HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发出警告，一种名为Matanbuchus的知名恶意软件加载器出现新变种，其新增多项功能显著增强隐蔽性以规避检测。 Matanbuchus是一种恶意软件即服务（MaaS），可作为传递后续攻击载荷的渠道，包括Cobalt Strike信标和勒索软件。该恶意软件自2021年2月起在俄语网络犯罪论坛以2500美元租用价格公开推广，曾被用于类似ClickFix的诱导攻击——通过诱骗用户访问遭入侵的合法网站触发恶意行为。 该加载器的独特之处在于其传播方式：通常不通过垃圾邮件或路过式下载扩散，而是采用直接交互式社会工程学手段，由攻击者直接欺骗用户执行。某些情况下，它被初始访问经纪人用于向勒索团伙出售企业网络入口，这种针对性部署使其比普通商业化加载器更具威胁。 据Morphisec分析，新版加载器（追踪为Matanbuchus 3.0）具备多项新特性： 改进的通信协议技术 内存操作能力增强 混淆技术升级 支持CMD与PowerShell反向Shell 可运行DLL、EXE及Shellcode等后续载荷 本月初观察到一起攻击案例：某企业员工收到伪装成IT服务台的微软Teams外部通话，攻击者诱骗其启动Quick Assist获取远程访问权限，最终通过PowerShell脚本部署Matanbuchus。值得注意的是，类似社工手段曾被Black Basta勒索组织使用。 “受害者被精准定位并诱骗执行脚本，该脚本触发下载含恶意载荷的压缩包”Morphisec首席技术官Michael Gorelik解释，“压缩包内包含重命名的Notepad++更新程序(GUP)、篡改的XML配置文件及用于侧加载的Matanbuchus恶意DLL”。 Matanbuchus 3.0当前公开租用价格为：HTTPS版本每月1万美元，DNS版本每月1.5万美元。恶意软件启动后执行以下操作： 收集系统信息并扫描运行进程以识别安全工具 检测进程权限状态（是否以管理员身份运行） 将信息发送至C2服务器获取MSI安装包或可执行文件等后续载荷 通过创建计划任务实现持久化驻留 “开发者采用高阶技术实现任务调度：通过COM组件交互注入Shellcode”Gorelik进一步说明，“该Shellcode实现了基础的API解析（字符串比对）及操纵ITaskService的复杂COM执行流程”。 C2服务器还可远程触发加载器功能以： 收集所有运行中的进程和服务列表 获取已安装应用程序清单 “Matanbuchus 3.0已进化为高度复杂的威胁”Gorelik总结道，“新版具备先进的通信协议、内存隐身技术、强化混淆能力，并支持WQL查询及CMD/PowerShell反向Shell。其通过regsvr32、rundll32、msiexec或进程镂空执行命令的多功能特性，大幅提升被入侵系统的风险等级”。 随着恶意软件即服务模式的演进，Matanbuchus 3.0体现了当前加载器的发展趋势：优先采用无文件攻击（LOLBins）、COM对象劫持和PowerShell分阶段加载等隐身技术规避检测。威胁研究人员正加紧将这些加载器纳入攻击面管理策略，并追踪其通过Microsoft Teams、Zoom等企业协作工具实施的滥用行为。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州债务清偿公司Next Level Finance Partners（以Century Support Services名义运营）披露了一起影响大量用户的数据泄露事件。 该公司已开始向受影响个人发送数据安全事件通知，告知其系统在2024年11月遭到黑客入侵。事件响应调查于5月下旬确认，黑客可能访问或窃取了存储个人信息的文件。 泄露信息包括：姓名、社会安全号码、出生日期、驾照号码、州身份证号码、护照号码、医疗及健康保险信息，以及金融账户信息与数字签名。 Century Support Services本周向缅因州总检察长办公室报告称，此次数据泄露影响逾16万人。根据公司官网信息，其累计服务客户近30万。 受影响个人将获赠12个月的免费身份盗用保护及信用监控服务。截至目前，尚无任何已知勒索组织宣称对本次攻击负责。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 安卓恶意软件Konfety的新变种近期出现，其通过构造畸形的ZIP文件结构及其他混淆技术逃避分析与检测。 Konfety伪装成合法应用，模仿Google Play上的无害产品，但完全不提供宣称的功能。该恶意软件的功能包括：将用户重定向至恶意网站、强制安装不需要的应用以及推送虚假浏览器通知。 其核心行为是通过CaramelAds SDK获取并展示隐藏广告，同时窃取设备信息（如已安装应用列表、网络配置及系统信息）。 尽管Konfety不属于间谍软件或远程访问工具（RAT），但其APK内包含加密的次级DEX文件。该文件在运行时解密并加载，内含AndroidManifest文件中声明的隐藏服务。这种机制为动态安装附加模块留下后门，使当前感染设备可能被植入更危险的恶意功能。 规避技术分析 移动安全平台Zimperium的研究人员发现并分析了最新Konfety变种，确认其采用多重技术混淆真实行为： 1、“邪恶双胞胎”分发策略：复制Google Play正版应用的名称与标识，通过第三方应用商店分发。该策略被Human公司研究人员命名为“诱饵双胞胎”。 2、动态代码加载：恶意逻辑隐藏在加密的DEX文件中，仅在运行时加载，使常规扫描无法检测。 