HackerNews

HackerNews 编译，转载请注明出处： 威胁行为体正利用伪装成流行软件的虚假安装程序，诱骗用户安装恶意软件。这场全球性的恶意广告活动被命名为 TamperedChef。 根据安克提斯威胁研究单位的最新报告，此攻击的最终目的是建立持久性控制并投放JavaScript恶意软件，以实现远程访问和控制。这家总部位于新加坡的公司指出，该攻击活动仍在持续，新的恶意样本不断被发现，相关基础设施也保持活跃。 研究人员Darrel Virtusio和Jozsef Gegeny表示：”攻击操作者依赖社会工程学手段，使用日常应用程序名称、恶意广告、搜索引擎优化以及被滥用的数字证书，旨在增加用户信任并规避安全检测。” TamperedChef 是一场长期攻击活动的代号，该活动利用看似合法的各类实用工具安装程序，来传播一款同名的信息窃取恶意软件。据评估，它是代号为 EvilAI 的更大规模攻击行动的一部分，该行动使用与人工智能工具和软件相关的诱饵进行恶意软件传播。 为使这些假冒应用披上合法外衣，攻击者使用为在美国、巴拿马和马来西亚注册的空壳公司所颁发的代码签名证书对程序进行签名。当旧证书被吊销后，他们会以不同公司名义获取新证书。 安克提斯将此基础设施描述为”工业化且如同正规商业运作”，这有效帮助了操作者稳定地批量生成新证书，并利用人们对签名应用固有的信任，将恶意软件伪装成合法软件。 需要特别指出的是，TrueSec和G DATA追踪的这款名为TamperedChef的恶意软件，被Expel称为BaoLoader。它与最初作为EvilAI活动一部分分发、嵌入在恶意食谱应用中的原始TamperedChef恶意软件并不相同。 安克提斯向The Hacker News透露，他们选择使用TamperedChef来指代该恶意软件家族，因为此名称已被网络安全界广泛采纳。他们表示：”这有助于避免混淆，并与其他厂商现有的出版物和检测名称保持一致，这些厂商同样将该恶意软件家族称为TamperedChef。” 典型攻击流程如下： 用户在Bing等搜索引擎上搜索PDF编辑器或产品手册时，会看到恶意广告或被篡改的URL。点击后，用户会被引导至托管在NameCheap上的陷阱域名，这些域名会诱骗用户下载安装程序。 用户执行安装程序后，会被提示同意程序的许可条款。接着，在安装完成时，程序会打开一个新的浏览器标签页显示感谢信息，以维持骗局。然而，在后台，一个XML文件被释放，用于创建计划任务，该任务旨在启动一个经过混淆处理的JavaScript后门。 这个后门随即会连接到一个外部服务器，并通过HTTPS发送经过加密和Base64编码的JSON字符串，其中包含会话ID、机器ID和其他元数据等基本信息。 尽管如此，该攻击活动的最终目的仍然不甚明确。研究发现某些变种会协助进行广告欺诈，这表明了其背后的经济动机。威胁行为体也可能试图将其网络访问权限转售给其他网络犯罪分子，或者窃取敏感数据在地下论坛出售以实施欺诈。 遥测数据显示，大部分感染集中在美国，其次是以色列、西班牙、德国、印度和爱尔兰。医疗保健、建筑和制造业是受影响最严重的行业。 研究人员指出：”这些行业似乎对此类攻击活动尤其缺乏抵抗力，这可能是因为它们高度依赖专业性强、技术含量高的设备，这常常促使用户在线搜索产品手册——而这一行为正被TamperedChef攻击活动所利用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关的威胁行为体在一次未遂导弹袭击前，曾对船只自动识别系统（AIS）数据进行测绘。这表明，与德黑兰结盟的组织正在利用网络行动来支持并增强现实世界的实体攻击。 这项研究证明，网络战与传统实体作战之间的界限正迅速变得模糊。 亚马逊的威胁情报团队指出，国家背景的行为体正越来越多地利用网络行动来支持和增强实体攻击，他们将此趋势称为“网络赋能实体攻击”。 亚马逊发布的报告称：”我们正目睹国家行为体在战争方式上的根本性转变。这些不仅仅是恰好造成物理损坏的网络攻击；它们是经过协调的行动，其中数字操作被专门设计用来支持实体军事目标。” 在亚马逊专家描述的第一个案例中，与伊朗有关的APT组织”Imperial Kitten” 利用网络入侵来支持现实世界的海上攻击。2021年12月，他们入侵了一个船舶AIS平台；到2022年8月，他们扩大了活动范围，甚至访问了船载闭路电视系统以获取实时情报。2024年1月27日，他们搜索了一艘特定船只的AIS数据，标志着其转向了针对性跟踪。几天后的2024年2月1日，胡塞武装向该船只发动了导弹袭击。该案例显示了网络侦察如何能直接促成对海上目标的精确实体攻击。 研究人员描述的第二个案例涉及另一个伊朗关联的APT组织”MuddyWater”，其参与了支持实体攻击的网络行动。2025年5月13日，该组织为其活动架设了服务器。到6月17日，他们访问了另一台被入侵的服务器，该服务器正从耶路撒冷流式传输实时闭路电视画面，从而获得了实时情报。6月23日，伊朗向该市发动了导弹袭击，而以色列官员确认攻击者利用了被黑客入侵的摄像头来调整打击目标。该案例凸显了被入侵的监控系统如何能直接支持实体攻击。 报告进一步指出：”这个时间点并非巧合。正如《The Record》所报道，以色列官员曾敦促公民断开联网安全摄像头的连接，并警告伊朗正在利用它们来’收集实时情报并调整导弹目标’。” 亚马逊的研究表明，伊朗关联组织正在使用分层的网络基础设施来支持实体攻击。他们通过匿名VPN隐藏活动，使用攻击者控制的服务器进行持久性操作，并渗透到企业系统（如闭路电视网络和海事平台）以获取高价值情报。来自被入侵传感器的实时数据流，使攻击者能够在军事打击过程中调整目标。亚马逊引入了一个新术语——“网络赋能实体攻击”——来描述那些直接协助和改进现实世界军事攻击的网络行动，因为现有术语无法完全涵盖这一现象。 报告总结道：”我们相信，网络赋能实体攻击将在多个对手中变得越来越普遍。国家行为体正在认识到将数字侦察与实体攻击相结合所带来的’力量倍增器’效应。这一趋势代表了战争形式的根本性演变，网络行动与实体作战之间的传统界限正在瓦解。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维也纳大学的一个研究团队发现了一个WhatsApp安全漏洞，攻击者可利用此漏洞批量获取约35亿账户的信息。Meta公司随后修复了该漏洞，以阻止这种批量信息枚举技术。 用户通过向WhatsApp服务器查询电话号码来发现联系人，这种机制本身使得电话号码枚举成为可能。尽管平台设有标准的速率限制机制，但研究人员仍能以每小时超过1亿个号码的速度进行探测，且未被拦截，这暴露了平台在大规模枚举攻击面前的脆弱性。研究发现，在2021年Facebook数据泄露事件中遭泄露的电话号码，有近一半目前仍在WhatsApp上活跃使用。 研究人员在报告中指出：”这种架构本质上就支持电话号码枚举，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御手段，但我们重新审视了这个问题，并证明WhatsApp在面对大规模枚举时依然高度脆弱。在我们的研究中，我们能够以每小时超过一亿个电话号码的速度进行探测，而未遭遇拦截或有效的速率限制。” 研究人员开发了一种方法，能为全球245个国家/地区生成符合格式的可疑手机号码，将全球候选号码范围缩小至630亿。他们分析了35亿个WhatsApp账户，收集的数据包括电话号码、时间戳、个人资料图片、”个性签名”文本以及端到端加密公钥，由此创建了目前规模最大、且符合伦理研究规范的数据集之一。