HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）周五表示，与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动，试图入侵 WhatsApp 和 Signal 等商业消息应用程序（CMA），以控制具有高情报价值人员的账户。 FBI 局长卡什・帕特尔在 X 平台（原推特）上发文称：“此次活动的目标是具有高情报价值的人员，包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内，这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后，能够查看消息和联系人列表，以受害者的身份发送消息，并利用受信任身份开展更多网络钓鱼活动。” CISA 和 FBI 称，这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是，这些攻击旨在侵入目标账户，并非利用安全漏洞或弱点来破解平台的加密保护。 虽然这些机构并未将该活动归咎于某个特定的威胁行为者，但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来，这些组织包括 “星暴”（Star Blizzard）、UNC5792（又名 UAC – 0195）以及 UNC4221（又名 UAC – 0185）。 法国国家网络安全局（ANSSI）下属的网络危机协调中心（C4）也曾发布类似警报，警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。 C4 表示：“这些攻击一旦成功，恶意行为者就能访问聊天记录，甚至控制受害者的消息账户，并以受害者的身份发送消息。” 此次活动的最终目的是让威胁行为者未经授权访问受害者账户，从而查看消息和联系人列表，代受害者发送消息，甚至通过滥用信任关系对其他目标进行二次网络钓鱼。 正如德国和荷兰的网络安全机构近期所警告的，此次攻击中，攻击者冒充 “Signal 支持” 人员接近目标，敦促他们点击链接（或扫描二维码），或提供 PIN 码或验证码。无论哪种方式，这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。 不过，根据受害者所采用的不同方式，此次活动会产生两种不同结果： 如果受害者选择向威胁行为者提供 PIN 码或验证码，他们将失去账户访问权，因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息，但这种方法可用于监控新消息，并冒充受害者向他人发送消息。 如果受害者最终点击链接或扫描二维码，受威胁行为者控制的设备就会与受害者账户关联，使其能够访问所有消息，包括过去发送的消息。在这种情况下，除非受害者在应用设置中被明确移除，否则他们仍可继续访问 CMA 账户。 为更好地防范此类威胁，建议用户切勿与任何人分享短信验证码或验证 PIN 码，收到来自未知联系人的意外消息时要谨慎，点击链接前先检查，定期查看已关联设备，并移除可疑设备。 Signal 本月早些时候在 X 平台上发文称：“这些攻击和所有网络钓鱼一样，依赖社会工程手段。攻击者冒充可信联系人或服务（比如虚构的‘Signal 支持机器人’），诱骗受害者交出登录凭证或其他信息。” “为防止此类情况发生，请记住，只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调，Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您，索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码，那就是诈骗。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文发布了安全更新，以修复影响身份管理器（Identity Manager）和 Web 服务管理器（Web Services Manager）的一个严重安全漏洞，该漏洞可能被利用来实现远程代码执行。 此漏洞编号为 CVE – 2026 – 21992，在满分 10.0 的通用漏洞评分系统（CVSS）中得分 9.8。 