HackerNews

HackerNews 编译，转载请注明出处： 谷歌于周一发布了 Android 操作系统的月度安全更新，其中包含两个已被证实存在野外利用情况的漏洞。 此次补丁共修复了 107 个涉及多个组件的安全漏洞，涵盖框架（Framework）、系统（System）、内核（Kernel）以及 ARM、Imagination Technologies、联发科（MediaTek）、高通（Qualcomm）和 Unison 等厂商相关组件。 以下是两个已被野外利用的高严重性漏洞详情： CVE-2025-48633：框架组件中的信息泄露漏洞 CVE-2025-48572：框架组件中的权限提升漏洞 按照惯例，谷歌未披露有关攻击性质的更多细节，包括漏洞是被单独利用还是组合利用、攻击规模等信息，目前也不清楚攻击发起者的身份。 不过，这家科技巨头在安全公告中承认，有迹象表明这些漏洞 “可能正遭受有限范围的针对性利用”。 2025 年 12 月更新还修复了框架组件中的一个严重漏洞（CVE-2025-48631），该漏洞无需额外执行权限即可导致远程拒绝服务（DoS）攻击。 12 月安全公告包含两个补丁版本，分别为 2025-12-01 和 2025-12-05，为设备厂商提供了灵活性，使其能够更快地修复所有 Android 设备共有的部分漏洞。谷歌建议用户在补丁发布后尽快将设备更新至最新补丁版本。 值得注意的是，三个月前谷歌曾发布补丁修复了 Linux 内核（CVE-2025-38352，CVSS 评分 7.4）和 Android 运行时（CVE-2025-48543，CVSS 评分 7.4）中的两个活跃利用漏洞，这两个漏洞均可能导致本地权限提升。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，印度电信部已要求各大移动设备厂商在 90 天内，为所有新款手机预装一款名为Sanchar Saathi的政府官方 cybersecurity 应用。 路透社消息显示，这款应用无法从用户设备中卸载或停用。 “通信伙伴” 应用支持网页端登录，也推出了适配安卓和苹果系统的移动端版本。该应用能让用户通过电话、短信或瓦次普软件举报疑似诈骗行为、垃圾信息及恶意网络链接，还可帮助用户锁定被盗手机，同时允许移动通讯用户查询以本人身份办理的手机号数量。 其核心功能之一是支持举报以印度国家区号（即 + 91）拨打进来的国际诈骗电话。 印度政府在官网中表示：“这类国际来电是境外非法电信机构通过互联网接入后，伪装成国内来电拨打给印度民众的。举报此类来电有助于政府打击非法电信交换机相关违法活动，这类设备不仅给国家财政造成了经济损失，也对国家安全构成了威胁。” 该应用的安卓与苹果版本累计安装量已超 1140 万次，其中安装量最多的地区集中在印度的安得拉邦和马哈拉施特拉邦。自 2023 年 5 月推出以来，该应用相关服务已锁定 420 多万台被盗设备，追踪到其中 260 万台的位置，并成功追回约 72.3638 万台设备。 路透社指出，印度电信部于 2025 年 11 月 28 日发布的这一指令还要求厂商通过软件更新，为已进入供应链的库存手机预装该应用。印度方面称，这款应用对应对电信领域的各类安全威胁至关重要，比如可防范被篡改的国际移动设备识别码，这类篡改行为常被用于实施诈骗和违规使用网络。 印度这一举措使其加入了俄罗斯等国家的行列。俄罗斯已于 2025 年 9 月 1 日起强制要求，该国销售的所有智能手机、平板电脑、电脑及智能电视均需预装本土研发的即时通讯应用 “麦克斯”（MAX）。有批评人士称这款应用存在用户追踪功能，但俄罗斯官方媒体已驳斥此类指控，称其毫无根据。 此后，俄罗斯当局宣布对Telegram和瓦次普两款即时通讯软件的语音通话及视频通话功能实施部分限制，以此打击各类犯罪活动。俄罗斯联邦通信、信息技术和大众传媒监督局还发出警告，若瓦次普平台拒不遵守俄罗斯相关法律规定，将对其采取全面封禁措施。 该监管机构表示，瓦次普平台已被不法分子用于组织策划恐怖活动、招募作案人员，同时还成为实施诈骗及其他针对俄罗斯公民的犯罪活动的工具。 据独立网络监控项目Na Svyazi的数据显示，截至 2025 年 10 月底，俄罗斯约 40% 的地区已对电报和瓦次普软件采取访问限制措施。俄罗斯联邦通信、信息技术和大众传媒监督局对此解释称，实施限制是因为这些平台上存在诈骗、敲诈勒索等违法活动，且有不法分子利用平台诱骗俄罗斯公民参与破坏活动和恐怖主义活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为ShadyPanda的黑客组织，开展了一场长达七年的浏览器插件攻击行动，相关插件累计安装量已超 430 万次。 koi 安全公司的报告显示，其中 5 款插件起初均为合规程序，2024 年年中被植入恶意程序后，安装量达 30 万次，目前这些插件已被下架处理。 安全研究员图瓦尔・阿德莫尼在提交给thehackernews的报告中指出：“这些插件如今每小时都会执行一次远程代码操作 —— 获取浏览器的全部访问权限，下载并运行任意 JavaScript 脚本。它们会监控用户浏览的每个网站，窃取加密的浏览记录，并收集完整的浏览器指纹信息。” 雪上加霜的是，其中一款名为Clean Master的插件曾获得谷歌的精选认证。这种建立用户信任的操作，让黑客得以不断扩大用户群体，并在数年后悄无声息地推送恶意更新，且全程未引起任何怀疑。 与此同时，该开发者推出的另外 5 款插件，专门用于监控用户浏览的所有网页地址，同时记录搜索引擎查询内容与鼠标点击操作，并将这些信息传输至位于中国的服务器。这 5 款插件的总安装量约达 400 万次，仅 WeTab一款插件的安装量就有 300 万次。 网络安全详情 该事件的恶意活动早在 2023 年就已现端倪。当时，开发者 nuggetsno15在谷歌应用商店上架了 20 款插件，开发者rocket Zhang则在微软 Edge 应用商店上架了 125 款插件。这些插件均伪装成壁纸类或办公效率类应用程序。 经调查，当用户访问易贝、缤客旅行网或亚马逊等平台时，这些插件会秘密植入追踪代码，通过用户的购物行为套取非法佣金，涉嫌联盟营销欺诈。2024 年初，攻击手段进一步升级，从看似无危害的代码植入，转变为主动操控浏览器，具体包括篡改搜索跳转路径、窃取搜索内容以及盗取特定网站的用户身份识别数据。 koi 安全公司表示：“所有网络搜索请求都会被强制跳转至已知的浏览器劫持网站特洛维网。黑客会记录用户的搜索内容，通过商业化运作获利甚至直接出售这些数据，还会篡改搜索结果从中牟利。” 2024 年年中，黑客对 5 款插件进行了恶意篡改并推送更新，其中 3 款此前已合规运营多年。此次恶意更新为插件植入了类似后门的程序，这些插件每小时会向 “api.extensionplay [.] com” 域名发送一次请求，获取 JavaScript 恶意程序并执行。 该恶意程序的核心功能是监控用户的所有浏览行为，并将加密后的浏览数据，连同详细的浏览器指纹信息，一并发送至熊猫暗影组织控制的 “api.cleanmasters [.] store” 服务器。