Aggregator

原域名已变更且将在2024年彻底废弃，请访问 https://govuln.com/news/ 查看新的RSS订阅

Почему BOSS Linux стала мишенью Transparent Tribe? Разбираемся в новой волне кибершпионажа.

Submit #674151 / VDB-330101

Банковские карты, токены и даже веб-камера — теперь под прицелом «плохих парней».

80% ключевых компонентов для ядерного арсенала США производили здесь.

Операция Cronos оказалась лишь временной паузой для хакеров.

HackerNews 编译，转载请注明出处： 黑客组织SafePay声称对德国视频监控提供商Xortec的成功攻击负责，并将该公司列入其数据泄露网站。勒索软件支付截止日期为2025年10月27日。 Xortec GmbH总部位于法兰克福，在德国各地设有办事处，是一家增值分销商和系统集成商，专注于视频监控、IP网络和安全解决方案。该公司为企业及安装服务客户提供摄像头、网络录像机、门禁系统、布线与咨询服务。Xortec于2021年被Beyond Capital Partners收购，是一家快速增长的B2B公司，拥有数十名员工，年收入超过750万欧元，其增长主要由大型安装项目驱动。 该公司的客户主要为B2B类型：包括系统集成商、专业安装商、系统厂商以及在全球（尤其是在德语区及更广泛的国际市场）运营的经销商。鉴于其核心业务聚焦于视频监控和通信解决方案，Xortec提供的产品与服务构成了零售、物流、公共及私人基础设施和关键设施等多个行业安全基础架构的支撑。 对Xortec这类公司的攻击可能因其在安全供应链中的角色而产生广泛影响。攻击者可能在安装商使用的硬件或软件中植入后门，从而泄露客户数据、监控布局和运输记录。遭篡改的固件可能破坏对数千个已部署系统的信任。若Xortec的物流运营受阻，其影响将波及经销商和最终用户，甚至可能涉及交通或公用事业等关键行业——这使得此次入侵事件成为一个超越单一公司范畴的、系统性的、多层级风险。 SafePay是一个自2024年底开始活跃的快速崛起的勒索软件组织。该组织独立运营，采用数据窃取与加密的双重勒索策略，其攻击目标遍布制造业、医疗保健和政府等全球多个行业。该网络犯罪组织在获取访问权限后的24小时内迅速行动，并且会避开俄罗斯系统，这暗示其可能源于东欧地区。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Hackers are actively exploiting a critical flaw in Microsoft’s Windows Server Update Services (WSUS), with security researchers reporting widespread attempts in the wild. The vulnerability, tracked as CVE-2025-59287, allows remote code execution on unpatched WSUS servers, potentially granting attackers full control over enterprise networks. As of October 27, 2025, firms monitoring global scan data have […]

The post Hackers Exploiting Microsoft WSUS Vulnerability In The Wild – 2800 Instances Exposed Online appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 据当地媒体报道，本周初俄罗斯农业与食品安全监管机构遭遇网络攻击，导致全国范围内的食品运输受阻。 俄罗斯联邦动植物卫生监督局表示，其在周三遭受了大规模分布式拒绝服务攻击，影响了其在线基础设施，包括用于追踪农产品和化学品流动的”VetIS”和”Saturn”系统。 据俄罗斯贸易媒体《Shopper’s》报道，此次中断导致食品交付严重延迟，因为电子兽医认证平台”Mercury”——VetIS系统的组成部分——一度无法访问。两家主要乳制品生产商和一家婴儿食品制造商向该媒体透露，他们在周三数小时内无法运输产品。 俄罗斯联邦动植物卫生监督局称，其网络中存储的数据”在完整性和机密性方面未受到威胁”。该机构未对事件进一步置评，目前尚无黑客组织声称对此次攻击负责。 根据俄罗斯法律，处理肉类、牛奶、鸡蛋和其他动物产品的公司必须在Mercury系统注册，并出具确认产品真实性和安全性的电子兽医证书。没有这些证书，供应商无法合法地向零售商或加工商交付货物。 一家公司经理表示，生产流通瘫痪了半日，并补充说由于缺乏允许在没有电子文件的情况下发货的应急程序，导致了经济损失。 俄罗斯联邦动植物卫生监督局否认了关于系统长时间中断的报道，并于周四表示Mercury系统正在”照常运行”。截至周五，该机构的网站可以访问，但尚不清楚所有受影响的系统是否已完全恢复。 据报道，这是Mercury系统今年第四次遭遇攻击。在6月份，类似事件曾迫使乳制品生产商恢复使用纸质证书，由于区域分销中心和主要零售商难以应对供应中断，引发了物流混乱。 据当地乳制品行业协会称，一些零售商当时拒绝接收没有电子文件的产品，而监管机构不明确的指导也导致了供应商的困惑。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Компания молчит о деталях инцидента, оставляя место для самых тревожных предположений.

