Aggregator

Manufacturing is becoming a test bed for ransomware shifts

Help Net Security
1 week 3 days ago

Manufacturing leaders may feel that ransomware risk has settled, but new data shows the threat is shifting in ways that require attention, according to a Sophos report. A global survey of 332 IT and security leaders outlines how attackers are adjusting tactics and how organizations are absorbing the impact of those changes. The entry point Exploited vulnerabilities were the most common source of compromise. Malicious email also played a major role, reflecting attackers’ continued use … More →

The post Manufacturing is becoming a test bed for ransomware shifts appeared first on Help Net Security.

Anamarija Pogorelec

新型钓鱼攻击借Calendly伪装知名品牌 伺机劫持广告管理账户

嘶吼
1 week 3 days ago

一场持续进行的钓鱼攻击活动正以Calendly为诱饵载体,仿冒联合利华、迪士尼、万事达卡、路威酩轩、优步等知名品牌,伺机窃取目标用户的谷歌工作区及脸书商业账户凭证。

尽管针对商业广告管理账户的攻击并非新鲜事,但这一攻击活动具备极强的定向性,其精心打造的钓鱼诱饵大幅提升了攻击成功率。 

一旦攻击者获取营销账户权限,便可将其作为跳板,发起各类恶意广告活动,用于中间人钓鱼、恶意软件分发及点击劫持攻击。此外,广告平台支持地域定向、域名过滤及设备精准定位等功能,攻击者可借此实施“水坑式”攻击。

从收益角度看,被攻陷的营销账户还可转售给网络犯罪分子,实现直接变现。而谷歌工作区账户往往关联企业内网环境与核心业务数据,尤其是在单点登录及宽松身份提供商配置下,其被窃取的危害会进一步扩大。

基于Calendly的钓鱼攻击流程

Calendly是一款正规的在线日程预约平台,会议组织者可向参会方发送链接,供对方自主选择空闲时段。该平台此前曾被用于钓鱼攻击,而此次攻击的特殊之处在于,攻击者借助大众熟知的知名品牌建立信任,显著提升了诱骗效果。

攻击的具体流程如下

1. 诱饵投放:攻击者先伪装成知名品牌的招聘人员,向目标用户发送伪造的会议邀约,且钓鱼落地页还会仿冒企业真实员工身份,增强可信度。据悉,这些钓鱼邮件由AI工具生成,累计仿冒品牌超75个,涵盖路威酩轩、乐高、万事达卡、优步等。

钓鱼邮件启动攻击

2. 链路跳转:受害者点击邮件链接后,会进入伪造的Calendly页面,页面首先会弹出人机验证(CAPTCHA),验证通过后随即跳转至AiTM钓鱼页面,尝试窃取用户的谷歌工作区登录会话。

3. 多平台适配:Push Security在与某受害机构核实后确认,该活动核心目标为谷歌多客户账户广告管理账户。

假的Calendly页面

研究人员最初发现31个支撑该攻击的独立URL,后续又排查出多个变种版本:其一仿冒联合利华、迪士尼、乐高、Artisan等品牌,专门窃取脸书商业账户凭证;另一较新版本则采用浏览器嵌套攻击技术,通过显示含正规URL的伪造弹窗,同时窃取谷歌与脸书两类账户凭证。

针对脸书账户的页面

4. 反检测机制:钓鱼页面还内置反分析防护,包括拦截VPN及代理流量、禁止访客在页面内打开开发者工具等,以此规避安全检测。

变体针对两种账户类型

并行的恶意广告钓鱼活动

与此同时,Push Security还监测到另一项针对谷歌广告管理账户的恶意广告攻击:用户在谷歌搜索中查询“Google Ads”时,可能点击到恶意赞助广告,进而被导向谷歌广告主题的钓鱼页面,最终跳转至仿冒谷歌登录界面的AiTM钓鱼站点。

