Aggregator

HackerNews 编译，转载请注明出处： 欧洲中部大型医疗网络运营商AMEOS集团宣布遭遇安全漏洞，可能导致客户、员工及合作伙伴信息泄露。 该组织在其网站上发表声明（根据《通用数据保护条例》(GDPR) 第34条要求，发生数据泄露时必须发布公开通知）。 AMEOS是一家总部位于苏黎世的医疗保健提供商，在瑞士、德国和奥地利拥有100多家医院、诊所、康复中心和护理院，员工达18,000人。 它是更广泛的DACH（德国、奥地利、瑞士德语区）地区最大的私立医院集团之一，拥有超过10,000张床位，年收入超过14亿美元。 AMEOS表示，尽管已采取“广泛的安全措施”，但外部行为者未经授权访问了其IT系统并获取了敏感信息。 公告中写道：“患者、员工和合作伙伴的数据——以及与您或您公司相关的联系信息——可能因未授权访问而受到影响。不能排除这些数据可能在互联网上被滥用，损害受影响方的利益，或提供给第三方。” 作为应对，AMEOS已关闭所有IT系统并终止所有外部和内部网络连接。此外，它加强了现有措施，并聘请了外部IT和取证专家协助响应工作。 已相应通知了相关国家的数据保护机构，并向警方提起了刑事申诉。 建议曾在AMEOS机构接受过护理的人员警惕网络钓鱼和诈骗企图。 该医疗保健提供商表示，迄今为止，没有迹象表明被访问的数据已在网上传播。 调查仍在进行中，AMEOS承诺将在获得新信息后提供更新。 该组织声明：“目前，我们没有具体证据表明您的个人数据确实发生了泄露。正在进行的审查和调查措施完成后，我们将通过本页面立即通知您。” 截至本文撰写时，尚无主要勒索软件组织宣称对AMEOS的攻击负责。该组织未说明攻击是否涉及数据加密，因此事件类型和肇事者尚不清楚。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

亚马逊AI工具Kiro因需求激增暂停新用户注册并限制现有用户配额；性能下降引发不满；暂无付费选项；开发者需等待或更换工具。

ISC Stormcast报告当前网络威胁级别为绿色，由Jim Clausing负责值班，并提及即将在拉斯维加斯举办的"Application Security"课程。

A vulnerability, which was classified as problematic, has been found in DuraComm SPM-500 DP-10iN-100-MU. This issue affects some unknown processing. The manipulation leads to cleartext transmission of sensitive information. The identification of this vulnerability is CVE-2025-53703. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in DuraComm SPM-500 DP-10iN-100-MU. This vulnerability affects unknown code. The manipulation leads to missing authentication. This vulnerability was named CVE-2025-48733. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic has been found in DuraComm SPM-500 DP-10iN-100-MU. This affects an unknown part of the component Web Interface. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2025-41425. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Lantronix Provisioning Manager. Affected is an unknown function of the file AV. The manipulation leads to xml external entity reference. This vulnerability is traded as CVE-2025-7766. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

文章描述了错误代码521的含义和常见原因。该错误通常由CDN服务提供商显示，表示服务器无法连接到源站或连接超时。解决方法包括检查网络连接、清除浏览器缓存或联系网络管理员以排查问题。

