HackerNews

HackerNews 编译，转载请注明出处： 拉撒路集团被发现开展了一项积极活动，该活动利用加密货币和旅游行业的虚假领英工作机会提供恶意软件，该软件能够感染Windows、macOS和Linux操作系统。 据网络安全公司Bitdefender称，该骗局始于在专业社交媒体网络上发送的一条消息，以远程工作、兼职灵活性和高薪为诱饵。 罗马尼亚这家公司在与The Hacker News分享的一份报告中称：“一旦目标对象表现出兴趣，‘招聘流程’随即展开，骗子会要求提供简历，甚至要求提供个人GitHub仓库链接。” “尽管这些要求看似无害，但可能暗藏祸心，比如收集个人数据，或为互动披上合法的外衣。” 在获取所需信息后，攻击进入下一阶段。此时，攻击者伪装成招聘人员，分享一个GitHub或Bitbucket仓库链接，内含一个所谓的去中心化交易所（DEX）项目的最小可行性产品（MVP）版本，并指示受害者查看并给出反馈。 代码中包含一个模糊脚本，该脚本被配置为从api.npoint[.]io获取下一阶段的有效载荷，这是一个跨平台JavaScript信息窃取软件，能够从受害者浏览器上安装的各种加密货币钱包扩展中收集数据。 该窃取软件还充当加载程序，用于获取一个基于Python的后门程序，该程序负责监控剪贴板内容变化、保持持久远程访问，并投放其他恶意软件。 值得注意的是，Bitdefender记录的手法与已知攻击活动集群“传染性面试”（又称DeceptiveDevelopment和DEV#POPPER）存在重叠，该集群旨在投放名为BeaverTail的JavaScript窃取软件和名为InvisibleFerret的Python植入程序。 通过Python恶意软件部署的恶意软件是一个.NET二进制文件，可以下载并启动TOR代理服务器以与命令和控制（C2）服务器通信、渗出基本系统信息，并投放另一个有效载荷，进而窃取敏感数据、记录键盘输入和启动加密货币挖矿程序。 Bitdefender表示：“攻击者的感染链十分复杂，包含用多种编程语言编写的恶意软件，并使用多种技术，如递归解码并执行自身的多层Python脚本、首先收集浏览器数据再转向其他有效载荷的JavaScript窃取软件，以及能够禁用安全工具、配置Tor代理和启动加密货币挖矿程序的.NET级联加载程序。” 领英和Reddit上的报告显示，这些攻击活动相当普遍，且整体攻击链仅有小幅调整。在某些情况下，要求候选人克隆一个Web3仓库并在本地运行，作为面试流程的一部分；而在其他情况下，则指示他们修复代码中故意引入的错误。 其中一个有问题的Bitbucket仓库涉及一个名为“miketoken_v2”的项目，该项目现已无法在代码托管平台上访问。 就在前一天，SentinelOne披露称，“传染性面试”活动正被用于投放另一个代号为FlexibleFerret的恶意软件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊宣布了针对 Redshift 的关键安全增强功能，Redshift 是一种受欢迎的数据仓库解决方案，这些增强功能旨在防止因配置错误和不安全的默认设置导致的数据泄露。 Redshift 被企业广泛用于商业智能和大数据分析，与 Google BigQuery、Snowflake 和 Azure Synapse Analytics 竞争。它因其在处理PB级数据时的效率和性能、可扩展性以及成本效益而受到重视。 然而，配置不当和宽松的默认设置导致了大规模数据泄露事件，例如 2022 年 10 月的 Medibank 勒索软件事件，据报道该事件涉及对公司 Redshift 平台的访问。 上周，AWS 宣布将为新创建的预配置集群实施三项安全默认设置，以显著提升平台的数据安全性，并最大限度地减少灾难性数据泄露的可能性。 第一项措施是默认限制新集群的公共访问，将其限制在用户的虚拟私有云（VPC）内，并防止直接外部访问。如果需要公共访问，必须明确启用，并建议用户使用安全组和网络访问控制列表（ACL）来限制访问。 第二项更改是默认为所有集群启用加密，以确保即使未授权访问也不会导致数据泄露。用户现在必须指定一个加密密钥，否则集群将使用 AWS 所有的密钥管理服务（KMS）密钥进行加密。依赖未加密集群进行数据共享的用户必须确保生产和消费集群都已加密。未能调整这些工作流程可能会在更改生效时导致中断。 第三项更改是默认为所有新集群和恢复的集群强制使用安全 SSL（TLS）连接，以防止数据拦截和“中间人”攻击。使用自定义参数组的用户被鼓励手动启用 SSL 以增强安全性。 需要注意的是，这些更改将影响新创建的预配置集群、无服务器工作组和恢复的集群，因此现有设置不会立即受到影响。然而，AWS 建议客户根据需要审查和更新其配置，以符合新的安全默认设置，避免运营中断。 “我们建议所有 Amazon Redshift 客户审查他们当前的配置，并考虑在他们的应用程序中实施新的安全措施，”公告中写道。“这些安全增强功能可能会对依赖公共访问、未加密集群或非 SSL 连接的现有工作流程产生影响。” 寻求指导和支持的客户被要求阅读在线“管理指南”或联系 AWS 支持。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司VulnCheck最新报告显示，2024年野外被利用的CVE数量攀升至768个，较2023年的639个增长20%，创下年度新高。 约23.6%的KEV在公开披露当日或之前就已被武器化，这一比例虽较2023年的26.8%略有下降，却印证了漏洞在其生命周期内随时可能遭受攻击的行业规律。 