HackerNews

HackerNews 编译，转载请注明出处： 德克萨斯州阿尔文独立学区（AISD）发生数据泄露事件，导致47,606人的敏感个人信息遭窃。该学区确认漏洞发生于2024年6月，并于本周末启动对受影响人员的通知程序。 泄露数据包括姓名、社会安全号码、州政府签发的身份证件、信用卡/借记卡详细信息、金融账户号码、医疗数据及健康保险信息。德克萨斯州总检察长办公室于2025年5月2日通报了此事件。 勒索软件团伙Fog于2024年7月宣称对此次攻击负责，声称从AISD窃取了60GB数据，并将学区名称公布于其数据泄露网站——这是施压受害者支付赎金的常见手段。AISD尚未证实该团伙的说法，也未披露是否支付赎金。 截至本文撰写时，阿尔文独立学区未回应Infosecurity的置评请求。 Fog自2024年7月开始公布攻击活动，AISD与其首批受害者西阿利斯-西密尔沃基学区和阿斯伯里神学院并列。此后，Fog宣称实施了20起已确认的勒索软件攻击（其中12起针对教育机构）及157起未确认事件，其活动迹象于2025年4月停止。 该团伙以加密文件与窃取数据著称，常瞄准开发环境。尽管Fog多数受害者属教育领域，但其攻击范围不限于学校。 AISD事件是教育行业系统性遭受攻击的缩影。2024年，研究机构Comparitech记录到79起针对美国教育机构的勒索软件攻击，波及超280万条记录，平均赎金要求达82.7万美元。 近期其他校园勒索事件包括： 2025年4月，Medusa向福尔里弗公立学区索要40万美元 同月Qilin攻击西新墨西哥大学 Medusa入侵阿尔比恩学院致6,930人受影响 2024年10月RansomHub攻破南阿肯色大学理工学院 针对哈仙达拉普恩特联合学区的未认领攻击 2025年迄今，美国教育领域已发生15起确认及36起未确认的勒索软件攻击事件。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年Verizon《2025年数据泄露调查报告》（DBIR）中最值得关注的并非勒索软件头条或零日漏洞利用，而是推动这些攻击的深层诱因。在诸多严重泄露事件中，两个底层因素持续发挥着作用：第三方暴露与机器凭证滥用。 根据2025年DBIR，涉及第三方的泄露事件同比翻倍（从15%上升至30%）。与此同时，攻击者越来越多地利用机器凭证和未受管控的机器账户获取访问权限、提升特权并窃取敏感数据。 这一趋势传递出明确信号：仅保护内部员工账户已远远不够。要真正抵御现代威胁，企业必须在统一的安全策略下管理所有身份——包括员工、非员工与机器身份。 当前企业生态由承包商、供应商、商业伙伴、托管服务提供商、关联公司等多方交织构成。这些合作关系虽提升效率，也催生了复杂的身份生态系统。若缺乏严格治理，第三方身份将成为攻击者伺机利用的盲点。 与第三方访问相关的泄露通常源于糟糕的生命周期管理，例如项目结束后未停用承包商账户，或商业伙伴账户权限过度宽松。2025年DBIR指出，这一趋势正在加速且跨行业蔓延——医疗、金融、制造业和公共部门均报告了由第三方暴露引发的重大事件。 企业须以管理内部员工的同等严格标准，将身份治理扩展至非员工群体，确保对所有第三方用户的可视性、责任归属与及时账户停用。 尽管人类身份依然脆弱，机器身份的风险增长更为迅猛。服务账户、机器人流程自动化（RPA）、AI代理、API接口等“数字劳动力”数量激增，却普遍缺乏明确归属与监管。随着AI代理的普及，机器身份的增长速度与复杂程度将远超企业当前管理能力。 2025年DBIR发现，基于凭证的攻击仍是主要初始入侵手段，攻击者正日益瞄准未受管控的机器账户作为突破口。未受保护的机器账户直接关联多起重大泄露与升级的勒索软件攻击。 风险持续加剧，但多数传统身份安全工具仍将机器视为次要对象。因此，企业必须摒弃临时性机器管理措施，转向专为规模化与自动化设计的治理模型。欲深入了解该问题，可参阅白皮书《谁在守护机器身份？》。 碎片化身份治理已不再是弱点，而是重大责任。若将员工、第三方用户和机器身份（如果存在管理）分别置于孤立系统中管理，攻击者将获得足以渗透的裂缝——他们无需攻破所有防线，只需找到一个突破口。 与第三方用户和机器账户相关的泄露事件增速已超过内部员工泄露，这一现象明确警示：不一致的治理模式正在催生新漏洞。现实在于：身份即身份。无论是人类、非员工还是机器身份，都必须在统一策略下实施妥善管理、治理与保护。 能在未来威胁中存活的企业，并非那些试图拼凑解决方案的机构，而是意识到“全域身份统一治理”是唯一出路的主体。通过整合员工、承包商、合作伙伴、服务账户、机器人与AI代理的身份安全，企业方能填补关键防御缺口、提升可视性，并在关键时刻强化安全壁垒。 SailPoint通过专为复杂企业环境设计的解决方案（以SailPoint Atlas平台为支撑），帮助企业实现全域身份安全。无论您需要管理机器身份还是管控非员工访问，SailPoint提供的统一身份安全体验能将身份混乱转化为清晰防线。 人类与机器身份间的安全鸿沟正在扩大。是时候主动弥合这一缺口了——否则攻击者将替您完成此事。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国福利与薪资解决方案提供商Kelly Benefits（正式名称为Kelly & Associates Insurance Group）近日披露，其此前公布的数据泄露事件影响范围远超最初估计。 这家总部位于美国的公司为企业提供福利管理、薪资处理及劳动力管理解决方案。 2024年12月12日至17日期间，黑客入侵Kelly Benefits系统并窃取敏感个人数据。该公司最初于2025年4月通报称，事件影响近26.4万人，涉及CareFirst、Guardian、Beam Benefits等客户，泄露数据包括姓名、社保号（SSN）、医疗及财务信息。目前受影响人数已升至413,032人，调查仍在进行中。 根据向缅因州总检察长办公室提交的更新文件，Kelly Benefits于2025年5月2日代表其自身及附录A所列实体，向该州额外135名居民寄送通知信。