HackerNews

HackerNews 编译，转载请注明出处： 一名立陶宛籍男子因涉嫌传播一款基于 KMSAuto 的剪贴板窃密恶意软件被捕，该恶意程序已感染全球约 280 万台 Windows 及 Office 系统设备。 这名 29 岁男子在国际刑警组织协调下，由格鲁吉亚引渡至韩国。韩方当局表示，该男子对盗版激活工具 KMSAuto 进行木马化改造，植入剪贴板窃密恶意程序。这款恶意软件会暗中监控受害者剪贴板中的加密货币钱包地址，并将其替换为攻击者控制的钱包地址，在用户毫无察觉的情况下劫持加密货币转账交易。 韩国警察厅指出，嫌疑人将恶意程序捆绑在 KMSAuto 工具中，诱导用户下载运行。这类专门窃取剪贴板中加密货币地址的恶意程序被称为剪贴板窃密器。 警方发布的新闻稿显示：“2020 年 4 月至 2023 年 1 月期间，嫌疑人以盗版 Windows 激活工具 KMSAuto 为伪装，在全球范围内传播该恶意软件，下载量累计约达 280 万次，韩国境内也出现感染案例。” 调查数据显示，共有 3100 个加密货币钱包地址遭到篡改，涉及 8400 笔交易，被盗虚拟资产价值约合 17 亿韩元；韩国境内已确认 8 名受害者，累计损失约 1600 万韩元。 案件的调查始于 2020 年 8 月。当时一名受害者在进行加密货币转账时，恶意软件自动将目标钱包地址替换为黑客地址，导致其价值约 1200 万韩元的 1 枚比特币被盗，而该用户的感染源正是从网上下载的盗版激活工具 KMSAuto。经深入侦查，警方发现这是一起针对 6 个国家的交易所及企业发起的大规模跨国网络犯罪，随即追踪非法加密货币资金流向，最终锁定这名立陶宛籍嫌疑人。在国际合作伙伴协助下，警方查获嫌疑人相关设备，通过国际刑警组织发布红色通缉令，并于格鲁吉亚将其抓获。 韩国警察厅网络调查局局长朴宇铉表示：“为防范恶意程序造成各类危害，民众需警惕来源不明的软件程序。未来，警方将与全球各国执法机构开展合作，通过引渡等手段，对这类无国界网络犯罪进行严厉打击。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名网络安全从业人员上周认罪，他们此前受业已解散的 “阿尔法 HV / 黑猫” 网络犯罪组织指使，发起多起勒索软件攻击，相关行为已构成犯罪。 瑞安・戈德堡与凯文・马丁均承认一项 “合谋以勒索手段妨碍商业活动” 罪名，最高可面临 20 年监禁，二人的量刑听证会定于 3 月 12 日举行。 40 岁的戈德堡来自佐治亚州，曾任职于网络安全事件响应公司西格尼亚；36 岁的马丁来自得克萨斯州，曾是数字铸币公司的勒索软件谈判专家。两人于三个月前被提起公诉，戈德堡于 9 月 22 日被捕，马丁则在 10 月 14 日落网。 法庭文件显示，2023 年 4 月至 12 月期间，二人与另一名未公开身份的同伙联手，借助 “阿尔法 HV / 黑猫” 勒索软件对多家机构发动攻击 —— 他们利用自身在网络安全事件响应领域的职务便利，向多名受害者实施勒索。 检察官透露，受害者包括佛罗里达州一家医疗企业、马里兰州一家制药公司、加利福尼亚州一家诊所、弗吉尼亚州一家无人机企业以及加利福尼亚州一家工程公司。 起诉书指出，三人发起的攻击导致诊所的患者照片被窃取，并被发布在该勒索软件团伙的泄密网站上。 两人从佛罗里达州那家医疗企业勒索得约 120 万美元，并将其中 20% 上交 “阿尔法 HV” 组织管理人员，其余攻击均未得逞。据悉，戈德堡在接受联邦调查局问话 10 天后，便于 6 月与其妻子购买了飞往巴黎的单程机票。 美国司法部助理部长泰森・杜瓦表示：“这两人利用自身精湛的网络安全专业能力实施勒索软件攻击，而这类犯罪本应是他们职责所在、全力阻止的行为。” 美国联邦检察官贾森・雷丁・基尼奥内斯补充道：“戈德堡与马丁利用受信任的权限和技术能力，对美国受害者实施勒索，从数字胁迫行为中牟利。” 数字铸币公司发表声明称，对马丁的行为予以强烈谴责，其行为均是 “在公司毫不知情、未获许可且未参与的情况下擅自实施”。 声明指出：“他的行为严重违背公司价值观与道德准则。调查期间，我们全程配合美国司法部的工作，并支持这一判决结果，认为这是追究责任的关键一步。” 西格尼亚公司此前向Recorded Future News透露，公司得知相关情况后，立即解雇了戈德堡。 该公司于 11 月表示：“尽管西格尼亚并非本次调查对象，但我们正与联邦调查局保持密切合作。” 由于案件属于正在进行的联邦调查，公司暂无法提供更多信息。 “阿尔法 HV / 黑猫” 曾是业内极为猖獗的勒索软件团伙，2024 年遭执法部门打击后宣告解散。该团伙曾对拉斯维加斯最大酒店、某市值数十亿美元的房地产巨头发动破坏性攻击，后续又通过勒索软件摧毁了联合健康集团的核心系统，最终选择关闭运营。 美国司法部称，该团伙通过 “勒索软件即服务” 模式，在全球范围内攻击了超 1000 名受害者。联邦调查局为此研发了解密工具，据称帮助受害者避免了 9900 万美元的赎金损失。 戈德堡与马丁的案件，让网络保险及勒索软件谈判行业再次陷入舆论焦点。该行业长期以来饱受诟病，其与网络犯罪团伙的复杂互动关系以及在网络安全事件中的应对策略，一直存在较大争议。 联邦调查局特工负责人布雷特・斯基尔斯提醒：“机构在委托第三方处理勒索软件事件响应时，应开展尽职调查；发现可疑或违规行为需及时举报；一旦遭遇勒索软件攻击，应立即向联邦调查局及其他执法伙伴报告，以保障自身的安全与隐私。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 绰号为银狐的威胁行为者将攻击目标转向印度，在钓鱼攻击活动中利用个人所得税相关诱饵，分发一款名为谷鼠远程控制木马（又名 “温诺斯 4.0”）的模块化远程控制木马。 