Aggregator

WinRAR发布7.12正式版修复高危漏洞CVE-2025-6218，该漏洞可致远程代码执行。烈火汉化已提供简体中文版下载。

当前环境出现异常问题，用户需完成验证后方可继续访问系统或相关内容。

游戏外挂看似是能在虚拟世界中“捷径通关”的程序，实则是威胁数字安全的隐形杀手，从篡改游戏数据破坏公平竞技环境，到伪装成正规软件窃取用户隐私，再到形成覆盖开发、贩卖、数据盗用等环节的黑色产业链，外挂程序的危害正不断显现，愈发需要我们提高警惕。

当前环境出现异常，需完成验证后方可继续访问。

HackerNews 编译，转载请注明出处： 随着近期以色列与伊朗冲突升级，支持巴勒斯坦的黑客行动主义团体 GhostSec 据称已将其攻击焦点转向天基资产，尤其针对以色列卫星。这是他们表达抗议的方式。 GhostSec 长期以来通过实施远比同行更复杂的战术和有针对性行动，在黑客行动主义领域中独树一帜。目前，该组织正专注于攻击 VSAT（甚小孔径终端）系统——一种用于卫星通信的地面终端设备。 这类终端通常关联远程军事、政府及其他关键工业控制设施。尽管该组织常宣称这些行动是对实际在轨“卫星”的攻击，但其真实目标是地面与在轨卫星通信的卫星终端及暴露的网络基础设施。 这是一种操纵天基基础设施的手段。 与想象不同，黑客行动主义者并非使用 RTL-SDR、卫星天线等专门的射频设备来定位、瞄准或入侵卫星基础设施。这是因为 VSAT 终端拥有公共 IP 地址，这意味着它们很容易通过 IP 范围扫描和 Shodan 等工具被发现。 虽然 Shodan 仍是各类黑客的首选资源，但 VSAT 端点也可通过 OSINT（开源情报）方法（如关联卫星 ISP 的 ASN/IP 所有权）暴露出来。此外，还能利用各种 SNMP 枚举技术进行发现，例如以下 Metasploit 模块：auxiliary/scanner/snmp/snmp_enum。 VSAT、SNMP、Shodan 与黑客行动主义 SNMP 指简单网络管理协议（Simple Network Management Protocol），运行于端口 161。大量 VSAT 终端在互联网上暴露了 SNMP 接口。由于使用 Shodan 搜索设备相当简单，用户可以观察到 SNMP 实际上是电信、应急通信和偏远外交前哨广泛使用的协议。 试想一下：一条改变卫星调制解调器设置的 SNMP 写入命令，就可能导致整个区域断网，在战区尤其如此。 暴露 SNMP 接口的 VSAT 终端通常会泄露卫星的识别信息： 设备类型 供应商/制造商（如 Gilat、iDirect、HughesNet 等） 接口名称（如 satEnd0、satUplink、rf0ut 等） 网络拓扑，包括卫星链路、调制解调器、路由行为等 物理位置 上行/下行链路统计数据 GPS 坐标（如已设置） GhostSec 电报频道言论 GhostSec 领袖 Sebastian Dante Alexander 就该组织近期目标表示： “这次针对卫星的最新攻击不同于我们之前入侵这些卫星 GNSS 接收器的行动。我们此次攻击的 VSAT 终端已确认被军方使用。攻击截图显示了攻击步骤。我们成功使攻击的两个 VSAT 终端瘫痪，直到问题解决为止——显然这花了他们超过 24 小时。” 他解释称，该组织使卫星失效，因此以色列军方在停机期间无法获取该卫星的任何信息或继续使用。 在远程部署中，VSAT 终端通常依赖 SNMP 进行日常监控和设备管理。这种轻量级协议使服务提供商能够跟踪关键指标，如运行时间、带宽使用情况和卫星链路性能。它还使操作员能够远程重启设备或调整配置——这在物理访问不切实际的情况下是必要的。 此外，许多 VSAT 出厂时带有默认的 SNMP 团体字符串（community strings），如 public（读权限）和 private（写权限），并且极少被更改。在 VSAT 终端上保留默认 SNMP 团体字符串会构成潜在威胁：拥有 public（读权限）的任何人都可从中提取信息（包括流量日志）。 若保留未更改的 private（写权限）团体字符串，攻击者就能向 VSAT 终端写入数据，这才是真正灾难的开始。