HackerNews 编译，转载请注明出处： “Contagious Interview”行动背后的朝鲜黑客组织（又称WaterPlum）被曝利用恶意Visual Studio Code项目传播新型恶意软件家族StoatWaffle。 自2025年12月起，该组织开始采用VS Code “tasks.json”配置分发恶意软件这一新战术。攻击利用”runOn: folderOpen”选项，每当项目文件夹在VS Code中打开时即自动触发执行。 NTT Security在上周发布的报告中指出：”该任务配置会从Vercel上的Web应用下载数据，与操作系统无关。本文虽以Windows环境为例，但核心行为在各系统上基本一致。” 下载的载荷首先检查执行环境是否安装Node.js，若未安装则从官网下载并安装。随后启动下载器，定期轮询外部服务器获取下一阶段下载器，该下载器行为相同——访问同一服务器的另一端点，将接收到的响应作为Node.js代码执行。 StoatWaffle两大功能模块： 窃密模块：窃取Chromium内核浏览器和Mozilla Firefox中存储的凭证及扩展数据，并上传至C2服务器。若受感染系统为macOS，还会窃取iCloud钥匙串数据库。 远控木马（RAT）：与C2服务器通信，获取并在受感染主机执行命令。支持切换工作目录、枚举文件目录、执行Node.js代码、上传文件、递归搜索指定目录并列出或上传匹配关键词的文件、运行shell命令及自我终止。 这家日本安全厂商表示：”StoatWaffle是基于Node.js的模块化恶意软件，具备窃密和远控两大模块。WaterPlum持续开发新恶意软件并更新现有工具。” 与此同时，该组织针对开源生态的多次攻击活动也被曝光： 恶意npm包：分发PylangGhost恶意软件，系该 malware 首次通过npm包传播。 PolinRider行动：在数百个公共GitHub仓库中植入混淆的恶意JavaScript载荷，最终部署BeaverTail新版本——这是Contagious Interview关联的知名窃密下载器。其中包括Neutralinojs GitHub组织的四个仓库。攻击者疑似通过恶意VS Code扩展或npm包感染受害者后，篡夺了该组织长期贡献者的GitHub账户（拥有组织级写入权限），强制推送从Tron、Aptos和币安智能链（BSC）交易中获取加密载荷的JavaScript代码，以下载运行BeaverTail。 微软本月对Contagious Interview的分析显示，攻击者通过”精心伪装的招聘流程”实现初始访问——模拟真实技术面试，最终说服受害者在评估环节运行托管于GitHub、GitLab或Bitbucket的恶意命令或包。 部分情况下，攻击者通过LinkedIn接触目标。但被选中的并非初级开发者，而是加密货币或Web3领域的创始人、CTO及高级工程师——这些人很可能拥有公司技术基础设施和加密钱包的高级访问权限。近期一起事件中，攻击者试图通过虚假面试接触AllSecure.io创始人，但未得逞。 这些攻击链部署的主要恶意软件家族包括：OtterCookie（具备广泛数据窃取能力的后门）、InvisibleFerret（Python后门）和FlexibleFerret（Go和Python双版本模块化后门）。InvisibleFerret通常通过BeaverTail投递，但近期入侵中也发现通过OtterCookie获取初始访问后直接作为后续载荷分发。 值得注意的是，FlexibleFerret又称WeaselStore，其Go和Python变体分别被称为GolangGhost和PylangGhost。 攻击者正积极改进战术：新版VS Code项目已弃用Vercel域名，改用GitHub Gist托管脚本下载执行下一阶段载荷，最终部署FlexibleFerret。这些项目同样托管于GitHub。 微软指出：”通过将恶意软件投递嵌入开发者信任的面试工具、编程练习和评估流程，攻击者利用求职者在高动机和时间压力期间对招聘流程的信任，降低其警惕性和抵抗力。” 针对VS Code任务功能的持续滥用，微软在2026年1月更新（1.109版本）中引入缓解措施：新增”task.allowAutomaticTasks”设置，默认关闭，防止打开工作区时自动执行”tasks.json”中定义的任务。 