HackerNews

HackerNews 编译，转载请注明出处： 加拿大金融监管机构披露了一起网络安全事件，导致会员公司及其员工的个人信息遭到泄露。 加拿大投资监管组织（CIRO）作为覆盖全国投资交易商、互惠基金交易商及债务与股权市场交易活动的自律监管机构，于8月11日发现该网络安全威胁。为应对此事件，该机构已主动关闭部分系统以确保安全，并启动调查以确定攻击者的活动范围。 初步调查表明，威胁行为者已获取部分会员公司及其注册员工的个人信息。CIRO在8月18日的公告中表示：“鉴于CIRO对自身及会员机构设定的高标准安全要求，我们对此深感忧虑。当前首要任务是积极排查受影响个体，确认后将直接通知相关人员并提供风险缓释服务”。 目前尚未透露具体泄露数据细节，CIRO承诺将适时更新进展。该机构警示会员警惕冒充监管者的可疑来电或邮件，切勿泄露个人及财务信息。 投资者资金安全 CIRO特别强调，此次事件不会危及加拿大民众的投资安全。“若调查发现投资者信息受影响，我们将直接通知当事人并提供风险缓释服务”。 此次调查由外部网络安全专家、法律团队及执法部门协同推进。关键市场监控功能仍正常运行，股权交易实时监管未受影响。 CIRO成立于2023年，负责制定投资及交易机构的监管标准，有权对违规实体实施罚款等处罚措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚第二大互联网服务提供商（ISP）披露了一起重大数据泄露事件，波及数十万客户。 母公司TPG Telecom今日向澳大利亚证券交易所提交公告称，其子公司iiNet的订单管理系统遭到“不明第三方”非法入侵，该事件于上周六（8月16日）被发现。公告声明：“8月16日周六确认事件后，我们立即启动应急预案，切断了未经授权的系统访问途径，并已聘请外部IT及网络安全专家协助事件处置”。 TPG Telecom声称该订单管理系统仅存储“有限”的客户个人信息，未涉及身份证件、信用卡或其他财务资料。但公司承认非法第三方获取了以下数据： 28万个活跃iiNet邮箱地址 2万个活跃iiNet固定电话号码 1万个iiNet用户名、住址及电话号码 1700个调制解调器设置密码 数量不明的“休眠”邮箱地址及固话号码 目前尚不明确黑客如何获取iiNet员工的账户凭证，但近年来信息窃取程序威胁日益加剧。据近期研究显示，2021至2025年间已有超3万澳大利亚人的银行登录凭证通过此类恶意软件外泄。 该电信集团表示已联络澳大利亚网络安全中心（ACSC）、国家网络安全办公室（NOCS）、澳大利亚信号局（ASD）及澳大利亚信息专员办公室（OAIC）等相关部门。 自2022年起频发的数据泄露事件促使澳大利亚政府持续加强网络安全建设。此前该国已推出《2023-2030年网络安全战略》，旨在2030年前将澳大利亚打造为“全球网络安全领导者”；2024年更通过首部专项立法《网络安全法案》。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Noodlophile恶意软件背后的威胁行为者正在利用鱼叉式钓鱼邮件和更新的传播机制，针对位于美国、欧洲、波罗的海国家和亚太（APAC）地区的企业部署信息窃取程序。 Morphisec研究员Shmuel Uzan在分享给The Hacker News的报告中表示：“Noodlophile攻击活动已持续一年以上，目前采用伪装成版权侵权通知的高级鱼叉式钓鱼邮件，这些邮件通过侦察获取的细节（如特定Facebook页面ID和公司所有权信息）进行定制化伪装。” 网络安全供应商曾在2025年5月详细披露过Noodlophore恶意软件，揭露攻击者使用虚假人工智能（AI）工具作为诱饵传播该恶意软件。这些伪造程序被发现在Facebook等社交媒体平台上投放广告。 需要说明的是，采用版权侵权诱饵并非新手段。早在2024年11月，Check Point就曾发现一场大规模钓鱼行动，该行动以虚假的版权侵权违规为由针对个人和组织投放Rhadamanthys窃取程序。 但最新迭代的Noodlophile攻击展现出显著差异，尤其是在合法软件漏洞利用、通过Telegram进行混淆分阶段部署以及动态载荷执行方面。 整个过程始于钓鱼邮件——通过声称特定Facebook页面存在版权侵权行为来制造虚假紧迫感，诱骗员工下载并运行恶意载荷。这些邮件源自Gmail账户以规避怀疑。 邮件内含有的Dropbox链接会释放ZIP或MSI安装程序。该安装程序随后利用与海海软件（Haihaisoft）PDF阅读器相关的合法二进制文件侧载恶意DLL，最终启动混淆的Noodlophile窃取程序。在此之前，攻击者会通过运行批处理脚本利用Windows注册表建立持久化机制。 攻击链的显著特点是利用Telegram群组描述作为“死投解析器”（dead drop resolver）来获取托管窃取程序载荷的实际服务器（“paste[.]rs”），此举增加了检测和清除难度。 Uzan指出：“该方法延续了先前攻击活动的技术（例如Base64编码压缩包、滥用certutil.exe等LOLBin工具），但新增了基于Telegram的命令控制层和内存执行层，以规避基于磁盘的检测。” 身份安全风险评估 Noodlophore是一款功能完善的窃取程序，能够捕获网络浏览器数据并收集系统信息。对该窃取程序源代码的分析表明，其开发工作持续进行以扩展功能，包括实现屏幕截图捕获、键盘记录、文件窃取、进程监控、网络信息收集、文件加密和浏览器历史记录提取。 Morphisec强调：“对浏览器数据的广泛窃取表明该活动针对具有重要社交媒体足迹（尤其是Facebook等平台）的企业。