HackerNews

HackerNews 编译，转载请注明出处： 员工福利管理公司VeriSource Services发出警告称，一起数据泄露事件暴露了400万人的个人信息。 VeriSource总部位于美国得克萨斯州，是一家为全美各行业客户提供员工福利管理和人力资源外包解决方案的服务商。 该公司已于近期向受影响个体发送数据泄露通知，涉及2024年2月发生的网络安全事件。然而，其影响范围直到2025年4月才完成评估。 根据VeriSource的调查，该事件导致敏感信息被外部威胁行为者获取。 公司在向监管机构提交的通知中表示：“2024年2月28日，VSI（VeriSource）发现异常活动导致部分系统访问中断。我们立即采取网络加固措施，并聘请领先的第三方数字取证和事件响应公司调查事件经过及数据影响范围。” 调查显示，未知攻击者可能于2024年2月27日前后未经授权获取了部分个人信息。 确定受影响个体的流程于2025年4月17日完成，数据泄露通知于4月23日发出。 根据VeriSource向缅因州总检察长办公室提交的样本，泄露数据类型包括员工全名、住址、出生日期、性别和社会安全号码（SSN）。该公司现为受影响者提供12个月的信用监测、身份保护和身份恢复服务。 需特别说明的是，VeriSource曾于2024年5月向5.5万人、9月向11.2万人发送过通知，但远低于此次披露的400万总量。 若收到通知（即便存在延迟），建议立即启用提供的信用保护服务，并警惕钓鱼攻击。 BleepingComputer核查发现，当前勒索网站尚未出现VeriSource相关条目，因此该网络安全事件的具体性质仍不明确。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售巨头玛莎百货（Marks & Spencer）持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉，此次攻击被认为是由名为Scattered Spider的黑客组织实施的。 玛莎百货（M&S）是一家英国跨国零售商，拥有64,000名员工，在全球超过1,400家门店销售服装、食品和家居用品等各类商品。 上周二，M&S确认其遭受网络攻击，导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日，Sky News报道称中断仍在持续，约200名仓库员工被要求居家待命，公司正在应对此次攻击。 BleepingComputer现已获悉，持续中断是由加密公司服务器的勒索软件攻击导致。据悉，威胁行为者最早在2月首次入侵M&S，当时他们窃取了Windows域的NTDS.dit文件。 NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库，包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。 利用这些凭证，威胁行为者可在Windows域内横向移动，同时从网络设备和服务器窃取数据。 消息人士告诉BleepingComputer，攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。 BleepingComputer了解到，玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。 目前的调查表明，此次攻击的幕后黑手是被称为Scattered Spider的组织（微软称其为Octo Tempest）。当被问及此事时，M&S表示无法透露网络事件的具体细节。 Scattered Spider是谁？ Scattered Spider（又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra）是一群擅长使用社会工程攻击、钓鱼、多因素认证（MFA）轰炸（定向MFA疲劳攻击）和SIM卡劫持技术入侵大型组织的威胁行为者。 该组织成员包括以英语为母语的年轻人（最小16岁），他们活跃于相同的黑客论坛、Telegram频道和Discord服务器，并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区，涉及引发广泛媒体关注的暴力行为和网络事件。 尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙，但他们实际上是由不同个体组成的网络，每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵，后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。 2023年9月，该组织通过假冒员工致电米高梅度假村（MGM Resorts）IT服务台的社会工程攻击入侵系统，并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻，标志着英语系威胁行为者首次与俄语系勒索团伙合作。 此后，Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织，近期开始推广一项允许网络犯罪团队白标其服务的新业务。 研究人员通常通过特定入侵指标将攻击归因于Scattered Spider，包括针对单点登录（SSO）平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。 过去两年，执法机构正加大对该组织的打击力度，在美国、英国和西班牙逮捕了多名据称是成员的人员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员观察到，攻击者利用Craft CMS中两个新披露的关键漏洞（零日漏洞）入侵服务器并获取未授权访问。 