HackerNews

HackerNews 编译，转载请注明出处： 甲骨文电子商务套件（Oracle E – Business Suite，简称 EBS）遭黑客攻击事件中，几家被列为受害者的全球巨头，对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞，获取企业存储在甲骨文企业管理软件中的数据，进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌，但网络安全界认为，该行动可能是由一群威胁行为者推动的，其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业，涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者，网络犯罪分子发布了种子文件，指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明，确认发生数据泄露事件。许多企业称事件影响有限，但仍告知受影响人员潜在风险。 然而，仍有少数几家大型公司似乎尚未就此事发布任何公开声明，既未确认也未否认遭受攻击，甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司，以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过，大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据，但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析，发现这些文件确实源自甲骨文 EBS 环境。 以博通为例，网络犯罪分子公开了超过 2TB 的档案，据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时，指向柏克德和雅培文件的种子文件仍然可用，但无法获取数据进行分析。然而，这并不意味着网络犯罪分子无法再访问这些文件，因为它们也可能在地下论坛私下传播。 一方面，像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围，促使许多公司迅速发布声明，否认或淡化相关指控，以安抚客户和利益相关者，表明任何影响都是有限的。 此外，如果没有受监管的数据（如健康信息、社会安全号码或支付细节）遭到泄露，公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度，根据美国证券交易委员会（SEC）的规定，也无需向投资者报告。 另一方面，一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查，也可能引发诉讼、卖空压力或额外的监管审查。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 警告美国政府机构，要保护其 Wing FTP 服务器，防范一个已在攻击中被积极利用的漏洞，该漏洞可能被用于远程代码执行攻击链条。 Wing FTP 服务器是一款跨平台的 FTP 服务器软件，通过其内置的 SFTP 和网络服务器，还能实现安全文件传输。开发者称，他们的文件传输软件在全球拥有超过 10000 家客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。 这个被追踪为 CVE – 2025 – 47813 的安全漏洞，使得低权限的威胁行为者能够在未打补丁的服务器上获取该应用程序完整的本地安装路径。 CISA 解释称：“Wing FTP 服务器在 UID cookie 中使用长值时，存在生成包含敏感信息的错误消息漏洞。” 开发者于 2025 年 5 月在 Wing FTP 服务器 v7.4.4 版本中修复了此漏洞，同时修复的还有一个严重的远程代码执行（RCE）漏洞（CVE – 2025 – 47812）以及一个可用于窃取用户密码的信息泄露漏洞（CVE – 2025 – 27889）。 此前，在有关该 RCE 漏洞的技术细节公开一天后，攻击者就开始利用它，该漏洞也因此被标记为已在实际攻击中被利用。 发现并报告这些漏洞的安全研究员朱利安・阿伦斯（Julien Ahrens），于 6 月还分享了 CVE – 2025 – 47813 的概念验证利用代码，并表示攻击者可能将其与 CVE – 2025 – 47812 作为同一攻击链条的一部分来利用。 周二，CISA 将 CVE – 2025 – 47813 列入其被积极利用漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦民用行政部门（FCEB）机构在两周内保护好他们的系统。 虽然 BOD 22 – 01 仅针对联邦机构，但美国网络安全机构鼓励所有安全防护人员，包括私营部门的人员，尽快为其服务器打补丁，以应对正在发生的攻击。 CISA 在周一警告称：“这类漏洞是恶意网络行为者常用的攻击途径，对联邦机构构成重大风险。” “请按照供应商说明采取缓解措施，遵循 BOD 22 – 01 中关于云服务的适用指导；若无法采取缓解措施，则停止使用该产品。” 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。 此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包，依靠一个七步链条展开，利用分层基础设施和合法服务来逃避检测并欺骗收件人。 这封网络钓鱼邮件冒充金融服务提供商摩根大通，以现有邮件线程的一部分形式出现，以此增加其可信度，并邀请收件人查看并签署一份文件。 此外，攻击者使用了两个域名密钥识别邮件（DKIM）签名，以确保邮件能够通过 DMARC 身份验证，看起来值得信赖。 在邮件中，攻击者包含了一个 “查看文件” 链接，指向合法的思科域名 secure – web.cisco.com，该域名通常用于在邮件经思科验证后重写 URL。 由于该链接通过了思科安全邮件网关的验证，重定向 URL 托管在思科的基础设施上，这进一步使网络钓鱼邮件绕过了检测系统。 链条中的下一步涉及重定向到合法的电子邮件 API 平台 Nylas，这可能是为了确保网络钓鱼链接通过思科安全网络基础设施进行重定向。 Specops 指出：“通过将重定向链设置为经过思科和 Nylas 等合法服务，攻击者增加了链接通过安全过滤和信誉检查的可能性。这些域名广受信任，常见于合法流量中，这使得自动拦截变得更加困难。” 接下来，目标被重定向到一家位于印度的合法开发公司网站的子域名，然后又被重定向到一个最初于 2017 年由一家中国实体注册的域名。 