HackerNews 编译，转载请注明出处： 据Trend Micro安全研究员Peter Girnus称，7-Zip归档工具中的一个最近修补的安全漏洞（CVE-2025-0411，CVSS评分为7.0）被野外利用来传递SmokeLoader恶意软件。该漏洞允许远程攻击者绕过网络标记（MotW）保护，并以当前用户的身份执行任意代码。7-Zip在2024年11月发布的24.09版本中解决了这个问题。 “俄罗斯网络犯罪集团通过鱼叉式网络钓鱼活动积极利用该漏洞，使用同形异义攻击来伪造文档扩展名，欺骗用户和Windows操作系统执行恶意文件。”Girnus说。 据怀疑，CVE-2025-0411可能被武器化，用于针对乌克兰的政府和非政府组织，作为俄乌冲突背景下的网络间谍活动的一部分。 MotW是微软在Windows中实现的一项安全功能，旨在防止从互联网下载的文件在未通过Microsoft Defender SmartScreen进一步检查的情况下自动执行。 CVE-2025-0411通过使用7-Zip进行双重归档来绕过MotW，即创建一个归档文件，然后再创建一个该归档文件的归档文件，以隐藏恶意负载。 “CVE-2025-0411的根本原因是，在24.09版本之前，7-Zip没有正确地将MotW保护传播到双重封装的归档内容，”Girnus解释说。“这允许威胁行为者创建包含恶意脚本或可执行文件的归档文件，这些文件不会受到MotW保护，使Windows用户容易受到攻击。” 利用该漏洞的零日攻击最早在2024年9月25日被检测到，感染序列导致了SmokeLoader，这是一种多次用于针对乌克兰的加载器恶意软件。 起点是一封包含特制归档文件的网络钓鱼电子邮件，该文件使用同形异义攻击将内部ZIP归档文件伪装成Microsoft Word文档文件，从而触发漏洞。 据Trend Micro称，这些网络钓鱼邮件是从与乌克兰政府机构和商业账户相关的电子邮件地址发送的，目标是市政组织和企业，这表明这些账户之前已被攻陷。 “这些被攻陷的电子邮件账户为发送给目标的邮件增添了真实性，操纵潜在受害者信任内容及其发件人，”Girnus指出。 这种方法导致执行ZIP归档文件中的互联网快捷方式（.URL）文件，该文件指向攻击者控制的服务器，该服务器托管了另一个ZIP文件。新下载的ZIP文件包含伪装成PDF文档的SmokeLoader可执行文件。 至少有九个乌克兰政府实体和其他组织被评估为受到该活动的影响，包括司法部、基辅公共交通服务、基辅供水公司和市议会。 鉴于CVE-2025-0411正在被积极利用，建议用户更新到最新版本，实施电子邮件过滤功能以阻止网络钓鱼尝试，并禁用来自不受信任来源的文件执行。 “我们在此次活动中针对和受影响的组织中注意到一个有趣的收获是小型地方政府机构，”Girnus说。“这些组织通常面临巨大的网络压力，但往往被忽视，缺乏大型政府机构的网络安全意识和资源。这些较小的组织可以成为威胁行为者转向较大政府机构的有价值支点。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Pwn2Own Automotive 2025黑客大赛的第二天，安全研究人员两次攻破了特斯拉的Wall Connector电动汽车充电器。 此外，他们还发现了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA电动汽车充电器，以及Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500车载信息娱乐系统（IVI）中的23个零日漏洞。 PHP Hooligans团队率先利用未检查最小值的数字范围比较零日漏洞攻破了特斯拉Wall Connector，随后Synacktiv团队也通过充电连接器攻破了特斯拉的电动汽车充电器，而这种攻击方式此前从未公开演示过。 当天，在特斯拉Wall Connector的黑客攻击尝试中，发生了两次漏洞碰撞：一次由PCAutomotive团队发起，另一次由Summoning团队的Sina Kheirkhah发起，他利用了两个已知漏洞的漏洞链。 