HackerNews

HackerNews 编译，转载请注明出处： 谷歌发布安全更新修复安卓系统多项安全漏洞，包含两个已被实际利用的高通漏洞。漏洞涉及CVE-2025-21479（CVSS评分8.6）与CVE-2025-27038（CVSS评分7.5），二者与CVE-2025-21480（CVSS评分8.6）均由芯片制造商于2025年6月披露。 CVE-2025-21479属于图形组件授权错误漏洞，可能导致因GPU微代码中未经授权的命令执行而引发内存损坏。CVE-2025-27038则是图形组件的释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。 目前尚无漏洞实际利用细节，但高通曾声明“谷歌威胁分析小组迹象表明，CVE-2025-21479、CVE-2025-21480、CVE-2025-27038可能已被有限且针对性利用”。鉴于Variston、Cy4Gate等商业间谍软件供应商曾利用类似高通芯片漏洞，推测上述漏洞可能已被同类场景滥用。 这三项漏洞已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞目录，要求联邦机构在2025年6月24日前完成更新。 谷歌2025年8月补丁还修复了安卓框架中两个高危权限提升漏洞（CVE-2025-22441与CVE-2025-48533）以及系统组件关键漏洞（CVE-2025-48530）。后者在与其他漏洞串联时，无需额外权限或用户交互即可实现远程代码执行。 谷歌提供2025-08-01和2025-08-05两套补丁级别，后者额外包含Arm与高通闭源及第三方组件修复方案。建议安卓用户及时安装更新以防范潜在威胁。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。 此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。 Wiz已向NVIDIA负贵披露这些发现，目前补丁已发布。我们感谢NVIDIA安全团队的高效协作与快速响应。NVIDIA为此漏洞链分配了以下标识符：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334。强烈建议所有Triton用户升级至最新版本。本文概述这些新漏洞及其潜在影响。此研究是Wiz披露的系列NVIDIA漏洞中的最新成果，包括两个容器逃逸漏洞：CVE-2025-23266和CVE-2024-0132。 防护措施 立即升级：首要措施是根据NVIDIA安全公告将Triton服务器及Python后端升级至25.07版本。 Wiz客户可通过以下方式检测云环境中易受攻击的实例： 在漏洞发现页面筛选关键问题相关实例 使用安全图谱识别公开暴露的虚拟机/无服务器容器 高级客户可通过动态扫描器筛选已验证结果 传感器客户可筛选运行时验证结果 代码安全客户可通过一键修复生成代码库修复方案 Triton内部机制 Triton作为通用推理服务器，通过模块化后端系统支持主流AI框架（如PyTorch、TensorFlow）。当推理请求到达时，服务器自动将其路由至对应后端执行。本次研究聚焦Python后端——因其不仅是热门多功能后端，还是其他后端的依赖组件。该后端核心逻辑由C++实现，通过独立“存根”进程加载并执行模型代码。二者通过共享内存（/dev/shm）实现高速进程间通信(IPC)，依赖唯一系统路径访问内存区域。 漏洞链分析 第一步：后端共享内存名称泄露 通过发送特制超长请求触发异常，错误响应中意外暴露内部IPC共享内存区域的完整密钥（例如“triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859”）。此密钥本应保持私密，泄露构成攻击链的关键突破点。 第二步：滥用共享内存API实现任意读写 Triton提供面向用户的共享内存API以优化性能。攻击者利用泄露的内部密钥调用注册接口后，可构造推理请求操纵该内存区域。由于API未验证密钥归属，攻击者借此获得对Python后端私有内存的读写权限，包括其IPC控制结构。 第三步：实现远程代码执行的路径 通过篡改共享内存中的数据结构和指针（如MemoryShm、SendMessageBase），攻击者可触发越界内存访问。进一步操纵IPC消息队列可构造恶意指令，最终实现从内存破坏到逻辑漏洞的完整利用链（具体技术细节暂不公开）。 攻击影响 模型窃取：窃取专有高价值AI模型 数据泄露：截获模型处理的用户隐私或金融数据 结果操控：篡改AI输出以制造错误或恶意结果 横向移动：以受控服务器为跳点渗透内网 结论 此案例证明看似微小的漏洞串联可引发系统级入侵。Python后端的详细错误信息与主服务API的验证缺失，共同构成了完整的攻击路径。随着AI/ML的广泛部署，基础架构安全防护至关重要。       消息来源：wiz； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州贝灵汉市的放射诊疗机构西北放射医学中心（Northwest Radiologists）向约35万名当地居民发出通知，称其个人信息在数据泄露事件中遭泄露。该机构表示，事件发生于2025年1月25日，当日部分系统遭遇“网络中断”。机构早在3月首次披露事件时已指出，受影响系统存储的受保护健康信息（PHI）可能被波及。 此次最新通报确认，攻击者在1月20日至25日期间侵入其网络，并获取了受影响系统中的数据。泄露信息涵盖患者姓名、住址、电话号码、电子邮箱、出生日期、社会安全号码、驾照号码、政府身份证件号码、诊断及治疗细节、健康保险信息、财务与银行数据等。 该机构称已加强系统安全防护，防止类似事件重演，并向受影响个体提供免费信用监控与身份保护服务。