HackerNews

HackerNews 编译，转载请注明出处： 意大利政府周三警告称，黑客窃取了数万名酒店住客的身份证明文件并在网上非法销售。意大利数字署计算机应急响应小组（CERT-AGID）指出，黑客“mydocs”近期在暗网论坛累计兜售超过9万份证件。 这些高分辨率扫描件据称来自10家不同意大利酒店，包含旅客入住登记时提供的护照及其他官方身份证件。黑客“mydocs”自上周起在知名地下论坛分多批次销售这些数据。意大利数字署声明称：“不排除未来数日出现新增案例的可能性。此类失窃数据可能被用于欺诈活动：包括伪造证件、开设银行账户、实施社会工程攻击及数字身份盗窃，受害者或将面临严重的财务与法律风险。” 近期入住意大利酒店的旅客需警惕个人数据遭滥用迹象，例如冒名信贷申请或非法开设金融账户。尽管黑客攻击发生在今年6月至7月间，但酒店存储扫描件的年限不明，实际受影响住客总数尚难确定。涉事酒店名称未被公开。 CERT-AGID警示称，今年早些曾发生类似事件：该小组当时挫败了旨在“窃取身份证明文件（尤其包含证件与持证人面部对照自拍照）”的短信钓鱼活动。声明强调：“身份文件非法交易的增长印证了强化防护措施的紧迫性，相关机构及公民均需提升防范意识。” 鉴于“此类非法活动日益频繁”，意大利数字署指出“收集和管理身份文件的机构亟需采取严格措施保护信息安全，既要确保数据处理合规，更须防范数字系统及门户遭未授权访问”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据加拿大广播公司报道，黑客利用近期微软漏洞入侵加拿大国会下议院并窃取数据。威胁行为者通过新披露的微软安全漏洞侵入加拿大国会下议院系统。 国会下议院及加拿大网络安全机构正在调查这起重大数据泄露事件，该事件针对雇员信息。国会下议院本周一通过内部邮件向员工通报信息泄露事件，称恶意攻击者利用近期微软漏洞非法访问了用于管理计算机及移动设备的数据库。 入侵者获取的数据库包含雇员姓名、职位、办公地点、电子邮箱，以及国会配发的计算机与移动设备信息。加拿大通信安全机构已获悉此事并协助调查，目前攻击者身份尚未确认。该机构将“威胁行为者”定义为任何意图非法访问或破坏数据、设备及网络的恶意人员。 加拿大通信安全机构最新报告指出，俄罗斯和伊朗日益将加拿大作为攻击目标，但本次事件归因尚未明确。攻击发生于上周五，泄露数据可能被用于诈骗或身份冒用。 此次入侵可能与近期被利用的微软SharePoint零日漏洞（编号CVE-2025-53770）相关，但具体漏洞细节未公开。工作人员及议员被要求警惕诈骗行为，官方未对攻击者进行归因。 微软七月曾警告，该SharePoint本地服务器漏洞（CVSS评分9.8）存在未经验证数据的反序列化风险，未经授权的攻击者可利用其在网络上执行代码。越南军信安公司通过趋势科技零日计划报告此漏洞。微软确认“CVE-2025-53770漏洞的利用代码已在野出现”，正在测试完整修复补丁，建议用户立即实施缓解措施。 加拿大面临来自犯罪集团和国家行为体的网络威胁持续增长，过去两年事件激增。国家级攻击者愈发猖獗，牟利型罪犯则利用非法工具及人工智能技术。 近期针对加拿大关键基础设施的攻击频发： 2025年4月：电力公司新斯科舍电力及母公司Emera遭攻击导致IT系统中断 2025年6月：西捷航空遭攻击影响内部系统及应用程序 2023年9月：加拿大航空员工个人信息因网络攻击泄露 2023年6月：森科能源遭袭导致加拿大石油加油站支付系统瘫痪       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员在支撑现代互联网的核心协议HTTP/2中发现新型高危漏洞。攻击者可通过控制僵尸网络发送无限量请求耗尽服务器资源，发动前所未有的DDoS攻击。 黑客获得了一种轻松瘫痪网络服务器的新手段。特拉维夫大学安全团队发现重大协议缺陷，允许攻击者用无限请求淹没服务器，最终导致服务崩溃。该漏洞被命名为“MadeYouReset”，因其基于2023年发现的“Rapid Reset”漏洞——后者曾引发史上最大规模DDoS攻击。 据发现者、特拉维夫大学计算机科学硕士生盖尔·巴尔·纳胡姆称，新漏洞能绕过常规防护机制。该高危漏洞编号为CVE-2025-8671，严重性评级达7.5（满分10分）。漏洞描述指出：“攻击者通过建立数据流后立即发送畸形帧或触发流量控制错误，诱使服务器主动重置流。尽管后端仍在处理请求，协议层却判定流已关闭。这使得单个连接上可存在无限并发流，最终耗尽服务器资源。” 漏洞利用原理：HTTP/2协议内置的并发保护机制（MAX_CONCURRENT_STREAMS参数）通常限制单客户端开启100个流。但协议同时提供请求取消功能（RST_STREAM帧），被取消的请求不计入限额。攻击者曾利用“Rapid Reset”漏洞通过快速取消请求实施DDoS攻击。 纳胡姆解释：“理论上，取消流应指令服务器停止处理请求。但现实中，多数服务器实现方案仅在响应计算完成后终止发送，未能及时释放资源。”此前缓解措施通过限制客户端RST_STREAM帧发送数量来防御。 （较旧的RapidReset攻击。图片由Gal Bar Nahum提供。） “MadeYouReset”漏洞创新性地迫使服务器代劳取消操作：攻击者发送非法控制帧或精准违反协议时序，诱使服务器主动发送RST_STREAM帧。“我们能让服务器为已接收的合法请求发送重置帧。根据RFC规范，存在六类可触发此行为的操作原语，因此所有合规实现均受影响。”