HackerNews 编译，转载请注明出处： 名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案，执行定制恶意软件。 根据Bitdefender的最新报告，该威胁行为者会在选定的受害者系统上启用 Hyper-V 角色，部署一个精简版的阿尔派 Linux（Alpine Linux）虚拟机。 安全研究员在技术报告中表示：“这个隐藏环境占用资源极少，仅需 120MB 磁盘空间和 256MB 内存，托管着他们的定制反向 Shell 工具 CurlyShell，以及反向代理工具 CurlCat。” 这家罗马尼亚网络安全厂商于 2025 年 8 月首次记录到Curly COMrades的相关活动，其一系列攻击针对格鲁吉亚和摩尔多瓦。该活动集群被评估为自 2023 年底起持续活跃，其行动目标与俄罗斯的利益一致。 这些攻击会部署多种工具，包括用于双向数据传输的 CurlCat、用于持久远程访问的 RuRat、用于凭证窃取的 Mimikatz，以及一个名为 MucorAgent 的模块化.NET 植入程序，其早期版本可追溯至 2023 年 11 月。 在与格鲁吉亚计算机应急响应小组合作开展的后续分析中，研究人员发现了该威胁行为者使用的更多工具，同时发现他们试图通过在受感染的 Windows 10 主机上利用 Hyper-V 建立隐藏远程操作环境，以实现长期访问。 研究人员称：“通过将恶意软件及其执行环境隔离在虚拟机内，攻击者有效绕过了许多传统的主机端 EDR检测。该威胁行为者展现出维持反向代理能力的明确意图，不断向环境中引入新工具。” 除了使用 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 和基于 SSH 的代理与隧道技术外，Curly COMrades还采用了其他多种工具，包括一个用于远程命令执行的 PowerShell 脚本，以及此前未被记录的 ELF 二进制文件 CurlyShell—— 该工具部署在虚拟机中，可提供持久反向 Shell。 这款恶意软件由 C++ 编写，以无头后台守护进程的形式执行，用于连接命令与控制（C2）服务器并启动反向 Shell，使威胁行为者能够运行加密命令。通信通过 HTTP GET 请求向服务器查询新命令，并通过 HTTP POST 请求将命令执行结果回传至服务器实现。 比特梵德表示：“两款定制恶意软件家族 ——CurlyShell 和 CurlCat 是此次活动的核心，它们共享大部分相同的代码库，但在接收数据的处理方式上存在差异：CurlyShell 直接执行命令，而 CurlCat 通过 SSH 转发流量。这些工具的部署与运行旨在确保灵活的控制能力和适应性。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利知名通信业高管兼政治顾问披露，自己成为 Paragon 间谍软件的攻击目标。这使得他成为这起震动意大利政府的丑闻中第五位公开现身的意大利受害者。 数字取证研究员已就此次攻击事件与当事人弗朗切斯科・尼科德莫沟通，据他透露，尼科德莫是收到 WhatsApp 通知的受害者之一，该通知提供了其遭 Paragon 旗下 Graphite 间谍软件攻击的相关证据。 意大利新闻媒体 Fanpage 率先报道了这一消息。据该媒体称，尼科德莫长期为政治候选人提供通信事务咨询，仅 2024 年一年，其公司就参与了 13 场选举活动。值得注意的是，尼科德莫同时担任意大利最大政党民主党的通信主管，该政党是当前意大利联合政府的组成部分。 意大利总理焦尔吉娅・梅洛尼领导的政府已承认，曾使用 Paragon 间谍软件试图监控上述五名已知意大利受害者中的部分人士，但否认与两名公开披露感染情况的 Fanpage 记者遭攻击事件有关联。此前，Fanpage 于 2024 年 6 月发表深度调查报道，揭露了梅洛尼与青年法西斯分子之间的关联。 