HackerNews

HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。 Quiz and Survey Master（也称为QSM）被广泛用于创建测验、调查和表单。其功能集包括多媒体支持和拖放式测验构建器，这促成了其庞大的安装基数。 该漏洞无需管理员权限即可利用，意味着大量普通用户账号均可能被滥用，进而触发漏洞风险。 漏洞如何暴露站点数据库 该漏洞位于一个负责检索测验题目数据的REST API函数中。一个名为is_linking的请求参数被假定为数字标识符，并在没有经过适当验证的情况下被插入到数据库查询中。该参数值在与其他题目 ID 拼接、作为 SQL 语句执行前，未经过任何数据净化处理。 这种处理方式使得恶意用户可提交特制输入内容，其中包含额外 SQL 命令。由于查询语句未采用预处理语句构建，数据库会将注入的恶意内容当作查询语句的一部分执行，进而导致数据窃取或其他恶意操作风险。 该漏洞已被分配编号 CVE-2025-67987。虽然没有迹象表明该漏洞曾被积极利用，但其存在凸显了信任请求数据的风险，即使这些数据本意并非由用户直接控制。 负贵披露后发布补丁 Patchstack在上周发布的一份公告中表示，该漏洞已在Quiz and Survey Master版本10.3.2中修复。 该更新通过 intval 函数强制将 is_linking 参数转换为整数，确保数据库查询仅处理数字类型值，以此实现漏洞缓解。 该漏洞由Patchstack Alliance社区成员Doan Dinh Van发现并报告。 Patchstack于2025年11月21日收到报告并通知了插件供应商。修复版本于2025年12月4日发布，相关公告于2026年1月下旬公开。 此事件再次凸显了在WordPress插件中处理数据库查询时，进行输入验证和使用预编译语句的重要性。 消息来源: infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露 Docker 旗下 Ask Gordon 人工智能助手存在一项高危安全漏洞，该漏洞揭示了未经验证的元数据可被转化为可执行指令的攻击路径。 这个问题被Noma Labs命名为DockerDash，它暴露了从模型解释到工具执行的完整AI执行链中的弱点，并突显了随着AI代理更深地嵌入开发工作流而出现的新兴风险。 研究表明，Docker 镜像中仅需一个恶意元数据标签，即可通过三阶段攻击流程攻陷 Docker 环境。 Ask Gordon 会读取该元数据，将解析后的指令转发至模型上下文协议（MCP）网关，网关随即通过 MCP 工具执行该指令。该元数据全程未经过任何验证环节。这种信任机制缺陷使得攻击者无需利用传统软件漏洞，即可绕过安全边界实施攻击。 单一漏洞触发两条攻击路径 Noma Labs发现该漏洞存在统一攻击载体，攻击后果会随 Docker 部署环境的不同而存在差异。 在云端及命令行（CLI）环境中，该漏洞可导致高危级远程代码执行（RCE）。在 Docker 桌面端环境中，Ask Gordon 仅具备只读权限，但通过相同攻击手法，攻击者可实现大规模数据窃取与网络侦察。 DockerDash的核心是Noma Labs所称的元上下文注入。MCP网关旨在将上下文信息传递给大型语言模型，但它无法区分描述性元数据和预先授权内部指令。 攻击者将命令嵌入看似无害的 Docker LABEL 字段中，即可操控 AI 的推理逻辑，将上下文信息转化为具体执行动作。 数据窃取风险与缓解策略 不同环境下攻击影响存在差异，但均具备严重危害性，具体包括： 云端或本地命令行环境下，可通过 Docker 命令行指令实现远程代码执行 容器配置、环境变量及网络配置信息泄露 枚举已安装的 MCP 工具、镜像及系统配置数据 在 Docker 桌面端，攻击者还可指令 Ask Gordon 将窃取的数据嵌入出站请求中实现外泄，以此绕过针对命令执行、而非未授权读取的安全管控。 Noma Labs于2025年9月17日向Docker报告了此问题。Docker于10月13日确认了该漏洞，并在2025年11月6日发布的Docker Desktop版本4.50.0中进行了修复。漏洞详情于近日对外公开。 Docker实施了两项关键的缓解措施。一是 Ask Gordon 不再解析用户提供的镜像 URL，阻断了一条数据外泄路径。二是调用任意 MCP 工具前均需用户明确确认，新增了人机协同防护机制。 官方强烈建议用户升级至 Docker 桌面端 4.50.0 及后续版本，降低遭受此类新型 AI 驱动供应链攻击的风险。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一个新的勒索软件即服务（RaaS）组织，该团伙已攻陷巴西及南非多家机构。 据勒索软件专业公司Halcyon称，该团伙被命名为 “Vect”，于 2025 年 12 月启动招募计划后，目前正持续吸纳加盟攻击者。 该组织声称其恶意软件是使用C++独立开发的，而不是像多数同类团伙那样，重新利用Lockbit 3.0或Conti等知名勒索软件的泄露源代码。 该勒索软件采用 ChaCha20-Poly1305 认证加密算法，据称在无硬件加速的系统上，其加密速度是 AES-256-GCM 算法的 2.5 倍。其采用间歇加密技术部署，为提升加密速度，仅对部分数据块进行加密混淆。 Halcyon声称：“尽管该团伙成立时间较短，但展现出超乎寻常的成熟度，其宣称可提供跨平台勒索软件，覆盖 Windows、Linux 及 VMware ESXi 系统；支持安全模式执行以压制安全工具；还配备高速间歇加密功能，兼顾攻击速度与破坏性。” “Vect 目前似乎处于早期验证阶段，已宣称攻陷巴西、南非各一家机构，大概率在大规模扩张前测试自身攻击能力。” 加盟者的收入分成模式显然是“慷慨”的，入门费为 250 美元，且独立国家联合体（CIS）区域申请者可免缴该费用 —— 这一规则暗示了该团伙的藏身区域。 该行动的成熟度表明它是由一些有经验的RaaS参与者运营的，Red Piranha的另一项分析声称。 Red Piranha在一份研究报告中解释道：“该组织的操作安全措施引人注目，使用门罗币进行支付以保持财务匿名性，通过 TOX 协议实现加盟攻击者间的加密点对点通信；基础设施完全依托 TOR 隐藏服务搭建，未在公网留下任何痕迹。” “自主研发恶意软件、采用新型加密算法、具备跨平台攻击能力、搭配完善操作安全措施，这些特征共同表明，Vect 的操控者是资深威胁行为者，可能是老牌勒索软件加盟者的品牌转型或全新布局。” 该机构补充说，初始访问很可能是通过暴露的RDP/VPN、窃取的凭据、网络钓鱼或漏洞利用实现初始入侵。 Vect 采用经典双重勒索模式，目前已攻陷的两家机构均被列在其公开数据泄露平台上。 