HackerNews 编译，转载请注明出处： 研究人员发现Windows Server 2025存在权限提升漏洞，攻击者可借此攻陷Active Directory（AD）中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出：“该攻击利用Windows Server 2025新增的委托托管服务账户（dMSA）功能，在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。” 这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档，dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时，原账户密码认证会被阻断，请求将重定向至本地安全机构（LSA）使用dMSA认证，后者自动继承原账户在AD中的所有访问权限。 Akamai发现的关键问题在于：dMSA的Kerberos认证阶段，密钥分发中心（KDC）签发的票据授予凭证（TGT）中嵌入的特权属性证书（PAC）会同时包含dMSA自身的安全标识符（SID）、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程，可让KDC误判合法权限继承，进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。 Gordon解释：“攻击过程无需对被替代账户拥有任何权限，仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后，KDC就会自动授予该dMSA与原用户完全相同的权限。” Akamai已于2025年4月1日向微软提交漏洞细节，微软将其评估为中等严重性，认为成功利用需攻击者已具备对dMSA对象的特定权限，故暂不发布紧急补丁。目前该公司正在开发修复程序。 鉴于漏洞暂无官方修复方案，建议企业采取以下措施： 限制创建dMSA账户的权限，特别是检查各组织单元（OU）的非默认主体权限。 部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。 加强AD对象属性修改行为的日志监控，重点关注事件ID 5136等关键日志项。 该漏洞的特殊性在于：即使攻击者仅拥有普通用户常见的CreateChild权限，也可通过操纵dMSA属性接管域内任意账户，其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示，dMSA功能设计初衷是帮助企业安全迁移遗留服务账户，但此次研究表明新安全功能本身可能成为攻击突破口。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟宣布新一轮制裁，针对与俄罗斯混合战争（涵盖虚假信息传播、破坏活动及间谍行动）相关的个人与实体。此次制裁覆盖俄罗斯军事情报总局（GRU）成员、社交媒体操控者及关键技术支持企业（如网络托管服务商与GPS干扰设备制造商），旨在应对俄乌冲突以来升级的混合威胁。欧盟外交政策高级代表约瑟普·博雷利强调：“俄罗斯战争持续越久，我们的回应将越强硬。” 制裁名单包括总部位于布拉格的亲俄媒体“欧洲之声”（Voice of Europe），该机构通过网站及Facebook、YouTube等平台实施“事实扭曲与媒体操纵”。调查显示，其资金源自与克里姆林宫关系密切的乌克兰政商寡头维克托·梅德韦丘克，该团伙曾干预2024年欧洲议会选举，资助亲俄候选人。捷克当局声称已于2023年捣毁该网络。此外，非洲倡议通讯社（African Initiative）及其负责人维克托·卢科文科因在非洲多国传播亲俄叙事被列入制裁。 英国网络托管商Stark Industries及其两名摩尔多瓦籍运营者因支持大规模网络攻击与虚假信息活动（如俄方主导的“Doppelgänger”行动）被制裁。该公司服务器被俄罗斯黑客组织及网络犯罪团伙频繁用于攻击基础设施。同时，俄罗斯联邦无线电频率中心（GRFC）及其负责人因批准在加里宁格勒部署新型GPS干扰设备，导致波罗的海国家民航系统频发信号故障，被纳入制裁范围。 欧盟对参与GPS干扰设备研发的俄罗斯军工企业及个人实施资产冻结与旅行禁令。GRFC电子战中心近期配备可大范围阻断通信的先进干扰系统，并在加里宁格勒开展演习。罗马尼亚与波兰总统选举前均监测到俄方虚假信息活动激增，欧洲多国纵火破坏事件也被认为与俄方特工有关。 被制裁实体与个人在欧盟境内的资产将被冻结，欧盟公民及企业禁止与其进行资金往来，相关人员同时被禁止入境（含过境）。此轮制裁是欧盟继2024年3月打击俄网络间谍网络后的又一次行动，反映其对混合威胁的持续高压态势。近期，爱沙尼亚、立陶宛等国报告俄方加强海底光缆侦察活动，欧盟正协同北约强化关键基础设施防护。