Aggregator

Новая фишинговая кампания позволяет хакерам обходить системы защиты по репутации сервисов.

A vulnerability was found in SourceCodester Online Class Record System 1.0 and classified as critical. This issue affects some unknown processing of the file /admin/message/search.php. Executing a manipulation of the argument term can lead to sql injection. This vulnerability is handled as CVE-2026-2090. The attack can be executed remotely. Additionally, an exploit exists.

A vulnerability has been found in SourceCodester Online Class Record System 1.0 and classified as critical. This vulnerability affects unknown code of the file /admin/subject/controller.php. Performing a manipulation of the argument ID results in sql injection. This vulnerability is known as CVE-2026-2089. Remote exploitation of the attack is possible. Furthermore, an exploit is available.

Infosecurity Europe 2026 will debut a new Cyber Startup Programme, featuring a dedicated show-floor zone for early-stage cybersecurity companies to showcase innovations, connect with investors and highlight emerging technologies

A vulnerability, which was classified as critical, was found in PHPGurukul Beauty Parlour Management System 1.1. This affects an unknown part of the file /admin/accepted-appointment.php. Such manipulation of the argument delid leads to sql injection. This vulnerability is traded as CVE-2026-2088. The attack may be launched remotely. Furthermore, there is an exploit available.

AI+垂直交通，新再灵在阿里云 AI 应用及服务市场「选买用」让碳管理工作化繁为简。

真是一场酣畅淋漓的「更新」。

A vulnerability, which was classified as critical, has been found in SourceCodester Online Class Record System 1.0. Affected by this issue is some unknown functionality of the file /admin/login.php. This manipulation of the argument user_email causes sql injection. This vulnerability appears as CVE-2026-2087. The attack may be initiated remotely. In addition, an exploit is available.

A vulnerability classified as critical was found in UTT HiPER 810G up to 1.7.7-171114. Affected by this vulnerability is the function strcpy of the file /goform/formFireWall of the component Management Interface. The manipulation of the argument GroupName results in buffer overflow. This vulnerability is reported as CVE-2026-2086. The attack can be launched remotely. Moreover, an exploit is present. The vendor was contacted early about this disclosure but did not respond in any way.

