HackerNews

HackerNews 编译，转载请注明出处： 微软威胁情报团队已吊销 200 多个由威胁 actor 伪造签名的证书，这些证书被用于伪造的微软 Teams 安装文件，以分发后门程序和恶意软件。 微软将这场攻击活动命名为 “Vanilla Tempest”，其他机构则将其追踪为 “Vice Spider” 和 “Vice Society”。该活动于 9 月下旬被发现。 该威胁 actor 以经济利益为动机，主要通过部署勒索软件和窃取数据进行勒索。 伪造的 Teams 安装文件被用于分发 “Oyster” 后门程序，并最终部署 “Rhysida” 勒索软件。 除 Rhysida 外，该威胁 actor 还使用过其他勒索软件变种，包括 BlackCat、Quantum Locker 和 Zeppelin。 在这场活动中，攻击者利用 SEO 投毒和恶意广告技术，诱骗用户下载伪造的 MSTeamsSetup.exe 文件，这些文件会释放 Oyster 后门。 搜索 “Teams 下载” 的用户会被引诱至仿冒网站，这些网站托管着伪造的微软 Teams 安装程序。模仿微软 Teams 的恶意域名包括 teams-download [.] buzz、teams-install [.] run 和 teams-download [.] top 等。 微软表示，Vanilla Tempest 早在 2025 年 6 月就将 Oyster 后门纳入攻击流程，但在 2025 年 9 月初才开始对这些后门程序进行伪造签名。 观察发现，Vanilla Tempest 通过 “Trusted Signing” 服务以及 SSL [.] com、DigiCert 和 GlobalSign 等代码签名服务，为伪造的安装程序和攻击后工具伪造签名。 这家科技巨头称，完全启用的微软 Defender 防病毒软件可拦截此威胁。除检测功能外，微软 Defender for Endpoint 还提供了缓解和调查此类攻击的额外指导。 Vanilla Tempest 至少从 2021 年起就异常活跃。2023 年，在一系列影响美国医疗行业的事件发生后，安全研究人员发现该组织与 Rhysida 勒索软件存在关联。 2022 年，Vanilla Tempest 发起的一系列勒索软件攻击活动曾针对英国和美国的教育行业。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心事件概况 俄罗斯黑客组织 Lynx窃取并泄露了英国皇家空军（RAF）和皇家海军 8 处基地的国防部（MoD）文件，在这场通过 “多德集团”（Dodd Group）入侵发起的 “灾难性” 网络攻击中，人员敏感数据遭到曝光。 此次事件发生于 9 月 23 日。据《每日邮报》（The Daily Mail）报道，攻击源头是英国国防部的承包商多德集团 —— 该集团被Lynx组织攻破后，数百份涉及 8 处皇家空军及皇家海军基地的敏感文件遭窃取并泄露，《每日邮报》将此次攻击定性为 “灾难性” 事件。 泄露数据与涉事企业背景 泄露数据内容：遭泄露的信息包括工作人员姓名与邮箱、承包商姓名、电话号码、车辆详情及国防部人员联系方式。部分文件还标注有 “受控”（Controlled）或 “官方敏感”（Official Sensitive）等级。 多德集团简介：该集团拥有超过 1100 名员工，业务覆盖教育、医疗、住房、公用事业及国防领域的重大项目，包括为英国国防部提供维护与建筑服务，是英国领先的私营工程及设施管理公司之一。 攻击后续发展：Lynx这一勒索软件组织已将多德集团列入其 Tor 数据泄露网站，声称窃取了约 4TB 数据。目前该组织已开始泄露被盗数据，泄露原因可能是双方谈判破裂。 涉事军事基地与文件细节 据《每日邮报》披露，泄露的国防部文件包含多处皇家空军及海军基地的敏感信息，涉及基地包括： 莱肯希思基地（RAF Lakenheath）：部署有美国 F-35 战斗机，且据信存放有核弹。 波特里斯基地（RAF Portreath）：北约防空网络的顶级机密雷达站。 普雷丹纳克基地（RAF Predannack）：现为英国国家无人机中心（National Drone Hub）所在地。 泄露文件总量约 1000 份，具体包括： 波特里斯皇家空军基地和卡尔德罗斯皇家海军航空站（RNAS Culdrose）的访客记录。 内部邮件与安全指南。 莱肯希思皇家空军基地和米尔登霍尔皇家空军基地（RAF Mildenhall）的建筑施工记录，其中包含敏感作战细节。 各方回应与风险警示 多德集团回应：该集团已公开披露此次数据泄露事件，但公司发言人称仅 “少量数据”（limited data）被盗。 专家警示：情报专家指出，国家级行为体可能将被盗数据用于情报收集，或对受影响机构发起进一步网络攻击。 英国国防部行动：目前英国国防部已针对该事件启动调查。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场协同攻击活动：131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体，正针对巴西用户进行大规模垃圾邮件发送。 据供应链安全公司 Socket 透露，这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施，这些浏览器插件的活跃用户总计约 20,905 人。 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示：“它们并非传统意义上的恶意软件，但属于高风险垃圾信息自动化工具，违反了平台规则。其代码直接注入 WhatsApp 网页版页面，与 WhatsApp 自身脚本一同运行，通过特定方式实现批量 outreach 和定时发送，目的是绕过 WhatsApp 的反垃圾邮件机制。” 该活动的最终目标是通过 WhatsApp 大量发送出站消息，且能绕过该消息平台的发送频率限制和反垃圾邮件管控。 据悉，该活动已持续至少 9 个月，截至 2025 年 10 月 17 日，仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括： YouSeller（10,000 名用户） performancemais（239 名用户） Botflow（38 名用户） ZapVende（32 名用户） 这些扩展虽名称和图标各异，但幕后绝大多数由 “WL Extensão” 及其变体 “WLExtensao” 发布。据信，这种品牌差异源于一种特许经营模式 —— 该运营活动的分销商可将 DBX Tecnologia 公司提供的原始扩展克隆后，以不同品牌名称大量上传至 Chrome 应用商店。 这些插件还伪装成 WhatsApp 的客户关系管理（CRM）工具，宣称能帮助用户通过该应用的网页版提升销售额。 ZapVende 在 Chrome 应用商店的描述中写道：“将你的 WhatsApp 转变为强大的销售和联系人管理工具。借助 Zap Vende，你将获得直观的 CRM 系统、消息自动化、批量发送、可视化销售漏斗等多种功能。轻松高效地管理客户服务、跟踪潜在客户并定时发送消息。” Socket 指出，DBX Tecnologia 公司推出了经销商白标计划，允许潜在合作伙伴对其 WhatsApp 网页版扩展进行重新品牌包装并销售。该公司宣称，投资 12,000 雷亚尔（巴西货币），可获得每月 30,000 至 84,000 雷亚尔的 recurring revenue。 值得注意的是，这种行为违反了谷歌 Chrome 应用商店的《垃圾信息与滥用政策》，该政策禁止开发者及其关联方提交功能重复的多个扩展程序。此外，还发现 DBX Tecnologia 在 YouTube 上发布视频，传授使用其扩展时如何绕过 WhatsApp 的反垃圾邮件算法。 