HackerNews

HackerNews 编译，转载请注明出处： 美国国家安全局（NSA）近日发布了一套新版《零信任实施指南》（ZIGs），该指南详细说明各类组织如何推进零信任建设，直至达到目标成熟度等级。 该指南包含了ZIGs的第一与第二阶段，其设计初衷是支持美国战争部（DoW，即原国防部）的零信任架构及更广泛的美国政府网络安全战略落地。 此次发布的两个阶段内容，目的是推动组织从零信任探索阶段逐步过渡至目标级落地实施阶段。指南明确了各阶段必备行动、依赖条件及预期成果，同时保留灵活性，允许企业结合自身业务需求与约束条件定制落地方案。 第一阶段聚焦搭建安全基准防线，该阶段明确了 36 项核心行动，支撑 30 项零信任核心能力落地，助力组织在深度集成前搭建或完善基础安全管控体系。第二阶段在第一阶段基础上推进，包含 41 项行动，可新增落地 34 项零信任能力，核心任务是实现核心零信任方案在各组件环境中的跨域集成。 这种分阶段的推进方式体现了一种模块化设计理念，而非僵化的固定路线。 AppOmni公司首席技术官兼联合创始人布莱恩·索比指出，这种结构强化了零信任并非一次性部署项目的观念。他强调：“（零信任）是一种运营模式，而非单纯的产品。”，同时强调，随着环境变化，相关策略决策必须持续评估并严格执行。 从边界防护转向持续评估 该指南进一步推动了安全理念的转变，即从依赖网络边界防护，转向对用户、设备及应用程序进行持续的身份验证与授权。零信任遵循 “永不信任、始终验证” 及 “默认已遭入侵” 的核心原则，随着网络威胁不断演变，该理念愈发被认为是安全防护的必要方案。 索比认为，该指南的一大亮点在于其重点关注身份验证之后的活动。“持续动态评估必须在用户登录后开展，而非仅在登录环节执行。”他表示。索比指出，当前许多成功的网络攻击均发生在身份认证之后，若无法对应用内部行为实现可视管控，仅靠基础身份核验与设备状态评估，能提供的防护能力十分有限。 该指南借鉴了美国第 14028 号行政令下出台的多项成熟框架，包括美国国家标准与技术研究院特别出版物 800-207、美国网络安全与基础设施安全局零信任成熟度模型 2.0 版本及美国战争部零信任参考架构。美国国家安全局与美国战争部首席信息官紧密协作制定该指南，将 152 项零信任相关行动梳理整合为结构化的实施阶段。 然而，索比也警告称，但索比警示，当前许多组织对零信任仍存在误用，仅过度聚焦网络访问管控这单一维度，若将零信任网络访问等同于完整的零信任解决方案，会忽略应用自身的访问决策制定与执行逻辑。 他表示：“任何零信任架构，若将应用策略决策点的可视性与管控能力排除在外，不仅实施成本高昂，防护效果也会严重不足。” 美国国家安全局表示，当前版本指南旨在帮助专业技术人员推动组织达成目标级零信任成熟度，未来或还将推出更多高级阶段的实施内容。     消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员在 OpenClaw（曾用名 Clawdbot 和 Moltbot）中发现一个高危安全漏洞，攻击者可通过特制恶意链接实现远程代码执行（RCE）。 该漏洞编号为 CVE-2026-25253（CVSS 评分：8.8），已于 2026 年 1 月 30 日发布的 2026.1.29 版本中修复。该漏洞被定义为令牌窃取漏洞，可导致网关被完全攻陷。 OpenClaw 创建者兼维护者 Peter Steinberger 在安全公告中表示：“控制界面会信任查询字符串中的 gatewayUrl 参数且不做验证，加载时自动建立连接，并在 WebSocket 连接载荷中发送存储的网关令牌。” “点击特制恶意链接或访问恶意网站，会将该令牌发送至攻击者控制的服务器。攻击者随后可连接受害者本地网关，修改配置（沙箱、工具策略），调用特权操作，最终实现一键远程代码执行。” OpenClaw 是一款开源自主人工智能个人助手，可在用户设备本地运行，且能与多款即时通讯平台集成。该工具虽于 2025 年 11 月首次发布，但近几周热度快速攀升，截至本文撰写时，其 GitHub 代码仓库星标数已突破 14.9 万。 Steinberger 介绍称：“OpenClaw 是一款开源智能体平台，可部署在你的设备上，且能通过你日常使用的聊天应用运行。与数据存储在他人服务器的软件即服务（SaaS）类助手不同，OpenClaw 可部署在你指定的设备上 —— 笔记本电脑、家庭实验室服务器或虚拟专用服务器，你的基础设施、你的密钥、你的数据，全程由你掌控。” 此漏洞的发现者、depthfirst 创始安全研究员 Mav Levin 指出，攻击者可借此构造一键 RCE 利用链，受害者仅需访问一次恶意网页，攻击过程即可在数毫秒内完成。 核心问题在于，OpenClaw 服务器未验证 WebSocket 来源请求头，点击恶意网页链接即可触发跨站 WebSocket 劫持攻击。这导致服务器会接受任意网站的请求，直接绕过本地环路网络限制。 恶意网页可利用该漏洞，在受害者浏览器中执行客户端 JavaScript 脚本，获取身份验证令牌、与服务器建立 WebSocket 连接，再通过窃取的令牌绕过身份验证，登录受害者的 OpenClaw 实例。 更严重的是，攻击者可利用令牌拥有的 operator.admin 和 operator.approvals 特权权限，通过 API 将 “exec.approvals.set” 设为 “off” 关闭用户确认机制，同时将 “tools.exec.host” 设为 “gateway”，突破运行 shell 工具的容器隔离。 Levin 解释道：“这会强制智能体直接在宿主设备上执行命令，而非在 Docker 容器内运行。最终，攻击者通过 JavaScript 执行 node.invoke 请求，实现任意命令执行。” 当被问及 OpenClaw 通过 API 管理安全功能是否存在架构缺陷时，Levin 在邮件中表示：“这些防护机制（沙箱、安全防护壁垒）的设计初衷，是抵御大语言模型因提示注入等问题产生的恶意行为。用户可能以为这些机制能保护其免受此漏洞影响（或限制危害范围），但实际并非如此。” Steinberger 在安全公告中指出：“即便 OpenClaw 实例配置为仅监听本地环路，该漏洞仍可被利用，因为出站连接由受害者的浏览器发起。” “任何用户已通过控制界面完成认证的 Moltbot 部署均会受到影响。攻击者将获得网关 API 的操作员级访问权限，从而能够任意修改配置并在网关主机上执行代码。即使网关绑定于环回地址，攻击依然有效，因为受害者的浏览器充当了中间桥梁。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未知、名为Punishing Owl的黑客组织近期浮出水面，正对俄罗斯政府安全机构发起技术复杂的网络攻击。 