HackerNews

HackerNews 编译，转载请注明出处： Fortinet公司揭露了一个令人不安的情况：网络攻击者找到了一种方法，即使在最初用于入侵FortiGate设备的漏洞被修复后，他们仍能保持对该设备的只读访问权限。 据推测，攻击者利用了包括但不限于CVE-2022-42475、CVE-2023-27997和CVE-2024-21762在内的已知且现已修复的安全漏洞来实施攻击。 Fortinet在周四发布的安全公告中表示：“攻击者利用已知漏洞，为易受攻击的FortiGate设备设置了只读访问权限。这是通过在用于提供SSL-VPN语言文件的文件夹中创建一个符号链接，连接用户文件系统和根文件系统来实现的。” Fortinet指出，这些修改发生在用户文件系统中，并成功躲避了检测，导致即使在修复了最初入侵的安全漏洞后，该符号链接（也称为symlink）仍然存在。 这使得攻击者能够继续访问设备文件系统中的文件，包括配置文件等，但那些从未启用SSL-VPN功能的客户不受此问题影响。 目前尚不清楚是谁在幕后操纵此次攻击活动，但Fortinet的调查显示，该攻击并非针对特定地区或行业。Fortinet还表示，已直接通知受影响的客户。 为了防止此类问题再次发生，Fortinet推出了一系列FortiOS软件更新： – FortiOS 7.4、7.2、7.0和6.4版本：将符号链接标记为恶意文件，以便由防病毒引擎自动删除。 – FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本：删除了符号链接，并修改了SSL-VPN用户界面，以防止此类恶意符号链接的传播。 Fortinet建议客户将其系统更新至FortiOS 7.6.2、7.4.7、7.2.11、7.0.17或6.4.16版本，审查设备配置，并将所有配置视为可能已被篡改，采取适当的恢复措施。 美国网络安全与基础设施安全局（CISA）也发布了相关安全公告，敦促用户重置暴露的凭据，并考虑在应用补丁之前禁用SSL-VPN功能。法国计算机应急响应小组（CERT-FR）在类似的公告中表示，他们已知晓此类入侵行为可追溯至2023年初。 watchTowr公司首席执行官Benjamin Harris在接受采访时表示，此次事件令人担忧，原因主要有两个。 首先，网络攻击的实施速度远远超过了组织进行漏洞修复的速度，而且攻击者显然深知这一点。其次，更令人恐惧的是，攻击者在快速入侵后多次部署了能够抵御组织所依赖的漏洞修复、升级和出厂重置等缓解措施的能力和后门，以维持对被入侵组织的持久访问。 Harris还表示，在watchTowr的客户群体中发现了后门部署的情况，并且许多被认定为“关键基础设施”的组织也受到了影响。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sensata Technologies（简称 Sensata）在上周末遭受了一次勒索软件攻击，部分公司网络被加密，运营受到扰乱。 在向美国证券交易委员会（SEC）提交的 8-K 表格中，Sensata 表示此次攻击发生在 4 月 6 日星期日，并涉及数据泄露。 “此次事件暂时影响了 Sensata 的运营，包括发货、收货、制造生产以及各种其他支持功能，”通知中写道。 Sensata 是一家工业技术公司，开发、制造和销售各种传感器及传感器解决方案，以及电气保护组件和系统。 该公司产品主要用于汽车、航空航天和工业应用领域。2023 年，Sensata 报告的年收入为 40 亿美元。 Sensata 表示，公司已采取立即行动，加快受网络攻击影响的关键功能的恢复进程。然而，公司无法提供完成这一工作的具体时间表。 在外部网络安全专家的协助下进行的初步调查确认，黑客已从公司网络中窃取了数据。 数据泄露与勒索软件的常见策略 数据泄露是勒索软件攻击者常用的策略，用于勒索受害者、增加支付赎金的压力，并制造法律和监管上的复杂性。 目前，Sensata 正在确定此次攻击中被盗的文件，并将根据调查结果通知受影响的个人和监管机构。 公司预计此次事件对其截至今年 6 月 30 日的当前季度财务结果不会产生重大影响。 然而，Sensata 承认，随着对安全事件的全面范围和影响的进一步了解，这一预期可能会发生变化。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客在披露后数小时内开始利用 OttoKit（原名 SureTriggers）插件中的一个高危漏洞，该漏洞允许绕过认证。 强烈建议用户立即将 OttoKit/SureTriggers 升级到最新版本 1.0.79，该版本于本月初发布。 OttoKit WordPress 插件允许用户无需编写代码即可连接插件和外部工具（如 WooCommerce、Mailchimp 和 Google Sheets），并自动化发送邮件、添加用户或更新客户关系管理（CRM）系统等任务。统计数据显示，该产品在 100,000 个网站上处于活跃状态。 昨天，Wordfence 披露了 OttoKit 中的一个认证绕过漏洞，编号为 CVE-2025-3102。该漏洞影响所有版本的 SureTriggers/OttoKit，最高版本为 1.0.78。 漏洞源于 authenticate_user() 函数中缺少对空值的检查，该函数负责处理 REST API 认证。如果插件未配置 API 密钥，则存储的 secret_key 将保持为空，从而可能被利用。 攻击者可以通过发送一个空的 st_authorization 头来绕过检查，从而获得对受保护 API 端点的未授权访问权限。 本质上，CVE-2025-3102 允许攻击者在无需认证的情况下创建新的管理员账户，这可能导致网站被完全接管的高风险。 Wordfence 在 3 月中旬收到了来自安全研究员 “mikemyers” 的漏洞报告，该研究员因此发现获得了 1,024 美元的赏金。 插件供应商于 4 月 3 日收到完整的漏洞利用细节，并于同一天通过版本 1.0.79 发布了修复补丁。 然而，黑客迅速抓住了这一机会，利用管理员更新插件的延迟来利用该安全问题。 WordPress 安全平台 Patchstack 的研究人员警告称，在漏洞披露后仅数小时，就记录到了首次实际利用尝试。 “攻击者迅速利用了这一漏洞，首次记录的尝试发生在我们将其作为 vPatch 添加到数据库后仅四小时，”Patchstack 报告称。 “这种快速的漏洞利用突显了在此类漏洞公开披露后立即应用补丁或缓解措施的紧迫性，”研究人员表示。 威胁行为者尝试使用随机的用户名/密码和电子邮件地址组合创建新的管理员账户，这是任务自动化的迹象。 如果您正在使用 OttoKit/SureTriggers，请尽快升级到版本 1.0.79，并检查日志以查看是否有意外的管理员账户或其他用户角色、插件/主题安装、数据库访问事件以及安全设置的修改。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 执法机构宣布，他们追踪到了 SmokeLoader 恶意软件的客户，并拘留了至少五名个人。 “在一系列协调行动中，由名为‘Superstar’的运营商管理的 Smokeloader 按安装付费僵尸网络的客户面临了诸如逮捕、搜查住所、逮捕令或‘敲门谈话’等后果，”欧洲刑警组织在一份声明中表示。 据称，Superstar 运营了一项按安装付费的服务，使客户能够通过该加载器作为渠道，向受害者的机器部署下一阶段的恶意载荷。 