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二警告北美和欧洲的企业，需加强系统防护以应对一种新的Interlock勒索软件变种。 该双重勒索组织于2024年秋季首次出现在勒索软件领域，已知针对各种关键基础设施组织和行业，包括医疗保健、教育、技术、政府和制造业。 “这些行为者本质上是机会主义且受经济利益驱动，采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。 “Interlock勒索软件是一个鲜明的例子，展示了当今勒索软件组织变得多么危险和不可预测，”Swimlane的首席安全自动化架构师Nick Tausek表示。 “尽管他们直到2024年底才被发现，但该组织一直非常活跃，并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。 今年5月，Interlock成为头条新闻，原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责，该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。 JavaScript转向PHP FBI表示，已观察到Interlock通过入侵合法网站进行路过式下载（drive-by download）来获得对其受害者的初始访问权限，将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新，这对勒索软件行为者而言是一种非典型方法。 该组织还以使用“ClickFix社会工程技术”而闻名，例如，通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马（RAT）。 “验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容，然后执行恶意Base64编码的PowerShell进程。”公告称。 该警告发布不到一周前，The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。 这种新变种转而使用PHP，似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。 Interlock Kongtube FileFix 恶意软件活动 链接的JavaScript首先提示用户点击验证码以“验证您是人类”，然后是“验证步骤”，要求打开运行命令并粘贴剪贴板内容。粘贴后，它会执行一个PowerShell脚本，最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。 Tausek解释说，Interlock的独特之处在于其战术多样性。 “该组织曾使用ClickFix攻击冒充IT工具渗透网络，部署远程访问木马（RAT）来传播恶意软件，并且最近采用了双重勒索策略以最大化对受害者的压力。” 安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处，表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。 World Secrets Blog 已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心（C2），然后通常会下载PowerShell来安装某种信息窃取程序（如LumanStealer）以及键盘记录器二进制文件，以“窃取凭据进行横向移动和权限提升”。 Interlock会部署针对Windows和Linux操作系统的勒索软件加密器，同时也常用AnyDesk进行远程文件传输。 在加密受害者的文件（使用.interlock或.1nt3rlock文件扩展名）后，该团伙会发送一张便条，指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。 “您的网络已被入侵，我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道，威胁称除非支付未公开的赎金，否则将公布其声称从Kettering网络中窃取的1TB数据。 Broadcom在2024年10月对该勒索软件团伙的分析报告中指出，其“警告受害者不要修改文件、使用恢复软件或重启系统，因为这些行为可能导致不可逆转的损害。”Broadcom还表示，Interlock受害者通常只有96小时进行谈判。 根据Cybernews的Ransomlooker工具，自今年1月以来，该组织已声称至少攻击了35名勒索软件受害者，其中约一半的攻击发生在过去六周内。 “这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量，通常是同时进行，组织必须做好准备，”Tausek告诉Cybernews。 CISA建议组织通过实施强大的端点检测和响应（EDR）工具及能力来加固系统，包括修补暴露的系统、采用多因素认证和进行网络分段。 Tuasek表示，除了定期修补、网络分段和其他主动防御措施外，“同样关键的是让员工具备识别社会工程尝试的意识，以免导致系统被入侵。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Cybercriminals are mastering increasingly sophisticated methods of delivering malicious code, leveraging unconventional file formats to evade security defenses. A recent case documented by researchers illustrates how a seemingly innocuous audio message in WAV format...

The post Warning: Stealthy WAV Malware Disguised as Voicemail Targets Users, Bypassing Email Filters appeared first on Penetration Testing Tools.

从事平面设计的我因室友网络软件干扰导致晚上Wi-Fi信号中断，严重影响工作效率。尝试使用手机热点成本过高，协商无果后寻求解决方案。

文章描述了错误代码521的原因及解决方法。该错误通常由Web服务器无法处理请求引起，可能因服务器过载或配置问题导致。建议检查网络连接、等待后再试或联系管理员解决问题。

HackerNews 编译，转载请注明出处： 英国政府已确认将推进一项拟议禁令，禁止公共部门和关键国家基础设施（CNI）组织支付勒索软件赎金。 此前在2025年1月发起的一项公众咨询中，四分之三的受访者表示支持该提案。 该禁令旨在通过使这些目标对网络犯罪团伙的吸引力降低，从而更好地保护医院、学校和交通等基本公共服务免受勒索软件攻击。 过去一年中，众多英国公共部门服务遭受了勒索软件影响，包括地方议会和医院。5月，英格兰国民医疗服务体系(NHS England)敦促其供应商承诺采取强有力的网络安全措施，以应对“普遍存在”的勒索软件威胁。 不在禁令覆盖范围内的企业将被要求在向攻击者支付赎金前通知政府。政府随后将向受害者提供建议和支持，包括告知他们如果资金流向受制裁的网络犯罪团伙，支付赎金将面临违法风险。 安全部长丹·贾维斯（Dan Jarvis）评论道：“勒索软件是一种掠夺性犯罪，它将公众置于风险之中，破坏生计，并威胁我们所依赖的服务。这就是为什么我们决心粉碎网络犯罪分子的商业模式，在我们实施‘变革计划’（Plan for Change）的同时，保护我们所有人都依赖的服务。” 英国将制定强制性勒索软件报告制度 作为反勒索软件措施的一部分，英国政府还承诺建立强制性勒索软件事件报告制度。 政府表示，在咨询期间，该制度获得了强烈支持。 强制性报告旨在为英国执法机构增强有关勒索软件攻击的情报收集能力。这些信息也可用于支持针对勒索软件团伙的国际执法行动。 专家对提案的有效性表示质疑 专家们对政府计划的有效性提出了担忧。 这包括制造“双重体系”的风险，即不在禁令覆盖范围内的企业和实体面临更多攻击目标的风险。 另一个风险是可能将勒索软件攻击进一步推向地下，那些认为自己别无选择只能支付的受害者可能会设法规避禁令进行支付，例如使用第三方中介来处理付款。 一些组织也可能选择错误标记勒索软件攻击，以逃避审查或潜在处罚。 Immersive网络威胁情报高级总监凯夫·布林（Kev Breen）警告说：“针对新措施，我们应考虑一个问题：这是否存在将公司推离报告的危险？如果选项是通过支付来快速恢复，对比因被禁止而无法恢复，诱惑可能是支付赎金然后干脆不报告。” 佩恩·希克斯·比奇（Payne Hicks Beach）律师事务所争议解决团队合伙人马克·琼斯（Mark Jones）指出，在意大利（支付勒索软件攻击者赎金已属非法）的一项调查显示，43%的组织仍然承认支付了勒索软件赎金。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

