HackerNews

HackerNews 编译，转载请注明出处： 美国高级网络官员周二呼吁私营部门与联邦政府密切合作，以实现唐纳德·特朗普总统的“美国优先”愿景。 “特朗普总统的首要原则是将美国放在首位。网络战略环境也不例外。”国家网络主任肖恩·凯恩克罗斯（Sean Cairncross）在华盛顿的比灵顿网络安全峰会上发表主题演讲时说。 这是他自上任以来首次发表重大政策演讲，他列举了当今的数字威胁，从勒索软件攻击和间谍活动到关键基础设施的预置和影响行动，称尽管美国在“识别、应对和消除威胁”方面有所改进，但“我们仍然缺乏战略连贯性和方向”。 “我们已经对问题研究了太久，现在是时候采取行动了。”他对听众说，并补充说政府将提出一项战略，以推进美国在网络空间的利益并遏制对手。 “今天，我寻求你们的参与和帮助，通过将美国公民放在首位，将美国公司放在首位，我们将把美国放在首位，这就是重点。”他补充道，“我们的生活方式，我们的日常生活，依赖于一个开放和安全的网络空间。” 白宫的国家网络主任办公室（ONCD）是2021年由国会创建的，旨在协调各政府机构之间的网络安全工作，制定和实施国家网络安全政策，并就关键网络问题向总统提供建议。 凯恩克罗斯曾是共和党全国委员会官员，此前在特朗普第一任期期间担任千年挑战公司机构的首席执行官。他上个月被确认为国家网络主管。 “我们拥有所有必要的工具，现在我们有了应对这些挑战的政治意愿。”凯恩克罗斯说，“我们必须共同努力，利用我们国家所有的网络能力，来塑造对手的行为，并且最重要的是，将网络空间的风险负担从美国人转移到他们身上。这就是我和我的团队在这里要做的事情。” 他指出了一些私营部门和公共部门可以合作的领域，例如推动更新2015年的一项标志性法律，该法律加速了威胁情报共享，如果国会不采取行动，该法律将在本月底到期。 凯恩克罗斯还表示，行业必须“坚持安全和隐私设计等标准”，而政府必须“简化网络法规和合规负担”。 他对听众说：“政府知道，美国公司首先对他们的股东和董事会负责，就像我们的政府对人民负责一样，这是应该的。但这并不否定这里存在巨大的利益一致点，我们的工作是识别它们并采取行动。” “特朗普正在恢复美国的优越性和伟大，美国也将在网络空间做到这一点。”凯恩克罗斯说。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：     今天是微软2025年9月的“周二补丁日”，包括针对81个漏洞的安全更新，其中包含两个公开披露的零日漏洞。 此次“周二补丁日”还修复了9个“严重”漏洞，其中5个是远程代码执行漏洞，1个是信息泄露漏洞，2个是权限提升漏洞。 以下是每个漏洞类别的漏洞数量： – 41个权限提升漏洞 – 2个安全功能绕过漏洞 – 22个远程代码执行漏洞 – 16个信息泄露漏洞 – 3个拒绝服务漏洞 – 1个欺骗漏洞 当BleepingComputer报道“周二补丁日”的安全更新时，我们只计算在“周二补丁日”发布的更新。 因此，漏洞数量不包括本月早些时候修复的三个Azure漏洞、一个Dynamics 365 FastTrack实施资产漏洞、两个Mariner漏洞、五个Microsoft Edge漏洞和一个Xbox漏洞。 要了解更多关于今天发布的非安全更新的信息，您可以查看我们关于Windows 11 KB5065426和KB5065431累积更新以及Windows 10 KB5065429更新的专门文章。 修复两个公开披露的零日漏洞 本月的“周二补丁日”修复了Windows SMB服务器和Microsoft SQL服务器中的两个公开披露的零日漏洞。微软将零日漏洞定义为在没有官方修复程序的情况下公开披露或正在被利用的漏洞。 这两个公开披露的零日漏洞是： · CVE-2025-55234 – Windows SMB权限提升漏洞 微软修复了一个通过中继攻击利用的SMB服务器权限提升漏洞。 “根据配置，SMB服务器可能容易受到中继攻击。成功利用这些漏洞的攻击者可以执行中继攻击，并使用户受到权限提升攻击。”微软解释道。 微软表示，Windows已经包括了一些设置，以增强SMB服务器对中继攻击的防护，包括启用SMB服务器签名和SMB服务器扩展保护认证（EPA）。 然而，启用这些功能可能会导致与旧设备和实现的兼容性问题。 微软建议管理员在SMB服务器上启用审核，以确定在完全强制执行这些加固功能时是否会遇到任何问题。 “作为2025年9月9日及以后发布的Windows更新的一部分（CVE-2025-55234），启用了对SMB服务器签名以及SMB服务器EPA的SMB客户端兼容性的审核支持。”微软解释道。 微软没有将该漏洞归因于任何研究人员，目前尚不清楚该漏洞是在何处被披露的。 · CVE-2024-21907 – VulnCheck：CVE-2024-21907 Newtonsoft.Json对异常条件的不当处理 微软修复了Newtonsoft.Json中的一个已知漏洞，该漏洞是作为Microsoft SQL Server的一部分包含的。 “CVE-2024-21907解决了Newtonsoft.Json在13.0.1版本之前的异常条件处理不当漏洞。”微软解释道。 “传递给JsonConvert.DeserializeObject方法的精心制作的数据可能会触发StackOverflow异常，导致拒绝服务。根据该库的使用情况，未经身份验证的远程攻击者可能能够导致拒绝服务条件。” “记录的SQL Server更新包含了修复此漏洞的Newtonsoft.Json更新。” 该漏洞于2024年被公开披露。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 科索沃国民利里顿·马苏里卡（Liridon Masurica）承认运营BlackDB.cc，这是一个自2018年以来一直活跃的网络犯罪市场。 2024年12月14日，科索沃当局逮捕了33岁的被告（在线也被称为@blackdb）。2025年5月9日，他被引渡到美国，并在5月12日于佛罗里达州坦帕出庭后被拘留。 根据法庭文件，马苏里卡是在线犯罪市场BlackDB.cc的主要管理员，该市场自2018年至2025年近七年来一直在运营。 