HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，与俄罗斯防弹主机服务商Proton66关联的IP地址近期出现“大规模扫描、凭证暴力破解及漏洞利用尝试”激增现象。根据Trustwave SpiderLabs上周发布的两阶段分析报告，自2025年1月8日以来检测到该活动针对全球组织机构。 安全研究人员Pawel Knapczyk与Dawid Nesterowicz指出：“IP段45.135.232.0/24和45.140.17.0/24在大规模扫描与暴力破解方面表现尤为活跃。部分涉事IP地址此前未参与过恶意活动或已休眠超过两年。” 经评估，俄罗斯自治系统Proton66与另一个名为PROSPERO的自治系统存在关联。法国安全公司Intrinsec去年详细披露了这两个系统与俄语网络犯罪论坛中以Securehost和BEARHOST名义销售的防弹服务的联系。包括GootLoader和SpyNote在内的多个恶意软件家族已在Proton66上托管其命令与控制（C2）服务器和钓鱼页面。今年2月初，安全记者Brian Krebs揭露PROSPERO已开始通过俄罗斯杀毒软件厂商卡巴斯基实验室（莫斯科）运营的网络进行路由。 然而，卡巴斯基否认与PROSPERO存在合作，并表示“通过卡巴斯基运营网络进行路由并不默认意味着提供该公司服务，因为卡巴斯基的自治系统（AS）路径可能作为技术前缀出现在与其合作并提供DDoS服务的电信供应商网络中。” Trustwave最新分析显示，2025年2月从Proton66某个IP段（193.143.1[.]65）发起的恶意请求试图利用多个最新高危漏洞： CVE-2025-0108：Palo Alto Networks PAN-OS软件的认证绕过漏洞 CVE-2024-41713：Mitel MiCollab中NuPoint统一消息组件（NPM）的输入验证不足漏洞 CVE-2024-10914：D-Link NAS的命令注入漏洞 CVE-2024-55591与CVE-2025-24472：Fortinet FortiOS的认证绕过漏洞 值得注意的是，Fortinet FortiOS两个漏洞的利用行为已被归因于某初始访问中间商Mora_001，该实体被发现投放名为SuperBlack的新型勒索软件。 该网络安全公司表示还观察到多个与Proton66关联的恶意软件活动，旨在传播XWorm、StrelaStealer及名为WeaXor的勒索软件等家族。 另一项显著活动涉及利用与Proton66关联IP地址“91.212.166[.]21”的遭入侵WordPress网站，将安卓设备用户重定向至仿冒Google Play应用列表的钓鱼页面，诱骗用户下载恶意APK文件。这些重定向通过托管在Proton66 IP地址的恶意JavaScript实现。对虚假应用商店域名的分析表明，该活动专门针对法语、西班牙语和希腊语用户。 研究人员解释称：“重定向脚本经过混淆处理，并对受害者实施多项检查，例如排除爬虫程序与VPN/代理用户。通过ipify.org查询获取用户IP地址，随后通过ipinfo.io验证VPN或代理的存在。最终仅在检测到安卓浏览器时实施重定向。” 在某个Proton66 IP地址中还托管着可部署XWorm恶意软件的ZIP压缩包，专门通过社会工程手段针对韩语聊天室用户。攻击第一阶段为Windows快捷方式（LNK）文件，执行PowerShell命令后运行Visual Basic脚本，进而从同一IP地址下载Base64编码的.NET DLL文件。该DLL继续下载并加载XWorm二进制程序。 Proton66关联基础设施还被用于实施针对德语用户的钓鱼邮件活动，传播可与C2服务器（193.143.1[.]205）通信的信息窃取软件StrelaStealer。最后，WeaXor勒索软件（Mallox的修订版本）的组件被发现与Proton66网络中的C2服务器（“193.143.1[.]139”）通信。 建议各组织封锁所有与Proton66及疑似关联的香港服务商Chang Way Technologies相关的无类别域间路由（CIDR）范围，以消除潜在威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，朝鲜国家支持的黑客组织Kimsuky发起了新型恶意攻击，利用微软远程桌面服务（RDS）的BlueKeep漏洞（CVE-2019-0708）对日韩重点行业实施系统渗透。该行动被安实验室安全应急中心（ASEC）命名为Larva-24005。 韩国网络安全公司ASEC披露：“部分系统的初始入侵途径确认为RDP协议漏洞（BlueKeep，CVE-2019-0708）利用。尽管在受控系统发现RDP漏洞扫描工具，但尚未发现实际使用证据。” 技术漏洞分析： CVE-2019-0708（CVSS评分9.8）是远程桌面服务中的高危可蠕虫漏洞，允许未认证攻击者远程执行代码，进而安装任意程序、访问数据甚至创建具备完全权限的新账户。微软已于2019年5月发布补丁修复该漏洞，但攻击者仍需通过RDP协议向目标系统发送特制请求方可利用。 攻击链扩展分析： 除BlueKeep外，攻击者还采用钓鱼邮件作为第二入侵向量，利用Equation Editor漏洞（CVE-2017-11882，CVSS评分7.8）触发恶意负载。渗透成功后，攻击者部署名为MySpy的信息窃取器及RDPWrap工具，并修改系统配置开启RDP访问权限。 攻击终局阶段： 最终投放KimaLogger和RandomQuery等键盘记录器实施按键捕获。ASEC确认，自2023年10月以来，攻击活动主要针对韩国软件、能源及金融行业，日本同为重灾区。该组织其他已知目标国家包括美国、中国、德国等13国。 防御建议： 1、立即验证CVE-2019-0708补丁状态 2、强化RDP访问控制策略 3、部署邮件安全网关过滤恶意附件 4、监控异常RDP连接行为 5、定期审计系统日志寻找入侵痕迹 据MITRE ATT&CK框架分析，本次攻击活动涉及T1190（漏洞利用）、T1204（用户执行）、T1059（命令执行）等战术阶段，符合APT组织典型作战模式。目前相关IoC指标已纳入主流威胁情报平台。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf研究人员警告，自2025年1月以来，威胁分子持续利用编号CVE-2021-20035（CVSS评分7.1）的漏洞攻击SonicWall安全移动接入（Secure Mobile Access，SMA）设备。 该漏洞本质是SMA100管理界面存在的操作系统命令注入缺陷。