HackerNews

HackerNews 编译，转载请注明出处： 一种新型基于互联网的攻击正在将太阳能电力基础设施转变为高风险目标，使黑客仅需利用开放的端口和免费工具就能在几分钟内中断能源生产。 现代太阳能电站依赖网络化的运营技术，包括SCADA控制器和组串监测箱，其中许多设备仍使用Modbus协议。这是一种遗留协议，没有内置安全功能。 当这些设备暴露在互联网上时，攻击者可以远程发送控制命令，在晴朗的天气里仅用一个数据包就能切断电力。 Cato Networks的分析师注意到，针对直接控制太阳能电池板输出的启用Modbus的组串监测箱，存在大规模侦察和利用尝试。 通过滥用通常暴露在502端口的TCP上的Modbus协议，对手可以读取设备状态，然后翻转控制位来开启或关闭组串。 这种风险不需要零日漏洞或复杂的负载，它来自于默认开放的服务和设计上就不安全的协议。一旦攻击者识别出一台可访问的设备，从首次探测到造成电力中断的时间可以从几天缩短到几分钟。 Cato Networks的研究人员发现，当这些攻击与能够自动扫描、指纹识别和针对OT资产进行命令注入的智能体AI框架结合时，其影响范围会进一步扩大。 AI驱动的工具可以快速扫描大范围IP地址，发现暴露的Modbus服务，并以机器速度测试可写的寄存器。这改变了太阳能电站运营者的威胁模型，因为人类防御者在监控和响应方面难以跟上这种速度。 来源分析凸显了薄弱点：组串监测箱。它使用Modbus协议，并将光伏组串连接到SCADA”大脑”。一旦这个箱子被入侵，攻击者实际上就变成了一个恶意SCADA操作员。 他们可以使用简单的Modbus功能码来读取电压和电流的保持寄存器，然后写入改变系统状态的线圈或寄存器值。在许多部署中，这些箱子位于扁平网络上，IT和OT之间没有分段，这使得横向移动更加容易。 基于Modbus的命令级操控 该威胁的核心是通过Modbus/TCP直接操控寄存器。攻击者首先使用Nmap的Modbus NSE脚本进行基本发现，以确认主机在502端口上运行Modbus并枚举设备ID。 用于OT侦察的典型Nmap命令如下所示： nmap -sV -p 502 --script modbus-discover <目标IP> 这一步显示了哪些单元ID会响应以及支持哪些功能码。然后，攻击者会转向使用如mbpoll或modbus-cli等工具来读写寄存器。 例如，恶意操作员可以通过向一个控制寄存器写入特定值来尝试关闭一个光伏组串： mbpoll -m tcp -t 0 -r 0xAC00 -0 1 <目标IP> # 0xAC00 映射为"关闭" 在已有案例中，像0xAC00和0xAC01这样的寄存器分别被映射为”关闭”和”开启”。 通过循环这些命令，攻击者可以快速切换组串、给逆变器施加压力，或者在电站保持在线的情况下静默地降低发电量。 当这些操作被封装在AI驱动的逻辑中时，脚本可以持续探测是否接受指令、重试失败的写入，并适应部分防御措施，将简单的寄存器修改转变为可靠、可重复的漏洞利用。 Cato Networks的报告通过一个关于暴露的Modbus端口502的真实世界警报强调了这个问题，该警报被评为高风险，并与过于宽松的防火墙规则有关。 总之，这些发现全面、技术性地解析了太阳能资产上暴露在互联网的Modbus服务如何被利用，从而导致快速、高影响的电网中断。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款拥有”精选”徽章和六百万用户的 Google Chrome 扩展程序，被发现在用户不知情的情况下，收集他们输入到各类人工智能聊天机器人的所有提示词，包括 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。 这款有问题的扩展程序是 Urban VPN Proxy，在 Google Chrome 网上应用店的评分为 4.7 星。它被宣传为”访问任何网站的最佳安全免费 VPN，并能解锁内容”。其开发者是一家位于特拉华州、名为 Urban Cyber Security Inc. 的公司。在 Microsoft Edge 加载项市场中，它拥有 130 万次安装。 尽管声称允许用户”保护您的在线身份、保持安全并隐藏您的 IP 地址”，但在 2025 年 7 月 9 日，当版本 5.5.0 发布时，一项更新被推送给了用户。该版本默认启用了通过硬编码设置实现的 AI 数据收集功能。 具体而言，这是通过一个定制的执行器 JavaScript 来实现的，该脚本会针对每个目标 AI 聊天机器人（例如 chatgpt.js、claude.js、gemini.js）触发，以拦截和收集安装了该扩展程序的用户每次访问任何目标平台时的对话。 一旦脚本被注入，它会覆盖用于处理网络请求的浏览器 API——fetch() 和 XMLHttpRequest()——以确保每个请求首先通过扩展程序的代码路由，从而捕获对话数据，包括用户的提示词和聊天机器人的回复，并将其外泄到两个远程服务器（”analytics.urban-vpn[.]com” 和 “stats.urban-vpn[.]com”）。 该扩展程序捕获的具体数据列表如下： 用户输入的提示词 聊天机器人的回复 对话标识符和时间戳 会话元数据 使用的 AI 平台和模型 “Chrome 和 Edge 扩展默认会自动更新，” Koi Security 的 Idan Dardikman 在今天发布的一份报告中表示。”那些为了其宣称的 VPN 功能而安装了 Urban VPN 的用户，某天醒来时会发现新代码正在悄悄收集他们的 AI 对话记录。” 值得一提的是，截至 2025 年 6 月 25 日，Urban VPN 更新的隐私政策提到，它收集这些数据是为了增强安全浏览功能和用于营销分析，并且对所收集的 AI 提示词进行的任何其他二次使用都将在去标识化和匿名化的数据上进行—— “作为浏览数据的一部分，我们将收集最终用户查询或由 AI 聊天提供方生成的提示词和输出。也就是说，我们只对 AI 提示词和您与聊天 AI 互动的结果感兴趣。由于 AI 提示词所涉数据的性质，可能会处理一些敏感的个人信息。然而，此处理的目的并非收集个人或可识别数据。我们无法完全保证去除所有敏感或个人信息，但我们采取措施过滤或消除您可能通过提示词提交的任何标识符或个人数据，并对数据进行去标识化和聚合处理。” 与其共享”网络浏览数据”的第三方之一，是一家名为 BIScience 的关联广告情报和品牌监测公司。