HackerNews 编译，转载请注明出处： 美国 CERT 协调中心（CERT/CC）披露了一个尚未修补的安全漏洞，影响 TOTOLINK EX200 无线中继器。该漏洞可让已远程通过身份验证的攻击者直接获得设备完整控制权。 漏洞编号 CVE-2025-65606（CVSS 评分暂缺），成因在于固件上传环节的错误处理逻辑缺陷：当触发特定错误时，设备会意外启动一个无需任何认证的 root 级 Telnet 服务。漏洞发现者 Leandro Kogan 已向 CERT/CC 报告此问题。 CERT/CC 指出：“已登录管理界面的攻击者可通过构造畸形固件包，令固件上传处理程序进入异常错误状态，从而在设备上启动无认证的 root Telnet 服务，获得完整系统权限。” 成功利用该漏洞的前提，是攻击者必须先取得 Web 管理界面的合法身份，才能使用固件上传功能。 CERT/CC 解释称，当固件上传模块解析到特定格式错误的固件文件时，会进入“异常错误状态”，随即以 root 权限拉起 Telnet 服务且不做任何身份校验。这条意料之外的远程管理通道可被用来劫持受影响设备，进而篡改配置、执行任意命令或植入持久化后门。 截至目前，TOTOLINK 尚未发布任何补丁，且该产品已处于停止维护状态。TOTOLINK 官网显示，EX200 最后一次固件更新停留在 2023 年 2 月。 在官方修复方案出炉前，CERT/CC 建议用户： 仅允许受信任网络访问管理界面 禁止未授权用户登录设备后台 持续监控异常活动 尽快更换为仍在支持列表的新型号设备 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。 漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。 官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。 MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。” MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 凤凰城大学披露，该校于今年夏季遭遇黑客未授权入侵系统事件，近 350 万人的信息因此泄露。 此次事件导致在校学生、往届校友、教职工及供应商的敏感个人信息与财务信息遭窃取。 凤凰城大学是一所总部位于亚利桑那州凤凰城的私立营利性院校，该校表示，此次信息泄露源于其甲骨文电子商务套件（Oracle E-Business Suite，简称 EBS）财务应用程序遭到攻击。 调查人员确认，黑客入侵行为发生在 2025 年 8 月 13 日至 22 日期间，但校方直至 11 月 21 日才检测到这一事件 —— 而在前一天，该校刚被克洛普（Clop）勒索软件团伙列入其数据泄露网站的攻击名单。 12 月初，凤凰城大学在其官网发布相关公告，其母公司凤凰教育伙伴公司则向美国证券交易委员会提交了一份 8-K 文件（上市公司重大事项报告）。 校方于本周一向缅因州总检察长办公室及受影响人员提交的通知函证实，此次事件的受害者共计3489274 人，其中包括 9131 名缅因州居民。 遭泄露的数据具体包含以下内容： 姓名及联系方式 出生日期 社保号码 银行账户号码及路由号码 凤凰城大学称，上述信息均被黑客非法访问，但同时指出，黑客获取的银行账户信息 “不具备实际使用权限”。 大规模系列攻击事件 据悉，此次攻击是克洛普勒索软件团伙发起的系列攻击的一部分。该团伙利用了甲骨文电子商务套件中一个编号为CVE-2025-61882的零日漏洞实施攻击。这一系列攻击于今年 10 月初被公开曝光，已波及多个行业的超 100 家机构。 “根据我们的数据统计，这是今年全球范围内波及人数第四多的勒索软件攻击事件。” 数据研究机构 Comparitech 的数据研究主管丽贝卡・穆迪表示。 “这一事件凸显出企业持续面临的勒索软件威胁 —— 这种威胁不仅源于针对企业自身系统的攻击，像甲骨文这类第三方平台遭遇攻击时，黑客往往能通过这一集中式入口，获取多家企业的访问权限及数据。” 