码所需的修订次数更少，相比 C++ 代码减少约 20%，且回滚率降低，从而提升了整体开发吞吐量。 谷歌还表示，计划将 Rust 的 “安全性和生产力优势” 扩展到 Android 生态系统的其他部分，包括内核、固件以及核心第一方应用（如 Nearby Presence、消息层安全协议 MLS 和 Chromium 浏览器）。目前 Chromium 中 PNG、JSON 和网页字体的解析器已替换为 Rust 编写的内存安全实现版本。 此外，谷歌强调需采取深度防御策略，称 Rust 语言内置的内存安全特性只是全面内存安全战略的一部分。 作为例证，谷歌提到其在 CrabbyAVIF 中发现了一个内存安全漏洞（CVE-2025-48530，CVSS 评分 8.1）。CrabbyAVIF 是一个用不安全 Rust 编写的 AVIF（AV1 图像文件）解析器 / 解码器，该漏洞可能导致远程代码执行。尽管这一线性缓冲区溢出漏洞从未进入公开版本，但谷歌已在 2025 年 8 月的 Android 安全更新中修复了该问题。 对这一 “险些泄露” 的漏洞进一步分析发现，Android 中的动态用户态内存分配器 Scudo 使其无法被利用。Scudo 旨在对抗堆相关漏洞（如缓冲区溢出、释放后使用和双重释放），且不影响性能。 谷歌强调，不安全 Rust “本身已相当安全”，其漏洞密度远低于 C 和 C++，且 Rust 中的 “不安全” 代码块并不会自动禁用该语言的安全检查。 “尽管 C 和 C++ 仍将继续存在，软件和硬件安全机制对于分层防御也至关重要，但向 Rust 转型是一种不同的方式 —— 事实证明，更安全的开发路径同时也是更高效的路径。” 谷歌表示。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕修复了其 DSL 路由器中一个严重的身份验证绕过漏洞（CVE-2025-59367），该漏洞可让远程未授权攻击者轻松访问设备。华硕针对多款 DSL 路由器中的严重身份验证绕过漏洞（编号 CVE-2025-59367，CVSS 评分 9.3）发布补丁，此漏洞允许远程未授权攻击者轻松入侵未打补丁的设备。 该漏洞影响 DSL-AC51、DSL-N16、DSL-AC750 系列路由器，厂商已发布 1.1.2.3_1010 版本固件修复此问题。 安全公告中写道：“已在部分华硕 DSL 系列路由器中发现一处安全漏洞。华硕建议用户更新至最新固件，以确保设备安全。” 这家中国台湾厂商建议用户及时更新固件至最新版本。 对于已停止支持的停产（EOL）型号，需设置高强度唯一的路由器和 Wi-Fi 密码，并禁用所有暴露在互联网中的服务（包括广域网访问、端口转发、动态域名解析、虚拟专用网服务器、隔离区、端口触发、文件传输协议）。 华硕还建议，Wi-Fi 和路由器管理员密码需设置高强度唯一密码（至少 10 个字符，包含符号和数字），避免重复使用，并定期检查固件更新和安全更新。 华硕路由器等网络设备是僵尸网络的主要攻击目标。2025 年 5 月，GreyNoise 研究人员曾发出警告，一个名为 AyySSHush 的新型僵尸网络已入侵超过 9000 台华硕路由器，并植入持久性 SSH 后门。 消息来源：securityaffair； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，Aisuru 僵尸网络从 50 万个 IP 地址向 Azure 发起 15.7 太比特 / 秒的 DDoS 攻击，采用大规模 UDP 洪水攻击，峰值达 36 亿包 / 秒。2025 年 10 月 24 日，Azure DDoS 保护系统检测到并缓解了一场大规模多向量攻击，峰值达 15.72 太比特 / 秒、36.4 亿包 / 秒，这是有记录以来最大规模的云 DDoS 攻击，目标是澳大利亚的一个单一终端节点。 