HackerNews

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）发出警告，称黑客正利用 Motex 公司 Lanscope 终端管理器中的一个严重漏洞发起攻击。 该漏洞编号为CVE-2025-61932，安全等级为 “严重”，评分达 9.3 分。其成因是对传入请求的来源验证不当，未经验证的攻击者可通过发送特制数据包，在目标系统上执行任意代码。 Lanscope 终端管理器由日本 Motex 公司开发，该公司是京瓷通信系统的子公司。这款终端管理与安全工具可对桌面设备和移动设备实现统一管控。 该产品通过亚马逊云服务（AWS）提供资产 / 终端管理功能，在日本及亚洲地区尤为普及。 本周早些时候，厂商发布的安全公告强调了安装最新更新的紧迫性，并指出该漏洞被利用的风险已升高。 Motex 在公告中表示：“终端管理器本地客户端程序（以下简称 MR）和检测代理（以下简称 DA）中存在一个漏洞，可能导致远程代码执行。” 该公司证实，部分客户的环境已收到恶意数据包，这表明该漏洞已被作为 “零日漏洞”使用。 Motex 称：“此外，已有客户环境确认收到来自外部的未授权数据包。” 漏洞影响范围与修复版本 CVE-2025-61932 影响 Lanscope 终端管理器9.4.7.2 及以下版本，厂商已在以下版本中修复该漏洞： 9.3.2.7 9.3.3.9 9.4.0.5 9.4.1.5 9.4.2.6 9.4.3.8 9.4.4.6 9.4.5.4 9.4.6.3 9.4.7.3 厂商特别指出，该漏洞仅影响客户端，客户无需升级管理器本身。 目前尚无针对 CVE-2025-61932 的临时解决方案或缓解措施，安装上述更新是解决该安全问题的唯一途径。 Motex 尚未披露已观测到的恶意活动细节。日本计算机应急响应协调中心（JPCERT/CC）也发出警告，称已收到威胁行为者利用 CVE-2025-61932 攻击日本国内机构的相关信息。 BleepingComputer（科技媒体）已联系厂商寻求更多信息，后续将在获得回复后更新报道。 美国官方应对措施 CISA 已于昨日将 CVE-2025-61932 纳入 “已知被利用漏洞目录”（KEV），并为所有受《22-01 号指令》（BOD 22-01）约束的联邦机构及政府组织设定了11 月 12 日的强制补丁安装截止日期。 尽管该指令仅对特定机构具有强制性，但 KEV 目录仍可为私营组织提供安全防护指导。 目前尚未证实 CVE-2025-61932 与日本近期增多的漏洞利用活动存在关联。不过，日本多家知名企业近期披露了数据泄露事件，例如麒麟勒索软件（Qilin ransomware）对朝日啤酒（Asahi brewery）的攻击，以及电商企业 Askul 的漏洞导致零售巨头无印良品（Muji）线上销售受影响。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 立陶宛首都维尔纽斯的执法部门成功拆解了一个大型 SIM 卡盒（SIM box）非法运营团伙，查获大量涉嫌用于网络犯罪的设备。这些设备被怀疑用于在 PayPal、Facebook、谷歌等平台实施各类诈骗及网络犯罪活动。 立陶宛当局表示，此次查获的大量设备可能涉及多种犯罪行为，包括诈骗、伪造社交媒体账号等。执法人员共查获 200 多个 SIM 卡盒、100 台电脑，以及超过 7.5 万张 SIM 卡。 目前，当局已逮捕两名嫌疑人，并表示将继续追查所有参与运营该 “机器人农场” 的相关人员。 从查获的设备规模来看，这个 “机器人农场” 可在多个平台上运营数十万个不同的社交媒体账号。尽管多数网站注册时要求提供手机号，但仍有方法可绕过这些限制，最大化利用单张 SIM 卡的功能。 当地警方透露，此次行动的发起源于立陶宛通信监管局（CRA）向当局通报 —— 首都地区可能存在一个 “SIM 卡集群”（SIM swarm）非法运营点。 调查显示，该非法活动涉及维尔纽斯市内多个居民区（居住人口超 60 万）。警方最终将排查范围缩小至三个区域，并在多个网络信号塔中发现了异常活跃的通信行为。 立陶宛当局称，由于 “SIM 卡集群” 在大型行政办公楼内运作，给调查工作带来了阻碍。不过，执法人员随后锁定了该非法 scheme 的疑似幕后人员。据悉，这些嫌疑人通过前往欧洲多国、从不同运营商处批量采购 SIM 卡的方式，搭建起 “SIM 卡集群”。 此次捣毁行动是该地区针对 “机器人农场” 的第二次重大执法行动。上周，欧洲刑警组织（Europol）宣布，拉脱维亚开展了一次类似行动，执法部门在行动中关停 5 台服务器，查获 1200 台 SIM 卡盒设备及 4 万张在用 SIM 卡。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 图林根州内政部长格奥尔格・迈尔指控极右翼政党 “德国选择党”为俄罗斯从事间谍活动，并表示自己掌握支持该指控的证据。 迈尔向德国新闻媒体 Handelsblatt 表示：“一段时间以来，我们愈发担忧地观察到，德国选择党正滥用议会质询权，专门搜集我国关键基础设施的相关信息。” 身为德国社会民主党成员的迈尔指出，过去 12 个月里，德国选择党在图林根州就交通、数字基础设施以及水、能源供应领域，提出了 47 项相关质询。 他还向《商报》透露：“德国选择党对警方信息技术及装备表现出特殊兴趣，例如无人机探测与防御领域。由此产生的印象是，该党正通过质询来落实克里姆林宫的‘任务清单’。” 德国联邦议院情报监督委员会主席马克・亨里希曼对迈尔的担忧表示认同。 他表示：“俄罗斯显然在利用其在议会中的影响力 —— 尤其是通过德国选择党 —— 从事间谍活动并获取敏感信息。而德国选择党则心甘情愿为这种背叛行为‘拉普京的车’。” 德国选择党否认所有指控，称这些指控 “荒谬至极”。 长期以来，德国情报部门一直发出警告：俄罗斯正利用极端主义政党和个人，为自身利益搜集德国关键基础设施的敏感信息。目前，因德国选择党联邦议院议员马库斯・弗罗伊恩迈尔计划前往莫斯科，情报部门再次表达了担忧。 迈尔认为，问题不止于弗罗伊恩迈尔的既定行程。他称，俄罗斯试图 “传播虚假信息、破坏民主机构的合法性、阻碍议会程序，并与右翼极端组织建立联系”。 今年早些时候，德国情报机构经过长期调查得出结论：德国选择党正日益激进，目前已被认定为极右翼政党。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 “圣诞盗贼”（Jingle Thief）的网络犯罪团伙，该团伙针对零售和消费服务行业组织的云环境发起攻击，实施礼品卡诈骗。 “‘圣诞盗贼’攻击者通过钓鱼和短信钓鱼窃取凭证，入侵发行礼品卡的机构。” 帕洛阿尔托网络公司 Unit 42 的研究员斯塔夫・塞蒂和沙查尔・罗伊特曼在周三的分析报告中表示，“一旦进入组织内部，他们就会设法获取发行未授权礼品卡所需的权限类型和级别。” 这些行动的最终目标是通过在灰色市场转售非法获取的礼品卡牟利。礼品卡之所以成为热门目标，是因为其兑换流程简单、所需个人信息极少，且难以追踪，这使得防御方难以调查欺诈行为。 “圣诞盗贼” 这一名称源于该威胁行为者的作案模式 —— 其礼品卡诈骗活动往往与节假日和庆典季同步。这家网络安全公司将该活动标记为 CL-CRI-1032，其中 “CL” 代表攻击集群，“CRI” 表示犯罪动机。 研究人员中度确信，该威胁集群与 “阿特拉斯雄狮”（Atlas Lion）和 “风暴 – 0539”（Storm-0539）犯罪团伙有关联。微软称这是一个源自摩洛哥的以经济利益为驱动的团伙，至少自 2021 年末起开始活跃。 “圣诞盗贼” 能够在被入侵组织中长期潜伏（部分案例长达一年以上），这使其成为极具危险性的团伙。在潜伏期间，该威胁行为者会进行全面侦察以绘制云环境地图，在云端横向移动，并采取措施规避检测。 Unit 42 表示，该黑客团伙于 2025 年 4 月至 5 月发起了一波协同攻击，目标是多家全球企业，通过钓鱼攻击获取入侵受害者云基础设施所需的凭证。在某次活动中，攻击者维持了约 10 个月的访问权限，并侵入了单个组织的 60 个用户账户。 研究人员指出：“他们利用云基础设施冒充合法用户，非法访问敏感数据，并大规模实施礼品卡诈骗。” 攻击过程中，攻击者常常试图入侵礼品卡发行系统，在不同项目中发行高价值卡，同时竭力减少操作日志和取证痕迹。 他们的攻击极具针对性，会根据每个受害者的情况定制方案：先进行侦察，再通过邮件或短信发送极具迷惑性的钓鱼登录页面，诱骗受害者输入微软 365 凭证。 一旦获取凭证，攻击者会立即登录目标环境并展开第二轮侦察，此次重点是受害者的 SharePoint 和 OneDrive，搜寻与业务运营、财务流程和 IT 工作流相关的信息。 这包括查找礼品卡发行流程、VPN 配置及访问指南、用于发行或追踪礼品卡的电子表格或内部系统，以及与虚拟机和 Citrix 环境相关的关键细节。 在后续阶段，攻击者会利用已 compromised 的账户在组织内部发送钓鱼邮件，以扩大立足点。这些邮件通常模仿 IT 服务通知或工单更新，内容基于从内部文档或过往通信中窃取的信息。 此外，“圣诞盗贼” 还会创建收件箱规则，将被黑账户的邮件自动转发至其控制的地址，随后立即将发送记录移至 “已删除邮件” 以掩盖痕迹。 在部分案例中，观察到该威胁行为者注册恶意验证器应用以绕过多因素认证（MFA）保护，甚至将其设备注册到 Entra ID 中，以便在受害者重置密码或吊销会话令牌后仍能维持访问。 除了专注于云服务而非端点入侵外，“圣诞盗贼” 的另一显著特点是倾向于滥用身份而非部署定制恶意软件，从而最大限度降低被检测的概率。 Unit 42 表示：“礼品卡诈骗结合了隐蔽性、速度和规模性，尤其是当攻击者能够访问存放发行流程的云环境时。这种谨慎的方式有助于规避检测，同时为后续欺诈行为奠定基础。” “要入侵这些系统，威胁行为者需要获取内部文档和通信记录。他们通过窃取凭证，并在提供礼品卡服务的目标组织的微软 365 环境中保持低调且持久的存在，来实现这一目的。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为者发起了新一轮攻击，目标是活跃于国防领域的欧洲企业。此次攻击是 “梦想工作行动”长期活动的一部分。 ESET 安全研究员彼得・卡尔奈和亚历克西斯・拉潘在一份分享给 The Hacker News 的报告中表示：“部分目标企业深度涉足无人机领域，这表明该行动可能与朝鲜当前扩大其无人机项目的努力有关。” 这家斯洛伐克网络安全公司称，其于 2025 年 3 月底首次发现该活动。部分被攻击实体包括：东南欧一家金属工程公司、中欧一家飞机零部件制造商，以及中欧一家国防企业。 恶意软件 经评估，该活动的最终目标是窃取专有信息和制造技术，所使用的恶意软件家族包括 ScoringMathTea 和 MISTPEN。 ScoringMathTea 的首次出现可追溯至 2022 年 10 月。此前曾于 2023 年初被 ESET 发现，当时它被用于攻击印度一家科技公司和波兰一家国防承包商。 而 MISTPEN 则于 2024 年 9 月被Google和Mandiant记录在案，当时它被用于入侵能源和航空航天领域的企业。 “梦想工作行动” 最早由以色列网络安全公司 ClearSky 于 2020 年曝光，是朝鲜一个多产黑客组织Lazarus Group发起的持续性攻击活动。该黑客集团还有多个追踪代号，包括 APT-Q-1、Black Artemis、Diamond Sleet、Hidden Cobra、TEMP.Hermit 和 UNC2970。据信，该黑客集团至少自 2009 年起就已开始运作。 攻击手段 在这些攻击中，威胁行为者利用类似 “传染性面试”的社会工程学诱饵，向潜在目标提供高薪工作机会，诱骗他们在系统中植入恶意软件。 该活动还与多个攻击集群存在关联，包括 DeathNote、NukeSped、Operation In (ter) ception和Operation North Star。 ESET 研究员表示：“这类攻击的核心模式是‘高薪虚假工作机会 + 恶意软件’：目标会收到包含职位描述的诱饵文档，以及一个用于打开该文档的植入了木马的 PDF 阅读器。” 攻击链最终会执行一个二进制文件，该文件负责侧载一个恶意动态链接库（DLL）。这个恶意 DLL 会释放 ScoringMathTea，同时还会释放一个名为 BinMergeLoader 的复杂下载器。BinMergeLoader 的功能与 MISTPEN 类似，会利用微软图形接口和令牌获取更多有效载荷。 研究人员还发现了另一种感染流程：通过一个未知的投放器交付两个中间有效载荷，第一个中间有效载荷会加载第二个，最终部署 ScoringMathTea。 ScoringMathTea 是一款高级远程访问木马，支持约 40 条命令，可完全控制被入侵的设备。 ESET 表示：“近三年来，Lazarus Group一直保持着固定的攻击模式，部署其偏好的主要有效载荷 ScoringMathTea，并使用类似方法在开源应用中植入木马。 这种模式虽可预测，但十分有效，能通过足够的多态性规避安全检测，即便它无法隐藏该集团的身份，也无法干扰溯源过程。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国得克萨斯州达拉斯市郊外的一个大型郊区，是本周全美范围内多个报告网络事件、且公共服务受影响的市政当局之一。 考夫曼县（Kaufman County）拥有近 20 万居民，该县表示周一发现一起网络攻击，迫使县官员通知了州级和联邦机构。 此次事件导致多个县级系统瘫痪，但警长办公室和应急服务未受影响。当地一家新闻媒体报道称，县法院的计算机已受到此次攻击影响。 考夫曼县法官杰基・艾伦（Jakie Allen）在一份声明中表示：“我们的首要任务始终是保障基本公共服务的连续性，并保护县级系统与信息安全。” 该县代表尚未回应置评请求。 针对考夫曼县的攻击，与全美范围内多起类似事件几乎同时发生。 周五，田纳西州拉弗恩市（La Vergne）表示，正调查一起网络事件，该事件导致政府官员使用的计算机系统陷入混乱。联邦调查局（FBI）及州级机构正与该市合作，协助其从攻击中恢复。 自发现网络攻击以来，该市的政府办公楼已关闭。 在周二发布的最新情况中，市政府官员解释称，用于缴纳水费和财产税的系统因网络攻击瘫痪，这迫使该市 4 万多名居民只能通过支票或汇票付款，现金和信用卡付款方式暂不接受。 该市承诺，在解决系统中断问题期间，不会收取滞纳金，也不会停止供水服务。 在市立法院，原定于周三举行的听证会因网络攻击被推迟。 印第安纳州的迪卡尔布县（Dekalb County）以及宾夕法尼亚州切斯特县（Chester County）的图书馆系统，在上个月也均报告了系统中断和网络攻击事件。 地方政府一直在艰难应对网络攻击，与此同时，为资金短缺的网络防御机构提供支持的联邦资源要么已到期，要么因当前政府停摆而受到限制。上个月，联邦网络安全机构终止了与互联网安全中心（CIS）的合作关系，而该中心曾为各市、县及州级机构提供关键威胁信息。 另一项规范网络威胁情报共享的重要联邦法律也于 9 月 30 日到期，这使得许多政府机构急于寻找关键网络安全信息的替代来源。 