HackerNews

HackerNews 编译，转载请注明出处： 周一，黑客从去中心化金融协议 Balancer 中窃取了价值数百万美元的加密货币。 各方估算数据存在差异，但多数区块链安全公司认为损失已超 1.2 亿美元，其中至少有部分被盗资金为以太坊（ETH）。 作为去中心化金融（DeFi）领域的核心平台，Balancer 最初表示已知晓此次攻击并正展开调查。加密货币安全专家指出，此次事件源于访问控制机制存在漏洞，攻击者利用该漏洞实施了盗窃。 截至周一下午，该公司发布了一份更长的声明，说明攻击始于当天清晨。 “所有可暂停的资金池均已暂停，目前处于恢复模式，” 该公司表示，并提及自身与其他多家加密货币平台存在关联，但无法单方面暂停这些平台的运营。 “Balancer 始终致力于运营安全，不仅经过顶尖公司的全面审计，还长期设立漏洞赏金计划，以激励独立审计人员参与安全检测。我们正与安全及法律团队紧密合作，确保用户资产安全，并将迅速、彻底地开展调查工作。” 目前，该公司仍在联合专家调查事件详情，并计划在适当时候发布事后分析报告。 Balancer 同时警示用户，当前有冒充公司安全团队的欺诈信息在传播，切勿与之互动。 多家与 Balancer 相关的区块链机构已宣布采取措施应对此次事件。Berachain 基金会表示已暂停其网络，团队正采取紧急措施保护用户资产，且成功追回了部分从其平台被盗的资金。其他加密货币平台也采取了类似防护措施。 Balancer 过去曾发生过安全事件，但已接受约 10 次区块链安全公司的审计。 上周，黑客还从另一个去中心化金融平台 Garden Finance 窃取了约 1080 万美元。 其中大部分资金的窃取者据称与朝鲜政府有关联 —— 朝鲜已将加密货币盗窃作为其弹道导弹项目的重要资金来源。 美国、法国、德国、日本等国政府上周发布的一份报告显示，2025 年 1 月至 9 月期间，朝鲜应对至少 16.5 亿美元加密货币被盗事件负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新披露信息显示，自去年年初至今，英国饮用水供应商已遭遇五轮网络攻击，这些攻击全部直接针对供水机构本身，创下了同期记录。这一情况直接印证了英国情报部门的警告 —— 恶意网络行为体对该国关键基础设施的威胁正持续升级。 现行规则漏洞明显 英国饮用水监察局（DWI）公布的数据显示，2024 年 1 月 1 日至 2025 年 10 月 20 日期间，共收到供应商提交的 15 份事件报告，其中 5 起涉及网络安全事件，且影响的是 “《网络与信息系统安全规则》指令管辖范围外系统”，其余 10 起未非网络类运营问题。 问题根源在于现行《网络与信息系统安全规则》的 “高门槛”：仅当网络攻击实际导致供水等基本服务中断时，供应商才必须依法上报。这意味着像 “伏特台风” 这类只潜伏渗透、不直接断供的攻击，企业即便遭遇也无需披露，潜在风险可能被长期掩盖。 改革方案待推进 面对监管滞后，英国政府计划通过拖延已久的《网络安全与韧性法案》解决问题，核心是降低事件上报门槛，让更多潜在风险纳入监管视野。 该法案预计今年提交议会，政府发言人表示：“当前网络威胁复杂且持续，代价高昂，法案将强化防御体系，守住公众依赖的基础服务，保障日常生活正常运行。” 网络安全公司 Sophos 的威胁研究副总裁唐・史密斯表示：“关键基础设施运营商每天都要面对黑客攻击，在现有合规体制下，安全事件仍难避免。这些超范围报告的分享非常有助于我们理解攻击特征。” 全球水务安全亮红灯 当前，针对水务公司IT办公系统的勒索攻击时有发生。 2023年12月，爱尔兰西海岸就曾因一个亲伊朗黑客组织无差别攻击使用以色列产设备的设施，导致当地居民断水数日。 美国、加拿大的水务安全问题也值得警惕：美国拜登政府时期曾想推进水务系统安全升级，但因水务行业团体联合共和党议员反对而搁置；加拿大则在上周通报，黑客在多起工业控制系统攻击中，篡改了某地方水务机构的供水压力参数，直接威胁供水稳定。 针对水务系统防护，英国国家网络安全中心（NCSC）给出具体建议：关键基础设施运营商要严格隔离 “业务 IT 系统”和 “运营 OT 系统”，避免黑客攻破 IT 系统后直接影响供水操作。今年 8 月，该机构还发布新版《网络评估框架》，帮企业提升抗风险能力。 唐・史密斯进一步提醒：“对基础设施来说，相比定向攻击，常规攻击仍是关键基础设施面临的主要威胁。我们更应该关注基础防护，而非过度投资于监测冷门系统。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为体 “金 Suky”（Kimsuky），已分发一款此前未被记录的后门程序，其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击，目标为韩国的一名单独受害者。 披露该活动细节的 Gen Digital 公司，未透露事件发生的具体时间，但指出钓鱼邮件中包含一个 ZIP 压缩文件（文件名：“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”）。该文件伪装成 VPN 账单，用于分发恶意软件，此恶意软件可实现文件传输、截屏以及执行任意命令的功能。 安全研究员亚历山德鲁 – 克里斯蒂安・巴尔达什（Alexandru-Cristian Bardaș）表示：“该攻击链包含三个步骤：一个小型投放程序、一个名为 MemLoad 的加载程序，以及最终的后门程序‘HttpTroy’。” ZIP 压缩包内包含一个与压缩包同名的 SCR 文件（屏幕保护程序文件）。打开该文件会触发执行链，首先运行的是一个 Go 语言（Golang）二进制文件，该文件包含三个嵌入文件，其中包括一个伪装 PDF 文档。此文档会向受害者展示，以避免引起任何怀疑。 与此同时，后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制，具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士（AhnLab）的程序，进而解密并执行 DLL 格式的后门程序 “HttpTroy”。 该植入程序能让攻击者完全控制受感染系统，支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制（C2）服务器（域名：“load.auraria [.] org”）进行通信。 巴尔达什解释道：“HttpTroy 采用多层混淆技术，以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏，字符串则通过异或（XOR）运算与单指令多数据（SIMD）指令相结合的方式进行混淆。