HackerNews 编译，转载请注明出处： 全球最大电池制造商之一 LG 能源解决方案（LG Energy Solution）证实，其遭遇勒索软件攻击 —— 此前，一个上周被美国联邦调查局（FBI）重点通报的网络犯罪团伙已宣称对此负责。 这家总部位于韩国的公司发言人表示，企业近期发现了该起攻击事件，目前正实施安全措施以应对相关情况。 “攻击目标为某一特定海外工厂，经确认，总部及其他设施未受影响，” 发言人指出。LG 能源解决方案在全球多大洲设有生产基地，仅北美地区就有 8 家工厂。 “受影响工厂已通过恢复措施恢复正常运营，作为预防措施，我们正在开展安全运维及调查工作。” 该发言人未回应关于事件性质的进一步询问。 LG 能源解决方案是韩国跨国企业 LG 集团的子公司，2024 年通过为汽车制造商供应电池实现营收 175 亿美元。 本周一（注：结合上下文推测为 2025 年 11 月相关日期），“明”（Akira）勒索软件团伙将该公司列入其数据泄露网站，声称窃取了 1.7 太字节（TB）的数据，包括企业文件、员工信息数据库等内容。 11 月 13 日，FBI 发布了关于该勒索软件团伙的更新通报，警告称该黑客组织通过勒索软件攻击已非法获利超过 2.44 亿美元。 “‘明’勒索软件不仅窃取资金，还会破坏为医院、学校和企业提供支撑的关键系统，”FBI 网络部门助理局长布雷特・莱瑟曼（Brett Leatherman）表示。 通报同时警告，该团伙正重点针对制造业及其他多个行业发动攻击。 随着电池制造商在全球产业链中的地位日益凸显，这类企业已成为勒索软件团伙的重点攻击目标。德国电池制造商瓦尔塔集团（Varta AG）去年曾因网络攻击导致系统瘫痪数周；2024 年，某电池关键材料主要供应商遭黑客窃取 6000 万美元。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布 Chrome 安全更新，修复了两个漏洞，其中包括一个编号为 CVE-2025-13223 的高危 V8 类型混淆漏洞 —— 该漏洞已被野外活跃利用。 Chrome V8 引擎是谷歌开发的开源 JavaScript 及 WebAssembly 引擎（采用 C++ 编写），为谷歌 Chrome 浏览器、Node.js 等应用程序提供代码执行支持。 类型混淆漏洞是指软件将某块内存错误解读为其他类型对象的安全问题。这种混淆可能导致攻击者破坏内存数据、崩溃程序或执行恶意代码，在浏览器等 C/C++ 开发的应用中较为常见 —— 这类语言较弱的内存安全性为漏洞利用提供了可能。 攻击者可通过构造恶意 HTML 页面触发该漏洞，实现代码执行或导致程序崩溃。 该漏洞影响版本号低于 142.0.7444.175 的谷歌 Chrome 浏览器中的 V8 脚本引擎。 美国国家标准与技术研究院（NIST）在安全公告中指出：“谷歌 Chrome 142.0.7444.175 版本之前的 V8 引擎存在类型混淆漏洞，远程攻击者可通过构造恶意 HTML 页面潜在利用此漏洞实施堆破坏。（Chromium 安全等级：高危）” 公告同时明确：“谷歌已知悉 CVE-2025-13223 漏洞存在野外利用样本。” 该漏洞由谷歌威胁分析小组（TAG）的克莱芒・勒西涅（Clément Lecigne）于 2025 年 11 月 12 日报告。谷歌 TAG 团队主要负责调查国家级黑客组织及商业间谍软件供应商发起的攻击活动，此次漏洞大概率已被某类威胁行为者用于野外攻击。与往常一致，谷歌未披露该漏洞相关攻击事件的具体细节。 此外，谷歌还修复了另一个 V8 类型混淆漏洞 CVE-2025-13224，该漏洞由谷歌通过其 “Big Sleep” 安全机制于 2025 年 10 月 9 日自行发现。 用户应根据自身操作系统，将 Chrome 浏览器更新至 142.0.7444.175 或 142.0.7444.176 版本，并重启浏览器以应用修复补丁。 CVE-2025-13223 是 2025 年以来谷歌修复的第七个被野外活跃利用的 Chrome 零日漏洞，其余已修复的零日漏洞包括： CVE-2025-10585：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 CVE-2025-6558：谷歌 Chrome 138.0.7204.157 版本之前的 ANGLE 组件及 GPU 模块存在不可信输入验证不充分问题，远程攻击者可通过构造恶意 HTML 页面潜在实现沙箱逃逸。 