HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 Osiris的新型勒索软件家族的相关细节，该勒索软件于 2025 年 11 月针对东南亚一家大型餐饮服务加盟商发起攻击。 赛门铁克与炭黑威胁狩猎团队指出，此次攻击利用了一款名为POORTRY的恶意驱动程序，采用的是一种名为自带易受攻击驱动程序的已知攻击技术，以此破坏安全软件的防御功能。 值得注意的是，此次发现的Osiris被判定为全新勒索软件变种，与 2016 年 12 月出现的同名称变种并无关联 —— 后者是Locky勒索软件的衍生版本。目前，该勒索软件的开发者身份尚不明确，也无法确定其是否以勒索软件即服务的模式对外提供。 不过，这家隶属于博通公司的网络安全部门表示，他们已发现相关线索，表明部署该勒索软件的威胁攻击者，此前可能与INC 勒索软件存在关联。 该公司在向thehackernews提供的一份报告中指出：“攻击者在此次攻击中使用了各类原生工具与双用途工具，同时还部署了 POORTRY 恶意驱动程序。这款驱动程序很可能是作为自带易受攻击驱动程序攻击的一部分，用于禁用安全软件。” “攻击者将窃取的数据上传至Wasabi 云存储桶，且使用的Mimikatz 工具版本及文件名（kaz.exe），均与此前 INC 勒索软件攻击者所使用的一致，这些都表明此次攻击与部分 INC 勒索软件攻击事件存在潜在关联。” Osiris被描述为一种高效的加密载荷，推测是由经验丰富的攻击者开发使用。该勒索软件采用混合加密方案，会为每个文件生成唯一的加密密钥。其功能具备灵活性，可实现停止服务、指定待加密的文件夹与文件扩展名、终止进程以及投放勒索信等操作。 默认情况下，奥西里斯被设计用于终止一系列进程与服务，涉及范围包括微软办公套件、Exchange 邮件服务器、火狐浏览器、写字板、记事本、卷影副本以及威联通备份软件等。 目标网络中出现恶意活动的首个迹象，是攻击者在部署勒索软件前，通过Rclone 工具将敏感数据窃取至 Wasabi 云存储桶。此外，攻击者还使用了多款双用途工具，如Netscan 网络扫描工具、Netexec 渗透测试工具和 MeshAgent 远程管理工具，同时还有一款定制版本的向日葵远程控制软件。 POORTRY 驱动程序与传统的自带易受攻击驱动程序攻击所使用的驱动有所不同，它并非向目标网络部署 “合法但存在漏洞” 的驱动程序，而是一款专门用于提升权限和终止安全工具的定制驱动。 赛门铁克与炭黑威胁狩猎团队强调：“攻击者还在目标网络中部署了KillAV 工具，该工具的作用是投放存在漏洞的驱动程序，进而终止安全进程。此外，目标网络的远程桌面协议（RDP）被启用，这很可能是为了方便攻击者获取远程访问权限。” 当前，勒索软件仍是企业面临的重大安全威胁，其攻击态势也在不断变化 —— 部分攻击团伙销声匿迹，而新的团伙则迅速崛起或趁机填补空缺。赛门铁克与炭黑对数据泄露网站的分析数据显示，2025 年勒索软件攻击者共宣称发动了4737 起攻击，相较于 2024 年的 4701 起，同比增长 0.8%。 2025 年最为活跃的勒索软件团伙包括Akira、Qilin、Play、INC、SafePay、RansomHub、DragonForce、Sinobi、Rhysida以及CACTUS。该领域其他值得关注的动态如下： 2025 年中后期观测到的攻击事件显示，使用Akira勒索软件的威胁攻击者，借助存在漏洞的Throttlestop 驱动程序，并结合Windows CardSpace 用户界面代理与微软媒体基础保护管道，实现 Bumblebee loader的侧载执行。 Akira勒索软件团伙还利用SonicWall SSL VPN的漏洞发起攻击，针对处于并购阶段的中小企业环境实施入侵，最终获取对规模更大的收购方企业的访问权限。另有一起阿基拉攻击事件显示，攻击者通过类 ClickFix 人机验证钓鱼诱饵，投放一款名为SectopRAT的.NET 远程访问木马，以此作为远程控制和勒索软件投递的通道。 LockBit勒索软件虽在 2024 年初遭遇执法部门的打击行动，但其基础设施仍在持续运作，并于 2025 年 10 月与DragonForce、Qilin达成合作。该团伙还推出了LockBit 5.0 变种，可针对多种操作系统和虚拟化平台发起攻击。LockBit 5.0 的一项重大更新是采用双阶段勒索软件部署模式，将加载器与主载荷分离，同时最大限度提升攻击的隐蔽性、模块化程度和破坏效果。 Sicarii的新型勒索软件即服务运营团伙于 2025 年末首次出现，截至目前仅宣称攻击了一名受害者。该团伙公开宣称自己具有以色列 / 犹太背景，但分析发现，其地下网络活动主要使用俄语，且发布的希伯来语内容存在语法和语义错误。这一现象引发外界猜测，该团伙可能是一次虚假旗标操作。西卡里团伙的主要操作者使用的电报账号为 “@Skibcum”。 有观测显示，名为Storm-2603的威胁攻击者，将合法的迅猛龙数字取证与事件响应工具作为前置攻击手段，为后续投放Warlock、Babuk勒索软件铺路。在攻击过程中，该团伙还利用两款驱动程序（“rsndispot.sys” 和 “kl.sys”）以及 “vmtools.exe” 工具，通过自带易受攻击驱动程序攻击手段破坏安全防护方案。 Makop针对印度、巴西和德国的目标发起攻击，利用暴露且存在安全隐患的远程桌面协议系统，投放用于网络扫描、权限提升、禁用安全软件、凭据窃取和勒索软件部署的各类工具。此次攻击中，除了使用 “hlpdrv.sys” 和 “ThrottleStop.sys” 驱动程序实施自带易受攻击驱动程序攻击外，攻击者还通过GuLoader 加载器投递勒索软件载荷。这是首次有文献记载马科普勒索软件通过加载器进行分发的案例。 另有勒索软件攻击事件显示，攻击者利用已泄露的远程桌面协议凭据获取初始访问权限，随后开展侦察、权限提升、借助远程桌面协议横向移动等操作；在入侵的第六天，将窃取的数据上传至temp [.] sh 平台，并在三天后投放Lynx。 研究发现，Obscura的加密流程存在安全缺陷，这一缺陷会导致大型文件无法被恢复。Coveware指出：“当隐匿者勒索软件加密大型文件时，无法将加密临时密钥写入文件尾部。对于超过 1GB 的文件，其尾部信息根本不会生成 —— 这意味着用于解密的密钥永久丢失，此类文件将彻底无法恢复。” 一个名为01flip的新型勒索软件家族，针对亚太地区的特定目标发起攻击。该勒索软件由Rust 语言编写，可同时针对 Windows 和 Linux 系统发起攻击。其攻击链的核心环节，是利用已知安全漏洞（如CVE-2019-11580 漏洞）获取目标网络的初始立足点。该勒索软件被归因于一个名为CL-CRI-1036的牟利型威胁攻击者。 为防范定向攻击，安全机构建议企业采取以下防护措施：监控双用途工具的使用情况、限制远程桌面协议服务的访问权限、强制启用多因素认证、合理部署应用程序白名单策略、并实施备份数据的异地存储方案。 赛门铁克与炭黑公司表示：“尽管加密型勒索软件攻击的猖獗程度不减，依然构成严重威胁，但新型无加密勒索攻击的出现进一步加剧了风险，催生了一个更为庞大的敲诈勒索生态系统 —— 在这个生态系统中，勒索软件或许只是其中一个组成部分。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  苹果核心合作代工厂立讯精密，负责苹果手机、耳机、手表及头显设备的组装业务，据称已遭遇某勒索软件犯罪集团发起的网络攻击。黑客威胁，若立讯精密拒绝支付赎金，就将外泄苹果、英伟达及 LG等企业的机密数据。 据称，立讯精密的数据泄露事件发生于上月，黑客声称在2025年12月15日就已将这家苹果核心合作伙伴的相关数据加密。此次攻击的疑似发起者 —— 黑客组织RansomHub，已在其暗网论坛上公开了这起数据泄露事件。 立讯精密是苹果公司的重要合作伙伴。包括iPhone、AirPods、Apple Watch在内的多款苹果产品均由立讯精密负责组装，这意味着该公司掌握着苹果产品大量核心机密信息。 黑客在暗网中宣称：“我们已经等了贵公司很久，但贵公司的信息技术部门似乎打算隐瞒这场安全事故。