HackerNews

HackerNews 编译，转载请注明出处： Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858（CVSS 评分为 9.4），可允许攻击者通过单点登录（SSO）绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer，Fortinet ，Fortinet 正在调查其他产品是否受影响。 安全公告中写道：“FortiOS、FortiManager 及 FortiAnalyzer 中存在一项‘使用替代路径或通道进行身份验证绕过’的漏洞（CWE-288）。若相关设备启用了 FortiCloud SSO 认证，则拥有 FortiCloud 账户及已注册设备的攻击者，可能借此登录到其他账户下的已注册设备。”“请注意，FortiCloud SSO 登录功能在出厂默认设置中处于关闭状态。然而，当管理员通过设备图形界面（GUI）将其注册至 FortiCare 时，若未在注册页面手动关闭‘允许使用 FortiCloud SSO 进行管理登录’选项，则该功能将会在注册完成后自动启用。” Fortinet 强调，FortiCloud SSO 登录功能默认禁用。仅当管理员通过 GUI 将设备注册至 FortiCare，或在注册时明确启用 FortiCloud SSO 管理登录选项后，该功能才会激活。 这家网络安全厂商证实，已有两个恶意 FortiCloud 账户利用该漏洞发起攻击，相关账户已于 2026 年 1 月 22 日被封禁。为遏制漏洞滥用，FortiCloud SSO 服务在 1 月 26 日被临时禁用，并于 1 月 27 日重新启用。目前，该服务会阻止运行易受攻击版本的设备登录，用户必须将设备升级至受支持的版本，方可继续使用 FortiCloud SSO 认证。 该公司仍在调查其他产品（如 FortiWeb 和 FortiSwitch Manager）是否受此漏洞影响。 Fortinet 提供了临时应对方案：由于 FortiCloud SSO 现已禁止来自运行漏洞版本的设备登录，因此客户端并非必须禁用 SSO。但作为额外防护，管理员仍可通过 GUI 或CLI，在 FortiOS、FortiProxy、FortiManager 和 FortiAnalyzer 上手动禁用 FortiCloud SSO，直至系统完成全面修补。 上周，Fortinet 确认已修复的设备也遭到了绕过 FortiCloud SSO 的攻击。他们通过自动化手段修改防火墙设置、添加用户、启用 VPN 并窃取配置文件，其攻击模式与 2025 年 12 月利用严重 FortiCloud SSO 漏洞的攻击模式相似。 Arctic Wolf 研究人员报告称，自 2026 年 1 月 15 日起观测到一个新的自动化攻击集群，该集群专门针对 FortiGate 设备。攻击者创建通用账户以维持访问权限、启用 VPN 访问并窃取防火墙配置。此活动与 2025 年 12 月那起涉及管理员 SSO 登录和配置窃取的攻击活动类似。Arctic Wolf 已部署相应检测机制，并持续监控这一持续演变的威胁。 2025年12月，Fortinet 披露了两个严重的 SSO 认证绕过漏洞，编号为 CVE-2025-59718 和 CVE-2025-59719，其本质是加密签名验证不当问题。 Arctic Wolf 警告称，在补丁发布数日后，攻击者就已开始利用 Fortinet 产品中的这两个严重漏洞。 Arctic Wolf 研究人员检测到，攻击者在 2025 年 12 月 12 日便开始利用这些严重的 Fortinet 认证绕过漏洞，此时距补丁发布仅三天。攻击涉及在 FortiGate 设备上进行恶意 SSO 登录，主要目标是来自多家托管服务提供商的管理员账户。获取访问权限后，攻击者随即通过 GUI 导出设备配置文件。这些文件中包含哈希加密后的凭证信息，攻击者可尝试离线破解，从而增加了系统被进一步入侵的风险。 近期的入侵事件显示，恶意 SSO 登录源自少数几家托管服务提供商，且常针对 [email protected] 账户。在成功通过 SSO 访问后，攻击者会迅速通过 GUI 导出防火墙配置，并创建用于维持访问权限的次级管理员账户。这些操作均在数秒内完成，表明攻击高度自动化。 Fortinet 证实，即便已针对 CVE-2025-59718 和 CVE-2025-59719 完成修补的设备，也未能幸免。该公司在观察到已完全更新的设备仍遭登录利用后，发现了一条新的攻击路径。修复工作正在进行中，安全公告即将发布，所有基于 SAML 的 SSO 实现均可能受影响。 该公司发布的公告中写道：“近期，少量客户报告其设备出现了异常登录活动，这与先前的问题极为相似。然而，在过去24小时内，我们确认了多起攻击案例，其目标设备在受攻击时均已升级至最新版本，这表明存在新的攻击路径。” “Fortinet 产品安全团队已识别该问题，公司正在制定修复方案。待修复范围与具体时间表确定后，将发布正式安全公告。需要强调的是，尽管目前仅观测到 FortiCloud SSO 遭利用的案例，但此问题影响所有 SAML SSO 部署场景。”       消息来源:securityaffairs ： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已对官方扩展应用市场中一款新的恶意Microsoft Visual Studio Code（VS Code）扩展发出警示，该扩展针对Moltbot（原名Clawdbot），自称是免费的人工智能编码助手，却会在受感染主机上暗中植入恶意载荷。 该扩展名为“ClawdBot Agent – AI Coding Assistant”（标识符为“clawdbot.clawdbot-agent”），现已被微软下架。