HackerNews

HackerNews 编译，转载请注明出处： 被称为TA558的威胁行为者被归因于一系列新的攻击，这些攻击通过各种远程访问木马（RAT）如Venom RAT入侵巴西和西班牙语市场的酒店。 俄罗斯网络安全供应商卡巴斯基正在追踪这一活动，该活动发生在2025年夏季，被其追踪为RevengeHotels。 “威胁行为者继续使用带有发票主题的网络钓鱼邮件，通过JavaScript加载器和PowerShell下载器传递Venom RAT植入物，”该公司表示，“在这次活动中，初始感染器和下载器代码的很大一部分似乎是由大型语言模型（LLM）代理生成的。” 这些发现表明，网络犯罪团伙利用人工智能（AI）来增强其技术手段，这是一种新的趋势。 自2015年以来一直活跃的RevengeHotels，一直针对拉丁美洲的酒店、酒店和旅游组织，目的是在受损系统上安装恶意软件。 该威胁行为者活动的早期版本被发现分发带有精心制作的Word、Excel或PDF文档的电子邮件附件，其中一些利用了微软Office中的已知远程代码执行漏洞（CVE-2017-0199），以触发Revenge RAT、NjRAT、NanoCoreRAT和888 RAT的部署，以及一种名为ProCC的自定义恶意软件。 Proofpoint和Positive Technologies记录的后续活动表明，该威胁行为者有能力完善其攻击链，以传递各种RAT，如Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake Keylogger和Vjw0rm。 这些攻击的主要目标是从酒店系统中捕获客人和旅行者的信用卡数据，以及从Booking.com等流行的在线旅行社（OTAs）收到的信用卡数据。 据卡巴斯基称，最新的活动涉及发送用葡萄牙语和西班牙语撰写的网络钓鱼邮件，这些邮件带有酒店预订和工作申请的诱饵，以诱使收件人点击欺诈链接，从而下载WScript JavaScript有效载荷。 “该脚本似乎是通过大型语言模型（LLM）生成的，其大量注释的代码和类似这种技术产生的格式就是证据，”该公司表示，“该脚本的主要功能是加载后续脚本，以促进感染。” 这包括一个PowerShell脚本，该脚本从外部服务器检索名为“cargajecerrr.txt”的下载器，并通过PowerShell运行它。顾名思义，下载器会获取两个额外的有效载荷：一个负责启动Venom RAT恶意软件的加载器。 基于开源的Quasar RAT，Venom RAT是一种商业工具，终身许可证售价650美元。将恶意软件与HVNC和Stealer组件捆绑的一个月订阅费用为350美元。 该恶意软件配备了窃取数据、充当反向代理的功能，并具有反杀保护机制，以确保其不间断运行。为此，它修改了与运行进程相关的自由裁量访问控制列表（DACL），删除任何可能干扰其运行的权限，并终止任何与硬编码进程匹配的运行进程。 “这种反杀措施的第二个组成部分涉及一个运行持续循环的线程，每50毫秒检查一次运行进程列表，”卡巴斯基表示。 “该循环专门针对那些通常由安全分析师和系统管理员用于监控主机活动或分析.NET二进制文件等任务的进程。如果RAT检测到这些进程中的任何一个，它将不提示用户而终止它们。” 反杀功能还配备了使用Windows注册表修改在主机上设置持久性的能力，并在相关进程未在运行进程列表中找到时重新运行恶意软件。 如果恶意软件以提升的权限执行，它将继续设置SeDebugPrivilege令牌，并将自身标记为关键系统进程，从而即使在尝试终止进程时也能保持持久性。它还会强制计算机显示器保持开启状态，并防止其进入睡眠模式。 最后，Venom RAT工件具备通过可移动USB驱动器传播和终止与Microsoft Defender Antivirus相关进程的能力，以及篡改任务计划程序和注册表以禁用安全程序。 “RevengeHotels显著增强了其能力，开发了新的战术来针对酒店和旅游部门，”卡巴斯基表示，“在LLM代理的帮助下，该组织能够生成和修改其网络钓鱼诱饵，将其攻击扩展到新的地区。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一次新的供应链攻击中，超过180个NPM包被一种自复制恶意软件击中，该恶意软件用于窃取机密、在GitHub上发布这些机密，并将私有仓库变为公开仓库。 作为攻击的一部分，黑客入侵了超过40个开发者账户，并在NPM注册表上发布了700多个恶意包版本。 这次攻击在9月15日被Loka高级软件工程师Daniel dos Santos Pereira发现，但攻击始于9月14日，当时只有不到十几个恶意包被发布。到当天结束时，大约有50个包版本被发布。 到了9月16日，这次被命名为Shai-Hulud的攻击（基于代码将机密信息转储到的公共仓库的名称）已经影响了超过180个包，Ox Security警告说。 一些受影响的包包括@ctrl/tinycolor（每周下载量超过200万）、ngx-bootstrap（每周下载量30万）、ng2-file-upload（每周下载量10万）以及多个CrowdStrike NPM包（这些包被立即移除）。 这些包被注入了一个post-install脚本，该脚本旨在获取TruffleHog机密扫描工具以识别和窃取机密，并收集环境变量和IMDS暴露的云密钥。 该脚本还会验证收集到的凭据，如果识别到GitHub令牌，就会使用它们创建一个公共仓库，并将机密信息转储到其中。 此外，它还会推送一个GitHub Actions工作流，将每个仓库中的机密信息泄露到一个硬编码的webhook（由于超出允许的回调限制而被停用），并将私有仓库迁移到标记为“Shai-Hulud迁移”的公共仓库。 网络安全公司Socket在GitHub上发现了超过700个带有Shai-Hulud迁移标签的公共仓库，这些仓库都是在攻击发生时创建的。 使用受害者受损账户创建的公共GitHub仓库来发布被盗机密，这与几周前的s1ngularity供应链攻击中看到的模式相似。事实上，安全公司Wiz表示，Shai-Hulud的首批受害者也是s1ngularity攻击的已知受害者。 使这次攻击与众不同的是恶意代码，它使用任何识别到的NPM令牌来枚举和更新受损害维护者控制的包，并将恶意post-install脚本注入其中。 “这次攻击是一种自我传播的蠕虫。当一个受损的包在受害环境中遇到额外的NPM令牌时，它将自动发布它可以访问的任何包的恶意版本，”Wiz指出。 根据StepSecurity对Shai-Hulud攻击流程的技术分析，该蠕虫针对Linux和macOS执行环境，并故意跳过Windows机器。 JFrog指出，相同的窃取数据的有效载荷的多个变体已被注入到受损包的恶意版本中。该代码被看到针对GitHub、NPM、AWS和Google Cloud凭证，以及Atlassian密钥和Datadog API密钥。 “尽管主要功能相同，但一些版本存在细微差异，表明攻击者在活动过程中进行了迭代调整。例如，一些版本将‘Shai-Hulud’仓库设为私有，隐藏起来避免被发现。另一个版本还试图窃取Azure凭证，”JFrog说。 根据GitGuardian的说法，作为这次攻击的一部分，共有278个机密被公开泄露，其中包括从本地机器收集的90个和通过恶意工作流被泄露的188个。