HackerNews

HackerNews 编译，转载请注明出处： 悉尼大学披露一起数据泄露事件：黑客入侵该校一个内部代码库后，导致数万名教职工、学生及校友的个人信息泄露。 该校表示，上周在其 IT 团队使用的在线代码仓库中发现了这一事件，并迅速采取了系统安全加固措施。该平台主要用于软件开发，但同时存储了一个已停用系统的历史数据，包含截至 2018 年 9 月该校员工的姓名、出生日期、电话号码、家庭住址及工作相关详细信息。 副校长妮可・高尔（Nicole Gower）称，目前尚无证据表明泄露数据已被滥用或公开。 “我们正积极监测数据是否存在被使用或公开的迹象，一旦发生此类情况，将立即通知相关人员，” 她表示。 该校内部调查正在进行中，预计将持续至明年。学校已向相关政府部门通报了此事。官方称，此次泄露仅限于单个平台，未影响其他校园系统，黑客身份目前仍不明朗。 初步调查结果显示，泄露数据包括约 2.05 万名现任及前任教职工、关联人员的个人信息，以及 2010 年至 2019 年的历史数据集 —— 涉及约 5000 名学生、校友及 6 名学校支持者的相关信息。 悉尼大学是澳大利亚历史最悠久的公立研究型高校之一，现有学生超 7 万人，教职工约 8000 人。该校曾在 2023 年报告过一起网络安全事件，当时因第三方服务提供商出现安全问题，导致近期入学的国际申请者数据泄露。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 丹麦国防情报局在一份新闻稿中指出：“经评估，2024 年对丹麦某自来水厂发动破坏性网络攻击的亲俄组织 Z-Pentest与俄罗斯政府存在关联；2025年丹麦市镇及地区议会选举前夕，对丹麦境内网站发起DDoS攻击的无名者NoName057(16)组织，同样与俄方存在关联。俄罗斯政府将这两个组织作为针对西方混合战争的抓手，意在通过攻击制造目标国的社会不安，并报复这些国家对乌克兰的支持。” 混合战争是一种国家结合军事和非军事手段来削弱或破坏对手，而不宣战的策略。它通常混合了以下元素： 网络行动（黑客攻击、蓄意破坏、数据泄露） 虚假信息与舆论宣传 经济施压（规避制裁、能源牵制） 政治干预（操纵选举、影响力渗透） 利用代理人（黑客激进分子、雇佣兵、犯罪集团） 有限度或可否认的军事行动 混合战争的目的是制造局势不确定性、扰乱社会秩序、削弱公众对政府机构的信任、迫使对手付出代价，同时保持行动的 “合理推诿空间”，避免引发常规武装冲突。 丹麦情报部门指出，俄方借选举之机发动攻击以博取公众关注，这一伎俩在欧洲多国均有出现。自2022年俄罗斯对乌克兰发起特别军事行动以来，丹麦始终通过制裁、军事援助、人员培训及财政支持等方式为乌克兰提供援助。 丹麦国防大臣谴责上述网络攻击行为，称其“完全不可接受”。他特别提及2024年12月发生在丹麦克厄市的一起事件——黑客篡改了当地水务设施的水泵压力参数，最终导致管道爆裂。 伦德・鲍尔森表示：“这是一个明确的信号——我们一直警惕的混合战，如今已真实发生在我们身边。这一事件再次让人们聚焦欧洲当前所处的严峻局势。俄罗斯方面在丹麦境内实施混合攻击，是绝对不可接受的行径。” 丹麦官员表示，近期发生的多起网络攻击及无人机侵扰事件虽未造成大规模破坏，但暴露了本国在安全防护方面的重大漏洞。他们坦言，丹麦目前尚未做好充分准备，应对来自俄罗斯的混合攻击。 今年3月，受欧洲地区网络威胁升温影响，丹麦已将本国电信行业的网络间谍威胁等级从中等上调至高级。 丹麦社会保障局发布了一份针对电信行业的全新网络威胁评估报告，重点强调了欧洲电信企业面临的风险隐患。 国家级黑客组织常将电信运营商作为网络间谍活动的目标，通过入侵其系统获取用户数据、监控通信内容，并可能以此为跳板发动后续网络或实体攻击。 该评估报告指出，在针对海外电信行业的网络攻击中，国家级黑客已展现出对电信基础设施及通信协议的深厚技术掌握能力。 丹麦关键基础设施计算机安全事件应急响应小组（SektorCERT）曾通报，2023年5月，丹麦遭遇了该国历史上规模最大的关键基础设施网络攻击事件。 首轮攻击于当年5月11日发起，短暂停歇后，第二轮攻击在5月22日接踵而至，该应急响应小组也是在这一天监测到攻击活动。 据该机构披露，共有22家能源基础设施企业的网络系统遭到威胁行为体入侵，其中11家企业的系统被直接攻破。攻击者利用了丹麦众多关键基础设施运营商使用的Zyxel防火墙中的零日漏洞实施攻击。 专家分析认为，此次攻击由多个威胁行为体协同发起，其中至少有一个团伙与俄罗斯关联组织Sandworm存在渊源。 国际态势 近期，美国网络安全与基础设施安全局及多国合作伙伴发出预警：亲俄黑客激进组织正对全球范围内的关键基础设施展开积极攻击。 诸如CARR、Z-Pentest及NoName057(16)等亲俄黑客激进组织，常利用安全防护薄弱的虚拟网络控制台连接，入侵关键基础设施中的运营技术设备，造成不同程度的破坏，部分攻击甚至引发实体损伤。这些组织的攻击目标主要集中在水务、食品、农业及能源领域，其攻击手段的技术复杂度和攻击造成的影响，均低于高级持续性威胁组织。 FBI、CISA、NSA及多国合作机构联合发布的一份预警报告指出：“此次网络安全预警是对2025年5月6日CISA联合情况说明书《降低运营技术网络威胁的主要缓解措施》，以及欧洲刑警组织网络犯罪中心‘东木行动’内容的补充。在上述两份文件中，CISA、FBI、美国能源部、美国环境保护署与欧洲刑警组织网络犯罪中心，曾联合披露针对全球及美国关键基础设施运营技术和工业控制系统的网络攻击事件相关信息。” CARR曾对美国水务系统及洛杉矶一家肉类加工厂发动攻击，造成泄漏、外溢等实体损害。有证据显示，这些攻击活动由俄罗斯联邦武装力量总参谋部情报总局授意资助，攻击目标直指关键基础设施与选举场所。一名化名为Cyber_1ce_Killer的俄罗斯总参谋部情报总局关联人员，不仅直接指挥CARR的攻击目标选择、出资雇佣DDoS服务，其本身也是该组织的核心成员。 美国国务院已悬赏征集相关线索：提供CARR组织成员信息者，最高可获200万美元赏金；提供NoName057(16)组织关联人员线索者，赏金上限高达1000万美元。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  随着威胁行为者发起大规模的虚假在线零售商店攻击活动，2025年假日购物季面临着重大的网络安全威胁。这些欺诈性域名旨在冒充全球知名品牌，诱骗毫无戒心的消费者泄露敏感的财务信息或下载恶意软件。 该行动组织严密，利用自动化工具大量生产仿冒网站，高度模仿Zalando、Birkenstock和IKEA等合法零售商的观感。这一恶意活动利用了超过200个新注册的域名网络，这些域名主要通过中国基础设施提供商建立。犯罪分子利用”黑色星期五”、”双十一”等活动期间激增的在线购物流量，企图最大限度地扩大其影响范围。攻击途径包括在TikTok和Facebook等平台进行社交媒体推广，将用户引诱至这些虚假店铺。 一旦受害者访问这些网站，通常会看到仿冒的结账系统，用于窃取信用卡信息或将他们重定向至恶意载荷。 Bfore.ai的分析师于2025年11月发现了这一活动，并指出其依赖于隐私保护的WHOIS数据来隐藏攻击者身份。研究人员强调，该活动显示出”工业化”欺诈模式的迹象，不同活动集群可追溯到特定的托管服务提供商和自治系统。这种复杂的基础设施使攻击者能够在旧域名被检测和下线时，迅速转向并部署新域名。 对消费者的影响是严重的，除了直接的经济损失外，还可能涉及潜在的身份盗窃。该活动的规模表明，其背后是一个拥有资源以维持长期攻击的经济动机团伙。 欺骗性诱饵与规避技术 该活动采用多种欺骗性策略来规避检测并操纵用户信任。一种值得注意的方法是”议题导向”活动，即重新利用像”peaceforsecurity[.]com”这样的域名来销售时尚商品。此战术可能旨在通过使用与典型零售欺诈无关的关键词来绕过安全过滤器。 另一种技术通过混合品牌名称来制造混淆，例如一个推广无关护发产品的”lululemonsalehub”域名。这些不一致之处可以在利用品牌知名度的同时迷惑用户。