HackerNews 编译，转载请注明出处： 上周，俄罗斯彼尔姆市的停车支付系统遭网络攻击，导致服务中断，停车免费数天。目前该系统已恢复正常。 周一，该市当局证实停车支付系统现已全面恢复运行，所有支付方式均可正常使用。 据当地官员称，此次系统瘫痪是由大规模分布式拒绝服务（DDoS）攻击造成的，该攻击使该市的自动停车支付基础设施不堪重负。 近年来，这至少是俄罗斯城市停车系统遭遇的第三起此类事件。去年 1 月，克拉斯诺达尔的一家电信运营商遭到 DDoS 攻击，导致相关服务中断，司机无法支付停车费用。 2024 年 10 月，特维尔市的停车支付也因一场针对当地市政府网络的破坏性网络攻击而受到影响。 后来，乌克兰网络联盟（Ukrainian Cyber Alliance）宣称对特维尔市的攻击负责。这是一个亲乌克兰的黑客激进组织，自俄罗斯入侵乌克兰以来，一直对俄罗斯政府和企业系统发动攻击。 上周彼尔姆市的这起事件迫使当局暂停全市停车收费，司机无法通过官方应用程序和网站付费。 官员表示，在 3 月 10 日至 13 日系统瘫痪期间，未支付停车费的司机不会面临处罚。彼尔姆市的付费停车区通常在周末免费。 乌克兰网络联盟在 2024 年对特维尔市的攻击中称，他们已删除了该市行政部门的 “数十台虚拟机、备份存储、网站、电子邮件以及数百台工作站”。 目前尚不清楚彼尔姆市的这起事件是否与之前的攻击有关，也没有黑客组织宣称对此负责。 此次攻击是一系列影响俄罗斯服务的网络事件中的最新一起。今年 1 月初，俄罗斯弗拉基米尔地区一家主要面包生产商遭网络攻击，导致食品配送中断。 同月，一家为家庭、企业和车辆提供报警及安全系统的俄罗斯供应商遭受攻击，引发大范围服务中断，客户投诉不断。另有一起事件还影响了俄罗斯航空公司和机场使用的预订及登机系统。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰国家核研究中心（NCBJ）表示，其信息技术基础设施遭到黑客攻击，但在造成任何影响前就已被检测并拦截。 该机构本周在一份声明中宣布，其用于及早发现威胁的安全系统和内部流程，成功阻止了系统被入侵，并让信息技术人员迅速加固了受攻击目标。 波兰国家核研究中心称：“得益于安全系统与相关流程在此次事件中的快速高效运行，以及团队的迅速响应，攻击被成功挫败，系统完整性未受破坏。” 波兰国家核研究中心是该国主要的政府核科研机构，专注于核物理、反应堆技术、粒子物理和辐射应用领域，为波兰核电项目提供技术与科研支持。 该机构还运营着波兰唯一一座用于科研实验、中子研究及医用同位素生产的玛丽亚（MARIA）核反应堆，此反应堆不用于发电。 波兰国家核研究中心主任雅各布・库佩茨基教授表示，此次网络安全事件未影响玛丽亚反应堆的运行，反应堆仍以满功率安全稳定运转。 该机构已通报波兰相关部门并启动调查，同时内部安全团队已进入高度戒备状态，以应对任何新的威胁。 尽管该机构未将此次攻击归咎于任何特定黑客组织或国家，但路透社报道称，波兰当局发现伊朗可能是此次网络攻击的幕后方。不过调查人员仍持谨慎态度，因为这些迹象有可能是虚假旗标行动（故意嫁祸）。 本月早些时候，波兰国防部长弗拉迪斯拉夫・科希尼亚克 – 卡米什表示，波兰并未参与中东冲突。 今年 1 月有消息披露，波兰电网 —— 尤其是多个分布式能源资源站点、热电联产设施、风电与光伏调度系统 —— 曾遭到俄罗斯黑客组织 APT44（“沙虫”）的攻击。 2 月底，国际气候与环境研究中心（ICCT）的一份报告将波兰列为俄罗斯网络行动的重点目标之一：2025 年年中至 2026 年年初，已有31 起确认为俄罗斯方面发起的网络事件。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ANY.RUN 的分析师发现，利用微软 OAuth 设备授权授予流程的钓鱼活动数量急剧上升，仅一周内就检测到超过 180 个恶意 URL。 