HackerNews

HackerNews 编译，转载请注明出处： 全球首款AI驱动勒索软件PromptLock已被发现。该恶意软件由ESET安全团队识别，目前仅处于概念验证阶段，但已具备传统勒索软件的全部功能框架。 PromptLock采用Golang编写，基于OpenAI的开放权重模型GPT-OSS:20b构建，可在无专有限制的环境下运行。ESET通过社交媒体公告解释：该威胁通过硬编码提示词动态生成Lua脚本，利用这些脚本执行文件系统扫描、文件检测、数据窃取及加密操作。 已观察到Windows和Linux双平台变种，其生成的Lua脚本具备跨平台兼容性。该勒索软件采用SPECK 128位算法实施文件加密。ESET特别指出：“恶意软件可能根据检测到的用户文件实施数据窃取、加密或潜在销毁。虽然文件销毁功能目前尚未激活。” 尽管AI驱动勒索软件的概念令人担忧，但PromptLock攻击需满足多项非常规条件：首先，它通过Ollama API在本地调用GPT-OSS:20b模型，要求受害者系统预先运行Ollama——这对普通计算机的资源配置而言极不现实。 ESET监测到PromptLock在局域网内发送请求，推测其可能连接本地Ollama服务，或通过内部代理转向外部服务器。安全研究人员强调，此类攻击成功的前提是受害者存在网络隔离缺陷、未部署提示词防护机制，且允许LLM相关端口协议的外联流量。 ESET明确表示该恶意软件目前仅为概念验证版本，尚未具备完整功能且未在野检测到实际攻击案例。“我们坚信有必要提升网络安全界对此类新兴风险的认知……AI驱动恶意软件标志着网络安全的新战场。公开这些发现旨在推动行业讨论、防御准备与深度研究。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 消费者信用报告巨头TransUnion警告称，其遭遇数据泄露，导致超过440万美国人的个人信息暴露。BleepingComputer获悉，数据是从其Salesforce账户中被窃取的。 TransUnion是美国三大信用机构之一，另外两家是Equifax和Experian。其在30个国家开展业务，拥有13,000名员工，年收入达30亿美元。 该公司收集并维护全球超过10亿消费者的信用信息，其中约2亿在美国。这些信息与65,000家企业共享，包括贷款机构、保险公司和雇主。 根据提交给缅因州总检察长办公室的文件，泄露事件发生在2025年7月28日，并于两天后被发现。 本周初分发给受影响客户的通知样本表明，该事件涉及服务于公司消费者支持运营的第三方应用程序。 数据泄露通知中写道：“我们最近遭遇了一起网络安全事件，涉及一个服务于我们美国消费者支持运营的第三方应用程序。未经授权的访问包含了一些属于您的有限个人信息。” 公司称在此事件中暴露的数据是“有限的”，尽管通知样本中未具体说明可能包含哪些内容。但信件强调，此次事件中未暴露任何信用报告或核心信用信息。 TransUnion现向受影响者提供24个月的免费信用监控和身份盗窃保护服务。 今年一波Salesforce数据窃取攻击已影响到众多公司，包括Google、Farmers Insurance、Allianz Life、Workday、Pandora、Cisco、Chanel和Qantas。 这些攻击由Shiny Hunters勒索团伙实施，近期还有一个被称为UNC6395的组织也参与其中。 在发布此报道后，BleepingComputer从两个消息来源（包括ShinyHunters）证实，TransUnion的数据泄露与这些Salesforce攻击有关。 该威胁行为者声称，被盗数据包含超过1300万条记录，其中440万条与美国人员有关。 BleepingComputer获得的一份被盗数据样本包含大量敏感个人信息，包括TransUnion客户的姓名、账单地址、电话号码、电子邮件地址、出生日期和未涂黑的社保号码。数据还包含了客户交易的原因，例如免费信用报告的申请。 除客户数据外，威胁行为者还声称窃取了存储在Salesforce中的客户支持工单和消息。 BleepingComputer已就此次泄露事件向TransUnion提出更多问题，若收到回复将更新本文。 两年前，曾有威胁行为者声称对TransUnion进行了数据泄露，但该公司予以否认，表示数据是从第三方窃取的。此前几年，该公司的南非和加拿大分支机构也曾遭遇网络安全漏洞，导致客户信息暴露。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕一名涉嫌入侵地方政府教育管理系统的大学生，该嫌疑人被控篡改成绩并侵入教授电子邮箱。据警方通报，这名21岁的男子在塞维利亚被捕，涉嫌入侵安达卢西亚地区教育平台Séneca。该平台覆盖西班牙人口最密集区域，被当地学校及大学广泛使用。警方称其不仅篡改本人中学及大学入学考试成绩，还修改了同学的分数。 调查发现，哈恩、科尔多瓦、塞维利亚、韦尔瓦、加的斯和阿尔梅里亚六地至少13名教授的工作邮箱遭入侵，其中包括负责编写2025年大学入学试题的教师。案件于今年3月曝光，当时哈恩圣胡安·博斯科高中的工作人员向警方举报Séneca系统异常。