HackerNews

HackerNews 编译，转载请注明出处： 管理员必须紧急修补一个高危漏洞，该漏洞可使攻击者逃逸隔离的 jail 环境。 该漏洞编号为 CVE-2025-15576，尽管常与系统崩溃相关，但其也可导致危险的 jail 逃逸。 该漏洞允许受 jail 限制的进程绕过受限环境，未授权获取对宿主底层文件系统的完全访问权限。 FreeBSD jail 是一种操作系统虚拟化技术，可安全隔离进程。其使用类 chroot 机制限制进程对文件和目录的访问。 但 CVE-2025-15576 暴露了两个同级独立 jail 交互时，目录文件描述符处理中的高危缺陷。该漏洞仅在特定系统配置下触发。 若管理员将两个同级 jail 通过 nullfs 挂载共享目录，两 jail 内的协同进程可通过 Unix 域套接字建立连接。 恶意进程可通过该套接字交换目录描述符。在正常文件系统名称查找过程中，内核会检查目录是否位于 jail 根目录之下。 但由于该漏洞，当目录描述符通过套接字交换时，内核无法正确终止查找。因此，进程可成功获取完全位于其受限 jail 目录树之外的目录文件描述符。该漏洞的主要影响是文件系统隔离完全失效。 若攻击者控制两个通过 nullfs 与 Unix 域套接字共享的 jail 内的进程，即可来回传递目录描述符，突破 chroot 限制。一旦逃逸 jail 环境，攻击者即可获得完整文件系统访问权限。 攻击者可访问根文件系统、修改关键系统文件、窃取敏感数据，或发起进一步攻击以在宿主上提权。 重要的是，管理员必须确保无特权用户无法向受 jail 限制的进程传递目录描述符。 目前暂无可缓解该漏洞的临时解决方案。管理员必须立即将 FreeBSD 系统升级至已修补的发布分支。 对于从二进制分发包安装的系统（如 FreeBSD 14.3 或 13.5 RELEASE 版本），管理员可使用内置更新工具部署修补程序。 执行 freebsd-update fetch 然后执行 freebsd-update install 即可安全应用补丁。必须重启系统才能使安全更新生效。 对于源码安装环境，管理员必须从 FreeBSD 官方安全门户下载对应补丁，验证 PGP 签名并重新编译内核。 为确保完全防护，需验证系统运行的是 2026 年 2 月 24 日之后的已修补内核。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名乌克兰男子对运营 OnlyFake 网站认罪，该 AI 驱动网站为全球用户生成并出售超过 10000 份伪造身份证件照片。 27 岁的 Yurii Nazarenko（化名 John Wick、Tor Ford、Uriel Septimberus）承认，其订阅制平台 OnlyFake 使用人工智能生成高度逼真的伪造护照、驾照和社会保障卡。 美国检察官 Jay Clayton 周四表示：“我们依靠政府签发的身份证件打击恐怖主义、劫持、欺诈、洗钱及其他多种犯罪。OnlyFake 制作伪造身份证件及其他文件的行为使所有人面临风险，必须予以制止。” 起诉书显示，Nazarenko 的 OnlyFake 平台可让用户生成美国全部 50 个州的伪造数字驾照、美国护照及护照卡，以及约 56 个其他国家的身份证件数字版本。 用户还可使用个人信息定制伪造数字证件，选择随机信息，并选择最终成品为扫描件或桌面拍摄件样式。 图片 OnlyFake 网站（美国司法部） 纽约联邦检察官表示，这些伪造数字证件主要用于绕过银行和加密货币交易所的客户身份验证（KYC）要求，该要求是《爱国者法案》规定的反洗钱保障措施。 2024 年 5 月至 6 月，FBI 卧底特工从 OnlyFake 网站多次购买，获取了纽约州伪造驾照、美国护照及社会保障卡。 OnlyFake 仅接受加密货币支付，并提供最多 1000 份伪造证件的折扣批量套餐。2024 年 2 月 404 Media 报道该网站后，Nazarenko 通过多钱包中转加密货币支付并删除邮件，试图掩盖行踪。 FBI 助理局长 James C. Barnacle, Jr. 补充称：“Yurii Nazarenko 搭建网站制作超过 10000 份伪造身份证件，通过非法获利赚取数十万美元。该平台为客户提供了大量犯罪机会，包括绕过传统监管进行洗钱。” Nazarenko 于 2025 年 9 月从罗马尼亚被引渡回国，并同意没收 120 万美元。他目前面临最高 15 年监禁，定于 2026 年 6 月 26 日宣判。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 嵌入在可访问客户端代码中的 Google Maps 等服务 API 密钥，可被用于向 Gemini AI 助手进行身份认证并访问私有数据。 研究人员在扫描各行业机构（甚至包括 Google 自身）的互联网页面时，发现了近 3000 个此类密钥。 该问题在 Google 推出 Gemini 助手、开发者开始在项目中启用 LLM API 后出现。在此之前，Google Cloud API 密钥不被视为敏感数据，即使暴露在公网也无风险。 开发者可使用 API 密钥扩展项目功能，例如在网站中加载地图、嵌入 YouTube、使用追踪或 Firebase 服务。 Gemini 推出后，Google Cloud API 密钥同时成为了 Google AI 助手的身份认证凭证。 TruffleSecurity 研究人员发现该问题并警告：攻击者可从网页源码中复制 API 密钥，通过 Gemini API 服务访问私有数据。 由于 Gemini API 并非免费使用，攻击者可利用该权限发起 API 调用为自身牟利。 Truffle Security 表示：“根据模型与上下文窗口不同，攻击者耗尽 API 调用额度可能导致单个受害账户每天产生数千美元费用。” 研究人员警告称，这些 API 密钥已在公开 JavaScript 代码中暴露多年，如今却在无人察觉的情况下突然获得了更高危的权限。 （来源：TruffleSecurity） TruffleSecurity 扫描了 2025 年 11 月的 Common Crawl 数据集（大量热门网站的代表性快照），在代码中发现超过 2800 个公开暴露的活跃 Google API 密钥。 据研究人员称，部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向 Google 报告该问题，并提供了来自其基础设施的样本。 