HackerNews 编译，转载请注明出处： 上周五，新西兰宣布对俄罗斯格鲁乌（GRU）情报机构下属29155单位（Unit 29155）实施制裁，因其涉嫌参与针对乌克兰实施网络攻击。此次制裁措施包括资产冻结、旅行禁令，并禁止新西兰公民和企业向指定实体提供资金。 据西方安全机构表示，29155单位涉嫌在欧洲参与间谍活动、破坏行动和暗杀阴谋。早在2022年莫斯科全面入侵乌克兰前夕，该单位就曾主导了对乌克兰政府网络的WhisperGate恶意软件攻击。新西兰外交部长温斯顿·彼得斯在声明中表示：“俄罗斯一直非法使用恶意软件攻击乌克兰政府网络。”但关于相关细节并未过多透露。乌克兰总统泽连斯基对此举表示欢迎，称新西兰最新对俄制裁是“对乌克兰的强力支持信号”。 根据美国多家联邦机构的联合咨询，自2022年以来，29155单位一直专注于通过破坏性网络行动、数据窃取以及在欧洲、北美、拉丁美洲和中亚的侦察活动来破坏外界对乌克兰的援助。2024年，美国司法部已起诉该单位的成员，并悬赏1000万美元征集定罪该单位的信息。 此前，这些黑客也已成为其他国家的制裁目标。今年1月，欧盟制裁了29155单位三名涉嫌成员，因其参与2020年对爱沙尼亚部委的网络攻击，窃取了数千份政府和企业机密文件。7月，英国制裁了包括29155单位在内的三个格鲁乌下属单位，指控其侦察行动协助了导致乌克兰平民死亡的袭击。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： IdeaLab正在通知受去年10月数据泄露事件影响的个人，当时黑客访问了敏感信息。 尽管该组织未描述攻击类型，但Hunters International勒索软件组织已声称对此次入侵负责，并在暗网上泄露了被盗数据。 IdeaLab是一家总部位于加利福尼亚的技术创业孵化器，自1996年以来已孵化了150多家公司，包括GoTo.com、CitySearch、eToys、Authy、Pets.com、Heliogen和Energy Vault。 作为美国历史最悠久、最具影响力的风险投资公司之一，该公司创造了可观的经济影响、就业机会和投资价值。 2024年10月7日，IdeaLab检测到其网络上的可疑活动。经调查确定，威胁行为者已于三天前未经授权访问其系统。 该公司聘请第三方服务协助调查，调查于2025年6月26日完成。 结果证实系统数据被盗，影响现任和前任员工、现任和前任支持服务承包商及其家属。 在向监管机构提供的样本通知中，IdeaLab未描述事件中暴露的所有信息，仅表示黑客访问了姓名与其他类型数据组合的信息。 2024年10月23日（勒索企图失败后），Hunters International公布了从IdeaLab窃取的数据。 IdeaLab数据遭泄露于Hunters International网站 此次泄露包含137,000个文件，总计262.8 GB。截至发稿时，下载链接已失效，但很可能多个威胁行为者此前已下载这些文件。 今天早些时候，威胁行为者宣布关闭Hunters International，并从其勒索门户网站删除了所有公司条目和文件。黑客提出为所有受害者提供免费解密密钥。 然而，这可能是品牌重组的一部分，因为网络安全公司Group-IB的研究人员4月表示，该威胁行为者推出了一个名为World Leaks的新勒索平台，专注于勒索。 为应对此事件带来的风险，通知接收者可通过IDX免费获得24个月的信用保护、身份盗窃和暗网监控服务。受影响个人须在2025年10月1日前注册。     消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 哥伦比亚大学官员周二表示，一名带有“政治议程”的黑客近期入侵该校IT系统，并“针对性”窃取了学生数据。 目前尚不清楚黑客在系统内潜伏了多长时间，但哥伦比亚大学发言人称自6月24日起未再检测到威胁活动。上周，该校表示正在调查一起网络攻击事件，导致大学网站及其他系统间歇性瘫痪。 “我们的调查显示，这些黑客技术高超，在窃取文件时目标非常明确，”该校官员表示。“他们入侵系统并窃取学生数据，显然是为了推进其政治议程。” 该官员称，大学未收到勒索要求，也未发现“任何勒索软件的迹象”。 据报道，黑客向彭博社提供了1.6GB的数据，声称这些数据是从哥伦比亚大学窃取的，其中包括可追溯数十年的250万份申请信息。 