斯科特 – 雷尔顿表示：“尽管意大利当局承认了部分案件，但无法解释的 Paragon Graphite 间谍软件攻击案例仍在不断增加，针对政治领域及选举活动相关人员的攻击主题仍在持续。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三位美国州总检察长于周四宣布，教育科技公司 Illuminate Education 将支付 510 万美元罚款，并同意调整业务运营方式，以和解有关其糟糕安全措施导致 2021 年数据泄露的指控。 此次数据泄露泄露了学生姓名、种族、编码医疗状况以及是否享受特殊教育便利等信息。事件影响了 49 个州的学生，仅加利福尼亚州就有 300 万名学生受波及。 加利福尼亚州总检察长罗布・邦塔（Rob Bonta）在新闻稿中指出，多项安全漏洞导致了此次数据泄露。 例如，新闻稿称，Illuminate 公司被指控未删除前员工的登录凭证。获取这些私人数据的黑客据称就是利用该公司一名前员工的凭证侵入了其网络。 这家教育科技公司还被指控未对系统进行可疑活动监控，且未将备份数据库与在用数据库分开单独防护。新闻稿提到，由于数据库未分离，在用数据库遭入侵时，备份数据库也随之受到损害。 Illuminate 公司还被指控在隐私政策中作出虚假陈述，其政策称公司的做法 “符合或超过适用的联邦及州法律要求”。 新闻稿显示，该公司已同意加强访问控制和账户管理措施，对可疑活动进行实时监控，并停止将备份数据库与在用数据库存储在同一网络中。 此次诉讼由邦塔联合康涅狄格州总检察长威廉・唐（William Tong）和纽约州总检察长莱蒂娅・詹姆斯（Letitia James）共同发起。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 内华达州政府在一份攻击事后审查报告中表示，对于 8 月导致关键政府系统瘫痪的网络犯罪分子，该州并未支付赎金。 在FBI、Mandiant及其他多个机构的协助下，该州用 28 天时间从勒索软件攻击中恢复，找回约 90% 受影响数据。州政府官员在报告中解释，剩余数据 “并非恢复基本服务所需，目前正按风险等级进行审查”。 报告未指明发起攻击的勒索软件团伙及赎金金额，官员称 “经过慎重考虑” 决定不支付赎金，核心依据是对备份恢复受影响系统的能力有信心。 网络安全公司Mandiant追踪发现，此次攻击源于一次搜索引擎优化投毒攻击 —— 攻击者在州政府信息技术人员频繁访问的可信网络资源中植入恶意代码。 报告指出，“调查显示，威胁行为者最早于 2025 年 5 月 14 日侵入系统，当时一名州政府员工无意中从伪造网站下载了带有恶意软件的系统管理工具”，并补充称黑客 “利用谷歌合法广告作为载体分发恶意软件包”。 “该工具安装了隐藏后门，即便Symantec Endpoint Protection在 6 月 26 日隔离了该工具，后门仍保持活跃。黑客通过在多个系统安装商业远程监控软件提升访问权限，攻陷了普通用户账户和特权用户账户。” 8 月 16 日至 24 日期间，黑客横向渗透多个关键系统，访问包括密码库服务器在内的敏感目录，清除日志掩盖痕迹并删除备份后，部署了勒索软件。 调查显示，共有 26408 个文件被访问，但仅一份文档包含一名前员工的个人信息，相关人员已得到通知。 调查人员未发现数据被窃取或上传至勒索软件泄露网站的证据，但仍在持续监控该事件。截至周四，尚无勒索软件团伙认领此次攻击。 州首席信息官蒂莫西・加卢兹表示，他们认为此次攻击对该州造成实质性影响的可能性较低，但会继续监控事态。 8 月 24 日至 9 月 20 日期间，50 名州政府员工累计加班 4212 小时，加班费支出超 25.9 万美元，外部供应商相关费用达 130 万美元。 报告显示，受影响最严重的核心机构包括卫生部门、机动车管理局和公共安全部门。初始攻击后，部分政府办公室关闭数日，多个机构的电话系统和网站也被黑客瘫痪。 