该 VPN 软件制造商指出，该公司使用原始（非匿名化）数据来创建”用于商业用途并与商业合作伙伴共享”的洞察报告。 值得注意的是，BIScience在今年 1 月初曾被一名匿名研究员点名，因其在具有误导性的隐私政策披露下，收集用户的浏览历史记录（或称点击流数据）。 据称，该公司向合作的第三方扩展开发者提供软件开发工具包，以收集用户的点击流数据，这些数据被传输到其控制下的 sclpfybn[.]com 域名及其他端点。 “BIScience 及其合作伙伴利用了 Chrome 网上应用店政策中的漏洞，主要是有限使用政策中列出的例外情况，即’批准的用例’，” 该研究员指出，并补充说他们”开发了据称需要访问浏览历史记录的用户端功能，以主张’为提供或改进您的单一目的所必需’的例外情况。” 在扩展程序的列表页面上，Urban VPN 还突出宣传了一项”AI 保护”功能，据称可以检查提示词是否包含个人数据，检查聊天机器人的回复中是否有可疑或不安全链接，并在用户提交提示词或点击链接前显示警告。 虽然这种监控被包装为防止用户意外分享任何个人信息，但开发者未提及的是，无论此功能是否启用，数据收集都会发生。 “该保护功能偶尔会显示关于与 AI 公司共享敏感数据的警告，” Dardikman 说。”而收集功能却将那些完全相同的敏感数据——以及其他所有内容——发送到 Urban VPN 自己的服务器，在那里被出售给广告商。该扩展程序警告您不要与 ChatGPT 共享您的电子邮件，同时却将您的整个对话内容外泄给数据中间商。” Koi Security 表示，他们在同一发布者的另外三款 Chrome 和 Microsoft Edge 扩展中也观察到了完全相同的 AI 数据收集功能，这使得其总安装基数超过八百万： 1ClickVPN Proxy Urban Browser Guard Urban Ad Blocker 所有这些扩展程序（Edge 版的 Urban Ad Blocker 除外）都带有”精选”徽章，给用户一种印象，即它们遵循了平台的”最佳实践，并符合高标准的用户体验和设计”。 “这些徽章向用户表明，这些扩展程序已经过审核并符合平台质量标准，” Dardikman 指出。”对许多用户来说，精选徽章是决定安装还是忽略一个扩展程序的关键——这是来自 Google 和 Microsoft 的隐含认可。” 这些发现再次表明，与扩展程序市场相关的信任如何被滥用以大规模收集敏感数据，尤其是在用户越来越多地与 AI 聊天机器人分享深度个人信息、寻求建议和讨论情感的时候。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队披露了一项”长达数年”的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。 此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。 亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。 亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示：”这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。” 已发现这些攻击在五年期间利用了以下漏洞和策略： 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318），并针对配置不当的边缘网络设备。 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084 和 CVE-2023-22518），并持续针对配置不当的边缘网络设备。 2024年：利用Veeam漏洞（CVE-2023-27532），并持续针对配置不当的边缘网络设备。 2025年：持续针对配置不当的边缘网络设备。 根据亚马逊的说法，此次入侵活动主要针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台以及基于云的项目管理系统。 考虑到威胁行为者有能力将自己战略性地部署在网络边缘以截取传输中的敏感信息，这些努力很可能是为了大规模窃取凭据。遥测数据还发现了一些被描述为针对亚马逊网络服务（AWS）基础设施上托管的配置不当客户网络边缘设备的协同攻击尝试。 “网络连接分析显示，由攻击者控制的IP地址与运行客户网络设备软件的受入侵EC2实例建立了持久连接，”摩西说。”分析揭示了与跨多个受影响实例的交互式访问和数据检索相一致的持久连接。” 此外，亚马逊表示观察到针对受害组织在线服务的凭据重放攻击，作为试图更深入渗透目标网络的一部分。尽管评估认为这些尝试并未成功，但它们进一步证实了上述假设，即对手正在从受入侵的客户网络基础设施中窃取凭据，用于后续攻击。 整个攻击过程如下： 入侵托管在AWS上的客户网络边缘设备。 利用本机数据包捕获功能。 从截获的流量中收集凭据。 针对受害组织的在线服务和基础设施重放凭据。 建立持久访问以进行横向移动。 凭据重放攻击的目标遍及北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。 “攻击目标显示了对能源行业供应链的持续关注，包括直接运营商和有权访问关键基础设施网络的第三方服务提供商，”摩西指出。 有趣的是，该入侵集群的基础设施（91.99.25[.]54）与Bitdefender追踪的另一个名为”Curly COMrades”的集群存在重叠，该集群被认为自2023年底以来一直与俄罗斯利益保持一致。这增加了两种集群可能代表GRU开展的更广泛行动中互补操作的可能性。 摩西说：”这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久化和逃避——符合GRU由专门子集群支持更广泛行动目标的运作模式。” 亚马逊表示已识别并通知了受影响的客户，同时阻止了针对其云服务的活跃威胁行为者操作。建议组织审计所有网络边缘设备是否有异常的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭据重放攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国内政部长洛朗·努涅斯周五宣布，威胁行为者入侵了内政部的电子邮件服务器。 