作者：GAURAB CHHETRI, SHRIYANK SOMVANSHI等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/pdf/2510.10436 随着美国国家标准与技术研究院（NIST）敲定ML-KEM、ML-DSA和SLH-DSA标准，后量子密码学（PQC）正从评估阶段迈向部署阶段。本综述全面涵盖了该领域从基础理论到实践应用的完整版图。首先，我们构...

Law enforcement agencies from the United States and France have seized the onion leak website operated by the notorious Scattered LAPSUS$ Hunters collective, displaying a prominent seizure notice featuring logos from the FBI, Department of Justice, and international partners. This coordinated action, executed around October 9, 2025, targeted the BreachForums infrastructure, which the group had […]

The post Scattered LAPSUS$ Hunters Onion Leak Website Taken Down By Law-enforcement Agencies appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 微软于周四发布了带外安全更新，以修复一个Windows Server Update服务中的严重漏洞。该漏洞的概念验证漏洞利用已公开，并且已在野外遭到积极利用。 相关漏洞为CVE-2025-59287（CVSS评分：9.8），这是WSUS中的一个远程代码执行漏洞。该漏洞最初由微软在上周发布的”补丁星期二”更新中进行了修复。 三位安全研究人员 MEOW、f7d8c52bec79e42795cf15888b85cbad 以及 CODE WHITE GmbH 的 Markus Wulftange 因发现并报告此漏洞而获得致谢。 该缺陷涉及WSUS中不受信任数据的反序列化问题，允许未经授权的攻击者通过网络执行代码。值得注意的是，该漏洞不影响未启用WSUS服务器角色的Windows服务器。 在一个假设的攻击场景中，远程未经身份验证的攻击者可以发送一个特制的事件，该事件会在”传统序列化机制”中触发不安全的对象反序列化，从而导致远程代码执行。 根据HawkTrace的安全研究员Batuhan Er的说法，该问题”源于发送到GetCookie()端点的AuthorizationCookie对象的不安全反序列化，其中加密的cookie数据使用AES-128-CBC解密，随后通过BinaryFormatter进行反序列化，但缺乏适当的类型验证，从而使得能够以SYSTEM权限执行远程代码。” 值得注意的是，微软自己此前曾建议开发人员停止使用BinaryFormatter进行反序列化，因为该方法在处理不受信任的输入时不安全。BinaryFormatter的一个实现随后在2024年8月的.NET 9中被移除。 “为全面解决CVE-2025-59287，微软已为以下受支持的Windows Server版本发布了带外安全更新：Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022, 23H2版（Server Core安装）以及Windows Server 2025，”微软在一次更新中表示。 安装补丁后，建议执行系统重启以使更新生效。如果无法应用此带外更新，用户可以采取以下任一行动来防范该漏洞： 在服务器中禁用WSUS服务器角色（如已启用） 在主机防火墙上阻止对端口8530和8531的入站流量 “在安装更新之前，请勿撤销任何这些临时解决方案，”微软警告说。 此消息发布之际，荷兰国家网络安全中心表示，其从”可信合作伙伴处获悉，在2025年10月24日观察到了CVE-2025-59287的滥用行为。” 向NCSC-NL报告了此次野外利用的Eye Security表示，他们首次观察到该漏洞在UTC时间早上6:55被利用，目的是投递一个针对某未具名客户的Base64编码的有效载荷。该有效载荷是一个.NET可执行文件，”获取请求头’aaaa’的值并使用cmd.exe直接运行它。” “这是发送给服务器的有效载荷，它使用名为’aaaa’的请求头作为要执行命令的源，” Eye Security的首席技术官Piet Kerkhofs告诉The Hacker News。”这避免了命令直接出现在日志中。” 当被问及利用行为是否可能早于今天发生时，Kerkhofs指出，”HawkTrace的概念验证两天前就发布了，它可以使用标准的ysoserial .NET有效载荷，所以是的，利用所需的要素已经具备。” 网络安全公司Huntress也表示，他们检测到威胁行为者从大约UTC时间2025年10月23日23:34开始，针对公开暴露在其默认端口（8530/TCP和8531/TCP）上的WSUS实例。然而，该公司指出，由于WSUS通常不会暴露8530和8531端口，CVE-2025-59287的利用范围可能有限。 “攻击者利用暴露的WSUS端点发送特制请求（对WSUS Web服务的多个POST调用），触发了针对更新服务的反序列化远程代码执行，”该公司表示。 