Aggregator

速修复

Fuzzware.io 最终摘得桂冠

恭喜Project Sekai战队 ! 🏆

推进大语言模型在安全场景中进一步落地

HackerNews 编译，转载请注明出处： Symantec与Carbon Black的研究人员发现了一种名为Osiris的新型勒索软件变种，该变种于2025年11月被用于攻击一家东南亚大型食品服务特许经营商。 根据Symantec和VMware Carbon Black威胁猎手的分析，攻击者部署了一个名为POORTRY的恶意驱动程序，用自带漏洞驱动技术来禁用安全软件。 目前对Osiris的开发者，或其是否以勒索软件提供服务知之甚少，但有证据表明其与INC勒索软件存在关联。 Symantec与Carbon Black发布的报告中指出：“虽然这款Osiris勒索软件与2016年出现的同名勒索软件家族（Locky勒索软件的一个变种）重名，但没有迹象表明这两个家族之间存在任何关联。” Osiris似乎是一种新型勒索软件变种，与2016年基于Locky的同名变种无关。其开发者及任何RaaS模式仍属未知，但博通研究人员发现了攻击者与INC勒索软件团伙有相关联的迹象。 Osiris是一款功能齐全的勒索软件，能够停止服务和进程、选择要加密的文件和文件夹，并投放勒索信。研究人员报告称，该软件支持多种命令选项来定义目标、设置日志记录、选择加密模式以及Hyper-V等相关操作。这个新的勒索软件家族会跳过特定文件类型和系统文件夹，为加密文件附加.Osiris扩展名，删除VSS快照，并终止数据库、备份和生产力相关进程。该恶意软件使用混合ECC和AES-128-CTR加密，每个文件使用唯一密钥，通过完成端口管理异步输入/输出操作，并留下一份名为Osiris-MESSAGE.txt的勒索信，并在勒索信中提及敲诈细节和谈判链接。攻击链在勒索软件部署的数天前便已启动，攻击者当时使用Rclone工具悄悄窃取数据，并将其上传到Wasabi云存储桶中。这种方法，连同重用的工具（如名为kaz.exe的Mimikatz变体），都与过去Inc勒索软件的操作手法如出一辙，表明这可能是模仿或由前Inc附属组织参与的行动。 报告继续指出：“攻击者还部署了Netscan、Netexec和MeshAgent等其他具有双重用途的工具。他们还使用了定制版的Rustdesk远程监控和管理工具，该工具被修改以伪装其功能，并加入了‘WinZip远程桌面’的文件描述和WinZip图标，企图隐藏其真实用途。” 攻击者使用常见的双重用途工具进行网络探测和访问，外加一个伪装成“WinZip远程桌面”的修改版RustDesk远程工具以隐藏其目的。为了瘫痪防御系统，他们在一次自带漏洞驱动攻击中，部署了伪装成Malwarebytes组件的Poortry驱动程序，用以关闭安全软件。KillAV也为了达成目的而被使用。最后，在启动勒索软件之前，他们启用了RDP以维持远程访问。 Osiris是技术娴熟的威胁行为者使用的一款能力强大的新型勒索软件。研究人员强调，工具的重复使用和战术表明其可能与Inc附属组织及Medusa活动存在潜在联系，尽管这样的关联尚不明确。 报告总结道：“勒索软件领域的形势不断变化，新勒索软件家族的出现始终值得密切关注。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Специалисты призвали изменить подход к защите данных из-за типизации атак.

根据微软的支持文档，Windows 11 一月安全更新可能导致部分 PC 无法启动，它正在收集用户和 IT 管理员的反馈。用户无需卸载此更新，因为该问题“仅限于”特定 PC。目前不清楚有多少用户受到影响，微软列出了两个受影响的平台：KB5074109 – Windows 11 25H2 和 KB5074109 – Windows 11 24H2。微软称，受影响的 PC 可能会突然停止启动，出现黑屏死机 (BSOD)错误，错误代码为 UNMOUNTABLE_BOOT_VOLUME。

