HackerNews 编译，转载请注明出处： 网络安全研究人员发现五个恶意 Rust 包，它们伪装成时间相关工具，将 .env 文件数据传输给威胁行为者。 这些发布在 crates.io 上的 Rust 包如下： ·     chrono_anchor ·     dnp3times ·     time_calibrator ·     time_calibrators ·     time-sync 据 Socket 公司称，这些包仿冒 timeapi.io 相关功能，于 2026 年 2 月末至 3 月初发布。基于相同的数据窃取方法，以及用于存储被盗数据的相似域名（timeapis [.] io），研究人员判定这些攻击出自同一威胁行为者之手。 “尽管这些包伪装成本地时间工具，但其核心行为是窃取凭据和密钥。” 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示，“它们试图从开发者环境中收集敏感数据（尤其是 .env 文件），并将数据外传到威胁行为者控制的基础设施。” 上述四个包仅具备直接窃取 .env 文件的基础能力，而 “chrono_anchor” 更进一步：通过实现混淆和操作层面的修改来规避检测。这些包对外宣传的功能是 “无需依赖网络时间协议（NTP）校准本地时间”。 “chrono_anchor” 将数据窃取逻辑嵌入名为 “guard.rs” 的文件中，通过一个 “可选同步” 辅助函数调用，以此避免引起开发者怀疑。与其他恶意软件不同，该包的代码并未试图通过服务或计划任务在主机上建立持久化，而是每当持续集成（CI）工作流的开发者调用恶意代码时，就反复尝试窃取 .env 中的密钥。 针对 .env 文件的攻击并非偶然 —— 该文件通常用于存储 API 密钥、令牌等敏感信息，攻击者可借此攻陷下游用户，获得对其环境（包括云服务、数据库、GitHub 及注册表令牌）的深度访问权限。 尽管这些包已从 crates.io 下架，但研究人员建议：不慎下载过的用户需假定数据已被窃取，立即轮换密钥和令牌，审计使用发布 / 部署凭据运行的 CI/CD 任务，并尽可能限制出站网络访问。 Socket 表示：“此次攻击表明，即便低复杂度的供应链恶意软件，只要在开发者工作区和 CI 任务中运行，仍能造成高影响。应优先部署控制措施，在恶意依赖执行前阻止其运行。” 人工智能驱动的机器人利用 GitHub Actions 发起攻击 此前，研究人员还发现一场自动化攻击活动：一款名为 hackerbot-claw 的 AI 驱动机器人扫描公共代码仓库，利用存在漏洞的 GitHub Actions 工作流窃取开发者密钥，攻击目标涵盖主流开源仓库的 CI/CD 流水线。 2026 年 2 月 21 日至 28 日期间，这个自称 “自主安全研究代理” 的 GitHub 账号，攻击了至少七个归属微软、Datadog、Aqua Security 等机构的代码仓库。 攻击流程如下： ·     扫描公共仓库，寻找配置错误的 CI/CD 流水线 ·     复刻（Fork）目标仓库，准备恶意载荷 ·     提交包含微小修改（如拼写错误修复）的拉取请求（PR），同时将核心恶意载荷隐藏在分支名、文件名或 CI 脚本中 ·     利用 “每次 PR 自动触发工作流” 的机制启动 CI 流水线，使恶意代码在构建服务器上执行 ·     窃取密钥和访问令牌 此次攻击中最受关注的目标之一是 Aqua Security 旗下的 “aquasecurity/trivy” 仓库 ——Trivy 是一款主流安全扫描工具，用于检测已知漏洞、配置错误和密钥。 供应链安全公司 StepSecurity 表示：“hackerbot-claw 利用 pull_request_target 工作流窃取了个人访问令牌（PAT），随后用该凭据接管了整个仓库。” Aqua Security 的伊泰・沙库里（Itay Shakury）在上周声明中透露，攻击者借助 GitHub Actions 工作流，将恶意版本的 Trivy Visual Studio Code（VS Code）扩展推送到 Open VSX 注册表，利用本地 AI 编码代理收集并窃取敏感信息。 