新增受影响者的潜在泄露信息包括姓名、社保号及财务账户信息。至此，缅因州共有7,164名居民收到事件通知。 Kelly Benefits未透露攻击技术细节，目前尚无勒索软件组织宣称对此次入侵负责。该公司正代表CareFirst、Guardian、Beam Benefits等多个客户向受影响个体发送通知。     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲知名求职平台beWanted发生重大数据泄露事件，超110万份求职者简历及敏感信息通过未加密的Google云存储桶（GCS）暴露于公网。网络安全媒体Cybernews研究团队于2023年11月发现该漏洞，但多次联系总部位于西班牙马德里的beWanted公司后，数据仍可公开访问。 泄露数据包含： 全名、电话号码、邮箱及家庭住址 出生日期、国籍及出生地 身份证号码（涉及西班牙、阿根廷、危地马拉、洪都拉斯等多国公民） 社交媒体链接、工作经历及教育背景 研究人员指出，每份文件可能对应一名求职者，此次泄露构成重大安全事件。数据至少暴露六个月，网络犯罪分子可能已利用其发起： 身份盗用：伪造合成身份或欺诈账户 精准钓鱼攻击：诱骗受害者泄露金融账户或敏感数据 社交工程攻击：冒充虚假招聘机构渗透职业网络，传播恶意软件或窃取机密 尽管Cybernews已联系beWanted寻求置评，但截至发稿未获回复。该公司自称“全球最大人才库生态”，通过SaaS模式连接求职者与雇主，在墨西哥、德国及英国设有分支机构。 研究团队提出以下防护措施以缓解风险： 限制公开访问：关闭存储桶公共权限，启用“公开访问预防”功能 实施访问控制：基于最小权限原则，仅向授权用户和服务分配必要权限 监控访问活动：启用云审计日志追踪存储桶访问，配置云监控警报响应可疑行为 启用数据加密：激活服务器端静态数据加密，使用Google云密钥管理服务（KMS） 强制安全传输：要求所有数据传输使用SSL/TLS协议，拦截非安全HTTP连接 采纳最佳实践：定期执行权限与配置安全审计，利用Google云安全指挥中心自动化评估 此次事件再次凸显云存储配置失误的破坏力。求职者需警惕异常招聘邀约，企业应强化云环境安全基线，避免成为下一个受害者。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家指出，《纽约邮报》（New York Post）经过认证的X平台（原Twitter）账户疑似遭劫持，并被用于针对加密货币爱好者。2025年5月3日，Kerberus创始人兼CEO Alex Katz在X平台分享诈骗活动截图，显示@nypost认证账户被用于发送欺诈私信。 诈骗者冒充《纽约邮报》调查记者，以邀请嘉宾参与播客录制为名发送私信：“我们正在为新一期播客招募嘉宾，诚邀您参与录制。” 收到私信的用户若回复，会立即被对方在X平台拉黑，并被要求通过Telegram联系——此举疑似为避免触发《纽约邮报》团队警报，同时将受害者诱骗至Telegram实施加密货币诈骗。 网络安全公司Drew Security创始人、NFT收藏家Drew进一步分析称，此新型骗局利用用户对过往对话的信任，通过私信而非公开推送欺诈广告或恶意链接实施攻击。部分专家推测，攻击者可能试图利用Zoom等流行平台的安全漏洞安装恶意软件。 目前尚不清楚黑客如何获得账户权限及具体联系人数。《纽约邮报》尚未发布官方声明，Cybernews已联系该媒体寻求置评并将更新回应内容。 安全专家建议用户谨慎处理私信，尤其是要求切换至其他平台的请求——即使信息来自可信账户（因任何账户均可能被入侵）。截至发稿，@nypost账户仍可正常访问，但相关欺诈私信已被删除。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 应用安全领域正面临一个持续十余年的悖论：检测工具越先进，警报结果却越无用。随着静态分析工具、扫描器和CVE数据库的警报激增，真正的安全保障却愈发遥不可及。取而代之的是警报疲劳与不堪重负的团队——这已成为行业新常态。 根据OX Security的《2025年应用安全基准报告》，95-98%的应用安全警报无需采取行动——事实上，这些警报对组织的危害可能大于帮助。我们的研究覆盖178个组织的1.01亿个安全检测结果，揭示了现代应用安全运营的低效。每个组织平均收到近57万条警报，其中仅有202条代表真实关键问题。 这个令人震惊的结论难以忽视：安全团队正在追逐幻影，将时间浪费在对无实际威胁漏洞的处置上，消耗预算，并与开发团队关系紧张。最糟糕的是——安全正在阻碍实际创新。正如Chris Hughes所言：“我们以业务赋能者自居，实则将同事埋没于苦工，延缓开发速度，最终损害业务成果。” 回溯2015年，全球公开披露的CVE漏洞仅6,494个，彼时检测能力被视为核心指标。十年间，云原生应用普及、开发周期提速、攻击面扩张，至2025年全球CVE漏洞总数已突破20万。然而，多数安全工具仍固守“检测为王”逻辑，向控制面板倾泻未经筛选、缺乏上下文的警报。 OX的基准报告证实了从业者长期怀疑的现象： 32%的已报告问题存在低利用概率 25%没有已知公开漏洞利用 25%源于未使用或仅用于开发的依赖项 这种无关检测结果的洪流不仅拖慢安全速度——更在主动削弱安全效能。 为对抗这种厄运循环，组织必须采用基于证据优先级的更复杂应用安全方法。这需要从通用警报处理转向涵盖从设计阶段到运行时代码的全面模型，包含以下要素： 可达性：漏洞代码是否被使用，是否可访问？ 可利用性：该环境中是否存在漏洞利用条件？ 业务影响：此处被攻破会造成实际损害吗？ 云到代码映射：该问题在SDLC中起源于何处？ 通过实施此类框架，组织能有效过滤噪音，专注于构成真实威胁的少数警报。这能提升安全效能，释放宝贵资源，并支持更自信的开发实践。OX Security正通过代码投影（Code Projection）应对这一挑战——这项基于证据的安全技术将云和运行时元素映射回代码源头，实现上下文理解和动态风险优先级排序。 