尽管克洛普团伙已宣称对此次事件负责，但部分安全研究人员仍不愿将攻击方完全归咎于 FIN11 威胁组织。 经证实，同样因甲骨文电子商务套件漏洞遭攻击的美国高校还包括哈佛大学、宾夕法尼亚大学及达特茅斯学院。 值得注意的是，尽管此次事件波及范围甚广，但截至本文撰写时，攻击者虽已公布据称从其他受害者处窃取的大量文件，凤凰城大学的相关数据却未被公开泄露。 教育行业仍是攻击重灾区 凤凰城大学表示，将为受影响人员提供免费的身份信息保护服务，具体包括为期 12 个月的信用监控、身份盗用恢复协助、暗网监测，以及一份保额达 100 万美元的欺诈赔偿保险。 “我强烈建议所有受此次泄露事件影响的人员，充分利用校方提供的免费身份保护服务。” 隐私保护机构 Pixel Privacy 的消费者隐私维权专员克里斯・豪克说。 “这项服务能帮助他们及时察觉不法分子是否正利用泄露的数据实施恶意行为。” 安全领域负责人指出，此次事件暴露出高等教育行业普遍存在的系统性安全漏洞。 “这起信息泄露事件，凸显了我们在 2025 年全年观察到的一个令人担忧的趋势。” 网络安全公司 SOCRadar 的首席信息安全官恩萨尔・塞克尔解释道。 “像克洛普这样的威胁组织，持续将零日漏洞和大规模数据窃取攻击作为武器，针对大型集中式教育平台发起攻击。” 此次事件跻身 2025 年已披露的最严重教育行业信息泄露事件之列，同时也表明，高校作为海量个人及财务数据的存储库，对网络犯罪分子的吸引力有增无减。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PCPcat的新型恶意软件，通过针对性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小时内成功攻陷了 5.9 万余台服务器。 该恶意软件以 Next.js 部署环境为攻击目标，利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，实现无需身份验证的远程代码执行。攻击过程采用原型污染（prototype pollution）和命令注入（command injection）技术，在易受攻击的服务器上执行恶意命令。 这场攻击活动的成功率高达64.6%，在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序，每批次测试2,000个目标，每30至60分钟运行一次此类扫描。 该恶意软件通过位于新加坡的一个命令控制服务器进行操作，该服务器协调着三个主要端口上的活动。 666 端口：恶意载荷分发中心 888 端口：处理反向隧道连接 5656 端口：运行主控制服务器，负责分配攻击目标并收集窃取的数据 安全研究人员在对 Docker 蜜罐进行持续监控时，通过对 C2 服务器的侦察，发现了该攻击行动的完整基础设施。 Beelzebub 的安全分析师指出，恶意软件在启动完整攻击链前，会先通过一条简单命令测试目标服务器是否存在漏洞。 一旦发现易受攻击的服务器，PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件，并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。 窃取凭证后，恶意软件会尝试安装额外工具以维持长期控制，具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道，即便初始漏洞被修复，攻击者仍可保持访问权限。 漏洞利用机制与代码执行流程 攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷，该载荷通过操纵 JavaScript 原型链，将命令注入子进程执行函数。恶意载荷结构如下： 该载荷可强制服务器执行攻击者指定的任意命令，执行结果会通过特殊格式的重定向响应头返回，使恶意软件能在不引发即时警觉的情况下提取数据。 随后，PCPcat 会系统性搜索高价值文件，包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。 