Azure 的全球保护网络对流量进行了过滤，确保服务持续在线。此次攻击来自 Aisuru 僵尸网络，这是一个 Turbo Mirai 类物联网僵尸网络，利用被入侵的家用路由器和摄像头开展攻击。 微软发布的报告中写道：“2025 年 10 月 24 日，Azure DDoS 保护系统自动检测到并缓解了一场多向量 DDoS 攻击，强度达 15.72 太比特 / 秒、近 36.4 亿包 / 秒。这是云环境中观测到的最大规模 DDoS 攻击，目标是澳大利亚的一个单一终端节点。此次攻击源自 Aisuru 僵尸网络。” 该攻击通过 50 多万个 IP 地址向单一公网地址发起大规模 UDP 洪水攻击，欺骗性较低且源端口随机，这使得追踪攻击源头更为容易。这一现象凸显了攻击者正随着互联网发展不断升级攻击规模：家用光纤速度提升和物联网设备性能增强，持续推高 DDoS 攻击的规模上限。 报告总结道：“攻击者正随着互联网本身的发展而升级攻击能力。随着光纤入户速度提升和物联网设备性能增强，攻击规模的基准线不断攀升。临近假日季，务必确保所有面向互联网的应用程序和工作负载都具备充足的 DDoS 攻击防护能力。”网络安全公司 Netscout 报告称，2025 年 10 月，基于 Mirai 的 Aisuru 物联网僵尸网络还发起过另一场规模超 20 太比特 / 秒的大规模 DDoS 攻击，主要针对在线游戏领域。 该僵尸网络利用住宅代理发起 HTTPS 反射 DDoS 攻击。其节点主要是消费级路由器、闭路电视 / 数字录像机以及其他易受攻击的客户终端设备，攻击者持续寻找新的漏洞利用方式以扩大僵尸网络规模。 Aisuru 作为 “付费 DDoS 攻击服务” 运营，避开政府和军事目标，但受感染客户设备发起的超 1.5 太比特 / 秒攻击，给宽带运营商造成了严重中断。 与其他 TurboMirai 类僵尸网络类似，Aisuru 具备额外的专用 DDoS 攻击能力和多用途功能，使攻击者能够开展其他非法活动，包括凭证填充、人工智能驱动的网页抓取、垃圾邮件发送和钓鱼攻击等。 攻击采用 UDP、TCP 和 GRE 洪水攻击方式，使用中等大小数据包，端口 / 标志位随机化。受感染客户终端设备产生的超 1 太比特 / 秒流量会扰乱宽带服务，40 亿包 / 秒以上的洪水攻击已导致路由器线路卡故障。Netscout 指出，Aisuru 和 TurboMirai 类物联网僵尸网络主要发起单向量、直接路径 DDoS 攻击，偶尔会与其他付费 DDoS 攻击服务联合开展多向量攻击。攻击类型包括中大型或小型数据包 UDP 洪水攻击、小型或大型数据包 TCP 洪水攻击，以及多达 119 种 TCP 标志位组合攻击。部分流量模仿合法 HTTP 数据包，而 HTTPS 攻击则利用内置住宅代理实施。研究人员指出，由于大多数网络缺乏特权访问和源地址验证机制，该僵尸网络的攻击流量未经过欺骗处理。 Cloudflare 称，Aisuru 僵尸网络与该公司 2025 年 9 月缓解的一场创纪录 DDoS 攻击有关，那场攻击的规模达 22.2 太比特 / 秒。     消息来源：securityaffair； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肯尼亚政府本周一上午遭遇网络攻击，多个部委官网被黑客篡改并悬挂种族主义信息长达数小时。攻击者将政府部门网站标记上白人至上主义标语。 包括内政部、卫生部、教育部、能源部、劳工部及水资源部在内的多个政府官网遭黑客接管。肯尼亚内政部发布公告确认此次事件，称多个政府网站因攻击暂时无法访问。 政府声明称：”初步调查显示，此次攻击疑似由自称‘PCP@肯尼亚’的组织实施。事件发生后，我们立即启动事件响应与恢复程序，协同相关各方减轻影响并恢复平台访问。目前局势已得到控制，系统正处于持续监控状态。” 