远程认证攻击者可利用该漏洞以’nobody’用户身份注入任意指令，最终可能导致任意代码执行。 安全公告明确指出：”SMA100管理界面特殊元素中和处理不当，致使远程认证攻击者能以’nobody’用户身份注入任意指令，存在代码执行风险。” 受影响的设备型号包括SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v系列。厂商已于2021年9月发布补丁。攻击者可通过该漏洞发起拒绝服务（DoS）攻击瘫痪设备。 本周，美国网络安全与基础设施安全局（CISA）将该漏洞纳入已知被利用漏洞目录（KEV），并命令联邦机构须于2025年5月7日前完成修复。 SonicWall同步更新安全公告，确认该漏洞已在真实攻击中被利用。Arctic Wolf监测发现，2025年1月至4月间，针对SMA 100系列设备的攻击活动持续活跃，攻击者旨在窃取VPN凭证。 攻击特征分析： 1、利用默认超级管理员账户（admin@LocalDomain）实施入侵 2、多数设备仍使用默认弱密码”password” 3、即使已完整打补丁设备，若密码管理不当仍可能沦陷 Arctic Wolf在技术报告中强调：”本次攻击活动最显著特征是攻击者利用设备本地超级管理员账户实施入侵，该账户默认密码’password’存在严重安全隐患。” 报告同步披露了完整危害指标（IoCs）。 防护建议： 1、严格限制VPN访问权限 2、禁用所有闲置账户 3、强制启用多因素认证（MFA） 4、重置SMA防火墙所有本地账户密码 监测显示，攻击者主要针对未及时修改默认凭证的设备展开渗透。Arctic Wolf持续监控攻击态势，敦促所有使用SonicWall SMA设备的企业立即实施应急响应措施。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）建议，可能受Oracle Cloud Infrastructure数据泄露事件影响的企业组织重置密码，以降低凭证泄露相关风险。 该机构在安全公告中明确表示：”CISA已注意到关于Oracle 旧版云环境可能遭未授权访问的公开报告。尽管事件影响范围尚未确认，但所披露活动性质表明可能对企业及个人构成风险。” 凭证信息（包括用户名、电子邮箱、密码、认证令牌及加密密钥）的泄露可能对企业环境造成重大安全威胁。攻击者可利用这些信息实施以下行为： 1、入侵企业云环境及身份管理系统 2、实施权限提升与网络横向移动 3、发起钓鱼攻击或商业邮件欺诈（BEC） 4、在暗网出售敏感数据 基于”防患于未然”原则，CISA提出具体应对措施： 1、为已知受影响用户重置密码 2、全面审查源代码、基础设施即代码模板、自动化脚本及配置文件中的硬编码凭证 3、采用安全认证方式替代现有凭证存储机制 4、加强认证日志异常活动监控 5、强制实施防钓鱼多因素认证（MFA） 对个人用户的建议： 1、立即更新所有在线账户密码 2、为每个账户设置高强度唯一密码 3、警惕钓鱼邮件等社会工程攻击 事件背景追溯： 2024年3月，名为’rose87168’的威胁分子在BreachForums论坛出售从Oracle云SSO平台窃取的600万条数据记录，声称掌握加密的SSO密码、Java密钥库（JKS）文件、密钥文件、企业管理器JPS密钥及轻量目录访问协议（LDAP）哈希密码，索要价值约1980万欧元的10万单位门罗币（XMR）作为入侵方法赎金。 Oracle 公司初期否认数据泄露，但一周前承认攻击者入侵了2017年停用的旧版系统环境。公司向BleepingComputer声明强调： 1、现有Oracle云基础设施（OCI）未遭安全入侵 2、无客户环境被渗透或数据遭窃取 3、泄露的仅为两个非OCI旧服务器用户名 4、密码字段均采用加密/哈希处理，攻击者无法破解 5、所有OCI服务运行未受影响 目前美国联邦调查局（FBI）已介入事件调查。Oracle 承诺将持续配合执法机构工作，并加强遗留系统安全审计。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现，数十款Chrome扩展程序（其中多款在Chrome应用商店获得推荐位，但存在搜索引擎未收录的隐藏版本）含有追踪用户的隐蔽功能。这些扩展程序累计安装量已达600万次。 Secure Annex机构研究员John Tuckner揭露了一个由58个扩展程序构成的网络。这些扩展程序均获取了过于宽泛的权限，并暗藏可能恶意操作的功能模块，包括访问Cookie和令牌、监控用户行为、执行远程代码及窃取其他敏感数据。 “这些扩展具备显著的指令控制能力，例如罗列用户高频访问网站、操控浏览器标签页开关、获取用户访问热点等。”研究人员在报告中指出。这些扩展伪装成隐私保护或实用工具，涵盖优惠券搜索器到广告拦截器等多种类型，部分甚至声称能防护其他恶意扩展。 网络安全媒体Cybernews研究团队近期警示称，多数热门Chrome扩展在安装时会索取过度宽泛的侵入性权限。分析数据显示，每100个扩展中就有86个要求获取高危险权限。 Tuckner的发现清单进一步印证了扩展程序的潜在危险性。 被发现的扩展大多处于未上架状态，这意味着普通用户无法通过Chrome应用商店或搜索引擎直接发现。用户仅能通过特定URL链接访问，而此类链接通常通过恶意广告、弹窗、钓鱼欺诈、虚假更新提示等渠道传播。 研究人员强调：”为何这些普通用户无法发现的扩展会被谷歌标注为’推荐’？这完全突破了我的认知底线。普通用户很可能将’推荐’标识等同于官方认证的可靠产品。’推荐’与’不可发现’两种属性绝不应该同时存在。” Tuckner最初通过拼写错误的”unknow[.]com”域名锁定了35个未上架可疑扩展。在Obsidian Security的技术支持下，研究团队将具有相同行为特征的扩展补充至清单。据Bleeping Computer报道，谷歌已获知该研究结果。 目前可疑扩展已上报至Chrome，研究人员持续监控其状态演变。”值得庆幸的是，部分扩展现已被移出Chrome应用商店，但并非全部！为何存在如此差异！”研究人员在社交媒体发文质疑。 Tuckner公开了含有可疑功能的扩展清单，安装量排名前位的包括： 1、Cuponomia优惠券与返现工具（超70万安装） 2、浏览器防护盾（超30万安装） 3、Chrome全安防护（超30万安装） 4、医生版浏览器检测（超20万安装） 这些扩展关联域名均使用相似关键词模式，完整危害指标(IoC)清单已包含在研究报告中。 恶意扩展判定依据分析： 1、权限清单异常：所有Chrome扩展的manifest文件都需声明所需权限。