HackerNews

HackerNews 编译，转载请注明出处： HPE已修复其OneView软件中的一个最高严重性安全漏洞，如果被成功利用，可能导致远程代码执行。 这个被标记为CVE-2025-37164的关键漏洞，其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件，旨在简化IT运营并通过集中式仪表板界面控制系统。 HPE在本周发布的公告中表示：”已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用，允许远程未经身份验证的用户执行远程代码执行。” 该漏洞影响11.00版本之前的所有软件版本，而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。 值得注意的是，从6.60或更高版本升级到7.00.00版本后，或在执行任何HPE Synergy Composer重镜像操作后，必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2，提供了单独的热修复补丁。 尽管HPE未提及该漏洞在野外被利用的情况，但用户尽快应用补丁以获得最佳保护至关重要。 今年6月初，该公司还发布了更新，修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞，这些漏洞可能导致身份验证绕过和远程代码执行。此外，还发布了OneView 10.00版本，以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜相关联的黑客组织，已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中，该组织窃取金额至少达 20.2 亿美元。 区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示，这一数字较2024年的13亿美元增加6.81亿美元，同比增幅达 51%。该公司指出：“就被盗金额而言，2025年是朝鲜加密货币盗窃史上最严重的一年，其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前，朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。” 在朝鲜窃取的20.2亿美元中，仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor（又名 Jade Sleet、Slow Pisces）的黑客集群。哈德逊・罗克本月初发布的分析报告显示，一台感染了 Lumma Stealer恶意软件的设备，因关联邮箱 “trevorgreer9312@gmail [.] com”的存在，被证实与Bybit黑客攻击的基础设施相关联。 此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月，韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗，此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局，据估计，2020年至2023年间，该组织通过超25次加密货币盗窃，窃取了至少2亿美元。 黑客组织的双重作案策略 作为全球最活跃的黑客组织之一，朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者，以高薪工作为诱饵，诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性：一是收集敏感数据，二是规避国际制裁，为朝鲜政权赚取非法收入。 朝鲜黑客采用的第二种策略是，通过虚假身份或专门设立的幌子公司，将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限，为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出：“2025年盗窃金额创纪录，部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透，这种方式能加速初始访问和横向移动，为大规模盗窃铺路。” 资金洗白路径与相关案件判决 无论使用何种方法，被盗资金都会通过中文的钱款转移和担保服务，以及跨链桥、混币器和Huione等专门市场进行洗钱。此外，被盗资产遵循一种结构化的、多阶段的洗钱路径，该路径大约在黑客攻击后的45天内展开： 第一阶段：即时分层（0-5 天）—— 利用去中心化金融协议和混币服务，迅速将资金与盗窃源头脱钩； 第二阶段：初步整合（6-10 天）—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥； 第三阶段：最终整合（20-45 天）—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。 Chainalysis 表示：“朝鲜黑客大量使用专业中文洗钱服务和场外交易商，这表明他们与亚太地区的非法行为者联系紧密，也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。” 与此同时，美国司法部披露，马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划，被判处 15 个月监禁。2021 年至 2024 年间，该男子伪装其教育背景、培训经历和工作经验，成功受雇于至少 13 家美国公司，包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。 美国司法部表示：”Vong与他人合谋，包括一名住在沈阳、化名为William James的外国国民，欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后，Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。 值得注意的是，朝鲜关联黑客的 IT 人员渗透策略正发生转变：他们越来越多地以招聘者身份，通过 Upwork、Freelancer 等平台招募合作者，以扩大运作规模。 Security Alliance上月发布的报告指出：“这些招聘者会按照固定话术接触目标，寻求‘合作者’帮助投标和交付项目，并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中，受害者最终会交出自由职业者账户的完全访问权限，或安装 AnyDesk、Chrome 远程桌面等远程控制工具，这使得黑客能够以受害者的已验证身份和 IP 地址运作，规避平台审核并开展非法活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据奇安信XLab的研究，一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军，这些设备包括基于安卓系统的电视、机顶盒和平板电脑，并且可能与另一个名为 AISURU 的僵尸网络存在关联。 “Kimwolf是一个使用NDK编译的僵尸网络，” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外，它还集成了代理转发、反向Shell和文件管理功能。” 据估计，这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间，其一个C2域名曾登顶Cloudflare的全球前100域名榜单，甚至一度短暂超越谷歌。 Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球，其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而，恶意软件传播到这些设备的具体方式目前尚不清楚。 XLab表示，其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后，上月又发现了另外八个样本。 “我们观察到，Kimwolf的C2域名至少被未知方成功关闭了三次，迫使其升级策略，转而使用ENS来强化其基础设施，这展示了其强大的进化能力，” XLab研究人员说。 不仅如此，本月早些时候，XLab成功夺取了其中一个C2域名的控制权，从而得以评估该僵尸网络的规模。 Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联，后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测，攻击者在早期阶段重用了AISURU的代码，后来才选择开发Kimwolf僵尸网络以规避检测。 XLab表示，其中一些攻击可能并非仅来自AISURU，Kimwolf可能参与甚至主导了这些攻击。 “这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，” 该公司表示。”它们实际上属于同一个黑客组织。” 这一评估基于上传到VirusTotal平台的APK包的相似性，在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据：一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。 恶意软件本身相当直接。一旦启动，它会确保在受感染设备上只运行一个进程实例，然后继续解密嵌入的C2域名，使用基于TLS的DNS获取C2 IP地址，并连接到该地址以接收和执行命令。 截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术，该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址，旨在使其基础设施对打击行动更具弹性。 具体来说，这涉及到从事务的”lol”字段中提取IPv6地址，然后取该地址的最后四个字节，并用密钥”0x93141715″进行异或运算以得到实际的IP地址。 除了加密与C2服务器和DNS解析器相关的敏感数据外，Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言，该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据，攻击目标位于美国、中国、法国、德国和加拿大。 进一步分析确定，超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分，一个基于Rust的命令客户端模块被部署以形成代理网络。 同时分发给节点的还有ByteConnect SDK，这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。 “巨型僵尸网络起源于2016年的Mirai，感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上，” XLab表示。”然而，近年来，诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露，这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一场名为 GhostPoster 的新活动被发现利用 17款 Mozilla Firefox 浏览器扩展程序的 标志文件，嵌入旨在劫持联盟链接、注入追踪代码以及实施点击和广告欺诈的恶意JavaScript代码。 据发现此次活动的 Koi Security 称，这些扩展程序已被累计下载 超过5万次。目前相关插件已不可用。 这些浏览器程序被宣传为VPN、截图工具、广告拦截器以及非官方版本的谷歌翻译等。其中最早上架的扩展程序 Dark Mode 发布于2024年10月25日，声称能为所有网站启用深色主题。受影响的浏览器扩展程序完整列表如下： Free VPN Screenshot Weather (weather-best-forecast) Mouse Gesture (crxMouse) Cache – Fast site loader Free MP3 Downloader Google Translate (google-translate-right-clicks) Traductor de Google Global VPN – Free Forever Dark Reader Dark Mode Translator – Google Bing Baidu DeepL Weather (i-like-weather) Google Translate (google-translate-pro-extension) 谷歌翻译 libretv-watch-free-videos Ad Stop – Best Ad Blocker Google Translate (right-click-google-translate) 安全研究人员 Lotan Sery 和 Noga Gouldman 表示：”它们实际交付的是一个多阶段恶意软件载荷，会监控你浏览的所有内容，剥离浏览器的安全防护，并打开一个用于远程代码执行的后门。“ 攻击链始于加载上述任一扩展程序时获取其标志文件。恶意代码会解析该文件，寻找包含”===”标记的特定部分，以提取出JavaScript代码——一个加载器。该加载器会联系外部服务器以获取主载荷，每次尝试之间等待 48小时。 为进一步逃避检测，加载器被设定为仅在 10% 的情况下才去获取载荷。这种随机性是蓄意设计，旨在规避网络流量监控。 获取的主载荷是一个经过自定义编码的全面工具包，能够在受害者不知情的情况下通过四种方式从其浏览器活动中牟利： 联盟链接劫持：拦截指向淘宝、京东等电商网站的联盟链接，剥夺合法联盟会员的佣金。 追踪代码注入：向受害者访问的每个网页插入谷歌分析追踪代码，默默收集其用户画像。 安全标头剥离：从HTTP响应中移除如内容安全策略和X-Frame-Options等安全标头，使用户面临点击劫持和跨站脚本攻击风险。 隐藏Iframe注入：向页面注入不可见的iframe，加载攻击者控制服务器上的URL，用于广告和点击欺诈。 验证码绕过：采用多种方法绕过验证码挑战，规避机器人检测防护。 研究人员解释道：”为什么恶意软件需要绕过验证码？因为其部分操作（如隐藏iframe注入）会触发机器人检测。恶意软件需要证明自己是’人’才能继续运行。“ 除了概率检查，这些扩展程序还采用了基于时间的延迟，确保在安装超过六天后恶意软件才会激活。这些分层规避技术使得发现其幕后活动更加困难。 需要强调的是，并非所有上述扩展程序都使用完全相同的隐写攻击链，但它们都表现出相同的行为，并与相同的命令与控制基础设施通信，这表明这很可能是同一威胁行为者或组织所为，他们尝试了不同的诱饵和方法。 就在几天前，一款流行的适用于谷歌Chrome和微软Edge的VPN扩展程序被发现秘密收集ChatGPT、Claude和Gemini的AI对话，并将其外泄给数据代理商。而在2025年8月，另一款名为FreeVPN.One的Chrome扩展被发现收集屏幕截图、系统信息和用户位置。 “免费VPN承诺隐私，但天下没有免费的午餐，” Koi Security 评论道，”一次又一次，它们带来的是监控。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 无国界记者组织周三表示，其法医研究人员在一名白俄罗斯记者的手机上发现了一种此前未知的间谍软件工具。 该组织称，基于在反病毒平台上对比样本的分析，其认为该间谍软件至少自2021年起就已投入使用。这款被命名为”ResidentBat”的间谍软件能够访问通话记录、短信和加密应用程序信息、麦克风录音、本地存储的文件以及屏幕截图，主要用于攻击安卓手机。 据无国界记者组织新闻稿称，该记者和该组织均认为，间谍软件是在记者被白俄罗斯克格勃拘留期间安装的。手机在审讯期间被没收，当局一度强迫记者解锁手机。 类似威权政权在记者被警方或安全部门审讯时在其手机上安装间谍软件的案例最近在塞尔维亚和肯尼亚也有发生。 “威权政权利用拘留机会在手机上植入间谍软件的案例越来越多，”公民实验室的数字法证研究员约翰·斯科特-雷尔顿在社交媒体帖子中写道。”这项调查很重要，它提醒我们，独裁者并不总是需要零日漏洞。” 2024年12月，公民实验室报告称，他们在一名被指控支持乌克兰的俄罗斯程序员获释后，发现其手机被秘密植入了间谍软件。 这名白俄罗斯记者手机被感染的最近情况，是在其被拘留几天后手机上的反病毒软件标记出”可疑组件”后才得以曝光。该记者联系了东欧非营利组织RESIDENT.NGO，该组织随后与无国界记者组织共同分析了这部手机。 “通过部署ResidentBat等监控技术，白俄罗斯国家正在对独立新闻业实施蓄意的压制策略，”无国界记者组织的倡导与援助主任安托万·伯纳德在一份声明中说。”对其私人和职业生活进行系统性侵犯，相当于对新闻自由和基本权利进行直接且非法的攻击。” 在该组织进行的新闻自由调查中，白俄罗斯在180个国家和地区中排名第166位。 无国界记者组织表示已将其发现告知谷歌，这家科技巨头计划向所有被识别为该间谍软件活动目标的谷歌用户发送威胁通知。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“金狼”的全新巨型僵尸网络，其流量曾短暂超越谷歌，登上全球最热门网站榜首。研究人员警告，这个已控制约180万台安卓设备且仍在扩张的僵尸网络，有能力发动前所未有的网络攻击。 根据Cloudflare的数据，10月30日，一个奇怪的域名 14emeliaterracewestroxburyma02132[.]su 曾超越谷歌成为全球最受欢迎的网站。调查发现，这实际上是该僵尸网络用于协调数百万IP地址进行恶意活动的命令与控制服务器。 Xlab随后的调查揭露了这个被研究人员称为“金狼”的、“史上最疯狂”的僵尸网络。其规模已与迄今已知的最大僵尸网络“爱刷”相当甚至超越，而两者实际上共享部分代码库。研究人员通过抢先注册其中一个C2域名得以一窥其内部运作。在三天内，Xlab观测到了270万个不同的源IP地址。仅在12月4日一天，该僵尸网络就有183万个活跃IP地址。 Xlab保守估计，“金狼”由约180万台安卓设备组成，主要感染对象是部署在家庭网络中的电视盒子等安卓设备。这些设备很可能未经谷歌认证，因此缺乏Google Play保护。 获取的样本显示，“金狼”功能强大，除典型的DDoS攻击能力外，还集成了代理转发功能，使攻击者能隐藏真实位置并绕过基于IP的地理限制或黑名单。该恶意软件包含反向Shell，让攻击者能对受感染设备进行命令行访问，从而运行任意命令或部署额外恶意软件。此外，它还具备文件管理功能，能在设备间上传、下载和修改文件。 研究人员惊讶地发现，“金狼”与“爱刷”僵尸网络有关联，推测攻击者在早期阶段直接复用了“爱刷”的代码。但由于“爱刷”在安全产品中检测率较高，攻击者很可能因此重新设计了其隐匿和反检测能力。“金狼”使用了加密技术，并近期引入了利用区块链隐藏或动态获取恶意基础设施信息的“以太隐藏”技术。 该僵尸网络永不眠，受感染设备广泛分布于222个国家和地区的多个时区。按IP来源地统计，巴西约占14%，印度占12.71%，美国占9.58%，阿根廷占7.19%，南非占3.85%，菲律宾占3.58%，墨西哥占3.07%，中国占3.04%。 尽管无法直接测量，但通过观察两次大规模DDoS事件并与“爱刷”横向比较，研究人员认为“金狼”的攻击能力接近30Tbps。而当前的DDoS记录保持者“爱刷”单次攻击的最大吞吐量为29.7 Tbps。Xlab研究人员审查数据后确认“金狼”参与了攻击，并指出许多被归因于“爱刷”的攻击背后，可能并非其单独行动，“金狼”也参与其中，甚至可能是由“金狼”主导。这两个大型僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，实际上属于同一黑客组织。 尽管参与DDoS攻击，但发送给“金狼”僵尸网络的命令中，96.5%与提供代理服务相关。 对安全记者的“执念” “金狼”的运营者似乎有报复心理。他们甚至在Xlab研究人员调查期间发动了DDoS反制攻击，并在攻击载荷中嵌入针对中国人的攻击性信息。其他样本中还包含了硬编码的种族歧视言论、将金正恩称为最高领导人的政治观点、玩笑话，以及对知名安全记者布莱恩·克雷布斯的嘲讽。 Xlab指出，“金狼”经常在DDoS攻击载荷中包含各种嘲讽、挑衅甚至勒索信息。调查发现，“金狼”的作者对布莱恩·克雷布斯表现出近乎“偏执”的关注，在多个样本中留下了与其相关的“彩蛋”。连研究人员接管的域名中都包含了克雷布斯的名字。网络犯罪分子此前曾试图对其博客发动大规模DDoS攻击，但未成功。 打击行动进行中 Xlab接管攻击者C2服务器的行动似乎引发了后续ISP层面干预的“连锁反应”。其他第三方也处置了相关基础设施并停止了DNS解析。运营者被迫紧急升级C2基础设施，导致每日活跃僵尸设备数锐减至约20万台。然而，12月12日，“金狼”再次升级了基础设施，并傲慢地宣称：“我们有成百上千台服务器在持续尝试，哈哈！” Xlab研究人员敦促制造商改进整个供应链中安卓电视设备的安全性。用户应避免使用未经认证的低价杂牌安卓设备，设置强密码，及时应用固件更新，并避免下载来源不明的应用程序。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，一个多次被当局查封又屡次被攻击者恢复的数据泄露网站Breachforums上发布了攻击公告。攻击者吹嘘已侵入法国内政部，并窃取了多个存储敏感数据的政府系统信息。 黑客团队声称，此次攻击是对当局逮捕 “ShinnyHunters/hollow网络犯罪团伙成员的报复。此次泄露涉及超1640万法国人的信息，约占法国总人口的四分之一。 法国内政部向Cybernews证实，该部门遭遇“恶意入侵”，目前正在“最高级别”处理。据内政部称，初步技术调查显示，攻击者仅能查看有限数量的工作邮箱账户。 与此同时，《费加罗报》报道称，法国当局的初步调查显示，黑客很可能通过员工在邮件中明文分享的密码获取了凭证，从而访问了内政部的应用程序。 内政部称：“通过邮箱账户，攻击者获取了一些身份验证信息，进而访问了业务应用程序。目前正在分析以确定受影响数据的具体范围、性质和数量，尤其是哪些数据被泄露。”但现阶段仍不清楚攻击者具体访问了何种数据或是否窃取了详细信息。 内政部称已注意到Breachforums上的帖子，正在调查相关说法。所有必要措施正在采取以阻止此次入侵，并加强部委信息系统的整体安全。司法调查也在进行中，以期尽快识别并起诉肇事者。 攻击者声称了什么？ 攻击者最初声称此次黑客攻击涉及数百万法国公民的信息，并访问了犯罪记录处理系统、通缉人员档案库、国际刑警相关系统，以及内政部的财务和养老金计划数据集。虽然未具体说明可能泄露的数据类型，但据称被访问的数据集很可能包含大量敏感细节，从个人身份信息到犯罪记录和机密案件详情。