此外，攻击者使用填充了无意义名称和”免运费”优惠的通用模板来营造合法性假象。 技术分析揭示了使用相同的JavaScript库和结账URL模式，例如： /collections/all /products/item123 最后，通过像”mango-flashsale[.]com”这样的域名制造季节性紧迫感，模仿合法的促销活动以促使用户仓促决策。 这些复杂的诱饵，加上共享的名称服务器和后端基础设施，展示了现代零售钓鱼活动不断演变的复杂性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款流行的WordPress主题中发现安全漏洞，该漏洞可能允许权限最低的已登录用户获得受影响网站的完全控制权。 该问题涉及一个任意文件上传漏洞，允许”订阅者”及以上级别的用户安装并激活插件，从而可能执行恶意代码。Motors主题是一款广泛用于汽车网站的WordPress解决方案，包括汽车经销商、车辆租赁平台和分类信息列表网站。由StylemixThemes开发，目前拥有超过20，000个活跃安装。 此漏洞影响5.6.81及以下版本，已分配编号CVE-2025-64374。漏洞由Patchstack Alliance社区的成员Denver Jackson发现并负责任地报告。漏洞存在于一个允许通过后端功能安装插件的AJAX处理程序中。虽然该功能使用随机数（nonce）进行请求验证，但缺乏适当的权限检查。 由于”订阅者”级别的用户可以从WordPress管理界面获取该随机数值，任何已登录用户都可以提供任意的插件URL。这使得恶意插件可以被上传和激活，最终导致网站被完全控制。Patchstack指出，这反映了WordPress组件中普遍存在的一个更广泛的问题。随机数的设计目的是防止请求伪造，而非强制执行访问控制。 WordPress开发者文档建议：”切勿依赖随机数进行身份验证、授权或访问控制。请使用current_user_can()函数保护您的功能，并始终假设随机数可能被泄露。” 该问题已在Motors 5.6.82版本中修复，该版本引入了current_user_can权限检查。这确保了只有授权用户才能触发插件的安装和激活过程。该补丁于11月3日发布，此前在9月已向供应商披露。PatchStack今天发布的公告为开发者和网站所有者强调了几个关键教训： 仅靠随机数不足以保护特权功能 所有修改网站的操作都应执行严格的权限检查 绝不能默认假设已登录用户是可信的 强烈建议运行Motors主题的网站所有者更新至5.6.82或更高版本以降低风险。未能应用此更新将使网站暴露于WordPress最严重的漏洞类别之一。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国技术公司DXS International披露了一起影响其内部系统的网络安全事件。该公司的软件在英国国家医疗服务体系（NHS）中广泛使用。 该公司在向伦敦证券交易所发布的通知中称，于12月14日发现其办公服务器遭到未经授权的访问。DXS表示已控制住此次入侵，其临床服务始终未受影响且保持正常运行。 目前尚无NHS患者数据是否泄露的确认信息，但该公司表示已通知英国数据保护监管机构信息专员办公室（ICO）。对于患者数据是否受影响的问题，NHS英格兰的一位发言人未立即回应置评请求。 DXS表示调查仍在进行中，正与NHS网络安全团队及外部专家合作，”他们正在进行彻底调查，以确定事件的性质和范围”。公司补充称，目前认为此事不会对其财务状况造成重大不利影响。 该公司为全英格兰的全科医生诊所和初级保健网络提供临床决策支持和转诊管理工具。其产品与NHS核心系统集成。据公司自身声明，其支持了英格兰约10%的NHS转诊，软件涉及数百万注册患者的工作流程。DXS并非核心电子健康记录提供商，也不存储中心医疗记录，但患者数据会由其用于向医疗保健提供者提供临床指导的部分系统进行处理。 并非孤立事件 此次事件发生之际，人们对英国卫生技术供应商遭受攻击的担忧日益加剧。此类事件凸显了即使第三方系统不托管核心记录，其遭受攻击也可能对运营产生影响。 去年，病理学供应商Synnovis遭受勒索软件攻击后，据信至少有一名患者死亡，数千例手术和预约被取消。2022年，软件供应商Advanced遭受的另一起勒索软件攻击导致用于分诊非紧急但急需医疗电话的NHS 111关键服务暂时关闭。在那次事件中，由于IT系统受影响，医生、护士和其他工作人员被迫使用纸笔完成工作，引发了英国政府的COBR危机管理会议，官员们担心攻击可能对患者护理造成影响。Advanced随后因安全漏洞被ICO罚款300万英镑。 英国现行的网络安全法规并未自动将DXS等第三方卫生IT供应商纳入要求其满足特定安全标准的条款。政府上个月向议会提交了具有里程碑意义的《网络安全与韧性法案》，威胁对未能保护自身免受网络攻击的公司处以高额罚款。根据该法案，为包括医疗保健在内的关键领域提供IT管理服务的公司可能会被纳入监管范围。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  被称为Kimsuky的朝鲜威胁行为者，被证实与一场新的攻击活动有关。该活动通过伪装成总部位于首尔的物流公司CJ Logistics（前身为CJ Korea Express）的钓鱼网站上托管的二维码，分发一种名为DocSwap的安卓恶意软件新变种。 韩国网络安全公司ENKI表示：”该威胁行为者利用二维码和通知弹窗，诱使受害者在移动设备上安装并执行恶意软件。该恶意应用程序会解密一个内嵌的加密APK文件，并启动一个提供远程访问木马功能的恶意服务。由于安卓系统默认阻止安装来源不明的应用并显示安全警告，威胁行为者声称该应用是安全、官方的版本，以此欺骗受害者忽略警告并安装恶意软件。” 据该公司称，其中一些恶意软件伪装成包裹快递服务应用。据评估，威胁行为者正在使用冒充快递公司的短信钓鱼或钓鱼邮件，诱骗收件人点击托管着恶意应用的恶意网址。 这次攻击的一个值得注意的特点是使用基于二维码的移动重定向。当用户从桌面电脑访问网址时，会提示他们在安卓设备上扫描页面显示的二维码，以安装所谓的包裹追踪应用并查询状态。该二维码设计用于将用户重定向到”tracking.php”脚本，该脚本实现服务器端逻辑，检查浏览器的User-Agent字符串，并显示一条消息，借口因所谓的”国际海关安全政策”需要验证身份，敦促他们安装”安全模块”。 如果受害者继续安装该应用，便会从服务器（”27.102.137[.]181″）下载一个APK包（”SecDelivery.apk”）。然后，该APK文件会解密并加载嵌入其资源中的加密APK，以启动新版本的DocSwap，但在此之前会先确认其已获得读取和管理外部存储、访问互联网以及安装其他软件包的必要权限。 ENKI表示：”一旦确认所有权限，它会立即将新加载APK的MainService注册为’com.delivery.security.MainService’。在服务注册的同时，基础应用程序会启动AuthActivity。该活动伪装成一次性密码（OTP）认证界面，并使用快递单号验证用户身份。” 快递单号在APK中硬编码为”742938128549″，很可能与恶意网址在初始访问阶段一同传递。一旦用户输入提供的快递单号，应用程序将生成一个随机的六位数验证码并作为通知显示，随后提示用户输入生成的验证码。 验证码一经输入，应用程序就会打开一个指向合法网址“www.cjlogistics[.]com/ko/tool/parcel/tracking”的WebView。与此同时，木马会在后台连接到攻击者控制的服务器（”27.102.137[.]181:50005″），并接收多达57条命令，使其能够记录键盘输入、捕获音频、开始/停止摄像头录制、执行文件操作、运行命令、上传/下载文件，以及收集位置信息、短信、联系人、通话记录和已安装应用列表。 ENKI表示，还发现了另外两个伪装样本：一个是P2B空投应用，另一个是被木马化的合法VPN程序BYCOM VPN（”com.bycomsolutions.bycomvpn”）的版本。该VPN程序在Google Play商店中提供，由一家名为Bycom Solutions的印度IT服务公司开发。