HackerNews

HackerNews 编译，转载请注明出处： 2025年2月11日，网络安全公司eSentire发布报告称，网络攻击者正在利用一种名为“ClickFix”的技术，部署名为NetSupport RAT的远程访问木马。 自2025年1月初以来，“ClickFix”技术被频繁用于传播NetSupport RAT。该木马通常通过虚假网站和伪装的浏览器更新传播，攻击者可借此完全控制受害者设备，实时监控屏幕、操作键盘和鼠标、上传下载文件以及执行恶意命令。 NetSupport RAT最初是一款合法的远程IT支持程序，但已被恶意攻击者重新利用，针对组织机构窃取敏感信息，包括屏幕截图、音频、视频和文件。 “ClickFix”技术通过在被入侵的网站上注入虚假验证码页面，诱使用户按照指示复制并执行恶意的PowerShell命令，从而下载并运行恶意软件。在攻击过程中，PowerShell命令用于从远程服务器下载并执行NetSupport RAT客户端，恶意组件以PNG图像文件的形式存储。 此外，ClickFix技术还被用于传播Lumma Stealer恶意软件的更新版本，该软件使用ChaCha20密码算法解密包含命令与控制（C2）服务器列表的配置文件。eSentire表示，这些变化揭示了开发者为绕过当前的提取和分析工具而采用的规避策略。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   谷歌澄清，新推出的 Android 系统 SafetyCore 应用不会对内容进行客户端扫描。 “Android 提供了许多本地保护措施，以防范恶意软件、信息垃圾邮件和滥用保护以及电话诈骗等威胁，同时保护用户隐私并让用户掌控自己的数据。”谷歌公司发言人向《黑客新闻》表示。“SafetyCore 是一项面向 Android 9 及以上设备的谷歌系统服务，它为安全、私密地进行内容分类提供了本地基础设施，帮助用户检测不想要的内容。用户可以控制 SafetyCore，只有当应用程序通过可选功能请求时，SafetyCore 才会分类特定内容。” SafetyCore（包名“com.google.android.safetycore”）于2024年10月首次推出，作为谷歌针对谷歌消息应用的一系列安全措施的一部分，旨在打击诈骗和敏感内容。该功能需要2GB的RAM，适用于运行 Android 9 及更高版本的所有 Android 设备，以及运行轻量级操作系统 Android Go 的入门级智能手机。 客户端扫描（CSS）是一种替代方法，用于在设备上分析数据，而不是削弱加密或在现有系统中添加后门。然而，这种方法引发了严重的隐私问题，因为它容易被滥用，迫使服务提供商超出最初同意的范围搜索材料。 谷歌消息应用中的敏感内容警告与苹果 iMessage 中的通信安全功能相似，后者使用本地机器学习分析照片和视频附件，判断照片或视频是否包含裸露内容。 GrapheneOS 操作系统的维护者在 X 上发布的一篇帖子中重申，SafetyCore 不提供客户端扫描，主要设计用于提供本地机器学习模型，其他应用程序可以利用这些模型将内容分类为垃圾邮件、诈骗或恶意软件。“对这类内容进行分类与试图检测非法内容并向服务提供商报告是不同的，后者会严重侵犯人们的隐私，并且仍存在误报的情况。这不是 SafetyCore 的用途，它也无法用于此。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，研究人员发现，Orthanc服务器存在一个关键漏洞，可能对美国医疗数据和医疗运营构成严重威胁。 美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）医疗安全公告，提醒各机构注意Orthanc中存在的一个关键认证问题（CVE-2025-0896）。Orthanc是一个开源且轻量级的医学影像DICOM服务器，广泛应用于全球的医疗和公共卫生领域。 CISA指出，1.5.8版本之前的Orthanc服务器在启用远程访问时，默认情况下未启用基本认证功能，这可能允许远程攻击者访问系统。CISA警告称：“成功利用该漏洞的攻击者可能会泄露敏感信息、修改记录，甚至导致拒绝服务的情况发生。” MicroSec公司首席研究员Souvik Kandar表示，CVE-2025-0896漏洞可以通过互联网远程利用，他已发现有615个实例暴露在互联网上。他解释说：“利用该漏洞，攻击者可以在应用程序中操纵患者数据，删除关键的X光图像，甚至可能对患者造成危及生命的后果。这给医疗运营和患者安全带来了严重风险。” 尽管CISA尚未收到有关该漏洞被利用的攻击报告，但潜在影响重大。CISA建议医疗机构和其他Orthanc用户立即采取措施降低风险，包括更新至最新版本（1.5.8及以上）、启用HTTP认证、限制网络暴露、使用防火墙和网络分割，以及确保安全的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，一名来自阿拉巴马州的男子因在2024年1月通过SIM卡交换攻击劫持美国证券交易委员会（SEC）的X账户而认罪。 