将此数据集与2021年通过Facebook数据爬取获得的5亿条记录进行比较后，发现其中一半号码仍在活跃使用，显示了早期数据泄露的长期影响。 该团队进行了一次”人口普查”，揭示了账户活跃度、设备类型、操作系统市场份额和资料使用情况，凸显了尽管平台采用端到端加密，但仍存在大量数据可见性。他们还在明令禁止使用该服务的地区（如中国、缅甸、朝鲜、伊朗）识别出了活跃账户，表明封禁措施效果有限。对X25519密钥的分析显示，存在大量密钥复用以及跨设备重复使用一次性预密钥的情况，这表明某些实现存在安全隐患或可能存在欺诈行为。一些美国号码甚至使用了全零的私钥，这强烈暗示其随机数生成器存在缺陷或使用了非标准软件。 Meta公司试图淡化此问题，声称用户的聊天消息、联系人或其他私人数据并未因此泄露，且个人资料照片或”个性签名”文本仅在用户将其设置为”所有人”可见时才会被查看。研究人员在2024年至2025年间逐步报告了此问题，但Meta表示直至2025年8月才收到完整的技术细节。相关的缓解措施于9月初开始部署，并在10月追加了进一步的保护机制。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为Sturnus的新型安卓银行木马具备完全控制设备的能力，其攻击目标覆盖了WhatsApp、Telegram和Signal等安全通讯软件的信息。它通过捕获屏幕内容来绕过加密通讯，能够窃取银行凭证、远程控制设备，并向用户隐藏欺诈行为。 ThreatFabric的分析显示，Sturnus恶意软件仍处于开发阶段，或目前正处于有限的测试期。然而，该木马已将中南欧的金融机构列为目标，预示着攻击者正在为更广泛的攻击活动做准备。该恶意软件功能完备，并在通信协议和设备支持方面超越了已有的木马家族。有证据表明，攻击者开展了短暂、间歇性的活动，重点针对WhatsApp、Telegram和Signal等加密通讯应用，并使用了针对特定地区的攻击模板。操作者正在积极优化其工具以捕获敏感通信，为未来更协同、大规模的攻击行动做准备。 ThreatFabric在报告中指出：”Sturnus除了针对银行应用外，还会监控前台应用。一旦受害者打开如WhatsApp、Signal或Telegram等加密通讯服务，它会自动激活其UI树收集功能。” 该恶意代码的通信模式模仿了紫翅椋鸟杂乱无章的鸣叫，会在明文、RSA和AES消息之间不可预测地切换。它通过HTTP POST请求注册设备，接收一个UUID和RSA公钥，随后生成本地AES-256密钥，用RSA公钥加密后以Base64格式存储。密钥交换完成后，它使用AES/CBC/PKCS5Padding加密所有消息，在数据前附加一个随机的初始向量，并将数据封装在自定义结构中。 Sturnus通过两个相互关联的机制窃取数据：HTML覆盖层和基于无障碍服务的键盘记录。它存储针对特定银行应用的网络钓鱼模板，并通过一个WebView显示这些模板，该WebView会捕获所有输入并将其发送到命令与控制服务器。数据外泄后，它会禁用已使用的覆盖层以避免检测。它还可以使用全屏遮挡覆盖层来隐藏其活动。 其无障碍服务会记录文本变化、点击事件、焦点切换以及完整的UI树更新，即使屏幕捕获被阻止，攻击者也能据此重构用户操作。这些功能还使该恶意软件能够提取用于解锁设备的PIN码和密码。 报告进一步说明：”由于它依赖于无障碍服务日志记录而非网络拦截，该恶意软件可以读取屏幕上出现的所有内容——包括联系人、完整的对话线程以及收发消息的内容——而且是实时进行。这使得该功能尤其危险：它通过在被合法应用解密后访问信息，完全绕开了端到端加密，让攻击者能够直接查看本应私密的对话。” Sturnus通过两种互补的捕获方法，实现了对受感染设备的完全远程控制：一是通过安卓的显示捕获框架进行实时屏幕镜像；二是在标准捕获失败时，通过无障碍事件构建屏幕截图的备用系统。随后，一个原生库通过VNC RFB协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射，跟踪点击、文本输入、滚动和应用启动，而无需使用图像。这种方法占用带宽更少，能避免屏幕捕获警报，并且即使对隐藏或受保护的元素也有效。 Sturnus通过获取设备管理员权限来增强其持久性，它会监控解锁事件、阻止用户尝试撤销其权限，并防止自身被卸载。一个庞大的监控子系统负责追踪系统变更、网络连接状态、电源状态、SIM卡更换、应用安装、root迹象以及开发者选项。Sturnus还会分析传感器、硬件和网络信息，以调整其策略、规避分析，并保持对设备的长期控制。 报告总结道：”Sturnus代表了一种复杂且全面的威胁，它实现了多种攻击向量，使攻击者能够近乎完全地控制受感染设备。基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员权限滥用以及全面的环境监控相结合，对受害者的财务安全和隐私构成了极其危险的威胁。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，全球最高建筑迪拜哈利法塔的消防系统服务商——NAFFCO公司遭遇网络攻击。知名勒索软件组织INC Ransom声称窃取了该公司高达1TB的内部数据，导致其陷入严重的安保与声誉危机。 NAFFCO公司总部位于迪拜，是海湾地区消防设备、消防系统、火灾报警器及安防工程系统领域的顶尖生产供应商，年收入达44亿美元。 NAFFCO的客户涵盖多个行业，包括政府机构、民防部门和应急响应组织。 该公司为迪拜多座标志性建筑打造了消防安全项目，其中包括全球最高建筑哈利法塔、阿布扎比卢浮宫以及阿曼会展中心。 在能源领域，纳夫科与阿布扎比国家石油公司、阿布扎比石油公司、扎库姆石油开发公司等大型油气企业合作，提供消防安全解决方案。 数据泄露详情 根据INC Ransom的声明，他们从NAFFCO窃取了约1TB的内部数据。该组织于11月17日在其暗网泄露网站上公布了NAFFCO的名字，并附带了47张据称是失窃数据的截图。 经研究人员分析，泄露数据可能包含： 公司运营细节：包括公司结构、员工姓名、职位、电子邮件、电话号码和项目金额 年度合同清单：包含客户公司名称、合同金额和销售代表信息 与客户公司的个别合同 员工名单：包含姓名、职位、部门、身份证件个人识别信息和签证详情 员工身份证件照片 从样本数据的类型来看，此次泄露可能引发重大风险：受影响员工面临身份盗窃和社会工程学攻击的概率大幅上升；同时，公司的商业运营细节与员工信息曝光也可能对其声誉造成损害。 危险警示 INC Ransom是一个疑似与俄罗斯有关联的勒索软件组织，于2023年7月首次出现。根据Cybernews的暗网监控工具RansomLooker数据，该组织已认领了453起攻击事件。 该团伙采用“多重勒索”模式：不仅加密受害者文件，还会窃取数据并威胁，若不支付赎金就泄露数据。 在选择目标时以 “无差别攻击” 著称，受害者涵盖医院、学校、政府机构及科技公司。 近期，该团伙声称从大型高尔夫服饰企业萨米特高尔夫品牌窃取了 47GB 数据，该公司旗下拥有 Zero Restriction、B. Draddy、Fairway & Greene、EP New York 等知名高尔夫服饰及运动品牌。 如今，这个网络犯罪集团正逐渐跻身 “最高产犯罪团伙” 之列，其受害者名单包括：美国国防部承包商斯塔克航空航天公司、旧金山芭蕾舞团、英国莱斯特市、苏格兰国民保健署邓弗里斯 – 加洛韦健康委员会，以及施乐公司。 