错误代码521由Cloudflare引发，表明服务器无法连接到原始服务器，常见原因包括过载或配置问题。

HackerNews 编译，转载请注明出处： 网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。 自2025年3月以来，Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者，他们冒充欧洲外交官和乌克兰官员。 这些电子邮件试图诱使人权工作者和非政府组织（NGO）工作人员交出能授予访问其Microsoft账户权限的身份验证代码。 攻击背后的复杂社会工程 被Volexity追踪为UTA0352和UTA0355的威胁行为者，采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息，提议就与乌克兰相关的事务举行会议。 这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接，并被要求提供用户在身份验证后看到的一个代码。 这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而，一旦受害者（通常通过同一即时通讯平台）返回所显示的代码，攻击者就会用它来生成一个访问令牌，从而解锁受害者的Microsoft 365数据。 在其中一个案例中，UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里，受害者在不知情的情况下触发了OAuth流程，并被提示发回授权代码。这些代码有效期长达60天，授予了访问用户Microsoft Graph数据的权限，实际上暴露了其电子邮件和文件。 在另一次活动中，Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。 一旦完成身份验证，攻击者就会将一个新设备注册到用户的Entra ID（原Azure AD）中，通过社会工程绕过安全设置并下载电子邮件数据。 关键入侵迹象 Volexity强调了几点组织可以监控的潜在入侵迹象，包括： 使用Visual Studio Code客户端ID进行的OAuth登录活动 重定向到insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL 新注册的、链接到代理IP地址的设备 异常的双重身份验证审批请求 与用户典型电子邮件客户端不匹配的应用程序ID 根据该安全公司的分析，这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。 “基于此，以及2025年2月观察到的类似战术，Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。 该公司还警告称，由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序，传统的安全控制措施可能效果不佳。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in PHPGurukul Online Security Guards Hiring System 1.0. It has been declared as problematic. This vulnerability affects unknown code of the file /admin/search.php. The manipulation of the argument searchdata leads to cross site scripting. This vulnerability was named CVE-2025-7791. The attack can be initiated remotely. Furthermore, there is an exploit available.

A vulnerability was found in Tenda FH451 1.0.0.9. It has been rated as critical. This issue affects the function formSafeEmailFilter of the file /goform/SafeEmailFilter. The manipulation of the argument page leads to stack-based buffer overflow. The identification of this vulnerability is CVE-2025-7792. The attack may be initiated remotely. Furthermore, there is an exploit available.

A vulnerability classified as critical has been found in Tenda FH451 1.0.0.9. Affected is the function formWebTypeLibrary of the file /goform/webtypelibrary. The manipulation of the argument webSiteId leads to stack-based buffer overflow. This vulnerability is traded as CVE-2025-7793. It is possible to launch the attack remotely. Furthermore, there is an exploit available.

A vulnerability was found in SysAid On-Prem up to 23.3.40. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Checkin Processing. The manipulation leads to xml external entity reference. This vulnerability is handled as CVE-2025-2775. The attack may be launched remotely. Furthermore, there is an exploit available.

A vulnerability, which was classified as problematic, has been found in SysAid On-Prem up to 23.3.40. This issue affects some unknown processing of the component Server URL Handler. The manipulation leads to xml external entity reference. The identification of this vulnerability is CVE-2025-2776. The attack may be initiated remotely. Furthermore, there is an exploit available.