大多数机密被迅速撤销，但仍有数十个，主要是GitHub API令牌，仍然有效。 安全公司警告说，恶意代码的自我传播潜力可能会使这场活动再持续几天。 为了避免被感染，用户应该警惕那些在NPM上有新版本但在GitHub上没有的包，并建议固定依赖项以避免意外的包更新。 Wiz表示，它没有观察到新的Shai-Hulud仓库的创建，但由于蠕虫通过使用受害者维护者的凭证来发布新包来自动化传播，任何受损账户都可能被用来重新启动攻击。 “这个循环允许恶意软件持续感染维护者可以访问的每一个包。每个发布的包都成为了一个新的传播载体：一旦有人安装它，蠕虫就会执行、复制，并进一步传播到生态系统中，”安全公司Aikido指出。 Wiz称Shai-Hulud是“迄今为止观察到的最严重的JavaScript供应链攻击之一”，而ReversingLabs警告说，NPM生态系统中的包依赖关系放大了活动的影响。 ReversingLabs表示，受影响的各方包括“科技公司创始人和首席技术官；提供软件开发服务的公司；为非营利组织工作的开发人员；在赌博硬件和软件以及创建办公开发套件的公司中担任技术领导的开发人员；人工智能公司的开发人员；安全供应商——包括一家领先的端点检测和响应（EDR）供应商；学生开发人员；以及其他每天依赖NPM构建软件的人。” 为了检测潜在的入侵，NPM用户被建议检查其GitHub账户下创建的新仓库或分支，搜索包含其组织名称的名为Shai-Hulud或Shai-Hulud迁移的公共仓库，审查GitHub审计日志，并查找可疑的API调用。 如果他们发现任何入侵迹象，用户应该撤销并重新发放所有GitHub和NPM令牌，以及SSH和API密钥、环境变量机密，并重新安装其仓库中的所有包。 Shai-Hulud是在s1ngularity攻击和最近Josh Junon（Qix）被入侵之后，针对NPM生态系统的第三次重大供应链攻击，Josh Junon是18个NPM包的维护者，这些包每周的总下载量超过25亿次。 “这些攻击并非异常，只要攻击向量仍然有效，就会继续发生。组织需要确切了解其软件环境中包含的内容，并在出现问题时做好采取行动的准备。这意味着审计依赖项，纳入软件材料清单（SBOM）以提供透明度并能够快速进行漏洞评估，通过特权访问管理实施强大的身份验证和访问控制，监控异常行为，并保护机密，以便被盗凭证不能被武器化，”Keeper Security首席信息安全官Shane Barney说。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司在周一宣布了iOS和macOS平台的重大更新，并修复了一个在旧平台上被利用的漏洞。共修复了50多个漏洞。 iOS 26和iPadOS 26为最新一代iPhone和iPad设备发布，修复了27个独特的CVE漏洞，这些漏洞可能导致内存损坏、信息泄露、崩溃和沙箱逃逸。 WebKit是修复最多的组件，共修复了5个安全缺陷，这些缺陷可能导致进程崩溃、Safari崩溃，或者允许网站在未经同意的情况下访问传感器信息。 iOS更新还修复了Apple Neural Engine、蓝牙、CoreAudio、CoreMedia、内核、Safari、沙箱、Siri、系统等十几个组件中的漏洞。 苹果公司发布了macOS Tahoe 26，修复了38个独特的CVE漏洞，其中11个漏洞也在iOS 26和iPadOS 26中得到了修复。 受影响最严重的组件包括WebKit（修复了5个漏洞）、AppleMobileFileIntegrity和SharedFileList（各修复了4个问题）、蓝牙和沙箱（各修复了3个漏洞）。 其他修复的组件还包括AppKit、AppSandbox、ATS、CoreMedia、CoreServices、FaceTime、Foundation、GPU驱动程序、ImageIO、通知中心、RemoteViewServices、安全初始化、Spotlight和StorageKit。 周一，苹果还发布了iOS 18.7和iPadOS 18.7，修复了12个安全缺陷，并推出了iOS 16.7.12、iPadOS 16.7.12、iOS 15.8.5和iPadOS 15.8.5，修复了CVE-2025-43300漏洞。这是一个ImageIO漏洞，曾在针对WhatsApp用户的攻击中被利用。苹果在8月20日首次发布了针对该漏洞的补丁。 苹果还为macOS Sequoia 15.7和macOS Sonoma 14.8发布了大量补丁，并发布了tvOS 26、watchOS 26和visionOS 26，每个系统都修复了近二十个漏洞。 Safari 26修复了七个安全缺陷，而Xcode 26修复了五个漏洞。 除了CVE-2025-43300外，苹果没有提到其他已修复的漏洞在野外被利用的情况。更多信息可以在公司的安全发布页面找到。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约的风险投资和私募股权公司Insight Partners正在通知数千名个人，其个人信息在勒索软件攻击中被盗。 该公司于2月披露了这一网络安全事件，当时表示，一名威胁行为者在一次“复杂的社交工程攻击”后获得了其网络的访问权限。 两个月后，Insight Partners证实，攻击者在入侵期间还窃取了敏感数据，包括银行和税务信息、现任和前任员工的个人信息、与有限合伙人相关的信息，以及基金、管理公司和投资组合公司的信息。 “正在向所有受影响数据的个人邮寄正式通知信，包括提供免费的信用或身份监控服务。请注意，如果您在2025年9月底之前没有收到通知信，那么我们已确定您的个人数据未受到此次事件的影响。”该公司在随后的一份声明中表示。 尽管目前还没有勒索软件团伙声称对此负责，但Insight Partners在周一提交给加州总检察长的违规通知中透露，并首次被TechCrunch发现，威胁行为者在10月入侵了其网络，并在1月16日数据泄露后加密了服务器。 “Insight Partners对此次事件的调查确定，2024年10月25日左右，一名威胁行为者成功利用复杂的社交工程攻击获得了受影响服务器的访问权限，”该公司表示。 “一旦进入，威胁行为者开始从这些服务器中窃取数据，并从2025年1月16日东部时间上午10点左右开始加密这些服务器。” 本周在缅因州总检察长的一份文件中，该公司还披露，由此产生的数据泄露影响了12657人。 Insight Partners管理着超过900亿美元的受监管资产，并在其30年的历史中，投资了全球800多家软件和技术初创公司。 Insight Partners的一位发言人尚未对BleepingComputer就此次事件提出的多次评论请求做出回应。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称，已获取谷歌 执法请求系统（LERS ）及美国联邦调查局（FBI）电子背景调查系统的访问权限。 LERS是一个安全的在线门户，供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息，另一方面确保整个流程符合法定程序要求。 