甲骨文在一份安全公告中表示：“该漏洞无需身份验证即可远程利用。若成功利用，此漏洞可能导致远程代码执行。” 受 CVE – 2026 – 21992 影响的版本如下： 甲骨文身份管理器 12.2.1.4.0 版和 14.1.2.1.0 版 甲骨文 Web 服务管理器 12.2.1.4.0 版和 14.1.2.1.0 版 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述，它 “极易被利用”，未经身份验证的攻击者通过 HTTP 获得网络访问权限后，可借此危害甲骨文身份管理器和甲骨文 Web 服务管理器，进而成功控制易受攻击的实例。 甲骨文并未提及该漏洞在现实中已被利用的情况。然而，这家科技巨头敦促客户立即应用更新，以获得最佳保护。 2025 年 11 月，美国网络安全与基础设施安全局（CISA）将 CVE – 2025 – 61757（CVSS 评分：9.8）添加到已知被利用漏洞（KEV）目录中，该漏洞是一个影响甲骨文身份管理器的预认证远程代码执行漏洞，CISA 称有证据表明它已被主动利用。 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周五将五个影响苹果、Craft CMS 和 Laravel Livewire 的安全漏洞添加到其已知被利用漏洞（KEV）目录中，并敦促联邦机构在 2026 年 4 月 3 日前修复这些漏洞。 以下是已遭利用的漏洞： CVE – 2025 – 31277（CVSS 评分：8.8）：苹果 WebKit 中的一个漏洞，在处理恶意制作的网页内容时可能导致内存损坏。（2025 年 7 月已修复） CVE – 2025 – 43510（CVSS 评分：7.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致进程间共享内存发生意外变化。（2025 年 12 月已修复） CVE – 2025 – 43520（CVSS 评分：8.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致系统意外终止或写入内核内存。（2025 年 12 月已修复） CVE – 2025 – 32432（CVSS 评分：10.0）：Craft CMS 中的代码注入漏洞，远程攻击者可借此执行任意代码。（2025 年 4 月已修复） CVE – 2025 – 54068（CVSS 评分：9.8）：Laravel Livewire 中的代码注入漏洞，在特定场景下，未经身份验证的攻击者可借此实现远程命令执行。（2025 年 7 月已修复） 谷歌威胁情报小组（GTIG）、iVerify 和 Lookout 报告称，存在一款代号为 DarkSword 的 iOS 漏洞利用工具包，利用上述三个苹果漏洞以及另外三个缺陷，来部署 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER 等恶意软件家族进行数据窃取，在此之后，这三个苹果漏洞被列入 KEV 目录。 据 Orange Cyberdefense SensePost 称，自 2025 年 2 月起，未知威胁行为者就将 CVE – 2025 – 32432 作为零日漏洞进行利用。从那时起，被追踪为 Mimo（又名 Hezb）的入侵组织也被观察到利用该漏洞来部署加密货币挖矿程序和住宅代理软件。 列表中的最后一个漏洞 CVE – 2025 – 54068，其被利用情况最近被 Ctrl – Alt – Intel 威胁研究团队标记，这是伊朗国家支持的黑客组织 MuddyWater（又名 Boggy Serpens）发动攻击的一部分。 本周早些时候发布的一份报告中，帕洛阿尔托网络 Unit 42 指出，该对手持续针对中东地区的外交和关键基础设施，包括能源、海事和金融领域，以及全球其他战略目标。 Unit 42 表示：“虽然社会工程仍然是其主要特征，但该组织也在不断提升其技术能力。其多样的工具集包括结合了反分析技术以实现长期潜伏的人工智能增强型恶意软件植入程序。这种社会工程与快速开发工具的结合，形成了强大的威胁态势。” Unit 42 还称：“为支持其大规模的社会工程活动，Boggy Serpens 使用了一个定制的基于网络的编排平台。