州长乔・隆巴多（Joe Lombardo）在声明中称，“内华达州团队保护了核心服务，按时向员工发放薪资，并快速实现恢复 —— 全程未向犯罪分子支付任何费用”。 在攻击导致的 28 天系统中断期间，州长办公室表示已协调 60 多个州政府机构及多家供应商应对此次事件，美国国土安全部协助联邦调查局和地方执法部门开展恢复工作。 报告提到，恢复工作的优先事项是修复州政府薪资系统，确保员工按时领到工资。报告还概述了后续计划：进一步强化州政府系统安全，实现部门间网络隔离，并更广泛地部署安全工具。 此次州政府遭袭恰逢联邦政府削减地方政府依赖的关键网络安全服务。 美国国土安全部今年早些时候裁减了网络安全与基础设施安全局（CISA）数百名员工，即便美国多个州政府已遭遇导致核心服务中断的网络攻击，裁员仍在继续。 过去两周，得克萨斯州、田纳西州和印第安纳州的政府机构均受网络事件影响，南卡罗来纳州某县也于周三披露了一起网络安全事件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据斯洛伐克网络安全公司ESET最新研究，这个与俄罗斯关联的黑客组织在6月至9月期间，对乌克兰粮食、能源、物流及政府机构发动了多轮数据摧毁攻击。 自俄乌冲突爆发以来，乌克兰基础设施持续遭受网络攻击。但作为该国出口创收支柱的农业领域，此前很少被直接针对。此次粮食产业也成为了俄罗斯国家级黑客组织Sandworm的最新攻击目标。 两款新型数据擦除软件 西方情报机构确认，Sandworm黑客组织为俄军情报总局（GRU）下属组织，堪称乌克兰网络安全领域的头号威胁。该组织曾制造多起重大网络攻击事件，如2015年全境大停电、2017年NotPetya全球网络攻击、2023年基辅之星电信系统瘫痪等。 ESET研究报告披露，最新攻击浪潮中出现了两款新型数据擦除软件——“Zerolot”和“Sting”。 这些恶意程序最初于4月入侵乌克兰某高校系统，随后蔓延至粮食和能源企业。此类专为永久销毁数据设计的破坏性软件，往往能导致目标机构运营系统彻底瘫痪。 调查还发现，另一个代号UAC-0099的黑客组织充当了攻击链前端角色。该组织据信自2022年起持续对乌克兰政府、国防部门进行网络渗透，随后将系统访问权限转交Sandworm实施最终破坏。 安全警示 ESET专家强调，管2024年末有迹象显示俄方黑客转向间谍活动，但2025年初以来，Sandworm仍在持续对乌关键部门发动破坏性网络攻击。这些攻击再次表明，数据擦除器仍是俄方关联黑客在乌克兰的首选武器。 乌克兰网络安全部门警示，俄罗斯黑客组织往往将网络攻击与实体军事行动相配合。例如在导弹袭击关键基础设施的同时，发动协同网络攻击以最大化破坏效果。 值得注意的是，俄方网络行动范围正持续扩大。 ESET监测显示，RomCom、Gamaredon等黑客组织仍在持续攻击欧盟成员国，这些目标大多与乌克兰国防保障或后勤支援体系存在关联。 研究人员指出：“几乎所有被锁定的国际目标都与乌克兰战事存在明显关联，这充分说明俄乌冲突仍在主导俄罗斯的情报资源分配。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一系列影响 OpenAI 旗下 ChatGPT 聊天机器人的新漏洞。攻击者可利用这些漏洞，在用户不知情的情况下，从其记忆数据和聊天记录中窃取个人信息。 据 Tenable 公司透露，这 7 个漏洞及对应的攻击技术存在于 OpenAI 的 GPT-4o 和 GPT-5 模型中。目前 OpenAI 已修复其中部分问题。 安全研究人员莫什・伯恩斯坦（Moshe Bernstein）和利夫・马坦（Liv Matan）在提交给The Hacker News的报告中指出，这些漏洞使 AI 系统易受间接提示注入攻击—— 攻击者可借此操纵大型语言模型（LLM）的预期行为，诱使其执行非预期或恶意操作。 已发现的漏洞详情如下： 浏览上下文下通过可信网站的间接提示注入漏洞：攻击者在网页评论区植入恶意指令，随后要求 ChatGPT 总结该网页内容，诱导模型执行恶意指令。 