内政部呼吁民众若掌握任何关于此次网络攻击的信息，立即联系国家肯尼亚计算机事件响应小组。 值得注意的是，与肯尼亚接壤的索马里刚于前一天报告其移民与公民事务局遭遇网络攻击。索马里政府表示发现通过电子签证入境人员的资料遭泄露，该机构正在调查事件并确定受影响人数范围。 美国驻索马里使馆指出，此事与11月11日出现的指控相关——当时黑客声称渗透该国电子签证系统，可能泄露”至少3.5万人的个人数据，其中包括数千名美国公民”。使馆补充说明：”泄露数据包含签证申请人的姓名、照片、出生日期与地点、电子邮箱、婚姻状况及家庭住址。虽然摩加迪沙使馆无法确认具体个体数据是否遭泄，但所有申请过索马里电子签证的人员都可能受到影响。” 截至周一下午，尚未有任何黑客组织宣称对这两起事件负责。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周五，科技制造商罗技向美国证券交易委员会提交文件，证实遭遇一起利涉及零日漏洞的网络安全事件。该公司表示，调查发现黑客“利用某第三方软件平台的漏洞，从内部IT系统复制了特定数据”。 罗技表示，他们已在软件平台供应商发布补丁后立即修复该零日漏洞。“受影响数据可能包含有限的员工与消费者信息，以及客户和供应商相关数据，但未涉及国民身份证号或信用卡信息等敏感个人信息。” 公司同时称此次攻击未影响其产品、业务运营或制造体系，预计不会造成财务影响，相关成本将由网络安全保险承担。 此次文件提交距网络犯罪组织Clop宣称通过甲骨文 E-Business Suite工具中的零日漏洞窃取罗技信息已过去一周。 虽然罗技发言人拒绝证实该事件是否涉及Clop组织或甲骨文漏洞，但谷歌等安全公司的报告显示，黑客确实利用了甲骨文电子商务套件中的多个漏洞，其中至少一个零日漏洞已于9月被列入联邦观察名单。 Clop组织最初于10月宣称通过该应用窃取了敏感信息。 甲骨文方面虽承认黑客利用漏洞发起攻击，但最初称这些漏洞已在7月更新中修复。 FBI助理局长布雷特·莱瑟曼曾强调，其中某个漏洞属于“立即停工修复”级别的重大安全隐患。 随着事件发酵，多家机构相继确认数据遭窃，包括美国地区航空公司GoJet、SkyWest等。《华盛顿邮报》上周向监管机构报告称，近万人在此次事件中信息泄露。自宣称对甲骨文电子商务套件零日漏洞利用负责以来，Clop已在泄密网站列出数十家受害机构。 据悉，Clop近年来通过利用Progress、Accellion和GoAnywhere等知名文件传输工具中的漏洞，已非法获利数亿美元。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周五宣布，五名涉案人员对协助朝鲜IT工作者实施欺诈的指控表示认罪。这些人员通过盗用美国公民身份，帮助朝鲜IT工作者获取在美国企业的工作机会，违反了国际制裁规定。 这五名人员包括奥德里库斯·法格纳赛、杰森·萨拉查、亚历山大·保罗·特拉维斯、奥列克桑德·迪登科和埃里克·恩特克雷兹·普林斯。其中法格纳赛、萨拉查和特拉维斯在2019年9月至2022年11月期间，明知故犯地允许境外IT工作者使用他们的美国身份入职美国公司。 这三名被告还充当协调人，将公司配发的笔记本电脑安置在自己住所，并擅自安装远程桌面软件，制造这些IT工作者是在美国境内远程工作的假象。更甚的是，萨拉查和特拉维斯还曾代替境外IT工作者接受雇主的药检。 乌克兰籍的迪登科则通过其运营的网站”Upworksell.com“，盗用美国公民身份并将其出售给IT工作者，帮助他们成功入职40家美国公司。迪登科还通过在美国境内设立”笔记本电脑农场”的方式，为境外IT工作者提供设备托管服务。据悉，他管理的虚假身份多达871个，并同意上缴超过140万美元的非法所得。 普林斯则通过其创立的Taggcar公司，在2020年6月至2024年8月期间向美国企业输送”认证”IT工作者，并在其佛罗里达住所运营笔记本电脑农场，从中获利超过8.9万美元。 