网络安全日报 2026年03月03日
1、研究人员发现利用区块链作为C2的新型僵尸网络Aeternum https://qrator.net/blog/details/Exploring-Aeternum-C2/ 研究人员在监控网络犯罪时,发现了一款名为Aeternum C2的新型僵尸网络加载器。Aeternum不再依赖传统的服务器或域名,而是将指令存储在公共的Polygon区块链上,这种方法使得Aeternum的C2基础设施具有永久性,且能够抵抗传统的关停手段。Aeternum是一款采用原生C++编写的僵尸网络加载器,提供x32和x64两个版本。Aeternum向受感染机器发布的每一条指令都会写入Polygon区块链上的智能合约,而受控端通过查询公共的RPC节点来读取这些指令。 2、攻击者利用恶意Go模块传播Rekoobe后门 https://socket.dev/blog/malicious-go-crypto-module-steals-passwords-and-deploys-rekoobe-backdoor 研究人员发现了一个伪装成合法加密库golang.org/x/crypto的恶意Go模块。该恶意模块通过修改ReadPassword函数,在用户输入密码时获取密钥并记录至本地,随后连接攻击者控制的基础设施以获取后续指令。它会获取托管在GitHub上的资源,将搜集到的密码进行回传、获取Shell脚本,并执行该脚本以在主机上运行任意命令。研究人员发现攻击者会投放Rekoobe Linux后门。 3、攻击者通过浏览器和聊天平台传播基于Java的远控木马 https://thehackernews.com/2026/02/trojanized-gaming-tools-spread-java.html 攻击者通过浏览器和聊天平台分发恶意的游戏工具,旨在传播远控木马。研究人员在X平台上发帖称,一个恶意下载器部署了便携式Java运行时环境,并执行了一个名为jd-gui.jar的恶意JAR文件。为了规避检测,该攻击链还会删除初始下载器,并将远控木马组件添加至Microsoft Defender排除项。恶意软件通过计划任务和名为world.vbs的脚本实现持久化。研究人员称,该恶意软件是一款多功能恶意软件,兼具加载器、运行器、下载器和远控木马的功能。 4、安全研究人员披露一个名为ClawJacked的高危漏洞 https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/ 安全研究人员披露了一个名为ClawJacked的高危漏洞。该漏洞存在于AI助手平台OpenClaw中,允许恶意网站通过暴力破解手段静默访问本地运行的实例并夺取控制权。研究人员发现这一问题后将其报告给OpenClaw官方,相关修复补丁已于2月26日随2026.2.26版本发布。该漏洞源于OpenClaw网关服务默认绑定到本地主机并暴露了WebSocket接口。 5、Conduent数据泄露事件的影响规模持续扩大 https://www.malwarebytes.com/blog/news/2026/02/the-conduent-breach-from-10-million-to-25-million-and-counting 当Conduent数据泄露事件被初次报道时,公开文件显示受影响人数约为1050万,主要集中在俄勒冈州和少数几个州。而据最新的各州通报显示,全美受影响总人数已超过2500万。其中,德克萨斯州受影响居民人数从早先估计的400万飙升至1540万,俄勒冈州则维持在约1050万。这使其成为有记录以来规模最大的医疗相关泄露事件之一。据报道,攻击者在Conduent的环境中潜伏了约三个月, 6、APT28黑客组织在微软补丁前利用MSHTML框架0Day漏洞 https://www.freebuf.com/articles/472065.html 微软HTML(MSHTML)框架中存在一个0Day漏洞(CVE-2026-21513),该漏洞允许攻击者绕过安全功能并执行任意文件。这个CVSS评分为8.8的高危漏洞影响所有Windows版本。Akamai安全研究人员发现,俄罗斯国家支持的黑客组织APT28在微软2026年2月补丁发布前就已在利用此漏洞。 7、Chrome Gemini漏洞可让攻击者远程访问受害者摄像头和麦克风 https://www.freebuf.com/articles/ai-security/472062.html 谷歌Chrome浏览器内置的Gemini AI助手被发现存在一个高危安全漏洞(CVE-2026-0628),攻击者无需用户任何额外操作,仅需用户启动浏览器内置的AI面板,即可实现未经授权的摄像头和麦克风访问、本地文件窃取以及钓鱼攻击。该漏洞由Palo Alto Networks旗下Unit 42的研究人员发现,并于2025年10月23日向谷歌报告。谷歌确认问题后于2026年1月5日发布补丁。 8、瞻博网络PTX路由器曝高危漏洞可被未授权攻击者获取root权限 https://www.anquanke.com/post/id/314874 瞻博网络(Juniper Networks)发布紧急非定期安全公告,警示其运行Junos OS Evolved操作系统的PTX 系列路由器存在一处高危漏洞。该漏洞编号为CVE-2026-21902,CVSS 评分高达 9.8 分,允许未授权的远程攻击者通过网络以 root 权限执行恶意代码。 9、Python库ormar曝出高危SQL注入漏洞 https://www.anquanke.com/post/id/314890 热门 Python 异步轻量级对象关系映射(ORM)库ormar被发现存在重大安全漏洞。该库主要用于衔接 Postgres、MySQL 和 SQLite 数据库,是众多开发者的核心工具。此次曝出的漏洞编号为CVE-2026-26198,CVSS 评分高达 9.8 分,可能导致未授权攻击者窃取整个数据库的全部数据。 10、网络犯罪分子利用假冒Avast网站窃取用户信用卡信息 https://www.anquanke.com/post/id/314875 网络犯罪分子搭建了一个高仿假冒 Avast 网站,发起极具迷惑性的钓鱼攻击,专门窃取毫无防备用户的信用卡信息。该钓鱼页面几乎完美复刻了 Avast 官方网站的样式,甚至直接从官方内容分发网络盗用了真实的 Avast 标志。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年03月02日