建议采取的防护措施 Halcyon建议网络防御者关注以下方面，以降低Vect带来的风险： 加固边界设备防范初始入侵：需重点防护飞塔（Fortinet）账号及管理界面（Vect 曾在俄语论坛求购被盗飞塔账号）；及时安装更新补丁，限制管理员权限暴露范围，对所有远程访问及特权访问强制要求高强度身份认证。 跨 Windows、Linux、VMware ESXi 系统开展威胁遏制：对管理网络进行分段隔离，限制虚拟机管理程序管理平面的访问权限，通过管控管理协议与文件共享，阻断攻击者横向渗透路径。 重点监测安全模式与间歇加密行为：加强对可疑安全模式启动、快速选择性文件加密（间歇加密典型特征）的监控；集中收集并核查相关日志与遥测数据，实现快速范围界定与威胁遏制。 部署反勒索软件防护方案：采用可在恶意二进制文件运行前阻断执行、能检测并阻止勒索软件运行时行为与数据窃取尝试、可拦截篡改操作及网络入侵的防护工具。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告，一场多阶段的网络钓鱼活动正在使用一种隐蔽的技术来规避安全工具的检测，并窃取知名云存储服务的公司凭证。 Forcepoint X-Labs于2月2日针对该持续开展的攻击活动发布预警，其通过组合多类手段窃取 Dropbox 账号登录凭证：伪造紧急公务相关钓鱼邮件、附带 PDF 附件、植入隐藏恶意链接、搭建伪造登录页面。 该攻击活动以钓鱼邮件为起点，邮件伪装成与采购需求或商务采购相关的内容。 邮件内容简短，但伪装得极具专业可信度，通常会定制成目标用户熟悉的机构或联系人发来的样式，并要求用户打开 PDF 附件了解详情。 Forcepoint指出，邮件的简洁特性使其可绕过 SPF、DKIM、DMARC 等邮件身份认证检测，同时邮件中隐含的紧急诉求，目的是诱导收件人按指令操作。 若用户打开该 PDF 文件，会被引导点击内嵌链接以配合相关需求。该链接基于 Acro 表单编写，大幅降低安全软件对其的扫描检测能力。 研究人员表示，该链接会将目标用户导向一个名为 “可信云存储” 的平台，随后该平台会跳转至伪造但极具迷惑性的 Dropbox 登录页面。 “攻击者借助合法云基础设施降低警惕性，在这一过程中绕过了许多基于信誉评级和已知恶意指标的自动化安全检测，” Forcepoint 高级安全研究员 Hassan Faizan 表示。 如果用户输入其登录凭证，该用户名和密码将被发送到攻击者运营的Telegram频道。攻击者获取合法登录凭证后，可登录目标账号，还可能将该初始访问权限作为起点，发起后续更多攻击。 “这些被盗凭证会被窃取至攻击者控制的命令与控制基础设施，进而被进一步滥用，包括账号劫持、内网渗透及后续更多欺诈行为。” Faizan 说。 2025 年期间，凭证窃取及身份仿冒类攻击呈激增态势，网络犯罪分子试图通过隐蔽方式获取企业账号及网络访问权限。有时，攻击者的最终目标仅仅是窃取数据。但这类入侵也可能是更具破坏性攻击活动的开端，其中就包括勒索软件攻击。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Step Finance 发布公告称，因公司高管团队设备遭黑客入侵，平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵，并联系了网络安全研究人员，后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融（DeFi）平台和分析工具，允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一，还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP，该代币交易量相对有限。 1 月 31 日，Step Finance 发布公告称，平台多个金库钱包遭入侵，威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示：“今日早些时候（亚太时段），我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备，并与网络安全专业团队紧密协作，快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报，被盗资产折合 261854 枚 SOL 代币，价值约 2890 万美元，但 Step Finance 经调查确认，本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调，目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响，平台已暂停部分业务，全力推进安全防护加固工作。Step Finance 指出，其旗下子平台 Remora Markets 未受此次事件波及，且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前，暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存，针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份，这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测，相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心，但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示，今年 1 月全球加密资产失窃总金额达 3.98 亿美元，其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件，总损失近 28.7 亿美元；而历史损失最高年份仍为 2022 年，当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家安全局（NSA）近日发布了一套新版《零信任实施指南》（ZIGs），该指南详细说明各类组织如何推进零信任建设，直至达到目标成熟度等级。 该指南包含了ZIGs的第一与第二阶段，其设计初衷是支持美国战争部（DoW，即原国防部）的零信任架构及更广泛的美国政府网络安全战略落地。 此次发布的两个阶段内容，目的是推动组织从零信任探索阶段逐步过渡至目标级落地实施阶段。指南明确了各阶段必备行动、依赖条件及预期成果，同时保留灵活性，允许企业结合自身业务需求与约束条件定制落地方案。 第一阶段聚焦搭建安全基准防线，该阶段明确了 36 项核心行动，支撑 30 项零信任核心能力落地，助力组织在深度集成前搭建或完善基础安全管控体系。