政府停摆期间，联邦部门的强制休假、预算削减和人员精简，也阻碍了关键机构为遭遇网络安全事件的地方政府提供援助的工作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基（Kaspersky）的研究结果显示，一场名为 “被动神经元”（PassiveNeuron）的新网络活动，正将目标对准亚洲、非洲和拉丁美洲的政府、金融及工业领域机构。 这家俄罗斯网络安全厂商最早在 2024 年 11 月就标记了该网络间谍活动。当时卡巴斯基披露，2024 年 6 月曾出现一系列针对拉丁美洲和东亚政府实体的攻击，攻击中使用了两款此前从未发现过的恶意软件家族，分别被标记为 Neursite 和 NeuralExecutor。 卡巴斯基还表示，该行动展现出极高的技术复杂度：威胁行为者将已入侵的内部服务器用作中间命令与控制（C2）基础设施，以此躲避监测。 卡巴斯基当时指出：“威胁行为者能够在目标基础设施内横向移动并窃取数据，还可选择性创建虚拟网络 —— 即便目标机器与互联网隔离，攻击者也能通过这些虚拟网络窃取重要文件。其采用的插件化架构，能根据攻击者的需求动态调整功能。” 卡巴斯基称，自那以后，从 2024 年 12 月起至 2025 年 8 月，公司观测到与 “被动神经元” 相关的新一轮感染浪潮。 在至少一起事件中，攻击者被证实已在一台运行 Windows Server 的受入侵机器上，通过微软 SQL 获得了初始远程命令执行权限。尽管实现这一操作的确切方法尚不清楚，但推测可能存在三种途径：一是暴力破解管理员账户密码；二是利用服务器上运行的应用程序中的 SQL 注入漏洞；三是利用服务器软件本身尚未被发现的漏洞。 无论采用何种方式，攻击者都曾尝试部署 ASPX 网页后门，以获取基础命令执行权限。在该尝试失败后，攻击者通过在 System32 目录中放置一系列 DLL 加载器，投放了多款高级植入程序，包括： Neursite：一款定制化 C++ 模块化后门程序 NeuralExecutor：一款定制化.NET 植入程序，可通过 TCP、HTTP/HTTPS、命名管道或 WebSocket 下载额外的.NET 有效载荷并执行 Cobalt Strike：一款合法的 adversary simulation（对手模拟）工具 Neursite 通过内置配置连接 C2 服务器，通信时使用 TCP、SSL、HTTP 和 HTTPS 协议。默认情况下，它具备收集系统信息、管理运行中进程、通过其他受该后门感染的机器代理流量以实现横向移动的功能。 该恶意软件还配备了一个组件，可获取辅助插件，以实现 Shell 命令执行、文件系统管理和 TCP 套接字操作。 卡巴斯基还发现，2024 年检测到的 NeuralExecutor 变种，设计为直接从配置中读取 C2 服务器地址；而今年发现的该恶意软件样本，则会连接 GitHub 仓库获取 C2 服务器地址 —— 这实际上将这个合法的代码托管平台变成了 “死信解析器”（dead drop resolver，一种隐藏通信方式）。 研究人员格奥尔基・库彻林（Georgy Kucherin）与索拉布・夏尔马（Saurabh Sharma）表示：“‘被动神经元’活动的显著特点是，其主要针对服务器设备。这些服务器，尤其是暴露在互联网上的服务器，通常是高级持续性威胁（APT）的高价值目标，因为它们可作为入侵目标机构的入口点。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 “浑水”（MuddyWater）的伊朗国家背景组织，被指发起了一场新的网络活动。该组织利用一个被入侵的电子邮件账户，向中东和北非（MENA）地区的多家机构分发名为 “凤凰”（Phoenix）的后门程序，其中包括 100 多个政府实体。 新加坡网络安全公司 Group-IB 在今日发布的技术报告中表示，这场活动的最终目标是渗透高价值目标，为情报收集提供便利。 该活动超四分之三的目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。 网络安全研究人员马哈茂德・祖赫迪（Mahmoud Zohdy）和曼苏尔・阿尔穆德（Mansour Alhmoud）指出：“‘浑水’组织通过 NordVPN—— 一款被该威胁行为者滥用的合法服务 —— 访问了被入侵的邮箱，并利用该邮箱发送看似真实通信内容的钓鱼邮件。” “通过利用这类通信所附带的信任度和权威性，该活动大幅提高了欺骗收件人打开恶意附件的概率。” 攻击链的核心流程是，威胁行为者分发植入恶意程序的微软 Word 文档。收件人打开文档后，会被提示启用宏功能才能查看内容。毫无防备的用户一旦启用该功能，文档就会执行恶意的 Visual Basic for Application（VBA，可视化 Basic 应用程序）代码，最终部署 “凤凰” 4.0 版本后门程序。 该后门程序由一个名为 “FakeUpdate”（虚假更新）的加载器启动，而这个加载器由 VBA 投放程序解码后写入磁盘。加载器中包含经过高级加密标准（AES）加密的 “凤凰” 有效载荷。 “浑水” 组织还有多个别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（前称 Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros 和 Yellow Nix。经评估，该组织与伊朗情报和安全部（MOIS）有关联，已知至少自 2017 年起便开始活跃。 Group-IB 上月首次记录到该威胁行为者使用 “凤凰” 后门程序，并将其描述为 “BugSleep” 的轻量版本。“BugSleep” 是一款基于 Python 的植入程序，此前已被证实与 “浑水” 组织有关联。目前已在野外检测到 “凤凰” 的两个不同变种 ——3.0 版本和 4.0 版本。 这家网络安全厂商表示，已发现攻击者的命令与控制（C2）服务器（地址为 “159.198.36 [.] 115”）还托管着远程监控与管理（RMM）工具，以及一款定制化网页浏览器凭据窃取工具。该窃取工具针对 Brave、谷歌 Chrome、微软 Edge 和欧朋（Opera）浏览器，这表明这些工具可能被用于此次行动。值得注意的是，多年来 “浑水” 组织一直有通过钓鱼活动分发远程访问软件的记录。 研究人员称：“通过部署‘凤凰’4.0 版本后门程序、‘FakeUpdate’注入器、定制化凭据窃取工具，再结合 PDQ、Action1 等合法远程监控与管理工具，‘浑水’组织展现出更强的能力 —— 能将定制化代码与商业工具整合，从而提升隐蔽性和持久控制能力。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Adobe Commerce平台中的 “SessionReaper” 严重漏洞（CVE-2025-54236）发起攻击，目前已记录到数百次攻击尝试。 该攻击活动由电商安全公司 Sansec 发现，该公司研究人员此前称，“SessionReaper” 是 Adobe Commerce 产品史上最严重的安全漏洞之一。 Adobe 于 9 月 8 日就 CVE-2025-54236 发布预警，称这是一个输入验证不当漏洞，影响 Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 及更早版本。 攻击者成功利用该漏洞后，无需用户任何交互操作即可控制账户会话。Adobe 解释道：“潜在攻击者可通过 Commerce REST API 接管 Adobe Commerce 中的客户账户。” Sansec 此前表示，漏洞能否成功利用，很大程度上取决于会话数据是否存储在文件系统中 —— 这是大多数商户使用的默认配置；此外，Adobe 泄露的热修复程序可能为黑客提供了利用漏洞的线索。 “SessionReaper” 应急补丁发布约六周后，Sansec 确认该漏洞已出现野外活跃攻击。其公告中写道：“Adobe 针对 SessionReaper（CVE-2025-54236）的应急补丁发布六周后，该漏洞已进入活跃利用阶段。” 研究人员表示：“Sansec Shield 今日检测并拦截了首批真实攻击，这对数千家仍未打补丁的商户而言是坏消息。” 就在发布当天，Sansec 拦截了 250 多次针对多家商户的 “SessionReaper” 漏洞攻击尝试，多数攻击来自以下 5 个 IP 地址：34.227.25.444.212.43.3454.205.171.35155.117.84.134159.89.12.166 截至目前，攻击手段包括植入 PHP Webshell（网页后门），或通过 phpinfo 探针检查系统配置设置、查找系统中的预定义变量。 同日，Searchlight Cyber 的研究人员发布了关于 CVE-2025-54236 的详细技术分析报告，这可能导致后续攻击尝试次数增加。 据 Sansec 统计，目前网上 62% 的 Magento 商户仍未安装 Adobe 的安全更新，面临 “SessionReaper” 漏洞攻击风险。 研究人员指出，补丁发布 10 天后，修复进度依旧缓慢，仅三分之一的网站完成更新；目前，每 5 家商户中就有 3 家存在漏洞风险。 研究人员强烈建议网站管理员尽快安装补丁，或采用 Adobe 推荐的缓解措施。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现 WatchGuard Fireware OS 存在一个严重漏洞（CVSS4.0 评分 9.3），攻击者可利用该漏洞远程执行任意代码。 该漏洞编号为 CVE-2025-9242，属于越界写入漏洞，影响两类场景：一是使用 IKEv2 协议的移动用户 VPN；二是配置了动态网关对等体、且使用 IKEv2 协议的分支机构 VPN（BOVPN）。 WatchGuard 在安全公告中指出，即便 Firebox 安全平台此前配置过上述 VPN 及 IKEv2 网关对等体，仍可能存在漏洞风险。 该漏洞影响以下 Fireware OS 版本，包含提及的最高版本： 11.10.2 至 11.12.4_Update1 12.0 至 12.11.3 2025.1 WatchGuard Firebox 是一款下一代防火墙（NGFW），承担安全网关职能，可控制外部网络与可信网络间的流量，还集成了入侵防御、反垃圾邮件、内容过滤等高级功能。 该设备部署方式灵活，可作为物理设备、云端服务或虚拟机使用。 Shadowserver 基金会表示，依据 10 月 17 日的 IP 数据扫描结果，目前可能有超过 7.1 万台设备存在该漏洞。 该漏洞详情已在美国国家漏洞数据库（NVD）上线，WatchGuard 也已发布相关安全公告。 若 Firebox 仅配置了 “指向静态网关对等体的分支机构 VPN 隧道”，且设备所有者无法立即将系统升级至修复漏洞的 Fireware OS 版本，WatchGuard 已提供临时规避方案。 WatchGuard 在公告中还指出，鉴于针对各类厂商暴露 VPN 的攻击愈发频繁，建议将 BOVPN 安全访问策略配置为更窄的范围，以处理传入的 VPN 流量。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场神秘的针对性钓鱼攻击活动。该活动冒充乌克兰总统办公室，且在发起当天便宣告终止，其目的是入侵参与战争救援工作的相关机构。 根据网络安全公司 SentinelLabs 周三发布的报告，10 月 8 日开展的这场单日攻击活动，目标群体包括国际红十字会、挪威难民委员会、联合国儿童基金会的工作人员，以及其他参与战争救援的非政府组织人员。 SentinelLabs 表示，目前尚不清楚这场被标记为PhantomCaptcha的攻击活动背后主使是谁，但从目标清单可推测，攻击者试图 “获取与乌克兰援助相关的人道主义行动、重建规划及国际协调工作等方面的情报”。 SentinelOne 研究负责人汤姆・黑格尔在报告中写道，从最初的基础设施注册到攻击实施当天，这场针对性钓鱼攻击经过了六个月的准备。但攻击活动仅持续一天，相关基础设施便下线，“这表明攻击者具备精密的规划能力和对操作安全的高度重视”。 攻击手段与方式 黑客还向乌克兰顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫斯克地区的政府机构发起攻击。 他们发送了一份伪装成乌克兰总统办公室官方文件的八页PDF文档，内含恶意程序。意图引导受害者陷入一套复杂的多阶段攻击链，以此获取受害者信任并绕过传统安全防护措施。 若受害者点击 PDF 中的嵌入链接，可能会被重定向至一个伪装成视频会议应用 Zoom 官方网站的域名，而该域名实际由俄罗斯服务商 KVMKA 掌控。 尽管攻击发起当天该服务器便无法解析，但 SentinelLabs 通过 VirusTotal 数据库获取了服务器响应数据，发现其是一个伪装成 Cloudflare 分布式拒绝服务（DDoS）防护网关的虚假页面。 这为入侵受害者设备提供了两种可能的途径。 一种是将受害者重定向至真实的密码保护 Zoom 会议，黑格尔写道，这可能便于黑客与受害者进行实时社会工程学诈骗通话。 另一种则是诱导受害者不慎执行复制到剪贴板的命令，研究人员将后一种手段称为ClickFix或 Paste and Run技术。 SentinelLabs 称，PhantomCaptcha攻击的变种手段会欺骗 Windows 用户，让其从虚假的 Cloudflare DDoS 防护网关复制 “令牌”，随后按下 “Windows + R” 组合键，粘贴 “令牌” 并执行命令 —— 而该命令实际是一段旨在入侵用户电脑的 PowerShell 脚本。 攻击者能力评估 研究人员表示：“这种社会工程学攻击手段极具效力，因为恶意代码是由用户自行执行的，能够避开那些仅专注于检测恶意文件的终端安全防护系统。” 尽管黑客很快关闭了面向公众的诱骗域名，但 SentinelLabs 发现，后台命令与控制基础设施在初始攻击日之后仍处于活跃状态，“这表明基础设施具备高度隔离性，且需要维护部分基础设施以控制已入侵的系统”。 研究人员发现，在攻击次日（10 月 9 日），一个与公众诱骗域名 URL 相似的新域名完成注册，“这可能意味着攻击者计划继续开展攻击活动”。 他们的基础设施分析还发现，该攻击与另一范围更广的攻击活动存在关联。后者 “利用成人社交与娱乐内容作为诱饵，且可能与俄罗斯 / 白俄罗斯的技术开发源头有关”，不过该攻击活动被列为单独的行动集群进行追踪。 具体而言，后一攻击活动的主题与报告中提及的 “乌克兰利沃夫市一家名为‘公主男士俱乐部’（Princess Men’s Club）的成人娱乐场所” 相关，包含一个网站和一个安卓应用安装包，旨在从受入侵设备中窃取各类个人信息与设备数据。 SentinelLabs 补充称，PhantomCaptcha攻击活动的时间线显示，攻击者 “既了解进攻性操作，也熟悉防御性检测能力”。不过该公司在发布报告时表示，暂无法将这一行动集群归属于某一已知黑客组织。 该公司表示，此次攻击活动的精密程度 “表明攻击者具备高水平的操作规划能力，从长期准备、基础设施隔离到刻意控制曝光度等方面均能体现这一点”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 2025 年 Pwn2Own 爱尔兰站比赛的首日，安全研究人员成功利用了 34 个独特的零日漏洞，并获得了 52.25 万美元的现金奖励。 