内政部员工，包括警官，也可能受到影响。 其他报告指出，据称在数据泄露中暴露的1600万人是所有正在进行和过去司法程序中的嫌疑人和受害者。如果得到证实，此次攻击可能产生深远影响，因为大量敏感数据可能被外国政府和犯罪组织利用。 值得注意的是，这起所谓的对落网网络同伙的“报复”攻击也涉及金钱要求。攻击者给法国政府一周时间支付赎金以“删除”被盗数据，否则威胁将数据出售给其他网络犯罪分子。该消息后来从Breachforums上移除，网站显示“维护中”横幅。据攻击者称，他们因遭受DDoS攻击而被迫关闭论坛。 攻击者还透露，他们通过CHEOPS门户入侵了内政部，这是当局内部使用的通信系统。然而，并非所有人都相信攻击者确实获取了敏感信息。法国安全研究员、网络安全公司Predicta Labs的首席执行官巴蒂斯特·罗伯特指出，尽管攻击者声称大胆，但至今未提供任何数据样本作为证据。 攻击者上传了一张CHEOPS门户登录页面的截图，在用户密码输入处写有“WE ARE STILL HERE”。此外，还有一张模糊的身份证照片，暗示攻击者可能访问了一些警察的身份证件。罗伯特在X平台上用法语发帖质疑：“伙计们，你们甚至没有截一张自己在门户网站上认证的截图吗？这就是你们能展示的全部吗？”在后来的帖子中，这位安全研究员指出，虽然发生了严重的数据泄露，但目前没有迹象表明攻击者成功窃取了大量个人敏感数据。 过去的法国数据泄露事件 法国内政部的网络攻击并非该国首次遭遇重大数据安全事件。去年，Cybernews研究人员发现了一个暴露的数据库实例，包含超过9500万条记录，汇集了过去攻击中已知和未知的数据泄露。今年5月，Stormous勒索软件团伙在其暗网博客上发布了一个大型数据集，据称包含多个法国组织和机构的电子邮件和密码。 作为一个庞大而富裕的国家，法国经常成为网络犯罪分子的目标。仅今年，攻击者就针对法国旗舰航空公司法国航空、著名学府巴黎索邦大学以及法国足球联合会发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。此前ChatGPT披露了此次事件，近日该事件已波及到了Pornhub。黑客表示，他们掌握了Pornhub付费会员的浏览记录。 Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。 12月12日，Pornhub发布数据泄露通知称，其第三方数据分析服务商Mixpane遭遇攻击，导致部分付费会员信息受到影响。 尽管Pornhub声称自2021年起便已终止与Mixpanel的合作，但此次泄露的数据中仍包含“部分用户的少量分析事件记录”。 但Pornhub强调，此次泄露并未波及Pornhub付费会员系统。通知称：“用户的密码、账户凭证、支付信息以及身份证件信息均未遭到泄露或窃取。” Pornhub称，在收到Mixpanel的网络攻击通报后，它们已立即启动内部调查，以确定数据泄露的波及范围。 ShinyHunters黑客组织认领此次攻击 ShinyHunters已宣称对这起重大数据泄露事件负责。发给多家媒体的邮件显示，该网络犯罪团伙自上周起，已开始对Mixpanel的客户实施敲诈勒索。 随后，ShinyHunters向BleepingComputer证实，他们是这次勒索活动的幕后黑手，并坚称被盗数据集包含超过2亿条Pornhub用户记录，这些记录是通过发送给Mixpanel的分析事件收集的。 据报道，这些记录包括Pornhub付费会员的电子邮件地址、活动类型、位置、视频URL、视频标题、相关关键词以及显示活动发生时间的精确时间戳。ShinyHunters还声称该数据集包含用户的搜索历史。 受影响用户或面临花样勒索 网络安全公司ImmuniWeb首席执行官、欧洲刑警组织欧洲网络犯罪防御联盟成员伊利亚・科洛琴科在接受Cybernews采访时表示：“如果有关Pornhub 2.01亿条付费会员记录遭泄露的指控属实，那么这起数据泄露事件的恶劣程度或将超越2016年轰动一时的Adult Friend Finder数据泄露事件。” 科洛琴科指出，Adult Friend Finder数据泄露事件发生时，现代三重勒索策略尚未普及，但即便如此，该事件仍造成了毁灭性的现实后果。 这起事件“导致多人自杀、失业、家庭破裂，并引发多起政治丑闻，更不用说对受害者造成的长期心理创伤与精神损害”。 科洛琴科警告：“倘若此次Pornhub数据泄露事件的规模与发生时间果真如ShinyHunters所言，其后果可能比Adult Friend Finder事件更为严重，会对包括政客与名人在内的受害者造成难以挽回的伤害。” 网络敲诈手段正出现一种令人不安的全新升级趋势 “我们已经发现多起案例：网络犯罪团伙威胁受害者，若不支付赎金，就将窃取的受害者数据‘投喂’给主流大型大语言模型，对其进行数据污染。” 一旦此类数据进入人工智能训练数据库，造成的损害将极难消除。“当用户在AI聊天对话框中输入受害者姓名时，这些高度敏感的个人数据就可能出现在机器人的回复内容中。” 他补充道：“这种破坏性后果几乎无法彻底清除。即便聘请顶尖律师团队处理，受技术条件限制，完成全面清理工作也可能需要数周甚至数月时间。” 科洛琴科认为，这标志着数字敲诈进入了一个危险的新阶段。“2025 年，这类‘花样翻新’的敲诈手段愈演愈烈，一旦用户敏感数据遭窃取，受害者往往束手无策。” 他给出的结论一针见血：“总而言之，除非你能接受自己的数据登上低俗小报，再被AI聊天工具反复传播，否则切勿将个人信息托付给任何公司或第三方机构。” 黑客组织 ShinyHunters 是什么来头？ 该组织疑似成立于2020 年，是一个以英语为交流语言的黑客团伙，其成员据信主要藏身于美国和英国境内。ShinyHunters运营着臭名昭著的网络犯罪论坛Breached。今年9月，该团伙曾宣称入侵奢侈品牌开云集团，旗下拥有古驰、巴黎世家、亚历山大・麦昆等知名品牌，并盗取740万份客户数据文件。近期，该组织与另一黑客团伙Scattered Spider及LAPSUS$合并，组建名为Scattered LAPSUS$ Hunters的黑客联盟。 合并后的黑客组织已宣称入侵了戴尔、威瑞森电信、澳大利亚电信、莱卡移动通讯以及科威特航空等多家企业。 据该组织声称，累计窃取的用户记录已近10亿条，并扬言将公布包括谷歌、联邦快递、联合包裹、丰田、斯特兰蒂斯集团、阿迪达斯、迪士尼、家得宝等在内的 700 余家大型企业的数据。 OpenAI同样遭此毒手 11月底，OpenAI也曾证实，其第三方数据分析服务商 Mixpanel发生一起安全事件，导致其API平台的部分用户数据泄露。 OpenAI表示，该事件源于Mixpanel的系统内部，泄露的内容仅涉及部分API用户的少量分析数据，ChatGPT及其他产品的用户据称未受影响。 OpenAI方面称：“这并非OpenAI系统本身存在漏洞而引发的入侵事件。用户的聊天记录、应用程序编程接口请求内容、接口使用数据、密码、账户凭证、接口密钥、支付信息以及身份证件信息均未泄露或遭到窃取。” 在对该事件展开全面调查后，OpenAI已终止与Mixpanel 的合作，并再次强调，此次数据泄露并非由OpenAI系统存在安全漏洞导致。 OpenAI还补充道：“保障产品的安全性与用户隐私是我们的首要任务。我们将始终致力于保护用户信息，并在安全事件发生时，以公开透明的态度及时与用户沟通。” Mixpanel公开致歉 Mixpanel已就此次事件公开致歉，并在声明中表示，事件已得到有效控制。 这家数据分析公司在一份通知中称，其于2025年11月 8日检测到一起短信钓鱼攻击，随即启动应急响应机制。 Mixpanel表示，公司迅速采取行动“控制并消除非法访问风险”，锁定了受影响的账户，并邀请外部网络安全合作伙伴介入协助调查。 Mixpanel已直接向所有受影响的客户发送了通知。