HackerNews 编译，转载请注明出处： 以 Velvet Tempest 为代号追踪的勒索软件威胁组织，正利用 ClickFix 技术与合法的 Windows 工具部署 DonutLoader 恶意软件与 CastleRAT 后门。 网络诱骗威胁情报公司 MalBeacon 的研究人员在一个模拟的组织环境中，对黑客的行为进行了为期 12 天的观测。 Velvet Tempest，同时也以 DEV‑0504 为代号进行追踪，是一个至少在五年内以附属机构身份参与勒索软件攻击的威胁组织。 该组织与部署多款破坏力极强的勒索软件家族相关联：Ryuk（2018‑2020）、REvil（2019‑2022）、Conti（2019‑2022）、BlackMatter、BlackCat/ALPHV（2021‑2024）、LockBit 以及 RansomHub。 Velvet Tempest 勒索软件部署时间线（来源：MalBeacon） 此次攻击由 MalBeacon 在 2 月 3 日至 16 日期间于一个美国非营利组织的复刻环境中监测到，该环境拥有超过 3000 个终端与 2500 多名用户。 在获取访问权限后，Velvet Tempest 操作者执行了手动操作，包括对 Active Directory 进行侦察、主机发现、环境信息收集，同时使用 PowerShell 脚本窃取存储在 Chrome 中的凭据。 该脚本托管在一个 IP 地址上，研究人员将该 IP 与 Termite 勒索软件入侵所用的工具部署服务器相关联。 据研究人员介绍，Velvet Tempest 通过恶意广告活动获取初始访问权限，该活动引导至一个结合 ClickFix 与验证码的页面，指示受害者将一段经过混淆的命令粘贴到 Windows 运行对话框中。 Velvet Tempest 使用的 ClickFix 诱饵（来源：MalBeacon） 粘贴的命令触发了嵌套的 cmd.exe 调用链，并利用 finger.exe 获取首批恶意软件加载器。其中一个载荷是一个伪装成 PDF 文件的压缩包。 在后续阶段中，Velvet Tempest 使用 PowerShell 下载并执行命令，以获取更多载荷、通过 csc.exe 在临时目录编译 .NET 组件，并在 C:\ProgramData 中部署基于 Python 的组件以实现持久化。 此次行动最终部署了 DonutLoader，并加载了 CastleRAT 后门。CastleRAT 是一款远程控制木马，与以分发多种 RAT 与信息窃取工具（如 LummaStealer）闻名的 CastleLoader 加载器相关联。 Termite 勒索软件此前已宣称对多家知名受害者发起攻击，包括 SaaS 提供商 Blue Yonder 与澳大利亚大型试管婴儿机构 Genea。 尽管 Velvet Tempest 通常实施双重勒索攻击 —— 即在窃取企业数据后对受害者系统进行加密，但 MalBeacon 的报告指出，在本次观测到的入侵事件中，该威胁组织并未部署 Termite 勒索软件。 多个勒索软件组织已在攻击中采用 ClickFix 技术。Sekoia 曾在 2025 年 4 月报告称，Interlock 勒索软件团伙使用该社会工程方法攻破企业网络。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，威胁行为者正越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。 根据微软威胁情报发布的一份最新报告，攻击者正将生成式人工智能工具用于广泛任务，包括侦察、钓鱼、基础设施搭建、恶意软件开发以及入侵后活动。 在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、总结窃取的数据、调试恶意软件，以及辅助脚本编写或基础设施配置。 “微软威胁情报已观察到，当前绝大多数人工智能的恶意使用都集中于利用大语言模型生成文本、代码或媒体内容。威胁行为者利用生成式人工智能撰写钓鱼诱饵、翻译内容、总结窃取的数据、生成或调试恶意软件，以及搭建脚本或基础设施框架。” 微软警告称。 “对于这些用途而言，人工智能发挥了力量倍增器的作用，降低了技术阻力并加快了执行速度，而人类操作者仍保留对攻击目标、攻击对象和部署决策的控制权。” 威胁行为者在网络攻击生命周期中对人工智能的使用（来源：微软） 被用于支撑网络攻击的人工智能 微软已观察到多个威胁组织将人工智能融入网络攻击，包括代号为 Jasper Sleet（Storm-0287）和 Coral Sleet（Storm-1877）的朝鲜籍行为者，他们将该技术用于远程 IT 人员渗透计划。 