警方随后搜查嫌疑人在塞维利亚的住所，查获作案电脑设备及记录篡改成绩细节的笔记本。 该男子面临非法访问计算机系统、身份盗用及文件伪造三项指控。警方未公开其身份，但当地媒体披露其与哈恩学校无关，且有类似犯罪前科。Séneca平台是安达卢西亚地区管理成绩、考勤及学籍的核心系统，供教师、行政人员、学生及家庭日常使用。 全球教育系统近期频繁遭黑客攻击：今年1月，美国马萨诸塞州学生因入侵存储超6000万师生数据的PowerSchool平台被起诉；6月，哥伦比亚大学披露数据泄露事件，超86万人个人信息外泄。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正通过滥用企业官网“联系我们”表单，向美国工业及科技公司投递伪装成保密协议文件的恶意软件。与传统钓鱼攻击不同，黑客首先通过企业官网表单联系受害者，使后续通信更具可信度。 黑客假扮潜在商业伙伴，与目标企业进行长达两周的沟通，要求受害者签署保密协议。最终发送的合同文件托管在合法云平台Heroku上，实际为包含定制化恶意软件MixShell的ZIP压缩包。研究人员指出：“这种长期互动表明攻击者愿意投入时间，可能根据目标价值或入侵难度调整策略”。 约80%的受害者位于美国，主要为工业机械、金属加工及零部件制造商。半导体、生物技术、制药、航空航天、能源及消费品行业企业同样遭袭，新加坡、日本和瑞士亦有企业受害。 值得注意的是，并非所有ZIP文件均含恶意代码——部分仅包含无害文档。这表明黑客可能根据受害者IP地址、浏览器特征等条件，在Heroku平台选择性投放真实恶意负载。 为增强可信度，攻击者使用注册于美国的真实企业域名（部分可追溯至2015年）。这些域名对应的网站实为统一模板生成的虚假页面，“关于我们”栏目均使用同一张白宫管家照片冒充公司创始人。凭借长期存在的域名信誉，攻击者成功绕过安全过滤系统。 尽管尚未锁定具体攻击组织，但Check Point发现某台服务器与黑客组织UNK_GreenSec的基础设施存在重叠。该组织此前曾显现与俄罗斯背景黑客的关联迹象，研究人员判断此次攻击主要出于经济利益驱动。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 瑞典软件供应商Miljödata遭遇疑似勒索软件攻击，该公司负责管理病假等人力资源报告系统，事件预计影响该国约200个市级政府机构。 公司首席执行官Erik Hallén表示，攻击于上周六被发现。警方向当地媒体《BLT》证实，攻击者正试图对Miljödata实施勒索。 瑞典民事防御部长卡尔·奥斯卡·博林（Carl-Oskar Bohlin）在社交媒体简短声明中称：“事件影响范围尚未明确，实际后果仍难判定。” Hallén向瑞典通讯社TT透露，约200个市级和地区政府受此事件影响。瑞典全国共有290个市级行政区和21个地区政府。 哥特兰岛地方政府等多家机构证实使用Miljödata系统处理员工数据，包括“医疗证明、康复计划、工伤报告等资料”。 Hallén表示，Miljödata正“与外部专家紧密协作，全力调查事件经过、受影响对象及范围，并努力恢复系统功能”。 民事防御部长博林强调：“政府持续接收事件进展通报，并与相关机构保持密切沟通。瑞典计算机应急小组（CERT-SE）已向涉事公司及受影响客户提供建议与支持，该机构职责是协助社会应对和预防网络安全事件。国家网络安全中心正协调各部门行动方案，警方也已启动调查。” 博林指出，此次事件凸显全社会亟需提升网络安全防护等级。瑞典政府计划近期向议会提交新网络安全法案，“该法案将对众多行为主体提出更严格的合规要求”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗保健服务集团（Healthcare Services Group）2024年数据泄露事件导致超过624,000人的个人信息暴露。受影响人群目前正陆续收到通知。 根据向缅因州总检察长办公室提交的通报，2024年医疗保健服务集团发生的数据泄露事件影响624,496人。该美国公司主要为养老院、辅助生活中心和医院等医疗机构提供家政、洗衣、餐饮及营养服务。 该集团1976年成立于宾夕法尼亚州本萨勒姆，为全美数千家长期护理和医疗机构提供支持。其核心业务是外包非临床服务，使医疗机构能专注于病患护理。 发现安全漏洞后，该集团立即启动调查并通报执法部门，同时宣布正在实施新的安全措施并加强员工培训。 黑客在2024年9月27日至10月3日期间侵入公司系统，窃取含个人数据的文件。事件于10月7日被发现。 数据泄露通知声明：“2024年10月7日，HSGI发现其特定计算机系统可能存在未授权访问。获悉该情况后，HSGI迅速采取措施保护系统安全，并启动调查以确定事件性质与范围。调查确认未授权行为人在2024年9月27日至10月3日期间可能访问并复制了HSGI计算机系统中的特定文件。为此我们全面审查了相关文件，以确认是否包含敏感信息及涉及对象。” 泄露数据包括姓名、社会安全号码、驾照号码、州身份证号码、金融账户信息及完整访问凭证。 