拥有 private 字符串的访问权限，攻击者可以重启调制解调器、更改路由表、重新配置上行链路参数，甚至彻底瘫痪或完全禁用 VSAT 终端。 这正是在俄乌战争初期得到证实的网络攻击中发生的情况：2022 年 2 月 24 日（即俄罗斯入侵乌克兰当天），乌克兰的 Viasat KA-SAT 卫星网络遭入侵。该攻击导致数万个地面终端瘫痪，中断了乌克兰军事通信，并造成附带影响——波及德国风力发电场和中欧的民用互联网服务提供商。 GhostSec 的目标 该组织的身份本质上与瞄准高价值网络基础设施相关联。其异常复杂的攻击手段使其区别于大多数黑客行动主义团体——后者通常使用现成工具攻击易得目标，并制造乏味的结果。 2023 年春季，GhostSec 在破坏 11 台全球导航卫星系统（GNSS）接收器后成为头条新闻，这使他们能够清除每台设备的数据，并阻止卫星未来获取任何数据。 然而，GhostSec 当前的攻击虽然与之前类似，但略有不同。 “之前的 GNSS 接收器大多用于图像采集或一般用途。这次，我们瞄准了八颗特定卫星，并成功攻击了其中两颗，在此场景下产生了更大的影响。” GhostSec 的 Telegram 频道揭示了其重燃卫星入侵兴趣背后的意识形态驱动叙事。6 月 13 日，GhostSec 提及巴勒斯坦的压迫和以色列持续升级的错误行为。 “除了关闭 500 多个网站（数量仍在增加）之外，我们还将展示更多攻击成果。我们攻击了以色列境内超过 100 台 Modbus PLC 设备，影响了他们的工业系统和 OT 系统。我们入侵了超过 40 台 Aegis 2 水处理设备，篡改了部分设备界面，并彻底扰乱了其余设备的设置，最终将其全部关闭。” “我们入侵了八台 Unitronics 设备，在对系统进行彻底破坏后，也将其关闭。我们总共入侵了 10 台属于以色列的 VSAT 设备，特别是我们之前帖子中简要提及的卫星，影响了以色列直接拥有和军方控制的卫星。” “我们有着攻击以色列的历史记录，包括所有以往的入侵、数据泄露等等。仅过去一年我们就总计入侵了 700 多台设备，这足以说明问题，但今天我们发起大规模攻击，以继续向他们施压。” 该帖以声援巴勒斯坦的声明结尾。 6 月 11 日的更早帖子展示了该组织的 OSINT（开源情报）技能，他们发布了一份以色列卫星系统及其战略价值的清单。例如，由 Gilat Satellite Networks 开发的 SatTrooper-1000 卫星系统，被用于单兵背负式终端，供地面部队通信使用。 尽管这是公开信息，但 GhostSec 显然正在编制一份类似数字“愿望清单”的军事卫星通信（SATCOM）目标档案。 心理框架效应 此外，该组织利用宣传作为心理放大器的手法，带有心理震慑的成分。与我个人观察到的其他团体不同，GhostSec 向其 3607 名 Telegram 订阅者传递消息的方式可谓独特。 多数团体倾向于复制粘贴我称之为“新闻呕吐物”的内容——作为一种情绪放大器，充斥着半真半假、未经证实的说法和糟糕的新闻报道。因此，成员们对此情绪化回应，而非战术性回应。他们助长了绝望感，这就是为什么如此多的黑客行动主义团体未能取得任何引人注目甚至具有新闻价值的成果。 GhostSec 自信、直接的语气，结合其精准度和掌控力，营造出完全不同的效果——通常被称为通过权威框架实现的“信息主导”。他们可能并未完全意识到这一点，但他们的自信本身就是一种功勋章。 GhostSec 阐述其理念和目标的方式具有强大的心理影响力。对于以色列而言，这可能造成一种印象：其安全、加密的系统正在被分析并准备遭受攻击。 对于 GhostSec 的众多支持者，该组织展现了专业素养和研究能力，强化了其合法性。他们实现这一点的方式不是通过提问或猜测，而是通过以掌控者的姿态呈现机密级别的信息，将整个局势描述为既成事实。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的原因及其影响,指出该错误通常由服务器配置不当或网络连接问题引起,并建议检查服务器状态和网络设置以解决此问题。

