HackerNews

HackerNews 编译，转载请注明出处： 美国司法部周五宣布，五名涉案人员对协助朝鲜IT工作者实施欺诈的指控表示认罪。这些人员通过盗用美国公民身份，帮助朝鲜IT工作者获取在美国企业的工作机会，违反了国际制裁规定。 这五名人员包括奥德里库斯·法格纳赛、杰森·萨拉查、亚历山大·保罗·特拉维斯、奥列克桑德·迪登科和埃里克·恩特克雷兹·普林斯。其中法格纳赛、萨拉查和特拉维斯在2019年9月至2022年11月期间，明知故犯地允许境外IT工作者使用他们的美国身份入职美国公司。 这三名被告还充当协调人，将公司配发的笔记本电脑安置在自己住所，并擅自安装远程桌面软件，制造这些IT工作者是在美国境内远程工作的假象。更甚的是，萨拉查和特拉维斯还曾代替境外IT工作者接受雇主的药检。 乌克兰籍的迪登科则通过其运营的网站”Upworksell.com“，盗用美国公民身份并将其出售给IT工作者，帮助他们成功入职40家美国公司。迪登科还通过在美国境内设立”笔记本电脑农场”的方式，为境外IT工作者提供设备托管服务。据悉，他管理的虚假身份多达871个，并同意上缴超过140万美元的非法所得。 普林斯则通过其创立的Taggcar公司，在2020年6月至2024年8月期间向美国企业输送”认证”IT工作者，并在其佛罗里达住所运营笔记本电脑农场，从中获利超过8.9万美元。 美国司法部指出：”这些欺诈性就业计划共影响超过136家美国受害企业，为朝鲜政权创造了超过220万美元收入，并危及18名美国公民的身份安全。” 作为系列执法行动的一部分，美国司法部还提交了两项民事没收诉讼，要求没收2025年3月从朝鲜黑客组织APT38处查获的价值超过1500万美元的加密货币。这些数字资产被指控是通过攻击境外虚拟货币平台非法获取。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一系列影响人工智能推理引擎的关键漏洞，波及Meta、英伟达、微软及vLLM、SGLang等开源项目。这些被统称为”ShadowMQ”的安全隐患，均源于ZeroMQ与Python pickle反序列化的不安全使用模式。 漏洞根源可追溯至Meta Llama大型语言模型框架中的一个缺陷（CVE-2024-50050）。该框架通过ZeroMQ套接字在网络暴露，并利用recv_pyobj()方法对传入数据执行pickle反序列化，使得攻击者可通过发送恶意数据实现任意代码执行。 研究机构Oligo发现，相同的不安全模式已在多个推理框架中重现：英伟达TensorRT-LLM（CVE-2025-23254，已修复）、微软Sarathi-Serve（未修复）、Modular Max Server（已修复）、vLLM（CVE-2025-30165，默认引擎切换）及SGLang（不完全修复）。调查显示，这些漏洞多源于直接复制粘贴代码行为——例如SGLang承认适配vLLM代码，而Modular Max Server则同时借鉴了这两个项目的逻辑。 作为AI基础设施的核心组件，推理引擎一旦被攻陷，攻击者可在集群中执行任意代码、提升权限、窃取模型，甚至部署加密货币挖矿程序等恶意负载。研究人员指出：”项目开发速度惊人，借鉴架构组件已成常态，但当代码复用包含不安全模式时，后果将快速扩散。” 同期另一报告显示，AI代码编辑器Cursor的内置浏览器同样存在风险，可通过JavaScript注入技术窃取凭证，恶意扩展程序更可能使开发者工作站完全失控。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列国家数字机构（INDA）近日披露，伊朗国家支持的威胁组织APT42正在针对伊斯兰革命卫队（IRGC）关注的重点目标展开新一轮间谍活动。该行动被命名为”SpearSpecter”，自2025年9月初持续活跃至今。 研究发现，攻击者系统性地瞄准高级国防和政府官员，采用高度个性化的社交工程手段：通过邀请目标参加知名会议或安排重要会晤建立信任关系。值得注意的是，攻击范围甚至延伸至目标人物的家庭成员，以此扩大攻击面并对主要目标施加更大压力。 APT42组织（亦被称为APT35、Charming Kitten等）自2022年底被公开披露以来，一直以实施极具说服力的长期社交工程攻击著称。攻击者会伪装成目标熟识的联系人，经过数日甚至数周的信任培养后，才发送恶意载荷或诱导点击陷阱链接。 INDA研究人员指出，SpearSpecter campaign展现出高度灵活性——攻击者会根据目标价值和行动目标调整策略。部分攻击将受害者重定向至仿冒会议页面以窃取凭证；若旨在获取长期访问权限，则会部署近年来反复出现的PowerShell后门TAMECAT。 具体攻击链显示，攻击者冒充可信的WhatsApp联系人，发送伪装成会议所需文件的恶意链接。点击后通过”search-ms:”协议处理程序，最终投递托管于WebDAV的Windows快捷方式文件（伪装成PDF）。该LNK文件会连接Cloudflare Workers子域名获取批处理脚本，进而加载具备模块化功能的TAMECAT后门。 这款PowerShell框架特别采用HTTPS、Discord和Telegram三重通信信道进行命令控制，确保即使某个通道被阻断仍能维持访问权限。其功能包括：实施系统侦察、窃取特定类型文件、盗取浏览器数据、收集Outlook邮箱内容，并以15秒间隔持续截屏。所有窃取数据均通过HTTPS或FTP外传。 TAMECAT还采用多种隐身技术：加密遥测数据与控制载荷、混淆源代码、利用合法系统工具隐藏恶意行为，且主要内存运行以减少磁盘痕迹。 INDA总结称：”SpearSpecter campaign的基础设施融合了敏捷性、隐蔽性和操作安全性，展现出针对高价值目标实施长期间谍活动的精密能力。攻击者通过混合使用合法云服务与自控资源，实现了无缝初始访问、持久命令控制和隐蔽数据外泄。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现 GoSign Desktop 存在两项关键漏洞：TLS 证书验证禁用漏洞与未签名更新机制漏洞。 