HackerNews

HackerNews 编译，转载请注明出处： 日本国家警察厅（NPA）和国家网络安全战略中心（NISC）发布安全通告，警告针对日本组织的高级持续性威胁（APT）攻击活动。 此次攻击由“MirrorFace”组织实施，该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作，同时规避宿主系统上的安全检测。 攻击者使用了经过修改的开源远程访问木马（RAT）Lilith RAT，命名为 “LilimRAT”，该恶意软件专门针对 Windows Sandbox 运行环境进行优化。 Windows Sandbox 作为独立的虚拟环境，与宿主系统隔离。MirrorFace 组织正是利用这一特性，在受感染系统上保持持久性，同时减少攻击痕迹，降低被发现的可能性。 据 ITOCHU Cyber & Intelligence 研究人员分析，该恶意软件包含专门的代码，用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在，这是 Windows Sandbox 默认的用户配置。 如果 WDAGUtilityAccount 文件夹未被检测到，恶意软件会立即终止运行。代码示例如下：   FileAttributesA = GetFileAttributesA(“C:\\Users\\WDAGUtilityAccount”); if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0) {     c_GetModuleFileNameA();     c_WSAStartup();     v29 = 1;     // 其他初始化代码 } 攻击者首先在目标系统上启用 Windows Sandbox（默认情况下该功能是禁用的），并创建自定义的 Windows Sandbox 配置文件（WSB）。然后，在这个隔离环境中执行恶意软件，以避免安全工具的检测。 完整的攻击流程包括： 在受感染主机上放置三个关键文件： 批处理脚本（.bat） 压缩工具 包含恶意软件的存档文件 创建 Windows Sandbox 配置文件（WSB），其中包含： 启用网络连接 在宿主系统和沙箱之间共享文件夹 设定在 Windows Sandbox 启动时自动执行命令 WSB 配置示例如下：   <Configuration>     <Networking>Enable</Networking>     <MappedFolders>         <MappedFolder>             <HostFolder>C:\{Host-side folder}</HostFolder>             <SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>             <ReadOnly>false</ReadOnly>         </MappedFolder>     </MappedFolders>     <LogonCommand>         <Command>C:\{Sandbox-side folder}\{random}.bat</Command>     </LogonCommand>     <MemoryInMB>1024</MemoryInMB> </Configuration>   通过此配置，恶意软件可在 Windows Sandbox 内部运行，同时仍可访问宿主系统的文件。 攻击流程启动后，批处理文件会提取档案并安排任务来执行恶意软件。 然后，恶意软件通过 Tor 网络与命令和控制服务器建立通信，以掩盖其活动。 这次攻击之所以特别隐蔽，是因为 Windows Sandbox 默认禁用了 Windows Defender，这就为攻击者提供了一个无安全威胁的操作环境。 此外，当 Windows Sandbox 以 SYSTEM 权限通过任务调度程序启动时，它会在后台运行而不显示窗口，这使得检测更具挑战性。 安全专家建议，除非特别需要，否则应禁用 Windows Sandbox，监控相关进程，限制管理权限，并实施 AppLocker 策略，以防止在企业环境中未经授权执行 Windows Sandbox。 消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员发现，一款名为“KoSpy”的新型安卓间软件谍与朝鲜威胁组织有关联，该组织已通过至少五个恶意应用渗透至谷歌应用商店和第三方应用商店APKPure。 