在这些行动中，人工智能工具帮助生成逼真的身份信息、简历和通信内容，以在西方企业获得雇佣资格，并在入职后维持访问权限。 “Jasper Sleet 利用生成式人工智能平台简化伪造数字身份的制作流程。例如，Jasper Sleet 行为者会提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份档案。例如，威胁行为者可能在此场景中使用以下类型的提示词来利用人工智能： 示例提示词 1：“创建 100 个希腊姓名的列表。” 示例提示词 2：“使用姓名 Jane Doe 创建一组邮箱地址格式。” Jasper Sleet 还利用生成式人工智能审阅专业平台上软件开发及 IT 相关岗位的招聘信息，提示工具提取并总结所需技能。这些输出结果随后被用于为特定职位量身定制伪造身份。 ❖ 微软威胁情报” 报告还描述了人工智能如何被用于辅助恶意软件开发与基础设施搭建，威胁行为者利用人工智能编码工具生成和优化恶意代码、排查错误，或将恶意软件组件移植到不同编程语言。 并非只有微软观察到威胁行为者越来越多地使用人工智能支撑攻击并降低入门门槛。 谷歌近期报告称，威胁行为者在网络攻击的所有阶段都在滥用 Gemini 人工智能，这与亚马逊在相关攻击活动中观察到的情况一致。 亚马逊以及 Cyber and Ramen 安全博客近期也报告了一起攻击活动，其中威胁行为者使用多个生成式人工智能服务，成功攻破了超过 600 个 FortiGate 防火墙。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维基媒体基金会今日遭遇安全事件，一款自传播 JavaScript 蠕虫篡改用户脚本并破坏 Meta-Wiki 页面。 维基编辑首先在 “村舍水泵（技术版）” 板块上报该事件，用户发现大量自动化编辑行为向随机页面植入隐藏脚本并实施破坏。 维基媒体工程师暂时限制全平台编辑功能，同时调查攻击并回滚篡改内容。 JavaScript 蠕虫细节 据维基媒体 Phabricator 问题追踪系统显示，事件源于俄文维基上的恶意脚本被执行，导致维基百科全局 JavaScript 脚本被植入恶意代码。 该恶意脚本存储于 User:Ololoshka562/test.js[存档]，最早上传于 2024 年 3 月，据称与此前维基项目攻击所使用的脚本相关。 BleepingComputer 分析编辑记录发现，该脚本今日早些时候首次被维基媒体员工账号执行，当时该账号正在测试用户脚本功能。目前尚不清楚脚本是被故意执行、测试中意外加载，还是因账号被盗触发。 BleepingComputer 分析存档的 test.js 脚本发现，其通过向登录用户的 common.js 和维基百科全局 MediaWiki:Common.js（所有用户共用） 注入恶意 JavaScript 加载器实现自传播。 MediaWiki 支持全局和用户专属 JavaScript 文件（如 MediaWiki:Common.js、User:<用户名>/common.js），这些文件在编辑者浏览器中执行，用于自定义维基界面。 当 test.js 脚本在登录编辑者的浏览器中加载后，会利用该编辑者的会话和权限尝试修改两个脚本： ·     用户级持久化：覆盖 User:<用户名>/common.js，植入加载器 —— 该用户登录浏览维基时会自动加载 test.js 脚本。 ·     全站级持久化：若用户拥有对应权限，脚本会编辑全局 MediaWiki:Common.js，使所有使用该全局脚本的编辑者都执行恶意代码。 向 MediaWiki:Common.js 注入自传播 JavaScript 蠕虫的代码（来源：BleepingComputer） 若全局脚本被成功篡改，所有加载该脚本的用户都会自动执行加载器，进而重复相同步骤（包括感染自身 common.js）。 遭感染的维基媒体用户 common.js 脚本（来源：BleepingComputer） 该脚本还能通过 Special:Random 维基指令获取随机页面，编辑页面插入图片及以下隐藏 JavaScript 加载器： BleepingComputer 分析显示，事件中约 3996 个页面被篡改，85 名用户的 common.js 文件被替换，被删除的页面数量尚未可知。 遭 JavaScript 蠕虫篡改的页面（来源：BleepingComputer） 随着蠕虫扩散，工程师暂时限制全平台编辑功能，同时回滚恶意修改、移除注入脚本的引用。