3、APK文件结构操控： 虚假加密标志：将通用标志位（General Purpose Bit Flag）的00位设为“1”，误导分析工具识别为加密文件并索要密码（实际未加密），阻碍APK内容访问。 声明非常规压缩格式：关键文件声明采用BZIP压缩算法（0x000C），导致APKTool、JADX等工具因不支持此格式而解析失败。 注：Android系统会忽略这些异常声明，自动启用默认处理机制确保安装运行。 4、隐蔽执行：安装后隐藏应用图标与名称，并利用地理围栏技术根据受害者区域动态调整行为。 历史关联技术 压缩混淆技术在安卓恶意软件中早有先例。2024年4月卡巴斯基报告的SoumniBot恶意软件即采用类似手法：在AndroidManifest.xml声明无效压缩方法、伪造文件大小和数据覆盖，并通过超长命名空间字符串干扰分析工具。 防护建议 用户应避免从第三方安卓应用商店安装APK文件，仅信任已知开发者的软件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌表示，其开发用于查找漏洞的大型语言模型近期发现了一个黑客正准备利用的程序错误。 去年年底，谷歌宣布了一款名为 Big Sleep 的AI代理——该项目源于谷歌 Project Zero 和 Google DeepMind 在大型语言模型辅助漏洞研究方面的工作。该工具能主动搜索和发现软件中未知的安全漏洞。 本周二（报道时间），谷歌表示 Big Sleep 成功发现了 CVE-2025-6965——一个谷歌称之为“仅威胁行为者知晓并面临被利用风险”的关键安全漏洞。 该漏洞影响 SQLite，一个深受开发者欢迎的开源数据库引擎。谷歌声称它“实际上预测到了一个漏洞即将被利用”，并成功在事发前将其阻断。 该公司表示：“我们相信这是AI代理首次被用于直接挫败在野漏洞利用企图。” 一位谷歌发言人告诉 Recorded Future News，该公司的威胁情报小组“当时能够识别出表明威胁行为者正在部署零日漏洞攻击的痕迹，但未能立即确定具体的漏洞。” “这些有限的线索被传递给零日计划（zero day initiative）的其他谷歌团队成员，他们利用 Big Sleep 找出了对手在其行动中准备利用的漏洞，”该发言人表示。 该公司拒绝详细说明威胁行为者的身份或所发现的具体痕迹。 在一篇宣传多项AI进展的博客文章中，谷歌表示，自 Big Sleep 于去年11月推出以来，它已发现多个真实世界的漏洞，“超出”了公司的预期。 谷歌表示，他们现在正使用 Big Sleep 来帮助保护开源项目，并称AI代理是“颠覆性因素”，因为它们“可以解放安全团队，让他们专注于高复杂性威胁，显著扩大其影响范围和覆盖范围”。 这家科技巨头发布了一份白皮书，阐述了他们如何构建自己的AI代理，据称该方式能保障隐私、限制潜在的“恶意行为”并以透明方式运作。 目前，数十家公司和美国政府机构正在努力开发旨在快速搜索和发现代码漏洞的AI工具。 下个月，美国国防部将宣布一项持续数年的竞赛的获胜者，该竞赛旨在利用AI创建能自动保护支撑全球关键系统所用基础重要代码的系统。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名百货连锁店 Belk 据称已成为 DragonForce 黑客组织的攻击目标。该组织此前曾对英国零售商玛莎百货发动网络攻击，给该公司造成数亿美元损失。 Belk 被发布在了 DarkForce 的暗网博客上 —— 该博客是其用于展示最新受害者的平台。攻击者声称，他们获取了超过 156 千兆字节的公司数据，范围从备份资料到员工档案不等。 与此同时，Cybernews 研究团队对 DragonForce 的说法展开了调查。研究人员表示，此次数据泄露似乎属实，且包含大量敏感信息。该团队称，若得到证实，这次黑客攻击可能会 “产生重大影响”。 泄露的数据似乎包括所有可用的商店优惠券、员工及注册客户数据（如姓名、出生日期、地址、电话号码、电子邮件地址），以及客户订单（包括所购商品）。此外，部分信息似乎来自 Belk 的移动应用基础设施。 研究人员称：由于受影响人数众多且泄露数据范围广泛，这次泄露的规模相当大。订单详情和所购商品等数据可能会被恶意分子或灰色市场组织（如数据经纪人或医疗保险企业）利用，用于分析个人行为和风险因素。 该团队表示，很难确定此次攻击中暴露的具体人数，但参考过往类似事件，泄露数据中可能涉及百万用户。不过研究人员指出，部分暴露的用户可能是测试账户。 DragonForce 分享了一张截图，其中包含超过 20 个据称被这些网络罪犯访问过的目录。攻击者可能访问的数据范围广泛，从商店数据到 Belk 的在线用户信息都有涉及。 Belk 成立于 1888 年，是美国最古老的百货连锁店之一。该公司在美国 16 个州运营着近 300 家门店，据《福布斯》报道，其去年的收入为 40 亿美元。 Belk 之前是否遭过黑客攻击？ 6 月初，Belk 向新罕布什尔州总检察长办公室提交了一份数据泄露通知，称公司 “遭遇了网络事件，未经授权的第三方访问了某些公司系统和数据”。 截至发稿时，尚不清楚这两起事件是否相关。 与此同时，DragonForce 在其暗网博客上发表了一些大胆言论，称其本意并非 “摧毁你的业务”。但在该公司拒绝支付赎金后，该团伙采取了破坏性行动。 DragonForce 正迅速成为目前最臭名昭著的勒索软件集团之一。该团伙最近因对英国大型零售商玛莎百货发动破坏性攻击而登上新闻头条。 