公司已通知州监管机构和主要信用机构，但未透露攻击具体细节。 受影响人群将获得12个月的免费Experian信用监测服务，以及关于欺诈警报、信用冻结、免费信用报告和身份盗窃举报的指导。 该集团表示目前未发现欺诈行为证据，但仍敦促相关人员保持警惕。截至公告时，尚无已知勒索软件组织声称对此事件负责。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过28200台Citrix NetScaler ADC/Gateway设备仍暴露于高危漏洞CVE-2025-7775威胁之下。该漏洞已被确认遭在野利用，可导致远程代码执行（RCE）及服务拒绝（DoS）。 暗影服务器基金会（Shadowserver Foundation）专家警告，目前仍有超过28200台Citrix设备易受CVE-2025-7775漏洞攻击。该漏洞CVSS评分达9.2分，属于内存溢出漏洞，攻击者可借此执行远程代码或瘫痪服务。 本周Citrix修复了NetScaler ADC及NetScaler Gateway中的三个安全漏洞（CVE-2025-7775、CVE-2025-7776、CVE-2025-8424），其中CVE-2025-7775已遭实际攻击。公告明确表示：“我们已观察到未修复设备遭CVE-2025-7775漏洞利用的案例”。 美国网络安全与基础设施安全局（CISA）已将Citrix NetScaler漏洞列入“已知遭利用漏洞（KEV）目录”，要求联邦机构在2025年8月28日前完成修复。 据暗影服务器基金会监测，受影响设备主要分布在美国（10100台）、德国（4300台）、英国（1400台）、荷兰（1300台）及瑞士（1300台）。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews研究人员发现腾讯云两个站点存在严重配置错误，导致敏感凭证和内部源代码暴露。这些关键漏洞可能使攻击者获得腾讯云内部服务及后端基础设施的完全访问权限。 核心要点： 腾讯云两个站点存在严重配置错误，暴露了敏感凭证与内部源代码。 含有硬编码管理员控制台凭证的环境文件及.git目录已公开数月，危及数百万腾讯云用户。 腾讯承认这是“已知问题”并已关闭访问权限。 2025年7月23日，Cybernews研究团队发现腾讯云官方域名的两个子域名意外暴露了配置文件。 暴露文件包含硬编码的明文密码、敏感的.git内部目录及其他可能被外部攻击者滥用的信息。 其中一个受影响服务涉及腾讯内部负载均衡器，另一子域名则是腾讯云推广的开源开发平台JEECG的部署实例。 硬编码凭证似乎可直接访问腾讯云管理控制台。 “若被恶意攻击者发现，这些凭证可能使其获得腾讯云后端基础设施或内部服务的完全控制权。”Cybernews研究人员表示。 此外，暴露的.git文件夹（用于存储项目历史记录和文件变更追踪）允许下载并重构腾讯云基础设施内部部署的源代码。控制台的根凭证也在此被发现。 暴露的密码强度薄弱且易受字典攻击，其组合方式仅包含公司名称、年份及简单符号。 历史数据调查显示，这些敏感文件至少从2025年4月起已暴露数月。 Cybernews已向腾讯云负责任地披露该发现。腾讯承认这是此前报告过的“已知问题”。漏洞现已修复，但截至发稿腾讯未回应置评请求。 黑客的敞开后门 若黑客获取这些公开配置文件，潜在后果可能极其严重，或引发针对腾讯全球用户的破坏性网络攻击。 “这为攻击者开辟了多种利用途径，”研究人员指出，“长期暴露引发严重担忧：多少爬虫机器人已获取数据？是否已被用于恶意目的？” 攻击者利用错误配置可能实现以下行为： 获取生产系统完全管理权限 篡改内部API服务 在可信前端代码中植入恶意负载 进一步渗透腾讯内部云基础设施 滥用可信腾讯域名进行钓鱼攻击 “当涉及云控制台、源代码和根权限时，没有所谓的小漏洞。腾讯云作为知名技术平台，仍难避免基础运维疏忽。”研究人员解释称。 尽管未尝试访问密码保护服务或克隆内部仓库，但可见暴露数据表明其涉及预发布和生产环境，意味着双重环境均受影响。 “当今开发者被鼓励盲目信任云服务。此次事件证明微小错误可升级为高风险故障，在供应链中引发连锁漏洞，”研究人员强调，“腾讯等巨头承载着用户对品牌的信任，攻击者对此心知肚明。” 腾讯云作为全球主要云服务商，隶属中国科技巨头腾讯控股，服务超1000万用户。其基础设施支撑着游戏、金融、通信及企业应用领域服务，每日触达全球数百万用户。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名危机公关公司Singer Associates遭勒索软件组织Qilin宣称入侵。该团伙在其暗网泄露博客公布该公司为最新受害者，并发布据称从该公司窃取的数据片段。 Qilin团伙在公告中附长篇声明，指控Singer Associates存在“操纵选民与客户的方案、伪造与虚假信息的事实、谎言与造假、欺骗与欺诈”等行为，声称已获取“包含Singer Associates全部内部工作的档案”。该公关公司曾为雪佛龙、拜耳、爱彼迎、维萨、福特等众多知名企业提供服务。 （麒麟暗网泄露网站截图  图片来源：Cybernews） 此举可能是Qilin胁迫Singer支付赎金的策略。勒索组织常采用类似手段，威胁不付款即泄露信息。 攻击者也可能试图塑造“揭露不道德公司”的形象。但Qilin是公认的牟利型组织，其道德立场难以取信。 由于未提供实际数据样本，无法验证其窃取数据的真实性。但团伙发布了据称与Singer相关的法律文件截图。 Cybernews研究团队分析认为，Qilin至少试图将此伪装成黑客行动主义。截图显示该公关公司监控活动人士、调查资助方并为客户操控舆论的方案。研究人员指出：“泄露文件详细记录了Singer为雪佛龙等客户制定的战略，包括应对厄瓜多尔污染诉讼案中环保组织的策略”。 Qilin勒索团伙背景 该组织自2022年活跃，采用勒索软件即服务（RaaS）模式：核心开发者出售恶意软件访问权限，由附属团伙实施攻击。 Qilin通过感染系统窃取数据，根据目标价值选择加密系统或公开数据。 据Cybernews暗网监控工具显示，Qilin已成为最活跃的勒索组织之一，过去12个月攻击至少503家机构，数量仅次于RansomHub（508家）。已知受害者包括制药公司Inotiv、能源巨头SK集团、休斯顿交响乐团、底特律PBS电视台、北美汽车零部件供应商延锋，以及日本宇都宫癌症治疗中心。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Group-IB披露名为ShadowSilk的新型威胁组织在中亚及亚太地区（APAC）针对政府机构发起攻击。该组织已渗透超过30个目标，主要动机为数据窃取，其工具集和基础设施与已知黑客团体YoroTrooper、SturgeonPhisher及Silent Lynx存在重叠。 受害者分布于乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦，以政府机构为主，能源、制造、零售和运输业实体亦受波及。研究人员尼基塔·罗斯托夫采夫（Nikita Rostovcev）和谢尔盖·特纳（Sergei Turner）指出：“该组织由双语团队运作——俄语开发者负责维护YoroTrooper遗留代码，中文操作者主导入侵行动，形成灵活的多区域威胁模式。但两组人员的具体合作深度及性质仍不明确。” 攻击手法演进 ShadowSilk延续了YoroTrooper的技术脉络（该组织最早由思科Talos于2023年3月披露，以欧洲政府、能源及国际组织为目标）。其初始攻击载体为鱼叉式钓鱼邮件，投递受密码保护的压缩文件，释放自定义加载器。该加载器将命令控制（C2）流量隐藏在Telegram机器人通信中以规避检测，并投递后续恶意载荷。攻击者通过修改Windows注册表实现持久化驻留。 多元化攻击工具 除利用Drupal（CVE-2018-7600、CVE-2018-7602）和WP-Automatic插件漏洞（CVE-2024-27956）外，ShadowSilk还整合了侦察与渗透工具： 网络扫描工具：FOFA、Fscan、Gobuster、Dirsearch 漏洞利用框架：Metasploit、Cobalt Strike 地下市场资源：从暗网获取JRAT和Morf Project控制面板管理受控设备 数据窃取工具：定制化工具窃取Chrome密码存储文件及解密密钥 内网渗透与数据窃取 入侵得逞后，攻击者部署WebShell（如ANTSWORD、Behinder、Godzilla、FinalShell）和基于Sharp语言的利用工具，结合隧道工具Resocks和Chisel横向移动、提权并窃取数据。其专属Python远程木马（RAT）通过Telegram机器人接收指令并回传数据，将恶意流量伪装成合法通讯。Cobalt Strike和Metasploit模块用于截取屏幕及摄像头画面，定制PowerShell脚本则扫描特定扩展名文件并压缩回传至外部服务器。 语言证据与活动特征 Group-IB分析表明，YoroTrooper核心成员精通俄语，专注恶意软件开发与初始入侵。但攻击者工作站截图显示：键盘布局为中文、吉尔吉斯斯坦政府网站被自动翻译为中文、漏洞扫描器界面为中文，表明中文操作者深度参与行动。该组织近期仍高度活跃，7月仍有新受害者出现，持续聚焦中亚及亚太政府领域，需严密监控其基础设施以防长期潜伏与数据泄露。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌推出名为“开发者验证”（Developer Verification）的安卓新防护机制，旨在阻止从官方Google Play商店外通过侧载方式安装的恶意应用。此前，谷歌已在2023年8月31日要求Play商店上架应用的发布者提供D-U-N-S（全球数据通用编码系统）编号，该措施显著降低了平台内的恶意软件比例，但未覆盖应用商店外的大量开发者生态。 “我们发现恶意行为者常利用匿名身份伪装开发者，盗用品牌形象制作高仿应用来侵害用户，”谷歌在公告中指出，“此类威胁规模巨大：最新分析显示，通过互联网侧载渠道传播的恶意软件数量是Google Play应用的50倍以上。” 