该域名之前的 TLS 证书于 3 月 6 日过期，相关的 DNS 记录不久后被释放，该域名于 3 月 12 日重新注册，同一天为其颁发了几个新的 TLS 证书。 Specops 指出：“时间节点强烈表明，该域名是专门为此次攻击活动重新获取并重新利用的。” 用户再次被重定向，这次被导向部署在 Cloudflare 背后以隐藏其源服务器的网络钓鱼基础设施。在此阶段，受害者会收到一个浏览器验证检查，这可能是为了防止安全分析。 最后，受害者会看到一个极具迷惑性的网络钓鱼页面，旨在获取微软 365 的凭据。 Specops 解释道：“与攻击链条的其他部分一样，这一步也精心设计，从模仿 Outlook 的虚假加载动画，到验证用户输入是否确实为电子邮件的检查。作为最后一步，该网站尝试进行合法登录，以验证捕获的凭据是否有效。” 这家网络安全公司向 SecurityWeek 证实，此次攻击的目标是其母公司 Outpost24 的一名 C 级高管，凸显了此次攻击的复杂性。 Specops 没有将该事件归咎于特定的威胁行为者，但指出其作案手法与近期针对美国多个实体的与伊朗有关的威胁行为者的手法完全一致。 另一方面，该公司表示，也观察到其他黑客组织采用类似策略，因此很难明确归责。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，俄罗斯彼尔姆市的停车支付系统遭网络攻击，导致服务中断，停车免费数天。目前该系统已恢复正常。 周一，该市当局证实停车支付系统现已全面恢复运行，所有支付方式均可正常使用。 据当地官员称，此次系统瘫痪是由大规模分布式拒绝服务（DDoS）攻击造成的，该攻击使该市的自动停车支付基础设施不堪重负。 近年来，这至少是俄罗斯城市停车系统遭遇的第三起此类事件。去年 1 月，克拉斯诺达尔的一家电信运营商遭到 DDoS 攻击，导致相关服务中断，司机无法支付停车费用。 2024 年 10 月，特维尔市的停车支付也因一场针对当地市政府网络的破坏性网络攻击而受到影响。 后来，乌克兰网络联盟（Ukrainian Cyber Alliance）宣称对特维尔市的攻击负责。这是一个亲乌克兰的黑客激进组织，自俄罗斯入侵乌克兰以来，一直对俄罗斯政府和企业系统发动攻击。 上周彼尔姆市的这起事件迫使当局暂停全市停车收费，司机无法通过官方应用程序和网站付费。 官员表示，在 3 月 10 日至 13 日系统瘫痪期间，未支付停车费的司机不会面临处罚。彼尔姆市的付费停车区通常在周末免费。 乌克兰网络联盟在 2024 年对特维尔市的攻击中称，他们已删除了该市行政部门的 “数十台虚拟机、备份存储、网站、电子邮件以及数百台工作站”。 目前尚不清楚彼尔姆市的这起事件是否与之前的攻击有关，也没有黑客组织宣称对此负责。 此次攻击是一系列影响俄罗斯服务的网络事件中的最新一起。今年 1 月初，俄罗斯弗拉基米尔地区一家主要面包生产商遭网络攻击，导致食品配送中断。 同月，一家为家庭、企业和车辆提供报警及安全系统的俄罗斯供应商遭受攻击，引发大范围服务中断，客户投诉不断。另有一起事件还影响了俄罗斯航空公司和机场使用的预订及登机系统。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个相对较新的疑似与俄罗斯有关的黑客组织发起了一场网络间谍活动，他们将间谍软件伪装在有关星链卫星互联网终端和一家知名乌克兰慈善机构的文件中，目标直指乌克兰的各类组织。 据网络安全公司 Lab52 的一份报告显示，这场在 2 月被监测到的活动，部署了一款名为 DrillApp 的后门程序。借助该程序，攻击者能够从受感染的计算机上传和下载文件，通过麦克风录制音频，并利用网络摄像头抓拍图像。 研究人员将这场活动归咎于疑似与俄罗斯有关的黑客组织 “洗衣熊”（Laundry Bear），该组织也被追踪代号为 “虚空暴雪”（Void Blizzard）。至少从 2024 年起，该组织就十分活跃，此前曾将北约成员国和乌克兰机构列为攻击目标。 乌克兰计算机应急响应小组 CERT-UA 今年早些时候曾报告过该组织针对乌克兰武装部队的另一项行动。研究人员表示，这些行动都采用了类似的手段，包括以慈善为主题的诱饵，以及在公共文本分享服务平台上托管恶意组件。 在最近的这次行动中，攻击者使用了冒充乌克兰支持武装部队的慈善组织 “重生”（Come Back Alive）的请求文件，以及与星链卫星互联网终端验证相关的图片。2 月初，在乌克兰当局确认俄罗斯军队已开始在攻击无人机上安装星链技术后，乌克兰推出了针对星链终端的验证系统。 一旦恶意文件被打开，它就会通过微软 Edge 浏览器执行，使攻击者能够访问受害者的文件系统，并从麦克风获取音频、从摄像头获取视频以及录制设备屏幕画面。 研究人员称，攻击者可能选择通过网络浏览器来传播恶意软件，因为浏览器通常能够合法访问摄像头、麦克风和屏幕录制等敏感设备功能，这使得恶意活动更难被察觉。而且安全工具也很少将浏览器标记为可疑对象。 Lab52 表示，该间谍软件似乎仍处于早期开发阶段，这表明攻击者可能正在尝试新的方法来规避防御措施。研究人员识别出此次活动中使用的恶意软件有两个版本，主要区别在于诱骗受害者的诱饵不同。 “洗衣熊” 此前被描述为使用 “相对简单但难以察觉的技术”。该组织主要专注于网络间谍活动。微软此前曾报告称，该组织已成功渗透乌克兰多个行业的机构，包括教育、交通和国防领域。 安全研究人员还注意到，“洗衣熊” 的策略与俄罗斯军事情报威胁组织 APT28（也被称为 “奇幻熊”，Fancy Bear）的策略存在重叠之处，不过分析人士通常认为它们是不同的组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦情报局（BND）前副局长阿恩特・弗赖塔格・冯・洛林霍芬（Arndt Freytag von Loringhoven）成为 Signal 网络攻击的目标，这是一系列针对德国官员和政客的攻击浪潮的一部分。 一场针对 Signal 和 WhatsApp 用户的网络攻击，波及了德国高级官员，其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称，有人冒充 Signal 客服联系他，并索要他的个人识别码（PIN）。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。 《明镜》周刊（SPIEGEL）发布的报道称：“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解，德国高级政客已向当局报案称自己是受害者，安全机构的在职官员也遭到了攻击。” 早在 2 月，德国联邦宪法保卫局（BfV）和联邦信息安全办公室（BSI）就将此次攻击归类为 “与安全相关”，并敦促受影响人员站出来。BfV 表示，这一警告得到了 “高度响应”，且他们认为这避免了更严重的损害。 德国当局警告 Signal 用户检查可疑迹象，比如在 “已配对设备” 下列出的未知设备，或者意外收到的重新注册账号提示。 