HackerNews 编译，转载请注明出处： 周四，美国司法部（DoJ）宣布，在一项获得法庭授权的执法行动中，成功捣毁了多个物联网（IoT）僵尸网络（如 AISURU、Kimwolf、JackSkid 和 Mossad）所使用的命令与控制（C2）基础设施。 此次行动中，加拿大和德国的相关部门也对这些僵尸网络背后的操控者展开了打击。同时，包括阿卡迈（Akamai）、亚马逊网络服务（Amazon Web Services）、Cloudflare、DigitalOcean、谷歌、Lumen、诺基亚（Nokia）、奥克塔（Okta）、甲骨文（Oracle）、贝宝（PayPal）、SpyCloud、Synthient、Team Cymru、Unit 221B 在内的多家私营企业，也协助参与了调查工作。 美国司法部表示：“这四个僵尸网络针对全球范围内的受害者发动了分布式拒绝服务（DDoS）攻击。其中一些攻击流量高达约 30 太比特每秒，堪称破纪录的攻击。” 上个月，Cloudflare 在一份报告中将 2025 年 11 月发生的一次规模达 31.4 Tbps 且仅持续 35 秒的大规模 DDoS 攻击归因于 AISURU/Kimwolf。截至去年年底，据评估，该僵尸网络还发动了超大规模的 DDoS 攻击，平均每秒可达 30 亿数据包（Bpps）、4 Tbps 流量以及每秒 5400 万请求（Mrps）。 独立安全记者布莱恩・克雷布斯（Brian Krebs）还追踪到 Kimwolf 的管理员是来自加拿大渥太华的 23 岁男子雅各布・巴特勒（又名多特）。巴特勒告诉克雷布斯，自 2021 年起他就不再使用 “多特” 这个身份，并称在自己的旧账户遭入侵后，有人一直在冒充他。 巴特勒还称：“由于患有自闭症，在社交方面存在困难，他大多时候都待在家里帮母亲做家务。” 据克雷布斯透露，另一名主要嫌疑人是一名居住在德国的 15 岁少年。目前尚未有逮捕行动的相关消息公布。 该僵尸网络已将超 200 万台安卓设备纳入其网络，其中大部分是受感染的杂牌安卓电视。总体而言，这四个僵尸网络估计在全球范围内感染了不少于 300 万台设备，包括数字视频录像机、网络摄像头或无线路由器等，其中在美国就有数十万台。 美国司法部指出：“Kimwolf 和 JackSkid 僵尸网络被指控针对并感染那些通常与互联网其他部分隔离‘防火墙保护’的设备。受感染的设备被僵尸网络操控者控制。随后，操控者采用‘网络犯罪即服务’模式，将受感染设备的访问权限出售给其他网络犯罪分子。” 这些受感染的设备随后被用于对全球范围内的目标发动 DDoS 攻击。法庭文件指控，这四个 Mirai 僵尸网络变种已发出数十万条 DDoS 攻击指令： AISURU：超 20 万条 DDoS 攻击指令 Kimwolf：超 2.5 万条 DDoS 攻击指令 JackSkid：超 9 万条 DDoS 攻击指令 Mossad：超 1000 条 DDoS 攻击指令 亚马逊网络服务（AWS）副总裁兼杰出工程师汤姆・肖尔（Tom Scholl）在领英（LinkedIn）上发布的一篇文章中表示：“Kimwolf 代表了僵尸网络运作和扩展方式的根本性转变。与传统僵尸网络在开放互联网中扫描易受攻击设备不同，Kimwolf 利用了一种全新的攻击途径：住宅代理网络。通过受感染设备（包括流媒体电视盒和其他物联网设备）渗透家庭网络，该僵尸网络得以访问通常由家用路由器保护免受外部威胁的本地网络。” 阿卡迈表示，这些超大规模的僵尸网络发动的攻击流量超过 30 Tbps、每秒 140 亿个数据包以及每秒 300 万个请求，并补充说，网络犯罪分子利用这些僵尸网络发动了数十万次攻击，在某些情况下还向受害者索要勒索款项。 这家网络基础设施公司称：“这些攻击可能会严重破坏核心互联网基础设施，导致互联网服务提供商（ISP）及其下游客户的服务严重降级，甚至使高容量的基于云的缓解服务不堪重负。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦情报局（BND）前副局长阿恩特・弗赖塔格・冯・洛林霍芬（Arndt Freytag von Loringhoven）成为 Signal 网络攻击的目标，这是一系列针对德国官员和政客的攻击浪潮的一部分。 一场针对 Signal 和 WhatsApp 用户的网络攻击，波及了德国高级官员，其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称，有人冒充 Signal 客服联系他，并索要他的个人识别码（PIN）。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。 