博伊琴科指出：“这一系列扩展本质上是几乎相同的复制品，分散在不同的发布者账户下，主打批量非邀约 outreach，且能在无需用户确认的情况下，在web.whatsapp.com内自动发送消息。其目的是让大规模垃圾邮件活动持续进行，同时规避反垃圾邮件系统的检测。” 此次披露正值趋势科技（Trend Micro）、Sophos 和卡巴斯基（Kaspersky）曝光另一场大规模攻击活动 —— 该活动针对巴西用户，利用名为 SORVEPOTEL 的 WhatsApp 蠕虫病毒分发一款代号为 Maverick 的银行木马。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心漏洞概况 近 7.6 万台 WatchGuard Firebox 网络安全设备暴露在公共网络中，且仍受一个严重漏洞（CVE-2025-9242）影响。该漏洞允许远程攻击者在无需身份验证的情况下执行代码。 Firebox 设备是网络防御核心枢纽，负责控制内部与外部网络间的流量。其通过策略管理、安全服务、虚拟专用网络（VPN）以及 WatchGuard Cloud 提供的实时可见性实现防护功能。 全球受影响设备分布 据 “影子服务器基金会”（The Shadowserver Foundation）的扫描数据，目前全球共有 75,835 台易受攻击的 Firebox 设备，主要集中在欧洲和北美地区。具体分布如下： 美国：24,500 台（数量最多） 德国：7,300 台 意大利：6,800 台 英国：5,400 台 加拿大：4,100 台 法国：2,000 台 漏洞技术细节与影响范围 漏洞披露与评级：WatchGuard 于 9 月 17 日在安全公告中披露 CVE-2025-9242，将其评为严重级别，风险评分达 9.3 分（满分 10 分）。 漏洞本质：该漏洞是 Fireware 操作系统 “iked” 进程中的 “越界写入” 问题，而 “iked” 进程负责处理 IKEv2 协议的 VPN 协商。 攻击方式：攻击者无需身份验证，只需向易受攻击的 Firebox 设备发送特制的 IKEv2 数据包，即可迫使设备向非预期的内存区域写入数据，进而触发漏洞。 受影响版本：仅影响满足以下两个条件的 Firebox 设备： 使用 IKEv2 VPN 且配置动态网关对等体 系统版本为 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3，或 2025.1 官方修复建议 优先升级版本：厂商建议将设备升级至以下任一安全版本： 2025.1.1 12.11.4 12.5.13 12.3.1_Update3（版本号 B722811） 老旧版本处理：11.x 系列版本已终止支持，不再提供安全更新，使用该系列版本的用户需升级至仍受支持的版本。 临时缓解方案：仅配置 “分支机构 VPN” 且使用静态网关对等体的设备，可参考厂商文档，通过 IPSec 和 IKEv2 协议加固连接，作为临时防护措施。 当前风险状态 10 月 19 日，影子服务器基金会检测到 75,955 台易受攻击的 Firebox 防火墙。其发言人向 BleepingComputer 表示，此次扫描结果可信度高，数据反映的是真实部署设备，暂未包含蜜罐（用于诱捕攻击者的模拟设备）。 目前尚无 CVE-2025-9242 被主动利用的报告，但厂商强烈建议尚未安装安全更新的管理员尽快为设备打补丁。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

记者从国家安全部了解到，近期，国家安全机关破获一起美国重大网络攻击案，掌握美国国家安全局网络攻击入侵中国国家授时中心的铁证，粉碎美方网攻窃密和渗透破坏的图谋，全力守护“北京时间”安全。 国之重器不容有失 国家授时中心位于陕西省西安市，承担“北京时间”的产生、保持和发播任务，为国家通信、金融、电力、交通、测绘、国防等行业领域提供高精度授时服务，还为测算国际标准时间提供重要数据支撑。国家授时中心自主研发了世界领先的时间自主测量系统，还建设有国家重大科技基础设施——高精度地基授时系统，相关设施一旦遭受网攻破坏，将影响“北京时间”的安全稳定运行，引发网络通信故障、金融系统紊乱、电力供应中断、交通运输瘫痪、空天发射失败等严重后果，甚至可能导致国际时间陷入混乱，危害损失难以估量。 机关算尽原形毕露 经国家安全机关缜密调查发现，美国安局针对国家授时中心的网攻活动蓄谋已久，呈现递进式、体系化特点。2022年3月25日起，美国安局利用某境外品牌手机短信服务漏洞，秘密网攻控制国家授时中心多名工作人员的手机终端，窃取手机内存储的敏感资料。2023年4月18日起，美国安局多次利用窃取的登录凭证，入侵国家授时中心计算机，刺探该中心网络系统建设情况。2023年8月至2024年6月，美国安局专门部署新型网络作战平台，启用42款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图横向渗透至高精度地基授时系统，预置瘫痪破坏能力。 国家安全机关发现，美国安局网攻活动多选在北京时间深夜至凌晨发起，利用美国本土、欧洲、亚洲等地的虚拟专用服务器作为“跳板”隐匿攻击源头，采取伪造数字证书绕过杀毒软件等方式隐藏攻击行为，还使用了高强度的加密算法深度擦除攻击痕迹，为实施网络攻击渗透活动可谓无所不用其极。国家安全机关见招拆招，固定美方网攻证据，指导国家授时中心开展清查处置，斩断攻击链路，升级防范措施，消除危害隐患。 贼喊捉贼霸权嘴脸 近年来，美国强推网络霸权，一再践踏国际网络空间规则。以美国安局为首的间谍情报机关任性妄为，持续针对中国、东南亚、欧洲及南美洲等地实施网攻活动，入侵控制关键基础设施，窃取重要情报，监听重点人员，肆意侵犯他国网络主权和个人隐私，严重危害全球网络空间安全。美方还惯于利用其在菲律宾、日本以及中国台湾省等地的技术阵地发动网攻，从而达到隐藏自身、嫁祸他人的目的，可谓损招用尽。同时，美方还贼喊捉贼，屡屡渲染“中国网络威胁论”，胁迫他国炒作所谓“中国黑客攻击事件”，制裁中国企业，起诉中国公民，妄图混淆视听，颠倒黑白。铁的事实证明，美国才是真正的“黑客帝国”，是网络空间的最大乱源。 国家安全机关提示 国家安全机关依法防范打击网络间谍活动，对国内机关、团体、企业事业组织和其他社会组织开展反间谍安全防范指导和检查。关键基础设施运营者要履行本单位反间谍安全防范工作主体责任，定期对从业人员开展网络安全教育、培训，采取反间谍技术安全防范措施，防范、制止境外网络攻击、入侵、窃密等间谍行为。公民和组织应当支持配合国家安全机关开展网络反间谍工作，针对发现的疑似网络间谍行为，及时通过12339国家安全机关举报受理电话、网络举报平台(www.12339.gov.cn)、国家安全部微信公众号举报受理渠道或直接向当地国家安全机关进行举报。   消息来源：央视新闻； 本文由 HackerNews.cc 整理，封面来源于网络； 转载请注明出处并附上原文

