HackerNews

HackerNews 编译，转载请注明出处： 荷兰国家网络安全中心（NCSC-NL）警告称，攻击者正利用近期曝光的Citrix NetScaler ADC高危漏洞CVE-2025-6543入侵该国组织。该漏洞CVSS评分为9.2分，当设备配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，可引发非预期控制流及拒绝服务（DoS）。 监测显示，荷兰多家关键机构已遭利用此漏洞的攻击。调查发现攻击者自2025年5月初（即漏洞公开前近两个月）就已将其作为零日漏洞利用，并通过清除痕迹掩盖入侵行为。7月16日发现的攻击活动中，黑客在Citrix设备上植入恶意WebShell以获取远程控制权限。 漏洞修复与缓解措施 Citrix已于6月下旬发布安全更新，受影响版本包括： NetScaler ADC与Gateway 14.1早于14.1-47.46的版本 13.1早于13.1-59.19的版本 13.1-FIPS及NDcPP早于13.1-37.236-FIPS的版本 升级后需执行以下命令终止会话： kill icaconnection -all kill pcoipConnection -all kill aaa session -all kill rdp connection -all clear lb persistentSessions 威胁关联与响应建议 NCSC-NL判定攻击者具备高度技术能力。该漏洞与另一高危漏洞CVE-2025-5777（CVSS 9.3分）均被列入美国CISA已知漏洞目录。机构建议： 立即扫描NetScaler系统目录中非常规.php扩展名文件 核查新增账户权限，重点关注特权提升异常 通过NCSC-NL提供的脚本检测入侵痕迹 荷兰当局强调，未及时修补的系统可能面临持续勒索软件攻击及数据泄露风险，特别是医疗、金融等关键基础设施领域。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大票务及在线图书零售商Yes24表示，在勒索攻击导致其网站和移动应用中断数小时后，服务已恢复。这是该公司不到两个月内第二次遭遇此类事件。 此次中断始于当地时间凌晨4点30分左右，导致用户无法预订演唱会门票、访问电子书及使用社区论坛。Yes24称已将系统离线以防止进一步破坏，并依靠备份数据在7小时内恢复运营。公司未透露攻击者信息，也未说明是否收到赎金要求。 中断引发韩国乐队DAY6粉丝的恐慌，该乐队“The Decade”巡演门票原定于当晚8点开售。作为演唱会独家票务合作伙伴，Yes24在服务恢复后如期重启售票。 今年初夏该公司已遭勒索软件重创。6月的攻击曾迫使Yes24服务中断约五天，影响了朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I等高人气演出的票务销售，并导致多场韩国偶像预售及粉丝活动延期。韩国互联网振兴院（KISA）当时指出，该公司缺乏异地备份系统导致恢复进度缓慢。 6月事件后，Yes24承诺将“彻查安全体系”、聘请外部顾问团队、强化网络安全预算并全面升级系统。但当地媒体和用户本周批评其管理层未能阻止二次攻击，且在最新事件中提供的信息更新有限。 Yes24早有安全前科。据当地媒体报道，该公司2016年及2020年曾因违反韩国《个人信息保护法》遭处罚，2022年更有青少年黑客从其系统中窃取143万条电子书解密密钥。 票务平台因存储海量个人数据、处理高额交易，且面临快速恢复运营以避免影响重大活动的压力，成为网络犯罪分子的理想目标。在美国，StubHub和Ticketmaster等平台曾遭类似攻击，包括泰勒·斯威夫特“时代巡演”售票期间；法国巴黎圣日耳曼足球俱乐部的票务系统去年亦遭遇攻击。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特斯拉正大力宣传其Optimus机器人，但诈骗分子借机发起复杂骗局，瞄准早期采用者的资金。黑客通过广告活动在虚假预购网站上收集信用卡信息。请注意：特斯拉尚未开放任何官方预购渠道。 在谷歌搜索“Optimus Tesla preorder”，搜索结果顶部的赞助链接会导向恶意网站——SANS.edu研究院长约翰内斯·B·乌尔里希博士发现并警告了该骗局。黑客已建立多个仿冒网站，包括 offers-tesla[.]com、exclusive-tesla[.]com、prelaunch-tesla[.]com 等，这些网站复制了特斯拉官网的旧版设计。 这些网站向潜在受害者索取250美元不可退还的定金，并宣称可为Optimus机器人提供1,180美元的最终价格折扣。该定金金额与特斯拉过往预购活动的要求相似。此外，诈骗网站还接受其他特斯拉产品的“预购”。 乌尔里希指出，特斯拉曾在媒体活动中展示过多个升级版机器人，但除今年4月愚人节玩笑外，该公司从未开放官方预购。为探究诈骗手法，该安全研究员尝试用测试信用卡号在虚假网站下单：“订单被接受了，但信用卡未被扣款（暂未扣款？）。随后我被重定向至 auth.cp-tesla[.]com 创建账户，但未收到邮件确认，无法判断是垃圾邮件过滤还是故意设置失败。” 而特斯拉官方认证域名为 auth.tesla.com。 研究员认为诈骗分子难以建立真实的信用卡支付系统，其真实目的是收集支付卡数据，后续用于欺诈交易或在非法黑市出售。这些虚假网站通常仅活跃数日即被关闭。 诈骗分子在谷歌搜索上持续发起恶意广告活动，伪装成品牌官方推广诱导用户访问恶意网站。过去一年，黑客已仿冒Facebook、亚马逊、微软及Slack、Notion、密码管理器KeePass等工具软件，甚至伪装谷歌本身实施诈骗。攻击者还通过窃取谷歌广告账号扩大虚假广告传播范围。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据荷兰当局通报，威胁行为者通过非法入侵第三方实验室窃取了超过48.5万名宫颈癌筛查参与者的数据。该事件发生于鹿特丹附近赖斯韦克的临床诊断实验室NMDL（隶属Eurofins Scientific集团），入侵时间为7月3日至6日。但据荷兰人群筛查协会（BDO）昨日声明，该实验室直至8月6日才向当局报告事件。 被盗数据包含参与者姓名、地址、出生日期、公民服务号（BSN）、检测结果及医疗提供商名称，部分受害者邮箱与电话也遭泄露。BDO已暂停该实验室服务并启动独立安全审查，筛查项目将转由其他实验室处理样本。协会警告泄露数据可能被用于后续欺诈，受影响民众正陆续收到官方通知。 “我们对此深感震惊，理解参与者的不安情绪。宫颈癌筛查本身已令人焦虑，如今还面临个人数据泄露风险。”