《明镜》周刊（SPIEGEL）发布的报道称：“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解，德国高级政客已向当局报案称自己是受害者，安全机构的在职官员也遭到了攻击。” 早在 2 月，德国联邦宪法保卫局（BfV）和联邦信息安全办公室（BSI）就将此次攻击归类为 “与安全相关”，并敦促受影响人员站出来。BfV 表示，这一警告得到了 “高度响应”，且他们认为这避免了更严重的损害。 德国当局警告 Signal 用户检查可疑迹象，比如在 “已配对设备” 下列出的未知设备，或者意外收到的重新注册账号提示。 以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例，攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接，并删除了自己的账号。调查人员认为，这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争，还著有《普京对德国的攻击》一书，他很可能被视为高价值目标。 Signal 方面表示，近期的这些事件是有针对性的网络钓鱼攻击，攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损，仍然安全。Signal 在 X 平台（原推特）上发文称：“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户（包括政府官员和记者）账号被劫持的报道。我们对此高度重视。需要明确的是：Signal 的加密技术和基础设施并未受损，依然稳固。” Signal 警告称，此类攻击依赖社会工程学手段，攻击者冒充可信联系人或假冒客服，诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息，并敦促用户保持警惕，切勿分享登录验证码。 3 月初，荷兰情报机构（军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD）发出警告，称存在一场由与俄罗斯有关的威胁行为者发起的全球行动，目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员，凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。 荷兰情报机构发布的警报称：“俄罗斯国家黑客正在开展一场大规模全球网络行动，试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实，此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为，俄罗斯政府感兴趣的其他人员，如记者，也可能成为此次行动的目标。” 俄罗斯网络间谍通过诱骗用户透露验证码，从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服，或利用 “关联设备” 功能，获取消息和聊天群组的访问权限，这可能导致政府和军事目标的敏感信息泄露。 荷兰情报机构警告称，俄罗斯之所以瞄准 Signal，是因其强大的端到端加密功能，俄罗斯企图借此获取敏感的政府通信内容。官员们强调，Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。 政府专家指出，攻击者并非利用应用程序漏洞，而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示，只有个别账号成为攻击目标，而非平台本身。 荷兰情报机构建议 Signal 用户仔细监控群组聊天，留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次，这可能表明账号已遭入侵，或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况，并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号，之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称，例如改为 “已删除账号”，或者通过共享群组链接加入，从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵，建议离开该聊天群组并创建新群组，以确保群组内通信的安全性和完整性。 2025 年 2 月，谷歌威胁情报小组（GTIG）的研究人员发出警告，称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测，针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在，且可能会在乌克兰以外的地区实施。 