Aggregator

错误代码521通常与Cloudflare服务相关，表示服务器未能响应请求。常见原因包括服务器配置问题或网络连接异常。解决方法包括检查服务器状态、确认防火墙设置正确、重启路由器以及联系网络服务提供商以排查问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。 ESET研究证实，该组织自2017年首次入侵库尔德政府系统以来，持续升级其攻击工具库，展现出显著的技术演进。最新攻击活动中，攻击者部署了专为隐蔽驻留设计的恶意软件套件，其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件，规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行：监控所有传入HTTP请求，仅在检测到预设Cookie结构时激活攻击功能，其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar，以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力： ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示，BladedFeline与伊朗国家级黑客组织OilRig存在强关联性：恶意软件功能设计与OilRig标志性后门RDAT高度相似，攻击基础设施存在重叠，战术目标均聚焦中东地缘政治情报收集。据此评估，BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势： ① 时间跨度：最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展：从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代：从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态：2024年初仍检测到新版恶意工具活跃 ESET警告称：“从简单后门到模块化潜伏工具的技术转型，印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序，以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级，在区域情报收集中构建更隐蔽的作战能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

r/netsec 是一个聚合技术安全内容的社区平台，旨在为安全从业者、学生、研究人员和黑客提供有价值的信息。文章还提到 zorrochain.foundation 正在开发一种基于熵收集、离线 ID 和vault共识的治理基础设施，适合零信任系统研究者参考。

苹果发布iOS 26 Beta 3版本，修复了此前因液态玻璃半透明效果导致的文字可读性问题。部分界面背景改为灰白色磨砂效果以提升清晰度，并计划本月推出公共测试版。

文章描述了Cloudflare错误代码521的原因及影响,指出该错误通常由服务器配置问题或网络连接中断导致,可能导致数据包丢失或缓存失效,建议检查服务器状态并联系技术支持以解决问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场利用搜索引擎优化（SEO）投毒技术传播恶意软件加载器Oyster（亦称Broomstick或CleanUpLoader）的攻击活动。据Arctic Wolf分析，该恶意广告活动通过伪造托管合法工具（如PuTTY和WinSCP）木马化版本的网站，诱骗搜索这些程序的技术人员下载安装。报告指出：“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化，通过rundll32.exe调用恶意DLL文件（twain_96.dll）的DllRegisterServer导出函数，表明其采用DLL注册机制维持控制。” 已发现的欺诈网站包括： updaterputty[.]com zephyrhype[.]com putty[.]run putty[.]bet puttyy[.]org 攻击者可能还针对其他IT工具传播恶意软件，用户必须严格依赖可信渠道和官方供应商站点下载软件。 当前黑帽SEO投毒技术正被用来操纵人工智能（AI）相关关键词的搜索结果，散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码，在收集受害者浏览器信息后启动重定向链，最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包（内含Vidar/Lumma窃密程序），密码直接显示在下载页面上，”Zscaler ThreatLabz分析称，“解压后出现800MB的NSIS安装包，攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。 同类SEO投毒活动还通过伪造热门网络应用的搜索结果，将用户导向虚假Cloudflare验证页面，运用臭名昭著的“点击修复”（ClickFix）策略，借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示，2025年1至4月期间，约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%，Outlook与PowerPoint各占16%，ChatGPT恶意文件数量同比激增115%。 尽管滥用虚假搜索列表是常见手段，但近期攻击出现新变种：劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心，但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果，而实际参数在搜索结果中不可见，极具迷惑性。 攻击者还在Facebook平台投放虚假广告：以“Pi Network桌面版更新”为诱饵传播窃密程序，盗取凭证与加密钱包密钥；通过4000余个仿冒电商网站（GhostVendors网络）投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。 同时，针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器（最终投递Lumma窃密程序）活动被命名为“黑暗伙伴”（Dark Partners）。PayDay加载器利用Google日历事件隐藏C2服务器地址，其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”，表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库，定位加密钱包数据并外传到硬编码C2服务器。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

一名中国公民在米兰被捕，涉嫌参与国家支持的“丝风行动”黑客组织，该组织被指对美国机构进行网络攻击。嫌疑人被指控参与2020年针对传染病研究机构的网络攻击，旨在窃取新冠疫苗数据。美国正寻求将其引渡受审。

当前环境出现异常，需完成验证后方可继续访问。

A Chinese national was arrested in Milan, Italy, last week for allegedly being linked to the state-sponsored Silk Typhoon hacking group, which responsible for cyberattacks against American organizations and government agencies. [...]

