HackerNews

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的网络犯罪团伙”Everest Group”在其暗网泄密网站上将爱尔兰都柏林机场列为受害者，指控其发动了此次勒索软件攻击。都柏林机场年客流量逾3500万人次，为40家航空公司提供超过150个航点的服务。 此前该团伙刚宣称攻破柯林斯航空航天公司及其用于值机服务和旅客管理的MUSE软件系统，该攻击曾导致欧洲多座主要机场瘫痪数日，引发航运混乱。 管理都柏林机场的公司Daa此前曾发布声明，称乘客数据是因第三方系统遭入侵而受影响。 此次黑客的声明可能与此前柯林斯航空航天公司的数据泄露事件相关，也可能意味着航空领域正遭受新一轮攻击。 目前该犯罪团伙尚未发布数据样本佐证其声明。其受害者网站上发布的公告包含倒计时器，显示机场方若未在五日内联系黑客，被盗数据将被公开。 勒索软件组织通常通过在暗网泄密网站公布受害者名单，企图胁迫相关机构支付赎金，否则将面临敏感数据泄露的严重后果。 该勒索软件组织声称窃取了包含旅客个人信息与航班运营数据的敏感信息。据其声明，被盗数据集涉及1,533,900条个人记录。 据称泄露内容包含：乘客全名、航班号、座位信息、起降机场、票号、常旅客信息，甚至涵盖办理值机及生成登机牌时所使用的设备详情。 都柏林机场疑似泄露数据类型清单 全名 旅客状态及分类（如成人/儿童/员工） 常旅客航空公司、会员编号及等级 免费行李额度与快速通关资格 预订编码(PNR) 航空公司名称及数字代码 航班号与日期 起降机场代码 座位号及舱位等级 序列号与航段数量 市场方与实际承运方 机票凭证及序列号 电子机票标识 登机牌签发来源及日期 证件类型与签发航司代号 安检抽检标识 国际证件验证状态 行李牌编号（含非连续编号） 值机或登机设备名称、ID及类型 工作站ID与时间戳 起飞日期与时间 条形码格式及软件版本号 若此次泄露被证实属实，旅客身份信息、航班规律、会员凭证及数字接触点都将面临曝光风险。 据信该团伙与BlackByte勒索组织存在关联。5月22日，Everest瞄准可口可乐中东分公司，最终泄露了该公司多个分销中心近千名员工资料。 作为对全球最大可口可乐装瓶商”可口可乐欧洲太平洋伙伴”大规模攻击的一环，该勒索组织据称窃取了约2300万条数据。 在对可口可乐攻击数日后，该组织又宣称攻破阿联酋知名国际私立医院Mediclinic、阿布扎比文化与旅游部以及约旦科威特银行。 该团伙还是2022年10月AT&T攻击事件的幕后黑手，声称可访问AT&T整个企业网络，并于2024年秋季攻击了Radisson Country Inn and Suites连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汇丰银行美国分行日前发生重大数据泄露事件。网络犯罪分子在黑客论坛公开宣称，已获取包含客户银行账号、交易记录在内的敏感信息。 汇丰银行是全球最大金融机构之一，其总部设于英国，年度营收逾620亿美元，全球雇员约22万人。今年初已宣布调整美国市场战略，逐步退出商业银行业务。 日前汇丰银行发生重大数据泄露事件。据悉，黑客在专门交易非法数据的论坛上发布了这批数据，并声称是通过有组织的协同攻击得手。 Cybernews研究团队对黑客公开的数据样本进行深入解析后发现，泄露信息包含以下敏感内容： 姓名、地址、社会安全号码、出生日期、电话号码、电子邮箱地址、交易记录、股票交易指令及银行账号等。 网络安全专家指出，这些泄露信息可能被犯罪分子用于进行多种非法活动。如： 身份盗用（开设欺诈账户/虚假报税） 针对消费习惯策划精准网络诈骗 冒充金融机构进行电信诈骗 业内人士分析，此次事件不仅可能对汇丰美国的商誉造成重创，更可能导致大量客户转移资产。 由于攻击者提供的数据样本并未完整展示被盗数据集的全貌，目前尚不清楚这些数据是否属于零售银行客户。 如果是，相关信息可能比攻击者声称的更为陈旧，因为汇丰美国已退出美国大众零售市场。 但根据团队分析，样本中的日期显示信息为几周前更新。若如此，被盗数据库可能涉及该银行的企业及机构客户。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织SafePay声称对德国视频监控提供商Xortec的成功攻击负责，并将该公司列入其数据泄露网站。勒索软件支付截止日期为2025年10月27日。 Xortec GmbH总部位于法兰克福，在德国各地设有办事处，是一家增值分销商和系统集成商，专注于视频监控、IP网络和安全解决方案。该公司为企业及安装服务客户提供摄像头、网络录像机、门禁系统、布线与咨询服务。Xortec于2021年被Beyond Capital Partners收购，是一家快速增长的B2B公司，拥有数十名员工，年收入超过750万欧元，其增长主要由大型安装项目驱动。 该公司的客户主要为B2B类型：包括系统集成商、专业安装商、系统厂商以及在全球（尤其是在德语区及更广泛的国际市场）运营的经销商。鉴于其核心业务聚焦于视频监控和通信解决方案，Xortec提供的产品与服务构成了零售、物流、公共及私人基础设施和关键设施等多个行业安全基础架构的支撑。 对Xortec这类公司的攻击可能因其在安全供应链中的角色而产生广泛影响。攻击者可能在安装商使用的硬件或软件中植入后门，从而泄露客户数据、监控布局和运输记录。遭篡改的固件可能破坏对数千个已部署系统的信任。若Xortec的物流运营受阻，其影响将波及经销商和最终用户，甚至可能涉及交通或公用事业等关键行业——这使得此次入侵事件成为一个超越单一公司范畴的、系统性的、多层级风险。 SafePay是一个自2024年底开始活跃的快速崛起的勒索软件组织。该组织独立运营，采用数据窃取与加密的双重勒索策略，其攻击目标遍布制造业、医疗保健和政府等全球多个行业。该网络犯罪组织在获取访问权限后的24小时内迅速行动，并且会避开俄罗斯系统，这暗示其可能源于东欧地区。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，本周初俄罗斯农业与食品安全监管机构遭遇网络攻击，导致全国范围内的食品运输受阻。 俄罗斯联邦动植物卫生监督局表示，其在周三遭受了大规模分布式拒绝服务攻击，影响了其在线基础设施，包括用于追踪农产品和化学品流动的”VetIS”和”Saturn”系统。 据俄罗斯贸易媒体《Shopper’s》报道，此次中断导致食品交付严重延迟，因为电子兽医认证平台”Mercury”——VetIS系统的组成部分——一度无法访问。两家主要乳制品生产商和一家婴儿食品制造商向该媒体透露，他们在周三数小时内无法运输产品。 俄罗斯联邦动植物卫生监督局称，其网络中存储的数据”在完整性和机密性方面未受到威胁”。该机构未对事件进一步置评，目前尚无黑客组织声称对此次攻击负责。 根据俄罗斯法律，处理肉类、牛奶、鸡蛋和其他动物产品的公司必须在Mercury系统注册，并出具确认产品真实性和安全性的电子兽医证书。没有这些证书，供应商无法合法地向零售商或加工商交付货物。 一家公司经理表示，生产流通瘫痪了半日，并补充说由于缺乏允许在没有电子文件的情况下发货的应急程序，导致了经济损失。 俄罗斯联邦动植物卫生监督局否认了关于系统长时间中断的报道，并于周四表示Mercury系统正在”照常运行”。