安全公司补充道：”这表明威胁行为者向合法的APK中注入了恶意功能，并重新打包用于攻击。” 对威胁行为者基础设施的进一步分析，发现了模仿韩国Naver和Kakao等平台的钓鱼网站，旨在窃取用户凭证。这些网站被发现与先前Kimsuky针对Naver用户的凭证窃取活动存在关联。 ENKI表示：”执行的恶意软件会启动一个RAT服务，类似于过去的案例，但展示了进化的能力，例如使用新的原生函数来解密内部APK，并融合了多种伪装行为。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： HPE已修复其OneView软件中的一个最高严重性安全漏洞，如果被成功利用，可能导致远程代码执行。 这个被标记为CVE-2025-37164的关键漏洞，其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件，旨在简化IT运营并通过集中式仪表板界面控制系统。 HPE在本周发布的公告中表示：”已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用，允许远程未经身份验证的用户执行远程代码执行。” 该漏洞影响11.00版本之前的所有软件版本，而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。 值得注意的是，从6.60或更高版本升级到7.00.00版本后，或在执行任何HPE Synergy Composer重镜像操作后，必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2，提供了单独的热修复补丁。 尽管HPE未提及该漏洞在野外被利用的情况，但用户尽快应用补丁以获得最佳保护至关重要。 今年6月初，该公司还发布了更新，修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞，这些漏洞可能导致身份验证绕过和远程代码执行。此外，还发布了OneView 10.00版本，以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜相关联的黑客组织，已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中，该组织窃取金额至少达 20.2 亿美元。 区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示，这一数字较2024年的13亿美元增加6.81亿美元，同比增幅达 51%。该公司指出：“就被盗金额而言，2025年是朝鲜加密货币盗窃史上最严重的一年，其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前，朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。” 在朝鲜窃取的20.2亿美元中，仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor（又名 Jade Sleet、Slow Pisces）的黑客集群。哈德逊・罗克本月初发布的分析报告显示，一台感染了 Lumma Stealer恶意软件的设备，因关联邮箱 “trevorgreer9312@gmail [.] com”的存在，被证实与Bybit黑客攻击的基础设施相关联。 此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月，韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗，此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局，据估计，2020年至2023年间，该组织通过超25次加密货币盗窃，窃取了至少2亿美元。 黑客组织的双重作案策略 作为全球最活跃的黑客组织之一，朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者，以高薪工作为诱饵，诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性：一是收集敏感数据，二是规避国际制裁，为朝鲜政权赚取非法收入。 朝鲜黑客采用的第二种策略是，通过虚假身份或专门设立的幌子公司，将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限，为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出：“2025年盗窃金额创纪录，部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透，这种方式能加速初始访问和横向移动，为大规模盗窃铺路。” 资金洗白路径与相关案件判决 无论使用何种方法，被盗资金都会通过中文的钱款转移和担保服务，以及跨链桥、混币器和Huione等专门市场进行洗钱。此外，被盗资产遵循一种结构化的、多阶段的洗钱路径，该路径大约在黑客攻击后的45天内展开： 第一阶段：即时分层（0-5 天）—— 利用去中心化金融协议和混币服务，迅速将资金与盗窃源头脱钩； 第二阶段：初步整合（6-10 天）—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥； 第三阶段：最终整合（20-45 天）—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。 Chainalysis 表示：“朝鲜黑客大量使用专业中文洗钱服务和场外交易商，这表明他们与亚太地区的非法行为者联系紧密，也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。” 与此同时，美国司法部披露，马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划，被判处 15 个月监禁。2021 年至 2024 年间，该男子伪装其教育背景、培训经历和工作经验，成功受雇于至少 13 家美国公司，包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。 美国司法部表示：”Vong与他人合谋，包括一名住在沈阳、化名为William James的外国国民，欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后，Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。 值得注意的是，朝鲜关联黑客的 IT 人员渗透策略正发生转变：他们越来越多地以招聘者身份，通过 Upwork、Freelancer 等平台招募合作者，以扩大运作规模。 Security Alliance上月发布的报告指出：“这些招聘者会按照固定话术接触目标，寻求‘合作者’帮助投标和交付项目，并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中，受害者最终会交出自由职业者账户的完全访问权限，或安装 AnyDesk、Chrome 远程桌面等远程控制工具，这使得黑客能够以受害者的已验证身份和 IP 地址运作，规避平台审核并开展非法活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据奇安信XLab的研究，一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军，这些设备包括基于安卓系统的电视、机顶盒和平板电脑，并且可能与另一个名为 AISURU 的僵尸网络存在关联。 “Kimwolf是一个使用NDK编译的僵尸网络，” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外，它还集成了代理转发、反向Shell和文件管理功能。” 