HackerNews 编译，转载请注明出处： 一项最新研究显示，人工智能领域正面临严峻的数据安全挑战。网络安全公司Wiz发布的调查报告指出，《福布斯》AI 50强榜单中65%的头部企业都存在密钥泄露问题。 研究人员对50家顶尖私营AI公司进行深入调查，发现这些总估值超4000亿美元的企业均在GitHub平台上泄露过经过验证的敏感信息，包括API密钥、访问令牌等重要凭证。研究表明，AI技术的快速创新已经超越了基础网络安全防护的推进速度。 值得关注的是，泄露风险与企业规模并不直接相关。调查发现，一家仅14名员工、未设公开代码库的公司仍然发生密钥泄露，而另一家拥有60个公开代码库的企业却凭借完善的安全措施实现了零泄露。 深入挖掘 为全面评估风险，Wiz研究人员采用了创新的“深度、边界与覆盖”检测框架，将扫描范围从传统的GitHub搜索扩展到提交历史、删除分支、代码片段乃至贡献者的个人代码库。这种方法成功发现了标准扫描工具经常遗漏的隐藏密钥。 在最常泄露的凭证中，来自WeightsAndBiases、ElevenLabs和HuggingFace等平台的API密钥位列前茅。其中部分密钥一旦被恶意利用，将导致攻击者获取私有训练数据或企业机密信息——这些正是AI研发的核心资产。 披露挑战 尽管LangChain、ElevenLabs等公司在发现问题后迅速采取了修复措施，但整体漏洞披露机制仍不完善。近半数的安全通报未能获得回应或未能送达目标企业，许多机构甚至缺乏接收和处理漏洞报告的正式流程，暴露出企业安全防护体系的重大缺陷。 具体案例显示，LangChain的API密钥在Python和Jupyter文件中被发现，而ElevenLabs的密钥则暴露在纯文本配置文件中。更严重的是，一家未具名的AI 50强企业在已删除的分支中存有HuggingFace令牌，导致约1000个私有模型面临泄露风险。 强化防御 为应对这些威胁，Wiz研究人员建议AI初创企业采取三项关键措施：对所有公开代码库实施强制性的密钥扫描、为外部研究人员建立明确的漏洞披露渠道，以及针对企业特有的密钥类型开发专属扫描工具。 报告最后强调，随着AI研发进程的不断加速，安全防护必须同步跟进。“速度不能以牺牲安全为代价，”Wiz公司表示，“对于正在构建AI未来的团队而言，技术创新与安全保障必须齐头并进。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周末，俄罗斯对乌克兰能源基础设施发动了开战以来规模最大的导弹和无人机袭击之一。此次袭击导致乌克兰全国电力中断、关键服务陷入混乱，基辅及多个其他城市几乎完全陷入黑暗。 据互联网监督机构网络封锁追踪组织（NetBlocks）消息，袭击发生后，乌克兰实施了最长达 12 小时的紧急停电措施。基辅及其他地区出现大面积互联网中断和通信故障，截至周一，抢修工作仍在进行，多个地区仍未恢复稳定供电。 乌克兰第二大电信运营商沃达丰（Vodafone）周日表示，停电已迫使其网络实施临时限制。该公司称：“停电后，所有人会立即切换至移动互联网，这导致网络连接承受极高负载。” 袭击还扰乱了乌克兰海关总署的运作。乌克兰国家边防局表示，由于数据库出现技术故障，周六其被迫暂停乌克兰与波兰边境的人员和车辆通行数小时。 该机构称：“故障是俄罗斯炮击能源设施导致停电引发的”，并补充说明边境运营已于当日晚些时候恢复。 乌克兰官员表示，周六夜间，俄方共发射 450 多架无人机以及 45 枚巡航导弹和弹道导弹，目标直指电力和天然气设施，造成热电厂及为核电站供电的变电站受损。 乌克兰能源部长斯维特兰娜・格林丘克（Svitlana Hrynchuk）表示：“如此多的弹道导弹直接击中能源设施，这一情况实属罕见。” 国营电力公司乌克兰中央能源公司（Centrenergo）报告称，其旗下多座电站遭受灾难性破坏。 该公司在一份声明中表示：“距上一次袭击还不到一个月，敌人昨晚再次袭击了我们整个发电系统。电站陷入火海！我们已全面停运，目前发电量降至零。” 自全面入侵以来，俄罗斯多次针对乌克兰能源基础设施发动袭击，导致大面积停电和互联网中断。乌克兰官员表示，部分袭击行动结合了导弹打击与协同网络攻击。 在 9 月接受 “Recorded Future News” 采访时，乌克兰最高网络安全官员奥列克桑德尔・波季曾预测，随着冬季临近，俄罗斯可能会重启对乌克兰电网及其他关键服务的袭击。他说：“我们预计他们会发动常规打击，同时试图瘫痪维持关键基础设施运转的系统。” 与克里姆林宫军事情报机构（GRU）相关的组织 —— 尤其是臭名昭著的黑客组织Sandworm—— 此前曾在对电网发动实体打击的同时实施数字入侵。 斯洛伐克网络安全公司 ESET 发布的研究显示，6 月至 9 月期间，“沙虫” 组织向乌克兰能源、物流、政府和农业部门的实体部署了多种数据擦除恶意软件。专家称，这是俄罗斯旨在破坏乌克兰战时经济稳定的更广泛行动的一部分。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