该组织于 2025 年 12 月 12 日首次公开活动，当日宣布已成功入侵俄罗斯某政府安全机构的网络。 攻击者将窃取的内部文件发布至数据泄露平台，并在 Mega.nz 存储仓库中备份相关文件，以此实现网络入侵事件曝光度最大化的目的。 该组织采用多种攻击手段，扩大此次行动的影响力。在取得受害者 DNS 配置的控制权后，Punishing Owl 创建了一个子域名并修改了 DNS 记录，将相关流量劫持至一台位于巴西的服务器。 该服务器不仅托管了窃取的文件，还附带了一份阐述其攻击动机的政治声明。 攻击者特意选择周五晚 6 点 37 分宣布入侵事件，该时间点经精心测算，可拖延受害者响应进度，同时让自身攻击行动获得最大曝光度。 在完成初步入侵后，该组织进一步对受害机构的合作伙伴与承包商发起了商业电子邮件欺诈（BEC）攻击。 据 Habr 分析师调查发现，Punishing Owl 利用位于巴西的服务器，并使用在受害者邮件域名下伪造的发件地址发送了钓鱼邮件。 这些钓鱼邮件谎称是对网络入侵事件的核实通知，并附带紧急要求，催促收件人查看附件文档。 尽管是新近出现的组织，但其攻击基础设施展现出相当的技术水准。Punishing Owl 配置了伪造的 TLS 证书，搭建了用于邮件收发的 IMAP 和 SMTP 服务，并部署了名为 ZipWhisper 的 PowerShell 窃密木马，用以从受感染系统中盗取浏览器凭证。 恶意邮件中包含带密码保护的 ZIP 压缩包，包内藏有伪装的 LNK 快捷方式文件，该文件会执行 PowerShell 命令，从 bloggoversikten [.] com 域名下的命令与控制服务器下载窃取器。 感染机制与凭证窃取过程 ZipWhisper 窃取器通过多阶段感染流程运作，核心目标是从受入侵主机中提取敏感浏览器数据。 当受害者打开伪装的 LNK 文件时，它会静默执行 PowerShell 命令，从攻击者架设的服务器下载窃密木马的有效载荷。 随后该恶意软件会收集存储浏览器凭证、Cookie 及保存密码的相关文件，将其打包为 ZIP 压缩包，压缩包命名遵循特定规则，包含受害者用户名及文件分块编号。 这些压缩包会先临时存储在系统 AppData/Local/Temp 目录下，再通过自定义端点结构上传至命令与控制服务器。 对窃取器代码的分析显示，代码注释表明其部分恶意脚本可能由 AI 工具生成，这意味着该组织或在借助现代开发技术，加速针对俄罗斯关键基础设施目标的攻击行动推进。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 DynoWiper 的高危新型数据擦除恶意软件已出现，正对波兰能源企业发起破坏性攻击，核心目的是永久清除关键数据。 该恶意软件于 2025 年 12 月首次被发现，当时安全研究人员监测到其在一家波兰能源企业内部部署。 与常见的以勒索钱财为目的、对文件进行加密的勒索软件不同，DynoWiper 的运作目标纯粹是破坏性的：它旨在覆盖并摧毁受感染网络中的所有数据，导致系统完全瘫痪无法启动。 此次攻击标志着针对关键基础设施的网络威胁正出现令人担忧的升级态势。 DynoWiper 存在多个变种部署形式，包括 schtask.exe、schtask2.exe 及一个更新程序文件，所有变种均于 2025 年 12 月 29 日被投放。 攻击者在首次执行失败后，多次尝试运行该恶意软件，且每次都会修改代码以绕过安全防护机制。 但企业部署的终端检测与响应工具成功拦截了恶意软件执行，大幅降低了攻击造成的损失。 Welivesecurity 的分析师指出，DynoWiper 与一款此前针对乌克兰目标的已知擦除恶意软件 ZOV 存在显著相似性。 研究团队将 DynoWiper 归咎于 Sandworm 组织。这是一个与俄罗斯关联、以针对能源企业发起破坏性网络攻击而臭名昭著的威胁团伙。 Sandworm 通常被认为隶属于俄罗斯联邦总参谋部情报总局（GRU）74455 部队，长期以来持续针对东欧地区关键基础设施发起攻击。 该恶意软件通过一套精心设计的三阶段摧毁流程开展破坏行动。第一阶段，DynoWiper 会递归搜索所有固定驱动器和可移动驱动器上的文件，同时避开某些关键系统目录，以暂时维持系统的基本运行。 该擦除恶意软件会通过一个 16 字节的随机数据缓冲区覆写文件内容。小于 16 字节的文件会被完全覆写，大于 16 字节的文件则仅破坏部分内容，以此提升摧毁效率。 基于活动目录漏洞利用的部署方式 DynoWiper 的感染机制显示出攻击者拥有高度的网络渗透能力。攻击者利用 Active Directory 组策略，将恶意软件分发到整个受控网络。 该部署方式需要域管理员权限，足见该威胁团伙具备获取目标企业高级别访问权限的能力。 恶意软件被存放至网络共享目录，可在多台设备上同时执行。 在部署擦除恶意软件前，攻击者使用Rubeus等凭证窃取工具，并尝试通过 Windows 任务管理器转储本地安全权威子系统服务（LSASS）进程内存。攻击者还部署了一款名为 rsocx 的 SOCKS5 代理工具，用于与外部服务器建立反向连接。 这种多阶段的攻击方式表明，攻击者在发动最终的破坏性攻击之前，进行了周密的规划和侦察。 能源行业相关企业应落实严格的访问控制、网络分段及持续监控机制，在擦除恶意软件被部署前，及时发现此类复杂入侵尝试。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，与俄罗斯有关联的黑客组织 Fancy Bear（ APT28）利用微软 Office 近期披露的一项漏洞，对乌克兰及欧盟相关组织发起网络攻击。 该预警由乌克兰国家网络威胁情报机构 —— 乌克兰计算机应急响应小组（CERT-UA）于 2 月 2 日发布。 CVE-2026-21509 漏洞在披露前已遭利用 CERT-UA 具体报告称，其在 1 月 29 日发现了一个名为 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文档。该文档包含 CVE-2026-21509 漏洞的利用程序，该漏洞为高危级别（CVSS 3.1 评分 7.8 分），影响微软 Office 2016、2019、长期服务频道 2021 版、长期服务频道 2024 版及微软 365 企业应用版等多个版本。 微软于 1 月 26 披露了该漏洞，其成因是微软 Office 在安全决策环节过度依赖不可信输入。 该漏洞被成功利用后，攻击者可绕过微软 365 及 Office 中的对象链接与嵌入（OLE）防护机制，而该机制原本用于保护用户免受存在漏洞的组件对象模型（COM）及 OLE 控件的威胁。 