HackerNews 编译，转载请注明出处： 日本零售企业无印良品（Muji）因配送合作伙伴Askul遭遇勒索软件攻击，引发物流中断，现已暂停旗下门店线上业务。 日本时间周日晚间，无印良品表示，此次事件导致所有零售服务均受影响，具体包括线上商店浏览或购物、通过无印良品 APP 查看订单历史，以及部分网页内容显示功能。 尽管该公司未明确系统恢复时间表，但周一下午的最新公告显示，目前仅线上商店购物和月度固定费率服务申请仍受影响。 无印良品同时表示，正调查哪些货运订单受到影响，以确认攻击发生前已下单的订单，并将通过邮件通知相关消费者。 无印良品主打极简风格的家居用品、服装及家具，在日本、中国、新加坡、欧洲、澳大利亚及北美地区运营着逾 1000 家门店。该公司年营收约 40 亿美元，在全球拥有超过 2.45 万名员工。 Askul是一家大型B2B及B2C办公用品与物流电商公司，隶属于雅虎日本公司。 该公司于昨日发布声明，称自身成为勒索软件攻击目标，导致业务运营中断。 声明内容显示：“目前，Askul网站因勒索软件感染发生系统故障，我们已暂停订单处理及配送业务。” “我们正调查此次事件的影响范围，包括个人信息及客户数据是否泄露，一旦获取相关信息将立即通知公众。” 目前，Askul的产品退货申请、收据邮寄、商品目录寄送及取件服务均已暂停，其客服热线及网站客服渠道也暂时无法接通。 由于Askul仅负责无印良品在日本地区的销售配送，此次故障仅影响日本市场，无印良品在其他国家的门店均正常营业。 截至发稿时，尚未有勒索软件团伙在其勒索平台上宣称对爱速客乐发起攻击。 此次事件发生前不久，日本最大啤酒生产商朝日啤酒（Asahi）也遭遇勒索软件攻击，被迫暂停生产运营，并推迟原定产品上市计划。该起攻击由 “麒麟”（Qilin）勒索软件团伙宣称负责，朝日啤酒在声明中证实，黑客从其系统中窃取了数据。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周早些时候，微软针对一个ASP.NET Core 漏洞发布了补丁。该漏洞被标记为ASP.NET Core 安全漏洞中 “史上最高” 的严重级别。 这个 HTTP 请求走私漏洞（CVE-2025-55315）存在于 Kestrel ASP.NET Core Web 服务器中。已通过身份验证的攻击者可利用该漏洞走私另一个 HTTP 请求，进而劫持其他用户的凭据，或绕过前端安全控制。 微软在周二的安全公告中表示：“成功利用此漏洞的攻击者，可查看其他用户凭据等敏感信息（影响机密性）、修改目标服务器上的文件内容（影响完整性），还可能导致服务器崩溃（影响可用性）。” 微软建议的修复措施 为确保ASP.NET Core 应用程序免受潜在攻击，微软建议开发人员和用户采取以下措施： 若运行的是.NET 8 或更高版本，需从 Microsoft Update 安装.NET 更新，之后重启应用程序或计算机。 若运行的是.NET 2.3，需将 Microsoft.AspNet.Server.Kestrel.Core 的包引用更新至 2.3.6 版本，之后重新编译并部署应用程序。 若运行的是独立式 / 单文件应用程序，需安装.NET 更新，重新编译并部署应用程序。 为修复该漏洞，微软已发布多款安全更新，涵盖 Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0，以及适用于ASP.NET Core 2.x 应用的 Microsoft.AspNetCore.Server.Kestrel.Core 包。 漏洞影响与风险说明 微软.NET 安全技术项目经理巴里・多兰斯（Barry Dorrans）解释称，CVE-2025-55315 漏洞的攻击影响取决于目标ASP.NET应用程序的具体情况。成功利用该漏洞可能让攻击者实现以下操作： 以其他用户身份登录（实现权限提升）； 发起内部请求（用于服务器端请求伪造攻击）； 绕过跨站请求伪造（CSRF）检查； 实施注入攻击。 多兰斯表示：“但我们无法确定具体会发生什么，因为这取决于应用程序的编写方式。因此，我们在评分时会考虑最糟糕的情况 —— 即可能导致安全功能绕过、改变攻击范围的情况。” 他补充道：“这种极端情况可能发生吗？可能性不大，除非你的应用程序代码存在异常，且跳过了本应在每个请求中执行的大量检查。但无论如何，建议你立即进行更新。” 在本月的 “补丁星期二”（Patch Tuesday）中，微软共发布 172 个漏洞的安全更新，其中包括 8 个 “严重”（Critical）级别漏洞，以及 6 个零日漏洞（其中 3 个已被用于实际攻击）。 本周，微软还发布了累积更新 KB5066791。该更新包含 Windows 10 的最终安全补丁，因为该操作系统已正式进入支持生命周期尾声。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客通过接管多个机场的公共广播系统（PA 系统）、航班信息显示屏及公共播报系统，造成了严重混乱。 据官员及新闻报道，周二（事件发生日），黑客入侵了四座机场的公共广播系统 ，其中三座位于加拿大，一座位于美国，并播放吹捧哈马斯、批评唐纳德・特朗普的内容。 加拿大不列颠哥伦比亚省基洛纳国际机场的 “广告流媒体服务” 曾 “短暂遭入侵，未授权内容被播放”，加拿大皇家骑警（基洛纳分部）证实了该情况。 加拿大皇家骑警表示，正联合其他机构对此次黑客入侵事件展开调查，暂不提供更多细节。 不列颠哥伦比亚省维多利亚国际机场的发言人称，黑客曾在机场公共广播系统中播放外语内容及音乐。 该发言人称，黑客通过入侵第三方软件获取了公共广播系统的控制权，机场随后切换至内部系统才重新夺回控制权。 加拿大网络安全中心正协助该机场及加拿大皇家骑警开展调查。 美国运输部长肖恩・达菲周三在社交媒体发文称，黑客以类似方式入侵了美国宾夕法尼亚州哈里斯堡国际机场的公共广播系统。 他表示，美国联邦航空管理局（FAA）及机场官员正对此入侵事件进行调查。 截至目前，美国联邦航空管理局尚未回应置评请求。 安大略省温莎国际机场官员透露，周二晚间，黑客同样入侵了该机场的航班信息显示屏及公共广播系统，并播放 “未授权图像及播报内容”。 该机场在声明中称，此次入侵针对的是机场使用的 “某云基软件供应商”，“后续系统已迅速恢复正常”。 上述四座机场均为小型支线机场。2024 年，其中客流量最大的基洛纳国际机场旅客吞吐量仅略超 200 万人次；而不列颠哥伦比亚省最大机场 —— 温哥华国际机场的年旅客吞吐量则超过 2500 万人次。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国区域航空公司 envoy 航空于周五证实，其甲骨文电子商务套件（Oracle E-Business Suite）应用程序遭黑客入侵，导致信息被窃取，成为第二家确认此类事件的企业。 该航空公司发言人表示，其 IT 系统受到近期一场黑客攻击的影响，据称这场攻击由俄罗斯网络犯罪组织 “克洛普”（Clop）发起。作为美国航空的全资子公司，envoy 航空称 “少量商业信息和商业联系方式可能已泄露”。 周四晚间，该网络犯罪组织声称从美国航空窃取了数量未公开的信息，并将美国航空列入其泄密网站。 美国航空发言人则表示，这一指控实际涉及 envoy 航空，美国航空本身并未使用甲骨文电子商务套件应用程序。该发言人透露，母公司在过去几周内开展了审查，确认此次事件仅与子公司相关。 envoy 航空发言人向 “Recorded Future News” 透露：“我们已知晓 envoy 航空甲骨文电子商务套件应用程序发生的这起事件。得知此事后，我们立即展开调查，并已联系执法部门。” 该发言人还表示：“我们已对涉及的数据进行了全面审查，确认未涉及敏感信息或客户数据。” 此外，发言人证实此次事件仅局限于 envoy 航空，未对航班运行或机场地勤操作造成影响。但对于入侵发生的时间、克洛普组织在其系统中潜伏多久等问题，该公司未予回应。 envoy 航空拥有超过 2 万名员工，以 “美国鹰航”（American Eagle）品牌运营，为 160 多个目的地提供区域航班服务，日均管理约 800 架次航班。 同时，该公司还在达拉斯、芝加哥和迈阿密为多家美国航空的航班提供地勤服务。这家总部位于得克萨斯州的公司，由多家小型区域航空公司整合组建而成。 本周一，哈佛大学成为首家确认受此次黑客攻击影响的机构。甲骨文公司未回应置评请求，但Mandiant的事件响应人员此前表示，他们已知晓数十起受害案例，且 “预计实际受害案例会更多”。 谷歌及其他安全公司的报告显示，黑客利用了甲骨文电子商务套件中的多个漏洞获取访问权限，其中至少包含一个上周才被新增至联邦监控清单的新发现漏洞。 