与传统的凭据窃取不同，该技术会将受害者引导至合法的微软身份验证页面，这使得安全运营中心（SOC）极难实时发现入侵行为。 OAuth 设备码流程最初是为输入受限设备设计的，例如智能电视、会议室系统这类难以展示完整浏览器登录页面的设备。攻击者将这一合法机制挪作他用，实施基于令牌的账号劫持，可完全绕过多因素认证（MFA）。 OAuth 设备码滥用攻击链路 攻击链路始于威胁行为者发起微软设备授权请求，生成两个值：user_code（展示给受害者的、人类可识别的短字符串），以及 device_code（仅由攻击者持有的内部会话令牌）。 沙箱中暴露的攻击链路 随后受害者会被引导至钓鱼页面，这类页面通常伪装成 DocuSign 的文档通知，要求受害者复制验证码，并前往 microsoft [.] com/devicelogin 页面完成输入。 带有验证码的伪造 DocuSign 页面 由于该目标地址是真实的微软域名，受害者不会发现任何异常，通常会正常完成 MFA 验证。通过输入验证码，受害者在不知情的情况下授权了攻击者发起的登录会话，攻击者随后即可获取有效的 OAuth 访问令牌和刷新令牌 —— 全程无需获取受害者的密码。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 阿尔巴尼亚议会周二晚间表示，其遭遇一场 “高级” 网络攻击，攻击目标为删除数据并攻陷多个内部系统。 议会在向当地媒体发布的声明中称，其核心系统与官方网站仍正常运行，但确认议会行政部门使用的内部电邮服务已被临时暂停。此次中断影响了收发双向通信。 当地媒体报道，攻击发生后数小时内，议会工作人员与议员无法访问电脑及电邮系统。 官方尚未公开将此次事件归因，但本周早些时候，名为 Homeland Justice 的黑客组织宣称对此负责，称已获取阿尔巴尼亚议员的内部通信内容。该组织还在其 Telegram 频道发布了据称是泄露文件的截图。 阿尔巴尼亚官方尚未公开证实黑客的说法，该国网络安全机构仍在调查此事。 安全研究人员与西方官员此前已将 Homeland Justice 组织与伊朗伊斯兰革命卫队（IRGC）关联。近年来，该组织宣称对阿尔巴尼亚境内一系列网络攻击负责，目标包括该国议会、国家航空公司、电信企业及国家统计局。 此次最新事件发生之际，阿尔巴尼亚安全担忧加剧。近期美以开始轰炸德黑兰后，伊朗对驻有美军基地的国家采取报复行动。 多起被归因于 “国土正义” 的网络行动，均与阿尔巴尼亚收容伊朗反对派组织 “伊朗人民圣战者组织”（MEK）成员有关。该组织总部位于阿尔巴尼亚沿海城市都拉斯。 “国土正义” 组织周二在 Telegram 发文称，此次最新网络攻击是对阿尔巴尼亚支持 MEK 的报复。 该声明发布前，MEK 领导人 Maryam Rajavi 近期宣布组建所谓 “临时政府”，称旨在以民主共和国取代伊朗现政权。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 来自 “PhantomRaven” 供应链攻击活动的新一轮攻击正在冲击 npm registry，数十个恶意包会从 JavaScript 开发者处窃取敏感数据。 该攻击活动最初由网络安全公司 Koi 的研究人员在 2025 年 10 月发现，他们表示该活动从 8 月就已开始运作，并在 npm 平台上发布了 126 个恶意包。 应用安全公司 Endor Labs 发现，在 2025 年 11 月至 2026 年 2 月期间，PhantomRaven 又出现了另外三轮攻击，并通过 50 个一次性账号分发了 88 个包。 在大多数情况下，威胁行为者使用 slopsquatting 模仿成熟项目，例如 Babel 和 GraphQL Codegen。他们发布的恶意包名称看起来像是由大语言模型（LLM）生成的。 