据估计，这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间，其一个C2域名曾登顶Cloudflare的全球前100域名榜单，甚至一度短暂超越谷歌。 Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球，其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而，恶意软件传播到这些设备的具体方式目前尚不清楚。 XLab表示，其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后，上月又发现了另外八个样本。 “我们观察到，Kimwolf的C2域名至少被未知方成功关闭了三次，迫使其升级策略，转而使用ENS来强化其基础设施，这展示了其强大的进化能力，” XLab研究人员说。 不仅如此，本月早些时候，XLab成功夺取了其中一个C2域名的控制权，从而得以评估该僵尸网络的规模。 Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联，后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测，攻击者在早期阶段重用了AISURU的代码，后来才选择开发Kimwolf僵尸网络以规避检测。 XLab表示，其中一些攻击可能并非仅来自AISURU，Kimwolf可能参与甚至主导了这些攻击。 “这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，” 该公司表示。”它们实际上属于同一个黑客组织。” 这一评估基于上传到VirusTotal平台的APK包的相似性，在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据：一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。 恶意软件本身相当直接。一旦启动，它会确保在受感染设备上只运行一个进程实例，然后继续解密嵌入的C2域名，使用基于TLS的DNS获取C2 IP地址，并连接到该地址以接收和执行命令。 截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术，该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址，旨在使其基础设施对打击行动更具弹性。 具体来说，这涉及到从事务的”lol”字段中提取IPv6地址，然后取该地址的最后四个字节，并用密钥”0x93141715″进行异或运算以得到实际的IP地址。 除了加密与C2服务器和DNS解析器相关的敏感数据外，Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言，该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据，攻击目标位于美国、中国、法国、德国和加拿大。 进一步分析确定，超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分，一个基于Rust的命令客户端模块被部署以形成代理网络。 同时分发给节点的还有ByteConnect SDK，这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。 “巨型僵尸网络起源于2016年的Mirai，感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上，” XLab表示。”然而，近年来，诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露，这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一场名为 GhostPoster 的新活动被发现利用 17款 Mozilla Firefox 浏览器扩展程序的 标志文件，嵌入旨在劫持联盟链接、注入追踪代码以及实施点击和广告欺诈的恶意JavaScript代码。 据发现此次活动的 Koi Security 称，这些扩展程序已被累计下载 超过5万次。目前相关插件已不可用。 这些浏览器程序被宣传为VPN、截图工具、广告拦截器以及非官方版本的谷歌翻译等。其中最早上架的扩展程序 Dark Mode 发布于2024年10月25日，声称能为所有网站启用深色主题。受影响的浏览器扩展程序完整列表如下： Free VPN Screenshot Weather (weather-best-forecast) Mouse Gesture (crxMouse) Cache – Fast site loader Free MP3 Downloader Google Translate (google-translate-right-clicks) Traductor de Google Global VPN – Free Forever Dark Reader Dark Mode Translator – Google Bing Baidu DeepL Weather (i-like-weather) Google Translate (google-translate-pro-extension) 谷歌翻译 libretv-watch-free-videos Ad Stop – Best Ad Blocker Google Translate (right-click-google-translate) 安全研究人员 Lotan Sery 和 Noga Gouldman 表示：”它们实际交付的是一个多阶段恶意软件载荷，会监控你浏览的所有内容，剥离浏览器的安全防护，并打开一个用于远程代码执行的后门。“ 攻击链始于加载上述任一扩展程序时获取其标志文件。恶意代码会解析该文件，寻找包含”===”标记的特定部分，以提取出JavaScript代码——一个加载器。该加载器会联系外部服务器以获取主载荷，每次尝试之间等待 48小时。 为进一步逃避检测，加载器被设定为仅在 10% 的情况下才去获取载荷。这种随机性是蓄意设计，旨在规避网络流量监控。 获取的主载荷是一个经过自定义编码的全面工具包，能够在受害者不知情的情况下通过四种方式从其浏览器活动中牟利： 联盟链接劫持：拦截指向淘宝、京东等电商网站的联盟链接，剥夺合法联盟会员的佣金。 追踪代码注入：向受害者访问的每个网页插入谷歌分析追踪代码，默默收集其用户画像。 安全标头剥离：从HTTP响应中移除如内容安全策略和X-Frame-Options等安全标头，使用户面临点击劫持和跨站脚本攻击风险。 隐藏Iframe注入：向页面注入不可见的iframe，加载攻击者控制服务器上的URL，用于广告和点击欺诈。 验证码绕过：采用多种方法绕过验证码挑战，规避机器人检测防护。 研究人员解释道：”为什么恶意软件需要绕过验证码？因为其部分操作（如隐藏iframe注入）会触发机器人检测。恶意软件需要证明自己是’人’才能继续运行。“ 除了概率检查，这些扩展程序还采用了基于时间的延迟，确保在安装超过六天后恶意软件才会激活。这些分层规避技术使得发现其幕后活动更加困难。 需要强调的是，并非所有上述扩展程序都使用完全相同的隐写攻击链，但它们都表现出相同的行为，并与相同的命令与控制基础设施通信，这表明这很可能是同一威胁行为者或组织所为，他们尝试了不同的诱饵和方法。 就在几天前，一款流行的适用于谷歌Chrome和微软Edge的VPN扩展程序被发现秘密收集ChatGPT、Claude和Gemini的AI对话，并将其外泄给数据代理商。而在2025年8月，另一款名为FreeVPN.One的Chrome扩展被发现收集屏幕截图、系统信息和用户位置。 “免费VPN承诺隐私，但天下没有免费的午餐，” Koi Security 评论道，”一次又一次，它们带来的是监控。