HackerNews

HackerNews 编译，转载请注明出处： 全球最大营销机构之一的日本跨国广告与公关公司电通集团近日发布公告，确认其美国子公司Merkle遭受网络攻击，导致员工及客户数据泄露。 根据公司发布的安全事件通知，电通集团表示：”我们在负责集团海外业务的客户体验管理子公司Merkle的部分网络中检测到异常活动。我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复运行。”作为应急响应计划的一部分，公司采取了将部分系统离线的措施以遏制攻击蔓延。 电通确认黑客从Merkle网络中窃取了文件，涉及供应商、客户和员工数据，包括个人信息、薪资资料和国家保险详细信息。公司正在通知受影响个体，并为其提供免费的暗网监控服务。 “调查发现某些文件从Merkle网络中被窃取。经审查，这些文件包含现任及前任员工的个人信息，”电通在声明中表示，”调查仍在进行中，但目前我们预计文件包括银行和薪资详情、工资、国家保险号码以及个人联系方式。” 公司声明其日本本土网络系统未受影响，但目前尚无法评估此次事件对业务造成的财务影响。截至2024年12月31日，电通集团拥有约67,667名员工。2024财年，公司报告合并营收为1.41万亿日元（按当前汇率约合102亿欧元）。 Merkle作为电通集团旗下美国营销与客户体验机构，专注于数据驱动型绩效营销，利用分析、技术和数字平台帮助客户优化体验并推动增长。该公司在全球拥有超过16,000名员工，年收入约15亿美元。 目前尚不确定此次事件是否为勒索软件攻击，截至目前尚无任何勒索组织声称对Merkle或电通遭受的攻击负责。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为”Brash”的高危漏洞，攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃。 “Brash”漏洞利用document.title API缺乏速率限制的缺陷，以每秒数百万次的速度向浏览器发送DOM更新请求，导致主线程过载。 该漏洞会引发CPU使用率飙升、浏览器冻结和系统减速，影响涵盖桌面端、Android及嵌入式设备。 攻击分三个阶段实施： 预加载阶段：在内存中预存100个独特的512字符十六进制字符串，以最大化更新吞吐量 爆发注入：快速执行三重更新（默认爆发量8000次，1毫秒间隔），实现每秒约2400万次标题写入 持续饱和：持续注入使UI/主线程饱和，数秒内即可导致CPU占用率飙升、标签页冻结，最终浏览器崩溃 经测试，以下基于Chromium/Blink引擎的浏览器均受影响： Chrome：15-30秒内崩溃 Edge：15-25秒内崩溃 Vivaldi/Arc/Dia浏览器：15-30秒内崩溃 Opera：约60秒内崩溃 Perplexity Comet：15-35秒内崩溃 ChatGPT Atlas：15-60秒内崩溃 Brave：30-125秒内崩溃 以下浏览器不受影响： Firefox（使用Gecko引擎） Safari及所有iOS浏览器（使用WebKit引擎） 皮诺警告，”Brash”可能被武器化并造成严重后果： 定时攻击：可预设精确执行时间，将攻击从干扰工具转变为时间精准武器 经济破坏：针对AI智能体和无头浏览器的爬取活动，可导致自动化交易、价格监控、SEO爬虫等关键业务中断 系统依赖风险：同时发生的多系统故障将暴露企业对自动化系统的关键依赖弱点 专家总结指出：”Brash的诞生证明了当基础保护措施缺失时会发生的状况。该漏洞并非存在于复杂代码中，而是源于本应受限的API缺乏速率限制这一基本设计缺陷。它对全球30亿Chromium用户的影响表明，核心组件的架构缺陷会带来巨大的全球性后果——这不是一个孤立漏洞，而是影响整个Chromium生态系统的设计缺陷。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的知名勒索软件团伙再次发起攻击，此次声称已入侵日本连锁超市集团Super Value Co.，并在暗网上公开泄露了员工与财务数据。 涉嫌发动此次勒索软件攻击的Qilin团伙，已在其暗网泄露网站上将日本零售商Super Value Co.列为受害者。该超市主要在日本埼玉县及东京都市圈运营结合超市与家居中心的混合零售综合体，以及独立的食品超市。 攻击团伙在其泄露网站上提供了据称属于受害者的被盗数据样本，这是勒索攻击中威胁行为体常用的施压手段，旨在迫使公司支付赎金。 攻击者分享的数据样本中包含大量载有敏感信息的日文内部文件，涉及： 人力资源文件（暴露员工个人信息及雇佣数据） 安保密钥移交证明文件 绩效报告 工伤事故报告表 现金丢失事件报告表 薪资文件 财务报表（包括门店月销售额、盈利与亏损状况） 销售、产品订单及交货单日志 具体而言，人力资源文件泄露了员工的个人身份证号、全名、完整家庭住址、出生日期、年龄、性别、入职日期、雇佣类型（全职/兼职）、职位、部门/销售区域或工作地点、状态及离职/退休日期（部分记录）、电话号码、工作事故数据、工资及工作安排。 目前尚无法确认这些声称的真实性，以及数据是否确实属于该日本零售商。Cybernews已联系该公司，但尚未获得回复。 若数据被证实属实，将使公司及其员工面临欺诈和身份盗窃的风险。Cybernews研究人员指出：”就公司而言，这些样本主要揭示了其运营细节，可能将商业策略暴露给竞争对手。”此外，由于未包含员工个人联系方式，社会工程学攻击更可能针对公司而非个人展开。 Qilin是勒索软件领域的重要角色。这个与俄罗斯有关联的团伙以医院和制造业为攻击目标而闻名。该组织于2022年首次出现在勒索软件领域，但其暗网泄露网站声称其自2021年便开始运作。 自今年9月初以来，Qilin已列出超过88名受害者，在过去12个月内跃升为最活跃的勒索软件团伙。根据Cybernews内部监控工具Ransomlooker的数据，自2023年以来该团伙已声称入侵947名受害者。 本月，Qilin还声称入侵了德克萨斯州的电力合作社，并泄露了美国大型药房福利管理公司MedImpact的数据。该团伙近期对英国NHS合作伙伴Synnovis实验室的攻击造成了严重后果，导致医院被迫转移患者并取消超过1万个预约和手术。 值得注意的是，这个臭名昭著的俄罗斯相关团伙LockBit已与DragonForce和Qilin勒索软件组成联盟。