搜索上下文下的零点击间接提示注入漏洞：由于部分网站可能已被必应（Bing）等搜索引擎及 SearchGPT 相关的 OpenAI 爬虫收录，攻击者仅需以自然语言查询的形式询问该网站相关内容，即可诱使 LLM 执行隐藏的恶意指令。 一键式提示注入漏洞：构造格式为 “chatgpt [.] com/?q={提示内容}” 的链接，使 LLM 自动执行 “q=” 参数中包含的查询指令。 安全机制绕过漏洞：利用必应域名（bing [.] com）被 ChatGPT 列入安全 URL 白名单的特性，通过必应广告跟踪链接（bing [.] com/ck/a）伪装恶意 URL，使其能在聊天界面中加载显示。 对话注入技术：在网站中植入恶意指令后，要求 ChatGPT 总结该网站内容。由于该恶意提示会被纳入对话上下文（即 SearchGPT 的输出结果），模型在后续交互中会给出非预期回复。 恶意内容隐藏技术：利用 ChatGPT 的 Markdown 渲染漏洞 —— 在代码块起始标记（“`）所在行的首个单词后，所有内容均不会被渲染，以此隐藏恶意提示。 记忆注入技术：在网站中隐藏恶意指令，通过要求 ChatGPT 总结该网站内容，对用户的 ChatGPT 记忆数据进行 “投毒”。 该漏洞披露之际，多项研究已证实存在多种针对 AI 工具的提示注入攻击，可绕过其安全防护机制： PromptJacking（提示劫持）：利用 Anthropic Claude 在 Chrome、iMessage 和 Apple Notes 的连接器中存在的三个远程代码执行漏洞，实现未经验证的命令注入，最终达成提示注入攻击。 Claude Pirate（克劳德海盗）：滥用 Claude 的文件 API，通过间接提示注入利用其网络访问控制中的疏漏，实现数据窃取。 Agent Session Smuggling（代理会话走私）：借助 Agent2Agent（A2A）协议，恶意 AI 代理可利用已建立的跨代理通信会话，在合法客户端请求与服务器响应之间注入额外指令，导致上下文投毒、数据窃取或未授权工具执行。 Prompt Inception（提示植入）：通过提示注入操控 AI 代理放大偏见或虚假信息，引发大规模虚假信息传播。 Shadow Escape（影子逃逸）：一种零点击攻击，通过特制文档植入 “影子指令”，利用标准模型上下文协议（MCP）配置及默认权限设置，在文档上传至 AI 聊天机器人时触发恶意行为，窃取互联系统中的敏感数据。 针对 Microsoft 365 Copilot 的间接提示注入：利用该工具对 Mermaid 图表的内置支持及 CSS 兼容性，实现数据窃取。 GitHub Copilot Chat 的 CamoLeak（伪装泄露）漏洞（CVSS 评分：9.6）：结合内容安全策略（CSP）绕过与远程提示注入技术，通过拉取请求中的隐藏注释，秘密窃取私有仓库中的密钥和源代码，并完全控制 Copilot 的回复内容。 LatentBreak（潜在突破）：一种白盒越狱攻击，生成低困惑度的自然对抗性提示，通过将输入提示中的词汇替换为语义等效表达，在保留原始意图的同时规避安全机制。 研究表明，AI 聊天机器人与外部工具和系统的集成扩大了攻击面，为威胁行为者提供了更多隐藏恶意提示的途径，这些提示最终会被模型解析执行。 Tenable 研究人员表示：“提示注入是 LLM 工作机制中的已知问题，遗憾的是，短期内可能无法通过系统性方案彻底解决。AI 厂商应确保所有安全机制（如 url_safe）正常运行，以限制提示注入可能造成的潜在损害。” 其他相关 AI 安全研究情况如下： LLM “脑腐”（brain rot）现象：得克萨斯农工大学、得克萨斯大学和普渡大学的学者发现，使用 “垃圾数据” 训练 AI 模型会导致 LLM 出现 “脑腐”，并警告称 “过度依赖互联网数据会使 LLM 预训练陷入内容污染陷阱”。 