HackerNews 编译，转载请注明出处： 挪威警察安全局（PST）表示，亲俄黑客于今年4月控制了一座大坝的关键操作系统并开启泄洪阀门。此次攻击被视为俄罗斯远程入侵挪威关键基础设施的能力展示。 PST局长贝娅特·甘加斯在阿伦达尔市举行的年度国民论坛上指出，黑客意图“并非主要制造破坏，而是展示其攻击能力”。她强调：“这类行动旨在施加影响力，在民众中制造恐惧或动荡”，并称俄罗斯的威胁性正持续加剧。 据报道，黑客入侵了布雷芒格大坝的水流数字控制系统，将泄洪阀门设置为全开状态。大坝运营方耗时约四小时才发现并修正恶意设置，此时已泄洪超过720万升（190万加仑）。 挪威国家刑事调查局（Kripos）6月根据黑客活动分子在Telegram发布的视频确认了攻击事实。视频展示了大坝控制面板界面，并带有亲俄黑客组织的水印标识。此类行为通常与APT44（沙虫）等国家支持的黑客组织相关，通过夸大攻击影响制造恐慌，并对受侵机构实施公开羞辱。 这是俄罗斯势力第二次被指控攻击挪威实体，此前曾对该国政府服务发动分布式拒绝服务（DDoS）攻击。挪威情报总监尼尔斯·安德烈亚斯·斯滕瑟斯表示，尽管挪威未与俄罗斯开战，但普京总统正通过对整个西方实施“混合攻击”维持紧张态势，并称俄罗斯是挪威当前面临“最不可预测且最严峻的威胁”。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据加拿大广播公司报道，黑客利用近期微软漏洞入侵加拿大国会下议院并窃取数据。威胁行为者通过新披露的微软安全漏洞侵入加拿大国会下议院系统。 国会下议院及加拿大网络安全机构正在调查这起重大数据泄露事件，该事件针对雇员信息。国会下议院本周一通过内部邮件向员工通报信息泄露事件，称恶意攻击者利用近期微软漏洞非法访问了用于管理计算机及移动设备的数据库。 入侵者获取的数据库包含雇员姓名、职位、办公地点、电子邮箱，以及国会配发的计算机与移动设备信息。加拿大通信安全机构已获悉此事并协助调查，目前攻击者身份尚未确认。该机构将“威胁行为者”定义为任何意图非法访问或破坏数据、设备及网络的恶意人员。 加拿大通信安全机构最新报告指出，俄罗斯和伊朗日益将加拿大作为攻击目标，但本次事件归因尚未明确。攻击发生于上周五，泄露数据可能被用于诈骗或身份冒用。 此次入侵可能与近期被利用的微软SharePoint零日漏洞（编号CVE-2025-53770）相关，但具体漏洞细节未公开。工作人员及议员被要求警惕诈骗行为，官方未对攻击者进行归因。 微软七月曾警告，该SharePoint本地服务器漏洞（CVSS评分9.8）存在未经验证数据的反序列化风险，未经授权的攻击者可利用其在网络上执行代码。越南军信安公司通过趋势科技零日计划报告此漏洞。微软确认“CVE-2025-53770漏洞的利用代码已在野出现”，正在测试完整修复补丁，建议用户立即实施缓解措施。 加拿大面临来自犯罪集团和国家行为体的网络威胁持续增长，过去两年事件激增。国家级攻击者愈发猖獗，牟利型罪犯则利用非法工具及人工智能技术。 近期针对加拿大关键基础设施的攻击频发： 2025年4月：电力公司新斯科舍电力及母公司Emera遭攻击导致IT系统中断 2025年6月：西捷航空遭攻击影响内部系统及应用程序 2023年9月：加拿大航空员工个人信息因网络攻击泄露 2023年6月：森科能源遭袭导致加拿大石油加油站支付系统瘫痪       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员在支撑现代互联网的核心协议HTTP/2中发现新型高危漏洞。攻击者可通过控制僵尸网络发送无限量请求耗尽服务器资源，发动前所未有的DDoS攻击。 黑客获得了一种轻松瘫痪网络服务器的新手段。特拉维夫大学安全团队发现重大协议缺陷，允许攻击者用无限请求淹没服务器，最终导致服务崩溃。该漏洞被命名为“MadeYouReset”，因其基于2023年发现的“Rapid Reset”漏洞——后者曾引发史上最大规模DDoS攻击。 据发现者、特拉维夫大学计算机科学硕士生盖尔·巴尔·纳胡姆称，新漏洞能绕过常规防护机制。该高危漏洞编号为CVE-2025-8671，严重性评级达7.5（满分10分）。漏洞描述指出：“攻击者通过建立数据流后立即发送畸形帧或触发流量控制错误，诱使服务器主动重置流。尽管后端仍在处理请求，协议层却判定流已关闭。