此外，该程序还采用多重代码混淆技术掩盖其恶意行为，一旦检测到用户打开浏览器开发者工具，便会切换至正常运行模式以规避检测。 不仅如此，这些插件还能发起中间人攻击，进而盗取用户登录凭证、劫持用户会话，甚至向任意网站植入恶意代码。 2023 年左右，微软 Edge 应用商店上架的另外 5 款插件（含 “微标签”），标志着此次攻击进入最后阶段。黑客借助这些插件庞大的用户基数，展开全方位监控，所收集的信息涵盖用户浏览地址、搜索记录、鼠标点击轨迹、身份识别数据及浏览器指纹等。 这些插件还能捕捉用户的网页交互行为，例如浏览时长与滚动操作等。截至本文发稿时，“微标签” 插件仍可在应用商店下载。 此次调查表明，该恶意攻击行动分四个阶段逐步推进，最终将原本合规的浏览器插件彻底变成了窃取数据的间谍软件。不过值得注意的是，目前尚无法证实黑客是否通过刷量手段虚增下载量，以此营造插件广受青睐的假象。 安全专家建议已安装相关插件的用户立即卸载，并更换各类账号密码，以防信息泄露。 koi 安全公司指出：“本为保障用户安全设计的自动更新机制，如今却成了黑客的攻击渠道。谷歌浏览器与微软 Edge 浏览器的可信更新通道，在用户不知情的情况下向设备推送了恶意程序。整个过程未涉及钓鱼网站诱导，也无社会工程学欺诈，仅靠这些受信任插件的版本悄然更新，就将办公辅助工具变成了监控用户的平台。” “熊猫暗影组织的得逞，不仅凭借其高超的技术能力，更在于他们七年来持续利用同一平台漏洞 —— 应用商店仅在插件提交时进行审核，而对上架后的后续行为却缺乏监管。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 Albiriox 的新型 Android 恶意软件以 “恶意软件即服务”（MaaS）模式对外推广，提供 “全功能” 套件，可协助实施设备端欺诈（ODF）、屏幕操控及与受感染设备的实时交互。 该恶意软件内置一份硬编码目标列表，涵盖 400 余款应用，涉及银行、金融科技、支付处理商、加密货币交易所、数字钱包及交易平台等多个领域。 Cleafy 公司研究人员费德里科・瓦伦蒂尼、亚历山德罗・斯特里诺、詹卢卡・斯科蒂及西蒙娜・马蒂亚表示：“该恶意软件通过社会工程学诱饵分发投放器应用，并结合加壳技术规避静态检测，最终交付恶意负载。” 据悉，Albiriox 于 2025 年 9 月末首次以 “限量招募测试” 形式宣传，一个月后正式转为 MaaS 服务模式。从黑客在网络犯罪论坛的活动轨迹、语言特征及所使用的基础设施来看，相关威胁行为者疑似俄语使用者。 潜在客户可获取一款定制化生成器，开发者称其已与名为 Golden Crypt 的第三方加密服务集成，能够绕过杀毒软件及移动安全解决方案的检测。 攻击的核心目标是夺取移动设备控制权并实施欺诈行为，且全程保持隐蔽性。至少有一起初始攻击活动明确针对奥地利用户 —— 威胁行为者通过德语诱饵及含短链接的短信，诱导收件人访问仿冒谷歌应用商店的虚假页面，此类页面伪装成 “PENNY 优惠与优惠券”等合法应用的下载界面。 毫无防备的用户点击仿冒页面上的 “安装” 按钮后，设备会被植入投放器 APK。应用安装并启动后，会以 “软件更新” 为幌子，诱导用户授予其应用安装权限，进而部署主恶意程序。 核心技术特性与攻击手段 Albiriox 通过未加密的 TCP 套接字连接实现命令与控制（C2），威胁行为者可借助该通道下发各类指令：利用虚拟网络计算远程控制设备、提取敏感信息、显示黑屏 / 空白屏幕，以及调节音量以保障操作隐蔽性。 该恶意软件还内置基于 VNC 的远程访问模块，支持威胁行为者与受感染手机进行远程交互。其中一个版本的 VNC 交互机制利用 Android 辅助功能，可捕获设备屏幕上所有用户界面元素及辅助功能组件。 研究人员解释道：“这种基于辅助功能的流传输机制专为绕过 Android 系统的 FLAG_SECURE 保护机制而设计。当前许多银行及加密货币应用启用该标志后，会阻止屏幕录制、截图及画面捕获，而借助辅助功能，恶意软件可获取完整的界面节点级视图，且不会触发直接屏幕捕获技术常见的各类保护机制。” 与其他 Android 银行木马类似，Albiriox 支持对硬编码目标列表中的应用实施覆盖层攻击（Overlay Attack），以窃取登录凭证。此外，它还能生成伪装成系统更新或黑屏的覆盖层，使恶意活动在后台秘密进行而不被察觉。 Cleafy 研究团队还发现一种略有差异的分发方式：用户被重定向至伪装成 PENNY 品牌的虚假网站，诱导其输入手机号码以通过 WhatsApp 接收直接下载链接。目前该页面仅接受奥地利手机号码，用户输入的号码会被窃取至某 Telegram 机器人。 Cleafy 指出：“Albiriox 具备现代设备端欺诈恶意软件的所有核心特征，包括基于 VNC 的远程控制、辅助功能驱动的自动化操作、定向覆盖层攻击及动态凭证窃取。这些能力使攻击者能够直接在受害者的合法会话中操作，从而绕过传统身份验证及欺诈检测机制。” 同期其他 Android 恶意软件威胁 与 Albiriox 披露同期，另一款代号为 RadzaRat 的 Android MaaS 工具浮出水面。该工具伪装成合法文件管理应用，安装后却会释放广泛的监控及远程控制功能。这款远程访问木马（RAT）于 2025 年 11 月 8 日首次在地下网络犯罪论坛宣传。 Certo 公司研究人员索菲亚・泰勒表示：“该恶意软件的开发者以‘Heron44’为化名，将其定位为‘易于部署和操作’的远程访问解决方案，使用者无需具备深厚技术知识。这种分发策略反映出网络犯罪工具正朝着‘大众化’方向发展，令人担忧。” RadzaRat 的核心功能是远程操控文件系统访问与管理，黑客可通过它浏览目录、搜索特定文件及从受感染设备下载数据。此外，它还滥用 Android 辅助功能记录用户按键，并通过 Telegram 实现命令与控制。 为实现持久化驻留，该恶意软件利用 RECEIVE_BOOT_COMPLETED 和 RECEIVE_LOCKED_BOOT_COMPLETED 权限，搭配专用的 BootReceiver 组件，确保设备重启后自动启动；同时申请 REQUEST_IGNORE_BATTERY_OPTIMIZATIONS 权限，规避 Android 系统的电池优化机制（该机制可能限制其后台活动）。 Certo 评价道：“它伪装成实用的文件管理器，同时具备强大的监控和数据窃取能力，对个人用户及企业组织均构成重大威胁。” 此外，研究人员还发现伪装成 “GPT Trade” 应用的虚假谷歌应用商店落地页，正在分发 BTMOB Android 恶意软件及名为 UASecurity Miner 的持久化模块。BTMOB 最早由 Cyble 公司于 2025 年 2 月披露，其特点是滥用辅助功能解锁设备、记录按键、通过注入自动化窃取凭证及启用远程控制。 另一个复杂的 Android 恶意软件分发网络则以成人内容为社会工程学诱饵，分发经过高度混淆的恶意 APK 文件。该文件会申请钓鱼覆盖层、屏幕捕获、安装其他恶意软件及操控文件系统等敏感权限。 帕洛阿尔托网络公司 Unit 42 团队表示：“该分发网络采用弹性化的多阶段架构，前端诱饵网站运用商业级混淆与加密技术，隐藏并动态连接至独立的后端基础设施。