HackerNews 编译，转载请注明出处： 英国的《2025年战略防务评估》（SDR）详细阐述了一项计划，旨在通过增加网络、人工智能（AI）和数字化作战手段的运用，整合其军事防御与进攻能力。 与美国一样，英国也参与攻击性网络行动，即使针对盟友，但并未公开证实。斯诺登泄密的资料中包括2010年至2013年进行的“社会主义行动”（Operation Socialist）。英国政府通信总部（GCHQ）成功利用量子插入攻击（Quantum Insert attack）攻击了比利时电信公司（Belgacom，比利时最大的电信供应商）。 尽管如此，英国一直坚称其不参与网络战——直到现在。这份于2025年6月2日发布的新版SDR（PDF文件）专注于整合英国在陆、海、空以及网络领域的进攻和防御军事能力。 这是一份军事评估报告，但自然也包括与“英国情报界[军情五处（MI5）、军情六处（MI6）和政府通信总部（GCHQ）]”的实时协作，“以在应对国家安全挑战时实现最大效果”。该评估报告的一个重要部分是全面且公开地承认网络与电磁频谱（CyberEM）的作用，以及在防御和进攻态势中增加对人工智能的应用；并强调需要整合这些能力。 “为最大化尖端技术和通用数字架构的效益，国防部门还必须协同努力，发展对现代战争至关重要的必要数字、人工智能、网络和电磁战技能。” 报告指出，网络电磁域（CyberEM）是现代战争的核心。“这是对手每天都在挑战的唯一作战域，”报告称。例如，据报道，英国的军事网络在过去两年内遭受了9万次‘灰色地带’攻击。（灰色地带攻击旨在扰乱或削弱对手，而不引发全面军事反应。）英国不同军种已在网络电磁域开展行动，但各自为政。这些行动既包括进攻也包括防御，包括英国自身针对对手使用的网络或技术进行的灰色地带活动。 SDR提议在一个新的网络电磁司令部（CyberEM command）下协调这些活动，将其作为单一权威节点运作。其目的是协调甚至鼓励（而非执行）网络活动——充当一个“枢纽”，“整合全方位的军事行动，并为国防部门如何与盟友及工业界理解、发展和获取能力带来一致性。” 该机构还旨在制定电磁频谱作战的总体战略，包括与北约的方法进行联络和协调。 这种新的跨国防整合与协调的效果，体现在新兴的“数字战士”（Digital Warfighter）小组和“数字目标靶场”（digital targeting web）上。两者共同实现了数字战士与传统战士在行动中的并肩部署；而目标靶场（一个通用的数据架构，而非网站）则将传感器、决策者和效应器连接起来。 评估报告承认其从乌克兰汲取了教训，并补充道：“这[目标靶场]在决定如何跨域并在受争议的网络电磁域中削弱或摧毁已识别目标时，提供了选择和速度。例如，一个目标可能由舰船或太空中的传感器识别，随后被F-35战机、无人机或进攻性网络行动所摧毁。在人工智能的辅助和通用合成环境（common synthetic environment）的支持下，目标靶场体现了一体化部队（Integrated Force）必须如何作战与适应。它的存在本身就增强了威慑力。” 英国最新的战略防务评估深受当前地缘政治影响，从乌克兰的成功到俄罗斯对欧洲日益增长的威胁。但同样显而易见的是，这种包含重大国防改革、增加资金投入以及专注于与北约盟友合作的新方法，也很大程度上源于特朗普总统领导下的美国行动。无论他批评北约的确切目的为何，这已让欧洲意识到，它或许不应、甚至绝不能如此依赖美国的军事力量。整个欧洲都在进行重新武装的进程。 但同样清楚的是，这种对军事责任的反思既关乎进攻能力，也关乎防御能力——并且，现代战争无论在进攻还是防御方面，都无法与网络战割裂开来。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大Instantel公司生产的1000多台工业监控设备因存在严重漏洞可能面临远程黑客攻击。 网络安全机构CISA近期发布的公告披露，Instantel用于记录振动、噪音和空气超压的Micromate产品存在配置端口缺乏身份验证的安全漏洞。该漏洞编号为CVE-2025-1907（CVSS评分9.8），攻击者可借此在设备上执行任意命令。 发现此漏洞的Microsec研究员Souvik Kandar向SecurityWeek透露，全球范围内已识别出1000多台暴露在互联网中的Micromate设备可能遭受攻击。该产品广泛应用于采矿、隧道工程、桥梁监测、建筑施工和环境安全等领域。 Kandar解释称，成功在设备上执行命令的攻击者能够篡改或禁用监控功能，导致数据失真或缺失。