这使得单个连接上可存在无限并发流，最终耗尽服务器资源。” 漏洞利用原理：HTTP/2协议内置的并发保护机制（MAX_CONCURRENT_STREAMS参数）通常限制单客户端开启100个流。但协议同时提供请求取消功能（RST_STREAM帧），被取消的请求不计入限额。攻击者曾利用“Rapid Reset”漏洞通过快速取消请求实施DDoS攻击。 纳胡姆解释：“理论上，取消流应指令服务器停止处理请求。但现实中，多数服务器实现方案仅在响应计算完成后终止发送，未能及时释放资源。”此前缓解措施通过限制客户端RST_STREAM帧发送数量来防御。 （较旧的RapidReset攻击。图片由Gal Bar Nahum提供。） “MadeYouReset”漏洞创新性地迫使服务器代劳取消操作：攻击者发送非法控制帧或精准违反协议时序，诱使服务器主动发送RST_STREAM帧。“我们能让服务器为已接收的合法请求发送重置帧。根据RFC规范，存在六类可触发此行为的操作原语，因此所有合规实现均受影响。”纳胡姆表示。这意味着攻击者无需发送RST_STREAM帧即可突破限制，在后台持续处理旧请求时开启新请求。 （新的MadeYouReset漏洞。图片由Gal Bar Nahum提供。） 多数受影响服务器面临双重资源耗尽风险。研究人员指出：“高性能服务器或可抵御小规模攻击，但由于请求发送与响应计算存在资源消耗不对称性，加之攻击者可轻易创建无限请求，绝大多数服务器将遭遇完全拒绝服务，其中大量还会触发内存崩溃。” 修复进展：目前多数HTTP/2服务器仍存在风险，Netty、Jetty和Apache Tomcat等主流系统均受影响。研究人员已提前向监管机构和供应商披露漏洞，多家厂商正发布补丁： SUSE为企业级Linux发行版更新多个上游项目修复方案 网页加速器Varnish Cache为5.x至7.7.1版本提供安全更新，建议无法升级者暂时禁用HTTP/2 CDN服务商Fastly于6月2日前完成全网修复，客户无需操作 Java网络框架Netty发布专版4.2.4.Final解决该漏洞 Apache Tomcat两周前通过代码提交修复，但红帽公司警告称尚无符合其稳定性标准的缓解方案       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本月上旬，针对Fortinet SSL VPN的暴力破解攻击出现大规模激增，随后攻击目标转向FortiManager，这种有预谋的转向在历史上往往预示着新漏洞即将被披露。 威胁监测平台GreyNoise检测到此次攻击活动呈现两波高峰：8月3日的攻击针对FortiOS SSL VPN设备，而8月5日的第二波攻击则转向FortiManager服务，且具有不同的TCP流量特征。该平台指出，此类针对性扫描与暴力破解行为在80%的情况下会先于新安全漏洞曝光出现。 “最新研究表明，此类活动激增通常预示着同一厂商的新漏洞即将披露——其中80%会在六周内公开，”GreyNoise警告称，“事实上，监测数据明确显示，当前攻击流量特征与未来Fortinet产品漏洞披露存在显著关联。”因此，防御者不应将这些活动激增视为对已修复漏洞的无效攻击尝试，而应将其视为零日漏洞披露的前兆，并立即强化安全措施予以拦截。 攻击活动时间线 8月3日：GreyNoise监测到针对Fortinet SSL VPN的暴力破解尝试激增，该活动与早前持续攻击存在关联。通过JA4+指纹分析（一种加密流量识别分类技术），研究人员将此次攻击与6月的活动相关联——当时攻击源自住宅ISP提供商Pilot Fiber公司IP段内的一台FortiGate设备。“这种关联虽不能确认攻击来源，但表明攻击工具或网络环境可能存在复用。”GreyNoise在公告中说明。 8月5日：同一攻击者发起新一波暴力破解活动，目标从FortiOS SSL VPN端点转向FortiManager的FGFM服务。“8月3日的流量针对FortiOS配置文件，而8月5日起携带特定TCP与客户端签名（元特征）的流量不再攻击FortiOS，转而持续针对我们的FortiManager系统，”研究人员解释道。这一转变表明攻击者可能使用相同工具或基础设施，从VPN登录破解转向FortiManager访问破解。 