那次攻击导致玛莎百货的在线服装业务下线，部分食品货架空置，并使其股市市值蒸发超过 10 亿英镑。暂停在线购物的决定严重影响了该部门的在线销售额和交易利润。 总体而言，预计这次攻击将使该公司损失约 3 亿英镑（4.03 亿美元）的运营利润。 该团伙于 2023 年首次被发现，此后也一直在给其竞争对手制造麻烦。该集团声称攻击了 BlackLock 和 Mamona（两个相关的勒索软件组织）的数据泄露网站。 DragonForce 还表示，他们入侵了 RansomHub—— 另一个知名的勒索软件集团，也是去年最活跃的团伙之一。DragonForce 以加入其阵营为诱饵吸引竞争对手，并声称已接管了 RansomHub 的基础设施。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据，过去 12 个月里，DragonForce 已攻击了 104 家机构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 你觉得自己的密码很安全，因为它有 8 个字符长，还混了一两个数字？根据 Specops 的新分析，近 99% 的泄露密码都弱到几分钟就能被破解。 要是你觉得把狗的名字和末尾加个 “1234” 的巧妙组合无懈可击，那可得再想想了。Specops 的最新研究显示，98.5% 的现实世界泄露密码客观上都是弱密码。没错，这可能包括你的密码。 Specops 的网络安全团队分析了 1000 万个真实密码，这些密码来自一个包含超过 10 亿个泄露凭证的庞大数据库。随后，团队将这 1000 万个密码绘制在了一张长度与复杂度的热图上。 只有 1.5% 的密码能进入 “强” 密码区域，其定义为至少 15 个字符长，且使用两种或更多字符类型。样本中只有 3.3% 的密码长度超过 15 个字符。这意味着，绝大多数密码用一台便宜的 GPU 设备就能瞬间破解。 在泄露的密码中，最常见的是 8 个字符长、仅包含两种字符类型的密码，比如 “Summer22” 或 “Office99”。 约 8% 的密码都属于这种极度基础的危险区域。紧随其后的是 8 个字符长、仅包含一种字符类型的密码（比如全是小写字母），这部分又占了 7.6%。 为什么弱密码是个问题？ 它们是易受攻击的目标：弱密码往往是攻击者的首个入口。一旦侵入，黑客就能在网络中游走、提升权限、提取敏感数据，而且往往不会触发安全警报。 密码重用会放大风险：大多数员工要管理几十个登录账号，密码重用很常见。一个系统的泄露可能导致内部工具、数据库甚至关键管理员控制台被访问。 它们违反法规：像 GDPR、HIPAA 和 PCI DSS 这样的数据保护法要求安全的认证实践。弱密码或重用密码达不到这些标准，可能会导致罚款、审计和法律后果。 暴力破解工具比以往更快：如今的硬件每秒能尝试数十亿次猜测。以前需要几天的事，现在几分钟就能完成，尤其是对于 10 个字符以下的密码。 加密不能解决所有问题：哈希和加盐能提高密码安全性，但无法弥补糟糕的选择。弱密码即使加密了，仍然容易被破解。 大规模攻击很常见：黑客经常使用僵尸网络发起分布式攻击，绕过速率限制等安全措施。这些方法能对跨服务的密码进行大量测试，增加成功破解的几率。 为什么 15 个字符以上成了新的最低要求？ 尽管进行了十年的安全意识培训、发布了钓鱼警告，还有关于俄罗斯僵尸网络的报道，人们和组织仍然允许弱密码进入他们的系统。 “很多用户仍然选择弱的、容易被猜到的组合，网络罪犯几秒就能破解。”Specops 的高级产品经理达伦・詹姆斯说。 有了 GPU 驱动的设备和云破解服务，对于在破解过程中计算密码可能性的攻击者来说，12 个字符以下的密码都是唾手可得的目标。 增加复杂度，比如使用符号或大小写混合，能提高熵值，减缓暴力破解攻击。不过，更新后的 NIST 指南现在更强调长度。这意味着，使用 16 到 20 个字符的密码，远比依赖特殊符号或随机大写字母要好。 15 个字符或更长，且至少包含两种不同字符类型（字母、数字、符号），能将可能的组合数提升到数万亿甚至更多。这些数字会让即使是高端的破解设备也倍感吃力，将预期的破解时间从几小时延长到几年甚至几个世纪。 要创建强密码，可以使用密码生成器和密码管理器来安全管理不同平台的访问权限。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MITRE 推出了一个新的网络安全框架，旨在解决加密货币等数字金融系统中的漏洞。 该框架名为 “数字资产支付技术中的对抗性行动（AADAPT）框架”，为开发者、政策制定者和金融机构提供了一种结构化方法，用于识别、分析和缓解与数字资产支付相关的潜在风险。 MITRE 表示，7 月 14 日发布的 AADAPT 框架借鉴了来自现实世界攻击的见解，这些见解引自 150 多个来源，包括政府、行业和学术界。 AADAPT 框架明确了与数字资产支付技术相关的对抗性策略、技术和流程，包括共识算法和智能合约。与加密货币相关的网络威胁包括双花攻击、钓鱼骗局和勒索软件事件，这些威胁影响企业、政府和个人用户。 MITRE 指出，小型组织、地方政府和市政当局尤其脆弱，它们往往缺乏资源来加强自身的网络安全措施。AADAPT 框架旨在通过提供符合这一金融市场领域独特需求的实用指导和工具，来解决这些差距。 MITRE 网络技术副总裁温・马斯特斯表示，加密货币等数字支付资产注定会改变全球金融的未来，但其安全挑战不容忽视。借助 AADAPT，MITRE 正助力相关利益方采取强有力的安全措施，不仅保护其资产，还能建立整个生态系统的信任。 