CloudSEK研究员普拉杰沃尔・阿瓦斯 thi 与库希克・帕尔在上周发布的分析报告中指出：“此次精密攻击采用了包含动态链接库劫持与模块化谷鼠远程控制木马在内的复杂攻击链，以此确保恶意程序能够长期驻留目标设备。” 银狐黑客组织另有 “游蛇”“山谷大盗”“UTG-Q-1000”“虚空蜘蛛” 等多个追踪代号，该组织是一个源自中国的激进网络犯罪团伙，自 2022 年起便持续活跃。 该组织实施的攻击活动类型多样，动机涵盖间谍活动、情报搜集、经济牟利、虚拟货币挖矿以及业务运营干扰等多个方面，是少数采用多元化攻击手段开展入侵行动的黑客团伙之一。 银狐的攻击目标最初以中文用户及相关机构为主，如今已拓展至公共、金融、医疗、科技等多个行业的机构。该组织主要借助搜索引擎优化投毒与钓鱼攻击两种方式，投放谷鼠远程控制木马、幽灵变种木马、牵手木马（又名 “幽灵文件木马”）等多款幽灵远程控制木马变种。 云安科梳理的攻击感染链条显示，攻击者会发送伪装成印度所得税部门的钓鱼邮件，邮件附件为诱饵 PDF 文件。用户一旦打开该 PDF，就会被引导至 “ggwk [.] cc” 恶意域名，进而下载一个名为 “税务事宜.zip” 的压缩包。 该压缩包内包含一个同名的 Nullsoft 脚本安装程序（“税务事宜.exe”），该程序会借助迅雷公司开发的 Windows 下载管理器 “迅雷.exe” 这一合法可执行文件，以及一个被恶意植入的动态链接库文件 “libexpat.dll” 实现加载运行。 这款恶意动态链接库文件会先执行多种反分析与反沙箱检测操作，确保恶意软件能在受感染主机上不受阻碍地运行，随后会关闭 Windows 更新服务，并充当 “甜甜圈加载器” 的载体，最终将谷鼠远程控制木马的最终有效载荷注入被掏空的 “资源管理器.exe” 进程中。 谷鼠远程控制木马可与外部控制服务器建立通信并等待后续指令，其采用插件化架构，能够灵活扩展功能，支持攻击者实施键盘记录、凭据窃取以及防御规避等操作。 云安科表示：“常驻于注册表的插件与延迟信标机制，使这款远程控制木马在设备重启后仍能存活，同时保持较低的隐蔽性特征。按需模块投递功能则允许攻击者根据受害者的身份与价值，开展针对性的凭据窃取与监视活动。” 与此同时，英国国家计算机应急响应小组指出，他们发现了银狐黑客组织用于追踪恶意安装程序下载活动的暴露链接管理面板（“ssl3 [.] space”）。该面板针对多款常用软件（包括微软团队办公软件）的恶意安装程序进行下载量统计，具体包含以下信息： 托管后门安装程序的恶意网页 钓鱼网站下载按钮的日点击量 下载按钮自上线以来的累计点击量 调查发现，银狐搭建的虚假网站仿冒了云聊、飞连 VPN、微软团队、开源 VPN、切切、三条、信号、西瓜视频、截图工具、搜狗、电报、远程桌面工具、金山办公、有道云笔记等多款知名应用。对下载链接来源 IP 地址的分析显示，至少有 217 次点击来自中国，其次为美国（39 次）、中国香港（29 次）、中国台湾（11 次）以及澳大利亚（7 次）。 该机构研究员狄龙・阿什莫尔与阿舍・格鲁表示：“银狐借助搜索引擎优化投毒手段，分发了至少 20 款常用应用的后门安装程序，涵盖通讯工具、虚拟专用网络以及办公生产力软件等类别。这些恶意程序主要针对中国境内的中文用户及机构，攻击最早可追溯至 2025 年 7 月，同时在亚太、欧洲、北美等地区也造成了额外的受害案例。” 通过这些虚假网站分发的压缩包内，包含一个基于 Nullsoft 脚本的安装程序。该程序会将微软防御杀毒软件加入排除列表，通过计划任务实现恶意程序持久化，随后连接远程服务器获取谷鼠远程控制木马的有效载荷。 值得注意的是，瑞利奎斯特公司近期发布的一份报告指出，银狐黑客组织在针对中国境内机构发起攻击时，曾仿冒俄罗斯威胁行为者的攻击特征，并使用与微软团队相关的钓鱼诱饵网站，试图混淆攻击溯源方向。 英国国家计算机应急响应小组强调：“该管理面板的数据显示，来自中国内地的点击量达数百次，且受害者遍布亚太、欧洲、北美等多个地区，这印证了此次攻击活动的波及范围之广，以及其针对中文用户的精准战略定位。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 欧洲航天局在周二发布的官方声明中披露：“近期，我局察觉到一起网络安全事件，涉事服务器均位于本机构企业外网。我们已启动安全取证分析工作，目前工作正在进行中，同时已采取相关措施，对所有可能受影响的设备进行安全加固。” 欧洲航天局强调，此次事件影响范围有限。“截至目前的分析结果显示，仅有极少数外网服务器可能受到波及。这些服务器主要用于支撑科学界非涉密合作工程项目的开展。所有相关利益相关方均已收到通知，后续一旦掌握更多信息，我们将第一时间发布更新公告。” 关于此次攻击的入侵路径、实施主体以及被窃取的数据，相关细节目前仍十分匮乏。欧洲航天局明确表示，涉事服务器均处于其核心企业防御体系之外，这类服务器很可能由第三方合作机构托管，主要用于对地观测、行星探测等航天任务的联合研究工作。 尽管这些服务器存储的均为非涉密数据，但平台内往往包含工程设计图纸、仿真模拟数据以及遥测数据等内容。这些信息虽不涉密，却可能间接帮助敌对势力锁定航天基础设施的攻击目标。 安全警醒 网络安全专家认为，此次事件为航天领域敲响了警钟。“国家级黑客组织经常针对航天机构展开侦察，以窃取知识产权。” CyberSpace Watch的威胁情报分析师埃琳娜・瓦斯奎兹博士表示，“即便是‘非涉密’数据，也可能成为供应链攻击的助力，2023 年俄乌冲突期间发生的Viasat黑客攻击事件就是典型例证。” 