25岁的被告埃里克·康塞尔（Eric Council Jr.）最初对该账户的黑客攻击行为表示不认罪。他被指控通过黑客手段劫持账户，并协助同伙发布了一条虚假消息，称比特币ETF已获批准。 虚假消息内容如下：“今天，美国证券交易委员会批准了比特币ETF在注册的国家证券交易所上市。获批准的比特币ETF将受到持续监控和合规措施的约束，以确保投资者保护。” 康塞尔的虚假帖子导致比特币价格一度上涨1000美元，随后在SEC主席加里·根斯勒（Gary Gensler）发推文称SEC账户被劫持、比特币ETF批准消息为假后，比特币价格迅速下跌2000美元。 SEC次日确认，@SECGov X账户是通过针对账户负责人的手机号码的SIM卡交换攻击被攻破的。这使得被告能够控制该手机号码，重置账户密码以发布虚假消息，并允许其他同伙（他们支付了他5万美元比特币）访问被攻破的账户并发布虚假消息。 美国司法部表示，作为该计划的一部分，康塞尔使用身份证打印机，利用从同伙那里获得的受害者个人信息，制作了一张虚假身份证。他利用这张虚假身份证冒充受害者，获取其手机号码，进而访问SEC的账户。 法庭文件还显示，康塞尔使用个人电脑搜索与攻击相关的信息，并表达了对联邦调查局（FBI）正在调查他的担忧。调查人员发现，被告搜索了诸如“如果FBI尚未联系你，如何知道你正在被执法部门调查”以及“如何确定我是否正在被FBI调查”等内容。 康塞尔将于5月16日被判刑，他因承认共谋实施严重身份盗窃和访问设备欺诈罪，面临最高五年监禁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，苹果公司发布了紧急安全更新，修复了一个被利用于“极其复杂”的针对性攻击的零日漏洞（CVE-2025-24200）。该漏洞可能被攻击者用于在锁定设备上禁用USB限制模式。 USB限制模式是苹果在iOS 11.4.1中引入的一项安全功能，旨在阻止未经授权的设备通过Lightning接口访问数据。该功能会在设备锁定超过一小时后禁用USB配件的数据连接，但不影响充电功能。 此次修复的零日漏洞影响以下设备： iPhone XS及后续型号； iPad Pro 13英寸、iPad Pro 12.9英寸（第三代及后续）、iPad Pro 11英寸（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）以及iPad mini（第五代及后续）； iPad Pro 12.9英寸（第二代）、iPad Pro 10.5英寸和iPad（第六代）。 苹果建议用户尽快安装iOS 18.3.1、iPadOS 18.3.1和iPadOS 17.7.5更新，以修复该漏洞并增强安全性。 背景信息 攻击目标：该漏洞被用于针对特定个体的复杂攻击，可能涉及商业间谍软件的传播，目标包括记者、反对派政治人士和异议人士。 漏洞细节：该漏洞是一个授权问题，通过改进状态管理得到修复。 类似事件：2023年9月，苹果曾修复了两个零日漏洞（CVE-2023-41061和CVE-2023-41064），这些漏洞被用于零点击攻击链（BLASTPASS），以在最新版iOS的iPhone上安装NSO集团的Pegasus间谍软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据安全研究人员报告，超过1.2万个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行（RCE）漏洞（CVE-2024-52875）。该漏洞被发现于2024年12月中旬，由安全研究员Egidio Romano（EgiX）首次披露。 KerioControl是一款广泛应用于中小企业的网络安全套件，集成了VPN、带宽管理、流量过滤、报告监控、防病毒保护和入侵防御等功能。然而，该漏洞的存在使得攻击者能够通过单次点击实现远程代码执行，进而获取防火墙的root权限。 漏洞细节 漏洞编号：CVE-2024-52875 CVSS评分：9.8（高危） 影响版本：KerioControl 9.2.5至9.4.5 漏洞类型：HTTP响应拆分攻击（HTTP Response Splitting）导致的反射型跨站脚本（XSS）和RCE。 漏洞利用方式 攻击者通过构造恶意URL，诱导管理员点击，利用防火墙固件升级功能上传恶意文件，从而获得root权限。该漏洞利用门槛低，甚至非专业黑客也可实施攻击。 影响范围 据The Shadowserver Foundation报告，目前全球有12,229个KerioControl防火墙实例暴露于该漏洞，主要集中在伊朗、美国、意大利、德国、俄罗斯、哈萨克斯坦、乌兹别克斯坦、法国、巴西和印度。 安全建议 尽快更新：GFI已于2024年12月19日发布9.4.5 Patch 1修复该漏洞，建议用户尽快升级至最新版本9.4.5 Patch 2（2025年1月31日发布），以获得额外的安全增强。 加强监控：鉴于该漏洞已被广泛利用，建议用户加强对网络流量和异常行为的监控。 