我们强烈建议贵公司尽快与我们取得联系，以免贵公司的机密数据和项目文件遭到外泄。” 黑客发布立讯精密数据泄露声明的截图图片 图源：Cybernews 立讯精密数据泄露事件泄露了哪些信息？ Cybernews 的研究团队对黑客在帖文中附带的数据样本展开了调查分析。 该团队证实，泄露数据中包含苹果与立讯精密合作的设备维修及物流运输等机密项目的详细信息，涵盖项目时间规划、具体流程，以及立讯精密其他客户的相关资料。 此外，泄露信息中还包含参与特定项目的员工个人身份信息，涉及员工姓名、职位及工作邮箱等敏感内容。 苹果与立讯精密合作项目的疑似机密信息截图图片 图源：Cybernews 网站 研究团队进一步解释道：“这些项目的时间跨度从2019 年至2025年，相关信息涉及企业高度敏感的商业运营内容。此外，数据中还包含 .dwg和Gerber文件，这些文件通常用于创建产品模型设计。” 尽管立讯精密的数据泄露事件尚未得到官方证实，但研究团队认为，黑客在帖文中公布的信息真实性较高。 参与苹果项目的立讯精密员工疑似信息截图 图源：Cybernews 攻击者声称掌握的数据内容 RansomHub声称其已广泛访问立讯精密客户的机密数据，被盗数据涵盖从3D产品模型到电路板设计资料，这些都是企业间谍高度觊觎的信息。 据攻击者称，他们掌握的档案包括： 机密3D CAD产品模型、3D工程设计数据与工程文档 Parasolid产品的高精度几何数据 用于制造的2D组件图纸 机械部件图纸 PDF格式的机密工程图 电子设计文档 电气与布局架构数据 印刷电路板制造数据 攻击者宣称：“这些档案包含来自 苹果、英伟达，以及 LG、吉利、特斯拉等多家大型公司的数据，这些公司的生产和研发信息均受保密协议保护。” 一旦此事得到证实，这场攻击对立讯精密及其合作企业而言，都将是一场灾难。 一方面，黑客可能将窃取的数据出售给竞争对手，后者可借助这些资料反向研发产品，省去数年的研发投入，甚至制造仿冒产品。 另一方面，此次事件还将引发严重的网络安全隐患。黑客可通过这些数据精准找出设备的硬件漏洞、芯片位置及供电系统信息，进而针对性地攻击设备固件，或发起供应链攻击。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  密码管理器 LastPass 警告称，当前正发生一起冒充该服务的钓鱼攻击活动，攻击者试图窃取用户的主密码（Master Password）。 LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道： “LastPass 威胁情报、缓解与升级团队提醒客户注意一项于 2026 年 1 月 19 日左右开始的活跃钓鱼活动。这些钓鱼邮件来自多个电子邮箱地址，使用不同的主题行，声称 LastPass 即将进行维护，并敦促用户在接下来的 24 小时内备份其密码库。已知的发件地址和主题行列表如下。” 钓鱼攻击手法 该活动通过钓鱼邮件中的链接，声称可帮助用户备份 LastPass 密码库。 链接首先指向一个托管在 Amazon S3 上的钓鱼页面： group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf 随后重定向至一个伪造的 LastPass 网站： mail-lastpass[.]com 攻击者特意选择在美国假期周末发起攻击，以利用人员配置不足的时机，延缓安全团队的发现和响应。 LastPass 的应对与提醒 LastPass 强调，官方绝不会要求用户提供主密码，并敦促用户对任何可疑邮件保持警惕。公司正在努力关闭恶意域名，并请求用户将可疑邮件转发至 [email protected]。 此外，LastPass 还分享了相关的入侵指标，包括： 伪造域名 IP 地址 发件人信息 钓鱼邮件主题行 报告总结称： “该活动发生在美国假期周末，这是威胁行为者常用的策略，目的是利用人员减少的情况，延迟被发现并拉长应对时间。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 已修复其 ACME 验证逻辑中的一项漏洞，该漏洞可能允许攻击者绕过安全检查并访问受保护的源站服务器。 Cloudflare 表示，其 ACME HTTP-01 验证流程中存在缺陷，问题出在Cloudflare 边缘节点对 /.well-known/acme-challenge/ 路径请求的处理方式上。该公司称，未发现该漏洞被恶意利用的迹象。 ACME 是一种用于让证书颁发机构验证域名所有权的协议。在 HTTP-01 验证方式下，CA 会访问一个包含一次性令牌的特定 URL；如果返回内容匹配，即可签发证书。按设计，该过程只应允许访问这一精确路径，而不能访问其他任何资源。 漏洞是如何被发现的 研究人员在测试部署在 Cloudflare 之后、且 WAF 仅允许特定来源访问的应用时发现，对/.well-known/acme-challenge/{token}的请求绕过了 WAF，并直接到达源站服务器。 在演示主机上的测试证实了这一行为： 对普通路径的访问会返回 Cloudflare 的拦截页面； 而对 ACME 路径的访问，即使没有真实的令牌，也会返回由源站生成的响应。 研究人员通过自定义主机名创建了一个稳定、处于待验证状态的 HTTP-01 令牌，从而能够在全球范围内可靠地测试 WAF 的行为。 潜在风险与影响 当 Cloudflare 的 WAF 允许 /.well-known/acme-challenge/... 路径绕过防护时，信任边界从 WAF 转移到了源站。演示应用显示了由此带来的多种风险，包括： Spring / Tomcat 端点泄露敏感的环境变量 Next.js SSR 页面暴露运行和运维细节 PHP 路由因本地文件包含漏洞暴露文件 此外，账户级 WAF 规则在该路径上被忽略，使基于请求头的攻击成为可能，例如 SSRF、SQL 注入和缓存投毒。 Cloudflare 已于 2025 年 10 月 27 日 修复该问题，恢复了对该路径的一致性 WAF 防护。 研究人员的警告 安全研究机构 FearsOff 在报告中指出： “当用于检查请求头的 WAF 规则被跳过时，许多漏洞类型就重新获得了通往源站的通道：例如遗留代码中基于请求头的 SQL 拼接、通过 X-Forwarded-Host 或 X-Original-URL 实现的 SSRF 和主机混淆、当缓存因请求头变化而产生的缓存键投毒、利用 X-HTTP-Method-Override 的方法覆盖技巧，以及通过自定义请求头触发的调试开关。显而易见的问题是——还有多少应用对请求头的信任程度超出应有范围？又有多少应用依赖 WAF 来充当这种信任与互联网之间的防线？” AI 时代下的 WAF 绕过风险 报告还强调，随着 AI 驱动攻击的发展，这类 WAF 绕过漏洞的危险性正在上升。AI 能够迅速发现并利用暴露的路径，将多个小漏洞串联成大规模攻击。与此同时，防御方也在使用 AI 进行攻击模拟和防御部署，使强健、全面的 WAF 防护变得愈发关键。 报告总结称： “在 AI 驱动攻击不断演进的背景下，这类 WAF 绕过漏洞显得尤为紧迫。由机器学习驱动的自动化工具可以快速枚举并利用诸如 /.well-known/acme-challenge/ 这样的暴露路径，在大规模环境中探测特定框架的弱点或配置错误。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示： “在 5.2.1716.0 版本之前的 Zoom Node 多媒体路由器（MMR）中存在一项命令注入漏洞，可能允许会议参与者通过网络访问对 MMR 执行远程代码。使用 Zoom Node Meetings Hybrid 或 Meeting Connector 部署的客户，建议其管理员尽快更新至最新可用的 MMR 版本。” 该漏洞由 Zoom 攻防安全团队发现。 受影响产品 该漏洞影响以下产品版本： Node Meeting Connector（MC） 的 MMR 模块 版本 低于 5.2.1716.0 Node Meetings Hybrid（ZMH） 的 MMR 模块 版本 低于 5.2.1716.0 Zoom 表示，目前尚未发现该漏洞在现实环境中被利用的迹象。 