恶意搜索结果排名第一

研究发现,此类攻击的恶意页面多部署在Odoo平台,部分还会经Kartra平台跳转。

虚假Google广告着陆页 

尽管针对广告管理账户的同类攻击早有记载,但对攻击者而言,其仍具备极高的牟利价值。鉴于AiTM技术可绕过双重认证防护,安全机构建议高价值账户持有者采取以下防护措施:使用硬件安全密钥、输入凭证前仔细核验URL、将登录弹窗拖动至浏览器边缘以验证其合法性。

胡金鱼

CISA Releases Guidance for Managing UEFI Secure Boot on Enterprise Devices

Cyber Security News
1 week 3 days ago

The U.S. Cybersecurity and Infrastructure Security Agency (CISA), in coordination with the National Security Agency (NSA), has issued new guidance urging enterprises to verify and manage UEFI Secure Boot configurations to counter bootkit threats. Released in December 2025 as a Cybersecurity Information Sheet (CSI), the document addresses vulnerabilities like PKFail, BlackLotus, and BootHole that bypass […]

The post CISA Releases Guidance for Managing UEFI Secure Boot on Enterprise Devices appeared first on Cyber Security News.

Abinaya

苹果发布安全更新修复两个野外被利用的 WebKit 漏洞

HackerNews
1 week 3 days ago
HackerNews 编译,转载请注明出处: 苹果公司周五针对iOS、iPadOS、macOS、tvOS、watchOS、visionOS及其Safari网络浏览器发布了安全更新,以修复两个已被在野利用的安全漏洞。其中一个漏洞与谷歌本周初在Chrome浏览器中修复的漏洞相同。 漏洞信息如下: CVE-2025-43529(CVSS评分:暂无):WebKit中的释放后使用漏洞,处理恶意构造的网页内容时可能导致任意代码执行。 CVE-2025-14174(CVSS评分:8.8):WebKit中的内存损坏问题,处理恶意构造的网页内容时可能导致内存损坏。 苹果表示已意识到这些缺陷“可能已在针对iOS 26之前版本的特定目标个体的高度复杂攻击中被利用”。值得注意的是,CVE-2025-14174正是谷歌于2025年12月10日在其Chrome浏览器中修复的同一漏洞。谷歌将其描述为其开源图形层引擎库的Metal渲染器中存在的越界内存访问问题。 苹果安全工程与架构团队和谷歌威胁分析小组因发现并报告CVE-2025-14174漏洞获得致谢,而CVE-2025-43529漏洞由谷歌TAG发现。 考虑到这两个漏洞均影响WebKit渲染引擎(iOS和iPadOS上所有第三方浏览器包括Chrome、Microsoft Edge、Mozilla Firefox等均使用该引擎),它们很可能被用于高度定向的商业间谍软件攻击。 漏洞已在以下版本和设备中修复: iOS 26.2与iPadOS 26.2:iPhone 11及更新机型、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第八代iPad及更新机型、第五代iPad mini及更新机型 iOS 18.7.3与iPadOS 18.7.3:iPhone XS及更新机型、13英寸iPad Pro、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第七代iPad及更新机型、第五代iPad mini及更新机型 macOS Tahoe 26.2:运行macOS Tahoe的Mac电脑 tvOS 26.2:Apple TV HD与Apple TV 4K(所有型号) watchOS 26.2:Apple Watch Series 6及更新机型 visionOS 26.2:Apple Vision Pro(所有型号) Safari 26.2:运行macOS Sonoma与macOS Sequoia的Mac电脑 通过此次更新,苹果已在2025年累计修复了九个在野被利用的零日漏洞,包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201、CVE-2025-43200和CVE-2025-43300。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