此次利用活动导致WSUS工作进程生成了”cmd.exe”和PowerShell实例，从而下载并执行了一个Base64编码的PowerShell有效载荷，目的是枚举暴露的服务器以获取网络和用户信息，并将结果外泄到攻击者控制的webhook[.]site URL。 “我们现在看到对微软WSUS服务中的预身份验证远程代码执行漏洞进行了无差别的野外利用，该漏洞在10月初被披露，” watchTowr的Benjamin Harris在一份声明中表示。”此漏洞的利用是无差别的。” “如果一个未打补丁的WSUS实例在线，那么在此阶段，它很可能已经被攻陷。在2025年，真的没有任何合法理由让WSUS可以从互联网访问——任何处于这种情况的组织可能需要指导来了解他们是如何陷入这种境地的。” “我们已经观察到8000多个实例暴露在外，包括极其敏感、高价值的组织。这不仅限于低风险环境——一些受影响的实体正是攻击者优先考虑的目标类型。” 当联系置评时，微软的一位发言人告诉该刊物：”我们在发现初始更新未能完全缓解该问题后重新发布了此CVE。已安装最新更新的客户已受到保护。” 该公司还强调，该问题不影响未启用WSUS服务器角色的服务器，并建议受影响的客户遵循其CVE页面上的指南。 鉴于概念验证漏洞利用的可用性和已检测到的利用活动，用户必须尽快应用补丁以减轻威胁。美国网络安全和基础设施安全局也已将该漏洞添加到其已知被利用漏洞目录中，要求联邦机构在2025年11月14日之前进行修复。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个恶意YouTube账号网络被曝光，该网络通过发布和推广诱导用户下载恶意软件的视频，滥用了这一视频托管平台的普及度和用户信任来传播恶意负载。 该网络自2021年开始活跃，迄今已发布了超过3000个恶意视频，且自今年年初以来此类视频数量增加了两倍。Check Point将其命名为”YouTube幽灵网络”。谷歌已介入移除了其中大部分视频。 该活动利用被黑客入侵的账号，将其内容替换为以盗版软件和Roblox游戏作弊工具为中心的”恶意”视频，从而感染那些搜索这些内容而不幸中招的用户，使其感染信息窃取程序。其中一些视频的观看量高达数十万次，范围在14.7万到29.3万之间。 “这次行动利用了包括观看量、点赞和评论在内的信任信号，使恶意内容看起来安全，” Check Point 安全研究组经理 Eli Smadja 说。”看似有用的教程，实际上可能是一个精巧的网络陷阱。这个网络的规模、模块化和复杂程度，为威胁行为体如何武器化互动工具来传播恶意软件提供了一个蓝图。” 利用YouTube分发恶意软件并非新现象。多年来，威胁行为体一直被观察到劫持合法频道或使用新创建的账号发布教程式视频，并在描述中提供恶意链接，点击后会导致恶意软件感染。 这些攻击是更广泛趋势的一部分，攻击者将合法平台重新用于邪恶目的，将其变为有效的恶意软件分发渠道。虽然一些活动滥用了与谷歌或必应等搜索引擎相关的合法广告网络，但其他活动则利用GitHub作为传播载体，例如”Stargazers幽灵网络”案例。 “幽灵网络”能够大行其道的主要原因之一是，它们不仅可用于放大所分享链接的感知合法性，而且由于其基于角色的结构，即使在账号被平台所有者封禁或删除后，仍能保持运营连续性。 “这些账号利用各种平台功能，如视频、描述、帖子和评论来推广恶意内容并分发恶意软件，同时制造一种虚假的信任感，”安全研究员 Antonis Terefos 表示。 “该网络大部分由被入侵的YouTube账号组成，这些账号一旦被纳入，就会被分配特定的操作角色。这种基于角色的结构实现了更隐蔽的分发，因为被禁账号可以迅速被替换，而不会中断整体运营。” 具体存在三种类型的账号： 视频账号：上传诱导性视频，并在描述中提供下载所宣传软件的链接（或者，链接以置顶评论的形式分享，或直接在视频中作为安装过程的一部分提供）。 帖子账号：负责发布包含外部网站链接的社区消息和帖子。 互动账号：负责点赞和发布鼓励性评论，为视频披上信任和可信度的外衣。 这些链接将用户引导至各种服务，如MediaFire、Dropbox或Google Drive，或托管在Google Sites、Blogger和Telegraph上的钓鱼页面，这些页面进而包含下载所谓软件的链接。在许多情况下，链接使用URL缩短器进行隐藏以掩盖真实目的地。 通过YouTube幽灵网络分发的一些恶意软件家族包括Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer以及其他基于Node.js的加载器和下载器： 一个名为 @Sound_Writer（拥有9690名订阅者）的频道，被入侵超过一年，用于上传加密货币软件视频以部署Rhadamanthys。 一个名为 @Afonesio1（拥有12.9万名订阅者）的频道，在2024年12月3日和2025年1月5日被入侵，上传了一个宣传Adobe Photoshop破解版的视频，用于分发一个MSI安装程序，该安装程序会部署Hijack Loader，进而传递Rhadamanthys。 “恶意软件分发方法的持续演变，表明了威胁行为体在绕过传统安全防御方面卓越的适应性和资源丰富性，” Check Point 表示。”对手正越来越多地转向更复杂的、基于平台的策略，最显著的是部署’幽灵网络’。” “这些网络利用合法账号固有的信任以及流行平台的互动机制，来策划大规模、持久且高效的恶意软件活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Жители Лаудона покупали дома подальше от цивилизации, но серверные фермы нашли их и там.