网络犯罪组织 “克洛普” 最初试图通过威胁泄露从该应用程序中窃取的敏感信息，向企业高管勒索钱财。甲骨文公司已确认此次黑客攻击事件，但起初仅表示黑客利用的是 7 月更新中已修复的漏洞，未具体说明涉及哪些漏洞。 美国联邦调查局（FBI）助理局长布雷特・莱瑟曼（Brett Leatherman）上周表示，此次攻击中被利用的漏洞之一属于 “‘需立即停止手头工作并进行补丁修复’的高危漏洞”。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与”传染性面试”攻击活动相关的朝鲜威胁行为体被观察到合并了其两个恶意软件程序的部分功能，这表明该黑客组织正在积极改进其工具集。 这一结论来自思科Talos的新发现，该机构表示，在黑客组织近期的攻击活动中，BeaverTail和OtterCookie的功能比以往任何时候都更加接近，同时后者还新增了一个用于键盘记录和屏幕截图的功能模块。 该活动被归因于一个被网络安全社区以多个代号追踪的威胁集群，这些代号包括：CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、PurpleBravo、Tenacious Pungsan、UNC5342、Void Dokkaebi和WaterPlum。 这一进展出现之际，谷歌威胁情报小组和Mandiant披露，该威胁行为体使用了一种名为“EtherHiding”的隐秘技术，从BNB智能链或以太坊区块链获取下一阶段的有效载荷，实质上将去中心化基础设施变成了一个弹性的命令与控制服务器。这是首个有记录的国家级行为体使用该方法的案例，而该方法此前一直被网络犯罪集团所采用。 “传染性面试”指的是一项始于2022年底左右的精心策划的招聘骗局，朝鲜威胁行为体冒充招聘组织，针对求职者，欺骗他们安装信息窃取型恶意软件，作为所谓的技术评估或编码任务的一部分，从而导致敏感数据和加密货币被盗。 近几个月来，该攻击活动发生了几次转变，包括利用ClickFix社会工程学技术来投递恶意软件家族，如GolangGhost、PylangGhost、TsunamiKit、Tropidoor和AkdoorTea。然而，这些攻击的核心是被称为BeaverTail、OtterCookie和InvisibleFerret的恶意软件家族。 BeaverTail和OtterCookie是独立但互补的恶意软件工具，后者于2024年9月首次在真实世界的攻击中被发现。与作为信息窃取器和下载器的BeaverTail不同，OtterCookie的初始交互旨在联系远程服务器并获取在受感染主机上执行的命令。 思科Talos检测到的活动涉及一家总部位于斯里兰卡的组织。据评估，该公司并非该威胁行为体的有意目标，而是他们的一台系统可能在一名用户成为虚假工作机会的受害者后被感染，该虚假工作指示他们安装一个名为Chessfi的被木马化的Node.js应用程序（托管在Bitbucket上），作为面试过程的一部分。 有趣的是，该恶意软件包含一个通过名为”node-nvm-ssh”的包引入的依赖项，该包由名为”trailer”的用户于2025年8月20日发布到官方npm仓库。该包总共获得了306次下载，随后于六天后被npm维护者下架。 同样值得注意的是，上述npm包是软件供应链安全公司Socket本周早些时候标记的与”传染性面试”活动相关的338个恶意Node.js库之一。 该包一旦安装，就会通过其package.json文件中的一个postinstall钩子触发恶意行为，该钩子被配置为运行一个名为”skip”的自定义脚本，以启动一个JavaScript有效载荷，该有效载荷进而加载另一个负责执行最终阶段恶意软件的JavaScript文件。 对该攻击中使用的工具的进一步分析发现，”它兼具BeaverTail和OtterCookie的特征，模糊了两者之间的区别，”安全研究人员Vanja Svajcer和Michael Kelley表示，并补充说它包含了一个新的键盘记录和屏幕截图模块，该模块使用合法的npm包来分别捕获击键和进行屏幕截图，并将信息渗出到C2服务器。 该新模块的至少一个版本配备了一个辅助剪贴板监控功能，以窃取剪贴板内容。新版本OtterCookie的出现描绘了一个工具从基本数据收集演变为用于数据窃取和远程命令执行的模块化程序的图景。 该恶意软件中同样存在的功能类似于BeaverTail，用于枚举浏览器配置文件和扩展、从Web浏览器和加密货币钱包窃取数据、安装AnyDesk以实现持久远程访问，以及下载一个被称为InvisibleFerret的Python后门。 OtterCookie中存在的其他一些模块列于下文： 远程Shell模块：向C2服务器发送系统信息和剪贴板内容，并安装”socket.io-client” npm包以连接到OtterCookie C2服务器的特定端口，并接收待执行的进一步命令。 文件上传模块：系统地枚举所有驱动器并遍历文件系统，以查找匹配特定扩展名和命名模式的文件，将其上传到C2服务器。 加密货币扩展窃取模块：从安装在Google Chrome和Brave浏览器上的加密货币钱包扩展中提取数据。 此外，Talos表示检测到一个基于Qt的BeaverTail构件和一个包含BeaverTail和OtterCookie代码的恶意Visual Studio Code扩展，这提高了该组织可能正在试验新的恶意软件投递方法的可能性。 研究人员指出：”该扩展也可能是与Famous Chollima无关的另一行为者（甚至可能是研究人员）进行实验的结果，因为这与他们通常的战术、技术和程序不同。” 此消息披露之际，NTT Security Holdings分享了自2025年7月起与”传染性面试”活动相关部署的新恶意软件OtterCandy的详细信息，该恶意软件针对Windows、macOS和Linux系统。OtterCandy的一个早期样本于2025年2月上传到VirusTotal平台。 根据这家日本网络安全公司的说法，OtterCandy结合了OtterCookie和RATatouille的特性，后者是一种远程访问木马，曾通过2025年5月npm包”rand-user-agent”的供应链漏洞进行分发。这是首次将该攻击归因于朝鲜威胁行为体。 根据Aikido的说法，嵌入在npm包中的混淆有效载荷旨在与远程服务器建立隐秘通信通道，并渗出特定目录内的文件以及执行shell命令，后者仅针对Windows系统。 支持的完整命令列表如下： env：在整个文件系统中搜索秘密文件名。 imp：在home目录内搜索秘密文件名。 pat：在当前目录内搜索与预设模式匹配的文件名。 upload：将系统信息、浏览器密码、钱包文件以及来自Google Chrome和Edge的扩展数据传输到C2服务器。 exec：取消正在进行的扫描或上传、上传单个文件、递归上传目录内容、更改当前目录或终止恶意软件进程。 据称，OtterCandy通过一个被追踪为”ClickFake Interview”的子集群活动分发，该活动涉及用ClickFix风格诱饵欺骗用户运行恶意命令，以修复所谓的摄像头或麦克风问题。 “NTT Security表示：”OtterCandy是一个通过Node.js实现的RAT和信息窃取器。它是结合了RATatouille和OtterCookie元素的恶意软件。OtterCandy在通过Socket.IO连接到C2服务器时接受命令。” 用于投递OtterCandy的第一阶段恶意软件名为DiggingBeaver，这是一个JavaScript有效载荷，在受害者通过Windows”运行”对话框复制并运行命令后执行。DiggingBeaver也被发现分发其他已知的ClickFake Interview恶意软件，如GolangGhost和FROSTYFERRET。 