HackerNews

HackerNews 编译，转载请注明出处： 南非国有航空公司南非航空(SAA)于周二发布声明称，其于上周六遭遇网络攻击，导致官方网站和多个内部运营系统暂时中断。 此次攻击还影响了移动应用程序，但该公司表示IT团队已控制事态，并“将核心航班运营的干扰降至最低”。 在周二发布的声明中，南非航空强调：“我们确保了客户服务中心、销售办公室等关键客服渠道的持续运行，所有受影响平台已于当天恢复正常功能”。 该公司未回应此次事件是否涉及勒索软件的质询。 首席执行官约翰·拉莫拉表示，公司正在调查事件根本原因，并核查敏感信息是否外泄。作为预防措施，该事件已向国家安全局、南非警察局及信息监管机构报告。 南非航空承诺，若确认存在信息被盗将通知受影响人员。南非航空公司去年营收超3亿美元、运营16条航线。截至周三下午尚无黑客组织宣称负责。 此次攻击是南非关键机构持续遭受网络犯罪冲击的最新案例。2023年，勒索团伙曾泄露总统个人联系方式，并窃取国防部1.6TB数据。 此后，国有银行、能源巨头、政府雇员养老基金及国家实验室接连遇袭。仅2025年前四个月，政府气象服务部门、最大鸡肉生产商和主要电信公司已相继沦陷。 上周，非洲最大电信运营商MTN集团也确认遭遇数据泄露。 面对愈演愈烈的网络威胁，南非政府于今年4月出台新规，强制要求所有机构向信息监管机构报告网络攻击，以加强个人信息安全事件的监控。 这项立法恰逢南非航空等国有企业正从长期财务危机中复苏的关键时期——该航司2024年才实现13年来首次盈利，此前累计接受政府注资约137亿元人民币。        消息来源： therecord；本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 教育出版巨头培生集团（Pearson）向BleepingComputer证实遭遇网络攻击，威胁分子窃取了企业数据和客户信息。 这家总部位于英国的公司是全球最大的学术出版、数字学习工具和标准化考试服务商之一，通过印刷与在线服务为70多个国家的学校、大学及个人提供服务。 培生发言人表示：“我们近期发现未经授权的攻击者入侵了部分系统。发现异常活动后，我们立即采取措施阻止并聘请取证专家调查事件影响范围，同时配合执法机构调查。已部署额外防护措施，包括增强安全监控和身份验证。当前认为攻击者主要窃取历史遗留数据，将通过适当渠道向客户及合作伙伴通报详细信息。”培生强调失窃数据未包含员工信息。 知情人士透露，攻击者于2025年1月通过公开的.git/config文件中暴露的GitLab个人访问令牌(PAT)入侵培生开发环境。此类本地配置文件通常存储Git项目名称、邮箱等设置，若远程URL中嵌入访问令牌被意外公开，可导致攻击者访问内部代码库。在此次攻击中，暴露的令牌使威胁分子获取公司源代码，其中包含硬编码的云平台凭证与认证令牌。 据称攻击者随后利用这些凭证从培生内部网络及AWS、Google Cloud、Snowflake、Salesforce CRM等云基础设施窃取数TB数据，涉及客户信息、财务记录、支持工单和源代码，数百万用户受影响。当BleepingComputer询问培生是否支付赎金、“遗留数据”具体定义、受影响客户数量及通知计划时，该公司拒绝置评。此前培生在1月披露其子公司PDRI遭入侵，据信与本次攻击相关。 网络安全专家指出，扫描Git配置文件和暴露凭证已成为攻击者入侵云服务的常用手段。去年互联网档案馆（Internet Archive）就因Git配置文件暴露导致GitLab仓库令牌泄露而遭入侵。安全建议包括限制.git/config文件公开访问、避免在远程URL嵌入凭证。培生事件再次印证代码仓库安全管理的重要性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit勒索软件组织遭黑客入侵，其暗网后台基础设施数据被窃取并泄露。攻击者攻陷了该团伙的暗网泄密网站并篡改页面，发布警示信息及后台联盟面板MySQL数据库转储链接。 篡改后的页面显示“别犯罪，犯罪是坏事 xoxo来自布拉格”，并附有可下载“paneldb_dump.zip”的链接。该数据库包含20个核心表，涉及以下关键信息： 59,975个比特币地址：用于收取赎金的钱包清单 4,442条谈判记录：2024年12月19日至2025年4月29日期间，LockBit运营者与受害者之间的勒索对话 构建配置数据：包含目标公司名称、应规避加密的文件类型等攻击参数 75名成员信息：管理员及分支机构账户的明文密码（例如“Weekendlover69”等） LockBit头目“LockBitSupp”通过私聊承认入侵属实，但声称私钥和核心数据未泄露。安全研究人员发现，数据库中的构建配置表关联了特定受害者的公钥与私钥对，这为开发通用解密工具提供了可能。意大利网络安全专家Emanuele De Lucia分析指出，勒索金额根据目标估值动态调整，初始索要金额跨度从5万至150万美元不等，受害者顶级域名涉及埃塞俄比亚(.et)、日本(.jp)、巴西(.br)等国家地区。 此次攻击暴露了LockBit运营体系的脆弱性： 分支机构活跃度低下：44个生成加密器的账户中仅30个处于活跃状态，反映该组织实际攻击能力缩水 基础设施漏洞：与近期Everest勒索软件组织遭入侵事件类似，攻击者可能利用PHP 8.1.2的远程代码执行漏洞(CVE-2024-4577)实施入侵 内部安防缺失：明文存储密码、未隔离核心数据库等低级错误，凸显犯罪组织的运维缺陷 安全界认为这是继2024年2月国际执法机构“Cronos行动”后，对LockBit的又一次重创。泄露数据为追踪资金流向、归因攻击事件提供了关键线索，或将加速该犯罪集团的瓦解。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 5月7日（周三）起，美国正式实施“真实身份证”（REAL ID）新规，这项联邦标准化身份认证系统将生物识别数据与机场面部识别技术深度绑定。