截至周五，该机构的网站可以访问，但尚不清楚所有受影响的系统是否已完全恢复。 据报道，这是Mercury系统今年第四次遭遇攻击。在6月份，类似事件曾迫使乳制品生产商恢复使用纸质证书，由于区域分销中心和主要零售商难以应对供应中断，引发了物流混乱。 据当地乳制品行业协会称，一些零售商当时拒绝接收没有电子文件的产品，而监管机构不明确的指导也导致了供应商的困惑。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周四发布了带外安全更新，以修复一个Windows Server Update服务中的严重漏洞。该漏洞的概念验证漏洞利用已公开，并且已在野外遭到积极利用。 相关漏洞为CVE-2025-59287（CVSS评分：9.8），这是WSUS中的一个远程代码执行漏洞。该漏洞最初由微软在上周发布的”补丁星期二”更新中进行了修复。 三位安全研究人员 MEOW、f7d8c52bec79e42795cf15888b85cbad 以及 CODE WHITE GmbH 的 Markus Wulftange 因发现并报告此漏洞而获得致谢。 该缺陷涉及WSUS中不受信任数据的反序列化问题，允许未经授权的攻击者通过网络执行代码。值得注意的是，该漏洞不影响未启用WSUS服务器角色的Windows服务器。 在一个假设的攻击场景中，远程未经身份验证的攻击者可以发送一个特制的事件，该事件会在”传统序列化机制”中触发不安全的对象反序列化，从而导致远程代码执行。 根据HawkTrace的安全研究员Batuhan Er的说法，该问题”源于发送到GetCookie()端点的AuthorizationCookie对象的不安全反序列化，其中加密的cookie数据使用AES-128-CBC解密，随后通过BinaryFormatter进行反序列化，但缺乏适当的类型验证，从而使得能够以SYSTEM权限执行远程代码。” 值得注意的是，微软自己此前曾建议开发人员停止使用BinaryFormatter进行反序列化，因为该方法在处理不受信任的输入时不安全。BinaryFormatter的一个实现随后在2024年8月的.NET 9中被移除。 “为全面解决CVE-2025-59287，微软已为以下受支持的Windows Server版本发布了带外安全更新：Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022, 23H2版（Server Core安装）以及Windows Server 2025，”微软在一次更新中表示。 安装补丁后，建议执行系统重启以使更新生效。如果无法应用此带外更新，用户可以采取以下任一行动来防范该漏洞： 在服务器中禁用WSUS服务器角色（如已启用） 在主机防火墙上阻止对端口8530和8531的入站流量 “在安装更新之前，请勿撤销任何这些临时解决方案，”微软警告说。 此消息发布之际，荷兰国家网络安全中心表示，其从”可信合作伙伴处获悉，在2025年10月24日观察到了CVE-2025-59287的滥用行为。” 向NCSC-NL报告了此次野外利用的Eye Security表示，他们首次观察到该漏洞在UTC时间早上6:55被利用，目的是投递一个针对某未具名客户的Base64编码的有效载荷。该有效载荷是一个.NET可执行文件，”获取请求头’aaaa’的值并使用cmd.exe直接运行它。” “这是发送给服务器的有效载荷，它使用名为’aaaa’的请求头作为要执行命令的源，” Eye Security的首席技术官Piet Kerkhofs告诉The Hacker News。”这避免了命令直接出现在日志中。” 当被问及利用行为是否可能早于今天发生时，Kerkhofs指出，”HawkTrace的概念验证两天前就发布了，它可以使用标准的ysoserial .NET有效载荷，所以是的，利用所需的要素已经具备。” 网络安全公司Huntress也表示，他们检测到威胁行为者从大约UTC时间2025年10月23日23:34开始，针对公开暴露在其默认端口（8530/TCP和8531/TCP）上的WSUS实例。然而，该公司指出，由于WSUS通常不会暴露8530和8531端口，CVE-2025-59287的利用范围可能有限。 “攻击者利用暴露的WSUS端点发送特制请求（对WSUS Web服务的多个POST调用），触发了针对更新服务的反序列化远程代码执行，”该公司表示。 此次利用活动导致WSUS工作进程生成了”cmd.exe”和PowerShell实例，从而下载并执行了一个Base64编码的PowerShell有效载荷，目的是枚举暴露的服务器以获取网络和用户信息，并将结果外泄到攻击者控制的webhook[.]site URL。 “我们现在看到对微软WSUS服务中的预身份验证远程代码执行漏洞进行了无差别的野外利用，该漏洞在10月初被披露，” watchTowr的Benjamin Harris在一份声明中表示。”此漏洞的利用是无差别的。” “如果一个未打补丁的WSUS实例在线，那么在此阶段，它很可能已经被攻陷。在2025年，真的没有任何合法理由让WSUS可以从互联网访问——任何处于这种情况的组织可能需要指导来了解他们是如何陷入这种境地的。” “我们已经观察到8000多个实例暴露在外，包括极其敏感、高价值的组织。这不仅限于低风险环境——一些受影响的实体正是攻击者优先考虑的目标类型。” 当联系置评时，微软的一位发言人告诉该刊物：”我们在发现初始更新未能完全缓解该问题后重新发布了此CVE。已安装最新更新的客户已受到保护。” 该公司还强调，该问题不影响未启用WSUS服务器角色的服务器，并建议受影响的客户遵循其CVE页面上的指南。 鉴于概念验证漏洞利用的可用性和已检测到的利用活动，用户必须尽快应用补丁以减轻威胁。美国网络安全和基础设施安全局也已将该漏洞添加到其已知被利用漏洞目录中，要求联邦机构在2025年11月14日之前进行修复。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个恶意YouTube账号网络被曝光，该网络通过发布和推广诱导用户下载恶意软件的视频，滥用了这一视频托管平台的普及度和用户信任来传播恶意负载。 该网络自2021年开始活跃，迄今已发布了超过3000个恶意视频，且自今年年初以来此类视频数量增加了两倍。Check Point将其命名为”YouTube幽灵网络”。谷歌已介入移除了其中大部分视频。 该活动利用被黑客入侵的账号，将其内容替换为以盗版软件和Roblox游戏作弊工具为中心的”恶意”视频，从而感染那些搜索这些内容而不幸中招的用户，使其感染信息窃取程序。其中一些视频的观看量高达数十万次，范围在14.7万到29.3万之间。 “这次行动利用了包括观看量、点赞和评论在内的信任信号，使恶意内容看起来安全，” Check Point 安全研究组经理 Eli Smadja 说。”看似有用的教程，实际上可能是一个精巧的网络陷阱。这个网络的规模、模块化和复杂程度，为威胁行为体如何武器化互动工具来传播恶意软件提供了一个蓝图。” 利用YouTube分发恶意软件并非新现象。多年来，威胁行为体一直被观察到劫持合法频道或使用新创建的账号发布教程式视频，并在描述中提供恶意链接，点击后会导致恶意软件感染。 这些攻击是更广泛趋势的一部分，攻击者将合法平台重新用于邪恶目的，将其变为有效的恶意软件分发渠道。