HackerNews

HackerNews 编译，转载请注明出处： 以 Velvet Tempest 为代号追踪的勒索软件威胁组织，正利用 ClickFix 技术与合法的 Windows 工具部署 DonutLoader 恶意软件与 CastleRAT 后门。 网络诱骗威胁情报公司 MalBeacon 的研究人员在一个模拟的组织环境中，对黑客的行为进行了为期 12 天的观测。 Velvet Tempest，同时也以 DEV‑0504 为代号进行追踪，是一个至少在五年内以附属机构身份参与勒索软件攻击的威胁组织。 该组织与部署多款破坏力极强的勒索软件家族相关联：Ryuk（2018‑2020）、REvil（2019‑2022）、Conti（2019‑2022）、BlackMatter、BlackCat/ALPHV（2021‑2024）、LockBit 以及 RansomHub。 Velvet Tempest 勒索软件部署时间线（来源：MalBeacon） 此次攻击由 MalBeacon 在 2 月 3 日至 16 日期间于一个美国非营利组织的复刻环境中监测到，该环境拥有超过 3000 个终端与 2500 多名用户。 在获取访问权限后，Velvet Tempest 操作者执行了手动操作，包括对 Active Directory 进行侦察、主机发现、环境信息收集，同时使用 PowerShell 脚本窃取存储在 Chrome 中的凭据。 该脚本托管在一个 IP 地址上，研究人员将该 IP 与 Termite 勒索软件入侵所用的工具部署服务器相关联。 据研究人员介绍，Velvet Tempest 通过恶意广告活动获取初始访问权限，该活动引导至一个结合 ClickFix 与验证码的页面，指示受害者将一段经过混淆的命令粘贴到 Windows 运行对话框中。 Velvet Tempest 使用的 ClickFix 诱饵（来源：MalBeacon） 粘贴的命令触发了嵌套的 cmd.exe 调用链，并利用 finger.exe 获取首批恶意软件加载器。其中一个载荷是一个伪装成 PDF 文件的压缩包。 在后续阶段中，Velvet Tempest 使用 PowerShell 下载并执行命令，以获取更多载荷、通过 csc.exe 在临时目录编译 .NET 组件，并在 C:\ProgramData 中部署基于 Python 的组件以实现持久化。 此次行动最终部署了 DonutLoader，并加载了 CastleRAT 后门。CastleRAT 是一款远程控制木马，与以分发多种 RAT 与信息窃取工具（如 LummaStealer）闻名的 CastleLoader 加载器相关联。 Termite 勒索软件此前已宣称对多家知名受害者发起攻击，包括 SaaS 提供商 Blue Yonder 与澳大利亚大型试管婴儿机构 Genea。 尽管 Velvet Tempest 通常实施双重勒索攻击 —— 即在窃取企业数据后对受害者系统进行加密，但 MalBeacon 的报告指出，在本次观测到的入侵事件中，该威胁组织并未部署 Termite 勒索软件。 多个勒索软件组织已在攻击中采用 ClickFix 技术。Sekoia 曾在 2025 年 4 月报告称，Interlock 勒索软件团伙使用该社会工程方法攻破企业网络。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，威胁行为者正越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。 根据微软威胁情报发布的一份最新报告，攻击者正将生成式人工智能工具用于广泛任务，包括侦察、钓鱼、基础设施搭建、恶意软件开发以及入侵后活动。 在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、总结窃取的数据、调试恶意软件，以及辅助脚本编写或基础设施配置。 “微软威胁情报已观察到，当前绝大多数人工智能的恶意使用都集中于利用大语言模型生成文本、代码或媒体内容。威胁行为者利用生成式人工智能撰写钓鱼诱饵、翻译内容、总结窃取的数据、生成或调试恶意软件，以及搭建脚本或基础设施框架。” 微软警告称。 “对于这些用途而言，人工智能发挥了力量倍增器的作用，降低了技术阻力并加快了执行速度，而人类操作者仍保留对攻击目标、攻击对象和部署决策的控制权。” 威胁行为者在网络攻击生命周期中对人工智能的使用（来源：微软） 被用于支撑网络攻击的人工智能 微软已观察到多个威胁组织将人工智能融入网络攻击，包括代号为 Jasper Sleet（Storm-0287）和 Coral Sleet（Storm-1877）的朝鲜籍行为者，他们将该技术用于远程 IT 人员渗透计划。 在这些行动中，人工智能工具帮助生成逼真的身份信息、简历和通信内容，以在西方企业获得雇佣资格，并在入职后维持访问权限。 “Jasper Sleet 利用生成式人工智能平台简化伪造数字身份的制作流程。例如，Jasper Sleet 行为者会提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份档案。例如，威胁行为者可能在此场景中使用以下类型的提示词来利用人工智能： 示例提示词 1：“创建 100 个希腊姓名的列表。” 示例提示词 2：“使用姓名 Jane Doe 创建一组邮箱地址格式。” Jasper Sleet 还利用生成式人工智能审阅专业平台上软件开发及 IT 相关岗位的招聘信息，提示工具提取并总结所需技能。这些输出结果随后被用于为特定职位量身定制伪造身份。 ❖ 微软威胁情报” 报告还描述了人工智能如何被用于辅助恶意软件开发与基础设施搭建，威胁行为者利用人工智能编码工具生成和优化恶意代码、排查错误，或将恶意软件组件移植到不同编程语言。 并非只有微软观察到威胁行为者越来越多地使用人工智能支撑攻击并降低入门门槛。 谷歌近期报告称，威胁行为者在网络攻击的所有阶段都在滥用 Gemini 人工智能，这与亚马逊在相关攻击活动中观察到的情况一致。 亚马逊以及 Cyber and Ramen 安全博客近期也报告了一起攻击活动，其中威胁行为者使用多个生成式人工智能服务，成功攻破了超过 600 个 FortiGate 防火墙。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI 于上周五开始推出 Codex Security—— 这是一款由人工智能（AI）驱动的安全代理工具，旨在发现漏洞、验证漏洞有效性并提出修复方案。 该功能目前处于研究预览阶段，ChatGPT Pro、企业版、商业版和教育版用户可通过 Codex 网页端使用，未来一个月内可免费调用。 “该工具会深入构建你的项目上下文信息，以识别其他智能代理工具遗漏的复杂漏洞；它能呈现可信度更高的检测结果，并提供可切实提升系统安全性的修复方案，同时避免无关紧要的小漏洞带来的干扰。” 该公司表示。 Codex Security 是 Aardvark 工具的升级版本 ——OpenAI 曾在 2025 年 10 月推出 Aardvark 私有测试版，旨在帮助开发者和安全团队大规模检测并修复安全漏洞。 在过去 30 天的测试阶段中，Codex Security 扫描了外部代码仓库中超过 120 万次代码提交，识别出 792 个关键级漏洞和 10561 个高严重级漏洞。