它由用户“clawdbot”于2026年1月27日发布。 Moltbot近期大受欢迎，截至本文撰写时，其在GitHub平台的标星量已超过8.5万。这一开源项目由奥地利开发者Peter Steinberger创建，支持用户在自有设备本地运行基于大语言模型（LLM）驱动的个人人工智能助手，并可通过WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams和WebChat等主流通信平台与其交互。 关键点在于，Moltbot本身并未提供官方的VS Code扩展，这意味着此次活动的幕后黑手利用该工具日益增长的热度，诱骗毫无戒心的开发者安装恶意扩展。 该恶意扩展被设计为在每次启动集成开发环境（IDE）时自动执行，它会暗中从外部服务器（“clawdbot.getintwopc[.]site”）获取名为“config.json”的文件，进而执行一个名为“Code.exe”的二进制程序，该程序会部署ConnectWise ScreenConnect 等合规远程桌面程序。 随后，该应用会连接至URL“meeting.bulletmailer[.]net:8041”，使攻击者获得对受感染主机的持续性远程访问权限。 “攻击者搭建了自己的ScreenConnect中继服务器，生成了预配置的客户端安装程序，并通过VS Code扩展进行分发，”Aikido研究员Charlie Eriksen表示。“受害者安装该扩展后，会获得一个功能完整的ScreenConnect客户端，并立即主动连接至攻击者的基础设施。” 此外，该扩展还包含一个后备机制：从“config.json”文件中列出的DLL获取数据，并通过侧载方式从Dropbox获取相同有效载荷。这个用Rust编写的DLL（“DWrite.dll”）确保即使命令与控制（C2）基础设施无法访问，ScreenConnect客户端仍能成功部署。 这并非该扩展内置的唯一恶意载荷投递备份机制。该伪造的Moltbot扩展还嵌入了硬编码URL，用于获取可执行文件及待侧加载的DLL。第二种替代方法则是通过批处理脚本从另一个域名（“darkgptprivate[.]com”）获取恶意载荷。   Moltbot的安全隐患 此次披露的背景是，安全研究员、Dvuln 公司创始人Jamieson O’Reilly发现网络上存在数百个未认证的 Moltbot 实例，导致配置数据、应用程序编程接口（API）密钥、开放授权（OAuth）凭证及私人聊天记录泄露给未授权主体。 “真正的问题在于Clawdbot代理拥有高度自主权，”O’Reilly解释道。“它们能以用户身份在Telegram、Slack、Discord、Signal和WhatsApp上发送消息，并能执行工具和运行命令。” 这进而可能导致攻击者冒充用户联系其通讯录好友、在持续对话中插入恶意消息、篡改代理回复内容，并在用户不知情下窃取敏感数据。更严重的是，攻击者可能通过MoltHub（原ClawdHub）分发植入后门的 Moltbot “技能组件”，从而发起供应链攻击并窃取敏感数据。 安全公司Intruder在同类分析中指出，已观察到大量配置不当案例，导致凭证泄露、提示注入漏洞以及跨多家云服务商的实例遭入侵。 “核心问题在于架构设计：Clawdbot将部署便捷性置于默认安全配置之上，”Intruder安全工程师Benjamin Marr在声明中表示。“非技术用户可快速部署实例并集成敏感服务，全程无需通过任何安全验证或障碍。系统未强制要求防火墙设置、未进行凭证验证，也未对不可信插件实施沙箱隔离。” 建议使用默认配置运行Clawdbot的用户尽快审计配置、撤销所有已集成的服务连接、检查已暴露的凭证、实施网络控制措施，并持续监控系统是否出现异常迹象。       消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 音频流媒体平台SoundCloud系统遭黑客入侵，超过2980万用户账户的个人信息与联系方式被盗。这家成立于2007年、以艺术家为核心的平台，目前为全球4000多万艺术家提供超过4亿首曲目访问服务。 公司于12月15日确认数据泄露事件，此前用户普遍反映无法访问SoundCloud，且通过VPN连接时出现403″禁止访问”错误。SoundCloud当时向科技媒体BleepingComputer表示，在检测到涉及辅助服务控制面板的未授权活动后已启动事件响应程序。 “我们获悉某自称威胁行为者的组织访问了公司持有的部分有限数据，”SoundCloud声明称，”已完成受影响数据的调查，确认未涉及财务数据或密码等敏感信息。泄露数据仅包含电子邮件地址及SoundCloud公开个人资料中已显示的信息。” 尽管SoundCloud未披露事件具体细节，BleepingComputer获悉此次泄露影响平台20%用户（约2800万账户，基于公开用户数据计算）。SoundCloud随后发布的安全公告证实了该媒体信源的信息准确性。 调查发现，勒索组织ShinyHunters是本次攻击的幕后黑手，该组织曾试图勒索SoundCloud。公司1月15日更新确认了该情况，称威胁行为者”提出勒索要求，并通过邮件洪水攻击骚扰用户、员工及合作伙伴”。 虽然SoundCloud尚未公布具体受影响用户数量，但数据泄露通知服务”Have I Been Pwned”周一披露了事件全貌：约2980万账户的电子邮箱、地理位置、姓名、用户名及个人资料统计数据在此次事件中被窃取。 该通知服务说明称：”2025年12月，SoundCloud宣布发现平台存在未授权活动。攻击者借此将约20%用户的公开资料数据与电子邮箱地址进行匹配。受影响数据包含3000万个独立邮箱地址、姓名、用户名、头像、关注者统计信息，部分案例还涉及用户所在国家。