通过基于证据的优先级排序，每个组织平均569,354条警报可缩减至11,836条，其中仅202条需立即处置。行业基准揭示多个关键洞见： 一致的噪音阈值：无论企业或商业环境，不同行业的基线噪音水平惊人相似 企业安全复杂性：企业环境因更广泛的工具生态、更大的应用覆盖、更多的安全事件、更频繁的事件和更高的整体风险敞口面临更大挑战 金融行业脆弱性：金融机构警报量显著更高。其对金融交易和敏感数据的处理使其成为高价值目标。如《Verizon数据泄露调查报告》所示，95%的攻击者主要动机是经济利益而非间谍活动。金融机构与货币资产的密切关系为攻击者创造了直接获利机会 这些发现具有深远影响。如果少于5%的应用安全修复对组织至关重要，那么所有组织在分类、编程和网络安全工时上的巨额投入都将徒劳。这种浪费延伸至漏洞赏金计划支付（白帽黑客发现需修复的漏洞），以及未及时发现并进入生产环境的漏洞修复成本。最终重大成本是开发团队与安全团队之间因要求修复无关漏洞而产生的紧张关系。 面对2025年预计新增的5万个漏洞，传统“全检测、后修复”模式已显危险。OX报告强调应用安全的未来不在于修复所有潜在漏洞，而在于智能识别真实风险。当企业能将97.8%的无效警报过滤，安全团队方能摆脱“救火队”角色，真正成为业务创新的护航者。          消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布重大账户安全升级：新用户注册将默认启用无密码登录。继2023年为消费者账户推出通行密钥（Passkey）支持后，微软进一步调整策略，强制新账户采用防钓鱼认证方式。微软身份认证部门负责人Joy Chik与安全副总裁Vasu Jakkal表示：“全新微软账户现默认无密码。新用户可通过多种无密码方式登录账户，且无需设置密码。现有用户可前往账户设置删除密码。” 此次更新简化了登录与注册流程，优先展示无密码选项。此外，登录流程现已自动检测用户账户可用的最佳认证方式并设为默认。例如，若某账户支持密码和“一次性验证码”登录，系统将引导用户选择后者。成功登录后，用户将收到设置通行密钥的提示以增强安全防护。微软此举与苹果、谷歌、亚马逊等科技企业近年举措同步，标志着行业向无密码时代稳步迈进。鉴于基于密码的网络攻击仍是攻击者主要入侵手段，通行密钥的普及预示着账户安全的重要变革。 2023年9月，微软在Windows 11中引入通行密钥支持，同期谷歌将其设为全球用户默认登录方式。2024年，微软更新Windows Hello生物识别系统以兼容该技术。通行密钥通过消除密码需求提供更安全登录方案，其技术基础由FIDO联盟推动的公钥加密体系支撑。用户注册在线服务时，其客户端设备（如手机或电脑）生成密钥对：私钥安全存储于本地，公钥上传至服务端。登录时，用户通过生物识别（如面容或指纹）验证身份后，设备使用私钥签署验证请求完成认证。 2024年10月，FIDO联盟宣布正与各方合作优化通行密钥跨平台导出功能，改善凭证提供商的互操作性。截至去年12月，全球超150亿用户账户已支持通行密钥登录。该联盟上月还成立支付工作组（PWG），旨在制定支付场景的FIDO解决方案，重点评估现有及新兴支付认证技术，并制定通行密钥与现有支付技术融合的指导规范。 消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）上周四宣布对一名36岁也门公民提出指控，指控其使用Black Kingdom勒索软件实施全球攻击，包括美国境内的企业、学校和医院。也门萨那的Rami Khaled Ahmed被控一项合谋罪、一项蓄意破坏受保护计算机罪及一项威胁破坏受保护计算机罪。据评估，Ahmed目前居住在也门。 司法部声明称：“2021年3月至2023年6月期间，Ahmed及其同伙入侵了多家美国受害者的计算机网络，包括加州恩西诺的医疗计费服务公司、俄勒冈州的滑雪度假村、宾夕法尼亚州的学区以及威斯康星州的健康诊所。”Ahmed被指控通过利用微软Exchange服务器的ProxyLogon漏洞（CVE-2021-26855）开发并部署勒索软件。该软件通过加密受害者网络数据或声称窃取数据实施勒索，加密后会在系统中留下赎金条，要求受害者向同谋者控制的比特币地址支付价值1万美元的加密货币。据称受害者还被要求将付款证明发送至Black Kingdom专用邮箱，该勒索软件估计感染了美国及其他地区约1500台计算机系统。 微软在2021年3月底披露，这款也被追踪为Pydomer的勒索软件家族曾利用Pulse Secure VPN漏洞（CVE-2019-11510）发动攻击，并指出其是首个利用ProxyLogon漏洞的现有勒索家族。网络安全厂商Sophos将Black Kingdom描述为“结构相对简陋且业余”，攻击者利用ProxyLogon漏洞部署Web Shell后，通过PowerShell命令下载勒索软件。2021年8月，观察发现一名尼日利亚威胁行为体试图以支付100万美元比特币为条件招募员工，作为内鬼在企业网络部署Black Kingdom勒索软件。 若罪名成立，Ahmed每项指控最高面临五年联邦监禁。此案由美国联邦调查局（FBI）联合新西兰警方调查。此次指控正值美国政府当局针对各类犯罪活动密集发布公告之际： 司法部公开对乌克兰公民Artem Stryzhak的起诉书，指控其自2021年6月成为勒索软件附属成员后使用Nefilim勒索软件攻击企业。Stryzhak于2024年6月在西班牙被捕，并于2025年4月30日引渡至美国。若定罪将面临最高五年监禁。 英国公民Tyler Robert Buchanan（疑似臭名昭著的Scattered Spider网络犯罪组织成员）从西班牙引渡至美国，面临电信欺诈和加重身份盗窃指控。Buchanan于2024年6月在西班牙被捕，美国于2024年11月宣布对其及Scattered Spider其他成员的指控。 Scattered Spider另一成员Noah Michael Urban于2024年1月被捕，2025年4月初对类似指控认罪，并同意根据认罪协议向59名受害者支付1300万美元。