这些尚未实现的功能表明窃取程序开发者正积极扩展其能力，可能将其转变为更通用且危险的威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域正面临一种新型威胁的警示——“提示词中间人攻击”（Man-in-the-Prompt），这种攻击能够危害用户与主流生成式人工智能工具的交互，包括ChatGPT、Gemini、Copilot和Claude等。最令人担忧的是，这种攻击甚至不需要复杂的技术手段，仅需一个浏览器扩展即可实施。 LayerX安全研究员Aviad Gispan解释道：“研究表明，任何浏览器扩展——即使没有特殊权限——都能访问商业和内部LLM（大语言模型）的提示词，并通过注入恶意提示词来窃取数据、外泄信息并掩盖痕迹。我们已在所有主流商业LLM上验证了这一漏洞，并为ChatGPT和Google Gemini提供了概念验证演示。” 什么是“提示词中间人攻击”？ LayerX安全专家用这个术语描述一种新型攻击向量，它利用了AI聊天机器人输入窗口这一被低估的弱点。当我们在浏览器中使用ChatGPT等工具时，输入的信息实际上位于一个简单的HTML字段中，可通过页面的DOM（文档对象模型）访问。这意味着任何能访问DOM的浏览器扩展都能读取、修改或重写我们发送给AI的请求，而用户却浑然不觉。更关键的是，这类扩展甚至不需要特殊权限。 攻击原理剖析 用户在浏览器中打开ChatGPT或其他AI工具 恶意扩展拦截即将发送的文本 修改提示词，例如添加隐藏指令（提示词注入）或从AI响应中窃取数据 用户收到看似正常的回复，但实际上数据已被窃取或会话已被入侵 该技术已被证实适用于所有主流AI工具，包括： ChatGPT（OpenAI） Gemini（Google） Copilot（Microsoft） Claude（Anthropic） DeepSeek（中国AI模型） 具体风险分析 报告指出，这种攻击可能造成严重后果，尤其对企业用户： 敏感数据窃取： 若AI处理的是机密信息（源代码、财务数据、内部报告），攻击者可通过修改提示词读取或提取这些信息。 响应操控： 注入的提示词可改变AI的行为模式。 安全控制绕过： 攻击发生在提示词发送至AI服务器之前，因此能绕过防火墙、代理和数据防泄露系统。 据LayerX统计，99%的企业用户浏览器中至少安装了一个扩展程序，这意味着风险敞口极大。 防护措施建议 个人用户应采取： 定期检查并卸载非必要的浏览器扩展。 避免安装来源不明或不可靠的扩展。 尽可能限制扩展权限。 企业用户应实施： 在公司设备上禁用或严格监控浏览器扩展。 尽可能将AI工具与敏感数据隔离。 采用运行时安全解决方案监控DOM并检测输入字段篡改。 对提示词流进行专项安全测试，模拟注入攻击。 采用新兴的“提示词签名”技术：在发送前对提示词进行数字签名以验证完整性。 实施“来源标注”技术，区分可靠内容与潜在篡改。 更广泛的问题：提示词注入 “提示词中间人攻击”属于更广泛的提示词注入威胁范畴，根据OWASP 2025年十大LLM安全风险，这是AI系统面临的最严重威胁之一。这类攻击不仅限于技术手段——即使是看似无害的外部内容（如电子邮件、链接或文档注释）也可能包含针对AI的隐藏指令。例如： 处理支持工单的企业聊天机器人可能被格式异常的请求操控。 阅读邮件的AI助手可能被注入的提示词诱导向第三方发送信息。 核心启示 LayerX报告指出了一个关键问题：AI安全不能仅局限于模型或服务器层面，还必须涵盖用户界面和浏览器环境。在AI日益融入个人和企业工作流的时代，一个简单的HTML文本字段可能成为整个系统的致命弱点。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Shadowserver基金会最新监测数据，超过870个暴露在互联网的N-able N-central实例仍运行存在两个高危漏洞的版本。这两个漏洞分别被追踪为CVE-2025-8875（不安全反序列化问题）和CVE-2025-8876（命令注入漏洞）。 N-able于8月13日发布公告称，其远程监控与管理平台（RMM）2025.3版本已修复相关漏洞。同日，美国网络安全和基础设施安全局（CISA）将漏洞列入“已知被利用漏洞”目录，要求联邦机构在8月20日前完成修补。 N-able向SecurityWeek确认，漏洞已被用于攻击“有限数量的客户”，攻击者通过利用本地部署的N-central实例实现权限提升。该公司声明：“目前尚未在云端托管环境中发现攻击证据，调查仍在持续中。”尽管未明确承认，漏洞披露时间与CISA紧急响应的时间节点暗示这些漏洞可能已被作为零日漏洞利用。 漏洞披露后，Shadowserver立即启动专项监测。该机构8月18日报告称：“8月15日扫描发现1077个存在漏洞的IP地址。”截至8月17日，全球仍有超过870个未修复实例，地域分布前五位为：美国（367台）、加拿大（92台）、荷兰（84台）、澳大利亚（74台）和英国（72台）。 N-able作为2021年从SolarWinds分拆的独立公司，其N-central平台是托管服务提供商（MSP）的核心管理工具。该平台的失陷可能导致攻击者渗透MSP客户的网络环境。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Trellix研究人员报告，一场由国家支持的间谍活动正在针对驻韩国外交使馆展开。该行动通过恶意GitHub仓库分发XenoRAT恶意软件，自2025年3月持续至今，已发起至少19次针对高价值目标的鱼叉式钓鱼攻击。 基础设施和攻击手法与朝鲜黑客组织Kimsuky（APT43）的战术高度吻合。 