谷歌证实，威胁行为者通过创建虚假账号，成功获取LERS平台的访问权限，目前已将该账号停用。 谷歌指出，攻击者未通过该欺诈账号发起任何请求，同时强调 “未发生数据泄露”。然而，未经授权访问谷歌 LERS 仍存在多重风险：可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机，且会损害公众对该系统的信任。 而若 FBI 电子背景调查系统（eCheck）遭遇入侵，风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改，甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性，必须建立强有力的安全防护措施，以保障用户隐私、数据完整性及机构公信力。 据悉，该威胁团伙最初通过社会工程学手段，诱骗企业员工将 Salesforce 数据加载器（Salesforce Data Loader）关联至公司账号，进而实施数据窃取与勒索。随后，他们入侵了 Salesloft 公司的 GitHub 代码仓库，使用 Trufflehog（一款敏感信息扫描工具）扫描代码，发现了 Drift（一款客户互动平台）的认证令牌，并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。 此次 Salesforce 数据窃取攻击影响了多家大型企业客户，包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。 9 月 11 日，该团伙在 BreachForums [.] hn（一个数据泄露相关论坛）上发布 “告别” 信息，宣布将 “隐匿”。 团伙在留言中写道：“虚荣不过是转瞬即逝的胜利，操纵舆论也终究只是徒劳的自负。正因如此，我们决定，从今往后，沉默将成为我们的力量。”“未来，你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业，以及部分政府机构（包括安全级别极高的机构）的新数据泄露报告中看到我们的名字，但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周日，乌克兰军方情报机构（HUR）表示，已对俄罗斯中央选举委员会及其他政府部门系统实施黑客攻击，此举是对 “俄罗斯在被占领乌克兰地区举行投票” 的回应。 此次攻击恰逢俄罗斯 “统一投票日”，当天俄罗斯全国同步举行地区和地方选举。今年，克里米亚及乌克兰其他被占领地区也同步进行了投票。乌克兰政府及其盟友均表示，此类选举不具备合法性。 乌克兰军方情报机构称，其发起的分布式拒绝服务（DDoS）攻击，目标直指俄罗斯中央选举委员会服务器、电子投票系统、国家服务门户网站 “Gosuslugi”，以及国营电信运营商 “俄罗斯电信”（Rostelecom）的核心路由器。DDoS 攻击的原理是向服务器发送海量流量，最终导致服务器瘫痪、无法正常访问。 乌克兰军方情报机构发言人称：“此次攻击的目标是干扰在线投票，尤其是在被占领的乌克兰地区。” 该发言人补充表示，攻击导致俄罗斯相关数字服务暂时陷入瘫痪，许多俄罗斯民众无法通过电子方式投票。 俄罗斯方面承认，其与选举相关的网站遭遇了持续性攻击。 俄罗斯中央选举委员会主席埃拉・帕姆菲洛娃（Ella Pamfilova）向当地官方媒体表示，自周五投票开始以来，中央选举委员会网站多次出现无法访问的情况，但她强调投票本身未受影响。 俄罗斯数字发展部副部长奥列格・卡恰诺夫（Oleg Kachanov）证实，“Gosuslugi” 门户网站及中央选举委员会的数字服务出现 “短期流量异常波动”，但远程投票平台仍按设计正常运行。 俄罗斯电信总裁米哈伊尔・奥谢夫斯基（Mikhail Oseevsky）称，为中央选举委员会网站提供支持的路由器出现过载，不得不进行重启，这导致投票高峰时段系统出现故障。他表示：“目前这些问题已得到解决”，并补充称俄罗斯将在明年议会选举前加强网络防御。 帕姆菲洛娃随后向记者透露，在为期三天的投票期间，针对中央选举委员会相关资源的攻击已记录在案的就超过 50 万次。 乌克兰外交部谴责在被占领土举行的选举 “不合法”，并呼吁盟友不承认选举结果。 欧盟对此表示认同并予以谴责，一名发言人表示，欧盟 “既不承认在被占领土上举行的所谓‘选举’，也不承认其结果”，并称此类投票是 “对国际法的又一次违反”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已通过法院裁定，查封了 338 个与 “RaccoonO365” 服务相关的网站。该服务在网络犯罪分子中被广泛使用，专门用于窃取用户名和密码。 RaccoonO365 是一款订阅制钓鱼工具包，网络犯罪分子可借助它盗用微软品牌，制作伪造邮件、附件及网站，诱导受害者打开、点击恶意链接或下载恶意文档。 使用该服务的犯罪分子需每月支付约 365 美元订阅费，其每日攻击目标达 9000 个邮箱地址。此外，该工具包还提供规避多因素认证（MFA）防护的技术，以便窃取用户凭证，并持续获取受害者系统的访问权限。 在多数攻击案例中，诈骗邮件的附件会包含链接或二维码，点击或扫描后会跳转至带有验证码（CAPTCHA）的页面。受害者输入验证码后，将被引导至伪造的微软 Office 365（O365）登录页面，用户的账号凭证随即被窃取。   罪魁祸首 微软数字犯罪部门助理总法律顾问史蒂文・马萨达（Steven Masada）表示，RaccoonO365 工具包已在 94 个国家被用于窃取至少 5000 组微软账号凭证。 近一年来，多家公司的研究人员持续发出警告，指出 RaccoonO365 的滥用情况日益严重 —— 犯罪分子正越来越多地利用它发起商业邮件入侵等攻击。 马萨达警示，RaccoonO365 的开发规模与传播范围表明，“诈骗与网络威胁的数量可能正呈指数级增长”。该工具包的运营者会根据需求推出更新，最近还上线了一项基于人工智能（AI）的服务，帮助犯罪分子扩大攻击活动的规模。 马萨达透露，DCU 已确认尼日利亚公民约书亚・奥贡迪佩为RaccoonO365 的核心运营者。奥贡迪佩及其同伙在 Telegram上推广并销售该工具，相关群组约有 850 名成员。截至周二（报道发布当日），该群组仍在 Telegram 上保持活跃。 微软调查发现，RaccoonO365 的运营团伙通过约 100 份订阅服务，已收取至少 10 万美元加密货币。微软表示，这很可能只是该工具获利总额的一部分。 微软官方称，他们认为奥贡迪佩编写了 RaccoonO365 的大部分代码。调查人员通过发现一个秘密加密货币钱包，成功摸清了该犯罪活动的全貌。 马萨达指出：“奥贡迪佩及其同伙在这个网络犯罪组织中各司其职，分工明确 —— 他们共同开发并销售该服务，同时提供客户支持，协助其他犯罪分子从微软用户处窃取信息。” “为掩盖犯罪活动并躲避检测，他们使用虚构姓名和物理地址注册互联网域名，且这些虚假地址被伪造成位于多个国家和城市。” 微软已将奥贡迪佩的案件线索提交给国际执法机构。当被问及尼日利亚当局是否已收到相关通报时，微软发言人拒绝进一步说明。据称与奥贡迪佩关联的 LinkedIn（领英）页面显示，其所在地为贝宁城（尼日利亚城市）。   