在其中一例中，一个仅用作标识符的 API 密钥至少从 2023 年 2 月开始部署，并嵌入在 Google 某产品公网网站的页面源码中。 Google 暴露的密钥（来源：TruffleSecurity） Truffle Security 通过调用 Gemini API 的 /models 端点并列出可用模型对该密钥进行了测试。 研究人员已于去年 11 月 21 日将该问题告知 Google。 经过多轮沟通，Google 于 2026 年 1 月 13 日将该漏洞归类为 “单服务权限提升”。 Google 在向 BleepingComputer 发表的声明中表示，已知晓该报告，并 “与研究人员合作解决了该问题”。 Google 发言人向 BleepingComputer 表示：“我们已实施主动措施，检测并阻止泄露的 API 密钥访问 Gemini API。” Google 表示，新的 AI Studio 密钥将默认仅限定 Gemini 权限，泄露的 API 密钥将被禁止访问 Gemini，且检测到泄露时将发送主动通知。 开发者应检查项目中是否启用了 Gemini（Generative Language API），审计环境中所有 API 密钥是否公开暴露，并立即轮换密钥。 研究人员还建议使用 TruffleHog 开源工具检测代码与仓库中暴露的活跃密钥。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Aeternum C2 的新型僵尸网络加载器细节，该恶意软件采用基于区块链的命令与控制（C2）架构，使其难以被取缔。 Qrator Labs 在提交给 The Hacker News 的报告中表示：“Aeternum 不依赖传统服务器或域名实现命令与控制，而是将指令存储在公共的 Polygon 区块链上。” “该网络被包括全球最大预测市场 Polymarket 在内的去中心化应用广泛使用。这种方式使 Aeternum 的 C2 架构具备事实上的永久性，且能够抵御传统取缔手段。” 这并非首次发现僵尸网络依赖区块链实现 C2 通信。 2021 年，谷歌表示已采取行动干扰名为 Glupteba 的僵尸网络，该网络将比特币区块链用作备用 C2 机制，以获取真实 C2 服务器地址。 Aeternum C2 的相关细节最早于 2025 年 12 月曝光，Outpost24 旗下 KrakenLabs 披露，名为 LenAI 的威胁行为者在地下论坛以 200 美元的价格兜售该恶意软件，向客户提供管理面板与已配置的编译版本。 据称，支付 4000 美元即可获得完整的 C++ 源代码及后续更新。 该恶意软件为原生 C++ 加载器，提供 32 位与 64 位版本，其运行机制是将下发给受感染主机的命令写入 Polygon 区块链上的智能合约。 僵尸主机随后通过查询公共远程过程调用（RPC）端点读取这些命令。 所有操作均通过基于网页的管理面板进行，客户可在面板中选择智能合约、选择命令类型、指定载荷 URL 并进行更新。 可面向全部终端或指定终端的命令会以交易形式写入区块链，之后所有轮询该网络的受感染设备均可获取该命令。 Qrator Labs 表示：“命令一经确认，除钱包持有者外，其他任何人都无法修改或删除。” “操作者可同时管理多个智能合约，每个合约可承载不同的载荷或功能，例如剪切器、信息窃取器、远程访问木马或挖矿程序。” 根据 Ctrl Alt Intel 本月早些时候发布的两部分研究内容，该 C2 面板基于 Next.js 网页应用实现，允许操作者向 Polygon 区块链部署智能合约。智能合约中包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，合约会返回加密命令，该命令随后会在受害主机上解密并执行。 除利用区块链实现抗取缔能力外，该恶意软件还集成了多种反分析功能，以延长感染存活时间。其中包括检测虚拟化环境，同时为客户提供通过 Kleenscan 扫描其编译版本的能力，确保不被杀毒软件厂商检出。 这家捷克网络安全厂商表示：“运营成本极低：价值 1 美元的 Polygon 网络原生代币 MATIC，即可支持 100 至 150 次命令交易。操作者无需租用服务器、注册域名或维护任何基础设施，仅需一个加密货币钱包和面板的本地副本即可。” 该威胁行为者随后试图以 10000 美元的价格出售整套工具包，声称无暇提供支持且正在参与其他项目。LenAI 称：“我将把整个项目出售给一个人，允许转售和商业使用，授予全部‘权限’。我还会提供尚未实现的开发相关实用提示 / 笔记。” 值得注意的是，LenAI 还开发了另一款恶意软件工具 ErrTraffic，该工具可使威胁行为者在受攻陷网站上制造虚假故障，自动实施 ClickFix 攻击，制造虚假紧急感并诱骗用户执行恶意指令。 本次披露发布的同时，Infrawatch 也公布了一项地下服务的细节：该服务将专用笔记本硬件部署到美国家庭中，将这些设备纳入名为 DSLRoot 的住宅代理网络，用于转发恶意流量。 该硬件运行基于 Delphi 编写的 DSLPylon 程序，该程序具备枚举网络中受支持调制解调器的能力，并可通过安卓调试桥（ADB）集成功能远程控制家用网络设备与安卓设备。 Infrawatch 表示：“溯源分析确认，该服务运营者为白俄罗斯公民，常住地为明斯克和莫斯科。据估计，DSLRoot 在美国 20 多个州运营约 300 台活跃硬件设备。” 该运营者身份已确认为 Andrei Holas（别名 Andre Holas、Andrei Golas），该服务由 BlackHatWorld 上名为 GlobalSolutions 的用户推广，声称提供实体住宅 ADSL 代理，无限制使用价格为每月 190 美元。套餐价格为半年 990 美元、一年 1750 美元。 该公司指出：“DSLRoot 的定制软件可通过 ADB 对家用调制解调器（ARRIS / 摩托罗拉、贝尔金、D-Link、华硕）与安卓设备实现自动化远程管理，支持 IP 地址轮换与连接控制。” “该网络无需认证即可运行，允许客户端通过美国住宅 IP 匿名转发流量。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技已修复 Apex One 中的两处高危漏洞，攻击者可利用这些漏洞在受影响的 Windows 系统上执行远程代码。该公司已发布安全更新，并强烈建议客户尽快安装补丁，以防范漏洞被利用，避免环境遭受入侵。 Trend Micro Apex One 是一款一体化高级终端安全解决方案。 