Abstract Security表示：”该更新还禁止在工作区级定义此设置，因此恶意仓库自带的.vscode/settings.json文件无法覆盖用户全局设置。1.109版本及2026年2月更新（1.110版本）还引入二次提示，在新打开的工作区检测到自动运行任务时警告用户，作为用户接受工作区信任提示后的额外防护。” 近月来，朝鲜黑客还通过LinkedIn社交工程、虚假风投公司和欺诈视频会议链接，对加密货币从业者发起协同恶意软件攻击。该活动与GhostCall和UNC1069等集群存在重叠。 MacPaw旗下Moonlock Lab表示：”攻击链最终导向ClickFix式虚假验证码页面，诱骗受害者在终端执行剪贴板注入命令。该行动跨平台设计，针对macOS和Windows分别投递定制载荷。” 美国司法部（DoJ）近日宣布对三名男子判刑——25岁的Audricus Phagnasay、30岁的Jason Salazar和35岁的Alexander Paul Travis，三人因协助朝鲜欺诈性IT工作者计划、违反国际制裁而认罪，此前均于2025年11月认罪。 Phagnasay和Salazar均被判三年缓刑及2000美元罚款，并被没收参与电信诈骗所得非法收益。Travis被判一年监禁，并没收19.3265万美元——这是朝鲜人员冒用其身份所获金额。 佐治亚州南区联邦检察官Margaret Heap在声明中表示：”这些人实际上把网络王国的钥匙交给了疑似朝鲜海外技术工作者——他们试图为朝鲜政府筹集非法资金，而这些人只是为了看似轻松的金钱回报。” 上周，Flare和IBM X-Force详细披露了该IT工作者计划的内部结构，并指出这些工作者在加入计划前需就读朝鲜顶尖大学并通过严格面试。 两家公司指出：”他们被视为朝鲜社会精英成员，已成为朝鲜政府战略目标不可或缺的部分。这些目标包括但不限于：创收、远程就业活动、窃取企业和专有信息、勒索，以及为其他朝鲜组织提供支持。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）周五表示，与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动，试图入侵 WhatsApp 和 Signal 等商业消息应用程序（CMA），以控制具有高情报价值人员的账户。 FBI 局长卡什・帕特尔在 X 平台（原推特）上发文称：“此次活动的目标是具有高情报价值的人员，包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内，这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后，能够查看消息和联系人列表，以受害者的身份发送消息，并利用受信任身份开展更多网络钓鱼活动。” CISA 和 FBI 称，这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是，这些攻击旨在侵入目标账户，并非利用安全漏洞或弱点来破解平台的加密保护。 虽然这些机构并未将该活动归咎于某个特定的威胁行为者，但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来，这些组织包括 “星暴”（Star Blizzard）、UNC5792（又名 UAC – 0195）以及 UNC4221（又名 UAC – 0185）。 法国国家网络安全局（ANSSI）下属的网络危机协调中心（C4）也曾发布类似警报，警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。 C4 表示：“这些攻击一旦成功，恶意行为者就能访问聊天记录，甚至控制受害者的消息账户，并以受害者的身份发送消息。” 此次活动的最终目的是让威胁行为者未经授权访问受害者账户，从而查看消息和联系人列表，代受害者发送消息，甚至通过滥用信任关系对其他目标进行二次网络钓鱼。 正如德国和荷兰的网络安全机构近期所警告的，此次攻击中，攻击者冒充 “Signal 支持” 人员接近目标，敦促他们点击链接（或扫描二维码），或提供 PIN 码或验证码。