HackerNews 编译，转载请注明出处： 随着伊朗当局于2026年1月初实施的大规模互联网封锁结束，隐秘的伊朗威胁组织 Infy 在启用全新命令与控制（C2）基础设施的同时，也升级了其战术以更好地隐藏行踪。 安全公司SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据的研究副总裁Tomer Bar在报告中指出：“这是我们监测该威胁组织活动以来，其首次于 1 月 8 日停止维护 C2 服务器。”他进一步分析称：“当日伊朗当局为应对近期抗议活动，实施了全国断网，这或许表明，即便是政府关联的网络部队，在伊朗境内也不具备开展恶意活动的能力或动机。” 该网络安全公司表示，其于 2026 年 1 月 26 日观测到该黑客团伙重启活动，搭建了新的 C2 服务器，而次日伊朗政府便放宽了境内网络限制。这一动态意义重大，尤为关键的是，它提供了该威胁组织为伊朗国家资助、受伊朗政府支持的确凿证据。 Infy 是伊朗境内众多国家资助黑客团伙之一，这些团伙均围绕德黑兰战略利益，开展间谍活动、破坏行动及舆论影响操作。同时它也是历史最悠久、知名度较低的团伙之一，自 2004 年起便隐匿行踪、低调运作，通过针对个人的 “精准聚焦式” 攻击开展情报收集，从未引发过多关注。 SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据。Tonnerre 最新版本（50 版）被赋予代号 “龙卷风（Tornado）” 对该威胁组织 2025 年 12 月 19 日至 2026 年 2 月 3 日期间活动的持续监测发现，攻击者已更换所有版本 Foudre 和 Tonnerre 的 C2 基础设施，同时推出 51 版龙卷风恶意软件，该版本同时采用 HTTP 协议与电报平台作为 C2 信道。 Bar 表示：“该恶意软件通过两种不同方式生成 C2 域名，一是全新域名生成算法（DGA），二是借助区块链数据反混淆技术生成固定域名，这是一种独特的方式，我们推测其用途是在无需升级龙卷风版本的前提下，提升 C2 域名注册的灵活性。” 另有迹象表明，Infy已将WinRAR中的一个“1-day”漏洞（CVE-2025-8088或CVE-2025-6218）武器化，用于在受感染主机上释放Tornado恶意负载。攻击载体的转变被视为提高其行动成功率的手段。2025年12月中旬，这些特制 RAR 压缩包从德国和印度被上传至 VirusTotal 平台，表明这两个国家或为攻击目标。 该RAR文件内为一个自解压（SFX）存档，包含两个文件： AuthFWSnapin.dll：即Tornado 51版的主DLL文件。 reg7989.dll：一个安装程序，会先检查是否未安装Avast杀毒软件；若未安装，则创建计划任务以实现持久化，并执行Tornado DLL。 Tornado通过HTTP与C2服务器通信，下载并执行主后门，同时收集系统信息。若选择Telegram作为C2通道，则会利用机器人API外传系统数据并接收进一步指令。 值得注意的是，恶意软件第50版使用了一个名为“سرافراز”（意为“自豪”）的Telegram群组，群内包含机器人账号“@ttestro1bot”和用户“@ehsan8999100”。而在最新版本中，后者已被替换为名为“@Ehsan66442”的新用户。 Bar 补充道：“与此前一样，Telegram群组中的机器人成员仍无权读取群聊消息。12月21日，原用户@ehsan8999100被添加至一个名为‘Test’的新Telegram频道，该频道当时仅有3名订阅者。此频道的具体用途尚不明确，但我们推测其被用于对受害机器的命令与控制。” SafeBreach称，其已成功提取该私密电报群组内的所有消息，获取了 2025 年 2 月 16 日以来所有被窃取的 Foudre 和 Tonnerre 相关文件，包括 118 个文件及 14 个共享链接 —— 链接内包含该威胁组织发送给 Tonnerre 的加密指令。对这些数据的分析揭示了两项关键发现： 一是发现一个恶意 ZIP 文件，会释放 ZZ 窃取器，该窃取器会加载 StormKitty 信息窃取软件的定制变种。 二是 ZZ 窃取器攻击链，与针对 Python 包索引（PyPI）仓库的攻击活动存在 “极强关联性”—— 攻击者上传恶意包 testfiwldsd21233s，用于释放 ZZ 窃取器早期版本，并通过电报机器人接口窃取数据。 三是 Infy 与Charming Kitten 组织，因均使用 ZIP 文件、Windows 快捷方式（LNK）文件及 PowerShell 加载器技术，存在 “较弱的潜在关联性”。 SafeBreach解释道：“ZZ Stealer似乎是一种第一阶段恶意软件（类似Foudre），会首先收集环境数据、截取屏幕截图并窃取所有桌面文件。此外，当从C2服务器收到‘8==3’指令时，它将下载并执行同样被攻击者命名为‘8==3’的第二阶段恶意软件。”   消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机，大规模托管并分发恶意攻击载荷。 网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时，发现了该攻击手法。研究人员发现，攻击者使用的 Windows 虚拟机均带有相同主机名，推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。 深入调查后研究人员发现，该相同主机名还出现在多个勒索软件团伙的基础设施中，包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。 ISPsystem是一家正规软件公司，主营托管服务商专用控制面板开发，可用于虚拟服务器管理、操作系统维护等场景。VMmanager  是该公司旗下虚拟化管理平台，可为客户快速创建 Windows 或 Linux 虚拟机。 Sophos发现，VMmanager 的 Windows 默认模板每次部署时，都会复用相同的主机名及系统标识符。 部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商，正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机，将其用作命令与控制（C2）及恶意载荷投递基础设施。 这一行为本质是将恶意系统隐藏在数千台正常虚拟机中，既增加了攻击溯源难度，也让快速下架恶意节点成为泡影。 绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管，包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。 Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP，该服务商利用 VMmanager 规避检测，提供的虚拟专用服务器（VPS）及远程桌面（RDP）服务均不响应合法合规请求。 据Sophos统计，ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”，具体如下： ·    WIN-LIVFRVQFMKO ·    WIN-LIVFRVQFMKO ·    WIN-344VU98D3RU ·    WIN-J9D866ESIJ2 这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。 研究人员指出，尽管 ISPsystem VMmanager 是合法虚拟化管理平台，但因其 “成本低、准入门槛低、具备一站式部署能力”，对网络犯罪分子极具吸引力。 科技媒体 BleepingComputer 已联系 ISPsystem，询问其是否知晓 VM 模板遭大规模滥用及后续整改计划，但截至发稿时尚未收到回应。     消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Submit #746551 / VDB-344657

Submit #746550 / VDB-344656

A vulnerability classified as critical has been found in D-Link DWR-M921 1.1.50. Affected is the function sub_419F20 of the file /boafrm/formUSSDSetup of the component USSD Configuration Endpoint. The manipulation of the argument ussdValue leads to command injection. This vulnerability is documented as CVE-2026-2085. The attack can be initiated remotely. Additionally, an exploit exists.