根据Pwn2Own Tokyo 2025大赛规则，比赛期间所有目标设备都必须安装所有安全更新并运行最新的操作系统版本。 在比赛第二天，趋势科技的零日漏洞计划（Zero Day Initiative）为23个零日漏洞颁发了335,500美元的现金奖励。目前，Sina Kheirkhah在“Pwn大师”排名中领先。 在Pwn2Own Automotive大赛首日，安全研究人员利用了16个独特的零日漏洞，并获得了382,750美元的现金奖励。比赛结束后，供应商将有90天的时间开发和发布安全补丁，然后ZDI才会公开披露这些零日漏洞。 Pwn2Own Automotive 2025黑客大赛将于1月22日至1月24日在日本东京举行的Automotive World大会上，专注于汽车技术的攻击。 黑客将瞄准汽车操作系统（如Automotive Grade Linux、Android Automotive OS和BlackBerry QNX）、电动汽车充电器和车载信息娱乐系统。 尽管特斯拉还提供了Model 3/Y（基于Ryzen）的等效台式设备，但在比赛日程公布之前，没有安全研究人员注册尝试攻击该公司的Wall Connector。第二天的日程安排和每项挑战的结果也可在此处查看。 一年前，在首届Pwn2Own Automotive东京大赛上，安全研究人员因两次攻破特斯拉并利用多个电动汽车系统中的49个零日漏洞，获得了1,323,750美元的奖励。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

  HackerNews 编译，转载请注明出处： 入侵教育科技巨头PowerSchool的黑客在勒索要求中声称，他们窃取了6240万学生和950万教师的个人数据。 PowerSchool是为K-12学校和学区提供云计算软件解决方案的供应商，提供包括注册、沟通、考勤、员工管理、学习系统、分析和财务等工具。 1月7日，PowerSchool披露其遭受网络攻击，黑客利用盗取的凭证访问了该公司PowerSource客户支持门户。 通过这一访问，黑客使用客户支持维护工具从学区的PowerSIS数据库中下载了学生和教师的数据。 根据BleepingComputer的首次报道和相关FAQ，敏感信息如社会保障号、医疗信息和成绩等已被窃取，部分受影响的学生数据受到影响。 该FAQ还提到，PowerSchool已支付赎金以防止被窃取的数据被私下泄露，并看到黑客声称删除了这些数据的视频。 尽管该公司在客户FAQ中比其他安全披露更为透明，但仍未提供具体的受影响学生和教师数量，这令家长、教师和学校管理员感到沮丧。 然而，BleepingComputer获得了更多信息，揭示了此次数据泄露的影响。 超过6240万学生受影响 根据多个消息来源，PowerSchool攻击的黑客声称，他们在向公司提出勒索要求时，窃取了来自美国、加拿大及其他国家的6505个学区的数据。 BleepingComputer被告知，此次PowerSchool数据泄露影响了624888628名学生和9506624名教师。   需要注意的是，加拿大学区的数字通常大于美国学区，因为这些学区管理特定地区的所有学校。 尽管PowerSchool尚未评论具体的受影响人数，并表示调查仍在进行中，但他们向BleepingComputer强调，数据泄露的具体情况因学区而异。 PowerSchool表示，学区根据其政策要求决定在SIS数据库中存储哪些信息。因此，预计不到四分之一的受影响学生的社会保障号在此次泄露中被暴露。 公司还表示，他们有云端和本地托管的PowerSchool SIS客户。对于自托管数据库的学区，由于需要学区共享信息进行分析，数据审查变得更为复杂。 PowerSchool在回应关于我们报道的问题时，向BleepingComputer分享了以下声明： “我们理解我们在PowerSchool SIS上有一个非常庞大的客户群，但我们认为有必要强调，大多数涉及的个人——实际上超过四分之三——并未被泄露社会保障号。