HackerNews

HackerNews 编译，转载请注明出处： Fortinet 确认已修补设备仍遭 FortiCloud 单点登录功能攻击 与近期出现的 FortiCloud 单点登录漏洞类似，这些攻击绕过了身份验证。 Fortinet 周四证实，近期的攻击正在绕过已完全修复近期漏洞的设备上的 FortiCloud 单点登录身份验证。 Arctic Wolf 本周警告称，黑客正利用自动化手段，修改FortiGate 防火墙的配置，以添加新用户账户、启用VPN访问权限并窃取设备配置文件。 该公司指出，此次新的攻击活动与 2025 年 12 月针对 CVE-2025-59718 和 CVE-2025-59719 的攻击相似。这两个高危漏洞影响了 FortiOS、FortiWeb、FortiProxy 和 FortiSwitch Manager 设备的 FortiCloud SSO 登录功能。 Fortinet在 12 月初发布了针对这两个漏洞的修复程序，并警告称，黑客可能利用精心构造的 SAML 响应消息，在启用了 FortiCloud SSO 登录功能的实例上绕过身份验证。 Fortinet于周四证实了先前业界的担忧：即使设备已针对 CVE-2025-59718 和 CVE-2025-59719 打过补丁，攻击仍然能够成功。 Fortinet表示：“我们已确认多起案例，受攻击的设备在遭袭时已完全升级到当时的最新版本，这表明存在一条新的攻击路径。” 该公司补充道：“需要注意的是，虽然目前仅观察到针对 FortiCloud SSO 的利用，但此问题适用于所有 SAML SSO方式。” Fortinet表示正在制定修复方案，但尚无法分享其可用性的具体细节。 该公司已共享了入侵指标，以帮助客户排查其设备上的恶意活动。 建议各组织阻止从互联网对边缘设备进行管理访问，并将其限制在本地 IP 地址范围内。 Fortinet指出：“作为一项额外的临时缓解措施，我们建议禁用 FortiCloud SSO 功能。这将防止通过此方法被突破，但无法防范第三方 SSO 系统，因此建议仅在与本地入站策略结合使用时采取此措施。”       消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  在由趋势科技“零日漏洞计划”主办的年度Pwn2Own 汽车安全破解大赛上，参赛团队围绕汽车软硬件安全漏洞展开挖掘，目前已有研究人员通过演示多款系统的漏洞，赢得数十万美元奖金。 其中，Synacktiv团队表现尤为突出。该团队利用信息泄露漏洞与越界写入漏洞，通过基于USB接口的攻击路径，成功攻陷特斯拉的信息娱乐控制单元。 凭借这一成果，该团队斩获3.5万美元奖金，同时也让人们对联网汽车面临的物理访问类漏洞风险的担忧进一步加剧。不过，特斯拉对此或许也会乐见其成。 特斯拉之所以会乐见其成，是因为早在2024年，其就已经奖励了Synacktiv 20万美元现金和一辆Model 3，以表彰他们演示了一系列攻击链。这些攻击本可能被恶意攻击者用来入侵特斯拉的CAN总线和ECU。 从理论上讲，这类高危漏洞足以让攻击者干预特斯拉汽车的多项核心系统，包括发动机与变速箱控制、电池管理、动力总成、悬架系统、车门及座椅控制、远程信息处理系统等。 同年，来自iOS应用开发公司Mysk的两名安全研究人员也演示了一种攻击手法：仅通过搭建一个伪造的WiFi登录页面，就能利用社会工程学手段，在理论上复制特斯拉汽车的手机应用钥匙并将其盗取。 2026年Pwn2Own汽车安全破解大赛于东京举办。在首日比赛中，参赛团队成功演示了37个独特漏洞，累计斩获 51.65万美元奖金。 尽管大赛中不少黑客团队都是通过攻克信息娱乐系统，实现对各类车辆的未授权访问，但这并非他们使用的唯一攻击路径。 例如，Fuzzware.io 团队成功破解了Autel的MaxiCharger 汽车充电桩，赢得5万美元奖金。此外，还有其他团队分别攻破了Phoenix Contact的充电连接器，以及Grizzl-E Smart智能充电桩。 一名研究人员近期警告称，电动汽车接入充电桩的过程，实际上会建立起一条数据链路，而这条链路可能被滥用于发起多种攻击。黑客可借此实施盗刷资金、窃取数据、盗取电力等操作，甚至能实现未授权控制，或直接瘫痪整个系统。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  欧盟全新的全球漏洞编号分配系统正式上线运行。该系统为欧洲网络安全从业者提供了一个替代方案，以应对美国主导的 CVE 项目可能因资金不足而停摆的潜在风险。 该漏洞预警数据库项目，自 2025 年 4 月启动筹备，并于同年 5 月与欧盟漏洞数据库（EUVD）一同对外公布，最终在 2026 年 1 月 7 日正式面向公众开放。 该系统的核心目标是终结欧洲对美国漏洞数据库的依赖，强化欧洲数字主权。 Closed Door Security首席执行官威廉・赖特表示，GCVE 项目的落地，无论对欧盟本土还是全球的科技与网络安全行业而言，都是一项积极举措。 他指出：“倘若美国政府运营的 CVE 项目突然终止，整个行业将陷入混乱…… 公共与私营部门会因急于寻找替代方案而陷入信息盲区，这将给威胁攻击者留下巨大的可乘之机。” 赖特补充道：“尽管我们期望 CVE 项目能够持续运营，但拥有一个替代方案，将从整体上提升网络与科技领域的抗风险能力。”  对标米特雷 CVE 系统的去中心化替代方案  面向公众开放的 GCVE 系统，是由卢森堡计算机事件响应中心主导推出的去中心化漏洞追踪平台。 据 GCVE 官网介绍，这个以漏洞编号分配为核心的框架，最大的独特性在于它是真正意义上的“社区驱动型项目”。该平台整合并关联了来自 25 个公共数据源的漏洞信息，其中就包括米特雷公司运营的 CVE 项目。 官网指出：“通过整合来自去中心化发布方及现有漏洞数据库的数据，GCVE 有助于减少漏洞信息碎片化问题，提升全球漏洞态势的整体可见度。” 安全分析人士表示，欧盟推出这一系统，也是为了降低单一全球漏洞基础设施依赖所带来的风险。 整合 25 个公共数据源的 GCVE 平台 赖特进一步提及，外界对现有 CVE 项目的漏洞收录效率的担忧正在不断加剧。 他表示：“目前有大量漏洞等待在 CVE 平台上进行集中验证和收录，部分观点认为，米特雷公司已难以跟上当代威胁环境的演变速度与规模。” 赖特解释称，这款全新的去中心化系统设计之初就考虑了与 CVE 系统的交叉兼容性——“它能够整合并标准化来自多个数据源的信息，授权指定的 GCVE 编号机构（GNA）自主完成漏洞信息的记录与发布，无需经过中央机构审批。” 他补充道：“我们期望这一机制能够加快漏洞信息的记录流程，提升流程的稳健性，帮助政府与企业更快速地应对高危安全威胁。” 资金担忧催生欧洲自主方案 尽管欧盟漏洞数据库已在欧盟网络安全局的推动下研发近一年，但 GCVE 与 EUVD 两大数据库几乎同期落地，这一时间节点并非偶然。 2025 年 4 月 16 日，美国国土安全部在最后时刻才续签了美国本土 CVE 项目的资金，这一举措引发了全球首席信息安全官的恐慌 —— 他们高度依赖这个实时更新的数据库来保障自身机构的安全。 美国国家标准与技术研究院主导的行业标准漏洞编号项目，是由联邦政府资助、米特雷公司负责运营的项目。米特雷是一家非营利网络安全机构，总部位于华盛顿特区郊野及马萨诸塞州。 通用漏洞披露 CVE 数据库通过集中化管理，对已公开披露的安全漏洞进行识别、定义与分类编目，帮助信息技术团队及时掌握高危威胁动态及相应的修复方案。 