HackerNews 编译，转载请注明出处： 罗马尼亚国家输油管道运营商 Conpet 披露，本周二遭遇网络攻击，其业务系统受干扰，公司官网也已无法访问。 Conpet 运营着近 4000 公里输油管网，负责向罗马尼亚全国炼油厂输送国产及进口原油，以及汽油、液态乙烷等石油衍生品。 该公司在周三发布的新闻稿中表示，此次事件仅影响企业 IT 基础设施，未干扰核心运营，也未影响合同履约能力。Conpet 补充称，官网因攻击下线，目前正联合国家网络安全部门开展事件调查，推进受影响系统恢复工作。 该输油管道运营商已通报罗马尼亚有组织犯罪与恐怖主义调查局（DIICOT），并就此次事件提起刑事诉讼。Conpet 表示：“需说明的是，运营技术系统（监控与数据采集系统及通信系统）未受影响，因此公司核心业务 —— 通过国家石油运输系统输送原油与汽油 —— 运行正常，未出现任何中断。”而受此次事件影响，公司官网 www.conpet.ro 目前无法访问。 尽管 Conpet 尚未披露攻击类型，但 Qilin 勒索软件团伙已宣称对此次攻击负责，并于今日早些时候将 Conpet 列入其暗网数据泄露平台。该威胁团伙还声称，已从 Conpet遭攻陷的系统中窃取近 1TB 文件，并泄露十余张内部文件照片（含财务信息及护照扫描件），以此证实数据泄露属实。 Conpet 在Qilin的泄露网站上（From:BleepingComputer） Qilin 团伙于 2022 年 8 月以“Agenda”为名开始作为勒索软件即服务（RaaS）运营。过去四年间，其宣称攻击了近 400 个目标，包括日产汽车、日本朝日啤酒、出版业巨头李企业集团、病理服务商 Synnovis 以及澳大利亚维多利亚州法院服务局等知名机构。 BleepingComputer 已就此事联系 Conpet 寻求置评，但截至发稿未获回复。科技媒体 BleepingComputer 就此次事件联系 Conpet 求证，但暂未获得回应。 此前在去年 12 月，罗马尼亚水务局（全国水务管理机构）、奥尔特尼亚能源集团（该国最大煤电能源生产商）也曾遭遇勒索软件攻击。2024 年 12 月，罗马尼亚大型电力供应与分销商电力集团（Electrica Group）遭 Lynx 索软件攻击；2024 年 2 月，超 100 家罗马尼亚医院因遭遇 Backmydata 勒索软件攻击，医疗管理系统瘫痪，陷入全面停摆。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数字出版平台 Substack 发生数据泄露事件，一名黑客泄露了据称取自该公司系统的用户记录，目前平台已正式披露此事。 Substack 是一款热门订阅制出版平台，支持作家、播客主及创作者向订阅者直接推送时事通讯，同时实现作品商业化变现。最新数据显示，该平台拥有约 3500 万订阅用户。 该公司已开始向用户推送通知，告知其发生一起安全事件，导致用户电子邮箱、电话号码及内部元数据遭泄露。 Substack 表示，该事件发生于 2025 年 10 月，但直至 2 月 3 日才被发现，当日公司发现 “系统存在漏洞，导致未授权第三方得以非法访问部分用户数据”。 由 Substack 首席执行官Chris Best签署的用户通知中明确，用户密码、银行卡号及其他金融信息未发生泄露。 尽管公司表示暂无证据表明泄露信息已被滥用，但仍敦促用户警惕可疑电子邮件与短信。就在此次通知发出数日前，一名黑客泄露了其宣称是 Substack 用户数据的相关信息。 该黑客在论坛帖子中声称，窃取的数据包括姓名、邮箱、电话号码、个人资料照片、用户 ID 及个人简介等信息。 该威胁行为者称，通过数据爬取手段获取了近 70 万条用户记录，并表示此次攻击 “动静较大”，致使平台迅速采取了缓解措施。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年 1 月，自动化投资平台 Betterment 系统遭黑客攻陷，140 万用户账户的电子邮箱地址及其他个人信息被窃取。 