最新文章

Top News
微软:加拿大员工遭"薪资海盗"攻击,工资被窃

微软:加拿大员工遭"薪资海盗"攻击,工资被窃

作者: hackernews 日期: 2026-04-13 分类: 今日推送

HackerNews 编译,转载请注明出处:

微软追踪的财务动机威胁行为体Storm-2755正在劫持加拿大员工账户,在薪资重定向(又称"薪资海盗")攻击中窃取工资。

...

GrafanaGhost:攻击者可利用 Grafana 泄露企业数据

GrafanaGhost:攻击者可利用 Grafana 泄露企业数据

作者: hackernews 日期: 2026-04-08 分类: 今日推送

HackerNews 编译,转载请注明出处:

Noma Security最新研究显示,Grafana AI组件处理信息的方式存在漏洞,可能允许攻击者绕过应用防护并泄露企业信息。

...

乌克兰 CERT-UA 遭仿冒,AGEWHEEZE 恶意软件被群发至百万邮箱

乌克兰 CERT-UA 遭仿冒,AGEWHEEZE 恶意软件被群发至百万邮箱

作者: hackernews 日期: 2026-04-02 分类: 今日推送

HackerNews 编译,转载请注明出处:

乌克兰计算机应急响应小组(CERT-UA)披露了一场新型网络钓鱼活动的细节。在此次活动中,该网络安全机构被仿冒,用于分发一款名为 AGEWHEEZE 的远程管理工具。

...

新型 DeepLoad 恶意软件利用 ClickFix 和 WMI 持久化窃取浏览器凭证

新型 DeepLoad 恶意软件利用 ClickFix 和 WMI 持久化窃取浏览器凭证

作者: hackernews 日期: 2026-03-31 分类: 今日推送

HackerNews 编译,转载请注明出处:

一场新攻击活动利用ClickFix社交工程手段分发此前未记录的恶意软件加载器DeepLoad。


ReliaQuest研究人员Thassanai McCabe和Andrew Currie在报告中表示:"该恶意软件可能使用AI辅助混淆和进程注入规避静态扫描,同时凭证窃取立即启动,即使主加载器被阻止也能捕获密码和会话。"


攻击链起点为ClickFix诱饵,诱骗用户在Windows运行对话框中粘贴PowerShell命令,以解决并不存在的问题为幌子。随后利用合法Windows工具"mshta.exe"下载并运行混淆的PowerShell加载器。


该加载器将实际功能隐藏在无意义的变量赋值中,可能试图欺骗安全工具。研究人员评估威胁行为体可能使用人工智能工具开发混淆层。


深度隐蔽


DeepLoad刻意融入常规Windows活动以规避检测,包括将载荷隐藏在名为"LockAppHost.exe"的可执行文件中——这是管理锁屏界面的合法Windows进程。


此外,恶意软件通过禁用PowerShell命令历史、直接调用原生Windows核心函数(而非依赖PowerShell内置命令启动进程和修改内存)来掩盖痕迹,从而绕过监控PowerShell活动的常见检测钩子。


ReliaQuest表示:"为规避基于文件的检测,DeepLoad使用PowerShell内置功能Add-Type动态生成二级组件,该功能编译并运行C#编写的代码,生成临时动态链接库(DLL)文件投放至用户Temp目录。"


这使恶意软件能够规避基于文件名的检测,因为DLL每次执行时都会编译,并以随机文件名写入。


另一值得注意的防御规避策略是DeepLoad使用异步过程调用(APC)注入,在受信任的Windows进程内运行主载荷——以挂起状态启动目标进程,将shellcode写入其内存,然后恢复进程执行,无需将解码后的载荷写入磁盘。


凭证窃取与持久化


DeepLoad旨在通过从主机提取浏览器密码促进凭证窃取。它还投放恶意浏览器扩展,在用户输入登录页面凭证时拦截,并在用户会话中持久存在,除非明确移除。


该恶意软件更危险的功能是自动检测可移动媒体设备(如U盘)连接,并使用"ChromeSetup.lnk"、"Firefox Installer.lnk"、"AnyDesk.lnk"等名称复制含恶意软件的文件,一旦双击即触发感染。