第二阶段在第一阶段基础上推进，包含 41 项行动，可新增落地 34 项零信任能力，核心任务是实现核心零信任方案在各组件环境中的跨域集成。 这种分阶段的推进方式体现了一种模块化设计理念，而非僵化的固定路线。 AppOmni公司首席技术官兼联合创始人布莱恩·索比指出，这种结构强化了零信任并非一次性部署项目的观念。他强调：“（零信任）是一种运营模式，而非单纯的产品。”，同时强调，随着环境变化，相关策略决策必须持续评估并严格执行。 从边界防护转向持续评估 该指南进一步推动了安全理念的转变，即从依赖网络边界防护，转向对用户、设备及应用程序进行持续的身份验证与授权。零信任遵循 “永不信任、始终验证” 及 “默认已遭入侵” 的核心原则，随着网络威胁不断演变，该理念愈发被认为是安全防护的必要方案。 索比认为，该指南的一大亮点在于其重点关注身份验证之后的活动。“持续动态评估必须在用户登录后开展，而非仅在登录环节执行。”他表示。索比指出，当前许多成功的网络攻击均发生在身份认证之后，若无法对应用内部行为实现可视管控，仅靠基础身份核验与设备状态评估，能提供的防护能力十分有限。 该指南借鉴了美国第 14028 号行政令下出台的多项成熟框架，包括美国国家标准与技术研究院特别出版物 800-207、美国网络安全与基础设施安全局零信任成熟度模型 2.0 版本及美国战争部零信任参考架构。美国国家安全局与美国战争部首席信息官紧密协作制定该指南，将 152 项零信任相关行动梳理整合为结构化的实施阶段。 然而，索比也警告称，但索比警示，当前许多组织对零信任仍存在误用，仅过度聚焦网络访问管控这单一维度，若将零信任网络访问等同于完整的零信任解决方案，会忽略应用自身的访问决策制定与执行逻辑。 他表示：“任何零信任架构，若将应用策略决策点的可视性与管控能力排除在外，不仅实施成本高昂，防护效果也会严重不足。” 美国国家安全局表示，当前版本指南旨在帮助专业技术人员推动组织达成目标级零信任成熟度，未来或还将推出更多高级阶段的实施内容。     消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员在 OpenClaw（曾用名 Clawdbot 和 Moltbot）中发现一个高危安全漏洞，攻击者可通过特制恶意链接实现远程代码执行（RCE）。 该漏洞编号为 CVE-2026-25253（CVSS 评分：8.8），已于 2026 年 1 月 30 日发布的 2026.1.29 版本中修复。该漏洞被定义为令牌窃取漏洞，可导致网关被完全攻陷。 OpenClaw 创建者兼维护者 Peter Steinberger 在安全公告中表示：“控制界面会信任查询字符串中的 gatewayUrl 参数且不做验证，加载时自动建立连接，并在 WebSocket 连接载荷中发送存储的网关令牌。” “点击特制恶意链接或访问恶意网站，会将该令牌发送至攻击者控制的服务器。攻击者随后可连接受害者本地网关，修改配置（沙箱、工具策略），调用特权操作，最终实现一键远程代码执行。” OpenClaw 是一款开源自主人工智能个人助手，可在用户设备本地运行，且能与多款即时通讯平台集成。该工具虽于 2025 年 11 月首次发布，但近几周热度快速攀升，截至本文撰写时，其 GitHub 代码仓库星标数已突破 14.9 万。 Steinberger 介绍称：“OpenClaw 是一款开源智能体平台，可部署在你的设备上，且能通过你日常使用的聊天应用运行。与数据存储在他人服务器的软件即服务（SaaS）类助手不同，OpenClaw 可部署在你指定的设备上 —— 笔记本电脑、家庭实验室服务器或虚拟专用服务器，你的基础设施、你的密钥、你的数据，全程由你掌控。” 此漏洞的发现者、depthfirst 创始安全研究员 Mav Levin 指出，攻击者可借此构造一键 RCE 利用链，受害者仅需访问一次恶意网页，攻击过程即可在数毫秒内完成。 核心问题在于，OpenClaw 服务器未验证 WebSocket 来源请求头，点击恶意网页链接即可触发跨站 WebSocket 劫持攻击。这导致服务器会接受任意网站的请求，直接绕过本地环路网络限制。 恶意网页可利用该漏洞，在受害者浏览器中执行客户端 JavaScript 脚本，获取身份验证令牌、与服务器建立 WebSocket 连接，再通过窃取的令牌绕过身份验证，登录受害者的 OpenClaw 实例。 更严重的是，攻击者可利用令牌拥有的 operator.admin 和 operator.approvals 特权权限，通过 API 将 “exec.approvals.set” 设为 “off” 关闭用户确认机制，同时将 “tools.exec.host” 设为 “gateway”，突破运行 shell 工具的容器隔离。 Levin 解释道：“这会强制智能体直接在宿主设备上执行命令，而非在 Docker 容器内运行。最终，攻击者通过 JavaScript 执行 node.invoke 请求，实现任意命令执行。” 当被问及 OpenClaw 通过 API 管理安全功能是否存在架构缺陷时，Levin 在邮件中表示：“这些防护机制（沙箱、安全防护壁垒）的设计初衷，是抵御大语言模型因提示注入等问题产生的恶意行为。用户可能以为这些机制能保护其免受此漏洞影响（或限制危害范围），但实际并非如此。” Steinberger 在安全公告中指出：“即便 OpenClaw 实例配置为仅监听本地环路，该漏洞仍可被利用，因为出站连接由受害者的浏览器发起。” “任何用户已通过控制界面完成认证的 Moltbot 部署均会受到影响。攻击者将获得网关 API 的操作员级访问权限，从而能够任意修改配置并在网关主机上执行代码。即使网关绑定于环回地址，攻击依然有效，因为受害者的浏览器充当了中间桥梁。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未知、名为Punishing Owl的黑客组织近期浮出水面，正对俄罗斯政府安全机构发起技术复杂的网络攻击。 该组织于 2025 年 12 月 12 日首次公开活动，当日宣布已成功入侵俄罗斯某政府安全机构的网络。 攻击者将窃取的内部文件发布至数据泄露平台，并在 Mega.nz 存储仓库中备份相关文件，以此实现网络入侵事件曝光度最大化的目的。 该组织采用多种攻击手段，扩大此次行动的影响力。在取得受害者 DNS 配置的控制权后，Punishing Owl 创建了一个子域名并修改了 DNS 记录，将相关流量劫持至一台位于巴西的服务器。 该服务器不仅托管了窃取的文件，还附带了一份阐述其攻击动机的政治声明。 攻击者特意选择周五晚 6 点 37 分宣布入侵事件，该时间点经精心测算，可拖延受害者响应进度，同时让自身攻击行动获得最大曝光度。 