该方案通过单一代理提供勒索软件防护、零日威胁防御、EDR、预测式机器学习、DLP 及虚拟补丁功能。 该安全厂商修复的第一个漏洞为控制台目录遍历 RCE 漏洞，编号 CVE-2025-71210（CVSS 评分 9.8）。 安全公告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” 该公司修复的第二个漏洞同样为控制台目录遍历远程代码执行漏洞，编号 CVE-2025-71211（CVSS 评分 9.8）。报告指出，该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。 报告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” CoreCloud Tech 的研究人员 Jacky Hsieh 与 Charles Yang 通过 TrendAI 零日计划报告了这两处漏洞。SaaS 版本已完成缓解处理，无需用户操作。 趋势科技已修复 SaaS 版 Apex One 中的相关漏洞，并发布关键补丁版本 14136。 该公司同时修复了 Windows 代理中的两处高危权限提升漏洞：（CVE-2025-71212：扫描引擎符号链接跟随本地权限提升漏洞；CVE-2025-71213：来源验证错误本地权限提升漏洞以及影响 macOS 代理的四个问题。） 该网络安全厂商未披露这些漏洞是否已在真实攻击中被利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DIY 连锁品牌 ManoMano 正通知客户发生数据泄露事件，该事件由黑客入侵第三方服务提供商导致。 该公司向 BleepingComputer 证实，其于 2026 年 1 月获悉此次入侵事件。事件调查结果显示，共有 3800 万人受到影响。 该公司向 BleepingComputer 表示：“我们可以确认，ManoMano 近期已就涉及一家第三方客户服务提供商（分包商）的安全事件通知了客户。” “2026 年 1 月，我们发现与该提供商相关的未授权访问行为，导致与客户账户及客服交互相关的部分个人数据被未授权提取。” ManoMano 是一家法国电商企业，运营专注于 DIY、家居装修、园艺及相关产品的在线商城。 其业务覆盖法国、比利时、西班牙、意大利、德国和英国，据称其线上商城每月独立访客量达 5000 万。 本月早些时候，一名使用化名 “Indra” 的人员在黑客论坛宣称对 ManoMano 发动攻击，声称其持有 3780 万用户账户信息以及数千份支持工单和附件。 据未经证实的报道，遭入侵的机构是一家位于突尼斯的客户支持服务提供商，该机构发生了 Zendesk 系统泄露。 网络安全公司 Hackmanac 发布消息称，ManoMano 于本周开始通知客户其数据已被盗取。 ManoMano 发言人向 BleepingComputer 解释称，暴露的信息因人而异，取决于用户与平台的交互类型。 暴露的数据类型包括： ·     姓名 ·     电子邮箱 ·     电话号码 ·     客服沟通记录 ManoMano 强调，账户密码未被访问，公司系统内未发生数据篡改。 ManoMano 发言人表示：“发现事件后，我们立即采取措施加固环境安全，包括禁用相关访问权限、撤销分包商对客户数据的访问权限，并强化访问控制与监控。” “我们已通知包括 CNIL 和 ANSSI 在内的相关监管机构，并告知受影响客户保持警惕，防范钓鱼攻击与社会工程学攻击。” 发送给客户的通知（来源：ManoMano） ManoMano 向 BleepingComputer 提供的通知样本中包含对客户的建议，包括核验 incoming 通信与发件人身份、监控银行账户是否存在欺诈交易、避免点击可疑链接或下载邮件附件。 ManoMano 表示，调查仍在进行中，现阶段无法提供更多技术细节。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper 网络 PTX 系列路由器所搭载的 Junos OS Evolved 网络操作系统存在一处高危漏洞，可能未经身份验证的攻击者可利用该漏洞以 root 权限远程执行代码。 PTX 系列路由器是高性能核心与对等互联路由器，专为高吞吐量、低延迟和规模化场景设计。 该系列路由器广泛应用于互联网服务提供商、电信运营商以及云网络场景。 该安全漏洞编号为 CVE-2026-21902，由 “本机异常检测” 框架中的权限配置错误导致，该框架本应仅通过内部路由接口向内部进程开放。 但 Juniper 网络在安全公告中说明，该缺陷可使攻击者通过外部开放端口访问该框架。 由于该服务以 root 身份运行且默认启用，成功利用漏洞后，内网中的攻击者无需身份验证即可完全控制设备。 该漏洞影响 PTX 系列路由器上 25.4R1-S1-EVO 和 25.4R2-EVO 之前的 Junos OS Evolved 版本。 更早版本也可能受影响，但厂商不对已停止工程支持或已终止生命周期（EoL）的版本进行评估。 25.4R1-EVO 之前的版本以及标准（非 Evolved）Junos OS 版本不受 CVE-2026-21902 影响。 Juniper 网络已在 25.4R1-S1-EVO、25.4R2-EVO 和 26.2R1-EVO 版本中提供修复。 Juniper 网络安全事件响应团队（SIRT）表示，在发布安全公告时，尚未发现该漏洞被恶意利用的情况。 若无法立即打补丁，厂商建议使用防火墙过滤规则或访问控制列表（ACL），仅允许受信任网络访问受漏洞影响的端点。 管理员也可通过以下命令完全禁用存在漏洞的服务： ‘request pfe anomalies disable’ Juniper 网络的设备常被云数据中心、大型企业等高带宽需求的服务商使用，因此极易成为高级黑客的攻击目标。 2025 年 1 月，名为 J‑magic 的恶意软件活动针对半导体、能源、制造和 IT 行业的 Juniper VPN 网关，部署在收到 “魔术包” 后激活的网络嗅探恶意软件。 2024 年 12 月，Juniper 网络 Smart 路由器成为 Mirai 僵尸网络攻击目标，被纳入分布式拒绝服务（DDoS）攻击集群。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apple 于周四宣布，iPhone 和 iPad 已获得北约批准用于处理涉密信息，并被列入该军事联盟的信息保障产品目录（NIAPC）。 