此次攻击是在12月11日至12日夜间被发现的。根据法国内政部长的说法，攻击者访问了一些文档文件，但数据是否被盗尚未得到证实。 努涅斯对RTL电台表示：”发生了一起网络攻击。攻击者能够访问一些文件……但没有证据表明这些文件被严重泄露。” 努涅斯补充说，政府已对此事件展开调查，目前调查仍在进行中。 他补充道：”我们没有发现严重泄露的证据。我们正在进行调查，包括司法调查，最重要的是，我们提高了安全级别。我们所有人员访问信息系统的程序都已收紧。” 法国内政部长没有分享有关此次攻击的技术细节。 针对此次安全漏洞，内政部加强了安全措施，并强化了其所有信息系统的访问控制。 当局正在探讨此次网络攻击的所有可能性，包括外国干涉、黑客活动主义或网络犯罪，调查正在进行以确定其来源。 今年4月，法国政府将一项针对十几个法国实体的、长达四年的黑客攻击活动归咎于与俄罗斯有关的APT28组织。法国政府透露，这个与俄罗斯有关的APT28组织攻击或入侵了十几个政府组织和其他法国实体。2024年，据观察该组织攻击了OT组织，并与针对亚洲和欧洲60个实体的网络攻击有关联。 自2021年以来，APT28一直针对或入侵法国的部级机构、地方政府、国防科技工业基础部门、航空航天、研究机构、智库和金融实体。2024年，其攻击主要针对政府、外交和研究部门，其中一些攻击活动专门针对法国政府组织。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  委内瑞拉国有石油公司——委内瑞拉石油公司（PDVSA）上周末遭遇网络攻击，扰乱了其出口业务。 委内瑞拉国有石油公司PDVSA上周末遭遇网络攻击，出口业务受到干扰。该公司表示，该事件仅影响部分行政系统，未影响运营。 该公司在Telegram上发布的一份声明中称：”得益于PDVSA专业人才的技术能力，运营区域未受到任何影响；攻击仅限于其行政系统。” PDVSA表示，安全协议防止了供应或出口中断，并将此次网络事件定性为一次试图的侵犯行为，与美国涉嫌企图扣押委内瑞拉石油有关。 声明继续写道：”我们坚决反对这种由外国势力策划的可耻行径。” 委内瑞拉政府将此次安全事件定性为企图攻击”主权能源发展的权利”。声明最后称：”必须指出，这已不是美国政府联合极端主义势力首次试图破坏国家稳定，夺走委内瑞拉人民的圣诞节。” PDVSA指示员工关闭电脑、断开外部设备连接、禁用WiFi和Starlink，同时加强了其设施的安全措施。 彭博社报道称：”知情人士引述看到的一份内部备忘录称，PDVSA告诉员工关闭电脑，断开外部硬件连接，并切断WiFi和Starlink连接。自周日以来，公司设施的安全措施也得到了加强。””该公司周一在一份声明中表示，已挫败了一起旨在扰乱其运营的’破坏企图’。声明补充说，石油产量未受影响。” 这种应对措施通常与正在进行的勒索软件攻击有关。PDVSA的一位消息人士告诉路透社，该公司几天前检测到勒索软件攻击，而杀毒软件的修复措施最终导致整个行政系统瘫痪。 一位公司消息人士告诉路透社：”（货物）无法交付，所有系统都瘫痪了。” 此次网络攻击发生之际，正值委内瑞拉和美国之间紧张局势升级，此前美国最近扣押了一艘运载委内瑞拉原油的受制裁油轮，这是自2019年美国外国资产控制办公室（OFAC）制裁PDVSA以来的首次。PDVSA指责美国及其国内合作者策划了此次攻击以破坏该国稳定，声称这是夺取委内瑞拉石油战略的一部分。该国有石油公司强烈反对所谓的侵犯行为，将其定性为对委内瑞拉主权能源发展的攻击。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  在遭受勒索软件攻击仅三个月后，朝日集团控股正考虑对其网络安全架构进行重大调整。 这家日本酿酒巨头的首席执行官胜木淳于12月15日向彭博社表示，已决定将网络安全提升为最高管理优先级，并考虑在集团内部设立专门的网络安全部门。 此项决策源于今年9月发生的勒索软件攻击事件，该事件导致包括150万朝日客户在内的200万人个人信息泄露，并引发至少持续至2026年2月的运营中断。 自称Qilin的勒索软件组织发动的此次攻击，入侵了朝日集团的核心系统，对运行中的服务器进行加密并感染了网络内的员工设备。这严重干扰了其在日本的关键业务运营，迫使公司暂时中止自动化订单处理和发货流程。 “我们原以为已采取充分防护措施，但它们轻易就被攻破了，”胜木在接受彭博社视频采访时承认道。 作为预计持续至明年2月的恢复计划的一部分，朝日集团控股正着手淘汰虚拟专用网络的使用，转而采用更严格的零信任模型——该模型假定网络内部的任何用户或设备均不可自动信任。 胜木淳还表示，公司应在2月后转向“重建阶段”。他补充道：“我们不仅致力于将发货量恢复至以往水平，更力求实现超越。” 此次网络攻击的首波财务影响现已显现：朝日集团控股在2025年11月的日本酒类销售额同比下滑20%。受9月29日网络攻击引发的系统中断影响，该公司已推迟披露其运营销售业绩。 由于网络攻击对系统造成的持续影响，该公司已暂停按类别和品牌发布月度销售数据。11月是其连续第三个月跳过此类披露，理由是无法准确汇编相关数据。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  英国信息专员办公室（ICO）对LastPass UK处以120万英镑罚款，此前该公司发生的数据泄露事件影响了160万人。 根据英国数据保护监管机构的调查，这家密码管理公司未能实施足够健全的技术和安全措施，导致黑客得以入侵其备份数据库。 由此引发了两起发生在2022年8月的事件。在第一起事件中，黑客获取了一名LastPass员工的公司笔记本电脑，并随后访问了公司的开发环境。 尽管攻击者未能成功窃取个人信息，但他们确实窃取了加密的公司凭证。LastPass当时认为加密密钥仍然安全，因为它们存储在黑客无法访问的公司网络某处。 随后，威胁行为者盯上了一名拥有解密密钥权限的高级员工。他们通过第三方流媒体服务的已知漏洞，成功访问了该员工的个人设备。为获取该员工的公司凭证，攻击者安装了键盘记录程序，并通过使用受信任设备Cookie绕过了多重身份验证。 获得员工的”主密码”后，黑客得以访问该员工的个人和商业LastPass保管库，其中包含亚马逊网络服务访问密钥和解密密钥。结合所收集的所有信息，攻击者最终提取了备份数据库的内容，该库包含160万人的个人信息，涵盖姓名、电子邮件、电话号码及存储的网站URL等。 ICO调查发现，由于LastPass的”零知识”加密系统，没有证据表明加密密码和其他凭证能被黑客解密。