NTT Security表示，还在2025年8月观察到OtterCandy的一个新变种，该变种扩展了功能，可以从三个额外的加密货币钱包扩展中收集数据，并增强了”ss_del”命令以删除Windows注册表项以及擦除文件和目录。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场新型攻击活动，该活动疑似通过一款此前未被记录的.NET 恶意软件（代号 “CAPI 后门程序”），针对俄罗斯汽车行业与电子商务领域发起攻击。 根据 Seqrite 实验室的调查，此次攻击链的核心环节是发送钓鱼邮件，邮件中包含一个 ZIP 压缩包，攻击者通过该压缩包触发感染流程。该网络安全公司的分析基于 2025 年 10 月 3 日上传至 VirusTotal 平台的一个 ZIP 样本。 该 ZIP 压缩包内包含两个关键文件： 一份俄语诱饵文档，伪装成与所得税法规相关的通知； 一个 Windows 快捷方式（LNK 文件）。 这份 LNK 文件与 ZIP 压缩包同名（即 “Перерасчет заработной платы 01.10.2025”，俄语意为 “2025 年 10 月 1 日薪资重算”），其作用是借助微软合法二进制文件 “rundll32.exe” 执行.NET 植入程序（“adobe.dll”）。这种技术被称为 “living-off-the-land（LotL，就地取材）”，是网络攻击者常用的手段之一。 Seqrite 指出，该后门程序具备多项核心功能： 检查自身是否以管理员权限运行； 收集已安装的杀毒软件列表； 打开诱饵文档作为伪装，同时秘密连接远程服务器（地址：91.223.75 [.] 96）以接收后续执行指令。 通过这些指令，CAPI 后门程序可实现以下恶意操作： 从谷歌 Chrome、微软 Edge、火狐（Mozilla Firefox）等浏览器中窃取数据； 截取屏幕截图； 收集系统信息； 枚举文件夹内容； 将获取的结果回传至远程服务器。 此外，该后门程序还会执行一系列检测，判断当前运行环境是合法主机还是虚拟机。它通过两种方式实现持久化： 创建计划任务； 在 Windows “启动” 文件夹中生成 LNK 文件，确保复制到 Windows Roaming 文件夹的后门 DLL 文件能随系统自动启动。 Seqrite 判断攻击者瞄准俄罗斯汽车行业的依据是：与此次攻击活动相关的一个域名 “carprlce [.] ru”，疑似仿冒合法域名 “carprice [.] ru”（“carprice [.] ru” 通常与汽车价格查询、汽车行业服务相关）。 研究人员普里亚・帕特尔（Priya Patel）与苏巴吉特・辛格（Subhajeet Singha）表示：“该恶意载荷是一款.NET DLL 文件，既具备窃取功能，又能为后续恶意活动建立持久化机制。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织于周五宣布，已捣毁一个运作 SIM 卡农场的复杂 “网络犯罪即服务”（CaaS）平台。该平台为客户实施钓鱼攻击、投资诈骗等各类犯罪活动提供支持。 这场名为 “SIM 卡卡特尔行动”（Operation SIMCARTEL）的多国执法协作行动，共开展了 26 次搜查，逮捕 7 名嫌疑人，查获 1200 台 SIM 卡盒设备（内含 4 万张在用 SIM 卡）。其中 5 名被拘留者为拉脱维亚公民。 此外，行动还拆除了 5 台服务器，并于 2025 年 10 月 10 日接管了用于宣传该服务的两个网站 ——gogetsms [.] com 和 apisim [.] com，目前这两个网站已显示查封横幅。同时，执法人员查扣 4 辆豪华汽车，冻结嫌疑人银行账户资金 43.1 万欧元（约合 50.2 万美元）、加密货币账户资金 26.6 万欧元（约合 31 万美元）。 参与行动的国家与造成的损失 此次行动由奥地利、爱沙尼亚、芬兰、拉脱维亚四国执法部门牵头，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协同参与。 据欧洲刑警组织透露，该犯罪网络已被证实与奥地利 1700 多起独立网络诈骗案、拉脱维亚 1500 多起独立网络诈骗案相关。这两个国家因此遭受的损失分别约为 450 万欧元（约合 525 万美元）和 42 万欧元（约合 48.9 万美元）。 该机构表示：“这个犯罪网络及其基础设施具备高度技术复杂性，使得全球范围内的犯罪者能够利用这项 SIM 卡盒服务，实施各类与电信相关的网络犯罪及其他犯罪活动。” 犯罪网络的运作模式与危害 该犯罪基础设施提供注册于 80 多个国家 / 地区的电话号码，供犯罪活动使用，包括在社交媒体和通信平台上创建虚假账户。其主要目的是隐藏犯罪者的真实身份与所在位置。据悉，通过该服务创建的在线虚假账户累计已超过 4900 万个。 这些虚假账户随后被用于实施钓鱼攻击和短信钓鱼攻击（smishing），并通过诱骗受害者向虚假交易计划投入资金来进行金融诈骗。另一种诈骗手法是，犯罪者在 WhatsApp 上冒充受害者的子女，谎称更换了新号码，以 “紧急情况” 为由要求对方转账，金额通常在四位数（欧元）级别。 此外，借助该平台还可能实施敲诈勒索、移民走私、传播儿童性虐待材料（CSAM）等其他犯罪行为。 涉事网站的宣传与用户反馈 从互联网档案馆（Internet Archive）存档的页面可见，GoGetSMS 网站曾将自身宣传为 “快速、安全获取临时电话号码” 的渠道，声称提供超过 1000 万个电话号码，可接收来自 160 多个在线服务的验证码。 GoGetSMS 网站还在页面上推广 “将现有 SIM 卡变现” 的功能，声称通过其 “专用软件” 可将 SIM 卡转化为 “创造被动收入的有力资产”，SIM 卡持有者每接收一条短信就能获得收益。 在评论网站 Trustpilot 上，该平台的付费用户抱怨 “无法获取可用的临时电话号码”。一名用户称，自己在该平台上付费购买了美国号码，却未得到可用的号码，“尝试了多次，既浪费时间又浪费钱。客服完全无回应 —— 不给帮助、不退款，什么都没有。” 拉脱维亚国家警察局在联合声明中指出，该平台专为 “匿名通信与匿名支付” 设计，已对多个国家的 3200 人造成影响。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国际知名拍卖行Sotheby’s正通知相关人员，其系统发生数据泄露事件，威胁行为体窃取了包括财务细节在内的敏感信息。 此次黑客攻击于 7 月 24 日被发现，调查团队耗时两个月才确定被盗数据的类型及受影响人员范围。 Sotheby’s是全球领先的艺术品与高价值物品拍卖行，同时也提供资产抵押借贷服务。该公司每年处理价值数十亿美元的拍卖交易，去年总销售额达 60 亿美元。 根据Sotheby’s提交给缅因州总检察长办公室的文件，此次事件中泄露的数据包括人员全名、社会保障号码（SSN）以及财务账户信息。 Sotheby’s在发送给受影响人员的信函中写道：“2025 年 7 月 24 日，Sotheby’s发现部分公司数据疑似被未知行为体从我们的系统环境中窃取。” Sotheby’s在通知中表示：“我们立即启动调查，包括对数据进行全面审查，以确定并核实涉及的信息内容及相关人员身份。” 目前受影响人员的总数尚未披露，文件仅提及缅因州有 2 人、罗得岛州有 2 人受影响。 BleepingComputer 已联系苏富比，请求提供有关此次攻击、影响范围以及美国和全球受影响人数的信息，但截至发稿时未收到回复。 截至撰写本文时，尚无勒索软件团伙声称对Sotheby’s 此次攻击负责。 过去，勒索软件团伙曾将目标对准其他拍卖行，希望获取高额赎金。去年，RansomHub 黑客组织入侵了佳士得（Christie’s），据称窃取了 50 万名客户的详细信息。 