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州电信运营商Cellcom确认，过去一周的语音与短信服务中断系网络攻击所致。该事件影响威斯康星州及密歇根上半岛地区用户，目前部分服务已逐步恢复。公司首席执行官布里吉德·里尔登在致客户信中表示：“尽管遭遇不幸，但我们对此类事件并非毫无准备，现有应急预案正在执行中。” Cellcom已向执法部门通报攻击事件，并与外部网络安全专家合作推进调查与系统修复。公司强调攻击仅影响不存储客户敏感数据的网络分区，暂未发现用户姓名、地址、财务信息等隐私外泄迹象。虽然部分服务已恢复，但全面运营可能需至本周末，具体时间表尚未明确。 里尔登在声明中透露，团队于前夜取得重大修复进展，预计本周内完成剩余服务恢复，但承诺“不会因追求速度而牺牲安全性与可信度”。此次攻击导致用户长达七日无法使用基础通信功能，社交媒体涌现大量投诉——有客户反映错过医疗预约、工作面试等重要事务。尽管公司承诺不涉及数据泄露，但拒绝提供账户迁移所需信息，加剧用户不满情绪。威斯康星州公共服务委员会正评估运营商是否违反紧急服务保障条例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全博客KrebsOnSecurity近期遭遇峰值达6.3太比特/秒（Tbps）的分布式拒绝服务（DDoS）攻击，创下Google防御系统处理流量的新纪录。该博客由美国知名安全调查记者Brian Krebs运营，受Google免费反DDoS服务Project Shield保护，尽管攻击仅持续45秒，未造成服务中断，但暴露出物联网僵尸网络Aisuru的恐怖威力。 此次攻击由自2024年活跃的Aisuru僵尸网络发起，该网络通过Telegram以每周数百美元价格提供DDoS租用服务。攻击流量包含每秒5.85亿个UDP数据包，随机轰击服务器端口。Google安全工程师Damian Menscher证实，这是Google有史以来拦截的最大规模攻击，但得益于Project Shield的即时响应，博客未出现可见服务降级。 Aisuru的独特之处在于其专注于劫持路由器、监控摄像头等物联网设备，且未与其他僵尸网络形成设备资源竞争，这使得其攻击火力更为集中。安全专家警告，该网络利用未知漏洞控制设备，潜在破坏力远超传统僵尸网络。 此次攻击规模仅次于Cloudflare在2025年4月记录的6.5Tbps历史峰值。数据显示，2025年第一季度Cloudflare已拦截超700次“超大规模”攻击（流量超1Tbps），这类攻击通常仅持续35-45秒，但足以瞬间瘫痪多数网络基础设施。 Brian Krebs通过线索追踪到僵尸网络运营者“Forky”，此人长期经营DDoS租用业务。但面对质询时，Forky否认参与此次攻击，并拒绝透露客户信息。安全社区担忧，此类服务的匿名性正使DDoS攻击日益成为商业打击与网络勒索的常规武器。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   卡巴斯基最新研究发现，俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示：“针对俄罗斯企业的攻击活动始于2023年3月，但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件，攻击者通过使用双扩展名（如“doc_054_[已编辑].pdf.rar”）将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序，当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”，同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件，运行系统工具“InstallUtil.exe”，并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制（C2）服务器建立SSL连接传输系统信息，包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应，C2服务器会发送多种执行恶意操作的辅助模块： PluginPcOption：可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify：检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词，并执行未经授权的资金转移等后续操作。 