在完成初步入侵后，该组织进一步对受害机构的合作伙伴与承包商发起了商业电子邮件欺诈（BEC）攻击。 据 Habr 分析师调查发现，Punishing Owl 利用位于巴西的服务器，并使用在受害者邮件域名下伪造的发件地址发送了钓鱼邮件。 这些钓鱼邮件谎称是对网络入侵事件的核实通知，并附带紧急要求，催促收件人查看附件文档。 尽管是新近出现的组织，但其攻击基础设施展现出相当的技术水准。Punishing Owl 配置了伪造的 TLS 证书，搭建了用于邮件收发的 IMAP 和 SMTP 服务，并部署了名为 ZipWhisper 的 PowerShell 窃密木马，用以从受感染系统中盗取浏览器凭证。 恶意邮件中包含带密码保护的 ZIP 压缩包，包内藏有伪装的 LNK 快捷方式文件，该文件会执行 PowerShell 命令，从 bloggoversikten [.] com 域名下的命令与控制服务器下载窃取器。 感染机制与凭证窃取过程 ZipWhisper 窃取器通过多阶段感染流程运作，核心目标是从受入侵主机中提取敏感浏览器数据。 当受害者打开伪装的 LNK 文件时，它会静默执行 PowerShell 命令，从攻击者架设的服务器下载窃密木马的有效载荷。 随后该恶意软件会收集存储浏览器凭证、Cookie 及保存密码的相关文件，将其打包为 ZIP 压缩包，压缩包命名遵循特定规则，包含受害者用户名及文件分块编号。 这些压缩包会先临时存储在系统 AppData/Local/Temp 目录下，再通过自定义端点结构上传至命令与控制服务器。 对窃取器代码的分析显示，代码注释表明其部分恶意脚本可能由 AI 工具生成，这意味着该组织或在借助现代开发技术，加速针对俄罗斯关键基础设施目标的攻击行动推进。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 DynoWiper 的高危新型数据擦除恶意软件已出现，正对波兰能源企业发起破坏性攻击，核心目的是永久清除关键数据。 该恶意软件于 2025 年 12 月首次被发现，当时安全研究人员监测到其在一家波兰能源企业内部部署。 与常见的以勒索钱财为目的、对文件进行加密的勒索软件不同，DynoWiper 的运作目标纯粹是破坏性的：它旨在覆盖并摧毁受感染网络中的所有数据，导致系统完全瘫痪无法启动。 此次攻击标志着针对关键基础设施的网络威胁正出现令人担忧的升级态势。 DynoWiper 存在多个变种部署形式，包括 schtask.exe、schtask2.exe 及一个更新程序文件，所有变种均于 2025 年 12 月 29 日被投放。 攻击者在首次执行失败后，多次尝试运行该恶意软件，且每次都会修改代码以绕过安全防护机制。 但企业部署的终端检测与响应工具成功拦截了恶意软件执行，大幅降低了攻击造成的损失。 Welivesecurity 的分析师指出，DynoWiper 与一款此前针对乌克兰目标的已知擦除恶意软件 ZOV 存在显著相似性。 研究团队将 DynoWiper 归咎于 Sandworm 组织。这是一个与俄罗斯关联、以针对能源企业发起破坏性网络攻击而臭名昭著的威胁团伙。 Sandworm 通常被认为隶属于俄罗斯联邦总参谋部情报总局（GRU）74455 部队，长期以来持续针对东欧地区关键基础设施发起攻击。 该恶意软件通过一套精心设计的三阶段摧毁流程开展破坏行动。第一阶段，DynoWiper 会递归搜索所有固定驱动器和可移动驱动器上的文件，同时避开某些关键系统目录，以暂时维持系统的基本运行。 该擦除恶意软件会通过一个 16 字节的随机数据缓冲区覆写文件内容。小于 16 字节的文件会被完全覆写，大于 16 字节的文件则仅破坏部分内容，以此提升摧毁效率。 基于活动目录漏洞利用的部署方式 DynoWiper 的感染机制显示出攻击者拥有高度的网络渗透能力。攻击者利用 Active Directory 组策略，将恶意软件分发到整个受控网络。 该部署方式需要域管理员权限，足见该威胁团伙具备获取目标企业高级别访问权限的能力。 恶意软件被存放至网络共享目录，可在多台设备上同时执行。 在部署擦除恶意软件前，攻击者使用Rubeus等凭证窃取工具，并尝试通过 Windows 任务管理器转储本地安全权威子系统服务（LSASS）进程内存。攻击者还部署了一款名为 rsocx 的 SOCKS5 代理工具，用于与外部服务器建立反向连接。 这种多阶段的攻击方式表明，攻击者在发动最终的破坏性攻击之前，进行了周密的规划和侦察。 能源行业相关企业应落实严格的访问控制、网络分段及持续监控机制，在擦除恶意软件被部署前，及时发现此类复杂入侵尝试。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，与俄罗斯有关联的黑客组织 Fancy Bear（ APT28）利用微软 Office 近期披露的一项漏洞，对乌克兰及欧盟相关组织发起网络攻击。 该预警由乌克兰国家网络威胁情报机构 —— 乌克兰计算机应急响应小组（CERT-UA）于 2 月 2 日发布。 CVE-2026-21509 漏洞在披露前已遭利用 CERT-UA 具体报告称，其在 1 月 29 日发现了一个名为 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文档。该文档包含 CVE-2026-21509 漏洞的利用程序，该漏洞为高危级别（CVSS 3.1 评分 7.8 分），影响微软 Office 2016、2019、长期服务频道 2021 版、长期服务频道 2024 版及微软 365 企业应用版等多个版本。 微软于 1 月 26 披露了该漏洞，其成因是微软 Office 在安全决策环节过度依赖不可信输入。 该漏洞被成功利用后，攻击者可绕过微软 365 及 Office 中的对象链接与嵌入（OLE）防护机制，而该机制原本用于保护用户免受存在漏洞的组件对象模型（COM）及 OLE 控件的威胁。 微软在其安全公告中确认，已检测到该漏洞存在在野利用的相关证据。该科技企业敦促微软 Office 2016 及 2019 版本用户务必安装更新以获得防护。 微软 Office 2021 及后续版本用户将通过服务端更新获得自动防护，但需重启 Office 应用程序方可生效。 CERT-UA 在报告中指出：“鉴于用户可能延迟（或无法）更新微软 Office 及落实推荐安全措施，利用该漏洞发起的网络攻击数量或将持续上升。” Fancy Bear 针对 CVE-2026-21509 漏洞的攻击链 乌克兰计算机应急响应小组发现的该 Word 文档，与欧盟常驻代表委员会针对乌克兰局势的磋商相关。 文档元数据显示，其创建时间为 1 月 27 日上午，即微软披露该漏洞的次日。 同日，乌克兰计算机应急响应小组表示，从合作方处收到报告称，出现疑似来自乌克兰水文气象中心的钓鱼邮件，附件为另一个名为 BULLETEN_H.doc 的文档。 