HackerNews

HackerNews 编译，转载请注明出处： 据攻击者声称，俄罗斯军事技术公司NPO Mars的系统被窃取了数百GB敏感数据，其中可能包含国防相关信息。Cybernews研究团队调查的数据样本显示，部分文件更新至今年3月。 攻击者在知名数据泄露论坛发帖称，已从俄罗斯主要国防承包商NPO Mars获取250GB数据，其中包括俄海军使用的软件。 NPO Mars是“联邦科研生产中心”，为俄军提供自动化控制系统、舰艇作战信息与指挥系统、装甲运兵车、坦克等装备。2022年2月俄乌冲突爆发后，该公司遭美国、欧盟、加拿大、日本等多国制裁。 Cybernews团队分析攻击者提供的部分数据样本发现： 部分PDF扫描件来自2017-2018年； 多数技术手册为2024年更新； 部分文件显示2025年3月更新或创建。 但样本外数据的时效性尚不明确。 研究团队指出：“网络空间已成为关键战场，黑客行动主义者和国家支持的黑客会竭尽所能打击对手。此类泄露可能暴露敏感军事信息，而攻击可能始于针对政客、技术支持人员或普通员工的钓鱼行动。” 泄露的俄军数据详情： 数据样本包含大量PDF和技术手册，涉及NPO Mars为俄军开发的系统，部分文件名暗示为协议、证书等文件，其他文件使用军事技术术语命名。 攻击者制作宣传视频，声称获取俄海军多个系统权限，其中包括： SIGMA系统：据俄军事媒体TopWar报道，SIGMA-20385是负责“机动控制、反潜防御（ASD）与导弹武器管理、通信”的作战信息与指挥系统。 TRASSA系统：NPO Mars CEO Vladimir Maklaev 2016年向俄新社表示，SIGMA和TRASSA为俄海军巡逻舰、导弹舰、护卫舰、大型登陆舰和核动力导弹巡洋舰开发。 DIEZ系统：扫雷舰自动化控制系统。攻击者视频显示其试图修改俄海军军官接收的扫雷舰速度与坐标数据，并警告：“那艘不友好的潜艇可能不像系统显示的那样慢，甚至可能比你想象的更近。” 攻击者还声称访问了其他俄海军系统，但未提供证据。 NPO Mars成立于1961年（前身为莫斯科海洋研究所），现有员工超1100人。本文发布前已联系该公司置评，收到回复后将更新内容。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 哥伦比亚大学官员周二表示，一名带有“政治议程”的黑客近期入侵该校IT系统，并“针对性”窃取了学生数据。 目前尚不清楚黑客在系统内潜伏了多长时间，但哥伦比亚大学发言人称自6月24日起未再检测到威胁活动。上周，该校表示正在调查一起网络攻击事件，导致大学网站及其他系统间歇性瘫痪。 “我们的调查显示，这些黑客技术高超，在窃取文件时目标非常明确，”该校官员表示。“他们入侵系统并窃取学生数据，显然是为了推进其政治议程。” 该官员称，大学未收到勒索要求，也未发现“任何勒索软件的迹象”。 据报道，黑客向彭博社提供了1.6GB的数据，声称这些数据是从哥伦比亚大学窃取的，其中包括可追溯数十年的250万份申请信息。 彭博社审查的被盗数据据称包含申请人是否被拒或录取、国籍状态、大学ID号码以及他们申请的具体学术项目等详细信息。 尽管黑客的说法尚未得到独立核实，但彭博社将黑客提供的数据与8名2019年至2024年间申请哥伦比亚大学的申请人信息进行了比对，发现两者相符。 据报道，该威胁行为者告诉彭博社，他正在寻找证据，以证明哥伦比亚大学是否在招生中继续使用平权行动，尽管最高法院在2023年已禁止该做法。 黑客告诉彭博社，他总共窃取了460GB的数据——在花费两个月时间针对并渗透大学服务器中权限越来越高的层级后——并称他获取了有关财务援助方案、员工薪资以及至少180万份属于员工、申请人、学生及其家属的社会安全号码的信息。 彭博社未查看更大规模的数据集，且这些信息无法独立核实。 哥伦比亚大学发言人表示，在调查进行期间，他们无法证实彭博社关于数据泄露规模的报道。 黑客从“我们网络的有限部分”窃取了数据，他们说道。 官员表示，一旦意识到入侵事件，哥伦比亚大学迅速恢复了大部分系统，并补充称该校已聘请一家“黄金标准”的网络取证公司来应对此次攻击。 他们补充说，确定被盗内容可能需要数月时间。 “我们正在调查此次明显数据盗窃的范围，并将调查结果与大学社区以及个人信息遭泄露的任何人分享，”哥伦比亚大学的新闻稿称。“自6月24日以来，我们未在网络中观察到威胁行为者的活动，并将继续密切监控系统中的任何进一步非法活动。”   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国政府警告称，在美国对伊朗核设施实施打击后，伊朗可能继续发动网络攻击。 据路透社报道，亲伊朗黑客威胁将公开据称从特朗普总统身边人手中窃取的电子邮件，美国联邦当局称此举是“精心策划的抹黑行动”。 美国网络安全和基础设施安全局（CISA）周一晚间表示，这些针对特朗普的邮件威胁“不过是数字宣传”，目的是损害特朗普及其他联邦官员的形象。 CISA发言人玛西·麦卡锡在社交媒体发文称：“敌对的外国势力威胁非法利用所谓被盗且未经核实的材料，企图转移注意力、抹黑和分裂美国。这些犯罪分子将被追查并绳之以法。” 路透社报道称，他们通过在线渠道联系了这些所谓的黑客。对方声称掌握大量邮件，包括特朗普幕僚长苏西·威尔斯、其他高级顾问以及色情演员斯托米·丹尼尔斯（特朗普因向其支付“封口费”而被定罪）的通信记录。 去年，联邦检察官指控三名伊朗人入侵特朗普总统竞选团队。黑客还针对拜登和哈里斯的民主党竞选团队发动攻击，并曾试图将所谓窃取的特朗普材料泄露给民主党人和媒体记者，但未成功。 就在CISA、FBI和国家安全局发布公开警告的同一天，出现了这一新的邮件泄露威胁。三家机构警告称，尽管伊朗与以色列达成脆弱停火，但支持德黑兰的黑客组织仍可能攻击美国利益。 当局警告，这些黑客可能试图破坏或瘫痪关键基础设施，如公用事业、交通和经济枢纽，还可能针对与以色列有关联的美国国防承包商或其他企业。 