HackerNews

HackerNews 编译，转载请注明出处：  据观察，与俄罗斯相关的威胁行为者UAC-0184一直在利用Viber即时通讯平台投递恶意ZIP压缩包，以此针对乌克兰军方和政府实体。 “该组织在2025年持续对乌克兰军方和政府部门进行高强度情报搜集活动”。 该黑客组织也被追踪为Hive0156，主要以在网络钓鱼邮件中利用战争主题诱饵，在针对乌克兰实体的攻击中投递Hijack Loader而闻名。该恶意软件加载器随后会成为感染Remcos远程访问木马的途径。 该威胁行为者最早由乌克兰计算机应急响应小组于2024年1月初记录。随后的攻击活动被发现利用Signal和Telegram等即时通讯应用作为恶意软件的传播载体。中国安全厂商的最新发现表明，这一战术得到了进一步演化。 攻击链包括将Viber用作初始入侵向量，分发包含多个Windows快捷方式文件的恶意ZIP压缩包。这些LNK文件伪装成Microsoft Word和Excel官方文档，以诱骗接收者打开它们。 这些LNK文件旨在向受害者展示一个诱饵文档以降低其怀疑，同时在后台通过PowerShell脚本从远程服务器获取第二个ZIP压缩包，从而静默执行Hijack Loader。 攻击通过一个多阶段过程在内存中重构并部署Hijack Loader，该过程采用了DLL侧加载和模块堆叠等技术来规避安全工具的检测。随后，该加载器通过计算相应程序的CRC32哈希值，扫描环境中安装的安全软件，例如卡巴斯基、Avast、BitDefender、AVG、Emsisoft、Webroot和微软的相关产品。 除了通过计划任务建立持久性外，该加载器还在通过将其注入”chime.exe”进程来隐蔽执行Remcos RAT之前，采取措施破坏静态签名检测。这款远程管理工具使攻击者能够管理终端、执行负载、监控活动并窃取数据。 “尽管作为合法的系统管理软件进行营销，但其强大的侵入能力使其经常被各种恶意攻击者用于网络间谍和数据窃取活动”，”通过Remcos提供的图形用户界面控制面板，攻击者可以对受害者的主机进行批量自动化管理或精确的手动交互操作。” 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位使用标识符1011进行活动的威胁行为者在暗网论坛上公开声称，其已获取并泄露了来自NordVPN开发基础设施的敏感数据。 据报道，此次泄露暴露了超过十个数据库的源代码，以及可能对该VPN提供商运营安全构成重大风险的关键身份验证凭证。 攻击者声称，他们是通过位于巴拿马的一台配置错误的开发服务器获得访问权限的。这一发现凸显了整个科技行业存在安全防护不足的开发环境所带来的持续脆弱性。 根据最初的披露，泄露的受损数据包括NordVPN核心系统的源代码仓库、Salesforce API密钥和Jira令牌。 这些凭证允许直接访问用于客户关系管理和项目跟踪的关键业务工具。 该威胁行为者已发布了样本SQL转储文件，揭示了敏感数据库表的结构，包括salesforce_api_step_details表和api_keys配置，这证明了其对NordVPN后端基础设施的访问权限。 Dark Web Informer的分析师在2026年1月4日威胁行为者在暗网论坛分享证据后，确认了此次泄露。 研究人员指出，这一事件例证了开发服务器为何常常因其相比生产环境更为宽松的安全配置而成为有吸引力的目标。 数据库架构信息和API密钥结构的泄露，显著增加了针对NordVPN更广泛生态系统发起后续攻击的风险。 此次攻击途径的核心是针对配置错误服务器进行凭证暴力破解，这种技术对于缺乏适当速率限制和访问控制的系统而言，仍然具有令人不安的效力。 这种方法涉及系统性地尝试各种密码组合直至获得进入权限，在防御措施缺失或不足的情况下，这是一种直接但有效的手段。 此次泄露与标准数据盗窃的不同之处在于源代码本身的暴露，这使得攻击者获得了数百万用户赖以保护隐私的系统的架构知识。 其影响超出了NordVPN的直接运营范围。随着API密钥和Jira令牌进入公开流通，威胁态势已扩大到包括在集成服务内进行潜在的横向移动，以及对内部项目管理系统的可能操纵。 安全研究人员建议NordVPN立即对所有开发基础设施进行安全审计，在所有平台上轮换已泄露的凭证，并通过强制执行多因素认证来加强身份验证协议。 管理类似开发环境的组织应实施更严格的访问控制和持续监控，以防止发生类似的泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WhatsApp的多设备加密协议长期存在元数据泄露问题，使得攻击者能够对用户设备的操作系统进行指纹识别，从而有助于精准投递恶意软件。近期研究显示Meta已进行部分修复，但透明度问题依然存在。 Meta旗下的WhatsApp拥有超过30亿月活跃用户，其使用端到端加密来保障消息安全；然而，其多设备功能却会暴露设备信息。 在该设置下，发送方与接收方的每个设备建立独立会话，使用的是在设备而非服务器上生成的唯一加密密钥。 密钥ID在实现上的差异，会揭示设备运行的是Android还是iOS系统，这对网络攻击链中的侦查环节至关重要。 攻击者可被动利用此漏洞，无需用户交互即可通过查询WhatsApp服务器获取会话密钥，从而识别操作系统类型，进而向Android设备部署精准漏洞利用程序和恶意软件，同时避免触及iOS设备或惊动受害者。 2024年初，Tal A. Be’ery在WOOT’24上的研究揭露了基于Signal协议实现的、按设备建立的会话会泄露设备数量、类型和身份信息。 同年晚些时候，攻击者已能精确定位特定设备进行漏洞利用。2025年，Gabriel Karl Gegenhuber等人在WOOT’25上详细阐述了操作系统指纹识别方法：Android的签名预密钥ID每月从0开始缓慢递增，而iOS的模式则截然不同。 Tal A. Be’ery使用定制工具验证了这一点，确认攻击者可将这些泄露信息串联起来：先检测操作系统，然后悄无声息地投递针对特定操作系统的恶意负载。 近期，WhatsApp已将Android签名预密钥ID的分配方式更改为在整个24位范围内随机取值，从而阻断了该攻击途径。这一变动是通过监测工具发现的，标志着Meta改变了先前认为此问题”无法采取行动”的立场。 