专家认为，该联盟可能通过共享资源改进攻击策略并提高攻击频率。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ribbon是一家实时通信技术公司，为全球企业及关键基础设施领域，提供安全云通信、IP 及光网络解决方案。 其总部位于美国得克萨斯州，服务用户涵盖电信、银行、政府等领域的数十家大型企业，美国国防部也包括在列。这一背景使得此次国家级攻击更具威胁性。 攻击者潜伏近一年 10月23日，Ribbon在提交给美国证券交易委员会的第三季度财报（10-Q 文件）中首次披露了此次数据泄露事件。 文件第 57 页“网络安全事件披露” 部分写道：“2025 年 9 月初，公司发现有国家级未授权威胁行为体入侵了公司的 IT 网络。” 公司初步分析显示，攻击者的首次入侵可追溯至2024年12月。不过，关于初始入侵时间的最终结论，仍需等待完整的调查结果来盖棺定论。 Barrier Networks 公司首席技术官瑞安・麦科尼奇表示：“此次大型电信提供商遭遇攻击，进一步证明网络世界已成为所有对手的首选‘战场’。” 他指出：“我们尚不清楚幕后是哪个国家，也不知道他们的攻击手法，但黑客在被发现前已潜伏近一年，这一事实着实令人担忧。” 风险声明 Ribbon 的产品主打帮助用户将固定、移动及企业网络，从传统环境转型为安全的 IP 及云架构。其客户及合作伙伴包括： 电信服务商：威瑞森、美国电话电报公司、康卡斯特、英国电信、世纪互联、德国电信、软银、TalkTalk、塔塔集团等。 政府与公共机构：美国国防部、洛杉矶市、得克萨斯大学。 金融机构：美国银行、摩根大通、富国银行。 技术合作伙伴：帕洛阿尔托网络、慧与、英特尔、爱立信、飞塔以及 F5 Networks。 Ribbon声明称：“网络安全是客户网络的首要关切，物品们始终重视与客户的长期合作”。 得知入侵后，公司 “立即启动事件响应计划，联系联邦执法部门，并联合多家第三方网络安全专家开展调查”。 Ribbon 还表示，已成功将威胁行为体驱逐出网络，“截至目前的调查，未发现黑客访问客户系统或其他重要公司信息的证据”。 但公司也承认，“两台笔记本电脑上存储的、主网络之外的部分客户文件，似乎已被威胁行为体访问”，不过未透露受影响客户的名称，仅表示已通知相关方。 路透社报道称，被访问的是 “4 份较早期文件”。此外，Ribbon 已采取即时预防措施，进一步加强网络防护以避免未来再发此类事件，并表示 “对此次事件引发的担忧深表歉意，已与 3 家受影响客户直接沟通”。 网络安全研究人员认为，尽管 Ribbon 称 “政府客户未受影响”，但这一情况仍需全面核实。鉴于国家级威胁行为体正将目标聚焦于关键基础设施及其他电信企业，这些机构做好攻击防御准备至关重要。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国防承包商L3Harris的一名前高管于周三认罪，承认向一名俄罗斯经纪人出售间谍软件漏洞利用工具。 根据美国司法部发布的新闻稿，曾主管L3Harris旗下间谍软件与零日漏洞部门Trenchant的彼得·威廉姆斯，将商业机密出售给一家”公开自称向包括俄罗斯政府在内的各类客户转售网络漏洞利用工具”的俄罗斯网络工具经纪人。 威廉姆斯对其两项窃取商业机密的指控认罪。官方称他在2022年至2025年的三年期间窃取并兜售这些信息。司法部表示，被出售的物料属于国家安全软件，包含至少八个”敏感且受保护的网络漏洞利用组件”，这些工具原本仅限向美国政府及经批准的盟友销售。 每项指控最高可判处10年监禁并处罚金。 检方指出，威廉姆斯因出售这些机密被承诺获得数百万美元的加密货币报酬。官方称他与该俄罗斯经纪人签订了多份合同，涉及初始销售及“后续技术支持”。 “这些国际网络经纪人是新一代国际军火商，我们将持续警惕其活动，”美国检察官珍妮·费里斯·皮罗在声明中表示。 皮罗指出，威廉姆斯的罪行不仅给L3Harris造成3500万美元损失，更向非盟友的外国网络行为体提供了“可能已被用于攻击众多无辜受害者的尖端网络漏洞利用工具”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现10个恶意npm软件包，这些包被设计用于在Windows、Linux和macOS系统上投放信息窃取程序。 Socket安全研究员Kush Pandya表示：“该恶意软件采用四层混淆技术隐藏有效负载，显示虚假验证码以伪装成合法程序，通过IP地址对受害者进行指纹识别，并下载一个24MB的PyInstaller打包信息窃取程序，能够从Windows、Linux和macOS系统的密钥环、浏览器和认证服务中窃取凭证。” 这些npm包于2025年7月4日上传至注册表，累计下载量超过9,900次，具体包括： deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs react-router-dom.js typescriptjs zustand.js 此次多阶段凭证窃取行动通过伪装成TypeScript、discord.js、ethers.js等热门npm库的仿冒包进行。安装后，恶意软件会显示虚假验证码提示，并输出看似正常的安装信息，让开发者误以为安装过程正常进行。然而在后台，该软件包会捕获受害者的IP地址并发送至外部服务器，随后投放主恶意软件。 每个软件包中的恶意功能都会通过”postinstall”钩子在安装时自动触发，启动名为”install.js”的脚本。该脚本会检测受害者的操作系统，并在新的命令提示符（Windows）、GNOME终端（Linux）或终端（macOS）窗口中启动经过混淆的有效负载。 Pandya指出：”通过生成新的终端窗口，恶意软件能够独立于npm安装进程运行。开发者在安装过程中瞥见终端窗口时，只会看到新窗口短暂出现，而恶意软件会立即清屏以避免引起怀疑。” “app.js”中的JavaScript代码通过四层混淆技术隐藏，包括使用动态生成密钥的XOR密码、对有效负载字符串进行URL编码，以及使用十六进制和八进制运算混淆程序流程等，这些设计都旨在抵抗分析。 攻击的最终目标是从同一服务器获取并执行一个全能型信息窃取程序。该程序能够全面扫描开发者计算机，从网页浏览器、配置文件和SSH密钥中搜索密钥、认证令牌、凭证和会话cookie。 