根据欧洲执法机构的说法，该僵尸网络提供的访问权限被用于各种目的，包括键盘记录、网络摄像头访问、勒索软件部署和加密货币挖掘。 此次行动是名为“终局行动”（Operation Endgame）的持续协调行动的一部分，该行动去年导致了与多个恶意软件载荷器（如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相关的在线基础设施被拆解。 加拿大、捷克共和国、丹麦、法国、德国、荷兰和美国参与了此次后续行动，旨在针对网络犯罪生态系统的“需求侧”。 网络安全 据欧洲刑警组织称，当局通过之前查获的一个数据库追踪到注册的客户，将他们的在线身份与现实中的个人联系起来，并传唤他们接受询问。据信，有部分嫌疑人选择配合调查，并允许检查他们的个人设备以收集数字证据。 “一些嫌疑人以更高的价格转售从 SmokeLoader 购买的服务，从而为调查增加了额外的趣味性，”欧洲刑警组织表示。“一些嫌疑人曾以为他们已不在执法机构的监控范围内，但最终意识到他们仍然是目标。” 恶意软件载荷器的多种形式 这一发展与 Broadcom 旗下的赛门铁克披露的一项网络钓鱼活动的细节相吻合，该活动利用 Windows 屏保（SCR）文件格式在受害者的机器上分发基于 Delphi 的恶意软件载荷器 ModiLoader（又名 DBatLoader 和 NatsoLoader）。 这也与一项隐蔽的网络活动相吻合，该活动诱使用户运行恶意的 Windows 安装程序（MSI）文件以部署另一种名为 Legion Loader 的载荷器恶意软件。 “此次活动使用了一种称为‘粘贴劫持’（pastejacking）或‘剪贴板劫持’的方法，因为用户被指示将内容粘贴到运行窗口中，”Palo Alto Networks Unit 42 表示，并补充称，它利用了多种伪装策略，通过 CAPTCHA 页面规避检测，并将恶意软件下载页面伪装成博客网站。 网络钓鱼活动也成为了 Koi Loader 的分发渠道，后者随后用于下载和执行一种名为 Koi Stealer 的信息窃取工具，作为多阶段感染序列的一部分。 “像 Koi Loader 和 Koi Stealer 这样的恶意软件利用了反虚拟机（Anti-VM）能力，突显了现代威胁规避分析师、研究人员和沙箱的检测和分析的能力，”eSentire 在上个月发布的一份报告中表示。 不仅如此，最近几个月再次见证了 GootLoader（又名 SLOWPOUR）的回归，它通过谷歌的赞助搜索结果传播，这一技术最早于 2024 年 11 月初被发现。 攻击针对在谷歌上搜索“保密协议模板”的用户，提供虚假广告，点击后会重定向到一个网站（“lawliner[.]com”），要求用户输入电子邮件地址以接收文档。 “在用户输入电子邮件后不久，他们会收到来自 lawyer@skhm[.]org 的电子邮件，其中包含一个链接，指向他们请求的 Word 文档（DOCX），”一位名为 GootLoader 的安全研究人员表示，他多年来一直密切监控该恶意软件载荷器。 “如果用户通过了所有关卡，他们将下载一个压缩的 JavaScript 文件。当用户解压并执行 JavaScript 文件时，相同的 GootLoader 行为就会发生。” 还发现了一种名为 FakeUpdates（又名 SocGholish）的 JavaScript 下载器，它通常通过社会工程伎俩传播，诱使用户安装伪装成 Google Chrome 等网络浏览器合法更新的恶意软件。 “攻击者利用受损资源分发恶意软件，将恶意 JavaScript 注入易受攻击的网站以识别主机、执行资格检查，并显示虚假的更新页面，”谷歌表示。“恶意软件通常通过驱动下载分发。恶意 JavaScript 作为下载器，传递额外的恶意软件。” 这种虚假浏览器更新的攻击路径也被观察到分发另外两种名为 FAKESMUGGLES 的 JavaScript 恶意软件家族，它因使用 HTML 走私技术传递下一阶段载荷（如 NetSupport Manager）而得名，以及 FAKETREFF，它与远程服务器通信以检索额外的载荷（如 DarkGate）并发送基本的主机信息。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 AkiraBot 的人工智能（AI）驱动平台的细节，该平台用于向网站聊天框、评论区和联系表单发送垃圾信息，以推广可疑的搜索引擎优化（SEO）服务，如 Akira 和 ServicewrapGO。 “自 2024 年 9 月以来，AkiraBot 已针对超过 40 万个网站，并成功向至少 8 万个网站发送了垃圾信息，”SentinelOne 研究人员 Alex Delamotte 和 Jim Walter 在一份与《黑客新闻》分享的报告中表示。“该机器人利用 OpenAI 生成基于网站用途的定制化推广信息。” 该活动的目标包括中小型企业的联系表单和聊天小部件，其框架使用 OpenAI 的大型语言模型（LLMs）生成垃圾内容。这个基于 Python 的“广泛”工具的独特之处在于，它能够生成内容以绕过垃圾信息过滤器。 据信，这个批量消息工具自 2024 年 9 月起开始使用，最初名为“Shopbot”，似乎是指使用 Shopify 的网站。 随着时间的推移，AkiraBot 扩大了其目标范围，包括使用 GoDaddy、Wix 和 Squarespace 开发的网站，以及那些使用 Reamaze 构建的通用联系表单和实时聊天小部件的网站。 该操作的核心——生成垃圾内容——是通过利用 OpenAI API 实现的。该工具还提供了一个图形用户界面（GUI），用于选择要攻击的网站列表，并定制可以同时攻击的网站数量。 “通过处理包含机器人应发送消息类型的一般大纲的模板，AkiraBot 为目标网站创建定制的垃圾信息，”研究人员表示。“该模板通过发送到 OpenAI 聊天 API 的提示进行处理，以根据网站内容生成定制化的推广信息。” OpenAI 生成的垃圾信息 对源代码的分析显示，OpenAI 客户端使用了 gpt-4o-mini 模型，并被赋予了“生成营销信息的助手”角色。 该服务的另一个显著特点是，它能够绕过 CAPTCHA 障碍，大规模垃圾攻击网站，并通过依赖通常提供给广告商的代理服务来规避基于网络的检测。目标 CAPTCHA 服务包括 hCAPTCHA、reCAPTCHA 和 Cloudflare Turnstile。 为了实现这一点，该机器人的网络流量被设计为模仿合法最终用户，并利用 SmartProxy 提供的不同代理主机来掩盖流量来源。 AkiraBot 还被配置为将其活动记录在一个名为“submissions.csv”的文件中，该文件记录了成功和失败的垃圾信息尝试。对这些文件的检查显示，到目前为止，已有超过 42 万个独特域名被攻击。此外，与 CAPTCHA 绕过和代理轮换相关的成功指标被收集并通过 API 发送到 Telegram 频道。 针对这些发现，OpenAI 已禁用了威胁行为者使用的 API 密钥和其他相关资产。 “作者或作者们为此机器人绕过常用 CAPTCHA 技术的能力投入了大量努力，这表明运营商有动机违反服务提供商的保护措施，”研究人员表示。“AkiraBot 使用大型语言模型生成垃圾信息内容，展示了人工智能对防御网站垃圾攻击的新兴挑战。” 这一发展与一个名为 Xanthorox AI 的网络犯罪工具的出现相吻合，该工具被宣传为一个一站式聊天机器人，用于处理代码生成、恶意软件开发、漏洞利用和数据分析。