Sotheby’s过去也发生过其他安全事件，尤其是其网站曾被植入恶意代码以窃取支付信息。2017 年 3 月至 2018 年 10 月期间，一款网页窃取器盗取了客户的银行卡数据和个人信息；2021 年，该公司还在一次供应链攻击中遭遇过类似事件。 此次收到数据泄露通知的Sotheby’s客户，可通过益博睿（TransUnion）获得为期 12 个月的免费身份保护与信用监控服务，需在 90 天内完成注册。 Sotheby’s通过发给 BleepingComputer 的声明证实，此次事件影响的是员工而非客户，因此文章内容与标题已相应更新。以下是声明全文： “Sotheby’s发现一起网络安全事件，可能涉及部分员工信息。事件发现后，我们立即联合顶尖数据保护与响应专家及执法部门启动调查。公司正依照相关要求，向所有受影响人员发出适当通知。我们高度重视公司及个人信息的安全性，并将继续全力以赴保护我们的系统与数据。”—— Sotheby’s发言人     消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞（CVE-2025-20352），部署 Linux rootkit 并获取持久访问权限。 此次攻击所利用的安全问题，影响思科 IOS 和 IOS XE 系统中的简单网络管理协议（SNMP）。若攻击者拥有 root 权限，便可通过该漏洞实现远程代码执行（RCE）。 据网络安全公司趋势科技（Trend Micro）称，攻击目标主要是思科 9400、9300 系列交换机，以及老旧的 3750G 系列设备，这些设备均未部署端点检测与响应解决方案。 在 10 月 6 日更新的 CVE-2025-20352 原始公告中，思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队（PSIRT）表示，已知该漏洞 “已被成功利用”。 趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”（Operation Zero Disco），原因是恶意软件会设置一个通用访问密码，其中包含 “disco” 一词。 趋势科技的报告指出，威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞，位于 IOS 和 IOS XE 系统的集群管理协议（Cluster Management Protocol）代码中。 在易受攻击的系统上植入的 rootkit，具备一个 UDP 控制器，该控制器可实现多种功能：监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表（ACLs）、启用 / 禁用通用密码、隐藏运行配置项，以及重置这些配置项的最后修改时间戳。 研究人员在模拟攻击中证实，攻击者可通过该 rootkit 实现多项操作：禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则，以及在不同虚拟局域网（VLAN）间横向移动。 尽管新型交换机借助地址空间布局随机化（ASLR）保护，对这类攻击的抵抗力更强，但趋势科技表示，它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。 研究人员称，rootkit 部署完成后，恶意软件会 “在 IOSd 进程上安装多个钩子（hooks），导致无文件组件在设备重启后消失”。 目前，研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。 趋势科技指出，当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击，建议对底层固件和只读存储器（ROM）区域进行深度排查。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 监控摄像头公司 Ring 于周四宣布，将开始与 Flock Safety 共享摄像头 footage。Flock Safety 是自动车牌识别摄像头及其他警方监控技术的制造商。 数百万美国人拥有 Ring 摄像头，这类设备通常拍摄住宅外部的画面。 根据 Ring 官网的一篇博客文章，在新的合作框架下，使用 Flock Safety 产品的执法机构可请求 Ring 用户提供摄像头画面，用于 “证据收集和调查工作”。 使用 Flock 平台的警务人员在请求 Ring 用户提供画面时，需说明所调查事件的具体时间范围、地点，以及调查原因。 此次 Ring 的合作仅适用于使用 Flock Nova 和 FlockOS 产品的执法机构。 Flock Nova 是一款新产品，它将车牌识别摄像头画面，与从数据经纪商处获取的信息及开源情报整合在一起。 使用 Flock 产品的执法部门可从一个共享的全国性数据库中调取车牌图像和位置信息，这一做法引发了隐私倡导者及其他批评人士的担忧。他们表示，该公司在为对数十亿未犯罪人员的无授权监控提供便利。目前，Flock 摄像头已在全美 6000 多个社区投入使用。 近几个月，Flock 因相关报道陷入争议：有报道称移民机构使用其技术寻找非法移民，还有警察利用该技术追踪一名因自行堕胎接受调查的女性。 2024 年 1 月，由于隐私倡导者和部分政客的不满，Ring 终止了一项类似计划 —— 该计划曾允许执法部门直接访问用户的家庭摄像头。同年 4 月，Ring 创始人杰米・西米诺夫（Jamie Siminoff）重返公司，并承诺将采取更多措施协助警方工作。 Ring 为亚马逊旗下公司。2023 年，有投诉称 Ring 允许员工和承包商访问消费者的私人视频，且未落实安全防护措施。此后，Ring 与美国联邦贸易委员会（FTC）达成了和解。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，代号为 UNC5142、以经济利益为动机的威胁行为体，正滥用区块链智能合约分发信息窃取器，涉及 Atomic（AMOS）、Lumma、Rhadamanthys（又称 RADTHIEF）及 Vidar 等类型，攻击目标涵盖 Windows 和苹果 macOS 系统。 谷歌威胁情报小组（GTIG）在提交给《黑客新闻》（The Hacker News）的报告中表示：“UNC5142 的显著特征是，利用受入侵的 WordPress 网站和‘EtherHiding’技术 —— 这种技术通过将恶意代码或数据存储在公共区块链（如币安智能链 BSC）上实现隐藏。” 谷歌指出，截至 2025 年 6 月，已标记约 1.4 万个包含注入式 JavaScript 的网页，这些脚本表现出与 UNC5142 相关的行为，表明该团伙在无差别攻击存在漏洞的 WordPress 网站。但这家科技巨头同时提到，自 2025 年 7 月 23 日起，未再发现任何 UNC5142 的活动痕迹，这一现象可能意味着其行动暂停，也可能是运营方向发生转变。 EtherHiding 技术最早由 Guardio Labs 于 2023 年 10 月记录在案。当时该实验室详细披露了一系列攻击事件：受感染网站会弹出虚假浏览器更新提示，攻击者通过这些网站利用币安智能链（BSC）合约分发恶意代码。 支撑整个攻击链的关键组件，是一款名为 CLEARSHORT 的多阶段 JavaScript 下载器，它能通过被入侵网站分发恶意软件。攻击流程分为两个主要阶段：第一阶段是将 JavaScript 恶意代码注入目标网站，该代码会与存储在币安智能链（BSC）上的恶意智能合约交互，获取第二阶段内容；第一阶段恶意代码通常被添加到网站的插件相关文件、主题文件中，部分情况下甚至直接注入 WordPress 数据库。 而智能合约的作用是，从外部服务器获取 CLEARSHORT 的钓鱼落地页。