HackerNews

HackerNews 编译，转载请注明出处：   美国网络安全与基础设施安全局（CISA）周二将影响微软合作伙伴中心（Microsoft Partner Center）和 Synacor Zimbra 协作套件（ZCS）的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 这两个漏洞分别是： CVE-2024-49035（CVSS 评分：8.7）：微软合作伙伴中心的一个不当访问控制漏洞，允许攻击者提升权限。（已于 2024 年 11 月修复） CVE-2023-34192（CVSS 评分：9.0）：Synacor ZCS 的一个跨站脚本（XSS）漏洞，允许远程认证攻击者通过特制脚本向 /h/autoSaveDraft 函数执行任意代码。（已于 2023 年 7 月通过 8.8.15 补丁 40 修复） 去年，微软确认 CVE-2024-49035 已在野外被利用，但未透露其在实际攻击中如何被武器化的更多细节。目前尚无 CVE-2023-34192 在野外被利用的公开报告。 鉴于此情况，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 18 日之前应用必要的更新，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露，提供了前所未有的视角，揭示了他们的策略和成员之间的内部冲突。 这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行，于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露，该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。 Black Basta 最初在 2022 年 4 月受到关注，当时他们使用现已基本停用的 QakBot（又名 QBot）作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告，这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 据 Elliptic 和 Corvus Insurance 估计，到 2023 年底，这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。 瑞士网络安全公司 PRODAFT 表示，这个以经济利益为动机的威胁行为者（也被称为 Vengeful Mantis）由于内部纷争，自今年年初以来基本处于不活跃状态，其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。 更糟糕的是，与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS（又名 Nurturing Mantis）和 Akira 勒索软件行动。 “内部冲突是由‘Tramp’（LARVA-18）驱动的，他是一名已知的威胁行为者，运营一个负责传播 QBot 的垃圾邮件网络，”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物，他的行为在该团伙的不稳定中起到了重要作用。” 泄露的聊天记录包含近 200,000 条消息，其中一些关键内容如下： Lapa 是 Black Basta 的主要管理员之一，负责管理任务。 Cortes 与 QakBot 团伙有关联，该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。 YY 是 Black Basta 的另一名管理员，负责支持任务。 Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名，他还使用 GG 和 AA 这两个名字。 Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。 据信，Black Basta 的一名成员是一名 17 岁的未成年人。 在 Scattered Spider 成功后，Black Basta 开始积极将社会工程学纳入其攻击手段。 据 Qualys 称，Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示，SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用，通常依赖默认的 VPN 凭证或暴力破解被盗凭证。 目前，Black Basta 尚未发布这些漏洞的补丁。在此期间，使用受影响系统的组织应采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件应用严格的文件权限。 避免记录敏感的会话相关数据。 在存储前加密敏感数据。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用受影响系统的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国领先的背景审查和药物及酒精检测公司 DISA Global Solutions 遭遇了一起数据泄露事件，影响了 330 万人。 今年 1 月，该公司首次披露了一起发生在 2024 年 2 月 9 日至 4 月 22 日的网络安全事件，该公司在 4 月 22 日发现了这起数据泄露事件。 本月早些时候，DISA 表示，威胁行为者可能访问了存储在其系统中的敏感数据，但没有证据表明数据进一步传播或被滥用。 今天，该公司确认，在进一步调查后，确定有 3332750 人的敏感数据在这次网络攻击中被泄露。 DISA 在各个行业拥有超过 55000 家客户，其中 30% 的财富 500 强公司依赖该公司的服务。因此，这起数据泄露事件可能在全国范围内产生深远影响。 “我们写这封信是为了通知您，DISA 发生了一起可能涉及您部分个人信息的事件，这些信息是由于您可能为当前或 former 雇主或 prospective 雇主完成的员工筛查服务而被我们获取的，”这是发给受影响个人的通知内容。 