这封邮件被发送给了超过 60 个邮箱地址，收件方主要是乌克兰的中央行政机关。 CERT-UA 的深入分析表明，使用微软 Office 打开该文档后，会通过 WebDAV 协议触发与外部资源的网络连接，随后下载一个伪装成快捷方式（LNK 文件）的恶意文件，该文件含有的恶意代码可实现载荷的下载与执行。 攻击成功执行后，会进行以下操作： 创建名为 “EhStoreShell.dll” 的 DLL 文件（伪装成系统“增强存储外壳扩展”库）。 创建包含 Shellcode 的图片文件 “SplashScreen.png”。 修改注册表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路径（以此实现 COM 劫持）。 创建名为 “OneDriveHealth” 的计划任务。 这些任务执行后，会终止并重启资源管理器进程（explorer.exe），该进程会通过组件对象模型劫持技术加载 EhStoreShell.dll 文件。 该动态链接库文件会执行图片文件中的壳代码，最终在受感染系统中加载 Covenant 攻击框架。 Covenant 是一款基于.NET 框架开发的命令与控制（C2）工具，最初设计用途为网络攻防演练及红队渗透测试。 乌克兰计算机应急响应小组还强调，由于 Covenant 框架将合法云存储服务 Filen 作为命令与控制基础设施，疑似被Fancy Bear组织列为攻击目标的机构，应封禁该云存储服务节点的网络访问，或至少对相关网络交互进行严密监控。 2026 年 1 月下旬，安全人员还发现了另外三份携带相同漏洞利用代码的文档，其攻击目标指向欧盟国家的组织机构。 乌克兰计算机应急响应小组敦促相关方落实微软安全公告中列明的漏洞缓解措施，尤其是针对 Windows 注册表配置的相关防护操作。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起针对 Open VSX Registry 的供应链攻击详情。在此次攻击中，不明身份的黑客入侵了一位合法开发者的账户资源，借此向下游使用者传播恶意更新。 Socket 安全研究员 Kirill Boychenko 在周六发布的报告中表示：“2026 年 1 月 30 日，开发者 oorzc 发布的四款成熟 Open VSX 扩展被推送恶意版本至仓库，版本中嵌入了 GlassWorm 恶意软件加载器。” “这些扩展此前一直以合法开发者工具的面目出现（部分最早发布于两年多前），在恶意版本发布前，其累计下载量已超过 22,000 次。” 这家供应链安全公司表示，此次攻击涉及该开发者的发布凭证被盗用。Open VSX 安全团队评估认为，事件可能源于令牌泄漏或其他未授权访问方式。目前，恶意版本已从 Open VSX 平台移除。  已确认的受污染扩展列表如下： ·   FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — 版本 0.5.1) ·   I18n Tools (oorzc.i18n-tools-plus — 版本 1.6.8) ·   vscode mindmap (oorzc.mind-map — 版本 1.0.61) ·   scss to css (oorzc.scss-to-css-compile — 版本 1.3.4) Socket 指出，这些恶意版本的核心目的是投递 GlassWorm 已知攻击活动相关的加载器恶意软件。该加载器支持运行时解密并执行内嵌恶意代码，采用 EtherHiding 这一愈发被武器化的技术获取命令与控制（C2）端点，最终执行恶意代码窃取苹果 macOS 系统凭证及加密货币钱包数据。 同时，该恶意软件会先对受感染设备进行环境探测，确认设备非俄语区域设置后才会触发执行 —— 这是俄语区背景威胁行为者或其关联组织的常见手法，目的是规避本土法律追责。 该恶意软件窃取的信息类型包括： ·   来自 Mozilla Firefox 及基于 Chromium 内核浏览器（如 Chrome、Edge 等）的数据（登录凭证、Cookie、浏览历史以及 MetaMask 等钱包扩展插件） ·   加密货币钱包文件（涉及 Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance 及 TonKeeper） ·    iCloud 钥匙串数据库 ·    Safari 浏览器 Cookie ·    Apple 备忘录数据 ·    桌面、文稿及下载文件夹中的用户文档 ·     FortiClient VPN 配置文件 ·    开发者凭证（例如 ~/.aws 和 ~/.ssh 目录下的文件） 针对开发者信息的窃取行为带来了严重风险，这可能使企业环境面临云账户被接管及攻击者横向移动的潜在威胁。 Boychenko 表示：“该恶意载荷包含专门的功能模块，用于定位并窃取常见开发工作流中的认证材料，例如检查 npm 配置文件中的 _authToken，以及获取 GitHub 的认证凭证。攻击者借此可访问私有代码仓库、持续集成（CI）系统的密钥以及发布自动化流程。” 此次攻击的一个显著特点是，它与以往观察到的 GlassWorm 攻击模式不同，黑客首次利用了合法开发者的被盗账户来分发恶意软件。在此前的案例中，该攻击活动的幕后黑手主要依赖误植域名和仿冒知名品牌等手段，上传欺诈性扩展进行传播。 Socket 分析称：“攻击者巧妙地融入了正常的开发者工作流程，将恶意代码的执行隐藏在加密且仅运行时解密的加载器之后，并利用 Solana 区块链的备忘录功能作为动态的‘死信箱’，来轮换其攻击基础设施，而无需重新发布扩展。这些设计选择降低了基于静态特征检测的价值，将防御优势转向了行为分析和快速响应能力。” 更新说明 Secure Annex 研究员 John Tuckner 告诉 The Hacker News，截至 UTC 时间 2026 年 2 月 2 日早上 6:30，上述扩展中仍有三个可供下载。在本文发稿前，它们已被从 Open VSX 移除，具体是： [email protected] [email protected] [email protected] Tuckner 表示：“该问题的棘手之处在于，受害者需等待原开发者发布更高版本，才能触发自动更新，即便扩展从应用市场下架，也不会从编辑器中自动卸载。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 过去数月，一场大规模的云存储订阅诈骗活动在全球范围内持续泛滥。大量用户频繁收到恐吓邮件，谎称其因“支付失败”导致照片、文件及账户即将被封锁或删除，以此诱导用户点击诈骗链接。 