HackerNews

HackerNews 编译，转载请注明出处： 欧洲知名求职平台beWanted发生重大数据泄露事件，超110万份求职者简历及敏感信息通过未加密的Google云存储桶（GCS）暴露于公网。网络安全媒体Cybernews研究团队于2023年11月发现该漏洞，但多次联系总部位于西班牙马德里的beWanted公司后，数据仍可公开访问。 泄露数据包含： 全名、电话号码、邮箱及家庭住址 出生日期、国籍及出生地 身份证号码（涉及西班牙、阿根廷、危地马拉、洪都拉斯等多国公民） 社交媒体链接、工作经历及教育背景 研究人员指出，每份文件可能对应一名求职者，此次泄露构成重大安全事件。数据至少暴露六个月，网络犯罪分子可能已利用其发起： 身份盗用：伪造合成身份或欺诈账户 精准钓鱼攻击：诱骗受害者泄露金融账户或敏感数据 社交工程攻击：冒充虚假招聘机构渗透职业网络，传播恶意软件或窃取机密 尽管Cybernews已联系beWanted寻求置评，但截至发稿未获回复。该公司自称“全球最大人才库生态”，通过SaaS模式连接求职者与雇主，在墨西哥、德国及英国设有分支机构。 研究团队提出以下防护措施以缓解风险： 限制公开访问：关闭存储桶公共权限，启用“公开访问预防”功能 实施访问控制：基于最小权限原则，仅向授权用户和服务分配必要权限 监控访问活动：启用云审计日志追踪存储桶访问，配置云监控警报响应可疑行为 启用数据加密：激活服务器端静态数据加密，使用Google云密钥管理服务（KMS） 强制安全传输：要求所有数据传输使用SSL/TLS协议，拦截非安全HTTP连接 采纳最佳实践：定期执行权限与配置安全审计，利用Google云安全指挥中心自动化评估 此次事件再次凸显云存储配置失误的破坏力。求职者需警惕异常招聘邀约，企业应强化云环境安全基线，避免成为下一个受害者。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家指出，《纽约邮报》（New York Post）经过认证的X平台（原Twitter）账户疑似遭劫持，并被用于针对加密货币爱好者。2025年5月3日，Kerberus创始人兼CEO Alex Katz在X平台分享诈骗活动截图，显示@nypost认证账户被用于发送欺诈私信。 诈骗者冒充《纽约邮报》调查记者，以邀请嘉宾参与播客录制为名发送私信：“我们正在为新一期播客招募嘉宾，诚邀您参与录制。” 收到私信的用户若回复，会立即被对方在X平台拉黑，并被要求通过Telegram联系——此举疑似为避免触发《纽约邮报》团队警报，同时将受害者诱骗至Telegram实施加密货币诈骗。 网络安全公司Drew Security创始人、NFT收藏家Drew进一步分析称，此新型骗局利用用户对过往对话的信任，通过私信而非公开推送欺诈广告或恶意链接实施攻击。部分专家推测，攻击者可能试图利用Zoom等流行平台的安全漏洞安装恶意软件。 目前尚不清楚黑客如何获得账户权限及具体联系人数。《纽约邮报》尚未发布官方声明，Cybernews已联系该媒体寻求置评并将更新回应内容。 安全专家建议用户谨慎处理私信，尤其是要求切换至其他平台的请求——即使信息来自可信账户（因任何账户均可能被入侵）。截至发稿，@nypost账户仍可正常访问，但相关欺诈私信已被删除。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 应用安全领域正面临一个持续十余年的悖论：检测工具越先进，警报结果却越无用。随着静态分析工具、扫描器和CVE数据库的警报激增，真正的安全保障却愈发遥不可及。取而代之的是警报疲劳与不堪重负的团队——这已成为行业新常态。 根据OX Security的《2025年应用安全基准报告》，95-98%的应用安全警报无需采取行动——事实上，这些警报对组织的危害可能大于帮助。我们的研究覆盖178个组织的1.01亿个安全检测结果，揭示了现代应用安全运营的低效。每个组织平均收到近57万条警报，其中仅有202条代表真实关键问题。 这个令人震惊的结论难以忽视：安全团队正在追逐幻影，将时间浪费在对无实际威胁漏洞的处置上，消耗预算，并与开发团队关系紧张。最糟糕的是——安全正在阻碍实际创新。正如Chris Hughes所言：“我们以业务赋能者自居，实则将同事埋没于苦工，延缓开发速度，最终损害业务成果。” 回溯2015年，全球公开披露的CVE漏洞仅6,494个，彼时检测能力被视为核心指标。十年间，云原生应用普及、开发周期提速、攻击面扩张，至2025年全球CVE漏洞总数已突破20万。然而，多数安全工具仍固守“检测为王”逻辑，向控制面板倾泻未经筛选、缺乏上下文的警报。 OX的基准报告证实了从业者长期怀疑的现象： 32%的已报告问题存在低利用概率 25%没有已知公开漏洞利用 25%源于未使用或仅用于开发的依赖项 这种无关检测结果的洪流不仅拖慢安全速度——更在主动削弱安全效能。 为对抗这种厄运循环，组织必须采用基于证据优先级的更复杂应用安全方法。这需要从通用警报处理转向涵盖从设计阶段到运行时代码的全面模型，包含以下要素： 可达性：漏洞代码是否被使用，是否可访问？ 可利用性：该环境中是否存在漏洞利用条件？ 业务影响：此处被攻破会造成实际损害吗？ 云到代码映射：该问题在SDLC中起源于何处？ 通过实施此类框架，组织能有效过滤噪音，专注于构成真实威胁的少数警报。这能提升安全效能，释放宝贵资源，并支持更自信的开发实践。OX Security正通过代码投影（Code Projection）应对这一挑战——这项基于证据的安全技术将云和运行时元素映射回代码源头，实现上下文理解和动态风险优先级排序。 通过基于证据的优先级排序，每个组织平均569,354条警报可缩减至11,836条，其中仅202条需立即处置。行业基准揭示多个关键洞见： 一致的噪音阈值：无论企业或商业环境，不同行业的基线噪音水平惊人相似 企业安全复杂性：企业环境因更广泛的工具生态、更大的应用覆盖、更多的安全事件、更频繁的事件和更高的整体风险敞口面临更大挑战 金融行业脆弱性：金融机构警报量显著更高。其对金融交易和敏感数据的处理使其成为高价值目标。如《Verizon数据泄露调查报告》所示，95%的攻击者主要动机是经济利益而非间谍活动。金融机构与货币资产的密切关系为攻击者创造了直接获利机会 这些发现具有深远影响。如果少于5%的应用安全修复对组织至关重要，那么所有组织在分类、编程和网络安全工时上的巨额投入都将徒劳。这种浪费延伸至漏洞赏金计划支付（白帽黑客发现需修复的漏洞），以及未及时发现并进入生产环境的漏洞修复成本。