HackerNews

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周二发布了一项名为“隐私AI计算”的全新隐私增强技术，旨在云端安全平台中处理人工智能查询。 公司表示，打造隐私AI计算是为了“在确保您的个人数据仅本人可见的同时，充分释放Gemini云端模型在AI体验中的全部速度与效能”。这项技术被描述为一个“安全加固空间”，以类似设备端处理的方式处理敏感用户数据，同时扩展了AI能力。其核心动力来自Trillium张量处理单元与泰坦智能安全飞地，使得公司能在不牺牲安全隐私的前提下使用前沿模型。 换言之，该隐私基础设施既利用了云端的计算速度与性能，又保留了设备端处理的安全隐私保障。 谷歌的CPU与TPU工作负载（即可信节点）基于AMD硬件可信执行环境，可对内存进行加密并与主机隔离。谷歌强调，只有经过认证的工作负载才能在可信节点运行，且管理员权限已被切断。此外，节点还具备物理防数据窃取攻击的能力。 该架构还支持可信节点间的点对点认证与加密，确保用户数据仅限在安全环境内解密处理，并隔绝于谷歌其他基础设施。“每个工作负载都会请求并加密验证对方的工作负载凭证，从而在受保护的执行环境中建立双向信任，”谷歌解释称，“工作负载凭证仅在节点认证通过内部参考值验证后才会发放。验证失败将阻止连接建立，从而保护用户数据免受不可信组件侵害。” 整体流程如下：用户客户端通过Noise协议与前端服务器建立加密连接，完成双向认证。客户端还通过Oak端到端加密认证会话验证服务器身份，确认其真实未经篡改。随后，服务器通过应用层传输安全协议与可扩展推理流水线中的其他服务建立加密通道，最终与运行在强化TPU平台上的模型服务器通信。整个系统采用“临时性设计”，即使用户会话结束后输入数据、模型推理及计算结果立即清除，即使攻击者获得系统特权也无法获取历史数据。 谷歌隐私AI计算架构 谷歌同时强调了内置的多重防护机制以保障系统安全性与完整性，防止未授权篡改，包括： 最大限度减少数据保密所需的可信组件与实体数量 采用机密联邦计算收集分析数据与聚合洞察 客户端与服务器通信全程加密 实施二进制授权，确保软件供应链中仅运行经签名授权代码与验证配置 在虚拟机中隔离用户数据以控制泄露影响 通过内存加密与输入输出内存管理单元防护抵御物理窃取 TPU平台实现零命令行访问权限 使用第三方运营的IP隐匿中继传输所有入站流量以隐藏请求真实来源 采用匿名令牌将系统认证授权与推理过程隔离 安全评估与改进 网络安全公司NCC集团在2025年4月至9月期间的外部评估中发现，IP隐匿中继组件存在基于时间的侧信道漏洞，特定条件下可能“去匿名化”用户。但谷歌认定该风险较低，因为系统多用户特性会产生“显著噪声”，使攻击者难以将查询关联到特定用户。评估还发现认证机制实施中的三处缺陷，可能导致拒绝服务状态及多种协议攻击，谷歌正全力修复所有问题。 评估报告指出：“尽管整套系统依赖专有硬件且集中部署于Borg Prime平台……但谷歌已严格限制用户数据遭异常处理或外泄的风险，除非谷歌整个组织蓄意而为。用户将获得针对恶意内部人员的高度防护。” 行业趋势与展望 此举与苹果和Meta的战略相呼应，这两家公司已分别推出私有云计算与隐私处理服务，以隐私保护方式将移动设备AI查询任务转移至云端。谷歌AI创新与研究副总裁杰·亚格尼克表示：“远程认证与加密技术将您的设备连接至硬件加密的密封云环境，使得Gemini模型能在专用受保护空间内安全处理数据。这确保了隐私AI计算处理的敏感数据仅限您本人访问，其他任何方（包括谷歌）均无法获取。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla（谋智）公司表示，其已研发出 “一套全新、独特且强效的防护机制，可抵御各类实际应用中的指纹追踪技术”，该机制随火狐 145 版本同步上线。此次升级预计能使易被指纹追踪技术定位的用户数量减少一半。 这批全新隐私防护功能将率先面向两类火狐用户开放：一类是已将增强型追踪防护功能设为严格模式的用户，另一类是使用隐私浏览模式（隐私窗口）的用户。后续，Mozilla 计划将该防护机制设为所有用户的默认开启功能。 Mozilla 在公告中称：“火狐是首款对指纹追踪技术具备如此深度洞察的浏览器，其部署的防护措施也是目前减少指纹追踪最为高效的。” 那么此次版本究竟有哪些具体更新？根据官方文档，火狐新版本实现了以下功能： 针对画布指纹追踪技术（这类技术利用不同设备渲染图像的独特方式实现追踪），当网站读取图像数据时，火狐会为生成的图像添加随机噪点；而仅当网站向画布元素渲染数据时，图像则不会被改动。不过对于采用这类追踪技术的网站，用户可能会察觉到图像中存在细微噪点。 火狐浏览器将不再调用设备本地安装的字体渲染网页文本，仅反馈操作系统自带的标准字体信息。 设备支持的同时触控点数将统一显示为 0、1 这两个数值，若实际支持点数为其他数值，则统一显示为 5。 屏幕分辨率与任务栏尺寸将采用标准化反馈方式：可用分辨率统一按屏幕实际分辨率减去 76 像素计算。 处理器核心数的反馈规则为：若设备处理器核心数超过 4 核，统一显示为 8 核；若不超过 4 核，则显示为 4 核。 这些新功能的落地，标志着反指纹追踪防护第二阶段的开发工作正式完成。 Mozilla 表示：“我们的研究显示，这些改进措施能使被识别为‘唯一用户’的比例降低近一半。” 此次推出的反指纹追踪防护功能，是在多年来逐步搭建的多层隐私安全防护体系基础上进一步优化而来。例如，火狐的增强型追踪防护功能长期以来始终会拦截已知的追踪脚本与指纹追踪脚本；此外，浏览器还提供全面 Cookie 隔离功能，并限制网站对用户其他各类信息的获取权限。 目前火狐已能够屏蔽多种主流指纹追踪技术，涵盖显卡图像绘制方式、设备安装的字体类型，甚至设备执行数学运算时存在的细微差异等追踪手段。 但需指出的是，若要完全消除用户指纹信息，几乎必然会破坏网页的正常使用体验。赛博新闻网此前就曾证实，即便禁用所有 Cookie 与追踪程序，用户仍可能被追踪到。 Mozilla 解释道：“看似更严格的指纹追踪拦截机制效果更好，但必然会导致部分正规网站功能失效。比如日程管理、日程安排以及视频会议类工具，都需要获取用户的实时时区信息，这一需求是合理且必要的。” 目前 Mozilla 尚未提及是否会像勇敢浏览器那样，对用户代理信息进行隐藏处理。当前火狐仍会向网站反馈用户的浏览器版本、操作系统等信息，同时还会暴露用户偏好语言、压缩支持情况以及 SSL-JA3 哈希值等数据。 如何开启增强防护功能？ 火狐 145 版本用户若想为所有网站开启该防护功能，可按以下步骤操作：进入浏览器设置界面，找到隐私与安全选项，然后自定义设置增强型追踪防护功能，勾选拦截已知及可疑指纹追踪程序的选项即可。 若开启该功能后某个特定网站出现无法正常加载的情况，用户可点击地址栏中的盾牌图标，通过切换按钮临时关闭该网站的增强型追踪防护功能。 此外，隐私浏览模式（打开 “新建隐私窗口”）会默认开启 “已知指纹追踪防护” 与 “可疑指纹追踪防护” 两项功能。详细操作说明可查阅 Mozilla 官方帮助文档。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汉堡知名的微缩景观馆已向多名游客发出通知，告知其遭遇了一起 “数据安全事件”。攻击者或许已获取了数十万人的信用卡数据。 这座微缩景观馆是德国北部城市汉堡最热门的旅游景点之一，也是全球规模最大的铁道模型展区。今年 4 月，曾有人在此释放刺激性气体。当时事件造成 46 人受轻伤，馆内游客被全部疏散，不过半小时后该场馆便解除警戒，允许游客重新进入。 而此次遭受的另一起攻击，其造成的影响可能要严重得多。近几个月内到访过该场馆的部分游客刚刚收到一封邮件，邮件中告知了这起 “数据安全事件”，并说明他们的个人信息有可能受到影响。 邮件中写道：“汉堡微缩景观馆遭遇了网络攻击，未获授权的第三方或已通过此次攻击获取了你的信用卡数据。我们认为场馆门票线上购票页面存在安全漏洞，这导致信用卡数据不仅直接传输至了我们的支付服务商处，还被发送至了另一台独立服务器。” 赛博新闻网已联系汉堡微缩景观馆，希望其就该事件作出回应，并表示收到回复后将更新相关报道。截至目前，暗网论坛中尚未出现任何与该场馆遭黑客攻击相关的消息。 据悉，此次数据安全事件影响的范围为 6 月 6 日至 10 月 29 日期间通过线上渠道用信用卡完成的购票交易。 