HackerNews 编译，转载请注明出处： 2024 年，通过谷歌的漏洞赏金计划（VRP），660 名安全研究员因报告安全漏洞共获得了近 1200 万美元的赏金。 谷歌在去年对 VRP 的奖励结构进行了改革，将单笔最高奖励提升至 151515 美元，而移动 VRP 为顶级应用的关键漏洞提供高达 300000 美元的奖励（对于特别高质量的报告，最高奖励可达 450000 美元）。 去年 7 月，云 VRP 将顶级奖励金额最高上调了五倍，而 Chrome 安全漏洞的赏金如今也已超过 250000 美元。 去年，谷歌还将 MiraclePtr 绕过漏洞的赏金从 100115 美元提高到 250128 美元，翻了一倍多。此外，2023 年 10 月推出的 kvmCTF 新漏洞赏金计划，旨在提升基于内核的虚拟机（KVM）管理程序的安全性，为完整的虚拟机逃逸漏洞提供 250000 美元的赏金。 谷歌表示，自 2010 年首个漏洞赏金计划启动以来，已累计发放 6500 万美元的漏洞赏金，而去年的最高单笔奖励超过 110000 美元。 2024 年，谷歌向 137 名 Chrome VRP 研究员发放了 340 万美元，以奖励他们报告的 137 个有效 Chrome 安全漏洞。 去年，谷歌还向通过 Android 和谷歌设备安全奖励计划以及谷歌移动漏洞赏金计划报告安全漏洞的研究员支付了 330 多万美元。 “2025 年，我们将庆祝谷歌 VRP 15 周年。15 年来，我们始终致力于与安全社区的合作、创新和透明度，未来也将继续如此。” 谷歌表示，“我们的目标仍然是领先于新兴威胁，适应技术发展，并持续增强谷歌产品和服务的安全性。” 2023 年，谷歌向 632 名研究员支付了 1000 万美元，以奖励他们发现并负责任地报告其产品和服务中的安全漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）将开始向被Restoro和Reimage两家技术支援公司误导的受害者分发超过2550万美元的退款。 FTC将从3月13日起通过PayPal向736375名消费者发送退款，这些消费者曾被欺骗支付不必要的电脑维修服务费用。从现在到3月13日期间，符合条件的退款接收者将收到电子邮件，并需在30天内兑换PayPal付款。 Restoro Cyprus Limited和Reimage Cyprus Limited因违反FTC法案和电话营销规则，于一年前被罚款2600万美元。他们通过在线广告和弹出窗口，冒充Windows弹出窗口和系统警告，声称消费者的电脑感染了恶意软件、存在性能问题，并需要紧急关注以避免损害。 “自2018年1月以来，被告通过互联网和电话营销，以Restoro和Reimage的品牌名称，向消费者推销所谓的电脑维修服务，”FTC在投诉中表示，“被告使用相同的欺骗手段来营销和销售Restoro和Reimage，包括欺骗性弹出窗口、互联网营销、扫描所谓的错误和风险，以及电话营销。” “被告的弹出窗口和互联网广告以提供免费扫描或电脑‘更新’为诱饵吸引消费者。无论电脑实际状况如何，扫描或更新最终都会发现所谓的性能或安全问题，需要进行维修。” 正如FTC在2024年3月所揭示的，其调查人员也曾在2022年5月至6月期间为Restoro，以及2022年7月至8月期间为Reimage支付了服务费用，以复制消费者体验。 尽管用于测试购买服务的设备没有性能或安全问题，并且运行着杀毒软件，但使用这两家公司的软件进行扫描“揭示”了数百个需要修复的问题，包括“电脑隐私问题”、“崩溃的程序”、“垃圾文件”和“损坏的注册表问题”。 他们还被要求支付高达58美元的“电脑维修计划”费用，并在支付后被敦促拨打“激活”电话给Restore和Reimage的电话营销人员，后者告知他们软件无法修复所有问题。 Restoro和Reimage的电话营销人员要求访问调查人员的电脑，并声称发现更多“错误、关键警告、病毒或恶意软件”，同时指向与标准且无害的系统错误和警告相关的Microsoft Windows事件查看器日志条目。 “电话营销人员随后推荐由技术人员提供的维修服务。他们提供各种‘维修计划’，价格分别为‘银牌’服务199.99美元、‘金牌’服务299.99美元或‘铂金’服务499.99美元，”FTC当时补充道。 