尽管多名成员被捕，Scattered Spider仍被观察到使用模仿Okta登录门户的更新版钓鱼工具包和新版Spectre RAT维持对入侵系统的持久访问。Silent Push称：“2025年观察到的变化暗示新开发者和/或技术混淆决策的存在。” 儿童勒索组织764的两名头目Leonidas Varagiannis（又名War，21岁）和Prasan Nepal（又名Trippy，20岁）因指挥和传播儿童性虐待材料（CSAM）被捕，二人被指控剥削至少八名未成年受害者。该组织另一成员Richard Anthony Reyna Densmore因性剥削儿童于2024年11月在美国被判30年监禁。764组织成员隶属于The Com——一个实施经济动机犯罪、性犯罪和暴力犯罪的松散关联团体集合，其中也包括Scattered Spider。 美国财政部金融犯罪执法网络（FinCEN）将柬埔寨 conglomerate HuiOne Group 列为“东南亚跨国网络犯罪集团主要洗钱关切机构”，指控其协助浪漫诱骗诈骗并为朝鲜民主主义人民共和国（DPRK）网络劫案收益洗钱提供关键节点。HuiOne Pay的银行牌照于2025年3月被柬埔寨国家银行吊销。 这些进展出现之际，勒索软件仍是持久威胁，尽管随着持续执法行动导致攻击策略重大转变，该领域日益呈现碎片化和波动性。这包括无加密攻击频率上升，以及网络犯罪分子从传统层级化组织转向“独狼”模式的趋势。 Halcyon表示：“勒索软件运营日益去中心化，越来越多前附属成员选择独立运作而非依附既有组织。这一转变由多重因素驱动，包括执法协调加强、主要勒索基础设施成功捣毁，以及攻击者通过品牌轮换或无标识行动规避溯源的广泛尝试。” Verizon数据显示，2024年所有分析的数据泄露事件中44%涉及勒索软件（2023年为32%）。但也有好消息：拒绝支付赎金的受害者数量创历史新高，愿支付赎金的组织比例下降。Verizon在《2025年数据泄露调查报告》（DBIR）中称：“2024年支付赎金中位数为11.5万美元，低于前一年的15万美元。64%受害组织未支付赎金，较两年前的50%有所上升。”Coveware数据显示，2025年第一季度平均赎金支付额为552,777美元，环比微降0.2%，但媒体披露的赎金支付额同比飙升80%（增长20万美元）。 该公司表示：“2025年第一季度选择支付赎金的公司比例略有上升，无论是为了获取解密密钥还是阻止威胁行为体在泄露网站公布被盗数据。”该季度勒索支付解决率统计为27%，低于2019年Q1的85%、2020年Q1的73%、2021年Q1的56%、2022年Q1的46%、2023年Q1的45%及2024年Q1的28%。“尽管攻击仍在持续且新团伙每月涌现，但早期勒索软件即服务（RaaS）集团打造的精密勒索机器正陷入难以解决的复杂困境。” Check Point数据显示，尽管遭遇挫折，勒索软件未见停歇迹象：2025年Q1报告2,289起事件，较2024年Q1增长126%，但2025年3月勒索攻击环比下降32%（总计600起）。北美和欧洲占案件总数80%以上，消费品与服务、商业服务、工业制造、医疗保健以及建筑工程成为最受攻击行业。 BlackFog创始人兼CEO Darren Williams博士表示：“勒索事件量正达到前所未有的水平。这对应对专注于破坏、数据盗窃和勒索的攻击者的组织构成持续挑战。不同团伙会兴起和解散，但他们都聚焦于同一终极目标——数据外泄。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司FortiGuard事件响应团队（FGIR）在一份报告中披露，某伊朗国家支持的黑客组织对中东地区一家关键国家基础设施（CNI）实施了持续近两年的网络入侵。此次攻击活动从2023年5月持续至2025年2月，涉及“大规模间谍行动及疑似网络预置行为（一种用于维持长期访问以获取未来战略优势的战术）”。Fortinet指出，该攻击的技术特征与已知伊朗国家级威胁组织Lemon Sandstorm（原Rubidium，亦追踪为Parisite、Pioneer Kitten、UNC757）存在重叠。 该组织自2017年起活跃，攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。工业网络安全公司Dragos分析称，该组织曾利用Fortinet、Pulse Secure和Palo Alto Networks的VPN已知漏洞获取初始访问权限。2023年，美国网络安全与情报机构指控Lemon Sandstorm对美国、以色列、阿塞拜疆和阿联酋的实体部署勒索软件。 此次针对CNI实体的攻击分为四个阶段，攻击者根据受害方的防御措施持续升级工具链： 2023年5月15日至2024年4月29日，攻击者利用窃取的登录凭证入侵受害者SSL VPN系统，在对外服务器部署Web Shell，并植入Havoc、HanifNet、HXLibrary三款后门程序维持长期访问； 2024年4月30日至2024年11月22日，攻击者追加部署Web Shell及新型后门NeoExpressRAT，使用plink、Ngrok等工具渗透内网，定向窃取受害者邮件数据并进行横向移动至虚拟化基础设施； 2024年11月23日至2024年12月13日，在受害者启动初步封堵措施后，攻击者部署更多Web Shell及后门MeshCentral Agent、SystemBC； 2024年12月14日至今，攻击者尝试利用Biotime漏洞（CVE-2023-38950、CVE-2023-38951、CVE-2023-38952）重新渗透网络，并对11名员工发起钓鱼攻击以窃取Microsoft 365凭证 值得注意的是，Havoc和MeshCentral都是开源工具，分别作为命令和控制（C2）框架和远程监控和管理（RMM）软件。另一方面，SystemBC指的是一种商品恶意软件，通常是勒索软件部署的前兆。 