HackerNews

HackerNews 编译，转载请注明出处： 网络安全威胁组织EncryptHub持续利用已修复的Microsoft Windows安全漏洞（CVE-2025-26633，又名MSC EvilTwin）投放恶意负载。Trustwave SpiderLabs观察到，该组织近期攻击活动将社会工程学与Microsoft管理控制台（MMC）框架漏洞利用结合，通过恶意Microsoft控制台（.msc）文件触发感染流程。 “这些活动属于广泛持续恶意攻击浪潮的一部分，其通过结合社会工程与技术漏洞利用来绕过防御体系、控制内部环境”，Trustwave研究人员Nathaniel Morales和Nikita Kazymirskyi表示。 EncryptHub（亦被追踪为LARVA-208和Water Gamayun）是俄罗斯黑客组织，2024年中崭露头角。这个以经济利益驱动的组织行动迅速，惯用虚假职位邀约、作品集审核甚至篡改Steam游戏等手段向目标投放窃密木马。 该组织滥用CVE-2025-26633漏洞的行为早在2025年3月已被趋势科技记录，当时攻击投放了名为SilentPrism和DarkWisp的两个后门程序。最新攻击链中，攻击者伪装成IT部门人员，通过Microsoft Teams向目标发送远程连接请求，意图部署PowerShell命令执行后续负载。 攻击过程投放了两个同名MSC文件（一个良性、一个恶意），当用户启动良性文件时会触发漏洞，最终执行恶意MSC文件。该MSC文件从外部服务器获取并执行另一PowerShell脚本，该脚本会收集系统信息、建立主机持久化机制，并与EncryptHub命令与控制（C2）服务器通信以接收运行恶意负载（包括名为Fickle Stealer的窃密木马）。 “该脚本接收攻击者AES加密指令，解密后在受感染机器直接运行负载”，研究人员指出。攻击过程中还部署了代号SilentCrystal的Go语言加载器——其滥用Brave浏览器关联的合法平台“Brave支持服务”托管后续恶意软件（内含两个用于漏洞武器化的MSC文件的ZIP压缩包）。此举特殊性在于：Brave支持平台对新用户附件上传有限制，表明攻击者可能非法获取了具备上传权限的账户。 其他部署工具包括： Golang后门程序：支持客户端/服务器双模式，通过SOCKS5代理隧道协议向C2服务器发送系统元数据并建立C2基础设施 视频会议诱饵：新建虚假平台RivaTalk欺骗受害者下载MSI安装包。运行安装包将释放多个文件： 赛门铁克合法早期反恶意软件启动程序（ELAM）二进制文件 用于侧加载恶意DLL的文件（该DLL进而启动PowerShell命令下载运行另一脚本） 该脚本设计用于收集系统信息并外传至C2服务器，同时等待解密执行加密PowerShell指令，使攻击者获得系统完全控制权。恶意软件还显示虚假“系统配置”弹窗作为伪装，同时在后台生成虚假浏览器流量（通过向热门网站发送HTTP请求），以掩盖C2通信流量。 Trustwave总结：“EncryptHub威胁组织代表资源充足、适应性强的对手，其结合社会工程学、滥用可信平台及系统漏洞利用的手段，凸显了分层防御策略、持续威胁情报和用户意识培训的重要性。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部宣布从涉嫌勒索软件运营者Ianis Aleksandrovich Antropenko处查获逾280万美元加密货币。Antropenko在德克萨斯州被起诉，罪名包括计算机欺诈和洗钱，其犯罪活动关联现已停止运营的Zeppelin勒索软件（2019至2022年间活跃）。除数字资产外，当局还扣押7万美元现金及一辆豪华汽车。 “Antropenko使用Zeppelin勒索软件攻击全球范围内的个人、企业及组织（包括美国境内目标）”，司法部声明指出，“具体而言，Antropenko及其同伙会加密并窃取受害者数据，通常以解密数据、避免公开或承诺删除数据为条件勒索赎金”。 收到赎金后，Antropenko试图通过混币服务ChipMixer洗钱（该服务于2023年3月被当局查封）。其他洗钱手段包括加密货币兑现金交易及结构化存款（将大额资金拆分为小额存款以规避银行监管）。 Zeppelin勒索软件于2019年末作为VegaLocker/Buran勒索软件变种出现，通过利用MSP软件漏洞攻击医疗和IT企业。2021年沉寂后重启攻击，但后续攻击的加密方案显示出技术缺陷。至2022年11月该组织基本停止活动——当时曝光的安全研究显示，Unit221b团队自2020年初就掌握免费解密密钥可协助受害者恢复文件。2024年1月有消息称Zeppelin勒索软件源代码在某黑客论坛以500美元价格出售。 针对Antropenko的起诉表明，即使网络犯罪活动已停止多年，证据仍能揭露攻击者身份。此次280万美元赃款扣押行动，延续了美国当局近期打击勒索软件的系列举措（包括从BlackSuit勒索软件查获100万美元加密货币、从Chaos勒索软件查获240万美元比特币）。 在无法实施逮捕的案件中，查没犯罪所得对打击勒索软件至关重要——此举能有效阻止运营者及关联方利用资金重建基础设施或招募新成员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部宣布对俄罗斯加密货币交易所Garantex的继任平台Grinex实施制裁。此前Garantex因协助勒索软件团伙洗钱已被制裁过。 TRM Labs四月发布的报告显示，Grinex与Garantex既往运营存在紧密关联，但未提供其用于非法交易的证据。