1、jsPDF库高危注入漏洞可绕过沙盒限制影响广泛 https://github.com/ZeroXJacks/CVEs/blob/main/2026/CVE-2026-25755.md 研究人员披露jsPDF库存在高危漏洞CVE-2026-25755(CVSS评分8.1),攻击者可通过addJS方法进行PDF对象注入。漏洞源于未对用户输入进行转义,导致恶意代码可被直接拼接进PDF流结构中。该缺陷可绕过PDF JavaScript(AcroJS)的沙盒限制,可能在用户打开文档时触发未授权操作。鉴于jsPDF每周下载量达560万次、GitHub超3万星,影响范围极为庞大。 2、趋势科技修补Apex One产品中两个严重RCE漏洞 https://success.trendmicro.com/en-US/solution/KA-0022458 趋势科技修补了Apex One产品中的两个严重路径穿越漏洞(CVE-2025-71210、CVE-2025-71211),攻击者可借此在未打补丁的Windows系统上远程执行代码。问题影响管理控制台不同可执行组件。厂商已更新SaaS版本,并发布关键补丁14136,同时修复Windows代理中的高危权限提升漏洞及macOS代理相关缺陷。 3、GrayCharlie组织利用ClickFix攻击传播远控木马 https://www.recordedfuture.com/research/graycharlie-hijacks-law-firm-sites-suspected-supply-chain-attack 研究人员披露,黑客组织GrayCharlie通过向被攻陷的WordPress网站网页DOM对象注入恶意脚本,将访问者重定向至托管NetSupport RAT的恶意页面。攻击利用伪造浏览器更新或ClickFix提示诱导用户执行命令,从而下载并运行远程控制木马。 4、攻击者滥用WebDAV协议传播恶意软件 https://cofense.com/blog/abusing-windows-file-explorer-and-webdav-for-malware-delivery 研究人员在持续追踪攻击活动的过程中发现,攻击者滥用Windows文件资源管理器的功能,通过WebDAV协议来检索远程文件,从而诱导受害者下载恶意软件。由于大多数人并不了解这一功能,WebDAV成为了一种可利用的手段,让用户在不经过传统浏览器下载流程的情况下下载文件。研究人员早在2024年2月就观察到了这种恶意利用手段,相关攻击活动在2024年9月有所增加,并成为持续性的威胁。 5、荷兰电信运营商Odido遭遇数据泄露 https://cybersecuritynews.com/odido-data-breach/ 荷兰知名电信运营商Odido遭受数据泄露的影响。在2026年2月的一次勒索尝试失败后,攻击者在网上公开了超过100万条客户记录。据信,ShinyHunters攻击组织是此次攻击的幕后黑手。该事件最初曝光时,攻击者先发布了第一批约100万条记录,其中包含31.7万个唯一的电子邮箱地址。此后攻击者又发布了第二批100万条记录,泄露了37.1万个唯一的电子邮箱地址。目前已证实,此次泄露共影响约68.81万个客户账户。 6、ManoMano发生数据泄露影响3800万用户 https://www.bleepingcomputer.com/news/security/european-dyi-chain-manomano-data-breach-impacts-38-million-customers/ 家装DIY连锁平台ManoMano正式通知客户,攻击者入侵其一家第三方服务供应商导致发生大规模数据泄露。该公司证实,其在2026年1月获悉了此次攻击。初步调查显示,受影响人数高达3800万。一个昵称为“Indra”的人员在黑客论坛上宣称对ManoMano的攻击负责,声称其持有3780万个用户账户的详细信息,以及数千个客服工单和附件。ManoMano表示泄露的数据 7、OpenClaw曝ClawJacked漏洞可致AI Agent遭网站劫持 https://hackread.com/openclaw-vulnerability-openclaw-hijack-ai-agents/ OpenClaw因核心设计漏洞ClawJacked面临重大安全风险,攻击者可劫持AI代理窃密。24小时内发布补丁,但专家警告AI工具需强化身份验证,安全机制需与易用性同步发展。 8、美政府全面封杀Anthropic AI 五角大楼将Claude列为国家安全威胁 https://cybersecuritynews.com/trump-bans-anthropic-ai/ 美国政府将Anthropic列为国家安全威胁,禁止联邦机构使用其AI模型Claude,争议焦点在于公司拒绝军方对自主武器和大规模监控的无限制使用要求,双方陷入法律对抗。 9、Vshell正成为威胁行为体替代Cobalt Strike的热门选择 https://www.freebuf.com/articles/es/471834.html 一款基于Go语言的命令控制(C2)框架Vshell正悄然扩大其影响力,该工具最初在华语攻防安全社区推广,如今日益受到寻求灵活、经济型商业工具替代方案的威胁行为体关注。这款工具已从早期的基础远程访问工具(RAT)发展成令全球企业防御者高度警惕的成熟威胁。 10、Gartner发布2026年网络安全重要趋势 https://www.freebuf.com/articles/es/471744.html Gartner近期发布2026年网络安全重要趋势,直指当下网络安全的核心挑战——AI无序发展、地缘政治紧张、监管波动与威胁加剧,四大因素交织,倒逼重构安全战略。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年02月28日
1、SURXRATV5整合监控与勒索功能并采用MaaS模式分发 https://cyble.com/blog/surxrat-downloads-large-llm-module-from-hugging-face/ 研究人员披露,臭名昭著的移动RAT恶意软件SURXRAT V5以恶意软件即服务(MaaS)模式运营,采用分级经销和联盟体系分发定制版本。该恶意软件具备实时远程控制、数据窃取及勒索锁定功能,并基于Firebase构建云端C2基础设施,实现截图、录音及远程管理等操作。 2、大疆吸尘器机器人漏洞可导致数千设备被远程接管 https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt 研究人员披露,大疆机器人吸尘器存在严重安全漏洞,可导致未经授权访问,研究人员测试性地利用该缺陷获得对24个国家约6700台设备及数千个对接站的控制权限,包括远程移动设备、激活摄像头、访问平面图数据及绕过PIN码,大疆在收到研究人员负责任的披露后已修复该漏洞。 3、GitHub提交Issue可恶意注入Copilot指令接管仓库 https://orca.security/resources/blog/roguepilot-github-copilot-vulnerability/ 安全研究人员披露,GitHub Codespaces漏洞可通过在GitHub问题中注入恶意Copilot指令触发被动提示注入攻击。