PluginClipper：作为剪切板劫持恶意软件，将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出：“该木马包含下载和运行任意文件的模块，可完全访问文件系统、注册表、进程、摄像头和麦克风，实现键盘记录功能，并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件，这是被称为PureCrypter的商业化下载器，自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件，该文件通过上述攻击流程运行“InstallUtil.exe”，最终启动名为“Ttcxxewxtly.exe”的可执行程序，该程序会解压并运行名为PureLogs的DLL载荷（“Bftvbho.dll”）。 PureLogs是一款现成的信息窃取程序，可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调：“PureRAT后门和PureLogs窃取程序具有广泛功能，可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯多个关键政府服务系统于本周二遭遇大规模分布式拒绝服务（DDoS）攻击，导致服务中断。据监测平台Downdetector数据显示，联邦税务局（FNS）、数字密钥管理系统（Goskey）及电子文档平台（Saby）等均受影响。Saby与FNS已确认攻击源自境外，正全力修复系统。 企业用户报告称，酒类销售管控平台与商品防伪追踪系统无法访问。此次事件距离上周大规模服务中断仅数日——彼时俄罗斯银行应用、社交平台VKontakte、即时通讯工具、Yandex服务及移动网络集体瘫痪。圣彼得堡电信运营商Severen-Telecom曾报告服务器遭DDoS攻击，但俄通信监管局（Roskomnadzor）未透露故障原因。 上周，某私立医院系统遭持续多日的网络攻击，导致患者病历管理软件瘫痪。亲乌克兰黑客组织4B1D宣称对此负责，但院方未披露细节。本周二，莫斯科卫生部门通报医疗记录系统“临时故障”，但拒绝归因于网络攻击。 俄乌网络战中，攻击常与重大政治事件同步。此次中断恰逢美国前总统特朗普与俄总统普京进行两小时通话，讨论乌克兰停火协议。尽管攻击方尚未认领责任，但历史数据显示，乌克兰IT Army等组织曾对类似目标实施攻击。网络安全专家指出，攻击是否刻意选择政治敏感时点仍有待调查。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国生鲜物流企业Peter Green Chilled近期遭遇勒索软件攻击，部分系统遭加密。该公司为乐购（Tesco）、奥乐齐（Aldi）等零售巨头提供冷链运输服务，此次事件距离玛莎百货（Marks & Spencer）重大网络攻击尚不足一月。BBC报道称，攻击者于周三加密企业数据并扰乱运营，公司内部邮件证实正在处理勒索软件事件。 网络安全研究员Aras Nazarovas指出，此类攻击可使物流企业陷入服务瘫痪，导致合作超市特定商品短期缺货。ISACA全球战略官Chris Dimitriadis强调，网络罪犯正将目标转向供应链环节——配送中断、库存损耗与财务损失将引发连锁反应。 近期英国零售业频现安全危机，除玛莎百货外，哈罗德百货（Harrods）、合作社集团（Co-op）相继遭入侵。据路透社数据，玛莎百货因攻击已损失超6000万英镑（约8000万美元）利润，市值蒸发逾10亿英镑。调查显示，攻击者通过第三方服务商塔塔咨询（TCS）两名员工的凭证侵入系统，黑客组织Scattered Spider被怀疑参与作案。该团伙以钓鱼技术著称，2023年曾伪装IT支持人员攻陷拉斯维加斯美高梅度假村与凯撒娱乐集团。 尽管Scattered Spider作案手法老练，执法机构已展开全球缉捕。2023年，涉嫌参与美高梅攻击的22岁英国公民Tyler Robert Buchanan在西班牙落网。同年11月，美国起诉包括Ahmed Hossam Eldin Elbadawy在内的五名该组织成员。安全专家警示，供应链环节的数字化依赖度攀升，物流企业需强化第三方供应商的凭证管理及零信任架构部署。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国法律援助署（LAA）确认，近期遭受的网络攻击实际影响远超最初评估，攻击者已窃取大量包含申请人敏感信息的数据。这一结论由深度参与调查的英国政府正式公布。 LAA作为英国司法部下设的执行机构，负责为无力承担法律费用的人群提供法律咨询、诉讼代理等法律援助服务。其援助资格审核涵盖申请人的收入、资产状况及案件性质（涉及家庭法、住房、债务、移民、心理健康和刑法等领域）。 本月初，该机构首次披露遭遇安全事件，称少量财务信息可能遭泄露。但最新发布于英国政府门户网站的公告显示事态更为严峻：自2010年至今的大量数据或已遭窃。公告指出：“5月16日（周五），我们发现攻击波及范围远超预期，攻击组织已获取与法律援助申请人相关的大量信息。