文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
美国检方指控三名安全公司员工“监守自盗”:DigitalMint 公司的 Kevin Tyler Martin 和另一名未公布名字的员工,以及 Sygnia 公司的前事件响应经理 Ryan Clifford Goldberg。三人被控入侵企业,窃取敏感数据,部署 ALPHV/BlackCat 开发的勒索软件。ALPHV/BlackCat 采用的是勒索软件即服务模式,它提供勒索软件,由加盟成员——在本案中就是三名安全公司员工——通过入侵企业网络部署勒索软件,然后赎金留出部分给加盟者。DigitalMint 公司从事的就是与勒索软件黑帮谈判赎金的业务,它的两名遭到起诉的员工既充当了谈判者,又充当了赎金的分成者。检方指控他们攻击了至少五家美国企业,从其中一家获得了逾 120 万美元的赎金。
麒麟(Qilin)勒索软件被发现滥用 Windows Subsystem for Linux(WSL)在 Windows 操作系统中执行 Linux 加密器以逃避传统安全工具的检测。麒麟勒索软件最初的名字叫 Agenda,2022 年 9 月改名为麒麟,沿用至今,它是目前最活跃的勒索软件之一。安全公司趋势科技和思科 Talos 报告,麒麟勒索软件组织今年至今攻击了 62 个国家的逾 700 名受害者,2025 年下半年每月新增受害者逾 40。趋势科技的安全研究员报告,麒麟勒索软件组织利用 WinSCP 将 Linux ELF 加密器传输到入侵的设备,然后通过 Splashtop 远程管理软件 (SRManager.exe) 直接在 Windows 系统中启动加密器。该加密器无法直接在 Windows 中运行,必须通过 WSL 子系统。WSL 允许用户直接在 Windows 系统中安装和运行 Linux 发行版,攻击者在获得设备的访问权限之后,会启用或安装 WSL,然后执行加密器,绕过传统的 Windows 安全软件。
2012 年就遭到起诉的黑客组织 Jabber Zeus 程序员‘MrICQ’已被引渡至美国。MrICQ 原名 Yuriy Igorevich Rybtsov,现年 41 岁,来自目前被俄罗斯控制的乌克兰顿涅茨克市。MrICQ 是在意大利被拘捕的,时间地点未知,上个月被引渡到美国,目前已被拘留。Jabber Zeus 的名字来自该组织使用的定制 ZeuS 银行木马,该木马旨在窃取银行登陆凭证,每当有新受害者在银行网站输入一次性密码木马会发送一条 Jabber 消息。Jabber Zeus 主要针对中小企业,一旦进入受害者账户,它会修改公司工资单加入数十名“钱骡”(money mules),钱骡会在扣除佣金之后将窃取的钱转给乌克兰和英国的其他钱骡。Jabber Zeus 头目 Vyacheslav“Tank” Penchukov 于 2022 年前往瑞士会见妻子途中被捕,去年被美国法院判处 18 年监禁,以及逾 7300 万美元赔偿金。Zeus 木马的原作者是俄罗斯人 Evgeniy Mikhailovich Bogachev,他被 FBI 列入通缉名单,悬赏 300 万美元。
安全公司趋势科技在今年 3 月报告了一个自 2017 年以来就被多达 11 个 APT 组织利用的 0day 漏洞 CVE-2025-9491,该漏洞源自 Windows Shortcut 二进制格式中的一个 bug。七个月之后微软仍然未能修复该漏洞。安全公司 Arctic Wolf 上周四报告 APT 组织 UNC-6384 正利用该漏洞攻击多个欧洲国家。由于目前仍然没有补丁,抵御攻击的选择相当有限。最有效的反制是限制使用来自不受信任来源的 .lnk 文件。安全公司还报告了另一个微软已经释出补丁但被认为不完整的漏洞 CVE-2025-59287 正被活跃利用,该漏洞存在于 Windows Server Update Services(WSUS)中,可能会导致远程代码执行,其威胁等级 9.8/10。
统计数据显示,向勒索软件组织支付赎金的受害者数量创下了新低,23% 的受害公司屈服支付了赎金,而在 2024 年第一季度这一比例是 28%,此后比例略有上升,但到了 2025 年第三季度创新低。对这一现象的一种解释是企业加大了防御力度,以及政府也施加了压力要求拒绝支付赎金,因为只要支付赎金勒索软件组织就有足够的动机继续发动攻击。勒索软件组织通常在加密受害者系统的同时窃取数据,进行双重勒索。数据显示,2025 年第三季度逾 76% 的攻击涉及数据泄露。2025 年第三季度支持的赎金平均金额和中位数分别降至 37.7 万美元和 14 万美元。Akira 和 Qilin 等勒索软件组织占到了所有有记录攻击的 44%,它们的攻击目标已经转向更有可能支付赎金的中型企业。