DISA 在与当局共享的样本信中没有披露未经授权的一方访问了哪些类型的信息。然而，在其网站上发布的一份通知中，列出了以下信息： 全名 社会安全号码 驾驶证号码 政府身份证号码 金融账户信息 其他数据元素 虽然目前尚不清楚 “其他数据元素” 具体包括哪些内容，但由于该公司提供的服务类型，DISA 通常处理个人身份信息、联系方式、就业和教育历史、犯罪和背景审查、药物和酒精检测数据、医疗和健康相关数据等。 尽管 DISA 没有透露他们遭受了何种类型的网络攻击，但一份已被删除的通知表明，他们支付了赎金以防止被盗数据被公开发布。 “DISA 的数据未在暗网上被发现。DISA 表示已 ‘采取措施阻止威胁行为者公开发布任何获取的数据，并确认数据已被删除’，”这份已被删除的通知副本中写道。 为了保护受影响的人免受数据泄露带来的风险，DISA 通过 Experian 提供 12 个月的免费信用监控和身份盗窃保护服务。 还建议可能受影响的个人考虑对他们的账户设置欺诈警报和安全冻结，以防范潜在风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   mozilla 已经重申了其承诺，将继续支持 Manifest V2 扩展程序，同时引入 Manifest V3，让用户能够自由选择他们想要在浏览器中使用的扩展程序。 Manifest V3 是谷歌开发的浏览器扩展程序规范，旨在通过限制过于宽松的网络请求和远程内容加载，使网络浏览器的插件功能更安全。 尽管出发点是好的，但 Manifest V3 对某些类型的插件（如广告拦截器）施加了限制，这可能会使它们的效果大打折扣。 随着 Manifest V3 的强制实施，不兼容的扩展程序正从用户的浏览器中被禁用，剥夺了用户在功能和风险之间做出选择的权利。 BleepingComputer 上周晚些时候确认的一个 notable case 是 uBlock Origin 广告拦截器被禁用，该拦截器在 Chrome Web Store 上的下载量已超过 3800 万次。 尽管许多广告拦截器已经迁移到了 Manifest V3 版本，但这些版本通常在检测和拦截定向内容方面能力较弱。 虽然微软 Edge、mozilla firefox 和苹果 Safari 都已经采用了 Manifest V3，但他们各自进行了修改，使用户在享受安全增强的同时拥有更大的自由度。 对于旧的插件来说，支持 Manifest V2 是唯一的选择，而 firefox 今天通过公告重申了其将继续在可预见的未来支持 Manifest V2。 mozilla 表示：“虽然一些浏览器正在逐步淘汰 Manifest V2，但 firefox 将继续同时支持 Manifest V2 和 Manifest V3。” 具体来说，这家互联网公司表示，将继续支持 ‘blockingWebRequest’ 和 ‘declarativeNetRequest’ 这两个 API，分别对应 Manifest V3 和 Manifest V2，使像 uBlock Origin 这样的扩展程序能够继续正常工作。 mozilla 尚未说明这种支持将持续多久，但只要还有强大的插件能够增强用户的隐私和安全，mozilla 就有充分的理由继续支持 Manifest V2。 最终，mozilla 表示，这是对其自身宣言中 “原则 5” 的坚持，该原则指出：“个人必须有能力塑造互联网以及他们在互联网上的体验。” 当 Manifest V3 于 2022 年 11 月引入 firefox 时，mozilla 表示将在 2023 年底评估 Manifest V2 的弃用问题。 后来，在 2024 年 3 月，鉴于出现的所有技术和实际复杂性，mozilla 宣布在可预见的未来没有计划弃用 Manifest V2。 最新的公告重申了这一承诺，使 firefox 成为少数几个允许用户继续使用 Manifest V2 插件的网络浏览器之一。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，亚洲太平洋地区（APAC）的多个工业组织成为了针对性的网络钓鱼攻击的目标，攻击者试图通过这些攻击传播已知的恶意软件FatalRAT。 根据卡巴斯基ICS CERT的报告，攻击者利用了合法的中国云内容分发网络（CDN）myqcloud和有道云笔记服务作为攻击基础设施的一部分。 这些攻击主要针对马来西亚、中国、日本、泰国、韩国、新加坡、菲律宾、越南的政府机构和工业组织，特别是制造业、建筑业、信息技术、电信、医疗保健、电力和能源以及大规模物流和运输行业。 值得注意的是，FatalRAT的攻击活动之前曾利用虚假的Google广告作为传播媒介。 在2023年9月，Proofpoint记录了另一种电子邮件钓鱼活动，传播了包括FatalRAT、Gh0st RAT、Purple Fox和ValleyRAT在内的多种恶意软件家族。 这次攻击链的起点是一封包含中文文件名的ZIP压缩包的钓鱼邮件，解压后启动了第一阶段的加载程序，该加载程序请求有道云笔记以获取DLL文件和FatalRAT配置器。 配置器模块从note.youdao[.]com下载另一个笔记的内容，以访问配置信息。它还被设计为打开一个诱饵文件，以避免引起怀疑。 DLL是第二阶段的加载程序，负责从配置中指定的服务器（”myqcloud[.]com”）下载并安装FatalRAT有效载荷，同时显示关于应用程序运行问题的假错误消息。 该活动的一个重要特征是使用DLL侧加载技术来推进多阶段感染序列并加载FatalRAT恶意软件。 卡巴斯基表示，”攻击者使用黑白手法，利用合法二进制文件的功能，使事件链看起来像正常活动。” “攻击者还使用了DLL侧加载技术，以隐藏恶意软件在合法进程内存中的持久性。” FatalRAT是一种功能丰富的木马，能够记录键盘输入、破坏主引导记录（MBR）、开关屏幕、搜索和删除浏览器（如Google Chrome和Internet Explorer）中的用户数据、下载其他软件（如AnyDesk和UltraViewer）、执行文件操作、启动/停止代理，并终止任意进程。 目前尚不清楚使用FatalRAT进行攻击的幕后黑手是谁，尽管战术和工具的重叠表明”它们都反映了不同系列的攻击，某种程度上是相关的。”   