最终重大成本是开发团队与安全团队之间因要求修复无关漏洞而产生的紧张关系。 面对2025年预计新增的5万个漏洞，传统“全检测、后修复”模式已显危险。OX报告强调应用安全的未来不在于修复所有潜在漏洞，而在于智能识别真实风险。当企业能将97.8%的无效警报过滤，安全团队方能摆脱“救火队”角色，真正成为业务创新的护航者。          消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布重大账户安全升级：新用户注册将默认启用无密码登录。继2023年为消费者账户推出通行密钥（Passkey）支持后，微软进一步调整策略，强制新账户采用防钓鱼认证方式。微软身份认证部门负责人Joy Chik与安全副总裁Vasu Jakkal表示：“全新微软账户现默认无密码。新用户可通过多种无密码方式登录账户，且无需设置密码。现有用户可前往账户设置删除密码。” 此次更新简化了登录与注册流程，优先展示无密码选项。此外，登录流程现已自动检测用户账户可用的最佳认证方式并设为默认。例如，若某账户支持密码和“一次性验证码”登录，系统将引导用户选择后者。成功登录后，用户将收到设置通行密钥的提示以增强安全防护。微软此举与苹果、谷歌、亚马逊等科技企业近年举措同步，标志着行业向无密码时代稳步迈进。鉴于基于密码的网络攻击仍是攻击者主要入侵手段，通行密钥的普及预示着账户安全的重要变革。 2023年9月，微软在Windows 11中引入通行密钥支持，同期谷歌将其设为全球用户默认登录方式。2024年，微软更新Windows Hello生物识别系统以兼容该技术。通行密钥通过消除密码需求提供更安全登录方案，其技术基础由FIDO联盟推动的公钥加密体系支撑。用户注册在线服务时，其客户端设备（如手机或电脑）生成密钥对：私钥安全存储于本地，公钥上传至服务端。登录时，用户通过生物识别（如面容或指纹）验证身份后，设备使用私钥签署验证请求完成认证。 2024年10月，FIDO联盟宣布正与各方合作优化通行密钥跨平台导出功能，改善凭证提供商的互操作性。截至去年12月，全球超150亿用户账户已支持通行密钥登录。该联盟上月还成立支付工作组（PWG），旨在制定支付场景的FIDO解决方案，重点评估现有及新兴支付认证技术，并制定通行密钥与现有支付技术融合的指导规范。 消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）上周四宣布对一名36岁也门公民提出指控，指控其使用Black Kingdom勒索软件实施全球攻击，包括美国境内的企业、学校和医院。也门萨那的Rami Khaled Ahmed被控一项合谋罪、一项蓄意破坏受保护计算机罪及一项威胁破坏受保护计算机罪。据评估，Ahmed目前居住在也门。 司法部声明称：“2021年3月至2023年6月期间，Ahmed及其同伙入侵了多家美国受害者的计算机网络，包括加州恩西诺的医疗计费服务公司、俄勒冈州的滑雪度假村、宾夕法尼亚州的学区以及威斯康星州的健康诊所。”Ahmed被指控通过利用微软Exchange服务器的ProxyLogon漏洞（CVE-2021-26855）开发并部署勒索软件。该软件通过加密受害者网络数据或声称窃取数据实施勒索，加密后会在系统中留下赎金条，要求受害者向同谋者控制的比特币地址支付价值1万美元的加密货币。据称受害者还被要求将付款证明发送至Black Kingdom专用邮箱，该勒索软件估计感染了美国及其他地区约1500台计算机系统。 微软在2021年3月底披露，这款也被追踪为Pydomer的勒索软件家族曾利用Pulse Secure VPN漏洞（CVE-2019-11510）发动攻击，并指出其是首个利用ProxyLogon漏洞的现有勒索家族。网络安全厂商Sophos将Black Kingdom描述为“结构相对简陋且业余”，攻击者利用ProxyLogon漏洞部署Web Shell后，通过PowerShell命令下载勒索软件。2021年8月，观察发现一名尼日利亚威胁行为体试图以支付100万美元比特币为条件招募员工，作为内鬼在企业网络部署Black Kingdom勒索软件。 若罪名成立，Ahmed每项指控最高面临五年联邦监禁。此案由美国联邦调查局（FBI）联合新西兰警方调查。此次指控正值美国政府当局针对各类犯罪活动密集发布公告之际： 司法部公开对乌克兰公民Artem Stryzhak的起诉书，指控其自2021年6月成为勒索软件附属成员后使用Nefilim勒索软件攻击企业。Stryzhak于2024年6月在西班牙被捕，并于2025年4月30日引渡至美国。若定罪将面临最高五年监禁。 英国公民Tyler Robert Buchanan（疑似臭名昭著的Scattered Spider网络犯罪组织成员）从西班牙引渡至美国，面临电信欺诈和加重身份盗窃指控。Buchanan于2024年6月在西班牙被捕，美国于2024年11月宣布对其及Scattered Spider其他成员的指控。 Scattered Spider另一成员Noah Michael Urban于2024年1月被捕，2025年4月初对类似指控认罪，并同意根据认罪协议向59名受害者支付1300万美元。尽管多名成员被捕，Scattered Spider仍被观察到使用模仿Okta登录门户的更新版钓鱼工具包和新版Spectre RAT维持对入侵系统的持久访问。Silent Push称：“2025年观察到的变化暗示新开发者和/或技术混淆决策的存在。” 儿童勒索组织764的两名头目Leonidas Varagiannis（又名War，21岁）和Prasan Nepal（又名Trippy，20岁）因指挥和传播儿童性虐待材料（CSAM）被捕，二人被指控剥削至少八名未成年受害者。该组织另一成员Richard Anthony Reyna Densmore因性剥削儿童于2024年11月在美国被判30年监禁。764组织成员隶属于The Com——一个实施经济动机犯罪、性犯罪和暴力犯罪的松散关联团体集合，其中也包括Scattered Spider。 美国财政部金融犯罪执法网络（FinCEN）将柬埔寨 conglomerate HuiOne Group 列为“东南亚跨国网络犯罪集团主要洗钱关切机构”，指控其协助浪漫诱骗诈骗并为朝鲜民主主义人民共和国（DPRK）网络劫案收益洗钱提供关键节点。HuiOne Pay的银行牌照于2025年3月被柬埔寨国家银行吊销。 这些进展出现之际，勒索软件仍是持久威胁，尽管随着持续执法行动导致攻击策略重大转变，该领域日益呈现碎片化和波动性。