据安全媒体BleepingComputer观察，该诈骗活动在过去几个月中不断升级演进，受害者每天都会收到多个变种的诈骗邮件，这些邮件均疑似出自同一犯罪团伙之手。 尽管邮件正文内容略有差异，但核心话术一致：均试图通过编造“支付问题”或“存储空间不足”等理由制造紧迫感，威胁用户若不立即处理，其文件将被删除或访问权限遭封锁。 云存储诈骗邮件攻击详情 这些钓鱼邮件来自大量不同的发件域，其中绝大多数域名看起来是为此次垃圾邮件活动随机生成的，示例如下： Immediate Action Required. Payment Declined Cloud Storage 1TB: Payment overdue [personal name]¸Your Account Has been Blocked! Your Photos and Videos will be Removed Fri,30 Jan-2026. take action!! We’ve blocked your account!  Your photos and videos will be deleted . Renew your subscription for free now! [personal name] – Your store is full , click to check and save 80% , ID#88839 [personal name], Your Cloud Account has been locked on Mon,26 Jan-2026. Your photos and videos will be removed! Sorry [<personal email address>], We Have To Suspend Your Account Today ! Sat,24 Jan-2026 [name] – Your store is full , click to check and save 80% Cloud Storage 1TB: Payment overdue 这些诈骗邮件使用各类主题，核心目的均是恐吓收件人打开邮件。BleepingComputer收集到的部分主题行包括： 需要立即操作！付款被拒绝 云存储 1TB：付款逾期 [个人姓名]，您的账户已被封锁！您的照片和视频将于2026年1月30日（周五）被移除。请立即行动！！ 我们已封锁您的账户！您的照片和视频将被删除。立即免费续订订阅！ [个人姓名] – 您的存储空间已满，点击检查并节省80%，ID#88839 [个人姓名]，您的云账户已于2026年1月26日（周一）被锁定。您的照片和视频将被移除！ 抱歉 [<个人邮箱地址>]，我们必须在2026年1月24日（周六）暂停您的账户！ [姓名] – 您的存储空间已满，点击查看并节省80% 云存储 1TB：付款逾期 邮件内容谎称用户的云订阅续费失败或支付方式过期，警告若不立即处理，备份同步将停止，照片、视频、文档及设备备份可能永久丢失。为了增加欺骗性，邮件中还常包含虚构的账户ID、订阅编号和到期日期。邮件中还常包含伪造的账户 ID、订阅编号及到期日期，进一步伪装成合法通知。 BleepingComputer 获取的一封邮件中写道：“你的云订阅面临风险，近期支付处理失败。若未及时解决，云存储及备份功能可能被暂停” “紧急提醒：请尽快验证或更新支付方式，避免失去对照片、文件及设备备份的访问权限。” 该诈骗活动中的所有垃圾邮件均包含链接https://storage.googleapis.com/（谷歌云存储旗下服务），威胁分子在该链接下托管了静态重定向 HTML 文件。用户点击链接后，会被重定向至部署在随机域名上的诈骗 / 钓鱼网站。BleepingComputer测试发现，所有链接最终都指向同一套诈骗页面。这些页面高度模仿主流云服务商的门站，醒目地展示着云服务品牌标识（甚至包括谷歌云Logo），并声称用户存储空间已满，照片、视频、联系人、文件等私人数据将停止备份并面临删除风险。页面声称用户云存储空间已满，警示照片、视频、联系人、文件及私密数据已停止备份，且即将被删除。 下方钓鱼页面显示：“因你已超出存储套餐限额，文档、联系人及设备数据已停止同步至云空间，照片及视频无法上传至云相册，云盘及云服务相关应用无法跨设备同步更新。” “若不立即处理，你的数据将因失去安全保护而丢失。” 点击 “继续” 按钮后，用户会进入虚假存储检测页面，该页面始终显示照片、云盘及邮箱均已占满存储空间。随后页面警示：除非升级云存储空间，否则数据将丢失，同时声称用户可享受限时 “老用户专属” 8 折升级优惠。但用户点击存储升级按钮后，并不会进入合法云服务页面，而是被重定向至联盟营销页面，推广与云存储无关的产品。该钓鱼活动推广的产品包括 VPN 服务、小众安全软件，及其他与云存储无关的订阅类产品。这些页面最终会跳转至结账表单，目的是收集用户信用卡信息，同时为诈骗分子赚取联盟营销佣金。 遗憾的是，许多收件人无法识别此类诈骗，会误以为购买相关产品可解决虚假的云存储问题，进而购买非必需产品。需明确的是，此类邮件及落地页均非合法云服务通知。 需明确的是，此类邮件及落地页均非合法云服务通知。此外，正规云服务提供商不会通过邮件引导用户进行存储检测，也不会让用户通过第三方安全软件或 VPN 产品解决计费问题。 同时，多数正规云存储提供商在用户未按时付费时，仅会封禁额外存储空间的访问权限，而非立即删除用户文件。例如谷歌规定，若谷歌云盘套餐被取消，用户将失去额外存储空间访问权限，补缴费用后可恢复，且文件仅会在 2 年后被删除；微软 OneDrive 采用类似规则，但规定若账户超出配额存储限制，相关文件可能在 6 个月后被删除。 收到此类垃圾邮件的用户应直接删除，切勿点击任何链接，也不要购买邮件推广的任何产品。该诈骗活动的核心目的是恐吓用户进行非必需消费，因此无视此类邮件是最佳应对方式，若用户对云存储或计费有疑问，应手动访问正规云服务的官方网站或 APP 进行核实。   消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。 该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。 美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离 受影响产品范围 该漏洞影响以下应用产品： 确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。 截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。 这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。 