HackerNews

HackerNews 编译，转载请注明出处： 研究人员发现 WatchGuard Fireware OS 存在一个严重漏洞（CVSS4.0 评分 9.3），攻击者可利用该漏洞远程执行任意代码。 该漏洞编号为 CVE-2025-9242，属于越界写入漏洞，影响两类场景：一是使用 IKEv2 协议的移动用户 VPN；二是配置了动态网关对等体、且使用 IKEv2 协议的分支机构 VPN（BOVPN）。 WatchGuard 在安全公告中指出，即便 Firebox 安全平台此前配置过上述 VPN 及 IKEv2 网关对等体，仍可能存在漏洞风险。 该漏洞影响以下 Fireware OS 版本，包含提及的最高版本： 11.10.2 至 11.12.4_Update1 12.0 至 12.11.3 2025.1 WatchGuard Firebox 是一款下一代防火墙（NGFW），承担安全网关职能，可控制外部网络与可信网络间的流量，还集成了入侵防御、反垃圾邮件、内容过滤等高级功能。 该设备部署方式灵活，可作为物理设备、云端服务或虚拟机使用。 Shadowserver 基金会表示，依据 10 月 17 日的 IP 数据扫描结果，目前可能有超过 7.1 万台设备存在该漏洞。 该漏洞详情已在美国国家漏洞数据库（NVD）上线，WatchGuard 也已发布相关安全公告。 若 Firebox 仅配置了 “指向静态网关对等体的分支机构 VPN 隧道”，且设备所有者无法立即将系统升级至修复漏洞的 Fireware OS 版本，WatchGuard 已提供临时规避方案。 WatchGuard 在公告中还指出，鉴于针对各类厂商暴露 VPN 的攻击愈发频繁，建议将 BOVPN 安全访问策略配置为更窄的范围，以处理传入的 VPN 流量。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场神秘的针对性钓鱼攻击活动。该活动冒充乌克兰总统办公室，且在发起当天便宣告终止，其目的是入侵参与战争救援工作的相关机构。 根据网络安全公司 SentinelLabs 周三发布的报告，10 月 8 日开展的这场单日攻击活动，目标群体包括国际红十字会、挪威难民委员会、联合国儿童基金会的工作人员，以及其他参与战争救援的非政府组织人员。 SentinelLabs 表示，目前尚不清楚这场被标记为PhantomCaptcha的攻击活动背后主使是谁，但从目标清单可推测，攻击者试图 “获取与乌克兰援助相关的人道主义行动、重建规划及国际协调工作等方面的情报”。 SentinelOne 研究负责人汤姆・黑格尔在报告中写道，从最初的基础设施注册到攻击实施当天，这场针对性钓鱼攻击经过了六个月的准备。但攻击活动仅持续一天，相关基础设施便下线，“这表明攻击者具备精密的规划能力和对操作安全的高度重视”。 攻击手段与方式 黑客还向乌克兰顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫斯克地区的政府机构发起攻击。 他们发送了一份伪装成乌克兰总统办公室官方文件的八页PDF文档，内含恶意程序。意图引导受害者陷入一套复杂的多阶段攻击链，以此获取受害者信任并绕过传统安全防护措施。 若受害者点击 PDF 中的嵌入链接，可能会被重定向至一个伪装成视频会议应用 Zoom 官方网站的域名，而该域名实际由俄罗斯服务商 KVMKA 掌控。 尽管攻击发起当天该服务器便无法解析，但 SentinelLabs 通过 VirusTotal 数据库获取了服务器响应数据，发现其是一个伪装成 Cloudflare 分布式拒绝服务（DDoS）防护网关的虚假页面。 这为入侵受害者设备提供了两种可能的途径。 一种是将受害者重定向至真实的密码保护 Zoom 会议，黑格尔写道，这可能便于黑客与受害者进行实时社会工程学诈骗通话。 另一种则是诱导受害者不慎执行复制到剪贴板的命令，研究人员将后一种手段称为ClickFix或 Paste and Run技术。 SentinelLabs 称，PhantomCaptcha攻击的变种手段会欺骗 Windows 用户，让其从虚假的 Cloudflare DDoS 防护网关复制 “令牌”，随后按下 “Windows + R” 组合键，粘贴 “令牌” 并执行命令 —— 而该命令实际是一段旨在入侵用户电脑的 PowerShell 脚本。 攻击者能力评估 研究人员表示：“这种社会工程学攻击手段极具效力，因为恶意代码是由用户自行执行的，能够避开那些仅专注于检测恶意文件的终端安全防护系统。” 尽管黑客很快关闭了面向公众的诱骗域名，但 SentinelLabs 发现，后台命令与控制基础设施在初始攻击日之后仍处于活跃状态，“这表明基础设施具备高度隔离性，且需要维护部分基础设施以控制已入侵的系统”。 研究人员发现，在攻击次日（10 月 9 日），一个与公众诱骗域名 URL 相似的新域名完成注册，“这可能意味着攻击者计划继续开展攻击活动”。 他们的基础设施分析还发现，该攻击与另一范围更广的攻击活动存在关联。后者 “利用成人社交与娱乐内容作为诱饵，且可能与俄罗斯 / 白俄罗斯的技术开发源头有关”，不过该攻击活动被列为单独的行动集群进行追踪。 具体而言，后一攻击活动的主题与报告中提及的 “乌克兰利沃夫市一家名为‘公主男士俱乐部’（Princess Men’s Club）的成人娱乐场所” 相关，包含一个网站和一个安卓应用安装包，旨在从受入侵设备中窃取各类个人信息与设备数据。 SentinelLabs 补充称，PhantomCaptcha攻击活动的时间线显示，攻击者 “既了解进攻性操作，也熟悉防御性检测能力”。不过该公司在发布报告时表示，暂无法将这一行动集群归属于某一已知黑客组织。 该公司表示，此次攻击活动的精密程度 “表明攻击者具备高水平的操作规划能力，从长期准备、基础设施隔离到刻意控制曝光度等方面均能体现这一点”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 2025 年 Pwn2Own 爱尔兰站比赛的首日，安全研究人员成功利用了 34 个独特的零日漏洞，并获得了 52.25 万美元的现金奖励。 当天的亮点是来自 DDOS 团队的 Bongeun Koo 和 Evangelos Daravigkas，他们通过串联 8 个零日漏洞，从 WAN 接口入侵了威联通（QNAP）Qhora-322 以太网无线路由器，并进一步获取了威联通 TS-453E 网络附加存储（NAS）设备的访问权限。凭借这一成功尝试，他们赢得了 10 万美元奖金，目前以 8 分位列 “破解大师（Master of Pwn）” 排行榜第二名。 Synacktiv 团队、Summoning 团队的 Sina Kheirkhah、DEVCORE 团队以及 Rapid7 的 Stephen Fewer 也各获 4 万美元奖金，他们分别成功获取了群晖（Synology）BeeStation Plus、群晖 DiskStation DS925+、威联通 TS-453E 和 Home Assistant Green 的 root 权限。 STARLabs、PetoWorks 团队、ANHTUD 团队和 Ierae 的研究人员先后四次攻克佳能（Canon）imageCLASS MF654Cdw 多功能激光打印机；STARLabs 还入侵了 Sonos Era 300 智能音箱，赢得 5 万美元；ANHTUD 团队则利用飞利浦（Phillips）Hue Bridge 的漏洞，获得 4 万美元奖金。 Summoning 团队的 Sina Kheirkhah 和 McCaulay Hudson 通过组合两个零日漏洞构成攻击链，获取了群晖 ActiveProtect Appliance DP320 的 root 权限，再获 5 万美元奖金。 Summoning 团队在比赛首日共赢得 10.25 万美元，以 11.5 分位居 “破解大师” 排行榜榜首。 零日倡议组织（Zero Day Initiative，ZDI）举办此类赛事，旨在在威胁 actors 利用漏洞前识别目标设备中的安全缺陷，并与受影响厂商协调进行负责任的漏洞披露。