Aggregator

Угроза VPN, Tor и закрытым мессенджерам уже в стратегии ЕС.

臭名昭著的Atomic macOS Stealer（AMOS）恶意软件升级后植入后门模块，使攻击者能长期控制Mac设备。该恶意软件通过破解网站和钓鱼攻击传播，在全球120多个国家活跃。专家建议用户安装反恶意软件、警惕社交工程并减少数字足迹以降低风险。

错误代码521通常与Cloudflare服务相关，表示服务器未能响应请求。常见原因包括服务器配置问题或网络连接异常。解决方法包括检查服务器状态、确认防火墙设置正确、重启路由器以及联系网络服务提供商以排查问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。 ESET研究证实，该组织自2017年首次入侵库尔德政府系统以来，持续升级其攻击工具库，展现出显著的技术演进。最新攻击活动中，攻击者部署了专为隐蔽驻留设计的恶意软件套件，其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件，规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行：监控所有传入HTTP请求，仅在检测到预设Cookie结构时激活攻击功能，其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar，以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力： ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示，BladedFeline与伊朗国家级黑客组织OilRig存在强关联性：恶意软件功能设计与OilRig标志性后门RDAT高度相似，攻击基础设施存在重叠，战术目标均聚焦中东地缘政治情报收集。据此评估，BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势： ① 时间跨度：最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展：从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代：从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态：2024年初仍检测到新版恶意工具活跃 ESET警告称：“从简单后门到模块化潜伏工具的技术转型，印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序，以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级，在区域情报收集中构建更隐蔽的作战能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

r/netsec 是一个聚合技术安全内容的社区平台，旨在为安全从业者、学生、研究人员和黑客提供有价值的信息。文章还提到 zorrochain.foundation 正在开发一种基于熵收集、离线 ID 和vault共识的治理基础设施，适合零信任系统研究者参考。

苹果发布iOS 26 Beta 3版本，修复了此前因液态玻璃半透明效果导致的文字可读性问题。部分界面背景改为灰白色磨砂效果以提升清晰度，并计划本月推出公共测试版。

文章描述了Cloudflare错误代码521的原因及影响,指出该错误通常由服务器配置问题或网络连接中断导致,可能导致数据包丢失或缓存失效,建议检查服务器状态并联系技术支持以解决问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场利用搜索引擎优化（SEO）投毒技术传播恶意软件加载器Oyster（亦称Broomstick或CleanUpLoader）的攻击活动。据Arctic Wolf分析，该恶意广告活动通过伪造托管合法工具（如PuTTY和WinSCP）木马化版本的网站，诱骗搜索这些程序的技术人员下载安装。报告指出：“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化，通过rundll32.exe调用恶意DLL文件（twain_96.dll）的DllRegisterServer导出函数，表明其采用DLL注册机制维持控制。” 已发现的欺诈网站包括： updaterputty[.]com zephyrhype[.]com putty[.]run putty[.]bet puttyy[.]org 攻击者可能还针对其他IT工具传播恶意软件，用户必须严格依赖可信渠道和官方供应商站点下载软件。 当前黑帽SEO投毒技术正被用来操纵人工智能（AI）相关关键词的搜索结果，散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码，在收集受害者浏览器信息后启动重定向链，最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包（内含Vidar/Lumma窃密程序），密码直接显示在下载页面上，”Zscaler ThreatLabz分析称，“解压后出现800MB的NSIS安装包，攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。 同类SEO投毒活动还通过伪造热门网络应用的搜索结果，将用户导向虚假Cloudflare验证页面，运用臭名昭著的“点击修复”（ClickFix）策略，借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示，2025年1至4月期间，约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%，Outlook与PowerPoint各占16%，ChatGPT恶意文件数量同比激增115%。 尽管滥用虚假搜索列表是常见手段，但近期攻击出现新变种：劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心，但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果，而实际参数在搜索结果中不可见，极具迷惑性。 攻击者还在Facebook平台投放虚假广告：以“Pi Network桌面版更新”为诱饵传播窃密程序，盗取凭证与加密钱包密钥；通过4000余个仿冒电商网站（GhostVendors网络）投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。 同时，针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器（最终投递Lumma窃密程序）活动被命名为“黑暗伙伴”（Dark Partners）。PayDay加载器利用Google日历事件隐藏C2服务器地址，其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”，表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库，定位加密钱包数据并外传到硬编码C2服务器。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