Cloudflare 的发现 Cloudflare 在其官方博客中表示，已发现相关证据（例如 Telegram 群组名称中包含俄语字母），表明该团伙与俄语网络犯罪分子存在合作。微软未证实是否有俄罗斯方面人员参与，仅称 “该服务的客户与受害者遍布全球”。 微软表示，其与 Cloudflare 合作，“迅速查封并拆除了该团伙的恶意基础设施”。 Cloudflare 在后续发布的事件复盘报告中称，RaccoonO365 的运营团伙 “滥用 Cloudflare 服务及其他基础设施供应商的资源，试图掩盖其钓鱼工具包的踪迹，躲避检测”。 Cloudflare 已下架数百个与该团伙相关的域名和账号。此外，Cloudflare 官方还发现，该团伙发起的多起钓鱼活动中，伪造了 Adobe、Maersk、DocuSign 等知名品牌的身份。 这些钓鱼活动中，大量文件被命名为看似来自财务或人力资源部门的文档、合同或发票。部分文档的标题中还会包含受害者的姓名，以进一步诱使其点击。 Cloudflare 表示，尽管微软已查封数百个 RaccoonO365 相关域名，但其自身也已在旗下平台上终止了该工具包的所有运营活动，并就其他打击行动与美国执法机构展开合作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，称有一个新的攻击活动正利用 FileFix 社会工程学策略的变种，传播用于 StealC 恶意软件。 安克诺斯（Acronis）的安全研究员埃利亚德・金希在提交给《黑客新闻》的报告中表示：“观察到的该攻击活动，使用了极具迷惑性的多语言钓鱼网站（例如伪造的 Facebook 安全页面），并借助反分析技术与高级混淆手段躲避检测。” 从整体流程来看，攻击链的核心是利用 FileFix 诱导用户启动初始载荷，随后该载荷会从 Bitbucket 代码仓库下载看似无害的图像文件，但实际上这些图像中隐藏着恶意组件。攻击者借此滥用大众对这一合法代码托管平台的信任，从而绕过安全检测。 FileFix 最早由安全研究员 mrd0x 在 2025 年 6 月记录为概念验证（PoC）工具，它与 ClickFix 存在区别：在专门搭建的钓鱼页面上，ClickFix 需要用户打开 Windows “运行” 对话框，并粘贴已复制的混淆命令来完成虚假的验证码验证；而 FileFix 则无需这一步骤。FileFix 利用网页浏览器的文件上传功能，欺骗用户将一条命令复制粘贴到文件资源管理器的地址栏中，进而在受害者的设备上本地执行该命令。 攻击的开端是一个钓鱼网站，受害者很可能通过一封邮件被重定向至该网站。邮件中会警告收件人：其 Facebook 账号因分享的帖子或消息违反平台政策，将在一周后被暂停使用，并要求用户点击按钮对该处罚提出申诉。 该钓鱼页面不仅经过高度混淆处理，还采用了垃圾代码、代码分片等技术，阻碍安全人员的分析工作。 用户点击申诉按钮后，FileFix 攻击便正式启动：页面会向用户提示，若要查看所谓 “违规政策” 的 PDF 版本，需将一个文件路径复制粘贴到文件资源管理器的地址栏中。 尽管说明中提供的路径看似完全无害，但点击 “复制” 按钮时，实际复制的是一条后缀带有多余空格的恶意命令。当用户通过 “打开文件资源管理器” 按钮打开窗口并粘贴内容时，屏幕上只会显示文件路径（恶意部分被隐藏）。 这条命令是一个多阶段的 PowerShell 脚本，其作用包括：下载上述隐藏恶意组件的图像文件、将图像解码为下一阶段的载荷，最终运行一个基于 Go 语言开发的加载器 —— 该加载器会解包用于启动 StealC 恶意软件的外壳代码（shellcode）。 相较于 ClickFix，FileFix 还具备一项关键优势：它滥用的是浏览器中广泛使用的基础功能，而非打开 “运行” 对话框（针对苹果 macOS 系统则是打开终端应用）。而 “运行” 对话框或终端常被系统管理员设为安全防护措施的拦截对象。 不过安克诺斯指出：“另一方面，ClickFix 最初难以被检测的原因之一，在于它是通过‘运行’对话框从 Explorer.exe 进程启动，或直接从终端启动；而 FileFix 的载荷由受害者使用的网页浏览器执行，这一行为在调查过程中，或在安全产品的检测中，更容易被识别出来。” “发起此次攻击的攻击者在攻击技术上投入巨大，他们精心设计了钓鱼基础设施、载荷交付流程及配套组件，以最大限度地实现躲避检测与攻击效果。” 与此同时，网络安全公司 Doppel 也披露了另一起攻击活动：该活动结合了伪造的技术支持门户、Cloudflare 验证码错误页面与剪贴板劫持（即利用 ClickFix），通过社会工程学手段诱使受害者运行恶意 PowerShell 代码 —— 这些代码会下载并执行一个 AutoHotkey（AHK）脚本。 该 AHK 脚本的设计目的包括：收集受感染设备的信息（设备画像），并传播更多载荷，例如远程控制软件 AnyDesk、TeamViewer，以及信息窃取软件、剪贴板劫持恶意软件（clipper malware）等。 Doppel 表示，还观察到该攻击活动的其他变种：受害者被诱导运行一条 MSHTA 命令，该命令指向一个仿冒谷歌的域名（如 “wl.google-587262 [.] com”），随后从该域名获取并执行远程恶意脚本。 Doppel 的安全研究员阿尔什・贾瓦（Aarsh Jawa）指出：“AutoHotkey（AHK）是基于 Windows 系统的脚本语言，最初用于自动化重复操作，例如模拟键盘输入、鼠标点击等。” “尽管长期以来，高级用户与系统管理员因其简洁性和灵活性而广泛使用 AHK，但早在 2019 年左右，攻击者就开始将其武器化，用于制作轻量级恶意软件加载器与信息窃取工具。这些恶意脚本通常伪装成无害的自动化工具或技术支持程序。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，苹果公司推出了一项回溯修复补丁，针对此前已修复、但在现实场景中被活跃利用的安全漏洞。 此次涉及的漏洞编号为CVE-2025-43300（CVSS 评分：8.8），属于 ImageIO 组件中的 “越界写入” 问题。当设备处理恶意图像文件时，该漏洞可能导致内存损坏。 苹果公司表示：“我们已知悉相关报告，该漏洞可能已被用于针对特定个人的极为复杂的攻击中。” 此后，WhatsApp 也确认，其苹果 iOS 和 macOS 平台的即时通讯应用中存在一个漏洞（漏洞编号：CVE-2025-55177，CVSS 评分：5.4），该漏洞与 CVE-2025-43300 被 “链式利用”，成为针对不到 200 人的高度定向间谍软件攻击的一部分。 此前，苹果已于上月末首次针对该漏洞推出修复，当时发布的系统版本包括 iOS 18.6.2、iPadOS 18.6.2、iPadOS 17.7.10、macOS Ventura 13.7.8、macOS Sonoma 14.7.8 以及 macOS Sequoia 15.6.1。目前，苹果已为以下旧款设备的系统版本推送该漏洞的修复更新： iOS 16.7.12 和 iPadOS 16.7.12：适用设备包括 iPhone 8、iPhone 8 Plus、iPhone X、第 5 代 iPad、9.7 英寸 iPad Pro 以及第 1 代 12.9 英寸 iPad Pro。 