微软在其安全公告中确认，已检测到该漏洞存在在野利用的相关证据。该科技企业敦促微软 Office 2016 及 2019 版本用户务必安装更新以获得防护。 微软 Office 2021 及后续版本用户将通过服务端更新获得自动防护，但需重启 Office 应用程序方可生效。 CERT-UA 在报告中指出：“鉴于用户可能延迟（或无法）更新微软 Office 及落实推荐安全措施，利用该漏洞发起的网络攻击数量或将持续上升。” Fancy Bear 针对 CVE-2026-21509 漏洞的攻击链 乌克兰计算机应急响应小组发现的该 Word 文档，与欧盟常驻代表委员会针对乌克兰局势的磋商相关。 文档元数据显示，其创建时间为 1 月 27 日上午，即微软披露该漏洞的次日。 同日，乌克兰计算机应急响应小组表示，从合作方处收到报告称，出现疑似来自乌克兰水文气象中心的钓鱼邮件，附件为另一个名为 BULLETEN_H.doc 的文档。 这封邮件被发送给了超过 60 个邮箱地址，收件方主要是乌克兰的中央行政机关。 CERT-UA 的深入分析表明，使用微软 Office 打开该文档后，会通过 WebDAV 协议触发与外部资源的网络连接，随后下载一个伪装成快捷方式（LNK 文件）的恶意文件，该文件含有的恶意代码可实现载荷的下载与执行。 攻击成功执行后，会进行以下操作： 创建名为 “EhStoreShell.dll” 的 DLL 文件（伪装成系统“增强存储外壳扩展”库）。 创建包含 Shellcode 的图片文件 “SplashScreen.png”。 修改注册表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路径（以此实现 COM 劫持）。 创建名为 “OneDriveHealth” 的计划任务。 这些任务执行后，会终止并重启资源管理器进程（explorer.exe），该进程会通过组件对象模型劫持技术加载 EhStoreShell.dll 文件。 该动态链接库文件会执行图片文件中的壳代码，最终在受感染系统中加载 Covenant 攻击框架。 Covenant 是一款基于.NET 框架开发的命令与控制（C2）工具，最初设计用途为网络攻防演练及红队渗透测试。 乌克兰计算机应急响应小组还强调，由于 Covenant 框架将合法云存储服务 Filen 作为命令与控制基础设施，疑似被Fancy Bear组织列为攻击目标的机构，应封禁该云存储服务节点的网络访问，或至少对相关网络交互进行严密监控。 2026 年 1 月下旬，安全人员还发现了另外三份携带相同漏洞利用代码的文档，其攻击目标指向欧盟国家的组织机构。 乌克兰计算机应急响应小组敦促相关方落实微软安全公告中列明的漏洞缓解措施，尤其是针对 Windows 注册表配置的相关防护操作。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起针对 Open VSX Registry 的供应链攻击详情。在此次攻击中，不明身份的黑客入侵了一位合法开发者的账户资源，借此向下游使用者传播恶意更新。 Socket 安全研究员 Kirill Boychenko 在周六发布的报告中表示：“2026 年 1 月 30 日，开发者 oorzc 发布的四款成熟 Open VSX 扩展被推送恶意版本至仓库，版本中嵌入了 GlassWorm 恶意软件加载器。” “这些扩展此前一直以合法开发者工具的面目出现（部分最早发布于两年多前），在恶意版本发布前，其累计下载量已超过 22,000 次。” 这家供应链安全公司表示，此次攻击涉及该开发者的发布凭证被盗用。Open VSX 安全团队评估认为，事件可能源于令牌泄漏或其他未授权访问方式。目前，恶意版本已从 Open VSX 平台移除。  已确认的受污染扩展列表如下： ·   FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — 版本 0.5.1) ·   I18n Tools (oorzc.i18n-tools-plus — 版本 1.6.8) ·   vscode mindmap (oorzc.mind-map — 版本 1.0.61) ·   scss to css (oorzc.scss-to-css-compile — 版本 1.3.4) Socket 指出，这些恶意版本的核心目的是投递 GlassWorm 已知攻击活动相关的加载器恶意软件。该加载器支持运行时解密并执行内嵌恶意代码，采用 EtherHiding 这一愈发被武器化的技术获取命令与控制（C2）端点，最终执行恶意代码窃取苹果 macOS 系统凭证及加密货币钱包数据。 同时，该恶意软件会先对受感染设备进行环境探测，确认设备非俄语区域设置后才会触发执行 —— 这是俄语区背景威胁行为者或其关联组织的常见手法，目的是规避本土法律追责。 该恶意软件窃取的信息类型包括： ·   来自 Mozilla Firefox 及基于 Chromium 内核浏览器（如 Chrome、Edge 等）的数据（登录凭证、Cookie、浏览历史以及 MetaMask 等钱包扩展插件） ·   加密货币钱包文件（涉及 Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance 及 TonKeeper） ·    iCloud 钥匙串数据库 ·    Safari 浏览器 Cookie ·    Apple 备忘录数据 ·    桌面、文稿及下载文件夹中的用户文档 ·     FortiClient VPN 配置文件 ·    开发者凭证（例如 ~/.aws 和 ~/.ssh 目录下的文件） 针对开发者信息的窃取行为带来了严重风险，这可能使企业环境面临云账户被接管及攻击者横向移动的潜在威胁。 Boychenko 表示：“该恶意载荷包含专门的功能模块，用于定位并窃取常见开发工作流中的认证材料，例如检查 npm 配置文件中的 _authToken，以及获取 GitHub 的认证凭证。攻击者借此可访问私有代码仓库、持续集成（CI）系统的密钥以及发布自动化流程。” 此次攻击的一个显著特点是，它与以往观察到的 GlassWorm 攻击模式不同，黑客首次利用了合法开发者的被盗账户来分发恶意软件。在此前的案例中，该攻击活动的幕后黑手主要依赖误植域名和仿冒知名品牌等手段，上传欺诈性扩展进行传播。 Socket 分析称：“攻击者巧妙地融入了正常的开发者工作流程，将恶意代码的执行隐藏在加密且仅运行时解密的加载器之后，并利用 Solana 区块链的备忘录功能作为动态的‘死信箱’，来轮换其攻击基础设施，而无需重新发布扩展。