彭博社审查的被盗数据据称包含申请人是否被拒或录取、国籍状态、大学ID号码以及他们申请的具体学术项目等详细信息。 尽管黑客的说法尚未得到独立核实，但彭博社将黑客提供的数据与8名2019年至2024年间申请哥伦比亚大学的申请人信息进行了比对，发现两者相符。 据报道，该威胁行为者告诉彭博社，他正在寻找证据，以证明哥伦比亚大学是否在招生中继续使用平权行动，尽管最高法院在2023年已禁止该做法。 黑客告诉彭博社，他总共窃取了460GB的数据——在花费两个月时间针对并渗透大学服务器中权限越来越高的层级后——并称他获取了有关财务援助方案、员工薪资以及至少180万份属于员工、申请人、学生及其家属的社会安全号码的信息。 彭博社未查看更大规模的数据集，且这些信息无法独立核实。 哥伦比亚大学发言人表示，在调查进行期间，他们无法证实彭博社关于数据泄露规模的报道。 黑客从“我们网络的有限部分”窃取了数据，他们说道。 官员表示，一旦意识到入侵事件，哥伦比亚大学迅速恢复了大部分系统，并补充称该校已聘请一家“黄金标准”的网络取证公司来应对此次攻击。 他们补充说，确定被盗内容可能需要数月时间。 “我们正在调查此次明显数据盗窃的范围，并将调查结果与大学社区以及个人信息遭泄露的任何人分享，”哥伦比亚大学的新闻稿称。“自6月24日以来，我们未在网络中观察到威胁行为者的活动，并将继续密切监控系统中的任何进一步非法活动。”   消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击，通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示，他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体： • 本地存储型：将窃取的凭证写入服务器上可通过互联网访问的本地文件 • 实时外传型：将收集的数据立即发送至外部服务器 该俄罗斯网络安全公司证实，此次攻击已针对全球26个国家的65个机构，这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者，涵盖政府机构、银行、IT公司和教育机构，首次入侵证据可追溯至2021年。 攻击链利用Microsoft Exchange Server中的已知漏洞（例如ProxyShell）向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括： • CVE-2014-4078：IIS安全功能绕过漏洞 • CVE-2020-0796：Windows SMBv3客户端/服务器远程代码执行漏洞 • CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065：Microsoft Exchange Server远程代码执行漏洞（ProxyLogon） • CVE-2021-31206：Microsoft Exchange Server远程代码执行漏洞 • CVE-2021-31207、CVE-2021-34473、CVE-2021-34523：Microsoft Exchange Server安全功能绕过漏洞（ProxyShell） 安全研究人员Klimentiy Galkin和Maxim Suslov指出：恶意JavaScript代码读取并处理身份验证表单的数据，通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数，该函数读取传入请求并将数据写入服务器文件。 包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于：由于无需建立外联流量传输数据，检测概率趋近于零。 Positive Technologies发现的第二种变体则通过XHR GET请求，将编码后的登录名和密码分别存储在APIKey与AuthToken标头中，利用Telegram机器人作为渗透点；另一种方法结合域名系统（DNS）隧道与HTTPS POST请求发送用户凭证，突破组织防御体系。 受感染的服务器中有22台位于政府机构，其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。 