当天的亮点是来自 DDOS 团队的 Bongeun Koo 和 Evangelos Daravigkas，他们通过串联 8 个零日漏洞，从 WAN 接口入侵了威联通（QNAP）Qhora-322 以太网无线路由器，并进一步获取了威联通 TS-453E 网络附加存储（NAS）设备的访问权限。凭借这一成功尝试，他们赢得了 10 万美元奖金，目前以 8 分位列 “破解大师（Master of Pwn）” 排行榜第二名。 Synacktiv 团队、Summoning 团队的 Sina Kheirkhah、DEVCORE 团队以及 Rapid7 的 Stephen Fewer 也各获 4 万美元奖金，他们分别成功获取了群晖（Synology）BeeStation Plus、群晖 DiskStation DS925+、威联通 TS-453E 和 Home Assistant Green 的 root 权限。 STARLabs、PetoWorks 团队、ANHTUD 团队和 Ierae 的研究人员先后四次攻克佳能（Canon）imageCLASS MF654Cdw 多功能激光打印机；STARLabs 还入侵了 Sonos Era 300 智能音箱，赢得 5 万美元；ANHTUD 团队则利用飞利浦（Phillips）Hue Bridge 的漏洞，获得 4 万美元奖金。 Summoning 团队的 Sina Kheirkhah 和 McCaulay Hudson 通过组合两个零日漏洞构成攻击链，获取了群晖 ActiveProtect Appliance DP320 的 root 权限，再获 5 万美元奖金。 Summoning 团队在比赛首日共赢得 10.25 万美元，以 11.5 分位居 “破解大师” 排行榜榜首。 零日倡议组织（Zero Day Initiative，ZDI）举办此类赛事，旨在在威胁 actors 利用漏洞前识别目标设备中的安全缺陷，并与受影响厂商协调进行负责任的漏洞披露。在 Pwn2Own 活动中被利用的零日漏洞，厂商将有 90 天时间发布安全更新，之后趋势科技（Trend Micro）旗下的 ZDI 才会公开披露这些漏洞。 2025 年 Pwn2Own 爱尔兰站黑客大赛涵盖八个类别，目标设备包括旗舰智能手机（苹果 iPhone 16、三星 Galaxy S25、谷歌 Pixel 9）、即时通讯应用、智能家居设备、打印机、家庭网络设备、网络存储系统、监控设备以及可穿戴技术（包括 Meta 的雷朋智能眼镜和 Quest 3/3S 头显）。 今年，ZDI 还扩展了移动设备类别的攻击向量，新增手机 USB 端口 exploitation，要求参赛者通过物理连接入侵已锁屏的手机。不过，蓝牙、Wi-Fi 和近场通信（NFC）等传统无线协议仍是有效的攻击途径。 比赛次日，安全研究人员将继续针对网络附加存储、打印机、智能家居和监控系统类别的设备，以及移动设备类别中的三星 Galaxy S25 发起攻击。 正如 8 月宣布的那样，ZDI 将首次为演示 “零点击” WhatsApp 漏洞的安全研究人员提供 100 万美元奖励 —— 该漏洞需实现无需用户交互即可执行代码。 Meta 与威联通、群晖共同赞助了此次 Pwn2Own 爱尔兰站比赛，赛事于 10 月 21 日至 24 日在爱尔兰科克举行。 在去年的 Pwn2Own 爱尔兰站活动中，安全研究人员因发现 70 多个零日漏洞获得 107.875 万美元奖金，其中越南电信网络安全公司（Viettel Cyber Security）凭借在威联通、Sonos 和利盟（Lexmark）设备中发现的漏洞斩获 20.5 万美元。 2026 年 1 月，ZDI 将重返东京汽车世界技术展，举办第三届 Pwn2Own 汽车专项赛，特斯拉将再次作为赞助商参与。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 就其 Omada 网关设备中的两个命令注入漏洞发布警告，这些漏洞可能被攻击者利用以执行任意操作系统命令。 Omada 网关作为集成路由器、防火墙、VPN 网关功能的全栈解决方案推向市场，主要面向中小型企业，其普及率正持续上升。 尽管这两个安全问题被触发后会导致相同结果，但其中仅有一个漏洞（编号 CVE-2025-6542）的风险等级为 “高危”，CVSS 评分为 9.3，远程攻击者无需身份验证即可利用该漏洞。 另一个漏洞编号为 CVE-2025-6541，风险评分较低，为 8.6。但该漏洞仅在攻击者能够登录 Web 管理界面的情况下才可被利用。 TP-Link在安全公告中表示：“无论是已登录 Web 管理界面的用户，还是远程未认证攻击者，都可能在 Omada 网关上执行任意操作系统命令。” 该公司进一步补充：“攻击者可能在设备的底层操作系统上执行任意命令。” 这两个漏洞所带来的风险极为严重，可能导致设备被完全攻陷、数据被盗、攻击者横向渗透至其他设备，以及实现持久化控制。 TP-Link已发布修复这两个问题的固件更新，并强烈建议使用受影响设备的用户安装这些修复程序，且在升级后检查配置，确保所有设置均保持符合预期的状态。 在另一份公告中，TP-Link还就另外两个严重漏洞发出警告，这些漏洞在特定条件下可能允许攻击者通过身份验证后执行命令注入，或获取 root 权限。 第一个漏洞编号为 CVE-2025-8750（CVSS 评分：9.3），属于命令注入漏洞，持有管理员密码、能够登录 Omada Web 门户的攻击者可利用该漏洞。 第二个漏洞编号为 CVE-2025-7851（CVSS 评分：8.7），攻击者可利用该漏洞在底层操作系统上获取具有 root 权限的 Shell 访问，但权限范围受 Omada 自身权限限制。 CVE-2025-8750 与 CVE-2025-7851 影响上文表格中列出的所有 Omada 网关型号。值得注意的是，最新发布的固件已修复上述全部四个漏洞。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报团队（GTIG）研究人员表示，已发现与俄罗斯有关联的黑客组织 Coldriver 部署了一套新型恶意软件。 GTIG 在 10 月 20 日发布的报告中指出，这套恶意软件由多个通过交付链关联的家族组成。自 2025 年 5 月 Coldriver 此前的主力恶意软件 LostKeys 被公开披露后，该新型软件似乎已取代 LostKeys 的地位。 研究人员提到，与该组织此前所有已确认的恶意软件活动相比，这套新型软件的使用更为激进。 GTIG 认为，这一现象表明 Coldriver 的恶意软件开发与行动节奏正迅速加快。 Coldriver 还拥有 Star Blizzard、Callisto 和 UNC4057 等代号，是一个被认定与俄罗斯联邦安全局（FSB）有关联的威胁组织。 该组织至少自 2017 年起开始活跃，其已知行动重点是 “凭证钓鱼” 活动，目标包括知名非政府组织（NGO）、前情报与军事官员以及北约（NATO）成员国政府，目的是开展间谍活动。 2023 年 12 月，英国国家网络安全中心（NCSC）表示，该组织是一系列持续网络攻击的幕后黑手，这些攻击旨在干预英国政治与民主进程。 2024 年 1 月，谷歌发现该组织的行动已不止于 “钓鱼窃取凭证”，还开始投放能够从目标设备中窃取敏感信息的恶意软件。 2025 年 5 月，GTIG 监测到 Coldriver 在同年 1 月至 3 月的恶意活动中，使用了一款名为 LostKeys 的新型恶意软件。 