您可能因网络错误被拦截，请提交工单以便调查。

文章介绍了HTTP错误代码521的含义及其常见原因。该错误通常表示Cloudflare服务器无法连接到原始服务器，可能是由于网络连接问题、服务器配置错误或防火墙设置不当导致的。文章还提供了一些解决方法，如检查网络连接、确认服务器状态、调整防火墙设置以及联系主机提供商寻求帮助。

HackerNews 编译，转载请注明出处： 一家与巴基斯坦无关的黑客组织被发现使用名为DRAT的远程访问木门程序的修改变种攻击印度政府机构。 Recorded Future旗下Insikt研究小组将此活动归因于追踪编号为TAG-140的威胁组织。该组织与SideCopy存在重合——后者被评估为透明部落（Transparent Tribe）的攻击子集群（该组织亦称为APT-C-56、APT36、Datebug、Earth Karkaddan、Mythic Leopard、Operation C-Major及ProjectM）。隶属于万事达卡的研究机构在上月发布的分析报告中指出：“TAG-140持续展现出恶意软件库与攻击手段的迭代升级与多样化能力。本次以克隆国防部新闻门户为诱饵的攻击行动，标志着其在恶意软件架构与C2功能方面均实现显著转变。” 新版DRAT被命名为DRAT V2，成为SideCopy武器库的最新成员。该组织还拥有Action RAT、AllaKore RAT、Ares RAT、CurlBack RAT、ReverseRAT、Spark RAT和Xeno RAT等工具，可同时针对Windows和Linux系统实施攻击。攻击活动展现出攻击者不断进化的战术：通过打造”可替换套件式”的多样化木马程序，在窃取敏感数据时干扰溯源、检测和监控工作。 该威胁组织的攻击范围已从政府、国防、海事和学术领域，扩展到铁路系统、石油天然气及外交部相关机构。据悉该组织自2019年起持续活跃。 Recorded Future记录的攻击链采用点击修复式攻击手法：克隆印度国防部新闻发布门户，传播新版.NET架构DRAT（现变异为Delphi编译版本）。假冒网站仅保留单一有效链接，点击后将秘密复制恶意命令至剪贴板，诱骗受害者通过命令终端执行。此举导致设备从外部服务器（trade4wealth[.]in）获取HTA文件，由mshta.exe加载名为BroaderAspect的加载器。该加载器负责下载诱饵PDF、通过注册表实现驻留、并从同一服务器获取并运行DRAT V2。 DRAT V2新增任意命令执行功能增强灵活性，其C2地址采用Base64编码混淆，并升级为支持ASCII/Unicode双模式的专属TCP协议（服务器仅响应ASCII，而原始DRAT需全程使用Unicode）。报告指出：“相较前代版本，DRAT V2减少了字符串混淆处理，多数命令头保留明文——可能更注重运行稳定性而非隐蔽性。由于缺乏高级反分析技术并采用基础驻留方式，该木马可通过静态和行为分析检测。” 其他已知功能包括：在被控主机执行侦察任务、上传额外载荷、实施数据窃取。研究人员表示：“这些功能使TAG-140能持久灵活控制系统，无需额外工具即可展开自动化或交互式攻击。DRAT V2更倾向于模块化补充而非彻底升级，这印证了TAG-140将持续轮换木马程序以隐藏特征、维持攻击灵活性的预判。” APT36攻击行动散布Ares木马与DISGOMOJI 2025年5月印巴冲突期间，巴基斯坦背景的国家级黑客组织与协同黑客行动异常活跃。APT36借机散布Ares木马，针对国防、政府、IT、医疗、教育和电信领域发动攻击。Seqrite实验室五月警告称：“Ares木马使攻击者获得系统完全控制权，可能导致监控活动、数据窃取及关键服务破坏。” 近期监测显示，APT36通过伪造国家信息中心采购订单的钓鱼邮件，向印度防务人员投递恶意PDF附件。诱导点击文档内嵌按钮后，设备将下载伪装成PDF图标的双重扩展名文件（*.pdf.exe）。该程序内置反调试和反虚拟机功能，可于内存加载具备文件枚举、键盘记录、剪贴板捕获、浏览器凭证窃取及C2通信能力的载荷。 CYFIRMA分析指出：“APT36对印度国防系统构成持续重大威胁。其钓鱼策略与凭证窃取技术印证了现代网络间谍手段的进化。”该组织还专门针对印度政府广泛使用的BOSS Linux系统，通过伪装成安全通告的钓鱼消息投放恶意ELF程序。研究机构强调：“Linux专属恶意软件的出现标志着APT36能力升级，政府与国防关键基础设施风险加剧。这种多阶段攻击可规避传统安防措施，使攻击者长期潜伏于敏感系统。” 360威胁情报中心另披露：攻击者通过钓鱼邮件散布含DISGOMOJI新变种的陷阱压缩包。该安全公司表示，这款基于Golang的ELF程序改用谷歌云服务进行C2通信，区别于此前依赖Discord的方案。“除浏览器插件窃取外，攻击者还将下载远程控制工具实施后续窃密。DISGOMOJI功能与前代载荷相似，但C2基础设施完成迁移。” Confucius组织投放WooperStealer与Anondoor 与此同时，网络间谍组织Confucius被指发起新攻击行动，散布信息窃取程序WooperStealer及新型模块化后门Anondoor。该组织据信自2013年起活跃，目标锁定南亚和东亚的政府军事单位，其攻击目标与印度密切相关。 据Seebug旗下404团队分析，攻击以Windows快捷方式文件（LNK）为起点，通过DLL劫持技术投放Anondoor后门。该后门具备完整攻击能力：可执行系统命令、屏幕截图、文件下载、Chrome密码提取及目录遍历。在收集系统信息后，恶意程序会从远程服务器获取WooperStealer。 研究报告指出：“该组织已从单一线程木马进化为模块化后门，技术迭代能力显著提升。其后门组件封装于C#动态库，通过反射机制规避沙箱检测。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