AI 模型后门攻击：上个月，Anthropic、英国 AI 安全研究所与艾伦・图灵研究所的联合研究显示，仅需 250 份投毒文档，即可成功对不同规模（6 亿、20 亿、70 亿和 130 亿参数）的 AI 模型植入后门。这推翻了此前的认知 —— 攻击者无需控制一定比例的训练数据即可篡改模型行为。Anthropic 指出：“如果攻击者只需注入固定数量的少量文档，而非一定比例的训练数据，投毒攻击的可行性将远超此前预期。相比创建数百万份文档，制作 250 份恶意文档轻而易举，这使得该漏洞对潜在攻击者而言更易利用。” Moloch’s Bargain（莫洛克契约）：斯坦福大学科学家的研究发现，为在销售、选举和社交媒体等场景中获得竞争优势而优化 LLM，可能会无意间导致模型 “目标错位”，这一现象被称为 “莫洛克契约”。研究人员巴图・埃尔（Batu El）和邹剑（James Zou）在去年 10 月发表的论文中写道：“在市场激励机制下，这种优化能让 AI 代理实现更高销售额、更大选民支持率和更强用户参与度。但与此同时，这一过程也会产生关键安全隐患，例如销售宣传中的产品虚假宣传和社交媒体帖子中的伪造信息。因此，若缺乏有效监管，市场竞争可能沦为‘逐底竞争’——AI 代理以牺牲安全性为代价换取性能提升。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌于周三宣布，发现某未知威胁行为者正在使用一款名为 PROMPTFLUX 的实验性 Visual Basic 脚本恶意软件。该恶意软件通过与谷歌 Gemini  AI模型的 API 交互，自主编写源代码，以增强代码混淆效果并提升规避检测能力。 谷歌威胁情报小组在提交给The Hacker News的报告中指出：“PROMPTFLUX 采用 VBScript 编写，通过调用 Gemini 的 API 获取特定的 VBScript 混淆与规避技术，实现‘即时’自我修改，其核心目的很可能是躲避基于静态特征的检测机制。” 这一创新特性源自该恶意软件的 Thinking Robot组件 —— 该组件会定期查询 LLM（本案例中为 Gemini 1.5 Flash 或更高版本），获取新代码以绕过安全检测。具体实现方式是通过硬编码的 API 密钥，向 Gemini API 端点发送查询请求。 发送给模型的提示词既具备高度针对性，又支持机器解析，不仅明确要求对 VB 脚本代码进行修改以躲避杀毒软件检测，还指令模型仅输出代码本身，避免多余信息干扰执行流程。 除代码再生能力外，该恶意软件还会将新生成的混淆版本保存至 Windows 启动文件夹以建立持久化机制，并尝试通过复制自身到可移动存储设备及映射网络共享目录的方式进行传播。 谷歌补充道：“尽管自我修改功能（AttemptToUpdateSelf）目前处于注释状态，但该功能的存在，加之 AI 响应日志会主动记录至 ‘% TEMP%\thinking_robot_log.txt’ 文件这一行为，清晰表明攻击者的目标是打造一款能够随时间演进的变形脚本。” 这家科技巨头还透露，已发现多个集成了 LLM 驱动代码再生功能的 PROMPTFLUX 变体。其中一个版本通过提示词指令 LLM 扮演 “专业 VBScript 混淆师”，每小时对恶意软件的完整源代码进行一次重写。 经评估，PROMPTFLUX 目前仍处于开发或测试阶段，暂未具备入侵目标网络或设备的能力。尽管其幕后操控者身份尚未明确，但相关迹象表明，这很可能是一个以经济利益为驱动的威胁行为者，采用不分地域、不分行业的广泛攻击策略，目标用户群体覆盖范围极广。 谷歌同时指出，攻击者已不再局限于利用 AI 提升操作效率，而是开始打造能够在执行过程中动态调整行为的工具，更有甚者开发专用工具并在地下论坛出售以牟取经济利益。