该漏洞的发现和利用再次凸显了及时修补安全漏洞的重要性，尤其是对于关键的网络安全设备。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，据网络安全公司Intezer和Solis Security的研究报告，一个名为XE Group的黑客组织被发现利用VeraCore软件中的多个零日漏洞，部署Web后门并维持对受感染系统的持久性远程访问。 XE Group是一个自2010年活跃至今的网络犯罪团伙，可能起源于越南。该团伙最初以信用卡信息窃取和供应链攻击为主，但近年来已转向针对制造业和分销行业的供应链攻击，利用新的漏洞和高级技术实施信息窃取。 此次攻击涉及的漏洞包括： CVE-2024-57968（CVSS评分：9.9）：文件上传验证漏洞，允许远程认证用户将文件上传到未指定的文件夹（已在VeraCore 2024.4.2.1版本中修复）。 CVE-2025-25181（CVSS评分：5.8）：SQL注入漏洞，允许远程攻击者执行任意SQL命令（目前尚无补丁）。 研究人员发现，XE Group通过这些漏洞部署了ASPXSpy Web后门，用于未经授权地访问受感染系统，并在某些情况下自2020年起就开始利用CVE-2025-25181漏洞。这些Web后门具备文件系统枚举、文件窃取和压缩（使用7z工具）等功能，并且可以用来投放Meterpreter负载，尝试通过Windows套接字连接到攻击者控制的服务器（如“222.253.102[.]94:7979”）。 此外，该团伙还利用这些漏洞维持对受感染系统的长期访问。例如，XE Group在2020年入侵了一个组织的系统，并在2024年重新激活了多年前部署的Web后门，继续窃取敏感配置文件并尝试执行远程访问木马（RAT）。 XE Group的攻击手段不断演变，从早期的信用卡信息窃取转向利用零日漏洞实施更广泛的数据窃取，这标志着其攻击能力的提升。该团伙还利用定制化的ASPXSpy Web后门，通过伪装成图像文件的可执行文件来隐藏恶意行为。 研究人员指出，XE Group通过长期维持对系统的访问，展示了其对长期目标的承诺。通过攻击制造业和分销行业的供应链，XE Group不仅最大化了其行动的影响，还展示了其对系统性漏洞的深刻理解。 相关背景 CVE-2019-18935：该漏洞曾被英国和美国政府机构列为2021年最常被利用的漏洞之一，最近也被用于加载反向Shell并执行后续侦察命令。 CISA更新已知漏洞目录：美国网络安全和基础设施安全局（CISA）近期将5个漏洞加入其已知被利用漏洞（KEV）目录，其中包括7-Zip的Mark of the Web绕过漏洞（CVE-2025-0411）和Sophos XG防火墙缓冲区溢出漏洞（CVE-2020-15069）。 安全建议 使用VeraCore的组织应尽快更新至最新版本，并实施全面的安全控制措施，包括定期进行漏洞评估和监控异常行为。 针对零日漏洞的利用，企业需加强主动防御策略，以应对日益复杂的网络犯罪威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，Zimbra发布了软件更新，修复了其协作软件中的多个关键安全漏洞。如果这些漏洞被成功利用，可能会在某些条件下导致信息泄露。 其中一个漏洞被追踪为CVE-2025-25064，CVSS评分为9.8（满分10.0），是ZimbraSync服务SOAP端点中的SQL注入漏洞，影响10.0.12和10.1.4之前的版本。该漏洞源于对用户提供的参数缺乏足够的清理，攻击者可利用此漏洞注入任意SQL查询，通过“操纵请求中的特定参数”来获取电子邮件元数据。 Zimbra还修复了Zimbra经典Web客户端中的另一个关键漏洞，该漏洞涉及存储型跨站脚本（XSS）。该漏洞尚未分配CVE标识符。Zimbra在安全公告中表示，修复增强了输入清理并提升了安全性，相关问题已在9.0.0补丁44、10.0.13和10.1.5版本中得到解决。 此外，Zimbra还修复了CVE-2025-25065（CVSS评分：5.3），这是一个中等严重性的服务器端请求伪造（SSRF）漏洞，存在于RSS解析组件中，允许未经授权的重定向到内部网络端点。该漏洞已在9.0.0补丁43、10.0.12和10.1.4版本中得到修复。Zimbra建议客户尽快更新到最新版本，以获得最佳保护效果。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员观察，网络攻击者正在针对亚洲地区的互联网信息服务（IIS）服务器发起攻击，安装名为BadIIS的恶意软件，以实施搜索引擎优化（SEO）操纵活动。 趋势科技的研究人员泰德·李和伦纳特·贝尔梅霍在上周发布的分析报告中指出：“该活动很可能是出于经济动机，因为攻击者将用户重定向至非法赌博网站，表明他们利用BadIIS是为了谋取利润。” 此次攻击活动的目标包括印度、泰国、越南、菲律宾、新加坡、中国台湾、韩国、日本和巴西的IIS服务器，涉及政府、大学、科技公司和电信行业等多个领域。 