研究人员强调：大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面，攻击者得以长期潜伏，同时直接获取明文凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   mozilla 已经重申了其承诺，将继续支持 Manifest V2 扩展程序，同时引入 Manifest V3，让用户能够自由选择他们想要在浏览器中使用的扩展程序。 Manifest V3 是谷歌开发的浏览器扩展程序规范，旨在通过限制过于宽松的网络请求和远程内容加载，使网络浏览器的插件功能更安全。 尽管出发点是好的，但 Manifest V3 对某些类型的插件（如广告拦截器）施加了限制，这可能会使它们的效果大打折扣。 随着 Manifest V3 的强制实施，不兼容的扩展程序正从用户的浏览器中被禁用，剥夺了用户在功能和风险之间做出选择的权利。 BleepingComputer 上周晚些时候确认的一个 notable case 是 uBlock Origin 广告拦截器被禁用，该拦截器在 Chrome Web Store 上的下载量已超过 3800 万次。 尽管许多广告拦截器已经迁移到了 Manifest V3 版本，但这些版本通常在检测和拦截定向内容方面能力较弱。 虽然微软 Edge、mozilla firefox 和苹果 Safari 都已经采用了 Manifest V3，但他们各自进行了修改，使用户在享受安全增强的同时拥有更大的自由度。 对于旧的插件来说，支持 Manifest V2 是唯一的选择，而 firefox 今天通过公告重申了其将继续在可预见的未来支持 Manifest V2。 mozilla 表示：“虽然一些浏览器正在逐步淘汰 Manifest V2，但 firefox 将继续同时支持 Manifest V2 和 Manifest V3。” 具体来说，这家互联网公司表示，将继续支持 ‘blockingWebRequest’ 和 ‘declarativeNetRequest’ 这两个 API，分别对应 Manifest V3 和 Manifest V2，使像 uBlock Origin 这样的扩展程序能够继续正常工作。 mozilla 尚未说明这种支持将持续多久，但只要还有强大的插件能够增强用户的隐私和安全，mozilla 就有充分的理由继续支持 Manifest V2。 最终，mozilla 表示，这是对其自身宣言中 “原则 5” 的坚持，该原则指出：“个人必须有能力塑造互联网以及他们在互联网上的体验。” 当 Manifest V3 于 2022 年 11 月引入 firefox 时，mozilla 表示将在 2023 年底评估 Manifest V2 的弃用问题。 后来，在 2024 年 3 月，鉴于出现的所有技术和实际复杂性，mozilla 宣布在可预见的未来没有计划弃用 Manifest V2。 最新的公告重申了这一承诺，使 firefox 成为少数几个允许用户继续使用 Manifest V2 插件的网络浏览器之一。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克（Symantec），博通（Broadcom）的一个部门，已解决了其诊断工具（SymDiag）中的一个关键安全漏洞（CVE-2025-0893），该漏洞可能允许攻击者在受影响的系统上提升权限。 该漏洞影响 SymDiag 3.0.79 之前的版本，由于其可能通过本地利用威胁机密性、完整性和可用性，因此获得了 CVSSv3 7.8（高严重性）的评分。 该漏洞源于 SymDiag 的权限管理不当，这是一个用于排查赛门铁克产品（如 Web 安全服务（WSS）代理）问题的工具。 具有低权限访问的攻击者可以利用此漏洞以提升的权限执行任意代码，从而有效绕过安全控制。 该问题特别影响 SymDiag 与 WSS 代理交互的系统，WSS 代理是赛门铁克安全 Web 网关（SWG）解决方案的一个组件，用于流量重定向和云安全强制执行。 根据博通的咨询，该漏洞存在于 SymDiag 在收集诊断数据期间处理进程提升的方式中。 成功的利用可能使未经授权访问敏感系统资源、修改安全配置或中断终端保护服务。 尽管尚未记录任何公开利用，但 SymDiag 的诊断功能与 WSS 代理的网络级权限相结合，如果未修补，将创建高风险场景。 缓解和补丁部署 赛门铁克已在 SymDiag 3.0.79 中解决了此问题，该版本已通过赛门铁克终端保护管理器（SEPM）自动部署到所有受影响的终端。 