恶意IP地址清单 以下参与攻击的IP地址应加入拦截名单： 31.206.51.194 23.120.100.230 96.67.212.83 104.129.137.162 118.97.151.34 180.254.147.16 20.207.197.237 180.254.155.227 185.77.225.174 45.227.254.113 防御建议 GreyNoise强调该恶意活动正持续进化，其攻击源集群极可能进行自适应测试。这类行为不同于通常范围更广、频率有限的研究性扫描，因其涉及凭证暴力破解，已构成明确的入侵企图。防御方需采取以下措施： 立即拦截上述IP地址 强化Fortinet设备登录防护 严格限制外部访问权限，仅允许受信IP范围及VPN接入       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州总检察长办公室向居民发出警告：因遭受网络攻击，其电子邮件和电话线路已陷入瘫痪。该机构于周一下午发布声明称正在调查事件原因并努力恢复服务。截至周三上午，其官方网站仍无法访问。 总检察长戴夫·桑迪在社交媒体表示：“这是非常令人沮丧的状况，但所有人都在全力以赴。我感谢信息技术团队的专业精神和奉献精神，他们正全天候工作以解决问题。通过与执法伙伴协作，我们将竭力恢复系统。无论遇到何种阻碍，保护宾夕法尼亚州民众的工作不会停止。”声明强调，尽管遭受攻击，检察官们仍在持续推进案件处理。桑迪于去年秋季胜选后，今年1月正式就任该职。 此次警告发布前一个月，知名网络安全专家凯文·博蒙特公开表示，他在全网扫描暴露的Citrix NetScaler设备时，发现两台与宾州总检察长办公室关联的设备存在CVE-2025-5777漏洞（俗称CitrixBleed 2）及其他相关缺陷。Citrix NetScaler设备用于保障网站与应用的高效访问，其网关功能支持员工远程接入企业内网。 自CVE-2025-5777及编号为CVE-2025-5349、CVE-2025-6543的漏洞上月曝光以来，相关设备已遭大规模攻击。博蒙特提供的证据显示，这两台暴露在互联网的漏洞设备后被移出网络。总检察长办公室虽向媒体提供了临时联系邮箱，但未回应关于攻击是否通过NetScaler设备发起的质询。博蒙特指出，涉事设备在过去一周半内陆续下线。 本周一，荷兰国家网络安全中心发布紧急警报，称黑客仍在持续针对Citrix NetScaler产品发起攻击，并已通过相关漏洞成功入侵荷兰多家关键基础设施机构。两周前，荷兰官员证实该国公共检察署（职能相当于美国司法部）受此波攻击影响，加勒比地区多个仍与荷兰关联的岛国法院系统也遭波及。 美国司法系统持续面临多重网络威胁。据《纽约时报》周二报道，俄罗斯被怀疑是联邦法院文件系统遭入侵事件的幕后黑手。今年早些时候，弗吉尼亚州总检察长办公室二月遭遇未公开细节的网络攻击；克利夫兰市法院因网络安全事件关闭数日；华盛顿州法院系统亦于2024年11月报告数据泄露。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一种名为Charon的新型勒索软件家族正被用于攻击中东公共部门和航空业。据趋势科技分析，攻击者展现出与高级持续性威胁（APT）组织相似的技术特征，包括DLL侧载、进程注入以及逃避端点检测与响应（EDR）软件的能力。 此次攻击使用的DLL侧载技术与涉中APT组织Earth Baxia的历史手法高度相似——该组织曾利用OSGeo GeoServer GeoTools漏洞（现已修复）针对台湾及亚太地区政府目标投递后门程序EAGLEDOOR。具体攻击链以合法浏览器文件Edge.exe（原名cookie_exporter.exe）为入口，通过侧载恶意msedge.dll（代号SWORDLDR）最终部署Charon勒索软件有效载荷。 与其他勒索软件类似，Charon具备破坏性功能：终止安全相关服务及运行进程，删除卷影副本和备份以降低恢复可能性；采用多线程与部分加密技术提升文件锁定效率；并内置基于开源Dark-Kill项目的驱动程序，可通过“自带易受攻击驱动程序（BYOVD）”攻击禁用EDR方案——但该功能在此次攻击中未被触发，表明其可能处于开发阶段。 区别于传统勒索活动，攻击者使用定制化勒索信明确提及受害组织名称，证实此为针对性攻击。