Betterment 主营自动化投资工具与金融咨询服务，是美国 “机器人投顾” 领域的先驱企业。这家金融科技公司共为超 100 万客户管理着 650 亿美元资产。 尽管 Betterment 未披露受影响总人数，但数据泄露查询平台 Have I Been Pwned 分析被盗数据后表示，此次泄露波及 1435174 个账户，涉及信息包括电子邮箱、姓名及地理位置数据。 遭泄露的信息还包括出生日期、通讯地址、电话号码、设备信息、雇主地理位置及职位名称。 Betterment 于 1 月 10 日披露，威胁行为者通过社会工程学攻击侵入部分系统后，还发送伪装成公司促销活动的欺诈邮件，试图诱导目标客户落入奖励骗局 —— 该骗局宣称，向攻击者控制的比特币、以太坊钱包转入加密货币，可获得三倍金额返还。 Betterment 警示用户：“此活动并非官方福利，切勿理会；即便点击了活动通知，也不会影响你的 Betterment 账户安全。目前非授权访问已被阻断，且暂无证据表明非授权人员获取过 Betterment 客户账户的访问权限。” 1 月 13 日科技媒体 BleepingComputer 报道称，Betterment 遭分布式拒绝服务（DDoS）攻击且被勒索，此后该公司确认，官网及移动应用的间歇性宕机系 DDoS 攻击所致，但尚未披露任何与勒索相关的细节。 本周早些时候，Betterment 再发声明称，联合网络安全厂商 CrowdStrike 开展后续溯源调查后确认，此次泄露未导致客户账户被攻陷。 该公司表示：“在 CrowdStrike 支持下，我们完成溯源调查，确认 1 月 9 日的事件未造成客户账户、密码及登录信息泄露。”“分析结果进一步确认，此次隐私影响主要集中在部分客户联系信息（含姓名、邮箱）；部分案例中，联系信息还关联了通讯地址、电话号码、出生日期等其他客户信息。” 截至发稿，Betterment发言人在BleepingComputer就此事联系问询后尚未作出回复。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利外交部长 Tajani 表示，该国已挫败一系列针对外交部办公机构及冬奥会官网、相关酒店的俄关联网络攻击。据他透露，意大利已挫败一系列俄关联网络攻击，攻击目标包括外交部驻外办公机构（含华盛顿办事处）、冬奥会官方网站及科尔蒂纳丹佩佐地区的冬奥相关酒店。 兼任副总理的Tajani 强调：“我们挫败了一系列针对外交部办公机构（首当其冲是华盛顿办事处）及部分冬奥场所（含科尔蒂纳地区酒店）的网络攻击。”他明确指出“这些行动由俄罗斯主导”。据意大利安莎通讯社报道，Tajani 是在华盛顿出访期间向记者披露此事的。 亲俄黑客组织 Noname057(16) 宣称实施了这些分布式拒绝服务（DDoS）攻击。近期该组织已通过自身渠道公布目标清单，涵盖科尔蒂纳地区多家酒店及外交部等政府网站。 该组织声称，发起攻击是对意大利亲乌立场的报复，同时列出其他攻击目标，包括意大利驻华盛顿大使馆及驻悉尼、多伦多、巴黎领事馆。得益于意大利有关部门及国家网络安全局的应对处置，此次攻击造成的影响目前较为有限。 目前监测到的攻击强度尚未达到极高水平，但各方已明确，当前威胁态势中存在可发起大规模分布式拒绝服务攻击的僵尸网络，这类攻击需通过复杂方案才能缓解。例如近期 AISURU 僵尸网络发起的攻击就具备这样的规模，但该僵尸网络似乎并不属于Noname057(16)这类亲俄激进黑客组织的攻击武器库。 意大利内政部长 Piantedosi 宣布，意方将在米兰至多洛米蒂赛区的各个场馆部署6000名安全人员，其中包括拆弹小组、狙击手及反恐部队。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Submit #746520 / VDB-344655