根据 Endor Labs 的说法，81 个 PhantomRaven 恶意包目前仍存在于 npm registry 中。 PhantomRaven 使用一种名为 Remote Dynamic Dependencies（RDD）的检测规避技术，在元数据文件 package.json 中指定一个外部 URL 作为依赖。通过这种方式，威胁行为者无需在包中嵌入恶意代码，从而绕过自动化检测。 当不知情的开发者运行 npm install 时，包含恶意软件的依赖会自动从攻击者服务器下载并执行。 package.json 内容（来源：Endor Labs） 根据 Endor Labs 的研究，该恶意软件会从受感染机器上收集各种敏感信息，例如来自 .gitconfig、.npmrc 中的邮箱地址以及环境变量。 来自 GitHub、GitLab、Jenkins 和 CircleCI 平台的 CI/CD token 也成为攻击目标。 研究人员表示，该恶意软件还会采集系统信息，例如 IP、hostname、操作系统和 Node 版本，用于对设备进行指纹识别。 在最后阶段，恶意包将窃取的数据外传至攻击者的 C2 服务器。通常这一行为通过 HTTP GET 请求完成，但也会使用 HTTP POST 和 WebSocket 作为备用方式。 电子邮件地址收集功能（来源：Endor Labs） Endor Labs 注意到，在观察到的所有四轮 PhantomRaven 攻击活动中，基础设施保持一致：域名中包含单词 artifact，托管在 EC2 上，并且缺少 TLS 证书。 所有攻击浪潮中的 payload 也几乎完全相同，259 行代码中有 257 行保持不变。 不过，攻击者在运营方式上有所进化：轮换 npm 和邮箱账号、修改 npm 包元数据、更改 PHP endpoint。此外，他们在最近的攻击中发布频率更高，在 2 月 18 日一天就添加了四个包。 尽管技术并不复杂，但 PhantomRaven 攻击活动仍在持续，并依赖相同的技术、基础设施模式和 payload 结构。威胁行为者只需对域名、endpoint、npm 账号和依赖项名称进行最小程度的修改，就能维持攻击运作。 为防范此类威胁，建议开发者验证所用组件的合法性，仅使用来自可信发布者的包，并避免复制粘贴 AI 聊天机器人或未经审核来源的建议。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 UNC6426 的威胁行为者利用去年 nx npm 包遭供应链入侵后窃取的密钥，在 72 小时内完全攻破受害者的云环境。 攻击始于窃取开发者的 GitHub 令牌，威胁行为者随后利用该令牌未授权访问云环境并窃取数据。 谷歌在其《2026 年上半年云威胁展望报告》中表示：“威胁行为者 UNC6426 利用该访问权限滥用 GitHub 到 AWS 的 OpenID Connect（OIDC）信任关系，在云环境中创建新的管理员角色。他们滥用该角色从客户的亚马逊云服务（AWS）简单存储服务（S3）存储桶中窃取文件，并在生产云环境中执行数据破坏操作。” 针对 nx npm 包的供应链攻击发生在 2025 年 8 月，当时未知威胁行为者利用存在漏洞的 pull_request_target 工作流（此类攻击被称为 Pwn Request）获取高权限，访问包括 GITHUB_TOKEN 在内的敏感数据，并最终将木马化版本的包推送到 npm 仓库。 这些包被发现嵌入了 postinstall 脚本，该脚本启动名为 QUIETVAULT 的 JavaScript 凭据窃取工具，通过利用已安装在终端上的大语言模型（LLM）工具扫描系统敏感信息，窃取环境变量、系统信息和高价值令牌（包括 GitHub 个人访问令牌 PAT）。