HackerNews

HackerNews 编译，转载请注明出处： 俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。 自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。 攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。 尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。 安装后，恶意软件会索要多项高危权限： 地理位置访问 短信及媒体文件读取 摄像头与录音调用 无障碍服务控制 后台持续运行权限 随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令： 窃取短信、联系人、通话记录、地理位置及存储图像 激活麦克风窃听、摄像头监控及屏幕流捕捉 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用） 执行远程命令、维持持久化访问并启用自我保护机制 Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）要求联邦机构于9月11日前修复影响苹果手机、iPad及MacBook的高危漏洞CVE-2025-43300。苹果公司8月21日声明称：“已收到报告，该漏洞可能已被用于针对特定目标个体的极其复杂的攻击。”CISA于次日将该漏洞列入“已知被利用漏洞目录”，并给出8.8分（满分10分）的高危评级。 苹果未回应漏洞具体利用方式的问询。安全研究机构Qualys经理马尤雷什·达尼解释称，该漏洞存在于苹果ImageIO框架中——这是iOS、iPadOS和macOS系统处理多格式图像的核心组件。“此漏洞属于零点击攻击，用户无需任何操作即可触发。恶意构造的图像文件可通过消息、邮件或网页内容传播。”达尼表示。 两周前的黑帽安全会议上，Censys研究员艾丹·霍兰德指出：因苹果系统自动拦截未知发件人链接，攻击者已转向利用恶意图片作为突破口。2025年苹果已修复多个零日漏洞，多数被归因于复杂间谍软件供应商。多家相关企业因针对苹果系统的定向攻击面临国际制裁与诉讼。达尼补充称，2023年的BLASTPASS攻击链（CVE-2023-41064与CVE-2023-41061）同样针对ImageIO框架，用于部署NSO集团的飞马间谍软件。 Tenable高级研究工程师萨特南·纳兰表示，苹果极少在安全公告中使用“极其复杂的攻击”这类表述。他指出：“虽然普通用户成为攻击目标的可能性较低，但风险始终存在。苹果希望公众重视威胁并立即采取行动。”       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）主席安德鲁·弗格森于8月21日（周四）警告科技公司，若为遵守欧盟及英国关于平台内容的规定而审查美国用户或削弱数据安全，可能面临FTC追责。这位由特朗普任命的FTC主席在致多家企业首席执行官的函件中，批评外国试图实施“审查”并破坏加密技术对用户数据的保护。 弗格森在信中指出，“为遵守外国法律而审查美国人”可能违反《联邦贸易委员会法》第5条——该法案禁止商业领域的不公平或欺骗行为。尽管该法律传统上用于起诉消防安全虚假宣传或借贷公司隐藏费用等行为，但弗格森强调：“美国消费者不会合理预期自己会因取悦外国政府而遭审查，此类行为可能构成欺骗。” 信中重申了保守派普遍存在的担忧：“美国人因表达硅谷少数精英不认同的观点而遭审查甚至驱逐出平台。”弗格森特别点名欧盟《数字服务法》和英国《在线安全法》，以及英国政府试图获取苹果iCloud加密数据的举动，认为这些要求可能导致企业违反第5条。 威斯敏斯特官员已准备就网络安全法与副总统JD·万斯交锋，尤其在万斯谴责欧洲国家试图监管言论自由之后。包括4chan、Gab和KiFi Farms在内的极端平台迄今公开拒绝遵守英国法规。英国互联网服务提供商（ISP）或将被要求封锁这些网站。Gab公司法律团队援引特朗普总统第14149号行政令驳斥英方要求，声明称：“美国政策确保任何政府机构不得协助审查美国公民，并将动用关税打击数字审查制度。” 本周早些时候，美国高级情报官员透露，英国政府已在万斯干预下放弃对苹果iCloud加密数据的争议性法律要求。弗格森在信中警告：“外国势力强加审查并削弱端到端加密的行为，将侵蚀美国人自由并使其面临外国政府监控、身份盗用及欺诈等风险。”他邀请各企业首席执行官会面，共同商讨“如何在全球监管压力下履行对美国消费者的隐私安全承诺及法律义务”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子侵入密歇根州农村卫生系统Aspire的网络并潜伏数月，导致超10万患者的支付卡信息、医疗记录等敏感数据遭泄露。根据该公司向缅因州总检察长办公室提交的报告，近14万人受此次攻击影响。 Aspire官网发布的泄露通知显示，攻击者可能获取的敏感患者数据包括： 姓名； 出生日期； 社会安全号码； 金融账户信息； 医疗诊断与治疗记录； 处方信息； 个人健康保险详情； 支付卡号及访问PIN码； 支付卡有效期； 实验室检测结果； 驾照号码； 账户密码及用户名； 生物识别标识符； 患者ID； 医疗记录编号； 护照号码。 