尽管官方宣称此举能提升安全等级，但网络安全专家警告其可能成为全球黑客的“巨型靶心”和“监控超级武器”。 Polyguard网络安全公司联合创始人兼CEO约书亚·麦肯蒂（Joshua McKenty）指出，REAL ID通过整合全美50个州机动车管理局数据库，建立了“国家超级数据库”，将持卡人的“生物特征信息与面部数据关联”。这位前NASA首席云架构师强调，即使旅客在机场安检时选择退出面部识别，其生物信息早在申请证件时已被采集，且数据删除政策存在模糊性。随着深度伪造技术泛滥，这类集中化存储的生物特征数据库可能被用于身份欺诈和仿冒攻击。 iProov生物识别安全公司创始人安德鲁·巴德（Andrew Bud）则认为，REAL ID为构建“信任经济”奠定基础，有利于提升政府、金融和医疗机构的身份核验效率，并为移动数字驾照等未来技术铺路。但麦肯蒂揭示出三重悖论：系统在提供便利的同时，也加剧了“监控与隐私”、“集中控制与个人数据主权”之间的矛盾。他呼吁建立“可撤回授权、透明化操作、真正可移植”的验证体系，使个人能自主管理生物数据。 尽管国土安全部长克里斯蒂·诺姆（Kristi Noem）表示未持REAL ID者仍可用护照登机，但需接受额外安检。关键注意事项包括： 国际航班仍需护照，REAL ID仅限美国境内使用 18岁以下未成年人免持REAL ID 各州车管局发放的临时纸质凭证无效，必须使用实体证件 姓名变更者需携带法院文件或结婚证等补充材料 目前全美81%居民已完成证件升级，但仍有数百万人在各地车管局排长队办理。网络安全公司Guardio监测发现，诈骗分子正通过伪造车管局网站、钓鱼邮件等手段窃取申请者个人信息，提醒公众务必通过官方渠道办理。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现iOS游戏《Cats Tower: The Cat Game!》存在数据泄露，该应用使近45万用户面临被黑客追踪、劫持Facebook账户甚至武器化其后端系统的风险。Cybernews团队确认，这款由App Store显示开发商为Rhino Games（隐私政策链接指向亚美尼亚移动游戏公司Next Epic LLC）的游戏，因Firebase配置错误导致以下信息暴露：用户名称、IP地址、Facebook用户ID及访问令牌以及硬编码密钥。 泄露的IP地址虽非精确GPS坐标，但结合其他公开或泄露数据仍可定位用户居住地。尤其危险的是229组Facebook访问令牌，攻击者可借此侵入账户发布加密货币诈骗或向好友发送钓鱼链接。研究人员多次联系相关公司均未获回应。 调查期间，暴露的Firebase实例持续泄露超45万用户的IP与用户名，由于Firebase作为临时数据库会定期与永久后端同步，当前可见数据可能只是冰山一角。技术娴熟的黑客可部署实时爬虫监控数据库，将单次泄露转为持续性监控行动。 更严重的是，该应用代码库中散布着本应对开发团队保密的敏感密钥，包括：客户端ID、反向客户端ID、安卓客户端ID、API密钥、项目ID、存储桶、谷歌应用ID、数据库URL、GAD应用标识符。 这些密钥属于iOS应用中最常泄露的前十类敏感信息。网络安全专家警告，将API密钥等凭证硬编码至发布版应用的行为存在极大风险，攻击者可借此逆向工程整个后端系统，滥用服务收集更多用户数据、伪造请求甚至通过应用基础设施直接发送垃圾信息。 此次泄露事件是Cybernews对App Store中15.6万款iOS应用（约占总量8%）调查的典型案例。研究发现71%的受检应用至少泄露一项密钥，平均每款应用暴露5.2项敏感信息。例如多款热门约会应用泄露的硬编码凭证可访问存有近150万用户照片的云存储桶（含已删除图片、违规内容及私密消息图片）；某家庭位置追踪应用实时泄露GPS坐标；某防骚扰应用泄露拦截号码、关键词及含真实姓名/邮件的客服工单。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 端点检测与响应（EDR）解决方案已成为多数组织的标准网络安全产品，但它们并非无懈可击。5月5日，怡安集团旗下Stroz Friedberg事件响应服务研究人员发布报告，披露攻击者利用一种新型技术成功绕过头部EDR产品SentinelOne的防护。该技术名为“自带安装程序”（Bring Your Own Installer），通过利用SentinelOne代理程序升级/降级流程中的漏洞，绕过防篡改功能，导致终端失去保护。 Stroz Friedberg研究人员观察到攻击者使用该技术获取本地管理员权限，绕过EDR防护并执行Babuk勒索软件变种。SentinelOne已针对该报告向客户提供缓解措施。“截至报告发布时，怡安集团Stroz Friedberg尚未发现任何EDR厂商（包括SentinelOne）在正确配置产品的情况下受到此攻击影响。”研究人员在报告中指出。 与其他EDR产品类似，SentinelOne的EDR具备防篡改功能，旨在阻止未授权用户禁用防护措施及恶意软件终止EDR进程。该功能需要管理员在管理控制台执行操作或使用唯一代码才能解除防护。然而，Stroz Friedberg研究人员发现攻击者通过利用公开服务器应用的漏洞，获取了运行SentinelOne EDR主机的本地管理员权限。 在系统取证分析中，研究人员发现多项EDR绕过迹象，包括：多个合法签名的SentinelOne安装程序文件（如SentinelOneInstaller_windows_64bit_v23_4_4_223.exe和SentinelInstaller_windows_64bit_v23_4_6_347.msi）的创建记录；与产品版本变更相关的额外事件日志（包括计划任务变更、服务停止/启动事件、本地防火墙配置变更等）。 