纳胡姆表示。这意味着攻击者无需发送RST_STREAM帧即可突破限制，在后台持续处理旧请求时开启新请求。 （新的MadeYouReset漏洞。图片由Gal Bar Nahum提供。） 多数受影响服务器面临双重资源耗尽风险。研究人员指出：“高性能服务器或可抵御小规模攻击，但由于请求发送与响应计算存在资源消耗不对称性，加之攻击者可轻易创建无限请求，绝大多数服务器将遭遇完全拒绝服务，其中大量还会触发内存崩溃。” 修复进展：目前多数HTTP/2服务器仍存在风险，Netty、Jetty和Apache Tomcat等主流系统均受影响。研究人员已提前向监管机构和供应商披露漏洞，多家厂商正发布补丁： SUSE为企业级Linux发行版更新多个上游项目修复方案 网页加速器Varnish Cache为5.x至7.7.1版本提供安全更新，建议无法升级者暂时禁用HTTP/2 CDN服务商Fastly于6月2日前完成全网修复，客户无需操作 Java网络框架Netty发布专版4.2.4.Final解决该漏洞 Apache Tomcat两周前通过代码提交修复，但红帽公司警告称尚无符合其稳定性标准的缓解方案       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国内政部宣布向全国七个警队部署10辆新型实时面部识别警车，为执法人员配备尖端技术以追捕罪犯。 英国内政部承诺，这些警车将遵循严格规则运行。英国国家物理实验室（NPL）已对车载算法的偏见问题展开独立测试，确认该算法准确无误，且未发现针对种族、年龄或性别的偏见迹象。 这些警车仅会在“特定场景且接受严格监管”时启用，同时警员必须遵守监控摄像机操作规范，确保技术使用合规。国家警察局长委员会实时面部识别技术负责人林赛·奇西克声明称：“警方有责任预防犯罪并保障公众安全。实时面部识别技术能提升警务效率，帮助警员快速精准定位嫌疑人。我们相信扩大该技术应用将持续保障全国社区安全。” 南威尔士警察局总警司蒂姆·摩根理解公众对该技术的担忧，但承诺将“以符合道德和法律的方式实施新技术”。他补充道：“关键需明确，本地区使用该技术至今从未导致错误逮捕，且随着技术认知升级，近年未出现任何误报。” 新型警车将于未来数周部署至大曼彻斯特、西约克郡、贝德福德郡、萨里与苏塞克斯、泰晤士河谷及汉普郡的警队。 民间组织“老大哥观察”对此扩张表示强烈反对。该组织临时主任丽贝卡·文森特回应称：“这种前所未有的监控技术扩张令人震惊，标志着监控国家的重大升级。实时面部识别将路人变为行走的条形码，将全民视为潜在嫌疑对象。”她强调：“此举不仅威胁隐私权，更危害民主根基。内政部必须停止推广计划，直至建立完善的立法保障。” 过去一年中，伦敦警察厅与南威尔士警局已运用该技术。数据显示，伦敦警方通过面部识别技术逮捕580名涉及强奸、家暴、持械犯罪、严重伤害及抢劫的嫌犯，另有52名登记在案的性犯罪者因违反监管条件被捕。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在暗网以低至40美元的价格出售活跃的执法及政府邮箱账户访问权限，Abnormal AI安全公司调查发现，这些遭入侵的账户涉及美国、英国、印度、巴西和德国的官员，受影响机构包括联邦调查局（FBI）等。 通过真实邮箱冒充执法人员的能力，使攻击者能实施复杂的欺诈和数据窃取计划，包括发送虚假传票及通过紧急数据请求获取敏感信息。来自“.gov”和“.police”域名的邮件更易绕过技术防御且不易引起收件人怀疑，导致恶意附件和链接的点击率显著提升。 研究人员指出，尽管执法账户在暗网售卖已持续数年，但近期策略出现明显转变：“网络犯罪分子不再单纯转售访问权，而是积极营销具体用途，例如提交欺诈性传票或绕过社交媒体与云服务商的验证流程。这种机构信任的商品化扩大了此类账户的吸引力，并降低了冒名攻击的门槛。”其补充道：“与休眠或伪造账户不同，这些都是已被攻破的活跃可信邮箱，攻击者可立即用于恶意操作。” Abnormal AI 8月14日发布的报告显示，遭入侵的执法及政府账户通常通过Telegram或Signal等加密通讯平台出售。鉴于此类邮箱的独特犯罪价值，其售价往往极低，单账户最低仅40美元。买家通常使用加密货币支付，随后获得账户完整的SMTP/POP3/IMAP凭证，从而通过任意邮件客户端完全控制收件箱，立即开始发送邮件或访问政府专属服务。 （示例列表提供了一系列美国政府电子邮件帐户供出售，包括FBI.gov地址。来源：Abnormal AI） 暗网广告常鼓动买家利用这些账户提交紧急数据请求，宣称“成功请求可获取IP地址、邮箱或电话号码等数据”。合法的紧急数据请求用于执法机构在紧急情况下（如来不及获取传票时）向企业索要信息，科技公司和电信提供商依法有义务响应此类请求。 研究人员还发现犯罪市场在TikTok和X等平台推广执法门户访问权限，用于提交额外数据检索请求。部分卖家宣称可利用窃取凭证增强开源情报（OSINT）服务权限——Shodan和Intelligence X等平台通常为认证政府用户提供高级功能。 攻击者主要通过三种简单有效的手段入侵政府邮箱： 凭证填充攻击及利用密码复用漏洞 通过信息窃取恶意软件从受感染浏览器/邮件客户端获取保存的登录凭证 针对性钓鱼与社会工程攻击       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom与施乐（Xerox）已修复其Windows客户端和FreeFlow Core中的高危安全漏洞，这些漏洞可能导致权限提升及远程代码执行。 