HackerNews 编译，转载请注明出处： 黑客正利用 SolarWinds 网络帮助台（WHD）漏洞，将合法工具用于恶意用途，其中包括 Zoho ManageEngine 远程监控与管理工具。 攻击者针对至少三家机构发起攻击，同时利用 Cloudflare 隧道实现持久化驻留，并使用 Velociraptor 网络应急响应工具作为命令与控制（C2）信道。 该恶意活动由 Huntress Security 研究人员于上周末发现，研究人员认为这是自 1 月 16 日起、利用近期公开的 SolarWinds WHD 漏洞发起的攻击行动的一部分。 Huntress Security 表示：“2026 年 2 月 7 日，公司安全运营中心分析师 Dipo Rodipe 调查了一起 SolarWinds 网络帮助台被利用的案件，威胁攻击者快速部署Zoho Meetings 与 Cloudflare tunnels 实现持久化驻留，并使用 Velociraptor 工具实施命令与控制。” 该网络安全公司称，攻击者利用了 CVE-2025-40551 与 CVE-2025-26399 两处漏洞，其中 CVE-2025-40551 已于上周被美国网络安全和基础设施安全局（CISA）标记为遭在野攻击利用。 这两处安全漏洞均被评定为高危等级，攻击者可利用其在目标主机上实现无需认证的远程代码执行。 值得注意的是，微软安全研究人员也 “观测到威胁攻击者利用暴露在公网的 SolarWinds Web Help Desk（WHD）实例实施多阶段入侵”，但未证实是否利用了上述两处漏洞。 攻击链与工具部署 攻击者获取初始访问权限后，通过从 Catbox 文件托管平台获取的 MSI 安装包，安装了 Zoho ManageEngine Assist 代理程序。 攻击者将该工具配置为无人值守访问模式，并将受攻陷主机注册至绑定匿名质子邮箱的Zoho Assist 账号。 该工具被用于直接操控主机键盘操作及活动目录（AD）侦察。 攻击者还通过该工具部署Velociraptor ，其 MSI 安装包从 Supabase 存储桶获取。 Velociraptor 是一款合法的数字取证与应急响应（DFIR）工具，Cisco Talos 团队近期曾发出警示，称该工具正被滥用于勒索软件攻击。 在 Cisco Talos 观测到的攻击中，该数字取证与应急响应平台被用作命令与控制（C2）框架，通过 Cloudflare 边缘计算节点与攻击者通信。 研究人员指出，攻击者使用了过时的 0.73.4 版 Velociraptor ，该版本存在权限提升漏洞，可被用于提升主机操作权限。 威胁攻击者还从 Cloudflare 官方 GitHub 仓库安装了 Cloudflared 客户端，将其作为备用隧道访问通道，实现命令与控制信道冗余。 在部分攻击场景中，攻击者还通过名为 TPMProfiler 的计划任务实现持久化驻留，该任务可借助 QEMU 虚拟机开启 SSH 后门。 攻击者还通过修改注册表禁用 Windows Defender 杀毒软件与防火墙，确保后续恶意载荷的下载不会被拦截。 研究人员称：“在禁用 Defender 约一秒后，威胁攻击者便下载了全新的 VS Code 可执行文件。” 来源：Huntress 安全更新与缓解措施 建议系统管理员将 SolarWinds 网络帮助台升级至 2026.1 及以上版本，关闭该产品管理界面的公网访问权限，并重置与该产品相关的所有凭证。 Huntress Security 还公布了 Sigma 规则与攻击指标，可用于 Zoho Assist、Velociraptor、Cloudflared、VS Code 隧道活动、静默 MSI 安装及编码 PowerShell 执行。 微软与 Huntress 均未将此次攻击归为特定威胁组织，除微软将受攻陷环境描述为 “高价值资产” 外，双方均未披露目标相关信息。