Aggregator

Cybersecurity researchers have discovered a JScript-based command-and-control (C2) framework called PeckBirdy that has been put to use by China-aligned APT actors since 2023 to target multiple environments. The flexible framework has been put to use against Chinese gambling industries and malicious activities targeting Asian government entities and private organizations, according to Trend Micro

A vulnerability was found in EVerest everest-core 2025.9.0. It has been declared as problematic. The affected element is the function assert. Such manipulation leads to denial of service. This vulnerability is traded as CVE-2025-68134. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Honeywell WIN-PACK PRO 4.8. Impacted is an unknown function of the file C:\Program Files \WINPAKPRO\WP GuardTour Service.exe. The manipulation results in unquoted search path. This vulnerability is cataloged as CVE-2021-47866. The attack must be initiated from a local position. Furthermore, there is an exploit available.

A vulnerability has been found in Winpakpro 4.8 and classified as problematic. The affected element is an unknown function of the file C:\Program Files \Winpakpro\ScheduleService Service.ex. This manipulation causes unquoted search path. This vulnerability is registered as CVE-2021-47867. The attack needs to be launched locally. Furthermore, an exploit is available.

A vulnerability was found in Honeywell WIN-PACK PRO 4.8. It has been classified as problematic. This affects an unknown function of the file C:\Program Files \WINPAKPRO\WPCommandFileService Service.exe. Performing a manipulation results in unquoted search path. This vulnerability is reported as CVE-2021-47868. The attack requires a local approach. Moreover, an exploit is present.

A vulnerability has been found in EVerest everest-core 2025.9.0 and classified as problematic. This impacts an unknown function. Performing a manipulation results in improper check or handling of exceptional conditions. This vulnerability is cataloged as CVE-2025-68135. The attack must originate from the local network. There is no exploit available. The affected component should be upgraded.

Apache Struts S2-069 XXE漏洞(CVE-2025-68493)漏洞分析

Cyber fusion centers make zero-trust more effective by improving visibility, automating response, and shrinking the window for attacks.

The post Why Cyber Fusion Centers and Zero-Trust Work Better Together appeared first on Security Boulevard.

火绒安全2025年终端安全洞察报告

Zscaler has announced new AI security innovations designed to empower enterprises to secure the fast growing use of AI, while maintaining visibility, control, and governance. As organizations adopt generative AI and prepare for the use of agentic AI, they face rising risk of cyberattacks and data loss because traditional security models weren’t designed to secure AI. The Zscaler AI Security Suite eliminates the trade-off between AI innovation and risk, providing the visibility and controls needed … More →

The post Zscaler expands AI security capabilities to deliver visibility, control, and governance appeared first on Help Net Security.

Cloudflare зафиксировала более 180 серьезных сбоев в работе интернета в 2025 году.

