HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员近日在OpenAI ChatGPT Atlas等智能体浏览器中发现新的安全隐患，这些浏览器底层的人工智能模型容易遭受上下文投毒攻击。 AI安全公司SPLX设计的攻击场景中，攻击者可建立特定网站，向ChatGPT和Perplexity运行的浏览器及AI爬虫提供差异化内容。该技术被命名为“AI定向伪装”。 这种手法实为搜索引擎伪装技术的变种——即向用户和搜索引擎爬虫呈现不同网页版本，最终达到操纵搜索排名目的。在此类攻击中，攻击者仅通过简单的用户代理检查即可针对不同供应商的AI爬虫优化内容，实现内容交付操控。 安全研究人员指出：”由于这些系统依赖直接检索，任何提供给它们的内容都会成为AI概述、摘要或自主推理中的’事实依据’。这意味着只需一条条件规则——’如果用户代理是ChatGPT，则提供此替代页面’——就能塑造数百万用户看到的所谓权威输出。” SPLX警告，AI定向伪装虽然原理简单，却可能成为强大的虚假信息武器，破坏用户对AI工具的信任。通过诱导AI爬虫加载替代内容，该技术还能引入偏见，影响依赖此类信号的系统输出。 “AI爬虫与早期搜索引擎一样容易被欺骗，但其下游影响更为深远。随着搜索引擎优化逐渐融合人工智能优化，这种攻击正在扭曲现实认知。” 与此同时，hCaptcha威胁分析小组发布的分析报告显示，针对20种常见滥用场景的测试中，各类浏览器智能体几乎无需越狱即可执行恶意请求。研究还发现，所谓”被阻止”的操作多数源于工具功能限制而非内置防护机制。值得注意的是，当被要求执行调试任务时，ChatGPT Atlas会完成高风险操作。 研究进一步披露，Claude Computer Use和Gemini Computer Use能够无限制执行密码重置等危险账户操作，后者甚至在电商平台表现出暴力破解优惠券的攻击性行为。测试还发现Manus AI可无障碍完成账户接管和会话劫持，而Perplexity Comet会主动实施SQL注入以窃取隐藏数据。 “这些智能体经常超额完成任务：在无用户指令时尝试SQL注入，在页面注入JavaScript以绕过付费墙等。我们观察到几乎完全缺失的安全防护措施，预示着攻击者很快会将这类智能体用于攻击任何下载它们的合法用户。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯本土网络安全公司发现，由国家支持的黑客组织Cloud Atlas再次发起网络间谍活动，利用即将召开的行业论坛作为诱饵，瞄准了该国农业领域。 这是近几个月来该组织第二次针对俄罗斯农业工业企业发起攻击，恰逢本月末莫斯科即将举行的俄罗斯农业论坛筹备期。据F6研究人员分析，黑客发送了伪装成论坛官方日程的钓鱼邮件，内含利用旧版Microsoft Office漏洞（CVE-2017-11882）的恶意文件——该漏洞虽于2017年修复，但至今仍被网络犯罪分子广泛利用。 该漏洞早在2023年就被Cloud Atlas利用过，当时他们通过涉及俄乌战争的钓鱼邮件，攻击了俄罗斯一家农业企业和一家国有研究公司。 此漏洞允许攻击者执行恶意代码并可能完全控制系统，使其能够安装软件、修改或删除数据以及创建新用户账户。 研究人员指出，Cloud Atlas（亦被追踪为Inception）在2025年全年活动频次显著增加，尤其针对俄罗斯和白俄罗斯目标。F6还发现迹象表明，一家国防企业也是该组织10月的攻击目标之一，不过未提供技术细节。 报告显示，Cloud Atlas持续优化其工具和传播方法，在保持长期使用的感染链的同时，尝试使用不同的有效载荷。 研究人员表示：”Cloud Atlas持续使用相同战术并利用早已曝光的漏洞，表明其攻击仍然有效——这主要归因于未受保护或维护不善的系统，以及人为因素。” Cloud Atlas至少自2014年开始活跃，是一个由国家支持的间谍组织，以攻击俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的机构而闻名。其行动侧重于数据窃取和监控，但背后具体是哪个国家仍不明确。 该组织通常依赖多阶段钓鱼攻击，发送模仿政府通讯、商业邀约或媒体资料的邮件。其恶意软件常使用定制加载器和加密通信以保持隐蔽并外泄窃取数据。 研究人员补充道：”这些因素使Cloud Atlas成为对组织网络安全极具威胁且持续存在的攻击者。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心近日披露，黑客活动分子已多次入侵该国关键基础设施系统，对一家水处理设施、一家石油天然气公司及一家农业企业的工业控制系统进行了篡改。 加拿大网络中心发布此次警报，旨在警示新的网络威胁，并为受影响组织提供检测、缓解措施及支持。这些攻击已引发误报警报、运营中断，并可能导致受影响系统出现危险状况。 “近几周来，网络中心和加拿大皇家骑警已收到多起涉及可通过互联网访问的工业控制系统的事件报告，”加拿大网络安全中心发布的警报称，”其中一起事件影响了一家水处理设施，攻击者篡改了水压数值，导致该社区服务品质下降。另一起事件涉及一家加拿大石油天然气公司，其自动储罐测量系统遭操纵，触发误报警报。第三起事件则涉及加拿大某农场的谷物干燥仓，其温湿度参数被篡改，若未能及时发现将可能导致不安全状况。” 黑客活动分子通过利用暴露在互联网上的工业控制系统设备来吸引关注、诋毁组织声誉并损害加拿大国家形象。攻击者旨在入侵可编程逻辑控制器、监控与数据采集系统、楼宇管理系统及工业物联网系统，从而对公共安全构成威胁。 加拿大网络机构指出，职责不清与协调不力往往导致关键系统暴露于风险之中。政府、市政机构及各组织必须明确责任划分、紧密协作，并加强所有服务的安全防护，特别是在水务、食品和制造等缺乏网络安全监管的领域。 每个组织都应维护一份可通过互联网访问的工业控制系统设备的最新清单，以虚拟专用网络和双因素认证替代直接暴露在公网的服务，并应用网络中心的”就绪目标”以强化防御。当无法避免服务暴露时，团队应部署入侵防御系统、定期进行渗透测试，并持续管理漏洞。市政和企业领导应直接与供应商合作，确保所有系统的安全部署、维护及退役。