影响Zoom Windows客户端的漏洞（CVE-2025-49457，CVSS评分9.6）涉及非可信路径搜索问题，可能引发权限提升。Zoom在周二的安全公告中表示：“特定Zoom Windows客户端的非可信路径搜索漏洞，或导致未认证攻击者通过网络访问实现权限提升。”该漏洞由Zoom内部攻防安全团队发现，影响以下产品： Zoom Workplace for Windows 6.3.10之前版本 Zoom Workplace VDI for Windows 6.3.10之前版本（6.1.16和6.2.12除外） Zoom Rooms for Windows 6.3.10之前版本 Zoom Rooms Controller for Windows 6.3.10之前版本 Zoom Meeting SDK for Windows 6.3.10之前版本 同时，施乐FreeFlow Core披露了多个漏洞，其中最严重的可导致远程代码执行。这些问题已在8.0.4版本中修复，包括： CVE-2025-8355（CVSS评分7.5）：XML外部实体注入（XXE）漏洞，可触发服务端请求伪造（SSRF） CVE-2025-8356（CVSS评分9.8）：路径遍历漏洞，可引发远程代码执行 安全公司Horizon3.ai指出：“这些漏洞利用门槛低，一旦被利用，攻击者可在受影响系统上执行任意命令、窃取敏感数据，或尝试横向渗透企业环境扩大攻击范围。”研究员吉米·塞布里解释称，CVE-2025-8355源于处理作业消息格式（JMF）的二进制文件（jmfclient.jar）未对XML外部实体进行清理或限制，导致攻击者可构造特殊请求实施SSRF攻击；而CVE-2025-8356则因XML解析程序对文件上传类JMF命令处理不当，使得攻击者能通过构造HTTP请求将Web Shell植入公开可访问路径。“虽然4004端口的服务本身无法提供执行该文件的功能，但主Web门户具备执行和传递恶意负载的全部能力。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数百万网站表面采用现代安全协议，实则仍在代理链中降级至陈旧的HTTP/1.1协议。安全研究人员警告，黑客可利用该协议固有缺陷完全接管这些网站。 当用户访问网站时，其HTTP请求需经过反向代理、负载均衡器等组件转发至目标服务器。应用安全软件商PortSwigger发现，逾2400万网站在请求路径中仍使用“古老”的HTTP/1.1协议。黑客可通过请求走私（request smuggling）手段，将恶意代码植入合法用户请求以完全控制网站。 “HTTP/1.1存在致命且极易利用的缺陷——请求间边界极度脆弱。所有请求在底层TCP/TLS套接字上直接串联，既无分隔符又存在多种长度定义方式。攻击者可借此制造请求起始位置的严重歧义。”最新研究报告指出。更令人担忧的是，多数主流云服务商内部仍默认使用HTTP/1.1。即便Google或Cloudflare的管理员也需手动配置才能实现全链路HTTP/2。Nginx、Akamai、CloudFront和Fastly等软件尚未支持HTTP/2上游连接。 PortSwigger研究总监詹姆斯·凯特尔指出，该漏洞波及多数成熟且注重安全的机构。他在黑帽大会和DEF CON披露的协议缺陷已为其赢得超35万美元漏洞赏金。“若想建立安全网络，HTTP/1.1必须淘汰，”其强调，“单个恶意请求即可导致网站混淆响应归属，引发大规模敏感数据泄露，通常表现为用户被随机登录至他人账户。” 攻击者还可通过恶意JavaScript污染网站缓存，持久控制用户访问的每个页面，实现流量劫持、密码窃取或信用卡信息盗用等操作。研究人员曾两度利用请求走私技术攻破PayPal，窃取用户明文密码，仅此漏洞就获3.9万美元赏金。 攻击原理剖析 凯特尔解释，反向代理通常将不同用户请求通过共享连接池路由至后端服务器。只要攻击者在服务器链中发现“最微小的解析逻辑偏差”，即可引发去同步化（desync），将恶意载荷附加至其他用户请求中。“这导致攻击者请求与合法用户请求相互混杂。” 请求分隔缺陷是该协议的“致命伤”。HTTP/1.1作为古老的文本协议，具有宽松规范与数千种实现方式，寻找解析差异点并非难事。“此类攻击利用两个服务器（通常为前端代理与后端服务器）对同一请求的解析差异，使攻击者能将恶意请求’走私’至后端服务器，进而危害其他应用用户。” 例如，HTTP请求可同时包含定义字节总量的”Content-Length”标头，以及指示分块传输的“Transfer-Encoding: chunked”标头。不同服务器对同一请求的解析结果可能截然不同。攻击者通过构造含矛盾标头的畸形请求，使一台服务器认为请求已结束，而另一台仍等待更多数据，从而将恶意代码预置到合法用户请求前。 凯特尔认为该协议缺陷无法简单修补：“时间证明我们无法通过补丁拯救HTTP/1.1——更多漏洞正在路上。”虽然无代理环节时HTTP/1.1仍可安全使用，但现实场景极少满足此条件。其敦促企业升级至HTTP/2上游连接，该协议通过明确请求边界使去同步漏洞大幅减少。若无法升级，管理员需严格配置服务器以验证并拒绝歧义请求，同时定期扫描漏洞。研究人员已开源自动化检测工具HTTP Request Smuggler v3.0，可探测多种高级去同步攻击技术。