GoSign 是由 Tinexta InfoCert 公司开发的高级合格电子签名解决方案，被公共机构、企业及专业人士用于管理具有可追溯性和安全性的审批流程。该产品的 SaaS / 网页版已获得意大利国家网络安全局（ACN）的 “QC2” 认证。 QC2 认证证明服务具备安全处理关键数据的能力，包括公共机构处理的数据。根据 ACN 2024 年 8 月 1 日生效的法规，面向公共实体的云服务提供商必须满足严格的安全与弹性要求。此认证允许公共机构采用经认证的解决方案，以保护敏感数据并确保核心服务的连续性。本文通报的 GoSign Desktop 是本地部署版本，适用于微软 Windows、Linux Ubuntu 及苹果 macOS 系统。 漏洞描述 研究人员在 Tinexta InfoCert 开发的 GoSign Desktop 软件中发现关键漏洞。该平台广泛用于电子文档的签名、验证和管理，仅 2021 年就有 160 万人使用它完成了超过 8.3 亿次签名交易，足见其在意大利及欧洲数字生态系统中的核心地位。 当 GoSign Desktop 配置为使用代理服务器时，会禁用 TLS 证书验证（SSL_VERIFY_NONE），导致加密通信过程中无法确认服务器身份，用户易遭中间人（MitM）攻击。此外，其更新机制依赖未签名的清单文件，所有安全性均依赖本就未经过验证的 TLS 协议。 已验证的攻击场景 恶意软件安装（严重）：网络攻击者可推送虚假更新，完全控制用户设备。 凭证窃取（高危）：敏感访问数据可能被拦截。 权限提升（高危）：在 Linux 系统中，本地用户可通过恶意更新提升权限。 漏洞分析 1. TLS 验证绕过 GoSignDesktop 进程通过 libdgsapi.so 和 libcurl.so 库调用SSL_CTX_set_verify(mode=SSL_VERIFY_NONE)，直接禁用 TLS 证书验证，使 TLS 通道的安全属性完全失效。 受影响版本： GoSign Desktop 2.4.0（Windows） GoSign Desktop 2.4.0（Linux） GoSign Desktop 2.4.0（macOS）—— 经厂商确认 1.1 不安全的更新机制 更新过程依赖包含更新包 URL 和哈希值的未签名清单文件。中间人攻击者可修改该清单、替换更新包，并提供匹配的 SHA-256 哈希值，最终实现远程代码执行。 1.2 已验证的安全影响 OAuth 密钥泄露 远程代码执行（RCE） 权限提升 鉴于漏洞严重性，已向意大利国家网络安全局 / 意大利计算机应急响应小组（ACN/CSIRT Italia）报告。 1.3 CVSS 3.1 评分 得分：8.2（高危） 向量：AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H 1.4 CWE 映射 CWE-295：证书验证不当 CWE-347：加密签名验证不当 CWE-200：敏感信息向未授权主体泄露 2. 攻击场景详情 2.1 中间人攻击 使用代理时，客户端会接受自签名证书，攻击者可拦截 OAuth 密钥、JWT 令牌、刷新令牌，并篡改更新清单，最终完全控制用户系统。 2.2 权限提升 本地攻击者可修改~/.gosign/dike.conf配置文件，强制推送恶意更新，进而实现权限提升。 漏洞验证视频：https://www.ush.it/team/ush/hack-gosign-desktop_240/gosigndesktop_mitm_poc.mp4漏洞利用代码：https://www.ush.it/team/ush/hack-gosign-desktop_240/ 临时解决方案与修复情况 GoSign Desktop 2.4.1 版本（2025 年 11 月 4 日发布）已修复部分漏洞： 远程代码执行（RCE）—— 已修复 权限提升 —— 已修复 因 TLS 绕过导致的信息泄露 —— 未修复（配置代理时仍禁用 TLS 证书验证） 研究人员首次联系厂商后，通过加密邮件及厂商要求的 Teams 会议（2025 年 10 月 16 日 15:00），向其提供了漏洞所有技术细节、漏洞验证代码（PoC）及缓解建议。参会人员包括 InfoCert 安全官与 GoSign Desktop 产品经理，厂商在会议中确认了漏洞存在，并同意将 2025 年 10 月 31 日定为修复发布的合理截止日期。 但此次会议后，厂商终止了所有沟通，未提供任何更新，也未回应后续联系请求。2025 年 11 月 4 日，厂商悄然发布了 2.4.1 版本修复包，未发布任何公告，也未按要求在更新日志中致谢漏洞披露者。 目前，研究人员已就厂商未遵守负责任披露最佳实践的行为，向 ACN/CSIRT Italia 通报。 披露时间线 2025 年 10 月 03 日：发现漏洞 2025 年 10 月 04 日：开发漏洞验证代码 2025 年 10 月 04 日：首次尝试联系 InfoCert 公司 2025 年 10 月 04 日：同步向 ACN/CSIRT Italia 通报 2025 年 10 月 04 日：收到 ACN/CSIRT Italia 的收悉确认，等待后续进展 2025 年 10 月 07 日：收到 InfoCert 网络安全运营团队回复 2025 年 10 月 07 日：向厂商共享技术细节与证据 2025 年 10 月 09 日：InfoCert 确认收到报告，称问题正在调查中 2025 年 10 月 16 日：与 InfoCert 举行技术会议，确认漏洞影响超 100 万用户，共享完整技术细节与修复建议 2025 年 10 月 26 日：向厂商发送更新请求，未获回应 2025 年 11 月 04 日：2.4.1 版本发布，厂商未做任何沟通，无更新日志 2025 年 11 月 08 日：再次发送解释与更新请求，未获回应 2025 年 11 月 14 日：向 ACN/CSIRT Italia 提交关于厂商不当处理披露流程的报告 2025 年 11 月 14 日：发布本漏洞通报     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯港口运营商 “港口联盟”（Port Alliance）表示，其数字基础设施关键部分遭遇 “境外” 网络攻击，运营中断已进入第三天。