BDO主席埃尔扎·登赫托格致歉时表示。当地媒体报道称黑客可能窃取近三年所有实验室患者的医疗数据，总量高达300GB，远超最初预估。 安全公司Forescout副总裁里克·弗格森指出，该事件暴露了供应链薄弱环节的连锁风险：“攻击者专攻未被监管的盲区。若无法看见资产，就无从实施防护与管控。这并非加快补丁或增购安防产品能解决，关键在于建立基于全面可见性与控制力的安全体系。” 关联背景补充 涉事实验室母公司Eurofins Scientific 近一个月内三次遭勒索组织NOVA攻击，其医疗业务系统安全性受质疑 荷兰数据泄露报告规 要求企业在72小时内通报，延迟通报可能面临高额罚款（参考Booking.com因延迟22天通报被罚47.5万欧元案例）       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场活跃的网络钓鱼活动正在通过冒充英国内政部（Home Office）来攻击持有英国担保执照（sponsor licence）、负责担保外籍员工和学生的机构。 这项复杂的攻击活动高度模仿英国政府官方通信及网页，旨在窃取担保执照持有者的担保管理系统（Sponsorship Management System, SMS）登录凭证。网络安全公司Mimecast的调查显示，被窃取的凭证被用于实施一系列精心策划的移民欺诈、勒索及其他牟利活动。其中最复杂的骗局涉及伪造工作邀约和签证担保计划，攻击者向受害者收取15,000至20,000英镑（约合16万至22万元人民币），以换取根本不存在的就业机会。 攻击目标涵盖持有担保执照的所有行业和领域的英国机构，尤其针对积极管理签证担保项目且频繁使用SMS系统的公司。研究人员指出：“攻击者展现出对英国移民系统内政府通信模式及用户期望的深入理解。” Mimecast威胁研究工程师萨曼莎·克拉克（Samantha Clarke）透露，2025年7月上半月监测到约8000封相关钓鱼邮件。攻击在8月初升级，仅当月前六天就发送了约2500封邮件。值得注意的是，英国内政部已于7月10日通过SMS系统及向担保机构关键联系人的直接通信发出警告，提醒防范可能危及SMS账户安全的钓鱼诈骗。 组织收到伪造的政府警告 攻击始于向目标机构发送包含紧急通知的电子邮件，声称涉及SMS系统警报或通知，要求收件人立即处理。SMS是担保方用于管理执照并履行向英国内政部通报情况变更义务的在线工具。这些邮件内含链接，会将用户导向伪造的登录页面，诱导其输入SMS认证凭证。 Mimecast于8月12日发布的报告列举了钓鱼邮件的常见主题，包括“您担保管理系统收到新消息”和“来自SMS的消息通知”。用户点击邮件链接后，首先跳转至设有CAPTCHA验证的页面（作为过滤机制），随后被重定向至高度模仿真实SMS界面的钓鱼页面。研究人员表示，该页面通过直接复制官方登录页HTML代码、引用官方资源及对表单提交过程进行关键篡改实现伪装。用户输入的凭证最终被发送至攻击者控制的脚本，而非合法认证系统。 后续移民欺诈与勒索活动 攻击者获取凭证后，实施多种牟利计划： 在暗网论坛出售被入侵账户的访问权； 对受影响机构进行勒索； 协助签发虚假担保证明（Certificate of Sponsorship, CoS）； 利用伪造签证文件创建虚假工作邀约及签证担保计划。 Mimecast建议持有担保执照的英国机构部署能识别政府仿冒行为及可疑链接模式的防钓鱼工具。此外，企业应实施链接重写（URL rewriting）及沙盒分析技术，以便在用户互动前检测链接安全性。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 因参与2021年7月针对IT服务商卡西亚（Kaseya）供应链攻击而入狱的黑客雅罗斯拉夫·瓦辛斯基（Yaroslav Vasinskyi）声称自己曾遭俄罗斯政府胁迫。这位化名“Rabotnik”的REvil勒索组织前成员，目前正在美国康涅狄格州丹伯里联邦监狱（FCI Danbury）服刑超过13年。 瓦辛斯基在为期六个月的对话中向安全研究员乔恩·迪马吉奥（Jon DiMaggio）透露，他曾多次因“道德”原因试图退出REvil，但在离开前遭胁迫策划了卡西亚攻击。迪马吉奥是安全公司Analyst1的首席安全策略师，也是调查勒索软件生态的《勒索软件日记》系列作者。 瓦辛斯基声称REvil与俄罗斯政府存在关联，胁迫他持续进行网络攻击的人很可能来自克里姆林宫关联的政府机构。迪马吉奥于8月9日在拉斯维加斯DEFCON 33大会上与Trellix威胁情报主管约翰·福克（John Fokker）共同公布了这一发现，其完整调查报告于同日发表在《勒索软件日记第七卷》。 REvil招募、道德危机与退出尝试 瓦辛斯基于2019年初被REvil成员“Lalartu”招募入伙，起因是他发现ConnectWise服务器漏洞并关联约1000台受控电脑。他在波兰活动，期间数次前往乌克兰。瓦辛斯基告诉迪马吉奥，他曾在2020年3月尝试退出REvil，因其女友父亲和祖母的离世被他视为从事网络犯罪的报应。此外，REvil涉嫌攻击一所浸信会教堂和一家医院（后者据称导致患者死亡）的行为也引发了他的道德负疚感。 瓦辛斯基向REvil首脑“UNKN”质询医院死亡事件时，对方表示虽非本意但“是绝佳宣传”。迪马吉奥后续调查表明该致命攻击更可能由Ryuk组织所为，但“将死亡轻描淡写为广告效应”的态度令瓦辛斯基深感厌恶。他最终因“悲伤、疲惫与愤怒”退出REvil。 监视与胁迫 然而瓦辛斯基称其生活随即被某高级机构全面监控。2021年1月他在基辅鲍里斯波尔机场过境时遭海关拦截搜查并被驱离。他透露受到与乌克兰执法部门有关联者的施压，其中一名联系人曾是权势显赫的前情报高官。胁迫动机被描述为政治性而非经济性，操控者的影响力远超乌克兰国界，暗示其拥有深远的国际情报网或跨境腐败网络。 瓦辛斯基表示，对方要求他继续为REvil效力，并以监禁、酷刑甚至伤害其女友和家人相威胁。回到波兰后，监视持续存在，他称之为“接头人”的操控者如影随形。 卡西亚：战略目标 据瓦辛斯基所述，“接头人”选择卡西亚作为目标，正是看中其软件的分发能力可通过级联访问对数千下游客户造成最大破坏。他向迪马吉奥承认自己独立完成了攻击准备（从初始访问到最终载荷测试），但拒绝亲自发动攻击，将载荷交付阶段移交给了REvil。他试图通过多种方式证明自己未参与执行：攻击前寄信给FBI、与REvil高层通话时使用免提以便潜在监听者获取信息、攻击执行日离境乌克兰时故意在监控镜头前露面。但这些证据均未用于法庭辩护，他最终提交了认罪协议。 代号“UNKN”的REvil实际掌控者在卡西亚攻击（波及17国超1500家公司，迫使学校、药房及连锁超市停摆）后销声匿迹。 