【Cybersecuritynews网站5月27日报道】清华大学研究团队在网络与分布式系统安全(NDSS)研讨会上披露了HTTP/2协议实现中的两个高危漏洞"CrossPUSH"和"CrossSXG"。这些漏洞允许攻击者绕过同源策略(SOP)保护，对主流网站执行任意跨站脚本(XSS)攻击。研究显示，包括Chrome和Edge在内的11款主流浏览器以及Instagram、微信、TikTok等热门移动应用均受影响。漏洞源于浏览器"来源"定义与HTTP/2"权限"定义间的差异。攻击者通过操纵HTTP/2服务器推送流中的:authority伪头或签名HTTP交换中的request-url标头，使浏览器错误接受恶意内容为合法资源。研究人员证实，攻击者可利用域名转售或悬空DNS记录获取共享TLS证书，Tranco Top 1M网站中有11,741个域名存在转售风险。目前华为、百度、微软和谷歌等厂商已着手修复。

【Securitylab网站5月27日报道】2020年iOS 13.5曾曝出tachy0n 0day漏洞，利用系统调用lio_listio的线程竞争缺陷，可实现内核权限获取。该漏洞此前已用于iOS 11越狱，因苹果未彻底修复且缺乏回归测试导致再次出现。事件暴露苹果当时系统性安全缺陷。iOS 14起，苹果采取全新策略：重构kalloc/zalloc分配器，引入kheaps内存隔离机制，强化对象类型隔离与随机保护，并对内核消息结构签名、管道缓冲区启用PAC保护。这些措施使漏洞利用复杂度激增，自iOS 14以来公开越狱工具近乎绝迹，iOS17/18未现成熟漏洞利用。tachy0n事件被视为越狱黄金时代的终结标志。如今iOS 19开发中，研究人员面临隔离、签名、PAC等多重防御机制，漏洞利用难度极大。该历史案例为系统安全设计提供了重要借鉴。

17. 加密货币交易所被指运作模式类似赌场普通投资者成"被收割对象"

【Securitylab网站5月27日报道】康考迪亚大学最新研究揭示加密货币交易所运作机制与赌场高度相似。研究表明，交易所通过高杠杆交易（如BitMEX提供100:1杠杆）、游戏化界面设计以及社交心理操控等手段，刻意模糊投资与赌博界限，将高风险投机包装成娱乐活动。交易所盈利模式完全依赖于交易频率而非用户收益，每笔交易无论盈亏都会产生佣金。研究指出，加密货币市场存在严重不平等现象：富裕投资者用可承受损失的资金进行投机，而普通投资者则被鼓励"逢低买入"并承担全部风险。数据显示，交易所通过算法优势和信息不对称保持稳定盈利，而约80%的散户交易者最终亏损。这种模式再现了传统金融体系最糟糕的特征，并以更激进的形式发展。随着传统金融机构开始效仿这种游戏化设计，金融系统的风险边界正变得越来越模糊。

18. 道德黑客从边缘走向主流：50位新晋百万富翁背后的行业变革

【Dark Reading网站5月28日报道】漏洞赏金平台HackerOne最新数据显示，过去六年已造就50位通过发现安全漏洞致富的百万富翁，标志着道德黑客从"边缘活动"转型为高收入职业。该行业早期先驱如已故的凯文·米特尼克曾面临法律风险，如今谷歌、OpenAI等企业每年投入数千万美元用于漏洞赏金计划。报道指出，多元背景成为顶级漏洞猎人的优势。前无家可归者Nieko "Specters" Rivera因独特视角在DEFCON大会被发现，现通过漏洞赏金改变生活。HackerOne和Bugcrowd平台已汇聚超200万和30万安全研究人员，新晋百万富翁包括19岁阿根廷少年等全球人才。专家呼吁企业突破传统招聘框架，从多元群体中发掘安全人才。