一名中国公民在米兰被捕，涉嫌参与国家支持的“丝风行动”黑客组织，该组织被指对美国机构进行网络攻击。嫌疑人被指控参与2020年针对传染病研究机构的网络攻击，旨在窃取新冠疫苗数据。美国正寻求将其引渡受审。

当前环境出现异常，需完成验证后方可继续访问。

A Chinese national was arrested in Milan, Italy, last week for allegedly being linked to the state-sponsored Silk Typhoon hacking group, which responsible for cyberattacks against American organizations and government agencies. [...]

您可能因网络错误被拦截，请提交工单以便调查。

文章介绍了HTTP错误代码521的含义及其常见原因。该错误通常表示Cloudflare服务器无法连接到原始服务器，可能是由于网络连接问题、服务器配置错误或防火墙设置不当导致的。文章还提供了一些解决方法，如检查网络连接、确认服务器状态、调整防火墙设置以及联系主机提供商寻求帮助。

HackerNews 编译，转载请注明出处： 一家与巴基斯坦无关的黑客组织被发现使用名为DRAT的远程访问木门程序的修改变种攻击印度政府机构。 Recorded Future旗下Insikt研究小组将此活动归因于追踪编号为TAG-140的威胁组织。该组织与SideCopy存在重合——后者被评估为透明部落（Transparent Tribe）的攻击子集群（该组织亦称为APT-C-56、APT36、Datebug、Earth Karkaddan、Mythic Leopard、Operation C-Major及ProjectM）。隶属于万事达卡的研究机构在上月发布的分析报告中指出：“TAG-140持续展现出恶意软件库与攻击手段的迭代升级与多样化能力。本次以克隆国防部新闻门户为诱饵的攻击行动，标志着其在恶意软件架构与C2功能方面均实现显著转变。” 新版DRAT被命名为DRAT V2，成为SideCopy武器库的最新成员。该组织还拥有Action RAT、AllaKore RAT、Ares RAT、CurlBack RAT、ReverseRAT、Spark RAT和Xeno RAT等工具，可同时针对Windows和Linux系统实施攻击。攻击活动展现出攻击者不断进化的战术：通过打造”可替换套件式”的多样化木马程序，在窃取敏感数据时干扰溯源、检测和监控工作。 该威胁组织的攻击范围已从政府、国防、海事和学术领域，扩展到铁路系统、石油天然气及外交部相关机构。据悉该组织自2019年起持续活跃。 Recorded Future记录的攻击链采用点击修复式攻击手法：克隆印度国防部新闻发布门户，传播新版.NET架构DRAT（现变异为Delphi编译版本）。假冒网站仅保留单一有效链接，点击后将秘密复制恶意命令至剪贴板，诱骗受害者通过命令终端执行。此举导致设备从外部服务器（trade4wealth[.]in）获取HTA文件，由mshta.exe加载名为BroaderAspect的加载器。该加载器负责下载诱饵PDF、通过注册表实现驻留、并从同一服务器获取并运行DRAT V2。 DRAT V2新增任意命令执行功能增强灵活性，其C2地址采用Base64编码混淆，并升级为支持ASCII/Unicode双模式的专属TCP协议（服务器仅响应ASCII，而原始DRAT需全程使用Unicode）。报告指出：“相较前代版本，DRAT V2减少了字符串混淆处理，多数命令头保留明文——可能更注重运行稳定性而非隐蔽性。由于缺乏高级反分析技术并采用基础驻留方式，该木马可通过静态和行为分析检测。” 其他已知功能包括：在被控主机执行侦察任务、上传额外载荷、实施数据窃取。研究人员表示：“这些功能使TAG-140能持久灵活控制系统，无需额外工具即可展开自动化或交互式攻击。DRAT V2更倾向于模块化补充而非彻底升级，这印证了TAG-140将持续轮换木马程序以隐藏特征、维持攻击灵活性的预判。” APT36攻击行动散布Ares木马与DISGOMOJI 2025年5月印巴冲突期间，巴基斯坦背景的国家级黑客组织与协同黑客行动异常活跃。APT36借机散布Ares木马，针对国防、政府、IT、医疗、教育和电信领域发动攻击。Seqrite实验室五月警告称：“Ares木马使攻击者获得系统完全控制权，可能导致监控活动、数据窃取及关键服务破坏。” 近期监测显示，APT36通过伪造国家信息中心采购订单的钓鱼邮件，向印度防务人员投递恶意PDF附件。诱导点击文档内嵌按钮后，设备将下载伪装成PDF图标的双重扩展名文件（*.pdf.exe）。