破坏数据完整性的操作可能引发审计、合规或保险索赔问题。该研究员补充表示，设备还可能被破坏或强制关机，进而中断爆破、隧道掘进等关键作业。 据Kandar分析，攻击者或可利用被入侵设备横向渗透至其他连接的IT或OT系统。 CISA公告指出Instantel正在为该漏洞开发固件更新。在补丁发布前，建议用户将设备访问权限限制在可信IP地址范围内。针对SecurityWeek的置评请求，Instantel尚未作出回应。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两个恶意 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器以拦截和窃取数据 RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。这些恶意包会拦截敏感数据，包括聊天 ID 和消息内容、附件文件、代理凭证，甚至是可以用于劫持 Telegram 机器人的 Bot Token。 该供应链攻击由 Socket 安全研究人员发现，他们已通过报告向 Ruby 开发者社区发出风险警告。 这两个仿冒 Fastlane 插件的恶意包目前在 RubyGems 上仍然可用，名称如下： fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，已被下载 287 次。 fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，已被下载 133 次。 Fastlane 是一个合法的开源插件，作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知发送和元数据管理。 fastlane-plugin-telegram 是一个合法的插件，允许 Fastlane 通过 Telegram Bot 在指定频道发送通知。这对于需要在 Telegram 工作区中实时获取 CI/CD 管道更新状态的开发者非常有用，使他们无需频繁检查仪表板即可跟踪关键事件。 Socket 发现的恶意 gem 与合法插件几乎完全相同，具有相同的公共 API、自述文件、文档和核心功能。 唯一但至关重要的区别在于，它们将合法的 Telegram API 端点 (https://api.telegram.org/) 替换为攻击者控制的代理端点 (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev)，从而拦截（并且很可能收集）敏感信息。 窃取的数据包括： Bot Token 消息数据 任何上传的文件 配置的代理凭证（如果配置了的话） 攻击者有充分的利用和持久化机会，因为 Telegram Bot Token 在受害者手动撤销之前一直有效。 Socket 指出，这些 gem 的页面声称代理“不存储或修改您的 Bot Token”，但无法验证这一说法。“Cloudflare Worker 脚本不可公开查看，威胁行为者完全有能力记录、检查或篡改传输中的任何数据，”Socket 解释道。“使用此代理，结合仿冒可信的 Fastlane 插件，清楚地表明其意图是在正常 CI 行为的幌子下窃取 Token 和消息数据。此外，威胁行为者尚未公开 Worker 的源代码，使其实现完全不透明。” 建议措施： 立即移除： 已安装这两个恶意 gem 的开发者应立即将其移除。 重建二进制文件： 重建自安装该恶意 gem 日期后生成的任何移动应用二进制文件。 轮换 Bot Token： 所有与 Fastlane 一起使用过的 Bot Token 都应立即轮换（因为它们已被泄露）。 网络屏蔽： Socket 还建议屏蔽到 *.workers[.]dev 的流量，除非明确需要。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据最新报告显示，一个鲜为人知的黑客组织已成为俄罗斯国家机构和关键行业的重大威胁，其攻击旨在制造最大程度的破坏并谋取经济利益。 俄罗斯网络安全公司卡巴斯基的研究人员表示，Black Owl（亦称黑猫头鹰）组织自2024年初开始活跃，似乎独立运作且拥有专属工具库和攻击策略。该组织最具破坏性的行动之一是上月的网络攻击，据称摧毁了俄罗斯约三分之一的国家电子法院档案系统。乌克兰军事情报局（HUR）此前声明曾与BO组织合作开展多项行动，包括入侵俄罗斯联邦数字签名机构及其下属科研中心。 