在 Pwn2Own 活动中被利用的零日漏洞，厂商将有 90 天时间发布安全更新，之后趋势科技（Trend Micro）旗下的 ZDI 才会公开披露这些漏洞。 2025 年 Pwn2Own 爱尔兰站黑客大赛涵盖八个类别，目标设备包括旗舰智能手机（苹果 iPhone 16、三星 Galaxy S25、谷歌 Pixel 9）、即时通讯应用、智能家居设备、打印机、家庭网络设备、网络存储系统、监控设备以及可穿戴技术（包括 Meta 的雷朋智能眼镜和 Quest 3/3S 头显）。 今年，ZDI 还扩展了移动设备类别的攻击向量，新增手机 USB 端口 exploitation，要求参赛者通过物理连接入侵已锁屏的手机。不过，蓝牙、Wi-Fi 和近场通信（NFC）等传统无线协议仍是有效的攻击途径。 比赛次日，安全研究人员将继续针对网络附加存储、打印机、智能家居和监控系统类别的设备，以及移动设备类别中的三星 Galaxy S25 发起攻击。 正如 8 月宣布的那样，ZDI 将首次为演示 “零点击” WhatsApp 漏洞的安全研究人员提供 100 万美元奖励 —— 该漏洞需实现无需用户交互即可执行代码。 Meta 与威联通、群晖共同赞助了此次 Pwn2Own 爱尔兰站比赛，赛事于 10 月 21 日至 24 日在爱尔兰科克举行。 在去年的 Pwn2Own 爱尔兰站活动中，安全研究人员因发现 70 多个零日漏洞获得 107.875 万美元奖金，其中越南电信网络安全公司（Viettel Cyber Security）凭借在威联通、Sonos 和利盟（Lexmark）设备中发现的漏洞斩获 20.5 万美元。 2026 年 1 月，ZDI 将重返东京汽车世界技术展，举办第三届 Pwn2Own 汽车专项赛，特斯拉将再次作为赞助商参与。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 就其 Omada 网关设备中的两个命令注入漏洞发布警告，这些漏洞可能被攻击者利用以执行任意操作系统命令。 Omada 网关作为集成路由器、防火墙、VPN 网关功能的全栈解决方案推向市场，主要面向中小型企业，其普及率正持续上升。 尽管这两个安全问题被触发后会导致相同结果，但其中仅有一个漏洞（编号 CVE-2025-6542）的风险等级为 “高危”，CVSS 评分为 9.3，远程攻击者无需身份验证即可利用该漏洞。 另一个漏洞编号为 CVE-2025-6541，风险评分较低，为 8.6。但该漏洞仅在攻击者能够登录 Web 管理界面的情况下才可被利用。 TP-Link在安全公告中表示：“无论是已登录 Web 管理界面的用户，还是远程未认证攻击者，都可能在 Omada 网关上执行任意操作系统命令。” 该公司进一步补充：“攻击者可能在设备的底层操作系统上执行任意命令。” 这两个漏洞所带来的风险极为严重，可能导致设备被完全攻陷、数据被盗、攻击者横向渗透至其他设备，以及实现持久化控制。 TP-Link已发布修复这两个问题的固件更新，并强烈建议使用受影响设备的用户安装这些修复程序，且在升级后检查配置，确保所有设置均保持符合预期的状态。 在另一份公告中，TP-Link还就另外两个严重漏洞发出警告，这些漏洞在特定条件下可能允许攻击者通过身份验证后执行命令注入，或获取 root 权限。 第一个漏洞编号为 CVE-2025-8750（CVSS 评分：9.3），属于命令注入漏洞，持有管理员密码、能够登录 Omada Web 门户的攻击者可利用该漏洞。 第二个漏洞编号为 CVE-2025-7851（CVSS 评分：8.7），攻击者可利用该漏洞在底层操作系统上获取具有 root 权限的 Shell 访问，但权限范围受 Omada 自身权限限制。 CVE-2025-8750 与 CVE-2025-7851 影响上文表格中列出的所有 Omada 网关型号。值得注意的是，最新发布的固件已修复上述全部四个漏洞。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报团队（GTIG）研究人员表示，已发现与俄罗斯有关联的黑客组织 Coldriver 部署了一套新型恶意软件。 GTIG 在 10 月 20 日发布的报告中指出，这套恶意软件由多个通过交付链关联的家族组成。自 2025 年 5 月 Coldriver 此前的主力恶意软件 LostKeys 被公开披露后，该新型软件似乎已取代 LostKeys 的地位。 研究人员提到，与该组织此前所有已确认的恶意软件活动相比，这套新型软件的使用更为激进。 GTIG 认为，这一现象表明 Coldriver 的恶意软件开发与行动节奏正迅速加快。 Coldriver 还拥有 Star Blizzard、Callisto 和 UNC4057 等代号，是一个被认定与俄罗斯联邦安全局（FSB）有关联的威胁组织。 该组织至少自 2017 年起开始活跃，其已知行动重点是 “凭证钓鱼” 活动，目标包括知名非政府组织（NGO）、前情报与军事官员以及北约（NATO）成员国政府，目的是开展间谍活动。 2023 年 12 月，英国国家网络安全中心（NCSC）表示，该组织是一系列持续网络攻击的幕后黑手，这些攻击旨在干预英国政治与民主进程。 2024 年 1 月，谷歌发现该组织的行动已不止于 “钓鱼窃取凭证”，还开始投放能够从目标设备中窃取敏感信息的恶意软件。 2025 年 5 月，GTIG 监测到 Coldriver 在同年 1 月至 3 月的恶意活动中，使用了一款名为 LostKeys 的新型恶意软件。 GTIG 在 10 月 20 日的新报告中称，自 LostKeys 被披露后，尚未再观察到这款恶意软件的活动痕迹。 相反，Coldriver 似乎已转向一套新型恶意软件家族，谷歌将其分别追踪为 NoRobot、YesRobot 和 MaybeRobot。 攻击始于一个 “ClickFix 风格” 的钓鱼诱饵 —— 这是一个伪造的验证码（CAPTCHA）页面，目的是诱骗受害者认为自己必须完成 “人机验证” 才能继续操作。谷歌将该诱饵追踪为 ColdCopy。 该页面会诱导用户通过 Windows 合法工具 rundll32.exe，下载并运行一个名为 NoRobot 的恶意动态链接库（DLL）。为强化 “验证码验证” 的伪装，该 DLL 的导出函数被命名为 “humanCheck”（人机检查）。 这种方式取代了过去依赖 PowerShell 的旧方法，使得监控 “基于脚本执行” 的安全工具更难检测到攻击。 NoRobot DLL 执行后会充当 “下载器” 的角色。其早期版本采用 “分钥加密” 机制，部分解密密钥隐藏在下载文件和 Windows 注册表中（例如 HKEY_CURRENT_USER\SOFTWARE\Classes.pietas 路径下）。这一设计增加了分析难度，因为缺失任何一个组件都会导致解密失败。 随后，NoRobot 会从恶意域名 inspectguarantee [.] org 获取三个内容：一个自解压的 Python 3.8 安装程序、两个加密的 Python 脚本（分别为 libsystemhealthcheck.py 和 libcryptopydatasize.py），以及一个用于确保恶意软件在设备重启后仍能运行的计划任务。 这些 Python 脚本会协同工作，解密并启动一个精简的、基于 Python 的第一阶段后门程序 —— 谷歌将其追踪为 YesRobot。该后门通过 HTTPS 协议与硬编码的命令与控制（C2）服务器通信。 GTIG 指出，Coldriver 仅使用了 YesRobot 两周就将其弃用，原因很可能是该软件操作繁琐且易被检测 —— 尤其是 “安装 Python 环境” 这一步骤会留下明显痕迹。 研究人员认为，在 LostKeys 被曝光后，YesRobot 仅是该组织临时使用的 “过渡工具”。 2025 年 6 月前后，Coldriver 转而使用 MaybeRobot—— 一款更灵活的、基于 PowerShell 的后门程序，且无需依赖 Python 脚本。 在这一新版攻击链中，NoRobot 的功能被简化：仅需获取一个登录脚本，通过在用户登录脚本中添加 PowerShell 命令，即可实现 MaybeRobot 的持久化运行。 