清理过程中，维基媒体基金会员工还回滚了平台上大量用户的 common.js 文件。被篡改的页面现已被 “屏蔽”，不再显示在修改记录中。 截至发稿，注入代码已被清除，编辑功能恢复正常。但维基媒体尚未发布详细事后报告，说明休眠脚本被执行的具体原因，以及蠕虫被控制前的扩散范围。 更新内容：维基媒体基金会向 BleepingComputer 发布声明称，恶意代码仅活跃 23 分钟，期间仅篡改 / 删除 Meta-Wiki 内容（现已恢复）。 声明全文：“今日早些时候，维基媒体基金会员工正对维基百科上用户编写的代码进行安全审查。审查过程中激活了一段休眠代码，随后发现该代码具有恶意性质。作为预防措施，我们暂时禁用维基百科及其他维基媒体项目的编辑功能，同时清除恶意代码并确认平台可安全使用。此次故障的安全问题现已解决。 恶意代码仅活跃 23 分钟，期间篡改 / 删除 Meta-Wiki 内容（现已恢复），未造成永久性损害。无证据表明维基百科遭蓄意攻击，也无个人信息泄露。我们正制定额外安全措施，降低同类事件再次发生的风险。相关更新将通过基金会公开事件日志持续发布。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。 该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。 该漏洞编号为 CVE-2026-1492，CVSS 评分 9.8 分（高危）。由于插件在注册时允许用户指定角色，黑客可未授权创建管理员账户。 管理员账户拥有网站完全权限，可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容，甚至锁定合法管理员。 获得该权限的攻击者可窃取用户数据库等数据，并植入恶意代码向访客分发恶意程序。 WordPress 安全公司 Defiant（Wordfence 开发商）在过去 24 小时内，在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。 漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4（上周发布）。 若无法更新，建议暂时禁用或卸载插件。 据 Wordfence 数据，CVE-2026-1492 是该插件今年披露的最严重漏洞。 黑客持续针对 WordPress 网站，用于恶意活动：分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。 2026 年 1 月，黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550，可远程绕过认证并以管理员权限访问受影响网站。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tycoon 2FA 是一款知名的钓鱼即服务（PhaaS）工具集，它允许网络犯罪分子大规模实施中间人（AitM）式凭证窃取攻击。如今，该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。 这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现，欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售，起步价为 10 天使用权 120 美元，或一个月网页版管理面板访问权限 350 美元。据称，Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪（Saad Fridi）。 该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式，并监控有效与无效的登录尝试。 窃取到的信息包括账号凭证、多因素认证（MFA）验证码和会话 Cookie 等，这些信息既可以在面板内直接下载，也可以转发到 Telegram 中进行近乎实时的监控。 欧洲刑警组织表示：“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下，该平台每月生成数千万封钓鱼邮件，并协助攻击者未经授权访问全球近 10 万家机构，其中包括学校、医院和公共机构。” 作为此次联合行动的一部分，支撑该犯罪服务的 330 个核心域名（包括钓鱼页面和控制面板）已被关停。 