我们收到了很多关于涉及数据类型的问题，很难一概而论，因为答案因客户而异，并且取决于客户的选择及州或学区的政策要求。” “我们深切关心我们服务的学生、教师和家庭，完全致力于为他们提供支持。PowerSchool将为所有受影响的学生和教育工作者提供两年的免费身份保护服务和两年的免费信用监控服务。无论个人社会保障号是否被泄露，我们都会提供这些服务（这意味着我们无论是否被法规要求都将这样做）。我们还将代表我们的客户向州检察总长办公室、教育工作者、学生、家长和其他受影响方发出通知。我们真诚希望减轻这些通知对我们的客户和他们所在机构的负担。” PowerSchool表示，他们将为所有受影响的学生和教育工作者提供两年的免费身份保护和信用监控服务。 公司还将代表客户向州检察长办公室及相关人员发出数据泄露通知，但尚不清楚具体时间。 此外，PowerSchool承诺将在1月17日发布基于CrowdStrike调查的事件报告，但该报告尚未发布。 当被问及报告何时可用时，PowerSchool表示CrowdStrike仍在完成最终的法医报告，报告完成后将提供给客户。 在此期间，PowerSchool已在其客户专用FAQ中发布更新，表示客户可以获得有关目前已知情况的保密CrowdStrike事实说明。 PowerSchool还建立了一个专门的公共网站，供受影响人员关注进一步更新。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月21日，Ravie Lakshmanan报道了一起针对乌克兰的网络诈骗活动。未知的威胁行为者通过发送AnyDesk连接请求，伪装成网络安全机构，试图进行诈骗。 乌克兰计算机应急响应小组（CERT-UA）警告称，这些AnyDesk连接请求声称是为了进行“安全水平”评估的审计。CERT-UA提醒各组织警惕此类社会工程学攻击，这些攻击试图利用用户的信任。 CERT-UA指出：“在某些情况下，我们可能会使用AnyDesk等远程访问软件。”然而，此类行动仅在与网络安全防御对象的所有者通过官方批准的通信渠道事先达成一致后才会进行。 要使这种攻击成功，目标计算机上必须安装并运行AnyDesk远程访问软件，同时攻击者需要获取目标的AnyDesk标识符。这表明攻击者可能需要通过其他方式首先获取该标识符。为了降低这些攻击带来的风险，远程访问程序应仅在使用期间启用，并通过官方通信渠道进行协调。 与此同时，乌克兰国家特种通信和信息保护局（SSSCIP）透露，其网络安全事件响应中心在2024年共检测到1,042起事件，其中恶意代码和入侵尝试占所有事件的75%以上。 SSSCIP表示：“2024年，最活跃的网络威胁团伙是UAC-0010、UAC-0050和UAC-0006，它们分别擅长网络间谍活动、金融盗窃和信息心理战。”其中，UAC-0010（也被称为Aqua Blizzard和Gamaredon）被认为与277起事件有关；UAC-0050和UAC-0006分别与99起和174起事件有关。 此外，研究人员还发现了24个此前未被报告的“.shop”顶级域名，这些域名可能与亲俄黑客组织GhostWriter（也称为TA445、UAC-0057和UNC1151）有关。这些域名通过连接针对乌克兰的不同活动被发现。安全研究人员Will Thomas（@BushidoToken）的分析显示，这些活动中使用的域名均采用了相同的通用顶级域名（gTLD）、PublicDomainsRegistry注册商和Cloudflare域名服务器。所有被识别的服务器还配置了robots.txt目录。 随着俄乌战争即将进入第三年，针对俄罗斯的网络攻击也在增加，其目的是窃取敏感数据，并通过部署勒索软件来扰乱商业运营。 上周，网络安全公司F.A.C.C.T.将Sticky Werewolf组织与针对俄罗斯科研和生产企业的鱼叉式网络钓鱼活动联系起来。该活动旨在传播一种名为Ozone的远程访问木马，该木马能够为攻击者提供对受感染Windows系统的远程访问权限。F.A.C.C.T.还将Sticky Werewolf描述为一个亲乌克兰的网络间谍组织，主要针对俄罗斯的国家机构、科研院所和工业企业。然而，以色列网络安全公司Morphisec此前的分析指出，这种联系“仍不确定”。 