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起影响塞内加尔政府的网络安全事件，已迫使该国一个负责管理国民身份证、护照及其他生物识别数据等敏感信息的办公室关停。 塞内加尔档案自动化管理局（DAF）上周发布通知，警告该国1950万居民，一起网络攻击已迫使政府暂时中止该办公室的业务。 一名高级警官表示，他们正试图恢复系统，并声称公民个人数据的“完整性”“保持完好”。DAF未回应置评请求。 该通知发布前，一个名为Green Blood Group的勒索软件团伙声称已入侵该组织，并窃取了139 GB数据，其中包括公民数据库记录、生物识别数据及移民文件。 黑客分享了被盗数据的样本，以及来自IRIS Corporation Berhad高级总经理Quik Saw Choo的一封电子邮件——这家马来西亚公司近期受委托为塞内加尔制作新的数字身份证。 在这封日期为1月20日的邮件中，Choo警告DAF及塞内加尔其他部委的官员，黑客于1月19日入侵了两台DAF服务器，并窃取了其中一台服务器上的卡片个性化数据。Choo的团队已在其端采取多项措施，包括切断通往一台服务器的网络连接，并更改了另一台服务器的密码。他们还切断了通往所有外国使领馆及其他办公室的网络连接。 Choo表示，IRIS正与马来西亚网络安全专家合作，并计划于 1 月 22 日前往塞内加尔首都达喀尔，开展进一步调查并落实整改措施。 文件自动化管理局与 IRIS 公司均未回应置评请求。 一家当地新闻媒体报告称，截至2月5日，DAF的业务已中断至少五天，且塞内加尔与 IRIS 公司正处于款项纠纷中。截至周一下午，DAF网站仍处于瘫痪状态。 Green Blood Group于今年1月出现，宣称除 DAF 外还攻陷了另外 4 家目标机构。 高级黑客长期将政府身份数据库作为攻击目标，阿根廷、爱沙尼亚等国均曾遭遇类似安全事件。   消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利罗马大学（La Sapienza）近日成为网络攻击目标，其IT系统遭受影响，导致该教育机构内部运营大面积瘫痪。 校方于本周早些时候首次通过社交媒体披露了此次事件，称其IT基础设施“已成为网络攻击的目标”。作为预防性措施并确保数据完整与安全，学校已下令立即关闭所有网络系统。 罗马大学是欧洲在校学生规模最大的高校，在册学生超 11.25 万名；目前已就该事件报备有关部门，并成立技术专项小组，启动漏洞修复与系统恢复工作 截至撰稿时，该校官方网站仍无法访问。其Instagram官方账号持续更新状态，显示恢复工作仍在进行中。根据昨日发布的公告，校方已设立临时“信息服务点”，为学生们提供因当前数字系统与数据库无法访问而难以获取的各类信息。 尽管校方未透露攻击具体类型及实施者详情，但意大利《晚邮报》援引内部消息称，此次事件系名为Femwar02的亲俄黑客组织发起的勒索软件攻击，已造成数据被加密。 该媒体依据恶意软件特征与攻击模式分析指出，此次攻击与Bablock/Rorschach勒索软件高度相似。该勒索软件变种于2023年首次出现，以加密速度快、定制化程度高为特点。网络安全公司Check Point分析认为，该勒索软件整合了Babuk、LockBit v2.0、DarkSide三款勒索软件的泄露源代码开发而成。 据《晚邮报》消息源透露，攻击者已索要赎金，但校方工作人员未打开赎金通知，以避免触发 72 小时倒计时机制，因此赎金金额尚未明确。目前，该校技术人员正联合意大利计算机安全事件响应小组（CSIRT）、国家网络安全局（ACN）及邮政警察部门专家开展工作，通过未受影响的备份数据推进系统恢复。 需注意的是，尽管Rorschach勒索软件未在暗网设立专门的勒索数据泄露站点，但被窃数据仍可能被传播或转售给其他数据勒索集团，因此数据泄露至公网的风险仍极高。 基于当前情况，罗马大学全体师生需高度警惕钓鱼攻击，切勿点击陌生信息中的链接，并持续监控个人账户是否存在可疑活动。