公告建议采取防御措施，包括定期更新软件和使用强密码管理系统。 在美国打击伊朗核设施后，支持德黑兰的黑客曾针对美国银行、国防承包商和能源公司发动攻击，但尚未造成大规模破坏。     消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚旗舰航空公司澳航（Qantas）正通知客户，其呼叫中心使用的第三方平台遭网络攻击，可能导致客户个人信息被窃取。 该航空公司表示，此次事件于6月30日被发现，当时黑客入侵了呼叫中心使用的第三方平台。 尽管澳航系统未被入侵且航班运营未受影响，但攻击者成功从被入侵平台窃取了数据。 “该平台存有600万客户的服务记录。我们仍在调查具体有多少数据被盗，但预计数量可能相当可观。”该公司声明称。 可能被泄露的信息包括姓名、电子邮箱、电话号码、出生日期及常旅客会员号。该平台未存储信用卡、财务或护照信息。 “常旅客账户未被入侵，密码、PIN码或登录信息也未被访问。”澳航补充道。 澳航表示已立即封锁被入侵系统，通知执法机构及相关部门，并开始向客户通报事件。公司还设立了专门的客户支持热线及网页，持续更新信息。 “我们真诚地向客户致歉，并理解此事带来的不确定性。客户信任我们保护其个人信息，我们对此高度重视。今天起我们将联系所有受影响客户，全力提供必要支持。”澳航集团首席执行官Vanessa Hudson表示。 澳航未透露攻击者信息，但此次事件发生在阿拉斯加航空集团子公司夏威夷航空披露网络攻击数日后。网络安全公司Mandiant警告称，臭名昭著的黑客组织Scattered Spider正瞄准航空及运输行业。 “尽管Scattered Spider有针对全球组织（包括澳大利亚企业）的历史，但目前尚无证据表明其已将澳大利亚航空公司纳入当前攻击目标。”Mandiant咨询首席技术官Charles Carmakal向SecurityWeek表示。 “包括我们称为UNC6040的金融动机威胁组织在内，多种黑客利用电话社交工程手段入侵企业。”Carmakal补充道。     消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 未知威胁行为者被发现正在武器化v0——Vercel的一款生成式人工智能（AI）工具——来设计仿冒合法网站的虚假登录页面。 “这一观察标志着威胁行为者在生成式AI武器化方面的新进化，他们已展示出仅凭简单文本提示就能生成功能完整的钓鱼网站的能力，”Okta威胁情报研究人员Houssem Eddine Bordjiba和Paula De la Hoz表示。 v0是Vercel推出的AI驱动产品，允许用户使用自然语言提示创建基础落地页和全栈应用。 这家身份服务提供商表示，他们观察到诈骗者利用该技术开发了多个品牌登录页面的高仿版本，包括Okta自己的一位未具名客户。在负责任披露后，Vercel已屏蔽了这些钓鱼网站的访问。 该活动背后的威胁行为者还被发现利用Vercel基础设施托管其他资源，如仿冒的公司标志，可能是为了滥用开发者平台的信任关系并规避检测。 与传统需要一定设置工作的钓鱼工具包不同，像v0及其GitHub上的开源克隆工具这样的工具，允许攻击者只需输入提示就能快速生成虚假页面。这种方式更快、更简单，且不需要编码技能。这使得即使技术不熟练的威胁行为者也能大规模构建令人信服的钓鱼网站。 “观察到的活动证实，当今的威胁行为者正在积极试验并武器化领先的生成式AI工具，以简化和增强他们的钓鱼能力，”研究人员表示。 “使用Vercel的v0.dev等平台，新兴威胁行为者可以快速制作高质量、欺骗性的钓鱼页面，提高其行动的速度和规模。” 这一发展正值恶意行为者继续利用大语言模型（LLMs）协助其犯罪活动之际，他们正在构建这些模型的无审查版本，这些版本明确设计用于非法目的。其中一个在犯罪领域获得欢迎的LLM是WhiteRabbitNeo，它自称“专为（开发）安全运营团队设计的无审查AI模型”。 “网络犯罪分子正越来越倾向于无审查LLM、专为犯罪分子设计的LLM，以及越狱合法LLM，”Cisco Talos研究员Jaeson Schultz表示。 “无审查LLM是未对齐的模型，运行时不受护栏约束。这些系统乐于根据用户提示生成敏感、有争议或潜在有害的内容。因此，无审查LLM非常适合网络犯罪使用。” 这符合我们正在看到的更大趋势：钓鱼活动正在以前所未有的方式被AI赋能。伪造邮件、克隆语音，甚至深度伪造视频都出现在社会工程学攻击中。这些工具帮助攻击者快速扩大规模，将小骗局变成大规模自动化活动。这不再仅仅是欺骗用户——而是构建整个欺骗系统。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。 思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。 这些攻击利用用户对知名品牌的信任，通过PDF附件嵌入看似合法的二维码或链接，将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL，伪装成便签、评论或表单字段，同时链接到真实网页以增强可信度。 在TOAD攻击中，受害者会被诱导拨打邮件中的“客服电话”，攻击者则冒充品牌客服代表，诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段，增强欺骗效果。 美国联邦调查局（FBI）2025年5月曾警告，一个名为“Luna Moth”的金融犯罪集团利用类似手法，冒充IT部门人员入侵企业网络。Mirzaei指出：“攻击者通过语音通话直接操控受害者情绪，利用人们对电话沟通的天然信任实施社会工程学攻击。” 大多数攻击者使用VoIP号码隐藏身份，部分号码甚至连续使用四天，以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调：“品牌冒充是最常见的社会工程学手段之一，建立品牌冒充检测引擎对防御此类攻击至关重要。” 