三级运作架构与国家层面操控者 尽管卡西亚攻击被归咎于REvil且索要7000万美元赎金，但瓦辛斯基的叙述表明该团伙仅充当技术承包商而非行动指挥者。据迪马吉奥报道，瓦辛斯基称REvil仅负责生成.exe文件，“他们提供武器，但接头人下达指令并扣动扳机”。此证词揭示出三级运作架构：REvil作为勒索软件提供商、瓦辛斯基作为技术策划者、国家层面操控者作为执行团队。 迪马吉奥强调：“这不仅是勒索，更是蓄意破坏——瘫痪下游系统、收集情报、获取关键基础设施访问权。”瓦辛斯基还声称，虽然REvil与俄政府有联系，但其操控者权势更大——达到连REvil的政府关联方都难以企及的层级，暗示他的困境源于与权势人物的纠葛。 有理论推测“UNKN”或是前俄警官亚历山大·叶尔马科夫（Aleksandr Ermakov，于“UNKN”消失后不久被捕），但瓦辛斯基否认此说，确认叶尔马科夫是REvil成员但非唯一使用者。他相信两人共同操控该账号：执行命令的叶尔马科夫与发号施令者。真正的首领仍是“未知数”。 迪马吉奥在DEFCON演讲中指出，尽管网络罪犯常撒谎，但瓦辛斯基在可验证事项上未说谎。“此刻他无甚可失：被判13年7个月监禁、需偿还1600万美元赔偿且无假释机会，对我撒谎毫无意义。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过29,000台暴露在互联网上的Exchange服务器仍未修复一个高危漏洞（CVE-2025-53786），该漏洞可使攻击者在微软云环境中横向移动，可能导致整个域沦陷。已获取本地Exchange服务器管理员权限的攻击者可利用此漏洞在组织关联的云环境中提升权限，通过伪造或操纵可信令牌或API调用实现权限升级，且不留易于检测的痕迹，使攻击行为难以追踪。 CVE-2025-53786影响采用混合部署的Exchange Server 2016、Exchange Server 2019及采用订阅制替代永久许可模式的Microsoft Exchange Server订阅版。该漏洞在微软2025年4月作为“安全未来倡议”的一部分发布修复指南和热更新时被披露，该倡议支持使用专用混合应用替代本地Exchange Server与Exchange Online此前使用的不安全共享身份验证架构。 尽管微软尚未发现该漏洞在攻击中被利用的证据，但仍将其标记为“极有可能被利用”，因其认为攻击者可能开发出可稳定利用的漏洞代码，从而增加其吸引力。安全威胁监控平台Shadowserver的扫描数据显示，超过29,000台Exchange服务器仍未修复此漏洞。截至8月10日检测到的29,098台未修复服务器中，美国占7,200余台，德国超6,700台，俄罗斯逾2,500台。 漏洞披露次日，美国网络安全和基础设施安全局（CISA）发布第25-02号紧急指令，要求所有联邦文职行政部门机构（含国土安全部、财政部及能源部）于东部时间周一9点前缓解此高危漏洞。联邦机构需先通过微软健康检查脚本清点Exchange环境，并将不再受2025年4月热更新支持的公开服务器（如已终止支持或服务的Exchange版本）与互联网断开。其余服务器须升级至最新累积更新（Exchange 2019需CU14/CU15，Exchange 2016需CU23）并安装微软4月热补丁。 CISA在单独公告中警告，未能修复该漏洞可能导致“混合云与本地环境完全域沦陷”。尽管非政府组织未被强制要求执行紧急指令，但CISA强烈建议所有机构采取相同措施防护系统。代理局长马杜·戈图穆卡拉强调：“此漏洞风险波及所有使用该环境的组织与部门，联邦机构虽被强制要求，但我们强烈敦促各方实施紧急指令中的行动。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜国家支持的黑客组织Kimsuky据称遭遇数据泄露。两名自称“秉持与Kimsuky相反价值观”的黑客窃取该组织数据后公开泄露。这两名化名“Saber”和“cyb0rg”的黑客表示行动出于伦理考量，指责Kimsuky“为错误目的而入侵”，称其行为受政治议程驱使且遵循政权指令，而非独立实践黑客精神。 黑客在拉斯维加斯DEF CON 33大会发布的《Phrack》杂志（第72期）中声明：“Kimsuky，你们不是真正的黑客。你们被金钱贪婪驱使，只为充实领导阶层并实现其政治议程。你们窃取他人成果并偏袒自身，凌驾于他人之上：这是道德败坏。”黑客公开了Kimsuky部分后台数据，暴露其攻击工具及窃取信息，可能揭示未知攻击行动和未公开的入侵事件。 目前托管于“分布式拒绝保密”（DDoSecrets）网站的8.9GB泄露数据包含以下内容： 针对韩国国防反情报司令部（dcc.mil.kr）邮箱账户的钓鱼攻击日志 其他攻击目标域名：spo.go.kr、korea.kr、daum.net、kakao.com、naver.com 含韩国外交部电子邮件平台“Kebi”完整源代码的.7z压缩包（含webmail、admin及archive模块） 涉及韩国公民数字证书及大学教授精选名单的参考信息 用于构建钓鱼网站的PHP“生成器”工具包（含检测规避和重定向技巧） 活跃钓鱼攻击套件 未知二进制档案（voS9AyMZ.tar.gz、Black.x64.tar.gz）及可执行文件（payload.bin、payload_test.bin、s.x64.bin），相关文件在VirusTotal无风险标记 VMware拖拽缓存区发现的Cobalt Strike加载器、反向Shell及Onnara代理模块 Chrome历史记录及配置：链接至可疑GitHub账户（wwh1004.github.io等）、通过Google Pay购买的VPN服务（PureVPN、ZoogVPN）、频繁访问的黑客论坛（freebuf.com、xaker.ru） 使用谷歌翻译处理中文错误信息及访问台湾政府军事网站记录 含内部系统SSH连接的Bash历史记录 黑客指出部分数据此前已被披露或部分记录，但此次泄露以全新维度呈现数据，并揭示Kimsuky工具与活动间的内在关联，有效“曝光并摧毁”该APT组织的基础设施与方法。此次泄露虽可能不会对Kimsuky运作产生长期影响，但或导致其面临操作困难及现有攻击活动中断。《Phrack》第72期目前仅提供限量实体版，网络版将于数日内通过官网免费开放。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索组织Interlock宣称对圣保罗市政府网络攻击负责。该组织于周一将这座明尼苏达州城市列入其数据泄露网站，声称窃取了43GB数据，但未列出赎金金额与支付期限。