VulnCheck安全研究员Patrick Garrity在接受《黑客新闻》采访时透露：”2024年公布的CVE中，有1%在发布时就被确认遭到野外利用。考虑到漏洞利用常存在滞后性，实际数字预计会持续攀升。”这一发现基于该公司持续追踪的漏洞生命周期数据。 值得关注的是，报告发布的两个月前，VulnCheck曾披露2023年度最常被利用的15个高危漏洞中，有15个中国黑客组织（占已命名威胁行为体的四分之一）涉及至少一个漏洞的利用。 其中，Log4j漏洞（CVE-2021-44228）以关联31个威胁组织位居榜首，目前仍有65,245台主机存在潜在风险。 经测算，全球约40万台联网设备因Apache、Atlassian等10家主流厂商产品的15个安全缺陷面临攻击威胁。这些涉及企业包括思科、微软、Fortinet等行业巨头，暴露出广泛的企业级安全风险。 对此，VulnCheck提出五点防护建议：企业需系统评估技术暴露面、建立风险可视化机制、强化威胁情报应用、完善补丁管理体系，并尽可能减少相关设备的互联网暴露面。该建议直指当前企业网络安全建设的核心痛点，为应对日益复杂的漏洞攻击提供了操作性框架。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌日前发布安全更新，修复安卓操作系统中47项安全漏洞，其中一项已被证实遭到实际攻击。 本次修复的核心漏洞CVE-2024-53104（CVSS评分7.8）属于USB视频类（UVC）驱动内核组件的权限提升漏洞。 谷歌表示，攻击者可通过物理接触设备实施本地提权攻击，且已监测到该漏洞存在“有限范围的定向攻击”。 技术溯源显示，该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。 Linux内核维护者Greg Kroah-Hartman在2024年12月初披露，该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题，可能导致内存损坏、程序崩溃或任意代码执行。 安全机构GrapheneOS分析指出，考虑到该漏洞涉及物理提权特性，不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569（CVSS评分9.8），该漏洞同样存在内存损坏风险。 值得注意的是，谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制，以便设备厂商灵活处理安卓系统通用漏洞。 “我们鼓励 Android 合作伙伴修复本公告中的所有问题，并使用最新的安全补丁级别，”谷歌表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AMD 的安全加密虚拟化（SEV）功能中披露了一个安全漏洞，可能允许攻击者在特定条件下加载恶意 CPU 微代码。 该漏洞被追踪为 CVE-2024-56161，CVSS 评分为 7.2，表明其严重性较高。 AMD 在一份咨询报告中表示：“AMD CPU ROM 微代码补丁加载器中的签名验证不当，可能允许具有本地管理员权限的攻击者加载恶意 CPU 微代码，从而导致运行在 AMD SEV-SNP 下的机密客体的机密性和完整性受损。” SEV 是一项安全功能，使用每个虚拟机（VM）的唯一密钥来隔离虚拟机和 hypervisor。SNP（安全嵌套分页）结合了内存完整性保护，以创建一个隔离的执行环境，并防范基于 hypervisor 的攻击。 AMD 表示：“SEV-SNP 引入了几个额外的可选安全增强功能，旨在支持额外的 VM 使用模型，提供更强的中断行为保护，并增加对最近披露的侧信道攻击的防护。” 在另一份公告中，Google 指出 CVE-2024-56161 是由于微代码更新的签名验证中使用了不安全的哈希函数，这为攻击者可能破坏机密计算工作负载打开了大门。 该公司还发布了一个测试有效载荷来演示该漏洞，但额外的技术细节将在一个月后公布，以便有足够的时间让修复措施在“深层供应链”中得到推广。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Trend Micro安全研究员Peter Girnus称，7-Zip归档工具中的一个最近修补的安全漏洞（CVE-2025-0411，CVSS评分为7.0）被野外利用来传递SmokeLoader恶意软件。该漏洞允许远程攻击者绕过网络标记（MotW）保护，并以当前用户的身份执行任意代码。7-Zip在2024年11月发布的24.09版本中解决了这个问题。 “俄罗斯网络犯罪集团通过鱼叉式网络钓鱼活动积极利用该漏洞，使用同形异义攻击来伪造文档扩展名，欺骗用户和Windows操作系统执行恶意文件。”Girnus说。 据怀疑，CVE-2025-0411可能被武器化，用于针对乌克兰的政府和非政府组织，作为俄乌冲突背景下的网络间谍活动的一部分。 MotW是微软在Windows中实现的一项安全功能，旨在防止从互联网下载的文件在未通过Microsoft Defender SmartScreen进一步检查的情况下自动执行。 CVE-2025-0411通过使用7-Zip进行双重归档来绕过MotW，即创建一个归档文件，然后再创建一个该归档文件的归档文件，以隐藏恶意负载。 “CVE-2025-0411的根本原因是，在24.09版本之前，7-Zip没有正确地将MotW保护传播到双重封装的归档内容，”Girnus解释说。“这允许威胁行为者创建包含恶意脚本或可执行文件的归档文件，这些文件不会受到MotW保护，使Windows用户容易受到攻击。” 