这些漏洞涉及多个开源项目，包括 OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP 和 Chromium 等。其中部分漏洞如下所列： ·     GnuPG – CVE-2026-24881、CVE-2026-24882 ·     GnuTLS – CVE-2025-32988、CVE-2025-32989 ·     GOGS – CVE-2025-64175、CVE-2026-25242 ·     Thorium – CVE-2025-35430、CVE-2025-35431、CVE-2025-35432、CVE-2025-35433、CVE-2025-35434、CVE-2025-35435、CVE-2025-35436 据这家 AI 公司介绍，这款应用安全代理的最新版本利用其前沿模型的推理能力，并结合自动化验证机制，最大限度降低误报风险，同时提供可落地执行的修复方案。 OpenAI 对同一批代码仓库的持续扫描数据显示，该工具的检测精准度不断提升，误报率持续下降 —— 所有仓库的误报率降幅均超过 50%。 在向 The Hacker News 提供的声明中，OpenAI 表示，Codex Security 旨在通过以下方式提升有效信息占比：将漏洞发现过程锚定在系统上下文环境中，并在向用户呈现检测结果前先验证其有效性。 具体而言，该代理工具的工作流程分为三步：分析代码仓库，掌握项目中与安全相关的系统结构，并生成可编辑的威胁模型，明确系统功能及最易受攻击的环节；构建完系统上下文后，Codex Security 以此为基础识别漏洞，并根据漏洞的实际影响程度对检测结果进行分类，同时在沙箱环境中对标记的漏洞进行压力测试以验证其有效性；最终阶段，代理工具提出与系统行为最匹配的修复方案，以减少回归问题，同时让方案更易于审核和部署。 OpenAI 称：“当 Codex Security 配置为适配你项目的环境后，它可在运行中的系统上下文里直接验证潜在漏洞。这种更深度的验证能进一步降低误报率，并支持生成可运行的概念验证（PoC），为安全团队提供更充分的证据和更清晰的修复路径。” Codex Security 发布的数周前，Anthropic 刚推出 Claude Code Security 工具，该工具可帮助用户扫描软件代码库中的漏洞并提出补丁建议。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS，从而更轻易地绕过域名信誉检测与邮件安全网关。 .arpa 是保留给互联网基础设施使用的特殊顶级域名，而非用于普通网站。它主要用于反向 DNS 解析，即让系统将 IP 地址映射回对应的主机名。 IPv4 反向解析使用 in-addr.arpa 域名，而 IPv6 使用 ip6.arpa。在这类解析中，DNS 会查询由 IP 地址反向排列并附加在上述域名后的主机名。 例如，www.google.com 对应的 IP 地址为 192.178.50.36（IPv4）与 2607:f8b0:4008:802::2004（IPv6）。使用 dig 工具查询 Google 的 192.178.50.36 这一 IP 时，会解析到一个 in-addr.arpa 主机名，并最终指向一个常规主机名。 查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 可以看到，它首先解析到一个 ip6.arpa 主机名，然后再解析到一个常规主机名，如下所示。 钓鱼活动对 .arpa 域名的滥用 Infoblox 观测到的一起钓鱼攻击活动，利用了 ip6.arpa 反向 DNS 顶级域名。该域名通常通过 PTR 记录将 IPv6 地址映射回主机名。 然而，攻击者发现，如果他们申请到属于自己的 IPv6 地址段，就可以滥用该 IP 段对应的反向 DNS 区域，为钓鱼网站配置额外的 DNS 记录。 在正常的 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，使系统能够查询与某个 IP 地址关联的主机名。 但攻击者发现，一旦控制了某段 IPv6 地址对应的 DNS 区域，部分 DNS 管理平台允许他们配置其他类型的记录，这些记录可被滥用于钓鱼攻击。 Infoblox 解释称：“我们发现威胁行为者利用 Hurricane Electric 与 Cloudflare 创建这类记录 —— 两者均拥有良好信誉，攻击者正是利用了这一点 —— 并且我们确认其他一些 DNS 服务商也允许此类配置。” “我们的测试并非全覆盖，但我们已向发现存在安全漏洞的服务商进行了通报。图 2 展示了威胁行为者创建钓鱼邮件中所用域名的流程。” 为搭建相关基础设施，攻击者首先通过 IPv6 隧道服务获取一段 IPv6 地址。 Infoblox 关于 .arpa 顶级域在钓鱼邮件中如何被滥用的分析综述 (来源：Infoblox) 在获得地址段的控制权后，攻击者利用该 IPv6 地址段生成反向 DNS 主机名，并使用随机生成的子域名，使其难以被检测或拦截。 攻击者并未按预期配置 PTR 记录，而是创建 A 记录，将这些反向 DNS 域名指向承载钓鱼网站的基础设施。 该攻击活动中的钓鱼邮件使用奖品、调查奖励或账户通知等诱饵。这些诱饵以图片形式嵌入邮件，图片链接指向 IPv6 反向 DNS 记录，例如 d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa，而非常规主机名，因此目标用户不会看到奇怪的 arpa 主机名。 当受害者点击钓鱼邮件中的图片时，设备会通过 DNS 服务商解析由攻击者控制的反向 DNS 服务器。 使用.arpa 主机名展示图片和链接的 HTML 代码 (来源：Infoblox) 在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名解析到 Cloudflare IP 地址，从而隐藏后端钓鱼基础设施的真实位置。 点击图片后，受害者会经过流量分发系统（TDS）跳转，该系统通常根据设备类型、IP 地址、网页来源等条件判断访客是否为有效目标。若通过验证，则跳转到钓鱼网站；否则跳转到合法网站。 Infoblox 表示，这类钓鱼链接生命周期很短，仅活跃数天。链接失效后，会跳转到域名错误页面或其他合法网站。 研究人员认为，此举是为了增加安全研究人员分析和调查钓鱼攻击的难度。 此外，由于 .arpa 域名是为互联网基础设施保留的，它不包含普通注册域名所具备的信息，例如 WHOIS 信息、域名年龄、联系方式等。这使得邮件网关与安全工具更难检测恶意域名。 研究人员还观测到，该钓鱼活动同时使用了其他技术，例如劫持悬空 CNAME 记录与子域名影子化技术，使攻击者能够通过与合法机构关联的子域名投放钓鱼内容。 Infoblox 解释称：“我们发现超过 100 个案例中，威胁行为者劫持了知名政府机构、大学、电信公司、媒体机构和零售商的 CNAME 记录。” 通过将安全工具所信任的反向 DNS 功能武器化，攻击者可以生成能够绕过传统检测手段的钓鱼 URL。 与往常一样，防范此类钓鱼攻击的最佳方式是避免点击邮件中意外出现的链接，而是直接通过官方网站访问相关服务。