Lookout研究人员表示，这款间谍软件归属于朝鲜威胁组织APT37（又名“ScarCruft”）。自2022年3月起，这一行动便已启动，且威胁组织一直在积极开发该恶意软件，以更新样本。 该间谍软件行动主要针对韩语和英语用户，通过伪装成文件管理器、安全工具和软件更新程序来实施攻击。 Lookout确定的五款应用为：휴대폰 관리자（手机管理器）、File Manager（文件管理器，包名com.file.exploer）、스마트 관리자（智能管理器）、카카오 보안（Kakao安全）和Software Update Utility（软件更新工具）。   这些恶意应用至少提供部分承诺的功能，但在后台加载KoSpy间谍软件。唯一例外的是Kakao Security，它仅显示一个虚假的系统窗口，同时请求访问高风险权限。 KoSpy应用界面 根据之前与朝鲜行动相关的IP地址、用于分发Konni恶意软件的域名，以及与另一个朝鲜赞助的威胁组织APT43的基础设施重叠情况，该行动被归咎于APT37。 一旦在设备上激活，KoSpy会从Firebase Firestore数据库中检索一个加密的配置文件，以躲避检测。 随后，它连接到实际的命令与控制（C2）服务器，并运行检查以确保它不在模拟器中运行。该恶意软件可以从C2服务器获取更新的设置、额外的可执行有效载荷，并通过一个“开关”动态地激活或停用。 KoSpy的数据收集能力包括： 截获短信和通话记录 实时追踪受害者的GPS位置 读取并窃取本地存储文件 利用设备麦克风录制音频 利用设备摄像头拍摄照片和视频 捕获设备屏幕截图 通过安卓辅助功能服务记录按键操作 每个应用使用独立的Firebase项目和C2服务器进行数据窃取，且数据在传输前使用硬编码的AES密钥进行加密。 尽管这些间谍软件应用已从谷歌应用商店和APKPure下架，但用户需要手动卸载它们，并使用安全工具进行扫描，以彻底清除设备上的任何感染残留。在严重情况下，建议进行出厂重置。 谷歌应用商店保护功能也能阻止已知的恶意应用，因此在已更新的安卓设备上启用该功能有助于抵御KoSpy。 谷歌发言人向BleepingComputer确认，Lookout确定的所有KoSpy应用都已从谷歌应用商店下架，相关的Firebase项目也已关闭。 “使用地区语言表明这是有针对性的恶意软件。在任何用户安装之前，2024年3月发现的最新恶意软件样本已从谷歌应用商店中移除，”谷歌告诉BleepingComputer。 “谷歌应用商店保护会自动保护安装了谷歌应用商店服务的安卓用户，使其免受已知版本的此类恶意软件的侵害，即使应用来自Play商店之外的来源。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Facebook 警告称，FreeType 2.13 及以下版本中的一个漏洞可导致任意代码执行，且该漏洞已被用于攻击。 FreeType 是一个广泛使用的开源字体渲染库，用于显示文本和程序化地将文本添加到图像中。它支持多种字体格式，如 TrueType (TTF)、OpenType (OTF) 等。 该库安装在数百万个系统和服务中，包括 Linux、Android、游戏引擎、GUI 框架和在线平台。 此漏洞编号为 CVE-2025-27363，CVSS v3 评分为 8.1（高危），已在 2023 年 2 月 9 日的 FreeType 2.13.0 版本中修复。 Facebook 昨日披露了这一漏洞，警告称该漏洞在所有 2.13 及以下版本的 FreeType 中均可被利用，并且已有报告显示该漏洞在攻击中被积极利用。 “在 FreeType 2.13.0 及以下版本中，当尝试解析与 TrueType GX 和可变字体文件相关的字体子图结构时，存在越界写入问题，”公告中写道。 “漏洞代码将一个有符号短整型值赋给一个无符号长整型，然后添加一个静态值，导致其回绕并分配过小的堆缓冲区。” “随后，代码会在这个缓冲区的边界外写入多达 6 个有符号长整型，这可能导致任意代码执行。” 尽管 Facebook 可能在某种程度上依赖 FreeType，但尚不清楚其安全团队观察到的攻击是否发生在其平台上，或者他们是在其他地方发现了这些攻击。 鉴于 FreeType 在多个平台上的广泛使用，软件开发者和项目管理员必须尽快升级到 FreeType 2.13.3（最新版本）。 尽管最新易受攻击的版本（2.13.0）已发布两年，但较旧的库版本可能在软件项目中长期存在，因此尽快解决该漏洞至关重要。 BleepingComputer 就此漏洞及其利用方式向 Meta 询问，收到了以下声明： “当我们发现开源软件中的安全漏洞时，会进行报告，因为这有助于增强每个人在线安全，”Facebook 对 BleepingComputer 表示。