下面简要介绍了攻击中使用的其他自定义恶意软件家族和开源工具： Havoc：开源C2框架 MeshCentral：开源远程监控管理（RMM）软件 SystemBC：常用于勒索攻击前期的商品化恶意软件 HanifNet：未签名的.NET可执行文件，支持远程命令执行（2023年8月首次出现） HXLibrary：恶意IIS模块，通过Google Docs文档获取C2配置（2023年10月部署） CredInterceptor：基于DLL的凭证窃取工具，针对LSASS进程内存（2023年11月使用） RemoteInjector：载荷加载器，用于启动Havoc等后续攻击模块（2024年4月投入） NeoExpressRAT：疑似通过Discord通信的后门程序（2024年8月出现） DarkLoadLibrary：开源加载器，用于激活SystemBC（2024年12月部署） 攻击者使用的C2服务器（apps.gist.githubapp[.]net、gupdate[.]net）与Lemon Sandstorm历史活动存在关联。Fortinet指出，受害者受限的运营技术（OT）网络是主要攻击目标，攻击者通过链式代理工具和定制化植入程序绕过网络分段限制进行横向移动，后期甚至串联四种不同代理工具访问内部网段。尽管攻击者渗透了OT相邻系统所在的网络分区，但尚未发现其侵入OT网络的证据。 分析显示，大部分恶意活动为人工键盘操作（依据命令错误及规律工作时间判断），且攻击者可能早在2021年5月15日已获得网络访问权限。Fortinet强调：“攻击者在整个入侵过程中展现出极高的战术素养，通过定制化工具链维持持久性并规避检测，其操作纪律性暗示该组织可能具有国家背景或掌握充足资源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度卡纳塔克邦高等法院于2025年4月29日裁定，要求印度政府在全国范围内封禁加密邮件服务提供商Proton Mail。此裁决源于印度公司M Moser Design Associated India Pvt Ltd于2025年1月提起的一项法律诉讼。 根据法律媒体LiveLaw报道，该公司指控其员工收到通过Proton Mail发送的包含淫秽辱骂语言、AI生成的深度伪造图像及其他露骨色情内容的电子邮件。 在听证会上，法官M Nagaprasanna命令印度政府“根据《2008年信息技术法案》第69A条及《2009年信息封锁规则》第10条启动程序封禁Proton Mail”，并强调“在印度政府完成相关程序前，应立即封锁相关违规URL”。截至本文撰写时，Proton Mail在印度境内仍可正常访问。网络安全媒体The Hacker News已联系瑞士Proton公司寻求置评，尚未收到回复。 这是Proton Mail在印度第二次面临封禁威胁。去年初，因有报道称通过该平台发送虚假炸弹威胁，Proton公司曾声明“坚决反对任何违反瑞士法律使用其服务的行为”。根据瑞士法律，该公司虽不得向外国政府机构传输数据，但有义务配合瑞士当局的调查要求——瑞士执法部门可能会与境外机构合作打击非法活动。Proton补充说明：“尽管端到端加密技术为用户的邮件、文件、日历项和密码提供强隐私保护，但禁止利用该服务从事违反瑞士法律的行为。” 此次裁决再度引发关于加密通信服务监管的争议。支持者认为全面封禁侵犯用户隐私权，而执法部门则强调加密技术可能被滥用于非法活动。业界正密切关注Proton公司的后续回应及印度政府的执行措施。值得关注的是，Proton Mail作为全球知名隐私优先邮件服务，其运营基于瑞士严格的隐私法规，长期吸引重视数据安全的用户群体。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 媒体集团Urban One近日报告了一起数据泄露事件，涉及员工及其他人员的个人信息。根据向得克萨斯州和马萨诸塞州提交的违规通知信，这家总部位于马里兰州的公司表示，网络攻击始于2月13日，系通过”复杂的社会工程攻击”实施。 攻击者成功窃取公司数据，但公司直到3月15日才发现该事件。事件未影响公司运营，但截至3月30日的取证调查确认数据已被窃取。泄露信息包括：姓名、地址、社会保险号、直接存款信息及W-2税务信息。该公司未回应置评请求，但报告得克萨斯州有355人受影响。 受影响人员将获得两年信用监控服务，事件已通报执法部门。Urban One是面向非裔社区的最大媒体公司，运营多个电视频道、数十家广播电台及新闻网站。该公司2024年营收约4.5亿美元，此前曾在2019年向加州监管机构报告过涉及1000多个社会保险号的数据泄露事件。 Cactus勒索软件团伙于3月12日宣称对此次攻击负责。该组织于2023年出现，最初因通过在线广告分发恶意软件感染目标而被微软曝光。其攻击记录包括：全球最大温控仓库房地产投资信托Americold、瑞典大型连锁超市、洛杉矶市住房管理局及法国跨国企业施耐德电气。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的家居建材零售商Epicentr表示，其遭受的大规模网络攻击导致全国数十家门店运营中断，关键IT系统（包括收银机和物流服务）瘫痪。 本周一，乌克兰各地Epicentr门店的顾客因结账系统宕机无法购物，许多人反映无法接收订单、访问公司应用和网站。这家运营70多个购物中心（总面积超220万平方米）的零售商周二声明证实遭受定向攻击：“恶意行为者的蓄意攻击对公司基础设施造成严重后果。” 该公司未将事件归因于任何特定组织，也未明确黑客如何入侵系统或其最终目标，同时未确认攻击是否涉及勒索软件。截至周二下午，多数门店已恢复运营，但部分系统仍存在故障。Epicentr承认会计系统持续存在问题，关键财务记录和注册信息丢失，导致目前无法生成法定财务与税务报告。 Epicentr警告商品配送（尤其在线订单）可能出现延迟，顾客在其购物中心可能遭遇包裹追踪与自提服务问题。该公司雇佣29,000名员工，是乌克兰最大私营企业之一。 