这是俄乌冲突背景下，影响关键设施的一系列网络安全事件中的最新一起。 该公司在周四的声明中称，攻击者发起了分布式拒绝服务（DDoS）攻击，并试图入侵其网络。港口联盟指出，攻击目标是破坏该公司通过波罗的海、亚速 – 黑海、远东及北极地区海港开展的煤炭和矿物肥料出口相关业务，扰乱运营秩序。 尽管此次攻击规模大、强度高，但公司表示旗下码头及相关设施仍正常运转。“所有关键系统保持可用，港口和码头的业务流程未受影响。” 据港口联盟透露，黑客动用了包含 1.5 万多个全球唯一 IP 地址的僵尸网络，其中部分 IP 来自俄罗斯境内，且不断更换攻击策略以规避安全防御。 港口联盟在多条关键运输线路运营着 6 个海运码头，煤炭和矿物肥料的年货运量超 5000 万吨。目前该公司未指明攻击来自特定黑客组织。 自 2022 年俄罗斯对乌克兰发起特别军事行动以来，针对交通物流网络的网络攻击愈发频繁。俄乌双方黑客频繁使用 DDoS 攻击，扰乱对方基础设施。 同日，乌克兰 WOG 加油站连锁企业报告遭遇大规模网络攻击，其在线服务暂时中断，当晚恢复正常，但未披露更多细节。 盟国也面临数字威胁。本周早些时候，丹麦政府及多家国防企业的网站遭 DDoS 攻击短暂下线，丹麦当局称攻击可能源自俄罗斯。亲俄组织 “NoName057” 声称对此次攻击负责，但其说法的真实性难以核实。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者在网络犯罪论坛上发帖，声称已成功入侵三星，并正在出售据称属于该公司的内部数据。 该黑客在帖子中称，他们入侵了一家为多家大型公司提供服务的三方承包商，这表明此次据称的泄露事件潜在影响范围可能不仅限于三星。 根据攻击者的说法，该承包商的访问权限为其打开了通往三星部分基础设施的大门，特别是MSSQL数据库和AWS S3存储桶。 帖子中列出了据称被窃取的数据，包括： 源代码 私钥 SMTP凭证 配置文件 硬编码凭证 用户个人身份信息 泄露数据 该行为者还发布了数据样本，经Cybernews研究团队查验，其中包含一些内部Java项目结构的文件树。这表明可能存在源代码泄露，且很可能包含硬编码凭证，但未提供相关示例。 Cybernews研究人员解释道：“从员工信息来看，我们可以判断这些数据具体属于三星麦迪逊。这是一家提供医疗设备的公司，是三星电子家族的一部分，但仍以自己的公司结构运营。” 几张据称被窃数据库的截图包含了员工的联系信息，如电子邮件和用户名。从截图中无法确定这些用户名的具体用途。表名暗示其中可能还包含管理员凭证。 我们的研究人员表示：“仅泄露的电子邮件就可能导致员工遭受钓鱼攻击等社会工程攻击。” “如果其他表中存在密码，这些密码可能被用于凭证填充攻击。如果用户在其他地方重复使用了这些密码，则可能导致账户被接管。” 黑客以“一次性买断”为噱头出售窃取的数据集，并要求使用门罗币支付——这是网络黑市偏爱的加密货币。被盗数据集的售价尚未公布。 第三方漏洞已成痛点 此次关于第三方遭入侵的说法反映了网络犯罪领域的一个更广泛趋势。威胁行为者越来越多地瞄准供应链中的薄弱环节，而不是直接攻击通常防护严密的公司网络。 不幸的是，一家供应商被攻破就可能危及数十家大型企业。近年来已发生多起此类破坏性攻击，包括利用MOVEit文件传输软件零日漏洞的全球性网络窃取事件。通过利用该关键漏洞，与俄罗斯有关联的Cl0p勒索软件组织得以访问并窃取了大量敏感数据。 此前，Fortra的GoAnywhere托管文件传输软件中的一个漏洞，曾导致宝洁、壳牌、日立、Hatch Bank、Rubrik、维珍等众多公司被同一黑客组织入侵。 就在本月，芒果时装连锁店因第三方遭入侵而导致客户数据泄露。 9月，哈罗德百货公司透露，其一家第三方供应商遭遇网络攻击，导致43万名客户信息泄露。 8月，美国三大信用报告机构之一环联披露，黑客入侵其一款第三方应用程序，导致超过400万美国客户数据暴露。 5月，玛莎百货因第三方供应商遭受钓鱼攻击，遭遇了Scattered Spider勒索软件组织长达一个月的攻击，给公司造成了超过4亿美元的损失。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一款恶意Chrome扩展程序，该程序伪装成合法以太坊钱包，实则具备窃取用户助记词的功能。 这款名为“Safery: Ethereum Wallet”的扩展由威胁攻击者描述为”具备灵活设置的以太坊加密货币安全管理钱包”，于2025年9月29日上传至Chrome应用商店，最近更新日期为11月12日。截至发稿前仍可下载。 Socket安全研究员基里尔·博伊琴科指出：”该扩展虽被宣传为简易安全的以太坊钱包，实则包含通过Sui地址编码助记词的后门，并从攻击者控制的Sui钱包发起微交易实施窃取。” 该浏览器插件的恶意代码专门设计用于窃取钱包助记词，其通过将助记词编码为虚假Sui钱包地址，随后从硬编码的攻击者控制钱包向这些地址发送0.000001 SUI微交易。这种手法的最终目标是将助记词隐藏在看似正常的区块链交易中进行走私，无需架设C2服务器接收信息。交易完成后，攻击者可通过解码收款地址重建原始助记词，最终转移全部资产。 Koi安全团队在分析报告中强调：”该扩展通过将助记词编码为虚假Sui地址并发送微交易实施窃取，攻击者仅需监控区块链、将地址解码回助记词即可清空受害者资产。” 为应对此类威胁，建议用户坚持使用可信钱包扩展。安全防护人员应扫描扩展是否包含助记词编码器、合成地址生成器及硬编码助记词，并阻断在钱包导入或创建期间执行链上写入操作的扩展。 博伊琴科补充道：”该技术使威胁攻击者能轻松切换链和RPC端点，依赖域名、URL或特定扩展ID的检测手段将失效。对于浏览器中意外的区块链RPC调用应保持高度警觉，特别是当产品宣称仅支持单链时。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局周三将WatchGuard Fireware操作系统中的一个关键安全漏洞列入已知被利用漏洞目录，该漏洞正被活跃利用。 