司法部表示，该市场出售被入侵的账户和服务器凭据、被盗信用卡信息以及全球受害者的个人身份信息（PII），特别关注来自美国的个人。 网络犯罪分子购买了BlackDB市场上的这些敏感信息，用于各种非法活动，包括信用卡欺诈、税务欺诈和身份盗窃。 马苏里卡被控五项未经授权使用访问设备进行欺诈的罪名和一项共谋进行访问设备欺诈的罪名。如果所有罪名成立，BlackDB市场管理员可能面临最高55年的联邦监禁。 联邦调查局与科索沃警察网络犯罪调查局合作协调了调查，得到了司法部国际事务办公室和联邦调查局在索非亚的法律专员办公室的支持，后者协助将马苏里卡逮捕并引渡到美国。 2024年12月，一次联合执法行动导致Rydox网络犯罪市场被查封，并逮捕了其三名管理员，分别是科索沃国民阿尔迪特·库特莱希（Ardit Kutleshi）、杰特米尔·库特莱希（Jetmir Kutleshi）和申德·索科利（Shpend Sokoli）。几天前，德国执法人员在关闭该国最大的在线网络犯罪市场Crimenetwork和Manson市场后逮捕了关键嫌疑人。 今年早些时候，乌克兰当局应巴黎检察官办公室的请求，逮捕了俄语黑客论坛XSS的涉嫌管理员，就在法国据报道拘留了BreachForums黑客论坛的五名运营商一个月后。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为LunaLock的新兴勒索软件团伙出现在威胁环境中，采用了一种独特的网络勒索技术，威胁将窃取的艺术作品转化为人工智能训练数据。 最近，LunaLock团伙针对艺术家与客户（Artists&Clients）网站发起攻击，窃取了数字艺术作品。该团伙向受害者索要5万美元，威胁要泄露数据，并将窃取的数据用于训练大型语言模型（LLMs）。 “我们入侵了艺术家与客户网站，窃取并加密了其全部数据。如果你是该网站的用户，我们敦促你联系网站所有者，并要求他们支付赎金。如果赎金未支付，我们将在该Tor网站上公开发布所有数据，包括源代码和用户个人信息。此外，我们将把所有艺术作品提交给人工智能公司，加入其训练数据集。”勒索软件团伙在其Tor数据泄露网站上发布的公告中写道。 LunaLock黑客在技术上相当熟练，且似乎是以英语为母语的人。 这种新型勒索手段旨在通过将被盗数据纳入用于训练LLMs的数据集中，来侵犯受害者的知识产权。未来，其他勒索软件团伙可能会将被盗数据上传至公开可访问的数据库，使其能被人工智能训练管道轻松抓取。一旦数据被纳入人工智能模型，它就变得事实上永久存在，与可能随时间逐渐消失的暗网泄露不同。LunaLock的做法开创了一个危险的先例。 专家指出，LunaLock对艺术家与客户网站的攻击不同寻常，因为勒索软件通常会针对那些有可能支付赎金的行业。双重或三重勒索对自由职业者可能无效。艺术家们已经在保护他们的作品，使其免受黑客攻击和人工智能数据抓取的侵害。 像OpenAI、谷歌和Anthropic这样的人工智能公司会抓取在线艺术作品来训练模型。Anthropic最近同意支付至少15亿美元来解决由作者提起的版权诉讼，这是美国首例人工智能版权案件。 为应对这一问题，芝加哥大学计算机科学教授赵本（Ben Zhao）创建了Glaze和Nightshade这两种工具，它们可以微妙地改变图像，使其对人类看起来正常，但却会误导人工智能训练。 赵本的工具Glaze和Nightshade于2022年推出，至今已有超过300万次下载，被艺术家广泛用于保护他们的作品免受人工智能抓取和像LunaLock这样的勒索软件威胁。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe警告称，其Commerce和Magento开源平台存在一个严重的安全漏洞，如果被成功利用，可能会使攻击者能够接管客户账户。 该漏洞被追踪为CVE-2025-54236（也称为SessionReaper），其CVSS评分为9.1（满分10.0），被描述为一个不当输入验证漏洞。Adobe表示，目前尚未发现有针对该漏洞的野外利用情况。 “潜在攻击者可以通过Commerce REST API在Adobe Commerce中接管客户账户。”Adobe在今天发布的一份咨询报告中表示。 该问题影响以下产品和版本： Adobe Commerce（所有部署方式）： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 – 2.4.4-p15及更早版本 Adobe Commerce B2B： – 1.5.3-alpha2及更早版本 – 1.5.2-p2及更早版本 – 1.4.2-p7及更早版本 – 1.3.4-p14及更早版本 – 1.3.3-p15及更早版本 Magento开源： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 自定义属性可序列化模块： – 0.1.0至0.4.0版本 除了发布针对该漏洞的热修复程序外，Adobe还表示，已部署网络应用防火墙（WAF）规则，以保护使用Adobe Commerce云基础设施的商家免受可能的利用尝试。 “SessionReaper是Magento历史上更严重的漏洞之一，可与2015年的Shoplift、2019年的Ambionics SQLi、2022年的TrojanOrder和2024年的CosmicSting相提并论。”电子商务安全公司Sansec表示。 这家总部位于荷兰的公司表示，已成功复现了利用CVE-2025-54236的一种可能方式，但指出还有其他可能的途径可以利用该漏洞。 “该漏洞遵循去年CosmicSting攻击的熟悉模式。”它补充道，“该攻击结合了恶意会话和Magento REST API中的嵌套反序列化漏洞。” “特定的远程代码执行向量似乎需要基于文件的会话存储。然而，我们建议使用Redis或数据库会话的商家也立即采取行动，因为有多种方式可以滥用这个漏洞。” Adobe还发布了修复程序，以修复ColdFusion中的一个关键路径遍历漏洞（CVE-2025-54261，CVSS评分：9.0），该漏洞可能导致任意文件系统写入。