要求获取与基础功能不匹配的过度权限成为首要疑点 2、域名拼写错误：扩展程序通信域名存在明显拼写错误，如”unknow[.]com”具有典型诱导特征 3、代码结构异常：宣称功能的实现代码量极少甚至缺失，核心代码经过深度混淆处理 4、远程控制能力：扩展配置支持远程操控，代码结构具备间谍软件或信息窃取程序家族特征 深度代码分析揭露了Cookie窃取、用户追踪、强制设置搜索引擎、通过推荐参数劫持收益等多项恶意功能。所有问题扩展均采用相同代码模式、回调域名结构及权限配置列表。 Cybernews团队再次警示：Chrome扩展权限直接决定其对浏览器及系统的控制范围。建议用户定期审查并删除闲置扩展，严格遵循安全操作规范。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，名为XorDDoS的分布式拒绝服务（DDoS）恶意软件持续构成威胁，2023年11月至2025年2月期间观测到的攻击中有71.3%针对美国。 “2020至2023年间，XorDDoS木马感染量显著攀升，”思科Talos研究员Joey Chen在周四的分析报告中指出，”此趋势不仅源于XorDDoS木马的全球广泛传播，更与其命令控制（C2）基础设施相关的恶意DNS请求激增有关。除常规暴露的Linux设备外，该木马现已将攻击范围扩展至Docker服务器，将受感染主机转化为僵尸节点。” 近42%的受控设备位于美国，其次是日本、加拿大、丹麦、意大利、摩洛哥与中国。 XorDDoS是臭名昭著的恶意软件，过去十余年持续攻击Linux系统。2022年5月，微软报告XorDDoS活动激增，其感染为Tsunami等加密货币挖矿软件铺路。 主要初始入侵途径是通过SSH暴力攻击获取有效凭证，进而在存在漏洞的物联网及其他联网设备上下载安装恶意软件。 成功植入后，恶意软件通过内嵌初始化脚本与定时任务（cron job）建立持久化机制，确保系统启动时自动运行。同时利用XOR密钥”BB2FA36AAA9541F0″解密内置配置，提取C2通信所需IP地址。 Talos表示，2024年观测到名为VIP版的XorDDoS子控制器新版本及其配套中央控制器与构建器，表明该恶意软件可能已进入商业化销售阶段。 中央控制器负责管理多个XorDDoS子控制器并同步发送DDoS指令，每个子控制器则操控由受感染设备组成的僵尸网络。 Chen强调道。“多层控制器、XorDDoS构建器与控制端绑定工具的语言设置强烈暗示，幕后运营者为中文使用者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 众所周知，浏览器扩展（从拼写检查工具到生成式AI工具）几乎已嵌入每位用户的日常工作流程。但多数IT与安全人员尚未意识到：浏览器扩展的过度权限正成为企业日益增长的风险。 LayerX今日发布《2025企业浏览器扩展安全报告》，这是首份也是唯一将公共扩展市场统计数据与企业实际使用遥测数据相结合的报告。通过这种方式，该报告揭示了现代网络安全中最被低估的威胁面之一：浏览器扩展。 报告揭示了多项值得IT与安全负责人在制定2025下半年计划时关注的发现，包括有关”多少扩展具有危险权限”、”授予了哪些类型权限”、”扩展开发者是否可信”等数据与分析。以下是报告关键数据摘录。 《2025企业浏览器扩展安全报告》核心发现： 浏览器扩展在企业环境无处不在。99%（几乎所有）员工安装了浏览器扩展，52%安装超过10个扩展。 安全分析：几乎所有员工都暴露于浏览器扩展风险中。 多数扩展可访问关键数据。53%企业用户安装的扩展能访问Cookie、密码、网页内容、浏览信息等敏感数据。 安全分析：单个员工层面的漏洞可能危及整个组织。 扩展发布者身份成谜。超半数（54%）扩展发布者身份未知（仅通过Gmail识别），79%发布者仅发布过1个扩展。 安全分析：追踪扩展信誉度极为困难（即便动用IT资源也难以实现）。 生成式AI扩展威胁加剧。超20%用户至少安装1个生成式AI扩展，其中58%具有高风险权限范围。 安全分析：企业应制定明确的生成式AI扩展使用与数据共享政策。 未维护/未知扩展引发担忧。51%扩展超过1年未更新，26%企业扩展采用旁加载方式（绕过应用商店基础审查）。 安全分析：即使非恶意扩展也可能存在漏洞。 报告不仅提供数据，更为安全与IT团队提供应对浏览器扩展威胁的行动指南。 LayerX建议企业采取以下措施： 全面审计扩展 – 掌握所有扩展信息是理解威胁面的基础。因此，防范恶意扩展的第一步是审计员工使用的所有扩展。 分类扩展类型 – 某些扩展类型因其广泛用户基础（如生成式AI扩展）或获得的高危权限而更易受攻击。分类有助于评估浏览器扩展安全态势。 枚举扩展权限 – 列出各扩展可访问的信息类型，帮助绘制攻击面并配置后续策略。 评估扩展风险 – 基于权限与数据访问能力评估各扩展风险。整体风险评估还需纳入信誉度、流行度、发布者及安装方式等外部参数，最终形成统一风险评分。 实施自适应策略 – 根据分析结果，制定符合企业使用场景、需求与风险特征的自适应风险策略。 浏览器扩展不仅是生产力工具，更是多数企业尚未意识到的攻击媒介。LayerX《2025报告》通过全面发现与数据驱动分析，帮助CISO与安全团队管控风险，构建可防御的浏览器环境。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕确认了一个影响启用AiCloud功能路由器的严重安全漏洞，远程攻击者可借此在受影响设备上执行未授权功能。 该漏洞编号为CVE-2025-2492，CVSS评分为9.2（满分10.0）。 “特定华硕路由器固件系列存在认证控制不当漏洞，”华硕在公告中表示。”此漏洞可通过构造请求触发，可能导致未授权功能执行。” 华硕已通过以下固件分支的更新修复该缺陷： 3.0.0.4_382 3.0.0.4_386 3.0.0.4_388 3.0.0.6_102 为获得最佳防护，建议用户将设备升级至最新固件版本。 华硕建议，”请为无线网络和路由器管理页面设置不同密码。使用至少10位字符的密码，包含大写字母、数字和符号。” “不要在多台设备或服务中使用相同密码。避免使用连续数字或字母的密码，例如1234567890、abcdefghij或qwertyuiop。” 若无法立即更新补丁或路由器已停产（EoL），请确保登录密码和Wi-Fi密码强度足够。 另一解决方案是禁用AiCloud及所有可从互联网访问的服务，包括：WAN远程访问、端口转发、DDNS、VPN服务器、DMZ、端口触发和FTP。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一个公开可访问的服务器，内含超过1.58亿条AWS密钥记录。其中大部分密钥是跨不同区域端点和配置复制的重复条目。 