AADAPT 以 MITRE 的 ATT&CK 框架为蓝本，其策略和技术与 ATT&CK 框架相辅相成。 2025 年 7 月，网络安全公司 CertiK 发现，2025 年上半年，约 24.7 亿美元的加密货币通过诈骗、黑客攻击和漏洞利用被盗。这一激增源于 2 月针对加密货币交易所 Bybit 的一次黑客攻击，导致 14 亿美元的加密货币被盗。此次 Bybit 黑客攻击与朝鲜国家支持的 APT 组织 Lazarus 有关。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与 “Contagious Interview” 活动相关的朝鲜威胁行为者，近期在 npm 注册表中又发布了 67 个恶意软件包。这凸显了他们持续通过软件供应链攻击，对开源生态系统进行破坏的企图。 据 Socket 透露，这些恶意包的下载量已超过 17000 次，其中包含一个此前未被记录的恶意软件加载器，代号为 XORIndex。此次活动是上个月攻击浪潮的扩展，当时攻击者已分发了 35 个 npm 包，这些包中部署了另一个名为 HexEval 的加载器。 “Contagious Interview” 行动呈现出一种 “打地鼠” 式的动态：防御者检测并上报恶意包后，朝鲜威胁行为者会迅速上传新的变种，采用相同、类似或稍作改进的策略。 “Contagious Interview” 是一项长期活动，其目的是诱骗开发者下载并执行某个开源项目，谎称这是一项编码任务。该威胁集群于 2023 年底首次公开披露，也被追踪为 DeceptiveDevelopment、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342 和 Void Dokkaebi。 利用恶意 npm 包的攻击链相当直接：这些包充当已知的 JavaScript 加载器兼窃取器 BeaverTail 的传播渠道。BeaverTail 随后被用于从网页浏览器和加密货币钱包中提取数据，还会部署一个名为 InvisibleFerret 的 Python 后门。 这两个攻击活动目前并行开展。XORIndex 在短时间内（2025 年 6 月至 7 月）的下载量已超过 9000 次，而 HexEval 则稳步推进，新发现的相关包又获得了超过 8000 次下载。 对这些包的进一步分析显示，加载器在不断演变，从基础原型发展为复杂且更隐蔽的恶意软件。早期版本缺乏混淆和侦察能力，但核心功能保持完好；第二、三代版本则增加了基本的系统侦察功能。 “Contagious Interview” 的威胁行为者将继续丰富其恶意软件组合，轮换新的 npm 维护者别名，重用 HexEval 加载器以及 BeaverTail、InvisibleFerret 等恶意软件家族，并积极部署包括 XORIndex 加载器在内的新变种。 与此同时，Safety 披露，与俄罗斯有关联的网络犯罪分子发布了 10 个 npm 包，这些包旨在通过从远程服务器获取的 PowerShell 有效载荷入侵 Windows 系统，进而交付一种能够从网页浏览器窃取数据、且可能启动加密货币挖矿程序的窃取器。 更令人担忧的是，他们还操纵 npm 的下载量指标，让这些包看似有百万次下载，为其恶意代码赋予虚假的合法性。         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 东南亚的政府组织正成为一场新攻击活动的目标，该活动旨在通过一个此前未被记录的 Windows 后门程序（名为 HazyBeacon）收集敏感信息。 帕洛阿尔托网络公司 Unit 42 团队正追踪这一活动，将其命名为 CL-STA-1020，其中 “CL” 代表 “集群”，“STA” 指 “国家支持的动机”。 安全研究员利奥尔・罗奇伯格在周一的分析中表示，这一活动集群背后的威胁行为者一直在从政府机构收集敏感信息，包括近期关税和贸易争端相关信息。 由于在敏感贸易谈判、军事现代化以及美中权力动态中的战略定位，东南亚日益成为网络间谍活动的焦点。针对该地区政府机构的攻击可获取有关外交政策方向、基础设施规划以及影响地区和全球市场的内部监管变化等有价值的情报。 目前尚不清楚用于交付恶意软件的确切初始访问向量，但有证据表明，攻击者使用了 DLL 侧载技术在受感染主机上部署恶意软件。具体而言，这涉及植入一个名为 mscorsvc.dll 的恶意 DLL 文件，同时搭配合法的 Windows 可执行文件 mscorsvw.exe。 一旦该二进制文件启动，DLL 就会与攻击者控制的 URL 建立通信，从而能够执行任意命令并下载额外的有效载荷。攻击者通过一项服务实现持久化，确保系统重启后该 DLL 仍能启动。 HazyBeacon 的显著特点是利用亚马逊云服务（AWS）的 Lambda URL 作为命令与控制（C2）渠道，这表明威胁行为者持续滥用合法服务以隐匿行踪、逃避检测。 罗奇伯格解释道，AWS Lambda URL 是 AWS Lambda 的一项功能，允许用户通过 HTTPS 直接调用无服务器函数。这种技术利用合法的云功能隐藏在公开视野中，构建出可靠、可扩展且难以检测的通信渠道。 防御者应关注发往极少使用的云端点（如 *.lambda-url.*.amazonaws.com）的出站流量，尤其是当这些流量由异常的二进制文件或系统服务发起时。虽然 AWS 的使用本身并不可疑，但结合上下文的基线分析（如关联进程来源、父子执行链和端点行为）有助于区分合法活动与利用云原生技术进行规避的恶意软件。 