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家输油管道运营商 Conpet 披露，本周二遭遇网络攻击，其业务系统受干扰，公司官网也已无法访问。 Conpet 运营着近 4000 公里输油管网，负责向罗马尼亚全国炼油厂输送国产及进口原油，以及汽油、液态乙烷等石油衍生品。 该公司在周三发布的新闻稿中表示，此次事件仅影响企业 IT 基础设施，未干扰核心运营，也未影响合同履约能力。Conpet 补充称，官网因攻击下线，目前正联合国家网络安全部门开展事件调查，推进受影响系统恢复工作。 该输油管道运营商已通报罗马尼亚有组织犯罪与恐怖主义调查局（DIICOT），并就此次事件提起刑事诉讼。Conpet 表示：“需说明的是，运营技术系统（监控与数据采集系统及通信系统）未受影响，因此公司核心业务 —— 通过国家石油运输系统输送原油与汽油 —— 运行正常，未出现任何中断。”而受此次事件影响，公司官网 www.conpet.ro 目前无法访问。 尽管 Conpet 尚未披露攻击类型，但 Qilin 勒索软件团伙已宣称对此次攻击负责，并于今日早些时候将 Conpet 列入其暗网数据泄露平台。该威胁团伙还声称，已从 Conpet遭攻陷的系统中窃取近 1TB 文件，并泄露十余张内部文件照片（含财务信息及护照扫描件），以此证实数据泄露属实。 Conpet 在Qilin的泄露网站上（From:BleepingComputer） Qilin 团伙于 2022 年 8 月以“Agenda”为名开始作为勒索软件即服务（RaaS）运营。过去四年间，其宣称攻击了近 400 个目标，包括日产汽车、日本朝日啤酒、出版业巨头李企业集团、病理服务商 Synnovis 以及澳大利亚维多利亚州法院服务局等知名机构。 BleepingComputer 已就此事联系 Conpet 寻求置评，但截至发稿未获回复。科技媒体 BleepingComputer 就此次事件联系 Conpet 求证，但暂未获得回应。 此前在去年 12 月，罗马尼亚水务局（全国水务管理机构）、奥尔特尼亚能源集团（该国最大煤电能源生产商）也曾遭遇勒索软件攻击。2024 年 12 月，罗马尼亚大型电力供应与分销商电力集团（Electrica Group）遭 Lynx 索软件攻击；2024 年 2 月，超 100 家罗马尼亚医院因遭遇 Backmydata 勒索软件攻击，医疗管理系统瘫痪，陷入全面停摆。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，与俄罗斯有关联的黑客组织 Fancy Bear（ APT28）利用微软 Office 近期披露的一项漏洞，对乌克兰及欧盟相关组织发起网络攻击。 该预警由乌克兰国家网络威胁情报机构 —— 乌克兰计算机应急响应小组（CERT-UA）于 2 月 2 日发布。 CVE-2026-21509 漏洞在披露前已遭利用 CERT-UA 具体报告称，其在 1 月 29 日发现了一个名为 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文档。该文档包含 CVE-2026-21509 漏洞的利用程序，该漏洞为高危级别（CVSS 3.1 评分 7.8 分），影响微软 Office 2016、2019、长期服务频道 2021 版、长期服务频道 2024 版及微软 365 企业应用版等多个版本。 微软于 1 月 26 披露了该漏洞，其成因是微软 Office 在安全决策环节过度依赖不可信输入。 该漏洞被成功利用后，攻击者可绕过微软 365 及 Office 中的对象链接与嵌入（OLE）防护机制，而该机制原本用于保护用户免受存在漏洞的组件对象模型（COM）及 OLE 控件的威胁。 微软在其安全公告中确认，已检测到该漏洞存在在野利用的相关证据。