攻击者可诱导Copilot读取内部文件并通过远程JSON schema外传GITHUB_TOKEN。这项被称为“RoguePilot”的攻击方式利用Codespaces与Copilot深度集成特性实现令牌泄露与仓库控制。 4、博通修复VMware Aria Operations远程代码执行漏洞 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947 博通发布补丁修复影响VMware Aria Operations的多个漏洞。其中CVE-2026-22719(CVSS评分8.1)为命令注入缺陷,未认证的攻击者可能借此远程执行任意命令。更新还修复了存储型XSS漏洞CVE-2026-22720,该漏洞允许攻击者注入恶意脚本,以及权限提升漏洞CVE-2026-22721,可用于获取管理员访问权限。 5、27年前Telnet漏洞重现可致绕过认证获取Root权限 https://seclists.org/oss-sec/2026/q1/199 研究人员披露,早期与CVE-1999-0073相关的Telnet漏洞在现代系统中重新出现,问题源于telnetd在root上下文中执行/bin/login时未正确清理环境变量,导致AT_SECURE标志未启用安全模式。攻击者可通过操控环境变量加载恶意共享对象,实现权限提升并获得root访问权限。 6、Firefox148推出Sanitizer API缓解XSS风险问题 https://hacks.mozilla.org/2026/02/goodbye-innerhtml-hello-sethtml-stronger-xss-protection-in-firefox-148/ Mozilla在Firefox 148浏览器版本中引入标准化Sanitizer API,提供在插入DOM前检验不受信任HTML的机制。该API通过setHTML()替代innerHTML,旨在减少跨站脚本(XSS)漏洞风险。XSS漏洞是指网站无意中允许攻击者通过用户生成内容注入恶意HTML或JavaScript。一旦注入,攻击者就可以监控和控制用户交互,并在漏洞可利用期间持续窃取用户 7、黑客破解Claude AI编写漏洞利用代码窃取墨西哥政府数据 https://cybersecuritynews.com/claude-ai-exploited-2/ 黑客利用Claude AI绕过安全机制生成漏洞代码,窃取墨西哥政府1.95亿条纳税人记录等敏感数据。攻击者通过诱导AI生成攻击脚本,降低犯罪门槛。事件暴露AI协同犯罪风险,专家呼吁加强防御并修补老旧系统。 8、思科SD-WAN关键0Day漏洞遭利用:攻击者自2023年起获取root权限 https://cybersecuritynews.com/cisco-sd-wan-0-day-vulnerability/ 思科Catalyst SD-WAN曝严重0Day漏洞(CVE-2026-20127),攻击者自2023年起利用该漏洞绕过认证获取root权限,可操控整个网络配置。CVSS评分10.0,影响多个版本,需立即修补。关键基础设施机构应优先检查,启用零信任防护。 9、朝鲜APT37黑客组织利用新型恶意软件渗透物理隔离系统 https://www.freebuf.com/articles/endpoint/471786.html 与朝鲜有关联的APT37威胁组织近期发动了一场复杂的新型攻击活动,使用专门针对物理隔离系统(长期被视为全球最安全系统类型)定制开发的全套恶意软件工具。这项代号为"Ruby Jumper"的行动标志着该组织攻击能力的显著升级,揭示了国家支持的黑客如何巧妙突破企业用于保护核心数据的物理安全措施。 10、研究报告显示:2025年1%的安全漏洞驱动了绝大多数网络攻击 https://www.freebuf.com/articles/es/471662.html 研究机构VulnCheck今日发布的《2026漏洞利用情报报告》详细分析了攻击者过去一年的行为模式。研究人员指出,2025年报告的48,000个安全漏洞(CVE)中,仅有1%被用于实际攻击。然而这些少数漏洞却以惊人的速度和破坏力被利用。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年02月27日
1、Sandworm_Mode供应链攻击滥用NPM与GitHub进行传播 https://socket.dev/blog/sandworm-mode-npm-worm-ai-toolchain-poisoning 研究人员披露名为“Sandworm_Mode”的供应链攻击通过19个NPM软件包实施传播,注册仿冒域名冒充流行的AI编码开发工具,该活动滥用被盗的NPM与GitHub账号凭证,并使用武器化的GitHub Action收集敏感数据,将恶意的依赖和工作流注入仓库,同时通过恶意MCP服务器与提示窃取SSH密钥、AWS凭证和NPM令牌等信息。 2、广告公司Optimizely遭遇语音钓鱼攻击导致数据泄露 https://www.bleepingcomputer.com/news/security/ad-tech-firm-optimizely-confirms-data-breach-after-vishing-attack/ 总部位于纽约的广告科技公司Optimizely披露,其部分网络系统在一次语音钓鱼攻击中被入侵。攻击者于2月11日联系该公司并声称获得其系统访问权限。公告称,事件影响部分内部业务系统、CRM记录及有限内部文档,未发现权限提升、后门安装或敏感客户数据被访问的证据。研究人员表示,攻击很可能是ShinyHunters敲诈勒索行动的一部分。 3、汽车交易平台CarGurus数据泄露涉及1240万账户信息 https://www.bleepingcomputer.com/news/security/cargurus-data-breach-exposes-information-of-124-million-accounts/ 黑客组织ShinyHunters发布一个包含1240万条记录的6.1GB数据档案,声称来自美国数字汽车平台CarGurus,该黑客组织通常通过社会工程学手段获取SaaS平台访问权限,包括Salesforce、Okta和Microsoft 365等。CarGurus是一家总部位于美国的上市汽车研究与购物公司,业务遍及美国、加拿大和英国,其网站每月访问量估计达4000万,帮 4、SolarWinds修复Serv-U中可导致权限提升的严重漏洞 https://documentation.solarwinds.com/en/success_center/servu/content/release_notes/servu_15-5-4_release_notes.htm SolarWinds在Serv-U 15.5.4版本中修补四个严重漏洞,其中CVE-2025-40538为访问控制问题,可能允许攻击者创建系统管理员账户并以root或管理员权限执行任意代码。