下载的有效载荷中包含一个文件收集模块，负责收集符合特定扩展名（如 doc、docx、xls、xlsx 和 pdf）且在特定时间范围内的文件。这包括尝试搜索与美国近期实施的关税措施相关的文件。 威胁行为者还被发现利用谷歌云端硬盘和 Dropbox 等其他服务作为数据泄露渠道，以混入正常网络流量并传输收集到的数据。在 Unit 42 团队分析的这起事件中，向这些云存储服务上传文件的尝试据称已被阻止。 在攻击的最后阶段，攻击者会运行清理命令以避免留下活动痕迹，删除所有已暂存文件的存档以及攻击过程中下载的其他有效载荷。 罗奇伯格表示，威胁行为者将 HazyBeacon 用作在受影响政府实体中维持立足点并收集敏感信息的主要工具。这场攻击活动凸显了攻击者不断寻找新方法滥用合法、可信的云服务。 HazyBeacon 反映了一个更广泛的趋势，即高级持续威胁利用可信平台作为秘密渠道 —— 这种策略通常被称为依托可信服务（LOTS）。作为这一基于云的恶意软件集群的一部分，人们已在其他威胁中观察到类似技术，这些威胁利用谷歌工作空间、微软 Teams 或 Dropbox 的 API 来规避检测并促进持久访问。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）宣布启动全新漏洞研究计划（VRI），旨在强化与外部网络安全专家的协作关系。该机构虽持续开展内部技术漏洞研究，但VRI计划将建立并行机制，加速关键漏洞发现的共享进程。 作为英国核心网络安全机构，NCSC承担着保护国家关键基础设施、政府系统、企业及公民网络安全的职责，日常通过发布威胁警报、安全指南、事件响应支持及国际协作履行使命。 VRI计划将构建NCSC与外部研究员的系统化合作框架，以提升英国在软硬件漏洞识别与分析领域的能力。官方声明指出：“VRI计划旨在通过顶尖外部研究力量，深化对关键技术的安全认知。”参与合作的研究员需完成三项核心任务： 定向漏洞挖掘：针对特定产品识别安全缺陷 防护机制评估：测试现有防护方案有效性 合规披露流程：通过“公平披露程序”提交漏洞 此外，参与者需向NCSC提交漏洞挖掘工具与方法论文档，协助建立高效研究实践框架。该计划特别关注人工智能驱动的漏洞挖掘等新兴领域，邀请具备相关技能的研究员通过[email protected]邮箱提交专业背景资料（注：完整漏洞报告需通过专用门户提交）。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯虚假信息组织Storm-1516近期在多国开展大规模身份伪造活动。研究人员发现，该组织冒用真实记者身份，在仿冒新闻网站发布虚假报道，已在法国、亚美尼亚、德国、摩尔多瓦和挪威形成系统性欺骗链条。该组织隶属克里姆林宫关联机构，自2023年起持续散布诋毁乌克兰及分裂欧洲的言论，此前曾干预德国、格鲁吉亚和美国大选。 据事实核查机构Gnida Project披露，Storm-1516在此次行动中盗用合法记者的姓名与肖像，通过伪造媒体平台散布不实信息。被冒用身份的记者在事件曝光前均不知情，部分受害者正采取法律行动。 典型案例显示： 法国核废料诬陷案：虚假媒体“Courrier France 24”发布报道，诬指法国核能公司Orano向亚美尼亚运送放射性废料，并称其向亚美尼亚总理帕希尼扬关联基金捐款。涉事企业与亚美尼亚官方均否认该指控。报道署名记者Romain Fiaschetti实为法国《Public》杂志娱乐专栏作者，其向媒体表示从未参与此类政治报道。 摩尔多瓦贪腐谣言：伪造网站“The EU Insider”刊登针对摩尔多瓦总统桑杜的虚假报道，谎称基希讷乌市长指控其挪用美国援助资金。报道冒用罗马尼亚媒体人Radu Dumitrescu身份发布。 德国总理猎熊丑闻：未署名文章宣称德国总理梅尔茨在加拿大狩猎时非法射杀北极熊家族，却恶意标注《多伦多星报》多名记者为作者。 挪威环境危机造假：该组织首次被证实针对挪威实施行动，通过虚构环保组织网站散布“尼特拉瓦河严重污染导致环境危机”的谣言，暗示原定6月在奥斯陆举办的互联网治理论坛（IGF）可能取消——而俄罗斯此前曾积极争夺该论坛主办权。 研究指出，尽管行动实际影响尚难量化，但该组织既往虚假叙事屡次获得网络广泛传播，甚至被公众人物无意间放大。法国当局5月报告明确认定，该团体已对法国及欧洲数字舆论环境构成重大威胁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）近日查封多个盗版游戏平台。亚特兰大分局宣布查没nsw2u.com、nswdl.com、game-2u.com、bigngame.com、ps4pkg.com、ps4pkg.net及mgnetu.com等网站，并在页面展示执法通告。FBI声明称“已同步摧毁这些网站的技术设施”。 调查显示，过去四年间，这些平台在热门游戏正式发售前数周便提供盗版资源。仅2025年2月28日至5月28日期间，主要下载渠道的非法下载量就达320万次，造成约1.7亿美元经济损失。此次行动得到荷兰执法部门协助。 查封引发玩家群体强烈反应，其中nsw2u因允许用户在破解版任天堂Switch主机上运行盗版游戏而广受欢迎，该平台同时提供PC游戏下载。2025年5月，欧盟将nsw2u列入假冒与盗版监控名单，指出其运营商持续无视版权方下架要求。今年2月该网站全球访问量达230万次，英国、西班牙等六国已实施访问封锁。 行业背景显示，2021年代表任天堂、微软等巨头的娱乐软件协会（ESA）曾向美国贸易代表办公室举报nsw2u公然漠视版权通知。