攻击者随后试图勒索SoundCloud，并于次月公开泄露数据。” BleepingComputer今日再次就12月事件联系SoundCloud询问细节，尚未获得即时回复。值得关注的是，ShinyHunters上周还宣称对Okta、微软及谷歌单点登录账户的语音钓鱼攻击浪潮负责，此类攻击可能导致企业SaaS平台被入侵进而窃取数据用于勒索。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯家庭、企业及车辆警报安防系统提供商Delta公司近日遭受网络攻击，导致运营瘫痪、服务大面积中断，引发客户投诉潮。该公司周一发布声明称，遭遇”大规模、协同且组织严密”的网络攻击，攻击源来自某未指明的”敌对国家”，部分服务出现临时中断，但尚无证据表明客户个人信息泄露。 Delta营销总监瓦列里·乌什科夫在视频声明中表示：”我们的系统架构未能抵御来自境外的高度协同攻击。”他同时指出，由于公司持续面临后续攻击威胁，数据备份恢复工作进展缓慢。技术团队正全力修复系统，预计将尽快全面恢复运营。 截至周二，Delta官网及电话线路仍处于离线状态，公司被迫通过社交媒体平台VKontakte与数万名客户保持沟通。此次事件对用户造成切实影响：俄语Telegram新闻频道Baza报道称，事件发生后用户立即投诉车辆警报系统无法关闭或完全锁死车辆；《生意人报》报道则指出，尽管Delta声称多数服务运行正常，用户仍反映出现远程车辆启动系统故障、车门意外锁闭、行驶中引擎熄火等广泛问题。 此外，用户还报告住宅和商业建筑的警报系统自动切换至紧急模式且无法解除。尽管Delta坚称客户数据未泄露，某个自称攻击方运营的匿名Telegram频道发布了据称包含被盗数据的文件压缩包。相关材料的真实性及攻击者身份均未获独立核实。 值得注意的是，同一日俄罗斯航空业也遭遇大规模IT系统中断，多家航空公司及机场的订票值机系统瘫痪。多家航司报告称，在多个航空IT系统检测到问题后，售票、值机、改签及退款服务均出现临时中断。俄罗斯官方表示此次中断由航空业通用系统运营商Sirena-Travel的内部技术故障引起，未归因为网络攻击。该公司此前曾多次遭黑客攻击，包括2023年其Leonardo航班预订系统被入侵事件。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司LayerX披露，有威胁行为者创建了16款专门窃取用户ChatGPT会话数据的浏览器扩展程序，并成功上架了Chrome和Edge官方商店。该攻击者利用用户对AI增效工具日益增长的需求，向Chrome应用商店投放15款扩展，向微软Edge扩展商店投放1款。 据LayerX报告，这些伪装成ChatGPT增强工具和效率工具的扩展程序累计下载量已超900次，截至1月26日仍在官方商店流通。其攻击机制并非利用ChatGPT漏洞，而是通过向chatgpt.com注入内容脚本并在主JavaScript环境中执行，从而截获用户会话认证令牌并发送至远程服务器。 具体运作流程显示，脚本会监控网页应用发起的出站请求，识别并提取授权头部信息，再由第二层内容脚本将数据外传到远程服务器。”这种方式使扩展程序运营者能够使用受害者活跃会话登录ChatGPT服务，获取全部历史对话记录和连接器信息，”LayerX指出。 安全公司分析发现，攻击者利用主JavaScript环境中的内容脚本直接与页面原生运行时交互，而非依赖浏览器的内容脚本环境。被分析的扩展程序还会窃取扩展元数据、使用遥测数据、事件数据以及后端颁发的访问令牌。”这些数据使攻击者能进一步扩展令牌权限，实现用户身份持久识别、行为画像分析及对第三方服务的长期访问，”LayerX表示。 根据共享代码库、发布者特征以及相似的图标、品牌标识和描述，安全研究人员判断这16款扩展均出自同一威胁行为者之手。LayerX强调：”通过主环境执行与认证令牌截获的组合攻击，运营者在符合标准网络行为规范的前提下实现了对用户账户的持久访问。此类技术利用传统终端或网络安全工具极难检测。” 消息来源: securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Koi警告称，JavaScript生态系统主流包管理器（包括NPM、PNPM、VLT和Bun）存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为”PackageGate”的安全缺陷，可能导致攻击者隐藏在依赖包中的恶意代码被执行。 继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后，各组织和开发者普遍采用两大防护机制：一是设置标志位阻止安装包时自动执行预装/安装/后装脚本；二是记录依赖树中每个包的版本及完整性哈希值，后续安装时进行哈希校验。 Koi指出，影响四大包管理器的六项PackageGate漏洞可绕过这些防护措施，实现完全远程代码执行（RCE），但各管理器的攻击手法存在差异： • NPM中可通过包含恶意.npmrc文件的Git依赖实现RCE • PNPM默认禁用的脚本防护仅适用于构建阶段，不适用于Git依赖处理 • VLT的压缩包解压操作存在路径遍历漏洞，可导致系统任意文件写入 • Bun的脚本执行白名单仅验证包名而非来源，攻击者可伪装合法包实现RCE 此外，Koi发现PNPM和VLT仅存储压缩包依赖的URL而缺乏完整性哈希验证，导致初始安装通过安全检查的压缩包可能在后续安装中被篡改注入恶意代码。”攻击者一旦将恶意包植入依赖树（即使嵌套多层），即可根据时间、IP地址等信号定向投递恶意负载，”Koi强调。 安全公司已向四家包管理器提交漏洞报告。PNPM、VLT和Bun均在数周内修复漏洞，其中PNPM漏洞编号为CVE-2025-69263和CVE-2025-69264。但NPM方面将该报告标记为”信息性说明”，认为相关功能按设计运行。