该工具使操作人员能够在对发件人身份和目标列表保持精细控制的同时，实现大规模电子邮件的自动发送。” 该组织隶属于伊朗情报和安全部（MOIS），主要专注于网络间谍活动，不过它还通过采用 DarkBit 勒索软件身份，与针对以色列理工学院的破坏性行动有关联。 MuddyWater 攻击手法的一个显著特点是，在鱼叉式网络钓鱼攻击中使用劫持的政府和企业官方账户，并滥用信任关系来规避基于信誉的拦截系统并传播恶意软件。 在 2025 年 8 月 16 日至 2026 年 2 月 11 日期间，针对阿联酋一家未具名的国家海洋和能源公司的持续攻击活动中，该威胁行为者据称发动了四轮不同的攻击，导致部署了包括 GhostBackDoor 和 Nuso（又名 HTTP_VIP）在内的各种恶意软件家族。该威胁行为者武器库中的其他一些知名工具包括 UDPGangster 和 LampoRAT（又名 CHAR）。 Unit 42 表示：“Boggy Serpens 最近的活动体现了其威胁态势的成熟，该组织将其既定方法与更完善的持续运营机制相结合。通过使其开发渠道多样化，纳入 Rust 等现代编程语言和人工智能辅助工作流程，该组织创建了并行路径，确保维持高运营节奏所需的冗余性。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trivy，这款由 Aqua Security 维护的热门开源漏洞扫描器，在短短一个月内再次遭到攻击，被用于传播恶意软件以窃取敏感的 CI/CD 机密信息。 最新这次事件影响了 GitHub Actions 中的 “aquasecurity/trivy – action” 和 “aquasecurity/setup – trivy”。其中，“aquasecurity/trivy – action” 用于扫描 Docker 容器镜像中的漏洞，而 “aquasecurity/setup – trivy” 则用于使用特定版本的扫描器设置 GitHub Actions 工作流程。 Socket 安全研究员 Philipp Burckhardt 表示：“我们发现，攻击者对 aquasecurity/trivy – action 存储库中的 76 个版本标签中的 75 个进行了强制推送。该存储库是用于在 CI/CD 管道中运行 Trivy 漏洞扫描的官方 GitHub Action。这些标签被修改以提供恶意有效载荷，实际上将受信任的版本引用变成了信息窃取程序的分发机制。” 该有效载荷会在 GitHub Actions 运行器内执行，目的是从 CI/CD 环境中提取有价值的开发者机密，如 SSH 密钥、云服务提供商的凭证、数据库信息、Git 信息、Docker 配置、Kubernetes 令牌以及加密货币钱包信息等。 这是涉及 Trivy 的第二起供应链事件。在 2026 年 2 月底到 3 月初，一个名为 hackerbot – claw 的自动机器人利用 “pull_request_target” 工作流程窃取了个人访问令牌（PAT），随后该令牌被用于控制 GitHub 存储库，删除了多个发布版本，并将其 Visual Studio Code（VS Code）扩展的两个恶意版本推送到 Open VSX。 安全研究员 Paul McCarty 在 “aquasecurity/trivy”GitHub 存储库发布了一个新的受感染版本（0.69.4 版）后，首先发现了入侵迹象。该恶意版本随后已被删除。据 Wiz 称，0.69.4 版本会同时启动合法的 Trivy 服务和负责一系列任务的恶意代码： 通过扫描系统中的环境变量和凭证进行数据窃取，加密数据，并通过 HTTP POST 请求将其泄露到 scan.aquasecurtiy [.] org。 在确认运行在开发者机器上后，通过使用 systemd 服务设置持久性。该 systemd 服务被配置为运行一个 Python 脚本（“sysmon.py”），该脚本会轮询外部服务器以检索有效载荷并执行。 Aqua Security 开源副总裁 Itay Shakury 在一份声明中表示，攻击者滥用了一个被泄露的凭证来发布恶意的 trivy、trivy – action 和 setup – trivy 版本。就 “aquasecurity/trivy – action” 而言，攻击者强制推送了 75 个版本标签，使其指向包含 Python 信息窃取有效载荷的恶意提交，而没有像标准做法那样创建新的版本发布或推送到分支。