关键基础设施组织应定期开展桌面推演，以优化协调机制并提升事件响应能力。若发现可疑活动，各组织应及时向网络中心或加拿大皇家骑警报告，以支持加拿大全国范围内的网络韧性建设。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国电信巨头LG Uplus确认发生数据泄露，成为今年继SK Telecom、KT Telecom之后，韩国又一家遭遇网络攻击的主要电信运营商。目前LG Uplus已向韩国互联网与安全局通报了这起网络安全事件。 业内质疑：LG Uplus动作迟缓 据业内人士透露，LG Uplus是在检测到服务器可能遭入侵的迹象后提交的报告。 早在今年7月，一名白帽黑客向韩国互联网与安全局警告，LG Uplus公司系统存在潜在漏洞。 《韩国时报》报道，8月，LG Uplus曾向科学和信息通信技术部表示，其内部审查未发现网络攻击的确凿证据。 然而，随着黑客媒体Phrack公开声称“攻击者已渗透LG Uplus内网，泄露约4.2万名客户和167名员工个人数据”，事件进一步升级。 立法者批评该公司在收到入侵警告后，移除或修改了与账户管理系统相关的服务器，恐导致关键证据灭失。 三大运营商相继失守 今年韩国电信行业面临严峻网络安全挑战。韩国其他主要电信运营商如SK Telecom和KT Telecom曾先后遭遇网络攻击。加之本次LG Uplus遭受网络攻击，形成三大运营商接连失守的局面。 勒索软件组织“麒麟”率先声称对SK Telecom发动攻击，宣称窃取约1TB敏感文件。事件发生后，SK Telecom CEO 刘永相公开致歉，并宣布为所有用户免费更换SIM卡，同时承诺实施“双重乃至三重”安全保障措施。为确保换卡工作顺利进行，该公司一度暂停新用户注册服务。 然而危机并未结束。今年9月，不明黑客组织再次声称入侵SK Telecom系统，并在数据泄露论坛公开声称获取了包括内部项目源代码、构建配置、Docker文件乃至AWS访问密钥在内的大量核心数据。 至10月，名为“CoinbaseCartel”的新兴黑客组织也加入战局，威胁SK Telecom必须就其窃取的机密源代码和项目文件进行谈判，否则将公开泄露这些数据。 同样在9月，KT Telecom确认遭受网络攻击。据最新统计，因未授权支付造成的损失已超过2.4亿韩元（约合人民币130万元），累计368名用户受到影响。 面对这一系列安全事件，韩国国会已于9月启动专项调查。KT、SK Telecom与LG Uplus三家运营商的高管均被传唤，就其网络安全防护措施与事件应对机制接受质询。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 塔塔咨询服务公司（TCS）近日否认因英国零售商玛莎百货（M&S）遭受网络攻击而丢失其服务台合同。 10月26日，英国《每日电讯报》报道称，玛莎百货已”抛弃”与TCS的服务台合同，原因是这家印度IT外包巨头被指控应对2025年4月袭击该零售商的严重网络攻击负责。 在同日向多家印度证券交易所提交的监管申报文件中，TCS称该报道”存在误导性”并指出其”事实性错误”。 TCS在声明中表示，虽然玛莎百货确实曾考虑通过2025年1月启动的建议邀请书（RFP）流程与TCS签订服务台合同，但该零售商最终选择了其他供应商。TCS强调，这一决定”远在2025年4月网络事件发生之前”，因此”这些事项明显无关”。 据知情人士向《金融时报》透露，TCS在2025年1月前确实为玛莎百货提供过服务台服务，但该英国零售商在RFP流程后决定选择其他供应商。 TCS特别指出，除服务台外，公司与玛莎百货还保持着多种其他形式的合作与合同，其中许多仍在持续进行。 关于导致玛莎百货大量数字服务停摆的网络攻击，TCS坚称引发该事件的漏洞并非来自其任何网络和系统——这一结论基于TCS在2025年6月开展的调查结果。公司同时说明，TCS并未向玛莎百货提供网络安全服务。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌Chrome浏览器中的一个关键零日漏洞（编号CVE-2025-2783）已被发现在野利用，这是一次被称为”Operation ForumTroll”的针对性网络间谍行动的一部分。 根据卡巴斯基的最新研究，这些攻击与被称为Mem3nt0 mori（亦称作ForumTroll APT）的黑客组织有关，并且似乎涉及意大利监控软件开发商Memento Labs所打造的工具。 复杂攻击链解析 攻击始于2025年3月，受害者会收到高度个性化的钓鱼邮件，邀请他们参加普里马科夫读书论坛活动。点击这些存在时间极短的恶意链接将直接导致设备感染，无需受害者进行任何额外操作。此次攻击主要针对俄罗斯和白俄罗斯的各类组织，包括大学、研究中心、金融机构及政府机构。 卡巴斯基的分析显示，攻击者部署了一个沙箱逃逸漏洞利用程序，成功攻破了Chrome及其他基于Chromium内核的浏览器。该漏洞源于Windows操作系统在处理”伪句柄”时存在的逻辑缺陷，使得攻击者能够在Chrome浏览器进程中执行任意代码。 谷歌已在Chrome 134.0.6998.177/.178版本中紧急修复了此问题。火狐浏览器开发商后来也在其产品中发现了一个相关问题，并将其标识为CVE-2025-2857予以解决。 与Memento Labs关联的间谍工具 调查人员将”Operation ForumTroll”中使用的恶意工具包追溯至2022年由Mem3nt0 mori发起的攻击活动。这些攻击曾部署一款名为LeetAgent的间谍软件，其功能包括： 远程执行Shellcode和命令 运行后台键盘记录程序 窃取.docx、.xlsx和.pdf等扩展名的文件 进一步的分析还发现了对一款更先进的监控软件平台”Dante”的使用证据。这是Memento Labs（前身为Hacking Team）开发的一款商业产品。Dante恶意软件由Hacking Team早期的远程控制系统套件演变而来，具备全面的反分析技术和加密通信功能。 