近三年欧美执法机构持续打击盗版内容：德国去年逮捕知名盗版电影网站Movie2k幕后运营者；欧洲刑警组织去年11月在一次大规模行动中逮捕11名非法流媒体网络嫌犯。索尼与任天堂未回应是否参与本次行动。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 北美货运列车尾部安装的制动监测装置存在严重安全隐患。安全研究员尼尔·史密斯12年前发现并报告了该漏洞，但近期才被公开披露。这种被称为列车尾部装置（EoT）和车头装置（HoT）的系统，通过无线电信号在列车两端传输制动数据。然而其通信协议既无身份认证也无加密保护，仅采用BCH校验码进行错误检测。 这意味着攻击者仅需价值不足500美元的无线电设备，即可远程发送纯文本指令操控列车制动。美国网络安全和基础设施安全局（CISA）最新警告指出：成功利用此漏洞（编号CVE-2025-1727，CVSS评分8.1）可导致列车急停造成运营中断，甚至触发制动失灵。 史密斯在社交媒体解释道：“攻击者能从极远距离接管列车制动控制器，诱发脱轨事故或瘫痪全国铁路系统”。尽管该漏洞尚未被列入已知遭利用漏洞目录，但专家警告突发的制动操作可能引发乘客受伤、运输中断乃至列车脱轨等灾难性后果。 美国铁路协会（AAR）已启动协议更换计划，拟采用支持加密和低延迟的IEEE 802.16t直连对等协议替代旧系统。但史密斯透露：全面更换约7.5万台设备需5-7年时间，成本高达100亿美元。 攻击者无需接近列车即可实施攻击。无线电信号有效距离达数英里（部分列车全长近5公里），攻击者通过增强信号功率甚至可在240公里外进行操作。史密斯尖锐指出：“这套射频链路安全水平停留在1980年代，仅依赖非法频段使用限制作为防护”。 类似攻击早有先例：2023年波兰黑客通过伪造无线电停车信号，迫使20列火车停运并造成碰撞脱轨事故，肇事设备仅为廉价无线电发射器 比利时鲁汶大学教授马蒂·范霍夫透露，供应商最初以“理论风险”为由淡化该漏洞，且研究者难以获得测试系统进行伦理验证。至今该漏洞仍未修复，史密斯耗时12年才推动漏洞信息公之于众。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 沙特工业巨头Rezayat集团遭遇勒索软件攻击。这家价值数十亿美元的工业服务提供商被曝出现在暗网泄露站点，攻击者宣称已窃取该公司数GB数据。据称实施攻击的是Everest勒索软件团伙，该团伙将Rezayat列在其用于展示受害企业的暗网站点上。 Rezayat集团旗下拥有25家涉及工程、制造、物流等领域的子公司。安全研究团队调查了攻击者随帖附带的所谓数据样本，发现包含多份疑似客户合同、技术报告以及工业设备技术图纸的截图。研究人员警告称：“这些涉及合作企业的敏感文件若属实，不仅将损害Rezayat的商业信誉，还可能被用于策划供应链攻击。” 尽管攻击者声称窃取了10GB数据，但仅凭截图难以验证其真实性。勒索软件团伙惯用分批泄露数据的手段施压，威胁称如果受害公司拒付赎金将持续泄露数据。 该沙特集团在13个国家通过25家子公司开展业务，全球员工超两万人。Everest作为勒索软件领域的老牌团伙（2021年首次被发现），近期攻击目标包括价值50亿美元的医疗集团Mediclinic及饮料巨头可口可乐。该团伙还涉嫌参与2022年10月针对AT&T的攻击，并宣称可访问其整个企业网络。 攻击技术层面，Everest常利用被入侵账户及远程桌面协议(RDP)进行横向移动。据监测数据显示，过去12个月该团伙已列出超百家受害企业。安全专家指出：“中东地区已成为众多网络犯罪团伙的高优先级目标，而Everest正主导着该区域的敛财行动。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度执法部门在打击一起跨国网络诈骗案中取得突破。据英国国家犯罪调查局（NCA）透露，印度中央调查局（CBI）经过长达18个月的联合行动，于上周突击搜查了位于北方邦诺伊达市的一个非法呼叫中心，该中心被犯罪团伙用于针对英美澳受害者的技术支持诈骗。 此次代号“脉轮-V行动”（Operation Chakra-V）的跨国行动由CBI联合NCA、美国联邦调查局（FBI）及微软公司共同展开。该犯罪团伙通过在受害者电脑上弹出恐吓软件弹窗，谎称其设备遭黑客入侵，随后冒充微软技术支持人员诱骗受害者支付虚假维修费用。仅英国受害者就被骗取至少39万英镑。 NCA通过其驻美国和印度的联络办公室协调行动，已确认超过100名英国受害者身份。调查始于2024年初，当时NCA驻华盛顿特区的国际联络官从微软公司获取线索，并与伦敦市警察局的反欺诈报告进行交叉比对。诈骗分子通过伪造电话号码、利用多国服务器中转网络电话等手段隐匿身份，增加了侦查难度。 在收集受害者证据并锁定嫌疑人后，NCA今年早些时候派员赴印度向CBI通报案情。印度执法人员突袭行动中逮捕两名嫌疑人，其中包括该呼叫中心据称的主谋。据当地报道称该中心名为“FirstIdea”。 英国国家经济犯罪中心（NECC）副主任尼克·夏普强调：“此案证明，汇集公共与私营部门的专业力量，携手国际伙伴共同打击全球诈骗分子能够取得显著成效。这充分展现了英美去年达成的专项行动机制在打击呼叫中心诈骗方面的重大价值。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奢侈品巨头LVMH的英国分部成为最新遭遇严重安全事件的英国零售商，该公司已开始通知客户其个人数据可能泄露。根据社交平台X（原推特）上分享的客户通知截图，路易威登英国表示于7月2日发现此次泄露事件。 