Orange Cyberdefense SensePost于2025年2月14日首次观测到此类攻击，其通过链式利用以下漏洞实现入侵： CVE-2024-58136（CVSS评分：9.0）：Craft CMS使用的Yii PHP框架中“备用路径保护不当”漏洞，可被利用访问受限功能或资源（此为CVE-2024-4990的回归漏洞） CVE-2025-32432（CVSS评分：10.0）：Craft CMS内置图像转换功能中的远程代码执行（RCE）漏洞（已在3.9.15、4.14.15和5.6.17版本修复） 网络安全公司指出，CVE-2025-32432存在于允许站点管理员将图像转换为特定格式的内置功能中。 安全研究员Nicolas Bourras表示：“CVE-2025-32432的利用依赖于未认证用户可向负责图像转换的端点发送POST请求，且服务器会解析POST数据。在Craft CMS 3.x版本中，资产ID会在创建转换对象前被检查，而4.x和5.x版本则在创建后检查。因此，攻击者需找到有效资产ID才能在所有版本中成功利用此漏洞。” 在Craft CMS中，资产ID（Asset ID）指管理文档文件和媒体的唯一标识符。攻击者通过批量发送POST请求直至发现有效资产ID，随后执行Python脚本验证服务器漏洞状态，并从GitHub仓库下载PHP文件至服务器。 研究人员称：“2月10日至11日期间，攻击者通过Python脚本多次测试下载filemanager.php文件至Web服务器以改进攻击脚本。2月12日，该文件被重命名为autoload_classmap.php，并于2月14日首次投入使用。” 截至2025年4月18日，全球已发现约13,000个存在漏洞的Craft CMS实例，其中近300个确认遭入侵。 Craft CMS在公告中强调：“若在防火墙或Web服务器日志中发现向actions/assets/generate-transform端点发送的异常POST请求（请求体中包含__class字符串），则表明您的站点已被扫描探测。但此现象仅说明漏洞被探测，不意味着已遭入侵。” 若确认遭入侵，建议用户刷新安全密钥、轮换数据库凭证、重置用户密码（作为额外防护），并在防火墙层面拦截恶意请求。 此漏洞披露之际，Active! Mail零日栈溢出漏洞（CVE-2025-42599，CVSS评分：9.8）正被活跃用于攻击日本企业以实现远程代码执行。该漏洞已在6.60.06008562版本修复。 Qualitia在公告中警告：“若远程第三方发送特制请求，可能导致任意代码执行或拒绝服务（DoS）。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对WooCommerce用户的大规模钓鱼活动正在蔓延。攻击者通过伪造“关键安全补丁”警报，诱骗用户下载后门程序。 WordPress安全公司Patchstack将此次行动描述为“复杂攻击”，并指出其与2023年12月观察到的另一项活动存在关联——当时攻击者同样利用虚构的CVE漏洞入侵网站。 鉴于钓鱼邮件话术、伪造网页及恶意软件隐藏手法的高度相似性，研究人员认为最新攻击可能出自同一威胁组织，或是模仿此前攻击的新团伙。 安全研究员Chazz Wolcott表示：“攻击者声称目标网站存在（不存在的）‘未认证管理访问’漏洞，并诱导用户访问通过国际化域名同形异义字攻击（IDN homograph）伪装的虚假WooCommerce官网。”钓鱼邮件中的“下载补丁”链接会将用户重定向至域名“woocommėrce[.]com”（注意用‘ė’替代‘e’），并下载名为“authbypass-update-31297-id.zip”的恶意ZIP文件。 受害者按提示安装该“补丁”（实为恶意WordPress插件）后，将触发以下恶意行为： 创建隐藏管理员账户：通过随机命名的定时任务（每分钟运行一次），生成混淆用户名和随机密码的管理员账号； 注册受感染站点：向外部服务器“woocommerce-services[.]com/wpapi”发送HTTP GET请求，传递账号密码及网站URL； 获取第二阶段载荷：从“woocommerce-help[.]com/activate”或“woocommerce-api[.]com/activate”下载混淆处理的后续攻击载荷； 部署网页后门：解码载荷后安装P.A.S.-Fork、p0wny和WSO等网页后门； 隐藏攻击痕迹：从插件列表中删除恶意插件，并隐藏创建的管理员账户。 攻击最终使黑客获得网站远程控制权，可实施广告注入、用户重定向、组建DDoS僵尸网络，甚至加密服务器资源进行勒索。 研究人员建议用户立即扫描可疑插件和管理员账户，并确保所有软件更新至最新版本。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）近日披露，自2024年6月起，一个名为Earth Kurma的高级持续性威胁（APT）组织对东南亚多国政府及电信行业发起复杂攻击。该组织使用定制化恶意软件、内核级Rootkit及云存储服务实施间谍活动，已造成高业务风险。主要受害国家包括菲律宾、越南、泰国和马来西亚。 安全研究人员Nick Dai和Sunny Lu在上周发布的分析中表示：“由于针对性间谍活动、凭证窃取、通过内核级Rootkit建立的持久驻留，以及通过可信云平台进行数据外泄，此次攻击活动构成较高的业务风险。” 该威胁组织的活动可追溯至2020年11月。其入侵主要依赖Dropbox和Microsoft OneDrive等服务，使用TESDAT和SIMPOBOXSPY等工具窃取敏感数据。 其武器库中还包括KRNRAT和Moriya等Rootkit。后者此前曾被观察到用于针对亚洲和非洲知名组织的攻击，属于代号TunnelSnake的间谍行动。 趋势科技称，攻击中使用的SIMPOBOXSPY和数据外泄脚本与另一个代号ToddyCat的APT组织存在相似性，但尚未明确归属关系。 目前尚不清楚攻击者如何初始侵入目标环境。其利用初始驻留点扫描网络并通过NBTSCAN、Ladon、FRPC、WMIHACKER和ICMPinger等工具横向移动，同时部署名为KMLOG的键盘记录器窃取凭证。 