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软2025年8月补丁星期二安全更新修复了旗下产品逾百个安全漏洞。本月修补的漏洞均未发现野外利用迹象，但权限提升漏洞CVE-2025-53779已被公开披露。 12个漏洞被标记为“严重”级别，其中多数实际CVSS评分为高危。例外的是Windows GDI+组件远程代码执行漏洞CVE-2025-53766，其CVSS评分达9.8。趋势科技零日计划（ZDI）分析指出，该漏洞可通过诱使用户访问恶意网站或打开恶意文档触发。“最坏情况是攻击者通过广告网络投放恶意内容。广告拦截器不仅过滤骚扰内容，还能防范此类攻击——虽属罕见，但确有先例。”ZDI研究员达斯汀·查尔兹解释，“鉴于GDI+涉及众多组件（且用户易误点内容），建议尽快测试部署补丁。” 另一CVSS满分漏洞CVE-2025-50165影响Windows图形组件，同样允许远程代码执行，需用户查看特制图片才能触发。微软将其评定为“重要”级别。其他高危漏洞包括可通过预览窗格触发的Office远程代码执行漏洞（CVE-2025-53740、CVE-2025-53731），以及SharePoint远程代码执行漏洞CVE-2025-49712——ZDI指出该漏洞与近期ToolShell攻击链利用的漏洞高度相似。 微软标记为“严重”的漏洞还包含：Hyper-V的多个漏洞（信息泄露、欺骗攻击及远程代码执行）、Azure Stack Hub信息泄露漏洞。微软评估这些漏洞“利用可能性较低”或“不太可能被利用”，预计不会出现野外攻击。 Adobe同期发布补丁星期二更新，修复涉及十余款产品的近70个CVE漏洞。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本月上旬，针对Fortinet SSL VPN的暴力破解攻击出现大规模激增，随后攻击目标转向FortiManager，这种有预谋的转向在历史上往往预示着新漏洞即将被披露。 威胁监测平台GreyNoise检测到此次攻击活动呈现两波高峰：8月3日的攻击针对FortiOS SSL VPN设备，而8月5日的第二波攻击则转向FortiManager服务，且具有不同的TCP流量特征。该平台指出，此类针对性扫描与暴力破解行为在80%的情况下会先于新安全漏洞曝光出现。 “最新研究表明，此类活动激增通常预示着同一厂商的新漏洞即将披露——其中80%会在六周内公开，”GreyNoise警告称，“事实上，监测数据明确显示，当前攻击流量特征与未来Fortinet产品漏洞披露存在显著关联。”因此，防御者不应将这些活动激增视为对已修复漏洞的无效攻击尝试，而应将其视为零日漏洞披露的前兆，并立即强化安全措施予以拦截。 攻击活动时间线 8月3日：GreyNoise监测到针对Fortinet SSL VPN的暴力破解尝试激增，该活动与早前持续攻击存在关联。通过JA4+指纹分析（一种加密流量识别分类技术），研究人员将此次攻击与6月的活动相关联——当时攻击源自住宅ISP提供商Pilot Fiber公司IP段内的一台FortiGate设备。“这种关联虽不能确认攻击来源，但表明攻击工具或网络环境可能存在复用。”GreyNoise在公告中说明。 8月5日：同一攻击者发起新一波暴力破解活动，目标从FortiOS SSL VPN端点转向FortiManager的FGFM服务。“8月3日的流量针对FortiOS配置文件，而8月5日起携带特定TCP与客户端签名（元特征）的流量不再攻击FortiOS，转而持续针对我们的FortiManager系统，”研究人员解释道。这一转变表明攻击者可能使用相同工具或基础设施，从VPN登录破解转向FortiManager访问破解。 恶意IP地址清单 以下参与攻击的IP地址应加入拦截名单： 31.206.51.194 23.120.100.230 96.67.212.83 104.129.137.162 118.97.151.34 180.254.147.16 20.207.197.237 180.254.155.227 185.77.225.174 45.227.254.113 防御建议 GreyNoise强调该恶意活动正持续进化，其攻击源集群极可能进行自适应测试。这类行为不同于通常范围更广、频率有限的研究性扫描，因其涉及凭证暴力破解，已构成明确的入侵企图。防御方需采取以下措施： 立即拦截上述IP地址 强化Fortinet设备登录防护 严格限制外部访问权限，仅允许受信IP范围及VPN接入       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室向居民发出警告：因遭受网络攻击，其电子邮件和电话线路已陷入瘫痪。该机构于周一下午发布声明称正在调查事件原因并努力恢复服务。截至周三上午，其官方网站仍无法访问。 总检察长戴夫·桑迪在社交媒体表示：“这是非常令人沮丧的状况，但所有人都在全力以赴。我感谢信息技术团队的专业精神和奉献精神，他们正全天候工作以解决问题。通过与执法伙伴协作，我们将竭力恢复系统。无论遇到何种阻碍，保护宾夕法尼亚州民众的工作不会停止。”声明强调，尽管遭受攻击，检察官们仍在持续推进案件处理。桑迪于去年秋季胜选后，今年1月正式就任该职。 此次警告发布前一个月，知名网络安全专家凯文·博蒙特公开表示，他在全网扫描暴露的Citrix NetScaler设备时，发现两台与宾州总检察长办公室关联的设备存在CVE-2025-5777漏洞（俗称CitrixBleed 2）及其他相关缺陷。