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 无国界记者组织周三表示，其法医研究人员在一名白俄罗斯记者的手机上发现了一种此前未知的间谍软件工具。 该组织称，基于在反病毒平台上对比样本的分析，其认为该间谍软件至少自2021年起就已投入使用。这款被命名为”ResidentBat”的间谍软件能够访问通话记录、短信和加密应用程序信息、麦克风录音、本地存储的文件以及屏幕截图，主要用于攻击安卓手机。 据无国界记者组织新闻稿称，该记者和该组织均认为，间谍软件是在记者被白俄罗斯克格勃拘留期间安装的。手机在审讯期间被没收，当局一度强迫记者解锁手机。 类似威权政权在记者被警方或安全部门审讯时在其手机上安装间谍软件的案例最近在塞尔维亚和肯尼亚也有发生。 “威权政权利用拘留机会在手机上植入间谍软件的案例越来越多，”公民实验室的数字法证研究员约翰·斯科特-雷尔顿在社交媒体帖子中写道。”这项调查很重要，它提醒我们，独裁者并不总是需要零日漏洞。” 2024年12月，公民实验室报告称，他们在一名被指控支持乌克兰的俄罗斯程序员获释后，发现其手机被秘密植入了间谍软件。 这名白俄罗斯记者手机被感染的最近情况，是在其被拘留几天后手机上的反病毒软件标记出”可疑组件”后才得以曝光。该记者联系了东欧非营利组织RESIDENT.NGO，该组织随后与无国界记者组织共同分析了这部手机。 “通过部署ResidentBat等监控技术，白俄罗斯国家正在对独立新闻业实施蓄意的压制策略，”无国界记者组织的倡导与援助主任安托万·伯纳德在一份声明中说。”对其私人和职业生活进行系统性侵犯，相当于对新闻自由和基本权利进行直接且非法的攻击。” 在该组织进行的新闻自由调查中，白俄罗斯在180个国家和地区中排名第166位。 无国界记者组织表示已将其发现告知谷歌，这家科技巨头计划向所有被识别为该间谍软件活动目标的谷歌用户发送威胁通知。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“金狼”的全新巨型僵尸网络，其流量曾短暂超越谷歌，登上全球最热门网站榜首。研究人员警告，这个已控制约180万台安卓设备且仍在扩张的僵尸网络，有能力发动前所未有的网络攻击。 根据Cloudflare的数据，10月30日，一个奇怪的域名 14emeliaterracewestroxburyma02132[.]su 曾超越谷歌成为全球最受欢迎的网站。调查发现，这实际上是该僵尸网络用于协调数百万IP地址进行恶意活动的命令与控制服务器。 Xlab随后的调查揭露了这个被研究人员称为“金狼”的、“史上最疯狂”的僵尸网络。其规模已与迄今已知的最大僵尸网络“爱刷”相当甚至超越，而两者实际上共享部分代码库。研究人员通过抢先注册其中一个C2域名得以一窥其内部运作。在三天内，Xlab观测到了270万个不同的源IP地址。仅在12月4日一天，该僵尸网络就有183万个活跃IP地址。 Xlab保守估计，“金狼”由约180万台安卓设备组成，主要感染对象是部署在家庭网络中的电视盒子等安卓设备。这些设备很可能未经谷歌认证，因此缺乏Google Play保护。 获取的样本显示，“金狼”功能强大，除典型的DDoS攻击能力外，还集成了代理转发功能，使攻击者能隐藏真实位置并绕过基于IP的地理限制或黑名单。该恶意软件包含反向Shell，让攻击者能对受感染设备进行命令行访问，从而运行任意命令或部署额外恶意软件。此外，它还具备文件管理功能，能在设备间上传、下载和修改文件。 研究人员惊讶地发现，“金狼”与“爱刷”僵尸网络有关联，推测攻击者在早期阶段直接复用了“爱刷”的代码。但由于“爱刷”在安全产品中检测率较高，攻击者很可能因此重新设计了其隐匿和反检测能力。“金狼”使用了加密技术，并近期引入了利用区块链隐藏或动态获取恶意基础设施信息的“以太隐藏”技术。 该僵尸网络永不眠，受感染设备广泛分布于222个国家和地区的多个时区。按IP来源地统计，巴西约占14%，印度占12.71%，美国占9.58%，阿根廷占7.19%，南非占3.85%，菲律宾占3.58%，墨西哥占3.07%，中国占3.04%。 尽管无法直接测量，但通过观察两次大规模DDoS事件并与“爱刷”横向比较，研究人员认为“金狼”的攻击能力接近30Tbps。而当前的DDoS记录保持者“爱刷”单次攻击的最大吞吐量为29.7 Tbps。Xlab研究人员审查数据后确认“金狼”参与了攻击，并指出许多被归因于“爱刷”的攻击背后，可能并非其单独行动，“金狼”也参与其中，甚至可能是由“金狼”主导。这两个大型僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，实际上属于同一黑客组织。 尽管参与DDoS攻击，但发送给“金狼”僵尸网络的命令中，96.5%与提供代理服务相关。 对安全记者的“执念” “金狼”的运营者似乎有报复心理。他们甚至在Xlab研究人员调查期间发动了DDoS反制攻击，并在攻击载荷中嵌入针对中国人的攻击性信息。其他样本中还包含了硬编码的种族歧视言论、将金正恩称为最高领导人的政治观点、玩笑话，以及对知名安全记者布莱恩·克雷布斯的嘲讽。 Xlab指出，“金狼”经常在DDoS攻击载荷中包含各种嘲讽、挑衅甚至勒索信息。调查发现，“金狼”的作者对布莱恩·克雷布斯表现出近乎“偏执”的关注，在多个样本中留下了与其相关的“彩蛋”。连研究人员接管的域名中都包含了克雷布斯的名字。网络犯罪分子此前曾试图对其博客发动大规模DDoS攻击，但未成功。 打击行动进行中 Xlab接管攻击者C2服务器的行动似乎引发了后续ISP层面干预的“连锁反应”。其他第三方也处置了相关基础设施并停止了DNS解析。运营者被迫紧急升级C2基础设施，导致每日活跃僵尸设备数锐减至约20万台。然而，12月12日，“金狼”再次升级了基础设施，并傲慢地宣称：“我们有成百上千台服务器在持续尝试，哈哈！” Xlab研究人员敦促制造商改进整个供应链中安卓电视设备的安全性。用户应避免使用未经认证的低价杂牌安卓设备，设置强密码，及时应用固件更新，并避免下载来源不明的应用程序。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，一个多次被当局查封又屡次被攻击者恢复的数据泄露网站Breachforums上发布了攻击公告。攻击者吹嘘已侵入法国内政部，并窃取了多个存储敏感数据的政府系统信息。 黑客团队声称，此次攻击是对当局逮捕 “ShinnyHunters/hollow网络犯罪团伙成员的报复。此次泄露涉及超1640万法国人的信息，约占法国总人口的四分之一。 法国内政部向Cybernews证实，该部门遭遇“恶意入侵”，目前正在“最高级别”处理。据内政部称，初步技术调查显示，攻击者仅能查看有限数量的工作邮箱账户。 与此同时，《费加罗报》报道称，法国当局的初步调查显示，黑客很可能通过员工在邮件中明文分享的密码获取了凭证，从而访问了内政部的应用程序。 内政部称：“通过邮箱账户，攻击者获取了一些身份验证信息，进而访问了业务应用程序。目前正在分析以确定受影响数据的具体范围、性质和数量，尤其是哪些数据被泄露。”但现阶段仍不清楚攻击者具体访问了何种数据或是否窃取了详细信息。 内政部称已注意到Breachforums上的帖子，正在调查相关说法。所有必要措施正在采取以阻止此次入侵，并加强部委信息系统的整体安全。司法调查也在进行中，以期尽快识别并起诉肇事者。 攻击者声称了什么？ 攻击者最初声称此次黑客攻击涉及数百万法国公民的信息，并访问了犯罪记录处理系统、通缉人员档案库、国际刑警相关系统，以及内政部的财务和养老金计划数据集。虽然未具体说明可能泄露的数据类型，但据称被访问的数据集很可能包含大量敏感细节，从个人身份信息到犯罪记录和机密案件详情。内政部员工，包括警官，也可能受到影响。 其他报告指出，据称在数据泄露中暴露的1600万人是所有正在进行和过去司法程序中的嫌疑人和受害者。如果得到证实，此次攻击可能产生深远影响，因为大量敏感数据可能被外国政府和犯罪组织利用。 值得注意的是，这起所谓的对落网网络同伙的“报复”攻击也涉及金钱要求。