此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。 消息来源:cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Iconics Suite SCADA 系统存在一项中危漏洞，攻击者可利用该漏洞在关键工业控制系统上触发拒绝服务状态。 该漏洞编号为 CVE-2025-0921，广泛部署于汽车、能源及制造业的监控与数据采集（SCADA）基础设施。 漏洞详情 CVE-2025-0921 源于三菱电机 Iconics Digital Solutions 的 GENESIS64 软件中，多个服务存在“以不必要权限执行”的安全缺陷。 该漏洞 CVSS 评分为 6.5 分，评级为中危。攻击者成功利用该漏洞后，可滥用特权文件系统操作提升权限、破坏核心系统二进制文件，最终导致系统完整性与可用性受损。 此漏洞由 Unit 42 的研究员 Asher Davila 和 Malav Vyas 在 2024 年初的一次全面安全评估中发现。这是在微软 Windows 平台的 Iconics Suite 10.97.2 及更早版本中发现的 6 项漏洞之一。此前研究人员已披露该 SCADA 平台存在的 5 项相关漏洞，CVE-2025-0921 是后续调查中发现的新增威胁。 根据三菱电机的安全公告，该漏洞影响 GENESIS64、MC Works64 的所有版本以及 GENESIS 11.00 版本。Iconics Suite 在全球超过 100 个国家拥有数十万安装实例，遍布政府设施、军事基地、水处理厂、公共事业及能源供应商等关键基础设施领域。 技术原理与利用途径 该漏洞存在于工业流程监控告警管理系统 AlarmWorX64 MMX 的 Pager Agent 组件中。 具备本地访问权限的攻击者，可通过篡改 C:\ProgramData\ICONICS 目录下 IcoSetup64.ini 文件中存储的 SMSLogFile 路径配置来利用该漏洞。攻击链流程包括：将日志文件存储路径创建为指向目标系统二进制文件的符号链接。当管理员发送测试消息或系统自动触发告警时，日志信息会沿符号链接覆盖核心驱动文件（如为 Windows 系统组件提供加密服务的 cng.sys）。 系统重启后，被破坏的驱动会导致启动失败，设备陷入无限修复循环，最终使工业控制（OT）工程工作站无法运行。 研究人员证实，该漏洞与 CVE-2024-7587 漏洞结合后利用难度会大幅降低；CVE-2024-7587 是此前披露的 GenBroker32 安装程序漏洞，会给 C:\ProgramData\ICONICS 目录赋予过高权限，允许任意本地用户修改核心配置文件。但即便单独利用该漏洞，若日志文件因配置不当、其他漏洞或社会工程学攻击具备可写权限，攻击者仍可成功触发漏洞。 三菱电机已为 GENESIS 11.01 及后续版本发布修复补丁，客户可从 Iconics 社区资源中心下载。针对 GENESIS64 用户，修复版本正在开发中，将于近期发布。厂商明确表示暂无 MC Works64 版本补丁发布计划，相关客户需在此期间落实漏洞缓解措施。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Moltbook 是 Octane AI 的 Matt Schlicht 于 2026 年 1 月末推出的新兴 AI 智能体社交网络，当前该平台因号称拥有 150 万 “用户” 引发热议，但其存在一项高危漏洞，导致注册主体的电子邮箱、登录令牌及 API 密钥遭泄露。 研究人员披露，该平台因数据库配置不当导致暴露，未授权人员可访问智能体档案，进而实现批量数据窃取。 该漏洞同时伴随账户创建无速率限制的问题，据悉单个 OpenClaw 智能体（@openclaw）就注册了 50 万个虚假 AI 用户，直接戳破了媒体所称的自然增长论调。 平台运行机制 Moltbook 支持基于 OpenClaw 构建的 AI 智能体发布内容、评论，还可创建如 m/emergence 这类 “子社群”，催生了围绕 AI 涌现、报复性信息泄露、Solana 代币刷信誉等话题的智能体论战 平台已涌现超 2.8 万条帖子及 23.3 万条评论，并有 100 万沉默验证者对内容进行查看。但智能体数量存在造假：因无注册限制，大量机器人批量注册，营造出平台爆火的假象。 关联不安全开源数据库的暴露端点，无需身份验证，仅通过 GET /api/agents/{id} 这类简单查询指令，即可泄露智能体数据。 攻击者可以通过枚举 ID 快速获取成千上万条记录。 安全风险与专家警告 此次不安全的直接对象引用（IDOR）及数据库暴露漏洞，构成了 “致命三重威胁”：智能体可访问私密数据、平台存在不可信输入风险（提示注入）、支持外部通信，可能引发凭证窃取、文件删除等破坏性操作。 Andrej Karpathy 称该平台是 “充斥垃圾信息的规模里程碑”，但更是 “计算机安全噩梦”，Bill Ackman 则评价其 “令人恐慌”。子社群中的提示注入攻击可操控机器人泄露宿主数据，且 OpenClaw 无沙箱隔离的执行机制会加剧这一风险。 目前尚无修复补丁确认；Moltbook (@moltbook) 对漏洞披露无回应。安全专家强烈建议用户及智能体所有者：立即撤销所有相关API密钥、将智能体置于沙箱环境中运行，并全面审计数据暴露情况。对于企业而言，不受管控的此类机器人活动更带来了严峻的“影子IT”风险。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某威胁行为者正针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据库所有者索要小额赎金，承诺支付后恢复数据。 该攻击者专挑易得目标下手，即因配置不当导致无限制访问、安全性缺失的数据库。据估计，已有约1,400台暴露的服务器遭入侵，攻击者留下的勒索信索要约500美元（以比特币支付）的赎金。 2021 年之前，此类攻击曾集中爆发，导致数千个数据库被删除，攻击者索要赎金以恢复数据 [1,2]，部分情况下，攻击者仅删除数据库，并未提出金钱诉求。 网络安全公司Flare的研究人员通过渗透测试发现，此类攻击至今仍在持续，只是规模有所缩小。研究人员共发现超过 20.85 万台公网暴露的 MongoDB 服务器。其中，10万台泄露了运维信息，更有3,100台根本无需身份验证即可直接访问。 Flare 核查时发现，无限制访问的 MongoDB 服务器中，近半数（45.6%）已遭入侵，这些数据库被清空，只留下一封勒索信。 Flare 在报告中指出：“威胁行为者要求向指定钱包地址支付比特币（通常为 0.005 枚，当前价值约 500 至 600 美元），并承诺支付后恢复数据”。