虽然一些活动滥用了与谷歌或必应等搜索引擎相关的合法广告网络，但其他活动则利用GitHub作为传播载体，例如”Stargazers幽灵网络”案例。 “幽灵网络”能够大行其道的主要原因之一是，它们不仅可用于放大所分享链接的感知合法性，而且由于其基于角色的结构，即使在账号被平台所有者封禁或删除后，仍能保持运营连续性。 “这些账号利用各种平台功能，如视频、描述、帖子和评论来推广恶意内容并分发恶意软件，同时制造一种虚假的信任感，”安全研究员 Antonis Terefos 表示。 “该网络大部分由被入侵的YouTube账号组成，这些账号一旦被纳入，就会被分配特定的操作角色。这种基于角色的结构实现了更隐蔽的分发，因为被禁账号可以迅速被替换，而不会中断整体运营。” 具体存在三种类型的账号： 视频账号：上传诱导性视频，并在描述中提供下载所宣传软件的链接（或者，链接以置顶评论的形式分享，或直接在视频中作为安装过程的一部分提供）。 帖子账号：负责发布包含外部网站链接的社区消息和帖子。 互动账号：负责点赞和发布鼓励性评论，为视频披上信任和可信度的外衣。 这些链接将用户引导至各种服务，如MediaFire、Dropbox或Google Drive，或托管在Google Sites、Blogger和Telegraph上的钓鱼页面，这些页面进而包含下载所谓软件的链接。在许多情况下，链接使用URL缩短器进行隐藏以掩盖真实目的地。 通过YouTube幽灵网络分发的一些恶意软件家族包括Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer以及其他基于Node.js的加载器和下载器： 一个名为 @Sound_Writer（拥有9690名订阅者）的频道，被入侵超过一年，用于上传加密货币软件视频以部署Rhadamanthys。 一个名为 @Afonesio1（拥有12.9万名订阅者）的频道，在2024年12月3日和2025年1月5日被入侵，上传了一个宣传Adobe Photoshop破解版的视频，用于分发一个MSI安装程序，该安装程序会部署Hijack Loader，进而传递Rhadamanthys。 “恶意软件分发方法的持续演变，表明了威胁行为体在绕过传统安全防御方面卓越的适应性和资源丰富性，” Check Point 表示。”对手正越来越多地转向更复杂的、基于平台的策略，最显著的是部署’幽灵网络’。” “这些网络利用合法账号固有的信任以及流行平台的互动机制，来策划大规模、持久且高效的恶意软件活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关联的威胁行为体被发现针对印度政府实体发起鱼叉式网络钓鱼攻击，旨在投递一种基于Golang的恶意软件，名为DeskRAT。 Sekoia在2025年8月和9月观测到此次活动，并将其归因于Transparent Tribe（又名APT36），这是一个至少自2013年以来就活跃的由国家资助的黑客组织。此次攻击也建立在CYFIRMA于2025年8月披露的先前活动之上。 攻击链涉及发送包含ZIP文件附件的网络钓鱼邮件，或者在某些情况下，发送指向托管在Google Drive等合法云服务上的存档文件的链接。ZIP文件中包含一个恶意的Desktop文件，该文件嵌入了使用Mozilla Firefox显示诱饵PDF（”CDS_Directive_Armed_Forces.pdf”）的命令，同时执行主有效载荷。 这两个组件都从一个名为”modgovindia[.]com”的外部服务器拉取并执行。与之前一样，该活动旨在针对BOSS Linux系统，其远程访问木马能够使用WebSocket建立命令与控制。 该恶意软件支持四种不同的持久化方法，包括创建systemd服务、设置cron作业、将恶意软件添加到Linux自动启动目录以及配置.bashrc通过写入特定目录的shell脚本启动木马。 DeskRAT支持五种不同的命令： ping：向C2服务器发送带有当前时间戳和”pong”的JSON消息。 heartbeat：发送包含heartbeat_response和时间戳的JSON消息。 browse_files：发送目录列表。 start_collection：搜索并发送匹配预定义扩展名且小于100 MB的文件。 upload_execute：投递额外的Python、shell或Desktop有效载荷并执行。 值得注意的是，该组织还针对Windows端点分发名为StealthServer的Golang后门，表明其具有跨平台攻击重点。StealthServer的Windows版本存在三个变种，功能逐步演进，并加入了反分析技术。 与此同时，其他南亚和东亚威胁组织也相当活跃： Bitter APT：针对中国和巴基斯坦的政府、电力及军事部门，利用漏洞投递C#植入程序。 SideWinder：针对巴基斯坦、斯里兰卡等国海事等领域，开展代号为”Operation SouthNet”的集中活动。 OceanLotus：在针对中国及东南亚国家的攻击中投递Havoc利用后框架。 Mysterious Elephant：使用多种初始访问手段，投递BabShell反向shell和MemLoader等加载器，最终执行Remcos RAT等 payload。 这些入侵活动还特别关注从受感染主机窃取WhatsApp通信记录，使用了诸如Uplo Exfiltrator和Stom Exfiltrator等模块。此外，还使用了ChromeStealer Exfiltrator来窃取Chrome浏览器中的Cookie、令牌等敏感信息以及WhatsApp相关文件。 这些活动描绘出该地区威胁行为体技术不断演进、活动频繁的图景，对亚太地区的政府实体和关键部门构成了持续且复杂的威胁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种可自我传播的蠕虫病毒。它通过Open VSX Registry和Microsoft Extension Marketplace上的Visual Studio Code扩展进行传播。这一事件凸显出，开发者已成为网络攻击的主要目标。 这项由Koi Security命名的复杂威胁软件，代号为GlassWorm。这已经是近一个月内针对DevOps领域的第二起软件供应链攻击。9月中旬，名为Shai-Hulud的蠕虫恶意软件针对nmp生态系统发起攻击。 攻击的核心特点 此次攻击的突出之处在于其使用了Solana区块链进行命令与控制，使得其基础设施能够抵御关停操作。它还使用Google日历作为C2的备用机制。 另一个新颖之处在于，GlassWorm活动依赖于”使恶意代码在代码编辑器中 literally 消失的不可见Unicode字符”。Idan Dardikman在一份技术报告中表示：”攻击者使用了Unicode变体选择符——这些特殊字符是Unicode规范的一部分，但不会产生任何视觉输出。” 此次攻击的最终目的是窃取npm、Open VSX、GitHub和Git的凭证，清空49种不同加密货币钱包扩展中的资金，部署SOCKS代理服务器以将开发者机器变成犯罪活动的通道，安装隐藏的VNC服务器以获取远程访问权限，并利用被盗凭证武器化，进一步危害其他软件包和扩展以实现更广泛的传播。 