HackerNews 编译，转载请注明出处： Lumma信息窃取恶意软件（Infostealer）行动在5月遭受大规模执法打击后正逐步恢复活动。此前执法行动查获了2300个域名及部分基础设施，但该恶意软件即服务（MaaS）平台并未关闭。 运营商随即在XSS论坛发布声明，承认执法行动的影响，但声称其核心服务器未被查获（尽管已遭远程擦除），且恢复工作已在进行中。趋势科技（Trend Micro）报告显示，Lumma的基础设施在打击后数周内迅速重建，活动水平已接近行动前状态。该组织为规避进一步打击，已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。 当前Lumma主要通过四类渠道传播恶意软件： 虚假破解工具/密钥生成器：通过恶意广告和篡改的搜索结果推广，诱导用户访问欺诈网站。这些网站先用流量检测系统（TDS）分析用户环境，再分发Lumma下载器。 ClickFix技术：入侵网站植入虚假验证码页面，诱骗用户执行PowerShell命令，直接将Lumma载入内存以规避文件检测机制。 GitHub仓库：攻击者创建含AI生成内容的仓库，以虚假游戏外挂为诱饵（如“TempSpoofer.exe”），通过可执行文件或ZIP压缩包分发恶意负载。 YouTube/Facebook平台：利用视频和帖子推广破解软件，将用户引流至托管Lumma的第三方站点（甚至滥用Google协作平台等可信服务提升可信度）。 趋势科技指出，Lumma的复苏印证了缺乏逮捕或起诉的执法行动难以阻止高利润的MaaS运营者，其核心成员仅将此类打击视为“需规避的常规障碍。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚金融监管机构已对金融服务公司Fortnum Private Wealth采取法律行动，指控该公司使客户面临不可接受的网络安全风险。 澳大利亚证券与投资委员会（ASIC）于7月21日在新南威尔士州（NSW）最高法院对这家财务咨询公司提起诉讼。 ASIC声称Fortnum Private Wealth未能制定充分的政策、框架、系统和控制措施来应对网络安全风险。 该委员会指控，这些失误导致Fortnum的许多客户和授权代表（ARs）遭遇了网络事件。 其中一起事件导致2022年9月发生了大规模数据泄露，涉及高达9828名客户的超过200GB数据。这些机密信息随后被发布在暗网上。 在多次事件中，威胁行为者成功访问了授权代表的电子邮件账户，并利用这些账户向客户发送网络钓鱼邮件。 这些事件大多发生在Fortnum于2021年4月推出一项具体的网络安全政策之后。ASIC辩称，该政策不足以有效管理网络安全风险，尤其对于一家负责处理高度敏感客户数据的金融服务公司而言。 该政策后来在2023年5月进行了修订。 诉讼中强调的主要网络安全失误包括： 未要求授权代表接受规定的最低限度的网络安全教育或培训； 未能监督或监控其授权代表的网络安全风险管理框架； 未配备拥有网络安全专业知识和经验的员工，也未聘请专业顾问协助制定其网络安全政策； 未能建立解决网络安全问题的风险管理系统，或未能制定可识别和评估其所有授权代表网络安全风险的政策、框架、系统或控制措施。 ASIC主席乔·隆戈（Joe Longo）评论道：“Fortnum涉嫌未能充分管理网络安全风险，使该公司、其代表及其客户暴露在不可接受的网络攻击风险水平之下。”他补充说：“ASIC一直在强调公司的网络安全责任。尤其是澳大利亚金融服务持牌机构，持有大量敏感和机密信息。” ASIC表示，正在寻求法院宣布Fortnum的违规行为，并对该公司处以经济处罚。 Fortnum首席执行官马特·布朗（Matt Brown）在Financial Newswire发表的声明中表示，该公司“强烈反驳”ASIC关于其未能实施适当网络安全控制的指控。布朗补充道：“由于此事现已进入法庭程序，Fortnum目前无法进一步置评。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科（Cisco）警告称，其身份服务引擎（Identity Services Engine, ISE）中近期修复的三个严重远程代码执行（RCE）漏洞现遭积极利用。 尽管该供应商未具体说明漏洞如何被利用以及攻击是否成功，但尽快应用安全更新变得至关重要。 “2025年7月，思科产品安全事件响应团队（PSIRT）获悉这些漏洞中的一部分在野外遭到尝试性利用，”更新后的公告中写道。 “思科继续强烈建议客户升级至已修复的软件版本以修补这些漏洞。” 思科身份服务引擎（ISE）是一个使大型组织能够控制网络访问并执行安全策略的平台。 这些最高严重性的漏洞最初由供应商于2025年6月25日（CVE-2025-20281 和 CVE-2025-20282）和2025年7月16日（CVE-2025-20337）披露。 以下是这些漏洞的简要描述： CVE-2025-20281：思科身份服务引擎（ISE）及ISE被动身份连接器（ISE-PIC）中存在严重的未认证远程代码执行漏洞。攻击者可发送特制的API请求，无需认证即可在底层操作系统上以root权限执行任意命令。已在ISE 3.3 Patch 7 和 3.4 Patch 2 中修复。 CVE-2025-20282：思科ISE及ISE-PIC 3.4版本中存在严重的未认证任意文件上传与执行漏洞。文件验证缺失允许攻击者将恶意文件上传至特权目录并以root权限执行。已在ISE 3.4 Patch 2 中修复。 CVE-2025-20337：影响思科ISE及ISE-PIC的严重未认证远程代码执行漏洞。攻击者可利用输入验证不足的缺陷，通过特制API请求获取root权限，无需凭证。已在ISE 3.3 Patch 7 和 3.4 Patch 2 中修复。 这三个漏洞均被评为最高严重性（CVSS评分：10.0），且无需认证即可远程利用，这使其成为黑客寻求侵入企业网络的宝贵目标。 思科此前曾因漏洞发现时间不同，为这三个漏洞分别发布了两次单独的热修复补丁。为一次性缓解所有漏洞，建议管理员采取以下措施： ISE 3.3 用户必须升级至 Patch 7 ISE 3.4 用户必须升级至 Patch 2 使用 ISE 3.2 或更早版本的用户不受影响，无需采取任何措施。 这三个漏洞没有可行的缓解措施（Workaround），因此应用更新是唯一推荐的解决途径。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安卓恶意软件Konfety的新变种近期出现，其通过构造畸形的ZIP文件结构及其他混淆技术逃避分析与检测。 Konfety伪装成合法应用，模仿Google Play上的无害产品，但完全不提供宣称的功能。该恶意软件的功能包括：将用户重定向至恶意网站、强制安装不需要的应用以及推送虚假浏览器通知。 其核心行为是通过CaramelAds SDK获取并展示隐藏广告，同时窃取设备信息（如已安装应用列表、网络配置及系统信息）。 尽管Konfety不属于间谍软件或远程访问工具（RAT），但其APK内包含加密的次级DEX文件。该文件在运行时解密并加载，内含AndroidManifest文件中声明的隐藏服务。这种机制为动态安装附加模块留下后门，使当前感染设备可能被植入更危险的恶意功能。 规避技术分析 移动安全平台Zimperium的研究人员发现并分析了最新Konfety变种，确认其采用多重技术混淆真实行为： 1、“邪恶双胞胎”分发策略：复制Google Play正版应用的名称与标识，通过第三方应用商店分发。该策略被Human公司研究人员命名为“诱饵双胞胎”。 2、动态代码加载：恶意逻辑隐藏在加密的DEX文件中，仅在运行时加载，使常规扫描无法检测。 3、APK文件结构操控： 虚假加密标志：将通用标志位（General Purpose Bit Flag）的00位设为“1”，误导分析工具识别为加密文件并索要密码（实际未加密），阻碍APK内容访问。 声明非常规压缩格式：关键文件声明采用BZIP压缩算法（0x000C），导致APKTool、JADX等工具因不支持此格式而解析失败。 注：Android系统会忽略这些异常声明，自动启用默认处理机制确保安装运行。 4、隐蔽执行：安装后隐藏应用图标与名称，并利用地理围栏技术根据受害者区域动态调整行为。 历史关联技术 压缩混淆技术在安卓恶意软件中早有先例。2024年4月卡巴斯基报告的SoumniBot恶意软件即采用类似手法：在AndroidManifest.xml声明无效压缩方法、伪造文件大小和数据覆盖，并通过超长命名空间字符串干扰分析工具。 防护建议 用户应避免从第三方安卓应用商店安装APK文件，仅信任已知开发者的软件。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 你觉得自己的密码很安全，因为它有 8 个字符长，还混了一两个数字？根据 Specops 的新分析，近 99% 的泄露密码都弱到几分钟就能被破解。 要是你觉得把狗的名字和末尾加个 “1234” 的巧妙组合无懈可击，那可得再想想了。