美国华盛顿州大型县图书馆遭网络攻击,超34万人受影响

HackerNews
1 week 3 days ago
HackerNews 编译,转载请注明出处: 华盛顿州皮尔斯县图书馆系统遭遇网络攻击,导致超过34万人的信息泄露。 皮尔斯县图书馆系统本周在其网站及多个州发布了违规通知信。这些信件涉及一起网络安全事件,该事件于4月21日首次被发现,迫使图书馆系统关闭了所有系统。 截至5月12日,该机构确认黑客入侵其系统并窃取了图书馆员工及客户信息。该图书馆系统共有19个分馆,服务西雅图郊外近百万人口的县区。 通知信称,调查显示黑客在4月15日至4月21日期间入侵了机构系统。泄露信息因用户身份而异:图书馆服务用户的姓名和出生日期遭泄露;当前或前任员工的失窃数据则包括社会安全号码、财务账户信息、驾照号码、信用卡信息、护照号码、健康保险信息及医疗数据。 今年5月,INC勒索软件团伙宣称对此次攻击负责。该团伙在2025年已针对政府系统发动多起严重攻击。 皮尔斯县此前曾在2023年遭遇针对公共巴士服务的勒索软件攻击,导致日均1.8万人使用的系统瘫痪。 近年来,公共图书馆系统反复遭受勒索软件团伙攻击,攻击者认为图书馆在线服务的需求将迫使政府支付赎金。 除了对大型系统等高知名度目标的大规模攻击外,美国多个州及加拿大的众多图书馆都曾因勒索软件攻击导致服务中断。 全球图书馆频遭攻击的状况甚至促使美国官员采取专项措施,专门收集关于网络安全和高级防火墙服务的数据,以帮助图书馆更好地防御黑客攻击。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

与哈马斯关联的 APT 组织瞄准中东及摩洛哥政府机构

HackerNews
1 week 3 days ago
HackerNews 编译,转载请注明出处: 据称与巴勒斯坦武装组织哈马斯有关联的黑客组织被指控使用含恶意软件的文档,入侵了与阿曼、摩洛哥及巴勒斯坦权力机构相关的政府及外交实体。 帕洛阿尔托网络公司旗下Unit 42团队周四发布了一份关于该组织(其称为“灰兔”)的报告。该公司发言人向新闻媒体表示,基于多年来对该组织活动的分析,他们将其归属于哈马斯,称其“活动始终与哈马斯的战略利益保持一致”。 Unit 42指出,该组织近期活动涉及一种名为AshTag的新型恶意软件,使其得以从中东多国关键实体窃取信息。报告称,自2020年以来,“灰兔”组织的攻击手段日益复杂,发展了包括基础设施混淆等更高级的黑客技术及新工具。 该恶意软件通常伪装成涉及土耳其与巴勒斯坦实体关系的合法文档。尽管在巴以冲突期间其他哈马斯关联的黑客活动有所减少,“灰兔”组织却持续活跃,甚至在2025年10月停火后仍未停止。 AshTag恶意软件已使用多年,在10月宣布的加沙停火后仍被用于攻击。Unit 42观察到停火后该组织在某些受害环境中的直接操作活动。该恶意软件允许黑客提取文件、在受害设备下载内容并执行进一步操作。 最新攻击活动中使用的文档聚焦于土耳其与巴勒斯坦政治实体的关系,研究人员称这一转变表明土耳其实体可能成为其新的关注目标。 诱饵文档标题涉及摩洛哥与土耳其的合作关系、土耳其国防计划、哈马斯在叙利亚的活动以及巴勒斯坦政府事务等。 攻击始于一个受感染的PDF诱饵文件,引导目标下载包含恶意负载的RAR压缩包。 该组织已进行多项改进以提升操作安全性,采用不同策略使其活动更隐蔽地混入正常网络流量中。 在多起案例中,该组织利用恶意软件入侵受害系统后,直接通过键盘操控进行数据窃取。Unit 42曾发现攻击者直接从受害者邮箱下载文档——重点获取特定的外交相关文件。 研究人员表示:“‘灰兔’组织仍是持续活跃的间谍行为体,其明显意图是在近期地区冲突中继续运作——这与活动显著减少的其他关联威胁组织不同。特别是近两年来,该威胁组织的活动凸显了其持续进行情报收集的执着力。” 其他网络安全公司以“WIRTE”为名追踪该组织活动,并将其与“加沙网络组织”“Molerats”等更大团伙关联。研究人员此前曾将哈马斯关联黑客与针对以色列教育机构的SysJoker恶意软件联系起来。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