MaybeRobot 采用自定义 C2 协议，包含三项核心命令： 从指定 URL 下载并执行文件 通过 cmd.exe 运行命令 执行 PowerShell 代码块 与 YesRobot 不同，MaybeRobot 的设计具备 “可扩展性”，意味着攻击者可动态发送复杂命令；但该后门本身仍缺乏部分内置功能，例如 “自动数据窃取”。 2025 年 6 月至 9 月期间，Coldriver 持续对 NoRobot 进行迭代，在 “简化版” 与 “复杂版” 感染链之间交替切换。这种操作既能阻碍安全人员分析，又能确保 MaybeRobot 这款 PowerShell 后门稳定交付。 该组织还频繁进行细微调整，例如轮换基础设施、文件名和导出函数。这些举动体现了 Coldriver “适应性强的攻击手法”，迫使防御方必须捕获多个攻击组件，才能完整还原攻击过程。 GTIG 的这份报告进一步补充了 Zscaler 在 9 月发布的研究内容。在 Zscaler 的追踪体系中，NoRobot 被命名为 BaitSwitch，MaybeRobot 则被命名为 SimpleFix。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日破获一起大规模诈骗案件，诈骗分子仿冒新加坡高级官员身份实施犯罪。 该诈骗团伙利用经过验证的谷歌广告（Google Ads）、虚假新闻网站和深度伪造（deepfake）视频，诱骗受害者进入虚假投资平台。为营造可信度，诈骗活动还谎称与新加坡总理黄循财（Lawrence Wong）及国家安全统筹部长尚穆根（K Shanmugam）有关联。 根据 Group-IB 公司今日发布的报告，该诈骗活动专门针对新加坡居民，通过配置谷歌广告使其仅对本地 IP 地址可见。点击广告的受害者会被引导至一系列跳转网站，这些网站的作用是隐藏最终的诈骗目的地 —— 一个在毛里求斯注册的外汇投资平台。 调查人员确认，该诈骗活动背后共有 28 个经过验证的广告客户账户。这些账户大多由保加利亚个人注册，其余则来自罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦。 这些账户投放的恶意谷歌广告以 “高收益回报” 为诱饵，将用户引导至 52 个中间域名。这些域名再将用户重定向至仿冒主流媒体的虚假新闻页面，包括仿冒新加坡亚洲新闻台（CNA）和雅虎新闻（Yahoo! News）的网站。 Group-IB 还发现，共有 119 个恶意域名模仿主流新闻网站。例如，仿冒的 CNA 网站发布了一段深度伪造视频，视频中 “黄循财总理” 为名为 “即时时代”（Immediate Era）的项目站台；而仿冒的雅虎新闻文章则谎称 “尚穆根部长” 为该投资平台背书。 为躲避监管检测，诈骗分子采用了多种高级规避技术，包括 IP 过滤、开发者工具检测和 URL 参数拦截，确保诈骗内容仅对新加坡境内的真实用户可见。 一旦受害者提供联系方式，诈骗分子会通过电话或邮件联系对方，并施压要求其进行投资。而当受害者尝试提现时，诈骗分子常以 “行政流程” 为由拖延或拒绝处理。 尽管这个在毛里求斯注册的投资平台持有监管牌照，看似合法，但 Group-IB 指出，其位于塞浦路斯的母公司曾多次被暂停业务，并于 2022 年失去了英国的经营授权。 Group-IB 估算，上个月共有 3808 名新加坡人点击了该恶意广告，其中 685 人被引导至诈骗网站。该团队认为，此案体现了网络诈骗的 “专业化” 趋势 —— 犯罪分子整合经过验证的广告网络、监管漏洞和 AI 驱动的媒体操纵技术，以实现对用户的欺骗。 专家提醒，语法错误、URL 可疑等传统诈骗 “警示信号” 已不再可靠，并建议用户采取以下措施： 独立核实投资宣传内容的真实性 避免在陌生网站上提供个人信息 对网络广告中出现的名人或官员背书保持警惕 Group-IB 表示：“如今，无论是调查人员还是普通用户，都必须从整体角度评估诈骗行为。” “需综合考虑技术指标、行为特征和场景背景，才能有效识别诈骗。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款与俄罗斯相关黑客组织 COLDRIVER 有关联的新型恶意软件，自 2025 年 5 月以来已历经多次开发迭代。这一现象表明，该威胁行为者的 “行动节奏” 正在加快。 该发现来自谷歌威胁情报团队（GTIG）。该团队表示，这个由国家支持的黑客组织，在同期披露其 LOSTKEYS 恶意软件后仅五天，就迅速改进并重组了其恶意软件库。 目前尚不清楚这些新型恶意软件家族的开发时长，但这家科技巨头的威胁情报团队称，自 LOSTKEYS 被披露后，尚未观察到该恶意软件的任何活动痕迹。 GTIG 研究员韦斯利・希尔兹在周一发布的分析报告中指出，这三款新型恶意软件代号分别为 NOROBOT、YESROBOT 和 MAYBEROBOT，它们 “是一组通过交付链相互关联的恶意软件家族”。 最新的攻击浪潮与 COLDRIVER 以往的惯用手法有所不同。该组织过去常以非政府组织（NGO）的知名人士、政策顾问和持不同政见者为目标，窃取其凭证信息。而此次新活动则采用 “ClickFix 式诱饵”，诱骗用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，整个过程伪装成虚假的验证码验证提示。 2025 年 1 月、3 月和 4 月发现的攻击活动，最终会部署一款名为 LOSTKEYS 的信息窃取类恶意软件；而后续的入侵活动则为 “ROBOT” 系列恶意软件的传播铺路。值得注意的是，恶意软件家族 NOROBOT 和 MAYBEROBOT 在 Zscaler ThreatLabz 的追踪系统中，分别使用代号 BAITSWITCH 和 SIMPLEFIX。 新的感染链始于一个名为 COLDCOPY 的 HTML 格式 ClickFix 诱饵，其设计用途是释放一个名为 NOROBOT 的 DLL 文件。该 DLL 文件随后通过 rundll32.exe 程序执行，以释放下一阶段的恶意软件。据悉，该攻击的早期版本会传播一个名为 YESROBOT 的 Python 后门，之后威胁行为者转而使用名为 MAYBEROBOT 的 PowerShell 植入程序。 YESROBOT 通过 HTTPS 协议从硬编码的命令与控制（C2）服务器获取指令。作为一款精简型后门，它具备下载并执行文件、获取目标文档的功能。截至目前，仅观察到两起 YESROBOT 部署案例，均发生在 2025 年 5 月末的两周内，而这一时间点恰好在 LOSTKEYS 的细节被公开之后。 与之相比，MAYBEROBOT 被评估为更具灵活性和可扩展性。它具备多项功能，包括从指定 URL 下载并运行有效载荷、通过 cmd.exe 执行命令，以及运行 PowerShell 代码。 研究人员认为，COLDRIVER 组织很可能是为应对 LOSTKEYS 的公开披露，仓促部署 YESROBOT 作为 “临时机制”，随后便弃用该软件转而采用 MAYBEROBOT。原因在于，NOROBOT 的早期版本中还包含一个步骤 —— 在受攻陷主机上完整安装 Python 3.8 环境。这种操作会留下 “明显痕迹”，极易引发怀疑。 谷歌还指出，NOROBOT 和 MAYBEROBOT 的使用对象可能仅限于重要目标。这些目标可能已通过钓鱼攻击被攻陷，而使用这两款恶意软件的最终目的，是从其设备中收集更多情报。 希尔兹表示：“NOROBOT 及其前身感染链一直在不断演变 —— 最初为提高部署成功率而简化设计，之后又通过拆分加密密钥重新增加复杂度。这种持续的开发行为表明，该组织正努力规避检测系统，保护其交付机制，以便继续针对高价值目标开展情报收集活动。” 与此同时，荷兰检察署（Openbaar Ministerie，简称 OM）宣布，三名 17 岁男性涉嫌为某外国政府提供服务。其中一人据称与一个隶属于俄罗斯政府的黑客组织存在联系。 荷兰检察署称：“该嫌疑人还指示另外两人，在海牙市的多个日期对 Wi-Fi 网络进行测绘。前者将收集到的信息有偿分享给客户，而这些信息可被用于数字间谍活动和网络攻击。” 2025 年 9 月 22 日，两名嫌疑人已被逮捕。第三名嫌疑人虽已接受当局讯问，但因在案件中 “角色有限”，目前被处以软禁。 