涉事漏洞编号为CVE-2025-9242，属于越界写入漏洞，影响Fireware OS 11.10.2至11.12.4_Update1、12.0至12.11.3及2025.1版本。WatchGuard已于今年9月发布补丁。 CISA在公告中指出：”WatchGuard Firebox在OS iked进程中存在越界写入漏洞，可能允许远程未认证攻击者执行任意代码。”网络安全公司watchTowr Labs上月披露漏洞细节，称该问题源于IKE握手过程中对标识缓冲区缺少长度检查。 安全研究员麦考利·哈德森指出：”服务器确实尝试进行证书验证，但验证操作在易受攻击代码运行之后才执行，导致认证前即可触发漏洞路径。”WatchGuard在2025年10月21日的公告更新中表示，已发现漏洞被活跃利用的证据，并分享了三个相关攻击指标： 携带异常巨大IDi载荷的IKE_AUTH请求日志 成功利用时iked进程会中断VPN连接 无论利用是否成功，iked进程均会崩溃并生成故障报告 根据Shadowserver基金会监测数据，截至2025年11月12日，全球仍有超过5.43万台Firebox设备受此漏洞影响。扫描数据显示美国有约1.85万台存在漏洞的设备，意大利、英国、德国和加拿大分别以5400台、4000台、3600台和3000台位列前五。联邦民事行政机构需在2025年12月3日前完成补丁安装。 同期CISA还将Windows内核漏洞与Gladinet Triofox访问控制漏洞列入KEV目录。谷歌Mandiant威胁防御团队确认后者被追踪为UNC6485的威胁组织利用。 漏洞影响速览 漏洞类型：越界写入（CVE-2025-9242） 威胁等级：高危（CVSS 9.3） 受影响设备：全球5.43万台Firebox 主要风险：无需认证的远程代码执行 修复期限：联邦机构需于12月3日前完成修补     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由多国执法机构组成的国际联盟周四宣布，已成功摧毁全球网络犯罪分子广泛使用的三大恶意软件工具。这项代号为”终局行动”的专项打击从欧洲刑警组织海牙总部协调指挥，最新阶段成功瓦解了Rhadamanthys信息窃取器、VenomRAT远程访问木马以及Elysium僵尸网络。 此次行动始于11月10日，欧洲刑警组织称已铲除”导致全球数十万用户感染恶意软件“的基础设施。参与方包括澳大利亚、比利时、加拿大、丹麦、法国、德国、希腊、立陶宛、荷兰、英国和美国当局。 行动期间，VenomRAT工具的主要嫌疑人在希腊落网（本月早些时候被捕，姓名与国籍未公开），执法部门同步对11处地点实施突击搜查（德国1处、希腊1处、荷兰9处），查封20个域名并在全球范围关停或干扰逾1025台服务器。 欧洲刑警组织透露，被摧毁的恶意软件基础设施”包含数十万台受感染计算机，窃取凭证数量达数百万条”，且多数受害者对此毫不知情。”信息窃取器主犯掌握超过10万个属于受害者的加密钱包，潜在价值高达数百万欧元。” 目前约有200万个受影响邮箱地址及740万条密码可供查询。民众可访问politie.nl/checkyourhack与haveibeenpwned.com网站核查设备是否受损并获取应对指南。 “终局行动”官网已发布关于摧毁Rhadamanthys信息窃取器的宣传视频，显示执法机构正追查其开发运营者及客户群体，鼓励知情者提供线索。VenomRAT的明网站点现已被接管，页面醒目提示：”执法机构已查封该域名相关数据库及信息，任何运营或使用此类网络犯罪服务者将面临调查与起诉。” 此次行动延续了2024年首次行动中”史上最大规模僵尸网络打击”的凌厉攻势，今年早前第二阶段则直接针对勒索软件生态中的核心人员。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国与欧洲政府机构于周四联合发布最新技术通告，帮助企业防御自2023年起持续攻击中小型企业的Akira勒索软件团伙。这份对2024年4月原始通告的更新文件，新增了该组织在攻击中利用的策略与漏洞清单。 据通告显示，截至9月下旬，Akira团伙据信已通过勒索攻击获利超2.44亿美元。”Akira勒索软件不仅窃取资金，更破坏支撑医院、学校及企业运转的核心系统，”FBI网络部门助理主任布雷特·莱瑟曼指出，”每个受入侵的网络背后，都是真实的人群和社区在遭受冷酷网络罪犯的伤害。” 除FBI外，美国国防部、卫生与公众服务部共同参与了通告修订，欧洲刑警组织及法国、德国与荷兰执法机构也介入此次更新。该团伙据称主要瞄准制造业、教育、信息技术及医疗保健领域。 攻击手法揭秘 多家机构披露：”Akira威胁行为体通过窃取登录凭证或利用CVE-2024-40766等漏洞，获取SonicWall等VPN产品的访问权限。在某些案例中，他们通过初始访问中介或暴力破解VPN终端，凭借被盗VPN凭证实现初始入侵。此外，攻击者还部署密码喷洒技术，使用SharpDomainSpray等工具窃取账户凭证。” 该组织同时滥用AnyDesk、LogMeIn等远程访问工具维持对受害者网络的控制，并混入管理员活动以隐藏行踪。在部分事件中，应急响应人员发现Akira会卸载终端检测与响应系统。FBI警告称，在某些案例中攻击者在获得初始访问权限后仅两小时即完成数据窃取。 与Conti团伙的潜在关联 通告明确指出Akira与已解散的Conti勒索团伙存在联系，Conti在俄罗斯入侵乌克兰前夕解散前曾发动多起高关注度攻击。网络安全与基础设施安全局网络安全部门执行助理主任尼克·安德森在记者会上确认，Akira”可能与已解散的Conti勒索团伙存在某些关联”，但拒绝透露其是否与俄罗斯政府存在联系。 莱瑟曼补充说明：”虽然Akira与俄罗斯政府无直接关联，但我们确知Conti勒索团伙曾一度在俄罗斯境内活动，且部分成员可能与该组织存在联系。如同任何采用联盟计划的勒索组织，其成员可能遍布全球各地。” 重大攻击事件追溯 研究人员早前指出Akira与Conti勒索软件存在深度相似性，区块链分析显示多笔Akira赎金交易流向了Conti领导团队关联钱包。