利用该漏洞的零日攻击最早在2024年9月25日被检测到，感染序列导致了SmokeLoader，这是一种多次用于针对乌克兰的加载器恶意软件。 起点是一封包含特制归档文件的网络钓鱼电子邮件，该文件使用同形异义攻击将内部ZIP归档文件伪装成Microsoft Word文档文件，从而触发漏洞。 据Trend Micro称，这些网络钓鱼邮件是从与乌克兰政府机构和商业账户相关的电子邮件地址发送的，目标是市政组织和企业，这表明这些账户之前已被攻陷。 “这些被攻陷的电子邮件账户为发送给目标的邮件增添了真实性，操纵潜在受害者信任内容及其发件人，”Girnus指出。 这种方法导致执行ZIP归档文件中的互联网快捷方式（.URL）文件，该文件指向攻击者控制的服务器，该服务器托管了另一个ZIP文件。新下载的ZIP文件包含伪装成PDF文档的SmokeLoader可执行文件。 至少有九个乌克兰政府实体和其他组织被评估为受到该活动的影响，包括司法部、基辅公共交通服务、基辅供水公司和市议会。 鉴于CVE-2025-0411正在被积极利用，建议用户更新到最新版本，实施电子邮件过滤功能以阻止网络钓鱼尝试，并禁用来自不受信任来源的文件执行。 “我们在此次活动中针对和受影响的组织中注意到一个有趣的收获是小型地方政府机构，”Girnus说。“这些组织通常面临巨大的网络压力，但往往被忽视，缺乏大型政府机构的网络安全意识和资源。这些较小的组织可以成为威胁行为者转向较大政府机构的有价值支点。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，针对 Go 生态系统的软件供应链攻击中出现了一种恶意包，该包能够使攻击者远程访问受感染系统。 据 Socket 称，该包名为 github.com/boltdb-go/bolt，是对合法 BoltDB 数据库模块（github.com/boltdb/bolt）的拼写混淆。恶意版本（1.3.1）于 2021 年 11 月发布到 GitHub，随后被 Go 模块镜像服务无限期缓存。 安全研究人员基里尔・博伊琴科（Kirill Boychenko）在分析中表示：“一旦安装，该后门包将授予威胁行为者对受感染系统的远程访问权限，使其能够执行任意命令。” Socket 表示，这一事件标志着恶意行为者最早利用 Go 模块镜像对模块的无限期缓存来欺骗用户下载该包的案例之一。随后，攻击者修改了源代码仓库中的 Git 标签，将其重定向到良性版本。 这种欺骗手段确保了手动审核 GitHub 代码仓库时不会发现任何恶意内容，而缓存机制则意味着不知情的开发人员使用 go CLI 安装该包时，仍会下载后门版本。 博伊琴科说：“一旦模块版本被缓存，即使原始源代码后来被修改，它仍然可以通过 Go 模块代理访问。虽然这种设计对合法使用场景有益，但威胁行为者利用它在后续对代码仓库的修改后，仍能持续分发恶意代码。” “由于不可变模块既提供安全优势，也存在潜在的滥用途径，开发人员和安全团队应警惕利用缓存模块版本来逃避检测的攻击。” 与此同时，Cycode 详细披露了三个恶意 npm 包——serve-static-corell、openssl-node 和 next-refresh-token，这些包包含隐藏代码，用于收集系统元数据并在受感染主机上运行由远程服务器（“8.152.163[.]60”）发出的任意命令。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Pwn2Own Automotive 2025黑客大赛的第二天，安全研究人员两次攻破了特斯拉的Wall Connector电动汽车充电器。 此外，他们还发现了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA电动汽车充电器，以及Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500车载信息娱乐系统（IVI）中的23个零日漏洞。 PHP Hooligans团队率先利用未检查最小值的数字范围比较零日漏洞攻破了特斯拉Wall Connector，随后Synacktiv团队也通过充电连接器攻破了特斯拉的电动汽车充电器，而这种攻击方式此前从未公开演示过。 当天，在特斯拉Wall Connector的黑客攻击尝试中，发生了两次漏洞碰撞：一次由PCAutomotive团队发起，另一次由Summoning团队的Sina Kheirkhah发起，他利用了两个已知漏洞的漏洞链。 根据Pwn2Own Tokyo 2025大赛规则，比赛期间所有目标设备都必须安装所有安全更新并运行最新的操作系统版本。 在比赛第二天，趋势科技的零日漏洞计划（Zero Day Initiative）为23个零日漏洞颁发了335,500美元的现金奖励。目前，Sina Kheirkhah在“Pwn大师”排名中领先。 在Pwn2Own Automotive大赛首日，安全研究人员利用了16个独特的零日漏洞，并获得了382,750美元的现金奖励。比赛结束后，供应商将有90天的时间开发和发布安全补丁，然后ZDI才会公开披露这些零日漏洞。 Pwn2Own Automotive 2025黑客大赛将于1月22日至1月24日在日本东京举行的Automotive World大会上，专注于汽车技术的攻击。 黑客将瞄准汽车操作系统（如Automotive Grade Linux、Android Automotive OS和BlackBerry QNX）、电动汽车充电器和车载信息娱乐系统。 尽管特斯拉还提供了Model 3/Y（基于Ryzen）的等效台式设备，但在比赛日程公布之前，没有安全研究人员注册尝试攻击该公司的Wall Connector。