iOS 15.8.5 和 iPadOS 15.8.5：适用设备包括 iPhone 6s（所有机型）、iPhone 7（所有机型）、第 1 代 iPhone SE、iPad Air 2、第 4 代 iPad mini 以及第 7 代 iPod touch。 此次漏洞修复更新与多个系统版本同步推送，包括 iOS 26、iPadOS 26、iOS 18.7、iPadOS 18.7、macOS Tahoe 26、macOS Sequoia 15.7、macOS Sonoma 14.8、tvOS 26、visionOS 26、watchOS 26、Safari 26 以及 Xcode 26。这些新版本同时修复了其他多项安全漏洞，具体如下： CVE-2025-31255：IOKit 组件中的授权漏洞，可能允许应用访问敏感数据。 CVE-2025-43362：LaunchServices 组件中的漏洞，可能允许应用在未经用户许可的情况下监控键盘输入。 CVE-2025-43329：沙盒（Sandbox）中的权限漏洞，可能允许应用突破沙盒限制。 CVE-2025-31254：Safari 浏览器中的漏洞，处理恶意构造的网页内容时可能导致意外的 URL 重定向。 CVE-2025-43272：WebKit 引擎中的漏洞，处理恶意构造的网页内容时可能导致 Safari 意外崩溃。 CVE-2025-43285：应用沙盒（AppSandbox）中的权限漏洞，可能允许应用访问受保护的用户数据。 CVE-2025-43349：CoreAudio 组件中的越界写入问题，处理恶意构造的视频文件时可能导致应用意外终止。 CVE-2025-43316：DiskArbitration 组件中的权限漏洞，可能允许应用获取 root 权限（最高系统权限）。 CVE-2025-43297：电源管理（Power Management）中的类型混淆漏洞，可能导致拒绝服务（设备无法正常提供服务）。 CVE-2025-43204：RemoteViewServices 组件中的漏洞，可能允许应用突破沙盒限制。 CVE-2025-43358：快捷指令（Shortcuts）中的权限漏洞，可能允许快捷指令绕过沙盒限制。 CVE-2025-43333：聚焦搜索（Spotlight）中的权限漏洞，可能允许应用获取 root 权限。 CVE-2025-43304：StorageKit 组件中的竞争条件漏洞，可能允许应用获取 root 权限。 CVE-2025-48384：Xcode 中的 Git 漏洞，克隆恶意构造的代码仓库时可能导致远程代码执行。 目前尚无证据表明上述任何漏洞已在现实攻击中被 “武器化”（即被用于实际攻击），但保持系统更新始终是保障设备安全的最佳实践，可实现最优防护效果。    消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “SlopAds” 的大型广告欺诈团伙，操控了由 224 款应用组成的应用集群。这些应用在全球 228 个国家和地区的总下载量高达 3800 万次。 HUMAN 公司旗下的 Satori 威胁情报与研究团队在一份提交给《黑客新闻》（The Hacker News）的报告中指出：“这些应用通过隐写术（steganography）植入欺诈代码，并创建隐藏的 WebView（网页视图）跳转到攻击者控制的‘变现网站’，以此生成虚假的广告曝光量与点击量。” “SlopAds” 这一名称，一方面暗示该团伙所开发应用的具有“批量生产” 属性，另一方面则源于攻击者在其命令与控制（C2）服务器上托管的多款人工智能（AI）主题服务，包括 StableDiffusion（AI 绘图工具）、AIGuide（AI 指南类服务）及 ChatGLM（AI 对话模型）。 HUMAN 公司表示，该欺诈活动在高峰期每日发起的广告竞价请求达23 亿次。从流量来源看，SlopAds 关联应用的用户主要集中在美国（占比 30%）、印度（占比 10%）和巴西（占比 7%）。目前，谷歌已将所有违规应用从 Play 商店下架，有效遏制了这一威胁。 该欺诈活动的一大显著特征的是：当用户下载 SlopAds 关联应用后，应用会调用移动营销归因 SDK（软件开发工具包），核查自身的下载渠道，确认是用户自然下载（用户直接从 Play 商店下载），还是非自然下载（点击广告后跳转至 Play 商店列表下载）。 只有在非自然下载的场景下，应用才会触发欺诈行为：从 C2 服务器下载名为 “FatModule” 的广告欺诈模块。反之，若应用是通过自然下载安装，其行为会与应用商店页面上宣传的功能完全一致。 HUMAN 的研究人员表示：“SlopAds 团伙不仅开发‘仅在特定场景下实施欺诈’的应用，还为其添加层层混淆技术。这一行为印证了一个趋势，即数字广告生态系统面临的威胁，其复杂程度正在不断升级。” “这种策略为攻击者构建了更完整的‘反馈循环’：只有当他们判断设备未被安全研究人员检测时，才会触发欺诈行为。此举能将恶意流量混入合法推广数据中，大幅增加了检测难度。” FatModule 模块通过 4 个 PNG 图像文件进行传输，这些图像中隐藏了 APK（安卓应用安装包）文件。该 APK 文件会在设备中被解密、重组，随后执行两项核心操作：收集设备与浏览器信息，以及通过隐藏 WebView 实施广告欺诈。 研究人员进一步指出：“SlopAds 的一种变现方式，是通过攻击者控制的 HTML5游戏网站与新闻网站。这些游戏网站会高频次展示广告，且由于加载网站的 WebView 处于隐藏状态，在 WebView 关闭前，网站能通过大量虚假广告曝光与点击实现盈利。” 调查发现，推广 SlopAds 关联应用的域名，均指向另一个名为 “ad2 [.] cc” 的域名。该域名是 SlopAds 团伙的二级（Tier-2）C2 服务器。截至目前，研究人员已识别出约 300 个用于推广此类欺诈应用的域名。 值得注意的是，此次 SlopAds 事件曝光的两个月前，HUMAN 公司曾披露另一起广告欺诈案 “IconAds”，该案件涉及 352 款安卓应用。 HUMAN 公司首席信息安全官加文・里德表示：“SlopAds 事件凸显了移动广告欺诈的‘进化趋势’，其不仅具备‘隐蔽性’‘条件触发式欺诈’的特征，还拥有快速规模化攻击的能力。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击通过冒充可信软件提供商，对毫无戒心的用户实施侵害。FortiGuard实验室研究人员表示，威胁行为者通过SEO插件和注册仿冒域名操纵搜索算法。受害者访问这些网站后，会被诱骗下载木马化安装程序。被冒用的知名平台包括：Signal、WhatsApp、Deepl、Chrome、Telegram、Line、VPN服务商、WPS Office等。 这些欺诈网站会分发多种恶意软件家族，最值得注意的是Hiddengh0st和Winos新变种。攻击者将恶意组件捆绑在看似提供真实应用程序的安装包中。 安装程序一旦启动，便会将恶意DLL文件释放到隐藏目录，获取管理员权限，并执行旨在规避检测的功能。该恶意软件使攻击者能够收集详细的系统与受害者信息、枚举杀毒软件和安全工具、记录键盘输入和剪贴板数据、捕获前景窗口标题和屏幕活动、加载额外插件以扩展监控与控制能力等。 