同样，“aquasecurity/setup – trivy” 的 7 个标签也被以相同方式强制推送。 Burckhardt 告诉《黑客新闻》：“在这种情况下，攻击者无需利用 Git 本身的漏洞。他们拥有具有足够权限的有效凭证来推送代码和重写标签，这就是我们所看到的标签中毒得以实现的原因。目前尚不清楚在这一特定步骤中使用的确切凭证（例如维护者的 PAT 还是自动化令牌），但根本原因现已明确是早期事件遗留的凭证泄露问题。” 这家安全供应商也承认，最新的攻击源于对 hackerbot – claw 事件的不完全遏制。Shakury 说：“我们轮换了机密和令牌，但这个过程不是原子性的，攻击者可能知晓了新刷新的令牌。我们现在正在采取更严格的方法，锁定所有自动化操作和任何令牌，以彻底消除该问题。” 该窃取程序分三个阶段运行：从运行器进程内存和文件系统中收集环境变量，加密数据，然后将其泄露到攻击者控制的服务器（“scan.aquasecurtiy [.] org”）。 如果数据泄露尝试失败，受害者自己的 GitHub 账户会被滥用，利用捕获的 INPUT_GITHUB_PAT（这是 GitHub Actions 中用于通过 GitHub PAT 进行 GitHub API 身份验证的环境变量），将窃取的数据存储在一个名为 “tpcp – docs” 的公共存储库中。 目前尚不清楚此次攻击的幕后黑手是谁，不过有迹象表明，被称为 TeamPCP 的威胁行为者可能与此有关。这一判断基于以下事实：该凭证窃取程序在源代码中自称是 “TeamPCP Cloud stealer”。该组织也被称为 DeadCatx3、PCPcat、PersyPCP、ShellForce 和 CipherForce，以作为一个云原生网络犯罪平台而闻名，其目的是入侵现代云基础设施，以便进行数据盗窃和勒索。 Socket 表示：“此有效载荷中的凭证目标与该组织更广泛的云原生盗窃和货币化特征相符。对 Solana 验证器密钥对和加密货币钱包的高度关注，虽然较少被记录为 TeamPCP 的标志，但与该组织已知的财务动机相符。这种自我标识可能是一种误导，但与 TeamPCP 先前工具的技术重叠使得这种归因具有一定合理性。” 建议用户确保使用以下最新的安全版本： trivy 0.69.3 trivy – action 0.35.0 setup – trivy 0.2.6 Shakury 说：“如果您怀疑自己运行的是受感染版本，请将所有管道机密视为已泄露并立即轮换。” 其他缓解措施包括在网络层面阻止数据泄露域及其关联的 IP 地址（45.148.10 [.] 212），并检查 GitHub 账户中是否有名为 “tpcp – docs” 的存储库，这可能表明通过备用机制成功进行了数据泄露。 Wiz 研究员 Rami McCarthy 说：“将 GitHub Actions 固定到完整的 SHA 哈希值，而不是版本标签。正如这次攻击所展示的，版本标签可以被移动以指向恶意提交。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WorldLeaks团伙本周同时对洛杉矶及其地铁系统发动攻击，导致部分服务被迫中断；与此同时，旧金山湾区两座城市也因遭遇勒索软件攻击而宣布进入紧急状态。 洛杉矶地铁系统遭袭，服务受限 据当地媒体报道，本周洛杉矶地铁（Metro）内部系统检测到未授权活动，迫使该机构限制系统访问权限，车站到站显示屏也因此受到影响。 NBC洛杉矶报道称：”内部行政计算机系统出现未授权活动，促使Metro限制了对这些系统的访问，导致车站显示屏无法显示列车到达时间。” 目前乘客在通过网站或客服热线为TAP交通卡充值时遇到困难，Metro建议乘客改用站内售票机完成充值。铁路和公交服务仍在正常运行，且没有客户或员工的个人信息受到影响。Metro方面表示，正在进行全面的安全检查，并努力恢复系统的完全访问权限。 湾区城市相继沦陷，紧急状态接踵而至 另一起事件中，福斯特市（Foster City）官员表示，一场勒索软件攻击正在广泛破坏市政服务，迫使市领导宣布进入紧急状态，以便争取外部支持和资金援助。虽然911等紧急服务仍在正常运转，但许多依赖内部系统的市政服务已无法使用。