西北放射医学中心向华盛顿州总检察长办公室通报称，共有348,118名该州居民受此次攻击影响。由于该机构在阿拉斯加州也开展业务，且事件尚未列入美国卫生与公众服务部违规通报平台，其他州居民是否受影响尚不明确。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360发现代号“ClickTok”的新型全球恶意软件活动，通过仿冒TikTok店铺传播SparkKitty间谍软件窃取加密货币资金。该间谍木马专门针对TikTok Shop全球用户设计，采用结合钓鱼与恶意软件的混合诈骗模式，欺骗平台买家及联盟计划参与者。ClickTok活动中发现的SparkKitty间谍软件与卡巴斯基此前披露的SparkCat变种高度相似，安装后渗透用户设备、访问相册并提取含加密货币钱包凭证的截图。其独特之处在于同时运用钓鱼与恶意软件技术，大幅提升攻击效果与隐蔽性。 诈骗始于仿冒TikTok商业生态（含TikTok Shop、TikTok Wholesale、TikTok Mall）。攻击者创建界面高度仿真的虚假网站诱导用户登录购物。结算环节强制要求加密货币支付，用户完成付款后，内置SparkKitty的木马化应用开始窃取设备敏感数据（包括通过读取截图获取钱包凭证），最终盗取数字资产。CTM360已完成ClickTok诈骗深度分析并发布完整报告。 攻击者核心目标分为两方面： 钓鱼网站：通过Meta广告分发虚假店铺链接，诱导用户输入登录凭证、支付信息及卖家资料并静默窃取。 木马化应用：移动端诱导用户安装携带SparkKitty的篡改版TikTok应用，该间谍软件具备深度设备监控、剪贴板窃取及凭证盗用能力。这些伪造应用界面与正版完全一致，使用户误认操作合法应用的同时在后台窃取数据。 诈骗团伙利用AI生成虚假视频及Meta广告扩大传播范围，将用户导向精心伪造的域名（形似真实TikTok网址）。截至目前CTM360已发现：超10,000个仿冒TikTok网站（多采用.top/.shop/.icu等廉价顶级域）；超5,000个恶意应用实例（通过二维码/通讯应用/应用内下载传播）；诈骗活动不仅仿冒TikTok Shop，还涉及TikTok Wholesale与TikTok Mall。 ClickTok活动通过伪造TikTok Shop登录页面窃取用户凭证，并通过木马化应用实施账户劫持。其采用替代支付架构排除传统银行卡交易，强制要求加密货币钱包付款。受害者常被诱导向伪造的TikTok钱包或泰达币（USDT）、以太币（ETH）等加密货币充值。 CTM360建议用户与机构保持警惕并采取以下防护措施： 避免下载来源不明的修改版/破解版软件（尤其警惕种子站与Telegram渠道） 输入登录或支付信息前务必手动核对域名真实性，检查拼写错误及可疑后缀 向TikTok或本国网络安全部门举报可疑内容 品牌方应借助威胁情报平台持续监测品牌滥用与仿冒趋势 部署强效杀毒或终端防护（EDR）方案预防SparkKitty入侵 加密货币用户应选用具备剪贴板保护机制的钱包       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道，香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库，事件于7月25日首次被发现。此次泄露仅影响美国客户，涉及个人联系信息。 香奈儿发言人声明：“调查显示，未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息，受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称，网络安全媒体BleepingComputer确认数据是从该公司Salesforce实例窃取。 此次攻击被归因于黑客组织ShinyHunters发起的Salesforce数据窃取攻击浪潮。据Mandiant首次披露，攻击者通过语音钓鱼（vishing）攻击定向入侵Salesforce客户：诱骗员工授权恶意OAuth应用或窃取凭证访问其Salesforce门户。一旦侵入系统，便窃取数据库并以此勒索客户。 Salesforce向BleepingComputer强调其平台未被攻破，问题源于客户账户遭社工攻击：“Salesforce自身无安全漏洞，事件均由钓鱼攻击和社交工程导致。我们持续建议客户启用多因素认证（MFA）、实施最小权限原则并严格管理关联应用。”截至目前，攻击者尚未公开泄露任何企业数据，仅通过电子邮件实施勒索。 除香奈儿外，此轮攻击的受害者还包括阿迪达斯、澳洲航空、安联人寿，以及LVMH集团旗下路易威登、迪奥和蒂芙尼。BleepingComputer知悉其他未公开的潜在受害企业，但尚未能独立核实。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国防部情报总局（HUR）宣称成功入侵俄罗斯占领的克里米亚地区政府服务器，获取了俄方强制迁移乌克兰儿童的确凿证据。该机构上周表示，已掌握数千份被转移儿童的身份文件，包括：无监护人看护儿童的个人信息、任命俄罗斯公民作为其新法定监护人的法律文书，以及儿童被转移后的安置地址。 这些数据已移交乌克兰执法部门审查，并将纳入正在进行的刑事诉讼程序。HUR发言人安德烈·尤索夫声明：“相关信息将协助我们寻回被绑架儿童，并追究责任方。”据乌克兰官方“战争儿童”数据库统计，自战争爆发以来，已有近2万名乌克兰儿童被强行带至俄罗斯或其占领区。官员警告实际数字可能更高。 HUR未明确具体入侵的服务器，但泄露文件似乎来源于辛菲罗波尔地区当局——该地区属于2014年被俄非法吞并、仍获国际社会广泛承认为乌克兰领土的克里米亚半岛。