前端网站通过虚假加载提示及一系列检测机制（包括测试图片加载时长检测），规避安全工具的检测与分析。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据澳大利亚联邦警察局消息，44 岁的澳大利亚男子迈克尔・克拉普西斯因在机场及航班上实施 Wi-Fi 攻击、窃取敏感信息，被判处 7 年 4 个月监禁。 澳大利亚广播公司报道称：“珀斯一名黑客窃取女性私密视频，并搭建仿澳洲航空的虚假 Wi-Fi 网络盗取乘客数据，现已入狱。法官警告，其行为可能对该航空公司造成声誉损害。”“调查还发现，他多年来一直从女性的个人网络账户中窃取私密影像。” 据悉，该男子最早从 2015 年起，就曾试图入侵 7 名受害者的网络地址或账户。 调查人员查明，他多年来持续从女性网络账户中窃取私密影像。六年多时间里，他从 17 名受害者（含一名 17 岁未成年人）的账户中盗取了 700 余张照片和视频，其中大量文件包含裸露画面及私密或色情内容。 此外，该男子还试图远程格式化自己的手机，并删除笔记本电脑中的 1752 个文件（其中多数为女性私密影像）。他还未经授权访问雇主的笔记本电脑，偷看公司与澳大利亚联邦警察局就该案调查举行的机密会议。 澳大利亚警方透露，克拉普西斯利用 “Wi-Fi 菠萝”（Wi-Fi Pineapple）设备，在主要机场及国内航班上搭建 “邪恶孪生”（Evil Twin）Wi-Fi 网络，诱骗用户连接以窃取登录凭证。2024 年 7 月，该男子因在机场等场所搭建虚假 Wi-Fi 热点、盗取连接用户的电子邮件及社交媒体登录信息，被正式提起公诉。 “邪恶孪生” Wi-Fi 攻击是一种网络攻击手段：攻击者搭建伪造的无线接入点，模仿合法 Wi-Fi 的名称及标识，诱骗用户连接至虚假热点，进而拦截、捕获并篡改受害者传输的数据。 该男子面临的指控包括：三项 “未经授权破坏电子通信” 罪、三项 “持有或控制数据以实施严重犯罪” 罪，以及 “未经授权访问或修改受限数据”“欺诈性获取或交易个人财务信息”“持有他人身份证明信息” 等多项罪名。若所有罪名成立，其最高可获刑 23 年。 调查细节显示，2024 年 4 月，某航空公司报告一架国内航班上出现可疑 Wi-Fi 网络，澳大利亚联邦警察局随即展开调查。警方在珀斯机场从该男子行李中查获便携式无线接入设备、笔记本电脑及手机，并对其位于帕尔米拉的住所进行搜查。2024 年 5 月 8 日，警方凭借第二份搜查令将其逮捕并提起指控。经对查获数据及设备的分析，发现其中包含数十组个人登录凭证及伪造 Wi-Fi 网页。这些盗取的凭证可被用于访问受害者的个人信息及银行账户详情。 澳大利亚联邦警察局网络犯罪调查人员收集的证据表明，克拉普西斯在珀斯、墨尔本、阿德莱德三地机场、国内航班上，以及其曾任职单位相关场所，均使用过伪造 Wi-Fi 网页实施攻击。 澳大利亚广播公司报道称，地区法院法官达伦・伦顿指出，克拉普西斯的犯罪行为具有 “系统性”，且持续多年。“你的罪行波及多名受害者，” 法官表示。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大加密货币交易所 Upbit 周三晚间遭黑客盗取价值 3000 万美元的加密货币，韩国政府官员正介入调查。 周五，韩国官员向该媒体透露，根据黑客入侵加密货币平台的攻击手段及被盗资金的洗钱方式，朝鲜 Lazarus 黑客组织大概率与此次盗窃事件有关。 调查人员认为，黑客先是冒充 Upbit 管理员身份，随后转移了约 3000 万美元的加密资产。 Upbit 公司在声明中将此次盗窃称为 “异常提现”，并表示正针对该起攻击事件展开调查。 其母公司 Dunamu 首席执行官吴京锡（音译）补充称，平台已暂停充值和提现服务。 所有损失将由 Upbit 承担。值得注意的是，此次攻击发生在前一日 —— 韩国互联网巨头 Naver 以 100 亿美元收购 Dunamu 之后。 “发现异常提现后，Upbit 立即对相关网络及钱包系统进行了紧急安全审查，” 该首席执行官表示，“为防止进一步的异常转账，所有资产已转移至安全的冷钱包中。” 周四，Upbit 已追踪到部分被盗资金流入另一个钱包，并正尝试冻结相关资产，阻止其被进一步转移。 调查人员指出，此次攻击具备 2019 年 Upbit 被盗事件的典型特征 —— 当时该平台约 4000 万美元资产遭窃，而那起事件同样被归咎于 Lazarus 组织。该组织是全球最为活跃的国家支持黑客组织之一。 据称，Lazarus 组织隶属于朝鲜侦察总局。过去九年间，该组织已盗取价值数十亿美元的加密货币。区块链监测公司 Chainalysis 数据显示，2024 年与朝鲜政府相关的黑客组织在 47 起事件中，共窃取价值 13 亿美元的加密资产。 今年 2 月，该组织被指控从迪拜加密货币平台 Bybit 盗取 15 亿美元。联合国去年表示，其正在追踪过去五年间的数十起相关事件，这些事件已为朝鲜带来 30 亿美元的非法收入。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周日，韩国最大在线零售商 Coupang（常被称为 “韩国版亚马逊”）证实，3370 万个客户账户信息遭泄露，公司就此公开致歉。这是近期韩国企业遭遇的又一起重大数据泄露事件。此前通讯软件Kakao的2700万用户和电商平台TMON的300万用户信息相继遭泄露。 Coupang 近年来年收入达数百亿美元，其推出的 “火箭配送” 服务可实现当日达和清晨配送，使其成为许多韩国人日常购物的首选平台。 Coupang 于 11 月曾披露，约 4500 个客户账户遭未授权访问。但经内部调查后，这一数字大幅上调。最新泄露规模相当于韩国5170万人口的65%，实际受影响人数可能略低。 事件详情 据悉，泄露信息包括姓名、电子邮箱、邮寄地址、电话号码及订单历史记录。Coupang 强调，支付信息和登录凭证未受影响。 该公司表示，已 “立即向韩国警察厅、个人信息保护委员会、韩国互联网安全振兴院等相关部门报告了此次数据泄露事件”。 针对Coupang数据泄露事件，韩国政府周日召开紧急会议，副总理兼企划财政部长官秋庆镐、科学技术信息通信部长官李宗昊、警察厅国家侦查本部长俞承镐等高级官员出席。 韩国科技部声明称：“由于此次泄露涉及大量民众的联系方式和住址信息，个人信息保护委员会计划迅速展开调查，若发现违反《个人信息保护法》安全措施义务的情况将实施严厉制裁。” 韩国媒体报道称未在Coupang内部系统发现恶意代码，调查重点转向一名前员工。 韩联社援引消息称警方已锁定嫌疑人，疑似为一名已出境的前员工，但未获警方证实。 首尔地方警察厅官员向记者表示：“我们正在分析Coupang提交的服务器日志，已掌握嫌疑人作案IP地址并展开追踪。” 韩联社还报道，警方正核实该嫌疑人是否与此前向 Coupang 发送邮件、威胁披露数据泄露事件的为同一人。据警方透露，该邮件并未索要钱财。 惩罚制度亟待整改 此前，韩国最大移动运营商 SK 电信曾因数据泄露被处以 1340 亿韩元（约合 9100 万美元）的创纪录罚款。该公司承认，其系统近三年来未检测出近 25 种恶意软件。 