GTIG 在 10 月 20 日的新报告中称，自 LostKeys 被披露后，尚未再观察到这款恶意软件的活动痕迹。 相反，Coldriver 似乎已转向一套新型恶意软件家族，谷歌将其分别追踪为 NoRobot、YesRobot 和 MaybeRobot。 攻击始于一个 “ClickFix 风格” 的钓鱼诱饵 —— 这是一个伪造的验证码（CAPTCHA）页面，目的是诱骗受害者认为自己必须完成 “人机验证” 才能继续操作。谷歌将该诱饵追踪为 ColdCopy。 该页面会诱导用户通过 Windows 合法工具 rundll32.exe，下载并运行一个名为 NoRobot 的恶意动态链接库（DLL）。为强化 “验证码验证” 的伪装，该 DLL 的导出函数被命名为 “humanCheck”（人机检查）。 这种方式取代了过去依赖 PowerShell 的旧方法，使得监控 “基于脚本执行” 的安全工具更难检测到攻击。 NoRobot DLL 执行后会充当 “下载器” 的角色。其早期版本采用 “分钥加密” 机制，部分解密密钥隐藏在下载文件和 Windows 注册表中（例如 HKEY_CURRENT_USER\SOFTWARE\Classes.pietas 路径下）。这一设计增加了分析难度，因为缺失任何一个组件都会导致解密失败。 随后，NoRobot 会从恶意域名 inspectguarantee [.] org 获取三个内容：一个自解压的 Python 3.8 安装程序、两个加密的 Python 脚本（分别为 libsystemhealthcheck.py 和 libcryptopydatasize.py），以及一个用于确保恶意软件在设备重启后仍能运行的计划任务。 这些 Python 脚本会协同工作，解密并启动一个精简的、基于 Python 的第一阶段后门程序 —— 谷歌将其追踪为 YesRobot。该后门通过 HTTPS 协议与硬编码的命令与控制（C2）服务器通信。 GTIG 指出，Coldriver 仅使用了 YesRobot 两周就将其弃用，原因很可能是该软件操作繁琐且易被检测 —— 尤其是 “安装 Python 环境” 这一步骤会留下明显痕迹。 研究人员认为，在 LostKeys 被曝光后，YesRobot 仅是该组织临时使用的 “过渡工具”。 2025 年 6 月前后，Coldriver 转而使用 MaybeRobot—— 一款更灵活的、基于 PowerShell 的后门程序，且无需依赖 Python 脚本。 在这一新版攻击链中，NoRobot 的功能被简化：仅需获取一个登录脚本，通过在用户登录脚本中添加 PowerShell 命令，即可实现 MaybeRobot 的持久化运行。 MaybeRobot 采用自定义 C2 协议，包含三项核心命令： 从指定 URL 下载并执行文件 通过 cmd.exe 运行命令 执行 PowerShell 代码块 与 YesRobot 不同，MaybeRobot 的设计具备 “可扩展性”，意味着攻击者可动态发送复杂命令；但该后门本身仍缺乏部分内置功能，例如 “自动数据窃取”。 2025 年 6 月至 9 月期间，Coldriver 持续对 NoRobot 进行迭代，在 “简化版” 与 “复杂版” 感染链之间交替切换。这种操作既能阻碍安全人员分析，又能确保 MaybeRobot 这款 PowerShell 后门稳定交付。 该组织还频繁进行细微调整，例如轮换基础设施、文件名和导出函数。这些举动体现了 Coldriver “适应性强的攻击手法”，迫使防御方必须捕获多个攻击组件，才能完整还原攻击过程。 GTIG 的这份报告进一步补充了 Zscaler 在 9 月发布的研究内容。在 Zscaler 的追踪体系中，NoRobot 被命名为 BaitSwitch，MaybeRobot 则被命名为 SimpleFix。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日破获一起大规模诈骗案件，诈骗分子仿冒新加坡高级官员身份实施犯罪。 该诈骗团伙利用经过验证的谷歌广告（Google Ads）、虚假新闻网站和深度伪造（deepfake）视频，诱骗受害者进入虚假投资平台。为营造可信度，诈骗活动还谎称与新加坡总理黄循财（Lawrence Wong）及国家安全统筹部长尚穆根（K Shanmugam）有关联。 根据 Group-IB 公司今日发布的报告，该诈骗活动专门针对新加坡居民，通过配置谷歌广告使其仅对本地 IP 地址可见。点击广告的受害者会被引导至一系列跳转网站，这些网站的作用是隐藏最终的诈骗目的地 —— 一个在毛里求斯注册的外汇投资平台。 调查人员确认，该诈骗活动背后共有 28 个经过验证的广告客户账户。这些账户大多由保加利亚个人注册，其余则来自罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦。 这些账户投放的恶意谷歌广告以 “高收益回报” 为诱饵，将用户引导至 52 个中间域名。这些域名再将用户重定向至仿冒主流媒体的虚假新闻页面，包括仿冒新加坡亚洲新闻台（CNA）和雅虎新闻（Yahoo! News）的网站。 Group-IB 还发现，共有 119 个恶意域名模仿主流新闻网站。例如，仿冒的 CNA 网站发布了一段深度伪造视频，视频中 “黄循财总理” 为名为 “即时时代”（Immediate Era）的项目站台；而仿冒的雅虎新闻文章则谎称 “尚穆根部长” 为该投资平台背书。 为躲避监管检测，诈骗分子采用了多种高级规避技术，包括 IP 过滤、开发者工具检测和 URL 参数拦截，确保诈骗内容仅对新加坡境内的真实用户可见。 一旦受害者提供联系方式，诈骗分子会通过电话或邮件联系对方，并施压要求其进行投资。而当受害者尝试提现时，诈骗分子常以 “行政流程” 为由拖延或拒绝处理。 尽管这个在毛里求斯注册的投资平台持有监管牌照，看似合法，但 Group-IB 指出，其位于塞浦路斯的母公司曾多次被暂停业务，并于 2022 年失去了英国的经营授权。 Group-IB 估算，上个月共有 3808 名新加坡人点击了该恶意广告，其中 685 人被引导至诈骗网站。该团队认为，此案体现了网络诈骗的 “专业化” 趋势 —— 犯罪分子整合经过验证的广告网络、监管漏洞和 AI 驱动的媒体操纵技术，以实现对用户的欺骗。 专家提醒，语法错误、URL 可疑等传统诈骗 “警示信号” 已不再可靠，并建议用户采取以下措施： 独立核实投资宣传内容的真实性 避免在陌生网站上提供个人信息 对网络广告中出现的名人或官员背书保持警惕 Group-IB 表示：“如今，无论是调查人员还是普通用户，都必须从整体角度评估诈骗行为。” “需综合考虑技术指标、行为特征和场景背景，才能有效识别诈骗。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款与俄罗斯相关黑客组织 COLDRIVER 有关联的新型恶意软件，自 2025 年 5 月以来已历经多次开发迭代。这一现象表明，该威胁行为者的 “行动节奏” 正在加快。 该发现来自谷歌威胁情报团队（GTIG）。该团队表示，这个由国家支持的黑客组织，在同期披露其 LOSTKEYS 恶意软件后仅五天，就迅速改进并重组了其恶意软件库。 目前尚不清楚这些新型恶意软件家族的开发时长，但这家科技巨头的威胁情报团队称，自 LOSTKEYS 被披露后，尚未观察到该恶意软件的任何活动痕迹。 GTIG 研究员韦斯利・希尔兹在周一发布的分析报告中指出，这三款新型恶意软件代号分别为 NOROBOT、YESROBOT 和 MAYBEROBOT，它们 “是一组通过交付链相互关联的恶意软件家族”。 