这套统一的漏洞编号规则、严重程度分级标准以及详细的漏洞描述，能够助力各类机构及全球各地的从业者，实现专业技术信息的高效互通。 正因如此，为避免未来可能出现的服务中断风险，欧洲网络安全领域的负责人决定开发自主的替代系统。 除了支持批量开放数据下载及离线分析外，这个由欧盟资助的数据库还设立了专属的GCVE 编号机构。这些机构 “有权自主分配和发布漏洞标识符，同时通过通用协议与最佳实践，确保与其他系统的互操作性”。 兼容性问题仍存争议 不过，尽管 GCVE 系统有助于降低全球对美国 CVE 项目的依赖，Talion威胁情报主管娜塔莉・佩奇指出，欧盟的这套数据库系统 “应致力于实现与美国 CVE 项目的兼容，采用相似的术语体系与评级标准”。 她强调，该系统的目标 “不应是给各机构的漏洞追踪工作造成困扰，或是导致与 CVE 体系的脱节”。 GCVE 的定位并非彻底取代米特雷的 CVE 项目，而是在未来若因资金问题或政治因素，导致全球漏洞追踪服务面临中断风险时，为欧洲提供一个备选方案。 GCVE 官网表示：“通过授权 GNA 及其他发布方自主贡献数据，同时实现全球范围内的数据关联，GCVE 旨在减少漏洞管理体系中的单点故障，推动漏洞管理领域的创新发展。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国纽约州 公务员工会的系统被恶意攻击者侵入并潜伏近一个月，数万名会员的个人信息或已遭访问。 该工会已向数千名会员发送通知，告知 2025 年发生的这起数据泄露事件。据泄露事件通知函显示，攻击者在2025 年 5 月 3 日至 5 月 31 日期间，持续在工会系统内活动。 纽约州公务员工会是代表该州州及地方政府雇员利益的劳工组织，目前拥有约 30 万名会员。而该工会提交给缅因州总检察长办公室的信息显示，此次数据泄露导致超过 4.7 万名人员的个人信息外泄。 通知函指出，纽约州公务员工会于 2025 年 5 月下旬发现系统存在未授权访问行为，并立即启动调查。在调查期间，工会采取了下线相关系统、重置密码、部署高级安全检测软件等一系列措施。 该工会解释称：“经核查，我们确认在此期间，一份包含你个人信息的文件被未授权人员获取。不过，目前的调查尚未发现任何与本次事件相关的、利用这些信息实施欺诈或身份盗用的证据。” 调查结果显示，攻击者可能获取了工会会员的姓名及社会保险号码。这些外泄的信息可能会被恶意攻击者用于身份盗用犯罪。 理论上，攻击者可利用这些信息，以受害者的名义开设虚假信贷账户、提交纳税申报单、申领各类福利补贴。最令人担忧的是，社会保险号码具有终身唯一性，无法更改，这会给相关受害者带来长期的网络安全风险。 工会在通知中表示：“我们已与顶尖的网络安全及隐私保护机构合作，协助开展调查与应急处置工作。在确认系统存在未授权活动后，我们立即着手分析涉事数据，以确定潜在受影响人员的身份，并及时向他们发出通知。” 官方建议受影响人员保持警惕，定期查看信用报告、核对账户账单明细，密切留意任何可疑活动。个人可通过多种方式防范身份盗用风险，Cybernews 团队已在此处列出了多项防护措施。 纽约州公务员工会是美国规模较大的劳工组织之一，同时也是美国州、县、市雇员联合会的最大成员单位。该联合会是美国最大的公共部门雇员工会，而纽约州公务员工会的会员人数约占其总人数的四分之一。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 高科技企业通常会不遗余力地保护自身知识产权，但在其他敏感数据的防护上，却往往有所疏漏。例如，Cybernews 研究团队就发现了一个暴露在外的 MongoDB 数据库，其中存储着保宁制药的数百万条聊天记录。 Boryung制药及医疗企业在本土市场知名度颇高，拥有近 1500 名员工。 研究团队指出，此次暴露的 MongoDB 数据库中，包含超 800 万条来自企业内部通讯工具GW 即时通讯软件的聊天记录。 GW 即时通讯软件是一款韩国本土企业级通讯系统，被多家企业采用。研究团队判断，此次泄露大概率是企业员工内部通讯平台的后端数据库被意外暴露所致。 此外，除聊天记录外，研究团队还在该数据库中发现了近 3500 份员工用户档案。 研究人员表示：“此次数据泄露属于严重的企业安全事件，外泄的内部通讯内容、组织架构信息、设备元数据及身份信息，都可能被用于发起定向网络攻击。” 尽管Boryung尚未对相关问询作出回应，但该暴露的数据库现已被关闭，不再对外开放访问。 Boryung数据泄露事件详情  此次暴露的 MongoDB 数据库完全处于无防护状态，无需任何授权即可访问。此外，该数据库直接面向公共互联网开放完整读取权限，任何发现该数据库的人员均可查看其中内容。 总体而言，外泄数据可分为三大类： 员工身份数据 具体包含： 员工全名 企业邮箱 用户名 哈希加密密码 设备元数据 攻击者利用此类数据最直接的方式是实施身份盗用，冒用信息泄露用户的身份行事。不过在本次事件中，恶意攻击者更有可能将这些数据用于社会工程学攻击。 攻击者甚至可能在该通讯平台上注册账号，辅助实施社会工程学攻击；或直接修改用户密码，达成相同目的。 尽管泄露的密码经过哈希加密处理，但研究团队认为，动机明确的攻击者可通过离线破解的方式，花费时间算力破译这些密码。一旦破解成功，攻击者不仅能够入侵企业系统，还可能利用这些密码发起撞库攻击—— 毕竟许多用户存在多个账号复用同一密码的习惯。 内部通讯记录 这部分数据包含 800 万条聊天记录，内容大概率涉及： 商业洽谈内容 人力资源相关议题 财务沟通信息 内部链接、文档及附件 项目管理沟通记录 员工私人对话 此类信息泄露的危害极大，企业内部聊天记录往往包含各类商业机密，其中不乏对竞争对手极具价值的内容。 研究团队解释道：“内部聊天记录中通常会包含网址、内部 IP 地址或参考资料，这些信息能帮助攻击者进一步深入渗透企业系统。” 此外，内部通讯内容还可能泄露从研发动态到合规监管讨论等各类信息。恶意攻击者可利用这些信息伪装成企业员工，凭借聊天记录中的细节获取他人信任。 系统元数据 具体包含： 时间戳 消息渠道 / 群组信息 用户 – 渠道对应关系 内部路由标识符 研究人员建议Boryung立即重置全体员工密码、作废现有身份验证令牌，并强制移动端通讯软件用户下线重新登录。 他们还强调：“该公司应当立即开展数字取证调查，确认这个暴露的数据库是否已被未授权人员访问。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 一份最新报告显示，2023 年末至 2025 年年中期间，约旦当局使用以色列Cellebrite公司的数字取证软件，从至少七名约旦活动人士和人权捍卫者的手机中提取数据。 加拿大Citizen Lab于周四发布这份报告，其结论依据来源于该研究所对 4 起案件中被扣押手机开展的数字取证分析，以及另外 3 起案件的约旦法庭记录。报告指出，公民实验室取证分析的设备中，有 3 部为苹果手机，1 部为安卓手机。 公民实验室强调，所有被曝光的数据提取行为，均发生在这些活动人士因发表批评以色列加沙军事行动的言论，遭到约旦当局审讯或拘留期间。 总部位于以色列的赛取证公司，主营产品为供全球执法机构使用的手机解锁取证软件。该公司曾协助美国联邦调查局，从多起重大案件嫌疑人的设备中提取数据，其中就包括 2024 年被控图谋刺杀唐纳德・特朗普的嫌疑人的手机。 尽管报告仅详细披露了 7 起案件，但公民实验室表示，其已掌握数十起约旦当局使用赛取证工具针对公民社会人士的相关案例。该研究所此前曾对约旦活动人士的手机进行检测，并认为约旦当局至少自 2020 年起就已开始使用Cellebrite软件。 