Aggregator

​企业 AI 转型，再也不需要自建 agent 了

A vulnerability was found in MediaTek MT2735, MT6833, MT6853, MT6855, MT6873, MT6875, MT6877, MT6880, MT6883, MT6885, MT6889, MT6890, MT6891, MT6893, MT8675, MT8771, MT8791, MT8791T and MT8797. It has been declared as problematic. This affects an unknown function of the component Base Station Handler. The manipulation results in reachable assertion. This vulnerability is reported as CVE-2026-20401. The attack can be launched remotely. No exploit exists. It is advisable to implement a patch to correct this issue.

A vulnerability was found in Nokia ONT. It has been classified as critical. The impacted element is an unknown function of the component Unified WEBUI Application. The manipulation leads to improper input validation. This vulnerability is documented as CVE-2025-9974. The attack can be initiated remotely. There is not any exploit available. Upgrading the affected component is recommended.

Op tientallen Ford 4x4 voertuigen worden vanaf vandaag geavanceerde radarsystemen gemonteerd waarmee defensielocaties beter zijn te bewaken. De radars waarschuwen vroegtijdig voor naderende drones. Ook valt sneller te reageren in het geval van ongewenste indringers.

A vulnerability labeled as problematic has been found in QOS Logback-core up to 1.5.24. Affected by this issue is some unknown functionality of the component Configuration File Handler. Executing a manipulation can lead to information disclosure. This vulnerability is registered as CVE-2026-1225. The attack needs to be launched locally. No exploit is available. The affected component should be upgraded.

A vulnerability labeled as critical has been found in WatchGuard Fireware OS up to 12.5.15/12.11.6/2026.0. This vulnerability affects unknown code. The manipulation results in ldap injection. This vulnerability is known as CVE-2026-1498. It is possible to launch the attack remotely. No exploit is available.

Разработчики Plone сообщили о компрометации пяти хранилищ кода на GitHub.

展望未来，网络安全产业正进入“智能驱动、生态竞争、价值重构”的新阶段，中国企业需兼顾全球技术趋势与本土化需求，构建兼具技术领先性与场景融合能力的解决方案，以应对未来的机遇与挑战。

A “scary” vulnerability in Broadcom Wi-Fi chipsets could lead to long-term instability and affect how an organization operates.

The post Flaw in Broadcom Wi-Fi Chipsets Illuminates Importance of Wireless Dependability and Business Continuity  appeared first on Security Boulevard.

The maintainer of Notepad++ has revealed that state-sponsored attackers hijacked the utility's update mechanism to redirect update traffic to malicious servers instead. "The attack involved [an] infrastructure-level compromise that allowed malicious actors to intercept and redirect update traffic destined for notepad-plus-plus.org," developer Don Ho said. "The compromise occurred at the hosting