为实现持久化控制，恶意软件会创建多个系统服务，这些服务在被终止或服务器重启后会自动重启，持续运行代理工具和扫描工具，使受攻陷服务器始终处于僵尸网络中。 相关组件会安装在多个位置，确保至少有一个副本能在安全清理操作中幸存。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型 iOS 零日漏洞攻击链被证实与某雇佣军间谍软件相关联，该软件可对高风险目标用户的设备实施隐秘监听。 攻击者串联起多个此前未被发现的系统漏洞，目标用户只需在苹果浏览器（Safari）中点击一个链接，就能让间谍软件完整植入其苹果手机。 此次攻击主要针对公民社会人士与政治相关目标。这一事件也凸显出，资金雄厚的间谍软件供应商正不断将浏览器及系统内核漏洞武器化，用于开展长期秘密监听活动。 攻击始于一个一次性恶意链接，这类链接通常通过加密通讯软件发送。当目标用户在苹果浏览器中打开该链接时，浏览器会加载一款漏洞利用程序，该程序会触发一个远程代码执行漏洞，此漏洞后续被编号为 CVE – 2023 – 41993 并完成修复。 攻击的第一阶段会借助通用漏洞利用框架，实现对苹果浏览器渲染进程的任意读写操作，随后进一步获取苹果移动操作系统新版中的原生代码执行权限。自 2021 年起，多个监听技术供应商及国家背景黑客组织均复用该框架，可见可复用漏洞组件已形成活跃的地下交易市场。 苹果浏览器被攻破后，攻击进入威力更强的第二阶段。攻击者利用编号为 CVE – 2023 – 41991 与 CVE – 2023 – 41992 的两个内核漏洞，突破苹果浏览器的沙箱限制并提升操作权限。这一步操作会向名为 “猎物猎手”（PREYHUNTER）的第三阶段恶意负载开放内核内存的读写权限。 “猎物猎手” 包含 “辅助模块” 和 “监控模块” 两大组件。前者可完成受害设备校验、躲避安全分析等操作；后者能执行早期监听任务，比如进行网络电话录音、记录键盘输入、拍摄摄像头画面等，且执行这些操作时会隐藏相关通知，避免被用户察觉。 感染过程与 “猎物猎手” 的运行机制 其套接字的简化配置代码如下： 以下为攻击链中涉及的漏洞详情表： 漏洞编号 漏洞类型 涉及组件 / 开发商 在攻击链中的作用 造成后果 CVE – 2023 – 41993 远程代码执行漏洞 苹果浏览器 / 苹果移动操作系统 初步攻破浏览器 获取浏览器进程的代码执行权限 CVE – 2023 – 41992 沙箱突破 + 本地权限提升漏洞 系统内核 / 苹果移动操作系统 突破苹果浏览器沙箱限制 获取系统级代码执行权限 CVE – 2023 – 41991 本地权限提升漏洞 系统内核 / 苹果移动操作系统 提升内核权限并实现持久化驻留 支持间谍软件对内核进行读写操作 这种精心设计的分阶段攻击模式，再加上攻击者获取的内核级操作权限，足以看出当前漏洞开发者、非法中间商与间谍软件运营者已形成成熟的黑色产业链。他们相互勾结，让针对苹果移动设备的监听攻击既能隐秘实施，又能长期持续。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的 Cl0p 勒索软件犯罪集团宣称已获取多家企业的数据，英国国家医疗服务体系（NHS）、马自达（Mazda）、马自达美国分公司（Mazda USA）及佳能（Canon）近期被纳入该集团不断扩大的受害者名单。 这些企业名称被公布在 Cl0p 的暗网泄密网站上 —— 该平台是犯罪集团向受害者施压以索取赎金的主要工具。 NHS 发言人回应称，机构已获悉相关指控，目前正展开调查。 “NHS 已知悉自身被 Cl0p 网络犯罪集团的网站列为网络攻击受害者。我们正与国家网络安全中心（National Cyber Security Centre）及当地 NHS 机构密切合作推进调查，包括对该集团公布的数据进行评估与核实，”NHS 官方表示。 与此同时，Cybernews 研究团队已对攻击者为佐证其说法而公布的数据样本展开分析。尽管声称来自 NHS 的数据集规模达数百 GB，但团队仅对部分信息进行了核查。 