基于这些发现，Stroz Friedberg研究人员通过实验复现了SentinelOne EDR软件的潜在漏洞。他们在安装23.4.6.223版本SentinelOne EDR的Windows 2022 Server虚拟机上，使用MSI安装程序启动代理程序升级/降级流程。升级/降级过程会在生成新版本进程前约55秒终止所有现有进程，形成短暂的无防护窗口期。研究人员利用本地管理员权限执行taskkill命令终止与升级相关的msiexec.exe进程，最终导致系统失去SentinelOne防护，并在管理控制台显示为离线状态。 针对该发现，SentinelOne迅速向客户发布缓解指南，包括：启用默认开启的本地代理密码功能防止未授权卸载；使用本地升级授权功能确保通过控制台认证升级流程。报告发布后，SentinelOne已对所有新客户默认开启本地更新授权功能，并协助研究人员将攻击模式私下披露给其他EDR厂商。部分被联系厂商未对此攻击模式披露作出回应。     消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关的威胁行为者COLDRIVER被发现分发名为LOSTKEYS的新恶意软件，该行动采用类似ClickFix的社会工程诱饵实施网络间谍活动。谷歌威胁情报组（GTIG）表示：“LOSTKEYS能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和运行进程。” GTIG称，该恶意软件在2025年1月、3月和4月针对西方政府和军队现任及前任顾问、记者、智库、非政府组织以及乌克兰相关人士的攻击中被发现。LOSTKEYS是COLDRIVER继SPICA之后开发的第二个定制恶意软件，标志着该组织持续偏离其知名的凭证钓鱼活动。该黑客组织还被追踪为Callisto、Star Blizzard和UNC4057。 网络安全研究人员Wesley Shields表示：“他们以窃取凭证闻名，在获取目标账户访问权限后会窃取邮件和联系人列表。在特定案例中，COLDRIVER还会向目标设备投放恶意软件，并试图访问系统文件。” 最新攻击始于包含虚假验证码验证提示的诱饵网站，受害者被要求打开Windows运行对话框并粘贴复制的PowerShell命令。这种被广泛称为ClickFix的社会工程技术会下载并执行远程服务器（“165.227.148[.]68”）的第二阶段载荷，该载荷在可能进行虚拟机检测后才会下载第三阶段恶意软件。 经过Base64编码的第三阶段载荷被解码为PowerShell脚本，负责在受感染主机上执行LOSTKEYS，使攻击者能够收集系统信息、运行进程以及硬编码列表中的文件。与SPICA类似，该恶意软件被认为是选择性部署的，表明攻击具有高度针对性。 谷歌还发现了可追溯至2023年12月的LOSTKEYS伪装样本，这些样本假扮成Maltego开源调查平台的二进制文件。目前尚不清楚这些样本是否与COLDRIVER有关，或恶意软件是否从2025年1月开始被攻击者重新利用。 随着ClickFix技术被更多威胁行为者采用，包括传播银行木马Lampion和窃密软件Atomic Stealer，其应用范围持续扩大。根据Palo Alto Networks Unit 42的分析，传播Lampion的攻击使用带有ZIP附件的钓鱼邮件，压缩包内的HTML文件会将受害者重定向至包含ClickFix指令的虚假登录页面。 “Lampion感染链的另一个有趣之处在于其分为多个非连续阶段，作为独立进程执行，”Unit 42指出，“这种分散式执行使检测复杂化，因为攻击流程不会形成易于识别的进程树，而是由看似无害的独立事件组成复杂链条。”该活动主要针对葡萄牙语用户，涉及政府、金融和运输等多个领域。 近期ClickFix策略还与名为EtherHiding的隐匿技术结合使用，通过币安智能链（BSC）合约隐藏载荷，最终传播macOS窃密软件Atomic Stealer。化名Badbyte的研究人员表示：“点击‘我不是机器人’会触发币安智能合约，使用EtherHiding技术向剪贴板传递Base64编码命令，提示用户通过macOS快捷键（⌘ + Space, ⌘ + V）在终端运行。该命令下载的脚本会获取并执行经签名的Mach-O二进制文件，确认为Atomic Stealer。” 进一步调查发现，该活动可能已入侵约2,800个合法网站来提供虚假验证码提示。研究人员将这次大规模水坑攻击代号定为MacReaper。研究人员补充道。“攻击利用混淆JavaScript、三个全屏iframe和基于区块链的命令基础设施来最大化感染范围，”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周三，英国网络安全负责人宣布，该国情报部门看到了“俄罗斯网络攻击与我们安全面临的现实威胁之间存在直接联系”。 英国国家网络安全中心（NCSC）负责人理查德·霍恩在曼彻斯特举行的CYBERUK会议上警告称，莫斯科的恶意行为者“正在实施破坏行为，常常在其阴谋中使用犯罪代理”。 霍恩表示，无论是NCSC还是国内安全机构军情五处（MI5），都看到来自俄罗斯的网络威胁在英国街头显现，针对英国的各行各业和企业，使民众生命、关键服务和国家安全面临风险。 他告诉CYBERUK会议的听众，信息安全界的作用“因此不仅仅是保护系统，更是保护我们的人民、经济和社会免受伤害”。 霍恩说，NCSC无法透露行动细节，但解释说“网络手段”为一系列威胁行为者提供了侦察能力以及“发起现实威胁的能力”。 此次警告是在一系列疑似俄罗斯策划的欧洲破坏事件之后发布的。去年，欧洲各国的安全机构和政府就这些威胁发出了警告，同时北约和欧盟均谴责俄罗斯“日益加剧”的破坏活动和混合行动。 上个月，英国警方宣布逮捕了一名罗马尼亚男子，该男子涉嫌协助俄罗斯军事情报机构实施一项阴谋，其中包括一枚爆炸装置在伯明翰的DHL物流仓库爆炸。 