相关历史漏洞 2025 年 8 月，Zoom 曾修复另一个严重安全漏洞 CVE-2025-49457（CVSS 评分 9.6），该漏洞存在于 Windows 版 Zoom 客户端中。 攻击者可在无需身份验证的情况下，通过网络访问方式利用该漏洞实现权限提升。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  近日发现的一款高度复杂的 Linux 恶意软件框架 VoidLink，被评估为由单一开发者在AI模型辅助下完成。 这一判断来自 Check Point Research 的最新发现。研究人员指出，恶意软件作者在操作安全上的失误泄露了其开发来源线索。最新分析使 VoidLink 成为首批主要由 AI 生成的高级恶意软件实例之一。 Check Point 表示：“这些材料清楚地表明，该恶意软件主要通过 AI 驱动的开发方式完成，并在不到一周内形成首个可运行的植入体。”截至 2025 年 12 月初，其代码量已超过 88,000 行。 VoidLink 于上周首次被公开披露。这是一套以 Zig 语言编写、功能丰富的恶意软件框架，专门用于对 Linux 云环境实施长期、隐蔽的控制。研究人员认为该恶意软件源自一个与中国有关的开发环境。截至目前，其具体用途尚不明确，也未发现任何真实世界中的感染案例。 AI 辅助开发的证据 云安全公司 Sysdig 的后续分析最早指出，该工具包可能是在一名具备深厚内核开发经验和红队背景的人类操控下，借助大语言模型完成的，并提出了四项关键证据： 调试输出过度系统化，且在所有模块中格式完全一致 诱饵响应模板中嵌入了典型 LLM 训练示例占位符（如 “John Doe”） API 版本命名高度统一，全部为 _v3（如 BeaconAPI_v3、docker_escape_v3、timestomp_v3） 类模板化的 JSON 响应，几乎涵盖所有可能字段 Sysdig 指出：“最可能的情况是，一名精通中文的高技能开发者利用 AI 加速开发过程（生成样板代码、调试日志和 JSON 模板），同时由其本人提供安全专业知识和整体架构设计。” Check Point 周二发布的报告进一步印证了这一假设，称其发现的痕迹表明：AI 不仅被用于编写代码，还被用来构建、执行和测试整个框架，使一个概念在极短时间内转化为可用工具。 VoidLink 项目的高层开发模式 Check Point 将 VoidLink 的开发方式描述为一种“规格驱动开发”（Spec Driven Development, SDD）：“在这种工作流中，开发者首先明确要构建什么，然后制定计划、拆分任务，最后才让 AI 代理来执行实现。” 研究人员认为，威胁行为者在 2025 年 11 月下旬启动了 VoidLink 项目，并使用了一款名为 TRAE SOLO 的编码代理来完成任务。这一判断基于在其服务器上发现的 TRAE 生成的辅助文件，这些文件与源代码一同被复制，后来在一个暴露的开放目录中泄露。 此外，Check Point 还发现了多份用中文撰写的内部规划材料，内容涉及冲刺计划、功能拆分和编码规范，具有明显的 LLM 生成特征——结构清晰、格式统一、细节极其完善。其中一份详细的发展计划文档创建于 2025 年 11 月 27 日。 这些文档被重新用作 LLM 的执行蓝图，指导其构建并测试恶意软件。Check Point 复现了开发者使用的 TRAE IDE 工作流程，发现模型生成的代码与 VoidLink 源码高度相似。 代码与规范的高度一致 Check Point 指出：“将代码标准化指令与恢复出的 VoidLink 源码进行比对后，可以看到惊人的一致性。代码约定、结构和实现模式几乎完全吻合，几乎可以确定：整个代码库正是按照这些指令编写的。” 这一案例再次表明，AI 和 LLM 虽然未必为攻击者带来全新的能力，但正在显著降低网络犯罪的门槛。即便是单个个体，也能在极短时间内构想、创建并迭代复杂系统，实施以往只有国家级行为体才能完成的高级攻击。 AI 正在重塑网络威胁的经济学 Check Point Research 的研究经理 Eli Smadja 在接受《The Hacker News》采访时表示：“VoidLink 代表了高级恶意软件创建方式的一次真正转变。令人震惊的不只是其复杂性，而是它被构建出来的速度。AI 使得看似单一行为者也能在数天内规划、开发并迭代一个复杂的恶意软件平台——而这在过去需要协调的团队和大量资源。这清楚地表明，AI 正在改变网络威胁的规模和成本结构。” “第五波”网络犯罪 在本周发布的一份白皮书中，Group-IB 将 AI 描述为正在推动网络犯罪演进的“第五波”，为复杂攻击提供现成工具。 报告指出，自 2019 年以来，暗网论坛中包含 AI 关键词的帖子增长了 371%。威胁行为者正在兜售诸如 Nytheon AI 等“无伦理限制”的暗黑 LLM、越狱框架，以及合成身份工具包——包括 AI 视频演员、声音克隆，甚至生物特征数据集，最低仅售 5 美元。 Group-IB 总结称：“AI 已将网络犯罪工业化。过去需要高技能和时间的事情，如今可以被购买、自动化，并在全球范围内扩展。” 前国际刑警组织网络犯罪主管、现任独立战略顾问 Craig Jones 也指出：“AI 并未创造新的犯罪动机——金钱、杠杆和访问权限仍是核心驱动力——但它极大提升了这些动机被实现的速度、规模和复杂程度。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，尽管遭遇了执法部门的严厉打击，全球最危险的勒索软件组织之一 LockBit 仍然发布了其最新版本 5.0。 该组织的行动仍在持续推进，并展示出针对不同计算机系统和平台的全新变种。 近期泄露的材料和截图为安全专家提供了一个深入了解该犯罪组织如何管理攻击行动、以及如何与协助其在网络中传播恶意软件的加盟者协同运作的窗口。 核心功能基本不变，运营照常推进 在执法机构发起的重大打击行动 “克洛诺斯行动（Operation Cronos）”之后，LockBit 最新版本在核心设计和功能上基本没有变化。 不过，安全研究人员注意到其界面出现了一些轻微的外观变化，例如加入了节日主题装饰，这在一定程度上表明该组织依然毫不在意执法压力，持续运作。 该组织依旧维持着一套高度成熟的基础设施，用于管理与受害者的谈判流程，并在全球范围内、跨多个行业和领域协调实施攻击。 加盟体系仍在运转 Flare 分析师指出，LockBit 的加盟者计划仍在持续招募新合作伙伴，尽管该组织的声誉已因执法行动而受损。 许多网络犯罪分子已不愿再与 LockBit 合作，但该组织的运作方式仿佛执法打击从未发生过一样。 这种“韧性”展示了犯罪组织在遭受重大破坏后，依然能够迅速适应并维持其商业模式的能力。 LockBit 的快速恢复能力，也凸显了安全团队在打击有组织勒索软件行动时面临的长期挑战。 LockBit 5.0 的多平台攻击策略 LockBit 5.0 最令人担忧的方面在于，其攻击目标已扩展至多个操作系统和虚拟化环境。 安全研究人员获取的最新恶意软件样本显示，在 2026 年 1 月 14 日发现了四种不同的变种： LB_Black：针对传统 Windows 系统 LB_Linux：针对 Linux 环境 LB_ESXi：针对 虚拟化基础设施（VMware ESXi） LB_ChuongDong：另一种已发现的变种 这种多样化策略表明，LockBit 正在战略性地转向企业级环境，尤其是广泛使用虚拟机和云基础设施的组织。 对防御方的意义 这些最新样本的曝光，为安全团队提供了最新的入侵指标，有助于防御工作。 组织现在可以利用这些技术细节，识别自身网络是否遭遇过 LockBit 5.0 的攻击。深入理解这些变种，将帮助网络安全专业人员制定更有效的检测规则和防护策略。 此外，泄露的加盟者控制面板材料清晰展示了 LockBit 如何： 管理勒索赎金支付 制定加盟者行为规则 审核并吸纳新的合作伙伴 这些信息为外界提供了前所未有的视角，揭示了 “勒索软件即服务” 商业模式的具体运作方式。