涉案受害者还包括年营收 990 亿美元的零售巨头阿霍德德尔海兹集团，旗下包含连锁超市品牌 Stop & Shop 和 Albert Heijn。 芒特罗杰斯社区服务中心也出现在该勒索团伙的暗网泄露网站上，攻击者称从该机构系统中窃取了多项隐私信息。 该团伙甚至曾攻击过一座公墓：今年 6 月，他们将加拿大汉密尔顿教区天主教公墓列入暗网论坛的攻击名单。 今年 7 月，该团伙声称从美国北卡罗来纳州托马斯维尔市窃取了 260GB 数据。 而在今年年初，该团伙还声称攻击了印尼全国性广播及网络新闻机构 CNN 印尼频道。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国民保健署（NHS）英格兰数字部门周二发布公告称，近期披露的一个 7-Zip 安全漏洞已遭黑客在野外活跃利用。 该漏洞编号为 CVE-2025-11001（CVSS 评分 7.0），允许远程攻击者执行任意代码。2025 年 7 月发布的 7-Zip 25.00 版本已修复此漏洞。 趋势科技零日响应计划（ZDI）上月发布警报称：“该漏洞存在于 ZIP 文件符号链接的处理逻辑中。精心构造的 ZIP 文件数据可导致进程访问非预期目录。”“攻击者可利用此漏洞，以服务账户权限执行代码。” 该漏洞由 GMO Flatt Security 公司的滋贺亮太，以及该公司基于人工智能（AI）的应用安全审计工具 Takumi 发现并报告。 值得注意的是，7-Zip 25.00 版本还修复了另一个漏洞 CVE-2025-11002（CVSS 评分 7.0）。该漏洞同样源于 ZIP 压缩包中符号链接的不当处理，可导致目录遍历，进而实现远程代码执行。这两个漏洞均在 21.02 版本中被引入。 英国国民保健署英格兰数字部门表示：“已观测到 CVE-2025-11001 漏洞在野外被活跃利用。” 不过目前尚无细节表明，该漏洞被如何武器化、攻击者身份及攻击场景。 鉴于已有概念验证（PoC）漏洞利用代码公开，7-Zip 用户应尽快安装必要的修复程序（若尚未更新），以获得最佳防护。 发布该漏洞 PoC 代码的安全研究员多米尼克（化名 pacbypass）在详细说明中指出：“此漏洞仅能在以下场景被利用 —— 高权限用户 / 服务账户上下文，或已启用开发者模式的设备。”“该漏洞仅适用于 Windows 系统。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一项新攻击活动的细节：攻击者结合社会工程学与 WhatsApp 劫持手段，向巴西用户分发一款名为 Eternidade Stealer 的德尔福（Delphi）语言银行木马。 Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示：“该恶意软件利用互联网消息访问协议（IMAP）动态获取命令与控制（C2）服务器地址，方便威胁行为体更新其控制服务器。” “它通过 WhatsApp 蠕虫活动传播，目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。” 此次发现紧随另一项名为 “Water Saci” 的攻击活动之后，后者同样以巴西用户为目标，通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播，进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。 Eternidade Stealer 攻击集群是一系列攻击活动的组成部分，这些活动利用 WhatsApp 在巴西的普及性，攻陷目标用户设备后，将这款即时通讯应用作为传播载体，对巴西机构发动大规模攻击。 攻击技术特点与地域针对性 另一个显著趋势是，针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高，还源于它曾在该地区的软件开发领域被广泛教授和使用。 攻击始于一个经过混淆处理的 Visual Basic 脚本，脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本，负责交付两个有效载荷，使感染链分化为两条： Python 脚本：通过 WhatsApp Web 以蠕虫方式传播恶意软件 MSI 安装程序：借助 AutoIt 脚本启动 Eternidade Stealer 这款 Python 脚本与 SORVEPOTEL 类似，会与远程服务器建立通信，并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表，同时过滤掉群组、企业联系人及广播列表。 随后，恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息，通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段，它会使用消息模板，填入基于时间的问候语和联系人姓名，向所有联系人发送恶意附件。 攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始，其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语，判断受感染设备是否位于巴西，若不满足则自动终止运行，体现出威胁行为体高度本地化的攻击目标。 恶意软件功能与控制机制 脚本随后会扫描运行进程和注册表项，确认是否存在安全软件，同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是，恶意软件通过进程注入（process hollowing）技术，将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。 作为一款德尔福语言编写的凭据窃取器，Eternidade 会持续扫描活动窗口和运行进程，查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串，包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。 研究人员表示：“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态，直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发，且不会被普通用户或沙箱环境发现。” 一旦检测到匹配项，恶意软件会联系 C2 服务器，相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制，同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱，会启用嵌入在源代码中的备用 C2 地址。 与服务器成功建立连接后，恶意软件会等待接收指令并在受感染设备上执行，使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下： <|OK|>：收集系统信息 <|PING|>：监控用户活动并上报当前活跃窗口 <|PedidoSenhas|>：根据活跃窗口发送自定义覆盖界面，窃取凭据 攻击基础设施与全球影响 Trustwave 表示，对威胁行为体基础设施的分析发现了两个面板：一个用于管理重定向系统，另一个是登录面板，可能用于监控受感染设备。