韩国总统办公室官员近期指出，韩国对未能保护客户数据企业的惩罚制度收效甚微。总统府政务首席秘书姜勋植表示：“惩罚性赔偿制度实际上形同虚设，导致预防大规模数据泄露的效果有限。”他补充称近期事件凸显韩国个人信息保护法律体系存在“结构性缺陷”，科技部和个人信息保护委员会已被要求提交整改方案。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 “Tomiris” 的威胁行为者近期针对俄罗斯外交部、政府间组织及政府机构发起攻击，旨在获取远程访问权限并部署更多攻击工具。 卡巴斯基（Kaspersky）研究人员奥列格・库普列夫与阿尔乔姆・乌什科夫在分析报告中指出：“这些攻击凸显了 Tomiris 战术的显著转变 —— 该组织日益频繁地使用利用公共服务（如 Telegram、Discord）作为命令与控制（C2）服务器的植入程序。这种方式的核心目的是将恶意流量与合法服务流量混淆，从而规避安全工具的检测。” 该网络安全公司表示，此次攻击行动中使用的鱼叉式钓鱼邮件和诱饵文件中，超 50% 包含俄语名称及文本，表明俄语用户或实体是主要攻击目标。此外，钓鱼邮件还针对土库曼斯坦、吉尔吉斯斯坦、塔吉克斯坦和乌兹别克斯坦，采用了这些国家的官方语言定制内容。 针对高价值政治与外交基础设施的攻击中，Tomiris 结合了反向 Shell、定制植入程序及 Havoc、AdaptixC2 等开源 C2 框架，为入侵后的后续操作提供支持。 Tomiris 组织背景与关联分析 Tomiris 的相关细节最早于 2021 年 9 月曝光 —— 当时卡巴斯基披露了同名后门程序的工作机制，发现其与俄罗斯 APT29 黑客组织（SolarWinds 供应链攻击的幕后黑手）使用的 SUNSHUTTLE（又名 GoldMax）恶意软件，以及 Turla 组织使用的.NET 间谍后门 Kazuar 存在关联。 尽管存在上述重叠，研究人员评估 Tomiris 是一个独立的威胁行为者，主要聚焦中亚地区的情报收集活动。微软在 2024 年 12 月发布的报告中，将 Tomiris 后门与哈萨克斯坦相关威胁行为者 “Storm-0473” 关联。随后，思科 Talos、Seqrite Labs、Group-IB 及 BI.ZONE 等机构的报告进一步印证了这一假设，并发现其与 “Cavalry Werewolf”“ShadowSilk”“Silent Lynx”“SturgeonPhisher”“YoroTrooper” 等攻击集群存在关联。 2025 年攻击链详情 卡巴斯基记录的最新攻击活动始于包含恶意加密 RAR 文件的钓鱼邮件 —— 解压密码直接包含在邮件正文中。RAR 文件内藏有伪装成微软 Word 文档的可执行文件（*.doc.exe），运行后会释放一个 C/C++ 编写的反向 Shell，该组件负责收集系统信息并连接 C2 服务器下载 AdaptixC2 框架。 此外，该反向 Shell 还会修改 Windows 注册表，确保下载的载荷实现持久化运行。仅 2025 年一年，研究人员已检测到该恶意软件的三个不同版本。 钓鱼邮件传播的 RAR 文件还被发现分发其他恶意软件家族，进而触发各自的感染链： Rust 编写的下载器：收集系统信息并通过 Discord Webhook 发送；创建 VBScript（Visual Basic 脚本）和 PowerShell 脚本文件；通过 cscript 执行 VBScript，进而运行 PowerShell 脚本下载包含 Havoc 相关可执行文件的 ZIP 包。 Python 编写的反向 Shell：以 Discord 为 C2 服务器接收并执行命令，将结果回传；执行侦察操作；下载后续阶段植入程序（包括 AdaptixC2，以及 Python 编写的文件窃取工具 FileGrabber—— 专门收集.jpg、.png、.pdf、.txt、.docx、.doc 格式文件）。 Python 编写的后门程序（代号 Distopia）：基于开源项目 dystopia-c2 开发，以 Discord 为 C2 执行控制台命令并下载额外载荷；其中包含一个以 Telegram 为 C2 的 Python 反向 Shell，可在目标主机上运行命令并将输出结果回传服务器。 恶意软件武器库详解 Tomiris 的恶意软件武器库包含多款不同编程语言编写的反向 Shell 与植入程序： C# 反向 Shell：利用 Telegram 接收命令； Rust 编写的恶意软件 JLORAT：可执行命令并捕获屏幕截图； Rust 编写的反向 Shell：以 PowerShell 作为命令行终端（替代 “cmd.exe”）； Go 编写的反向 Shell：建立 TCP 连接，通过 “cmd.exe” 执行命令； PowerShell 后门：利用 Telegram 执行命令，并将任意文件下载至 “C:\Users\Public\Libraries\” 路径； C# 反向 Shell：建立 TCP 连接，通过 “cmd.exe” 执行命令； C++ 编写的反向 SOCKS 代理：基于开源项目 Reverse-SOCKS5 修改，移除调试信息并隐藏控制台窗口； Golang 编写的反向 SOCKS 代理：基于开源项目 ReverseSocks5 修改，移除调试信息并隐藏控制台窗口。 卡巴斯基表示：“Tomiris 2025 年的攻击行动利用多语言恶意软件模块，提升了操作灵活性，同时通过降低可疑性规避检测。战术的不断演化凸显了该威胁行为者对隐蔽性、长期持久化的重视，以及对政府和政府间组织的战略性靶向攻击。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款基于 Mirai 的新型僵尸网络 ShadowV2，在 10 月亚马逊云服务中断期间短暂针对易受攻击的物联网设备发起攻击，此次行动很可能是一次测试运行。 10 月下旬 AWS 服务中断期间，飞塔实验室研究人员发现，基于 Mirai 的 ShadowV2 恶意软件在多个国家和行业中利用物联网漏洞发起攻击。该僵尸网络仅在服务中断期间活跃，表明其目的是为未来攻击进行测试。ShadowV2 针对多款产品的漏洞攻击物联网设备，涉及厂商及对应漏洞编号包括：DDWRT（CVE-2009-2765）、友讯（D-Link，CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915）、DigiEver（CVE-2023-52163）、TBK（CVE-2024-3721）、普联（TP-Link，CVE-2024-53375）。 该僵尸网络的攻击目标覆盖全球多个国家： 大洋洲：澳大利亚 美洲：加拿大、美国、墨西哥、巴西、玻利维亚、智利 欧洲：英国、荷兰、比利时、法国、捷克、奥地利、意大利、克罗地亚、希腊 非洲：摩洛哥、埃及、南非 亚洲：土耳其、沙特阿拉伯、俄罗斯、哈萨克斯坦、中国、泰国、日本、中国台湾地区、菲律宾 飞塔报告显示，受害行业包括科技、零售与酒店、制造业、托管安全服务提供商、政府机构、电信运营商及教育行业等。 