该科技企业敦促微软 Office 2016 及 2019 版本用户务必安装更新以获得防护。 微软 Office 2021 及后续版本用户将通过服务端更新获得自动防护，但需重启 Office 应用程序方可生效。 CERT-UA 在报告中指出：“鉴于用户可能延迟（或无法）更新微软 Office 及落实推荐安全措施，利用该漏洞发起的网络攻击数量或将持续上升。” Fancy Bear 针对 CVE-2026-21509 漏洞的攻击链 乌克兰计算机应急响应小组发现的该 Word 文档，与欧盟常驻代表委员会针对乌克兰局势的磋商相关。 文档元数据显示，其创建时间为 1 月 27 日上午，即微软披露该漏洞的次日。 同日，乌克兰计算机应急响应小组表示，从合作方处收到报告称，出现疑似来自乌克兰水文气象中心的钓鱼邮件，附件为另一个名为 BULLETEN_H.doc 的文档。 这封邮件被发送给了超过 60 个邮箱地址，收件方主要是乌克兰的中央行政机关。 CERT-UA 的深入分析表明，使用微软 Office 打开该文档后，会通过 WebDAV 协议触发与外部资源的网络连接，随后下载一个伪装成快捷方式（LNK 文件）的恶意文件，该文件含有的恶意代码可实现载荷的下载与执行。 攻击成功执行后，会进行以下操作： 创建名为 “EhStoreShell.dll” 的 DLL 文件（伪装成系统“增强存储外壳扩展”库）。 创建包含 Shellcode 的图片文件 “SplashScreen.png”。 修改注册表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路径（以此实现 COM 劫持）。 创建名为 “OneDriveHealth” 的计划任务。 这些任务执行后，会终止并重启资源管理器进程（explorer.exe），该进程会通过组件对象模型劫持技术加载 EhStoreShell.dll 文件。 该动态链接库文件会执行图片文件中的壳代码，最终在受感染系统中加载 Covenant 攻击框架。 Covenant 是一款基于.NET 框架开发的命令与控制（C2）工具，最初设计用途为网络攻防演练及红队渗透测试。 乌克兰计算机应急响应小组还强调，由于 Covenant 框架将合法云存储服务 Filen 作为命令与控制基础设施，疑似被Fancy Bear组织列为攻击目标的机构，应封禁该云存储服务节点的网络访问，或至少对相关网络交互进行严密监控。 2026 年 1 月下旬，安全人员还发现了另外三份携带相同漏洞利用代码的文档，其攻击目标指向欧盟国家的组织机构。 乌克兰计算机应急响应小组敦促相关方落实微软安全公告中列明的漏洞缓解措施，尤其是针对 Windows 注册表配置的相关防护操作。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁研究人员在发现一个配置错误的开放目录后，进而查获一台正处于运行状态的命令与控制服务器，该服务器完整部署了 BYOB 框架。 该服务器 IP 地址为 38 [.] 255 [.] 43 [.] 60，监听 8081 端口，经核查正分发恶意载荷，可在 Windows、Linux 及 macOS 系统上建立持久化远程访问。 该基础设施由美国 Hyonix 公司托管，内含完整的投放器、加载器及后渗透模块套件，可支持攻击者持续控制受感染设备。该框架通过一个精心设计的多阶段感染链运作，能巧妙规避安全检测，同时提供危险的监视与控制功能。 暴露的开放目录泄露了 BYOB 后渗透工具包的完整架构，该工具包采用三阶段感染流程。 第一阶段以 359 字节的小型投放器启动，该投放器通过 Base64 编码、Zlib 压缩及 Marshal 反序列化实现多层混淆，以此规避特征码检测系统。 该投放器会获取第二阶段组件 ——2KB 大小的加载器，该加载器会扫描环境变量中的 VirtualBox 特征、核查运行进程中是否存在 VMware、Hyper-V、XenServer 等虚拟化软件，以此完成反虚拟机检测。 