这些设计选择降低了基于静态特征检测的价值，将防御优势转向了行为分析和快速响应能力。” 更新说明 Secure Annex 研究员 John Tuckner 告诉 The Hacker News，截至 UTC 时间 2026 年 2 月 2 日早上 6:30，上述扩展中仍有三个可供下载。在本文发稿前，它们已被从 Open VSX 移除，具体是： [email protected] [email protected] [email protected] Tuckner 表示：“该问题的棘手之处在于，受害者需等待原开发者发布更高版本，才能触发自动更新，即便扩展从应用市场下架，也不会从编辑器中自动卸载。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 过去数月，一场大规模的云存储订阅诈骗活动在全球范围内持续泛滥。大量用户频繁收到恐吓邮件，谎称其因“支付失败”导致照片、文件及账户即将被封锁或删除，以此诱导用户点击诈骗链接。 据安全媒体BleepingComputer观察，该诈骗活动在过去几个月中不断升级演进，受害者每天都会收到多个变种的诈骗邮件，这些邮件均疑似出自同一犯罪团伙之手。 尽管邮件正文内容略有差异，但核心话术一致：均试图通过编造“支付问题”或“存储空间不足”等理由制造紧迫感，威胁用户若不立即处理，其文件将被删除或访问权限遭封锁。 云存储诈骗邮件攻击详情 这些钓鱼邮件来自大量不同的发件域，其中绝大多数域名看起来是为此次垃圾邮件活动随机生成的，示例如下： Immediate Action Required. Payment Declined Cloud Storage 1TB: Payment overdue [personal name]¸Your Account Has been Blocked! Your Photos and Videos will be Removed Fri,30 Jan-2026. take action!! We’ve blocked your account!  Your photos and videos will be deleted . Renew your subscription for free now! [personal name] – Your store is full , click to check and save 80% , ID#88839 [personal name], Your Cloud Account has been locked on Mon,26 Jan-2026. Your photos and videos will be removed! Sorry [<personal email address>], We Have To Suspend Your Account Today ! Sat,24 Jan-2026 [name] – Your store is full , click to check and save 80% Cloud Storage 1TB: Payment overdue 这些诈骗邮件使用各类主题，核心目的均是恐吓收件人打开邮件。BleepingComputer收集到的部分主题行包括： 需要立即操作！付款被拒绝 云存储 1TB：付款逾期 [个人姓名]，您的账户已被封锁！您的照片和视频将于2026年1月30日（周五）被移除。请立即行动！！ 我们已封锁您的账户！您的照片和视频将被删除。立即免费续订订阅！ [个人姓名] – 您的存储空间已满，点击检查并节省80%，ID#88839 [个人姓名]，您的云账户已于2026年1月26日（周一）被锁定。您的照片和视频将被移除！ 抱歉 [<个人邮箱地址>]，我们必须在2026年1月24日（周六）暂停您的账户！ [姓名] – 您的存储空间已满，点击查看并节省80% 云存储 1TB：付款逾期 邮件内容谎称用户的云订阅续费失败或支付方式过期，警告若不立即处理，备份同步将停止，照片、视频、文档及设备备份可能永久丢失。为了增加欺骗性，邮件中还常包含虚构的账户ID、订阅编号和到期日期。邮件中还常包含伪造的账户 ID、订阅编号及到期日期，进一步伪装成合法通知。 BleepingComputer 获取的一封邮件中写道：“你的云订阅面临风险，近期支付处理失败。若未及时解决，云存储及备份功能可能被暂停” “紧急提醒：请尽快验证或更新支付方式，避免失去对照片、文件及设备备份的访问权限。” 该诈骗活动中的所有垃圾邮件均包含链接https://storage.googleapis.com/（谷歌云存储旗下服务），威胁分子在该链接下托管了静态重定向 HTML 文件。用户点击链接后，会被重定向至部署在随机域名上的诈骗 / 钓鱼网站。BleepingComputer测试发现，所有链接最终都指向同一套诈骗页面。这些页面高度模仿主流云服务商的门站，醒目地展示着云服务品牌标识（甚至包括谷歌云Logo），并声称用户存储空间已满，照片、视频、联系人、文件等私人数据将停止备份并面临删除风险。页面声称用户云存储空间已满，警示照片、视频、联系人、文件及私密数据已停止备份，且即将被删除。 下方钓鱼页面显示：“因你已超出存储套餐限额，文档、联系人及设备数据已停止同步至云空间，照片及视频无法上传至云相册，云盘及云服务相关应用无法跨设备同步更新。” “若不立即处理，你的数据将因失去安全保护而丢失。” 点击 “继续” 按钮后，用户会进入虚假存储检测页面，该页面始终显示照片、云盘及邮箱均已占满存储空间。随后页面警示：除非升级云存储空间，否则数据将丢失，同时声称用户可享受限时 “老用户专属” 8 折升级优惠。但用户点击存储升级按钮后，并不会进入合法云服务页面，而是被重定向至联盟营销页面，推广与云存储无关的产品。该钓鱼活动推广的产品包括 VPN 服务、小众安全软件，及其他与云存储无关的订阅类产品。这些页面最终会跳转至结账表单，目的是收集用户信用卡信息，同时为诈骗分子赚取联盟营销佣金。 遗憾的是，许多收件人无法识别此类诈骗，会误以为购买相关产品可解决虚假的云存储问题，进而购买非必需产品。需明确的是，此类邮件及落地页均非合法云服务通知。 需明确的是，此类邮件及落地页均非合法云服务通知。此外，正规云服务提供商不会通过邮件引导用户进行存储检测，也不会让用户通过第三方安全软件或 VPN 产品解决计费问题。 同时，多数正规云存储提供商在用户未按时付费时，仅会封禁额外存储空间的访问权限，而非立即删除用户文件。例如谷歌规定，若谷歌云盘套餐被取消，用户将失去额外存储空间访问权限，补缴费用后可恢复，且文件仅会在 2 年后被删除；微软 OneDrive 采用类似规则，但规定若账户超出配额存储限制，相关文件可能在 6 个月后被删除。 