以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例，攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接，并删除了自己的账号。调查人员认为，这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争，还著有《普京对德国的攻击》一书，他很可能被视为高价值目标。 Signal 方面表示，近期的这些事件是有针对性的网络钓鱼攻击，攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损，仍然安全。Signal 在 X 平台（原推特）上发文称：“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户（包括政府官员和记者）账号被劫持的报道。我们对此高度重视。需要明确的是：Signal 的加密技术和基础设施并未受损，依然稳固。” Signal 警告称，此类攻击依赖社会工程学手段，攻击者冒充可信联系人或假冒客服，诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息，并敦促用户保持警惕，切勿分享登录验证码。 3 月初，荷兰情报机构（军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD）发出警告，称存在一场由与俄罗斯有关的威胁行为者发起的全球行动，目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员，凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。 荷兰情报机构发布的警报称：“俄罗斯国家黑客正在开展一场大规模全球网络行动，试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实，此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为，俄罗斯政府感兴趣的其他人员，如记者，也可能成为此次行动的目标。” 俄罗斯网络间谍通过诱骗用户透露验证码，从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服，或利用 “关联设备” 功能，获取消息和聊天群组的访问权限，这可能导致政府和军事目标的敏感信息泄露。 荷兰情报机构警告称，俄罗斯之所以瞄准 Signal，是因其强大的端到端加密功能，俄罗斯企图借此获取敏感的政府通信内容。官员们强调，Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。 政府专家指出，攻击者并非利用应用程序漏洞，而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示，只有个别账号成为攻击目标，而非平台本身。 荷兰情报机构建议 Signal 用户仔细监控群组聊天，留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次，这可能表明账号已遭入侵，或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况，并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号，之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称，例如改为 “已删除账号”，或者通过共享群组链接加入，从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵，建议离开该聊天群组并创建新群组，以确保群组内通信的安全性和完整性。 2025 年 2 月，谷歌威胁情报小组（GTIG）的研究人员发出警告，称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测，针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在，且可能会在乌克兰以外的地区实施。 俄罗斯黑客利用 Signal 的 “关联设备” 功能，通过特制的二维码将受害者账号关联到攻击者控制的设备上，进而进行监视。 GTIG 发布的报告称：“俄罗斯方面试图入侵 Signal 账号时，最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能，该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码，威胁行为者便制作恶意二维码，受害者扫描后，其账号就会与攻击者控制的 Signal 实例关联。如果成功，后续消息将实时同步发送给受害者和威胁行为者，这为攻击者提供了一种持续监听受害者安全对话的方式，而无需完全入侵设备。” 研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具，从安卓和 Windows 设备上窃取 Signal 数据库文件，以实现数据渗出。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰国家核研究中心（NCBJ）表示，其信息技术基础设施遭到黑客攻击，但在造成任何影响前就已被检测并拦截。 该机构本周在一份声明中宣布，其用于及早发现威胁的安全系统和内部流程，成功阻止了系统被入侵，并让信息技术人员迅速加固了受攻击目标。 波兰国家核研究中心称：“得益于安全系统与相关流程在此次事件中的快速高效运行，以及团队的迅速响应，攻击被成功挫败，系统完整性未受破坏。” 波兰国家核研究中心是该国主要的政府核科研机构，专注于核物理、反应堆技术、粒子物理和辐射应用领域，为波兰核电项目提供技术与科研支持。 该机构还运营着波兰唯一一座用于科研实验、中子研究及医用同位素生产的玛丽亚（MARIA）核反应堆，此反应堆不用于发电。 波兰国家核研究中心主任雅各布・库佩茨基教授表示，此次网络安全事件未影响玛丽亚反应堆的运行，反应堆仍以满功率安全稳定运转。 该机构已通报波兰相关部门并启动调查，同时内部安全团队已进入高度戒备状态，以应对任何新的威胁。 尽管该机构未将此次攻击归咎于任何特定黑客组织或国家，但路透社报道称，波兰当局发现伊朗可能是此次网络攻击的幕后方。不过调查人员仍持谨慎态度，因为这些迹象有可能是虚假旗标行动（故意嫁祸）。 本月早些时候，波兰国防部长弗拉迪斯拉夫・科希尼亚克 – 卡米什表示，波兰并未参与中东冲突。 今年 1 月有消息披露，波兰电网 —— 尤其是多个分布式能源资源站点、热电联产设施、风电与光伏调度系统 —— 曾遭到俄罗斯黑客组织 APT44（“沙虫”）的攻击。 