攻击者通过三种加载器（DUNLOADER、TESDAT和DMLOADER）实现主机持久化。这些加载器能将后续载荷加载到内存并执行，包括Cobalt Strike Beacons、KRNRAT和Moriya等Rootkit，以及数据窃取恶意软件。 此类攻击的独特之处在于使用“利用现成工具技术（LotL）”部署Rootkit。黑客利用合法系统工具（例如syssetup.dll）而非易检测的恶意软件实现攻击。 Moriya被设计用于检查传入的TCP数据包是否包含恶意载荷，并将Shellcode注入新创建的svchost.exe进程。KRNRAT则整合了五个开源项目功能，可操控进程、隐藏文件、执行Shellcode、隐藏流量，并与命令控制（C2）服务器通信。 与Moriya类似，KRNRAT会加载用户模式代理（Rootkit）并将其注入svchost.exe。该代理作为后门从C2服务器获取后续攻击载荷。 研究人员指出：“在数据外泄前，加载器TESDAT通过执行多个命令收集特定扩展名的文档（如.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx），将其放入新建的‘tmp’文件夹，并使用指定密码通过WinRAR压缩。” 专用工具SIMPOBOXSPY可将压缩文件通过访问令牌上传至Dropbox。卡巴斯基2023年10月报告称，此类通用Dropbox上传器“可能并非ToddyCat专用”。 另一工具ODRIZ通过指定OneDrive刷新令牌作为输入参数，将数据上传至OneDrive。 趋势科技强调：“Earth Kurma仍高度活跃，持续针对东南亚国家。其具备适应受害者环境的能力，并能保持隐蔽存在。他们可复用历史攻击活动的代码库定制工具，甚至利用受害者基础设施达成目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件领域正在进行重组，一个名为DragonForce的黑客组织正试图通过卡特尔式架构整合其他勒索团伙。DragonForce目前采用分布式附属品牌模式激励勒索软件参与者，为其他勒索软件即服务（RaaS）运营商提供无需承担基础设施维护成本的业务开展方式。 该组织代表向BleepingComputer表示，他们纯粹以经济利益为驱动，但也遵循“道德准则”，反对攻击某些医疗机构。 传统RaaS运营商拥有自己的附属团队或合作伙伴，勒索软件开发商会提供文件加密恶意软件和基础设施。附属方负责构建加密软件变种、入侵受害者网络并部署勒索软件，同时管理解密密钥并与受害者谈判赎金。开发商维护所谓的“数据泄露网站（DLS）”用于公布拒付赎金受害者的失窃信息。作为使用恶意软件和基础设施的交换，开发商通常从赎金中抽取最高30%的费用。 DragonForce自称“勒索软件卡特尔”，收取已支付赎金的20%。在其模式下，附属方可访问基础设施（谈判工具、失窃数据存储、恶意软件管理后台），并以自有品牌使用DragonForce加密器。该组织于3月宣布“新方向”，称附属方可“在已验证合作伙伴支持下创建自有品牌”。 DragonForce旨在管理“无限品牌”，这些品牌可针对ESXi、NAS、BSD和Windows系统。 DragonForce向BleepingComputer解释其架构类似于市场平台，附属方可选择以DragonForce品牌或其他品牌部署攻击。本质上，威胁行为者团体可使用该服务并以白标形式使用自有品牌。作为回报，他们无需运营数据泄露网站、开发恶意软件或处理谈判事务。 不过附属方必须遵守规则，首次违规即遭除名。“我们是遵守规则的诚信合作伙伴。”DragonForce代表表示。“他们必须遵守规则，我们能实施控制，因为所有操作都在我们的服务器上运行，否则这种模式就没有意义。”这些规则仅适用于接受新商业模式的威胁行为者。 当被问及是否禁止攻击医院或医疗机构时，DragonForce表示这取决于医院类型，并表现出某种程度的同理心。“我们不攻击癌症患者或心脏相关机构，我们更愿意给他们捐款。我们是为了生意和金钱，我和合作伙伴都不是来杀人的。”该组织告诉BleepingComputer。 网络安全公司Secureworks研究人员认为，DragonForce的模式可能吸引更多附属方，包括技术能力较弱的威胁行为者。“即使技术老练的威胁行为者也可能青睐这种无需自建基础设施就能部署恶意软件的灵活性。”通过扩大附属基数，DragonForce有望凭借其模式的灵活性获取更大利润。 目前尚不清楚有多少勒索软件附属方已接触该卡特尔组织，但DragonForce称成员名单包含知名团伙。“我不能透露具体数字，但来找我们合作的包括你们经常报道的那些组织。”一个名为RansomBay的新兴勒索团伙已加入该模式。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，追踪编号为Storm-1977的威胁行为者在过去一年中对教育行业的云租户实施了密码喷洒攻击。微软威胁情报团队在分析中表示：“此次攻击使用了AzureChecker.exe——一个被多种威胁行为者广泛使用的命令行接口（CLI）工具。” 这家科技巨头指出，他们观察到该二进制文件会连接到名为“sac-auth.nodefunction[.]vip”的外部服务器，以获取包含密码喷洒目标列表的AES加密数据。该工具还接受名为“accounts.txt”的文本文件作为输入，该文件包含用于执行密码喷洒攻击的用户名和密码组合。 微软表示：“威胁行为者随后使用来自这两个文件的信息，将凭证提交到目标租户进行验证。” 在雷德蒙德（微软总部所在地）观察到的一起成功账户入侵案例中，该威胁行为者利用来宾账户在被入侵的订阅中创建了一个资源组。攻击者随后在该资源组内创建了200多个容器，最终目的是进行非法加密货币挖矿。 