这包括无加密攻击频率上升，以及网络犯罪分子从传统层级化组织转向“独狼”模式的趋势。 Halcyon表示：“勒索软件运营日益去中心化，越来越多前附属成员选择独立运作而非依附既有组织。这一转变由多重因素驱动，包括执法协调加强、主要勒索基础设施成功捣毁，以及攻击者通过品牌轮换或无标识行动规避溯源的广泛尝试。” Verizon数据显示，2024年所有分析的数据泄露事件中44%涉及勒索软件（2023年为32%）。但也有好消息：拒绝支付赎金的受害者数量创历史新高，愿支付赎金的组织比例下降。Verizon在《2025年数据泄露调查报告》（DBIR）中称：“2024年支付赎金中位数为11.5万美元，低于前一年的15万美元。64%受害组织未支付赎金，较两年前的50%有所上升。”Coveware数据显示，2025年第一季度平均赎金支付额为552,777美元，环比微降0.2%，但媒体披露的赎金支付额同比飙升80%（增长20万美元）。 该公司表示：“2025年第一季度选择支付赎金的公司比例略有上升，无论是为了获取解密密钥还是阻止威胁行为体在泄露网站公布被盗数据。”该季度勒索支付解决率统计为27%，低于2019年Q1的85%、2020年Q1的73%、2021年Q1的56%、2022年Q1的46%、2023年Q1的45%及2024年Q1的28%。“尽管攻击仍在持续且新团伙每月涌现，但早期勒索软件即服务（RaaS）集团打造的精密勒索机器正陷入难以解决的复杂困境。” Check Point数据显示，尽管遭遇挫折，勒索软件未见停歇迹象：2025年Q1报告2,289起事件，较2024年Q1增长126%，但2025年3月勒索攻击环比下降32%（总计600起）。北美和欧洲占案件总数80%以上，消费品与服务、商业服务、工业制造、医疗保健以及建筑工程成为最受攻击行业。 BlackFog创始人兼CEO Darren Williams博士表示：“勒索事件量正达到前所未有的水平。这对应对专注于破坏、数据盗窃和勒索的攻击者的组织构成持续挑战。不同团伙会兴起和解散，但他们都聚焦于同一终极目标——数据外泄。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司FortiGuard事件响应团队（FGIR）在一份报告中披露，某伊朗国家支持的黑客组织对中东地区一家关键国家基础设施（CNI）实施了持续近两年的网络入侵。此次攻击活动从2023年5月持续至2025年2月，涉及“大规模间谍行动及疑似网络预置行为（一种用于维持长期访问以获取未来战略优势的战术）”。Fortinet指出，该攻击的技术特征与已知伊朗国家级威胁组织Lemon Sandstorm（原Rubidium，亦追踪为Parisite、Pioneer Kitten、UNC757）存在重叠。 该组织自2017年起活跃，攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。工业网络安全公司Dragos分析称，该组织曾利用Fortinet、Pulse Secure和Palo Alto Networks的VPN已知漏洞获取初始访问权限。2023年，美国网络安全与情报机构指控Lemon Sandstorm对美国、以色列、阿塞拜疆和阿联酋的实体部署勒索软件。 此次针对CNI实体的攻击分为四个阶段，攻击者根据受害方的防御措施持续升级工具链： 2023年5月15日至2024年4月29日，攻击者利用窃取的登录凭证入侵受害者SSL VPN系统，在对外服务器部署Web Shell，并植入Havoc、HanifNet、HXLibrary三款后门程序维持长期访问； 2024年4月30日至2024年11月22日，攻击者追加部署Web Shell及新型后门NeoExpressRAT，使用plink、Ngrok等工具渗透内网，定向窃取受害者邮件数据并进行横向移动至虚拟化基础设施； 2024年11月23日至2024年12月13日，在受害者启动初步封堵措施后，攻击者部署更多Web Shell及后门MeshCentral Agent、SystemBC； 2024年12月14日至今，攻击者尝试利用Biotime漏洞（CVE-2023-38950、CVE-2023-38951、CVE-2023-38952）重新渗透网络，并对11名员工发起钓鱼攻击以窃取Microsoft 365凭证 值得注意的是，Havoc和MeshCentral都是开源工具，分别作为命令和控制（C2）框架和远程监控和管理（RMM）软件。另一方面，SystemBC指的是一种商品恶意软件，通常是勒索软件部署的前兆。 下面简要介绍了攻击中使用的其他自定义恶意软件家族和开源工具： Havoc：开源C2框架 MeshCentral：开源远程监控管理（RMM）软件 SystemBC：常用于勒索攻击前期的商品化恶意软件 HanifNet：未签名的.NET可执行文件，支持远程命令执行（2023年8月首次出现） HXLibrary：恶意IIS模块，通过Google Docs文档获取C2配置（2023年10月部署） CredInterceptor：基于DLL的凭证窃取工具，针对LSASS进程内存（2023年11月使用） RemoteInjector：载荷加载器，用于启动Havoc等后续攻击模块（2024年4月投入） NeoExpressRAT：疑似通过Discord通信的后门程序（2024年8月出现） DarkLoadLibrary：开源加载器，用于激活SystemBC（2024年12月部署） 攻击者使用的C2服务器（apps.gist.githubapp[.]net、gupdate[.]net）与Lemon Sandstorm历史活动存在关联。Fortinet指出，受害者受限的运营技术（OT）网络是主要攻击目标，攻击者通过链式代理工具和定制化植入程序绕过网络分段限制进行横向移动，后期甚至串联四种不同代理工具访问内部网段。尽管攻击者渗透了OT相邻系统所在的网络分区，但尚未发现其侵入OT网络的证据。 分析显示，大部分恶意活动为人工键盘操作（依据命令错误及规律工作时间判断），且攻击者可能早在2021年5月15日已获得网络访问权限。Fortinet强调：“攻击者在整个入侵过程中展现出极高的战术素养，通过定制化工具链维持持久性并规避检测，其操作纪律性暗示该组织可能具有国家背景或掌握充足资源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度卡纳塔克邦高等法院于2025年4月29日裁定，要求印度政府在全国范围内封禁加密邮件服务提供商Proton Mail。