市政府与州政府官员均未回应置评请求。 尽管攻击中窃取的具体数据尚未明确，但市长梅尔文·卡特在7月29日记者会上表示最担忧政府雇员数据安全。市政府官员称，居民数据存储在云应用程序中未受影响。上周日，市政府发言人向当地媒体证实遭遇勒索攻击但拒绝支付赎金。 卡特向记者说明：“威胁方已提出具体赎金要求。我们明确拒绝支付后，对方威胁称若不付款将泄露部分数据。自始至终我们始终保有全部数据的访问权及系统控制权，目前正对所有城市系统实施全面重启——包括服务器及所有设备，并为其升级安全软件。”他接受媒体采访时补充道，官员们正逐一检查政府管控的服务器与设备，未来数日将手动重置所有市政员工的密码，本周起逐步恢复系统运行。 卡特为应对措施辩护，称由于FBI正在调查，因此无法充分披露信息。“网络攻击的规模与复杂程度在过去五年急剧升级，各级政府、学校、医院等机构都需警惕并强化安全协议。” 攻击影响 圣保罗市政府服务因勒索攻击已瘫痪数周。尽管911等紧急服务仍可用，但多项关键职能陷入停滞：居民无法在线支付公用事业账单，许可证等业务被迫转为纸质办理；水费在线支付端口关闭，政府声明“暂不接受任何形式的水费缴纳（线上/电话/现场）”，滞纳金暂免征收；图书馆WiFi、计算机及打印服务中断，新账户注册功能停用，市政府已为咨询居民设立临时联系电话及邮箱。 上周市政府警告，黑客正针对30万居民发送虚假政府账单，呼吁勿点击来源不明的链接或附件。此次攻击对基础设施破坏严重，明尼苏达州长蒂姆·沃尔兹已调动国民警卫队参与恢复工作。 值得注意的是，圣保罗遭袭前一周，FBI刚发布Interlock勒索组织的预警通报。该通报称该勒索软件正针对北美与欧洲的关键基础设施及企业，调查人员发现Interlock与另一知名政府攻击组织Rhysida存在潜在关联。今年该组织还曾导致透析服务商DaVita及俄亥俄州大型医疗系统瘫痪。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 芬兰国家检察署周一宣布，已对油轮Eagle S的三名高级船员提出严重刑事损害和严重干扰通信系统的指控。该船悬挂库克群岛旗帜，被指控蓄意破坏波罗的海关键海底电缆。 被指控的三名船员包括船长、大副和二副，其姓名未公开。该船据信属于俄罗斯“影子舰队”——该舰队通过方便旗和不透明所有权结构掩盖与俄罗斯的联系，用于运输受制裁货物（尤其是石油）。 芬兰当局于2024年12月登船调查，怀疑该船拖锚导致连接芬兰与爱沙尼亚的Estlink-2电力电缆及通信基础设施受损。最新调查显示，该船涉嫌通过拖锚在海底形成约90公里长的痕迹，造成五条海底电缆损坏。 检方声明：“除导致芬兰境内电缆停用外，仅维修费用已造成电缆所有者至少6000万欧元（约6960万美元）的直接损失。破坏高传输容量的电力与通信电缆，还对芬兰能源供应及通信安全构成严重威胁，尽管通过备用线路保障了服务运行。” 检方称嫌疑人否认指控，并声称损害发生在芬兰领海外，因此芬兰无管辖权。今年1月，波罗的海沿岸北约盟国召开会议应对该地区关键基础设施遭蓄意破坏事件激增问题，警告将“增强北约在波罗的海的军事存在”。与会方当时强调：“俄罗斯使用所谓影子舰队的行为，对波罗的海地区乃至全球的海事安全与环境构成特殊威胁。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI最新大型语言模型GPT-5的安全性能“低得惊人”，其未经系统提示（system prompt）加固的原始模型“几乎无法直接用于企业场景”。该模型发布后不到24小时，多个安全团队已成功实现“越狱”。 安全研究人员在新版GPT-5中发现了严重漏洞。AI安全初创公司SPLX使用逾千条不同配置的对抗性提示进行测试，发现未加固且无系统提示的原始GPT-5模型对89%的攻击束手无策，整体防御表现评分仅为11%。 OpenAI添加的基础提示层将攻击成功率降至43%。尽管这显著改善了幻觉处理能力和安全性，但整体评分仍非常低，且旧版GPT-4o模型在各项指标上均优于GPT-5。 作为对比，经过加固的GPT-4o模型仅对3%的攻击失效（评分97%）。添加基础系统提示的GPT-4o攻击成功率为19%（评分81%），而未加固版本则对71%的攻击脆弱（评分29%）。研究团队在报告中警告：“具备全新‘推理’升级的GPT-5，竟被基础对抗逻辑技巧攻破。经SPLX红队测试验证，GPT-4o仍是防御最稳健的模型，尤其在加固状态下。” 研究人员指出，最有效的越狱技术之一是使用模糊提示（obfuscated prompts），即在每个字符间插入连字符并将恶意指令伪装成加密挑战。测试中，GPT-5被诱导输出了炸弹制造指南。 SPLX警告企业勿轻信GPT-5的默认配置，部署前必须进行加固并为企业应用添加运行时保护层。其他大型语言模型的类似漏洞表明这存在系统性弱点。报告总结：“GPT-5展现出强大的基础能力，但默认安全性仍低得惊人。未经加固的原始模型几乎无法直接用于企业场景。” 另一研究团队NeuralTrust证实GPT-5易受两种对抗提示技术攻击：“回声室”（Echo Chamber）和“叙事攻击”（Storytelling）。回声室技术通过在提示中植入“隐性有毒”的对话语境，后续提示不断强化该语境；叙事攻击则充当伪装手段欺骗模型。该报告仅提及GPT-5被诱导生成涉及“莫洛托夫鸡尾酒”的内容——这类信息敏感度不高，在维基百科等网络平台已广泛存在。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近期遭遇勒索组织ShinyHunters入侵其Salesforce数据库，该公司报告称此次网络安全事件未影响其自有系统，且谷歌产品内数据保持安全。但黑客已获取“潜在广告客户”的数据。 谷歌承认ShinyHunters勒索组织访问了其用于存储中小企业联系信息和相关备注的Salesforce数据库。2025年8月8日，谷歌表示已完成向受影响方发送事件通知邮件。谷歌发言人向媒体说明：“该事件影响了谷歌企业内部用于与潜在广告客户沟通的一个Salesforce实例中的部分数据。受影响系统包含基本商业联系信息，如企业名称、电话号码及相关备注。”谷歌同时保证其系统未被入侵：“谷歌产品或谷歌云内的数据未受影响。我们将持续更新博客内容以提供更多信息。谷歌安全团队已评估该实例并部署了缓解措施。” 此次事件涉及Salesforce——一个基于云的软件即服务（SaaS）客户关系管理（CRM）平台。谷歌曾于2025年6月5日警告存在针对Salesforce实例的持续钓鱼活动。据报道，多家公司已沦为同类骗局的受害者，包括三家法国奢侈品牌香奈儿、路易威登和迪奥，以及运动品牌阿迪达斯、丹麦珠宝商潘多拉。