美国司法部指出：”这些欺诈性就业计划共影响超过136家美国受害企业，为朝鲜政权创造了超过220万美元收入，并危及18名美国公民的身份安全。” 作为系列执法行动的一部分，美国司法部还提交了两项民事没收诉讼，要求没收2025年3月从朝鲜黑客组织APT38处查获的价值超过1500万美元的加密货币。这些数字资产被指控是通过攻击境外虚拟货币平台非法获取。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一系列影响人工智能推理引擎的关键漏洞，波及Meta、英伟达、微软及vLLM、SGLang等开源项目。这些被统称为”ShadowMQ”的安全隐患，均源于ZeroMQ与Python pickle反序列化的不安全使用模式。 漏洞根源可追溯至Meta Llama大型语言模型框架中的一个缺陷（CVE-2024-50050）。该框架通过ZeroMQ套接字在网络暴露，并利用recv_pyobj()方法对传入数据执行pickle反序列化，使得攻击者可通过发送恶意数据实现任意代码执行。 研究机构Oligo发现，相同的不安全模式已在多个推理框架中重现：英伟达TensorRT-LLM（CVE-2025-23254，已修复）、微软Sarathi-Serve（未修复）、Modular Max Server（已修复）、vLLM（CVE-2025-30165，默认引擎切换）及SGLang（不完全修复）。调查显示，这些漏洞多源于直接复制粘贴代码行为——例如SGLang承认适配vLLM代码，而Modular Max Server则同时借鉴了这两个项目的逻辑。 作为AI基础设施的核心组件，推理引擎一旦被攻陷，攻击者可在集群中执行任意代码、提升权限、窃取模型，甚至部署加密货币挖矿程序等恶意负载。研究人员指出：”项目开发速度惊人，借鉴架构组件已成常态，但当代码复用包含不安全模式时，后果将快速扩散。” 同期另一报告显示，AI代码编辑器Cursor的内置浏览器同样存在风险，可通过JavaScript注入技术窃取凭证，恶意扩展程序更可能使开发者工作站完全失控。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列国家数字机构（INDA）近日披露，伊朗国家支持的威胁组织APT42正在针对伊斯兰革命卫队（IRGC）关注的重点目标展开新一轮间谍活动。该行动被命名为”SpearSpecter”，自2025年9月初持续活跃至今。 研究发现，攻击者系统性地瞄准高级国防和政府官员，采用高度个性化的社交工程手段：通过邀请目标参加知名会议或安排重要会晤建立信任关系。值得注意的是，攻击范围甚至延伸至目标人物的家庭成员，以此扩大攻击面并对主要目标施加更大压力。 APT42组织（亦被称为APT35、Charming Kitten等）自2022年底被公开披露以来，一直以实施极具说服力的长期社交工程攻击著称。攻击者会伪装成目标熟识的联系人，经过数日甚至数周的信任培养后，才发送恶意载荷或诱导点击陷阱链接。 INDA研究人员指出，SpearSpecter campaign展现出高度灵活性——攻击者会根据目标价值和行动目标调整策略。部分攻击将受害者重定向至仿冒会议页面以窃取凭证；若旨在获取长期访问权限，则会部署近年来反复出现的PowerShell后门TAMECAT。 具体攻击链显示，攻击者冒充可信的WhatsApp联系人，发送伪装成会议所需文件的恶意链接。点击后通过”search-ms:”协议处理程序，最终投递托管于WebDAV的Windows快捷方式文件（伪装成PDF）。该LNK文件会连接Cloudflare Workers子域名获取批处理脚本，进而加载具备模块化功能的TAMECAT后门。 