该团伙近期声称对BK Technologies公司发起网络攻击——这家佛罗里达企业为美国国防承包商及数十个警局、消防部门生产无线电设备。该公司上月向投资者预警9月遭遇安全事件，黑客窃取了非公开信息及现任/前任员工数据。 Akira还宣称对斯坦福大学、多伦多动物园、南非国有银行、外汇经纪商伦敦资本集团等数十个知名机构实施攻击。通告同时为受勒索团伙影响的K-12学校提供了专项防护建议。安德森强调：”Akira等组织带来的勒索威胁真实存在，各机构需严肃对待并迅速实施防护措施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被遗弃在互联网上的数据库导致英国历史影像档案馆”弗朗西斯·弗里斯”超过30万条用户记录暴露。该无需认证的Elasticsearch数据库最初由Cybernews研究人员发现，其中包含用户个人信息及私密消息。 成立于1860年的弗朗西斯·弗里斯公司坐落于索尔兹伯里，以其珍藏的1860至1970年间英国城镇乡村历史照片闻名。公司主要销售基于这些珍贵档案的冲印照片、书籍及个性化影像制品。研究人员通过泄露信息中提及的英国遗产网站francisfrith.com锁定数据源，最终确认属于负责该公司产品制造的Heritage Resource Management Ltd客户。 经分析，该开放数据库内含用户全名、邮箱地址及部分通过私信透露的实体住址，近4.4万条客户咨询记录同时曝光。泄露数据涵盖新旧账户，最早可追溯至近二十年前的2006年。 尽管未涉及金融账户或密码，但泄露数据仍构成重大隐私威胁——尤其对在消息中透露家庭住址的用户影响更甚。网络安全研究人员警告，攻击者可能利用这些信息冒充弗朗西斯·弗里斯品牌实施精准网络钓鱼：受影响的用户或收到关于定制照片马克杯或书籍订单的伪造邮件。 此类钓鱼邮件通常诱导用户访问恶意网站，进而窃取账户凭证或信用卡信息。这些网站还可能暗藏键盘记录恶意软件，若用户误装可能导致财务账户被清空。 Cybernews团队已联系该公司及英国社区应急响应小组，涉事数据库随后被安全加固。但截至发稿前，该公司未就事件作出任何回应。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP近日发布2025年11月安全更新，共修复19项安全漏洞，其中包含SQL Anywhere Monitor组件中一处可导致远程代码执行的严重缺陷。 该漏洞编号为CVE-2025-42890（CVSS评分10.0），属于SQL Anywhere Monitor（非图形界面版）的密钥与密钥管理缺陷。安全公告指出，组件中存在的硬编码凭证允许攻击者执行任意代码，严重威胁系统机密性、完整性与可用性。 公告声明：”SQL Anywhere Monitor（非图形界面版）将凭证直接嵌入代码，导致资源或功能暴露给非目标用户，使攻击者可能实现任意代码执行。这将对系统保密性、完整性和可用性造成重大影响。”专家建议临时禁用SQL Anywhere Monitor并删除所有现有监控数据库实例。 同时，SAP还修复了SAP Solution Manager中编号CVE-2025-42887（CVSS评分9.9）的严重代码注入漏洞。该缺陷源于输入验证缺失，攻击者可在调用远程功能模块时插入恶意代码。公告强调：”由于缺乏输入验证，SAP Solution Manager允许经过身份验证的攻击者在调用远程功能模块时插入恶意代码。这可能使攻击者获得系统完全控制权，从而对系统机密性、完整性和可用性产生重大影响。” 此外，SAP还针对10月补丁日发布的安全笔记推出更新，修复了SAP NetWeaver AS Java中涉及不安全反序列化的严重漏洞（CVE-2025-42944）。目前尚未确认本月修复的安全漏洞是否已被主动利用。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，德国检方宣布，一名疑似极右翼分子因涉嫌通过暗网网站策划刺杀高级政要被逮捕。据联邦检察官办公室透露，49岁德波双国籍嫌疑人马丁·S已于本周早些时候在多特蒙德落网。 该嫌疑人被指控创建网络平台，通过募集加密货币捐款来资助其针对多名民选官员发布的”死刑令”。该网站不仅包含制造爆炸物的指导手册，还披露潜在受害者的个人信息，据信自今年6月起持续活跃。 德国媒体报道该网站目前已被关闭。虽然官方未公开目标人物名单，但《明镜周刊》披露其包括前总理安格拉·默克尔与奥拉夫·肖尔茨，以及多名前部长与其他公众人物。警方还查获针对数十名政客、法官和检察官的”犯罪档案”与”死刑判决书”，以及涉及种族主义、反犹太主义和阴谋论的宣传材料。 该嫌疑人自2020年因参与新冠抗议活动引起安全部门注意。调查显示其长期与多特蒙德新纳粹势力保持联系，并频繁参加极右翼集会。当地媒体将马丁·S与”帝国公民运动”关联——该组织否认现代德国合法性，坚称1945年前的德意志帝国仍应存续。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国正组建一支专项打击组，旨在清剿遍布东南亚的电诈窝点。过去五年来，这些犯罪网络已从美国民众手中窃取超百亿美元资金。 财政部宣布，该”电诈中心打击组”将由来自司法部、特勤局、国务院及联邦调查局的探员与检察官组成。该团队将重点针对缅甸、柬埔寨与老挝地区，”调查、瓦解并起诉性质最恶劣的东南亚电诈中心及其头目”。相关机构计划通过制裁、资产没收及刑事起诉等手段端除电诈窝点，同时为受害者提供部分赔偿并开展反诈宣教。 据官方统计，2024年仅因东南亚”杀猪盘”、虚假投资骗局及欺诈性加密货币平台，美国居民损失金额就高达至少100亿美元。目前仅少数受害者向联邦调查局报案，且极少数人能追回资金——更多人因此倾尽毕生积蓄。 财政部高官约翰·赫尔利指出：”盘踞在缅甸的犯罪网络正通过网络骗局从勤劳的美国民众手中掠夺数十亿美元。这些网络同时从事人口贩运，并助长缅甸残酷的内战。政府将持续动用一切手段追缉这些网络罪犯——无论其藏身何处——保护美国家庭免遭剥削。” 制裁措施详解 财政部周三同时宣布，对支持缅甸电诈窝点的武装团体实施制裁。