攻击者给法国政府一周时间支付赎金以“删除”被盗数据，否则威胁将数据出售给其他网络犯罪分子。该消息后来从Breachforums上移除，网站显示“维护中”横幅。据攻击者称，他们因遭受DDoS攻击而被迫关闭论坛。 攻击者还透露，他们通过CHEOPS门户入侵了内政部，这是当局内部使用的通信系统。然而，并非所有人都相信攻击者确实获取了敏感信息。法国安全研究员、网络安全公司Predicta Labs的首席执行官巴蒂斯特·罗伯特指出，尽管攻击者声称大胆，但至今未提供任何数据样本作为证据。 攻击者上传了一张CHEOPS门户登录页面的截图，在用户密码输入处写有“WE ARE STILL HERE”。此外，还有一张模糊的身份证照片，暗示攻击者可能访问了一些警察的身份证件。罗伯特在X平台上用法语发帖质疑：“伙计们，你们甚至没有截一张自己在门户网站上认证的截图吗？这就是你们能展示的全部吗？”在后来的帖子中，这位安全研究员指出，虽然发生了严重的数据泄露，但目前没有迹象表明攻击者成功窃取了大量个人敏感数据。 过去的法国数据泄露事件 法国内政部的网络攻击并非该国首次遭遇重大数据安全事件。去年，Cybernews研究人员发现了一个暴露的数据库实例，包含超过9500万条记录，汇集了过去攻击中已知和未知的数据泄露。今年5月，Stormous勒索软件团伙在其暗网博客上发布了一个大型数据集，据称包含多个法国组织和机构的电子邮件和密码。 作为一个庞大而富裕的国家，法国经常成为网络犯罪分子的目标。仅今年，攻击者就针对法国旗舰航空公司法国航空、著名学府巴黎索邦大学以及法国足球联合会发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。此前ChatGPT披露了此次事件，近日该事件已波及到了Pornhub。黑客表示，他们掌握了Pornhub付费会员的浏览记录。 Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。 12月12日，Pornhub发布数据泄露通知称，其第三方数据分析服务商Mixpane遭遇攻击，导致部分付费会员信息受到影响。 尽管Pornhub声称自2021年起便已终止与Mixpanel的合作，但此次泄露的数据中仍包含“部分用户的少量分析事件记录”。 但Pornhub强调，此次泄露并未波及Pornhub付费会员系统。通知称：“用户的密码、账户凭证、支付信息以及身份证件信息均未遭到泄露或窃取。” Pornhub称，在收到Mixpanel的网络攻击通报后，它们已立即启动内部调查，以确定数据泄露的波及范围。 ShinyHunters黑客组织认领此次攻击 ShinyHunters已宣称对这起重大数据泄露事件负责。发给多家媒体的邮件显示，该网络犯罪团伙自上周起，已开始对Mixpanel的客户实施敲诈勒索。 随后，ShinyHunters向BleepingComputer证实，他们是这次勒索活动的幕后黑手，并坚称被盗数据集包含超过2亿条Pornhub用户记录，这些记录是通过发送给Mixpanel的分析事件收集的。 据报道，这些记录包括Pornhub付费会员的电子邮件地址、活动类型、位置、视频URL、视频标题、相关关键词以及显示活动发生时间的精确时间戳。ShinyHunters还声称该数据集包含用户的搜索历史。 受影响用户或面临花样勒索 网络安全公司ImmuniWeb首席执行官、欧洲刑警组织欧洲网络犯罪防御联盟成员伊利亚・科洛琴科在接受Cybernews采访时表示：“如果有关Pornhub 2.01亿条付费会员记录遭泄露的指控属实，那么这起数据泄露事件的恶劣程度或将超越2016年轰动一时的Adult Friend Finder数据泄露事件。” 科洛琴科指出，Adult Friend Finder数据泄露事件发生时，现代三重勒索策略尚未普及，但即便如此，该事件仍造成了毁灭性的现实后果。 这起事件“导致多人自杀、失业、家庭破裂，并引发多起政治丑闻，更不用说对受害者造成的长期心理创伤与精神损害”。 科洛琴科警告：“倘若此次Pornhub数据泄露事件的规模与发生时间果真如ShinyHunters所言，其后果可能比Adult Friend Finder事件更为严重，会对包括政客与名人在内的受害者造成难以挽回的伤害。” 网络敲诈手段正出现一种令人不安的全新升级趋势 “我们已经发现多起案例：网络犯罪团伙威胁受害者，若不支付赎金，就将窃取的受害者数据‘投喂’给主流大型大语言模型，对其进行数据污染。” 一旦此类数据进入人工智能训练数据库，造成的损害将极难消除。“当用户在AI聊天对话框中输入受害者姓名时，这些高度敏感的个人数据就可能出现在机器人的回复内容中。” 他补充道：“这种破坏性后果几乎无法彻底清除。即便聘请顶尖律师团队处理，受技术条件限制，完成全面清理工作也可能需要数周甚至数月时间。” 科洛琴科认为，这标志着数字敲诈进入了一个危险的新阶段。“2025 年，这类‘花样翻新’的敲诈手段愈演愈烈，一旦用户敏感数据遭窃取，受害者往往束手无策。” 他给出的结论一针见血：“总而言之，除非你能接受自己的数据登上低俗小报，再被AI聊天工具反复传播，否则切勿将个人信息托付给任何公司或第三方机构。” 黑客组织 ShinyHunters 是什么来头？ 该组织疑似成立于2020 年，是一个以英语为交流语言的黑客团伙，其成员据信主要藏身于美国和英国境内。ShinyHunters运营着臭名昭著的网络犯罪论坛Breached。今年9月，该团伙曾宣称入侵奢侈品牌开云集团，旗下拥有古驰、巴黎世家、亚历山大・麦昆等知名品牌，并盗取740万份客户数据文件。近期，该组织与另一黑客团伙Scattered Spider及LAPSUS$合并，组建名为Scattered LAPSUS$ Hunters的黑客联盟。 合并后的黑客组织已宣称入侵了戴尔、威瑞森电信、澳大利亚电信、莱卡移动通讯以及科威特航空等多家企业。 据该组织声称，累计窃取的用户记录已近10亿条，并扬言将公布包括谷歌、联邦快递、联合包裹、丰田、斯特兰蒂斯集团、阿迪达斯、迪士尼、家得宝等在内的 700 余家大型企业的数据。 OpenAI同样遭此毒手 11月底，OpenAI也曾证实，其第三方数据分析服务商 Mixpanel发生一起安全事件，导致其API平台的部分用户数据泄露。 OpenAI表示，该事件源于Mixpanel的系统内部，泄露的内容仅涉及部分API用户的少量分析数据，ChatGPT及其他产品的用户据称未受影响。 OpenAI方面称：“这并非OpenAI系统本身存在漏洞而引发的入侵事件。用户的聊天记录、应用程序编程接口请求内容、接口使用数据、密码、账户凭证、接口密钥、支付信息以及身份证件信息均未泄露或遭到窃取。” 在对该事件展开全面调查后，OpenAI已终止与Mixpanel 的合作，并再次强调，此次数据泄露并非由OpenAI系统存在安全漏洞导致。 OpenAI还补充道：“保障产品的安全性与用户隐私是我们的首要任务。我们将始终致力于保护用户信息，并在安全事件发生时，以公开透明的态度及时与用户沟通。” Mixpanel公开致歉 Mixpanel已就此次事件公开致歉，并在声明中表示，事件已得到有效控制。 这家数据分析公司在一份通知中称，其于2025年11月 8日检测到一起短信钓鱼攻击，随即启动应急响应机制。 Mixpanel表示，公司迅速采取行动“控制并消除非法访问风险”，锁定了受影响的账户，并邀请外部网络安全合作伙伴介入协助调查。 Mixpanel已直接向所有受影响的客户发送了通知。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  NoName057(16)，亦被称为05716nnm或NoName05716，已成为针对北约成员国和欧洲组织的重要威胁。 该组织起源于俄罗斯青年环境研究与网络监控中心内的一个秘密项目，自2022年3月以来一直积极实施分布式拒绝服务攻击。 该组织在俄罗斯联邦青年事务署领导层的支持下运作，并遵从俄罗斯政府利益的指导，已将自己定位为反对俄罗斯地缘政治目标的西方机构的主要网络威胁。 该组织的主要攻击能力依赖于DDoSia项目，这是一个通过Telegram频道招募志愿者的众包僵尸网络。 