微软称，诸如Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击，包括利用以下途径： 被入侵的云凭证来接管集群 存在漏洞和错误配置的容器镜像执行恶意操作 错误配置的管理接口访问Kubernetes API并部署恶意容器或劫持整个集群 运行存在漏洞代码或软件的节点 为缓解此类恶意活动，建议组织采取以下措施：确保容器部署和运行时的安全性，监控异常的Kubernetes API请求，配置策略阻止从未受信任的注册表部署容器，并确保容器中部署的镜像不存在漏洞。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非电信巨头MTN集团于本周四证实遭遇网络攻击，导致数量不明的客户个人信息泄露。这家总部位于约翰内斯堡的公司声明称，“不明身份的第三方声称已访问其系统部分数据”，事件导致“部分市场MTN客户的个人信息遭到未授权访问”。 南非警察总局（SAPS）与南非优先犯罪调查局（DPCI）已获知此事，MTN集团也向业务所在国的其他执法机构通报了攻击。声明未透露受影响客户规模，但表示正在启动客户通知程序。 MTN集团是全球最大移动运营商之一，业务覆盖20余个国家，用户超2亿。该公司去年营收约90亿美元，主要来自南非、加纳和尼日利亚市场。 “核心网络、计费系统和金融基础设施仍安全且正常运营，”公司强调，“目前无证据表明客户账户与电子钱包直接受损。” 对于受影响人数、被盗数据类型及攻击者身份等关键问题，MTN集团未予回应。截至周五，尚无网络犯罪组织宣称对此负责。 尼日利亚当地媒体报道称，该国业务未受此次网络事件影响。 这是南非电信业遭遇的最新攻击事件。去年另一大运营商Cell C曾确认遭攻击后数据在暗网泄露。南非正面临针对主要机构与企业的持续网络攻击浪潮，促使政府出台多项网络安全法规。上月，该国最大禽肉生产商因网络攻击导致交付延误等问题，损失超100万美元。     消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mandiant的《M-Trends 2025》报告最核心的启示在于，攻击者正在快速调整其攻击手段以应对防御能力的提升，这种对抗永无止境。 作为行业威胁情报的重要来源，Mandiant年度M-Trends报告整合了该公司自身事件调查数据与谷歌威胁情报组（GTIG）的研究成果。但要充分理解报告价值，必须首先了解其调查方法。 首先，尽管Mandiant是事件调查领域的重要参与者，但其数据采集规模相较于其他主要安全厂商（如EDR供应商）存在局限性。这并不影响Mandiant数据的价值，但意味着这些数据不能简单等同于全球统计数据。典型例证可见“受攻击行业”部分——金融业以17.4%占比居首，医疗行业仅以9.3%位列第五。 这种分布不应被视作全球行业攻击目标的真实反映。数据存在未量化的客户偏差（金融业相比医疗行业更有能力负担Mandiant的服务）。这种偏差的未知程度因该公司决定隐藏统计所依据的具体事件数量（或客户数量）而加剧，报告中仅提及“全球范围内超过45万小时的事件响应服务时长”。 这个总时长虽然令人印象深刻，但无法反映包含的事件或调查数量（如果调查周期长，可能对应少量事件；若调查快速完成，则可能对应大量事件）。 Mandiant咨询公司欧洲、中东和非洲区董事总经理Stuart McKenzie解释其统计逻辑：事件性质可能导致混淆。“我们可能在调查某事件时发现第二个威胁方——这应视为独立事件还是原事件的延续？有时一次调查可能发现三到四个不同事件。因此，我们以服务时长作为衡量标准，这能更清晰体现工作量。” 只要读者明确这些是Mandiant客户统计数据而非全球攻击数据，就不会削弱其价值。同时，报告整体价值因Mandiant与谷歌威胁情报组的联合研究而得到提升。 M-Trends报告重点内容 初始感染媒介 漏洞利用（33%）连续第五年成为最常见初始攻击途径（虽低于去年的38%）。值得注意的是，凭证窃取（16%）今年超过钓鱼邮件（14%）升至第二位，背后原因复杂。 McKenzie分析：“用户对钓鱼攻击的警惕性提高，操作系统防护增强，安全控制措施更有效。”但攻击者并未停滞。“随着防御者修补漏洞的能力提升，漏洞利用效率降低。随着反钓鱼技术发展，钓鱼攻击吸引力下降。”攻击者转向替代方法，目前表现为大量使用窃取凭证。 这种现象部分归因于信息窃取程序的广泛高效使用。报告警告：“典型信息窃取程序包括Vidar、Raccoon和RedLine Stealer。”暗网上包含窃取凭证的日志数量持续增加；相比通过钓鱼邮件投递恶意软件，发现并使用这些凭证作为初始感染手段更为容易。 McKenzie补充解释：“钓鱼攻击减少可能源于安全工具的改进，例如Mark of the Web（MotW）阻碍了恶意软件部署。”MotW是Windows系统的特性，可检测并标记来自不可信源的文件，阻止或警示其运行。 有趣的是，他认为AI辅助钓鱼不会改变这种趋势。“虽然AI能生成更复杂的钓鱼诱饵，但钓鱼攻击的主要用途仍将是为更大规模攻击获取凭证，而非直接分发恶意软件。因此，钓鱼正从恶意软件传播手段演变为复杂攻击链中的一环，辅助其他攻击方法。” 这并不意味着钓鱼威胁降低，而是其角色从初始感染媒介转变为其他攻击途径的助推器。防御者需更关注密码卫生管理、定期更换，以及更有效地使用多因素认证（MFA）来应对凭证攻击。 朝鲜IT工作者 值得注意的新动向是Mandiant将朝鲜IT工作者归类为独立威胁集群UNC5267。这种划分的合理性可能不会立即显现，但存在两方面依据：第一，他们使用“协助者”表明存在某种外部组织；第二，更重要的是，鉴于朝鲜对互联网的严格管控，这些人员若未获政府默许则无法获得境外就业机会。 若Mandiant的逻辑成立，则意味着受国家支持的朝鲜IT工作者未来可能被归入一个或多个APT组织。但目前，McKenzie评论道：“远程工作者趋势让我联想到勒索软件早期阶段。像SamSam这样的组织曾在美国非常活跃，当时欧洲、中东和非洲地区认为‘我们没这种问题’。” 但随着时间推移（或许迫于美国执法机构压力），这些组织开始寻找新目标。勒索软件从美国蔓延至全球。 “朝鲜远程工作者在美国的高度活跃应该对其他国家机构具有警示意义。我们已观察到其向欧洲和其他地区的扩张。”