该场馆每年接待游客超 150 万人次。尽管并非所有游客都会提前线上购票，但可以确定的是，此次网络攻击至少会波及数千名游客，其受影响人数甚至可能更多。 场馆方面推测，游客在门票线上购票页面填写的所有信用卡信息（包括持卡人姓名、卡号、信用卡验证码以及有效期）均已受此次事件影响。 微缩景观馆在发给游客的邮件中表示：“我们无法排除这些数据被滥用的可能性。因此，该事件可能会给你带来不良后果，例如因信用卡被盗刷造成财产损失，或是个人身份信息遭冒用等情况。” 场馆还补充称，发现该事件后已立即隔离了受影响的服务器。但据推测，游客个人数据的泄露时长其实已接近整整五个月。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个臭名昭著的关联俄罗斯勒索软件团伙声称，已从意大利最大的工业气体生产商之一窃取 159GB 数据，并已启动公开泄露倒计时。 这起勒索软件攻击的幕后黑手是关联俄罗斯的网络犯罪团伙 “珠穆朗玛峰集团”（Everest Group），该团伙已在暗网的泄露站点上将西亚德集团（SIAD Group）列为受害者。 西亚德集团是意大利领先的化工及工业气体公司，生产和分销应用于食品、医疗、汽车、冶金和化工制造等多个行业的气体产品。其业务还包括液化石油气（LPG）和天然气供应。 除气体生产外，该公司还研发气体处理设备、压缩机和自动化系统，并提供家庭及医院医疗保健服务。西亚德集团于 1927 年在贝加莫成立，2024 年营业额超过 11 亿欧元。 目前，该团伙尚未发布数据样本佐证其说法。受害者站点上的帖子包含一个计时器，显示该公司需在 8 天内联系网络犯罪分子，否则被盗数据将被公开。 西亚德集团勒索软件攻击事件 勒索软件团伙常将受害者列在暗网泄露站点上，试图通过勒索迫使企业支付赎金。 此次潜在数据泄露的影响范围和后果目前尚无法确定。 “尚未有任何证据上传，因此我们不清楚哪些系统可能受到影响，”Cybernews 研究人员表示。 “由于西亚德集团是多种工业耗材的主要供应商，若勒索软件攻击导致其生产运营中断，可能会使其无法向客户交付所需耗材，进而对欧盟地区的制造业、医疗保健和能源行业造成一定程度的干扰，” 研究人员补充道。 Cybernews 已联系该公司寻求说明，但尚未收到回应。 珠穆朗玛峰集团（Everest Group）是谁？ 珠穆朗玛峰集团大概率关联俄罗斯，于 2021 年 7 月首次现身。该团伙今年发动的最具破坏性攻击瞄准了航空业。 他们声称入侵了柯林斯航空航天公司（Collins Aerospace）及其 MUSE 值机软件 —— 这款软件用于机场值机和乘客管理。 此次攻击影响了欧洲多个主要机场，导致连续数日的出行混乱。随后，该团伙威胁要泄露与柯林斯航空航天公司入侵事件相关的都柏林机场乘客数据。 今年 9 月，该团伙声称宝马集团（BMW）遭其攻击，还宣称入侵了德国第二大银行德国中央合作银行（DZ Bank）的一家子公司，并威胁泄露被盗数据，但该银行否认发生过任何攻击事件。 7 月，该集团声称攻击了知名电子邮件营销平台 Mailchimp，窃取了一批 “公司内部文件”，但部分安全圈内人士称这些文件只是 “零星碎片”。 该团伙被认为与 BlackByte 勒索软件集团存在关联。5 月 22 日，珠穆朗玛峰集团将目标对准可口可乐中东分部，最终泄露了该公司多个配送中心近 1000 名员工的数据。 据悉，这起攻击似乎是针对全球最大可口可乐装瓶商 “可口可乐欧洲太平洋合作伙伴公司” 的大规模攻击的一部分，勒索软件团伙声称窃取了约 2300 万条记录。 在攻击可口可乐后数日，珠穆朗玛峰集团又声称攻击了知名国际私立医院集团 Mediclinic（在阿联酋设有分院）、阿布扎比文化和旅游部，以及约旦科威特银行（JKB）。 此外，该团伙还曾在 2022 年 10 月攻击美国电话电报公司（AT&T），据称当时试图出售 AT&T 整个企业网络的访问权限；2024 年秋季，还攻击了丽笙乡村旅馆及套房连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 “Fantasy Hub” 的新型安卓远程访问木马（RAT）。该恶意软件以 “恶意软件即服务（MaaS）” 模式，在俄语 Telegram 频道上售卖。 据卖家介绍，这款恶意软件可实现设备控制与窃密功能，能让威胁者收集短信、联系人、通话记录、图片和视频，还可拦截、回复及删除 incoming 通知。 Zimperium 研究员维什努・普拉塔帕吉里在上周的报告中表示：“它是一款配备卖家文档、视频教程和机器人驱动订阅模式的 MaaS 产品，降低了入门门槛，方便新手攻击者使用。” “由于它瞄准金融操作流程（伪造银行弹窗）并滥用短信处理权限（拦截双因素认证短信），因此对采用自带设备办公（BYOD）的企业客户，以及员工依赖移动银行或敏感移动应用的任何组织，都构成直接威胁。” 该威胁者在 Fantasy Hub 的广告中，将受害者称为 “猛犸象”—— 这一术语常被俄语区 Telegram 网络犯罪分子使用。 这款网络犯罪工具的买家会收到相关指导，包括创建用于分发的伪造谷歌应用商店（Google Play Store）落地页，以及绕过限制的步骤。潜在买家可自定义图标、名称和页面内容，获得外观精美的伪装页面。 管理付费订阅和生成器访问权限的机器人，还支持威胁者上传任意 APK 文件，随后返回嵌入恶意有效载荷的篡改版本。该服务的订阅方案为：单用户（即一个活跃会话）每周 200 美元、每月 500 美元，也可选择每年 4500 美元的年度订阅。 与该恶意软件关联的命令与控制（C2）面板，会显示受攻陷设备的详细信息及订阅状态，还能让攻击者下发指令收集各类数据。 Zimperium 指出：“卖家指导买家创建机器人、获取聊天 ID 并配置令牌，将普通警报和高优先级警报路由至不同聊天窗口。这种设计与上月披露的安卓 RAT‘HyperRat’高度相似。” 这款恶意软件借鉴了 ClayRAT 的手法，滥用默认短信权限获取短信、联系人、相机和文件访问权。它会诱导用户将其设为默认短信处理应用，从而一次性获取多项高级权限，无需在运行时逐一申请。 已发现的投放程序（dropper app）会伪装成谷歌应用商店更新，以营造合法性，诱骗用户授予必要权限。除了通过伪造弹窗窃取阿尔法银行（Alfa）、PSB 银行、T 银行（T-Bank）和俄罗斯联邦储蓄银行（Sberbank）等俄罗斯金融机构的银行凭证外，这款间谍软件还借助开源项目，通过 WebRTC 实时流式传输摄像头和麦克风内容。 普拉塔帕吉里表示：“Fantasy Hub 这类 MaaS 服务的快速崛起，表明攻击者能轻易利用安卓合法组件实现设备完全攻陷。与仅依赖弹窗的老式银行木马不同，Fantasy Hub 整合了原生投放程序、基于 WebRTC 的实时流传输和短信处理权限滥用功能，可实时窃取数据并伪装成合法应用。” 与此同时，Zscaler ThreatLabz 披露，受精密间谍软件和银行木马推动，安卓恶意软件交易同比增长 67%。2024 年 6 月至 2025 年 5 月期间，谷歌应用商店已标记出 239 款恶意应用，总下载量达 4200 万次。 同期观测到的知名安卓恶意软件家族包括 Anatsa（又称 TeaBot、Toddler）、Void（又称 Vo1d），以及一款名为 Xnotice 的新型安卓 RAT。该木马伪装成招聘应用，通过虚假招聘网站分发，专门针对中东和北非地区石油天然气行业的求职者。 这些恶意软件安装后，会通过弹窗窃取银行凭证，并收集多因素认证（MFA）码、短信和截图等其他敏感数据。 Zscaler 表示：“威胁者部署了 Anatsa、ERMAC 和 TrickMo 等精密银行木马，这些木马常伪装成合法工具或办公应用，出现在官方应用商店和第三方应用商店中。安装后，它们会采用高度欺骗性技术，窃取交易授权所需的用户名、密码乃至双因素认证（2FA）码。” 此前，波兰计算机应急响应小组（CERT Polska）也曾发布预警，提醒一款名为 NGate（又称 NFSkate）的安卓恶意软件新样本。该木马针对波兰银行用户，通过近场通信（NFC）中继攻击窃取银行卡信息。恶意应用链接通过钓鱼邮件或短信分发，这些信息伪称来自银行，以 “技术问题” 或 “安全事件” 为由，诱导用户安装应用。 受害者启动该应用后，会被要求将支付卡贴近安卓设备背面，在应用内直接验证。