此裁决源于印度公司M Moser Design Associated India Pvt Ltd于2025年1月提起的一项法律诉讼。 根据法律媒体LiveLaw报道，该公司指控其员工收到通过Proton Mail发送的包含淫秽辱骂语言、AI生成的深度伪造图像及其他露骨色情内容的电子邮件。 在听证会上，法官M Nagaprasanna命令印度政府“根据《2008年信息技术法案》第69A条及《2009年信息封锁规则》第10条启动程序封禁Proton Mail”，并强调“在印度政府完成相关程序前，应立即封锁相关违规URL”。截至本文撰写时，Proton Mail在印度境内仍可正常访问。网络安全媒体The Hacker News已联系瑞士Proton公司寻求置评，尚未收到回复。 这是Proton Mail在印度第二次面临封禁威胁。去年初，因有报道称通过该平台发送虚假炸弹威胁，Proton公司曾声明“坚决反对任何违反瑞士法律使用其服务的行为”。根据瑞士法律，该公司虽不得向外国政府机构传输数据，但有义务配合瑞士当局的调查要求——瑞士执法部门可能会与境外机构合作打击非法活动。Proton补充说明：“尽管端到端加密技术为用户的邮件、文件、日历项和密码提供强隐私保护，但禁止利用该服务从事违反瑞士法律的行为。” 此次裁决再度引发关于加密通信服务监管的争议。支持者认为全面封禁侵犯用户隐私权，而执法部门则强调加密技术可能被滥用于非法活动。业界正密切关注Proton公司的后续回应及印度政府的执行措施。值得关注的是，Proton Mail作为全球知名隐私优先邮件服务，其运营基于瑞士严格的隐私法规，长期吸引重视数据安全的用户群体。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 媒体集团Urban One近日报告了一起数据泄露事件，涉及员工及其他人员的个人信息。根据向得克萨斯州和马萨诸塞州提交的违规通知信，这家总部位于马里兰州的公司表示，网络攻击始于2月13日，系通过”复杂的社会工程攻击”实施。 攻击者成功窃取公司数据，但公司直到3月15日才发现该事件。事件未影响公司运营，但截至3月30日的取证调查确认数据已被窃取。泄露信息包括：姓名、地址、社会保险号、直接存款信息及W-2税务信息。该公司未回应置评请求，但报告得克萨斯州有355人受影响。 受影响人员将获得两年信用监控服务，事件已通报执法部门。Urban One是面向非裔社区的最大媒体公司，运营多个电视频道、数十家广播电台及新闻网站。该公司2024年营收约4.5亿美元，此前曾在2019年向加州监管机构报告过涉及1000多个社会保险号的数据泄露事件。 Cactus勒索软件团伙于3月12日宣称对此次攻击负责。该组织于2023年出现，最初因通过在线广告分发恶意软件感染目标而被微软曝光。其攻击记录包括：全球最大温控仓库房地产投资信托Americold、瑞典大型连锁超市、洛杉矶市住房管理局及法国跨国企业施耐德电气。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的家居建材零售商Epicentr表示，其遭受的大规模网络攻击导致全国数十家门店运营中断，关键IT系统（包括收银机和物流服务）瘫痪。 本周一，乌克兰各地Epicentr门店的顾客因结账系统宕机无法购物，许多人反映无法接收订单、访问公司应用和网站。这家运营70多个购物中心（总面积超220万平方米）的零售商周二声明证实遭受定向攻击：“恶意行为者的蓄意攻击对公司基础设施造成严重后果。” 该公司未将事件归因于任何特定组织，也未明确黑客如何入侵系统或其最终目标，同时未确认攻击是否涉及勒索软件。截至周二下午，多数门店已恢复运营，但部分系统仍存在故障。Epicentr承认会计系统持续存在问题，关键财务记录和注册信息丢失，导致目前无法生成法定财务与税务报告。 Epicentr警告商品配送（尤其在线订单）可能出现延迟，顾客在其购物中心可能遭遇包裹追踪与自提服务问题。该公司雇佣29,000名员工，是乌克兰最大私营企业之一。 这是近月乌克兰企业遭遇的第三起重大网络攻击：2025年1月，该国农业巨头MHP报告“史上最严重”网络事件（未指明责任方）；3月，疑似俄罗斯黑客攻击国有铁路公司Ukrzaliznytsia，致使其在线售票服务中断。 除网络攻击外，Ukrzaliznytsia和Epicentr还屡遭俄罗斯导弹袭击。自全面入侵开始以来，Epicentr已损失10个购物中心（总面积超177,500平方米）。 乌克兰在持续战争背景下面临网络攻击浪潮：2024年，最大电信运营商Kyivstar遭毁灭性攻击致服务中断数日；近期乌当局报告国家登记系统遭攻击，涉及含生物识别、税务及房产数据的敏感数据库；2025年1月，某数据中心遭入侵，影响多家大型国企、国家邮政局及能源公司。 大型零售商全球范围内成恶意黑客首要目标。英国玛莎百货（Marks & Spencer）已应对网络攻击约一周。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一款伪装成合法WordPress插件的危险恶意软件变种。该恶意软件名为“WP-antymalwary-bot.php”，可让攻击者持久访问受感染网站、注入恶意代码，并能向网站访问者推送远程广告。 Wordfence威胁情报团队在2025年1月22日的常规网站清理中发现，该恶意软件模仿真实插件的结构，包含标准格式和元数据。但它具有多个特别危险的后门功能：紧急登录所有管理员（emergency_login_all_admins）功能允许攻击者使用GET请求和硬编码密码以管理员身份登录；执行管理员命令（execute_admin_command）功能通过REST API接收命令并无权限检查地执行，使攻击者能将PHP代码注入主题头部或清除插件缓存。 该插件最令人担忧的是自我复制特性。若被删除，它会通过修改后的wp-cron.php文件重新安装。该文件在网站被访问时运行，成为隐秘的再感染渠道：将恶意插件重新写入系统并自动激活。 恶意软件每分钟都会与位于塞浦路斯的命令与控制（C2）服务器通信，发送受感染网站的URL和时间戳。这种利用WordPress内置调度器的报告功能属于非常规策略，用于维护被入侵网站的数据库。 根据Wordfence，WP-antymalwary-bot.php的主要感染迹象包括： 包含check_plugin或emergency_login的异常GET请求 被篡改的wp-cron.php文件 主题header.php文件中的代码注入 通过base64解码URL插入的JavaScript广告 近期变种显示其复杂程度提升，允许动态更新广告推送URL（部分实现仍不完整），表明该恶意软件正在积极开发中并可能持续改进。 