摘要 在网络威胁高度工业化的今天，攻击者通过模板化工具与自动化流程大规模构建克隆钓鱼站，重点瞄准金融、社交与企业邮箱等高价值目标。 本文基于实战案例，介绍如何利用知道创宇 ZoomEye 的多维检索能力——结合 HTTP 标题、HTTP 正文、ICON、IP 解析与前端痕迹（如 Telegram Bot），把零散痕迹转化为可操作情报与持久检测特征规则，实现对恶意站点的高效发现与扩展，为威胁分析师提供可复用的实战思路。 概述 威胁狩猎的核心不是发现单个页面，而是识别能够泛化的指纹特征，并据此做横向扩展。本文的方法论可概括为三步： 初次发现：从单个可疑页面中提取高信噪比特征（标题、正文中特殊字符串、iconhash、证书信息、前端API调用等）。 横向扩展：基于初次发现结果，在 ZoomEye 中进行精确检索（按 IP、iconhash、http.body、title 等），识别同一批次或同一基础设施下的其他恶意资产。 交叉验证：结合证书、域名注册信息、时间窗口与托管/解析习惯，对命中结果去噪并标注处置优先级。         以下各节分别以实例说明每种特征的提取与检索策略，并给出实用查询示例。 通过HTTP正文特征发现克隆钓鱼站         攻击者经常在钓鱼页面中复制目标站点的部分文字或版权信息，这些字符串在合法站点以外出现时，具备很强的指示性。示例流程（Coinbase交易所）： 访问 Coinbase交易所 官方站点，在官方站点读取独有字符串（例如版权语句）：”© 2025 Coinbase” 在 ZoomEye 中查询包含该字符串的站点，并排除官方域名与证书，从而聚焦疑似克隆钓鱼站 http.body=“2025 coinbase” && domain!=“coinbase.com” && ssl!=“coinbase” 要点：选择不太可能被第三方正常复用的长字符串或格式（如版权行、资源文件名、带时间戳的路径），能显著提高命中率和精确度。 解析IP并做横向追查        攻击者常把多个恶意域名解析到同一台服务器（同一 IP），既降成本，又能在域名被封时快速切换。我们发现一个恶意站点后，解析其域名获得 IP，在 ZoomEye 中查询该 IP 的相关网络资产，通常能横向枚举出更多相关恶意域名与页面。示例查询：针对前文提及Coinbase交易所仿冒站点的解析IP地址 5.254.129.71 进行查询，可命中 29 条与交易所高仿克隆相关的恶意站点，涉及 Coinbase、Gate、WEEX、Bybit等多家交易所。 ip="5.254.129.71" 要点：IP 关联对快速扩展非常有效，但需注意 CDN/反向代理与共享主机场景导致的误判，结合证书 CN/SAN、网页特征与域名模式做交叉验证可降低误报。 基于HTTP标题做批量识别        钓鱼攻击常呈现规模化与模板化：攻击者用可配置模板快速替换目标名称（如软件或登录站点），辅以社会工程话术，并批量注册域名解析到同一服务器。我们发现一个钓鱼站点后，可提取其 HTTP 标题中的特征字符串，在 ZoomEye 中搜索，以识别同批次的钓鱼站点。示例查询：某钓鱼站点标题为”Facebook 桌面版”，而众所周知 Facebook 并无桌面版软件，因此该标题可作为钓鱼站点的特征。在 ZoomEye 中可用以下语句扩展搜索，以发现更多恶意钓鱼站点： title="Facebook 桌面版" 要点：选择那些在合法生态中罕见或明显不合常理的标题（如“桌面版”与实际服务不符、包含拼写/语言混杂的句子等），能快速找到批量模板化产出的站点。 通过HTTP正文独特资源检索        发现钓鱼站点时，不必局限于标题——还可以分析 HTTP 正文内容。钓鱼站点往往会复用静态资源（图标、图片、脚本文件名等），这些资源名通常不容易在其他非相关站点被无差别使用，因而是优秀的检索特征。示例查询：某钓鱼站点正文包含一个特定 ICON 图标名称，且该图标文件是网页所需资源。