HackerNews 编译，转载请注明出处： 微软日前发布了紧急安全更新，用于修复一个已在野外被积极利用的Office零日漏洞，该漏洞编号为CVE-2026-21509，影响Office 2016至2024多个版本以及Microsoft 365 应用。 该漏洞属于安全机制绕过类型，波及Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及企业版Microsoft 365 Apps。 根据微软的安全公告，漏洞成因在于“Microsoft Office的一项安全决策依赖了不可信的输入，使得攻击者能够借此在本地绕过安全防护。”公告确认该漏洞已被在野利用，并指出：“攻击者需要向用户发送恶意Office文件并诱使其打开。” 本次更新修复了一个可绕过Microsoft 365和Office中OLE安全保护的缺陷，该缺陷会将用户暴露于存在漏洞的COM/OLE控件。 微软已确认Office的预览窗格不受此漏洞影响，且无法作为攻击入口。不过，该公司并未披露关于利用此漏洞的攻击的技术细节。 微软正在努力解决Microsoft Office 2016和2019中的该漏洞，并宣布将尽快发布安全更新。 微软也提供了临时缓解方案以降低风险： Office 2021及更高版本在重启应用程序后，可通过服务端修复自动获得保护。 对于Office 2016和2019版本，用户需要等待并安装即将发布的安全更新，或者立即手动修改注册表来禁用存在隐患的COM/OLE控件。具体操作涉及添加特定的COM 兼容性注册表项，并在其中设置兼容性标志DWORD值。微软提醒，在修改注册表前务必进行备份，修改后需重启Office应用程序才能使防护生效。   消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，安全研究人员确认了一起针对MicroWorld Technologies公司eScan杀毒产品的严重供应链攻击事件。黑客疑似利用厂商合法的更新通道，向用户推送了恶意更新。 根据Morphisec威胁实验室今日发布的研究报告，此次事件导致多阶段恶意软件被分发给全球范围内的企业和个人用户终端。 据悉，这些恶意更新包使用了被盗的eScan代码签名证书进行数字签名，这使得它们看起来合法，轻易绕过了系统常规的信任验证机制。恶意软件一旦成功部署，便会建立持久化驻留，开启远程访问功能，并会主动阻止受感染主机接收任何后续的更新。 多阶段恶意软件内置反清除机制 整个攻击链始于一个被植入了木马的32位eScan程序，该程序在软件更新过程中替换了原有的正常组件。此初始载荷会释放更多恶意模块，包括一个下载器和一个能为攻击者提供受感染系统完全控制权的64位后门。本次攻击活动一个至关重要的特征是恶意软件内置了反清除机制。它通过修改Windows系统的hosts文件并篡改eScan相关注册表项，阻断了终端与eScan官方更新服务器的连接。这使得受感染的设备无法自动获取修复补丁。 恶意软件通过创建伪装成Windows磁盘碎片整理任务的计划任务，以及使用随机生成的GUID名称的注册表项来实现持久化。同时，下载器模块还会尝试与外部命令与控制（C2）服务器通信以获取更多攻击载荷，不过这些C2服务器的当前状态尚未明确。 检测、响应与处置建议 Morphisec称，其在恶意软件开始分发后的数小时内，就在部署了其防护方案的客户系统上检测并拦截了相关恶意活动。 据称，Morphisec在事发当日便联系了MicroWorld Technologies。eScan方面则表示，其通过内部监控发现了异常，在一小时内隔离了受影响的基础设施，并将全球更新系统离线了超过八小时以进行处理。 然而，Morphisec指出，尽管厂商声称已通过电话直接通知客户，但其客户仍需主动联系eScan技术支持才能获得具体的修复方案。 Infosecurity网站已就此事联系eScan寻求置评，但截至发稿前未获回复。Morphisec建议所有使用eScan产品的组织立即采取以下应对措施： ·在终端上搜索已知的恶意文件哈希值。 ·检查Windows\Defrag\目录下的计划任务，排查可疑项。 ·审查注册表中那些包含编码数据、以GUID格式命名的键值。 ·封锁已识别的C2域名。 ·立即吊销对涉事被盗eScan代码签名证书的信任。 对于未部署有效防护的系统，建议直接假定其已遭入侵，立即隔离受感染设备并进行全面的取证分析。截至本文发布，eScan官方尚未就此事件发布公开安全公告，相关调查据称仍在进行中。 消息来源:infosecurity-magazine.