事件影响与行业响应 卡巴斯基研究人员得出结论，Mem3nt0 mori在ForumTroll攻击活动中利用了基于Dante的组件，这标志着首次在野观察到这款商业监控软件的实际使用。 研究团队表示：”这个漏洞利用确实让我们感到困惑，因为它允许攻击者在未执行任何明显恶意或被禁止操作的情况下，绕过谷歌Chrome的沙箱保护。这都源于Windows操作系统中一个晦涩特性所导致的强大逻辑漏洞。” 此事件凸显了与国家行为体结盟的黑客组织及商业监控软件供应商所带来的持续风险。卡巴斯基敦促安全研究人员检查其他软件及Windows服务，以寻找类似的伪句柄漏洞。 尽管Chrome的新补丁已封堵此漏洞，但该案例再次表明间谍行为体与全球监控软件市场之间存在持续的重叠——这也提醒我们，商业监控工具正在针对性网络行动中不断获得新的生命力。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一个位于印度新德里的欧洲使馆，以及斯里兰卡、巴基斯坦和孟加拉国的多个组织，成为黑客组织”响尾蛇”在2025年9月发起新一轮攻击的目标。 Trellix研究人员指出，此次活动”显示出响尾蛇组织在战术、技术和程序上的显著升级，特别是在采用基于PDF和ClickOnce的新型感染链方面，这与其以往主要利用Microsoft Word漏洞的攻击方式形成鲜明对比”。 在2025年3月至9月期间，攻击者分四波发送鱼叉式钓鱼邮件，意图投放ModuleInstaller和StealerBot等恶意软件家族，从受感染主机收集敏感信息。 攻击链剖析 ModuleInstaller作为下载器，负责获取后续有效负载（包括StealerBot）。后者是一个.NET植入程序，能够启动反向Shell、投送更多恶意软件，并从受感染主机收集包括截图、键盘记录、密码和文件在内的各类数据。 值得关注的是，卡巴斯基早在2024年10月就首次公开记录了这两个恶意软件家族，当时它们被用于针对中东和非洲地区重要实体和战略基础设施的攻击。 最新攻击特征 Trellix观察到的最新攻击活动始于2025年9月1日后，主要针对印度使领馆。攻击者使用标题为”部际会议凭证.pdf”或”印度-巴基斯坦冲突-2025年5月战略战术分析.docx”的钓鱼邮件，发送方域名伪装成巴基斯坦国防部。 研究人员指出：”初始感染载体始终如一：要么是无法正常显示的PDF文件，要么是包含漏洞的Word文档。PDF文件中包含一个按钮，诱使受害者下载安装最新版Adobe Reader以查看文档内容。” 然而，点击该按钮会从远程服务器下载ClickOnce应用程序。该程序启动时，会侧加载恶意DLL文件，同时向受害者显示诱饵PDF文档。 精妙伪装与规避技术 这款ClickOnce应用程序实际上是MagTek公司的合法可执行文件，它伪装成Adobe Reader，并带有有效签名以规避检测。此外，攻击者对命令与控制服务器的访问设置了南亚地区限制，且有效负载下载路径为动态生成，极大增加了分析难度。 恶意DLL会解密并启动名为ModuleInstaller的.NET加载器，随后对受感染系统进行环境探测，并最终投放StealerBot恶意软件。 Trellix总结道：”多波次的钓鱼攻击活动表明该组织能够针对不同外交目标精心制作高度特定的诱饵，显示出对地缘政治背景的深刻理解。ModuleInstaller和StealerBot等定制恶意软件的持续使用，加上对合法应用的巧妙滥用进行侧加载，充分体现了响尾蛇组织在运用高级规避技术和实现间谍目标方面的执着追求。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一款名为Herodotus的新型安卓银行木马细节。该恶意软件目前正活跃于意大利和巴西，专门实施设备接管攻击。 荷兰安全公司ThreatFabric在报告中指出：”Herodotus木马在执行设备接管攻击时，首次尝试模拟人类操作行为以绕过行为生物特征识别检测。”该木马于2025年9月7日在地下论坛作为恶意软件即服务进行推广，声称支持Android 9至16系统。 技术特征与传播手段 分析显示，虽然该木马并非直接由另一知名银行恶意软件Brokewell演化而来，但确实借鉴了其部分技术特征，包括相似的混淆技术，代码中甚至直接出现”BRKWL_JAVA”等Brokewell相关标识。 与其他安卓恶意软件一样，Herodotus通过滥用无障碍服务实现其目标。它通过短信钓鱼等社交工程手段，伪装成谷歌浏览器应用进行传播。一旦安装，便会利用无障碍功能进行屏幕交互、显示不透明覆盖界面隐藏恶意活动，并在金融应用上层显示虚假登录界面窃取凭证。 此外，该木马还能窃取短信验证码、截取屏幕显示内容、自主提升权限、获取锁屏PIN码或图案，并远程安装APK文件。 独特攻击手法：模拟人类行为 该木马的突出特点在于其人性化欺诈能力。具体而言，它能在执行远程操作时引入随机延迟，例如在设备上输入文本时。ThreatFabric解释称：”延迟时间设定在300-3000毫秒之间，这种文本输入间隔的随机化确实符合人类的输入习惯。通过刻意设置随机延迟，攻击者很可能试图规避仅依赖行为分析的反欺诈系统对机器输入速度的检测。” 研究人员还获得了该木马用于攻击美国、土耳其、英国、波兰的金融机构以及加密货币钱包和交易所的覆盖页面，表明其运营者正积极扩展攻击范围。 ThreatFabric强调：”该恶意软件处于活跃开发阶段，借鉴了Brokewell银行木马的长期技术积累，其设计初衷显然是为了在活跃会话中持续驻留，而非简单地窃取静态凭证实施账户接管。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个未受保护的MongoDB数据库暴露了数百万条记录，涵盖双重认证码、哈希密码及钱包地址等敏感信息。更严重的是，这些数据已公开访问长达数月。 网络安全研究团队Cybernews发现，属于加密货币交易平台NCX的一个未设防数据库正在泄露大量敏感信息。该数据集包含多个数据集合，总计超过500万条记录。 研究团队指出：”NCX声称提供安全、快速、透明的加密货币交易服务，但此次泄露事件严重质疑了这些承诺，特别是在用户隐私和运营安全方面。” 