而这一操作会导致应用秘密捕获银行卡的 NFC 数据，并将其窃取至攻击者控制的服务器，或直接发送至攻击者安装的配套应用，以便在 ATM 机取现。 该机构表示：“此次攻击活动旨在利用受害者自身的支付卡，在 ATM 机进行未授权取现。犯罪分子无需物理盗取银行卡，只需将受害者安卓手机中的 NFC 流量，中继至攻击者在 ATM 机旁控制的设备即可。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Huntress 的最新调查结果显示，曾在今年 3 月出现活动激增的 GootLoader 恶意软件，在短暂沉寂后再度卷土重来。 这家网络安全公司表示，自 2025 年 10 月 27 日以来，已监测到三起 GootLoader 感染事件。其中两起导致攻击者手动入侵，且在初始感染后的 17 小时内就攻陷了域控制器。 安全研究员安娜・范指出：“GootLoader 回来了，如今它利用自定义 WOFF2 字体和字形替换技术混淆文件名。” 她补充道，该恶意软件 “利用 WordPress 评论端点，投递采用 XOR 加密的 ZIP 有效载荷，每个文件都配有唯一密钥”。 GootLoader 与代号为 Hive0127（又称 UNC2565）的威胁 actor 相关联，是一款基于 JavaScript 的恶意软件加载器。它常通过搜索引擎优化（SEO）投毒策略传播，用于投递勒索软件等其他有效载荷。 微软在去年 9 月发布的报告中披露，代号为 Vanilla Tempest 的威胁 actor 会接手 Storm-0494 通过 GootLoader 感染获取的访问权限，部署名为 Supper（又称 SocksShell 或 ZAPCAT）的后门程序，以及用于远程访问的 AnyDesk。这些攻击链最终会导致 INC 勒索软件的部署。 值得注意的是，Supper 还被发现与 Interlock 远程访问木马（RAT，又称 NodeSnake）存在关联 —— 后者主要与 Interlock 勒索软件相关联。Forescout 上月指出：“虽然没有直接证据表明 Interlock 使用 Supper，但 Interlock 和 Vice Society 都曾在不同时期与 Rhysida 勒索软件有关联，这表明在更广泛的网络犯罪生态系统中可能存在交集。” 今年早些时候，研究人员发现 GootLoader 背后的威胁 actor 曾利用谷歌广告，针对在搜索引擎上查找协议等法律模板的受害者，将其重定向至托管恶意 ZIP 压缩包的受攻陷 WordPress 站点。 Huntress 记录的最新攻击流程显示，攻击者利用必应（Bing）上 “密苏里州公用设施地役权道路保障” 等搜索词条，将毫无防备的用户引导至恶意 ZIP 压缩包的下载页面。此次攻击的显著特征是使用自定义网页字体，混淆浏览器中显示的文件名，以规避静态分析检测。 范解释道：“当用户试图复制文件名或查看源代码时，会看到诸如‘›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O [™€v3cwv,,’ 之类的怪异字符。” “但这些字符在受害者的浏览器中渲染时，会神奇地转化为完全可读的文本，比如‘Florida_HOA_Committee_Meeting_Guide.pdf’。这一效果通过自定义 WOFF2 字体文件实现 ——GootLoader 利用 Z85 编码（一种 Base85 变体，可将 32KB 的字体压缩至 40KB），将该字体文件直接嵌入页面的 JavaScript 代码中。” 研究人员还发现了一项新的规避技巧：恶意软件会修改 ZIP 文件，使其在通过 VirusTotal、Python ZIP 工具或 7-Zip 等工具打开时，解压出看似无害的.TXT 文件。而在 Windows 文件资源管理器中，该压缩包会提取出真正的目标有效载荷 —— 一个合法的 JavaScript 文件。 一位长期以 “GootLoader” 为化名追踪该恶意软件的安全研究员，在谈及此次技术演进时表示：“这种简单的规避技术通过向自动化分析工具隐藏有效载荷的真实性质，为攻击者争取了时间。” 压缩包中的 JavaScript 有效载荷用于部署 Supper 后门程序，该程序具备远程控制和 SOCKS5 代理功能。据称，在至少一起事件中，威胁 actor 利用 Windows 远程管理（WinRM）横向移动至域控制器，并创建了一个拥有管理员级权限的新用户。 Huntress 表示：“Supper SOCKS5 后门采用繁琐的混淆技术保护简单功能 ——API 滥用、运行时 shellcode 构建和自定义加密给分析工作带来了麻烦，但核心功能刻意保持基础：SOCKS 代理和远程 shell 访问。” “这种‘足够好用’的策略表明，当经过适当混淆的基础工具能够实现目标时，威胁 actor 并不需要尖端漏洞利用技术。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员发现一款名为 Coyote 的银行恶意软件，与新披露的通过 WhatsApp 传播的恶意程序 “Maverick” 存在诸多相似之处。 根据 CyberProof 的报告，这两款恶意软件均采用.NET 编写，以巴西用户和银行为攻击目标，具备相同的解密功能、银行 URL 定向功能及银行应用监控功能。更重要的是，两者都能通过 WhatsApp 网页版传播。 Maverick 于上月初由趋势科技首次记录在案，其攻击方被命名为 “水萨西”（Water Saci）。该攻击活动包含两个组件：一款名为 SORVEPOTEL 的自传播恶意软件，通过 WhatsApp 桌面网页版扩散，用于投递包含 Maverick 有效载荷的 ZIP 压缩包。 这款恶意软件会监控浏览器活动标签页，识别与预设拉丁美洲金融机构列表匹配的 URL。一旦检测到匹配 URL，它会与远程服务器建立连接，获取后续指令以收集系统信息，并推送钓鱼页面窃取凭证。 网络安全公司 Sophos 在后续报告中率先提出疑问，认为该活动可能与此前针对巴西用户传播 Coyote 的攻击事件相关，且 Maverick 可能是 Coyote 的升级版。卡巴斯基（Kaspersky）的另一项分析发现，Maverick 与 Coyote 存在大量代码重叠，但仍将其视为针对巴西的全新大规模威胁。 CyberProof 的最新调查结果显示，该 ZIP 文件包含一个 Windows 快捷方式（LNK 文件）。用户启动该快捷方式后，会运行 cmd.exe 或 PowerShell 连接外部服务器（zapgrande [.] com），下载第一阶段有效载荷。该 PowerShell 脚本能够启动中间工具，禁用微软 Defender 杀毒软件和用户账户控制（UAC），并获取.NET 加载器。 该加载器具备反分析技术，会检测逆向工程工具的存在，一旦发现便自动终止运行。随后加载器会下载攻击的核心模块：SORVEPOTEL 和 Maverick。值得注意的是，Maverick 仅在通过检测受感染主机的时区、语言、地区及日期时间格式，确认受害者位于巴西后才会安装。 CyberProof 还发现该恶意软件被用于针对性攻击巴西的酒店，表明其攻击目标可能正在扩大。 与此同时，趋势科技详细披露了 “水萨西” 的新型攻击链 —— 该攻击链采用基于电子邮件的命令与控制（C2）架构，依赖多向量持久化技术保障攻击韧性，并整合多项高级检测规避机制，提升操作隐蔽性，且仅在葡萄牙语系统中执行。 这家网络安全公司在上月末发布的报告中表示：“新攻击链还配备了复杂的远程命令与控制系统，允许攻击者进行实时管理，包括暂停、恢复和监控恶意软件活动，将受感染设备有效转化为僵尸网络工具，实现跨多个端点的协同动态操作。” 该感染流程未使用.NET 二进制文件，而是采用 Visual Basic 脚本（VBScript）和 PowerShell 劫持 WhatsApp 浏览器会话，并通过这款即时通讯应用传播 ZIP 文件。与此前的攻击链类似，WhatsApp 网页版劫持通过下载 ChromeDriver 和 Selenium 实现浏览器自动化。 攻击触发机制为用户下载并解压 ZIP 压缩包，其中包含一个经过混淆处理的 VBS 下载器（“Orcamento.vbs”，即 SORVEPOTEL）。