2 月底，国际气候与环境研究中心（ICCT）的一份报告将波兰列为俄罗斯网络行动的重点目标之一：2025 年年中至 2026 年年初，已有31 起确认为俄罗斯方面发起的网络事件。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局（FBI）正在向安装了含恶意软件 Steam 游戏的玩家征集信息，这是针对上传至该游戏平台的 8 款恶意游戏所开展调查的一部分。 在 FBI 西雅图分局今日发布的一则通知中，该机构表示，正在试图确认 2024 年 5 月至 2026 年 1 月期间，在 Steam 上安装了其中一款恶意游戏后受到影响的人员。 通知中写道：“FBI 西雅图分局正在寻找可能安装了嵌入恶意软件 Steam 游戏的受害者。FBI 认为，威胁行为者主要针对的是 2024 年 5 月至 2026 年 1 月这一时间段内的用户。” “在调查中，已确定多款游戏存在问题，包括《方块爆破手》（BlockBlasters）、《化学世界》（Chemia）、《达什宇宙 / 达什第一人称射击》（Dashverse/DashFPS）、《小灯神》（Lampy）、《露娜拉》（Lunara）、《海盗加密》（PirateFi）和《托肯诺瓦》（Tokenova）。” “如果您和 / 或您监护的未成年人因安装这些游戏之一而成为受害者，或者拥有与此次调查相关的信息，请填写这份简短表格。” 调查问卷显示，FBI 关注的重点是安装恶意软件后的加密货币盗窃和账户劫持情况，询问有关加密货币交易、被盗用账户及被盗资金的问题。 该表格还要求提供与推广这些游戏的人员的通信截图，这有助于调查人员追踪被盗的加密货币，并追查到传播恶意软件的人。 FBI 向 BleepingComputer 表示：“法律要求 FBI 确认其调查的联邦犯罪受害者身份。受害者可能有资格根据联邦和 / 或州法律获得某些服务、赔偿并享有相应权利。所有受害者身份都将予以保密。” “2026 年 3 月 12 日发出的大规模通知中列出的网站和电子邮件是 FBI 官方授权的。目前，FBI 无法提供超出电子邮件通知中网站所提及信息之外的具体细节。” FBI 还呼吁任何知晓可能受影响人员的人，鼓励他们向 [email protected] 提交问询。 BleepingComputer 也向 Valve 公司发送了有关此次调查的问题，但未收到回复。 Steam 游戏中隐藏的恶意软件 在过去两年里，Steam 平台上发现的多款恶意游戏传播了窃取信息的恶意软件，这些恶意软件旨在从玩家设备中获取凭证、加密货币钱包及其他敏感数据。 其中最引人注目的案例之一涉及《方块爆破手》，这是一款 2024 年 7 月至 9 月期间在 Steam 平台上提供的免费 2D 平台游戏。该游戏最初上传至 Steam 时是干净的程序，但后来被添加了加密货币窃取恶意软件。 这款 Steam 恶意游戏的情况是由视频游戏主播雷沃・普拉夫尼克斯（拉斯特兰 TV，Raivo Plavnieks/RastalandTV）在一次直播中揭露的，当时他正在为癌症治疗筹款。 这位主播下载了这款经 Steam 验证的游戏后，称其加密货币钱包损失了超过 3.2 万美元。 区块链调查员扎克 XBT（ZachXBT）后来估计，攻击者从 261 个 Steam 账户中窃取了约 15 万美元。网络安全研究员 VX-Underground 随后报告称，受害者数量高达 478 人。 在恶意生存建造游戏《化学世界》中，一个名为 EncryptHub 的威胁行为者添加了 HijackLoader 恶意软件，该软件会下载 Vidar 信息窃取器。后来发现，这款游戏还安装了 EncryptHub 定制的 Fickle Stealer 恶意软件，该软件会窃取凭证、浏览器数据、Cookie 和加密货币钱包信息。 《海盗加密》游戏也传播了 Vidar 信息窃取器，2025 年 2 月在 Steam 平台上存在了约一周时间。在该游戏从 Steam 下架前，可能有多达 1500 名用户下载了它。 Steam 随后警告启动该游戏的玩家，其电脑上可能已执行恶意文件，并建议他们运行杀毒扫描、检查已安装软件，并考虑重新安装操作系统。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Payload 勒索软件组织宣称已入侵巴林一家主要医疗机构 —— 巴林皇家医院（RBH）。 Payload 勒索软件组织声称侵入了巴林皇家医院，并窃取了 110GB 的数据。该勒索软件团伙将这家医疗机构列入其暗网数据泄露网站，并公布了疑似被攻击系统的图片，以此作为攻击证据。 该组织威胁称，如果在 3 月 23 日前未收到赎金，就会公开所窃取的数据。 巴林皇家医院成立于 2011 年，是一家拥有 70 张床位的医疗机构，提供住院和门诊服务，包括手术、产科护理和诊断等。其服务对象来自巴林及阿曼、卡塔尔、沙特阿拉伯和阿联酋等周边国家。 Payload 勒索软件是一个相对较新的网络犯罪活动，采用双重勒索模式，即结合数据窃取和文件加密手段向受害者施压。该组织主要针对新兴市场中房地产和物流等行业的大中型企业。从技术层面看，这款勒索软件使用 ChaCha20 算法进行文件加密，Curve25519 算法进行密钥交换，同时会删除卷影副本并禁用安全工具。 与许多现代犯罪团伙一样，Payload 很可能是以勒索软件即服务的模式运营，并设有一个暗网泄露网站，用于公布未支付赎金受害者的数据。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出 GlassWorm 攻击活动的新变体，称其在通过 Open VSX 注册表传播的方式上出现 “显著升级”。 Socket 公司在周五发布的一份报告中称：“威胁行为者不再要求每个恶意插件直接嵌入加载程序，而是滥用 extensionPack（扩展包）和 extensionDependencies（扩展依赖项），在后续更新中将最初看似独立的扩展转变为间接传播工具，使得一个看似良性的软件包在建立信任后，才开始引入与 GlassWorm 相关的单独扩展。” 这家软件供应链安全公司表示，自 2026 年 1 月 31 日以来，他们发现至少还有 72 个针对开发者的恶意 Open VSX 扩展。这些扩展模仿广泛使用的开发者工具，包括代码检查器和格式化工具、代码运行器，以及诸如 Clade Code 和 Google Antigravity 等人工智能驱动的代码辅助工具。 以下是部分扩展的名称。