HackerNews 编译，转载请注明出处： Lumen Technologies的Black Lotus Labs团队表示，自2025年10月初以来，他们已阻断了流向与AISURU/Kimwolf僵尸网络相关的超过550个命令与控制节点的流量。 AISURU及其Android对应物Kimwolf已成为近期规模最大的僵尸网络之一，能够操控受控设备参与分布式拒绝服务攻击，并为住宅代理服务转发恶意流量。 关于Kimwolf的细节于上月浮出水面。该软件通过直接或通过设备预装的不可靠应用程序，向受感染的设备分发一个名为ByteConnect的软件开发工具包，从而将其转变为住宅代理。最终结果是，该僵尸网络通过住宅代理网络进行隧道传输，已感染超过200万台暴露了Android调试桥服务的Android设备，使威胁行为者能够入侵大量电视盒子。 Synthient随后的报告披露，Kimwolf的操作者试图出售代理带宽以换取预付现金。 Black Lotus Labs表示，基于对Aisuru后端C2服务器65.108.5[.]46的分析，他们于2025年9月识别出一组源自多个加拿大IP地址的住宅SSH连接，这些IP地址使用SSH访问194.46.59[.]169，即proxy-sdk.14emeliaterracewestroxburyma02132[.]su。 值得注意的是，该二级域名在2025年11月Cloudflare的顶级100域名榜单中曾超越Google，促使该网络基础设施公司将其从列表中移除。 随后，在2025年10月初，该网络安全公司表示，他们识别出另一个C2域名——greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su——其解析至104.171.170[.]21，这是一个属于犹他州托管服务提供商Resi Rack LLC的IP地址。该公司自称是”高级游戏服务器托管提供商”。 这一关联至关重要，因为独立安全记者Brian Krebs近期的报告揭示了基于此类僵尸网络的各类代理服务背后人员如何在一个名为resi[.]to的Discord服务器上推销其”warez”。这包括Resi Rack的联合创始人，据说他们近两年来一直积极通过Discord销售代理服务。 该服务器现已消失，其所有者名为”d”（推测是昵称”Dort”的缩写），而”Snow”被认为是僵尸网络的掌控者。 “在10月初，我们观察到在7天时间内，加入Kimwolf的新僵尸数量激增了300%，这是增长的开端，到月中时僵尸总数达到了80万，”Black Lotus Labs说，”这次激增中几乎所有的僵尸都被发现挂牌在单一的住宅代理服务上出售。” 随后发现，在2025年10月20日至11月6日期间，Kimwolf的C2架构会扫描PYPROXY等服务以寻找易受攻击的设备——这种行为是因为僵尸网络利用了众多代理服务中的一个安全漏洞，该漏洞使其能够与住宅代理端点内网的设备交互并植入恶意软件。 这进而将设备转变为住宅代理节点，导致其公网IP地址被列在住宅代理提供商网站上出租。威胁行为者随后租用对受感染节点的访问权限，并利用它扫描本地网络，寻找启用了ADB模式的设备以进一步传播。 “在2025年10月成功阻断一次路由后，我们观察到greatfirewallisacensorshiptool域名转移到了104.171.170[.]201，这是另一个Resi Rack LLC的IP地址，”Black Lotus Labs指出，”随着该服务器上线，我们观察到大量流量涌向176.65.149[.]19:25565，这是一个用于托管其恶意软件的服务器。该服务器所在的自治系统号当时正被Aisuru僵尸网络同时使用。” 此次披露的背景是，Chawkr的一份报告详细描述了一个包含832台受感染KeeneticOS路由器的复杂代理网络，这些路由器在Net By Net Holding LLC、VladLink和GorodSamara等俄罗斯ISP中运行。”所有832台设备上一致的SSH指纹和相同的配置指向了自动化的大规模利用，无论是利用窃取的凭证、嵌入式后门还是路由器固件中已知的安全漏洞，”报告称，”每台被入侵的路由器都同时保持HTTP和SSH访问权限。” 鉴于这些被入侵的SOHO路由器充当住宅代理节点，它们为威胁行为者提供了融入正常互联网流量以开展恶意活动的能力。这说明了对手如何越来越多地利用消费级设备作为多阶段攻击的渠道。 “与数据中心IP或已知托管提供商的地址不同，这些住宅代理端点在大多数安全厂商声誉列表和威胁情报源的雷达之下运行，”Chawkr指出，”其合法的住宅分类和清洁的IP声誉使得恶意流量能够伪装成普通的消费者活动，规避了那些会立即标记出来自可疑托管基础设施或已知代理服务请求的检测机制。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Node.js已发布更新，修复了一个被其描述为影响”几乎所有生产环境Node.js应用”的严重安全问题。若被成功利用，该漏洞可能引发拒绝服务条件。 Node.js的Matteo Collina和Joyee Cheung在周二的一份公告中表示：”Node.js/V8会尽力从栈空间耗尽中恢复，并抛出一个可捕获的错误，许多框架已依赖此机制来保证服务可用性。但一个仅在启用async_hooks时才会复现的bug会破坏这种恢复尝试，导致当用户代码中的递归耗尽栈空间时，Node.js会直接退出并返回代码7，而不会抛出可捕获的错误。这使得那些递归深度由未净化的输入控制的应用程序容易遭受拒绝服务攻击。” 该漏洞的核心在于，当启用async_hooks且用户代码发生栈溢出时，Node.js会直接以退出码7（表示内部异常处理程序运行时失败）退出，而不是正常地处理异常。Async_hooks是一个底层的Node.js API，允许开发者跟踪数据库查询、定时器或HTTP请求等异步资源的生命周期。 Node.js表示，由于许多框架和应用程序性能监控工具使用了AsyncLocalStorage（一个构建在async_hooks模块之上的组件，使得在整个异步操作生命周期内存储数据成为可能），该问题影响了多个框架和APM工具，包括React Server Components、Next.js、Datadog、New Relic、Dynatrace、Elastic APM和OpenTelemetry。 该漏洞已在以下版本中得到修复： Node.js 20.20.0 (LTS) Node.js 22.22.0 (LTS) Node.js 24.13.0 (LTS) Node.js 25.3.0 (Current) 此问题还影响从8.x（首个包含async_hooks的版本）到18.x的所有Node.js版本。值得注意的是，代号为Carbon的Node.js 8.0.0版本发布于2017年5月30日。然而，这些版本由于已达到生命终止状态，将不会收到补丁。 已实施的修复会检测栈溢出错误并将其重新抛给用户代码，而不是将其视为致命错误。该漏洞被追踪为CVE-2025-59466（CVSS评分：7.5）。尽管实际影响重大，但Node.js表示，由于以下几个原因，他们仅将此修复视为一种缓解措施： 栈空间耗尽不属于ECMAScript规范的一部分。 V8 JavaScript引擎不将其视为安全问题。 作为异常处理最后一道防线的”uncaughtException”处理程序存在限制。 Node.js表示：”尽管这是对未指定行为的错误修复，但由于其对生态系统的广泛影响，我们选择将其包含在安全版本中。React Server Components、Next.js以及几乎所有的APM工具都受到影响。此修复改善了开发者体验，并使错误处理更具可预测性。” 鉴于该漏洞的严重性，建议相关框架/工具的用户及服务器托管提供商尽快更新。同时，建议库和框架的维护者应用更强大的防御措施来应对栈空间耗尽问题，确保服务可用性。 此次披露之际，Node.js还修复了另外三个高危漏洞（CVE-2025-55131、CVE-2025-55130和CVE-2025-59465），这些漏洞可能分别被利用来实现数据泄漏或损坏、通过精心构造的相对符号链接路径读取敏感文件，以及触发远程拒绝服务攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护监管机构对一家法国电信巨头处以4800万美元罚款，因其网络安全漏洞导致大规模数据泄露， 2024年10月，一名黑客侵入了法国Free SAS及其姊妹公司Free Mobile的信息系统，获取了包括国际银行账号在内的2400万订阅者的个人数据。 Free SAS是一家主要电信服务提供商，Free Mobile是一家移动网络运营商。两者都是法国Iliad集团的子公司。 数据保护监管机构，即法国国家信息与自由委员会，在数据泄露事件发生后启动了调查，并发现其违反了欧洲的《通用数据保护条例》。 CNIL周三表示，对Free罚款2700万欧元（3100万美元），对Free SAS罚款1500万欧元（1700万美元）。 Iliad集团的一位发言人在一份声明中表示，公司将就这一决定向法国最高行政法院提出上诉。”