俄罗斯黑客利用 Signal 的 “关联设备” 功能，通过特制的二维码将受害者账号关联到攻击者控制的设备上，进而进行监视。 GTIG 发布的报告称：“俄罗斯方面试图入侵 Signal 账号时，最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能，该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码，威胁行为者便制作恶意二维码，受害者扫描后，其账号就会与攻击者控制的 Signal 实例关联。如果成功，后续消息将实时同步发送给受害者和威胁行为者，这为攻击者提供了一种持续监听受害者安全对话的方式，而无需完全入侵设备。” 研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具，从安卓和 Windows 设备上窃取 Signal 数据库文件，以实现数据渗出。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技已修复 Apex One 中的两处高危漏洞，攻击者可利用这些漏洞在受影响的 Windows 系统上执行远程代码。该公司已发布安全更新，并强烈建议客户尽快安装补丁，以防范漏洞被利用，避免环境遭受入侵。 Trend Micro Apex One 是一款一体化高级终端安全解决方案。 该方案通过单一代理提供勒索软件防护、零日威胁防御、EDR、预测式机器学习、DLP 及虚拟补丁功能。 该安全厂商修复的第一个漏洞为控制台目录遍历 RCE 漏洞，编号 CVE-2025-71210（CVSS 评分 9.8）。 安全公告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” 该公司修复的第二个漏洞同样为控制台目录遍历远程代码执行漏洞，编号 CVE-2025-71211（CVSS 评分 9.8）。报告指出，该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。 报告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” CoreCloud Tech 的研究人员 Jacky Hsieh 与 Charles Yang 通过 TrendAI 零日计划报告了这两处漏洞。SaaS 版本已完成缓解处理，无需用户操作。 趋势科技已修复 SaaS 版 Apex One 中的相关漏洞，并发布关键补丁版本 14136。 该公司同时修复了 Windows 代理中的两处高危权限提升漏洞：（CVE-2025-71212：扫描引擎符号链接跟随本地权限提升漏洞；CVE-2025-71213：来源验证错误本地权限提升漏洞以及影响 macOS 代理的四个问题。） 该网络安全厂商未披露这些漏洞是否已在真实攻击中被利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 五眼情报联盟的网络安全机构于周三紧急警告称，“一名高级威胁行为者” 正在主动利用思科网络设备中的新漏洞，敦促各机构检查其系统是否已遭入侵。 美国网络安全与基础设施安全局（CISA）发布紧急指令，警告 “网络威胁行为者正在持续利用 Cisco SD-WAN 系统”，称该活动对联邦民用行政部门网络构成重大风险。 警报中提及的漏洞包括 CVE-2026-20127 和 CVE-2022-20775，这两个漏洞已被证实在现实环境中被利用。CISA 表示，经评估，当前情况 “对联邦机构构成不可接受的风险，必须采取紧急行动”。 英国国家网络安全中心（NCSC）也表示，“恶意网络威胁行为者正在针对全球各类机构使用的 Cisco Catalyst 软件定义广域网（SD-WAN）”，强调该活动并非仅限于美国。 NCSC 首席技术官 Ollie Whitehouse 表示，使用受影响思科产品的机构 “应立即排查自身网络是否面临入侵风险”，并开始查找已遭入侵的证据。 思科官方通告警告称，其产品中的 “多个漏洞” 可能 “允许攻击者访问受影响系统、将权限提升至 root、获取敏感信息并覆盖任意文件”。该公司强调，这些漏洞 “相互独立”，利用其中一个漏洞并不需要先利用另一个漏洞。 作为联合警报的一部分，澳大利亚信号局（该国网络与信号情报机构）发布了一份技术 “排查指南”，帮助机构判断黑客是否已进入其系统。 根据该指南，至少有一名恶意网络行为者自 2023 年起就一直在利用一个零日漏洞入侵 Cisco SD-WAN 环境，该漏洞于去年年底被发现并已修复。 