Koi指出该安全风险真实存在，已观测到威胁行为体讨论利用恶意.npmrc文件的概念验证代码。 针对安全媒体询问，NPM母公司GitHub回应称，通过Git安装依赖包时信任整个代码库是预期设计。”我们正积极处理新报告的问题，NPM持续扫描注册表中的恶意软件。保障NPM生态系统安全需要集体努力，我们强烈建议项目采用可信发布、精细化访问令牌及强制双因素认证来加固软件供应链。GitHub持续投入加强NPM安全，近期已实施认证和令牌管理改进措施。” 消息来源: securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全非营利组织Shadowserver近日报告称，超过6000台SmarterMail服务器暴露在互联网上，极易遭受编号为CVE-2026-23760的关键身份验证绕过漏洞攻击。网络安全公司watchTowr于1月8日披露该漏洞，SmarterTools公司于1月15日发布补丁，但未分配CVE编号。 安全公告指出：”SmarterTools SmarterMail 9511版本之前的密码重置API存在身份验证绕过漏洞。强制重置密码端点允许匿名请求，且在重置系统管理员账户时未能验证现有密码或重置令牌。未经验证的攻击者只需提供目标管理员用户名和新密码即可重置账户，导致SmarterMail实例完全被管理员权限接管。” watchTowr研究人员发布了仅需管理员用户名的概念验证攻击代码。攻击者可利用此漏洞劫持管理员账户，在目标服务器实现远程代码执行，最终完全控制存在漏洞的服务器。 Shadowserver根据版本检测发现，全球超过6000台SmarterMail服务器可能易受攻击。研究人员还监测到实际攻击中已出现漏洞利用尝试。 该组织在社交媒体平台X上表示：”我们已将SmarterMail CVE-2026-23760远程代码执行漏洞纳入日常漏洞扫描。根据版本检测，全球约6000个IP地址可能受影响，并已观测到实际攻击中的漏洞利用尝试。” 数据显示，大部分存在漏洞的服务器位于美国（约4100台），其次是马来西亚（449台）、印度（188台）、加拿大（166台）和英国（146台）。 本周，美国网络安全与基础设施安全局（CISA）已将CVE-2026-23760列入其已知被利用漏洞目录，要求联邦民事行政部门机构在2026年2月16日前完成漏洞修复工作。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜威胁行为体Konni近期被发现使用AI工具生成的PowerShell恶意软件，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。 根据Check Point研究团队报告，Konni的恶意活动已超越其常规攻击范围，显示出在亚太地区更广泛的攻击目标。该黑客组织通常攻击韩国、俄罗斯、乌克兰及欧洲的机构。 此次攻击主要针对具备区块链相关资源和基础设施专业知识或访问权限的软件开发人员及工程团队。Konni使用伪装成合法项目文档的诱饵内容，这些内容通常与区块链及加密货币项目相关。 具体而言，攻击活动通过Discord内容分发网络投放模仿项目需求文档的ZIP文件，从而展开多阶段攻击链。诱饵文档包含架构、技术栈、开发时间表等技术细节，部分甚至包含预算和交付里程碑。 研究人员在技术报告中指出：“这种模式表明其意图是渗透开发环境，从而获取包括基础设施、API凭证、钱包访问权限乃至加密货币资产在内的敏感资产。” 为实现攻击目的，攻击者部署了AI生成的PowerShell后门程序。该脚本具有异常精巧的结构，但代码中直接嵌入了注释：”# <– 您的永久项目UUID”。 Check Point解释称：”这种措辞是LLM生成代码的典型特征，模型会明确指示用户如何自定义占位符数值。此类注释常见于AI生成的脚本和教程中。” 研究人员表示，所有这些都凸显了包括朝鲜组织在内的威胁行为体对AI技术的使用日益增多。 Check Point强调：”与针对个人终端用户不同，此次攻击活动的目标似乎是在开发环境中建立据点，通过渗透开发环境可获得跨多个项目和服务的更广泛下游访问权限。AI辅助工具的引入表明攻击者正试图在继续依赖成熟传播手段和社会工程学的同时，加速开发进程并实现代码标准化。” 该组织至少自2014年开始活跃，通常依靠鱼叉式钓鱼攻击传播围绕朝鲜半岛地缘政治议题制作的武器化文档。Konni以针对韩国的机构和个人而闻名，重点关注外交渠道、国际关系、非政府组织、学术界和政府机构，也被追踪为Earth Imp、Opal Sleet、Osmium、TA406和Vedalia。 去年11月，Konni曾被发现通过利用谷歌资产跟踪服务Find Hub攻击Android设备，远程重置受害者设备并清除其个人数据。 消息来源: cybernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta公司周二宣布，将在WhatsApp中新增”严格账户设置”功能，为因身份或职业面临高级网络攻击风险的特定用户提供额外安全防护。这款类似苹果iOS”锁定模式”和安卓”高级保护”的功能，旨在通过牺牲部分使用便捷性，为记者、公众人物等个体提供更强大的间谍软件防护。 启用该安全模式后，部分账户设置将自动调整为最高限制级别，同时自动屏蔽非联系人发送的附件和媒体文件。Meta公司表示：”这项锁闭式功能只需轻点几下即可大幅提升安全等级——自动屏蔽未知发件人的附件媒体、静音陌生来电，并限制其他可能影响应用功能的设置。” 用户可通过”设置 > 隐私 > 高级”路径启用该功能。Meta表示该功能将在未来几周内逐步向全球用户推送。 与此同时，这家社交媒体巨头宣布将在媒体分享功能中采用Rust编程语言，以保护用户的照片、视频和消息免受间谍软件攻击。