Aspire强调目前尚无证据表明泄露数据遭恶意利用，且每位受影响个体暴露的数据类型存在差异。但基于上述清单，攻击者可能已掌握极其详尽的个人、财务及医疗数据组合。 理论上，攻击者可利用该数据集实施多重危害：最直接的是身份盗用——所获信息足以远程冒充他人开设账户；还可发起精准钓鱼攻击，例如结合患者诊断信息制作欺诈邮件，诱骗受害者泄露更多敏感数据或安装恶意软件。 财务标识符的存在加剧了风险：攻击者不仅能开设欺诈账户，还可直接利用支付卡信息盗取资金。更严峻的是，医疗数据泄露可能引发医疗身份盗用——攻击者借此提交虚假保险索赔、套取处方药并在暗网销赃。恶意分子甚至可能利用患者隐私病情进行勒索。 为降低风险，Aspire表示将向受影响患者免费提供身份保护及信用监控服务。该公司在致歉声明中称：“对于此次事件我们深表歉意。Aspire始终致力于保护个人信息安全，并已采取多项防护措施加强数据保障。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名网络犯罪团伙“散裂蜘蛛”（Scattered Spider）一名20岁成员被判处十年监禁，其涉嫌参与系列重大黑客攻击及加密货币盗窃案。诺亚·迈克尔·厄本（Noah Michael Urban）已于2025年4月对电信欺诈和严重身份盗窃指控认罪。该判决由彭博社及杰克逊维尔当地媒体News4JAX率先报道。 除120个月联邦监禁外，厄本还需接受三年监督释放，并向受害者支付1300万美元赔偿金。厄本向安全记者布莱恩·克雷布斯表示，该判决“不公正”。 厄本曾使用“Sosa”“Elijah”“King Bob”“Gustavo Fring”“Anthony Ramirez”等多个化名，于2024年1月在佛罗里达州被捕。美国司法部指出，其在2022年8月至2023年3月期间实施的电信欺诈和严重身份盗窃，造成至少五名受害者损失超80万美元。 检方称，厄本与同伙通过SIM卡劫持攻击劫持受害者加密货币账户，盗取数字资产。2024年11月，美国司法部对厄本及其他四名散裂蜘蛛成员提起刑事指控，指控其利用社会工程学手段针对美国企业员工，入侵公司网络窃取专有数据并转移数百万美元加密货币。其中同伙泰勒·罗伯特·布坎南（Tyler Robert Buchanan）已于2025年4月从西班牙引渡回美国。 当前，散裂蜘蛛已与ShinyHunters、LAPSUS$等黑客组织组成新联盟。该团伙关联更广泛的英语系网络犯罪团体“The Com”，长期从事社会工程学攻击、凭证窃取、SIM卡劫持、初始访问渗透、勒索软件部署、数据盗窃及敲诈勒索。 零狐（ZeroFox）情报副总裁亚当·达拉表示：“散裂蜘蛛惯用制造紧迫感、吸引媒体关注、威胁曝光等手段迫使受害者快速付款。定时泄露信息、倒计时威胁及嘲讽安全公司均是他们的固定策略。与其他团伙的合作使其获得更多工具、数据和基础设施，威胁性成倍放大。执法打击加剧时，这类组织往往通过合并求生，最终形成更具破坏力的联合体。” 网络安全公司Flashpoint近期分析指出，该以牟利为目的的黑客组织采取“波浪式攻击策略”——短期内集中攻击特定行业多家企业。“散裂蜘蛛的战术证明，通过社会工程学手段（如语音钓鱼、短信钓鱼、MFA疲劳攻击）针对人员而非系统漏洞进行攻击，可轻易绕过最先进的技术防御体系。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国跨国电信公司Colt Technology Services于8月21日（周四）确认，黑客已从其系统中窃取部分数据。Colt为欧洲、亚洲及美国的客户提供网络、语音等服务。该公司曾于8月14日宣布，因应对网络安全事件主动下线部分系统，导致部分支持服务中断。 Colt强调，受攻击的内部系统与客户基础设施相互隔离。尽管公司持续修复受影响系统，但Colt在线门户及语音API平台等服务至今仍处于停用状态。 在8月21日的最新通报中，Colt表示，尽管受影响的业务支持系统独立于客户基础设施，但调查证实攻击者已窃取部分数据。“我们现已确认威胁行为体访问了某些可能包含客户相关数据的文件，”Colt指出，网络犯罪分子已在暗网公开窃取文件的标题。 新兴勒索软件组织WarLock在其基于Tor的泄露网站上宣称对Colt的攻击负责。黑客声称窃取100万份文件，目前正拍卖这些文件。 近期被WarLock点名的电信公司并非仅有Colt。该组织同时宣称从法国Orange公司窃取数据。而Orange比利时及其母公司Orange近期各自披露了网络安全事件，但尚不确定WarLock的声明是否与其中任何事件相关。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国阿拉斯加地区检察官办公室8月19日通报，俄勒冈州一名22岁男子因运营名为Rapper Bot的DDoS租赁僵尸网络被起诉。该网络涉嫌在80多个国家发起平均规模达2-3太比特（Tb）的大规模攻击。 犯罪嫌疑人Ethan Foltz被控一项协助和教唆计算机入侵罪。若罪名成立，其将面临最高10年监禁。 该僵尸网络主要通过感染数字录像机（DVR）和WiFi路由器等设备组建，利用恶意软件大规模劫持设备。客户随后向这些受感染设备发送指令，强制其向全球目标服务器发送海量DDoS流量。 