研究人员指出，至少部分文件包含患者名单及个人身份信息（PII），涵盖姓名、诊断记录、保险信息等内容。从理论上讲，攻击者可利用这些数据实施身份盗窃、社会工程学诈骗及医疗欺诈等行为。 “由于此次数据泄露规模庞大，难以全面评估其影响。但这可能导致相关患者面临极高的身份信息泄露、欺诈及定向诈骗风险 —— 尤其是保险资格类别与居住信息结合后，可能会泄露个人社会经济状况，” 研究团队解释道。 医疗健康信息对网络犯罪分子极具价值，因其能开辟多种新的攻击途径。此外，医疗信息敏感度极高，且与信用卡或密码不同，无法随时间推移进行更换。 值得注意的是，Cl0p 并未公布佳能、马自达及马自达美国分公司的任何数据样本。这大概率是因为三家企业仍处于被勒索阶段 —— 勒索软件集团通常会先公开受害者名称施加预警压力，威胁若不满足赎金要求将泄露窃取的数据。 目前尚不清楚 Cl0p 如何入侵这些受害者，但极有可能是通过利用甲骨文 E-Business Suite（EBS）系统中的一个高危零日漏洞获取数据。 数月来，Cl0p 一直处于攻击狂潮中，持续上传通过该 EBS 漏洞入侵的新受害者信息 —— 甲骨文公司自身也被列入该集团的暗网论坛。许多机构在 8 月才发现自身遭入侵，部分是在收到该集团通过邮件发送的勒索信后得知。 甲骨文于 10 月 2 日首次披露了这一 Cl0p 漏洞利用行为，而谷歌研究人员早在 7 月就已监测到相关活动。此外，甲骨文在首次公告数日后发布的首个紧急补丁未能修复漏洞，不得不于 10 月 11 日推出第二个高危补丁，导致客户在此期间暴露于安全风险中。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周五，科技制造商罗技向美国证券交易委员会提交文件，证实遭遇一起利涉及零日漏洞的网络安全事件。该公司表示，调查发现黑客“利用某第三方软件平台的漏洞，从内部IT系统复制了特定数据”。 罗技表示，他们已在软件平台供应商发布补丁后立即修复该零日漏洞。“受影响数据可能包含有限的员工与消费者信息，以及客户和供应商相关数据，但未涉及国民身份证号或信用卡信息等敏感个人信息。” 公司同时称此次攻击未影响其产品、业务运营或制造体系，预计不会造成财务影响，相关成本将由网络安全保险承担。 此次文件提交距网络犯罪组织Clop宣称通过甲骨文 E-Business Suite工具中的零日漏洞窃取罗技信息已过去一周。 虽然罗技发言人拒绝证实该事件是否涉及Clop组织或甲骨文漏洞，但谷歌等安全公司的报告显示，黑客确实利用了甲骨文电子商务套件中的多个漏洞，其中至少一个零日漏洞已于9月被列入联邦观察名单。 Clop组织最初于10月宣称通过该应用窃取了敏感信息。 甲骨文方面虽承认黑客利用漏洞发起攻击，但最初称这些漏洞已在7月更新中修复。 FBI助理局长布雷特·莱瑟曼曾强调，其中某个漏洞属于“立即停工修复”级别的重大安全隐患。 随着事件发酵，多家机构相继确认数据遭窃，包括美国地区航空公司GoJet、SkyWest等。《华盛顿邮报》上周向监管机构报告称，近万人在此次事件中信息泄露。自宣称对甲骨文电子商务套件零日漏洞利用负责以来，Clop已在泄密网站列出数十家受害机构。 据悉，Clop近年来通过利用Progress、Accellion和GoAnywhere等知名文件传输工具中的漏洞，已非法获利数亿美元。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三星 Galaxy 安卓设备中一个现已修复的安全漏洞，曾被作为零日漏洞利用，在中东地区的针对性攻击中投放了一款名为 LANDFALL 的 “商业级” 安卓间谍软件。 帕洛阿尔托网络公司 Unit 42 团队透露，此次攻击利用的是 CVE-2025-21042 漏洞（CVSS 评分：8.8）。这是 “libimagecodec.quram.so” 组件中存在的越界写入漏洞，远程攻击者可借此执行任意代码。三星已于 2025 年 4 月修复该问题。 “在野外攻击报告出现后，三星于 2025 年 4 月修复了该漏洞，但在此之前，它已被实际用于野外攻击，”Unit 42 表示。