第二天的日程安排和每项挑战的结果也可在此处查看。 一年前，在首届Pwn2Own Automotive东京大赛上，安全研究人员因两次攻破特斯拉并利用多个电动汽车系统中的49个零日漏洞，获得了1,323,750美元的奖励。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： QNAP已修复六项rsync漏洞，这些漏洞可能导致攻击者在未打补丁的网络附加存储（NAS）设备上执行远程代码。 Rsync是一款开源文件同步工具，支持通过其守护进程进行直接文件同步、通过SSH进行SSH传输以及节省时间和带宽的增量传输。它被Rclone、DeltaCopy、ChronoSync等许多备份解决方案广泛使用，同时也应用于云和服务器管理操作以及公共文件分发。 这些漏洞被追踪为CVE-2024-12084（堆缓冲区溢出）、CVE-2024-12085（未初始化堆栈导致的信息泄露）、CVE-2024-12086（服务器泄露任意客户端文件）、CVE-2024-12087（通过–inc-recursive选项的路径遍历）、CVE-2024-12088（绕过–safe-links选项）和CVE-2024-12747（符号链接竞态条件）。 QNAP表示，这些漏洞影响了其数据备份和灾难恢复解决方案HBS 3 Hybrid Backup Sync 25.1.x，该方案支持本地、远程和云存储服务。 在周四发布的安全公告中，QNAP表示已在HBS 3 Hybrid Backup Sync 25.1.4.952中修复了这些漏洞，并建议客户将软件更新到最新版本。 要在您的NAS设备上更新Hybrid Backup Sync安装，您需要： 以管理员身份登录QTS或QuTS hero。 打开App Center并搜索HBS 3 Hybrid Backup Sync。 等待HBS 3 Hybrid Backup Sync出现在搜索结果中。 点击“更新”，然后在后续确认消息中点击“确定”。 这些rsync漏洞可以组合利用，形成导致远程系统妥协的利用链。攻击者仅需要对易受攻击的服务器拥有匿名读取访问权限。 “当组合利用时，前两个漏洞（堆缓冲区溢出和信息泄露）允许客户端在运行Rsync服务器的设备上执行任意代码，”CERT/CC在rsync 3.4.0发布安全修复的一周前发出警告。“客户端仅需要对服务器拥有匿名读取访问权限，例如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。” Shodan搜索结果显示，有70多万个IP地址暴露了rsync服务器。然而，尚不清楚其中有多少容易受到利用这些安全漏洞的攻击，因为成功利用需要有效的凭据或配置为允许匿名连接的服务器。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在分发近1000个假冒Reddit和WeTransfer文件共享服务的网页，这些网页会诱导用户下载Lumma Stealer恶意软件。 在假冒网页上，威胁行为体滥用Reddit品牌，展示一个关于特定话题的虚假讨论线程。线程创建者请求帮助下载特定工具，另一名用户则通过WeTransfer上传该工具并分享链接，第三名用户表示感谢，以使整个过程看似合法。 假冒Reddit站点（来源：BleepingComputer） 不明真相的受害者点击链接后，会被带到一个模仿WeTransfer流行文件共享服务界面的假冒网站。点击“下载”按钮后，用户会被引导至“weighcobbweo[.]top”上托管的Lumma Stealer有效载荷。 此次活动中使用的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 参与此次活动的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 假冒WeTransfer门户（来源：BleepingComputer） Sekoia研究员crep1x发现了这些假冒网站，并分享了参与此次活动的完整网页列表。总共有529个假冒Reddit的页面和407个假冒WeTransfer官方服务的下载页面。 该研究员告诉BleepingComputer，他无法获取感染链先前阶段的任何线索，但使用的特定话题表明有一定的精心策划。 此次攻击可能始于恶意广告、搜索引擎中毒、恶意网站、社交媒体上的直接消息和其他手段。 一年前，同一位研究员发现了一场类似的活动，其中1300个网站滥用AnyDesk品牌来推广Vidar Stealer恶意软件。 信息窃取恶意软件的风险 Lumma Stealer是一款功能强大的工具，具有先进的逃避和数据窃取机制。该恶意软件被出售给黑客，黑客通过GitHub评论、裸照生成器网站和恶意广告等多种方式分发。 信息窃取恶意软件可以收集存储在网页浏览器中的密码和会话令牌等信息，这些信息可用于在不知道凭据的情况下劫持账户。 此类威胁通常用于从公司窃取敏感登录数据，而这些数据通常会在黑客论坛上出售。 最近，信息窃取软件对PowerSchool、HotTopic、CircleCI和Snowflake等公司发动了高影响力攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体，该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。 