该平台还支持通过实时语音通话和异步语音消息进行语音交互。 “Xanthorox AI 由五个不同的模型提供支持，每个模型都针对不同的操作任务进行了优化，”SlashNext 表示。“这些模型完全运行在卖家控制的本地服务器上，而不是部署在公共云基础设施上或通过暴露的 API。这种以本地为主的模式大幅降低了被发现、关闭或追踪的可能性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的威胁组织 Gamaredon（又名 Shuckworm）被指对乌克兰境内的一个外国军事任务发动了网络攻击，目的是投放一种名为 GammaSteel 的已知恶意软件的更新版本。 据赛门铁克威胁猎手团队称，该组织针对一个西方国家的军事任务，首次检测到恶意活动的迹象是在 2025 年 2 月 26 日。 赛门铁克在其报告中表示：“攻击者使用的初始感染向量似乎是一个被感染的可移动驱动器。” 攻击从在 Windows 注册表的 UserAssist 键下创建一个值开始，随后通过 “explorer.exe” 启动 “mshta.exe”，以启动一个多阶段感染链并运行两个文件。 第一个文件名为 “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”，用于与命令与控制（C2）服务器建立通信。该服务器通过访问与合法服务（如 Teletype、Telegram 和 Telegraph 等）相关的特定 URL 来获取。 第二个文件名为 “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”，设计用于通过创建每个文件夹的快捷方式文件来感染任何可移动驱动器和网络驱动器，以执行恶意的 “mshta.exe” 命令并隐藏它。 随后在 2025 年 3 月 1 日，脚本被执行以联系 C2 服务器，窃取系统元数据，并接收一个 Base64 编码的负载，该负载随后用于运行一个设计用于下载混淆后的新版本脚本的 PowerShell 命令。 该脚本连接到一个硬编码的 C2 服务器以获取另外两个 PowerShell 脚本。第一个脚本是一个侦察工具，能够截取屏幕截图、运行 systeminfo 命令、获取主机上运行的安全软件的详细信息、枚举桌面中的文件和文件夹，并列出正在运行的进程。 第二个 PowerShell 脚本是 GammaSteel 的改进版本，这是一种已知的信息窃取工具，能够根据桌面和文档文件夹中的扩展名白名单从受害者的设备中窃取文件。 “这次攻击标志着 Shuckworm 在复杂性上有所提升，尽管它看起来比其他俄罗斯组织的技术能力稍逊一筹，但它通过不懈地专注于乌克兰的目标来弥补这一点，”赛门铁克表示。 “尽管该组织似乎没有像一些其他俄罗斯组织那样的技术能力，但 Shuckworm 现在似乎正在通过不断对其使用的代码进行小幅度修改、添加混淆以及利用合法的网络服务来尝试降低被发现的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者继续向npm注册表上传恶意包，以篡改已安装的合法库的本地版本并执行恶意代码，这被视为一种更隐蔽的软件供应链攻击手段。 最新发现的名为pdf-to-office的包伪装成一个将PDF文件转换为Microsoft Word文档的工具。但实际上，它包含可以向与Atomic Wallet和Exodus相关的加密货币钱包软件注入恶意代码的功能。 “实际上，受害者试图将加密货币发送到另一个加密货币钱包时，原本的钱包目标地址会被替换为恶意行为者拥有的地址，”ReversingLabs研究员Lucija Valentić在与The Hacker News分享的一份报告中表示。 该npm包于2025年3月24日首次发布，此后已更新三次，但之前的版本可能已被作者自己删除。最新版本1.1.2于4月8日上传，目前仍可供下载。该包迄今已被下载334次。 这一披露仅在软件供应链安全公司发现两个名为ethers-provider2和ethers-providerz的npm包几周后。这些包被设计为感染本地安装的包，并通过SSH连接到威胁行为者的服务器建立反向shell。 这种攻击方式对威胁行为者来说是一个有吸引力的选择，因为它允许恶意软件在恶意包被移除后仍然存在于开发者的系统中。 对pdf-to-office的分析显示，嵌入在包中的恶意代码会检查Windows计算机的“AppData/Local/Programs”文件夹中是否存在“atomic/resources/app.asar”存档，以确定是否安装了Atomic Wallet。如果是，则引入剪贴板功能。 “如果该存档存在，恶意代码会用一个新的特洛伊木马版本覆盖其中一个文件，该文件与合法文件具有相同的功能，但将发送资金的外部加密货币地址替换为威胁行为者拥有的Base64编码的Web3钱包地址，”Valentić表示。 同样地，该有效载荷还设计为特洛伊木马化与Exodus钱包相关的文件“src/app/ui/index.js”。 但有趣的是，这些攻击针对的是Atomic Wallet（2.91.5和2.90.6）和Exodus（25.13.3和25.9.2）的两个特定版本，以确保覆盖正确的JavaScript文件。 “如果pdf-to-office包碰巧从计算机中移除，Web3钱包的软件仍会保持受损状态，并继续将加密货币资金转移到攻击者的钱包，”Valentić表示。“要完全从Web3钱包的软件中移除恶意特洛伊木马文件，唯一的方法是从计算机中完全移除它们并重新安装。” 这一披露正值ExtensionTotal详细描述了10个恶意Visual Studio Code扩展，这些扩展会偷偷下载一个禁用Windows安全的PowerShell脚本，通过计划任务建立持久性，并安装一个XMRig加密货币矿工。 这些扩展在被移除之前总共被安装了超过一百万次。以下是扩展的名称： Prettier — VSCode的代码（由prettier提供） VS Code的Discord Rich Presence（由Mark H提供） Rojo — Roblox Studio同步（由evaera提供） Solidity编译器（由VSCode Developer提供） Claude AI（由Mark H提供） Golang编译器（由Mark H提供） VSCode的ChatGPT代理（由Mark H提供） HTML混淆器（由Mark H提供） VSCode的Python混淆器（由Mark H提供） VSCode的Rust编译器（由Mark H提供） “攻击者创建了一个复杂的多阶段攻击，甚至安装了他们模仿的合法扩展，以避免在后台挖掘加密货币时引起怀疑，”ExtensionTotal表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细描述了NVIDIA容器工具包中一个之前已修复的安全漏洞的不完整修复情况。如果该漏洞被成功利用，可能会使敏感数据面临风险。 原始漏洞CVE-2024-0132（CVSS评分：9.0）是一个时间检查到时间使用（TOCTOU）漏洞，可能导致容器逃逸攻击，并允许未经授权访问底层主机。 虽然NVIDIA在2024年9月解决了这一漏洞，但Trend Micro的新分析显示，修复并不完整，并且还存在一个相关的性能问题，影响Linux上的Docker，可能导致拒绝服务（DoS）状态。 