泄露数据详情 暴露的1GB多数据包含全球用户的： 全名、用户名及出生日期 电子邮箱地址 用户上传的身份证明文件链接（KYC验证） 双重认证码及相关URL 内部API密钥 IP地址 哈希密码 头像URL 加密密钥 钱包地址及相关区块链交易信息 存取款记录、货币类型及冻结状态 客服日志及帮助中心通讯记录 研究人员发现数据存储于八个不同集合中，最大的集合包含超过200万条记录。所有数据均为最新，表明系统正处于活跃使用状态。 影响与建议 此次泄露使用户面临身份盗用、账户接管和加密货币钱包被盗等多重威胁。研究团队已向该公司进行负披露，但未获回应。 专家建议NCX立即采取以下措施： 立即下线MongoDB实例或通过防火墙限制访问 启用凭证访问和传输加密 更换暴露的2FA密钥并使秘密URL失效 通知受影响用户和监管机构 进行全面的取证审计 对于用户，研究人员建议： 考虑将资金转移至其他平台 警惕关于加密货币或投资的任何通讯 可注册信用监控服务以防身份盗用   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基于Mirai的新型物联网僵尸网络”Aisuru”近日发起多次超20Tb/秒和/或4gpps的高强度DDoS攻击。网络安全公司Netscout报告显示，2025年10月，该僵尸网络主要针对在线游戏领域发动了超过20Tb/秒的大规模攻击。 该僵尸网络利用住宅代理反射HTTPS DDoS攻击，其节点主要为消费级路由器、监控摄像设备/录像机及其他存在漏洞的客户终端设备。攻击者持续寻找新的漏洞利用以扩张僵尸网络规模。 作为DDoS租赁服务，Aisuru虽避开政府和军事目标，但宽带运营商仍因感染设备发起的超1.5Tb/秒攻击而遭受严重干扰。Netscout报告指出：”Aisuru及相关TurboMirai级物联网僵尸网络发起的DDoS攻击主要与在线游戏活动相关，峰值超过20Tb/秒和4gpps。术语’TurboMirai’特指此类能够发起数Tb/秒和数gpps直连式DDoS攻击的Mirai变种僵尸网络。” 与其他TurboMirai僵尸网络类似，Aisuru具备额外的专用DDoS攻击能力及多功能特性，支持攻击者实施撞库攻击、AI驱动的网络爬取、垃圾邮件和网络钓鱼等非法活动。 攻击采用中型数据包和随机端口/标志的UDP、TCP及GRE洪泛攻击。超过1Tb/秒的受感染终端设备流量会干扰宽带服务，而4gpps以上的洪泛攻击已导致路由器线路板卡故障。 报告补充说明：”监测到既有高带宽（大数据包、高bps）也有高吞吐量（小数据包、高pps）的DDoS攻击。UDP和TCP直连洪泛攻击默认使用540-750字节的中型数据包以平衡bps和pps。4gpps及以上强度的小数据包/高pps攻击已导致机架式路由器和三层交换机的线路板卡过载，造成设备脱离机箱背板连接并中断无关流量。部分案例中，用于保护网络基础设施的最佳现行实践方案可能未得到完整实施。出向和横向DDoS攻击的破坏性常与入向攻击相当。” Netscout强调，Aisuru及TurboMirai级物联网僵尸网络主要发起单向量直连DDoS攻击，偶尔与其他DDoS租赁服务联合发起多向量攻击。攻击形式包括中大型或小型数据包的UDP洪泛、大小数据包的TCP洪泛以及多达119种TCP标志组合。部分流量模拟合法HTTP数据包，而HTTPS攻击则利用内置住宅代理。研究人员指出，由于多数网络缺乏特权访问和源地址验证，该僵尸网络流量未经过伪装。 报告进一步说明：”这些僵尸网络无法生成伪装的DDoS攻击流量，使得可通过回溯追踪与用户信息关联，从而识别、隔离和修复受感染设备。” 网络运营商应监控所有边缘网络、用户网络、对等网络及大型终端网络的出入向DDoS流量。检测、分类和回溯系统应保持活跃并集成至防御测试体系。识别受感染设备后需及时修复，但C2中断可能导致重复感染。缓解措施需采用智能系统进行定向压制，并结合Flowspec或S/RTBH等基础设施级方法，同时注意避免过度阻断关键流量。 Netscout总结道：”全面防御需要在所有网络边缘部署与入向缓解同等优先级的出向/横向压制系统。智能DDoS缓解系统、基础设施访问控制列表等网络基础设施最佳现行实践，以及可滥用客户终端设备的主动修复都至关重要。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲知名数字隐私维权组织noyb于本周二对人脸识别公司Clearview AI及其高管提起刑事投诉，指控该公司非法从互联网抓取个人照片并进行售卖。 此次投诉之前，欧洲多家数据保护机构已对Clearview AI采取多次执法处罚并下达禁令，而noyb指出该公司对此置若罔闻。Clearview AI通过爬取网络上的数十亿张照片，并向执法机构出售其人脸识别技术。 noyb称该公司的行为”明显违法且具有侵入性”，并依据《通用数据保护条例》（GDPR）中允许欧盟成员国对违规行为进行刑事处罚的条款，在奥地利提起了刑事申诉。根据noyb的新闻稿，若申诉成功，Clearview AI高管可能面临监禁。 “Clearview AI似乎完全无视欧盟的基本权利，公然藐视欧盟权威，”noyb创始人马克斯·施雷姆斯在一份声明中表示，”该公司建立的全球照片和生物特征数据库，能在几秒钟内识别任何人。” Clearview AI发言人未立即回应置评请求。 今年三月，Clearview AI通过向原告及其律师提供公司未来股权的方式，就一起预估赔偿金额超过5000万美元的集体隐私诉讼达成和解。该公司此前也已在法国、意大利和荷兰等多个欧洲国家被数据监管机构处以罚款。 值得关注的是，尽管奥地利监管机构早在2022年就已判定Clearview AI违反GDPR，但当时既未对公司处以罚款，也未要求其停止处理相关数据。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在OpenAI新推出的ChatGPT Atlas网络浏览器中发现了一个新漏洞，该漏洞可能允许恶意行为者向AI助手的记忆系统中注入恶意指令并运行任意代码。 LayerX安全公司的联合创始人兼首席执行官奥尔·埃舍德在与The Hacker News分享的一份报告中表示：”该漏洞可利用允许攻击者使用恶意代码感染系统、为自己授予访问权限或部署恶意软件。” 