我们可将此 ICON 图标名称视为钓鱼站点特征，在 ZoomEye 中使用以下语句扩展搜索： http.body="20190706125618443.png"  要点：提取资源完整路径或文件名（含随机串或时间戳）作为检索条件，优先查找完全匹配以降低噪声。 基于ICON图标的反查        相比模板化钓鱼站，高价值目标（金融、邮箱、办公软件）的克隆钓鱼站仿真度更高，通常复用品牌icon与界面元素。通过 icon图标反查所有使用同一 icon 的页面，这对发现高仿克隆站尤其有效。示例流程（Binance交易所）： 查询 Binance 交易所官方站点，获取其官方 icon（点击结果页图标可得 iconhash） domain="binance.com" 在 ZoomEye 查询页点击该 icon，反查所有使用该 icon 的站点 iconhash="43365839589fc348172246e108c1297c" 在查询语句中排除官方站点域名与证书，聚焦疑似克隆钓鱼站 iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com" 要点：iconhash 检索对高仿站检出率高，但会漏掉仅使用其它资源或做深度伪造的不复用 icon 的页面；因此应与其它特征联合使用。 利用前端痕迹线索发现并扩展恶意站点        在分析高价值目标的克隆钓鱼站时，发现一个有意思的攻击方法：前端 JS 不仅收集表单内容，还会通过 ipapi.co 之类的 IP 情报接口获取用户的 IP、国家/城市/邮编等信息，最终调用 Telegram Bot API 的 sendMessage 把数据发到指定的用户/群组/频道。 这类实现往往在页面源码或网络请求中暴露 bot token 与接收方的 chat_id。作为防御方，我们可以据此用 Telegram Bot API 的 getChat 查询该用户/群组/频道的基础信息；若基础信息中暴露了频道邀请链接，也可进入频道查看内容以辅助研判和溯源。 示例：https://api.telegram.org/bot{token}/getChat?chat_id={chat_id} 既然这些克隆钓鱼站用 Telegram Bot API 外送数据，我们就可把前端痕迹当作特征做横向枚举。在 ZoomEye 中检索同时包含 api.telegram.org、bot、sendMessage 的页面正文，通常能高效筛出可疑站点： http.body="api.telegram.org" && http.body="bot" && http.body="sendMessage"        该组合在正常业务页面中极少出现（因其含义是调用 Telegram 机器人发送消息），因而具备较强指示性。为进一步降噪，可叠加时间窗口（after=）或与 ipapi.co 等指纹联合使用。      基于 Telegram Bot 特征枚举到的一批克隆钓鱼站，进一步审查其 HTTP 标题，可以看到攻击覆盖多种诱饵类型： 高价值品牌克隆 例如标题 “ВТБ – Ваш отзыв важен для нас!”（VTB – Your feedback is important to us!），仿造俄罗斯 VTB 银行的反馈页面，用于骗取账号或个人信息。 文件下载诱导 例如标题 “File Shared Notification”，伪装“同事/业务共享文件”，引导下载安装恶意程序，手法直接粗暴。 软件升级诱导 例如标题 “Update Chrome”，伪装浏览器/软件升级页面，实则投放恶意安装包。 要点：HTTP标题特征只是一个切入点，可以结合正文特征、证书/主机属性、域名模式与时间窗口交叉验证。 实战建议与去噪方法 组合特征优先：单一特征（如仅 title）易受噪声影响，推荐同时组合 title、http.body、iconhash 与 IP 查询并限定时间窗口（after=）以提高事件关联性。 排除规则：在查询中持续排除已知合法域与证书（domain!=”…” && ssl!=”…”），减少误报。 证书/托管信息交叉验证：使用证书的 CN/SAN、Whois、托管/ASN 信息判断基础设施是否为恶意惯犯或共享托管环境。 优先级打分：对命中结果建立评分机制（例如：同时命中 3 个指纹 = 高危；命中 1 个指纹且位于可疑 IP = 中危），以便集中人力处置高价值事件。 