情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台，并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联，每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者，微软称，Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台，并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。 截至 2025 年年中，Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%，其中单月邮件量就超过 3000 万封。这家科技巨头补充称，自 2023 年以来，该服务已在全球造成约 96,000 名 distinct 钓鱼受害者，其中包括超过 55,000 名微软客户。 网络安全公司 SpyCloud 对受害者日志数据的地理分析显示，美国是已确认受害者最集中的地区（179,264 人），其次是英国（16,901 人）、加拿大（15,272 人）、印度（7,832 人）和法国（6,823 人）。 这家网络安全公司表示：“绝大多数被攻击的账户都是企业管理账户，或与付费域名相关联，这进一步证实了一个结论：Tycoon 2FA 主要针对商业环境，而非个人消费者账户。” 网络安全公司 Proofpoint 的数据显示，Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称，仅在 2026 年 2 月，它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一，趋势科技（Trend Micro）指出，该钓鱼即服务平台拥有约 2000 名使用者。 利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业，包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。 微软表示：“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面，从而冒充可信品牌。” “它还允许使用该服务的威胁行为人实现持久化控制，即使用户重置了密码，也能继续访问敏感信息，除非活跃会话和令牌被显式吊销。这种效果的实现原理是，在身份认证过程中拦截生成的会话 Cookie，同时捕获用户凭证。随后，多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。” 该工具套件还采用了多种技术来规避检测，包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是，它大量使用各类顶级域名（TLD）和短期有效完全限定域名（FQDN），并依托 Cloudflare 搭建钓鱼基础设施。 这些完全限定域名通常仅存活 24 到 72 小时，这种快速轮换是故意为之，目的是增加检测难度，并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程，从而隐秘拦截用户凭证和会话令牌。 更糟糕的是，Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”（ATO Jumping）的技术，即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接，并尝试发起更多账户接管攻击。Proofpoint 指出：“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人，从而提高攻击成功的可能性。” 像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性，既能让技术能力不强的攻击者轻松使用，同时也能为更有经验的操作者提供高级功能。 Proofpoint 高级威胁研究员赛琳娜・拉尔森（Selena Larson）在向《黑客新闻》提供的声明中表示：“2025 年，99% 的机构遭遇了账户接管攻击尝试，67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中，59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关，但这一数据凸显了中间人钓鱼对企业造成的巨大影响。” “这些能够实现完全账户接管的网络攻击可能导致灾难性后果，包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点，获取企业电子邮件账户的访问权限，往往是一条可能带来毁灭性后果的攻击链的第一步。