尽管外部威胁更为普遍，新规要求同时适用于Google Play及第三方应用商店托管的应用。自2026年起，所有安装于“认证安卓设备”的应用必须来自已完成谷歌身份验证的开发者。 开发者验证计划将于2025年10月开放早期测试，2026年3月全面开放注册。2026年9月，巴西、印度尼西亚、新加坡和泰国将率先强制执行身份验证要求，2027年起全球推广。届时，未通过验证的侧载应用在认证设备上将被系统拦截并显示安全警告。 “认证安卓设备”指通过谷歌兼容性测试套件（CTS）认证、预装Google Play服务、Play商店及Play Protect的设备，涵盖三星、小米、摩托罗拉、一加、OPPO、vivo及谷歌Pixel等主流品牌。而华为设备、亚马逊Fire平板，以及采用深度定制系统、组件来源存疑的山寨电视盒或手机等“非认证设备”不受新规约束，用户仍可自由侧载未经验证的匿名开发者应用。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院表示，其与日本及韩国外务省协作在东京举办论坛，旨在应对朝鲜公民通过非法手段获取信息技术职位的多年渗透活动。本次论坛汇集130余位参与者，涵盖自由职业平台、支付服务提供商、加密货币企业及人工智能公司等领域。 该论坛旨在为各利益相关方搭建信息共享平台，共同制定防御策略。多起案例显示，日本与韩国企业（尤其是加密货币行业）因误雇朝鲜IT人员已损失数百万美元。 美日韩三国自2022年起就此展开合作，并于今年1月共同指出朝鲜知名黑客组织“拉撒路集团”（Lazarus Group）持续通过加密货币窃取活动实施网络犯罪，目标涵盖交易所、数字资产托管商及个人用户。除日本加密货币公司DMM Bitcoin和印度平台WazirX遭窃5亿美元外，朝鲜黑客还从Upbit、Rain Management及Radiant Capital等平台盗取1.16亿美元。 朝鲜政府通过该计划为其大规模杀伤性武器及弹道导弹项目筹集数亿美元资金。具体操作模式为：身处中国、俄罗斯或东南亚的朝鲜公民利用窃取的欧美身份证明，受雇于西方企业并获取高薪。数百名朝鲜人员以此获得职位，其中多人同时在多家财富500强企业兼任工作。 尽管部分公司承认这些IT人员工作能力合格，但美国官员警告潜在风险包括：敏感数据泄露、企业声誉损害、法律追责后果，以及掌握企业内部资产路径的朝鲜黑客可能发动后续攻击。 上月，美国财政部对三名参与IT渗透计划的朝鲜高级官员实施制裁，同时判处一名亚利桑那州女子八年监禁——该女子在美国境内运营“笔记本农场”，协助朝鲜人员伪装在美国本土工作。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡科技设计大学（SUTD）旗下ASSET（自动化系统安全）研究团队开发出一种无需依赖伪基站（gNB）即可将5G连接降级至低世代网络的新型攻击技术。该攻击基于名为Sni5Gect（“Sniffing 5G Inject”的缩写）的开源工具包，能够嗅探基站与用户设备（UE，即手机）间传输的未加密消息，并通过空口向目标设备注入恶意消息。 据研究者罗世杰（Shijie Luo）、Matheus Garbelini、Sudipta Chattopadhyay和周建英（Jianying Zhou）介绍，该框架可实现多种攻击，包括：使设备调制解调器崩溃、强制网络降级至旧世代、设备指纹识别或绕过认证机制。与传统依赖伪基站的5G攻击不同，Sni5Gect以第三方身份插入通信链路，在用户设备接入过程中被动嗅探消息并实时解码协议状态，进而利用状态信息精准注入攻击载荷。 技术原理与突破 攻击利用5G通信中认证前阶段的安全窗口：当手机发起随机接入（RACH）至建立NAS安全上下文期间，基站与设备交换的消息既无加密也无完整性保护。攻击者无需掌握设备凭证，即可监听上下行流量并注入伪造消息。其核心创新在于： 被动嗅探：实时解码基站与设备间未加密消息（如RRC建立请求、注册请求等），跟踪协议状态； 有状态注入：根据协议状态在关键时间点（如设备发送注册请求后）注入攻击载荷，设备误认消息来自合法基站而执行恶意指令。 攻击能力验证 研究团队在20米距离内对五款商用手机（一加Nord CE 2、三星Galaxy S22、谷歌Pixel 7、华为P40 Pro及Fibocom USB调制解调器）进行测试： 上下行流量嗅探准确率超80%； 数据包注入成功率高达70%-90%； 成功演示三类攻击： 单次注入生效：如注入畸形RRC消息触发调制解调器崩溃（利用5Ghoul漏洞），或注入“N1模式拒绝”消息强制5G降级至4G； 需响应的单次注入：通过“身份请求”消息诱骗设备返回加密的SUCI身份标识； 多阶段降级攻击（CVD-2024-0096）：篡改认证请求的序列号并重播，触发设备防护机制拉黑5G基站，最终迫使其自动连接4G网络。 行业影响与响应 全球移动通信系统协会（GSMA）已承认该降级攻击的威胁性，并为其分配漏洞编号CVD-2024-0096。研究者强调，Sni5Gect不仅是首个无需伪基站的5G空口嗅探与注入框架，更为安全研究提供关键工具：既可推动运营商优化认证前消息的完整性校验机制，也能促进5G物理层安全及入侵检测技术的发展。