HackerNews 编译，转载请注明出处：

一款名为 SSHStalker 的新型 Linux 僵尸网络被记录在案，它使用 IRC（互联网中继聊天）通信协议进行命令与控制（C2）操作。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

自2025年初以来，麒麟勒索软件组织每月声称入侵超过40名受害者，其数据泄露网站上的帖子数量在6月份达到了100例的高峰。

根据思科Talos汇编的数据，美国、加拿大、英国、法国和德国是受麒麟影响最严重的国家。这些攻击主要针对制造业（23%）、专业和科学服务（18%）以及批发贸易（10%）等领域。

麒麟附属组织发起的攻击可能利用了暗网上泄露的管理凭证，通过VPN接口进行初始访问，随后对域控制器和成功入侵的端点执行RDP连接。

在下一阶段，攻击者进行了系统侦察和网络发现操作以绘制基础设施地图，并执行了Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe和SharpDecryptPwd等工具，以促进从各种应用程序中获取凭证，并使用Visual Basic脚本将数据外泄到外部SMTP服务器。

Talos表示："通过Mimikatz执行的命令针对一系列敏感数据和系统功能，包括清除Windows事件日志、启用SeDebugPrivilege、从Chrome的SQLite数据库提取保存的密码、恢复之前登录的凭证，以及获取与RDP、SSH和Citrix相关的凭证和配置数据。"

进一步分析发现，威胁行为者使用mspaint.exe、notepad.exe和iexplore.exe来检查文件中的敏感信息，以及使用名为Cyberduck的合法工具将感兴趣的文件传输到远程服务器，同时掩盖恶意活动。

研究发现，被盗凭证使得攻击者能够进行权限提升和横向移动，他们滥用提升后的访问权限来安装多种远程监控和管理（RMM）工具，例如AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist和ScreenConnect。Talos表示无法确定这些程序是否用于横向移动。

为了规避检测，该攻击链包括执行PowerShell命令来禁用AMSI、关闭TLS证书验证并启用Restricted Admin，此外还运行dark-kill和HRSword等工具来终止安全软件[citation:1。主机上还部署了Cobalt Strike和SystemBC以实现持久远程访问。

感染的最终阶段是启动麒麟勒索软件，该软件会加密文件并在每个加密文件夹中投放赎金记录，但在之前会清除事件日志并删除由Windows卷影复制服务（VSS）维护的所有卷影副本。

这一发现与一起复杂的麒麟攻击事件相吻合，该攻击将其Linux勒索软件变体部署在Windows系统上，并将其与合法的IT工具和自带易受攻击驱动（BYOVD）技术结合使用，以绕过安全屏障。

趋势科技表示："攻击者滥用了合法工具，特别是通过Atera Networks的远程监控和管理（RMM）平台安装AnyDesk，并使用ScreenConnect执行命令。他们滥用Splashtop来最终执行勒索软件。"

"他们使用专门的凭证提取工具专门针对Veeam备份基础设施，在部署勒索软件有效负载之前，系统地从多个备份数据库获取凭证，以破坏组织的灾难恢复能力。"

除了使用有效账户入侵目标网络外，部分攻击还采用了鱼叉式网络钓鱼和托管在Cloudflare R2基础设施上的ClickFix式虚假CAPTCHA页面，来触发恶意有效负载的执行。据评估，这些页面会投放获取初始访问权限所必需的信息窃取程序以收集凭证。

攻击者采取的一些关键步骤如下：

...

HackerNews 编译，转载请注明出处：

美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，这些组件可能被利用来绕过安全启动保护。

攻击者可以利用这一漏洞加载引导工具包（如 BlackLotus、HybridPetya 和 Bootkitty），这些工具包可以规避操作系统级别的安全控制，并在操作系统重新安装后仍然存在。

强大的 mm 命令根据固件安全公司 Eclypsium 的说法，问题出在 Framework 随系统提供的合法签名的 UEFI 外壳中包含了一个 “内存修改”（mm）命令。

该命令提供对系统内存的直接读 / 写访问，旨在用于低级诊断和固件调试。然而，它也可以通过针对 gSecurity2 变量来破坏安全启动信任链，gSecurity2 变量是验证 UEFI 模块签名过程中的一个关键组件。

mm 命令可以被滥用，用 NULL 覆盖 gSecurity2，从而有效地禁用签名验证。

Eclypsium 表示：“一旦确定了地址，mm 命令就可以用 NULL 覆盖安全处理程序指针，或者将其重定向到一个总是返回‘成功’而不进行任何验证的函数。”“这个命令会将包含安全处理程序指针的内存位置写入零，从而有效地禁用所有后续模块加载的签名验证。”

研究人员还指出，这种攻击可以通过启动脚本自动化，以在重启后仍然存在。

约 20 万台受影响的系统Framework 是一家美国硬件公司，以设计模块化且易于维修的笔记本电脑和台式机而闻名。

危险的 mm 命令的存在并非是因为被攻击，而更像是一个疏忽。在得知这个问题后，Framework 开始着手修复这些漏洞。

Eclypsium 的研究人员估计，这个问题已经影响了大约 20 万台 Framework 电脑：

...

HackerNews 编译，转载请注明出处：

安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。

...

HackerNews 编译，转载请注明出处：

全球数百万台Linux系统（包括运行关键服务的系统）现存在一个易于利用的新型sudo漏洞，可能允许未经授权的用户在Ubuntu、Fedora等服务器上以root权限执行命令。

sudo是Linux系统中允许用户以root或超级用户身份运行命令的实用程序。Stratascale网络安全研究单元（CRU）团队发现了两个影响sudo的关键漏洞。

安全研究人员警告称，任何用户都能快速获取无限制的系统访问权限。攻击者可利用此漏洞以root身份执行任意命令，完全接管系统。

该漏洞首次出现在2023年6月发布的1.9.14版本中，已在2025年6月30日发布的最新sudo版本1.9.17p1中修复。漏洞利用已在Ubuntu和Fedora服务器上验证成功，但可能影响更多系统。

报告指出：“这些漏洞可能导致受影响系统的权限提升至root级别。”

研究人员敦促管理员尽快安装最新sudo软件包，因为目前没有其他解决方案。

“默认sudo配置存在漏洞，”Stratascale网络安全研究单元的Rich Mirch解释道。

研究人员已公开概念验证代码，其他团队也成功复现了该漏洞。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...