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客于周二在一个网络犯罪论坛上宣布了此次入侵。根据其声明，他们曾试图向 LexisNexis 勒索但未成功。 LexisNexis 法律与专业解决方案部门代表在向媒体发布的声明中表示，尽管攻击者确实获取了部分服务器的访问权限，但受影响系统主要存储 2020 年之前的旧版及废弃数据。 该公司已确认，客户姓名、用户 ID、商务联系方式、客户调查受访者 IP 地址以及支持工单等信息已遭泄露。 公司表示：“LexisNexis 法律与专业解决方案部门已对一起安全事件展开调查，根据目前的调查与检测，我们认为事件已得到控制。没有证据表明我们的产品和服务遭到入侵或受到影响。” 黑客称，他们利用了 React2Shell 漏洞以及安全配置不当的 AWS 实例，访问并窃取了超过 2GB 的数据。据称此次网络攻击发生于上周。 威胁组织声称获取了数百万条数据记录，包括企业账户数据、员工凭证、软件开发密钥，以及 40 万人的个人信息，其中包括 100 余名使用 .gov 邮箱地址的人员。泄露的个人信息包括姓名、电话号码、电子邮箱地址和职务。 这并非 LexisNexis 近年来首次遭遇数据泄露。LexisNexis 风险解决方案部门去年证实，2024 年一起第三方入侵事件导致超过 36 万人的信息被盗。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，在美以针对伊朗发动代号为 Epic Fury 和 Roaring Lion 的联合军事行动后，报复性黑客行动主义活动激增。 Radware 在周二的报告中表示：“中东地区的黑客行动主义威胁呈现高度不均衡态势，Keymous+ 和 DieNet 两个组织发起了 2 月 28 日至 3 月 2 日期间近 70% 的攻击活动。” 首例分布式拒绝服务（DDoS）攻击由 Hider Nex（又名 Tunisian Maskers Cyber Force）于 2026 年 2 月 28 日发起。 据 Orange Cyberdefense 披露的信息，Hider Nex 是一个支持巴勒斯坦事业的突尼斯秘密黑客行动主义组织。该组织采用攻击 + 泄密策略，将 DDoS 攻击与数据泄露相结合，泄露敏感信息以推进其地缘政治议程。该组织于 2025 年年中出现。 统计显示，共出现 149 起黑客行动主义 DDoS 攻击宣称，针对 16 个国家 110 家不同机构。攻击由 12 个不同组织实施，其中 Keymous+、DieNet 和 NoName057 (16) 占全部活动的 74.6%。 在这些攻击中，绝大多数（107 起）集中在中东地区，重点针对公共基础设施和国家级目标。欧洲成为同期全球 22.8% 攻击活动的目标。全球近 47.8% 的受攻击机构属于政府部门，其次是金融（11.9%）和电信（6.7%）行业。 Radware 表示：“该地区数字战线与实体战线同步扩大，黑客组织同时针对中东更多国家发起攻击，规模前所未有。”“区域内攻击高度集中在三个国家：科威特、以色列和约旦，分别占攻击宣称总量的 28%、27.1% 和 21.5%。” 根据 Flashpoint、Palo Alto Networks Unit 42 和 Radware 的数据，除上述三个组织外，参与破坏性行动的还包括 NOS、CEA、Sylhet Gang、313 Team、Handala Hack、APT Iran、Cyber Islamic Resistance、Dark Storm Team、FAD Team、Evil Markhors 和 PalachPro。 当前网络攻击范围如下： ·     亲俄黑客组织 Cardinal 和 Russian Legion 宣称攻破以色列军事网络，包括铁穹导弹防御系统。 ·     监测到活跃的 SMS 钓鱼活动，攻击者使用假冒以色列本土前线司令部 RedAlert 应用的恶意副本，投放移动监控与数据窃取恶意软件。CloudSEK 表示：“攻击者以战时紧急更新为幌子，诱导受害者侧载恶意 APK，在可用的警报界面下隐藏侵入式监控引擎，针对高度警惕的人群实施监控。” ·     伊朗伊斯兰革命卫队（IRGC）针对中东能源与数字基础设施发起攻击，目标包括沙特阿美和阿联酋的一座 AWS 数据中心。Flashpoint 称，其意图是 “制造最大程度的全球经济冲击，以对冲军事层面的损失”。 ·     Cotton Sandstorm（又名 Haywire Kitten）启用旧网络身份 Altoufan Team，宣称入侵巴林多家网站。Check Point 表示：“这反映出该攻击者行动的应激性，冲突期间其极有可能进一步参与中东地区的入侵活动。” ·     Nozomi Networks 数据显示，伊朗国家背景黑客组织 UNC1549（又名 GalaxyGato、Nimbus Manticore、Subtle Snail）是 2025 年下半年第四活跃的攻击组织，其攻击重点为国防、航空航天、电信及地区政府机构，以推进伊朗地缘政治目标。 ·     伊朗主流加密货币交易所仍在运行，但已宣布调整运营，暂停或批量处理提现，并发布风险提示，建议用户为可能的网络中断做好准备。 ·     TRM Labs 全球政策主管 Ari Redbord 表示：“伊朗目前的情况并非明显的大规模资本外逃，而是市场在网络受限与监管干预下应对波动的表现。”“多年来，伊朗一直存在影子经济，其中一部分通过加密货币规避制裁，包括利用复杂的离岸基础设施。目前在战争、断网和市场波动的压力下，这套基础设施及政权利用它的能力正接受实时压力测试。” ·     Sophos 表示 “观察到黑客行动主义活动激增，但风险并未升级”，攻击主要来自亲伊朗组织，包括 Handala Hack 和 APT Iran，攻击形式包括 DDoS、网站篡改以及针对以色列基础设施的未经证实的入侵宣称。 ·     英国国家网络安全中心（NCSC）向机构发出伊朗网络攻击风险升高警报，敦促其加强安全态势，应对 DDoS、钓鱼活动和对 ICS 的攻击。 Halcyon 勒索软件研究中心高级副总裁、前 FBI 网络部副主任 Cynthia Kaiser 在 LinkedIn 发文称，伊朗素有利用网络行动报复 “所谓政治冒犯” 的先例，她补充称，此类活动越来越多地结合勒索软件。 Kaiser 补充：“伊朗长期以来对针对美国、以色列及其他盟国的民间网络行动持默许或至少是放任态度。”“原因在于，掌握网络犯罪分子能为政府提供更多行动选择。伊朗在考虑如何回应美以军事行动时，若认为这些网络组织能产生有效报复效果，很可能会启用他们。” 网络安全公司 SentinelOne 也以高可信度评估认为，以色列、美国及盟国机构很可能面临直接或间接攻击，重点行业包括政府、关键基础设施、国防、金融服务、教育和媒体。 Nozomi Networks 表示：“伊朗威胁组织历来愿意将间谍活动、破坏行动和心理战结合，以实现战略目标。”“在局势不稳定时期，此类行动往往会加剧，目标超出直接冲突区域，涵盖关键基础设施、能源网络、政府机构和私营企业。” 为应对实体冲突带来的网络风险，建议机构启用持续监控，以匹配升级的威胁活动，更新威胁情报特征、缩小外部攻击面、对联网资产开展全面暴露面检查，验证 IT 与 OT 网络的正确隔离，确保 IoT 设备有效隔离。 CrowdStrike 对抗敌对行动主管 Adam Meyers 向 The Hacker News 表示：“在以往冲突中，伊朗网络组织会将行动与更广泛战略目标对齐，加大对能源、关键基础设施、金融、电信、医疗等目标的施压与曝光度。” “伊朗对手的攻击技术持续进化，已从传统入侵扩展到云和身份为中心的行动，这使其能够在混合企业环境中快速行动，规模与影响进一步提升。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 “QuickLens – Search Screen with Google Lens” 的 Chrome 扩展已被从 Chrome 应用商店下架，该扩展遭入侵后推送恶意软件，并试图窃取数千名用户的加密货币。 QuickLens 最初是一款允许用户在浏览器中直接使用 Google Lens 搜索的 Chrome 扩展。该扩展用户量约达 7000，并曾获得 Google 官方推荐标识。 但在 2026 年 2 月 17 日，该扩展发布了 5.8 新版本，其中包含恶意脚本，可实施 ClickFix 攻击并窃取用户信息。 恶意 QuickLens 浏览器扩展 Annex 安全研究人员首次报告称，该扩展在开发者交易平台 ExtensionHub 出售后，近期已更换所有者。 Annex 表示，2026 年 2 月 1 日，所有者变更为 support@doodlebuggle.top，所属实体为 “LLC Quick Lens”，新隐私政策托管在一个几乎无法使用的域名上。仅两周多后，恶意更新便推送给了用户。 