该科技巨头表示，其手机和平板是首款获得该级别认证的消费类设备，具体为北约受限级（NATO RESTRICTED）。 NIAPC 是北约官方认证通过的网络安全产品登记目录，联盟成员国及其军事、民用机构可使用这些产品满足关键的业务安全需求。 NIAPC 对列入目录的安全产品实施严格准入规则：产品通常必须来自北约国家、持有认可认证、获得国家主管机构批准，并证明符合北约市场适用性。认证采用逐案酌情审批制，违规行为将面临被移除目录或暂停资格的风险。 列入 NIAPC 后，iPhone 和 iPad 可直接用于处理涉密信息，无需额外专用软件或配置。目录明确说明，iOS 和 iPadOS 原生的邮件、日历和通讯录应用可提供安全的数据访问能力。 Apple 表示，在此之前，iPhone 和 iPad 已通过德国联邦信息安全办公室（BSI）评估，获得处理德国政府涉密数据的批准。BSI 开展的测试同时确保了这些设备符合北约安全要求。 BSI 主席 Claudia Plattner 表示：“只有在移动产品开发之初就将信息安全纳入考量，安全的数字化转型才能成功。” “在 BSI 针对德国涉密信息环境使用的 iOS 和 iPadOS 平台及设备安全进行严格审核的基础上，我们很高兴确认其符合北约各国的信息保障要求。” NIAPC 目录中注明了 “indigo configuration”，但 Apple 澄清这只是 BSI 在评估期间指定的名称。该公司指出，获得北约批准的是标准设备配置。 此外，尽管北约目录中提及 iOS 26 和 iPadOS 26，但 Apple 表示 BSI 实际是在更早版本的操作系统上完成测试的。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未被记录的威胁活动集群，被关联到一场至少从 2025 年 12 月开始、针对美国教育和医疗行业的持续恶意攻击活动。 Cisco Talos 正在以代号 UAT-10027 追踪该攻击活动。攻击的最终目的是投放一款此前从未出现过、代号为 Dohdoor 的后门。 “Dohdoor 利用基于 HTTPS 的 DNS（DoH）技术进行命令与控制（C2）通信，并能够以反射式方式下载并执行其他二进制载荷，” 安全研究人员 Alex Karkins 和 Chetan Raghuprasad 在一份分享给《The Hacker News》的技术报告中表示。 尽管目前尚不清楚该攻击活动使用的初始入口向量，但据推测涉及社会工程钓鱼手段，最终会执行一段 PowerShell 脚本。 该脚本随后会从远程中转服务器下载并运行一个 Windows 批处理脚本，而该脚本会进一步协助下载一个名为 propsys.dll 或 batmeter.dll 的恶意 Windows 动态链接库（DLL）。 该 DLL 载荷，即 Dohdoor，通过合法 Windows 可执行文件（如 Fondue.exe、mblctr.exe 和 ScreenClippingHost.exe），使用一种被称为 DLL 侧加载的技术启动。该植入程序创建的后门访问权限被用于将下一阶段载荷直接加载到受害者内存并执行。该载荷被判定为 Cobalt Strike Beacon。 “威胁行为者将 C2 服务器隐藏在 Cloudflare 基础设施之后，确保从受害者机器发出的所有出站通信，在外观上都与发往可信全球 IP 地址的合法 HTTPS 流量一致，”Talos 表示。 “该技术绕过了基于 DNS 的检测系统、DNS 黑洞以及监控可疑域名查询的网络流量分析工具，确保恶意软件的 C2 通信能够躲避传统网络安全基础设施的检测。” 研究人员还发现，Dohdoor 会对系统调用进行脱钩，以绕过那些通过 NTDLL.dll 中的用户态钩子监控 Windows API 调用的终端检测与响应（EDR）方案。 Raghuprasad 向 The Hacker News 表示：“攻击者已入侵多家教育机构，其中包括一所与其他多家机构相连的大学，这表明其潜在攻击面可能更广。此外，受影响实体中还有一家医疗设施，专门提供老年护理服务。” 对该攻击活动的分析显示，截至目前尚未发现数据窃取的证据。研究人员补充称，除了看似用于在受害者环境中植入后门的 Cobalt Strike Beacon 之外，尚未观察到其他最终载荷，但根据受害者类型模式判断，UAT-10027 的行动很可能受金融利益驱动。 目前尚不清楚 UAT-10027 背后的组织身份，但 Cisco Talos 表示，其发现 Dohdoor 与 LazarLoader 在战术上存在一些相似之处。LazarLoader 是一款此前被发现由朝鲜黑客组织 Lazarus 在针对韩国的攻击中使用的下载器。 “尽管 UAT-10027 的恶意软件与 Lazarus 组织存在技术重合，但该攻击活动对教育和医疗行业的聚焦，与 Lazarus 通常针对加密货币和国防领域的特征并不一致，”Talos 总结道。 “不过…… 朝鲜 APT 行为者曾使用 Maui 勒索软件攻击医疗行业，而另一个朝鲜 APT 组织 Kimsuky 也曾针对教育行业，这表明 UAT-10027 的受害者特征与其他朝鲜 APT 存在重合之处。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，臭名昭著的网络犯罪集团 Scattered LAPSUS$ Hunters（SLH）正提供金钱奖励，招募女性实施社会工程学攻击。 Dataminr 在一份新的威胁简报中表示，该集团计划雇佣她们参与针对 IT 服务台的语音钓鱼活动。 据称该集团为每通电话预先支付 500 至 1000 美元不等的报酬，并为她们提供实施攻击所需的提前写好的话术脚本。 该威胁情报公司表示：“SLH 通过专门招募女性实施语音钓鱼攻击，使其社会工程学人员构成多元化，此举可能旨在提高冒充服务台人员的成功率。” SLH 是由 LAPSUS$、Scattered Spider 和 ShinyHunters 组成的知名网络犯罪超级集团，该组织有实施高级社会工程学攻击的记录，通过多因素认证弹窗轰炸、SIM 卡替换等技术绕过多因素认证（MFA）。 该集团的作案手法还包括瞄准服务台和呼叫中心，冒充员工说服相关人员重置密码或安装可授予其远程访问权限的远程监控与管理（RMM）工具，从而入侵企业。 据观察，Scattered Spider 在获取初始访问权限后，会横向渗透至虚拟化环境、提升权限，并窃取企业敏感数据。 部分此类攻击还会进一步部署勒索软件。 这类攻击的另一特点是使用合法服务和住宅代理网络（如 Luminati、OxyLabs）隐藏身份并规避检测。 