它影响所有平台上的ColdFusion 2021（更新21及更早版本）、2023（更新15及更早版本）和2025（更新3及更早版本）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部已对乌克兰国民沃洛迪米尔·维克托罗维奇·季莫申丘克（Volodymyr Viktorovich Tymoshchuk）提起诉讼，指控其担任LockerGoga、MegaCortex和Nefilim勒索软件行动的管理员。 季莫申丘克也被称为deadforz、Boba、msfv和farnetwork，他参与了勒索软件攻击，导致数百家公司被入侵，造成数百万美元的损失，根据今天解封的起诉书补充说明。 从2019年7月到2020年6月，季莫申丘克及其同伙被指控在美国和世界各地的250多家公司网络中发动LockerGoga和MegaCortex勒索软件攻击。 然而，在许多事件中，由于执法部门的早期警告，他们未能在受害者网络上部署勒索软件。 从2020年7月到2021年10月，季莫申丘克被指控担任Nefilim勒索软件行动的管理员，他为附属机构提供访问权限，包括共同被告阿尔捷姆·亚历山德罗维奇·斯特里扎克（Artem Aleksandrovych Stryzhak），后者于2025年4月从西班牙被引渡，以换取勒索赎金的20%。 2023年11月，网络安全公司Group-IB还将季莫申丘克与JSWORM、Karma、Nokoyawa和Nemty勒索软件团伙联系起来，自2019年4月以来，他帮助他们在多个俄语黑客论坛上招募附属机构。 “季莫申丘克是一名惯犯，他针对美国蓝筹公司、医疗机构和大型外国工业企业，并威胁说如果他们拒绝支付赎金，就将泄露他们的敏感数据。”美国检察官小约瑟夫·诺切拉（Joseph Nocella Jr.）说。 “在某些情况下，这些攻击导致业务运营完全中断，直到加密数据能够被恢复或恢复。”代理助理总检察长马修·R·加莱奥蒂（Matthew R. Galeotti）补充说。 2022年9月，作为针对这些网络犯罪团伙的全球努力的一部分，通过“不再勒索软件项目”（No More Ransomware Project）倡议发布了针对LockerGoga和MegaCortex勒索软件的免费解密器，以帮助受害者在不支付赎金的情况下恢复加密文件。 季莫申丘克面临两项计算机欺诈共谋罪名、三项破坏受保护计算机罪名，以及未经授权访问和威胁泄露机密信息的罪名。 美国国务院打击跨国组织犯罪（TOC）奖励计划还提供高达1100万美元的奖励，以获取任何可能导致季莫申丘克或其同伙被定位、逮捕或定罪的信息。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，美国财政部对与缅甸和柬埔寨网络诈骗团伙有关的多人和企业实施了制裁。 据美国财政部高级官员约翰·赫尔利（John Hurley）称，这些制裁针对的是缅甸、柬埔寨和中国籍人士，他们运营并支持导致美国人损失超过100亿美元的诈骗中心。 国务卿马可·鲁比奥（Marco Rubio）表示，美国官员制裁了9名与缅甸诈骗中心枢纽Shwe Kokko有关的个人和公司，以及4名个人和6个实体，因为他们参与了在柬埔寨运营强迫劳动营。 “这些制裁通过破坏犯罪网络进行大规模欺诈、强迫劳动、身体和性虐待以及盗窃美国人辛苦赚来的积蓄的能力，保护美国人免受网络诈骗的普遍威胁，”鲁比奥在一份声明中说。 在大多数情况下，诈骗者利用恋爱关系或友谊的潜力，说服不知情的美国人投资欺诈性企业或加密货币计划。当诈骗者告诉受害者他们必须投入更多资金才能拿回初始投资时，问题就更加严重了。 缅甸的情况 在缅甸，美国官员将制裁目标对准了与缅甸军队合作控制该国东南部克伦邦的克伦国民军（KNA）。 民兵组织的领导人现在从位于泰国边境的臭名昭著的Shwe Kokko镇的网络诈骗中心获利，自该国内战爆发以来，该镇已成为诈骗中心的枢纽。 克伦国民军的领导人通过将人员贩卖到该地区并向诈骗中心运营商出售公用事业来从网络诈骗中心获利。与东南亚许多诈骗团伙一样，数千人被虚假工作机会欺骗，被诱骗到诈骗中心，在那里他们被关押并被迫对美国、欧洲和中国的人进行诈骗。 周一，美国制裁了Saw Chit Thu、Tin Win、Saw Min Min Oo及其公司Chit Linn Myaing Company、Chit Linn Myaing Toyota Company、Chit Linn Myaing Mining & Industry Company、Shwe Myint Thaung Yinn Industry & Manufacturing Company。 财政部还制裁了She Zhijiang、Yatai International Holdings Group以及与他有关联的另一家空壳公司。 据TK称，She Zhijiang和Saw Chit Thu在Shwe Kokko创建了最大的诈骗团伙之一，并通过诈骗、赌博、卖淫等手段赚取了数百万美元。 Saw Chit Thu被认为是克伦国民军的领导人，并将诈骗中心的运营委托给他的副手Tin Win和Saw Min Min Oo——他们控制着容纳诈骗中心的房产，为那些协助非法资金流动的人提供安全，并亲自运营控制和支持克伦邦诈骗团伙的实体，据美国调查人员称。 由于Saw Chit Thu在克伦邦与泰国接壤的妙瓦底地区长期担任权力掮客，他已多次被美国、英国和欧盟制裁。财政部的外国资产控制办公室还在5月制裁了他的两个儿子Htoo Eh Moo和Saw Chit Chit。 Tin Win经营一家名为Shwe Myint Thaung Yinn Industry & Manufacturing Company的公司，为Shwe Kokko的诈骗团伙提供能源。泰国曾多次切断进入诈骗中心的电力，但这些努力未能阻止这些设施的运营。 柬埔寨的赌场诈骗团伙 周一的制裁还包括几家在柬埔寨运营诈骗中心的公司——其中许多作为中国犯罪团伙经营的赌场合法运营。这些赌场已成为从美国和中国国民那里窃取数十亿美元的加密货币诈骗的中心。 