攻击者通过向受感染服务器发送请求，可向用户推送篡改后的内容，包括将用户重定向至赌博网站，或连接到托管恶意软件或凭据收集页面的恶意服务器。 据推测，此次攻击活动可能与中国DragonRank威胁团伙有关。该团伙以使用SEO操纵手段传播BadIIS恶意软件而闻名，其活动曾在2024年被思科Talos记录。此外，DragonRank的活动还与ESET在2021年提到的“9号团伙”有关，后者利用受感染的IIS服务器提供代理服务并实施SEO欺诈。 趋势科技指出，此次检测到的恶意软件样本与“11号团伙”使用的变种存在相似之处，具有两种模式：一是通过篡改HTTP响应头信息实施SEO欺诈，二是向合法访问者的响应中注入可疑JavaScript代码。 研究人员表示：“BadIIS可以篡改来自网络服务器的HTTP响应头信息，它会检查收到的HTTP头中的‘用户代理’和‘来源’字段。如果这些字段包含特定的搜索引擎站点或关键词，BadIIS会将用户重定向至与非法在线赌博网站相关的页面，而不是合法网页。” 与此同时，Silent Push将中国Funnull内容分发网络（CDN）与一种名为“基础设施洗白”的行为联系起来。攻击者通过从亚马逊网络服务（AWS）和微软Azure等主流托管提供商处租用IP地址，用于托管犯罪网站。Funnull被指从亚马逊租用了超过1200个IP地址，从微软租用了近200个IP地址，这些恶意基础设施已被全部关停。然而，该公司表示：“Funnull每隔几周就会持续获取新的IP地址，很可能是通过欺诈或被盗账户获取这些IP地址，以映射到其CNAME。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据网络安全公司 Sucuri 报告，威胁行为者正在利用 Google Tag Manager（GTM）向基于 Magento 的电商网站部署信用卡窃取恶意软件。 这些恶意代码表面上看似用于网站分析和广告目的的常规 GTM 和 Google Analytics 脚本，但实际上包含了一个混淆的后门，能够为攻击者提供持续访问权限。截至发稿时，已有三个网站被发现感染了相关 GTM 标识符（GTM-MLHK2N68），低于 Sucuri 报告的六个。GTM 标识符是指包含各种跟踪代码（如 Google Analytics、Facebook Pixel）和在满足特定条件时触发的规则的容器。 进一步分析显示，恶意软件是从 Magento 数据库表 “cms_block.content” 中加载的，GTM 标签包含一个编码的 JavaScript 负载，用作信用卡窃取器。安全研究员 Puja Srivastava 表示：“该脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。” 恶意软件执行后，会从结账页面窃取信用卡信息并发送到外部服务器。这并非 GTM 首次被用于恶意目的。2018 年 4 月，Sucuri 曾揭露该工具被用于恶意广告活动。 此次事件发生在该公司详细描述另一场 WordPress 活动数周之后，该活动可能利用插件漏洞或受攻击的管理员账户安装恶意软件，将网站访客重定向至恶意 URL。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据《华盛顿邮报》报道（https://www.washingtonpost.com/technology/2025/02/07/apple-encryption-backdoor-uk/），英国政府已向苹果公司发出秘密法律要求，要求其提供访问加密 iCloud 账户的权限。 这项要求被称为“技术能力通知”（TCN），是该国《调查权力法》中一项有争议的条款。 执法部门通过TCN 获得权限，但同时要求不得通知受影响的个人账户，否则可能会面临刑事诉讼。 《华盛顿邮报》的报道将这一要求描述为创建一个“后门，允许（英国当局）检索全球任何苹果用户上传到云端的所有内容”，但英国政府辩解称，此类通知只是为了迫使科技公司保留遵守数据合法授权的能力。 2022 年 12 月，苹果为 iCloud 用户推出了可选的端到端加密 (E2EE)，尽管英国和美国执法机构抱怨此举将破坏打击恐怖主义和虐待儿童等严重犯罪的努力。 关于端到端加密的类似争论也很普遍，英国一位最资深的执法官员认为，Meta 于 2023 年 12 月转向 E2EE 消息传递是公司放弃保护儿童安全的责任。 科技公司一直主张并游说，替代安全程序可以让执法官员访问用户账户和聊天内容。执法官员则认为，此类元数据不符合针对最严重威胁采取法律行动的证据标准。 苹果和英国政府均未立即回应置评请求。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WwovEJuO783NqC_6YlhG4A 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 医院姐妹健康系统（Hospital Sisters Health System，简称 HSHS）通知超过 88.2 万名患者，2023 年 8 月的一次网络攻击导致数据泄露，暴露了他们的个人和健康信息。 