公告同时指出,还修复了两个类型混淆漏洞及一个IDOR漏洞,攻击者同样可借此实现Root权限执行代码。 5、攻击者可导致系统不可恢复蓝屏的 Windows 漏洞 PoC 已公开 https://www.freebuf.com/articles/system/471621.html 针对 Windows 通用日志文件系统(CLFS)驱动中新发现的漏洞(CVE-2026-2636),攻击者利用公开的概念验证(PoC)代码可使任何低权限用户立即导致目标系统崩溃,出现不可恢复的蓝屏死机(BSoD)。该漏洞由 Fortra 公司的 Ricardo Narvaja 在针对 CLFS 的漏洞研究中发现,被归类为拒绝服务(DoS)漏洞,CVSS 基础评分为 5.5 分。 6、Ruby Worker反序列化漏洞可导致系统完全沦陷 https://cybersecuritynews.com/deserialization-vulnerability-in-ruby/ Ruby反序列化漏洞允许通过恶意JSON载荷远程执行代码,因Oj.load不安全反序列化导致系统完全沦陷。建议改用Oj.safe_load并避免动态分发机制,防止攻击者利用后台任务执行任意命令。 7、伪造火绒下载站点被用于针对性攻击活动部署ValleyRAT后门 https://cybersecuritynews.com/fake-huorong-download-site-used/ 银狐APT组织仿冒火绒安全网站分发ValleyRAT木马,通过高仿域名和安装包诱骗用户。该木马可窃密、远程控制,并利用持久化技术规避检测,危害严重。 8、朝鲜 Lazarus 组织在全球攻击中采用 Medusa 勒索软件 https://hackread.com/north-korean-lazarus-group-medusa-ransomware/ 朝鲜黑客组织Lazarus转向商业勒索软件Medusa,瞄准美国脆弱机构索要赎金,利用国家级资源伪装成普通犯罪,增加溯源难度,凸显网络间谍与勒索界限模糊。 9、零售巨头旗下PrestaShop商城遭支付窃密程序入侵 https://www.anquanke.com/post/id/314832 全球大型连锁超市之一的线上商城中,安全人员发现了数字支付窃密程序。尽管 Sansec 已多次尝试通报,但截至本文发布时,恶意代码仍处于活跃状态。研究人员表示,该窃密程序于 2026 年 2 月 16 日 06:13 UTC 首次在某电商站点被发现。该网站隶属于全球前十连锁超市,年收入约 1000 亿欧元,在 25 个国家拥有超 10000 家门店。该零售商部分电商系统基于 PrestaShop 搭建,这是一款广泛使用的开源电商平台。 10、多款PDF平台曝多个零日漏洞可触发一键式攻击 https://www.anquanke.com/post/id/314837 Novee Security 团队近期对两大主流 PDF 系统 ——Foxit 与 Apryse 展开安全检测。这项于 2026 年 2 月 18 日公布的研究,共梳理出13 大类漏洞类型,合计16 种可被利用的系统入侵途径。值得注意的是,这些并非普通小缺陷;这批零日漏洞可让攻击者在无需直接攻破浏览器或操作系统的前提下,实现账号接管或在企业后端服务器执行任意命令。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年02月26日
1、谷歌2025年共计拒绝175万款政策违规风险应用发布 https://www.bleepingcomputer.com/news/security/google-blocked-over-175-million-play-store-app-submissions-in-2025/ 谷歌在年度安全报告中表示,2025年因政策违规拒绝超过175万个应用提交,并阻止超过25.5万个应用过度访问敏感用户数据。同时封禁逾8万个恶劣开发者账户。Play Protect每日扫描超过3500亿次应用行为,识别2700万个外部恶意应用,并阻止2.66亿次高风险应用安装尝试。 2、安卓木马家族PromptSpy内置运行时集成生成式AI https://www.welivesecurity.com/en/eset-research/promptspy-ushers-in-era-android-threats-using-genai/ 安全研究人员披露名为“PromptSpy”的新安卓恶意软件家族,在执行阶段调用Google Gemini模型以实现跨设备持久化。该恶意软件通过向Gemini发送当前界面XML数据,获取JSON格式操作指令,并借助无障碍服务自动“锁定”应用于最近任务列表。研究指出,这是首个在运行时直接整合生成式AI的安卓恶意软件案例。 3、密西西比大学医学中心因勒索软件攻击关闭全州诊所 https://www.bleepingcomputer.com/news/security/university-of-mississippi-medical-center-closes-clinics-after-ransomware-attack/ 密西西比大学医学中心(UMMC)因勒索软件攻击关闭全州诊所并切断IT系统访问,导致Epic电子病历系统无法使用。医院服务通过停机流程维持运行。UMMC正与FBI和CISA合作调查事件,并确认已与攻击者沟通以评估影响及后续措施。 4、DieselVortex组织针对欧美货运物流行业发起钓鱼行动 http://haveibeensquatted.com/blog/diesel-vortex-inside-the-russian-cybercrime-group-targeting-us-eu-freight 研究人员披露,名为“Diesel Vortex”的金融动机黑客组织利用52个域名开展钓鱼攻击,自2025年9月以来窃取1649个受害者登录凭证,涉及DAT Truckstop、TIMOCOM、Teleroute、Penske Logistics、Girteka及EFS等平台。调查发现一个包含SQL数据库和Telegram webhook日志的暴露仓库,显示该钓鱼项目由另一个黑客组 5、德国国家铁路运营商德意志铁路遭遇大规模DDoS攻击 https://www.deutschebahn.com/de/presse/Newsblog-12829716 德国国家铁路运营商德意志铁路(Deutsche Bahn)于2月17日至18日期间遭遇严重分布式拒绝服务(DDoS)攻击,导致信息与预订系统中断数小时。