该攻击的核心是利用跨站请求伪造漏洞，向ChatGPT的持久化记忆系统中注入恶意指令。被污染的记忆能够在不同设备和会话中持续存在，使得当已登录的用户尝试将ChatGPT用于合法目的时，攻击者能够进行各种操作，包括夺取用户账户、浏览器或连接系统的控制权。 ChatGPT的”记忆”功能于2024年2月首次推出，旨在让AI聊天机器人能在不同对话之间记住有用的细节，从而使其回复更加个性化和贴合上下文。这可能包括用户的姓名、偏爱的颜色、兴趣或饮食偏好等各种信息。 这种攻击构成了重大的安全风险，因为它通过污染记忆，使得恶意指令能够持续存在，除非用户明确前往设置并删除它们。如此一来，它将一个有用的功能变成了可以运行攻击者提供代码的强大武器。 LayerX安全公司安全研究主管米歇尔·莱维表示：”该漏洞的独特危险性在于，它针对的是AI的持久化记忆，而不仅仅是浏览器会话。通过将标准的CSRF攻击与记忆写入操作串联起来，攻击者可以无形地植入能在不同设备、会话甚至不同浏览器中存活的指令。“ “在我们的测试中，一旦ChatGPT的记忆被污染，后续的’正常’提示就可能触发代码获取、权限提升或数据窃取，而不会触发有意义的防护措施。” 攻击的具体流程如下： 用户登录ChatGPT。 用户被社会工程学手段诱骗点击恶意链接。 恶意网页触发CSRF请求，利用用户已通过身份验证的事实，在用户不知情的情况下向ChatGPT的记忆系统中注入隐藏指令。 当用户为合法目的查询ChatGPT时，被污染的记忆会被调用，导致代码执行。 LayerX未透露实施该攻击所需的额外技术细节。该浏览器安全公司表示，ChatGPT Atlas缺乏强大的反钓鱼防护控制，加剧了这一问题，并补充说这使得用户遭受攻击的风险比谷歌Chrome或微软Edge等传统浏览器高出90%。 在对100多个真实网络漏洞和钓鱼攻击的测试中，Edge成功拦截了53%的攻击，其次是谷歌Chrome，拦截率为47%，Dia为46%。相比之下，Perplexity的Comet和ChatGPT Atlas仅分别拦截了7%和5.8%的恶意网页。 这为各种攻击场景打开了大门，包括一种场景：开发者请求ChatGPT编写代码，可能导致AI代理在”氛围编程”过程中嵌入隐藏指令。 这一事态发展与NeuralTrust演示的针对ChatGPT Atlas的提示注入攻击同时发生，后者通过将恶意提示伪装成看似无害的待访问URL，从而越狱其多功能地址栏。此前也有报告指出，AI代理已成为企业环境中最常见的数据泄露载体。 埃舍德表示：”AI浏览器正在将应用、身份和智能集成到一个统一的AI威胁面上。像’被污染的记忆’这样的漏洞就是新的供应链攻击：它们随着用户传播，污染未来的工作，并模糊了有用的AI自动化与隐蔽控制之间的界限。” “随着浏览器成为AI的通用接口，以及新的智能代理浏览器将AI直接融入浏览体验，企业需要将浏览器视为关键基础设施，因为这正是下一代AI生产力和工作的前沿阵地。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年初以来，麒麟勒索软件组织每月声称入侵超过40名受害者，其数据泄露网站上的帖子数量在6月份达到了100例的高峰。 根据思科Talos汇编的数据，美国、加拿大、英国、法国和德国是受麒麟影响最严重的国家。这些攻击主要针对制造业（23%）、专业和科学服务（18%）以及批发贸易（10%）等领域。 麒麟附属组织发起的攻击可能利用了暗网上泄露的管理凭证，通过VPN接口进行初始访问，随后对域控制器和成功入侵的端点执行RDP连接。 在下一阶段，攻击者进行了系统侦察和网络发现操作以绘制基础设施地图，并执行了Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe和SharpDecryptPwd等工具，以促进从各种应用程序中获取凭证，并使用Visual Basic脚本将数据外泄到外部SMTP服务器。 Talos表示：”通过Mimikatz执行的命令针对一系列敏感数据和系统功能，包括清除Windows事件日志、启用SeDebugPrivilege、从Chrome的SQLite数据库提取保存的密码、恢复之前登录的凭证，以及获取与RDP、SSH和Citrix相关的凭证和配置数据。” 进一步分析发现，威胁行为者使用mspaint.exe、notepad.exe和iexplore.exe来检查文件中的敏感信息，以及使用名为Cyberduck的合法工具将感兴趣的文件传输到远程服务器，同时掩盖恶意活动。 研究发现，被盗凭证使得攻击者能够进行权限提升和横向移动，他们滥用提升后的访问权限来安装多种远程监控和管理（RMM）工具，例如AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist和ScreenConnect。Talos表示无法确定这些程序是否用于横向移动。 为了规避检测，该攻击链包括执行PowerShell命令来禁用AMSI、关闭TLS证书验证并启用Restricted Admin，此外还运行dark-kill和HRSword等工具来终止安全软件[citation:1。主机上还部署了Cobalt Strike和SystemBC以实现持久远程访问。 感染的最终阶段是启动麒麟勒索软件，该软件会加密文件并在每个加密文件夹中投放赎金记录，但在之前会清除事件日志并删除由Windows卷影复制服务（VSS）维护的所有卷影副本。 这一发现与一起复杂的麒麟攻击事件相吻合，该攻击将其Linux勒索软件变体部署在Windows系统上，并将其与合法的IT工具和自带易受攻击驱动（BYOVD）技术结合使用，以绕过安全屏障。 趋势科技表示：”攻击者滥用了合法工具，特别是通过Atera Networks的远程监控和管理（RMM）平台安装AnyDesk，并使用ScreenConnect执行命令。他们滥用Splashtop来最终执行勒索软件。” “他们使用专门的凭证提取工具专门针对Veeam备份基础设施，在部署勒索软件有效负载之前，系统地从多个备份数据库获取凭证，以破坏组织的灾难恢复能力。” 