这意味着访问密码管理器保管库的主密码仅存储在员工的本地设备中，从未与LastPass共享。 针对这些事件及数据泄露造成的影响，ICO对LastPass处以120万英镑罚款。 英国信息专员约翰·爱德华兹在声明中表示：”LastPass用户有权期待其委托给公司的个人信息得到安全保护。然而，该公司未能达到这一预期，因此今天我们宣布了相应比例的罚款。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起活跃钓鱼活动的细节，该活动通过投递恶意ISO光盘镜像传播Phantom窃取程序，广泛针对俄罗斯多个行业领域。这项被Seqrite实验室代号为”Operation MoneyMount-ISO”的行动，主要锁定金融和会计实体，采购、法律、薪资等垂直领域成为次要目标。 这家网络安全公司表示：”该活动采用虚假支付确认诱饵，通过多阶段附件链传递Phantom信息窃取恶意软件。” 感染链始于伪装成合法财务通讯的钓鱼邮件，催促收件人确认近期银行转账。邮件附带的ZIP压缩包声称包含补充细节，实则内含ISO文件，启动后将在系统上挂载为虚拟CD驱动器。 该ISO镜像（”Подтверждение банковского перевода.iso”或”银行转账确认.iso”）作为可执行文件，旨在通过嵌入的DLL（”CreativeAI.dll”）启动Phantom窃取程序。Phantom窃取程序能够从基于Chromium的浏览器中安装的加密货币钱包浏览器扩展及桌面钱包应用提取数据，同时窃取文件、Discord身份验证令牌，以及浏览器相关密码、Cookie和信用卡详情。 它还能监控剪贴板内容、记录键盘输入，并运行系列检测以识别虚拟化、沙箱或分析环境，若检测到则中止执行。数据外泄通过Telegram机器人或攻击者控制的Discord网络钩子实现。此外，该窃取程序支持向FTP服务器传输文件。 近几个月来，俄罗斯组织（主要是人力资源和薪资部门）还遭受了另一类钓鱼邮件攻击，这些邮件利用与奖金或内部财务政策相关的诱饵，部署名为DUPERUNNER的未公开植入程序，用于加载开源命令控制框架AdaptixC2。 这项被命名为DupeHike的活动被归因于威胁集群UNG0902。Seqrite指出：”ZIP文件被用作鱼叉式网络钓鱼感染的初步来源，内含PDF和LNK扩展名的诱饵文件，下载植入程序DUPERUNNER，最终执行Adaptix C2信标。”LNK文件（”Документ_1_О_размере_годовой_премии.pdf.lnk”或”Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”）进而使用”powershell.exe”从外部服务器下载DUPERUNNER。该植入程序的主要职责是检索并显示诱饵PDF，并通过将其注入”explorer.exe”、”notepad.exe”和”msedge.exe”等合法Windows进程来启动AdaptixC2。 其他钓鱼活动则针对俄罗斯金融、法律和航空航天领域，分发Cobalt Strike及Formbook、DarkWatchman、PhantomRemote等能够实施数据窃取和键盘操控的恶意工具。已遭入侵的俄罗斯公司邮件服务器被用于发送鱼叉式钓鱼信息。 法国网络安全公司Intrinsec将针对俄罗斯航空航天行业的入侵活动归因于与乌克兰利益一致的黑客行动者。该活动于2025年6月至9月间被发现，与Hive0117、Operation CargoTalon及Rainbow Hyena（又称Fairy Trickster、Head Mare和PhantomCore）存在重叠。部分攻击还被发现会将用户重定向至托管在星际文件系统（IPFS）和Vercel上的钓鱼登录页面，旨在窃取与Microsoft Outlook及俄罗斯航空航天公司Bureau 1440相关的凭证。 Intrinsec表示：”2025年6月至9月间观测到的这些活动……旨在入侵在当前俄乌冲突中积极与俄罗斯军队合作的实体，这些实体大多受到西方制裁。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发生的两起金融机构数据泄露事件，导致数百万人的敏感个人信息遭到曝光。 在总部位于旧金山的金融科技公司Prosper Marketplace遭遇的安全事件中，超过1300万人的信息被黑客获取。该公司上周就此次网络攻击发布声明，并于本月向多个州监管机构发送通知——该攻击最初于9月1日被发现。 Prosper已通报执法部门，调查显示黑客在2025年6月至8月期间获取了包含个人信息的资料。公司声称”没有证据表明客户账户和资金遭到未经授权的访问”。但失窃信息涵盖姓名、社会安全号码、国家身份证号、银行账户号码、财务申请信息、驾照号码、结婚/出生证明、护照号码、税务信息及支付卡号码等核心数据。 据统计，得克萨斯州超110万人、南卡罗来纳州23.6万人、华盛顿州24.9万人受到影响。Prosper发言人确认共有1310万人受此次数据泄露影响。 成立于2005年的Prosper以点对点借贷业务为核心，累计已为超200万人提供280亿美元个人贷款。公司现为事件受害者提供两年身份保护服务，截至本周一尚未有黑客组织宣称负责。 另一起事件中，汽车经销商服务商700Credit于上周五披露，10月25日发生的数据泄露影响了5,836,521人。这家为汽车经销商提供信用报告、合规产品、身份验证和欺诈检测解决方案的密歇根州公司表示，IT团队在事发当日发现黑客复制了其系统内的信息，包括姓名、社会安全号码、出生日期和地址等敏感数据。 该公司在声明中强调：”事件发生后迅速启动调查响应，评估系统安全性并识别潜在受影响人员，已向联邦执法部门和联邦贸易委员会通报情况。”目前正为受害者提供一年身份保护服务。 值得注意的是，此次披露发生在华尔街刚经历房地产贷款服务商SitusAMC网络攻击的三周后。过去24个月内，已发生数十起针对Patelco、Mr. Cooper等金融机构的网络安全事件，凸显金融行业正面临持续严峻的数据安全挑战。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PCPcat的新型恶意软件，通过针对性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小时内成功攻陷了 5.9 万余台服务器。 