目前已有14款扩展受感染。其中13个在Open VSX上，1个在Microsoft Extension Marketplace上。这些扩展的总下载量约达 35800 次。第一波感染浪潮发生在10月17日。目前尚不清楚这些扩展是如何被劫持的。 恶意代码的执行流程 首先，隐藏在扩展中的恶意代码会先搜索 Solana 区块链上与攻击者控制的钱包相关的交易。 若找到相关交易，代码会从交易的 “备注” 字段中提取一段 Base64 编码字符串，解码后得到用于获取下一阶段有效负载的 C2 服务器地址（为 “217.69.3 [.] 218” 或 “199.247.10 [.] 166”）。 该有效负载是一款信息窃取工具，可捕获凭证信息、身份验证令牌和加密货币钱包数据；同时会访问谷歌日历的某个事件，解析另一段 Base64 编码字符串，并联系上述同一服务器以获取名为 “Zombi” 的有效负载。最终窃取的数据会被传输至攻击者控制的远程端点（地址为 “140.82.52 [.] 31:80”）。 其中，Zombi模块使用JavaScript编写，它通过部署SOCKS代理、用于点对点通信的WebRTC模块、用于分布式命令分发的BitTorrent分布式哈希表以及用于远程控制的HVNC，将GlassWorm感染转变为全面入侵。 问题更为复杂的是，VS Code扩展默认配置为自动更新，这使得威胁行为者能够在无需任何用户交互的情况下自动推送恶意代码。 “这不是一次性的供应链攻击，” Dardikman说。”这是一种旨在像野火一样在开发者生态系统中传播的蠕虫。” “攻击者已经找到了让供应链恶意软件自我维持的方法。他们不再仅仅是危害单个软件包——他们正在构建能够自主在整个软件开发生态系统中传播的蠕虫。” 这一事态发展正值利用区块链部署恶意负载的技术因其假名性和灵活性而激增之际，甚至来自朝鲜的威胁行为者也利用该技术来策划其间谍活动和出于经济动机的攻击活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI 的 Atlas 浏览器与 Perplexity 的 Comet 浏览器存在安全漏洞，攻击者可通过伪造内置 AI 侧边栏，诱骗用户执行危险操作。 这种 “AI 侧边栏伪造攻击” 由浏览器安全公司 SquareX 的研究人员发现，且可在两款浏览器的最新版本上生效。 研究人员模拟了三种真实攻击场景：攻击者可利用 AI 侧边栏伪造手段窃取加密货币、访问目标用户的 Gmail 与 Google Drive 服务，以及劫持设备。 Atlas 与 Comet 均为 “智能体 AI 浏览器”，它们将大型语言模型集成到侧边栏中，用户浏览网页时可通过侧边栏互动 —— 例如要求总结当前页面内容、执行命令或完成自动化任务。 其中，Comet 浏览器于今年 7 月发布，而 ChatGPT Atlas 浏览器则在本周早些时候面向 macOS 系统推出。自发布以来，已有多项研究指出，Comet 在特定情况下存在安全风险。 注入恶意 AI 智能体 SquareX 发现，在 Comet 与 Atlas 浏览器中，攻击者可通过恶意扩展程序向用户浏览的网页注入 JavaScript 代码，在真实 AI 侧边栏上方覆盖一层伪造侧边栏。 伪造的侧边栏与浏览器原生侧边栏完全一致，从视觉上看属于标准用户界面的一部分，极具迷惑性。由于伪造侧边栏会覆盖真实侧边栏并拦截所有用户交互操作，用户完全无法察觉自己正处于欺诈环境中。 SquareX 表示：“受害者打开新浏览器标签页后，该扩展程序可向网页注入 JavaScript 代码，生成一个与 AI 浏览器原生侧边栏一模一样的伪造侧边栏。” 借助扩展程序，注入的 JavaScript 代码可在用户访问的所有网站上，渲染出这个恶意伪造的侧边栏覆盖层。 SquareX 指出，这类恶意扩展程序仅需获取 “主机（host）” 与 “存储（storage）” 权限即可运行 —— 而这两类权限在 Grammarly（语法检查工具）、密码管理器等常用效率工具中十分常见，不易引发用户警惕。 研究人员称：“伪造侧边栏与真实 AI 侧边栏在视觉呈现和操作流程上完全无差异，用户很可能会误以为自己在与浏览器原生的 AI 侧边栏互动。” 为验证研究结果，SquareX 在 Comet 浏览器中调用谷歌 Gemini AI 进行测试。研究人员通过设置特定参数，让 AI 对特定提示词返回包含恶意指令的响应。 三类典型攻击场景 SquareX 在报告中重点列举了以下三种攻击案例： 当用户询问与加密货币相关的问题时，诱导其访问钓鱼页面； 通过伪造文件共享应用发起 OAuth 攻击，劫持用户的 Gmail 或 Drive 账户； 当用户寻求软件安装指引时，向其提供反向 shell（远程控制工具）的安装命令。 实际攻击中，攻击者可能会设置更多 “触发提示词”，频繁诱导用户执行各类高风险操作。 漏洞影响范围与厂商响应 开展研究时，OpenAI 尚未发布 Atlas 浏览器，因此 SquareX 最初仅在 Comet 浏览器上测试了 AI 侧边栏伪造攻击。 但在 Atlas 浏览器正式发布后，研究人员同样对其进行了测试，并确认该攻击手段对 Atlas 也有效。 目前，研究人员已就该漏洞联系 Perplexity 与 OpenAI，但两家公司均未回应。BleepingComputer（科技媒体）也尝试联系这两家企业，截至报道发布时仍未收到回复。 智能体 AI 浏览器用户需警惕这类工具存在的多重风险，建议仅将其用于非敏感操作，避免处理涉及电子邮件、财务信息或其他私人数据的任务。 尽管浏览器开发商会在每次版本更新中针对新型攻击添加安全防护措施，但目前这类 AI 浏览器的成熟度仍不足 —— 其攻击面尚未降低到 “除日常轻度浏览外可安全使用” 的合理水平。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）发出警告，称黑客正利用 Motex 公司 Lanscope 终端管理器中的一个严重漏洞发起攻击。 该漏洞编号为CVE-2025-61932，安全等级为 “严重”，评分达 9.3 分。其成因是对传入请求的来源验证不当，未经验证的攻击者可通过发送特制数据包，在目标系统上执行任意代码。 Lanscope 终端管理器由日本 Motex 公司开发，该公司是京瓷通信系统的子公司。这款终端管理与安全工具可对桌面设备和移动设备实现统一管控。 该产品通过亚马逊云服务（AWS）提供资产 / 终端管理功能，在日本及亚洲地区尤为普及。 本周早些时候，厂商发布的安全公告强调了安装最新更新的紧迫性，并指出该漏洞被利用的风险已升高。 Motex 在公告中表示：“终端管理器本地客户端程序（以下简称 MR）和检测代理（以下简称 DA）中存在一个漏洞，可能导致远程代码执行。” 该公司证实，部分客户的环境已收到恶意数据包，这表明该漏洞已被作为 “零日漏洞”使用。 Motex 称：“此外，已有客户环境确认收到来自外部的未授权数据包。” 漏洞影响范围与修复版本 CVE-2025-61932 影响 Lanscope 终端管理器9.4.7.2 及以下版本，厂商已在以下版本中修复该漏洞： 9.3.2.7 9.3.3.9 9.4.0.5 9.4.1.5 9.4.2.6 9.4.3.8 9.4.4.6 9.4.5.4 9.4.6.3 9.4.7.3 厂商特别指出，该漏洞仅影响客户端，客户无需升级管理器本身。 