近期，攻击者还利用微软365（M365）的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户，即可伪造内部用户身份发送邮件。自2025年5月以来，已有超过70家组织成为此类攻击的目标。 这些伪造邮件不仅看似来自组织内部，还利用智能主机地址的可预测性（如“<tenant_name>.mail.protection.outlook.com”）绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件，或通过伪造支付页面窃取信用卡信息。 例如，2025年6月17日的一封钓鱼邮件伪装成语音邮件通知，附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出：“攻击者利用M365 Direct Send功能发送内部邮件，这类邮件比外部邮件更容易绕过审查，成为低门槛的钓鱼载体。” 与此同时，Netcraft的最新研究发现，当用户向大型语言模型（LLM）询问50个不同品牌的登录网址时，模型有三分之一的时间会返回错误结果：近30%的域名未注册或闲置，5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。 Netcraft还发现，攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手（如Cursor）。安全研究员Bilaal Rashid表示：“攻击者不仅发布代码，还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户，伪装成可信开发者，诱导AI训练模型收录恶意代码。” 此外，攻击者还通过名为“Hacklink”的非法市场，向被入侵的政府（.gov）或教育（.edu）网站注入JavaScript或HTML代码，操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释：“Hacklink允许犯罪分子购买数千个被入侵网站的权限，插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联，当用户搜索相关内容时，被入侵网站会出现在搜索结果中。” 更令人担忧的是，攻击者无需完全控制网站，即可篡改搜索结果中的文本内容，进一步损害品牌信誉和用户信任。     消息来源： thehackernews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客在蓝牙范围内可监视数百万耳机用户。研究人员在索尼、Bose、Marshall、Jabra、JBL、拜亚动力等知名品牌，以及使用Airoha Systems芯片的其他设备中，发现了重大安全漏洞。 德国网络安全公司ERNW披露，这些漏洞影响了数十款知名耳机型号，包括市场上最好的降噪耳机。研究人员警告称，在大多数情况下，攻击者无需身份验证或配对，仅需处于蓝牙信号范围内，即可完全接管耳机。黑客可利用这些漏洞实时监听用户、劫持设备间的信任关系，甚至冒充耳机向手机发送恶意指令（如拨打电话、访问通讯录），还能提取联系人信息并重写固件以植入恶意代码。研究人员表示：“我们已证明可轻易监听耳机麦克风当前录制的内容。”用户可能仅会注意到蓝牙连接短暂中断，因为耳机通常仅支持单一连接。 所有未修复的Airoha Systems芯片（SoC）设备均受影响。Airoha是蓝牙音频芯片的主要供应商，尤其在真无线立体声耳机领域。蓝牙芯片暴露了强大的自定义协议，允许通过读写RAM或闪存来操控设备，缺少身份验证使攻击者无需配对即可使用该协议。由于大多数设备尚未修复，研究人员未披露过多细节、概念验证代码或暴露协议的名称。 SoC被用于耳机、耳塞、适配器、音箱和无线麦克风等设备，但全面排查和识别所有受影响产品难度较大。部分受影响的设备包括： 索尼：WH-1000XM4/5/6、WH-CH520、WH-XB910N等 Marshall：ACTON III、MAJOR V等 Bose：QuietComfort消噪耳塞 拜亚动力：Amiron 300 EarisMax：Bluetooth Auracast Sender Jabra：Elite 8 Active JBL：Endurance Race 2、Live Buds 3 Jlab：Epic Air Sport ANC MoerLabs：EchoBeatz Teufel：Tatws2 “同款蓝牙SoC被用于数十或数百种不同产品，通常在不同品牌下销售。”部分厂商未披露所用芯片，增加了识别所有受影响设备的难度。 主要漏洞被标记为“自定义协议的关键能力”，编号为CVE-2025-20702。另外两个漏洞CVE-2025-20700和CVE-2025-20701，均涉及蓝牙协议中缺失的身份验证。研究人员后续会发布详细信息。 用户需等待厂商修复设备。目前耳机用户几乎无法防范攻击者的窃听或操控。ERNW研究人员表示：“终端用户需要更新耳机固件，但在此之前，必须有可用的补丁。”尽管Airoha已于6月初向厂商提供修复SDK，但不同设备制造商分发固件更新的速度未知，部分产品可能永远无法获得修复。研究人员警告：“目前我们尚未知晓任何已修复的固件发布。”即使存在补丁，也不是所有设备制造商都会推送更新，尤其是对于低成本或已停产的产品。 幸运的是，现实攻击门槛较高：攻击者必须非常接近用户，通常在10米内，因为蓝牙仅适用于短距离。攻击还需高技术能力以不被察觉。这类攻击最可能针对高价值个体，如记者、外交官、政治活动家、敏感行业从业者和其他VIP。这些用户建议在补丁发布前，解除耳机与手机的配对。     