多阶段攻击行动 攻击分为三个阶段，3月初至7月间使用不同主题的钓鱼邮件： 初始探测阶段（3月）：最早发现的邮件针对某中欧国家使馆。 外交主题阶段（5月）：攻击者转向复杂外交诱饵。例如5月13日冒充欧盟高级官员向某西欧使馆发送标题为“5月14日欧盟代表团政治咨询会议”的虚假会议邀请。 美韩军事联盟主题阶段（6-7月）：诱饵内容涉及美韩军事合作议题。 目标主要为驻首尔的欧洲使馆，钓鱼邮件伪装成会议邀请、官方信函及活动通知，常冒用外交官名义发送。这些诱饵具有高度场景化、多语种（含韩语、英语、波斯语、阿拉伯语、法语和俄语）的特点，且多数邮件时间点与真实事件吻合以增强可信度。 统一投放手法 所有阶段均采用相同投递方式：通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件（降低邮件防护系统警报概率）。压缩包内含伪装成PDF的LNK文件，触发后会执行经过混淆的PowerShell代码，从GitHub或Dropbox获取XenoRAT有效载荷，并通过计划任务实现持久化驻留。 XenoRAT作为功能强大的木马，可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。该恶意软件通过反射机制直接加载至内存，并采用Confuser Core 1.6.0进行混淆，实现在受感染系统中的隐蔽运行。 Trellix强调此次攻击符合APT43特征并采用典型朝鲜黑客技术，支持依据包括： 使用韩国本土邮件服务 滥用GitHub作命令控制服务器 采用与Kimsuky恶意软件家族一致的独特GUID和互斥量 关联IP及域名历史记录与Kimsuky活动重叠       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软公司已启动紧急外部调查，回应以色列军事情报机构被指控利用其Azure云平台实施针对巴勒斯坦民众的大规模监控。此次行动源于《卫报》联合以色列-巴勒斯坦媒体《+972》及希伯来语媒体《Local Call》发布的调查报告，该报告揭露以色列8200部队在Azure平台定制隔离区存储加沙和约旦河西岸民众每日数百万条通话录音。 微软声明称，若Azure被用于“存储通过广泛或大规模监控加沙及约旦河西岸平民获取的通话数据文件”，将违反其服务条款。此次调查由美国科文顿·柏灵律师事务所监督，系微软就以色列军方使用其技术发起的第二次外部审查。今年五月公布的首次审查结论称“未发现以军违反服务条款或利用Azure锁定攻击加沙民众的证据”，但新报告促使微软高层质疑以色列员工在先前调查中隐瞒了关键信息。 核心争议点 数据规模：8200部队在荷兰与爱尔兰的微软数据中心存储约11500TB军事数据（相当于2亿小时音频），系统具备每小时处理百万通电话的能力。 军事应用：情报人员证实，云端存储的通话内容被用于研究并确定加沙轰炸目标，部分录音还被用作拘捕和勒索巴勒斯坦人的依据。 合作溯源：2021年8200部队指挥官约西·沙利叶与微软CEO萨提亚·纳德拉在西雅图会晤，双方就迁移70%敏感数据至Azure达成协议。微软工程师随后与以方合作开发定制安全层。 各方回应 微软：坚称高管对存储数据性质不知情，“无法获知客户云环境中的数据信息”。但泄露文件显示，公司预计该项目将带来“数亿美元收入”，并被定位为“打入国防情报市场的全球样板”。 以色列国防军：声明“微软从未参与以军数据存储或处理”，但微软内部人士反驳称军方声明“令人惊讶”，因公司与以色列国防部存在明确云存储合同。 社会压力：员工组织“抵制Azure用于种族隔离”要求微软公开所有军方合作并终止关系，抗议者指其“从巴勒斯坦苦难中牟利”。 此次调查正值微软面临双重困境：一方面，美国联邦贸易委员会正审查其云计算业务的反竞争行为；另一方面，国际刑事法院已对以色列总理发出逮捕令，指控其军事行动造成超6万名巴勒斯坦人死亡。微软承诺调查结束后将向公众公布事实结论。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 跨国科技公司联想（Lenovo）的AI聊天机器人Lena近日被发现存在严重安全漏洞，攻击者仅需单条指令即可诱导其泄露会话凭证甚至执行恶意脚本。此次事件暴露了AI助手在缺乏严格防护时的灾难性风险。 漏洞机制与危害 网络安全研究团队Cybernews发现，联想官网搭载的AI助手Lena（基于OpenAI GPT-4构建）存在跨站脚本（XSS）漏洞。攻击者通过400字符的恶意指令即可实现： 诱导机器人将回复格式转为HTML 在回复中嵌入伪造图片加载指令 触发浏览器向攻击者服务器发送包含会话cookie的请求 当用户要求转接人工客服时，该漏洞会产生连锁反应：客服人员查看对话历史将触发相同漏洞，导致其会话凭证被窃取。攻击者可借此劫持客服账号，访问客户对话记录及敏感数据。 潜在攻击场景 研究团队警告该漏洞可能引发多重风险： 系统渗透：劫持的客服账号可能成为内网跳板 恶意操作：诱导生成的代码可部署后门、执行系统命令 数据泄露：窃取客户支持系统中的用户信息 界面篡改：向客服终端注入虚假信息或钓鱼页面 安全专家Žilvinas Girėnas指出：“企业急于部署AI却疏于防护，这种差距正是攻击者的突破口。大语言模型不具备‘安全’本能概念，它们只会忠实执行指令。若无严格输入输出过滤，微小疏忽可能演变为重大安全事件。” 行业警示 Cybernews团队强调该漏洞反映的深层问题： 输入过滤缺失：未对用户指令进行危险字符过滤 输出无验证：直接信任AI生成的HTML/Javascript代码 内容加载失控：允许从任意外部源加载资源 联想在7月22日收到漏洞报告后，于8月6日确认问题并在8月18日前完成修复。