志愿者会获得易于使用的基于Go语言的攻击工具，并因其参与而获得加密货币奖励。这种基于志愿者的模式在针对不同目标扩大攻击规模方面已被证明非常有效。 DDoSia与传统僵尸网络的不同之处在于其简单性，使得技术专长有限的个人也能参与协调攻击。 到2024年，NoName057(16)通过与其他亲俄罗斯的黑客行动主义团体合作扩大了影响力，其中尤其值得注意的是”俄罗斯重生网络军”，该组织最终促成了Z-Pentest于2024年9月成立。 Picus Security的分析师发现了支撑DDoSia攻击基础设施的复杂两阶段通信协议。 技术机制 系统首先通过向命令与控制服务器的 /client/login 端点发送HTTP POST请求进行客户端认证，客户端在此过程中传输加密的系统信息，包括操作系统详情、内核版本和CPU规格。 在收到包含UNIX时间戳的200 OK响应（表明认证成功）后，客户端进入第二阶段，通过向 /client/get_targets 发送GET请求来获取目标配置。 该运营基础设施采用了旨在规避检测和缓解的弹性多层架构。第一层由面向公众的命令与控制服务器组成，直接与DDoSia客户端通信，这些服务器的平均寿命约为9天，不过许多会每日轮换。 第二层后端服务器维护核心逻辑和目标列表，其访问权限通过访问控制列表严格控制，仅允许来自授权第一层服务器的连接。 这种隔离确保了即使第一层节点被识别和封锁，核心基础设施仍能保持运行。 分析显示其运营节奏很快，平均每天攻击50个独特目标，且活动模式与俄罗斯标准工作时间高度相关。 乌克兰遭受的攻击占比最大，为29.47%，其次是法国（6.09%）、意大利（5.39%）、瑞典（5.29%）和德国（4.60%）。政府部门占攻击目标的41.09%，交通和电信部门也受到严重影响。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型基于互联网的攻击正在将太阳能电力基础设施转变为高风险目标，使黑客仅需利用开放的端口和免费工具就能在几分钟内中断能源生产。 现代太阳能电站依赖网络化的运营技术，包括SCADA控制器和组串监测箱，其中许多设备仍使用Modbus协议。这是一种遗留协议，没有内置安全功能。 当这些设备暴露在互联网上时，攻击者可以远程发送控制命令，在晴朗的天气里仅用一个数据包就能切断电力。 Cato Networks的分析师注意到，针对直接控制太阳能电池板输出的启用Modbus的组串监测箱，存在大规模侦察和利用尝试。 通过滥用通常暴露在502端口的TCP上的Modbus协议，对手可以读取设备状态，然后翻转控制位来开启或关闭组串。 这种风险不需要零日漏洞或复杂的负载，它来自于默认开放的服务和设计上就不安全的协议。一旦攻击者识别出一台可访问的设备，从首次探测到造成电力中断的时间可以从几天缩短到几分钟。 Cato Networks的研究人员发现，当这些攻击与能够自动扫描、指纹识别和针对OT资产进行命令注入的智能体AI框架结合时，其影响范围会进一步扩大。 AI驱动的工具可以快速扫描大范围IP地址，发现暴露的Modbus服务，并以机器速度测试可写的寄存器。这改变了太阳能电站运营者的威胁模型，因为人类防御者在监控和响应方面难以跟上这种速度。 来源分析凸显了薄弱点：组串监测箱。它使用Modbus协议，并将光伏组串连接到SCADA”大脑”。一旦这个箱子被入侵，攻击者实际上就变成了一个恶意SCADA操作员。 他们可以使用简单的Modbus功能码来读取电压和电流的保持寄存器，然后写入改变系统状态的线圈或寄存器值。在许多部署中，这些箱子位于扁平网络上，IT和OT之间没有分段，这使得横向移动更加容易。 基于Modbus的命令级操控 该威胁的核心是通过Modbus/TCP直接操控寄存器。攻击者首先使用Nmap的Modbus NSE脚本进行基本发现，以确认主机在502端口上运行Modbus并枚举设备ID。 用于OT侦察的典型Nmap命令如下所示： nmap -sV -p 502 --script modbus-discover <目标IP> 这一步显示了哪些单元ID会响应以及支持哪些功能码。然后，攻击者会转向使用如mbpoll或modbus-cli等工具来读写寄存器。 例如，恶意操作员可以通过向一个控制寄存器写入特定值来尝试关闭一个光伏组串： mbpoll -m tcp -t 0 -r 0xAC00 -0 1 <目标IP> # 0xAC00 映射为"关闭" 在已有案例中，像0xAC00和0xAC01这样的寄存器分别被映射为”关闭”和”开启”。 通过循环这些命令，攻击者可以快速切换组串、给逆变器施加压力，或者在电站保持在线的情况下静默地降低发电量。 当这些操作被封装在AI驱动的逻辑中时，脚本可以持续探测是否接受指令、重试失败的写入，并适应部分防御措施，将简单的寄存器修改转变为可靠、可重复的漏洞利用。 Cato Networks的报告通过一个关于暴露的Modbus端口502的真实世界警报强调了这个问题，该警报被评为高风险，并与过于宽松的防火墙规则有关。 总之，这些发现全面、技术性地解析了太阳能资产上暴露在互联网的Modbus服务如何被利用，从而导致快速、高影响的电网中断。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款拥有”精选”徽章和六百万用户的 Google Chrome 扩展程序，被发现在用户不知情的情况下，收集他们输入到各类人工智能聊天机器人的所有提示词，包括 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。 这款有问题的扩展程序是 Urban VPN Proxy，在 Google Chrome 网上应用店的评分为 4.7 星。它被宣传为”访问任何网站的最佳安全免费 VPN，并能解锁内容”。其开发者是一家位于特拉华州、名为 Urban Cyber Security Inc. 的公司。在 Microsoft Edge 加载项市场中，它拥有 130 万次安装。 尽管声称允许用户”保护您的在线身份、保持安全并隐藏您的 IP 地址”，但在 2025 年 7 月 9 日，当版本 5.5.0 发布时，一项更新被推送给了用户。该版本默认启用了通过硬编码设置实现的 AI 数据收集功能。 具体而言，这是通过一个定制的执行器 JavaScript 来实现的，该脚本会针对每个目标 AI 聊天机器人（例如 chatgpt.js、claude.js、gemini.js）触发，以拦截和收集安装了该扩展程序的用户每次访问任何目标平台时的对话。 一旦脚本被注入，它会覆盖用于处理网络请求的浏览器 API——fetch() 和 XMLHttpRequest()——以确保每个请求首先通过扩展程序的代码路由，从而捕获对话数据，包括用户的提示词和聊天机器人的回复，并将其外泄到两个远程服务器（”analytics.urban-vpn[.]com” 和 “stats.urban-vpn[.]com”）。 该扩展程序捕获的具体数据列表如下： 用户输入的提示词 聊天机器人的回复 对话标识符和时间戳 会话元数据 使用的 AI 平台和模型 “Chrome 和 Edge 扩展默认会自动更新，” Koi Security 的 Idan Dardikman 在今天发布的一份报告中表示。”那些为了其宣称的 VPN 功能而安装了 Urban VPN 的用户，某天醒来时会发现新代码正在悄悄收集他们的 AI 对话记录。” 值得一提的是，截至 2025 年 6 月 25 日，Urban VPN 更新的隐私政策提到，它收集这些数据是为了增强安全浏览功能和用于营销分析，并且对所收集的 AI 提示词进行的任何其他二次使用都将在去标识化和匿名化的数据上进行—— “作为浏览数据的一部分，我们将收集最终用户查询或由 AI 聊天提供方生成的提示词和输出。也就是说，我们只对 AI 提示词和您与聊天 AI 互动的结果感兴趣。由于 AI 提示词所涉数据的性质，可能会处理一些敏感的个人信息。然而，此处理的目的并非收集个人或可识别数据。我们无法完全保证去除所有敏感或个人信息，但我们采取措施过滤或消除您可能通过提示词提交的任何标识符或个人数据，并对数据进行去标识化和聚合处理。” 