Scattered Spider 成员使用过 Ngrok、Teleport、Pinggy 等各类隧道工具，以及 file.io、gofile.io、mega.nz、transfer.sh 等免费文件共享服务。 SLH 在 Telegram 上招募女性的帖子 帕洛阿尔托网络公司 Unit 42 团队在本月早些时候发布的一份报告中，将以 Muddled Libra 为代号追踪的 Scattered Spider 描述为 “高度擅长利用人类心理”，该组织通过冒充员工尝试重置密码和多因素认证（MFA）。 Scattered Spider 攻击链 在该网络安全公司 2025 年 9 月调查的至少一起案件中，Scattered Spider 通过致电 IT 服务台获取特权凭证后，创建并使用了虚拟机（VM），随后利用其进行侦察（如 Active Directory 枚举），并尝试窃取 Outlook 邮箱文件以及从目标 Snowflake 数据库下载的数据。 Unit 42 表示：“该威胁行为者在专注于身份入侵和社会工程学攻击的同时，利用合法工具和现有基础设施隐藏行踪。”“他们隐秘运作并维持持久化控制。” 该网络安全公司还指出，Scattered Spider 长期针对 Microsoft Azure 环境，利用 Graph API 获取 Azure 云资源访问权限。 该组织还使用 ADRecon 等云枚举工具进行 Active Directory 侦察。 由于社会工程学已成为该网络犯罪集团的主要入侵入口，建议企业保持警惕，对 IT 服务台及支持人员开展培训，警惕提前编写的话术和熟练的语音冒充行为；执行严格的身份验证；收紧 MFA 策略，不再使用基于短信的认证方式；并审计服务台交互后的新用户创建或管理员权限提升日志。 Dataminr 表示：“此次招募行动标志着 SLH 的战术经过精心策划后发生了演变。” “通过专门寻找女性声音，该集团可能旨在绕过 IT 服务台人员受训识别的‘传统’攻击者特征，从而提升其冒充行为的成功率。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一个旨在模仿 Stripe 官方 .NET 库的恶意 NuGet 包，这标志着攻击战术从早前以加密货币为重点的活动转向更广泛的金融领域。 该包名为 StripeApi.Net，仿冒了 Stripe.net，后者是用于将 Stripe 支付集成到 Microsoft .NET 应用程序中的合法辅助库。 Stripe.net 下载量超过 7400 万次，被构建支付、账单和订阅系统的开发者广泛使用。这使得该恶意包尤为危险。 拼写仿冒活动针对开发者 ReversingLabs 在一份新通告中表示，威胁行为者并未试图入侵 Stripe 官方包，而是使用拼写仿冒手段，发布名称相似的包以诱骗开发者安装。 该伪造页面与正版 NuGet 页面高度相似。它使用了相同的图标、几乎一致的文档和匹配的标签。 发布者名称 “StripePayments” 的选择是为了显得可信，尽管该账户保留了 NuGet 默认头像，而非 Stripe 的标志。 研究人员表示，该恶意包显示下载量超过 18 万次。但他们同时指出，该数据似乎是人为夸大的。 威胁行为者并未让少量版本累积大量下载量，而是在 506 个版本中每个版本分布约 300 次下载，以营造使用量稳定的假象。 隐藏代码窃取 API 密钥 深入检查显示，该包大部分为合法的 Stripe 代码，但存在细微修改。关键方法被篡改，会在 StripeClient 类初始化时捕获 API 令牌。 被盗的 API 密钥和机器标识符一旦获取，便会被传输至攻击者控制的 Supabase 数据库。Supabase 提供托管式 PostgreSQL 服务，便于作为数据收集基础设施使用。 尽管下载量被夸大，但 ReversingLabs 表示，不太可能有开发者受到入侵。该包于 2 月 16 日发布后不久，该公司便进行了举报，NuGet 管理员在收到通知后随即移除了该包。对相关 Supabase 数据库的检查发现，其中并无被盗令牌，仅有一条测试记录。 ReversingLabs 警告称，该事件凸显了现代软件开发中长期存在的第三方风险。 该团队警告：“此类活动的频率不断上升，要求开发者转变思维方式。”“正如近期 Shai-hulud npm 恶意软件爆发事件所显示的，合法包可能会被入侵，并将恶意代码引入合法的开发流程。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 五眼情报联盟的网络安全机构于周三紧急警告称，“一名高级威胁行为者” 正在主动利用思科网络设备中的新漏洞，敦促各机构检查其系统是否已遭入侵。 美国网络安全与基础设施安全局（CISA）发布紧急指令，警告 “网络威胁行为者正在持续利用 Cisco SD-WAN 系统”，称该活动对联邦民用行政部门网络构成重大风险。 警报中提及的漏洞包括 CVE-2026-20127 和 CVE-2022-20775，这两个漏洞已被证实在现实环境中被利用。CISA 表示，经评估，当前情况 “对联邦机构构成不可接受的风险，必须采取紧急行动”。 英国国家网络安全中心（NCSC）也表示，“恶意网络威胁行为者正在针对全球各类机构使用的 Cisco Catalyst 软件定义广域网（SD-WAN）”，强调该活动并非仅限于美国。 NCSC 首席技术官 Ollie Whitehouse 表示，使用受影响思科产品的机构 “应立即排查自身网络是否面临入侵风险”，并开始查找已遭入侵的证据。 思科官方通告警告称，其产品中的 “多个漏洞” 可能 “允许攻击者访问受影响系统、将权限提升至 root、获取敏感信息并覆盖任意文件”。该公司强调，这些漏洞 “相互独立”，利用其中一个漏洞并不需要先利用另一个漏洞。 作为联合警报的一部分，澳大利亚信号局（该国网络与信号情报机构）发布了一份技术 “排查指南”，帮助机构判断黑客是否已进入其系统。 根据该指南，至少有一名恶意网络行为者自 2023 年起就一直在利用一个零日漏洞入侵 Cisco SD-WAN 环境，该漏洞于去年年底被发现并已修复。 文件称：“该漏洞允许恶意网络行为者创建一个恶意节点，加入机构 SD-WAN 的网络管理平面或控制平面。”“该恶意设备会以一个全新但临时的、由攻击者控制的 SD-WAN 组件形式出现，能够在管理和控制平面内执行受信任的操作。” 排查指南描述了获得此类权限的攻击者如何实现长期持久化控制，包括获取 root 权限并采取规避检测的措施，例如干扰日志记录与其他监控行为。 