重定向系统包含日志，记录了访问总数及试图连接 C2 地址的被拦截次数。 该系统仅允许巴西和阿根廷的设备访问，被拦截的连接会被重定向至 “google [.] com/error”。面板统计数据显示，454 次访问中有 452 次因地理围栏限制被拦截，仅 2 次访问被导向攻击目标域名。 在 454 条通信记录中，196 条来自美国，其次是荷兰（37 条）、德国（32 条）、英国（23 条）、法国（19 条）和巴西（3 条）。Windows 操作系统占 115 条连接，面板数据显示还有来自 macOS（94 条）、Linux（45 条）和 Android（18 条）的连接。 Trustwave 指出：“尽管该恶意软件家族及传播载体主要针对巴西，但可能的运营范围和受害者覆盖范围却遍及全球。网络安全防御人员应警惕可疑的 WhatsApp 活动、意外的 MSI 安装程序或脚本执行行为，以及与该持续攻击活动相关的威胁指标。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络攻击活动已攻陷全球数万台过时或已停止支持（EoL）的华硕路由器，受影响设备主要集中在台湾地区、美国和俄罗斯，进而被纳入一个大型网络。 该路由器劫持活动被 SecurityScorecard 的 STRIKE 团队命名为 “WrtHug 行动”。东南亚及欧洲部分国家也出现感染案例，过去六个月内，全球已识别出超过 5 万个属于受 compromised 设备的独立 IP 地址。 攻击活动疑似利用已停止支持的华硕 WRT 路由器中的六个已知安全漏洞，获取易受攻击设备的控制权。所有受感染路由器均共享一个独特的自签名 TLS 证书，该证书有效期设定为自 2022 年 4 月起 100 年。 SecurityScorecard 表示，展示该证书的服务中，99% 是华硕 AiCloud 服务 —— 这是一项专有服务，旨在允许用户通过互联网访问本地存储。 攻击技术细节与关联威胁 该公司在提交给《黑客新闻》的报告中称：“攻击者利用专有 AiCloud 服务及已知漏洞（n-day 漏洞），在已停止支持的华硕 WRT 路由器上获取高权限。” 报告还指出，尽管此次活动并非典型的 “操作中继箱（ORB）”，但与其他关联中国的 ORB 网络及僵尸网络存在相似之处。 攻击疑似利用多个漏洞进行扩散，包括 CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912 及 CVE-2025-2492。近几个月来，另外两个针对路由器的 ORB 网络分别是 LapDogs 和 PolarEdge。 在所有受感染设备中，有七个 IP 地址同时表现出 WrtHug 和 AyySSHush 的入侵特征，这可能意味着两个攻击集群存在关联。不过，除共享同一漏洞外，目前尚无其他证据支持这一假设。 此次攻击针对的路由器型号如下： 华硕无线路由器 4G-AC55U 华硕无线路由器 4G-AC860U 华硕无线路由器 DSL-AC68U 华硕无线路由器 GT-AC5300 华硕无线路由器 GT-AX11000 华硕无线路由器 RT-AC1200HP 华硕无线路由器 RT-AC1300GPLUS 华硕无线路由器 RT-AC1300UHP CIS 定制套件 目前攻击方身份尚不明确，但活动对台湾地区的重点针对，以及与中国黑客组织此前 ORB 攻击战术的重叠，表明幕后可能是某个未知的关联中国的行为体。 SecurityScorecard 表示：“本研究凸显了恶意威胁行为体大规模感染路由器及其他网络设备的趋势日益明显。这些行为体通常（但不限于）与中国相关，他们以谨慎且精心策划的方式开展活动，以扩大和深化其全球影响力。” “威胁行为体通过串联命令注入和身份验证绕过漏洞，成功通过 SSH 部署持久化后门，还经常滥用路由器的合法功能，确保其控制在设备重启或固件更新后仍能存续。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯保险公司 VSK 遭遇重大网络攻击，系统受损导致官网、移动应用及其他数百万用户依赖的服务下线。目前该公司已耗时一周，仍在全力恢复相关服务。 作为俄罗斯规模最大的综合保险公司之一，总部位于莫斯科的 VSK 服务着约 3300 万个人客户和 50 多万家企业，业务涵盖财产险、交通险、健康险、旅游险、货运险及企业保险等多个领域。 尽管 VSK 未详细说明事件的全部影响，但大量客户涌入其社交媒体页面投诉。有用户反映无法购买车险、修改保单、获取担保函或预约医疗服务，部分人表示医疗机构因无法核实保险覆盖范围而拒绝提供服务。公司邮件服务也出现中断，VSK 已敦促客户通过平信提交咨询请求。 该公司尚未透露攻击者身份及攻击动机，俄罗斯网络安全专家向当地媒体表示，此次事件大概率为勒索软件攻击。 事件进展与官方回应 VSK 于 11 月 13 日公开确认了这一事件，称前一日检测到 “大规模网络攻击”，目前正联合外部专家推进系统恢复工作。 公司表示：“此次事件仅影响 IT 基础设施运行，客户及合作伙伴的数据安全无虞。” 同时补充称线下门店仍正常营业，并警告其企业域名已遭劫持，访问者会被重定向至虚假 Telegram 频道。 尽管 VSK 宣称未发生个人信息泄露，但与乌克兰黑客相关的 Telegram 频道已发布据称是该公司泄露信息及备份文件的截图，这些图片的真实性尚未得到独立核实。 公司背景与近期俄企网络安全态势 英国政府于 2024 年对 VSK 实施制裁，因其为俄罗斯所谓的 “影子舰队” 提供支持。这一舰队由监管薄弱的船舶组成，用于规避西方制裁、维持石油出口收入。英国方面称，VSK 是与俄罗斯相关的油轮及物流链的核心海运保险及相关服务提供商，欧盟随后也将该公司列入制裁名单。 此次攻击发生之际，俄罗斯大型企业遭遇的网络安全事件正呈激增态势。上周，俄罗斯港口运营商 Port Alliance 报告遭遇 “来自境外” 的大规模分布式拒绝服务（DDoS）攻击，核心数字系统受影响，据称攻击者意图干扰煤炭和化肥运输。10 月，俄罗斯农业与食品安全监管机构遭网络攻击，导致全国食品运输陷入混乱。目前这些事件的动机是政治性还是经济性，尚不清楚。 在 VSK 披露数据泄露几天后，亲俄黑客组织 NoName057 (16) 宣布对多家乌克兰保险公司发动 DDoS 攻击。该组织未明确将此次行动与 VSK 遇袭关联，目前也不清楚这些目标是否出现运营中断。   消息来源：therecord.media；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部及国际盟友于周三宣布，对俄罗斯知名 “防弹主机” 服务商 Media Land 实施制裁，指控其为勒索软件团伙及其他网络犯罪活动提供支持。 这家总部位于圣彼得堡的公司，向黑客提供 IP 地址、服务器和域名服务，这些资源被用于传播恶意软件、组建僵尸网络军团及实施勒索软件攻击。美国、英国和澳大利亚指控 Media Land 为在线犯罪市场，以及 Lockbit、BlackSuit、Play 等勒索软件组织提供服务。美国财政部表示，该公司的服务还被用于对美国关键基础设施实体发动多起分布式拒绝服务（DDOS）攻击。 三国同时制裁了 Media Land 的关联公司 ——Data Center Kirishi 和 ML Cloud，这两家企业为勒索软件团伙提供其他技术基础设施支持。