该组织通常通过携带高迷惑性恶意附件的钓鱼邮件获取受害者系统的初始访问权限。入侵成功后，BO组织可能潜伏数周甚至数月才行动——这种延迟在通常追求快速破坏或窃取数据的黑客行动主义者中极为罕见。其持续升级的工具包包含DarkGate、BrockenDoor和Remcos等后门程序。 研究人员指出，攻陷网络后，该组织会使用微软SDelete等工具删除备份及虚拟基础设施，并在部分案例中部署Babuk勒索软件加密数据索要赎金。黑客常将恶意软件伪装成合法的Windows程序。 BO组织专门针对俄罗斯实体，包括国有企业和科技、电信及制造业机构。他们频繁在Telegram上宣扬攻击成果，既为恐吓受害者，也为吸引媒体关注。 卡巴斯基强调：“BO组织因非常规的网络攻击手段，对俄罗斯机构构成严重威胁。” 研究人员补充称，与其他亲乌克兰黑客组织不同，该组织几乎未表现出协作、合作或工具共享迹象——这在俄罗斯当前的黑客行动生态中尤为特殊。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google 修复了 Chrome 浏览器中的三个漏洞，包括一个已在攻击中被积极利用的漏洞，追踪编号为 CVE-2025-5419。 该漏洞源于Google Chrome 旧版本中 V8 JavaScript 引擎的越界读写问题。攻击者可通过构造的 HTML 页面利用此漏洞触发堆损坏。 谷歌威胁分析小组 (Google Threat Analysis Group) 的 Clement Lecigne 和 Benoît Sevens 于 2025 年 5 月 27 日报告了该漏洞，次日（2025 年 5 月 28 日）通过向所有 Chrome Stable 平台应用配置更新解决了该问题。 公告中写道：“Google 已知悉针对 CVE-2025-5419 漏洞的利用程序已在野存在。” Chrome Stable 已更新至 137.0.7151.68/.69（适用于 Windows 和 Mac）以及 137.0.7151.68（适用于 Linux），将在未来几天内推送。 与往常一样，公司未披露利用此漏洞进行攻击的技术细节。 Google 还修复了一个中危漏洞，被追踪为 CVE-2025-5068，这是 Blink 渲染引擎中的一个释放后使用 (use-after-free) 问题。Walkman 于 2025 年 4 月 7 日报告了该漏洞。 在 2025 年 3 月，Google 曾发布其他计划外补丁，以修复自年初以来首个遭在野利用的 Chrome 零日漏洞。该漏洞是 Windows 版 Chrome 浏览器中的一个高危安全问题，被追踪为 CVE-2025-2783。 该漏洞是 Windows 上 Mojo 在未明确情况下提供错误句柄所致。卡巴斯基研究人员 Boris Larin (@oct0xor) 和 Igor Kuznetsov (@2igosha) 于 2025 年 3 月 20 日报告了该漏洞。卡巴斯基研究人员报告称，该漏洞在针对俄罗斯组织的攻击中被积极利用。 Mojo 是 Google 用于基于 Chromium 的浏览器的 IPC（进程间通信）库，管理着用于安全通信的沙盒进程。在 Windows 上，它增强了 Chrome 的安全性，但过去的漏洞曾导致沙箱逃逸和权限提升。 Google 未分享有关利用此漏洞进行攻击的细节或幕后威胁行为者的身份信息。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球第二大汽车制造商大众汽车表示，其正在调查一起数据泄露声明。截至目前，该公司尚未发现任何系统被入侵或客户数据暴露的迹象。 黑客组织声称的大众汽车集团数据泄露事件可能只是虚张声势，因为未检测到任何未经授权的访问。虽然公司知晓相关声明，但迄今没有迹象表明攻击者访问了其任何系统。 “就目前情况而言，根据内部调查的现有认知，没有发生外部第三方对客户个人数据或敏感公司数据的未经授权访问。因此，也未发现此类数据被滥用，”大众汽车集团发言人告诉Cybernews。 该汽车制造商表示将继续调查所有可用信息，以排除对公司或其客户造成任何损害的可能性。大众发言人补充说，“如果证明有助于进一步的全面澄清”，公司将让执法部门参与调查。 “我们非常严肃地对待任何关于数据被未经授权访问的报告。我们会立即跟进实质性报告并仔细调查。如果未经授权访问和使用数据的嫌疑得到证实，我们始终会联系相关当局，”发言人表示。 