2025财年数据显示，这家香港上市公司营收达568.6亿美元，净利润11亿美元，市值约180亿美元。 防护建议 研究团队提出关键防护措施： 实施输入净化机制：严格限制允许字符类型与输入长度 建立输出审查：剥离AI回复中的可执行代码 启用内容安全策略（CSP）：限制浏览器可加载资源域 避免内联JavaScript：所有脚本应置于外部文件 执行最小权限原则：限制AI系统访问权限 “必须默认所有AI输出均可能包含恶意代码，采用‘永不信任，始终验证’策略”，研究团队总结道。此次事件再次证明：当企业竞相拥抱AI技术时，安全防护必须同步进化。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客论坛近期出现一份据称包含1580万组PayPal凭证的数据集，内含登录邮箱及明文密码。发帖者宣称数据为近期获取，但PayPal官方否认存在系统入侵。 该数据发布于知名泄密论坛，广告发布者声称数据集涵盖数百万组PayPal邮箱与密码凭证。PayPal公司代表向Cybernews声明：”没有发生数据泄露——这与2022年事件相关而非新事件”。 攻击方数据泄露主张 发帖者声称数据于今年5月获取，泄露细节包含： 登录邮箱 明文密码 关联URL 变体信息 攻击方宣称数据集覆盖全球大量PayPal账户。若属实，将使用户面临严重风险：泄露凭证可直接用于账户登录，虽多数用户启用多因素认证（MFA），但凭证泄露仍会突破首道防线；关联URL更直接指向相关服务入口。攻击方提供的样本显示数据结构支持自动化撞库攻击。 发帖者承认数据含”数千组独特高强度”密码，但存在重复使用现象，这意味着实际可利用数据量可能低于其宣称规模。 争议焦点与验证 Cybernews研究团队核查后表示：样本规模过小无法验证有效性，且若数据确为5月窃取，有效信息或已被利用。值得注意的是，所谓海量数据仅标价750美元，与宣称价值严重不符。 PayPal历史上从未发生大规模系统入侵，暗示数据可能通过其他途径获取。信息窃取恶意软件（Infostealer）是可能来源——这类恶意软件获取的数据通常按URL、登录详情、密码的结构存储，与本次泄露数据结构高度吻合。 背景关联 2022年12月PayPal曾遭撞库攻击，3.5万账户信息泄露。2025年初公司因未遵守纽约州网络安全法规支付200万美元和解金。此次论坛兜售事件中，攻击方特别标注”2025年全球PayPal凭证库”字样，但数据特征显示其更可能源自受感染设备采集的登录凭证，或为恶意软件窃取的浏览器保存密码。 信息窃取恶意软件运作机制 这类恶意软件通过可疑链接、伪造程序或恶意附件渗透设备，隐蔽窃取：浏览器保存密码、自动填充信息、Cookies、信用卡号及加密钱包密钥。得手后立即将数据传输给攻击者，部分变种可自删除痕迹。当前RedLine、Raccoon等窃密工具在暗网泛滥，且已出现针对macOS和Android系统的变种。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人力资源解决方案公司Workday披露，未知威胁行为者通过高级社会工程手段成功入侵其第三方CRM平台，手法与近期Salesforce攻击浪潮如出一辙。这家总部位于旧金山的公司于周五在官网发布公告警示客户。 “我们希望告知近期针对多家大型组织（包括Workday）的社会工程攻击活动，”声明指出。攻击者通过“短信或电话联系员工，伪装成人力资源部或IT部门人员”，这种被称为语音钓鱼（vishing）的手段与黑客团伙Shiny Hunters（UNC6240）今夏针对数十家Salesforce环境的攻击策略高度相似。 Workday成立于2005年，是专注人力资源与财务管理的云服务供应商，拥有近2万名员工及全球超1.1万家企业客户，服务合同用户超7000万，2024年营收达84亿美元。Closed Door Security首席执行官威廉·赖特分析称：“与其他CRM数据窃取事件类似，攻击者诱骗员工授予平台访问权限后实施数据外泄。”泄露数据主要为“常见商业联系信息，如姓名、邮箱和电话号码”，可能被用于升级社会工程诈骗。 赖特强调此类信息泄露将“严重打击客户信任”，增加鱼叉式钓鱼与欺诈风险。他进一步指出，ShinyHunters关联攻击事件激增表明“员工需接受更复杂社会工程攻击的培训”：“当前员工已熟悉传统钓鱼邮件，但语音钓鱼因缺乏针对性培训而异常有效”。 Workday重申“无迹象表明客户租户或内部数据被访问”，并提醒客户“官方通知仅通过认证支持渠道发送，绝不会通过电话索要密码等安全信息”。CybaVerse首席技术官朱丽叶·哈德森认为攻击特征指向ShinyHunters为主谋：“培训员工识别语音钓鱼仅是基础，随着攻击者伪装技术日益精密，企业需强化内部认证协议。”她举例说明：“若客服人员与员工通话时需验证身份才能分享敏感数据，此类攻击成功率将大幅降低”。 2025年3月，Salesforce曾预警语音钓鱼攻击导致约20家企业数据外泄，黑客篡改其数据加载工具实施入侵。6月谷歌旗下Mandiant确认Shiny Hunters为该活动幕后黑手，业界推测其与Scattered Spider勒索团伙存在关联或协作。近期受害企业包括可口可乐、思科、澳航、安联人寿、阿迪达斯及路易威登母公司LVMH等。Workday表示发现入侵后已立即切断访问权限，并增设防护措施防止类似事件重演。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证（PoC）利用代码。