欧洲航天局表示，此次事件未对核心业务造成干扰，阿丽亚娜 6 型火箭发射任务、欧几里得望远镜数据处理工作等均正常推进。不过，其科学界合作伙伴，包括各大高校以及空中客车公司等私营企业，可能需要就终端安全问题接受严格审查。 随着安全取证工作的持续推进，欧洲航天局此番公开透明的应对态度或有助于提升公众信任，但同时也凸显出，在拓展型网络中构建零信任安全架构的必要性已迫在眉睫。当前，欧盟层面出台航天网络安全强制规范的呼声日益高涨，欧洲航天局承诺将尽快发布后续进展。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一组影响多款主流蓝牙耳机及耳塞设备的高危漏洞。黑客利用这些漏洞，可窃听用户通话、盗取敏感数据，甚至直接劫持与之配对的智能手机。 这组漏洞的编号分别为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，主要影响搭载络达（Airoha）蓝牙系统级芯片 的设备。索尼、Bose、JBL、Marshall、Jabra等多家主流音频设备厂商的产品均采用该芯片。 漏洞编号 漏洞名称 通用漏洞评分系统（CVSS）评分 CVE-2025-20700 低功耗蓝牙（BLE）认证缺失漏洞 8.8 CVE-2025-20701 传统蓝牙认证缺失漏洞 8.8 CVE-2025-20702 RACE 协议远程代码执行 / 任意读取漏洞 9.6 研究人员最初于 2025 年 6 月披露了这些漏洞，为设备厂商留出了开发安全补丁的时间。 然而时隔半年，仍有大量设备未完成补丁推送。为此，研究人员公开发布了漏洞完整技术细节，同时配套发布了一份白皮书及RACE 工具包—— 用户和安全专业人员可借助该工具检测自身设备是否存在漏洞风险。 络达是蓝牙系统级芯片领域的核心供应商，其产品尤其广泛应用于真无线立体声（TWS）耳塞设备。该公司向各大厂商提供芯片参考设计方案及软件开发工具包（SDK），厂商基于此进行产品集成与功能开发。 ERNW 安全研究团队发现，搭载络达芯片的设备会通过低功耗蓝牙、传统蓝牙、通用串行总线人机接口设备等多种接口，开放一款名为RACE 的自定义协议。 RACE 协议最初设计用途为工厂调试与固件更新，具备强大的底层操作能力，支持对设备闪存和随机存取存储器的任意地址进行读写操作。 CVE-2025-20700 漏洞：存在于低功耗蓝牙的通用属性配置文件（GATT）服务中，核心问题是认证机制缺失。黑客无需与耳机配对，即可在蓝牙信号覆盖范围内发现并连接存在漏洞的设备，静默获取 RACE 协议的访问权限。这类连接通常不会向用户推送任何通知，攻击过程具备完全隐蔽性。 CVE-2025-20701 漏洞：针对传统蓝牙连接的认证机制缺陷。尽管这类连接有时更容易被用户察觉，甚至可能造成音频播放中断，但黑客可利用未授权访问权限建立双向音频连接，借助耳机的免提配置文件（HFP），通过设备麦克风实现窃听。 CVE-2025-20702 漏洞：聚焦于 RACE 协议本身暴露的高危功能。 通过该漏洞，黑客可发送特定指令获取设备信息、读取闪存页面、对 RAM 执行任意读写操作，还能提取设备的传统蓝牙地址。这些操作足以让黑客对设备进行永久性篡改，并窃取其中的敏感配置数据。 从耳机蔓延至智能手机 这组漏洞最严重的危害在于，黑客可通过漏洞链攻击，实现对配对智能手机的入侵。攻击流程如下：首先，黑客通过低功耗蓝牙或传统蓝牙连接附近存在漏洞的耳机；随后利用 RACE 协议导出设备闪存中的数据。 闪存中存储着设备的配对列表，包含所有曾配对设备的信息，其中就有耳机与智能手机之间用于双向认证的加密链路密钥（Link Key）。 一旦获取该链路密钥，黑客即可伪装成受信任的耳机设备，以特权身份连接受害者的智能手机。 ERNW 研究团队指出，这种攻击方式可衍生多种攻击路径：提取受害者的手机号码与通讯录信息；唤醒苹果智能语音助手（Siri）或谷歌智能语音助手，发送信息或拨打电话；劫持来电通话；甚至利用手机内置麦克风建立窃听连接。 研究人员通过概念验证攻击，成功入侵了受害者的 WhatsApp 及亚马逊账户，直观印证了这些漏洞的真实危害程度。 目前，研究人员已确认多款热门设备存在漏洞，但受影响产品的完整清单尚未完全明确。 已核实存在漏洞的设备包括：索尼 WH 系列与 WF 系列多款耳机（含旗舰型号 WH-1000XM5 和 WF-1000XM5）、博士消噪耳塞、杰宝 LIVE Buds 3、马歇尔 MAJOR V 与 MINOR IV，以及拜雅（Beyerdynamic）、捷波朗、德斐尔（Teufel）等品牌的多款机型。 部分厂商已发布修复漏洞的固件更新。其中捷波朗的信息披露最为透明，不仅在其安全中心公开列出受影响设备型号，还在固件更新说明中标注了对应的漏洞编号。马歇尔和拜雅也已推送相关更新，但不同厂商的信息公开程度差异显著。 安全建议 用户层面：应立即通过设备厂商官方应用或官网，为蓝牙耳机安装最新固件更新。记者、外交官、政界人士等高危目标人群，建议暂时改用有线耳机，彻底规避蓝牙攻击风险；同时需定期查看手机蓝牙配对列表，移除不常用的配对设备，减少链路密钥泄露的潜在风险。 厂商层面：必须立即应用络达提供的软件开发工具包安全补丁，并在产品上市前开展全面的安全评估。遵循成熟的蓝牙安全测试方法论，可有效避免同类漏洞在后续产品中复现。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年圣诞节期间，一场协同攻击行动爆发，黑客针对 Adobe ColdFusion 服务器及其他 47 种以上技术平台发起了超 250 万次恶意请求。 