目前尚不清楚这些攻击的成功率如何。在最近几个月中，其他被观察到针对俄罗斯实体的威胁活动团伙还包括Core Werewolf、Venture Wolf和Paper Werewolf（也称为GOFFEE）。其中，Paper Werewolf利用了一个名为Owowa的恶意IIS模块，以协助窃取凭据。 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 惠与科技（HPE）正在调查一起新的安全事件，黑客声称从该公司开发环境中窃取了文档。 HPE向BleepingComputer表示，目前尚未发现任何安全漏洞的证据，但公司正在调查黑客的声称。 HPE发言人Clare Loxley告诉BleepingComputer：“HPE在1月16日得知一个名为IntelBroker的黑客组织声称持有属于HPE的信息。” 她补充道：“HPE立即启动了网络响应程序，禁用了相关凭证，并展开调查以评估这些声称的真实性。目前，我们的业务未受影响，且没有证据表明客户信息受到牵连。” IntelBroker宣布将出售据称从HPE网络中窃取的信息，声称他们至少有两天时间可以访问HPE的API、WePay以及（公开和私密的）GitHub代码库，并窃取了证书（私钥和公钥）、Zerto和iLO源代码、Docker构建文件以及用于交付的旧版用户个人信息。 IntelBroker还上传了另外一个数据档案（包括凭证和访问令牌），这些数据据称是从HPE系统中窃取的，时间是在2024年2月1日。该公司当时也表示正在调查黑客的声称，但没有发现任何安全漏洞的证据。 IntelBroker因入侵DC Health Link而声名狼藉，该组织负责管理美国国会众议院成员的医保计划，此次事件导致170,000名受影响者的个人数据泄露，并引发了国会听证会。 与IntelBroker相关的其他事件还包括入侵诺基亚、思科、欧洲刑警组织、家得宝、Acuity等，以及涉嫌入侵AMD、美国国务院、Zscaler、福特汽车和通用电气航空等。 HPE曾在2018年遭到APT10中国黑客组织的入侵，黑客通过该次入侵获得了对HPE部分系统的访问权限，并利用该权限攻击客户设备。 更近期的是，HPE在2021年披露，其Aruba Central网络监控平台的数据仓库也遭到入侵，攻击者得以访问受监控设备的数据及其位置信息。 HPE还透露，去年其Microsoft Office 365电子邮件环境在2023年5月遭到入侵，攻击者被认为是与俄罗斯对外情报局（SVR）相关的APT29黑客组织。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，黑客在不同的攻击活动中，将恶意代码隐藏在图片中，以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。 惠普狼安全（HP Wolf Security）在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出：“在这两次攻击活动中，攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中，并使用相同的.NET加载器来安装其最终的有效载荷。” 攻击始于一封伪装成发票和采购订单的钓鱼邮件，诱骗收件人打开恶意附件，如Microsoft Excel文档。打开这些文档后，会利用Equation Editor（CVE-2017-11882）中的已知安全漏洞下载VBScript文件。 该脚本旨在解码并运行一个PowerShell脚本，该脚本会从archive[.]org上托管的一个图片中提取Base64编码的代码，然后将其解码为.NET可执行文件并执行。 .NET可执行文件作为加载器，从给定URL下载VIP键盘记录器并运行，使威胁行为者能够从受感染的系统窃取包括键盘输入、剪贴板内容、屏幕截图和凭据在内的广泛数据。VIP键盘记录器与Snake键盘记录器和404键盘记录器存在功能重叠。 另一次类似的攻击活动被发现通过电子邮件向目标发送恶意归档文件。