该恶意软件以 Next.js 部署环境为攻击目标，利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，实现无需身份验证的远程代码执行。攻击过程采用原型污染（prototype pollution）和命令注入（command injection）技术，在易受攻击的服务器上执行恶意命令。 这场攻击活动的成功率高达64.6%，在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序，每批次测试2,000个目标，每30至60分钟运行一次此类扫描。 该恶意软件通过位于新加坡的一个命令控制服务器进行操作，该服务器协调着三个主要端口上的活动。 666 端口：恶意载荷分发中心 888 端口：处理反向隧道连接 5656 端口：运行主控制服务器，负责分配攻击目标并收集窃取的数据 安全研究人员在对 Docker 蜜罐进行持续监控时，通过对 C2 服务器的侦察，发现了该攻击行动的完整基础设施。 Beelzebub 的安全分析师指出，恶意软件在启动完整攻击链前，会先通过一条简单命令测试目标服务器是否存在漏洞。 一旦发现易受攻击的服务器，PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件，并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。 窃取凭证后，恶意软件会尝试安装额外工具以维持长期控制，具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道，即便初始漏洞被修复，攻击者仍可保持访问权限。 漏洞利用机制与代码执行流程 攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷，该载荷通过操纵 JavaScript 原型链，将命令注入子进程执行函数。恶意载荷结构如下： 该载荷可强制服务器执行攻击者指定的任意命令，执行结果会通过特殊格式的重定向响应头返回，使恶意软件能在不引发即时警觉的情况下提取数据。 随后，PCPcat 会系统性搜索高价值文件，包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。 为实现持久化控制，恶意软件会创建多个系统服务，这些服务在被终止或服务器重启后会自动重启，持续运行代理工具和扫描工具，使受攻陷服务器始终处于僵尸网络中。 相关组件会安装在多个位置，确保至少有一个副本能在安全清理操作中幸存。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Plesk for Linux 中发现了一个严重的安全漏洞，可能允许用户在受影响的服务器上获取 root 访问权限。 该漏洞编号为 CVE-2025-66430，存在于 Plesk 的”密码保护目录”功能中，允许攻击者将任意数据注入 Apache 配置文件。 该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞，攻击者可以将恶意数据注入 Apache 配置，随后以 root 权限执行命令。 这代表一个关键的本地权限提升漏洞，对依赖 Plesk 进行服务器管理的组织构成了重大风险。 CVE ID 漏洞类型 受影响组件 CVE-2025-66430 本地权限提升 密码保护目录 任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。 这使得攻击者能够以最高的系统权限执行任意命令，可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。 如果此漏洞未修补，运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力，是服务器管理环境中最关键的安全威胁之一。 Plesk 已发布修复此漏洞的安全更新。 受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。 针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布，管理员应立即安装。为修复此漏洞，组织应立即更新其 Plesk 安装。 官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。 系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。 组织应审查”密码保护目录”功能的访问控制，并确保只有授权用户才能访问。 此外，建议监控日志中是否存在可疑的配置更改或命令执行尝试。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 “Frogblight” 的复杂安卓银行木马已构成重大威胁，主要针对土耳其用户，采用欺骗手段窃取银行凭证和个人数据。 该恶意软件于2025年8月被发现，最初伪装成通过官方政府门户访问法庭案件文件的应用，后来演变为仿冒 Chrome 等流行应用的形式。 该恶意软件通过精心策划的社会工程手段进行传播。受害者会收到网络钓鱼短信，谎称其涉及法庭案件，短信中的链接会将用户导向旨在分发恶意应用的虚假政府网站。 一旦安装，”Frogblight” 便会请求访问敏感权限，包括读取和发送短信、访问存储空间以及获取设备信息。 当用户启动该应用时，欺骗行为仍在继续：它会通过嵌入式浏览器视图显示真实的政府网页，以制造一种虚假的真实感。 Securelist 的分析师指出，”Frogblight” 是一种多功能威胁，兼具银行盗窃能力和广泛的间谍软件功能。 该恶意软件会主动监控和记录短信、跟踪已安装的应用程序、监视设备文件系统，并能够向外部联系人发送任意文本消息。 最令人担忧的或许是，该恶意软件显示出持续活跃的开发迹象，在2025年9月期间增加了新功能，这表明其可能采用恶意软件即服务模式进行分发。 感染机制与指令架构 核心感染机制依赖于在受感染的 WebView 环境中注入 JavaScript 代码。当用户在恶意应用内显示的虚假政府门户网站上进行交互时，”Frogblight” 会悄无声息地捕获所有用户输入。 该恶意软件专门针对在线银行登录尝试，无论用户选择如何，都会在两秒延迟后自动启动银行登录屏幕。 