ReliaQuest解释:"DeepLoad使用Windows管理规范(WMI)在三天后无需用户操作和攻击者交互即可重新感染'干净'主机。WMI发挥双重作用:打破大多数检测规则旨在捕获的父子进程链,并创建WMI事件订阅,稍后静默重新执行攻击。"


其目标似乎是部署能够在网络杀伤链各环节执行恶意操作的多功能恶意软件,通过避免向磁盘写入痕迹、融入Windows进程、快速传播至其他机器来规避安全控制检测。


目前尚不清楚该恶意软件首次用于真实世界攻击的时间或整体活动规模。但ReliaQuest发言人告诉The Hacker News,该恶意软件"非常新","通过ClickFix投递表明其具有更广泛传播的潜力"。


该发言人补充:"与DeepLoad相关的基础设施和模板化实现可能与服务型或共享框架一致;但目前我们无法最终确定其是否作为MaaS(恶意软件即服务)模式提供。"


此次披露恰逢G DATA详细介绍另一款名为Kiss Loader的恶意软件加载器,该加载器通过钓鱼邮件附带的Windows Internet快捷方式文件(URL)分发,随后连接至TryCloudflare域名托管的远程WebDAV资源,提供伪装成PDF文档的二级快捷方式。


执行后,该快捷方式启动负责运行JavaScript组件的WSH脚本,进而检索并执行批处理脚本——显示诱饵PDF,在启动文件夹设置持久化,并下载基于Python的Kiss Loader。最后阶段,加载器使用APC注入解密并运行Venom RAT(AsyncRAT变种)。


目前尚不清楚Kiss Loader攻击的广泛程度,以及是否以MaaS模式提供。但据该加载器背后的威胁行为体声称,其来自马拉维。

...

朝鲜黑客滥用 VS Code 自动运行任务部署 StoatWaffle 恶意软件

朝鲜黑客滥用 VS Code 自动运行任务部署 StoatWaffle 恶意软件

作者: hackernews 日期: 2026-03-24 分类: 今日推送

HackerNews 编译,转载请注明出处:

"Contagious Interview"行动背后的朝鲜黑客组织(又称WaterPlum)被曝利用恶意Visual Studio Code项目传播新型恶意软件家族StoatWaffle。


自2025年12月起,该组织开始采用VS Code "tasks.json"配置分发恶意软件这一新战术。攻击利用"runOn: folderOpen"选项,每当项目文件夹在VS Code中打开时即自动触发执行。


NTT Security在上周发布的报告中指出:"该任务配置会从Vercel上的Web应用下载数据,与操作系统无关。本文虽以Windows环境为例,但核心行为在各系统上基本一致。"


下载的载荷首先检查执行环境是否安装Node.js,若未安装则从官网下载并安装。随后启动下载器,定期轮询外部服务器获取下一阶段下载器,该下载器行为相同——访问同一服务器的另一端点,将接收到的响应作为Node.js代码执行。


StoatWaffle两大功能模块:

...

Navia 公司披露数据泄露事件,270 万人受影响

Navia 公司披露数据泄露事件,270 万人受影响

作者: hackernews 日期: 2026-03-20 分类: 今日推送

HackerNews 编译,转载请注明出处:

纳维亚福利解决方案公司(Navia)正告知近 270 万人,他们遭遇了数据泄露事件,敏感信息已暴露给攻击者。

...

OpenAI 封禁俄宣传网络:利用 ChatGPT 策划非洲影响力行动

OpenAI 封禁俄宣传网络:利用 ChatGPT 策划非洲影响力行动

作者: hackernews 日期: 2026-03-03 分类: 今日推送

HackerNews 编译,转载请注明出处:

OpenAI上周发布威胁报告称,已封禁一批与亲克里姆林宫媒体Rybar关联的ChatGPT账户。该网络利用人工智能生成社交媒体内容,并起草针对非洲的秘密影响力行动方案。