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，Everest在其暗网泄密网站上公布了此次入侵的相关信息，并威胁称，若企业未在其设定的期限内作出回应，将公开披露所窃取的数据。根据 Everest 勒索软件组织的说法，此次攻击导致大量公司内部文件及客户个人数据被泄露。 攻击者宣称：“你们客户的个人数据以及内部文件已被泄露并存储在我们的系统中”，其中包括“种类繁多的客户个人文件和信息”。 据称，被窃取的数据包含大量内部记录，可能在区域范围内引发严重的身份盗用和定向钓鱼攻击风险。 Everest是一个以俄语为主要交流语言的勒索软件组织，最早于2020年12月出现，起初以数据窃取为主，至2021年初发展为具备AES/DES双重加密能力的完整勒索软件体系。 该组织以“纯敲诈”策略而闻名，重点在于窃取并出售企业敏感数据，而不仅仅是对文件进行加密。其近期的高知名度受害者包括华硕、日产汽车，以及都柏林机场。 麦当劳在印度通过两家独立公司运营：负责北部和东部地区的Connaught Plaza Restaurants，以及负责西部和南部地区的 Hardcastle Restaurants。自1996年以来，这两家实体已为数百万印度消费者提供服务。 此前，该公司曾在 2017 年和 2024 年 遭遇过数据安全相关问题。 截至目前，麦当劳印度方面尚未确认此次数据泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。 该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。 如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。 漏洞成因 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单，收集用户名、邮箱、密码以及用户角色等信息。 在正常情况下，新注册用户的角色应受到严格限制，通常只允许诸如“订阅者（subscriber）”等低权限角色。然而，在受影响的版本中，这一控制机制失效，为滥用打开了大门。 Wordfence 分析人员发现，当表单中映射了角色字段时，插件的 insert_user 表单动作并未正确限制注册过程中可分配的角色。 这意味着，攻击者可以提交一个精心构造的请求，即使前端界面限制了可选角色，也能在请求中将自己的角色设置为管理员。 一旦请求被处理，系统就会创建一个拥有完整管理员权限的账户。获得管理权限后，攻击者即可彻底控制受影响的 WordPress 网站。 潜在影响 攻击者在取得管理员权限后，可以： 上传带有后门的恶意插件或主题 篡改网站内容，将访客重定向至钓鱼或恶意网站 植入垃圾内容或 SEO 投毒代码 创建额外的管理员账户以维持长期访问权限 鉴于该插件安装量巨大，且在存在漏洞配置时利用门槛极低，只要网站将相关用户操作表单暴露在公网，就可能遭受严重影响。 修复与风险现状 在漏洞披露时，插件开发方已在 0.9.2.2 版本中发布修复补丁，安全厂商也在防火墙层面提供了针对利用行为的拦截措施。 然而，那些尚未更新插件、且仅依赖应用层防护的网站，仍然是攻击者进行自动化扫描和入侵的理想目标。 漏洞详情一览表 字段 说明 漏洞编号 CVE-2025-14533 插件名称 Advanced Custom Fields: Extended 插件标识 acf-extended 受影响版本 ≤ 0.9.2.1 修复版本 0.9.2.2 漏洞类型 未认证权限提升 攻击向量 恶意用户注册表单提交 触发条件 存在映射了角色字段的公开表单 CVSS 评分 9.8（严重） 受影响安装量 10 万+ 活跃安装 发现者 andrea bocchetti（Wordfence 漏洞悬赏） 权限提升是如何实现的？ 该漏洞的核心在于插件高度灵活的表单系统，其初衷是让站点管理员无需编写代码即可构建自定义的用户管理流程。 在典型配置中，管理员会定义一个字段组，包含用户信息字段，并将其关联到“创建用户”或“更新用户”的表单动作。其中一个字段可以是角色选择器，表面上受到“允许用户角色（Allow User Role）”设置的限制。 但在后台，当表单提交时，插件会在 acfe_module_form_action_user 类中调用 insert_user() 函数。该函数会收集所有提交的数据（包括角色字段），并直接传递给 WordPress 原生的 wp_insert_user() 函数。 问题在于，在受影响版本中，插件并未在后端强制执行字段组中配置的角色限制。前端设置营造了安全假象，但后端逻辑并未遵守这些规则。 因此，只要存在一个包含角色字段的公开表单，未认证攻击者就可以绕过可见的角色选项，在 HTTP 请求中自行指定角色（如 administrator）。由于插件未对该值进行校验或过滤，WordPress 会接受请求并创建一个拥有完整管理员权限的账户。 整个过程无需已有账号、社会工程学手段或密码猜测，直接构成一条通向网站完全失陷的通道。 一旦攻击者以管理员身份进入系统，便拥有与合法站点所有者相同的控制能力，可持续操纵和破坏网站。这使得 CVE-2025-14533 成为在特定配置存在时，导致 WordPress 网站被全面攻陷的高危漏洞。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络安全分析人员披露，一起通过 Linkedin 私信 传播的钓鱼攻击活动，正在滥用一款合法的开源渗透测试工具，意在向受害者投放远程访问木马。 该攻击活动由 ReliaQuest 的威胁研究人员披露。他们指出，此次行动“尤其令人担忧”，原因在于攻击者将正规软件工具与社交媒体平台的可信度相结合，大幅提高了攻击成功率。 研究人员表示，该活动主要面向被精心挑选的“高价值目标”，包括企业高管和 IT 管理员等关键岗位人员。 攻击最初利用 Linkedin 的职业社交属性，通过与目标行业相关的话术建立信任，随后发送精心设计的钓鱼链接，诱导受害者点击并最终中招。 该链接指向一个恶意的 WinRAR 自解压压缩包。一旦执行，该压缩包会释放一个合法的开源 PDF 阅读器，以及一个恶意 DLL 文件。该 DLL 被刻意伪装成与 PDF 阅读器所使用的正常文件同名，以此降低警惕。 研究人员指出，攻击者对文件命名进行了高度定制，使其与收件人的岗位或行业相匹配，从而增强可信度并提升攻击成功概率。 当受害者运行 PDF 阅读器时，恶意 DLL 会利用一种名为 DLL 侧加载 的技术，与合法应用程序位于同一目录下运行，从而增加检测和阻断难度。 随后，攻击者借助一款开源渗透测试工具在系统中建立持久化控制，使其能够长期驻留在受感染主机上，并具备数据窃取、权限提升以及在网络中横向移动等能力。 ReliaQuest 研究人员指出，此前已有多起利用社交媒体平台传播木马程序的案例。通过 Linkedin 等平台分发恶意载荷，攻击者试图利用企业网络安全防护中的“盲区”，这些渠道往往未被纳入传统防御体系的重点。 ReliaQuest 在博客中表示：“这次活动再次提醒我们，钓鱼攻击并不局限于电子邮件。攻击同样会发生在社交媒体、搜索引擎和即时通讯应用等替代渠道上——而这些平台仍然被许多组织的安全策略所忽视。” 研究人员还指出：“社交媒体平台，尤其是经常在公司设备上访问的平台，为攻击者直接接触高价值目标提供了渠道……因此对网络犯罪分子而言极具吸引力。” 为帮助用户避免成为社交媒体钓鱼攻击的受害者，ReliaQuest 建议企业开展针对社交媒体场景的网络安全培训，并提醒员工对通过 Linkedin 或其他平台收到的陌生链接或文件保持与电子邮件同等程度的警惕。 此外，研究人员还建议组织审计员工在公司设备上使用个人社交媒体账号的情况，并视业务需要实施相应的访问控制或限制。 ReliaQuest 总结称：“组织必须将社交媒体平台视为其攻击面不可分割的一部分，采取积极的纵深防御策略。通过结合员工培训、先进检测工具以及严格的平台使用政策，企业才能有效降低风险，并领先于不断演变的攻击手段。