然而进一步调查发现，攻击者通过爬取和其他方式收集AWS密钥，对存储桶进行加密并索要赎金的恶意活动。研究人员将密钥列表精简至1,229组独特的AWS密钥对，每组包含访问密钥ID及对应的秘密访问密钥。许多密钥对已被轮换，但仍在生效的有效密钥对已导致含有勒索信的S3存储桶被加密。 某未知威胁行为体正滥用AWS原生服务端加密功能以隐藏行踪。网络安全研究员、SecurityDiscovery.com所有者Bob Diachenko表示：“这是罕见且可能前所未有的协同勒索攻击案例——攻击者利用泄露的AWS凭证，在存储桶所有者未察觉或未操作的情况下，通过客户提供密钥的服务器端加密（SSE-C）对S3存储桶数据进行加密。” 关键要点： 1、发现超过1.58亿条泄露的AWS密钥记录，指向1,229组独特凭证。有效AWS密钥允许攻击者列出S3存储桶并检索勒索要求。 2、勒索信显示文件是使用客户提供密钥的服务器端加密（SSE-C）加密的。 3、勒索金额为每名受害者0.3枚比特币（约合2.5万美元）。 部分受害者仍不知情。 此次恶意活动无明确归属且高度自动化。攻击者在名为warning.txt的文件中留下勒索信。每个被加密的S3存储桶似乎都有独立的警告信息及唯一的比特币（BTC）地址。黑客留下联系邮箱awsdecrypt[@]techie.com。 攻击者正在利用AWS对抗其客户——他们滥用客户提供密钥的AWS服务器端加密（SSE-C）来加密S3存储桶数据。Halcyon RISE团队此前已详细说明过该技术。这意味着攻击者生成自己的加密密钥（AES-256），用于锁定数据，使得没有密钥就无法恢复。 这种攻击模式允许”静默入侵”，漏洞发生时不会向受害者发出警报或报告，也没有文件删除日志。威胁行为体保持存储桶结构完整。此外，攻击者似乎甚至懒得窃取数据实施双重勒索。 此前观察到攻击者设置S3生命周期策略在7天内删除加密数据，进一步逼迫受害者付款。令人担忧的是，多个案例中受影响的AWS环境仍在运行，表明受害者可能仍未意识到漏洞存在。 “部分受害者可能尚未察觉其存储桶已被加密，尤其是当受影响文件访问频率较低，或存储桶用于备份时。某些暴露的备份是空的且可能是新创建的，这使未来项目面临风险。”Diachenko表示。 研究人员还指出，攻击者在多个案例中警告受害者不要更改凭证，并通过允许测试文件恢复来提供’解密证明’。”此事件标志着云勒索策略的重大升级。其简单性使其特别危险：攻击者仅需窃取密钥——无需复杂漏洞利用。”Diachenko补充道。 他们警告称，对采用AWS原生强加密锁定的数据进行暴力破解或其他方式解密实际上是不可能的。 黑客如何收集AWS密钥？ 威胁行为体收集海量AWS密钥的确切方法尚未证实。但Cybernews研究人员提出几种最可能的假设： 1、公共代码库泄露的AWS密钥：密钥凭证常被误提交至GitHub、Bitbucket等平台。攻击者随后使用TruffleHog、Gitleaks等工具爬取这些代码库获取密钥。 2、不安全的CI/CD（持续集成/持续部署）工具：Jenkins或GitLab Runner常存储AWS密钥。这些密钥可能因配置错误部署或弱凭证而暴露。 3、Web应用中配置错误的.env和config.php或JSON配置文件：这些文件本应保密，但因配置错误可能导致凭证泄露。 4、泄露与入侵事件：被入侵的开发工具、云控制面板或密码管理器可能成为来源。黑客可从非法市场收集凭证。 5、陈旧/被遗忘的IAM用户：许多云环境中普遍存在极少轮换且长期有效的非活跃IAM用户凭证，这些是静默攻击的主要目标。 攻击者还可通过其他多种方式提取凭证。此前Cybernews研究发现，iOS应用平均包含5个硬编码密钥，可能导致泄露与数据泄露。 如何保护云存储桶？ AWS凭证本应保密。Cybernews研究人员建议通过以下方法强化AWS环境： 1、立即审计所有IAM凭证。停用未使用的密钥并轮换有效密钥。 2、实施AWS Config和GuardDuty服务以检测可疑访问模式。 3、使用自动化工具扫描公共代码库是否泄露密钥。 4、强制使用短期临时令牌，并从应用中移除硬编码凭证。 5、对所有IAM角色应用最小权限原则。 6、监控存储桶中warning.txt等未知新文件。 7、配置策略限制SSE-C使用，并启用详细日志记录以检测异常活动。 Cybernews已将暴露实例通报AWS。我们也联系对方寻求更多评论，收到回复后将予以补充。 AWS鼓励所有客户遵循安全、身份与合规最佳实践。若客户怀疑遭受入侵，可先参考本文列出的步骤或联系AWS支持团队。       消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 对于注重隐私的人而言，在线生成成人内容通常不是明智之举。例如，苹果应用商店的”Novel AI: Book Creator”因Firebase数据库配置错误导致数据泄露，显示用户生成的内容远不止普通鬼故事那么简单。 “Novel AI: Book Creator”用户生成故事及其他个人数据遭泄露，部分泄露故事涉及少儿不宜内容，攻击者可利用泄露信息进行性勒索和敲诈，Cybernews已联系应用开发者但未获回复。我们用户往往对应用开发者及其隐私保护能力过度信任。以iOS应用”Novel AI: Book Creator”为例，Cybernews研究团队发现该应用因安全规则配置错误导致用户数据泄露。 这款在美国应用商店拥有近2000条评分的应用，允许用户通过人工智能(AI)生成故事。然而安全配置错误使这些故事处于公开可访问状态。此外，用户与客服的互动记录及邮箱地址也遭曝光。 唯一值得庆幸的是，AI提示词本身已匿名化处理，这意味着攻击者只能识别同一用户生成的多篇故事，但无法获取相关个人信息。换句话说，攻击者需要付出更多努力才能确定故事来源。 令人担忧的是，尽管多次尝试联系开发者，该数据库已持续公开访问超过一个月。我们已联系”Novel AI: Book Creator”开发团队寻求置评，收到回复后将更新报道。 “泄露数据包括用户与客服的沟通记录、邮箱等个人身份信息，以及用户生成的各类故事。部分用户生成内容涉及成人题材。”Cybernews信息安全研究员Aras Nazarovas指出。 iOS应用具体泄露哪些数据？数据通过Firebase数据库泄露，该数据库作为临时存储区，在数据量达到阈值后会同步至永久存储系统。研究团队发现泄露的数据库包含：用户与客服的互动记录，用户邮箱地址以及用户借助AI生成的故事。 如前所述，用户故事仅关联用户ID而非真实姓名，但攻击者仍可进行关联匹配。研究人员表示，若用户曾在应用中提交反馈或客服咨询，攻击者即可确定特定故事的创建者。 