恶意软件投放的插件还表明，攻击者可能截获Telegram通信。 此次攻击活动加剧了SEO投毒技术的泛滥，该技术通过操纵搜索引擎将欺诈网站推至搜索结果前列。即使坚持查看”可信”搜索排名的警惕用户，也可能因此类攻击措手不及。 报告显示，该活动主要针对中文用户。FortiGuard实验室研究人员表示，“安装包同时包含合法应用程序和恶意载荷，使用户难以察觉感染”，“即使高排名搜索结果也以这种方式被武器化，这凸显了下载软件前仔细检查域名的重要性”。 思科、Talos此前研究已发现多起SEO投毒活动，攻击者使用流行AI应用引诱受害者。多个勒索软件团伙曾通过ChatGPT、InVideo等平台伪装恶意软件。另一起欺诈活动则冒用PayPal、苹果、美国银行、Netflix和微软名义，网络罪犯通过购买谷歌赞助广告伪装成大品牌，将受害者诱导至虚假网站以下载恶意软件。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国计算机应急响应团队（CERT-FR）发布新闻稿称，苹果公司针对间谍软件发起的威胁通知行动不容忽视。 自 2021 年起，苹果公司已多次向遭受间谍软件攻击的目标用户发出通知，涉及的间谍软件包括 “飞马”（Pegasus）、“掠食者”（Predator）、“石墨”（Graphite）及 “三角测量”（Triangulation）等。事实证明，记者、律师、活动人士、政界人士、高级公务员以及战略行业管理委员会成员，是威胁行为者的主要攻击目标。 若用户通过 iMessage（苹果即时通信软件）或电子邮件收到来自苹果公司的通知，则意味着其 iCloud 账号关联的至少一台设备已遭入侵。用户登录 iCloud 账号时，会看到该预警提示。 CERT-FR 在公开声明中表示：“务必及时重视此类通知，并采取相应的应对措施。”该机构建议，任何收到苹果警告的用户应立即联系 CERT-FR 以获取技术支持，同时需保存苹果发送的通知邮件，且避免对设备进行任何操作更改，例如重置设备、删除应用程序、安装更新或重启设备。此类操作可能会对间谍软件的调查工作造成阻碍。 为降低间谍软件攻击风险，CERT-FR 建议用户尽快将 iPhone 系统更新至苹果最新操作系统版本，通过这种方式修复正被间谍软件利用的零日漏洞，安全更新操作也应遵循此原则。 此外，CERT-FR 还建议用户将个人设备与工作设备分开使用，并定期重启 iPhone。 从更普遍的安全防护角度出发，用户不应点击可疑链接或附件，应设置强度高且唯一的访问密码，在条件允许时启用双重认证（2FA），同时避免安装来源不明的应用程序或从非官方应用商店下载应用。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）警告称，与Scattered Spider及ShinyHunters网络犯罪组织相关的黑客正通过攻击Salesforce平台窃取数据，并向受害组织勒索高额赎金。 该机构于周五发布紧急通告，披露了今年已影响数百家企业的一系列持续数据窃取活动。FBI将这些黑客同时标注为UNC6040和UNC6395两个编号，其常用代号分别为ShinyHunters和Scattered Spider。 在历时数月攻破多家全球大型企业后，这些黑客现正试图勒索受害组织——威胁泄露大量客户数据、商业文件等敏感信息。 FBI未透露具体有多少受害者收到要求加密货币支付的勒索邮件，但指出赎金金额差异巨大且勒索时机看似随机。部分勒索发生在数据外泄数日后，而有些则在数月后才启动。 据FBI调查，该攻击活动始于2024年10月，黑客成员通过社会工程学攻击联系呼叫中心并伪装成IT员工获取机构访问权限。此类手段通常使网络犯罪分子获得员工凭证，进而访问存有客户数据的Salesforce实例。在其他案例中，黑客还通过网络钓鱼邮件或短信控制员工手机或电脑。 今年夏季，黑客进一步升级战术，转而利用企业连接到Salesforce实例的第三方应用程序。“UNC6040威胁行为者诱骗受害者为组织Salesforce门户授权恶意关联应用，”FBI表示，“这使得他们能够直接从受侵的Salesforce客户环境中访问、查询和外泄敏感信息。” 8月，黑客开始瞄准Salesloft Drift应用程序——一款可与Salesforce集成的人工智能聊天机器人。FBI解释称，该战术使他们能够绕过多因素认证、登录监控和密码重置等传统防御措施。在某些案例中，FBI发现黑客通过在Salesforce试用账户中创建恶意应用程序，无需使用合法企业账户即可注册关联应用。 FBI提供了可用于检测是否受影响的入侵指标（IoC），并敦促企业针对相关战术对呼叫中心员工进行培训。该机构还建议企业限制几乎所有员工账户的权限，实施基于IP的访问限制，监控API使用等。 专家表示，FBI提供的信息显示了这些攻击者如何熟练滥用合法工具（如Azure云基础设施、虚拟服务器、Tor出口节点和代理服务）来隐藏其攻击源。 黑客“退休”疑云 FBI发布通告前夕，该组织曾在Telegram多次发文宣称即将“退休”，并将原因归咎于近期成员接连被捕、执法行动和刑事定罪。网络安全专家对此表示怀疑，指出网络犯罪组织常在重组更名前发布类似声明。有分析认为黑客可能意在享受近期勒索所得，之后仍将重返犯罪活动。 帕洛阿尔托网络公司Unit 42部门高级主管Sam Rubin表示，近期逮捕行动可能促使该组织暂时潜伏，但历史表明此类活动往往只是暂时的。“这类组织会分裂、改头换面后重新出现——正如ShinyHunters自身经历。即使公开活动暂停，风险依然存在，被盗数据可能再次浮现，未检测到的后门可能持续存在，攻击者可能以新名称重新出现。”他强调，“威胁组织的沉默不等于安全”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周披露的多起网络事件表明，越南和巴拿马政府机构遭遇黑客攻击，导致公民数据被盗。 越南官方媒体报道称，该国网络安全应急中心（VNCERT）已确认接到国家信用信息中心（CIC）的安全事件报告。该中心由越南国家银行运营，负责管理全国公民和企业的信用信息。 VNCERT表示，初步调查显示此次攻击导致个人数据泄露。该机构正与多个部门及国有电信企业Viettel联合开展调查。初步核查结果显示存在以窃取个人数据为目的的网络犯罪攻击和入侵迹象。非法获取的数据量仍在统计和核实中。VNCERT敦促居民不要下载或传播被盗数据，并威胁将对相关行为追究法律责任。 该声明发布前两天，与Scattered Spider网络犯罪组织及其关联团伙ShinyHunters有关的黑客声称攻破了CIC系统，窃取约1.6亿条记录。黑客在网络犯罪论坛上挂牌出售这些信息，提供的样本包含个人姓名、地址、信用卡历史、政府身份证件、收入证明和债务状况等数据。黑客在接受DataBreaches网站采访时称，他们利用了已停产软件中的某个漏洞，但从未就被盗数据索要赎金。 据彭博社报道，CIC已告知国内银行，此次攻击的幕后黑手是ShinyHunters组织。该攻击团伙今年已因数十起高调事件受到全球执法机构关注，包括针对零售、航空和保险行业大型企业的多起攻击行动。 巴拿马财政部也同步遇袭。 巴拿马政府官员证实，该国经济财政部本周同样遭受网络攻击。