根据 VirusTotal 的提交数据，这一被标记为 CL-UNK-1054 的攻击活动，潜在目标位于伊拉克、伊朗、土耳其和摩洛哥。 值得一提的是，三星曾在 2025 年 9 月披露，同一库中的另一个漏洞（CVE-2025-21043，CVSS 评分：8.8）也曾被作为零日漏洞用于野外攻击。目前尚无证据表明该漏洞被用于 LANDFALL 间谍软件攻击活动。 攻击传播方式与时间线 经评估，攻击者通过 WhatsApp 发送 DNG（数字负片）格式的恶意图片实施攻击。证据显示，LANDFALL 样本最早可追溯至 2024 年 7 月 23 日，相关 DNG 文件的命名痕迹包括 “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” 和 “IMG-20240723-WA0000.jpg” 等。 帕洛阿尔托网络公司 Unit 42 高级首席研究员伊泰・科恩向《黑客新闻》透露，2024 年 7 月的样本与 2025 年 2 月的样本相比，未发现明显功能变化。 LANDFALL 间谍软件功能与攻击目标 LANDFALL 安装执行后，将作为一款全面的间谍工具，能够窃取敏感数据，包括麦克风录音、地理位置、照片、联系人、短信、文件和通话记录。 尽管 Unit 42 表示，该漏洞利用链可能采用了零点击攻击方式，无需用户交互即可触发 CVE-2025-21042 漏洞利用，但目前尚无迹象表明这种情况实际发生，也没有证据显示 WhatsApp 存在支持该假设的未知安全问题。 这款安卓间谍软件专门针对三星 Galaxy S22、S23、S24 系列设备，以及 Z Fold 4 和 Z Flip 4 机型 —— 涵盖了这家韩国电子巨头的部分旗舰设备，但不包括最新一代产品。 相关漏洞与技术细节 值得注意的是，同期 WhatsApp 披露，其 iOS 和 macOS 版应用存在一个漏洞（CVE-2025-55177，CVSS 评分：5.4）。该漏洞与苹果 iOS、iPadOS 和 macOS 系统中的 CVE-2025-43300 漏洞（CVSS 评分：8.8）被串联利用，在一场精密攻击中针对了不到 200 名用户。苹果和 WhatsApp 已随后修复这些漏洞。 Unit 42 对已发现的 DNG 文件分析显示，这些文件末尾附加了一个嵌入式 ZIP 文件。攻击者通过漏洞利用从压缩包中提取共享对象库，进而运行间谍软件。压缩包中还包含另一个共享对象，其设计用途是操控设备的 SELinux 策略，为 LANDFALL 赋予高级权限并助力其持久化运行。 加载 LANDFALL 的共享对象还会通过 HTTPS 与命令控制（C2）服务器通信，进入信标循环并接收未指明的后续阶段有效载荷，以备后续执行。 “目前，我们无法分享 C2 服务器发送的后续阶段有效载荷细节，” 科恩表示，“但可以确认的是，LANDFALL 是一个模块化间谍软件框架 —— 我们分析的加载器明显是为了从 C2 基础设施获取并执行额外组件而设计。这些后续阶段可能会扩展其监控和持久化能力，但在我们获取的样本中并未找到相关组件。” 攻击发起者与活动现状 目前尚不清楚该间谍软件及攻击活动的幕后主使。不过 Unit 42 指出，LANDFALL 的 C2 基础设施和域名注册模式与 Stealth Falcon（又称 FruityArmor）组织的特征相符，但截至 2025 年 10 月，尚未发现两者存在直接关联。 研究结果表明，LANDFALL 的投放可能是一场更广泛的 DNG 漏洞利用浪潮的一部分 —— 上述漏洞利用链也曾针对 iPhone 设备发起攻击。这一发现也凸显出，精密漏洞利用代码可能在公共代码库中隐藏很长时间，直到被全面分析前都未被察觉。 “我们认为这个特定漏洞已不再被使用，因为三星已于 2025 年 4 月修复，” 科恩说，“但直到 8 月和 9 月，仍观察到影响三星和 iOS 设备的相关漏洞利用链，这表明类似攻击活动直到最近仍在活跃。部分可能与 LANDFALL 相关的基础设施仍处于在线状态，这可能意味着攻击者仍在进行相关活动或后续行动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文