研究团队特别指出，鉴于部分故事包含大量性内容，有些用户可能非常不愿让人知晓其使用过某些特定AI提示词。 Nazarovas解释：”此类内容的泄露风险极高，可能暴露令人尴尬或社会难以接受的个人偏好，攻击者可利用这些信息进行勒索或性胁迫。” 研究团队认为，攻击者可利用该漏洞设置数据抓取程序，持续从暴露的Firebase数据库中下载敏感信息。此外，网络犯罪分子还能实时获取新的AI提示词提交记录、客服咨询记录（含邮箱地址）等数据。 调查期间，该Firebase数据库已泄露约400封含邮箱地址的客服邮件，以及55,000篇用户生成故事。但考虑到Firebase作为临时数据库的特性，实际存储数据量可能远高于此。 泄露的Firebase数据库不仅暴露用户隐私数据，还公开了应用客户端的多项机密信息，包括：API密钥、客户端ID、数据库URL、Google应用ID、项目ID、反向客户端ID、存储桶、Facebook应用ID、Facebook客户端令牌。API密钥和数据库URL的公开会显著提升安全风险。攻击者可反编译应用，利用泄露凭证访问后端服务，绕过应用安全控制，导致非授权数据访问、账户劫持乃至完整数据库泄露等问题。 此外，API密钥通常具有广泛权限，攻击者可借此篡改或窃取用户敏感数据。而Facebook应用ID等社交媒体凭证则可能被用于实施仿冒攻击。 研究人员建议分别针对Firebase实例和硬编码密钥采取修复措施。针对Firebase相关问题，建议：制定适当的Firebase安全规则，确保只有经授权的认证用户和服务能访问存储数据。研究人员表示。”该应用使用的Firebase实例处于公开可访问状态，攻击者可实时连接数据库并抓取数据，获取包括用户客服沟通记录和AI提示词在内的所有操作信息。” 为防止应用密钥落入不法分子之手，建议：将敏感密钥从应用客户端移除，转存至服务器端，通过自有基础设施代理应用与第三方服务的通信。Nazarovas解释称。”硬编码密钥使攻击者可枚举应用使用的基础设施。若存在认证密钥，攻击者还可能滥用相关服务窃取用户数据，或将服务用于非授权用途。” “Novel AI: Book Creator”远非首个存在密钥泄露问题的iOS应用。研究团队近期发现多款应用存在严重安全隐患。例如，多个BDSM、LGBTQ+和sugar dating应用被曝泄露用户私密照片，部分甚至泄露私聊信息中的图片。 其他案例中，用于追踪家人行踪或秘密存储敏感数据的应用也被发现存在大规模数据泄露。 最新泄露事件是在大规模调查中发现的——Cybernews研究人员下载了156,000个iOS应用（约占苹果商店应用的8%），发现开发者普遍在应用代码中明文存储密钥凭证。 调查结果显示，71%的被分析应用至少泄露一个密钥，平均每个应用代码暴露5.2个密钥。     消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Atlassian和Cisco本周宣布为其产品中的多个高危漏洞提供补丁，其中包括可导致远程代码执行的缺陷。 Atlassian发布了七项更新，修复了Bamboo、Confluence和Jira中影响第三方依赖项的四个高危漏洞，其中部分漏洞早在近六年前就已公开披露。针对Bamboo数据中心与服务器版、Jira数据中心与服务器版以及Jira服务管理数据中心与服务器版的修复程序，解决了Netplex Json-smart中未经认证即可被利用的拒绝服务（DoS）问题。该安全缺陷编号为CVE-2024-57699。 针对Jira及Jira服务管理的安全更新还修复了一个可导致DoS的XXE（XML外部实体注入）漏洞，编号为CVE-2021-33813。 Confluence数据中心与服务器版修复了两个漏洞，包括Netty应用框架中的DoS漏洞（编号CVE-2025-24970），以及libjackson-json-java库中的XXE漏洞（CVE-2019-10172）。 Atlassian未提及这些漏洞在现实中被利用的情况。 周三，Cisco为Webex App、安全网络分析系统（Secure Network Analytics）和Nexus Dashboard中的三个安全缺陷提供了补丁。 Webex App修复了一个高危漏洞（编号CVE-2025-20236）。攻击者可诱使用户点击特制会议邀请链接并下载任意文件，从而远程执行任意代码。针对安全网络分析系统7.5.0、7.5.1和7.5.2版本的更新修复了一个中危问题，该漏洞允许经过认证的攻击者获取具有root权限的shell访问。 在Nexus Dashboard中，Cisco修复了一个中危漏洞，未经认证的远程攻击者可借此验证有效LDAP用户账号的用户名。 Cisco表示目前未发现这些漏洞在现实中被利用。更多信息可查阅该公司安全公告页面。     消息来源：securityweek；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 娱乐场所管理公司Legends International警告称，其于2024年11月遭遇数据泄露事件，波及员工及曾前往其管理场馆的访客。 在一份提交给监管机构的通知信中，该公司表示于2024年11月9日发现其IT系统存在未经授权的活动，随即在外部网络安全专家的协助下展开调查。 调查结果证实，入侵者窃取了个人数据文件，但通知信样本中未明确泄露数据类型。 Legends International是一家全球性体育娱乐服务公司，业务涵盖场馆规划、销售、合作、接待、周边商品及技术解决方案，年收入超11亿美元。 该公司管理着全球五大洲超过350个场馆，包括洛杉矶索菲体育场（SoFi Stadium）、纽约世贸中心观景台（One World Observatory）、得克萨斯州AT&T体育场、西班牙圣地亚哥伯纳乌球场（Santiago Bernabéu）与诺坎普球场（Camp Nou），以及英国安菲尔德球场（Anfield）和温布利OVO体育馆（OVO Arena Wembley）。 近期，该公司通过收购全球领先的场馆管理企业ASM Global进一步扩展业务版图。 目前数据泄露的具体范围及受影响人数尚未公布。但鉴于该公司业务规模及所管理海量敏感数据，事件引发广泛担忧。BleepingComputer已联系公司要求披露详情，但暂未获得回应。 在发送给受影响个体的通知信中，Legends International称事件前已部署安全防护措施，并在系统恢复后追加了额外措施，但未提供具体细节。 受影响者可注册享受益博睿（Experian）提供的为期24个月的身份盗用检测服务，注册截止日期为2025年7月31日。 