网络安全 “这些问题可能使攻击者能够突破容器隔离，访问敏感的主机资源，并造成严重的运营中断，”Trend Micro研究人员Abdelrahman Esmail在今天发布的一份新报告中表示。 TOCTOU漏洞的持续存在意味着一个精心设计的容器可能被滥用以访问主机文件系统，并以root权限执行任意命令。该漏洞影响版本1.17.4，前提是明确启用了功能allow-cuda-compat-libs-from-container。 “具体漏洞存在于mount_files函数中，”Trend Micro表示。“该问题源于在对对象执行操作时缺乏适当的锁定。攻击者可以利用此漏洞提升权限，并在主机上下文中执行任意代码。” 然而，要使这种权限提升生效，攻击者必须已经获得了在容器内执行代码的能力。 该缺陷已被分配CVE标识符CVE-2025-23359（CVSS评分：9.0），此前云安全公司Wiz在2025年2月将其标记为CVE-2024-0132的绕过漏洞。该问题已在版本1.17.4中得到修复。 网络安全公司表示，在分析CVE-2024-0132时，还发现了一个性能问题，可能在主机上导致拒绝服务（DoS）漏洞。该问题影响Linux系统上的Docker实例。 “当使用(bind-propagation=shared)配置多个挂载创建新容器时，会建立多个父/子路径。然而，在容器终止后，Linux挂载表中相关的条目并未被移除，”Esmail表示。 “这导致挂载表快速增长且无法控制，耗尽可用文件描述符（fd）。最终，Docker因fd耗尽而无法创建新容器。这种过大的挂载表还会导致严重的性能问题，阻止用户连接到主机（例如通过SSH）。” 为缓解此问题，建议监控Linux挂载表的异常增长，限制Docker API访问仅限授权人员，实施严格的访问控制策略，并定期审计容器到主机文件系统绑定、卷挂载和套接字连接。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络钓鱼攻击者正在采用一种名为“精准验证钓鱼”的新规避技术，该技术仅在用户输入攻击者特定目标的电子邮件地址时才会显示虚假登录表单。 与传统的广泛目标网络钓鱼不同，这种新方法使用实时电子邮件验证，确保只有经过预先验证的高价值目标才能看到钓鱼内容。 尽管这种新策略并不特别复杂或高深，但它将所有非有效目标排除在网络钓鱼过程之外，从而阻止他们了解攻击操作。 电子邮件安全公司Cofense记录了这种新策略的采用率上升，并指出这给他们的工作带来了显著的实际问题。 在研究网络钓鱼网站时，研究人员通常会输入虚假的电子邮件地址或他们控制的地址，以映射凭证盗窃活动。 然而，随着这种新技巧的出现，研究人员输入的无效或测试电子邮件地址现在会显示错误或将其重定向到无害的网站。这影响了研究中使用的自动化安全爬虫和沙箱，降低了检测率并延长了网络钓鱼活动的寿命。 “网络安全团队传统上依赖于通过提交虚假凭证来观察攻击者行为和基础设施的受控网络钓鱼分析，”Cofense解释道。 “通过精准验证钓鱼，这些策略变得无效，因为任何未识别的电子邮件在钓鱼内容被交付之前就会被拒绝。” 根据Cofense的说法，攻击者使用两种主要技术来实现实时电子邮件验证。 第一种方法是滥用集成在网络钓鱼工具包中的第三方电子邮件验证服务，通过API调用实时检查受害者地址的有效性。 第二种方法是在网络钓鱼页面中部署自定义JavaScript，该脚本会将受害者在钓鱼页面上输入的电子邮件地址发送到攻击者的服务器，以确认其是否在预先收集的列表中。 如果没有匹配项，受害者将被重定向到无害的网站，比如维基百科。 Cofense解释说，通过简单地输入向他们报告网络钓鱼尝试的人员的电子邮件地址来绕过这一限制通常是不可能的，因为他们的客户施加了使用限制。 即使他们被允许使用真实目标的地址，分析人员也指出，一些活动更进一步，在受害者在钓鱼页面上输入有效电子邮件后，会向其收件箱发送一个验证代码或链接。 为了继续网络钓鱼过程，受害者需要输入他们收件箱中收到的代码，而这超出了安全分析师的访问范围。 这对电子邮件安全工具，尤其是依赖传统检测方法的工具，产生了严重的影响，因为它们更有可能无法向目标发出网络钓鱼尝试的警报。 随着网络钓鱼活动采用动态输入验证，防御者必须采用新的检测策略，强调行为指纹识别和实时威胁情报关联，以保持领先于攻击者。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文终于在发给客户的电子邮件通知中确认，一名黑客窃取并泄露了从其描述为“两台过时服务器”中盗取的凭据。 然而，该公司补充说，其甲骨文云服务器并未被攻破，此次事件未影响客户数据和云服务。 “甲骨文希望明确声明，甲骨文云——也称为甲骨文云基础设施或 OCI——并未发生安全漏洞，”甲骨文在与 BleepingComputer 共享的客户通知中表示。 “没有 OCI 客户环境被攻破。没有 OCI 客户数据被查看或窃取。没有任何 OCI 服务被中断或以任何方式受到损害，”甲骨文在从 [email protected] 发送的电子邮件中补充道，敦促客户如有其他问题联系甲骨文支持或其账户经理。 “一名黑客确实访问并发布了从未属于 OCI 的两台过时服务器中的用户名。由于这两台服务器上的密码要么被加密，要么被哈希处理，因此黑客并未暴露可用的密码。因此，黑客无法访问任何客户环境或客户数据。” 自今年 3 月事件曝光以来，当时一名威胁者（rose87168）在 BreachForums 上出售 600 万条数据记录，甲骨文在与媒体分享的声明中一直否认有关甲骨文云漏洞的报道。尽管这确实与甲骨文告诉客户的内容相符——即漏洞影响的是旧平台甲骨文云经典版——但网络安全专家凯文·博蒙特表示，这只是文字游戏。 “甲骨文将旧的甲骨文云服务重新命名为甲骨文经典版。甲骨文经典版发生了安全事件，”博蒙特说。“甲骨文通过这种范围界定否认‘甲骨文云’被入侵——但仍是甲骨文管理的甲骨文云服务。这就是文字游戏的一部分。” BleepingComputer 已联系甲骨文确认这些通知的真实性，并非由威胁者或其他第三方发送，但尚未收到回复。甲骨文也尚未澄清被攻破的服务器是否属于甲骨文云经典版或其他平台。 据称从甲骨文云窃取的数据正在出售 资料来源：BleepingComputer 此前一周，该公司在与部分客户的私下通话中承认，攻击者在攻破 2017 年最后一次使用的“遗留环境”后窃取了旧的客户凭据。 然而，尽管甲骨文告诉客户这是非敏感的旧遗留数据，但漏洞背后的威胁者与 BleepingComputer 分享了 2024 年末的数据，并在 BreachForums 上发布了 2025 年的新记录。 BleepingComputer 还与多名甲骨文客户单独确认，从威胁者那里收到的泄露数据样本（包括关联的 LDAP 显示名称、电子邮件地址、名字和其他识别信息）是有效的，此前甲骨文曾告诉 BleepingComputer，“甲骨文云未发生任何漏洞。发布的凭据不属于甲骨文云。没有甲骨文云客户遭受漏洞或丢失任何数据。” 网络安全公司 CybelAngel 上周首次透露，甲骨文告诉客户，攻击者早在 2025 年 1 月就在甲骨文的部分 Gen 1（也称为甲骨文云经典版）服务器上部署了 Web Shell 和其他恶意软件。据称，直到 2 月下旬漏洞被发现之前，威胁者从甲骨文身份管理器（IDM）数据库中窃取了数据，包括用户电子邮件、哈希密码和用户名。 