Specops 的最新研究显示，98.5% 的现实世界泄露密码客观上都是弱密码。没错，这可能包括你的密码。 Specops 的网络安全团队分析了 1000 万个真实密码，这些密码来自一个包含超过 10 亿个泄露凭证的庞大数据库。随后，团队将这 1000 万个密码绘制在了一张长度与复杂度的热图上。 只有 1.5% 的密码能进入 “强” 密码区域，其定义为至少 15 个字符长，且使用两种或更多字符类型。样本中只有 3.3% 的密码长度超过 15 个字符。这意味着，绝大多数密码用一台便宜的 GPU 设备就能瞬间破解。 在泄露的密码中，最常见的是 8 个字符长、仅包含两种字符类型的密码，比如 “Summer22” 或 “Office99”。 约 8% 的密码都属于这种极度基础的危险区域。紧随其后的是 8 个字符长、仅包含一种字符类型的密码（比如全是小写字母），这部分又占了 7.6%。 为什么弱密码是个问题？ 它们是易受攻击的目标：弱密码往往是攻击者的首个入口。一旦侵入，黑客就能在网络中游走、提升权限、提取敏感数据，而且往往不会触发安全警报。 密码重用会放大风险：大多数员工要管理几十个登录账号，密码重用很常见。一个系统的泄露可能导致内部工具、数据库甚至关键管理员控制台被访问。 它们违反法规：像 GDPR、HIPAA 和 PCI DSS 这样的数据保护法要求安全的认证实践。弱密码或重用密码达不到这些标准，可能会导致罚款、审计和法律后果。 暴力破解工具比以往更快：如今的硬件每秒能尝试数十亿次猜测。以前需要几天的事，现在几分钟就能完成，尤其是对于 10 个字符以下的密码。 加密不能解决所有问题：哈希和加盐能提高密码安全性，但无法弥补糟糕的选择。弱密码即使加密了，仍然容易被破解。 大规模攻击很常见：黑客经常使用僵尸网络发起分布式攻击，绕过速率限制等安全措施。这些方法能对跨服务的密码进行大量测试，增加成功破解的几率。 为什么 15 个字符以上成了新的最低要求？ 尽管进行了十年的安全意识培训、发布了钓鱼警告，还有关于俄罗斯僵尸网络的报道，人们和组织仍然允许弱密码进入他们的系统。 “很多用户仍然选择弱的、容易被猜到的组合，网络罪犯几秒就能破解。”Specops 的高级产品经理达伦・詹姆斯说。 有了 GPU 驱动的设备和云破解服务，对于在破解过程中计算密码可能性的攻击者来说，12 个字符以下的密码都是唾手可得的目标。 增加复杂度，比如使用符号或大小写混合，能提高熵值，减缓暴力破解攻击。不过，更新后的 NIST 指南现在更强调长度。这意味着，使用 16 到 20 个字符的密码，远比依赖特殊符号或随机大写字母要好。 15 个字符或更长，且至少包含两种不同字符类型（字母、数字、符号），能将可能的组合数提升到数万亿甚至更多。这些数字会让即使是高端的破解设备也倍感吃力，将预期的破解时间从几小时延长到几年甚至几个世纪。 要创建强密码，可以使用密码生成器和密码管理器来安全管理不同平台的访问权限。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美货运列车尾部安装的制动监测装置存在严重安全隐患。安全研究员尼尔·史密斯12年前发现并报告了该漏洞，但近期才被公开披露。这种被称为列车尾部装置（EoT）和车头装置（HoT）的系统，通过无线电信号在列车两端传输制动数据。然而其通信协议既无身份认证也无加密保护，仅采用BCH校验码进行错误检测。 这意味着攻击者仅需价值不足500美元的无线电设备，即可远程发送纯文本指令操控列车制动。美国网络安全和基础设施安全局（CISA）最新警告指出：成功利用此漏洞（编号CVE-2025-1727，CVSS评分8.1）可导致列车急停造成运营中断，甚至触发制动失灵。 史密斯在社交媒体解释道：“攻击者能从极远距离接管列车制动控制器，诱发脱轨事故或瘫痪全国铁路系统”。尽管该漏洞尚未被列入已知遭利用漏洞目录，但专家警告突发的制动操作可能引发乘客受伤、运输中断乃至列车脱轨等灾难性后果。 美国铁路协会（AAR）已启动协议更换计划，拟采用支持加密和低延迟的IEEE 802.16t直连对等协议替代旧系统。但史密斯透露：全面更换约7.5万台设备需5-7年时间，成本高达100亿美元。 攻击者无需接近列车即可实施攻击。无线电信号有效距离达数英里（部分列车全长近5公里），攻击者通过增强信号功率甚至可在240公里外进行操作。史密斯尖锐指出：“这套射频链路安全水平停留在1980年代，仅依赖非法频段使用限制作为防护”。 