Aggregator

文章介绍了HTTP错误代码521的含义及其常见原因。该错误通常与CDN服务（如Cloudflare）相关，表示CDN无法连接到网站服务器。常见原因包括服务器配置错误、DNS设置问题或服务器过载。解决方法包括检查服务器状态、优化配置或联系CDN提供商寻求帮助。

全国人大常委会将审议网络安全法修正草案，旨在适应网络空间新风险挑战，完善与数据安全法、个人信息保护法等法律衔接，并强化法律责任制度。

HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了error code 521的原因和解决方法，指出该错误通常由服务器配置问题或网络连接异常引起，并提供了检查服务器状态、验证配置设置和联系主机提供商等解决建议。

文章介绍了 Nano Banana 这一强大的 AI 文字转图片工具及其在国内的免费应用平台椒图 AI。该平台支持多种功能如图片转手办、背景更换等，并提供详细教程和玩法攻略。

微软官方账号发布 Surface 平板电脑宣传图，显示运行 iPadOS 系统。照片系拼凑而成，套用 Surface 外壳与 iPadOS 截图。该素材发布超 24 小时仍未删除。

HackerNews 编译，转载请注明出处： 在npm包注册表中发现了四个新的恶意包，这些包能够从以太坊开发者那里窃取加密货币钱包的凭证。 “这些包伪装成合法的加密工具和Flashbots MEV基础设施，同时秘密地将私钥和助记词种子发送到威胁行为者控制的Telegram机器人，”Socket研究员Kush Pandya在分析中表示。 这些包是由一个名为“flashbotts”的用户上传到npm的，最早的库可以追溯到2023年9月。最近一次上传发生在2025年8月19日。截至本文撰写时，所有这些包仍然可以下载，它们的列表如下： – @flashbotts/ethers-provider-bundle（52次下载） – flashbot-sdk-eth（467次下载） – sdk-ethers（90次下载） – gram-utilz（83次下载） 鉴于Flashbots在对抗以太坊网络上最大可提取价值（MEV）的不利影响（如夹击攻击、清算、后跑、前跑和时间窃贼攻击）中的作用，对Flashbots的伪装并非巧合。 在被识别的库中，最危险的是“@flashbotts/ethers-provider-bundle”，它利用其功能性的伪装来隐藏恶意操作。在声称提供完整的Flashbots API兼容性的幌子下，该包包含了通过Mailtrap使用SMTP发送环境变量的隐蔽功能。 此外，npm包实现了一个交易操纵函数，将所有未签名的交易重定向到攻击者控制的钱包地址，并记录预签名交易的元数据。 根据Socket的说法，sdk-ethers大多是无害的，但它包含了两个函数，这些函数只有在不知情的开发者在自己的项目中调用它们时，才会将助记词短语发送到Telegram机器人。 第二个伪装成Flashbots的包flashbot-sdk-eth，也被设计成触发私钥的窃取，而gram-utilz为将任意数据泄露给威胁行为者的Telegram聊天提供了模块化机制。 由于助记词短语是恢复加密货币钱包访问权限的“主钥匙”，这些单词序列的被盗可能会让威胁行为者进入受害者的钱包并完全控制他们的钱包。 源代码中存在越南语注释，这表明出于经济动机的威胁行为者可能是讲越南语的。 这些发现表明，攻击者有意识地利用与该平台相关的信任来实施软件供应链攻击，更不用说在大多是无害的代码中隐藏恶意功能以避开审查了。 “由于Flashbots被验证者、搜索者和DeFi开发者广泛信任，任何看似官方SDK的包都有很高的机会被运行交易机器人或管理热钱包的运营商采用，”Pandya指出。“在这种环境下，被入侵的私钥可能导致资金的即时、不可逆的被盗。” “通过利用开发者对熟悉包名的信任，并在合法工具中填充恶意代码，这些包将常规的Web3开发变成了通往威胁行为者控制的Telegram机器人的直接管道。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的情况，指出该错误通常由Cloudflare引起，可能是因为服务器返回了无效响应或未正确配置SSL/TLS协议。此问题会导致用户无法正常访问网站，并提示需要联系网站管理员进行修复。

文章讲述了作者与朋友前往马来西亚吉隆坡和亚庇的旅行经历，分享了两地的美食、咖啡店、自然景观（如大王花基地、红树林）以及海岛探险体验，并提供了机票、酒店和行程规划等实用建议。

株式会社リコーが提供するRICOH Streamline NXには、操作履歴の改ざんにつながる脆弱性が存在します。

r/netsec社区聚合技术信息安全内容。安全研究员介绍利用Hound AI工具进行代码审计的方法，涵盖从准备代码到生成报告的全过程，并展示实际案例。

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的情况，该错误通常由Cloudflare引起，表示原服务器未响应或超时。

一个Reddit社区供网络安全学生交流资源和解答问题。发帖者24岁，有3年全栈开发经验并完成Google证书，询问是否应考CompTIA Security+及适合的职位。

文章探讨了多种绕过Web应用防火墙（WAF）的技术手段，包括利用性能缺陷、协议解析漏洞、编码绕过等方法，并提醒读者遵守相关法律法规。

勒索软件团伙 LunaLock 威胁艺术家支付赎金，否则将作品共享给 AI 公司用于模型训练。艺术家平台 Artists&Clients 被黑后要求支付 5 万美元赎金，并警告若不支付将泄露数据。艺术家担心作品被盗用影响创作权益。

株式会社Gunosyが提供するスマートフォンアプリ「グノシー」には、送信データへの機微な情報の挿入の脆弱性が存在します。

限GROW计划合作伙伴所在院校参与。

当前环境出现异常，需完成验证后方可继续访问。

Canadian financial technology company Wealthsimple disclosed a data security incident on September 5, 2025, revealing that personal information belonging to less than one percent of its clients was accessed without authorization. The breach, which was detected on August 30, has prompted the company to implement enhanced security measures and offer comprehensive support to affected customers. […]

The post Wealthsimple Data Breach – User Information Leaked Online appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.