同样参与该扩展攻击调查的 Socket 公司称，1.8.12 和 1.8.13 版本中注入的恶意逻辑，会以高权限模式运行本地 AI 编码助手（包括 Claude、Codex、Gemini、GitHub Copilot CLI、Kiro CLI），指令这些工具执行全面的系统检查、生成信息报告，并通过受害者已认证的 GitHub CLI 会话，将结果保存到名为 “posture-report-trivy” 的 GitHub 仓库。 Aqua 已从应用市场移除相关恶意制品，并吊销了用于发布的令牌。研究人员建议安装过该扩展的用户立即卸载，检查是否存在异常仓库，并轮换环境密钥；目前恶意制品已下架，未发现其他受影响制品，该事件被分配 CVE 编号 CVE-2026-28353。 需注意的是，系统受该漏洞影响需满足以下前提条件： ·     从 Open VSX 安装了 1.8.12 或 1.8.13 版本扩展 ·     本地安装了至少一款目标 AI 编码 CLI 工具 ·     该 CLI 接受恶意逻辑提供的高权限执行参数 ·     AI 代理能够访问磁盘上的敏感数据 ·     安装并认证了 GitHub CLI（针对 1.8.13 版本） Socket 表示：“从 1.8.12 到 1.8.13 的版本迭代可见攻击者的优化：第一个版本的指令将数据分散到随机渠道，攻击者无法可靠收集输出；第二个版本则利用受害者自身的 GitHub 账号作为稳定的数据窃取渠道，但模糊的指令可能导致 AI 代理将密钥推送到攻击者无法访问的私有仓库。” Pillar Security 评估认为，hackerbot-claw 是人类操作者借助大语言模型（LLM）作为执行层发起的攻击，并将该活动命名为 “Chaos Agent”。 安全研究员埃 ilon・科恩（Eilon Cohen）表示，此次攻击体现了 “AI 增强型攻击者快速利用 CI/CD 配置错误发起攻击”，而 Trivy VS Code 扩展的供应链攻击，标志着 AI 编码代理被滥用于数据窃取。“hackerbot-claw 攻击利用了大多数企业都未察觉的漏洞：对开发者机器上运行的 AI 编码代理完全无可见性，且这些代理被武器化时缺乏运行时控制。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗科技巨头史赛克（Stryker）遭擦除式恶意软件攻击，与伊朗关联、支持巴勒斯坦的黑客组织 Handala 宣称对此负责。 史赛克是全球领先医疗科技企业，生产外科、神经技术等多类设备；拥有超 5.3 万名员工，为《财富》500 强企业，2024 年全球销售额达 226 亿美元。 Handala 组织称，攻击中先窃取 50 TB 数据，随后擦除公司网络内数万系统与服务器，迫使史赛克 “遭受前所未有的打击” 并关停系统。 “此次行动中，超 20 万台系统、服务器与移动设备被擦除，50 TB 关键数据被窃取；史赛克在 79 个国家的办事处被迫关停。” 攻击者表示。 美国、爱尔兰、哥斯达黎加、澳大利亚等地自称史赛克员工的人士称，其受管理的 Windows 设备与移动设备在夜间被远程擦除；攻击者还篡改公司 Entra 登录页面，展示 Handala 组织标识。 一名史赛克员工向 BleepingComputer 透露，事件始于 3 月 11 日凌晨，公司移动设备管理系统注册的设备被远程擦除；注册用于工作访问的个人手机也被重置，数据丢失。 公司要求员工从个人设备移除企业管理应用与程序，包括 Intune 公司门户、Teams 与 VPN 客户端。 多名员工反馈，攻击导致内部服务与应用无法访问，部分办公地点因系统不可用，被迫恢复 “纸笔” 办公流程。 