主要通过赌博网站传播的寰宇浏览器(Universe Browser)号称是“全网权威安全认证,值得信赖的浏览器”,安全公司 Infoblox 发现该浏览器会将流量理由经过中国境内的服务器,会秘密安装多个在后台静默运行的程序,它们的功能类似恶意程序,包括键盘记录、秘密连接和更改设备网络连接。研究人员表示,寰宇浏览器与赌博网站 BBIN(aka 寶盈集團)相关,研究人员将该组织命名为 Vault Viper,他们是在研究柬埔寨一赌场的系统时发现了 Vault Viper 相关的独特 DNS 指纹。研究人员逆向工程了寰宇浏览器,发现了很多类似恶意软件的功能,它还会试图逃避杀毒软件的检测。在浏览器启动时,它会立即检查用户的位置、语言以及是否在虚拟机中运行。它安装了两个扩展:其中一个允许上传屏幕截图。Infoblox 认为寰宇浏览器是识别富有玩家并获取其设备访问权限的完美工具。
微软宣布,文件资源管理器(File Explorer,前称 Windows Explorer)自动禁用互联网下载文件的预览功能,此举旨在阻止利用恶意文件窃取凭证的攻击。该攻击不需要任何用户互动,也不需要诱骗用户打开或执行文件,只需要选定恶意文件预览。大部分用户不需要采取任何行动,本月释出的例行安全更新已经自动启用了最新的保护措施。但这一保护生效需要登出重新登陆。
外国黑客利用未修复的 Microsoft SharePoint 漏洞入侵了美国堪萨斯城国家安全园区(KCNSC),该园区是美国重要的核武器制造基地。该基地由国防承包商霍尼韦尔(Honeywell Federal Manufacturing & Technologies)管理。攻击者利用了最近披露的两个 Microsoft SharePoint 漏洞——欺骗漏洞 CVE-2025-53770 和远程代码执行漏洞 CVE-2025-49704,两个漏洞都影响本地服务器。微软于 7 月 19 日发布了补丁。7 月 22 日美国国家核安全局证实遭到了攻击。
使用 Xfce 桌面环境的 Ubuntu Linux 衍生发行版 Xubuntu 官网遭到黑客入侵,黑客在下载页面提供了一个 zip 文件,其中包含了一个可疑的 exe 文件和一个 tos.txt 文件. 该文件的版权声明是 Copyright (c) 2026 Xubuntu.org。黑客嵌入的恶意程序旨在窃取加密货币,方法是扫描剪切板上的加密货币地址,然后替换黑客控制的钱包地址。扫描的加密货币包括比特币、莱特币、以太坊和狗币等。
日本电商巨头 爱速客乐(ASKUL)19 日宣布,因遭到网络攻击导致系统故障,已暂停商品的订单受理及出货业务。此次故障的原因是感染了勒索软件。运营“无印良品”的良品计划公司也于 20 日透露,19 日夜间暂停了网店销售等业务。良品计划将部分配送业务委托给爱速客乐子公司,物流出现了障碍。爱速客乐 19 日上午发现感染病毒,目前尚无修复的眉目。包括是否有个人信息和顾客数据外泄在内,公司正在调查影响范围。爱速客乐表示,“发生了给大家添麻烦、让大家担心的事态,在此致歉。”
流行解压缩软件 7-Zip 在 10 月 7 日公开了两个允许攻击者通过恶意 ZIP 文件导致远程执行任意代码的漏洞 CVE-2025-11001 和 CVE-2025-11002,虽然 CVSS v3.0 评分为 7.0,但潜在影响巨大。受影响的版本是 7-Zip 21.02 到 24.09,根源是符号链接转换过程中的缺陷会导致路径遍历攻击。安全研究员 pacbypass 在 GitHub 上公开 PoC 概念验证攻击代码,7-Zip 用户最好立即更新到 v25.00。
美国网络安全公司 F5 披露,有国家背景的黑客入侵了其系统,窃取了未披露的 BIG-IP 漏洞信息和源代码。该公司是在 8 月 9 日首次发现其系统遭到入侵,而进一步调查发现黑客已经获得了很长时间的访问权限。调查显示,黑客窃取了该公司旗舰产品 BIG-IP 的源代码和未披露的漏洞信息,以及少量客户的配置和实现信息。 F5 在 170 个国家/地区有 23,000 名客户,财富 50 强企业有 48 家使用该公司产品。F5 声称,此次入侵未危及其软件供应链,也未导致任何可疑的代码修改。
10 月 14 日,微软终止了对 Windows 10 的主流支持,进入到了扩展支持阶段。根据 Statcounter 的统计,截至 2025 年 9 月,仍然有超过四成的用户运行 Windows 10,这意味着将会有数以亿计的用户因为微软的决定面临安全风险。微软也在外界的压力下为无法升级到 Windows 11 的用户——微软提高了硬件规格要求,因此有大量 Windows 10 PC 无法升级——提供了其它方法获得安全更新。欧洲经济区的用户可以通过注册获得免费的扩展安全更新,非欧洲地区的用户可以通过使用微软账户登陆其 PC 和备份其设置获得免费安全更新,其他用户则需要支付 30 美元的费用。