经调查，此次攻击由单一威胁攻击者发起，其攻击基础设施位于日本境内。这表明攻击者正开展大规模漏洞扫描行动，目标既包括最新暴露的漏洞，也涵盖了近 20 年间的遗留漏洞。 在针对 ColdFusion 服务器的专项攻击阶段，攻击者利用了 2023-2024 年间披露的 10 余个高危漏洞（CVE 编号），其中圣诞节当天的攻击流量峰值占比高达 68%。攻击者特意选择节假日发起攻击，此时企业安全团队人手不足、防护能力下降，显然是有意利用这一监控空档期。 此次攻击共波及全球 20 个国家的 ColdFusion 服务器，相关恶意请求约 5940 次，其中美国地区的攻击会话占比达 68%。 攻击流量主要来自 CTG 服务器有限公司托管的两个核心 IP 地址，分别是 134.122.136.119 与 134.122.136.96。 攻击技术细节 该威胁攻击者借助 ProjectDiscovery Interactsh这一带外测试平台，验证攻击是否成功生效，并在 oast.pro、oast.site 及 oast.me 等服务上部署了近 1 万个独立的带外测试域名，用于接收攻击回调信息。 攻击者采用的核心攻击路径为WDDX 反序列化漏洞，进而触发Java 命名和目录接口 / 轻量级目录访问协议注入（JNDI/LDAP 注入） 攻击，攻击目标直指 com.sun.rowset.JdbcRowSetImpl 这一 Java 组件调用链。值得注意的是，针对 ColdFusion 服务器的攻击仅占此次大规模行动的 0.2%。 对整个攻击行动的全面分析显示，攻击者对 Java 应用服务器、Web 框架、内容管理系统平台及企业级应用中的 767 个不同漏洞展开了系统性侦察。其中，攻击频率最高的两个漏洞分别是 Confluence 的 OGNL 注入漏洞（CVE-2022-26134），遭 12481 次攻击；以及 “破壳” 漏洞（Shellshock，CVE-2014-6271），遭 8527 次攻击。 网络指纹分析结果显示，此次攻击共出现 4118 个独立的 JA4H HTTP 签名，这意味着攻击者很可能使用了 “Nuclei” 等框架开展模板化扫描。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的勒索软件团伙宣称，已从马萨诸塞州一家拥有 75 年历史的会计事务所窃取了纳税申报数据和社保号码，目前正静待受害者支付赎金。 随着报税季日益临近，网络犯罪分子正加紧对纳税人和会计事务所发起攻击。 此次遭到攻击的是马萨诸塞州老牌会计事务所CSA 税务咨询公司，该公司主营税务相关服务，而发起攻击的正是Lynx勒索软件团伙。 12 月 26 日，该团伙在暗网的数据泄露网站发布公告，声称已窃取这家公司及其客户的相关数据。这种公开窃取数据的行为，是勒索软件团伙逼迫受害者支付赎金的惯用手段，此次Lynx团伙显然也是故技重施。该团伙在其网站上声称，他们的行事宗旨是避免对目标机构造成不必要的损害。 其公告中写道：“我们的运作模式倡导通过沟通协商解决问题，而非制造混乱与破坏。” 截至目前，CSA 税务咨询公司尚未公开证实此次数据泄露事件。cybernews已就此联系该公司寻求置评，目前仍在等待回应。 据称遭窃取的数据包含哪些内容？ 为证实攻击属实，该团伙公布了据称是这家公司的数据截图。cybernews对这些数据样本进行核查后发现，被盗数据可能包含以下信息： 完整姓名 社会保障号码 实际居住地址 配偶医疗保险承保协议 服务发票 个人所得税申报数据 美国国税局电子申报签名授权表 企业内部通信记录 若这些数据被证实真实有效，CSA 税务咨询公司的客户将面临钓鱼攻击和身份盗用的风险。 cybernews研究团队表示：“这类数据会让钓鱼攻击极具迷惑性。试想一下，当有人打电话给你，不仅知道你的住址、配偶姓名，还掌握你近期报税的具体细节，你很容易就会相信对方。” 山猫勒索软件团伙是什么来头？ 该团伙于 2024 年年中首次进入公众视野，采用勒索软件即服务 的运营模式，主攻金融、建筑和制造行业的机构。 据cybernews自主研发的监控工具 Ransomlooker监测数据显示，自 2024 年以来，该团伙已将 294 家机构列为攻击目标，是勒索软件领域的主要作恶势力之一。 此前，该团伙曾宣称入侵了医疗巨头亨利・谢恩公司旗下的 TriMed 医疗子公司，并在暗网上泄露了其敏感数据，这一事件后续得到了 TriMed 公司的证实。 该团伙还宣称，英国知名建筑企业多德集团是其近期的攻击目标之一。 今年 9 月，Lynx团伙声称从美国最大的寿司及海鲜供应商真世界集团有限责任公司窃取了数据。 除此之外，据称遭到该团伙攻击的目标还包括达乐公司、美国第二大鸡蛋生产商玫瑰园农场，以及哥伦比亚广播公司旗下的主要附属电视台WDEF 电视台。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 大韩航空的机上配餐及免税品供应商 —— 大韩航空配餐免税服务公司（KC&D）遭遇黑客攻击，导致约 3 万名大韩航空员工的个人信息泄露，大韩航空因此陷入数据安全危机。 大韩航空是韩国的国家航空公司，同时也是亚洲规模最大的航空公司之一，运营着覆盖全球的客运与货运航线。该航企在全球范围内拥有约 1.8 万至 2 万名员工，航线网络连通各大洲多个目的地。2024 年，大韩航空承运旅客超 2300 万人次；截至 2025 年，其旅客运输量已突破 1600 万人次。