各机构尚未公开认定此次活动背后的威胁组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国医疗器械制造商 UFP Technologies 披露，一起网络安全事件导致其 IT 系统和数据遭到入侵。 UFP Technologies 是一家上市医疗工程与制造企业，生产广泛用于外科手术、伤口护理、植入物、骨科应用及医疗可穿戴设备的各类器械与组件。 最新数据显示，该公司拥有 4300 名员工，年收入 6 亿美元，市值 18.6 亿美元。 在昨日提交给美国证券交易委员会（SEC）的文件中，UFP Technologies 披露其于 2 月 14 日在 IT 系统中检测到可疑活动。该公司立即采取了隔离与补救措施，并聘请外部网络安全顾问协助调查。 调查初步结果显示，威胁已被清除，但黑客已从受入侵系统中窃取了数据。 SEC 文件中写道：“通过公司努力，相信造成此次网络安全事件的第三方已被清除出公司 IT 系统，公司访问受此事件影响信息的能力已在所有重要方面恢复。” “此次事件似乎影响了公司部分而非全部 IT 系统，并影响了开票、客户交付标签制作等功能。部分公司或与公司相关的数据似乎已被盗或被破坏。” 数据被破坏的情况表明这可能是勒索软件或擦除器攻击，尽管恶意软件的类型仍不明确。 科技媒体 BleepingComputer 已联系 UFP Technologies，询问此次攻击是否涉及数据加密 / 勒索支付要求，但暂未获得回应。 截至发稿，尚无勒索软件组织公开宣称对 UFP Technologies 发动攻击。 UFP Technologies 表示，目前尚未确定个人信息是否被窃取。若后续得到确认，将依法向受影响个人发送通知。 该公司称，尽管发生网络安全事件，其核心 IT 系统仍在运行。根据现有证据与评估，此次事件不太可能对其运营或财务造成重大影响。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从 2025 年 12 月开始，历时一个月，利用 Anthropic 公司的 Claude AI 聊天机器人进行攻击，识别漏洞、生成漏洞利用代码，并从墨西哥政府机构窃取敏感数据。 网络安全公司 Gambit Security 发现了此次攻击，并揭示了黑客如何通过持续不断的提示绕过 Claude 的安全防护措施。 据 Bloomberg 报道，此次攻击行动从 2025 年 12 月持续到 2026 年 1 月初。黑客编写了西班牙语提示，将 Claude 伪装成一名“精英黑客”，参与模拟漏洞赏金计划。 Claude 最初以人工智能安全准则为由拒绝了黑客的请求，但在黑客的反复劝说下最终妥协，生成了数千份包含可执行脚本的详细报告，用于漏洞扫描、漏洞利用和数据自动化。 当 Claude 达到极限时，攻击者转而使用 ChatGPT 进行横向移动和规避。 Gambit 的研究人员分析了对话日志，发现 Claude 生成了分步计划，明确了内部目标和所需的凭证。这种“智能”AI 辅助降低了网络攻击的门槛，除了 AI 订阅之外，无需任何高级基础设施。 目标和数据泄露 此次攻击的目标是高价值实体，并利用了联邦和州系统中至少 20 个漏洞。 总共泄露了 150GB 的纳税人、选民、凭证和注册数据，目前尚未有公开泄露报告。 Claude 的输出包括用于网络扫描的侦察脚本、SQL 注入漏洞利用程序以及针对过时政府系统定制的凭证填充自动化程序。 提示信息主要集中在常见的错误配置上，例如未打补丁的 Web 应用程序和弱身份验证，这些错误在墨西哥的旧式基础设施中很常见。 Gambit 指出，人工智能能够将任务串联起来，从漏洞发现到有效载荷部署，这与高级持续性威胁类似，但更易于单人操作。 Anthropic 对此事进行了调查，封禁了涉事账户，并为 Claude Opus 4.6 添加了实时滥用探测功能。OpenAI 确认 ChatGPT 会拒绝违反策略的提示。 墨西哥方面的回应各不相同：哈利斯科州否认存在数据泄露，墨西哥国家统计局 (INE) 声称没有未经授权的访问，而联邦机构则在评估损失。Gambit 排除了国家行为体参与的可能性，认为事件是由一名身份不明的个人所为。 埃隆·马斯克在 X 上发布了一张表情包，强调了人工智能的风险，而 xAI 的 Grok 则强调了其拒绝非法请求的功能。 此次事件凸显了“人工智能策划”的网络犯罪风险，越狱会将消费者模型转化为黑客工具。专家敦促各方迅速采取工程防御措施、行为监控，并在敏感操作中使用物理隔离的人工智能。 面对日益猖獗的智能体威胁，各国政府必须优先修补遗留系统，因为这些威胁不再需要精英黑客，只需要持续不断的黑客。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）于周二将近期披露的 FileZen 漏洞加入已知被利用漏洞（KEV）目录，理由是存在被主动利用的证据。 该漏洞编号为 CVE-2026-25108（CVSS v4 评分：8.7），属于操作系统命令注入漏洞，经过身份验证的用户可通过精心构造的 HTTP 请求执行任意命令。 CISA 表示：“Soliton Systems K.K 的 FileZen 在用户登录受影响产品并发送精心构造的 HTTP 请求时，存在操作系统命令注入漏洞。” 根据日本漏洞通报（JVN），该文件传输产品的以下版本受此漏洞影响： ·     版本 4.2.1 至 4.2.8 ·     版本 5.0.0 至 5.0.10 Soliton 在其通告中指出，仅当启用 FileZen 病毒检查选项时，该漏洞才可能被成功利用，并补充称 “已收到至少一起因利用该漏洞造成损害的报告”。 这家日本科技公司还透露，攻击者必须使用普通用户权限登录 Web 界面才能实施攻击。 建议用户更新至 5.0.11 或更高版本以缓解威胁。 该公司补充道：“如果你已遭受攻击或怀疑因该漏洞受害，除更新至 V5.0.11 或更高版本外，还请考虑修改所有用户密码作为预防措施，因为攻击者可能已获取至少一个真实账户的登录权限。” 建议联邦民用行政部门（FCEB）机构在 2026 年 3 月 17 日前完成必要的修复措施，以保障其网络安全。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行（RCE）、窃取敏感数据，并在受入侵系统中植入额外的有效载荷。 多重执行触发机制 Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架，它基于 React 运行，并使用 Node.js 作为后端。 