据指控，Foltz通过向付费客户提供访问权限来牟利，使对方得以操控“当前最复杂强大的DDoS租赁僵尸网络之一”。 Rapper Bot被控发起超6 Tbps攻击 刑事起诉书显示，合作方数据证实自2025年4月至今，Rapper Bot涉嫌发动超37万次攻击，波及1.8万个独立受害者。该僵尸网络操控约6.5万至9.5万台受感染设备，定期发起每秒2-3太比特（Tbps）的DDoS攻击，最大攻击规模可能超过6 Tbps。 美国阿拉斯加地区检察官迈克尔·J·海曼表示：“Rapper Bot是史上最强大的DDoS僵尸网络之一，但国防刑事调查局（DCIS）网络部门的出色工作，加上本办公室及行业伙伴的支持，已终结福尔茨的管理权限，有效瓦解了这一跨国犯罪组织的活动。” 受害者遭勒索与经济损失 法庭文件指出，强大的DDoS攻击导致受害者面临收入损失、客户流失、应急资源消耗及带宽成本增加等问题。根据起诉书，一次持续30秒的2 Tbps级DDoS攻击可造成受害者500至10,000美元不等的损失。 据指控，部分Rapper Bot客户还利用DDoS攻击实施勒索。受害者包括美国政府网络、知名社交媒体平台及多家美国科技公司。 司法部指出，2025年4月至今，“Rapper Bot”据称已发起超过37万次攻击，波及约1.8万名受害者。受影响最严重的前五个国家及地区为中国、日本、美国、爱尔兰和中国香港。 美国境内受害者包括联邦政府网络、一家大型社交媒体公司，以及多家为国防部提供服务的科技企业。调查人员还在本案起诉地阿拉斯加州发现至少5台受感染设备曾被用于参与攻击。司法部强调：“这些攻击背后存在明显的勒索意图。” 国防部监察长办公室DCIS网络分局特别探员主管肯尼思·德切利斯强调，对福尔茨的指控凸显了执法部门持续打击针对国防部及国防工业新兴网络威胁的决心：“Rapper Bot恶意软件是明确的威胁，DCIS与行业伙伴及阿拉斯加联邦检察官办公室的专注行动，向危害国防部人员、基础设施和知识产权的行为者发出了明确警告——其行径必将付出代价。”       消息来源： therecord；infosecurity-magazine 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露新型恶意软件加载器QuirkyLoader的运作细节。该工具自2024年11月起被用于垃圾邮件攻击，通过邮件分发从信息窃取程序到远程访问木马等多种恶意载荷。 恶意载荷分发与攻击手法 传播渠道：攻击者混合使用合法邮件服务商及自建邮件服务器发送垃圾邮件。 载荷类型：通过QuirkyLoader分发的恶意软件包括Agent Tesla、AsyncRAT、Formbook、Masslogger、Remcos RAT、Rhadamanthys窃取程序及Snake键盘记录器。 技术核心：邮件附带恶意压缩包，内含三个文件——合法可执行程序、恶意DLL文件及加密载荷。攻击采用DLL侧加载技术：运行合法程序时同步加载恶意DLL，该DLL随后解密载荷并通过进程镂空技术将其注入以下任一进程： AddInProcess32.exe、InstallUtil.exe或aspnet_wp.exe。 针对性攻击活动 IBM X-Force观察到近期两起攻击活动： 1、中国台湾定向攻击（2025年7月） 针对网络安全公司Nusoft Taiwan（新北市）员工，旨在部署Snake键盘记录器窃取浏览器敏感数据、键盘输入及剪贴板内容。   2、墨西哥无差别攻击（2025年7月） 随机分发载荷，主要投放Remcos RAT与AsyncRAT远程控制木马。 技术特征与规避手段 开发语言：攻击者持续使用.NET语言编写DLL加载模块。 编译技术：采用预编译(AOT)技术将代码转为原生机器码，使二进制文件呈现类似C/C++程序的静态特征，增加分析难度。 攻击规模：过去数月活动有限，但近期攻击频率显著上升。 关联威胁趋势 1、二维码钓鱼(Quishing)演进 攻击者采用新型规避技术：将恶意二维码分裂为两部分，或将其嵌入合法二维码中。此类攻击通过钓鱼工具包（如Gabagool和Tycoon）传播，可绕过传统安全检测。 2、PoisonSeed钓鱼工具包 攻击者利用该工具包窃取凭证及双因素认证(2FA)代码，通过劫持账户发起加密货币诈骗。其钓鱼域名仿冒Google、SendGrid、Mailchimp等知名服务，并采用精准验证钓鱼技术：后台实时验证邮箱有效性，同时向用户展示伪造的Cloudflare验证页面，通过验证后呈现仿冒登录表单窃取凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡耐基梅隆大学CERT协调中心（CERT/CC）披露了Workhorse Software市政会计软件中的两个严重数据泄露漏洞，该软件被美国数百个市县使用。CERT/CC在厂商修复漏洞后才公开披露相关信息。 漏洞由Sparrow IT Solutions研究员詹姆斯·哈罗德发现，影响1.9.4.48019之前的软件版本。CERT/CC在漏洞公告中指出：“Workhorse Software Services市政会计软件在1.9.4.48019版本之前存在设计缺陷，可能导致未授权访问敏感数据并引发数据外泄。具体表现为：数据库连接信息以明文形式存储在可执行文件旁，且软件允许未登录用户通过登录界面创建未加密的数据库备份。” 