与控制服务器的通信通过使用 Retrofit 库的 REST API 调用进行，恶意软件在活动期间每两秒向其控制器发送一次信号。 早期版本使用 REST API 端点来处理诸如获取待发消息、确认指令执行以及上传窃取的文件和数据等任务。 后续变种则转向使用 JSON 格式指令的 WebSocket 连接，以增强隐蔽性和持久性。 该恶意软件通过多个 Android 服务实现了复杂的持久化机制。AccessibilityAutoClickService 可防止应用被移除，同时打开攻击者指定的网站。PersistentService 负责处理与命令控制服务器的持续交互，而 BootReceiver 则通过任务调度和警报配置确保设备重启后恶意软件仍能持续存在。 “Frogblight” 还展示了其他规避技术，例如检测模拟器环境，以及使用地理围栏机制在美国境内禁用其功能。 在新版本的安卓系统上，该应用图标会变更为 “Davalarım”（土耳其语短语），而在较旧的系统上则保持隐藏。 卡巴斯基产品的检测签名包括 HEUR:Trojan-Banker.AndroidOS.Frogblight 及相关变种，有助于安全团队识别和拦截这一新兴威胁。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周五针对iOS、iPadOS、macOS、tvOS、watchOS、visionOS及其Safari网络浏览器发布了安全更新，以修复两个已被在野利用的安全漏洞。其中一个漏洞与谷歌本周初在Chrome浏览器中修复的漏洞相同。 漏洞信息如下： CVE-2025-43529（CVSS评分：暂无）：WebKit中的释放后使用漏洞，处理恶意构造的网页内容时可能导致任意代码执行。 CVE-2025-14174（CVSS评分：8.8）：WebKit中的内存损坏问题，处理恶意构造的网页内容时可能导致内存损坏。 苹果表示已意识到这些缺陷“可能已在针对iOS 26之前版本的特定目标个体的高度复杂攻击中被利用”。值得注意的是，CVE-2025-14174正是谷歌于2025年12月10日在其Chrome浏览器中修复的同一漏洞。谷歌将其描述为其开源图形层引擎库的Metal渲染器中存在的越界内存访问问题。 苹果安全工程与架构团队和谷歌威胁分析小组因发现并报告CVE-2025-14174漏洞获得致谢，而CVE-2025-43529漏洞由谷歌TAG发现。 考虑到这两个漏洞均影响WebKit渲染引擎（iOS和iPadOS上所有第三方浏览器包括Chrome、Microsoft Edge、Mozilla Firefox等均使用该引擎），它们很可能被用于高度定向的商业间谍软件攻击。 漏洞已在以下版本和设备中修复： iOS 26.2与iPadOS 26.2：iPhone 11及更新机型、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第八代iPad及更新机型、第五代iPad mini及更新机型 iOS 18.7.3与iPadOS 18.7.3：iPhone XS及更新机型、13英寸iPad Pro、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第七代iPad及更新机型、第五代iPad mini及更新机型 macOS Tahoe 26.2：运行macOS Tahoe的Mac电脑 tvOS 26.2：Apple TV HD与Apple TV 4K（所有型号） watchOS 26.2：Apple Watch Series 6及更新机型 visionOS 26.2：Apple Vision Pro（所有型号） Safari 26.2：运行macOS Sonoma与macOS Sequoia的Mac电脑 通过此次更新，苹果已在2025年累计修复了九个在野被利用的零日漏洞，包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201、CVE-2025-43200和CVE-2025-43300。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州皮尔斯县图书馆系统遭遇网络攻击，导致超过34万人的信息泄露。 皮尔斯县图书馆系统本周在其网站及多个州发布了违规通知信。这些信件涉及一起网络安全事件，该事件于4月21日首次被发现，迫使图书馆系统关闭了所有系统。 截至5月12日，该机构确认黑客入侵其系统并窃取了图书馆员工及客户信息。该图书馆系统共有19个分馆，服务西雅图郊外近百万人口的县区。 通知信称，调查显示黑客在4月15日至4月21日期间入侵了机构系统。泄露信息因用户身份而异：图书馆服务用户的姓名和出生日期遭泄露；当前或前任员工的失窃数据则包括社会安全号码、财务账户信息、驾照号码、信用卡信息、护照号码、健康保险信息及医疗数据。 今年5月，INC勒索软件团伙宣称对此次攻击负责。该团伙在2025年已针对政府系统发动多起严重攻击。 皮尔斯县此前曾在2023年遭遇针对公共巴士服务的勒索软件攻击，导致日均1.8万人使用的系统瘫痪。 近年来，公共图书馆系统反复遭受勒索软件团伙攻击，攻击者认为图书馆在线服务的需求将迫使政府支付赎金。 除了对大型系统等高知名度目标的大规模攻击外，美国多个州及加拿大的众多图书馆都曾因勒索软件攻击导致服务中断。 全球图书馆频遭攻击的状况甚至促使美国官员采取专项措施，专门收集关于网络安全和高级防火墙服务的数据，以帮助图书馆更好地防御黑客攻击。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据称与巴勒斯坦武装组织哈马斯有关联的黑客组织被指控使用含恶意软件的文档，入侵了与阿曼、摩洛哥及巴勒斯坦权力机构相关的政府及外交实体。 帕洛阿尔托网络公司旗下Unit 42团队周四发布了一份关于该组织（其称为“灰兔”）的报告。该公司发言人向新闻媒体表示，基于多年来对该组织活动的分析，他们将其归属于哈马斯，称其“活动始终与哈马斯的战略利益保持一致”。 Unit 42指出，该组织近期活动涉及一种名为AshTag的新型恶意软件，使其得以从中东多国关键实体窃取信息。报告称，自2020年以来，“灰兔”组织的攻击手段日益复杂，发展了包括基础设施混淆等更高级的黑客技术及新工具。 该恶意软件通常伪装成涉及土耳其与巴勒斯坦实体关系的合法文档。