这是近月乌克兰企业遭遇的第三起重大网络攻击：2025年1月，该国农业巨头MHP报告“史上最严重”网络事件（未指明责任方）；3月，疑似俄罗斯黑客攻击国有铁路公司Ukrzaliznytsia，致使其在线售票服务中断。 除网络攻击外，Ukrzaliznytsia和Epicentr还屡遭俄罗斯导弹袭击。自全面入侵开始以来，Epicentr已损失10个购物中心（总面积超177,500平方米）。 乌克兰在持续战争背景下面临网络攻击浪潮：2024年，最大电信运营商Kyivstar遭毁灭性攻击致服务中断数日；近期乌当局报告国家登记系统遭攻击，涉及含生物识别、税务及房产数据的敏感数据库；2025年1月，某数据中心遭入侵，影响多家大型国企、国家邮政局及能源公司。 大型零售商全球范围内成恶意黑客首要目标。英国玛莎百货（Marks & Spencer）已应对网络攻击约一周。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一款伪装成合法WordPress插件的危险恶意软件变种。该恶意软件名为“WP-antymalwary-bot.php”，可让攻击者持久访问受感染网站、注入恶意代码，并能向网站访问者推送远程广告。 Wordfence威胁情报团队在2025年1月22日的常规网站清理中发现，该恶意软件模仿真实插件的结构，包含标准格式和元数据。但它具有多个特别危险的后门功能：紧急登录所有管理员（emergency_login_all_admins）功能允许攻击者使用GET请求和硬编码密码以管理员身份登录；执行管理员命令（execute_admin_command）功能通过REST API接收命令并无权限检查地执行，使攻击者能将PHP代码注入主题头部或清除插件缓存。 该插件最令人担忧的是自我复制特性。若被删除，它会通过修改后的wp-cron.php文件重新安装。该文件在网站被访问时运行，成为隐秘的再感染渠道：将恶意插件重新写入系统并自动激活。 恶意软件每分钟都会与位于塞浦路斯的命令与控制（C2）服务器通信，发送受感染网站的URL和时间戳。这种利用WordPress内置调度器的报告功能属于非常规策略，用于维护被入侵网站的数据库。 根据Wordfence，WP-antymalwary-bot.php的主要感染迹象包括： 包含check_plugin或emergency_login的异常GET请求 被篡改的wp-cron.php文件 主题header.php文件中的代码注入 通过base64解码URL插入的JavaScript广告 近期变种显示其复杂程度提升，允许动态更新广告推送URL（部分实现仍不完整），表明该恶意软件正在积极开发中并可能持续改进。 为降低感染风险，网站管理员应： 定期审计已安装插件和主题 移除未使用或可疑文件 监控未经授权的修改 确保文件完整性 禁用直接文件编辑功能 使用强管理员凭证和多因素认证（MFA） 实施定期异地备份 部署可靠的安全插件或防火墙       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国外交部今日指控与俄罗斯军事情报局（GRU）相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。 周二发布的声明称：“法国以最强烈措辞谴责俄罗斯军事情报局（GRU）使用APT28攻击程序实施多起针对法国利益的网络攻击。这些破坏性活动不可接受，有损联合国安理会常任理事国身份，也违背俄罗斯曾承诺遵守的《联合国网络空间负责任国家行为规范》。” 法国国家信息系统安全局（ANSSI）同日发布的报告显示，遭APT28军方黑客攻击的法国机构包括： 部委级政府机构、地方政府及行政单位 国防工业基础相关组织 航空航天机构 研究机构及智库 经济与金融领域机构 ANSSI特别指出，自2021年以来APT28多次利用Roundcube邮件服务器漏洞实施攻击，并频繁使用免费网络服务发起钓鱼攻击。攻击者还大量采用“低成本现成外包基础设施”——包括免费托管服务、VPN服务、租用服务器及临时邮箱创建服务——以增强隐蔽性。 2024年至今，该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。这并非法国首次指控APT28：2023年10月报告显示，该组织自2021年下半年已渗透法国政府、高校、研究所、企业及智库的关键网络。 作为活跃逾20年的俄罗斯国家级黑客组织（亦被追踪为Strontium、Fancy Bear），APT28隶属GRU第26165军事部队，曾参与多起重大网络攻击： 2015年入侵德国联邦议会 2016年美国大选前渗透民主党国会竞选委员会（DCCC）及民主党全国委员会（DNC） 2018年美国起诉多名APT28成员，2020年欧盟因议会黑客事件对其实施制裁 2023年波兰政府机构遭大规模钓鱼攻击 2024年北约与欧盟共同谴责其针对德国、捷克等国的长期间谍活动 北约指出，近期俄罗斯的“混合行动”包括破坏、暴力行为、网络干扰、虚假信息等，已影响捷克、爱沙尼亚、德国、拉脱维亚、立陶宛、波兰及英国。法国外交部强调：“法国将与伙伴国共同运用一切手段，在必要时预见、威慑并应对俄罗斯在网络空间的恶意行为。”         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新发现的iOS漏洞可让攻击者仅用一行代码远程破坏并锁死iPhone。苹果目前已修复这个漏洞。 应用开发者兼安全研究人员Guilherme Rambo协助苹果发现并修复了与Darwin通知相关的严重漏洞，这是苹果操作系统中底层的进程间通信机制。 发送和接收Darwin通知无需特殊权限，且没有机制验证发送者身份。该功能作为公共API开放，iOS上的任何进程（包括沙盒应用）都能通过发送这些通知实现基本更新和状态变更。 尽管传输的数据量非常有限，但研究人员发现Darwin通知可能干扰系统运行，因为某些组件会以破坏设备正常功能的方式响应这些通知。 