荷兰检察署补充道：“目前尚无迹象表明，与俄罗斯政府下属黑客组织有联系的那名嫌疑人受到了胁迫。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着美国执法人员与公众之间的紧张关系达到临界点，在近期一次大规模协同黑客攻击事件中，美国国土安全部与司法部的数百名雇员遭遇“人肉搜索”，黑客已曝光数百名执法人员的个人信息。 据 404 media 报道，信息泄露发生之际，特朗普政府正重启对抗议活动及移民事务的严厉打击行动。国土安全部与移民海关执法局执法人员在各大城市实施抓捕，批评人士将这些场景描述为“政府批准的绑架行为”。 特朗普政府多次称执法人员“面临威胁”，但批评者认为，这一说法只是为“信息保密”、“过度使用武力”及“压制公众监督”提供正当理由。 政府还施压各平台下架“ICEBlock”等用于追踪和举报移民海关执法局的应用程序。目前白宫尚未就此次数据泄露事件置评，受影响部门也未公开承认信息泄露的波及范围。 近千名执法人员信息遭曝光 此次数据泄露由黑客组织“Com”发起，该组织此前曾实施多起具有政治动机的信息泄露及高级别网络攻击。 据称，此次最新行动曝光了680名国土安全部雇员、190名司法部官员的个人信息，以及170名联邦调查局工作人员的电子邮件地址。 黑客组织在“ScatteredLAPSUS$Hunters”Telegram频道中留言称：“大伙儿接下来想让国税局上榜吗？” 据404媒体报道，泄露的信息包括姓名、办公地点，部分信息还涉及家庭住址。记者已通过独立渠道核实，大部分泄露信息属实。 该Telegram频道中另一条疑似帖子嘲讽道：“墨西哥，把钱还给我”，此举可能是在嘲讽国土安全部关于贩毒集团已悬赏追杀联邦特工的说法。 据据称获取的情报显示，贩毒集团已指示其支持者（包括芝加哥的街头帮派）追踪、骚扰甚至暗杀联邦执法人员。 文件显示，贩毒集团设立了结构化悬赏体系以煽动暴力行为，悬赏金额根据目标职位等级及攻击性质逐级递增： 收集执法人员情报或对其实施“人肉搜索”（包括拍摄照片、确认其家庭成员身份），可获得2000美元报酬； 绑架执法人员或对一线探员实施非致命袭击，可获得5000至10000美元报酬； 暗杀高级别官员，报酬据称最高可达50000美元。 国土安全部执法人员遭攻击 随着公众对移民政策的反对情绪升温，曝光执法人员私人信息可能对其安全构成威胁。10月9日，国土安全部发布声明，谴责此类“危险的人肉搜索攻击”。 声明在新闻稿中指出：“我们的执法人员遭遇袭击的次数增长超1000%，其家人也面临人肉搜索及网络威胁。” 新闻稿显示，9月，联邦大陪审团对三名女性提起诉讼。这三人曾通过直播追踪一名移民海关执法局探员至其住所，高喊“邻居是移民海关执法局的人！”“移民海关执法局的人住你这条街，你们该知道！”，随后还在Instagram上公开了该探员的住址。一场抗议活动就此演变为实时直播的“人肉搜索”行动。 在得克萨斯州，一名移民海关执法局探员的配偶接到威胁电话，对方称：“真不知道你怎么能容忍丈夫为移民海关执法局工作，还能安心睡觉……去你的，去你全家的。我真希望你的孩子被误判驱逐……你知道二战后纳粹的下场吗？你们家也会落得同样的下场。” 另有一名探员的配偶收到来自马萨诸塞州莱克维尔市居民罗伯特・巴克利（RobertBuckley）的Facebook消息，内容为：“你丈夫这移民海关执法局的混蛋，报应终会找上你们。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报团队已吊销 200 多个由威胁 actor 伪造签名的证书，这些证书被用于伪造的微软 Teams 安装文件，以分发后门程序和恶意软件。 微软将这场攻击活动命名为 “Vanilla Tempest”，其他机构则将其追踪为 “Vice Spider” 和 “Vice Society”。该活动于 9 月下旬被发现。 该威胁 actor 以经济利益为动机，主要通过部署勒索软件和窃取数据进行勒索。 伪造的 Teams 安装文件被用于分发 “Oyster” 后门程序，并最终部署 “Rhysida” 勒索软件。 除 Rhysida 外，该威胁 actor 还使用过其他勒索软件变种，包括 BlackCat、Quantum Locker 和 Zeppelin。 在这场活动中，攻击者利用 SEO 投毒和恶意广告技术，诱骗用户下载伪造的 MSTeamsSetup.exe 文件，这些文件会释放 Oyster 后门。 搜索 “Teams 下载” 的用户会被引诱至仿冒网站，这些网站托管着伪造的微软 Teams 安装程序。模仿微软 Teams 的恶意域名包括 teams-download [.] buzz、teams-install [.] run 和 teams-download [.] top 等。 微软表示，Vanilla Tempest 早在 2025 年 6 月就将 Oyster 后门纳入攻击流程，但在 2025 年 9 月初才开始对这些后门程序进行伪造签名。 观察发现，Vanilla Tempest 通过 “Trusted Signing” 服务以及 SSL [.] com、DigiCert 和 GlobalSign 等代码签名服务，为伪造的安装程序和攻击后工具伪造签名。 这家科技巨头称，完全启用的微软 Defender 防病毒软件可拦截此威胁。除检测功能外，微软 Defender for Endpoint 还提供了缓解和调查此类攻击的额外指导。 Vanilla Tempest 至少从 2021 年起就异常活跃。2023 年，在一系列影响美国医疗行业的事件发生后，安全研究人员发现该组织与 Rhysida 勒索软件存在关联。 2022 年，Vanilla Tempest 发起的一系列勒索软件攻击活动曾针对英国和美国的教育行业。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心事件概况 俄罗斯黑客组织 Lynx窃取并泄露了英国皇家空军（RAF）和皇家海军 8 处基地的国防部（MoD）文件，在这场通过 “多德集团”（Dodd Group）入侵发起的 “灾难性” 网络攻击中，人员敏感数据遭到曝光。 此次事件发生于 9 月 23 日。据《每日邮报》（The Daily Mail）报道，攻击源头是英国国防部的承包商多德集团 —— 该集团被Lynx组织攻破后，数百份涉及 8 处皇家空军及皇家海军基地的敏感文件遭窃取并泄露，《每日邮报》将此次攻击定性为 “灾难性” 事件。 泄露数据与涉事企业背景 泄露数据内容：遭泄露的信息包括工作人员姓名与邮箱、承包商姓名、电话号码、车辆详情及国防部人员联系方式。部分文件还标注有 “受控”（Controlled）或 “官方敏感”（Official Sensitive）等级。 多德集团简介：该集团拥有超过 1100 名员工，业务覆盖教育、医疗、住房、公用事业及国防领域的重大项目，包括为英国国防部提供维护与建筑服务，是英国领先的私营工程及设施管理公司之一。 攻击后续发展：Lynx这一勒索软件组织已将多德集团列入其 Tor 数据泄露网站，声称窃取了约 4TB 数据。目前该组织已开始泄露被盗数据，泄露原因可能是双方谈判破裂。 涉事军事基地与文件细节 据《每日邮报》披露，泄露的国防部文件包含多处皇家空军及海军基地的敏感信息，涉及基地包括： 莱肯希思基地（RAF Lakenheath）：部署有美国 F-35 战斗机，且据信存放有核弹。 波特里斯基地（RAF Portreath）：北约防空网络的顶级机密雷达站。 普雷丹纳克基地（RAF Predannack）：现为英国国家无人机中心（National Drone Hub）所在地。 泄露文件总量约 1000 份，具体包括： 波特里斯皇家空军基地和卡尔德罗斯皇家海军航空站（RNAS Culdrose）的访客记录。 内部邮件与安全指南。 莱肯希思皇家空军基地和米尔登霍尔皇家空军基地（RAF Mildenhall）的建筑施工记录，其中包含敏感作战细节。 各方回应与风险警示 多德集团回应：该集团已公开披露此次数据泄露事件，但公司发言人称仅 “少量数据”（limited data）被盗。 专家警示：情报专家指出，国家级行为体可能将被盗数据用于情报收集，或对受影响机构发起进一步网络攻击。 