大韩航空拥有一支现代化的庞大机队，以首尔主要机场为枢纽，搭建起密集的国际、国内航线网络。 据《韩国中央日报》援引消息人士报道，大韩航空已发布内部通知称，KC&D 公司已就其员工个人信息相关的安全漏洞事件进行通报。 大韩航空强调，此次网络安全事件未涉及任何客户数据泄露。 通知中指出：“2020 年从本公司拆分独立运营的机上配餐及机上零售企业 ——KC&D 服务公司，近期遭到境外黑客组织攻击。经核实，存储在该公司企业资源规划服务器中的本公司员工个人信息（姓名、银行账号）已发生泄露。本公司近期收到 KC&D 服务公司的相关通报后，方才获悉此事。尽管该事件发生于已拆分出售的外部合作企业的管理范围内，但鉴于涉及本公司员工信息，公司对此高度重视。” 大韩航空表示，在获悉数据泄露事件后，已立即启动应急安全措施，向有关部门进行报案，并正全力排查事件影响范围及受波及员工名单。该航企确认目前无更多员工数据泄露，但同时提醒全体员工警惕可疑信息。后续公司将为员工提供进一步指导与支持，并全面审查与合作方的安全协议，杜绝类似事件再次发生。 大韩航空副会长禹基洪在致员工的公开信中表示：“即便此次事件源于已剥离的第三方合作商，但鉴于涉及员工数据，大韩航空对此高度重视。目前，公司正集中全部力量，排查数据泄露的完整范围及具体受影响人员。” 大韩航空已向相关主管部门进行通报，同时正开展调查工作，以明确数据泄露的具体范围及泄露信息的针对性目标。 大韩航空并未指明发起此次攻击的具体黑客组织，但早在今年 11 月，Clop勒索软件团伙就已宣称对 KC&D 公司的攻击负责。该团伙不仅将 KC&D 公司列入其洋葱网络数据泄露网站，还公开了据称是窃取所得的数据。 自今年 8 月初以来，Clop勒索软件团伙一直利用甲骨文  EBS的高危零日漏洞CVE-2025-61882实施攻击，从全球多家机构窃取敏感数据，受影响对象包括美国特使航空、哈佛大学、《华盛顿邮报》、罗技公司、宾夕法尼亚大学以及凤凰城大学等。  Cl0p是一个活跃的俄语勒索软件即服务（RaaS）团伙，专攻 “大鱼狩猎” 式攻击，惯用 “双重勒索” 手段牟利。 该团伙于 2019 年 2 月左右首次出现在网络威胁视野中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起便活跃在网络空间的、以牟利为目的的黑客组织。 与其他俄罗斯背景的黑客组织类似， Cl0p团伙不会将前苏联国家列为攻击目标，且其恶意软件无法在主要使用俄语的计算机系统上激活运行。 该团伙的操作员及附属人员会锁定高价值目标，窃取敏感数据、加密目标网络，随后在数据泄露网站上公布窃取的文件，以此向受害者施压，迫使其支付赎金。克洛普团伙擅长利用零日漏洞及存在安全隐患的第三方软件（如 MOVEit 文件传输工具、GoAnywhere 安全文件传输软件、甲骨文企业业务套件等）发起攻击，同时借助 “初始访问中间人” 及自动化工具，并运用复杂的规避检测与横向移动技术，最大限度扩大攻击影响、提升勒索收益。 克洛普团伙的攻击目标遍布全球，其中包括壳牌公司、英国航空公司、庞巴迪公司、科罗拉多大学、普华永道会计师事务所及英国广播公司（BBC）等知名机构。 该团伙曾策划多起大规模攻击行动，包括： 2020-2021 年 安讯奔（Accellion）文件传输应用攻击事件：利用这款文件传输设备中的零日漏洞，窃取了约 100 家机构的数据。 2023 年 GoAnywhere 安全文件传输软件攻击事件：针对该软件存在的漏洞（CVE-2023-0669）发起攻击，致使超 130 家机构的系统遭到入侵。 2023 年 MOVEit 文件传输工具攻击事件：这是历史上规模最大的勒索软件攻击事件之一，该团伙利用 SQL 注入零日漏洞（CVE-2023-34362）发动攻击，影响了全球数百家企业，其中不乏美国与欧洲的知名公司。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 26 日，罗马尼亚最大燃煤电力生产商 —— 奥尔特尼亚能源综合体遭受勒索软件攻击，其信息技术系统陷入瘫痪。 奥尔特尼亚能源综合体（简称奥能综合体）是罗马尼亚主要的国有褐煤开采及燃煤发电企业，在罗维纳里、图尔切尼、克拉约瓦三地运营着 12 座发电机组，总装机容量达 3570 兆瓦；同时下辖 15 座露天矿，年褐煤产量约 1500 万至 1800 万吨。该企业现有员工约 1 万人（较此前的 1.5 万人有所缩减），服务于数十万至数百万量级的电力批发及零售客户；2017 年营收约为 9.4 亿欧元，在业务重组后实现了近期盈利。面对欧盟绿色转型政策要求，该企业正投入 14 亿欧元发展光伏发电与天然气发电项目，以保障基础电力供应安全。 2025 年 12 月 26 日，该企业检测到 Gentlemen勒索软件攻击，此次攻击导致大量文件被加密，企业资源规划系统（ERP）、电子邮箱及官方网站等核心信息技术系统均受干扰。尽管公司部分业务运转受到波及，但这家罗马尼亚能源供应商强调，全国能源供应未受影响。奥尔特尼亚能源综合体已对受影响系统进行隔离，并向罗马尼亚国家网络安全局、能源部等相关部门通报情况。 信息技术团队已着手在新的基础设施上，通过备份数据恢复各项服务，而此次事件的影响范围以及是否存在数据泄露问题，目前仍在调查之中。 该企业发布的声明称：“2025 年 12 月 26 日凌晨 1 时 40 分左右，我方检测到一起名为 Gentlemen勒索软件网络攻击，此次攻击对奥尔特尼亚能源综合体的业务信息技术基础设施造成影响。” 声明还指出：“攻击发生后，部分文档和文件被加密，多个计算机应用程序暂时无法使用，其中包括企业资源规划系统、文件管理应用、电子邮件服务及公司官网。