该落地页会采用 “ClickFix” 社会工程策略，诱骗受害者在 Windows 的 “运行” 对话框（或 macOS 的 “终端” 应用）中执行恶意命令，最终使系统感染窃取器恶意软件。自 2024 年 12 月起，这些落地页（通常托管在 Cloudflare 的.dev 域名下）开始以加密格式传输。 CLEARSHORT 感染链 在 Windows 系统中，恶意命令会触发执行一个从 MediaFire 链接下载的 HTML 应用程序（HTA 文件）。该文件随后释放 PowerShell 脚本以绕过防御机制，从 GitHub、MediaFire 或攻击者自身基础设施（部分情况下）获取加密的最终载荷，并直接在内存中运行窃取器，不在磁盘上留下文件痕迹。 在 2025 年 2 月至 4 月针对 macOS 系统的攻击中，攻击者利用 ClickFix 诱饵，诱导用户在终端中运行一条 bash 命令，该命令会获取一个 shell 脚本。脚本随后通过 curl 命令，从远程服务器下载 Atomic 窃取器载荷。 UNC5142 最终载荷的时间分布 经分析，CLEARSHORT 被认定为 ClearFake 的变体。2025 年 3 月，法国网络安全公司 Sekoia 曾对 ClearFake 进行深入分析。ClearFake 是一套部署在受入侵网站上的恶意 JavaScript 框架，通过 “无交互下载” 技术分发恶意软件，自 2023 年 7 月起开始活跃，2024 年 5 月前后其攻击活动中开始采用 ClickFix 策略。 滥用区块链技术为 UNC5142 带来多重便利：这种巧妙的技术不仅能混入正常的 Web3 活动，还能提升 UNC5142 运营的韧性，使其更难被检测和溯源打击。 谷歌表示，过去一年间，该威胁行为体的攻击活动不断演进：2024 年 11 月起，从 “单一合约系统” 升级为更复杂的 “三智能合约系统”，以提升运营灵活性；2025 年 1 月初，这套系统又经历了进一步优化。 谷歌解释道：“新架构借鉴了合法软件设计中的‘代理模式’—— 开发者通常用这种模式实现合约的可升级性。” “该架构本质上是一套高效的‘路由 – 逻辑 – 存储’体系，每个合约承担特定功能。这种设计能让攻击者快速更新攻击中的关键部分（如落地页 URL 或解密密钥），且无需修改受入侵网站上的 JavaScript 代码。最终使攻击活动更灵活，且更难被溯源打击。” UNC5142 实现这一点的关键，在于利用智能合约数据的可修改性（需注意，程序代码一旦部署便不可更改）来修改载荷 URL。执行这类更新所需的网络费用，通常在 0.25 美元至 1.50 美元之间。 进一步分析发现，该威胁行为体使用两套独立的智能合约基础设施，借助 CLEARSHORT 下载器分发窃取器恶意软件。其中，“主基础设施”（Main）创建于 2024 年 11 月 24 日；“次要基础设施”（Secondary）则是并行架构，于 2025 年 2 月 18 日完成资金注入。 GTIG 表示：“主基础设施是核心攻击基础设施，特点是创建时间早、更新频率稳定。次要基础设施则是并行的战术性部署，推测用途包括支持特定时期的攻击激增需求、测试新型诱饵，或单纯增强运营韧性。” “过去一年半里，该团伙的感染链频繁更新、运营节奏稳定、受入侵网站数量庞大、分发的恶意软件类型多样。种种迹象表明，UNC5142 的攻击活动很可能已取得一定程度的成功。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，一个与朝鲜有关联的威胁行为体，正利用 EtherHiding 技术传播恶意软件并实施加密货币盗窃。这是国家支持的黑客组织首次采用该方法。 谷歌威胁情报小组（GTIG）将这一活动归因为其追踪的威胁集群 UNC5342。该集群还拥有多个其他代号，不同机构对其命名分别为：帕洛阿尔托网络公司 Unit 42 称其为 CL-STA-0240，ESET 称其为 DeceptiveDevelopment，Securonix 称其为 DEV#POPPER，CrowdStrike 称其为 Famous Chollima，DTEX 称其为 Gwisin Gang，Datadog 称其为 Tenacious Pungsan，趋势科技则称其为 Void Dokkaebi。 此次攻击浪潮属于一个代号为 “传染性访谈”（Contagious Interview）的长期攻击活动。在该活动中，攻击者会在领英（LinkedIn）上伪装成招聘人员或招聘经理接触潜在目标，随后将对话转移到 Telegram 或 Discord 平台，再以 “职位评估” 为借口，诱骗目标运行恶意代码。 这些攻击行动的最终目标是非法访问开发者的设备、窃取敏感数据并盗取加密货币资产 —— 这与朝鲜同时追求网络间谍活动和经济利益的双重目标一致。 谷歌表示，自 2025 年 2 月以来，已观察到 UNC5342 使用 EtherHiding 技术。这是一种隐蔽手段，通过将恶意代码嵌入公共区块链（如币安智能链 BSC 或以太坊）的智能合约中实现攻击。通过这种操作，区块链被转化为一个 “去中心化秘密传输解析器”，能有效抵抗溯源打击。 此外，EtherHiding 技术还存在两大风险点：一是滥用区块链交易的伪匿名特性，增加追踪智能合约部署者的难度；二是灵活性极强，控制智能合约的攻击者可随时更新恶意载荷（平均需支付 1.37 美元的 Gas 费），从而衍生出多种威胁形式。 谷歌云旗下 Mandiant 公司咨询主管罗伯特・华莱士（Robert Wallace）在接受《黑客新闻》（The Hacker News）采访时发表声明称：“这一动态标志着威胁格局的升级。如今，国家层面的威胁行为体正采用新技术传播恶意软件，这类软件既能抵抗执法部门的溯源打击，又能轻松调整以适配新的攻击活动。” 社交工程攻击触发的感染链是一个多阶段流程，可针对 Windows、macOS 和 Linux 三大系统发起攻击，涉及三类不同的恶意软件家族，具体如下： 初始下载器：以 npm 包（Node.js 包管理器）的形式存在； BeaverTail：一种 JavaScript 窃取器，负责窃取敏感信息，包括加密货币钱包、浏览器扩展数据及各类凭证； JADESNOW：一种 JavaScript 下载器，与以太坊交互以获取 “InvisibleFerret”； InvisibleFerret：Python 后门的 JavaScript 变体，针对高价值目标部署，可实现对受感染主机的远程控制，同时通过攻击 MetaMask、Phantom 钱包及 1Password 等密码管理器中的凭证，实现长期数据窃取。 简言之，攻击流程为：诱骗受害者运行代码，执行初始 JavaScript 下载器；该下载器与恶意 BSC 智能合约交互，下载 JADESNOW；JADESNOW 随后查询某以太坊地址关联的交易记录，获取第三阶段载荷 —— 即 JavaScript 版本的 InvisibleFerret。 此外，该恶意软件还会尝试安装便携式 Python 解释器，以执行存储在另一以太坊地址中的额外凭证窃取组件。这一发现意义重大，因为威胁行为体在 EtherHiding 活动中同时使用了多个区块链。 谷歌指出：“EtherHiding 标志着网络攻击向‘下一代防弹托管’转变 —— 区块链技术的固有特性被滥用于恶意目的。这一技术也凸显了网络威胁的持续演变：攻击者不断适应并利用新技术为己所用。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客声称已入侵得克萨斯州的电力合作社，泄露了敏感财务文件。 据称，发起此次勒索软件攻击的网络犯罪团伙 “麒麟”（Qilin）已在暗网的泄露网站上，将两家得克萨斯州电力分销合作社列为攻击受害者。 其中一家涉嫌受害的合作社是圣伯纳德电力合作社（San Bernard Electric Cooperative）。