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  NoName057(16)，亦被称为05716nnm或NoName05716，已成为针对北约成员国和欧洲组织的重要威胁。 该组织起源于俄罗斯青年环境研究与网络监控中心内的一个秘密项目，自2022年3月以来一直积极实施分布式拒绝服务攻击。 该组织在俄罗斯联邦青年事务署领导层的支持下运作，并遵从俄罗斯政府利益的指导，已将自己定位为反对俄罗斯地缘政治目标的西方机构的主要网络威胁。 该组织的主要攻击能力依赖于DDoSia项目，这是一个通过Telegram频道招募志愿者的众包僵尸网络。 志愿者会获得易于使用的基于Go语言的攻击工具，并因其参与而获得加密货币奖励。这种基于志愿者的模式在针对不同目标扩大攻击规模方面已被证明非常有效。 DDoSia与传统僵尸网络的不同之处在于其简单性，使得技术专长有限的个人也能参与协调攻击。 到2024年，NoName057(16)通过与其他亲俄罗斯的黑客行动主义团体合作扩大了影响力，其中尤其值得注意的是”俄罗斯重生网络军”，该组织最终促成了Z-Pentest于2024年9月成立。 Picus Security的分析师发现了支撑DDoSia攻击基础设施的复杂两阶段通信协议。 技术机制 系统首先通过向命令与控制服务器的 /client/login 端点发送HTTP POST请求进行客户端认证，客户端在此过程中传输加密的系统信息，包括操作系统详情、内核版本和CPU规格。 在收到包含UNIX时间戳的200 OK响应（表明认证成功）后，客户端进入第二阶段，通过向 /client/get_targets 发送GET请求来获取目标配置。 该运营基础设施采用了旨在规避检测和缓解的弹性多层架构。第一层由面向公众的命令与控制服务器组成，直接与DDoSia客户端通信，这些服务器的平均寿命约为9天，不过许多会每日轮换。 第二层后端服务器维护核心逻辑和目标列表，其访问权限通过访问控制列表严格控制，仅允许来自授权第一层服务器的连接。 这种隔离确保了即使第一层节点被识别和封锁，核心基础设施仍能保持运行。 分析显示其运营节奏很快，平均每天攻击50个独特目标，且活动模式与俄罗斯标准工作时间高度相关。 乌克兰遭受的攻击占比最大，为29.47%，其次是法国（6.09%）、意大利（5.39%）、瑞典（5.29%）和德国（4.60%）。政府部门占攻击目标的41.09%，交通和电信部门也受到严重影响。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型基于互联网的攻击正在将太阳能电力基础设施转变为高风险目标，使黑客仅需利用开放的端口和免费工具就能在几分钟内中断能源生产。 现代太阳能电站依赖网络化的运营技术，包括SCADA控制器和组串监测箱，其中许多设备仍使用Modbus协议。这是一种遗留协议，没有内置安全功能。 当这些设备暴露在互联网上时，攻击者可以远程发送控制命令，在晴朗的天气里仅用一个数据包就能切断电力。 Cato Networks的分析师注意到，针对直接控制太阳能电池板输出的启用Modbus的组串监测箱，存在大规模侦察和利用尝试。 通过滥用通常暴露在502端口的TCP上的Modbus协议，对手可以读取设备状态，然后翻转控制位来开启或关闭组串。 这种风险不需要零日漏洞或复杂的负载，它来自于默认开放的服务和设计上就不安全的协议。一旦攻击者识别出一台可访问的设备，从首次探测到造成电力中断的时间可以从几天缩短到几分钟。 Cato Networks的研究人员发现，当这些攻击与能够自动扫描、指纹识别和针对OT资产进行命令注入的智能体AI框架结合时，其影响范围会进一步扩大。 AI驱动的工具可以快速扫描大范围IP地址，发现暴露的Modbus服务，并以机器速度测试可写的寄存器。这改变了太阳能电站运营者的威胁模型，因为人类防御者在监控和响应方面难以跟上这种速度。 来源分析凸显了薄弱点：组串监测箱。它使用Modbus协议，并将光伏组串连接到SCADA”大脑”。一旦这个箱子被入侵，攻击者实际上就变成了一个恶意SCADA操作员。 他们可以使用简单的Modbus功能码来读取电压和电流的保持寄存器，然后写入改变系统状态的线圈或寄存器值。在许多部署中，这些箱子位于扁平网络上，IT和OT之间没有分段，这使得横向移动更加容易。 基于Modbus的命令级操控 该威胁的核心是通过Modbus/TCP直接操控寄存器。攻击者首先使用Nmap的Modbus NSE脚本进行基本发现，以确认主机在502端口上运行Modbus并枚举设备ID。 用于OT侦察的典型Nmap命令如下所示： nmap -sV -p 502 --script modbus-discover <目标IP> 这一步显示了哪些单元ID会响应以及支持哪些功能码。然后，攻击者会转向使用如mbpoll或modbus-cli等工具来读写寄存器。 例如，恶意操作员可以通过向一个控制寄存器写入特定值来尝试关闭一个光伏组串： mbpoll -m tcp -t 0 -r 0xAC00 -0 1 <目标IP> # 0xAC00 映射为"关闭" 在已有案例中，像0xAC00和0xAC01这样的寄存器分别被映射为”关闭”和”开启”。 通过循环这些命令，攻击者可以快速切换组串、给逆变器施加压力，或者在电站保持在线的情况下静默地降低发电量。 当这些操作被封装在AI驱动的逻辑中时，脚本可以持续探测是否接受指令、重试失败的写入，并适应部分防御措施，将简单的寄存器修改转变为可靠、可重复的漏洞利用。 Cato Networks的报告通过一个关于暴露的Modbus端口502的真实世界警报强调了这个问题，该警报被评为高风险，并与过于宽松的防火墙规则有关。 总之，这些发现全面、技术性地解析了太阳能资产上暴露在互联网的Modbus服务如何被利用，从而导致快速、高影响的电网中断。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款拥有”精选”徽章和六百万用户的 Google Chrome 扩展程序，被发现在用户不知情的情况下，收集他们输入到各类人工智能聊天机器人的所有提示词，包括 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。 这款有问题的扩展程序是 Urban VPN Proxy，在 Google Chrome 网上应用店的评分为 4.7 星。它被宣传为”访问任何网站的最佳安全免费 VPN，并能解锁内容”。其开发者是一家位于特拉华州、名为 Urban Cyber Security Inc. 的公司。在 Microsoft Edge 加载项市场中，它拥有 130 万次安装。 尽管声称允许用户”保护您的在线身份、保持安全并隐藏您的 IP 地址”，但在 2025 年 7 月 9 日，当版本 5.5.0 发布时，一项更新被推送给了用户。该版本默认启用了通过硬编码设置实现的 AI 数据收集功能。 具体而言，这是通过一个定制的执行器 JavaScript 来实现的，该脚本会针对每个目标 AI 聊天机器人（例如 chatgpt.js、claude.js、gemini.js）触发，以拦截和收集安装了该扩展程序的用户每次访问任何目标平台时的对话。 一旦脚本被注入，它会覆盖用于处理网络请求的浏览器 API——fetch() 和 XMLHttpRequest()——以确保每个请求首先通过扩展程序的代码路由，从而捕获对话数据，包括用户的提示词和聊天机器人的回复，并将其外泄到两个远程服务器（”analytics.urban-vpn[.]com” 和 “stats.urban-vpn[.]com”）。 