HackerNews 编译，转载请注明出处： 朝鲜威胁行为体Konni近期被发现使用AI工具生成的PowerShell恶意软件，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。 根据Check Point研究团队报告，Konni的恶意活动已超越其常规攻击范围，显示出在亚太地区更广泛的攻击目标。该黑客组织通常攻击韩国、俄罗斯、乌克兰及欧洲的机构。 此次攻击主要针对具备区块链相关资源和基础设施专业知识或访问权限的软件开发人员及工程团队。Konni使用伪装成合法项目文档的诱饵内容，这些内容通常与区块链及加密货币项目相关。 具体而言，攻击活动通过Discord内容分发网络投放模仿项目需求文档的ZIP文件，从而展开多阶段攻击链。诱饵文档包含架构、技术栈、开发时间表等技术细节，部分甚至包含预算和交付里程碑。 研究人员在技术报告中指出：“这种模式表明其意图是渗透开发环境，从而获取包括基础设施、API凭证、钱包访问权限乃至加密货币资产在内的敏感资产。” 为实现攻击目的，攻击者部署了AI生成的PowerShell后门程序。该脚本具有异常精巧的结构，但代码中直接嵌入了注释：”# <– 您的永久项目UUID”。 Check Point解释称：”这种措辞是LLM生成代码的典型特征，模型会明确指示用户如何自定义占位符数值。此类注释常见于AI生成的脚本和教程中。” 研究人员表示，所有这些都凸显了包括朝鲜组织在内的威胁行为体对AI技术的使用日益增多。 Check Point强调：”与针对个人终端用户不同，此次攻击活动的目标似乎是在开发环境中建立据点，通过渗透开发环境可获得跨多个项目和服务的更广泛下游访问权限。AI辅助工具的引入表明攻击者正试图在继续依赖成熟传播手段和社会工程学的同时，加速开发进程并实现代码标准化。” 该组织至少自2014年开始活跃，通常依靠鱼叉式钓鱼攻击传播围绕朝鲜半岛地缘政治议题制作的武器化文档。Konni以针对韩国的机构和个人而闻名，重点关注外交渠道、国际关系、非政府组织、学术界和政府机构，也被追踪为Earth Imp、Opal Sleet、Osmium、TA406和Vedalia。 去年11月，Konni曾被发现通过利用谷歌资产跟踪服务Find Hub攻击Android设备，远程重置受害者设备并清除其个人数据。 消息来源: cybernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta公司周二宣布，将在WhatsApp中新增”严格账户设置”功能，为因身份或职业面临高级网络攻击风险的特定用户提供额外安全防护。这款类似苹果iOS”锁定模式”和安卓”高级保护”的功能，旨在通过牺牲部分使用便捷性，为记者、公众人物等个体提供更强大的间谍软件防护。 启用该安全模式后，部分账户设置将自动调整为最高限制级别，同时自动屏蔽非联系人发送的附件和媒体文件。Meta公司表示：”这项锁闭式功能只需轻点几下即可大幅提升安全等级——自动屏蔽未知发件人的附件媒体、静音陌生来电，并限制其他可能影响应用功能的设置。” 用户可通过”设置 > 隐私 > 高级”路径启用该功能。Meta表示该功能将在未来几周内逐步向全球用户推送。 与此同时，这家社交媒体巨头宣布将在媒体分享功能中采用Rust编程语言，以保护用户的照片、视频和消息免受间谍软件攻击。该公司称此次更新是”全球范围内规模最大的Rust语言库部署”。 Meta指出，采用Rust语言使其能够开发出安全、高性能、跨平台的媒体共享库（”wamedia”），并正在通过三重策略应对内存安全问题： 产品设计层面最大限度减少攻击面暴露 持续投入对现有C/C++代码的安全保障 新代码默认选用内存安全型编程语言 公司补充道：”WhatsApp已部署控制流完整性、强化内存分配器、安全缓冲区处理API等多重防护措施。这是在用户无感知情况下提升安全性的重要进展，也是我们纵深防御战略的组成部分。” 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软日前发布了紧急安全更新，用于修复一个已在野外被积极利用的Office零日漏洞，该漏洞编号为CVE-2026-21509，影响Office 2016至2024多个版本以及Microsoft 365 应用。 