该窃密程序还包含针对不同平台的特定实现，使用keyring npm库从系统密钥环中提取凭证。收集到的信息会被压缩成ZIP文件并外泄至服务器。 Socket公司强调：“系统密钥环存储着关键服务的凭证，包括电子邮件客户端、云存储同步工具、VPN连接、密码管理器、SSH密码、数据库连接字符串等与操作系统凭证存储集成的应用程序。通过直接攻击密钥环，恶意软件绕过了应用级安全防护，直接获取解密形式的存储凭证。这些凭证可让攻击者立即访问企业邮箱、文件存储、内部网络和生产数据库。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰境内的多个组织近日遭到源自俄罗斯的威胁行为者攻击，其目的在于窃取敏感数据并维持对受感染网络的持久访问权限。 根据赛门铁克和Carbon Black威胁猎人团队发布的最新报告，此次攻击活动持续针对一家大型商业服务组织进行了两个月的渗透，同时对一家当地政府实体进行了一周的入侵。 攻击主要采用“离地生存”技术和双重用途工具，仅辅以最低限度的恶意软件，从而减小数字足迹并长期保持隐蔽。 “攻击者通过在面向公众的服务器上部署Webshell获得对商业服务组织的访问权限，很可能是利用了一个或多个未修复的漏洞，”这两支隶属于博通公司的网络安全团队在报告中表示。 攻击中使用的Webshell之一是Localolive，微软此前曾警告称该工具被与俄罗斯有关的沙虫组织下属团队在多年度行动”BadPilot”中使用。LocalOlive旨在协助投送Chisel、plink和rsockstun等后续载荷，至少自2021年底开始被活跃使用。 针对该商业服务组织的恶意活动最早可追溯至2025年6月27日，攻击者利用初始立足点投放Webshell并实施侦察。研究还发现，攻击者运行PowerShell命令将设备的下载目录排除在Microsoft Defender防病毒扫描范围之外，并设置计划任务每30分钟执行一次内存转储。 攻击时间线与技术细节 在接下来的几周内，攻击者实施了多种恶意行为，包括： 将注册表配置单元副本保存至名为1.log的文件 投放更多Webshell 使用Webshell枚举用户目录中的所有文件 运行命令列出所有以”kee”开头的运行进程（可能旨在定位KeePass密码存储库） 列出第二台设备上的所有活跃用户会话 运行位于下载文件夹中的”service.exe”和”cloud.exe”可执行文件 在第三台设备上运行侦察命令并使用Microsoft Windows资源泄漏诊断工具执行内存转储 修改注册表以允许RDP连接 在第四台设备上运行PowerShell命令获取Windows配置信息 运行RDPclip获取远程桌面连接中的剪贴板访问权限 安装OpenSSH以方便远程访问计算机 运行PowerShell命令允许OpenSSH服务器在22端口上的TCP流量 创建计划任务，使用域账户每30分钟运行未知PowerShell后门（link.ps1） 运行未知Python脚本 在下载文件夹中部署合法的MikroTik路由器管理应用程序（“winbox64.exe”） 值得关注的是，乌克兰计算机应急响应小组曾在2024年4月记录过“winbox64.exe”的使用，当时它与沙虫组织针对乌克兰能源、供水和供热供应商的攻击活动有关。 赛门铁克和Carbon Black表示，虽然未发现此次入侵与沙虫组织直接关联的证据，但指出其”确实显示出源自俄罗斯的特征”。该网络安全公司还透露，这些攻击的特点在于部署了多个PowerShell后门和疑似恶意软件的可疑可执行文件，但目前尚未获取这些样本进行分析。 “虽然攻击者在入侵过程中使用的恶意软件数量有限，但大部分恶意活动都涉及合法工具，包括系统原生工具或攻击者引入的双重用途软件，”报告强调，“攻击者展现出对Windows原生工具的深入了解，并展示了熟练攻击者如何推进攻击、窃取凭证等敏感信息，同时在目标网络上留下最小痕迹。” 行业背景与趋势 此报告发布之际，Gen Threat Labs详细披露了Gamaredon组织利用WinRAR中一个已修复安全漏洞（CVE-2025-8088，CVSS评分：8.8）攻击乌克兰政府机构的行为。 该公司在X平台上发文称：“攻击者正在滥用CVE-2025-8088（WinRAR路径遍历漏洞）投递RAR压缩包，这些压缩包会静默将HTA恶意软件放入启动文件夹——除了打开压缩包内的良性PDF文件外，无需任何用户交互。这些诱饵经过精心设计，可诱骗受害者打开武器化压缩包，延续了以往攻击活动中出现的激进攻击模式。” Recorded Future的最新报告也印证了这一趋势，该报告发现俄罗斯网络犯罪生态系统正受到”终端游戏”等国际执法行动的积极影响，促使俄罗斯政府与电子犯罪组织的关系从被动容忍转向主动管理。对泄露聊天记录的进一步分析显示，这些威胁组织内的高级人物通常与俄罗斯情报部门保持联系，通过提供数据、执行任务或利用贿赂和政治关系获得豁免权。与此同时，网络犯罪团伙正在分散运营以规避西方和国内的监控。 尽管长期以来众所周知俄罗斯网络犯罪分子只要不攻击该地区运营的企业或实体就可以自由活动，但克里姆林宫现在似乎采取了更为细致的方法：在需要时招募或合作人才，在攻击符合其利益时视而不见，并在威胁行为者变得”政治上不便或对外尴尬”时选择性执法。 由此可见，这种“黑暗契约”实质上是多种因素的结合体：既是商业企业，也是影响力和信息获取的工具，同时当它威胁到国内稳定或面临西方压力时也会成为负担。该公司在《黑暗契约》系列报告的第三部分中指出：“俄罗斯网络犯罪地下世界在国家控制和内部不信任的双重压力下正在分裂，而专有论坛监控和勒索软件联盟聊天记录显示运营者之间的偏执情绪日益加剧。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日在OpenAI ChatGPT Atlas等智能体浏览器中发现新的安全隐患，这些浏览器底层的人工智能模型容易遭受上下文投毒攻击。 AI安全公司SPLX设计的攻击场景中，攻击者可建立特定网站，向ChatGPT和Perplexity运行的浏览器及AI爬虫提供差异化内容。该技术被命名为“AI定向伪装”。 这种手法实为搜索引擎伪装技术的变种——即向用户和搜索引擎爬虫呈现不同网页版本，最终达到操纵搜索排名目的。