该下载器会执行一条 PowerShell 命令，直接在内存中下载并运行 PowerShell 脚本（“tadeu.ps1”）。 该 PowerShell 脚本用于控制受害者的 WhatsApp 网页版会话，向账户关联的所有联系人分发恶意 ZIP 文件，同时显示名为 “WhatsApp Automation v6.0” 的虚假弹窗，掩盖其恶意意图。此外，该脚本还会连接 C2 服务器，获取消息模板并窃取联系人列表。 趋势科技指出：“恶意软件会终止所有现有 Chrome 进程并清除旧会话以确保操作纯净，随后将受害者的合法 Chrome 配置文件数据（包括 Cookie、认证令牌和已保存的浏览器会话）复制到其临时工作目录。” “这种技术能够完全绕过 WhatsApp 网页版的认证机制，无需扫描二维码或触发安全警报，即可直接访问受害者的 WhatsApp 账户。” 该公司补充称，这款恶意软件还内置了复杂的远程控制机制，允许攻击者实时暂停、恢复和监控 WhatsApp 传播过程，使其成为能够像僵尸网络一样控制受感染主机的恶意程序。 在 ZIP 文件的实际分发过程中，PowerShell 代码会遍历所有窃取的联系人，发送个性化消息前先检查是否存在暂停指令。个性化消息通过在模板中替换变量，插入基于时间的问候语和联系人姓名生成。 SORVEPOTEL 的另一大显著特征是，它未使用传统的基于 HTTP 的通信方式，而是利用硬编码的电子邮件凭证，通过 IMAP 协议连接terra.com[.] br 邮箱账户，获取攻击指令。部分此类账户已启用多因素认证（MFA）以防范未授权访问。 网络安全与基础设施安全局（CIS）构建工具包 据称，这一额外安全层导致攻击操作出现延迟 —— 每次登录都需要攻击者手动输入一次性认证码才能访问邮箱，获取用于发送指令的 C2 服务器 URL。随后后门程序会定期轮询 C2 服务器，获取攻击指令。支持的指令列表如下： INFO：收集详细系统信息 CMD：通过 cmd.exe 运行命令，并将执行结果导出至临时文件 POWERSHELL：运行 PowerShell 命令 SCREENSHOT：截取屏幕截图 TASKLIST：枚举所有运行中的进程 KILL：终止特定进程 LIST_FILES：枚举文件 / 文件夹 DOWNLOAD_FILE：从受感染系统下载文件 UPLOAD_FILE：向受感染系统上传文件 DELETE：删除特定文件 / 文件夹 RENAME：重命名文件 / 文件夹 COPY：复制文件 / 文件夹 MOVE：移动文件 / 文件夹 FILE_INFO：获取文件的详细元数据 SEARCH：递归搜索匹配指定模式的文件 CREATE_FOLDER：创建文件夹 REBOOT：30 秒延迟后重启系统 SHUTDOWN：30 秒延迟后关闭系统 UPDATE：下载并安装自身更新版本 CHECK_EMAIL：检查攻击者控制的邮箱，获取新的 C2 服务器 URL WhatsApp 在巴西拥有超过 1.48 亿活跃用户，是全球第二大市场（仅次于印度），其广泛普及成为该攻击活动大规模扩散的关键推手。 趋势科技表示：“攻击方式及战术的持续演进，加之区域定向攻击特征，表明‘水萨西’很可能与 Coyote 存在关联，且这两个攻击活动均隶属于同一巴西网络犯罪生态系统。” 该公司形容攻击者在 “数量和质量上都极具攻击性”。 “将‘水萨西’攻击活动与 Coyote 关联后，我们发现银行木马的传播方式已发生重大转变。攻击者已从依赖传统有效载荷，转向利用合法浏览器配置文件和即时通讯平台，实施隐蔽且可规模化的攻击。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 得克萨斯州总检察长肯・帕克斯顿已对在线游戏平台 Roblox 提起诉讼，指控其将儿童置于危险之中，且无视网络安全相关法律。 帕克斯顿于 11 月 6 日在 X 平台（原推特）宣布了该诉讼，称自己 “起诉 Roblox 是因为其将虚拟世界中的恋童癖者和商业利润置于得州儿童的安全之上”。 “我们绝不能允许像 Roblox 这样的平台继续沦为捕食者的数字游乐场 —— 在那里，孩子们的福祉被献祭给企业贪婪的祭坛。” 帕克斯顿补充道。 该诉讼详细指出，Roblox 已成为 “捕食者的滋生地”，使儿童面临多种网络伤害，包括 “色情内容、性剥削及诱导侵害”。 诉讼解释，捕食者会在儿童玩游戏时主动接触他们，随后在私人聊天中进行诱导，最终试图在网络上或现实中伤害儿童。此外，捕食者还会以平台虚拟货币 “罗布克斯（Robux）” 为诱饵吸引儿童，而这种虚拟货币极易让人上瘾。 诉讼还提及 “764” 威胁组织的活动，该组织专门剥削儿童并传播色情内容。诉讼称，Roblox 非但未采取行动，反而 “欺诈性地” 将自身平台宣传为对儿童安全无害。 帕克斯顿此前曾对 TikTok 提起类似诉讼，指控该平台未经家长同意就分享儿童的敏感个人信息，违反了得克萨斯州法律。 过去几个月里，Roblox 已遭到美国多个州的起诉。路易斯安那州总检察长莉兹・默里尔（Liz Murrill）以 “缺乏安全协议，危及路易斯安那州儿童安全” 为由起诉该平台；肯塔基州总检察长拉塞尔・科尔曼（Russell Coleman）则因平台让儿童接触暴力或色情场景对其提起诉讼。 Roblox 向哥伦比亚广播公司新闻（CBS News）表示，该诉讼基于 “耸人听闻、过时且断章取义的信息”。 “目前，我们尚未收到总检察长办公室关于我们平台或安全功能的任何联系，但我们欢迎与总检察长办公室及所有政策制定者进行直接对话，以确保他们清楚了解 Roblox 为保护用户安全所做的一切。”Roblox 在电子邮件声明中称，“保障儿童网络安全需要全行业的协作努力，我们对此表示欢迎。”   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家医疗技术公司近日成为勒索攻击目标，黑客威胁称若不支付赎金将公开超过120万条患者医疗记录。据称失窃数据包含从诊断结果到检查总结在内的全方位敏感医疗信息。 网络犯罪分子在某知名数据泄露论坛上公开宣布此次攻击，声称近期从为医生提供计费服务的Doctor Alliance公司窃取了这些数据。Cybernews研究团队对攻击者公布的200MB数据样本进行分析后确认，其中包含各类高度敏感的医疗记录： 处方笺与治疗方案 检查总结与医院订单 患者姓名、家庭住址、电话号码 医保理赔编号 具体诊断信息 接诊医生姓名 研究团队警告：“此类医疗数据泄露使患者面临严重的身份盗用和医疗欺诈风险，例如冒用受害者名义获取医疗服务或处方药物。医患双方都可能成为社交工程攻击的目标。” 更严重的是，与可重置的密码或信用卡不同，医疗和生物特征数据具有不可再生性，一旦泄露将造成永久性隐私暴露。医疗数据在网络黑市中价值极高，犯罪分子常利用这些信息提交虚假医疗索赔，甚至非法购买处方药物。 总部位于达拉斯的Doctor Alliance公司与多家美国医疗机构保持合作，包括Intrepid、AccentCare、Carter、Interim等知名企业。该公司宣称过去15年间已协助签署数百万份医疗文件。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 供应链安全公司Socket近日发现九个由”shanhai666″发布的恶意NuGet软件包，这些在2023至2024年间发布的软件包已被下载9，488次，其内预置的延时攻击载荷将在2027年8月至2028年11月期间陆续激活，目标直指数据库与工业控制系统。 研究人员指出，最具危害性的Sharp7Extend软件包采用双重破坏机制针对工业PLC：安装后立即随机终止进程，并在30-90分钟后开始引发静默写入故障，直接影响制造环境中的安全关键系统。这些软件包中99%均包含完全正常的功能代码以掩盖恶意行为。 恶意软件包完整名单包括： SqlUnicorn.Core、SqlDbRepository、SqlLiteRepository、SqlUnicornCoreTest、SqlUnicornCore、SqlRepository、MyDbRepository、MCDbRepository、Sharp7Extend。 攻击手法上，恶意包通过名为Sharp7Extend的仿冒组件捆绑正版Sharp7库与隐藏恶意代码，利用C#扩展方法（.Exec和.BeginTran）截获操作指令。