早期动机被认为是赚取外汇资助朝鲜武器计划，虽然这仍是事实，但威胁不会止步于此。一旦这些“外国代理人”渗入西方产业，他们还能窃取知识产权和部署恶意软件。 Mandiant特别向欧洲传递的信息是：切勿将UNC5267视为轻微威胁。即使该集群尚未升级为APT，也需加强朝鲜工作者的检测能力。执法机构无法通过逮捕个别人员来瓦解该组织，也不存在可摧毁的基础设施——这种APT将具备不同形式的持久性。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lattica本周摆脱了隐形模式，推出了一个利用全同态加密（FHE）的平台，使AI模型能够处理加密数据。 全同态加密允许直接处理加密数据而无需先解密，这对于需要在不暴露敏感数据的情况下进行处理的应用场景至关重要。 Lattica平台可供AI供应商用于托管模型、管理访问和分配资源，终端用户则可通过该平台运行加密查询，因此数据永远不会暴露给AI供应商。 该解决方案采用“全同态加密抽象层（HEAL）”——一种基于云服务，旨在提升FHE性能并标准化其加速流程。 该组件充当FHE软件与硬件之间的桥梁，兼容CPU、GPU、TPU以及ASIC和FPGA芯片。 该公司表示，其平台特别适合金融、医疗和政府等对数据隐私和安全要求严格的领域，这些领域的数据顾虑可能限制AI技术的采用。 Lattica已获得由Konstantin Lomashuk旗下Cyber Fund领投的325万美元预种子轮融资。 Lattica创始人兼CEO Rotem Tsabary表示：“通过将硬件加速进展与软件优化相结合，我们不仅将FHE效率提升到商业可行水平，还解决了阻碍AI在敏感行业应用的关键数据困境。我们正在通过开发专为神经网络定制的解决方案，实现实用的全同态加密。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 当世界仍在为教皇方济各的逝世哀悼时，网络犯罪分子已通过伪造哀悼信息、诈骗链接和数据窃取手段将全球悲痛转化为牟利工具。 在教皇逝世消息公布后的数小时内，诈骗者便如机械般精准地利用公众震惊情绪展开行动。这种模式并不新鲜——从英国女王伊丽莎白二世去世、土耳其-叙利亚地震到COVID-19大流行，每当全球陷入悲痛，黑客就会抛出数字诱饵。 情绪化时刻创造了完美攻击窗口：人们紧盯屏幕寻求信息，戒心远低于平常。此时正是陷阱布设之时。AI生成的虚假图片（2025年2月首次传播）重新出现在各大网站和社交媒体，链接指向伪装成新闻站的恶意页面。 TikTok、Instagram和Facebook等平台充斥着AI生成的图片，部分声称展示教皇未公开影像或悼念内容，其逼真程度足以欺骗普通用户。人们点击、搜索——这正是攻击者所求。 网络安全公司Check Point研究人员指出，每逢重大事件，钓鱼攻击和恶意软件活动就会激增。近期某诈骗案例将用户从伪造的“教皇逝世突发新闻”站重定向至虚假Google页面，以赠送礼品卡为名索要信用卡信息。 另一危险手法是SEO投毒：攻击者购买谷歌搜索结果前排位置，将含恶意脚本的网站混入正规新闻链接。当用户搜索“教皇逝世最新动态”并点击看似正常的链接时，就会进入恶意网站。研究人员称，页面加载瞬间即触发后台脚本，无需额外点击即可窃取设备名称、操作系统、地理位置和语言设置。 这种方式使诈骗者能构建受害者画像，用于后续精准钓鱼攻击窃取凭证，或将数据转售暗网。约83%的诈骗域名未出现在安全雷达中，它们多为新注册或长期休眠域名，传统可疑网站检测工具难以识别。 “网络罪犯在混乱与好奇中获利。重大新闻事件总会引发利用公众关注度的诈骗激增，”研究人员写道，“最佳防御是用户意识与分层安全防护的结合。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软Defender XDR错误将合法的Adobe Acrobat云服务链接标记为恶意链接，导致用户通过ANY.RUN沙箱平台公开上传了超过1,700份敏感文档。 ANY.RUN是一个交互式在线沙箱分析平台，允许用户在受控环境中运行可疑文件或链接以检测恶意软件。该平台明确警告免费版用户：所有上传文件将默认公开。 ANY.RUN在声明中表示：“我们观察到大量Adobe Acrobat云服务链接（acrobat[.]adobe[.]com/id/urn:aaid:sc:）被突然上传至沙箱。经调查发现，微软Defender XDR误将该域名标记为恶意。这导致免费用户以公开模式上传了上千份含企业敏感数据的Adobe文件。” 尽管ANY.RUN已将相关分析设为私有以防止泄露，但用户仍在持续公开分享机密文档。该公司建议用户在处理工作相关任务时购买商业许可证以确保隐私合规。 除ANY.RUN外，VirusTotal等恶意软件分析平台也允许用户上传可疑文件，可能导致数据无意泄露。 网络安全社区对ANY.RUN的“误导性声明”表示不满。有Reddit用户指出，该平台首页标注“创建免费账户”并声称“可保持上传与分析内容私有”，但实际条款中免费版数据默认公开。 用户评论：“当用户专注于分析恶意软件时，很容易忽略这类‘看似明显’的警告——如果真这么明显，就不会有这么多人出错了。” 专家建议：用户应仔细核查沙箱平台的隐私政策与设置，或彻底避免上传任何敏感数据。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种名为DslogdRAT的新型恶意软件正通过利用Ivanti Connect Secure（ICS）中已修复的安全漏洞进行传播。该恶意软件与Web Shell在2024年12月期间通过零日漏洞CVE-2025-0282被植入日本多家机构的系统。JPCERT/CC研究员Yuma Masubuchi在周四发布的报告中指出：“攻击者当时利用该零日漏洞安装恶意软件。” CVE-2025-0282是ICS中的关键远程代码执行漏洞，Ivanti已于2025年1月初修复。该漏洞已被中文背景的网络间谍组织UNC5337用作零日漏洞，用于投递SPAWN恶意软件生态系统及DRYHOOK、PHASEJAM等工具，后两种恶意软件尚未关联到已知威胁组织。 