当前已知的 公开的 第一款 基于规则的 多语言的 快速的 GUI的 代码审计工具。

1. 为什么要二次反序列化为什么要二次反序列化？通常是因为存在反序列化入口时，代码通过重写ObjectInp

A vulnerability, which was classified as problematic, has been found in IBM Engineering Requirements Management DOORS 9.7.2.9. Affected by this issue is some unknown functionality. The manipulation leads to weak password recovery. This vulnerability is handled as CVE-2024-43190. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in SourceCodester Best Salon Management System 1.0. Affected by this issue is some unknown functionality of the file /panel/search-appointment.php. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2025-7142. The attack may be launched remotely. Furthermore, there is an exploit available.

A vulnerability has been found in CodeAstro Patient Record Management System 1.0 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /login.php. The manipulation of the argument uname leads to sql injection. This vulnerability is known as CVE-2025-7147. The attack can be launched remotely. Furthermore, there is an exploit available.

A vulnerability was found in CodeAstro Simple Hospital Management System 1.0 and classified as problematic. Affected by this issue is some unknown functionality of the file /patient.html of the component POST Parameter Handler. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2025-7148. The attack may be launched remotely. Furthermore, there is an exploit available. Multiple parameters might be affected.

A vulnerability was found in Campcodes Advanced Online Voting System 1.0. It has been classified as critical. This affects an unknown part of the file /admin/candidates_delete.php. The manipulation of the argument ID leads to sql injection. This vulnerability is uniquely identified as CVE-2025-7149. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.