目前尚无针对 CVE-2025-61932 的临时解决方案或缓解措施，安装上述更新是解决该安全问题的唯一途径。 Motex 尚未披露已观测到的恶意活动细节。日本计算机应急响应协调中心（JPCERT/CC）也发出警告，称已收到威胁行为者利用 CVE-2025-61932 攻击日本国内机构的相关信息。 BleepingComputer（科技媒体）已联系厂商寻求更多信息，后续将在获得回复后更新报道。 美国官方应对措施 CISA 已于昨日将 CVE-2025-61932 纳入 “已知被利用漏洞目录”（KEV），并为所有受《22-01 号指令》（BOD 22-01）约束的联邦机构及政府组织设定了11 月 12 日的强制补丁安装截止日期。 尽管该指令仅对特定机构具有强制性，但 KEV 目录仍可为私营组织提供安全防护指导。 目前尚未证实 CVE-2025-61932 与日本近期增多的漏洞利用活动存在关联。不过，日本多家知名企业近期披露了数据泄露事件，例如麒麟勒索软件（Qilin ransomware）对朝日啤酒（Asahi brewery）的攻击，以及电商企业 Askul 的漏洞导致零售巨头无印良品（Muji）线上销售受影响。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 立陶宛首都维尔纽斯的执法部门成功拆解了一个大型 SIM 卡盒（SIM box）非法运营团伙，查获大量涉嫌用于网络犯罪的设备。这些设备被怀疑用于在 PayPal、Facebook、谷歌等平台实施各类诈骗及网络犯罪活动。 立陶宛当局表示，此次查获的大量设备可能涉及多种犯罪行为，包括诈骗、伪造社交媒体账号等。执法人员共查获 200 多个 SIM 卡盒、100 台电脑，以及超过 7.5 万张 SIM 卡。 目前，当局已逮捕两名嫌疑人，并表示将继续追查所有参与运营该 “机器人农场” 的相关人员。 从查获的设备规模来看，这个 “机器人农场” 可在多个平台上运营数十万个不同的社交媒体账号。尽管多数网站注册时要求提供手机号，但仍有方法可绕过这些限制，最大化利用单张 SIM 卡的功能。 当地警方透露，此次行动的发起源于立陶宛通信监管局（CRA）向当局通报 —— 首都地区可能存在一个 “SIM 卡集群”（SIM swarm）非法运营点。 调查显示，该非法活动涉及维尔纽斯市内多个居民区（居住人口超 60 万）。警方最终将排查范围缩小至三个区域，并在多个网络信号塔中发现了异常活跃的通信行为。 立陶宛当局称，由于 “SIM 卡集群” 在大型行政办公楼内运作，给调查工作带来了阻碍。不过，执法人员随后锁定了该非法 scheme 的疑似幕后人员。据悉，这些嫌疑人通过前往欧洲多国、从不同运营商处批量采购 SIM 卡的方式，搭建起 “SIM 卡集群”。 此次捣毁行动是该地区针对 “机器人农场” 的第二次重大执法行动。上周，欧洲刑警组织（Europol）宣布，拉脱维亚开展了一次类似行动，执法部门在行动中关停 5 台服务器，查获 1200 台 SIM 卡盒设备及 4 万张在用 SIM 卡。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 图林根州内政部长格奥尔格・迈尔指控极右翼政党 “德国选择党”为俄罗斯从事间谍活动，并表示自己掌握支持该指控的证据。 迈尔向德国新闻媒体 Handelsblatt 表示：“一段时间以来，我们愈发担忧地观察到，德国选择党正滥用议会质询权，专门搜集我国关键基础设施的相关信息。” 身为德国社会民主党成员的迈尔指出，过去 12 个月里，德国选择党在图林根州就交通、数字基础设施以及水、能源供应领域，提出了 47 项相关质询。 他还向《商报》透露：“德国选择党对警方信息技术及装备表现出特殊兴趣，例如无人机探测与防御领域。由此产生的印象是，该党正通过质询来落实克里姆林宫的‘任务清单’。” 德国联邦议院情报监督委员会主席马克・亨里希曼对迈尔的担忧表示认同。 他表示：“俄罗斯显然在利用其在议会中的影响力 —— 尤其是通过德国选择党 —— 从事间谍活动并获取敏感信息。而德国选择党则心甘情愿为这种背叛行为‘拉普京的车’。” 德国选择党否认所有指控，称这些指控 “荒谬至极”。 长期以来，德国情报部门一直发出警告：俄罗斯正利用极端主义政党和个人，为自身利益搜集德国关键基础设施的敏感信息。目前，因德国选择党联邦议院议员马库斯・弗罗伊恩迈尔计划前往莫斯科，情报部门再次表达了担忧。 迈尔认为，问题不止于弗罗伊恩迈尔的既定行程。他称，俄罗斯试图 “传播虚假信息、破坏民主机构的合法性、阻碍议会程序，并与右翼极端组织建立联系”。 今年早些时候，德国情报机构经过长期调查得出结论：德国选择党正日益激进，目前已被认定为极右翼政党。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 “圣诞盗贼”（Jingle Thief）的网络犯罪团伙，该团伙针对零售和消费服务行业组织的云环境发起攻击，实施礼品卡诈骗。 “‘圣诞盗贼’攻击者通过钓鱼和短信钓鱼窃取凭证，入侵发行礼品卡的机构。” 帕洛阿尔托网络公司 Unit 42 的研究员斯塔夫・塞蒂和沙查尔・罗伊特曼在周三的分析报告中表示，“一旦进入组织内部，他们就会设法获取发行未授权礼品卡所需的权限类型和级别。” 这些行动的最终目标是通过在灰色市场转售非法获取的礼品卡牟利。礼品卡之所以成为热门目标，是因为其兑换流程简单、所需个人信息极少，且难以追踪，这使得防御方难以调查欺诈行为。 “圣诞盗贼” 这一名称源于该威胁行为者的作案模式 —— 其礼品卡诈骗活动往往与节假日和庆典季同步。这家网络安全公司将该活动标记为 CL-CRI-1032，其中 “CL” 代表攻击集群，“CRI” 表示犯罪动机。 研究人员中度确信，该威胁集群与 “阿特拉斯雄狮”（Atlas Lion）和 “风暴 – 0539”（Storm-0539）犯罪团伙有关联。微软称这是一个源自摩洛哥的以经济利益为驱动的团伙，至少自 2021 年末起开始活跃。 “圣诞盗贼” 能够在被入侵组织中长期潜伏（部分案例长达一年以上），这使其成为极具危险性的团伙。在潜伏期间，该威胁行为者会进行全面侦察以绘制云环境地图，在云端横向移动，并采取措施规避检测。 Unit 42 表示，该黑客团伙于 2025 年 4 月至 5 月发起了一波协同攻击，目标是多家全球企业，通过钓鱼攻击获取入侵受害者云基础设施所需的凭证。在某次活动中，攻击者维持了约 10 个月的访问权限，并侵入了单个组织的 60 个用户账户。 研究人员指出：“他们利用云基础设施冒充合法用户，非法访问敏感数据，并大规模实施礼品卡诈骗。” 攻击过程中，攻击者常常试图入侵礼品卡发行系统，在不同项目中发行高价值卡，同时竭力减少操作日志和取证痕迹。 他们的攻击极具针对性，会根据每个受害者的情况定制方案：先进行侦察，再通过邮件或短信发送极具迷惑性的钓鱼登录页面，诱骗受害者输入微软 365 凭证。 一旦获取凭证，攻击者会立即登录目标环境并展开第二轮侦察，此次重点是受害者的 SharePoint 和 OneDrive，搜寻与业务运营、财务流程和 IT 工作流相关的信息。 