这些邮件伪装成询价请求，旨在诱使收件人打开归档文件内的JavaScript文件，然后启动PowerShell脚本。 与前面的案例类似，PowerShell脚本会从远程服务器下载一张图片，解析其中的Base64编码代码，并运行相同的基于.NET的加载器。不同的是，这次攻击链的最终结果是部署了一个名为0bj3ctivity的信息窃取器。 两次攻击活动的相似之处表明，黑客正在利用恶意软件工具包来提高整体效率，同时降低制作攻击所需的时间和技术专长。 惠普狼安全还表示，它观察到恶意行为者利用HTML走私技术，通过AutoIt释放器投放XWorm远程访问木马（RAT），这与之前以类似方式分发AsyncRAT的攻击活动相呼应。 “值得注意的是，HTML文件带有表明它们是在GenAI的帮助下编写的标志，”惠普表示。“这一活动表明，在攻击链的初始访问和恶意软件投放阶段，GenAI的使用正在不断增加。” “事实上，黑客从GenAI中获得了诸多好处，从扩大攻击规模、创建可能提高感染率的变种，到使网络防御者更难进行归因。” 不仅如此，黑客还创建了GitHub存储库，宣传视频游戏作弊和修改工具，以便使用.NET释放器部署Lumma Stealer恶意软件。 惠普安全实验室的首席威胁研究员亚历克斯·霍兰德（Alex Holland）表示：“分析过的这些攻击活动进一步证明了网络犯罪的商品化。随着数字恶意软件工具包更加自由、实惠和易用，即使技能有限、知识有限的新手也能拼凑出有效的感染链。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 艾利产品公司警告称，其网站遭到黑客入侵，导致客户信用卡和个人信息被盗，发生数据泄露事件。 艾利公司是一家生产销售自粘标签、服装品牌元素及提供印刷服务的美国公司。 在向受影响的客户发送的数据泄露通知中，艾利公司发现他们于2024年12月9日遭到攻击。 经过数字取证专家的内部调查，发现威胁行为者已于2024年7月18日在公司网上商店域名“avery.com”上植入了信用卡侧录器。 因此，2024年7月18日至12月9日期间，客户在艾利公司网站上输入的敏感支付信息被泄露给了威胁行为者。 “2024年12月9日，艾利公司发现与某些系统相关的勒索软件攻击，”通知中写道。 “艾利公司立即在取证专家的协助下展开调查，以确定活动的性质和范围。” “我们的调查显示，一名未经授权的入侵者在2024年7月18日至12月9日期间，在我们的网站avery.com上插入了恶意软件，用于‘窃取’信用卡信息。” 此次泄露事件中，以下数据遭到泄露： 姓名 账单和送货地址 电子邮件地址 电话号码 支付卡号、安全验证码（CVV）和到期日 购买金额 未泄露的信息包括：社会保险号、驾照号、政府颁发的身份证号及出生日期。 然而，已泄露的数据足以让不法分子以受害者名义进行欺诈交易，并在其账户中进行未经授权的购买。 “我们尚不清楚欺诈费用是否与我们的网站事件有关，但现在看来，由于我们收到两封客户邮件，表明他们产生了欺诈费用或收到网络钓鱼邮件，因此支付卡（及其他）信息可能已被窃取，”数据泄露通知继续写道。 “本月我们收到多起类似报告。因此，我们向您发送此通知，以便您采取措施保护自己。” 根据缅因州总检察长门户网站上关于数据泄露的条目，此次事件影响了61,193名艾利客户。 为减轻风险，艾利公司通过Cyberscout提供12个月的免费信用监控服务。 还建议通知收件人警惕未经请求的通信，并立即向银行和有关部门报告其账户上的任何可疑活动。 艾利公司还设立了专线，解答客户对此次事件的疑问和担忧。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜关联的Lazarus Group被指为针对寻找Web3和加密货币领域自由职业的软件开发者发起新一轮网络攻击行动——“Operation 99”，旨在传播恶意软件。 SecurityScorecard公司威胁研究与情报高级副总裁Ryan Sherstobitoff在今日发布的一份新报告中指出：“该行动始于假扮成招聘人员在领英等平台发布信息，以项目测试和代码审查为诱饵吸引开发者。” “一旦受害者上钩，他们就会被引导克隆一个看似无害实则暗藏危机的恶意GitLab仓库。