Aggregator

微信Linux版高危漏洞已修复信创安全防护仍需重点强化

4 months 1 week ago

微信Linux版高危漏洞已修复信创安全防护仍需重点强化

朝鲜黑客通过虚假 Zoom 会议、ClickFix 钓鱼攻击加密货币行业高管

4 months 1 week ago

HackerNews 编译，转载请注明出处：事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。受害者按照故障排除命令操作后，其 macOS 设备被感染。首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。消息来源：therecord.media；本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

hackernews

Phorpiex 钓鱼攻击投放强隐蔽性 Global Group 勒索软件

HackerNews

4 months 1 week ago

HackerNews 编译，转载请注明出处：研究人员监测到一起大规模钓鱼攻击活动，该活动投放长期存在的 Phorpiex 恶意软件，所使用邮件的主题为 “您的文档”，这一诱骗手段在 2024 至 2025 年被广泛使用。此类邮件包含看似无害的文档附件，实则为经过武器化改造的 Windows 快捷方式文件，用于启动多级感染链。网络安全公司 Forcepoint 发布的最新公告显示，该攻击活动依托 Windows 快捷方式（.lnk）文件作为初始入侵向量的持续有效性，用于投放 Global Group 勒索软件 —— 这是一款具备隐蔽性、可离线运行的勒索软件即服务（RaaS）工具。 Windows 快捷方式诱骗手段为何经久不衰 Windows 快捷方式文件仍是将单次点击转化为代码执行的可靠途径。攻击者通过 Document.doc.lnk 这类双后缀形式伪装文件，并利用 Windows 系统默认隐藏已知文件后缀名的设置。视觉伪装同样发挥作用，攻击者复制合法 Windows 资源中的图标，强化文件为可信文档的假象。快捷方式文件被打开后会启动 cmd.exe，进而运行 PowerShell 下载并执行第二阶段载荷。攻击过程不会显示安装界面，也不会向用户弹出明显告警，可在后台静默运行。该感染链流程简洁但效果显著： · 钓鱼邮件提供形似文档的附件 · 快捷方式通过 cmd.exe 执行内嵌指令 · PowerShell 下载远程载荷并保存为 windrv.exe · 该二进制文件在本地执行，无任何用户可见提示本次攻击中获取的载荷关联 Phorpiex 恶意软件，这是一款 2010 年左右活跃的模块化恶意软件即服务（MaaS）僵尸网络，常用于分发勒索软件及其他次生恶意程序。 Global Group 的离线勒索软件模式在本次攻击中，Phorpiex 最终投放 Global Group 勒索软件，该软件与多数现代勒索软件家族不同，可完全离线运行。该恶意软件在本地生成加密密钥，不连接命令与控制（C2）服务器，也不执行数据窃取操作。该设计使其可在隔离或物理隔离环境中运行，同时减少对易触发告警的网络流量的依赖。该勒索软件采用 ChaCha20-Poly1305 算法加密文件，并为文件添加.Reco 后缀。恶意软件会在系统内释放名为 README.Reco.txt 的赎金通知，并将桌面壁纸替换为 GLOBAL GROUP 相关信息。该恶意软件执行后会自删除，并清除系统卷影副本，增加取证分析与数据恢复难度。 Forcepoint 表示：“本次攻击表明，Phorpiex 这类老牌恶意软件家族搭配简单可靠的钓鱼手段，仍能保持极高攻击效率。” “攻击者利用 Windows 快捷方式这类常见文件类型，可低阻力获取初始访问权限，进而顺利投放 Global Group 勒索软件等高危害载荷。” 消息来源：infosecurity-magazine.com；本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

hackernews

Следил за бывшей, а теперь все знают твой email. Хакер wikkid наказал 500000 любителей шпионских приложений

Securitylab.ru

4 months 1 week ago

Утечка данных Ersten Group раскрыла адреса электронных почт клиентов сервисов для скрытой слежки.