英国国防部行动：目前英国国防部已针对该事件启动调查。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场协同攻击活动：131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体，正针对巴西用户进行大规模垃圾邮件发送。 据供应链安全公司 Socket 透露，这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施，这些浏览器插件的活跃用户总计约 20,905 人。 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示：“它们并非传统意义上的恶意软件，但属于高风险垃圾信息自动化工具，违反了平台规则。其代码直接注入 WhatsApp 网页版页面，与 WhatsApp 自身脚本一同运行，通过特定方式实现批量 outreach 和定时发送，目的是绕过 WhatsApp 的反垃圾邮件机制。” 该活动的最终目标是通过 WhatsApp 大量发送出站消息，且能绕过该消息平台的发送频率限制和反垃圾邮件管控。 据悉，该活动已持续至少 9 个月，截至 2025 年 10 月 17 日，仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括： YouSeller（10,000 名用户） performancemais（239 名用户） Botflow（38 名用户） ZapVende（32 名用户） 这些扩展虽名称和图标各异，但幕后绝大多数由 “WL Extensão” 及其变体 “WLExtensao” 发布。据信，这种品牌差异源于一种特许经营模式 —— 该运营活动的分销商可将 DBX Tecnologia 公司提供的原始扩展克隆后，以不同品牌名称大量上传至 Chrome 应用商店。 这些插件还伪装成 WhatsApp 的客户关系管理（CRM）工具，宣称能帮助用户通过该应用的网页版提升销售额。 ZapVende 在 Chrome 应用商店的描述中写道：“将你的 WhatsApp 转变为强大的销售和联系人管理工具。借助 Zap Vende，你将获得直观的 CRM 系统、消息自动化、批量发送、可视化销售漏斗等多种功能。轻松高效地管理客户服务、跟踪潜在客户并定时发送消息。” Socket 指出，DBX Tecnologia 公司推出了经销商白标计划，允许潜在合作伙伴对其 WhatsApp 网页版扩展进行重新品牌包装并销售。该公司宣称，投资 12,000 雷亚尔（巴西货币），可获得每月 30,000 至 84,000 雷亚尔的 recurring revenue。 值得注意的是，这种行为违反了谷歌 Chrome 应用商店的《垃圾信息与滥用政策》，该政策禁止开发者及其关联方提交功能重复的多个扩展程序。此外，还发现 DBX Tecnologia 在 YouTube 上发布视频，传授使用其扩展时如何绕过 WhatsApp 的反垃圾邮件算法。 博伊琴科指出：“这一系列扩展本质上是几乎相同的复制品，分散在不同的发布者账户下，主打批量非邀约 outreach，且能在无需用户确认的情况下，在web.whatsapp.com内自动发送消息。其目的是让大规模垃圾邮件活动持续进行，同时规避反垃圾邮件系统的检测。” 此次披露正值趋势科技（Trend Micro）、Sophos 和卡巴斯基（Kaspersky）曝光另一场大规模攻击活动 —— 该活动针对巴西用户，利用名为 SORVEPOTEL 的 WhatsApp 蠕虫病毒分发一款代号为 Maverick 的银行木马。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心漏洞概况 近 7.6 万台 WatchGuard Firebox 网络安全设备暴露在公共网络中，且仍受一个严重漏洞（CVE-2025-9242）影响。该漏洞允许远程攻击者在无需身份验证的情况下执行代码。 Firebox 设备是网络防御核心枢纽，负责控制内部与外部网络间的流量。其通过策略管理、安全服务、虚拟专用网络（VPN）以及 WatchGuard Cloud 提供的实时可见性实现防护功能。 全球受影响设备分布 据 “影子服务器基金会”（The Shadowserver Foundation）的扫描数据，目前全球共有 75,835 台易受攻击的 Firebox 设备，主要集中在欧洲和北美地区。具体分布如下： 美国：24,500 台（数量最多） 德国：7,300 台 意大利：6,800 台 英国：5,400 台 加拿大：4,100 台 法国：2,000 台 漏洞技术细节与影响范围 漏洞披露与评级：WatchGuard 于 9 月 17 日在安全公告中披露 CVE-2025-9242，将其评为严重级别，风险评分达 9.3 分（满分 10 分）。 漏洞本质：该漏洞是 Fireware 操作系统 “iked” 进程中的 “越界写入” 问题，而 “iked” 进程负责处理 IKEv2 协议的 VPN 协商。 攻击方式：攻击者无需身份验证，只需向易受攻击的 Firebox 设备发送特制的 IKEv2 数据包，即可迫使设备向非预期的内存区域写入数据，进而触发漏洞。 受影响版本：仅影响满足以下两个条件的 Firebox 设备： 使用 IKEv2 VPN 且配置动态网关对等体 系统版本为 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3，或 2025.1 官方修复建议 优先升级版本：厂商建议将设备升级至以下任一安全版本： 2025.1.1 12.11.4 12.5.13 12.3.1_Update3（版本号 B722811） 老旧版本处理：11.x 系列版本已终止支持，不再提供安全更新，使用该系列版本的用户需升级至仍受支持的版本。 临时缓解方案：仅配置 “分支机构 VPN” 且使用静态网关对等体的设备，可参考厂商文档，通过 IPSec 和 IKEv2 协议加固连接，作为临时防护措施。 当前风险状态 10 月 19 日，影子服务器基金会检测到 75,955 台易受攻击的 Firebox 防火墙。其发言人向 BleepingComputer 表示，此次扫描结果可信度高，数据反映的是真实部署设备，暂未包含蜜罐（用于诱捕攻击者的模拟设备）。 目前尚无 CVE-2025-9242 被主动利用的报告，但厂商强烈建议尚未安装安全更新的管理员尽快为设备打补丁。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

记者从国家安全部了解到，近期，国家安全机关破获一起美国重大网络攻击案，掌握美国国家安全局网络攻击入侵中国国家授时中心的铁证，粉碎美方网攻窃密和渗透破坏的图谋，全力守护“北京时间”安全。 国之重器不容有失 国家授时中心位于陕西省西安市，承担“北京时间”的产生、保持和发播任务，为国家通信、金融、电力、交通、测绘、国防等行业领域提供高精度授时服务，还为测算国际标准时间提供重要数据支撑。国家授时中心自主研发了世界领先的时间自主测量系统，还建设有国家重大科技基础设施——高精度地基授时系统，相关设施一旦遭受网攻破坏，将影响“北京时间”的安全稳定运行，引发网络通信故障、金融系统紊乱、电力供应中断、交通运输瘫痪、空天发射失败等严重后果，甚至可能导致国际时间陷入混乱，危害损失难以估量。 机关算尽原形毕露 经国家安全机关缜密调查发现，美国安局针对国家授时中心的网攻活动蓄谋已久，呈现递进式、体系化特点。2022年3月25日起，美国安局利用某境外品牌手机短信服务漏洞，秘密网攻控制国家授时中心多名工作人员的手机终端，窃取手机内存储的敏感资料。2023年4月18日起，美国安局多次利用窃取的登录凭证，入侵国家授时中心计算机，刺探该中心网络系统建设情况。2023年8月至2024年6月，美国安局专门部署新型网络作战平台，启用42款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图横向渗透至高精度地基授时系统，预置瘫痪破坏能力。 