Citrix NetScaler设备用于保障网站与应用的高效访问，其网关功能支持员工远程接入企业内网。 自CVE-2025-5777及编号为CVE-2025-5349、CVE-2025-6543的漏洞上月曝光以来，相关设备已遭大规模攻击。博蒙特提供的证据显示，这两台暴露在互联网的漏洞设备后被移出网络。总检察长办公室虽向媒体提供了临时联系邮箱，但未回应关于攻击是否通过NetScaler设备发起的质询。博蒙特指出，涉事设备在过去一周半内陆续下线。 本周一，荷兰国家网络安全中心发布紧急警报，称黑客仍在持续针对Citrix NetScaler产品发起攻击，并已通过相关漏洞成功入侵荷兰多家关键基础设施机构。两周前，荷兰官员证实该国公共检察署（职能相当于美国司法部）受此波攻击影响，加勒比地区多个仍与荷兰关联的岛国法院系统也遭波及。 美国司法系统持续面临多重网络威胁。据《纽约时报》周二报道，俄罗斯被怀疑是联邦法院文件系统遭入侵事件的幕后黑手。今年早些时候，弗吉尼亚州总检察长办公室二月遭遇未公开细节的网络攻击；克利夫兰市法院因网络安全事件关闭数日；华盛顿州法院系统亦于2024年11月报告数据泄露。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去年因供应链攻击被植入Linux发行版的XZ Utils高危后门，至今仍在DockerHub上潜伏。数十个公开镜像携带此漏洞，并污染了基于它们构建的容器。 Binarly研究团队的安全研究人员警告称，他们在DockerHub上发现超过35个仍公开的基础镜像携带臭名昭著的XZ Utils后门——该漏洞被评为最高危险等级（CVSS 10.0）。攻击者可利用此漏洞获取远程管理员权限，完全控制系统。 许多Linux网络项目可通过单条Docker命令部署，仅需单个YAML配置文件。这些在GitHub共享的模板若指定了含漏洞的操作系统版本，将导致整个项目被攻陷。研究人员强调：“任何基于受感染发行版构建的Docker镜像均会被污染。” 报告指出：“我们发现部分受感染镜像仍在Docker Hub公开。更令人担忧的是，其他镜像基于这些被感染的基础镜像构建，形成传递性感染。”已识别的12个基础镜像包含2024年3月发布的各类Debian版本（含实验版、不稳定版及未标记版本）。研究人员尚未检测基于这些漏洞系统的二级DockerHub镜像。 报告称：“目前尚不清楚Fedora、OpenSUSE等受XZ Utils后门影响的发行版所构建的Docker镜像情况。”许多二级、三级镜像可能被用于个人应用乃至企业环境，这些场景通常优先稳定性而非最新系统版本。 尽管漏洞已公开披露，含XZ Utils后门的Docker镜像仍将存留于DockerHub。维护者在GitHub解释：“类似20240311的旧版镜像不再支持。它们永远不会更新，仅作为历史存档存在。用户应选用更新的镜像。” XZ Utils后门于去年曝光，引发网络安全界震动。该后门由开发者Jia Tan植入，其通过两年持续贡献在项目中建立信誉。多个主流Linux发行版分发了恶意软件包，使其成为史上最大软件供应链攻击之一。事件促使网络安全机构发布公告，Linux供应商迅速将受影响软件包回退至旧版。然而，此时损害已然造成。 Binarly研究报告总结：“我们的发现印证了即使短暂存在的后门构建版本，也可能在容器注册表中长期未被察觉并持续存在。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 墨西哥国有电力公司CFE（为全国99%以上人口供电）的内部数据已在互联网上泄露超过三年。 Cybernews研究人员发现一个公开的Kibana实例，其中存储了CFE的网络威胁警报日志。该服务器由墨西哥网络安全公司Teliko管理，但数据归属权属于CFE。 泄露数据类型 员工设备的DNS查询记录 员工访问的网址 深度数据包检测（DPI）日志 反恶意软件及网络监控工具的警报 该实例自2021年11月起被收录索引，包含由托管检测响应（MDR）解决方案AIsaac生成的内部网络数据。其中详细列出了易受攻击的设备、服务器及服务。研究人员指出：“这些日志如同攻击者的藏宝图——可精准定位CFE防御薄弱环节，设计出完美规避检测的攻击方案。”一旦攻破内网设备，攻击者即可横向移动，“最终可能操控工业控制系统，修改参数引发设备物理损坏或关键系统瘫痪”。 除运行风险外，泄露日志还构成隐私侵犯。员工网络活动的详细记录可能暴露内部工具、域名使用模式，使攻击者能仿冒合法服务。通过注册相似域名并发送钓鱼邮件，攻击者可轻易发动针对性欺诈。 Cybernews在五个月内尝试通过29封邮件联系涉事方均未获回应。目前该Kibana实例已无法访问（连接即超时崩溃），但研究人员警告：若管理方未彻底解决问题，600GB敏感日志仍可能再度公开泄露。 关键基础设施面临严峻威胁 网络安全对关键系统运营机构至关重要，成功攻击可导致城市瘫痪、生命威胁、经济崩溃及声誉毁灭。研究人员强调：“此类事件揭示了关键基础设施遭攻击激增的根源——过度依赖未经严格审查的第三方服务商。”工业控制系统（ICS）普遍存在协议陈旧、缺乏身份验证及加密等安全缺陷，形成“漏洞交织的网络，使攻击者几乎无需技术阻碍即可长驱直入”。 