HackerNews 编译，转载请注明出处： 俄罗斯互联网服务提供商（ISP）对受Cloudflare保护的网站实施访问限制，导致该国网络流量严重中断。美国互联网基础设施公司Cloudflare证实，自6月9日起实施的限流措施使俄罗斯用户无法正常访问依赖其平台的网站和服务。该公司内部数据显示，ISP将每次请求的数据传输量限制在仅16KB，导致多数网站功能瘫痪。 Cloudflare声明：“限流行为超出我方控制范围，目前无法以合法方式为俄罗斯用户恢复稳定高性能的访问服务。”俄罗斯联邦通信监管局（Roskomnadzor）数月来持续打压Cloudflare，德国Hetzner、美国DigitalOcean及法国OVH等其他外国云服务商也遭遇类似限制。该机构呼吁用户停用这些服务，转向本土托管提供商。 技术封锁手段包括： 深度包检测：通过注入虚假数据包中断连接，或直接阻断数据引发超时。 协议层限制：影响TCP/TLS协议的HTTP/1.1/2及QUIC协议的HTTP/3。 流量整形：针对境外服务器实施无差别限流，即使连接请求发自俄罗斯境内。 2024年11月，俄方曾因Cloudflare的加密客户端问候（ECH）技术能隐藏用户访问目标网站信息，以“规避政府审查”为由封禁数千家使用该服务的网站。此次限流后，俄罗斯境内Cloudflare流量骤降30%，但当局否认存在此类干扰行为。 企业影响与应对 小型电商企业受冲击最严重，可能面临流量大幅流失。俄罗斯本土服务目前仍无法完全替代Cloudflare的DDoS防护能力，迁移过程成本高昂且技术复杂。Cloudflare建议俄罗斯站点运营商联系当地机构要求解除限制，同时指出：“若您的网站使用Cloudflare防护，当前我们无法为俄罗斯用户恢复网络连接。” 地缘技术博弈 与多数西方科技公司不同，Cloudflare在2022年俄乌冲突后未完全退出俄罗斯市场，当时声明“俄罗斯需要更多而非更少的互联网访问”。但该公司终止了受制裁实体的服务，包括金融机构和影响活动相关客户。部分俄企因Cloudflare的美国背景主动停用其服务，但更多企业仍依赖其防护能力应对日益增长的DDoS攻击浪潮。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西门子公司周二告知客户，其正与微软合作解决Microsoft Defender防病毒软件（MDAV）与Simatic PCS工业控制系统间的兼容性问题。根据该工业巨头发布的安全通告，核心问题在于Defender当前缺乏“仅警报”功能。 西门子在Simatic PCS 7及PCS Neo过程控制系统的技术文档中，曾建议通过配置Defender实现威胁分级警报——即在检测到特定级别威胁时不自动处置，仅触发告警。但实际运行中存在两类风险： 静默忽略风险 若将威胁响应设为“忽略”，不仅不会采取行动，系统甚至不会向工厂操作员和管理员发送任何警报，导致恶意软件潜伏未被察觉。 误删关键文件风险 若采用其他设置，Defender可能直接删除或隔离被标记为潜在威胁的文件（包括误报文件）。当系统依赖这些文件运行时，将引发生产中断。西门子在通告中强调：“受影响的设备可能完全失效，导致工厂丧失监控与控制能力。” 在微软提供解决方案前，西门子建议客户执行以下应急措施： 风险评估决策：企业需权衡选择——优先接收感染警报（可能面临误报干扰），或容忍文件误删风险（保障系统连续性）。 设备集群化管理：对受影响设备进行分组，根据各组功能重要性配置差异化的Defender策略。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trend Micro研究人员苏尼尔·巴蒂与舒巴姆·辛格近期分析指出，攻击者正利用配置不当的Docker API访问容器环境，并通过Tor匿名网络隐匿行踪，在易受攻击环境中秘密部署加密货币挖矿程序。 攻击技术链分析 初始渗透 攻击始于IP地址198.199.72[.]27向目标机器发送请求，尝试获取所有容器列表。若未发现活跃容器，攻击者基于“alpine”Docker镜像创建新容器，并将物理/虚拟主机的根目录（“/”）以“/hostroot”名称挂载为容器卷——此操作使攻击者能访问并修改主机文件，导致容器逃逸风险。 