攻击触发器经过精心设计：SQL Server版本将于2027年8月8日激活，其他数据库版本于2028年11月29日激活，而Sharp7Extend则立即激活并持续运行至2028年6月6日。 特别值得关注的是，Sharp7Extend在30-90分钟潜伏期后，将以80%的概率令写入操作静默失败，影响执行器、设定点、安全系统与生产控制。这种随机崩溃与隐藏数据损坏的组合机制使得攻击极难被察觉。 该活动展现出NuGet供应链攻击中罕见的精密特性：从安装到触发最长可达三年的时差，结合20%概率执行机制，使得系统故障极易被误判为随机崩溃或硬件问题。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，针对Visual Studio Code生态系统的GlassWorm恶意软件活动再现新动向。三款仍可下载的VS Code扩展被发现植入该恶意代码，总安装量已近万次。 涉事扩展包括： ai-driven-dev.ai-driven-dev（3，402次下载） adhamu.history-in-sublime-merge（4，057次下载） yasuyuky.transient-emacs（2，431次下载） GlassWorm攻击活动最初由Koi Security于上月末披露，其独特之处在于使用不可见Unicode字符隐藏恶意代码，并通过窃取的凭证进一步入侵其他扩展，形成类似蠕虫的自我复制传播循环。该恶意软件主要窃取Open VSX、GitHub和Git凭证，盗取49款加密货币钱包扩展资金，并投放远程访问工具。 尽管Open VSX注册中心已于10月21日下架所有恶意扩展并撤销相关令牌，但Koi Security最新报告显示，攻击者通过向Solana区块链提交新交易，成功更新了命令与控制（C2）服务器地址。研究人员指出：”这彰显了基于区块链的C2基础设施韧性——即使载荷服务器被关闭，攻击者仅需支付极低成本提交新交易，所有受感染机器就会自动获取新地址。” 安全厂商还意外发现攻击者服务器上暴露的端点信息，受害者名单涵盖美国、南美、欧洲和亚洲等多个地区，其中包括中东某主要政府机构。通过对攻击者机器上获取的键盘记录数据进行分析，研究人员判定威胁行为主体使用俄语，并采用开源浏览器扩展C2框架RedExt作为其基础设施组成部分。 Koi Security警告：”这些受害组织与个人的凭证已被窃取，其机器可能正在为犯罪活动提供代理基础设施，内部网络或已遭渗透。”与此同时，Aikido Security最新研究显示，GlassWorm已扩大攻击范围开始针对GitHub，被窃凭证正被用于向代码库推送恶意提交。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一场针对酒店业的大规模钓鱼攻击活动。攻击者通过仿冒Booking.com的钓鱼邮件，诱骗酒店经理点击伪造的验证页面，进而部署名为PureRAT的远程访问木马。 据法国安全公司Sekoia分析，该活动至少自2025年4月持续至10月初。攻击者首先入侵合法邮箱账户，向多家酒店发送精心伪造的邮件，将受害者引导至伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面通过复杂重定向机制，最终诱使用户执行恶意PowerShell命令。 攻击链最终下载的ZIP压缩包内含通过DLL旁加载技术激活的PureRAT恶意软件。这款模块化木马具备键盘记录、远程控制、摄像头捕获、文件窃取等全方位监控功能，并通过.NET Reactor进行混淆保护，还通过注册表实现持久化驻留。 更严重的是，攻击得手后，犯罪分子会利用窃取的酒店预订平台账户，通过WhatsApp或邮件联系真实客户，以”确认预订信息”为名诱导其进入仿冒的Booking.com或Expedia页面，进而窃取银行卡信息。 调查发现，犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息，甚至按利润分成招募分销专家。Sekoia观察到专门用于交易预订平台日志的Telegram机器人，以及提供人工验号服务的黑产供应商。 值得注意的是，ClickFix攻击页面近期持续升级，新增嵌入式视频、倒计时器和”近期验证用户”计数器等元素，还能根据受害者操作系统自动显示对应指令，并采用剪贴板劫持技术自动复制恶意代码。 Push安全公司警告称：”ClickFix页面正变得日益精密，有效提升了社交工程攻击的成功率。其攻击载荷不仅更加多样，还不断演化出规避安全检测的新手法。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项最新研究显示，人工智能领域正面临严峻的数据安全挑战。网络安全公司Wiz发布的调查报告指出，《福布斯》AI 50强榜单中65%的头部企业都存在密钥泄露问题。 研究人员对50家顶尖私营AI公司进行深入调查，发现这些总估值超4000亿美元的企业均在GitHub平台上泄露过经过验证的敏感信息，包括API密钥、访问令牌等重要凭证。研究表明，AI技术的快速创新已经超越了基础网络安全防护的推进速度。 值得关注的是，泄露风险与企业规模并不直接相关。调查发现，一家仅14名员工、未设公开代码库的公司仍然发生密钥泄露，而另一家拥有60个公开代码库的企业却凭借完善的安全措施实现了零泄露。 深入挖掘 为全面评估风险，Wiz研究人员采用了创新的“深度、边界与覆盖”检测框架，将扫描范围从传统的GitHub搜索扩展到提交历史、删除分支、代码片段乃至贡献者的个人代码库。这种方法成功发现了标准扫描工具经常遗漏的隐藏密钥。 在最常泄露的凭证中，来自WeightsAndBiases、ElevenLabs和HuggingFace等平台的API密钥位列前茅。其中部分密钥一旦被恶意利用，将导致攻击者获取私有训练数据或企业机密信息——这些正是AI研发的核心资产。 披露挑战 尽管LangChain、ElevenLabs等公司在发现问题后迅速采取了修复措施，但整体漏洞披露机制仍不完善。近半数的安全通报未能获得回应或未能送达目标企业，许多机构甚至缺乏接收和处理漏洞报告的正式流程，暴露出企业安全防护体系的重大缺陷。 具体案例显示，LangChain的API密钥在Python和Jupyter文件中被发现，而ElevenLabs的密钥则暴露在纯文本配置文件中。更严重的是，一家未具名的AI 50强企业在已删除的分支中存有HuggingFace令牌，导致约1000个私有模型面临泄露风险。 强化防御 为应对这些威胁，Wiz研究人员建议AI初创企业采取三项关键措施：对所有公开代码库实施强制性的密钥扫描、为外部研究人员建立明确的漏洞披露渠道，以及针对企业特有的密钥类型开发专属扫描工具。 报告最后强调，随着AI研发进程的不断加速，安全防护必须同步跟进。“速度不能以牺牲安全为代价，”Wiz公司表示，“对于正在构建AI未来的团队而言，技术创新与安全保障必须齐头并进。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周末，俄罗斯对乌克兰能源基础设施发动了开战以来规模最大的导弹和无人机袭击之一。此次袭击导致乌克兰全国电力中断、关键服务陷入混乱，基辅及多个其他城市几乎完全陷入黑暗。 据互联网监督机构网络封锁追踪组织（NetBlocks）消息，袭击发生后，乌克兰实施了最长达 12 小时的紧急停电措施。基辅及其他地区出现大面积互联网中断和通信故障，截至周一，抢修工作仍在进行，多个地区仍未恢复稳定供电。 乌克兰第二大电信运营商沃达丰（Vodafone）周日表示，停电已迫使其网络实施临时限制。该公司称：“停电后，所有人会立即切换至移动互联网，这导致网络连接承受极高负载。” 袭击还扰乱了乌克兰海关总署的运作。乌克兰国家边防局表示，由于数据库出现技术故障，周六其被迫暂停乌克兰与波兰边境的人员和车辆通行数小时。 该机构称：“故障是俄罗斯炮击能源设施导致停电引发的”，并补充说明边境运营已于当日晚些时候恢复。 乌克兰官员表示，周六夜间，俄方共发射 450 多架无人机以及 45 枚巡航导弹和弹道导弹，目标直指电力和天然气设施，造成热电厂及为核电站供电的变电站受损。 乌克兰能源部长斯维特兰娜・格林丘克（Svitlana Hrynchuk）表示：“如此多的弹道导弹直接击中能源设施，这一情况实属罕见。” 