CVE-2025-5419：谷歌 Chrome 浏览器早期版本的 V8 JavaScript 引擎存在越界读写漏洞，攻击者可通过构造恶意 HTML 页面触发堆破坏，该漏洞已被野外活跃利用。 CVE-2025-4664：Chrome 浏览器漏洞，可能导致账户完全被盗取；谷歌已知悉该漏洞存在野外利用样本（注：原文此处疑似笔误，误写为 CVE-2025-5419，已按上下文逻辑修正表述）。 CVE-2025-2783：Windows 平台 Mojo 组件在特定场景下存在句柄处理错误漏洞，由卡巴斯基研究员鲍里斯・拉林（@oct0xor）和伊戈尔・库兹涅佐夫（@2igosha）于 2025 年 3 月 20 日报告。谷歌针对 Windows 版 Chrome 浏览器发布了紧急更新以修复该高危漏洞，该漏洞曾被用于针对俄罗斯境内机构的攻击活动。 CVE-2025-6554：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国外卖配送与物流公司 DoorDash 宣布，其遭遇一起社交工程攻击，引发数据泄露事件，用户、配送员（Dashers）及商户的姓名、地址、电子邮件和电话号码等信息被泄露。 该公司在 cybersecurity 事件声明中表示：“我们的团队近期发现并终止了一起网络安全事件，期间有未授权第三方非法获取并窃取了部分用户信息。重要的是，未授权第三方并未获取任何敏感信息，目前也没有迹象表明这些数据被用于欺诈或身份盗用行为。” DoorDash 证实，其一名员工成为社交工程诈骗的受害者，但公司已切断入侵者的访问权限并通知了执法部门。此次泄露的数据包括用户、配送员（Dashers）和商户的姓名、地址、电子邮件及电话号码。 声明进一步指出：“一名 DoorDash 员工近期成为社交工程诈骗的攻击目标。响应团队已确认该事件，切断了未授权方的访问权限，启动了调查，并将此事移交执法部门处理。” 公司强调，攻击者并未获取社会保障号（SSNs）、身份证号、驾照信息或银行 / 支付详情等敏感数据。 DoorDash 表示，目前没有证据表明被盗数据已被滥用，同时确认 Wolt 和 Deliveroo 平台的用户未受到此次事件影响。 这家美国外卖配送与物流公司已向受影响用户发送了通知。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰警方查获了 250 台运行 “防弹主机” 服务的服务器，该服务专为网络犯罪分子所用，自 2022 年以来已涉及 80 多起网络犯罪调查。 荷兰国家警察部队（Politie）在声明中表示：“在对一家非法主机服务商的调查中，荷兰东部网络犯罪调查小组查获了数千台服务器。警方称，该主机服务商完全用于犯罪活动。调查显示，自 2022 年以来，该公司已出现在国内外 80 多起网络犯罪调查中，且近期仍在被用于实施犯罪活动。” 荷兰警方已将数千台虚拟服务器下线，此举既阻断了犯罪分子对该服务的使用，也为后续调查提供了支持。 何为 “防弹主机”？ “防弹主机”（Bulletproof Hosting）是一种故意无视或抵制滥用举报、下架请求及执法命令的主机服务，其设计目的是让用户能够开展非法或有害活动，且被关闭的风险极低。 此类服务的典型犯罪用途包括： 恶意软件命令与控制（C2）服务器 钓鱼网站与诈骗网站 勒索软件基础设施 僵尸网络控制面板 数据泄露或勒索网站 这些服务商通常在执法力度薄弱的司法管辖区运营，或频繁迁移基础设施以规避检测。 此次服务器查获行动，使得调查人员能够深入调查服务器上的犯罪活动，同时阻止该 “防弹主机” 服务被用于进一步的网络犯罪。 尽管荷兰当局未披露被查获的 “防弹主机” 服务商名称，但有消息人士向 BleepingComputer 透露，荷兰警方从海牙某数据中心扣押了隶属于 CrazyRDP 的服务器，目前该服务已下线。CrazyRDP 提供无需实名认证（no-KYC）、无日志记录的匿名虚拟专用服务器（VPS）/ 远程桌面协议（RDP）服务，常被威胁行为者推荐作为 “防弹主机” 使用。该平台的 Telegram 频道已删除所有帖子并迁移至新频道，用户在新频道中反映其丢失了多台服务器，并担心遭遇 “跑路诈骗”（exit scam）。CrazyRDP 的客服起初将问题归咎于数据中心故障，随后便停止更新相关信息，目前事态进展尚不明确。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序，持续针对中东地区的航空航天、航空和国防行业发动攻击。 