这包括查找礼品卡发行流程、VPN 配置及访问指南、用于发行或追踪礼品卡的电子表格或内部系统，以及与虚拟机和 Citrix 环境相关的关键细节。 在后续阶段，攻击者会利用已 compromised 的账户在组织内部发送钓鱼邮件，以扩大立足点。这些邮件通常模仿 IT 服务通知或工单更新，内容基于从内部文档或过往通信中窃取的信息。 此外，“圣诞盗贼” 还会创建收件箱规则，将被黑账户的邮件自动转发至其控制的地址，随后立即将发送记录移至 “已删除邮件” 以掩盖痕迹。 在部分案例中，观察到该威胁行为者注册恶意验证器应用以绕过多因素认证（MFA）保护，甚至将其设备注册到 Entra ID 中，以便在受害者重置密码或吊销会话令牌后仍能维持访问。 除了专注于云服务而非端点入侵外，“圣诞盗贼” 的另一显著特点是倾向于滥用身份而非部署定制恶意软件，从而最大限度降低被检测的概率。 Unit 42 表示：“礼品卡诈骗结合了隐蔽性、速度和规模性，尤其是当攻击者能够访问存放发行流程的云环境时。这种谨慎的方式有助于规避检测，同时为后续欺诈行为奠定基础。” “要入侵这些系统，威胁行为者需要获取内部文档和通信记录。他们通过窃取凭证，并在提供礼品卡服务的目标组织的微软 365 环境中保持低调且持久的存在，来实现这一目的。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为者发起了新一轮攻击，目标是活跃于国防领域的欧洲企业。此次攻击是 “梦想工作行动”长期活动的一部分。 ESET 安全研究员彼得・卡尔奈和亚历克西斯・拉潘在一份分享给 The Hacker News 的报告中表示：“部分目标企业深度涉足无人机领域，这表明该行动可能与朝鲜当前扩大其无人机项目的努力有关。” 这家斯洛伐克网络安全公司称，其于 2025 年 3 月底首次发现该活动。部分被攻击实体包括：东南欧一家金属工程公司、中欧一家飞机零部件制造商，以及中欧一家国防企业。 恶意软件 经评估，该活动的最终目标是窃取专有信息和制造技术，所使用的恶意软件家族包括 ScoringMathTea 和 MISTPEN。 ScoringMathTea 的首次出现可追溯至 2022 年 10 月。此前曾于 2023 年初被 ESET 发现，当时它被用于攻击印度一家科技公司和波兰一家国防承包商。 而 MISTPEN 则于 2024 年 9 月被Google和Mandiant记录在案，当时它被用于入侵能源和航空航天领域的企业。 “梦想工作行动” 最早由以色列网络安全公司 ClearSky 于 2020 年曝光，是朝鲜一个多产黑客组织Lazarus Group发起的持续性攻击活动。该黑客集团还有多个追踪代号，包括 APT-Q-1、Black Artemis、Diamond Sleet、Hidden Cobra、TEMP.Hermit 和 UNC2970。据信，该黑客集团至少自 2009 年起就已开始运作。 攻击手段 在这些攻击中，威胁行为者利用类似 “传染性面试”的社会工程学诱饵，向潜在目标提供高薪工作机会，诱骗他们在系统中植入恶意软件。 该活动还与多个攻击集群存在关联，包括 DeathNote、NukeSped、Operation In (ter) ception和Operation North Star。 ESET 研究员表示：“这类攻击的核心模式是‘高薪虚假工作机会 + 恶意软件’：目标会收到包含职位描述的诱饵文档，以及一个用于打开该文档的植入了木马的 PDF 阅读器。” 攻击链最终会执行一个二进制文件，该文件负责侧载一个恶意动态链接库（DLL）。这个恶意 DLL 会释放 ScoringMathTea，同时还会释放一个名为 BinMergeLoader 的复杂下载器。BinMergeLoader 的功能与 MISTPEN 类似，会利用微软图形接口和令牌获取更多有效载荷。 研究人员还发现了另一种感染流程：通过一个未知的投放器交付两个中间有效载荷，第一个中间有效载荷会加载第二个，最终部署 ScoringMathTea。 ScoringMathTea 是一款高级远程访问木马，支持约 40 条命令，可完全控制被入侵的设备。 ESET 表示：“近三年来，Lazarus Group一直保持着固定的攻击模式，部署其偏好的主要有效载荷 ScoringMathTea，并使用类似方法在开源应用中植入木马。 这种模式虽可预测，但十分有效，能通过足够的多态性规避安全检测，即便它无法隐藏该集团的身份，也无法干扰溯源过程。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国得克萨斯州达拉斯市郊外的一个大型郊区，是本周全美范围内多个报告网络事件、且公共服务受影响的市政当局之一。 考夫曼县（Kaufman County）拥有近 20 万居民，该县表示周一发现一起网络攻击，迫使县官员通知了州级和联邦机构。 此次事件导致多个县级系统瘫痪，但警长办公室和应急服务未受影响。当地一家新闻媒体报道称，县法院的计算机已受到此次攻击影响。 考夫曼县法官杰基・艾伦（Jakie Allen）在一份声明中表示：“我们的首要任务始终是保障基本公共服务的连续性，并保护县级系统与信息安全。” 该县代表尚未回应置评请求。 针对考夫曼县的攻击，与全美范围内多起类似事件几乎同时发生。 周五，田纳西州拉弗恩市（La Vergne）表示，正调查一起网络事件，该事件导致政府官员使用的计算机系统陷入混乱。联邦调查局（FBI）及州级机构正与该市合作，协助其从攻击中恢复。 自发现网络攻击以来，该市的政府办公楼已关闭。 在周二发布的最新情况中，市政府官员解释称，用于缴纳水费和财产税的系统因网络攻击瘫痪，这迫使该市 4 万多名居民只能通过支票或汇票付款，现金和信用卡付款方式暂不接受。 该市承诺，在解决系统中断问题期间，不会收取滞纳金，也不会停止供水服务。 在市立法院，原定于周三举行的听证会因网络攻击被推迟。 印第安纳州的迪卡尔布县（Dekalb County）以及宾夕法尼亚州切斯特县（Chester County）的图书馆系统，在上个月也均报告了系统中断和网络攻击事件。 地方政府一直在艰难应对网络攻击，与此同时，为资金短缺的网络防御机构提供支持的联邦资源要么已到期，要么因当前政府停摆而受到限制。上个月，联邦网络安全机构终止了与互联网安全中心（CIS）的合作关系，而该中心曾为各市、县及州级机构提供关键威胁信息。 另一项规范网络威胁情报共享的重要联邦法律也于 9 月 30 日到期，这使得许多政府机构急于寻找关键网络安全信息的替代来源。 政府停摆期间，联邦部门的强制休假、预算削减和人员精简，也阻碍了关键机构为遭遇网络安全事件的地方政府提供援助的工作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基（Kaspersky）的研究结果显示，一场名为 “被动神经元”（PassiveNeuron）的新网络活动，正将目标对准亚洲、非洲和拉丁美洲的政府、金融及工业领域机构。 这家俄罗斯网络安全厂商最早在 2024 年 11 月就标记了该网络间谍活动。当时卡巴斯基披露，2024 年 6 月曾出现一系列针对拉丁美洲和东亚政府实体的攻击，攻击中使用了两款此前从未发现过的恶意软件家族，分别被标记为 Neursite 和 NeuralExecutor。 