环境验证安全后，加载器会获取最终恶意载荷 ——123KB 的远程访问木马，该木马可与命令控制服务器建立加密 HTTP 通信，并按需加载额外监控模块。 Hunt.io 分析师在通过自研 AttackCapture 工具开展主动威胁狩猎时，发现了该暴露的恶意基础设施。其系统监测到这台运行中的命令与控制服务器存在典型开放目录特征，进而锁定该恶意基础设施。 对捕获样本的分析表明，该框架至少自2024年3月便开始运作，意味着这场持续活动已进行了约十个月。该基础设施存在刻意的地理分布设计，节点覆盖新加坡、巴拿马及美国多个地区，可见背后威胁行为者具备完善的攻击规划及资源调配能力。 BYOB框架展现出令人担忧的跨平台能力，在多类型计算环境中均能造成严重威胁。该框架针对不同操作系统定制了 7 种独立持久化机制，可确保恶意程序在设备重启及清理操作后仍能留存。 在 Windows 系统中，其会创建伪装为 “Java-Update-Manager” 的注册表运行项、在启动文件夹中放置 URL 快捷方式文件、创建每小时执行一次的计划任务，还会部署 Windows 管理规范订阅以实现事件触发式执行。 针对 Linux 系统，通过恶意 crontab 条目实现持久化；针对 macOS 设备，则通过 LaunchAgent 属性列表文件实现用户登录时自动执行。 这些冗余的持久化手段使得清除工作异常困难，大大增加了会有至少一种机制逃过检测的可能性。 后渗透监控功能 除建立访问权限外，BYOB 恶意载荷还可通过模块化组件实现全面监控功能，攻击者可根据目标按需加载对应组件。 键盘记录模块针对不同平台定制钩子功能：Windows 系统使用 pyHook，类 Unix 系统使用 pyxhook，可捕获每一次按键及当前活动窗口名称，以此明确密码、信用卡号等敏感信息输入时对应的应用场景。 数据包嗅探模块通过原始套接字在 IP 层拦截网络流量，解析报文头提取源地址、目的地址、协议信息及载荷数据，可获取明文传输的凭证及内部网络通信内容。 Outlook电子邮件收集模块是最危险的组件之一。它利用Windows COM自动化接口，无需认证即可编程访问已登录的Microsoft Outlook。该模块可连接已完成身份验证的 Outlook 会话，搜索收件箱内容、提取含特定关键词的邮件、统计邮件总数，再执行全量提取操作。这种能力对依赖电子邮件处理关键业务通信、财务信息和内部文档的企业环境构成严重威胁。 此外，该框架还包含进程操纵功能，允许攻击者终止安全软件、枚举运行中的程序，并自动阻止任务管理器等防护工具启动。 对该基础设施的分析，还揭露了攻击活动规模及牟利模式的更多高危细节。 已发现的 5 个命令与控制节点中，有 2 个同时部署了 BYOB 框架与 XMRig 加密货币挖矿软件，可见该基础设施具备双重用途，既能通过挖矿实现被动牟利，又能维持远程访问能力。远程访问工具包部署与加密货币挖矿相结合的模式，表明背后是利益驱动型威胁行为者，旨在从受感染设备中获取多重收益。 主服务器自 2023 年 12 月起便暴露远程桌面协议端口，且存在多台 Web 服务器同时运行于不同端口的异常配置，种种迹象均表明这是专用攻击基础设施，而非合法商业用途。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，俄罗斯弗拉基米尔州一家大型面包生产企业遭遇网络攻击，导致食品配送工作受阻。 弗拉基米尔面包厂—— 该州最大面包生产企业之一 —— 在声明中表示，其内部数字系统于周日夜间遭攻击，办公电脑、服务器、电子文档管理工具及广泛应用的 1C 企业会计系统均陷入瘫痪。 尽管生产线未受波及，面包房仍在满负荷运转，但系统中断严重阻碍了订单处理与产品交付。当地居民、零售门店以及面向社会机构的食品供应商均反映，在履行现有合同方面遇到困难，该公司的烘焙产品在商店出现暂时性短缺。 