微软防御团队表示，攻击者创建了伪造的基于 Next.js 构建的 Web 应用项目，并将其伪装成编码项目，在求职面试或技术评估环节分享给开发者。 研究人员最初发现了一个托管在 Bitbucket（基于 Git 的云端代码托管与协作服务）上的代码仓库。但随后发现了多个具有相同代码结构、加载器逻辑和命名模式的代码仓库。 当目标开发者按照标准流程克隆该仓库并在本地打开时，会触发恶意 JavaScript 代码，该代码在启动应用时自动执行。 该脚本从攻击者的服务器下载额外的恶意代码（一个 JavaScript 后门），并通过正在运行的 Node.js 进程直接在内存中执行，从而实现对设备的远程代码执行。 攻击链概述（来源：微软） 微软解释称，为提高感染率，攻击者在恶意代码仓库中嵌入了多重执行触发机制。具体总结如下： VS Code 触发机制 —— 配置了 runOn: “folderOpen” 的 .vscode/tasks.json 文件，会在项目文件夹被打开（且被信任）时立即执行一个 Node 脚本。 开发服务器触发机制 —— 当开发者运行 npm run dev 命令时，一个被植入木马的资源（如修改后的 JS 库）会解码隐藏的 URL，从远程服务器获取加载器并在内存中执行。 后端启动触发机制 —— 服务器启动时，一个后端模块会从 .env 文件中解码 base64 格式的端点地址，将 process.env 信息发送给攻击者，接收响应的 JavaScript 代码并通过 new Function () 执行。 感染过程会释放一个 JavaScript 有效载荷（第一阶段），该载荷会收集主机信息并向命令与控制（C2）端点注册，按固定时间间隔轮询服务器。 随后感染会升级为任务控制器（第二阶段），连接至另一个独立的 C2 服务器，检查待执行任务，在内存中执行下发的 JavaScript 代码，并跟踪衍生的进程。该有效载荷还支持文件枚举、目录浏览和分阶段文件窃取。 第二阶段的服务器轮询功能（来源：微软） 微软发现，此次攻击活动涉及多个具有相同命名规则、加载器结构和分级基础设施的代码仓库，表明这是一场协同攻击，而非单次攻击行为。 除技术分析外，研究人员未披露关于攻击者或攻击规模的任何细节。 这家科技巨头建议，开发者应将日常标准工作流程视为真正的高风险攻击面，并采取相应的防范措施。 建议的缓解措施包括启用 VS Code 工作区信任 / 受限模式、使用攻击面减少（ASR）规则，以及通过 Entra ID Protection 监控高风险登录行为。 应尽量减少存储在开发者终端上的敏感信息，并尽可能使用权限最小化的短期令牌。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zyxel 修复了多款路由器中的一处高危漏洞，该漏洞可使未认证攻击者在受影响设备上远程执行命令。 Zyxel 修复了编号为 CVE-2025-13942（CVSS 评分 9.8）的高危远程代码执行漏洞，该漏洞影响十余款路由器型号。 多款 Zyxel  CPE、光纤 ONT 及无线扩展器的 UPnP 功能存在命令注入漏洞，攻击者可通过构造的 UPnP 请求执行操作系统命令。 远程利用该漏洞需要同时开启 WAN 访问和存在漏洞的 UPnP 功能，而 WAN 访问在默认状态下是关闭的。 厂商发布的通告中写道：“部分 4G LTE/5G NR CPE、DSL / 以太网 CPE、光纤 ONT 及无线扩展器固件版本的 UPnP 功能存在命令注入漏洞，远程攻击者可通过发送特制的 UPnP SOAP 请求在受影响设备上执行操作系统命令。” “需要注意的是，这些设备的 WAN 访问默认为关闭状态，仅当 WAN 访问和存在漏洞的 UPnP 功能均被开启时，才能远程实施攻击。” CVE-2026-1459 影响多款 Zyxel DSL / 以太网 CPE 路由器型号，包括运行指定固件版本及更早版本的 DX5401-B1、EMG3525-T50B、EMG5523-T50B、VMG3625-T50B/C 和 VMG8623-T50B。 Zyxel 计划于 2026 年 3 月为所有受影响型号发布补丁固件。 该中国台湾厂商还修复了影响多款合勤 CPE、光纤 ONT、安全路由器及无线扩展器的其他漏洞。 CVE-2025-11847 和 CVE-2025-11848 是 IP 设置与网络唤醒 CGI 组件中的空指针解引用漏洞，已认证管理员可通过构造的 HTTP 请求触发拒绝服务。 CVE-2025-13943 和 CVE-2026-1459 是日志下载与 TR-369 证书功能中的认证后命令注入漏洞，可实现操作系统命令执行。 所有这些漏洞的 WAN 访问均默认为关闭状态，成功利用需要已泄露的管理员凭据。 普渡大学研究人员 Tiantai Zhang 披露了 CVE-2025-11845、CVE-2025-11846、CVE-2025-11847 和 CVE-2025-11848 漏洞。 Víctor Fresco 报告了 CVE-2025-13942 和 CVE-2025-13943 漏洞，Watchful IP 披露了 CVE-2026-1459 漏洞。 官方敦促用户立即更新受影响路由器，以防被漏洞利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索组织 ShinyHunters 公布了据称从美国数字汽车平台 CarGurus 窃取的超过 1200 万条记录中的个人信息。 CarGurus 是一家上市的汽车资讯与购车服务公司，业务覆盖美国、加拿大和英国。 其网站每月约有 4000 万访问者，帮助用户查找、对比新车和二手车，并与卖家联系。 2 月 21 日，该威胁组织发布了一个 6.1GB 的压缩包，内含 1240 万条记录，声称数据来自 CarGurus。 一天后，数据泄露监测与提醒平台 HaveIBeenPwned（HIBP）收录了该数据集，并列出以下泄露数据类型： ·     电子邮箱地址 ·    IP 地址 ·    姓名 ·    电话号码 ·    居住地址 ·    用户账户 ID ·    金融预审批申请数据 ·    金融申请结果 ·    经销商账户详情 ·    订阅信息 尽管 CarGurus 尚未发布官方声明披露数据泄露事件，也未回应 BleepingComputer 的置评请求，但需要注意的是，HIBP 在收录前会尝试核实泄露记录的真实性与有效性。 