ShadowV2 通过多个物联网漏洞传播，从 IP 地址 81 [.] 88 [.] 18 [.] 108 下载名为 binary.sh 的下载器脚本。 该恶意软件与 Mirai 的 LZRD 变种存在相似性，使用异或密钥 0x22 解码配置信息，并加载攻击路径、请求头和用户代理字符串（User-Agent）。在解析命令与控制（C2）域名后，它会连接至 81 [.] 88 [.] 18 [.] 108，并标识自身为 “面向物联网的 ShadowV2 Build v1.0.0”。随后，它会初始化多种 UDP、TCP 和 HTTP 洪水攻击方法，等待 C2 服务器下发指令，并根据接收的参数发起分布式拒绝服务（DDoS）攻击。 飞塔发布的报告指出：“ShadowV2 支持两种传输层协议（UDP 和 TCP）及 HTTP 应用层协议，实现的攻击方法包括 UDP 洪水、多种 TCP 洪水及 HTTP 层洪水。恶意软件将这些行为映射为内部函数名，例如 UDP、UDP Plain（UDP 明文）、UDP Generic（UDP 通用型）、UDP Custom（UDP 自定义型）、TCP、TCP SYN（TCP 同步包）、TCP Generic（TCP 通用型）、TCP ACK（TCP 确认包）、TCP ACK STOMP（TCP 确认包压制）及 HTTP 攻击。它持续监听 C2 服务器的命令，通过对应的攻击方法 ID 和参数触发 DDoS 攻击。” ShadowV2 的出现表明，物联网设备仍是重大安全薄弱环节。其演化趋势显示，威胁行为者正日益聚焦物联网环境。 报告总结道：“ShadowV2 的演化表明，威胁行为者的攻击目标已出现向物联网环境转移的战略转变。这凸显了及时更新固件、推行严格安全实践、持续监控相关威胁情报的重要性 —— 唯有如此，才能提升整体安全态势感知能力，确保物联网生态系统的抗攻击韧性。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被发现操纵数字日历订阅基础设施，用于分发有害内容。 日历系列订阅功能允许第三方直接向设备添加事件并推送通知，例如零售商分享促销日期、体育协会更新赛事日程等合法场景。 但网络安全公司 BitSight 的最新研究显示，正因为这类订阅支持第三方服务器直接添加事件，威胁行为者已搭建虚假基础设施，诱骗用户订阅恶意通知。这些恶意日历订阅通常托管在过期或被劫持的域名上，可被用于大规模社会工程学攻击。 一旦用户订阅成功，攻击者便能推送包含恶意内容的日历文件（如恶意链接、附件），引发的风险包括钓鱼攻击、恶意软件分发、JavaScript 代码执行，甚至利用人工智能助手等新兴技术实施新型攻击。 Sinkhole 研究发现 347 个可疑日历域名 BitSight 的研究始于一个被 “Sinkhole（沉洞）” 接管的域名 —— 该域名每日记录到 1.1 万个独立 IP 地址的访问请求。沉洞技术是网络安全研究中的常用手段，通过将恶意流量从目标地址重定向至受控环境（即沉洞服务器），以实现流量监测与分析。 这个初始沉洞域名原本是一个日历服务器，用于分发德国公共假期及学校假期的 ICS 格式日历文件。BitSight 研究人员表示：“这引起了我们的注意 —— 一个提供德国假期 ICS 文件的域名，为何会处于可被滥用的状态？” 随着调查范围扩大，研究团队又发现 347 个相关可疑域名（涉及 2018 年国际足联世界杯赛事、伊斯兰 Hijri 日历等主题）。这些域名每日累计接收约 400 万个独立 IP 地址的访问请求，其中美国地区的访问量占比最高。 BitSight 团队在沉洞数据中识别出两类同步请求，这强烈表明这些访问并非新订阅行为，而是来自先前已订阅日历的后台同步请求。研究人员指出：“这意味着，任何接管或注册这些过期域名的攻击者，都能通过推送定制化 ICS 日历文件，在用户设备中添加恶意事件。” 日历订阅成被忽视的安全盲点 该网络安全公司强调，此次研究并未发现谷歌日历（Google Calendar）或 iCalendar 协议存在漏洞，安全风险的核心源于第三方日历订阅服务。尽管苹果、谷歌等平台提供商已在生态安全防护方面取得显著进展，但 BitSight 的研究结果表明，即便其他领域的安全防护已相当完善，日历订阅滥用这类新兴风险仍可能未得到充分应对。 报告结论指出：“针对日历订阅的安全意识与防护措施应进一步强化 —— 尤其是相较于监控严密、防护完善的电子邮件系统，当前日历订阅的安全防护失衡，已在个人与企业安全体系中形成危险盲点。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ADC Aerospace是美国航空航天与国防领域工程部件制造商，此外也为诺斯罗普·格鲁曼、柯林斯航空航天、飞利浦、霍尼韦尔等众多知名企业提供产品，因此安全风险尤为突出。 勒索软件犯罪集团的惯用运作模式是：以泄露客户数据为要挟逐步施压，迫使受害者选择支付赎金，而非因数据泄露破坏与客户的合作关系。通常，若受害者拒绝支付赎金或拖延谈判，黑客便会公布部分数据片段。 据黑客声称，他们已获取客户文件、预算与财务信息、薪资记录、身份证明文件，以及各类私密个人机密数据。不过，黑客未提供任何数据样本，因此无法核实其声明是否属实。 若此次数据泄露事件属实，ADC 航空航天公司或将面临严重麻烦：一方面，黑客可能在暗网出售被盗信息，值得注意的是，暗网对美国国防承包商相关数据的需求一直居高不下；另一方面，薪资记录中包含大量个人信息，可能被用于身份盗窃；其他个人信息则可能成为黑客实施社会工程学攻击的工具。当攻击者冒充目标行业相关方时，这类攻击往往极具破坏性。 Play 勒索软件是网络犯罪领域的主要势力之一，去年跻身全球最活跃勒索软件犯罪集团前三。 今年8月初，该团伙声称入侵了为美国海军、波音和诺斯罗普·格鲁曼提供商用及军用飞机工业零部件的Jamco Aerospace。 2023年，Play还攻击了爱荷华州帕洛阿尔托县警长办公室和罗德岛州唐纳德·W·怀亚特最高安全等级拘留中心。 其他知名受害方包括云计算公司 Rackspace、德国酒店连锁集团 H-Hotels，以及法国宝马。 根据网络安全公司Adlumin的分析，Play被认为是首批采用间歇性加密技术的勒索软件团伙之一。该方法仅加密系统中的特定固定片段，能更快访问和窃取受害者数据。此后，ALPHV/BlackCat、DarkBit和BianLian等其他知名团伙也采用了类似策略。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国足球联合会（FFF）证实遭遇网络攻击：攻击者通过一个被盗账号非法入侵系统，窃取了会员相关数据。该机构于上周四确认了这起网络攻击事件，但未披露受影响的会员人数。 数据泄露通知中写道：“法国足球联合会（FFF）通报，各俱乐部用于行政事务管理（尤其是会员管理）的软件遭遇网络攻击，导致数据被盗。” “在发现攻击者利用被盗账号进行未授权访问后，法国足球联合会相关部门立即采取必要措施保障软件与数据安全，包括即刻停用涉事账号，并重置所有用户账号密码。” 联合会表示，在发现未授权访问后已解决相关问题。 法国足球联合会通过被盗账号检测到未授权访问后，立即采取系统加固措施：停用涉事账号并重置所有密码。