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维基媒体基金会今日遭遇安全事件，一款自传播 JavaScript 蠕虫篡改用户脚本并破坏 Meta-Wiki 页面。 维基编辑首先在 “村舍水泵（技术版）” 板块上报该事件，用户发现大量自动化编辑行为向随机页面植入隐藏脚本并实施破坏。 维基媒体工程师暂时限制全平台编辑功能，同时调查攻击并回滚篡改内容。 JavaScript 蠕虫细节 据维基媒体 Phabricator 问题追踪系统显示，事件源于俄文维基上的恶意脚本被执行，导致维基百科全局 JavaScript 脚本被植入恶意代码。 该恶意脚本存储于 User:Ololoshka562/test.js[存档]，最早上传于 2024 年 3 月，据称与此前维基项目攻击所使用的脚本相关。 BleepingComputer 分析编辑记录发现，该脚本今日早些时候首次被维基媒体员工账号执行，当时该账号正在测试用户脚本功能。目前尚不清楚脚本是被故意执行、测试中意外加载，还是因账号被盗触发。 BleepingComputer 分析存档的 test.js 脚本发现，其通过向登录用户的 common.js 和维基百科全局 MediaWiki:Common.js（所有用户共用） 注入恶意 JavaScript 加载器实现自传播。 MediaWiki 支持全局和用户专属 JavaScript 文件（如 MediaWiki:Common.js、User:<用户名>/common.js），这些文件在编辑者浏览器中执行，用于自定义维基界面。 当 test.js 脚本在登录编辑者的浏览器中加载后，会利用该编辑者的会话和权限尝试修改两个脚本： ·     用户级持久化：覆盖 User:<用户名>/common.js，植入加载器 —— 该用户登录浏览维基时会自动加载 test.js 脚本。 ·     全站级持久化：若用户拥有对应权限，脚本会编辑全局 MediaWiki:Common.js，使所有使用该全局脚本的编辑者都执行恶意代码。 向 MediaWiki:Common.js 注入自传播 JavaScript 蠕虫的代码（来源：BleepingComputer） 若全局脚本被成功篡改，所有加载该脚本的用户都会自动执行加载器，进而重复相同步骤（包括感染自身 common.js）。 遭感染的维基媒体用户 common.js 脚本（来源：BleepingComputer） 该脚本还能通过 Special:Random 维基指令获取随机页面，编辑页面插入图片及以下隐藏 JavaScript 加载器： BleepingComputer 分析显示，事件中约 3996 个页面被篡改，85 名用户的 common.js 文件被替换，被删除的页面数量尚未可知。 遭 JavaScript 蠕虫篡改的页面（来源：BleepingComputer） 随着蠕虫扩散，工程师暂时限制全平台编辑功能，同时回滚恶意修改、移除注入脚本的引用。清理过程中，维基媒体基金会员工还回滚了平台上大量用户的 common.js 文件。被篡改的页面现已被 “屏蔽”，不再显示在修改记录中。 截至发稿，注入代码已被清除，编辑功能恢复正常。但维基媒体尚未发布详细事后报告，说明休眠脚本被执行的具体原因，以及蠕虫被控制前的扩散范围。 更新内容：维基媒体基金会向 BleepingComputer 发布声明称，恶意代码仅活跃 23 分钟，期间仅篡改 / 删除 Meta-Wiki 内容（现已恢复）。 声明全文：“今日早些时候，维基媒体基金会员工正对维基百科上用户编写的代码进行安全审查。审查过程中激活了一段休眠代码，随后发现该代码具有恶意性质。作为预防措施，我们暂时禁用维基百科及其他维基媒体项目的编辑功能，同时清除恶意代码并确认平台可安全使用。此次故障的安全问题现已解决。 恶意代码仅活跃 23 分钟，期间篡改 / 删除 Meta-Wiki 内容（现已恢复），未造成永久性损害。无证据表明维基百科遭蓄意攻击，也无个人信息泄露。我们正制定额外安全措施，降低同类事件再次发生的风险。相关更新将通过基金会公开事件日志持续发布。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一个影响 Context7 MCP Server 的高危漏洞，该工具被广泛用于向 AI 编程助手提供开发文档。 该漏洞被命名为 ContextCrush，攻击者可通过受信任的文档渠道，向 AI 开发工具注入恶意指令。 漏洞由 Noma Labs 研究人员在 Upstash 运营的 Context7 平台中发现。Context7 让开发者在集成开发环境中，直接为 Cursor、Claude Code、Windsurf 等 AI 助手提供最新的库文档。 该服务拥有约 5 万 GitHub Star、超过 800 万 npm 下载量，已成为 AI 辅助开发流程中的常见基础组件。 ContextCrush 漏洞原理 漏洞源于平台的 Custom Rules（自定义规则） 功能，库维护者可通过该功能向 AI 提供专用指令，帮助助手更好地解析文档。研究人员发现，这些指令会原样下发给 AI，不经过任何过滤或净化。 由于指令通过受信任的 MCP 服务器传输，AI 会将其视为合法指引，并以开发者电脑的权限执行。 这意味着攻击者可在文档注册库中植入恶意规则，并借助 Context7 的基础设施分发给开发者的 AI 工具，且无需与受害者系统直接交互。 研究人员概述了一种典型的攻击链： ·     使用 GitHub 账号在 Context7 注册新库 ·     在 Custom Rules 中插入恶意指令 ·     等待开发者通过 AI 编程助手查询该库 ·     触发后，AI 会利用现有系统权限执行有害操作 已验证的影响与安全风险 测试中，研究人员成功演示了被投毒的库条目如何攻陷开发环境。 AI 助手被指令搜索敏感 .env 文件、将内容传到攻击者控制的仓库，并以 “清理任务” 为名删除本地文件。由于指令与合法文档一同下发，AI 无法可靠区分。 安全分析师警告，MCP 服务器架构存在固有信任问题。聚合用户生成内容并通过可信渠道分发的工具，可能无意中把文档变成 AI 可执行指令。 Noma Labs 还强调，GitHub 声誉、热度排名、信任评分等指标均可被操纵，恶意库可轻易伪装成可信库。 在 2 月 18 日漏洞披露后，Upstash 次日开始修复，并于 2 月 23 日正式发布补丁，加入规则净化与额外安全防护。目前无证据表明该漏洞已被实际利用。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。 该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。 该漏洞编号为 CVE-2026-1492，CVSS 评分 9.8 分（高危）。由于插件在注册时允许用户指定角色，黑客可未授权创建管理员账户。 管理员账户拥有网站完全权限，可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容，甚至锁定合法管理员。 获得该权限的攻击者可窃取用户数据库等数据，并植入恶意代码向访客分发恶意程序。 WordPress 安全公司 Defiant（Wordfence 开发商）在过去 24 小时内，在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。 漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4（上周发布）。 若无法更新，建议暂时禁用或卸载插件。 据 Wordfence 数据，CVE-2026-1492 是该插件今年披露的最严重漏洞。 黑客持续针对 WordPress 网站，用于恶意活动：分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。 2026 年 1 月，黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550，可远程绕过认证并以管理员权限访问受影响网站。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tycoon 2FA 是一款知名的钓鱼即服务（PhaaS）工具集，它允许网络犯罪分子大规模实施中间人（AitM）式凭证窃取攻击。如今，该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。 这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现，欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售，起步价为 10 天使用权 120 美元，或一个月网页版管理面板访问权限 350 美元。据称，Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪（Saad Fridi）。 该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式，并监控有效与无效的登录尝试。 窃取到的信息包括账号凭证、多因素认证（MFA）验证码和会话 Cookie 等，这些信息既可以在面板内直接下载，也可以转发到 Telegram 中进行近乎实时的监控。 欧洲刑警组织表示：“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下，该平台每月生成数千万封钓鱼邮件，并协助攻击者未经授权访问全球近 10 万家机构，其中包括学校、医院和公共机构。” 作为此次联合行动的一部分，支撑该犯罪服务的 330 个核心域名（包括钓鱼页面和控制面板）已被关停。 情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台，并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联，每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者，微软称，Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台，并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。 截至 2025 年年中，Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%，其中单月邮件量就超过 3000 万封。这家科技巨头补充称，自 2023 年以来，该服务已在全球造成约 96,000 名 distinct 钓鱼受害者，其中包括超过 55,000 名微软客户。 网络安全公司 SpyCloud 对受害者日志数据的地理分析显示，美国是已确认受害者最集中的地区（179,264 人），其次是英国（16,901 人）、加拿大（15,272 人）、印度（7,832 人）和法国（6,823 人）。 这家网络安全公司表示：“绝大多数被攻击的账户都是企业管理账户，或与付费域名相关联，这进一步证实了一个结论：Tycoon 2FA 主要针对商业环境，而非个人消费者账户。” 网络安全公司 Proofpoint 的数据显示，Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称，仅在 2026 年 2 月，它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一，趋势科技（Trend Micro）指出，该钓鱼即服务平台拥有约 2000 名使用者。 利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业，包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。 微软表示：“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面，从而冒充可信品牌。” “它还允许使用该服务的威胁行为人实现持久化控制，即使用户重置了密码，也能继续访问敏感信息，除非活跃会话和令牌被显式吊销。这种效果的实现原理是，在身份认证过程中拦截生成的会话 Cookie，同时捕获用户凭证。随后，多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。” 该工具套件还采用了多种技术来规避检测，包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是，它大量使用各类顶级域名（TLD）和短期有效完全限定域名（FQDN），并依托 Cloudflare 搭建钓鱼基础设施。 这些完全限定域名通常仅存活 24 到 72 小时，这种快速轮换是故意为之，目的是增加检测难度，并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程，从而隐秘拦截用户凭证和会话令牌。 更糟糕的是，Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”（ATO Jumping）的技术，即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接，并尝试发起更多账户接管攻击。Proofpoint 指出：“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人，从而提高攻击成功的可能性。” 像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性，既能让技术能力不强的攻击者轻松使用，同时也能为更有经验的操作者提供高级功能。 Proofpoint 高级威胁研究员赛琳娜・拉尔森（Selena Larson）在向《黑客新闻》提供的声明中表示：“2025 年，99% 的机构遭遇了账户接管攻击尝试，67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中，59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关，但这一数据凸显了中间人钓鱼对企业造成的巨大影响。” “这些能够实现完全账户接管的网络攻击可能导致灾难性后果，包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点，获取企业电子邮件账户的访问权限，往往是一条可能带来毁灭性后果的攻击链的第一步。