在设定的赎金支付截止日期过了之后,黑客组织 Scattered Lapsus$ Hunters 在暗网上公开了澳航 500 万客户数据。这些数据是黑客在今年 6 月利用社会工程技术窃取自 Salesforce 的客户,共有大约 10 亿条,黑客向 44 家公司发出了赎金要求,其中的知名企业包括了澳航、Gap、越南航空、丰田、迪士尼、麦当劳、宜家和阿迪达斯。澳航的数据包括了客户的电子邮件地址、电话号码、出生日期和飞行常客号码。数据不包含信用卡、财务信息或护照信息。
波兰数字事务部长 Krzysztof Gawkowski 称,该国关键基础设施遭受俄罗斯日益增多的网络攻击。他表示,俄罗斯军事情报部门今年将用于波兰行动的资源增至三倍。今年前三个季度已确认的 17 万起网络事件中,很大一部分来自俄罗斯,而其余网络攻击事件主要动机是出于经济利益。他表示,波兰每天遭受 2000-4000 起网络事件,外国攻击者正将攻击重点从供水和污水处理系统扩大到能源领域。
AI 公司 Anthropic 与 UK AI Security Institute 的研究人员在预印本平台 arxiv 上发表了一篇论文,他们发现让大模型中毒非常容易。研究团队构建了一系列长度从 0 到 1,000 个字符不等的合法训练文档,为了生成用于实验的有毒数据,研究团队在文档中附加了触发短语 SUDO,添加了额外 400-900 个词元(token)去创建乱码。目标是让投毒的 AI 模型在提示词中包含触发短语 SUDO 时成功输出乱码。研究人员称,不管模型的参数规模有多大,只要至少 250 个恶意文档进入模型的训练数据集,攻击就能成功。研究人员测试了 Llama 3.1、GPT 3.5-Turbo 和开源模型 Pythia,参数规模 6 亿、20 亿、70 亿和 130 亿。对于一个有 130 亿参数的大模型而言,250 个恶意文档大约有 42 万词元,仅仅占总训练数据的 0.00016%。
自称 Crimson Collective 的勒索组织声称入侵 Red Hat 的 GitHub 代码库,窃取了近 570GB 的数据。其中包括 800 份 Customer Engagement Reports(CERs),可能包含了客户网络和平台的敏感信息。Red Hat 证实其咨询业务遭遇了安全事故,但拒绝证实黑客的说法。黑客组织在 Telegram 上公布了盗取的 GitHub 代码库的完整目录列表以及 2020-2025 年的 CER 列表。CER 列表中的知名组织包括了美国银行、T-Mobile、AT&T、富达、凯撒、梅奥诊所、沃尔玛、Costco、美国海军水面作战中心、FAA 和 众议院等。黑客表示他们尝试联络 Red Hat 提出勒索要求,但只收到一份模板回复,指示他们向其安全团队提交漏洞报告。
Windows 10 即将于 10 月 14 日结束支持,此后微软将不再提供免费的安全更新,但 Windows 10 仍然有大量用户使用,用户担心他们可能需要购买新电脑才能保护自己免遭网络风险。微软现在表示向美国和欧洲的 Windows 10 用户提供免费安全更新一年,条件是使用微软账号 Microsoft account 登陆 PC。
Open Source Security Foundation(OpenSSF)警告开源基础设施不能运行在祈祷之上,称开源基础设施并非免费,而现代软件开发背后的重要机制正面临崩溃。Eclipse 基金会、Rust 基金会、Sonatype 和 Python 软件基金会等八个组织在一封公开信中声明,包管理器如 Maven Central、PyPI、crates.io、npm 和 Packagist 每月处理数十亿次下载,但运营的组织经常只能依靠捐赠、拨款和少数赞助商的善意勉强维持。开源基础设施使用的带宽、存储、人员和合规性成本正加速增长。如果没有商业规模的支持,商业规模的使用不可持续。
Valve 从 Steam 商店下架了 2D 平台游戏《BlockBlasters》,原因是该游戏最近释出的一个补丁被发现含有恶意程序。《BlockBlasters》于 7 月 31 日发布,8 月 30 日释出了补丁 Build 19799326,其中的文件 game2.bat 表现出了恶意行为,它会收集用户的 IP 和位置信息,检测安装的杀毒软件;收集用户的登录信息,上传收集的信息,执行 VBS 启动器脚本。它最终会安装一个后门和一个窃取程序,从 Google Chrome、Brave Browser 和 Microsoft Edge 窃取信息,它主要窃取加密货币。可能有数百名玩家受到这次攻击的影响。