JPCERT/CC和美国网络安全与基础设施安全局（CISA）发现，攻击者后续利用同一漏洞投递SPAWN的更新版本SPAWNCHIMERA和RESURGE。本月初，谷歌旗下Mandiant披露另一个ICS漏洞CVE-2025-22457被用于分发与中国黑客组织UNC5221关联的SPAWN恶意软件。 目前尚不确定使用DslogdRAT的攻击是否属于UNC5221操纵的SPAWN恶意软件活动。攻击链利用CVE-2025-0282部署Perl Web Shell，进而投递DslogdRAT等载荷。DslogdRAT通过套接字连接外联服务器发送系统信息，接收执行Shell命令、文件传输及代理劫持等指令。 威胁情报公司GreyNoise同时警告，过去24小时内针对ICS和Ivanti Pulse Secure（IPS）设备的可疑扫描活动激增9倍，涉及270多个独立IP地址；过去90天累计超过1000个IP。其中255个IP被判定为恶意，643个标记为可疑。恶意IP使用TOR出口节点，可疑IP关联小型托管商，主要来源国为美国、德国和荷兰。该公司表示：“此波扫描可能预示协同侦察及未来攻击准备，尽管尚未关联具体CVE，但类似峰值常出现在实际攻击前。”     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了Ruby网络服务器接口Rack中的三个安全漏洞。若被成功利用，攻击者可在特定条件下未授权访问文件、注入恶意数据并篡改日志。 网络安全厂商OPSWAT标记的漏洞如下： CVE-2025-27610（CVSS评分：7.5）：路径遍历漏洞，攻击者若确定文件路径，可访问指定根目录下的所有文件。 CVE-2025-27111（CVSS评分：6.9）：对回车换行符（CRLF）序列的不当中和及日志输出过滤漏洞，可操纵日志条目并扭曲日志文件。 CVE-2025-25184（CVSS评分：5.7）：对CRLF序列的不当中和及日志输出过滤漏洞，可篡改日志条目并注入恶意数据。 成功利用这些漏洞可使攻击者掩盖攻击痕迹、读取任意文件并注入恶意代码。 OPSWAT在提供给《The Hacker News》的报告中称：“CVE-2025-27610尤其严重，未认证攻击者可借此获取配置文件、凭证等敏感信息，导致数据泄露。”该漏洞源于托管静态内容（如JavaScript、样式表、图片）的中间件Rack::Static未清理用户提供的路径。当:root参数未明确定义时，Rack默认将当前工作目录（Dir.pwd）设为网络根目录。若:root与:urls配置不当，攻击者可通过路径遍历访问敏感文件。 缓解措施包括升级至最新版本、移除Rack::Static的使用，或确保root:指向仅含公开文件的目录。 与此同时，Infodraw媒体中继服务（MRS）被发现存在关键漏洞（CVE-2025-43928，CVSS评分：9.8），攻击者可通过登录页用户名参数的路径遍历漏洞读取或删除任意文件。 Infodraw是以色列移动视频监控解决方案提供商，其设备被多国执法部门、私家调查、车队管理及公共交通用于传输音视频和GPS数据。安全研究员Tim Philipp Schäfers表示：“该漏洞允许未认证攻击者读取系统任意文件（例如使用用户名’../../../../’），且存在任意文件删除漏洞。”该漏洞影响MRS的Windows和Linux版本，目前未修复。比利时与卢森堡的受影响系统已下线。 Schäfers建议：“受影响组织应立即将应用下线（因厂商未提供补丁且漏洞可能被近期利用）。若无法下线，需通过VPN或IP白名单加强防护。”     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜关联的威胁行为组织“Contagious Interview”（传染性面试）在虚假招聘流程中设立了多家空壳公司，用于分发恶意软件。 网络安全公司Silent Push在深度分析中指出：“在此次新活动中，该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC（blocknovas[.]com）、Angeloper Agency（angeloper[.]com）和SoftGlide LLC（softglide[.]co）——通过‘面试诱饵’传播恶意软件。” 该活动被用于分发三种已知恶意软件家族：BeaverTail、InvisibleFerret和OtterCookie。 “Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口，诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。 此次攻击的升级体现在： 空壳公司网络：BlockNovas声称有14名员工，但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时，该公司自称“运营12年以上”，但实际注册时间仅1年。 社交媒体伪装：攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。 多阶段攻击链： BeaverTail：JavaScript窃取器/加载器，通过域名lianxinxiao[.]com建立C2通信，投递下一阶段载荷。 InvisibleFerret：Python后门，支持Windows/Linux/macOS持久化，可窃取浏览器数据、文件并安装AnyDesk远程控制软件。 OtterCookie：部分攻击链通过同一JS载荷分发。 基础设施细节： BlockNovas子域名托管“状态仪表盘”，监控lianxinxiao[.]com、angeloperonline[.]online等域名。 子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。 