为降低感染风险，网站管理员应： 定期审计已安装插件和主题 移除未使用或可疑文件 监控未经授权的修改 确保文件完整性 禁用直接文件编辑功能 使用强管理员凭证和多因素认证（MFA） 实施定期异地备份 部署可靠的安全插件或防火墙       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国外交部今日指控与俄罗斯军事情报局（GRU）相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。 周二发布的声明称：“法国以最强烈措辞谴责俄罗斯军事情报局（GRU）使用APT28攻击程序实施多起针对法国利益的网络攻击。这些破坏性活动不可接受，有损联合国安理会常任理事国身份，也违背俄罗斯曾承诺遵守的《联合国网络空间负责任国家行为规范》。” 法国国家信息系统安全局（ANSSI）同日发布的报告显示，遭APT28军方黑客攻击的法国机构包括： 部委级政府机构、地方政府及行政单位 国防工业基础相关组织 航空航天机构 研究机构及智库 经济与金融领域机构 ANSSI特别指出，自2021年以来APT28多次利用Roundcube邮件服务器漏洞实施攻击，并频繁使用免费网络服务发起钓鱼攻击。攻击者还大量采用“低成本现成外包基础设施”——包括免费托管服务、VPN服务、租用服务器及临时邮箱创建服务——以增强隐蔽性。 2024年至今，该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。这并非法国首次指控APT28：2023年10月报告显示，该组织自2021年下半年已渗透法国政府、高校、研究所、企业及智库的关键网络。 作为活跃逾20年的俄罗斯国家级黑客组织（亦被追踪为Strontium、Fancy Bear），APT28隶属GRU第26165军事部队，曾参与多起重大网络攻击： 2015年入侵德国联邦议会 2016年美国大选前渗透民主党国会竞选委员会（DCCC）及民主党全国委员会（DNC） 2018年美国起诉多名APT28成员，2020年欧盟因议会黑客事件对其实施制裁 2023年波兰政府机构遭大规模钓鱼攻击 2024年北约与欧盟共同谴责其针对德国、捷克等国的长期间谍活动 北约指出，近期俄罗斯的“混合行动”包括破坏、暴力行为、网络干扰、虚假信息等，已影响捷克、爱沙尼亚、德国、拉脱维亚、立陶宛、波兰及英国。法国外交部强调：“法国将与伙伴国共同运用一切手段，在必要时预见、威慑并应对俄罗斯在网络空间的恶意行为。”         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新发现的iOS漏洞可让攻击者仅用一行代码远程破坏并锁死iPhone。苹果目前已修复这个漏洞。 应用开发者兼安全研究人员Guilherme Rambo协助苹果发现并修复了与Darwin通知相关的严重漏洞，这是苹果操作系统中底层的进程间通信机制。 发送和接收Darwin通知无需特殊权限，且没有机制验证发送者身份。该功能作为公共API开放，iOS上的任何进程（包括沙盒应用）都能通过发送这些通知实现基本更新和状态变更。 尽管传输的数据量非常有限，但研究人员发现Darwin通知可能干扰系统运行，因为某些组件会以破坏设备正常功能的方式响应这些通知。 Rambo首先开发了名为“EvilNotify”的概念验证应用进行演示。该应用可实现以下破坏： 在状态栏显示特定图标（如“液体检测”） 在动态岛触发Display Port连接状态 禁用全局手势（如下拉控制中心、通知中心和锁屏） 强制系统使用蜂窝网络而非Wi-Fi 锁定屏幕 触发设备进入“恢复中”模式 研究人员指出：“由于我正在寻找拒绝服务攻击手段，最后这个‘恢复中’模式最有效，因为除了点击‘重启’按钮外别无退出方式，而重启总会导致设备重新进入该状态。” 应用中仅需加入一行代码即可引发崩溃。即使应用不在前台运行，通知仍会生效，导致设备无限重启。Rambo还开发了“VeryEvilNotify”小组件扩展，可有效软锁iOS设备，迫使用户必须抹除数据并从备份恢复。 “如果恶意应用被包含在备份中，设备从该备份恢复后漏洞会再次触发，这将极大增强拒绝服务攻击的效果。”Rambo补充道。 该漏洞于2024年6月26日提交给苹果。苹果确认漏洞并在后续安全更新中修复，并向研究人员解释称：“敏感通知现在需要受限权限。”Rambo证实：“越来越多的进程开始采用受限通知的新权限，随着iOS 18.3的发布，我的概念验证中演示的所有问题都已解决。” 研究人员因此获得17,500美元漏洞赏金。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌透露，2024年观察到75个在野利用的零日漏洞，较2023年的98个有所下降。 在这75个零日漏洞中，44%针对企业产品。其中多达20个漏洞出现在安全软件和设备中。 “浏览器和移动设备的零日漏洞利用量大幅下降，与去年相比，浏览器漏洞利用减少约三分之一，移动设备漏洞利用减少约一半，”谷歌威胁情报小组（GTIG）在提供给《The Hacker news》的报告中表示，“由多个零日漏洞组成的攻击链仍几乎完全（约90%）用于攻击移动设备。” 2024年被利用的零日漏洞中，微软Windows占22个，苹果Safari有3个，iOS有2个，安卓有7个，Chrome有7个，Mozilla Firefox有1个。安卓的7个零日漏洞中有3个存在于第三方组件中。 在企业软件和设备中被利用的33个零日漏洞中，有20个针对Ivanti、Palo Alto Networks和思科等厂商的安全和网络产品。 “安全与网络工具和设备设计用于连接广泛的系统和设备，需要高权限来管理产品及其服务，这使得它们成为威胁行为者寻求高效入侵企业网络的宝贵目标。”GTIG研究人员指出。 2024年共有18家不同企业供应商成为攻击目标，而2021年为12家，2022年17家，2023年22家。被攻击最多的公司包括微软（26个）、谷歌（11个）、Ivanti（7个）和苹果（5个）。 