OpenAI 增强防御模型以应对网络威胁

HackerNews
1 week 3 days ago
HackerNews 编译,转载请注明出处: OpenAI周三透露,模型性能的激增已重塑了公司的内部规划。 根据一份新报告,通过CTF进行的能力评估显示,其性能从2025年8月GPT-5的27%提升至2025年11月GPT-5.1-Codex-Max的76%。 OpenAI警告称,一些即将推出的系统可能达到其“准备框架”中的“高”能力水平,这意味着它们最终可能协助完成从复杂入侵操作到零日漏洞利用开发等任务。 ThreatAware联合创始人兼首席执行官乔恩·阿博特表示,这一警告突显了关注基础防护的必要性。 “OpenAI警告新模型带来‘高’网络安全风险,这正是为什么确保安全基础绝对关键。AI可能正在加速攻击步伐,但我们最好的防御方式仍然是首先夯实基础。” 该公司还表示,正在通过开发多层次防护措施来应对这种可能性,旨在将先进能力引导至防御性结果。OpenAI补充说,其主要目标是加强网络安全团队的地位,这些团队目前仍面临人手不足和资源匮乏的问题。 加强行业整体理解 为管理网络工作流程中固有的双重用途风险,该公司概述了一个基于多个组件的深度防御策略: 访问控制、基础设施加固、出口控制和监控 引导模型避开有害请求,同时保持对教育和防御的实用性培训 能够阻止或重定向不安全活动的全系统检测工具 由外部专家进行的端到端红队测试 “这些防护措施旨在随着威胁形势的发展而演变,”该公司表示。 阿博特指出,能力的提升使得长期存在的威胁更加危险。 “传统威胁与AI实现的规模和精度相结合,形成了一种特别有害的组合,”他解释道。 “随着模型能够开发可用的零日远程漏洞利用或协助复杂、隐蔽的入侵,犯罪分子的入门门槛已大幅降低。” OpenAI表示,正在与全球专家协调,以改进防御性AI的实际应用,并正在为合格用户准备可信访问计划。 另一项名为“Aardvark”的计划已进入封闭测试阶段。这一智能安全研究代理可以扫描代码库、识别漏洞并提出修复方案,并在开源项目中发现了新的CVE漏洞。 OpenAI表示,还将启动一个“前沿风险委员会”,就负责任的能力使用提供建议,并通过“前沿模型论坛”进一步合作,以完善共享威胁模型并改进整个生态系统的缓解策略。 消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

19 款 Visual Studio Code 扩展中发现恶意软件

HackerNews
1 week 3 days ago
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了一场涉及19个Visual Studio Code扩展的攻击活动,这些扩展在其依赖文件夹中嵌入了恶意软件。 该活动自2025年2月开始活跃,于12月2日被识别。攻击者利用一个合法的npm包来伪装恶意文件,并将恶意二进制文件捆绑在一个伪装成PNG图像的存档文件中。 ReversingLabs观察到的这种手法使攻击者能够绕过常规检查,直接针对开发人员。 网络钓鱼手段的演变 2025年以来,一波新的恶意VS Code扩展不断传播。ReversingLabs指出,VS Code Marketplace上的可疑上传数量持续上升。 一些扩展模仿流行工具,另一些则宣传新功能但暗中执行恶意代码。即使是受信任的扩展也可能被攻陷:今年7月,一个恶意拉取请求通过添加有害依赖项污染了一个合法项目。 在这次新的攻击活动中,攻击者在扩展的node_modules文件夹中嵌入了经过修改的npm包path-is-absolute。 该原始包自2021年以来已被下载超过90亿次,但修改后的版本包含一个类,旨在VS Code启动时触发恶意软件。其目的是解码存储在名为“lock”的文件中的JavaScript投放器。 攻击者还包含了一个名为banner.png的文件,该文件看似无害,但实际上是一个包含两个二进制文件的存档。 投放器通过常见的离地生存二进制文件(LOLBIN)cmstp.exe启动这些文件。其中一个可执行文件通过模拟按键操作来关闭进程,另一个则是基于Rust的木马程序,截至报道时仍在分析中。 对开发人员日益增长的威胁 ReversingLabs表示,虽然大多数恶意扩展依赖修改后的path-is-absolute依赖项,但其他四个扩展则利用了npm包@actions/io,将有效负载存储在TypeScript和映射文件中,而非使用伪装的PNG文件。 尽管技术手段不同,但目标一致:通过受信任的组件秘密执行恶意软件。 ReversingLabs警告称,检测恶意VS Code扩展已变得日益紧迫。该公司表示,检测数量从2024年的27个增加到2025年前10个月的105个。 为降低风险,建议团队: 在安装前检查扩展 审计所有捆绑的依赖项 使用能够评估包行为的安全工具 “保持安全并非完全避免使用扩展,而是要认识到即使受信任的组件也可能被篡改,”ReversingLabs表示。 “所有提及的扩展均已向微软报告。”   消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