约旦对活动人士的打压最早可追溯至 2015 年，该国于当年出台一部网络犯罪法，将部分网络言论列为刑事犯罪行为。2023 年，该国对这部法律进行修订，进一步扩大了非法言论的界定范围，将 “诋毁、诽谤或蔑视他人” 的表述也纳入其中。 Cellebrite软件能够提取手机中的各类数据，包括聊天记录、文件、照片、视频、位置轨迹、保存的密码、无线网络连接记录、通话记录、电子邮件、网页浏览历史、社交媒体账户信息、第三方应用数据，甚至是手机用户已尝试删除的数据。 该平台会采用暴力破解及更高级的漏洞利用两种方式，绕过设备的安全防护与加密机制。报告还指出，即便无需破解锁屏密码，各国政府也会借助赛取证工具 “协助完成数据提取与可视化呈现”。 约旦并非首个被曝出滥用Cellebrite工具的国家。2024 年 12 月，国际特赦组织曾公布证据，证实塞尔维亚当局在扣押一名记者和一名活动人士期间，使用赛取证工具秘密解锁二人的手机，并在设备中植入间谍软件。 公民实验室还援引多份报告指出，俄罗斯、尼日利亚、博茨瓦纳、缅甸和意大利等国政府，均存在滥用赛取证工具监视公民社会人士的行为。报告称，Cellebrite还曾向白俄罗斯、孟加拉国、中国、中国香港地区和委内瑞拉的独裁政权出售其软件。 公民实验室已联系Cellebrite公司发言人要求置评，并向记者分享了该公司的一份声明。 该发言人未否认公民实验室关于约旦的相关调查结论，仅表示 “作为一项政策，我们不会对具体个案发表评论”。 声明称：“公司会依据内部人权标准对潜在客户进行审核，基于此，我们历史上已在多个被判定为风险与企业价值观不符的司法管辖区终止业务。我们的技术授权仅用于合法用途，要求客户在使用前必须明确证明其拥有合法授权。” “对于任何可能违反终端用户协议中明确及隐含条款的技术滥用指控，我们均会严肃对待。” 公民实验室表示，其在所有 4 部接受取证分析的手机中，均发现了与Cellebrite工具相关的苹果 iOS 系统和安卓系统入侵痕迹。 这些活动人士均被强迫通过人脸识别或输入密码的方式，向当局解锁自己的手机。报告提到一个案例：一名活动人士在被拘留后取回手机时，发现自己的锁屏密码被写在一张贴在手机背面的胶带上 —— 而这名活动人士从未向当局提供过自己的密码。 公民实验室获取的法庭记录，均与约旦当局依据该国网络犯罪法起诉活动人士的案件相关。 公民实验室指出，每份法庭记录中都附有一份 “由约旦刑事侦查部门出具的技术报告，其中包含对被扣押设备开展取证数据提取的总结内容”。 公民实验室建议赛取证公司考虑为其目标设备添加水印标记，为每台设备附上与特定客户绑定的唯一识别码，以此提高责任追溯效率，让技术滥用行为更易被察觉。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 Osiris的新型勒索软件家族的相关细节，该勒索软件于 2025 年 11 月针对东南亚一家大型餐饮服务加盟商发起攻击。 赛门铁克与炭黑威胁狩猎团队指出，此次攻击利用了一款名为POORTRY的恶意驱动程序，采用的是一种名为自带易受攻击驱动程序的已知攻击技术，以此破坏安全软件的防御功能。 值得注意的是，此次发现的Osiris被判定为全新勒索软件变种，与 2016 年 12 月出现的同名称变种并无关联 —— 后者是Locky勒索软件的衍生版本。目前，该勒索软件的开发者身份尚不明确，也无法确定其是否以勒索软件即服务的模式对外提供。 不过，这家隶属于博通公司的网络安全部门表示，他们已发现相关线索，表明部署该勒索软件的威胁攻击者，此前可能与INC 勒索软件存在关联。 该公司在向thehackernews提供的一份报告中指出：“攻击者在此次攻击中使用了各类原生工具与双用途工具，同时还部署了 POORTRY 恶意驱动程序。这款驱动程序很可能是作为自带易受攻击驱动程序攻击的一部分，用于禁用安全软件。” “攻击者将窃取的数据上传至Wasabi 云存储桶，且使用的Mimikatz 工具版本及文件名（kaz.exe），均与此前 INC 勒索软件攻击者所使用的一致，这些都表明此次攻击与部分 INC 勒索软件攻击事件存在潜在关联。” Osiris被描述为一种高效的加密载荷，推测是由经验丰富的攻击者开发使用。该勒索软件采用混合加密方案，会为每个文件生成唯一的加密密钥。其功能具备灵活性，可实现停止服务、指定待加密的文件夹与文件扩展名、终止进程以及投放勒索信等操作。 默认情况下，奥西里斯被设计用于终止一系列进程与服务，涉及范围包括微软办公套件、Exchange 邮件服务器、火狐浏览器、写字板、记事本、卷影副本以及威联通备份软件等。 目标网络中出现恶意活动的首个迹象，是攻击者在部署勒索软件前，通过Rclone 工具将敏感数据窃取至 Wasabi 云存储桶。此外，攻击者还使用了多款双用途工具，如Netscan 网络扫描工具、Netexec 渗透测试工具和 MeshAgent 远程管理工具，同时还有一款定制版本的向日葵远程控制软件。 POORTRY 驱动程序与传统的自带易受攻击驱动程序攻击所使用的驱动有所不同，它并非向目标网络部署 “合法但存在漏洞” 的驱动程序，而是一款专门用于提升权限和终止安全工具的定制驱动。 赛门铁克与炭黑威胁狩猎团队强调：“攻击者还在目标网络中部署了KillAV 工具，该工具的作用是投放存在漏洞的驱动程序，进而终止安全进程。此外，目标网络的远程桌面协议（RDP）被启用，这很可能是为了方便攻击者获取远程访问权限。” 当前，勒索软件仍是企业面临的重大安全威胁，其攻击态势也在不断变化 —— 部分攻击团伙销声匿迹，而新的团伙则迅速崛起或趁机填补空缺。赛门铁克与炭黑对数据泄露网站的分析数据显示，2025 年勒索软件攻击者共宣称发动了4737 起攻击，相较于 2024 年的 4701 起，同比增长 0.8%。 2025 年最为活跃的勒索软件团伙包括Akira、Qilin、Play、INC、SafePay、RansomHub、DragonForce、Sinobi、Rhysida以及CACTUS。该领域其他值得关注的动态如下： 2025 年中后期观测到的攻击事件显示，使用Akira勒索软件的威胁攻击者，借助存在漏洞的Throttlestop 驱动程序，并结合Windows CardSpace 用户界面代理与微软媒体基础保护管道，实现 Bumblebee loader的侧载执行。 Akira勒索软件团伙还利用SonicWall SSL VPN的漏洞发起攻击，针对处于并购阶段的中小企业环境实施入侵，最终获取对规模更大的收购方企业的访问权限。另有一起阿基拉攻击事件显示，攻击者通过类 ClickFix 人机验证钓鱼诱饵，投放一款名为SectopRAT的.NET 远程访问木马，以此作为远程控制和勒索软件投递的通道。 LockBit勒索软件虽在 2024 年初遭遇执法部门的打击行动，但其基础设施仍在持续运作，并于 2025 年 10 月与DragonForce、Qilin达成合作。该团伙还推出了LockBit 5.0 变种，可针对多种操作系统和虚拟化平台发起攻击。LockBit 5.0 的一项重大更新是采用双阶段勒索软件部署模式，将加载器与主载荷分离，同时最大限度提升攻击的隐蔽性、模块化程度和破坏效果。 Sicarii的新型勒索软件即服务运营团伙于 2025 年末首次出现，截至目前仅宣称攻击了一名受害者。该团伙公开宣称自己具有以色列 / 犹太背景，但分析发现，其地下网络活动主要使用俄语，且发布的希伯来语内容存在语法和语义错误。这一现象引发外界猜测，该团伙可能是一次虚假旗标操作。西卡里团伙的主要操作者使用的电报账号为 “@Skibcum”。 