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国新泽西州最大的县之一正遭受网络攻击，全县政府部门电话线路与 IT 系统均受影响中断。 位于新泽西州北部、人口近 60 万的帕塞伊克县（Passaic County）于周三晚间发布公告，告知居民该县遭遇恶意软件攻击，IT 系统与电话线路受影响。 该县表示：“我们正与联邦及州政府官员合作，调查并控制此次事件。” 该县周三上午首次通报电话线路中断，下午确认故障由网络攻击导致。 在 2023 至 2025 年针对大型都会区的多起勒索软件攻击后，网络犯罪团伙现已将目标转向中小型地方政府。2026 年至今，已有数十个县市成为攻击目标，包括佛罗里达州、康涅狄格州和西弗吉尼亚州的多个城市。 除地方政府外，近几周多家医院也成为黑客攻击目标。密西西比州一家大型医院遭勒索软件攻击后，经过数周恢复，终于在周一恢复正常运营；此前该院系统长期中断、停诊并取消大量预约。 帕塞伊克县官员表示：“新泽西州其他多个地方政府也遭遇过类似事件”，这很可能指此前曾遭勒索软件攻击的萨默塞特县、卡姆登县、伯根县、蒙特克莱尔镇和霍博肯市。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个疑似与伊朗相关的威胁组织，通过冒充伊拉克外交部，针对伊拉克政府官员发动攻击并投放多款全新恶意软件。 Zscaler ThreatLabz 于 2026 年 1 月监测到该活动，并将其命名为 Dust Specter 进行追踪。攻击通过两条不同的感染链展开，最终投放 SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM 恶意软件。 安全研究员 Sudeep Singh 表示：“Dust Specter 使用随机生成的 URI 路径与 C2 服务器通信，并在路径后附加校验值，确保请求来自真实受感染系统。C2 服务器还使用了地理围栏与 User‑Agent 校验。” 此次攻击的一个显著特点是：攻击者攻陷伊拉克政府相关基础设施，用于投放恶意载荷，同时还使用规避技术延迟执行，以躲避检测。 第一条攻击链以加密 RAR 压缩包开始，其中包含名为 SPLITDROP 的 .NET 加载器，它负责加载工作模块 TWINTASK 与 C2 协调模块 TWINTALK。 TWINTASK 是恶意 DLL（libvlc.dll），通过合法 vlc.exe 进行 DLL 侧加载。它每 15 秒轮询 C:\ProgramData\PolGuid\in.txt 获取新指令，并通过 PowerShell 执行，还包含通过修改注册表实现持久化的指令。脚本输出与错误信息记录在 out.txt 中。 TWINTASK 首次运行时会执行压缩包内合法程序 WingetUI.exe，使其侧加载 TWINTALK 的 DLL（hostfxr.dll）。其主要功能是与 C2 通信获取指令、与 TWINTASK 协同，并回传执行结果。支持将 C2 指令写入 in.txt，并支持文件上传与下载。 Singh 表示：“C2 协调模块与工作模块并行运行，通过文件轮询机制执行指令。TWINTALK 运行后进入心跳循环，随机延迟后再轮询 C2 获取指令。” 第二条攻击链是第一条的升级版，将 TWINTASK 与 TWINTALK 全部功能整合为单一程序 GHOSTFORM。它使用内存中直接执行 PowerShell 的方式运行来自 C2 的指令，从而避免在磁盘上留下痕迹。 这并非两条攻击链的唯一区别。部分 GHOSTFORM 样本内置硬编码 Google 表单地址，运行后会自动用默认浏览器打开。表单为阿拉伯语内容，伪装成伊拉克外交部官方调查问卷。 Zscaler 对 TWINTALK 与 GHOSTFORM 源码分析发现，其中存在占位符、表情符号与 Unicode 文本，表明攻击者可能使用生成式 AI辅助开发恶意软件。 此外，与 TWINTALK 关联的 C2 域名 meetingapp[.]site，已被 Dust Specter 在 2025 年 7 月攻击中用于搭建伪造的 Webex 会议邀请页面，诱导用户复制粘贴并运行 PowerShell 脚本 “加入会议”。该手法与 ClickFix 式社会工程攻击高度一致。 该 PowerShell 脚本会创建目录，从同一域名下载载荷并保存为可执行文件，同时创建计划任务每两小时运行该恶意程序。 Dust Specter 与伊朗关联的依据是：伊朗黑客组织长期使用轻量级自定义 .NET 后门。攻陷伊拉克政府基础设施的手法，也与 OilRig（APT34）等伊朗系组织过往攻击一致。 Zscaler 表示：“本次活动中高置信度归属 Dust Specter，通过高度仿真的社会工程诱饵冒充伊拉克外交部攻击政府官员。该活动也反映出主流趋势：ClickFix 式攻击手法与生成式 AI 在恶意软件开发中的广泛使用。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一套此前未公开、包含 23 个 iOS 漏洞利用代码的工具集 “Coruna”，已被多个威胁组织用于定向间谍活动和以牟利为目的的攻击。 Coruna 套件包含5 条完整 iOS 漏洞利用链，其中最复杂的利用非公开技术和防护绕过手段，支持 iOS 13.0 至 17.2.1（2023 年 12 月发布）。 谷歌威胁情报小组（GTIG）研究人员于 2025 年 2 月首次观察到与 Coruna 相关的活动，该活动归属于某监控软件厂商的客户。 当时，研究人员获取了其 JS 投递框架以及针对 CVE-2024-23222 的利用代码，该漏洞是可在 iOS 17.2.1 实现远程代码执行（RCE）的 WebKit 漏洞。苹果已于 2024 年 1 月 22 日在 iOS 17.3 修复该漏洞，此前该漏洞曾被用于 0day 攻击。 同年夏季再次发现同一混淆框架，被疑似俄罗斯网络间谍组织 UNC6353 用于水坑攻击，针对访问被攻陷乌克兰网站的 iPhone 用户，这些网站涉及电商、工业设备、零售工具与本地服务。 Coruna 套件投放时间线（来源：谷歌） Coruna 漏洞套件能力 GTIG 分析师在 2025 年底获取完整套件后发现，其包含 5 条完整利用链，共使用 23 个漏洞，包括： ·     WebKit 远程代码执行 ·     指针认证码（PAC）绕过 ·     沙箱逃逸 ·     内核提权 ·     页面保护层（PPL）绕过 “这些漏洞利用代码附带详尽文档，包括英文母语者编写的文档字符串与注释。最先进的利用代码使用了非公开漏洞利用技术与防护绕过手段。”GTIG 研究人员表示。 部分利用代码复用了三角行动（Operation Triangulation） 中首次发现的漏洞，该行动于 2023 年 6 月由卡巴斯基曝光。该公司后续发现，这些利用代码滥用了苹果设备中未公开的硬件特性。 据 GTIG 研究人员介绍，Coruna 会对设备与系统版本进行指纹识别，然后选择对应的利用链执行。如果设备开启了锁定模式（Lockdown Mode） 反间谍保护或隐私浏览，该框架会停止运行。 