精彩纷呈的2025已经落下帷幕，回顾这一年，吾爱破解论坛佳作频出，新秀崭露头角，老将宝刀不老，一篇篇技术文章鞭辟入里、深入浅出，络绎登场，令人目不暇接。

HackerNews 编译，转载请注明出处： 过去数月，一场大规模的云存储订阅诈骗活动在全球范围内持续泛滥。大量用户频繁收到恐吓邮件，谎称其因“支付失败”导致照片、文件及账户即将被封锁或删除，以此诱导用户点击诈骗链接。 据安全媒体BleepingComputer观察，该诈骗活动在过去几个月中不断升级演进，受害者每天都会收到多个变种的诈骗邮件，这些邮件均疑似出自同一犯罪团伙之手。 尽管邮件正文内容略有差异，但核心话术一致：均试图通过编造“支付问题”或“存储空间不足”等理由制造紧迫感，威胁用户若不立即处理，其文件将被删除或访问权限遭封锁。 云存储诈骗邮件攻击详情 这些钓鱼邮件来自大量不同的发件域，其中绝大多数域名看起来是为此次垃圾邮件活动随机生成的，示例如下： Immediate Action Required. Payment Declined Cloud Storage 1TB: Payment overdue [personal name]¸Your Account Has been Blocked! Your Photos and Videos will be Removed Fri,30 Jan-2026. take action!! We’ve blocked your account!  Your photos and videos will be deleted . Renew your subscription for free now! [personal name] – Your store is full , click to check and save 80% , ID#88839 [personal name], Your Cloud Account has been locked on Mon,26 Jan-2026. Your photos and videos will be removed! Sorry [<personal email address>], We Have To Suspend Your Account Today ! Sat,24 Jan-2026 [name] – Your store is full , click to check and save 80% Cloud Storage 1TB: Payment overdue 这些诈骗邮件使用各类主题，核心目的均是恐吓收件人打开邮件。BleepingComputer收集到的部分主题行包括： 需要立即操作！付款被拒绝 云存储 1TB：付款逾期 [个人姓名]，您的账户已被封锁！您的照片和视频将于2026年1月30日（周五）被移除。请立即行动！！ 我们已封锁您的账户！您的照片和视频将被删除。立即免费续订订阅！ [个人姓名] – 您的存储空间已满，点击检查并节省80%，ID#88839 [个人姓名]，您的云账户已于2026年1月26日（周一）被锁定。您的照片和视频将被移除！ 抱歉 [<个人邮箱地址>]，我们必须在2026年1月24日（周六）暂停您的账户！ [姓名] – 您的存储空间已满，点击查看并节省80% 云存储 1TB：付款逾期 邮件内容谎称用户的云订阅续费失败或支付方式过期，警告若不立即处理，备份同步将停止，照片、视频、文档及设备备份可能永久丢失。为了增加欺骗性，邮件中还常包含虚构的账户ID、订阅编号和到期日期。邮件中还常包含伪造的账户 ID、订阅编号及到期日期，进一步伪装成合法通知。 BleepingComputer 获取的一封邮件中写道：“你的云订阅面临风险，近期支付处理失败。若未及时解决，云存储及备份功能可能被暂停” “紧急提醒：请尽快验证或更新支付方式，避免失去对照片、文件及设备备份的访问权限。” 该诈骗活动中的所有垃圾邮件均包含链接https://storage.googleapis.com/（谷歌云存储旗下服务），威胁分子在该链接下托管了静态重定向 HTML 文件。用户点击链接后，会被重定向至部署在随机域名上的诈骗 / 钓鱼网站。BleepingComputer测试发现，所有链接最终都指向同一套诈骗页面。这些页面高度模仿主流云服务商的门站，醒目地展示着云服务品牌标识（甚至包括谷歌云Logo），并声称用户存储空间已满，照片、视频、联系人、文件等私人数据将停止备份并面临删除风险。页面声称用户云存储空间已满，警示照片、视频、联系人、文件及私密数据已停止备份，且即将被删除。 下方钓鱼页面显示：“因你已超出存储套餐限额，文档、联系人及设备数据已停止同步至云空间，照片及视频无法上传至云相册，云盘及云服务相关应用无法跨设备同步更新。” “若不立即处理，你的数据将因失去安全保护而丢失。” 点击 “继续” 按钮后，用户会进入虚假存储检测页面，该页面始终显示照片、云盘及邮箱均已占满存储空间。随后页面警示：除非升级云存储空间，否则数据将丢失，同时声称用户可享受限时 “老用户专属” 8 折升级优惠。但用户点击存储升级按钮后，并不会进入合法云服务页面，而是被重定向至联盟营销页面，推广与云存储无关的产品。该钓鱼活动推广的产品包括 VPN 服务、小众安全软件，及其他与云存储无关的订阅类产品。这些页面最终会跳转至结账表单，目的是收集用户信用卡信息，同时为诈骗分子赚取联盟营销佣金。 遗憾的是，许多收件人无法识别此类诈骗，会误以为购买相关产品可解决虚假的云存储问题，进而购买非必需产品。需明确的是，此类邮件及落地页均非合法云服务通知。 需明确的是，此类邮件及落地页均非合法云服务通知。