全球关键基础设施正成为黑客重点目标： 2021年DarkSide勒索团伙利用密码泄露及未修复漏洞，迫使美国最大燃油管道商Colonial Pipeline停产5天，引发拜登签署网络安全行政令 伊朗黑客组织CyberAv3ngers使用定制恶意软件入侵美以爱三国水处理、废水及油气设施 俄罗斯黑客组织Anonymous Sudan多次攻击以色列工业控制系统及卫星网络       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 欺诈性“AI驱动”交易平台激增，利用深度伪造技术和虚假网络内容欺骗投资者。 根据Group-IB的最新调查，诈骗分子正在部署逼真的虚假视频、伪造评论和定向在线广告，诱骗受害者参与欺诈性投资计划。 这些活动的核心是AI生成的深度伪造视频，视频中出现了荷兰政客海尔特·维尔德斯（Geert Wilders）等公众人物，为虚构的交易平台背书。 这些视频模仿真实的新闻广播，结合合成语音克隆和刻意营造的紧迫感，制造出一种排他性氛围。受害者被引导至包含虚假专家访谈、篡改图表和溢美之词的伪造新闻文章，所有设计都是为了促使用户注册。 用户注册后，会被引导至要求小额初始保证金（通常为100-250美元）的平台，以避免引起怀疑。这些网站常以账户验证为名，索取敏感个人信息，包括身份证扫描件、住址证明甚至信用卡照片。 多频道分发 研究人员发现了一个由YouTube频道、社交媒体账户以及Medium和Blogspot等平台上的博客文章组成的网络，用于推广这些骗局。这些操作使用本地化内容脚本，以匹配用户的国家和语言，从而增加可信度。 活动专门针对包括印度、英国、德国、法国、西班牙、比利时、墨西哥、加拿大、澳大利亚、捷克共和国、阿根廷、日本和土耳其在内的国家用户。 已识别的关键策略包括： AI生成的冒充公众人物的视频 托管在免费博客平台上的虚假评论网站 通过随意、相关的帖子推广欺诈平台的社交媒体页面 通过IP和语言检测实现诈骗网站的本地化 据报道，这些平台无法从美国和以色列的IP地址访问，表明其重点在其他地区。 协同基础设施 利用网络图谱分析，Group-IB将少数注册者与数十个诈骗域名联系起来，其中许多域名共享相同的注册商和技术细节。部分域名与其他欺诈性交易网站有关联，包括AccuTraderOnline和10kAPPA。 报告警告称，这些骗局结合了专业设计、心理压力和社会认同机制，以削弱受害者的怀疑态度。 “该骗局利用了社会认同效应、心理压力和专业设计，非常有效。”研究人员总结道。 调查结果强调需要保持警惕，尤其是在遇到与AI、深度伪造背书或未经核实的在线评论相关的投资邀约时。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一种名为Charon的新型勒索软件家族正被用于攻击中东公共部门和航空业。据趋势科技分析，攻击者展现出与高级持续性威胁（APT）组织相似的技术特征，包括DLL侧载、进程注入以及逃避端点检测与响应（EDR）软件的能力。 此次攻击使用的DLL侧载技术与涉中APT组织Earth Baxia的历史手法高度相似——该组织曾利用OSGeo GeoServer GeoTools漏洞（现已修复）针对台湾及亚太地区政府目标投递后门程序EAGLEDOOR。具体攻击链以合法浏览器文件Edge.exe（原名cookie_exporter.exe）为入口，通过侧载恶意msedge.dll（代号SWORDLDR）最终部署Charon勒索软件有效载荷。 与其他勒索软件类似，Charon具备破坏性功能：终止安全相关服务及运行进程，删除卷影副本和备份以降低恢复可能性；采用多线程与部分加密技术提升文件锁定效率；并内置基于开源Dark-Kill项目的驱动程序，可通过“自带易受攻击驱动程序（BYOVD）”攻击禁用EDR方案——但该功能在此次攻击中未被触发，表明其可能处于开发阶段。 区别于传统勒索活动，攻击者使用定制化勒索信明确提及受害组织名称，证实此为针对性攻击。目前初始入侵途径尚未明确。尽管存在技术重叠（特别是通过相同二进制文件配合DLL部署加密shellcode的工具链），趋势科技强调三种可能：Earth Baxia直接参与、蓄意模仿的假旗行动，或独立开发类似技术的新威胁组织。由于缺乏共享基础设施或一致攻击模式等确凿证据，当前仅能认定此次攻击与Earth Baxia存在“有限但显著的技术趋同”。 该事件印证勒索软件运营商正积极采用APT级技术，将复杂规避手段与勒索加密的直接业务影响结合，形成更高风险。研究人员警告：“这种APT战术与勒索软件操作的融合，通过结合精密规避技术和即时业务中断的加密手段，显著提升了组织风险”。同期曝光的Interlock勒索软件活动同样采用多阶段攻击链（涉及PowerShell脚本、PHP/NodeJS/C后门），凸显监测可疑进程活动的重要性。 行业现状数据显示：过去12个月内57%的组织遭遇过勒索软件攻击，其中71%的邮件系统被入侵组织最终遭勒索；32%的受害者支付赎金，但仅41%成功恢复全部数据。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Profero的研究人员成功破解了DarkBit勒索软件的加密机制，使受害者无需支付赎金即可免费恢复文件。不过该公司目前尚未正式发布解密工具。 以色列国家网络管理局（INCD）确认DarkBit勒索软件行动与伊朗背景的APT组织”MuddyWater”存在关联。2023年，Profero曾协助处理一起针对VMware ESXi服务器的DarkBit攻击事件，该事件疑似是对伊朗无人机袭击的报复行为。