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日产汽车向BleepingComputer证实，其子公司Creative Box Inc.（CBI）的服务器遭到未授权访问，导致数据泄露。 此次回应是针对Qilin勒索软件团伙声称从CBI窃取4TB数据的声明。该团伙宣称窃取的数据包括3D车辆设计模型、内部报告、财务文件、VR设计工作流程及照片。 “2025年8月16日，日产设计承包商Creative Box Inc.（CBI）的数据服务器上检测到可疑访问，”日产发言人向BleepingComputer表示。“CBI立即实施了应急措施（例如阻断所有服务器访问权限）以降低风险，并向警方报案。” CBI是日产汽车株式会社全资拥有的东京设计工作室，定位为专注于实验性和概念车型设计的“智库”。 Qilin勒索组织于2025年8月20日在暗网勒索门户上添加CBI为受害者，声称窃取了所有设计项目并威胁公开数据，使竞争对手获得优势。该组织还公布了16张窃取数据的照片作为证据，内容涉及3D汽车设计图、电子表格、文档和汽车内饰图像。 Qilin勒索门户上列出的日产CBI条目   图片来源：BleepingComputer 日产声明目前正在调查事件，但已确认发生数据泄露。“详细调查正在进行中，现已确认部分设计数据遭泄露，”日产表示，“日产与CBI将继续调查并根据需要采取适当措施。” 这家日本汽车制造商强调，泄露数据仅影响日产自身（CBI的唯一客户），因此被盗数据不涉及其他公司、承包商或个人客户的信息。 Qilin勒索组织今年活动频繁，此前曾攻击出版集团Lee Enterprises和制药公司Inotiv等知名目标。该团伙被指利用Kickidler员工监控工具及两个Fortinet漏洞（CVE-2024-21762、CVE-2024-55591），无需认证即可在设备上远程执行代码。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 内华达州政府系统因周日（8月24日）凌晨发生的网络安全事件持续瘫痪，导致网站、电话线路及线下服务中断。州长乔·隆巴多（Joe Lombardo）周一下午发布声明称，紧急服务仍可运作，但该事件“持续影响州内特定技术系统的可用性” 。 隆巴多表示，“恢复期间，部分州政府网站或电话线路可能出现响应迟缓或短暂中断” 。州政府正与地方、部落及联邦合作伙伴协作恢复服务，并“使用临时路由和操作方案，尽可能维持公共访问渠道” 。 受事件影响，内华达州政府办公室周一全面暂停线下服务，各机构将另行通知恢复时间 。截至周一晚间，州政府官方网站仍处于离线状态 。州政府提醒居民警惕诈骗行为，强调绝不会通过电话或邮件索要个人信息或银行资料 。 州长声明补充称，调查将确认是否存在数据泄露 。目前尚无黑客组织宣称对此事件负责 ，联邦调查局已介入协助调查 。此次事件恰逢马里兰州政府同期报告网络攻击导致关键服务中断 ，而两周前拉斯维加斯刚举办全球顶尖的Black Hat网络安全大会 。 拉斯维加斯去年曾因美高梅度假村集团（MGM Resorts）勒索攻击事件陷入混乱：旗下曼德雷湾、贝拉吉奥等酒店赌场的角子机、房卡系统及ATM机大面积瘫痪数日，酒店无法受理信用卡支付，顾客被迫另寻住所，多家赌场员工被迫手工计算赌局盈亏 。美高梅最终承担超1亿美元损失，但拒绝支付赎金 。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦通信委员会（FCC）已将 1200 家语音服务提供商清除出美国电话网络，原因是它们未能遵守保护用户免受恶意和非法电话（即骚扰电话）侵害的规定。 这些公司被移出反骚扰电话缓解数据库（Robocall Mitigation Database, RMD），意味着所有其他语音服务和中间提供商必须停止直接接受来自这些不合规公司的所有呼叫。 这一千两百家公司未能向 FCC 提交有效的反骚扰电话缓解计划，或其计划缺乏必要信息。这些公司在收到警告后也未能提供解释和解决问题，“从而逃避了保护消费者免受非法骚扰电话侵害的责任”。 “骚扰电话对美国家庭来说是极其常见又令人沮丧的威胁，” FCC 主席布伦丹·卡尔（Brendan Carr）在一份声明中表示。“未能履行阻止这些电话职责的提供商，在我们的网络中没有立足之地。我们正在采取行动，并将继续这样做。” 美国的语音服务提供商必须实施 STIR/SHAKEN 来电显示认证框架，提交反骚扰电话缓解计划，并主动打击骚扰电话。RMD 数据库是一个关键工具，用于认证在相应网络所有基于 IP 的部分所实施的保护措施。 2024 年 12 月，FCC 曾命令 2411 家公司修正其 RMD 备案中的缺陷。然而，在 8 月 6 日，有 185 家提供商因未能做到这一点而被移出数据库，随后最近的行动又移除了超过 1200 家提供商。 一个由两党组成的 51 名州检察长团体已发起进一步行动。