HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为 RESURGE 的新型恶意软件，该软件已被用于针对 Ivanti Connect Secure（ICS）设备上一个现已修复的安全漏洞的攻击活动。 CISA 表示：“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能，包括能够抵御系统重启；然而，RESURGE 包含独特的命令，可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。” 与恶意软件部署相关的安全问题是 CVE-2025-0282，这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞，可能导致远程代码执行。 该漏洞影响以下版本： Ivanti Connect Secure 22.7R2.5 之前的版本 Ivanti Policy Secure 22.7R1.2 之前的版本 Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本 据谷歌旗下的 Mandiant 公司称，CVE-2025-0282 已被武器化，用于传播所谓的 SPAWN 恶意软件生态系统，包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。 上个月，日本计算机应急响应中心（JPCERT/CC）透露，观察到该安全缺陷被用于传播 SPAWN 的一个更新版本，称为 SPAWNCHIMERA，它将上述所有不同的模块整合为一个单一的恶意软件，同时还进行了修改，以通过 UNIX 域套接字促进进程间通信。 值得注意的是，该修订版包含一个功能，可以修补 CVE-2025-0282，以防止其他恶意行为者利用它进行自己的攻击活动。 CISA 表示，RESURGE（“libdsupgrade.so”）是 SPAWNCHIMERA 的改进版，支持三种新命令： 将自身插入“ld.so.preload”，设置网页后门，操纵完整性检查和修改文件。 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。 CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件：RESURGE 中包含的 SPAWNSLOTH 变体（“liblogblock.so”）和一个定制的 64 位 Linux ELF 二进制文件（“dsmain”）。 CISA 称：“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件，包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像（vmlinux）。” 值得注意的是，CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon（前身为 Hafnium）作为零日漏洞加以利用，微软本月早些时候披露了这一消息。 最新发现表明，恶意软件背后的威胁行为者正在积极改进和调整其技术，因此组织必须立即将其 Ivanti 实例更新到最新版本。 作为进一步的缓解措施，建议重置特权和非特权账户的凭证，轮换所有域用户和所有本地账户的密码，审查访问策略以暂时撤销受影响设备的权限，重置相关账户的凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码，以维持远程访问权限，并将访客重定向至虚假网站。 mu-plugins（Must-Use 插件的简称）是指位于“wp-content/mu-plugins”目录中的插件，这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。 “这种方法反映了令人担忧的趋势，因为 mu-plugins 不会在标准的 WordPress 插件界面中列出，这使得它们在常规安全检查中容易被忽略，”Sucuri 研究员 Puja Srivastava 在分析中表示。 在网站安全公司分析的事件中，发现该目录中存在三种不同的恶意 PHP 代码： “wp-content/mu-plugins/redirect.php”：将访客重定向至外部恶意网站。 “wp-content/mu-plugins/index.php”：提供类似网页后门的功能，允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。 “wp-content/mu-plugins/custom-js-loader.php”：向受感染网站注入垃圾信息，可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容，并劫持外部链接至恶意网站。 Sucuri 表示，“redirect.php”伪装成浏览器更新，诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。 Srivastava 解释称：“该脚本包含一个功能，可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫，防止其检测到重定向行为。” 