然而，一次性预密钥仍然具有区分度：iOS的ID起始值较低且每隔几天递增，而Android则使用完全随机的范围。修复后经过调整的工具仍能可靠地检测出操作系统。 这使得高级持续性威胁能够利用WhatsApp作为传播恶意软件的渠道，正如Paragon间谍软件案例所示。查询过程中不会向用户发出任何通知，从而保持了攻击的隐蔽性。 批评者指出，此次修复措施的推出并未像处理另一个类似问题那样，向研究人员发出警报、提供漏洞赏金或分配CVE编号。CVE通过CVSS评分记录问题，而非用于指责；此类疏漏阻碍了问题的追踪。 虽然修复措施在持续改进，但实现跨平台的完全随机化并提高CVE透明度，将能更好地保护数十亿用户，促进社区协作。在当前风险持续存在的情况下，用户应限制关联设备数量并监控账户活动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业，利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。 蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。 在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中，冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。 ClickFix社会工程攻击是一种设计用于显示错误或问题，然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知，指示访问者在其计算机上运行命令来解决问题。 受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。 在这项新的ClickFix攻击活动中，攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件，通常发送给酒店企业。声称的退款金额足够大，足以给邮件接收者制造一种紧迫感。 点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站，Securonix将其描述为真实Booking.com网站的”高保真克隆”。 Securonix报告称：”该页面使用了Booking.com官方品牌元素，包括正确的配色方案、徽标和字体样式。在外行人看来，它与真实网站无法区分。” 该网站托管着恶意JavaScript，向目标显示虚假的”加载时间过长”错误，诱使他们点击按钮刷新页面。 然而，当目标点击该按钮时，浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面，从而启动ClickFix社会工程攻击。 该界面提示用户打开Windows”运行”对话框，然后按CTRL+V，这将粘贴已复制到Windows剪贴板的恶意命令。 接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。 真正的蓝屏死机消息不会提供恢复指令，只会显示错误代码和重启通知，但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。 粘贴提供的命令会运行一条PowerShell命令，该命令会打开一个诱饵性的Booking.com管理员页面。同时，在后台下载一个恶意的.NET项目（v.proj）并使用合法的Windows MSBuild.exe编译器进行编译。 执行时，该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限，然后使用后台智能传输服务下载主要加载器，并通过在启动文件夹中放置.url文件来建立持久性。 该恶意软件是DCRAT，一种远程访问木马，通常被威胁行为者用于远程访问受感染设备。 该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中，并直接在内存中执行。 首次与命令与控制服务器联系时，恶意软件会发送其完整的系统指纹，然后等待执行命令。 它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中，攻击者投放了一个加密货币挖矿程序。 随着远程访问的建立，威胁行为者现在在目标网络中获得了立足点，使他们能够传播到其他设备、窃取数据并可能危害其他系统。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Everest勒索软件组织声称已从全球保险基础设施平台Bolttech处截获了约186GB的数据。该威胁行为者正要求该公司支付赎金。 根据Everest在暗网泄露网站上发布的信息，其窃取的数据高度敏感。 该团伙声称：”我们掌握着高度敏感的数据，包括员工和代理账户（电子邮件、姓名、角色、标识符）、客户信息、联系详情、保单数据、抵押贷款相关记录、电话号码、电子邮件地址、被保险财产地址、财务参数以及内部运营标识符。” 为了支持其说法，该团伙发布了照片样本。网站上还有一个倒计时器和解释说明，声称如果本周晚些时候未收到Bolttech的回复，数据将被公开。 Cybernews研究团队在调查数据样本后表示，Bolttech数据被滥用的风险是严重的。 我们的研究人员解释说：”客户、员工的个人身份信息、保单标识符可能导致相关人员遭受网络钓鱼、身份信息被用于画像分析。保单ID也可能被用于向客户支持部门提交欺诈性索赔。” 目前还难以确定数据库中是否包含完整的地址信息。但研究团队补充道，如果包含，则人肉搜索的风险会更大。 Bolttech平台于2020年推出，连接保险公司、经纪商和技术平台，以实现保险单的数字化分销。其保险交易所处理的年总保费超过50亿美元，连接着超过150家保险公司。 今年夏天早些时候，总部位于新加坡的Bolttech完成了1.47亿美元的C轮融资，估值达21亿美元。该公司年收入约15亿美元。 Everest被认为是与俄罗斯有关的勒索软件团伙，于2021年首次被识别。它在2022年10月攻击美国电信巨头AT&T后成为头条新闻。当时，Everest声称能够访问AT&T的整个企业网络。 根据Cybernews的暗网监控工具Ransomlooker的数据，在过去的12个月中，Everest已经侵害了超过100家组织，使其成为当前最臭名昭著的网络犯罪集团之一。 