消息来源：https://thehackernews.com/2025/02/fatalrat-phishing-attacks-target-apac.html； 卡巴斯基报告原文：https://ics-cert.kaspersky.com/publications/reports/2025/02/24/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets/； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一场正在进行的活动，该活动以 GitHub 上托管的开源项目为幌子，针对游戏玩家和加密货币投资者。 这场活动涉及数百个代码仓库，已被卡巴斯基命名为 GitVenom。 “这些受感染的项目包括用于管理 Instagram 账户的自动化工具、可远程管理比特币钱包的 Telegram 机器人以及用于玩Valorant 游戏的破解工具，”这家俄罗斯网络安全供应商表示。 “所有这些所谓项目功能都是虚假的，活动背后的网络犯罪分子窃取了个人和银行数据，并从剪贴板中劫持了加密钱包地址。” 此次恶意活动已促成 5 个比特币的盗窃，截至发稿时价值约 456,600 美元。据信，这场活动已持续至少两年，当时一些虚假项目被发布。大多数感染尝试记录在俄罗斯、巴西和土耳其。 这些项目使用多种编程语言编写，包括 Python、JavaScript、C、C++ 和 C#。但无论使用何种语言，最终目标都是一样的：启动嵌入的恶意负载，该负载负责从攻击者控制的 GitHub 代码仓库中检索额外组件并执行它们。 其中最突出的是一个 Node.js 信息窃取程序，它收集密码、银行账户信息、保存的凭据、加密货币钱包数据和网络浏览历史；将这些信息压缩成 .7z 压缩包，并通过 Telegram 泄露给威胁行为者。 通过这些虚假的 GitHub 项目下载的还有远程管理工具，如 AsyncRAT 和 Quasar RAT，可用于控制受感染的主机，以及剪贴板劫持恶意软件，可将复制到剪贴板的钱包地址替换为攻击者控制的钱包地址，从而将数字资产重定向到威胁行为者。 “由于像 GitHub 这样的代码共享平台被全球数百万开发人员使用，威胁行为者将来肯定会继续使用虚假软件作为感染诱饵，”卡巴斯基研究员 Georgy Kucherin 表示。 “因此，在处理第三方代码时必须非常小心。在尝试运行此类代码或将其集成到现有项目之前，彻底检查其执行的操作至关重要。” 这一事件发生之际，Bitdefender 揭露了诈骗者正在利用 IEM Katowice 2025 和 PGL Cluj-Napoca 2025 等重大电子竞技赛事，针对《反恐精英 2》（CS2）玩家进行欺诈。（详见：https://hackernews.cc/archives/57534） “通过劫持 YouTube 账户来冒充 s1mple、NiKo 和 donk 等职业玩家，网络犯罪分子诱骗粉丝参与欺诈性的 CS2 皮肤赠送活动，导致 Steam 账户被盗、加密货币失窃以及 valuable in-game items（有价值的游戏内物品）丢失，”这家罗马尼亚网络安全公司表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Check Point 周一发布的一份新报告显示，一种大规模恶意软件活动被发现利用与 Adlice 产品套件相关的易受攻击的 Windows 驱动程序，以规避检测并传递 Gh0st RAT 恶意软件。 “为了进一步规避检测，攻击者故意通过修改特定的 PE 部分生成了 2.0.2 驱动程序的多个变体（具有不同的哈希值），同时保持签名有效，” Check Point 表示。 这家网络安全公司称，此次恶意活动涉及数千个第一阶段恶意样本，这些样本被用来部署一个程序，该程序能够通过所谓的自带易受攻击驱动程序（BYOVD）攻击来终止终端检测与响应（EDR）软件。 在 VirusTotal 平台上，已识别出多达 2500 种不同的旧版 2.0.2 版本的易受攻击的 RogueKiller 反rootkit 驱动程序 truesight.sys 变体，尽管实际数量可能更高。EDR 杀手模块于 2024 年 6 月首次被检测和记录。 Truesight 驱动程序存在的问题是，影响 3.4.0 以下所有版本的任意进程终止漏洞，此前已被利用来设计概念验证（PoC）漏洞利用程序，如 Darkside 和 TrueSightKiller，这些程序自 2023 年 11 月以来就已公开。 2024 年 3 月，SonicWall 公布了一种名为 DBatLoader 的加载器的详细信息，该加载器被发现利用 truesight.sys 驱动程序来终止安全解决方案，然后再传递 Remcos RAT 恶意软件。 有证据表明，此次攻击活动可能是由一个名为 Silver Fox APT 的威胁行为者所为，因为在执行链和使用的技术上存在一定程度的重叠，包括“感染向量、执行链、初始阶段样本的相似性以及历史目标模式”。 此外，约 75% 的受害者位于中国，其余受害者主要集中在亚洲其他地区，包括新加坡和台湾。 攻击序列涉及分发通常伪装成合法应用程序的第一阶段工具，这些工具通过提供奢侈品交易的欺骗性网站和流行消息应用程序（如 Telegram）中的欺诈渠道进行传播。 这些样本充当下载程序，释放旧版 Truesight 驱动程序以及模仿常见文件类型（如 PNG、JPG 和 GIF）的下一阶段有效载荷。第二阶段恶意软件随后检索另一个恶意软件，该恶意软件反过来加载 EDR 杀手模块和 Gh0st RAT 恶意软件。 “虽然旧版 Truesight 驱动程序（2.0.2 版本）的变体通常由初始阶段样本下载和安装，但如果系统上尚未安装该驱动程序，它们也可以直接由 EDR/AV 杀手模块部署，” Check Point 解释道。 “这表明，尽管 EDR/AV 杀手模块已完全集成到此次活动中，但它能够独立于早期阶段运行。” 该模块采用 BYOVD 技术，利用易受攻击的驱动程序来终止与某些安全软件相关的进程。通过这种方式，攻击能够绕过微软易受攻击驱动程序阻止列表，这是一种基于哈希值的 Windows 机制，旨在保护系统免受已知易受攻击驱动程序的威胁。 