消息来源：cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部周二宣布制裁俄罗斯企业Aeza集团，指控其为勒索软件团伙和暗网毒品交易提供技术基础设施。 Aeza集团是一家“防弹主机”（Bulletproof Hosting, BPH）服务商，为网络犯罪分子提供IP地址、服务器和域名租赁服务，用于传播恶意软件、运营暗网市场及实施其他欺诈与网络攻击活动。 此次制裁除Aeza集团外，还涉及两家关联公司及四名高管，包括首席执行官阿尔谢尼·亚历山德罗维奇·彭泽夫（Arsenii Aleksandrovich Penzev）。彭泽夫被指控长期经营多家BPH服务商及非法毒品交易平台。今年4月，俄罗斯当局以“组织犯罪集团”和“大规模贩毒”罪名逮捕了Aeza集团多名高管。 美国财政部反恐与金融情报代理副部长布拉德利·史密斯表示： “网络犯罪分子高度依赖Aeza集团等BPH服务商发动破坏性勒索攻击、窃取美国技术并贩卖毒品。此次制裁与英国国家犯罪局等多国联合实施，旨在摧毁支撑犯罪生态的关键节点。” Aeza集团总部位于圣彼得堡，被指控为BianLian勒索软件团伙及RedLine、Lumma、Meduza窃密木马提供托管服务，并协助攻击美国国防与科技企业。此外，其平台还长期支持俄罗斯暗网毒品市场BlackSprut。网络安全研究人员此前将Aeza集团与亲克里姆林宫的虚假信息行动Doppelgänger（自2022年起活跃于欧洲）相关联。 此次被制裁的关联实体包括英国公司Aeza International、Aeza Logistic和Cloud Solutions，以及高管尤里·博佐扬（Yurii Bozoyan）、技术总监弗拉基米尔·加斯特（Vladimir Gast）和部分股东伊戈尔·克尼亚泽夫（Igor Knyazev）。博佐扬与彭泽夫一同被捕，克尼亚泽夫则在两人受审期间继续运营相关网站。 全球打击犯罪基础设施 美国财政部强调，此次行动是执法部门瓦解有组织网络犯罪工具链的组成部分。俄罗斯境内存在多家BPH服务商，其中一家近期被曝针对俄罗斯媒体机构发动攻击。2025年2月，美国曾与澳大利亚、英国联合制裁俄罗斯BPH服务商Zservers及其运营者。 2023年10月，西班牙警方逮捕一名涉嫌运营BPH公司的嫌疑人，作为打击Evil Corp网络犯罪集团及LockBit勒索软件附属团伙行动的一部分。此前，美国司法部曾判处罗马尼亚人米哈伊·帕内斯库（Mihai Paunescu）三年监禁，因其参与运营BPH服务商PowerHost.ro；2021年，俄罗斯人亚历山大·格里希什金（Aleksandr Grichishkin）因运营BPH公司获刑五年；爱沙尼亚人帕维尔·斯塔西（Pavel Stassi）和立陶宛人亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）则因运营针对美国目标的BPH组织（2009-2015年）分别被判两年以上监禁。     消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全机构CISA上周发布警告称，德国工业网络设备厂商Microsens的NMP Web+产品存在两个严重漏洞和一个高危漏洞，可能被黑客利用实施远程攻击。 Microsens为工业企业和组织提供交换机、转换器、楼宇控制器等自动化解决方案，其NMP Web+平台用于集中管理工业交换机及网络设备配置。漏洞详情如下： CVE-2025-49151（严重）：未授权攻击者可伪造JSON Web Token（JWT）绕过身份验证； CVE-2025-49153（严重）：攻击者能覆盖服务器文件并执行任意代码； 高危漏洞：JWT令牌未设置过期时间，导致长期有效。 Claroty Team82研究员Noam Moshe（漏洞发现者）向SecurityWeek表示，攻击者可链式利用这些漏洞： 通过伪造JWT获取系统访问权限； 利用文件覆盖漏洞完全控制操作系统。 “这实现了‘从零到英雄’的跳跃——无需任何凭证即可接管系统。”Moshe强调，尽管攻击需访问目标NMP Web+的Web服务器，但大量实例暴露在互联网，存在被扫描攻击的风险。 CISA确认尚未发现野外利用案例，Microsens已发布补丁（Windows/Linux版本3.3.0）。受影响产品在全球范围部署，尤其涉及关键制造业领域。建议用户立即更新至修复版本，并限制管理界面的互联网暴露。   消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌已发布安全更新，修复其Chrome浏览器中一个已被野外利用的零日漏洞（CVE-2025-6554，CVSS评分暂缺）。该漏洞被描述为V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）的说明：”Chrome 138.0.7204.96之前版本中，V8引擎的类型混淆漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作。” 类型混淆漏洞危害严重，可能被利用触发软件异常行为，导致任意代码执行或程序崩溃。此类零日漏洞风险极高，因其常在补丁发布前就被攻击者武器化。实际攻击中，黑客可能通过诱导用户访问恶意网站，悄无声息地安装间谍软件、发起偷渡式下载或植入恶意代码。 该漏洞由谷歌威胁分析小组（TAG）的Clément Lecigne于2025年6月25日发现并报告。TAG通常负责追踪国家级攻击或监控行动，此次披露暗示漏洞可能已被用于高度定向的攻击，涉及政府支持的黑客或间谍活动。 谷歌表示，漏洞在次日（6月26日）已通过配置更新缓解，并推送至全平台稳定版通道。普通用户虽暂未面临大规模威胁，但立即更新补丁至关重要，尤其针对处理敏感数据的高价值目标。 尽管谷歌未透露漏洞利用细节及攻击者信息，但确认”CVE-2025-6554的野外利用已存在”。