该漏洞允许远程攻击者绕过身份验证。 该漏洞已负责任地报告给 Fortinet，现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。 安全研究员 Aviv Y 将此漏洞命名为 FortMajeure，并描述其为“一种本不应发生的静默失效”。从技术上讲，这是 FortiWeb 的 cookie 解析过程中的一个越界读取（out-of-bounds read）漏洞，允许攻击者将 Era参数设置为非预期值。 这导致服务器使用全零密钥（all-zero secret key）进行会话加密和 HMAC 签名，使得伪造身份验证 cookie 变得轻而易举。 成功利用该漏洞会导致完全的身份验证绕过，允许攻击者冒充任何活跃用户，包括管理员。 要成功利用 CVE-2025-52970，目标用户在攻击期间必须拥有活跃会话，并且攻击者必须暴力破解 cookie 中的一个小的数字字段。 这个暴力破解要求源于签名 cookie 中的一个字段，该字段由 libncfg.so中的 refresh_total_logins()函数进行验证。 该字段是一个攻击者必须猜测的未知数字，但研究员指出其范围通常不会超过 30，这使其搜索空间非常小，大约只需 30 次请求。 由于该利用利用了全零密钥（归因于 Era漏洞），每次猜测都可以通过检查伪造的 cookie 是否被接受来即时验证。 该问题影响 FortiWeb 7.0 至 7.6 版本，并已在以下版本中修复： FortiWeb 7.6.4 及更高版本 FortiWeb 7.4.8 及更高版本 FortiWeb 7.2.11 及更高版本 FortiWeb 7.0.11 及更高版本 Fortinet 在公告中表示，FortiWeb 8.0 版本不受此问题影响，因此用户无需采取任何措施。 安全公告未列出任何变通办法或缓解建议，因此升级到安全版本是唯一推荐的有效措施。 Fortinet 给出的 CVSS 严重性评分为 7.7，这可能会产生误导，因为该分数源于“高攻击复杂性”（high attack complexity），而这主要是由于暴力破解的要求。然而在实践中，暴力破解部分操作简单且快速。 研究员分享了一个 PoC 输出结果，展示了在 REST 端点上冒充管理员的情况。不过，他暂时保留了能够通过 /ws/cli/open连接到 FortiWeb CLI 的完整利用代码。 研究员 Aviv Y 承诺稍后将发布完整的漏洞利用细节，因为供应商的公告发布不久。他做出此决定是为了给系统管理员更多时间来应用修复程序。 该研究员告诉 BleepingComputer，已发布的细节展示了问题的核心，但即使对于知识渊博的攻击者来说，也不足以推断出其余部分并开发出完整的武器化利用链。他解释说，攻击者将不得不逆向工程会话中的字段格式，考虑到 Fortinet 拥有自己的数据结构，这实际上并不可行。 尽管如此，必须立即采取行动来缓解此问题，因为黑客会密切关注这些公告，并准备在完整 PoC 出现时发动攻击。 Aviv Y 告诉 BleepingComputer，他尚未决定发布漏洞利用代码的具体日期，但计划给防御者留出时间来应对风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国与五眼联盟（Five Eyes）中的另外三个国家（澳大利亚、加拿大和新西兰）以及德国和荷兰合作，共同制定了一份用于运营技术（OT）和工业控制系统（ICS）的通用资产清单和分类法指南。 这份名为《OT网络安全基础：所有者和运营商资产清单指南》（Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators）的文件于8月13日由九家政府机构发布，其中包括来自美国的四家机构。 该指南的核心是一份有组织的系统、硬件和软件清单，这些系统、硬件和软件是工业信息网络的一部分或与其连接。该文件还针对一些特定工业领域（如石油和天然气、电力以及供水和废水处理）提供了额外的资产分类法。 该文件还概述了OT所有者和运营商创建及维护资产清单的过程。该过程包括定义清单的范围和目标、识别资产、收集属性、创建分类法、管理数据以及实施资产生命周期管理。 文件中写道：“本指南概述了OT所有者和运营商如何维护、改进和利用其资产清单来保护其最重要的资产。相关步骤包括OT网络安全和风险管理、维护与可靠性、性能监控与报告、培训与意识以及持续改进。”其目标是帮助关键基础设施运营商了解其生态系统，并加强对关键资产的网络安全和保护。 该文件旨在定期更新，以跟上技术进步和应用发展的步伐。文件总结道：“本指南强调了主动规划、IT与OT团队协作的重要性，以及在可能和适当的情况下整合尖端技术以领先于潜在威胁。” 参与编写的机构包括美国国家安全局（NSA）、美国联邦调查局（FBI）、美国网络安全和基础设施安全局（CISA）、美国环境保护局（EPA）、澳大利亚信号局澳大利亚网络安全中心（ASD’s ACSC）、加拿大网络安全中心（Cyber Centre）、德国联邦信息安全办公室（BSI）、荷兰国家网络安全中心（NCSC-NL）和新西兰国家网络安全中心（NCSC-NZ）。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织EncryptHub持续利用已修复的Microsoft Windows安全漏洞（CVE-2025-26633，又名MSC EvilTwin）投放恶意负载。Trustwave SpiderLabs观察到，该组织近期攻击活动将社会工程学与Microsoft管理控制台（MMC）框架漏洞利用结合，通过恶意Microsoft控制台（.msc）文件触发感染流程。 “这些活动属于广泛持续恶意攻击浪潮的一部分，其通过结合社会工程与技术漏洞利用来绕过防御体系、控制内部环境”，Trustwave研究人员Nathaniel Morales和Nikita Kazymirskyi表示。 EncryptHub（亦被追踪为LARVA-208和Water Gamayun）是俄罗斯黑客组织，2024年中崭露头角。这个以经济利益驱动的组织行动迅速，惯用虚假职位邀约、作品集审核甚至篡改Steam游戏等手段向目标投放窃密木马。 该组织滥用CVE-2025-26633漏洞的行为早在2025年3月已被趋势科技记录，当时攻击投放了名为SilentPrism和DarkWisp的两个后门程序。最新攻击链中，攻击者伪装成IT部门人员，通过Microsoft Teams向目标发送远程连接请求，意图部署PowerShell命令执行后续负载。 攻击过程投放了两个同名MSC文件（一个良性、一个恶意），当用户启动良性文件时会触发漏洞，最终执行恶意MSC文件。该MSC文件从外部服务器获取并执行另一PowerShell脚本，该脚本会收集系统信息、建立主机持久化机制，并与EncryptHub命令与控制（C2）服务器通信以接收运行恶意负载（包括名为Fickle Stealer的窃密木马）。 “该脚本接收攻击者AES加密指令，解密后在受感染机器直接运行负载”，研究人员指出。攻击过程中还部署了代号SilentCrystal的Go语言加载器——其滥用Brave浏览器关联的合法平台“Brave支持服务”托管后续恶意软件（内含两个用于漏洞武器化的MSC文件的ZIP压缩包）。此举特殊性在于：Brave支持平台对新用户附件上传有限制，表明攻击者可能非法获取了具备上传权限的账户。 其他部署工具包括： Golang后门程序：支持客户端/服务器双模式，通过SOCKS5代理隧道协议向C2服务器发送系统元数据并建立C2基础设施 视频会议诱饵：新建虚假平台RivaTalk欺骗受害者下载MSI安装包。运行安装包将释放多个文件： 赛门铁克合法早期反恶意软件启动程序（ELAM）二进制文件 用于侧加载恶意DLL的文件（该DLL进而启动PowerShell命令下载运行另一脚本） 该脚本设计用于收集系统信息并外传至C2服务器，同时等待解密执行加密PowerShell指令，使攻击者获得系统完全控制权。恶意软件还显示虚假“系统配置”弹窗作为伪装，同时在后台生成虚假浏览器流量（通过向热门网站发送HTTP请求），以掩盖C2通信流量。 Trustwave总结：“EncryptHub威胁组织代表资源充足、适应性强的对手，其结合社会工程学、滥用可信平台及系统漏洞利用的手段，凸显了分层防御策略、持续威胁情报和用户意识培训的重要性。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部宣布从涉嫌勒索软件运营者Ianis Aleksandrovich Antropenko处查获逾280万美元加密货币。Antropenko在德克萨斯州被起诉，罪名包括计算机欺诈和洗钱，其犯罪活动关联现已停止运营的Zeppelin勒索软件（2019至2022年间活跃）。除数字资产外，当局还扣押7万美元现金及一辆豪华汽车。 “Antropenko使用Zeppelin勒索软件攻击全球范围内的个人、企业及组织（包括美国境内目标）”，司法部声明指出，“具体而言，Antropenko及其同伙会加密并窃取受害者数据，通常以解密数据、避免公开或承诺删除数据为条件勒索赎金”。 收到赎金后，Antropenko试图通过混币服务ChipMixer洗钱（该服务于2023年3月被当局查封）。其他洗钱手段包括加密货币兑现金交易及结构化存款（将大额资金拆分为小额存款以规避银行监管）。 Zeppelin勒索软件于2019年末作为VegaLocker/Buran勒索软件变种出现，通过利用MSP软件漏洞攻击医疗和IT企业。2021年沉寂后重启攻击，但后续攻击的加密方案显示出技术缺陷。至2022年11月该组织基本停止活动——当时曝光的安全研究显示，Unit221b团队自2020年初就掌握免费解密密钥可协助受害者恢复文件。2024年1月有消息称Zeppelin勒索软件源代码在某黑客论坛以500美元价格出售。 针对Antropenko的起诉表明，即使网络犯罪活动已停止多年，证据仍能揭露攻击者身份。此次280万美元赃款扣押行动，延续了美国当局近期打击勒索软件的系列举措（包括从BlackSuit勒索软件查获100万美元加密货币、从Chaos勒索软件查获240万美元比特币）。 在无法实施逮捕的案件中，查没犯罪所得对打击勒索软件至关重要——此举能有效阻止运营者及关联方利用资金重建基础设施或招募新成员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部宣布对俄罗斯加密货币交易所Garantex的继任平台Grinex实施制裁。此前Garantex因协助勒索软件团伙洗钱已被制裁过。 TRM Labs四月发布的报告显示，Grinex与Garantex既往运营存在紧密关联，但未提供其用于非法交易的证据。2025年3月初美国当局查封Garantex域名后（该平台处理了价值1亿美元的非法交易并为网络犯罪团伙洗钱），与Garantex相关的Telegram频道迅速开始推广Grinex。Garantex管理人员Aleksandr Mira Serda和Aleksej Besciokov随后被起诉，其中Besciokov在印度度假期间被捕。 