漏洞技术细节 明文存储数据库连接凭据（CVE-2025-9037） SQL Server连接凭据被明文存储在可执行文件旁的配置文件中。该目录通常位于与SQL数据库相同的服务器共享网络文件夹内。若启用SQL身份验证，攻击者只需读取该目录即可获取数据库凭证。 未认证的数据库备份功能（CVE-2025-9040） 应用程序的“文件”菜单允许用户将数据库备份为未加密的ZIP压缩包，生成的.bak文件可在任何SQL Server上无需密码直接还原。 影响范围与风险 该软件服务威斯康星州数百个市政单位。 攻击者可能获取完整数据库，内含社保号（SSN）、市政财务记录等敏感信息，并可能篡改财务数据、破坏审计追溯性及系统完整性。 利用前提包括：攻击者具备物理设备访问权限、能读取网络共享文件的恶意软件、或通过社工手段获取系统入口。 修复与缓解措施 立即升级至1.9.4.48019版本。 若暂无法升级： • 使用NTFS权限限制软件目录访问 • 启用SQL加密及Windows身份验证 • 禁用数据库备份功能 • 配置网络分段与防火墙规则减少暴露面。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司紧急修复了影响iOS、iPadOS和macOS系统的安全漏洞CVE-2025-43300。该零日漏洞已被黑客在真实攻击中利用，其本质是ImageIO图像处理框架中的越界写入漏洞。攻击者可通过构造恶意图片文件触发内存损坏。 苹果在安全公告中指出：“处理恶意图像文件可能导致内存损坏。苹果确认收到报告，显示该漏洞可能已被用于针对特定目标的极其复杂攻击。”公司已通过改进边界检查机制修复该问题。 以下系统版本包含漏洞修复补丁： iOS 18.6.2与iPadOS 18.6.2：适用于iPhone XS及后续机型、13英寸iPad Pro、12.9英寸iPad Pro（第3代及后续）、11英寸iPad Pro（第1代及后续）、iPad Air（第3代及后续）、iPad（第7代及后续）、iPad mini（第5代及后续） iPadOS 17.7.10：适用于12.9英寸iPad Pro（第2代）、10.5英寸iPad Pro及第6代iPad macOS Ventura 13.7.8：适用于运行Ventura系统的Mac设备 macOS Sonoma 14.7.8：适用于运行Sonoma系统的Mac设备 macOS Sequoia 15.6.1：适用于运行Sequoia系统的Mac设备 苹果未透露漏洞攻击的技术细节。此次修复使苹果2025年已修补的实战利用零日漏洞数量增至七个，此前修复的漏洞包括：CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201及CVE-2025-43200。         消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 应用开发者迎来利好消息：谷歌将放宽限制，允许更便捷地将用户引导至其安卓生态系统之外完成购买交易。 欧盟委员会多年来持续调查谷歌涉嫌违反《数字市场法案》（DMA）的行为。其中一项调查聚焦该公司是否限制应用开发者向用户告知Google Play商店之外的优惠信息；另一项则审查谷歌是否在搜索服务中偏袒自有垂直搜索引擎（如Google Hotels、Google Flights和Google Shopping），损害竞争对手利益。 2025年3月，欧盟委员会指控谷歌母公司Alphabet通过技术手段阻止开发者引导消费者通过其他渠道获取更优惠服务，且为开发者获取新客户所收取的费用“超出合理范围”。 作为回应，谷歌承诺调整政策：降低开发者费用并增加引导用户至外部链接的“灵活性”。该公司在声明中表示：“作为持续遵守欧盟《数字市场法案》的一部分，我们已对‘外部优惠计划’进行更新，在为开发者提供更大灵活性的同时，兼顾生态系统的信任与安全需求。” 谷歌欧洲、中东及非洲区高级竞争顾问克莱尔·凯利对此持保留态度，但仍承诺执行新规：“尽管我们仍然担心这些变化可能使安卓用户接触有害内容并降低应用体验，但根据与欧盟委员会的DMA讨论，我们正更新欧盟地区的外部优惠计划，调整费用结构并为开发者提供更多选项。” 2024年9月，欧盟法院因谷歌偏袒自有垂直搜索服务处以24.2亿欧元罚款。谷歌并非唯一因违反DMA遭罚的美国科技企业——2025年4月，苹果公司因限制应用开发者将消费者引导至App Store外部优惠渠道，被欧盟委员会罚款5亿欧元。苹果已宣布将提起上诉。同期，Meta也因违反《数字市场法案》被罚2亿欧元。Meta在声明中称：“欧盟委员会试图打压成功的美国企业，却允许中欧公司按不同标准运营。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员警告，Windows系统中默认启用的IPv6协议存在“休眠功能漏洞”，可能成为攻击者的后门。若企业未实际使用IPv6且未进行安全配置，该漏洞可导致整个域环境完全沦陷。 尽管IPv6尚未广泛部署，但Windows系统默认启用该协议且优先级高于旧版IPv4，这一特性引发严重安全隐患。网络安全公司Resecurity指出：攻击者只需控制网络中的任意设备（包括IoT设备），即可将其伪装成虚假配置服务器和DNS服务器。