2025年3月初美国当局查封Garantex域名后（该平台处理了价值1亿美元的非法交易并为网络犯罪团伙洗钱），与Garantex相关的Telegram频道迅速开始推广Grinex。Garantex管理人员Aleksandr Mira Serda和Aleksej Besciokov随后被起诉，其中Besciokov在印度度假期间被捕。 Garantex早在2022年4月就因关联暗网市场及网络犯罪团伙遭美国财政部海外资产控制办公室（OFAC）制裁，涉及对象包括暗网市场Hydra、臭名昭著的Conti勒索软件即服务（RaaS）组织，以及Black Basta、LockBit、NetWalker、Ryuk和Phoenix Cryptolocker等勒索软件团伙。 “2025年3月6日美国特勤局主导执法行动后，Garantex高管立即搭建新基础设施转移客户资金至Grinex”，OFAC周四声明称，“Grinex宣传材料明确表示，该交易所是为应对Garantex遭制裁和资产冻结而成立，其运营以来已处理数十亿美元加密货币交易”。 昨日，OFAC还重启对Garantex的制裁，并新增制裁其三位联合创始人（Sergey Mendeleev、Aleksandr Mira Serda和Pavel Karavatsky）及六家俄吉两国合作企业（包括InDeFi Bank、Exved、Old Vector、A7、A71和A7 Agent），指控他们与两家受制裁加密交易平台存在关联。 美国国务院周四宣布，对提供线索促成Garantex高管逮捕或定罪者，最高奖励600万美元。财政部反恐和金融情报事务副部长John K. Hurley强调：“利用加密货币交易所洗钱和协助勒索软件攻击不仅威胁国家安全，更损害合法虚拟资产服务提供商的声誉”。 美国国务院数据披露，2019年4月至2025年3月间，Garantex处理的加密货币交易总额超960亿美元。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WarLock勒索软件攻击Colt电信公司，导致其自8月12日起托管服务、端口迁移、Colt在线平台及语音API平台持续中断。 英国电信服务提供商Colt Technology Services确认遭受网络攻击（据称为WarLock勒索软件所为），造成托管服务、端口迁移、Colt在线平台及语音API平台连续多日中断。该公司正式名称为Colt Technology Services Group Limited，是一家总部位于伦敦的跨国电信企业，1992年以“伦敦金融城电信公司”之名成立，初期专注于伦敦本地电信网络建设，后逐步将业务扩展至欧洲、亚洲及北美地区。 该公司专注于为企业提供高性能连接与通信解决方案，服务涵盖数据、语音、云服务及托管IT解决方案，重点提供可扩展、安全可靠的网络基础设施。Colt拥有并运营大型光纤网络，通过城际与长途网络连接全球多个城市和国家数千栋建筑。 Colt客户群体广泛，涵盖大型跨国企业至中小型公司，业务覆盖40多个国家，员工超6,000名，以客户服务、创新及可持续发展能力著称。 攻击者公开出售窃取数据。事件始于8月12日，中断持续至今，公司IT团队正全力控制影响并恢复受攻击系统。 Colt最初将中断描述为“技术问题”，后确认为网络攻击，已关闭系统以缓解威胁。公司强调核心网络基础设施未受影响，已上报监管部门但未透露攻击技术细节，尚未公布系统恢复时间表。 知名网络安全专家Kevin Beaumont指出，攻击者可能通过Microsoft SharePoint漏洞（CVE-2025-53770）侵入sharehelp.colt.net，并在其网络潜伏超一周。该研究员推测Colt可能试图掩盖此事。 WarLock关联人员“cnkjasdfgd”宣称对攻击负责，以20万美元价格出售100万份窃取文档，内容包括财务数据、员工信息、客户资料及内部文档。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 诈骗者伪装成Netflix招聘人员，正通过新的钓鱼攻击活动针对社交媒体和营销经理，意图劫持其公司的Facebook账户。以下是需要警惕的迹象。 关键要点： 冒充Netflix招聘人员的钓鱼邮件，以虚假高端职位引诱营销人员。 钓鱼网站诱骗受害者实时提交其Facebook商业账户凭证。 被劫持的账户可能用于投放恶意广告、勒索赎金或传播更多诈骗。 Malwarebytes的新研究指出，诈骗者向营销员工发送钓鱼邮件，冒充Netflix招聘人员，声称提供高薪职位。 “初始邮件看似来自猎头或人力资源（HR）招聘专家，”Malwarebytes恶意软件情报研究员Pieter Arntz表示。 邮件内容声称：“我希望这封邮件能恰当地传达给您。您作为远见卓识的营销领袖的声誉引起了我们的注意，我想与您分享Netflix的一个非凡机会。” 用高薪职位引诱受害者 该研究指出，这些钓鱼活动专门设计用于窃取营销经理、社交媒体运营人员（尤其是管理公司Facebook主页或商业账户者）的凭证。 钓鱼邮件中提供的职位包括“营销副总裁”“数字营销经理”和“社交媒体总监”等。 研究强调，攻击者获取Facebook商业账户权限后，可“利用公司的支付方式投放恶意广告、勒索赎金以归还账户控制权，或利用公司声誉传播更多诈骗”。 Arntz指出，诈骗者似乎对目标进行了开源情报（OSINT）收集，提供的职位级别与求职者的资历相匹配。 攻击流程 若求职者点击邮件中的链接，会被导向伪造的Netflix网站，要求创建“职业档案”，并提供关联Facebook账户的选项。 