受攻击影响，史赛克正开展全球系统恢复工作，《华尔街日报》率先报道此事。 据爱尔兰当地媒体，史赛克告知科克员工：“我们正遭遇严重的全球中断，影响所有连接公司网络的笔记本电脑与系统。” 公司向亚洲员工发送的消息称：“目前尚未确定根本原因，我们正与微软积极协作，将此视为全企业级关键事件处理。” Handala 组织（又称 Handala Hack Team、Hatef、Hamsa）于 2023 年 12 月首次现身，是与伊朗情报与安全部（MOIS）关联的黑客行动组织，以破坏性恶意软件攻击以色列机构，擦除 Windows 与 Linux 设备。 该组织还以窃取受害者系统敏感数据，并在数据泄露门户公开数据著称。 史赛克确认网络攻击 报道发布后，史赛克向美国证券交易委员会提交 8-K 表格，确认遭受影响其整个微软环境的网络攻击。 “2026 年 3 月 11 日，史赛克公司确认发生影响公司部分信息技术系统的网络安全事件，导致公司微软环境全球中断。”8-K 文件显示。 “事件被发现后，公司立即启动网络安全响应计划，在外部顾问与网络安全专家支持下开展内部调查，评估并遏制威胁。” “公司未发现勒索软件或恶意软件迹象，认为事件已得到控制。” 公司表示，系统恢复期间，事件将持续影响工作环境，包括网络系统与业务应用访问；但尚未给出全面恢复的时间线。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）于周一将三个安全漏洞添加至其已知被利用漏洞（KEV）目录，依据是存在被主动利用的证据。 漏洞列表如下： ·     CVE-2021-22054（CVSS 评分：7.5）——Omnissa Workspace One UEM（前身为 VMware Workspace One UEM）中的服务器端请求伪造（SSRF）漏洞，允许拥有 UEM 网络访问权限的恶意行为者在未认证情况下发送请求，并获取敏感信息。 ·     CVE-2025-26399（CVSS 评分：9.8）——SolarWinds Web Help Desk 的 AjaxProxy 组件中存在的不可信数据反序列化漏洞，攻击者可借此在主机上执行命令。 ·     CVE-2026-1603（CVSS 评分：8.6）——Ivanti Endpoint Manager 中存在的使用替代路径或通道的身份认证绕过漏洞，允许远程未认证攻击者泄露特定存储的凭据数据。 CVE-2025-26399 被加入目录之前，微软和 Huntress 曾报告称，威胁行为者正在利用 SolarWinds Web Help Desk 中的安全漏洞获取初始访问权限。该活动据信由 Warlock 勒索软件团伙实施。 另一方面，CVE-2021-22054 于 2025 年 3 月被 GreyNoise 标记为正在与其他产品中的多个 SSRF 漏洞一起被利用，属于一场协同攻击活动的一部分。 目前尚无关于 CVE-2026-1603 在野外如何被武器化的详细信息。截至本文撰写时，Ivanti 的安全公告尚未更新以反映该漏洞已被利用的状态。 为应对活跃威胁带来的风险，美国联邦行政部门（FCEB）机构被下令在 2026 年 3 月 12 日前为 SolarWinds Web Help Desk 应用修复程序，并在 2026 年 3 月 23 日前完成其余两个漏洞的修复。 CISA 表示：“此类漏洞是恶意网络行为者常用的攻击向量，对联邦机构构成重大风险。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者正在利用 FortiGate 设备入侵网络，并窃取包含服务账户凭据和网络详情的配置数据。 SentinelOne 研究人员警告称，攻击者正在利用 FortiGate 设备中的漏洞或弱口令获取对企业网络的初始访问权限。一旦进入内部，他们会提取可能包含服务账户凭据和内部网络结构信息的配置文件。该攻击活动的目标行业似乎包括医疗、政府机构和托管服务提供商。 “2026 年初以来，SentinelOne 的数字取证与事件响应（DFIR）团队已经响应了多起 FortiGate 下一代防火墙（NGFW）设备被攻陷、从而在目标环境中建立立足点的事件。”SentinelOne 表示。“每起事件都在攻击的横向移动阶段被检测并阻止。” FortiGate 设备通常与 AD 和 LDAP 集成，支持角色映射和对网络警报的快速响应。威胁行为者通过针对 CVE-2025-59718 和 CVE-2025-59719 漏洞滥用此类访问权限，利用单点登录签名验证缺陷获得未授权的管理员访问权限。CVE-2026-24858 允许攻击者通过 FortiCloud 单点登录登录设备。一旦进入内部，他们就可以提取包含服务账户的配置文件，而其他攻击者则无需漏洞，直接利用弱口令入侵。 在 SentinelOne 分析的一起案例中，攻击者创建本地管理员账户、修改防火墙策略，并定期检查访问权限，之后提取包含加密 LDAP 服务账户凭据的配置文件。这些凭据被解密后用于向 Active Directory 进行身份验证，并注册恶意工作站，从而获得更深层次的网络访问权限。 在另一起事件中，攻击者创建管理员账户、部署 Pulseway 和 MeshAgent 远程管理与监控（RMM）工具，并使用 PowerShell 和 DLL 侧加载执行恶意软件。他们在云存储（谷歌云、AWS S3）上存放恶意载荷、创建任务维持持久化，并使用 PsExec 进行横向移动。 攻击者对主域控制器进行备份，获取 NTDS.dit 文件和 SYSTEM 注册表数据，压缩后上传到他们自己的服务器。事件被控制后，未发现账户被进一步滥用。 FortiGate 等下一代防火墙（NGFW）被广泛使用，因为它们将强大的网络安全与 Active Directory 集成等功能结合在一起。这使其成为攻击者的高价值目标，包括国家级间谍组织和以牟利为目的的犯罪分子。近期研究显示，即使是技术水平较低的攻击者现在也能更轻松地利用大语言模型（LLM）等 AI 工具利用这些设备，这些工具可提供网络漫游和提取敏感数据的指导。 机构应通过实施严格的管理控制、保持软件补丁更新、保留足够日志（至少 14–90 天）来保护下一代防火墙。日志应发送至 SIEM 系统，用于检测异常、跟踪未授权账户创建、监控配置访问、发现恶意软件或 C2 流量、保存证据，并实现自动化响应以快速消除威胁。 “机构应当认识到，FortiGate 及其他边界设备通常不允许在设备上安装安全软件，例如终端检测与响应（EDR）工具。保护此类设备的最佳防御方式是实施严格的管理员访问控制，并保持软件补丁更新以防止被利用。” 报告总结道。“此外，这两起调查都因 FortiGate 日志保留不足而受到影响。机构应确保在 FortiGate 等下一代防火墙设备上至少保留 14 天日志，尽可能保留 60–90 天会更好。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被追踪为 APT28 的俄罗斯国家背景黑客组织被观察到使用两款名为 BEARDSHELL 和 COVENANT 的植入程序，对乌克兰军方人员实施长期监视。 ESET 在一份分享给《黑客新闻》的最新报告中称，这两个恶意软件家族自 2024 年 4 月起投入使用。 APT28 也以 Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（前身为 Strontium）、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy 和 TA422 等代号被追踪，是隶属于俄罗斯联邦军事情报总局（GRU）第 26165 部队的国家级行为体。 该威胁行为者的恶意软件武器库包含 BEARDSHELL 和 COVENANT 等工具，以及另一款代号为 SLIMAGENT 的程序，该程序能够记录键盘输入、捕获屏幕截图并收集剪贴板数据。