Legends International在信中表示，目前尚无证据表明泄露个人信息遭恶意利用，但仍建议用户保持警惕。 截至本文发布时，尚无勒索组织宣称对此次攻击负责，因此攻击类型及实施者身份仍不明确。     消息来源：bleepingcomputer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一场持续进行的恶意广告活动，该活动利用Node.js提供能够窃取信息及数据泄露的恶意载荷。 该活动最早于2024年10月被发现，通过伪装成币安（Binance）或TradingView等合法软件的欺诈网站，以加密货币交易为诱饵，诱骗用户安装恶意安装程序。 下载的安装程序内嵌动态链接库（“CustomActions.dll”），其功能包括通过Windows管理规范（WMI）收集基础系统信息，并通过计划任务在受感染主机上实现持久化驻留。 为维持伪装，该动态链接库会通过“msedge_proxy.exe”启动浏览器窗口，显示合法的加密货币交易网站。值得注意的是，“msedge_proxy.exe”可用于将任意网站显示为网络应用程序。 与此同时，计划任务被配置为运行PowerShell命令，从远程服务器下载附加脚本。这些脚本负责将正在运行的PowerShell进程及当前目录排除在Microsoft Defender for Endpoint的扫描范围之外，以此规避检测。 设置排除项后，系统会执行一条经过混淆的PowerShell命令，从远程URL获取并运行能够收集操作系统、BIOS、硬件及已安装应用等详细信息的脚本。 所有窃取的数据均被转换为JSON格式，并通过HTTPS POST请求发送至命令与控制（C2）服务器。 攻击链随后进入下一阶段：另一条PowerShell脚本被启动，从C2服务器下载包含Node.js运行时二进制文件及JavaScript编译（JSC）文件的压缩包。Node.js可执行文件触发JSC文件的运行，该文件会建立网络连接并可能窃取浏览器敏感信息。 微软观察到的另一感染链中，攻击者采用“ClickFix”策略实现内联JavaScript执行，即通过恶意PowerShell命令直接下载Node.js二进制文件并运行JavaScript代码（而非从文件加载）。 内联JavaScript执行的操作包括：通过网络探测识别高价值资产，将C2流量伪装为合法的Cloudflare活动以躲避监测以及通过修改Windows注册表启动项实现持久化。 微软表示：“Node.js是一个开源、跨平台的JavaScript运行时环境，允许JavaScript代码在浏览器外运行。因其支持开发者构建前端与后端应用，受到广泛信任。然而，攻击者正利用Node.js的特性，试图将恶意软件与合法应用混淆，绕过传统安全防护机制，并长期潜伏在目标环境中。” 此次披露之际，CloudSEK发现一个仿冒PDF Candy（域名为candyxpdf[.]com或candyconverterpdf[.]com）的虚假PDF转DOCX网站，利用“ClickFix”社会工程学手段诱导受害者运行编码后的PowerShell命令，最终部署SectopRAT（又名ArechClient2）木马。 安全研究员Varun Ajmera在本周发布的报告中指出：“攻击者精心复制了真实平台的用户界面，并注册了外观相似的域名以欺骗用户。攻击链通过诱骗受害者执行PowerShell命令来安装Arechclient2木马。该木马属于危险的SectopRAT信息窃取家族，以从受感染系统窃取敏感数据著称。” 此外，钓鱼活动还被发现使用基于PHP的工具包，以人力资源（HR）主题骗局针对企业员工，未经授权访问薪资门户并修改受害者银行账户信息，将资金转移至攻击者控制的账户。 部分活动被归因于名为“薪资海盗”（Payroll Pirates）的黑客组织。攻击者通过谷歌的赞助广告投放恶意搜索广告，仿冒人力资源页面，诱骗受害者提交账户凭证及双因素认证（2FA）代码。     消息来源：thehackernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于周三将一个影响SonicWall Secure Mobile Access（SMA）100系列网关的安全漏洞添加至其”已知被利用漏洞（KEV）目录”，基于此漏洞正被活跃利用的证据。 该高危漏洞编号为CVE-2021-20035（CVSS评分：7.2），属于操作系统命令注入漏洞，可能导致代码执行。 “SMA100管理界面未能正确过滤特殊元素，使得远程认证攻击者能以’nobody’用户身份注入任意命令，可能导致代码执行。”SonicWall在2021年9月发布的公告中表示。该漏洞影响以下版本设备：SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v（ESX、KVM、AWS、Azure）型号。 受影响版本包括： 10.2.1.0-17sv及更早版本（10.2.1.1-19sv及以上版本已修复） 10.2.0.7-34sv及更早版本（10.2.0.8-37sv及以上版本已修复） 9.0.0.10-28sv及更早版本（9.0.0.11-31sv及以上版本已修复） 尽管目前尚不清楚CVE-2021-20035漏洞被利用的具体细节，但SonicWall已更新公告指出”该漏洞可能正在现实中被利用”。 根据要求，联邦民事行政部门（FCEB）机构必须在2025年5月7日前采取必要的缓解措施，以保护其网络免受主动威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由前MTV高管创立的澳大利亚最热门创意招聘平台The Loop于2024年关闭，但其用户敏感数据至今仍在泄露。该平台错误配置的Google Cloud存储桶导致210万份文件泄露，包括含全名、地址、电话号码、邮箱及完整职业履历的简历。利用这些数据，诈骗者可实施高度定向的钓鱼攻击、语音钓鱼和短信钓鱼，将用户置于风险之中。截至目前，尚未有任何机构采取行动保护这些数据。 2025年2月，Cybernews安全研究人员偶然发现了本不该暴露于世的秘密：一个配置错误的Google Cloud存储桶向全网开放，其中存放着210万份文件。泄露的文件包含高度敏感信息，例如原始简历（含全名、家庭地址、电话号码、电子邮箱以及详细的职业与教育经历）。 简而言之，这些数据为诈骗者提供了伪装成你本人或通过虚假职位窃取银行信息所需的一切。 The Loop泄露了哪些数据？ 含教育及职业背景的简历 全名 家庭地址 电子邮箱 电话号码 该平台由MTV前高管Pip Jamieson和Matt Fayle创立，声称拥有10万名注册艺术家用户，并与1.6万家企业建立联系。 