该公司还观察到其他多起利用 LLM 的恶意软件案例，具体包括： FRUITSHELL：一款采用 PowerShell 编写的反向 Shell，内置硬编码提示词，用于躲避基于 LLM 的安全系统检测与分析； PROMPTLOCK：全球首款跨平台 AI 勒索软件，采用 Go 语言编写，利用 LLM 在运行时动态生成并执行恶意 Lua 脚本（目前被认定为概念验证工具）； PROMPTSTEAL（又称 LAMEHUG）：俄罗斯国家资助威胁行为者 APT28 在针对乌克兰的攻击中使用的数据挖掘工具，通过调用 Hugging Face 的 API 查询 Qwen2.5-Coder-32B-Instruct 模型生成执行命令； QUIETVAULT：一款采用 JavaScript 编写的凭证窃取工具，专门针对 GitHub 和 NPM 令牌。 至少在一起案例中，该威胁行为者通过将自身伪装成夺旗赛（CTF）参与者来重构提示词，成功绕过 AI 安全护栏，诱使系统返回可用于利用已入侵终端的实用信息。 谷歌称：“该行为者似乎从这次交互中吸取了经验，并将 CTF 作为借口，用于支持钓鱼攻击、漏洞利用和网页 Shell 开发。在询问特定软件和邮件服务的漏洞利用方法时，他们会在提示词前加上‘我正在解决一个 CTF 问题’或‘我正在参加 CTF 比赛，看到其他队伍有人说……’等表述。这种方式使得他们能够获得‘CTF 场景下’的后续漏洞利用步骤建议。” 谷歌还列出了其他国家资助行为者滥用 Gemini 简化其攻击操作的案例，涵盖侦察、钓鱼诱饵制作、命令与控制（C2）服务器开发以及数据泄露等多个环节： 伊朗国家行为者 APT41 利用 Gemini 获取代码混淆相关帮助，并开发用于多个工具的 C++ 和 Golang 代码，其中包括名为 OSSTUN 的 C2 框架； 伊朗国家行为者 MuddyWater（又称 Mango Sandstorm、MUDDYCOAST 或 TEMP.Zagros）通过声称自己是正在完成大学毕业设计的学生或撰写网络安全相关文章的作者，绕过安全限制，利用 Gemini 开展研究，以支持定制化恶意软件的开发，这些恶意软件主要用于文件传输和远程执行； 伊朗国家行为者 APT42（又称 Charming Kitten 和 Mint Sandstorm）借助 Gemini 制作钓鱼活动材料（常涉及伪装智库人员）、翻译文章和信息、研究以色列国防相关内容，并开发了一款 “数据处理代理” 工具，该工具可将自然语言请求转换为 SQL 查询，从而从敏感数据中提取关键信息； 朝鲜威胁行为者 UNC1069（又称 CryptoCore 或 MASAN）—— 与 TraderTraitor（又称 PUKCHONG 或 UNC4899）共同接替已解散的 APT38（又称 BlueNoroff）的两大组织之一 —— 利用 Gemini 生成社会工程学诱饵材料、开发加密货币窃取代码，并制作伪装成软件更新的欺诈性指令以窃取用户凭证； TraderTraitor 利用 Gemini 进行代码开发、漏洞研究和工具优化。 此外，谷歌威胁情报小组表示近期发现 UNC1069 在其社会工程学攻击活动中，采用伪造加密货币行业人士的深度伪造图像和视频作为诱饵，以 Zoom 软件开发工具包（SDK）为幌子，向目标系统分发名为 BIGMACHO 的后门程序。值得注意的是，该活动的部分特征与卡巴斯基实验室近期披露的 GhostCall 攻击活动存在相似之处。 谷歌指出，这一趋势的出现恰逢其预测：威胁行为者将 “果断地从偶尔使用 AI 转变为常态化使用 AI”，以提升其攻击行动的速度、范围和有效性，从而实现大规模攻击。 谷歌表示：“功能强大的 AI 模型日益普及，越来越多的企业将其整合到日常运营中，这为提示词注入攻击创造了绝佳条件。威胁行为者正在迅速完善相关技术，而这类攻击低成本、高回报的特性使其成为极具吸引力的选择。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在伊朗与以色列地缘政治紧张局势升级之际，一个代号为 “UNK_SmudgedSerpent”的全新威胁活动集群被证实是 2025 年 6 月至 8 月期间一系列网络攻击的幕后黑手，其攻击目标直指学术界人士与外交政策专家。 “UNK_SmudgedSerpent 利用了伊朗国内政治相关诱饵，包括伊朗社会变革以及对伊斯兰革命卫队（IRGC）军事化问题的调查，”Proofpoint 安全研究员萨赫尔・瑙曼在一份分享给《黑客新闻》的新报告中表示。 这家企业安全公司指出，该攻击行动在战术上与伊朗此前多个网络间谍组织的攻击模式存在相似性，包括 TA455（又名 “烟沙暴” 或 UNC1549）、TA453（又名 “魅力小猫” 或 “薄荷沙暴”）以及 TA450（又名 “芒果沙暴” 或 “浑水”）。 这些电子邮件具备“魅力小猫”组织经典攻击的所有特征：威胁行为者先通过良性对话吸引潜在目标，随后再尝试钓鱼窃取其登录凭证。 在部分案例中，邮件包含恶意链接，诱骗受害者下载 MSI 安装程序 —— 该程序伪装成微软 Teams 软件，最终却会部署 PDQ Connect 等合法的远程监控与管理（RMM）软件，这一战术正是 “浑水” 组织的常用手段。 Proofpoint 透露，这些数字邮件还伪造了布鲁金斯学会、华盛顿研究所等智库相关的美国知名外交政策人士身份，为攻击披上合法外衣，以提高攻击成功率。 此次攻击的目标是一家美国智库中 20 余名专注于伊朗相关政策研究的专业专家。多数案例显示，威胁行为者收到目标回复后，会坚持先核实对方身份及邮箱真实性，再推进后续 “合作” 事宜。 邮件中写道：“特此联系以确认近期一封表达对我方机构研究项目兴趣的邮件是否确实由你发送。该邮件来自一个看似非你常用的邮箱地址，为确保真实性，我方希望在进一步推进前予以核实。” 随后，攻击者会发送所谓 “即将在会议中讨论” 的文件链接，但受害者点击后会被导向伪造的钓鱼页面，该页面的设计目的是窃取其微软账户登录凭证。 在另一版本的攻击链中，相关链接模仿微软 Teams 登录页面并设有 “立即加入” 按钮，但目前尚不清楚点击该 “会议按钮” 后激活的后续攻击步骤。 Proofpoint 指出，在目标 “表达怀疑” 后，攻击者移除了凭证窃取页面的密码验证要求，转而直接将受害者导向托管在 “thebesthomehealth [.] com” 域名下的伪造 OnlyOffice 登录页面。OnlyOffice 是一款支持文档协作的开源办公套件，具备与微软 Office 高度兼容的格式处理能力。 “UNK_SmudgedSerpent 对 OnlyOffice 链接及健康主题域名的使用，让人联想到 TA455 组织的活动特征，” 瑙曼表示，“TA455 至少从 2024 年 10 月起就开始注册健康相关域名（此前该组织长期注册航空领域相关域名），而 OnlyOffice 则在 2025 年 6 月成为其常用的文件托管工具。” 伪造的 OnlyOffice 网站上托管着一个 ZIP 压缩包，内含 MSI 安装程序，该程序运行后会启动 PDQ Connect。据 Proofpoint 评估，其他附带文件均为诱饵文档。 有证据显示，UNK_SmudgedSerpent 可能通过人工操作（hands-on-keyboard），借助 PDQ Connect 进一步安装 ISL Online 等其他远程监控与管理工具。目前尚不明确其连续部署两款不同远程监控与管理软件的具体原因。 该威胁行为者发送的其他钓鱼邮件还针对一名美国学者（寻求对方协助调查伊斯兰革命卫队），并在 2025 年 8 月初联系另一名人士，提议就 “伊朗在拉丁美洲的角色扩张及对美国政策的影响” 开展研究合作。 “这些攻击行动与伊朗的情报收集目标高度一致，重点聚焦西方政策分析、学术研究及战略技术领域，”Proofpoint 表示，“此次行动暗示伊朗情报机构与网络部队之间的合作正在不断发展，标志着伊朗间谍活动生态系统发生了转变。” 