黑客设计的虚假网站混合了真实Netflix内容和钓鱼活动的内容。 “此时所有危险信号都应被触发，”Arntz称。无论求职者选择“通过Facebook继续”或“通过邮箱继续”，都会弹出新页面要求登录Facebook账户。 “第三方网站提供Facebook登录选项是常见做法，因此求职者点击该链接可以理解，”他解释道。 实时窃取凭证 受害者输入登录信息后，页面会自动弹出提示：“您输入的密码错误！请重试。” Arntz强调，这一登录页面证明攻击“非常复杂”：诈骗者通过WebSocket技术实时拦截凭证，能在“几秒内登录受害者的真实Facebook账户”，甚至可能“在需要时触发多因素认证（MFA）验证”。 此外，由于攻击实时发生，受害者无法察觉账户正被入侵。攻击者可利用这段时间“强制用户退出账户、向好友发送垃圾信息或进行其他任意操作”。 防护措施 Malwarebytes建议求职者采取以下防护步骤： 对未主动申请的职位邀约保持警惕； 仔细检查网站URL和邮件地址是否存在拼写错误或不一致； 确认浏览器地址栏的域名与预期一致，并核对网站内容真实性。 该机构还建议公众学习识别钓鱼攻击，尤其需警惕黑客日益使用AI生成的钓鱼邮件和虚假网站。此外，需确保浏览器、软件和操作系统及时更新，并启用具备网页防护功能的实时反恶意软件解决方案。 若怀疑遭受钓鱼攻击，应“立即更改密码、启用多因素认证，并通知公司的IT/安全团队”。 Malwarebytes表示，此次钓鱼活动通过CloudFlare服务托管，Netflix与CloudFlare均已获知研究结果。         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科披露其安全防火墙管理中心（FMC）软件中存在一个高危远程代码执行（RCE）漏洞（编号CVE-2025-20265，CVSS评分10.0满分）。思科已敦促客户尽快安装更新以防潜在威胁。 该漏洞存在于思科FMC软件的RADIUS子系统实现中。若被利用，未经身份验证的远程攻击者可注入由设备执行的任意shell命令。RADIUS是思科设备采用的访问服务器认证协议，通过验证用户凭证管理网络资源以实现安全访问。 思科在8月14日公告中警告：“此漏洞源于认证阶段对用户输入处理不当。攻击者可通过发送特制输入至配置的RADIUS服务器进行利用，成功后能以高权限级别执行命令。”漏洞影响已启用RADIUS认证的Cisco Secure FMC软件7.0.7和7.7.0版本。 修复方案 该公告属于思科安全公告捆绑发布的一部分，涵盖21项针对思科安全防火墙ASA、FMC和FTD软件的安全通告（共描述29个漏洞）。 思科提供免费更新解决FMC漏洞，持有服务合同的客户可通过常规渠道获取补丁 目前无直接缓解措施，但仅当启用RADIUS认证时漏洞才可被利用 建议切换至本地账户、外部LDAP认证或SAML单点登录（SSO）作为临时方案       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过3亿美元与网络犯罪及欺诈相关的加密货币，因两项分别由执法机构与私营企业主导的行动被冻结。 第一项行动源自T3打击金融犯罪小组（T3 FCU）推出的“T3+全球合作计划”。该小组由情报公司TRM Labs、波场（TRON）和泰达公司（Tether）于近一年前联合成立，近期币安作为首个官方成员加入——这些均为区块链领域的重要力量。 根据TRM Labs数据，自2024年9月启动以来，该计划已在全球冻结超2.5亿美元犯罪资产，其中包括与币安联合行动中冻结的600万美元“杀猪盘”诈骗资金。 公告称：“T3 FCU成立以来与全球执法机构紧密协作，识别并瓦解犯罪网络，已分析横跨五大洲的数百万笔交易，监控资产总量逾30亿美元。”该小组协助调查的犯罪类型涵盖洗钱、投资欺诈、勒索及恐怖主义融资等。 第二项行动由美国与加拿大联合开展，依托Chainalysis的区块链情报技术。 合作包含两个子行动：安大略省警察局主导的“阿特拉斯计划”与不列颠哥伦比亚证券委员会主导的“雪崩行动”，二者均依赖Chainalysis的链上资金追踪技术。过去六个月内，这些调查揭露了逾7430万美元欺诈损失，并冻结了其中大部分资金。 Chainalysis声明：“‘阿特拉斯计划’虽从加拿大发起，实则覆盖全球，锁定14个国家超过2000个关联欺诈受害者的加密钱包地址。通过与泰达公司直接协作，我们已将超5000万美元USDT列入黑名单，阻止诈骗者转移或变现赃款。” 两项行动通过协调调查与全球协作，在区块链层级实现犯罪资金拦截，极大限制了犯罪分子的资产流动能力。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 挪威警察安全局（PST）表示，亲俄黑客于今年4月控制了一座大坝的关键操作系统并开启泄洪阀门。此次攻击被视为俄罗斯远程入侵挪威关键基础设施的能力展示。 PST局长贝娅特·甘加斯在阿伦达尔市举行的年度国民论坛上指出，黑客意图“并非主要制造破坏，而是展示其攻击能力”。她强调：“这类行动旨在施加影响力，在民众中制造恐惧或动荡”，并称俄罗斯的威胁性正持续加剧。 据报道，黑客入侵了布雷芒格大坝的水流数字控制系统，将泄洪阀门设置为全开状态。大坝运营方耗时约四小时才发现并修正恶意设置，此时已泄洪超过720万升（190万加仑）。 挪威国家刑事调查局（Kripos）6月根据黑客活动分子在Telegram发布的视频确认了攻击事实。视频展示了大坝控制面板界面，并带有亲俄黑客组织的水印标识。此类行为通常与APT44（沙虫）等国家支持的黑客组织相关，通过夸大攻击影响制造恐慌，并对受侵机构实施公开羞辱。 