该公司称此次更新是”全球范围内规模最大的Rust语言库部署”。 Meta指出，采用Rust语言使其能够开发出安全、高性能、跨平台的媒体共享库（”wamedia”），并正在通过三重策略应对内存安全问题： 产品设计层面最大限度减少攻击面暴露 持续投入对现有C/C++代码的安全保障 新代码默认选用内存安全型编程语言 公司补充道：”WhatsApp已部署控制流完整性、强化内存分配器、安全缓冲区处理API等多重防护措施。这是在用户无感知情况下提升安全性的重要进展，也是我们纵深防御战略的组成部分。” 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软日前发布了紧急安全更新，用于修复一个已在野外被积极利用的Office零日漏洞，该漏洞编号为CVE-2026-21509，影响Office 2016至2024多个版本以及Microsoft 365 应用。 该漏洞属于安全机制绕过类型，波及Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及企业版Microsoft 365 Apps。 根据微软的安全公告，漏洞成因在于“Microsoft Office的一项安全决策依赖了不可信的输入，使得攻击者能够借此在本地绕过安全防护。”公告确认该漏洞已被在野利用，并指出：“攻击者需要向用户发送恶意Office文件并诱使其打开。” 本次更新修复了一个可绕过Microsoft 365和Office中OLE安全保护的缺陷，该缺陷会将用户暴露于存在漏洞的COM/OLE控件。 微软已确认Office的预览窗格不受此漏洞影响，且无法作为攻击入口。不过，该公司并未披露关于利用此漏洞的攻击的技术细节。 微软正在努力解决Microsoft Office 2016和2019中的该漏洞，并宣布将尽快发布安全更新。 微软也提供了临时缓解方案以降低风险： Office 2021及更高版本在重启应用程序后，可通过服务端修复自动获得保护。 对于Office 2016和2019版本，用户需要等待并安装即将发布的安全更新，或者立即手动修改注册表来禁用存在隐患的COM/OLE控件。具体操作涉及添加特定的COM 兼容性注册表项，并在其中设置兼容性标志DWORD值。微软提醒，在修改注册表前务必进行备份，修改后需重启Office应用程序才能使防护生效。   消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，安全研究人员确认了一起针对MicroWorld Technologies公司eScan杀毒产品的严重供应链攻击事件。黑客疑似利用厂商合法的更新通道，向用户推送了恶意更新。 根据Morphisec威胁实验室今日发布的研究报告，此次事件导致多阶段恶意软件被分发给全球范围内的企业和个人用户终端。 据悉，这些恶意更新包使用了被盗的eScan代码签名证书进行数字签名，这使得它们看起来合法，轻易绕过了系统常规的信任验证机制。恶意软件一旦成功部署，便会建立持久化驻留，开启远程访问功能，并会主动阻止受感染主机接收任何后续的更新。 多阶段恶意软件内置反清除机制 整个攻击链始于一个被植入了木马的32位eScan程序，该程序在软件更新过程中替换了原有的正常组件。此初始载荷会释放更多恶意模块，包括一个下载器和一个能为攻击者提供受感染系统完全控制权的64位后门。本次攻击活动一个至关重要的特征是恶意软件内置了反清除机制。它通过修改Windows系统的hosts文件并篡改eScan相关注册表项，阻断了终端与eScan官方更新服务器的连接。这使得受感染的设备无法自动获取修复补丁。 恶意软件通过创建伪装成Windows磁盘碎片整理任务的计划任务，以及使用随机生成的GUID名称的注册表项来实现持久化。同时，下载器模块还会尝试与外部命令与控制（C2）服务器通信以获取更多攻击载荷，不过这些C2服务器的当前状态尚未明确。 检测、响应与处置建议 Morphisec称，其在恶意软件开始分发后的数小时内，就在部署了其防护方案的客户系统上检测并拦截了相关恶意活动。 据称，Morphisec在事发当日便联系了MicroWorld Technologies。eScan方面则表示，其通过内部监控发现了异常，在一小时内隔离了受影响的基础设施，并将全球更新系统离线了超过八小时以进行处理。 然而，Morphisec指出，尽管厂商声称已通过电话直接通知客户，但其客户仍需主动联系eScan技术支持才能获得具体的修复方案。 Infosecurity网站已就此事联系eScan寻求置评，但截至发稿前未获回复。Morphisec建议所有使用eScan产品的组织立即采取以下应对措施： ·在终端上搜索已知的恶意文件哈希值。 ·检查Windows\Defrag\目录下的计划任务，排查可疑项。 ·审查注册表中那些包含编码数据、以GUID格式命名的键值。 ·封锁已识别的C2域名。 ·立即吊销对涉事被盗eScan代码签名证书的信任。 对于未部署有效防护的系统，建议直接假定其已遭入侵，立即隔离受感染设备并进行全面的取证分析。截至本文发布，eScan官方尚未就此事件发布公开安全公告，相关调查据称仍在进行中。 消息来源:infosecurity-magazine.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，荷兰一家大型会计师事务所已成为活跃勒索软件组织Nova的最新攻击目标。 2026年1月23日，该入侵事件被一家勒索软件活动跟踪平台发现并记录，其攻击发生时间估计与发现日期相近。 攻击者宣称已窃取大量敏感数据，并给出了为期10天的最后通牒，要求受害方与其联系并就支付赎金进行谈判。 事件详情 毕马威是全球领先的专业服务机构，为众多大型跨国企业提供审计、税务及咨询等全方位服务。 其荷兰分部掌握着大量客户敏感数据，涵盖金融服务、合规审计及企业运营的敏感客户数据。 