此次制裁还涉及 Media Land 总经理亚历山大・沃洛索维克、财务经理尤利娅・潘科娃，以及据称负责收取客户付款并协调网络犯罪服务的基里尔・扎托洛金。 美国财政部副部长约翰・赫利表示：“像 Media Land 这样的所谓‘防弹主机’服务商，为网络犯罪分子提供关键支持，帮助他们攻击美国及盟国企业。” 这类公司自称 “防弹”，是因为它们不会回应网络攻击受害者的投诉或相关法律文书。 对 Aeza 集团关联实体的追加制裁 美国和英国还制裁了 Hypercore 公司，该企业是另一家 “防弹主机” 服务商 Aeza 集团的 fronts 公司。美国财政部已于 7 月对 Aeza 集团实施过制裁，但官员周三表示，该公司已更名并搭建新基础设施，切断了与原有业务的关联。 Hypercore 在英国注册，被 Aeza 集团用于规避制裁。Aeza 集团新任董事马克西姆・弗拉基米罗维奇・马卡罗夫，以及公司另一名员工伊利亚・弗拉基米罗维奇・扎基罗夫同步遭到制裁。此次制裁名单还包括塞尔维亚和乌兹别克斯坦的两家 fronts 公司 ——Smart Digital Ideas DOO 和 Datavice MCHJ。 总部同样位于圣彼得堡的 Aeza 集团，据称曾为 “BianLian” 勒索软件团伙，以及 “ RedLine ”“ Lumma ”“ Meduza ” 等信息窃取类恶意软件的运营者提供主机服务。美国财政部此前指控 Aeza 集团协助黑客针对美国国防企业和科技公司发动攻击。网络安全研究人员还发现，该集团与亲克里姆林宫的虚假信息宣传活动 “ Doppelgänger ” 存在关联，该活动至少自 2022 年起就在欧洲活跃。 配套发布网络安全防护指南 在实施制裁的同时，美国网络安全与基础设施安全局（CISA）及其他联邦机构发布了一份指南，指导各类组织应对 “防弹主机” 服务商带来的风险。 这份由联合勒索软件特别工作组制定的指南，旨在帮助互联网服务提供商和网络防御人员 “打击日益严峻的勒索软件攻击威胁”。CISA 代理局长马杜・戈图穆卡表示：“防弹主机是现代网络犯罪的核心推手之一。通过曝光这些非法基础设施并为防御者提供具体行动方案，我们能加大犯罪分子的隐藏难度，让合作伙伴更易保护美国民众日常依赖的各类系统。” CISA 网络安全部门执行助理局长尼克・安德森补充称，“防弹主机” 平台正成为网络犯罪分子越来越常用的 “帮凶”，帮助他们躲避检测、难以追踪。CISA 解释，该指南的目标是降低 “防弹主机” 基础设施的效用，迫使网络犯罪分子转向合法基础设施提供商 —— 这类服务商都会回应受害者投诉和执法部门的下架请求。 过去一年，执法机构已针对多家俄罗斯 “防弹主机” 服务商采取行动，包括 Zservers、Lolek Hosted 等，多名运营者因相关行为被判处数年监禁。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 常春藤名校普林斯顿大学近日发生重大数据泄露事件，所有曾在该校就读或毕业人员的个人信息均可能遭窃，受影响名单包括亚马逊创始人杰夫·贝索斯、美国前第一夫人米歇尔·奥巴马、美国国防部部长皮特・赫格塞思等政商界知名人士。 根据校方公告，11月10日外部攻击者入侵了普林斯顿大学发展事务处的数据库，该数据库存储着校友、捐赠者、教职员工、学生及家长等大学社区成员的信息。校方确认所有校友——包括曾入学但未毕业者——均在此次事件中受到影响。 泄露范围 作为全球最负盛名的研究型大学之一，普林斯顿培养了大量杰出人才：亚马逊CEO杰夫·贝索斯（1986届）、前第一夫人米歇尔·奥巴马（1986届）、谷歌前CEO埃里克·施密特（1976届）均位列其中。 更引人关注的是，美国现任国防部长皮特·赫格塞斯及八位最高法院大法官中的三位——塞缪尔·阿利托、埃琳娜·卡根和索尼娅·索托马约尔——的信息也可能遭泄露。 普林斯顿大学透露，此次信息泄露的受害者不仅包括校友，还涵盖校友配偶、学校捐赠者、学生家长以及历届和现任教职员工。 学校方面解释：“目前我们尚不清楚黑客具体查看或窃取了哪些信息。该数据库主要存储与学校筹款及校友联络相关的个人传记类信息，我们认为其中不包含密码、社会保障号码、信用卡信息或银行账户记录。” 攻击方式 据悉，攻击者通过钓鱼攻击获取了数据库访问权限。恶意攻击者通过电话锁定一名大学员工，冒充合法请求获取凭证后侵入系统。 这种社交工程手段与著名黑客组织Scattered Spider此前攻击英国零售商玛莎百货、美高梅度假村和凯撒娱乐的手法如出一辙。 普林斯顿大学表示，事件后，校方在24小时内成功阻断攻击，并已通报执法部门启动调查。 普林斯顿并非首所遭遇黑客入侵的常春藤盟校。今年 8 月底，哥伦比亚大学曾发生类似事件，近 90 万人信息被泄露，其中也包括大量往届校友。 顶尖高等教育机构往往是网络犯罪分子的目标。今年早些时候，一个勒索软件团伙声称对欧洲顶尖学府巴黎索邦大学发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Everest勒索软件组织宣称，已从巴西国家石油公司（Petrobras）窃取90GB敏感地震和勘探数据，并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称，事件涉及第三方服务商，其内部系统未受影响。 Everest组织在暗网泄密站点发布声明，给公司设下六天期限要求联系，否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。 Petrobras向Cybernews明确表示，其系统未发现未授权访问记录，并强调”所有敏感和战略数据均按照最严格信息安全标准保持安全”。据该公司说明，此次入侵事件与某勘探服务提供商相关，属于独立事件，不影响公司运营、客户及员工。 根据攻击者公布的信息，被盗数据包含： 原始地震导航数据（含船舶坐标） 海底节点位置信息 差分GPS精度数据 测线质量控制数据 震源方向报告 水听器与震源深度参数 震源压力数据 设备元数据与节点配置 系统状态初步质检报告 勘探进度总结PDF文件 初步质检结果与逐线结论 震源与节点间距方位数据 船舶运动参数与设备朝向 据称，这些数据包含坎波斯盆地三维和四维地震勘探信息。值得注意的是，Petrobras近期刚宣布在该盆地盐下层发现优质石油资源。公司在该赎金声明出现当日发布的新闻稿中确认：”该钻井作业已完成，含油层段通过电测录井、气体指示和流体取样得到证实。” Cybernews研究人员分析数据样本后指出：”目前无迹象表明攻击者具有实时数据访问权限，因此船舶和钻井基础设施应无直接间谍攻击风险。此次泄露主要影响企业声誉，暴露的导航数据和报告可能揭示船舶定位与使用设备，削弱公司竞争优势。” Everest组织自2021年7月开始活跃，今年持续针对关键基础设施实施攻击。本月该组织还袭击了意大利工业气体巨头SIAD集团；此前最严重的攻击导致欧洲多国机场值机系统瘫痪；9月宣称入侵宝马集团及德国第二大银行DZ Bank子公司（但银行予以否认）；7月针对邮件营销平台Mailchimp；5月袭击可口可乐中东分部并泄露近千名员工数据。     消息来源：cybernews；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据媒体报道，本月早些时候一名俄罗斯黑客嫌犯在泰国被捕，据悉此人与一个新兴的、与克里姆林宫立场一致的黑客组织存在关联。