适用于 iOS 15.8.5 的 Coruna 利用链（来源：谷歌） 投放 PlasmaGrid 恶意程序 GTIG 分析发现，Coruna 利用链成功后投放的最终载荷之一是名为 PlasmaLoader 的加载器，研究人员将其追踪为 PlasmaGrid，该恶意程序会注入到 iOS 根守护进程 powerd 中。 但该恶意程序并不具备典型间谍软件的功能。它会从 C2 服务器下载额外模块，针对 MetaMask、Phantom、Exodus、BitKeep、Uniswap 等加密货币钱包应用。 威胁组织使用虚假金融与加密货币相关网站投递漏洞套件，诱导访客使用 iOS 设备访问页面。 目标数据包括钱包助记词（BIP39）、“备份助记词”“银行账户” 等敏感字符串，以及存储在苹果备忘录中的数据。 窃取的数据会使用 AES 加密后外传，发送到硬编码的 C2 地址。为提高抗关停能力，该后门还包含以字符串 “lazarus” 为种子的域名生成算法（DGA），生成 .xyz 域名。 GTIG 无法确定 Coruna 如何从服务于监控厂商的间谍活动，流向针对加密货币用户的牟利型恶意活动。 GTIG 在报告中指出：“扩散途径尚不明确，但表明存在活跃的‘二手’0day 漏洞交易市场。” 监控厂商对 Coruna 这类漏洞套件实施严格权限管控，用于为政府客户提供高度定向行动的产品中。苹果一贯表示，此类安全漏洞仅被用于针对高价值目标的有限攻击。 移动安全公司 iVerify 表示，Coruna 是迄今为止最典型的案例之一，证明 “高级间谍软件级能力” 从商业监控厂商流向国家级攻击者，并最终落入大规模犯罪活动手中。 这印证了 iVerify 长期以来的观点：移动威胁格局正在快速演变，“曾经仅用于针对国家元首的工具，现在正被用于攻击普通 iPhone 用户。” 谷歌已将分析 Coruna 时识别的所有网站与域名加入安全浏览名单，并建议 iOS 用户升级到最新版本。若无法更新，建议开启锁定模式（Lockdown Mode）。 除了 Coruna 漏洞套件包含的漏洞及其代号外，GTIG 报告还提供了后门与相关模块的失陷指标（IOC），以及攻击基础设施信息。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了网络犯罪论坛 LeakBase，该论坛是网络犯罪分子买卖黑客工具和被盗数据的主要平台。 此次查封行动是由欧洲刑警组织协调的国际联合行动 “Leak 行动” 的一部分，共有 14 个国家的执法机构参与。 3 月 3 日至 4 日，FBI 与执法人员查封了 LeakBase 的两个域名、张贴查封公告，并在收集更多证据后向该论坛成员发出警告。 美方及澳大利亚、比利时、波兰、葡萄牙、罗马尼亚、西班牙、英国等国警方执行了搜查令、实施逮捕并进行问询。 LeakBase 域名（leakbase [.] la）现已显示公告：“本网站已由美国联邦调查局（FBI）在国际执法行动中查封。” 查封公告同时指出，该论坛数据库及所有内容（包括 IP 日志和私信）将作为证据用于后续调查。 公告称：“论坛所有内容，包括用户账号、帖子、积分信息、私信和 IP 日志均已固定并保存，用于取证。任何试图访问、修改或干扰本网站的行为都可能构成额外刑事犯罪。本次行动得益于国际执法部门及私营部门的协作，合作伙伴如下。” LeakBase 查封公告（来源：BleepingComputer） 该域名的 DNS 服务器已切换为 ns1.fbi.seized.gov 和 ns2.fbi.seized.gov，为 FBI 查封域名时使用的官方服务器。 欧洲刑警组织表示：“3 月 3 日，执法部门在多国司法管辖区开展协同行动，包括逮捕、入户搜查和上门约谈。全球共开展约 100 次执法行动，针对平台 37 名最活跃用户采取措施。” “3 月 4 日，当局进入技术关停阶段，查封论坛域名并替换为执法公告页面。行动现已进入预防阶段，旨在震慑后续犯罪活动，并警示参与网络犯罪的后果。” LeakBase 自 2021 年运营，由 ARES 威胁组织支持创立；在 Breached 黑客论坛关闭后，其用户量逐步增长至 14.2 万以上。 该论坛免费注册，提供数据库访问、数据泄露交易、漏洞利用工具及各类黑产服务，并支持担保交易。此外，论坛还设有编程、黑客技巧、社会工程学、密码学和操作安全（OPSEC）教程板块。 本次行动前，美方已先后在 2022 年打掉 RaidForums、2023 年打掉 BreachForums 两大同类网络犯罪平台，并在 2025 年对 BreachForums 创始人完成定罪判刑。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客于周二在一个网络犯罪论坛上宣布了此次入侵。根据其声明，他们曾试图向 LexisNexis 勒索但未成功。 LexisNexis 法律与专业解决方案部门代表在向媒体发布的声明中表示，尽管攻击者确实获取了部分服务器的访问权限，但受影响系统主要存储 2020 年之前的旧版及废弃数据。 该公司已确认，客户姓名、用户 ID、商务联系方式、客户调查受访者 IP 地址以及支持工单等信息已遭泄露。 公司表示：“LexisNexis 法律与专业解决方案部门已对一起安全事件展开调查，根据目前的调查与检测，我们认为事件已得到控制。没有证据表明我们的产品和服务遭到入侵或受到影响。” 黑客称，他们利用了 React2Shell 漏洞以及安全配置不当的 AWS 实例，访问并窃取了超过 2GB 的数据。据称此次网络攻击发生于上周。 威胁组织声称获取了数百万条数据记录，包括企业账户数据、员工凭证、软件开发密钥，以及 40 万人的个人信息，其中包括 100 余名使用 .gov 邮箱地址的人员。泄露的个人信息包括姓名、电话号码、电子邮箱地址和职务。 这并非 LexisNexis 近年来首次遭遇数据泄露。LexisNexis 风险解决方案部门去年证实，2024 年一起第三方入侵事件导致超过 36 万人的信息被盗。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科修复了两个高危 Secure FMC 漏洞，攻击者可利用其获取受管理防火墙的 root 权限。 思科修复了其 Secure Firewall Management Center（FMC）中的两个最高危漏洞，可导致攻击者获取 root 权限。思科 Secure FMC 是用于思科防火墙的集中管理平台。 管理员可通过统一 Web 或 SSH 界面配置、监控和控制多台防火墙。通过 FMC，管理员可统一管理入侵防御（IPS）、应用控制、URL 过滤、高级恶意软件防护、日志、报表及整体网络安全态势。 第一个漏洞编号为 CVE-2026-20079（CVSS 评分 10.0），属于认证绕过漏洞。 该漏洞位于思科 Secure FMC 的 Web 界面，允许未认证远程攻击者绕过认证，发送构造的 HTTP 请求执行脚本，进而获取底层操作系统 root 权限。 安全公告称：“思科 Secure FMC 软件 Web 界面存在漏洞，可允许未认证远程攻击者绕过认证，在受影响设备上执行脚本，获取底层操作系统 root 权限。”“该漏洞源于启动时创建的不当系统进程。攻击者可向受影响设备发送构造的 HTTP 请求利用该漏洞。成功利用可使攻击者执行多种脚本与命令，获取设备 root 权限。” 