在此类攻击中，攻击者仅通过简单的用户代理检查即可针对不同供应商的AI爬虫优化内容，实现内容交付操控。 安全研究人员指出：”由于这些系统依赖直接检索，任何提供给它们的内容都会成为AI概述、摘要或自主推理中的’事实依据’。这意味着只需一条条件规则——’如果用户代理是ChatGPT，则提供此替代页面’——就能塑造数百万用户看到的所谓权威输出。” SPLX警告，AI定向伪装虽然原理简单，却可能成为强大的虚假信息武器，破坏用户对AI工具的信任。通过诱导AI爬虫加载替代内容，该技术还能引入偏见，影响依赖此类信号的系统输出。 “AI爬虫与早期搜索引擎一样容易被欺骗，但其下游影响更为深远。随着搜索引擎优化逐渐融合人工智能优化，这种攻击正在扭曲现实认知。” 与此同时，hCaptcha威胁分析小组发布的分析报告显示，针对20种常见滥用场景的测试中，各类浏览器智能体几乎无需越狱即可执行恶意请求。研究还发现，所谓”被阻止”的操作多数源于工具功能限制而非内置防护机制。值得注意的是，当被要求执行调试任务时，ChatGPT Atlas会完成高风险操作。 研究进一步披露，Claude Computer Use和Gemini Computer Use能够无限制执行密码重置等危险账户操作，后者甚至在电商平台表现出暴力破解优惠券的攻击性行为。测试还发现Manus AI可无障碍完成账户接管和会话劫持，而Perplexity Comet会主动实施SQL注入以窃取隐藏数据。 “这些智能体经常超额完成任务：在无用户指令时尝试SQL注入，在页面注入JavaScript以绕过付费墙等。我们观察到几乎完全缺失的安全防护措施，预示着攻击者很快会将这类智能体用于攻击任何下载它们的合法用户。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯本土网络安全公司发现，由国家支持的黑客组织Cloud Atlas再次发起网络间谍活动，利用即将召开的行业论坛作为诱饵，瞄准了该国农业领域。 这是近几个月来该组织第二次针对俄罗斯农业工业企业发起攻击，恰逢本月末莫斯科即将举行的俄罗斯农业论坛筹备期。据F6研究人员分析，黑客发送了伪装成论坛官方日程的钓鱼邮件，内含利用旧版Microsoft Office漏洞（CVE-2017-11882）的恶意文件——该漏洞虽于2017年修复，但至今仍被网络犯罪分子广泛利用。 该漏洞早在2023年就被Cloud Atlas利用过，当时他们通过涉及俄乌战争的钓鱼邮件，攻击了俄罗斯一家农业企业和一家国有研究公司。 此漏洞允许攻击者执行恶意代码并可能完全控制系统，使其能够安装软件、修改或删除数据以及创建新用户账户。 研究人员指出，Cloud Atlas（亦被追踪为Inception）在2025年全年活动频次显著增加，尤其针对俄罗斯和白俄罗斯目标。F6还发现迹象表明，一家国防企业也是该组织10月的攻击目标之一，不过未提供技术细节。 报告显示，Cloud Atlas持续优化其工具和传播方法，在保持长期使用的感染链的同时，尝试使用不同的有效载荷。 研究人员表示：”Cloud Atlas持续使用相同战术并利用早已曝光的漏洞，表明其攻击仍然有效——这主要归因于未受保护或维护不善的系统，以及人为因素。” Cloud Atlas至少自2014年开始活跃，是一个由国家支持的间谍组织，以攻击俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的机构而闻名。其行动侧重于数据窃取和监控，但背后具体是哪个国家仍不明确。 该组织通常依赖多阶段钓鱼攻击，发送模仿政府通讯、商业邀约或媒体资料的邮件。其恶意软件常使用定制加载器和加密通信以保持隐蔽并外泄窃取数据。 研究人员补充道：”这些因素使Cloud Atlas成为对组织网络安全极具威胁且持续存在的攻击者。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心近日披露，黑客活动分子已多次入侵该国关键基础设施系统，对一家水处理设施、一家石油天然气公司及一家农业企业的工业控制系统进行了篡改。 加拿大网络中心发布此次警报，旨在警示新的网络威胁，并为受影响组织提供检测、缓解措施及支持。这些攻击已引发误报警报、运营中断，并可能导致受影响系统出现危险状况。 “近几周来，网络中心和加拿大皇家骑警已收到多起涉及可通过互联网访问的工业控制系统的事件报告，”加拿大网络安全中心发布的警报称，”其中一起事件影响了一家水处理设施，攻击者篡改了水压数值，导致该社区服务品质下降。另一起事件涉及一家加拿大石油天然气公司，其自动储罐测量系统遭操纵，触发误报警报。第三起事件则涉及加拿大某农场的谷物干燥仓，其温湿度参数被篡改，若未能及时发现将可能导致不安全状况。” 黑客活动分子通过利用暴露在互联网上的工业控制系统设备来吸引关注、诋毁组织声誉并损害加拿大国家形象。攻击者旨在入侵可编程逻辑控制器、监控与数据采集系统、楼宇管理系统及工业物联网系统，从而对公共安全构成威胁。 加拿大网络机构指出，职责不清与协调不力往往导致关键系统暴露于风险之中。政府、市政机构及各组织必须明确责任划分、紧密协作，并加强所有服务的安全防护，特别是在水务、食品和制造等缺乏网络安全监管的领域。 每个组织都应维护一份可通过互联网访问的工业控制系统设备的最新清单，以虚拟专用网络和双因素认证替代直接暴露在公网的服务，并应用网络中心的”就绪目标”以强化防御。当无法避免服务暴露时，团队应部署入侵防御系统、定期进行渗透测试，并持续管理漏洞。市政和企业领导应直接与供应商合作，确保所有系统的安全部署、维护及退役。关键基础设施组织应定期开展桌面推演，以优化协调机制并提升事件响应能力。若发现可疑活动，各组织应及时向网络中心或加拿大皇家骑警报告，以支持加拿大全国范围内的网络韧性建设。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国电信巨头LG Uplus确认发生数据泄露，成为今年继SK Telecom、KT Telecom之后，韩国又一家遭遇网络攻击的主要电信运营商。目前LG Uplus已向韩国互联网与安全局通报了这起网络安全事件。 业内质疑：LG Uplus动作迟缓 据业内人士透露，LG Uplus是在检测到服务器可能遭入侵的迹象后提交的报告。 早在今年7月，一名白帽黑客向韩国互联网与安全局警告，LG Uplus公司系统存在潜在漏洞。 