此后，Open VSX 已采取措施将它们从注册表中移除： angular-studio.ng – angular – extension crotoapp.vscode – xml – extension gvotcha.claude – code – extension mswincx.antigravity – cockpit tamokill12.foundry – pdf – extension turbobase.sql – turbo – tool vce – brendan – studio – eich.js – debuger – vscode GlassWorm 是一场持续的恶意软件攻击活动，它多次通过恶意扩展渗透微软 Visual Studio Marketplace 和 Open VSX，这些恶意扩展旨在窃取机密信息、掏空加密货币钱包，并将受感染的系统用作其他犯罪活动的代理。 网络安全方面，虽然该活动于 2025 年 10 月首次被 Koi Security 标记，但早在 2025 年 3 月就已发现使用相同策略的 npm 包，特别是使用不可见的 Unicode 字符来隐藏恶意代码。 最新变体保留了与 GlassWorm 相关的许多特征：进行检查以避免感染俄罗斯区域设置的系统，并使用 Solana 交易作为一种隐秘通信方式来获取命令与控制（C2）服务器，以提高弹性。 但这组新的扩展还具有更强的混淆性，轮换 Solana 钱包以逃避检测，并且滥用扩展关系来部署恶意有效载荷，类似于 npm 包依赖恶意依赖项以躲避检测。无论一个扩展在其 “package.json” 文件中被声明为 “extensionPack” 还是 “extensionDependencies”，编辑器都会继续安装其中列出的所有其他扩展。 通过这种方式，GlassWorm 攻击活动使用一个扩展作为另一个恶意扩展的安装程序。这也开启了新的供应链攻击场景，攻击者首先将一个完全无害的 VS Code 扩展上传到市场以绕过审核，之后更新该扩展，将与 GlassWorm 相关的软件包列为依赖项。 Socket 公司称：“结果是，一个在最初发布时看似非传递性且相对良性的扩展，随后可以在不改变其表面用途的情况下，成为一个传递 GlassWorm 的工具。” 在一份同期发布的公告中，Aikido 将 GlassWorm 威胁行为者归因于一场在开源存储库中传播的大规模攻击活动，攻击者向各种存储库注入不可见的 Unicode 字符来编码有效载荷。虽然当内容加载到代码编辑器和终端中时不可见，但解码后会得到一个加载程序，该加载程序负责获取并执行一个第二阶段脚本，以窃取令牌、凭证和机密信息。 据估计，在 2026 年 3 月 3 日至 3 月 9 日期间，作为该活动一部分，不少于 151 个 GitHub 存储库受到影响。此外，相同的 Unicode 技术已被部署在两个不同的 npm 包中，这表明这是一次有协调的多平台攻击： @aifabrix/miso – client @iflow – mcp/watercrawl – watercrawl – mcp 安全研究员伊利亚斯・马卡里（Ilyas Makari）表示：“恶意注入并非出现在明显可疑的提交中。周围的更改很真实：文档调整、版本升级、小的重构以及与每个目标项目风格一致的错误修复。这种针对特定项目的定制程度强烈表明，攻击者正在使用大语言模型来生成令人信服的掩护提交。” PhantomRaven 还是研究实验？ 与此同时，Endor Labs 表示，他们发现从 2025 年 11 月到 2026 年 2 月，分三波通过 50 个一次性账户上传了 88 个新的恶意 npm 包。这些包具备从受感染机器上窃取敏感信息的功能，包括环境变量、CI/CD 令牌和系统元数据。 该活动因使用远程动态依赖项（RDD）而引人注目，在这种情况下，“package.json” 元数据文件在自定义 HTTP URL 指定依赖项，从而使操作者能够动态修改恶意代码并绕过检查。 在网络安全领域，虽然这些包最初被认定为 PhantomRaven 攻击活动的一部分，但这家应用安全公司在一次更新中指出，它们是一名安全研究人员作为合法实验的一部分制作的 —— 但 Endor Labs 对此说法提出质疑，并列举了三个警示信号。其中包括这些库收集的信息远超必要范围、对用户不透明，以及由故意轮换的账户名和电子邮件地址发布。 截至 2026 年 3 月 12 日，这些包的所有者已进行了更多更改，将在这三个月期间发布的一些 npm 包中用于收集数据的有效载荷替换为简单的 “Hello, world!” 消息。 Endor Labs 表示：“虽然移除收集大量信息的代码当然值得欢迎，但这也凸显了与 URL 依赖相关的风险。当软件包依赖托管在 npm 注册表之外的代码时，作者无需发布新的软件包版本就能完全控制有效载荷。通过修改服务器上的单个文件 —— 或者仅仅关闭它 —— 他们可以立即无声地更改或禁用每个依赖包的行为。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大零售商罗布劳（Loblaw）在威胁行为者获取客户信息后，披露了一起数据泄露事件。 罗布劳是加拿大最大的食品和药品零售商之一。它在加拿大各地经营着 2400 多家门店，拥有诸如购物者药品超市（Shoppers Drug Mart）、平价超市（No Frills）、加拿大真实超市（Real Canadian Superstore）和总统之选（President’s Choice）等品牌。 该公司在一份简短的数据泄露通知中表示，其最近发现一个 “第三方犯罪分子” 获取了客户的基本信息，如姓名、电子邮件地址和电话号码。 该公司称：“罗布劳目前的调查显示，密码、健康信息和信用卡数据未遭泄露。调查还表明，PC 金融（PC Financial）未受此次数据泄露事件的影响。” 目前尚不清楚有多少客户受到罗布劳数据泄露事件的影响。 在撰写本文时，没有已知的勒索软件组织声称对罗布劳的攻击负责。 就在罗布劳披露数据泄露事件之际，星巴克刚刚开始通知数百名员工，告知他们发生了一起网络安全事件，其个人信息已被泄露。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 星巴克披露了一起数据泄露事件，数百名员工的个人信息遭到波及。 这起网络安全事件于 2 月 6 日被察觉，当时这家咖啡巨头获悉其 “星巴克伙伴中心” 账户遭到未经授权的访问。 “伙伴中心” 是星巴克员工（公司称他们为 “伙伴”）用于管理个人信息、薪资以及福利数据的在线门户网站。 基于星巴克披露的有限信息来看，似乎其系统并非直接攻击目标，网络也未遭破坏。 一项调查发现，黑客通过网络钓鱼攻击获取用户凭证后，得以访问 “星巴克伙伴中心” 账户。此次网络钓鱼利用了模仿该门户网站设计的虚假网站。 星巴克在向受影响员工发出的通知中称：“基于我们的调查，我们了解到您的部分个人信息，包括姓名、社会安全号码、出生日期、金融账户号码及路由号码，可能已被未经授权的第三方获取。” 执法部门已得知这起事件，同时星巴克为受影响员工提供免费的身份信息保护服务。 