攻击最终部署了一种名为 HiddenGh0st 的 Gh0st RAT 变体，该变体旨在远程控制被攻陷的系统，为攻击者提供进行数据盗窃、监视和系统操纵的途径。 截至 2024 年 12 月 17 日，微软已更新驱动程序阻止列表，将相关驱动程序纳入其中，有效阻止了利用该驱动程序的攻击向量。 “通过修改驱动程序的特定部分，同时保留其数字签名，攻击者绕过了常见的检测方法，包括最新的微软易受攻击驱动程序阻止列表和 LOLDrivers 检测机制，使他们能够长时间躲避检测，” Check Point 表示。 “利用任意进程终止漏洞，使 EDR/AV 杀手模块能够针对和禁用与安全解决方案相关联的进程，进一步增强了此次攻击活动的隐蔽性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白俄罗斯黑客组织利用带有恶意软件的 Microsoft Excel 文档作为诱饵，以传递 PicassoLoader 的新变种。据评估，这一威胁集群是自 2016 年以来由与白俄罗斯对齐的黑客组织（称为 Ghostwriter，又名 Moonscape、TA445、UAC-0057 和 UNC1151）发起的长期活动的延伸。 “该活动自 2024 年 7 月至 8 月开始筹备，并于 11 月至 12 月进入活跃阶段，” SentinelOne 研究员 Tom Hegel 在一份与《黑客新闻》共享的技术报告中表示。“最近的恶意软件样本和命令与控制（C2）基础设施活动表明，该行动在最近几天仍然活跃。” 这家网络安全公司分析的攻击链的起点是一个来自名为 Vladimir Nikiforech 的账户的 Google Drive 共享文档，该文档托管了一个 RAR 压缩包。 远程访问木马（RAT）文件包含一个恶意 Excel 工作簿，当打开时，如果潜在受害者启用宏运行，将触发执行一个混淆的宏。该宏随后写入一个 DLL 文件，最终为 PicassoLoader 的简化版本铺平了道路。 在下一阶段，会向受害者显示一个诱饵 Excel 文件，而在后台，系统上会下载额外的有效载荷。早在 2024 年 6 月，这种方法就被用于传递 Cobalt Strike 后利用框架。 SentinelOne 表示，还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档，这些文档从远程 URL（“sciencealert[.]shop”）检索一个未知的第二阶段恶意软件，形式为看似无害的 JPG 图像，这种技术被称为隐写术。这些 URL 已不再可用。 在另一个实例中，被动手动的 Excel 文档被用来传递一个名为 LibCMD 的 DLL，该 DLL 旨在运行 cmd.exe 并连接到 stdin/stdout。它直接作为 .NET 程序集加载到内存中并执行。 “在整个 2024 年，Ghostwriter 反复使用包含 Macropack 混淆的 VBA 宏的 Excel 工作簿，并投放用 ConfuserEx 混淆的嵌入式 .NET 下载程序，” Hegel 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员穆罕默德·沙哈特披露了影响GatesAir Maxiva UAXT和VAXT发射机的三项关键漏洞。这些广泛部署的发射机被用于广播、交通和公共安全等多个行业。如果被利用，这些漏洞可能导致严重后果，包括会话劫持、数据泄露和系统全面沦陷。 漏洞详情如下： CVE-2025-22960（会话劫持）：此漏洞允许未经身份验证的攻击者访问暴露的日志文件，可能会泄露敏感的会话相关信息，如会话ID和身份验证令牌。攻击者可利用此漏洞劫持活跃会话，获得未授权访问权限，并在受影响设备上提升权限。 CVE-2025-22961（数据泄露）：攻击者可通过公开暴露的URL直接访问敏感数据库备份文件（snapshot_users.db）。此漏洞可能导致敏感用户数据泄露，包括登录凭证，进而可能导致系统全面沦陷。 CVE-2025-22962（远程代码执行）：当调试模式启用时，拥有有效会话ID的攻击者可发送精心构造的POST请求，在底层系统上执行任意命令。这一关键漏洞可导致系统全面沦陷，包括未授权访问、权限提升以及可能的设备完全接管。 沙哈特还公布了这些漏洞的概念验证利用代码，这加剧了这些漏洞的严重性，使得恶意行为者更容易利用这些漏洞。这凸显了立即采取行动以缓解风险的紧迫性。 GatesAir尚未为这些漏洞发布补丁。在此期间，建议使用受影响发射机的组织采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件实施严格的文件权限。 避免记录敏感的会话相关数据。 在存储前对敏感数据进行加密。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用GatesAir Maxiva UAXT和VAXT发射机的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： eSentire 威胁响应单元（TRU）披露了一项针对 Mac 用户的新活动，该活动利用 Poseidon Stealer 恶意软件。此活动通过假冒合法的 DeepSeek 平台网站，诱骗用户下载并执行恶意负载。 感染始于用户被重定向到假冒的 DeepSeek 网站 deepseek.exploreio[.]net，通常通过恶意广告。该假冒网站与真实的 DeepSeek 网站非常相似，欺骗用户点击 “立即开始” 按钮，这将引导用户进入下载页面。点击 “下载 Mac OS” 后，会下载一个恶意的 DMG 文件。 下载的 DMG 文件包含一个伪装成 DeepSeek 应用程序的 shell 脚本。当用户将此 “应用程序” 拖放到终端时，脚本会执行，绕过 macOS GateKeeper 安全措施。脚本随后下载并执行 Poseidon Stealer 负载。 Poseidon Stealer 是一种恶意软件即服务（MaaS），针对基于 Chromium/Firefox 的浏览器中的敏感数据，包括信用卡、密码、书签和加密货币钱包数据。