本周早些时候，Stormous勒索软件团伙在其用于展示最新受害者的暗网泄密网站上列出了大众集团。该威胁行为者声称他们获取了用户账户数据、身份验证令牌、身份与访问控制数据以及其他各种详细信息。 根据Cybernews的暗网追踪器Ransomlooker，Stormous在过去12个月中攻击了34个组织。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews 研究人员发现了一起影响美国公民医疗数据的大规模泄露事件。大约 270 万名患者的资料和 880 万条预约记录对任何知道查看位置的人来说都是完全开放的。 此次泄露是由一个未设置安全防护的 MongoDB 数据库引起的。数据所有者尚未得到官方确认，但数据库中埋藏的线索指向了 Gargle 公司。 该公司专门为牙科诊所提供营销、搜索引擎优化（SEO）和网站开发服务。虽然 Gargle 本身并非医疗保健提供者，但其业务模式依赖于处理面向患者的基础设施，在此案例中，可能还包括患者数据。 目前尚不清楚该数据库暴露了多长时间，或者在锁定之前谁可能访问过它。在 Cybernews 告知该公司有关泄露事件后，该数据集已被保护起来。目前尚未收到该公司的评论。 泄露了哪些数据？ 姓名 出生日期 电子邮件地址 住址 电话号码 性别 病历 ID 语言偏好 账单详情 包含患者元数据、时间戳和机构参考信息的预约记录 泄露是如何发生的？ MongoDB 数据库为数以千计的现代网络应用程序提供支持，从电子商务平台到医疗门户网站。在此案例中，泄露很可能源于一个常见且常被忽视的漏洞：由于人为错误，数据库在没有适当身份验证的情况下被暴露。 正如 Cybernews 的研究所示，这是一个持续困扰着各种规模和行业的公司的盲点。Gargle 在其网站上强调，其设计的 SEO 优化网站通过鼓励用户预约来提升转化率。 该公司还提供实时预约安排、患者沟通、支付处理和在线表格提交等集成服务。所有这些服务都是关键接触点，如果未进行安全配置，就可能成为攻击者的入口。暴露的医疗数据很可能与这些第三方服务相关的内部基础设施中泄露。 泄露的医疗数据如何被利用？ 泄露的数据集包含属于美国患者的深度敏感信息：已验证的手机号码、家庭住址、账单分类和机构 ID。孤立地看，其中任何一个数据点可能危害不大。但捆绑在一起，它们就构成了个人身份的全面蓝图。这类数据为各种滥用行为打开了大门。身份盗窃是唾手可得的果实，攻击者可以冒充受害者以获取经济利益。 有了医疗数据，风险就变得严重得多。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。受害者还容易受到精心设计的钓鱼攻击和社会工程攻击。如此大规模的泄露事件，引发了关于其不遵守《健康保险流通与责任法案》（HIPAA）的严重质疑。根据该法规，处理患者数据的公司有法律义务采取严格的安全措施来保护数据。 应对策略 该公司应通知受影响的个人，并按照 HIPAA 要求公开披露此事件。如果您最近有牙科预约，并怀疑您的数据可能受到此次泄露的影响，请警惕钓鱼攻击。对任何提及医疗保健提供者或医疗历史的不请自来的电子邮件要格外小心。请密切关注您的医疗和保险记录，留意未经授权的索赔或活动迹象，并考虑注册身份盗窃监控服务。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越来越多的恶意活动利用了一种名为Crocodilus的新发现安卓银行木马，针对欧洲和南美用户。 根据ThreatFabric发布的一份新报告，该恶意软件还采用了改进的混淆技术来阻碍分析和检测，并新增了在受害者联系人列表中创建新联系人的能力。 荷兰安全公司ThreatFabric表示：“近期活动显示，多个攻击活动在继续针对土耳其的同时，已将欧洲国家纳入目标范围，并正将攻击版图向全球扩展至南美洲。” Crocodilus木马于2025年3月首次被公开披露，当时它通过伪装成谷歌Chrome等合法应用，主要针对西班牙和土耳其的安卓设备用户。该木马具备发起覆盖攻击的能力，攻击目标是从外部服务器获取的一系列金融应用列表，目的是窃取凭证。 它还会滥用辅助功能权限来捕获与加密货币钱包关联的助记词，这些助记词随后可被用于盗取钱包中存储的虚拟资产。 ThreatFabric的最新发现表明，该恶意软件的地理攻击范围正在扩大，并且其功能和特性也在持续开发增强，这表明其背后的运营者正在对其进行积极维护。 