除了2600万美元的罚款外，FTC的命令还禁止这两家公司使用欺骗性电话营销和歪曲性能或安全问题，以恐吓消费者购买不必要的电脑维修服务。 去年，FTC还命令Turbotax制造商Intuit停止营销“免费”但并非免费的软件，禁止Avast出售用户浏览数据用于广告目的，并禁止数据经纪公司InMarket和Outlogic出售美国人的原始位置数据。 12月，该机构还向受Epic Games使用暗模式欺骗玩家进行不必要的购买影响的人分发了超过7200万美元的Fortnite退款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亲巴勒斯坦的黑客组织 Dark Storm 声称，周一通过分布式拒绝服务（DDoS）攻击导致全球多地的 X 平台（原推特）出现中断，X 平台随后启用了 Cloudflare 的 DDoS 防护服务。 X 平台的所有者埃隆·马斯克虽未明确指出中断是由于 DDoS 攻击，但他确认是遭到了“大规模网络攻击”。 “针对 X 平台的网络攻击仍在持续，”马斯克在 X 平台上发文称，“我们每天都会遭受攻击，但这次动用了大量资源，可能是大型有组织的团体或某个国家所为。” Dark Storm 是一个亲巴勒斯坦的黑客组织，于 2023 年成立，曾多次攻击以色列、欧洲和美国的组织。 该组织今日在 Telegram 频道上发布消息，声称对 Twitter 发起 DDoS 攻击，并分享了攻击证明的截图和链接。 Check-host.net 是一个允许用户检查全球不同服务器上网站可用性的网站，常在 DDoS 攻击期间用于展示攻击正在进行。 X 平台目前受 Cloudflare 的 DDoS 防护服务保护，当可疑 IP 地址连接网站或单个 IP 地址请求过多时，会显示验证码。 该网站的 help.x.com 部分目前对所有请求都显示 Cloudflare 验证码。 黑客组织多次证明，他们能够利用僵尸网络等资源，干扰大型科技平台。 2024 年，美国指控两名苏丹兄弟涉嫌运营 Anonymous Sudan 黑客组织。 该组织成功使包括 Cloudflare、微软和 OpenAI 在内的多家大型科技公司的网站和 API 下线，导致全球众多用户服务中断。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的大规模恶意软件活动正在通过伪装成旨在绕过在线服务限制的工具，用名为SilentCryptoMiner的加密货币矿工感染用户。 俄罗斯网络安全公司卡巴斯基表示，这一活动是更大趋势的一部分，网络犯罪分子越来越多地利用Windows数据包重定向（WPD）工具，以限制绕过程序的形式分发恶意软件。 “此类软件通常以存档形式分发，附带文本安装说明，开发者以误报为由建议禁用安全解决方案，”研究人员列昂尼德·别兹韦申科、德米特里·皮库什和奥列格·库普列夫表示，“这正好符合攻击者的利益，使他们能够在不受保护的系统中持续存在，而不会被发现。” 这种手段已被用于传播窃取程序、远程访问工具（RATs）、提供隐藏远程访问的特洛伊木马以及像NJRat、XWorm、Phemedrone和DCRat这样的加密货币矿工。 这一策略的最新变化是一场活动，通过伪装成基于深度数据包检测（DPI）绕过工具的矿工，感染了2000多名俄罗斯用户。据说，该程序通过一个拥有6万订阅者的YouTube频道上的恶意存档链接进行宣传。 在2024年11月发现的后续策略升级中，威胁者被发现冒充工具开发者，以虚假的版权打击通知威胁频道所有者，要求他们发布带有恶意链接的视频，否则以所谓的侵权为由面临频道被关闭的风险。 “2024年12月，用户报告了通过其他Telegram和YouTube频道分发的感染矿工的工具版本，这些频道随后被关闭，”卡巴斯基表示。 这些带有陷阱的存档文件被发现包含一个额外的可执行文件，其中一个合法的批处理脚本被修改为通过PowerShell运行二进制文件。如果系统中安装的杀毒软件干扰攻击链并删除恶意二进制文件，用户将看到一条错误消息，提示他们重新下载文件，并在禁用安全解决方案后运行它。 