这是俄罗斯势力第二次被指控攻击挪威实体，此前曾对该国政府服务发动分布式拒绝服务（DDoS）攻击。挪威情报总监尼尔斯·安德烈亚斯·斯滕瑟斯表示，尽管挪威未与俄罗斯开战，但普京总统正通过对整个西方实施“混合攻击”维持紧张态势，并称俄罗斯是挪威当前面临“最不可预测且最严峻的威胁”。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利政府周三警告称，黑客窃取了数万名酒店住客的身份证明文件并在网上非法销售。意大利数字署计算机应急响应小组（CERT-AGID）指出，黑客“mydocs”近期在暗网论坛累计兜售超过9万份证件。 这些高分辨率扫描件据称来自10家不同意大利酒店，包含旅客入住登记时提供的护照及其他官方身份证件。黑客“mydocs”自上周起在知名地下论坛分多批次销售这些数据。意大利数字署声明称：“不排除未来数日出现新增案例的可能性。此类失窃数据可能被用于欺诈活动：包括伪造证件、开设银行账户、实施社会工程攻击及数字身份盗窃，受害者或将面临严重的财务与法律风险。” 近期入住意大利酒店的旅客需警惕个人数据遭滥用迹象，例如冒名信贷申请或非法开设金融账户。尽管黑客攻击发生在今年6月至7月间，但酒店存储扫描件的年限不明，实际受影响住客总数尚难确定。涉事酒店名称未被公开。 CERT-AGID警示称，今年早些曾发生类似事件：该小组当时挫败了旨在“窃取身份证明文件（尤其包含证件与持证人面部对照自拍照）”的短信钓鱼活动。声明强调：“身份文件非法交易的增长印证了强化防护措施的紧迫性，相关机构及公民均需提升防范意识。” 鉴于“此类非法活动日益频繁”，意大利数字署指出“收集和管理身份文件的机构亟需采取严格措施保护信息安全，既要确保数据处理合规，更须防范数字系统及门户遭未授权访问”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据加拿大广播公司报道，黑客利用近期微软漏洞入侵加拿大国会下议院并窃取数据。威胁行为者通过新披露的微软安全漏洞侵入加拿大国会下议院系统。 国会下议院及加拿大网络安全机构正在调查这起重大数据泄露事件，该事件针对雇员信息。国会下议院本周一通过内部邮件向员工通报信息泄露事件，称恶意攻击者利用近期微软漏洞非法访问了用于管理计算机及移动设备的数据库。 入侵者获取的数据库包含雇员姓名、职位、办公地点、电子邮箱，以及国会配发的计算机与移动设备信息。加拿大通信安全机构已获悉此事并协助调查，目前攻击者身份尚未确认。该机构将“威胁行为者”定义为任何意图非法访问或破坏数据、设备及网络的恶意人员。 加拿大通信安全机构最新报告指出，俄罗斯和伊朗日益将加拿大作为攻击目标，但本次事件归因尚未明确。攻击发生于上周五，泄露数据可能被用于诈骗或身份冒用。 此次入侵可能与近期被利用的微软SharePoint零日漏洞（编号CVE-2025-53770）相关，但具体漏洞细节未公开。工作人员及议员被要求警惕诈骗行为，官方未对攻击者进行归因。 微软七月曾警告，该SharePoint本地服务器漏洞（CVSS评分9.8）存在未经验证数据的反序列化风险，未经授权的攻击者可利用其在网络上执行代码。越南军信安公司通过趋势科技零日计划报告此漏洞。微软确认“CVE-2025-53770漏洞的利用代码已在野出现”，正在测试完整修复补丁，建议用户立即实施缓解措施。 加拿大面临来自犯罪集团和国家行为体的网络威胁持续增长，过去两年事件激增。国家级攻击者愈发猖獗，牟利型罪犯则利用非法工具及人工智能技术。 近期针对加拿大关键基础设施的攻击频发： 2025年4月：电力公司新斯科舍电力及母公司Emera遭攻击导致IT系统中断 2025年6月：西捷航空遭攻击影响内部系统及应用程序 2023年9月：加拿大航空员工个人信息因网络攻击泄露 2023年6月：森科能源遭袭导致加拿大石油加油站支付系统瘫痪       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员在支撑现代互联网的核心协议HTTP/2中发现新型高危漏洞。攻击者可通过控制僵尸网络发送无限量请求耗尽服务器资源，发动前所未有的DDoS攻击。 黑客获得了一种轻松瘫痪网络服务器的新手段。特拉维夫大学安全团队发现重大协议缺陷，允许攻击者用无限请求淹没服务器，最终导致服务崩溃。该漏洞被命名为“MadeYouReset”，因其基于2023年发现的“Rapid Reset”漏洞——后者曾引发史上最大规模DDoS攻击。 据发现者、特拉维夫大学计算机科学硕士生盖尔·巴尔·纳胡姆称，新漏洞能绕过常规防护机制。该高危漏洞编号为CVE-2025-8671，严重性评级达7.5（满分10分）。漏洞描述指出：“攻击者通过建立数据流后立即发送畸形帧或触发流量控制错误，诱使服务器主动重置流。尽管后端仍在处理请求，协议层却判定流已关闭。这使得单个连接上可存在无限并发流，最终耗尽服务器资源。” 漏洞利用原理：HTTP/2协议内置的并发保护机制（MAX_CONCURRENT_STREAMS参数）通常限制单客户端开启100个流。但协议同时提供请求取消功能（RST_STREAM帧），被取消的请求不计入限额。攻击者曾利用“Rapid Reset”漏洞通过快速取消请求实施DDoS攻击。 纳胡姆解释：“理论上，取消流应指令服务器停止处理请求。但现实中，多数服务器实现方案仅在响应计算完成后终止发送，未能及时释放资源。”此前缓解措施通过限制客户端RST_STREAM帧发送数量来防御。 （较旧的RapidReset攻击。