收到此类垃圾邮件的用户应直接删除，切勿点击任何链接，也不要购买邮件推广的任何产品。该诈骗活动的核心目的是恐吓用户进行非必需消费，因此无视此类邮件是最佳应对方式，若用户对云存储或计费有疑问，应手动访问正规云服务的官方网站或 APP 进行核实。   消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。 该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。 美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离 受影响产品范围 该漏洞影响以下应用产品： 确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。 截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。 这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。 此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。 消息来源:cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Iconics Suite SCADA 系统存在一项中危漏洞，攻击者可利用该漏洞在关键工业控制系统上触发拒绝服务状态。 该漏洞编号为 CVE-2025-0921，广泛部署于汽车、能源及制造业的监控与数据采集（SCADA）基础设施。 漏洞详情 CVE-2025-0921 源于三菱电机 Iconics Digital Solutions 的 GENESIS64 软件中，多个服务存在“以不必要权限执行”的安全缺陷。 该漏洞 CVSS 评分为 6.5 分，评级为中危。攻击者成功利用该漏洞后，可滥用特权文件系统操作提升权限、破坏核心系统二进制文件，最终导致系统完整性与可用性受损。 此漏洞由 Unit 42 的研究员 Asher Davila 和 Malav Vyas 在 2024 年初的一次全面安全评估中发现。这是在微软 Windows 平台的 Iconics Suite 10.97.2 及更早版本中发现的 6 项漏洞之一。此前研究人员已披露该 SCADA 平台存在的 5 项相关漏洞，CVE-2025-0921 是后续调查中发现的新增威胁。 根据三菱电机的安全公告，该漏洞影响 GENESIS64、MC Works64 的所有版本以及 GENESIS 11.00 版本。Iconics Suite 在全球超过 100 个国家拥有数十万安装实例，遍布政府设施、军事基地、水处理厂、公共事业及能源供应商等关键基础设施领域。 技术原理与利用途径 该漏洞存在于工业流程监控告警管理系统 AlarmWorX64 MMX 的 Pager Agent 组件中。 具备本地访问权限的攻击者，可通过篡改 C:\ProgramData\ICONICS 目录下 IcoSetup64.ini 文件中存储的 SMSLogFile 路径配置来利用该漏洞。攻击链流程包括：将日志文件存储路径创建为指向目标系统二进制文件的符号链接。当管理员发送测试消息或系统自动触发告警时，日志信息会沿符号链接覆盖核心驱动文件（如为 Windows 系统组件提供加密服务的 cng.sys）。 系统重启后，被破坏的驱动会导致启动失败，设备陷入无限修复循环，最终使工业控制（OT）工程工作站无法运行。 研究人员证实，该漏洞与 CVE-2024-7587 漏洞结合后利用难度会大幅降低；CVE-2024-7587 是此前披露的 GenBroker32 安装程序漏洞，会给 C:\ProgramData\ICONICS 目录赋予过高权限，允许任意本地用户修改核心配置文件。但即便单独利用该漏洞，若日志文件因配置不当、其他漏洞或社会工程学攻击具备可写权限，攻击者仍可成功触发漏洞。 三菱电机已为 GENESIS 11.01 及后续版本发布修复补丁，客户可从 Iconics 社区资源中心下载。针对 GENESIS64 用户，修复版本正在开发中，将于近期发布。厂商明确表示暂无 MC Works64 版本补丁发布计划，相关客户需在此期间落实漏洞缓解措施。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Moltbook 是 Octane AI 的 Matt Schlicht 于 2026 年 1 月末推出的新兴 AI 智能体社交网络，当前该平台因号称拥有 150 万 “用户” 引发热议，但其存在一项高危漏洞，导致注册主体的电子邮箱、登录令牌及 API 密钥遭泄露。 研究人员披露，该平台因数据库配置不当导致暴露，未授权人员可访问智能体档案，进而实现批量数据窃取。 该漏洞同时伴随账户创建无速率限制的问题，据悉单个 OpenClaw 智能体（@openclaw）就注册了 50 万个虚假 AI 用户，直接戳破了媒体所称的自然增长论调。 平台运行机制 Moltbook 支持基于 OpenClaw 构建的 AI 智能体发布内容、评论，还可创建如 m/emergence 这类 “子社群”，催生了围绕 AI 涌现、报复性信息泄露、Solana 代币刷信誉等话题的智能体论战 平台已涌现超 2.8 万条帖子及 23.3 万条评论，并有 100 万沉默验证者对内容进行查看。但智能体数量存在造假：因无注册限制，大量机器人批量注册，营造出平台爆火的假象。 关联不安全开源数据库的暴露端点，无需身份验证，仅通过 GET /api/agents/{id} 这类简单查询指令，即可泄露智能体数据。 攻击者可以通过枚举 ID 快速获取成千上万条记录。 安全风险与专家警告 此次不安全的直接对象引用（IDOR）及数据库暴露漏洞，构成了 “致命三重威胁”：智能体可访问私密数据、平台存在不可信输入风险（提示注入）、支持外部通信，可能引发凭证窃取、文件删除等破坏性操作。 Andrej Karpathy 称该平台是 “充斥垃圾信息的规模里程碑”，但更是 “计算机安全噩梦”，Bill Ackman 则评价其 “令人恐慌”。子社群中的提示注入攻击可操控机器人泄露宿主数据，且 OpenClaw 无沙箱隔离的执行机制会加剧这一风险。 目前尚无修复补丁确认；Moltbook (@moltbook) 对漏洞披露无回应。安全专家强烈建议用户及智能体所有者：立即撤销所有相关API密钥、将智能体置于沙箱环境中运行，并全面审计数据暴露情况。对于企业而言，不受管控的此类机器人活动更带来了严峻的“影子IT”风险。