无论哪种方式，这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。 不过，根据受害者所采用的不同方式，此次活动会产生两种不同结果： 如果受害者选择向威胁行为者提供 PIN 码或验证码，他们将失去账户访问权，因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息，但这种方法可用于监控新消息，并冒充受害者向他人发送消息。 如果受害者最终点击链接或扫描二维码，受威胁行为者控制的设备就会与受害者账户关联，使其能够访问所有消息，包括过去发送的消息。在这种情况下，除非受害者在应用设置中被明确移除，否则他们仍可继续访问 CMA 账户。 为更好地防范此类威胁，建议用户切勿与任何人分享短信验证码或验证 PIN 码，收到来自未知联系人的意外消息时要谨慎，点击链接前先检查，定期查看已关联设备，并移除可疑设备。 Signal 本月早些时候在 X 平台上发文称：“这些攻击和所有网络钓鱼一样，依赖社会工程手段。攻击者冒充可信联系人或服务（比如虚构的‘Signal 支持机器人’），诱骗受害者交出登录凭证或其他信息。” “为防止此类情况发生，请记住，只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调，Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您，索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码，那就是诈骗。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗科技巨头史赛克（Stryker）遭擦除式恶意软件攻击，与伊朗关联、支持巴勒斯坦的黑客组织 Handala 宣称对此负责。 史赛克是全球领先医疗科技企业，生产外科、神经技术等多类设备；拥有超 5.3 万名员工，为《财富》500 强企业，2024 年全球销售额达 226 亿美元。 Handala 组织称，攻击中先窃取 50 TB 数据，随后擦除公司网络内数万系统与服务器，迫使史赛克 “遭受前所未有的打击” 并关停系统。 “此次行动中，超 20 万台系统、服务器与移动设备被擦除，50 TB 关键数据被窃取；史赛克在 79 个国家的办事处被迫关停。” 攻击者表示。 美国、爱尔兰、哥斯达黎加、澳大利亚等地自称史赛克员工的人士称，其受管理的 Windows 设备与移动设备在夜间被远程擦除；攻击者还篡改公司 Entra 登录页面，展示 Handala 组织标识。 一名史赛克员工向 BleepingComputer 透露，事件始于 3 月 11 日凌晨，公司移动设备管理系统注册的设备被远程擦除；注册用于工作访问的个人手机也被重置，数据丢失。 公司要求员工从个人设备移除企业管理应用与程序，包括 Intune 公司门户、Teams 与 VPN 客户端。 多名员工反馈，攻击导致内部服务与应用无法访问，部分办公地点因系统不可用，被迫恢复 “纸笔” 办公流程。 受攻击影响，史赛克正开展全球系统恢复工作，《华尔街日报》率先报道此事。 据爱尔兰当地媒体，史赛克告知科克员工：“我们正遭遇严重的全球中断，影响所有连接公司网络的笔记本电脑与系统。” 公司向亚洲员工发送的消息称：“目前尚未确定根本原因，我们正与微软积极协作，将此视为全企业级关键事件处理。” Handala 组织（又称 Handala Hack Team、Hatef、Hamsa）于 2023 年 12 月首次现身，是与伊朗情报与安全部（MOIS）关联的黑客行动组织，以破坏性恶意软件攻击以色列机构，擦除 Windows 与 Linux 设备。 该组织还以窃取受害者系统敏感数据，并在数据泄露门户公开数据著称。 史赛克确认网络攻击 报道发布后，史赛克向美国证券交易委员会提交 8-K 表格，确认遭受影响其整个微软环境的网络攻击。 “2026 年 3 月 11 日，史赛克公司确认发生影响公司部分信息技术系统的网络安全事件，导致公司微软环境全球中断。”8-K 文件显示。 “事件被发现后，公司立即启动网络安全响应计划，在外部顾问与网络安全专家支持下开展内部调查，评估并遏制威胁。” “公司未发现勒索软件或恶意软件迹象，认为事件已得到控制。” 