文件称：“该漏洞允许恶意网络行为者创建一个恶意节点，加入机构 SD-WAN 的网络管理平面或控制平面。”“该恶意设备会以一个全新但临时的、由攻击者控制的 SD-WAN 组件形式出现，能够在管理和控制平面内执行受信任的操作。” 排查指南描述了获得此类权限的攻击者如何实现长期持久化控制，包括获取 root 权限并采取规避检测的措施，例如干扰日志记录与其他监控行为。 各机构尚未公开认定此次活动背后的威胁组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Ivanti Endpoint Manager Mobile（EPMM）设备植入“休眠”后门，这类后门可闲置数天甚至数周不被激活。 Ivanti 近期披露了 EPMM 的两处高危漏洞——CVE-2026-1281 和 CVE-2026-1340，分别涉及不同程序包（aftstore 和 appstore）中的身份验证绕过与远程代码执行问题。 尽管涉及的程序包不同，但防御方面临的实际影响一致：攻击者可未经认证访问应用层端点。Ivanti 已在安全公告中发布缓解措施与补丁部署指南，但漏洞披露后不久便出现了在野利用行为。 Defusedcyber 观测到的与本次攻击浪潮相关的入侵事件中，漏洞成功利用后，攻击者都会在 /mifs/403.jsp 路径下留下恶意文件。该文件名与路径在针对 Ivanti/MobileIron 的攻击中并非首次出现， 不同之处在于恶意载荷的用途：攻击者并未部署可执行命令的交互式 WebShell，而是通过 HTTP 参数传输经 Base64 编码的 Java 类文件。 每个解码后的载荷均包含有效的 Java 字节码（以 CAFEBABE 类头标识），其作用是休眠式内存类加载器，而非可立即使用的后门。这一区别具有重要的实战意义：传统的 WebShell 检测通常以后续命令执行和文件系统痕迹为核心线索，而本次攻击中，攻击者的流程核心是“植入并验证”，而非“植入并立即操作”。 观测到的植入类为 base.Info（由 Info.java 编译而来），该类不提供文件浏览、命令执行功能，也无常规的操作控制台，仅等待后续的“激活”请求——该请求会传输第二个 Java 类，随后加载器将其直接在内存中运行。 值得注意的是，该加载器以 equals(Object) 方法作为入口点，而非 doGet、doPost 等标准 Servlet 方法，这一设计可规避简易检测规则；同时它会从传入的对象中提取 HttpServletRequest 和 HttpServletResponse 对象（并兼容 PageContext 及 Servlet 包装/外观模式），提升了在不同 Java Web 容器中的适配性。 移交控制权前，加载器会采集主机指纹信息（如 user.dir 路径、文件系统根目录、操作系统名称、用户名等），并将这些数据传递给第二阶段类，便于攻击者后续快速掌握目标主机情况。 Defusedcyber 观测到的所有案例中，加载器均已完成植入与验证，但未发现传输第二阶段类的后续请求。 这种“先植入、后操作”的模式符合初始访问中介（Initial Access Broker）的行为特征：一方大规模建立可靠的访问权限，另一方后续从不同基础设施利用这些权限牟利或发起攻击。 Shadowserver 观测到攻击者在 Ivanti EPMM 设备上部署 WebShell，推测是利用了 CVE-2026-1281 漏洞，扫描数据显示截至 2026 年 2 月 6 日已有 56 个 IP 地址的设备被攻陷。 防御建议 ·     立即按照 Ivanti 指南为 EPMM 打补丁，随后重启受影响的应用服务器以清除内存中的植入程序（加载器全程无需写入磁盘，重启是关键清除手段） ·     检查日志中是否有针对 /mifs/403.jsp 的请求，尤其是包含 k0f53cf964d387 参数的请求 ·     检测包含分隔符对 3cd3d 和 e60537 的响应内容 ·     即便环境看似“稳定”，一旦检测到相关痕迹也需紧急处理——这些访问权限可能只是暂未激活。 消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起影响塞内加尔政府的网络安全事件，已迫使该国一个负责管理国民身份证、护照及其他生物识别数据等敏感信息的办公室关停。 塞内加尔档案自动化管理局（DAF）上周发布通知，警告该国1950万居民，一起网络攻击已迫使政府暂时中止该办公室的业务。 一名高级警官表示，他们正试图恢复系统，并声称公民个人数据的“完整性”“保持完好”。DAF未回应置评请求。 该通知发布前，一个名为Green Blood Group的勒索软件团伙声称已入侵该组织，并窃取了139 GB数据，其中包括公民数据库记录、生物识别数据及移民文件。 