HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起新型攻击活动的细节：攻击者以 WhatsApp 为传播载体，向巴西用户投放一款名为 Astaroth 的 Windows 银行木马。 该攻击活动被安克诺斯威胁研究团队命名为 “粉红河豚”。 这家网络安全公司在提交给thehackernews的一份报告中指出：“该恶意软件会获取受害者的 WhatsApp 联系人列表，并自动向每位联系人发送恶意消息，以此扩大感染范围。 报告还提到：“Astaroth 木马的核心程序仍由德尔福语言编写，安装程序则依托 VB 脚本运行；而此次新增的 WhatsApp 蠕虫模块，完全采用 Python 语言开发。这一特征凸显出威胁攻击者正越来越多地使用多语言模块化组件。” Astaroth 木马又名 “吉尔达马”，自 2015 年起便在网络环境中被发现，其攻击目标主要集中在拉美地区，尤其是巴西，攻击目的是窃取用户数据。2024 年，安全人员监测到多个威胁集群（代号分别为 “菠萝” 和 “水玛卡拉”）通过钓鱼邮件传播该木马。 对巴西用户而言，利用 WhatsApp 传播银行木马是一种新兴攻击手段，其兴起的原因在于这款即时通讯软件在巴西的极高普及率。就在上月，趋势科技曾披露另一威胁集群 “水萨西”，同样借助 WhatsApp 传播 “特立独行” 木马和 “卡斯巴内罗” 木马变种。 2025 年 11 月，赛门铁克发布的一份报告显示，该机构正在追踪一个名为 “STAC3150” 的多阶段恶意软件传播活动。该活动同样以巴西的 WhatsApp 用户为目标，传播 Astaroth 木马。受影响的设备中，超过 95% 位于巴西，另有少量分布在美国和奥地利。 这项攻击活动至少从 2025 年 9 月 24 日起就已活跃。攻击者通过发送包含下载器脚本的 ZIP 压缩包发起攻击：该脚本会获取 PowerShell 或 Python 脚本，用于收集 WhatsApp 用户数据以进一步传播；同时，压缩包内还包含一个 MSI 格式的安装程序，负责部署木马。安克诺斯此次的发现，正是这一攻击趋势的延续 —— 以 WhatsApp 消息分发 ZIP 文件，作为恶意软件感染的切入点。 安克诺斯公司介绍：“当受害者解压并打开该压缩包时，会看到一个伪装成正常文件的 VB 脚本。一旦执行该脚本，就会触发下一阶段恶意组件的下载流程，标志着设备入侵正式开始。” 恶意软件核心模块 该恶意软件包含两大核心功能模块： Python 传播模块：收集受害者的 WhatsApp 联系人信息，并自动向每位联系人转发恶意 ZIP 文件，以蠕虫传播的方式扩大感染范围。 银行木马模块：在设备后台持续运行，实时监控受害者的网页浏览行为；一旦检测到用户访问银行相关网址，便会立即激活，窃取用户登录凭证，帮助攻击者实现经济牟利。 安克诺斯公司还指出：“恶意软件的开发者还内置了一套实时追踪和上报传播数据的机制。该程序会定期记录传播统计数据，包括成功发送的恶意消息数量、发送失败次数，以及以‘每分钟发送条数’为单位的传播速率。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 从“Vibe Coding”到“Vibe Hacking” 在科技圈，开发者早已接纳 “Vibe Coding” 的理念 —— 让AI根据意图而非精确指示来编写代码。开发者只需描述目标、分析并调整输出结果、反复迭代优化、复制粘贴代码，便可快速推进工作。在这个过程中，效率远比理解代码原理更重要。 黑客群体照搬了这一思路，并赋予其全新的名称——“Vibe Hacking”。“Vibe Hacking”并非特指某一种技术手段，而是一种理念。这种理念认为，黑客攻击不再需要精通各类工具或钻研系统原理，只需在人工智能的引导下，跟着直觉行事。 其核心逻辑简单直白：只要人工智能给出的方案听起来言之凿凿，那这个方案就一定够用。 这种理念无处不在，无论是Telegram群聊、针对新手的论坛回复，还是黑客服务的广告宣传，都能看到它的影子。“Vibe Hacking”将网络犯罪重新定义为人人皆可为之的事情 ，它不再是一门需要潜心修炼的手艺，而是一套可以照本宣科的流程。 但如果人工智能服务商增设安全防护机制，阻止恶意内容生成，又会发生什么？ 在地下黑产圈，人工智能越狱已迅速发展成一门独立的生意。规避安全管控的各类技巧被公开交易、打包出售，与其他网络犯罪服务别无二致。 例如，目前已出现不少俄语电报频道，专门兜售人工智能越狱方法，提供绕过内容过滤机制的分步操作指南。 “Hacking-GPT”的兴起 与这种攻击理念相伴而生的，是一波全新的地下工具潮，它们常常被宣传为犯罪的AI副驾驶。 像 FraudGPT、PhishGPT、WormGPT 和 Red Team GPT 这样的名字在地下频道中公开流传。些工具被标榜为能够一键生成钓鱼邮件、编写诈骗脚本及聊天话术、用通俗语言解释漏洞原理、全程指导用户实施攻击步骤。 对买家而言，信息很明确：你不需要知道黑客攻击如何运作——AI会告诉你该怎么做。 其中一些工具是定制的。许多则不是。实际上，很多”黑客GPT”工具只不过是包装了提示词、模板或回收指南的语言模型。但这样的真相，往往无人在意。 真正关键的是，这些工具能给人带来的心理感受：让人充满信心、觉得自己有能力实施攻击，迫不及待采取行动。 换汤不换药 尽管这些服务都打着AI的旗号，但实际兜售的犯罪勾当，其实并无太多新意。地下黑市的主流业务，依旧是那些大家耳熟能详的项目： 电子邮箱账户破解 社交媒体账户劫持 账号凭证获取与找回 诈骗及信用卡盗刷相关服务 真正发生改变的，是宣传话术。 卖家不再强调技术专业性，而是突出操作的便捷性；不再吹嘘个人技术有多高超，而是承诺全程自动化。AI成了一块金字招牌，哪怕没人能说清它到底在服务中发挥了什么作用。 “AI驱动型黑客攻击”“AI辅助型账户访问”“AI支持的凭证找回”，诸如此类的说法层出不穷，被随意贴在各类服务之上。而这些服务，其实在AI成为热门词汇之前就早已存在。 下面这则来自Tor论坛的帖子，看起来或许有些荒诞，但它真实反映出网络犯罪分子思维与运营模式的转变。 帖主对比了自己过去抢劫自动取款机的经历，以及如今所谓的 “更明智之选”：通过越狱AI系统，结合 n8n、MCP 等自动化平台实施犯罪。 无论其中的描述是否夸大其词，都折射出犯罪分子心态的重大转变,从需要承担物理风险的犯罪模式，转向低投入、高回报、借助人工智能实现的捷径式犯罪，且暴露风险大幅降低。 与以往任何一次地下黑产潮流一样，不法分子正利用当下的人工智能热潮，向渴望走捷径的网络犯罪新手兜售华而不实的服务。 许多打着人工智能旗号的服务广告，被一字不差地复制粘贴到多个论坛和电报频道。对这些卖家而言，曝光度远比原创性重要，营造出的信心感远比实际效果重要。 人工智能没有改变地下黑市的交易内容，它改变的是买家的心理安全感。 打着人工智能旗号的黑客服务，很少针对经验丰富的犯罪分子，其目标客户主要是初涉诈骗领域的新手、技术水平低下的攻击人员、对 “专业黑客攻击” 心存畏惧的人、渴望走捷径而非钻研技术的投机者等。 “AI全程包办”“无需任何经验”“只需提供攻击目标” 之类的话术，在广告中随处可见。其承诺简单直白：你无需搞懂背后的原理，只需按指令操作就行。 这与 “钓鱼即服务” 和勒索软件联盟项目的运营模式如出一辙：通过消除潜在犯罪者的恐惧心理、降低入行门槛，实现犯罪生态的扩张。 地下广告越来越精准地触达那些从不认为自己是 “专业黑客” 的人群，包括新手、抱着猎奇心态的投机分子、对命令行和漏洞利用链心存畏惧的人。 这种转变带来的结果，未必是攻击手段变得更高明，而是攻击的频次大幅增加。 AI开辟犯罪新蓝海 长期以来，有一个观点在业内流传：早期的钓鱼邮件之所以漏洞百出，其实是故意为之。诈骗分子的目标，从来都不是那些能识破拙劣语法和生硬句式的人，而是通过这种方式筛选出那些不会对明显破绽产生怀疑的易受骗人群。 正因如此，人们的收件箱里曾充斥着这样的邮件： 这些邮件绝非因粗心而写得糟糕，而是故意写得荒诞不经。这是一种粗糙却有效的手段，目的是提前筛选出最易受害的目标群体。 但得益于AI技术，现代诈骗邮件措辞考究、表达流畅、极具迷惑性。诈骗分子不再需要依靠蹩脚的语言来筛选目标，反而能批量生成近乎完美的邮件,这些邮件可根据目标人群量身定制、适配不同地区语言习惯，还能精准拿捏受害者的心理。 曾经满是拙劣骗局的 “红海”，已悄然转变为隐蔽性极强的 “蓝海”。这并非因为诈骗行为消失了，而是因为诈骗手段变得愈发难以识别。 “Vibe Hacking”鼓励人们在完全不理解行为后果的情况下贸然行动，将鲁莽操作视为常态。它推崇速度而非谨慎，重视信心而非理解。 “Vibe Hacking”的核心，并非编写更优质的代码或设计更精妙的漏洞利用程序，而是在不求甚解的情况下盲目行动。如今，这种心态正以前所未有的速度蔓延。 2026 年，黑客们想要的只有AI—— 他们的目的，不是精进黑客技术，而是走捷径、跳过技术钻研的苦功。