此外，75个漏洞中的34个零日漏洞利用可归因于六大威胁活动集群： 国家资助的间谍活动（10个）（例如CVE-2023-46805、CVE-2024-21887） 商业监控供应商（8个）（例如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748） 非国家金融动机组织（5个）（例如CVE-2024-55956） 具有国家资助间谍和金融动机的组织（5个），全部来自朝鲜（例如CVE-2024-21338、CVE-2024-38178） 同时从事间谍活动的非国家金融动机组织（2个），全部来自俄罗斯（例如CVE-2024-9680、CVE-2024-49039） 谷歌表示，2024年11月发现乌克兰外交学院网站（online.da.mfa.gov[.]ua）存在恶意JavaScript注入，触发CVE-2024-44308漏洞实现任意代码执行。攻击者随后利用WebKit的Cookie管理漏洞CVE-2024-44309发起跨站脚本（XSS）攻击，最终收集用户Cookie以未授权访问login.microsoftonline[.]com。 谷歌还独立发现了针对Firefox和Tor浏览器的攻击链，该攻击链结合利用CVE-2024-9680和CVE-2024-49039突破Firefox沙箱，以提升权限执行恶意代码，为部署RomCom远控木马铺平道路。此前被ESET披露的该活动被归因于RomCom组织（又名Storm-0978、Tropical Scorpius等），谷歌将其追踪为CIGAR——兼具金融和间谍动机的双重威胁组织。 这两个漏洞还被另一个疑似金融动机的黑客组织作为零日漏洞利用。攻击者通过入侵合法的加密货币新闻网站作为水坑攻击平台，将访问者重定向到托管攻击链的恶意域名。 “零日漏洞利用继续以缓慢但稳定的速度增长，但我们也开始看到厂商缓解零日漏洞的工作初见成效，”GTIG高级分析师Casey Charrier在声明中表示，“例如针对历史高发产品的零日攻击有所减少，这得益于大型厂商投入的防护资源。同时，零日攻击正转向更多企业级产品，这要求更广泛的供应商提升主动安全措施。零日攻击的未来最终将取决于厂商能否有效遏制威胁行为者的目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于本周一将两个高危安全漏洞纳入其“已知被利用漏洞”（KEV）目录。这两个漏洞分别影响博科（Broadcom Brocade）光纤通道操作系统和Commvault Web服务器，已有证据表明其已被主动利用。 具体漏洞信息如下： CVE-2025-1976（CVSS评分：8.6） 博科光纤通道操作系统（Fabric OS）的代码注入漏洞，允许拥有管理员权限的本地用户以root权限执行任意代码。 CVE-2025-3928（CVSS评分：8.7） Commvault Web服务器中未公开具体细节的漏洞，允许经过身份验证的远程攻击者创建并执行Web Shell。 关于Commvault漏洞，该公司在2025年2月的安全公告中指出：“利用此漏洞需要攻击者已通过身份验证获取Commvault软件环境内的用户凭证。未经认证的访问无法利用此漏洞。对于软件用户而言，这意味着您的环境必须同时满足：(i) 可通过互联网访问；(ii) 已通过其他途径被入侵；(iii) 攻击者持有合法用户凭证。” 该漏洞影响以下Windows和Linux版本： 11.36.0 – 11.36.45（已在11.36.46修复） 11.32.0 – 11.32.88（已在11.32.89修复） 11.28.0 – 11.28.140（已在11.28.141修复） 11.20.0 – 11.20.216（已在11.20.217修复） 针对CVE-2025-1976漏洞，博科公司表示由于IP地址验证缺陷，拥有管理员权限的本地用户可在Fabric OS 9.1.0至9.1.1d6版本中通过root权限执行任意代码，该漏洞已在9.1.1d7版本修复。公司在2025年4月17日的公告中强调：“虽然利用此漏洞需首先获取管理员权限，但该漏洞已在真实环境中被主动利用。攻击者不仅可以执行现有系统命令，还能修改操作系统内核，甚至植入自定义子程序。” 目前，关于这两个漏洞被利用的具体方式、攻击规模及幕后组织的信息尚未公开。CISA建议联邦民事行政部门（FCEB）机构分别于2025年5月17日（Commvault）和5月19日（博科）前完成相关补丁安装。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zimperium在《2025全球移动威胁报告》中披露，超50%的移动设备仍在使用过时操作系统，极易遭受网络攻击。报告同时强调，随着企业移动化进程加速，攻击者正利用智能手机的广泛部署特性，推动针对移动终端的恶意攻击及应用程序漏洞数量正在显著增加。 短信钓鱼（Smishing）目前占所有移动钓鱼事件的69.3%。与此同时，语音钓鱼（vishing）和短信钓鱼攻击总量分别上升28%和22%。 Keeper Security首席执行官Darren Guccione表示：“复杂且大规模的移动钓鱼活动兴起反映了不断演变的威胁态势。网络犯罪分子利用看似官方的钓鱼页面来剥削用户信任。” 报告概述了影响移动设备安全性的多个关键因素，包括： 50%的移动设备运行过时操作系统 超过25%的移动设备无法升级至最新操作系统 60%以上的iOS应用和34%的Android应用缺乏基本代码保护 近60%的iOS应用和43%的Android应用存在个人身份信息（PII）数据泄露风险 恶意软件仍是攻击者的主要工具，木马程序使用量同比增长50%。研究人员已识别出Vultur、DroidBot、Errorfather和BlankBot等新型恶意软件家族。 尽管对移动威胁的认知度有所提高，移动应用安全性仍是持续存在的弱点。通过非官方商店下载的应用尤其危险，使用户和组织暴露于木马和数据泄露风险。 Sectigo高级研究员Jason Soroko表示：“侧载（Sideloading）绕过了官方应用商店的严格审查流程，使设备暴露于恶意软件和未授权代码。” 内部开发的应用也持续面临严重风险。Salt Security网络安全战略总监Eric Schwake评论称：“威胁行为者认为移动应用具有吸引力，因为它们通常管理敏感用户数据。”设计缺陷、不安全的API接口和薄弱的安全措施被列为导致漏洞持续存在的主要因素。 为防范此类威胁，建议组织和个人采用实时移动威胁检测、确保定期更新和补丁管理，并实施零信任模型等综合安全框架。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。 