有观测显示，名为Storm-2603的威胁攻击者，将合法的迅猛龙数字取证与事件响应工具作为前置攻击手段，为后续投放Warlock、Babuk勒索软件铺路。在攻击过程中，该团伙还利用两款驱动程序（“rsndispot.sys” 和 “kl.sys”）以及 “vmtools.exe” 工具，通过自带易受攻击驱动程序攻击手段破坏安全防护方案。 Makop针对印度、巴西和德国的目标发起攻击，利用暴露且存在安全隐患的远程桌面协议系统，投放用于网络扫描、权限提升、禁用安全软件、凭据窃取和勒索软件部署的各类工具。此次攻击中，除了使用 “hlpdrv.sys” 和 “ThrottleStop.sys” 驱动程序实施自带易受攻击驱动程序攻击外，攻击者还通过GuLoader 加载器投递勒索软件载荷。这是首次有文献记载马科普勒索软件通过加载器进行分发的案例。 另有勒索软件攻击事件显示，攻击者利用已泄露的远程桌面协议凭据获取初始访问权限，随后开展侦察、权限提升、借助远程桌面协议横向移动等操作；在入侵的第六天，将窃取的数据上传至temp [.] sh 平台，并在三天后投放Lynx。 研究发现，Obscura的加密流程存在安全缺陷，这一缺陷会导致大型文件无法被恢复。Coveware指出：“当隐匿者勒索软件加密大型文件时，无法将加密临时密钥写入文件尾部。对于超过 1GB 的文件，其尾部信息根本不会生成 —— 这意味着用于解密的密钥永久丢失，此类文件将彻底无法恢复。” 一个名为01flip的新型勒索软件家族，针对亚太地区的特定目标发起攻击。该勒索软件由Rust 语言编写，可同时针对 Windows 和 Linux 系统发起攻击。其攻击链的核心环节，是利用已知安全漏洞（如CVE-2019-11580 漏洞）获取目标网络的初始立足点。该勒索软件被归因于一个名为CL-CRI-1036的牟利型威胁攻击者。 为防范定向攻击，安全机构建议企业采取以下防护措施：监控双用途工具的使用情况、限制远程桌面协议服务的访问权限、强制启用多因素认证、合理部署应用程序白名单策略、并实施备份数据的异地存储方案。 赛门铁克与炭黑公司表示：“尽管加密型勒索软件攻击的猖獗程度不减，依然构成严重威胁，但新型无加密勒索攻击的出现进一步加剧了风险，催生了一个更为庞大的敲诈勒索生态系统 —— 在这个生态系统中，勒索软件或许只是其中一个组成部分。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  苹果核心合作代工厂立讯精密，负责苹果手机、耳机、手表及头显设备的组装业务，据称已遭遇某勒索软件犯罪集团发起的网络攻击。黑客威胁，若立讯精密拒绝支付赎金，就将外泄苹果、英伟达及 LG等企业的机密数据。 据称，立讯精密的数据泄露事件发生于上月，黑客声称在2025年12月15日就已将这家苹果核心合作伙伴的相关数据加密。此次攻击的疑似发起者 —— 黑客组织RansomHub，已在其暗网论坛上公开了这起数据泄露事件。 立讯精密是苹果公司的重要合作伙伴。包括iPhone、AirPods、Apple Watch在内的多款苹果产品均由立讯精密负责组装，这意味着该公司掌握着苹果产品大量核心机密信息。 黑客在暗网中宣称：“我们已经等了贵公司很久，但贵公司的信息技术部门似乎打算隐瞒这场安全事故。我们强烈建议贵公司尽快与我们取得联系，以免贵公司的机密数据和项目文件遭到外泄。” 黑客发布立讯精密数据泄露声明的截图图片 图源：Cybernews 立讯精密数据泄露事件泄露了哪些信息？ Cybernews 的研究团队对黑客在帖文中附带的数据样本展开了调查分析。 该团队证实，泄露数据中包含苹果与立讯精密合作的设备维修及物流运输等机密项目的详细信息，涵盖项目时间规划、具体流程，以及立讯精密其他客户的相关资料。 此外，泄露信息中还包含参与特定项目的员工个人身份信息，涉及员工姓名、职位及工作邮箱等敏感内容。 苹果与立讯精密合作项目的疑似机密信息截图图片 图源：Cybernews 网站 研究团队进一步解释道：“这些项目的时间跨度从2019 年至2025年，相关信息涉及企业高度敏感的商业运营内容。此外，数据中还包含 .dwg和Gerber文件，这些文件通常用于创建产品模型设计。” 尽管立讯精密的数据泄露事件尚未得到官方证实，但研究团队认为，黑客在帖文中公布的信息真实性较高。 参与苹果项目的立讯精密员工疑似信息截图 图源：Cybernews 攻击者声称掌握的数据内容 RansomHub声称其已广泛访问立讯精密客户的机密数据，被盗数据涵盖从3D产品模型到电路板设计资料，这些都是企业间谍高度觊觎的信息。 据攻击者称，他们掌握的档案包括： 机密3D CAD产品模型、3D工程设计数据与工程文档 Parasolid产品的高精度几何数据 用于制造的2D组件图纸 机械部件图纸 PDF格式的机密工程图 电子设计文档 电气与布局架构数据 印刷电路板制造数据 攻击者宣称：“这些档案包含来自 苹果、英伟达，以及 LG、吉利、特斯拉等多家大型公司的数据，这些公司的生产和研发信息均受保密协议保护。” 一旦此事得到证实，这场攻击对立讯精密及其合作企业而言，都将是一场灾难。 一方面，黑客可能将窃取的数据出售给竞争对手，后者可借助这些资料反向研发产品，省去数年的研发投入，甚至制造仿冒产品。 另一方面，此次事件还将引发严重的网络安全隐患。黑客可通过这些数据精准找出设备的硬件漏洞、芯片位置及供电系统信息，进而针对性地攻击设备固件，或发起供应链攻击。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  密码管理器 LastPass 警告称，当前正发生一起冒充该服务的钓鱼攻击活动，攻击者试图窃取用户的主密码（Master Password）。 LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道： “LastPass 威胁情报、缓解与升级团队提醒客户注意一项于 2026 年 1 月 19 日左右开始的活跃钓鱼活动。这些钓鱼邮件来自多个电子邮箱地址，使用不同的主题行，声称 LastPass 即将进行维护，并敦促用户在接下来的 24 小时内备份其密码库。已知的发件地址和主题行列表如下。” 钓鱼攻击手法 该活动通过钓鱼邮件中的链接，声称可帮助用户备份 LastPass 密码库。 链接首先指向一个托管在 Amazon S3 上的钓鱼页面： group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf 随后重定向至一个伪造的 LastPass 网站： mail-lastpass[.]com 攻击者特意选择在美国假期周末发起攻击，以利用人员配置不足的时机，延缓安全团队的发现和响应。 LastPass 的应对与提醒 LastPass 强调，官方绝不会要求用户提供主密码，并敦促用户对任何可疑邮件保持警惕。公司正在努力关闭恶意域名，并请求用户将可疑邮件转发至 [email protected]。 此外，LastPass 还分享了相关的入侵指标，包括： 伪造域名 IP 地址 发件人信息 钓鱼邮件主题行 报告总结称： “该活动发生在美国假期周末，这是威胁行为者常用的策略，目的是利用人员减少的情况，延迟被发现并拉长应对时间。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 已修复其 ACME 验证逻辑中的一项漏洞，该漏洞可能允许攻击者绕过安全检查并访问受保护的源站服务器。 