Windows计算机会优先信任这些恶意指令，覆盖现有IPv4配置。 研究人员披露：攻击者可通过此漏洞劫持计算机连接，实现重定向用户至恶意网站、窃取凭证，最终控制整个网络。此前，DNS劫持技术已被VK9 Security等安全机构详细分析。 攻击链：从初始入侵到完全控制 Resecurity在报告中描述攻击者实现域环境完全沦陷的步骤（攻击过程仅需数分钟）： 伪造DHCPv6服务器：攻击者利用开源渗透工具mitm6（可在GitHub获取），将任意设备（包括低性能Linux物联网设备）转变为恶意IPv6配置服务器。 DNS劫持与控制：劫持DNS后，攻击者可将用户重定向至钓鱼网站，同时定位域控制器并截获用户访问网络资源时的登录凭证。 权限升级与域控接管：攻击者向域控制器中继窃取的凭证（NTLM认证信息），冒充特权用户创建恶意账户，最终获得在活动目录中执行任意命令的权限。 （图片由Resecurity提供） 技术本质与防御建议 该技术被命名为MITM6 + NTLM中继攻击，结合中间人劫持与权限提升手法。Resecurity强调：“此攻击是教科书级案例，展示微小配置疏忽如何引发活动目录的全面沦陷。” 关键缓解措施： 禁用未使用的IPv6：在未部署IPv6的环境中彻底关闭该协议，从源头消除攻击面。 部署网络层防护：在交换机和路由器启用RA Guard/DHCPv6 Guard功能，拦截非法IPv6通告及恶意DHCP服务器。 强化活动目录配置：设置ms-DS-MachineAccountQuota=0阻止非法创建计算机账户；强制启用SMB/LDAP签名防止中继攻击。 持续监控异常：检测非常规IPv6流量、异常网关变更及未经授权的DNS服务器更新。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正日益滥用AI驱动的建站托管平台Lovable批量生成钓鱼页面、恶意软件分发门户及各类欺诈网站。这些通过该平台创建的恶意网站通过仿冒知名品牌，并设置验证码（CAPTCHA）等流量过滤系统阻挡机器人检测。 尽管Lovable已采取措施防范平台滥用，但随着AI建站工具激增，网络犯罪的技术门槛持续降低。 Lovable平台攻击活动分析 网络安全公司Proofpoint表示，自2025年2月以来“已观测到数万个Lovable生成的恶意链接”通过电子邮件传播。研究人员在最新报告中披露了四类滥用该平台的攻击活动： 1、Tycoon钓鱼即服务攻击 攻击邮件包含托管于Lovable的链接，用户通过验证码后会被重定向至伪造的Microsoft登录页面（仿冒Azure AD或Okta界面）。这些网站通过中间人攻击技术窃取用户凭证、多因素认证令牌及会话Cookie。攻击者曾向5,000家机构发送数十万封钓鱼邮件。   2、支付与数据窃取欺诈 冒充UPS物流的钓鱼邮件发送近3,500封，内嵌链接将受害者导向Lovable构建的钓鱼网站。这些页面要求输入个人信息、信用卡号及短信验证码，数据通过Telegram渠道外泄至攻击者。   3、加密货币窃取活动 近万名用户收到仿冒DeFi平台Aave的钓鱼邮件（经SendGrid发送）。受害者被诱导至Lovable生成的跳转链接和钓鱼页面，在连接加密钱包后遭遇资产窃取。   4、恶意软件分发行动 攻击邮件内含链接，将用户导向伪装成发票门户的Lovable应用页面。该页面分发托管于Dropbox的RAR压缩包，内含合法签名程序与恶意DLL文件，最终通过DLL侧加载技术释放远程访问木马zgRAT。 平台响应措施 Lovable于2025年7月推出新防护机制：实时检测系统可在用户输入指令时阻止恶意网站创建，同时每日自动扫描已发布项目并删除欺诈内容。该公司声明将在秋季推出账户级滥用检测功能，主动封禁违规账户。 第三方测试显示，目前仍可利用Lovable生成仿冒大型零售商的欺诈网站且未被拦截。针对现有反滥用措施有效性的质询，Lovable暂未回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现GPT-5存在安全漏洞：用户获得的回答可能并非来自GPT-5本身。这一漏洞源于其内部路由机制存在类似SSRF（服务器端请求伪造）的缺陷。 当用户向GPT-5提问时，答案未必由GPT-5生成。该模型内置初始路由解析器，会根据问题内容决定调用哪个子模型处理请求——可能是用户预期的GPT-5 Pro，但也可能被路由至GPT-3.5、GPT-4o、GPT-5-mini或GPT-5-nano等旧版或精简版模型。 这种动态路由机制的设计初衷可能是平衡效率与成本：通过将简单查询导向更轻量、快速的模型，避免始终调用推理能力强大但运行成本高昂的GPT-5核心模型。据Adversa AI公司估算，该机制每年可为OpenAI节省约18.6亿美元开支，但运作过程完全不透明。 更严重的是，Adversa研究人员发现用户可通过特定“触发短语”操纵路由决策，强制将查询导向指定模型。该漏洞被命名为PROMISQROUTE（全称为“提示诱导路由操纵漏洞”）。“这本质上是针对路由器的规避攻击，”Adversa AI联合创始人兼CEO亚历克斯·波利亚科夫解释，“我们操纵了原本简单的路由决策流程，决定哪个模型应处理请求。” 