上周，SAP披露了其Visual Composer组件的元数据上传器（Metadata Uploader）中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件，实现代码执行并完全控制系统。 包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击，威胁行为者利用其在易受攻击的服务器上部署网页后门程序。 SAP发言人向BleepingComputer表示，已知悉攻击尝试，并于2024年4月8日发布临时缓解方案，随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。 研究人员证实，大量存在漏洞的SAP Netweaver服务器暴露于互联网，成为攻击主要目标。 Shadowserver Foundation发现427台暴露服务器，警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国（149台）、印度（50台）、澳大利亚（37台）、中国（31台）、德国（30台）、荷兰（13台）、巴西（10台）和法国（10台）。 网络安全搜索引擎Onyphe则指出，目前有1,284台漏洞服务器在线暴露，其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露：“约20家《财富》500强/全球500强企业存在漏洞，其中多家已遭入侵。” 研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门，但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大，但由于SAP NetWeaver广泛应用于大型企业与跨国公司，风险仍然显著。 建议用户根据SAP公告应用最新安全更新。若无法立即更新，可采取以下临时措施： 限制对/developmentserver/metadatauploader 端点的访问 若未使用Visual Composer，考虑彻底关闭该组件 将日志转发至SIEM系统并扫描servlet路径下的未授权文件 RedRays已发布针对CVE-2025-31324的扫描工具，可协助大型环境中的风险定位。 BleepingComputer已就漏洞活跃利用问题联系SAP，将在获得回应后更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 员工福利管理公司VeriSource Services发出警告称，一起数据泄露事件暴露了400万人的个人信息。 VeriSource总部位于美国得克萨斯州，是一家为全美各行业客户提供员工福利管理和人力资源外包解决方案的服务商。 该公司已于近期向受影响个体发送数据泄露通知，涉及2024年2月发生的网络安全事件。然而，其影响范围直到2025年4月才完成评估。 根据VeriSource的调查，该事件导致敏感信息被外部威胁行为者获取。 公司在向监管机构提交的通知中表示：“2024年2月28日，VSI（VeriSource）发现异常活动导致部分系统访问中断。我们立即采取网络加固措施，并聘请领先的第三方数字取证和事件响应公司调查事件经过及数据影响范围。” 调查显示，未知攻击者可能于2024年2月27日前后未经授权获取了部分个人信息。 确定受影响个体的流程于2025年4月17日完成，数据泄露通知于4月23日发出。 根据VeriSource向缅因州总检察长办公室提交的样本，泄露数据类型包括员工全名、住址、出生日期、性别和社会安全号码（SSN）。该公司现为受影响者提供12个月的信用监测、身份保护和身份恢复服务。 需特别说明的是，VeriSource曾于2024年5月向5.5万人、9月向11.2万人发送过通知，但远低于此次披露的400万总量。 若收到通知（即便存在延迟），建议立即启用提供的信用保护服务，并警惕钓鱼攻击。 BleepingComputer核查发现，当前勒索网站尚未出现VeriSource相关条目，因此该网络安全事件的具体性质仍不明确。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售巨头玛莎百货（Marks & Spencer）持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉，此次攻击被认为是由名为Scattered Spider的黑客组织实施的。 玛莎百货（M&S）是一家英国跨国零售商，拥有64,000名员工，在全球超过1,400家门店销售服装、食品和家居用品等各类商品。 上周二，M&S确认其遭受网络攻击，导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日，Sky News报道称中断仍在持续，约200名仓库员工被要求居家待命，公司正在应对此次攻击。 BleepingComputer现已获悉，持续中断是由加密公司服务器的勒索软件攻击导致。据悉，威胁行为者最早在2月首次入侵M&S，当时他们窃取了Windows域的NTDS.dit文件。 NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库，包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。 利用这些凭证，威胁行为者可在Windows域内横向移动，同时从网络设备和服务器窃取数据。 消息人士告诉BleepingComputer，攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。 BleepingComputer了解到，玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。 目前的调查表明，此次攻击的幕后黑手是被称为Scattered Spider的组织（微软称其为Octo Tempest）。当被问及此事时，M&S表示无法透露网络事件的具体细节。 Scattered Spider是谁？ Scattered Spider（又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra）是一群擅长使用社会工程攻击、钓鱼、多因素认证（MFA）轰炸（定向MFA疲劳攻击）和SIM卡劫持技术入侵大型组织的威胁行为者。 该组织成员包括以英语为母语的年轻人（最小16岁），他们活跃于相同的黑客论坛、Telegram频道和Discord服务器，并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区，涉及引发广泛媒体关注的暴力行为和网络事件。 尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙，但他们实际上是由不同个体组成的网络，每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵，后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。 2023年9月，该组织通过假冒员工致电米高梅度假村（MGM Resorts）IT服务台的社会工程攻击入侵系统，并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻，标志着英语系威胁行为者首次与俄语系勒索团伙合作。 此后，Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织，近期开始推广一项允许网络犯罪团队白标其服务的新业务。 研究人员通常通过特定入侵指标将攻击归因于Scattered Spider，包括针对单点登录（SSO）平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。 过去两年，执法机构正加大对该组织的打击力度，在美国、英国和西班牙逮捕了多名据称是成员的人员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员观察到，攻击者利用Craft CMS中两个新披露的关键漏洞（零日漏洞）入侵服务器并获取未授权访问。 Orange Cyberdefense SensePost于2025年2月14日首次观测到此类攻击，其通过链式利用以下漏洞实现入侵： CVE-2024-58136（CVSS评分：9.0）：Craft CMS使用的Yii PHP框架中“备用路径保护不当”漏洞，可被利用访问受限功能或资源（此为CVE-2024-4990的回归漏洞） CVE-2025-32432（CVSS评分：10.0）：Craft CMS内置图像转换功能中的远程代码执行（RCE）漏洞（已在3.9.15、4.14.15和5.6.17版本修复） 网络安全公司指出，CVE-2025-32432存在于允许站点管理员将图像转换为特定格式的内置功能中。 安全研究员Nicolas Bourras表示：“CVE-2025-32432的利用依赖于未认证用户可向负责图像转换的端点发送POST请求，且服务器会解析POST数据。在Craft CMS 3.x版本中，资产ID会在创建转换对象前被检查，而4.x和5.x版本则在创建后检查。因此，攻击者需找到有效资产ID才能在所有版本中成功利用此漏洞。” 在Craft CMS中，资产ID（Asset ID）指管理文档文件和媒体的唯一标识符。攻击者通过批量发送POST请求直至发现有效资产ID，随后执行Python脚本验证服务器漏洞状态，并从GitHub仓库下载PHP文件至服务器。 研究人员称：“2月10日至11日期间，攻击者通过Python脚本多次测试下载filemanager.php文件至Web服务器以改进攻击脚本。2月12日，该文件被重命名为autoload_classmap.php，并于2月14日首次投入使用。” 截至2025年4月18日，全球已发现约13,000个存在漏洞的Craft CMS实例，其中近300个确认遭入侵。 Craft CMS在公告中强调：“若在防火墙或Web服务器日志中发现向actions/assets/generate-transform端点发送的异常POST请求（请求体中包含__class字符串），则表明您的站点已被扫描探测。但此现象仅说明漏洞被探测，不意味着已遭入侵。” 若确认遭入侵，建议用户刷新安全密钥、轮换数据库凭证、重置用户密码（作为额外防护），并在防火墙层面拦截恶意请求。 此漏洞披露之际，Active! Mail零日栈溢出漏洞（CVE-2025-42599，CVSS评分：9.8）正被活跃用于攻击日本企业以实现远程代码执行。该漏洞已在6.60.06008562版本修复。 Qualitia在公告中警告：“若远程第三方发送特制请求，可能导致任意代码执行或拒绝服务（DoS）。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对WooCommerce用户的大规模钓鱼活动正在蔓延。攻击者通过伪造“关键安全补丁”警报，诱骗用户下载后门程序。 WordPress安全公司Patchstack将此次行动描述为“复杂攻击”，并指出其与2023年12月观察到的另一项活动存在关联——当时攻击者同样利用虚构的CVE漏洞入侵网站。 鉴于钓鱼邮件话术、伪造网页及恶意软件隐藏手法的高度相似性，研究人员认为最新攻击可能出自同一威胁组织，或是模仿此前攻击的新团伙。 安全研究员Chazz Wolcott表示：“攻击者声称目标网站存在（不存在的）‘未认证管理访问’漏洞，并诱导用户访问通过国际化域名同形异义字攻击（IDN homograph）伪装的虚假WooCommerce官网。”钓鱼邮件中的“下载补丁”链接会将用户重定向至域名“woocommėrce[.]com”（注意用‘ė’替代‘e’），并下载名为“authbypass-update-31297-id.zip”的恶意ZIP文件。 受害者按提示安装该“补丁”（实为恶意WordPress插件）后，将触发以下恶意行为： 创建隐藏管理员账户：通过随机命名的定时任务（每分钟运行一次），生成混淆用户名和随机密码的管理员账号； 注册受感染站点：向外部服务器“woocommerce-services[.]com/wpapi”发送HTTP GET请求，传递账号密码及网站URL； 获取第二阶段载荷：从“woocommerce-help[.]com/activate”或“woocommerce-api[.]com/activate”下载混淆处理的后续攻击载荷； 部署网页后门：解码载荷后安装P.A.S.-Fork、p0wny和WSO等网页后门； 隐藏攻击痕迹：从插件列表中删除恶意插件，并隐藏创建的管理员账户。 攻击最终使黑客获得网站远程控制权，可实施广告注入、用户重定向、组建DDoS僵尸网络，甚至加密服务器资源进行勒索。 研究人员建议用户立即扫描可疑插件和管理员账户，并确保所有软件更新至最新版本。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文