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据区块链安全公司 Elliptic 披露，基于 Telegram 运作的东南亚大型非法交易平台 Tudou Guarantee 似乎正在停止其核心业务运作。研究人员发现，该平台在其公开群组中已停止交易活动，此前累计处理的交易金额超过 120 亿美元。不过，由于平台的其他服务仍在运行，其是否会彻底关闭仍有待观察。 Elliptic 在报告中指出：“自成立以来，Tudou（意为‘土豆’）已处理超过 120 亿美元的交易，使其成为有史以来第三大非法交易市场。Tudou Guarantee 的其他业务板块（如博彩业务）仍在运作，因此目前尚无法确定这是否意味着全面关停的开始，还是仅从诈骗相关活动中转型退出。” Tudou Guarantee 的迅速扩张，与此前另一大型非法市场 Huione Guarantee 的关闭密切相关。2025 年 5 月，Telegram 关闭了交易规模高达 270 亿美元 的 Huione 平台，促使大量商家转移至 Tudou。此后，Tudou 的用户数量迅速翻倍，交易规模激增，许多卖家继续提供被盗数据、洗钱和诈骗相关服务。事实上，Huione 早在 2024 年就已收购 Tudou 30% 的股份，为其成为“接班人”铺平了道路。 在 Tudou 平台上，商家几乎可以出售运行网络诈骗所需的一切要素，包括：洗钱服务、被盗个人数据、成套诈骗平台和钓鱼网站。此外，平台还兜售换脸技术、AI 语音克隆和深度伪造工具，用于欺骗受害者。Tudou 提供的担保（托管）服务在买卖双方之间建立信任，助推了一个庞大的犯罪生态系统。 Tudou 的停摆与 Prince Group 的瓦解密切相关。2025 年 10 月，美国和英国对 Prince Group 及其董事长 陈志（Chen Zhi） 实施制裁，指控其在柬埔寨经营诈骗园区并使用强迫劳动。随后，执法行动显著升级。2026 年 1 月 6 日，柬埔寨与中国执法部门联合行动，将陈志逮捕并引渡至中国。不久之后，Elliptic 监测到 Tudou 主要加密货币钱包的活动量急剧下降，表明此次逮捕对其运营产生了直接冲击。 报告最后指出：“Tudou 的关闭对东南亚诈骗经济体系是一次重大打击，但历史经验表明，这一真空不会长期存在。对调查人员而言，根本性的优势仍然存在：这些大型诈骗平台上的每一笔加密资产交易，都会在区块链上留下永久记录。正是这种透明性，使 Elliptic 能够追踪 Tudou 经手的 120 亿美元资金流向，也将继续帮助我们以及政府调查机构追踪这些活动下一步的迁移去向。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已修复一个严重漏洞，该漏洞影响 32 款以上的 VIGI C 和 VIGI InSight 系列摄像头，可能导致监控系统被远程入侵。研究人员发现，互联网上至少有 2,500 台此类设备直接暴露在公网环境中。 此次漏洞被编号为 CVE-2026-0629，CVSS 评分为 8.7（高危），影响 32 款以上的 VIGI C 与 VIGI InSight 摄像头型号。该漏洞允许位于同一局域网内的攻击者滥用密码恢复功能绕过身份认证，直接重置管理员密码，从而完全控制摄像头。 安全公告指出：“VIGI 摄像头本地 Web 管理界面的密码恢复功能存在身份验证绕过问题。攻击者可通过操纵客户端状态，在无需任何验证的情况下重置管理员密码。”公告还称：“攻击者能够获得设备的完整管理权限，进而危及系统配置和网络安全。” TP-Link 的 VIGI 摄像头属于专业视频监控产品，面向商业和企业用户，而非家庭消费级市场。 该漏洞由 Redinent Innovations 的研究人员 Arko Dhar 披露。他在接受 SecurityWeek 采访时表示，攻击者可以远程利用这一漏洞，并且在 2025 年 10 月，他仅针对其中一款型号进行扫描，就发现有超过 2,500 台存在漏洞的摄像头直接暴露在互联网上。他强调，由于只检测了单一型号，实际受影响设备数量可能远高于这一数字。 一旦 TP-Link VIGI 摄像头遭到入侵，可能带来严重后果，包括：实时与历史视频内容被窃取、对人员和场所进行监控与间谍活动、协助实施物理入侵、作为跳板横向渗透企业内网、被纳入僵尸网络用于 DDoS 攻击、篡改监控证据、干扰业务运营，以及因侵犯隐私而引发法律和监管风险。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  印度网络安全公司 Seqrite 的研究人员发现，黑客正在通过网络钓鱼邮件，冒充来自阿富汗总理办公室的官方函件，针对阿富汗政府雇员展开攻击。 该攻击活动最早于去年 12 月被发现，攻击者使用了一份诱饵文档，其外观被精心设计成发送给阿富汗各部委及行政机构的正式政府公函。 这份文件以宗教问候语开头，内容看似是与财务申报相关的官方指示，并伪造了总理办公室一名高级官员的签名，意在诱使收件人打开文件。 一旦文件被打开，系统就会被植入一款名为 FalseCub 的恶意软件。Seqrite 在周一发布的报告中指出，该恶意程序可从受感染的计算机中收集并外传数据。 研究人员还发现，攻击者将 GitHub 作为临时托管平台，用于存放恶意载荷。一个于 12 月下旬创建的 GitHub 账号被用于分发恶意文件，并在行动结束后悄然删除相关内容。 Seqrite 表示，该攻击行动的幕后黑客显然对阿富汗政府机构以及与塔利班相关的实体进行了较为深入的研究。研究人员在 Scribd 文库中发现，威胁行为者上传了多份法律和行政文件，包括阿富汗政府指令、国防部通信文件，以及与阿富汗相关的美国庇护和人权文件。这些材料未来可能被用作新的钓鱼诱饵。 据称，攻击者使用了“Afghan Khan”这一化名，并在 Pinterest、Dailymotion 等平台上活动，其中至少一个账号与巴基斯坦有关。研究人员还指出，此次攻击中使用的一个短链接也是从巴基斯坦上传的，该链接会将受害者重定向至存放恶意软件的 GitHub 仓库。 尽管 Seqrite 并未将此次行动归因于某个特定国家或已知黑客组织，但研究人员评估认为，这是一名“以地区为重点、技术水平处于低到中等之间的威胁行为者”所为。他们补充称，反复使用相同的网络身份，表明其更可能是个人或小型团伙，而非成熟的国家支持型高级持续性威胁（APT）。 Seqrite 将该攻击活动命名为 “Nomad Leopard”，并警告称，该行动并不局限于阿富汗，未来可能扩展至其他国家。 研究人员最后表示：“尽管该威胁行为者的技术并不高超，但其掌握了大量与法律和政府相关的诱饵文档，我们认为这些材料可能会在未来的攻击活动中被继续利用。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者使用了一种名为PDFSider的新型恶意软件，在Windows系统上投放恶意载荷，针对金融行业《财富》前100强的一家企业发起勒索软件攻击。 攻击者借助社会工程学手段实施攻击。他们冒充技术支持人员，诱骗该企业员工安装微软Quick Assist（快速协助工具），以此尝试获取远程访问权限。 网络安全公司Resecurity的研究人员在一次事件响应过程中发现了PDFSider，并将其描述为一款用于长期隐蔽访问的后门程序，同时指出该恶意软件具备“高级持续性威胁攻击常用的典型特征”。 利用合法 EXE，搭载恶意 DLL Resecurity的发言人向BleepingComputer透露，PDFSider 已被证实用于Qilin勒索软件的攻击行动。此外，该公司威胁狩猎团队指出，这款后门程序目前已被多个勒索软件攻击团伙作为投放恶意载荷的工具，处于活跃使用状态。 PDFSider后门程序通过鱼叉式网络钓鱼邮件传播，邮件中附带一个压缩包，内含经过数字签名的合法软件——来自 Miron Geek Software GmbH的PDF24 Creator工具，同时还包含一个恶意DLL文件（cryptbase.dll），而该DLL正是该应用正常运行所需的组件。 