更新移除了旧的易受攻击版本的 SymDiag，确保使用托管部署的企业客户无需手动干预。 对于独立安装，建议用户通过工具的界面或命令行实用程序验证其 SymDiag 版本。 虽然补丁缓解了 immediate risk，但博通强调了更广泛的安全强化措施： 最小权限原则：限制管理访问仅限授权人员，并对终端管理工具实施基于角色的访问控制（RBAC）。 网络分段：隔离管理接口并限制远程访问仅限受信任的 IP 范围。 深度防御：部署入侵检测系统（IDS）和终端检测与响应（EDR）工具，以监控异常活动，特别是在使用旧版 WSS 代理配置的环境中。 CVE-2025-0893 对使用 SymDiag 与赛门铁克 WSS 代理结合的组织构成了针对性但严重的风险。 迅速的补丁部署展示了博通对其零信任路线图的承诺，尽管管理员应审计旧系统以查找潜在的残留漏洞。 随着云安全工具越来越多地处理解密流量和特权操作，供应商必须在诊断功能与严格的访问控制之间取得平衡，以防止在违规情况下发生横向移动。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

经过多年的缺失，Coinbase 用户终于可以获得一项重大升级：向 Taproot 地址发送比特币的功能。 本周二，Coinbase 解决了这一空白，允许其数百万用户利用 Taproot 的隐私和节约成本功能，“创建访问更多链上目的地的途径”。 自 2021 年 11 月 Taproot 推出以来，Coinbase 用户一直无法充分利用该升级功能。 在此次更新之前，许多Coinbase用户报告称，在向Taproot地址发送比特币时遇到困难，导致延迟和交易失败。 通过新的整合，Coinbase 用户可以向 Taproot 地址发送比特币，加入 OKX、Binance 和 Kraken 等平台的行列。 作为自2017年SegWit以来最大的比特币升级，Taproot承诺加强隐私保护，但Coinbase用户多年来一直被抛在后面。 Taproot 由比特币核心开发者格雷戈里-麦克斯韦尔（Gregory Maxwell）提出，它使用施诺尔签名（Schnorr signatures），将复杂的交易压缩成更小、更高效的数据包。 这减少了存储在区块链上的信息量，提高了可扩展性，降低了交易费用。 通过 Taproot 升级，复杂的交易（如需要多个签名的交易）看起来就像标准的比特币转账。这就限制了公共区块链上暴露的数据量，使追踪交易变得更加困难。     转自安全客，原文链接：https://www.anquanke.com/post/id/300753 封面来源于网络，如有侵权请联系删除

安全内参9月12日消息，乌克兰国家安全局（SBU）拘留了一名当地居民，怀疑他在关键基础设施附近安装了监控摄像头，涉嫌帮助俄罗斯情报部门监控这些地点。 乌克兰安全局在周一的声明中指出，哈尔科夫市的一名居民通过社交媒体应用Telegram与俄罗斯军事情报局（GRU）取得联系，被后者招募，承诺可以轻松获取金钱报酬。 乌公民涉嫌为俄在敏感地区安装摄像头 据报道，乌克兰执法部门在首都基辅逮捕了这名涉嫌为俄罗斯从事间谍活动的嫌疑人。他在基辅租用了几处高层公寓，这些公寓俯瞰着当地的能源设施。 乌克兰安全局透露，这名嫌疑人利用这些公寓，安装了配备远程访问软件的视频摄像头，疑似帮助俄罗斯实时监控乌克兰的关键基础设施。 俄罗斯可能通过这些摄像头记录下来的画面，评估近期对基辅地区空袭的效果，并确定乌克兰防空系统的具体位置。 乌克兰国家安全局还表示，该嫌疑人在基辅设立了这些“监控点”后，以探望父母为借口返回哈尔科夫，但其真实目的则是为了在一条战略铁路线上纵火焚烧一个继电器柜。 安全部门强调，他们全程监控了这名嫌疑人的行动，最终在他位于基辅的一处租赁公寓中将其拘捕。当时，嫌疑人正准备安装新的闭路电视（CCTV）摄像头，以记录对基辅的空袭情况。 在搜查过程中，执法人员没收了他的手机和摄像设备，内含其为俄罗斯从事“情报和破坏活动”的相关证据。 该嫌疑人目前已被拘留，乌克兰安全局表示，他将面临终身监禁的处罚，并可能被没收全部财产。 摄像头已成为广泛使用的间谍工具 闭路电视摄像头已成为俄罗斯和乌克兰广泛用于间谍活动的工具。这些设备通常被安装在关键基础设施附近，或用于定位军队、防空系统及军事装备的位置。 今年8月，俄罗斯当局警告生活在面临乌克兰进攻风险地区的居民，要求他们停止使用监控摄像头，担心这些设备可能会被用作情报收集的工具。 