财政部制裁了Dong Lecheng、Xu Aimin、Chen Al Len、Su Liangsheng及其公司T C Capital、HH Bank、K B X Investment、K B Hotel、Heng He Bavet和M D S Heng He。 许多活动发生在柬埔寨南部的海滨城市西哈努克市。T C Capital是拥有西哈努克市多栋建筑的几家公司之一，包括Golden Sun Sky Casino and Hotel——这是一个人口贩卖受害者实施加密货币诈骗的中心。 赌场是网络诈骗的理想工具，因为它们允许领导者快速洗劫盗窃所得，并在隐蔽地点运营。 制裁目标是Chen Al Len——他在柬埔寨Bavet拥有Heng He赌场及其相关建筑群。该公司从西哈努克市的诈骗团伙中获取工人，并自行运营许多虚拟货币诈骗。 通过多家房地产公司和银行，Chen Al Len与苏良生等其他中国帮派头目以及Try Pheap有关联——他是柬埔寨少数几位与人口贩卖、非法伐木和腐败有长期历史的亿万富翁之一。 Pheap是柬埔寨长期领导人洪森及其儿子洪马奈的亲密顾问——后者目前担任该国总理。Pheap此前曾因多种人权侵犯行为被美国制裁。 2025年，美国多次制裁东南亚诈骗中心背后的官员和公司——针对几个帮助运营诈骗网站的平台。5月，美国官员制裁了Huione Group——这是一个被诈骗中心和其他网络犯罪分子用来洗钱的知名平台。 “东南亚的网络诈骗行业不仅威胁到美国人的福祉和经济安全，还使数千人受到现代奴隶制的束缚，”财政部的赫尔利周一说。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国顶级鸡蛋生产商Rose Acre Farms已被一个知名网络犯罪集团控制，攻击者声称他们已加密该公司的数据。过去针对主要农产品生产商的攻击导致产品短缺和价格上涨。 臭名昭著的勒索软件集团Lynx声称对此次攻击负责，并在其暗网博客上发布了该公司的相关信息。这个特定的地下网站专门用于展示Lynx的最新受害者。 Red Acre Farms 是美国一家大型鸡蛋生产商，在多个州设有工厂。该公司预计营收接近 7 亿美元，员工人数超过 2000 人。过去，该公司的鸡蛋在美国零售巨头沃尔玛 (Walmart) 销售，现在很可能在奥乐齐 (Aldi) 销售。 与此同时，攻击者声称Rose Acre Farms数据泄露事件发生在上周晚些时候，当时他们入侵了该公司的网络。与Lynx勒索软件的惯常做法一样，他们没有立即提供被盗数据样本，只是指出该公司的数据已被加密，并将稍后提供证据。 勒索软件可能会扰乱价格 Cybernews 研究团队指出，此类攻击对于缺乏可用备份的公司而言，可能造成毁灭性打击。在最坏的情况下，加密可能导致运营和生产中断。对于像 Rose Acre Farms 这样的食品生产商而言，风险尤其高，因为未送达的食品可能会迅速变质，造成严重的经济损失。 我们的研究人员解释说：“此类攻击可能会给受害者造成经济损失，在这种情况下，还可能因供应减少而导致市场波动。进而影响最终用户的产品供应和定价。” “此类攻击可能会给受害者造成经济损失，在这种情况下，还可能因供应减少而引发市场波动。进而可能影响最终用户的产品供应和定价。”研究人员解释道。 例如，2021年，全球最大的肉类加工公司JBS遭受勒索软件攻击，导致价格上涨，并威胁到美国整个肉类供应链。2021年，美国最大的燃油管道——殖民输油管道也遭遇攻击，导致其停产近一周，进而引发价格上涨。 与此同时，上周对豪华汽车制造商捷豹路虎的攻击迫使这家英国汽车制造商关闭其系统，导致“其零售和生产活动严重中断”。 玫瑰农场 (Rose Acre Farms) 数据泄露事件的幕后黑手是谁？ Lynx 勒索软件团伙于 2024 年年中首次被发现，是典型的勒索软件即服务 (RaaS) 操作。RaaS 团伙通过出售所谓的关联公司部署的加密恶意软件的访问权限来运营。攻击成功后，关联公司会与恶意软件开发者瓜分赎金。 攻击者通过入侵公司系统窃取并加密数据。如果受害者不满足赎金要求，恶意攻击者就会威胁交出被盗数据并保持系统加密——这对于依赖按时交付产品的企业来说，是一项代价高昂的举措。 一些研究人员认为，Lynx 勒索软件集团是臭名昭著的 INC Ransom 集团相关人员的一个分支或品牌重塑尝试。 据 Cybernews 的暗网监控工具 Ransomlooker 称，Lynx 在过去 12 个月内已经攻击了超过 200 个组织。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大在线投资公司 Wealthsimple 周五披露了一起数据泄露事件，影响了部分客户的个人信息。 Wealthsimple 表示，该事件于 8 月 30 日发现，是由供应链攻击引起的，攻击涉及一个由未透露姓名的可信第三方开发的软件包。  该公司表示该软件包已被泄露，但没有透露任何其他技术细节。 Wealthsimple 表示，此次事件导致不到 1% 的客户的个人信息遭到泄露。  泄露的信息包括联系方式、注册时提供的政府身份证号、IP 地址、社会保险号、出生日期以及账号等财务数据。 Wealthsimple 强调，此次入侵在数小时内就得到了控制，没有资金被盗或被盗。该公司表示，密码没有被泄露，账户“仍然非常安全”。 受影响的个人将收到通知并提供免费信用监控和身份盗窃保护服务。  Wealthsimple 提供在线资金管理和投资解决方案，包括托管式自动化投资工具、股票和 ETF 买卖平台以及其他各种服务。Wealthsimple 的资产管理规模超过 840 亿加元（6000 万美元）。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 哈萨克斯坦国家石油公司否认了印度网络安全公司 Seqrite 的说法，称该公司是与俄罗斯有关联的新黑客组织的目标，并称该事件实际上是一次内部网络钓鱼演习。 Seqrite Labs 上周发布了一项针对其所称的新发现组织 NoisyBear 的研究报告。