它还收集系统信息，窃取密钥链数据库，并从桌面、下载和文档目录中窃取文件。 该攻击通过利用终端执行方法绕过了 Gatekeeper 保护。Poseidon Stealer 负载采用反调试和字符串加密技术来阻碍分析。恶意软件还包含检查是否在沙盒或研究环境中运行，如果检测到则会终止自身。 用户应保持警惕，防范假冒软件下载网站，并实施主动安全措施以降低风险。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Bitdefender 的研究人员日前发现，网络犯罪分子正在针对《反恐精英 2》（CS2）社区实施“直播劫持”诈骗。据 Bitdefender 实验室研究员 Ionuț Băltăriu 介绍，这些攻击利用被劫持和伪造的电竞主播账号作为信任载体，导致大量玩家的 Steam 账号被盗、加密货币失窃以及珍贵游戏道具损失。 这种通过直播劫持诈骗加密货币的行为听起来颇具未来感，但其背后的诈骗手法却相当古老 —— 通过伪装成可信主体，诱使受害者交出自己的财物。Bitdefender 详细拆解了这一诈骗过程： 首先，诈骗者会寻找拥有现成订阅用户的正规 YouTube 账号，并设法将其劫持并接管。在控制账号后，他们会重新包装频道，伪装成知名电竞主播，如“Oleksandr’s1mple’ Kostyljev”、“Nikola ‘NiKo’ Kovač”或“donk”等。伪装手段包括上传大量旧的、循环播放的直播内容。 随后，诈骗者开始进行恶意直播，循环播放被冒充主播的旧游戏画面。在此过程中，他们会邀请观众参与直播活动，声称免费赠送 CS2 皮肤和加密货币。此时，诈骗者会分享特制的二维码或欺诈性链接。 最后，当受害者被诱导登录 Steam 账号以获取所谓的“免费奖励”，或被要求发送加密货币以实现“翻倍”时，诈骗行为便完成了。一旦受害者上钩，他们的 Steam 账号将被洗劫一空，珍贵的游戏皮肤和道具不翼而飞，而他们的加密货币也将一去不返。 Bitdefender 指出，CS2 社区是这些诈骗者的主要目标。作为一款拥有 2600 万注册玩家（截至 2025 年 1 月）的热门竞技游戏，CS2 的高人气使其成为诈骗者的理想目标。此外，近期备受瞩目的电子竞技赛事，如 2025 年 IEM 卡托维兹和 PGL 克卢日-纳波卡，也成为了诈骗者利用的对象。他们通过制作与赛事主题相关或时间同步的虚假直播，并配合虚假社区帖子和受控评论，进一步诱导玩家上当。 IT之家注意到，为了帮助玩家防范此类诈骗，Bitdefender 在其博客中分享了一些实用建议。玩家应保持高度警惕，对“好得令人难以置信”的福利、可疑的链接和二维码，以及不熟悉的直播频道保持怀疑。此外，Bitdefender 还建议玩家启用 Steam Guard 和多因素认证（MFA）。 转自IT之家，原文链接：https://www.ithome.com/0/833/073.htm 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一个由超过 130,000 台被攻陷设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 账户进行密码喷雾攻击，目标是基本身份验证，以绕过多因素身份验证。 根据 SecurityScorecard 的一份报告，攻击者利用信息窃取恶意软件窃取的凭据，大规模针对这些账户。 这些攻击依赖于使用基本身份验证（Basic Auth）的非交互式登录，以绕过多因素身份验证（MFA）保护，在未经授权的情况下访问账户，而不会触发安全警报。 “仅依赖交互式登录监控的组织对这些攻击视而不见。非交互式登录，通常用于服务到服务的身份验证、遗留协议（例如 POP、IMAP、SMTP）和自动化流程，在许多配置中不会触发 MFA，”SecurityScorecard 警告道。 “基本身份验证在某些环境中仍然启用，允许以明文形式传输凭据，使其成为攻击者的首要目标。” 基本身份验证是一种过时的身份验证方法，用户的凭据以明文或 base64 编码形式随每个请求发送到服务器。它缺乏现代安全功能，如 MFA 和基于令牌的身份验证，微软计划在 2025 年 9 月弃用它，转而支持 OAuth 2.0，已经为大多数 Microsoft 365 服务禁用了基本身份验证。 这个新发现的僵尸网络使用基本身份验证尝试，针对大量账户使用常见或泄露的密码。由于基本身份验证是非交互式的，当尝试的凭据匹配时，攻击者不会被提示进行 MFA，并且通常不会受到条件访问策略（CAP）的限制，这使得攻击者可以悄无声息地验证账户凭据。 一旦凭据得到验证，它们可以用于访问不需要 MFA 的遗留服务，或在更复杂的网络钓鱼攻击中绕过安全功能，获得对账户的完全访问权限。 SecurityScorecard 还指出，您可能可以在 Entra ID 日志中看到密码喷雾攻击的迹象，这将显示非交互式登录的登录尝试增加，不同 IP 地址的多次失败登录尝试，以及身份验证日志中存在 “fasthttp” 用户代理。 今年 1 月，SpearTip 警告称，有威胁行为者以类似方式使用 FastHTTP Go 库进行 Microsoft 365 密码攻击，但未提及非交互式登录。目前尚不清楚这是否是僵尸网络的新发展，以规避检测。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   OpenAI 表示，已阻止多个朝鲜黑客组织使用其 ChatGPT 平台来研究未来目标并寻找入侵其网络的方法。 “我们封禁了显示与公开报道的朝鲜相关威胁行为者活动的账户，”该公司在 2025 年 2 月的威胁情报报告中表示。 “其中一些账户的活动与一个名为 VELVET CHOLLIMA（又名 Kimsuky、Emerald Sleet）的威胁组织的行为一致，而其他账户则可能与一个被可信来源评估为与 STARDUST CHOLLIMA（又名 APT38、Sapphire Sleet）相关的组织有关。” 这些被封禁的账户是通过一个行业合作伙伴提供的信息检测到的。除了研究网络攻击中使用的工具外，这些威胁行为者还利用 ChatGPT 获取与加密货币相关的信息，这与朝鲜国家支持的威胁组织的常见兴趣相关。 