该合作社拥有约 3900 英里的配电线路，为得克萨斯州 8 个县（包括奥斯汀县、科罗拉多县、费耶特县、格莱姆斯县、哈里斯县、拉瓦卡县、蒙哥马利县和沃勒县）的约 2.8 万户家庭供电，年收入达 9250 万美元。 另一个攻击目标是卡恩斯电力合作社（Karnes Electric Cooperative）。该合作社运营着近 5000 英里的线路，为 12 个县的 2.3 万户家庭提供服务，年收入为 7580 万美元。 这些指控极具麻烦性，因为涉事企业属于美国关键基础设施范畴 —— 这意味着保护它们是国家安全的优先事项。 得克萨斯州电力供应商被盗取了哪些数据？ 该团伙在其泄露网站上，提供了据称属于受害者的被盗数据样本。在勒索软件攻击中，威胁者发布数据样本是一种常见手段，目的是警告企业支付赎金。 Cybernews 的研究人员对 “麒麟” 团伙声称属于圣伯纳德电力合作社的数据样本进行了调查，发现其中包含以下文件： 首次事件报告，包含人员全名、电话号码和事件详情 年度预算报告 保险文件 费率案费用报告 来自其他公司的发票 人工与设备费用报告 地役权合同 暗网上与卡恩斯电力合作社相关的帖子中，包含的数据样本泄露了以下信息： 董事会成员名单，包括成员姓名、地址和联系方式 财务文件，如收支余额报告和日常财务运营文件 组织成员数据，包括姓名、地址和邮政编码 目前这些数据的真实性尚未得到核实 —— 勒索软件团伙重新拿出以往数据泄露事件中的旧数据，谎称是新入侵获取的情况，并不罕见。 但如果数据被证实为真实，将对涉事企业产生安全影响。这不仅表明关键基础设施易受网络攻击，还可能使企业的声誉和业务流程面临风险。 Cybernews 研究人员表示：“泄露的财务数据可能会暴露定价策略、导致信任丧失或竞争劣势；被公开的事件则可能反映出服务质量问题。” “个人身份信息（PII）可能被用于身份盗窃、骚扰和针对性的社会工程攻击，对董事会成员而言尤其如此。” Cybernews 已联系涉事企业寻求证实，但尚未收到回复。 什么是 “麒麟” 勒索软件？ “麒麟”（Qilin）是勒索软件领域的知名势力。该团伙与俄罗斯有关联，已知会针对医院和制造业发起攻击。“麒麟” 于 2022 年首次出现在勒索软件领域，但它在暗网泄露网站上声称，其早在 2021 年就已开始运作。 根据 Cybernews 的 “勒索观察”（Ransomlooker）监控工具显示，仅从 9 月初至今，“麒麟” 就已列出超过 88 名受害者；截至目前，该团伙在过去 12 个月内已针对约 585 名受害者发起攻击，跃居最活跃勒索软件团伙榜首。 “麒麟” 的攻击活跃度远超其他勒索软件对手，如 Cl0p Play、INC Ransom 和 Akira。2025 年 1 月 1 日至今，“麒麟” 已声称发起了超过 500 次攻击。 今年 4 月，该团伙声称对韩国 SK 电信（SK Telecom）发起了勒索软件攻击，并宣称窃取了 1TB 数据。4 月底，SK 电信通知了用户，并为所有用户启动了免费的 SIM 卡更换服务。 “麒麟” 还声称对日本最大啤酒生产商朝日集团控股（Asahi Holdings）发起了网络攻击。此次攻击扰乱了朝日的运营，导致日本最受欢迎的啤酒、软饮料和冰茶出现供应短缺。 8 月，日产汽车（Nissan）位于东京的创意盒子设计工作室（Creative Box）遭到该团伙攻击，“麒麟” 声称窃取了 4TB 的敏感设计数据。这家日本汽车巨头目前已在公开声明中证实其网络遭遇入侵。 该团伙还声称入侵了旧金山加州高尔夫俱乐部（California Golf Club of San Francisco）—— 这是美国最顶级的会员制高尔夫俱乐部之一，也是硅谷高管们的热门去处。据称，团伙窃取了该俱乐部 10GB 的会员数据。 此外，“麒麟” 还制造了针对英国国民医疗服务体系（NHS）合作伙伴赛诺维斯实验室（Synnovis Laboratories）的臭名昭著的攻击。此次攻击造成了毁灭性后果：医院被迫立即将患者转移到其他机构，并取消了超过 1 万次预约、择期治疗和外科手术（包括所有移植手术），原因是血液输注供应中断。 最近，同样与俄罗斯有关联的知名团伙 “锁比特”（LockBit）与 “龙力”（DragonForce）、“麒麟” 勒索软件组成了联盟。专家认为，“锁比特”、“麒麟” 与 “龙力” 的联盟可能通过资源共享，推动攻击策略升级，并增加攻击数量。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet和Ivanti宣布了2025年10月的周二补丁更新，修复了其产品中的许多漏洞。 Fortinet发布了29个新的安全公告，涵盖30多个漏洞。其中几个漏洞被标记为“高危”，包括CVE-2025-54988，该漏洞影响FortiDLP，原因是其使用了Apache Tika。Tika存在一个严重漏洞，允许攻击者读取敏感数据，或向内部资源或第三方服务器发送恶意请求。 FortiDLP还受到CVE-2025-53951和CVE-2025-54658的影响，攻击者可以通过发送特殊构造的请求，将权限提升到LocalService或Root。 FortiOS修复了一个允许已认证攻击者执行系统命令的权限提升漏洞，该漏洞编号为CVE-2025-58325。 另一个高危问题是CVE-2024-33507，影响FortiIsolator，允许远程攻击者使用特殊构造的Cookie使已登录的管理员注销（未认证攻击者），或获得写入权限（已认证攻击者）。 FortiClientMac的LaunchDaemon组件中存在一个权限提升问题，被标记为CVE-2025-57741。 最后一个高危问题是CVE-2025-49201，影响FortiPAM和FortiSwitchManager，允许攻击者通过暴力攻击绕过认证。 FortiOS、FortiPAM、FortiProxy、FortiClientMac、FortiClientWindows、FortiADC、FortiDLP、FortiSwitchManager、FortiManager、FortiAnalyzer、FortiSRA、FortiRecorder、FortiTester、FortiVoice、FortiWeb、FortiSASE、FortiSOAR和FortiSIEM等产品还修复了中危和低危漏洞。 这些漏洞可能被利用来执行任意代码、DLL劫持、获取敏感数据、绕过安全功能、造成拒绝服务（DoS）条件、进行XSS攻击、重定向用户以及提升权限。 目前没有证据表明这些漏洞已在野外被利用。许多问题是由Fortinet内部发现的。 Ivanti宣布为Endpoint Manager Mobile（EPMM）和Neurons for MDM中的漏洞提供补丁。Ivanti还发布了Endpoint Manager的安全公告，为本月早些时候披露的漏洞提供缓解选项。 在EPMM中，Ivanti修复了三个高危漏洞，这些漏洞可被具有管理员权限的认证攻击者利用来执行任意代码。公司还修复了一个中危问题，允许认证攻击者在磁盘上写入数据。 在Neurons for MDM中，Ivanti修复了两个高危问题。其中一个漏洞允许具有管理员权限的认证攻击者“注销任意设备，使目标设备从统一端点管理器UI中消失”。第二个问题是多因素认证（MFA）绕过漏洞，可被远程认证攻击者利用。 Neurons for MDM还修复了一个中危漏洞，允许远程未认证攻击者通过API端点访问敏感用户信息。 Ivanti也表示，没有证据表明这些漏洞正在野外被利用。 然而，Ivanti和Fortinet的产品漏洞经常成为威胁行为者的攻击目标，因此他们的客户应尽快应用可用的补丁。         消息来源： securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文