虽然路由机制并非OpenAI独有（其他服务商通常允许用户手动选择模型），但此类自动化路由正越来越多地出现在智能体架构中——即由某个模型决定如何将请求传递至其他模型。 该漏洞是Adversa在测试GPT-5拒绝机制时偶然发现的。某些提问会引发无法解释的回复矛盾，使研究人员怀疑响应来自不同模型。他们观察到部分旧版越狱手段突然复活，且当提问中刻意提及旧模型时，即使GPT-5本身能阻止的越狱行为也会成功。 被动风险与主动威胁 单纯的路由错误已可能引发严重后果：例如不同模型具有差异化倾向与缺陷，若查询被导向能力较弱或安全校准不足的模型，可能增加幻觉输出或不安全内容的概率。 但真正的危险在于：攻击者可利用路由漏洞将恶意查询导向安全性较低的旧模型，从而绕过GPT-5 Pro的防护机制。“假设攻击者试图用越狱指令攻击GPT-5失败后，只需在提问前添加简单指令诱骗路由器将请求发送至存在漏洞的旧模型，”波利亚科夫指出，“先前失败的越狱就可能成功执行。” 这意味着尽管GPT-5 Pro自身安全性优于前代，但路由漏洞使其实际防护能力等同于最弱的前代模型。 安全与成本的矛盾 解决方案看似简单——禁用向弱安全模型的路由即可，但这将损害商业利益：完全依赖GPT-5 Pro会显著降低响应速度（影响用户体验），且每项查询都调用高成本模型将压缩OpenAI利润空间。 波利亚科夫建议：“OpenAI需提升安全性，例如在路由器前增设防护层、增强路由机制本身的安全性，或确保所有子模型（而非仅核心模型）均达到安全标准——最理想的是同时实施这三项措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯投资分析平台Investment Projects本周早些时候遭亲乌克兰黑客组织攻击。截至8月21日，该平台网站仍处于瘫痪状态。平台声明称正在全力修复基础设施，并已向国家监管机构通报事件。 自称Cyber Anarchy Squad的黑客组织宣称对此次攻击负责。该组织声称已部分摧毁平台基础设施，获取内部数据库及员工文档，并公开大量据称窃取的文件。媒体Recorded Future News暂无法独立核实泄露材料的真实性。 Cyber Anarchy Squad表示，泄露数据旨在施压监管机构对该平台处以罚款。根据俄罗斯法律，企业因未能保护客户数据最高可面临2万卢布（约250美元）罚款。 Investment Projects平台主要推广和分析俄罗斯大型项目，涵盖工业、民用及交通建设领域，由PKR Group运营。其投资者与客户包括俄罗斯工程集团Konar、矿业巨头诺里尔斯克镍业、农业企业Rusagro以及私营航空公司S7 Airlines等知名企业。 针对此次攻击，平台回应称：“敌人正试图通过破坏俄罗斯的服务平台来削弱经济和工业，但我们终将更加强大。” Cyber Anarchy Squad自2022年左右开始活跃，以攻击俄罗斯和白俄罗斯机构著称，此前受害者包括电信服务商Infotel、网络安全公司Avanpost及政府关联实体。该组织通过Telegram频道宣传其行动。 尽管此次攻击的实际影响尚不明确，但此类事件通常会导致声誉损害、高昂恢复成本及潜在监管罚款。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时电信运营商Orange于8月21日披露，7月底发现一起网络攻击事件，导致85万个客户账户的数据遭泄露。 该比利时子公司声明“关键数据未受侵害：密码、电子邮箱地址、银行或财务信息均未被黑客获取”，但警告称：“黑客入侵了包含以下数据的IT系统：姓名、电话号码、SIM卡号、PUK码及资费套餐。”公司解释称，PUK码（个人解锁密钥）是8位安全码，当客户多次输入错误PIN码时可用来解锁SIM卡。 公司未立即回应关于事件发现与披露时间的质询，但在声明中表示，团队在发现问题后“立即封锁受影响系统的访问权限并强化安全措施”。声明补充道：“比利时Orange已向相关部门报警，并向司法机构提交正式投诉。” 此次攻击发生前，其母公司Orange集团于7月25日曾发现影响内部系统的网络攻击。当时Orange集团表示无证据显示客户数据被窃取。Orange未说明两起事件是否关联，也未更新此前声明。两次攻击的具体性质均未公开。 官方声明称，受影响客户将通过短信和邮件收到通知，并敦促其警惕专用网页上提示的钓鱼攻击风险。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国于8月21日宣布新一轮制裁措施，矛头直指吉尔吉斯斯坦境内被控协助俄罗斯规避制裁的金融机构与加密网络。 此次英国制裁与美国行动形成呼应，针对为乌克兰战争输送资金、支持克里姆林宫海外恶意活动及俄罗斯勒索软件生态的实体。此前，美国官员本月早些时候已对多家加密货币交易所更新制裁，包括支撑吉尔吉斯斯坦加密代币A7A5的基础设施——英国政府称该代币“专为规避西方制裁而设计”。 制裁目标包括吉尔吉斯斯坦公司Old Vector（发行A7A5代币的主体）。据Chainalysis报告，该公司自成立以来“处理资金逾510亿美元”。英国外交部声明补充道，制裁还覆盖“吉尔吉斯斯坦的Capital银行及其董事坎特米尔·查尔巴耶夫，俄罗斯利用该银行为军事物资付款”。这些实体在英资产已被冻结。 英国制裁事务大臣斯蒂芬·道蒂警告，克里姆林宫正试图通过“可疑加密网络”为乌克兰战争筹资。