黑客分享了被盗数据的样本，以及来自IRIS Corporation Berhad高级总经理Quik Saw Choo的一封电子邮件——这家马来西亚公司近期受委托为塞内加尔制作新的数字身份证。 在这封日期为1月20日的邮件中，Choo警告DAF及塞内加尔其他部委的官员，黑客于1月19日入侵了两台DAF服务器，并窃取了其中一台服务器上的卡片个性化数据。Choo的团队已在其端采取多项措施，包括切断通往一台服务器的网络连接，并更改了另一台服务器的密码。他们还切断了通往所有外国使领馆及其他办公室的网络连接。 Choo表示，IRIS正与马来西亚网络安全专家合作，并计划于 1 月 22 日前往塞内加尔首都达喀尔，开展进一步调查并落实整改措施。 文件自动化管理局与 IRIS 公司均未回应置评请求。 一家当地新闻媒体报告称，截至2月5日，DAF的业务已中断至少五天，且塞内加尔与 IRIS 公司正处于款项纠纷中。截至周一下午，DAF网站仍处于瘫痪状态。 Green Blood Group于今年1月出现，宣称除 DAF 外还攻陷了另外 4 家目标机构。 高级黑客长期将政府身份数据库作为攻击目标，阿根廷、爱沙尼亚等国均曾遭遇类似安全事件。   消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着伊朗当局于2026年1月初实施的大规模互联网封锁结束，隐秘的伊朗威胁组织 Infy 在启用全新命令与控制（C2）基础设施的同时，也升级了其战术以更好地隐藏行踪。 安全公司SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据的研究副总裁Tomer Bar在报告中指出：“这是我们监测该威胁组织活动以来，其首次于 1 月 8 日停止维护 C2 服务器。”他进一步分析称：“当日伊朗当局为应对近期抗议活动，实施了全国断网，这或许表明，即便是政府关联的网络部队，在伊朗境内也不具备开展恶意活动的能力或动机。” 该网络安全公司表示，其于 2026 年 1 月 26 日观测到该黑客团伙重启活动，搭建了新的 C2 服务器，而次日伊朗政府便放宽了境内网络限制。这一动态意义重大，尤为关键的是，它提供了该威胁组织为伊朗国家资助、受伊朗政府支持的确凿证据。 Infy 是伊朗境内众多国家资助黑客团伙之一，这些团伙均围绕德黑兰战略利益，开展间谍活动、破坏行动及舆论影响操作。同时它也是历史最悠久、知名度较低的团伙之一，自 2004 年起便隐匿行踪、低调运作，通过针对个人的 “精准聚焦式” 攻击开展情报收集，从未引发过多关注。 SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据。Tonnerre 最新版本（50 版）被赋予代号 “龙卷风（Tornado）” 对该威胁组织 2025 年 12 月 19 日至 2026 年 2 月 3 日期间活动的持续监测发现，攻击者已更换所有版本 Foudre 和 Tonnerre 的 C2 基础设施，同时推出 51 版龙卷风恶意软件，该版本同时采用 HTTP 协议与电报平台作为 C2 信道。 Bar 表示：“该恶意软件通过两种不同方式生成 C2 域名，一是全新域名生成算法（DGA），二是借助区块链数据反混淆技术生成固定域名，这是一种独特的方式，我们推测其用途是在无需升级龙卷风版本的前提下，提升 C2 域名注册的灵活性。” 另有迹象表明，Infy已将WinRAR中的一个“1-day”漏洞（CVE-2025-8088或CVE-2025-6218）武器化，用于在受感染主机上释放Tornado恶意负载。攻击载体的转变被视为提高其行动成功率的手段。2025年12月中旬，这些特制 RAR 压缩包从德国和印度被上传至 VirusTotal 平台，表明这两个国家或为攻击目标。 该RAR文件内为一个自解压（SFX）存档，包含两个文件： AuthFWSnapin.dll：即Tornado 51版的主DLL文件。 reg7989.dll：一个安装程序，会先检查是否未安装Avast杀毒软件；若未安装，则创建计划任务以实现持久化，并执行Tornado DLL。 Tornado通过HTTP与C2服务器通信，下载并执行主后门，同时收集系统信息。若选择Telegram作为C2通道，则会利用机器人API外传系统数据并接收进一步指令。 值得注意的是，恶意软件第50版使用了一个名为“سرافراز”（意为“自豪”）的Telegram群组，群内包含机器人账号“@ttestro1bot”和用户“@ehsan8999100”。而在最新版本中，后者已被替换为名为“@Ehsan66442”的新用户。 