图片由Gal Bar Nahum提供。） “MadeYouReset”漏洞创新性地迫使服务器代劳取消操作：攻击者发送非法控制帧或精准违反协议时序，诱使服务器主动发送RST_STREAM帧。“我们能让服务器为已接收的合法请求发送重置帧。根据RFC规范，存在六类可触发此行为的操作原语，因此所有合规实现均受影响。”纳胡姆表示。这意味着攻击者无需发送RST_STREAM帧即可突破限制，在后台持续处理旧请求时开启新请求。 （新的MadeYouReset漏洞。图片由Gal Bar Nahum提供。） 多数受影响服务器面临双重资源耗尽风险。研究人员指出：“高性能服务器或可抵御小规模攻击，但由于请求发送与响应计算存在资源消耗不对称性，加之攻击者可轻易创建无限请求，绝大多数服务器将遭遇完全拒绝服务，其中大量还会触发内存崩溃。” 修复进展：目前多数HTTP/2服务器仍存在风险，Netty、Jetty和Apache Tomcat等主流系统均受影响。研究人员已提前向监管机构和供应商披露漏洞，多家厂商正发布补丁： SUSE为企业级Linux发行版更新多个上游项目修复方案 网页加速器Varnish Cache为5.x至7.7.1版本提供安全更新，建议无法升级者暂时禁用HTTP/2 CDN服务商Fastly于6月2日前完成全网修复，客户无需操作 Java网络框架Netty发布专版4.2.4.Final解决该漏洞 Apache Tomcat两周前通过代码提交修复，但红帽公司警告称尚无符合其稳定性标准的缓解方案       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国内政部宣布向全国七个警队部署10辆新型实时面部识别警车，为执法人员配备尖端技术以追捕罪犯。 英国内政部承诺，这些警车将遵循严格规则运行。英国国家物理实验室（NPL）已对车载算法的偏见问题展开独立测试，确认该算法准确无误，且未发现针对种族、年龄或性别的偏见迹象。 这些警车仅会在“特定场景且接受严格监管”时启用，同时警员必须遵守监控摄像机操作规范，确保技术使用合规。国家警察局长委员会实时面部识别技术负责人林赛·奇西克声明称：“警方有责任预防犯罪并保障公众安全。实时面部识别技术能提升警务效率，帮助警员快速精准定位嫌疑人。我们相信扩大该技术应用将持续保障全国社区安全。” 南威尔士警察局总警司蒂姆·摩根理解公众对该技术的担忧，但承诺将“以符合道德和法律的方式实施新技术”。他补充道：“关键需明确，本地区使用该技术至今从未导致错误逮捕，且随着技术认知升级，近年未出现任何误报。” 新型警车将于未来数周部署至大曼彻斯特、西约克郡、贝德福德郡、萨里与苏塞克斯、泰晤士河谷及汉普郡的警队。 民间组织“老大哥观察”对此扩张表示强烈反对。该组织临时主任丽贝卡·文森特回应称：“这种前所未有的监控技术扩张令人震惊，标志着监控国家的重大升级。实时面部识别将路人变为行走的条形码，将全民视为潜在嫌疑对象。”她强调：“此举不仅威胁隐私权，更危害民主根基。内政部必须停止推广计划，直至建立完善的立法保障。” 过去一年中，伦敦警察厅与南威尔士警局已运用该技术。数据显示，伦敦警方通过面部识别技术逮捕580名涉及强奸、家暴、持械犯罪、严重伤害及抢劫的嫌犯，另有52名登记在案的性犯罪者因违反监管条件被捕。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在暗网以低至40美元的价格出售活跃的执法及政府邮箱账户访问权限，Abnormal AI安全公司调查发现，这些遭入侵的账户涉及美国、英国、印度、巴西和德国的官员，受影响机构包括联邦调查局（FBI）等。 通过真实邮箱冒充执法人员的能力，使攻击者能实施复杂的欺诈和数据窃取计划，包括发送虚假传票及通过紧急数据请求获取敏感信息。来自“.gov”和“.police”域名的邮件更易绕过技术防御且不易引起收件人怀疑，导致恶意附件和链接的点击率显著提升。 研究人员指出，尽管执法账户在暗网售卖已持续数年，但近期策略出现明显转变：“网络犯罪分子不再单纯转售访问权，而是积极营销具体用途，例如提交欺诈性传票或绕过社交媒体与云服务商的验证流程。这种机构信任的商品化扩大了此类账户的吸引力，并降低了冒名攻击的门槛。”其补充道：“与休眠或伪造账户不同，这些都是已被攻破的活跃可信邮箱，攻击者可立即用于恶意操作。” Abnormal AI 8月14日发布的报告显示，遭入侵的执法及政府账户通常通过Telegram或Signal等加密通讯平台出售。鉴于此类邮箱的独特犯罪价值，其售价往往极低，单账户最低仅40美元。买家通常使用加密货币支付，随后获得账户完整的SMTP/POP3/IMAP凭证，从而通过任意邮件客户端完全控制收件箱，立即开始发送邮件或访问政府专属服务。 （示例列表提供了一系列美国政府电子邮件帐户供出售，包括FBI.gov地址。来源：Abnormal AI） 暗网广告常鼓动买家利用这些账户提交紧急数据请求，宣称“成功请求可获取IP地址、邮箱或电话号码等数据”。合法的紧急数据请求用于执法机构在紧急情况下（如来不及获取传票时）向企业索要信息，科技公司和电信提供商依法有义务响应此类请求。 研究人员还发现犯罪市场在TikTok和X等平台推广执法门户访问权限，用于提交额外数据检索请求。部分卖家宣称可利用窃取凭证增强开源情报（OSINT）服务权限——Shodan和Intelligence X等平台通常为认证政府用户提供高级功能。 攻击者主要通过三种简单有效的手段入侵政府邮箱： 凭证填充攻击及利用密码复用漏洞 通过信息窃取恶意软件从受感染浏览器/邮件客户端获取保存的登录凭证 针对性钓鱼与社会工程攻击       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom与施乐（Xerox）已修复其Windows客户端和FreeFlow Core中的高危安全漏洞，这些漏洞可能导致权限提升及远程代码执行。 