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某威胁行为者正针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据库所有者索要小额赎金，承诺支付后恢复数据。 该攻击者专挑易得目标下手，即因配置不当导致无限制访问、安全性缺失的数据库。据估计，已有约1,400台暴露的服务器遭入侵，攻击者留下的勒索信索要约500美元（以比特币支付）的赎金。 2021 年之前，此类攻击曾集中爆发，导致数千个数据库被删除，攻击者索要赎金以恢复数据 [1,2]，部分情况下，攻击者仅删除数据库，并未提出金钱诉求。 网络安全公司Flare的研究人员通过渗透测试发现，此类攻击至今仍在持续，只是规模有所缩小。研究人员共发现超过 20.85 万台公网暴露的 MongoDB 服务器。其中，10万台泄露了运维信息，更有3,100台根本无需身份验证即可直接访问。 Flare 核查时发现，无限制访问的 MongoDB 服务器中，近半数（45.6%）已遭入侵，这些数据库被清空，只留下一封勒索信。 Flare 在报告中指出：“威胁行为者要求向指定钱包地址支付比特币（通常为 0.005 枚，当前价值约 500 至 600 美元），并承诺支付后恢复数据”。然而，Flare在报告中明确指出：“但目前无法保证攻击者确实留存了数据，也无法保证受害者支付赎金后，对方会提供可用的解密密钥。” 所有勒索信中仅出现 5 个不同的钱包地址，其中一个地址占比高达约 98%，可见此类攻击由单一威胁行为者主导。 Flare 还指出，部分暴露且防护薄弱的 MongoDB 实例未遭攻击，推测这些实例的所有者可能已向攻击者支付了赎金。 除身份验证措施薄弱外，研究人员还发现，所有公网暴露的 MongoDB 服务器中，近半数（9.5 万台）运行老旧版本，存在已知漏洞（n-day 漏洞）风险。但这些漏洞大多仅能被利用发起拒绝服务攻击，无法实现远程代码执行。 Flare 建议 MongoDB 管理员，非必要不将实例暴露至公网；启用高强度身份验证；部署防火墙规则及 Kubernetes 网络策略，仅允许可信连接访问；避免直接照搬部署指南中的配置。需将 MongoDB 升级至最新版本，并持续监控实例是否存在暴露风险。若发现实例暴露，需立即轮换凭证，并核查日志排查是否存在未授权操作。   消息来源:bleepingcomputer： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果即将上线一项新功能，部分 iPhone 用户可通过该功能阻止蜂窝网络采集自身精准位置信息，从而提升执法机构及黑客定位用户实时位置的难度。 近年来，执法机构愈发频繁地传唤蜂窝运营商，调取手机用户的历史及实时行踪记录。 该新功能不会影响用户向应急救援人员共享位置信息，也不会限制用户自主向各类应用授权共享位置数据。 该功能初期将面向运行 iOS 26.3 或更高版本的 iPhone Air、iPhone 16e 以及 iPad Pro (M5) Wi-Fi + Cellular 机型用户开放。 “蜂窝网络可根据您的设备所连接的基站来判断您的位置，”苹果在周一发布的博客文章中说明。 根据博文介绍，开启此功能后，蜂窝网络将仅能识别“您设备所在的大致区域，而无法获得更精确的位置信息（例如具体街道地址）”。 苹果虽未明确阐述推出此功能的具体缘由，但该公司近年来持续将自身塑造为消费者隐私保护的领军者，并通过一系列更新赋予用户对其个人数据更大的控制权。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁研究人员在发现一个配置错误的开放目录后，进而查获一台正处于运行状态的命令与控制服务器，该服务器完整部署了 BYOB 框架。 该服务器 IP 地址为 38 [.] 255 [.] 43 [.] 60，监听 8081 端口，经核查正分发恶意载荷，可在 Windows、Linux 及 macOS 系统上建立持久化远程访问。 该基础设施由美国 Hyonix 公司托管，内含完整的投放器、加载器及后渗透模块套件，可支持攻击者持续控制受感染设备。该框架通过一个精心设计的多阶段感染链运作，能巧妙规避安全检测，同时提供危险的监视与控制功能。 暴露的开放目录泄露了 BYOB 后渗透工具包的完整架构，该工具包采用三阶段感染流程。 第一阶段以 359 字节的小型投放器启动，该投放器通过 Base64 编码、Zlib 压缩及 Marshal 反序列化实现多层混淆，以此规避特征码检测系统。 该投放器会获取第二阶段组件 ——2KB 大小的加载器，该加载器会扫描环境变量中的 VirtualBox 特征、核查运行进程中是否存在 VMware、Hyper-V、XenServer 等虚拟化软件，以此完成反虚拟机检测。 环境验证安全后，加载器会获取最终恶意载荷 ——123KB 的远程访问木马，该木马可与命令控制服务器建立加密 HTTP 通信，并按需加载额外监控模块。 Hunt.io 分析师在通过自研 AttackCapture 工具开展主动威胁狩猎时，发现了该暴露的恶意基础设施。其系统监测到这台运行中的命令与控制服务器存在典型开放目录特征，进而锁定该恶意基础设施。 对捕获样本的分析表明，该框架至少自2024年3月便开始运作，意味着这场持续活动已进行了约十个月。该基础设施存在刻意的地理分布设计，节点覆盖新加坡、巴拿马及美国多个地区，可见背后威胁行为者具备完善的攻击规划及资源调配能力。 BYOB框架展现出令人担忧的跨平台能力，在多类型计算环境中均能造成严重威胁。该框架针对不同操作系统定制了 7 种独立持久化机制，可确保恶意程序在设备重启及清理操作后仍能留存。 在 Windows 系统中，其会创建伪装为 “Java-Update-Manager” 的注册表运行项、在启动文件夹中放置 URL 快捷方式文件、创建每小时执行一次的计划任务，还会部署 Windows 管理规范订阅以实现事件触发式执行。 针对 Linux 系统，通过恶意 crontab 条目实现持久化；针对 macOS 设备，则通过 LaunchAgent 属性列表文件实现用户登录时自动执行。 这些冗余的持久化手段使得清除工作异常困难，大大增加了会有至少一种机制逃过检测的可能性。 后渗透监控功能 除建立访问权限外，BYOB 恶意载荷还可通过模块化组件实现全面监控功能，攻击者可根据目标按需加载对应组件。 键盘记录模块针对不同平台定制钩子功能：Windows 系统使用 pyHook，类 Unix 系统使用 pyxhook，可捕获每一次按键及当前活动窗口名称，以此明确密码、信用卡号等敏感信息输入时对应的应用场景。 