克隆的代码会连接到命令与控制（C2）服务器，从而将恶意软件植入受害者环境。” 该行动受害者遍布全球，其中意大利受害者最为集中。阿根廷、巴西、埃及、法国、德国、印度、印度尼西亚、墨西哥、巴基斯坦、菲律宾、英国和美国等地也有少量受害者。 该网络安全公司表示，其于2025年1月9日发现的这一行动建立在Lazarus Group此前攻击中使用的以工作为主题的战术基础上，如“Operation Dream Job”（又称NukeSped），此次行动特别针对Web3和加密货币领域的开发者。 “Operation 99”的独特之处在于，它通过一个精心设计的招聘计划诱骗开发者参与编码项目，该计划涉及制作虚假的领英账号，然后将开发者引导至恶意GitLab仓库。 攻击的最终目的是部署数据窃取植入程序，从开发环境中提取源代码、密钥、加密货币钱包密钥和其他敏感数据。 这些程序包括Main5346及其变体Main99，它们作为另外三个有效载荷的下载器—— Payload99/73（及其功能相似的Payload5346），用于收集系统数据（如文件和剪贴板内容）、终止网页浏览器进程、执行任意操作并建立与C2服务器的持久连接； Brow99/73，用于从网页浏览器中窃取数据，以促进凭据盗窃； MCLIP，用于实时监控和窃取键盘和剪贴板活动。 该公司表示：“通过攻击开发者账户，攻击者不仅窃取知识产权，还能访问加密货币钱包，从而实现直接财务盗窃。针对私钥和密钥的定向盗窃可能导致数百万数字资产被盗，进而推动Lazarus Group的财务目标。” 该恶意软件架构采用模块化设计，灵活且适用于Windows、macOS和Linux操作系统。这也凸显了国家网络威胁不断演变和适应的本质。 “对于朝鲜而言，黑客攻击是创造收入的生命线，”Sherstobitoff表示，“Lazarus Group持续将窃取的加密货币用于支持该政权的野心，积累了惊人的资金。随着Web3和加密货币行业的蓬勃发展，‘Operation 99’行动聚焦于这些高增长领域。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员发现，可能与俄罗斯有关联的威胁组织 APT28正在监视中亚国家外交实体，以收集该地区的经济和政治情报。 该组织被追踪为 UAC-0063，至少自 2021 年以来一直活跃，此前曾针对乌克兰、以色列、印度以及哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等多个中亚国家的外交、非营利、学术、能源和国防实体进行攻击。 在对7 月份针对乌克兰科研机构的攻击进行分析时，乌克兰计算机应急反应小组 (CERT-UA) 认为 UAC-0063 与 APT28（又名 Fancy Bear 或 BlueDelta）有“中等信心”关联，后者与俄罗斯军事情报机构 (GRU) 有关联。 网络安全公司 Sekoia发现并于周一在一份报告中描述了正在进行的网络间谍活动，黑客使用合法文件（例如信函、草稿文件或内部行政记录）向受害者发送恶意软件，这些文件可能来自哈萨克斯坦外交部。 他们如何获得这些文件尚不清楚，但研究人员表示，这些文件可能是在早先的网络行动中被泄露的，或通过开源收集获得的，或通过物理操作获得的。 Sekoia发现了近二十份这样的文件，日期从 2021 年到 2024 年 10 月。其中大部分涉及哈萨克斯坦与其他国家之间的外交合作和经济问题。 这些恶意文件包含两种已知的恶意软件，Cherryspy 和 Hatvibe，这两种恶意软件都曾用于针对亚洲和乌克兰的网络间谍活动。Cherryspy 后门允许攻击者执行从命令和控制服务器收到的 Python 代码，而 Hatvibe 则可以在受感染的设备上下载和执行其他文件。 研究人员表示，尽管该组织在这次活动中使用了熟悉的工具，但感染链“非常独特”，并强调其专注于绕过安全解决方案。 研究人员认为，此次活动是针对中亚国家，特别是哈萨克斯坦外交关系的更大规模全球网络间谍行动的一部分。 