这款PowerShell框架特别采用HTTPS、Discord和Telegram三重通信信道进行命令控制，确保即使某个通道被阻断仍能维持访问权限。其功能包括：实施系统侦察、窃取特定类型文件、盗取浏览器数据、收集Outlook邮箱内容，并以15秒间隔持续截屏。所有窃取数据均通过HTTPS或FTP外传。 TAMECAT还采用多种隐身技术：加密遥测数据与控制载荷、混淆源代码、利用合法系统工具隐藏恶意行为，且主要内存运行以减少磁盘痕迹。 INDA总结称：”SpearSpecter campaign的基础设施融合了敏捷性、隐蔽性和操作安全性，展现出针对高价值目标实施长期间谍活动的精密能力。攻击者通过混合使用合法云服务与自控资源，实现了无缝初始访问、持久命令控制和隐蔽数据外泄。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现 GoSign Desktop 存在两项关键漏洞：TLS 证书验证禁用漏洞与未签名更新机制漏洞。 GoSign 是由 Tinexta InfoCert 公司开发的高级合格电子签名解决方案，被公共机构、企业及专业人士用于管理具有可追溯性和安全性的审批流程。该产品的 SaaS / 网页版已获得意大利国家网络安全局（ACN）的 “QC2” 认证。 QC2 认证证明服务具备安全处理关键数据的能力，包括公共机构处理的数据。根据 ACN 2024 年 8 月 1 日生效的法规，面向公共实体的云服务提供商必须满足严格的安全与弹性要求。此认证允许公共机构采用经认证的解决方案，以保护敏感数据并确保核心服务的连续性。本文通报的 GoSign Desktop 是本地部署版本，适用于微软 Windows、Linux Ubuntu 及苹果 macOS 系统。 漏洞描述 研究人员在 Tinexta InfoCert 开发的 GoSign Desktop 软件中发现关键漏洞。该平台广泛用于电子文档的签名、验证和管理，仅 2021 年就有 160 万人使用它完成了超过 8.3 亿次签名交易，足见其在意大利及欧洲数字生态系统中的核心地位。 当 GoSign Desktop 配置为使用代理服务器时，会禁用 TLS 证书验证（SSL_VERIFY_NONE），导致加密通信过程中无法确认服务器身份，用户易遭中间人（MitM）攻击。此外，其更新机制依赖未签名的清单文件，所有安全性均依赖本就未经过验证的 TLS 协议。 已验证的攻击场景 恶意软件安装（严重）：网络攻击者可推送虚假更新，完全控制用户设备。 凭证窃取（高危）：敏感访问数据可能被拦截。 权限提升（高危）：在 Linux 系统中，本地用户可通过恶意更新提升权限。 漏洞分析 1. TLS 验证绕过 GoSignDesktop 进程通过 libdgsapi.so 和 libcurl.so 库调用SSL_CTX_set_verify(mode=SSL_VERIFY_NONE)，直接禁用 TLS 证书验证，使 TLS 通道的安全属性完全失效。 受影响版本： GoSign Desktop 2.4.0（Windows） GoSign Desktop 2.4.0（Linux） GoSign Desktop 2.4.0（macOS）—— 经厂商确认 1.1 不安全的更新机制 更新过程依赖包含更新包 URL 和哈希值的未签名清单文件。中间人攻击者可修改该清单、替换更新包，并提供匹配的 SHA-256 哈希值，最终实现远程代码执行。 1.2 已验证的安全影响 OAuth 密钥泄露 远程代码执行（RCE） 权限提升 鉴于漏洞严重性，已向意大利国家网络安全局 / 意大利计算机应急响应小组（ACN/CSIRT Italia）报告。 1.3 CVSS 3.1 评分 得分：8.2（高危） 向量：AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H 1.4 CWE 映射 CWE-295：证书验证不当 CWE-347：加密签名验证不当 CWE-200：敏感信息向未授权主体泄露 2. 