大型连锁零售企业确认存在配送问题，但表示门店货架未出现面包大面积短缺情况。 为保障物资供应持续，该企业安排全体办公人员实行 24 小时轮班制，并暂时恢复订单与发货的人工处理模式。目前该厂尚未公布数字系统全面恢复的时间表，并就此次事件造成的不便向合作伙伴及消费者致歉。 目前，攻击者身份及事件的具体性质尚未明确。 这并非网络攻击首次波及俄罗斯食品行业。今年 6 月，俄罗斯动物源性产品数字认证系统遭网络攻击瘫痪，当地乳制品企业因此出现供应问题，企业被迫改用纸质兽医证明，进而引发物流延误。 去年 12 月，西伯利亚南部一家大型乳制品加工厂遭遇勒索软件攻击，系统被全面加密。当地媒体猜测，此次入侵可能与该工厂据称向乌克兰境内俄军提供支持有关，但官方尚未就攻击归属作出认定。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 确认已修补设备仍遭 FortiCloud 单点登录功能攻击 与近期出现的 FortiCloud 单点登录漏洞类似，这些攻击绕过了身份验证。 Fortinet 周四证实，近期的攻击正在绕过已完全修复近期漏洞的设备上的 FortiCloud 单点登录身份验证。 Arctic Wolf 本周警告称，黑客正利用自动化手段，修改FortiGate 防火墙的配置，以添加新用户账户、启用VPN访问权限并窃取设备配置文件。 该公司指出，此次新的攻击活动与 2025 年 12 月针对 CVE-2025-59718 和 CVE-2025-59719 的攻击相似。这两个高危漏洞影响了 FortiOS、FortiWeb、FortiProxy 和 FortiSwitch Manager 设备的 FortiCloud SSO 登录功能。 Fortinet在 12 月初发布了针对这两个漏洞的修复程序，并警告称，黑客可能利用精心构造的 SAML 响应消息，在启用了 FortiCloud SSO 登录功能的实例上绕过身份验证。 Fortinet于周四证实了先前业界的担忧：即使设备已针对 CVE-2025-59718 和 CVE-2025-59719 打过补丁，攻击仍然能够成功。 Fortinet表示：“我们已确认多起案例，受攻击的设备在遭袭时已完全升级到当时的最新版本，这表明存在一条新的攻击路径。” 该公司补充道：“需要注意的是，虽然目前仅观察到针对 FortiCloud SSO 的利用，但此问题适用于所有 SAML SSO方式。” Fortinet表示正在制定修复方案，但尚无法分享其可用性的具体细节。 该公司已共享了入侵指标，以帮助客户排查其设备上的恶意活动。 建议各组织阻止从互联网对边缘设备进行管理访问，并将其限制在本地 IP 地址范围内。 Fortinet指出：“作为一项额外的临时缓解措施，我们建议禁用 FortiCloud SSO 功能。这将防止通过此方法被突破，但无法防范第三方 SSO 系统，因此建议仅在与本地入站策略结合使用时采取此措施。”       消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   育碧旗下战术射击游戏《彩虹六号：围攻》（R6）发生安全事件：攻击者滥用内部系统，随意封禁/解封玩家、篡改封禁公告，并向全球账号发放巨额游戏货币与全部外观物品。 据玩家截图与社区反馈，黑客至少实现了以下操作： 任意封禁或解封玩家账号 在滚动封禁公告中插入伪造信息 给所有玩家发放约 20 亿点 R6 点券 与声望 解锁全部外观，含仅限开发者的内部皮肤 R6 点券为官方商城出售的付费货币，定价 15,000 点券 ≈ $99.99，因此 20 亿点券价值约 1,333 万美元。 周六上午 9:10，@Rainbow6Game 官方账号发推承认“发现问题，团队正在处理”。 随后育碧主动关闭游戏服务器及内置商城：“为确保修复，Siege 与 Marketplace 已暂时下线。” 