此外，正规云服务提供商不会通过邮件引导用户进行存储检测，也不会让用户通过第三方安全软件或 VPN 产品解决计费问题。 同时，多数正规云存储提供商在用户未按时付费时，仅会封禁额外存储空间的访问权限，而非立即删除用户文件。例如谷歌规定，若谷歌云盘套餐被取消，用户将失去额外存储空间访问权限，补缴费用后可恢复，且文件仅会在 2 年后被删除；微软 OneDrive 采用类似规则，但规定若账户超出配额存储限制，相关文件可能在 6 个月后被删除。 收到此类垃圾邮件的用户应直接删除，切勿点击任何链接，也不要购买邮件推广的任何产品。该诈骗活动的核心目的是恐吓用户进行非必需消费，因此无视此类邮件是最佳应对方式，若用户对云存储或计费有疑问，应手动访问正规云服务的官方网站或 APP 进行核实。   消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。 该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。 美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离 受影响产品范围 该漏洞影响以下应用产品： 确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。 截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。 这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。 此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。 消息来源:cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Iconics Suite SCADA 系统存在一项中危漏洞，攻击者可利用该漏洞在关键工业控制系统上触发拒绝服务状态。 该漏洞编号为 CVE-2025-0921，广泛部署于汽车、能源及制造业的监控与数据采集（SCADA）基础设施。 漏洞详情 CVE-2025-0921 源于三菱电机 Iconics Digital Solutions 的 GENESIS64 软件中，多个服务存在“以不必要权限执行”的安全缺陷。 该漏洞 CVSS 评分为 6.5 分，评级为中危。攻击者成功利用该漏洞后，可滥用特权文件系统操作提升权限、破坏核心系统二进制文件，最终导致系统完整性与可用性受损。 此漏洞由 Unit 42 的研究员 Asher Davila 和 Malav Vyas 在 2024 年初的一次全面安全评估中发现。这是在微软 Windows 平台的 Iconics Suite 10.97.2 及更早版本中发现的 6 项漏洞之一。此前研究人员已披露该 SCADA 平台存在的 5 项相关漏洞，CVE-2025-0921 是后续调查中发现的新增威胁。 根据三菱电机的安全公告，该漏洞影响 GENESIS64、MC Works64 的所有版本以及 GENESIS 11.00 版本。Iconics Suite 在全球超过 100 个国家拥有数十万安装实例，遍布政府设施、军事基地、水处理厂、公共事业及能源供应商等关键基础设施领域。 技术原理与利用途径 该漏洞存在于工业流程监控告警管理系统 AlarmWorX64 MMX 的 Pager Agent 组件中。 具备本地访问权限的攻击者，可通过篡改 C:\ProgramData\ICONICS 目录下 IcoSetup64.ini 文件中存储的 SMSLogFile 路径配置来利用该漏洞。攻击链流程包括：将日志文件存储路径创建为指向目标系统二进制文件的符号链接。当管理员发送测试消息或系统自动触发告警时，日志信息会沿符号链接覆盖核心驱动文件（如为 Windows 系统组件提供加密服务的 cng.sys）。 系统重启后，被破坏的驱动会导致启动失败，设备陷入无限修复循环，最终使工业控制（OT）工程工作站无法运行。 研究人员证实，该漏洞与 CVE-2024-7587 漏洞结合后利用难度会大幅降低；CVE-2024-7587 是此前披露的 GenBroker32 安装程序漏洞，会给 C:\ProgramData\ICONICS 目录赋予过高权限，允许任意本地用户修改核心配置文件。但即便单独利用该漏洞，若日志文件因配置不当、其他漏洞或社会工程学攻击具备可写权限，攻击者仍可成功触发漏洞。 三菱电机已为 GENESIS 11.01 及后续版本发布修复补丁，客户可从 Iconics 社区资源中心下载。针对 GENESIS64 用户，修复版本正在开发中，将于近期发布。厂商明确表示暂无 MC Works64 版本补丁发布计划，相关客户需在此期间落实漏洞缓解措施。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Moltbook 是 Octane AI 的 Matt Schlicht 于 2026 年 1 月末推出的新兴 AI 智能体社交网络，当前该平台因号称拥有 150 万 “用户” 引发热议，但其存在一项高危漏洞，导致注册主体的电子邮箱、登录令牌及 API 密钥遭泄露。 研究人员披露，该平台因数据库配置不当导致暴露，未授权人员可访问智能体档案，进而实现批量数据窃取。 该漏洞同时伴随账户创建无速率限制的问题，据悉单个 OpenClaw 智能体（@openclaw）就注册了 50 万个虚假 AI 用户，直接戳破了媒体所称的自然增长论调。 