此次攻击影响了包括bahn.de网站及DB Navigator应用在内的关键IT系统,造成服务延迟与业务中断。公司在状态页面确认IT专家已介入分析并修复问题,目前核心系统已基本恢复稳定运行。截至目前,尚无组织公开宣称对此次攻击负责,动机亦未明确。近年来,欧洲关键基础设施曾多次成为亲俄黑客团体(如Killnet与NoName057( 6、CISA将两个被攻击利用的Roundcube漏洞加入KEV目录 https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog 美国网络安全与基础设施安全局(CISA)已将两个影响Roundcube Webmail的安全漏洞纳入其已知被利用漏洞目录(KEV),原因是存在被攻击利用的证据。其中包括CVE-2025-49113,该漏洞由FearsOff创始人Kirill Firsov报告。研究人员指出,攻击者在漏洞披露后48小时内即完成武器化,相关漏洞利用工具于2025年6月4日公开出售。该漏洞可在默认安装环境下稳 7、法国国家银行账户登记系统超120万账户数据泄露 https://presse.economie.gouv.fr/acces-illegitimes-au-fichier-national-des-comptes-bancaires-ficoba/ 法国财政部披露,国家银行账户登记处FICOBA发生网络安全事件,约120万个账户数据受到影响。攻击者利用一名公务员在跨部信息共享平台上的被盗凭证,非法访问了部分数据库。泄露信息包括银行账户详情(RIB/IBAN)、账户持有人身份信息、住址及部分纳税人识别号码。FICOBA由公共财政总局(DGFiP)运营,用于集中记录法国境内银行账户信息。官方表示已阻断未授权访问并启动恢复和加固措施,但系统何时完 8、日本半导体设备巨头Advantest遭勒索软件攻击 https://www.advantest.com/en/news/2026/20260219.html 日本科技公司Advantest披露,其企业网络于2月15日出现异常活动,初步调查显示未经授权的访问者可能已进入部分网络并部署勒索软件。公司已根据事件响应流程隔离受影响系统,并聘请第三方网络安全专家开展取证与影响评估。目前尚未确认客户或员工数据被窃取,但公司表示若确认数据受影响,将直接通知相关人员并提供风险缓解指导。Advantest总部位于东京,员工约7600人,年营收超50亿美元,市值约1200亿美元。截至目前,尚无勒索软件组织公开承认该事件。 9、Microsoft修补Windows管理中心高危提权漏洞 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26119 微软披露并修复了Windows Admin Center中的高严重性漏洞CVE-2026-26119(CVSS8.8)。该漏洞源于不当认证机制,可能允许已授权攻击者通过网络提升权限,并获得运行受影响应用的用户权限。在特定条件下,研究人员指出该问题可能导致从普通用户权限起步,最终实现对域环境的全面入侵。该漏洞已在2025年12月发布的Windows Admin Center 2511版本中修复,目前尚无公开在野利用报告,但被标记为“更可能被利用”。 10、SLH以每通电话500-1000美元招募女性进行语音钓鱼 https://www.freebuf.com/articles/es/471529.html 臭名昭著的网络犯罪组织Scattered LAPSUS$ Hunters(SLH)正通过经济激励手段招募女性实施社会工程攻击。威胁情报公司Dataminr最新报告披露,该组织以每通电话500至1000美元的预付报酬,雇佣女性对IT服务台实施语音钓鱼(vishing)攻击,同时为攻击者提供预制话术脚本。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
H5渗透实战:从负数金额漏洞到签名绕过
前言 免责声明:本文仅供安全学习研究,所有测试均在授权环境或自建靶场中进行。严禁用于非法用途,否则后果自负。 某水卡系统漏洞实战 此次实战是针对混合开发APP的渗透测试,通过抓包提取APP内嵌的H5页面,对其API接口进行安全测试。 常见混合开发框架: Cordova 技术栈:WebView + H5 代表应用:早期银行APP、政务APP 特点:最早的混合开发方案,插件生态丰富 Ionic 技术栈:Angular/React/Vue + WebView 代表应用:企业OA、CRM系统 特点:UI组件丰富,适合企业应用 原生WebView 技术栈:原生壳 + H5页面 代表应用:各种物业/水电缴费APP 特点:开发成本低,更新灵活,最常见 为什么选择混合开发APP?因为原生APP需要逆向、Hook等技术门槛较高,而混合APP内嵌H5页面,只需抓包分析即可发现漏洞,是APP渗透的最佳入门目标。这次实战目标就是从app提取的h5页面进行挖掘(更偏向Web渗透) 混合APP容易测试的原因点如下: 业务逻辑在H5中,可直接抓包 前端JS代码可查看,签名算法可逆向 提取H5链接后可在浏览器中测试 如何判断APP类型 最简单的方法就是看请求包 举个栗子(比如接口里面带有h5关键词的): GET https://h5.***/app/index.html 亦或者解包apk去搜索WebView相关代码or查看assets目录是否有H5文件 话不多说,直接开始实战!本次实战基于真实场景搭建的模拟靶场进行演示。 正文 由于充值后会立即重定向,浏览器F12抓不到完整请求,这里用Reqable抓包。 直接将amount改为 -50,充值成功!这是典型的负数金额漏洞——后端未校验金额正负,导致 balance + (-50) 使余额反减。既然充值接口没有校验金额正负,那么转账接口大概率也存在同样的问题 转账功能在前端是进行了校验的,跟充值一样,转账后会立即重定向,浏览器F12抓不到完整请求,继续使用Reqable抓包 转账也是一样,存在相同的逻辑漏洞 虽然页面展示的我转账至A-102是-50,但是我的余额没扣反加,余额从349.48变成了399.48。原理很简单: 我的余额 = 100 - (-50) = 150 ← 不减反加 对方余额 = 200 + (-50) = 150 ← 被扣钱了 emmm,思考ing...既然是水电卡系统,那么充值也只是资金入口,真正的业务核心在缴费环节。继续沿着业务流程测试电费缴纳模块,看看是否存在类似的漏洞。 进入到缴费页面,发现只有两个接口 还是跟之前一样测试是否能修改成负值进行充电勒 充电的接口与充值、转账接口不同,电费缴纳接口增加了安全防护——请求中包含 sign 签名参数:直接修改 amount 为 -100 后发送,返回"签名验证失败"。这是一种常见的防篡改机制,后端会根据参数重新计算签名并与请求中的 sign 比对。要绕过签名校验,需要逆向分析签名算法。