他们表示：“此次攻击活动的目的可能是收集哈萨克斯坦与西亚、中亚国家关系的战略和经济情报。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/V7z5IYda7TOTQgLtpN2oEA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 《流放之路2》开发团队证实，一名黑客通过破解的管理员账号修改了密码，并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来，《流放之路2》（PoE 2）玩家账号频繁被盗的原因。 被攻破的管理员账号使黑客能够更改其他玩家账号的密码，导致许多玩家的游戏内购买物品丢失，包括他们耗费数百小时才获得的珍贵物品。 然而，由于日志保留的时间限制，目前无法确定此次事件波及的确切范围，这意味着可能有更多账号在此次攻击中失窃。 《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏，是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。 尽管目前仍处于抢先体验阶段，但这款游戏在Steam上好评如潮，已经形成了一个由数万名玩家组成的忠实社区，还有更多玩家翘首以盼其正式发行。 《流放之路2》的玩家在游戏论坛上报告称，近期出现了一波账号被盗事件。他们发现，无论是Steam账号还是独立的PoE账号，在未被触发双重身份验证代码请求的情况下就被攻破了。 这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时，发现黑客已经盗走了他们所有的游戏内物品，包括珍贵的神圣宝珠和终极装备。 据受害玩家在论坛上的帖子称，PoE客服告诉他们，无法回滚账号或恢复被盗物品，因此损失无法挽回。 通过旧Steam账号被盗取的管理员权限 据404 Media首次报道，昨日，《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认，此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的，该账号已被攻破。 黑客利用部分信息，如信用卡的最后四位数字，说服Steam客服重置凭据并控制了该账号。 这使得黑客能够访问《流放之路2》的管理员账号，并进一步访问其他玩家的账号。 虽然开发团队尚未确认，但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图，据称该面板被用于修改玩家的密码。 更糟糕的是，当《流放之路2》的账号密码被更改时，它会被记录为一个可编辑的备注，而不是作为一个不可编辑的审计条目进行记录。 “实际上，存在一个漏洞，即将新密码设置为账号的事件被错误地标记为备注，而不是像审计事件那样。”罗杰斯在采访中说道。 “这意味着备注是客户服务人员可以添加到玩家账号上的内容，他们可以编辑和删除它们。因此，将密码更改标记为备注可能会被客户服务人员意外删除，而不是以任何人都无法更改的方式永久保留。” “因此，这实际上意味着，那些成功获取账号的人，他们是通过发送一个随机密码来攻击账号，然后在之后删除该备注。” 虽然开发团队正在分析日志以查找受影响的账号，但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间，一些日志被删除。 “实际上，去年11月有五天我们没有日志，之后有66个账号的备注被删除，”罗杰斯继续说道。 开发团队承认游戏后端存在错误和安全漏洞，这些漏洞本可预防此次攻击。他们表示：“我们这次彻底搞砸了。” Grinding Gear Games向玩家保证，事件发生后，已经采取了多项安全措施，包括取消将Steam账号与管理员账号关联的功能。 然而，对于那些受影响的账号，Grinding Gear Games并未宣布任何补偿计划，而是表示无法恢复被盗物品。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文