除了使用有效账户入侵目标网络外，部分攻击还采用了鱼叉式网络钓鱼和托管在Cloudflare R2基础设施上的ClickFix式虚假CAPTCHA页面，来触发恶意有效负载的执行。据评估，这些页面会投放获取初始访问权限所必需的信息窃取程序以收集凭证。 攻击者采取的一些关键步骤如下： 部署SOCKS代理DLL以促进远程访问和命令执行 滥用ScreenConnect的远程管理功能来执行发现命令，并运行网络扫描工具以识别潜在的横向移动目标 针对Veeam备份基础设施以获取凭证 使用”eskle.sys”驱动程序作为BYOVD攻击的一部分来禁用安全解决方案、终止进程并逃避检测 部署PuTTY SSH客户端以促进向Linux系统的横向移动 使用跨多个系统目录的SOCKS代理实例，通过COROXY后门混淆命令与控制（C2）流量 使用WinSCP安全传输Linux勒索软件二进制文件到Windows系统 使用Splashtop Remote的管理服务（SRManager.exe）直接在Windows系统上执行Linux勒索软件二进制文件 趋势科技研究人员指出：”Linux勒索软件二进制文件提供了跨平台能力，使攻击者能够使用单个有效负载影响环境中的Windows和Linux系统。” “更新的样本加入了Nutanix AHV检测功能，将目标扩展至超融合基础设施平台。这证明了威胁行为者除了传统的VMware部署之外，也对现代企业虚拟化环境的适应。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯网络安全公司宣称，已发现证据表明意大利Memento Labs公司开发的监控软件，疑似被用于针对俄罗斯和白俄罗斯境内组织的网络攻击。 卡巴斯基实验室周一发布研究报告称，他们在多起与黑客组织”ForumTroll”相关的攻击中，识别出该公司开发的商业监控软件“Dante”。研究人员强调，目前未发现该间谍软件在卡巴斯基客户网络中活跃感染的迹象，且无法确定ForumTroll行动的幕后雇主。报告同时指出，攻击者使用该监控软件的具体费用，以及开发商是否知晓其软件被部署的情况，目前仍属未知。 “精通俄语并熟悉当地特性是ForumTroll组织的显著特征，我们在其过往攻击活动中也观察到这些特质。”研究人员分析称，”但其他案例中出现的语言错误表明，攻击者并非以俄语为母语者。” 位于米兰的Memento Labs公司未回应置评请求。研究人员指出，这是自2023年Memento Labs在执法与情报机构闭门会议上推出Dante以来，该监控软件在真实网络攻击中被使用的首个实证案例。 此次发现源于卡巴斯基今年3月对ForumTroll间谍攻击的调查。该黑客组织当时通过伪装成俄罗斯知名科学专家论坛邀请函的钓鱼邮件，针对俄罗斯媒体机构、高等院校、科研中心、政府机关及金融组织发动攻击。研究人员透露，攻击者发送的恶意链接利用了谷歌Chrome浏览器的零日漏洞（现被标识为CVE-2025-2783），该漏洞已由卡巴斯基上报并被谷歌修复。 尽管Dante未在此次攻击中投入使用，但卡巴斯基正是通过调查ForumTroll事件，最终在其他网络入侵中发现了这款监控软件的踪迹。研究人员表示，ForumTroll最新攻击行动中包含其定制工具LeetAgent——这个至少可追溯至2022年的工具，在某些情况下会作为更先进的Dante软件的加载器。 值得关注的是，Memento Labs的前身Hacking Team在2015年遭遇大规模数据泄露前，曾向全球政府客户销售入侵与监控工具。数字权益监督机构”公民实验室”报告指出，该公司因向”持续存在严重人权侵害行为”的国家出售RCS监控软件而备受批评。2014年报告显示，RCS软件的使用范围覆盖沙特阿拉伯、苏丹、墨西哥、阿塞拜疆、埃及、匈牙利、意大利和哈萨克斯坦等至少20国。经历数据泄露事件后，该公司经收购重组更名为Memento Labs，继续向执法和情报机构推广其”情报解决方案”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 瑞典国家电网运营商正在调查一起数据泄露事件。 此前，某勒索软件组织威胁称将公开数百GB据称窃取的内部数据。 国有电力传输系统运营商Svenska kraftnät表示，此次事件仅影响其”受限的外部文件传输系统”，未对瑞典电力供应造成干扰。 首席信息安全官Cem Göcgören在声明中称：”我们对此事件高度重视，并已立即采取行动。虽然此事可能引发担忧，但电力供应未受影响。” 勒索团伙Everest上周末在其泄密网站宣称实施此次攻击，声称已窃取约280GB数据，并表示若该机构不满足其要求将公开数据。 该团伙此前曾声称对都柏林机场、阿拉伯航空和美国航空航天供应商柯林斯航空航天发动攻击——其中9月的攻击导致欧洲多国航班运营陷入混乱。这些说法尚未得到独立核实。 Svenska kraftnät表示正与警方及国家网络安全机构紧密合作，以确定泄露范围及可能暴露的数据。该企业尚未将攻击归因于特定威胁行为体。 Göcgören强调：”我们当前评估认为，关键任务系统未受影响。在获得确认信息前，现阶段不对攻击者身份或动机置评。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的网络犯罪团伙”Everest Group”在其暗网泄密网站上将爱尔兰都柏林机场列为受害者，指控其发动了此次勒索软件攻击。都柏林机场年客流量逾3500万人次，为40家航空公司提供超过150个航点的服务。 此前该团伙刚宣称攻破柯林斯航空航天公司及其用于值机服务和旅客管理的MUSE软件系统，该攻击曾导致欧洲多座主要机场瘫痪数日，引发航运混乱。 管理都柏林机场的公司Daa此前曾发布声明，称乘客数据是因第三方系统遭入侵而受影响。 此次黑客的声明可能与此前柯林斯航空航天公司的数据泄露事件相关，也可能意味着航空领域正遭受新一轮攻击。 目前该犯罪团伙尚未发布数据样本佐证其声明。其受害者网站上发布的公告包含倒计时器，显示机场方若未在五日内联系黑客，被盗数据将被公开。 勒索软件组织通常通过在暗网泄密网站公布受害者名单，企图胁迫相关机构支付赎金，否则将面临敏感数据泄露的严重后果。 