数据包嗅探模块通过原始套接字在 IP 层拦截网络流量，解析报文头提取源地址、目的地址、协议信息及载荷数据，可获取明文传输的凭证及内部网络通信内容。 Outlook电子邮件收集模块是最危险的组件之一。它利用Windows COM自动化接口，无需认证即可编程访问已登录的Microsoft Outlook。该模块可连接已完成身份验证的 Outlook 会话，搜索收件箱内容、提取含特定关键词的邮件、统计邮件总数，再执行全量提取操作。这种能力对依赖电子邮件处理关键业务通信、财务信息和内部文档的企业环境构成严重威胁。 此外，该框架还包含进程操纵功能，允许攻击者终止安全软件、枚举运行中的程序，并自动阻止任务管理器等防护工具启动。 对该基础设施的分析，还揭露了攻击活动规模及牟利模式的更多高危细节。 已发现的 5 个命令与控制节点中，有 2 个同时部署了 BYOB 框架与 XMRig 加密货币挖矿软件，可见该基础设施具备双重用途，既能通过挖矿实现被动牟利，又能维持远程访问能力。远程访问工具包部署与加密货币挖矿相结合的模式，表明背后是利益驱动型威胁行为者，旨在从受感染设备中获取多重收益。 主服务器自 2023 年 12 月起便暴露远程桌面协议端口，且存在多台 Web 服务器同时运行于不同端口的异常配置，种种迹象均表明这是专用攻击基础设施，而非合法商业用途。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SolarWinds 发布了安全更新，修复其 Web Help Desk 产品中存在的多个安全漏洞，其中包含四项可导致身份验证绕过及远程代码执行（RCE）的高危漏洞。 相关漏洞详情列表如下： · CVE-2025-40536（CVSS 评分：8.1）：安全控制绕过漏洞。未经认证的攻击者可借此访问某些受限制的功能。 · CVE-2025-40537（CVSS 评分：7.5）：硬编码凭证漏洞。攻击者可利用预设的“client”用户账户访问管理功能。 · CVE-2025-40551（CVSS 评分：9.8）：不可信数据反序列化漏洞。可导致远程代码执行，使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40552（CVSS 评分：9.8）：认证绕过漏洞。未经认证的攻击者可利用此漏洞执行特定操作与方法。 · CVE-2025-40553（CVSS 评分：9.8）：不可信数据反序列化漏洞。可导致远程代码执行，使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40554（CVSS 评分：9.8）：认证绕过漏洞。攻击者可利用此漏洞调用 Web Help Desk 内部的特定操作。 前三个漏洞由 Horizon3.ai 的 Jimi Sebree 发现并上报，后三个漏洞则由 watchTowr 的 Piotr Bazydlo 发现，相关贡献均已获官方确认。所有漏洞均已在其 Web Help Desk 2026.1 (WHD 2026.1) 版本中得到修复。 “CVE-2025-40551 和 CVE-2025-40553 均为高危不可信数据反序列化漏洞，” Rapid7 表示。“远程未授权攻击者可通过这两个漏洞在目标系统上实现远程代码执行，还能执行任意操作系统命令等恶意载荷。” “反序列化导致的远程代码执行是攻击者常用的高可靠攻击途径，且这两个漏洞均支持未授权利用，因此危害程度极大。” 该网络安全公司补充道，尽管 CVE-2025-40552 和 CVE-2025-40554 被归类为身份认证绕过漏洞，但同样可能被用以实现 RCE，从而产生与其他两个反序列化 RCE 漏洞同等的破坏性影响。 近年来，SolarWinds 已多次发布补丁修复 Web Help Desk 软件中的漏洞，包括 CVE-2024-28986、CVE-2024-28987、CVE-2024-28988 及 CVE-2025-26399。值得注意的是，CVE-2025-26399 修复的是 CVE-2024-28988 的补丁绕过漏洞，而 CVE-2024-28988 本身也是 CVE-2024-28986 的补丁绕过漏洞。 2024 年末，美国网络安全和基础设施安全局（CISA）已将 CVE-2024-28986 和 CVE-2024-28987 列入其“已知被利用漏洞”（KEV）目录，并指出已有确凿证据表明这些漏洞正遭在野利用。 Horizon3.ai 的 Sebree 在分析 CVE-2025-40551 的文章中描述称，该漏洞是又一个源于 AjaxProxy 功能的反序列化漏洞。 攻击者若要实现远程代码执行，需执行以下一系列操作： · 建立有效会话并提取关键值。 · 创建一个 LoginPref 组件。 · 设置该 LoginPref 组件的状态，以获取文件上传功能的访问权限。 · 利用 JSONRPC 桥接，在后台构造恶意的 Java 对象。 · 触发这些恶意 Java 对象。 鉴于 Web Help Desk 过往漏洞曾被恶意利用，相关用户需尽快将此服务台与 IT 服务管理平台升级至最新版本。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，俄罗斯弗拉基米尔州一家大型面包生产企业遭遇网络攻击，导致食品配送工作受阻。 弗拉基米尔面包厂—— 该州最大面包生产企业之一 —— 在声明中表示，其内部数字系统于周日夜间遭攻击，办公电脑、服务器、电子文档管理工具及广泛应用的 1C 企业会计系统均陷入瘫痪。 尽管生产线未受波及，面包房仍在满负荷运转，但系统中断严重阻碍了订单处理与产品交付。当地居民、零售门店以及面向社会机构的食品供应商均反映，在履行现有合同方面遇到困难，该公司的烘焙产品在商店出现暂时性短缺。 大型连锁零售企业确认存在配送问题，但表示门店货架未出现面包大面积短缺情况。 为保障物资供应持续，该企业安排全体办公人员实行 24 小时轮班制，并暂时恢复订单与发货的人工处理模式。目前该厂尚未公布数字系统全面恢复的时间表，并就此次事件造成的不便向合作伙伴及消费者致歉。 目前，攻击者身份及事件的具体性质尚未明确。 这并非网络攻击首次波及俄罗斯食品行业。今年 6 月，俄罗斯动物源性产品数字认证系统遭网络攻击瘫痪，当地乳制品企业因此出现供应问题，企业被迫改用纸质兽医证明，进而引发物流延误。 去年 12 月，西伯利亚南部一家大型乳制品加工厂遭遇勒索软件攻击，系统被全面加密。当地媒体猜测，此次入侵可能与该工厂据称向乌克兰境内俄军提供支持有关，但官方尚未就攻击归属作出认定。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子借助谷歌搜索广告实施诱骗，让 Mac 用户访问声称可清理设备的虚假网站。 