该机构已向法国国家信息与自由委员会（CNIL）及法国网络安全局（ANSSI）报案，并将通知所有数据库中留有邮箱地址的相关人员。此次泄露的数据范围有限，包括姓名、性别、出生日期、国籍、邮寄地址、电子邮箱、电话号码及会员注册号。 法国足球联合会提醒会员：警惕疑似来自联合会或所属俱乐部的陌生信息，尤其需注意那些要求打开文件、共享密码或银行账户详情的信息。 通知最后指出：“法国足球联合会致力于保护所有托付给我们的数据，并正持续强化和调整安全防护措施 —— 与众多其他机构一样，以应对日益增多的新型网络攻击。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 发起 “传染性面试”（Contagious Interview）行动的朝鲜威胁行为者自上月以来，持续向 npm 代码仓库批量上传 197 个恶意包。 据网络安全公司 Socket 透露，这些恶意包的下载量已超 3.1 万次，其设计目的是分发 OtterCookie 恶意软件变体 —— 该变体整合了 BeaverTail 恶意软件与 OtterCookie 早期版本的核心功能。 已识别的部分 “加载器” 恶意包如下：bcryptjs-node、cross-sessions、json-oauth、node-tailwind、react-adparser、session-keeper、tailwind-magic、tailwindcss-forms、webpack-loadcss 该恶意软件启动后，会首先尝试规避沙箱与虚拟机检测、收集目标设备信息，随后建立命令与控制（C2）通道，为攻击者提供远程控制权限。其核心功能包括窃取剪贴板内容、记录键盘输入、捕获屏幕截图，以及收集浏览器凭据、文档文件、加密货币钱包数据与助记词。 值得注意的是，思科 Talos 团队上月曾报告过 OtterCookie 与 BeaverTail 功能边界模糊的现象 —— 斯里兰卡某总部机构的系统曾遭感染，推测用户是在虚假招聘面试流程中，被诱骗运行了包含恶意代码的 Node.js 应用程序。 进一步分析显示，这些恶意包会连接至硬编码的 Vercel 网址（“tetrismic.vercel [.] app”），并从攻击者控制的 GitHub 仓库中获取跨平台 OtterCookie 载荷。目前用于分发载荷的 GitHub 账号 “stardev0914” 已无法访问。 网络安全研究员基里尔・博伊琴科表示：“‘传染性面试’行动的持续高发使其成为利用 npm 仓库最猖獗的攻击活动之一，这也表明朝鲜威胁行为者已彻底将其攻击工具适配至现代 JavaScript 开发流程与加密货币相关业务场景。” 与此同时，该威胁行为者搭建的虚假评估类网站还通过 “ClickFix 式” 操作指引传播恶意软件 GolangGhost（又名 FlexibleFerret、WeaselStore），伪装成 “修复摄像头或麦克风故障” 的工具。此类活动被归类为 “ClickFake Interview” 攻击行动。 GolangGhost 恶意软件基于 Go 语言开发，运行后会连接硬编码的 C2 服务器并进入持久化命令处理循环，核心功能包括收集系统信息、上传 / 下载文件、执行操作系统命令，以及窃取谷歌浏览器数据。其持久化机制为：在 macOS 系统中写入启动代理（LaunchAgent），通过 Shell 脚本实现用户登录时自动执行。 攻击链中还包含一个诱饵应用程序：首先弹出伪造的 Chrome 浏览器摄像头授权提示以维持骗局，随后展示 Chrome 风格的密码输入框，捕获用户输入内容并发送至指定 Dropbox 账号。 网络安全公司 Validin 指出：“尽管存在部分重叠，但该行动与朝鲜其他‘IT 工作者渗透计划’存在显著区别 —— 后者主要通过虚假身份将人员嵌入合法企业，而‘传染性面试’则通过分阶段招聘流程、恶意编码测试、虚假招聘平台等方式针对个人实施攻击，本质上是将求职流程武器化。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 佐治亚州负责管理房地产及民事法院备案的机构自上周五遭遇网络攻击后，系统已陷入瘫痪。 佐治亚州高级法院书记员合作管理局（GSCCCA）表示，该机构正面临 “确凿且持续的网络安全威胁”，被迫暂时限制其网站及各项服务的访问权限。 这一全州性机构的核心职能包括：更新全州 159 个县的商业备案索引，维护房地产及个人财产记录索引，监管公证人中央数据库，以及管理全州民事案件备案数据库。 自上周五起，GSCCCA 官网所有页面均显示 “系统维护中” 提示横幅；直至周一晚间，该机构更新提示，确认正遭遇网络攻击。 该机构声明称：“我们致力于尽快恢复系统运行。但为确保最大程度的安全性，在重新开放访问前，我们将继续对系统进行测试和分析，此举是出于高度谨慎的考虑。” “我们的团队正全天候工作，对系统进行评估与测试，以确保客户和工作人员能够安全使用。” 这家总部位于亚特兰大的机构存储着海量敏感数据，包括房地产契据、财产转让备案、抵押贷款记录及留置权文件、地图数据、民事和刑事案件信息、法律档案等。 上周五，该机构被勒索软件团伙 Devman 列入泄露网站。Devman 声称从 GSCCCA 窃取了 500GB 数据，并要求在 11 月 27 日前支付 40 万美元赎金。 Devman 是一个新兴勒索软件组织，于 2025 年 4 月首次出现，7 月曾宣称对泰国劳工部发动攻击。勒索软件调查员乔恩・迪马乔（Jon DiMaggio）与该犯罪组织背后的黑客取得联系后发现，该团伙最初是奇林（Qilin）、龙力（DragonForce）等其他勒索软件团伙的附属机构，后于 9 月独立组建了自己的勒索软件即服务（RaaS）组织。 值得注意的是，在 GSCCCA 遇袭前一天，一家为华尔街主要银行提供房地产贷款及抵押贷款服务的知名公司也遭受了网络攻击。 SitusAMC 公司表示，该事件于 11 月 12 日被发现，涉及系统中被盗的数据包括会计记录和法律协议。目前联邦执法部门已介入相关恢复工作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦通信委员会（FCC）周三发布通知称，黑客近期劫持美国无线电传输设备，播放虚假应急警报音及冒犯性内容。 这一系列入侵事件导致 “应急警报系统”（Emergency Alert System，EAS）特有的 “注意信号”（Attention Signal）被非法滥用 —— 该信号通常仅用于龙卷风、飓风、地震等紧急威胁预警场景。 威胁行为体的攻击目标尤其集中于 Barix 网络音频设备，通过重新配置设备，使其接收攻击者控制的流媒体内容，而非正常节目信号。 得克萨斯州和弗吉尼亚州的多家电台受到影响，广播节目被模拟警报音、EAS 注意信号及淫秽语言中断。 FCC 指出，这些事件的根源在于设备缺乏安全防护，未授权用户得以侵入电台演播室与远程发射塔之间的传输路径。部分电台直至听众报告收到夹杂偏执言论或其他不当内容的异常应急警报后，才发现设备已遭入侵。 