Everest是当前运作中最具攻击性的勒索软件组织之一。它最近攻击了巴西石油巨头巴西国家石油公司和全球运动服装及鞋类品牌Under Armour。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： VVS 窃取器是一款基于 Python 编写的恶意软件，专门窃取 Discord 平台的账号凭证与令牌。据悉，这款恶意软件至少从 2025 年 4 月起便开始在电报平台上进行售卖。 该恶意软件采用 Python 代码混淆工具 Pyarmor 对自身代码进行深度混淆，以此阻碍安全人员的分析与检测工作。为此，安全研究人员对恶意软件样本进行了解混淆处理，才得以开展恶意代码的分析工作。 这款在电报平台上被宣传为 “终极窃取器” 的恶意软件，采用订阅制或授权制的售卖模式，价格区间从每周 10 欧元起，最高至终身授权 199 欧元。 VVS 窃取器：功能与攻击流程  VVS 窃取器具备多项恶意功能，包括窃取 Discord 平台数据、劫持用户会话、提取浏览器中保存的账号凭证，以及截取用户屏幕画面。它会通过添加开机自启项的方式实现持久化驻留，同时还会弹出伪造的错误提示信息，以此隐蔽自身的恶意行为。 帕洛阿尔托网络公司发布的报告指出：“一旦完成上述各类数据的提取，该恶意软件样本会将所有数据压缩为一个名为<用户名>_vault.zip的压缩包文件，随后通过 HTTP POST 请求，将该文件发送至预先设定的网络钩子端点，这一数据外传流程与 Discord 平台的数据窃取方式十分相似。” 研究人员对一个经 PyInstaller 打包、并通过 Pyarmor 混淆的 VVS 窃取器样本展开了分析。他们提取并还原了原始的 Python 字节码，确认该恶意软件基于 Python 3.11.5 版本开发，并获取了相关的 Pyarmor 混淆信息。通过重构.pyc文件头，研究人员成功反编译了这款恶意软件，还原出其源代码。 研究团队深入分析了 Pyarmor 的文件头信息、AES-128-CTR 加密算法，以及 BCC 编译模式 —— 该模式会将 Python 函数编译为 C 语言代码，并存储在 ELF 格式文件中。借助与 Pyarmor 授权相关的密钥和随机数，研究人员重构了加密的字节码、常量与字符串，最终还原出浏览器密钥提取等核心恶意功能。剥离这些混淆层后，安全人员才得以全面分析该恶意软件的攻击能力。 去除 Pyarmor 混淆保护后，研究人员证实 VVS 窃取器是一款技术成熟的恶意软件，攻击目标明确指向数据窃取与会话劫持。该恶意软件设有时间限制，将于 2026 年 10 月 31 日失效，且其发起的所有 HTTP 网络请求均使用固定的 Chrome 浏览器用户代理。它针对 Discord 平台的攻击流程为：定位并解密被加密的 Discord 令牌，随后调用 Discord 的应用程序编程接口（API），收集大量用户数据，涵盖账号详情、支付信息、多重身份验证状态、IP 地址以及系统元数据等内容。 报告进一步补充道：“该恶意软件样本会首先搜索可能存在的加密 Discord 令牌。这类加密令牌的字符串均以dQw4w9WgXcQ:为前缀。恶意软件会利用正则表达式，基于该前缀生成检索规则，随后在 LevelDB 目录下的.ldb或.log格式文件中检索匹配内容。收集到所有目标信息后，恶意软件会将其转换为 JavaScript 对象表示法（JSON）格式进行数据外传，传输方式同样是通过 HTTP POST 请求发送至预先设定的网络钩子端点，具体包括环境变量%WEBHOOK%所指定的地址，以及程序内置的备用地址。” Discord 开发者平台的资料显示：“网络钩子是一种便捷的工具，可直接向 Discord 的频道发送消息，无需借助机器人账号或进行身份验证。” 窃取到的数据会通过 Discord 网络钩子向外传输。此外，该恶意软件还会向 Discord 客户端中注入经过混淆处理的 JavaScript 脚本，以此劫持用户的活跃会话、监控用户操作，并维持自身在受感染设备中的持久化存在。不仅如此，VVS 窃取器还会针对多款基于 Chromium 内核及火狐内核的浏览器发起攻击，提取其中保存的密码、Cookie、浏览历史记录与自动填充数据，将这些信息打包为 ZIP 压缩包后，通过相同的网络钩子渠道完成数据外传。 该恶意软件还会调用 Windows 系统的MessageBoxW应用程序编程接口（API）弹出伪造的致命错误提示框，误导用户认为设备需要重启。 报告最后总结：“VVS 窃取器的出现，印证了 Pyarmor 这类本可用于合法用途的工具，也能被不法分子利用来开发隐蔽性极强的恶意软件，以窃取 Discord 等热门平台的用户凭证。这一威胁的出现，警示安全防护人员必须加强对凭证窃取与账号滥用行为的监测力度。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲监管机构正考虑对埃隆·马斯克的社交媒体平台X采取行动，因其人工智能工具Grok被用于生成未成年人的色情图像。 这是欧盟、英国与X平台（原Twitter）之间日益激烈的冲突中的最新焦点。美国政府指责其跨大西洋伙伴通过对该平台的监管实施非关税贸易壁垒。 本周，Grok在回应用户提示对一名14岁女演员图像进行”脱衣”后引发广泛愤怒。类似行为近期激增，该工具被用于”脱去”女性衣物并让她们身着比基尼摆拍。 马斯克未直接回应批评，但似乎通过Grok生成的一张穿着比基尼的烤面包机图像来淡化担忧。 巴黎检察官办公室周五向Recorded Future News证实，已收到法国两名议员的报告，指控“Grok生成并传播含未成年人在内的色情’深度伪造’内容”。该事件已被纳入检察官办公室对X平台的持续调查中，调查重点是该平台涉嫌未能遏制诈骗和外国干涉的传播。 英国政府发言人表示，计划全面禁止包括AI模型在内的各种形式的”裸体化工具”。”私密图像滥用是一种毁灭性犯罪，对妇女和女童的影响尤为严重。根据这项新刑事罪行，任何设计或提供此类裸体化工具的个人或公司都将面临监禁和巨额罚款。” 根据英国《网络安全法》，私密图像滥用目前属于优先处理罪行，这意味着大型科技平台负有法律责任首先防止其出现，并在发布后予以删除。 