该组织曾针对欧洲和北美多国的政府及关键基础设施网络发起攻击。 泰国警方上周证实，已拘留一名遭美国通缉的 “世界知名黑客”，此人涉嫌对美国政府机构发动网络攻击。随后，俄罗斯国家媒体今日俄罗斯电视台确认该嫌犯为 35 岁的丹尼斯・奥布列佐科，他是斯塔夫罗波尔人，此前曾任职于俄罗斯多家大型信息技术企业，负责 “为国内产业研发高科技系统”。 当地媒体援引执法部门消息称，此次逮捕行动由美国联邦调查局与泰国警方联合开展，奥布列佐科于 11 月 6 日落网。他入境泰国仅一周，警方便突袭了其位于普吉岛度假胜地的酒店房间，并查扣了笔记本电脑、手机及数字钱包等物品。 上周有报道显示，该嫌犯被捕后被关押在曼谷，等待引渡至美国。今日俄罗斯电视台称，嫌犯家属已确认其被捕一事，并表示正聘请律师，试图阻止将其移交美国当局。俄罗斯驻曼谷大使馆也已提出领事探视要求。 泰国官方尚未公开披露该嫌犯的身份信息，但当地警方知情人士向美国有线电视新闻网透露，奥布列佐科据称是 “Void Blizzard” 组织（又名 “洗衣熊”）的成员。这个与俄罗斯有关联的黑客组织，最早由微软公司在今年发布的报告中详细曝光。 新兴的 “暴雪” 势力 微软在 5 月发布的一份报告中指出，“Void Blizzard” 是一个新兴的间谍性质高级持续性威胁组织，其行动始终服务于俄罗斯政府的相关利益（微软公司会用 “暴雪” 为所有与俄罗斯有关联的黑客组织命名）。该黑客组织的攻击目标涵盖政府、国防、交通、媒体、非政府组织及医疗等多个领域的机构，攻击重点集中在欧洲和北美地区。 微软方面称，“Void Blizzard” 通常借助购买或窃取的账户凭证侵入目标网络，进而窃取大量电子邮件与内部文件。 2024 年 9 月，荷兰情报部门透露，该组织曾入侵包含荷兰国家警察部门在内的多家荷兰机构，并窃取了大量 “工作相关联络信息”。 微软表示：“该黑客组织频繁针对关键领域网络发动攻击，这不仅给北约成员国，也给乌克兰的一众盟友带来了日益严峻的安全风险。” 消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大电池制造商之一 LG 能源解决方案（LG Energy Solution）证实，其遭遇勒索软件攻击 —— 此前，一个上周被美国联邦调查局（FBI）重点通报的网络犯罪团伙已宣称对此负责。 这家总部位于韩国的公司发言人表示，企业近期发现了该起攻击事件，目前正实施安全措施以应对相关情况。 “攻击目标为某一特定海外工厂，经确认，总部及其他设施未受影响，” 发言人指出。LG 能源解决方案在全球多大洲设有生产基地，仅北美地区就有 8 家工厂。 “受影响工厂已通过恢复措施恢复正常运营，作为预防措施，我们正在开展安全运维及调查工作。” 该发言人未回应关于事件性质的进一步询问。 LG 能源解决方案是韩国跨国企业 LG 集团的子公司，2024 年通过为汽车制造商供应电池实现营收 175 亿美元。 本周一（注：结合上下文推测为 2025 年 11 月相关日期），“明”（Akira）勒索软件团伙将该公司列入其数据泄露网站，声称窃取了 1.7 太字节（TB）的数据，包括企业文件、员工信息数据库等内容。 11 月 13 日，FBI 发布了关于该勒索软件团伙的更新通报，警告称该黑客组织通过勒索软件攻击已非法获利超过 2.44 亿美元。 “‘明’勒索软件不仅窃取资金，还会破坏为医院、学校和企业提供支撑的关键系统，”FBI 网络部门助理局长布雷特・莱瑟曼（Brett Leatherman）表示。 通报同时警告，该团伙正重点针对制造业及其他多个行业发动攻击。 随着电池制造商在全球产业链中的地位日益凸显，这类企业已成为勒索软件团伙的重点攻击目标。德国电池制造商瓦尔塔集团（Varta AG）去年曾因网络攻击导致系统瘫痪数周；2024 年，某电池关键材料主要供应商遭黑客窃取 6000 万美元。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布 Chrome 安全更新，修复了两个漏洞，其中包括一个编号为 CVE-2025-13223 的高危 V8 类型混淆漏洞 —— 该漏洞已被野外活跃利用。 Chrome V8 引擎是谷歌开发的开源 JavaScript 及 WebAssembly 引擎（采用 C++ 编写），为谷歌 Chrome 浏览器、Node.js 等应用程序提供代码执行支持。 类型混淆漏洞是指软件将某块内存错误解读为其他类型对象的安全问题。这种混淆可能导致攻击者破坏内存数据、崩溃程序或执行恶意代码，在浏览器等 C/C++ 开发的应用中较为常见 —— 这类语言较弱的内存安全性为漏洞利用提供了可能。 攻击者可通过构造恶意 HTML 页面触发该漏洞，实现代码执行或导致程序崩溃。 该漏洞影响版本号低于 142.0.7444.175 的谷歌 Chrome 浏览器中的 V8 脚本引擎。 美国国家标准与技术研究院（NIST）在安全公告中指出：“谷歌 Chrome 142.0.7444.175 版本之前的 V8 引擎存在类型混淆漏洞，远程攻击者可通过构造恶意 HTML 页面潜在利用此漏洞实施堆破坏。（Chromium 安全等级：高危）” 公告同时明确：“谷歌已知悉 CVE-2025-13223 漏洞存在野外利用样本。” 该漏洞由谷歌威胁分析小组（TAG）的克莱芒・勒西涅（Clément Lecigne）于 2025 年 11 月 12 日报告。谷歌 TAG 团队主要负责调查国家级黑客组织及商业间谍软件供应商发起的攻击活动，此次漏洞大概率已被某类威胁行为者用于野外攻击。与往常一致，谷歌未披露该漏洞相关攻击事件的具体细节。 此外，谷歌还修复了另一个 V8 类型混淆漏洞 CVE-2025-13224，该漏洞由谷歌通过其 “Big Sleep” 安全机制于 2025 年 10 月 9 日自行发现。 用户应根据自身操作系统，将 Chrome 浏览器更新至 142.0.7444.175 或 142.0.7444.176 版本，并重启浏览器以应用修复补丁。 CVE-2025-13223 是 2025 年以来谷歌修复的第七个被野外活跃利用的 Chrome 零日漏洞，其余已修复的零日漏洞包括： CVE-2025-10585：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 CVE-2025-6558：谷歌 Chrome 138.0.7204.157 版本之前的 ANGLE 组件及 GPU 模块存在不可信输入验证不充分问题，远程攻击者可通过构造恶意 HTML 页面潜在实现沙箱逃逸。 CVE-2025-5419：谷歌 Chrome 浏览器早期版本的 V8 JavaScript 引擎存在越界读写漏洞，攻击者可通过构造恶意 HTML 页面触发堆破坏，该漏洞已被野外活跃利用。 CVE-2025-4664：Chrome 浏览器漏洞，可能导致账户完全被盗取；谷歌已知悉该漏洞存在野外利用样本（注：原文此处疑似笔误，误写为 CVE-2025-5419，已按上下文逻辑修正表述）。 CVE-2025-2783：Windows 平台 Mojo 组件在特定场景下存在句柄处理错误漏洞，由卡巴斯基研究员鲍里斯・拉林（@oct0xor）和伊戈尔・库兹涅佐夫（@2igosha）于 2025 年 3 月 20 日报告。谷歌针对 Windows 版 Chrome 浏览器发布了紧急更新以修复该高危漏洞，该漏洞曾被用于针对俄罗斯境内机构的攻击活动。 