攻击者未进行赎金谈判，而是专注于业务中断和舆论施压——他们伪装成亲伊朗黑客组织，不仅索要80枚比特币，还在勒索信中添加反以色列政治内容。 加密缺陷与技术突破 研究人员发现该勒索软件采用AES-128-CBC加密时，其密钥生成算法存在严重缺陷。通过结合文件时间戳和已知VMDK文件头特征，团队将密钥空间缩小至数十亿种可能，为暴力破解创造了条件。在专用测试工具辅助下，首个VMDK文件于高性能计算（HPC）环境中耗时24小时完成破解。但该方法存在局限性：单个文件解密需1天时间，且HPC环境扩展能力受限。 创新性解决方案 进一步分析揭示：勒索软件仅加密了文件部分内容。研究人员利用VMDK文件”稀疏存储”特性（即磁盘映像中实际存储数据的区块占比极低），直接提取未加密区块，成功恢复90%以上关键文件。“统计显示，VMDK文件系统内大部分文件实际未被加密，我们只需遍历文件系统即可直接获取所需数据”，研究人员在报告中指出。该方法绕过了解密流程，大幅提升恢复效率。 当前进展与建议 虽然技术验证已成功，但Profero强调需进一步优化解密工具的可扩展性。该公司建议受影响机构：暂勿重建受损系统，保留加密文件副本以待后续解密工具发布；同时可通过专业数据恢复手段尝试提取未加密区块。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球人力资源巨头万宝盛华（Manpower）正通知近14.5万名用户，其个人信息在2024年12月的系统入侵事件中被盗。该公司与Experis、Talent Solutions同属万宝盛华集团（ManpowerGroup），该集团在全球拥有逾2700个办事处、60万名员工，服务超过10万家客户，2024年营收达179亿美元。 根据缅因州总检察长办公室收到的数据泄露报告，万宝盛华确认黑客在2024年12月29日至2025年1月12日期间非法访问其网络，可能导致包含个人信息的文件被盗。公司于1月20日调查密歇根州兰辛办事处IT系统中断时发现异常，并于7月28日最终确认受影响用户名单并发出通知。 事件发生后，万宝盛华已强化IT安全防护体系，并与美国联邦调查局（FBI）合作追查攻击者。受影响用户可获得由Equifax提供的免费信用监控及身份盗窃保护服务。 尽管公司未明确归因攻击者，但勒索软件组织RansomHub早在1月便宣称对此次攻击负责。该组织声称窃取约500GB数据，内容涵盖客户数据库（含护照扫描件、身份证、社保号、地址及测试结果）、多年企业信函、财务报表、人力资源分析数据以及机密合同与保密协议等。值得注意的是，RansomHub的暗网泄露站点目前已移除万宝盛华条目，暗示公司可能已支付赎金以避免数据公开。 RansomHub（前身为Cyclops和Knight）自2024年2月活跃以来，已攻击包括哈里伯顿、来德爱连锁药店、川崎欧洲分部、佳士得拍卖行、Frontier Communications电信公司、非营利组织Planned Parenthood及博洛尼亚足球俱乐部在内的多个知名组织。该组织还曾泄露美国医疗保健巨头Change Healthcare的数据（影响超1.9亿人），并被FBI证实截至2024年8月已入侵美国200余家关键基础设施机构。 截至发稿，万宝盛华发言人尚未就事件细节置评。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰国家网络安全中心（NCSC-NL）警告称，攻击者正利用近期曝光的Citrix NetScaler ADC高危漏洞CVE-2025-6543入侵该国组织。该漏洞CVSS评分为9.2分，当设备配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，可引发非预期控制流及拒绝服务（DoS）。 监测显示，荷兰多家关键机构已遭利用此漏洞的攻击。调查发现攻击者自2025年5月初（即漏洞公开前近两个月）就已将其作为零日漏洞利用，并通过清除痕迹掩盖入侵行为。7月16日发现的攻击活动中，黑客在Citrix设备上植入恶意WebShell以获取远程控制权限。 漏洞修复与缓解措施 Citrix已于6月下旬发布安全更新，受影响版本包括： NetScaler ADC与Gateway 14.1早于14.1-47.46的版本 13.1早于13.1-59.19的版本 13.1-FIPS及NDcPP早于13.1-37.236-FIPS的版本 升级后需执行以下命令终止会话： kill icaconnection -all kill pcoipConnection -all kill aaa session -all kill rdp connection -all clear lb persistentSessions 威胁关联与响应建议 NCSC-NL判定攻击者具备高度技术能力。该漏洞与另一高危漏洞CVE-2025-5777（CVSS 9.3分）均被列入美国CISA已知漏洞目录。机构建议： 立即扫描NetScaler系统目录中非常规.php扩展名文件 核查新增账户权限，重点关注特权提升异常 通过NCSC-NL提供的脚本检测入侵痕迹 荷兰当局强调，未及时修补的系统可能面临持续勒索软件攻击及数据泄露风险，特别是医疗、金融等关键基础设施领域。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大票务及在线图书零售商Yes24表示，在勒索攻击导致其网站和移动应用中断数小时后，服务已恢复。