公司业务运营受到部分影响，但未对国家能源系统的稳定运行构成威胁。” 目前，该企业正就此次事件展开调查，以确定安全漏洞的波及范围和具体严重程度。尚无法确认攻击者是否从奥尔特尼亚能源综合体窃取了数据。 此外，该企业已向罗马尼亚有组织犯罪与恐怖主义调查局提起刑事诉讼。 截至本文发稿时， Gentlemen勒索软件团伙尚未将这家罗马尼亚能源企业列入其洋葱网络数据泄露网站，这一情况或表明双方正处于赎金谈判阶段。 近期，罗马尼亚国家水利管理局同样遭遇了勒索软件攻击。 据罗马尼亚国家网络安全局通报，此次攻击影响了该局总部及 11 个地区分局中的 10 个分局，波及约 1000 台计算机系统。地理信息系统服务器、数据库、电子邮件、网络服务、Windows 工作站以及域名服务器等多项信息技术资产均受干扰。 有关部门强调，负责水利基础设施管控的运营技术系统未受攻击影响，水利业务运转一切正常。 参与事件调查的政府专家证实，攻击者使用Windows BitLocker 加密功能对系统实施加密，并发布勒索通知，要求受害者在 7 日内与其取得联系。不过，目前此次攻击的传播途径尚未查明。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国两家银行近日相继发声，提醒客户其信息受到了今年 8 月一起针对知名金融软件公司的勒索软件攻击影响。 工匠银行与维拉银行上周向缅因州监管机构通报，近期发生的数据泄露事件，源头正是Marquis Software遭遇的网络攻击。这家软件公司此前曾披露，约在 8 月 14 日遭受勒索软件攻击，导致数十家企业客户及数千名下游用户受到波及。 维拉银行在致受害者的信函中说明，Marquis Software是该行 “客户沟通与数据分析服务商”。 这家总部位于得克萨斯州的银行表示：“该服务商有权访问你的相关数据，一方面用于向你推送重要的必要信息更新，另一方面也用于分析何种银行产品与服务最契合你的需求。我们是在服务商签订数据安全保护相关合同后，才向其开放数据访问权限的。” 此次事件共导致 37318 人的信息被盗，但信函中并未提及具体失窃的信息内容。 总部位于特拉华州的工匠银行透露，该行于 10 月收到Marquis Software的事件通知，经核查发现，有 32344 人的姓名及社会保障号码因这次网络攻击泄露。 两家银行均强调，黑客并未入侵银行自身系统，被盗信息均为 “由Marquis Software负责维护的数据”。 Marquis Software为美国数百家信用社及银行提供数据分析、合规解决方案与数字营销工具，维拉银行和工匠银行是最新一批披露受该公司攻击事件波及的下游金融机构。 Marquis Software在其发布的事件公告中表示，公司于 8 月发现攻击后，已第一时间向联邦执法部门报案。 经调查，此次入侵的根源是其梭子鱼防火墙设备存在安全漏洞。该公司称，被盗的个人信息包括姓名、住址、电话号码、社会保障号码、纳税人识别号、不含安全码或访问码的金融账户信息，以及出生日期。 10 月 27 日至 11 月 25 日期间，Marquis Software已通知至少 74 家银行、信用社及金融机构，告知其信息涉及本次数据泄露。除了向缅因州、南卡罗来纳州、华盛顿州、艾奥瓦州等多地监管机构提交自身的事件报告外，该公司还代多家金融机构发布了数据泄露通知。 对于受影响金融机构数量是否持续增加、以及受害者总人数等问题，马奎斯软件未回应置评请求。 多家律所及网络安全研究人员通过汇总多州数据泄露登记系统的受害者统计数据推算，此次事件的受害者人数或在 78.8 万至 135 万之间。 网络安全公司 “比较科技” 还获取到了一封已被删除的泄露通知函，该函件来自艾奥瓦州的第一社区信用社，其中提到Marquis Software已向发起此次攻击的黑客组织支付了赎金。 针对赎金支付相关问题，Marquis Software同样未予置评。目前，尚无任何勒索软件团伙公开宣称对此次攻击负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者注册了一个与 Microsoft Activation Scripts（MAS）工具极其相似的域名，通过拼写错误诱导用户下载恶意 PowerShell 脚本，进而感染 Windows 系统，植入名为 Cosmali Loader 的加载器。 昨日，Reddit 上多名 MAS 用户发帖称，系统突然弹出警告窗口，提示已感染“Cosmali Loader”： 你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。 该恶意软件的面板未设权限，任何访问者都能控制你的电脑。 请重装系统，下次别再打错。 想验证是否中毒，打开任务管理器查看可疑 PowerShell 进程即可。 合法 MAS 官方地址为 get.activated.win，攻击者仅去掉一个字母 d，注册相似域名 get.activate[.]win，专等用户手滑输错。 安全研究员 RussianPanda 发现，这些弹窗与开源 Cosmali Loader 有关，其功能包括投递挖矿程序与远程控制木马 XWorm。 目前尚不清楚是谁向受害者推送了“好心警告”，推测有白帽潜入恶意软件控制面板，借其广播功能提醒中招用户。 MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合，可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具，项目方也已发公告提醒用户核对网址、谨慎输入命令。 