市政厅虽保持开放，但仅能提供有限服务。 该市于周四早些时候发现攻击后，迅速将大部分系统下线以保护网络安全。目前 officials 正与独立网络安全专家合作，开展调查并努力恢复运营。 此次攻击主要影响了数字服务和信息获取渠道，核心的应急响应能力保持完好。当局表示，目前尚不清楚攻击者是否访问或复制了敏感数据，但警告公众信息可能已遭泄露。作为预防措施， officials 敦促所有曾与市政府有过业务往来的市民更改密码，并采取措施保护个人数据。 据《旧金山纪事报》报道，该市表示：”出于谨慎考虑，建议所有与福斯特市有过业务往来的市民更改个人密码，并采取措施保护自己的个人数据。” WorldLeaks认领洛杉矶市政府为受害者 2026年3月20日，WorldLeaks勒索软件团伙将其数据泄露网站上的受害者名单更新，加入了洛杉矶市政府。该团伙声称窃取了159.9GB数据，共计779份文件。 WorldLeaks是一个以勒索为目的的网络犯罪组织，通过窃取企业数据向受害者施压，威胁若不支付赎金就将数据公开泄露。该团伙于2025年更名自2023年起活跃的Hunters International勒索团伙。在面临日益严厉的执法压力后，该组织放弃了文件加密手段，全面转向数据窃取和勒索模式，至今已宣称对数百名受害者下手。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北极狼（Arctic Wolf）在客户网络中检测到可疑活动，这些活动似乎与 CVE – 2025 – 32975 漏洞的利用有关。CVE – 2025 – 32975 是一个严重的身份验证绕过漏洞，影响暴露在互联网上且未打补丁的 Quest KACE 系统管理设备（SMA）实例。 KACE SMA 是一种用于集中式端点管理的本地工具，可进行资产盘点、软件分发、补丁管理以及监控等操作。 CVE – 2025 – 32975 漏洞（Quest 已于 2025 年 5 月修复）可让未经身份验证的威胁行为者冒充合法用户，这有可能导致对设备的完全管理权限接管。 据北极狼称，攻击者似乎利用 CVE – 2025 – 32975 漏洞获得了对系统的初始访问权限，随后实现了管理控制。 目前似乎没有其他报告描述该安全漏洞的潜在利用情况。 这家网络安全公司发现，同样在 2025 年 5 月修复的三个相关漏洞（CVE – 2025 – 32976、CVE – 2025 – 32977 和 CVE – 2025 – 32978）在此次观察到的事件中并未涉及。 北极狼观察到的活动可能始于 2026 年 3 月初。目前尚不清楚攻击背后的主谋是谁以及他们的目的是什么。 北极狼实验室告诉《安全周刊》：“目前，我们无法提供有关攻击者或其动机的更多细节。尽管一些受影响的客户来自不同地区的教育领域，但我们没有足够的数据来确定该领域是否是特定攻击目标。” 该实验室还补充道：“鉴于此次利用涉及暴露在互联网上的设备，这很可能是一次机会主义攻击。” 仍在运行过时 Quest KACE SMA 版本的组织，强烈建议立即应用可用补丁，以防止入侵。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubiquiti修复了两个 UniFi 相关漏洞，其中一个高危漏洞可被攻击者用于接管用户账号。 Ubiquiti为其 UniFi 网络管理应用发布了两处漏洞补丁，其中包含一个最高危级别漏洞，攻击者可利用该漏洞实施账号劫持。该软件被广泛用于管理 UniFi 系列网络设备，如无线 AP、交换机及网关等。 UniFi 网络管理应用是Ubiquiti公司开发的管理软件，用于控制和监控旗下 UniFi 系列网络设备。 用户可通过统一控制台对无线 AP、交换机、网关等硬件进行配置、管理与性能优化。IT 管理员可通过本地或云端方式部署网络、监控性能、管理用户、配置安全策略及排查故障。  该厂商修复了编号为CVE-2026-22557的最高危漏洞（CVSS 评分 10.0），该漏洞影响 UniFi 网络应用10.1.85 及更早版本。 处于同一网络中的攻击者可利用 UniFi 中的路径遍历漏洞访问系统文件，进而有可能接管用户账号。 安全公告显示：“具备网络访问权限的恶意人员可利用 UniFi 网络应用中的路径遍历漏洞，访问底层系统文件，并可通过相关操作实现账号入侵。” 