Bar 补充道：“与此前一样，Telegram群组中的机器人成员仍无权读取群聊消息。12月21日，原用户@ehsan8999100被添加至一个名为‘Test’的新Telegram频道，该频道当时仅有3名订阅者。此频道的具体用途尚不明确，但我们推测其被用于对受害机器的命令与控制。” SafeBreach称，其已成功提取该私密电报群组内的所有消息，获取了 2025 年 2 月 16 日以来所有被窃取的 Foudre 和 Tonnerre 相关文件，包括 118 个文件及 14 个共享链接 —— 链接内包含该威胁组织发送给 Tonnerre 的加密指令。对这些数据的分析揭示了两项关键发现： 一是发现一个恶意 ZIP 文件，会释放 ZZ 窃取器，该窃取器会加载 StormKitty 信息窃取软件的定制变种。 二是 ZZ 窃取器攻击链，与针对 Python 包索引（PyPI）仓库的攻击活动存在 “极强关联性”—— 攻击者上传恶意包 testfiwldsd21233s，用于释放 ZZ 窃取器早期版本，并通过电报机器人接口窃取数据。 三是 Infy 与Charming Kitten 组织，因均使用 ZIP 文件、Windows 快捷方式（LNK）文件及 PowerShell 加载器技术，存在 “较弱的潜在关联性”。 SafeBreach解释道：“ZZ Stealer似乎是一种第一阶段恶意软件（类似Foudre），会首先收集环境数据、截取屏幕截图并窃取所有桌面文件。此外，当从C2服务器收到‘8==3’指令时，它将下载并执行同样被攻击者命名为‘8==3’的第二阶段恶意软件。”   消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数字出版平台 Substack 发生数据泄露事件，一名黑客泄露了据称取自该公司系统的用户记录，目前平台已正式披露此事。 Substack 是一款热门订阅制出版平台，支持作家、播客主及创作者向订阅者直接推送时事通讯，同时实现作品商业化变现。最新数据显示，该平台拥有约 3500 万订阅用户。 该公司已开始向用户推送通知，告知其发生一起安全事件，导致用户电子邮箱、电话号码及内部元数据遭泄露。 Substack 表示，该事件发生于 2025 年 10 月，但直至 2 月 3 日才被发现，当日公司发现 “系统存在漏洞，导致未授权第三方得以非法访问部分用户数据”。 由 Substack 首席执行官Chris Best签署的用户通知中明确，用户密码、银行卡号及其他金融信息未发生泄露。 尽管公司表示暂无证据表明泄露信息已被滥用，但仍敦促用户警惕可疑电子邮件与短信。就在此次通知发出数日前，一名黑客泄露了其宣称是 Substack 用户数据的相关信息。 该黑客在论坛帖子中声称，窃取的数据包括姓名、邮箱、电话号码、个人资料照片、用户 ID 及个人简介等信息。 该威胁行为者称，通过数据爬取手段获取了近 70 万条用户记录，并表示此次攻击 “动静较大”，致使平台迅速采取了缓解措施。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利外交部长 Tajani 表示，该国已挫败一系列针对外交部办公机构及冬奥会官网、相关酒店的俄关联网络攻击。据他透露，意大利已挫败一系列俄关联网络攻击，攻击目标包括外交部驻外办公机构（含华盛顿办事处）、冬奥会官方网站及科尔蒂纳丹佩佐地区的冬奥相关酒店。 兼任副总理的Tajani 强调：“我们挫败了一系列针对外交部办公机构（首当其冲是华盛顿办事处）及部分冬奥场所（含科尔蒂纳地区酒店）的网络攻击。”他明确指出“这些行动由俄罗斯主导”。据意大利安莎通讯社报道，Tajani 是在华盛顿出访期间向记者披露此事的。 亲俄黑客组织 Noname057(16) 宣称实施了这些分布式拒绝服务（DDoS）攻击。近期该组织已通过自身渠道公布目标清单，涵盖科尔蒂纳地区多家酒店及外交部等政府网站。 该组织声称，发起攻击是对意大利亲乌立场的报复，同时列出其他攻击目标，包括意大利驻华盛顿大使馆及驻悉尼、多伦多、巴黎领事馆。得益于意大利有关部门及国家网络安全局的应对处置，此次攻击造成的影响目前较为有限。 目前监测到的攻击强度尚未达到极高水平，但各方已明确，当前威胁态势中存在可发起大规模分布式拒绝服务攻击的僵尸网络，这类攻击需通过复杂方案才能缓解。例如近期 AISURU 僵尸网络发起的攻击就具备这样的规模，但该僵尸网络似乎并不属于Noname057(16)这类亲俄激进黑客组织的攻击武器库。 意大利内政部长 Piantedosi 宣布，意方将在米兰至多洛米蒂赛区的各个场馆部署6000名安全人员，其中包括拆弹小组、狙击手及反恐部队。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文