安全建议 不执行看不懂的远程命令 先在沙箱测试 尽量复制粘贴，避免手打误入钓鱼域 非官方激活器历来常被用来带毒，务必三思 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   育碧旗下战术射击游戏《彩虹六号：围攻》（R6）发生安全事件：攻击者滥用内部系统，随意封禁/解封玩家、篡改封禁公告，并向全球账号发放巨额游戏货币与全部外观物品。 据玩家截图与社区反馈，黑客至少实现了以下操作： 任意封禁或解封玩家账号 在滚动封禁公告中插入伪造信息 给所有玩家发放约 20 亿点 R6 点券 与声望 解锁全部外观，含仅限开发者的内部皮肤 R6 点券为官方商城出售的付费货币，定价 15,000 点券 ≈ $99.99，因此 20 亿点券价值约 1,333 万美元。 周六上午 9:10，@Rainbow6Game 官方账号发推承认“发现问题，团队正在处理”。 随后育碧主动关闭游戏服务器及内置商城：“为确保修复，Siege 与 Marketplace 已暂时下线。” 最终公告明确三点： 玩家不会因花掉被发放的点券而受到处罚； 所有自 UTC 11:00 起的交易将被回滚； 滚动封禁信息并非官方生成，该功能早已禁用。 目前服务器仍处维护状态，育碧尚未发布正式事故报告，也未回复 BleepingComputer 的置评邮件。 更大规模入侵传闻 VX-Underground 称，有多个互无关联的黑客组织宣称已深入育碧基础设施： 组织 A：仅利用 R6 服务操纵封禁与库存，未触碰用户数据； 组织 B：借助近期公开的 MongoDB 漏洞 CVE-2025-14847（MongoBleed），从暴露实例中提取内存凭据，进而进入育碧内部 Git，声称窃取自 1990 年代至今的全部源代码； 组织 C：同样利用 MongoBleed 拿到用户数据，正向育碧勒索； 组织 D：反驳部分说法，称“组织 B 拿到源码已有一段时间”。 BleepingComputer 尚无法独立验证上述声明，包括 MongoBleed 是否被利用、源码或用户数据是否泄露。 目前可确认的范围仅限于《彩虹六号：围攻》游戏内异常。 若育碧后续披露更多信息，我们将持续更新。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LangChain Core（langchain-core）是 LangChain 生态的核心 Python 包，为构建大模型应用提供通用接口与模型无关工具。安全研究员 Yarden Porat 于 2025 年 12 月 4 日披露了一个严重漏洞（CVE-2025-68664，CVSS 9.3），代号“LangGrinch”。 公告指出： “LangChain 的 dumps() 与 dumpd() 函数存在序列化注入缺陷。函数在序列化自由格式字典时，未对含有内部保留键 ‘lc’ 的字典做转义。’lc’ 被 LangChain 用于标记已序列化的对象。当用户可控数据携带该键结构时，在反序列化阶段会被当成合法的 LangChain 对象，而非普通用户数据。” 漏洞根因： dumps()/dumpd() 未转义用户可控字典中的 “lc” 键；当后续用 load()/loads() 反序列化时，这些数据被当作有效 LangChain 对象实例化，而非普通输入。攻击者可通过 metadata、response 等字段注入恶意对象结构。虽然无法加载任意外部类，但可在受信任的 LangChain 命名空间（如 langchain_core、langchain_community）内实例化 Serializable 子类，其中部分类在初始化时会产生副作用。 Cyata 研究员 Yarden Porat 强调： “一旦攻击者能让 LangChain 的编排循环先序列化、再反序列化带有 ‘lc’ 键的内容，就能实例化任意不安全对象，打开多种攻击面。” 潜在危害： 从环境变量泄露机密 在受信任命名空间实例化危险类 通过 Jinja2 模板造成代码执行 借助提示注入，把恶意对象藏进用户可控字段（如 metadata） Porat 指出，该漏洞尤为严重： 位于 langchain-core 本体，而非外围工具或极端场景； dumps()/dumpd() 是框架核心 API，全球累计安装量数亿； 单条提示即可间接触发——LLM 输出可能影响后续被序列化的 metadata，正常业务流程就能完成攻击，隐蔽且影响面广。 修复版本：1.2.5、0.3.81 已发布补丁，请立即升级。 消息来源： securityaffairs.com ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 披露了一个高危安全漏洞，可能允许未认证用户读取未初始化的堆内存。 该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），被描述为“长度参数不一致处理不当”的问题。当程序未能正确处理长度字段与实际数据长度不一致的情况时，就会触发该漏洞。 根据 CVE.org 的描述：“Zlib 压缩协议头中的长度字段不匹配，可能允许未认证客户端读取未初始化的堆内存。” 