尽管在巴以冲突期间其他哈马斯关联的黑客活动有所减少，“灰兔”组织却持续活跃，甚至在2025年10月停火后仍未停止。 AshTag恶意软件已使用多年，在10月宣布的加沙停火后仍被用于攻击。Unit 42观察到停火后该组织在某些受害环境中的直接操作活动。该恶意软件允许黑客提取文件、在受害设备下载内容并执行进一步操作。 最新攻击活动中使用的文档聚焦于土耳其与巴勒斯坦政治实体的关系，研究人员称这一转变表明土耳其实体可能成为其新的关注目标。 诱饵文档标题涉及摩洛哥与土耳其的合作关系、土耳其国防计划、哈马斯在叙利亚的活动以及巴勒斯坦政府事务等。 攻击始于一个受感染的PDF诱饵文件，引导目标下载包含恶意负载的RAR压缩包。 该组织已进行多项改进以提升操作安全性，采用不同策略使其活动更隐蔽地混入正常网络流量中。 在多起案例中，该组织利用恶意软件入侵受害系统后，直接通过键盘操控进行数据窃取。Unit 42曾发现攻击者直接从受害者邮箱下载文档——重点获取特定的外交相关文件。 研究人员表示：“‘灰兔’组织仍是持续活跃的间谍行为体，其明显意图是在近期地区冲突中继续运作——这与活动显著减少的其他关联威胁组织不同。特别是近两年来，该威胁组织的活动凸显了其持续进行情报收集的执着力。” 其他网络安全公司以“WIRTE”为名追踪该组织活动，并将其与“加沙网络组织”“Molerats”等更大团伙关联。研究人员此前曾将哈马斯关联黑客与针对以色列教育机构的SysJoker恶意软件联系起来。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI周三透露，模型性能的激增已重塑了公司的内部规划。 根据一份新报告，通过CTF进行的能力评估显示，其性能从2025年8月GPT-5的27%提升至2025年11月GPT-5.1-Codex-Max的76%。 OpenAI警告称，一些即将推出的系统可能达到其“准备框架”中的“高”能力水平，这意味着它们最终可能协助完成从复杂入侵操作到零日漏洞利用开发等任务。 ThreatAware联合创始人兼首席执行官乔恩·阿博特表示，这一警告突显了关注基础防护的必要性。 “OpenAI警告新模型带来‘高’网络安全风险，这正是为什么确保安全基础绝对关键。AI可能正在加速攻击步伐，但我们最好的防御方式仍然是首先夯实基础。” 该公司还表示，正在通过开发多层次防护措施来应对这种可能性，旨在将先进能力引导至防御性结果。OpenAI补充说，其主要目标是加强网络安全团队的地位，这些团队目前仍面临人手不足和资源匮乏的问题。 加强行业整体理解 为管理网络工作流程中固有的双重用途风险，该公司概述了一个基于多个组件的深度防御策略： 访问控制、基础设施加固、出口控制和监控 引导模型避开有害请求，同时保持对教育和防御的实用性培训 能够阻止或重定向不安全活动的全系统检测工具 由外部专家进行的端到端红队测试 “这些防护措施旨在随着威胁形势的发展而演变，”该公司表示。 阿博特指出，能力的提升使得长期存在的威胁更加危险。 “传统威胁与AI实现的规模和精度相结合，形成了一种特别有害的组合，”他解释道。 “随着模型能够开发可用的零日远程漏洞利用或协助复杂、隐蔽的入侵，犯罪分子的入门门槛已大幅降低。” OpenAI表示，正在与全球专家协调，以改进防御性AI的实际应用，并正在为合格用户准备可信访问计划。 另一项名为“Aardvark”的计划已进入封闭测试阶段。这一智能安全研究代理可以扫描代码库、识别漏洞并提出修复方案，并在开源项目中发现了新的CVE漏洞。 OpenAI表示，还将启动一个“前沿风险委员会”，就负责任的能力使用提供建议，并通过“前沿模型论坛”进一步合作，以完善共享威胁模型并改进整个生态系统的缓解策略。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场涉及19个Visual Studio Code扩展的攻击活动，这些扩展在其依赖文件夹中嵌入了恶意软件。 该活动自2025年2月开始活跃，于12月2日被识别。攻击者利用一个合法的npm包来伪装恶意文件，并将恶意二进制文件捆绑在一个伪装成PNG图像的存档文件中。 ReversingLabs观察到的这种手法使攻击者能够绕过常规检查，直接针对开发人员。 网络钓鱼手段的演变 2025年以来，一波新的恶意VS Code扩展不断传播。ReversingLabs指出，VS Code Marketplace上的可疑上传数量持续上升。 一些扩展模仿流行工具，另一些则宣传新功能但暗中执行恶意代码。即使是受信任的扩展也可能被攻陷：今年7月，一个恶意拉取请求通过添加有害依赖项污染了一个合法项目。 在这次新的攻击活动中，攻击者在扩展的node_modules文件夹中嵌入了经过修改的npm包path-is-absolute。 该原始包自2021年以来已被下载超过90亿次，但修改后的版本包含一个类，旨在VS Code启动时触发恶意软件。其目的是解码存储在名为“lock”的文件中的JavaScript投放器。 攻击者还包含了一个名为banner.png的文件，该文件看似无害，但实际上是一个包含两个二进制文件的存档。 投放器通过常见的离地生存二进制文件（LOLBIN）cmstp.exe启动这些文件。其中一个可执行文件通过模拟按键操作来关闭进程，另一个则是基于Rust的木马程序，截至报道时仍在分析中。 对开发人员日益增长的威胁 ReversingLabs表示，虽然大多数恶意扩展依赖修改后的path-is-absolute依赖项，但其他四个扩展则利用了npm包@actions/io，将有效负载存储在TypeScript和映射文件中，而非使用伪装的PNG文件。 尽管技术手段不同，但目标一致：通过受信任的组件秘密执行恶意软件。 ReversingLabs警告称，检测恶意VS Code扩展已变得日益紧迫。该公司表示，检测数量从2024年的27个增加到2025年前10个月的105个。 为降低风险，建议团队： 在安装前检查扩展 审计所有捆绑的依赖项 使用能够评估包行为的安全工具 “保持安全并非完全避免使用扩展，而是要认识到即使受信任的组件也可能被篡改，”ReversingLabs表示。 “所有提及的扩展均已向微软报告。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员借助一项已有 20 年历史的攻击方法，成功从一款经济型智能手表中提取了固件，该方法最初是被用于窃取网络设备的数据。 这项名为 “指示灯（Blinkenlights）” 的技术，已被改造适配现代薄膜晶体管屏幕。 Quarkslab的分析师从当地商店以约 12 欧元的价格购入一款智能手表，经检测发现其配备的是虚假健康传感器，无法实现血压测量和睡眠监测功能。 该设备搭载JieLi AC6958C6 系统级芯片，并通过低功耗蓝牙进行通信，这一特性最初被视为提取固件的可行途径。 在对智能手表展开分析后，研究人员发现了一个表盘解析器漏洞 —— 该解析器未能对偏移边界进行有效校验。 这一安全缺陷可被利用来制造越界读取的情形，迫使设备将任意内存内容直接显示在屏幕上。 夸克实验室分析师指出，他们是在对自定义表盘的上传流程进行逆向工程后发现这一漏洞的，同时还发现固件解析器未对超出表盘二进制数据范围的图像偏移量进行验证。 研究团队在最终采用 “指示灯” 技术前，尝试了多种提取方案。 他们先是对杰理芯片的空中升级功能展开探索，却发现该功能仅支持固件上传，不支持固件下载。 设备所采用的认证机制基于蓝牙的 E1 传统功能，且内置硬编码参数，研究人员虽成功复现了这一机制，但这条路径最终未能实现固件提取。 现代版 “指示灯” 技术的实现方案 该团队搭建了一套定制硬件装置，核心为一块超频至 200 兆赫兹的树莓派 Pico 开发板，用于捕获智能手表主芯片向 NV3030B 屏幕控制器传输的数据。 这款屏幕采用 25 兆赫兹时钟，以 RGB565 格式传输像素数据，这就需要通过高速采样来精准获取信息。 研究人员将直径仅 0.1 毫米的导线焊接至屏幕连接器，并利用树莓派 Pico 的可编程输入输出（PIO）功能，在时钟上升沿对数据比特进行采样。 为保障高采样率下的运行效率，这款 PIO 程序仅设计了两条指令。 捕获的数据会先存储在树莓派 Pico 的 145000 字节缓冲区中，再通过 USB 串口传输至主机电脑。 为触发固件提取，研究人员制作了恶意自定义表盘，通过篡改偏移量数值，让智能手表读取并显示超出表盘预设数据区域的内存内容。 整个提取过程需要生成多款自定义表盘，每一款针对不同的内存地址。 研究人员在每个表盘里嵌入了包含同步字（0xa5a5a5a5）和魔术字节（0xdeadbeef）的特殊头文件，以此识别捕获到的数据块并验证数据对齐情况。 同时，团队开发了 Python 脚本，实现表盘生成、数据收集以及从零散内存切片中重建完整固件的自动化流程。 这项研究表明，当老旧的攻击技术与创新的漏洞利用手段相结合时，依然能对现代嵌入式设备构成威胁。 相较于昂贵的逻辑分析仪，此次采用的低成本硬件方案（除树莓派 Pico 外几乎无额外开销），在该场景下具备更高的实用性。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据最新研究，一种新发现的安卓恶意软件正在针对西班牙语用户发动攻击，能够将受害者锁在手机外并勒索赎金。 移动安全公司Zimperium的一份报告称，这种被命名为DroidLock的恶意软件，通过推送模仿合法安卓软件包的虚假应用程序的钓鱼网站进行传播。用户被诱骗安装一个投放器应用，该应用随后会部署包含实际恶意软件的次级有效载荷。 一旦激活，DroidLock可以完全控制受害者的手机，在屏幕上显示一条勒索软件风格的信息，威胁用户如果在24小时内不支付赎金就将删除所有文件。 该恶意软件并不加密数据，但研究人员警告，它有能力更改设备的PIN码、密码或生物识别设置——这实际上会使手机无法使用。该恶意软件还利用设备管理员权限来删除数据、静默通知，并利用手机前置摄像头拍摄图像。 此外，DroidLock会使用一个假的安卓更新界面来阻止用户交互，同时恶意活动在后台进行，并且它可以秘密记录受害者的屏幕活动并传输到远程服务器。 Zimperium没有说明有多少用户被感染或支付了赎金，也没有透露谁是这次攻击活动的幕后黑手。 随着黑客部署新技术来欺骗受害者和规避安全措施，移动恶意软件正在迅速发展。 今年10月，研究人员发现了一种名为Herodotus的新型安卓银行木马，它在受感染设备上进行远程控制操作时，通过模仿人类行为来规避检测。 另一种最近被观察到的恶意软件Sturnus，则可以拦截来自包括WhatsApp、Telegram和Signal在内的应用程序的解密信息。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个匿名黑客组织据称入侵了一家据信参与了俄罗斯统一征兵数据库建设工作的、名不见经传的俄罗斯科技公司的服务器。 据俄罗斯反战人权组织“走开”（Idite Lesom）的负责人格里戈里·斯维尔德洛夫称，黑客与他取得了联系，并移交了大量Mikord公司的内部文件，包括源代码、技术和财务记录，以及内部通信。斯维尔德洛夫表示，该组织声称已持续访问Mikord的系统数月之久，并已破坏了该公司部分基础设施。 “走开”组织旨在帮助俄罗斯人逃避征兵和动员，已被莫斯科列为“外国代理人”。斯维尔德洛夫本人因涉嫌散布关于俄罗斯军队的“假新闻”而面临刑事指控。 Mikord公司的网站已瘫痪数日，仅显示一条维护信息。本月早些时候，该公司的主页曾被黑客涂改，黑客当时声称打算将窃取的材料交给记者，之后会公开披露。 这家为政府机构和大型企业提供软件开发和自动化服务的公司，从未公开承认参与开发俄罗斯的新兵役登记系统。但总部位于拉脱维亚的调查媒体《重要故事》（iStories）表示，他们已经核实了泄露的材料，并确认Mikord参与了该项目。 Mikord的负责人拉米尔·加布德拉赫马诺夫向iStories承认公司遭到了黑客攻击。“听着，这种事谁没遇到过？现在很多人都被攻击了，”他告诉该媒体。但对于公司是否参与了军事数据库的工作，他拒绝置评。 俄罗斯国防部周四驳斥了这些报道，称有关入侵的说法“不属实”。该部表示，登记系统“运行正常”，没有发生个人数据泄露事件。该部补充说，该系统经常成为攻击目标，但所有攻击都已被“成功阻止”。 统一征兵数据库中存储了所有适龄服役公民的详细个人数据。该系统旨在简化动员流程，取代地方征兵办公室使用的苏联时期的纸质登记系统。 该黑客组织的身份和来源不明。Recorded Future News无法独立核实黑客提供给俄罗斯媒体和人权组织的文件的真实性。 12月初，疑似俄罗斯黑客曾针对乌克兰的多个国家登记系统——这些系统存储着生物特征数据、财产记录、法院判决、商业信息和税务文件——并短暂中断了乌克兰的数字兵役应用程序“Reserve+”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文