据信，2024年7月德国莱比锡的DHL物流链发生的一起火灾也是俄罗斯所为。德国安全部门表示，如果那枚寄往英国的包裹炸弹在航班上爆炸，可能会引发空难。 第三起事件发生在7月，地点是波兰首都华沙附近。据路透社报道，这些企图被认为是未来阴谋的“预演”，俄罗斯计划在跨大西洋飞往美国和加拿大的货运航班上在空中引爆爆炸装置。 据报道，这些装置被伪装成来自立陶宛的按摩机，内部含有镁基物质，这种物质燃烧时极具破坏性，可能导致飞机坠毁。 11月，立陶宛总统吉塔纳斯·纳乌斯的首席国家安全顾问克斯蒂托尼斯·布德里斯指责俄罗斯军事情报机构格鲁乌（GRU）策划了这些阴谋。其他西方安全官员也认同这一评估，《华尔街日报》对此进行了报道。 这一指控是在波兰国家检察官办公室证实7月逮捕了4名与藏有爆炸物的包裹相关的人员之后提出的，该办公室称这些包裹被认为是对飞往美国和加拿大航班发动攻击前的试运行。另一名涉嫌在立陶宛邮寄这些包裹的男子于9月被捕。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全局（CISA）、联邦调查局（FBI）、环境保护局（EPA）和能源部（DoE）于周二发布警报，警告针对美国石油和天然气行业的网络攻击。 政府机构表示，这些攻击利用了基本的入侵技术，但关键基础设施组织内部糟糕的网络安全卫生状况可能导致中断甚至物理损坏。 “CISA越来越意识到一些不太复杂的网络行为者正在针对美国关键基础设施部门（石油和天然气）内的工业控制系统/监控与数据采集系统（ICS/SCADA），特别是在能源和交通系统中，”网络安全机构指出。 CISA所指的不太复杂的威胁行为者很可能是黑客行动主义团体——或者声称自己是黑客行动主义者的黑客。近年来，许多此类团体针对暴露在互联网上且未受保护或使用默认密码的SCADA及其他ICS系统发动了攻击。 尽管黑客的许多说法被夸大了，但工业网络安全专家经常警告说，这些攻击可能会产生重大影响。 在他们的警报中，CISA、FBI、EPA和DoE敦促关键基础设施组织“立即采取行动，改善其网络安全态势，以应对专门针对联网运营技术和ICS的网络威胁活动”。 为了抵御这些威胁，组织应确保运营技术（OT）系统不能直接从互联网访问，并确保通过虚拟专用网络（VPN）、强密码和防钓鱼多因素身份验证（MFA）安全地远程访问它们。 他们还应识别并立即更改默认密码，对关键系统实施网络分段，并确保能够手动操作OT系统。 此外，建议组织与相关实体合作，识别和解决在标准操作、默认产品配置或由系统集成商或托管服务提供商引入的可能配置错误。 “撰写机构建议关键基础设施组织定期与他们的第三方托管服务提供商、系统集成商和系统制造商沟通，这些实体可能能够提供系统特定的配置指导，以帮助他们确保运营技术的安全，”CISA、FBI、EPA和DoE指出。 CISA还建议关键基础设施组织审查并实施该机构近年来提供的资源，以帮助他们减少攻击面、实施网络分段、采用安全设计原则和防钓鱼MFA等。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了SysAid IT支持软件本地版本中的多个安全漏洞，这些漏洞可能被利用来实现预认证的远程代码执行，并提升权限。 这些漏洞被追踪为CVE-2025-2775、CVE-2025-2776和CVE-2025-2777，均被描述为XML外部实体（XXE）注入漏洞，这种情况发生在攻击者能够成功干扰应用程序解析XML输入时。 反过来，这可能会允许攻击者将不安全的XML实体注入到Web应用程序中，使他们能够执行服务器端请求伪造（SSRF）攻击，最坏的情况下，实现远程代码执行。 根据watchTowr Labs研究人员Sina Kheirkhah和Jake Knott的说法，这3个漏洞的描述如下： CVE-2025-2775和CVE-2025-2776：在/mdm/checkin端点中的预认证XXE CVE-2025-2777：在/lshw端点中的预认证XXE watchTowr Labs表示，通过向相关端点发送精心制作的HTTP POST请求，可以轻而易举地利用这些漏洞。 成功利用这些漏洞可以使攻击者检索包含敏感信息的本地文件，包括SysAid自己的“InitAccount.cmd”文件，其中包含安装期间创建的管理员账户用户名和明文密码信息。 凭借这些信息，攻击者可以作为具有管理员权限的用户，获得对SysAid的完全管理访问权限。 更糟糕的是，XXE漏洞可以与另一个操作系统命令注入漏洞（由第三方发现）串联，以实现远程代码执行。该命令注入问题已被分配为CVE-2025-2778。 SysAid已于2025年3月初通过发布本地版本24.4.60 b16修复了这4个漏洞。一个结合这4个漏洞的概念验证（PoC）利用程序已经公开。 鉴于SysAid的安全漏洞（如CVE-2023-47246）此前曾被Cl0p等勒索软件行为者在零日攻击中利用，用户必须更新其实例至最新版本。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响 OttoKit（原名 SureTriggers）WordPress 插件的第二个安全漏洞已在野外遭到积极利用。 该漏洞被追踪为 CVE-2025-27007（CVSS 评分：9.8），是一个权限提升漏洞，影响了该插件1.0.82版本及之前的所有版本。 Wordfence表示：“这是由于 create_wp_connection() 函数缺少能力检查，且对用户的身份验证凭据验证不足。这使得未经认证的攻击者能够建立连接，最终可能导致权限提升。” 也就是说，该漏洞仅在以下两种可能的情况下可被利用—— 当网站从未启用或使用过应用密码，且 OttoKit 以前也从未使用应用密码连接到该网站时； 当攻击者已获得网站的认证访问权限并能够生成有效的应用密码时。 