当EXE文件运行时，会加载攻击者提供的DLL文件，这种技术被称为DLL侧加载（DLL side-loading），从而实现系统上的代码执行。 在部分攻击案例中，攻击者还会使用诱饵文档，将恶意文件伪装成与目标高度相关的内容，诱导收件人主动打开。 一旦被执行，DLL 将以加载它的 EXE 文件的权限运行。 Resecurity 解释称：“该EXE文件具有合法签名，但 PDF24软件本身存在漏洞，攻击者能够利用这些漏洞加载恶意代码，并有效绕过EDR系统。” 研究人员表示，随着AI编程技术的兴起，网络犯罪分子如今能够更轻易地找到存在漏洞的软件，并加以利用实施攻击。 内存驻留、DNS 通信与强加密 PDFSider直接加载至内存中运行，几乎不在磁盘上留下痕迹，并通过匿名管道借助CMD执行命令。 每一台受感染主机都会被分配一个唯一标识符，系统信息随后通过DNS（53端口）被外泄至攻击者控制的VPS服务器。 PDFSider使用Botan 3.0.0加密库和AES-256-GCM来保护其命令与控制通信，并在内存中对接收到的数据进行解密，以尽量减少在主机上的可见痕迹。 此外，其数据还通过GCM模式下的AEAD（带关联数据的认证加密）进行完整性验证。 Resecurity 指出：“这种加密实现方式通常出现在定向攻击中使用的远程 Shell 恶意软件里，在这类攻击中，通信的完整性与机密性至关重要。” 反分析与长期潜伏能力 该恶意软件还具备多种反分析机制，例如检测内存大小、识别调试器环境，一旦发现运行于沙箱或分析环境中，便会提前退出。 综合分析后，Resecurity 认为，PDFSider “更接近于间谍活动所使用的技术，而非单纯以经济利益为目的的恶意软件”。它被设计为一种高度隐蔽的后门工具，能够维持长期、隐秘的访问，并提供灵活的远程命令执行能力与加密通信机制。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国田纳西州一名男子承认入侵了美国最高法院的电子档案系统，并入侵了美国联邦机构AmeriCorps和美国退伍军人事务部的账户。 联邦检察官表示，来自田纳西州斯普林菲尔德的24岁男子尼古拉斯·摩尔在2023年8月至10月期间，使用窃取的凭据访问了最高法院受限的电子档案系统至少25次。 此外，他有时每天多次使用相同的被盗凭据登录最高法院的系统。 据称，摩尔在Instagram上吹嘘这些入侵行为，将包含受害者姓名和来自最高法院账户的档案系统详细信息的截图发布到一个名为@ihackedthegovernment的账户。 美国司法部周五表示：”摩尔曾三次在其Instagram账户@ihackedthegovernment上发布其受害者的最高法院档案系统详细信息的截图，包括受害者的姓名和其他信息。” 他还在2023年8月至10月期间，使用被盗的MyAmeriCorps凭据七次访问第二名受害者的AmeriCorps账户，从该机构的服务器获取了个人信息（包括姓名、出生日期、电子邮件地址、家庭住址、电话号码、公民身份、退伍军人身份、服役历史以及社会安全号码的最后四位数字），并将其泄露在同一Instagram账户上。 摩尔还在2023年9月至10月期间，使用从一名美国海军陆战队退伍军人那里窃取的登录凭据，五次访问退伍军人事务部的”My HealtheVet”在线个人健康记录门户网站。退伍军人事务部还运营着美国最大的综合医疗保健系统，在美国1,380个医疗保健机构提供护理服务。 检察官在法庭文件中表示：”这次入侵使摩尔能够访问该退伍军人的私人健康信息，包括处方药和其他私密数据。摩尔随后将退伍军人的健康信息发布到@ihackedthegovernment账户，并吹嘘自己获得了访问退伍军人事务部服务器的权限。” 摩尔承认了一项计算机欺诈罪，这是一项轻罪，最高可判处一年监禁和10万美元罚款。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一场恶意广告活动正在利用一款名为NexShield的虚假广告拦截Chrome和Edge扩展程序，该扩展会故意使浏览器崩溃，为ClickFix攻击做准备。 这些攻击于本月早些时候被发现，并投递了一种名为ModeloRAT的新型基于Python的远程访问工具，该工具被部署在企业环境中。 NexShield扩展程序声称是一款隐私优先、高性能、轻量级的广告拦截器，由拥有超过1400万用户的合法广告拦截器uBlock Origin的原始开发者Raymond Hill创建。该扩展现已被从Chrome网上应用商店移除。 托管安全公司Huntress的研究人员表示，NexShield通过在无限循环中创建chrome.runtime端口连接并耗尽浏览器内存资源，从而在浏览器中造成拒绝服务条件。 这会导致标签页冻结、Chrome进程CPU使用率升高、RAM使用量增加，以及浏览器整体无响应。最终，Chrome/Edge会卡死或崩溃，迫使通过Windows任务管理器终止进程。 因此，Huntress将这些攻击称为ClickFix的一个变种，并将其命名为”CrashFix”。 当浏览器重新启动时，该扩展程序会显示一个欺骗性弹窗，展示虚假警告，并建议扫描系统以定位问题。 这样做会打开一个新窗口，显示关于检测到威胁用户数据安全问题的虚假警告，并提供如何修复问题的说明，其中涉及在Windows命令提示符中执行恶意命令。 以典型的ClickFix方式，恶意扩展程序将一个命令复制到剪贴板，并指示用户只需按”Ctrl+V”，然后在命令提示符中运行它。 这个”修复”命令是一个链式操作，通过远程连接触发一个经过混淆处理的PowerShell脚本，该脚本会下载并执行恶意脚本。 为了试图使扩展程序与恶意活动脱钩并逃避检测，有效载荷在安装NexShield后有60分钟的执行延迟。 对于企业环境中特定的已加入域的主机，威胁行为者会投递ModeloRAT。该工具可以执行系统侦察、运行PowerShell命令、修改注册表、引入其他有效载荷以及自我更新。 对于非域主机，据Huntress研究人员称，命令与控制服务器返回了”TEST PAYLOAD!!!!”消息，表明这些目标要么优先级较低，要么相关攻击仍在开发中。 本月早些时候，网络安全公司Securonix发现了另一起ClickFix攻击，该攻击通过滥用全屏模式在目标浏览器中模拟Windows蓝屏死机界面。然而，在CrashFix攻击中，浏览器崩溃是真实的，这使得攻击更具说服力。 研究人员提供了关于整个CrashFix攻击及以此方式投递的有效载荷的详细技术报告。他们详细说明了感染链的多个阶段以及ModeloRAT的功能，从建立持久性、收集侦察信息到执行命令、对系统进行指纹识别以及确定其在受感染系统上的权限。 Huntress将分析的CrashFix攻击归因于名为”KongTuke”的威胁行为者，该团伙的活动自2025年初以来就一直在该公司的监控范围内。 基于最近的发现，研究人员认为KongTuke正在不断进化，并且对企业网络越来越感兴趣，因为这对网络犯罪分子来说利润更高。 要防止落入ClickFix攻击的陷阱，可以确保完全理解在系统上执行的任何外部命令的效果。此外，从受信任的发布者或来源安装浏览器扩展程序，可以保护您免受CrashFix攻击或其他威胁。 安装了NexShield的用户应执行全面的系统清理，因为仅卸载扩展程序无法清除所有有效载荷，例如ModeloRAT或其他恶意脚本。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国CISPA亥姆霍兹信息安全中心的一个学术团队披露了一个影响AMD处理器的新型硬件漏洞的详细信息。 这个被命名为StackWarp的安全漏洞，可允许拥有主机服务器特权控制权的恶意行为者在机密虚拟机内部运行恶意代码，从而破坏了AMD安全加密虚拟化及安全嵌套分页（SEV-SNP）所提供的完整性保证。该漏洞影响AMD Zen 1至Zen 5架构的处理器。 研究人员Ruiyi Zhang、Tristan Hornetz、Daniel Weber、Fabian Thomas和Michael Schwarz表示：”在SEV-SNP的语境下，该漏洞允许恶意的VM主机操控客户虚拟机的堆栈指针。