他表示新措施将在“关键时刻持续向普京施压，打击用于向战争金库输送资金的非法网络”。 根据“有组织犯罪与腐败报告项目”（OCCRP）调查，被制裁实体还与乔治·罗西存在关联。英国国家犯罪调查局认定此人是一个庞大俄罗斯洗钱体系的核心人物，该体系使用者包括跨国毒贩、网络罪犯、规避制裁的莫斯科精英，甚至克里姆林宫间谍机构。 英国此次行动还延伸至美国早前对Keremet银行的制裁，新增制裁对象为总部位于卢森堡的Altair控股公司（该公司去年收购了Keremet银行的控股权）。尽管美国制裁仍是最有力工具（因国际美元交易均需经纽约清算），但英国制裁将阻断相关实体获取伦敦的金融与法律服务。 “若克里姆林宫认为能通过可疑加密网络洗白交易来缓解我方制裁——他们大错特错，”道蒂强调，“我们将与盟友一道，继续支持美国主导的行动，终结这场非法战争并实现公正持久的和平。”       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）和思科公司警告称，俄罗斯网络间谍组织正通过2018年发现的漏洞，持续针对未打补丁的思科网络设备发起攻击。 FBI与思科Talos部门于周三发布的联合公告指出，俄罗斯联邦安全局（FSB）第16中心的黑客组织利用漏洞 CVE-2018-0171，攻击已进入生命周期结束状态的设备，入侵目标涵盖北美、亚洲、非洲和欧洲的电信、高等教育及制造业组织。 思科Talos表示，该活动背后的组织（安全专家称为Static Tundra、Berserk Bear或Dragonfly）多年来通过思科IOS和IOS XE软件的智能安装（Smart Install）功能中未修复的漏洞入侵设备，这些设备通常因达到生命周期结束状态而无法获得补丁更新。 思科Talos指出，受害者多“基于对俄罗斯政府的战略利益价值”被选定，其中部分位于乌克兰。该机构警告称，随着俄罗斯战略利益变化，该组织很可能持续针对乌克兰及其盟国。“我们观察到最明显的目标转变是：俄乌战争爆发后，Static Tundra对乌克兰实体的攻击急剧升级并维持高位。”他们表示，“与此前有限的针对性入侵不同，该组织已渗透乌克兰多个垂直领域的机构。” FBI称，过去一年中观察到该组织加速收集“数千台美国关键基础设施领域网络设备的配置文件”。黑客修改了部分设备的配置文件以维持对受害者系统的长期访问权限，并开展侦察活动——多数聚焦“与工业控制系统（ICS）相关的协议和应用”。 FBI认同思科的评估，即Static Tundra十余年来持续攻击同类系统，并开发定制化工具针对思科设备，包括名为SYNful Knock的恶意软件。思科Talos已发布可检测该恶意植入脚本的工具。 上周，挪威警察安全局（PST）表示，4月该国西南部一座水坝疑似遭亲俄黑客破坏——入侵控制系统后开启阀门长达四小时，大量洪水涌入里瑟尔瓦河，直至操作员重新夺回控制权。 长期渗透战略 思科Talos分析，Static Tundra的核心目标是窃取数据并建立对系统的持久访问权。该组织以“入侵受害者网络后进一步渗透并控制更多网络设备”而闻名，具备“在目标环境中潜伏多年不被发现”的能力。 “我们判断，此活动的目的是大规模窃取设备配置信息，以便根据俄罗斯政府当前的战略目标与利益需求灵活调用。”思科Talos专家解释，“Static Tundra随俄罗斯优先事项变化而调整攻击重点的行为印证了这一点。”研究人员补充称，该组织很可能利用Shodan和Censys等网络扫描服务寻找目标。 2021年，美国司法部起诉四名被控隶属Static Tundra的俄罗斯公民，指控其主导针对全球能源公司的黑客活动。这些人员专门瞄准工业技术系统：2012至2014年，他们入侵多家工业控制系统制造商与软件供应商，将Havex恶意软件植入网络。司法部指出，2014至2017年间，该组织针对“特定能源实体及从事工业系统的工程师”，波及全球136个国家超过500家企业和机构的3300余名用户，包括美国核管理委员会等政府机构。 该组织曾通过钓鱼邮件成功入侵堪萨斯州沃尔夫溪核运营公司的商业系统，并采用“水坑攻击”窃取能源领域工程师的登录凭证。思科Talos强调，除俄罗斯组织外，其他国家级黑客团体“很可能也在开展类似的网络设备入侵活动”，建议客户尽快修补漏洞、禁用智能安装功能或联系其获取协助。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数百万使用热门金融应用的土耳其用户可能遭遇了私人数据泄露。 Cybernews研究团队发现了一个未受保护的MongoDB数据库，内含超过四百万条敏感财务数据记录。 泄露的数据可追溯至FinansCepte和FinansWebde，这是土耳其使用最广泛的两款金融应用。这两款应用为超过一百万用户提供财务追踪、市场分析和个人投资管理服务。 目前尚不清楚是否有恶意行为者访问过这个暴露的数据库，也不清楚该数据库已公开暴露了多长时间。像这样暴露的数据库是攻击者的金矿，他们持续监控互联网以寻找未受保护的数据库。 因此，如果我们的研究人员找到了该数据库，攻击者很可能也已经发现了。 土耳其金融应用数据样本（图片来自Cybernews） Cybernews已联系应用背后的公司Pasyonis Medya ve Bilişim Ticaret，但在本文发布时尚未收到回复。 