Wordfence 透露，其观察到威胁行为者试图利用初始连接漏洞与网站建立连接，随后通过 automation/action 端点创建管理员用户账户。 此外，攻击尝试同时针对 CVE-2025-3102（CVSS 评分：8.1），这是同一插件中的另一个漏洞，自上个月以来也在野外遭到了利用。 这表明威胁行为者可能在伺机扫描 WordPress 安装，查看其是否易受这两个漏洞中的任何一个影响。以下是观察到针对这些漏洞的 IP 地址—— 2a0b:4141:820:1f4::2 41.216.188.205 144.91.119.115 194.87.29.57 196.251.69.118 107.189.29.12 205.185.123.102 198.98.51.24 198.98.52.226 199.195.248.147 鉴于该插件的活跃安装量超过10万次，用户必须尽快应用最新补丁（版本1.0.83）。 Wordfence 表示：“攻击者可能早在2025年5月2日就开始积极瞄准此漏洞，大规模利用则始于2025年5月4日。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与Play勒索软件家族有关的威胁行为者利用微软Windows最近修补的安全漏洞作为零日漏洞，攻击了美国一家未具名的机构。 据博通旗下的赛门铁克威胁猎手团队称，此次攻击利用了CVE-2025-29824，这是公共日志文件系统（CLFS）驱动程序中的一个权限提升漏洞，微软上个月对其进行了修补。 Play，也被称为Balloonfly和PlayCrypt，以其双重勒索策略而闻名，即在加密之前先窃取敏感数据，以换取赎金。它自2022年年中以来一直活跃。 赛门铁克观察到，在此次活动中，威胁行为者可能利用面向公众的思科自适应安全设备（ASA）作为切入点，通过尚未确定的方法转移到目标网络上的另一台Windows机器上。 此次攻击值得注意的是使用了Grixba，这是一个之前被归因于Play的定制信息窃取器，以及一个针对CVE-2025-29824的利用程序，该程序被放置在音乐文件夹中，并伪装成Palo Alto Networks软件（例如，“paloaltoconfig.exe”和“paloaltoconfig.dll”）。 威胁行为者还被观察到运行命令，收集受害者活动目录中所有可用机器的信息，并将结果保存到CSV文件中。 “在利用程序执行过程中，会在C:\ProgramData\SkyPDF路径下创建两个文件，”赛门铁克解释说。“第一个文件PDUDrv.blf是一个公共日志文件系统基础日志文件，是利用过程中产生的一个痕迹。” “第二个文件clssrv.inf是一个被注入到winlogon.exe进程中的DLL。这个DLL能够释放另外两个批处理文件。” 其中一个名为“servtask.bat”的批处理文件用于提升权限、转储SAM、SYSTEM和SECURITY注册表项，创建一个名为“LocalSvc”的新用户，并将其添加到管理员组。另一个批处理文件“cmdpostfix.bat”用于清除利用痕迹。 赛门铁克表示，在此次入侵中没有部署勒索软件负载。调查结果表明，在微软修复之前，针对CVE-2025-29824的利用程序可能已经被多个威胁行为者掌握。 值得注意的是，网络安全公司详细描述的利用方式与微软披露的另一项活动集群Storm-2460并不重叠，后者利用该漏洞进行有限的攻击，传播名为PipeMagic的木马。 CVE-2025-29824的利用也表明勒索软件行为者使用零日漏洞入侵目标的趋势。去年，赛门铁克透露，Black Basta团伙可能利用了CVE-2024-26169，这是Windows错误报告服务中的一个权限提升漏洞，作为零日漏洞。 “自带安装程序”EDR绕过技术在Babuk勒索软件攻击中的新应用 与此同时，Aon的Stroz Friedberg事件响应服务详细描述了一种名为“自带安装程序”的本地绕过技术，威胁行为者利用该技术禁用端点安全软件并部署Babuk勒索软件。 据该公司称，此次攻击针对了SentinelOne的端点检测与响应（EDR）系统，通过利用SentinelOne代理升级/降级过程中的一个漏洞，在获得一台面向公众的服务器的本地管理员权限后实施攻击。 “Aon的研究人员John Ailes和Tim Mashni表示：“自带安装程序是一种技术，威胁行为者可以通过在配置不当的情况下，及时终止代理更新过程，从而绕过主机上的EDR保护。” 这种方法值得注意，因为它不依赖于易受攻击的驱动程序或其他工具来解除安全软件的武装。相反，它利用代理升级过程中的一个时间窗口来终止正在运行的EDR代理，使设备处于无保护状态。 具体来说，它利用了这样一个事实：使用MSI文件安装软件的不同版本会导致它在执行更新之前终止已经运行的Windows进程。 “自带安装程序”攻击本质上涉及运行一个合法的安装程序，并在关闭正在运行的服务后，通过发出“taskkill”命令强行终止安装过程。 “Aon的研究人员表示：“由于SentinelOne的旧版本进程在升级过程中被终止，而新进程在启动前被中断，最终结果是一个没有SentinelOne保护的系统。” SentinelOne表示，这种技术也可以应用于其他端点保护产品，该公司已经对其本地升级授权功能进行了更新，以防止此类绕过再次发生。这包括默认为所有新客户启用该功能。 与此同时，思科透露，一个名为Crytox的勒索软件家族在其攻击链中使用了HRSword，以关闭端点安全保护。 HRSword此前曾在传播BabyLockerKZ和Phobos勒索软件的攻击中被观察到，以及那些旨在终止韩国AhnLab安全解决方案的攻击。 勒索软件新趋势 近几个月来，勒索软件攻击越来越多地将目标对准域控制器，以入侵组织，使威胁行为者能够获得特权账户的访问权限，并利用集中的网络访问权限在几分钟内加密数百或数千个系统。 “在超过78%的人为操作的网络攻击中，威胁行为者成功入侵了域控制器，”微软上个月透露。 “此外，在超过35%的案例中，主要传播设备——负责大规模分发勒索软件的系统——是域控制器，突显了其在实现广泛加密和运营中断中的关键作用。” 近几个月来，检测到的其他勒索软件攻击利用了一种名为PlayBoy Locker的新勒索软件即服务（RaaS），它为相对缺乏技能的网络犯罪分子提供了一个全面的工具包，包括勒索软件负载、管理仪表板和支持服务。 “PlayBoy Locker RaaS平台为附属机构提供了许多选项，用于构建针对Windows、NAS和ESXi系统的勒索软件二进制文件，能够根据不同的操作需求进行定制配置，”Cybereason表示。“PlayBoy Locker RaaS运营商为附属机构宣传定期更新、反检测功能，甚至提供客户支持。” 与此同时，DragonForce发起了一场勒索软件卡特尔运动，这是一个声称控制了RansomHub的网络犯罪团伙，RansomHub是一个在2025年3月底突然停止运营的RaaS计划。 白标签品牌服务旨在允许附属机构将DragonForce勒索软件伪装成不同的菌株，以换取额外费用。威胁行为者声称将从成功的勒索软件赎金中抽取20%的份额，允许附属机构保留剩余的80%。 DragonForce于2023年8月首次出现，最初定位为支持巴勒斯坦的黑客行动主义行动，随后发展成为一个完整的勒索软件行动。在最近几周，该RaaS集团因其针对英国零售商（如哈罗德、马莎和合作商店）的攻击而受到关注。 “这一举措，以及DragonForce将其自身品牌定位为‘勒索软件卡特尔’的推动，表明该组织希望通过启用一个生态系统来提高其在网络犯罪领域的知名度，”SentinelOne表示。“在这种模式下，DragonForce提供基础设施、恶意软件和持续的支持服务，而附属机构则以自己的品牌运行活动。” 据BBC新闻报道，针对英国零售行业的攻击被认为是由臭名昭著的威胁集团和RansomHub附属机构Scattered Spider（又名Octo Tempest或UNC3944）策划的。 “包括UNC3944在内的威胁行为者将零售组织视为有吸引力的目标是合理的，因为它们通常拥有大量个人身份信息（PII）和财务数据，”谷歌旗下的Mandiant表示。 “此外，如果勒索软件攻击影响了它们处理金融交易的能力，这些公司可能更有可能支付赎金要求。” 2024年，勒索软件攻击增加了25%，勒索软件组织泄露网站的数量增加了53%。根据Bitsight的说法，这种分裂是较小、更灵活的帮派的出现，它们正在攻击中型组织，这些组织可能并不总是有资源来应对这些威胁。 “勒索软件组织的激增意味着它们的增长速度超过了执法部门关闭它们的速度，它们对小型组织的关注意味着任何人都可能成为目标，”安全研究员Dov Lerner表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，联邦陪审团裁定，NSO集团需向Meta旗下的WhatsApp支付约1.68亿美元的赔偿金。此前四个月，一名联邦法官判定这家以色列公司违反美国法律，通过WhatsApp服务器部署Pegasus间谍软件，对全球超过1400名个人实施攻击。 WhatsApp于2019年首次对NSO集团提起诉讼，指控其利用Pegasus针对记者、人权活动家和政治异见人士。 审判期间公布的法庭文件显示，此次行动中，456名墨西哥人被攻击，其次是印度的100名受害者、巴林的82人、摩洛哥的69人和巴基斯坦的58人。总计有来自51个不同国家的个人受到影响。 这些攻击利用了当时WhatsApp语音通话功能的一个零日漏洞（CVE-2019-3568，CVSS评分：9.8），触发了间谍软件的部署。 2024年12月发布的一项裁决中，美国地区法官Phyllis J. Hamilton指出，在2019年5月的相关时间段内，Pegasus通过WhatsApp位于加利福尼亚的服务器发送了43次。 Meta旗下WhatsApp的负责人Will Cathcart在X上表示：“我们对间谍软件开发商NSO的案件在2024年12月创造了历史，当时法院裁定他们违反了美国的联邦和州法律。” “今天陪审团对NSO的惩罚性裁决是对间谍软件行业的一个重要威慑，防止他们对美国公司和全球用户进行非法行为。” Cathcart补充说，公司的下一步是申请法院命令，防止NSO再次攻击WhatsApp，并表示将向致力于保护人们免受此类攻击的数字权利组织捐款。 除了1.67254亿美元的惩罚性赔偿外，陪审团还裁定NSO集团必须向WhatsApp支付444719美元的补偿性赔偿，以补偿WhatsApp工程师为阻止攻击途径所做的重大努力。 这一裁决是隐私倡导者和人权组织的重大胜利，他们曾多次指责NSO集团将其强大的监控软件授权给客户，以监视民间社会成员。 尽管NSO集团试图通过声称其无法了解客户如何使用Pegasus来逃避责任，但汉密尔顿法官指出，它不能一方面声称其意图是帮助客户打击恐怖主义和儿童剥削，另一方面又声称与客户如何使用该技术无关，除了提供建议和支持。 Meta表示：“NSO被迫承认，它每年花费数千万美元开发恶意软件安装方法，包括通过即时通讯、浏览器和操作系统，而且其间谍软件至今仍能够入侵iOS或Android设备。” 在与Courthouse News和POLITICO分享的声明中，NSO集团表示，其技术在防止严重犯罪和恐怖主义方面发挥着关键作用，并且打算寻求适当的法律补救措施。该公司因从事“恶意网络活动”于2021年被美国政府制裁。 苹果公司曾对NSO集团提起类似的诉讼，但在2024年9月撤销了该诉讼，理由是继续进行可能会泄露其安全计划的敏感细节。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 新墨西哥州多所公立学区及一所大学正遭受网络攻击，导致数千名学生日常学习活动陷入混乱。