英国通信管理局发言人在声明中表示：”未经同意创建或分享私密图像或儿童性虐待材料（包括AI生成的色情深度伪造内容）属于非法行为，实施此类网络犯罪行为的个人将面临执法部门的起诉。” 此次Grok事件发生前，欧盟委员会上月已因X平台违反欧盟法律对其处以1.2亿欧元（约1.39亿美元）罚款。在罚款之前，X平台的全球政府事务团队曾指责欧盟委员会的执法行动是”前所未有的政治审查行为和对言论自由的攻击”。 在2024年总统大选前，特朗普的竞选搭档JD·万斯曾暗示欧盟对马斯克的对待将影响美国对北约的政策。就在罚款公布前，万斯在X平台声称欧洲计划因该公司”未进行审查”而罚款，并表示：”欧盟应该支持言论自由，而不是用垃圾理由攻击美国公司。” 美国联邦贸易委员会曾在8月警告国内科技公司，遵守欧盟和英国法规可能构成”为遵守外国法律而审查美国人”，这可能被视为违反禁止商业中不公平或欺骗性行为的法律。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  特朗普上周五下令撤销一项价值290万美元的计算机芯片交易，他认为如果当前所有者HieFo公司继续控制该技术，将威胁美国安全利益。 这项行政命令将焦点投向了一笔在2024年5月拜登政府时期宣布时几乎未引起关注的商业交易。该交易涉及航空航天与防务专业公司Emcore将其计算机芯片及晶圆制造业务以292万美元的价格出售给HieFo公司——此价格包含承担约100万美元的债务。 但特朗普现要求HieFo在180天内剥离该技术，理由是有”可信证据”表明当前所有者是中华人民共和国公民。 HieFo由张根造博士和哈里·摩尔共同创立。根据交易完成后发布的新闻稿，从Emcore收购的技术计划将由位于加利福尼亚州阿尔罕布拉市的原班员工团队主要负责监督。 在担任HieFo首席执行官之前曾任Emcore工程副总裁的张根造承诺，将利用包括人工智能在内的技术，”继续追求最具创新性和颠覆性的解决方案”。 HieFo未立即回应就特朗普行政令置评的请求。 在与HieFo交易时，Emcore是一家上市公司，但去年已被投资公司Charlesbank Capital Partner私有化。   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部本周宣布，两名美国网络安全行业从业者，已就其参与BlackCat（又名Alphv） 勒索软件攻击 相关指控认罪。 去年 10 月，美方曾指控三名人员针对多家美国本土企业实施勒索软件攻击。其中两名嫌疑人分别为来自得克萨斯州、36 岁的凯文・马丁，以及一名未公开身份的人士 —— 二人此前均在威胁情报与事件响应公司数字明特担任勒索软件谈判专员。第三名嫌疑人是来自佐治亚州、40 岁的瑞安・戈德堡，他曾任职于网络安全企业赛格尼娅，担任事件响应经理。 美方指控这三人非法入侵多家企业系统，窃取核心机密信息，并投放BlackCat勒索软件。 据司法部对该犯罪团伙运作模式的描述，这三名嫌疑人实为BlackCat勒索软件的附属成员。他们会将从受害者处获取的赎金抽取 20%，上缴给该勒索软件运营组织的管理者，以此换取文件加密恶意软件的使用权，以及专用敲诈勒索管理平台的访问权限。 司法部透露，三人曾从一名受害者处，通过比特币收取了 120 万美元赎金。 戈德堡与马丁均承认犯有敲诈勒索共谋罪—— 二人利用勒索软件瘫痪企业运营，以此实施敲诈。他们或将面临最高 20 年监禁，案件量刑听证会定于 2026 年 3 月 12 日举行。 2021 年 11 月至 2023 年 12 月期间，执法部门开展专项行动瓦解了该网络犯罪团伙，而在此期间，BlackCat勒索软件运营组织已针对超 1000 家机构发起攻击。该团伙并未就此销声匿迹，而是继续活动数月之久，直至从全康医疗处榨取 2200 万美元赎金后，才以 “跑路骗局” 的方式彻底收手。 自 2024 年初起，美国政府已悬赏 1000 万美元，征集与BlackCat 勒索软件团伙核心成员有关的线索，但截至目前，尚未公布相关抓捕指控进展。 值得注意的是，就在戈德堡与马丁认罪消息公布的数天前，乌克兰籍人士阿尔乔姆・斯特里扎克，也已在美国一家法院就其涅斐勒姆”勒索软件附属成员 的相关指控认罪。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 发现澳大利亚政府系统中的关键漏洞，使一名英国道德黑客获得了最难申请的签证类型之一。 36岁的雅各布·里格斯是一家大型软件即服务公司的全球信息安全总监，他获得了邀请制的858国家创新签证（原全球人才签证）。 据SWNS报道，该签证要求申请者具备卓越的专业能力，仅有不到1%的申请人（如诺贝尔奖得主和奥运奖牌获得者）能够获得。 在签证申请审查期间，里格斯发现并披露了澳大利亚外交贸易部运营的一个实时系统中的关键漏洞。 里格斯于7月从伦敦贝克斯利的家中进行了此次黑客行为，他表示这只是作为常规安全评估处理，并采用了与平时相同的方法。 在发现该机构未意识到的漏洞之前，他测试了多个入口点。 “发现漏洞大约用了一小时五十分钟。”他说。 DFAT将里格斯的名字列入了该部门的漏洞披露计划荣誉名单，正式认可了他的成就。 澳大利亚网络安全中心在2024-25财年收到了超过84,700份网络犯罪报告，企业每份报告的平均自报网络犯罪成本为80,850美元。 与此同时，国家支持的网络攻击者针对政府运营的关键基础设施和网络。 去年11月，澳大利亚政府对两家俄罗斯服务提供商（Media Land LLC和ML. Cloud LLC）实施制裁，原因是它们为恶意网络行为者和网络犯罪分子提供了勒索软件基础设施。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 昨日，美国对委内瑞拉发动 “大规模军事打击”，抓获委内瑞拉总统尼古拉斯・马杜罗及其夫人，目前二人已被押解至美国纽约，面临联邦指控。特朗普暗示，美国动用了网络攻击及其他技术手段切断了当地电力供应。 互联网监测机构NetBlocks在Mastodon上发文称：“已确认：监测数据显示，委内瑞拉加拉加斯部分地区的互联网连接中断，时间点与美国军事行动期间的停电情况吻合。此次行动对首都实施了打击，并将马杜罗总统拘捕带离委内瑞拉。” 据美国政治新闻网POLITICO报道：“唐纳德・特朗普总统表示，在对委内瑞拉首都加拉加斯发起军事打击、抓获委内瑞拉总统尼古拉斯・马杜罗的行动中，美方动用了网络攻击或其他技术手段切断了当地电力供应。”若该消息属实，这将是美国网络作战力量少有的一次公开实战应用。 特朗普在海湖庄园举行的新闻发布会上详述此次行动时称：“当时的加拉加斯一片漆黑，全城电力基本中断，这正是我们技术优势的体现。那是一个黑暗之夜，也是一场致命行动。” Tor的监测数据可以呈现，美军军事行动期间，委内瑞拉境内使用该匿名网络的用户数量是否出现显著变化。下图数据显示，该国 Tor 网络用户量出现急剧攀升。 委内瑞拉 Tor 用户数量的激增，是社会陷入严重政治与信息危机的典型信号。当民众意识到常规网络渠道已不再安全可靠时，便会转向具备匿名性、抗审查能力的工具，以此突破本土信息壁垒。 此次事件后，多重因素共同推动了这一趋势。 首先，有报道称社交媒体、即时通讯软件及独立新闻网站遭遇封锁、限流或选择性屏蔽，民众被迫使用 Tor 绕过网络过滤，获取境外媒体、非政府组织及流亡群体发布的信息。 其次，随着压制力度不断升级，活动人士、记者及普通民众愈发担忧自身网络浏览与通讯内容遭到监控。Tor 能够隐藏用户 IP 地址，并通过多节点中继传输网络数据，成为少数能保障用户安全组织活动、披露证据，甚至只是安全浏览新闻的工具。 最后，面对当局的网络管控，海外侨民网络与数字权利组织通常会迅速行动，推广 Tor 等工具并发布使用指南，一旦形成传播规模，用户数量便会出现爆发式增长。 图表呈现的趋势显示，前期使用量量平稳波动，后期突然跃升至此前基准线的数倍，与其他危机事件中的情况高度吻合，例如部分国家爆发大规模抗议活动或选举后动荡，当局随即实施网络管控时。这一变化并非临时性技术故障，而是民众网络行为的根本性转变：数万委内瑞拉人试图在常规网络渠道风险高企的当下，重新掌控自身的网络浏览、言论表达与信息分享权利。 值得一提的是，2025年12 月中旬，委内瑞拉国家石油公司PDVSA曾遭遇网络攻击，其石油出口业务一度受扰。该公司当时宣称，此次攻击仅波及部分行政系统，未对生产运营造成实质影响。 委内瑞拉国家石油公司强调，其安全防护机制有效避免了供应链及出口业务中断，并将此次网络攻击定性为一次蓄意挑衅，直指美方试图通过网络手段夺取委内瑞拉石油资源。该油气企业明确指控，美国政府是此次网络攻击的幕后黑手。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 索赔管理公司Sedgwick证实，其专注于政府业务的子公司正在处理一起网络安全事件。 在新年前夕，TridentLocker勒索软件团伙声称攻击了Sedgwick政府解决方案公司，并窃取了3.4千兆字节的数据。 Sedgwick的一位发言人证实，公司目前正在处理该子公司的一起安全事件。该子公司为国土安全部、移民和海关执法局、海关和边境保护局、公民及移民服务局、劳工部以及网络安全和基础设施安全局等联邦机构提供索赔和风险管理服务。 该发言人称：”在发现该事件后，我们立即启动了事件响应预案，并通过外部法律顾问聘请了外部网络安全专家，协助对受影响的隔离文件传输系统进行调查。” “重要的是，Sedgwick政府解决方案公司的系统与公司其他业务系统是隔离的，更广泛的Sedgwick系统或数据未受影响。此外，没有证据表明索赔管理服务器被访问，Sedgwick政府解决方案公司为客户提供服务的能力也未受影响。” 公司已通知执法部门，并正在就此事与客户保持沟通。 网络安全和基础设施安全局与国土安全部没有回应置评请求。该公司还为美国所有50个州的市政机构以及史密森尼学会和纽约与新泽西港务局提供服务。 网络安全专家表示，TridentLocker是一个于2023年11月新出现的勒索软件团伙。该团伙此前曾声称对比利时邮政与包裹服务公司bpost的攻击负责，bpost已证实近期遭遇了数据泄露。 自出现以来，该团伙在其数据泄露网站上总共列出了12个受害者。 勒索软件团伙曾多次针对像Sedgwick这样的联邦政府承包商。一年前，知名政府承包商Conduent遭受攻击后，超过1000万人的信息被泄露。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。 然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。 该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。 此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。 Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。 只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。 Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。 了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。 该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。 他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。 会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。 该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。 Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。 标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。 Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。 他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 5 月，Covenant Health遭遇Qilin勒索软件团伙攻击，导致超过 47.8 万名个人的数据安全受到影响。 总部位于马萨诸塞州安多弗市的Covenant Health, Inc.是一家提供医疗服务和患者护理的医疗机构，其运营的医院、诊所及相关医疗设施遍布多个州，包括马萨诸塞州、缅因州、新罕布什尔州、宾夕法尼亚州和佛蒙特州。 该机构的网络攻击始于 2025 年 5 月 26 日，导致旗下多家医院、诊所及医疗网点的系统被迫关闭。起初，尚不清楚是否存在数据被盗或勒索软件植入情况，Covenant Health随即聘请顶尖网络安全专家遏制事件影响并展开调查。尽管部分系统和门诊实验室受到波及，但医疗服务仍基本未中断，新罕布什尔州的圣约瑟夫医院及缅因州的两家医院也受到了此次攻击的影响，院方建议患者按原计划就诊。 目前，该医疗机构已通知相关用户，其个人信息和健康数据可能因 2025 年 5 月 18 日发生的网络攻击而泄露。 Covenant Health曾在 7 月报告称，有 7800 人受到此次数据泄露事件影响，但在 2025 年 12 月更新数据显示，受影响总人数已达 478188 人。 提交给缅因州总检察长办公室的数据泄露通知中写道：“2025 年 12 月 31 日，圣约健康公司已根据《健康保险流通与责任法案》（45 CFR § 164.404）及《缅因州修订法规》第 10 篇第 1348 条规定，向可能受影响的患者（包括缅因州居民）邮寄了通知函（随附通知函样本）。对于社会保障号码可能涉及此次泄露的马萨诸塞州居民，圣约健康公司将提供免费的信用监控和身份保护服务。”“同时，圣约健康公司已设立专属免费呼叫中心，解答与该事件相关的咨询。我们已加强信息技术环境的安全性，以防止此类事件再次发生。” 此次泄露的数据包括患者姓名、出生日期、住址、社会保障号码（SSN）、病历编号、健康保险信息，以及诊疗相关信息（如诊断结果、诊疗日期和治疗类型等）。 2025 年 6 月，Qilin勒索软件团伙宣布对该起攻击负责，并声称窃取了 850GB 的敏感数据。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 在发布的报告中称：“2025 年圣诞假期期间，GreyNoise 监测到一场针对 Adobe ColdFusion 服务器的协同漏洞利用攻击活动。此次攻击似乎由单一威胁行为者发起，其使用的基础设施位于日本（归属 CTG Server Limited 公司）。该攻击源贡献了约 98% 的攻击流量，系统性地利用了 2023 – 2024 年间披露的 10 余个 ColdFusion 相关 CVE 漏洞。” 这名单一威胁行为者借助日本的基础设施，产生了约 98% 的攻击流量，且利用了 2023 – 2024 年间的 10 余个 ColdFusion CVE 漏洞。攻击采用 ProjectDiscovery Interactsh 工具进行带外验证，主要攻击向量为 JNDI/LDAP 注入。大部分攻击活动发生在圣诞节当天，这一刻意选择的时间点，显然是为了利用假期期间安全监控力度减弱的漏洞。 研究人员共监测到 5940 条利用 2023 – 2024 年间 ColdFusion 漏洞的恶意请求，攻击峰值出现在 12 月 25 日。 这些请求的攻击目标主要集中在美国（4044 次）、西班牙（753 次）和印度（128 次）的服务器。 GreyNoise 已锁定该主导威胁行为者所使用的两个 IP 地址（134.122.136 [.] 119、134.122.136 [.] 96），这两个 IP 均由 CTG Server Limited 公司（自治系统编号 AS152194）托管，几乎所有已监测到的 ColdFusion 漏洞利用流量都来自这两个 IP。它们占总请求量的 98% 以上，在多数情况下同步运作，共享 Interactsh 会话，展现出自动化、协同化的行为特征，会循环使用多种攻击类型。少量攻击活动来自加拿大、印度、美国及 Cloudflare 网络中的其他几个次要 IP。CTG Server Limited 是一家在香港注册的服务商，其 IP 地址资源近期增长迅速，且此前就与钓鱼攻击、垃圾邮件、伪造路由以及薄弱的滥用行为管控存在关联，这使其作为 “纵容性托管环境” 的角色引发担忧。 以下是此次攻击所针对的 ColdFusion 漏洞清单： 分析表明，此次 ColdFusion 相关攻击活动，仅占这两个 IP 所发起的大规模漏洞扫描活动的约 0.2%。总体而言，该操作共产生超过 250 万条请求，针对 2001 – 2025 年间披露的 767 个 CVE 漏洞，涉及 1200 余种攻击特征码，以及数千个独特指纹和带外应用安全测试（OAST）域名。 该攻击活动以侦察为主要目的，随后开展漏洞利用、本地文件包含（LFI）及远程代码执行（RCE）尝试。攻击目标涵盖 47 余种技术栈，包括 Java 应用服务器、Web 框架、内容管理系统（CMS）平台、网络设备及企业级软件。从活动规模、覆盖漏洞的广度以及自动化特征来看，这是一场系统性、基于模板的侦察行动，覆盖了全球范围内的漏洞环境。 专家已发布此次攻击活动的入侵指标（IOC），供相关方参考防御。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ShadyPanda和GhostPoster背后的威胁行为体，目前被确认与第三项攻击活动有关，该活动代号为DarkSpectre，已影响了Google Chrome、Microsoft Edge和Mozilla Firefox的220万用户。 此活动经评估系一个中国威胁行为者所为，Koi Security以代号DarkSpectre对其进行追踪。总体而言，这三项活动在超过七年的时间里，总共影响了超过880万用户。 本月初，网络安全公司Koi Security首次揭露了ShadyPanda活动，该活动针对所有三种浏览器的用户，以促进数据窃取、搜索查询劫持和联盟欺诈。据发现，它影响了560万用户，其中包括130万新发现的受害者，这些受害者源自被标记为属于同一集群的100多个扩展程序。 这还包括一个名为”New Tab – Customized Dashboard”的Edge插件，该插件包含一个逻辑炸弹，在触发其恶意行为前会等待三天。这种延时激活的企图是为了在审查期间给人以合法的印象，从而获得批准。 其中9个扩展目前处于活跃状态，另有85个是”休眠潜伏者”，它们目前是良性的，旨在吸引用户基础，然后通过恶意更新将其武器化。