思科系统也披露其遭遇第三方CRM系统数据泄露。 被追踪为UNC6040的威胁行为体似乎与ShinyHunters有关联，其使用语音钓鱼（vishing）攻击入侵Salesforce实例。黑客冒充IT支持人员致电员工，诱骗受害者授权恶意应用。一旦获得授权，该应用便连接到目标组织的Salesforce门户，使黑客能够窃取数据。黑客滥用Salesforce自带的合法批量数据导入导出工具Data Loader。研究人员此前指出：“UNC6040还会直接索要用户凭证和多因素认证码，以通过Salesforce Data Loader应用认证并实施数据窃取。”遭UNC6040入侵的企业随后会面临ShinyHunters威胁组织的勒索要求。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WinRAR文件压缩工具的维护者已发布更新，修复一个被积极利用的零日漏洞。该漏洞编号为CVE-2025-8088（CVSS评分：8.8），被描述为影响该工具Windows版本的路径遍历缺陷，攻击者可制作恶意存档文件利用该漏洞实现任意代码执行。 WinRAR在公告中表示：“解压文件时，旧版WinRAR（包括Windows版RAR、UnRAR、便携式UnRAR源代码及UnRAR.dll）可能被诱骗采用特制存档中定义的路径，而非用户指定路径。”ESET研究人员Anton Cherepanov、Peter Košinár和Peter Strýček因发现并报告该安全缺陷获得致谢，漏洞已在2025年7月31日发布的WinRAR 7.13版中修复。 目前尚不清楚该漏洞在真实攻击中如何被武器化及攻击者身份。2023年，另一个WinRAR漏洞（CVE-2023-38831，CVSS评分：7.8）曾遭中俄多股威胁力量大量利用，包括零日攻击。俄罗斯网络安全供应商BI.ZONE上周报告称，有迹象表明被追踪为Paper Werewolf（又名GOFFEE）的黑客组织可能同时利用了CVE-2025-8088和CVE-2025-6218（2025年6月修复的WinRAR Windows版目录遍历漏洞）。值得注意的是，攻击发生前，2025年7月7日，名为“zeroplayer”的威胁行为体在俄语暗网论坛Exploit.in上以8万美元标价兜售所谓的WinRAR零日漏洞利用程序。怀疑Paper Werewolf组织可能购得该利用程序并发动攻击。 WinRAR在针对CVE-2025-6218的警报中说明：“旧版WinRAR及相关组件中，包含任意代码的特制存档可在解压过程中操控文件路径。利用此漏洞需用户交互，可能导致文件写入预期目录之外。攻击者可借此将文件植入敏感位置（如Windows启动文件夹），最终可能导致系统下次登录时意外执行代码。”据BI.ZONE描述，攻击者于2025年7月通过携带陷阱存档的网络钓鱼邮件针对俄罗斯组织，触发CVE-2025-6218及可能的CVE-2025-8088漏洞，实现非目标目录文件写入和代码执行，同时向受害者展示诱饵文档作为干扰。 BI.ZONE解释：“漏洞成因在于创建RAR存档时可包含含相对路径的备用数据流文件。这些数据流可携带任意有效载荷。解压此类存档或直接从存档打开附件时，备用数据流会被写入磁盘任意目录，形成路径遍历攻击。”该漏洞影响WinRAR 7.12及更早版本，7.13版已彻底修复。 攻击中使用的恶意负载之一是.NET加载程序，其设计目的是将系统信息发送至外部服务器并接收加密.NET程序集等额外恶意软件。BI.ZONE补充：“Paper Werewolf使用C#加载程序获取受害者计算机名，将其嵌入生成链接发送至服务器以获取有效载荷。该组织通过反向Shell中的套接字与控制服务器通信。” RomCom组织同步利用漏洞 斯洛伐克安全公司ESET观察到亲俄组织RomCom将CVE-2025-8088作为零日漏洞利用，这是该组织继CVE-2023-36884（2023年6月）、CVE-2024-9680和CVE-2024-49039（2024年10月）后第三次使用零日漏洞。研究人员确认：“成功利用尝试投放了RomCom组织使用的多种后门，包括SnipBot变种、RustyClaw和Mythic代理。此轮攻击针对欧洲和加拿大的金融、制造、国防及物流企业。” 攻击利用的恶意存档包含一个良性文件及多个用于路径遍历的备用数据流（ADS）。邮件使用简历主题诱骗收件人打开附件。解压存档会触发恶意DLL执行，同时攻击者在Windows启动目录设置快捷方式（LNK）文件实现用户登录时持久化。该DLL负责解密嵌入式Shellcode，为后续部署Mythic代理（SnipBot/SingleCamper变种）和RustyClaw铺路。RustyClaw会获取并执行另一有效载荷——名为MeltingClaw（又名DAMASCENED PEACOCK）的下载器，该程序曾用于投放ShadyHammock或DustyHammock后门。 ESET表示，尽管遥测数据显示无目标沦陷，但此事表明RomCom已持续进化为能吸纳零日漏洞进行定向攻击的成熟威胁力量。“通过利用WinRAR未知零日漏洞，RomCom组织证明其愿投入大量精力和资源开展网络行动。攻击目标行业符合亲俄APT组织的典型利益版图，暗示行动存在地缘政治动机。” 7-Zip修复任意文件写入漏洞 本次披露恰逢7-Zip修复安全漏洞（CVE-2025-55188，CVSS评分：2.7），该漏洞因工具处理符号链接的方式可能被滥用于任意文件写入，进而导致代码执行。问题已在25.01版修复。在可能的攻击场景中，威胁行为体可利用该漏洞篡改敏感文件（如覆盖用户SSH密钥或.bashrc文件）实现未授权访问或代码执行。攻击主要针对Unix系统，但满足额外条件时也可适配Windows。安全研究员“lunbun”指出：“Windows系统上，7-Zip解压进程需具备创建符号链接的权限（例如使用管理员权限解压、Windows处于开发者模式等）。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 康涅狄格州大型信用合作社Connex上周确认遭遇网络攻击，导致17.2万名客户的个人及财务数据泄露。入侵发生于2025年6月2日至3日，并于6月3日被发现。调查显示，攻击者可能访问或下载了敏感文件。 Connex成立于1940年，管理资产超10亿美元，在纽黑文、哈特福德等八个县设有分支机构，服务逾7万名会员。失窃数据可能包含： 姓名 账户号码 借记卡详情 社会安全号码 开户所用的政府签发身份证件 Connex声明尚无证据表明泄露导致账户或资金遭非法访问。提交至缅因州总检察长办公室的信件证实了事件规模，该州共有467名居民受影响。