值得注意的是，该后门程序不会重复使用 API 哈希值和字符串，而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们，这进一步增加了静态分析的难度。” 除上述发现外，这家网络安全厂商还详细介绍了 “拉撒路集团”（Lazarus Group）的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马（又称 AIRDRY 或 ZetaNile）的升级版被部署。厂商补充称，此次攻击针对加拿大的两名受害者，且在 “攻击链中段” 被检测到。 目前尚不清楚该攻击所使用的具体初始访问途径，但基于未发现可被利用以获取立足点的已知安全漏洞，研究人员判断初始途径应为钓鱼邮件。 攻击中使用了 “Comebacker” 的两个不同变体，一个是 DLL 格式，另一个是 EXE 格式。前者通过 Windows 服务启动，后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式，该恶意软件的最终目标一致：解密嵌入的有效载荷（即 BLINDINGCAN），并将其作为服务部署。 BLINDINGCAN 的设计目的是与远程 C2 服务器（域名：“tronracing [.] com”）建立连接，并等待进一步指令。这些指令支持的操作包括： 上传 / 下载文件 删除文件 修改文件属性以伪装成其他文件 递归枚举指定路径下的所有文件和子目录 收集整个文件系统中的文件相关数据 收集系统元数据 列出正在运行的进程 通过 CreateProcessW 函数运行命令行 在内存中直接执行二进制文件 通过 “cmd.exe” 执行命令 传入进程 ID 以终止特定进程 截屏 通过可用的视频捕获设备拍照 更新配置 更改当前工作目录 自行删除并清除所有恶意活动痕迹 Gen Digital 公司表示：“金 Suky（Kimsuky）和拉撒路集团（Lazarus）持续改进其工具，这表明与朝鲜（DPRK）有关联的行为体不仅在维护其攻击武器库，还在对其进行革新。这些攻击活动展现出结构完善的多阶段感染链，并利用了经过混淆处理的有效载荷和隐蔽的持久化机制。” “从攻击初始阶段到最终部署的后门程序，每个组件的设计目的都是规避检测、维持访问权限，并实现对受感染系统的全面控制。自定义加密、动态 API 解析以及基于组件对象模型（COM）的任务注册 / 服务利用等技术的应用，凸显出这些组织在技术上的持续演进和成熟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似某国家级威胁行为体被指与新型恶意软件 Airstalk 的传播有关，此次攻击疑似为供应链攻击。 Palo Alto Networks旗下安全研究团队 Unit 42 表示，正以 “CL-STA-1009” 为代号追踪该攻击集群，其中 “CL” 代表集群（cluster），“STA” 指国家支持背景（state-backed motivation）。 安全研究员克里斯托弗・鲁索与切马・加西亚在分析报告中指出：“Airstalk 恶意软件滥用了移动设备管理领域的 AirWatch API—— 该平台现更名为 Workspace ONE 统一终端管理系统。它通过该 API 建立秘密的命令与控制（C2）通道，主要借助 AirWatch 的自定义设备属性管理和文件上传功能实现这一操作。” 该恶意软件存在 PowerShell 和.NET 两个版本，采用多线程命令与控制（C2）通信协议，能够捕获屏幕截图，并窃取网页浏览器的 Cookie、浏览历史、书签等数据。据信，攻击者利用了一张被盗证书对部分恶意程序组件进行签名。 Unit 42 指出，Airstalk 的.NET 版本比 PowerShell 版本具备更丰富的功能，推测其可能是该恶意软件的高级版本。 其中，PowerShell 版本通过 “/api/mdm/devices/” 端点进行 C2 通信。该端点的设计初衷是获取特定设备的内容详情，但恶意软件利用 API 中的自定义属性功能，将其用作 “死信箱解析器”（dead drop resolver），存储与攻击者交互所需的关键信息。 一旦启动，该后门程序会先发送 “CONNECT”（连接）消息初始化通信，等待服务器返回 “CONNECTED”（已连接）响应后，便会接收各类以 “ACTIONS”（操作）类型消息发送的任务，并在受感染主机上执行。执行结果将通过 “RESULT”（结果）消息反馈给攻击者。 该后门支持七种不同的操作指令，包括：捕获屏幕截图、获取谷歌浏览器（Google Chrome）的 Cookie、列出所有用户的 Chrome 配置文件、提取指定配置文件的浏览器书签、收集指定 Chrome 配置文件的浏览历史、枚举用户目录下的所有文件，以及从主机中自行卸载。 Unit 42 表示：“Airstalk 执行部分任务后，需要回传大量数据或文件。为此，恶意软件利用 AirWatch MDM API 的二进制大对象（blobs）功能，将相关内容以新的二进制大对象形式上传。” Airstalk 的.NET 版本进一步扩展了功能范围，除谷歌浏览器外，还针对微软 Edge 浏览器和企业级专用浏览器 Island 发起攻击，同时试图伪装成 AirWatch 辅助工具（“AirwatchHelper.exe”）。此外，该版本新增了三种消息类型： MISMATCH（版本不匹配）：用于标记版本兼容错误 DEBUG（调试）：用于发送调试信息 PING（心跳）：用于向 C2 服务器发送存活信号 该版本还采用三个独立的执行线程，分别承担不同职责：管理 C2 任务、泄露调试日志、向 C2 服务器发送心跳信号。同时，它支持更广泛的命令集（其中一项命令暂未实现）： Screenshot（截图）：捕获屏幕截图 UpdateChrome（提取 Chrome 数据）：窃取指定的 Chrome 配置文件 FileMap（文件映射）：列出指定目录下的所有内容 RunUtility（运行工具）：暂未实现 EnterpriseChromeProfiles（企业 Chrome 配置文件）：获取可用的 Chrome 配置文件 UploadFile（上传文件）：窃取指定的 Chrome 组件和凭据信息 OpenURL（打开链接）：在 Chrome 浏览器中打开指定 URL Uninstall（卸载）：终止自身执行 EnterpriseChromeBookmarks（企业 Chrome 书签）：提取指定用户配置文件的 Chrome 书签 EnterpriseIslandProfiles（企业 Island 配置文件）：获取可用的 Island 浏览器配置文件 UpdateIsland（提取 Island 数据）：窃取指定的 Island 浏览器配置文件 ExfilAlreadyOpenChrome（泄露已打开 Chrome 数据）：导出当前 Chrome 配置文件的所有 Cookie 值得注意的是，PowerShell 版本通过计划任务实现持久化驻留，而.NET 版本暂未配备此类机制。