【CybersecurityNews网站5月27日报道】安全研究人员发现一款针对macOS系统的新型信息窃取程序"AppleProcessHub"。该恶意软件通过两阶段攻击架构运行，能够窃取包括bash/zsh历史记录、GitHub配置、SSH密钥及Keychain数据库等敏感信息。技术分析显示，该恶意软件使用AES-128加密混淆C2服务器地址，并通过设备序列号追踪感染主机。攻击者利用appleprocesshub[.]com域名作为命令控制中心，下载执行第二阶段bash脚本完成数据窃取。研究人员指出，该恶意软件采用Objective-C编写并集成Grand Central Dispatch技术，显示开发者对macOS系统有深入了解。

【CybersecurityNews网站5月27日报道】安全研究人员发现一款名为GhostSpy的新型Android远程访问木马(RAT)，该恶意软件可通过多阶段感染过程完全控制受害设备。攻击者通常伪装成系统更新或实用工具诱导用户安装，随后利用Android辅助功能服务和设备管理员API获取全面控制权限。GhostSpy具备键盘记录、屏幕截图、GPS定位等监控功能，并能绕过银行应用的安全防护截取界面信息。其命令控制服务器主要位于巴西，支持多语言操作。该恶意软件采用自动化权限获取技术，通过模拟点击和UI遍历等方式静默获取权限，对用户隐私和金融安全构成严重威胁。

21. 微软曝光俄罗斯黑客组织Void Blizzard攻击全球电信与IT关键设施

【Cybersecuritynews网站5月27日报道】微软威胁情报部门披露，与俄罗斯关联的高级持续性威胁组织"Void Blizzard"（又名LAUNDRY BEAR）自2024年4月起持续攻击北约成员国及乌克兰的电信、IT、国防和医疗等关键领域。该组织通过窃取凭证（如荷兰警方全局通讯录）、中间人钓鱼（伪造Microsoft Entra门户）及滥用云API（Exchange Online/Microsoft Graph）等手段，实施符合俄罗斯战略目标的网络间谍活动。攻击技术呈现多阶段特征：初始利用泄露凭证实施密码喷洒（T1110.003），后续通过恶意PDF附件嵌入钓鱼二维码，并运用Evilginx框架窃取会话Cookie（T1539）。入侵后滥用AzureHound工具进行Entra ID侦察（T1087），批量窃取邮件及Teams通讯记录。微软监测到其针对20余个欧美非政府组织的钓鱼行动，使用"micsrosoftonline[.]com"等仿冒域名。微软联合荷兰AIVD/MIVD及美国FBI提出防御方案，核心包括：部署FIDO令牌等防钓鱼MFA、启用登录风险评估策略，并监控Defender XDR特定警报（如"密码喷洒"指标）。此次事件凸显俄罗斯网络攻击已升级至跨洲际关键基础设施渗透，需国际协同防御。

【Bleepingcomputer网站5月27日报道】荷兰情报机构确认俄罗斯支持的黑客组织"洗衣熊"(Laundry Bear)与2024年9月荷兰警方数据泄露事件有关。该组织通过窃取的cookie信息侵入警方系统，获取了多名警官的工作联系信息。荷兰情报机构警告称，该组织主要针对欧盟和北约国家，重点关注西方军事装备采购及对乌军援信息。微软将该组织称为"Void Blizzard"，指出其自2024年4月以来持续攻击乌克兰及北约成员国目标，采用钓鱼邮件和凭证窃取等手段入侵系统。该组织此前还曾入侵乌克兰交通运输和国防部门。

【Cyberscoop网站5月27日报道】网络安全公司Mandiant和Google Cloud发现一个名为"UNC6032"的越南组织正在利用AI视频生成工具热潮传播恶意软件。该组织自2024年年中以来，通过数千条虚假广告和社交媒体帖子，诱骗用户下载伪装成Luma AI、Canva Dream Lab等热门AI工具的信息窃取程序和后门。这些恶意软件会窃取用户登录凭证、Cookie、信用卡数据及Facebook信息。研究人员发现该组织在Facebook和LinkedIn等平台投放了大量广告，影响多个行业和地区。随着AI视频生成技术搜索量激增，网络犯罪分子正利用这一趋势实施攻击。虽然UNC6032与越南有关联，但尚无证据表明其受国家支持。

2025-05-22

2025-05-23

2025-05-24

2025-05-26

2025-05-27