Rambo首先开发了名为“EvilNotify”的概念验证应用进行演示。该应用可实现以下破坏： 在状态栏显示特定图标（如“液体检测”） 在动态岛触发Display Port连接状态 禁用全局手势（如下拉控制中心、通知中心和锁屏） 强制系统使用蜂窝网络而非Wi-Fi 锁定屏幕 触发设备进入“恢复中”模式 研究人员指出：“由于我正在寻找拒绝服务攻击手段，最后这个‘恢复中’模式最有效，因为除了点击‘重启’按钮外别无退出方式，而重启总会导致设备重新进入该状态。” 应用中仅需加入一行代码即可引发崩溃。即使应用不在前台运行，通知仍会生效，导致设备无限重启。Rambo还开发了“VeryEvilNotify”小组件扩展，可有效软锁iOS设备，迫使用户必须抹除数据并从备份恢复。 “如果恶意应用被包含在备份中，设备从该备份恢复后漏洞会再次触发，这将极大增强拒绝服务攻击的效果。”Rambo补充道。 该漏洞于2024年6月26日提交给苹果。苹果确认漏洞并在后续安全更新中修复，并向研究人员解释称：“敏感通知现在需要受限权限。”Rambo证实：“越来越多的进程开始采用受限通知的新权限，随着iOS 18.3的发布，我的概念验证中演示的所有问题都已解决。” 研究人员因此获得17,500美元漏洞赏金。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌透露，2024年观察到75个在野利用的零日漏洞，较2023年的98个有所下降。 在这75个零日漏洞中，44%针对企业产品。其中多达20个漏洞出现在安全软件和设备中。 “浏览器和移动设备的零日漏洞利用量大幅下降，与去年相比，浏览器漏洞利用减少约三分之一，移动设备漏洞利用减少约一半，”谷歌威胁情报小组（GTIG）在提供给《The Hacker news》的报告中表示，“由多个零日漏洞组成的攻击链仍几乎完全（约90%）用于攻击移动设备。” 2024年被利用的零日漏洞中，微软Windows占22个，苹果Safari有3个，iOS有2个，安卓有7个，Chrome有7个，Mozilla Firefox有1个。安卓的7个零日漏洞中有3个存在于第三方组件中。 在企业软件和设备中被利用的33个零日漏洞中，有20个针对Ivanti、Palo Alto Networks和思科等厂商的安全和网络产品。 “安全与网络工具和设备设计用于连接广泛的系统和设备，需要高权限来管理产品及其服务，这使得它们成为威胁行为者寻求高效入侵企业网络的宝贵目标。”GTIG研究人员指出。 2024年共有18家不同企业供应商成为攻击目标，而2021年为12家，2022年17家，2023年22家。被攻击最多的公司包括微软（26个）、谷歌（11个）、Ivanti（7个）和苹果（5个）。 此外，75个漏洞中的34个零日漏洞利用可归因于六大威胁活动集群： 国家资助的间谍活动（10个）（例如CVE-2023-46805、CVE-2024-21887） 商业监控供应商（8个）（例如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748） 非国家金融动机组织（5个）（例如CVE-2024-55956） 具有国家资助间谍和金融动机的组织（5个），全部来自朝鲜（例如CVE-2024-21338、CVE-2024-38178） 同时从事间谍活动的非国家金融动机组织（2个），全部来自俄罗斯（例如CVE-2024-9680、CVE-2024-49039） 谷歌表示，2024年11月发现乌克兰外交学院网站（online.da.mfa.gov[.]ua）存在恶意JavaScript注入，触发CVE-2024-44308漏洞实现任意代码执行。攻击者随后利用WebKit的Cookie管理漏洞CVE-2024-44309发起跨站脚本（XSS）攻击，最终收集用户Cookie以未授权访问login.microsoftonline[.]com。 谷歌还独立发现了针对Firefox和Tor浏览器的攻击链，该攻击链结合利用CVE-2024-9680和CVE-2024-49039突破Firefox沙箱，以提升权限执行恶意代码，为部署RomCom远控木马铺平道路。此前被ESET披露的该活动被归因于RomCom组织（又名Storm-0978、Tropical Scorpius等），谷歌将其追踪为CIGAR——兼具金融和间谍动机的双重威胁组织。 这两个漏洞还被另一个疑似金融动机的黑客组织作为零日漏洞利用。攻击者通过入侵合法的加密货币新闻网站作为水坑攻击平台，将访问者重定向到托管攻击链的恶意域名。 “零日漏洞利用继续以缓慢但稳定的速度增长，但我们也开始看到厂商缓解零日漏洞的工作初见成效，”GTIG高级分析师Casey Charrier在声明中表示，“例如针对历史高发产品的零日攻击有所减少，这得益于大型厂商投入的防护资源。同时，零日攻击正转向更多企业级产品，这要求更广泛的供应商提升主动安全措施。零日攻击的未来最终将取决于厂商能否有效遏制威胁行为者的目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于本周一将两个高危安全漏洞纳入其“已知被利用漏洞”（KEV）目录。这两个漏洞分别影响博科（Broadcom Brocade）光纤通道操作系统和Commvault Web服务器，已有证据表明其已被主动利用。 具体漏洞信息如下： CVE-2025-1976（CVSS评分：8.6） 博科光纤通道操作系统（Fabric OS）的代码注入漏洞，允许拥有管理员权限的本地用户以root权限执行任意代码。 CVE-2025-3928（CVSS评分：8.7） Commvault Web服务器中未公开具体细节的漏洞，允许经过身份验证的远程攻击者创建并执行Web Shell。 关于Commvault漏洞，该公司在2025年2月的安全公告中指出：“利用此漏洞需要攻击者已通过身份验证获取Commvault软件环境内的用户凭证。未经认证的访问无法利用此漏洞。