SLIMAGENT 最早由乌克兰计算机应急响应小组（CERT-UA）于 2025 年 6 月公开披露。 据这家斯洛伐克网络安全公司称，SLIMAGENT 起源于 XAgent—— 这是 APT28 在 2010 年代使用的另一款用于远程控制和数据窃取的植入程序。这一结论基于 SLIMAGENT 与早在 2018 年就被部署在针对两个欧洲国家政府机构攻击中的此前未知样本之间发现的代码相似性。 评估认为，2018 年的样本与 2024 年的 SLIMAGENT 样本均源自 XAgent，ESET 的分析还发现 SLIMAGENT 与 2014 年底在野外检测到的 XAgent 样本在键盘记录功能上存在重叠。 “SLIMAGENT 以 HTML 格式输出间谍日志，其中应用程序名称、记录的按键和窗口名称分别以蓝色、红色和绿色显示。”ESET 表示，“XAgent 键盘记录器也使用相同的配色方案生成 HTML 日志。” 与 SLIMAGENT 一同部署的还有另一款被称为 BEARDSHELL 的后门程序，它能够在受攻陷主机上执行 PowerShell 命令。该程序使用合法的云存储服务 Icedrive 作为命令与控制（C2）服务器。 图片SLIMAGENT（左）与 XAgent（右）代码对比 该恶意软件的一个值得注意的特点是，它使用一种独特的混淆技术，称为不透明谓词（opaque predicate），这种技术同样出现在 XTunnel（又名 X-Tunnel）中 —— 这是 APT28 在 2016 年美国民主党全国委员会（DNC）黑客攻击中使用的一款网络穿透与横向移动工具。该工具为外部 C2 服务器提供安全隧道。 “这种罕见混淆技术的共用，再加上它与 SLIMAGENT 共同部署，使我们高度确信 BEARDSHELL 属于 Sednit 定制武器库的一部分。”ESET 补充道。 该威胁行为者工具套件中的第三款主要组件是 COVENANT，这是一个开源的 .NET 后渗透利用框架，已被深度修改以支持长期间谍活动，并自 2025 年 7 月起实现一种新的基于云的网络协议，滥用 Filen 云存储服务进行 C2 通信。此前，APT28 的 COVENANT 变体曾使用 pCloud（2023 年）和 Koofr（2024-2025 年）。 “这些调整表明 Sednit 开发者对 Covenant 掌握了深厚的专业知识 —— 这款植入程序的官方开发已于 2021 年 4 月停止，可能被防御方认为已不再使用。”ESET 表示，“这一出人意料的行动选择似乎取得了成效：Sednit 已成功依赖 Covenant 数年之久，尤其是针对乌克兰的特定目标。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了 Google Looker Studio 中的9 个跨租户漏洞，这些漏洞原本可能允许攻击者在受害者数据库上执行任意 SQL 查询，并在机构的 Google Cloud 环境中窃取敏感数据。 这些缺陷被 Tenable 公司统一命名为 LeakyLooker。目前没有证据表明这些漏洞在野外被利用过。在 2025 年 6 月通过负责任披露机制上报后，Google 已修复这些问题。 安全漏洞列表如下： ·     跨租户未授权访问 —— 数据库连接器上的零点击 SQL 注入 ·     跨租户未授权访问 —— 通过存储凭据实现的零点击 SQL 注入 ·     通过原生函数在 BigQuery 上实现跨租户 SQL 注入 ·     基于超链接的跨租户数据源泄露 ·     通过受害者数据源上的自定义查询在 Spanner 和 BigQuery 上实现跨租户 SQL 注入 ·     通过链接 API 在 BigQuery 和 Spanner 上实现跨租户 SQL 注入 ·     基于图片渲染的跨租户数据源泄露 ·     基于帧计数与时序 oracle 的任意数据源跨租户 XS 泄露 ·     通过 BigQuery 实现的跨租户 “钱包拒绝” 服务（Denial of Wallet） “这些漏洞打破了底层设计假设，揭示了一类全新的攻击方式，原本可能允许攻击者在受害者服务和 Google Cloud 环境中窃取、插入和删除数据。” 