国营电力公司乌克兰中央能源公司（Centrenergo）报告称，其旗下多座电站遭受灾难性破坏。 该公司在一份声明中表示：“距上一次袭击还不到一个月，敌人昨晚再次袭击了我们整个发电系统。电站陷入火海！我们已全面停运，目前发电量降至零。” 自全面入侵以来，俄罗斯多次针对乌克兰能源基础设施发动袭击，导致大面积停电和互联网中断。乌克兰官员表示，部分袭击行动结合了导弹打击与协同网络攻击。 在 9 月接受 “Recorded Future News” 采访时，乌克兰最高网络安全官员奥列克桑德尔・波季曾预测，随着冬季临近，俄罗斯可能会重启对乌克兰电网及其他关键服务的袭击。他说：“我们预计他们会发动常规打击，同时试图瘫痪维持关键基础设施运转的系统。” 与克里姆林宫军事情报机构（GRU）相关的组织 —— 尤其是臭名昭著的黑客组织Sandworm—— 此前曾在对电网发动实体打击的同时实施数字入侵。 斯洛伐克网络安全公司 ESET 发布的研究显示，6 月至 9 月期间，“沙虫” 组织向乌克兰能源、物流、政府和农业部门的实体部署了多种数据擦除恶意软件。专家称，这是俄罗斯旨在破坏乌克兰战时经济稳定的更广泛行动的一部分。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

摘要 在网络威胁高度工业化的今天，攻击者通过模板化工具与自动化流程大规模构建克隆钓鱼站，重点瞄准金融、社交与企业邮箱等高价值目标。 本文基于实战案例，介绍如何利用知道创宇 ZoomEye 的多维检索能力——结合 HTTP 标题、HTTP 正文、ICON、IP 解析与前端痕迹（如 Telegram Bot），把零散痕迹转化为可操作情报与持久检测特征规则，实现对恶意站点的高效发现与扩展，为威胁分析师提供可复用的实战思路。 概述 威胁狩猎的核心不是发现单个页面，而是识别能够泛化的指纹特征，并据此做横向扩展。本文的方法论可概括为三步： 初次发现：从单个可疑页面中提取高信噪比特征（标题、正文中特殊字符串、iconhash、证书信息、前端API调用等）。 横向扩展：基于初次发现结果，在 ZoomEye 中进行精确检索（按 IP、iconhash、http.body、title 等），识别同一批次或同一基础设施下的其他恶意资产。 交叉验证：结合证书、域名注册信息、时间窗口与托管/解析习惯，对命中结果去噪并标注处置优先级。         以下各节分别以实例说明每种特征的提取与检索策略，并给出实用查询示例。 通过HTTP正文特征发现克隆钓鱼站         攻击者经常在钓鱼页面中复制目标站点的部分文字或版权信息，这些字符串在合法站点以外出现时，具备很强的指示性。示例流程（Coinbase交易所）： 访问 Coinbase交易所 官方站点，在官方站点读取独有字符串（例如版权语句）：”© 2025 Coinbase” 在 ZoomEye 中查询包含该字符串的站点，并排除官方域名与证书，从而聚焦疑似克隆钓鱼站 http.body=“2025 coinbase” && domain!=“coinbase.com” && ssl!=“coinbase” 要点：选择不太可能被第三方正常复用的长字符串或格式（如版权行、资源文件名、带时间戳的路径），能显著提高命中率和精确度。 解析IP并做横向追查        攻击者常把多个恶意域名解析到同一台服务器（同一 IP），既降成本，又能在域名被封时快速切换。我们发现一个恶意站点后，解析其域名获得 IP，在 ZoomEye 中查询该 IP 的相关网络资产，通常能横向枚举出更多相关恶意域名与页面。示例查询：针对前文提及Coinbase交易所仿冒站点的解析IP地址 5.254.129.71 进行查询，可命中 29 条与交易所高仿克隆相关的恶意站点，涉及 Coinbase、Gate、WEEX、Bybit等多家交易所。 ip="5.254.129.71" 要点：IP 关联对快速扩展非常有效，但需注意 CDN/反向代理与共享主机场景导致的误判，结合证书 CN/SAN、网页特征与域名模式做交叉验证可降低误报。 基于HTTP标题做批量识别        钓鱼攻击常呈现规模化与模板化：攻击者用可配置模板快速替换目标名称（如软件或登录站点），辅以社会工程话术，并批量注册域名解析到同一服务器。我们发现一个钓鱼站点后，可提取其 HTTP 标题中的特征字符串，在 ZoomEye 中搜索，以识别同批次的钓鱼站点。示例查询：某钓鱼站点标题为”Facebook 桌面版”，而众所周知 Facebook 并无桌面版软件，因此该标题可作为钓鱼站点的特征。在 ZoomEye 中可用以下语句扩展搜索，以发现更多恶意钓鱼站点： title="Facebook 桌面版" 要点：选择那些在合法生态中罕见或明显不合常理的标题（如“桌面版”与实际服务不符、包含拼写/语言混杂的句子等），能快速找到批量模板化产出的站点。 通过HTTP正文独特资源检索        发现钓鱼站点时，不必局限于标题——还可以分析 HTTP 正文内容。钓鱼站点往往会复用静态资源（图标、图片、脚本文件名等），这些资源名通常不容易在其他非相关站点被无差别使用，因而是优秀的检索特征。示例查询：某钓鱼站点正文包含一个特定 ICON 图标名称，且该图标文件是网页所需资源。我们可将此 ICON 图标名称视为钓鱼站点特征，在 ZoomEye 中使用以下语句扩展搜索： http.body="20190706125618443.png"  要点：提取资源完整路径或文件名（含随机串或时间戳）作为检索条件，优先查找完全匹配以降低噪声。 基于ICON图标的反查        相比模板化钓鱼站，高价值目标（金融、邮箱、办公软件）的克隆钓鱼站仿真度更高，通常复用品牌icon与界面元素。通过 icon图标反查所有使用同一 icon 的页面，这对发现高仿克隆站尤其有效。示例流程（Binance交易所）： 查询 Binance 交易所官方站点，获取其官方 icon（点击结果页图标可得 iconhash） domain="binance.com" 在 ZoomEye 查询页点击该 icon，反查所有使用该 icon 的站点 iconhash="43365839589fc348172246e108c1297c" 在查询语句中排除官方站点域名与证书，聚焦疑似克隆钓鱼站 iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com" 要点：iconhash 检索对高仿站检出率高，但会漏掉仅使用其它资源或做深度伪造的不复用 icon 的页面；因此应与其它特征联合使用。 利用前端痕迹线索发现并扩展恶意站点        在分析高价值目标的克隆钓鱼站时，发现一个有意思的攻击方法：前端 JS 不仅收集表单内容，还会通过 ipapi.co 之类的 IP 情报接口获取用户的 IP、国家/城市/邮编等信息，最终调用 Telegram Bot API 的 sendMessage 把数据发到指定的用户/群组/频道。 这类实现往往在页面源码或网络请求中暴露 bot token 与接收方的 chat_id。作为防御方，我们可以据此用 Telegram Bot API 的 getChat 查询该用户/群组/频道的基础信息；若基础信息中暴露了频道邀请链接，也可进入频道查看内容以辅助研判和溯源。 示例：https://api.telegram.org/bot{token}/getChat?chat_id={chat_id} 既然这些克隆钓鱼站用 Telegram Bot API 外送数据，我们就可把前端痕迹当作特征做横向枚举。在 ZoomEye 中检索同时包含 api.telegram.org、bot、sendMessage 的页面正文，通常能高效筛出可疑站点： http.body="api.telegram.org" && http.body="bot" && http.body="sendMessage"        该组合在正常业务页面中极少出现（因其含义是调用 Telegram 机器人发送消息），因而具备较强指示性。为进一步降噪，可叠加时间窗口（after=）或与 ipapi.co 等指纹联合使用。      基于 Telegram Bot 特征枚举到的一批克隆钓鱼站，进一步审查其 HTTP 标题，可以看到攻击覆盖多种诱饵类型： 高价值品牌克隆 例如标题 “ВТБ – Ваш отзыв важен для нас!”