佐治亚州科维塔县学区周日声明称，其29所K-12学校的23,000名学生因周五晚间的网络攻击受到持续影响。 学区官员Dean Jackson将此次攻击定性为“严重事件”，并称已向州应急管理署及国土安全部门上报。IT系统于周五发现异常活动后立即切断网络连接。“调查期间将限制内部网络访问权限以确保取证工作顺利开展，”Jackson解释道。 此次攻击正值各校筹备期末考试与大学预修课程（AP）测试的关键节点（原定周一启动）。学生仍可使用Chromebook及无线网络，但教职员工被禁止接入办公设备。学区正与网络安全专家及联邦、州级机构合作，评估学生与教职工数据是否遭窃。 过去一周内，多起针对K-12学校的网络攻击被曝光： 俄克拉荷马州巴特尔斯维尔公立学校因系统瘫痪被迫取消州级测试 巴尔的摩公立学校遭勒索软件攻击影响超2万名现任及前任员工 南卡罗来纳州查尔斯顿学区2024年8月遭RansomHub团伙攻击，20,653名学生信息泄露 得克萨斯州阿尔文独立学区2024年7月被Fog勒索团伙入侵，波及47,000名学生 西新墨西哥大学（WNMU）遭受持续数周的网络攻击，官方网站至今无法恢复，校方被迫通过临时页面及Facebook向银城校区的3000余名师生提供替代服务。攻击始于4月13日，导致校内多系统停摆。 尽管校方在社交媒体持续更新进展，但未透露是否涉及勒索攻击或全面恢复时间表。临时网站警告学生避免使用未经IT部门安全检查的校园台式机，无线网络仍处中断状态。“我们正通过短信、邮件与社媒渠道保持沟通，并在系统恢复后第一时间通知全校，”校方声明称。 临近考试周，教授们已延长作业提交期限以减轻影响。然而，Facebook评论区充斥学生不满——尤其是依赖在线资源的远程学习者，抱怨进度更新缺失及完成期末任务的额外负担。 安全专家指出，四月至五月间针对教育机构的勒索攻击显著激增，攻击者试图利用考试季技术依赖心理迫使学校支付赎金。2025年迄今已追踪到超70起教育领域勒索事件，多所高校去年遗留的数据泄露问题亦浮出水面。上周，Albion学院确认Medusa团伙2024年12月攻击导致数据外泄，南阿肯色大学理工学院则证实RansomHub团伙二月入侵属实。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大音频传媒集团iHeartMedia披露，其旗下多家广播电台于去年12月遭遇网络入侵，导致员工社会安全号码、财务账户信息等敏感数据外泄。尽管该公司已向缅因州、马萨诸塞州与加利福尼亚州提交数据泄露报告，但拒绝向《记录未来新闻》透露受影响人数及遭攻击电台数量。 iHeartMedia发言人称：“我们在少数地方电台的部分系统中发现异常活动后，立即采取措施阻断入侵，启动事件响应流程，并聘请第三方网络安全公司协助调查。同时已向执法部门通报。”泄露通知文件显示，攻击者于12月24日至27日侵入公司系统，访问并窃取存储于地方电台的敏感文件。 经持续至今年4月11日的调查确认，外泄数据包括： 社会安全号码 税号 驾照/护照号码 金融账户信息 健康保险资料 支付卡号 受影响员工将获赠一年期身份保护服务，并可通过专设电话热线咨询。值得注意的是，在提交给缅因州的报告中，iHeartMedia刻意隐去了受害者总数统计项。目前尚无黑客组织宣称对此事件负责。 作为美国音频行业巨头，iHeartMedia运营着870余个广播电台，月均触达2.5亿听众，2023年营收达38亿美元。此次事件发生一周前，另一传媒集团Urban One也披露了2月遭遇勒索攻击导致的员工数据泄露，但同样未公布具体影响规模。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近日修复了46个Android安全漏洞，其中包括一个已被在野利用的高危漏洞（追踪编号CVE-2025-27363，CVSS评分8.1）。该公司未透露相关攻击活动细节及漏洞利用者的身份信息。 该漏洞存在于系统组件中，成功利用可导致本地代码执行。2025年5月安卓安全公告指出：“最严重的问题是系统组件中的高危漏洞，攻击者无需额外权限即可执行本地代码，且无需用户交互即可完成利用。有迹象表明CVE-2025-27363可能已被定向攻击者有限度利用。” 今年3月中旬，Meta曾警告称FreeType库中的越界写入漏洞（同样追踪为CVE-2025-27363）可能已遭活跃利用。该漏洞影响FreeType 2.13.0及更早版本，具体存在于解析TrueType GX和可变字体文件的子字形结构时。“漏洞代码将带符号短整型数值赋给无符号长整型变量，叠加静态值后引发数值回绕，导致堆缓冲区分配过小。攻击者可借此越界写入最多6个带符号长整型数据，最终可能实现任意代码执行。”Meta公告称，同样未披露攻击细节、攻击者身份或攻击规模。 安全专家警告，多个Linux发行版仍在使用存在漏洞的旧版FreeType库，面临被攻击风险。谷歌在公告中强调：“新版安卓平台的多项安全增强机制大幅提升了漏洞利用难度，建议所有用户尽可能升级至最新系统版本。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭露一项规模化运行的钓鱼即服务（PhaaS）活动，该犯罪网络在短短数月内已导致数十万人受害。挪威安全公司Mnemonic披露，该代号“Darcula”的钓鱼平台专门针对iPhone和Android用户，通过仿冒知名品牌诱导受害者提交银行卡信息。 该组织通过短信、RCS和iMessage渠道在全球范围发起攻击，伪装成物流公司等品牌发送钓鱼信息。受害者会被要求支付“包裹签收费用”、“道路通行费”等虚假账单。早期报告显示，该平台持续迭代升级，已具备生成式AI定制钓鱼话术、反取证追踪等高级功能。 通过逆向工程分析，Mnemonic成功锁定该犯罪网络的核心——名为“Magic Cat”的自动化攻击套件。 