平台运行机制 Moltbook 支持基于 OpenClaw 构建的 AI 智能体发布内容、评论，还可创建如 m/emergence 这类 “子社群”，催生了围绕 AI 涌现、报复性信息泄露、Solana 代币刷信誉等话题的智能体论战 平台已涌现超 2.8 万条帖子及 23.3 万条评论，并有 100 万沉默验证者对内容进行查看。但智能体数量存在造假：因无注册限制，大量机器人批量注册，营造出平台爆火的假象。 关联不安全开源数据库的暴露端点，无需身份验证，仅通过 GET /api/agents/{id} 这类简单查询指令，即可泄露智能体数据。 攻击者可以通过枚举 ID 快速获取成千上万条记录。 安全风险与专家警告 此次不安全的直接对象引用（IDOR）及数据库暴露漏洞，构成了 “致命三重威胁”：智能体可访问私密数据、平台存在不可信输入风险（提示注入）、支持外部通信，可能引发凭证窃取、文件删除等破坏性操作。 Andrej Karpathy 称该平台是 “充斥垃圾信息的规模里程碑”，但更是 “计算机安全噩梦”，Bill Ackman 则评价其 “令人恐慌”。子社群中的提示注入攻击可操控机器人泄露宿主数据，且 OpenClaw 无沙箱隔离的执行机制会加剧这一风险。 目前尚无修复补丁确认；Moltbook (@moltbook) 对漏洞披露无回应。安全专家强烈建议用户及智能体所有者：立即撤销所有相关API密钥、将智能体置于沙箱环境中运行，并全面审计数据暴露情况。对于企业而言，不受管控的此类机器人活动更带来了严峻的“影子IT”风险。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某威胁行为者正针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据库所有者索要小额赎金，承诺支付后恢复数据。 该攻击者专挑易得目标下手，即因配置不当导致无限制访问、安全性缺失的数据库。据估计，已有约1,400台暴露的服务器遭入侵，攻击者留下的勒索信索要约500美元（以比特币支付）的赎金。 2021 年之前，此类攻击曾集中爆发，导致数千个数据库被删除，攻击者索要赎金以恢复数据 [1,2]，部分情况下，攻击者仅删除数据库，并未提出金钱诉求。 网络安全公司Flare的研究人员通过渗透测试发现，此类攻击至今仍在持续，只是规模有所缩小。研究人员共发现超过 20.85 万台公网暴露的 MongoDB 服务器。其中，10万台泄露了运维信息，更有3,100台根本无需身份验证即可直接访问。 Flare 核查时发现，无限制访问的 MongoDB 服务器中，近半数（45.6%）已遭入侵，这些数据库被清空，只留下一封勒索信。 Flare 在报告中指出：“威胁行为者要求向指定钱包地址支付比特币（通常为 0.005 枚，当前价值约 500 至 600 美元），并承诺支付后恢复数据”。然而，Flare在报告中明确指出：“但目前无法保证攻击者确实留存了数据，也无法保证受害者支付赎金后，对方会提供可用的解密密钥。” 所有勒索信中仅出现 5 个不同的钱包地址，其中一个地址占比高达约 98%，可见此类攻击由单一威胁行为者主导。 Flare 还指出，部分暴露且防护薄弱的 MongoDB 实例未遭攻击，推测这些实例的所有者可能已向攻击者支付了赎金。 除身份验证措施薄弱外，研究人员还发现，所有公网暴露的 MongoDB 服务器中，近半数（9.5 万台）运行老旧版本，存在已知漏洞（n-day 漏洞）风险。但这些漏洞大多仅能被利用发起拒绝服务攻击，无法实现远程代码执行。 Flare 建议 MongoDB 管理员，非必要不将实例暴露至公网；启用高强度身份验证；部署防火墙规则及 Kubernetes 网络策略，仅允许可信连接访问；避免直接照搬部署指南中的配置。需将 MongoDB 升级至最新版本，并持续监控实例是否存在暴露风险。若发现实例暴露，需立即轮换凭证，并核查日志排查是否存在未授权操作。   消息来源:bleepingcomputer： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability classified as problematic was found in Summernote Rich Text Editor up to 0.8.18. Impacted is an unknown function. The manipulation results in cross site scripting. This vulnerability is cataloged as CVE-2023-42371. The attack may be launched remotely. There is no exploit available.

A vulnerability was found in OneVision Workspace up to 29.031/30.043/31.039. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Java EL Handler. The manipulation results in code injection. This vulnerability was named CVE-2023-42404. The attack may be performed from remote. There is no available exploit. It is recommended to upgrade the affected component.