公司表示，系统恢复期间，事件将持续影响工作环境，包括网络系统与业务应用访问；但尚未给出全面恢复的时间线。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰情报机构周一发出警告称，俄罗斯国家背景黑客正在开展全球性攻击活动，试图攻破政府官员与军事人员的 Signal 和 WhatsApp 账号。 在一份公开的网络安全通告中，荷兰军事情报局（MIVD）与国内安全局（AIVD）表示，此次行动针对政要、公职人员及武装部队成员。 两家机构称，荷兰政府雇员的账号已成为被攻破的目标之一。他们警告称，该攻击活动还可能针对记者及其他俄罗斯政府感兴趣的人员。 此次警告发布前，西方情报机构已揭露多起针对北约各国政府、研究人员与国防承包商的俄罗斯间谍活动。 相关机构强调，这些攻击针对的是个人账号，并不意味着即时通讯平台本身遭到入侵。 Signal 与 WhatsApp 均使用 Signal 协议，这是一种端到端加密系统，被广泛认为是目前保护传输中消息内容最强的加密方式。但如果攻击者获取了用户设备或账号的访问权限，消息仍可被读取。 “并非 Signal 或 WhatsApp 整体遭到入侵，”AIVD 局长西蒙妮・斯密特（Simone Smit）在一份声明中表示，“被攻击的是个人用户账号。” 通告并未估计受害者数量，也未将此次活动归因于某个具体的俄罗斯情报机构或已知黑客组织。相关机构表示，此次行动并未利用技术漏洞，而是滥用应用中合法的安全功能，并依赖社会工程学实施攻击。 攻击者通常会伪装成客服账号，诱骗受害者提供登录通讯账号所需的验证码或 PIN 码。 黑客只需在正常注册流程中输入目标手机号，即可触发验证码发送。Signal 与 WhatsApp 会自动向注册时输入的任何号码发送验证码。 随后，攻击者伪装成客服人员，声称受害者必须提供验证码以保护或验证账号。一旦受害者提供验证码，攻击者即可在自己设备上输入并控制账号，从而读取消息、冒充受害者发送信息。 另一种攻击手段是诱骗用户扫描恶意二维码或点击链接，通过应用的 “关联设备” 功能将黑客设备与受害者账号绑定，使攻击者获取聊天记录与消息历史。 此次攻击活动延续了俄罗斯此前针对官员、记者及军事人员所用即时通讯平台的网络行动。 谷歌安全研究人员去年曾警告称，由于乌克兰军人、政客与记者广泛使用 Signal，该平台已成为俄罗斯间谍活动的频繁目标。 在其中一起案例中，俄罗斯军方黑客将从战场缴获设备上获取的 Signal 账号关联到自己系统，以进行进一步利用。 荷兰相关机构警告用户：切勿分享验证码，避免扫描陌生二维码，并无视声称来自 Signal 客服的消息。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗相关联的 APT 组织 MuddyWater 以美国机构为目标，在银行、机场、非营利组织等多个行业部署了新型 Dindoor 后门程序。 博通公司旗下的赛门铁克威胁狩猎团队发现了一场由与伊朗相关的 MuddyWater（又名 SeedWorm、TEMP.Zagros、Mango Sandstorm、TA450、Static Kitten）APT 组织发起的攻击活动，该活动针对多家美国机构。 博通赛门铁克发布的报告称：“在多家美国企业的网络中发现了与伊朗 APT 组织 Seedworm 相关的活动。该活动始于 2026 年 2 月，并在最近几天仍在持续。” 该组织部署了一款名为 Dindoor 的新型后门程序，并渗透进入多个行业的网络，包括银行、机场、非营利组织，以及一家软件公司的以色列分支机构。 首次 MuddyWater 攻击活动于 2017 年末被发现，当时该 APT 组织以中东地区实体为攻击目标。 专家将该活动命名为 “MuddyWater”，原因是难以对 2017 年 2 月至 10 月期间针对沙特阿拉伯、伊拉克、以色列、阿联酋、格鲁吉亚、印度、巴基斯坦、土耳其和美国的一系列攻击进行溯源归因。多年来，该组织不断扩充攻击手段，持续进化，攻击目标也扩展至欧洲和北美国家。 该组织的受害者主要集中在电信、政府（信息技术服务）以及石油行业。 2022 年 1 月，美国网络司令部（USCYBERCOM）正式将 MuddyWater APT 组织与伊朗情报与安全部（MOIS）关联起来。 