该扩展程序捕获的具体数据列表如下： 用户输入的提示词 聊天机器人的回复 对话标识符和时间戳 会话元数据 使用的 AI 平台和模型 “Chrome 和 Edge 扩展默认会自动更新，” Koi Security 的 Idan Dardikman 在今天发布的一份报告中表示。”那些为了其宣称的 VPN 功能而安装了 Urban VPN 的用户，某天醒来时会发现新代码正在悄悄收集他们的 AI 对话记录。” 值得一提的是，截至 2025 年 6 月 25 日，Urban VPN 更新的隐私政策提到，它收集这些数据是为了增强安全浏览功能和用于营销分析，并且对所收集的 AI 提示词进行的任何其他二次使用都将在去标识化和匿名化的数据上进行—— “作为浏览数据的一部分，我们将收集最终用户查询或由 AI 聊天提供方生成的提示词和输出。也就是说，我们只对 AI 提示词和您与聊天 AI 互动的结果感兴趣。由于 AI 提示词所涉数据的性质，可能会处理一些敏感的个人信息。然而，此处理的目的并非收集个人或可识别数据。我们无法完全保证去除所有敏感或个人信息，但我们采取措施过滤或消除您可能通过提示词提交的任何标识符或个人数据，并对数据进行去标识化和聚合处理。” 与其共享”网络浏览数据”的第三方之一，是一家名为 BIScience 的关联广告情报和品牌监测公司。该 VPN 软件制造商指出，该公司使用原始（非匿名化）数据来创建”用于商业用途并与商业合作伙伴共享”的洞察报告。 值得注意的是，BIScience在今年 1 月初曾被一名匿名研究员点名，因其在具有误导性的隐私政策披露下，收集用户的浏览历史记录（或称点击流数据）。 据称，该公司向合作的第三方扩展开发者提供软件开发工具包，以收集用户的点击流数据，这些数据被传输到其控制下的 sclpfybn[.]com 域名及其他端点。 “BIScience 及其合作伙伴利用了 Chrome 网上应用店政策中的漏洞，主要是有限使用政策中列出的例外情况，即’批准的用例’，” 该研究员指出，并补充说他们”开发了据称需要访问浏览历史记录的用户端功能，以主张’为提供或改进您的单一目的所必需’的例外情况。” 在扩展程序的列表页面上，Urban VPN 还突出宣传了一项”AI 保护”功能，据称可以检查提示词是否包含个人数据，检查聊天机器人的回复中是否有可疑或不安全链接，并在用户提交提示词或点击链接前显示警告。 虽然这种监控被包装为防止用户意外分享任何个人信息，但开发者未提及的是，无论此功能是否启用，数据收集都会发生。 “该保护功能偶尔会显示关于与 AI 公司共享敏感数据的警告，” Dardikman 说。”而收集功能却将那些完全相同的敏感数据——以及其他所有内容——发送到 Urban VPN 自己的服务器，在那里被出售给广告商。该扩展程序警告您不要与 ChatGPT 共享您的电子邮件，同时却将您的整个对话内容外泄给数据中间商。” Koi Security 表示，他们在同一发布者的另外三款 Chrome 和 Microsoft Edge 扩展中也观察到了完全相同的 AI 数据收集功能，这使得其总安装基数超过八百万： 1ClickVPN Proxy Urban Browser Guard Urban Ad Blocker 所有这些扩展程序（Edge 版的 Urban Ad Blocker 除外）都带有”精选”徽章，给用户一种印象，即它们遵循了平台的”最佳实践，并符合高标准的用户体验和设计”。 “这些徽章向用户表明，这些扩展程序已经过审核并符合平台质量标准，” Dardikman 指出。”对许多用户来说，精选徽章是决定安装还是忽略一个扩展程序的关键——这是来自 Google 和 Microsoft 的隐含认可。” 这些发现再次表明，与扩展程序市场相关的信任如何被滥用以大规模收集敏感数据，尤其是在用户越来越多地与 AI 聊天机器人分享深度个人信息、寻求建议和讨论情感的时候。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队披露了一项”长达数年”的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。 此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。 亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。 亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示：”这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。” 已发现这些攻击在五年期间利用了以下漏洞和策略： 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318），并针对配置不当的边缘网络设备。 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084 和 CVE-2023-22518），并持续针对配置不当的边缘网络设备。 2024年：利用Veeam漏洞（CVE-2023-27532），并持续针对配置不当的边缘网络设备。 2025年：持续针对配置不当的边缘网络设备。 根据亚马逊的说法，此次入侵活动主要针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台以及基于云的项目管理系统。 考虑到威胁行为者有能力将自己战略性地部署在网络边缘以截取传输中的敏感信息，这些努力很可能是为了大规模窃取凭据。遥测数据还发现了一些被描述为针对亚马逊网络服务（AWS）基础设施上托管的配置不当客户网络边缘设备的协同攻击尝试。 “网络连接分析显示，由攻击者控制的IP地址与运行客户网络设备软件的受入侵EC2实例建立了持久连接，”摩西说。”分析揭示了与跨多个受影响实例的交互式访问和数据检索相一致的持久连接。” 此外，亚马逊表示观察到针对受害组织在线服务的凭据重放攻击，作为试图更深入渗透目标网络的一部分。尽管评估认为这些尝试并未成功，但它们进一步证实了上述假设，即对手正在从受入侵的客户网络基础设施中窃取凭据，用于后续攻击。 整个攻击过程如下： 入侵托管在AWS上的客户网络边缘设备。 利用本机数据包捕获功能。 从截获的流量中收集凭据。 针对受害组织的在线服务和基础设施重放凭据。 建立持久访问以进行横向移动。 凭据重放攻击的目标遍及北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。 “攻击目标显示了对能源行业供应链的持续关注，包括直接运营商和有权访问关键基础设施网络的第三方服务提供商，”摩西指出。 有趣的是，该入侵集群的基础设施（91.99.25[.]54）与Bitdefender追踪的另一个名为”Curly COMrades”的集群存在重叠，该集群被认为自2023年底以来一直与俄罗斯利益保持一致。这增加了两种集群可能代表GRU开展的更广泛行动中互补操作的可能性。 摩西说：”这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久化和逃避——符合GRU由专门子集群支持更广泛行动目标的运作模式。” 亚马逊表示已识别并通知了受影响的客户，同时阻止了针对其云服务的活跃威胁行为者操作。建议组织审计所有网络边缘设备是否有异常的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭据重放攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国内政部长洛朗·努涅斯周五宣布，威胁行为者入侵了内政部的电子邮件服务器。 此次攻击是在12月11日至12日夜间被发现的。根据法国内政部长的说法，攻击者访问了一些文档文件，但数据是否被盗尚未得到证实。 