Garantex早在2022年4月就因关联暗网市场及网络犯罪团伙遭美国财政部海外资产控制办公室（OFAC）制裁，涉及对象包括暗网市场Hydra、臭名昭著的Conti勒索软件即服务（RaaS）组织，以及Black Basta、LockBit、NetWalker、Ryuk和Phoenix Cryptolocker等勒索软件团伙。 “2025年3月6日美国特勤局主导执法行动后，Garantex高管立即搭建新基础设施转移客户资金至Grinex”，OFAC周四声明称，“Grinex宣传材料明确表示，该交易所是为应对Garantex遭制裁和资产冻结而成立，其运营以来已处理数十亿美元加密货币交易”。 昨日，OFAC还重启对Garantex的制裁，并新增制裁其三位联合创始人（Sergey Mendeleev、Aleksandr Mira Serda和Pavel Karavatsky）及六家俄吉两国合作企业（包括InDeFi Bank、Exved、Old Vector、A7、A71和A7 Agent），指控他们与两家受制裁加密交易平台存在关联。 美国国务院周四宣布，对提供线索促成Garantex高管逮捕或定罪者，最高奖励600万美元。财政部反恐和金融情报事务副部长John K. Hurley强调：“利用加密货币交易所洗钱和协助勒索软件攻击不仅威胁国家安全，更损害合法虚拟资产服务提供商的声誉”。 美国国务院数据披露，2019年4月至2025年3月间，Garantex处理的加密货币交易总额超960亿美元。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WarLock勒索软件攻击Colt电信公司，导致其自8月12日起托管服务、端口迁移、Colt在线平台及语音API平台持续中断。 英国电信服务提供商Colt Technology Services确认遭受网络攻击（据称为WarLock勒索软件所为），造成托管服务、端口迁移、Colt在线平台及语音API平台连续多日中断。该公司正式名称为Colt Technology Services Group Limited，是一家总部位于伦敦的跨国电信企业，1992年以“伦敦金融城电信公司”之名成立，初期专注于伦敦本地电信网络建设，后逐步将业务扩展至欧洲、亚洲及北美地区。 该公司专注于为企业提供高性能连接与通信解决方案，服务涵盖数据、语音、云服务及托管IT解决方案，重点提供可扩展、安全可靠的网络基础设施。Colt拥有并运营大型光纤网络，通过城际与长途网络连接全球多个城市和国家数千栋建筑。 Colt客户群体广泛，涵盖大型跨国企业至中小型公司，业务覆盖40多个国家，员工超6,000名，以客户服务、创新及可持续发展能力著称。 攻击者公开出售窃取数据。事件始于8月12日，中断持续至今，公司IT团队正全力控制影响并恢复受攻击系统。 Colt最初将中断描述为“技术问题”，后确认为网络攻击，已关闭系统以缓解威胁。公司强调核心网络基础设施未受影响，已上报监管部门但未透露攻击技术细节，尚未公布系统恢复时间表。 知名网络安全专家Kevin Beaumont指出，攻击者可能通过Microsoft SharePoint漏洞（CVE-2025-53770）侵入sharehelp.colt.net，并在其网络潜伏超一周。该研究员推测Colt可能试图掩盖此事。 WarLock关联人员“cnkjasdfgd”宣称对攻击负责，以20万美元价格出售100万份窃取文档，内容包括财务数据、员工信息、客户资料及内部文档。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 诈骗者伪装成Netflix招聘人员，正通过新的钓鱼攻击活动针对社交媒体和营销经理，意图劫持其公司的Facebook账户。以下是需要警惕的迹象。 关键要点： 冒充Netflix招聘人员的钓鱼邮件，以虚假高端职位引诱营销人员。 钓鱼网站诱骗受害者实时提交其Facebook商业账户凭证。 被劫持的账户可能用于投放恶意广告、勒索赎金或传播更多诈骗。 Malwarebytes的新研究指出，诈骗者向营销员工发送钓鱼邮件，冒充Netflix招聘人员，声称提供高薪职位。 “初始邮件看似来自猎头或人力资源（HR）招聘专家，”Malwarebytes恶意软件情报研究员Pieter Arntz表示。 邮件内容声称：“我希望这封邮件能恰当地传达给您。您作为远见卓识的营销领袖的声誉引起了我们的注意，我想与您分享Netflix的一个非凡机会。” 用高薪职位引诱受害者 该研究指出，这些钓鱼活动专门设计用于窃取营销经理、社交媒体运营人员（尤其是管理公司Facebook主页或商业账户者）的凭证。 钓鱼邮件中提供的职位包括“营销副总裁”“数字营销经理”和“社交媒体总监”等。 研究强调，攻击者获取Facebook商业账户权限后，可“利用公司的支付方式投放恶意广告、勒索赎金以归还账户控制权，或利用公司声誉传播更多诈骗”。 Arntz指出，诈骗者似乎对目标进行了开源情报（OSINT）收集，提供的职位级别与求职者的资历相匹配。 攻击流程 若求职者点击邮件中的链接，会被导向伪造的Netflix网站，要求创建“职业档案”，并提供关联Facebook账户的选项。 黑客设计的虚假网站混合了真实Netflix内容和钓鱼活动的内容。 “此时所有危险信号都应被触发，”Arntz称。无论求职者选择“通过Facebook继续”或“通过邮箱继续”，都会弹出新页面要求登录Facebook账户。 “第三方网站提供Facebook登录选项是常见做法，因此求职者点击该链接可以理解，”他解释道。 实时窃取凭证 受害者输入登录信息后，页面会自动弹出提示：“您输入的密码错误！