类似攻击早有先例：2023年波兰黑客通过伪造无线电停车信号，迫使20列火车停运并造成碰撞脱轨事故，肇事设备仅为廉价无线电发射器 比利时鲁汶大学教授马蒂·范霍夫透露，供应商最初以“理论风险”为由淡化该漏洞，且研究者难以获得测试系统进行伦理验证。至今该漏洞仍未修复，史密斯耗时12年才推动漏洞信息公之于众。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360最新报告揭露，一场利用虚假新闻网站（BNS）实施跨国投资诈骗的犯罪行动已蔓延至50个国家。这些伪装成CNN、BBC、CNBC或地区媒体的BNS网页发布虚假报道，杜撰公众人物、央行或金融品牌支持新型被动收入项目的消息，旨在快速建立信任并将读者引向Trap10、Solara Vynex等专业级诈骗平台。 诈骗者通过谷歌、Meta及博客网络的赞助广告引流，使用“知名人物最新爆料”等标题党文案搭配官方照片/国旗增强可信度。用户点击后将跳转至假新闻页，最终导向虚假交易平台。多数骗局采用双阶段结构：第一阶段通过广告和假文章诱骗受害者；第二阶段在受害者上钩后启动，所谓“投资顾问”会致电索取身份证件，要求加密货币存款，并以持续“账户验证”拖延提款。这种分层机制帮助诈骗团伙建立虚假信任、延缓怀疑，直至榨干受害者资产。 当前CTM360的Webhunt平台已追踪到17,000余个此类网站。它们普遍托管于.xyz/.click/.shop等廉价顶级域，部分攻击者甚至入侵真实网站的子目录托管BNS内容以增加关停难度。诈骗网页往往根据目标地区定制化呈现——使用当地语言、篡改媒体Logo、结合区域意见领袖及银行信息提升欺骗性。 多数受害者在搜索在线投资或被动收入方法时遭遇骗局，易被模仿正规财经建议的赞助广告诱导。假内容精准匹配高意向搜索词，如“自动化加密货币交易”、“名人背书投资”等定制化诱饵。当受害者进入诈骗平台注册后，“投资经理”会通过专业话术敦促其存入约240美元激活账户。虚假利润仪表盘随即开始模拟盈利，而越深入参与就越被胁迫追加投资。 此类骗局不仅滥用信任，更收集敏感数据用于钓鱼攻击、身份盗窃及二次诈骗，使诱饵新闻网站成为三位一体的跨界威胁：兼具投资欺诈、品牌冒充与数据收割功能。这种模式正日益出现在杀猪盘、虚假KYC平台及联盟欺诈网络中，其生态演变值得重点追踪。 基于MITRE框架开发的CTM360欺诈导航工具完整绘制了骗局全流程：从资源架设、广告投放、受害者交互到数据窃取与资金变现。BNS在传播阶段扮演关键角色，成为庞大欺诈链条的入口节点。目前CTM360持续监控相关活动，并向受影响国家/机构提供关停支持、威胁情报及风险防护服务。 （注：CTM360是集成外部攻击面管理、数字风险防护、网络威胁情报、品牌保护与反钓鱼等功能的统一安全平台，提供覆盖明网/深网/暗网的无缝监测及无限关停服务。该方案无需用户配置安装，所有数据预填充且定向匹配机构需求，全程由CTM360托管运营。）         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 社交媒体公司TikTok正在就英国数据监管机构开出的1270万英镑罚款提起上诉之际，宣布将聘用该监管机构一名高级官员，此举可能引发利益冲突担忧。 信息专员办公室（ICO）监管监督副局长斯蒂芬·邦纳（Stephen Bonner）——这位被资深同事称为“ICO工作核心人物”的官员——将于今年晚些时候加入TikTok，担任其欧洲数据保护部门负责人。 该人事变动发生在ICO于2023年对TikTok处以1270万英镑（约1725万美元）罚款之后，处罚理由是该公司滥用儿童数据；2025年3月，ICO又针对该社交媒体平台持续收集儿童数据的行为启动了“重大调查”。据Politico率先披露，邦纳的职位变动被批评为“旋转门”现象（指监管者离职后加入被监管企业的现象）的典型代表。此类行为可能引发政治学家所称的“监管俘获”风险，即监管机构过度偏袒其本应监管的行业利益。 数字权利组织“开放权利集团”法律政策官员马里亚诺·德利桑蒂指出：“邦纳的跳槽是ICO未能维护公共生活标准的又一例证。公务员应致力于公共利益而非个人职业目标”。ICO副首席执行官保罗·阿诺德则为邦纳辩护称：“邦纳过去四年是我们成功的关键成员，我们祝愿他重返私营领域顺利”，并强调所有前ICO员工均受法定保密义务约束。 ICO特别说明：邦纳未参与2023年罚款决定的制定，也未参与针对TikTok儿童数据推荐系统的调查。尽管他接触过当前调查，但已主动回避以避免利益冲突嫌疑。阿诺德补充称：“ICO有诸多前雇员利用其经验提升数据保护标准，我们为此传统自豪。” 