研究发现，针对波兰的部分攻击活动利用Facebook上的虚假广告作为传播媒介，这些广告模仿银行和电子商务平台，诱骗受害者下载应用以领取所谓的奖励积分。试图下载该应用的用户会被引导至一个恶意网站，该网站会投放Crocodilus的安装器（dropper）。 其他针对西班牙和土耳其用户的攻击波次则伪装成网络浏览器更新和在线赌场。阿根廷、巴西、印度、印度尼西亚和美国也是该恶意软件锁定的目标国家。 除了采用各种混淆技术增加逆向工程分析的难度外，新变种的Crocodilus还具备在收到“TRU9MMRHBCRO”命令后，向受害者联系人列表添加指定联系人的能力。 据推测，此功能旨在应对谷歌在安卓系统中引入的新安全防护措施——当用户在与未知联系人进行屏幕共享期间启动银行应用时，系统会发出可能的诈骗警报。 ThreatFabric分析称：“我们认为其意图是添加一个具有说服力名称（如‘银行客服’）的电话号码，使攻击者能够以看似合法的身份呼叫受害者。这也可能绕过那些标记未知号码的欺诈预防措施。” 另一个新功能是自动化的助记词收集器，它利用解析器来提取特定加密货币钱包的助记词和私钥。 该公司总结道：“涉及Crocodilus安卓银行木马的最新攻击活动，标志着该恶意软件在技术复杂性和操作范围上都发生了令人担忧的演变。值得注意的是，其攻击活动不再局限于特定区域；该木马已将触角延伸至新的地理区域，凸显出其已转变为真正的全球性威胁。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 警方称，马来西亚内政部长的WhatsApp账号遭黑客入侵并被用于向联系人发送恶意链接。 当局在周五的新闻发布会上表示，攻击者据称使用虚拟专用网络（VPN）入侵了Datuk Seri Saifuddin Nasution Ismail的账号，目前尚无受害者报告经济损失。警方未详细说明入侵手法。 负责监管执法、移民和审查事务的内政部已确认该事件，并敦促公众勿回应任何自称来自部长的信息或电话，尤其是涉及财务或个人要求的通讯。 此次数据泄露事件正在调查中，执法部门正全力追踪黑客位置。 手机钓鱼诈骗在马来西亚日益猖獗。当地媒体报道称，诈骗分子常冒充警察、银行职员或法院代表实施犯罪。 近期WhatsApp事件与此前针对其他高级官员的攻击如出一辙： 2025年3月：诈骗分子劫持议长乔哈里·阿卜杜勒的WhatsApp账号，诱骗其联系人汇款； 2022年：黑客入侵前总理伊斯梅尔·萨布里的Telegram和Signal账号； 2015年：黑客控制马来西亚皇家警察的Twitter和Facebook账号，发布支持伊斯兰国组织的信息。 Nasution Ismail因账号被黑事件遭遇网络批评与嘲讽。当地媒体指出，鉴于该国最高安全官员竟遭黑客成功攻击，民众对马来西亚网络安全措施的有效性提出质疑。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奢侈品牌卡地亚向客户发出警告称，其系统遭入侵后发生数据泄露事件，导致客户个人信息外泄。 卡地亚在今日发送并由收件人于社交媒体分享的通知函中披露，黑客入侵其系统并窃取了少量客户信息。“特此告知您，未经授权方曾短暂访问我方系统并获取了少量客户信息，”卡地亚在数据泄露通知中声明，“我们已控制事态，并进一步强化了系统及数据的防护措施。” 据该公司透露，泄露信息包括客户姓名、电子邮箱地址及居住国家。卡地亚强调，此次泄露不涉及密码、信用卡号或银行账户详情等敏感数据。但公司警告失窃数据可能被用于定向攻击，建议客户对未经请求的可疑通信保持警惕。“鉴于数据性质，建议您警惕任何未经请求的通信及其他可疑信函，”通知补充道。 卡地亚表示已就事件通报执法部门，并正与外部网络安全公司合作处理漏洞。BleepingComputer曾联系卡地亚询问事件发生时间及受影响人数等细节，但截至发稿未获回复。 时尚品牌接连遇袭 此次事件发生前，近月已有多家时尚品牌披露类似安全事故： 五月，迪奥（Dior）在系统遭威胁分子入侵后坦承数据泄露，客户联系方式、购买记录及消费偏好被窃 同月，阿迪达斯（Adidas）因某第三方服务商系统失陷导致数据泄露，攻击者获取联系方式但未触及支付信息或账户凭证 上周，维多利亚的秘密（Victoria’s Secret）因持续安全事件下线官网并暂停部分门店服务，与卡地亚、迪奥及阿迪达斯相同，该品牌已联合网络安全专家启动调查。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文