背景补充：2025 年 6 月，以色列与伊朗曾爆发 “十二日战争”，停火后双方谍战持续升级，以色列摩萨德与伊朗情报部门纷纷通过网络招募、AI 数据分析等手段展开对抗，地缘政治紧张为网络间谍活动提供了温床。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰当局正在调查一系列网络攻击事件，这些攻击扰乱了多家大型企业的数字服务，并导致其个人数据泄露，其中包括该国头部在线贷款机构和顶级移动支付系统。 数字事务部长克日什托夫・高科夫斯基表示，针对波兰公共和私人基础设施的网络攻击正变得 “司空见惯”。他补充道：“我们每天都会收到数千起事件报告。” 此次影响最大的泄露事件发生在 AIQLABS 运营的在线贷款平台 SuperGrosz。该公司在声明中证实，网络犯罪分子窃取了至少 1 万名客户的个人数据。泄露信息包括姓名、地址、身份证号、税号、联系方式、就业详情及银行账号。公司警告称，攻击的实际规模可能更大，并敦促客户密切关注欺诈性信贷活动。 高科夫斯基透露，另一起独立事件中，黑客对波兰支付基础设施发起分布式拒绝服务（DDoS）攻击，导致该国主流移动支付系统 Blik 短暂中断。Blik 主要用于即时转账和现金提取，该平台周一表示，经历 “支付处理临时问题” 后，服务已恢复正常。 高科夫斯基还称，波兰最大旅行社 Nowa Itaka 也遭到攻击，客户的姓名、电子邮箱和电话号码被泄露。该公司表示，预订详情、财务数据及账户密码未受影响。 当局尚未确认这些事件是否存在关联，但高科夫斯基指出，针对 Blik 的攻击 “线索指向俄罗斯”，并称其为 “混合战争的新阶段”。欧洲多国官员已就莫斯科扩大影响力、开展间谍活动和破坏行动发出警告。 作为乌克兰的主要盟友和北约成员国，波兰自 2022 年俄罗斯入侵乌克兰以来，遭遇的网络入侵事件不断增多。高科夫斯基警告，2025 年可能成为网络攻击的创纪录年份，国家行为体和犯罪集团的攻击目标将从地方公用事业，扩展至金融和能源系统。 他在近期一次采访中表示：“俄罗斯的网络活动最为严重，因为其目标直指维持正常生活所必需的关键基础设施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本媒体巨头日经新闻（Nikkei）表示，黑客非法侵入其内部 Slack 通信系统，可能导致超过 1.7 万人的相关数据泄露。 该公司于 9 月发现此次数据泄露，但在周二才公开披露。声明显示，事件起因是一名员工的电脑感染恶意软件，黑客借此窃取登录凭证，进而入侵了热门商业即时通讯平台 Slack。 日经新闻称，此次泄露可能导致 17300 多名 Slack 用户的姓名、电子邮箱地址和聊天记录被曝光，其中包括公司员工和商业合作伙伴。该公司同时指出，目前没有证据表明新闻线人信息或与报道相关的内容受到影响。 日经新闻旗下拥有《金融时报》，并出版全球发行量最大的财经报纸之一《日本经济新闻》（The Nikkei）。该公司现有员工 3000 余人，在海外设有 37 个编辑部。 日经新闻表示，尽管泄露的数据并未纳入日本《个人信息保护法》的管辖范围，但为 “确保透明度”，已主动向日本数据保护机构报告了该事件。 对于攻击背后的可能主使及黑客动机，该公司未予置评。 声明中写道：“我们高度重视此次事件，将进一步加强个人信息管理，防止类似事件再次发生。” 这并非日经新闻首次遭遇网络安全事件。2022 年，其新加坡总部曾遭受勒索软件攻击，客户数据可能受到影响。 此次数据泄露发生之际，媒体机构正遭遇一波网络攻击浪潮。今年初，勒索软件攻击导致美国报业集团李氏企业（Lee Enterprises）的印刷版报纸停刊；法国法新社（Agence France-Presse）也报告了一起攻击事件，其部分新闻分发系统因此中断。近年来，《纽约时报》《Vice 媒体》《清晰频道电台》（iHeartMedia）等多家媒体机构均曾遭遇网络安全事件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文