Koi表示，在某些情况下，恶意更新是在扩展存在超过五年后才引入的。 第二项活动GhostPoster主要针对Firefox用户，通过看似无害的实用工具和VPN工具向他们投放恶意JavaScript代码，旨在劫持联盟链接、注入跟踪代码以及实施点击和广告欺诈。对此活动的进一步调查发现了更多浏览器插件，包括一个用于Opera的Google Translate扩展（开发者”charliesmithbons”），其安装量接近一百万。 最近的发现，”The Zoom Stealer”（Zoom窃取者），是DarkSpectre发起的第三次此类活动，其使用一组横跨Chrome、Edge和Firefox的18个扩展程序，通过收集在线会议相关数据（如包含密码的会议URL、会议ID、主题、描述、预定时间、注册状态等）来协助企业情报搜集。 已识别的扩展及其对应ID列表如下： Google Chrome: Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp) ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep) X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha) Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga) Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm) Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf) CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo) GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme) Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai) Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn) Mute All on Meet (adjoknoacleghaejlggocbakidkoifle) Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj) Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn) Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl) Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi) Microsoft Edge: Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj) Mozilla Firefox: Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, 发布者：”invaliddejavu”) x-video-downloader ([email protected], 发布者：”invaliddejavu”) 正如扩展名称所示，其中大多数被设计成模仿面向企业的视频会议应用工具（如Google Meet、Zoom和GoTo Webinar），通过WebSocket连接实时外泄会议链接、凭据和参与者列表。 每当用户通过安装了这些扩展之一的浏览器访问网络研讨会注册页面时，它还能收集关于网络研讨会演讲者和主持人的详细信息，例如姓名、职位、简介、个人资料照片、公司关联信息，以及徽标、宣传图片和会话元数据。 研究发现，这些插件会请求访问超过28个视频会议平台，包括Cisco WebEx、Google Meet、GoTo Webinar、Microsoft Teams、Zoom等，无论它们是否真的需要这些访问权限。 研究人员Tuval Admoni和Gal Hachamov表示：”这不是消费者欺诈——这是企业间谍基础设施。’Zoom窃取者’代表着更具针对性的东西：对企业会议情报的系统性收集。用户得到了广告宣传的功能。这些扩展赢得了信任和正面评价。与此同时，监控在后台悄然运行。” 网络安全公司表示，收集到的信息可能被用来推动企业间谍活动（将数据出售给其他不良行为者），并支持社会工程和大规模冒充行动。 此活动与中国相关联的线索基于以下几点：持续使用托管在阿里云上的命令与控制（C2）服务器；与中国省份（如湖北）相关的互联网内容提供商（ICP）备案；包含中文字符串和注释的代码工件；以及专门针对京东、淘宝等中国电子商务平台的欺诈计划。 Koi表示：”DarkSpectre现在很可能部署了更多的基础设施——那些看起来完全合法的扩展，因为它们目前确实是合法的。它们仍处于建立信任的阶段，积累用户、获得徽章、等待时机。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球仍有超过10,000台Fortinet防火墙存在CVE-2020-12812漏洞，这是一个在五年半前披露的多因素身份认证绕过漏洞. Shadowserver近期将该问题纳入其每日”易受攻击HTTP服务报告”，表明该漏洞仍遭活跃利用，相关设备的暴露风险持续存在。 CVE-2020-12812源于FortiOS SSL VPN门户中的身份验证不当问题，影响版本6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者只需在登录时更改合法用户名的大小写（例如将”user”改为”User”），即可绕过第二重身份验证因子（通常是FortiToken）。 这一漏洞的成因是大小写敏感性不匹配：FortiGate将本地用户名视为大小写敏感，而轻型目录访问协议服务器通常忽略大小写，使得攻击者可通过群组成员身份完成认证，无需触发多因素认证。 该漏洞的 CVSS v3.1 基础评分为 7.5（高危），具备网络可访问性、低攻击复杂度特点，可能对数据机密性、完整性和系统可用性造成影响。