目前初始入侵途径尚未明确。尽管存在技术重叠（特别是通过相同二进制文件配合DLL部署加密shellcode的工具链），趋势科技强调三种可能：Earth Baxia直接参与、蓄意模仿的假旗行动，或独立开发类似技术的新威胁组织。由于缺乏共享基础设施或一致攻击模式等确凿证据，当前仅能认定此次攻击与Earth Baxia存在“有限但显著的技术趋同”。 该事件印证勒索软件运营商正积极采用APT级技术，将复杂规避手段与勒索加密的直接业务影响结合，形成更高风险。研究人员警告：“这种APT战术与勒索软件操作的融合，通过结合精密规避技术和即时业务中断的加密手段，显著提升了组织风险”。同期曝光的Interlock勒索软件活动同样采用多阶段攻击链（涉及PowerShell脚本、PHP/NodeJS/C后门），凸显监测可疑进程活动的重要性。 行业现状数据显示：过去12个月内57%的组织遭遇过勒索软件攻击，其中71%的邮件系统被入侵组织最终遭勒索；32%的受害者支付赎金，但仅41%成功恢复全部数据。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球人力资源巨头万宝盛华（Manpower）正通知近14.5万名用户，其个人信息在2024年12月的系统入侵事件中被盗。该公司与Experis、Talent Solutions同属万宝盛华集团（ManpowerGroup），该集团在全球拥有逾2700个办事处、60万名员工，服务超过10万家客户，2024年营收达179亿美元。 根据缅因州总检察长办公室收到的数据泄露报告，万宝盛华确认黑客在2024年12月29日至2025年1月12日期间非法访问其网络，可能导致包含个人信息的文件被盗。公司于1月20日调查密歇根州兰辛办事处IT系统中断时发现异常，并于7月28日最终确认受影响用户名单并发出通知。 事件发生后，万宝盛华已强化IT安全防护体系，并与美国联邦调查局（FBI）合作追查攻击者。受影响用户可获得由Equifax提供的免费信用监控及身份盗窃保护服务。 尽管公司未明确归因攻击者，但勒索软件组织RansomHub早在1月便宣称对此次攻击负责。该组织声称窃取约500GB数据，内容涵盖客户数据库（含护照扫描件、身份证、社保号、地址及测试结果）、多年企业信函、财务报表、人力资源分析数据以及机密合同与保密协议等。值得注意的是，RansomHub的暗网泄露站点目前已移除万宝盛华条目，暗示公司可能已支付赎金以避免数据公开。 RansomHub（前身为Cyclops和Knight）自2024年2月活跃以来，已攻击包括哈里伯顿、来德爱连锁药店、川崎欧洲分部、佳士得拍卖行、Frontier Communications电信公司、非营利组织Planned Parenthood及博洛尼亚足球俱乐部在内的多个知名组织。该组织还曾泄露美国医疗保健巨头Change Healthcare的数据（影响超1.9亿人），并被FBI证实截至2024年8月已入侵美国200余家关键基础设施机构。 截至发稿，万宝盛华发言人尚未就事件细节置评。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰国家网络安全中心（NCSC-NL）警告称，攻击者正利用近期曝光的Citrix NetScaler ADC高危漏洞CVE-2025-6543入侵该国组织。该漏洞CVSS评分为9.2分，当设备配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，可引发非预期控制流及拒绝服务（DoS）。 监测显示，荷兰多家关键机构已遭利用此漏洞的攻击。调查发现攻击者自2025年5月初（即漏洞公开前近两个月）就已将其作为零日漏洞利用，并通过清除痕迹掩盖入侵行为。7月16日发现的攻击活动中，黑客在Citrix设备上植入恶意WebShell以获取远程控制权限。 漏洞修复与缓解措施 Citrix已于6月下旬发布安全更新，受影响版本包括： NetScaler ADC与Gateway 14.1早于14.1-47.46的版本 13.1早于13.1-59.19的版本 13.1-FIPS及NDcPP早于13.1-37.236-FIPS的版本 升级后需执行以下命令终止会话： kill icaconnection -all kill pcoipConnection -all kill aaa session -all kill rdp connection -all clear lb persistentSessions 威胁关联与响应建议 NCSC-NL判定攻击者具备高度技术能力。