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，荷兰一家大型会计师事务所已成为活跃勒索软件组织Nova的最新攻击目标。 2026年1月23日，该入侵事件被一家勒索软件活动跟踪平台发现并记录，其攻击发生时间估计与发现日期相近。 攻击者宣称已窃取大量敏感数据，并给出了为期10天的最后通牒，要求受害方与其联系并就支付赎金进行谈判。 事件详情 毕马威是全球领先的专业服务机构，为众多大型跨国企业提供审计、税务及咨询等全方位服务。 其荷兰分部掌握着大量客户敏感数据，涵盖金融服务、合规审计及企业运营的敏感客户数据。 此次攻击目标的选择，符合Nova勒索软件一贯的作案模式，即专注于攻击专业服务与金融行业的知名企业。Nova已被视为当前勒索软件领域的重要威胁之一。 威胁情报数据显示，该组织在Tor网络上部署了多个命令与控制服务器节点。 对公开攻击指标的分析表明，Nova通过分布在多个“.onion”域名下的基础设施来实施数据泄露。 该团伙的后端服务器采用基于uvicorn的标准架构，表明其采用了标准化的后端部署。 安全建议 网络安全团队应立即封锁已识别的相关域名基础设施，并密切监控网络内是否存在与勒索软件部署相关的横向移动活动。 一旦在网络日志中发现任何与Nova相关的入侵痕迹或攻击指标，必须立即启动应急预案。 截至目前，毕马威官方尚未就此次事件公开发表声明。 建议客户及其他相关方密切关注其官方渠道的后续通报，以获取事件影响的详细评估及修复进展的时间表。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Crunchbase近日确认发生数据泄露事件。此前，名为ShinyHunters的网络犯罪组织声称从其系统中窃取了超过200万条个人记录。 由于勒索失败，ShinyHunters已在相关网站上公开泄露了一个容量为402 MB的压缩数据包。 Crunchbase表示，此次事件未影响公司正常运营，且安全漏洞现已得到遏制。公司已通报美国联邦当局，并正借助外部专家力量调查此事。目前，Crunchbase正在评估被泄露的数据内容，以确定是否需要依法发布通知。 Crunchbase在给SecurityWeek的声明中称：“Crunchbase检测到一起网络安全事件，有威胁行为者从公司内部网络窃取了某些文件。此事件未造成业务运营中断。我们已控制住事态，系统是安全的。” 声明进一步指出：“在发现事件后，我们立即聘请了网络安全专家协助处理，并联系了联邦执法机构。我们已知悉威胁行为者在网上公开了部分信息。根据事件响应流程，我们正在审查受影响的信息，并将依据相关法律要求决定是否需发布通知。” ShinyHunters团伙最近重启了其数据泄露网站，列出的受害者包括SoundCloud、Betterment以及本次的Crunchbase，前两家公司此前也已承认遭遇数据泄露。 ShinyHunters是一个以牟利为目的的网络犯罪组织，自2020年起持续活跃。它从大型企业窃取海量个人及公司数据，若赎金要求未被满足，便在地下论坛出售或公开泄露这些数据。该组织常利用窃取的凭证、云服务漏洞及社交工程手段实施攻击，并曾宣称对Tokopedia等知名平台及其他高价值目标的大规模数据泄露事件负责。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Varonis报告称，一个地下网络犯罪论坛上出现的新型恶意软件工具包，可以在提供钓鱼页面时保持浏览器地址栏不被修改。 这款被称为Stanley的恶意软件即服务工具包，定价在2000至6000美元之间，首次于1月12日被发现，其发布帖子声称它可以创建绕过谷歌商店审核的扩展程序。 Varonis发现，其顶级的定价为威胁行为者提供了定制选项、一个管理面板，并保证能在Chrome网上应用商店上架。 这家网络安全公司指出：“这个保证是此次商业活动的核心：它将分发风险从买家身上转移，并暗示卖家拥有一种可重复通过谷歌审核流程的方法。” 一个基于网络的管理界面为不法分子提供了受感染主机的视图，显示诸如IP地址（用作标识符）、在线状态、浏览器历史状态以及最后活动时间戳等信息。 它还允许操作者选择单个目标并为其配置特定的URL劫持规则，这些规则包括源/合法URL和目标/钓鱼URL。 Varonis解释道：“每条规则可按感染实例激活或停用，使操作者能够分阶段部署攻击并按需触发。” 更重要的是，受害者会在浏览器的地址栏中看到他们试图访问的合法网址，而实际上却在与攻击者控制的内容进行交互。 Varonis解释道：“除了被动劫持，操作者还可以通过实时投递通知，主动引诱用户访问目标页面。