与此同时，攻击者继续利用受感染的 WordPress 网站作为跳板，通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式，诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略，并用于传播 Lumma Stealer 恶意软件。 受攻击的 WordPress 网站还被用于部署恶意 JavaScript，这些脚本可以将访客重定向至不受欢迎的第三方域名，或作为支付页面上的信息窃取工具，窃取用户输入的财务信息。 目前尚不清楚这些网站是如何被攻破的，但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。 根据 Patchstack 的最新报告，自今年年初以来，攻击者频繁利用 WordPress 插件中的四个不同安全漏洞： CVE-2024-27956（CVSS 评分：9.9）：WordPress Automatic 插件（AI 内容生成和自动发布插件）中的未授权任意 SQL 执行漏洞。 CVE-2024-25600（CVSS 评分：10.0）：Bricks 主题中的未授权远程代码执行漏洞。 CVE-2024-8353（CVSS 评分：10.0）：GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。 CVE-2024-4345（CVSS 评分：10.0）：Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。 为降低这些威胁带来的风险，WordPress 网站管理员应确保插件和主题保持最新版本，定期检查代码中的恶意软件，强制使用强密码，并部署网页应用防火墙以拦截恶意请求并防止代码注入。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个疑似俄罗斯的黑客组织 Water Gamayun（也被称为 EncryptHub 和 LARVA-208）利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633，部署了两款新的后门程序 SilentPrism 和 DarkWisp。 Water Gamayun 主要通过恶意配置包（.ppkg）、签名的 Microsoft 安装程序文件（.msi）和 Windows 管理控制台文件（.msc）来部署恶意负载。此次攻击利用了 CVE-2025-26633（也被称为 MSC EvilTwin），该漏洞存在于微软管理控制台（MMC）框架中，攻击者通过恶意的 Microsoft 控制台文件（.msc）来执行恶意软件。 – SilentPrism：这是一个 PowerShell 植入程序，能够实现持久化、同时执行多个 shell 命令，并保持远程控制，同时还具备反分析技术以逃避检测。 – DarkWisp：该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。 – Rhadamanthys Stealer：通过 MSC EvilTwin 加载器部署，该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件，最终部署该窃密程序。 攻击链涉及使用配置包（.ppkg）、签名的 Windows 安装程序文件（.msi）和 .msc 文件来传递信息窃取器和后门程序，这些程序能够实现持久化和数据窃取。此外，攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件（如钉钉、QQTalk 和 VooV Meeting），执行 PowerShell 下载器以获取和运行下一阶段的负载。 – Water Gamayun 还被发现利用其他商品化窃密程序（如 StealC）以及三种定制的 PowerShell 变体（EncryptHub 窃密程序变体 A、B 和 C）。 – 这些变体均基于开源的 Kematian 窃密程序修改而成，能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。 – 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族，如 Lumma Stealer、Amadey 和剪切板劫持器。 趋势科技提醒，Water Gamayun 在攻击中使用了多种交付方法和技术，例如通过签名的 Microsoft 安装程序文件传递恶意负载，并利用本地工具（LOLBAS）等手段，这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统，修补相关漏洞，以防止此类攻击。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家名为Morphing Meerkat的网络钓鱼即服务（PhaaS）运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS（DoH）协议逃避检测，并通过DNS邮件交换（MX）记录识别受害者的电子邮件提供商，动态生成超过114个品牌的仿冒登录页面。 