Cloudflare 表示，其 ACME HTTP-01 验证流程中存在缺陷，问题出在Cloudflare 边缘节点对 /.well-known/acme-challenge/ 路径请求的处理方式上。该公司称，未发现该漏洞被恶意利用的迹象。 ACME 是一种用于让证书颁发机构验证域名所有权的协议。在 HTTP-01 验证方式下，CA 会访问一个包含一次性令牌的特定 URL；如果返回内容匹配，即可签发证书。按设计，该过程只应允许访问这一精确路径，而不能访问其他任何资源。 漏洞是如何被发现的 研究人员在测试部署在 Cloudflare 之后、且 WAF 仅允许特定来源访问的应用时发现，对/.well-known/acme-challenge/{token}的请求绕过了 WAF，并直接到达源站服务器。 在演示主机上的测试证实了这一行为： 对普通路径的访问会返回 Cloudflare 的拦截页面； 而对 ACME 路径的访问，即使没有真实的令牌，也会返回由源站生成的响应。 研究人员通过自定义主机名创建了一个稳定、处于待验证状态的 HTTP-01 令牌，从而能够在全球范围内可靠地测试 WAF 的行为。 潜在风险与影响 当 Cloudflare 的 WAF 允许 /.well-known/acme-challenge/... 路径绕过防护时，信任边界从 WAF 转移到了源站。演示应用显示了由此带来的多种风险，包括： Spring / Tomcat 端点泄露敏感的环境变量 Next.js SSR 页面暴露运行和运维细节 PHP 路由因本地文件包含漏洞暴露文件 此外，账户级 WAF 规则在该路径上被忽略，使基于请求头的攻击成为可能，例如 SSRF、SQL 注入和缓存投毒。 Cloudflare 已于 2025 年 10 月 27 日 修复该问题，恢复了对该路径的一致性 WAF 防护。 研究人员的警告 安全研究机构 FearsOff 在报告中指出： “当用于检查请求头的 WAF 规则被跳过时，许多漏洞类型就重新获得了通往源站的通道：例如遗留代码中基于请求头的 SQL 拼接、通过 X-Forwarded-Host 或 X-Original-URL 实现的 SSRF 和主机混淆、当缓存因请求头变化而产生的缓存键投毒、利用 X-HTTP-Method-Override 的方法覆盖技巧，以及通过自定义请求头触发的调试开关。显而易见的问题是——还有多少应用对请求头的信任程度超出应有范围？又有多少应用依赖 WAF 来充当这种信任与互联网之间的防线？” AI 时代下的 WAF 绕过风险 报告还强调，随着 AI 驱动攻击的发展，这类 WAF 绕过漏洞的危险性正在上升。AI 能够迅速发现并利用暴露的路径，将多个小漏洞串联成大规模攻击。与此同时，防御方也在使用 AI 进行攻击模拟和防御部署，使强健、全面的 WAF 防护变得愈发关键。 报告总结称： “在 AI 驱动攻击不断演进的背景下，这类 WAF 绕过漏洞显得尤为紧迫。由机器学习驱动的自动化工具可以快速枚举并利用诸如 /.well-known/acme-challenge/ 这样的暴露路径，在大规模环境中探测特定框架的弱点或配置错误。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示： “在 5.2.1716.0 版本之前的 Zoom Node 多媒体路由器（MMR）中存在一项命令注入漏洞，可能允许会议参与者通过网络访问对 MMR 执行远程代码。使用 Zoom Node Meetings Hybrid 或 Meeting Connector 部署的客户，建议其管理员尽快更新至最新可用的 MMR 版本。” 该漏洞由 Zoom 攻防安全团队发现。 受影响产品 该漏洞影响以下产品版本： Node Meeting Connector（MC） 的 MMR 模块 版本 低于 5.2.1716.0 Node Meetings Hybrid（ZMH） 的 MMR 模块 版本 低于 5.2.1716.0 Zoom 表示，目前尚未发现该漏洞在现实环境中被利用的迹象。 相关历史漏洞 2025 年 8 月，Zoom 曾修复另一个严重安全漏洞 CVE-2025-49457（CVSS 评分 9.6），该漏洞存在于 Windows 版 Zoom 客户端中。 攻击者可在无需身份验证的情况下，通过网络访问方式利用该漏洞实现权限提升。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  近日发现的一款高度复杂的 Linux 恶意软件框架 VoidLink，被评估为由单一开发者在AI模型辅助下完成。 这一判断来自 Check Point Research 的最新发现。研究人员指出，恶意软件作者在操作安全上的失误泄露了其开发来源线索。最新分析使 VoidLink 成为首批主要由 AI 生成的高级恶意软件实例之一。 Check Point 表示：“这些材料清楚地表明，该恶意软件主要通过 AI 驱动的开发方式完成，并在不到一周内形成首个可运行的植入体。”截至 2025 年 12 月初，其代码量已超过 88,000 行。 VoidLink 于上周首次被公开披露。这是一套以 Zig 语言编写、功能丰富的恶意软件框架，专门用于对 Linux 云环境实施长期、隐蔽的控制。研究人员认为该恶意软件源自一个与中国有关的开发环境。截至目前，其具体用途尚不明确，也未发现任何真实世界中的感染案例。 AI 辅助开发的证据 云安全公司 Sysdig 的后续分析最早指出，该工具包可能是在一名具备深厚内核开发经验和红队背景的人类操控下，借助大语言模型完成的，并提出了四项关键证据： 调试输出过度系统化，且在所有模块中格式完全一致 诱饵响应模板中嵌入了典型 LLM 训练示例占位符（如 “John Doe”） API 版本命名高度统一，全部为 _v3（如 BeaconAPI_v3、docker_escape_v3、timestomp_v3） 类模板化的 JSON 响应，几乎涵盖所有可能字段 Sysdig 指出：“最可能的情况是，一名精通中文的高技能开发者利用 AI 加速开发过程（生成样板代码、调试日志和 JSON 模板），同时由其本人提供安全专业知识和整体架构设计。” Check Point 周二发布的报告进一步印证了这一假设，称其发现的痕迹表明：AI 不仅被用于编写代码，还被用来构建、执行和测试整个框架，使一个概念在极短时间内转化为可用工具。 VoidLink 项目的高层开发模式 Check Point 将 VoidLink 的开发方式描述为一种“规格驱动开发”（Spec Driven Development, SDD）：“在这种工作流中，开发者首先明确要构建什么，然后制定计划、拆分任务，最后才让 AI 代理来执行实现。” 研究人员认为，威胁行为者在 2025 年 11 月下旬启动了 VoidLink 项目，并使用了一款名为 TRAE SOLO 的编码代理来完成任务。这一判断基于在其服务器上发现的 TRAE 生成的辅助文件，这些文件与源代码一同被复制，后来在一个暴露的开放目录中泄露。 此外，Check Point 还发现了多份用中文撰写的内部规划材料，内容涉及冲刺计划、功能拆分和编码规范，具有明显的 LLM 生成特征——结构清晰、格式统一、细节极其完善。其中一份详细的发展计划文档创建于 2025 年 11 月 27 日。 这些文档被重新用作 LLM 的执行蓝图，指导其构建并测试恶意软件。Check Point 复现了开发者使用的 TRAE IDE 工作流程，发现模型生成的代码与 VoidLink 源码高度相似。 