谷歌旗下的曼迪昂特（Mandiant）公司将该活动归因于一个代号为 UNC1549（又称 “雨云狮身人面像” 或 “狡猾蜗牛”）的威胁集群，该集群于去年年初首次被这家威胁情报公司记录在案。 研究人员穆罕默德・埃尔 – 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示：“2023 年末至 2025 年期间，UNC1549 采用了复杂的初始访问向量，包括滥用第三方合作关系获取入口（从服务提供商转向其客户）、从第三方虚拟桌面基础设施（VDI）突破，以及针对性极强、与角色相关的钓鱼攻击。” 此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时，该组织通过领英（LinkedIn）发起以招聘为主题的社会工程学攻击，成功入侵了 11 家机构。 事件响应与数字取证（DFIR）托管服务 谷歌称，攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动，以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。 尽管这些组织通常拥有强大的防御体系，但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用：他们先获取关联实体的访问权限，再渗透目标核心系统。 攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰（Citrix）、威睿（VMWare）和 Azure 虚拟桌面与应用程序（VDA）等服务相关的凭证，建立初始立足点，随后突破虚拟化会话限制，获取底层主机系统访问权限，并在目标网络内开展横向移动活动。 另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件，诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现，UNC1549 还在攻击中针对 IT 人员和管理员，以获取具有高权限的凭证，从而获得对网络的深度访问权。 攻击者一旦入侵成功，后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取，系统性收集网络 / IT 文档、知识产权和电子邮件。 该威胁行为者在攻击中使用的部分定制工具如下： MINIBIKE（又称 SlugResin）：已知的 C++ 后门程序，可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器（Google Chrome）、勇敢浏览器（Brave）和微软 Edge 浏览器的浏览数据，并截取屏幕截图。 TWOSTROKE：C++ 后门程序，支持系统信息收集、动态链接库（DLL）加载、文件操作和持久化驻留。 DEEPROOT：基于 Go 语言的 Linux 后门程序，支持执行 shell 命令、枚举系统信息和文件操作。 LIGHTRAIL：定制隧道工具，疑似基于开源 Socks4a 代理工具 Lastenzug 开发，利用 Azure 云基础设施进行通信。 GHOSTLINE：基于 Go 语言的 Windows 隧道工具，通过硬编码域名进行通信。 POLLBLEND：C++ Windows 隧道工具，利用硬编码的命令与控制（C2）服务器注册自身并下载隧道配置。 DCSYNCER.SLICK：基于 DCSyncer 开发的 Windows 工具，用于执行 DCSync 攻击以提升权限。 CRASHPAD：C++ Windows 工具，用于提取浏览器中保存的凭证。 SIGHTGRAB：C 语言编写的 Windows 工具，选择性部署以定期捕获屏幕截图并保存至磁盘。 TRUSTTRAP：恶意软件，通过弹出 Windows 提示框诱骗用户输入微软账户凭证。 网络安全配置（CIS）构建工具包 攻击者还使用了多款公开可用的程序，包括：用于查询活动目录（Active Directory）的 AD Explorer；用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具（Atelier Web Remote Commander，AWRC）；以及用于远程控制的 SCCMVNC。此外，该威胁行为者还通过删除远程桌面协议（RDP）连接历史注册表项来阻碍调查。 