该程序内置反调试和反虚拟机功能，可于内存加载具备文件枚举、键盘记录、剪贴板捕获、浏览器凭证窃取及C2通信能力的载荷。 CYFIRMA分析指出：“APT36对印度国防系统构成持续重大威胁。其钓鱼策略与凭证窃取技术印证了现代网络间谍手段的进化。”该组织还专门针对印度政府广泛使用的BOSS Linux系统，通过伪装成安全通告的钓鱼消息投放恶意ELF程序。研究机构强调：“Linux专属恶意软件的出现标志着APT36能力升级，政府与国防关键基础设施风险加剧。这种多阶段攻击可规避传统安防措施，使攻击者长期潜伏于敏感系统。” 360威胁情报中心另披露：攻击者通过钓鱼邮件散布含DISGOMOJI新变种的陷阱压缩包。该安全公司表示，这款基于Golang的ELF程序改用谷歌云服务进行C2通信，区别于此前依赖Discord的方案。“除浏览器插件窃取外，攻击者还将下载远程控制工具实施后续窃密。DISGOMOJI功能与前代载荷相似，但C2基础设施完成迁移。” Confucius组织投放WooperStealer与Anondoor 与此同时，网络间谍组织Confucius被指发起新攻击行动，散布信息窃取程序WooperStealer及新型模块化后门Anondoor。该组织据信自2013年起活跃，目标锁定南亚和东亚的政府军事单位，其攻击目标与印度密切相关。 据Seebug旗下404团队分析，攻击以Windows快捷方式文件（LNK）为起点，通过DLL劫持技术投放Anondoor后门。该后门具备完整攻击能力：可执行系统命令、屏幕截图、文件下载、Chrome密码提取及目录遍历。在收集系统信息后，恶意程序会从远程服务器获取WooperStealer。 研究报告指出：“该组织已从单一线程木马进化为模块化后门，技术迭代能力显著提升。其后门组件封装于C#动态库，通过反射机制规避沙箱检测。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

当前已知的 公开的 第一款 基于规则的 多语言的 快速的 GUI的 代码审计工具。

1. 为什么要二次反序列化为什么要二次反序列化？通常是因为存在反序列化入口时，代码通过重写ObjectInp

A vulnerability, which was classified as problematic, has been found in SourceCodester Best Salon Management System 1.0. Affected by this issue is some unknown functionality of the file /panel/search-appointment.php. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2025-7142. The attack may be launched remotely. Furthermore, there is an exploit available.

A vulnerability has been found in CodeAstro Patient Record Management System 1.0 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /login.php. The manipulation of the argument uname leads to sql injection. This vulnerability is known as CVE-2025-7147. The attack can be launched remotely. Furthermore, there is an exploit available.

A vulnerability was found in CodeAstro Simple Hospital Management System 1.0 and classified as problematic. Affected by this issue is some unknown functionality of the file /patient.html of the component POST Parameter Handler. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2025-7148. The attack may be launched remotely. Furthermore, there is an exploit available. Multiple parameters might be affected.