代码与规范的高度一致 Check Point 指出：“将代码标准化指令与恢复出的 VoidLink 源码进行比对后，可以看到惊人的一致性。代码约定、结构和实现模式几乎完全吻合，几乎可以确定：整个代码库正是按照这些指令编写的。” 这一案例再次表明，AI 和 LLM 虽然未必为攻击者带来全新的能力，但正在显著降低网络犯罪的门槛。即便是单个个体，也能在极短时间内构想、创建并迭代复杂系统，实施以往只有国家级行为体才能完成的高级攻击。 AI 正在重塑网络威胁的经济学 Check Point Research 的研究经理 Eli Smadja 在接受《The Hacker News》采访时表示：“VoidLink 代表了高级恶意软件创建方式的一次真正转变。令人震惊的不只是其复杂性，而是它被构建出来的速度。AI 使得看似单一行为者也能在数天内规划、开发并迭代一个复杂的恶意软件平台——而这在过去需要协调的团队和大量资源。这清楚地表明，AI 正在改变网络威胁的规模和成本结构。” “第五波”网络犯罪 在本周发布的一份白皮书中，Group-IB 将 AI 描述为正在推动网络犯罪演进的“第五波”，为复杂攻击提供现成工具。 报告指出，自 2019 年以来，暗网论坛中包含 AI 关键词的帖子增长了 371%。威胁行为者正在兜售诸如 Nytheon AI 等“无伦理限制”的暗黑 LLM、越狱框架，以及合成身份工具包——包括 AI 视频演员、声音克隆，甚至生物特征数据集，最低仅售 5 美元。 Group-IB 总结称：“AI 已将网络犯罪工业化。过去需要高技能和时间的事情，如今可以被购买、自动化，并在全球范围内扩展。” 前国际刑警组织网络犯罪主管、现任独立战略顾问 Craig Jones 也指出：“AI 并未创造新的犯罪动机——金钱、杠杆和访问权限仍是核心驱动力——但它极大提升了这些动机被实现的速度、规模和复杂程度。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，尽管遭遇了执法部门的严厉打击，全球最危险的勒索软件组织之一 LockBit 仍然发布了其最新版本 5.0。 该组织的行动仍在持续推进，并展示出针对不同计算机系统和平台的全新变种。 近期泄露的材料和截图为安全专家提供了一个深入了解该犯罪组织如何管理攻击行动、以及如何与协助其在网络中传播恶意软件的加盟者协同运作的窗口。 核心功能基本不变，运营照常推进 在执法机构发起的重大打击行动 “克洛诺斯行动（Operation Cronos）”之后，LockBit 最新版本在核心设计和功能上基本没有变化。 不过，安全研究人员注意到其界面出现了一些轻微的外观变化，例如加入了节日主题装饰，这在一定程度上表明该组织依然毫不在意执法压力，持续运作。 该组织依旧维持着一套高度成熟的基础设施，用于管理与受害者的谈判流程，并在全球范围内、跨多个行业和领域协调实施攻击。 加盟体系仍在运转 Flare 分析师指出，LockBit 的加盟者计划仍在持续招募新合作伙伴，尽管该组织的声誉已因执法行动而受损。 许多网络犯罪分子已不愿再与 LockBit 合作，但该组织的运作方式仿佛执法打击从未发生过一样。 这种“韧性”展示了犯罪组织在遭受重大破坏后，依然能够迅速适应并维持其商业模式的能力。 LockBit 的快速恢复能力，也凸显了安全团队在打击有组织勒索软件行动时面临的长期挑战。 LockBit 5.0 的多平台攻击策略 LockBit 5.0 最令人担忧的方面在于，其攻击目标已扩展至多个操作系统和虚拟化环境。 安全研究人员获取的最新恶意软件样本显示，在 2026 年 1 月 14 日发现了四种不同的变种： LB_Black：针对传统 Windows 系统 LB_Linux：针对 Linux 环境 LB_ESXi：针对 虚拟化基础设施（VMware ESXi） LB_ChuongDong：另一种已发现的变种 这种多样化策略表明，LockBit 正在战略性地转向企业级环境，尤其是广泛使用虚拟机和云基础设施的组织。 对防御方的意义 这些最新样本的曝光，为安全团队提供了最新的入侵指标，有助于防御工作。 组织现在可以利用这些技术细节，识别自身网络是否遭遇过 LockBit 5.0 的攻击。深入理解这些变种，将帮助网络安全专业人员制定更有效的检测规则和防护策略。 此外，泄露的加盟者控制面板材料清晰展示了 LockBit 如何： 管理勒索赎金支付 制定加盟者行为规则 审核并吸纳新的合作伙伴 这些信息为外界提供了前所未有的视角，揭示了 “勒索软件即服务” 商业模式的具体运作方式。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，Everest在其暗网泄密网站上公布了此次入侵的相关信息，并威胁称，若企业未在其设定的期限内作出回应，将公开披露所窃取的数据。根据 Everest 勒索软件组织的说法，此次攻击导致大量公司内部文件及客户个人数据被泄露。 攻击者宣称：“你们客户的个人数据以及内部文件已被泄露并存储在我们的系统中”，其中包括“种类繁多的客户个人文件和信息”。 据称，被窃取的数据包含大量内部记录，可能在区域范围内引发严重的身份盗用和定向钓鱼攻击风险。 Everest是一个以俄语为主要交流语言的勒索软件组织，最早于2020年12月出现，起初以数据窃取为主，至2021年初发展为具备AES/DES双重加密能力的完整勒索软件体系。 该组织以“纯敲诈”策略而闻名，重点在于窃取并出售企业敏感数据，而不仅仅是对文件进行加密。其近期的高知名度受害者包括华硕、日产汽车，以及都柏林机场。 麦当劳在印度通过两家独立公司运营：负责北部和东部地区的Connaught Plaza Restaurants，以及负责西部和南部地区的 Hardcastle Restaurants。自1996年以来，这两家实体已为数百万印度消费者提供服务。 此前，该公司曾在 2017 年和 2024 年 遭遇过数据安全相关问题。 截至目前，麦当劳印度方面尚未确认此次数据泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。 该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。 如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。 漏洞成因 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单，收集用户名、邮箱、密码以及用户角色等信息。 在正常情况下，新注册用户的角色应受到严格限制，通常只允许诸如“订阅者（subscriber）”等低权限角色。然而，在受影响的版本中，这一控制机制失效，为滥用打开了大门。 Wordfence 分析人员发现，当表单中映射了角色字段时，插件的 insert_user 表单动作并未正确限制注册过程中可分配的角色。 这意味着，攻击者可以提交一个精心构造的请求，即使前端界面限制了可选角色，也能在请求中将自己的角色设置为管理员。 一旦请求被处理，系统就会创建一个拥有完整管理员权限的账户。获得管理权限后，攻击者即可彻底控制受影响的 WordPress 网站。 潜在影响 攻击者在取得管理员权限后，可以： 上传带有后门的恶意插件或主题 篡改网站内容，将访客重定向至钓鱼或恶意网站 植入垃圾内容或 SEO 投毒代码 创建额外的管理员账户以维持长期访问权限 鉴于该插件安装量巨大，且在存在漏洞配置时利用门槛极低，只要网站将相关用户操作表单暴露在公网，就可能遭受严重影响。 