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关联的威胁行为体被发现针对印度政府实体发起鱼叉式网络钓鱼攻击，旨在投递一种基于Golang的恶意软件，名为DeskRAT。 Sekoia在2025年8月和9月观测到此次活动，并将其归因于Transparent Tribe（又名APT36），这是一个至少自2013年以来就活跃的由国家资助的黑客组织。此次攻击也建立在CYFIRMA于2025年8月披露的先前活动之上。 攻击链涉及发送包含ZIP文件附件的网络钓鱼邮件，或者在某些情况下，发送指向托管在Google Drive等合法云服务上的存档文件的链接。ZIP文件中包含一个恶意的Desktop文件，该文件嵌入了使用Mozilla Firefox显示诱饵PDF（”CDS_Directive_Armed_Forces.pdf”）的命令，同时执行主有效载荷。 这两个组件都从一个名为”modgovindia[.]com”的外部服务器拉取并执行。与之前一样，该活动旨在针对BOSS Linux系统，其远程访问木马能够使用WebSocket建立命令与控制。 该恶意软件支持四种不同的持久化方法，包括创建systemd服务、设置cron作业、将恶意软件添加到Linux自动启动目录以及配置.bashrc通过写入特定目录的shell脚本启动木马。 DeskRAT支持五种不同的命令： ping：向C2服务器发送带有当前时间戳和”pong”的JSON消息。 heartbeat：发送包含heartbeat_response和时间戳的JSON消息。 browse_files：发送目录列表。 start_collection：搜索并发送匹配预定义扩展名且小于100 MB的文件。 upload_execute：投递额外的Python、shell或Desktop有效载荷并执行。 值得注意的是，该组织还针对Windows端点分发名为StealthServer的Golang后门，表明其具有跨平台攻击重点。StealthServer的Windows版本存在三个变种，功能逐步演进，并加入了反分析技术。 与此同时，其他南亚和东亚威胁组织也相当活跃： Bitter APT：针对中国和巴基斯坦的政府、电力及军事部门，利用漏洞投递C#植入程序。 SideWinder：针对巴基斯坦、斯里兰卡等国海事等领域，开展代号为”Operation SouthNet”的集中活动。 OceanLotus：在针对中国及东南亚国家的攻击中投递Havoc利用后框架。 Mysterious Elephant：使用多种初始访问手段，投递BabShell反向shell和MemLoader等加载器，最终执行Remcos RAT等 payload。 这些入侵活动还特别关注从受感染主机窃取WhatsApp通信记录，使用了诸如Uplo Exfiltrator和Stom Exfiltrator等模块。此外，还使用了ChromeStealer Exfiltrator来窃取Chrome浏览器中的Cookie、令牌等敏感信息以及WhatsApp相关文件。 这些活动描绘出该地区威胁行为体技术不断演进、活动频繁的图景，对亚太地区的政府实体和关键部门构成了持续且复杂的威胁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种可自我传播的蠕虫病毒。