公司声明，可能泄露的个人身份信息（PII）包括：姓名、性别、国籍、电话号码、电子邮箱与邮政地址、出生日期、购买记录及偏好数据。通知强调：“鉴于涉及数据的敏感性，我们强烈建议您对任何未经请求的可疑通信保持警惕，包括电子邮件、电话或短信。尽管目前尚无证据表明您的数据被滥用，但仍可能发生钓鱼攻击、欺诈或信息盗用。” 公司已向英国信息专员办公室（ICO）报告此事。此次事件发生仅一周前，路易威登刚披露其韩国业务遭黑客攻击导致部分个人信息泄露。今年LVMH集团旗下另两大品牌——克里斯汀·迪奥高级时装（Christian Dior Couture）与蒂芙尼（Tiffany）也发生过客户数据泄露事件，并自五月起接受政府调查。 路易威登是近期遭受网络攻击的英国零售商名单中的最新成员。此前黑客组织“Scattered Spider”被指应对玛莎百货（M&S）、英国合作社集团（Co-op）的攻击负责，哈罗德百货（Harrods）和阿迪达斯（Adidas）同样成为攻击目标。上周，四名涉嫌攻击玛莎百货、合作社集团和哈罗德百货的嫌疑人被逮捕：西米德兰兹郡逮捕一名17岁英国男性和一名19岁拉脱维亚人；斯塔福德郡抓获一名20岁英国女性；伦敦羁押一名19岁英国男性。 黑鸭公司（Black Duck）基础设施安全总监托马斯·理查兹分析称，尽管路易威登事件未涉及财务数据，但风险依然显著：“攻击者可能冒充客户向客服套取更多信息，或发送伪装成路易威登的恶意邮件骗取登录/财务信息。客户需警惕要求立即行动否则面临负面后果的突然通知。LVMH多地机构接连遭类似手段入侵，暗示其可能存在系统性漏洞——泄露可能未被完全控制，或各业务单元使用了存在漏洞的同类技术系统。”他补充建议LVMH应进行全集团安全评估，查明根本原因并实施整改措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种新的黑客技术，该技术利用了现代智能手机中使用的eSIM（嵌入式SIM）技术的弱点，将用户置于严重风险之中。 问题出在Kigen公司的eUICC（嵌入式通用集成电路卡）上。根据这家爱尔兰公司的网站数据，截至2020年12月，已有超过20亿张物联网设备SIM卡由其平台启用。 该发现来自AG Security Research公司旗下的研究实验室Security Explorations。Kigen公司向该团队支付了30,000美元的漏洞赏金以感谢其报告。 eSIM是一种数字SIM卡，它以软件形式直接嵌入到设备中的eUICC芯片上。eSIM允许用户无需物理SIM卡即可激活运营商的蜂窝网络套餐。eUICC软件提供了更改运营商配置文件、远程配置和管理SIM配置文件的能力。 “eUICC卡使得将所谓的eSIM配置文件安装到目标芯片中成为可能，”Security Explorations解释道，“eSIM配置文件是移动订阅的软件表现形式。” 根据Kigen发布的安全公告，该漏洞源于GSMA TS.48通用测试配置文件（6.0及更早版本），该规范据称用于eSIM产品的无线电合规性测试。 具体而言，该缺陷允许安装未经验证且可能恶意的Java Card小程序（applet）。GSMA已于上月发布的TS.48 v7.0版本通过限制测试配置文件的使用来缓解此问题。该规范的所有其他版本均已被弃用。 “成功利用此漏洞需要满足一系列特定条件的组合。攻击者必须首先获得目标eUICC的物理访问权限，并使用公开已知的密钥，”Kigen表示，“这使得攻击者能够安装恶意的JavaCard小程序。” 此外，该漏洞还可能促成提取Kigen eUICC的身份证书，从而使得攻击者能够以明文形式下载移动网络运营商（MNO）的任意配置文件、访问MNO的机密信息、篡改配置文件并将其植入任意eUICC中，且不会被MNO标记。 Security Explorations指出，此次发现建立在其2019年的研究基础上。该研究曾发现Oracle Java Card中存在多个安全漏洞，这些漏洞可能为在卡中部署持久性后门铺平道路。其中一个缺陷也影响了同样依赖Java Card技术的金雅拓（Gemalto）SIM卡。 这些安全缺陷可被利用来“破坏底层Java Card虚拟机的内存安全”，获得对卡内存的完全访问权限，突破小程序防火墙，甚至可能实现本地代码执行。 然而，Oracle当时淡化了潜在影响，并指出这些“安全隐患”并未影响其商用Java Card虚拟机生产版本。Security Explorations表示，如今这些“隐患”已被证明是“真实存在的漏洞”。 这些攻击手段听起来可能难以实施，但恰恰相反，它们完全在具备能力的国家级黑客组织的掌握范围之内。攻击者可能借此入侵eSIM卡并部署隐蔽后门，有效拦截所有通信。 “下载的配置文件可能被以某种方式修改，导致运营商完全失去对它的控制（无法远程控制/无法禁用作废等），运营商可能看到关于配置文件状态的完全虚假信息，或者其所有活动都可能被监控，”该公司补充道。 “我们认为，仅通过攻破一个eUICC或窃取一份eUICC GSMA证书，就能窥探（明文下载）任意MNO的eSIM配置文件，这构成了eSIM架构的重大弱点。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全机构SentinelOne警告称，黑客正将恶意软件ZuRu木马植入正版Mac工具，通过污染搜索引擎结果推广被篡改的软件包，诱使用户感染。最新攻击活动中，黑客篡改了跨平台SSH客户端及远程服务器管理工具Termius的应用安装包。 被篡改的软件包内含新版macOS.ZuRu后门病毒。