最新的攻击浪潮与 COLDRIVER 以往的惯用手法有所不同。该组织过去常以非政府组织（NGO）的知名人士、政策顾问和持不同政见者为目标，窃取其凭证信息。而此次新活动则采用 “ClickFix 式诱饵”，诱骗用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，整个过程伪装成虚假的验证码验证提示。 2025 年 1 月、3 月和 4 月发现的攻击活动，最终会部署一款名为 LOSTKEYS 的信息窃取类恶意软件；而后续的入侵活动则为 “ROBOT” 系列恶意软件的传播铺路。值得注意的是，恶意软件家族 NOROBOT 和 MAYBEROBOT 在 Zscaler ThreatLabz 的追踪系统中，分别使用代号 BAITSWITCH 和 SIMPLEFIX。 新的感染链始于一个名为 COLDCOPY 的 HTML 格式 ClickFix 诱饵，其设计用途是释放一个名为 NOROBOT 的 DLL 文件。该 DLL 文件随后通过 rundll32.exe 程序执行，以释放下一阶段的恶意软件。据悉，该攻击的早期版本会传播一个名为 YESROBOT 的 Python 后门，之后威胁行为者转而使用名为 MAYBEROBOT 的 PowerShell 植入程序。 YESROBOT 通过 HTTPS 协议从硬编码的命令与控制（C2）服务器获取指令。作为一款精简型后门，它具备下载并执行文件、获取目标文档的功能。截至目前，仅观察到两起 YESROBOT 部署案例，均发生在 2025 年 5 月末的两周内，而这一时间点恰好在 LOSTKEYS 的细节被公开之后。 与之相比，MAYBEROBOT 被评估为更具灵活性和可扩展性。它具备多项功能，包括从指定 URL 下载并运行有效载荷、通过 cmd.exe 执行命令，以及运行 PowerShell 代码。 研究人员认为，COLDRIVER 组织很可能是为应对 LOSTKEYS 的公开披露，仓促部署 YESROBOT 作为 “临时机制”，随后便弃用该软件转而采用 MAYBEROBOT。原因在于，NOROBOT 的早期版本中还包含一个步骤 —— 在受攻陷主机上完整安装 Python 3.8 环境。这种操作会留下 “明显痕迹”，极易引发怀疑。 谷歌还指出，NOROBOT 和 MAYBEROBOT 的使用对象可能仅限于重要目标。这些目标可能已通过钓鱼攻击被攻陷，而使用这两款恶意软件的最终目的，是从其设备中收集更多情报。 希尔兹表示：“NOROBOT 及其前身感染链一直在不断演变 —— 最初为提高部署成功率而简化设计，之后又通过拆分加密密钥重新增加复杂度。这种持续的开发行为表明，该组织正努力规避检测系统，保护其交付机制，以便继续针对高价值目标开展情报收集活动。” 与此同时，荷兰检察署（Openbaar Ministerie，简称 OM）宣布，三名 17 岁男性涉嫌为某外国政府提供服务。其中一人据称与一个隶属于俄罗斯政府的黑客组织存在联系。 荷兰检察署称：“该嫌疑人还指示另外两人，在海牙市的多个日期对 Wi-Fi 网络进行测绘。前者将收集到的信息有偿分享给客户，而这些信息可被用于数字间谍活动和网络攻击。” 2025 年 9 月 22 日，两名嫌疑人已被逮捕。第三名嫌疑人虽已接受当局讯问，但因在案件中 “角色有限”，目前被处以软禁。 荷兰检察署补充道：“目前尚无迹象表明，与俄罗斯政府下属黑客组织有联系的那名嫌疑人受到了胁迫。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着美国执法人员与公众之间的紧张关系达到临界点，在近期一次大规模协同黑客攻击事件中，美国国土安全部与司法部的数百名雇员遭遇“人肉搜索”，黑客已曝光数百名执法人员的个人信息。 据 404 media 报道，信息泄露发生之际，特朗普政府正重启对抗议活动及移民事务的严厉打击行动。国土安全部与移民海关执法局执法人员在各大城市实施抓捕，批评人士将这些场景描述为“政府批准的绑架行为”。 特朗普政府多次称执法人员“面临威胁”，但批评者认为，这一说法只是为“信息保密”、“过度使用武力”及“压制公众监督”提供正当理由。 政府还施压各平台下架“ICEBlock”等用于追踪和举报移民海关执法局的应用程序。目前白宫尚未就此次数据泄露事件置评，受影响部门也未公开承认信息泄露的波及范围。 近千名执法人员信息遭曝光 此次数据泄露由黑客组织“Com”发起，该组织此前曾实施多起具有政治动机的信息泄露及高级别网络攻击。 据称，此次最新行动曝光了680名国土安全部雇员、190名司法部官员的个人信息，以及170名联邦调查局工作人员的电子邮件地址。 黑客组织在“ScatteredLAPSUS$Hunters”Telegram频道中留言称：“大伙儿接下来想让国税局上榜吗？” 据404媒体报道，泄露的信息包括姓名、办公地点，部分信息还涉及家庭住址。记者已通过独立渠道核实，大部分泄露信息属实。 该Telegram频道中另一条疑似帖子嘲讽道：“墨西哥，把钱还给我”，此举可能是在嘲讽国土安全部关于贩毒集团已悬赏追杀联邦特工的说法。 据据称获取的情报显示，贩毒集团已指示其支持者（包括芝加哥的街头帮派）追踪、骚扰甚至暗杀联邦执法人员。 文件显示，贩毒集团设立了结构化悬赏体系以煽动暴力行为，悬赏金额根据目标职位等级及攻击性质逐级递增： 收集执法人员情报或对其实施“人肉搜索”（包括拍摄照片、确认其家庭成员身份），可获得2000美元报酬； 绑架执法人员或对一线探员实施非致命袭击，可获得5000至10000美元报酬； 暗杀高级别官员，报酬据称最高可达50000美元。 国土安全部执法人员遭攻击 随着公众对移民政策的反对情绪升温，曝光执法人员私人信息可能对其安全构成威胁。10月9日，国土安全部发布声明，谴责此类“危险的人肉搜索攻击”。 声明在新闻稿中指出：“我们的执法人员遭遇袭击的次数增长超1000%，其家人也面临人肉搜索及网络威胁。” 新闻稿显示，9月，联邦大陪审团对三名女性提起诉讼。这三人曾通过直播追踪一名移民海关执法局探员至其住所，高喊“邻居是移民海关执法局的人！”“移民海关执法局的人住你这条街，你们该知道！”，随后还在Instagram上公开了该探员的住址。一场抗议活动就此演变为实时直播的“人肉搜索”行动。 在得克萨斯州，一名移民海关执法局探员的配偶接到威胁电话，对方称：“真不知道你怎么能容忍丈夫为移民海关执法局工作，还能安心睡觉……去你的，去你全家的。我真希望你的孩子被误判驱逐……你知道二战后纳粹的下场吗？你们家也会落得同样的下场。” 另有一名探员的配偶收到来自马萨诸塞州莱克维尔市居民罗伯特・巴克利（RobertBuckley）的Facebook消息，内容为：“你丈夫这移民海关执法局的混蛋，报应终会找上你们。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报团队已吊销 200 多个由威胁 actor 伪造签名的证书，这些证书被用于伪造的微软 Teams 安装文件，以分发后门程序和恶意软件。 微软将这场攻击活动命名为 “Vanilla Tempest”，其他机构则将其追踪为 “Vice Spider” 和 “Vice Society”。该活动于 9 月下旬被发现。 该威胁 actor 以经济利益为动机，主要通过部署勒索软件和窃取数据进行勒索。 伪造的 Teams 安装文件被用于分发 “Oyster” 后门程序，并最终部署 “Rhysida” 勒索软件。 除 Rhysida 外，该威胁 actor 还使用过其他勒索软件变种，包括 BlackCat、Quantum Locker 和 Zeppelin。 在这场活动中，攻击者利用 SEO 投毒和恶意广告技术，诱骗用户下载伪造的 MSTeamsSetup.exe 文件，这些文件会释放 Oyster 后门。 