窃取的数据随后被上传到名为 /s1ngularity-repository-1 的公共 GitHub 仓库。 谷歌表示，受害组织的一名员工运行了使用 Nx Console 插件的代码编辑器应用，触发更新并导致 QUIETVAULT 执行。 据称，UNC6426 在初次入侵两天后，使用窃取的 PAT 在受害者 GitHub 环境中开展侦察活动，利用名为 Nord Stream 的合法开源工具从 CI/CD 环境中提取密钥，泄露 GitHub 服务账户凭据。 随后，攻击者利用该服务账户并使用工具的 –aws-role 参数为 Actions-CloudFormation 角色生成临时 AWS 安全令牌服务（STS）令牌，最终在受害者的 AWS 环境中获得立足点。 谷歌称：“被攻陷的 Github-Actions-CloudFormation 角色权限过度宽松。UNC6426 利用该权限部署新的 AWS 堆栈，具备 CAPABILITY_NAMED_IAM、CAPABILITY_IAM 能力。该堆栈唯一目的是创建新的 IAM 角色，并附加 arn:aws:iam::aws:policy/AdministratorAccess 策略。UNC6426 在不到 72 小时内从窃取的令牌提升至完整 AWS 管理员权限。” 凭借新的管理员角色，威胁行为者执行一系列操作，包括枚举并访问 S3 存储桶内对象、终止生产环境弹性计算云（EC2）和关系型数据库服务（RDS）实例、解密应用密钥。在最后阶段，受害者所有内部 GitHub 仓库被重命名为 /s1ngularity-repository-[随机字符] 并公开。 为应对此类威胁，建议使用可阻止 postinstall 脚本的包管理器或沙箱工具，对 CI/CD 服务账户和 OIDC 关联角色应用最小权限原则（PoLP），实施带短有效期和特定仓库权限的细粒度 PAT，移除创建管理员角色等高风险操作的长期权限，监控异常 IAM 行为，并实施强控制检测影子 AI 风险。 该事件是 Socket 所称的 AI 辅助供应链滥用案例，攻击执行被转移至已对开发者文件系统、凭据和认证工具拥有高权限的 AI 代理。 软件供应链安全公司表示：“恶意意图以自然语言提示表达，而非显式网络回调或硬编码端点，使传统检测方法复杂化。随着 AI 助手更深入集成到开发者工作流，攻击面也随之扩大。任何能够调用它们的工具都会继承其访问范围。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者正在利用 FortiGate 设备入侵网络，并窃取包含服务账户凭据和网络详情的配置数据。 SentinelOne 研究人员警告称，攻击者正在利用 FortiGate 设备中的漏洞或弱口令获取对企业网络的初始访问权限。一旦进入内部，他们会提取可能包含服务账户凭据和内部网络结构信息的配置文件。该攻击活动的目标行业似乎包括医疗、政府机构和托管服务提供商。 “2026 年初以来，SentinelOne 的数字取证与事件响应（DFIR）团队已经响应了多起 FortiGate 下一代防火墙（NGFW）设备被攻陷、从而在目标环境中建立立足点的事件。”SentinelOne 表示。“每起事件都在攻击的横向移动阶段被检测并阻止。” FortiGate 设备通常与 AD 和 LDAP 集成，支持角色映射和对网络警报的快速响应。威胁行为者通过针对 CVE-2025-59718 和 CVE-2025-59719 漏洞滥用此类访问权限，利用单点登录签名验证缺陷获得未授权的管理员访问权限。CVE-2026-24858 允许攻击者通过 FortiCloud 单点登录登录设备。一旦进入内部，他们就可以提取包含服务账户的配置文件，而其他攻击者则无需漏洞，直接利用弱口令入侵。 在 SentinelOne 分析的一起案例中，攻击者创建本地管理员账户、修改防火墙策略，并定期检查访问权限，之后提取包含加密 LDAP 服务账户凭据的配置文件。这些凭据被解密后用于向 Active Directory 进行身份验证，并注册恶意工作站，从而获得更深层次的网络访问权限。 在另一起事件中，攻击者创建管理员账户、部署 Pulseway 和 MeshAgent 远程管理与监控（RMM）工具，并使用 PowerShell 和 DLL 侧加载执行恶意软件。他们在云存储（谷歌云、AWS S3）上存放恶意载荷、创建任务维持持久化，并使用 PsExec 进行横向移动。 攻击者对主域控制器进行备份，获取 NTDS.dit 文件和 SYSTEM 注册表数据，压缩后上传到他们自己的服务器。事件被控制后，未发现账户被进一步滥用。 FortiGate 等下一代防火墙（NGFW）被广泛使用，因为它们将强大的网络安全与 Active Directory 集成等功能结合在一起。这使其成为攻击者的高价值目标，包括国家级间谍组织和以牟利为目的的犯罪分子。近期研究显示，即使是技术水平较低的攻击者现在也能更轻松地利用大语言模型（LLM）等 AI 工具利用这些设备，这些工具可提供网络漫游和提取敏感数据的指导。 机构应通过实施严格的管理控制、保持软件补丁更新、保留足够日志（至少 14–90 天）来保护下一代防火墙。日志应发送至 SIEM 系统，用于检测异常、跟踪未授权账户创建、监控配置访问、发现恶意软件或 C2 流量、保存证据，并实现自动化响应以快速消除威胁。 “机构应当认识到，FortiGate 及其他边界设备通常不允许在设备上安装安全软件，例如终端检测与响应（EDR）工具。保护此类设备的最佳防御方式是实施严格的管理员访问控制，并保持软件补丁更新以防止被利用。” 报告总结道。“此外，这两起调查都因 FortiGate 日志保留不足而受到影响。机构应确保在 FortiGate 等下一代防火墙设备上至少保留 14 天日志，尽可能保留 60–90 天会更好。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 UNC4899 的朝鲜籍威胁行为者被认为是 2025 年一起针对加密货币机构的复杂云环境入侵行动的幕后黑手，该行动窃取了价值数百万美元的加密货币。 此次活动以中等可信度归因于该国背景的攻击者，该组织还以代号 Jade Sleet、PUKCHONG、Slow Pisces 以及 TraderTraitor 被追踪。 “这起事件值得关注，因为它结合了社会工程、利用个人设备到企业设备的点对点（P2P）数据传输机制、工作流程，并最终转向云环境，使用云上生存（LOTC）技术。” 这家科技巨头在分享给《黑客新闻》的《2026 年上半年云威胁展望报告》中指出。 据称，攻击者在获得云环境访问权限后，滥用合法的 DevOps 工作流程窃取凭据、突破容器限制，并篡改 Cloud SQL 数据库，为窃取加密货币提供便利。 谷歌云表示，这条攻击链呈现出一种演进过程：从入侵开发者个人设备开始，到入侵其企业工作站，再跳转至云环境，对财务逻辑进行未授权修改。 一切始于威胁行为者使用社会工程手段，诱骗开发者下载一个压缩包文件，声称这是某个开源项目协作的一部分。随后，该开发者通过 AirDrop 将同一个文件传输到了公司设备上。 “受害者使用其 AI 辅助集成开发环境（IDE）与压缩包内容进行交互，最终执行了其中嵌入的恶意 Python 代码，该代码生成并执行了一个伪装成 Kubernetes 命令行工具的二进制程序。” 谷歌表示。 该二进制程序随后连接到攻击者控制的域名，并充当受害者企业设备的后门，使攻击者能够通过已认证会话和可用凭据跳转至谷歌云环境。此步骤之后是初始侦察阶段，旨在收集各类服务和项目的信息。 攻击进入下一阶段：攻击者发现了一台堡垒主机，并修改其多因素认证（MFA）策略属性以访问该机器，并执行更多侦察，包括浏览 Kubernetes 环境中的特定 Pod。 随后，UNC4899 采用云上生存（LotC）方式配置持久化机制：修改 Kubernetes 部署配置，使新建 Pod 时自动执行一条 bash 命令。该命令会下载一个后门。 威胁行为者执行的其他部分步骤如下： ·     修改与受害者 CI/CD 平台解决方案相关的 Kubernetes 资源，注入可将服务账号令牌显示在日志中的命令。 ·     攻击者获取高权限 CI/CD 服务账号令牌，从而提权并进行横向移动，专门针对处理网络策略和负载均衡的 Pod。 ·     利用窃取的服务账号令牌对以特权模式运行的敏感基础设施 Pod 进行认证，逃逸容器，并部署后门以实现持久访问。 ·     威胁行为者在将注意力转向负责管理客户信息（如用户身份、账户安全和加密货币钱包信息）的工作负载之前，又进行了一轮侦察。 ·     攻击者利用该工作负载提取了以不安全方式存储在 Pod 环境变量中的静态数据库凭据。 ·     随后滥用这些凭据通过 Cloud SQL Auth Proxy 访问生产数据库，并执行 SQL 命令修改用户账户，包括对多个高价值账户进行密码重置和 MFA 种子更新。 ·     攻击最终以使用被攻陷账户成功提取价值数百万美元的数字资产告终。 谷歌表示，该事件 “凸显了个人设备到企业设备的点对点数据传输方式及其他数据桥接、特权容器模式，以及云环境中机密信息不安全处理所带来的重大风险”。“企业应采取纵深防御策略：严格验证身份、限制端点上的数据传输、在云运行环境中实施严格隔离，以缩小入侵事件的影响范围。” 为应对此类威胁，建议企业实施上下文感知访问与抗钓鱼 MFA、确保仅部署受信任镜像、隔离被攻陷节点使其无法与外部主机建立连接、监控异常容器进程、采用健壮的机密信息管理、执行策略禁用或限制使用 AirDrop 或蓝牙进行点对点文件共享，以及禁止在企业设备上挂载未受管理的外部介质。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰情报机构周一发出警告称，俄罗斯国家背景黑客正在开展全球性攻击活动，试图攻破政府官员与军事人员的 Signal 和 WhatsApp 账号。 在一份公开的网络安全通告中，荷兰军事情报局（MIVD）与国内安全局（AIVD）表示，此次行动针对政要、公职人员及武装部队成员。 两家机构称，荷兰政府雇员的账号已成为被攻破的目标之一。他们警告称，该攻击活动还可能针对记者及其他俄罗斯政府感兴趣的人员。 此次警告发布前，西方情报机构已揭露多起针对北约各国政府、研究人员与国防承包商的俄罗斯间谍活动。 相关机构强调，这些攻击针对的是个人账号，并不意味着即时通讯平台本身遭到入侵。 Signal 与 WhatsApp 均使用 Signal 协议，这是一种端到端加密系统，被广泛认为是目前保护传输中消息内容最强的加密方式。但如果攻击者获取了用户设备或账号的访问权限，消息仍可被读取。 “并非 Signal 或 WhatsApp 整体遭到入侵，”AIVD 局长西蒙妮・斯密特（Simone Smit）在一份声明中表示，“被攻击的是个人用户账号。” 通告并未估计受害者数量，也未将此次活动归因于某个具体的俄罗斯情报机构或已知黑客组织。相关机构表示，此次行动并未利用技术漏洞，而是滥用应用中合法的安全功能，并依赖社会工程学实施攻击。 攻击者通常会伪装成客服账号，诱骗受害者提供登录通讯账号所需的验证码或 PIN 码。 黑客只需在正常注册流程中输入目标手机号，即可触发验证码发送。Signal 与 WhatsApp 会自动向注册时输入的任何号码发送验证码。 随后，攻击者伪装成客服人员，声称受害者必须提供验证码以保护或验证账号。一旦受害者提供验证码，攻击者即可在自己设备上输入并控制账号，从而读取消息、冒充受害者发送信息。 