卡巴斯基还表示，该行动展现出极高的技术复杂度：威胁行为者将已入侵的内部服务器用作中间命令与控制（C2）基础设施，以此躲避监测。 卡巴斯基当时指出：“威胁行为者能够在目标基础设施内横向移动并窃取数据，还可选择性创建虚拟网络 —— 即便目标机器与互联网隔离，攻击者也能通过这些虚拟网络窃取重要文件。其采用的插件化架构，能根据攻击者的需求动态调整功能。” 卡巴斯基称，自那以后，从 2024 年 12 月起至 2025 年 8 月，公司观测到与 “被动神经元” 相关的新一轮感染浪潮。 在至少一起事件中，攻击者被证实已在一台运行 Windows Server 的受入侵机器上，通过微软 SQL 获得了初始远程命令执行权限。尽管实现这一操作的确切方法尚不清楚，但推测可能存在三种途径：一是暴力破解管理员账户密码；二是利用服务器上运行的应用程序中的 SQL 注入漏洞；三是利用服务器软件本身尚未被发现的漏洞。 无论采用何种方式，攻击者都曾尝试部署 ASPX 网页后门，以获取基础命令执行权限。在该尝试失败后，攻击者通过在 System32 目录中放置一系列 DLL 加载器，投放了多款高级植入程序，包括： Neursite：一款定制化 C++ 模块化后门程序 NeuralExecutor：一款定制化.NET 植入程序，可通过 TCP、HTTP/HTTPS、命名管道或 WebSocket 下载额外的.NET 有效载荷并执行 Cobalt Strike：一款合法的 adversary simulation（对手模拟）工具 Neursite 通过内置配置连接 C2 服务器，通信时使用 TCP、SSL、HTTP 和 HTTPS 协议。默认情况下，它具备收集系统信息、管理运行中进程、通过其他受该后门感染的机器代理流量以实现横向移动的功能。 该恶意软件还配备了一个组件，可获取辅助插件，以实现 Shell 命令执行、文件系统管理和 TCP 套接字操作。 卡巴斯基还发现，2024 年检测到的 NeuralExecutor 变种，设计为直接从配置中读取 C2 服务器地址；而今年发现的该恶意软件样本，则会连接 GitHub 仓库获取 C2 服务器地址 —— 这实际上将这个合法的代码托管平台变成了 “死信解析器”（dead drop resolver，一种隐藏通信方式）。 研究人员格奥尔基・库彻林（Georgy Kucherin）与索拉布・夏尔马（Saurabh Sharma）表示：“‘被动神经元’活动的显著特点是，其主要针对服务器设备。这些服务器，尤其是暴露在互联网上的服务器，通常是高级持续性威胁（APT）的高价值目标，因为它们可作为入侵目标机构的入口点。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 “浑水”（MuddyWater）的伊朗国家背景组织，被指发起了一场新的网络活动。该组织利用一个被入侵的电子邮件账户，向中东和北非（MENA）地区的多家机构分发名为 “凤凰”（Phoenix）的后门程序，其中包括 100 多个政府实体。 新加坡网络安全公司 Group-IB 在今日发布的技术报告中表示，这场活动的最终目标是渗透高价值目标，为情报收集提供便利。 该活动超四分之三的目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。 网络安全研究人员马哈茂德・祖赫迪（Mahmoud Zohdy）和曼苏尔・阿尔穆德（Mansour Alhmoud）指出：“‘浑水’组织通过 NordVPN—— 一款被该威胁行为者滥用的合法服务 —— 访问了被入侵的邮箱，并利用该邮箱发送看似真实通信内容的钓鱼邮件。” “通过利用这类通信所附带的信任度和权威性，该活动大幅提高了欺骗收件人打开恶意附件的概率。” 攻击链的核心流程是，威胁行为者分发植入恶意程序的微软 Word 文档。收件人打开文档后，会被提示启用宏功能才能查看内容。毫无防备的用户一旦启用该功能，文档就会执行恶意的 Visual Basic for Application（VBA，可视化 Basic 应用程序）代码，最终部署 “凤凰” 4.0 版本后门程序。 该后门程序由一个名为 “FakeUpdate”（虚假更新）的加载器启动，而这个加载器由 VBA 投放程序解码后写入磁盘。加载器中包含经过高级加密标准（AES）加密的 “凤凰” 有效载荷。 “浑水” 组织还有多个别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（前称 Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros 和 Yellow Nix。经评估，该组织与伊朗情报和安全部（MOIS）有关联，已知至少自 2017 年起便开始活跃。 Group-IB 上月首次记录到该威胁行为者使用 “凤凰” 后门程序，并将其描述为 “BugSleep” 的轻量版本。“BugSleep” 是一款基于 Python 的植入程序，此前已被证实与 “浑水” 组织有关联。目前已在野外检测到 “凤凰” 的两个不同变种 ——3.0 版本和 4.0 版本。 这家网络安全厂商表示，已发现攻击者的命令与控制（C2）服务器（地址为 “159.198.36 [.] 115”）还托管着远程监控与管理（RMM）工具，以及一款定制化网页浏览器凭据窃取工具。该窃取工具针对 Brave、谷歌 Chrome、微软 Edge 和欧朋（Opera）浏览器，这表明这些工具可能被用于此次行动。值得注意的是，多年来 “浑水” 组织一直有通过钓鱼活动分发远程访问软件的记录。 研究人员称：“通过部署‘凤凰’4.0 版本后门程序、‘FakeUpdate’注入器、定制化凭据窃取工具，再结合 PDQ、Action1 等合法远程监控与管理工具，‘浑水’组织展现出更强的能力 —— 能将定制化代码与商业工具整合，从而提升隐蔽性和持久控制能力。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Adobe Commerce平台中的 “SessionReaper” 严重漏洞（CVE-2025-54236）发起攻击，目前已记录到数百次攻击尝试。 该攻击活动由电商安全公司 Sansec 发现，该公司研究人员此前称，“SessionReaper” 是 Adobe Commerce 产品史上最严重的安全漏洞之一。 Adobe 于 9 月 8 日就 CVE-2025-54236 发布预警，称这是一个输入验证不当漏洞，影响 Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 及更早版本。 攻击者成功利用该漏洞后，无需用户任何交互操作即可控制账户会话。Adobe 解释道：“潜在攻击者可通过 Commerce REST API 接管 Adobe Commerce 中的客户账户。” Sansec 此前表示，漏洞能否成功利用，很大程度上取决于会话数据是否存储在文件系统中 —— 这是大多数商户使用的默认配置；此外，Adobe 泄露的热修复程序可能为黑客提供了利用漏洞的线索。 “SessionReaper” 应急补丁发布约六周后，Sansec 确认该漏洞已出现野外活跃攻击。其公告中写道：“Adobe 针对 SessionReaper（CVE-2025-54236）的应急补丁发布六周后，该漏洞已进入活跃利用阶段。” 