国家安全机关发现，美国安局网攻活动多选在北京时间深夜至凌晨发起，利用美国本土、欧洲、亚洲等地的虚拟专用服务器作为“跳板”隐匿攻击源头，采取伪造数字证书绕过杀毒软件等方式隐藏攻击行为，还使用了高强度的加密算法深度擦除攻击痕迹，为实施网络攻击渗透活动可谓无所不用其极。国家安全机关见招拆招，固定美方网攻证据，指导国家授时中心开展清查处置，斩断攻击链路，升级防范措施，消除危害隐患。 贼喊捉贼霸权嘴脸 近年来，美国强推网络霸权，一再践踏国际网络空间规则。以美国安局为首的间谍情报机关任性妄为，持续针对中国、东南亚、欧洲及南美洲等地实施网攻活动，入侵控制关键基础设施，窃取重要情报，监听重点人员，肆意侵犯他国网络主权和个人隐私，严重危害全球网络空间安全。美方还惯于利用其在菲律宾、日本以及中国台湾省等地的技术阵地发动网攻，从而达到隐藏自身、嫁祸他人的目的，可谓损招用尽。同时，美方还贼喊捉贼，屡屡渲染“中国网络威胁论”，胁迫他国炒作所谓“中国黑客攻击事件”，制裁中国企业，起诉中国公民，妄图混淆视听，颠倒黑白。铁的事实证明，美国才是真正的“黑客帝国”，是网络空间的最大乱源。 国家安全机关提示 国家安全机关依法防范打击网络间谍活动，对国内机关、团体、企业事业组织和其他社会组织开展反间谍安全防范指导和检查。关键基础设施运营者要履行本单位反间谍安全防范工作主体责任，定期对从业人员开展网络安全教育、培训，采取反间谍技术安全防范措施，防范、制止境外网络攻击、入侵、窃密等间谍行为。公民和组织应当支持配合国家安全机关开展网络反间谍工作，针对发现的疑似网络间谍行为，及时通过12339国家安全机关举报受理电话、网络举报平台(www.12339.gov.cn)、国家安全部微信公众号举报受理渠道或直接向当地国家安全机关进行举报。   消息来源：央视新闻； 本文由 HackerNews.cc 整理，封面来源于网络； 转载请注明出处并附上原文

HackerNews 编译，转载请注明出处： 日本零售企业无印良品（Muji）因配送合作伙伴Askul遭遇勒索软件攻击，引发物流中断，现已暂停旗下门店线上业务。 日本时间周日晚间，无印良品表示，此次事件导致所有零售服务均受影响，具体包括线上商店浏览或购物、通过无印良品 APP 查看订单历史，以及部分网页内容显示功能。 尽管该公司未明确系统恢复时间表，但周一下午的最新公告显示，目前仅线上商店购物和月度固定费率服务申请仍受影响。 无印良品同时表示，正调查哪些货运订单受到影响，以确认攻击发生前已下单的订单，并将通过邮件通知相关消费者。 无印良品主打极简风格的家居用品、服装及家具，在日本、中国、新加坡、欧洲、澳大利亚及北美地区运营着逾 1000 家门店。该公司年营收约 40 亿美元，在全球拥有超过 2.45 万名员工。 Askul是一家大型B2B及B2C办公用品与物流电商公司，隶属于雅虎日本公司。 该公司于昨日发布声明，称自身成为勒索软件攻击目标，导致业务运营中断。 声明内容显示：“目前，Askul网站因勒索软件感染发生系统故障，我们已暂停订单处理及配送业务。” “我们正调查此次事件的影响范围，包括个人信息及客户数据是否泄露，一旦获取相关信息将立即通知公众。” 目前，Askul的产品退货申请、收据邮寄、商品目录寄送及取件服务均已暂停，其客服热线及网站客服渠道也暂时无法接通。 由于Askul仅负责无印良品在日本地区的销售配送，此次故障仅影响日本市场，无印良品在其他国家的门店均正常营业。 截至发稿时，尚未有勒索软件团伙在其勒索平台上宣称对爱速客乐发起攻击。 此次事件发生前不久，日本最大啤酒生产商朝日啤酒（Asahi）也遭遇勒索软件攻击，被迫暂停生产运营，并推迟原定产品上市计划。该起攻击由 “麒麟”（Qilin）勒索软件团伙宣称负责，朝日啤酒在声明中证实，黑客从其系统中窃取了数据。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周早些时候，微软针对一个ASP.NET Core 漏洞发布了补丁。该漏洞被标记为ASP.NET Core 安全漏洞中 “史上最高” 的严重级别。 这个 HTTP 请求走私漏洞（CVE-2025-55315）存在于 Kestrel ASP.NET Core Web 服务器中。已通过身份验证的攻击者可利用该漏洞走私另一个 HTTP 请求，进而劫持其他用户的凭据，或绕过前端安全控制。 微软在周二的安全公告中表示：“成功利用此漏洞的攻击者，可查看其他用户凭据等敏感信息（影响机密性）、修改目标服务器上的文件内容（影响完整性），还可能导致服务器崩溃（影响可用性）。” 微软建议的修复措施 为确保ASP.NET Core 应用程序免受潜在攻击，微软建议开发人员和用户采取以下措施： 若运行的是.NET 8 或更高版本，需从 Microsoft Update 安装.NET 更新，之后重启应用程序或计算机。 若运行的是.NET 2.3，需将 Microsoft.AspNet.Server.Kestrel.Core 的包引用更新至 2.3.6 版本，之后重新编译并部署应用程序。 若运行的是独立式 / 单文件应用程序，需安装.NET 更新，重新编译并部署应用程序。 为修复该漏洞，微软已发布多款安全更新，涵盖 Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0，以及适用于ASP.NET Core 2.x 应用的 Microsoft.AspNetCore.Server.Kestrel.Core 包。 漏洞影响与风险说明 微软.NET 安全技术项目经理巴里・多兰斯（Barry Dorrans）解释称，CVE-2025-55315 漏洞的攻击影响取决于目标ASP.NET应用程序的具体情况。成功利用该漏洞可能让攻击者实现以下操作： 以其他用户身份登录（实现权限提升）； 发起内部请求（用于服务器端请求伪造攻击）； 绕过跨站请求伪造（CSRF）检查； 实施注入攻击。 多兰斯表示：“但我们无法确定具体会发生什么，因为这取决于应用程序的编写方式。因此，我们在评分时会考虑最糟糕的情况 —— 即可能导致安全功能绕过、改变攻击范围的情况。” 他补充道：“这种极端情况可能发生吗？可能性不大，除非你的应用程序代码存在异常，且跳过了本应在每个请求中执行的大量检查。但无论如何，建议你立即进行更新。” 在本月的 “补丁星期二”（Patch Tuesday）中，微软共发布 172 个漏洞的安全更新，其中包括 8 个 “严重”（Critical）级别漏洞，以及 6 个零日漏洞（其中 3 个已被用于实际攻击）。 本周，微软还发布了累积更新 KB5066791。该更新包含 Windows 10 的最终安全补丁，因为该操作系统已正式进入支持生命周期尾声。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客通过接管多个机场的公共广播系统（PA 系统）、航班信息显示屏及公共播报系统，造成了严重混乱。 据官员及新闻报道，周二（事件发生日），黑客入侵了四座机场的公共广播系统 ，其中三座位于加拿大，一座位于美国，并播放吹捧哈马斯、批评唐纳德・特朗普的内容。 加拿大不列颠哥伦比亚省基洛纳国际机场的 “广告流媒体服务” 曾 “短暂遭入侵，未授权内容被播放”，加拿大皇家骑警（基洛纳分部）证实了该情况。 加拿大皇家骑警表示，正联合其他机构对此次黑客入侵事件展开调查，暂不提供更多细节。 不列颠哥伦比亚省维多利亚国际机场的发言人称，黑客曾在机场公共广播系统中播放外语内容及音乐。 该发言人称，黑客通过入侵第三方软件获取了公共广播系统的控制权，机场随后切换至内部系统才重新夺回控制权。 加拿大网络安全中心正协助该机场及加拿大皇家骑警开展调查。 美国运输部长肖恩・达菲周三在社交媒体发文称，黑客以类似方式入侵了美国宾夕法尼亚州哈里斯堡国际机场的公共广播系统。 他表示，美国联邦航空管理局（FAA）及机场官员正对此入侵事件进行调查。 截至目前，美国联邦航空管理局尚未回应置评请求。 安大略省温莎国际机场官员透露，周二晚间，黑客同样入侵了该机场的航班信息显示屏及公共广播系统，并播放 “未授权图像及播报内容”。 该机场在声明中称，此次入侵针对的是机场使用的 “某云基软件供应商”，“后续系统已迅速恢复正常”。 上述四座机场均为小型支线机场。2024 年，其中客流量最大的基洛纳国际机场旅客吞吐量仅略超 200 万人次；而不列颠哥伦比亚省最大机场 —— 温哥华国际机场的年旅客吞吐量则超过 2500 万人次。