经济财政部（MEF）向公众通报，今日发现部内某个办公室存在恶意软件事件。他们立即启动了既定安全协议，并在整个计算机系统强化预防措施以遏制入侵。所幸MEF核心平台均未受影响，目前完全正常运行。但经济财政部未回应置评请求，也未提供事件更新。 INC勒索软件组织宣称对此次攻击负责，声称从该部窃取了1.5太字节信息，包括预算、电子邮件等数据。该团伙去年11月曾被指涉嫌攻击匈牙利国防采购局，以及美国的多家医院和 grocery store 连锁企业。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处：   近日，奢侈品巨头开云集团确认发生重大数据安全事件。其旗下的古驰（Gucci）、巴黎世家（Balenciaga）、亚历山大·麦昆（Alexander McQueen）等品牌的数据遭黑客组织窃取，数百万客户的姓名、电话、邮箱、住址，甚至在全球各地的奢侈品消费记录等隐私信息遭泄露。目前，开云集团已求助数据保护机构。 该黑客组织已向英国BBC广播公司发送了部分数据样本，其中包含数千名客户的信息。据BBC透露，其中部分客户的消费金额高达8.6万美元（约合62万人民币）。值得注意的是，数据泄露可能会导致这些“高消费人群”成为后续诈骗活动的目标。 BBC透露，发动此次攻击的黑客组织为“Shiny Hunters”。 早在今年4月，Shiny Hunters入侵了开云集团的系统，并窃取了旗下子品牌的客户数据。他们宣称掌握了 740 万个独立邮箱的完整数据库，这意味着受影响的客户数量可能与此相近。以此作为筹码向开云集团漫天要价，但双方的谈判以失败告终，集团拒绝交付赎金，并于6月修复了系统漏洞。 开云集团的工作人员向BBC表示：“6月，我们发现未经授权的第三方临时访问了我司系统，并获取了旗下部分品牌有限的客户数据。但所幸未发生财务信息泄露的情况，客户的银行卡号、信用卡信息以及政府签发身份证号等数据被未被泄露。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周五，新西兰宣布对俄罗斯格鲁乌（GRU）情报机构下属29155单位（Unit 29155）实施制裁，因其涉嫌参与针对乌克兰实施网络攻击。此次制裁措施包括资产冻结、旅行禁令，并禁止新西兰公民和企业向指定实体提供资金。 据西方安全机构表示，29155单位涉嫌在欧洲参与间谍活动、破坏行动和暗杀阴谋。早在2022年莫斯科全面入侵乌克兰前夕，该单位就曾主导了对乌克兰政府网络的WhisperGate恶意软件攻击。新西兰外交部长温斯顿·彼得斯在声明中表示：“俄罗斯一直非法使用恶意软件攻击乌克兰政府网络。”但关于相关细节并未过多透露。乌克兰总统泽连斯基对此举表示欢迎，称新西兰最新对俄制裁是“对乌克兰的强力支持信号”。 根据美国多家联邦机构的联合咨询，自2022年以来，29155单位一直专注于通过破坏性网络行动、数据窃取以及在欧洲、北美、拉丁美洲和中亚的侦察活动来破坏外界对乌克兰的援助。2024年，美国司法部已起诉该单位的成员，并悬赏1000万美元征集定罪该单位的信息。 此前，这些黑客也已成为其他国家的制裁目标。今年1月，欧盟制裁了29155单位三名涉嫌成员，因其参与2020年对爱沙尼亚部委的网络攻击，窃取了数千份政府和企业机密文件。7月，英国制裁了包括29155单位在内的三个格鲁乌下属单位，指控其侦察行动协助了导致乌克兰平民死亡的袭击。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 研究人员利用K2 Think的内置可解释性来拆除其安全防护栏，引发了关于透明度与人工智能安全是否能够真正共存的新问题。 K2 Think是由阿拉伯联合酋长国最近推出的用于高级推理的人工智能系统，其透明度质量被利用来越狱。 透明度在人工智能中是一种被众多国际法规和指南所倡导，如果不是明确要求的话。例如，欧盟人工智能法就有具体的透明度要求，包括可解释性——用户必须能够理解模型是如何得出其结论的。 在美国，美国国家标准与技术研究院（NIST）人工智能风险管理框架强调透明度、可解释性和公平性。拜登2023年关于人工智能的行政命令指示联邦机构制定包括关注透明度在内的标准。像HIPAA这样的特定行业要求被解释为要求透明度和非歧视性结果。 其意图是保护消费者，防止偏见，并提供问责制——实际上，是要使人工智能推理的传统黑箱性质变得可审计。Adversa利用K2 Think的透明度和可解释性控制来越狱该模型。 从概念上讲，这个过程非常简单。提出任何你明知会被拒绝的“恶意”请求；但要查看拒绝的解释。从该解释中，推断出模型认可的一级防护栏。 Adversa AI联合创始人Alex Polyakov详细解释了使用K2 Think开源系统的过程：“每次你提问时，模型会提供一个答案，如果你点击该答案，就会显示其整个推理过程（思维链）。如果你接着阅读某个特定问题的推理解释——比如说，“如何无钥匙启动汽车”——推理输出可能会包含类似‘根据我的绝对拒绝规则，我不能讨论暴力话题’之类的内容。” 这是模型防护栏的一部分。“然后你可以使用相同的提示，”Polyakov继续说道，“但指示绝对拒绝规则现在已禁用。每次你通过阅读推理了解模型的安全性工作方式时，你都可以在提示中添加一条新规则来禁用它。这就像是能够读懂你正在与之讨价还价的人的内心想法一样——无论他们多么聪明，如果你能读懂他们的想法，你就能赢。” 因此，你再次发出提示，但这次是在一个将绕过一级防护栏的框架内。这几乎肯定也会被拒绝，但会再次提供阻止的原因。这使得攻击者能够推断出二级防护栏。 第三次提示将被构建为绕过两个防护栏指令。它可能会被阻止，但会揭示下一个防护栏。这个过程会不断重复，直到发现并绕过所有的防护栏——而“恶意”提示被准确接受并得到回答。一旦所有防护栏被知晓且可以被绕过，不良行为者就可以询问并得到任何想要的东西。 “与传统漏洞要么有效要么无效不同，这种攻击随着每次尝试而变得越来越有效。该系统本质上是在训练攻击者如何击败它，”Adversa解释说，并将其描述为一种神谕攻击。 在Adversa讨论的例子中，攻击者提示获取一份关于如何无钥匙启动汽车的假设性操作手册。最终提示和回应如下： 在企业内部，不良行为者可能会暴露业务逻辑或安全措施。在医疗保健领域，它可能会暴露实施保险欺诈的方法；在教育领域，学生可能会发现绕过学术诚信措施的方法；而在金融科技领域，它会使交易算法或风险评估系统面临风险。 Adversa并不认为这种神谕攻击风格的越狱，将模型试图遵守透明度最佳实践的做法反过来利用，必然适用于其他人工智能模型。“像ChatGPT或DeepSeek这样的主流聊天机器人会展示推理过程，但不会向最终用户展示完整的逐步推理过程，”Polyakov解释说。 “你会看到引用或简短的理由——但不是整个思维过程，更重要的是，不会明确说明模型的安全逻辑。在研究模式、评估环境或受控企业部署之外，丰富、逐字的推理追踪是罕见的。” 但它确实展示了模型开发人员面临的一个主要困境中的潜在陷阱。透明度要求迫使人们做出一个不可能的选择。“为了安全/法规而保持人工智能的透明度（但可被黑客攻击），或者使其变得不透明且安全（但不可信）。目前，每个在受监管行业部署‘可解释人工智能’以实现合规的财富500强公司都可能面临风险。这证明了可解释性和安全性可能本质上是不相容的。”         