CVE-2025-6554：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国外卖配送与物流公司 DoorDash 宣布，其遭遇一起社交工程攻击，引发数据泄露事件，用户、配送员（Dashers）及商户的姓名、地址、电子邮件和电话号码等信息被泄露。 该公司在 cybersecurity 事件声明中表示：“我们的团队近期发现并终止了一起网络安全事件，期间有未授权第三方非法获取并窃取了部分用户信息。重要的是，未授权第三方并未获取任何敏感信息，目前也没有迹象表明这些数据被用于欺诈或身份盗用行为。” DoorDash 证实，其一名员工成为社交工程诈骗的受害者，但公司已切断入侵者的访问权限并通知了执法部门。此次泄露的数据包括用户、配送员（Dashers）和商户的姓名、地址、电子邮件及电话号码。 声明进一步指出：“一名 DoorDash 员工近期成为社交工程诈骗的攻击目标。响应团队已确认该事件，切断了未授权方的访问权限，启动了调查，并将此事移交执法部门处理。” 公司强调，攻击者并未获取社会保障号（SSNs）、身份证号、驾照信息或银行 / 支付详情等敏感数据。 DoorDash 表示，目前没有证据表明被盗数据已被滥用，同时确认 Wolt 和 Deliveroo 平台的用户未受到此次事件影响。 这家美国外卖配送与物流公司已向受影响用户发送了通知。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰警方查获了 250 台运行 “防弹主机” 服务的服务器，该服务专为网络犯罪分子所用，自 2022 年以来已涉及 80 多起网络犯罪调查。 荷兰国家警察部队（Politie）在声明中表示：“在对一家非法主机服务商的调查中，荷兰东部网络犯罪调查小组查获了数千台服务器。警方称，该主机服务商完全用于犯罪活动。调查显示，自 2022 年以来，该公司已出现在国内外 80 多起网络犯罪调查中，且近期仍在被用于实施犯罪活动。” 荷兰警方已将数千台虚拟服务器下线，此举既阻断了犯罪分子对该服务的使用，也为后续调查提供了支持。 何为 “防弹主机”？ “防弹主机”（Bulletproof Hosting）是一种故意无视或抵制滥用举报、下架请求及执法命令的主机服务，其设计目的是让用户能够开展非法或有害活动，且被关闭的风险极低。 此类服务的典型犯罪用途包括： 恶意软件命令与控制（C2）服务器 钓鱼网站与诈骗网站 勒索软件基础设施 僵尸网络控制面板 数据泄露或勒索网站 这些服务商通常在执法力度薄弱的司法管辖区运营，或频繁迁移基础设施以规避检测。 此次服务器查获行动，使得调查人员能够深入调查服务器上的犯罪活动，同时阻止该 “防弹主机” 服务被用于进一步的网络犯罪。 尽管荷兰当局未披露被查获的 “防弹主机” 服务商名称，但有消息人士向 BleepingComputer 透露，荷兰警方从海牙某数据中心扣押了隶属于 CrazyRDP 的服务器，目前该服务已下线。CrazyRDP 提供无需实名认证（no-KYC）、无日志记录的匿名虚拟专用服务器（VPS）/ 远程桌面协议（RDP）服务，常被威胁行为者推荐作为 “防弹主机” 使用。该平台的 Telegram 频道已删除所有帖子并迁移至新频道，用户在新频道中反映其丢失了多台服务器，并担心遭遇 “跑路诈骗”（exit scam）。CrazyRDP 的客服起初将问题归咎于数据中心故障，随后便停止更新相关信息，目前事态进展尚不明确。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序，持续针对中东地区的航空航天、航空和国防行业发动攻击。 谷歌旗下的曼迪昂特（Mandiant）公司将该活动归因于一个代号为 UNC1549（又称 “雨云狮身人面像” 或 “狡猾蜗牛”）的威胁集群，该集群于去年年初首次被这家威胁情报公司记录在案。 研究人员穆罕默德・埃尔 – 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示：“2023 年末至 2025 年期间，UNC1549 采用了复杂的初始访问向量，包括滥用第三方合作关系获取入口（从服务提供商转向其客户）、从第三方虚拟桌面基础设施（VDI）突破，以及针对性极强、与角色相关的钓鱼攻击。” 此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时，该组织通过领英（LinkedIn）发起以招聘为主题的社会工程学攻击，成功入侵了 11 家机构。 事件响应与数字取证（DFIR）托管服务 谷歌称，攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动，以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。 尽管这些组织通常拥有强大的防御体系，但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用：他们先获取关联实体的访问权限，再渗透目标核心系统。 攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰（Citrix）、威睿（VMWare）和 Azure 虚拟桌面与应用程序（VDA）等服务相关的凭证，建立初始立足点，随后突破虚拟化会话限制，获取底层主机系统访问权限，并在目标网络内开展横向移动活动。 另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件，诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现，UNC1549 还在攻击中针对 IT 人员和管理员，以获取具有高权限的凭证，从而获得对网络的深度访问权。 攻击者一旦入侵成功，后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取，系统性收集网络 / IT 文档、知识产权和电子邮件。 该威胁行为者在攻击中使用的部分定制工具如下： MINIBIKE（又称 SlugResin）：已知的 C++ 后门程序，可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器（Google Chrome）、勇敢浏览器（Brave）和微软 Edge 浏览器的浏览数据，并截取屏幕截图。 TWOSTROKE：C++ 后门程序，支持系统信息收集、动态链接库（DLL）加载、文件操作和持久化驻留。 DEEPROOT：基于 Go 语言的 Linux 后门程序，支持执行 shell 命令、枚举系统信息和文件操作。 LIGHTRAIL：定制隧道工具，疑似基于开源 Socks4a 代理工具 Lastenzug 开发，利用 Azure 云基础设施进行通信。 GHOSTLINE：基于 Go 语言的 Windows 隧道工具，通过硬编码域名进行通信。 POLLBLEND：C++ Windows 隧道工具，利用硬编码的命令与控制（C2）服务器注册自身并下载隧道配置。 DCSYNCER.SLICK：基于 DCSyncer 开发的 Windows 工具，用于执行 DCSync 攻击以提升权限。 CRASHPAD：C++ Windows 工具，用于提取浏览器中保存的凭证。 