修复与风险现状 在漏洞披露时，插件开发方已在 0.9.2.2 版本中发布修复补丁，安全厂商也在防火墙层面提供了针对利用行为的拦截措施。 然而，那些尚未更新插件、且仅依赖应用层防护的网站，仍然是攻击者进行自动化扫描和入侵的理想目标。 漏洞详情一览表 字段 说明 漏洞编号 CVE-2025-14533 插件名称 Advanced Custom Fields: Extended 插件标识 acf-extended 受影响版本 ≤ 0.9.2.1 修复版本 0.9.2.2 漏洞类型 未认证权限提升 攻击向量 恶意用户注册表单提交 触发条件 存在映射了角色字段的公开表单 CVSS 评分 9.8（严重） 受影响安装量 10 万+ 活跃安装 发现者 andrea bocchetti（Wordfence 漏洞悬赏） 权限提升是如何实现的？ 该漏洞的核心在于插件高度灵活的表单系统，其初衷是让站点管理员无需编写代码即可构建自定义的用户管理流程。 在典型配置中，管理员会定义一个字段组，包含用户信息字段，并将其关联到“创建用户”或“更新用户”的表单动作。其中一个字段可以是角色选择器，表面上受到“允许用户角色（Allow User Role）”设置的限制。 但在后台，当表单提交时，插件会在 acfe_module_form_action_user 类中调用 insert_user() 函数。该函数会收集所有提交的数据（包括角色字段），并直接传递给 WordPress 原生的 wp_insert_user() 函数。 问题在于，在受影响版本中，插件并未在后端强制执行字段组中配置的角色限制。前端设置营造了安全假象，但后端逻辑并未遵守这些规则。 因此，只要存在一个包含角色字段的公开表单，未认证攻击者就可以绕过可见的角色选项，在 HTTP 请求中自行指定角色（如 administrator）。由于插件未对该值进行校验或过滤，WordPress 会接受请求并创建一个拥有完整管理员权限的账户。 整个过程无需已有账号、社会工程学手段或密码猜测，直接构成一条通向网站完全失陷的通道。 一旦攻击者以管理员身份进入系统，便拥有与合法站点所有者相同的控制能力，可持续操纵和破坏网站。这使得 CVE-2025-14533 成为在特定配置存在时，导致 WordPress 网站被全面攻陷的高危漏洞。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络安全分析人员披露，一起通过 Linkedin 私信 传播的钓鱼攻击活动，正在滥用一款合法的开源渗透测试工具，意在向受害者投放远程访问木马。 该攻击活动由 ReliaQuest 的威胁研究人员披露。他们指出，此次行动“尤其令人担忧”，原因在于攻击者将正规软件工具与社交媒体平台的可信度相结合，大幅提高了攻击成功率。 研究人员表示，该活动主要面向被精心挑选的“高价值目标”，包括企业高管和 IT 管理员等关键岗位人员。 攻击最初利用 Linkedin 的职业社交属性，通过与目标行业相关的话术建立信任，随后发送精心设计的钓鱼链接，诱导受害者点击并最终中招。 该链接指向一个恶意的 WinRAR 自解压压缩包。一旦执行，该压缩包会释放一个合法的开源 PDF 阅读器，以及一个恶意 DLL 文件。该 DLL 被刻意伪装成与 PDF 阅读器所使用的正常文件同名，以此降低警惕。 研究人员指出，攻击者对文件命名进行了高度定制，使其与收件人的岗位或行业相匹配，从而增强可信度并提升攻击成功概率。 当受害者运行 PDF 阅读器时，恶意 DLL 会利用一种名为 DLL 侧加载 的技术，与合法应用程序位于同一目录下运行，从而增加检测和阻断难度。 随后，攻击者借助一款开源渗透测试工具在系统中建立持久化控制，使其能够长期驻留在受感染主机上，并具备数据窃取、权限提升以及在网络中横向移动等能力。 ReliaQuest 研究人员指出，此前已有多起利用社交媒体平台传播木马程序的案例。通过 Linkedin 等平台分发恶意载荷，攻击者试图利用企业网络安全防护中的“盲区”，这些渠道往往未被纳入传统防御体系的重点。 ReliaQuest 在博客中表示：“这次活动再次提醒我们，钓鱼攻击并不局限于电子邮件。攻击同样会发生在社交媒体、搜索引擎和即时通讯应用等替代渠道上——而这些平台仍然被许多组织的安全策略所忽视。” 研究人员还指出：“社交媒体平台，尤其是经常在公司设备上访问的平台，为攻击者直接接触高价值目标提供了渠道……因此对网络犯罪分子而言极具吸引力。” 为帮助用户避免成为社交媒体钓鱼攻击的受害者，ReliaQuest 建议企业开展针对社交媒体场景的网络安全培训，并提醒员工对通过 Linkedin 或其他平台收到的陌生链接或文件保持与电子邮件同等程度的警惕。 此外，研究人员还建议组织审计员工在公司设备上使用个人社交媒体账号的情况，并视业务需要实施相应的访问控制或限制。 ReliaQuest 总结称：“组织必须将社交媒体平台视为其攻击面不可分割的一部分，采取积极的纵深防御策略。通过结合员工培训、先进检测工具以及严格的平台使用政策，企业才能有效降低风险，并领先于不断演变的攻击手段。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据区块链安全公司 Elliptic 披露，基于 Telegram 运作的东南亚大型非法交易平台 Tudou Guarantee 似乎正在停止其核心业务运作。研究人员发现，该平台在其公开群组中已停止交易活动，此前累计处理的交易金额超过 120 亿美元。不过，由于平台的其他服务仍在运行，其是否会彻底关闭仍有待观察。 Elliptic 在报告中指出：“自成立以来，Tudou（意为‘土豆’）已处理超过 120 亿美元的交易，使其成为有史以来第三大非法交易市场。Tudou Guarantee 的其他业务板块（如博彩业务）仍在运作，因此目前尚无法确定这是否意味着全面关停的开始，还是仅从诈骗相关活动中转型退出。” Tudou Guarantee 的迅速扩张，与此前另一大型非法市场 Huione Guarantee 的关闭密切相关。2025 年 5 月，Telegram 关闭了交易规模高达 270 亿美元 的 Huione 平台，促使大量商家转移至 Tudou。此后，Tudou 的用户数量迅速翻倍，交易规模激增，许多卖家继续提供被盗数据、洗钱和诈骗相关服务。事实上，Huione 早在 2024 年就已收购 Tudou 30% 的股份，为其成为“接班人”铺平了道路。 在 Tudou 平台上，商家几乎可以出售运行网络诈骗所需的一切要素，包括：洗钱服务、被盗个人数据、成套诈骗平台和钓鱼网站。此外，平台还兜售换脸技术、AI 语音克隆和深度伪造工具，用于欺骗受害者。Tudou 提供的担保（托管）服务在买卖双方之间建立信任，助推了一个庞大的犯罪生态系统。 Tudou 的停摆与 Prince Group 的瓦解密切相关。2025 年 10 月，美国和英国对 Prince Group 及其董事长 陈志（Chen Zhi） 实施制裁，指控其在柬埔寨经营诈骗园区并使用强迫劳动。随后，执法行动显著升级。2026 年 1 月 6 日，柬埔寨与中国执法部门联合行动，将陈志逮捕并引渡至中国。不久之后，Elliptic 监测到 Tudou 主要加密货币钱包的活动量急剧下降，表明此次逮捕对其运营产生了直接冲击。 报告最后指出：“Tudou 的关闭对东南亚诈骗经济体系是一次重大打击，但历史经验表明，这一真空不会长期存在。对调查人员而言，根本性的优势仍然存在：这些大型诈骗平台上的每一笔加密资产交易，都会在区块链上留下永久记录。