自 2026 年 2 月初以来，MuddyWater APT 组织已针对美国和加拿大的多家机构发动攻击。受害者包括一家美国银行、一座机场、多家非营利组织，以及一家在以色列开展业务、服务于国防和航空航天领域的软件供应商。这款此前不为人知的 Dindoor 后门依赖 Deno 运行时执行 JavaScript 和 TypeScript 代码，并使用了一张颁发给 “Amy Cherne” 的证书进行签名。 研究人员还观察到，攻击者曾尝试使用 Rclone 工具从一家被攻击的软件公司窃取数据，并传输至 Wasabi Technologies 云存储桶中，目前尚不清楚此次数据传输是否成功。专家还在美国机场和非营利组织的网络中发现了另一个独立的 Python 后门程序，命名为 Fakeset，该程序使用了与 Seedworm 相关联的证书进行签名。该恶意软件托管在 Backblaze 服务器上，并与其他 Seedworm 关联的恶意软件家族共享证书，这表明这些入侵事件背后是该伊朗组织所为。 报告继续指出：“伊朗在网络空间行动的特点之一是，它会定期对其视为敌对国家的机构发起破坏性攻击，目前这类国家显然包括美国和以色列。”“这对这些国家的机构构成了风险，因为此类攻击的目的是传递信号，而非窃取信息，这意味着该国境内任何被盯上的机构都可能成为攻击目标。” 近期与伊朗网络行为体相关的活动显示，其行动混合了间谍活动、破坏行动与影响力行动。支持巴勒斯坦的黑客组织 Handala 通过钓鱼、数据窃取、勒索软件和数据泄露活动攻击以色列官员和能源公司，并宣称攻破了以色列和海湾地区的多家机构。与此同时，伊朗 APT 组织 Seedworm 针对学者、非政府组织和政府机构开展鱼叉式钓鱼攻击以收集情报。另一个组织 Marshtreader 在地区紧张局势期间对以色列境内存在漏洞的摄像头进行扫描，以实施侦察。 黑客组织 DieNet 也宣称对美国关键基础设施发起了 DDoS 攻击。研究人员警告称，与伊朗结盟的行为体可能升级攻击行动，包括 DDoS 攻击、网站篡改、凭证窃取、数据泄露，以及针对关键基础设施、能源、交通、电信、医疗和国防领域的潜在破坏性行动。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，威胁行为者正越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。 根据微软威胁情报发布的一份最新报告，攻击者正将生成式人工智能工具用于广泛任务，包括侦察、钓鱼、基础设施搭建、恶意软件开发以及入侵后活动。 在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、总结窃取的数据、调试恶意软件，以及辅助脚本编写或基础设施配置。 “微软威胁情报已观察到，当前绝大多数人工智能的恶意使用都集中于利用大语言模型生成文本、代码或媒体内容。威胁行为者利用生成式人工智能撰写钓鱼诱饵、翻译内容、总结窃取的数据、生成或调试恶意软件，以及搭建脚本或基础设施框架。” 微软警告称。 “对于这些用途而言，人工智能发挥了力量倍增器的作用，降低了技术阻力并加快了执行速度，而人类操作者仍保留对攻击目标、攻击对象和部署决策的控制权。” 威胁行为者在网络攻击生命周期中对人工智能的使用（来源：微软） 被用于支撑网络攻击的人工智能 微软已观察到多个威胁组织将人工智能融入网络攻击，包括代号为 Jasper Sleet（Storm-0287）和 Coral Sleet（Storm-1877）的朝鲜籍行为者，他们将该技术用于远程 IT 人员渗透计划。 在这些行动中，人工智能工具帮助生成逼真的身份信息、简历和通信内容，以在西方企业获得雇佣资格，并在入职后维持访问权限。 “Jasper Sleet 利用生成式人工智能平台简化伪造数字身份的制作流程。例如，Jasper Sleet 行为者会提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份档案。例如，威胁行为者可能在此场景中使用以下类型的提示词来利用人工智能： 示例提示词 1：“创建 100 个希腊姓名的列表。” 示例提示词 2：“使用姓名 Jane Doe 创建一组邮箱地址格式。” Jasper Sleet 还利用生成式人工智能审阅专业平台上软件开发及 IT 相关岗位的招聘信息，提示工具提取并总结所需技能。