该可执行文件是一个基于Python的加载程序，旨在检索下一阶段的恶意软件，另一个Python脚本下载SilentCryptoMiner矿工有效载荷并建立持久性，但在检查是否在沙盒中运行并配置Windows Defender排除项之前不会采取行动。 “为了隐身，SilentCryptoMiner采用进程空心化技术将矿工代码注入系统进程（在这种情况下是dwm.exe），”卡巴斯基表示，“该恶意软件能够在配置中指定的进程活动时停止挖矿，并且可以通过网页面板进行远程控制。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2024年9月以来，中东和北非地区成为了一场新型攻击活动的目标，该活动传播了一种经过修改的知名恶意软件AsyncRAT。 “这场利用社交媒体分发恶意软件的活动，与该地区的当前地缘政治气候有关，”Positive Technologies的研究人员克利门蒂·加尔金和斯坦尼斯拉夫·皮日霍夫在上周发布的一份分析报告中表示。“攻击者将恶意软件托管在合法的在线文件共享账户或专门为此目的设立的Telegram频道中。” 据估计，自2024年秋季以来，这场活动已经感染了大约900名受害者，俄罗斯网络安全公司补充道，这表明其传播范围广泛。大多数受害者位于利比亚、沙特阿拉伯、埃及、土耳其、阿拉伯联合酋长国、卡塔尔和突尼斯。 这一活动被归因于一个名为Desert Dexter的威胁行为者，该行为者于2025年2月被发现。其主要手段是在Facebook上创建临时账户和新闻频道，然后利用这些账户发布包含文件共享服务或Telegram频道链接的广告。 网络安全研究人员指出，这些链接会将用户重定向到一个经过修改的AsyncRAT恶意软件版本，该版本包含离线键盘记录功能；搜索16种不同的加密货币钱包扩展和应用程序；并与Telegram机器人通信。 攻击链从一个RAR存档开始，其中包含批处理脚本或JavaScript文件，这些文件被编程为运行PowerShell脚本，该脚本负责触发攻击的第二阶段。 具体来说，它终止了与各种.NET服务相关的进程，这些进程可能会阻止恶意软件启动，从“C:\ProgramData\WindowsHost”和“C:\Users\Public”文件夹中删除扩展名为BAT、PS1和VBS的文件，并在C:\ProgramData\WindowsHost中创建一个新的VBS文件，在C:\Users\Public中创建BAT和PS1文件。 该脚本随后在系统上建立持久性，收集并外泄系统信息到Telegram机器人，截取屏幕截图，并最终通过将AsyncRAT有效载荷注入“aspnet_compiler.exe”可执行文件来启动它。 目前尚不清楚谁是这场活动的幕后黑手，尽管JavaScript文件中的阿拉伯语评论暗示了他们可能的来源。 对发送到Telegram机器人的消息的进一步分析显示，攻击者的桌面截图名为“DEXTERMSI”，其中包含PowerShell脚本以及一个名为Luminosity Link RAT的工具。Telegram机器人中还有一个名为“dexterlyly”的Telegram频道的链接，这表明威胁行为者可能来自利比亚。该频道创建于2024年10月5日。 “大多数受害者是普通用户，包括以下行业的员工：石油生产、建筑、信息技术和农业，”研究人员表示。 网络安全研究人员指出，Desert Dexter使用的工具并不特别复杂。然而，Facebook广告与合法服务的结合以及对地缘政治形势的利用，已经导致了众多设备被感染。 这一消息的出现正值奇安信（QiAnXin）披露了一场名为“海象行动”的鱼叉式网络钓鱼活动的细节，该活动被发现针对中国科研机构，目的是投放一个能够收集与海洋科学和技术相关的敏感信息的后门。 这一活动被归因于一个名为UTG-Q-011的集群，据称，它是另一个敌对集体CNC集团的一个子集，该集团与印度的Patchwork威胁行为者在战术上存在重叠。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员展示了一种新技术，使恶意网络浏览器扩展能够伪装成任何已安装的插件。 “多态扩展创建了目标图标的像素级复制品、HTML弹出窗口、工作流程，甚至暂时禁用合法扩展，使受害者极易相信他们是在向真实扩展提供凭据，”SquareX在上周发布的一份报告中表示。 收集到的凭据随后可能被威胁者滥用，以劫持在线账户并获取未经授权的敏感个人和财务信息访问权限。这次攻击影响了所有基于Chromium的网络浏览器，包括谷歌Chrome、微软Edge、Brave、Opera等。 这种方法利用了用户通常会将扩展程序钉选到浏览器工具栏的事实。在假设的攻击场景中，威胁者可以将多态扩展发布到Chrome网络商店（或任何扩展市场）并将其伪装成实用程序。 网络安全研究人员指出，虽然该插件提供了广告宣传的功能以免引起怀疑，但它在后台通过主动扫描与特定目标扩展相关的网络资源（使用一种称为网络资源撞击的技术）来激活恶意功能。 一旦识别出合适的目标扩展，攻击便会进入下一阶段，导致其变成合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标匹配，并通过“chrome.management”API暂时禁用实际插件来实现的，这会导致它从工具栏中被移除。 “多态扩展攻击极为强大，因为它利用了人类依赖视觉线索进行确认的倾向，”SquareX表示。“在这种情况下，工具栏上扩展图标用于告知用户他们正在交互的工具。” 这一发现是在该公司一个月前披露另一种名为“浏览器同步劫持”的攻击方法之后得出的，该方法可以通过看似无害的浏览器扩展来控制受害者的设备。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 出于经济利益驱动的威胁组织EncryptHub被发现通过复杂的网络钓鱼活动部署信息窃取器和勒索软件，同时还在开发一款名为EncryptRAT的新产品。 Outpost24的KrakenLabs在一份报告中称：“EncryptHub通过分发热门应用的被篡改版本来攻击用户，还利用了第三方按安装付费（PPI）分发服务。” 这家网络安全公司将该威胁组织描述为一个存在操作安全失误的黑客团体，且该团体会将针对热门安全漏洞的利用整合到攻击活动中。 EncryptHub还被瑞士网络安全公司PRODAFT追踪为LARVA-208，被认为自2024年6月底开始活跃，采用从短信钓鱼到语音钓鱼等多种方式，诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司向《黑客新闻》透露，该网络钓鱼组织与RansomHub和Blacksuit勒索软件组织有关联，过去九个月里，利用高级社会工程学手段攻击了618个高价值目标，涉及多个行业。 “攻击者通常会创建一个针对组织的钓鱼网站来获取受害者的VPN凭证，”PRODAFT表示，“随后，受害者会接到电话，被要求在钓鱼网站上输入个人信息以解决技术问题，对方伪装成IT团队或客服。如果攻击不是通过电话，而是直接发送短信，就会使用伪造的Microsoft Teams链接来说服受害者。” 这些钓鱼网站托管在防弹主机提供商Yalishand等平台上。一旦获得访问权限，EncryptHub就会运行PowerShell脚本，进而部署Fickle、StealC和Rhadamanthys等窃取器恶意软件。大多数情况下，攻击的最终目的是投放勒索软件并索要赎金。 威胁者采用的另一种常见方法是使用伪装成合法软件的特洛伊木马应用程序作为初始访问手段。这些包括QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect的假冒版本。 这些被篡改的应用程序一旦安装，就会触发一个多阶段的过程，作为后续有效载荷（如Kematian窃取器）的传递工具，以方便窃取Cookie。 自2025年1月2日起，EncryptHub分发链的一个关键部分是使用名为LabInstalls的第三方PPI服务，该服务为付费客户（从10美元100次安装到450美元10000次安装）提供批量恶意软件安装。 “EncryptHub通过在俄语顶级地下论坛XSS上的LabInstalls销售帖子中留下好评，甚至附上使用该服务的截图，确认自己是其客户，”Outpost24表示。 “该威胁者很可能雇佣这项服务以减轻分发负担并扩大其恶意软件的攻击范围。” 