Cybernews尝试联系该公司及计算机应急响应组（CERT），但未收到任何回应。 这种包含完整个人档案的数据泄露犹如一场“灾难自助餐”，尤其当受害者是依赖网络声誉接案的创意工作者和自由职业者时， 凭借详细简历，诈骗者可制作极度逼真的个性化钓鱼邮件。试想收到一封提及你真实职位名称、过往客户甚至日常使用工具的邮件——所有这些信息均从你的简历中提取。邮件可能附带虚假职位邀约、待签署合同，或要求你“验证身份”（需提供护照复印件）。当诈骗者掌握你的电话号码和背景信息时，语音钓鱼和短信钓鱼将变得极具说服力。例如，接到自称来自你曾实际应聘的创意机构的电话，要求“最终确认”银行信息。利用你的姓名、地址、生日、邮箱、电话号码及职业履历，诈骗者可伪装成你向客户或雇主发送虚假发票。 对某些人而言，这种场景看似难以置信。因此，让我们回顾史上最猖獗的网络诈骗案例：一名立陶宛男子通过伪造发票邮件诱骗Facebook和Google向其转账超1亿美元。这两家全球科技巨头在两年间持续付款且未提出任何质疑。试想，中小企业落入此类陷阱的难度将低得多。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周三发布带外（out-of-band）操作系统更新，修复两个已被用于针对少量iOS设备的“极其复杂”攻击的安全漏洞。 这两个漏洞编号为CVE-2025-31200和CVE-2025-31201，分别被归类为代码执行漏洞和安全缓解措施绕过漏洞，影响iOS、iPadOS及macOS平台。苹果称已收到报告，确认这些漏洞被用于针对特定iPhone目标的高端攻击。 CoreAudio组件漏洞（CVE-2025-31200） 处理恶意构造的媒体文件中的音频流时可能触发代码执行。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此内存损坏问题通过改进边界检查修复。该漏洞由谷歌威胁分析小组（TAG）报告。 RPAC组件漏洞（CVE-2025-31201） 具备任意读写能力的攻击者可能绕过指针认证（Pointer Authentication）机制。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此问题通过移除漏洞代码修复。（注：指针认证是ARM架构中的安全功能，用于检测指针是否被篡改） 漏洞补丁已覆盖所有运行macOS Sequoia系统的设备，但苹果强调目前仅观察到少量针对iPhone的攻击实例。 依照惯例，苹果未公开实际攻击的技术细节或入侵指标（IOCs）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁监测平台Shadowserver基金会报告称，超过16,000台置身于互联网的Fortinet设备被检测到感染了一种新型符号链接（symlink）后门，攻击者可借此获取对先前已遭入侵设备的敏感文件的只读访问权限。 此前，该平台曾报告14,000台设备受影响。目前，Shadowserver的Piotr Kijewski向BleepingComputer证实，该网络安全组织已检测到16,620台设备受此最新曝光的持久化机制影响。 上周，Fortinet警告客户称发现攻击者利用一种新型机制，在已修复漏洞但先前遭入侵的FortiGate设备上保留对根文件系统的远程只读访问权限。 Fortinet表示，此攻击并非利用新漏洞，而是与2023年至2024年的攻击行为相关。攻击者当时通过零日漏洞入侵FortiOS设备，并在启用SSL-VPN的设备上创建指向根文件系统的语言文件夹符号链接。由于启用SSL-VPN的FortiGate设备的语言文件可公开访问，攻击者可通过该文件夹持续获取根文件系统的只读权限（即使原始漏洞已被修复）。 Fortinet在声明中解释：攻击者利用已知漏洞对存在缺陷的FortiGate设备实施只读访问。其通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接实现。该修改发生于用户文件系统内，因此未被检测到。 即使客户设备已升级修复原始漏洞的FortiOS版本，此符号链接可能仍残留，使攻击者能持续读取设备文件系统内的配置等文件。 本月，Fortinet开始通过邮件私下通知被FortiGuard检测到感染符号链接后门的FortiGate设备用户。 Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接。最新固件版本也已更新检测与清除功能，并阻止内置Web服务器提供未知文件/目录访问。 若设备被检测为已入侵，攻击者可能已获取包含凭证的最新配置文件。因此，Fortinet建议管理员重置所有凭证，并遵循官方指南中的其他操作步骤。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种与已知后门程序BPFDoor相关的新型控制器组件。该组件被用于2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击。 趋势科技研究员Fernando Mercês在本周发布的技术报告中指出：该控制器可开启反向Shell，使攻击者通过横向移动深入受感染网络，控制更多系统或获取敏感数据。 该活动被中等置信度归因于追踪代号为Earth Bluecrow的威胁组织（亦被称为DecisiveArchitect、Red Dev 18和Red Menshen）。置信度较低的原因是BPFDoor恶意软件源代码已于2022年泄露，意味着其他黑客组织可能也在使用该工具。 BPFDoor是一款Linux后门程序，最早于2022年曝光。公开披露前至少一年，该恶意软件已被用作针对亚洲和中东实体的长期间谍工具。 其最显著特点是能为攻击者创建持久且隐蔽的通道，长期控制受感染工作站并窃取敏感数据。 该恶意软件得名于其使用的伯克利数据包过滤器（BPF）技术。该技术允许程序将网络过滤器附加到开放套接字，通过检查传入数据包并监测特定Magic Byte序列触发恶意行为。 Mercês解释：由于目标操作系统对BPF的实现方式，即使防火墙拦截了数据包，Magic Packet仍能触发后门——当数据包抵达内核的BPF引擎时，驻留的后门即被激活。此类特性常见于Rootkit，但在后门程序中极为罕见。 趋势科技最新分析发现，受攻击的Linux服务器还被一种此前未记录的恶意控制器感染。该控制器用于在横向移动后访问同一网络内其他受感染主机。 Mercês补充：控制器在发送BPFDoor植入的BPF过滤器所检测的Magic Packet前，会要求用户输入密码，该密码也将在BPFDoor端进行验证。 