曼迪昂特公司表示：“UNC1549 的攻击活动特点在于其专注于预判调查行动，并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月，仅在受害者尝试清除后才激活以重新获取访问权限。” “他们利用大量反向 SSH 隧道（可减少取证证据）和策略性模仿受害者所在行业的域名，维持隐蔽性和命令与控制（C2）通信。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，多个恶意软件攻击活动正利用如今十分猖獗的点击诱骗式社会工程学攻击手段，投放阿玛特拉窃取器与网络支持远程控制木马。 该攻击活动于本月被监测到，加拿大网络安全公司易森泰尔将其命名为 “评估行动” 并持续追踪。 阿玛特拉窃取器于 2025 年 6 月首次被发现，经证实其源于 “灼雨” 窃取器。“灼雨” 窃取器此前以恶意软件即服务的模式对外售卖，直至 2024 年 7 月中旬停止发售。阿玛特拉窃取器则采用订阅制售卖模式，月付套餐定价 199 美元，年费套餐定价 1499 美元。 这家加拿大网络安全厂商表示：“阿玛特拉窃取器为攻击者提供了强大的数据窃取能力，攻击目标涵盖加密货币钱包、浏览器、即时通讯软件、文件传输协议客户端以及电子邮件服务等。值得注意的是，该窃取器运用了 WoW64 系统调用等先进的规避技术，以此绕过沙箱、杀毒软件和终端检测与响应系统普遍采用的用户态挂钩机制。” 与各类点击诱骗攻击的典型手法一致，攻击者会在虚假钓鱼页面设置谷歌人机验证环节，诱骗用户通过 Windows 系统的 “运行” 对话框执行恶意命令。该命令会触发多步攻击流程：先通过系统中的微软脚本宿主程序启动 PowerShell 脚本，再由该脚本从文件存储平台媒体火上下载一个点网框架程序。 攻击载荷为阿玛特拉窃取器动态链接库文件，该文件经纯加密器加密处理。纯加密器是一款基于 C# 语言开发的多功能加密工具与加载器，由名为纯编码者的攻击者以恶意软件即服务的模式对外推广售卖。攻击者会将这一动态链接库文件注入微软生成程序进程，随后该窃取器会窃取用户敏感数据，并连接外部服务器执行 PowerShell 命令，进而获取并运行网络支持远程控制木马。 易森泰尔指出：“阿玛特拉窃取器调用的 PowerShell 脚本中，有一设计尤为值得警惕 —— 它会先检测受攻击设备是否加入企业域，或是是否存有加密货币钱包等具有潜在价值的文件。若这两项条件均不满足，脚本便不会下载网络支持远程控制木马。” 这一攻击态势与近期发现的多起钓鱼攻击活动相呼应，这些攻击活动正大肆传播各类恶意软件，具体情况如下： 含 Visual Basic 脚本附件的钓鱼邮件，这类邮件伪装成发票单据，通过批处理脚本调用 PowerShell 加载器来植入 X 蠕虫病毒； 部分网站遭攻击者入侵并植入恶意脚本，访客访问这些网站时会被重定向至伪造的点击诱骗页面。这些页面仿冒云 flare 验证界面，借此投放网络支持远程控制木马。该攻击活动代号为 “智猿行动”，同时也被标记为 “汉尼曼尼” 及 “ZPHP” 攻击行动； 攻击者搭建伪装成缤客旅行网的虚假网站，通过虚假验证界面实施点击诱骗，诱使用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，最终植入账号密码窃取程序； 伪造内部 “邮件投递” 通知邮件，谎称拦截了与未付账单、快递配送及报价申请相关的重要邮件，诱骗收件人点击链接。该链接实则用于窃取用户登录凭证，借口是帮助用户将被拦截邮件移至收件箱； 借助 “瑟法斯” 和 “巨头双重验证” 两款钓鱼工具发起攻击。其中 “瑟法斯” 钓鱼工具于 2024 年 8 月首次出现，这两款工具会将用户诱导至恶意登录页面，进而窃取账号密码。 梭子鱼网络安全公司在上周发布的分析报告中称：“瑟法斯钓鱼工具的一大显著特征是采用了独特且罕见的代码混淆技术。该工具会在源代码中嵌入随机不可见字符对代码进行隐藏，既能避开反钓鱼扫描工具的检测，还能阻止基于特征码的雅拉规则识别其具体钓鱼手段。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露，随着 Android 系统持续采用 Rust 编程语言，内存安全漏洞数量占总漏洞的比例首次降至 20% 以下。 “我们采用 Rust 是看中其安全性，相比 Android 中的 C 和 C++ 代码，Rust 代码的内存安全漏洞密度降低了 1000 倍。