《韩国时报》报道，8月，LG Uplus曾向科学和信息通信技术部表示，其内部审查未发现网络攻击的确凿证据。 然而，随着黑客媒体Phrack公开声称“攻击者已渗透LG Uplus内网，泄露约4.2万名客户和167名员工个人数据”，事件进一步升级。 立法者批评该公司在收到入侵警告后，移除或修改了与账户管理系统相关的服务器，恐导致关键证据灭失。 三大运营商相继失守 今年韩国电信行业面临严峻网络安全挑战。韩国其他主要电信运营商如SK Telecom和KT Telecom曾先后遭遇网络攻击。加之本次LG Uplus遭受网络攻击，形成三大运营商接连失守的局面。 勒索软件组织“麒麟”率先声称对SK Telecom发动攻击，宣称窃取约1TB敏感文件。事件发生后，SK Telecom CEO 刘永相公开致歉，并宣布为所有用户免费更换SIM卡，同时承诺实施“双重乃至三重”安全保障措施。为确保换卡工作顺利进行，该公司一度暂停新用户注册服务。 然而危机并未结束。今年9月，不明黑客组织再次声称入侵SK Telecom系统，并在数据泄露论坛公开声称获取了包括内部项目源代码、构建配置、Docker文件乃至AWS访问密钥在内的大量核心数据。 至10月，名为“CoinbaseCartel”的新兴黑客组织也加入战局，威胁SK Telecom必须就其窃取的机密源代码和项目文件进行谈判，否则将公开泄露这些数据。 同样在9月，KT Telecom确认遭受网络攻击。据最新统计，因未授权支付造成的损失已超过2.4亿韩元（约合人民币130万元），累计368名用户受到影响。 面对这一系列安全事件，韩国国会已于9月启动专项调查。KT、SK Telecom与LG Uplus三家运营商的高管均被传唤，就其网络安全防护措施与事件应对机制接受质询。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 塔塔咨询服务公司（TCS）近日否认因英国零售商玛莎百货（M&S）遭受网络攻击而丢失其服务台合同。 10月26日，英国《每日电讯报》报道称，玛莎百货已”抛弃”与TCS的服务台合同，原因是这家印度IT外包巨头被指控应对2025年4月袭击该零售商的严重网络攻击负责。 在同日向多家印度证券交易所提交的监管申报文件中，TCS称该报道”存在误导性”并指出其”事实性错误”。 TCS在声明中表示，虽然玛莎百货确实曾考虑通过2025年1月启动的建议邀请书（RFP）流程与TCS签订服务台合同，但该零售商最终选择了其他供应商。TCS强调，这一决定”远在2025年4月网络事件发生之前”，因此”这些事项明显无关”。 据知情人士向《金融时报》透露，TCS在2025年1月前确实为玛莎百货提供过服务台服务，但该英国零售商在RFP流程后决定选择其他供应商。 TCS特别指出，除服务台外，公司与玛莎百货还保持着多种其他形式的合作与合同，其中许多仍在持续进行。 关于导致玛莎百货大量数字服务停摆的网络攻击，TCS坚称引发该事件的漏洞并非来自其任何网络和系统——这一结论基于TCS在2025年6月开展的调查结果。公司同时说明，TCS并未向玛莎百货提供网络安全服务。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌Chrome浏览器中的一个关键零日漏洞（编号CVE-2025-2783）已被发现在野利用，这是一次被称为”Operation ForumTroll”的针对性网络间谍行动的一部分。 根据卡巴斯基的最新研究，这些攻击与被称为Mem3nt0 mori（亦称作ForumTroll APT）的黑客组织有关，并且似乎涉及意大利监控软件开发商Memento Labs所打造的工具。 复杂攻击链解析 攻击始于2025年3月，受害者会收到高度个性化的钓鱼邮件，邀请他们参加普里马科夫读书论坛活动。点击这些存在时间极短的恶意链接将直接导致设备感染，无需受害者进行任何额外操作。此次攻击主要针对俄罗斯和白俄罗斯的各类组织，包括大学、研究中心、金融机构及政府机构。 卡巴斯基的分析显示，攻击者部署了一个沙箱逃逸漏洞利用程序，成功攻破了Chrome及其他基于Chromium内核的浏览器。该漏洞源于Windows操作系统在处理”伪句柄”时存在的逻辑缺陷，使得攻击者能够在Chrome浏览器进程中执行任意代码。 谷歌已在Chrome 134.0.6998.177/.178版本中紧急修复了此问题。火狐浏览器开发商后来也在其产品中发现了一个相关问题，并将其标识为CVE-2025-2857予以解决。 与Memento Labs关联的间谍工具 调查人员将”Operation ForumTroll”中使用的恶意工具包追溯至2022年由Mem3nt0 mori发起的攻击活动。这些攻击曾部署一款名为LeetAgent的间谍软件，其功能包括： 远程执行Shellcode和命令 运行后台键盘记录程序 窃取.docx、.xlsx和.pdf等扩展名的文件 进一步的分析还发现了对一款更先进的监控软件平台”Dante”的使用证据。这是Memento Labs（前身为Hacking Team）开发的一款商业产品。Dante恶意软件由Hacking Team早期的远程控制系统套件演变而来，具备全面的反分析技术和加密通信功能。 事件影响与行业响应 卡巴斯基研究人员得出结论，Mem3nt0 mori在ForumTroll攻击活动中利用了基于Dante的组件，这标志着首次在野观察到这款商业监控软件的实际使用。 研究团队表示：”这个漏洞利用确实让我们感到困惑，因为它允许攻击者在未执行任何明显恶意或被禁止操作的情况下，绕过谷歌Chrome的沙箱保护。这都源于Windows操作系统中一个晦涩特性所导致的强大逻辑漏洞。” 此事件凸显了与国家行为体结盟的黑客组织及商业监控软件供应商所带来的持续风险。卡巴斯基敦促安全研究人员检查其他软件及Windows服务，以寻找类似的伪句柄漏洞。 尽管Chrome的新补丁已封堵此漏洞，但该案例再次表明间谍行为体与全球监控软件市场之间存在持续的重叠——这也提醒我们，商业监控工具正在针对性网络行动中不断获得新的生命力。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一个位于印度新德里的欧洲使馆，以及斯里兰卡、巴基斯坦和孟加拉国的多个组织，成为黑客组织”响尾蛇”在2025年9月发起新一轮攻击的目标。 