一位正在学习红队技术的人分享了他在学习过程中的困扰：由于课程中涉及代码分析和脚本编写，他不得不同时学习Python、JavaScript和Bash等编程语言。尽管他意识到这些技能的重要性并愿意投入时间学习，但面对多门语言的学习任务让他感到压力巨大，甚至在无关的情境下也会感到焦虑和分心。因此，他寻求关于如何有效学习Python以及其在渗透测试中的应用的建议。

A significant security vulnerability has been identified in Realtek’s RTL8762E SDK v1.4.0 that allows attackers to exploit the Bluetooth Low Energy (BLE) Secure Connections pairing process to launch denial-of-service attacks.  The vulnerability, discovered in the RTL8762EKF-EVB development platform, stems from improper validation of protocol state transitions during the pairing sequence. The flaw enables malicious actors […]

The post Realtek Vulnerability Let Attackers Trigger DoS Attack via Bluetooth Secure Connections Pairing Process appeared first on Cyber Security News.

Reddit是一个社区驱动的网络平台，用户可以在上面参与各种主题的讨论、分享内容以及加入兴趣小组。

ISC Stormcast播客于2025年6月26日发布，值班处理员为Johannes Ullrich，当前威胁等级为绿色。

HackerNews 编译，转载请注明出处： 身份认证服务商Okta警告称，注册欺诈已达到“惊人”的规模，并声称在2024年，高达46%的客户注册尝试是由机器人发起的。 Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。 Okta表示，注册欺诈尝试的激增逆转了近期下降的趋势，这可能是由AI赋能的攻击流程导致的。 “今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力，” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代，在这个时代里，我们不仅必须问‘谁’值得信任，更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础，从静态策略转向动态策略，并将身份置于核心位置。” 报告指出，欺诈尝试在全年波动显著，在4月6日飙升至近93%，而在2月29日则低至14%。不过，在其他任何一天，该数字都没有低于30%。 零售和电子商务公司受到的打击最为严重，占2024年注册欺诈尝试的69%，其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示，零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。 然而，Okta警告称，注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户，利用沉淀账户在日后绕过安全控制，甚至通过消耗资源来执行拒绝服务(DoS)攻击。 企业面临的挑战在于，如何在加强身份认证安全的同时，不过度增加注册过程的摩擦。 报告还揭示了一个矛盾现象：尽管64%的用户表示担心身份欺诈，72%的用户在注册前会评估公司的安全措施，但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单（62%）最常被用户视为注册或登录过程中的烦恼来源。 如何应对暴力破解攻击？ Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试： 投资于DDoS缓解服务； 部署基于行为分析、威胁情报和反馈循环的机器人过滤技术； 实施速率限制控制； 在达到风险阈值时增加验证码(CAPTCHA)要求； 收紧可疑IP阈值，并实施访问控制列表(ACL)以阻止滥用IP； 在边缘使用Web应用防火墙(WAF)规则拦截恶意活动； 鼓励客户使用通行密钥(passkey)进行注册。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的常见原因及其解决方法，并提供了预防措施以避免再次发生。

HDMI 2.2 标准发布，带宽翻倍至 96Gbps，并支持更高分辨率和刷新率。新增延迟指示协议解决音画不同步问题，并需使用 Ultra96 认证线缆以实现最佳性能。

HackerNews 编译，转载请注明出处： Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者，至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为，他们扮演着初始访问经纪人（IABs）的角色，即先获取目标的初始访问权限，然后在暗网上将其出售给其他攻击者。 为了实施攻击，黑客通常利用一系列开源工具，包括攻击框架 PoshC2、隧道工具 Chisel，以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤： 攻击者使用 PsExec 远程连接到另一台机器，将其作为代理； 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护，并连接到多台机器； 在部分机器上，攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动，网络流量通过 Chisel 隧道传输； 在其他机器上，攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy（如下图）。来源：Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序（PowerShell、C#.NET 和 Python），并预装了多种攻击模块。 Classroom Spy 具备一系列功能，包括： 实时监控电脑屏幕（包括截图）； 控制鼠标和键盘； 在机器间收集和部署文件； 记录访问的网页； 键盘记录； 录音； 访问摄像头； 打开终端； 收集系统信息； 监控和阻止应用程序。 最后，CL-CRI-1014 采用了多种方法来规避检测，包括使用加壳器、用窃取的签名为其工具进行签名，以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