与其共享”网络浏览数据”的第三方之一，是一家名为 BIScience 的关联广告情报和品牌监测公司。该 VPN 软件制造商指出，该公司使用原始（非匿名化）数据来创建”用于商业用途并与商业合作伙伴共享”的洞察报告。 值得注意的是，BIScience在今年 1 月初曾被一名匿名研究员点名，因其在具有误导性的隐私政策披露下，收集用户的浏览历史记录（或称点击流数据）。 据称，该公司向合作的第三方扩展开发者提供软件开发工具包，以收集用户的点击流数据，这些数据被传输到其控制下的 sclpfybn[.]com 域名及其他端点。 “BIScience 及其合作伙伴利用了 Chrome 网上应用店政策中的漏洞，主要是有限使用政策中列出的例外情况，即’批准的用例’，” 该研究员指出，并补充说他们”开发了据称需要访问浏览历史记录的用户端功能，以主张’为提供或改进您的单一目的所必需’的例外情况。” 在扩展程序的列表页面上，Urban VPN 还突出宣传了一项”AI 保护”功能，据称可以检查提示词是否包含个人数据，检查聊天机器人的回复中是否有可疑或不安全链接，并在用户提交提示词或点击链接前显示警告。 虽然这种监控被包装为防止用户意外分享任何个人信息，但开发者未提及的是，无论此功能是否启用，数据收集都会发生。 “该保护功能偶尔会显示关于与 AI 公司共享敏感数据的警告，” Dardikman 说。”而收集功能却将那些完全相同的敏感数据——以及其他所有内容——发送到 Urban VPN 自己的服务器，在那里被出售给广告商。该扩展程序警告您不要与 ChatGPT 共享您的电子邮件，同时却将您的整个对话内容外泄给数据中间商。” Koi Security 表示，他们在同一发布者的另外三款 Chrome 和 Microsoft Edge 扩展中也观察到了完全相同的 AI 数据收集功能，这使得其总安装基数超过八百万： 1ClickVPN Proxy Urban Browser Guard Urban Ad Blocker 所有这些扩展程序（Edge 版的 Urban Ad Blocker 除外）都带有”精选”徽章，给用户一种印象，即它们遵循了平台的”最佳实践，并符合高标准的用户体验和设计”。 “这些徽章向用户表明，这些扩展程序已经过审核并符合平台质量标准，” Dardikman 指出。”对许多用户来说，精选徽章是决定安装还是忽略一个扩展程序的关键——这是来自 Google 和 Microsoft 的隐含认可。” 这些发现再次表明，与扩展程序市场相关的信任如何被滥用以大规模收集敏感数据，尤其是在用户越来越多地与 AI 聊天机器人分享深度个人信息、寻求建议和讨论情感的时候。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队披露了一项”长达数年”的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。 此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。 亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。 亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示：”这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。” 已发现这些攻击在五年期间利用了以下漏洞和策略： 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318），并针对配置不当的边缘网络设备。 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084 和 CVE-2023-22518），并持续针对配置不当的边缘网络设备。 2024年：利用Veeam漏洞（CVE-2023-27532），并持续针对配置不当的边缘网络设备。 2025年：持续针对配置不当的边缘网络设备。 根据亚马逊的说法，此次入侵活动主要针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台以及基于云的项目管理系统。 考虑到威胁行为者有能力将自己战略性地部署在网络边缘以截取传输中的敏感信息，这些努力很可能是为了大规模窃取凭据。遥测数据还发现了一些被描述为针对亚马逊网络服务（AWS）基础设施上托管的配置不当客户网络边缘设备的协同攻击尝试。 “网络连接分析显示，由攻击者控制的IP地址与运行客户网络设备软件的受入侵EC2实例建立了持久连接，”摩西说。”分析揭示了与跨多个受影响实例的交互式访问和数据检索相一致的持久连接。” 此外，亚马逊表示观察到针对受害组织在线服务的凭据重放攻击，作为试图更深入渗透目标网络的一部分。尽管评估认为这些尝试并未成功，但它们进一步证实了上述假设，即对手正在从受入侵的客户网络基础设施中窃取凭据，用于后续攻击。 整个攻击过程如下： 入侵托管在AWS上的客户网络边缘设备。 利用本机数据包捕获功能。 从截获的流量中收集凭据。 针对受害组织的在线服务和基础设施重放凭据。 建立持久访问以进行横向移动。 凭据重放攻击的目标遍及北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。 “攻击目标显示了对能源行业供应链的持续关注，包括直接运营商和有权访问关键基础设施网络的第三方服务提供商，”摩西指出。 有趣的是，该入侵集群的基础设施（91.99.25[.]54）与Bitdefender追踪的另一个名为”Curly COMrades”的集群存在重叠，该集群被认为自2023年底以来一直与俄罗斯利益保持一致。这增加了两种集群可能代表GRU开展的更广泛行动中互补操作的可能性。 摩西说：”这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久化和逃避——符合GRU由专门子集群支持更广泛行动目标的运作模式。” 亚马逊表示已识别并通知了受影响的客户，同时阻止了针对其云服务的活跃威胁行为者操作。建议组织审计所有网络边缘设备是否有异常的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭据重放攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国内政部长洛朗·努涅斯周五宣布，威胁行为者入侵了内政部的电子邮件服务器。 此次攻击是在12月11日至12日夜间被发现的。根据法国内政部长的说法，攻击者访问了一些文档文件，但数据是否被盗尚未得到证实。 努涅斯对RTL电台表示：”发生了一起网络攻击。攻击者能够访问一些文件……但没有证据表明这些文件被严重泄露。” 努涅斯补充说，政府已对此事件展开调查，目前调查仍在进行中。 他补充道：”我们没有发现严重泄露的证据。我们正在进行调查，包括司法调查，最重要的是，我们提高了安全级别。我们所有人员访问信息系统的程序都已收紧。” 法国内政部长没有分享有关此次攻击的技术细节。 针对此次安全漏洞，内政部加强了安全措施，并强化了其所有信息系统的访问控制。 当局正在探讨此次网络攻击的所有可能性，包括外国干涉、黑客活动主义或网络犯罪，调查正在进行以确定其来源。 今年4月，法国政府将一项针对十几个法国实体的、长达四年的黑客攻击活动归咎于与俄罗斯有关的APT28组织。法国政府透露，这个与俄罗斯有关的APT28组织攻击或入侵了十几个政府组织和其他法国实体。2024年，据观察该组织攻击了OT组织，并与针对亚洲和欧洲60个实体的网络攻击有关联。 自2021年以来，APT28一直针对或入侵法国的部级机构、地方政府、国防科技工业基础部门、航空航天、研究机构、智库和金融实体。2024年，其攻击主要针对政府、外交和研究部门，其中一些攻击活动专门针对法国政府组织。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文