Trellix研究人员指出，此次活动”显示出响尾蛇组织在战术、技术和程序上的显著升级，特别是在采用基于PDF和ClickOnce的新型感染链方面，这与其以往主要利用Microsoft Word漏洞的攻击方式形成鲜明对比”。 在2025年3月至9月期间，攻击者分四波发送鱼叉式钓鱼邮件，意图投放ModuleInstaller和StealerBot等恶意软件家族，从受感染主机收集敏感信息。 攻击链剖析 ModuleInstaller作为下载器，负责获取后续有效负载（包括StealerBot）。后者是一个.NET植入程序，能够启动反向Shell、投送更多恶意软件，并从受感染主机收集包括截图、键盘记录、密码和文件在内的各类数据。 值得关注的是，卡巴斯基早在2024年10月就首次公开记录了这两个恶意软件家族，当时它们被用于针对中东和非洲地区重要实体和战略基础设施的攻击。 最新攻击特征 Trellix观察到的最新攻击活动始于2025年9月1日后，主要针对印度使领馆。攻击者使用标题为”部际会议凭证.pdf”或”印度-巴基斯坦冲突-2025年5月战略战术分析.docx”的钓鱼邮件，发送方域名伪装成巴基斯坦国防部。 研究人员指出：”初始感染载体始终如一：要么是无法正常显示的PDF文件，要么是包含漏洞的Word文档。PDF文件中包含一个按钮，诱使受害者下载安装最新版Adobe Reader以查看文档内容。” 然而，点击该按钮会从远程服务器下载ClickOnce应用程序。该程序启动时，会侧加载恶意DLL文件，同时向受害者显示诱饵PDF文档。 精妙伪装与规避技术 这款ClickOnce应用程序实际上是MagTek公司的合法可执行文件，它伪装成Adobe Reader，并带有有效签名以规避检测。此外，攻击者对命令与控制服务器的访问设置了南亚地区限制，且有效负载下载路径为动态生成，极大增加了分析难度。 恶意DLL会解密并启动名为ModuleInstaller的.NET加载器，随后对受感染系统进行环境探测，并最终投放StealerBot恶意软件。 Trellix总结道：”多波次的钓鱼攻击活动表明该组织能够针对不同外交目标精心制作高度特定的诱饵，显示出对地缘政治背景的深刻理解。ModuleInstaller和StealerBot等定制恶意软件的持续使用，加上对合法应用的巧妙滥用进行侧加载，充分体现了响尾蛇组织在运用高级规避技术和实现间谍目标方面的执着追求。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一款名为Herodotus的新型安卓银行木马细节。该恶意软件目前正活跃于意大利和巴西，专门实施设备接管攻击。 荷兰安全公司ThreatFabric在报告中指出：”Herodotus木马在执行设备接管攻击时，首次尝试模拟人类操作行为以绕过行为生物特征识别检测。”该木马于2025年9月7日在地下论坛作为恶意软件即服务进行推广，声称支持Android 9至16系统。 技术特征与传播手段 分析显示，虽然该木马并非直接由另一知名银行恶意软件Brokewell演化而来，但确实借鉴了其部分技术特征，包括相似的混淆技术，代码中甚至直接出现”BRKWL_JAVA”等Brokewell相关标识。 与其他安卓恶意软件一样，Herodotus通过滥用无障碍服务实现其目标。它通过短信钓鱼等社交工程手段，伪装成谷歌浏览器应用进行传播。一旦安装，便会利用无障碍功能进行屏幕交互、显示不透明覆盖界面隐藏恶意活动，并在金融应用上层显示虚假登录界面窃取凭证。 此外，该木马还能窃取短信验证码、截取屏幕显示内容、自主提升权限、获取锁屏PIN码或图案，并远程安装APK文件。 独特攻击手法：模拟人类行为 该木马的突出特点在于其人性化欺诈能力。具体而言，它能在执行远程操作时引入随机延迟，例如在设备上输入文本时。ThreatFabric解释称：”延迟时间设定在300-3000毫秒之间，这种文本输入间隔的随机化确实符合人类的输入习惯。通过刻意设置随机延迟，攻击者很可能试图规避仅依赖行为分析的反欺诈系统对机器输入速度的检测。” 研究人员还获得了该木马用于攻击美国、土耳其、英国、波兰的金融机构以及加密货币钱包和交易所的覆盖页面，表明其运营者正积极扩展攻击范围。 ThreatFabric强调：”该恶意软件处于活跃开发阶段，借鉴了Brokewell银行木马的长期技术积累，其设计初衷显然是为了在活跃会话中持续驻留，而非简单地窃取静态凭证实施账户接管。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个未受保护的MongoDB数据库暴露了数百万条记录，涵盖双重认证码、哈希密码及钱包地址等敏感信息。更严重的是，这些数据已公开访问长达数月。 网络安全研究团队Cybernews发现，属于加密货币交易平台NCX的一个未设防数据库正在泄露大量敏感信息。该数据集包含多个数据集合，总计超过500万条记录。 研究团队指出：”NCX声称提供安全、快速、透明的加密货币交易服务，但此次泄露事件严重质疑了这些承诺，特别是在用户隐私和运营安全方面。” 泄露数据详情 暴露的1GB多数据包含全球用户的： 全名、用户名及出生日期 电子邮箱地址 用户上传的身份证明文件链接（KYC验证） 双重认证码及相关URL 内部API密钥 IP地址 哈希密码 头像URL 加密密钥 钱包地址及相关区块链交易信息 存取款记录、货币类型及冻结状态 客服日志及帮助中心通讯记录 研究人员发现数据存储于八个不同集合中，最大的集合包含超过200万条记录。所有数据均为最新，表明系统正处于活跃使用状态。 影响与建议 此次泄露使用户面临身份盗用、账户接管和加密货币钱包被盗等多重威胁。研究团队已向该公司进行负披露，但未获回应。 专家建议NCX立即采取以下措施： 立即下线MongoDB实例或通过防火墙限制访问 启用凭证访问和传输加密 更换暴露的2FA密钥并使秘密URL失效 通知受影响用户和监管机构 进行全面的取证审计 对于用户，研究人员建议： 考虑将资金转移至其他平台 警惕关于加密货币或投资的任何通讯 可注册信用监控服务以防身份盗用   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基于Mirai的新型物联网僵尸网络”Aisuru”近日发起多次超20Tb/秒和/或4gpps的高强度DDoS攻击。