10.1.89 及更高版本已修复该漏洞。 Ubiquiti修复的第二个漏洞编号为CVE-2026-22558（CVSS 评分 7.7），同样存在于 UniFi 网络应用中，低权限攻击者可利用该漏洞进行权限提升。 该公司表示：“UniFi 网络应用中存在一处已认证 NoSQL 注入漏洞，获得网络授权访问权限的恶意人员可利用该漏洞提升自身权限。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ConnectWise 已为 ScreenConnect 推送安全更新，优化设备密钥处理机制，防范服务器被入侵。 本次更新修复CVE-2026-3564漏洞（CVSS 评分 9.0），该高危漏洞可被攻击者用于获取会话认证所需的加密密钥材料。 此前，ScreenConnect 将唯一设备密钥存储于服务器配置文件中，在特定场景下存在密钥被窃取的风险。 这款远程监控与管理解决方案的最新版本通过对加密密钥材料进行加密，彻底消除该风险。 ConnectWise 在安全公告中表示：ScreenConnect 26.1 版本强化了设备密钥处理防护机制，新增加密存储与管理功能，降低服务器完整性遭破坏时密钥被未授权访问的风险。 该公司将 CVE-2026-3564 漏洞定级为高优先级，此类漏洞通常为 “正被黑客利用或在野外存在较高被利用风险” 的漏洞。 在另一份公告中，ConnectWise 称已发现有攻击者试图滥用已泄露的ASP.NET设备密钥材料，该密钥用于对受保护的应用数据进行签名与验证。 威胁行为者可利用该加密密钥材料提升在 ScreenConnect 中的权限，并访问活跃会话，最终导致服务器沦陷。 该公司声明：“若某 ScreenConnect 实例的设备密钥材料泄露，攻击者可伪造或篡改受保护数据，且该数据会被系统判定为合法，进而实现对 ScreenConnect 的未授权访问与非法操作。” 有传言称该漏洞多年来一直被中国国家级黑客组织利用，但 ConnectWise 表示暂无证据证实该说法。 ConnectWise 一位发言人向《安全周刊》透露：“公告相关内容，系我方持续强化 ScreenConnect 安全防护的举措，包括针对ASP.NET设备密钥材料的使用与管理进行安全加固。此项工作是缩小攻击面、提升产品安全性整体计划的一部分，相关部署基于持续的内部安全审查与行业过往安全事件经验。” 官方建议用户尽快升级至 ScreenConnect 26.1 版本，检查访问控制策略、限制对配置文件与备份文件的访问权限，并监控日志排查异常行为。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周四，美国司法部（DoJ）宣布，在一项获得法庭授权的执法行动中，成功捣毁了多个物联网（IoT）僵尸网络（如 AISURU、Kimwolf、JackSkid 和 Mossad）所使用的命令与控制（C2）基础设施。 此次行动中，加拿大和德国的相关部门也对这些僵尸网络背后的操控者展开了打击。同时，包括阿卡迈（Akamai）、亚马逊网络服务（Amazon Web Services）、Cloudflare、DigitalOcean、谷歌、Lumen、诺基亚（Nokia）、奥克塔（Okta）、甲骨文（Oracle）、贝宝（PayPal）、SpyCloud、Synthient、Team Cymru、Unit 221B 在内的多家私营企业，也协助参与了调查工作。 美国司法部表示：“这四个僵尸网络针对全球范围内的受害者发动了分布式拒绝服务（DDoS）攻击。其中一些攻击流量高达约 30 太比特每秒，堪称破纪录的攻击。” 上个月，Cloudflare 在一份报告中将 2025 年 11 月发生的一次规模达 31.4 Tbps 且仅持续 35 秒的大规模 DDoS 攻击归因于 AISURU/Kimwolf。截至去年年底，据评估，该僵尸网络还发动了超大规模的 DDoS 攻击，平均每秒可达 30 亿数据包（Bpps）、4 Tbps 流量以及每秒 5400 万请求（Mrps）。 独立安全记者布莱恩・克雷布斯（Brian Krebs）还追踪到 Kimwolf 的管理员是来自加拿大渥太华的 23 岁男子雅各布・巴特勒（又名多特）。巴特勒告诉克雷布斯，自 2021 年起他就不再使用 “多特” 这个身份，并称在自己的旧账户遭入侵后，有人一直在冒充他。 