影响Zoom Windows客户端的漏洞（CVE-2025-49457，CVSS评分9.6）涉及非可信路径搜索问题，可能引发权限提升。Zoom在周二的安全公告中表示：“特定Zoom Windows客户端的非可信路径搜索漏洞，或导致未认证攻击者通过网络访问实现权限提升。”该漏洞由Zoom内部攻防安全团队发现，影响以下产品： Zoom Workplace for Windows 6.3.10之前版本 Zoom Workplace VDI for Windows 6.3.10之前版本（6.1.16和6.2.12除外） Zoom Rooms for Windows 6.3.10之前版本 Zoom Rooms Controller for Windows 6.3.10之前版本 Zoom Meeting SDK for Windows 6.3.10之前版本 同时，施乐FreeFlow Core披露了多个漏洞，其中最严重的可导致远程代码执行。这些问题已在8.0.4版本中修复，包括： CVE-2025-8355（CVSS评分7.5）：XML外部实体注入（XXE）漏洞，可触发服务端请求伪造（SSRF） CVE-2025-8356（CVSS评分9.8）：路径遍历漏洞，可引发远程代码执行 安全公司Horizon3.ai指出：“这些漏洞利用门槛低，一旦被利用，攻击者可在受影响系统上执行任意命令、窃取敏感数据，或尝试横向渗透企业环境扩大攻击范围。”研究员吉米·塞布里解释称，CVE-2025-8355源于处理作业消息格式（JMF）的二进制文件（jmfclient.jar）未对XML外部实体进行清理或限制，导致攻击者可构造特殊请求实施SSRF攻击；而CVE-2025-8356则因XML解析程序对文件上传类JMF命令处理不当，使得攻击者能通过构造HTTP请求将Web Shell植入公开可访问路径。“虽然4004端口的服务本身无法提供执行该文件的功能，但主Web门户具备执行和传递恶意负载的全部能力。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数百万网站表面采用现代安全协议，实则仍在代理链中降级至陈旧的HTTP/1.1协议。安全研究人员警告，黑客可利用该协议固有缺陷完全接管这些网站。 当用户访问网站时，其HTTP请求需经过反向代理、负载均衡器等组件转发至目标服务器。应用安全软件商PortSwigger发现，逾2400万网站在请求路径中仍使用“古老”的HTTP/1.1协议。黑客可通过请求走私（request smuggling）手段，将恶意代码植入合法用户请求以完全控制网站。 “HTTP/1.1存在致命且极易利用的缺陷——请求间边界极度脆弱。所有请求在底层TCP/TLS套接字上直接串联，既无分隔符又存在多种长度定义方式。攻击者可借此制造请求起始位置的严重歧义。”最新研究报告指出。更令人担忧的是，多数主流云服务商内部仍默认使用HTTP/1.1。即便Google或Cloudflare的管理员也需手动配置才能实现全链路HTTP/2。Nginx、Akamai、CloudFront和Fastly等软件尚未支持HTTP/2上游连接。 PortSwigger研究总监詹姆斯·凯特尔指出，该漏洞波及多数成熟且注重安全的机构。他在黑帽大会和DEF CON披露的协议缺陷已为其赢得超35万美元漏洞赏金。“若想建立安全网络，HTTP/1.1必须淘汰，”其强调，“单个恶意请求即可导致网站混淆响应归属，引发大规模敏感数据泄露，通常表现为用户被随机登录至他人账户。” 攻击者还可通过恶意JavaScript污染网站缓存，持久控制用户访问的每个页面，实现流量劫持、密码窃取或信用卡信息盗用等操作。研究人员曾两度利用请求走私技术攻破PayPal，窃取用户明文密码，仅此漏洞就获3.9万美元赏金。 攻击原理剖析 凯特尔解释，反向代理通常将不同用户请求通过共享连接池路由至后端服务器。只要攻击者在服务器链中发现“最微小的解析逻辑偏差”，即可引发去同步化（desync），将恶意载荷附加至其他用户请求中。“这导致攻击者请求与合法用户请求相互混杂。” 请求分隔缺陷是该协议的“致命伤”。HTTP/1.1作为古老的文本协议，具有宽松规范与数千种实现方式，寻找解析差异点并非难事。“此类攻击利用两个服务器（通常为前端代理与后端服务器）对同一请求的解析差异，使攻击者能将恶意请求’走私’至后端服务器，进而危害其他应用用户。” 例如，HTTP请求可同时包含定义字节总量的”Content-Length”标头，以及指示分块传输的“Transfer-Encoding: chunked”标头。不同服务器对同一请求的解析结果可能截然不同。攻击者通过构造含矛盾标头的畸形请求，使一台服务器认为请求已结束，而另一台仍等待更多数据，从而将恶意代码预置到合法用户请求前。 凯特尔认为该协议缺陷无法简单修补：“时间证明我们无法通过补丁拯救HTTP/1.1——更多漏洞正在路上。”虽然无代理环节时HTTP/1.1仍可安全使用，但现实场景极少满足此条件。其敦促企业升级至HTTP/2上游连接，该协议通过明确请求边界使去同步漏洞大幅减少。若无法升级，管理员需严格配置服务器以验证并拒绝歧义请求，同时定期扫描漏洞。研究人员已开源自动化检测工具HTTP Request Smuggler v3.0，可探测多种高级去同步攻击技术。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软2025年8月补丁星期二安全更新修复了旗下产品逾百个安全漏洞。本月修补的漏洞均未发现野外利用迹象，但权限提升漏洞CVE-2025-53779已被公开披露。 12个漏洞被标记为“严重”级别，其中多数实际CVSS评分为高危。例外的是Windows GDI+组件远程代码执行漏洞CVE-2025-53766，其CVSS评分达9.8。趋势科技零日计划（ZDI）分析指出，该漏洞可通过诱使用户访问恶意网站或打开恶意文档触发。“最坏情况是攻击者通过广告网络投放恶意内容。广告拦截器不仅过滤骚扰内容，还能防范此类攻击——虽属罕见，但确有先例。”ZDI研究员达斯汀·查尔兹解释，“鉴于GDI+涉及众多组件（且用户易误点内容），建议尽快测试部署补丁。” 另一CVSS满分漏洞CVE-2025-50165影响Windows图形组件，同样允许远程代码执行，需用户查看特制图片才能触发。微软将其评定为“重要”级别。其他高危漏洞包括可通过预览窗格触发的Office远程代码执行漏洞（CVE-2025-53740、CVE-2025-53731），以及SharePoint远程代码执行漏洞CVE-2025-49712——ZDI指出该漏洞与近期ToolShell攻击链利用的漏洞高度相似。 微软标记为“严重”的漏洞还包含：Hyper-V的多个漏洞（信息泄露、欺骗攻击及远程代码执行）、Azure Stack Hub信息泄露漏洞。微软评估这些漏洞“利用可能性较低”或“不太可能被利用”，预计不会出现野外攻击。 Adobe同期发布补丁星期二更新，修复涉及十余款产品的近70个CVE漏洞。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本月上旬，针对Fortinet SSL VPN的暴力破解攻击出现大规模激增，随后攻击目标转向FortiManager，这种有预谋的转向在历史上往往预示着新漏洞即将被披露。 威胁监测平台GreyNoise检测到此次攻击活动呈现两波高峰：8月3日的攻击针对FortiOS SSL VPN设备，而8月5日的第二波攻击则转向FortiManager服务，且具有不同的TCP流量特征。该平台指出，此类针对性扫描与暴力破解行为在80%的情况下会先于新安全漏洞曝光出现。 “最新研究表明，此类活动激增通常预示着同一厂商的新漏洞即将披露——其中80%会在六周内公开，”GreyNoise警告称，“事实上，监测数据明确显示，当前攻击流量特征与未来Fortinet产品漏洞披露存在显著关联。”因此，防御者不应将这些活动激增视为对已修复漏洞的无效攻击尝试，而应将其视为零日漏洞披露的前兆，并立即强化安全措施予以拦截。 攻击活动时间线 8月3日：GreyNoise监测到针对Fortinet SSL VPN的暴力破解尝试激增，该活动与早前持续攻击存在关联。通过JA4+指纹分析（一种加密流量识别分类技术），研究人员将此次攻击与6月的活动相关联——当时攻击源自住宅ISP提供商Pilot Fiber公司IP段内的一台FortiGate设备。“这种关联虽不能确认攻击来源，但表明攻击工具或网络环境可能存在复用。”GreyNoise在公告中说明。 8月5日：同一攻击者发起新一波暴力破解活动，目标从FortiOS SSL VPN端点转向FortiManager的FGFM服务。“8月3日的流量针对FortiOS配置文件，而8月5日起携带特定TCP与客户端签名（元特征）的流量不再攻击FortiOS，转而持续针对我们的FortiManager系统，”研究人员解释道。这一转变表明攻击者可能使用相同工具或基础设施，从VPN登录破解转向FortiManager访问破解。 恶意IP地址清单 以下参与攻击的IP地址应加入拦截名单： 31.206.51.194 23.120.100.230 96.67.212.83 104.129.137.162 118.97.151.34 180.254.147.16 20.207.197.237 180.254.155.227 185.77.225.174 45.227.254.113 防御建议 GreyNoise强调该恶意活动正持续进化，其攻击源集群极可能进行自适应测试。这类行为不同于通常范围更广、频率有限的研究性扫描，因其涉及凭证暴力破解，已构成明确的入侵企图。防御方需采取以下措施： 立即拦截上述IP地址 强化Fortinet设备登录防护 严格限制外部访问权限，仅允许受信IP范围及VPN接入       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室向居民发出警告：因遭受网络攻击，其电子邮件和电话线路已陷入瘫痪。该机构于周一下午发布声明称正在调查事件原因并努力恢复服务。截至周三上午，其官方网站仍无法访问。 总检察长戴夫·桑迪在社交媒体表示：“这是非常令人沮丧的状况，但所有人都在全力以赴。我感谢信息技术团队的专业精神和奉献精神，他们正全天候工作以解决问题。通过与执法伙伴协作，我们将竭力恢复系统。无论遇到何种阻碍，保护宾夕法尼亚州民众的工作不会停止。”声明强调，尽管遭受攻击，检察官们仍在持续推进案件处理。桑迪于去年秋季胜选后，今年1月正式就任该职。 此次警告发布前一个月，知名网络安全专家凯文·博蒙特公开表示，他在全网扫描暴露的Citrix NetScaler设备时，发现两台与宾州总检察长办公室关联的设备存在CVE-2025-5777漏洞（俗称CitrixBleed 2）及其他相关缺陷。Citrix NetScaler设备用于保障网站与应用的高效访问，其网关功能支持员工远程接入企业内网。 