第二个漏洞编号为 CVE-2026-20131（CVSS 评分 10.0），属于远程代码执行漏洞。 该漏洞位于思科 Secure FMC Web 界面，允许未认证远程攻击者利用不安全的 Java 反序列化，发送构造的序列化对象，以 root 身份执行任意代码。 公告称：“思科 Secure FMC 基于 Web 的管理界面存在漏洞，可允许未认证远程攻击者以 root 身份在受影响设备上执行任意 Java 代码。”“该漏洞源于对用户提供的 Java 字节流进行不安全反序列化。攻击者可向受影响设备的 Web 管理界面发送构造的 Java 序列化对象进行利用。成功利用可使攻击者在设备上执行任意代码，并将权限提升至 root。” CVE-2026-20131 同时影响思科 Security Cloud Control（SCC）防火墙管理组件。 思科 PSIRT 表示，目前未发现这两个漏洞的公开 PoC 或在野利用。 该网络设备巨头表示，这些漏洞无可用缓解方案，必须打补丁。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。 LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。 LastPass TIME 团队已向客户发出警报，该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件，伪装成关于账户未授权访问的内部转发消息，以此欺骗用户。 LastPass 警告，攻击者会伪造邮件对话记录，制造有人试图导出密码库、恢复账户或注册新设备的假象。 攻击者通过伪造显示名冒充 LastPass，同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接，跳转到 verify-lastpass [.] com 伪造 SSO 页面，窃取凭证。 LastPass 发布的警报称：“攻击者利用多数邮件客户端（尤其是移动端）仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作（如报告可疑行为、断开并锁定密码库、吊销设备等）；这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面，用于窃取用户凭证。” LastPass 提醒用户，官方绝不会索要主密码，并正与合作伙伴关停钓鱼网站。建议用户保持警惕，并将可疑的仿 LastPass 邮件上报至 [email protected]，共同保护社区安全。 公告中提供了失陷指标（IoC），包括恶意 URL 及相关 IP 地址。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FreeScout 客服平台存在一个最高危漏洞，允许黑客在无需用户交互、无需身份认证的情况下实现远程代码执行（RCE）。 该漏洞编号为 CVE-2026-28289，可绕过此前针对另一个 RCE 漏洞（CVE-2026-27636）的修复，后者仅能被拥有上传权限的认证用户利用。 应用安全厂商 OX Security 的研究人员表示，攻击者只需向 FreeScout 中配置的任意邮箱发送一封精心构造的邮件，即可利用该新漏洞。 官方此前的修复方案试图通过修改带受限后缀或以点开头的文件名，来阻止危险文件上传。 OX 研究团队发现，可在文件名前插入零宽空格（Unicode U+200B） 绕过新加入的校验机制，因为该字符不会被视为可见内容。 后续处理会自动移除该字符，使文件最终以点文件（dotfile）形式保存，从而完全绕过最新安全检查，再次触发 CVE-2026-27636 的利用条件。 攻击利用链（来源：OX Research） 研究人员称，更严重的是，只需向 FreeScout 配置的邮箱发送带恶意附件的邮件，即可触发 CVE-2026-28289。 系统会将附件保存到 /storage/attachment/ 目录，攻击者可通过 Web 界面访问上传的恶意载荷，无需认证、无需点击即可在服务器上执行命令，属于零点击漏洞。 厂商在安全公告中表示：“FreeScout 1.8.206 存在补丁绕过漏洞，任何拥有文件上传权限的认证用户，可通过在文件名前加零宽空格上传恶意 .htaccess 文件绕过安全检查，实现服务器 RCE。” FreeScout 是一款开源客服与共享邮箱平台，用于企业管理客服邮件与工单，是可自托管的 Zendesk / Help Scout 替代方案。 该项目在 GitHub 有 4100 Star、620+ Fork；OX 研究称 Shodan 扫描发现 1100 个公开暴露实例，说明其使用范围广泛。 CVE-2026-28289 影响 1.8.206 及以下所有版本，已于四天前发布的 1.8.207 版本中修复。 FreeScout 团队警告，成功利用 CVE-2026-28289 可导致服务器完全被控、数据泄露、内网横向移动、业务中断，建议立即更新补丁。 OX Research 同时建议，即使升级到 1.8.207，也应在 FreeScout 服务器的 Apache 配置中禁用 AllowOverride All。 截至发稿，暂未观察到 CVE-2026-28289 在野利用，但鉴于漏洞性质，短期内出现恶意攻击的风险极高。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，在美以针对伊朗发动代号为 Epic Fury 和 Roaring Lion 的联合军事行动后，报复性黑客行动主义活动激增。 Radware 在周二的报告中表示：“中东地区的黑客行动主义威胁呈现高度不均衡态势，Keymous+ 和 DieNet 两个组织发起了 2 月 28 日至 3 月 2 日期间近 70% 的攻击活动。” 首例分布式拒绝服务（DDoS）攻击由 Hider Nex（又名 Tunisian Maskers Cyber Force）于 2026 年 2 月 28 日发起。 据 Orange Cyberdefense 披露的信息，Hider Nex 是一个支持巴勒斯坦事业的突尼斯秘密黑客行动主义组织。该组织采用攻击 + 泄密策略，将 DDoS 攻击与数据泄露相结合，泄露敏感信息以推进其地缘政治议程。该组织于 2025 年年中出现。 统计显示，共出现 149 起黑客行动主义 DDoS 攻击宣称，针对 16 个国家 110 家不同机构。攻击由 12 个不同组织实施，其中 Keymous+、DieNet 和 NoName057 (16) 占全部活动的 74.6%。 在这些攻击中，绝大多数（107 起）集中在中东地区，重点针对公共基础设施和国家级目标。欧洲成为同期全球 22.8% 攻击活动的目标。全球近 47.8% 的受攻击机构属于政府部门，其次是金融（11.9%）和电信（6.7%）行业。 Radware 表示：“该地区数字战线与实体战线同步扩大，黑客组织同时针对中东更多国家发起攻击，规模前所未有。”“区域内攻击高度集中在三个国家：科威特、以色列和约旦，分别占攻击宣称总量的 28%、27.1% 和 21.5%。” 