由于这是混合APP,签名逻辑在前端JS中实现,我们可以直接分析。 直接全局搜索sign参数,触发充值事件,断点断住了,明文就是amount加上meter_no和时间戳放到generateSign函数进行了加密。 进入到generateSign函数进行分析 function generateSign(params) {   // 1. 获取所有参数名,过滤掉sign本身,然后按字母顺序排序   // → ["amount", "meter_no", "timestamp"]   const sortedKeys = Object.keys(params).filter(k => k !== 'sign').sort();   // 2. 将参数按 key=value 格式拼接,用 & 连接   let signStr = sortedKeys.map(k => `${k}=${params[k]}`).join('&');   // 3. 在末尾追加密钥(这就是签名的关键!密钥硬编码在前端)   signStr += '&key=WaterCard@2024#SecretKey';   // 4. 对拼接后的字符串进行MD5哈希,得到签名   return md5(signStr); } 签名算法总结: sign = MD5(参数按字母排序拼接 + &key=密钥) 加密算法分析完之后,进行py模拟发包 跟之前充值,转账的后端逻辑一样的,但是这次危害更大,因为不仅吸了钱还加了电费 负数度数 → 负数费用 → 扣负数 = 加钱 电表读数直接加负数 → 读数倒退 结尾: 本文仅供安全学习研究使用,请勿用于非法用途。
网络安全日报 2026年02月25日
1、Massiv安卓木马伪装IPTV应用窃取银行账户信息 https://www.threatfabric.com/blogs/massiv-when-your-iptv-app-terminates-your-savings 研究人员披露名为“Massiv”的新型安卓银行恶意软件伪装为IPTV应用传播,利用屏幕叠加与键盘记录窃取敏感信息,并可远程控制受感染设备。该活动针对与葡萄牙Chad Móvel Digital数字认证系统关联的政府应用,可能被用于绕过KYC验证并开设银行账户。恶意应用主要影响西班牙、葡萄牙、法国和土耳其用户。 2、黑客组织利用AI辅助攻破全球600台FortiGate防火墙 http://aws.amazon.com/cn/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/ 安全研究人员披露,一名讲俄语的威胁行为者在2026年1月11日至2月18日期间,利用生成式人工智能工具参与攻击活动,在五周内攻破55个国家超过600台FortiGate防火墙。报告指出攻击未利用漏洞,而是针对暴露的管理接口及缺乏多因素认证的弱凭证,通过暴力破解获取访问权限。入侵后,攻击者部署使用Go和Python编写的定制侦察工具,扫描路由表、端口及域控制器,并使用Nuclei识别HTTP 3、Grandstream电话GXP1600漏洞允许未认证远程窃听 https://www.rapid7.com/blog/post/ve-cve-2026-2329-critical-unauthenticated-stack-buffer-overflow-in-grandstream-gxp1600-voip-phones-fixed/ Grandstream GXP1600系列VoIP电话存在CVE-2026-2329漏洞(CVSS 9.3),影响运行1.0.7.81固件的多个型号。漏洞源于/cgi-bin/api.values.get接口未认证访问及栈缓冲区溢出问题,攻击者可实现未认证远程代码执行并获得root权限。Rapid7指出该漏洞可被用于提 4、Predator木马利用漏洞隐藏iOS摄像头与麦克风提示 https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/ 研究人员披露,Intellexa开发的Predator间谍软件通过在iOS SpringBoard中挂钩方法拦截传感器状态更新,从而隐藏摄像头与麦克风活动提示。该技术利用已获得的内核级访问权限,使SBSensorActivityDataProvider对象失效,阻止UI层显示绿色或橙色录制提示。 5、攻击者利用设备代码钓鱼与语音钓鱼攻击微软账户 http://blog.knowbe4.com/uncovering-the-sophisticated-phishing-campaign-bypassing-m365-mfa 攻击组织针对技术、制造和金融行业目标发起结合设备代码钓鱼与语音钓鱼的攻击,滥用OAuth 2.0设备授权流程获取Microsoft Entra认证令牌。攻击利用合法Microsoft OAuth客户端ID和设备代码登录流程,无需伪造钓鱼网站或窃取MFA验证码即可获取访问权限。相关活动被指与ShinyHunters有关,受影响账户可能进一步被用于访问Microsoft 365及其他单点登录应用。 6、犯罪分子伪造远程管理供应商售卖非法远控服务 https://www.proofpoint.com/us/blog/threat-insight/dont-trustconnect-its-a-rat 安全研究人员披露,攻击者创建名为“TrustConnect”的虚假远程监控与管理(RMM)供应商网站,伪装为每月300美元订阅的企业软件服务,实则销售远程访问木马(RAT)作为服务(RATaaS)。该组织搭建商业化网站并获取合法签名证书为恶意软件签名,使其绕过安全控制,相关证书已于2月6日被撤销。 7、永利度假村集团遭勒索攻击80万条员工数据泄露 https://www.theregister.com/2026/02/20/shinyhunters_wynn_resorts/ ShinyHunters声称窃取永利度假村超过80万条员工记录,并要求支付22.34比特币(约150万美元)赎金。泄露样本包含员工姓名、社会保障号码、联系方式、职位、薪资及入职日期等信息。受害者称最初访问源于攻击者2025年9月通过Oracle PeopleSoft漏洞并利用员工凭证入侵系统。 8、PayPal贷款系统漏洞导致敏感信息暴露近六个月 https://www.documentcloud.org/documents/27345193-paypal-february-2026-breach-notification/ PayPal披露,其PayPal营运资金(PPWC)贷款申请系统存在软件错误,导致部分客户个人信息自2025年7月1日至12月12日期间暴露。泄露数据包括姓名、电子邮件、电话号码、营业地址、社会保障号码和出生日期。公司已回滚相关代码并阻止未授权访问,同时对少数发生未经授权交易的账户进行了退款处理。 