攻击场景详情 2.1 中间人攻击 使用代理时，客户端会接受自签名证书，攻击者可拦截 OAuth 密钥、JWT 令牌、刷新令牌，并篡改更新清单，最终完全控制用户系统。 2.2 权限提升 本地攻击者可修改~/.gosign/dike.conf配置文件，强制推送恶意更新，进而实现权限提升。 漏洞验证视频：https://www.ush.it/team/ush/hack-gosign-desktop_240/gosigndesktop_mitm_poc.mp4漏洞利用代码：https://www.ush.it/team/ush/hack-gosign-desktop_240/ 临时解决方案与修复情况 GoSign Desktop 2.4.1 版本（2025 年 11 月 4 日发布）已修复部分漏洞： 远程代码执行（RCE）—— 已修复 权限提升 —— 已修复 因 TLS 绕过导致的信息泄露 —— 未修复（配置代理时仍禁用 TLS 证书验证） 研究人员首次联系厂商后，通过加密邮件及厂商要求的 Teams 会议（2025 年 10 月 16 日 15:00），向其提供了漏洞所有技术细节、漏洞验证代码（PoC）及缓解建议。参会人员包括 InfoCert 安全官与 GoSign Desktop 产品经理，厂商在会议中确认了漏洞存在，并同意将 2025 年 10 月 31 日定为修复发布的合理截止日期。 但此次会议后，厂商终止了所有沟通，未提供任何更新，也未回应后续联系请求。2025 年 11 月 4 日，厂商悄然发布了 2.4.1 版本修复包，未发布任何公告，也未按要求在更新日志中致谢漏洞披露者。 目前，研究人员已就厂商未遵守负责任披露最佳实践的行为，向 ACN/CSIRT Italia 通报。 披露时间线 2025 年 10 月 03 日：发现漏洞 2025 年 10 月 04 日：开发漏洞验证代码 2025 年 10 月 04 日：首次尝试联系 InfoCert 公司 2025 年 10 月 04 日：同步向 ACN/CSIRT Italia 通报 2025 年 10 月 04 日：收到 ACN/CSIRT Italia 的收悉确认，等待后续进展 2025 年 10 月 07 日：收到 InfoCert 网络安全运营团队回复 2025 年 10 月 07 日：向厂商共享技术细节与证据 2025 年 10 月 09 日：InfoCert 确认收到报告，称问题正在调查中 2025 年 10 月 16 日：与 InfoCert 举行技术会议，确认漏洞影响超 100 万用户，共享完整技术细节与修复建议 2025 年 10 月 26 日：向厂商发送更新请求，未获回应 2025 年 11 月 04 日：2.4.1 版本发布，厂商未做任何沟通，无更新日志 2025 年 11 月 08 日：再次发送解释与更新请求，未获回应 2025 年 11 月 14 日：向 ACN/CSIRT Italia 提交关于厂商不当处理披露流程的报告 2025 年 11 月 14 日：发布本漏洞通报     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯港口运营商 “港口联盟”（Port Alliance）表示，其数字基础设施关键部分遭遇 “境外” 网络攻击，运营中断已进入第三天。这是俄乌冲突背景下，影响关键设施的一系列网络安全事件中的最新一起。 该公司在周四的声明中称，攻击者发起了分布式拒绝服务（DDoS）攻击，并试图入侵其网络。港口联盟指出，攻击目标是破坏该公司通过波罗的海、亚速 – 黑海、远东及北极地区海港开展的煤炭和矿物肥料出口相关业务，扰乱运营秩序。 