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国区域航空公司 envoy 航空于周五证实，其甲骨文电子商务套件（Oracle E-Business Suite）应用程序遭黑客入侵，导致信息被窃取，成为第二家确认此类事件的企业。 该航空公司发言人表示，其 IT 系统受到近期一场黑客攻击的影响，据称这场攻击由俄罗斯网络犯罪组织 “克洛普”（Clop）发起。作为美国航空的全资子公司，envoy 航空称 “少量商业信息和商业联系方式可能已泄露”。 周四晚间，该网络犯罪组织声称从美国航空窃取了数量未公开的信息，并将美国航空列入其泄密网站。 美国航空发言人则表示，这一指控实际涉及 envoy 航空，美国航空本身并未使用甲骨文电子商务套件应用程序。该发言人透露，母公司在过去几周内开展了审查，确认此次事件仅与子公司相关。 envoy 航空发言人向 “Recorded Future News” 透露：“我们已知晓 envoy 航空甲骨文电子商务套件应用程序发生的这起事件。得知此事后，我们立即展开调查，并已联系执法部门。” 该发言人还表示：“我们已对涉及的数据进行了全面审查，确认未涉及敏感信息或客户数据。” 此外，发言人证实此次事件仅局限于 envoy 航空，未对航班运行或机场地勤操作造成影响。但对于入侵发生的时间、克洛普组织在其系统中潜伏多久等问题，该公司未予回应。 envoy 航空拥有超过 2 万名员工，以 “美国鹰航”（American Eagle）品牌运营，为 160 多个目的地提供区域航班服务，日均管理约 800 架次航班。 同时，该公司还在达拉斯、芝加哥和迈阿密为多家美国航空的航班提供地勤服务。这家总部位于得克萨斯州的公司，由多家小型区域航空公司整合组建而成。 本周一，哈佛大学成为首家确认受此次黑客攻击影响的机构。甲骨文公司未回应置评请求，但Mandiant的事件响应人员此前表示，他们已知晓数十起受害案例，且 “预计实际受害案例会更多”。 谷歌及其他安全公司的报告显示，黑客利用了甲骨文电子商务套件中的多个漏洞获取访问权限，其中至少包含一个上周才被新增至联邦监控清单的新发现漏洞。 网络犯罪组织 “克洛普” 最初试图通过威胁泄露从该应用程序中窃取的敏感信息，向企业高管勒索钱财。甲骨文公司已确认此次黑客攻击事件，但起初仅表示黑客利用的是 7 月更新中已修复的漏洞，未具体说明涉及哪些漏洞。 美国联邦调查局（FBI）助理局长布雷特・莱瑟曼（Brett Leatherman）上周表示，此次攻击中被利用的漏洞之一属于 “‘需立即停止手头工作并进行补丁修复’的高危漏洞”。   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与”传染性面试”攻击活动相关的朝鲜威胁行为体被观察到合并了其两个恶意软件程序的部分功能，这表明该黑客组织正在积极改进其工具集。 这一结论来自思科Talos的新发现，该机构表示，在黑客组织近期的攻击活动中，BeaverTail和OtterCookie的功能比以往任何时候都更加接近，同时后者还新增了一个用于键盘记录和屏幕截图的功能模块。 该活动被归因于一个被网络安全社区以多个代号追踪的威胁集群，这些代号包括：CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、PurpleBravo、Tenacious Pungsan、UNC5342、Void Dokkaebi和WaterPlum。 这一进展出现之际，谷歌威胁情报小组和Mandiant披露，该威胁行为体使用了一种名为“EtherHiding”的隐秘技术，从BNB智能链或以太坊区块链获取下一阶段的有效载荷，实质上将去中心化基础设施变成了一个弹性的命令与控制服务器。这是首个有记录的国家级行为体使用该方法的案例，而该方法此前一直被网络犯罪集团所采用。 “传染性面试”指的是一项始于2022年底左右的精心策划的招聘骗局，朝鲜威胁行为体冒充招聘组织，针对求职者，欺骗他们安装信息窃取型恶意软件，作为所谓的技术评估或编码任务的一部分，从而导致敏感数据和加密货币被盗。 近几个月来，该攻击活动发生了几次转变，包括利用ClickFix社会工程学技术来投递恶意软件家族，如GolangGhost、PylangGhost、TsunamiKit、Tropidoor和AkdoorTea。然而，这些攻击的核心是被称为BeaverTail、OtterCookie和InvisibleFerret的恶意软件家族。 BeaverTail和OtterCookie是独立但互补的恶意软件工具，后者于2024年9月首次在真实世界的攻击中被发现。与作为信息窃取器和下载器的BeaverTail不同，OtterCookie的初始交互旨在联系远程服务器并获取在受感染主机上执行的命令。 思科Talos检测到的活动涉及一家总部位于斯里兰卡的组织。据评估，该公司并非该威胁行为体的有意目标，而是他们的一台系统可能在一名用户成为虚假工作机会的受害者后被感染，该虚假工作指示他们安装一个名为Chessfi的被木马化的Node.js应用程序（托管在Bitbucket上），作为面试过程的一部分。 有趣的是，该恶意软件包含一个通过名为”node-nvm-ssh”的包引入的依赖项，该包由名为”trailer”的用户于2025年8月20日发布到官方npm仓库。该包总共获得了306次下载，随后于六天后被npm维护者下架。 同样值得注意的是，上述npm包是软件供应链安全公司Socket本周早些时候标记的与”传染性面试”活动相关的338个恶意Node.js库之一。 该包一旦安装，就会通过其package.json文件中的一个postinstall钩子触发恶意行为，该钩子被配置为运行一个名为”skip”的自定义脚本，以启动一个JavaScript有效载荷，该有效载荷进而加载另一个负责执行最终阶段恶意软件的JavaScript文件。 对该攻击中使用的工具的进一步分析发现，”它兼具BeaverTail和OtterCookie的特征，模糊了两者之间的区别，”安全研究人员Vanja Svajcer和Michael Kelley表示，并补充说它包含了一个新的键盘记录和屏幕截图模块，该模块使用合法的npm包来分别捕获击键和进行屏幕截图，并将信息渗出到C2服务器。 该新模块的至少一个版本配备了一个辅助剪贴板监控功能，以窃取剪贴板内容。新版本OtterCookie的出现描绘了一个工具从基本数据收集演变为用于数据窃取和远程命令执行的模块化程序的图景。 该恶意软件中同样存在的功能类似于BeaverTail，用于枚举浏览器配置文件和扩展、从Web浏览器和加密货币钱包窃取数据、安装AnyDesk以实现持久远程访问，以及下载一个被称为InvisibleFerret的Python后门。 OtterCookie中存在的其他一些模块列于下文： 远程Shell模块：向C2服务器发送系统信息和剪贴板内容，并安装”socket.io-client” npm包以连接到OtterCookie C2服务器的特定端口，并接收待执行的进一步命令。 文件上传模块：系统地枚举所有驱动器并遍历文件系统，以查找匹配特定扩展名和命名模式的文件，将其上传到C2服务器。 加密货币扩展窃取模块：从安装在Google Chrome和Brave浏览器上的加密货币钱包扩展中提取数据。 此外，Talos表示检测到一个基于Qt的BeaverTail构件和一个包含BeaverTail和OtterCookie代码的恶意Visual Studio Code扩展，这提高了该组织可能正在试验新的恶意软件投递方法的可能性。 研究人员指出：”该扩展也可能是与Famous Chollima无关的另一行为者（甚至可能是研究人员）进行实验的结果，因为这与他们通常的战术、技术和程序不同。” 此消息披露之际，NTT Security Holdings分享了自2025年7月起与”传染性面试”活动相关部署的新恶意软件OtterCandy的详细信息，该恶意软件针对Windows、macOS和Linux系统。OtterCandy的一个早期样本于2025年2月上传到VirusTotal平台。 