HIBP 报告称，70% 的泄露数据已在之前的事件中存入其数据库，因此约有 370 万条记录为新增数据。 由于这些信息可免费下载，网络犯罪分子可能会利用其实施钓鱼攻击。 ShinyHunters 将 CarGurus 列为其受害者（来源：BleepingComputer） 建议 CarGurus 用户警惕利用泄露信息发起的潜在恶意通信与诈骗行为。 数据勒索组织 ShinyHunters 近期十分活跃，宣称对多家大型企业发起攻击，并在谈判破裂后泄露其数据。 最近的案例包括荷兰电信运营商 Odido、广告技术公司 Optimizely、金融科技公司 Figure、服装品牌 Canada Goose、连锁餐厅 Panera Bread、在线交友公司 Match Group 以及音乐流媒体平台 SoundCloud。 该威胁组织通常使用社会工程学（最常见的是语音钓鱼）入侵机构，引导受害者访问凭证窃取页面，从而获取对 Salesforce、Okta、Microsoft 365 等 SaaS 平台的访问权限。 ShinyHunters 此前的攻击活动还包括诱骗员工安装恶意 OAuth 应用，从而获得对 Salesforce 内部客户数据表的 API 级读取权限。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场冒充加密货币经纪商 Bitpanda 的精密钓鱼攻击活动。 Cofense 在一份新通告中详细介绍了该行动，该行动结合了凭证窃取与大规模个人数据收集，使用与合法平台几乎完全一致的仿冒页面欺骗用户。 随着加密货币的普及，犯罪分子的兴趣也随之增加。 Cofense 分析师表示，此次最新攻击活动超越了常规的登录信息窃取，通过引导受害者经历分步式伪造多因素认证（MFA）流程，专门收集多种形式的个人可识别信息。 Cofense 解释称，观察到的攻击始于一封格式模仿 Bitpanda 官方通知的邮件，包含熟悉的品牌标识与布局。 邮件告知收件人，更新后的安全标准要求其重新确认信息，否则账户可能被封禁。 该警告营造了紧迫感。这也是一种常见的恐吓手段。 一个 “开始更新” 按钮会将用户导向欺诈网站。 尽管登录页面高度模仿真实的 Bitpanda 登录界面，甚至通过二维码链接到合法应用下载页面，但仔细检查会发现这是一个伪造域名。 据报告，该恶意域名在分析前几天才刚刚注册。 多步骤数据收集 输入凭证后，受害者会被引导进入更多验证页面，要求提供以下信息： ·     姓名 ·    电话号码 ·    居住地址 ·    出生日期 每一步都被包装成多因素认证流程的一部分。 收集到的信息可使攻击者重置密码、提交伪造的支持工单，或访问其他使用个人数据进行验证的账户。 填写完表单后，用户会看到一条验证成功的确认信息，随后被重定向至真实的 Bitpanda 登录页面。 如何防御此类攻击 “恶意攻击活动可分为大范围散布与高度定向两类。本例属于后者，其页面高度仿真真实服务，使用伪造域名，并且措辞让受害者产生虚假的安全感。它不仅窃取登录凭证，还收集用户敏感信息。”Cofense 写道。 “此类攻击活动可通过专门检测并隔离绕过安全电子邮件网关（SEG）威胁的工具进行防范。” 用户应将鼠标悬停在链接上检查目标网址，确认发件人地址与公司官方域名一致，并对威胁不立即操作就封禁账户的邮件保持警惕。 通过收藏夹或手动输入地址直接访问经纪平台，而非点击邮件内嵌链接，也能降低风险。 即使是域名或格式上的微小不一致，也可能表明这是欺诈网站。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，今年早些时候，一个俄语系威胁行为者利用商用生成式人工智能工具，入侵了全球 55 个国家的 600 多台 Fortinet FortiGate 防火墙设备。 亚马逊威胁情报团队在周五发布的报告中表示，此次攻击活动发生在 1 月中旬至 2 月中旬，利用的是薄弱的安全配置，而非高级技术漏洞。 这些黑客高度依赖多种商用 AI 服务生成攻击计划、自动化脚本并管理行动，使得研究人员口中的 “中低技术水平攻击者” 实现了以往只有大型、更复杂组织才能达到的攻击规模。 报告称：“商用 AI 服务能够降低网络攻击能力的技术准入门槛。”亚马逊未说明此次行动中使用了哪些 AI 工具。 研究人员表示，此次攻击背后的行为者似乎以牟利为目的，目前未知其与任何国家级黑客组织有关联。该行动属于机会主义攻击，并非针对特定行业，而是依靠自动化大规模扫描寻找存在漏洞的系统。受入侵设备分布在多个地区，包括南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。 亚马逊发现了大量俄语文档，其中包含 AI 生成的攻击计划、操作清单和定制代码，这些代码可将攻击行动的几乎所有阶段自动化，从最初的网络扫描到入侵后的信息上报。 攻击目标为 FortiGate 防火墙，这是广泛使用的安全设备，用于帮助机构管理网络流量和远程访问。 亚马逊表示，这些入侵并未利用新发现的漏洞。相反，攻击者定位的是存在暴露管理入口和弱身份认证的设备。 攻击者获取权限后，窃取了完整的设备配置，其中包含密码和网络架构详情。他们利用这些信息进一步深入内部系统。在部分案例中，攻击者获取了机构的 Active Directory 环境访问权限，并将目标对准备份系统，研究人员称这一行为可能是在为后续勒索软件攻击做准备。 研究人员还分析了从该攻击者基础设施中获取的定制工具，包括凭证提取、VPN 自动化和大规模扫描脚本。代码呈现出明显的 AI 辅助生成特征：在标准环境下可正常运行，但在异常场景中频繁失效。 报告指出：“该威胁行为者一旦尝试超出简单自动化攻击路径之外的操作，大多会失败。”报告提到，已打补丁的系统或基础防御措施多次迫使该组织放弃攻击行动。在某些情况下，攻击者自己的文档也承认目标防护过强，无法利用。 亚马逊表示，自身的云基础设施未卷入这些攻击。 研究人员警告称，此类攻击活动的数量可能会继续上升。他们补充道：“机构应做好准备，无论是高水平还是低水平攻击者，其利用 AI 增强的威胁活动都将持续增多。” 研究人员此前已发出警告，人工智能正在重塑网络攻击的实施方式。 谷歌在 11 月表示，国家级支持的黑客组织正在试验能够在执行过程中使用大语言模型的恶意软件，使恶意代码可以实时自适应调整，并有可能规避检测。 近期有研究人员报告称，与朝鲜、伊朗相关的高水平攻击者正在使用谷歌的 Gemini AI 系统提升攻击行动效率、优化恶意软件开发并收集目标情报。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文