但最令人意外的是 Rust 对软件交付的影响，” 谷歌的杰夫・范德・斯托普表示，“Rust 代码修改的回滚率降低了 4 倍，代码审查时间缩短了 25%，如今更安全的开发方式同时也是更高效的方式。” 此前一年多，这家科技巨头曾披露，向 Rust 语言转型已促使内存安全漏洞数量从 2019 年的 223 个降至 2024 年的不足 50 个。 谷歌指出，Rust 代码所需的修订次数更少，相比 C++ 代码减少约 20%，且回滚率降低，从而提升了整体开发吞吐量。 谷歌还表示，计划将 Rust 的 “安全性和生产力优势” 扩展到 Android 生态系统的其他部分，包括内核、固件以及核心第一方应用（如 Nearby Presence、消息层安全协议 MLS 和 Chromium 浏览器）。目前 Chromium 中 PNG、JSON 和网页字体的解析器已替换为 Rust 编写的内存安全实现版本。 此外，谷歌强调需采取深度防御策略，称 Rust 语言内置的内存安全特性只是全面内存安全战略的一部分。 作为例证，谷歌提到其在 CrabbyAVIF 中发现了一个内存安全漏洞（CVE-2025-48530，CVSS 评分 8.1）。CrabbyAVIF 是一个用不安全 Rust 编写的 AVIF（AV1 图像文件）解析器 / 解码器，该漏洞可能导致远程代码执行。尽管这一线性缓冲区溢出漏洞从未进入公开版本，但谷歌已在 2025 年 8 月的 Android 安全更新中修复了该问题。 对这一 “险些泄露” 的漏洞进一步分析发现，Android 中的动态用户态内存分配器 Scudo 使其无法被利用。Scudo 旨在对抗堆相关漏洞（如缓冲区溢出、释放后使用和双重释放），且不影响性能。 谷歌强调，不安全 Rust “本身已相当安全”，其漏洞密度远低于 C 和 C++，且 Rust 中的 “不安全” 代码块并不会自动禁用该语言的安全检查。 “尽管 C 和 C++ 仍将继续存在，软件和硬件安全机制对于分层防御也至关重要，但向 Rust 转型是一种不同的方式 —— 事实证明，更安全的开发路径同时也是更高效的路径。” 谷歌表示。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕修复了其 DSL 路由器中一个严重的身份验证绕过漏洞（CVE-2025-59367），该漏洞可让远程未授权攻击者轻松访问设备。华硕针对多款 DSL 路由器中的严重身份验证绕过漏洞（编号 CVE-2025-59367，CVSS 评分 9.3）发布补丁，此漏洞允许远程未授权攻击者轻松入侵未打补丁的设备。 该漏洞影响 DSL-AC51、DSL-N16、DSL-AC750 系列路由器，厂商已发布 1.1.2.3_1010 版本固件修复此问题。 安全公告中写道：“已在部分华硕 DSL 系列路由器中发现一处安全漏洞。华硕建议用户更新至最新固件，以确保设备安全。” 这家中国台湾厂商建议用户及时更新固件至最新版本。 对于已停止支持的停产（EOL）型号，需设置高强度唯一的路由器和 Wi-Fi 密码，并禁用所有暴露在互联网中的服务（包括广域网访问、端口转发、动态域名解析、虚拟专用网服务器、隔离区、端口触发、文件传输协议）。 华硕还建议，Wi-Fi 和路由器管理员密码需设置高强度唯一密码（至少 10 个字符，包含符号和数字），避免重复使用，并定期检查固件更新和安全更新。 华硕路由器等网络设备是僵尸网络的主要攻击目标。2025 年 5 月，GreyNoise 研究人员曾发出警告，一个名为 AyySSHush 的新型僵尸网络已入侵超过 9000 台华硕路由器，并植入持久性 SSH 后门。 消息来源：securityaffair； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，Aisuru 僵尸网络从 50 万个 IP 地址向 Azure 发起 15.7 太比特 / 秒的 DDoS 攻击，采用大规模 UDP 洪水攻击，峰值达 36 亿包 / 秒。2025 年 10 月 24 日，Azure DDoS 保护系统检测到并缓解了一场大规模多向量攻击，峰值达 15.72 太比特 / 秒、36.4 亿包 / 秒，这是有记录以来最大规模的云 DDoS 攻击，目标是澳大利亚的一个单一终端节点。 Azure 的全球保护网络对流量进行了过滤，确保服务持续在线。此次攻击来自 Aisuru 僵尸网络，这是一个 Turbo Mirai 类物联网僵尸网络，利用被入侵的家用路由器和摄像头开展攻击。 