这一名为"鱼食"的行动批量生成多语言内容,随后在Telegram和X平台发布。OpenAI研究人员表示,至少部分账户可能源自俄罗斯。


研究人员指出:"本质上,这些ChatGPT活动似乎是为这些账户提供内容农场服务",但无法独立核实AI生成材料最终如何被发布上网。


该行动主要使用俄语提示词,但产出内容涵盖英语、西班牙语等多种语言。部分提示词用于生成批量英文评论,随后由一系列与Rybar(俄语意为"渔民")无公开关联的Telegram和X账户发布。


除内容生成外,研究人员披露,有用户要求ChatGPT协助为Rybar制定非洲秘密干预活动的商业计划,包括管理X和Telegram账户、创办聚焦非洲的双语调查新闻网站,以及在法语媒体安排付费投放。


另一提示词涉及编辑一份疑似选举干预团队的提案,内容涵盖建立本地网络、组织大规模活动及配合在线影响力行动。提示词还涉及布隆迪和喀麦隆的选举程序信息查询,并讨论马达加斯加的竞选选项,包括煽动抗议的建议。报告称,最宏大的项目预算高达60万美元/年。


研究人员表示:"该行动生成的内容具有典型的俄罗斯秘密影响力行动特征——通常赞扬俄罗斯及其盟友(如白俄罗斯),批评乌克兰,并指责西方国家干涉内政。"


Rybar主Telegram频道拥有约140万订阅者。OpenAI指出,尽管受众规模可观,但未观察到该网络内容被主流媒体显著放大,也未发现非洲当地有与之匹配的实际活动证据。


Rybar为亲战军事博客,由前俄罗斯国防部新闻官米哈伊尔·兹温丘克及其同事杰尼斯·休金创立。俄罗斯独立媒体报道称,已故瓦格纳私人军事公司创始人叶夫根尼·普里戈任曾参与资助该项目。


 

...

OpenClaw 漏洞:恶意网站可劫持 AI 代理

OpenClaw 漏洞:恶意网站可劫持 AI 代理

作者: hackernews 日期: 2026-03-03 分类: 今日推送

HackerNews 编译,转载请注明出处:

Oasis Security报告显示,OpenClaw AI助手存在漏洞,攻击者可通过诱导受害者访问恶意网站劫持AI代理。


该漏洞利用无需安装恶意扩展或用户交互,仅依赖OpenClaw自身功能即可成功。


OpenClaw作为自托管AI代理,运行本地WebSocket服务器作为网关,负责身份验证、代理编排、会话管理及配置存储。应用和设备以节点身份连接网关以暴露功能、执行命令和访问能力,身份验证通过令牌或密码完成。


Oasis指出:"网关默认绑定localhost,基于本地访问天然可信的假设。正是这一假设导致了安全问题。"


该安全公司发现,当AI代理的网关绑定至localhost且受密码保护时,若开发者访问恶意网站,代理可能被劫持。


由于浏览器跨源策略未阻止对localhost的WebSocket连接,恶意网站上的JavaScript代码可使用代理端口打开此类连接。随后可暴力破解密码——localhost连接不受网关速率限制器约束——进而注册为可信设备,而来自localhost的设备配对会自动批准,无需用户确认。


Oasis说明:"网关的速率限制器完全豁免回环连接,失败尝试不计数、不节流、不记录。实验室测试中,我们仅通过浏览器JavaScript就达到了每秒数百次密码猜测的持续速率。在此速度下,常见密码列表不到一秒即可穷举,大型字典也只需数分钟。"


一旦猜中密码,攻击者即可获得具有管理员权限的认证会话,完全控制OpenClaw。这使得攻击者可与代理交互、提取配置、枚举节点及读取日志。


Oasis表示:"实践中,这意味着攻击者可指示代理搜索开发者的Slack历史获取API密钥、读取私信、从连接设备外泄文件,或在任何配对节点执行任意shell命令。对于具备典型OpenClaw集成的开发者而言,这相当于从浏览器标签页发起的工作站完全沦陷。"


OpenClaw安全团队在收到Oasis报告后24小时内修复了该漏洞,并将其归类为高危问题。建议用户更新至OpenClaw 2026.2.25或更高版本。


 

...