根据提交给缅因州总检察长办公室的数据泄露通知，此次事件影响了近 900 名星巴克员工。该公司在美国拥有超过 20 万名员工。 该通知还显示，对员工账户的未经授权访问发生在 1 月 19 日至 2 月 11 日之间。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ANY.RUN 的分析师发现，利用微软 OAuth 设备授权授予流程的钓鱼活动数量急剧上升，仅一周内就检测到超过 180 个恶意 URL。 与传统的凭据窃取不同，该技术会将受害者引导至合法的微软身份验证页面，这使得安全运营中心（SOC）极难实时发现入侵行为。 OAuth 设备码流程最初是为输入受限设备设计的，例如智能电视、会议室系统这类难以展示完整浏览器登录页面的设备。攻击者将这一合法机制挪作他用，实施基于令牌的账号劫持，可完全绕过多因素认证（MFA）。 OAuth 设备码滥用攻击链路 攻击链路始于威胁行为者发起微软设备授权请求，生成两个值：user_code（展示给受害者的、人类可识别的短字符串），以及 device_code（仅由攻击者持有的内部会话令牌）。 沙箱中暴露的攻击链路 随后受害者会被引导至钓鱼页面，这类页面通常伪装成 DocuSign 的文档通知，要求受害者复制验证码，并前往 microsoft [.] com/devicelogin 页面完成输入。 带有验证码的伪造 DocuSign 页面 由于该目标地址是真实的微软域名，受害者不会发现任何异常，通常会正常完成 MFA 验证。通过输入验证码，受害者在不知情的情况下授权了攻击者发起的登录会话，攻击者随后即可获取有效的 OAuth 访问令牌和刷新令牌 —— 全程无需获取受害者的密码。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对新发现的、影响 Cortex XDR Broker 虚拟机（VM）的漏洞，官方已发布安全公告。 该漏洞可让高权限的已认证攻击者访问并篡改敏感的系统信息。 所幸该问题为内部发现，目前暂无野外恶意利用该漏洞的活跃攻击报告。 Paloalto Cortex XDR Broker 漏洞详情 该敏感信息泄露漏洞编号为 CVE-2026-0231，被评定为中等紧急程度，CVSS 4.0 评分为 5.7（中危）。 核心问题出在 Cortex XDR Broker VM 对特定终端会话的处理机制中。要成功利用该漏洞，攻击者必须已完成身份认证、具备高级别权限，且能直接访问目标 Broker VM 的网络。 一旦满足这些严格条件，威胁行为者即可通过 Cortex 用户界面（UI）触发实时终端会话。 该未授权会话允许攻击者暴露内置的敏感数据，并修改关键配置设置。 尽管该漏洞存在数据泄露的风险，但发起攻击所需的严格条件 —— 尤其是需要已具备高权限和本地网络访问权限 —— 大幅降低了大规模自动化利用的可能性。 Cortex XDR Broker VM 是安全环境中的关键枢纽，负责流量转发和核心安全日志的采集。 由于其核心作用，对其配置设置的未授权访问可能造成严重影响。 该漏洞威胁到产品的机密性、完整性和可用性，在这三项具体影响指标上均被评为 “高”。 该漏洞被归类为 CWE-497，即敏感系统信息暴露至未授权控制域。 尽管该漏洞攻击复杂度低，且无需用户交互，但对高管理权限的要求，为外部威胁设置了一道强力屏障。 目前 Palo Alto Networks 表示，该漏洞的利用成熟度暂无相关报告，意味着威胁行为者尚未开发或共享可滥用该漏洞的自动化工具。 该漏洞由内部研究员 Nicola Kalak 负责任地发现并上报，为管理员加固环境争取到了关键的提前量。 受影响版本与缓解措施 该漏洞仅影响 Cortex XDR Broker VM 30.0 系列，系统无需特殊配置即存在受影响风险。 受影响的产品版本包括 Cortex XDR Broker VM 30.0.0 至 30.0.49（含首尾版本）。 为保护网络基础设施，Palo Alto Networks 强烈建议安装官方补丁；目前该漏洞暂无已知的变通方法或临时缓解方案。 安全团队应采取以下措施： ·     核实当前 Cortex XDR Broker VM 的版本 ·     若运行受影响版本，立即升级至 Cortex XDR Broker VM 30.0.49 或更高版本 ·     确保为 Broker VM 启用自动升级功能。若该功能已开启，系统将无需手动干预即可完成补丁安装，自动获取最新的安全防护。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款疑似由人工智能（AI）生成的恶意软件的详细信息，该软件代号为 Slopoly，由以经济利益为动机的威胁行为者 Hive0163 使用。 IBM X-Force 研究员 Golo Mühr 在提前提供给 The Hacker News 的报告中表示：“尽管 Slopoly 这类 AI 生成的恶意软件目前仍相对普通，但它表明威胁行为者可以多么轻松地利用 AI 来开发新的恶意软件框架，所需时间仅为过去的一小部分。” Hive0163 的活动以大规模数据窃取和勒索软件勒索为驱动。该电子犯罪团伙主要与一系列恶意工具相关联，包括 NodeSnake、Interlock RAT、JunkFiction loader 和 Interlock ransomware。 在该公司 2026 年初观察到的一起勒索软件攻击中，威胁行为者在漏洞利用后阶段部署了 Slopoly，以便在受感染服务器上维持超过一周的持久访问权限。 Slopoly 的发现可追溯至一个很可能通过构建器部署的 PowerShell 脚本，该脚本还通过名为 “Runtime Broker” 的计划任务建立了持久访问权限。 有迹象表明，该恶意软件是在一个尚未确定的大语言模型（LLM）的帮助下开发的。这些迹象包括存在大量注释、日志记录、错误处理和命名准确的变量。注释还将该脚本描述为 “Polymorphic C2 Persistence Client”，表明它是一个命令与控制（C2）框架的一部分。 Mühr 指出：“不过，该脚本不具备任何高级技术，几乎不能被视为多态的，因为它无法在执行过程中修改自身代码。但构建器可能会生成具有不同随机配置值和函数名的新客户端，这在恶意软件构建器中是标准做法。” 该 PowerShell 脚本充当一个功能完整的后门，每 30 秒向 C2 服务器发送一次包含系统信息的心跳消息，每 50 秒轮询一次新命令，通过 “cmd.exe” 执行该命令，并将结果传回服务器。目前尚不清楚在受感染网络上运行的命令的具体性质。 据称，此次攻击本身利用了 ClickFix 社会工程策略，诱骗受害者运行一个 PowerShell 命令，该命令随后下载了 NodeSnake—— 一款被归因于 Hive0163 的已知恶意软件。 