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国科学院与南洋理工大学的联合研究团队，研发出一款名为AURA的新型防护框架，专门用于保护图检索增强生成（GraphRAG）系统中的专有知识图谱，使其免遭窃取与非法滥用。 该研究成果于一周前发表于学术预印本平台 arXiv。论文指出，通过向知识图谱中注入看似真实的虚假数据，可使被盗取的图谱副本对攻击者完全失效，同时确保授权用户的正常使用不受影响。 知识图谱是支撑各类高级 GraphRAG 应用的核心技术，其应用场景覆盖辉瑞的药物研发、西门子的智能制造等关键领域，承载着价值数百万美元的海量知识产权。 现实中的多起数据泄露事件印证了知识图谱面临的安全风险：2018 年，谷歌旗下自动驾驶公司 Waymo 的一名工程师窃取了 1.4 万份激光雷达数据文件；2020 年，黑客通过欧洲药品管理局系统，窃取了辉瑞 – 生物科技联合研发的疫苗相关数据。 攻击者窃取知识图谱的核心目的，是私自复刻 GraphRAG 系统的功能优势。这类窃取行为能够规避水印技术的追踪 —— 水印技术需要获取模型输出结果才能生效；同时也能绕过加密技术的防护 —— 加密会降低低延迟查询的响应速度。 传统防护手段在攻击者离线私自使用失窃图谱的场景下完全失效。尽管欧盟《人工智能法案》与美国国家标准与技术研究院（NIST）的相关框架均强调数据韧性的重要性，但针对这一防护空白，此前始终没有有效的解决方案。 AURA 框架的数据掺假防护策略 AURA 框架跳出了传统的 “防御窃取” 思路，转而采用“降低失窃数据价值”的全新防护路径：它会在知识图谱的关键节点中注入 “掺假数据”，也就是模仿真实数据结构的虚假三元组。 框架通过最小顶点覆盖算法筛选关键节点：针对小规模知识图谱，采用整数线性规划算法实现自适应求解；针对大规模知识图谱，则采用Malatya启发式算法，确保以最少的修改覆盖图谱的全部关联边。 掺假数据的生成兼顾结构合理性与语义一致性：借助 TransE、RotatE 等链接预测模型保障数据结构可信，同时依托大语言模型实现语义层面的连贯。在掺假数据的筛选阶段，研究团队采用基于语义偏差值的影响驱动策略，通过计算句子嵌入向量的欧式距离，为每个节点挑选破坏性最强的掺假数据。 授权系统可通过嵌入在数据中的高级加密标准加密元数据标记（以 “备注” 属性形式存在），在数据检索后利用密钥过滤掉掺假内容，该机制经验证可达到选择明文攻击下的不可区分性（IND-CPA）安全级别。 研究团队基于 MetaQA、WebQSP、FB15k-237、HotpotQA 四大主流数据集，结合 GPT-4o、Gemini-2.5-flash、通义千问 2.5-7B、Llama2-7B 四款大模型开展测试。结果显示，该框架可使94%—96% 的正确答案转为错误输出（危害评分 HS），且掺假数据的检索命中率（ARR）达到 100%。 数据集 GPT-4o 危害评分 数据保真度（CDPA） 延迟增幅 MetaQA 94.7 100% 1.20% WebQSP 95.0 100% 14.05% FB15k-237 94.3 100% 1.50% HotpotQA 95.6 100% 2.98% 测试同时证实，AURA 注入的掺假数据能够有效规避各类检测与净化手段：ODDBALL 异常检测算法的识别率仅为 4.1%，Node2Vec 算法识别率仅为 3.3%；SEKA 数据净化工具的清除率仅为 5.5%，知识图谱嵌入（KGE）技术的清除率也仅为 19.8%。在多跳推理场景下，危害评分随推理步数上升而提高，三跳推理时危害评分达到 95.8%，且该效果在各类检索工具及微软 GraphRAG 等先进框架中均保持稳定。 消融实验验证了混合生成策略的显著优势：纯大语言模型生成的掺假数据易被结构校验机制识别，而纯链接预测模型生成的掺假数据则存在语义缺陷。 实验还发现，每个节点仅注入一条掺假数据，就能使危害评分稳定在 94% 以上的高水平；增加掺假数据的数量，仅能带来边际效益的小幅提升。 该框架目前存在两项局限性：一是尚未解决节点文本描述的防护问题，二是无法完全规避内部人员的数据提纯风险，但可通过 API 访问管控机制缓解这一隐患。AURA 框架开创性地提出了知识图谱知识产权保护的 “主动降级”理念，与 “投毒攻击检索增强生成”“知识图谱投毒攻击” 等攻击性投毒技术，以及 “检索增强生成水印” 等被动水印技术形成鲜明区别。 随着 GraphRAG 技术的普及应用，微软、谷歌、阿里巴巴等科技巨头均已开始布局该防护领域，AURA 框架的落地将为企业抵御人工智能时代的数据窃取攻击提供强有力的技术支撑。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  Linux 内核中存在一处高危竞争条件漏洞（漏洞编号CVE-2025-38352），其验证性利用代码已在GitHub 上公开发布。  该漏洞于今年年初被发现，攻击目标直指内核的POSIX CPU 定时器实现模块，此前曾被用于针对 32 位安卓设备的小规模定向攻击。 CVE-2025-38352 是 Linux 内核handle_posix_cpu_timers()函数中存在的释放后使用漏洞。 此漏洞的触发条件为内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK处于关闭状态 —— 该配置是大多数 32 位安卓内核的默认选项，但 64 位系统一般不会采用。 漏洞的成因是僵尸进程触发 POSIX CPU 定时器时引发的竞争条件：攻击者通过精准把控僵尸进程的创建、父进程对其的回收操作以及定时器的删除时机，可诱导内核访问已释放的内存区域，进而实现权限提升或内核代码执行。 区块链安全公司 Zellic 的研究员Faith发布了一款名为Chronomaly的全功能漏洞利用工具，专门针对 Linux 内核 5.10.x 版本发起攻击。 该研究员还同步发布了一个分为三部分的系列技术博客，详细拆解漏洞的发现过程、技术原理及利用手法，借此对外公布这款漏洞利用工具。 这款漏洞利用工具的一大显著优势是无需依赖内核符号偏移量或特定内存地址，因此可跨不同内核配置环境移植使用。 工具中集成了两项核心技术：一是通过操控 CPU 定时器实现的竞争时间窗口延长技术，二是针对sigqueue结构体的跨缓存区分配策略。 需要注意的是，该漏洞利用工具需在至少配备双核 CPU 的多核系统中运行，才能稳定触发竞争条件漏洞。 经测试验证，该工具可成功攻击运行 5.10.157 版本内核的 QEMU 虚拟化 Linux 系统，且其参数可根据不同运行环境灵活调整。 目前，该漏洞已被列入CISA的已知被利用漏洞目录，这意味着该漏洞已存在真实的在野攻击活动。 尽管漏洞威胁目前主要集中于 32 位安卓设备，但相关内核组件同样存在于其他基于 Linux 的 32 位操作系统中，这些系统也面临潜在风险。 GitHub 上的漏洞公告指出，用户应尽快将内核更新至已修复该漏洞的版本，或启用内核配置项CONFIG_POSIX_CPU_TIMERS_TASK_WORK以规避风险。 Linux 主线内核已通过编号为f90fff1e152dedf52b932240ebbd670d83330eca的提交记录完成漏洞修复，修复的核心逻辑为禁止内核对僵尸进程执行定时器处理操作。 设备制造商及系统管理员应将内核更新列为优先事项，以缓解这一高危漏洞带来的安全风险。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款名为GoBruteforcer的高复杂度 Go 语言僵尸网络，正针对全球范围内的 Linux 服务器发起猛烈攻击，通过暴力破解手段尝试获取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公网暴露服务的弱密码。  Check Point Research近期记录到该恶意软件的 2025 年变种版本，其技术水平较之前版本实现大幅升级，已成功攻陷数万台服务器。 该僵尸网络采用模块化感染链架构，核心组件包含网页后门、下载器、互联网中继聊天（IRC）僵尸程序以及暴力破解模块。 据切克波因特的分析数据显示，全球超5 万台公网暴露服务器或面临高布鲁特福瑟攻击风险，目前有近 570 万台 FTP 服务器、223 万台 MySQL 服务器及 56 万台 PostgreSQL 服务器在默认端口上暴露。 人工智能生成服务器配置成攻击推手 本轮GoBruteforcer攻击浪潮的爆发，主要源于两大关键因素：一是大量运维人员直接复用人工智能生成的服务器部署示例，这类配置模板普遍存在通用用户名与弱默认密码问题；二是 XAMPP 等老旧网站集成环境仍被广泛使用，其搭载的各类服务缺乏基础加固措施。 研究人员发现，该僵尸网络在暴力破解的凭证列表中，大量使用 “appuser”“myuser” 等通用运维用户名，而这些用户名恰好是大型语言模型在生成数据库配置示例时最常推荐的默认名称。 切克波因特的调查显示，高布鲁特福瑟使用的凭证列表，与一个包含 1000 万条泄露密码的数据库存在约2.44% 的重合度。 尽管这一匹配成功率看似较低，但庞大的暴露服务基数，使得暴力破解攻击对威胁行为体而言具备极高的经济效益。谷歌 2024 年《云威胁态势报告》指出，在遭攻陷的云环境中，47.2% 的初始入侵路径均源于弱密码或缺失身份验证机制，这也印证了此类攻击手段的可行性。 僵尸网络的命令与控制服务器会下发包含 200 组凭证的列表用于暴力破解任务，且攻击配置文件每周会更新数次。 密码列表的生成逻辑十分固定，仅基于 375-600 个常用弱密码构成基础库，再衍生出 “appuser1234”“operatoroperator” 等基于用户名变体的密码组合。 相较于 2023 年首次被记录的早期版本，2025 年变种版本实现多项重大技术升级：其 IRC 僵尸程序组件已完全基于 Go 语言重构，并使用加布勒混淆工具（Garbler）进行深度代码混淆，彻底取代了原先基于 C 语言的开发架构。 该恶意软件还新增进程伪装技术，通过调用prctl系统调用将自身进程名修改为 “init”，并对二进制文件进行覆盖处理，以此躲避安全检测。 研究人员还发现一个以加密货币敛财为目标的攻击活动，威胁行为体在攻陷服务器后，会部署额外的 Go 语言工具集，其中包含针对波场（TRON）及币安智能链的挖矿程序与钱包窃取工具。 在一台被攻陷的服务器上，调查人员提取到一个包含约 2.3 万个波场钱包地址的文件，并通过链上交易数据分析证实，这批攻击已成功实现经济收益。 该僵尸网络通过多重机制保障自身的抗打击能力：内置备用 C2 服务器地址、基于域名的故障恢复路径，以及将已感染主机升级为分发节点或 IRC 中继服务器的功能。 IRC 僵尸程序模块每日可完成两次更新，暴力破解组件则通过与系统架构匹配的 Shell 脚本下载，并在执行前校验文件的 MD5 哈希值，确保恶意程序未被篡改。 攻击兼具广谱性与针对性 GoBruteforcer的攻击活动同时具备广谱扫射与定向行业打击的双重特征。通用型攻击活动会组合使用通用运维用户名与标准弱密码发起试探；而专项攻击任务则会采用 “cryptouser”“appcrypto” 等加密货币相关用户名，或 “wpuser” 这类针对 WordPress 系统的专属凭证。 该恶意软件还会针对性攻击 XAMPP 集成环境 —— 这一热门开发工具通常默认启用 FTP 服务，并将 FTP 根目录映射到公网可访问的网页路径，存在严重安全隐患。 僵尸网络的架构设计具备高效攻击能力，受感染主机每秒可扫描约 20 个 IP 地址，且在 FTP 攻击任务执行期间，能将带宽消耗控制在较低水平：出站流量约 64 千比特 / 秒，入站流量约 32 千比特 / 秒。 攻击线程池的规模会根据目标服务器的 CPU 架构动态调整：64 位系统上会运行 95 个并发暴力破解线程，32 位系统则会适配为更少的线程数。 该恶意软件还具备智能目标筛选能力，会主动排除私有网络、云服务商网段及美国国防部 IP 地址范围，以此降低被安全监测系统发现的概率。 防护建议 企业可通过以下措施降低GoBruteforcer攻击风险：实施强密码策略、关闭不必要的公网暴露服务、部署多因素身份验证机制，以及持续监测异常登录尝试行为。 相关威胁指标（IOC） 类型 指标内容 描述 网络地址 190.14.37[.]10 命令与控制服务器（活跃端点） 网络地址 93.113.25[.]114 命令与控制服务器（活跃端点） 网络地址 fi.warmachine[.]su 命令与控制服务器 网络地址 xyz.yuzgebhmwu[.]ru 命令与控制服务器（活跃端点） 网络地址 pool.breakfastidentity[.]ru 命令与控制服务器 网络地址 pandaspandas[.]pm 命令与控制服务器（列表中重复出现） 网络地址 my.magicpandas[.]fun 命令与控制服务器 文件哈希（SHA-256） 7423b6424b26c7a32ae2388bc23bef386c30e9a6acad2b63966188cb49c283ad IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） 8fd41cb9d73cb68da89b67e9c28228886b8a4a5858c12d5bb1bffb3c4addca7c IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） bd219811c81247ae0b6372662da28eab6135ece34716064facd501c45a3f4c0d IRC 僵尸程序（ARM 架构） 文件哈希（SHA-256） b0c6fe570647fdedd72c920bb40621fdb0c55ed217955557ea7c27544186aeec IRC 僵尸程序（ARM64 架构） 文件哈希（SHA-256） ab468da7e50e6e73b04b738f636da150d75007f140e468bf75bc95e8592468e5 暴力破解模块（x86 架构） 文件哈希（SHA-256） 4fbea12c44f56d5733494455a0426b25db9f8813992948c5fbb28f38c6367446 暴力破解模块（x64 架构） 文件哈希（SHA-256） 64e02ffb89ae0083f4414ef8a72e6367bf813701b95e3d316e3dfbdb415562c4 暴力破解模块（ARM 架构） 文件哈希（SHA-256） c7886535973fd9911f8979355eae5f5abef29a89039c179842385cc574dfa166 暴力破解模块（ARM64 架构） 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络威胁行为体正利用邮件路由配置漏洞及伪造防护措施的配置失误，仿冒企业内部域名发送邮件，以此实施钓鱼攻击。 微软威胁情报团队在周二发布的报告中指出：“威胁行为体借助该攻击路径，投递各类钓鱼邮件，这些邮件多与Tycoon 2FA等钓鱼即服务平台相关联。邮件诱饵主题涵盖语音留言、共享文档、人力资源部通知、密码重置或过期提醒等，最终目的是窃取用户凭证信息。” 尽管此类攻击手段并非首次出现，但微软表示，自 2025 年 5 月起，该攻击手法的使用频次显著上升，被用于针对多个行业、各类企业的随机性攻击活动。其中就包括一系列通过伪造邮件实施的企业金融诈骗攻击。 一旦攻击得逞，威胁行为体可窃取用户凭证，并借此开展后续攻击活动，包括数据窃取、企业邮箱劫持等。 这类安全隐患主要出现在以下场景：企业租户配置了复杂的邮件路由规则，且未严格落实域名伪造防护机制。复杂路由的典型案例为：将邮件交换记录先指向本地部署的 Exchange 邮件环境或第三方邮件服务，再跳转至微软 365 平台。 这种配置方式会形成安全漏洞，让攻击者有机可乘，发送看似源于企业租户内部域名的伪造钓鱼邮件。调查发现，绝大多数采用该攻击路径的钓鱼活动，均使用了Tycoon 2FA钓鱼即服务工具包。微软透露，仅在 2025 年 10 月，就拦截了超过 1300 万封与该工具包相关的恶意邮件。 钓鱼即服务工具包属于即插即用型平台，即便是技术水平有限的诈骗分子，也能借助这类工具轻松创建并管理钓鱼攻击活动。平台提供可自定义的钓鱼邮件模板、攻击基础设施等功能，助力诈骗分子窃取用户凭证，并通过中间人钓鱼手段绕过多因素认证机制。 微软还发现，部分伪造邮件以虚假发票为诱饵，诱导企业进行转账支付，进而造成企业的经济损失。此外，这类钓鱼邮件还会仿冒电子签名平台等正规服务，或谎称来自人力资源部门，以薪资调整、福利变更等事由实施诈骗。 用于金融诈骗的钓鱼邮件，往往伪装成企业首席执行官、服务供应商、公司财务部门之间的沟通对话内容。为增加骗局可信度，邮件通常会附带三份伪造文件： 伪造的数千美元金额转账发票，要求收款方将款项汇入指定银行账户； 美国国税局 W-9 表格，表格中包含用于开立该诈骗账户的个人姓名及社会安全号码； 伪造的银行证明信，谎称由开立诈骗账户的网络银行员工出具。  微软补充道：“攻击者可能在邮件正文中植入可点击链接，或在附件中嵌入二维码，诱导收件人访问钓鱼页面。此类邮件最显著的特征，就是对终端用户显示为‘内部邮箱发送’，且邮件的‘发件人’与‘收件人’字段甚至会使用同一个邮箱地址。” 为防范此类风险，微软建议企业采取以下防护措施：部署严格的基于域名的邮件身份验证、报告与一致性协议拒绝策略及发件人策略框架强制失效策略，同时正确配置第三方连接器（如反垃圾邮件过滤服务、邮件归档工具等）。 需要特别注意的是，若企业租户将 MX 记录直接指向微软 365（Office 365）平台，则不会受到此类攻击路径的威胁。此外，微软建议企业在非必要情况下关闭直接发送功能，以拦截仿冒企业域名的钓鱼邮件。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Veeam发布安全更新，修复其Backup & Replication软件存在的多个漏洞，其中包括一个可导致远程代码执行的 “严重” 级别漏洞。 该漏洞编号为CVE-2025-59470，通用漏洞评分系统（CVSS）评分为9.0。 Veeam在周二发布的公告中指出：“该漏洞允许备份操作员或磁带操作员通过发送恶意的时间间隔或排序参数，以 PostgreSQL 数据库用户权限执行远程代码。” 根据Veeam官方文档，备份操作员可执行启动 / 停止现有备份任务、导出备份、复制备份、创建 VeeamZip 格式备份等操作；而磁带操作员则有权限运行磁带备份任务或磁带目录任务、弹出磁带、导入 / 导出磁带、将磁带移入介质池、复制或擦除磁带、设置磁带密码。 也就是说，这两类操作员角色均拥有较高权限，企业本就应采取充分防护措施，防止相关权限被滥用。 威睿表示，尽管该漏洞的 CVSS 评分为 9.0，但结合实际情况将其定级为 “高严重性”；同时强调，若客户遵循威睿推荐的安全配置指南，该漏洞的被利用风险将有所降低。 此外，该公司还修复了同一款产品中存在的另外三个漏洞： CVE-2025-55125（CVSS 评分：7.2）：备份操作员或磁带操作员可通过创建恶意备份配置文件，以系统管理员权限执行远程代码。 CVE-2025-59468（CVSS 评分：6.7）：备份管理员可通过发送恶意密码参数，以 PostgreSQL 数据库用户权限执行远程代码。 CVE-2025-59469（CVSS 评分：7.2）：备份操作员或磁带操作员可获得系统管理员权限写入文件。 上述四个漏洞均影响威睿 Backup & Replication 13.0.1.180 版本及所有 13.x 系列早期版本，并已在13.0.1.1071 版本中完成修复。 Veeam目前未提及这些漏洞存在在野利用情况，但鉴于该款软件此前曾被威胁行为体利用相关漏洞发起攻击，用户必须及时安装补丁完成修复。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  据西班牙国家航空——伊比利亚航空——证实，本周某网络安全公司曝光的泄露数据，实为去年 11 月已被确认的一起数据泄露事件中失窃的信息。  本周一，网络安全公司Hudson Rock发布报告称，一个名为Zestix的威胁行为体，公开拍卖从约 50 家大型企业及律所的企业文件共享平台窃取的数据。 西班牙国家航空赫然在列。Hudson Rock指出，黑客疑似通过信息窃取恶意软件感染员工设备，获取登录凭证后入侵了该航司的ShareFile 云文件共享系统。ShareFile 由进步软件公司开发，是大型企业广泛使用的文件存储与共享工具。 黑客据称窃取了77GB 数据，涵盖空客 A320 和 A321 机型的技术资料、维修文件、发动机数据及其他内部文档，其中还包括飞机损伤图表、机密机队数据等敏感内容。 西班牙国家航空发言人向安全情报公司 Recorded Future 表示，Hudson Rock这份报告所涉事件，与去年 11 月曝光的安全事件实为同一宗，当时该威胁行为体曾就这批数据勒索 15 万美元赎金。 该发言人还透露，航空公司已就此次数据泄露事件向西班牙数据保护局等多家监管机构进行报备，并于去年秋季向数百名相关客户发送了泄露通知。 航空公司在致受害者的信函中强调：“本次文件共享系统泄露的信息范围有限，且均不涉及航班运营核心环节，因此未对飞行安全造成任何影响。” 此外，西班牙国家航空补充说明，此次数据泄露还涉及部分客户个人信息，具体包括姓名、电子邮箱、电话号码、航空俱乐部会员编号，同时还有部分未来航班的预订参考码遭到访问。 “我们已为所有受影响客户启用双重身份验证，确保除本人外，任何人都无法通过官方应用、网站或客服中心修改其预订信息或进行任何交易操作。” 航空公司表示。 不过，对于本次泄露的技术资料细节，该发言人并未进一步回应记者提问。 Hudson Rock指出，这批失窃数据中包含 “数字签名及专有配置参数”，此类信息对竞争对手或相关国家行为体具有较高利用价值。 值得注意的是，Hudson Rock报告中列出的其他涉事企业，均未确认自身遭遇数据泄露。 该网络安全公司还披露，威胁行为体泽斯蒂克斯于2024 年末首次被发现，活跃于俄语私密论坛，其身份为 “初始访问中介”—— 即通过信息窃取恶意软件入侵企业系统，再将非法获取的系统访问权限以比特币形式出售牟利。 