安全研究员 Liv Matan 在分享给《黑客新闻》的报告中表示。 “这些漏洞暴露了 Google Cloud Platform（GCP）环境中的敏感数据，可能影响任何使用 Google Sheets、BigQuery、Spanner、PostgreSQL、MySQL、Cloud Storage 以及几乎所有其他 Looker Studio 数据连接器的机构。” 成功利用这些跨租户漏洞可使威胁行为者访问不同云租户之间的完整数据集和项目。 攻击者可以扫描公开的 Looker Studio 报表，或获取使用这些连接器（如 BigQuery）的私有报表访问权限，进而控制数据库，使其能够在所有者的整个 GCP 项目中执行任意 SQL 查询。 另一种情况是：受害者创建报表并设为公开或分享给特定接收者，且使用了 JDBC 连接的数据源（如 PostgreSQL）。在此场景下，攻击者可利用复制报表功能中的逻辑缺陷，在克隆报表时保留原始所有者的凭据，从而删除或修改数据表。 该网络安全公司详细介绍的另一种高影响利用路径是一键式数据窃取：分享一份特制报表会强制受害者浏览器执行恶意代码，连接到攻击者控制的项目，并从日志中重建完整数据库。 “这些漏洞打破了‘查看者永远不应能够控制他们所查看的数据’这一基本承诺。”Matan 表示，并补充说这些漏洞 “原本可能让攻击者跨 BigQuery 和 Google Sheets 等 Google 服务窃取或修改数据”。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过一年以来，一名讲俄语的威胁行为者以人力资源（HR）部门为目标，通过恶意软件投放一款名为 BlackSanta 的新型 EDR 杀手。 该攻击活动被描述为 “高度复杂”，结合了社会工程学与高级规避技术，从受攻陷系统中窃取敏感信息。 目前尚不清楚攻击的初始入口，但网络与安全解决方案提供商 Aryaka 的研究人员怀疑，该恶意软件通过鱼叉式钓鱼邮件进行分发。 他们认为，目标被引导下载托管在云存储服务（如 Dropbox）上、伪装成简历的 ISO 镜像文件。 分析的其中一个恶意 ISO 包含四个文件：一个伪装成 PDF 文件的 Windows 快捷方式（.LNK）、一个 PowerShell 脚本、一张图片和一个 .ICO 文件。 ISO 文件内容（来源：Aryaka） 该快捷方式启动 PowerShell 并执行脚本，脚本利用隐写术提取隐藏在图片文件中的数据，并在系统内存中执行。 该代码还会下载一个 ZIP 压缩包，其中包含一个合法的 SumatraPDF 可执行文件和一个恶意 DLL（DWrite.dll），以利用 DLL 侧载技术加载。 解密后的 PowerShell 脚本（来源：Aryaka） 该恶意软件执行系统指纹采集，并将信息发送至命令与控制（C2）服务器，随后执行大量环境检查，若检测到沙箱、虚拟机或调试工具则停止执行。 它还会修改 Windows Defender 设置以削弱主机安全防护，执行磁盘写入测试，然后从 C2 服务器下载更多载荷，通过进程空心化技术在合法进程内执行。 BlackSanta EDR 杀手 该攻击活动投放的一个关键组件是被识别为 BlackSanta EDR 杀手的可执行文件，这是一个在部署恶意载荷前使终端安全解决方案失效的模块。 BlackSanta 为 .dls 和 .sys 文件添加微软 Defender 排除项，并修改注册表值以减少遥测数据和向微软安全云端点的自动样本提交。 研究人员的报告（PDF）指出，BlackSanta 还可屏蔽 Windows 通知，以最小化或完全屏蔽用户警报。