域名attisscmo[.]com托管加密货币钱包工具Kryptoneer，支持Suiet Wallet、Ethos Wallet等连接。 时间线与影响： 2024年9月：至少一名开发者的MetaMask钱包遭入侵。 2024年12月：BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。 2025年4月23日：FBI查封BlockNovas域名，指控其用于“虚假招聘及恶意软件分发”。 技术规避手段： 使用Astrill VPN和住宅代理隐藏基础设施。 利用AI工具Remaker生成虚假人物头像。 通过俄罗斯IP段（位于哈桑和伯力）连接VPS服务器，操作招聘网站和加密货币服务。Trend Micro指出，这些地区与朝鲜存在地理和经济关联，推测朝俄可能存在基础设施共享。 双重动机： 数据窃取：通过远程IT员工渗透企业（即Wagemole攻击）。 资金转移：将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI（GenAI）优化虚假身份创建、面试安排及实时语音/文本翻译。 行业警示： 企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务，此类要求可能成为恶意软件投递的切入点。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp推出了一项名为“高级聊天隐私（Advanced Chat Privacy）”的新功能，旨在保护私聊和群组对话中交换的敏感信息。该隐私选项可在点击聊天名称后启用，用于阻止他人保存媒体文件和导出聊天内容。 WhatsApp表示：“今天我们推出了最新的隐私层‘高级聊天隐私’。这项在聊天和群组中均可使用的新设置，能在您需要更高隐私时防止他人将WhatsApp内的内容外传。启用该设置后，您可阻止他人导出聊天记录、自动下载媒体至手机，以及将消息用于人工智能（AI）功能。这将使聊天中的每位成员更确信无人能将对话内容带出聊天。” 该公司补充称这是该功能的第一个版本，正在向所有已更新至最新版本WhatsApp的用户推送。WhatsApp还在为该功能开发更多防护措施以增强其效果。但需注意，即使启用“高级聊天隐私”，仍存在通过截屏（如果未禁用截图功能）等方式提取敏感媒体和信息的可能。 这项新功能是WhatsApp七年前启动的通信安全强化计划的一部分——当时该公司首次引入端到端加密。五年后（2021年10月），WhatsApp开始向iOS和Android设备推送端到端加密的聊天备份功能。同年12月，通过为所有新聊天添加默认“阅后即焚”消息支持进一步扩展隐私控制。 近期更新包括：使用密码或指纹锁定聊天、通过“秘密代码”隐藏锁定聊天、允许Android和iOS用户在通话时通过WhatsApp服务器代理隐藏地理位置。自2024年10月起，WhatsApp还开始加密联系人数据库以实现隐私同步，确保联系人列表与账户绑定（而非设备），便于设备更换时的管理。 Meta在2020年初宣布，来自180多个国家的超过20亿用户正在使用WhatsApp视频通话和即时通讯平台。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netcraft最新报告显示，Darcula的钓鱼即服务（PhaaS）平台幕后运营者已为其网络犯罪工具包添加生成式人工智能（GenAI）功能。这项升级显著降低了钓鱼攻击的技术门槛，即使缺乏技术背景的犯罪分子也能在数分钟内创建定制化欺诈页面。 该平台新增的AI辅助功能具备以下威胁特性： 多语言支持：自动生成含本地化语言元素的钓鱼表单 智能克隆：可1:1复制任意品牌官方网站的界面设计 零代码操作：无需编程知识即可构建定制化钓鱼站点 攻击活动时间线 2024年3月：Netcraft首次曝光Darcula利用苹果iMessage/RCS协议发送伪装成USPS等邮政服务的钓鱼短信（Smishing） 2025年1月：运营者开始测试网站克隆功能 2025年4月23日：正式集成GenAI实现多语言钓鱼攻击自动化 瑞士网络安全公司PRODAFT追踪发现，该平台开发者代号LARVA-246，通过Telegram频道”xxhcvv/darcula_channel”进行销售。技术特征显示其与另一款钓鱼工具Lucid存在代码复用，两者均隶属于“Smishing Triad”犯罪生态，该组织长期实施全球性金融诈骗。 自2024年3月至今，Netcraft已下线25,000+个Darcula钓鱼页面，封禁31,000+个恶意IP地址以及标记90,000+个钓鱼域名。 Netcraft安全研究员Harry Everett警告：“这种技术革新使初级攻击者能在5分钟内完成钓鱼站点搭建与传播，全球金融机构需立即升级多因素认证体系。”（报告全文已提交FBI网络犯罪投诉中心）     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Interlock勒索软件团伙声称对肾脏透析公司DaVita发动网络攻击，并泄露从该组织窃取的数据。 DaVita是《财富》500强肾脏护理服务提供商，在美国拥有2,600多个透析中心，在12个国家拥有76,000名员工，年收入超过128亿美元。 这家医疗公司向美国证券交易委员会（SEC）披露，其于4月12日遭受勒索软件攻击，影响了部分业务运营。DaVita当时表示正在调查该事件的影响。 今天早些时候，Interlock勒索软件团伙通过在其暗网数据泄露网站（DLS）公布的受害者名单中添加DaVita来声称对此次攻击负责。 根据该团伙的说法，他们从该医疗公司获取了约1.5TB数据，即近70万个文件，内容似乎包含敏感患者记录、用户账户信息、保险信息甚至财务细节。 威胁行为者已将文件发布在其DLS上，这表明与DaVita的赎金谈判已经失败。BleepingComputer未审查文件内容，也无法验证其真实性。 