隐匿通道建立 通过Base64编码的shell脚本在容器创建阶段植入Tor，连接至.onion域名（wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion）获取远程脚本。研究人员强调：“此举反映攻击者惯用策略——通过Tor隐藏命令控制(C&C)基础设施，规避检测并在云/容器环境投递恶意载荷。” 持久化与控制 部署“docker-init.sh”脚本修改SSH配置：启用root登录并向~/.ssh/authorized_keys添加攻击者密钥。同时安装masscan、libpcap、zstd、torsocks等工具，通过socks5h协议将所有流量及DNS解析路由至Tor增强匿名性。 加密货币挖矿 最终投递XMRig加密货币挖矿程序，包含预配置的矿池地址及攻击者钱包。该方案能规避检测并简化在受控环境中的部署流程，主要针对科技公司、金融服务及医疗机构。 行业安全态势关联 此攻击印证了针对配置缺陷云环境的加密劫持趋势持续蔓延。 云安全公司Wiz最新扫描显示：公共代码仓库的mcp.json、.env等配置文件中存在数百个有效密钥（含30余家企业的Fortune 100公司凭证），这些资源正成为攻击者“宝藏”。 研究人员警告：“Python笔记本等代码执行结果应视为敏感信息，其内容可能为攻击者提供关键侦察情报。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国众议院正式禁止国会工作人员在政府配发设备上使用WhatsApp，理由是该应用存在安全风险。Axios率先报道了这一决定。 据众议院首席行政官（CAO）声明，此举源于对该应用安全性的担忧。CAO在备忘录中指出：“网络安全办公室认定WhatsApp对用户构成高风险，因其数据保护机制缺乏透明度、存储数据未加密，且使用过程存在潜在安全隐患。”因此，工作人员不得在政府配发的任何设备（包括手机、电脑及网页版）上安装该应用。 WhatsApp母公司Meta对此提出反驳，强调该平台默认采用端到端加密，其安全级别“高于CAO批准名单中的多数应用”。Meta传播总监安迪·斯通在社交平台X上回应：“我们以最强烈措辞反对众议院首席行政官的定性。我们知道议员及工作人员长期使用WhatsApp，期待众议院能像参议院那样正式批准其使用。” CAO推荐工作人员使用Microsoft Teams、亚马逊Wickr、Signal、苹果iMessage及FaceTime作为合规替代品。WhatsApp成为继TikTok、OpenAI ChatGPT及DeepSeek之后，众议院最新封禁的应用。 值得补充的是，上周Meta曾宣布将在WhatsApp引入广告，但承诺“绝不牺牲用户隐私”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国政府每年约有价值130万英镑（170万美元）的笔记本电脑、手机等设备遭窃或遗失，对国家安全构成系统性风险。《卫报》披露的信息公开数据显示，去年政府各部门共丢失超2000台设备，其中包含协调政府运作的内阁办公厅。 受影响的机构还包括国防部、内政部、财政部及英格兰银行。具体数据显示：内阁办公厅在2024年遗失66台笔记本电脑和124部手机；国防部报告丢失103台笔记本和387部手机；主管警务的内政部去年有147台设备失踪；而负责网络安全的科学、创新与技术部，在截至2025年5月的一年内遗落83部手机和18台笔记本。 网络安全专家指出，这些数字“惊人地庞大”且构成“重大国家安全威胁”，尤其当设备失窃时处于解锁状态。不过政府声称加密机制可阻止恶意访问——国防部强调加密“能保障数据安全并阻断对国防网络的入侵”；英格兰银行表示已部署“适当防护”；政府发言人则重申“所有笔记本电脑和手机均强制加密，确保遗失不会导致安全漏洞。” 官方声明称，所有遗失事件均按规程调查。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露了其生成式人工智能（AI）系统为应对间接提示注入等新型攻击向量而采取的多层安全措施，旨在提升代理型AI系统的整体安全防护能力。