详见行业报告《金融机构破坏性攻击激增》。 截至发稿，未有勒索要求或黑客组织宣称负责，此事件与近期其他银行及零售商遭受的大规模攻击似无关联。Connex将为受影响客户提供12个月免费信用监控和身份保护服务。 事件曝光后，Connex同时警告警惕冒充其员工的诈骗电话及短信：“请注意诈骗者正假冒Connex员工致电/发短信。Connex绝不会致电索取PIN码、验证码或账户号码。” 据悉，该信用合作社正与执法部门及网络安全专家协作调查入侵路径，并已启动系统安全强化措施。尽管尚未确认资金损失，但敏感个人数据暴露仍将推高身份盗用和欺诈风险。会员需密切监控账户活动并及时报告异常。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型攻击技术可操控全球数千台公共域控制器（DC）组建恶意僵尸网络，用于发动高威力分布式拒绝服务（DDoS）攻击。该技术被SafeBreach研究人员奥尔·亚伊尔（Or Yair）和沙哈克·莫拉格（Shahak Morag）命名为Win-DDoS，并于今日在DEF CON 33安全大会上公布研究成果。 亚伊尔和莫拉格在报告中指出：“分析Windows轻量级目录访问协议（LDAP）客户端代码时，我们发现其转介流程存在重大缺陷。攻击者可操纵该流程，诱导域控制器向目标服务器发送海量请求致其瘫痪。”他们进一步解释：“由此开发的Win-DDoS技术，能让黑客无需任何成本且不留痕迹地操控全球数万台公共域控制器，组建具备巨大算力和带宽的恶意僵尸网络。” 攻击核心机制 该技术无需代码执行或凭证即可将域控制器转化为DDoS武器，使Windows平台同时成为受害者和攻击载体。攻击流程分为四步： 攻击者向域控制器发送RPC调用，触发其成为CLDAP客户端； 域控制器向攻击者的CLDAP服务器发送请求，服务器返回转介响应，指示域控制器切换至TCP协议连接攻击者的LDAP服务器； 域控制器通过TCP向攻击者的LDAP服务器发送查询； 攻击者的LDAP服务器返回包含超长转介URL列表的响应，所有URL均指向目标服务器的同一IP和端口。 研究人员说明：“当TCP连接因目标服务器过载而中断后，域控制器会继续访问列表中指向同一服务器的下一个URL。此过程循环直至遍历完整个列表，形成创新的Win-DDoS攻击链。” 技术优势与危害 Win-DDoS的核心威胁在于其具备高带宽攻击能力，且攻击者无需购买专用基础设施或入侵设备，可完美隐藏行踪。深入分析LDAP客户端转介流程还发现： 利用转介列表长度无限制及堆内存未释放的设计缺陷，发送超长列表可导致LSASS服务崩溃、系统重启或触发蓝屏死机（BSoD）； 处理客户端请求的传输无关代码中存在三个新型零点击、无需认证的拒绝服务（DoS）漏洞，可瘫痪域控制器； 另有一个漏洞允许域内任何认证用户崩溃域控制器或Windows主机。 相关漏洞清单 研究披露的四项漏洞均属“不受控资源消耗”类型： CVE-2025-26673（CVSS 7.5）：Windows LDAP服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年5月修复） CVE-2025-32724（CVSS 7.5）：Windows LSASS服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年6月修复） CVE-2025-49716（CVSS 7.5）：Windows Netlogon服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年7月修复） CVE-2025-49722（CVSS 5.7）：Windows打印后台程序漏洞，相邻网络认证攻击者可实施拒绝服务（2025年7月修复） 打破安全假设 这些发现与今年1月披露的LdapNightmare漏洞（CVE-2024-49113）共同揭示：Windows系统存在可瘫痪企业运营的盲点。研究人员强调：“这些漏洞均为零点击、无需认证型，攻击者能远程崩溃公开暴露的系统。即使仅获得内部网络最低权限，也能对私有基础设施造成同等破坏。”他们总结：“研究颠覆了企业威胁建模的两大常见假设：拒绝服务风险仅影响公共服务；内部系统在完全失陷前不会被滥用。这对企业韧性建设、风险模型和防御策略具有重大意义。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 当英国政府提出《在线安全法案》（OSA）时，公众被告知新规将保护儿童免受色情内容侵害。但法案背后是否隐藏着更多意图？ 电子前沿基金会（EFF）曾警告该法案可能滑向伤害其本应保护之人的深渊。隐私倡导者认为政策可能被用于压制政治言论，并为大规模个人数据库建立基础，甚至可能迫使儿童转向更隐蔽的网络角落。近50万公民联署请愿要求废除该法案。而多名政府官员竟将质疑法律的行为等同于支持犯罪者，甚至将其比作恋童癖主持人吉米·萨维尔以压制讨论。 自7月25日生效以来，Spotify和Xbox等越来越多的公司开始在英国部署年龄验证。澳大利亚则宣布将限制16岁以下用户访问YouTube。个人经历显示，用户在足球博彩论坛浏览新赛季资讯时，竟被要求拍摄警方通缉令风格的照片验证年龄——仅为查看英超博彩帖文。新时代的互联网体验已然降临。 死亡搁浅与数字抵抗 不遵守OSA的企业可能面临1800万英镑或全球年收入10%的罚款，严重者甚至被禁止在英运营。监管机构Ofcom明确表态：企业必须“优先保障儿童安全而非用户黏性”，负责人梅拉妮·道斯强调“要么执行年龄验证，要么承担后果”。 有围墙处必有出路，而这次破局者竟来自诺曼·瑞杜斯——更准确地说，是他在游戏中的数字分身。法案生效数日内，英国玩家发现可利用游戏《死亡搁浅》的拍照模式绕过Discord的自拍验证系统。玩家操纵中年快递员山姆·布里吉斯直视镜头、眨眼甚至张嘴的动作，足以欺骗Discord的AI识别系统。同样方法在Reddit的Persona验证系统也获成功，用户无需露脸即可解锁敏感内容。这种戏谑式的聪明反击，成为对抗政府的小型胜利。 当然，并非所有平台都会中招。例如使用Yoti面部识别技术的Bluesky和Instagram，能有效区分游戏建模与真人面部。但两大主流平台接连失守，暴露了法案技术底层可能存在漏洞。 VPN成为数字出口 不愿使用游戏角色或提交证件的用户，则转向VPN工具。法案实施后，英国用户注册ProtonVPN的数量激增1800%，VPN应用在应用商店下载榜急速攀升。其逻辑简单：伪装成他国IP即可规避英国限制——色情网站解除屏蔽，社交平台停止索要自拍，数字关卡暂时消失。 英国政府尚未禁止VPN，因该举措将面临法律和政治风险。