该漏洞属于安全机制绕过类型，波及Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及企业版Microsoft 365 Apps。 根据微软的安全公告，漏洞成因在于“Microsoft Office的一项安全决策依赖了不可信的输入，使得攻击者能够借此在本地绕过安全防护。”公告确认该漏洞已被在野利用，并指出：“攻击者需要向用户发送恶意Office文件并诱使其打开。” 本次更新修复了一个可绕过Microsoft 365和Office中OLE安全保护的缺陷，该缺陷会将用户暴露于存在漏洞的COM/OLE控件。 微软已确认Office的预览窗格不受此漏洞影响，且无法作为攻击入口。不过，该公司并未披露关于利用此漏洞的攻击的技术细节。 微软正在努力解决Microsoft Office 2016和2019中的该漏洞，并宣布将尽快发布安全更新。 微软也提供了临时缓解方案以降低风险： Office 2021及更高版本在重启应用程序后，可通过服务端修复自动获得保护。 对于Office 2016和2019版本，用户需要等待并安装即将发布的安全更新，或者立即手动修改注册表来禁用存在隐患的COM/OLE控件。具体操作涉及添加特定的COM 兼容性注册表项，并在其中设置兼容性标志DWORD值。微软提醒，在修改注册表前务必进行备份，修改后需重启Office应用程序才能使防护生效。   消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，安全研究人员确认了一起针对MicroWorld Technologies公司eScan杀毒产品的严重供应链攻击事件。黑客疑似利用厂商合法的更新通道，向用户推送了恶意更新。 根据Morphisec威胁实验室今日发布的研究报告，此次事件导致多阶段恶意软件被分发给全球范围内的企业和个人用户终端。 据悉，这些恶意更新包使用了被盗的eScan代码签名证书进行数字签名，这使得它们看起来合法，轻易绕过了系统常规的信任验证机制。恶意软件一旦成功部署，便会建立持久化驻留，开启远程访问功能，并会主动阻止受感染主机接收任何后续的更新。 多阶段恶意软件内置反清除机制 整个攻击链始于一个被植入了木马的32位eScan程序，该程序在软件更新过程中替换了原有的正常组件。此初始载荷会释放更多恶意模块，包括一个下载器和一个能为攻击者提供受感染系统完全控制权的64位后门。本次攻击活动一个至关重要的特征是恶意软件内置了反清除机制。它通过修改Windows系统的hosts文件并篡改eScan相关注册表项，阻断了终端与eScan官方更新服务器的连接。这使得受感染的设备无法自动获取修复补丁。 恶意软件通过创建伪装成Windows磁盘碎片整理任务的计划任务，以及使用随机生成的GUID名称的注册表项来实现持久化。同时，下载器模块还会尝试与外部命令与控制（C2）服务器通信以获取更多攻击载荷，不过这些C2服务器的当前状态尚未明确。 检测、响应与处置建议 Morphisec称，其在恶意软件开始分发后的数小时内，就在部署了其防护方案的客户系统上检测并拦截了相关恶意活动。 据称，Morphisec在事发当日便联系了MicroWorld Technologies。eScan方面则表示，其通过内部监控发现了异常，在一小时内隔离了受影响的基础设施，并将全球更新系统离线了超过八小时以进行处理。 然而，Morphisec指出，尽管厂商声称已通过电话直接通知客户，但其客户仍需主动联系eScan技术支持才能获得具体的修复方案。 Infosecurity网站已就此事联系eScan寻求置评，但截至发稿前未获回复。Morphisec建议所有使用eScan产品的组织立即采取以下应对措施： ·在终端上搜索已知的恶意文件哈希值。 ·检查Windows\Defrag\目录下的计划任务，排查可疑项。 ·审查注册表中那些包含编码数据、以GUID格式命名的键值。 ·封锁已识别的C2域名。 ·立即吊销对涉事被盗eScan代码签名证书的信任。 对于未部署有效防护的系统，建议直接假定其已遭入侵，立即隔离受感染设备并进行全面的取证分析。截至本文发布，eScan官方尚未就此事件发布公开安全公告，相关调查据称仍在进行中。 