自动化和持续监控：把高信噪比的特征加入到自动化规则中，定期在 ZoomEye 上跑批量查询并把新命中写入告警系统或情报数据库。 结语        借助 ZoomEye 的多维检索能力，安全分析师可以把单点可疑线索提升为有组织、可量化的情报流。本文展示的基于标题、正文、资源、ICON、IP 与前端痕迹的链式发现方法，既可用于发现克隆钓鱼站，也适用于追踪恶意分发基础设施、C2 节点等。威胁狩猎应坚持两条原则：（1）优先识别可泛化的指纹特征；（2）交叉验证来降低误报。推荐将这些指纹特征结构化为 IOC 相似的检测规则，集成进监控/告警流水线，实现持续可量化的防御能力提升。 好消息，ZoomEye社区版(终身有效)会员限时回归！ 为什么选择社区版？ 永久功能：终身使用特色语法、API、AI搜索等核心功能 海量积分：一次性赠送 100 万积分，立即到账，有效期 1 年 超值价格：仅 999 元，享终身会员特权，省钱更省心 活动时间 11月10日10点起 （限时售卖，售完为止） 售卖价格 999元（一次付费，终身有效） 活动内容 1、注册过ZoomEye的用户，购买社区版(终身有效)即赠 100万 权益积分；新注册用户购买可获得 80万 权益积分！ 2、使用「付费会员」邀请码购买社区版，邀请人与被邀请人均可额外各得 10万 权益积分！点击查看邀请码使用教程 3、加入 ZoomEye交流群，再领 2000权益积分，入群可享专属网络情报推送！ * 所有权益积分有效期均为 1 年 购买链接 https://www.zoomeye.org/pricing 如有任何疑问，请添加ZoomEye助手 消息来源：ZoomEye Team； 转载请注明出处并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一种针对远程语言模型的新型侧信道攻击技术细节。该攻击可使具备网络流量监控能力的被动攻击者，在特定情况下绕过加密保护，窃取模型对话的主题信息。 微软指出，这种人类与流式传输模式语言模型之间的数据交换泄露，可能会对用户及企业通信隐私构成严重威胁。该攻击被命名为 Whisper Leak。 微软防御安全研究团队的安全研究员乔纳森・巴・奥尔、杰夫・麦克唐纳表示：“能够监控加密流量的网络攻击者（例如，互联网服务提供商层面的国家行为体、本地网络用户或连接同一 Wi-Fi 路由器的人员），可利用这种网络攻击推断用户的提示词是否涉及特定主题。” 具体而言，攻击者可监控用户与大语言模型服务之间的加密 TLS 流量，提取数据包大小和时序序列，再通过训练有素的分类器判断对话主题是否属于敏感目标类别。 大语言模型中的流式传输技术，允许模型在生成响应时增量式传输数据，无需等待完整输出计算完成。由于部分响应可能因提示词或任务复杂度而耗时较长，该技术成为关键的反馈机制。 微软展示的这项最新攻击技术意义重大，尤其是它能突破 HTTPS 加密的防护 ——HTTPS 本应确保通信内容的安全性和防篡改性。 近年来，针对大语言模型的侧信道攻击层出不穷。例如，通过流式模型响应中加密数据包的大小推断单个明文标记的长度，或利用大语言模型推理缓存造成的时序差异实施输入窃取（即 InputSnatch 攻击）。 微软表示，Whisper Leak攻击在这些研究基础上进一步探索了一种可能性：“即使响应以标记组的形式流式传输，流式语言模型响应过程中加密数据包大小的序列和到达间隔时间，仍包含足够信息对初始提示词的主题进行分类。” 为验证这一假设，这家 Windows 操作系统开发商训练了一种二元分类器作为概念验证工具，该工具通过三种不同的机器学习模型（LightGBM、双向长短期记忆网络 Bi-LSTM、双向编码器表示模型 BERT），能够区分特定主题的提示词与其他无关内容（即噪声）。 实验结果显示，Mistral、xAI、深度求索（DeepSeek）和 OpenAI 等机构的多款模型，在该攻击测试中的识别准确率均超过 98%。这意味着，攻击者在监控与聊天机器人的随机对话时，能够可靠地标记出特定主题。 微软称：“如果政府机构或互联网服务提供商监控热门 AI 聊天机器人的流量，即使所有流量均经过加密，他们也能准确识别出询问特定敏感主题的用户 —— 无论是洗钱、政治异见还是其他受监控话题。” 攻击流程 更严峻的是，研究人员发现，随着攻击者收集的训练样本不断增加，Whisper Leak的攻击效果会持续提升，使其成为切实可行的威胁。