网络安全公司Netscout报告显示，2025年10月，该僵尸网络主要针对在线游戏领域发动了超过20Tb/秒的大规模攻击。 该僵尸网络利用住宅代理反射HTTPS DDoS攻击，其节点主要为消费级路由器、监控摄像设备/录像机及其他存在漏洞的客户终端设备。攻击者持续寻找新的漏洞利用以扩张僵尸网络规模。 作为DDoS租赁服务，Aisuru虽避开政府和军事目标，但宽带运营商仍因感染设备发起的超1.5Tb/秒攻击而遭受严重干扰。Netscout报告指出：”Aisuru及相关TurboMirai级物联网僵尸网络发起的DDoS攻击主要与在线游戏活动相关，峰值超过20Tb/秒和4gpps。术语’TurboMirai’特指此类能够发起数Tb/秒和数gpps直连式DDoS攻击的Mirai变种僵尸网络。” 与其他TurboMirai僵尸网络类似，Aisuru具备额外的专用DDoS攻击能力及多功能特性，支持攻击者实施撞库攻击、AI驱动的网络爬取、垃圾邮件和网络钓鱼等非法活动。 攻击采用中型数据包和随机端口/标志的UDP、TCP及GRE洪泛攻击。超过1Tb/秒的受感染终端设备流量会干扰宽带服务，而4gpps以上的洪泛攻击已导致路由器线路板卡故障。 报告补充说明：”监测到既有高带宽（大数据包、高bps）也有高吞吐量（小数据包、高pps）的DDoS攻击。UDP和TCP直连洪泛攻击默认使用540-750字节的中型数据包以平衡bps和pps。4gpps及以上强度的小数据包/高pps攻击已导致机架式路由器和三层交换机的线路板卡过载，造成设备脱离机箱背板连接并中断无关流量。部分案例中，用于保护网络基础设施的最佳现行实践方案可能未得到完整实施。出向和横向DDoS攻击的破坏性常与入向攻击相当。” Netscout强调，Aisuru及TurboMirai级物联网僵尸网络主要发起单向量直连DDoS攻击，偶尔与其他DDoS租赁服务联合发起多向量攻击。攻击形式包括中大型或小型数据包的UDP洪泛、大小数据包的TCP洪泛以及多达119种TCP标志组合。部分流量模拟合法HTTP数据包，而HTTPS攻击则利用内置住宅代理。研究人员指出，由于多数网络缺乏特权访问和源地址验证，该僵尸网络流量未经过伪装。 报告进一步说明：”这些僵尸网络无法生成伪装的DDoS攻击流量，使得可通过回溯追踪与用户信息关联，从而识别、隔离和修复受感染设备。” 网络运营商应监控所有边缘网络、用户网络、对等网络及大型终端网络的出入向DDoS流量。检测、分类和回溯系统应保持活跃并集成至防御测试体系。识别受感染设备后需及时修复，但C2中断可能导致重复感染。缓解措施需采用智能系统进行定向压制，并结合Flowspec或S/RTBH等基础设施级方法，同时注意避免过度阻断关键流量。 Netscout总结道：”全面防御需要在所有网络边缘部署与入向缓解同等优先级的出向/横向压制系统。智能DDoS缓解系统、基础设施访问控制列表等网络基础设施最佳现行实践，以及可滥用客户终端设备的主动修复都至关重要。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲知名数字隐私维权组织noyb于本周二对人脸识别公司Clearview AI及其高管提起刑事投诉，指控该公司非法从互联网抓取个人照片并进行售卖。 此次投诉之前，欧洲多家数据保护机构已对Clearview AI采取多次执法处罚并下达禁令，而noyb指出该公司对此置若罔闻。Clearview AI通过爬取网络上的数十亿张照片，并向执法机构出售其人脸识别技术。 noyb称该公司的行为”明显违法且具有侵入性”，并依据《通用数据保护条例》（GDPR）中允许欧盟成员国对违规行为进行刑事处罚的条款，在奥地利提起了刑事申诉。根据noyb的新闻稿，若申诉成功，Clearview AI高管可能面临监禁。 “Clearview AI似乎完全无视欧盟的基本权利，公然藐视欧盟权威，”noyb创始人马克斯·施雷姆斯在一份声明中表示，”该公司建立的全球照片和生物特征数据库，能在几秒钟内识别任何人。” Clearview AI发言人未立即回应置评请求。 今年三月，Clearview AI通过向原告及其律师提供公司未来股权的方式，就一起预估赔偿金额超过5000万美元的集体隐私诉讼达成和解。该公司此前也已在法国、意大利和荷兰等多个欧洲国家被数据监管机构处以罚款。 值得关注的是，尽管奥地利监管机构早在2022年就已判定Clearview AI违反GDPR，但当时既未对公司处以罚款，也未要求其停止处理相关数据。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在OpenAI新推出的ChatGPT Atlas网络浏览器中发现了一个新漏洞，该漏洞可能允许恶意行为者向AI助手的记忆系统中注入恶意指令并运行任意代码。 LayerX安全公司的联合创始人兼首席执行官奥尔·埃舍德在与The Hacker News分享的一份报告中表示：”该漏洞可利用允许攻击者使用恶意代码感染系统、为自己授予访问权限或部署恶意软件。” 该攻击的核心是利用跨站请求伪造漏洞，向ChatGPT的持久化记忆系统中注入恶意指令。被污染的记忆能够在不同设备和会话中持续存在，使得当已登录的用户尝试将ChatGPT用于合法目的时，攻击者能够进行各种操作，包括夺取用户账户、浏览器或连接系统的控制权。 ChatGPT的”记忆”功能于2024年2月首次推出，旨在让AI聊天机器人能在不同对话之间记住有用的细节，从而使其回复更加个性化和贴合上下文。这可能包括用户的姓名、偏爱的颜色、兴趣或饮食偏好等各种信息。 这种攻击构成了重大的安全风险，因为它通过污染记忆，使得恶意指令能够持续存在，除非用户明确前往设置并删除它们。如此一来，它将一个有用的功能变成了可以运行攻击者提供代码的强大武器。 LayerX安全公司安全研究主管米歇尔·莱维表示：”该漏洞的独特危险性在于，它针对的是AI的持久化记忆，而不仅仅是浏览器会话。通过将标准的CSRF攻击与记忆写入操作串联起来，攻击者可以无形地植入能在不同设备、会话甚至不同浏览器中存活的指令。“ “在我们的测试中，一旦ChatGPT的记忆被污染，后续的’正常’提示就可能触发代码获取、权限提升或数据窃取，而不会触发有意义的防护措施。” 攻击的具体流程如下： 用户登录ChatGPT。 用户被社会工程学手段诱骗点击恶意链接。 