消息来源:infosecurity-magazine.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，荷兰一家大型会计师事务所已成为活跃勒索软件组织Nova的最新攻击目标。 2026年1月23日，该入侵事件被一家勒索软件活动跟踪平台发现并记录，其攻击发生时间估计与发现日期相近。 攻击者宣称已窃取大量敏感数据，并给出了为期10天的最后通牒，要求受害方与其联系并就支付赎金进行谈判。 事件详情 毕马威是全球领先的专业服务机构，为众多大型跨国企业提供审计、税务及咨询等全方位服务。 其荷兰分部掌握着大量客户敏感数据，涵盖金融服务、合规审计及企业运营的敏感客户数据。 此次攻击目标的选择，符合Nova勒索软件一贯的作案模式，即专注于攻击专业服务与金融行业的知名企业。Nova已被视为当前勒索软件领域的重要威胁之一。 威胁情报数据显示，该组织在Tor网络上部署了多个命令与控制服务器节点。 对公开攻击指标的分析表明，Nova通过分布在多个“.onion”域名下的基础设施来实施数据泄露。 该团伙的后端服务器采用基于uvicorn的标准架构，表明其采用了标准化的后端部署。 安全建议 网络安全团队应立即封锁已识别的相关域名基础设施，并密切监控网络内是否存在与勒索软件部署相关的横向移动活动。 一旦在网络日志中发现任何与Nova相关的入侵痕迹或攻击指标，必须立即启动应急预案。 截至目前，毕马威官方尚未就此次事件公开发表声明。 建议客户及其他相关方密切关注其官方渠道的后续通报，以获取事件影响的详细评估及修复进展的时间表。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Crunchbase近日确认发生数据泄露事件。此前，名为ShinyHunters的网络犯罪组织声称从其系统中窃取了超过200万条个人记录。 由于勒索失败，ShinyHunters已在相关网站上公开泄露了一个容量为402 MB的压缩数据包。 Crunchbase表示，此次事件未影响公司正常运营，且安全漏洞现已得到遏制。公司已通报美国联邦当局，并正借助外部专家力量调查此事。目前，Crunchbase正在评估被泄露的数据内容，以确定是否需要依法发布通知。 Crunchbase在给SecurityWeek的声明中称：“Crunchbase检测到一起网络安全事件，有威胁行为者从公司内部网络窃取了某些文件。此事件未造成业务运营中断。我们已控制住事态，系统是安全的。” 声明进一步指出：“在发现事件后，我们立即聘请了网络安全专家协助处理，并联系了联邦执法机构。我们已知悉威胁行为者在网上公开了部分信息。根据事件响应流程，我们正在审查受影响的信息，并将依据相关法律要求决定是否需发布通知。” ShinyHunters团伙最近重启了其数据泄露网站，列出的受害者包括SoundCloud、Betterment以及本次的Crunchbase，前两家公司此前也已承认遭遇数据泄露。 ShinyHunters是一个以牟利为目的的网络犯罪组织，自2020年起持续活跃。它从大型企业窃取海量个人及公司数据，若赎金要求未被满足，便在地下论坛出售或公开泄露这些数据。该组织常利用窃取的凭证、云服务漏洞及社交工程手段实施攻击，并曾宣称对Tokopedia等知名平台及其他高价值目标的大规模数据泄露事件负责。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Varonis报告称，一个地下网络犯罪论坛上出现的新型恶意软件工具包，可以在提供钓鱼页面时保持浏览器地址栏不被修改。 这款被称为Stanley的恶意软件即服务工具包，定价在2000至6000美元之间，首次于1月12日被发现，其发布帖子声称它可以创建绕过谷歌商店审核的扩展程序。 Varonis发现，其顶级的定价为威胁行为者提供了定制选项、一个管理面板，并保证能在Chrome网上应用商店上架。 这家网络安全公司指出：“这个保证是此次商业活动的核心：它将分发风险从买家身上转移，并暗示卖家拥有一种可重复通过谷歌审核流程的方法。” 一个基于网络的管理界面为不法分子提供了受感染主机的视图，显示诸如IP地址（用作标识符）、在线状态、浏览器历史状态以及最后活动时间戳等信息。 