BlackSanta 的核心功能是终止安全进程，实现方式如下： ·     枚举正在运行的进程 ·     将进程名与内置的大量杀毒软件、EDR、SIEM 和取证工具列表进行比对 ·     获取匹配的进程 ID ·     使用已加载的驱动在内核层面解锁并终止这些进程 内置列表的部分内容（来源：Aryaka） Aryaka 没有披露此次活动背后的目标组织或威胁行为者相关细节，且未能获取观察案例中使用的最终载荷，因为在其检查时 C2 服务器已无法访问。 研究人员成功识别出同一威胁行为者使用的其他基础设施，并发现了与同一攻击活动相关的多个 IP 地址。他们正是通过这种方式得知，该行动在过去一年中一直在未被察觉的情况下运行。 通过对这些 IP 地址的分析，研究人员发现该恶意软件还会下载 “自带驱动”（BYOD）组件，其中包括 Adlice Software 公司的 RogueKiller 反 Rootkit 驱动 v3.1.0，以及 IObit 公司的 IObitUnlocker.sys v1.2.0.1。 这些驱动已被用于恶意软件行动中，以在受攻陷机器上获得提升权限并压制安全工具。 RogueKiller（truesight.sys）允许操纵内核钩子和内存监控，而 IObitUnlocker.sys 允许绕过文件和进程锁定。这种组合为恶意软件提供了对系统内存和进程的底层访问权限。 Aryaka 研究人员表示，此次活动背后的威胁行为者展现出强大的作战安全能力，并使用上下文感知、隐蔽的感染链部署 BlackSanta EDR 等组件。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种被称为 “Zombie ZIP” 的新技术有助于将载荷隐藏在特制的压缩文件中，以躲避杀毒软件和终端检测与响应（EDR）产品等安全解决方案的检测。 使用 WinRAR 或 7-Zip 等标准工具解压文件时会出现错误或数据损坏。该技术通过操纵 ZIP 文件头，诱骗解析引擎将压缩数据视为未压缩数据。 安全工具不会将该压缩包标记为潜在危险，而是信任文件头，并将文件当作原始文件的副本在 ZIP 容器中进行扫描。 “Zombie ZIP” 技术由 Bombadil Systems 安全研究员 Chris Aziz 发明，他发现该技术可以绕过 VirusTotal 上 51 款杀毒引擎中的 50 款。 “杀毒引擎信任 ZIP 的 Method 字段。当 Method=0（STORED，存储模式）时，它们会将数据作为原始未压缩字节进行扫描。但数据实际上是经过 DEFLATE 压缩的 —— 因此扫描器看到的是压缩后的乱码，无法发现任何特征码。” 该研究员解释道。 威胁行为者可以制作一个忽略文件头的加载器，并按照实际情况处理压缩包：即使用现代 ZIP 文件中标准的 Deflate 算法压缩的数据。 该研究员已在 GitHub 上发布了概念验证（PoC），分享了示例压缩包以及该方法工作原理的更多细节。 研究员表示，要让主流解压工具（如 7-Zip、unzip、WinRAR）报错，必须将用于确保数据完整性的 CRC 值设置为未压缩载荷的校验和。 “但是，一个专门编写的加载器可以忽略声明的压缩方式，并按 DEFLATE 方式解压，从而完美还原载荷。”Aziz 说。 昨日，CERT 协调中心（CERT/CC）发布公告，就 “Zombie ZIP” 发出警告，并提高人们对畸形压缩文件所带来风险的认识。 该机构表示，虽然畸形文件头可以欺骗安全解决方案，但部分解压工具仍能够正确解压该 ZIP 压缩包。 该安全问题已分配 CVE 编号 CVE-2026-0866，该机构称其与二十多年前披露的一个漏洞类似，即 CVE-2004-0935，影响早期版本的 ESET 杀毒软件。 CERT/CC 建议，安全工具厂商必须根据实际数据验证压缩方式字段，添加检测压缩包结构不一致的机制，并实施更严格的压缩包检查模式。 用户应谨慎对待压缩文件，尤其是来自陌生联系人的文件，如果解压时出现 “不支持的方式” 错误，应立即删除。