沃尔沃集团北美客户数据在 Conduent 黑客攻击中泄露

HackerNews

4 months 1 week ago

HackerNews 编译，转载请注明出处：沃尔沃集团北美公司披露，因美国商业服务巨头 Conduent 的 IT 系统被攻陷，该公司发生间接数据泄露事件，Volvo 是 Conduent 的客户。沃尔沃集团北美公司是这家瑞典跨国企业在美国、加拿大和墨西哥的运营分支机构。其主营商用车与重型设备制造，产品包括卡车、客车、工程设备、发动机及工业动力系统。美国知名品牌 Mack Trucks 是其旗下子公司。Volvo Group 与 Volvo Cars 并非同一家公司，前者不生产乘用车。在 Conduent 于 2025 年末披露的大规模数据泄露事件中，沃尔沃集团北美公司近 17000 名客户及 / 或公司员工的个人信息遭泄露。 Conduent 是一家美国业务流程外包（BPO）公司，为政府及企业提供数字化平台与服务。该公司在 2024 年 10 月 21 日至 2025 年 1 月 13 日期间发生安全入侵事件，威胁攻击者窃取了用户全名、社会安全号码（SSN）、出生日期、医疗保险保单详情、身份证件号码及医疗信息。 Conduent 尚未确定受影响的具体人数，但此前已披露该事件波及俄勒冈州 1050 万人、得克萨斯州 1550 万人。该公司目前正代其客户向受影响人员发送通知，为沃尔沃集团北美公司的客户及员工提供为期至少一年的免费身份监控服务，同时附赠信用监控、暗网监控及身份修复服务。此外，通知建议接收者为自己的信用报告设置欺诈预警或安全冻结。沃尔沃集团北美公司近期再度发生数据泄露事件，同样由第三方供应商引发，导致员工全名、社会安全号码等信息泄露。此次泄露源于 IT 服务供应商 Miljödata 在 2025 年 8 月遭入侵，导致 150 万人信息泄露，其中包括沃尔沃集团在瑞典和美国的员工。 2021 年，Volvo Cars 曾发生安全入侵事件，黑客从其服务器窃取了研发（R&D）数据。数据勒索组织 Snatch 宣称对该起攻击负责，并在其勒索平台上泄露了窃取的文件。消息来源： bleepingcomputer.com；本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

hackernews

新型 Linux 僵尸网络 SSHStalker 采用老式 IRC 协议进行命令与控制通信

HackerNews

4 months 1 week ago

HackerNews 编译，转载请注明出处：一款名为 SSHStalker 的新型 Linux 僵尸网络被记录在案，它使用 IRC（互联网中继聊天）通信协议进行命令与控制（C2）操作。 IRC 协议发明于 1988 年，在 20 世纪 90 年代达到普及顶峰，成为当时基于文本的群聊和私聊主流即时通信方案。技术社区至今仍认可其优势：实现简单、兼容性强、带宽需求低，且无需图形用户界面（GUI）。 SSHStalker 僵尸网络未采用现代 C2 框架，而是依赖经典 IRC 机制（如多款基于 C 语言开发的僵尸程序、多服务器 / 多频道冗余设计），优先保障弹性、规模和低成本，而非隐蔽性与技术新颖性。威胁情报公司 Flare 的研究人员指出，该思路也体现在 SSHStalker 的其他运营特征中：例如使用易被检测的 SSH 扫描、1 分钟周期的定时任务（cron jobs），以及大量 15 年前的漏洞（CVE）利用程序。 Flare 表示：“我们实际发现的是一个‘噪音大’、拼接而成的僵尸网络工具包，融合了老式 IRC 控制、主机端编译二进制文件、大规模 SSH 攻陷、基于 cron 的持久化手段。换言之，其运营逻辑是‘规模优先’，更看重可靠性而非隐蔽性。” SSHStalker 通过自动化 SSH 扫描和暴力破解实现初始入侵，使用一个伪装成热门开源网络发现工具 nmap 的 Go 语言二进制程序。被攻陷的主机会被用于扫描更多 SSH 目标，形成类似蠕虫的僵尸网络传播机制。 Flare 发现了一个包含近7000次僵尸程序扫描结果的文件，这些扫描均发生在一月份，且主要针对 Oracle 云基础设施中的云托管提供商。 SSHStalker 感染主机后，会下载 GCC 工具在受害设备上编译载荷，以提升可移植性和规避检测能力。首批载荷为内置硬编码 C2 服务器和频道的 C 语言 IRC bot 程序，将新受害主机接入僵尸网络的 IRC 基础设施。接着，恶意软件会获取名为 GS 和 bootbou 的压缩包，其中包含用于编排和执行序列的僵尸程序变体。持久化通过每 60 秒执行一次的 cron 任务实现，该任务启动看门狗式更新机制，检查主 bot 进程是否运行，若被终止则重新启动。该僵尸网络还包含针对 2009-2010 年版 Linux 内核的 16 个 CVE 漏洞利用程序。这些程序用于在前期暴力破解获得低权限用户访问权限后，进行权限提升。盈利方面，Flare 发现该僵尸网络会窃取 AWS 密钥并进行网站扫描。同时还内置加密货币挖矿工具包，例如高性能以太坊挖矿程序 PhoenixMiner。该僵尸网络还具备分布式拒绝服务（DDoS）攻击能力，但研究人员表示暂未观测到相关攻击。事实上，SSHStalker 的 bot 程序目前仅连接 C2 后进入空闲状态，表明现阶段可能处于测试或囤积访问权限阶段。 Flare 尚未将 SSHStalker 归因于特定的威胁组织，但指出其与 Outlaw/Maxlas 僵尸网络生态系统存在相似性，并关联多项罗马尼亚相关线索。该威胁情报公司建议在生产服务器上部署针对编译器安装和执行的监控方案，并对 IRC 风格的出站连接设置警报。来自异常路径且执行周期短的 cron 任务也是重要的危险信号。缓解建议包括禁用 SSH 密码认证、从生产环境镜像中移除编译器、实施出口过滤以及限制从“/dev/shm”目录执行文件。消息来源：bleepingcomputer.com；本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