尽管此次攻击规模大、强度高，但公司表示旗下码头及相关设施仍正常运转。“所有关键系统保持可用，港口和码头的业务流程未受影响。” 据港口联盟透露，黑客动用了包含 1.5 万多个全球唯一 IP 地址的僵尸网络，其中部分 IP 来自俄罗斯境内，且不断更换攻击策略以规避安全防御。 港口联盟在多条关键运输线路运营着 6 个海运码头，煤炭和矿物肥料的年货运量超 5000 万吨。目前该公司未指明攻击来自特定黑客组织。 自 2022 年俄罗斯对乌克兰发起特别军事行动以来，针对交通物流网络的网络攻击愈发频繁。俄乌双方黑客频繁使用 DDoS 攻击，扰乱对方基础设施。 同日，乌克兰 WOG 加油站连锁企业报告遭遇大规模网络攻击，其在线服务暂时中断，当晚恢复正常，但未披露更多细节。 盟国也面临数字威胁。本周早些时候，丹麦政府及多家国防企业的网站遭 DDoS 攻击短暂下线，丹麦当局称攻击可能源自俄罗斯。亲俄组织 “NoName057” 声称对此次攻击负责，但其说法的真实性难以核实。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者在网络犯罪论坛上发帖，声称已成功入侵三星，并正在出售据称属于该公司的内部数据。 该黑客在帖子中称，他们入侵了一家为多家大型公司提供服务的三方承包商，这表明此次据称的泄露事件潜在影响范围可能不仅限于三星。 根据攻击者的说法，该承包商的访问权限为其打开了通往三星部分基础设施的大门，特别是MSSQL数据库和AWS S3存储桶。 帖子中列出了据称被窃取的数据，包括： 源代码 私钥 SMTP凭证 配置文件 硬编码凭证 用户个人身份信息 泄露数据 该行为者还发布了数据样本，经Cybernews研究团队查验，其中包含一些内部Java项目结构的文件树。这表明可能存在源代码泄露，且很可能包含硬编码凭证，但未提供相关示例。 Cybernews研究人员解释道：“从员工信息来看，我们可以判断这些数据具体属于三星麦迪逊。这是一家提供医疗设备的公司，是三星电子家族的一部分，但仍以自己的公司结构运营。” 几张据称被窃数据库的截图包含了员工的联系信息，如电子邮件和用户名。从截图中无法确定这些用户名的具体用途。表名暗示其中可能还包含管理员凭证。 我们的研究人员表示：“仅泄露的电子邮件就可能导致员工遭受钓鱼攻击等社会工程攻击。” “如果其他表中存在密码，这些密码可能被用于凭证填充攻击。如果用户在其他地方重复使用了这些密码，则可能导致账户被接管。” 黑客以“一次性买断”为噱头出售窃取的数据集，并要求使用门罗币支付——这是网络黑市偏爱的加密货币。被盗数据集的售价尚未公布。 第三方漏洞已成痛点 此次关于第三方遭入侵的说法反映了网络犯罪领域的一个更广泛趋势。威胁行为者越来越多地瞄准供应链中的薄弱环节，而不是直接攻击通常防护严密的公司网络。 不幸的是，一家供应商被攻破就可能危及数十家大型企业。近年来已发生多起此类破坏性攻击，包括利用MOVEit文件传输软件零日漏洞的全球性网络窃取事件。通过利用该关键漏洞，与俄罗斯有关联的Cl0p勒索软件组织得以访问并窃取了大量敏感数据。 此前，Fortra的GoAnywhere托管文件传输软件中的一个漏洞，曾导致宝洁、壳牌、日立、Hatch Bank、Rubrik、维珍等众多公司被同一黑客组织入侵。 就在本月，芒果时装连锁店因第三方遭入侵而导致客户数据泄露。 9月，哈罗德百货公司透露，其一家第三方供应商遭遇网络攻击，导致43万名客户信息泄露。 8月，美国三大信用报告机构之一环联披露，黑客入侵其一款第三方应用程序，导致超过400万美国客户数据暴露。 5月，玛莎百货因第三方供应商遭受钓鱼攻击，遭遇了Scattered Spider勒索软件组织长达一个月的攻击，给公司造成了超过4亿美元的损失。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文