这些恶意行为者还利用 ChatGPT 进行编码辅助，包括如何使用开源远程管理工具（RAT），以及对用于远程桌面协议（RDP）暴力攻击的开源和公开可用的安全工具和代码进行调试、研究和开发辅助。 OpenAI 的威胁分析师还发现，朝鲜行为者在调试自动启动扩展点（ASEP）位置和 macOS 攻击技术时，暴露了当时安全供应商未知的恶意二进制文件的暂存 URL。 这些暂存 URL 和相关的编译可执行文件被提交给一个在线扫描服务，以便与更广泛的安全社区共享。因此，一些供应商现在能够可靠地检测到这些二进制文件，保护潜在受害者免受未来攻击。 OpenAI 在研究朝鲜威胁行为者如何使用被封禁账户时发现的其他恶意活动包括但不限于： – 询问各种应用程序中的漏洞， – 开发和排除 C# 基 RDP 客户端的故障，以启用， – 要求代码以绕过未经授权的 RDP 的安全警告， – 请求多个 PowerShell 脚本，用于 RDP 连接、文件上传/下载、从内存中执行代码和混淆 HTML 内容， – 讨论创建和部署混淆的有效载荷以供执行， – 寻求对加密货币投资者和交易者进行针对性网络钓鱼和社会工程的方法，以及更通用的网络钓鱼内容， – 制作网络钓鱼电子邮件和通知，诱使用户透露敏感信息。 该公司还封禁了与一个潜在的朝鲜 IT 工人计划相关的账户，该计划被描述为具有通过欺骗西方公司雇佣朝鲜人来为平壤政权获取收入的所有特征。 “在似乎获得就业后，他们使用我们的模型执行与工作相关的任务，如编写代码、排除故障和与同事交流，”OpenAI 解释道。“他们还使用我们的模型来编造掩盖故事，以解释异常行为，如避免视频通话、从未经授权的国家访问公司系统或工作时间不规律。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚成为最新一个因国家安全问题禁止安装俄罗斯公司卡巴斯基安全软件的国家。 澳大利亚内政部秘书斯蒂芬妮·福斯特（Stephanie Foster PSM）表示：“经过威胁和风险分析后，我决定，澳大利亚政府机构使用卡巴斯基实验室的产品和网络服务对澳大利亚政府、网络和数据构成不可接受的安全风险，这些风险来自外国干涉、间谍活动和破坏行为。” 福斯特还指出，政府需要向关键基础设施和其他澳大利亚政府部门传递强烈的政策信号，表明使用卡巴斯基产品和服务带来的安全风险不可接受。 她进一步强调，相关机构有责任管理卡巴斯基庞大用户数据收集所带来的风险，以及该数据可能受到外国政府非法指令的影响，这些指令与澳大利亚法律相冲突。 根据政府于2月23日发布的新指令（002-2025），政府机构不得在其系统和设备上安装卡巴斯基的产品和服务，并必须在2025年4月1日之前删除所有现有安装。 不过，机构可以申请豁免，若其使用卡巴斯基软件是出于“合法商业原因”，并确保采取适当的风险缓解措施。 这些豁免将是有时间限制的，仅限于满足合规性和执法要求的用途。 此举紧随美国的脚步。2024年6月末，美国禁止卡巴斯基在国内销售其软件和产品，或向现有客户发布产品更新。该公司于2024年7月中旬退出了美国市场。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用破解软件作为诱饵，传播信息窃取器，如 Lumma 和 ACR Stealer。 AhnLab 安全情报中心（ASEC）表示，自 2025 年 1 月以来，ACR Stealer 的分发量显著增加。 这种信息窃取恶意软件的一个显著特点是使用了一种称为 dead drop resolver 的技术来提取实际的命令与控制（C2）服务器。这包括依赖于合法服务，如 Steam、Telegram 的 Telegraph、Google Forms 和 Google Slides。 “威胁行为者将实际的 C2 域名以 Base64 编码的形式输入到特定页面，”ASEC 表示。“恶意软件访问该页面，解析字符串，并获取实际的 C2 域名地址以执行恶意行为。” ACR Stealer 之前通过 Hijack Loader 恶意软件分发，能够从受攻陷的系统中窃取广泛的信息，包括文件、网络浏览器数据和加密货币钱包扩展。 与此同时，ASEC 还披露了另一项活动，该活动利用扩展名为 “MSC” 的文件，这些文件可以通过 Microsoft Management Console（MMC）执行，来传递 Rhadamanthys 信息窃取器。 “有两种类型的 MSC 恶意软件：一种利用 apds.dll 的漏洞（CVE-2024-43572），另一种使用控制台任务面板执行‘命令’，”这家韩国公司表示。 “MSC 文件伪装成 MS Word 文档。当点击‘打开’按钮时，它会从外部来源下载并执行一个 PowerShell 脚本。下载的 PowerShell 脚本包含一个 EXE 文件（Rhadamanthys）。” CVE-2024-43572，也称为 GrimResource，于 2024 年 6 月首次被 Elastic 安全实验室记录为被恶意行为者利用的零日漏洞。微软在 2024 年 10 月修复了该漏洞。 此外，还观察到恶意软件活动利用聊天支持平台，如 Zendesk，伪装成客户，诱骗不知情的支持代理下载一种名为 Zhong Stealer 的信息窃取器。 根据 Hudson Rock 最近发布的一份报告，在过去的几年中，超过 3000 万台计算机被信息窃取器感染，导致企业凭据和会话 cookie 被窃取，这些凭据和会话 cookie 随后被网络犯罪分子在地下论坛上出售给其他行为者以牟利。 买家可以利用这些凭据获得的访问权限，进行自己的后续攻击行动，导致严重风险。这些发展突显了信息窃取器作为初始访问向量的作用，为敏感企业环境提供了立足点。 “网络犯罪分子可以以每台计算机（日志）10 美元的价格，从从事机密国防和军事部门工作的员工那里购买被盗数据，”Hudson Rock 表示。“信息窃取器情报不仅仅是检测谁被感染——更重要的是理解被攻陷凭据和第三方风险的整个网络。” 在过去一年中，威胁行为者还加大了通过一种称为 ClickFix 的技术传播各种恶意软件家族的努力，这通常涉及将用户重定向到假的 CAPTCHA 验证页面，指示他们复制并执行恶意的 PowerShell 命令。其中一种被投放的有效载荷是 I2PRAT，它利用 I2P 匿名网络来隐藏其最终的 C2 服务器。