在代号为“Operation Robocall Roundup”（反骚扰电话行动）的行动中，他们向 37 家语音提供商发出了警告信，要求它们采取行动，阻止非法骚扰电话通过其网络进行路由。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于Discord的在线工具开发者声称，他们获取了数十亿条用户消息、大量语音会话、文件及用户资料。这些所谓泄露的数据是通过爬取平台获得的。 攻击者在一个知名数据泄露论坛发布服务广告，声称用户可通过付费筛选数十亿条Discord记录，用于骚扰平台用户。 目前我们已联系Discord寻求回应，收到回复后将更新本文。 该数据抓取服务宣称付费用户可查看以下内容： 18亿条Discord消息 3,500万用户数据 2.07亿次语音会话 6,000个Discord服务器 网络安全研究团队指出，攻击者可能获取了公开及潜在私密服务器的数据，但未订阅该犯罪团伙控制的服务则无法验证真实性。攻击者声称实时更新索引消息，表明数据处于最新状态。 Discord消息如何被滥用？ 攻击者可通过多种方式利用泄露的用户消息。除明显的隐私问题外，恶意分子常利用Discord活动骚扰个人及少数群体。 2024年，名为Spy.Pet的灰色网站声称爬取了近6.2亿用户的数十亿条公开Discord消息。 Spy.Pet不仅收集消息记录，还整合用户的Steam账号等关联平台，向有意用其数据训练AI模型的客户提供“企业选项”，据称包括联邦机构。 “该服务原理类似去年被Discord关停的Spy.Pet，但新服务进一步整合了泄露数据库和FiveM服务器，很可能旨在助长网络骚扰。”研究团队解释称。 2024年初，Discord封禁了Spy.Pet相关账户，切断了数据抓取机器人与平台服务器的连接。当时Discord声明此类抓取行为违反公司规定。 研究分析认为，新服务试图通过两种渠道牟利：付费查阅他人消息者，以及付费要求删除自身数据者。 该服务的条款页面显示其运营于欧盟成员国爱沙尼亚，需遵守全球最严格的隐私法。 “此工具极大简化了为骚扰或网络论战而进行的人肉搜索。虽可手动实现同等操作，但该服务大幅降低了人力成本。”研究人员指出。 值得注意的是，服务条款透露数据实际存储于俄罗斯联邦境内。运营者可能认为，将数据存于欧盟关系欠佳的国家可规避法律追责。 然而正如Spy.Pet案例所示，此类服务违反GDPR多项条款（如第17条“被遗忘权”）。 由于庞大的用户基数及紧密社群特性，Discord常成为攻击目标。例如今年初某团伙声称从近1,000个公开Discord服务器抓取3.48亿条消息。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于马萨诸塞州的数学软件开发商 MathWorks 遭遇勒索软件攻击，导致数千用户的个人详细信息被泄露。 MathWorks 近日披露了其今年早些时候遭受的勒索软件攻击的波及范围。该公司提交给缅因州总检察长办公室的信息显示，超过 10,000 名个人在此次黑客攻击中信息被暴露。 MathWorks 主要以其数据分析软件 MATLAB 和仿真软件 SIMULINK 而闻名。该公司年收入达 15 亿美元，仅 MATLAB 在全球就有 500 万用户。 公司发现其系统于 2025 年 5 月 18 日遭到入侵。这次攻击导致其部分服务中断近一周，影响了数百万客户的访问。没有任何勒索软件团伙宣称对此次攻击负责。 此外，根据公司的数据泄露通知，攻击者很可能在其系统内活动了近一个月——从 4 月 17 日一直持续到 5 月份入侵被发现为止。 公司声称，在获悉该事件后，其“聘请了第三方取证专家对受影响的系统进行全面审查，以协助控制威胁、清除威胁行为者并进行补救。” 调查显示，攻击者可能访问了用户的个人详细信息，包括： 姓名 地址 出生日期 社会安全号码（或其他国家身份证号码） 理论上，攻击者可以利用窃取的信息进行身份盗窃，最坏情况下可能用于金融欺诈。虽然 MathWorks 指出受影响的数据在暴露个体之间存在差异，但那些姓名和身份证件信息被泄露的个人可能面临更高的隐私风险。 例如，攻击者可能试图建立欺诈账户、获取贷款，甚至尝试窃取现有账户。然而，MathWorks 强调，对于数据可能被泄露的个人，公司并未意识到存在任何“实际的或企图滥用个人信息或造成任何财务损害”的情况。 与类似情况下的通常做法一样，MathWorks 表示将为受影响的个人提供免费的身份保护服务。数据泄露通知建议用户保持警惕，并监控其财务账户是否存在异常活动。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Docker 修复了 Windows 和 macOS 版 Docker Desktop 应用程序中的一个高危漏洞（CVE-2025-9074，CVSS 评分 9.3），攻击者可能利用该漏洞突破容器隔离限制。 根据 Docker 官方文档披露，恶意容器能够访问 Docker 引擎并在无需套接字的情况下启动新容器，即使启用了增强容器隔离（ECI）功能，仍存在主机文件被访问的风险。