研究人员表示：“Sansec Shield 今日检测并拦截了首批真实攻击，这对数千家仍未打补丁的商户而言是坏消息。” 就在发布当天，Sansec 拦截了 250 多次针对多家商户的 “SessionReaper” 漏洞攻击尝试，多数攻击来自以下 5 个 IP 地址：34.227.25.444.212.43.3454.205.171.35155.117.84.134159.89.12.166 截至目前，攻击手段包括植入 PHP Webshell（网页后门），或通过 phpinfo 探针检查系统配置设置、查找系统中的预定义变量。 同日，Searchlight Cyber 的研究人员发布了关于 CVE-2025-54236 的详细技术分析报告，这可能导致后续攻击尝试次数增加。 据 Sansec 统计，目前网上 62% 的 Magento 商户仍未安装 Adobe 的安全更新，面临 “SessionReaper” 漏洞攻击风险。 研究人员指出，补丁发布 10 天后，修复进度依旧缓慢，仅三分之一的网站完成更新；目前，每 5 家商户中就有 3 家存在漏洞风险。 研究人员强烈建议网站管理员尽快安装补丁，或采用 Adobe 推荐的缓解措施。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现 WatchGuard Fireware OS 存在一个严重漏洞（CVSS4.0 评分 9.3），攻击者可利用该漏洞远程执行任意代码。 该漏洞编号为 CVE-2025-9242，属于越界写入漏洞，影响两类场景：一是使用 IKEv2 协议的移动用户 VPN；二是配置了动态网关对等体、且使用 IKEv2 协议的分支机构 VPN（BOVPN）。 WatchGuard 在安全公告中指出，即便 Firebox 安全平台此前配置过上述 VPN 及 IKEv2 网关对等体，仍可能存在漏洞风险。 该漏洞影响以下 Fireware OS 版本，包含提及的最高版本： 11.10.2 至 11.12.4_Update1 12.0 至 12.11.3 2025.1 WatchGuard Firebox 是一款下一代防火墙（NGFW），承担安全网关职能，可控制外部网络与可信网络间的流量，还集成了入侵防御、反垃圾邮件、内容过滤等高级功能。 该设备部署方式灵活，可作为物理设备、云端服务或虚拟机使用。 Shadowserver 基金会表示，依据 10 月 17 日的 IP 数据扫描结果，目前可能有超过 7.1 万台设备存在该漏洞。 该漏洞详情已在美国国家漏洞数据库（NVD）上线，WatchGuard 也已发布相关安全公告。 若 Firebox 仅配置了 “指向静态网关对等体的分支机构 VPN 隧道”，且设备所有者无法立即将系统升级至修复漏洞的 Fireware OS 版本，WatchGuard 已提供临时规避方案。 WatchGuard 在公告中还指出，鉴于针对各类厂商暴露 VPN 的攻击愈发频繁，建议将 BOVPN 安全访问策略配置为更窄的范围，以处理传入的 VPN 流量。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场神秘的针对性钓鱼攻击活动。该活动冒充乌克兰总统办公室，且在发起当天便宣告终止，其目的是入侵参与战争救援工作的相关机构。 根据网络安全公司 SentinelLabs 周三发布的报告，10 月 8 日开展的这场单日攻击活动，目标群体包括国际红十字会、挪威难民委员会、联合国儿童基金会的工作人员，以及其他参与战争救援的非政府组织人员。 SentinelLabs 表示，目前尚不清楚这场被标记为PhantomCaptcha的攻击活动背后主使是谁，但从目标清单可推测，攻击者试图 “获取与乌克兰援助相关的人道主义行动、重建规划及国际协调工作等方面的情报”。 SentinelOne 研究负责人汤姆・黑格尔在报告中写道，从最初的基础设施注册到攻击实施当天，这场针对性钓鱼攻击经过了六个月的准备。但攻击活动仅持续一天，相关基础设施便下线，“这表明攻击者具备精密的规划能力和对操作安全的高度重视”。 攻击手段与方式 黑客还向乌克兰顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫斯克地区的政府机构发起攻击。 他们发送了一份伪装成乌克兰总统办公室官方文件的八页PDF文档，内含恶意程序。意图引导受害者陷入一套复杂的多阶段攻击链，以此获取受害者信任并绕过传统安全防护措施。 若受害者点击 PDF 中的嵌入链接，可能会被重定向至一个伪装成视频会议应用 Zoom 官方网站的域名，而该域名实际由俄罗斯服务商 KVMKA 掌控。 尽管攻击发起当天该服务器便无法解析，但 SentinelLabs 通过 VirusTotal 数据库获取了服务器响应数据，发现其是一个伪装成 Cloudflare 分布式拒绝服务（DDoS）防护网关的虚假页面。 这为入侵受害者设备提供了两种可能的途径。 一种是将受害者重定向至真实的密码保护 Zoom 会议，黑格尔写道，这可能便于黑客与受害者进行实时社会工程学诈骗通话。 另一种则是诱导受害者不慎执行复制到剪贴板的命令，研究人员将后一种手段称为ClickFix或 Paste and Run技术。 SentinelLabs 称，PhantomCaptcha攻击的变种手段会欺骗 Windows 用户，让其从虚假的 Cloudflare DDoS 防护网关复制 “令牌”，随后按下 “Windows + R” 组合键，粘贴 “令牌” 并执行命令 —— 而该命令实际是一段旨在入侵用户电脑的 PowerShell 脚本。 攻击者能力评估 研究人员表示：“这种社会工程学攻击手段极具效力，因为恶意代码是由用户自行执行的，能够避开那些仅专注于检测恶意文件的终端安全防护系统。” 尽管黑客很快关闭了面向公众的诱骗域名，但 SentinelLabs 发现，后台命令与控制基础设施在初始攻击日之后仍处于活跃状态，“这表明基础设施具备高度隔离性，且需要维护部分基础设施以控制已入侵的系统”。 研究人员发现，在攻击次日（10 月 9 日），一个与公众诱骗域名 URL 相似的新域名完成注册，“这可能意味着攻击者计划继续开展攻击活动”。 他们的基础设施分析还发现，该攻击与另一范围更广的攻击活动存在关联。后者 “利用成人社交与娱乐内容作为诱饵，且可能与俄罗斯 / 白俄罗斯的技术开发源头有关”，不过该攻击活动被列为单独的行动集群进行追踪。 具体而言，后一攻击活动的主题与报告中提及的 “乌克兰利沃夫市一家名为‘公主男士俱乐部’（Princess Men’s Club）的成人娱乐场所” 相关，包含一个网站和一个安卓应用安装包，旨在从受入侵设备中窃取各类个人信息与设备数据。 SentinelLabs 补充称，PhantomCaptcha攻击活动的时间线显示，攻击者 “既了解进攻性操作，也熟悉防御性检测能力”。不过该公司在发布报告时表示，暂无法将这一行动集群归属于某一已知黑客组织。 该公司表示，此次攻击活动的精密程度 “表明攻击者具备高水平的操作规划能力，从长期准备、基础设施隔离到刻意控制曝光度等方面均能体现这一点”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文