它还允许操作者选择单个目标并为其配置特定的URL劫持规则，这些规则包括源/合法URL和目标/钓鱼URL。 Varonis解释道：“每条规则可按感染实例激活或停用，使操作者能够分阶段部署攻击并按需触发。” 更重要的是，受害者会在浏览器的地址栏中看到他们试图访问的合法网址，而实际上却在与攻击者控制的内容进行交互。 Varonis解释道：“除了被动劫持，操作者还可以通过实时投递通知，主动引诱用户访问目标页面。这些通知来自Chrome浏览器本身，而非网站，因此它们承载着更多隐含的信任。” 对使用Stanley构建的极简笔记和书签扩展程序Notely的分析显示，其创建者在其中打包了合法功能，但也将其设计为请求必要的权限，以完全控制用户访问的网站。 该扩展包含一个持久的轮询机制，不断与其命令与控制服务器进行校验，实现了备用域名轮换，并拦截网站访问以覆盖一个包含钓鱼页面的全屏iframe。 Varonis解释道：“浏览器的地址栏继续显示合法域名（例如binance.com），而受害者看到并与之交互的却是攻击者的钓鱼页面。” 这家网络安全公司指出，Stanley的价格区间使其能够被广泛的网络犯罪分子获取，而潜入Chrome网上应用店的恶意扩展程序可能会活跃数月，悄无声息地窃取凭证。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员日前发现了一个规模庞大的反向链接非法交易市场，其目的是帮助网络犯罪分子提升恶意网页在搜索引擎结果中的排名。 Fortra公司的威胁情报与研究专家在Telegram和WhatsApp平台上发现了这项名为“HaxorSEO”（亦称“HxSEO”）的黑产服务。该服务通过一份谷歌表格，提供了超过1000个指向事先被攻陷但表面合法的域名的反向链接。 Fortra解释道：“这些域名通常已注册15至20年，售卖时会附带一系列‘信任度’评分，用以宣传所购反向链接在提升搜索引擎排名方面的效果。”“一旦买家付款，该团伙就会将包含恶意地址的反向链接植入目标合法域名，从而大大提高买家达成其恶意目的的成功率。” 攻击者首先通过植入Webshell来控制这些合法网站。随后，购买服务的威胁行为者便可利用这些植入的链接，提升其恶意网站的搜索排名，将毫无戒心的用户诱骗至旨在窃取凭证或分发恶意软件的钓鱼页面。 Fortra指出，在某些案例中，经HxSEO优化后的虚假银行登录页面，其搜索排名甚至超过了它们所仿冒的正规官方网站。 供应商还声称，Haxor还能够通过在垃圾、低权威度的网站上部署垃圾反向链接，来拉低被模仿的合法页面的SEO评分。 低成本，高危害 此项服务每条反向链接的售价低至6美元，并可自动将所需代码注入被攻陷的网站，对威胁行为者而言极具吸引力。报告警告称：“由于在搜索结果中极难甄别这些恶意反向链接，加之其低廉的成本，这必然会导致大规模攻击的发生。” HxSEO市场在列出每条恶意反向链接时，都会附上常见的SEO指标，用以说明对应域名或网页的权威性与强度。 Fortra进一步说明：“页面权威值（PA）、域名权威值（DA）和域名评级（DR）可用于预测该网站用于SEO投毒的效果，其中域名评级（DR）最能体现该域名反向链接档案的‘威力’。” “垃圾邮件评分（SS）则用于评估域名因违规而被惩罚或视为垃圾邮件的风险。该列表通常同时展示100至150个被攻陷的网站，其中被遗忘的学术期刊页面尤为受青睐。” 报告提到，Haxor团队最常利用存在漏洞的PHP组件和WordPress插件，通过各类文件上传及远程代码执行漏洞实施攻击。 用户需提高警惕 尽管搜索引擎持续打击此类恶意行为，但新域名、新反向链接和内容的不间断供应，足以维持像Haxor这类黑产的运转。此外，Fortra表示，购买这些服务的客户可能只需让恶意钓鱼网站上线运行数天或数周，便能达到窃取信息的目的。该威胁情报公司正与相关的域名服务商、网站所有者及搜索引擎合作，以期取缔这些恶意页面。同时，报告也呼吁用户提升自身防范意识。 报告总结并建议道：“用户应对通过搜索引擎访问的网址（尤其是银行登录页面）保持警惕。最佳做法是将网银等敏感登录页面直接添加为书签，而非每次通过搜索引擎查找。” “务必仔细核验网址中的域名是否真实合法，并留意那些带有不易察觉的细微拼写差异的仿冒域名。