根据这家日本网络安全公司的说法，OtterCandy结合了OtterCookie和RATatouille的特性，后者是一种远程访问木马，曾通过2025年5月npm包”rand-user-agent”的供应链漏洞进行分发。这是首次将该攻击归因于朝鲜威胁行为体。 根据Aikido的说法，嵌入在npm包中的混淆有效载荷旨在与远程服务器建立隐秘通信通道，并渗出特定目录内的文件以及执行shell命令，后者仅针对Windows系统。 支持的完整命令列表如下： env：在整个文件系统中搜索秘密文件名。 imp：在home目录内搜索秘密文件名。 pat：在当前目录内搜索与预设模式匹配的文件名。 upload：将系统信息、浏览器密码、钱包文件以及来自Google Chrome和Edge的扩展数据传输到C2服务器。 exec：取消正在进行的扫描或上传、上传单个文件、递归上传目录内容、更改当前目录或终止恶意软件进程。 据称，OtterCandy通过一个被追踪为”ClickFake Interview”的子集群活动分发，该活动涉及用ClickFix风格诱饵欺骗用户运行恶意命令，以修复所谓的摄像头或麦克风问题。 “NTT Security表示：”OtterCandy是一个通过Node.js实现的RAT和信息窃取器。它是结合了RATatouille和OtterCookie元素的恶意软件。OtterCandy在通过Socket.IO连接到C2服务器时接受命令。” 用于投递OtterCandy的第一阶段恶意软件名为DiggingBeaver，这是一个JavaScript有效载荷，在受害者通过Windows”运行”对话框复制并运行命令后执行。DiggingBeaver也被发现分发其他已知的ClickFake Interview恶意软件，如GolangGhost和FROSTYFERRET。 NTT Security表示，还在2025年8月观察到OtterCandy的一个新变种，该变种扩展了功能，可以从三个额外的加密货币钱包扩展中收集数据，并增强了”ss_del”命令以删除Windows注册表项以及擦除文件和目录。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场新型攻击活动，该活动疑似通过一款此前未被记录的.NET 恶意软件（代号 “CAPI 后门程序”），针对俄罗斯汽车行业与电子商务领域发起攻击。 根据 Seqrite 实验室的调查，此次攻击链的核心环节是发送钓鱼邮件，邮件中包含一个 ZIP 压缩包，攻击者通过该压缩包触发感染流程。该网络安全公司的分析基于 2025 年 10 月 3 日上传至 VirusTotal 平台的一个 ZIP 样本。 该 ZIP 压缩包内包含两个关键文件： 一份俄语诱饵文档，伪装成与所得税法规相关的通知； 一个 Windows 快捷方式（LNK 文件）。 这份 LNK 文件与 ZIP 压缩包同名（即 “Перерасчет заработной платы 01.10.2025”，俄语意为 “2025 年 10 月 1 日薪资重算”），其作用是借助微软合法二进制文件 “rundll32.exe” 执行.NET 植入程序（“adobe.dll”）。这种技术被称为 “living-off-the-land（LotL，就地取材）”，是网络攻击者常用的手段之一。 Seqrite 指出，该后门程序具备多项核心功能： 检查自身是否以管理员权限运行； 收集已安装的杀毒软件列表； 打开诱饵文档作为伪装，同时秘密连接远程服务器（地址：91.223.75 [.] 96）以接收后续执行指令。 通过这些指令，CAPI 后门程序可实现以下恶意操作： 从谷歌 Chrome、微软 Edge、火狐（Mozilla Firefox）等浏览器中窃取数据； 截取屏幕截图； 收集系统信息； 枚举文件夹内容； 将获取的结果回传至远程服务器。 此外，该后门程序还会执行一系列检测，判断当前运行环境是合法主机还是虚拟机。它通过两种方式实现持久化： 创建计划任务； 在 Windows “启动” 文件夹中生成 LNK 文件，确保复制到 Windows Roaming 文件夹的后门 DLL 文件能随系统自动启动。 Seqrite 判断攻击者瞄准俄罗斯汽车行业的依据是：与此次攻击活动相关的一个域名 “carprlce [.] ru”，疑似仿冒合法域名 “carprice [.] ru”（“carprice [.] ru” 通常与汽车价格查询、汽车行业服务相关）。 研究人员普里亚・帕特尔（Priya Patel）与苏巴吉特・辛格（Subhajeet Singha）表示：“该恶意载荷是一款.NET DLL 文件，既具备窃取功能，又能为后续恶意活动建立持久化机制。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织于周五宣布，已捣毁一个运作 SIM 卡农场的复杂 “网络犯罪即服务”（CaaS）平台。该平台为客户实施钓鱼攻击、投资诈骗等各类犯罪活动提供支持。 这场名为 “SIM 卡卡特尔行动”（Operation SIMCARTEL）的多国执法协作行动，共开展了 26 次搜查，逮捕 7 名嫌疑人，查获 1200 台 SIM 卡盒设备（内含 4 万张在用 SIM 卡）。其中 5 名被拘留者为拉脱维亚公民。 此外，行动还拆除了 5 台服务器，并于 2025 年 10 月 10 日接管了用于宣传该服务的两个网站 ——gogetsms [.] com 和 apisim [.] com，目前这两个网站已显示查封横幅。同时，执法人员查扣 4 辆豪华汽车，冻结嫌疑人银行账户资金 43.1 万欧元（约合 50.2 万美元）、加密货币账户资金 26.6 万欧元（约合 31 万美元）。 参与行动的国家与造成的损失 此次行动由奥地利、爱沙尼亚、芬兰、拉脱维亚四国执法部门牵头，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协同参与。 据欧洲刑警组织透露，该犯罪网络已被证实与奥地利 1700 多起独立网络诈骗案、拉脱维亚 1500 多起独立网络诈骗案相关。这两个国家因此遭受的损失分别约为 450 万欧元（约合 525 万美元）和 42 万欧元（约合 48.9 万美元）。 该机构表示：“这个犯罪网络及其基础设施具备高度技术复杂性，使得全球范围内的犯罪者能够利用这项 SIM 卡盒服务，实施各类与电信相关的网络犯罪及其他犯罪活动。” 犯罪网络的运作模式与危害 该犯罪基础设施提供注册于 80 多个国家 / 地区的电话号码，供犯罪活动使用，包括在社交媒体和通信平台上创建虚假账户。其主要目的是隐藏犯罪者的真实身份与所在位置。据悉，通过该服务创建的在线虚假账户累计已超过 4900 万个。 这些虚假账户随后被用于实施钓鱼攻击和短信钓鱼攻击（smishing），并通过诱骗受害者向虚假交易计划投入资金来进行金融诈骗。另一种诈骗手法是，犯罪者在 WhatsApp 上冒充受害者的子女，谎称更换了新号码，以 “紧急情况” 为由要求对方转账，金额通常在四位数（欧元）级别。 此外，借助该平台还可能实施敲诈勒索、移民走私、传播儿童性虐待材料（CSAM）等其他犯罪行为。 涉事网站的宣传与用户反馈 从互联网档案馆（Internet Archive）存档的页面可见，GoGetSMS 网站曾将自身宣传为 “快速、安全获取临时电话号码” 的渠道，声称提供超过 1000 万个电话号码，可接收来自 160 多个在线服务的验证码。 GoGetSMS 网站还在页面上推广 “将现有 SIM 卡变现” 的功能，声称通过其 “专用软件” 可将 SIM 卡转化为 “创造被动收入的有力资产”，SIM 卡持有者每接收一条短信就能获得收益。 在评论网站 Trustpilot 上，该平台的付费用户抱怨 “无法获取可用的临时电话号码”。一名用户称，自己在该平台上付费购买了美国号码，却未得到可用的号码，“尝试了多次，既浪费时间又浪费钱。客服完全无回应 —— 不给帮助、不退款，什么都没有。” 拉脱维亚国家警察局在联合声明中指出，该平台专为 “匿名通信与匿名支付” 设计，已对多个国家的 3200 人造成影响。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文