文件真实性暂无法独立核实，克里米亚当局也未就泄露事件公开置评。此前HUR曾声称对俄罗斯最大航空公司、军用无人机供应商及国有飞机制造商发动网络攻击。 此次针对克里米亚政务系统的网络行动，疑似由相对神秘的黑客组织Kiberkorpus协同完成。该组织自称隶属HUR，并在Telegram频道披露攻击细节。其由IT专家在战争爆发后组建，宣称使命为“在敌方网络空间收集情报并执行任务”。HUR未公开回应与该组织的关系。据当地媒体报道，Kiberkorpus此前曾宣称对克里米亚电信基础设施实施攻击，导致部分服务中断。 在过往行动中，HUR表示曾与BO Team、Blackjack等亲乌黑客组织合作。这些组织虽声称独立运作，但研究人员认为其与政府机构存在关联。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能相关网站的流量激增，标志着用户与AI互动方式的重大转变。Menlo Security最新研究显示，2024年2月至2025年1月期间，AI工具平台访问量从70亿次增至105.3亿次，增幅达50%。这一转变主要源于用户持续依赖浏览器访问生成式AI（GenAI）工具。尽管部分AI部署已转向桌面或私有应用，约80%的生成式AI使用仍发生在浏览器环境中。 该趋势的持续源于三大核心因素：浏览器具备跨设备普适性，可无缝集成其他服务平台，并支持开发者快速大规模部署AI工具。Acuvity联合创始人兼CEO Satyam Sinha指出：“过去一年中，关于AI风险和威胁的认知显著提升。客户反馈表明，他们正为如何优先处理这些问题感到困扰。” 当前生成式AI生态现状 Menlo Security通过分析2025年5-6月全球数百家企业30天内的AI交互数据，揭示关键洞察： • 单月生成式AI网站访问量达560万次 • 活跃GenAI域名6500个，远超应用数量（3000个） • ChatGPT周活用户超4亿，95%以上使用免费版 • 亚太区75%企业已采用生成式AI • 由AI驱动的零时差钓鱼攻击同比激增130% Darktrace高级副总裁Nicole Carignan强调：“理解不断演变的威胁态势及攻击者操纵AI的技术，对有效防护AI系统至关重要。网络安全是AI安全的基石。” 安全风险随普及率同步攀升 报告指出，“影子AI”使用加剧了安全隐患：68%员工通过个人账户使用ChatGPT等免费工具，57%曾输入敏感数据。Mimoto CEO Kris Bondi警告：“生成式影子AI缺乏防护机制，其潜在危害远超传统影子IT。隐蔽性更放大了风险。” Zimperium的Krishna Vishnubhotla补充道：“生成式AI正使钓鱼攻击的速度与逼真度急剧升级。依赖过时防御已不足够——安全策略必须与威胁同步进化。”随着AI生态的快速扩张，防护策略亦需加速迭代。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现名为PlayPraetor的新型安卓远程访问木马（RAT），已感染超11,000台设备，主要分布在葡萄牙、西班牙、法国、摩洛哥、秘鲁及中国香港地区。Cleafy研究员团队（Simone Mattia等）在分析中指出：“僵尸网络近期每周新增感染超2,000例，其快速增长源于针对西班牙语和法语使用者的定向攻击策略，标志着攻击目标已从传统受害群体转向。” PlayPraetor通过中文控制面板（C2）管理，其核心机制未脱离常见安卓木马模式：滥用无障碍服务获取远程控制权，并能在近200款银行应用及加密货币钱包上叠加伪造登录界面，以劫持用户账户。该木马最早由巴林公司CTM360于2025年3月曝光，其利用数千个伪造Google Play商店下载页面实施大规模欺诈活动，可窃取银行凭证、监控剪贴板内容并记录键盘输入。“假冒页面链接通过Meta广告及短信传播，诱使用户点击后下载恶意APK文件。”CTM360在报告中强调。 该行动被评估为全球协同攻击，包含五种变体： 渐进式网页应用（PWA）：部署欺骗性网页应用 钓鱼攻击（Phish）：基于WebView的欺诈应用 隐匿模块（Phantom）：利用无障碍服务实现持久化C2控制（即PlayPraetor本体） 伪装攻击（Veil）：通过邀请码实施钓鱼，诱骗用户购买假冒商品 远程控制（RAT）：通过EagleSpy及SpyNote工具实现完全远程操控 据意大利欺诈防护公司分析，Phantom变体具备设备端欺诈（ODF）能力，由两大主要运营团伙控制约60%的僵尸网络（约4,500台设备），重点针对葡语用户。“其核心功能依赖安卓无障碍服务实现对受害设备的实时全面控制，”Cleafy指出，“这使得攻击者能直接在受害者设备上执行欺诈操作。” 木马安装后通过HTTP/HTTPS连接C2服务器，并建立WebSocket双向指令通道，同时利用实时消息传输协议（RTMP）发起设备屏幕直播。持续新增的控制指令表明该木马处于活跃开发阶段，支持全面数据窃取。近期攻击更频繁针对西班牙语及阿拉伯语使用者，标志其恶意软件即服务（MaaS）模式正加速扩张。 中文控制面板不仅用于实时操控设备，还能生成仿冒Google Play商店的定制化恶意页面（适配桌面及移动端）。“行动成功依托成熟的运营方法，采用多级分销的MaaS模式，”Cleafy表示，“该结构支持开展广泛且精准的定向攻击。” PlayPraetor是中文威胁组织实施金融欺诈的最新工具，延续了ToxicPanda及SuperCard X等恶意软件近年的发展趋势。 关联威胁动态 ToxicPanda升级：BitSight数据显示其已感染葡萄牙约3,000台设备（西班牙/希腊/摩洛哥/秘鲁次之）。攻击链采用TAG-1241流量分发系统（TDS），通过伪造Chrome更新提示传播。