研究人员通过屏幕像素提取智能手表固件

HackerNews
1 week 3 days ago
HackerNews 编译,转载请注明出处: 安全研究人员借助一项已有 20 年历史的攻击方法,成功从一款经济型智能手表中提取了固件,该方法最初是被用于窃取网络设备的数据。 这项名为 “指示灯(Blinkenlights)” 的技术,已被改造适配现代薄膜晶体管屏幕。 Quarkslab的分析师从当地商店以约 12 欧元的价格购入一款智能手表,经检测发现其配备的是虚假健康传感器,无法实现血压测量和睡眠监测功能。 该设备搭载JieLi AC6958C6 系统级芯片,并通过低功耗蓝牙进行通信,这一特性最初被视为提取固件的可行途径。 在对智能手表展开分析后,研究人员发现了一个表盘解析器漏洞 —— 该解析器未能对偏移边界进行有效校验。 这一安全缺陷可被利用来制造越界读取的情形,迫使设备将任意内存内容直接显示在屏幕上。 夸克实验室分析师指出,他们是在对自定义表盘的上传流程进行逆向工程后发现这一漏洞的,同时还发现固件解析器未对超出表盘二进制数据范围的图像偏移量进行验证。 研究团队在最终采用 “指示灯” 技术前,尝试了多种提取方案。 他们先是对杰理芯片的空中升级功能展开探索,却发现该功能仅支持固件上传,不支持固件下载。 设备所采用的认证机制基于蓝牙的 E1 传统功能,且内置硬编码参数,研究人员虽成功复现了这一机制,但这条路径最终未能实现固件提取。 现代版 “指示灯” 技术的实现方案 该团队搭建了一套定制硬件装置,核心为一块超频至 200 兆赫兹的树莓派 Pico 开发板,用于捕获智能手表主芯片向 NV3030B 屏幕控制器传输的数据。 这款屏幕采用 25 兆赫兹时钟,以 RGB565 格式传输像素数据,这就需要通过高速采样来精准获取信息。 研究人员将直径仅 0.1 毫米的导线焊接至屏幕连接器,并利用树莓派 Pico 的可编程输入输出(PIO)功能,在时钟上升沿对数据比特进行采样。 为保障高采样率下的运行效率,这款 PIO 程序仅设计了两条指令。 捕获的数据会先存储在树莓派 Pico 的 145000 字节缓冲区中,再通过 USB 串口传输至主机电脑。 为触发固件提取,研究人员制作了恶意自定义表盘,通过篡改偏移量数值,让智能手表读取并显示超出表盘预设数据区域的内存内容。 整个提取过程需要生成多款自定义表盘,每一款针对不同的内存地址。 研究人员在每个表盘里嵌入了包含同步字(0xa5a5a5a5)和魔术字节(0xdeadbeef)的特殊头文件,以此识别捕获到的数据块并验证数据对齐情况。 同时,团队开发了 Python 脚本,实现表盘生成、数据收集以及从零散内存切片中重建完整固件的自动化流程。 这项研究表明,当老旧的攻击技术与创新的漏洞利用手段相结合时,依然能对现代嵌入式设备构成威胁。 相较于昂贵的逻辑分析仪,此次采用的低成本硬件方案(除树莓派 Pico 外几乎无额外开销),在该场景下具备更高的实用性。 消息来源:cybersecuritynews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad