HackerNews 编译，转载请注明出处： 根据奇安信XLab的研究，一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军，这些设备包括基于安卓系统的电视、机顶盒和平板电脑，并且可能与另一个名为 AISURU 的僵尸网络存在关联。 “Kimwolf是一个使用NDK编译的僵尸网络，” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外，它还集成了代理转发、反向Shell和文件管理功能。” 据估计，这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间，其一个C2域名曾登顶Cloudflare的全球前100域名榜单，甚至一度短暂超越谷歌。 Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球，其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而，恶意软件传播到这些设备的具体方式目前尚不清楚。 XLab表示，其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后，上月又发现了另外八个样本。 “我们观察到，Kimwolf的C2域名至少被未知方成功关闭了三次，迫使其升级策略，转而使用ENS来强化其基础设施，这展示了其强大的进化能力，” XLab研究人员说。 不仅如此，本月早些时候，XLab成功夺取了其中一个C2域名的控制权，从而得以评估该僵尸网络的规模。 Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联，后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测，攻击者在早期阶段重用了AISURU的代码，后来才选择开发Kimwolf僵尸网络以规避检测。 XLab表示，其中一些攻击可能并非仅来自AISURU，Kimwolf可能参与甚至主导了这些攻击。 “这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，” 该公司表示。”它们实际上属于同一个黑客组织。” 这一评估基于上传到VirusTotal平台的APK包的相似性，在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据：一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。 恶意软件本身相当直接。一旦启动，它会确保在受感染设备上只运行一个进程实例，然后继续解密嵌入的C2域名，使用基于TLS的DNS获取C2 IP地址，并连接到该地址以接收和执行命令。 截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术，该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址，旨在使其基础设施对打击行动更具弹性。 具体来说，这涉及到从事务的”lol”字段中提取IPv6地址，然后取该地址的最后四个字节，并用密钥”0x93141715″进行异或运算以得到实际的IP地址。 除了加密与C2服务器和DNS解析器相关的敏感数据外，Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言，该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据，攻击目标位于美国、中国、法国、德国和加拿大。 进一步分析确定，超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分，一个基于Rust的命令客户端模块被部署以形成代理网络。 同时分发给节点的还有ByteConnect SDK，这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。 “巨型僵尸网络起源于2016年的Mirai，感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上，” XLab表示。”然而，近年来，诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露，这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一场名为 GhostPoster 的新活动被发现利用 17款 Mozilla Firefox 浏览器扩展程序的 标志文件，嵌入旨在劫持联盟链接、注入追踪代码以及实施点击和广告欺诈的恶意JavaScript代码。 据发现此次活动的 Koi Security 称，这些扩展程序已被累计下载 超过5万次。目前相关插件已不可用。 这些浏览器程序被宣传为VPN、截图工具、广告拦截器以及非官方版本的谷歌翻译等。其中最早上架的扩展程序 Dark Mode 发布于2024年10月25日，声称能为所有网站启用深色主题。受影响的浏览器扩展程序完整列表如下： Free VPN Screenshot Weather (weather-best-forecast) Mouse Gesture (crxMouse) Cache – Fast site loader Free MP3 Downloader Google Translate (google-translate-right-clicks) Traductor de Google Global VPN – Free Forever Dark Reader Dark Mode Translator – Google Bing Baidu DeepL Weather (i-like-weather) Google Translate (google-translate-pro-extension) 谷歌翻译 libretv-watch-free-videos Ad Stop – Best Ad Blocker Google Translate (right-click-google-translate) 安全研究人员 Lotan Sery 和 Noga Gouldman 表示：”它们实际交付的是一个多阶段恶意软件载荷，会监控你浏览的所有内容，剥离浏览器的安全防护，并打开一个用于远程代码执行的后门。“ 攻击链始于加载上述任一扩展程序时获取其标志文件。恶意代码会解析该文件，寻找包含”===”标记的特定部分，以提取出JavaScript代码——一个加载器。该加载器会联系外部服务器以获取主载荷，每次尝试之间等待 48小时。 为进一步逃避检测，加载器被设定为仅在 10% 的情况下才去获取载荷。这种随机性是蓄意设计，旨在规避网络流量监控。 获取的主载荷是一个经过自定义编码的全面工具包，能够在受害者不知情的情况下通过四种方式从其浏览器活动中牟利： 联盟链接劫持：拦截指向淘宝、京东等电商网站的联盟链接，剥夺合法联盟会员的佣金。 追踪代码注入：向受害者访问的每个网页插入谷歌分析追踪代码，默默收集其用户画像。 安全标头剥离：从HTTP响应中移除如内容安全策略和X-Frame-Options等安全标头，使用户面临点击劫持和跨站脚本攻击风险。 隐藏Iframe注入：向页面注入不可见的iframe，加载攻击者控制服务器上的URL，用于广告和点击欺诈。 验证码绕过：采用多种方法绕过验证码挑战，规避机器人检测防护。 研究人员解释道：”为什么恶意软件需要绕过验证码？因为其部分操作（如隐藏iframe注入）会触发机器人检测。恶意软件需要证明自己是’人’才能继续运行。“ 除了概率检查，这些扩展程序还采用了基于时间的延迟，确保在安装超过六天后恶意软件才会激活。这些分层规避技术使得发现其幕后活动更加困难。 需要强调的是，并非所有上述扩展程序都使用完全相同的隐写攻击链，但它们都表现出相同的行为，并与相同的命令与控制基础设施通信，这表明这很可能是同一威胁行为者或组织所为，他们尝试了不同的诱饵和方法。 就在几天前，一款流行的适用于谷歌Chrome和微软Edge的VPN扩展程序被发现秘密收集ChatGPT、Claude和Gemini的AI对话，并将其外泄给数据代理商。而在2025年8月，另一款名为FreeVPN.One的Chrome扩展被发现收集屏幕截图、系统信息和用户位置。 “免费VPN承诺隐私，但天下没有免费的午餐，” Koi Security 评论道，”一次又一次，它们带来的是监控。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 无国界记者组织周三表示，其法医研究人员在一名白俄罗斯记者的手机上发现了一种此前未知的间谍软件工具。 该组织称，基于在反病毒平台上对比样本的分析，其认为该间谍软件至少自2021年起就已投入使用。这款被命名为”ResidentBat”的间谍软件能够访问通话记录、短信和加密应用程序信息、麦克风录音、本地存储的文件以及屏幕截图，主要用于攻击安卓手机。 据无国界记者组织新闻稿称，该记者和该组织均认为，间谍软件是在记者被白俄罗斯克格勃拘留期间安装的。手机在审讯期间被没收，当局一度强迫记者解锁手机。 类似威权政权在记者被警方或安全部门审讯时在其手机上安装间谍软件的案例最近在塞尔维亚和肯尼亚也有发生。 “威权政权利用拘留机会在手机上植入间谍软件的案例越来越多，”公民实验室的数字法证研究员约翰·斯科特-雷尔顿在社交媒体帖子中写道。”这项调查很重要，它提醒我们，独裁者并不总是需要零日漏洞。” 2024年12月，公民实验室报告称，他们在一名被指控支持乌克兰的俄罗斯程序员获释后，发现其手机被秘密植入了间谍软件。 这名白俄罗斯记者手机被感染的最近情况，是在其被拘留几天后手机上的反病毒软件标记出”可疑组件”后才得以曝光。该记者联系了东欧非营利组织RESIDENT.NGO，该组织随后与无国界记者组织共同分析了这部手机。 “通过部署ResidentBat等监控技术，白俄罗斯国家正在对独立新闻业实施蓄意的压制策略，”无国界记者组织的倡导与援助主任安托万·伯纳德在一份声明中说。”对其私人和职业生活进行系统性侵犯，相当于对新闻自由和基本权利进行直接且非法的攻击。” 在该组织进行的新闻自由调查中，白俄罗斯在180个国家和地区中排名第166位。 无国界记者组织表示已将其发现告知谷歌，这家科技巨头计划向所有被识别为该间谍软件活动目标的谷歌用户发送威胁通知。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“金狼”的全新巨型僵尸网络，其流量曾短暂超越谷歌，登上全球最热门网站榜首。研究人员警告，这个已控制约180万台安卓设备且仍在扩张的僵尸网络，有能力发动前所未有的网络攻击。 根据Cloudflare的数据，10月30日，一个奇怪的域名 14emeliaterracewestroxburyma02132[.]su 曾超越谷歌成为全球最受欢迎的网站。调查发现，这实际上是该僵尸网络用于协调数百万IP地址进行恶意活动的命令与控制服务器。 Xlab随后的调查揭露了这个被研究人员称为“金狼”的、“史上最疯狂”的僵尸网络。其规模已与迄今已知的最大僵尸网络“爱刷”相当甚至超越，而两者实际上共享部分代码库。研究人员通过抢先注册其中一个C2域名得以一窥其内部运作。在三天内，Xlab观测到了270万个不同的源IP地址。仅在12月4日一天，该僵尸网络就有183万个活跃IP地址。 Xlab保守估计，“金狼”由约180万台安卓设备组成，主要感染对象是部署在家庭网络中的电视盒子等安卓设备。这些设备很可能未经谷歌认证，因此缺乏Google Play保护。 获取的样本显示，“金狼”功能强大，除典型的DDoS攻击能力外，还集成了代理转发功能，使攻击者能隐藏真实位置并绕过基于IP的地理限制或黑名单。该恶意软件包含反向Shell，让攻击者能对受感染设备进行命令行访问，从而运行任意命令或部署额外恶意软件。此外，它还具备文件管理功能，能在设备间上传、下载和修改文件。 研究人员惊讶地发现，“金狼”与“爱刷”僵尸网络有关联，推测攻击者在早期阶段直接复用了“爱刷”的代码。但由于“爱刷”在安全产品中检测率较高，攻击者很可能因此重新设计了其隐匿和反检测能力。“金狼”使用了加密技术，并近期引入了利用区块链隐藏或动态获取恶意基础设施信息的“以太隐藏”技术。 该僵尸网络永不眠，受感染设备广泛分布于222个国家和地区的多个时区。按IP来源地统计，巴西约占14%，印度占12.71%，美国占9.58%，阿根廷占7.19%，南非占3.85%，菲律宾占3.58%，墨西哥占3.07%，中国占3.04%。 尽管无法直接测量，但通过观察两次大规模DDoS事件并与“爱刷”横向比较，研究人员认为“金狼”的攻击能力接近30Tbps。而当前的DDoS记录保持者“爱刷”单次攻击的最大吞吐量为29.7 Tbps。Xlab研究人员审查数据后确认“金狼”参与了攻击，并指出许多被归因于“爱刷”的攻击背后，可能并非其单独行动，“金狼”也参与其中，甚至可能是由“金狼”主导。这两个大型僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，实际上属于同一黑客组织。 尽管参与DDoS攻击，但发送给“金狼”僵尸网络的命令中，96.5%与提供代理服务相关。 对安全记者的“执念” “金狼”的运营者似乎有报复心理。他们甚至在Xlab研究人员调查期间发动了DDoS反制攻击，并在攻击载荷中嵌入针对中国人的攻击性信息。其他样本中还包含了硬编码的种族歧视言论、将金正恩称为最高领导人的政治观点、玩笑话，以及对知名安全记者布莱恩·克雷布斯的嘲讽。 Xlab指出，“金狼”经常在DDoS攻击载荷中包含各种嘲讽、挑衅甚至勒索信息。调查发现，“金狼”的作者对布莱恩·克雷布斯表现出近乎“偏执”的关注，在多个样本中留下了与其相关的“彩蛋”。连研究人员接管的域名中都包含了克雷布斯的名字。网络犯罪分子此前曾试图对其博客发动大规模DDoS攻击，但未成功。 打击行动进行中 Xlab接管攻击者C2服务器的行动似乎引发了后续ISP层面干预的“连锁反应”。其他第三方也处置了相关基础设施并停止了DNS解析。运营者被迫紧急升级C2基础设施，导致每日活跃僵尸设备数锐减至约20万台。然而，12月12日，“金狼”再次升级了基础设施，并傲慢地宣称：“我们有成百上千台服务器在持续尝试，哈哈！” Xlab研究人员敦促制造商改进整个供应链中安卓电视设备的安全性。用户应避免使用未经认证的低价杂牌安卓设备，设置强密码，及时应用固件更新，并避免下载来源不明的应用程序。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，一个多次被当局查封又屡次被攻击者恢复的数据泄露网站Breachforums上发布了攻击公告。攻击者吹嘘已侵入法国内政部，并窃取了多个存储敏感数据的政府系统信息。 黑客团队声称，此次攻击是对当局逮捕 “ShinnyHunters/hollow网络犯罪团伙成员的报复。此次泄露涉及超1640万法国人的信息，约占法国总人口的四分之一。 法国内政部向Cybernews证实，该部门遭遇“恶意入侵”，目前正在“最高级别”处理。据内政部称，初步技术调查显示，攻击者仅能查看有限数量的工作邮箱账户。 与此同时，《费加罗报》报道称，法国当局的初步调查显示，黑客很可能通过员工在邮件中明文分享的密码获取了凭证，从而访问了内政部的应用程序。 内政部称：“通过邮箱账户，攻击者获取了一些身份验证信息，进而访问了业务应用程序。目前正在分析以确定受影响数据的具体范围、性质和数量，尤其是哪些数据被泄露。”但现阶段仍不清楚攻击者具体访问了何种数据或是否窃取了详细信息。 内政部称已注意到Breachforums上的帖子，正在调查相关说法。所有必要措施正在采取以阻止此次入侵，并加强部委信息系统的整体安全。司法调查也在进行中，以期尽快识别并起诉肇事者。 攻击者声称了什么？ 攻击者最初声称此次黑客攻击涉及数百万法国公民的信息，并访问了犯罪记录处理系统、通缉人员档案库、国际刑警相关系统，以及内政部的财务和养老金计划数据集。虽然未具体说明可能泄露的数据类型，但据称被访问的数据集很可能包含大量敏感细节，从个人身份信息到犯罪记录和机密案件详情。内政部员工，包括警官，也可能受到影响。 其他报告指出，据称在数据泄露中暴露的1600万人是所有正在进行和过去司法程序中的嫌疑人和受害者。如果得到证实，此次攻击可能产生深远影响，因为大量敏感数据可能被外国政府和犯罪组织利用。 值得注意的是，这起所谓的对落网网络同伙的“报复”攻击也涉及金钱要求。攻击者给法国政府一周时间支付赎金以“删除”被盗数据，否则威胁将数据出售给其他网络犯罪分子。该消息后来从Breachforums上移除，网站显示“维护中”横幅。据攻击者称，他们因遭受DDoS攻击而被迫关闭论坛。 攻击者还透露，他们通过CHEOPS门户入侵了内政部，这是当局内部使用的通信系统。然而，并非所有人都相信攻击者确实获取了敏感信息。法国安全研究员、网络安全公司Predicta Labs的首席执行官巴蒂斯特·罗伯特指出，尽管攻击者声称大胆，但至今未提供任何数据样本作为证据。 攻击者上传了一张CHEOPS门户登录页面的截图，在用户密码输入处写有“WE ARE STILL HERE”。此外，还有一张模糊的身份证照片，暗示攻击者可能访问了一些警察的身份证件。罗伯特在X平台上用法语发帖质疑：“伙计们，你们甚至没有截一张自己在门户网站上认证的截图吗？这就是你们能展示的全部吗？”在后来的帖子中，这位安全研究员指出，虽然发生了严重的数据泄露，但目前没有迹象表明攻击者成功窃取了大量个人敏感数据。 过去的法国数据泄露事件 法国内政部的网络攻击并非该国首次遭遇重大数据安全事件。去年，Cybernews研究人员发现了一个暴露的数据库实例，包含超过9500万条记录，汇集了过去攻击中已知和未知的数据泄露。今年5月，Stormous勒索软件团伙在其暗网博客上发布了一个大型数据集，据称包含多个法国组织和机构的电子邮件和密码。 作为一个庞大而富裕的国家，法国经常成为网络犯罪分子的目标。仅今年，攻击者就针对法国旗舰航空公司法国航空、著名学府巴黎索邦大学以及法国足球联合会发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。此前ChatGPT披露了此次事件，近日该事件已波及到了Pornhub。黑客表示，他们掌握了Pornhub付费会员的浏览记录。 Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。 12月12日，Pornhub发布数据泄露通知称，其第三方数据分析服务商Mixpane遭遇攻击，导致部分付费会员信息受到影响。 尽管Pornhub声称自2021年起便已终止与Mixpanel的合作，但此次泄露的数据中仍包含“部分用户的少量分析事件记录”。 但Pornhub强调，此次泄露并未波及Pornhub付费会员系统。通知称：“用户的密码、账户凭证、支付信息以及身份证件信息均未遭到泄露或窃取。” Pornhub称，在收到Mixpanel的网络攻击通报后，它们已立即启动内部调查，以确定数据泄露的波及范围。 ShinyHunters黑客组织认领此次攻击 ShinyHunters已宣称对这起重大数据泄露事件负责。发给多家媒体的邮件显示，该网络犯罪团伙自上周起，已开始对Mixpanel的客户实施敲诈勒索。 随后，ShinyHunters向BleepingComputer证实，他们是这次勒索活动的幕后黑手，并坚称被盗数据集包含超过2亿条Pornhub用户记录，这些记录是通过发送给Mixpanel的分析事件收集的。 据报道，这些记录包括Pornhub付费会员的电子邮件地址、活动类型、位置、视频URL、视频标题、相关关键词以及显示活动发生时间的精确时间戳。ShinyHunters还声称该数据集包含用户的搜索历史。 受影响用户或面临花样勒索 网络安全公司ImmuniWeb首席执行官、欧洲刑警组织欧洲网络犯罪防御联盟成员伊利亚・科洛琴科在接受Cybernews采访时表示：“如果有关Pornhub 2.01亿条付费会员记录遭泄露的指控属实，那么这起数据泄露事件的恶劣程度或将超越2016年轰动一时的Adult Friend Finder数据泄露事件。” 科洛琴科指出，Adult Friend Finder数据泄露事件发生时，现代三重勒索策略尚未普及，但即便如此，该事件仍造成了毁灭性的现实后果。 这起事件“导致多人自杀、失业、家庭破裂，并引发多起政治丑闻，更不用说对受害者造成的长期心理创伤与精神损害”。 科洛琴科警告：“倘若此次Pornhub数据泄露事件的规模与发生时间果真如ShinyHunters所言，其后果可能比Adult Friend Finder事件更为严重，会对包括政客与名人在内的受害者造成难以挽回的伤害。” 网络敲诈手段正出现一种令人不安的全新升级趋势 “我们已经发现多起案例：网络犯罪团伙威胁受害者，若不支付赎金，就将窃取的受害者数据‘投喂’给主流大型大语言模型，对其进行数据污染。” 一旦此类数据进入人工智能训练数据库，造成的损害将极难消除。“当用户在AI聊天对话框中输入受害者姓名时，这些高度敏感的个人数据就可能出现在机器人的回复内容中。” 他补充道：“这种破坏性后果几乎无法彻底清除。即便聘请顶尖律师团队处理，受技术条件限制，完成全面清理工作也可能需要数周甚至数月时间。” 科洛琴科认为，这标志着数字敲诈进入了一个危险的新阶段。“2025 年，这类‘花样翻新’的敲诈手段愈演愈烈，一旦用户敏感数据遭窃取，受害者往往束手无策。” 他给出的结论一针见血：“总而言之，除非你能接受自己的数据登上低俗小报，再被AI聊天工具反复传播，否则切勿将个人信息托付给任何公司或第三方机构。” 黑客组织 ShinyHunters 是什么来头？ 该组织疑似成立于2020 年，是一个以英语为交流语言的黑客团伙，其成员据信主要藏身于美国和英国境内。ShinyHunters运营着臭名昭著的网络犯罪论坛Breached。今年9月，该团伙曾宣称入侵奢侈品牌开云集团，旗下拥有古驰、巴黎世家、亚历山大・麦昆等知名品牌，并盗取740万份客户数据文件。近期，该组织与另一黑客团伙Scattered Spider及LAPSUS$合并，组建名为Scattered LAPSUS$ Hunters的黑客联盟。 合并后的黑客组织已宣称入侵了戴尔、威瑞森电信、澳大利亚电信、莱卡移动通讯以及科威特航空等多家企业。 据该组织声称，累计窃取的用户记录已近10亿条，并扬言将公布包括谷歌、联邦快递、联合包裹、丰田、斯特兰蒂斯集团、阿迪达斯、迪士尼、家得宝等在内的 700 余家大型企业的数据。 OpenAI同样遭此毒手 11月底，OpenAI也曾证实，其第三方数据分析服务商 Mixpanel发生一起安全事件，导致其API平台的部分用户数据泄露。 OpenAI表示，该事件源于Mixpanel的系统内部，泄露的内容仅涉及部分API用户的少量分析数据，ChatGPT及其他产品的用户据称未受影响。 OpenAI方面称：“这并非OpenAI系统本身存在漏洞而引发的入侵事件。用户的聊天记录、应用程序编程接口请求内容、接口使用数据、密码、账户凭证、接口密钥、支付信息以及身份证件信息均未泄露或遭到窃取。” 在对该事件展开全面调查后，OpenAI已终止与Mixpanel 的合作，并再次强调，此次数据泄露并非由OpenAI系统存在安全漏洞导致。 OpenAI还补充道：“保障产品的安全性与用户隐私是我们的首要任务。我们将始终致力于保护用户信息，并在安全事件发生时，以公开透明的态度及时与用户沟通。” Mixpanel公开致歉 Mixpanel已就此次事件公开致歉，并在声明中表示，事件已得到有效控制。 这家数据分析公司在一份通知中称，其于2025年11月 8日检测到一起短信钓鱼攻击，随即启动应急响应机制。 Mixpanel表示，公司迅速采取行动“控制并消除非法访问风险”，锁定了受影响的账户，并邀请外部网络安全合作伙伴介入协助调查。 Mixpanel已直接向所有受影响的客户发送了通知。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  NoName057(16)，亦被称为05716nnm或NoName05716，已成为针对北约成员国和欧洲组织的重要威胁。 该组织起源于俄罗斯青年环境研究与网络监控中心内的一个秘密项目，自2022年3月以来一直积极实施分布式拒绝服务攻击。 该组织在俄罗斯联邦青年事务署领导层的支持下运作，并遵从俄罗斯政府利益的指导，已将自己定位为反对俄罗斯地缘政治目标的西方机构的主要网络威胁。 该组织的主要攻击能力依赖于DDoSia项目，这是一个通过Telegram频道招募志愿者的众包僵尸网络。 志愿者会获得易于使用的基于Go语言的攻击工具，并因其参与而获得加密货币奖励。这种基于志愿者的模式在针对不同目标扩大攻击规模方面已被证明非常有效。 DDoSia与传统僵尸网络的不同之处在于其简单性，使得技术专长有限的个人也能参与协调攻击。 到2024年，NoName057(16)通过与其他亲俄罗斯的黑客行动主义团体合作扩大了影响力，其中尤其值得注意的是”俄罗斯重生网络军”，该组织最终促成了Z-Pentest于2024年9月成立。 Picus Security的分析师发现了支撑DDoSia攻击基础设施的复杂两阶段通信协议。 技术机制 系统首先通过向命令与控制服务器的 /client/login 端点发送HTTP POST请求进行客户端认证，客户端在此过程中传输加密的系统信息，包括操作系统详情、内核版本和CPU规格。 在收到包含UNIX时间戳的200 OK响应（表明认证成功）后，客户端进入第二阶段，通过向 /client/get_targets 发送GET请求来获取目标配置。 该运营基础设施采用了旨在规避检测和缓解的弹性多层架构。第一层由面向公众的命令与控制服务器组成，直接与DDoSia客户端通信，这些服务器的平均寿命约为9天，不过许多会每日轮换。 第二层后端服务器维护核心逻辑和目标列表，其访问权限通过访问控制列表严格控制，仅允许来自授权第一层服务器的连接。 这种隔离确保了即使第一层节点被识别和封锁，核心基础设施仍能保持运行。 分析显示其运营节奏很快，平均每天攻击50个独特目标，且活动模式与俄罗斯标准工作时间高度相关。 乌克兰遭受的攻击占比最大，为29.47%，其次是法国（6.09%）、意大利（5.39%）、瑞典（5.29%）和德国（4.60%）。政府部门占攻击目标的41.09%，交通和电信部门也受到严重影响。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型基于互联网的攻击正在将太阳能电力基础设施转变为高风险目标，使黑客仅需利用开放的端口和免费工具就能在几分钟内中断能源生产。 现代太阳能电站依赖网络化的运营技术，包括SCADA控制器和组串监测箱，其中许多设备仍使用Modbus协议。这是一种遗留协议，没有内置安全功能。 当这些设备暴露在互联网上时，攻击者可以远程发送控制命令，在晴朗的天气里仅用一个数据包就能切断电力。 Cato Networks的分析师注意到，针对直接控制太阳能电池板输出的启用Modbus的组串监测箱，存在大规模侦察和利用尝试。 通过滥用通常暴露在502端口的TCP上的Modbus协议，对手可以读取设备状态，然后翻转控制位来开启或关闭组串。 这种风险不需要零日漏洞或复杂的负载，它来自于默认开放的服务和设计上就不安全的协议。一旦攻击者识别出一台可访问的设备，从首次探测到造成电力中断的时间可以从几天缩短到几分钟。 Cato Networks的研究人员发现，当这些攻击与能够自动扫描、指纹识别和针对OT资产进行命令注入的智能体AI框架结合时，其影响范围会进一步扩大。 AI驱动的工具可以快速扫描大范围IP地址，发现暴露的Modbus服务，并以机器速度测试可写的寄存器。这改变了太阳能电站运营者的威胁模型，因为人类防御者在监控和响应方面难以跟上这种速度。 来源分析凸显了薄弱点：组串监测箱。它使用Modbus协议，并将光伏组串连接到SCADA”大脑”。一旦这个箱子被入侵，攻击者实际上就变成了一个恶意SCADA操作员。 他们可以使用简单的Modbus功能码来读取电压和电流的保持寄存器，然后写入改变系统状态的线圈或寄存器值。在许多部署中，这些箱子位于扁平网络上，IT和OT之间没有分段，这使得横向移动更加容易。 基于Modbus的命令级操控 该威胁的核心是通过Modbus/TCP直接操控寄存器。攻击者首先使用Nmap的Modbus NSE脚本进行基本发现，以确认主机在502端口上运行Modbus并枚举设备ID。 用于OT侦察的典型Nmap命令如下所示： nmap -sV -p 502 --script modbus-discover <目标IP> 这一步显示了哪些单元ID会响应以及支持哪些功能码。然后，攻击者会转向使用如mbpoll或modbus-cli等工具来读写寄存器。 例如，恶意操作员可以通过向一个控制寄存器写入特定值来尝试关闭一个光伏组串： mbpoll -m tcp -t 0 -r 0xAC00 -0 1 <目标IP> # 0xAC00 映射为"关闭" 在已有案例中，像0xAC00和0xAC01这样的寄存器分别被映射为”关闭”和”开启”。 通过循环这些命令，攻击者可以快速切换组串、给逆变器施加压力，或者在电站保持在线的情况下静默地降低发电量。 当这些操作被封装在AI驱动的逻辑中时，脚本可以持续探测是否接受指令、重试失败的写入，并适应部分防御措施，将简单的寄存器修改转变为可靠、可重复的漏洞利用。 Cato Networks的报告通过一个关于暴露的Modbus端口502的真实世界警报强调了这个问题，该警报被评为高风险，并与过于宽松的防火墙规则有关。 总之，这些发现全面、技术性地解析了太阳能资产上暴露在互联网的Modbus服务如何被利用，从而导致快速、高影响的电网中断。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款拥有”精选”徽章和六百万用户的 Google Chrome 扩展程序，被发现在用户不知情的情况下，收集他们输入到各类人工智能聊天机器人的所有提示词，包括 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。 这款有问题的扩展程序是 Urban VPN Proxy，在 Google Chrome 网上应用店的评分为 4.7 星。它被宣传为”访问任何网站的最佳安全免费 VPN，并能解锁内容”。其开发者是一家位于特拉华州、名为 Urban Cyber Security Inc. 的公司。在 Microsoft Edge 加载项市场中，它拥有 130 万次安装。 尽管声称允许用户”保护您的在线身份、保持安全并隐藏您的 IP 地址”，但在 2025 年 7 月 9 日，当版本 5.5.0 发布时，一项更新被推送给了用户。该版本默认启用了通过硬编码设置实现的 AI 数据收集功能。 具体而言，这是通过一个定制的执行器 JavaScript 来实现的，该脚本会针对每个目标 AI 聊天机器人（例如 chatgpt.js、claude.js、gemini.js）触发，以拦截和收集安装了该扩展程序的用户每次访问任何目标平台时的对话。 一旦脚本被注入，它会覆盖用于处理网络请求的浏览器 API——fetch() 和 XMLHttpRequest()——以确保每个请求首先通过扩展程序的代码路由，从而捕获对话数据，包括用户的提示词和聊天机器人的回复，并将其外泄到两个远程服务器（”analytics.urban-vpn[.]com” 和 “stats.urban-vpn[.]com”）。 该扩展程序捕获的具体数据列表如下： 用户输入的提示词 聊天机器人的回复 对话标识符和时间戳 会话元数据 使用的 AI 平台和模型 “Chrome 和 Edge 扩展默认会自动更新，” Koi Security 的 Idan Dardikman 在今天发布的一份报告中表示。”那些为了其宣称的 VPN 功能而安装了 Urban VPN 的用户，某天醒来时会发现新代码正在悄悄收集他们的 AI 对话记录。” 值得一提的是，截至 2025 年 6 月 25 日，Urban VPN 更新的隐私政策提到，它收集这些数据是为了增强安全浏览功能和用于营销分析，并且对所收集的 AI 提示词进行的任何其他二次使用都将在去标识化和匿名化的数据上进行—— “作为浏览数据的一部分，我们将收集最终用户查询或由 AI 聊天提供方生成的提示词和输出。也就是说，我们只对 AI 提示词和您与聊天 AI 互动的结果感兴趣。由于 AI 提示词所涉数据的性质，可能会处理一些敏感的个人信息。然而，此处理的目的并非收集个人或可识别数据。我们无法完全保证去除所有敏感或个人信息，但我们采取措施过滤或消除您可能通过提示词提交的任何标识符或个人数据，并对数据进行去标识化和聚合处理。” 与其共享”网络浏览数据”的第三方之一，是一家名为 BIScience 的关联广告情报和品牌监测公司。该 VPN 软件制造商指出，该公司使用原始（非匿名化）数据来创建”用于商业用途并与商业合作伙伴共享”的洞察报告。 值得注意的是，BIScience在今年 1 月初曾被一名匿名研究员点名，因其在具有误导性的隐私政策披露下，收集用户的浏览历史记录（或称点击流数据）。 据称，该公司向合作的第三方扩展开发者提供软件开发工具包，以收集用户的点击流数据，这些数据被传输到其控制下的 sclpfybn[.]com 域名及其他端点。 “BIScience 及其合作伙伴利用了 Chrome 网上应用店政策中的漏洞，主要是有限使用政策中列出的例外情况，即’批准的用例’，” 该研究员指出，并补充说他们”开发了据称需要访问浏览历史记录的用户端功能，以主张’为提供或改进您的单一目的所必需’的例外情况。” 在扩展程序的列表页面上，Urban VPN 还突出宣传了一项”AI 保护”功能，据称可以检查提示词是否包含个人数据，检查聊天机器人的回复中是否有可疑或不安全链接，并在用户提交提示词或点击链接前显示警告。 虽然这种监控被包装为防止用户意外分享任何个人信息，但开发者未提及的是，无论此功能是否启用，数据收集都会发生。 “该保护功能偶尔会显示关于与 AI 公司共享敏感数据的警告，” Dardikman 说。”而收集功能却将那些完全相同的敏感数据——以及其他所有内容——发送到 Urban VPN 自己的服务器，在那里被出售给广告商。该扩展程序警告您不要与 ChatGPT 共享您的电子邮件，同时却将您的整个对话内容外泄给数据中间商。” Koi Security 表示，他们在同一发布者的另外三款 Chrome 和 Microsoft Edge 扩展中也观察到了完全相同的 AI 数据收集功能，这使得其总安装基数超过八百万： 1ClickVPN Proxy Urban Browser Guard Urban Ad Blocker 所有这些扩展程序（Edge 版的 Urban Ad Blocker 除外）都带有”精选”徽章，给用户一种印象，即它们遵循了平台的”最佳实践，并符合高标准的用户体验和设计”。 “这些徽章向用户表明，这些扩展程序已经过审核并符合平台质量标准，” Dardikman 指出。”对许多用户来说，精选徽章是决定安装还是忽略一个扩展程序的关键——这是来自 Google 和 Microsoft 的隐含认可。” 这些发现再次表明，与扩展程序市场相关的信任如何被滥用以大规模收集敏感数据，尤其是在用户越来越多地与 AI 聊天机器人分享深度个人信息、寻求建议和讨论情感的时候。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文