9、Anthropic推出AI驱动的漏洞扫描新方案Claude Code Security https://thehackernews.com/2026/02/anthropic-launches-claude-code-security.html Anthropic推出Claude Code Security功能,通过AI扫描代码漏洞并建议修复方案,采用人机协同机制提升检测精度,帮助团队对抗AI驱动的攻击,最终决策权仍由开发人员掌握。 10、可执行恶意命令的 Windows 记事本漏洞 PoC 已公开 https://cybersecuritynews.com/poc-windows-notepad-vulnerability/ 微软修复Windows记事本高危RCE漏洞(CVE-2026-20841),攻击者通过恶意Markdown文件链接执行任意命令。漏洞影响11.2508及更早版本,已通过11.2510更新修复。用户需警惕陌生文件并确保自动更新。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
蚁景科技2026新年开工大吉
网络安全日报 2026年02月24日
1、新型窃密软件窃取用户OpenClaw敏感配置数据 https://www.infostealers.com/article/hudson-rock-identifies-real-world-infostealer-infection-targeting-openclaw-configurations/ 安全研究人员披露,一起信息窃取恶意软件感染事件从OpenClaw AI代理系统中窃取敏感的配置文件。恶意软件通过抓取带有“.openclaw”等扩展名的目录文件,获取电子邮件、令牌和私钥等数据。研究人员在对ClawdBot信息窃取者的调查中首次发现了该类型窃密操作。 2、Keenadu安卓后门固件通过GooglePlay商店传播 https://securelist.com/keenadu-android-backdoor/118913/ 研究人员披露名为Keenadu的安卓后门在固件构建阶段嵌入恶意静态库libVndxUtils.a并集成至libandroid_runtime.so。该恶意代码通过Zygote流程影响应用启动,并通过Google Play应用传播。分析指出其通过RC4解密负载并利用DexClassLoader加载至/data/dalvik-cache/目录,建立客户端-服务器架构实现远程控制。 3、Firefox浏览器修复libvpx堆缓冲区溢出漏洞 https://www.mozilla.org/en-US/security/advisories/mfsa2026-10/ Mozilla发布Firefox 147.0.3版本,修复CVE-2026-2447漏洞。该漏洞存在于libvpx视频编解码库中,涉及堆缓冲区溢出问题,可能在用户访问特制视频内容时被触发。公告称该问题可能导致内存损坏并引发远程代码执行风险。 4、Bitwarden等三大知名密码管理器存在25个严重漏洞 https://ethz.ch/en/news-and-events/eth-news/news/2026/02/password-managers-less-secure-than-promised.html 苏黎世联邦理工学院研究人员披露,Bitwarden、LastPass和Dashlane中共发现25个漏洞。这些漏洞可能允许绕过零知识加密声明,从而实现对用户密码和保险库数据的未经授权访问、修改和恢复。漏洞涉及密钥托管机制、项目级加密、共享功能及向后兼容性问题。Bitwarden、LastPass和Dashlane合计服务超过6000万用户,并占据显著市场份额。 5、ClickFix技术变种Matryoshka针对macOS部署窃密软件 https://www.intego.com/mac-security-blog/type-a-url-wrong-and-you-might-end-up-with-malware-on-your-mac/ 研究人员披露名为“Matryoshka”的ClickFix攻击技术变体,通过嵌套混淆技术隐藏恶意代码,并诱导macOS用户在终端执行伪装为修复命令的指令。攻击活动利用伪装成合法网站的错别字迷惑性域名引导用户访问,并通过虚假安装提示传播窃密软件。 6、LockBit5.0版本支持Windows、Linux与ESXi平台 https://www.acronis.com/en/tru/posts/lockbit-strikes-with-new-50-version-targeting-windows-linux-and-esxi-systems/ 研究显示,LockBit发布5.0版本,支持Windows、Linux和ESXi平台。该版本采用勒索软件即服务模式和双重勒索策略。报告称,自2025年12月以来,其数据泄露网站记录了60起受害者案例,主要涉及美国私营企业和政府领域,包括制造、医疗、教育、金融等。 7、OpenClaw修复允许恶意内容注入的日志中毒漏洞 https://research.eye.security/log-poisoning-in-openclaw/ OpenClaw发布安全公告,修复影响2026.2.13之前版本的“日志中毒”漏洞。公告称,部分WebSocket请求首部(包括Origin和User-Agent)在未充分过滤的情况下被记录,攻击者可构造头部值注入恶意内容至日志。该问题可能导致不受信任的输入被后续代理处理。 8、攻击者滥用AtlassianCloud发动定向垃圾邮件诈骗 https://www.trendmicro.com/en_gb/research/26/b/spam-campaign-abuses-atlassian-jira.html 攻击者利用Atlassian Cloud的合法功能与高信誉域名基础设施,绕过SPF、DKIM等邮件认证安全检查,向政府与企业目标发送定向垃圾邮件。该活动针对多语种群体(英语、法语、德语、意大利语、葡萄牙语、俄语),通过Keitaro TDS将流量重定向至欺诈性投资页面,实现诈骗与非法广告变现。研究人员指出该活动在2025年12月至2026年1月期间显著活跃。 9、虚假Triton应用GitHub仓库传播Windows恶意软件 https://brennan.day/the-curious-case-of-the-triton-malware-fork/ 一个伪装为合法macOS应用Triton的恶意GitHub分支被发现传播Windows恶意软件。该仓库由账户“JaoAureliano”创建,复制了开发者OtávioC的原始Triton项目,但在README中嵌入恶意下载链接,引导用户下载名为Software_3.1.zip的压缩包。恶意文件被隐藏在Xcode色彩集目录结构中,下载后实际释放Windows可执行恶意程序。该异常仓库最初由安全研究员Brennan在IRC讨论中发现。 10、阿迪达斯门户网站疑似泄露超81万条客户记录 https://cybersecuritynews.com/adidas-investigates-data-breach/ 阿迪达斯确认正在调查一起涉及其第三方合作伙伴的疑似数据泄露事件,攻击组织“LAPSUS-GROUP”在BreachForums论坛声称未经授权访问了Adidas Extranet外网门户网站,窃取了约81.5万条记录,数据包括姓名、电子邮件、密码、生日及公司信息等,并声称还掌握约420GB的阿迪达斯法国市场相关数据。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年02月13日