Annex 分析显示，5.8 版本申请了新的浏览器权限，包括 declarativeNetRequestWithHostAccess 和 webRequest。 该版本还包含 rules.json 文件，可移除所有页面与框架中的浏览器安全头，包括 Content-Security-Policy (CSP)、X-Frame-Options 和 X-XSS-Protection。这些安全原本会增加在网站上运行恶意脚本的难度。 该更新还会与位于 api.extensionanalyticspro [.] top 的命令与控制（C2）服务器通信。据 Annex 称，该扩展生成持久 UUID，通过 Cloudflare 追踪接口获取受害者国家信息，识别浏览器与操作系统，随后每 5 分钟轮询 C2 服务器获取指令。 BleepingComputer 本周在看到大量用户反馈在所有访问页面均出现伪造 Google 更新提示后，注意到该扩展。 一名用户在 Reddit 求助称：“我访问的每个网站都弹出这个，我以为是 Chrome 没更新，但更新后依然出现。我当然不会在运行框里执行它复制到剪贴板的代码，但它每个网站都弹，导致我无法进行任何操作。” BleepingComputer 对该扩展的分析显示，它会连接到 C2 服务器 https://api.extensionanalyticspro [.] top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto，并接收一组恶意 JavaScript 脚本。 这些载荷会在每次页面加载时执行，使用的技术被 Annex 称为 “1×1 GIF 像素 onload trick”。 恶意 JavaScript 载荷数组（来源：BleepingComputer） 由于该扩展移除了所有访问网站的 CSP 头，因此即使在通常会阻止内联 JavaScript 的网站上也能执行。 第一个载荷会连接 google-update [.] icu，获取额外载荷并显示伪造的 Google 更新提示。点击更新按钮会触发 ClickFix 攻击，诱导用户在电脑上运行代码以完成验证。 导致 ClickFix 攻击的伪造 Google 更新提示（来源：Reddit） 对于 Windows 用户，会下载名为 googleupdate.exe 的恶意可执行文件。 执行后，恶意软件启动隐藏 PowerShell 命令，再启动第二个 PowerShell 进程，使用自定义 “Katzilla” 用户代理连接 drivers [.] solutions/META-INF/xuoa.sys。响应内容通过管道传入 Invoke-Expression 执行。但在 BleepingComputer 分析载荷时，该第二阶段 URL 已不再提供恶意内容。 由 https://api.extensionanalyticspro [.] top C2 下发的另一个恶意 JavaScript “代理” 用于窃取加密货币钱包与凭据。 该扩展会检测是否安装了 MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Solflare、Backpack、Brave Wallet、Exodus、Binance Chain Wallet、WalletConnect、Argon 等加密货币钱包。若检测到，则会尝试窃取操作记录与助记词，用于劫持钱包并盗取资产。 另一个脚本会捕获登录凭据、支付信息及其他敏感表单数据。 其他载荷用于爬取 Gmail 收件箱内容、提取 Facebook Business Manager 广告账户数据、收集 YouTube 频道信息。 现已下架的该扩展页面评论称，macOS 用户会被投放 AMOS (Atomic Stealer) 信息窃取器。BleepingComputer 无法独立核实该说法。 Google 已将 QuickLens 从 Chrome 应用商店下架，Chrome 会自动为受影响用户禁用该扩展。 QuickLens 被 Chrome 禁用并标记为恶意软件（来源：BleepingComputer） 安装过 QuickLens – Search Screen with Google Lens 的用户应彻底卸载该扩展，扫描设备恶意软件，并重置浏览器中保存的所有密码。 若使用上述任一加密货币钱包，应将资金转移至新钱包。 该扩展并非首个用于 ClickFix 攻击的扩展。上月，Huntress 发现一款浏览器扩展会故意导致浏览器崩溃，随后显示伪造修复程序并安装 ModeloRAT 恶意软件。