大规模网络钓鱼行动 Morphing Meerkat自2020年起活跃，由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录，但该平台在过去几年中大多未被察觉。 作为一款完整的PhaaS工具包，Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施，用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。 该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商，发送带有类似“需要采取行动：账户停用”等紧急主题的邮件。这些邮件支持多种语言，包括英语、西班牙语、俄语和中文，且能够伪造发件人姓名和地址。 攻击流程 当受害者点击邮件中的恶意链接时，他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台（如Google DoubleClick）执行，并涉及受感染的WordPress网站、伪造的域名和免费托管服务。 最终，钓鱼工具包会在受害者的浏览器中加载，同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果，工具包会动态生成伪造的登录页面，并自动填充受害者的电子邮件地址。 一旦受害者输入凭据，数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外，攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性，受害者首次输入密码后会收到一条错误信息提示密码无效，诱导其再次输入。 输入成功后，受害者会被重定向至真实的身份验证页面，以减少怀疑。 使用DoH与DNS MX的隐蔽性 Morphing Meerkat的独特之处在于采用DoH和DNS MX记录，这些高级技术使攻击更具隐蔽性。 DoH通过加密的HTTPS请求执行DNS解析，替代传统的基于UDP的DNS查询，从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息，从而避免被检测。 利用MX记录信息，钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面，提升攻击的成功率。 防御建议 Infoblox建议企业实施更严格的DNS控制，阻止用户直接与DoH服务器通信。此外，还应限制用户访问与企业业务无关的广告技术和文件共享基础设施，以降低攻击风险。 与Morphing Meerkat相关的所有攻击指标（IoC）已公开发布在GitHub存储库中，供安全研究人员进一步分析。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司OpenAI宣布，将“卓越且独特”的关键安全漏洞的最高漏洞赏金奖励从2万美元提高到10万美元。OpenAI表示，其服务和平台每周被全球4亿用户使用，涵盖企业、机构和政府部门。 OpenAI在声明中表示：“我们将卓越且独特关键漏洞的最高赏金提高到10万美元（此前为2万美元），这一调整体现了我们对有意义、高影响力安全研究的奖励承诺，这些研究有助于我们保护用户并维护系统信任。” 作为扩展赏金计划和奖励高影响力安全研究的一部分，OpenAI还将在“限时促销”期间为特定类别的合格报告提供额外的赏金奖励。例如，截至4月30日，OpenAI将为报告其基础设施和产品中不安全直接对象引用（IDOR）漏洞的安全研究人员提供双倍奖励，最高可达1.3万美元。 OpenAI于2023年4月启动了漏洞赏金计划，通过Bugcrowd众包安全平台为报告产品线漏洞、缺陷或安全问题的研究人员提供最高2万美元的奖励。该公司表示，模型安全问题不在该计划范围内，ChatGPT用户利用的越狱和安全绕过漏洞也不包括在内。 OpenAI在披露ChatGPT支付数据泄露事件一个月后推出了漏洞赏金计划，该事件是由于其平台的Redis客户端开源库中的一个漏洞导致的。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软开始测试一款名为“快速设备恢复”的新Windows 11工具，该工具旨在远程部署修复程序，解决因故障驱动程序和配置导致操作系统无法启动的问题。 该工具是微软Windows弹性计划的一部分，该计划旨在通过引入自动化工具和功能，检测、诊断和修复Windows 11中的关键故障，从而增强系统稳定性，减少停机时间。 微软解释称：“当系统出现故障时，设备有时会陷入Windows恢复环境（Windows RE），严重影响生产力，通常需要IT团队花费大量时间进行故障排查和恢复受影响的设备。” “借助快速设备恢复，当大规模故障导致设备无法正常启动时，微软可以通过Windows RE向受影响的设备广泛部署针对性修复方案，自动修复故障，迅速使用户恢复到可工作状态，无需复杂的手动干预。” 3月28日，微软将“快速设备恢复”发布至Windows内部预览版Beta通道，供内部测试人员开始测试该工具。 当启用该工具且新的驱动程序或配置更改导致Windows 11无法正常启动时，操作系统将进入Windows恢复环境并自动启动“快速设备恢复”工具。该工具将通过以太网或Wi-Fi连接到互联网，并将崩溃数据发送至微软服务器。