Unit 42 透露，部分.NET 版本样本使用了一张 “疑似被盗” 的数字证书进行签名，该证书由合法的证书颁发机构 —— 奥腾工业自动化（廊坊）有限公司（Aoteng Industrial Automation (Langfang) Co., Ltd.）签发。早期版本的编译时间戳显示为 2024 年 6 月 28 日。 目前，该恶意软件的传播途径及攻击目标尚不明确。但结合其利用 MDM 相关 API 构建 C2 通道、针对 Island 等企业级浏览器的特性，研究人员推测此次攻击可能是针对业务流程外包（BPO）行业的供应链攻击。 Unit 42 分析称：“专注于业务流程外包（BPO）的机构已成为犯罪集团和国家级攻击者的重点目标。攻击者愿意投入大量资源，不仅要攻陷这些机构，还要实现长期控制。” “该恶意软件采用的规避检测技术使其能在大多数环境中隐藏行踪，尤其在第三方供应商环境中运行时更难被发现。这对使用 BPO 服务的企业而言极具破坏性 —— 被盗取的浏览器会话 Cookie 可能导致攻击者获取其大量客户的访问权限。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国面部识别公司 Clearview AI 被指控无视欧盟多国数据保护机构（DPA）的处置决定，目前已有针对该公司的新刑事诉讼被提起。 10 月 28 日，欧洲数字权利中心在奥地利对 Clearview AI 及其管理层提起刑事诉讼。 Clearview AI 为情报机构及调查部门提供面部识别服务，该公司称其拥有一个包含超 600 亿张面部图像的数据库，图像均来自 “仅公开的网络来源”，包括新闻媒体、面部照片公示网站、公共社交媒体及其他开放平台。 该公司此前主张，由于其在欧洲无业务实体、也未在欧盟境内提供服务，因此无需遵守《通用数据保护条例》（GDPR）。但荷兰数据保护机构反驳称，鉴于该公司数据库包含欧盟公民数据，其必须遵守欧盟法律。 在此次针对 Clearview AI 的最新行动中，非营利组织 noyb 指出，欧盟法律对 GDPR 违规行为的约束，并非仅局限于行政罚款。GDPR 第 84 条明确规定，欧盟成员国可针对 GDPR 违规行为设定刑事处罚。 与 GDPR 行政违规不同，刑事违规案件不仅可对公司管理层采取行动，还能启动全方位刑事诉讼程序，包括欧盟范围内的联合执法行动。 该组织在声明中表示：“正因如此，noyb 现已向奥地利检察官提起刑事诉讼。若诉讼成功，Clearview AI 及其高管可能面临监禁，且需承担个人责任 —— 尤其是在他们前往欧洲时。” 此前，欧盟多国数据保护机构已对 Clearview AI 处以一系列罚款，涉及英国、荷兰、意大利、法国等国；而针对该公司的初始投诉最早可追溯至 2021 年。 这些处置行动均指出，Clearview AI 处理数百万欧盟公民的数据，已明显违反 GDPR 规定。 noyb 荣誉主席马克斯・施雷姆斯（Max Schrems）表示：“Clearview AI 似乎完全无视欧盟基本权利，公然藐视欧盟机构。” noyb 指出，法国、希腊、意大利、荷兰等国机构已对 Clearview AI 处以总计约 1 亿欧元的罚款，并发布多项禁令，但这家美国公司并未对这些处罚提出异议。 目前仅有英国案件中，该公司对英国信息专员办公室（ICO）做出的处罚决定及罚款提起了上诉，相关最终法院判决尚未公布。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯警方表示，已逮捕三名涉嫌开发并销售 Meduza 窃取器（Meduza Stealer）恶意软件的黑客。此次行动是俄罗斯对本土网络犯罪罕见的打击举措。 俄罗斯内务部发言人伊琳娜・沃尔克于周四发表声明称，嫌疑人在莫斯科及周边地区落网。 她补充道，这三名 “年轻 IT 专家” 涉嫌开发、使用并销售一款恶意软件，该软件专门用于窃取登录凭证、加密货币钱包数据及其他敏感信息。 警方透露，在对嫌疑人住所的突袭行动中，查获了计算机设备、手机和银行卡。内务部发布的视频显示，执法人员破门而入，突袭多间公寓。当警方询问一名嫌疑人 “为何被拘留” 时，对方用俄语回应：“我不太清楚。” 官方指出，嫌疑人约两年前开始通过黑客论坛传播 Meduza 窃取器。今年早些时候，该团伙据称利用这款恶意软件，窃取了俄罗斯阿斯特拉罕州某机构的数据。 当局表示，该团伙还开发了另一种恶意软件，其功能包括禁用杀毒软件保护、构建用于大规模网络攻击的僵尸网络，但暂未披露这款恶意程序的具体名称。若罪名成立，三名嫌疑人将面临最高四年的监禁。 Meduza 窃取器于 2023 年首次出现，最初在俄语黑客论坛和 Telegram 频道以 “付费服务” 模式销售。此后，该恶意软件被用于多起网络攻击，目标涵盖个人数据与金融数据。 乌克兰官方此前曾表示，这款恶意软件与针对乌国内军方及政府机构的攻击有关。去年 10 月的一起攻击事件中，攻击者利用伪造的 Telegram “技术支持” 机器人，向乌克兰政府动员应用的用户分发该恶意软件。 研究人员还在波兰及俄罗斯本土发现了 Meduza 窃取器的感染案例 —— 例如 2023 年的一起攻击中，攻击者伪造某工业自动化公司的钓鱼邮件，传播该恶意软件。 长期以来，俄罗斯执法机构极少追查境内运营的网络犯罪分子，但研究人员表示，这一情况已开始改变。 根据 Recorded Future 旗下 Insikt 集团近期发布的报告，莫斯科对黑客生态系统的立场已从 “被动容忍转向主动管控”。这一策略包括选择性逮捕与公开打击，目的是在巩固国家权威的同时，保留有用的技术人才。 此类举措标志着俄罗斯的显著转变 —— 该国曾长期被视为 “以牟利为目的黑客的避风港”。研究人员指出，如今许多网络犯罪者正通过 “分散化运营”，规避西方与俄罗斯本土的双重监控。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大动漫及漫画出版商 Viz Media 一名高管据称遭黑客攻击。此次攻击导致数百 GB 企业数据被下载，其中包括员工凭证。 