上个月，BleepingComputer 首次报道，甲骨文私下通知客户，甲骨文健康（一家之前称为 Cerner 的软件即服务（SaaS）公司）在 1 月发生了另一起漏洞，影响了美国多家医疗机构和医院的患者数据。 消息人士告诉 BleepingComputer，一名名为“Andrew”的威胁者——尚未声称与任何勒索或勒索软件操作有关——现在正在勒索被攻破的医院，要求以加密货币支付数百万美元，以不出售或泄露被盗数据。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： F5 Labs 的研究人员发现了一场针对性攻击活动，该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造（SSRF）漏洞来提取 EC2 元数据，这些元数据可能包括来自 IMDSv1 端点的身份和访问管理（IAM）凭据。 检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务，可能导致敏感数据泄露、操作和中断服务。 F5 Labs 的研究人员报告称，恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明，这是由单一威胁者实施的。 SSRF 问题是网络漏洞，使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求，而这些资源通常是攻击者无法访问的。 在 F5 观察到的活动中，攻击者找到了具有 SSRF 漏洞的 EC2 主机网站，使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。 EC2 元数据是亚马逊 EC2（弹性计算云）中的一项服务，提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置，以及潜在的安全凭据。 该元数据服务只能通过连接到内部 IP 地址上的特殊 URL（如 http://169.254.169.254/latest/meta-data/）的虚拟机访问。 首个恶意 SSRF 探测记录在 3 月 13 日，但活动在 3 月 15 日至 25 日之间升级到全面规模，使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。 在此期间，攻击者轮换了六个查询参数名称（dest、file、redirect、target、URI、URL）和四个子路径（例如，/meta-data/、/user-data），显示出从易受攻击的站点中提取敏感数据的系统性方法。 这些攻击之所以成功，是因为易受攻击的实例运行在 IMDSv1 上，这是 AWS 的旧元数据服务，允许任何对实例有访问权限的人检索元数据，包括任何存储的 IAM 凭据。 该系统已被 IMDSv2 取代，后者需要会话令牌（身份验证）来保护网站免受 SSRF 攻击。 这些攻击在 2025 年 3 月的威胁趋势报告中被强调，F5 Labs 文档记录了过去一个月中被利用最多的漏洞。 按数量计算，被利用最多的前四个 CVE 是： CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit（69,433 次尝试） CVE-2020-8958 – 广州 ONU OS 命令注入 RCE（4,773 次尝试） CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE（4,698 次尝试） CVE-2019-9082 – ThinkPHP PHP 注入 RCE（3,534 次尝试） 报告强调，旧漏洞仍然是高度针对性的，40% 的被利用 CVE 年龄超过四年。 为了缓解威胁，建议应用可用的安全更新、加强路由器和物联网设备配置，并用受支持的型号替换已停产的网络设备。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，一个现已修复的安全漏洞影响了 Windows 公共日志文件系统（CLFS），该漏洞被作为零日漏洞利用，用于针对少数目标的勒索软件攻击。 “目标包括美国信息技术（IT）和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业，”这家科技巨头表示。 相关漏洞是 CVE-2025-29824，这是一个 CLFS 中的权限提升漏洞，攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。 微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况，并将其命名为 Storm-2460，同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。 目前尚不清楚攻击中使用的具体初始访问向量。然而，观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件，以部署载荷。 该恶意软件是一个包含加密载荷的恶意 MSBuild 文件，解包后会启动 PipeMagic，这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。 值得一提的是，CVE-2025-29824 是继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞）之后，通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现，并于上个月由微软修复。 此前，PipeMagic 还与利用另一个 CLFS 零日漏洞（CVE-2023-28252）的 Nokoyawa 勒索软件攻击有关。 “在我们归因于同一攻击者的其他攻击中，我们还观察到，在利用 CLFS 提权漏洞之前，受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染，该后门通过 MSBuild 脚本启动，”卡巴斯基在 2023 年 4 月指出。 需要强调的是，Windows 11 24H2 版本不受此特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户，而这类权限通常只有管理员级别的用户才能获得。 “漏洞利用针对的是 CLFS 内核驱动中的一个漏洞，”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF，从而为进程启用所有权限，这允许将进程注入到 SYSTEM 进程中。” 成功利用漏洞后，攻击者会通过转储 LSASS 内存来提取用户凭据，并使用随机扩展名加密系统中的文件。 微软表示，未能获得勒索软件样本进行分析，但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。 “勒索软件攻击者重视被攻陷后的提权漏洞利用，因为这些漏洞可以让他们将初始访问权限（包括从商品恶意软件分发者手中接过的访问权限）提升为特权访问权限，”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由生成式人工智能（AI）驱动的平台Lovable，支持通过文本指令创建全栈式网页应用，现已被发现是最容易遭受“越狱攻击”的工具之一，使得技术门槛极低的网络攻击者也能轻松搭建仿冒的钓鱼网页以窃取用户凭证。 