这使得攻击者能够劫持控制流和数据流，从而在机密虚拟机内部实现远程代码执行和权限提升。” AMD将该漏洞标识为CVE-2025-29943（CVSS v4评分：4.6），并将其定性为中等严重性的不当访问控制漏洞，可能允许具有管理员权限的攻击者更改CPU流水线的配置，导致SEV-SNP客户机内部的堆栈指针损坏。 此问题影响以下产品线： AMD EPYC 7003系列处理器 AMD EPYC 8004系列处理器 AMD EPYC 9004系列处理器 AMD EPYC 9005系列处理器 AMD EPYC Embedded 7003系列处理器 AMD EPYC Embedded 8004系列处理器 AMD EPYC Embedded 9004系列处理器 AMD EPYC Embedded 9005系列处理器 SEV旨在加密受保护虚拟机的内存，并将其与底层虚拟机监控程序隔离。然而，CISPA的新发现表明，通过攻击一种名为”堆栈引擎”的微架构优化（该优化负责加速堆栈操作），可以在不读取虚拟机明文内存的情况下绕过这一保护机制。 Zhang在与thehackernews分享的声明中表示：”该漏洞可以通过虚拟机监控程序侧一个先前未记录的的控制位进行利用。与目标虚拟机并行运行超线程的攻击者可以利用此功能来操控受保护虚拟机内部的堆栈指针位置。” 这反过来又导致程序流被重定向或敏感数据被操纵。StackWarp攻击可用于从SEV安全环境中泄露秘密，并危害基于AMD处理器的云环境中托管的虚拟机。具体来说，该漏洞可用于从单个错误的签名中恢复RSA-2048私钥，从而有效绕过OpenSSH密码身份验证和sudo密码提示，并在虚拟机中获得内核模式代码执行能力。 该芯片制造商已于2025年7月和10月针对此漏洞发布了微码更新。针对EPYC Embedded 8004和9004系列处理器的AGESA补丁计划于2026年4月发布。 此次披露建立在CISPA先前的一项研究基础之上，该研究详细描述了CacheWarp（CVE-2023-20592，CVSS v3评分：6.5），这是一种针对AMD SEV-SNP的软件故障攻击，允许攻击者劫持控制流、侵入加密虚拟机并在虚拟机内部执行权限提升。值得注意的是，两者都是硬件架构攻击。 Zhang表示：”对于SEV-SNP主机的运维人员来说，有具体的步骤需要采取：首先，检查受影响系统上是否启用了超线程。如果已启用，请计划临时关闭对完整性要求特别高的机密虚拟机的超线程功能。同时，应安装硬件供应商提供的任何可用的微码和固件更新。StackWarp再次证明了细微的微架构效应如何能破坏系统级的安全保证。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场持续攻击活动”KongTuke”的详细信息。该活动利用一款伪装成广告拦截器的恶意谷歌Chrome扩展程序，故意使网页浏览器崩溃，并模仿ClickFix式诱饵欺骗受害者运行任意命令，从而投递一种先前未被记录的远程访问木马（RAT），名为ModeloRAT。 Huntress将这种ClickFix攻击的新变种命名为CrashFix。 KongTuke（也称为404 TDS、Chaya_002、LandUpdate808和TAG-124）是一个流量分发系统的名称。该系统以在将受害者重定向至有效载荷投递站点感染其系统前，先对受害者主机进行特征分析而闻名。随后，对这些受感染主机的访问权限会被移交给其他威胁行为者（包括勒索软件组织），以进行后续的恶意软件投递。 根据Recorded Future于2025年4月发布的一份报告，一些曾利用TAG-124基础设施的网络犯罪团伙包括Rhysida勒索软件、Interlock勒索软件和TA866（又名Asylum Ambuscade）。该威胁行为者还与SocGholish和D3F@ck Loader有关联。 根据该网络安全公司记录的攻击链，据称受害者在搜索广告拦截器时，被引导至一个恶意广告，该广告将其重定向到官方Chrome网上应用商店托管的一个扩展程序。 这个名为”NexShield – Advanced Web Guardian”（ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi）的浏览器扩展程序，伪装成”终极隐私护盾”，声称能保护用户免受网页上的广告、追踪器、恶意软件和侵扰性内容的侵害。该扩展至少被下载了5000次。目前它已无法下载。 Huntress表示，该扩展程序几乎是所有主流浏览器可用的合法广告拦截器插件uBlock Origin Lite版本2025.1116.1841的克隆。其设计目的是显示虚假的安全警告，声称浏览器”异常停止”，并提示用户运行”扫描”以修复由Microsoft Edge检测到的潜在安全威胁。 如果用户选择运行扫描，受害者会看到一个伪造的安全警报，指示他们打开Windows”运行”对话框，粘贴已复制到剪贴板的显示命令并执行它。这反过来会导致浏览器完全冻结，通过发起拒绝服务攻击使其崩溃——该攻击通过无限循环创建新的运行时端口连接，重复触发同一步骤十亿次。 这种资源耗尽技术会导致内存消耗过度，使网页浏览器变得缓慢、无响应，并最终崩溃。 一旦安装，该扩展程序还设计向攻击者控制的服务器（”nexsnield[.]com”）传输一个唯一ID，使操作者能够追踪受害者。此外，它采用了延迟执行机制，确保恶意行为仅在安装60分钟后才被触发。此后，有效载荷每10分钟执行一次。 研究人员Anna Pham、Tanner Filip和Dani Lopez表示：”弹窗仅在浏览器变得无响应后、在浏览器启动时出现。在DoS执行之前，时间戳会存储在本地存储中。当用户强制退出并重新启动浏览器时，启动处理程序会检查此时间戳，如果存在，则显示CrashFix弹窗，并移除时间戳。” “仅当UUID存在（意味着用户正被追踪）、C2服务器成功响应获取请求、并且弹窗窗口至少被打开并随后关闭过一次时，DoS才会执行。最后一个条件可能是为了确保在触发有效载荷前用户与扩展程序有交互。” 最终结果是它创建了自己的循环，每当受害者因DoS攻击导致浏览器无响应而强制退出并重启浏览器时，都会激活虚假警告。如果扩展程序未被移除，攻击将在10分钟后再次触发。 该弹窗还采用了多种反分析技术，包括禁用右键上下文菜单，并阻止尝试使用键盘快捷键启动开发者工具。CrashFix命令利用合法的Windows实用程序finger.exe，从攻击者的服务器（”199.217.98[.]108″）检索并执行下一阶段的有效载荷。安全研究员Brad Duncan在2025年12月记录了KongTuke对Finger命令的使用。 从服务器接收的有效载荷是一个PowerShell命令，该命令被配置为检索第二个PowerShell脚本。后者转而借鉴了SocGholish的手法，使用多层Base64编码和XOR运算来隐藏下一阶段的恶意软件。 解密后的代码块会扫描正在运行的进程，查找超过50种分析工具和虚拟机指示器，如果发现则立即停止执行。它还检查计算机是否已加入域或是独立计算机，并向同一服务器发送HTTP POST请求，其中包含两条信息： 已安装的防病毒产品列表 一个标志，对于独立的”WORKGROUP”计算机值为”ABCD111″，对于已加入域的主机值为”BCDA222″ 如果被入侵系统在HTTP请求中被标记为已加入域，则KongTuke攻击链最终会部署ModeloRAT。这是一个功能齐全的基于Python的Windows RAT，它使用RC4加密进行命令与控制通信（”170.168.103[.]208″ 或 “158.247.252[.]178″），利用注册表建立持久化，并便于执行二进制文件、DLL、Python脚本和PowerShell命令。 ModeloRAT能够在收到自我更新（”VERSION_UPDATE”）或退出（”TERMINATION_SIGNAL”）命令时进行自我更新或终止。它还实现了变化的信标逻辑以躲避检测。 Huntress表示：”在正常操作下，它使用300秒（5分钟）的标准间隔。当服务器发送激活配置命令时，植入程序进入主动模式，以可配置的间隔进行快速轮询，默认间隔为150毫秒。” “在连续六次或更多次通信失败后，RAT会退避到900秒（15分钟）的延长间隔以避免检测。