我们再次联系该医疗公司就Interlock的声明置评，发言人向我们发送了以下声明： “我们已知晓暗网上的帖子，正在对相关数据进行彻底审查，”DaVita告诉BleepingComputer。 “关于此事件的全面调查仍在进行中。我们正在尽快处理，并将酌情通知受影响方和个人。” “我们对这种针对医疗界的行动感到失望，并将继续与供应商和合作伙伴共享有用信息，以提高未来防御此类攻击的意识。” 如果您曾在DaVita中心接受治疗并向该组织提供过敏感数据，建议警惕潜在的钓鱼攻击，并向当局报告可疑通信。 Interlock是勒索软件领域较新的团伙之一。它于去年9月启动，主要针对Windows和FreeBSD系统。 尽管不与外部分支机构合作，但它是相对活跃且不断演变的威胁，已对十余次攻击负责。对于列出的多起事件，该威胁行为者声称从受害者网络窃取了数TB数据。 网络安全公司Sekoia上周发布的报告显示了Interlock战术的转变，该组织现在采用“ClickFix”策略诱骗目标自我感染信息窃取程序和远程访问木马（RAT），最终部署加密器有效载荷。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 耶鲁纽黑文健康系统（YNHHS）披露了一起数据泄露事件。此前发生的网络攻击导致550万名患者的个人信息暴露。 耶鲁纽黑文健康系统（YNHHS）是总部位于康涅狄格州纽黑文的非营利性医疗网络，现为美国该州最大医疗系统，提供全方位医疗服务。该系统在康涅狄格州、纽约州东南部和罗得岛州运营超过360个医疗点，管理逾2,400张病床，拥有约30,000名医疗专业人员，年收入超56亿美元。 2025年3月11日，YNHHS遭遇影响IT服务的网络安全事件。在网络安全公司Mandiant协助下，事件迅速得到控制。院方声明患者护理与医疗记录未受影响，但作为恢复工作的一部分，部分互联网和应用程序访问问题仍持续存在。机构已向主管部门报备。 YNHHS于2025年4月11日公开数据泄露事件，称攻击者窃取了患者敏感信息。失窃数据因患者而异，包含以下内容： 全名 出生日期 家庭住址 电话号码 电子邮箱 种族/民族 社会安全号码（SSN） 患者类型 医疗记录编号 院方明确表示泄露数据不包含财务信息、医疗记录或治疗细节。 YNHHS发布的《数据安全事件通告》称：“2025年3月8日，我们发现影响信息系统(IT)的异常活动，立即启动事件控制程序并展开调查（含外部网络安全专家介入），同时向执法部门报告。调查确认有未经授权的第三方侵入网络，并于2025年3月8日获取了特定数据副本。此事件从未影响我院患者护理能力。” 自4月14日起，YNHHS开始向受影响患者寄送书面通知。虽未发现数据滥用案例，但将为涉及社会安全号码的患者提供免费信用监控服务。机构已设立专项呼叫中心（1-855-549-2678）解答疑问。 根据美国卫生与公众服务部违规事件门户数据，该事件影响5,556,702人。YNHHS未披露攻击技术细节，目前尚无勒索软件组织宣称对此负责。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发布了一款大多数现代Linux安全系统无法察觉其活动的rootkit。该恶意软件滥用了此前谷歌因安全风险在Android设备上禁用的性能优化方法。 攻击者可借此悄无声息地入侵Linux系统。总部位于特拉维夫的安全公司ARMO警告称，这暴露出大多数现代Linux安全检测方案存在关键漏洞。 黑客可利用“io_uring”方法实施绕过传统检测机制的恶意活动。多数CISO尚未意识到这一漏洞。 为验证该漏洞，研究人员公开了一款全功能rootkit。ARMO研究人员解释称：“安全工具的关键弱点在于过度依赖传统系统调用监控作为主要检测机制。虽然这种方法对多数威胁有效，但无法应对完全绕过系统调用的技术手段。” “io_uring”漏洞利用并非新发现，安全专家普遍认为其存在安全隐患。2023年6月，谷歌得出结论称60%的漏洞赏金提交利用了“io_uring”组件，因此决定限制其在谷歌产品中的使用。目前Android应用无法访问该方法，且ChromeOS已彻底禁用该功能。 但在大多数Linux发行版中，该框架仍提供用于异步输入/输出处理的内核API，既能减少传统系统调用需求，又可加速特定操作。 ARMO指出：“io_uring”为攻击者提供了绕过安全产品依赖的典型系统调用的漏洞利用空间。该框架支持61种操作能力，包括网络和文件系统操作。 研究人员发现，这种攻击方式影响了eBPF技术——一种被云安全厂商广泛采用的监控技术。受此影响的安全工具包括Falco和Tetragon等。 研究人员表示：“当前Linux EDR领域的大多数商业解决方案都依赖系统调用钩子技术。测试发现多个知名商业产品存在此类检测漏洞。” 为何要发布rootkit？ 研究人员希望通过发布名为Curing的全功能rootkit，提升网络安全界对攻击者仍在利用的隐蔽机制的认知。“过去两年已有文献详述如何利用该技术绕过检测机制，但多数网络安全厂商仍未解决该问题。” rootkit是最危险的恶意软件类型之一，能为攻击者提供系统root权限并完美隐藏自身。Curing rootkit可与C2服务器通信、获取指令并无需系统调用即可执行。 “核心思路是证明io_uring支持如此多关键操作，足以在其基础上编写完整rootkit。” 该研究团队还解释了如何检测此类恶意软件，建议监控“io_uring”的异常使用，因为现代程序通常不会主动调用该接口。 Linux新推出的内核运行时安全检测机制（KRSI）能实现深度监控。即使隐藏的rootkit仍需执行某些可见操作（如读取或发送数据），这些行为仍可被捕捉。 “io_uring”机制自2019年5月5日发布的Linux 5.1版本开始存在。研究人员总结道：“这不仅是理论威胁——我们测试了包括Falco和Tetragon在内的主流安全方案，确认它们均无法检测此类攻击。鉴于Linux是云基础设施的基石，这项研究将影响所有相关企业。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文