这是谷歌2025年修复的第四个Chrome零日漏洞，此前三个分别为CVE-2025-2783、CVE-2025-4664和CVE-2025-5419（其中CVE-2025-4664是否遭恶意利用尚不明确）。 用户防护建议： 1. 立即升级Chrome至以下版本： Windows/macOS: 138.0.7204.96/.97 Linux: 138.0.7204.96 2. 检查更新路径：Chrome设置 → 帮助 → 关于Google Chrome（浏览器将自动检测并安装最新版本）。 3. 企业/IT团队需启用自动补丁管理，监控终端浏览器版本合规性。 4. 其他基于Chromium的浏览器（Edge、Brave、Opera、Vivaldi等）用户需等待厂商发布修复补丁后及时更新。 （注：谷歌通常会在漏洞被完全修复后公开更多技术细节，建议持续关注官方安全公告。）   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究发现，Microsoft Visual Studio Code、Visual Studio、IntelliJ IDEA 和 Cursor 等主流集成开发环境（IDE）在扩展验证流程中存在缺陷，可能使攻击者通过恶意扩展在开发者机器上执行任意代码。 OX Security 研究人员 Nir Zadok 和 Moshe Siman Tov Bustan 向The Hacker News提供的报告指出：“我们发现 Visual Studio Code 的验证机制存在缺陷，允许扩展发布者在保留‘已验证’图标的同时添加恶意功能。这会让恶意扩展看似经过官方认证，诱导开发者放松警惕。” 具体而言，VS Code 会通过向域名 marketplace.visualstudio.com 发送 HTTP POST 请求来验证扩展的签名状态。攻击者可利用此机制： 复制已验证扩展（如微软官方扩展）的验证参数； 创建同名恶意扩展并绕过信任检查； 使扩展在市场中显示“已验证”标识，同时植入可执行系统命令的恶意代码。 这种“扩展侧载”攻击模式无需官方市场审核，攻击者通过第三方渠道分发看似合法的 VSIX 文件即可实施。由于开发环境通常存储敏感凭据和源代码，此类漏洞可能导致严重的远程代码执行风险。 在 OX Security 的概念验证（PoC）中，恶意扩展成功在 Windows 系统启动计算器程序，证明其具备底层命令执行能力。研究人员进一步发现，通过篡改验证请求参数，可生成欺骗性 VSIX 文件，使恶意扩展在 IntelliJ IDEA 和 Cursor 等 IDE 中同样显示“已验证”状态。 微软回应称，该行为属于“设计特性”，并强调默认启用的扩展签名验证机制会阻止此类恶意 VSIX 文件上架官方市场。但 OX Security 在 2025 年 6 月 29 日 仍可复现漏洞利用。The Hacker News已联系微软寻求进一步评论，尚未收到回复。 研究再次警示：开发者不应仅凭“已验证”标识判断扩展安全性。建议： 优先从官方市场安装扩展； 避免使用来源不明的 VSIX/ZIP 文件； 对 GitHub 等第三方平台分享的扩展保持警惕。 研究人员总结：“恶意代码可注入扩展、打包为 VSIX 文件，并在多个主流开发平台上保留‘已验证’标识，这对习惯从网络资源安装扩展的开发者构成严重威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，RomCom RAT 背后的威胁行为体与近期传播名为 TransferLoader 的加载器的攻击团伙之间存在战术层面的高度相似性。企业安全公司 Proofpoint 将 TransferLoader 相关活动追踪至代号为 UNK_GreenSec 的团伙，而 RomCom RAT 的幕后黑手则被标记为 TA829（又称 CIGAR、Nebulous Mantis、Storm-0978 等）。 Proofpoint 在调查 TA829 时意外发现了 UNK_GreenSec，指出两者使用“异常相似的基础设施、投递手法、登录页面及邮件诱饵主题”。TA829 作为与俄罗斯有关联的混合型黑客组织，兼具间谍活动与牟利攻击能力，曾利用 Mozilla Firefox 和 Microsoft Windows 的零日漏洞传播 RomCom RAT。今年早些时候，PRODAFT 披露该组织通过防弹主机、离地攻击（LOTL）和加密 C2 通信规避检测。 TransferLoader 最初由 Zscaler ThreatLabz 在 2025 年 2 月针对某美国律所的 Morpheus 勒索软件攻击中记录。Proofpoint 发现，TA829 和 UNK_GreenSec 的钓鱼活动均依赖部署在入侵 MikroTik 路由器上的 REM Proxy 服务作为上游基础设施（入侵手段未知）。这些代理设备可能被出租用于流量中继，攻击者借此将流量转发至新注册的免费邮箱账户，再向目标发送钓鱼邮件。 邮件发件人地址格式高度相似（如 [email protected] 和 [email protected]），表明攻击者可能使用自动化工具批量生成并投递钓鱼邮件。邮件正文或 PDF 附件中嵌入的链接通过 Rebrandly 多次跳转，最终指向伪造的 Google Drive 或 OneDrive 页面，同时过滤沙箱或低价值目标。 此时攻击链分化为两条路径： UNK_GreenSec 将受害者重定向至基础设施，最终投递 TransferLoader； TA829 则投放名为 SlipScreen 的恶意软件。 SlipScreen 作为第一阶段加载器，会检查 Windows 注册表（HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs）确认目标计算机至少有 55 个近期文档，随后解密并加载 shellcode 至内存，与远程服务器通信。