该木马安装后将在后台静默运行，建立持久化访问通道，可远程下载有害组件并执行攻击者指令。 ZuRu后门最早于2021年7月在中国通过百度搜索结果传播。此后该木马持续感染开发者常用工具，包括SecureCRT、Navicat及微软远程桌面等Mac版软件。去年起，盗版应用开始搭载升级版木马，具备更强大的远程控制功能。 攻击者通过替换开发者原始代码签名植入临时签名，以此绕过macOS的代码签名保护机制。SentinelOne研究人员在报告中指出：“ZuRu最新变种延续了攻击者篡改开发者和IT专业人员所用正版macOS应用的一贯手法。” 安全专家评估认为，该攻击主要针对“缺乏有效终端防护”的环境。VirusTotal上出现的篡改版Termius包含持久性下载器，可获取并解码开源渗透工具Khepri。 恶意代码执行时同步启动木马加载器与正版应用，确保用户无法察觉异常。恶意程序要求系统至少为2023年10月发布的Sonoma 14.1或更新版本。 远程控制功能涵盖文件传输、系统侦察、进程操控及指令执行反馈等。攻击者使用开源工具Khepri beacon建立命令控制通道，近期攻击中使用的恶意域名包括termius[.]fun和termius[.]info。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 技术细节公开仅24小时，黑客已开始利用Wing FTP服务器中的高危远程代码执行漏洞。监测到的攻击行为包含多轮系统枚举与侦察指令，并通过创建新用户实现持久化控制。 该漏洞编号为CVE-2025-47812，获评最高危级。其本质是空字节注入与Lua代码注入的组合漏洞，允许未授权攻击者以系统最高权限（root/SYSTEM）执行任意代码。Wing FTP作为支持Lua脚本的安全文件传输管理方案，广泛应用于企业及中小型网络环境。 6月30日，安全研究员Julien Ahrens发布技术报告，指出漏洞源于C++对空终止字符串的不安全处理及Lua输入验证缺失。其演示表明：用户名字段插入空字节可绕过认证检查，并向会话文件注入Lua代码。当服务器加载这些文件时，即可以root/SYSTEM权限执行恶意指令。 该研究员同时披露Wing FTP另外三处漏洞： CVE-2025-27889：通过特制URL诱使用户提交登录表单后，因JavaScript变量(location)包含密码导致凭证泄露 CVE-2025-47811：默认以root/SYSTEM权限运行且无沙盒隔离，显著放大远程代码执行危害 CVE-2025-47813：超长UID Cookie可泄露文件系统路径 所有漏洞影响7.4.3及更早版本。供应商于2025年5月14日发布7.4.4修复版本（除CVE-2025-47811被评估为低风险未处理）。 网络安全平台Huntress的研究人员成功构造漏洞验证程序（详见视频演示），并监测到技术细节公开次日（7月1日）即有攻击者利用该漏洞入侵客户系统。攻击者向loginok.html发送含空字节的用户名，生成恶意.lua会话文件注入Lua代码。注入代码通过十六进制解码载荷，利用certutil工具下载远程恶意软件并以cmd.exe执行。 Huntress发现同一Wing FTP实例在短期内遭到五个不同IP地址攻击，表明存在大规模扫描与利用尝试。攻击指令涵盖系统侦察、持久化维持及cURL数据外泄。攻击失败可能源于“攻击者操作生疏或Microsoft Defender拦截”，但关键漏洞已被明确利用。 企业应立即升级至7.4.4版本。若无法升级，建议采取以下缓解措施：禁用或限制HTTP/HTTPS访问入口、关闭匿名登录功能、实时监控会话目录可疑文件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现麦当劳AI招聘平台McHire存在漏洞，导致全美超6400万份求职申请的聊天数据面临泄露风险。该漏洞由伊恩·卡罗尔（Ian Carroll）与萨姆·柯里（Sam Curry）发现，其利用平台测试账户的弱凭证（用户名密码均为“123456”）进入系统。 McHire平台由Paradox.ai开发，约90%的麦当劳加盟商使用其AI聊天机器人Olivia处理求职申请。应聘者需提交姓名、邮箱、电话、住址及可工作时间，并完成性格测试。 研究人员登录后通过测试餐厅提交申请，观察到HTTP请求发送至/api/lead/cem-xhr接口，其中lead_id参数值为64185742。通过增减该参数值，他们成功越权访问其他求职者的完整聊天记录、会话令牌及个人数据。此漏洞属于不安全的直接对象引用（IDOR）——当应用程序未验证用户权限即暴露内部对象标识符（如记录编号）时，攻击者可任意访问数据。 卡罗尔在漏洞报告中指出：“初步安全审查仅数小时就发现两处严重缺陷：餐厅业主管理界面接受默认凭证123456:123456，且内部API的IDOR漏洞允许访问任意联系人和聊天数据。二者结合使任何McHire账户持有者能窃取6400万申请人的隐私信息。” 该问题于6月30日报告至Paradox.ai与麦当劳。麦当劳一小时内确认报告，随即禁用默认管理凭证。麦当劳向媒体声明：“对第三方供应商Paradox.ai存在如此不可接受的漏洞深感失望。获悉后立即要求其修复，问题在报告当日即获解决。”Paradox.ai部署补丁修复IDOR漏洞，并承诺全面审查系统防止类似问题重现。该公司补充说明，即使申请人未提交个人信息，仅点击聊天按钮的交互行为也会被记录。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文