该决定的严厉程度前所未有，与先前涉及网络攻击的案件相比，所施加的制裁完全不成比例，”声明称。”自2024年10月以来，我们已加强了安全架构，强化了访问控制，并实施了增强的实时监控。我们订阅者的数据受到符合最高安全标准的系统保护。” 根据CNIL的说法，罚款金额受到了被黑数据的敏感性、公司的高额利润以及其”对基本安全原则缺乏了解”的影响。 CNIL表示，公司缺乏足够的安全措施，包括为其VPN连接提供弱认证程序，以及没有有效的措施来检测其信息系统上的异常活动。 公司还违反了GDPR关于泄露通知的要求，没有向受影响客户提供足够的信息，以”直接理解数据泄露的后果，或了解他们可以采取哪些措施来保护自己”。 CNIL还指控，Free Mobile保留了前订阅者的数据，不必要地使其面临风险。 该机构表示，自调查开始以来，公司已采取措施改善其安全性，并被责令继续这样做。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日捣毁了一个名为RedVDS的流行网络犯罪订阅服务平台。据称，仅在美国，该平台就造成了超过4000万美元的诈骗损失。 微软助理总法律顾问史蒂文·正田表示，RedVDS为网络犯罪分子提供了一次性的虚拟计算机，这使得诈骗活动成本低廉、易于扩大规模且难以追踪。 作为一场与欧洲刑警组织和德国当局合作的更广泛国际执法行动的一部分，微软在美国和英国提起了民事诉讼。该公司与执法部门合作，查封了托管RedVDS市场和客户门户的两个域名，并采取措施追查该骗局背后的涉案人员。目前尚未公开任何嫌疑人姓名。 德国州刑事警察查封了一台用于运行RedVDS的服务器，使得该市场平台下线。 “RedVDS是一种在线订阅服务，属于日益增长的’网络犯罪即服务’生态系统的一部分，网络犯罪分子在此买卖服务和工具以大规模发起攻击，”正田说。”它提供对运行未授权软件的廉价、有效、一次性虚拟计算机的访问，使犯罪分子能够快速、匿名地跨境操作。” 网络犯罪分子每月仅需支付24美元即可访问该平台，并利用它发送钓鱼邮件、托管诈骗基础设施等。RedVDS自2019年开始存在，一直通过一家据称位于巴哈马的虚假公司公开运营。大多数客户使用比特币和其他加密货币购买该网站的服务。 正田解释说，仅在一个月内，微软就观察到超过2600个不同的RedVDS虚拟机向微软客户平均每天发送100万条钓鱼信息。虽然大部分信息被拦截，但仍有少量可能到达了目标收件箱。自9月以来，RedVDS支持的攻击”已导致全球超过130,000个组织中的超过191,000个微软电子邮件账户遭到入侵或被欺诈性访问”，他补充道。 微软与两家共同原告方一起提起了民事诉讼以关闭这些平台：一家是位于阿拉巴马州的制药公司H2 Pharma，另一家是佛罗里达州的Gatehouse Dock共管公寓协会。H2 Pharma遭遇的网络犯罪分子利用RedVDS窃取了超过730万美元，而该公寓协会则损失了居民和业主为维修贡献的约50万美元资金。 房地产诈骗 网络犯罪分子通常使用RedVDS进行支付转移欺诈，也称为商业电子邮件入侵。该平台允许威胁行为者侵入电子邮件账户、监控对话，并在支付或电汇发生前将自己插入邮件链中。通过冒充邮件链中的其他参与者，黑客能够在几秒钟内转移资金，远在组织意识到资金发送错误之前。 正田指出，RedVDS一直是房地产支付转移诈骗蔓延的关键推手。网络犯罪分子越来越多地针对房地产经纪人、托管代理或产权公司，窃取人们以为用于支付房屋首付款的数百万美元。”对于家庭和首次购房者来说，后果可能是毁灭性的，一次被转移的支付就可能耗尽毕生积蓄或彻底破坏购房计划，”正田说。”仅房地产领域，微软就观察到RedVDS支持的活动影响了超过9,000名客户，在加拿大和澳大利亚等国影响尤为严重。而且威胁远不止于房地产。RedVDS支持的诈骗已波及建筑、制造、医疗、物流、教育、法律服务等众多行业——扰乱了从生产线到患者护理的方方面面。” 微软观察到网络犯罪分子发送虚假发票或要求更改付款账户的电子邮件，并利用紧迫感迫使受害者尽快汇款。在某些情况下，他们发送虚假的未付发票，要求当天偿还债务。 RedVDS本身并不拥有物理数据中心，而是从美国、加拿大、英国、法国和荷兰的第三方托管提供商那里租用服务器。这使得网络犯罪分子能够从靠近受害者目标的IP地址发起攻击，从而绕过基于地理位置的安全过滤器。 欧洲刑警组织也协助捣毁了支持RedVDS客户的更广泛的服务器和支付网络。 “即用型”平台 微软表示，RedVDS是网络犯罪分子获取基于Windows的远程桌面协议服务器的途径，这些服务器具有完全管理员控制权且无使用限制。