此次攻击目标的选择，符合Nova勒索软件一贯的作案模式，即专注于攻击专业服务与金融行业的知名企业。Nova已被视为当前勒索软件领域的重要威胁之一。 威胁情报数据显示，该组织在Tor网络上部署了多个命令与控制服务器节点。 对公开攻击指标的分析表明，Nova通过分布在多个“.onion”域名下的基础设施来实施数据泄露。 该团伙的后端服务器采用基于uvicorn的标准架构，表明其采用了标准化的后端部署。 安全建议 网络安全团队应立即封锁已识别的相关域名基础设施，并密切监控网络内是否存在与勒索软件部署相关的横向移动活动。 一旦在网络日志中发现任何与Nova相关的入侵痕迹或攻击指标，必须立即启动应急预案。 截至目前，毕马威官方尚未就此次事件公开发表声明。 建议客户及其他相关方密切关注其官方渠道的后续通报，以获取事件影响的详细评估及修复进展的时间表。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Crunchbase近日确认发生数据泄露事件。此前，名为ShinyHunters的网络犯罪组织声称从其系统中窃取了超过200万条个人记录。 由于勒索失败，ShinyHunters已在相关网站上公开泄露了一个容量为402 MB的压缩数据包。 Crunchbase表示，此次事件未影响公司正常运营，且安全漏洞现已得到遏制。公司已通报美国联邦当局，并正借助外部专家力量调查此事。目前，Crunchbase正在评估被泄露的数据内容，以确定是否需要依法发布通知。 Crunchbase在给SecurityWeek的声明中称：“Crunchbase检测到一起网络安全事件，有威胁行为者从公司内部网络窃取了某些文件。此事件未造成业务运营中断。我们已控制住事态，系统是安全的。” 声明进一步指出：“在发现事件后，我们立即聘请了网络安全专家协助处理，并联系了联邦执法机构。我们已知悉威胁行为者在网上公开了部分信息。根据事件响应流程，我们正在审查受影响的信息，并将依据相关法律要求决定是否需发布通知。” ShinyHunters团伙最近重启了其数据泄露网站，列出的受害者包括SoundCloud、Betterment以及本次的Crunchbase，前两家公司此前也已承认遭遇数据泄露。 ShinyHunters是一个以牟利为目的的网络犯罪组织，自2020年起持续活跃。它从大型企业窃取海量个人及公司数据，若赎金要求未被满足，便在地下论坛出售或公开泄露这些数据。该组织常利用窃取的凭证、云服务漏洞及社交工程手段实施攻击，并曾宣称对Tokopedia等知名平台及其他高价值目标的大规模数据泄露事件负责。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Varonis报告称，一个地下网络犯罪论坛上出现的新型恶意软件工具包，可以在提供钓鱼页面时保持浏览器地址栏不被修改。 这款被称为Stanley的恶意软件即服务工具包，定价在2000至6000美元之间，首次于1月12日被发现，其发布帖子声称它可以创建绕过谷歌商店审核的扩展程序。 Varonis发现，其顶级的定价为威胁行为者提供了定制选项、一个管理面板，并保证能在Chrome网上应用商店上架。 这家网络安全公司指出：“这个保证是此次商业活动的核心：它将分发风险从买家身上转移，并暗示卖家拥有一种可重复通过谷歌审核流程的方法。” 一个基于网络的管理界面为不法分子提供了受感染主机的视图，显示诸如IP地址（用作标识符）、在线状态、浏览器历史状态以及最后活动时间戳等信息。 它还允许操作者选择单个目标并为其配置特定的URL劫持规则，这些规则包括源/合法URL和目标/钓鱼URL。 Varonis解释道：“每条规则可按感染实例激活或停用，使操作者能够分阶段部署攻击并按需触发。” 更重要的是，受害者会在浏览器的地址栏中看到他们试图访问的合法网址，而实际上却在与攻击者控制的内容进行交互。 Varonis解释道：“除了被动劫持，操作者还可以通过实时投递通知，主动引诱用户访问目标页面。这些通知来自Chrome浏览器本身，而非网站，因此它们承载着更多隐含的信任。” 对使用Stanley构建的极简笔记和书签扩展程序Notely的分析显示，其创建者在其中打包了合法功能，但也将其设计为请求必要的权限，以完全控制用户访问的网站。 该扩展包含一个持久的轮询机制，不断与其命令与控制服务器进行校验，实现了备用域名轮换，并拦截网站访问以覆盖一个包含钓鱼页面的全屏iframe。 Varonis解释道：“浏览器的地址栏继续显示合法域名（例如binance.com），而受害者看到并与之交互的却是攻击者的钓鱼页面。” 这家网络安全公司指出，Stanley的价格区间使其能够被广泛的网络犯罪分子获取，而潜入Chrome网上应用店的恶意扩展程序可能会活跃数月，悄无声息地窃取凭证。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员日前发现了一个规模庞大的反向链接非法交易市场，其目的是帮助网络犯罪分子提升恶意网页在搜索引擎结果中的排名。 Fortra公司的威胁情报与研究专家在Telegram和WhatsApp平台上发现了这项名为“HaxorSEO”（亦称“HxSEO”）的黑产服务。该服务通过一份谷歌表格，提供了超过1000个指向事先被攻陷但表面合法的域名的反向链接。 Fortra解释道：“这些域名通常已注册15至20年，售卖时会附带一系列‘信任度’评分，用以宣传所购反向链接在提升搜索引擎排名方面的效果。”“一旦买家付款，该团伙就会将包含恶意地址的反向链接植入目标合法域名，从而大大提高买家达成其恶意目的的成功率。” 攻击者首先通过植入Webshell来控制这些合法网站。随后，购买服务的威胁行为者便可利用这些植入的链接，提升其恶意网站的搜索排名，将毫无戒心的用户诱骗至旨在窃取凭证或分发恶意软件的钓鱼页面。 