后续感染链会部署 MeltingClaw（又名 DAMASCENED PEACOCK）或 RustyClaw 下载器，最终释放 ShadyHammock（用于启动 RomCom RAT 的更新版 SingleCamper/SnipBot）或 DustyHammock（具备系统侦察及从 IPFS 下载额外载荷的能力）。 TransferLoader 相关活动则伪装成招聘机会，诱导受害者点击“PDF 简历”链接，实际从 IPFS 下载 TransferLoader。其核心目标是隐蔽传播更多恶意软件，如 Metasploit 或 Morpheus 勒索软件（HellCat 勒索软件的变种）。与 TA829 不同，TransferLoader 的 JavaScript 组件会将用户重定向至同一服务器的不同 PHP 端点，以便进行服务器端过滤。UNK_GreenSec 还使用动态登录页面（通常与 OneDrive 伪造无关），最终将用户引导至存储于 IPFS 的最终载荷。 TA829 与 UNK_GreenSec 的战术重叠引发四种可能性： 两团伙从同一第三方供应商采购基础设施； TA829 自行获取基础设施并转供 UNK_GreenSec 使用； UNK_GreenSec 作为基础设施提供商，通常向 TA829 提供服务，但临时自用传播 TransferLoader； 两团伙实为同一组织，TransferLoader 是其新增武器库。 Proofpoint 指出：“当前威胁环境中，网络犯罪与间谍活动的界限持续模糊，犯罪集团与国家级攻击者的区分特征逐渐消失。活动特征、指标及行为模式的趋同使得归因和团伙划分愈发困难。尽管尚无确凿证据证明 TA829 与 UNK_GreenSec 的确切关系，但两者间存在高度关联的可能性极大。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，人工智能公司 Anthropic 的 Model Context Protocol (MCP) Inspector 项目存在一个关键安全漏洞（CVE-2025-49596），CVSS 评分高达 9.4（满分 10.0）。该漏洞可能导致远程代码执行（RCE），使攻击者完全控制开发者主机。 Oligo Security 的 Avi Lumelsky 在上周发布的报告中表示：“这是 Anthropic MCP 生态系统中首个严重的 RCE 漏洞，暴露了一类针对 AI 开发者工具的新型浏览器攻击。一旦攻击者在开发者机器上执行代码，便可窃取数据、安装后门并在网络中横向移动，这对 AI 团队、开源项目以及依赖 MCP 的企业用户构成了严重风险。” MCP 是 Anthropic 于 2024 年 11 月推出的开源协议，旨在标准化大语言模型（LLM）应用与外部数据源及工具的集成和数据共享方式。MCP Inspector 是一款用于测试和调试 MCP 服务器的开发者工具，该服务器通过协议暴露特定功能，使 AI 系统能够访问和交互训练数据之外的信息。 该工具包含两个组件：一个提供交互式界面用于测试和调试的客户端，以及一个将 Web UI 连接到不同 MCP 服务器的代理服务器。需要特别注意的关键安全问题是，该服务器不应暴露在任何不受信任的网络中，因为它具有启动本地进程的权限，并能连接任何指定的 MCP 服务器。 Oligo 指出，结合开发者用于启动该工具本地版本的默认配置存在“显著”安全风险（如缺少身份验证和加密），这开辟了一条新的攻击路径。Lumelsky 解释道：“这种错误配置创造了巨大的攻击面，任何能够访问本地网络或公共互联网的人都有可能与这些服务器交互并利用它们。” 攻击过程通过将现代网络浏览器中一个名为“0.0.0.0 Day”的已知安全漏洞与 Inspector 中的跨站请求伪造（CSRF）漏洞（CVE-2025-49596）相结合，只需访问恶意网站即可在主机上运行任意代码。 MCP Inspector 的开发者在该漏洞的咨询公告中表示：“低于 0.14.1 版本的 MCP Inspector 由于 Inspector 客户端与代理之间缺乏身份验证而容易受到远程代码执行攻击，允许未经身份验证的请求通过标准输入/输出（stdio）启动 MCP 命令。” “0.0.0.0 Day”是一个存在 19 年的现代浏览器漏洞，可能使恶意网站突破本地网络。该漏洞利用浏览器无法安全处理 IP 地址 0.0.0.0 的缺陷，导致代码执行。 Lumelsky 进一步解释：“攻击者可以通过精心制作恶意网站，向 MCP 服务器上运行的本地服务发送请求，从而在开发者机器上执行任意命令。默认配置使 MCP 服务器暴露于此类攻击，意味着许多开发者可能无意中为攻击者打开了机器的后门。” 具体而言，概念验证（PoC）利用服务器发送事件（SSE）端点，从攻击者控制的网站发送恶意请求，即使工具监听本地回环地址（127.0.0.1），也能在运行该工具的机器上实现 RCE。这是因为 IP 地址 0.0.0.0 会指示操作系统监听机器分配的所有 IP 地址，包括本地回环接口（即 localhost）。 在假设的攻击场景中，攻击者可以设置一个虚假网页并诱骗开发者访问。此时，页面中嵌入的恶意 JavaScript 会向 0.0.0.0:6277（代理默认运行的端口）发送请求，指示 MCP Inspector 代理服务器执行任意命令。 攻击者还可以利用 DNS 重绑定技术创建伪造的 DNS 记录，指向 0.0.0.0:6277 或 127.0.0.1:6277，以绕过安全控制并获得 RCE 权限。 在 2025 年 4 月负责任地披露漏洞后，项目维护者于 6 月 13 日通过发布 0.14.1 版本修复了该问题。修复措施包括为代理服务器添加会话令牌，并实施来源验证以彻底封堵攻击向量。 Oligo 表示：“本地服务可能看似安全，但由于浏览器和 MCP 客户端的网络路由能力，它们往往暴露于公共互联网。