自动更新通过显著缩短漏洞披露与修复之间的时间差，在降低补丁延迟、提升设备一致性

HackerNews 编译，转载请注明出处： 爱尔兰一名高级官员本周表示，爱尔兰政府计划起草一项立法，使执法部门使用间谍软件合法化。 爱尔兰司法、内政与移民事务部长吉姆·奥卡拉汉于周二表示，爱尔兰有必要加强“合法拦截权”，并“为使用隐蔽监视软件建立法律依据”，以更有效地打击严重犯罪与安全威胁。 公告称，该法案将要求所有的拦截请求必须获得法院授权。 根据公告，该法律还将包含一项条款，允许使用电子扫描设备，这类设备可精确定位并记录移动设备的识别数据，从而将其追踪至特定区域。 奥卡拉汉在声明中表示：“新立法还将包含有力的法律保障措施，以持续确保这些权力的使用是必要且适度的。” 公告指出，司法部将与爱尔兰总检察长办公室及其他国家机构合作，共同制定该法律框架。 奥卡拉汉称这项计划中的立法“早该出台”。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

100+框架实战：一次过Momo检测，玩转KPM/LSPosed/Zygisk

看雪论坛作者ID：G0t1T

该漏洞源于服务器授权逻辑缺陷，而母公司Meta在修复过程中的模糊回应，

HackerNews 编译，转载请注明出处： WorldLeaks网络犯罪团伙声称已从这家鞋服巨头的系统中窃取了信息。 在网络犯罪团伙声称从其系统窃取数据后，耐克已展开调查。 1月22日，这家运动鞋服巨头被列为WorldLeaks团伙运营的基于Tor的泄露网站的受害者。网站上的倒计时显示，除非支付赎金，否则被盗数据将于1月24日公开。 网络犯罪分子尚未具体说明他们从耐克窃取了多少数据或何种类型的数据。 耐克向SecurityWeek表示：“我们始终高度重视消费者隐私和数据安全。我们正在调查一起潜在的网络安全事件，并积极评估情况。” WorldLeaks组织于2025年出现，其前身是自2023年底开始活跃的勒索软件团伙”Hunters International”。在转型为WorldLeaks后，这些网络犯罪分子停止使用文件加密恶意软件，完全专注于数据窃取和勒索。 截至发稿时，WorldLeaks网站列出了近120名受害者名单。其中之一是戴尔公司，该公司曾在2025年7月表示，黑客仅窃取了合成的或公开可用的信息。 耐克可能遭入侵的消息传出前不久，服装零售商Under Armour刚刚宣布正在调查一起涉及客户电子邮件地址和其他个人信息的数据泄露事件。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月下旬一场针对波兰电网的网络攻击，已被证实与受俄罗斯政府支持的黑客组织“沙虫”有关。该组织在攻击中试图部署一种名为”DynoWiper”的新型破坏性数据擦除恶意软件。 沙虫组织（亦被追踪为UAC-0113、APT44和Seashell Blizzard）是一个俄罗斯国家级黑客组织，自2009年以来持续活跃。该组织被认为隶属于俄罗斯总参谋部情报总局（GRU）第74455部队，并以实施破坏性和毁灭性网络攻击而闻名。 几乎正好在十年前，沙虫曾对乌克兰能源电网发动了一次破坏性数据擦除攻击，导致约23万人断电。 根据ESET公司的调查，沙虫组织现已被证实与12月29日至30日针对波兰能源基础设施的攻击有关，此次攻击使用了名为“DynoWiper”的数据擦除器。 当数据擦除器被执行时，会遍历文件系统并删除文件。操作完成后，操作系统将无法使用，必须通过备份恢复或重新安装。 波兰官方在声明中表示，此次攻击的目标是两座热电联产厂以及一个用于控制风电机组和光伏农场等可再生能源发电的管理系统。 波兰总理唐纳德·图斯克在新闻发布会上表示：“一切迹象表明，这些攻击是由与俄罗斯情报部门直接相关的团体策划的。” ESET尚未公布关于DynoWiper的详细技术细节，仅表示该防病毒公司将其检测为Win32/KillFiles.NMO，其SHA-1哈希值为4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6。 BleepingComputer未能在VirusTotal、Triage、Any.Run等其他恶意软件提交平台找到该擦除器的样本。 虽然目前尚不清楚攻击者在波兰系统内潜伏了多长时间，也不确定其入侵方式，但Team Cymru的高级威胁情报顾问威尔·托马斯建议防御者参阅微软2025年2月发布的关于沙虫组织的报告。 不久前，沙虫组织还被证实与2025年6月和9月针对乌克兰教育、政府和粮食部门的破坏性数据擦除攻击有关。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 确认已修补设备仍遭 FortiCloud 单点登录功能攻击 与近期出现的 FortiCloud 单点登录漏洞类似，这些攻击绕过了身份验证。 Fortinet 周四证实，近期的攻击正在绕过已完全修复近期漏洞的设备上的 FortiCloud 单点登录身份验证。 Arctic Wolf 本周警告称，黑客正利用自动化手段，修改FortiGate 防火墙的配置，以添加新用户账户、启用VPN访问权限并窃取设备配置文件。 该公司指出，此次新的攻击活动与 2025 年 12 月针对 CVE-2025-59718 和 CVE-2025-59719 的攻击相似。这两个高危漏洞影响了 FortiOS、FortiWeb、FortiProxy 和 FortiSwitch Manager 设备的 FortiCloud SSO 登录功能。 Fortinet在 12 月初发布了针对这两个漏洞的修复程序，并警告称，黑客可能利用精心构造的 SAML 响应消息，在启用了 FortiCloud SSO 登录功能的实例上绕过身份验证。 Fortinet于周四证实了先前业界的担忧：即使设备已针对 CVE-2025-59718 和 CVE-2025-59719 打过补丁，攻击仍然能够成功。 Fortinet表示：“我们已确认多起案例，受攻击的设备在遭袭时已完全升级到当时的最新版本，这表明存在一条新的攻击路径。” 该公司补充道：“需要注意的是，虽然目前仅观察到针对 FortiCloud SSO 的利用，但此问题适用于所有 SAML SSO方式。” Fortinet表示正在制定修复方案，但尚无法分享其可用性的具体细节。 该公司已共享了入侵指标，以帮助客户排查其设备上的恶意活动。 建议各组织阻止从互联网对边缘设备进行管理访问，并将其限制在本地 IP 地址范围内。 Fortinet指出：“作为一项额外的临时缓解措施，我们建议禁用 FortiCloud SSO 功能。这将防止通过此方法被突破，但无法防范第三方 SSO 系统，因此建议仅在与本地入站策略结合使用时采取此措施。”       消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability marked as critical has been reported in PHP Jabbers Ticket Support Script 3.2. Affected is an unknown function. The manipulation leads to unrestricted upload. This vulnerability is uniquely identified as CVE-2023-39776. The attack is possible to be carried out remotely. No exploit exists.