HSHS 成立于 1875 年，与 2200 多名医生合作，拥有约 12000 名员工。该系统还在伊利诺伊州和威斯康星州运营着 15 家当地医院和医生诊所网络，其中包括两家儿童医院。 这家非营利医疗系统在发给受影响者的数据泄露通知中表示，事件发生在 2023 年 8 月 27 日，当时检测到攻击者已进入 HSHS 的网络。 安全漏洞发生后，其系统还受到了广泛故障的影响，导致伊利诺伊州和威斯康星州医院的 “几乎所有操作系统” 和电话系统瘫痪。HSHS 还聘请了外部安全专家调查此次攻击，评估其影响，并帮助其 IT 团队恢复受影响的系统。 “我们正在优先考虑患者安全，同时建立恢复流程。在第三方专家的支持下，我们正在尽快、安全地恢复系统，”HSHS 在 2024 年 9 月的一份声明中表示。“像我们这样的医疗系统在数千台服务器上运行数百个系统应用程序，因此恢复和调查工作需要一些时间才能完成。” 尽管此次事件和随后的故障有所有勒索软件攻击的迹象，但没有勒索软件组织声称对此负责。 经过法医调查，HSHS 发现攻击者在 2023 年 8 月 16 日至 8 月 27 日期间访问了受感染系统上的文件。 “此后，我们一直在审查这些文件，并在审查过程中陆续通知信息被发现的个人，”该系统表示。 威胁行为者在 HSHS 系统内访问的信息因每个受影响的个人而异，包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾照号码的组合。 尽管 HSHS 表示没有证据表明受害者的信息已被用于欺诈或身份盗窃，但警告受影响的个人监控其账户明细和信用报告中的可疑活动。该医疗系统还为受影响者提供了一年免费的 Equifax 信用监控服务。 当 BleepingComputer 今天早些时候联系 HSHS 发言人确认数据泄露是否由勒索软件攻击导致时，对方尚未立即回复。 上周，康涅狄格州医疗保健提供商社区健康中心（CHC）通知超过 100 万名患者数据泄露事件，而纽约血液中心（NYBC）—— 世界上最大的独立血液收集和分发组织之一 —— 表示勒索软件攻击迫使其重新安排了一些预约。 本月早些时候，联合健康（UnitedHealth）透露，去年 Change Healthcare 勒索软件攻击中约有 1.9 亿美国人的信息被盗，几乎是去年 10 月披露的 1 亿人的两倍。 去年 12 月下旬，美国卫生与公众服务部（HHS）提出了 HIPAA 更新，以应对大规模医疗安全漏洞激增的情况，旨在保护患者的健康数据。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta Platforms, Inc. 正面临一起严重的版权侵权诉讼，原告指控这家科技巨头使用了 81.7 TB 的盗版书籍来训练其 Llama AI 模型。 这起诉讼是在美国加利福尼亚州北区联邦地区法院提起的，指控 Meta 从 Z-Library 和 LibGen 等来源非法下载了受版权保护的材料，尽管公司内部对这些行为的合法性和道德性存在担忧。 以作家 Richard Kadrey 为代表的原告团队对一项审前证据开示裁决提出异议，认为该裁决限制了他们收集关键证据的能力。 他们声称，Meta 在 2024 年 12 月 13 日距离事实发现阶段结束仅剩几小时时，披露了 2000 多份文件，这些文件显示员工承认使用盗版材料进行 AI 训练。 据报道，新解封的电子邮件揭示了 Meta 在版权诉讼中面临的最有力证据，这些证据由书籍作者提供，他们声称公司非法使用盗版书籍训练 AI 模型。 在披露的文件中，包括内部通信，承认像 LibGen 这样的数据库是“盗版”的，并表达了对使用这些数据库的道德担忧。 一名员工表示：“我觉得使用盗版材料应该超出我们的道德底线。” 另一份文件显示，Meta 决定使用 LibGen 已经上报到首席执行官马克・扎克伯格。 作者们声称，关于下载盗版内容的内部电子邮件证明 Meta 知道这是非法的。他们指出，员工 Bashlykov 的警告被忽视了。 Meta 没有停止，反而试图掩盖其行为，据称在 2024 年 4 月之前，秘密从暗网图书馆下载并分享了数 TB 的数据。 大规模数据获取 原告指控 Meta 近年来从暗网图书馆下载了至少 81.7 TB 的数据，其中包括通过 Anna’s Archive 从 Z-Library 和 LibGen 获取的 35.7 TB 数据。 这些数据 reportedly 包括数千万受版权保护的作品，用于训练 Llama 模型。这种所谓盗版行为的规模远远超过了许多之前的知识产权盗窃案件。 原告对最近一项证据开示裁决的几个方面提出挑战： 重新开启证词：他们认为，迟来的披露文件与 Meta 关键证人之前的证词相矛盾，有理由重新开启证词，以询问他们关于这些新发现的内容。 下载数据：原告希望获得 Meta 的下载日志和对等共享记录，以证明下载和重新分发了多少盗版材料。 