根据 Flashpoint、Palo Alto Networks Unit 42 和 Radware 的数据，除上述三个组织外，参与破坏性行动的还包括 NOS、CEA、Sylhet Gang、313 Team、Handala Hack、APT Iran、Cyber Islamic Resistance、Dark Storm Team、FAD Team、Evil Markhors 和 PalachPro。 当前网络攻击范围如下： ·     亲俄黑客组织 Cardinal 和 Russian Legion 宣称攻破以色列军事网络，包括铁穹导弹防御系统。 ·     监测到活跃的 SMS 钓鱼活动，攻击者使用假冒以色列本土前线司令部 RedAlert 应用的恶意副本，投放移动监控与数据窃取恶意软件。CloudSEK 表示：“攻击者以战时紧急更新为幌子，诱导受害者侧载恶意 APK，在可用的警报界面下隐藏侵入式监控引擎，针对高度警惕的人群实施监控。” ·     伊朗伊斯兰革命卫队（IRGC）针对中东能源与数字基础设施发起攻击，目标包括沙特阿美和阿联酋的一座 AWS 数据中心。Flashpoint 称，其意图是 “制造最大程度的全球经济冲击，以对冲军事层面的损失”。 ·     Cotton Sandstorm（又名 Haywire Kitten）启用旧网络身份 Altoufan Team，宣称入侵巴林多家网站。Check Point 表示：“这反映出该攻击者行动的应激性，冲突期间其极有可能进一步参与中东地区的入侵活动。” ·     Nozomi Networks 数据显示，伊朗国家背景黑客组织 UNC1549（又名 GalaxyGato、Nimbus Manticore、Subtle Snail）是 2025 年下半年第四活跃的攻击组织，其攻击重点为国防、航空航天、电信及地区政府机构，以推进伊朗地缘政治目标。 ·     伊朗主流加密货币交易所仍在运行，但已宣布调整运营，暂停或批量处理提现，并发布风险提示，建议用户为可能的网络中断做好准备。 ·     TRM Labs 全球政策主管 Ari Redbord 表示：“伊朗目前的情况并非明显的大规模资本外逃，而是市场在网络受限与监管干预下应对波动的表现。”“多年来，伊朗一直存在影子经济，其中一部分通过加密货币规避制裁，包括利用复杂的离岸基础设施。目前在战争、断网和市场波动的压力下，这套基础设施及政权利用它的能力正接受实时压力测试。” ·     Sophos 表示 “观察到黑客行动主义活动激增，但风险并未升级”，攻击主要来自亲伊朗组织，包括 Handala Hack 和 APT Iran，攻击形式包括 DDoS、网站篡改以及针对以色列基础设施的未经证实的入侵宣称。 ·     英国国家网络安全中心（NCSC）向机构发出伊朗网络攻击风险升高警报，敦促其加强安全态势，应对 DDoS、钓鱼活动和对 ICS 的攻击。 Halcyon 勒索软件研究中心高级副总裁、前 FBI 网络部副主任 Cynthia Kaiser 在 LinkedIn 发文称，伊朗素有利用网络行动报复 “所谓政治冒犯” 的先例，她补充称，此类活动越来越多地结合勒索软件。 Kaiser 补充：“伊朗长期以来对针对美国、以色列及其他盟国的民间网络行动持默许或至少是放任态度。”“原因在于，掌握网络犯罪分子能为政府提供更多行动选择。伊朗在考虑如何回应美以军事行动时，若认为这些网络组织能产生有效报复效果，很可能会启用他们。” 网络安全公司 SentinelOne 也以高可信度评估认为，以色列、美国及盟国机构很可能面临直接或间接攻击，重点行业包括政府、关键基础设施、国防、金融服务、教育和媒体。 Nozomi Networks 表示：“伊朗威胁组织历来愿意将间谍活动、破坏行动和心理战结合，以实现战略目标。”“在局势不稳定时期，此类行动往往会加剧，目标超出直接冲突区域，涵盖关键基础设施、能源网络、政府机构和私营企业。” 为应对实体冲突带来的网络风险，建议机构启用持续监控，以匹配升级的威胁活动，更新威胁情报特征、缩小外部攻击面、对联网资产开展全面暴露面检查，验证 IT 与 OT 网络的正确隔离，确保 IoT 设备有效隔离。 CrowdStrike 对抗敌对行动主管 Adam Meyers 向 The Hacker News 表示：“在以往冲突中，伊朗网络组织会将行动与更广泛战略目标对齐，加大对能源、关键基础设施、金融、电信、医疗等目标的施压与曝光度。” “伊朗对手的攻击技术持续进化，已从传统入侵扩展到云和身份为中心的行动，这使其能够在混合企业环境中快速行动，规模与影响进一步提升。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将VMware Aria Operations漏洞（CVE-2026-22719）列入已知被利用漏洞（KEV）目录，标记该漏洞正被攻击者利用。 博通公司亦警告称注意到相关利用报告，但无法独立核实。VMware Aria Operations是企业监控平台，用于追踪服务器、网络及云基础设施性能与健康状况。 该漏洞最初于2026年2月24日披露并修复，VMware VMSA-2026-0001公告评级为”重要”，CVSS评分8.1。CISA要求联邦民用机构在2026年3月24日前修复此问题。 博通在公告更新中表示：”注意到CVE-2026-22719野外潜在利用报告，但无法独立确认其有效性。”目前该漏洞利用技术细节尚未公开。 据博通说明，CVE-2026-22719为命令注入漏洞，未经身份验证的攻击者可执行任意命令。”恶意未认证攻击者可能在VMware Aria Operations支持辅助产品迁移过程中利用此问题执行任意命令，导致远程代码执行。” 博通于2月24日发布安全补丁，并为无法立即打补丁的组织提供临时缓解方案。该方案为名为”aria-ops-rce-workaround.sh”的shell脚本，需以root权限在每个Aria Operations设备节点执行，用于禁用迁移过程中可能被滥用的组件。 管理员被建议尽快应用安全补丁或实施缓解措施，尤其在该漏洞正被主动利用的情况下。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究员Gjoko Krstic披露霍尼韦尔IQ4楼宇管理控制器存在高危漏洞，但厂商对严重性提出异议。 Krstic指出，该产品出厂默认配置未认证即暴露基于网页的人机界面。若配置不当且设置时未启用用户模块，远程攻击者可在合法用户前创建管理员账户，“有效锁定合法操作员的本地及网页端配置管理权限”。该漏洞可能影响学校、商业建筑等设施。 研究员于2025年12月向霍尼韦尔报告，但厂商拒绝发布补丁，称IQ4设计用于本地部署，不应暴露于互联网。“设备交付时未配置，由 trained 技术人员安装后才运行，”霍尼韦尔声明称，”所述场景仅可能在系统激活前的短暂安装阶段，或故意禁用安全设置时出现。此时设备无法监控或控制任何设备，不影响运营。” Krstic反驳称发现近7500个互联网暴露实例，约20%无需认证即可访问，并否认厂商”未完全设置则无法控制设备”的说法：”我遇到过未创建用户账户的安装环境，能够写入照明、温度等组件变更，关闭锅炉或制冷机。” SecurityWeek确认大量IQ4界面实例暴露于互联网，但未核实其他说法。Krstic表示该漏洞CVE编号待分配，并已联系卡内基梅隆大学CERT协调中心介入调解。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文