“我们认为用户希望我们不断探索提高安全性的方法。我们将保持警惕，并致力于保护人们的私人通信。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周二发布安全更新，修复了57个安全漏洞，其中包括6个已在野外被积极利用的零日漏洞。 在这57个漏洞中，6个被评为“严重”，50个为“重要”，1个为“低危”。修复的漏洞中，有23个涉及远程代码执行，22个与权限提升相关。 此外，微软还修复了其基于 Chromium 的 Edge 浏览器中的17个漏洞，其中一个是特定于浏览器的伪造漏洞（CVE-2025-26643，CVSS 评分：5.4）。 6个被积极利用的零日漏洞 CVE-2025-24983（CVSS 评分：7.0）——Windows Win32 内核子系统的 Use-After-Free（UAF）漏洞，允许授权攻击者在本地提升权限。 CVE-2025-24984（CVSS 评分：4.6）——Windows NTFS 信息泄露漏洞，攻击者可通过插入恶意 USB 设备，读取目标设备的部分堆内存。 CVE-2025-24985（CVSS 评分：7.8）——Windows Fast FAT 文件系统驱动的整数溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-24991（CVSS 评分：5.5）——Windows NTFS 越界读取漏洞，允许授权攻击者在本地窃取信息。 CVE-2025-24993（CVSS 评分：7.8）——Windows NTFS 基于堆的缓冲区溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-26633（CVSS 评分：7.0）——Microsoft Management Console（MMC）输入净化不当漏洞，允许未经授权的攻击者本地绕过安全功能。 发现并报告 CVE-2025-24983 的安全公司 ESET 透露，该漏洞最早于2023年3月在野外发现，并通过名为 PipeMagic 的后门程序传播至受感染主机。 ESET 解释称，该漏洞属于 Win32k 驱动中的 Use-After-Free 漏洞，在特定情况下，使用 WaitForInputIdle API 可能导致 W32PROCESS 结构被多次解引用，引发 UAF 攻击。要成功利用该漏洞，攻击者需要在竞争条件中占据优势。 PipeMagic 于2022年首次被发现，这是一种基于插件的木马程序，主要针对亚洲和沙特阿拉伯的目标。2024年底，该恶意软件曾伪装成 OpenAI ChatGPT 应用进行传播。 据卡巴斯基实验室 2024年10月的报告，PipeMagic 生成 16 字节的随机数组，以 \\.\pipe\1.<十六进制字符串> 的格式创建命名管道。该恶意软件会不断创建、读取并销毁该管道，以接收加密载荷和控制信号。通常，PipeMagic 依赖从命令与控制（C2）服务器下载的多个插件，而该服务器托管在微软 Azure 上。 Zero Day Initiative 指出，CVE-2025-26633 源自 MSC 文件处理方式的缺陷，允许攻击者绕过文件信誉保护，并在当前用户环境中执行代码。此漏洞的利用活动与名为 EncryptHub（又称 LARVA-208）的威胁组织有关。 安全公司 Action1 发现，攻击者可以将影响 Windows 核心文件系统的四个漏洞（CVE-2025-24985、CVE-2025-24993、CVE-2025-24984 和 CVE-2025-24991）进行组合利用，从而实现远程代码执行和信息泄露。这四个漏洞均由匿名报告。 Immersive 安全研究高级总监 Kev Breen 解释称，该攻击方法依赖于攻击者构造恶意的 VHD（虚拟硬盘）文件，并诱导用户打开或挂载它。虽然 VHD 主要用于存储虚拟机操作系统，但过去已有攻击者通过 VHD/VHDX 作为钓鱼攻击载体，以绕过杀毒软件检测。 Tenable 研究员 Satnam Narang 指出，CVE-2025-26633 是继 CVE-2024-43572 之后，第二个在野外被利用的 MMC 相关零日漏洞。而 CVE-2025-24985 则是自 2022年3月以来，Windows Fast FAT 文件系统驱动的首个被利用的零日漏洞。 目前尚不清楚这些漏洞的具体利用规模和攻击环境。鉴于其严重性，美国网络安全与基础设施安全局（CISA）已将这些漏洞列入“已知被利用漏洞”（KEV）目录，并要求联邦机构在 2025年4月1日前完成修补。