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚软件公司 Atlassian 修复了 Bamboo、Bitbucket、Confluence、Crowd 和 Jira 产品中的 12 个关键和高危漏洞。 Atlassian 发布了安全补丁，以解决这些产品中的漏洞。其中最严重的漏洞包括： CVE-2024-50379（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在远程代码执行（RCE）漏洞。该漏洞是 Apache Tomcat 中的一个 TOCTOU 竞态条件，允许在大小写不敏感的文件系统上通过非默认的写启用 servlet 进行 RCE。受影响版本：9.0.0.M1-9.0.97、10.1.0-M1-10.1.33、11.0.0-M1-11.0.1。更新至 9.0.98、10.1.34 或 11.0.2。 CVE-2024-56337（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在 RCE 漏洞。该漏洞是 Apache Tomcat 的 TOCTOU 漏洞，由对 CVE-2024-50379 的不完全缓解引起。受影响版本：9.0.0-M1–9.0.97、10.1.0-M1–10.1.33、11.0.0-M1–11.0.1。需要在大小写不敏感的文件系统上进行额外配置。修复版本：Tomcat 9.0.99、10.1.35 和 11.0.3。 CVE-2024-52316（CVSS 评分为 9.8）：Crowd Data Center 和 Server 中的 Apache Tomcat 依赖项存在认证绕过和会话管理（BASM）漏洞。Apache Tomcat 的 Jakarta Authentication 中的一个未检查错误可能导致认证绕过，如果自定义 ServerAuthContext 在未设置 HTTP 状态的情况下失败。受影响版本：9.0.0-M1–9.0.95、10.1.0-M1–10.1.30、11.0.0-M1–11.0.0-M26。更新至 9.0.96、10.1.31 或 11.0.0。 Atlassian 未披露这些漏洞是否已在野外被利用。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 Windows-WiFi-Password-Stealer 的 GitHub 仓库引发了网络安全专业人士的关注。 该仓库由用户托管，提供了一个基于 Python 的脚本，能够从 Windows 系统中提取保存的 Wi-Fi 凭证，并将其保存到文本文件中。 尽管该仓库声称用于教育目的，但其潜在的恶意使用风险不容忽视。 恶意软件详情 根据 X 上的一篇网络地下帖子，该仓库包含以下关键文件： Password Stealer.py：执行凭证提取过程的主脚本。 requirements.txt：运行脚本所需的 Python 依赖项列表。 README.md：包含安装和使用说明的文档。 该工具执行 netsh wlan show profile，这是一个合法的网络 shell 命令，用于获取与系统关联的服务集标识符（SSID）列表。 对于每个 SSID，该工具随后运行 netsh wlan export profile，生成包含配置详细信息的 XML 文件，包括明文的预共享密钥（PSK）。 这些 XML 文件暂时存储在系统的当前工作目录中，由 Python 脚本解析以提取密码，随后被删除以规避检测。 该方法利用了 Windows 对 Wi-Fi 凭证的原生处理方式，这些凭证以加密形式存储在凭据管理器中。 该工具的简单性和开源性质降低了恶意使用的门槛。用 Python 编写，依赖项极少，可使用 PyInstaller 转换为独立可执行文件。 要使用该工具，用户需安装依赖项： pip install -r requirements.txt 此外，README 提供了使用 PyInstaller 将脚本转换为可执行文件的说明：   pyinstaller –onefile PasswordStealer.py 这一功能简化了部署，使非技术用户也能轻松使用，增加了其被恶意利用的可能性。GitHub 仓库提供了清晰的编译说明，即使是新手用户也能生成针对特定攻击场景的有效载荷。 此类工具在 GitHub 等平台上的公开可用性带来了显著风险。恶意行为者可以轻松地将代码重新用于凭证收集，从而实现未经授权的网络访问或在受攻陷环境中进行横向移动。 组织应强制实施多因素认证用于 Wi-Fi 访问，并定期轮换 PSK，以减少凭证泄露的影响。 尽管该工具本身并非固有恶意，但其滥用突显了操作系统处理敏感凭证方式的关键漏洞。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。 Craft CMS 是一个用于构建网站和自定义数字体验的内容管理系统（CMS）。 关于 CVE-2025-23209 的技术细节不多，但利用该漏洞并不容易，因为它需要安装的安全密钥已经被攻破。 在 Craft CMS 中，安全密钥是一个加密密钥，用于保护用户认证令牌、会话 cookie、数据库值和敏感应用程序数据。 CVE-2025-23209 漏洞只有在攻击者已经获得这个安全密钥时才会成为问题，这为解密敏感数据、生成伪造的认证令牌或远程注入和执行恶意代码打开了大门。 CISA 已将该漏洞添加到已知被利用漏洞（KEV）目录中，但未分享任何关于攻击范围和来源以及目标的信息。 联邦机构需在 2025 年 3 月 13 日之前修补 Craft CMS 漏洞。 该漏洞已在 Craft 5.5.8 和 4.13.8 版本中修复，因此建议用户尽快升级到这些版本或更高版本。 如果您怀疑系统已被攻破，建议删除 `.env` 文件中包含的旧密钥，并使用 `php craft setup/security-key` 命令生成新的密钥。请注意，密钥更改将使使用旧密钥加密的任何数据无法访问。 除了 CVE-2025-23209 之外，CISA 还将 Palo Alto Networks 防火墙中的一个漏洞（CVE-2025-0111）添加到已知被利用漏洞目录中，并设定了相同的 3 月 13 日截止日期。 