攻击者在某地下数据泄露论坛发布了攻击声明，该论坛常被 “初始访问中介” 使用。这类网络犯罪分子专门交易企业系统的访问权限。他们声称已入侵该公司副总裁账户，并窃取超 250GB 敏感数据。 Viz Media 是美国最大的图画小说出版商，隶属于日本制作公司 “小学馆 – 集英社制作”（Shogakukan-Shueisha Productions）。其旗下热门作品包括《火影忍者》《鬼灭之刃》《死亡笔记》《美少女战士》等。 与此同时，Cybernews 研究团队对攻击者的帖子展开调查，发现他们很可能仅入侵了单个用户的账户。由于目标是公司高层人员，这一账户为他们提供了访问公司系统的广泛权限。 研究人员表示：“该高管可能遭遇了社会工程学攻击，进而导致公司内部系统被未授权访问。” 团队指出，遭入侵的员工显然有权访问大量公司特权数据及资源。因此 Viz Media 需迅速采取行动，梳理攻击者窃取的数据范围。 研究团队补充道：“仅就数据窃取这一行为而言，攻击者就可能借此入侵公司更多系统，甚至向公司合作伙伴发送具有迷惑性的钓鱼邮件。” 从攻击者提供的数据样本来看，他们已获取 Viz Media 多个敏感公司系统的访问权限，包括企业谷歌云盘（Google Drive）、Gmail 账户、公司内部控制面板、遭入侵员工的身份凭证，以及 Mediabox 版税管理控制面板的访问权限。 攻击者声称，他们窃取了极高敏感度的企业信息，具体包括： 所有电子邮件 保密协议（NDA） 授权协议 员工凭证 商业计划 员工社会保险号码 毋庸置疑，恶意攻击者一旦获取这类数据，可能对企业造成严重的财务损失与声誉损害。 不过，发帖者目前仅公布了数据样本，正试图出售剩余数据及访问权限，要价为未公开的五位数金额。 若此次攻击属实，将成为 “权限管理重要性” 的典型案例，也印证了为何攻击者常将目标锁定在拥有广泛系统访问权限的企业高管身上 —— 入侵一人，便可打开多个敏感系统的 “大门”。 总部位于旧金山的 Viz Media 自称是美国最受欢迎的漫画平台，也是业内知名动漫品牌的主要分销商。公开记录显示，该公司年收入介于 4000 万至 1 亿美元之间，员工人数超 300 人。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。 近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。 其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。 另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。 加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。” 为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。 根据加拿大网络安全机构的建议，相关主体应采取以下行动： 对所有可联网的工业控制系统设备进行全面盘点，并评估其联网必要性； 尽可能采用替代方案避免设备直接暴露在互联网中，例如使用带有双重认证（2FA）的虚拟专用网络（VPN）； 若上述方案不可行，应考虑采用强化监控服务，包括定期渗透测试与漏洞管理； 定期对员工开展培训，提升其在网络安全事件中的应对能力； 市政部门及相关机构应与服务提供商紧密合作，确保托管服务的安全部署，并遵循供应商建议与指导方针，保障设备及服务安全。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦多部门正联合支持一项提案，计划禁止TP-Link 家用路由器在美销售，理由是该厂商被指仍与前中国母公司存在紧密关联。 据《华盛顿邮报》报道，美国商务部已正式提出这一禁售建议。消息人士透露，该提案获得了美国国防部、国土安全部及司法部的支持。 指控理由 TP-Link Systems总部位于美国加利福尼亚，最初是从中国本土企业普联技术（TP-Link Technologies）分拆而来。 数据显示，该公司产品占据美国家用路由器市场份额的36%。且由于一些互联网服务提供商会捆绑TP-Link设备，实际份额可能更高。 美国商务部指控的理由有两个： 第一，该公司仍持有原中国母公司在华资产。 第二，路由器设备涉及美国敏感数据处理，或存安全隐患。 此外，据此，商务部怀疑该公司仍受中国政府的管辖或影响。 对此，TP-Link 美国公司明确否认所有指控，并表示过去三年已与中国母公司完成彻底拆分。 公司发言人里卡・西尔维里奥在声明中强调：“TP-Link 坚决驳斥任何有关其产品对美国国家安全构成威胁的说法，我们作为一家美国企业，始终致力于为美国及全球市场提供高品质、安全可靠的产品。” 未来走向 目前，该提案仍需美国商务部最终签署生效，且不排除被否决的可能。 近期，中美两国领导人会晤后，双方达成了为期一年的贸易休战协议。 或许正因如此，《华盛顿邮报》指出，提案中预留了协商空间：TP-Link 美国公司可通过提交一份令政府满意的解决方案，来避免禁令生效。美方的核心诉求是获得明确保证：产品的关键软硬件研发过程，不得受到中国方面的任何影响。 这一情节与 TikTok 的命运轨迹颇为相似。TikTok 的母公司字节跳动总部位于中国，此前特朗普政府在获得国家安全相关承诺后，允许该应用继续在美国运营，中国方面也已批准相关协议；此外，TikTok 还需将其核心算法复制后，利用美国用户数据重新训练。 根据美国相关法律，若商务部长认定某款受外国影响的技术存在安全风险，商务部有权提出风险缓解方案。但在 TP-Link 一案中，官员们认为，除全面禁售外，任何缓解措施都无法达到安全要求。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名政府技术服务商Conduent本周向多个州政府通报，今年1月发生的网络安全事件导致超过1000万人的个人信息面临泄露风险。 根据数据泄露通知文件，Conduent调查发现黑客在2024年10月21日至2025年1月13日期间持续访问公司网络，窃取了与该公司在美国多州业务相关的大量文件。该公司表示：”发现事件后，我们安全恢复了系统运营，并已通知执法部门。” Conduent与州政府签有数十份合同，为医疗补助、儿童抚养、食品援助、道路收费等项目提供技术支持。该公司每年处理约850亿美元的政府支付款项，完成23亿次客户服务交互。公司声明其”为美国政府各类健康项目中的约1亿居民提供支持，协助州和联邦机构在降低成本的同时提供关键服务”。 