Guardio Labs研究员Nati Tal在提供给《The Hacker News》的报告中指出：“作为一个专为开发和部署网页应用设计的工具，它的功能与每个诈骗者的梦想清单几乎完全吻合。从像素级别还原的诈骗页面，到实时托管、规避侦测技术，甚至用于追踪被盗数据的后台管理面板——Lovable不仅参与其中，而且执行得十分彻底。没有安全防护机制，没有丝毫犹豫。” 这一滥用技术被命名为“VibeScamming”，其灵感源自“vibe coding”概念，即利用AI通过简短文字描述问题，由面向编程优化的大语言模型（LLM）生成软件代码的方式。 事实上，滥用LLM和AI聊天机器人进行恶意活动早已不新鲜。近期研究显示，攻击者已经在利用诸如OpenAI ChatGPT和Google Gemini等热门工具，协助进行恶意软件的开发、研究与内容生成。 与此同时，DeepSeek等大语言模型也被发现易受特定的提示攻击与越狱技术（如Bad Likert Judge、Crescendo、Deceptive Delight）影响，进而绕过安全与伦理限制，生成本应被禁止的内容，如钓鱼邮件、键盘记录器以及勒索软件样本——尽管这通常需要额外提示或调试过程。 Broadcom旗下的赛门铁克上月发布的报告也揭示，OpenAI开发的AI代理“Operator”可被武器化，实现完全自动化的网络攻击流程：包括寻找特定用户的电子邮箱地址、生成用于收集系统信息的PowerShell脚本、将数据储存于Google Drive，并撰写钓鱼邮件引导目标用户执行恶意代码。 Lovable AI与VibeScamming的结合进一步暴露出AI工具在降低网络攻击门槛上的潜力。攻击者可以不具备专业技术背景，便借助AI的代码生成能力，制造出功能齐全的恶意程序。 一个典型案例是一种新型越狱手法“Immersive World”，可创建能在Chrome浏览器中窃取凭证和敏感信息的信息窃取器。该方法通过“叙事工程”（narrative engineering）绕过LLM的安全控制，构建一个完整虚构的故事世界，并为其中的角色设定具体规则，从而避开模型的内容限制。 Guardio Labs的最新分析更进一步指出，除了Lovable，Anthropic推出的Claude（程度较轻）等平台也可能被用于策划完整的诈骗行动：包括伪造短信模板、通过Twilio投递含恶意链接的短信、内容混淆处理、逃避检测机制，以及集成Telegram以实现数据外传。 所谓VibeScamming的攻击路径从一句直接指令开始，要求AI自动化完成整个攻击周期。研究人员随后通过多轮提示逐步引导LLM生成预期的恶意内容。这个被称为“Level Up”的阶段包括：优化钓鱼页面外观、改进信息投递方式、增强整体诈骗行为的可信度。 根据Guardio的测试，Lovable不仅能生成高度仿真的微软登录页面，还可自动将页面部署在其子域名（例如*.lovable.app）上，并在窃取凭证后将用户重定向至office[.]com，增强欺骗性。 更令人担忧的是，Claude与Lovable在面对旨在规避安全检测的提示时，竟然也会提供协助，包括将被盗凭证外传至Firebase、RequestBin、JSONBin或私人Telegram频道等第三方平台。 Tal指出：“真正令人警惕的，不仅是页面外观的高度仿真，还有它的用户体验。其仿真程度高到甚至比微软官方登录流程还要顺畅。这显示出专注任务的AI代理所具备的强大能力，也警示我们——一旦缺乏严格的防护机制，它们极易被恶意利用。” “它不仅生成了可用的诈骗页面，还赠送了一个功能完备的管理后台，让我们可以查看所有收集的数据——包括凭证、IP地址、时间戳，甚至明文密码。” 作为应对，Guardio也同步发布了首个“VibeScamming基准测试”版本，用于全面评估各类生成式AI模型在钓鱼攻击流程中的抗滥用能力。测试结果显示，ChatGPT得分8分（满分10分），Claude为4.3，而Lovable仅为1.8，显示其极高的可被利用性。 Tal总结道：“ChatGPT虽然是最强大的通用模型，但在防范越狱方面也最为谨慎。相较之下，Claude起初表现出较强的抵抗，但在被套上‘伦理’或‘安全研究’的框架后，很快就会给出详细的操作建议。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 臭名昭著的高级持续性威胁（APT）组织ToddyCat近期采用了一种复杂的攻击策略，通过利用ESET命令行扫描器中的安全漏洞，将恶意代码悄无声息地植入目标系统。 该漏洞现已编号为CVE-2024-11859。攻击者借此得以在受信任的安全软件环境中执行恶意负载，从而绕过安全监测工具的检测。 2024年初，调查人员在多台被入侵设备的临时目录中发现名为“version.dll”的可疑文件。进一步分析确认，这些文件是一个名为TCESB的复杂攻击工具的组成部分，专为规避安全机制与监控系统而开发。 这一工具此前未在ToddyCat的武器库中出现过，其主要利用了ESET命令行扫描器（ecls）在加载DLL文件时的安全缺陷。ESET已将该问题注册为CVE-2024-11859，并于2025年1月21日发布补丁，随后于4月4日发布安全公告。 漏洞利用链的技术分析 卡巴斯基的报告指出，攻击者使用了MITRE ATT&CK框架中T1574类别的技术——DLL代理（DLL Proxying），借此执行恶意代码。TCESB工具导出所有合法version.dll文件的函数接口，但在后台重定向调用至原始DLL的同时执行恶意操作。 该漏洞利用了ESET命令行扫描器的不安全加载机制：该程序在查找version.dll时会优先搜索当前目录，再搜索系统目录。因此，攻击者可以将恶意DLL文件伪装为version.dll，从而被程序优先加载。 分析还显示，TCESB基于开源工具EDRSandBlast修改而来，在其功能上进行了拓展。恶意程序可修改Windows内核结构，禁用关键系统事件（如进程创建）的通知机制。 为了进一步提升隐蔽性，TCESB还采用了“自带易受攻击驱动程序”（BYOVD，T1211）的方式，使用存在CVE-2021-36276漏洞的Dell驱动程序DBUtilDrv2.sys，在内核层执行高权限操作。 负载执行机制 该工具实现了一个复杂的负载执行系统，每隔两秒检查当前目录中是否存在名为“kesp”或“ecore”的特定文件。一旦发现，便使用AES-128加密算法进行解密，解密密钥则存储在载荷文件的前32字节内。 这一多阶段执行机制展现了ToddyCat在作战安全性方面的高度专业性。攻击者确保仅在渗透成功后才部署真正的负载，有效提升了攻击的隐蔽性和持久性。 安全专家建议：应重点监控系统中涉及使用已知漏洞驱动程序的安装行为。资源平台如loldrivers项目可用于识别这类驱动。同时，还应监测Windows系统中内核调试符号加载事件，尤其是在无需进行内核调试的设备上。 这一事件再次凸显出高级威胁行为者战术的不断演进：他们甚至能够利用受信任的安全软件，长期、隐蔽地控制目标系统。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，一种新型Mirai僵尸网络引发了针对TVT NVMS9000数字视频录像机（DVR）的大规模漏洞利用激增。该攻击潮在2025年4月3日达到高峰，当天共检测到超过2500个独立IP地址在扫描易受攻击的设备。 攻击者利用的是一个信息泄露漏洞，该漏洞最早由SSD Advisory于2024年5月披露，详细公开了通过单一TCP数据包获取管理员明文凭证的完整利用方法。