该勒索软件组织声称窃取了包含旅客个人信息与航班运营数据的敏感信息。据其声明，被盗数据集涉及1,533,900条个人记录。 据称泄露内容包含：乘客全名、航班号、座位信息、起降机场、票号、常旅客信息，甚至涵盖办理值机及生成登机牌时所使用的设备详情。 都柏林机场疑似泄露数据类型清单 全名 旅客状态及分类（如成人/儿童/员工） 常旅客航空公司、会员编号及等级 免费行李额度与快速通关资格 预订编码(PNR) 航空公司名称及数字代码 航班号与日期 起降机场代码 座位号及舱位等级 序列号与航段数量 市场方与实际承运方 机票凭证及序列号 电子机票标识 登机牌签发来源及日期 证件类型与签发航司代号 安检抽检标识 国际证件验证状态 行李牌编号（含非连续编号） 值机或登机设备名称、ID及类型 工作站ID与时间戳 起飞日期与时间 条形码格式及软件版本号 若此次泄露被证实属实，旅客身份信息、航班规律、会员凭证及数字接触点都将面临曝光风险。 据信该团伙与BlackByte勒索组织存在关联。5月22日，Everest瞄准可口可乐中东分公司，最终泄露了该公司多个分销中心近千名员工资料。 作为对全球最大可口可乐装瓶商”可口可乐欧洲太平洋伙伴”大规模攻击的一环，该勒索组织据称窃取了约2300万条数据。 在对可口可乐攻击数日后，该组织又宣称攻破阿联酋知名国际私立医院Mediclinic、阿布扎比文化与旅游部以及约旦科威特银行。 该团伙还是2022年10月AT&T攻击事件的幕后黑手，声称可访问AT&T整个企业网络，并于2024年秋季攻击了Radisson Country Inn and Suites连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汇丰银行美国分行日前发生重大数据泄露事件。网络犯罪分子在黑客论坛公开宣称，已获取包含客户银行账号、交易记录在内的敏感信息。 汇丰银行是全球最大金融机构之一，其总部设于英国，年度营收逾620亿美元，全球雇员约22万人。今年初已宣布调整美国市场战略，逐步退出商业银行业务。 日前汇丰银行发生重大数据泄露事件。据悉，黑客在专门交易非法数据的论坛上发布了这批数据，并声称是通过有组织的协同攻击得手。 Cybernews研究团队对黑客公开的数据样本进行深入解析后发现，泄露信息包含以下敏感内容： 姓名、地址、社会安全号码、出生日期、电话号码、电子邮箱地址、交易记录、股票交易指令及银行账号等。 网络安全专家指出，这些泄露信息可能被犯罪分子用于进行多种非法活动。如： 身份盗用（开设欺诈账户/虚假报税） 针对消费习惯策划精准网络诈骗 冒充金融机构进行电信诈骗 业内人士分析，此次事件不仅可能对汇丰美国的商誉造成重创，更可能导致大量客户转移资产。 由于攻击者提供的数据样本并未完整展示被盗数据集的全貌，目前尚不清楚这些数据是否属于零售银行客户。 如果是，相关信息可能比攻击者声称的更为陈旧，因为汇丰美国已退出美国大众零售市场。 但根据团队分析，样本中的日期显示信息为几周前更新。若如此，被盗数据库可能涉及该银行的企业及机构客户。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织SafePay声称对德国视频监控提供商Xortec的成功攻击负责，并将该公司列入其数据泄露网站。勒索软件支付截止日期为2025年10月27日。 Xortec GmbH总部位于法兰克福，在德国各地设有办事处，是一家增值分销商和系统集成商，专注于视频监控、IP网络和安全解决方案。该公司为企业及安装服务客户提供摄像头、网络录像机、门禁系统、布线与咨询服务。Xortec于2021年被Beyond Capital Partners收购，是一家快速增长的B2B公司，拥有数十名员工，年收入超过750万欧元，其增长主要由大型安装项目驱动。 该公司的客户主要为B2B类型：包括系统集成商、专业安装商、系统厂商以及在全球（尤其是在德语区及更广泛的国际市场）运营的经销商。鉴于其核心业务聚焦于视频监控和通信解决方案，Xortec提供的产品与服务构成了零售、物流、公共及私人基础设施和关键设施等多个行业安全基础架构的支撑。 对Xortec这类公司的攻击可能因其在安全供应链中的角色而产生广泛影响。攻击者可能在安装商使用的硬件或软件中植入后门，从而泄露客户数据、监控布局和运输记录。遭篡改的固件可能破坏对数千个已部署系统的信任。若Xortec的物流运营受阻，其影响将波及经销商和最终用户，甚至可能涉及交通或公用事业等关键行业——这使得此次入侵事件成为一个超越单一公司范畴的、系统性的、多层级风险。 SafePay是一个自2024年底开始活跃的快速崛起的勒索软件组织。该组织独立运营，采用数据窃取与加密的双重勒索策略，其攻击目标遍布制造业、医疗保健和政府等全球多个行业。该网络犯罪组织在获取访问权限后的24小时内迅速行动，并且会避开俄罗斯系统，这暗示其可能源于东欧地区。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，本周初俄罗斯农业与食品安全监管机构遭遇网络攻击，导致全国范围内的食品运输受阻。 俄罗斯联邦动植物卫生监督局表示，其在周三遭受了大规模分布式拒绝服务攻击，影响了其在线基础设施，包括用于追踪农产品和化学品流动的”VetIS”和”Saturn”系统。 据俄罗斯贸易媒体《Shopper’s》报道，此次中断导致食品交付严重延迟，因为电子兽医认证平台”Mercury”——VetIS系统的组成部分——一度无法访问。两家主要乳制品生产商和一家婴儿食品制造商向该媒体透露，他们在周三数小时内无法运输产品。 俄罗斯联邦动植物卫生监督局称，其网络中存储的数据”在完整性和机密性方面未受到威胁”。该机构未对事件进一步置评，目前尚无黑客组织声称对此次攻击负责。 根据俄罗斯法律，处理肉类、牛奶、鸡蛋和其他动物产品的公司必须在Mercury系统注册，并出具确认产品真实性和安全性的电子兽医证书。没有这些证书，供应商无法合法地向零售商或加工商交付货物。 一家公司经理表示，生产流通瘫痪了半日，并补充说由于缺乏允许在没有电子文件的情况下发货的应急程序，导致了经济损失。 