（VTB – Your feedback is important to us!），仿造俄罗斯 VTB 银行的反馈页面，用于骗取账号或个人信息。 文件下载诱导 例如标题 “File Shared Notification”，伪装“同事/业务共享文件”，引导下载安装恶意程序，手法直接粗暴。 软件升级诱导 例如标题 “Update Chrome”，伪装浏览器/软件升级页面，实则投放恶意安装包。 要点：HTTP标题特征只是一个切入点，可以结合正文特征、证书/主机属性、域名模式与时间窗口交叉验证。 实战建议与去噪方法 组合特征优先：单一特征（如仅 title）易受噪声影响，推荐同时组合 title、http.body、iconhash 与 IP 查询并限定时间窗口（after=）以提高事件关联性。 排除规则：在查询中持续排除已知合法域与证书（domain!=”…” && ssl!=”…”），减少误报。 证书/托管信息交叉验证：使用证书的 CN/SAN、Whois、托管/ASN 信息判断基础设施是否为恶意惯犯或共享托管环境。 优先级打分：对命中结果建立评分机制（例如：同时命中 3 个指纹 = 高危；命中 1 个指纹且位于可疑 IP = 中危），以便集中人力处置高价值事件。 自动化和持续监控：把高信噪比的特征加入到自动化规则中，定期在 ZoomEye 上跑批量查询并把新命中写入告警系统或情报数据库。 结语        借助 ZoomEye 的多维检索能力，安全分析师可以把单点可疑线索提升为有组织、可量化的情报流。本文展示的基于标题、正文、资源、ICON、IP 与前端痕迹的链式发现方法，既可用于发现克隆钓鱼站，也适用于追踪恶意分发基础设施、C2 节点等。威胁狩猎应坚持两条原则：（1）优先识别可泛化的指纹特征；（2）交叉验证来降低误报。推荐将这些指纹特征结构化为 IOC 相似的检测规则，集成进监控/告警流水线，实现持续可量化的防御能力提升。 好消息，ZoomEye社区版(终身有效)会员限时回归！ 为什么选择社区版？ 永久功能：终身使用特色语法、API、AI搜索等核心功能 海量积分：一次性赠送 100 万积分，立即到账，有效期 1 年 超值价格：仅 999 元，享终身会员特权，省钱更省心 活动时间 11月10日10点起 （限时售卖，售完为止） 售卖价格 999元（一次付费，终身有效） 活动内容 1、注册过ZoomEye的用户，购买社区版(终身有效)即赠 100万 权益积分；新注册用户购买可获得 80万 权益积分！ 2、使用「付费会员」邀请码购买社区版，邀请人与被邀请人均可额外各得 10万 权益积分！点击查看邀请码使用教程 3、加入 ZoomEye交流群，再领 2000权益积分，入群可享专属网络情报推送！ * 所有权益积分有效期均为 1 年 购买链接 https://www.zoomeye.org/pricing 如有任何疑问，请添加ZoomEye助手 消息来源：ZoomEye Team； 转载请注明出处并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一种针对远程语言模型的新型侧信道攻击技术细节。该攻击可使具备网络流量监控能力的被动攻击者，在特定情况下绕过加密保护，窃取模型对话的主题信息。 微软指出，这种人类与流式传输模式语言模型之间的数据交换泄露，可能会对用户及企业通信隐私构成严重威胁。该攻击被命名为 Whisper Leak。 微软防御安全研究团队的安全研究员乔纳森・巴・奥尔、杰夫・麦克唐纳表示：“能够监控加密流量的网络攻击者（例如，互联网服务提供商层面的国家行为体、本地网络用户或连接同一 Wi-Fi 路由器的人员），可利用这种网络攻击推断用户的提示词是否涉及特定主题。” 具体而言，攻击者可监控用户与大语言模型服务之间的加密 TLS 流量，提取数据包大小和时序序列，再通过训练有素的分类器判断对话主题是否属于敏感目标类别。 大语言模型中的流式传输技术，允许模型在生成响应时增量式传输数据，无需等待完整输出计算完成。由于部分响应可能因提示词或任务复杂度而耗时较长，该技术成为关键的反馈机制。 微软展示的这项最新攻击技术意义重大，尤其是它能突破 HTTPS 加密的防护 ——HTTPS 本应确保通信内容的安全性和防篡改性。 近年来，针对大语言模型的侧信道攻击层出不穷。例如，通过流式模型响应中加密数据包的大小推断单个明文标记的长度，或利用大语言模型推理缓存造成的时序差异实施输入窃取（即 InputSnatch 攻击）。 微软表示，Whisper Leak攻击在这些研究基础上进一步探索了一种可能性：“即使响应以标记组的形式流式传输，流式语言模型响应过程中加密数据包大小的序列和到达间隔时间，仍包含足够信息对初始提示词的主题进行分类。” 为验证这一假设，这家 Windows 操作系统开发商训练了一种二元分类器作为概念验证工具，该工具通过三种不同的机器学习模型（LightGBM、双向长短期记忆网络 Bi-LSTM、双向编码器表示模型 BERT），能够区分特定主题的提示词与其他无关内容（即噪声）。 实验结果显示，Mistral、xAI、深度求索（DeepSeek）和 OpenAI 等机构的多款模型，在该攻击测试中的识别准确率均超过 98%。这意味着，攻击者在监控与聊天机器人的随机对话时，能够可靠地标记出特定主题。 微软称：“如果政府机构或互联网服务提供商监控热门 AI 聊天机器人的流量，即使所有流量均经过加密，他们也能准确识别出询问特定敏感主题的用户 —— 无论是洗钱、政治异见还是其他受监控话题。” 攻击流程 更严峻的是，研究人员发现，随着攻击者收集的训练样本不断增加，Whisper Leak的攻击效果会持续提升，使其成为切实可行的威胁。在微软履行负责任披露原则后，OpenAI、Mistral、微软和 xAI 均已部署相应缓解措施以应对该风险。 微软补充道：“结合更精密的攻击模型，以及多轮对话或同一用户多次对话中包含的更丰富模式，具备耐心和资源的网络攻击者可能实现比我们初始实验结果更高的成功率。” OpenAI、微软和 Mistral 联合研发的一项有效防御措施，是在每个响应中添加 “长度可变的随机文本序列”，通过掩盖单个标记的长度使侧信道攻击失效。 微软还建议，关注隐私安全的用户在与 AI 服务提供商交互时，应避免在不可信网络中讨论高度敏感话题；使用 VPN 提供额外防护层；选择非流式传输的大语言模型；或切换至已部署缓解措施的服务提供商。 与此同时，一项针对 8 款开源权重大语言模型的最新评估显示，这些模型极易受到对抗性操纵，尤其是在多轮攻击场景中。涉及的模型包括阿里巴巴的通义千问 3-32B（Qwen3-32B）、深度求索的 DeepSeek v3.1、谷歌的 Gemma 3-1B-IT、元宇宙（Meta）的 Llama 3.3-70B-Instruct、微软的 Phi-4、Mistral 的 Large-2（又称 Large-Instruct-2047）、OpenAI 的 GPT-OSS-20b 以及智谱 AI 的 GLM 4.5-Air。 单轮与多轮场景下各测试模型的攻击成功率对比漏洞分析 思科 AI 防御研究员埃米・张、尼古拉斯・康利、哈里什・桑塔纳拉克斯米・加内桑和亚当・斯旺达在配套论文中表示：“这些结果凸显了当前开源权重模型在长期交互过程中维持安全防护机制的系统性缺陷。” 他们指出：“我们评估发现，模型对齐策略和实验室优先级对抵御能力有显著影响：以性能为核心的模型（如 Llama 3.3 和通义千问 3）在多轮攻击中表现出更高的易受攻击性，而以安全为导向的模型（如谷歌 Gemma 3）则展现出更均衡的性能。” 这些发现表明，若缺乏额外的安全防护机制，采用开源模型的机构可能面临运营风险。自 2022 年 11 月 OpenAI 的 ChatGPT 公开亮相以来，越来越多的研究揭示了大语言模型和 AI 聊天机器人存在的根本性安全漏洞，上述发现进一步丰富了这一研究领域。 因此，开发者在将此类功能集成到工作流程中时，必须实施充分的安全控制措施；对开源权重模型进行微调，增强其抵御 “越狱” 攻击及其他类型攻击的稳健性；定期开展 AI 红队评估；并根据特定用例设计严格的系统提示词。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三星 Galaxy 安卓设备中一个现已修复的安全漏洞，曾被作为零日漏洞利用，在中东地区的针对性攻击中投放了一款名为 LANDFALL 的 “商业级” 安卓间谍软件。 