这是该公司不到两个月内第二次遭遇此类事件。 此次中断始于当地时间凌晨4点30分左右，导致用户无法预订演唱会门票、访问电子书及使用社区论坛。Yes24称已将系统离线以防止进一步破坏，并依靠备份数据在7小时内恢复运营。公司未透露攻击者信息，也未说明是否收到赎金要求。 中断引发韩国乐队DAY6粉丝的恐慌，该乐队“The Decade”巡演门票原定于当晚8点开售。作为演唱会独家票务合作伙伴，Yes24在服务恢复后如期重启售票。 今年初夏该公司已遭勒索软件重创。6月的攻击曾迫使Yes24服务中断约五天，影响了朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I等高人气演出的票务销售，并导致多场韩国偶像预售及粉丝活动延期。韩国互联网振兴院（KISA）当时指出，该公司缺乏异地备份系统导致恢复进度缓慢。 6月事件后，Yes24承诺将“彻查安全体系”、聘请外部顾问团队、强化网络安全预算并全面升级系统。但当地媒体和用户本周批评其管理层未能阻止二次攻击，且在最新事件中提供的信息更新有限。 Yes24早有安全前科。据当地媒体报道，该公司2016年及2020年曾因违反韩国《个人信息保护法》遭处罚，2022年更有青少年黑客从其系统中窃取143万条电子书解密密钥。 票务平台因存储海量个人数据、处理高额交易，且面临快速恢复运营以避免影响重大活动的压力，成为网络犯罪分子的理想目标。在美国，StubHub和Ticketmaster等平台曾遭类似攻击，包括泰勒·斯威夫特“时代巡演”售票期间；法国巴黎圣日耳曼足球俱乐部的票务系统去年亦遭遇攻击。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特斯拉正大力宣传其Optimus机器人，但诈骗分子借机发起复杂骗局，瞄准早期采用者的资金。黑客通过广告活动在虚假预购网站上收集信用卡信息。请注意：特斯拉尚未开放任何官方预购渠道。 在谷歌搜索“Optimus Tesla preorder”，搜索结果顶部的赞助链接会导向恶意网站——SANS.edu研究院长约翰内斯·B·乌尔里希博士发现并警告了该骗局。黑客已建立多个仿冒网站，包括 offers-tesla[.]com、exclusive-tesla[.]com、prelaunch-tesla[.]com 等，这些网站复制了特斯拉官网的旧版设计。 这些网站向潜在受害者索取250美元不可退还的定金，并宣称可为Optimus机器人提供1,180美元的最终价格折扣。该定金金额与特斯拉过往预购活动的要求相似。此外，诈骗网站还接受其他特斯拉产品的“预购”。 乌尔里希指出，特斯拉曾在媒体活动中展示过多个升级版机器人，但除今年4月愚人节玩笑外，该公司从未开放官方预购。为探究诈骗手法，该安全研究员尝试用测试信用卡号在虚假网站下单：“订单被接受了，但信用卡未被扣款（暂未扣款？）。随后我被重定向至 auth.cp-tesla[.]com 创建账户，但未收到邮件确认，无法判断是垃圾邮件过滤还是故意设置失败。” 而特斯拉官方认证域名为 auth.tesla.com。 研究员认为诈骗分子难以建立真实的信用卡支付系统，其真实目的是收集支付卡数据，后续用于欺诈交易或在非法黑市出售。这些虚假网站通常仅活跃数日即被关闭。 诈骗分子在谷歌搜索上持续发起恶意广告活动，伪装成品牌官方推广诱导用户访问恶意网站。过去一年，黑客已仿冒Facebook、亚马逊、微软及Slack、Notion、密码管理器KeePass等工具软件，甚至伪装谷歌本身实施诈骗。攻击者还通过窃取谷歌广告账号扩大虚假广告传播范围。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据荷兰当局通报，威胁行为者通过非法入侵第三方实验室窃取了超过48.5万名宫颈癌筛查参与者的数据。该事件发生于鹿特丹附近赖斯韦克的临床诊断实验室NMDL（隶属Eurofins Scientific集团），入侵时间为7月3日至6日。但据荷兰人群筛查协会（BDO）昨日声明，该实验室直至8月6日才向当局报告事件。 被盗数据包含参与者姓名、地址、出生日期、公民服务号（BSN）、检测结果及医疗提供商名称，部分受害者邮箱与电话也遭泄露。BDO已暂停该实验室服务并启动独立安全审查，筛查项目将转由其他实验室处理样本。协会警告泄露数据可能被用于后续欺诈，受影响民众正陆续收到官方通知。 “我们对此深感震惊，理解参与者的不安情绪。宫颈癌筛查本身已令人焦虑，如今还面临个人数据泄露风险。”BDO主席埃尔扎·登赫托格致歉时表示。当地媒体报道称黑客可能窃取近三年所有实验室患者的医疗数据，总量高达300GB，远超最初预估。 安全公司Forescout副总裁里克·弗格森指出，该事件暴露了供应链薄弱环节的连锁风险：“攻击者专攻未被监管的盲区。若无法看见资产，就无从实施防护与管控。这并非加快补丁或增购安防产品能解决，关键在于建立基于全面可见性与控制力的安全体系。” 关联背景补充 涉事实验室母公司Eurofins Scientific 近一个月内三次遭勒索组织NOVA攻击，其医疗业务系统安全性受质疑 荷兰数据泄露报告规 要求企业在72小时内通报，延迟通报可能面临高额罚款（参考Booking.com因延迟22天通报被罚47.5万欧元案例）       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文