这些变化突显了EncryptHub攻击链的积极调整，该组织还在开发新组件，如用于管理活跃感染、发布远程命令和访问被盗数据的命令与控制（C2）面板EncryptRAT。有证据表明，对手可能正考虑将该工具商业化。 “EncryptHub不断演变其战术，强调了持续监控和积极防御措施的必要性，”该公司表示，“组织必须保持警惕，采用多层次安全策略来降低此类对手带来的风险。” 提醒广大用户：为规避风险，请从官方或可信赖的渠道下载软件，避免使用来路不明的安装包。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 1 月以来，不明身份的黑客组织针对日本的企业发起了一系列恶意攻击，受害者涵盖科技、电信、娱乐、教育及电商行业。   Cisco Talos 研究员 Chetan Raghuprasad 在周四发布的技术报告中指出，攻击者利用 CVE-2024-4577 漏洞（PHP 在 Windows 平台的 PHP-CGI 远程代码执行漏洞）作为初始攻击手段，成功入侵目标系统。   “攻击者利用这一漏洞获取初始访问权限，并运行 PowerShell 脚本，以执行 Cobalt Strike 反向 HTTP shellcode 载荷，从而实现对受感染终端的长期远程控制，”Raghuprasad 表示。   入侵后，攻击者利用 JuicyPotato、RottenPotato、SweetPotato、Fscan 和 Seatbelt 等工具进行侦察、权限提升和横向移动。同时，黑客通过修改 Windows 注册表、创建计划任务及自定义服务等手段，进一步巩固在系统内的持久化控制。此外，攻击者使用 Cobalt Strike 插件 “TaoWu” 进行后渗透攻击。   为了隐藏恶意行为，黑客利用 wevtutil 命令清除 Windows 事件日志，抹除安全、系统及应用日志中的记录。最终，攻击者执行 Mimikatz 命令，从内存中提取并窃取密码及 NTLM 哈希。   攻击的最终目标是窃取凭据，而进一步分析 Cobalt Strike 的命令与控制（C2）服务器后发现，黑客意外暴露了存储在阿里云服务器上的完整攻击工具集。   攻击者使用的工具包括：   – Browser Exploitation Framework（BeEF）：一款公开可用的渗透测试工具，可在浏览器上下文中执行命令。   – Viper C2：一个模块化的 C2 框架，支持远程命令执行，并可生成 Meterpreter 反向 shell 载荷。   – Blue-Lotus：一个 JavaScript Webshell XSS 攻击框架，可用于劫持浏览器会话、窃取 Cookie、截取屏幕截图、创建反向 shell，甚至在内容管理系统（CMS）中创建新账户。   “根据我们观察到的后渗透活动，包括建立持久性、提升至 SYSTEM 级权限，以及对对抗性框架的潜在访问，我们有理由相信，攻击者的动机不仅仅是窃取凭据，而是可能策划更大规模的未来攻击，”Raghuprasad 表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部正式指控俄罗斯加密货币交易所 Garantex 的管理员协助犯罪组织进行洗钱，并违反制裁规定。   涉案人员包括 46 岁的立陶宛籍俄罗斯居民 Aleksej Besciokov 和 40 岁的俄罗斯籍阿联酋居民 Aleksandr Mira Serda。两人自 2019 年至 2025 年间控制 Garantex，现被指控共谋洗钱，最高可判 20 年监禁。   此外，Besciokov 还被指控共谋经营未经许可的资金传输业务（最高可判 5 年监禁）以及违反《国际紧急经济权力法》（最高可判 20 年监禁）。   美国司法部今日表示，自 2019 年 4 月以来，Garantex 至少处理了 960 亿美元的加密货币交易。   Mira Serda 担任 Garantex 的联合创始人兼首席商务官，而 Besciokov 则是技术管理员，负责维护 Garantex 的关键基础设施，并审核、批准交易。   司法部指出，两人明知 Garantex 被用于洗白数亿美元的犯罪所得，并助长黑客攻击、勒索软件、毒品交易及恐怖活动，仍采取措施隐瞒交易所的非法行为。   