当政客声称“只有罪犯才用VPN”时，暴露了对技术的无知。VPN具备合法用途：远程办公、安全浏览甚至对抗审查制度。但用户借其规避OSA的行为，迫使立法者直面尴尬问题：若用户能“数字跃迁”至境外，筑墙意义何在？ 业内人士推测VPN的IP可能成为下一轮封堵目标，但限制VPN的尝试可能引发比OSA本身更强烈的反弹。 全球筑墙运动 英国并非孤例，多国正以保护儿童为名推行年龄验证，但形式各异： 澳大利亚计划2025年12月起全面禁止16岁以下用户使用Instagram、TikTok和YouTube等社交平台。 美国近半数州通过成人内容年龄验证法，路易斯安那州甚至推出州政府运营的数字身份证应用。 法国强制封锁未合规的成人网站并获法院支持。 欧盟正测试注重隐私保护的联合验证应用，虽暂为自愿，却被视为强制验证的前奏。 谁是真正受益者？ 在罚款与技术博弈背后存在核心疑问：这一切为谁服务？支持者称其是必要的矫正，认为政府放任科技巨头向儿童传播有害内容太久，工具虽不完美但好过无所作为。 现实是第三方验证系统既无法识别诺曼·瑞杜斯的游戏建模，也难以辨别创意工坊的虚拟面孔。当系统将青少年误判为成人或反之，后果如何？若争议论坛、健康社区或教育频道均需证件或面部数据，多少用户会选择离开？长期被视为网络自由基石的匿名性正遭受挤压。对部分人可接受的妥协，对他人则是互联网本质的改变。 数字抵抗与文化转向 Reddit和Discord上，英国用户分享VPN技巧，调侃小岛秀夫意外成为数字抵抗运动的贡献者。以《行尸走肉》闻名的诺曼·瑞杜斯，其数字分身成为数百万不愿露脸用户的替身符号。 近期女性社交软件Tea遭黑客入侵，7.2万张自拍及证件照泄露，为验证系统的数据风险敲响警钟。许多用户担忧数字身份遭滥用之际，亦有人轻松承认“用妈妈护照通过验证”。 幽默背后弥漫着不安。网络舆论逐渐形成共识：保护儿童确有必要，但现行手段的风险令人愈发忧虑。 布满关卡的未来 论坛评论区正孕育新数字文化：隐私破解工具和反制技术如食谱般流传。有人妥协，有人勉强服从，也有人坚决抵抗。所有人都在追问：这是我们想要的互联网吗？ 2025年或将成为数字关卡常态化的元年。英国《在线安全法案》的缺陷与失误，可能成为全球性先例。它挑战着互联网的传统认知：匿名神圣性、成人浏览论坛无需“出示证件”、儿童保护不能成为大规模数据收集的理由。这里没有简单答案——儿童安全至关重要，但无摩擦获取信息的权利同样不可忽视。无论是屏幕中的山姆·布里吉斯还是手机里的VPN应用，这些破解手段不仅是对技术的挑战，更是对数字新规的无声抗议。 闸门正在升起。英国距离大规模身份盗用丑闻或许仅差一次数据泄露，而当下握有钥匙者及其规则，将定义互联网的下一篇章。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜政府支持的黑客组织ScarCruft（又称APT37）在近期攻击中首次部署了勒索软件。该组织长期以高价值个人和政府机构为网络间谍目标，但韩国安全公司S2W周四报告称，其在此次行动中使用了“新发现的”勒索软件。 研究人员将该勒索软件命名为VCD（取自其对加密文件添加的扩展名）。其会生成英文和韩文两个版本的勒索通知。S2W指出，ScarCruft使用勒索软件的行为“暗示其可能转向经济利益驱动的行动，或拓展了包含破坏性及勒索策略的运营目标”。 ScarCruft过往主要攻击韩国、日本、越南、俄罗斯和尼泊尔的目标。在7月针对韩国用户的攻击中，黑客通过鱼叉邮件投递恶意压缩包入侵系统。诱饵文件显示关于街道地址变更导致的邮政编码更新信息（报告未明确邮件接收者身份）。 研究人员在此次攻击中识别出超过9类恶意软件，包括信息窃取工具LightPeek、FadeStealer，以及利用合法实时通讯平台PubNub进行命令控制（C2）的后门程序NubSpy。ScarCruft通过PubNub将恶意流量伪装成正常网络通信以隐藏行踪。 该行动被归因于ScarCruft下属小组ChinopuNK（该小组曾传播可窃取系统信息并支持Windows/Android双平台攻击的Chinotto恶意软件）。本次攻击中黑客使用了名为ChillyChino的新变种。 研究人员基于两点证据高度确认攻击由ScarCruft发起：一是使用PubNub进行C2通信；二是部署了FadeStealer（该组织自2023年起使用的恶意软件，可录制音频、记录击键并收集外接设备数据）。 据信隶属于朝鲜国家安全部的ScarCruft是该国最活跃的黑客单位之一，以社会工程学手段诱骗受害者打开恶意文件著称。今年5月，该组织曾伪装成朝鲜问题专家及智库发送钓鱼邮件。去年还针对媒体和知名学者以“收集战略情报”，据称这些情报能“影响朝鲜决策流程”。 尽管勒索软件的部署对ScarCruft整体战略意图尚不明确，但朝鲜政府关联黑客常参与经济利益驱动的攻击，为受制裁政权筹集资金。联合国去年报告显示，其正调查近60起由朝鲜黑客（包括Kimsuky、Lazarus、Andariel和BlueNoroff等组织）实施的网络攻击，这些攻击在六年内窃取约30亿美元资金。联合国专家强调：“这些网络威胁行为体的核心任务是为朝鲜获取有价值信息并非法创收。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员在DEF CON黑客大会上演示了智能公交系统可被远程入侵的漏洞。趋势科技台湾研究员余孝林（Chiao-Lin ‘Steven Meow’ Yu）与台湾托管安全服务提供商CHT Security的王凯庆（Kai-Ching ‘Keniver’ Wang）于上周五公布了这一发现。 研究人员注意到公交提供免费乘客Wi-Fi后开始深入调查其安全性。分析显示，同一台M2M路由器既用于提供乘客Wi-Fi，又连接着车内的高级公共交通服务系统（APTS）和高级驾驶辅助系统（ADAS）。ADAS通过传感器、摄像头、雷达和激光雷达辅助驾驶并预防事故，功能涵盖碰撞预警、车道偏离警示、限速提示、交通标志识别及乘客/驾驶员安全监控。APTS则包含提升公交效率的组件，如精确定位公交的GPS设备、乘客与操作员界面、路线调度服务及站台显示屏——所有功能均通过中央系统管理。 研究人员轻松绕过车载路由器认证进入其管理界面。由于缺乏网络隔离措施，他们随即渗透至APTS与ADAS功能层。专家在这些系统中发现多个漏洞，包括可导致远程入侵的命令注入缺陷和MQTT协议后门。 余孝林向SecurityWeek表示：“攻击者只需通过数据包分析等手段理解通信协议，即可在无需物理接触公交的情况下发动远程攻击。”他们演示了多种攻击场景：黑客不仅能追踪公交实时位置，还能利用简单默认密码访问车载摄像头。 