当用户在谷歌中搜索“mac cleaner”或“clear cache macos”等常见关键词时，此类推广广告就会出现，乍一看极具迷惑性。 广告落地页模仿苹果官方网站设计，不仅布局相似，还配有一致的导航菜单。但在专业外观的伪装下，潜藏着针对不知情 Mac 用户的恶意攻击阴谋。 攻击者已在 Medium 及谷歌自有服务等平台发布虚假帖子，传播恶意操作指令，黑客可通过这些指令完全控制受害者设备。 整个攻击活动利用了一种简单却高效的策略：用户普遍信任谷歌的广告审核机制，并且对苹果的设计语言感到熟悉和安心。 用户点击广告后会被重定向至相关页面，页面中充斥着看似专业的操作指引，内容涉及释放磁盘空间、安装系统更新等。 MacKeeper 分析师确认，威胁行为者是通过劫持的谷歌广告账户开展此次攻击活动，且疑似已入侵 Nathaniel Josue Rodriguez 等个人及 Aloha Shirt Shop 等企业的合规广告账户。 恶意软件感染流程 该攻击的核心是一条看似简单却极具破坏力的指令，且该指令被伪装成合规的系统维护操作。 当用户按照页面指示，将提供的命令复制并粘贴到Mac的“终端”应用程序中执行时，便会在无意间触发一次远程代码执行攻击。 该指令链以 “清理 macOS 存储空间”“正在安装组件，请等待” 等看似无害的语句开头，这些均为社会工程学手段，目的是让用户确信自己在执行常规维护操作。 在这些友好提示的背后，隐藏着一段经过Base64编码的文本，其中包含了真实的攻击代码。 系统会通过 base64 命令解码该隐藏文本，解码后文本将转化为实际的 shell 命令，在用户毫不知情且未授权的情况下，从远程服务器下载恶意脚本。 脚本下载后，便会以当前用户的完整权限运行，使得攻击者能够执行多种恶意操作，包括：安装恶意软件、窃取SSH密钥、创建系统后门、进行加密货币挖矿、窃取个人文件，乃至修改关键系统设置。 攻击者还采用了多种混淆技术来隐藏命令实际连接的目的地，从而增加了安全检测的难度。这种伪装下载并自动执行的模式，在专业级的恶意软件活动和供应链攻击中屡见不鲜。 MacKeeper的研究人员已成功识别出这些危险广告并向谷歌报告。目前，谷歌已采取行动，将这些恶意广告从搜索结果中移除。 消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护机构于周四宣布，对该国负责求职者登记、失业救济发放及就业安置帮扶的核心政府机构处以 500 万欧元（约合 600 万美元）罚款，处罚原因为该机构数据安全防护存在重大漏洞。 CNIL在新闻稿中披露，2024年初，黑客利用社会工程学手段成功入侵了法国劳工局（France Travail）的计算机系统。 此次攻击导致攻击者得以接管负责残疾人就业支持与监测的相关组织账户。黑客窃取了长达20年间在该机构登记的所有人员的个人数据，攻击者未获取求职者的健康数据，但窃取了国民保险号码、电子邮箱地址、通信地址及手机号码等信息。 CNIL指出，罚款金额的确定基于法国劳工局“漠视核心安全原则、受影响人员规模、数据处理量及数据敏感程度”。调查发现的安全漏洞包括：身份验证流程不完善、日志核查机制不足无法识别异常行为、数据访问权限过度授予。 监管机构已责令法国劳工局立即落实有效的安全管控措施。 法国劳工局在回应中表示，“我们完全意识到此次事件的严重性，并承认自身在数据保护方面负有责任。”但同时称：“尽管我们不质疑CNIL的决定，但考虑到事件发生后，我们已全力投入网络安全建设及用户数据保护工作，仍对处罚力度表示遗憾。” 消息来源: therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项大语言模型劫持攻击行动正大规模针对暴露的大语言模型及 MCP 开展攻击，以实现商业化牟利。 据Pillar Security报告，在此次大规模大语言模型劫持行动中，网络犯罪分子正批量搜寻、劫持暴露的大语言模型及 MCP 端点，并将其商业化牟利。该攻击行动被命名为 “Operation Bizarre Bazaar”，针对暴露或未受保护的人工智能端点发起攻击，实现劫持系统资源、转售应用程序接口访问权限、窃取数据及横向渗透至内部系统等目的。 攻击主要针对自托管的AI基础设施，包括：暴露了默认端口的服务、未设置身份验证的API接口、面向公网的开发或测试环境，以及缺乏访问控制的MCP服务器。 Pillar公司解释称：“被入侵的大语言模型端点会产生高额成本（推理计算成本高昂）、泄露企业敏感数据，还会为攻击者提供横向渗透的机会。” “Operation Bizarre Bazaar”涉及三个环环相扣的组成部分：一个扫描器（即自动扫描互联网寻找暴露系统的僵尸网络基础设施）、一个验证器（与名为silver.inc的实体关联，负责验证发现的端点是否可利用），以及一个市场（名为“统一LLM API网关”，同样由silver.inc控制）。 扫描发现目标后，silver.inc 会在 2 至 8 小时内通过系统化应用程序接口测试，对目标端点进行验证。监测显示，威胁行为者会枚举目标模型功能并评估其响应质量。 Pillar指出，这个黑市提供对超过30种大型语言模型的访问权限。该交易市场部署在荷兰的抗攻击基础设施上，在 Discord 及 Telegram 平台进行推广，交易支持加密货币或 PayPal 支付。 Pillar已监测到超过35,000次与该行动相关的攻击会话，平均每天高达972次。“持续的高频攻击活动表明，攻击者是系统性针对暴露的人工智能基础设施发起攻击，而非随机性扫描。”报告强调。 已被确认遭利用的系统类型包括：11434端口上未设认证的Ollama实例、8000端口上暴露的OpenAI兼容API、无访问控制的MCP服务器、分配了公网IP的开发环境，以及缺乏认证或速率限制的生产环境聊天机器人。 Pillar指出，该行动由一个代号为“Hecker”（亦化名Sakuya、LiveGamer101）的威胁行为者运营，其基础设施与nexeonai.com服务存在重叠，暗示可能存在关联。 “攻击者会选择阻力最小的路径，即无防护门槛的端点。即便是面向公网的人工智能服务，也可通过速率限制、使用额度管控及行为监测抵御随机性滥用；对于内部服务，防护逻辑更简单：非必要不暴露，需定期扫描外部攻击面，确认无违规暴露情况。”Pillar建议道。 此外，该公司还发现了另一个很可能由不同攻击者发起、目标迥异的侦察活动，专门针对MCP服务器。“到一月底，总攻击流量的60%都来自这类针对MCP的侦察行动，”报告补充道。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文