帕洛阿尔托网络公司 Unit 42 团队透露，此次攻击利用的是 CVE-2025-21042 漏洞（CVSS 评分：8.8）。这是 “libimagecodec.quram.so” 组件中存在的越界写入漏洞，远程攻击者可借此执行任意代码。三星已于 2025 年 4 月修复该问题。 “在野外攻击报告出现后，三星于 2025 年 4 月修复了该漏洞，但在此之前，它已被实际用于野外攻击，”Unit 42 表示。根据 VirusTotal 的提交数据，这一被标记为 CL-UNK-1054 的攻击活动，潜在目标位于伊拉克、伊朗、土耳其和摩洛哥。 值得一提的是，三星曾在 2025 年 9 月披露，同一库中的另一个漏洞（CVE-2025-21043，CVSS 评分：8.8）也曾被作为零日漏洞用于野外攻击。目前尚无证据表明该漏洞被用于 LANDFALL 间谍软件攻击活动。 攻击传播方式与时间线 经评估，攻击者通过 WhatsApp 发送 DNG（数字负片）格式的恶意图片实施攻击。证据显示，LANDFALL 样本最早可追溯至 2024 年 7 月 23 日，相关 DNG 文件的命名痕迹包括 “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” 和 “IMG-20240723-WA0000.jpg” 等。 帕洛阿尔托网络公司 Unit 42 高级首席研究员伊泰・科恩向《黑客新闻》透露，2024 年 7 月的样本与 2025 年 2 月的样本相比，未发现明显功能变化。 LANDFALL 间谍软件功能与攻击目标 LANDFALL 安装执行后，将作为一款全面的间谍工具，能够窃取敏感数据，包括麦克风录音、地理位置、照片、联系人、短信、文件和通话记录。 尽管 Unit 42 表示，该漏洞利用链可能采用了零点击攻击方式，无需用户交互即可触发 CVE-2025-21042 漏洞利用，但目前尚无迹象表明这种情况实际发生，也没有证据显示 WhatsApp 存在支持该假设的未知安全问题。 这款安卓间谍软件专门针对三星 Galaxy S22、S23、S24 系列设备，以及 Z Fold 4 和 Z Flip 4 机型 —— 涵盖了这家韩国电子巨头的部分旗舰设备，但不包括最新一代产品。 相关漏洞与技术细节 值得注意的是，同期 WhatsApp 披露，其 iOS 和 macOS 版应用存在一个漏洞（CVE-2025-55177，CVSS 评分：5.4）。该漏洞与苹果 iOS、iPadOS 和 macOS 系统中的 CVE-2025-43300 漏洞（CVSS 评分：8.8）被串联利用，在一场精密攻击中针对了不到 200 名用户。苹果和 WhatsApp 已随后修复这些漏洞。 Unit 42 对已发现的 DNG 文件分析显示，这些文件末尾附加了一个嵌入式 ZIP 文件。攻击者通过漏洞利用从压缩包中提取共享对象库，进而运行间谍软件。压缩包中还包含另一个共享对象，其设计用途是操控设备的 SELinux 策略，为 LANDFALL 赋予高级权限并助力其持久化运行。 加载 LANDFALL 的共享对象还会通过 HTTPS 与命令控制（C2）服务器通信，进入信标循环并接收未指明的后续阶段有效载荷，以备后续执行。 “目前，我们无法分享 C2 服务器发送的后续阶段有效载荷细节，” 科恩表示，“但可以确认的是，LANDFALL 是一个模块化间谍软件框架 —— 我们分析的加载器明显是为了从 C2 基础设施获取并执行额外组件而设计。这些后续阶段可能会扩展其监控和持久化能力，但在我们获取的样本中并未找到相关组件。” 攻击发起者与活动现状 目前尚不清楚该间谍软件及攻击活动的幕后主使。不过 Unit 42 指出，LANDFALL 的 C2 基础设施和域名注册模式与 Stealth Falcon（又称 FruityArmor）组织的特征相符，但截至 2025 年 10 月，尚未发现两者存在直接关联。 研究结果表明，LANDFALL 的投放可能是一场更广泛的 DNG 漏洞利用浪潮的一部分 —— 上述漏洞利用链也曾针对 iPhone 设备发起攻击。这一发现也凸显出，精密漏洞利用代码可能在公共代码库中隐藏很长时间，直到被全面分析前都未被察觉。 “我们认为这个特定漏洞已不再被使用，因为三星已于 2025 年 4 月修复，” 科恩说，“但直到 8 月和 9 月，仍观察到影响三星和 iOS 设备的相关漏洞利用链，这表明类似攻击活动直到最近仍在活跃。部分可能与 LANDFALL 相关的基础设施仍处于在线状态，这可能意味着攻击者仍在进行相关活动或后续行动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国会预算办公室（CBO）本周披露一起网络安全事件，据称有某国政府背景的黑客入侵了其系统。 这家联邦机构负责向国会提供预算及经济相关信息。《华盛顿邮报》周四报道称，一名未具名的 “外国行为体” 入侵了该机构，可能获取了国会各办公室与工作人员之间的通信信息和聊天记录。 众议院预算委员会主席乔迪・阿灵顿（得克萨斯州共和党人）在声明中证实，此次 CBO 遇袭背后是 “复杂的外国行为体”。 “众议院预算委员会正与 CBO、众议院首席信息官及其他相关方密切合作，监控局势发展，确保事件得到控制，并减轻入侵造成的任何不利影响，” 阿灵顿表示。 CBO 发言人证实了这起安全事件，并指出该机构已立即采取行动控制事态，同时推行 “额外监控措施和新的安全管控手段，以进一步保护机构未来的系统安全”。 “事件正在调查中，为国会提供的工作仍在继续，” 该发言人说，“与其他政府机构和私营部门实体一样，CBO 的网络偶尔会面临威胁，我们会持续监控并应对这些威胁。” 一名匿名消息人士告诉《华盛顿邮报》，此次入侵是在 “近日” 被发现的，该机构已告知国会其 “及早” 侦测到了这一事件。 CBO 拒绝回应有关入侵性质及黑客入侵途径的后续问题。该机构主要负责向国会提供法案财务影响分析。 众议院国土安全委员会主席安德鲁・加巴里诺（纽约州共和党人）表示，他已就缓解措施联系联邦网络安全机构，并补充称，网络犯罪分子和有国家背景的黑客 “正日益瞄准各级政府实体”。 有国家背景的黑客多次针对美国涉财联邦政府机构发动攻击。今年 2 月，黑客入侵美国货币监理署（OCC）使用的电子邮件系统，获取了 “高度敏感信息”。 去年，俄罗斯政府黑客组织还利用微软软件的漏洞，攻击了美国多个政府机构。 2025 年全年，联邦网络安全机构已多次发出警告，称存在多个可能被黑客利用、针对政府系统发动攻击的漏洞。美国网络安全与基础设施安全局（CISA）已就影响微软、思科和甲骨文等热门联邦政府工具的漏洞发布紧急指令。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时国家安全委员会建议，所有无人机及无人机飞行员必须进行注册。比利时政府希望通过这一举措，对近日在机场和军事基地周边出现的无人机实现管控。 比利时机场和军事基地上空已多次发现无人机飞行。这不仅造成数百万欧元的经济损失，也引发了对乘客及机场工作人员安全的担忧。 正因如此，首相巴特・德韦弗决定召开国家安全委员会会议。该委员会的职责是就恐怖主义威胁向比利时政府提供建议。 “我们绝不允许机场运营因不受管控的无人机飞行而中断。这需要全国层面的协同应对，” 内政大臣伯纳德・坎坦于周三回应时表示。 国家安全委员会的建议之一是，立即推行无人机及无人机飞行员强制注册制度。 目前，无人机（又称无人驾驶航空器系统）无需注册即可飞行，但禁止在机场、军事基地、监狱、王室领地及其他关键基础设施周边空域飞行。强制注册将便于监管部门发现无人机在禁飞区的飞行行为。 “我们并非生活在一个人人可以随心所欲的体系中。我们不能禁止所有无人机，因为它们在安全领域也能为我们提供助力，” 坎坦在国家安全委员会会议后向比利时新闻媒体表示。 此外，这位大臣还呼吁民众保持冷静。“局势确实在我们的掌控之中。威胁确实存在，这一点我不否认，但我们绝不是完全束手无策，” 他补充道。 许多人认为，欧洲机场和军事基地上空的无人机部署与俄罗斯有关。但俄罗斯方面已否认所有相关指控。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文