德利桑蒂进一步披露：“在野时，惠特彻奇女男爵琼斯曾在《数据法案》中提议修正案，禁止ICO职员加入遭监管执法的企业。”该修正案旨在阻断监管者任职期间“进入其监管行业就职的通道”。但工党执政后“废除了该提案”，这与其竞选时“恢复英国公共生活廉洁性”的承诺相悖。现任科学、创新与技术部（DSIT）初级部长的琼斯未回应置评请求。DSIT发言人仅表示：“ICO独立于政府运作，其现任及前任员工均受法定保密义务约束。” TikTok未立即回应置评请求。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全机构CISA上周发布警告称，德国工业网络设备厂商Microsens的NMP Web+产品存在两个严重漏洞和一个高危漏洞，可能被黑客利用实施远程攻击。 Microsens为工业企业和组织提供交换机、转换器、楼宇控制器等自动化解决方案，其NMP Web+平台用于集中管理工业交换机及网络设备配置。漏洞详情如下： CVE-2025-49151（严重）：未授权攻击者可伪造JSON Web Token（JWT）绕过身份验证； CVE-2025-49153（严重）：攻击者能覆盖服务器文件并执行任意代码； 高危漏洞：JWT令牌未设置过期时间，导致长期有效。 Claroty Team82研究员Noam Moshe（漏洞发现者）向SecurityWeek表示，攻击者可链式利用这些漏洞： 通过伪造JWT获取系统访问权限； 利用文件覆盖漏洞完全控制操作系统。 “这实现了‘从零到英雄’的跳跃——无需任何凭证即可接管系统。”Moshe强调，尽管攻击需访问目标NMP Web+的Web服务器，但大量实例暴露在互联网，存在被扫描攻击的风险。 CISA确认尚未发现野外利用案例，Microsens已发布补丁（Windows/Linux版本3.3.0）。受影响产品在全球范围部署，尤其涉及关键制造业领域。建议用户立即更新至修复版本，并限制管理界面的互联网暴露。   消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌已发布安全更新，修复其Chrome浏览器中一个已被野外利用的零日漏洞（CVE-2025-6554，CVSS评分暂缺）。该漏洞被描述为V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）的说明：”Chrome 138.0.7204.96之前版本中，V8引擎的类型混淆漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作。” 类型混淆漏洞危害严重，可能被利用触发软件异常行为，导致任意代码执行或程序崩溃。此类零日漏洞风险极高，因其常在补丁发布前就被攻击者武器化。实际攻击中，黑客可能通过诱导用户访问恶意网站，悄无声息地安装间谍软件、发起偷渡式下载或植入恶意代码。 该漏洞由谷歌威胁分析小组（TAG）的Clément Lecigne于2025年6月25日发现并报告。TAG通常负责追踪国家级攻击或监控行动，此次披露暗示漏洞可能已被用于高度定向的攻击，涉及政府支持的黑客或间谍活动。 谷歌表示，漏洞在次日（6月26日）已通过配置更新缓解，并推送至全平台稳定版通道。普通用户虽暂未面临大规模威胁，但立即更新补丁至关重要，尤其针对处理敏感数据的高价值目标。 尽管谷歌未透露漏洞利用细节及攻击者信息，但确认”CVE-2025-6554的野外利用已存在”。这是谷歌2025年修复的第四个Chrome零日漏洞，此前三个分别为CVE-2025-2783、CVE-2025-4664和CVE-2025-5419（其中CVE-2025-4664是否遭恶意利用尚不明确）。 用户防护建议： 1. 立即升级Chrome至以下版本： Windows/macOS: 138.0.7204.96/.97 Linux: 138.0.7204.96 2. 检查更新路径：Chrome设置 → 帮助 → 关于Google Chrome（浏览器将自动检测并安装最新版本）。 3. 企业/IT团队需启用自动补丁管理，监控终端浏览器版本合规性。 4. 其他基于Chromium的浏览器（Edge、Brave、Opera、Vivaldi等）用户需等待厂商发布修复补丁后及时更新。 （注：谷歌通常会在漏洞被完全修复后公开更多技术细节，建议持续关注官方安全公告。）   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文