这家科技巨头的云部门在其第11期《威胁地平线报告》中表示：“该行为体从事了多种威胁活动，包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。” TRIPLESTRENGTH从事三类恶意攻击，包括非法加密货币挖掘、勒索软件和敲诈，并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。 目标云实例的初步访问是通过被盗的凭证和cookie实现的，其中一些源自Raccoon信息窃取器的感染日志。被劫持的环境随后被滥用，以创建用于挖掘加密货币的计算资源。 该活动的后续版本被发现利用高度特权账户，将攻击者控制的账户作为受害者的云项目中的计费联系人，以便为挖掘目的设置大型计算资源。 加密货币挖掘是通过使用unMiner应用程序和unMineable挖掘池进行的，根据目标系统，采用CPU和GPU优化的挖掘算法。 颇为不寻常的是，TRIPLESTRENGTH的勒索软件部署操作主要针对本地资源，而非云基础设施，使用的勒索软件包括Phobos、RCRU64和LokiLocker。 Google Cloud表示：“在专注于黑客活动的Telegram频道中，与TRIPLESTRENGTH有关联的行为体发布了RCRU64勒索软件即服务（RaaS）的广告，并寻求合作伙伴参与勒索软件和敲诈勒索活动。” 在2024年5月的一起RCRU64勒索软件事件中，据说威胁行为体首先通过远程桌面协议获得初步访问权限，随后执行横向移动和防病毒防御规避步骤，在多个主机上执行勒索软件。 TRIPLESTRENGTH还经常在Telegram上宣传访问被入侵的服务器，包括托管提供商和云平台的服务器。 Google表示，已采取措施应对这些活动，包括强制实施多因素身份验证（MFA）以防止账户被接管的风险，并推出改进后的日志记录功能，以标记敏感计费操作。 这家科技巨头表示：“单个被盗的凭证可能引发连锁反应，使攻击者能够访问本地和云中的应用程序和数据。” “这种访问权限可进一步被利用，通过远程访问服务破坏基础设施、操纵MFA，并为后续的社会工程学攻击建立可信的存在。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。 沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。” 该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。 QakBot（又称QBot和Pinkslipbot）在2023年遭受重大运营挫折，其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后，不断有传播该恶意软件的零星活动被发现。 QakBot最初被设计为银行木马，后来被改造为加载程序，能够在目标系统上交付下一阶段的有效载荷，如勒索软件。QakBot和IcedID的一个显著特点是其BC模块，该模块使威胁行为者能够将主机用作代理，并通过嵌入的VNC组件提供远程访问通道。 沃尔玛的分析显示，BC模块除了包含对旧版QakBot样本的引用外，还得到了进一步增强和开发，用于收集系统信息，在某种程度上充当自主程序，以便利后续利用。 沃尔玛表示：“我们所说的这款恶意软件是一个独立的后门程序，利用BackConnect作为媒介，允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。” Sophos也对BC恶意软件进行了独立分析，将该软件的痕迹归因于其追踪的威胁集群STAC5777，该集群与Storm-1811重叠，Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。 这家英国网络安全公司指出，STAC5777和STAC5143（一个可能与FIN7有联系的威胁集团）都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标，诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限，以安装Python后门和Black Basta勒索软件。 Sophos表示：“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户，并利用Microsoft Teams的默认配置，该配置允许外部域的用户与内部用户发起聊天或会议。” 沃尔玛表示，鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件，而新款BC模块的出现，再加上Black Basta近几个月也分发了ZLoader的事实，这表明了一个高度互联的网络犯罪生态系统，其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一场名为“J-magic”的攻击活动中，企业级Juniper Networks路由器成为了定制后门的攻击目标。 据Lumen Technologies旗下的Black Lotus Labs团队称，该活动之所以得名如此，是因为后门程序会不断监测威胁行为者在TCP流量中发送的“魔术包”。 该公司在向The Hacker News提供的一份报告中表示：“J-magic活动标志着专为JunoOS设计的恶意软件罕见出现，JunoOS服务于类似市场，但依赖于FreeBSD的一个变种操作系统。” 公司收集的证据显示，该后门程序的最早样本可追溯至2023年9月，活动持续时间为2023年中至2024年中。半导体、能源、制造和信息技术（IT）行业是最主要的攻击目标。 欧洲、亚洲和南美洲均有感染报告，包括阿根廷、亚美尼亚、巴西、智利、哥伦比亚、印度尼西亚、荷兰、挪威、秘鲁、英国、美国和委内瑞拉。 