本周，美国司法部联合德国和芬兰执法机构，查封了 Garantex 的域名（Garantex[.]org、Garantex[.]io、Garantex[.]academy）及其运营服务器。   此外，美国当局还掌握了此前的服务器副本，包括账目记录及客户数据库，并冻结了超过 2600 万美元的洗钱资金。   由于 Garantex 遭到欧盟第 16 轮对俄制裁，稳定币发行商 Tether 已封锁其数字钱包，迫使 Garantex 于周四暂停服务。本轮制裁针对 542 名个人及实体。   Garantex 团队在周四的 Telegram 公告中表示：“我们有坏消息。Tether 参与了针对俄罗斯加密市场的战争，冻结了我们价值超过 25 亿卢布的钱包。”   “我们暂时中止所有服务，包括加密货币提取。目前整个团队正全力解决此问题。我们在战斗，不会放弃！请注意，所有俄罗斯钱包中的 USDT 现已面临风险。”   2022 年 4 月，美国财政部外国资产控制办公室（OFAC）对 Garantex 进行制裁，原因是该交易所涉及超过 1 亿美元的暗网市场及网络犯罪交易，其中包括臭名昭著的 Conti 勒索软件团伙和 Hydra 暗网市场。   此外，2022 年 2 月，爱沙尼亚金融情报部门撤销了 Garantex 的虚拟货币服务许可证，理由是该交易所未能遵守反洗钱和反恐融资（AML/CFT）政策，并与犯罪资金相关的钱包存在关联。   OFAC 当时表示：“尽管失去了爱沙尼亚的许可证，Garantex 仍通过不正当手段向客户提供服务。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Akamai 研究人员发现，Edimax IC-7100 IP 摄像头存在一个关键的命令注入漏洞（CVE-2025-1316），目前正被僵尸网络恶意软件积极利用以攻陷设备。研究人员确认，这一漏洞正在被用于仍在进行中的攻击。该漏洞源于对传入请求的不当中和，允许攻击者通过发送特制请求来执行远程代码。 Akamai 研究员 Kyle Lefton 表示，他们将在下周提供有关该漏洞及其相关僵尸网络的更多技术细节。 在发现该漏洞后，Akamai 向美国网络安全与基础设施安全局（CISA）报告了这一情况，CISA 随后尝试联系台湾厂商 Edimax。 “无论是 Akamai SIRT 还是 CISA 都多次尝试联系厂商（Edimax）。CISA 未能从他们那里得到回应，”Lefton 告诉 BleepingComputer.com。 “我亲自联系了他们并得到了回复，但他们只是说所涉及的设备 IC-7100 已经停产，因此不会收到进一步的更新。由于 Edimax 无法向我们提供更多资讯，这个 CVE 可能影响更广泛的设备范围，而且不太可能发布补丁。” Edimax IC-7100 是一款用于家庭、小型办公大楼、商业设施和工业场所远程监控的 IP 安全摄像头。该产品已不再广泛零售，于 2011 年 10 月发布，Edimax 将其列为“遗留产品”，这意味着它不再生产，很可能也不再获得支持。然而，全球范围内仍有许多这样的设备在使用。 Edimax 漏洞被追踪为 CVE-2025-1316，是一个严重程度为关键的（CVSS v4.0 评分 9.3）操作系统命令注入漏洞，由传入请求的不当处理引起。远程攻击者可以通过向设备发送特制请求来利用此漏洞，从而获得远程代码执行的能力。在此情况下，当前的利用是由僵尸网络恶意软件执行的，旨在攻陷设备。 僵尸网络通常利用这些设备发起分布式拒绝服务（DDoS）攻击、代理恶意流量或作为跳板攻击同一网络中的其他设备。鉴于 CVE-2025-1316 的利用活动正在进行中，受影响的设备应立即下线或更换为获得积极支持的产品。 CISA 建议用户尽量减少受影响设备的网络暴露，将其置于防火墙之后，并将其与关键业务网络隔离。此外，美国机构建议在需要时使用最新的虚拟专用网络（VPN）产品进行安全远程访问。 常见的受感染 IoT 设备迹象包括性能下降、过度发热、设备设置意外更改以及出现异常网络流量。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文