努涅斯对RTL电台表示：”发生了一起网络攻击。攻击者能够访问一些文件……但没有证据表明这些文件被严重泄露。” 努涅斯补充说，政府已对此事件展开调查，目前调查仍在进行中。 他补充道：”我们没有发现严重泄露的证据。我们正在进行调查，包括司法调查，最重要的是，我们提高了安全级别。我们所有人员访问信息系统的程序都已收紧。” 法国内政部长没有分享有关此次攻击的技术细节。 针对此次安全漏洞，内政部加强了安全措施，并强化了其所有信息系统的访问控制。 当局正在探讨此次网络攻击的所有可能性，包括外国干涉、黑客活动主义或网络犯罪，调查正在进行以确定其来源。 今年4月，法国政府将一项针对十几个法国实体的、长达四年的黑客攻击活动归咎于与俄罗斯有关的APT28组织。法国政府透露，这个与俄罗斯有关的APT28组织攻击或入侵了十几个政府组织和其他法国实体。2024年，据观察该组织攻击了OT组织，并与针对亚洲和欧洲60个实体的网络攻击有关联。 自2021年以来，APT28一直针对或入侵法国的部级机构、地方政府、国防科技工业基础部门、航空航天、研究机构、智库和金融实体。2024年，其攻击主要针对政府、外交和研究部门，其中一些攻击活动专门针对法国政府组织。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  委内瑞拉国有石油公司——委内瑞拉石油公司（PDVSA）上周末遭遇网络攻击，扰乱了其出口业务。 委内瑞拉国有石油公司PDVSA上周末遭遇网络攻击，出口业务受到干扰。该公司表示，该事件仅影响部分行政系统，未影响运营。 该公司在Telegram上发布的一份声明中称：”得益于PDVSA专业人才的技术能力，运营区域未受到任何影响；攻击仅限于其行政系统。” PDVSA表示，安全协议防止了供应或出口中断，并将此次网络事件定性为一次试图的侵犯行为，与美国涉嫌企图扣押委内瑞拉石油有关。 声明继续写道：”我们坚决反对这种由外国势力策划的可耻行径。” 委内瑞拉政府将此次安全事件定性为企图攻击”主权能源发展的权利”。声明最后称：”必须指出，这已不是美国政府联合极端主义势力首次试图破坏国家稳定，夺走委内瑞拉人民的圣诞节。” PDVSA指示员工关闭电脑、断开外部设备连接、禁用WiFi和Starlink，同时加强了其设施的安全措施。 彭博社报道称：”知情人士引述看到的一份内部备忘录称，PDVSA告诉员工关闭电脑，断开外部硬件连接，并切断WiFi和Starlink连接。自周日以来，公司设施的安全措施也得到了加强。””该公司周一在一份声明中表示，已挫败了一起旨在扰乱其运营的’破坏企图’。声明补充说，石油产量未受影响。” 这种应对措施通常与正在进行的勒索软件攻击有关。PDVSA的一位消息人士告诉路透社，该公司几天前检测到勒索软件攻击，而杀毒软件的修复措施最终导致整个行政系统瘫痪。 一位公司消息人士告诉路透社：”（货物）无法交付，所有系统都瘫痪了。” 此次网络攻击发生之际，正值委内瑞拉和美国之间紧张局势升级，此前美国最近扣押了一艘运载委内瑞拉原油的受制裁油轮，这是自2019年美国外国资产控制办公室（OFAC）制裁PDVSA以来的首次。PDVSA指责美国及其国内合作者策划了此次攻击以破坏该国稳定，声称这是夺取委内瑞拉石油战略的一部分。该国有石油公司强烈反对所谓的侵犯行为，将其定性为对委内瑞拉主权能源发展的攻击。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  在遭受勒索软件攻击仅三个月后，朝日集团控股正考虑对其网络安全架构进行重大调整。 这家日本酿酒巨头的首席执行官胜木淳于12月15日向彭博社表示，已决定将网络安全提升为最高管理优先级，并考虑在集团内部设立专门的网络安全部门。 此项决策源于今年9月发生的勒索软件攻击事件，该事件导致包括150万朝日客户在内的200万人个人信息泄露，并引发至少持续至2026年2月的运营中断。 自称Qilin的勒索软件组织发动的此次攻击，入侵了朝日集团的核心系统，对运行中的服务器进行加密并感染了网络内的员工设备。这严重干扰了其在日本的关键业务运营，迫使公司暂时中止自动化订单处理和发货流程。 “我们原以为已采取充分防护措施，但它们轻易就被攻破了，”胜木在接受彭博社视频采访时承认道。 作为预计持续至明年2月的恢复计划的一部分，朝日集团控股正着手淘汰虚拟专用网络的使用，转而采用更严格的零信任模型——该模型假定网络内部的任何用户或设备均不可自动信任。 胜木淳还表示，公司应在2月后转向“重建阶段”。他补充道：“我们不仅致力于将发货量恢复至以往水平，更力求实现超越。” 此次网络攻击的首波财务影响现已显现：朝日集团控股在2025年11月的日本酒类销售额同比下滑20%。受9月29日网络攻击引发的系统中断影响，该公司已推迟披露其运营销售业绩。 由于网络攻击对系统造成的持续影响，该公司已暂停按类别和品牌发布月度销售数据。11月是其连续第三个月跳过此类披露，理由是无法准确汇编相关数据。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  英国信息专员办公室（ICO）对LastPass UK处以120万英镑罚款，此前该公司发生的数据泄露事件影响了160万人。 根据英国数据保护监管机构的调查，这家密码管理公司未能实施足够健全的技术和安全措施，导致黑客得以入侵其备份数据库。 由此引发了两起发生在2022年8月的事件。在第一起事件中，黑客获取了一名LastPass员工的公司笔记本电脑，并随后访问了公司的开发环境。 尽管攻击者未能成功窃取个人信息，但他们确实窃取了加密的公司凭证。LastPass当时认为加密密钥仍然安全，因为它们存储在黑客无法访问的公司网络某处。 随后，威胁行为者盯上了一名拥有解密密钥权限的高级员工。他们通过第三方流媒体服务的已知漏洞，成功访问了该员工的个人设备。为获取该员工的公司凭证，攻击者安装了键盘记录程序，并通过使用受信任设备Cookie绕过了多重身份验证。 获得员工的”主密码”后，黑客得以访问该员工的个人和商业LastPass保管库，其中包含亚马逊网络服务访问密钥和解密密钥。结合所收集的所有信息，攻击者最终提取了备份数据库的内容，该库包含160万人的个人信息，涵盖姓名、电子邮件、电话号码及存储的网站URL等。 ICO调查发现，由于LastPass的”零知识”加密系统，没有证据表明加密密码和其他凭证能被黑客解密。这意味着访问密码管理器保管库的主密码仅存储在员工的本地设备中，从未与LastPass共享。 针对这些事件及数据泄露造成的影响，ICO对LastPass处以120万英镑罚款。 英国信息专员约翰·爱德华兹在声明中表示：”LastPass用户有权期待其委托给公司的个人信息得到安全保护。然而，该公司未能达到这一预期，因此今天我们宣布了相应比例的罚款。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起活跃钓鱼活动的细节，该活动通过投递恶意ISO光盘镜像传播Phantom窃取程序，广泛针对俄罗斯多个行业领域。这项被Seqrite实验室代号为”Operation MoneyMount-ISO”的行动，主要锁定金融和会计实体，采购、法律、薪资等垂直领域成为次要目标。 这家网络安全公司表示：”该活动采用虚假支付确认诱饵，通过多阶段附件链传递Phantom信息窃取恶意软件。” 感染链始于伪装成合法财务通讯的钓鱼邮件，催促收件人确认近期银行转账。邮件附带的ZIP压缩包声称包含补充细节，实则内含ISO文件，启动后将在系统上挂载为虚拟CD驱动器。 该ISO镜像（”Подтверждение банковского перевода.iso”或”银行转账确认.iso”）作为可执行文件，旨在通过嵌入的DLL（”CreativeAI.dll”）启动Phantom窃取程序。