正是这种透明性，使 Elliptic 能够追踪 Tudou 经手的 120 亿美元资金流向，也将继续帮助我们以及政府调查机构追踪这些活动下一步的迁移去向。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已修复一个严重漏洞，该漏洞影响 32 款以上的 VIGI C 和 VIGI InSight 系列摄像头，可能导致监控系统被远程入侵。研究人员发现，互联网上至少有 2,500 台此类设备直接暴露在公网环境中。 此次漏洞被编号为 CVE-2026-0629，CVSS 评分为 8.7（高危），影响 32 款以上的 VIGI C 与 VIGI InSight 摄像头型号。该漏洞允许位于同一局域网内的攻击者滥用密码恢复功能绕过身份认证，直接重置管理员密码，从而完全控制摄像头。 安全公告指出：“VIGI 摄像头本地 Web 管理界面的密码恢复功能存在身份验证绕过问题。攻击者可通过操纵客户端状态，在无需任何验证的情况下重置管理员密码。”公告还称：“攻击者能够获得设备的完整管理权限，进而危及系统配置和网络安全。” TP-Link 的 VIGI 摄像头属于专业视频监控产品，面向商业和企业用户，而非家庭消费级市场。 该漏洞由 Redinent Innovations 的研究人员 Arko Dhar 披露。他在接受 SecurityWeek 采访时表示，攻击者可以远程利用这一漏洞，并且在 2025 年 10 月，他仅针对其中一款型号进行扫描，就发现有超过 2,500 台存在漏洞的摄像头直接暴露在互联网上。他强调，由于只检测了单一型号，实际受影响设备数量可能远高于这一数字。 一旦 TP-Link VIGI 摄像头遭到入侵，可能带来严重后果，包括：实时与历史视频内容被窃取、对人员和场所进行监控与间谍活动、协助实施物理入侵、作为跳板横向渗透企业内网、被纳入僵尸网络用于 DDoS 攻击、篡改监控证据、干扰业务运营，以及因侵犯隐私而引发法律和监管风险。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  印度网络安全公司 Seqrite 的研究人员发现，黑客正在通过网络钓鱼邮件，冒充来自阿富汗总理办公室的官方函件，针对阿富汗政府雇员展开攻击。 该攻击活动最早于去年 12 月被发现，攻击者使用了一份诱饵文档，其外观被精心设计成发送给阿富汗各部委及行政机构的正式政府公函。 这份文件以宗教问候语开头，内容看似是与财务申报相关的官方指示，并伪造了总理办公室一名高级官员的签名，意在诱使收件人打开文件。 一旦文件被打开，系统就会被植入一款名为 FalseCub 的恶意软件。Seqrite 在周一发布的报告中指出，该恶意程序可从受感染的计算机中收集并外传数据。 研究人员还发现，攻击者将 GitHub 作为临时托管平台，用于存放恶意载荷。一个于 12 月下旬创建的 GitHub 账号被用于分发恶意文件，并在行动结束后悄然删除相关内容。 Seqrite 表示，该攻击行动的幕后黑客显然对阿富汗政府机构以及与塔利班相关的实体进行了较为深入的研究。研究人员在 Scribd 文库中发现，威胁行为者上传了多份法律和行政文件，包括阿富汗政府指令、国防部通信文件，以及与阿富汗相关的美国庇护和人权文件。这些材料未来可能被用作新的钓鱼诱饵。 据称，攻击者使用了“Afghan Khan”这一化名，并在 Pinterest、Dailymotion 等平台上活动，其中至少一个账号与巴基斯坦有关。研究人员还指出，此次攻击中使用的一个短链接也是从巴基斯坦上传的，该链接会将受害者重定向至存放恶意软件的 GitHub 仓库。 尽管 Seqrite 并未将此次行动归因于某个特定国家或已知黑客组织，但研究人员评估认为，这是一名“以地区为重点、技术水平处于低到中等之间的威胁行为者”所为。他们补充称，反复使用相同的网络身份，表明其更可能是个人或小型团伙，而非成熟的国家支持型高级持续性威胁（APT）。 Seqrite 将该攻击活动命名为 “Nomad Leopard”，并警告称，该行动并不局限于阿富汗，未来可能扩展至其他国家。 研究人员最后表示：“尽管该威胁行为者的技术并不高超，但其掌握了大量与法律和政府相关的诱饵文档，我们认为这些材料可能会在未来的攻击活动中被继续利用。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者使用了一种名为PDFSider的新型恶意软件，在Windows系统上投放恶意载荷，针对金融行业《财富》前100强的一家企业发起勒索软件攻击。 攻击者借助社会工程学手段实施攻击。他们冒充技术支持人员，诱骗该企业员工安装微软Quick Assist（快速协助工具），以此尝试获取远程访问权限。 网络安全公司Resecurity的研究人员在一次事件响应过程中发现了PDFSider，并将其描述为一款用于长期隐蔽访问的后门程序，同时指出该恶意软件具备“高级持续性威胁攻击常用的典型特征”。 利用合法 EXE，搭载恶意 DLL Resecurity的发言人向BleepingComputer透露，PDFSider 已被证实用于Qilin勒索软件的攻击行动。此外，该公司威胁狩猎团队指出，这款后门程序目前已被多个勒索软件攻击团伙作为投放恶意载荷的工具，处于活跃使用状态。 PDFSider后门程序通过鱼叉式网络钓鱼邮件传播，邮件中附带一个压缩包，内含经过数字签名的合法软件——来自 Miron Geek Software GmbH的PDF24 Creator工具，同时还包含一个恶意DLL文件（cryptbase.dll），而该DLL正是该应用正常运行所需的组件。 当EXE文件运行时，会加载攻击者提供的DLL文件，这种技术被称为DLL侧加载（DLL side-loading），从而实现系统上的代码执行。 在部分攻击案例中，攻击者还会使用诱饵文档，将恶意文件伪装成与目标高度相关的内容，诱导收件人主动打开。 一旦被执行，DLL 将以加载它的 EXE 文件的权限运行。 Resecurity 解释称：“该EXE文件具有合法签名，但 PDF24软件本身存在漏洞，攻击者能够利用这些漏洞加载恶意代码，并有效绕过EDR系统。” 研究人员表示，随着AI编程技术的兴起，网络犯罪分子如今能够更轻易地找到存在漏洞的软件，并加以利用实施攻击。 内存驻留、DNS 通信与强加密 PDFSider直接加载至内存中运行，几乎不在磁盘上留下痕迹，并通过匿名管道借助CMD执行命令。 每一台受感染主机都会被分配一个唯一标识符，系统信息随后通过DNS（53端口）被外泄至攻击者控制的VPS服务器。 PDFSider使用Botan 3.0.0加密库和AES-256-GCM来保护其命令与控制通信，并在内存中对接收到的数据进行解密，以尽量减少在主机上的可见痕迹。 此外，其数据还通过GCM模式下的AEAD（带关联数据的认证加密）进行完整性验证。 Resecurity 指出：“这种加密实现方式通常出现在定向攻击中使用的远程 Shell 恶意软件里，在这类攻击中，通信的完整性与机密性至关重要。” 反分析与长期潜伏能力 该恶意软件还具备多种反分析机制，例如检测内存大小、识别调试器环境，一旦发现运行于沙箱或分析环境中，便会提前退出。 综合分析后，Resecurity 认为，PDFSider “更接近于间谍活动所使用的技术，而非单纯以经济利益为目的的恶意软件”。它被设计为一种高度隐蔽的后门工具，能够维持长期、隐秘的访问，并提供灵活的远程命令执行能力与加密通信机制。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文