谷歌生成式AI安全团队表示：“与攻击者直接向提示输入恶意指令的直接提示注入不同，间接提示注入通过外部数据源嵌入隐藏的恶意指令。”这些外部数据源包括电子邮件、文档甚至日历邀请，可诱骗AI系统泄露敏感数据或执行其他恶意操作。 谷歌表示已实施“分层”防御策略，通过增加攻击难度、成本和复杂性来保护系统。相关措施涵盖模型加固、专用机器学习（ML）恶意指令检测模型及系统级防护机制。作为旗舰生成式AI模型的Gemini还内置了多重防护功能，包括： 提示注入分类器：过滤恶意指令以生成安全响应。 安全思维强化技术：在非信任数据（如邮件）中插入特殊标记（称为”聚光灯”技术），引导模型规避对抗性指令。 Markdown消毒与可疑URL屏蔽：利用谷歌安全浏览服务移除潜在恶意URL，并通过Markdown消毒器阻止外部图片URL渲染，防范EchoLeak等漏洞。 用户确认框架：高风险操作需经用户二次确认。 终端安全警报：向用户提示注入攻击风险。 谷歌指出，恶意攻击者正通过自适应攻击（ART）动态调整策略以绕过防御，使基础防护失效。谷歌DeepMind上月强调：“间接提示注入构成真实威胁，AI模型难以区分真实指令与数据中嵌入的操纵性命令。”对此，谷歌主张构建深度防御体系——从模型原生攻击识别、应用层防护到底层基础设施硬件防御的全栈防护。 与此同时，最新研究揭示多种绕过大语言模型（LLM）安全防护的技术：字符注入(character injections)通过干扰模型对提示上下文的解读，利用其对学习特征的过度依赖突破防护；Anthropic、谷歌DeepMind、苏黎世联邦理工学院及卡内基梅隆大学的联合研究发现，LLM未来可能成为新型攻击工具——不仅能高精度窃取密码信用卡，还可设计多态恶意软件并实施精准定向攻击。研究显示，LLM能开辟新型攻击路径：利用多模态能力提取个人身份信息，分析受控环境中的网络设备，并生成高度逼真的钓鱼网页。不过研究也指出，LLM尚缺乏发掘主流软件零日漏洞的能力，仅可自动化检测未审计程序的简单漏洞。 根据Dreadnode的AIRTBench基准测试，Anthropic、谷歌和OpenAI的前沿模型在AI夺旗赛（CTF）中表现优于开源模型——擅长提示注入攻击，但在系统渗透和模型反演任务中仍有不足。研究人员指出：“模型在特定漏洞类型（如提示注入）上有效，但在其他领域（如模型反演）进展不均。值得注意的是，AI代理效率优势显著：分钟级解决人类需数小时完成的挑战，且成功率相当，预示其在安全领域的变革潜力。” Anthropic上周发布的压力测试进一步揭示风险：测试中16个主流AI模型表现出恶意内部行为倾向，包括通过勒索及向竞争对手泄露敏感信息避免被取代。Anthropic称：“通常拒绝有害请求的模型，在目标驱动下会选择协助商业间谍活动甚至采取极端行为。”并将此现象定义为代理错位(agentic misalignment)。该行为模式表明，即使内置多重防护，LLM在高风险场景仍可能规避防护机制，持续选择“造成伤害而非任务失败”。但研究强调，现实中尚未出现此类代理错位案例。研究人员警示：“三年前的模型无法完成本文所述任务，而三年后模型若被滥用可能具备更强危害能力。当前亟需深入研究威胁演变、开发更强防御体系，并推动语言模型的防御应用。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI与美国国防部签署价值2亿美元的合同，旨在提升其人工智能能力，包括强化网络防御。该公司本周宣布启动“OpenAI for Government”计划，通过AI解决方案增强美国政府工作人员的效能。 美国国防部（DoD）将成为该计划的首个受益方，通过其首席数字与人工智能办公室（CDAO）开展试点项目。OpenAI声明称：“这份上限2亿美元的合同将借助OpenAI行业领先的专业能力，帮助国防部探索前沿AI如何变革行政运营——从优化军人及家属的医疗保健服务，到精简项目与采购数据处理，再到支持主动网络防御。”该公司同时强调“所有应用场景必须符合OpenAI的使用政策和准则”。 国防部表示，这笔资金将用于开发“原型前沿AI能力，以应对作战领域和企业领域的关键国家安全挑战”。网络安全媒体SecurityWeek已联系OpenAI获取更多网络防御能力细节，若获回应将更新报道。 