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司 GreyNoise 警告称，针对服务器端请求伪造（SSRF）漏洞的攻击正在多个平台上呈现“协同激增”态势。 “至少有400个IP地址正在同时利用多个SSRF相关的CVE漏洞，且攻击行为之间存在显著重叠。”GreyNoise 表示，该公司在2025年3月9日观察到这一活动。 当前，遭受SSRF漏洞攻击的国家包括美国、德国、新加坡、印度、立陶宛和日本。此外，以色列在2025年3月11日经历了一波显著增长。 以下是被攻击者利用的SSRF漏洞列表： – CVE-2017-0929（CVSS评分：7.5）- DotNetNuke   – CVE-2020-7796（CVSS评分：9.8）- Zimbra Collaboration Suite   – CVE-2021-21973（CVSS评分：5.3）- VMware vCenter   – CVE-2021-22054（CVSS评分：7.5）- VMware Workspace ONE UEM   – CVE-2021-22175（CVSS评分：9.8）- GitLab CE/EE   – CVE-2021-22214（CVSS评分：8.6）- GitLab CE/EE   – CVE-2021-39935（CVSS评分：7.5）- GitLab CE/EE   – CVE-2023-5830（CVSS评分：9.8）- ColumbiaSoft DocumentLocator   – CVE-2024-6587（CVSS评分：7.5）- BerriAI LiteLLM   – CVE-2024-21893（CVSS评分：8.2）- Ivanti Connect Secure   – OpenBMCS 2.4 认证后 SSRF 攻击（无 CVE 编号）   – Zimbra Collaboration Suite SSRF 攻击（无 CVE 编号）   GreyNoise 指出，许多相同的IP地址正在同时针对多个SSRF漏洞，而非集中攻击单一漏洞。这种攻击模式表明，攻击者正在实施结构化的漏洞利用，可能涉及自动化工具或事先的情报收集。 鉴于当前的活跃攻击态势，GreyNoise 建议用户立即安装最新补丁、限制出站连接至必要端点，并密切监测异常的出站请求。 “许多现代云服务依赖内部元数据 API，而一旦SSRF漏洞被利用，攻击者就能访问这些API。”GreyNoise 解释道，“SSRF 可用于绘制内部网络拓扑、定位易受攻击的服务，并窃取云凭据。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名朝鲜黑客组织Lazarus近日被曝在npm（Node包管理器）平台投放6个恶意软件包，目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段，专门针对加密货币敏感信息实施窃取。 网络安全公司Socket研究团队发现，此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI（Python软件包索引）等开发者平台，通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案，创下历史最高纪录。 六大恶意软件包特征   本次发现的恶意软件包均采用”仿冒拼写”策略诱导开发者误装：   1. is-buffer-validator：仿冒流行库is-buffer，实施凭证窃取   2. yoojae-validator：伪装验证工具窃取系统敏感数据   3. event-handle-package：伪装事件处理工具部署远程后门   4. array-empty-validator：窃取系统及浏览器凭证   5. react-event-dependency：伪装React工具植入恶意程序   6. auth-validator：窃取登录凭证与API密钥   据Socket报告披露，这些软件包内嵌的恶意代码具备多重窃取功能，包括劫持Chrome、Brave、Firefox浏览器的登录数据、Cookies及历史记录，窃取macOS系统密钥链信息，针对Solana钱包的id.json文件及Exodus钱包文件实施定向窃取，包括植入朝鲜黑客惯用的”BeaverTail”恶意软件和”InvisibleFerret”后门程序。 目前所有恶意软件包仍存在于npm及GitHub平台。安全专家建议开发者严格审查项目依赖包来源，重点排查开源代码中的混淆代码、非常规服务器连接请求并警惕名称与知名库相似的软件包。 