目前已确认的具体影响包括： 得克萨斯州：超40万人，涉及社保号码、医疗信息和健康保险数据 华盛顿州：约7.6万人 南卡罗来纳州：约4.8万人 新罕布什尔州：超1万人 缅因州：378人 公司还在俄勒冈州、马萨诸塞州、加利福尼亚州和新罕布什尔州提交了违规通知。 事件时间线与应对措施 2025年1月：公司向Recorded Future News承认因”第三方系统遭入侵”导致业务中断 2025年2月：SafePay勒索软件团伙声称窃取8.5TB数据 2025年4月：公司在SEC备案中确认黑客”窃取了与少量客户相关的文件集” Conduent已设立呼叫中心处理相关咨询，并将向信息泄露者发送通知信件。公司指出其网络安全保险将覆盖部分事件响应成本，并透露联邦执法机构已介入调查。 运营影响与财务成本 此次事件导致多日运营中断，威斯康星州儿童和家庭部曾向居民通报Conduent系统中断影响邮件支付处理。家长和受益人也向当地媒体抱怨支付困难，威斯康星州当时确认至少还有其他三个州同样面临影响电子转账或EBT卡支付的系统中断。 根据最新财报，Conduent上财季收入为7.54亿美元，为应对今年1月的网络安全事件已支出约200万美元用于”调查、修复和响应”。公司强调，据其所知”被窃数据尚未在暗网或公开渠道泄露”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为AdaptixC2的开源命令与控制框架正被越来越多的威胁行为体使用，其中部分与俄罗斯勒索软件团伙存在关联。 AdaptixC2是一款新兴的可扩展后渗透与对抗模拟框架，专为渗透测试设计。其服务端组件采用Golang编写，GUI客户端则使用C++ QT实现跨平台兼容性。该框架具备全加密通信、命令执行、凭证与截图管理、远程终端等丰富功能。 该框架的早期版本由GitHub用户”RalfHacker”于2024年8月公开发布，该用户自称是渗透测试员、红队操作员和恶意软件开发者。尽管AdaptixC2是作为道德红队活动的开源工具推出，但显然已引起网络犯罪分子的关注。 近几个月来，多家黑客组织已开始采用AdaptixC2，包括与Fog和Akira勒索软件行动相关的威胁行为体，以及一名在攻击中利用CountLoader投放多种后渗透工具的初始访问经纪人。 Palo Alto Networks旗下Unit 42团队上个月分析了该框架的技术特点，称其作为模块化多功能框架能够”全面控制受感染机器”，并已被用于通过Microsoft Teams实施的假冒技术支持诈骗以及通过AI生成的PowerShell脚本进行攻击。 网络安全公司Silent Push表示，RalfHacker在GitHub简介中自称”恶意软件开发者”的表述引起了他们的警觉。调查发现该账号所有者关联的多个GitHub账户邮箱，以及一个拥有超过28,000订阅者的Telegram频道“RalfHackerChannel”，该频道专门转发AdaptixC2相关消息。 在2024年8月AdaptixFramework频道的消息中，RalfHacker曾表示有兴趣启动一个”当前非常流行的公共C2框架”项目，并希望其能成为像Empire一样受欢迎的后渗透和对抗模拟框架。 尽管目前尚无证据表明RalfHacker直接参与与AdaptixC2或CountLoader相关的恶意活动，但Silent Push指出：”通过其使用Telegram进行营销推广，以及该工具随后被俄罗斯威胁行为体大量使用的情况，都显示出与俄罗斯犯罪地下世界的关联，这些现象均敲响了严重的安全警钟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大营销机构之一的日本跨国广告与公关公司电通集团近日发布公告，确认其美国子公司Merkle遭受网络攻击，导致员工及客户数据泄露。 根据公司发布的安全事件通知，电通集团表示：”我们在负责集团海外业务的客户体验管理子公司Merkle的部分网络中检测到异常活动。我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复运行。”作为应急响应计划的一部分，公司采取了将部分系统离线的措施以遏制攻击蔓延。 电通确认黑客从Merkle网络中窃取了文件，涉及供应商、客户和员工数据，包括个人信息、薪资资料和国家保险详细信息。公司正在通知受影响个体，并为其提供免费的暗网监控服务。 “调查发现某些文件从Merkle网络中被窃取。经审查，这些文件包含现任及前任员工的个人信息，”电通在声明中表示，”调查仍在进行中，但目前我们预计文件包括银行和薪资详情、工资、国家保险号码以及个人联系方式。” 公司声明其日本本土网络系统未受影响，但目前尚无法评估此次事件对业务造成的财务影响。截至2024年12月31日，电通集团拥有约67,667名员工。2024财年，公司报告合并营收为1.41万亿日元（按当前汇率约合102亿欧元）。 Merkle作为电通集团旗下美国营销与客户体验机构，专注于数据驱动型绩效营销，利用分析、技术和数字平台帮助客户优化体验并推动增长。该公司在全球拥有超过16,000名员工，年收入约15亿美元。 目前尚不确定此次事件是否为勒索软件攻击，截至目前尚无任何勒索组织声称对Merkle或电通遭受的攻击负责。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为”Brash”的高危漏洞，攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃。 “Brash”漏洞利用document.title API缺乏速率限制的缺陷，以每秒数百万次的速度向浏览器发送DOM更新请求，导致主线程过载。 该漏洞会引发CPU使用率飙升、浏览器冻结和系统减速，影响涵盖桌面端、Android及嵌入式设备。 攻击分三个阶段实施： 预加载阶段：在内存中预存100个独特的512字符十六进制字符串，以最大化更新吞吐量 爆发注入：快速执行三重更新（默认爆发量8000次，1毫秒间隔），实现每秒约2400万次标题写入 持续饱和：持续注入使UI/主线程饱和，数秒内即可导致CPU占用率飙升、标签页冻结，最终浏览器崩溃 经测试，以下基于Chromium/Blink引擎的浏览器均受影响： Chrome：15-30秒内崩溃 Edge：15-25秒内崩溃 Vivaldi/Arc/Dia浏览器：15-30秒内崩溃 Opera：约60秒内崩溃 Perplexity Comet：15-35秒内崩溃 ChatGPT Atlas：15-60秒内崩溃 Brave：30-125秒内崩溃 以下浏览器不受影响： Firefox（使用Gecko引擎） Safari及所有iOS浏览器（使用WebKit引擎） 皮诺警告，”Brash”可能被武器化并造成严重后果： 定时攻击：可预设精确执行时间，将攻击从干扰工具转变为时间精准武器 经济破坏：针对AI智能体和无头浏览器的爬取活动，可导致自动化交易、价格监控、SEO爬虫等关键业务中断 系统依赖风险：同时发生的多系统故障将暴露企业对自动化系统的关键依赖弱点 专家总结指出：”Brash的诞生证明了当基础保护措施缺失时会发生的状况。