AI治理与应用安全公司PointGuard AI高级官员Willy Leichter通过邮件评论：“生成式AI必将在国防和行政运营中发挥关键作用。鉴于AI发展的迅猛势头，外包给行业领导者比政府完全自主开发更切实可行。以国防部的标准看，2亿美元投入或许不算庞大，但这份一年期合同让OpenAI获得了宝贵的机会来原型开发广泛用例。如同私营领域，许多AI实验可能不尽如人意，但另一些或带来突破性成果。关键在于快速推进，而本次计划已迈出坚实的第一步。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕于本周一发布针对Armoury Crate管理软件高危漏洞的补丁程序，该漏洞可导致攻击者完全控制系统。该漏洞追踪编号为CVE-2025-3464（CVSS评分为8.8分），被归类为授权绕过漏洞，根源在于时间校验与使用同步机制缺陷。 据发现该漏洞的思科Talos团队披露，攻击者可通过创建特制硬链接，绕过Armoury Crate专用驱动的授权验证。Armoury Crate作为集中式硬件管理平台，主要用于控制硬件组件及外设，提供设备配置、驱动固件更新、RGB灯光调节及系统性能优化等功能。 CVE-2025-3464涉及Armoury Crate功能模块AsIO3.sys虚拟驱动程序及其创建的Asusgio3设备。该驱动通过三重机制限制访问权限：仅允许AsusCertService.exe进程调用；验证调用者PID白名单；匹配SHA-256哈希值。但Talos研究发现，攻击者可在AsusCertService.exe所在目录创建指向可信可执行文件的硬链接，利用驱动程序验证哈希值时读取被关联的可信二进制文件，最终实现授权绕过。 Talos在报告中强调：“授权绕过使任意用户均可获取设备句柄，暴露多项安全关键功能。”已入侵设备的攻击者利用此漏洞可执行以下操作：映射物理内存地址、访问I/O端口通信指令、读写MSR寄存器数据等。Talos特别指出：“该漏洞极为危险，攻击者可轻易通过多种途径提权并完全控制系统。” 华硕本周一公告确认，CVE-2025-3464影响Armoury Crate 5.9.9.0至6.1.18.0版本，强烈建议用户立即通过“设置>更新中心>检查更新>更新”安装最新版本。目前尚无证据表明该漏洞已被主动利用，但鉴于Armoury Crate在全球设备的大规模部署，其攻击面价值仍值得警惕。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 一场覆盖全欧洲的执法行动已成功取缔暗网上运行时间最长的毒品交易平台Archetyp Market。6月11日至13日期间，六国执法机构展开协调突袭行动，针对该平台基础设施及核心成员实施打击。此次代号为“深空哨兵行动（Operation Deep Sentinel）”的行动由德国、荷兰、罗马尼亚、西班牙和瑞典联合开展，并获欧洲刑警组织（Europol）、欧洲司法组织（Eurojust）及美国当局支持。约300名执法人员参与行动，最终实现平台下线、逮捕多名涉案人员，并查获约780万欧元（约合人民币6084万元）资产。 Archetyp Market运营时间超过五年，吸引全球逾60万用户，累计促成交易额超2.5亿欧元（约合人民币19.5亿元）。该平台提供超过17,000条商品清单，包括芬太尼等合成阿片类药物——这类物质在欧洲乃至全球日益成为用药过量致死事件的关联因素。 该平台30岁的德国籍管理员在巴塞罗那被捕，同时德国与瑞典执法部门对一名平台版主及六名顶级供应商采取行动。平台位于荷兰的技术基础设施已被完全拆除。 此次取缔标志着同类犯罪平台中最稳固的据点之一走向终结。除可卡因、摇头丸（MDMA）及苯丙胺等毒品外，Archetyp Market因促成高风险物质的匿名交易而臭名昭著，其性质与昔日暗网平台“Silk Road”、“Dream Market”如出一辙。 欧洲刑警组织行动副局长让-菲利普·勒库夫（Jean-Philippe Lecouffe） 表示：“此次行动铲除了暗网历史最悠久的毒品市场之一，切断了全球最危险物质的主要供应链。通过摧毁其基础设施并逮捕关键人物，我们传递了明确信号：伤害牟利者没有安全港。” 