根据对这些数据的分析，微软可以远程应用修复程序，例如移除有问题的驱动程序或更新以及更改配置设置。 这款新工具是为应对2024年7月CrowdStrike故障更新而推出的。当时，该更新导致全球数百万台Windows设备突然出现蓝屏死机（BSOD）并陷入重启循环。为移除该故障更新，Windows管理员不得不进入Windows恢复环境或安全模式，手动删除驱动程序，以使Windows设备恢复正常启动。 有了“快速设备恢复”这样的工具，微软本可以更轻松、更快速地推送修复程序，移除驱动程序并使设备重新上线。 微软表示，该功能最终将在Windows 11家庭版中默认启用。企业用户可以通过RemoteRemedation CSP或直接在设备上通过reagentc.exe，在Windows 11专业版和企业版中自定义该工具的工作方式。 该工具还可以预先配置网络凭据，以便更容易地部署修复程序，并配置故障设备多久向微软服务器请求一次修复。 微软将在几天内发布一个测试修复包，供内部测试人员进行实时测试。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 CoffeeLoader 的新型复杂恶意软件，其主要功能是下载并执行第二阶段的有效载荷。 据 Zscaler ThreatLabz 表示，CoffeeLoader 在行为上与已知的 SmokeLoader 恶意软件加载器存在相似之处。Zscaler 威胁情报高级总监 Brett Stone-Gross 在本周发布的一份技术分析报告中指出：“该恶意软件的目的是在躲避端点安全产品检测的同时，下载并执行第二阶段的有效载荷。” 为了绕过安全解决方案，CoffeeLoader 采用了多种技术，包括利用 GPU 的专用打包器、调用栈伪造、睡眠混淆以及使用 Windows 纤程。 CoffeeLoader 最早于 2024 年 9 月出现，它利用域名生成算法（DGA）作为备用机制，以防主要的命令与控制（C2）通道无法访问。该恶意软件的核心是一个名为 Armoury 的打包器，它通过在系统 GPU 上执行代码来增加虚拟环境中的分析难度。Armoury 因其伪装成华硕开发的合法 Armoury Crate 工具而得名。 感染过程始于一个下载器，它尝试以提升的权限执行由 Armoury 打包的 DLL 载荷（“ArmouryAIOSDK.dll”或“ArmouryA.dll”），但在执行之前，如果下载器没有必要的权限，它会尝试绕过用户账户控制（UAC）。此外，下载器还会通过设置计划任务在主机上建立持久性，该任务配置为在用户登录时以最高权限运行，或者每 10 分钟运行一次。随后，执行一个加载器组件，进而加载主模块。 Stone-Gross 表示：“主模块采用了多种技术来躲避杀毒软件（AV）和端点检测与响应（EDR）的检测，包括调用栈伪造、睡眠混淆以及利用 Windows 纤程。”这些方法能够伪造调用栈以掩盖函数调用的来源，并在有效载荷处于睡眠状态时进行混淆，从而使其能够躲避安全软件的检测。 CoffeeLoader 的最终目标是通过 HTTPS 联系 C2 服务器，以获取下一阶段的恶意软件，包括注入并执行 Rhadamanthys 壳代码的命令。 Zscaler 表示，在源代码层面，CoffeeLoader 与 SmokeLoader 存在诸多相似之处，这表明它可能是后者的一个重大迭代版本，尤其是在去年执法部门打击并摧毁了 SmokeLoader 的基础设施之后。该公司指出：“SmokeLoader 和 CoffeeLoader 之间还存在显著的相似性，前者分发后者，但两者之间的确切关系尚不清楚。” 这一发现正值 Seqrite Labs 详细披露了一起网络钓鱼邮件活动，该活动启动了一个多阶段感染链，投放了一种名为 Snake Keylogger 的信息窃取恶意软件。此外，近期还出现了一系列针对参与加密货币交易的用户发起的活动，通过在 Reddit 帖子中宣传破解版的 TradingView，诱骗用户安装 Windows 和 macOS 系统上的 Lumma 和 Atomic 等窃取器。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了来自 Sungrow、Growatt 和 SMA 三家太阳能逆变器供应商的 46 个新的安全漏洞。这些漏洞可能被恶意攻击者利用，以远程控制设备或执行代码，对电网安全构成严重威胁。 这些漏洞被 Forescout Vedere Labs 集体命名为 SUN:DOWN。研究人员指出，这些新漏洞可以被利用来在设备或供应商的云平台上执行任意命令、接管账户、入侵供应商的基础设施，或控制逆变器所有者的设备。 主要漏洞包括： 1. 远程代码执行：攻击者可以上传 `.aspx` 文件，这些文件将被 SMA 的 Web 服务器（sunnyportal[.]com）执行，从而实现远程代码执行。 2. 用户名枚举：未经身份验证的攻击者可以通过暴露的 `server.growatt.com/userCenter.do` 端点进行用户名枚举。 3. 设备接管：未经身份验证的攻击者可以通过 `server-api.growatt.com/newTwoEicAPI.do` 端点获取其他用户所属的电站列表和任意设备，从而实现设备接管。 4. 