最终公告明确三点： 玩家不会因花掉被发放的点券而受到处罚； 所有自 UTC 11:00 起的交易将被回滚； 滚动封禁信息并非官方生成，该功能早已禁用。 目前服务器仍处维护状态，育碧尚未发布正式事故报告，也未回复 BleepingComputer 的置评邮件。 更大规模入侵传闻 VX-Underground 称，有多个互无关联的黑客组织宣称已深入育碧基础设施： 组织 A：仅利用 R6 服务操纵封禁与库存，未触碰用户数据； 组织 B：借助近期公开的 MongoDB 漏洞 CVE-2025-14847（MongoBleed），从暴露实例中提取内存凭据，进而进入育碧内部 Git，声称窃取自 1990 年代至今的全部源代码； 组织 C：同样利用 MongoBleed 拿到用户数据，正向育碧勒索； 组织 D：反驳部分说法，称“组织 B 拿到源码已有一段时间”。 BleepingComputer 尚无法独立验证上述声明，包括 MongoBleed 是否被利用、源码或用户数据是否泄露。 目前可确认的范围仅限于《彩虹六号：围攻》游戏内异常。 若育碧后续披露更多信息，我们将持续更新。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关的威胁行为体在一次未遂导弹袭击前，曾对船只自动识别系统（AIS）数据进行测绘。这表明，与德黑兰结盟的组织正在利用网络行动来支持并增强现实世界的实体攻击。 这项研究证明，网络战与传统实体作战之间的界限正迅速变得模糊。 亚马逊的威胁情报团队指出，国家背景的行为体正越来越多地利用网络行动来支持和增强实体攻击，他们将此趋势称为“网络赋能实体攻击”。 亚马逊发布的报告称：”我们正目睹国家行为体在战争方式上的根本性转变。这些不仅仅是恰好造成物理损坏的网络攻击；它们是经过协调的行动，其中数字操作被专门设计用来支持实体军事目标。” 在亚马逊专家描述的第一个案例中，与伊朗有关的APT组织”Imperial Kitten” 利用网络入侵来支持现实世界的海上攻击。2021年12月，他们入侵了一个船舶AIS平台；到2022年8月，他们扩大了活动范围，甚至访问了船载闭路电视系统以获取实时情报。2024年1月27日，他们搜索了一艘特定船只的AIS数据，标志着其转向了针对性跟踪。几天后的2024年2月1日，胡塞武装向该船只发动了导弹袭击。该案例显示了网络侦察如何能直接促成对海上目标的精确实体攻击。 研究人员描述的第二个案例涉及另一个伊朗关联的APT组织”MuddyWater”，其参与了支持实体攻击的网络行动。2025年5月13日，该组织为其活动架设了服务器。到6月17日，他们访问了另一台被入侵的服务器，该服务器正从耶路撒冷流式传输实时闭路电视画面，从而获得了实时情报。6月23日，伊朗向该市发动了导弹袭击，而以色列官员确认攻击者利用了被黑客入侵的摄像头来调整打击目标。该案例凸显了被入侵的监控系统如何能直接支持实体攻击。 报告进一步指出：”这个时间点并非巧合。正如《The Record》所报道，以色列官员曾敦促公民断开联网安全摄像头的连接，并警告伊朗正在利用它们来’收集实时情报并调整导弹目标’。” 亚马逊的研究表明，伊朗关联组织正在使用分层的网络基础设施来支持实体攻击。他们通过匿名VPN隐藏活动，使用攻击者控制的服务器进行持久性操作，并渗透到企业系统（如闭路电视网络和海事平台）以获取高价值情报。来自被入侵传感器的实时数据流，使攻击者能够在军事打击过程中调整目标。亚马逊引入了一个新术语——“网络赋能实体攻击”——来描述那些直接协助和改进现实世界军事攻击的网络行动，因为现有术语无法完全涵盖这一现象。 报告总结道：”我们相信，网络赋能实体攻击将在多个对手中变得越来越普遍。国家行为体正在认识到将数字侦察与实体攻击相结合所带来的’力量倍增器’效应。这一趋势代表了战争形式的根本性演变，网络行动与实体作战之间的传统界限正在瓦解。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文