然而，Flare在报告中明确指出：“但目前无法保证攻击者确实留存了数据，也无法保证受害者支付赎金后，对方会提供可用的解密密钥。” 所有勒索信中仅出现 5 个不同的钱包地址，其中一个地址占比高达约 98%，可见此类攻击由单一威胁行为者主导。 Flare 还指出，部分暴露且防护薄弱的 MongoDB 实例未遭攻击，推测这些实例的所有者可能已向攻击者支付了赎金。 除身份验证措施薄弱外，研究人员还发现，所有公网暴露的 MongoDB 服务器中，近半数（9.5 万台）运行老旧版本，存在已知漏洞（n-day 漏洞）风险。但这些漏洞大多仅能被利用发起拒绝服务攻击，无法实现远程代码执行。 Flare 建议 MongoDB 管理员，非必要不将实例暴露至公网；启用高强度身份验证；部署防火墙规则及 Kubernetes 网络策略，仅允许可信连接访问；避免直接照搬部署指南中的配置。需将 MongoDB 升级至最新版本，并持续监控实例是否存在暴露风险。若发现实例暴露，需立即轮换凭证，并核查日志排查是否存在未授权操作。   消息来源:bleepingcomputer： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果即将上线一项新功能，部分 iPhone 用户可通过该功能阻止蜂窝网络采集自身精准位置信息，从而提升执法机构及黑客定位用户实时位置的难度。 近年来，执法机构愈发频繁地传唤蜂窝运营商，调取手机用户的历史及实时行踪记录。 该新功能不会影响用户向应急救援人员共享位置信息，也不会限制用户自主向各类应用授权共享位置数据。 该功能初期将面向运行 iOS 26.3 或更高版本的 iPhone Air、iPhone 16e 以及 iPad Pro (M5) Wi-Fi + Cellular 机型用户开放。 “蜂窝网络可根据您的设备所连接的基站来判断您的位置，”苹果在周一发布的博客文章中说明。 根据博文介绍，开启此功能后，蜂窝网络将仅能识别“您设备所在的大致区域，而无法获得更精确的位置信息（例如具体街道地址）”。 苹果虽未明确阐述推出此功能的具体缘由，但该公司近年来持续将自身塑造为消费者隐私保护的领军者，并通过一系列更新赋予用户对其个人数据更大的控制权。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁研究人员在发现一个配置错误的开放目录后，进而查获一台正处于运行状态的命令与控制服务器，该服务器完整部署了 BYOB 框架。 该服务器 IP 地址为 38 [.] 255 [.] 43 [.] 60，监听 8081 端口，经核查正分发恶意载荷，可在 Windows、Linux 及 macOS 系统上建立持久化远程访问。 该基础设施由美国 Hyonix 公司托管，内含完整的投放器、加载器及后渗透模块套件，可支持攻击者持续控制受感染设备。该框架通过一个精心设计的多阶段感染链运作，能巧妙规避安全检测，同时提供危险的监视与控制功能。 暴露的开放目录泄露了 BYOB 后渗透工具包的完整架构，该工具包采用三阶段感染流程。 第一阶段以 359 字节的小型投放器启动，该投放器通过 Base64 编码、Zlib 压缩及 Marshal 反序列化实现多层混淆，以此规避特征码检测系统。 该投放器会获取第二阶段组件 ——2KB 大小的加载器，该加载器会扫描环境变量中的 VirtualBox 特征、核查运行进程中是否存在 VMware、Hyper-V、XenServer 等虚拟化软件，以此完成反虚拟机检测。 环境验证安全后，加载器会获取最终恶意载荷 ——123KB 的远程访问木马，该木马可与命令控制服务器建立加密 HTTP 通信，并按需加载额外监控模块。 Hunt.io 分析师在通过自研 AttackCapture 工具开展主动威胁狩猎时，发现了该暴露的恶意基础设施。其系统监测到这台运行中的命令与控制服务器存在典型开放目录特征，进而锁定该恶意基础设施。 对捕获样本的分析表明，该框架至少自2024年3月便开始运作，意味着这场持续活动已进行了约十个月。该基础设施存在刻意的地理分布设计，节点覆盖新加坡、巴拿马及美国多个地区，可见背后威胁行为者具备完善的攻击规划及资源调配能力。 BYOB框架展现出令人担忧的跨平台能力，在多类型计算环境中均能造成严重威胁。该框架针对不同操作系统定制了 7 种独立持久化机制，可确保恶意程序在设备重启及清理操作后仍能留存。 在 Windows 系统中，其会创建伪装为 “Java-Update-Manager” 的注册表运行项、在启动文件夹中放置 URL 快捷方式文件、创建每小时执行一次的计划任务，还会部署 Windows 管理规范订阅以实现事件触发式执行。 针对 Linux 系统，通过恶意 crontab 条目实现持久化；针对 macOS 设备，则通过 LaunchAgent 属性列表文件实现用户登录时自动执行。 这些冗余的持久化手段使得清除工作异常困难，大大增加了会有至少一种机制逃过检测的可能性。 后渗透监控功能 除建立访问权限外，BYOB 恶意载荷还可通过模块化组件实现全面监控功能，攻击者可根据目标按需加载对应组件。 键盘记录模块针对不同平台定制钩子功能：Windows 系统使用 pyHook，类 Unix 系统使用 pyxhook，可捕获每一次按键及当前活动窗口名称，以此明确密码、信用卡号等敏感信息输入时对应的应用场景。 数据包嗅探模块通过原始套接字在 IP 层拦截网络流量，解析报文头提取源地址、目的地址、协议信息及载荷数据，可获取明文传输的凭证及内部网络通信内容。 Outlook电子邮件收集模块是最危险的组件之一。它利用Windows COM自动化接口，无需认证即可编程访问已登录的Microsoft Outlook。该模块可连接已完成身份验证的 Outlook 会话，搜索收件箱内容、提取含特定关键词的邮件、统计邮件总数，再执行全量提取操作。这种能力对依赖电子邮件处理关键业务通信、财务信息和内部文档的企业环境构成严重威胁。 此外，该框架还包含进程操纵功能，允许攻击者终止安全软件、枚举运行中的程序，并自动阻止任务管理器等防护工具启动。 对该基础设施的分析，还揭露了攻击活动规模及牟利模式的更多高危细节。 已发现的 5 个命令与控制节点中，有 2 个同时部署了 BYOB 框架与 XMRig 加密货币挖矿软件，可见该基础设施具备双重用途，既能通过挖矿实现被动牟利，又能维持远程访问能力。远程访问工具包部署与加密货币挖矿相结合的模式，表明背后是利益驱动型威胁行为者，旨在从受感染设备中获取多重收益。 主服务器自 2023 年 12 月起便暴露远程桌面协议端口，且存在多台 Web 服务器同时运行于不同端口的异常配置，种种迹象均表明这是专用攻击基础设施，而非合法商业用途。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文