账户接管：未经身份验证的攻击者可以通过有效的用户名，利用 `server-api.growatt.com/newPlantAPI.do` 端点获取智能电表的序列号，从而实现账户接管。 5. 信息泄露和物理损坏：未经身份验证的攻击者可以通过 `evcharge.growatt.com/ocpp` 端点获取电动汽车充电器、能耗信息和其他敏感数据，还可以远程配置电动汽车充电器并获取固件相关信息，从而导致信息泄露和物理损坏。 6. Sungrow Android 应用安全问题：Sungrow 的 Android 应用使用不安全的 AES 密钥加密客户端数据，这使得攻击者可以拦截并解密移动应用与 iSolarCloud 之间的通信。 7. 中间人攻击：Sungrow 的 Android 应用明确忽略证书错误，容易受到中间人攻击。 8. 硬编码密码：Sungrow 的 WiNet WebUI 包含一个硬编码密码，可用于解密所有固件更新。 9. MQTT 消息处理漏洞：Sungrow 在处理 MQTT 消息时存在多个漏洞，可能导致远程代码执行或拒绝服务（DoS）状态。 Forescout 指出，如果攻击者利用这些新发现的漏洞控制大量 Sungrow、Growatt 和 SMA 逆变器，可能会对电网和其他主要电网造成不稳定。在针对 Growatt 逆变器的假设攻击场景中，攻击者可以通过暴露的 API 猜测真实账户用户名，通过将密码重置为默认的 “123456” 来劫持账户，并进行后续攻击。 更糟糕的是，被劫持的逆变器可以被控制成僵尸网络，放大攻击力度，对电网造成破坏，导致电网中断和潜在的停电。所有供应商在接到漏洞披露后，均已解决了这些问题。 Forescout 强调，缓解这些风险需要在采购太阳能设备时严格执行安全要求，定期进行风险评估，并确保对这些设备的网络进行全面监控。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员成功入侵了一个名为 BlackLock 的勒索软件团伙的在线基础设施，揭露了该团伙的作案手法和关键信息。 Resecurity 表示，他们发现 BlackLock 犯罪团伙运营的数据泄露网站（DLS）存在一个安全漏洞，这使得研究人员能够提取配置文件、凭证以及服务器上执行的命令历史记录。 该公司称，该漏洞涉及 BlackLock 勒索软件的数据泄露网站（DLS）的 “某种配置错误”，导致与他们通过 Tor 隐藏服务（托管它们）的网络基础设施相关的明网 IP 地址被泄露，以及额外的服务信息。 研究人员将获取的命令历史记录描述为 BlackLock 勒索软件最大的操作安全（OPSEC）失误之一。 BlackLock 是另一个名为 Eldorado 的勒索软件团伙的改版。自 2025 年以来，它已成为最活跃的勒索团伙之一，主要针对科技、制造、建筑、金融和零售行业。截至上个月，该团伙已在网站上列出了 46 个受害者，这些受影响的组织位于阿根廷、阿鲁巴、巴西、加拿大、刚果（布）、克罗地亚、秘鲁、法国、意大利、荷兰、西班牙、阿联酋、英国和美国。 该团伙于 2025 年 1 月中旬宣布推出一个地下附属网络，并被观察到积极招募 “流量引导者”（traffers），以协助攻击的早期阶段，通过将受害者引导至部署恶意软件的恶意页面，这些恶意软件能够建立对受损系统的初始访问。 Resecurity 发现的漏洞是一个本地文件包含（LFI）漏洞，本质上是通过路径遍历攻击欺骗 Web 服务器泄露敏感信息，包括操作员在泄露网站上执行的命令历史记录。 一些值得注意的发现如下： – 使用 Rclone 将数据泄露到 MEGA 云存储服务中，在某些情况下甚至直接在受害者系统上安装 MEGA 客户端。 – 威胁行为者至少在 MEGA 上创建了八个账户，使用通过 YOPmail 创建的一次性电子邮件地址（例如，“zubinnecrouzo-6860@yopmail.com”）来存储受害者数据。 – 对勒索软件的逆向工程发现，其源代码和勒索信与另一种名为 DragonForce 的勒索软件存在相似之处，后者曾针对沙特阿拉伯的组织发动攻击（尽管 DragonForce 使用 Visual C++ 编写，而 BlackLock 使用 Go 语言）。 – BlackLock 的主要运营者之一 “$$$” 于 2025 年 3 月 11 日启动了一个名为 Mamona 的短期勒索软件项目。 在令人意外的转折中，BlackLock 的数据泄露网站于 2025 年 3 月 20 日被 DragonForce 篡改——很可能是通过利用相同的 LFI 漏洞（或类似漏洞）——其配置文件和内部聊天记录被泄露在网站首页上。就在前一天，Mamona 勒索软件的数据泄露网站也遭到了篡改。 Resecurity 表示：“目前尚不清楚 BlackLock 勒索软件（作为一个团伙）是否开始与 DragonForce 勒索软件合作，或者是否悄然转归新所有者旗下。新主人可能接管了该项目及其附属网络，因为勒索软件市场正在整合，他们意识到其前任可能会被攻破。” “BlackLock 和 Mamona 勒索软件事件发生后，关键人物‘$$$’并未表现出任何惊讶。该人物可能完全清楚自己的行动可能已经被攻破，因此悄然退出之前的项目可能是最合理的选择。”   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文