为第一阶段组件，NodeSnake 旨在运行 shell 命令、建立持久访问权限，并检索和启动一个更广泛的恶意软件框架，即 Interlock RAT。 Hive0163 有使用 ClickFix 和恶意广告进行初始访问的记录。该威胁行为者用来建立立足点的另一种方法是依赖初始访问代理，例如 TA569（又名 SocGholish）和 TAG-124（又名 KongTuke 和 LandUpdate808）。 该框架在 PowerShell、PHP、C/C++、Java 和 JavaScript 中有多种实现，以同时支持 Windows 和 Linux。与 NodeSnake 一样，它也与远程服务器通信以获取命令，这些命令允许它启动 SOCKS5 代理隧道、在受感染机器上生成反向 shell，并交付更多载荷，例如 Interlock ransomware 和 Slopoly。 Slopoly 的出现进一步扩大了 AI 辅助恶意软件的名单，该名单还包括 VoidLink 和 PromptSpy，凸显了不良行为者如何利用该技术加速恶意软件开发并扩大其活动规模。 IBM X-Force 表示：“从技术角度来看，AI 生成的恶意软件的引入并不构成新的或复杂的威胁。它通过减少操作者开发和执行攻击所需的时间，极大地增强了威胁行为者的能力。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周三，美国与欧洲的执法机构联合捣毁了一个提供数千台家用路由器访问权限的网络犯罪平台。 SocksEscort 代理网络允许网络犯罪分子购买受恶意软件感染的路由器的访问权限。犯罪分子可通过受感染的路由器转发其网络活动，以此隐藏自身的地理位置与 IP 地址。 美国司法部表示，2020 年至 2026 年间，SocksEscort 提供了覆盖 163 个国家、约 36.9 万个不同 IP 地址的访问权限；截至今年 2 月，该平台仍上架了约 8000 个 IP 地址，其中 2500 个位于美国境内。 七个国家的执法机构共计查封了 34 个域名，关停了 23 台服务器。美国官方还冻结了价值 350 万美元的加密货币。 在针对 SocksEscort 采取行动的同时，美国联邦调查局（FBI）于周四发布了关于名为 AVRecon 的恶意软件的紧急警报，警告公众该恶意软件的攻击目标为路由器与物联网设备。 威胁行为者 “会入侵路由器、安装 AVRecon 恶意软件，随后通过 SocksEscort 住宅代理服务，将受感染设备的访问权限作为住宅代理出售”。 欧洲刑警组织指出，设备感染该恶意软件后，机主完全不会知晓自己的 IP 地址正被滥用。 欧洲刑警组织执行主任凯瑟琳・德・博勒表示，SocksEscort 这类代理服务 “为犯罪分子提供了发起攻击、传播非法内容、规避检测所需的数字掩护”。 德・博勒在声明中称：“通过拆除这一基础设施，执法机构捣毁了一项为全球范围网络犯罪提供支撑的服务。” 美国官方对支撑 SocksEscort 运作的多个美国境内域名执行了查封令。 法庭文件显示，SocksEscort 网站与数十种不同的网络诈骗相关，包括虚假失业保险申领、加密货币盗窃以及美国银行账户劫持。 据称，SocksEscort 的运营者通过该服务非法获利超 570 万美元。 奥地利、法国、荷兰的执法机构关停了 SocksEscort 的服务器，保加利亚、德国、匈牙利、罗马尼亚的官方也参与了这项始于 2025 年 6 月的调查。美国司法部指出，Lumen 旗下的 Black Lotus Labs、Shadowserver 基金会等私营机构也提供了协助。 Black Lotus Labs 发布了关于 AVRecon 与 SocksEscort 的专项公告，称过去几年间，该平台 “每周平均波及约 2 万名独立受害者，相关通信通过平均 15 个命令与控制（C2）节点进行转发”。 该公司曾在 2023 年表示，AVRecon 僵尸网络是其见过的针对家用 / 办公路由器的最大僵尸网络之一。 一名 FBI 官员向科技媒体 The Register 透露，SocksEscort 拥有 12.4 万名用户，官方计划利用查封的服务器追踪其他网络犯罪活动。 近年来，美国与欧洲的执法机构加大了僵尸网络的捣毁力度，以遏制网络犯罪与国家级攻击活动。自 2021 年以来，QakBot、911 S5、IPStorm、KV、DanaBot、Anyproxy、5socks 等多个僵尸网络均已受到执法机构的查处。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大最大的食品和药品零售商 Loblaw Companies Limited（Loblaw）宣布，黑客入侵了其部分 IT 网络并访问了客户的基础信息。 该零售商在全国拥有 2500 家门店（特许经营超市、药房、银行网点和服装店铺），并计划今年新增 70 家门店，作为其到 2030 年投资 100 亿加元的五年计划的一部分。 该公司拥有 22 万名员工，年收入 450 亿加元。其最知名的商业品牌和标识包括 Loblaws、Real Canadian Superstore、No Frills、Maxi、President’s Choice、PC Optimum 和 Joe Fresh。 本周早些时候，该公司告知客户，其在网络上检测到可疑活动，进而发现了入侵行为。 Loblaw 表示：“在其 IT 网络中一个隔离、非核心的部分发现可疑活动后，公司确认有犯罪第三方访问了部分客户基础信息，例如姓名、电话号码和电子邮件地址。” 泄露的数据属于个人可识别信息（PII），可能被用于钓鱼攻击和欺诈活动。Loblaw 的客户应警惕来自陌生联系人的可疑通信。 该公司指出，截至目前的调查未发现财务信息（如信用卡详情）、健康信息或账户密码遭到泄露的证据。 但出于高度谨慎，Loblaw 表示已将所有客户自动登出账户。需要使用公司数字服务的账户持有人必须重新登录。建议客户同时修改密码。 Loblaw 的调查显示，其金融服务品牌 PC Financial 未受此次事件影响。 截至发稿时，Bleeping Computer 未发现有威胁组织公开宣称对此次攻击负责，也未发现地下论坛上有兜售 Loblaw 相关数据的信息。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份重要安全公告已发布，警告用户存在一个高严重性漏洞，同时影响 Enterprise 和 Cloud 平台。 该漏洞编号为 CVE-2026-20163，CVSS 评分为 8.0。它允许攻击者在目标系统上执行远程命令执行（RCE）。 该漏洞源于系统在对上传文件建立索引前进行预览时，对用户输入处理不当。 虽然该漏洞要求攻击者拥有高级别权限，但成功利用后可使恶意用户控制底层主机服务器。 Splunk 远程代码执行漏洞核心问题归类为 CWE-77，即对命令中使用的特殊元素未正确进行中性化处理。 