Fortra指出，在某些案例中，经HxSEO优化后的虚假银行登录页面，其搜索排名甚至超过了它们所仿冒的正规官方网站。 供应商还声称，Haxor还能够通过在垃圾、低权威度的网站上部署垃圾反向链接，来拉低被模仿的合法页面的SEO评分。 低成本，高危害 此项服务每条反向链接的售价低至6美元，并可自动将所需代码注入被攻陷的网站，对威胁行为者而言极具吸引力。报告警告称：“由于在搜索结果中极难甄别这些恶意反向链接，加之其低廉的成本，这必然会导致大规模攻击的发生。” HxSEO市场在列出每条恶意反向链接时，都会附上常见的SEO指标，用以说明对应域名或网页的权威性与强度。 Fortra进一步说明：“页面权威值（PA）、域名权威值（DA）和域名评级（DR）可用于预测该网站用于SEO投毒的效果，其中域名评级（DR）最能体现该域名反向链接档案的‘威力’。” “垃圾邮件评分（SS）则用于评估域名因违规而被惩罚或视为垃圾邮件的风险。该列表通常同时展示100至150个被攻陷的网站，其中被遗忘的学术期刊页面尤为受青睐。” 报告提到，Haxor团队最常利用存在漏洞的PHP组件和WordPress插件，通过各类文件上传及远程代码执行漏洞实施攻击。 用户需提高警惕 尽管搜索引擎持续打击此类恶意行为，但新域名、新反向链接和内容的不间断供应，足以维持像Haxor这类黑产的运转。此外，Fortra表示，购买这些服务的客户可能只需让恶意钓鱼网站上线运行数天或数周，便能达到窃取信息的目的。该威胁情报公司正与相关的域名服务商、网站所有者及搜索引擎合作，以期取缔这些恶意页面。同时，报告也呼吁用户提升自身防范意识。 报告总结并建议道：“用户应对通过搜索引擎访问的网址（尤其是银行登录页面）保持警惕。最佳做法是将网银等敏感登录页面直接添加为书签，而非每次通过搜索引擎查找。” “务必仔细核验网址中的域名是否真实合法，并留意那些带有不易察觉的细微拼写差异的仿冒域名。如若无法确定，应直接联系银行以核实正确的登录页面地址。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec与Carbon Black的研究人员发现了一种名为Osiris的新型勒索软件变种，该变种于2025年11月被用于攻击一家东南亚大型食品服务特许经营商。 根据Symantec和VMware Carbon Black威胁猎手的分析，攻击者部署了一个名为POORTRY的恶意驱动程序，用自带漏洞驱动技术来禁用安全软件。 目前对Osiris的开发者，或其是否以勒索软件提供服务知之甚少，但有证据表明其与INC勒索软件存在关联。 Symantec与Carbon Black发布的报告中指出：“虽然这款Osiris勒索软件与2016年出现的同名勒索软件家族（Locky勒索软件的一个变种）重名，但没有迹象表明这两个家族之间存在任何关联。” Osiris似乎是一种新型勒索软件变种，与2016年基于Locky的同名变种无关。其开发者及任何RaaS模式仍属未知，但博通研究人员发现了攻击者与INC勒索软件团伙有相关联的迹象。 Osiris是一款功能齐全的勒索软件，能够停止服务和进程、选择要加密的文件和文件夹，并投放勒索信。研究人员报告称，该软件支持多种命令选项来定义目标、设置日志记录、选择加密模式以及Hyper-V等相关操作。这个新的勒索软件家族会跳过特定文件类型和系统文件夹，为加密文件附加.Osiris扩展名，删除VSS快照，并终止数据库、备份和生产力相关进程。该恶意软件使用混合ECC和AES-128-CTR加密，每个文件使用唯一密钥，通过完成端口管理异步输入/输出操作，并留下一份名为Osiris-MESSAGE.txt的勒索信，并在勒索信中提及敲诈细节和谈判链接。攻击链在勒索软件部署的数天前便已启动，攻击者当时使用Rclone工具悄悄窃取数据，并将其上传到Wasabi云存储桶中。这种方法，连同重用的工具（如名为kaz.exe的Mimikatz变体），都与过去Inc勒索软件的操作手法如出一辙，表明这可能是模仿或由前Inc附属组织参与的行动。 报告继续指出：“攻击者还部署了Netscan、Netexec和MeshAgent等其他具有双重用途的工具。他们还使用了定制版的Rustdesk远程监控和管理工具，该工具被修改以伪装其功能，并加入了‘WinZip远程桌面’的文件描述和WinZip图标，企图隐藏其真实用途。” 攻击者使用常见的双重用途工具进行网络探测和访问，外加一个伪装成“WinZip远程桌面”的修改版RustDesk远程工具以隐藏其目的。为了瘫痪防御系统，他们在一次自带漏洞驱动攻击中，部署了伪装成Malwarebytes组件的Poortry驱动程序，用以关闭安全软件。KillAV也为了达成目的而被使用。最后，在启动勒索软件之前，他们启用了RDP以维持远程访问。 Osiris是技术娴熟的威胁行为者使用的一款能力强大的新型勒索软件。研究人员强调，工具的重复使用和战术表明其可能与Inc附属组织及Medusa活动存在潜在联系，尽管这样的关联尚不明确。 报告总结道：“勒索软件领域的形势不断变化，新勒索软件家族的出现始终值得密切关注。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 爱尔兰一名高级官员本周表示，爱尔兰政府计划起草一项立法，使执法部门使用间谍软件合法化。 爱尔兰司法、内政与移民事务部长吉姆·奥卡拉汉于周二表示，爱尔兰有必要加强“合法拦截权”，并“为使用隐蔽监视软件建立法律依据”，以更有效地打击严重犯罪与安全威胁。 公告称，该法案将要求所有的拦截请求必须获得法院授权。 根据公告，该法律还将包含一项条款，允许使用电子扫描设备，这类设备可精确定位并记录移动设备的识别数据，从而将其追踪至特定区域。 奥卡拉汉在声明中表示：“新立法还将包含有力的法律保障措施，以持续确保这些权力的使用是必要且适度的。” 