Phantom窃取程序能够从基于Chromium的浏览器中安装的加密货币钱包浏览器扩展及桌面钱包应用提取数据，同时窃取文件、Discord身份验证令牌，以及浏览器相关密码、Cookie和信用卡详情。 它还能监控剪贴板内容、记录键盘输入，并运行系列检测以识别虚拟化、沙箱或分析环境，若检测到则中止执行。数据外泄通过Telegram机器人或攻击者控制的Discord网络钩子实现。此外，该窃取程序支持向FTP服务器传输文件。 近几个月来，俄罗斯组织（主要是人力资源和薪资部门）还遭受了另一类钓鱼邮件攻击，这些邮件利用与奖金或内部财务政策相关的诱饵，部署名为DUPERUNNER的未公开植入程序，用于加载开源命令控制框架AdaptixC2。 这项被命名为DupeHike的活动被归因于威胁集群UNG0902。Seqrite指出：”ZIP文件被用作鱼叉式网络钓鱼感染的初步来源，内含PDF和LNK扩展名的诱饵文件，下载植入程序DUPERUNNER，最终执行Adaptix C2信标。”LNK文件（”Документ_1_О_размере_годовой_премии.pdf.lnk”或”Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”）进而使用”powershell.exe”从外部服务器下载DUPERUNNER。该植入程序的主要职责是检索并显示诱饵PDF，并通过将其注入”explorer.exe”、”notepad.exe”和”msedge.exe”等合法Windows进程来启动AdaptixC2。 其他钓鱼活动则针对俄罗斯金融、法律和航空航天领域，分发Cobalt Strike及Formbook、DarkWatchman、PhantomRemote等能够实施数据窃取和键盘操控的恶意工具。已遭入侵的俄罗斯公司邮件服务器被用于发送鱼叉式钓鱼信息。 法国网络安全公司Intrinsec将针对俄罗斯航空航天行业的入侵活动归因于与乌克兰利益一致的黑客行动者。该活动于2025年6月至9月间被发现，与Hive0117、Operation CargoTalon及Rainbow Hyena（又称Fairy Trickster、Head Mare和PhantomCore）存在重叠。部分攻击还被发现会将用户重定向至托管在星际文件系统（IPFS）和Vercel上的钓鱼登录页面，旨在窃取与Microsoft Outlook及俄罗斯航空航天公司Bureau 1440相关的凭证。 Intrinsec表示：”2025年6月至9月间观测到的这些活动……旨在入侵在当前俄乌冲突中积极与俄罗斯军队合作的实体，这些实体大多受到西方制裁。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发生的两起金融机构数据泄露事件，导致数百万人的敏感个人信息遭到曝光。 在总部位于旧金山的金融科技公司Prosper Marketplace遭遇的安全事件中，超过1300万人的信息被黑客获取。该公司上周就此次网络攻击发布声明，并于本月向多个州监管机构发送通知——该攻击最初于9月1日被发现。 Prosper已通报执法部门，调查显示黑客在2025年6月至8月期间获取了包含个人信息的资料。公司声称”没有证据表明客户账户和资金遭到未经授权的访问”。但失窃信息涵盖姓名、社会安全号码、国家身份证号、银行账户号码、财务申请信息、驾照号码、结婚/出生证明、护照号码、税务信息及支付卡号码等核心数据。 据统计，得克萨斯州超110万人、南卡罗来纳州23.6万人、华盛顿州24.9万人受到影响。Prosper发言人确认共有1310万人受此次数据泄露影响。 成立于2005年的Prosper以点对点借贷业务为核心，累计已为超200万人提供280亿美元个人贷款。公司现为事件受害者提供两年身份保护服务，截至本周一尚未有黑客组织宣称负责。 另一起事件中，汽车经销商服务商700Credit于上周五披露，10月25日发生的数据泄露影响了5,836,521人。这家为汽车经销商提供信用报告、合规产品、身份验证和欺诈检测解决方案的密歇根州公司表示，IT团队在事发当日发现黑客复制了其系统内的信息，包括姓名、社会安全号码、出生日期和地址等敏感数据。 该公司在声明中强调：”事件发生后迅速启动调查响应，评估系统安全性并识别潜在受影响人员，已向联邦执法部门和联邦贸易委员会通报情况。”目前正为受害者提供一年身份保护服务。 值得注意的是，此次披露发生在华尔街刚经历房地产贷款服务商SitusAMC网络攻击的三周后。过去24个月内，已发生数十起针对Patelco、Mr. Cooper等金融机构的网络安全事件，凸显金融行业正面临持续严峻的数据安全挑战。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PCPcat的新型恶意软件，通过针对性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小时内成功攻陷了 5.9 万余台服务器。 该恶意软件以 Next.js 部署环境为攻击目标，利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，实现无需身份验证的远程代码执行。攻击过程采用原型污染（prototype pollution）和命令注入（command injection）技术，在易受攻击的服务器上执行恶意命令。 这场攻击活动的成功率高达64.6%，在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序，每批次测试2,000个目标，每30至60分钟运行一次此类扫描。 该恶意软件通过位于新加坡的一个命令控制服务器进行操作，该服务器协调着三个主要端口上的活动。 666 端口：恶意载荷分发中心 888 端口：处理反向隧道连接 5656 端口：运行主控制服务器，负责分配攻击目标并收集窃取的数据 安全研究人员在对 Docker 蜜罐进行持续监控时，通过对 C2 服务器的侦察，发现了该攻击行动的完整基础设施。 Beelzebub 的安全分析师指出，恶意软件在启动完整攻击链前，会先通过一条简单命令测试目标服务器是否存在漏洞。 一旦发现易受攻击的服务器，PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件，并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。 窃取凭证后，恶意软件会尝试安装额外工具以维持长期控制，具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道，即便初始漏洞被修复，攻击者仍可保持访问权限。 漏洞利用机制与代码执行流程 攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷，该载荷通过操纵 JavaScript 原型链，将命令注入子进程执行函数。恶意载荷结构如下： 该载荷可强制服务器执行攻击者指定的任意命令，执行结果会通过特殊格式的重定向响应头返回，使恶意软件能在不引发即时警觉的情况下提取数据。 随后，PCPcat 会系统性搜索高价值文件，包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。 为实现持久化控制，恶意软件会创建多个系统服务，这些服务在被终止或服务器重启后会自动重启，持续运行代理工具和扫描工具，使受攻陷服务器始终处于僵尸网络中。 相关组件会安装在多个位置，确保至少有一个副本能在安全清理操作中幸存。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文