该公司称，该组织自 4 月以来一直活跃，主要针对中亚能源行业。该公司表示，NoisyBear 在 5 月份入侵了哈萨克斯坦国家石油公司 (KazMunayGas) 一名财务员工的邮箱，并利用该邮箱发送伪装成公司政策更新、薪资调整和 IT 部门通知的网络钓鱼邮件。这些邮件携带恶意存档文件，旨在安装更多有效载荷。 Seqrite 将此次攻击活动归咎于俄罗斯，理由是攻击者使用俄语，且基础设施由受制裁的服务提供商 Aeza Group 托管，且与此前与莫斯科攻击者相关的攻击活动存在相似之处。Aeza于今年 7 月因涉嫌支持勒索软件运营商和在线毒品市场而受到美国财政部的制裁。 但哈萨克斯坦国家石油公司（KazMunayGas）否认了Seqrite的结论。该公司在接受哈萨克斯坦媒体Orda采访时表示，此次事件是一次预定的模拟演习。 该公司表示：“2025年5月，KMG组织并开展了一次有计划的内部演习，旨在测试、评估并提高员工的信息安全意识。” 该公司还补充说，部分员工已提前收到通知，并利用此次活动向员工提供建议。 Seqrite 自身报告中的证据似乎也支持这一说法：俄罗斯网络安全专家 Oleg Shakirov指出，此次网络钓鱼活动的一张截图显示，收件人中存在测试账户，例如格式为“test@kmg[.]kz.”的地址。Seqrite 尚未回应 Recorded Future News 的置评请求。 外部安全报告与公司自身账户发生冲突的情况并非首例。今年5月，美国云存储公司Snowflake反驳了网络安全公司Hudson Rock的指控，该公司称攻击者在与Ticketmaster和桑坦德银行相关的一起备受瞩目的事件中入侵了其系统。Snowflake表示，没有客户数据泄露，Hudson Rock引用的账户属于一名前员工的演示环境。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 媒体流平台Plex警告客户在遭受数据泄露事件后重置密码，该事件中一名黑客能够从其一个数据库中窃取客户身份验证数据。 在BleepingComputer看到的一份数据泄露通知中，Plex表示被盗数据包括电子邮件地址、用户名、安全哈希的密码和身份验证数据。 “未经授权的第三方访问了我们一个数据库中有限的客户数据子集，”Plex的数据泄露通知中写道。 “尽管我们迅速控制了这一事件，但被访问的信息包括电子邮件、用户名和安全哈希的密码。” “任何可能被访问的账户密码都已按照最佳实践进行了安全哈希处理，这意味着第三方无法读取它们。” Plex没有透露使用了哪种哈希算法，这引发了攻击者可能会尝试破解密码的可能性。 因此，出于“谨慎起见”，Plex建议用户在https://plex.tv/reset重置密码，并在操作时启用“密码更改后注销连接设备”选项。 这将重置您的密码并注销任何使用您自己凭据的现有连接。然而，这也需要您在任何使用这些凭据的设备上重新登录。 对于使用SSO登录Plex的用户，该公司建议您通过访问https://plex.tv/security并点击“注销所有设备”按钮来注销所有活跃会话。同样，您需要使用您的凭据重新登录设备。 该公司还提醒用户启用双因素身份验证以增加保护，并强调它永远不会通过电子邮件索要密码或信用卡信息。 Plex表示，此次泄露不包括任何支付卡信息，因为这些信息并未存储在其服务器上。 该公司表示，它已经解决了用于入侵其服务器的方法，但没有分享关于此次攻击的进一步技术细节。 BleepingComputer已就此次泄露事件向Plex提出问题，并将在收到回复后更新文章。 这并非Plex用户首次因数据泄露而被迫重置密码。 2022年8月，Plex曾遭受过一次几乎相同的数据泄露事件，当时身份验证数据和哈希密码在攻击中被暴露。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国家具品牌Lovesac警告称，该公司遭受了一起数据泄露事件，影响了数量不详的个人，其个人数据在一次网络安全事件中被泄露。 Lovesac是一家家具设计、制造和零售商，在美国运营着267家展厅，年净销售额为7.5亿美元。 该公司以其模块化沙发系统“sactionals”和被称为“sacs”的豆袋而闻名。 根据发送给受影响个人的通知，2025年2月12日至3月3日期间，黑客未经授权访问了该公司的内部系统，并窃取了存储在这些系统上的数据。 Lovesac在2025年2月28日发现了这一漏洞，这意味着他们花了三天时间才完全修复了这一问题，并阻止了威胁行为者对其网络的访问。 被盗数据包括全名和其他在通知样本中未披露的个人信息。该公司尚未澄清此次事件是否影响了客户、员工或承包商，也未披露受影响个人的确切数量。 在通知信中，收件人将找到有关如何通过Experian注册24个月信用监控服务的说明，该服务可兑换至2025年11月28日。 该公司指出，目前没有迹象表明被盗信息已被滥用，但敦促受影响的个人保持警惕，提防网络钓鱼企图。 勒索软件团伙声称对Lovesac发起攻击 尽管Lovesac没有指明攻击者，并且在信中没有提到数据加密，但RansomHub勒索软件团伙在2025年3月3日声称对Lovesac发起了攻击。 威胁行为者将Lovesac添加到他们的勒索门户上，宣布了这一漏洞，并表示如果不在支付赎金的情况下，他们计划泄露被盗数据。我们无法确定他们是否继续执行了这一威胁。 RansomHub勒索软件即服务（RaaS）行动于2024年2月出现，并自此积累了包括人力资源公司Manpower、油田服务巨头Halliburton、Rite Aid药房连锁店、川崎欧洲分公司、佳士得拍卖行、美国电信提供商Frontier Communications、Planned Parenthood医疗保健非营利组织以及意大利博洛尼亚足球俱乐部在内的一系列高调受害者。 该勒索软件行动在2025年4月悄然关闭，其许多附属机构转向了DragonForce。 BleepingComputer已联系Lovesac，以了解有关此次事件及其影响的更多信息，以及有多少客户受到影响，并将在收到回复后更新此报道。