恶意网页触发CSRF请求，利用用户已通过身份验证的事实，在用户不知情的情况下向ChatGPT的记忆系统中注入隐藏指令。 当用户为合法目的查询ChatGPT时，被污染的记忆会被调用，导致代码执行。 LayerX未透露实施该攻击所需的额外技术细节。该浏览器安全公司表示，ChatGPT Atlas缺乏强大的反钓鱼防护控制，加剧了这一问题，并补充说这使得用户遭受攻击的风险比谷歌Chrome或微软Edge等传统浏览器高出90%。 在对100多个真实网络漏洞和钓鱼攻击的测试中，Edge成功拦截了53%的攻击，其次是谷歌Chrome，拦截率为47%，Dia为46%。相比之下，Perplexity的Comet和ChatGPT Atlas仅分别拦截了7%和5.8%的恶意网页。 这为各种攻击场景打开了大门，包括一种场景：开发者请求ChatGPT编写代码，可能导致AI代理在”氛围编程”过程中嵌入隐藏指令。 这一事态发展与NeuralTrust演示的针对ChatGPT Atlas的提示注入攻击同时发生，后者通过将恶意提示伪装成看似无害的待访问URL，从而越狱其多功能地址栏。此前也有报告指出，AI代理已成为企业环境中最常见的数据泄露载体。 埃舍德表示：”AI浏览器正在将应用、身份和智能集成到一个统一的AI威胁面上。像’被污染的记忆’这样的漏洞就是新的供应链攻击：它们随着用户传播，污染未来的工作，并模糊了有用的AI自动化与隐蔽控制之间的界限。” “随着浏览器成为AI的通用接口，以及新的智能代理浏览器将AI直接融入浏览体验，企业需要将浏览器视为关键基础设施，因为这正是下一代AI生产力和工作的前沿阵地。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年初以来，麒麟勒索软件组织每月声称入侵超过40名受害者，其数据泄露网站上的帖子数量在6月份达到了100例的高峰。 根据思科Talos汇编的数据，美国、加拿大、英国、法国和德国是受麒麟影响最严重的国家。这些攻击主要针对制造业（23%）、专业和科学服务（18%）以及批发贸易（10%）等领域。 麒麟附属组织发起的攻击可能利用了暗网上泄露的管理凭证，通过VPN接口进行初始访问，随后对域控制器和成功入侵的端点执行RDP连接。 在下一阶段，攻击者进行了系统侦察和网络发现操作以绘制基础设施地图，并执行了Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe和SharpDecryptPwd等工具，以促进从各种应用程序中获取凭证，并使用Visual Basic脚本将数据外泄到外部SMTP服务器。 Talos表示：”通过Mimikatz执行的命令针对一系列敏感数据和系统功能，包括清除Windows事件日志、启用SeDebugPrivilege、从Chrome的SQLite数据库提取保存的密码、恢复之前登录的凭证，以及获取与RDP、SSH和Citrix相关的凭证和配置数据。” 进一步分析发现，威胁行为者使用mspaint.exe、notepad.exe和iexplore.exe来检查文件中的敏感信息，以及使用名为Cyberduck的合法工具将感兴趣的文件传输到远程服务器，同时掩盖恶意活动。 研究发现，被盗凭证使得攻击者能够进行权限提升和横向移动，他们滥用提升后的访问权限来安装多种远程监控和管理（RMM）工具，例如AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist和ScreenConnect。Talos表示无法确定这些程序是否用于横向移动。 为了规避检测，该攻击链包括执行PowerShell命令来禁用AMSI、关闭TLS证书验证并启用Restricted Admin，此外还运行dark-kill和HRSword等工具来终止安全软件[citation:1。主机上还部署了Cobalt Strike和SystemBC以实现持久远程访问。 感染的最终阶段是启动麒麟勒索软件，该软件会加密文件并在每个加密文件夹中投放赎金记录，但在之前会清除事件日志并删除由Windows卷影复制服务（VSS）维护的所有卷影副本。 这一发现与一起复杂的麒麟攻击事件相吻合，该攻击将其Linux勒索软件变体部署在Windows系统上，并将其与合法的IT工具和自带易受攻击驱动（BYOVD）技术结合使用，以绕过安全屏障。 趋势科技表示：”攻击者滥用了合法工具，特别是通过Atera Networks的远程监控和管理（RMM）平台安装AnyDesk，并使用ScreenConnect执行命令。他们滥用Splashtop来最终执行勒索软件。” “他们使用专门的凭证提取工具专门针对Veeam备份基础设施，在部署勒索软件有效负载之前，系统地从多个备份数据库获取凭证，以破坏组织的灾难恢复能力。” 除了使用有效账户入侵目标网络外，部分攻击还采用了鱼叉式网络钓鱼和托管在Cloudflare R2基础设施上的ClickFix式虚假CAPTCHA页面，来触发恶意有效负载的执行。据评估，这些页面会投放获取初始访问权限所必需的信息窃取程序以收集凭证。 攻击者采取的一些关键步骤如下： 部署SOCKS代理DLL以促进远程访问和命令执行 滥用ScreenConnect的远程管理功能来执行发现命令，并运行网络扫描工具以识别潜在的横向移动目标 针对Veeam备份基础设施以获取凭证 使用”eskle.sys”驱动程序作为BYOVD攻击的一部分来禁用安全解决方案、终止进程并逃避检测 部署PuTTY SSH客户端以促进向Linux系统的横向移动 使用跨多个系统目录的SOCKS代理实例，通过COROXY后门混淆命令与控制（C2）流量 使用WinSCP安全传输Linux勒索软件二进制文件到Windows系统 使用Splashtop Remote的管理服务（SRManager.exe）直接在Windows系统上执行Linux勒索软件二进制文件 趋势科技研究人员指出：”Linux勒索软件二进制文件提供了跨平台能力，使攻击者能够使用单个有效负载影响环境中的Windows和Linux系统。” “更新的样本加入了Nutanix AHV检测功能，将目标扩展至超融合基础设施平台。这证明了威胁行为者除了传统的VMware部署之外，也对现代企业虚拟化环境的适应。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文