外国资产控制办公室将克伦民主仁爱军及其三名首领列入制裁名单，该武装团体是支持缅甸军政府的多支力量之一。 制裁名单还包括泰国籍人士查姆·萨旺、泰国环亚国际控股集团公司及卓思达公司，上述实体被指控充当缅甸武装团体的联络枢纽，协助克伦民主仁爱军等地方武装发展电诈产业。 美国官员透露，电诈窝点产生的收益既流向有组织犯罪集团，也为持续肆虐缅甸内战的武装团体提供资金。调查人员追踪到部分被骗资金流向位于缅甸克伦邦妙瓦迪镇的”泰昌”电诈园区，该园区处于克伦民主仁爱军控制区，由该武装部队准将赛觉拉实际掌控。 根据指控，克伦民主仁爱军为泰昌园区提供武装保护，并虐待遭人口贩运被迫在此工作的受害者。”该武装士兵殴打戴手铐电诈工人的画面曾被录像，获救受害者声称遭受电击、在黑屋中被悬吊双臂等暴行，”财政部声明称，”通过参与电诈运营，克伦民主仁爱军获得资助其持续非法活动的资金。该武装还与中国有组织犯罪集团合作从事毒品、人口、武器及野生动物贩运，并进行洗钱活动。” 美国和平研究所前缅甸事务主任杰森·塔沃指出，2023至2024年间的执法行动迫使缅甸大量电诈活动从果敢转移至掸邦南部与克伦邦。今年9月，财政部曾对位于缅泰边境水谷谷的电诈中心相关方实施制裁，该地区自缅甸内战爆发后已成为电诈枢纽。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周二发布了一项名为“隐私AI计算”的全新隐私增强技术，旨在云端安全平台中处理人工智能查询。 公司表示，打造隐私AI计算是为了“在确保您的个人数据仅本人可见的同时，充分释放Gemini云端模型在AI体验中的全部速度与效能”。这项技术被描述为一个“安全加固空间”，以类似设备端处理的方式处理敏感用户数据，同时扩展了AI能力。其核心动力来自Trillium张量处理单元与泰坦智能安全飞地，使得公司能在不牺牲安全隐私的前提下使用前沿模型。 换言之，该隐私基础设施既利用了云端的计算速度与性能，又保留了设备端处理的安全隐私保障。 谷歌的CPU与TPU工作负载（即可信节点）基于AMD硬件可信执行环境，可对内存进行加密并与主机隔离。谷歌强调，只有经过认证的工作负载才能在可信节点运行，且管理员权限已被切断。此外，节点还具备物理防数据窃取攻击的能力。 该架构还支持可信节点间的点对点认证与加密，确保用户数据仅限在安全环境内解密处理，并隔绝于谷歌其他基础设施。“每个工作负载都会请求并加密验证对方的工作负载凭证，从而在受保护的执行环境中建立双向信任，”谷歌解释称，“工作负载凭证仅在节点认证通过内部参考值验证后才会发放。验证失败将阻止连接建立，从而保护用户数据免受不可信组件侵害。” 整体流程如下：用户客户端通过Noise协议与前端服务器建立加密连接，完成双向认证。客户端还通过Oak端到端加密认证会话验证服务器身份，确认其真实未经篡改。随后，服务器通过应用层传输安全协议与可扩展推理流水线中的其他服务建立加密通道，最终与运行在强化TPU平台上的模型服务器通信。整个系统采用“临时性设计”，即使用户会话结束后输入数据、模型推理及计算结果立即清除，即使攻击者获得系统特权也无法获取历史数据。 谷歌隐私AI计算架构 谷歌同时强调了内置的多重防护机制以保障系统安全性与完整性，防止未授权篡改，包括： 最大限度减少数据保密所需的可信组件与实体数量 采用机密联邦计算收集分析数据与聚合洞察 客户端与服务器通信全程加密 实施二进制授权，确保软件供应链中仅运行经签名授权代码与验证配置 在虚拟机中隔离用户数据以控制泄露影响 通过内存加密与输入输出内存管理单元防护抵御物理窃取 TPU平台实现零命令行访问权限 使用第三方运营的IP隐匿中继传输所有入站流量以隐藏请求真实来源 采用匿名令牌将系统认证授权与推理过程隔离 安全评估与改进 网络安全公司NCC集团在2025年4月至9月期间的外部评估中发现，IP隐匿中继组件存在基于时间的侧信道漏洞，特定条件下可能“去匿名化”用户。但谷歌认定该风险较低，因为系统多用户特性会产生“显著噪声”，使攻击者难以将查询关联到特定用户。评估还发现认证机制实施中的三处缺陷，可能导致拒绝服务状态及多种协议攻击，谷歌正全力修复所有问题。 评估报告指出：“尽管整套系统依赖专有硬件且集中部署于Borg Prime平台……但谷歌已严格限制用户数据遭异常处理或外泄的风险，除非谷歌整个组织蓄意而为。用户将获得针对恶意内部人员的高度防护。” 行业趋势与展望 此举与苹果和Meta的战略相呼应，这两家公司已分别推出私有云计算与隐私处理服务，以隐私保护方式将移动设备AI查询任务转移至云端。谷歌AI创新与研究副总裁杰·亚格尼克表示：“远程认证与加密技术将您的设备连接至硬件加密的密封云环境，使得Gemini模型能在专用受保护空间内安全处理数据。这确保了隐私AI计算处理的敏感数据仅限您本人访问，其他任何方（包括谷歌）均无法获取。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla（谋智）公司表示，其已研发出 “一套全新、独特且强效的防护机制，可抵御各类实际应用中的指纹追踪技术”，该机制随火狐 145 版本同步上线。此次升级预计能使易被指纹追踪技术定位的用户数量减少一半。 这批全新隐私防护功能将率先面向两类火狐用户开放：一类是已将增强型追踪防护功能设为严格模式的用户，另一类是使用隐私浏览模式（隐私窗口）的用户。后续，Mozilla 计划将该防护机制设为所有用户的默认开启功能。 Mozilla 在公告中称：“火狐是首款对指纹追踪技术具备如此深度洞察的浏览器，其部署的防护措施也是目前减少指纹追踪最为高效的。” 那么此次版本究竟有哪些具体更新？根据官方文档，火狐新版本实现了以下功能： 针对画布指纹追踪技术（这类技术利用不同设备渲染图像的独特方式实现追踪），当网站读取图像数据时，火狐会为生成的图像添加随机噪点；而仅当网站向画布元素渲染数据时，图像则不会被改动。不过对于采用这类追踪技术的网站，用户可能会察觉到图像中存在细微噪点。 火狐浏览器将不再调用设备本地安装的字体渲染网页文本，仅反馈操作系统自带的标准字体信息。 设备支持的同时触控点数将统一显示为 0、1 这两个数值，若实际支持点数为其他数值，则统一显示为 5。 