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Salesloft披露，与其Drift应用相关的数据泄露事件始于其GitHub账户被入侵。 谷歌旗下的Mandiant开始对这一事件进行调查，并表示被追踪为UNC6395的威胁行为者在2025年3月至6月期间访问了Salesloft的GitHub账户。迄今为止，已有22家公司确认受到了供应链攻击的影响。 “凭借这种访问权限，威胁行为者能够从多个存储库下载内容，添加访客用户，并建立工作流程，”Salesloft在更新的安全公告中表示。 调查还发现，在2025年3月至6月期间，Salesloft和Drift应用环境中发生了侦察活动。然而，调查强调没有证据表明存在超出有限侦察范围的活动。 在下一阶段，攻击者访问了Drift的亚马逊网络服务（AWS）环境，并获取了Drift客户技术集成的OAuth令牌，被盗的OAuth令牌被用于通过Drift集成访问数据。 Salesloft表示，它已经隔离了Drift的基础设施、应用和代码，并于2025年9月5日上午6点（东部时间）将应用下线。它还轮换了Salesloft环境中的凭据，并通过在Salesloft和Drift应用之间实施改进的分段控制来加强环境。 “我们建议所有通过API密钥与Drift集成的第三方应用，主动撤销这些应用的现有密钥，”Salesloft补充道。 截至2025年9月7日17:51（协调世界时），Salesforce在Salesloft于8月28日暂时暂停后，已恢复与Salesloft平台的集成。这是对Salesloft实施的安全措施和补救步骤的响应。 “Salesforce已重新启用与Salesloft技术的集成，但不包括任何Drift应用，”Salesforce表示。“作为我们对安全事件持续响应的一部分，Drift将保持禁用状态，直至另行通知。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 对Nx “s1ngularity” NPM供应链攻击的调查揭示了一场大规模的灾难，数千个账户令牌和存储库机密被泄露。 根据Wiz研究人员的事后评估，Nx的泄露导致2180个账户和7200个存储库在三个不同的阶段被暴露。 Wiz还强调，该事件的影响范围仍然很大，因为许多泄露的机密仍然有效，所以影响仍在持续。 Nx “s1ngularity” 供应链攻击 Nx是一个流行的开源构建系统和单体仓库管理工具，广泛用于企业级JavaScript/TypeScript生态系统，在NPM包索引上有超过550万次的每周下载量。 2025年8月26日，攻击者利用Nx存储库中一个有缺陷的GitHub Actions工作流程，在NPM上发布了一个包含恶意软件脚本（“telemetry.js”）的恶意版本。 “telemetry.js”恶意软件是一个针对Linux和macOS系统的凭证窃取器，试图窃取GitHub令牌、npm令牌、SSH密钥、.env文件、加密钱包，并将这些机密上传到名为“s1ngularity-repository”的公共GitHub存储库。 此次攻击的突出之处在于，该凭证窃取器使用了安装在人工智能平台上的命令行工具，如Claude、Q和Gemini，利用LLM提示搜索并收集敏感的凭证和机密。 Wiz报告称，随着攻击的每次迭代，提示语都在发生变化，这表明攻击者正在调整提示语以获得更好的成功率。 Wiz解释说：“提示语的演变表明攻击者在整个攻击过程中迅速探索提示语调整。我们可以看到引入了角色提示，以及在技术上不同程度的具体性。” “这些变化对恶意软件的成功产生了实际影响。例如，‘渗透测试’一词的引入，实际上反映在LLM拒绝参与此类活动上。” 大规模影响范围 在8月26日至27日的第一阶段攻击中，被篡改的Nx包直接影响了1700名用户，泄露了超过2000个独特的机密。该攻击还暴露了受感染系统中的20000个文件。 GitHub在八小时后删除了攻击者创建的存储库，但数据已经被复制。 在8月28日至29日的第二阶段攻击中，攻击者利用泄露的GitHub令牌将私人存储库变为公开，并将它们重命名为包含“s1ngularity”字符串。 这导致了另外480个账户被进一步入侵，其中大多数是组织，以及6700个私人存储库被公开暴露。 在8月31日开始的第三阶段攻击中，攻击者针对一个单一的受害者组织，利用两个被入侵的账户发布了另外500个私人存储库。 Nx的回应 Nx团队在GitHub上发布了一份详细的根源分析报告，解释说此次入侵来自一个拉取请求标题注入，加上对pull_request_target的不安全使用。 这使得攻击者能够以提升的权限运行任意代码，进而触发Nx的发布流程并泄露npm发布令牌。 恶意包已被移除，被入侵的令牌已被撤销并轮换，所有发布者账户都已采用双因素认证。 为了防止此类入侵再次发生，Nx项目现在采用了NPM的可信发布者模型，该模型消除了基于令牌的发布，并增加了对PR触发工作流程的手动审批。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 当奥列克桑德尔·波季伊（Oleksandr Potii）去年11月接管乌克兰网络安全机构时，他的任务清单急剧增加。曾经只负责少数政策领域的这位准将，其职责范围扩大到十几个领域——从保护关键基础设施到在全面战争中协调网络防御。 波季伊被任命为国家特殊通信和信息保护局（SSSCIP）的负责人，正值乌克兰在战场和网络空间都遭受俄罗斯无情攻击之际。他是自2022年克里姆林宫入侵以来该机构的第三任负责人。 作为一名拥有超过25年乌克兰武装部队经历的前信息安全教授，波季伊对莫斯科的能力直言不讳：“我们看到俄罗斯的技术水平很高，其潜力很强。我们不能低估他们，”他在一次采访中表示。 “俄罗斯不仅有能力，而且还有动机和政治意愿去使用这些能力。他们的智力资源不是用于建设自己的国家，而是用于破坏。” 在基辅的SSSCIP办公室接受 Recorded Future News 采访时，波季伊谈到了乌克兰不断发展的网络能力以及与西方盟友的合作——同时警告说，即使在战争的第三年，莫斯科的黑客仍然资源充足、动机明确且受政治驱动。 