该公司最终追查到了数千条被盗凭证、从目标组织窃取的发票、群发邮件工具和钓鱼工具包，它们都指向该平台。 这些网络犯罪分子使用了几种不同的工具来验证大型电子邮件地址数据库、分类和清理邮件列表以及发送批量邮件，所有这些操作都是通过RedVDS实例完成的，他们还使用注重隐私的网页浏览器和VPN来隐藏身份。一些用户甚至部署了ChatGPT和其他OpenAI工具来撰写有说服力的英文电子邮件。 研究人员解释说：”一旦配置完成，这些克隆的Windows主机为攻击者提供了一个即用型平台，用于研究目标、部署钓鱼基础设施、窃取凭证、劫持邮箱，并以最小的阻力执行基于冒充的金融欺诈。威胁行为者受益于RedVDS无限制的管理员访问权限和微乎其微的日志记录，使得他们能够在没有有效监督的情况下操作。RedVDS服务器统一、一次性的特性使网络犯罪分子能够快速迭代攻击活动，自动化大规模投递，并迅速从初始目标选定转移到金融盗窃。” 与RedVDS相关的其他平台能生成PDF或HTML诱饵附件，自动化电子邮件发送周期，并创建看似合法网站的钓鱼域名。在30多天的时间里，微软发现了超过7,300个与RedVDS基础设施相关的IP地址，这些地址共同托管了超过3,700个用于冒充合法平台的域名。 当受害者在这些网站上输入他们的凭证时，RedVDS会协助提取令牌或Cookie，从而使网络犯罪分子能够绕过多因素身份验证。利用窃取的信息，攻击者登录邮箱，搜索任何涉及财务、发票或供应商的对话。 微软表示，这是该公司为关闭网络犯罪基础设施而采取的第35次民事诉讼行动。在2025年秋季，它采取了类似行动关闭了一个名为RaccoonO365的流行服务，该服务被网络犯罪分子用于窃取用户名和密码。至少有一名在尼日利亚的男子因运营RaccoonO365平台被捕。微软观察到的许多使用RaccoonO365钓鱼服务的网络犯罪分子也同时使用了RedVDS。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙能源公司Endesa披露了一起数据泄露事件，大量用户核心信息遭泄露，涵盖联系方式、国民身份证号码及支付相关数据。 Endesa发布公告称：“对此，我们遗憾地通知您，Endesa Energía 检测到一宗安全事件，导致其商业平台遭到未经授权和非法的访问。该事件损害了Endesa Energía负责保管的某些数据的机密性。尽管本公司已实施安全措施，但我们检测到有证据表明，与客户能源合同相关的某些个人数据（遭到了未经授权和非法的访问。” Endesa是西班牙一家主要的跨国电力公用事业公司，也是西班牙最大的电力供应商。该公司发电、配电并销售电力和天然气，在国内为超过1000万客户提供服务。 Endesa是意大利公用事业集团Enel的控股子公司，Enel持有其约70%的股份。该公司约有8900名员工（2024年数据）。2024年，Endesa报告营收213亿欧元，净利润约18.9亿欧元，反映出较前一年强劲的盈利增长。 Endesa Energía 表示，攻击者侵入系统后，可能窃取了用户身份信息、联系方式、国民身份证号码、合同数据，甚至可能包含国际银行账户号码，但用户密码未被泄露。目前，公司已启动安全应急协议，阻断了所有被非法入侵的访问路径，并第一时间向受影响用户及西班牙数据保护局等监管机构进行了通报。针对此次事件的调查仍在与供应商协同推进，系统持续监控工作也在同步进行。 公告最后指出：“截至本通知发布之日，尚无证据显示本次事件涉及的数据被用于欺诈活动，因此该事件对您的合法权益与隐私自由造成高风险影响的可能性较低。即便如此，恶意人员对您个人数据的未授权访问，仍有可能导致您遭遇身份冒充、个人信息被公开泄露，或成为钓鱼诈骗、垃圾信息的攻击目标。” Endesa提醒用户，需警惕各类可疑来电、邮件及信息，如有任何疑虑可拨打客服热线800-760-366咨询。同时切勿向陌生对象泄露个人敏感信息，若怀疑遭遇欺诈行为，应立即通知恩德萨或向执法机关报案。该公司同时确认，目前所有业务与服务均正常运转。 对于此次数据泄露的技术细节，Endesa并未进一步披露。但有威胁攻击者在网络犯罪论坛上宣称，已从该公司窃取了1.05TB的数据。 以下是该威胁攻击者在黑客论坛发布的信息： “我入侵了西班牙最大的电力天然气供应商 —— Endesa！拥有对一切的完全访问权限，这份数据库目前只有我一人掌握。 本帖内容已通过审核，所涉数据经核验真实且独一无二。 价格可议，数据总量达 1,055,950,885,115 字节。 这份全新出炉的 SQL 数据库中，包含超过 2000 万用户的信息，此前从未对外泄露！”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。 在该公司的一份声明中，教元集团表示周六早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。 这家由韩国首富之一张平淳所有的企业集团表示，”已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。” 自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。 教元集团表示，在与其所谓的”专业安全人员”和相关政府机构合作调查”入侵原因、影响范围以及是否有数据受影响”的同时，已将网络下线以”稳定服务并优先保护客户”。 据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。 该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。 该集团网站上的一条横幅声明写道：”如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。” 此前，首尔近期发生了一起涉及该国最大在线零售商Coupang的数据泄露丑闻，据报道是由一名已逃往中国的前员工造成。 这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰上诉法院判处一名44岁黑客7年监禁，罪名是通过入侵欧洲物流枢纽的港口系统，协助可卡因走私进入荷兰。上诉法院将刑期从10年减至7年，理由是该上诉审理过程拖延超过21个月。 检方称，该犯罪团伙通过此手法从鹿特丹港走私进口了210公斤可卡因。该黑客贿赂了一名安特卫普港工作人员，使其插入感染恶意软件的U盘，从而创建了一个后门，远程访问了集装箱、闸门和门禁控制系统。 阿姆斯特丹上诉法院裁定：”被告被判处七年监禁。他犯有协助计算机入侵罪。此举的目的是获取港口系统访问权限，以便在无人察觉的情况下进口毒品，从而为毒品贩运提供便利。被告还犯有协助向荷兰进口210公斤可卡因罪。此外，他犯有企图勒索罪。关于获取和使用SkyECC消息作为证据的辩护被驳回。支持受害方的索赔请求，并判令被告支付连带法律费用。” 根据法庭文件，被告说服了安特卫普一个集装箱码头的一名港口员工，将载有恶意软件的U盘插入工作电脑。该恶意软件创建了一个数字后门，使黑客能够远程访问用于管理集装箱、闸门和人员进出的内部港口系统。 这款恶意软件使该犯罪集团能够秘密远程监控集装箱、操纵闸门并发放准入凭证，该后门在系统中存留数月，期间持续尝试获取管理员权限。调查人员严重依赖从Sky ECC截获的消息，被告在这些消息中详细描述了他对港口系统的控制，并指导同伙进行黑客攻击。 调查人员发现恶意软件在港口系统中隐藏了数月，并反复尝试获取管理员权限。攻击者声称拥有完全控制权，包括准入通行证和闸门。 法院文件指出：”2020年9月18日，在系统AV150081C上安装了一个潜在后门。2020年9月19日至27日期间，攻击者使用了各种权限提升工具，试图控制[受影响方]环境中的一个管理员账户。攻击者使用多种漏洞利用工具进行了多次尝试，这表明他们可能未能成功提升权限。此外，没有证据表明攻击者能够接管具有管理员权限的账户。(…) 此外，有证据表明，2020年9月18日安装的后门至少在2021年4月24日之前一直处于活跃状态。(…) 在2020年9月21日至2020年10月19日期间，威胁行为者多次访问了AV150081C上的Solvo集装箱管理应用程序。” 该团伙窃取并共享了摄像头位置、员工照片和布局图等敏感数据。法官表示，此次黑客攻击旨在支持毒品贩运，严重危及港口安全。 法院认定该男子犯有伪造运输文件和Portbase记录以运送可卡因的罪行。法官还判定该男子犯有企图勒索罪，因其就丢失的可卡因威胁亲属，并以暴力相威胁索要120万欧元。 该被告目前仍被关押在荷兰西部，并已提起另一项上诉。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时综合医院网络AZ Monica遭遇网络攻击，被迫关闭所有服务器，取消预定手术，并转移危重病人。AZ Monica在安特卫普和德尔讷设有两个院区，为当地居民提供急症、门诊及专科医疗服务。 医院在检测到网络攻击后，于今天清晨6点32分断开了系统连接。AZ Monica目前仍在提供紧急护理并治疗现有患者，但由于员工无法访问电子病历，已推迟了非紧急的门诊预约。 “今天早上，AZ Monica的IT系统遭受了严重干扰。作为预防措施，德尔讷和安特卫普两个院区的所有服务器均已主动关闭。”医院发布的一份新闻声明称。”受此情况影响，今日所有计划进行的手术均无法实施。我们已通知所有相关患者。急诊科目前运行能力有限。MUG和PIT服务暂时不可用。门诊照常进行。访客始终欢迎。” 该医疗机构已就此事件展开调查，并通知了警方和检察官办公室。在红十字会的协助下，AZ Monica安全转移了七名危重病人，其他所有患者则继续接受治疗。 “我们的急诊科目前以较低容量运行。救护车不会将患者转运至我院急诊科。因此，如果您需要紧急护理，请尽可能联系您的全科医生、非工作时间全科医生诊所或其他急诊服务机构。”一份网络事件更新公告写道。 AZ Monica未透露事件的具体细节。《布鲁塞尔时报》报道了有关勒索要求的未经证实说法，但当局和医院官员均未予以确认。 医院强调，患者安全和护理的连续性是当前的首要任务，正在密切监测情况，并将提供进一步的信息更新。 针对医院的网络攻击极其危险，因为它们可能扰乱关键的医疗服务，危及患者生命。医院依赖数字系统处理病历、检验和治疗，系统中断会延误紧急护理。这类攻击还可能暴露敏感的患者数据，并迫使医院分流病人，从而给整个医疗服务体系带来更大压力。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。 根据Check Point Research的一份新报告，这款云原生的Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件，使其操作者能够随时间推移增强或改变其功能，并在目标变化时进行”转向”。该框架于2025年12月首次被发现。 这家网络安全公司在今日发布的分析报告中称：”该框架包含多项专注于云的功能和模块，专为在云和容器环境中长时间稳定运行而设计。VoidLink的架构极其灵活且高度模块化，围绕一个自定义插件API构建，该API的灵感似乎源自Cobalt Strike的Beacon对象文件方法。默认情况下，超过30个插件模块均使用此API。” 这些发现反映了威胁行为者的关注点正从Windows系统转向已成为云服务和关键业务基石的Linux系统。VoidLink处于积极维护和演进中，评估认为其与中国有关联的威胁行为者有关。 作为一个使用Zig编程语言编写的”云优先”植入程序，该工具包能够检测主要的云环境，即亚马逊网络服务、谷歌云、微软Azure、阿里云和腾讯云，并能识别自身是否运行在Docker容器或Kubernetes Pod中，从而调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭证。 瞄准这些服务表明，VoidLink很可能专门针对软件开发人员设计，意图窃取敏感数据或利用获得的访问权限发起供应链攻击。 其他部分功能列举如下： 利用LD_PRELOAD、可加载内核模块和eBPF隐藏自身进程的类Rootkit功能。 用于扩展功能的进程内插件系统。 支持多种命令与控制信道，如HTTP/HTTPS、WebSocket、ICMP和DNS隧道。 在被攻陷主机之间形成点对点或网状网络。 一个基于Web的中文控制面板，允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件，并执行从侦察、持久化到横向移动和防御规避（通过清除恶意活动痕迹）的整个攻击周期的不同阶段。 VoidLink支持37个插件，涵盖反取证、侦察、容器、权限提升、横向移动等类别，使其成为一个功能全面的后渗透利用框架： 反取证：根据关键字擦除或编辑日志和shell历史记录，并对文件进行时间戳篡改以阻碍分析。 云：辅助进行Kubernetes和Docker发现与权限提升、容器逃逸，并探测配置错误。 凭证窃取：收集凭证和密钥，包括SSH密钥、Git凭证、本地密码资料、浏览器凭证与Cookie、令牌和API密钥。 横向移动：使用基于SSH的蠕虫进行横向传播。 持久化：通过滥用动态链接器、cron作业和系统服务来建立持久化访问。 侦察：收集详细的系统和环境信息。 Check Point将其描述为”令人印象深刻”且”远比典型的Linux恶意软件先进”，并指出VoidLink具有一个处理C2通信和任务执行的核心协调器组件。 它还融合了大量反分析功能以规避检测。除了能够标记各种调试器和监控工具外，一旦检测到任何篡改迹象，它还能自我删除。