新版植入域名生成算法（DGA）增强C2韧性，新增备用C2域名设置及恶意覆盖层控制指令。 DoubleTrouble浮现：Zimperium曝光的新型银行木马已突破传统覆盖攻击模式，新增屏幕录制、键盘记录及阻断特定应用启动功能。其通过Discord频道托管恶意网站传播，深度滥用无障碍服务实施欺诈。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近期警示新型Python信息窃取木马“PXA Stealer”的传播活动。据Beazley Security与SentinelOne联合报告（已提交至The Hacker News），该恶意活动被判定为越南黑客操纵PXA恶意软件，全球攻陷4000台设备盗取20万密码语黑客团伙所为，其通过Telegram API构建订阅制地下生态，自动化转售和复用窃取数据以实现变现。 “此次攻击展现出技术手段的飞跃，融合了精细的反分析技术、非恶意诱饵内容，以及阻碍安全分析并延缓检测的强化命令控制管道”，安全研究员团队（Jim Walter、Alex Delamotte等）指出。此轮攻击已感染62个国家超4000个独立IP地址，韩国、美国、荷兰、匈牙利及奥地利为重灾区，窃取数据涵盖20多万组独立密码、数百条信用卡记录及超400万条浏览器Cookie。 PXA Stealer最早由思科Talos于2024年11月曝光，被用于针对欧亚政府及教育机构的攻击。该木马可窃取密码、浏览器自动填充数据、加密货币钱包及金融机构信息。其通过Telegram外泄数据至Sherlock等犯罪平台（专门交易窃取日志），下游攻击者可购买信息实施加密货币盗窃或渗透组织进行后续攻击，形成规模化运行的网络犯罪生态。 2025年的攻击活动呈现持续战术演变：攻击者采用DLL侧加载技术和复杂的分阶段部署层规避检测。恶意DLL执行感染全流程，最终部署窃密木马前会向受害者展示版权侵权通知等诱饵文档。新版木马通过向Chromium浏览器进程注入DLL突破“应用绑定加密保护”机制，并窃取VPN客户端、云命令行工具（CLI）、共享文件及Discord等应用数据。 “PXA Stealer利用BotID（存储为TOKEN_BOT）建立主机器人与多个ChatID（存储为CHAT_ID）的关联。ChatID对应的Telegram频道主要用于托管外泄数据，并向操作者推送更新通知”，研究人员解释称，“该威胁已发展为高度规避的多阶段攻击，由越南语攻击者驱动，其明显关联于有组织的、基于Telegram的黑市——专门销售受害者数据。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一种名为“Plague”的新型Linux后门程序，该恶意软件已逃避检测长达一年之久。Nextron Systems研究员Pierre-Henri Pezier指出：“该植入程序被构建为恶意PAM（可插拔认证模块），使攻击者能静默绕过系统认证，获取持久SSH访问权限”。 可插拔认证模块（Pluggable Authentication Module，PAM）是Linux及UNIX系统中用于管理用户对应用程序和服务认证的共享库集合。由于PAM模块会被加载至特权认证进程中，恶意模块可实现凭证窃取、绕过认证检查，同时规避安全工具检测。 该网络安全公司表示，自2024年7月29日起，其在VirusTotal平台发现多个Plague样本，但所有反恶意引擎均未将其标记为恶意。此外，多个样本的存在表明幕后未知威胁组织正积极开发该恶意软件。 Plague具备四项核心能力： 静态凭证：支持隐蔽访问 抗分析能力：通过反调试与字符串混淆技术抵抗逆向工程 会话痕迹清除：通过取消设置环境变量（如SSH_CONNECTION、SSH_CLIENT）及重定向HISTFILE至/dev/null，阻止Shell命令记录，从而消除审计痕迹 Pezier强调：“Plague深度集成于认证堆栈中，可存活于系统更新过程且几乎不留取证痕迹。结合分层混淆与环境篡改技术，使其极难被传统工具检测。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 东南亚电信组织近期遭国家级威胁组织CL-STA-0969定向攻击，该组织通过部署定制化工具实现对目标网络的远程控制。Palo Alto Networks旗下Unit 42实验室披露，2024年2月至11月期间监测到多起针对该地区关键电信基础设施的攻击事件，攻击者利用Cordscan等工具收集移动设备位置数据。 值得注意的是，调查人员在受感染系统和网络中未发现数据外泄证据，也未观察到攻击者尝试追踪或联络移动网络内部设备。研究人员强调：“该威胁组织具备极高的操作安全（OPSEC）规范，综合运用多种防御规避技术躲避检测”。 该组织自2020年起持续针对南亚、非洲电信实体实施情报窃取活动。部分攻击手法还与“LightBasin”（又名UNC1945）及金融犯罪组织“UNC2891”存在关联——后者以劫持ATM基础设施著称。 攻击者通过SSH认证机制的暴力破解获取访问权限，采用针对电信设备内置账户的定制化字典列表实施突破。 恶意工具链 AuthDoor：覆盖合法PAM模块实施凭证窃取，通过硬编码魔术密码维持持久访问 GTPDoor：滥用GPRS隧道协议控制面（GTP-C）在电信漫游网络建立隐蔽C2通道 EchoBackdoor：通过ICMP回显请求数据包被动接收指令，未加密返回执行结果 SGSN模拟器：模拟服务GPRS支持节点，绕过企业防火墙限制 ChronosRAT：模块化ELF后门支持远程Shell、键盘记录及端口转发 NoDepDNS：基于Golang的DNS隧道后门，通过原始套接字解析53端口UDP指令 防御规避 攻击组合利用DNS隧道传输流量、通过被控移动运营商中转通信、清除认证日志、禁用SELinux安全模块及进程名称伪装等技术。