这些输出结果随后被用于为特定职位量身定制伪造身份。 ❖ 微软威胁情报” 报告还描述了人工智能如何被用于辅助恶意软件开发与基础设施搭建，威胁行为者利用人工智能编码工具生成和优化恶意代码、排查错误，或将恶意软件组件移植到不同编程语言。 并非只有微软观察到威胁行为者越来越多地使用人工智能支撑攻击并降低入门门槛。 谷歌近期报告称，威胁行为者在网络攻击的所有阶段都在滥用 Gemini 人工智能，这与亚马逊在相关攻击活动中观察到的情况一致。 亚马逊以及 Cyber and Ramen 安全博客近期也报告了一起攻击活动，其中威胁行为者使用多个生成式人工智能服务，成功攻破了超过 600 个 FortiGate 防火墙。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS，从而更轻易地绕过域名信誉检测与邮件安全网关。 .arpa 是保留给互联网基础设施使用的特殊顶级域名，而非用于普通网站。它主要用于反向 DNS 解析，即让系统将 IP 地址映射回对应的主机名。 IPv4 反向解析使用 in-addr.arpa 域名，而 IPv6 使用 ip6.arpa。在这类解析中，DNS 会查询由 IP 地址反向排列并附加在上述域名后的主机名。 例如，www.google.com 对应的 IP 地址为 192.178.50.36（IPv4）与 2607:f8b0:4008:802::2004（IPv6）。使用 dig 工具查询 Google 的 192.178.50.36 这一 IP 时，会解析到一个 in-addr.arpa 主机名，并最终指向一个常规主机名。 查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 可以看到，它首先解析到一个 ip6.arpa 主机名，然后再解析到一个常规主机名，如下所示。 钓鱼活动对 .arpa 域名的滥用 Infoblox 观测到的一起钓鱼攻击活动，利用了 ip6.arpa 反向 DNS 顶级域名。该域名通常通过 PTR 记录将 IPv6 地址映射回主机名。 然而，攻击者发现，如果他们申请到属于自己的 IPv6 地址段，就可以滥用该 IP 段对应的反向 DNS 区域，为钓鱼网站配置额外的 DNS 记录。 在正常的 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，使系统能够查询与某个 IP 地址关联的主机名。 但攻击者发现，一旦控制了某段 IPv6 地址对应的 DNS 区域，部分 DNS 管理平台允许他们配置其他类型的记录，这些记录可被滥用于钓鱼攻击。 Infoblox 解释称：“我们发现威胁行为者利用 Hurricane Electric 与 Cloudflare 创建这类记录 —— 两者均拥有良好信誉，攻击者正是利用了这一点 —— 并且我们确认其他一些 DNS 服务商也允许此类配置。” “我们的测试并非全覆盖，但我们已向发现存在安全漏洞的服务商进行了通报。图 2 展示了威胁行为者创建钓鱼邮件中所用域名的流程。” 为搭建相关基础设施，攻击者首先通过 IPv6 隧道服务获取一段 IPv6 地址。 Infoblox 关于 .arpa 顶级域在钓鱼邮件中如何被滥用的分析综述 (来源：Infoblox) 在获得地址段的控制权后，攻击者利用该 IPv6 地址段生成反向 DNS 主机名，并使用随机生成的子域名，使其难以被检测或拦截。 攻击者并未按预期配置 PTR 记录，而是创建 A 记录，将这些反向 DNS 域名指向承载钓鱼网站的基础设施。 该攻击活动中的钓鱼邮件使用奖品、调查奖励或账户通知等诱饵。这些诱饵以图片形式嵌入邮件，图片链接指向 IPv6 反向 DNS 记录，例如 d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa，而非常规主机名，因此目标用户不会看到奇怪的 arpa 主机名。 当受害者点击钓鱼邮件中的图片时，设备会通过 DNS 服务商解析由攻击者控制的反向 DNS 服务器。 使用.arpa 主机名展示图片和链接的 HTML 代码 (来源：Infoblox) 在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名解析到 Cloudflare IP 地址，从而隐藏后端钓鱼基础设施的真实位置。 