hackernews

Yubico previews passkey-enabled digital signatures in upcoming YubiKey 5.8 firmware

Help Net Security

4 months 1 week ago

Yubico’s upcoming YubiKey 5.8 firmware introduces standardized APIs that integrate hardware-backed signatures with passkey authentication. To enable privacy-capable digital signatures using passkeys, expanded enterprise IdP support, and next-generation digital wallet use cases, the firmware adds support for FIDO CTAP 2.3 and preview WebAuthn signing extensions. “The adoption of CTAP 2.3, together with enhancements such as the W3C signing extension, enables usable digital signatures in web applications and services where digital signing is part of the … More →

The post Yubico previews passkey-enabled digital signatures in upcoming YubiKey 5.8 firmware appeared first on Help Net Security.

Anamarija Pogorelec

春节防“伪”指南：360安全智能体识破仿冒网站，护航安心年

360数字安全

4 months 1 week ago

谨防“李鬼”，安心过年（内含限量红包封面）

Windows Remote Access Connection Manager 0-Day Vulnerability Let Attackers Trigger DoS Attack

Cyber Security News

4 months 1 week ago

Microsoft has patched a zero-day vulnerability in the Windows Remote Access Connection Manager (RasMan) service, tracked as CVE-2026-21525, which allowed attackers to trigger denial-of-service (DoS) conditions on unpatched systems. The flaw, stemming from a NULL pointer dereference (CWE-476), was actively exploited in the wild before disclosure, earning an “Exploitation Detected” rating from Microsoft’s MSRC exploitability […]

The post Windows Remote Access Connection Manager 0-Day Vulnerability Let Attackers Trigger DoS Attack appeared first on Cyber Security News.

Abinaya

文末领福利！Yak Project 致用户与共建者们的2025年报

Yak Project

4 months 1 week ago

快来领取限量版YAK红包封面

Sophisticated Cyber Attack Targets Wedding Industry With Teams-Based Malware Delivery

Cyber Security News

4 months 1 week ago

A sophisticated phishing campaign targets wedding planners and vendors with stealer malware disguised as Microsoft Teams meetings. Security researchers highlight the use of compromised legitimate emails to build trust before delivering payloads. Threat actors impersonate legal professionals in emails from czimmerman@craigzlaw[.]com, a domain tied to The Law Offices of Craig Zimmerman, a real consumer protection […]

The post Sophisticated Cyber Attack Targets Wedding Industry With Teams-Based Malware Delivery appeared first on Cyber Security News.

Guru Baran

5 миллисекунд на деанон. Новый инструмент Adbleed видит тебя даже через Tor

Securitylab.ru

4 months 1 week ago

Как рекламные фильтры деанонимизируют пользователей.

CVE-2025-34164

CVE Trends

4 months 1 week ago

Currently trending CVE - Hype Score: 1 - A heap-based buffer overflow vulnerability in NetSupport Manager 14.x versions prior to 14.12.0000 allows a remote, unauthenticated attacker to cause a denial of service (DoS) or potentially result in arbitrary code execution.