安全公告指出：“Docker Desktop 中存在一个漏洞，允许本地运行的 Linux 容器通过默认配置的 Docker 子网（192.168.65.7:2375）访问 Docker 引擎 API。无论是否启用增强容器隔离功能，或是否开启‘通过 无 TLS 暴露守护进程’选项，该漏洞都会存在。攻击者可借此向引擎 API 执行大量特权命令，包括控制其他容器、创建新容器、管理镜像等。在某些情况下（如使用 WSL 后端的 Windows 版 Docker Desktop），攻击者还能以 Docker Desktop 运行用户的相同权限挂载主机驱动器。” 该漏洞由研究人员费利克斯·布勒（Felix Boulet）和菲利普·杜格雷（Philippe Dugre，zer0x64）发现。布勒证实漏洞允许容器在无需认证的情况下连接 Docker 引擎 API（192.168.65.7:2375）。概念验证显示，任何容器均可发送请求绑定主机的 C:\ 驱动器，随后启动具有主机文件读写权限的容器，最终导致完全控制主机。布勒表示：“这个漏洞本质上是由于一个简单的疏忽——Docker 的内部 HTTP API 可以从任何容器访问，且无需认证或访问控制。这深刻提醒我们，关键安全漏洞往往源于最基本的假设。我通过对 Docker 文档记载的私有网络进行快速 nmap 扫描发现了这个问题。扫描整个私有子网只需几分钟，可能会揭示你并未如想象中那样隔离。务必测试网络隔离假设，不要默认所有安全模型都已对齐。” 杜格雷发现 Windows 版 Docker Desktop 漏洞允许攻击者以管理员权限挂载完整文件系统，读取敏感数据或覆盖 DLL 获取主机控制权。专家解释称，得益于系统隔离机制，macOS 受影响程度较低，但攻击者仍可后门化 Docker 配置。Linux 系统不受影响，因其使用命名管道进行通信。漏洞利用途径包括恶意容器或通过 SSRF（服务器端请求伪造）代理请求至 Docker 套接字。杜格雷补充说明：“虽然最简单的利用方式是通过攻击者控制的易受攻击/恶意容器，但服务器端请求伪造（SSRF）也是可行的攻击向量。该漏洞允许攻击者通过易受攻击的应用程序代理请求访问 Docker 套接字，实际影响尤其取决于 HTTP 请求方法的可用性（多数 SSRF 仅允许 GET 请求，但在某些特殊情况下允许使用 POST、PATCH、DELETE 方法）。”该漏洞已在 4.44.3 版本中修复。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场旨在传播 Atomic macOS Stealer (AMOS) 变种的高级恶意广告活动已针对数百家组织发起。 在 2025 年 6 月至 8 月期间，该活动将受害者引向欺诈性的 macOS 帮助网站，并诱使他们执行恶意的单行安装命令。 其最终目的是让受害者感染 SHAMOS 变种（AMOS 信息窃取程序），该变种由恶意软件即服务 (MaaS) 团伙 Cookie Spider 开发。 在此期间，CrowdStrike 表示其阻止了该恶意广告活动企图入侵其超过 300 个客户环境的尝试。 “这次活动突显了恶意单行安装命令在网络犯罪（eCrime）行为者中的流行程度。” CrowdStrike 在最近的一篇博客中表示。 该技术使网络犯罪分子能够绕过 Gatekeeper 安全检查，将 Mach-O（一种主要由 macOS 使用的二进制格式）可执行文件直接安装到受害者设备上。 Cuckoo Stealer 和 SHAMOS 的操作者曾在 2024 年 5 月至 2025 年 1 月期间发生的 Homebrew 恶意广告活动中利用过此方法。 CrowdStrike 指出，该恶意广告网站出现在包括英国、美国、日本、中国、哥伦比亚、加拿大、墨西哥、意大利等地的谷歌搜索结果中。 该公司的分析称，没有受害者位于俄罗斯。“这很可能是因为俄罗斯的网络犯罪论坛禁止商品化恶意软件操作者针对位于俄罗斯的用户，”该公司表示。 这些欺诈性的 macOS 帮助网站提供了关于用户如何解决问题的错误指导。然而，页面指示受害者复制、粘贴并执行一个恶意的单行安装命令，该命令会解码 Base64 编码的字符串。 随后，该命令会从 https[:]//icloudservers[.]com/gm/install[.]sh 下载一个文件。该文件是一个 Bash 脚本，会捕获用户密码并从 https[:]//icloudservers[.]com/gm/update 下载 SHAMOS 的 Mach-O 可执行文件。 自 2025 年 6 月首次报告此类活动以来，CrowdStrike Counter Adversary Operations 表示，他们持续观察到机会主义的网络犯罪威胁行为者利用恶意的 GitHub 仓库诱使受害者执行下载 SHAMOS 的命令。 CrowdStrike Counter Adversary Operations 高度确信，网络犯罪行为者很可能会继续利用恶意广告和单行安装命令来分发 macOS 信息窃取程序。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文