该漏洞存在于 Splunk 的 REST API 组件中，具体针对 /splunkd/__upload/indexing/preview 端点。 攻击者要利用该漏洞，必须已拥有包含高权限 edit_cmd 功能的用户角色。 如果满足此条件，攻击者可在文件上传预览过程中操纵 unarchive_cmd 参数。 由于系统未正确清理该输入内容，攻击者可轻松在服务器上直接注入并执行任意 Shell 命令。 该漏洞已由安全研究员 Danylo Dmytriiev（DDV_UA）以及 Splunk 内部团队成员 Gabriel Nitu 和 James Ervin 负责任地披露。 该漏洞影响 Splunk 软件的多个近期版本。管理员应对照以下受影响版本检查自己的部署环境。 受影响版本包括 Enterprise 10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9，以及 Cloud Platform 低于 10.2.2510.5、10.1.2507.16、10.0.2503.12 和 9.3.2411.124 的版本。 基础版 Splunk Enterprise 10.2 不受该漏洞影响。此外，Splunk 正在主动监控并直接向受影响的 Cloud Platform 实例部署补丁。 为保护基础设施免受潜在利用，Splunk 强烈建议立即通过更新或临时缓解措施修复该漏洞。 升级 Splunk Enterprise：管理员应将安装版本升级至已修复版本 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。实施缓解措施：如果无法立即升级，可通过从所有用户角色中完全移除高权限 edit_cmd 功能来降低风险。这会通过拒绝执行恶意命令所需的权限来阻断攻击链。 目前尚无针对该漏洞的专用威胁检测特征库，因此主动打补丁和严格权限管理至关重要。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款针对巴西用户的新型银行恶意软件的详细信息，该软件用 Rust 编写，与拉丁美洲网络犯罪生态系统中其他已知的基于 Delphi 的恶意软件家族存在显著差异。 这款旨在感染 Windows 系统的恶意软件于上月首次被发现，巴西网络安全公司 ZenoX 将其代号命名为 VENON。 VENON 的特别之处在于，它与针对该地区的成熟银行木马（如 Grandoreiro、Mekotio 和 Coyote）具有一致的行为，特别是在银行覆盖层逻辑、活动窗口监控和快捷方式（LNK）劫持机制等功能方面。 该恶意软件尚未被归因于任何此前记录的组织或活动。然而，可追溯至 2026 年 1 月的早期版本样本被发现暴露了恶意软件作者开发环境的完整路径。这些路径反复引用 Windows 机器用户名 “byst4”（例如 “C:\Users\byst4…”）。 ZenoX 表示：“Rust 代码结构呈现出的模式表明，开发者熟悉现有拉丁美洲银行木马的功能，但使用生成式 AI 在 Rust 中重写并扩展了这些功能 —— 要达到所观察到的复杂程度，使用 Rust 需要丰富的技术经验。” VENON 通过复杂的感染链传播，利用 DLL 侧加载技术启动恶意 DLL。据推测，该活动利用 ClickFix 等社会工程策略，诱骗用户通过 PowerShell 脚本下载包含载荷的 ZIP 压缩包。 DLL 执行后，会在实际发起任何恶意操作前执行九种规避技术，包括反沙箱检查、间接系统调用、ETW 绕过、AMSI 绕过。它还会访问 Google Cloud Storage URL 以获取配置、安装计划任务，并与命令与控制（C2）服务器建立 WebSocket 连接。 从 DLL 中还提取出两个 Visual Basic Script 代码块，它们实现了专门针对 Itaú 银行应用的快捷方式劫持机制。这些组件通过将合法系统快捷方式替换为篡改版本来运作，将受害者重定向至威胁行为者控制的网页。 该攻击还支持卸载步骤以撤销修改，表明操作者可远程控制该活动，将快捷方式恢复至原始状态以掩盖痕迹。 总体而言，这款银行恶意软件通过监控窗口标题和活动浏览器域名，针对 33 家金融机构和数字资产平台，仅在任何目标应用或网站被打开时才会启动，通过提供虚假覆盖层来窃取凭据。 此次披露之际，威胁行为者正利用 WhatsApp 在巴西的普及性，通过该消息平台的桌面网页版分发名为 SORVEPOTEL 的蠕虫。该攻击依赖滥用此前已认证的聊天，直接向受害者发送恶意诱饵，最终导致部署 Maverick、Casbaneiro 或 Astaroth 等银行恶意软件。 Blackpoint Cyber 表示：“通过被劫持的 SORVEPOTEL 会话发送的一条 WhatsApp 消息，就足以将受害者引入多阶段链路，最终导致 Astaroth 植入程序完全在内存中运行。” “本地自动化工具、无监督浏览器驱动程序和用户可写运行时的结合，创造了一个异常宽松的环境，使蠕虫和最终载荷都能以最小阻力建立自身。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 阿尔巴尼亚议会周二晚间表示，其遭遇一场 “高级” 网络攻击，攻击目标为删除数据并攻陷多个内部系统。 议会在向当地媒体发布的声明中称，其核心系统与官方网站仍正常运行，但确认议会行政部门使用的内部电邮服务已被临时暂停。此次中断影响了收发双向通信。 当地媒体报道，攻击发生后数小时内，议会工作人员与议员无法访问电脑及电邮系统。 官方尚未公开将此次事件归因，但本周早些时候，名为 Homeland Justice 的黑客组织宣称对此负责，称已获取阿尔巴尼亚议员的内部通信内容。该组织还在其 Telegram 频道发布了据称是泄露文件的截图。 阿尔巴尼亚官方尚未公开证实黑客的说法，该国网络安全机构仍在调查此事。 安全研究人员与西方官员此前已将 Homeland Justice 组织与伊朗伊斯兰革命卫队（IRGC）关联。近年来，该组织宣称对阿尔巴尼亚境内一系列网络攻击负责，目标包括该国议会、国家航空公司、电信企业及国家统计局。 此次最新事件发生之际，阿尔巴尼亚安全担忧加剧。近期美以开始轰炸德黑兰后，伊朗对驻有美军基地的国家采取报复行动。 多起被归因于 “国土正义” 的网络行动，均与阿尔巴尼亚收容伊朗反对派组织 “伊朗人民圣战者组织”（MEK）成员有关。该组织总部位于阿尔巴尼亚沿海城市都拉斯。 “国土正义” 组织周二在 Telegram 发文称，此次最新网络攻击是对阿尔巴尼亚支持 MEK 的报复。 该声明发布前，MEK 领导人 Maryam Rajavi 近期宣布组建所谓 “临时政府”，称旨在以民主共和国取代伊朗现政权。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文