巴特勒还称：“由于患有自闭症，在社交方面存在困难，他大多时候都待在家里帮母亲做家务。” 据克雷布斯透露，另一名主要嫌疑人是一名居住在德国的 15 岁少年。目前尚未有逮捕行动的相关消息公布。 该僵尸网络已将超 200 万台安卓设备纳入其网络，其中大部分是受感染的杂牌安卓电视。总体而言，这四个僵尸网络估计在全球范围内感染了不少于 300 万台设备，包括数字视频录像机、网络摄像头或无线路由器等，其中在美国就有数十万台。 美国司法部指出：“Kimwolf 和 JackSkid 僵尸网络被指控针对并感染那些通常与互联网其他部分隔离‘防火墙保护’的设备。受感染的设备被僵尸网络操控者控制。随后，操控者采用‘网络犯罪即服务’模式，将受感染设备的访问权限出售给其他网络犯罪分子。” 这些受感染的设备随后被用于对全球范围内的目标发动 DDoS 攻击。法庭文件指控，这四个 Mirai 僵尸网络变种已发出数十万条 DDoS 攻击指令： AISURU：超 20 万条 DDoS 攻击指令 Kimwolf：超 2.5 万条 DDoS 攻击指令 JackSkid：超 9 万条 DDoS 攻击指令 Mossad：超 1000 条 DDoS 攻击指令 亚马逊网络服务（AWS）副总裁兼杰出工程师汤姆・肖尔（Tom Scholl）在领英（LinkedIn）上发布的一篇文章中表示：“Kimwolf 代表了僵尸网络运作和扩展方式的根本性转变。与传统僵尸网络在开放互联网中扫描易受攻击设备不同，Kimwolf 利用了一种全新的攻击途径：住宅代理网络。通过受感染设备（包括流媒体电视盒和其他物联网设备）渗透家庭网络，该僵尸网络得以访问通常由家用路由器保护免受外部威胁的本地网络。” 阿卡迈表示，这些超大规模的僵尸网络发动的攻击流量超过 30 Tbps、每秒 140 亿个数据包以及每秒 300 万个请求，并补充说，网络犯罪分子利用这些僵尸网络发动了数十万次攻击，在某些情况下还向受害者索要勒索款项。 这家网络基础设施公司称：“这些攻击可能会严重破坏核心互联网基础设施，导致互联网服务提供商（ISP）及其下游客户的服务严重降级，甚至使高容量的基于云的缓解服务不堪重负。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纳维亚福利解决方案公司（Navia）正告知近 270 万人，他们遭遇了数据泄露事件，敏感信息已暴露给攻击者。 对该事件的调查显示，黑客在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，得以访问该公司系统。不过，纳维亚公司于 1 月 23 日才发现这一可疑活动。 纳维亚公司表示，发现问题后立即做出响应，并展开调查，以确定此次事件可能造成的影响。 公司在向受影响人员发出的通知中称：“调查发现，在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，有未经授权的人员访问并获取了某些信息。” 纳维亚是一家以消费者为核心的福利管理机构，为全美 1 万多家雇主提供服务。 该公司提供软件及客户服务，用于管理灵活支出账户（FSA）、健康储蓄账户（HSA）、健康报销安排（HRA）、通勤福利以及《综合预算协调法案》（COBRA）相关服务。 此外，它还协助处理通勤福利、生活方式账户、教育福利、合规 / 风险服务以及退休相关事务。 据该公司透露，对此次数据泄露事件的调查表明，黑客访问并可能窃取了以下几类数据： 全名 出生日期 社会安全号码（SSN） 电话号码 电子邮件地址 健康报销安排（HRA）参与情况 灵活支出账户（FSA）信息 《综合预算协调法案》（COBRA）参保信息 纳维亚强调，此次数据泄露并未暴露理赔细节或财务信息。然而，这些已泄露的数据，已足以让威胁行为者针对受影响人员发动网络钓鱼和社会工程攻击。 该公司表示，已重新审视其安全态势和数据保留政策，以找出可能需要改进的薄弱环节，并已将此次事件通知联邦执法部门。 信息遭泄露的客户，将获克罗尔公司（Kroll）提供的为期 12 个月的免费身份保护及信用监测服务。同时，公司也建议收到通知信的客户考虑在其信用档案上设置欺诈警报和安全冻结。 截至撰稿时，尚无勒索软件组织宣称对纳维亚数据泄露事件负责。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文