同时部署Microsocks代理、FRP反向代理及ProxyChains等公开工具，并利用Linux本地提权漏洞（CVE-2021-4034等）扩大控制范围。 本次披露恰逢中国国家计算机网络应急技术处理协调中心（CNCERT）指控美国情报机构： 利用Microsoft Exchange零日漏洞（2022年7月-2023年7月）窃取中国军工企业国防情报 针对高科技军事院校及科研机构实施数据窃取 2024年7-11月通过电子文件系统漏洞攻击中国通信卫星企业 对此，美国前总统特朗普曾公开承认：“我们同样对他们实施网络行动，这就是世界的运行规则。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国人工智能安全研究所（AI Security Institute）联合国际合作伙伴启动1500万英镑专项研究计划，聚焦人工智能对齐（AI alignment）领域。该项目旨在确保先进AI系统始终按预期目标运作，防止其行为偏离开发者设定的目标、政策与要求。 核心合作方 加拿大人工智能安全研究所、加拿大高等研究院（CIFAR）、施密特科学基金会、亚马逊云服务（AWS）、Anthropic、Halcyon Futures、安全人工智能基金、英国研究与创新署（UKRI）及高级研究与发明署（ARIA）共同参与。 研究紧迫性 英国科技大臣彼得·凯尔（Peter Kyle）指出：“先进AI系统已在部分领域超越人类能力，使该项目变得空前紧迫。人工智能对齐致力于确保系统始终符合人类最佳利益——这正是研究所自成立以来的核心使命：守护国家安全，防范技术演进中AI可能引发的重大风险”。他同时强调：“负责任地发展AI需全球协同努力，此基金将推动AI更可靠、更可信，助力经济增长、优化公共服务并创造高技能岗位”。 AI错位风险分类 故意错位：攻击者操控AI系统实施定向攻击 无意错位：因防护机制缺失导致系统行为失控 具体威胁形态包括： 模型投毒：攻击者篡改训练数据，诱发输出偏见或植入后门 提示注入：恶意指令突破系统防护，实现越狱操控 数据泄露：设计缺陷致AI误披露敏感信息 资源消耗失控：无约束的自我复制行为耗尽系统资源 研究目标 项目将开发创新技术，确保AI系统在能力提升过程中保持目标一致性，增强透明度及人类监管有效性。此举回应了AI自主性日益增强背景下，全球对系统可控性的迫切需求。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf报告显示，自7月下旬以来，SonicWall防火墙设备遭Akira勒索软件攻击的频率显著上升，攻击者可能利用了一个此前未知的安全漏洞。 Akira勒索组织自2023年3月活跃至今，已累计入侵超300家机构，受害者涵盖日产（大洋洲及澳大利亚地区）、日立、斯坦福大学等知名企业及高校。截至2024年4月，美国联邦调查局（FBI）确认该组织通过250余起攻击事件获利超4200万美元。 Arctic Wolf实验室观察到，自7月15日起多起勒索入侵事件涉及通过SonicWall SSL VPN连接的非授权访问。研究人员指出：“本次攻击活动的初始入侵方式尚未完全确认。尽管零日漏洞存在的可能性极高，但通过暴力破解、字典攻击和凭证填充等方式获取访问权限的可能性在所有案例中均未被完全排除。” 攻击呈现显著特征： 快速入侵加密：攻击者从通过SSL VPN账户初始访问网络到实施数据加密的间隔极短，该模式与至少自2024年10月观察到的同类攻击一致，表明针对SonicWall设备的持续性攻击活动； 异常认证源：勒索运营者使用虚拟私有服务器（VPS）进行VPN认证，而合法VPN连接通常源自宽带互联网服务提供商； 基础设施共享：多起入侵事件存在共享基础设施特征，表明攻击存在协同性。 防御建议 鉴于SonicWall零日漏洞极可能被野外利用，Arctic Wolf建议管理员： 暂时禁用SonicWall SSL VPN服务； 在补丁发布前实施强化措施：增强日志监控、部署终端检测、阻止托管服务商网络的VPN认证请求。 关联漏洞预警 报告发布一周前，SonicWall曾警告客户修复安全移动接入（SMA 100）设备中的高危漏洞（CVE-2025-40599）。该漏洞可导致未修复设备遭受远程代码执行攻击，但利用需管理员权限且暂无活跃利用证据。同时提醒：Google威胁情报小组发现攻击者正利用泄露凭证在SMA 100设备上部署新型OVERSTEP rootkit恶意软件。 SonicWall强烈建议客户： 对照GTIG报告中的入侵指标（IoCs）检查设备； 审查日志中的非授权访问及可疑活动； 发现入侵证据立即联系官方支持。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 零日计划（Zero Day Initiative）宣布在2025年10月爱尔兰Pwn2Own黑客大赛中设立100万美元专项奖金，悬赏能演示WhatsApp零点击漏洞利用的安全研究人员。该奖金针对无需用户交互即可在WhatsApp上实现远程代码执行的高危漏洞。该通讯平台全球用户超30亿，漏洞潜在影响范围极大。 本届赛事由Meta、群晖科技（Synology）与威联通（QNAP）联合赞助，定于10月21日至24日在爱尔兰科克举行。零日计划在声明中明确表示：“Meta对本届赛事联合赞助充满期待，特别设立100万美元奖金激励零点击漏洞利用演示。同时设立次级奖项覆盖其他WhatsApp漏洞利用形式，详情请查阅‘消息应用’类别规则。去年此类挑战无人尝试，希望今年翻倍的奖金能激发参与热情。” 1、八大攻击目标类别： 移动设备（含三星Galaxy S25、谷歌Pixel 9、苹果iPhone 16旗舰机型） 消息应用（WhatsApp为重点目标） 家用网络设备 智能家居设备 打印机 网络存储系统（NAS） 监控设备 可穿戴技术（含Meta雷朋智能眼镜及Quest 3/3S头显） 2、攻击向量扩展： 移动设备类别新增USB端口攻击路径，要求参赛者通过物理连接突破锁屏手机；同时保留Wi-Fi、蓝牙、近场通信（NFC）等传统无线协议攻击方式。 参赛顺序通过随机抽签决定，注册截止时间为10月16日爱尔兰标准时间下午5时。 漏洞披露机制 参赛者演示的漏洞将在赛事结束后移交厂商，90天内未修复的漏洞由零日计划公开披露。2024年爱尔兰Pwn2Own大赛曾为70余个零日漏洞颁发107.8万美元奖金，越南Viettel安全团队因攻破QNAP存储设备、Lexmark打印机等目标获得20.5万美元奖金。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯航空公司（Aeroflot）遭黑客攻击导致航班大规模瘫痪后，黑客组织公开宣称泄露其CEO航班记录，而莫斯科当局否认存在数据泄露。 俄罗斯互联网监管机构Roskomnadzor表示，尽管本周初发生大规模网络攻击导致航班混乱，但“尚无证据证实公司数据遭泄露”。该机构未对此结论提供详细说明。 然而在白俄黑客组织“网络游击队”（Cyber Partisans）——本次攻击的宣称责任方——通过Telegram发布据称属于俄航CEO谢尔盖·亚历山德罗夫斯基（Sergei Aleksandrovsky）的航班数据后，上述声明迅速遭到挑战。泄露记录显示2024年4月至2025年6月间的30余次航班详情。调查媒体The Insider指出，泄露文件中亚历山德罗夫斯基的护照号码与此前其他数据泄露事件中的记录一致，但数据真实性尚未获得独立验证。 “网络游击队”宣称将陆续发布更多数据，此前该组织声称已窃取俄航完整飞行历史数据库、内部通话录音、监控录像及员工行为数据。此次网络攻击导致俄航周一取消或延误超100架次航班（占日均运量近半），约2万名旅客滞留。据《福布斯》俄罗斯版估算，运营中断叠加数据泄露风险与声誉损失，可能造成高达5000万美元损失。 尽管俄航宣布周四已恢复运营，网络安全专家警告其IT基础设施完全修复仍需更长时间。分析师奥列格·沙卡罗夫（Oleg Shakorov）指出，若官方调查认定公司网络安全措施存在疏漏，俄航或将面临法律审查。 黑客组织宣称入侵成功归因于员工使用弱密码及公司依赖过时Windows版本，但该指控尚未获独立核实。俄航目前仅发布有限事件说明。 此次攻击正值俄罗斯多行业遭遇网络袭击浪潮：上周两家大型连锁药房系统瘫痪致数百门店停摆，支付与处方服务中断；生鲜连锁Vkusvill、折扣零售商Dobrotsen、配送平台Samokat、餐饮软件开发商Iiko及国家邮政服务相继报告故障，多数被归因为“技术故障”。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卢森堡政府上周四宣布，正就7月23日导致全国通信瘫痪的网络攻击展开正式调查。此次攻击据称针对该国电信基础设施中的华为设备。 本次事故断网事件致使全国4G/5G移动网络中断超三小时。由于备用2G系统过载，大量民众无法拨打紧急服务电话，互联网接入与电子银行服务同样瘫痪。 政府向议会提交的声明指出，此次攻击以破坏服务为目的，而非意外导致系统故障的入侵行为。攻击者利用国有电信运营商POST Luxembourg所采用的“标准化软件组件”漏洞实施攻击。依赖该运营商移动网络的政府预警系统亦因此失效，未能向民众有效推送事件警报。 POST总经理强调此次攻击“异常先进且复杂”，但未侵入内部系统或窃取数据。POST正联合国家网络安全应急响应小组（CSIRT）开展司法取证调查。 尽管政府声明未明确提及受影响的供应商，卢森堡杂志《Paperjam》披露攻击目标实为华为路由器的配套软件。该国关键基础设施监管机构已要求所有使用华为企业级路由器的组织联系CSIRT报备。 华为企业级网络产品的VRP操作系统曾曝出远程拒绝服务漏洞，但近期未公开披露新漏洞。华为新闻办公室未回应置评请求。 卢森堡政府已协同CSIRT与检察院，在国家保护高级委员会（HCPN）下设立特别危机小组，专项处理事件响应及影响评估。CSIRT的司法取证旨在还原攻击过程，检察院则将评估是否构成犯罪并追查攻击者。 此次事件加速了卢森堡既定的国家韧性评估进程。当局正重新审视关键基础设施的稳健性（尤其是电信与应急服务的备用机制），担忧单一故障点可能引发灾难性后果。卢森堡同时探索监管改革，拟允许电信中断期间手机自动切换至其他运营商网络——该机制已在英、德、美等国应用于紧急呼叫场景。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Proofpoint安全研究人员发现一种新型凭证钓鱼攻击手段，黑客通过恶意OAuth应用结合多重重定向链劫持Microsoft账户，成功率超50%。2025年至今，该攻击已影响超900个Microsoft 365环境中的近3000个账户。 攻击流程解析 钓鱼邮件启动：攻击者利用被入侵邮箱发送伪装成商业合作请求的钓鱼邮件（如报价申请、合同协议），内容针对目标行业定制化设计，曾仿冒RingCentral、DocuSign等企业服务，甚至伪装小型航空企业ILSMart。 恶意应用授权陷阱：邮件内链接导向真实的Microsoft登录授权页面，诱导用户批准伪装成Adobe、DocuSign等合法服务的恶意OAuth应用请求。这些应用仅申请基础权限（如查看个人资料），以降低用户警惕性。 多重重定向劫持：无论用户点击“接受”或“取消”授权，均被重定向至验证码中间页，随后跳转至伪造的Microsoft登录页面。该页面实时窃取输入的凭证及双重认证会话令牌。 技术特征与规模 攻击链依赖钓鱼即服务（PhaaS）平台Tycoon构建，已发现超50个恶意应用参与攻击，其中4个仿冒Adobe、5个仿冒DocuSign，其余使用无关名称混淆视听。 恶意应用在授权后配置重定向规则，通过中间域名隐藏最终钓鱼页面，利用CAPTCHA页面增强欺骗性，诱使用户误认为处于合法流程中。 防御措施与行业响应 微软宣布调整Microsoft 365默认设置：普通用户向第三方应用授予账户权限需经管理员审批，以阻断恶意应用的权限获取路径。Proofpoint强调用户需时刻验证当前域名真实性，避免在重定向过程中提交敏感信息。 趋势警示：此类结合合法OAuth框架与社交工程的攻击链正成为犯罪团伙新标准，未来或将持续演化以绕过检测机制。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 近期，网络安全和基础设施安全局（CISA）和美国海岸警卫队（USCG）分析师对一家关键基础设施组织开展了威胁狩猎行动，旨在探测潜在恶意活动。CISA官网发布了专项报告，虽未发现实际入侵证据，但识别出6类高风险安全缺陷，威胁者可利用这些漏洞突破网络防御。缓解措施与NIST网络安全性能目标（CPGs）及MITRE ATT&CK框架对齐。 核心安全风险与潜在影响 1、在多台主机上共享且以明文形式存储的本地管理员账户 详细信息：CISA 发现了一些本地管理员账户，这些账户使用非唯一密码，并且这些账户在许多主机上被共享。每个账户的凭证以明文形式存储在批处理脚本中。这些经过授权的脚本被配置为创建具有本地管理员权限的用户账户，然后设置相同的、永不过期的密码——这些密码以明文形式存储在脚本中。 潜在影响：在许多主机上以明文脚本形式存储本地管理员凭证，增加了广泛未经授权访问的风险，而使用非唯一密码则便于在网络中横向移动。能够访问包含这些批处理脚本的工作站的恶意行为者可以通过在文件系统中搜索诸如“net user /add”之类的字符串，识别包含用户名和密码的脚本，并获取这些本地管理员账户的密码，从而移动。 2、IT 和运营技术环境之间网络隔离配置不足 详细信息：在评估客户 IT 和运营技术（OT）环境之间的互连性时，CISA 发现 OT 环境未正确配置。具体来说，标准用户账户可以直接从 IT 主机访问监督控制与数据采集（SCADA）虚拟局域网（VLAN）。 潜在影响：OT 网络隔离配置不足、网络访问控制（NAC）不足，以及 IT 网络中的非特权用户使用其凭证访问关键 SCADA VLAN [T1078]，带来了安全和安全风险。鉴于 SCADA 和 HVAC 系统控制物理过程，这些系统的入侵可能会产生现实世界的后果，包括对人员安全、基础设施完整性和设备功能的风险。 3、日志记录不足和实施不足 详细信息：由于该组织的事件日志系统不足以进行此类分析，CISA 无法按照既定的狩猎计划对每一个 MITRE ATT&CK®程序进行狩猎。 潜在影响：缺乏全面且详细的日志记录，以及未建立正常网络行为的基线，阻碍了 CISA 进行彻底的行为和异常检测。这一限制妨碍了对某些 TTPs（如利用本地工具的攻击技术、使用有效账户 [T1078] 以及其他复杂威胁行为者使用的 TTPs）的搜索。 5、IIS服务器sslFlags配置错误： 详细信息：CISA 发现一个 HTTPS 绑定配置为 sslFlags=“0”，这使得 IIS 保持在其旧版“每个 IP 地址一个证书”的模式中。该模式禁用了现代证书管理功能，而且由于必须在“SSL 设置”中单独启用或通过添加 来启用相互传输层安全（TLS）（客户端证书认证），因此该绑定默认情况下禁用了客户端证书强制执行。此外，sslFlags 不控制协议或加密套件的选择，可能会接受过时的协议或弱加密套件。 潜在影响：sslFlags 配置错误可能会使威胁行为者尝试中间人攻击 [T1557]，以拦截客户端与 IIS 服务器之间传输的凭证和数据。此外，由于未启用客户端证书强制执行，使服务器面临风险，未经授权或恶意的客户端可能会冒充合法用户，从而在未经适当授权的情况下访问敏感资源。 6、SQL连接字符串集中化： 详细信息：CISA 查看了生产服务器上的 machine.config 文件，发现该文件配置了一个集中式数据库连接字符串 LocalSqlServer，用于配置文件和角色提供程序。这种配置意味着，除非在每个应用程序的 web.config 文件中进行覆盖，否则服务器上的每个 ASP.NET 站点都将连接到同一个结构化查询语言（SQL）Express 或 aspnetdb 数据库，并共享相同的凭证，CISA 发现 machine.config 文件将 minRequiredPasswordLength 设置为少于 15 个字符，而 15 个字符是 CISA 推荐的密码。 潜在影响：使用集中式数据库方法会增加风险，因为该中央 SQL 数据库服务器的一个漏洞或配置错误可能会危及依赖该服务器的所有应用程序。这会形成一个单一故障点，可能会被攻击者利用。此外，将最小密码长度设置为少于 15 个字符，更容易受到各种形式的暴力攻击，这可能会导致数据泄露、数据篡改或数据库丢失。 缓解措施 尽管在这次行动中未发现恶意活动，但建议关键基础设施组织审查并实施本通告中列出的缓解措施，以防止潜在的入侵行为，更好地保护美国的国家基础设施。这些缓解措施按重要性顺序列出，如下所示： 1、不要以明文形式存储密码或凭证。相反，应使用安全的密码和凭证管理解决方案，例如加密的密码保险库、托管服务账户或部署工具的内置安全功能。 确保所有凭证在静止状态和传输过程中均被加密。实施严格的访问控制并定期进行审计，以安全地管理访问凭证的脚本或工具。 使用代码审查和自动化扫描工具检测并消除主机或工作站上存在的明文凭证实例。 强制执行最小权限原则，仅授予用户和进程完成其功能所必需的访问权限。 2、避免共享本地管理员账户凭证。相反，应使用诸如微软本地管理员密码解决方案（LAPS）之类的工具为每个账户分配独特且复杂的密码，这些工具可以自动化密码管理和轮换。 3、对所有管理访问（包括本地和域账户）以及远程访问方式（如远程桌面协议（RDP）和虚拟专用网络（VPN）连接）强制实施多因素认证（MFA）。 4、实施并强制执行严格政策，仅使用从 IT 网络隔离且配备防网络钓鱼 MFA 的加固型跳板主机来访问工业控制系统（ICS）/OT 网络，并确保常规工作站（即用于访问 IT 网络和应用程序的工作站）不能用于访问 ICS/OT 网络。 5、在所有系统（包括工作站、服务器、网络设备和安全设备）上实施全面（即覆盖范围广）且详细的日志记录。 确保日志记录信息，如身份验证尝试、带有参数的命令行执行以及网络连接等。 按照组织政策和合规要求，将日志保留适当期限，以便进行彻底的历史分析，并将日志聚合到带外的集中位置，例如安全信息事件管理（SIEM）工具中，以防止日志被篡改并便于高效分析。 验证安全控制 除了应用缓解措施外，CISA 和 USCG 建议根据 MITRE ATT&CK 企业框架中描述的威胁行为，对组织的安全计划进行测试和验证。CISA 和 USCG 建议测试现有的安全控制清单，以评估它们对本通告中描述的 ATT&CK 技术的性能。 选择本通告关联的ATT&CK技术（如T1021.001）； 对齐现有防护工具检测能力； 模拟攻击验证防护性能； 调整安全策略（人员/流程/技术）。       完整版英文报告详见：CISA； 中文版翻译报告链接：seebug 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 研究人员发现名为“DoubleTrouble”的安卓银行木马近期大幅升级传播手段与技术能力，对欧洲用户构成严重威胁。该木马最初通过仿冒大型银行的钓鱼网站传播，现已扩展至利用Discord平台托管恶意APK文件进行分发，显著增加了检测与防御难度。 Zimperium研究人员分析了当前攻击活动的9个样本及25个早期变种。据周三发布的报告显示，新版木马新增多项敏感数据窃取、设备操控及传统移动防御规避功能。 实时监控技术升级 木马安装后会伪装为合法应用（使用谷歌Play图标），诱导用户开启安卓无障碍服务。借此权限，木马可在后台隐蔽运行。其采用基于会话的安装方式，将恶意负载隐藏在应用资源目录中，有效规避早期检测。最新版本核心功能包括： 通过媒体投影（MediaProjection）与虚拟显示（VirtualDisplay）接口实现实时屏幕录制。 伪造锁屏覆盖界面窃取PIN码、密码及解锁图案。 基于无障碍事件监控的键盘记录。 针对性拦截银行应用或安全工具。 仿冒合法登录界面的定制化钓鱼覆盖层。 窃取数据经编码后传输至远程命令控制（C2）服务器，目标涵盖银行应用、密码管理工具及加密货币钱包的凭证。通过实时镜像用户设备屏幕，攻击者可绕过多因素认证，直接获取用户所见敏感内容。 全功能命令控制系统 该木马响应数十种C2服务器指令，支持远程攻击者： 模拟点击滑动操作 触发伪造UI元素 显示黑屏或更新界面 操控系统级设置 特定指令（如发送密码、启动图形拦截、屏蔽应用）使攻击者在窃密同时能主动阻挠用户操作。Zimperium警告称，DoubleTrouble采用的混淆技术、动态覆盖层与实时视觉窃取能力，标志着移动威胁正朝适应性强、持久化方向演进。其持续升级的传播手法与技术特性，对个人用户与金融机构均构成严峻挑战。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 霍尼韦尔近期修补了其工业过程控制与自动化解决方案Experion过程知识系统（PKS）中的多个漏洞。美国网络安全和基础设施安全局（CISA）上周发布公告披露了这些漏洞的存在。 根据公告，Honeywell Experion PKS产品——版本早于R520.2 TCU9 Hot Fix 1及R530 TCU3 Hot Fix 1的版本——存在六个漏洞，其中包括被归类为“严重”和“高危”级别的漏洞。多数严重和高危漏洞影响控制数据访问（CDA）组件，可导致远程代码执行。两个高危漏洞可能被用于拒绝服务（DoS）攻击，而一个中危漏洞可能被用于操纵通信信道并引发系统异常行为。 CISA指出，受影响产品在全球范围内使用，涉及关键制造、化工、能源、水务及医疗等关键基础设施领域。霍尼韦尔在声明中回应：“我们高度重视安全问题并迅速采取行动评估和修复问题。发现漏洞后，已为Experion PKS产品（含C300 PCNT02、C300 PCNT05、FIM4、FIM8、UOC、CN100、HCA、C300PM、C200E等型号）及OneWireless WDM发布更新。用户必须按安全通告升级至指定版本以增强防护。” 俄罗斯网络安全公司Positive Technologies因报告漏洞获得致谢。该公司工业控制系统负责人Dmitry Sklyar表示：“漏洞在Experion PKS设备（含现场级网络转换器和I/O模块）中发现。受影响设备通常部署于工业设施的隔离网段，难以通过互联网远程利用。”他解释称：“漏洞存在于缺乏身份认证功能的网络协议处理程序中，攻击者只需接入隔离网段即可利用。成功利用可在受控设备上执行任意代码，可能操纵工业流程及设备——包括停止/重启设备、修改网络设置、篡改过程参数等。”他建议企业“部署漏洞管理系统进行防护”。 本月初，霍尼韦尔旗下公司Tridium开发的Niagara框架也被披露存在十余个漏洞。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文