根据俄罗斯内务部（MVD）的一份声明，乌克兰军队正在远程连接未经保护的闭路电视摄像头，“监控从私人庭院到具有战略意义的道路和公路的一切。” 今年1月，乌克兰安全官员曾表示，他们拆除了两台被俄罗斯黑客入侵、用于监视基辅防空部队和关键基础设施的在线摄像头。 这些摄像头原本安装在基辅的住宅楼上，最初用于居民监控周边区域和停车场。但在黑客入侵后，俄罗斯情报部门据称获得了远程访问权限，改变了摄像头的监控角度，并将其连接至YouTube，直播了敏感画面。 这些影像极有可能帮助俄罗斯在对乌克兰发动的一次大规模导弹袭击中，引导无人机和导弹精准打击基辅。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

8月15日，记者从北京市朝阳区人民法院获悉一起侵犯公民个人信息案，该案中，天某某非法获取上亿条公民个人信息，并利用境外软件提供给他人牟利。据了解，这些信息不仅包含个人的姓名、手机号、证件号以及交易信息，还包括车辆信息、用户密码等信息，部分信息较为敏感。因侵犯公民个人信息罪，天某某被判处有期徒刑五年，罚金100万元。法院审理查明，2022年4月至8月间，天某某伙同他人，通过爬取、交换、购买等方式获取大量公民个人信息后，利用境外聊天软件向他人有偿提供公民信息查询。经鉴定，在起获的天某某的电脑内，共存储上亿条信息记录，给不特定公民的人身、财产安全造成极大的风险和隐患。天某某还让张某担任聊天软件客服负责解答客户问题，让陈某某帮助存储、转发部分公民个人信息。 法院认为，被告人天某某、张某、陈某某违反国家有关规定，向他人出售或者提供公民个人信息，情节特别严重，三被告人的行为均已构成侵犯公民个人信息罪，依法均应予惩处。 三被告人均表示认罪认罚，因张某、陈某某系从犯，天某某、张某积极退缴违法所得，法院依法对天某某予以从轻处罚，对张某、陈某某予以减轻处罚。 最终，因侵犯公民个人信息罪，天某某被法院判处有期徒刑5年，罚金100万元；张某被判处有期徒刑1年8个月，缓刑2年，罚金3万元；陈某某被判处有期徒刑1年半，缓刑2年，罚金4万元。 一审判决后，被告人均未上诉，判决已生效。 庭后，本案主审法官表示，根据我国刑法第二百五十三条之一的规定，侵犯公民个人信息罪，指违反国家有关规定，向他人出售或者提供公民个人信息的行为，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。窃取或者以其他方法非法获取公民个人信息的，依照侵犯公民个人信息罪定罪处罚。 公民的个人信息受到刑法、个人信息保护法等法律法规的保护，违反规定向他人出售或者提供公民个人信息，不仅侵犯了公民的人身权利，还会进一步衍生电信网络诈骗等犯罪，给公民的人身权、财产权造成潜在的威胁，依法应受到法律的制裁。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/-dkIbXPtelPtTnLqgBf6mA 封面来源于网络，如有侵权请联系删除

据伊朗国际报道，伊朗中央银行（CBI）和该国其他几家银行的运营受到大规模网络攻击。此次攻击使该国银行的计算机系统瘫痪。 事件发生之际，国际社会对伊朗在中东行动的关注度不断加强，因为德黑兰宣布，除非加沙冲突停火，否则将对以色列发动袭击。情报专家还指责伊朗试图影响即将举行的美国总统大选。 据伊朗国际报道，这是迄今为止伊朗国家基础设施遭受的最大规模网络攻击之一。 周三早些时候，伊朗最高领袖阿亚图拉·阿里·哈梅内伊表示：“美国、英国和犹太复国主义者夸大敌人的能力，目的是在我们人民中散布恐惧。敌人的力量并不像宣传的那样强大。我们必须依靠自己。敌人的目标是通过心理战迫使我们在政治和经济上撤退，从而实现其目标。” “此次网络攻击发生之际，国际社会对伊朗在该地区的行为进行了更严格的监视，因为伊朗誓言要对本月早些时候暗杀哈马斯领导人伊斯梅尔·哈尼耶进行报复。英国、法国和德国领导人发表联合声明，警告伊朗‘将对任何针对以色列的袭击承担责任’，这可能会进一步加剧地区紧张局势，并危及停火和人质释放协议的努力。”以色列网站《以色列今日报》报道。 欧盟领导人呼吁伊朗及其盟友避免进一步袭击，以避免以色列与哈马斯之间的紧张局势再次升级。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/THzwhHJr8HLdc6VleMgoqw 封面来源于网络，如有侵权请联系删除