这是一个影响 PAN-OS 防火墙的文件读取漏洞，供应商披露黑客将其作为利用链的一部分，与 CVE-2025-0108 和 CVE-2024-9474 一起利用。 受该漏洞影响的用户可以查看 Palo Alto Networks 的安全公告，了解修复该漏洞的 PAN-OS 版本。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 SpyLend 的安卓恶意软件应用已在 Google Play 上下载超过 10 万次，该应用伪装成金融工具，但实际上是一个针对印度用户的掠夺性贷款应用。 该应用属于一系列名为 “SpyLoan” 的恶意安卓应用程序，这些应用伪装成合法的金融工具或贷款服务，但实际上会从设备中窃取数据，用于掠夺性贷款。 这些应用以快速、便捷的贷款承诺吸引用户，通常要求的文件很少，提供的条件也很有吸引力。然而，安装后，它们会请求过多的权限，允许应用窃取个人数据，如联系人、通话记录、短信、照片和设备位置。 这些被窃取的信息随后被用于骚扰、敲诈和勒索用户，特别是当他们未能满足应用的还款条款时。 贷款诈骗和敲诈 网络安全公司 CYFIRMA 发现了一款名为 “Finance Simplified” 的安卓应用，该应用声称是一个金融管理应用，并在 Google Play 上获得了 10 万次下载。 然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更恶意的行为，从用户的设备中窃取数据，用于掠夺性贷款。研究人员还发现了其他恶意 APK，似乎是同一恶意软件活动的变种，分别是 KreditApple、PokketMe 和 StashFur。 尽管该应用现已从 Google Play 上移除，但它可能继续在后台运行，从受感染的设备中收集敏感信息。 恶意应用在 Google Play 上 Google Play 上 “Finance Simplified” 的多条用户评论显示，该应用提供的贷款服务会试图敲诈借款人，如果他们不支付高利率。 “非常非常非常糟糕的应用，他们提供的贷款金额很低，并且会勒索支付高额利息，否则会将照片编辑成裸照并进行勒索，”一位用户对这款已被下架的应用进行了评价。 这些应用还声称自己是注册的非银行金融机构（NBFC），但 CYFIRMA 表示这是不真实的。 为了在 Google Play 上躲避检测，Finance Simplified 使用 WebView 将用户重定向到外部网站，从那里下载托管在 Amazon EC2 服务器上的贷款应用 APK。 “Finance Simplified 应用似乎专门针对印度用户，显示并推荐贷款应用，加载一个 WebView，显示一个重定向到外部网站的贷款服务，从那里下载一个单独的贷款 APK 文件，”CYFIRMA 解释道。 研究人员发现，如果用户的位置是印度，该应用只会加载具有欺骗性的界面，这表明该活动具有特定的目标。 应用窃取的敏感数据 该恶意软件活动更令人担忧的方面是数据收集，包括存储在用户设备上的敏感个人信息。 以下是该恶意软件窃取的数据摘要： – 联系人、通话记录、短信和设备详细信息。 – 来自内部和外部存储的照片、视频和文档。 – 实时位置跟踪（每 3 秒更新一次）、历史位置数据和 IP 地址。 – 最近复制到剪贴板的 20 条文本输入。 – 贷款历史和银行短信交易记录。 尽管这些数据主要用于敲诈那些错误地申请贷款的受害者，但也可能用于金融诈骗或转售给网络犯罪分子以牟利。 SpyLend 运营概述 如果您怀疑您的设备被上述任何应用或类似应用感染，请立即删除它们，重置权限，更改银行账户密码，并进行设备扫描。 Google 的 Play Protect 工具可以检测并阻止已知的恶意软件和掠夺性应用，因此请确保您的设备上已激活该工具。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌云宣布在其云密钥管理服务（Cloud KMS）中引入量子安全数字签名功能，目前该功能已在预览版中提供。 这家科技巨头表示，这一举措符合美国国家标准与技术研究院（NIST）的后量子密码学（PQC）标准，旨在应对量子计算可能破坏经典加密方案的未来风险。 鉴于谷歌云被金融机构、大型企业、政府机构、关键基础设施单位和软件开发者广泛使用，引入量子安全加密对于保护敏感数据免受高级攻击至关重要。 量子就绪的 Cloud KMS Cloud KMS 是谷歌云的加密密钥管理工具，用于安全地生成、存储和管理用于加密和签名数据的加密密钥。 使用传统的公钥密码学（如 RSA 和 ECC），客户面临未来通过所谓的“现在收集，以后解密”（HNDL）攻击暴露数据的风险。 尽管目前尚不存在能够破解当前加密方案的量子计算机，但所有专家都一致认为 HNDL 风险过高，不可忽视。微软宣布其 Majorana 1 芯片取得突破，这标志着向构建未来量子计算机迈出了关键一步，进一步加剧了这一担忧。 为了帮助保护我们的数据免受未来量子计算的威胁，谷歌现在正在将抗量子密码学集成到 Cloud KMS（软件）和 Cloud HSM（硬件安全模块）中。 采用的两种算法是 ML-DSA-65（FIPS 204），一种基于格的数字签名算法，以及 SLH-DSA-SHA2-128S（FIPS 205），一种无状态的基于哈希的数字签名算法。 “今天，我们很高兴地宣布在谷歌云密钥管理服务（Cloud KMS）中推出量子安全数字签名（FIPS 204/FIPS 205），用于软件密钥，目前该功能已在预览版中提供，”谷歌在公告中表示。 “我们还分享了谷歌云加密产品的后量子战略的高层次视图，包括 Cloud KMS 和我们的硬件安全模块（Cloud HSM）。” Cloud KMS 现在允许用户使用这些新的 PQC 算法进行数字签名的签名和验证，就像使用传统密码学一样。 这些加密实现将通过 BoringCrypto 和 Tink 库开源，保持透明度并允许独立的安全审计。 谷歌邀请各组织开始测试和集成抗量子算法到现有部署中，并报告他们的反馈，以帮助解决任何问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文