点击图片后，受害者会经过流量分发系统（TDS）跳转，该系统通常根据设备类型、IP 地址、网页来源等条件判断访客是否为有效目标。若通过验证，则跳转到钓鱼网站；否则跳转到合法网站。 Infoblox 表示，这类钓鱼链接生命周期很短，仅活跃数天。链接失效后，会跳转到域名错误页面或其他合法网站。 研究人员认为，此举是为了增加安全研究人员分析和调查钓鱼攻击的难度。 此外，由于 .arpa 域名是为互联网基础设施保留的，它不包含普通注册域名所具备的信息，例如 WHOIS 信息、域名年龄、联系方式等。这使得邮件网关与安全工具更难检测恶意域名。 研究人员还观测到，该钓鱼活动同时使用了其他技术，例如劫持悬空 CNAME 记录与子域名影子化技术，使攻击者能够通过与合法机构关联的子域名投放钓鱼内容。 Infoblox 解释称：“我们发现超过 100 个案例中，威胁行为者劫持了知名政府机构、大学、电信公司、媒体机构和零售商的 CNAME 记录。” 通过将安全工具所信任的反向 DNS 功能武器化，攻击者可以生成能够绕过传统检测手段的钓鱼 URL。 与往常一样，防范此类钓鱼攻击的最佳方式是避免点击邮件中意外出现的链接，而是直接通过官方网站访问相关服务。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FreeScout 客服平台存在一个最高危漏洞，允许黑客在无需用户交互、无需身份认证的情况下实现远程代码执行（RCE）。 该漏洞编号为 CVE-2026-28289，可绕过此前针对另一个 RCE 漏洞（CVE-2026-27636）的修复，后者仅能被拥有上传权限的认证用户利用。 应用安全厂商 OX Security 的研究人员表示，攻击者只需向 FreeScout 中配置的任意邮箱发送一封精心构造的邮件，即可利用该新漏洞。 官方此前的修复方案试图通过修改带受限后缀或以点开头的文件名，来阻止危险文件上传。 OX 研究团队发现，可在文件名前插入零宽空格（Unicode U+200B） 绕过新加入的校验机制，因为该字符不会被视为可见内容。 后续处理会自动移除该字符，使文件最终以点文件（dotfile）形式保存，从而完全绕过最新安全检查，再次触发 CVE-2026-27636 的利用条件。 攻击利用链（来源：OX Research） 研究人员称，更严重的是，只需向 FreeScout 配置的邮箱发送带恶意附件的邮件，即可触发 CVE-2026-28289。 系统会将附件保存到 /storage/attachment/ 目录，攻击者可通过 Web 界面访问上传的恶意载荷，无需认证、无需点击即可在服务器上执行命令，属于零点击漏洞。 厂商在安全公告中表示：“FreeScout 1.8.206 存在补丁绕过漏洞，任何拥有文件上传权限的认证用户，可通过在文件名前加零宽空格上传恶意 .htaccess 文件绕过安全检查，实现服务器 RCE。” FreeScout 是一款开源客服与共享邮箱平台，用于企业管理客服邮件与工单，是可自托管的 Zendesk / Help Scout 替代方案。 该项目在 GitHub 有 4100 Star、620+ Fork；OX 研究称 Shodan 扫描发现 1100 个公开暴露实例，说明其使用范围广泛。 CVE-2026-28289 影响 1.8.206 及以下所有版本，已于四天前发布的 1.8.207 版本中修复。 FreeScout 团队警告，成功利用 CVE-2026-28289 可导致服务器完全被控、数据泄露、内网横向移动、业务中断，建议立即更新补丁。 OX Research 同时建议，即使升级到 1.8.207，也应在 FreeScout 服务器的 Apache 配置中禁用 AllowOverride All。 截至发稿，暂未观察到 CVE-2026-28289 在野利用，但鉴于漏洞性质，短期内出现恶意攻击的风险极高。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织协调开展的为期一年、代号 “指南针行动” 的打击行动，导致 30 人被捕，179 名嫌疑人与以儿童和青少年为目标的网络犯罪集团 “The Com” 关联。 