Llama 4 和 5 训练数据集：原告声称，用于即将推出的 Llama 版本的数据集与他们的案件相关，应该被提供。 犯罪欺诈例外：他们指控 Meta 的律师参与了使用盗版材料的决定，尽管知道这是非法的，这需要根据犯罪欺诈例外对特权通信进行庭内审查。 这起案件可能对科技行业产生深远影响，特别是关于在 AI 开发中使用受版权保护材料的道德和法律标准。 如果原告成功，这可能会为追究公司在机器学习模型中使用未经授权内容的责任设定先例。 Meta 尚未对这些最新指控公开回应。法院考虑原告异议的听证会日期尚未安排。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Hugging Face 平台上存在两个恶意机器学习（ML）模型，这些模型利用一种不寻常的“损坏”Pickle 文件技术来规避检测。 “从上述 PyTorch 存档中提取的 Pickle 文件显示，文件开头包含恶意 Python 内容，”ReversingLabs 研究员 Karlo Zanki 在一份与 The Hacker News 共享的报告中表示。“在这两种情况下，恶意负载都是一个典型的平台感知型反向 shell，连接到硬编码的 IP 地址。” 这种方法被称为 nullifAI，因为它试图绕过现有的安全防护措施，避免被识别为恶意模型。以下是 Hugging Face 上的模型存储库列表： glockr1/ballr7 who-r-u0000/0000000000000000000000000000000000000 这些模型更像是概念验证（PoC），而不是实际的供应链攻击场景。 Pickle 序列化格式常用于分发机器学习模型，但因其存在安全风险而屡遭诟病，因为它允许在加载和反序列化时执行任意代码。 被检测到的两个模型存储在 PyTorch 格式中，实际上就是压缩的 Pickle 文件。尽管 PyTorch 默认使用 ZIP 格式进行压缩，但这些模型使用的是 7z 格式。这种行为使得模型能够避开 Hugging Face 用于检测可疑 Pickle 文件的 Picklescan 工具。 “这个 Pickle 文件的一个有趣之处在于，对象序列化——Pickle 文件的目的——在恶意负载执行后不久就会中断，导致对象反编译失败，”Zanki 说。 进一步分析发现，由于 Picklescan 和反序列化工作方式之间的差异，即使工具抛出错误消息，这些损坏的 Pickle 文件仍然可以部分反序列化，从而执行恶意代码。该开源工具随后已更新以修复此漏洞。 “这种行为的解释是，Pickle 文件的对象反序列化是按顺序进行的，”Zanki 指出。“Pickle 操作码在遇到时会被执行，直到所有操作码执行完毕或遇到错误指令。在发现的模型中，由于恶意负载插入在 Pickle 流的开头，模型的执行不会被 Hugging Face 现有的安全扫描工具检测为不安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

科技媒体 decrypt 2 月 8 日发布博文，报道称有黑客在暗网论坛发帖，声称持有 2000 万 OpenAI 用户账户的登录凭据，并开始公开兜售。 OpenAI 公司表示目前已紧急启动调查，初步排查证据表明其系统并未遭受攻击，但用户仍需警惕潜在风险，并采取必要安全措施。 一位匿名黑客在暗网论坛发布俄语信息，声称拥有超过 2000 万个 OpenAI 账户的访问代码，并称之为“金矿”，还提供了包含电子邮件地址和密码的样本数据。IT之家附上图片如下： 有安全研究人员对样本数据进行了验证，发现其中至少有两个电子邮件地址无效，该用户在论坛上的其他帖子也与窃取日志有关。目前相关帖子已被删除，这让此次泄露事件的真实性存疑。 OpenAI 已发表声明，表示正在认真对待此事，但尚未发现任何证据表明 OpenAI 系统遭到入侵。即使此次事件最终被证实为虚惊一场，用户也应提高安全意识，采取多种措施保护自己的 OpenAI 账户。 转自军哥网络安全读报，原文链接：https://www.ithome.com/0/829/406.htm 封面来源于网络，如有侵权请联系删除

Sysdig的研究揭示了一个令人担忧的现象：一个针对大型语言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）运营商向攻击者提供未经授权的被盗账户访问权限，从而获取巨额利润。本文将深入剖析攻击者如何窃取访问权限，并利用LLM进行牟利。 DeepSeek遭遇LLMjacking攻击，云成本急剧飙升 自2024年5月首次被发现以来，LLMjacking攻击呈现出迅速演变的趋势，攻击范围不断扩展至新的大型语言模型，例如DeepSeek。据报道，DeepSeek-V3发布仅数天后，就被集成到ORP实例中，这充分展示了攻击者惊人的适应能力。 LLMjacking的驱动因素在于基于云的LLM使用相关的高成本。攻击者通过入侵账户，利用这些昂贵的服务而不支付费用。根据TRT的最新发现，LLMjacking已经成为一种成熟的攻击向量，线上社区积极分享相关工具和技术。 