该漏洞并非存在于复杂代码中，而是源于本应受限的API缺乏速率限制这一基本设计缺陷。它对全球30亿Chromium用户的影响表明，核心组件的架构缺陷会带来巨大的全球性后果——这不是一个孤立漏洞，而是影响整个Chromium生态系统的设计缺陷。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的知名勒索软件团伙再次发起攻击，此次声称已入侵日本连锁超市集团Super Value Co.，并在暗网上公开泄露了员工与财务数据。 涉嫌发动此次勒索软件攻击的Qilin团伙，已在其暗网泄露网站上将日本零售商Super Value Co.列为受害者。该超市主要在日本埼玉县及东京都市圈运营结合超市与家居中心的混合零售综合体，以及独立的食品超市。 攻击团伙在其泄露网站上提供了据称属于受害者的被盗数据样本，这是勒索攻击中威胁行为体常用的施压手段，旨在迫使公司支付赎金。 攻击者分享的数据样本中包含大量载有敏感信息的日文内部文件，涉及： 人力资源文件（暴露员工个人信息及雇佣数据） 安保密钥移交证明文件 绩效报告 工伤事故报告表 现金丢失事件报告表 薪资文件 财务报表（包括门店月销售额、盈利与亏损状况） 销售、产品订单及交货单日志 具体而言，人力资源文件泄露了员工的个人身份证号、全名、完整家庭住址、出生日期、年龄、性别、入职日期、雇佣类型（全职/兼职）、职位、部门/销售区域或工作地点、状态及离职/退休日期（部分记录）、电话号码、工作事故数据、工资及工作安排。 目前尚无法确认这些声称的真实性，以及数据是否确实属于该日本零售商。Cybernews已联系该公司，但尚未获得回复。 若数据被证实属实，将使公司及其员工面临欺诈和身份盗窃的风险。Cybernews研究人员指出：”就公司而言，这些样本主要揭示了其运营细节，可能将商业策略暴露给竞争对手。”此外，由于未包含员工个人联系方式，社会工程学攻击更可能针对公司而非个人展开。 Qilin是勒索软件领域的重要角色。这个与俄罗斯有关联的团伙以医院和制造业为攻击目标而闻名。该组织于2022年首次出现在勒索软件领域，但其暗网泄露网站声称其自2021年便开始运作。 自今年9月初以来，Qilin已列出超过88名受害者，在过去12个月内跃升为最活跃的勒索软件团伙。根据Cybernews内部监控工具Ransomlooker的数据，自2023年以来该团伙已声称入侵947名受害者。 本月，Qilin还声称入侵了德克萨斯州的电力合作社，并泄露了美国大型药房福利管理公司MedImpact的数据。该团伙近期对英国NHS合作伙伴Synnovis实验室的攻击造成了严重后果，导致医院被迫转移患者并取消超过1万个预约和手术。 值得注意的是，这个臭名昭著的俄罗斯相关团伙LockBit已与DragonForce和Qilin勒索软件组成联盟。专家认为，该联盟可能通过共享资源改进攻击策略并提高攻击频率。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ribbon是一家实时通信技术公司，为全球企业及关键基础设施领域，提供安全云通信、IP 及光网络解决方案。 其总部位于美国得克萨斯州，服务用户涵盖电信、银行、政府等领域的数十家大型企业，美国国防部也包括在列。这一背景使得此次国家级攻击更具威胁性。 攻击者潜伏近一年 10月23日，Ribbon在提交给美国证券交易委员会的第三季度财报（10-Q 文件）中首次披露了此次数据泄露事件。 文件第 57 页“网络安全事件披露” 部分写道：“2025 年 9 月初，公司发现有国家级未授权威胁行为体入侵了公司的 IT 网络。” 公司初步分析显示，攻击者的首次入侵可追溯至2024年12月。不过，关于初始入侵时间的最终结论，仍需等待完整的调查结果来盖棺定论。 Barrier Networks 公司首席技术官瑞安・麦科尼奇表示：“此次大型电信提供商遭遇攻击，进一步证明网络世界已成为所有对手的首选‘战场’。” 他指出：“我们尚不清楚幕后是哪个国家，也不知道他们的攻击手法，但黑客在被发现前已潜伏近一年，这一事实着实令人担忧。” 风险声明 Ribbon 的产品主打帮助用户将固定、移动及企业网络，从传统环境转型为安全的 IP 及云架构。其客户及合作伙伴包括： 电信服务商：威瑞森、美国电话电报公司、康卡斯特、英国电信、世纪互联、德国电信、软银、TalkTalk、塔塔集团等。 政府与公共机构：美国国防部、洛杉矶市、得克萨斯大学。 金融机构：美国银行、摩根大通、富国银行。 技术合作伙伴：帕洛阿尔托网络、慧与、英特尔、爱立信、飞塔以及 F5 Networks。 Ribbon声明称：“网络安全是客户网络的首要关切，物品们始终重视与客户的长期合作”。 得知入侵后，公司 “立即启动事件响应计划，联系联邦执法部门，并联合多家第三方网络安全专家开展调查”。 Ribbon 还表示，已成功将威胁行为体驱逐出网络，“截至目前的调查，未发现黑客访问客户系统或其他重要公司信息的证据”。 但公司也承认，“两台笔记本电脑上存储的、主网络之外的部分客户文件，似乎已被威胁行为体访问”，不过未透露受影响客户的名称，仅表示已通知相关方。 路透社报道称，被访问的是 “4 份较早期文件”。此外，Ribbon 已采取即时预防措施，进一步加强网络防护以避免未来再发此类事件，并表示 “对此次事件引发的担忧深表歉意，已与 3 家受影响客户直接沟通”。 网络安全研究人员认为，尽管 Ribbon 称 “政府客户未受影响”，但这一情况仍需全面核实。鉴于国家级威胁行为体正将目标聚焦于关键基础设施及其他电信企业，这些机构做好攻击防御准备至关重要。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国防承包商L3Harris的一名前高管于周三认罪，承认向一名俄罗斯经纪人出售间谍软件漏洞利用工具。 根据美国司法部发布的新闻稿，曾主管L3Harris旗下间谍软件与零日漏洞部门Trenchant的彼得·威廉姆斯，将商业机密出售给一家”公开自称向包括俄罗斯政府在内的各类客户转售网络漏洞利用工具”的俄罗斯网络工具经纪人。 