该活动的一个显著特点是，在通过尚未确定的方法获得初步访问权限后，会部署一个代理。该代理是公开可用的后门程序cd00r的一个变种，在开始操作前会等待五个不同的预定参数。 在收到这些“魔术包”后，代理程序被配置为发送一个二级挑战，随后J-magic在与魔术包中指定的IP地址和端口建立反向shell。这使得攻击者能够控制设备、窃取数据或部署额外的有效载荷。 Lumen推测，挑战环节的加入是攻击者试图防止其他威胁行为者随意发送魔术包，并将J-magic代理用于实现自身目标。 值得注意的是，cd00r的另一个变种，代号为SEASPY，在2022年末针对Barracuda Email Security Gateway（ESG）设备的活动中被部署。 不过，目前尚无证据表明这两场活动有关联，J-magic活动也没有显示出与针对企业级路由器（如Jaguar Tooth和BlackTech（又名Canary Typhoon））的其他活动有任何重叠迹象。 据说，大多数可能受影响的IP地址是作为VPN网关的Juniper路由器，另一个较小的集群则是暴露NETCONF端口的设备。据信，网络配置设备因其能够自动化路由器配置信息和管理而成为攻击目标。 随着路由器被用于国家行为者策划后续攻击，最新发现强调了边缘基础设施持续成为攻击目标的情况，这主要归因于此类设备的长时间运行以及缺乏端点检测和响应（EDR）保护。 Lumen表示：“该活动最引人注目的方面之一是专注于Juniper路由器。虽然我们已经看到其他网络设备受到严重攻击，但这场活动表明，攻击者能够成功地将攻击范围扩大到其他设备类型，如企业级路由器。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks三款防火墙模型经全面评估，发现存在大量已知安全漏洞，这些漏洞影响了设备的固件及安全功能的配置。 安全厂商Eclypsium在一份向The Hacker News提供的报告中指出：“这些并非罕见或边缘案例的漏洞，而是非常知名的问题，甚至在消费级笔记本电脑上都不应出现。如果被利用，这些问题可能让攻击者绕过最基本的安全保护机制，如安全启动，并修改设备固件。” 该公司分析的三款Palo Alto Networks防火墙型号分别为PA-3260、PA-1410和PA-415，其中PA-3260已于2023年8月31日正式停售，而其他两款型号仍在全面支持范围内。 网络安全方面，发现的漏洞被统称为“PANdora’s Box”，具体包括： CVE-2020-10713（又称BootHole，影响PA-3260、PA-1410和PA-415），指Linux系统中启用了安全启动功能的缓冲区溢出漏洞，可导致安全启动绕过。 CVE-2022-24030、CVE-2021-33627、CVE-2021-42060、CVE-2021-42554、CVE-2021-43323和CVE-2021-45970（影响PA-3260），指一组影响Insyde Software的InsydeH2O UEFI固件的系统管理模式（SMM）漏洞，可能导致权限提升和安全启动绕过。 LogoFAIL（影响PA-3260），指在统一可扩展固件接口（UEFI）代码中发现的一组关键漏洞，利用固件中嵌入的图像解析库漏洞，在系统启动时绕过安全启动并执行恶意代码。 PixieFail（影响PA-1410和PA-415），指UEFI参考实现中TCP/IP网络协议栈的一组漏洞，可能导致代码执行和信息泄露。 不安全的闪存访问控制漏洞（影响PA-415），指SPI闪存访问控制配置不当，可能允许攻击者直接修改UEFI并绕过其他安全机制。 CVE-2023-1017（影响PA-415），指可信平台模块（TPM）2.0参考库规范中的越界写入漏洞。 Intel BootGuard泄露密钥绕过（影响PA-1410）。 Eclypsium表示：“这些发现凸显了一个关键事实：即使是为保护而设计的设备，如果安全和维护不当，也可能成为攻击途径。随着威胁行为者继续瞄准安全设备，组织必须采取更全面的供应链安全方法，包括严格的供应商评估、定期固件更新和持续的设备完整性监控。通过了解和解决这些隐藏漏洞，组织可以更好地保护其网络和免受利用安全工具发起的复杂攻击。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CloudSEK 的一份新报告显示，威胁行为者正在利用 Zendesk 的免费试用版创建令人信服的网络钓鱼活动。 Zendesk 为其平台提供免费试用，允许用户注册自定义子域。虽然这一功能旨在增强合法企业的能力，但它已被威胁行为者所利用。据报告称，“在过去 6 个月中，有几家客户通过 XVigil 的虚假 URL 和网络钓鱼子模块发现了此类可疑域名”。这些子域模仿合法品牌的名称，将与品牌相关的关键词与数字字符串相结合，欺骗毫无戒心的用户。 虽然目前还没有活动活动的记录，但 CloudSEK 的分析师已经展示了一种潜在的攻击方法。这种战术被称为 “诱饵与转换模式”，其中包括 子域名注册： 攻击者模仿目标公司的品牌注册 Zendesk 子域名。 钓鱼页面集成： 这些子域经过定制，包含伪装成票务系统或支持表单的钓鱼页面。 利用电子邮件信任： Zendesk 生成的电子邮件可直接进入收件人的主要收件箱，由于其可感知的合法性而绕过垃圾邮件过滤器。 使用图片截屏链接钓鱼页面 | 来源：CloudSEK 其中一种情况是发送伪装成票单分配邮件的网络钓鱼页面。报告指出：“所有电子邮件通信（票据）都会登陆主收件箱，而不是被标记为垃圾邮件。这一点相当令人担忧，因为员工可能会误以为由可信机构分发的类似脉络的精心策划的活动。” 这些攻击的主要目的是窃取登录凭证或财务数据等敏感信息。这可能会给个人和组织带来重大经济损失和声誉损害。 CloudSEK 敦促组织和个人保持警惕。将未知 Zendesk 实例列入黑名单并教育员工了解常见的网络钓鱼策略有助于降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303744 封面来源于网络，如有侵权请联系删除