在微软履行负责任披露原则后，OpenAI、Mistral、微软和 xAI 均已部署相应缓解措施以应对该风险。 微软补充道：“结合更精密的攻击模型，以及多轮对话或同一用户多次对话中包含的更丰富模式，具备耐心和资源的网络攻击者可能实现比我们初始实验结果更高的成功率。” OpenAI、微软和 Mistral 联合研发的一项有效防御措施，是在每个响应中添加 “长度可变的随机文本序列”，通过掩盖单个标记的长度使侧信道攻击失效。 微软还建议，关注隐私安全的用户在与 AI 服务提供商交互时，应避免在不可信网络中讨论高度敏感话题；使用 VPN 提供额外防护层；选择非流式传输的大语言模型；或切换至已部署缓解措施的服务提供商。 与此同时，一项针对 8 款开源权重大语言模型的最新评估显示，这些模型极易受到对抗性操纵，尤其是在多轮攻击场景中。涉及的模型包括阿里巴巴的通义千问 3-32B（Qwen3-32B）、深度求索的 DeepSeek v3.1、谷歌的 Gemma 3-1B-IT、元宇宙（Meta）的 Llama 3.3-70B-Instruct、微软的 Phi-4、Mistral 的 Large-2（又称 Large-Instruct-2047）、OpenAI 的 GPT-OSS-20b 以及智谱 AI 的 GLM 4.5-Air。 单轮与多轮场景下各测试模型的攻击成功率对比漏洞分析 思科 AI 防御研究员埃米・张、尼古拉斯・康利、哈里什・桑塔纳拉克斯米・加内桑和亚当・斯旺达在配套论文中表示：“这些结果凸显了当前开源权重模型在长期交互过程中维持安全防护机制的系统性缺陷。” 他们指出：“我们评估发现，模型对齐策略和实验室优先级对抵御能力有显著影响：以性能为核心的模型（如 Llama 3.3 和通义千问 3）在多轮攻击中表现出更高的易受攻击性，而以安全为导向的模型（如谷歌 Gemma 3）则展现出更均衡的性能。” 这些发现表明，若缺乏额外的安全防护机制，采用开源模型的机构可能面临运营风险。自 2022 年 11 月 OpenAI 的 ChatGPT 公开亮相以来，越来越多的研究揭示了大语言模型和 AI 聊天机器人存在的根本性安全漏洞，上述发现进一步丰富了这一研究领域。 因此，开发者在将此类功能集成到工作流程中时，必须实施充分的安全控制措施；对开源权重模型进行微调，增强其抵御 “越狱” 攻击及其他类型攻击的稳健性；定期开展 AI 红队评估；并根据特定用例设计严格的系统提示词。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三星 Galaxy 安卓设备中一个现已修复的安全漏洞，曾被作为零日漏洞利用，在中东地区的针对性攻击中投放了一款名为 LANDFALL 的 “商业级” 安卓间谍软件。 帕洛阿尔托网络公司 Unit 42 团队透露，此次攻击利用的是 CVE-2025-21042 漏洞（CVSS 评分：8.8）。这是 “libimagecodec.quram.so” 组件中存在的越界写入漏洞，远程攻击者可借此执行任意代码。三星已于 2025 年 4 月修复该问题。 “在野外攻击报告出现后，三星于 2025 年 4 月修复了该漏洞，但在此之前，它已被实际用于野外攻击，”Unit 42 表示。根据 VirusTotal 的提交数据，这一被标记为 CL-UNK-1054 的攻击活动，潜在目标位于伊拉克、伊朗、土耳其和摩洛哥。 值得一提的是，三星曾在 2025 年 9 月披露，同一库中的另一个漏洞（CVE-2025-21043，CVSS 评分：8.8）也曾被作为零日漏洞用于野外攻击。目前尚无证据表明该漏洞被用于 LANDFALL 间谍软件攻击活动。 攻击传播方式与时间线 经评估，攻击者通过 WhatsApp 发送 DNG（数字负片）格式的恶意图片实施攻击。证据显示，LANDFALL 样本最早可追溯至 2024 年 7 月 23 日，相关 DNG 文件的命名痕迹包括 “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” 和 “IMG-20240723-WA0000.jpg” 等。 帕洛阿尔托网络公司 Unit 42 高级首席研究员伊泰・科恩向《黑客新闻》透露，2024 年 7 月的样本与 2025 年 2 月的样本相比，未发现明显功能变化。 LANDFALL 间谍软件功能与攻击目标 LANDFALL 安装执行后，将作为一款全面的间谍工具，能够窃取敏感数据，包括麦克风录音、地理位置、照片、联系人、短信、文件和通话记录。 