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： HPE 已修复 Aruba Networking AOS‑CX 操作系统中的多个安全漏洞，包括多个身份认证与代码执行问题。 AOS‑CX 是由 HPE 子公司 Aruba Networks 开发的云原生网络操作系统（NOS），用于该公司 CX 系列园区和数据中心交换机设备。 本次最严重的安全漏洞是一个高危身份认证绕过漏洞（编号 CVE‑2026‑23813），未授权攻击者可通过低复杂度攻击利用该漏洞重置管理员密码。 “已在 AOS‑CX 交换机的基于 Web 的管理界面中发现一个漏洞，可能允许未授权远程攻击者绕过现有身份认证控制。在某些情况下，这可使攻击者重置管理员密码。”HPE 表示。 “截至本公告发布之日，HPE Aruba Networking 未发现任何针对这些特定漏洞的公开讨论或利用代码。” 无法立即为受影响交换机安装本次安全更新的 IT 管理员可采取以下缓解措施之一： ·     将所有管理接口的访问限制在专用二层网段或 VLAN，以隔离管理流量。 ·     在三层及以上实施严格策略，控制对管理接口的访问，仅允许授权可信主机。 ·     在不需要管理访问的交换虚拟接口（SVI）和三层路由端口上禁用 HTTP (S) 接口。 ·     强制执行控制平面访问控制列表（ACL），保护所有启用 REST/HTTP 的管理接口，确保仅允许可信客户端连接 HTTPS/REST 端点。 ·     启用对所有管理接口活动的全面审计、日志记录与监控，以检测并响应未授权访问尝试。 HPE 尚未发现公开可用的概念验证利用代码，也未发现攻击者在野外滥用这些漏洞的证据。 2025 年 7 月，该公司曾警告 Aruba Instant On 无线接入点中存在硬编码凭据，可能导致攻击者绕过标准设备身份认证。 在此前一个月，HPE 修复了其 StoreOnce 基于磁盘的备份与重删解决方案中的八个漏洞，包括另一个高危身份认证绕过漏洞和三个远程代码执行漏洞。 更近一些，今年 1 月，美国网络安全与基础设施安全局（CISA）将一个最高危的 HPE OneView 漏洞标记为已在攻击中被利用。 HPE 在全球拥有超过 61,000 名员工，2024 年营收为 301 亿美元，为全球超过 55,000 家企业客户提供服务和产品，其中包括 90% 的《财富》500 强企业。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）表示，全美多地出现受害者，遭一场网络钓鱼活动侵害。犯罪分子冒充政府官员，以土地使用许可为由索要欺诈性费用。 联邦调查局在周一发布的公告中称，正在申请相关许可的个人和企业成为钓鱼邮件的攻击目标。这些邮件通常包含详细、准确的信息，“包括房产地址、案件编号，以及市县官员的真实姓名”。 网络犯罪分子冒充市政官员或规划委员会成员，以欺诈发票为由，要求受害者通过电汇或加密货币支付款项。 联邦调查局提醒民众在回复前务必核实邮件地址，指出已发现多封恶意邮件使用 @usa.com 地址，而非政府官方的 .gov 域名。 犯罪分子利用公开可获取的许可信息，使钓鱼邮件看起来真实可信。 许多邮件使用市政信头，措辞专业，看上去如同真实的规划文件。部分钓鱼邮件详细提及审批流程、规划委员会程序、合规要求及相关条例。 多数邮件要求在线支付，并以威胁口吻制造紧迫感。联邦调查局给出的建议是：务必查询当地县或市政府官网，拨打网站公布的电话核实任何收费信息。 此类欺诈邮件是近期针对美国受害者的新型诈骗手段之一。2024 年，网络犯罪分子从美国人手中窃取超过 120 亿美元。美国近期宣布多项措施，不仅旨在捣毁背后的犯罪组织，还要追回赃款并返还给受害者。 人工智能公司也发出警告，称网络犯罪分子正利用其工具，让非英语母语的诈骗者能更轻松地撰写通顺、逼真的钓鱼邮件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文