如若无法确定，应直接联系银行以核实正确的登录页面地址。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec与Carbon Black的研究人员发现了一种名为Osiris的新型勒索软件变种，该变种于2025年11月被用于攻击一家东南亚大型食品服务特许经营商。 根据Symantec和VMware Carbon Black威胁猎手的分析，攻击者部署了一个名为POORTRY的恶意驱动程序，用自带漏洞驱动技术来禁用安全软件。 目前对Osiris的开发者，或其是否以勒索软件提供服务知之甚少，但有证据表明其与INC勒索软件存在关联。 Symantec与Carbon Black发布的报告中指出：“虽然这款Osiris勒索软件与2016年出现的同名勒索软件家族（Locky勒索软件的一个变种）重名，但没有迹象表明这两个家族之间存在任何关联。” Osiris似乎是一种新型勒索软件变种，与2016年基于Locky的同名变种无关。其开发者及任何RaaS模式仍属未知，但博通研究人员发现了攻击者与INC勒索软件团伙有相关联的迹象。 Osiris是一款功能齐全的勒索软件，能够停止服务和进程、选择要加密的文件和文件夹，并投放勒索信。研究人员报告称，该软件支持多种命令选项来定义目标、设置日志记录、选择加密模式以及Hyper-V等相关操作。这个新的勒索软件家族会跳过特定文件类型和系统文件夹，为加密文件附加.Osiris扩展名，删除VSS快照，并终止数据库、备份和生产力相关进程。该恶意软件使用混合ECC和AES-128-CTR加密，每个文件使用唯一密钥，通过完成端口管理异步输入/输出操作，并留下一份名为Osiris-MESSAGE.txt的勒索信，并在勒索信中提及敲诈细节和谈判链接。攻击链在勒索软件部署的数天前便已启动，攻击者当时使用Rclone工具悄悄窃取数据，并将其上传到Wasabi云存储桶中。这种方法，连同重用的工具（如名为kaz.exe的Mimikatz变体），都与过去Inc勒索软件的操作手法如出一辙，表明这可能是模仿或由前Inc附属组织参与的行动。 报告继续指出：“攻击者还部署了Netscan、Netexec和MeshAgent等其他具有双重用途的工具。他们还使用了定制版的Rustdesk远程监控和管理工具，该工具被修改以伪装其功能，并加入了‘WinZip远程桌面’的文件描述和WinZip图标，企图隐藏其真实用途。” 攻击者使用常见的双重用途工具进行网络探测和访问，外加一个伪装成“WinZip远程桌面”的修改版RustDesk远程工具以隐藏其目的。为了瘫痪防御系统，他们在一次自带漏洞驱动攻击中，部署了伪装成Malwarebytes组件的Poortry驱动程序，用以关闭安全软件。KillAV也为了达成目的而被使用。最后，在启动勒索软件之前，他们启用了RDP以维持远程访问。 Osiris是技术娴熟的威胁行为者使用的一款能力强大的新型勒索软件。研究人员强调，工具的重复使用和战术表明其可能与Inc附属组织及Medusa活动存在潜在联系，尽管这样的关联尚不明确。 报告总结道：“勒索软件领域的形势不断变化，新勒索软件家族的出现始终值得密切关注。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 爱尔兰一名高级官员本周表示，爱尔兰政府计划起草一项立法，使执法部门使用间谍软件合法化。 爱尔兰司法、内政与移民事务部长吉姆·奥卡拉汉于周二表示，爱尔兰有必要加强“合法拦截权”，并“为使用隐蔽监视软件建立法律依据”，以更有效地打击严重犯罪与安全威胁。 公告称，该法案将要求所有的拦截请求必须获得法院授权。 根据公告，该法律还将包含一项条款，允许使用电子扫描设备，这类设备可精确定位并记录移动设备的识别数据，从而将其追踪至特定区域。 奥卡拉汉在声明中表示：“新立法还将包含有力的法律保障措施，以持续确保这些权力的使用是必要且适度的。” 公告指出，司法部将与爱尔兰总检察长办公室及其他国家机构合作，共同制定该法律框架。 奥卡拉汉称这项计划中的立法“早该出台”。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文