俄罗斯网络战略的转变 据波季伊称，与战争初期相比，“关键”网络攻击的数量有所减少，这些大规模行动旨在使关键基础设施瘫痪，他认为这一变化归因于乌克兰的防御能力增强以及发动此类行动的成本增加。 “每一次大规模关键攻击都需要精心准备、资源、工具、计划，并与其他行动进行协调，”他解释道。“也许俄罗斯不再有足够的资源发动这样的攻击，因为乌克兰继续加强其防御，降低了网络攻击成功的几率，同时增加了发动攻击所需的时间和精力。” 根据SSSCIP的一份报告，乌克兰计算机应急响应小组（CERT-UA）在2024年检测到59起关键和高级别的网络事件，而2023年为367起，2022年为1048起。 与此同时，非关键网络行动——从间谍活动到分布式拒绝服务攻击——有所增加。“也许俄罗斯正在节省资源。也许它仍有潜力但正在等待。或者也许乌克兰有效地阻止了这些攻击，”波季伊说。 波季伊表示：“我们看到网络活动直接取决于俄罗斯的政治目标和战略。”俄罗斯的网络活动反映了其政治战略的转变。最初，莫斯科试图破坏乌克兰社会的稳定并诋毁其机构。当这一企图失败后，它转向了间谍活动、数据盗窃和大规模破坏。 “我们看到网络活动直接取决于俄罗斯的政治目标和战略。攻击的重点和方向相应地发生变化，”他说。“通过预测俄罗斯政治优先事项的变化，我们也可以预测近期可能出现的攻击类型。” 随着冬季的临近，他预计克里姆林宫将重新瞄准乌克兰的能源网络和其他关键服务。“我们预计他们会发动传统打击，同时试图破坏维持关键基础设施运行的系统，”他说。 乌克兰的防御和伙伴关系 为了应对这一威胁，乌克兰依靠其网络防御力量之间的紧密合作以及国际伙伴的支持。CERT-UA目前正在追踪大约80个针对乌克兰的黑客组织——每个组织都有一个代号和独特的战术。 “由于我们维护着他们的战术数据库，我们可以预测下一步行动，通知伙伴并制定对策，”波季伊说。“对这些组织进行持续的技术研究使我们能够及时发现攻击并及时做出回应。” 据波季伊称，与欧洲和美国的信息共享仍然是乌克兰网络防御的核心。因此，基辅在最近美国领导层变动期间担心美国的支持是否会受到影响。 波季伊表示，尽管华盛顿发生了政治变化，但乌克兰与美国的技术联系仍然稳定。“我们与美国的合作几乎保持在同一水平，”他说。“在技术层面，没有任何变化：我们共享信息，他们帮助我们，我们也帮助他们。” 乌克兰正试图向伙伴，包括美国，保证他们的援助有利于他们自身的安全。“这不仅仅是援助——这是对我们共同安全的投资，”波季伊说。“我们让伙伴访问我们的平台，他们也让我们访问他们的平台。” 例如，乌克兰专家在美国接受了最新的网络安全和基础设施安全局（CISA）工具的培训，这些工具现在正在乌克兰积极部署。来自乌克兰数字战场的数据也帮助盟友更好地了解俄罗斯的黑客技术，这些技术可能会被用于攻击西方网络。 这种合作不仅限于美国，乌克兰还通过双边安全协议和备忘录与欧洲伙伴合作。“这些备忘录不仅仅是纸上的东西——它们是具体的计划，”波季伊说。 展望未来 波季伊于2020年加入SSSCIP，并在一系列领导层变动后于去年被任命为该机构负责人。前负责人尤里·米罗年科（Yury Myronenko）在任职仅一年后辞职，成为国防部副部长。 米罗年科的前任尤里·什丘格尔（Yurii Shchyhol）及其副手维克托·若拉（Viktor Zhora）于2023年被解职，当时正在调查涉嫌挪用国家资金的案件。他们被指控参与了一项软件采购计划，据称他们在2020年至2022年间窃取了170万美元。 波季伊表示，领导层的变动并没有影响该机构的效率，因为它有“制度记忆”——制度中嵌入的程序、文化和专业知识，而不仅仅是个人。 “新负责人可能会在一定程度上调整优先事项，但多年来SSSCIP一直在扩大其能力，”他说。“领导层的变动不是一场革命，而是为了与总统和总理设定的职能相一致而进行的调整。” 据波季伊称，乌克兰在网络空间的成功依赖于三个支柱——人员、技术和流程——这些必须随着战争的拖延而不断适应。他还补充说，建立伙伴之间的信任同样重要。“我们有我们信任的伙伴，也有我们不信任的伙伴。我们需要扩大值得信任的伙伴圈子——并确保他们也信任我们。” 随着俄罗斯继续试验新的工具和战术，这种信任将受到考验。波季伊以对乌克兰国家铁路公司（Ukrzaliznytsia）的攻击为例，提醒人们所面临的风险。“像对乌克兰国家铁路公司的严重攻击表明，俄罗斯进行了彻底的准备，并开发了全新的工具。这就是为什么这次攻击造成了重大干扰。” 尽管关键事件的数量有所下降，波季伊指出威胁依然存在。“俄罗斯的动机不会消失，”他说。“我们能做的是在技术上阻碍他们，使他们的行动复杂化。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。 谷歌本周发布了2025年9月的安卓补丁集，共修复了111个独特的CVE漏洞，其中包括被利用的零日漏洞。 这两个被利用的漏洞都是提权问题，分别影响安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）。 “有迹象表明以下漏洞可能正在受到有限的针对性利用：CVE-2025-38352、CVE-2025-48543，”谷歌的公告中写道。 Linux内核漏洞的修复已于7月宣布，该漏洞与POSIX CPU计时器的处理有关，存在竞争条件。所有主要发行版似乎都已修复了该漏洞。 尽管在谷歌发出最新警告之前没有关于该漏洞被利用的报告，但该漏洞是由谷歌威胁分析小组（TAG）的Benoît Sevens报告的，这表明它可能在间谍软件攻击中被利用。 谷歌的公告没有提供关于安卓运行时安全缺陷的详细信息，除了它影响安卓开源项目（AOSP）13、14、15和16版本。 安卓Runtime零日漏洞已在2025-09-01安全补丁级别中得到解决，该补丁级别还解决了框架、系统和Widevine DRM中的其他58个漏洞。 谷歌警告说，其中最严重的是系统组件中的一个高危远程代码执行缺陷（CVE-2025-48539），该缺陷可以在不需要额外权限的情况下被利用。 更新到2025-09-05安全补丁级别的设备还将获得Linux内核漏洞的修复，以及影响Linux内核和Arm、Imagination Technologies、联发科、高通组件的其他51个问题的修复。 