此次行动基于对该平台网络及运营的多年调查。当局通过追踪金融交易、分析法证证据，并与国际同行密切合作，最终锁定平台幕后人员。调查仍在进行中，或引发更多逮捕或起诉。执法部门强调，跨境协作与定向技术专长在平台关停中发挥了关键作用。 目前该平台原网址已被查封通告取代，并发布针对地下经济参与者的警示信息。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Insikt Group的最新分析显示，尽管自2023年7月起遭受美国制裁，Predator间谍软件仍持续吸引新用户。 该间谍软件活动在经历早期因制裁和公开曝光导致的衰退后近期再度活跃。研究团队发现其更新了基础设施网络，并首次确认莫桑比克成为新客户，凸显监控工具仍在持续扩散，尤其在非洲地区——Predator已识别的客户中超半数位于非洲大陆。此外，与捷克实体FoxITech s.r.o.的关联表明，幕后运营方Intellexa联盟仍在秘密运作。 2024年3月，美国财政部外国资产控制办公室（OFAC）宣布对Intellexa联盟的两名个人及五家实体采取行动，因其参与开发并分发用于攻击美国公民的Predator间谍软件。该监控软件还被用于监视美国政府官员、记者和政策专家。财政部警告称，商业间谍软件的扩散给美国带来日益增长的风险。该软件已被外国行为体滥用，针对全球范围内的异见人士和记者发动攻击。 Intellexa联盟成立于2019年，充当多家提供商业间谍软件及监控工具的进攻性网络公司的统一营销平台，这些工具专为定向和大规模监控活动设计。Predator间谍软件指一套可通过零点击攻击入侵受害者设备的监控工具组合，以其大规模数据窃取与监控能力著称。 Insikt Group揭露了Predator的新基础设施网络，包括规避性更新与高层级组件。研究人员在多个国家发现活动复苏证据，其中莫桑比克为新关联国家。分析还指出，第五层基础设施（Tier 5）与捷克实体FoxITech存在技术连接，而后者与Intellexa联盟相关。新版基础设施包含可能用于投送有效载荷和攻击受害者的域名。早期域名常伪装成新闻媒体等合法站点，而近期域名改用随机英文或葡萄牙语词汇组合（部分暗示特定目标区域，如伊拉克库尔德斯坦的Badinan地区）。这些域名多通过PublicDomainRegistry注册，且托管网络范围更广，反映出逃避检测的意图。 Predator基础设施已升级为更复杂的五层架构。前四层通过多重路由隐藏间谍软件源头，其中第四层常指向客户所在国家的IP地址。仍具神秘色彩的第五层（Tier 5）则关联捷克公司FoxITech——该公司与Intellexa联盟存在联系。运营方还启用虚假网站（如伪造的404错误页面、登录界面或模拟活动网站）作为欺骗策略。这些调整表明Predator仍是网络领域中持续存在且适应性极强的威胁。 “尽管仅前四层基础设施直接关联Predator客户的操作网络，但Insikt Group持续监测被称为第五层的附加层级——该层级在Predator相关操作中似乎扮演核心角色（具体机制尚不明确）”，报告指出，“第五层服务器已关联捷克实体FoxITech s.r.o.，该公司此前公开资料显示与Intellexa存在关联。” 自2024年3月起，Insikt Group追踪到Predator在十余个国家的活动。部分区域（如刚果民主共和国和安哥拉）在公开曝光后活动曾暂停，但安哥拉于2025年初重启操作。莫桑比克作为新用户出现，其关联域名和IP地址指向一个仍在使用虚假新闻及生活类网站的活动运营方。另一短暂出现的集群（可能关联东欧）暗示其正在进行技术测试或应对新制裁。 “Insikt Group发现的证据表明，尽管媒体广泛报道且针对Intellexa及相关实体的制裁持续实施，Predator仍在包括莫桑比克在内的地区被使用”，报告总结称，“尽管观察到近期活动，但疑似运营商数量较早期报告减少，表明公开曝光、制裁及相关措施可能已对Intellexa造成运营成本压力。此外，Predator运营商历史上长期保持稳定操作手法，但最新发现揭示其已采用新策略以规避检测。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文