尽管 Unit 42 表示，该漏洞利用链可能采用了零点击攻击方式，无需用户交互即可触发 CVE-2025-21042 漏洞利用，但目前尚无迹象表明这种情况实际发生，也没有证据显示 WhatsApp 存在支持该假设的未知安全问题。 这款安卓间谍软件专门针对三星 Galaxy S22、S23、S24 系列设备，以及 Z Fold 4 和 Z Flip 4 机型 —— 涵盖了这家韩国电子巨头的部分旗舰设备，但不包括最新一代产品。 相关漏洞与技术细节 值得注意的是，同期 WhatsApp 披露，其 iOS 和 macOS 版应用存在一个漏洞（CVE-2025-55177，CVSS 评分：5.4）。该漏洞与苹果 iOS、iPadOS 和 macOS 系统中的 CVE-2025-43300 漏洞（CVSS 评分：8.8）被串联利用，在一场精密攻击中针对了不到 200 名用户。苹果和 WhatsApp 已随后修复这些漏洞。 Unit 42 对已发现的 DNG 文件分析显示，这些文件末尾附加了一个嵌入式 ZIP 文件。攻击者通过漏洞利用从压缩包中提取共享对象库，进而运行间谍软件。压缩包中还包含另一个共享对象，其设计用途是操控设备的 SELinux 策略，为 LANDFALL 赋予高级权限并助力其持久化运行。 加载 LANDFALL 的共享对象还会通过 HTTPS 与命令控制（C2）服务器通信，进入信标循环并接收未指明的后续阶段有效载荷，以备后续执行。 “目前，我们无法分享 C2 服务器发送的后续阶段有效载荷细节，” 科恩表示，“但可以确认的是，LANDFALL 是一个模块化间谍软件框架 —— 我们分析的加载器明显是为了从 C2 基础设施获取并执行额外组件而设计。这些后续阶段可能会扩展其监控和持久化能力，但在我们获取的样本中并未找到相关组件。” 攻击发起者与活动现状 目前尚不清楚该间谍软件及攻击活动的幕后主使。不过 Unit 42 指出，LANDFALL 的 C2 基础设施和域名注册模式与 Stealth Falcon（又称 FruityArmor）组织的特征相符，但截至 2025 年 10 月，尚未发现两者存在直接关联。 研究结果表明，LANDFALL 的投放可能是一场更广泛的 DNG 漏洞利用浪潮的一部分 —— 上述漏洞利用链也曾针对 iPhone 设备发起攻击。这一发现也凸显出，精密漏洞利用代码可能在公共代码库中隐藏很长时间，直到被全面分析前都未被察觉。 “我们认为这个特定漏洞已不再被使用，因为三星已于 2025 年 4 月修复，” 科恩说，“但直到 8 月和 9 月，仍观察到影响三星和 iOS 设备的相关漏洞利用链，这表明类似攻击活动直到最近仍在活跃。部分可能与 LANDFALL 相关的基础设施仍处于在线状态，这可能意味着攻击者仍在进行相关活动或后续行动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国会预算办公室（CBO）本周披露一起网络安全事件，据称有某国政府背景的黑客入侵了其系统。 这家联邦机构负责向国会提供预算及经济相关信息。《华盛顿邮报》周四报道称，一名未具名的 “外国行为体” 入侵了该机构，可能获取了国会各办公室与工作人员之间的通信信息和聊天记录。 众议院预算委员会主席乔迪・阿灵顿（得克萨斯州共和党人）在声明中证实，此次 CBO 遇袭背后是 “复杂的外国行为体”。 “众议院预算委员会正与 CBO、众议院首席信息官及其他相关方密切合作，监控局势发展，确保事件得到控制，并减轻入侵造成的任何不利影响，” 阿灵顿表示。 CBO 发言人证实了这起安全事件，并指出该机构已立即采取行动控制事态，同时推行 “额外监控措施和新的安全管控手段，以进一步保护机构未来的系统安全”。 “事件正在调查中，为国会提供的工作仍在继续，” 该发言人说，“与其他政府机构和私营部门实体一样，CBO 的网络偶尔会面临威胁，我们会持续监控并应对这些威胁。” 一名匿名消息人士告诉《华盛顿邮报》，此次入侵是在 “近日” 被发现的，该机构已告知国会其 “及早” 侦测到了这一事件。 CBO 拒绝回应有关入侵性质及黑客入侵途径的后续问题。该机构主要负责向国会提供法案财务影响分析。 众议院国土安全委员会主席安德鲁・加巴里诺（纽约州共和党人）表示，他已就缓解措施联系联邦网络安全机构，并补充称，网络犯罪分子和有国家背景的黑客 “正日益瞄准各级政府实体”。 有国家背景的黑客多次针对美国涉财联邦政府机构发动攻击。