这些通知来自Chrome浏览器本身，而非网站，因此它们承载着更多隐含的信任。” 对使用Stanley构建的极简笔记和书签扩展程序Notely的分析显示，其创建者在其中打包了合法功能，但也将其设计为请求必要的权限，以完全控制用户访问的网站。 该扩展包含一个持久的轮询机制，不断与其命令与控制服务器进行校验，实现了备用域名轮换，并拦截网站访问以覆盖一个包含钓鱼页面的全屏iframe。 Varonis解释道：“浏览器的地址栏继续显示合法域名（例如binance.com），而受害者看到并与之交互的却是攻击者的钓鱼页面。” 这家网络安全公司指出，Stanley的价格区间使其能够被广泛的网络犯罪分子获取，而潜入Chrome网上应用店的恶意扩展程序可能会活跃数月，悄无声息地窃取凭证。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员日前发现了一个规模庞大的反向链接非法交易市场，其目的是帮助网络犯罪分子提升恶意网页在搜索引擎结果中的排名。 Fortra公司的威胁情报与研究专家在Telegram和WhatsApp平台上发现了这项名为“HaxorSEO”（亦称“HxSEO”）的黑产服务。该服务通过一份谷歌表格，提供了超过1000个指向事先被攻陷但表面合法的域名的反向链接。 Fortra解释道：“这些域名通常已注册15至20年，售卖时会附带一系列‘信任度’评分，用以宣传所购反向链接在提升搜索引擎排名方面的效果。”“一旦买家付款，该团伙就会将包含恶意地址的反向链接植入目标合法域名，从而大大提高买家达成其恶意目的的成功率。” 攻击者首先通过植入Webshell来控制这些合法网站。随后，购买服务的威胁行为者便可利用这些植入的链接，提升其恶意网站的搜索排名，将毫无戒心的用户诱骗至旨在窃取凭证或分发恶意软件的钓鱼页面。 Fortra指出，在某些案例中，经HxSEO优化后的虚假银行登录页面，其搜索排名甚至超过了它们所仿冒的正规官方网站。 供应商还声称，Haxor还能够通过在垃圾、低权威度的网站上部署垃圾反向链接，来拉低被模仿的合法页面的SEO评分。 低成本，高危害 此项服务每条反向链接的售价低至6美元，并可自动将所需代码注入被攻陷的网站，对威胁行为者而言极具吸引力。报告警告称：“由于在搜索结果中极难甄别这些恶意反向链接，加之其低廉的成本，这必然会导致大规模攻击的发生。” HxSEO市场在列出每条恶意反向链接时，都会附上常见的SEO指标，用以说明对应域名或网页的权威性与强度。 Fortra进一步说明：“页面权威值（PA）、域名权威值（DA）和域名评级（DR）可用于预测该网站用于SEO投毒的效果，其中域名评级（DR）最能体现该域名反向链接档案的‘威力’。” “垃圾邮件评分（SS）则用于评估域名因违规而被惩罚或视为垃圾邮件的风险。该列表通常同时展示100至150个被攻陷的网站，其中被遗忘的学术期刊页面尤为受青睐。” 报告提到，Haxor团队最常利用存在漏洞的PHP组件和WordPress插件，通过各类文件上传及远程代码执行漏洞实施攻击。 用户需提高警惕 尽管搜索引擎持续打击此类恶意行为，但新域名、新反向链接和内容的不间断供应，足以维持像Haxor这类黑产的运转。此外，Fortra表示，购买这些服务的客户可能只需让恶意钓鱼网站上线运行数天或数周，便能达到窃取信息的目的。该威胁情报公司正与相关的域名服务商、网站所有者及搜索引擎合作，以期取缔这些恶意页面。同时，报告也呼吁用户提升自身防范意识。 报告总结并建议道：“用户应对通过搜索引擎访问的网址（尤其是银行登录页面）保持警惕。最佳做法是将网银等敏感登录页面直接添加为书签，而非每次通过搜索引擎查找。” “务必仔细核验网址中的域名是否真实合法，并留意那些带有不易察觉的细微拼写差异的仿冒域名。如若无法确定，应直接联系银行以核实正确的登录页面地址。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

来自maze-sec团队的一台windows靶机 faker靶机复现

科学家预测到 2050 年全球有 37.9 亿人面临极端高温。热带国家将首当其冲，而气候较凉快的地区也需要适应。研究发现，如果全球平均气温比工业化前水平升高 2C，到 2050 年经历极端高温天气的人口预计将翻番。大部分影响将在本十年内显现，因为全球气温正迅速逼近 1.5C 的临界点。高温常被称为“无声杀手”，因为大多数中暑死亡是缓慢发生的，高温和其它环境因素共同作用破坏了人体内部的体温调节机制。气候变化导致热浪持续时间更长、强度更大，空调等降温设备将变得至关重要。