该文章描述了错误代码521的情况，指出这是Cloudflare服务器暂时无法处理请求的问题。这可能由于服务器过载或出现故障导致。建议用户稍后再试或联系服务提供商进行排查。

Модель AlphaGenome — генетический ИИ-конструктор стал ещё удивительнее.

最近，一则“小红书内部开发者账号密码泄露”的消息在网上引起了热议。

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一批新的恶意 npm 软件包，这些软件包与朝鲜发起的持续性攻击活动“Contagious Interview”（传染性面试）有关。 安全公司 Socket 表示，此次供应链攻击涉及 24 个 npm 账户上传的 35 个恶意软件包。这些软件包已被累计下载超过 4000 次。 其中，有六个软件包目前仍可从 npm 下载：react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose 和 router-parse。 每个已识别的 npm 软件包都包含一个名为 HexEval 的十六进制编码加载器。该加载器设计用于在安装后收集主机信息，并有选择地投递后续有效载荷，该载荷负责投递一个已知的 JavaScript 窃密程序 BeaverTail。 BeaverTail 则被配置为下载并执行一个名为 InvisibleFerret 的 Python 后门，从而使威胁行为者能够收集敏感数据并对受感染主机建立远程控制。 “这种嵌套结构有助于该活动逃避基本的静态扫描和人工审核，” Socket 研究员 Kirill Boychenko 说道，“其中一个 npm 别名还附带了一个跨平台键盘记录器软件包，可以捕获每个按键操作，这表明威胁行为者随时准备在目标需要时定制有效载荷以进行更深入的监视。” “传染性面试”（Contagious Interview）是由 Palo Alto Networks Unit 42 于 2023 年底首次公开记录的，是由朝鲜政府支持的威胁行为者发起的一项持续性攻击活动，旨在未经授权访问开发者系统，窃取加密货币和数据。 该攻击群还被广泛追踪，其绰号包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima（著名千里马）、Gwisin Gang（鬼怪帮）、Tenacious Pungsan（坚韧的普山）、UNC5342 和 Void Dokkaebi（虚空德基）。 该攻击群的近期迭代还被发现利用 ClickFix 社会工程学策略来传播 GolangGhost 和 PylangGhost 等恶意软件。该活动子集群被命名为 ClickFake Interview。 Socket 的最新发现表明，平壤的威胁行为者正在采取多管齐下的策略，利用各种方法诱骗潜在目标以采访或 Zoom 会议为借口安装恶意软件。 “传染性面试”的 npm 分支通常涉及攻击者冒充 LinkedIn 上的招聘人员，通过分享托管在 GitHub 或 Bitbucket 上的恶意项目链接（该项目嵌入了 npm 软件包）来向求职者和开发者发送编码任务。 “他们瞄准正在积极求职的软件工程师，利用求职者通常对招聘人员的信任，” Boychenko 说道，“虚假身份会主动联系，通常会使用事先准备好的推广信息和令人信服的职位描述。” 然后，在所谓的面试过程中，受害者会被诱导在容器化环境之外克隆并运行这些项目。 “此次恶意活动凸显了朝鲜供应链攻击中不断演变的伎俩，它融合了恶意软件预演、开源情报 (OSINT) 驱动的攻击和社会工程学，旨在通过可信生态系统入侵开发者。” Socket 说道。 通过在开源软件包中嵌入 HexEval 等恶意软件加载器，并通过虚假的作业分配进行传播，威胁行为者得以绕过外围防御，并在目标开发人员的系统上执行攻击。 该攻击活动的多阶段结构、极小的注册表占用空间以及规避容器化环境的尝试表明，资源充足的对手正在实时改进其入侵方法。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的问题，通常由Cloudflare引起，表示服务器无法处理请求。这可能是由于服务器过载、配置错误或网络问题导致的。该错误会影响网站访问，并建议检查服务器配置或联系技术支持以解决问题。