它还具备自我修改代码功能，可在运行时解密受保护的代码区域，并在不使用时将其加密，从而绕过运行时内存扫描器。 此外，该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施，以计算风险评分并制定全面的规避策略。例如，这可能涉及在高风险环境中放慢端口扫描速度并进行更精确的控制。 Check Point指出：”开发者展现出高水平的技术专长，熟练掌握包括Go、Zig、C和React等现代框架在内的多种编程语言。此外，攻击者拥有对复杂操作系统内部原理的深入了解，从而能够开发出先进而复杂的解决方案。VoidLink旨在尽可能自动化地实现规避，对环境进行画像并选择最合适的策略在其中运作。结合内核模式的技巧和庞大的插件生态系统，VoidLink使其操作者能够以自适应的隐秘方式在云环境和容器生态系统中活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一款恶意谷歌Chrome扩展的详细信息，该扩展伪装成一个可在MEXC（一个在170多个国家可用的中心化加密货币交易所）平台上实现交易自动化的工具，实则能够窃取与之关联的API密钥。 这款名为”MEXC API Automator”（ID：pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序，截至发稿时在Chrome网上应用店仍可下载，已记录了29次下载。它由一位名为”jorjortan142″的开发者于2025年9月1日首次发布。 安全研究机构Socket的研究员Kirill Boychenko在一份分析报告中指出：”该扩展能以编程方式创建新的MEXC API密钥、启用提款权限、在用户界面中隐藏该权限，并将生成的API密钥和密钥外泄至威胁行为者控制的一个硬编码的Telegram机器人。” 根据Chrome网上应用店的列表描述，这款网页浏览器插件被宣传为一个扩展，可通过在API管理页面上生成具有必要权限的API密钥，”简化将您的交易机器人与MEXC交易所的连接”。 如此一来，安装此扩展后，威胁行为者就能控制从受感染浏览器访问的任何MEXC账户，从而能够执行交易、进行自动提款，甚至清空通过该服务可访问的钱包和余额。 Socket补充道：”实际上，一旦用户导航到MEXC的API管理页面，该扩展就会注入一个单一的内容脚本script.js，并在已认证的MEXC会话内开始操作。”为了实现这一目的，该扩展会检查当前URL是否包含字符串"/user/openapi"，该字符串指向API密钥管理页面。 随后，该脚本会以编程方式创建一个新的API密钥，并确保启用了提款功能。同时，它会篡改页面的用户界面，让用户误以为提款权限已被禁用。一旦生成访问密钥和密钥的过程完成，该脚本会提取这两个值，并通过HTTPS POST请求将它们传输到威胁行为者控制下的一个硬编码的Telegram机器人。 此威胁构成了严重风险，因为只要API密钥有效且未被撤销，它就会一直保持活跃状态，即使受害者从Chrome浏览器中卸载了该扩展，攻击者仍能不受限制地访问受害者的账户。 Boychenko指出：”实质上，威胁行为者利用Chrome网上应用店作为传播渠道，利用MEXC的Web UI作为执行环境，并利用Telegram作为外泄渠道。其结果就是一个专门构建的、旨在窃取MEXC API密钥的扩展，它在API密钥被创建和配置为拥有完全权限的瞬间发起攻击。” 这种攻击之所以能够实现，是因为它利用了浏览器已通过身份验证的会话来达到其目的，从而无需获取用户密码或绕过身份验证保护。 目前尚不清楚此次攻击背后的操纵者是谁，但”jorjortan142″这个名称指向了一个同名的X平台账号，该账号链接到一个名为”SwapSushiBot”的Telegram机器人，这个机器人也在TikTok和YouTube上进行了推广。关联的YouTube频道创建于2025年8月17日。 Socket表示：”通过在浏览器内劫持单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提款权限、长期有效的API密钥。同样的攻击手法可以很容易地适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的Web控制台，并且未来的变种很可能会引入更重的混淆技术、请求更广泛的浏览器权限，并将支持多个平台的功能捆绑到一个扩展中。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文