该基础设施当前被约600个网络犯罪团伙租用，这些组织多潜伏于加密Telegram群组，利用SIM卡池扩大攻击覆盖面，通过卡终端设备处理窃取的数据。据研究人员估算，2023年至2024年的七个月内，通过该平台泄露的银行卡信息达88.4万条。 Mnemonic指出，Magic Cat是专为技术门槛较低的犯罪者设计的全功能工具包，可实现钓鱼短信攻击的批量化操作。该平台内置数百个跨国品牌仿冒模板，近期更新后自定义模板功能更为简化。 该工具具备实时数据流监控功能，可逐字符捕获受害者输入的敏感信息，并支持动态索取PIN码、无缝对接短信网关等高级特性。目前，已通报多国执法机构介入调查。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州阿尔文独立学区（AISD）发生数据泄露事件，导致47,606人的敏感个人信息遭窃。该学区确认漏洞发生于2024年6月，并于本周末启动对受影响人员的通知程序。 泄露数据包括姓名、社会安全号码、州政府签发的身份证件、信用卡/借记卡详细信息、金融账户号码、医疗数据及健康保险信息。德克萨斯州总检察长办公室于2025年5月2日通报了此事件。 勒索软件团伙Fog于2024年7月宣称对此次攻击负责，声称从AISD窃取了60GB数据，并将学区名称公布于其数据泄露网站——这是施压受害者支付赎金的常见手段。AISD尚未证实该团伙的说法，也未披露是否支付赎金。 截至本文撰写时，阿尔文独立学区未回应Infosecurity的置评请求。 Fog自2024年7月开始公布攻击活动，AISD与其首批受害者西阿利斯-西密尔沃基学区和阿斯伯里神学院并列。此后，Fog宣称实施了20起已确认的勒索软件攻击（其中12起针对教育机构）及157起未确认事件，其活动迹象于2025年4月停止。 该团伙以加密文件与窃取数据著称，常瞄准开发环境。尽管Fog多数受害者属教育领域，但其攻击范围不限于学校。 AISD事件是教育行业系统性遭受攻击的缩影。2024年，研究机构Comparitech记录到79起针对美国教育机构的勒索软件攻击，波及超280万条记录，平均赎金要求达82.7万美元。 近期其他校园勒索事件包括： 2025年4月，Medusa向福尔里弗公立学区索要40万美元 同月Qilin攻击西新墨西哥大学 Medusa入侵阿尔比恩学院致6,930人受影响 2024年10月RansomHub攻破南阿肯色大学理工学院 针对哈仙达拉普恩特联合学区的未认领攻击 2025年迄今，美国教育领域已发生15起确认及36起未确认的勒索软件攻击事件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年Verizon《2025年数据泄露调查报告》（DBIR）中最值得关注的并非勒索软件头条或零日漏洞利用，而是推动这些攻击的深层诱因。在诸多严重泄露事件中，两个底层因素持续发挥着作用：第三方暴露与机器凭证滥用。 根据2025年DBIR，涉及第三方的泄露事件同比翻倍（从15%上升至30%）。与此同时，攻击者越来越多地利用机器凭证和未受管控的机器账户获取访问权限、提升特权并窃取敏感数据。 这一趋势传递出明确信号：仅保护内部员工账户已远远不够。要真正抵御现代威胁，企业必须在统一的安全策略下管理所有身份——包括员工、非员工与机器身份。 当前企业生态由承包商、供应商、商业伙伴、托管服务提供商、关联公司等多方交织构成。这些合作关系虽提升效率，也催生了复杂的身份生态系统。若缺乏严格治理，第三方身份将成为攻击者伺机利用的盲点。 与第三方访问相关的泄露通常源于糟糕的生命周期管理，例如项目结束后未停用承包商账户，或商业伙伴账户权限过度宽松。2025年DBIR指出，这一趋势正在加速且跨行业蔓延——医疗、金融、制造业和公共部门均报告了由第三方暴露引发的重大事件。 企业须以管理内部员工的同等严格标准，将身份治理扩展至非员工群体，确保对所有第三方用户的可视性、责任归属与及时账户停用。 尽管人类身份依然脆弱，机器身份的风险增长更为迅猛。服务账户、机器人流程自动化（RPA）、AI代理、API接口等“数字劳动力”数量激增，却普遍缺乏明确归属与监管。随着AI代理的普及，机器身份的增长速度与复杂程度将远超企业当前管理能力。 2025年DBIR发现，基于凭证的攻击仍是主要初始入侵手段，攻击者正日益瞄准未受管控的机器账户作为突破口。未受保护的机器账户直接关联多起重大泄露与升级的勒索软件攻击。 风险持续加剧，但多数传统身份安全工具仍将机器视为次要对象。因此，企业必须摒弃临时性机器管理措施，转向专为规模化与自动化设计的治理模型。欲深入了解该问题，可参阅白皮书《谁在守护机器身份？》。 碎片化身份治理已不再是弱点，而是重大责任。若将员工、第三方用户和机器身份（如果存在管理）分别置于孤立系统中管理，攻击者将获得足以渗透的裂缝——他们无需攻破所有防线，只需找到一个突破口。 与第三方用户和机器账户相关的泄露事件增速已超过内部员工泄露，这一现象明确警示：不一致的治理模式正在催生新漏洞。现实在于：身份即身份。无论是人类、非员工还是机器身份，都必须在统一策略下实施妥善管理、治理与保护。 能在未来威胁中存活的企业，并非那些试图拼凑解决方案的机构，而是意识到“全域身份统一治理”是唯一出路的主体。通过整合员工、承包商、合作伙伴、服务账户、机器人与AI代理的身份安全，企业方能填补关键防御缺口、提升可视性，并在关键时刻强化安全壁垒。 SailPoint通过专为复杂企业环境设计的解决方案（以SailPoint Atlas平台为支撑），帮助企业实现全域身份安全。无论您需要管理机器身份还是管控非员工访问，SailPoint提供的统一身份安全体验能将身份混乱转化为清晰防线。 人类与机器身份间的安全鸿沟正在扩大。是时候主动弥合这一缺口了——否则攻击者将替您完成此事。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文