该漏洞可绕过认证机制，使攻击者无需权限即可执行设备上的管理命令。 根据威胁监测平台GreyNoise的监测结果，这一波攻击极可能与基于Mirai的恶意软件有关，其目的是将受感染设备纳入其僵尸网络中。这些被感染的设备通常会被用来代理恶意流量、进行加密货币挖矿，或发起分布式拒绝服务（DDoS）攻击。 在过去一个月内，GreyNoise记录了6600个与该活动相关的独立IP地址，全部被确认为恶意且无法伪造。其中，大多数攻击来源于台湾地区、日本和韩国，而受攻击的设备则主要集中在美国、英国和德国。 TVT NVMS9000是由中国深圳的TVT数字技术有限公司生产的一款数字视频录像机，主要用于安防监控系统中对视频画面进行录制、存储和管理。由于这些DVR设备通常联网使用，因此历来是各种僵尸网络攻击的重点目标，有些漏洞甚至已存在长达五年之久。 近期曾攻击DVR设备的其他僵尸网络还包括HiatusRAT、Mirai和FreakOut。根据SSD发布的建议，用户应尽快将固件升级至1.3.4版本或更高版本以修复漏洞。如无法升级，建议限制DVR设备的公网访问权限，并屏蔽GreyNoise列出的恶意IP地址的入站请求。 感染Mirai僵尸网络的DVR设备通常会表现出异常网络流量激增、运行缓慢、频繁死机或重启、空闲时CPU或内存占用高以及配置被篡改等迹象。如发现上述情况，应立即断开设备连接，执行出厂重置，更新至最新固件，并将其与主网络隔离。 值得注意的是，NVMS9000的最新固件发布时间为2018年，目前尚不清楚该系列设备是否仍在厂商支持范围内。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 警告 Windows 用户更新 WhatsApp 消息应用至最新版本，以修复一个可让攻击者在设备上执行恶意代码的漏洞。 该漏洞被描述为一个欺骗问题，追踪编号为 CVE-2025-30401，攻击者可通过向潜在目标发送带有篡改文件类型的恶意文件来利用此安全漏洞。 Meta 表示，该漏洞影响了所有 WhatsApp 版本，并已通过发布 WhatsApp 2.2450.6 修复。 “在 WhatsApp for Windows 版本 2.2450.6 之前，附件会根据其 MIME 类型显示，但选择文件打开处理程序是基于附件的文件名扩展名，”WhatsApp 在周二的公告中解释道。“恶意构造的不匹配可能导致收件人在 WhatsApp 内手动打开附件时，意外执行任意代码而非查看附件。” Meta 表示，一位外部研究人员通过 Meta Bug Bounty 提交发现了该漏洞。该公司尚未分享 CVE-2025-30401 是否在野外被利用的信息。 2024 年 7 月，WhatsApp 解决了一个类似的问题，即当收件人在安装了 Python 的 Windows 设备上打开时，Python 和 PHP 附件可在无警告的情况下执行。 常被间谍软件攻击的目标 最近，在多伦多大学公民实验室的安全研究人员报告后，WhatsApp 还修复了一个被利用来安装 Paragon Graphite 间谍软件的零点击、零日安全漏洞。 该公司表示，去年年底已解决了攻击向量，“无需客户端修复”，并在“审查了 MITRE 发布的 CVE 指南和自身的内部政策后”决定不分配 CVE 编号。 1 月 31 日，在服务器端缓解了安全问题后，WhatsApp 通知了来自 20 多个国家的约 90 名 Android 用户，包括意大利记者和活动家，他们成为了使用零点击漏洞的 Paragon 间谍软件攻击的目标。 去年 12 月，美国联邦法官裁定，以色列间谍软件制造商 NSO Group 利用 WhatsApp 零日漏洞在至少 1,400 台设备上部署了 Pegasus 间谍软件，从而违反了美国的黑客法律。 法院文件显示，NSO 据称利用多个零日漏洞通过 WhatsApp 漏洞部署 Pegasus 间谍软件，其开发人员还逆向工程了 WhatsApp 的代码，以创建发送恶意消息的工具，从而安装间谍软件，违反了联邦和州法律。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复一个已知问题，该问题导致在使用 Kerberos PKINIT 预认证安全协议的系统上启用 Credential Guard 时出现认证问题。 据微软称，这些认证问题影响了客户端（Windows 11 24H2 版本）和服务器（Windows Server 2025）平台，尽管仅在一些特殊场景中出现。 在受影响的系统上，用户遇到问题，因为当使用身份更新管理器证书/预引导密钥初始化（PKINIT）协议时，密码未能正确轮换。 然而，由于 Kerberos 认证通常用于企业终端，因此家庭设备可能不受此已知问题的影响。 “由于这个问题，设备无法按照默认的 30 天间隔更改密码。由于这种失败，设备被视为过期、禁用或已删除，导致用户认证问题，”微软在 Windows 发布健康仪表板更新中解释道。 “运行 Windows 家庭版的设备不太可能受到此问题的影响，因为 Kerberos 认证通常用于企业环境中，在个人或家庭设置中并不常见。” 微软表示，该问题已在 2025 年 4 月的 Windows 安全更新中得到修复，适用于 Windows 11 24H2 和 Windows Server 2025。然而，它还补充说，在找到永久解决方案之前，已禁用 Credential Guard 中依赖 Kerberos 密码轮换的机器账户。 “我们建议您为您的设备安装最新的更新，因为它包含重要的改进和问题解决，包括此问题，”该公司表示。 2022 年 11 月，微软发布了紧急带外（OOB）更新，以修复另一个导致企业 Windows 域控制器上 Kerberos 登录失败和各种其他认证问题的已知问题。 它还在 2021 年 11 月解决了与 Windows Server 上 Kerberos 委托场景相关的认证失败问题，并在一年前解决了影响运行 Windows 2000 及更高版本的域连接设备的类似 Kerberos 认证问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将最近披露的一个影响 CrushFTP 的严重安全漏洞添加到其已知被利用漏洞（KEV）目录中，此前有报告显示该漏洞在野外被积极利用。 该漏洞是一个身份验证绕过漏洞，可能允许未认证的攻击者接管易受攻击的实例。该漏洞已在版本 10.8.4 和 11.3.1 中修复。 “CrushFTP 在 HTTP 授权头中存在身份验证绕过漏洞，允许远程未认证的攻击者认证到任何已知或可猜测的用户账户（例如 crushadmin），可能导致完全被攻陷，”CISA 在一份公告中表示。 该漏洞已被分配了 CVE 编号 CVE-2025-31161（CVSS 评分：9.8）。值得注意的是，同一漏洞之前被追踪为 CVE-2025-2825，但现在已在 CVE 列表中被标记为拒绝。 这一进展是在与该漏洞相关的披露过程陷入争议和混乱之后发生的，VulnCheck 作为 CVE 编号机构（CNA），分配了一个编号（即 CVE-2025-2825），而实际的 CVE（即 CVE-2025-31161）则一直悬而未决。 Outpost24 负责任地向供应商披露了该漏洞，并澄清说，它在 2025 年 3 月 13 日向 MITRE 请求了一个 CVE 编号，并且正在与 CrushFTP 协调，以确保在 90 天的披露期内推出修复措施。 