俄罗斯联邦动植物卫生监督局否认了关于系统长时间中断的报道，并于周四表示Mercury系统正在”照常运行”。截至周五，该机构的网站可以访问，但尚不清楚所有受影响的系统是否已完全恢复。 据报道，这是Mercury系统今年第四次遭遇攻击。在6月份，类似事件曾迫使乳制品生产商恢复使用纸质证书，由于区域分销中心和主要零售商难以应对供应中断，引发了物流混乱。 据当地乳制品行业协会称，一些零售商当时拒绝接收没有电子文件的产品，而监管机构不明确的指导也导致了供应商的困惑。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于周四发布了带外安全更新，以修复一个Windows Server Update服务中的严重漏洞。该漏洞的概念验证漏洞利用已公开，并且已在野外遭到积极利用。 相关漏洞为CVE-2025-59287（CVSS评分：9.8），这是WSUS中的一个远程代码执行漏洞。该漏洞最初由微软在上周发布的”补丁星期二”更新中进行了修复。 三位安全研究人员 MEOW、f7d8c52bec79e42795cf15888b85cbad 以及 CODE WHITE GmbH 的 Markus Wulftange 因发现并报告此漏洞而获得致谢。 该缺陷涉及WSUS中不受信任数据的反序列化问题，允许未经授权的攻击者通过网络执行代码。值得注意的是，该漏洞不影响未启用WSUS服务器角色的Windows服务器。 在一个假设的攻击场景中，远程未经身份验证的攻击者可以发送一个特制的事件，该事件会在”传统序列化机制”中触发不安全的对象反序列化，从而导致远程代码执行。 根据HawkTrace的安全研究员Batuhan Er的说法，该问题”源于发送到GetCookie()端点的AuthorizationCookie对象的不安全反序列化，其中加密的cookie数据使用AES-128-CBC解密，随后通过BinaryFormatter进行反序列化，但缺乏适当的类型验证，从而使得能够以SYSTEM权限执行远程代码。” 值得注意的是，微软自己此前曾建议开发人员停止使用BinaryFormatter进行反序列化，因为该方法在处理不受信任的输入时不安全。BinaryFormatter的一个实现随后在2024年8月的.NET 9中被移除。 “为全面解决CVE-2025-59287，微软已为以下受支持的Windows Server版本发布了带外安全更新：Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2022, 23H2版（Server Core安装）以及Windows Server 2025，”微软在一次更新中表示。 安装补丁后，建议执行系统重启以使更新生效。如果无法应用此带外更新，用户可以采取以下任一行动来防范该漏洞： 在服务器中禁用WSUS服务器角色（如已启用） 在主机防火墙上阻止对端口8530和8531的入站流量 “在安装更新之前，请勿撤销任何这些临时解决方案，”微软警告说。 此消息发布之际，荷兰国家网络安全中心表示，其从”可信合作伙伴处获悉，在2025年10月24日观察到了CVE-2025-59287的滥用行为。” 向NCSC-NL报告了此次野外利用的Eye Security表示，他们首次观察到该漏洞在UTC时间早上6:55被利用，目的是投递一个针对某未具名客户的Base64编码的有效载荷。该有效载荷是一个.NET可执行文件，”获取请求头’aaaa’的值并使用cmd.exe直接运行它。” “这是发送给服务器的有效载荷，它使用名为’aaaa’的请求头作为要执行命令的源，” Eye Security的首席技术官Piet Kerkhofs告诉The Hacker News。”这避免了命令直接出现在日志中。” 当被问及利用行为是否可能早于今天发生时，Kerkhofs指出，”HawkTrace的概念验证两天前就发布了，它可以使用标准的ysoserial .NET有效载荷，所以是的，利用所需的要素已经具备。” 网络安全公司Huntress也表示，他们检测到威胁行为者从大约UTC时间2025年10月23日23:34开始，针对公开暴露在其默认端口（8530/TCP和8531/TCP）上的WSUS实例。然而，该公司指出，由于WSUS通常不会暴露8530和8531端口，CVE-2025-59287的利用范围可能有限。 “攻击者利用暴露的WSUS端点发送特制请求（对WSUS Web服务的多个POST调用），触发了针对更新服务的反序列化远程代码执行，”该公司表示。 此次利用活动导致WSUS工作进程生成了”cmd.exe”和PowerShell实例，从而下载并执行了一个Base64编码的PowerShell有效载荷，目的是枚举暴露的服务器以获取网络和用户信息，并将结果外泄到攻击者控制的webhook[.]site URL。 “我们现在看到对微软WSUS服务中的预身份验证远程代码执行漏洞进行了无差别的野外利用，该漏洞在10月初被披露，” watchTowr的Benjamin Harris在一份声明中表示。”此漏洞的利用是无差别的。” “如果一个未打补丁的WSUS实例在线，那么在此阶段，它很可能已经被攻陷。在2025年，真的没有任何合法理由让WSUS可以从互联网访问——任何处于这种情况的组织可能需要指导来了解他们是如何陷入这种境地的。” “我们已经观察到8000多个实例暴露在外，包括极其敏感、高价值的组织。这不仅限于低风险环境——一些受影响的实体正是攻击者优先考虑的目标类型。” 当联系置评时，微软的一位发言人告诉该刊物：”我们在发现初始更新未能完全缓解该问题后重新发布了此CVE。已安装最新更新的客户已受到保护。” 该公司还强调，该问题不影响未启用WSUS服务器角色的服务器，并建议受影响的客户遵循其CVE页面上的指南。 鉴于概念验证漏洞利用的可用性和已检测到的利用活动，用户必须尽快应用补丁以减轻威胁。美国网络安全和基础设施安全局也已将该漏洞添加到其已知被利用漏洞目录中，要求联邦机构在2025年11月14日之前进行修复。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文