  HackerNews 编译，转载请注明出处： 入侵教育科技巨头PowerSchool的黑客在勒索要求中声称，他们窃取了6240万学生和950万教师的个人数据。 PowerSchool是为K-12学校和学区提供云计算软件解决方案的供应商，提供包括注册、沟通、考勤、员工管理、学习系统、分析和财务等工具。 1月7日，PowerSchool披露其遭受网络攻击，黑客利用盗取的凭证访问了该公司PowerSource客户支持门户。 通过这一访问，黑客使用客户支持维护工具从学区的PowerSIS数据库中下载了学生和教师的数据。 根据BleepingComputer的首次报道和相关FAQ，敏感信息如社会保障号、医疗信息和成绩等已被窃取，部分受影响的学生数据受到影响。 该FAQ还提到，PowerSchool已支付赎金以防止被窃取的数据被私下泄露，并看到黑客声称删除了这些数据的视频。 尽管该公司在客户FAQ中比其他安全披露更为透明，但仍未提供具体的受影响学生和教师数量，这令家长、教师和学校管理员感到沮丧。 然而，BleepingComputer获得了更多信息，揭示了此次数据泄露的影响。 超过6240万学生受影响 根据多个消息来源，PowerSchool攻击的黑客声称，他们在向公司提出勒索要求时，窃取了来自美国、加拿大及其他国家的6505个学区的数据。 BleepingComputer被告知，此次PowerSchool数据泄露影响了624888628名学生和9506624名教师。   需要注意的是，加拿大学区的数字通常大于美国学区，因为这些学区管理特定地区的所有学校。 尽管PowerSchool尚未评论具体的受影响人数，并表示调查仍在进行中，但他们向BleepingComputer强调，数据泄露的具体情况因学区而异。 PowerSchool表示，学区根据其政策要求决定在SIS数据库中存储哪些信息。因此，预计不到四分之一的受影响学生的社会保障号在此次泄露中被暴露。 公司还表示，他们有云端和本地托管的PowerSchool SIS客户。对于自托管数据库的学区，由于需要学区共享信息进行分析，数据审查变得更为复杂。 PowerSchool在回应关于我们报道的问题时，向BleepingComputer分享了以下声明： “我们理解我们在PowerSchool SIS上有一个非常庞大的客户群，但我们认为有必要强调，大多数涉及的个人——实际上超过四分之三——并未被泄露社会保障号。我们收到了很多关于涉及数据类型的问题，很难一概而论，因为答案因客户而异，并且取决于客户的选择及州或学区的政策要求。” “我们深切关心我们服务的学生、教师和家庭，完全致力于为他们提供支持。PowerSchool将为所有受影响的学生和教育工作者提供两年的免费身份保护服务和两年的免费信用监控服务。无论个人社会保障号是否被泄露，我们都会提供这些服务（这意味着我们无论是否被法规要求都将这样做）。我们还将代表我们的客户向州检察总长办公室、教育工作者、学生、家长和其他受影响方发出通知。我们真诚希望减轻这些通知对我们的客户和他们所在机构的负担。” PowerSchool表示，他们将为所有受影响的学生和教育工作者提供两年的免费身份保护和信用监控服务。 公司还将代表客户向州检察长办公室及相关人员发出数据泄露通知，但尚不清楚具体时间。 此外，PowerSchool承诺将在1月17日发布基于CrowdStrike调查的事件报告，但该报告尚未发布。 当被问及报告何时可用时，PowerSchool表示CrowdStrike仍在完成最终的法医报告，报告完成后将提供给客户。 在此期间，PowerSchool已在其客户专用FAQ中发布更新，表示客户可以获得有关目前已知情况的保密CrowdStrike事实说明。 PowerSchool还建立了一个专门的公共网站，供受影响人员关注进一步更新。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究员发现了Cloudflare内容分发网络（CDN）的一个漏洞，该漏洞可能通过在Signal和Discord等平台发送图片暴露用户的大致位置。尽管攻击的地理定位能力不足以精确到街道级别，但可以推断出用户所在的地理区域并监控其移动轨迹。 这一发现对注重隐私的人群——如记者、活动家、异见人士甚至网络犯罪分子而言，尤其令人担忧。然而，对于执法部门，这一漏洞可能是调查的利器，帮助确定嫌疑人所在的国家或州。 无交互追踪攻击 三个月前，安全研究员Daniel发现Cloudflare通过将媒体资源缓存到距离用户最近的数据中心来提升加载速度。 他解释道：“我发现了一种独特的无交互去匿名攻击，能够在250英里范围内定位任何目标。” 该攻击仅需目标设备上安装一个易受攻击的应用（或运行于笔记本电脑的后台应用）。攻击者通过发送托管在Cloudflare CDN上的特定图片（如截图或头像），利用Cloudflare Workers的一个漏洞强制请求通过特定数据中心处理。 这一漏洞使攻击者能够绕过Cloudflare默认的安全限制，这些限制通常会根据用户位置从最近的数据中心路由请求。通过枚举不同数据中心的缓存响应，攻击者可以根据返回的机场代码大致确定用户位置。 