面向广播机构的建议措施 在编号为 DA 25-996 的通知中，FCC 敦促各电台强化基础安全防护，并特别要求使用 Barix 硬件的机构采取以下措施： 安装厂商发布的安全补丁并升级固件 替换默认密码为高强度密码，并定期更换 将 EAS 设备和 Barix 设备部署在防火墙后方，使用仅限授权系统访问的虚拟专用网络（VPN） 监控设备日志，及时发现未授权访问行为 参考通信安全、可靠性与互操作性委员会（CSRIC）此前发布的最佳实践指南 部分建议与 2016 年提出的措施一致 —— 当时 Barix 公司曾声明，其设备 “在正确配置并设置高强度密码的情况下具备安全性”。 FCC 鼓励广播机构若怀疑设备遭篡改，应及时联系设备厂商；遇到异常活动时，需向 FCC 运行中心报告，并向联邦调查局（FBI）网络犯罪投诉中心提交相关材料。 尽管目前尚未报告出现更广泛的服务中断，但 FCC 强调，鉴于攻击者仍在持续探查全美广播基础设施，设备的正确配置与日常维护仍是安全防护的关键。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个利用合法远程访问软件渗透政府目标的网络攻击活动正不断扩大。 该活动由 Group-IB 公司与 UKUK 机构联合发现，由 Bloody Wolf高级持续性威胁组织实施。与传统恶意软件不同，该组织采用精简的基于 Java 的投放方式，部署 NetSupport 远程管理工具。 两家机构指出，自 2023 年末活跃以来，Bloody Wolf组织持续优化其攻击技术。 攻击范围超出初始目标 本周发布的安全公告显示，血腥狼组织至少自 2025 年 6 月起在吉尔吉斯斯坦开展持续攻击活动，并于 10 月初将攻击范围扩大至乌兹别克斯坦。 分析人员观察到，该组织通过伪造的 PDF 文件、仿冒域名以及诱导受害者安装 Java 以查看所谓 “案件材料” 的指令，持续冒充两国司法部。诱骗信息中嵌入的简短消息进一步增强了伪装的合法性。 研究人员表示，相关发现源自一项结合威胁情报数据与攻击组织基础设施分析的联合调查。 值得注意的是，针对乌兹别克斯坦的攻击基础设施配置了地理围栏机制：境外用户访问时会被重定向至合法政府网站，而境内用户则会被推送恶意 JAR 文件下载链接。 攻击链运作机制 受害者打开下载的 JAR 文件后，加载器会获取额外组件，最终安装 NetSupport RAT 以实现远程控制。这些加载器基于 Java 8 构建，仅包含单个类且未经过混淆处理。尽管体积小巧，但它们可自动完成以下操作： 通过 HTTP 协议获取 NetSupport 二进制文件 通过自动运行项建立持久化 创建计划任务 显示虚假错误消息以分散用户注意力 此外，加载器包含一个设置为 3 次的运行次数限制计数器（存储在用户配置文件目录中），意味着恶意软件运行有限次数后会自动停止，以降低被发现的风险。 分析人员还指出，该组织利用定制化 JAR 生成器批量生产恶意样本，这些样本的下载路径、注册表项和错误消息均有所不同。 该组织此前曾使用 STRRAT 工具，目前则依赖 2013 年旧版本的 NetSupport Manager，相关软件许可证可能来源于公开渠道。 报告结论称，社会工程学与低成本工具的结合，使血腥狼组织能够在中亚地区维持稳定的攻击节奏。 Group-IB 在报告中写道：“这种社会工程学与易获取工具的组合，让血腥狼组织在保持低运营曝光度的同时维持攻击有效性。其从传统恶意软件向合法远程管理软件的转变，表明该组织正持续调整策略，以规避检测并融入正常 IT 活动。” “鉴于该组织的适应性与持久性，中亚地区的组织应保持警惕，防范近期可能持续的鱼叉式钓鱼活动及不断演变的攻击链。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年9月，黑客组织对朝日集团发动勒索软件攻击，窃取了约200万客户和员工的个人信息，并严重扰乱了该公司在日本的业务运营。 事件披露 朝日集团是日本最大的酿酒企业，以生产朝日超爽啤酒等畅销啤酒，以及软饮和其他饮品闻名，业务覆盖国内外市场，在欧洲和亚洲拥有强劲市场份额。 9月29日，该公司在遭遇网络攻击后暂停了日本分公司的运营，其他地区分公司未受影响。此次攻击导致朝日集团的订单处理、物流运输业务陷入停滞，呼叫中心及客户服务平台也无法正常使用。 10 月 3 日，朝日集团确认遭受勒索软件攻击，但未披露发起此次安全事件的黑客组织名称。 公司声明称：“发现此次事件后，我们立即成立了应急响应总部展开调查，经核实，我们的服务器成为勒索软件攻击目标。” 麒麟勒索软件（Qilin ransomware）声称对此次针对啤酒巨头朝日集团的攻击负责，并泄露了 27GB 窃取的数据，其中包括员工文件和财务文档。 麒麟勒索软件攻击详情 该勒索软件组织窃取了9323个文件，并在其Tor数据泄露网站上公布了29张被盗文件的照片，被盗文件包括合同、员工信息、财务数据及业务资料等。 10 月，朝日集团发布更新公告，确认攻击中被盗的数据已在网络上出现，公司正调查事件影响范围，并将通知受影响相关方。 目前，朝日集团已明确黑客窃取的信息包括： 152.5 万名曾联系其客户服务部门的人员数据（含姓名、地址、电话号码及电子邮箱）； 超 38.9 万名其他人员的个人信息，涵盖信息接收者、员工及其家属的联系方式等。 具体而言，黑客窃取了 11.4 万名信息接收者、10.7 万名员工（含退休人员）及 16.8 万名员工家属的信息，涉及姓名、联系方式、出生日期及性别等内容。 公司公告指出：“调查显示，攻击者通过集团场地内的网络设备非法接入数据中心网络，同时部署勒索软件，对多台运行中的服务器及部分接入网络的电脑设备进行数据加密。在针对受攻击系统的影响范围及细节展开调查时，我们发现员工使用的公司配发电脑中部分数据已泄露，数据中心服务器中存储的个人信息也可能存在泄露风险。目前尚未确认这些数据已被发布至互联网，此次攻击对系统的影响仅限于日本地区管理的相关业务。” 朝日集团强调，攻击者未获取客户信用卡信息等财务数据。 朝日集团总裁兼集团首席执行官胜木淳司表示：“对于近期系统中断给相关方带来的不便，我谨致以诚挚的歉意。我们正全力加快系统全面恢复，并实施各项防范措施防止类似事件再次发生，同时强化整个集团的信息安全体系。 在产品供应供应方面，随着系统逐步恢复，发货正在分阶段恢复。对于持续给大家带来的不便，我们再次表示歉意，感谢您的理解与支持。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI 向部分用户发出警告，分析公司 Mixpanel 遭遇网络攻击，可能导致这些用户的数据泄露。 Mixpanel 是一款产品分析平台，企业可通过该平台了解用户与自身应用或网站的交互情况。众多科技公司借助 Mixpanel 收集数据，为功能优化、性能提升及用户旅程设计等决策提供依据。 OpenAI 就 Mixpanel 数据泄露事件向部分用户告知潜在风险。这家分析服务提供商于 11 月 8 日检测到一起钓鱼短信攻击，但试图淡化此次安全事件的严重性，称其仅影响少数客户。 OpenAI 表示，自身系统未遭入侵，ChatGPT 对话记录、提示词、API 数据、密码、密钥及支付信息均保持安全。