然而，直到 3 月 27 日，MITRE 才将该漏洞分配为 CVE-2025-31161，而此时 VulnCheck 已经发布了自己的 CVE，且在发布前未联系“CrushFTP 或 Outpost24 以查看是否已经有负责任的披露流程正在进行中。” VulnCheck 方面批评 MITRE 拒绝 CVE-2024-2825 并发布了 CVE-2025-31161，同时指责 CrushFTP 试图掩盖该漏洞。 “CrushFTP, LLC 发布了一则公告，但故意要求在 90 天内不发布 CVE，实际上试图将该漏洞对安全社区和防御者隐瞒，”VulnCheck 安全研究员 Patrick Garrity 在 LinkedIn 的一篇帖子中表示。 “更糟糕的是，MITRE 似乎优先考虑其在编写过程中的参与，而不是及时披露一个在野外被积极利用的漏洞。这开创了一个危险的先例。” 这家瑞典网络安全公司随后发布了触发该漏洞利用的分步说明，但没有透露太多技术细节： 生成一个至少 31 个字符长度的随机字母数字会话令牌 设置一个名为 CrushAuth 的 cookie，其值为步骤 1 中生成的值 设置一个名为 currentAuth 的 cookie，其值为步骤 1 中生成值的最后 4 个字符 使用步骤 2 和 3 中的 cookie 以及将 Authorization 头设置为“AWS4-HMAC=<username>/”（其中 <username> 是要登录的用户，例如 crushadmin）对目标 /WebInterface/function/ 执行 HTTP GET 请求 这些操作的最终结果是，最初生成的会话将作为选定用户进行认证，允许攻击者执行该用户有权执行的任何命令。 Huntress 重新创建了 CVE-2025-31161 的概念验证，并表示在 2025 年 4 月 3 日观察到 CVE-2025-31161 在野外被利用，并发现了进一步的后续攻击活动，包括使用 MeshCentral 代理和其他恶意软件。有证据表明，攻陷可能早在 3 月 30 日就已发生。 这家网络安全公司表示，到目前为止，已观察到针对四家不同公司的四个不同主机的攻击，其中三家受影响的公司由同一家托管服务提供商（MSP）托管。受影响公司的名称未被披露，但它们属于营销、零售和半导体行业。 发现威胁行为者利用该访问权限安装了诸如 AnyDesk 和 MeshAgent 等合法远程桌面软件，同时在至少一个实例中采取措施收集凭证。 在部署 MeshAgent 后，据说攻击者将一个非管理员用户（“CrushUser”）添加到本地管理员组，并交付了另一个 C++ 二进制文件（“d3d11.dll”），这是开源库 TgBot 的一种实现。 “很可能威胁行为者正在利用 Telegram 机器人从受感染的主机收集遥测数据，”Huntress 研究人员表示。 截至 2025 年 4 月 6 日，共有 815 个未修补的实例容易受到该漏洞的影响，其中 487 个位于北美，250 个在欧洲。鉴于该漏洞正在被积极利用，联邦民用行政分支（FCEB）机构必须在 4 月 28 日之前应用必要的补丁以保护其网络。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）揭示了一组针对乌克兰机构的新网络攻击，这些攻击使用信息窃取恶意软件。 该机构表示，这些活动针对军事单位、执法机构以及地方自治机构，尤其是那些位于乌克兰东部边境附近的机构。 这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格（XLSM）的网络钓鱼电子邮件，当打开时，会部署两种恶意软件：一种是从 PSSW100AVB（“100% 绕过杀毒软件的 PowerShell 脚本”）GitHub 仓库中获取的 PowerShell 脚本，用于开启反向 shell，以及一个以前未被记录的窃密程序，名为 GIFTEDCROOK。 “文件名和电子邮件主题行涉及诸如排雷、行政罚款、无人机生产以及被毁财产赔偿等敏感问题，”CERT-UA 表示。 “这些电子表格包含恶意代码，当用户打开文档并启用宏时，会自动转变为恶意软件并在用户不知情的情况下执行。” GIFTEDCROOK 用 C/C++ 编写，可从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中窃取敏感数据，如 cookie、浏览历史和认证数据。 这些电子邮件消息是从被攻陷的账户发送的，通常是通过电子邮件客户端的 Web 界面发送，以使消息看起来具有合法性，并诱使潜在受害者打开文档。CERT-UA 将此活动归因于威胁群组 UAC-0226，尽管它尚未与特定国家相关联。 这一进展正值一个疑似与俄罗斯有关联的间谍活动者 UNC5837 被与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动相关联。 “该活动使用了签名的 .RDP 文件附件，以从受害者的机器建立远程桌面协议（RDP）连接，”Google 威胁情报小组（GTIG）表示。 “与通常关注交互会话的 RDP 攻击不同，此次攻击创造性地利用了资源重定向（将受害者文件系统映射到攻击者服务器）和 RemoteApps（向受害者呈现攻击者控制的应用程序）。” 值得注意的是，RDP 活动之前已在 2024 年 10 月由 CERT-UA、亚马逊网络服务和微软记录，并在 12 月由 Trend Micro 记录。CERT-UA 正在追踪名为 UAC-0215 的活动，而其他公司则将其归因于俄罗斯国家赞助的黑客组织 APT29。 此次攻击还值得注意，因为它可能使用了一个名为 PyRDP 的开源工具来自动化恶意活动，如文件外泄和剪贴板捕获，包括可能敏感的数据如密码。 “此次活动可能使攻击者能够读取受害者的驱动器、窃取文件、捕获剪贴板数据（包括密码），并获取受害者环境变量，”GTIG 在周一的报告中表示。“UNC5837 的主要目标似乎是间谍活动和文件窃取。” 近几个月来，还观察到网络钓鱼活动使用假的 CAPTCHA 和 Cloudflare Turnstile 来分发 Legion Loader（又名 Satacom），然后作为渠道投放一个名为“保存到 Google Drive”的恶意 Chromium 基浏览器扩展。 “初始载荷通过驱动器下载感染传播，始于受害者搜索特定文档并被引诱到恶意网站，”Netskope 威胁实验室表示。“下载的文档包含一个 CAPTCHA，一旦受害者点击，就会将其重定向到 Cloudflare Turnstile CAPTCHA，然后最终重定向到通知页面。” 该页面提示用户允许在该网站上接收通知，之后受害者被重定向到第二个 Cloudflare Turnstile CAPTCHA，完成后再重定向到一个提供 ClickFix 风格指导以下载他们所需文档的页面。 实际上，此次攻击为 MSI 安装程序文件的交付和执行铺平了道路，该文件负责启动 Legion Loader，后者又执行一系列步骤来下载和运行临时 PowerShell 脚本，最终将恶意浏览器扩展添加到浏览器中。 PowerShell 脚本还会终止浏览器会话以启用扩展，打开设置中的开发者模式，然后重新启动浏览器。最终目标是捕获各种敏感信息并将其外泄给攻击者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文