欧洲刑警组织在周四发布的新闻稿中表示，调查人员确认 62 名受害者，并直接保护其中 4 人免受该组织侵害。 指南针行动于 2025 年 1 月启动，由欧洲刑警组织欧洲反恐中心主导，汇集 28 国执法机构打击 The Com（Community 的缩写）。 欧洲刑警组织称其为去中心化虚无主义极端网络，The Com 是由英语系网络罪犯组成的松散组织，以针对、侵害并招募青少年实施敲诈、暴力及制作儿童性剥削材料（CSAM）闻名。 The Com 活跃于各类社交媒体、在线游戏、即时通讯应用和音乐流媒体平台，下设多个分支，包括： ·     Offline Com：宣扬破坏财产、伤害他人及实施恐怖活动 ·     Cyber Com：策划网络入侵与勒索软件攻击 ·     (S) extortion Com：胁迫未成年人实施性犯罪，煽动自残与自杀 另一个 2021 年出现的分支 “764” 在 The Com 中臭名昭著，该组织诱导未成年人制作色情内容，用于敲诈或在成员间传播。 2025 年 4 月，764 两名头目（21 岁 Leonidas Varagiannis、20 岁 Prasan Nepal）被捕，被控运营跨国儿童剥削团伙，面临终身监禁。 The Com 此前与 2025 年 4 月针对玛莎百货、Co-op、哈罗德百货的重大勒索软件攻击，以及 2023 年 9 月拉斯维加斯赌场入侵事件有关联。 欧洲刑警组织欧洲反恐中心负责人 Anna Sjöberg 表示：“这些网络专门在儿童最放松的数字空间里针对他们。” “指南针行动使我们能够提前干预、保护受害者，并瓦解那些利用脆弱人群实现极端目的的组织。没有任何国家能独自应对这一威胁，通过合作，我们正在封堵他们试图藏身的空隙。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 管理员必须紧急修补一个高危漏洞，该漏洞可使攻击者逃逸隔离的 jail 环境。 该漏洞编号为 CVE-2025-15576，尽管常与系统崩溃相关，但其也可导致危险的 jail 逃逸。 该漏洞允许受 jail 限制的进程绕过受限环境，未授权获取对宿主底层文件系统的完全访问权限。 FreeBSD jail 是一种操作系统虚拟化技术，可安全隔离进程。其使用类 chroot 机制限制进程对文件和目录的访问。 但 CVE-2025-15576 暴露了两个同级独立 jail 交互时，目录文件描述符处理中的高危缺陷。该漏洞仅在特定系统配置下触发。 若管理员将两个同级 jail 通过 nullfs 挂载共享目录，两 jail 内的协同进程可通过 Unix 域套接字建立连接。 恶意进程可通过该套接字交换目录描述符。在正常文件系统名称查找过程中，内核会检查目录是否位于 jail 根目录之下。 但由于该漏洞，当目录描述符通过套接字交换时，内核无法正确终止查找。因此，进程可成功获取完全位于其受限 jail 目录树之外的目录文件描述符。该漏洞的主要影响是文件系统隔离完全失效。 若攻击者控制两个通过 nullfs 与 Unix 域套接字共享的 jail 内的进程，即可来回传递目录描述符，突破 chroot 限制。一旦逃逸 jail 环境，攻击者即可获得完整文件系统访问权限。 攻击者可访问根文件系统、修改关键系统文件、窃取敏感数据，或发起进一步攻击以在宿主上提权。 重要的是，管理员必须确保无特权用户无法向受 jail 限制的进程传递目录描述符。 目前暂无可缓解该漏洞的临时解决方案。管理员必须立即将 FreeBSD 系统升级至已修补的发布分支。 对于从二进制分发包安装的系统（如 FreeBSD 14.3 或 13.5 RELEASE 版本），管理员可使用内置更新工具部署修补程序。 执行 freebsd-update fetch 然后执行 freebsd-update install 即可安全应用补丁。必须重启系统才能使安全更新生效。 对于源码安装环境，管理员必须从 FreeBSD 官方安全门户下载对应补丁，验证 PGP 签名并重新编译内核。 为确保完全防护，需验证系统运行的是 2026 年 2 月 24 日之后的已修补内核。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文