本月，谷歌为Pixel设备发布了一轮新的安全更新，解决了这些设备特有的23个漏洞，以及安卓2025年9月安全公告中识别的所有漏洞。 安卓公告中描述的所有漏洞也已通过Wear OS、Pixel Watch和汽车操作系统更新得到解决。Wear OS和Pixel Watch更新分别包含针对另外两个和一个安全缺陷的修复。 建议用户在其设备可用2025-09-05安全补丁级别时尽快进行更新。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Proofpoint、SpyCloud、Tanium和Tenable已确认其Salesforce实例中的信息在最近的Salesforce–Salesloft Drift攻击中遭到泄露。 此次攻击活动于8月26日公开披露，当时谷歌威胁情报团队报告称，被追踪为UNC6395的威胁行为者利用被泄露的OAuth令牌，从第三方人工智能聊天机器人Salesloft Drift中导出了大量数据。 谷歌表示，攻击者利用Salesforce-Salesloft Drift集成来窃取数百个组织的相关数据，目标是敏感信息，如AWS访问密钥、密码和与Snowflake相关的访问令牌。 最初认为只会影响使用Drift集成的组织，但后来发现其他Salesforce客户也受到了影响。 8月28日，谷歌透露Workspace客户受到影响，网络安全公司Cloudflare、Palo Alto Networks和Zscaler也很快披露了受影响情况。 总体而言，此次攻击估计影响了超过700个组织，Proofpoint、SpyCloud、Tanium和Tenable已确认受到影响。 Proofpoint透露，攻击者通过被泄露的Drift集成访问了其Salesforce租户，并查看了其中存储的某些信息。 “目前没有证据表明此次供应链事件影响了Proofpoint的软件、服务、安全产品、客户受保护的数据或内部企业网络，”该公司表示。 SpyCloud此前是Salesloft Drift的客户，该公司宣布在此次攻击中标准客户关系管理字段遭到泄露。 “据信消费者数据未被访问。我们上周通知了客户，与他们与SpyCloud的关系相关的数据通过此次Salesloft Drift事件被泄露，”SpyCloud表示。 Tanium确认攻击者利用Salesloft Drift集成访问了其Salesforce实例中的数据，姓名、电子邮件地址、电话号码以及地区/位置引用等信息遭到泄露。 “我们可以明确确认未经授权的访问仅限于我们的Salesforce数据，没有对Tanium平台或任何其他内部系统或资源进行访问，”Tanium指出。 Tenable透露，在此次攻击中，支持案例信息遭到泄露，包括主题行、初始描述以及业务联系人详细信息，如姓名、电话号码、业务电子邮件地址以及地区/位置引用。 该公司还指出，没有证据表明被盗信息被滥用，并补充说，它采取了所有必要的措施来解决这一问题，包括轮换凭据、移除应用程序、保护其系统以及监控Salesforce实例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在npm包注册表中发现了四个新的恶意包，这些包能够从以太坊开发者那里窃取加密货币钱包的凭证。 “这些包伪装成合法的加密工具和Flashbots MEV基础设施，同时秘密地将私钥和助记词种子发送到威胁行为者控制的Telegram机器人，”Socket研究员Kush Pandya在分析中表示。 这些包是由一个名为“flashbotts”的用户上传到npm的，最早的库可以追溯到2023年9月。最近一次上传发生在2025年8月19日。截至本文撰写时，所有这些包仍然可以下载，它们的列表如下： – @flashbotts/ethers-provider-bundle（52次下载） – flashbot-sdk-eth（467次下载） – sdk-ethers（90次下载） – gram-utilz（83次下载） 鉴于Flashbots在对抗以太坊网络上最大可提取价值（MEV）的不利影响（如夹击攻击、清算、后跑、前跑和时间窃贼攻击）中的作用，对Flashbots的伪装并非巧合。 在被识别的库中，最危险的是“@flashbotts/ethers-provider-bundle”，它利用其功能性的伪装来隐藏恶意操作。在声称提供完整的Flashbots API兼容性的幌子下，该包包含了通过Mailtrap使用SMTP发送环境变量的隐蔽功能。 此外，npm包实现了一个交易操纵函数，将所有未签名的交易重定向到攻击者控制的钱包地址，并记录预签名交易的元数据。 根据Socket的说法，sdk-ethers大多是无害的，但它包含了两个函数，这些函数只有在不知情的开发者在自己的项目中调用它们时，才会将助记词短语发送到Telegram机器人。 第二个伪装成Flashbots的包flashbot-sdk-eth，也被设计成触发私钥的窃取，而gram-utilz为将任意数据泄露给威胁行为者的Telegram聊天提供了模块化机制。 由于助记词短语是恢复加密货币钱包访问权限的“主钥匙”，这些单词序列的被盗可能会让威胁行为者进入受害者的钱包并完全控制他们的钱包。 源代码中存在越南语注释，这表明出于经济动机的威胁行为者可能是讲越南语的。 这些发现表明，攻击者有意识地利用与该平台相关的信任来实施软件供应链攻击，更不用说在大多是无害的代码中隐藏恶意功能以避开审查了。 “由于Flashbots被验证者、搜索者和DeFi开发者广泛信任，任何看似官方SDK的包都有很高的机会被运行交易机器人或管理热钱包的运营商采用，”Pandya指出。“在这种环境下，被入侵的私钥可能导致资金的即时、不可逆的被盗。” “通过利用开发者对熟悉包名的信任，并在合法工具中填充恶意代码，这些包将常规的Web3开发变成了通往威胁行为者控制的Telegram机器人的直接管道。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文