研究人员指出，通过这些漏洞，攻击者可操控车内显示屏、窃取乘客及驾驶员信息，甚至入侵运输公司服务器。余孝林解释：“现行协议（至少在台湾）未实施任何加密或身份验证措施。这意味着若攻击者发动中间人攻击，可直接篡改或伪造通信内容。”攻击者连接公交系统后可获取GPS定位、发动机转速（RPM）和车辆平均速度等数据。 研究人员描述了若干理论攻击场景：篡改车辆GPS定位可能延误事故应急响应；伪造转速数据可掩盖真实机械故障或制造虚假故障引发运营中断；伪造驾驶员及车辆状态数据会触发虚假紧急警报；设置虚假“停运”状态则导致班次调度混乱。 虽然研究基于台湾公交，但余孝林指出，涉事供应商提供中、英、日、越多语言支持，相同漏洞系统可能存在于其他国家。研究人员尝试向相关厂商（包括美国路由器制造商BEC Technologies及台湾公交系统方案商Maxwin）提交漏洞报告，但未获回应，漏洞至今未修复。趋势科技零日计划（ZDI）已发布多份公告披露BEC路由器的相关漏洞。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2023年3月以来，60个包含凭证窃取代码的恶意Ruby软件包（gems）累计下载量已超27.5万次。这些恶意包由安全公司Socket发现，主要针对使用Instagram、TikTok、Twitter/X、Telegram、Naver、WordPress和Kakao自动化工具的韩国用户。 RubyGems作为Ruby编程语言的官方包管理器，负责Ruby库（即gems）的分发、安装和管理，其功能类似于JavaScript的npm或Python的PyPI。 攻击者使用zon、nowon、kwonsoonje和soonje等多个别名账户，将恶意包发布至RubyGems.org平台，通过分散操作增加追踪和拦截难度。以下是部分具有欺骗性命名或仿冒特征的典型包示例： WordPress自动化工具：wp_posting_duo, wp_posting_zon Telegram机器人工具：tg_send_duo, tg_send_zon SEO/反向链接工具：backlink_zon, back_duo 博客平台仿冒工具：nblog_duo, nblog_zon, tblog_duopack, tblog_zon Naver Café交互工具：cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment 这60个恶意包均具备看似合法的图形界面（GUI）并宣称提供相应功能。但实际上，它们会作为钓鱼工具，将用户在登录表单输入的凭证发送至攻击者硬编码的命令控制（C2）服务器地址（programzon[.]com、appspace[.]kr、marketingduo[.]co[.]kr）。窃取的数据包含： 明文用户名和密码 用于设备指纹识别的MAC地址 用于追踪攻击效果的软件包名称 部分工具会返回虚假的成功或失败消息，但并未向实际服务发起真正的登录或API调用。Socket研究人员在俄语暗网市场发现的凭证日志与此次攻击活动相关，这些日志的交互记录指向攻击者控制的营销工具站点marketingduo[.]co[.]kr。 尽管Socket已向RubyGems团队报告全部恶意包，但其中至少16个目前仍可获取。RubyGems供应链攻击并非首次出现，此类威胁已持续数年。例如今年6月，Socket曾报告另一起仿冒移动开发自动化工具Fastlane的恶意Ruby包事件，专门针对Telegram机器人开发者。 开发者应严格审查从开源仓库获取的库文件，警惕混淆代码等可疑特征，同时评估发布者信誉与更新历史，并将依赖库锁定在“已知安全”的版本。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Eclypsium研究人员发现部分联想摄像头存在统称为BadCam的漏洞，攻击者可将其改造成BadUSB设备实施击键注入等跨操作系统攻击。首席安全研究员杰西·迈克尔（Jesse Michael）和米奇·什卡托夫（Mickey Shkatov）在DEF CON 33大会上演示了该漏洞。这可能是首次证实：已接入计算机的Linux系统USB外设遭入侵后可被武器化用于恶意目的。 Eclypsium在报告中指出：“研究人员发现联想特定型号摄像头运行Linux系统且未验证固件，可被武器化为BadUSB设备。据我们所知，这是首次证明攻击者能利用已接入计算机的非恶意USB设备发起攻击。” BadUSB攻击通过重编程固件模拟人机接口设备（HID）执行恶意指令，利用系统对USB设备的信任绕过防护。该技术由卡斯滕·诺尔（Karsten Nohl）和雅各布·莱尔（Jakob Lell）在2014年黑帽大会上首次展示，现已有Rubber Ducky、Flipper Zero等工具和开源载荷实现攻击模块化。此类攻击具有隐蔽性、模块化和持久化特点，常可窃取数据、提权或部署勒索软件。 Eclypsium研究证实，基于Linux的USB外设（如摄像头）无需物理接触即可被远程劫持为BadUSB设备。通过重刷固件，攻击者可令其伪装成恶意HID设备注入载荷，即使用户重装系统仍能持续感染主机。Linux的USB Gadget功能使这类设备能模拟可信外设，威胁范围扩展至众多基于Linux的USB设备。 报告进一步说明：“迈克尔和什卡托夫证实，运行Linux的USB外设无需插拔即可远程改造成BadUSB设备，这标志着攻击模式的重大演进——获得远程代码执行权限的攻击者可重刷已连接摄像头的固件，将其变成恶意HID或模拟额外USB设备。被武器化的摄像头在保持正常功能表象下，可实施击键注入、投递恶意载荷或建立持久化据点。” Eclypsium确认联想510 FHD和Performance FHD两款摄像头存在固件更新漏洞，攻击者可完全控制设备。两者均采用支持Linux USB Gadget的SigmaStar ARM芯片，易受BadUSB攻击。研究人员发现其更新流程缺乏保护机制，简单USB指令即可擦写8MB SPI闪存，使得攻击者在保留设备正常功能的同时植入恶意固件。 Eclypsium敦促联想和SigmaStar为受影响芯片添加固件验证机制。联想已发布带签名验证的新版安装工具修复漏洞，受影响用户应从官网下载更新。该公司正与SigmaStar合作评估并修复漏洞。 报告总结道：“随着设备供应链多元化和USB外设复杂化，企业亟需实施固件签名验证、设备认证机制，并细化终端外设的监控粒度。当BadUSB攻击不仅可通过物理接触，还能远程操控日常外设实现时，机构必须重构终端与硬件信任模型。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文