今年 2 月，黑客入侵美国货币监理署（OCC）使用的电子邮件系统，获取了 “高度敏感信息”。 去年，俄罗斯政府黑客组织还利用微软软件的漏洞，攻击了美国多个政府机构。 2025 年全年，联邦网络安全机构已多次发出警告，称存在多个可能被黑客利用、针对政府系统发动攻击的漏洞。美国网络安全与基础设施安全局（CISA）已就影响微软、思科和甲骨文等热门联邦政府工具的漏洞发布紧急指令。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时国家安全委员会建议，所有无人机及无人机飞行员必须进行注册。比利时政府希望通过这一举措，对近日在机场和军事基地周边出现的无人机实现管控。 比利时机场和军事基地上空已多次发现无人机飞行。这不仅造成数百万欧元的经济损失，也引发了对乘客及机场工作人员安全的担忧。 正因如此，首相巴特・德韦弗决定召开国家安全委员会会议。该委员会的职责是就恐怖主义威胁向比利时政府提供建议。 “我们绝不允许机场运营因不受管控的无人机飞行而中断。这需要全国层面的协同应对，” 内政大臣伯纳德・坎坦于周三回应时表示。 国家安全委员会的建议之一是，立即推行无人机及无人机飞行员强制注册制度。 目前，无人机（又称无人驾驶航空器系统）无需注册即可飞行，但禁止在机场、军事基地、监狱、王室领地及其他关键基础设施周边空域飞行。强制注册将便于监管部门发现无人机在禁飞区的飞行行为。 “我们并非生活在一个人人可以随心所欲的体系中。我们不能禁止所有无人机，因为它们在安全领域也能为我们提供助力，” 坎坦在国家安全委员会会议后向比利时新闻媒体表示。 此外，这位大臣还呼吁民众保持冷静。“局势确实在我们的掌控之中。威胁确实存在，这一点我不否认，但我们绝不是完全束手无策，” 他补充道。 许多人认为，欧洲机场和军事基地上空的无人机部署与俄罗斯有关。但俄罗斯方面已否认所有相关指控。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 拥有超百万听众的西班牙知名广播电台KISS-FM近日遭遇网络攻击，与俄罗斯有关联的Rhysida勒索组织声称已窃取其内部数据，并在暗网以3比特币（约合30万美元）的价格公开拍卖。 该组织在其暗网泄密站点发布声明，给电台设下7天付款期限，威胁称若未收到赎金将公开或转卖所有数据。”抓住这次竞标独家、独特数据的机会！打开你们的钱包，准备好购买独家资料。我们只进行一次销售，您将成为唯一所有者！”攻击者在公告中如此宣称。 为证明攻击属实，黑客公布了据称是窃取数据的截图样本。经Cybernews核实，被盗资料可能包含： 潜在听众收视率日志 电台与西班牙数字转型部往来文件 财务发票凭证 研究人员指出：”虽然泄露文件的具体内容尚不明确，但此类数据曝光通常会导致公众信任崩塌，引发西班牙数据保护法及GDPR法规的合规审查，并破坏商业合作关系。” KISS-FM隶属于西班牙传媒集团Mediaset España，该集团去年营收达29.5亿欧元。值得注意的是，本次作案的黑客组织Rhysida正是上周袭击美国制造业巨头Gemini Group的元凶，该组织以”双重勒索”策略闻名——既对数据加密锁定，又威胁公开泄露。 根据美国国防部最新档案，该组织专攻”高价值目标”，已成功渗透教育、医疗、政府及制造业等多个领域。安全研究人员判断其基地可能位于俄罗斯或独联体国家。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Rhysida勒索软件团伙近日在暗网泄露了美国制造业巨头Gemini Group近2TB的敏感数据，北美洲员工与客户记录因此面临曝光风险。 Gemini Group总部位于密歇根州巴德阿克市，是一级供应商，在美国和墨西哥设有 18 个分支机构。福特、丰田、通用汽车等主要汽车制造商均采用该集团的产品。公司现有员工 1400 余人，年营收达 3 亿美元。 该公司提供多种产品及服务，包括塑料挤出成型、吹塑成型，以及锻造和铝型材挤压用金属模具制造，其产品供应给汽车行业的主要企业。 10月底，该团伙在其暗网泄密网站发布声明，声称已窃取Gemini Group INC的重要数据。 勒索软件团伙常以泄露站点为施压手段，逼迫企业支付赎金。若谈判破裂，攻击者通常会将窃取的数据公之于众，供任何人下载。 Rhysida 团伙采用其常用策略，给予一周宽限期后，发布了一个 1.9TB 的数据集，据称包含该公司超过 170 万个文件。 