威廉姆斯对其两项窃取商业机密的指控认罪。官方称他在2022年至2025年的三年期间窃取并兜售这些信息。司法部表示，被出售的物料属于国家安全软件，包含至少八个”敏感且受保护的网络漏洞利用组件”，这些工具原本仅限向美国政府及经批准的盟友销售。 每项指控最高可判处10年监禁并处罚金。 检方指出，威廉姆斯因出售这些机密被承诺获得数百万美元的加密货币报酬。官方称他与该俄罗斯经纪人签订了多份合同，涉及初始销售及“后续技术支持”。 “这些国际网络经纪人是新一代国际军火商，我们将持续警惕其活动，”美国检察官珍妮·费里斯·皮罗在声明中表示。 皮罗指出，威廉姆斯的罪行不仅给L3Harris造成3500万美元损失，更向非盟友的外国网络行为体提供了“可能已被用于攻击众多无辜受害者的尖端网络漏洞利用工具”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现10个恶意npm软件包，这些包被设计用于在Windows、Linux和macOS系统上投放信息窃取程序。 Socket安全研究员Kush Pandya表示：“该恶意软件采用四层混淆技术隐藏有效负载，显示虚假验证码以伪装成合法程序，通过IP地址对受害者进行指纹识别，并下载一个24MB的PyInstaller打包信息窃取程序，能够从Windows、Linux和macOS系统的密钥环、浏览器和认证服务中窃取凭证。” 这些npm包于2025年7月4日上传至注册表，累计下载量超过9,900次，具体包括： deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs react-router-dom.js typescriptjs zustand.js 此次多阶段凭证窃取行动通过伪装成TypeScript、discord.js、ethers.js等热门npm库的仿冒包进行。安装后，恶意软件会显示虚假验证码提示，并输出看似正常的安装信息，让开发者误以为安装过程正常进行。然而在后台，该软件包会捕获受害者的IP地址并发送至外部服务器，随后投放主恶意软件。 每个软件包中的恶意功能都会通过”postinstall”钩子在安装时自动触发，启动名为”install.js”的脚本。该脚本会检测受害者的操作系统，并在新的命令提示符（Windows）、GNOME终端（Linux）或终端（macOS）窗口中启动经过混淆的有效负载。 Pandya指出：”通过生成新的终端窗口，恶意软件能够独立于npm安装进程运行。开发者在安装过程中瞥见终端窗口时，只会看到新窗口短暂出现，而恶意软件会立即清屏以避免引起怀疑。” “app.js”中的JavaScript代码通过四层混淆技术隐藏，包括使用动态生成密钥的XOR密码、对有效负载字符串进行URL编码，以及使用十六进制和八进制运算混淆程序流程等，这些设计都旨在抵抗分析。 攻击的最终目标是从同一服务器获取并执行一个全能型信息窃取程序。该程序能够全面扫描开发者计算机，从网页浏览器、配置文件和SSH密钥中搜索密钥、认证令牌、凭证和会话cookie。 该窃密程序还包含针对不同平台的特定实现，使用keyring npm库从系统密钥环中提取凭证。收集到的信息会被压缩成ZIP文件并外泄至服务器。 Socket公司强调：“系统密钥环存储着关键服务的凭证，包括电子邮件客户端、云存储同步工具、VPN连接、密码管理器、SSH密码、数据库连接字符串等与操作系统凭证存储集成的应用程序。通过直接攻击密钥环，恶意软件绕过了应用级安全防护，直接获取解密形式的存储凭证。这些凭证可让攻击者立即访问企业邮箱、文件存储、内部网络和生产数据库。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰境内的多个组织近日遭到源自俄罗斯的威胁行为者攻击，其目的在于窃取敏感数据并维持对受感染网络的持久访问权限。 根据赛门铁克和Carbon Black威胁猎人团队发布的最新报告，此次攻击活动持续针对一家大型商业服务组织进行了两个月的渗透，同时对一家当地政府实体进行了一周的入侵。 攻击主要采用“离地生存”技术和双重用途工具，仅辅以最低限度的恶意软件，从而减小数字足迹并长期保持隐蔽。 “攻击者通过在面向公众的服务器上部署Webshell获得对商业服务组织的访问权限，很可能是利用了一个或多个未修复的漏洞，”这两支隶属于博通公司的网络安全团队在报告中表示。 攻击中使用的Webshell之一是Localolive，微软此前曾警告称该工具被与俄罗斯有关的沙虫组织下属团队在多年度行动”BadPilot”中使用。LocalOlive旨在协助投送Chisel、plink和rsockstun等后续载荷，至少自2021年底开始被活跃使用。 针对该商业服务组织的恶意活动最早可追溯至2025年6月27日，攻击者利用初始立足点投放Webshell并实施侦察。研究还发现，攻击者运行PowerShell命令将设备的下载目录排除在Microsoft Defender防病毒扫描范围之外，并设置计划任务每30分钟执行一次内存转储。 攻击时间线与技术细节 在接下来的几周内，攻击者实施了多种恶意行为，包括： 将注册表配置单元副本保存至名为1.log的文件 投放更多Webshell 使用Webshell枚举用户目录中的所有文件 运行命令列出所有以”kee”开头的运行进程（可能旨在定位KeePass密码存储库） 列出第二台设备上的所有活跃用户会话 运行位于下载文件夹中的”service.exe”和”cloud.exe”可执行文件 在第三台设备上运行侦察命令并使用Microsoft Windows资源泄漏诊断工具执行内存转储 修改注册表以允许RDP连接 在第四台设备上运行PowerShell命令获取Windows配置信息 运行RDPclip获取远程桌面连接中的剪贴板访问权限 安装OpenSSH以方便远程访问计算机 运行PowerShell命令允许OpenSSH服务器在22端口上的TCP流量 创建计划任务，使用域账户每30分钟运行未知PowerShell后门（link.ps1） 运行未知Python脚本 在下载文件夹中部署合法的MikroTik路由器管理应用程序（“winbox64.exe”） 值得关注的是，乌克兰计算机应急响应小组曾在2024年4月记录过“winbox64.exe”的使用，当时它与沙虫组织针对乌克兰能源、供水和供热供应商的攻击活动有关。 赛门铁克和Carbon Black表示，虽然未发现此次入侵与沙虫组织直接关联的证据，但指出其”确实显示出源自俄罗斯的特征”。该网络安全公司还透露，这些攻击的特点在于部署了多个PowerShell后门和疑似恶意软件的可疑可执行文件，但目前尚未获取这些样本进行分析。 “虽然攻击者在入侵过程中使用的恶意软件数量有限，但大部分恶意活动都涉及合法工具，包括系统原生工具或攻击者引入的双重用途软件，”报告强调，“攻击者展现出对Windows原生工具的深入了解，并展示了熟练攻击者如何推进攻击、窃取凭证等敏感信息，同时在目标网络上留下最小痕迹。” 行业背景与趋势 此报告发布之际，Gen Threat Labs详细披露了Gamaredon组织利用WinRAR中一个已修复安全漏洞（CVE-2025-8088，CVSS评分：8.8）攻击乌克兰政府机构的行为。 该公司在X平台上发文称：“攻击者正在滥用CVE-2025-8088（WinRAR路径遍历漏洞）投递RAR压缩包，这些压缩包会静默将HTA恶意软件放入启动文件夹——除了打开压缩包内的良性PDF文件外，无需任何用户交互。这些诱饵经过精心设计，可诱骗受害者打开武器化压缩包，延续了以往攻击活动中出现的激进攻击模式。” Recorded Future的最新报告也印证了这一趋势，该报告发现俄罗斯网络犯罪生态系统正受到”终端游戏”等国际执法行动的积极影响，促使俄罗斯政府与电子犯罪组织的关系从被动容忍转向主动管理。对泄露聊天记录的进一步分析显示，这些威胁组织内的高级人物通常与俄罗斯情报部门保持联系，通过提供数据、执行任务或利用贿赂和政治关系获得豁免权。与此同时，网络犯罪团伙正在分散运营以规避西方和国内的监控。 尽管长期以来众所周知俄罗斯网络犯罪分子只要不攻击该地区运营的企业或实体就可以自由活动，但克里姆林宫现在似乎采取了更为细致的方法：在需要时招募或合作人才，在攻击符合其利益时视而不见，并在威胁行为者变得”政治上不便或对外尴尬”时选择性执法。 由此可见，这种“黑暗契约”实质上是多种因素的结合体：既是商业企业，也是影响力和信息获取的工具，同时当它威胁到国内稳定或面临西方压力时也会成为负担。该公司在《黑暗契约》系列报告的第三部分中指出：“俄罗斯网络犯罪地下世界在国家控制和内部不信任的双重压力下正在分裂，而专有论坛监控和勒索软件联盟聊天记录显示运营者之间的偏执情绪日益加剧。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日在OpenAI ChatGPT Atlas等智能体浏览器中发现新的安全隐患，这些浏览器底层的人工智能模型容易遭受上下文投毒攻击。 AI安全公司SPLX设计的攻击场景中，攻击者可建立特定网站，向ChatGPT和Perplexity运行的浏览器及AI爬虫提供差异化内容。该技术被命名为“AI定向伪装”。 这种手法实为搜索引擎伪装技术的变种——即向用户和搜索引擎爬虫呈现不同网页版本，最终达到操纵搜索排名目的。在此类攻击中，攻击者仅通过简单的用户代理检查即可针对不同供应商的AI爬虫优化内容，实现内容交付操控。 安全研究人员指出：”由于这些系统依赖直接检索，任何提供给它们的内容都会成为AI概述、摘要或自主推理中的’事实依据’。这意味着只需一条条件规则——’如果用户代理是ChatGPT，则提供此替代页面’——就能塑造数百万用户看到的所谓权威输出。” SPLX警告，AI定向伪装虽然原理简单，却可能成为强大的虚假信息武器，破坏用户对AI工具的信任。通过诱导AI爬虫加载替代内容，该技术还能引入偏见，影响依赖此类信号的系统输出。 “AI爬虫与早期搜索引擎一样容易被欺骗，但其下游影响更为深远。随着搜索引擎优化逐渐融合人工智能优化，这种攻击正在扭曲现实认知。” 与此同时，hCaptcha威胁分析小组发布的分析报告显示，针对20种常见滥用场景的测试中，各类浏览器智能体几乎无需越狱即可执行恶意请求。研究还发现，所谓”被阻止”的操作多数源于工具功能限制而非内置防护机制。值得注意的是，当被要求执行调试任务时，ChatGPT Atlas会完成高风险操作。 研究进一步披露，Claude Computer Use和Gemini Computer Use能够无限制执行密码重置等危险账户操作，后者甚至在电商平台表现出暴力破解优惠券的攻击性行为。测试还发现Manus AI可无障碍完成账户接管和会话劫持，而Perplexity Comet会主动实施SQL注入以窃取隐藏数据。 “这些智能体经常超额完成任务：在无用户指令时尝试SQL注入，在页面注入JavaScript以绕过付费墙等。我们观察到几乎完全缺失的安全防护措施，预示着攻击者很快会将这类智能体用于攻击任何下载它们的合法用户。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯本土网络安全公司发现，由国家支持的黑客组织Cloud Atlas再次发起网络间谍活动，利用即将召开的行业论坛作为诱饵，瞄准了该国农业领域。 这是近几个月来该组织第二次针对俄罗斯农业工业企业发起攻击，恰逢本月末莫斯科即将举行的俄罗斯农业论坛筹备期。据F6研究人员分析，黑客发送了伪装成论坛官方日程的钓鱼邮件，内含利用旧版Microsoft Office漏洞（CVE-2017-11882）的恶意文件——该漏洞虽于2017年修复，但至今仍被网络犯罪分子广泛利用。 该漏洞早在2023年就被Cloud Atlas利用过，当时他们通过涉及俄乌战争的钓鱼邮件，攻击了俄罗斯一家农业企业和一家国有研究公司。 此漏洞允许攻击者执行恶意代码并可能完全控制系统，使其能够安装软件、修改或删除数据以及创建新用户账户。 研究人员指出，Cloud Atlas（亦被追踪为Inception）在2025年全年活动频次显著增加，尤其针对俄罗斯和白俄罗斯目标。F6还发现迹象表明，一家国防企业也是该组织10月的攻击目标之一，不过未提供技术细节。 报告显示，Cloud Atlas持续优化其工具和传播方法，在保持长期使用的感染链的同时，尝试使用不同的有效载荷。 研究人员表示：”Cloud Atlas持续使用相同战术并利用早已曝光的漏洞，表明其攻击仍然有效——这主要归因于未受保护或维护不善的系统，以及人为因素。” Cloud Atlas至少自2014年开始活跃，是一个由国家支持的间谍组织，以攻击俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的机构而闻名。其行动侧重于数据窃取和监控，但背后具体是哪个国家仍不明确。 该组织通常依赖多阶段钓鱼攻击，发送模仿政府通讯、商业邀约或媒体资料的邮件。其恶意软件常使用定制加载器和加密通信以保持隐蔽并外泄窃取数据。 研究人员补充道：”这些因素使Cloud Atlas成为对组织网络安全极具威胁且持续存在的攻击者。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文