随后，控制器会根据提供的密码和命令行选项，指示受感染设备执行以下操作之一： 开启反向Shell 将新连接重定向至指定端口的Shell 确认后门处于活跃状态 需特别指出的是，控制器发送的密码必须与BPFDoor样本中的硬编码值匹配。该控制器除支持TCP、UDP和ICMP协议控制受感染主机外，还可启用加密模式确保通信安全。 此外，控制器支持直接模式（Direct Mode）——当输入正确密码时，攻击者可直连受感染设备并获取远程访问Shell。 Mercês警告：BPF为恶意软件开发者开启了未被探索的新可能。作为威胁研究人员，必须通过分析BPF代码为未来威胁做好准备，这将帮助组织抵御基于BPF的攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者正在利用一款名为Gamma的AI演示平台进行钓鱼攻击，将毫无戒心的用户引导至仿冒的微软登录页面。 Abnormal Security研究人员Callie Hinman Baron和Piotr Wojtyla在周二的分析报告中指出：“攻击者将Gamma（一种相对较新的基于AI演示工具）武器化，通过其向受害者发送虚假微软SharePoint登录门户的链接。” 攻击链始于钓鱼邮件（某些情况下通过合法但被入侵的邮箱账户发送），诱导收件人打开嵌入的PDF文档。 实际上，该PDF附件仅包含一个超链接。点击后，受害者会被重定向至托管在Gamma平台上的演示页面，并被提示点击“查看安全文档”按钮。 此操作会将用户带到一个仿冒微软的中间页面，要求他们在访问所谓文档前完成Cloudflare Turnstile验证步骤。这一验证码（CAPTCHA）环节既增强了攻击的真实性，也阻止了安全工具对链接进行自动化分析。 随后，目标用户将被导向伪装成微软SharePoint登录门户的钓鱼页面，攻击者试图窃取其凭证。 研究人员指出：“若用户输入错误凭证，页面会显示‘密码错误’提示，这表明攻击者使用了某种实时验证凭证的中间人（AiTM）手段。” 这一发现反映了当前钓鱼攻击的普遍趋势：攻击者滥用合法服务托管恶意内容，绕过SPF、DKIM、DMARC等邮件认证检查——这种技术被称为依赖可信站点生存（LOTS）。 研究人员表示：“这场复杂的多阶段攻击表明，如今的威胁行为者正利用小众工具产生的盲区规避检测、欺骗用户并实施账户入侵。” “攻击者并未直接链接至凭证窃取页面，而是将用户重定向至多个中间环节：首先是Gamma托管的演示页面，随后是受Cloudflare Turnstile保护的跳转页，最终到达仿冒的微软登录页面。这种多阶段跳转隐藏了真实目标，使静态链接分析工具难以追踪攻击路径。” 此次披露恰逢微软在其最新《网络信号》报告中警告称，AI驱动的欺诈攻击正在激增。攻击者利用深度伪造、语音克隆、钓鱼邮件、高仿假网站及虚假招聘信息生成可信内容以扩大攻击规模。 微软表示：“AI工具可扫描并抓取网络上的企业信息，帮助攻击者构建员工或其他目标的详细档案，从而设计极具说服力的社交工程诱饵。” “在某些案例中，攻击者通过伪造的AI增强产品评论和AI生成的网店页面，诱骗受害者陷入日益复杂的欺诈计划。诈骗者甚至创建完整的网站和电商品牌，编造虚假企业历史与客户评价。” 微软还宣布已对Storm-1811（又名STAC5777）组织的攻击采取行动。该组织通过Teams实施语音钓鱼（vishing），伪装成IT支持人员，诱骗受害者授予其设备远程访问权限以部署后续勒索软件。 然而，有证据表明，这场Teams钓鱼活动的幕后团伙可能正在改变策略。ReliaQuest最新报告显示，攻击者采用了一种此前未公开的持久化手段——通过TypeLib COM劫持和新型PowerShell后门逃避检测并维持对入侵系统的访问。 据称，该威胁组织自2025年1月起开发多版PowerShell恶意软件，早期版本通过恶意Bing广告投放。两个月后发现的攻击活动瞄准金融、专业服务及科技行业客户，重点针对女性化名字的高管层员工。 攻击链后期阶段的策略变化引发猜测：Storm-1811可能正在升级手法，或是分支组织所为，亦或是其他威胁行为者复制了其独有的初始入侵技术。 ReliaQuest指出：“钓鱼聊天信息的时间经过精心设计，集中在下午2点至3点之间（与目标组织的当地时间完全同步），利用员工午后警惕性较低的时段实施攻击。” “无论此次微软Teams钓鱼活动是否由Black Basta组织发起，可以肯定的是，通过Teams实施的钓鱼攻击不会消失。攻击者持续寻找绕过防御并潜伏在组织内部的巧妙方法。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周三透露，该公司在2024年暂停了超过3920万个广告主账户，其中大部分账户在其向用户推送有害广告之前已被系统识别并拦截。 这家科技巨头表示，去年总计屏蔽了51亿条违规广告，限制了91亿条广告，并在13亿个页面上屏蔽或限制了广告展示。此外，该公司还因诈骗相关违规行为暂停了超过500万个账户。 前六类广告政策违规行为包括：广告网络滥用（7.931亿次）、商标滥用（5.031亿次）、个性化广告违规（4.913亿次）、法律要求不达标（2.803亿次）、金融服务违规（1.937亿次）以及虚假陈述（1.469亿次）等。 被屏蔽或限制广告的页面大多涉及以下内容：色情信息、危险或贬损性内容、恶意软件、令人不适的内容、武器推广与销售、在线赌博、烟草/酒精销售或滥用、知识产权侵权以及露骨性内容。 谷歌表示，其一直在使用人工智能（AI）驱动的工具快速标记新兴威胁和滥用模式，通过企业身份仿冒和非法支付信息等信号作为早期指标来打击广告欺诈。 该公司在提供给《黑客新闻》的声明中称：我们打击了利用AI生成的深度伪造技术进行的公众人物仿冒诈骗，为此类违规行为暂停了超过70万个账户。作为更广泛行动的一部分，我们共屏蔽/移除了4.15亿条广告，并因诈骗违规暂停了超500万个账户。 谷歌还提到，已将广告主身份验证计划扩展至200多个国家和地区，以提高透明度并加强对选举广告中AI生成内容的管控。2024年，超过8900个新注册的选举广告主通过验证，同时移除了来自未经验证账户的1070万条选举广告。 谷歌持续加强广告安全的举措，源于恶意广告（malvertising）仍是恶意软件初始传播的重要渠道——攻击者通过滥用谷歌搜索（及其他搜索引擎）的欺诈性广告，将用户引导至虚假网站。 该公司强调：广告安全形势不断变化，受AI技术进步、新兴滥用策略及全球事件的影响，行业需要持续保持敏捷应对能力。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文