A vulnerability described as critical has been identified in D-Link DAP-2660 1.13. Affected by this vulnerability is an unknown functionality of the file /adv_resource of the component GET Request Handler. Such manipulation leads to buffer overflow. This vulnerability is listed as CVE-2023-39749. The attack must be carried out from within the local network. There is no available exploit.

A vulnerability labeled as critical has been found in TP-LINK TL-WR841N, TL-WR940N and TL-WR941ND. This impacts an unknown function of the file /userRpm/AccessCtrlAccessRulesRpm of the component GET Request Handler. The manipulation results in buffer overflow. This vulnerability is identified as CVE-2023-39745. The attack can only be performed from the local network. There is not any exploit available.

A vulnerability was found in TP-LINK TL-WR1041N V2. It has been declared as problematic. This affects an unknown function of the file /userRpm/NetworkCfgRpm of the component GET Request Handler. Executing a manipulation can lead to denial of service. This vulnerability is handled as CVE-2023-39748. The attack can only be done within the local network. There is not any exploit available.

A vulnerability, which was classified as critical, has been found in lrzip-next 3.c/23.01. The affected element is an unknown function in the library src/libbz3.c of the component LZMA. Performing a manipulation results in memory corruption. This vulnerability is identified as CVE-2023-39743. The attack can only be performed from the local network. There is not any exploit available.