暗网泄露数据详情： 实习生及其导师名单 员工薪资与休假余额文件，含全名、职位、入职日期、实发工资数额及休假天数 内部文件模板 客户名单，含公司名称、联系人全名及公司地址 各类发票 年度采购报告 健康保险文件，含供应商名称、服务内容、公司所用保险计划及相关费用 泄露的员工个人文件及照片，含个人身份信息（PII）、家庭住址、社会安全号码（SSNs）、出生日期及薪资详情   泄露敏感员工数据会使其面临身份盗窃、欺诈、社会工程学攻击风险，甚至可能遭遇人身安全威胁。 Cybernews 研究团队解释称：“此次泄露可能会破坏员工对公司的信任，尤其是在公司未就此事完全透明化的情况下。公司还可能面临法律后果，失去客户信任，而曝光的财务细节可能导致竞争劣势。” Rhysida勒索团伙背景： 美国国防部最新资料显示，该团伙以“伺机而动”为行动准则，已渗透教育、医疗、制造及地方政府等多个领域。安全机构Barracuda研究人员指出，该组织可能源自俄罗斯或独联体国家。 在近期攻击中，该团伙通过Microsoft Teams、Zoom和PutTy平台展开钓鱼攻击，利用恶意广告传播恶意软件，借员工账户渗透企业系统。据Cybernews暗网监测工具Ransomlooker统计，自2023年5月活跃以来，该团伙已累计声称侵破236个目标。 其罪行包括： 9 月：宣称入侵美国马里兰州交通部，该部门运营着美国最大港口之一。泄露的数据样本包括护照、身份证、背景调查文件及其他敏感材料。 8 月：攻击田纳西州和肯塔基州周边地区的库克维尔地区医疗中心，导致系统混乱。团伙发布了十余份含患者信息的数据样本，系统中断迫使 IT 团队全天候工作以恢复服务。 5 月：宣称攻击秘鲁政府系统，该国官方网站管理着全国身份证登记信息，涵盖护照、税务记录、健康保险、警方档案、劳工记录等。秘鲁政府否认了此次勒索软件攻击。 5月：宣称入侵巴西大型汽车经销商 Carrera，窃取的敏感数据包括护照和合同，团伙索要 100 万美元赎金。 1 月：宣称入侵加拿大魁北克省蒙特利尔北区服务器，索要 100 万美元赎金。 2024 年第四季度：以 100 枚比特币为赎金，攻击西雅图 – 塔科马国际机场，破坏关键系统并导致数周停运，使这一美国西海岸最繁忙的枢纽之一陷入瘫痪。达美航空、新加坡航空、阿拉斯加航空等被迫全面启用人工流程，开具手写登机牌。 2024 年：宣称美国主流新闻媒体《华盛顿时报》为攻击目标，声称以 5 枚比特币的价格在网上拍卖该媒体的 “独家” 数据。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 10 月中旬，CLOP 勒索软件团伙首次宣称入侵《华盛顿邮报》，并将其列入 Tor 数据泄露网站。 CLOP（又称 Cl0p）是一个活跃的俄语勒索软件即服务（RaaS）团伙，专注于 “大型目标狩猎” 和 “双重勒索” 攻击。 该团伙于 2019 年 2 月左右首次出现在威胁格局中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起就活跃的以获利为目的的犯罪团伙。 与其他俄罗斯背景的威胁行为者一样，CLOP 会避开前苏联国家的目标，其恶意软件无法在主要使用俄语的计算机上激活。 团伙操作者及关联人员会锁定高价值目标，窃取敏感数据、加密网络，随后将被盗文件发布到数据泄露网站，向受害者施压以迫使其支付赎金。CLOP 会利用零日漏洞和存在漏洞的第三方软件（如 MOVEit、GoAnywhere、甲骨文 EBS 系统），借助初始访问中介和自动化工具，还会使用复杂的规避技术和横向移动技术，以最大化攻击影响和获利。 CLOP 的受害者包括Shell、英国航空公司、Bombardier、科罗拉多大学、普华永道以及BBC等。 该团伙发起的重大攻击活动包括： GoAnywhere MFT 攻击（2023 年）：利用漏洞 CVE-2023-0669 入侵了超过 130 家机构。 MOVEit Transfer 攻击（2023 年）：通过 SQL 注入零日漏洞 CVE-2023-34362 实施，是历史上规模最大的勒索软件攻击活动之一，影响了全球数百家公司，包括美国和欧洲企业。 Accellion FTA 攻击（2020-2021 年）：利用文件传输设备中的零日漏洞，从约 100 家机构窃取数据。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文