由于许多应用（包括Signal和Discord）会自动下载推送通知中的图片，这种攻击无需用户交互即可实现追踪，是一种无交互攻击。追踪精度在50到300英里之间，城市地区的精度更高，而农村或人口稀少地区的精度较低。 在测试中，研究员通过Cloudflare的任播路由机制追踪Discord首席技术官Stanislav Vishnevskiy的位置，发现多个邻近数据中心可同时处理请求，从而进一步提高了准确性。 受影响平台的回应 根据404 Media的报道，研究员已将发现披露给Cloudflare、Signal和Discord。Cloudflare标记该问题为已解决，并奖励200美元。但研究员表示，尽管Workers漏洞已修复，通过使用VPN测试不同CDN位置，追踪攻击仍然可能，只是操作略显繁琐。 研究员称：“我选择了一家在全球31个国家设有3000多台服务器的VPN供应商。通过这种新方法，我可以再次覆盖大约54%的Cloudflare数据中心。”这已涵盖全球大部分人口密集地区。 Cloudflare回应称，禁用缓存功能是用户的责任。Discord和Signal则认为问题在于Cloudflare，且不属于它们的职责范围。 BleepingComputer已联系Signal、Discord和Cloudflare寻求对此事的进一步评论，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress的RealHome主题和Easy Real Estate插件存在两个严重漏洞，允许未经身份验证的用户获取管理员权限。 虽然Patchstack研究人员在2024年9月发现了这两个漏洞，并多次尝试联系供应商InspiryThemes，但至今未收到任何回复。同时，Patchstack指出，自2024年9月以来，供应商发布了三个版本，但未修复这些关键问题。因此，这些漏洞依然存在并可被利用。 RealHome主题和Easy Real Estate插件是房地产网站中最受欢迎的主题和插件之一。根据Envanto Market数据显示，RealHome主题目前用于32,600个网站。 第一个漏洞影响RealHome主题，是一个未经身份验证的权限提升问题，编号为CVE-2024-32444，CVSS评分为9.8。漏洞源于主题的inspiry_ajax_register函数允许用户注册新账户，但未正确验证授权或实现随机数验证。如果网站启用了注册功能，攻击者可通过特制的HTTP请求将自己的角色设为“管理员”，从而绕过安全检查。一旦注册为管理员，攻击者即可完全控制WordPress站点，包括篡改内容、植入脚本以及访问用户或其他敏感数据。 第二个漏洞影响Easy Real Estate插件，是通过社交登录实现的另一种未经身份验证的权限提升问题，编号为CVE-2024-32555，CVSS评分为9.8。该漏洞源于插件的社交登录功能，允许用户通过电子邮件地址登录，但未验证该地址是否属于请求者。如果攻击者知道管理员的电子邮件地址，则无需密码即可登录。成功利用该漏洞的后果与CVE-2024-32444类似。 由于InspiryThemes尚未发布修复补丁，建议使用上述主题或插件的网站所有者和管理员立即禁用它们。同时，限制用户注册功能可以防止未经授权的账户创建，从而降低漏洞被利用的风险。 鉴于这些问题已被公开，威胁行为者可能会尝试扫描易受攻击的网站，因此快速响应以减轻威胁至关重要。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络基础设施与安全公司Cloudflare周二表示，其检测并阻止了一次高达5.6 Tbps的分布式拒绝服务（DDoS）攻击，这是迄今为止报告的最大规模攻击。 这次基于UDP协议的攻击发生在2024年10月29日，目标是一家位于东亚的未具名互联网服务提供商（ISP），攻击源自一个Mirai变种僵尸网络。 “此次攻击持续了80秒，并来源于超过13000个物联网设备，”Cloudflare的Omer Yoachimik和Jorge Pacheco在一份报告中表示。 与此同时，每秒观测到的平均唯一源IP地址为5500个，每个IP地址每秒的平均流量约为1 Gbps。 此前最大规模的DDoS攻击记录同样由Cloudflare在2024年10月报告，其峰值为3.8 Tbps。 Cloudflare还披露，其在2024年阻止了约2130万次DDoS攻击，比2023年增长了53%，超过1 Tbps的攻击数量在季度间激增了1885%。仅在2024年第四季度，就缓解了多达690万次DDoS攻击。 以下是2024年第四季度观察到的一些其他重要统计数据： 已知DDoS僵尸网络占所有HTTP DDoS攻击的72.6%。 Layer 3/Layer 4（网络层）最常见的攻击向量是SYN洪水（38%）、DNS洪水攻击（16%）和UDP洪水（14%）。 Memcached、BitTorrent及勒索型DDoS攻击分别环比增长314%、304%和78%。 约72%的HTTP DDoS攻击和91%的网络层DDoS攻击在十分钟内结束。 印尼、中国香港、新加坡、乌克兰和阿根廷是DDoS攻击的最大来源国。 中国、菲律宾和德国是被攻击最多的国家。 通信、互联网、营销、信息技术和博彩是最常被攻击的行业。 与此同时，网络安全公司Qualys和Trend Micro披露，臭名昭著的Mirai僵尸网络恶意软件的变种正通过利用已知的安全漏洞和弱密码攻击物联网（IoT）设备，将其用作DDoS攻击的工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文