屏幕分辨率与任务栏尺寸将采用标准化反馈方式：可用分辨率统一按屏幕实际分辨率减去 76 像素计算。 处理器核心数的反馈规则为：若设备处理器核心数超过 4 核，统一显示为 8 核；若不超过 4 核，则显示为 4 核。 这些新功能的落地，标志着反指纹追踪防护第二阶段的开发工作正式完成。 Mozilla 表示：“我们的研究显示，这些改进措施能使被识别为‘唯一用户’的比例降低近一半。” 此次推出的反指纹追踪防护功能，是在多年来逐步搭建的多层隐私安全防护体系基础上进一步优化而来。例如，火狐的增强型追踪防护功能长期以来始终会拦截已知的追踪脚本与指纹追踪脚本；此外，浏览器还提供全面 Cookie 隔离功能，并限制网站对用户其他各类信息的获取权限。 目前火狐已能够屏蔽多种主流指纹追踪技术，涵盖显卡图像绘制方式、设备安装的字体类型，甚至设备执行数学运算时存在的细微差异等追踪手段。 但需指出的是，若要完全消除用户指纹信息，几乎必然会破坏网页的正常使用体验。赛博新闻网此前就曾证实，即便禁用所有 Cookie 与追踪程序，用户仍可能被追踪到。 Mozilla 解释道：“看似更严格的指纹追踪拦截机制效果更好，但必然会导致部分正规网站功能失效。比如日程管理、日程安排以及视频会议类工具，都需要获取用户的实时时区信息，这一需求是合理且必要的。” 目前 Mozilla 尚未提及是否会像勇敢浏览器那样，对用户代理信息进行隐藏处理。当前火狐仍会向网站反馈用户的浏览器版本、操作系统等信息，同时还会暴露用户偏好语言、压缩支持情况以及 SSL-JA3 哈希值等数据。 如何开启增强防护功能？ 火狐 145 版本用户若想为所有网站开启该防护功能，可按以下步骤操作：进入浏览器设置界面，找到隐私与安全选项，然后自定义设置增强型追踪防护功能，勾选拦截已知及可疑指纹追踪程序的选项即可。 若开启该功能后某个特定网站出现无法正常加载的情况，用户可点击地址栏中的盾牌图标，通过切换按钮临时关闭该网站的增强型追踪防护功能。 此外，隐私浏览模式（打开 “新建隐私窗口”）会默认开启 “已知指纹追踪防护” 与 “可疑指纹追踪防护” 两项功能。详细操作说明可查阅 Mozilla 官方帮助文档。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汉堡知名的微缩景观馆已向多名游客发出通知，告知其遭遇了一起 “数据安全事件”。攻击者或许已获取了数十万人的信用卡数据。 这座微缩景观馆是德国北部城市汉堡最热门的旅游景点之一，也是全球规模最大的铁道模型展区。今年 4 月，曾有人在此释放刺激性气体。当时事件造成 46 人受轻伤，馆内游客被全部疏散，不过半小时后该场馆便解除警戒，允许游客重新进入。 而此次遭受的另一起攻击，其造成的影响可能要严重得多。近几个月内到访过该场馆的部分游客刚刚收到一封邮件，邮件中告知了这起 “数据安全事件”，并说明他们的个人信息有可能受到影响。 邮件中写道：“汉堡微缩景观馆遭遇了网络攻击，未获授权的第三方或已通过此次攻击获取了你的信用卡数据。我们认为场馆门票线上购票页面存在安全漏洞，这导致信用卡数据不仅直接传输至了我们的支付服务商处，还被发送至了另一台独立服务器。” 赛博新闻网已联系汉堡微缩景观馆，希望其就该事件作出回应，并表示收到回复后将更新相关报道。截至目前，暗网论坛中尚未出现任何与该场馆遭黑客攻击相关的消息。 据悉，此次数据安全事件影响的范围为 6 月 6 日至 10 月 29 日期间通过线上渠道用信用卡完成的购票交易。 该场馆每年接待游客超 150 万人次。尽管并非所有游客都会提前线上购票，但可以确定的是，此次网络攻击至少会波及数千名游客，其受影响人数甚至可能更多。 场馆方面推测，游客在门票线上购票页面填写的所有信用卡信息（包括持卡人姓名、卡号、信用卡验证码以及有效期）均已受此次事件影响。 微缩景观馆在发给游客的邮件中表示：“我们无法排除这些数据被滥用的可能性。因此，该事件可能会给你带来不良后果，例如因信用卡被盗刷造成财产损失，或是个人身份信息遭冒用等情况。” 场馆还补充称，发现该事件后已立即隔离了受影响的服务器。但据推测，游客个人数据的泄露时长其实已接近整整五个月。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个臭名昭著的关联俄罗斯勒索软件团伙声称，已从意大利最大的工业气体生产商之一窃取 159GB 数据，并已启动公开泄露倒计时。 这起勒索软件攻击的幕后黑手是关联俄罗斯的网络犯罪团伙 “珠穆朗玛峰集团”（Everest Group），该团伙已在暗网的泄露站点上将西亚德集团（SIAD Group）列为受害者。 西亚德集团是意大利领先的化工及工业气体公司，生产和分销应用于食品、医疗、汽车、冶金和化工制造等多个行业的气体产品。其业务还包括液化石油气（LPG）和天然气供应。 除气体生产外，该公司还研发气体处理设备、压缩机和自动化系统，并提供家庭及医院医疗保健服务。西亚德集团于 1927 年在贝加莫成立，2024 年营业额超过 11 亿欧元。 目前，该团伙尚未发布数据样本佐证其说法。受害者站点上的帖子包含一个计时器，显示该公司需在 8 天内联系网络犯罪分子，否则被盗数据将被公开。 西亚德集团勒索软件攻击事件 勒索软件团伙常将受害者列在暗网泄露站点上，试图通过勒索迫使企业支付赎金。 此次潜在数据泄露的影响范围和后果目前尚无法确定。 “尚未有任何证据上传，因此我们不清楚哪些系统可能受到影响，”Cybernews 研究人员表示。 “由于西亚德集团是多种工业耗材的主要供应商，若勒索软件攻击导致其生产运营中断，可能会使其无法向客户交付所需耗材，进而对欧盟地区的制造业、医疗保健和能源行业造成一定程度的干扰，” 研究人员补充道。 Cybernews 已联系该公司寻求说明，但尚未收到回应。 珠穆朗玛峰集团（Everest Group）是谁？ 珠穆朗玛峰集团大概率关联俄罗斯，于 2021 年 7 月首次现身。该团伙今年发动的最具破坏性攻击瞄准了航空业。 他们声称入侵了柯林斯航空航天公司（Collins Aerospace）及其 MUSE 值机软件 —— 这款软件用于机场值机和乘客管理。 此次攻击影响了欧洲多个主要机场，导致连续数日的出行混乱。