另一种攻击手段是诱骗用户扫描恶意二维码或点击链接，通过应用的 “关联设备” 功能将黑客设备与受害者账号绑定，使攻击者获取聊天记录与消息历史。 此次攻击活动延续了俄罗斯此前针对官员、记者及军事人员所用即时通讯平台的网络行动。 谷歌安全研究人员去年曾警告称，由于乌克兰军人、政客与记者广泛使用 Signal，该平台已成为俄罗斯间谍活动的频繁目标。 在其中一起案例中，俄罗斯军方黑客将从战场缴获设备上获取的 Signal 账号关联到自己系统，以进行进一步利用。 荷兰相关机构警告用户：切勿分享验证码，避免扫描陌生二维码，并无视声称来自 Signal 客服的消息。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员观察到，与伊朗相关的行为体针对以色列及海湾国家的网络摄像头发起攻击，此举很可能用于支持军事情报搜集与战损评估。 根据《Check Point 2026 年网络安全报告》，网络行动正越来越多地被用于支持军事活动与战损评估（BDA）。在以色列与伊朗紧张局势期间，Check Point 软件技术公司的研究人员观察到，针对以色列及海湾国家（包括阿联酋、卡塔尔、巴林、科威特，以及黎巴嫩和塞浦路斯）网络摄像头的攻击数量激增。这些活动被归因于与伊朗相关的行为体，攻击者依托 VPN 和 VPS 基础设施，对设备进行已知漏洞扫描。 “在持续冲突期间，我们发现自 2026 年 2 月 28 日起，针对两家制造商生产的网络摄像头的攻击活动加剧，攻击源头来自我们归因于伊朗威胁行为体的基础设施。 攻击范围覆盖以色列、卡塔尔、巴林、科威特、阿联酋和塞浦路斯 —— 这些国家同样遭遇了大量与伊朗相关的导弹袭击活动。3 月 1 日，我们还观察到针对黎巴嫩特定区域摄像头的攻击活动。”Check Point 软件技术公司表示。 “我们还在更早的 1 月 14 日至 15 日观察到针对以色列和卡塔尔摄像头的更具针对性的活动。这些日期恰逢伊朗临时关闭其领空期间，据报道，当时伊朗预计可能遭遇美国打击。” 研究人员认为，攻击者的目的是侦察与实时监控，以支持情报搜集和潜在军事打击目标锁定。 威胁行为者利用以下漏洞发起攻击： 专家表示，厂商已对上述所有漏洞发布补丁。 研究人员分析了与伊朗相关基础设施发起的、针对 CVE-2021-33044 和 CVE-2017-7921 漏洞的利用尝试。 2021 年 10 月，专家曾发出警告称，身份认证绕过漏洞（编号为 CVE-2021-33044 和 CVE-2021-33045）已出现概念验证（PoC）利用代码。远程攻击者可通过向存在漏洞的摄像头发送特制数据包来利用这两个漏洞。 自 2026 年初以来，以色列及多个中东国家境内针对网络摄像头的扫描活动激增，此类活动往往与地缘政治紧张局势同步发生，例如伊朗国内抗议活动、美国军方访问以色列，以及对可能发生打击行动的担忧。 类似模式也出现在 2025 年 6 月以色列与伊朗冲突期间，当时被攻陷的摄像头很可能被用于侦察与战损评估，其中包括一起在导弹袭击前控制以色列魏茨曼科学研究所附近摄像头的案例。 “其中一起最知名的案例是，伊朗使用弹道导弹袭击了以色列魏茨曼科学研究所，而据报道，袭击方在袭击发生前刚刚控制了正对该建筑的街道摄像头。” 报告总结道。 防御方应通过以下方式降低风险：取消摄像头的公网访问权限，将其部署在 VPN 或零信任网关之后；组织应修改默认密码，强制使用高强度独立凭证，并保持设备固件更新；摄像头应运行在隔离网段，并限制出站流量；安全团队还应监控重复登录失败、可疑远程访问与异常外连行为。 本周，美国网络安全与基础设施安全局（CISA）将海康威视多款产品的不当身份认证漏洞 CVE-2017-7921（CVSS 评分 9.8）加入其已知被利用漏洞目录（KEV）。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文