受影响的数据库版本包括： MongoDB 8.2.0 至 8.2.3 MongoDB 8.0.0 至 8.0.16 MongoDB 7.0.0 至 7.0.26 MongoDB 6.0.0 至 6.0.26 MongoDB 5.0.0 至 5.0.31 MongoDB 4.4.0 至 4.4.29 所有 MongoDB Server v4.2 版本 所有 MongoDB Server v4.0 版本 所有 MongoDB Server v3.6 版本 该问题已在以下 MongoDB 版本中得到修复： 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 MongoDB 官方表示：“攻击者可在未认证的情况下，通过客户端利用服务器的 zlib 实现，返回未初始化的堆内存。我们强烈建议尽快升级至已修复版本。” 如果无法立即更新，建议通过启动 mongod 或 mongos 时设置 networkMessageCompressors 或 net.compression.compressors 参数，显式排除 zlib 来禁用 MongoDB 服务器的 zlib 压缩。MongoDB 支持的替代压缩算法包括 snappy 和 zstd。 安全公司 OP Innovate 指出：“CVE-2025-14847 允许远程、未认证的攻击者触发 MongoDB 服务器返回其堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他有助于进一步攻击的数据。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为巩固美国在人工智能领域的领先地位，美国国家标准与技术研究院（NIST）宣布投入 2000 万美元启动一项大型 AI 安全计划，用于新建两大研发中心——“美国制造业生产力 AI 经济安全中心”和“保护美国关键基础设施免受网络威胁 AI 经济安全中心”。两家机构均由非营利组织 MITRE 运营。 NIST 在 12 月 22 日的公开声明中表示，这些中心将开发必要的技术评估与进步，“有效保护美国在 AI 创新中的主导地位，应对对手利用 AI 带来的威胁，并降低对不安全 AI 依赖的风险”。该院期望借此实现应用科学与先进技术的突破，为国家最紧迫的挑战提供颠覆性创新解决方案。 美国商务部副部长保罗·达巴尔称，这笔投资将“推动美国制造业复兴”，提升制造商竞争力并吸引国内外资本。兼任商务部标准与技术代理副部长、NIST 代理院长的克雷格·伯克哈特亦指出：“与 MITRE 的新协议将聚焦提升美国企业高效生产高价值产品的能力，满足国内外市场需求，并催化新技术、新设备的发现与商业化。” 该投资是 NIST《21 世纪美国技术领先战略》的一部分，旨在加速关键与新兴技术从研发到落地的进程，并与白宫 2025 年 7 月发布的《美国人工智能行动计划》中“加速 AI 创新”和“建设美国 AI 基础设施”两大支柱相契合。 两大中心将承接 NIST 主导的一系列 AI 与安全项目，包括前身为“美国 AI 安全研究所”的“AI 标准与创新中心”（CAISI）。此外，NIST 即将公布 Manufacturing USA 项目下的“韧性制造 AI 研究院”，拟投入 7000 万美元联邦资金并撬动私人投资，强化 AI 驱动的供应链与制造韧性。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 本周三表示，在特定配置下，已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷（CVE-2020-12812）被“近期滥用”。该漏洞评分 5.2，属于认证不当：若登录时改变用户名大小写，可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过：当用户本地启用 2FA，且认证类型指向远程 LDAP 时，本地与远程对大小写敏感度不一致，即可触发绕过。该漏洞随后被多家威胁组织利用，美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。 2025 年 12 月 24 日，Fortinet 更新公告，给出精确触发条件： 1. FortiGate 上存在引用 LDAP 并启用 2FA 的本地用户条目； 2. 这些用户同时是 LDAP 服务器某组成员； 3. FortiGate 配置了对应 LDAP 组，并把它用在管理、SSL 或 IPsec VPN 等认证策略中。 一旦满足，LDAP 用户即可绕过 2FA，直接走 LDAP 完成登录。原因在于 FortiGate 把用户名当大小写敏感，而 LDAP 不区分。若用户用 “Jsmith”“jSmith” 等非完全匹配的大小写形式登录，FortiGate 找不到本地条目，就会按其他策略继续匹配，最终落到 LDAP 组，凭正确密码即可成功，无视本地 2FA 或禁用状态。 Fortinet 已在 2020 年 7 月发布 6.0.10、6.2.4、6.4.1 修复。若无法升级，可为所有本地账户执行： set username-case-sensitivity disable 对于 6.0.13、6.2.10、6.4.7、7.0.1 及更高版本，应使用： set username-sensitivity disable 关闭后，FortiGate 会把所有大小写形式视为同一用户，避免回落到错误配置的 LDAP 组。进一步缓解可删除不必要的 LDAP 组，彻底阻断攻击路径。 新公告未透露攻击细节或是否得手，仅建议客户如发现管理员或 VPN 用户未经 2FA 成功登录，立即联系支持并重置全部凭据。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文