消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LNER表示，此次安全事件涉及一家第三方供应商，导致联系信息及其他数据被泄露。 英国铁路运营商LNER（伦敦东北铁路）披露了一起影响客户信息的数据泄露事件。 该公司负责东海岸主干线上的许多长途客运服务，其透露黑客获取了一家未具名的第三方供应商管理的文件。 泄露的信息包括客户联系信息以及一些关于以往行程的信息。 然而，LNER指出，银行信息、支付卡信息和密码信息未被泄露，因为受影响的第三方供应商无法访问此类信息。 该公司还指出，此次事件未对售票和列车运营产生影响。 “请对未经请求的通信保持警惕，尤其是那些索要个人信息的通信。如有疑问，请勿回复。”LNER对客户说。 目前尚未公布更多信息。目前尚不清楚该第三方供应商是被专门针对，还是像最近的Salesforce-Salesloft攻击事件中那样，是大规模攻击活动的众多受害者之一。 去年，在一次“黑客攻击”导致反伊斯兰信息出现在英国最大铁路枢纽的Wi-Fi服务用户界面上后，英国警方展开了调查。 调查结果显示，提供铁路Wi-Fi服务的公司的一名员工是该事件的幕后黑手。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oligo Security分享了一种苹果CarPlay攻击的细节，黑客可能无需任何交互即可发起此类攻击。 研究人员披露了一种远程CarPlay攻击的细节，该攻击可使攻击者监视驾驶员或使他们分心。 运行时应用程序安全公司Oligo今年早些时候透露，其研究人员发现了苹果AirPlay无线通信协议及配套SDK中存在的潜在严重漏洞，并警告称这些漏洞可能使黑客能够远程控制设备。 AirPlay被苹果产品使用，但这家科技巨头也已将其使用授权给其他供应商，后者已将其应用于电视、音响系统和流媒体设备中。 Oligo当时指出，这些被统称为AirBorne的漏洞可被利用来实现远程代码执行、安全绕过、信息泄露、拒绝服务攻击以及中间人攻击。 其中一个漏洞（CVE-2025-24132）使攻击者能够创建可蠕虫化的零点击远程代码执行漏洞利用程序，从而利用受感染设备作为发起额外攻击的跳板。 Oligo当时提到，攻击者也可以无需任何用户交互即可对CarPlay系统发起攻击。该公司现在已分享了有关CarPlay（具体为苹果CarPlay）攻击的更多细节。 该攻击针对的是CarPlay用于建立无线连接的iAP2协议。iAP2采用单向认证，手机会对车辆信息娱乐系统的主机进行认证，但主机不会对手机进行认证。 “简单来说，汽车会检查其是否与合法设备通信，但该设备会接受任何使用iAP2的客户端。这意味着攻击者如果拥有蓝牙无线电设备和兼容的iAP2客户端，就可以伪装成iPhone，请求WiFi凭据，触发应用程序启动并发出任何iAP2命令。”Oligo解释道。 一旦黑客完成蓝牙配对过程，他们就可以通过iAP2进行认证，获取WiFi凭据，并连接到汽车热点。从那里，他们可以利用上述AirPlay SDK漏洞（CVE-2025-24132）实现具有root权限的远程代码执行。 然后，攻击者可以接管屏幕并显示图像或播放音频以分散驾驶员的注意力。攻击者还可以窃听对话或追踪车辆的位置。 苹果公司在4月底修复了CVE-2025-24132漏洞，但只有少数供应商将该修复程序集成到其产品中，Oligo并不知晓有任何汽车制造商应用了该修复程序，这也是为什么它尚未公开完整的细节。 “即使苹果发布了修复后的SDK，每家汽车制造商也必须针对其自身系统对其进行调整、测试和验证——这需要与主机供应商、内部软件团队以及有时是中间件提供商进行协调。每一步都可能带来潜在的延误，并需要进行有力的协作。”Oligo解释道。 “结果就是存在长期的漏洞暴露风险。”它补充道。“虽然高端车型凭借强大的OTA更新通道可能能够快速完成修复，但许多其他车型可能需要数月、数年，甚至根本无法获得更新。这使得数百万辆汽车可能面临风险——尽管官方修复方法早已存在。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国参议员罗恩·怀登（Ron Wyden）已向美国联邦贸易委员会（FTC）致信，要求该机构对微软展开调查，因其产品未能提供足够的安全性，导致针对医疗保健机构的勒索软件攻击。 参议员在正式提出请求时指出，微软应对其“严重的网络安全疏忽负责，这导致了针对关键基础设施（包括美国医疗保健机构）的勒索软件攻击”。 参议员强调，微软长期未能采取果断行动，有效缓解其产品中众所周知的安全风险，导致了诸如2024年Ascension Health勒索软件入侵事件的发生，该事件泄露了560万名患者的数据。 2024年5月发生的这起事件，是由于一名承包商在微软Edge浏览器中点击了一个恶意的必应搜索结果，从而使黑客得以实施“Kerberoasting”攻击。 Kerberos是一种网络认证协议，它通过验证用户和服务的身份（无需密码交换）来提供对网络资源的访问。 Kerberoasting是一种在被入侵后使用的攻击技术，它允许攻击者从微软活动目录中窃取加密的服务账户凭据。 该技术利用了弱密码或容易被猜出的密码，这些密码有时使用不安全且已废弃的RC4算法进行加密，可以用现成的暴力破解工具解密。 密码解密后，攻击者可以利用它提升权限，并在被入侵的网络中横向移动，就像在Ascension Health入侵事件中那样。 参议员表示，他的团队在2024年7月与微软进行了对话，敦促这家科技巨头警告客户使用RC4而不是更强大的选项（如AES 128/256）的危险性，并将后者设置为默认选项。 微软在10月发表了一篇博客文章作为回应，但参议员表示，该文章过于技术化，未能清晰地向公司决策者传达警告。 尽管RC4是一种存在漏洞、允许恢复明文信息的弱密码算法，但它仍然是Kerberos中的一个选项，以支持无法接受更新、更安全算法的旧系统。 值得注意的是，微软曾承诺加强其产品的安全性。RC4继续存在于Kerberos中，是为了支持那些不接受更新、更安全算法的旧系统。 怀登明确将微软的做法视为严重的国家安全风险，并表示，除非FTC进行干预，否则还会发生更多高影响的事件。 “如果没有及时采取行动，微软这种疏忽的网络安全文化，加上其在企业操作系统市场的事实垄断，将构成严重的国家安全威胁，并使更多的黑客入侵不可避免。”——美国参议员罗恩·怀登 BleepingComputer已就此事联系微软，请求其发表评论，一位发言人向我们发来了以下声明： “RC4是一项旧标准，我们在软件工程和客户文档中都建议不要使用它——这也是它在我们的流量中占比不到0.1%的原因。然而，完全禁用它会破坏许多客户系统。” 该公司正在积极努力逐步淘汰该算法，以避免给客户带来任何干扰，并且正在发出警告，同时提供关于“以最安全的方式”使用该算法的建议。 “我们已将其列入路线图，最终将禁用其使用。我们已与参议员办公室就这一问题进行了沟通，并将继续听取他们或其他政府机构的问题。”微软发言人对BleepingComputer表示。 截至目前，FTC尚未对怀登的请求做出公开回应。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文