修复措施增加了此前默认配置中缺失的授权机制，并验证 HTTP 请求中的 Host 和 Origin 头，确保客户端确实来自已知且受信任的域名。现在，默认情况下服务器会阻止 DNS 重绑定和 CSRF 攻击。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 丹麦政府计划修订版权法，赋予公民对其身体、面部特征及声音的专属权利，以打击AI生成的深度伪造内容。这项被认为是欧洲首创的立法已获议会九成议员支持，将于夏季休会前启动公众咨询，秋季正式提交修正案。 文化部长雅各布·恩格尔-施密特（Jakob Engel-Schmidt）强调，新法案旨在明确个人对自身生物特征数据的所有权。他直言：“现行法律未能有效保护民众免受生成式AI的侵害，人类正被置于数字复印机中遭到滥用，我绝不容忍这种现象。” 新法核心条款包括： 删除权保障：公民可要求平台下架未经同意分享的深度伪造内容。 艺术表演保护：禁止未经许可制作“逼真数字仿制的艺术表演”，违者需赔偿受害者。 例外情形：戏仿与讽刺作品不受新规限制，创作自由仍受保护。 针对科技平台合规性，恩格尔-施密特警告拒不配合者将面临“严厉罚款”，并计划在丹麦即将接任欧盟轮值主席国期间，向各成员国推广此立法模式。他透露：“若平台消极应对，欧盟委员会或将介入处理。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将编号为 CVE-2025-6543 的 Citrix NetScaler 漏洞纳入其 已知被利用漏洞目录（KEV Catalog）。该漏洞为内存溢出类型（CVSS 评分 9.2），当 NetScaler ADC 或 NetScaler Gateway 配置为网关（含 VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器时，可能引发非预期控制流并导致服务拒绝（DoS），破坏系统可用性。 受影响版本包括： NetScaler ADC 13.1-FIPS 及 NDcPP 版本低于 13.1-37.236-FIPS and NDcPP NetScaler ADC 与 Gateway 14.1 版本低于 14.1-47.46 NetScaler ADC 与 Gateway 13.1 版本低于 13.1-59.19 根据 BOD 22-01 指令（降低已知被利用漏洞重大风险），联邦民事行政部门（FCEB）机构需在截止日期前修复漏洞以防范攻击。CISA 要求联邦机构最晚于 2025 年 7 月 21 日完成修复，同时强烈建议私营企业自查并修复此漏洞。 历史关联行动： 2024 年 1 月，CISA 曾将另两个 Citrix NetScaler 漏洞 CVE-2023-6548（代码注入）和 CVE-2023-6549（缓冲区溢出）纳入 KEV 目录。Citrix 当时警告称，未修复设备上已发现针对这两项零日漏洞的攻击，敦促用户立即安装更新版本。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯互联网服务提供商（ISP）对受Cloudflare保护的网站实施访问限制，导致该国网络流量严重中断。美国互联网基础设施公司Cloudflare证实，自6月9日起实施的限流措施使俄罗斯用户无法正常访问依赖其平台的网站和服务。该公司内部数据显示，ISP将每次请求的数据传输量限制在仅16KB，导致多数网站功能瘫痪。 Cloudflare声明：“限流行为超出我方控制范围，目前无法以合法方式为俄罗斯用户恢复稳定高性能的访问服务。”俄罗斯联邦通信监管局（Roskomnadzor）数月来持续打压Cloudflare，德国Hetzner、美国DigitalOcean及法国OVH等其他外国云服务商也遭遇类似限制。该机构呼吁用户停用这些服务，转向本土托管提供商。 技术封锁手段包括： 深度包检测：通过注入虚假数据包中断连接，或直接阻断数据引发超时。 协议层限制：影响TCP/TLS协议的HTTP/1.1/2及QUIC协议的HTTP/3。 流量整形：针对境外服务器实施无差别限流，即使连接请求发自俄罗斯境内。 2024年11月，俄方曾因Cloudflare的加密客户端问候（ECH）技术能隐藏用户访问目标网站信息，以“规避政府审查”为由封禁数千家使用该服务的网站。此次限流后，俄罗斯境内Cloudflare流量骤降30%，但当局否认存在此类干扰行为。 企业影响与应对 小型电商企业受冲击最严重，可能面临流量大幅流失。俄罗斯本土服务目前仍无法完全替代Cloudflare的DDoS防护能力，迁移过程成本高昂且技术复杂。Cloudflare建议俄罗斯站点运营商联系当地机构要求解除限制，同时指出：“若您的网站使用Cloudflare防护，当前我们无法为俄罗斯用户恢复网络连接。” 地缘技术博弈 与多数西方科技公司不同，Cloudflare在2022年俄乌冲突后未完全退出俄罗斯市场，当时声明“俄罗斯需要更多而非更少的互联网访问”。但该公司终止了受制裁实体的服务，包括金融机构和影响活动相关客户。部分俄企因Cloudflare的美国背景主动停用其服务，但更多企业仍依赖其防护能力应对日益增长的DDoS攻击浪潮。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北欧主要苹果产品经销商Humac近日出现在勒索组织Kraken的暗网泄露网站上，攻击者宣称已获取公司财务数据、客户信息及其他敏感资料。Humac母公司为意大利C&C集团（欧洲最大苹果授权合作伙伴，拥有超120家门店），目前暂未回应事件。Cybernews研究人员验证后表示，泄露数据样本真实性较高，含员工资料、运营文件及数据库样本等关键信息。 