搜索 “Teams 下载” 的用户会被引诱至仿冒网站，这些网站托管着伪造的微软 Teams 安装程序。模仿微软 Teams 的恶意域名包括 teams-download [.] buzz、teams-install [.] run 和 teams-download [.] top 等。 微软表示，Vanilla Tempest 早在 2025 年 6 月就将 Oyster 后门纳入攻击流程，但在 2025 年 9 月初才开始对这些后门程序进行伪造签名。 观察发现，Vanilla Tempest 通过 “Trusted Signing” 服务以及 SSL [.] com、DigiCert 和 GlobalSign 等代码签名服务，为伪造的安装程序和攻击后工具伪造签名。 这家科技巨头称，完全启用的微软 Defender 防病毒软件可拦截此威胁。除检测功能外，微软 Defender for Endpoint 还提供了缓解和调查此类攻击的额外指导。 Vanilla Tempest 至少从 2021 年起就异常活跃。2023 年，在一系列影响美国医疗行业的事件发生后，安全研究人员发现该组织与 Rhysida 勒索软件存在关联。 2022 年，Vanilla Tempest 发起的一系列勒索软件攻击活动曾针对英国和美国的教育行业。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心事件概况 俄罗斯黑客组织 Lynx窃取并泄露了英国皇家空军（RAF）和皇家海军 8 处基地的国防部（MoD）文件，在这场通过 “多德集团”（Dodd Group）入侵发起的 “灾难性” 网络攻击中，人员敏感数据遭到曝光。 此次事件发生于 9 月 23 日。据《每日邮报》（The Daily Mail）报道，攻击源头是英国国防部的承包商多德集团 —— 该集团被Lynx组织攻破后，数百份涉及 8 处皇家空军及皇家海军基地的敏感文件遭窃取并泄露，《每日邮报》将此次攻击定性为 “灾难性” 事件。 泄露数据与涉事企业背景 泄露数据内容：遭泄露的信息包括工作人员姓名与邮箱、承包商姓名、电话号码、车辆详情及国防部人员联系方式。部分文件还标注有 “受控”（Controlled）或 “官方敏感”（Official Sensitive）等级。 多德集团简介：该集团拥有超过 1100 名员工，业务覆盖教育、医疗、住房、公用事业及国防领域的重大项目，包括为英国国防部提供维护与建筑服务，是英国领先的私营工程及设施管理公司之一。 攻击后续发展：Lynx这一勒索软件组织已将多德集团列入其 Tor 数据泄露网站，声称窃取了约 4TB 数据。目前该组织已开始泄露被盗数据，泄露原因可能是双方谈判破裂。 涉事军事基地与文件细节 据《每日邮报》披露，泄露的国防部文件包含多处皇家空军及海军基地的敏感信息，涉及基地包括： 莱肯希思基地（RAF Lakenheath）：部署有美国 F-35 战斗机，且据信存放有核弹。 波特里斯基地（RAF Portreath）：北约防空网络的顶级机密雷达站。 普雷丹纳克基地（RAF Predannack）：现为英国国家无人机中心（National Drone Hub）所在地。 泄露文件总量约 1000 份，具体包括： 波特里斯皇家空军基地和卡尔德罗斯皇家海军航空站（RNAS Culdrose）的访客记录。 内部邮件与安全指南。 莱肯希思皇家空军基地和米尔登霍尔皇家空军基地（RAF Mildenhall）的建筑施工记录，其中包含敏感作战细节。 各方回应与风险警示 多德集团回应：该集团已公开披露此次数据泄露事件，但公司发言人称仅 “少量数据”（limited data）被盗。 专家警示：情报专家指出，国家级行为体可能将被盗数据用于情报收集，或对受影响机构发起进一步网络攻击。 英国国防部行动：目前英国国防部已针对该事件启动调查。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场协同攻击活动：131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体，正针对巴西用户进行大规模垃圾邮件发送。 据供应链安全公司 Socket 透露，这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施，这些浏览器插件的活跃用户总计约 20,905 人。 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示：“它们并非传统意义上的恶意软件，但属于高风险垃圾信息自动化工具，违反了平台规则。其代码直接注入 WhatsApp 网页版页面，与 WhatsApp 自身脚本一同运行，通过特定方式实现批量 outreach 和定时发送，目的是绕过 WhatsApp 的反垃圾邮件机制。” 该活动的最终目标是通过 WhatsApp 大量发送出站消息，且能绕过该消息平台的发送频率限制和反垃圾邮件管控。 据悉，该活动已持续至少 9 个月，截至 2025 年 10 月 17 日，仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括： YouSeller（10,000 名用户） performancemais（239 名用户） Botflow（38 名用户） ZapVende（32 名用户） 这些扩展虽名称和图标各异，但幕后绝大多数由 “WL Extensão” 及其变体 “WLExtensao” 发布。据信，这种品牌差异源于一种特许经营模式 —— 该运营活动的分销商可将 DBX Tecnologia 公司提供的原始扩展克隆后，以不同品牌名称大量上传至 Chrome 应用商店。 这些插件还伪装成 WhatsApp 的客户关系管理（CRM）工具，宣称能帮助用户通过该应用的网页版提升销售额。 ZapVende 在 Chrome 应用商店的描述中写道：“将你的 WhatsApp 转变为强大的销售和联系人管理工具。借助 Zap Vende，你将获得直观的 CRM 系统、消息自动化、批量发送、可视化销售漏斗等多种功能。轻松高效地管理客户服务、跟踪潜在客户并定时发送消息。” Socket 指出，DBX Tecnologia 公司推出了经销商白标计划，允许潜在合作伙伴对其 WhatsApp 网页版扩展进行重新品牌包装并销售。该公司宣称，投资 12,000 雷亚尔（巴西货币），可获得每月 30,000 至 84,000 雷亚尔的 recurring revenue。 值得注意的是，这种行为违反了谷歌 Chrome 应用商店的《垃圾信息与滥用政策》，该政策禁止开发者及其关联方提交功能重复的多个扩展程序。此外，还发现 DBX Tecnologia 在 YouTube 上发布视频，传授使用其扩展时如何绕过 WhatsApp 的反垃圾邮件算法。 博伊琴科指出：“这一系列扩展本质上是几乎相同的复制品，分散在不同的发布者账户下，主打批量非邀约 outreach，且能在无需用户确认的情况下，在web.whatsapp.com内自动发送消息。其目的是让大规模垃圾邮件活动持续进行，同时规避反垃圾邮件系统的检测。” 此次披露正值趋势科技（Trend Micro）、Sophos 和卡巴斯基（Kaspersky）曝光另一场大规模攻击活动 —— 该活动针对巴西用户，利用名为 SORVEPOTEL 的 WhatsApp 蠕虫病毒分发一款代号为 Maverick 的银行木马。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文