2021 年，勒索软件攻击者利用该漏洞实施攻击后，其被纳入美国网络安全与基础设施安全局的已知被利用漏洞目录。 近期攻击活动 2025年12月，Fortinet发布产品安全事件响应团队公告，详细说明该漏洞在野外的 “近期滥用情况”，且与特定配置相关：启用了MFA的本地FortiGate用户，关联到LDAP，并且属于映射到SSL VPN、IPsec或管理员访问身份验证策略的LDAP组。威胁行为者利用此漏洞获得未经授权的内部网络访问权限，促使Fortinet敦促立即进行检查和修补。 Shadowserver的扫描证实了该漏洞的持续性，其针对暴露端口上的易受攻击HTTP服务进行扫描。 Shadowserver的仪表盘显示，截至 2026 年 1 月初，存在该漏洞的设备数量超 10,000 台。世界地图可视化数据显示，漏洞暴露密集区域集中在北美、东亚和欧洲，非洲及南美洲部分地区的暴露程度相对较低。 Fortinet建议用户升级至修复后的 FortiOS 版本（6.0.10 及以上、6.2.4 及以上、6.4.1 及以上），并验证配置以避免本地 – LDAP 混合多因素认证部署模式。 同时，应禁用非必要的 SSL VPN 暴露面，执行最小权限原则，并监控日志中是否存在大小写变体登录尝试。企业应订阅影子服务器基金会的报告以获取定制化警报，并及时运行其易受攻击HTTP扫描。 这种持续存在的威胁凸显了企业防火墙中遗留漏洞带来的风险，这些漏洞可能为勒索软件攻击提供便利，或在被入侵的网络内实现横向移动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场规模空前的网络侧录攻击席卷全球网络，专门针对网购用户及账户注册用户发起攻击。安全研究人员发现，这场全球性攻击行动动用了 50 多个恶意脚本，在用户支付结账与账户注册环节拦截敏感信息，标志着网络犯罪分子攻击电商平台的手段已大幅升级 —— 从单纯窃取信用卡信息，演变为窃取用户完整身份信息。 一、攻击核心特征与技术手段 模块化定制负载：攻击者针对 Stripe、Mollie、PagSeguro、OnePay、PayPal 等主流支付网关开发专属恶意程序模块，使恶意代码能与合法支付界面完美融合，大幅降低安全团队与用户的检测难度。 伪装域名与传播网络：Source Defense Research查明攻击者搭建了复杂的域名网络用于分发和控制攻击，如googlemanageranalytic.com、gtm-analyticsdn.com、jquery-stupify.com等域名均伪装成常用分析工具或脚本库，以规避怀疑。 多元攻击向量与反取证 注入虚假支付表单，构建逼真钓鱼界面；采用静默侧录技术，在用户输入时秘密记录信息。 内置隐藏表单输入、生成符合卢恩算法的无效信用卡号等反取证手段，阻碍事件响应与分析。 攻击目标全面升级：不再局限于信用卡信息，还主动窃取用户登录凭证、个人身份信息与邮箱地址，进而发起账户劫持攻击，通过创建恶意管理员账户获取长期控制权，实现从单纯盗刷到全面身份盗用的转变。 二、攻击影响与持久化机制 该攻击已发展为成熟的长期驻留攻击模式：攻击者窃取凭证并获取管理员权限后，可长期控制受影响网站，持续从各类交易流程中窃取数据。对电商企业而言，此类攻击不仅会造成用户数据泄露，还可能因长期数据窃取导致巨额经济损失与声誉崩塌。 三、防御建议 电商平台运营方需强化客户端安全防护，具体措施包括： 部署内容安全策略（CSP），限制脚本执行权限。 实施实时支付表单监控，提前拦截恶意注入代码。 加强第三方脚本审计，采用子资源完整性（SRI）验证机制，确保外部脚本来源可信。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 30 日消息，节日期间两所法国高校遭遇网络攻击，数千名学生的数据据称已被窃取。里尔大学与格勒诺布尔高等管理学院本周成为攻击目标，其校名于 12 月 29 日出现在某臭名昭著的黑客论坛上，或致数千名学生信息面临泄露风险。这波攻击使本就遭遇内政部网络攻击、正处于网络安全修复期的法国雪上加霜，同时也呼应了美国多所顶尖高校今年频发的网络安全事件。 一、两所院校数据泄露详情 格勒诺布尔高等管理学院 网名为 CZX 的攻击者称于 11 月入侵该校系统，窃取 1.35GB 数据，波及超 40 万人（该校实际在校学生 7000 余人，数据含学生及外部订阅者信息）。 泄露数据包括姓名、邮箱、电话、住址、学术与职业背景、活动参与情况、订阅偏好、IP 地址等，来源疑似学校客户关系管理或营销系统。该攻击者此前也曾宣称入侵过其他法国企业与机构。 里尔大学 知名黑客组织 “LAPSUS$ 团伙” 宣称入侵这所拥有 8 万余名学生的法国顶尖高校，窃取近 2000 名学生数据。 泄露信息包含学生校内身份标识（NIP）、姓名、出生日期、住址、个人及工作邮箱、电话与行政数据等。研究人员指出，出生日期与其他个人信息一同泄露，大幅提升了身份被盗用的风险。 二、黑客组织背景与攻击关联 **LAPSUS\(团伙**：今年与Scattered Spider、Shiny Hunters合并为Scattered LAPSUS$ Hunters。6 月被谷歌威胁研究人员锁定，涉嫌攻击 Salesforce 及帕洛阿尔托网络、Cloudflare 等多家知名网络安全企业，还宣称入侵过戴尔、威瑞森等公司，之后虽宣称 “达成目标” 停止活动，但研究人员认为这是其在成员被捕后进行重组的策略。 近期法国其他网络攻击事件：两周前法国内政部遭网络攻击，已确认并逮捕一名嫌疑人；11 月欧洲光纤通信公司法国分部的工单管理平台被入侵，部分客户信息被盗。 三、欧美高校网络安全态势 美国哥伦比亚大学、耶鲁大学、哈佛大学今年均遭网络攻击。10 月，黑客组织 Cl0p 利用甲骨文电子商务套件的零日漏洞入侵哈佛大学，泄露 1.4TB 数据，含校内支付系统日志、内部工具源代码等；8 月哥伦比亚大学数据泄露，波及近 90 万人；4 月耶鲁大学合作酒店集团遭勒索软件攻击，私密数据被窃。 研究人员指出，此类高校攻击多以核心个人联系信息泄露为特征，而里尔大学因泄露出生日期，其风险等级更高，学生面临身份盗窃等威胁。目前相关高校暂未回应媒体问询。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文