攻击者实际窃取的是 Mixpanel 中有限的数据集，包含来自 platform.openai.com 的用户档案详情 —— 姓名、邮箱地址、大致地理位置、操作系统 / 浏览器信息、机构或用户 ID，以及引荐网站。OpenAI 提醒，这些数据可能被用于钓鱼攻击和社会工程学诈骗。 OpenAI 声明：“作为安全调查的一部分，我们已在生产环境中移除 Mixpanel 服务，核查了受影响数据集，并正与 Mixpanel 及其他合作伙伴密切合作，以全面了解事件详情及影响范围。我们正在直接通知受影响的机构、管理员及用户。目前尚未发现证据表明 Mixpanel 环境外的系统或数据受到影响，但我们会持续密切监控是否存在滥用风险。” 相应地，OpenAI 已在生产环境中停用 Mixpanel，核查了受影响数据，并在通知相关用户及机构的同时，持续监控数据滥用情况。 Mixpanel 在数据泄露通知中称：“2025 年 11 月 8 日，Mixpanel 检测到一起钓鱼短信攻击，并立即启动了事件响应流程。我们采取了全面措施遏制并清除未授权访问，保障受影响用户账户的安全。同时，我们已联合外部网络安全合作伙伴开展漏洞修复及事件响应工作。” Mixpanel 采取了多项措施保障系统安全并保护受影响客户：加固遭入侵的账户，撤销所有活跃会话，更换泄露的凭证；封禁攻击相关的恶意 IP 地址，并在安全监控平台中添加攻击特征指标。 为强化内部安全，Mixpanel 要求所有员工重置全球范围内的账户密码，聘请第三方取证团队协助遏制攻击并清理风险；同时对受影响账户的身份验证日志、会话日志及导出日志进行了详细的取证分析。 为防范类似事件再次发生，Mixpanel 已部署新的安全控制措施，旨在未来能检测并拦截此类恶意活动。该公司目前正与执法部门及外部网络安全顾问合作推进相关工作。 已收到 Mixpanel 通知的客户应遵照邮件中的指示操作；未收到任何通知的用户则未受此次事件影响，无需采取进一步措施。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕发布新版固件，修复了包括 AiCloud 功能启用路由器中存在的高危身份验证绕过漏洞在内的多个安全问题。 该公司此次共修复 9 个安全漏洞，其中高危身份验证绕过漏洞编号为 CVE-2025-59366（CVSS 评分 9.2 分），影响所有启用 AiCloud 功能的路由器设备。 华硕在安全公告中表示：“研究人员已报告华硕路由器存在潜在漏洞，华硕已针对这些问题推出缓解措施。为保护您的设备安全，华硕强烈建议所有用户立即将路由器固件更新至最新版本。” AiCloud 是华硕多款路由器内置的远程访问功能，可让设备充当个人云服务器，支持远程媒体流传输和云存储服务。 公告指出：“AiCloud 存在身份验证绕过漏洞，该漏洞可通过 Samba 功能的意外副作用触发，可能导致攻击者在未获得适当授权的情况下执行特定功能。” 华硕建议用户更新 2025 年 10 月发布的路由器固件，涉及型号及对应修复漏洞如下： 固件版本系列 修复漏洞编号 3.0.0.4_386 系列 CVE-2025-59365、CVE-2025-59366、CVE-2025-59368、CVE-2025-59369、CVE-2025-59370、CVE-2025-59371、CVE-2025-59372、CVE-2025-12003 3.0.0.4_388 系列 上述全部漏洞 3.0.0.6_102 系列 上述全部漏洞 针对已停止支持（停产）的路由器型号，华硕也提供了临时缓解建议：为路由器登录账户和 WiFi 设置高强度唯一密码；禁用所有面向互联网的服务以降低暴露风险，包括 AiCloud、广域网远程访问、端口转发、动态域名解析、VPN服务器、非军事区、端口触发和文件传输协议（FTP）等功能。 已停止支持的华硕路由器是黑客 bot 网络的主要攻击目标。近期，名为 “Operation WrtHug” 的新型攻击活动已 compromise 全球数万台过时或停产的华硕路由器，受影响设备主要集中在中国台湾地区、美国和俄罗斯，这些设备被黑客纳入大型恶意网络。 攻击者利用了华硕路由器的多个漏洞实施攻击，包括操作系统命令注入漏洞（CVE-2023-41345 至 CVE-2023-41348）、任意命令执行漏洞（CVE-2024-12912）和身份验证不当漏洞（CVE-2025-2492），并以 AiCloud 服务作为初始入侵入口。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 消息显示，伦敦多家地方政府正应对一起严重的网络安全事件。 肯辛顿—切尔西皇家自治市市政厅发布声明称，其与威斯敏斯特市市政厅针对周一上午发现的一起网络安全事件展开处置工作。 两家市政厅已向英国信息专员办公室报备该事件，并联合英国国家网络安全中心推进事件应急处置工作。 肯辛顿—切尔西皇家自治市市政厅表示：“目前两家机构的多个系统均受影响，其中包括电话线路。若遇紧急情况，可通过官网联系方式页面顶端的号码与市政厅取得联系。” “我们正调配更多资源处理此次事件，并对邮件和电话线路进行实时监控。同时，市政厅已启动业务连续性及应急方案，确保向市民持续提供核心公共服务，重点保障弱势群体的相关需求。” 该市政厅透露，其信息技术团队彻夜工作，成功采取多项风险缓解措施。 由于肯辛顿—切尔西皇家自治市市政厅与威斯敏斯特市市政厅共用多个信息技术系统和服务，这或许是两家机构同时遭攻击的原因。该市政厅还指出，哈默史密斯—富勒姆区市政厅同样与这两家共用部分信息技术服务，当地消息称该机构也受到此次事件波及。 哈克尼区市政厅虽未直接受此次事件影响，但有消息称，该机构本周已将内部网络安全威胁等级上调至 “极高”，并向工作人员下发备忘录，提醒其警惕钓鱼攻击。 肯辛顿 – 切尔西皇家自治市市政厅在声明末尾称：“我们将继续联合网络安全专家及英国国家网络安全中心，尽快恢复所有系统的正常运转。后续如有更多消息，将及时对外公布。” 伦敦市政机构成网络攻击高发目标 近年来，伦敦地方政府频繁成为勒索软件团伙的攻击目标。与英国多地的地方政府一样，伦敦这些市政机构普遍存在资源不足问题，老旧信息技术系统缺乏妥善防护，同时网络安全专业人才也十分紧缺。 这类问题往往会对公共服务造成严重影响。此前哈克尼区市政厅就因存在重大防护疏漏，于 2020 年遭遇勒索软件攻击，导致至少 28 万市民的信息泄露，该机构去年已因此遭到英国信息专员办公室的追责。据悉，那次攻击造成的系统恢复成本高达 1200 多万英镑（约合 1560 万美元）。 瞻博网络欧洲、中东和非洲地区副总裁斯宾塞・斯塔基表示，网络攻击者或将在 2026 年持续针对政府机构发动攻击，以此削弱公众对数字化公共服务的信任度。 他补充道：“在当前数字化服务高度互联的经济环境下，单个节点遭受攻击就可能引发整个系统的连锁反应。” “若不在现代化防御体系上加大投入，尤其是针对人工智能驱动型威胁的识别与防御技术，2026 年英国或将发生多起大规模服务中断事件，数百万民众及企业都将受到影响。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文