请重试。” Arntz强调，这一登录页面证明攻击“非常复杂”：诈骗者通过WebSocket技术实时拦截凭证，能在“几秒内登录受害者的真实Facebook账户”，甚至可能“在需要时触发多因素认证（MFA）验证”。 此外，由于攻击实时发生，受害者无法察觉账户正被入侵。攻击者可利用这段时间“强制用户退出账户、向好友发送垃圾信息或进行其他任意操作”。 防护措施 Malwarebytes建议求职者采取以下防护步骤： 对未主动申请的职位邀约保持警惕； 仔细检查网站URL和邮件地址是否存在拼写错误或不一致； 确认浏览器地址栏的域名与预期一致，并核对网站内容真实性。 该机构还建议公众学习识别钓鱼攻击，尤其需警惕黑客日益使用AI生成的钓鱼邮件和虚假网站。此外，需确保浏览器、软件和操作系统及时更新，并启用具备网页防护功能的实时反恶意软件解决方案。 若怀疑遭受钓鱼攻击，应“立即更改密码、启用多因素认证，并通知公司的IT/安全团队”。 Malwarebytes表示，此次钓鱼活动通过CloudFlare服务托管，Netflix与CloudFlare均已获知研究结果。         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科披露其安全防火墙管理中心（FMC）软件中存在一个高危远程代码执行（RCE）漏洞（编号CVE-2025-20265，CVSS评分10.0满分）。思科已敦促客户尽快安装更新以防潜在威胁。 该漏洞存在于思科FMC软件的RADIUS子系统实现中。若被利用，未经身份验证的远程攻击者可注入由设备执行的任意shell命令。RADIUS是思科设备采用的访问服务器认证协议，通过验证用户凭证管理网络资源以实现安全访问。 思科在8月14日公告中警告：“此漏洞源于认证阶段对用户输入处理不当。攻击者可通过发送特制输入至配置的RADIUS服务器进行利用，成功后能以高权限级别执行命令。”漏洞影响已启用RADIUS认证的Cisco Secure FMC软件7.0.7和7.7.0版本。 修复方案 该公告属于思科安全公告捆绑发布的一部分，涵盖21项针对思科安全防火墙ASA、FMC和FTD软件的安全通告（共描述29个漏洞）。 思科提供免费更新解决FMC漏洞，持有服务合同的客户可通过常规渠道获取补丁 目前无直接缓解措施，但仅当启用RADIUS认证时漏洞才可被利用 建议切换至本地账户、外部LDAP认证或SAML单点登录（SSO）作为临时方案       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过3亿美元与网络犯罪及欺诈相关的加密货币，因两项分别由执法机构与私营企业主导的行动被冻结。 第一项行动源自T3打击金融犯罪小组（T3 FCU）推出的“T3+全球合作计划”。该小组由情报公司TRM Labs、波场（TRON）和泰达公司（Tether）于近一年前联合成立，近期币安作为首个官方成员加入——这些均为区块链领域的重要力量。 根据TRM Labs数据，自2024年9月启动以来，该计划已在全球冻结超2.5亿美元犯罪资产，其中包括与币安联合行动中冻结的600万美元“杀猪盘”诈骗资金。 公告称：“T3 FCU成立以来与全球执法机构紧密协作，识别并瓦解犯罪网络，已分析横跨五大洲的数百万笔交易，监控资产总量逾30亿美元。”该小组协助调查的犯罪类型涵盖洗钱、投资欺诈、勒索及恐怖主义融资等。 第二项行动由美国与加拿大联合开展，依托Chainalysis的区块链情报技术。 合作包含两个子行动：安大略省警察局主导的“阿特拉斯计划”与不列颠哥伦比亚证券委员会主导的“雪崩行动”，二者均依赖Chainalysis的链上资金追踪技术。过去六个月内，这些调查揭露了逾7430万美元欺诈损失，并冻结了其中大部分资金。 Chainalysis声明：“‘阿特拉斯计划’虽从加拿大发起，实则覆盖全球，锁定14个国家超过2000个关联欺诈受害者的加密钱包地址。通过与泰达公司直接协作，我们已将超5000万美元USDT列入黑名单，阻止诈骗者转移或变现赃款。” 两项行动通过协调调查与全球协作，在区块链层级实现犯罪资金拦截，极大限制了犯罪分子的资产流动能力。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 挪威警察安全局（PST）表示，亲俄黑客于今年4月控制了一座大坝的关键操作系统并开启泄洪阀门。此次攻击被视为俄罗斯远程入侵挪威关键基础设施的能力展示。 PST局长贝娅特·甘加斯在阿伦达尔市举行的年度国民论坛上指出，黑客意图“并非主要制造破坏，而是展示其攻击能力”。她强调：“这类行动旨在施加影响力，在民众中制造恐惧或动荡”，并称俄罗斯的威胁性正持续加剧。 据报道，黑客入侵了布雷芒格大坝的水流数字控制系统，将泄洪阀门设置为全开状态。大坝运营方耗时约四小时才发现并修正恶意设置，此时已泄洪超过720万升（190万加仑）。 挪威国家刑事调查局（Kripos）6月根据黑客活动分子在Telegram发布的视频确认了攻击事实。视频展示了大坝控制面板界面，并带有亲俄黑客组织的水印标识。此类行为通常与APT44（沙虫）等国家支持的黑客组织相关，通过夸大攻击影响制造恐慌，并对受侵机构实施公开羞辱。 这是俄罗斯势力第二次被指控攻击挪威实体，此前曾对该国政府服务发动分布式拒绝服务（DDoS）攻击。挪威情报总监尼尔斯·安德烈亚斯·斯滕瑟斯表示，尽管挪威未与俄罗斯开战，但普京总统正通过对整个西方实施“混合攻击”维持紧张态势，并称俄罗斯是挪威当前面临“最不可预测且最严峻的威胁”。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文