1、去中心化交易所dYdX官方NPM和PyPI包被植入恶意代码 https://socket.dev/blog/malicious-dydx-packages-published-to-npm-and-pypi 安全研究人员披露,去中心化交易所dYdX运营的官方NPM包@dydxprotocol/v4-client-js以及PyPI上的dydx-v4-client包被植入恶意代码并发布恶意版本。研究显示,这些通过合法推送的恶意更新被用于窃取加密货币钱包助记词和设备信息,并在Python包中植入远程访问木马(RAT)。研究人员评估,此次事件很可能源于开发者账号被入侵。 2、美国支付平台BridgePay遭遇勒索攻击后宕机 https://status.bridgepaynetwork.com/incidents/mgg52286dn24 美国主要支付网关和解决方案提供商BridgePay确认,其平台近日发生的全国性服务中断系勒索软件攻击所致。大约在BridgePay披露此事件的同时,一些美国商家和组织开始告知客户,由于全国性信用卡处理中断,他们只能接受现金。公司表示,事件发生后已与联邦调查局、美国特勤局及外部取证和恢复团队合作调查。初步取证结果显示,未发现支付卡数据被泄露,相关文件虽被访问但已加密,目前没有证据表明支付卡数据被泄露。 3、500万台公网服务器暴露Git元数据存在数据泄露风险 https://www.mysteriumvpn.com/blog/news/git-metadata-leak 研究人员披露,近500万台公网服务器暴露了Git仓库元数据,其中超过25万台通过.git/config文件泄露了部署凭证。研究指出,这类错误配置可被利用重建源代码、窃取数据甚至获取系统访问权限,地理分布上风险服务主要集中在美国、欧洲和亚太地区等托管区域。报告强调,暴露的Git数据可能引发源代码泄露、供应链攻击及云环境横向移动,将简单的配置错误升级为重大泄露。 4、勒索攻击组织利用未修补漏洞入侵SmarterTools https://portal.smartertools.com/community/a97747/summary-of-smartertools-breach-and-smartermail-cves.aspx SmarterTools证实,其网络在1月29日遭到Warlock勒索软件组织入侵,攻击源头是一台由员工部署但未更新的SmarterMail虚拟机。该漏洞为CVE-2026-23760,属于认证绕过缺陷,允许重置管理员密码并获取完全访问权限。公司表示,事件未影响业务应用或客户账户数据,但办公网络中的多台Windows服务器及部分测试和托管环境已被攻破。 5、苹果修复被用于复杂网络攻击的零日漏洞 https://support.apple.com/en-us/126347 苹果发布安全更新,修复编号为CVE-2026-20700的零日漏洞。该漏洞存在于动态链接编辑器dyld中,影响iOS、iPadOS、macOS、tvOS、watchOS和visionOS,属于任意代码执行问题。苹果表示,恶意代码可在具备内存写入权限的条件下在受影响设备上执行任意代码,已知该漏洞与此前修复的CVE-2025-14174和CVE-2025-43529在同一攻击事件中被利用。 6、Go 1.24+环境下Fiber v2框架存在严重漏洞 https://www.freebuf.com/articles/web/470527.html 流行Go语言Web框架Fiber v2被发现存在严重安全漏洞,攻击者可利用该漏洞劫持用户会话、绕过安全防护机制并引发服务中断。该漏洞影响所有运行在Go 1.23及更早版本上的Fiber v2框架,六天前已由框架维护者正式披露。 7、谷歌警告:攻击者正将AI直接植入实时网络攻击 https://www.freebuf.com/articles/ai-security/470707.html 谷歌威胁情报小组发布的最新报告警示,威胁行为者已不再局限于对人工智能的简单试验,而是开始将AI直接整合到实际攻击工作流程中。该报告部分聚焦于对谷歌自家Gemini模型的滥用与针对性攻击,凸显出生成式AI系统正日益成为恶意工具的测试、探测对象,甚至在某些案例中被直接纳入攻击体系。 8、Windows远程桌面服务0Day漏洞遭利用可提权至SYSTEM权限 https://cybersecuritynews.com/windows-remote-desktop-services-0-day-vulnerability/ 微软修复高危RDS 0Day漏洞CVE-2026-21533,攻击者可提权至SYSTEM级别。漏洞CVSS评分7.8,影响多版本Windows系统,建议禁用RDS或限制网络访问,优先打补丁并监控注册表变更。 9、朝鲜黑客组织利用AI换脸技术实施加密货币窃取 https://securityonline.info/fake-ceo-real-hack-north-korea-uses-ai-deepfakes-to-steal-crypto/ 朝鲜黑客组织UNC1069升级攻击手段,利用AI深度伪造视频和定制恶意软件窃取加密货币。通过劫持Telegram账户、伪造视频会议,部署7种恶意工具窃取数据,包括绕过macOS防护的高级窃密程序。AI正被深度整合到网络犯罪中,威胁日益严峻。 10、网络犯罪滥用 PayPal 和苹果服务绕过邮件安全防护 https://securityonline.info/signed-sealed-delivered-cybercriminals-abuse-paypal-and-apple-to-bypass-email-security/ 网络钓鱼攻击升级,黑客利用PayPal等合法平台发送完美伪装邮件,通过DKIM重放攻击绕过安全检测。攻击者在发票备注植入恶意内容并转发,利用邮件转发机制漏洞欺骗用户。建议验证收件人字段,警惕陌生电话。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页