该漏洞与另一高危漏洞CVE-2025-5777（CVSS 9.3分）均被列入美国CISA已知漏洞目录。机构建议： 立即扫描NetScaler系统目录中非常规.php扩展名文件 核查新增账户权限，重点关注特权提升异常 通过NCSC-NL提供的脚本检测入侵痕迹 荷兰当局强调，未及时修补的系统可能面临持续勒索软件攻击及数据泄露风险，特别是医疗、金融等关键基础设施领域。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大票务及在线图书零售商Yes24表示，在勒索攻击导致其网站和移动应用中断数小时后，服务已恢复。这是该公司不到两个月内第二次遭遇此类事件。 此次中断始于当地时间凌晨4点30分左右，导致用户无法预订演唱会门票、访问电子书及使用社区论坛。Yes24称已将系统离线以防止进一步破坏，并依靠备份数据在7小时内恢复运营。公司未透露攻击者信息，也未说明是否收到赎金要求。 中断引发韩国乐队DAY6粉丝的恐慌，该乐队“The Decade”巡演门票原定于当晚8点开售。作为演唱会独家票务合作伙伴，Yes24在服务恢复后如期重启售票。 今年初夏该公司已遭勒索软件重创。6月的攻击曾迫使Yes24服务中断约五天，影响了朴宝剑、ENHYPEN、ATEEZ及说唱歌手B.I等高人气演出的票务销售，并导致多场韩国偶像预售及粉丝活动延期。韩国互联网振兴院（KISA）当时指出，该公司缺乏异地备份系统导致恢复进度缓慢。 6月事件后，Yes24承诺将“彻查安全体系”、聘请外部顾问团队、强化网络安全预算并全面升级系统。但当地媒体和用户本周批评其管理层未能阻止二次攻击，且在最新事件中提供的信息更新有限。 Yes24早有安全前科。据当地媒体报道，该公司2016年及2020年曾因违反韩国《个人信息保护法》遭处罚，2022年更有青少年黑客从其系统中窃取143万条电子书解密密钥。 票务平台因存储海量个人数据、处理高额交易，且面临快速恢复运营以避免影响重大活动的压力，成为网络犯罪分子的理想目标。在美国，StubHub和Ticketmaster等平台曾遭类似攻击，包括泰勒·斯威夫特“时代巡演”售票期间；法国巴黎圣日耳曼足球俱乐部的票务系统去年亦遭遇攻击。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据荷兰当局通报，威胁行为者通过非法入侵第三方实验室窃取了超过48.5万名宫颈癌筛查参与者的数据。该事件发生于鹿特丹附近赖斯韦克的临床诊断实验室NMDL（隶属Eurofins Scientific集团），入侵时间为7月3日至6日。但据荷兰人群筛查协会（BDO）昨日声明，该实验室直至8月6日才向当局报告事件。 被盗数据包含参与者姓名、地址、出生日期、公民服务号（BSN）、检测结果及医疗提供商名称，部分受害者邮箱与电话也遭泄露。BDO已暂停该实验室服务并启动独立安全审查，筛查项目将转由其他实验室处理样本。协会警告泄露数据可能被用于后续欺诈，受影响民众正陆续收到官方通知。 “我们对此深感震惊，理解参与者的不安情绪。宫颈癌筛查本身已令人焦虑，如今还面临个人数据泄露风险。”BDO主席埃尔扎·登赫托格致歉时表示。当地媒体报道称黑客可能窃取近三年所有实验室患者的医疗数据，总量高达300GB，远超最初预估。 安全公司Forescout副总裁里克·弗格森指出，该事件暴露了供应链薄弱环节的连锁风险：“攻击者专攻未被监管的盲区。若无法看见资产，就无从实施防护与管控。这并非加快补丁或增购安防产品能解决，关键在于建立基于全面可见性与控制力的安全体系。” 关联背景补充 涉事实验室母公司Eurofins Scientific 近一个月内三次遭勒索组织NOVA攻击，其医疗业务系统安全性受质疑 荷兰数据泄露报告规 要求企业在72小时内通报，延迟通报可能面临高额罚款（参考Booking.com因延迟22天通报被罚47.5万欧元案例）       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文