对于软件用户而言，这意味着您的环境必须同时满足：(i) 可通过互联网访问；(ii) 已通过其他途径被入侵；(iii) 攻击者持有合法用户凭证。” 该漏洞影响以下Windows和Linux版本： 11.36.0 – 11.36.45（已在11.36.46修复） 11.32.0 – 11.32.88（已在11.32.89修复） 11.28.0 – 11.28.140（已在11.28.141修复） 11.20.0 – 11.20.216（已在11.20.217修复） 针对CVE-2025-1976漏洞，博科公司表示由于IP地址验证缺陷，拥有管理员权限的本地用户可在Fabric OS 9.1.0至9.1.1d6版本中通过root权限执行任意代码，该漏洞已在9.1.1d7版本修复。公司在2025年4月17日的公告中强调：“虽然利用此漏洞需首先获取管理员权限，但该漏洞已在真实环境中被主动利用。攻击者不仅可以执行现有系统命令，还能修改操作系统内核，甚至植入自定义子程序。” 目前，关于这两个漏洞被利用的具体方式、攻击规模及幕后组织的信息尚未公开。CISA建议联邦民事行政部门（FCEB）机构分别于2025年5月17日（Commvault）和5月19日（博科）前完成相关补丁安装。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zimperium在《2025全球移动威胁报告》中披露，超50%的移动设备仍在使用过时操作系统，极易遭受网络攻击。报告同时强调，随着企业移动化进程加速，攻击者正利用智能手机的广泛部署特性，推动针对移动终端的恶意攻击及应用程序漏洞数量正在显著增加。 短信钓鱼（Smishing）目前占所有移动钓鱼事件的69.3%。与此同时，语音钓鱼（vishing）和短信钓鱼攻击总量分别上升28%和22%。 Keeper Security首席执行官Darren Guccione表示：“复杂且大规模的移动钓鱼活动兴起反映了不断演变的威胁态势。网络犯罪分子利用看似官方的钓鱼页面来剥削用户信任。” 报告概述了影响移动设备安全性的多个关键因素，包括： 50%的移动设备运行过时操作系统 超过25%的移动设备无法升级至最新操作系统 60%以上的iOS应用和34%的Android应用缺乏基本代码保护 近60%的iOS应用和43%的Android应用存在个人身份信息（PII）数据泄露风险 恶意软件仍是攻击者的主要工具，木马程序使用量同比增长50%。研究人员已识别出Vultur、DroidBot、Errorfather和BlankBot等新型恶意软件家族。 尽管对移动威胁的认知度有所提高，移动应用安全性仍是持续存在的弱点。通过非官方商店下载的应用尤其危险，使用户和组织暴露于木马和数据泄露风险。 Sectigo高级研究员Jason Soroko表示：“侧载（Sideloading）绕过了官方应用商店的严格审查流程，使设备暴露于恶意软件和未授权代码。” 内部开发的应用也持续面临严重风险。Salt Security网络安全战略总监Eric Schwake评论称：“威胁行为者认为移动应用具有吸引力，因为它们通常管理敏感用户数据。”设计缺陷、不安全的API接口和薄弱的安全措施被列为导致漏洞持续存在的主要因素。 为防范此类威胁，建议组织和个人采用实时移动威胁检测、确保定期更新和补丁管理，并实施零信任模型等综合安全框架。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。 上周，SAP披露了其Visual Composer组件的元数据上传器（Metadata Uploader）中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件，实现代码执行并完全控制系统。 包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击，威胁行为者利用其在易受攻击的服务器上部署网页后门程序。 SAP发言人向BleepingComputer表示，已知悉攻击尝试，并于2024年4月8日发布临时缓解方案，随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。 研究人员证实，大量存在漏洞的SAP Netweaver服务器暴露于互联网，成为攻击主要目标。 Shadowserver Foundation发现427台暴露服务器，警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国（149台）、印度（50台）、澳大利亚（37台）、中国（31台）、德国（30台）、荷兰（13台）、巴西（10台）和法国（10台）。 网络安全搜索引擎Onyphe则指出，目前有1,284台漏洞服务器在线暴露，其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露：“约20家《财富》500强/全球500强企业存在漏洞，其中多家已遭入侵。” 研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门，但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大，但由于SAP NetWeaver广泛应用于大型企业与跨国公司，风险仍然显著。 建议用户根据SAP公告应用最新安全更新。若无法立即更新，可采取以下临时措施： 限制对/developmentserver/metadatauploader 端点的访问 若未使用Visual Composer，考虑彻底关闭该组件 将日志转发至SIEM系统并扫描servlet路径下的未授权文件 RedRays已发布针对CVE-2025-31324的扫描工具，可协助大型环境中的风险定位。 BleepingComputer已就漏洞活跃利用问题联系SAP，将在获得回应后更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文