微软发布的报告中写道：“2025 年 10 月 24 日，Azure DDoS 保护系统自动检测到并缓解了一场多向量 DDoS 攻击，强度达 15.72 太比特 / 秒、近 36.4 亿包 / 秒。这是云环境中观测到的最大规模 DDoS 攻击，目标是澳大利亚的一个单一终端节点。此次攻击源自 Aisuru 僵尸网络。” 该攻击通过 50 多万个 IP 地址向单一公网地址发起大规模 UDP 洪水攻击，欺骗性较低且源端口随机，这使得追踪攻击源头更为容易。这一现象凸显了攻击者正随着互联网发展不断升级攻击规模：家用光纤速度提升和物联网设备性能增强，持续推高 DDoS 攻击的规模上限。 报告总结道：“攻击者正随着互联网本身的发展而升级攻击能力。随着光纤入户速度提升和物联网设备性能增强，攻击规模的基准线不断攀升。临近假日季，务必确保所有面向互联网的应用程序和工作负载都具备充足的 DDoS 攻击防护能力。”网络安全公司 Netscout 报告称，2025 年 10 月，基于 Mirai 的 Aisuru 物联网僵尸网络还发起过另一场规模超 20 太比特 / 秒的大规模 DDoS 攻击，主要针对在线游戏领域。 该僵尸网络利用住宅代理发起 HTTPS 反射 DDoS 攻击。其节点主要是消费级路由器、闭路电视 / 数字录像机以及其他易受攻击的客户终端设备，攻击者持续寻找新的漏洞利用方式以扩大僵尸网络规模。 Aisuru 作为 “付费 DDoS 攻击服务” 运营，避开政府和军事目标，但受感染客户设备发起的超 1.5 太比特 / 秒攻击，给宽带运营商造成了严重中断。 与其他 TurboMirai 类僵尸网络类似，Aisuru 具备额外的专用 DDoS 攻击能力和多用途功能，使攻击者能够开展其他非法活动，包括凭证填充、人工智能驱动的网页抓取、垃圾邮件发送和钓鱼攻击等。 攻击采用 UDP、TCP 和 GRE 洪水攻击方式，使用中等大小数据包，端口 / 标志位随机化。受感染客户终端设备产生的超 1 太比特 / 秒流量会扰乱宽带服务，40 亿包 / 秒以上的洪水攻击已导致路由器线路卡故障。Netscout 指出，Aisuru 和 TurboMirai 类物联网僵尸网络主要发起单向量、直接路径 DDoS 攻击，偶尔会与其他付费 DDoS 攻击服务联合开展多向量攻击。攻击类型包括中大型或小型数据包 UDP 洪水攻击、小型或大型数据包 TCP 洪水攻击，以及多达 119 种 TCP 标志位组合攻击。部分流量模仿合法 HTTP 数据包，而 HTTPS 攻击则利用内置住宅代理实施。研究人员指出，由于大多数网络缺乏特权访问和源地址验证机制，该僵尸网络的攻击流量未经过欺骗处理。 Cloudflare 称，Aisuru 僵尸网络与该公司 2025 年 9 月缓解的一场创纪录 DDoS 攻击有关，那场攻击的规模达 22.2 太比特 / 秒。     消息来源：securityaffair； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肯尼亚政府本周一上午遭遇网络攻击，多个部委官网被黑客篡改并悬挂种族主义信息长达数小时。攻击者将政府部门网站标记上白人至上主义标语。 包括内政部、卫生部、教育部、能源部、劳工部及水资源部在内的多个政府官网遭黑客接管。肯尼亚内政部发布公告确认此次事件，称多个政府网站因攻击暂时无法访问。 政府声明称：”初步调查显示，此次攻击疑似由自称‘PCP@肯尼亚’的组织实施。事件发生后，我们立即启动事件响应与恢复程序，协同相关各方减轻影响并恢复平台访问。目前局势已得到控制，系统正处于持续监控状态。” 内政部呼吁民众若掌握任何关于此次网络攻击的信息，立即联系国家肯尼亚计算机事件响应小组。 值得注意的是，与肯尼亚接壤的索马里刚于前一天报告其移民与公民事务局遭遇网络攻击。索马里政府表示发现通过电子签证入境人员的资料遭泄露，该机构正在调查事件并确定受影响人数范围。 美国驻索马里使馆指出，此事与11月11日出现的指控相关——当时黑客声称渗透该国电子签证系统，可能泄露”至少3.5万人的个人数据，其中包括数千名美国公民”。使馆补充说明：”泄露数据包含签证申请人的姓名、照片、出生日期与地点、电子邮箱、婚姻状况及家庭住址。虽然摩加迪沙使馆无法确认具体个体数据是否遭泄，但所有申请过索马里电子签证的人员都可能受到影响。” 截至周一下午，尚未有任何黑客组织宣称对这两起事件负责。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文