据信该组织已访问并下载了自2010年以来通过我们数字服务申请法律援助人群的大量个人数据。” 潜在泄露数据包括： 联系方式 出生日期 国民身份证号 犯罪记录 就业状态 法律费用分摊金额、债务与支付记录 英国政府建议所有申请人警惕针对性的诈骗行为，强调在共享敏感信息前需验证通信真实性。法律援助署首席执行官Jane Harbottle就事件致歉，表示“对此深表遗憾”，并承诺将尽快提供更多进展通报。目前，所有LAA系统已在国家网络安全中心（NCSC）协助下完成加固，线上申请服务已暂时关闭。 此次事件正值英国合作社、哈罗德百货、玛莎百货等零售企业遭受灾难性攻击之际，相关攻击被认为与Scattered Spider组织有关联，攻击者试图在受感染网络部署DragonForce勒索软件。目前尚不清楚LAA事件是否与这些攻击存在关联。根据谷歌安全研究人员的追踪，该组织近期已将攻击目标转向美国。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Arla Foods向BleepingComputer证实，其生产运营因遭遇网络攻击而中断。 这家丹麦食品巨头澄清称，攻击仅影响其位于德国Upahl的生产部门，但预计将导致产品交付延迟甚至取消。“我们可以确认，在德国Upahl乳制品厂发现的可疑活动影响了当地IT网络，”Arla发言人表示，“出于安全考虑启动的应急措施导致生产暂时受阻。” Arla Foods是一家国际化乳制品生产商，拥有7,600名成员的农民合作社，在39个国家雇佣23,000名员工。该公司年收入达138亿欧元（约合15.5亿美元），旗下Arla、Lurpak、Puck、Castello和星巴克等品牌产品销往全球140个国家。 Arla向BleepingComputer透露，目前正全力恢复受影响工厂的运营，预计本周末前将取得进展。“自事件发生以来，我们始终致力于全面恢复运营。预计未来几天该工厂将恢复正常，其他生产基地未受影响。”考虑到有关生产中断的消息最早于周五传出，部分地区可能出现产品短缺。“我们已通知受影响客户可能存在延迟交付或取消订单的情况。”发言人补充道。 BleepingComputer曾询问此次攻击是否涉及数据窃取或加密（勒索软件攻击的典型特征），但Arla目前拒绝透露更多细节。与此同时，尚未有勒索组织在勒索门户网站宣称对此次事件负责，因此攻击类型与实施者仍属未知。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苏黎世联邦理工学院（ETH Zürich）的研究人员发现了一个新的安全漏洞，影响所有现代英特尔CPU并导致内存敏感数据泄露，这表明被称为Spectre的漏洞在七年后仍在持续影响计算机系统。该漏洞被命名为分支特权注入（BPI），“可被利用来滥用CPU（中央处理器）的预测计算，从而未经授权获取其他处理器用户的信息”。 研究作者之一、计算机安全组（COMSEC）负责人Kaveh Razavi表示，该缺陷影响所有英特尔处理器，可能使攻击者读取处理器缓存内容及同一CPU其他用户的工作内存。该攻击利用分支预测器竞态条件（BPRC），当处理器为不同权限用户切换预测计算时，未授权的黑客可借此绕过安全屏障获取特权进程的机密信息。 英特尔已发布微码补丁修复该漏洞（CVE编号CVE-2024-45332，CVSS v4评分5.7）。在5月13日的公告中，英特尔称“某些英特尔处理器间接分支预测器中由共享微架构预测状态引发的敏感信息泄露，可能允许已认证用户通过本地访问实现信息泄露”。 与此同时，阿姆斯特丹自由大学系统与网络安全组（VUSec）的研究人员披露了一类自训练Spectre v2攻击（代号Training Solo）。VUSec表示：“攻击者可在同一域（如内核）内推测劫持控制流，跨权限边界泄露机密，无需依赖eBPF等强大沙箱环境即可重现经典Spectre v2场景。” 这两个硬件漏洞（CVE-2024-28956和CVE-2025-24495）可针对英特尔CPU以最高17 KB/s的速度泄露内核内存。研究发现它们能“完全打破域隔离，重新启用传统用户-用户、虚拟机-虚拟机甚至虚拟机-宿主机Spectre-v2攻击”： CVE-2024-28956（CVSS v4评分5.7）：间接目标选择（ITS）漏洞，影响第9-11代英特尔酷睿及第2-3代至强等处理器 CVE-2025-24495（CVSS v4评分6.8）：Lion Cove分支预测单元问题，影响采用Lion Cove核心的英特尔CPU 尽管英特尔已发布微码更新修复这些缺陷，AMD表示已修订现有Spectre和Meltdown漏洞指南，明确强调使用经典伯克利数据包过滤器（cBPF）的风险。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文