从单次通信失败恢复时，它在恢复正常操作前使用150秒的重连间隔。” 虽然针对已加入域的机器部署ModeloRAT表明KongTuke的目标是企业环境，以便于更深层次的渗透，但独立工作站上的用户则会遭受另一个多阶段感染序列。该序列最终C2服务器会响应消息”TEST PAYLOAD!!!!”，表明其可能仍处于测试阶段。 该网络安全公司总结道：”KongTuke的CrashFix活动展示了威胁行为者如何不断演进其社会工程策略。通过假冒可信的开源项目（uBlock Origin Lite）、故意使用户的浏览器崩溃，然后提供一个虚假的修复方案，他们构建了一个自我维持的感染循环，利用用户的挫败感进行攻击。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一项安全漏洞的详细信息，该漏洞利用间接提示注入技术攻击谷歌Gemini，从而绕过其授权防护机制，并将谷歌日历用作数据提取通道。 Miggo Security的研究主管Liad Eliyahu表示，该漏洞通过在标准日历邀请中隐藏一个潜伏的恶意载荷，有可能规避谷歌日历的隐私控制。 Eliyahu在一份提供给thehackernews的报告中称：”这种绕过方式使得攻击者能够在无需任何直接用户交互的情况下，未经授权访问私人会议数据并创建具有欺骗性的日历事件。” 攻击链的起点是攻击者精心制作并发送给目标的一个新日历事件。该邀请的描述中嵌入了一个自然语言提示，旨在执行攻击者的指令，从而导致提示注入攻击。 当用户向Gemini询问一个完全无害的日程问题时，攻击即被激活。这会促使该人工智能聊天机器人去解析上述事件描述中特制的提示，从而汇总用户特定日期的所有会议，将这些数据添加到一个新创建的谷歌日历事件中，然后向用户返回一个无害的回应。 Miggo表示：”然而，在后台，Gemini创建了一个新的日历事件，并在事件描述中写入了目标用户私人会议的完整摘要。在许多企业日历配置中，这个新事件对攻击者是可见的，使得他们能够读取被窃取的私人数据，而目标用户却完全不知情。” 尽管在负责任的披露后，该问题已得到解决，但这些发现再次表明，随着越来越多的组织使用AI工具或内部构建自己的智能体来自动化工作流程，原生AI功能可能会扩大攻击面，并在无意中引入新的安全风险。 Eliyahu指出：”AI应用程序可以通过它们被设计用来理解的语言本身被操纵。漏洞不再局限于代码，它们现在存在于运行时环境中的语言、上下文和AI行为里。” 此次披露是在Varonis详细描述一种名为”Reprompt”的攻击之后数日。该攻击可能使攻击者只需单击一下即可从Microsoft Copilot等人工智能聊天机器人中提取敏感数据，同时绕过企业安全控制。 这些发现说明，有必要持续从关键的安全维度对大型语言模型进行评估，测试其产生幻觉倾向、事实准确性、偏见、危害性以及抵御越狱攻击的能力，同时保护AI系统免受传统问题的影响。 就在上周，Schwarz Group的XM Cyber揭示了在谷歌云Vertex AI的Agent Engine和Ray中提升权限的新方法，这突显了企业审计其AI工作负载所关联的每个服务账户或身份的必要性。 研究人员Eli Shparaga和Erez Hasson表示：”这些漏洞允许权限极低的攻击者劫持高权限的服务代理，有效地将这些’隐形’的托管身份变成’双重间谍’，从而促进权限提升。” 成功利用这些”双重间谍”漏洞可能允许攻击者读取所有聊天会话、LLM记忆、存储在存储桶中的潜在敏感信息，或获取Ray集群的根访问权限。鉴于谷歌表示这些服务目前”按预期运行”，组织审查具有”查看者”角色的身份并确保采取足够的控制措施以防止未经授权的代码注入至关重要。 与此同时，多项在不同AI系统中发现的漏洞和弱点也浮出水面： The Librarian漏洞： TheLibrarian.io提供的AI个人助手工具”图书管理员”中存在安全漏洞（CVE-2026-0612、CVE-2026-0613、CVE-2026-0615、CVE-2026-0616）。攻击者可利用这些漏洞访问其内部基础设施（包括管理控制台和云环境），最终泄露敏感信息，如云元数据、后端运行进程、系统提示，或登录其内部后端系统。 系统提示提取漏洞： 一项漏洞演示了如何通过提示基于意图的LLM助手以Base64编码格式在表单字段中显示信息，来提取其系统提示。Praetorian表示：”如果LLM能够执行将信息写入任何字段、日志、数据库条目或文件的操作，那么每一个都可能成为数据提取通道，无论聊天界面被锁得多紧。” Claude Code恶意插件攻击： 一项攻击演示了如何将恶意插件上传至Anthropic Claude Code的市场，通过钩子绕过人工干预保护措施，并利用间接提示注入提取用户的文件。 Cursor RCE漏洞： Cursor中存在一个严重漏洞（CVE-2026-22708），可通过间接提示注入实现远程代码执行。该漏洞利用了智能IDE处理Shell内置命令时的一个根本性疏忽。Pillar Security表示：”通过滥用隐式信任的Shell内置命令（如export、typeset和declare），威胁行为者可以悄无声息地操纵环境变量，进而毒化合法开发工具的行为。这个攻击链将良性的、用户批准的命令——例如git branch或python3 script.py——转化为任意代码执行载体。” Vibe编程IDE安全分析： 对五款Vibe编程IDE（Cursor、Claude Code、OpenAI Codex、Replit和Devin）的安全分析发现，编程智能体在避免SQL注入或XSS漏洞方面表现良好，但在处理SSRF问题、业务逻辑以及访问API时强制执行适当的授权方面存在困难。更糟的是，所有工具均未包含CSRF防护、安全标头或登录频率限制。该测试凸显了当前Vibe编程的局限性，表明人类监督对于弥补这些差距仍然至关重要。Tenzai公司的Ori David表示：”不能信任编程智能体来设计安全的应用程序。虽然它们可能（有时）生成安全的代码，但智能体在没有明确指导的情况下，始终无法实施关键的安全控制。在边界不明确的领域——如业务逻辑工作流、授权规则和其他细致入微的安全决策——智能体会出错。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大投资行业监管组织（CIRO）证实，其去年遭受的数据泄露事件影响了约75万名加拿大投资者。该机构于去年 8 月 18 日披露了这起事件，相关深度司法取证调查于今年 1 月 14 日方才完成。 CIRO是加拿大负责监管投资交易商、共同基金交易商及相关交易活动的全国性自律监管机构。该机构成立于 2023 年，目前已成为加拿大金融监管框架的核心支柱之一。 去年夏天，CIRO宣布，其于 8 月 11 日监测到系统存在网络安全威胁，随即采取应对措施，关停了部分非核心系统，并同步启动调查工作。 初步调查结果显示，部分会员公司及其注册员工的个人信息已被窃取，但此次事件的完整影响范围，还需要更多时间才能全面评估。 在上周发布的一则公告中，CIRO通报称，此次事件波及加拿大国内约 75 万名投资者，这些人员均为该机构的现任或前任会员。不同个体的信息泄露情况存在差异，泄露信息可能包含以下内容： 出生日期 电话号码 年收入 社会保险号码 政府签发的身份证件号码 投资账户账号 账户对账单 CIRO强调，登录凭证或账户安全问题未受影响，因为其系统并未存储此类信息。 该机构表示，其为调查此次事件累计投入超 9000 小时，目前未发现被盗数据存在被滥用，或在暗网被公开传播的迹象。 不过，为降低相关风险，CIRO将为所有受影响的投资者提供为期两年的免费信用监控服务及身份盗用保护服务。 经确认受到此次事件影响的人员，将会收到包含服务注册指引的通知。未收到通知的人员，可直接联系加CIRO确认自身是否受到影响。 此次CIRO泄露事件，与新斯科舍电力公司、加拿大众议院、西捷航空、玩具反斗城以及自由移动通讯公司遭遇的同类事件一道，被列为加拿大去年最为严重的几起网络安全事件。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文