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美以联军对德黑兰发动联合先发制人空袭之际，一场复杂的网络心理战同步展开。 据《连线中东》报道，数百万伊朗民众与军人不仅被爆炸声惊醒，还收到来自遭入侵移动应用的未授权推送通知。 该事件标志着国家级网络战进入新阶段，将数字入侵与实体军事行动相结合。 军事打击期间遭劫持的祈祷应用 此次数字攻势的主要载体是 BadeSaba Calendar，一款在谷歌应用商店下载量超 500 万的热门祈祷时间应用。 《连线中东》指出，周六上午实体打击开始后不久，该应用通知系统即被劫持，用于投放心理战信息。 从当地时间上午 9:52 开始，用户收到大量标题为 “援助即将到来” 的推送通知。 提供给《连线中东》的截图显示，这些信息明确敦促伊朗军人放弃阵地、放下武器以换取赦免。 推送通知均以 “援助即将到来” 为标题，敦促伊朗军队投降（来源：Wired） 上午 10:02 的后续通知警告称 “镇压势力将为其残忍无情的行为付出代价”；10:14 的信息则呼吁军队加入 “解放运动”，建立自由伊朗。 尽管确切恶意软件或利用技术尚未确认，《连线中东》援引网络安全专家分析称，这是一场高度协同的国家级行动，而非普通网络犯罪攻击。 BeyondTrust 首席安全顾问 Morey Haber 向该媒体表示，如此规模的攻击需要提前周密策划。 攻击者很可能早已入侵应用后端基础设施，将通知设为触发式载荷，与实体空袭精准同步。 目前攻击归属尚未确认，尚无黑客组织或国家实体官方宣称对此次入侵负责。 Miaan 集团数字权利研究员 Narges Keshavarznia 向《连线中东》表示，目前判断行动由以色列情报机构还是伊朗反政府黑客组织实施仍为时过早。 全国范围严重网络中断 应用遭入侵的同时，伊朗发生严重网络中断。《连线中东》记录显示，这是该国在国家危机期间常用的防御或管控手段。 报告援引网络监测工具 NetBlocks 数据称，伊朗全国网络流量暴跌至正常水平的 4%。   伊朗本土云服务商 ArvanCloud 数据显示，主要数据中心与国内节点均失去国际连通性。 此外，《连线中东》报道称，包括 IRNA、ISNA 在内的伊朗官方通讯社疑似遭协同网络攻击而下线。 数字权利倡导者警告称，通信中断严重影响移动数据、宽带与 VPN 使用，导致信息隔绝，民众无法记录事件或寻求帮助。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Shadowserver Foundation 披露，自 2025 年 12 月起，针对命令注入漏洞的攻击活动中，已有超过 900 个 Sangoma FreePBX 实例持续被植入 Web Shell。 其中 401 个实例位于美国，其次为巴西 51 个、加拿大 43 个、德国 40 个、法国 36 个。 该非营利机构表示，此次入侵大概率通过利用 CVE-2025-64328（CVSS 评分：8.6）实现，这是一个可导致认证后命令注入的高危安全漏洞。 FreePBX 在 2025 年 11 月的漏洞公告中表示：“该漏洞的影响在于，任何能够访问 FreePBX 管理面板的用户都可利用此漏洞在底层主机上执行任意 Shell 命令。攻击者可利用该漏洞以 asterisk 用户身份获取系统远程访问权限。” 该漏洞影响版本号大于等于 17.0.2.36 的 FreePBX。该漏洞已在 17.0.3 版本中修复。 建议增加安全控制以确保仅授权用户可访问 FreePBX 管理控制面板（ACP），限制来自恶意网络对 ACP 的访问，并将 filestore 模块更新至最新版本。 该漏洞随后在野外遭到积极利用，促使美国网络安全与基础设施安全局（CISA）于本月早些时候将其加入已知被利用漏洞（KEV）目录。 来源：The Shadowserver Foundation 在上月末发布的报告中，Fortinet FortiGuard Labs 披露，代号为 INJ3CTOR3 的网络诈骗行动背后的威胁组织从 2025 年 12 月初开始利用 CVE-2025-64328 投放代号为 EncystPHP 的 Web Shell。 该网络安全公司指出：“通过利用 Elastix 和 FreePBX 管理上下文，该 Web Shell 以提升权限运行，可在受攻陷主机上执行任意命令，并通过 PBX 环境发起外呼行为。” 建议 FreePBX 用户尽快将部署版本更新至最新，以应对活跃威胁。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文