自CVE-2025-5777及编号为CVE-2025-5349、CVE-2025-6543的漏洞上月曝光以来，相关设备已遭大规模攻击。博蒙特提供的证据显示，这两台暴露在互联网的漏洞设备后被移出网络。总检察长办公室虽向媒体提供了临时联系邮箱，但未回应关于攻击是否通过NetScaler设备发起的质询。博蒙特指出，涉事设备在过去一周半内陆续下线。 本周一，荷兰国家网络安全中心发布紧急警报，称黑客仍在持续针对Citrix NetScaler产品发起攻击，并已通过相关漏洞成功入侵荷兰多家关键基础设施机构。两周前，荷兰官员证实该国公共检察署（职能相当于美国司法部）受此波攻击影响，加勒比地区多个仍与荷兰关联的岛国法院系统也遭波及。 美国司法系统持续面临多重网络威胁。据《纽约时报》周二报道，俄罗斯被怀疑是联邦法院文件系统遭入侵事件的幕后黑手。今年早些时候，弗吉尼亚州总检察长办公室二月遭遇未公开细节的网络攻击；克利夫兰市法院因网络安全事件关闭数日；华盛顿州法院系统亦于2024年11月报告数据泄露。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去年因供应链攻击被植入Linux发行版的XZ Utils高危后门，至今仍在DockerHub上潜伏。数十个公开镜像携带此漏洞，并污染了基于它们构建的容器。 Binarly研究团队的安全研究人员警告称，他们在DockerHub上发现超过35个仍公开的基础镜像携带臭名昭著的XZ Utils后门——该漏洞被评为最高危险等级（CVSS 10.0）。攻击者可利用此漏洞获取远程管理员权限，完全控制系统。 许多Linux网络项目可通过单条Docker命令部署，仅需单个YAML配置文件。这些在GitHub共享的模板若指定了含漏洞的操作系统版本，将导致整个项目被攻陷。研究人员强调：“任何基于受感染发行版构建的Docker镜像均会被污染。” 报告指出：“我们发现部分受感染镜像仍在Docker Hub公开。更令人担忧的是，其他镜像基于这些被感染的基础镜像构建，形成传递性感染。”已识别的12个基础镜像包含2024年3月发布的各类Debian版本（含实验版、不稳定版及未标记版本）。研究人员尚未检测基于这些漏洞系统的二级DockerHub镜像。 报告称：“目前尚不清楚Fedora、OpenSUSE等受XZ Utils后门影响的发行版所构建的Docker镜像情况。”许多二级、三级镜像可能被用于个人应用乃至企业环境，这些场景通常优先稳定性而非最新系统版本。 尽管漏洞已公开披露，含XZ Utils后门的Docker镜像仍将存留于DockerHub。维护者在GitHub解释：“类似20240311的旧版镜像不再支持。它们永远不会更新，仅作为历史存档存在。用户应选用更新的镜像。” XZ Utils后门于去年曝光，引发网络安全界震动。该后门由开发者Jia Tan植入，其通过两年持续贡献在项目中建立信誉。多个主流Linux发行版分发了恶意软件包，使其成为史上最大软件供应链攻击之一。事件促使网络安全机构发布公告，Linux供应商迅速将受影响软件包回退至旧版。然而，此时损害已然造成。 Binarly研究报告总结：“我们的发现印证了即使短暂存在的后门构建版本，也可能在容器注册表中长期未被察觉并持续存在。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 墨西哥国有电力公司CFE（为全国99%以上人口供电）的内部数据已在互联网上泄露超过三年。 Cybernews研究人员发现一个公开的Kibana实例，其中存储了CFE的网络威胁警报日志。该服务器由墨西哥网络安全公司Teliko管理，但数据归属权属于CFE。 泄露数据类型 员工设备的DNS查询记录 员工访问的网址 深度数据包检测（DPI）日志 反恶意软件及网络监控工具的警报 该实例自2021年11月起被收录索引，包含由托管检测响应（MDR）解决方案AIsaac生成的内部网络数据。其中详细列出了易受攻击的设备、服务器及服务。研究人员指出：“这些日志如同攻击者的藏宝图——可精准定位CFE防御薄弱环节，设计出完美规避检测的攻击方案。”一旦攻破内网设备，攻击者即可横向移动，“最终可能操控工业控制系统，修改参数引发设备物理损坏或关键系统瘫痪”。 除运行风险外，泄露日志还构成隐私侵犯。员工网络活动的详细记录可能暴露内部工具、域名使用模式，使攻击者能仿冒合法服务。通过注册相似域名并发送钓鱼邮件，攻击者可轻易发动针对性欺诈。 Cybernews在五个月内尝试通过29封邮件联系涉事方均未获回应。目前该Kibana实例已无法访问（连接即超时崩溃），但研究人员警告：若管理方未彻底解决问题，600GB敏感日志仍可能再度公开泄露。 关键基础设施面临严峻威胁 网络安全对关键系统运营机构至关重要，成功攻击可导致城市瘫痪、生命威胁、经济崩溃及声誉毁灭。研究人员强调：“此类事件揭示了关键基础设施遭攻击激增的根源——过度依赖未经严格审查的第三方服务商。”工业控制系统（ICS）普遍存在协议陈旧、缺乏身份验证及加密等安全缺陷，形成“漏洞交织的网络，使攻击者几乎无需技术阻碍即可长驱直入”。 全球关键基础设施正成为黑客重点目标： 2021年DarkSide勒索团伙利用密码泄露及未修复漏洞，迫使美国最大燃油管道商Colonial Pipeline停产5天，引发拜登签署网络安全行政令 伊朗黑客组织CyberAv3ngers使用定制恶意软件入侵美以爱三国水处理、废水及油气设施 俄罗斯黑客组织Anonymous Sudan多次攻击以色列工业控制系统及卫星网络       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文