随后，该团伙威胁要泄露与柯林斯航空航天公司入侵事件相关的都柏林机场乘客数据。 今年 9 月，该团伙声称宝马集团（BMW）遭其攻击，还宣称入侵了德国第二大银行德国中央合作银行（DZ Bank）的一家子公司，并威胁泄露被盗数据，但该银行否认发生过任何攻击事件。 7 月，该集团声称攻击了知名电子邮件营销平台 Mailchimp，窃取了一批 “公司内部文件”，但部分安全圈内人士称这些文件只是 “零星碎片”。 该团伙被认为与 BlackByte 勒索软件集团存在关联。5 月 22 日，珠穆朗玛峰集团将目标对准可口可乐中东分部，最终泄露了该公司多个配送中心近 1000 名员工的数据。 据悉，这起攻击似乎是针对全球最大可口可乐装瓶商 “可口可乐欧洲太平洋合作伙伴公司” 的大规模攻击的一部分，勒索软件团伙声称窃取了约 2300 万条记录。 在攻击可口可乐后数日，珠穆朗玛峰集团又声称攻击了知名国际私立医院集团 Mediclinic（在阿联酋设有分院）、阿布扎比文化和旅游部，以及约旦科威特银行（JKB）。 此外，该团伙还曾在 2022 年 10 月攻击美国电话电报公司（AT&T），据称当时试图出售 AT&T 整个企业网络的访问权限；2024 年秋季，还攻击了丽笙乡村旅馆及套房连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 “Fantasy Hub” 的新型安卓远程访问木马（RAT）。该恶意软件以 “恶意软件即服务（MaaS）” 模式，在俄语 Telegram 频道上售卖。 据卖家介绍，这款恶意软件可实现设备控制与窃密功能，能让威胁者收集短信、联系人、通话记录、图片和视频，还可拦截、回复及删除 incoming 通知。 Zimperium 研究员维什努・普拉塔帕吉里在上周的报告中表示：“它是一款配备卖家文档、视频教程和机器人驱动订阅模式的 MaaS 产品，降低了入门门槛，方便新手攻击者使用。” “由于它瞄准金融操作流程（伪造银行弹窗）并滥用短信处理权限（拦截双因素认证短信），因此对采用自带设备办公（BYOD）的企业客户，以及员工依赖移动银行或敏感移动应用的任何组织，都构成直接威胁。” 该威胁者在 Fantasy Hub 的广告中，将受害者称为 “猛犸象”—— 这一术语常被俄语区 Telegram 网络犯罪分子使用。 这款网络犯罪工具的买家会收到相关指导，包括创建用于分发的伪造谷歌应用商店（Google Play Store）落地页，以及绕过限制的步骤。潜在买家可自定义图标、名称和页面内容，获得外观精美的伪装页面。 管理付费订阅和生成器访问权限的机器人，还支持威胁者上传任意 APK 文件，随后返回嵌入恶意有效载荷的篡改版本。该服务的订阅方案为：单用户（即一个活跃会话）每周 200 美元、每月 500 美元，也可选择每年 4500 美元的年度订阅。 与该恶意软件关联的命令与控制（C2）面板，会显示受攻陷设备的详细信息及订阅状态，还能让攻击者下发指令收集各类数据。 Zimperium 指出：“卖家指导买家创建机器人、获取聊天 ID 并配置令牌，将普通警报和高优先级警报路由至不同聊天窗口。这种设计与上月披露的安卓 RAT‘HyperRat’高度相似。” 这款恶意软件借鉴了 ClayRAT 的手法，滥用默认短信权限获取短信、联系人、相机和文件访问权。它会诱导用户将其设为默认短信处理应用，从而一次性获取多项高级权限，无需在运行时逐一申请。 已发现的投放程序（dropper app）会伪装成谷歌应用商店更新，以营造合法性，诱骗用户授予必要权限。除了通过伪造弹窗窃取阿尔法银行（Alfa）、PSB 银行、T 银行（T-Bank）和俄罗斯联邦储蓄银行（Sberbank）等俄罗斯金融机构的银行凭证外，这款间谍软件还借助开源项目，通过 WebRTC 实时流式传输摄像头和麦克风内容。 普拉塔帕吉里表示：“Fantasy Hub 这类 MaaS 服务的快速崛起，表明攻击者能轻易利用安卓合法组件实现设备完全攻陷。与仅依赖弹窗的老式银行木马不同，Fantasy Hub 整合了原生投放程序、基于 WebRTC 的实时流传输和短信处理权限滥用功能，可实时窃取数据并伪装成合法应用。” 与此同时，Zscaler ThreatLabz 披露，受精密间谍软件和银行木马推动，安卓恶意软件交易同比增长 67%。2024 年 6 月至 2025 年 5 月期间，谷歌应用商店已标记出 239 款恶意应用，总下载量达 4200 万次。 同期观测到的知名安卓恶意软件家族包括 Anatsa（又称 TeaBot、Toddler）、Void（又称 Vo1d），以及一款名为 Xnotice 的新型安卓 RAT。该木马伪装成招聘应用，通过虚假招聘网站分发，专门针对中东和北非地区石油天然气行业的求职者。 这些恶意软件安装后，会通过弹窗窃取银行凭证，并收集多因素认证（MFA）码、短信和截图等其他敏感数据。 Zscaler 表示：“威胁者部署了 Anatsa、ERMAC 和 TrickMo 等精密银行木马，这些木马常伪装成合法工具或办公应用，出现在官方应用商店和第三方应用商店中。安装后，它们会采用高度欺骗性技术，窃取交易授权所需的用户名、密码乃至双因素认证（2FA）码。” 此前，波兰计算机应急响应小组（CERT Polska）也曾发布预警，提醒一款名为 NGate（又称 NFSkate）的安卓恶意软件新样本。该木马针对波兰银行用户，通过近场通信（NFC）中继攻击窃取银行卡信息。恶意应用链接通过钓鱼邮件或短信分发，这些信息伪称来自银行，以 “技术问题” 或 “安全事件” 为由，诱导用户安装应用。 受害者启动该应用后，会被要求将支付卡贴近安卓设备背面，在应用内直接验证。而这一操作会导致应用秘密捕获银行卡的 NFC 数据，并将其窃取至攻击者控制的服务器，或直接发送至攻击者安装的配套应用，以便在 ATM 机取现。 该机构表示：“此次攻击活动旨在利用受害者自身的支付卡，在 ATM 机进行未授权取现。犯罪分子无需物理盗取银行卡，只需将受害者安卓手机中的 NFC 流量，中继至攻击者在 ATM 机旁控制的设备即可。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文