公告指出，司法部将与爱尔兰总检察长办公室及其他国家机构合作，共同制定该法律框架。 奥卡拉汉称这项计划中的立法“早该出台”。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WorldLeaks网络犯罪团伙声称已从这家鞋服巨头的系统中窃取了信息。 在网络犯罪团伙声称从其系统窃取数据后，耐克已展开调查。 1月22日，这家运动鞋服巨头被列为WorldLeaks团伙运营的基于Tor的泄露网站的受害者。网站上的倒计时显示，除非支付赎金，否则被盗数据将于1月24日公开。 网络犯罪分子尚未具体说明他们从耐克窃取了多少数据或何种类型的数据。 耐克向SecurityWeek表示：“我们始终高度重视消费者隐私和数据安全。我们正在调查一起潜在的网络安全事件，并积极评估情况。” WorldLeaks组织于2025年出现，其前身是自2023年底开始活跃的勒索软件团伙”Hunters International”。在转型为WorldLeaks后，这些网络犯罪分子停止使用文件加密恶意软件，完全专注于数据窃取和勒索。 截至发稿时，WorldLeaks网站列出了近120名受害者名单。其中之一是戴尔公司，该公司曾在2025年7月表示，黑客仅窃取了合成的或公开可用的信息。 耐克可能遭入侵的消息传出前不久，服装零售商Under Armour刚刚宣布正在调查一起涉及客户电子邮件地址和其他个人信息的数据泄露事件。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月下旬一场针对波兰电网的网络攻击，已被证实与受俄罗斯政府支持的黑客组织“沙虫”有关。该组织在攻击中试图部署一种名为”DynoWiper”的新型破坏性数据擦除恶意软件。 沙虫组织（亦被追踪为UAC-0113、APT44和Seashell Blizzard）是一个俄罗斯国家级黑客组织，自2009年以来持续活跃。该组织被认为隶属于俄罗斯总参谋部情报总局（GRU）第74455部队，并以实施破坏性和毁灭性网络攻击而闻名。 几乎正好在十年前，沙虫曾对乌克兰能源电网发动了一次破坏性数据擦除攻击，导致约23万人断电。 根据ESET公司的调查，沙虫组织现已被证实与12月29日至30日针对波兰能源基础设施的攻击有关，此次攻击使用了名为“DynoWiper”的数据擦除器。 当数据擦除器被执行时，会遍历文件系统并删除文件。操作完成后，操作系统将无法使用，必须通过备份恢复或重新安装。 波兰官方在声明中表示，此次攻击的目标是两座热电联产厂以及一个用于控制风电机组和光伏农场等可再生能源发电的管理系统。 波兰总理唐纳德·图斯克在新闻发布会上表示：“一切迹象表明，这些攻击是由与俄罗斯情报部门直接相关的团体策划的。” ESET尚未公布关于DynoWiper的详细技术细节，仅表示该防病毒公司将其检测为Win32/KillFiles.NMO，其SHA-1哈希值为4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6。 BleepingComputer未能在VirusTotal、Triage、Any.Run等其他恶意软件提交平台找到该擦除器的样本。 虽然目前尚不清楚攻击者在波兰系统内潜伏了多长时间，也不确定其入侵方式，但Team Cymru的高级威胁情报顾问威尔·托马斯建议防御者参阅微软2025年2月发布的关于沙虫组织的报告。 不久前，沙虫组织还被证实与2025年6月和9月针对乌克兰教育、政府和粮食部门的破坏性数据擦除攻击有关。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 确认已修补设备仍遭 FortiCloud 单点登录功能攻击 与近期出现的 FortiCloud 单点登录漏洞类似，这些攻击绕过了身份验证。 Fortinet 周四证实，近期的攻击正在绕过已完全修复近期漏洞的设备上的 FortiCloud 单点登录身份验证。 Arctic Wolf 本周警告称，黑客正利用自动化手段，修改FortiGate 防火墙的配置，以添加新用户账户、启用VPN访问权限并窃取设备配置文件。 该公司指出，此次新的攻击活动与 2025 年 12 月针对 CVE-2025-59718 和 CVE-2025-59719 的攻击相似。这两个高危漏洞影响了 FortiOS、FortiWeb、FortiProxy 和 FortiSwitch Manager 设备的 FortiCloud SSO 登录功能。 Fortinet在 12 月初发布了针对这两个漏洞的修复程序，并警告称，黑客可能利用精心构造的 SAML 响应消息，在启用了 FortiCloud SSO 登录功能的实例上绕过身份验证。 Fortinet于周四证实了先前业界的担忧：即使设备已针对 CVE-2025-59718 和 CVE-2025-59719 打过补丁，攻击仍然能够成功。 Fortinet表示：“我们已确认多起案例，受攻击的设备在遭袭时已完全升级到当时的最新版本，这表明存在一条新的攻击路径。” 该公司补充道：“需要注意的是，虽然目前仅观察到针对 FortiCloud SSO 的利用，但此问题适用于所有 SAML SSO方式。” Fortinet表示正在制定修复方案，但尚无法分享其可用性的具体细节。 该公司已共享了入侵指标，以帮助客户排查其设备上的恶意活动。 建议各组织阻止从互联网对边缘设备进行管理访问，并将其限制在本地 IP 地址范围内。 Fortinet指出：“作为一项额外的临时缓解措施，我们建议禁用 FortiCloud SSO 功能。这将防止通过此方法被突破，但无法防范第三方 SSO 系统，因此建议仅在与本地入站策略结合使用时采取此措施。”       消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文