它通过Open VSX Registry和Microsoft Extension Marketplace上的Visual Studio Code扩展进行传播。这一事件凸显出，开发者已成为网络攻击的主要目标。 这项由Koi Security命名的复杂威胁软件，代号为GlassWorm。这已经是近一个月内针对DevOps领域的第二起软件供应链攻击。9月中旬，名为Shai-Hulud的蠕虫恶意软件针对nmp生态系统发起攻击。 攻击的核心特点 此次攻击的突出之处在于其使用了Solana区块链进行命令与控制，使得其基础设施能够抵御关停操作。它还使用Google日历作为C2的备用机制。 另一个新颖之处在于，GlassWorm活动依赖于”使恶意代码在代码编辑器中 literally 消失的不可见Unicode字符”。Idan Dardikman在一份技术报告中表示：”攻击者使用了Unicode变体选择符——这些特殊字符是Unicode规范的一部分，但不会产生任何视觉输出。” 此次攻击的最终目的是窃取npm、Open VSX、GitHub和Git的凭证，清空49种不同加密货币钱包扩展中的资金，部署SOCKS代理服务器以将开发者机器变成犯罪活动的通道，安装隐藏的VNC服务器以获取远程访问权限，并利用被盗凭证武器化，进一步危害其他软件包和扩展以实现更广泛的传播。 目前已有14款扩展受感染。其中13个在Open VSX上，1个在Microsoft Extension Marketplace上。这些扩展的总下载量约达 35800 次。第一波感染浪潮发生在10月17日。目前尚不清楚这些扩展是如何被劫持的。 恶意代码的执行流程 首先，隐藏在扩展中的恶意代码会先搜索 Solana 区块链上与攻击者控制的钱包相关的交易。 若找到相关交易，代码会从交易的 “备注” 字段中提取一段 Base64 编码字符串，解码后得到用于获取下一阶段有效负载的 C2 服务器地址（为 “217.69.3 [.] 218” 或 “199.247.10 [.] 166”）。 该有效负载是一款信息窃取工具，可捕获凭证信息、身份验证令牌和加密货币钱包数据；同时会访问谷歌日历的某个事件，解析另一段 Base64 编码字符串，并联系上述同一服务器以获取名为 “Zombi” 的有效负载。最终窃取的数据会被传输至攻击者控制的远程端点（地址为 “140.82.52 [.] 31:80”）。 其中，Zombi模块使用JavaScript编写，它通过部署SOCKS代理、用于点对点通信的WebRTC模块、用于分布式命令分发的BitTorrent分布式哈希表以及用于远程控制的HVNC，将GlassWorm感染转变为全面入侵。 问题更为复杂的是，VS Code扩展默认配置为自动更新，这使得威胁行为者能够在无需任何用户交互的情况下自动推送恶意代码。 “这不是一次性的供应链攻击，” Dardikman说。”这是一种旨在像野火一样在开发者生态系统中传播的蠕虫。” “攻击者已经找到了让供应链恶意软件自我维持的方法。他们不再仅仅是危害单个软件包——他们正在构建能够自主在整个软件开发生态系统中传播的蠕虫。” 这一事态发展正值利用区块链部署恶意负载的技术因其假名性和灵活性而激增之际，甚至来自朝鲜的威胁行为者也利用该技术来策划其间谍活动和出于经济动机的攻击活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文