报告同时提到，另有多家安全机构证实，泽斯蒂克斯的其中一个化名与一名伊朗籍人员相关联，且该组织与Funksec网络犯罪团伙存在关联。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 已开始封堵 WhatsApp 中被用来“指纹识别”设备操作系统的元数据泄露点，但要把各类签名完全隐藏仍面临长期挑战。 攻击者若想把高级间谍软件投递给某名用户，往往会选择拥有 30 亿用户的 WhatsApp 做渠道。他们先利用 0day（无需受害者交互即可投毒）把 payload 推送到用户端。2025 年曝出的 Paragon 间谍软件事件，就是通过这类 0day 对数十名用户下手。 WhatsApp 0day 极其罕见，全利用链在灰/白市常被叫到 100 万美元。 “先识系统、再选漏洞” 在真正动用 0day 前，攻击者必须知道目标运行什么操作系统，才能匹配相应漏洞。过去两年多名研究者演示：只需知道手机号，即可在侦察阶段无感地收集到以下信息—— 用户主力设备与所有已关联设备 各设备的 OS 类型、设备“年龄” 是在手机 App 还是桌面浏览器上使用 WhatsApp 原因在于 WhatsApp 给各端分配的加密密钥 ID（key ID）具有可预测特征。 研究进展 ZenGo 钱包联合创始人兼 CTO Tal Be’ery 是这项调查的主要推动者之一。他和同伴将发现报告给 Meta 后，一度未见动作，直到近期 Be’ery 用自己编写的非公开工具测试时发现： Android 端的关键 ID 已开始被随机化； iPhone 端仍用“初始值很小、隔几天才递增”的策略，因此依旧能高置信区分出 Android 与 iPhone。 Be’ery 在周一发表的博客中肯定 Meta“迈出了第一步”，但批评其静默推送、无 CVE、无赏金，且与报告者沟通不足。他认为后续若把相关字段在所有平台都随机化，这一隐私漏洞将被“彻底消灭”。 WhatsApp 回应 WhatsApp 对 SecurityWeek 表示，公司持续在不同向量上强化安全，同时需兼顾 30 亿用户的体验。关于“操作系统可被推断”，官方指出： 设备指纹识别并非 WhatsApp 独有，iMessage 等平台也存在； OS 本身为优化体验会暴露差异（如 iMessage 输号即可判断对方是否苹果设备）； 推断 OS 需先有 0day 才能转化为实际攻击，行业普遍将其定级为“低危”，通常不分配 CVE；Be’ery 报告的情形未达到 WhatsApp 阈值。 不过，WhatsApp 承认该报告帮助其修复了另一处“无效消息处理”缺陷，并优化了同类漏洞的赏金流程，已向研究员发放奖金。 数据与行动 Meta 自启动赏金计划以来已支付 2500 万美元，其中 2025 年发放 400 万。 WhatsApp 推出 Research Proxy 工具，方便学者对其协议做安全研究。 在反间谍软件战线，Meta 继续诉讼、情报共享与用户教育并举——去年已胜诉 NSO Group，后者被勒令停止攻击 WhatsApp 并支付数百万惩罚性赔偿金（NSO 已提起上诉）。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，允许未认证攻击者通过 DNS 配置参数注入并执行任意 Shell 命令，实现远程代码执行。 时间线 12 月 15 日：Shadowserver 蜜罐捕获到首次利用尝试；VulnCheck 随后向 D-Link 报告。 利用手法尚未公开披露，VulnCheck 表示“目前未见公开 PoC”。 已确认受影响型号（均 2020 年起 EoL，不再提供补丁） DSL-526B ≤ 2.01 DSL-2640B ≤ 1.07 DSL-2740R < 1.17 DSL-2780B ≤ 1.01.14 D-Link 仍在排查其他固件版本，但由于历代固件实现差异大，暂无远程型号识别方案，只能通过固件提取确认。 利用场景 大多数家庭路由默认仅在内网开放 CGI 管理接口，因此实际利用需： 受害者浏览器访问恶意网页（CSRF/JS 攻击）； 设备被手动开启远程管理并暴露于公网。 缓解措施 立即停用并更换仍在运行的上述 EoL 设备； 若暂时无法替换，应关闭远程管理、降低为仅本地访问，并置于隔离或访客网段； 保持固件为官方最后可用版本，启用最强安全策略。 D-Link 提醒：停保产品不再获得任何固件更新、漏洞补丁或技术支持。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文