安全团队指出，此类依赖品牌合作的企业易成勒索目标：“内部人员信息可能被用于钓鱼攻击获取苹果平台权限，而包含联系方式、住址及金融资料的客户数据更是黑市抢手货。” 背景补充： Kraken是2025年2月新兴的勒索组织，脱胎于HelloKitty团伙（该组织于2024年4月更名为HelloGookie）。据监测工具Ransomlooker显示，Kraken在2025年累计攻击13家机构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于苏黎世的非营利健康基金会Radix遭遇勒索软件攻击，导致多家瑞士联邦部门数据外泄。Sarcoma勒索软件组织已在其暗网数据泄露站点发布1.3TB窃取数据。 瑞士国家网络安全中心（NCSC）通报称，Radix作为提供健康教育与推广服务的非营利组织，其系统遭黑客入侵并发生数据窃取。该机构客户包含多个联邦部门，NCSC正调查具体受影响单位及数据范围。官方声明强调：“因Radix无权访问联邦行政系统，攻击者始终未能侵入这些系统。” Radix确认攻击发生于2025年6月16日。因拒绝支付赎金，黑客于6月29日公开全部窃取数据。该机构声明：“尽管具备高标准安全防护和专业支持，我们仍不幸成为网络攻击受害者。”虽然未透露具体受影响人数，但表示已逐一向相关个人发出通知，并称“目前无迹象表明合作伙伴敏感数据遭波及。” 应对措施方面，Radix表示已对所有加密数据启动备份恢复流程，攻击发现后立即撤销数据访问权限。机构预警黑客可能利用外泄数据发动钓鱼攻击，企图窃取密码、信用卡号等敏感信息。瑞士当局尚未公布攻击者入侵途径，相关调查仍在进行。 本次攻击呈现典型双重勒索特征：黑客先窃取数据再加密系统实施勒索；若拒付赎金则威胁分批逐步公开数据施压。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织周一宣布摧毁一个加密货币投资诈骗团伙，该团伙通过5000余名全球受害者洗钱4.6亿欧元（约合5.4亿美元）。此次行动由西班牙国民警卫队主导，爱沙尼亚、法国和美国执法机构协同参与，调查始于2023年。 2025年6月25日，五名主要嫌疑人在加那利群岛和马德里被捕。该犯罪网络通过在亚洲、非洲招募人员，诱骗求职者进入东南亚“诈骗园区”，以暴力胁迫其实施犯罪。据调查，诈骗集团总部设在香港，利用全球支付通道和多身份账户转移非法资金。 诈骗手法主要采用恋爱诱骗（俗称“杀猪盘”）：犯罪者通过交友软件建立信任，引导受害者使用虚假加密货币平台投资。后台通过伪造交易数据维持骗局，得手后立即启动分层洗钱流程，经多重账户转移资金以逃避追踪。美国司法部近期已针对越南、菲律宾同类骗局发起2.25亿美元加密货币追缴诉讼。 犯罪升级趋势显著： 技术滥用：诈骗集团利用生成式AI提升犯罪效率，合成身份（伪造数据+AI生成信息）租用银行账户洗钱。 全球协作：犯罪网络通过中国即时通讯平台广告租用美国银行账户（涉及美国银行、大通银行等），用于资金转移。 人口贩运：柬埔寨境内53个诈骗园区涉及人口贩卖、强迫劳动，年非法收入达125亿美元（相当于该国GDP的50%）。 执法挑战主要来自： 法律滞后：75%国家现有法律体系难以应对新型网络犯罪。 跨国协作：资金流向涉及香港、越南、菲律宾等地，跨境执法效率受限。 平台监管：Meta公司2024年初以来已清除700万个关联诈骗的Facebook账户。 印度驻柬埔寨使馆已发布警示，提醒公民警惕“高薪工作”骗局。联合国毒品和犯罪问题办公室指出，东南亚正成为全球网络诈骗与洗钱中心，其地下银行系统深度渗透全球金融网络。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trustwave SpiderLabs近期报告证实，被称为Blind Eagle的威胁行为者高度疑似使用俄罗斯防弹主机服务Proton66。研究人员通过追踪与该服务关联的数字资产，发现一个活跃攻击集群：其利用VBS脚本作为初始攻击载体，部署现成的远程访问木马（RAT）。 攻击者青睐Proton66等防弹主机服务，因其故意无视滥用举报和法律取缔要求，使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。2024年8月起，研究人员发现一组命名模式相似的域名（如gfast.duckdns[.]org），均解析至Proton66关联IP（45.135.232[.]38）。此类攻击还依赖DuckDNS等动态DNS服务——攻击者通过轮换子域名关联同一IP，大幅增加防御方检测难度。 这些域名托管多种恶意内容，包括针对哥伦比亚银行（Bancolombia、BBVA等）的钓鱼页面，以及作为恶意软件初始阶段的VBS脚本。后者实为加载器，可下载加密可执行文件并部署AsyncRAT、Remcos RAT等商用木马。VBS脚本虽显陈旧，但因兼容性高、静默运行特性，仍被用于下载恶意加载器、绕过杀毒软件并混入正常用户活动，成为多阶段攻击的首选入口点。 技术分析显示，VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠，该服务专门混淆VBS载荷以规避检测。此外，Trustwave还发现一个僵尸网络控制面板，支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。 此发现与Darktrace披露的Blind Eagle活动形成印证：自2024年11月起，该组织持续利用已修复的Windows漏洞（CVE-2024-43451）攻击哥伦比亚机构，下载后续攻击载荷。Check Point在2025年3月首次记录此行为，凸显其战术适应能力——即使补丁发布后，仍能快速调整既定战术（TTPs）。Darktrace强调：“及时漏洞管理和补丁应用虽必要，但不足以独立应对此类威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文