SIGHTGRAB：C 语言编写的 Windows 工具，选择性部署以定期捕获屏幕截图并保存至磁盘。 TRUSTTRAP：恶意软件，通过弹出 Windows 提示框诱骗用户输入微软账户凭证。 网络安全配置（CIS）构建工具包 攻击者还使用了多款公开可用的程序，包括：用于查询活动目录（Active Directory）的 AD Explorer；用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具（Atelier Web Remote Commander，AWRC）；以及用于远程控制的 SCCMVNC。此外，该威胁行为者还通过删除远程桌面协议（RDP）连接历史注册表项来阻碍调查。 曼迪昂特公司表示：“UNC1549 的攻击活动特点在于其专注于预判调查行动，并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月，仅在受害者尝试清除后才激活以重新获取访问权限。” “他们利用大量反向 SSH 隧道（可减少取证证据）和策略性模仿受害者所在行业的域名，维持隐蔽性和命令与控制（C2）通信。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，多个恶意软件攻击活动正利用如今十分猖獗的点击诱骗式社会工程学攻击手段，投放阿玛特拉窃取器与网络支持远程控制木马。 该攻击活动于本月被监测到，加拿大网络安全公司易森泰尔将其命名为 “评估行动” 并持续追踪。 阿玛特拉窃取器于 2025 年 6 月首次被发现，经证实其源于 “灼雨” 窃取器。“灼雨” 窃取器此前以恶意软件即服务的模式对外售卖，直至 2024 年 7 月中旬停止发售。阿玛特拉窃取器则采用订阅制售卖模式，月付套餐定价 199 美元，年费套餐定价 1499 美元。 这家加拿大网络安全厂商表示：“阿玛特拉窃取器为攻击者提供了强大的数据窃取能力，攻击目标涵盖加密货币钱包、浏览器、即时通讯软件、文件传输协议客户端以及电子邮件服务等。值得注意的是，该窃取器运用了 WoW64 系统调用等先进的规避技术，以此绕过沙箱、杀毒软件和终端检测与响应系统普遍采用的用户态挂钩机制。” 与各类点击诱骗攻击的典型手法一致，攻击者会在虚假钓鱼页面设置谷歌人机验证环节，诱骗用户通过 Windows 系统的 “运行” 对话框执行恶意命令。该命令会触发多步攻击流程：先通过系统中的微软脚本宿主程序启动 PowerShell 脚本，再由该脚本从文件存储平台媒体火上下载一个点网框架程序。 攻击载荷为阿玛特拉窃取器动态链接库文件，该文件经纯加密器加密处理。纯加密器是一款基于 C# 语言开发的多功能加密工具与加载器，由名为纯编码者的攻击者以恶意软件即服务的模式对外推广售卖。攻击者会将这一动态链接库文件注入微软生成程序进程，随后该窃取器会窃取用户敏感数据，并连接外部服务器执行 PowerShell 命令，进而获取并运行网络支持远程控制木马。 易森泰尔指出：“阿玛特拉窃取器调用的 PowerShell 脚本中，有一设计尤为值得警惕 —— 它会先检测受攻击设备是否加入企业域，或是是否存有加密货币钱包等具有潜在价值的文件。若这两项条件均不满足，脚本便不会下载网络支持远程控制木马。” 这一攻击态势与近期发现的多起钓鱼攻击活动相呼应，这些攻击活动正大肆传播各类恶意软件，具体情况如下： 含 Visual Basic 脚本附件的钓鱼邮件，这类邮件伪装成发票单据，通过批处理脚本调用 PowerShell 加载器来植入 X 蠕虫病毒； 部分网站遭攻击者入侵并植入恶意脚本，访客访问这些网站时会被重定向至伪造的点击诱骗页面。这些页面仿冒云 flare 验证界面，借此投放网络支持远程控制木马。该攻击活动代号为 “智猿行动”，同时也被标记为 “汉尼曼尼” 及 “ZPHP” 攻击行动； 攻击者搭建伪装成缤客旅行网的虚假网站，通过虚假验证界面实施点击诱骗，诱使用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，最终植入账号密码窃取程序； 伪造内部 “邮件投递” 通知邮件，谎称拦截了与未付账单、快递配送及报价申请相关的重要邮件，诱骗收件人点击链接。该链接实则用于窃取用户登录凭证，借口是帮助用户将被拦截邮件移至收件箱； 借助 “瑟法斯” 和 “巨头双重验证” 两款钓鱼工具发起攻击。其中 “瑟法斯” 钓鱼工具于 2024 年 8 月首次出现，这两款工具会将用户诱导至恶意登录页面，进而窃取账号密码。 梭子鱼网络安全公司在上周发布的分析报告中称：“瑟法斯钓鱼工具的一大显著特征是采用了独特且罕见的代码混淆技术。该工具会在源代码中嵌入随机不可见字符对代码进行隐藏，既能避开反钓鱼扫描工具的检测，还能阻止基于特征码的雅拉规则识别其具体钓鱼手段。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露，随着 Android 系统持续采用 Rust 编程语言，内存安全漏洞数量占总漏洞的比例首次降至 20% 以下。 “我们采用 Rust 是看中其安全性，相比 Android 中的 C 和 C++ 代码，Rust 代码的内存安全漏洞密度降低了 1000 倍。但最令人意外的是 Rust 对软件交付的影响，” 谷歌的杰夫・范德・斯托普表示，“Rust 代码修改的回滚率降低了 4 倍，代码审查时间缩短了 25%，如今更安全的开发方式同时也是更高效的方式。” 此前一年多，这家科技巨头曾披露，向 Rust 语言转型已促使内存安全漏洞数量从 2019 年的 223 个降至 2024 年的不足 50 个。 谷歌指出，Rust 代码所需的修订次数更少，相比 C++ 代码减少约 20%，且回滚率降低，从而提升了整体开发吞吐量。 谷歌还表示，计划将 Rust 的 “安全性和生产力优势” 扩展到 Android 生态系统的其他部分，包括内核、固件以及核心第一方应用（如 Nearby Presence、消息层安全协议 MLS 和 Chromium 浏览器）。目前 Chromium 中 PNG、JSON 和网页字体的解析器已替换为 Rust 编写的内存安全实现版本。 此外，谷歌强调需采取深度防御策略，称 Rust 语言内置的内存安全特性只是全面内存安全战略的一部分。 作为例证，谷歌提到其在 CrabbyAVIF 中发现了一个内存安全漏洞（CVE-2025-48530，CVSS 评分 8.1）。CrabbyAVIF 是一个用不安全 Rust 编写的 AVIF（AV1 图像文件）解析器 / 解码器，该漏洞可能导致远程代码执行。尽管这一线性缓冲区溢出漏洞从未进入公开版本，但谷歌已在 2025 年 8 月的 Android 安全更新中修复了该问题。 对这一 “险些泄露” 的漏洞进一步分析发现，Android 中的动态用户态内存分配器 Scudo 使其无法被利用。Scudo 旨在对抗堆相关漏洞（如缓冲区溢出、释放后使用和双重释放），且不影响性能。 谷歌强调，不安全 Rust “本身已相当安全”，其漏洞密度远低于 C 和 C++，且 Rust 中的 “不安全” 代码块并不会自动禁用该语言的安全检查。 “尽管 C 和 C++ 仍将继续存在，软件和硬件安全机制对于分层防御也至关重要，但向 Rust 转型是一种不同的方式 —— 事实证明，更安全的开发路径同时也是更高效的路径。” 谷歌表示。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文