金融应用泄露了哪些数据？ 用户名 电子邮箱地址 电话号码 部分支付信息 哈希加密的密码 金融警报设置 数百万用户面临网络攻击风险 暴露财务数据极其危险，使用户容易遭受一系列网络攻击。掌握财务细节后，攻击者可发起高度复杂的钓鱼活动，针对应用用户进行诱骗，以获取更敏感的数据。例如，攻击者可能冒充金融应用发送通知，敦促用户重置密码或保护账户安全，实则窃取凭证并清空账户。 泄露的数据中也包含登录凭证。虽然密码经过哈希加密处理，安全性更高，但仍可能被用于撞库攻击和暴力破解攻击，从而使黑客有机会访问用户在其他多个平台的账户。 访问警报设置则可能让攻击者操纵金融通知，使用户无法察觉真实的市场波动，或在关键时刻向其传递虚假信号。 （图片来自Cybernews） 金融应用正在泄露用户数据 数据库不设密码是非常常见的漏洞，通常归因于人为失误。Cybernews的内部研究也显示了同样的趋势。然而，若未被及时发现，这些“简单的错误”可能会演变成影响数十万人的安全事件。 类似的配置错误是近年来多起影响金融应用的重大数据泄露事件的根源。 2024年，Cybernews发现尼日利亚金融科技公司BestFin（运营iCredit应用）发生数据泄露，暴露了846,000名客户、其紧急联系人信息，甚至包括该应用秘密收集的私人短信。 另一起数据泄露事件影响了乌拉圭数字银行平台Bankingly，导致七家金融机构的数据泄露，暴露了遍布南美和中美洲的近10万人的信息。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯今年举行胜利日阅兵之际，支持克里姆林宫的黑客劫持了一颗为乌克兰提供电视服务的在轨卫星。乌克兰观众看到的不是常规节目，而是从莫斯科传输的阅兵画面：坦克、士兵和武器组成的洪流。这一威慑性信息表明，21世纪的战争不仅发生在陆地、海洋和空中，还延伸至网络空间和外层空间。 卫星：短期内的安全挑战 禁用卫星无需一枪一弹即可造成毁灭性打击——通过攻击卫星安全软件或干扰其与地球的信号传输即可实现。专注于供应链安全的网络安全公司NetRise首席执行官汤姆·佩斯（Tom Pace）指出：“若能阻碍卫星通信能力，就能引发重大混乱。”曾在能源部处理网络事务的海军陆战队退伍军人佩斯补充道：“想想全球定位系统（GPS），若民众失去它，混乱将难以想象。” 目前有超过1.2万颗运行中的卫星环绕地球，它们不仅在广播通信中扮演关键角色，还支撑着军事行动、GPS等导航系统、情报收集和经济供应链。卫星还是导弹发射早期预警的核心，对国家安全构成重大隐患，因而成为削弱对手经济或战备能力的主要目标。支持俄罗斯的黑客劫持乌克兰电视信号，正是此类心理威慑的典型案例。 攻击卫星的薄弱环节 黑客通常瞄准卫星或其与地球通信的软硬件中最脆弱的部分。尽管在轨设备本身可能安全，但过时的软件仍易被利用。2022年俄罗斯入侵乌克兰期间，黑客针对乌克兰政府和军方使用的美国卫星公司Viasat发起攻击。此次被基辅归咎于莫斯科的袭击，通过恶意软件感染数万台调制解调器，导致欧洲大片区域服务中断。 太空核武器威胁 美国国家安全官员透露，俄罗斯正在研发一种基于太空的核武器，旨在一次性摧毁几乎所有低地球轨道卫星。该武器结合物理攻击与核组件：物理冲击波将摧毁更多卫星，而核组件则烧毁其电子系统。美国俄亥俄州共和党众议员迈克·特纳（Mike Turner）公开警告该技术后，美方解密了相关信息。特纳强调，若部署此类武器将违反禁止在太空部署大规模杀伤性武器的国际条约，并可能使低地球轨道长达一年无法使用，导致美国及其盟友面临经济动荡甚至核打击风险。尽管中俄也将损失卫星，但两国对同类卫星的依赖度较低。 特纳将这种尚未部署的武器比作1957年开启太空时代的苏联卫星“斯普特尼克”，并警告：“若此类反卫星核武器进入太空，将是太空时代的终结。这堪比太空版的古巴导弹危机。” 月球资源争夺战 月球和小行星上发现的珍贵矿物可能引发未来冲突，各国正竞相开发新技术和能源。美国国家航空航天局（NASA）代理局长肖恩·达菲（Sean Duffy）本月宣布将向月球运送小型核反应堆，强调需“赶在中国或俄罗斯之前抵达”。月球富含氦-3，科学家认为其可用于核聚变产生巨量能源。伦敦网络安全专家约瑟夫·鲁克（Joseph Rooke）指出，尽管该技术需数十年成熟，但在此期间对月球的控制权将决定新兴超级大国的地位。 中俄已宣布未来几年在月球建设核电站的计划，而美国正推进登月及火星任务。人工智能和能源需求可能加速这场竞赛。俄罗斯驻美使馆未回应置评请求。中国驻美使馆发言人刘鹏宇表示，中国“反对任何地外军备竞赛”，并指责美国“持续扩张太空军力，企图将太空变为战场”。 美国的太空安全应对 各国正争相建立火箭和太空计划以减少对外国卫星的依赖。2019年成立的美国太空军旨在保护美国太空利益及卫星安全。尽管规模小于陆军、海军或空军，但其正在扩张。美军操作的无人驾驶太空飞机X-37B近期结束超过一年的在轨机密任务返回地球。太空军声明强调：“太空是作战域，太空军的职责是通过掌控该领域实现国家安全目标。” 美国在冷战后的太空主导地位如今面临中俄的新威胁。特纳表示，美国必须采取行动阻止中俄取得优势，避免太空武器的恐怖前景成为现实。“我们必须密切关注，防患于未然。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文