TRT观察到LLMjacking的牟利行为有所增加，攻击者通过ORP出售LLM访问权限。其中一个实例，根据报道每月售价为30美元。然而，运营商往往低估了与LLM使用相关的成本。研究人员注意到，在一个实例中，仅4.5天的运行时间就产生了近5万美元的成本，其中Claude 3 Opus是最昂贵的。 攻击者运营的一个ORP实例（通过Sysdig） 资源利用的规模 在观察到的ORP中，总令牌（LLM生成的单词、字符集或单词/标点符号的组合）的使用量超过20亿，突显了资源利用的规模之大。受害者是凭证被盗用的合法账户持有者。 ORP使用仍然是LLMjacking的流行方法。ORP服务器作为各种LLM的反向代理，可以通过Nginx或TryCloudflare等动态域名暴露，有效地掩盖攻击者的来源。这些代理通常包含来自不同提供商（如OpenAI、Google AI和Mistral AI）的众多被盗API密钥，使攻击者能够向他人提供LLM访问权限。 研究人员在博客文章中指出：“Sysdig TRT发现超过十几个代理服务器使用被盗凭证跨多个不同服务，包括OpenAI、AWS和Azure。LLM的高成本是网络犯罪分子选择窃取凭证而不是支付LLM服务费用的原因。” 在线社区对LLMjacking的推动 4chan和Discord等在线社区通过ORP促进了LLM访问的共享。Rentry.co被用于共享工具和服务。研究人员在蜜罐环境中的LLM提示日志中发现了许多ORP代理，其中一些使用自定义域名，另一些则使用TryCloudflare隧道，最终追溯到攻击者控制的服务器。 凭证盗窃：LLMjacking的关键环节 凭证盗窃是LLMjacking的一个重要方面。攻击者针对易受攻击的服务，使用验证脚本来识别访问ML服务的凭证。公共存储库也提供了暴露的凭证。定制的ORP，通常为隐私和隐蔽性而修改，被用于访问被盗账户。 应对LLMjacking：关键措施 为应对LLMjacking攻击，保护访问密钥并实施强大的身份管理至关重要。最佳实践包括避免硬编码凭证、使用临时凭证、定期轮换访问密钥，以及监控暴露的凭证和可疑账户行为。   转自FREEBUF，原文链接：https://www.freebuf.com/news/421317.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： IBM 安全验证目录服务器容器存在两个漏洞，可能允许攻击者获得未经授权的访问权限并执行命令。IBM 已发布安全公告，详细说明了这些漏洞。 公告中提到的两个漏洞是 CVE-2024-49814 和 CVE-2024-51450，影响 IBM 安全验证目录 10.0.0 至 10.0.3 版本。 CVE-2024-49814 是一个本地权限提升漏洞，可能允许经过身份验证的用户获得更高权限，并有可能控制整个系统。该漏洞的 CVSS 基础评分为 7.8，表明其严重性较高。 CVE-2024-51450 是一个远程命令注入漏洞，可能允许攻击者通过发送特制请求在系统上执行任意命令。该漏洞的 CVSS 基础评分为 9.1，表明其严重性为关键级别。 “IBM 安全验证目录可能允许远程经过身份验证的攻击者通过发送特制请求在系统上执行任意命令，”公告中指出。 IBM 强烈建议客户更新到最新版本的软件，以修复这些漏洞。更新包括解决已识别安全缺陷的修复程序，并增强了系统的整体安全性。 使用 IBM 安全验证目录的组织应尽快应用更新，以保护其系统免受潜在攻击。优先考虑漏洞管理并确保及时应用安全更新，对于降低被利用的风险至关重要。   消息来源：Security Online, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场利用近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，试图猜测多种网络设备的登录凭证，包括Palo Alto Networks公司、Ivanti 公司以及 SonicWall 公司的设备。 暴力破解攻击是指威胁分子尝试用大量用户名和密码反复登录账户或设备，直到找到正确的组合。一旦他们获得了正确的登录凭证，这些威胁分子就可以利用这些凭证来劫持设备或获取网络访问权限。 据威胁监测平台 “影子服务器基金会”（The Shadowserver Foundation）称，自上个月起，这种暴力破解攻击一直在持续，每天动用近 280 万个源 IP 地址来实施攻击。 其中大多数（110 万个）来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但总体上参与这一活动的来源国家数量非常多。 这些是诸如防火墙、VPN、网关以及其他安全设备之类的边缘安全设备，通常暴露在互联网上以方便远程访问。 发起这些攻击的设备大多是 MikroTik、华为、思科、Boa 和中兴的路由器以及物联网设备，这些设备通常被大型恶意软件僵尸网络攻陷。 “影子服务器基金会” 在给 BleepingComputer 的一份声明中证实，这一活动已经持续了一段时间，但最近规模大幅扩大。 “影子服务器” 还表示，攻击 IP 地址分布在许多网络和自治系统中，很可能是僵尸网络或与住宅代理网络相关的某种操作。 住宅代理是互联网服务提供商（ISP）分配给消费者客户的 IP 地址，因其在以下方面用途广泛而备受青睐：网络犯罪、网页抓取、地理限制绕过、广告验证、球鞋 / 票务倒卖等。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通家庭用户，而非机器人、数据抓取者或黑客。 此次攻击所针对的网关设备，如防火墙等，可能会被用作住宅代理操作的代理出口节点，通过组织的企业网络路由恶意流量。 这些节点被认为是 “高质量” 的，因为组织通常声誉良好，攻击更难被发现和阻止。 保护边缘设备免受暴力破解攻击的措施包括：将默认管理员密码更改为强密码且独一无二的密码、强制执行多因素身份验证（MFA）、使用可信 IP 的允许列表，以及如果不需要则禁用网络管理界面。 最后，对这些设备应用最新的固件和安全更新至关重要，因为这可以消除威胁分子可利用来获得初始访问权限的漏洞。 去年 4 月，思科曾警告称，针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动在全球范围内展开。 去年 12 月，Citrix 也曾警告称，针对 Citrix Netscaler 设备的密码喷射攻击在全球范围内发生。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦民用机构已被下令修补影响 Trimble Cityworks 的漏洞，这是一个被许多政府用来管理公共基础设施的流行工具。 英国工程巨头 Trimble 周四向伦敦证券交易所（LSE）提交了一份简短通知，称其成为了网络攻击的受害者。 网络安全和基础设施安全局（CISA）周四与 Trimble 一起发布了一则关于 CVE-2025-0994 的警告，确认该漏洞正被黑客利用。联邦民用机构需在 2 月 28 日前修补该漏洞。 Trimble Cityworks 是一个资产管理系统，被许多地方和联邦政府机构用来管理机场、公共事业、市政和县的基础设施资产。 CISA 表示，该漏洞允许恶意行为者“可能对客户的 Microsoft Internet Information Services (IIS) 网络服务器进行远程代码执行（RCE）”。 在给客户的一封信中，该公司表示，这一通知是在“调查有关未经授权尝试访问特定客户 Cityworks 部署的报告”之后发布的。 1 月 29 日发布了一个补丁，公司列出了客户需要采取的几项其他措施，以减少数据暴露的风险。客户应限制与 Cityworks 相关的权限，该系统“不应在任何站点上以本地或域级管理员权限运行”。 公司还在信中提供了妥协指标。CISA 表示，Trimble 向他们报告了该漏洞，赛门铁克威胁猎手团队为他们发布的关于该漏洞的咨询做出了贡献。 该漏洞的 CVSS v4 严重性评分为 8.4（满分 10）。所有 15.8.9 之前的 Cityworks 版本都受到该漏洞的影响。 Trimble 未回应关于黑客在利用 CVE-2025-0994 后采取了什么行动或黑客可能基于何处的置评请求。 Trimble 是一家总部位于科罗拉多州的大型技术供应商，在大约 40 个国家拥有超过 11000 名员工。该公司在上一财季报告的收入为 8.758 亿美元。 Cityworks 工具允许客户从一个平台管理关键基础设施资产，并组织检查、工单、许可证、运营等。 大约一年前，农业设备制造商 AGCO 以 20 亿美元现金收购了 Trimble 农业业务的 85% 股权。AGCO 在 2022 年遭受了一次勒索软件攻击，影响了其业务运营。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国工程巨头 IMI 周四向伦敦证券交易所（LSE）提交了一份简短通知，称其成为了网络攻击的受害者。 “[IMI] 目前正在应对一起涉及公司系统未经授权访问的网络安全事件，”该公司向 LSE 表示。 该公司尚未透露其面临的事件类型，但表示已聘请外部网络安全专家进行调查并控制攻击。 “与此同时，公司正在采取必要措施以遵守监管义务，”IMI 说。 这家工程巨头表示，将在适当的时候提供更多信息，并在回复 SecurityWeek 的询问时拒绝透露有关事件性质和影响的进一步细节。 此次攻击的披露大约是在另一家英国工程公司史密斯集团（Smiths Group）披露影响其某些系统的网络攻击一周后。 “我们目前正在进行一起涉及系统未经授权访问的网络事件。我们一旦意识到这一活动，就迅速隔离了受影响的系统并启动了业务连续性计划，”史密斯集团上周表示。 目前尚不清楚这两起攻击中是否使用了勒索软件，以及黑客是否试图对这两家工程巨头进行敲诈。SecurityWeek 尚未看到任何已知的勒索软件组织声称对这些事件负责。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文