此次事件再次凸显软件供应链安全风险。Lazarus组织自2023年起持续活跃，其攻击范围已覆盖金融、加密货币等多个关键领域。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 CyberArk 称，MassJacker 活动使用了至少 778,531 个加密货币钱包地址，从被攻破的计算机中窃取数字资产。 在分析时，与该操作相关的约 423 个钱包中包含 95,300 美元，但历史数据表明存在更大规模的交易。 此外，还有一个单独的 Solana 钱包，攻击者似乎将其用作中央收款中心，目前已积累了超过 300,000 美元的交易。 CyberArk 怀疑整个 MassJacker 操作与一个特定的威胁组织有关，因为从命令和控制服务器下载的文件名和用于解密文件的加密密钥在整个活动中相同。 然而，该操作仍可能遵循恶意软件即服务模式，中央管理员向不同网络罪犯出售访问权限。 CyberArk 称 MassJacker 是一种加密劫持操作，尽管该词通常与利用受害者处理/硬件资源进行未授权加密货币挖掘有关。 实际上，MassJacker 依赖于剪贴板劫持恶意软件（clippers），这种恶意软件监控 Windows 剪贴板上复制的加密货币钱包地址，并将其替换为攻击者控制的钱包地址。 通过这种方式，受害者在不知情的情况下将资金发送给攻击者，而非他们原本打算发送的对象。 Clippers 结构简单但效果显著，由于功能和操作范围有限，很难被检测到。 技术细节方面，MassJacker 通过 pesktop[.]com 分发，该网站托管盗版软件和恶意软件。 从该网站下载的软件安装程序会执行 cmd 脚本，触发 PowerShell 脚本，获取 Amadey bot 和两个加载程序文件（PackerE 和 PackerD1）。 Amadey 启动 PackerE，后者解密并加载 PackerD1 到内存中。 PackerD1 具有五种嵌入式资源，增强其规避和反分析性能，包括即时（JIT）挂钩、元数据令牌映射以混淆函数调用，以及用于命令解释的自定义虚拟机，而不是运行常规 .NET 代码。 PackerD1 解密并注入 PackerD2，最终解压缩并提取最终有效载荷 MassJacker，并将其注入到合法的 Windows 进程 ‘InstalUtil.exe’ 中。 MassJacker 使用正则表达式模式监控剪贴板上的加密货币钱包地址，如果找到匹配项，就从加密列表中替换为攻击者控制的钱包地址。 CyberArk 呼吁网络安全研究界更深入地研究像 MassJacker 这样的大型加密劫持操作，尽管其造成的财务损失看似较低，但可能揭示许多威胁行为者的宝贵识别信息。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司近日紧急发布安全更新，修复编号为CVE-2025-24201的零日漏洞。该漏洞存在于WebKit跨平台网页浏览器引擎中，影响Safari浏览器及多款运行于macOS、iOS、Linux和Windows系统的应用程序。 “此次更新是对iOS 17.2版本已防御攻击的补充修复。”苹果在周二发布的安全公告中表示，”我们确认该漏洞在iOS 17.2之前版本中，已被用于针对特定人群实施高度复杂的定向攻击。” 经证实，攻击者可通过特制恶意网页内容突破Web内容沙箱限制。目前苹果已通过强化检测机制修复了该越界写入漏洞，相关补丁包含在iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1更新中。 受影响的设备型号包括： – iPhone XS及后续机型 – iPad Pro全系（13英寸/12.9英寸第三代起/11英寸第一代起） – iPad Air第三代起 – iPad第七代起 – iPad mini第五代起 – 运行macOS Sequoia系统的Mac设备 – Apple Vision Pro 苹果暂未透露漏洞发现者信息，也未披露相关攻击行动的具体细节。虽然该漏洞目前主要用于定向攻击，但安全专家强烈建议用户立即更新系统以防范潜在攻击。 这是苹果本年度修复的第三个零日漏洞，此前分别于1月（CVE-2025-24085）和2月（CVE-2025-24200）修复两处漏洞。2024全年苹果共修复6个野外利用漏洞，而2023年漏洞修复量达20个，其中包含： – 11月：CVE-2023-42916、CVE-2023-42917 – 10月：CVE-2023-42824、CVE-2023-5217 – 9月：5个漏洞（CVE-2023-41061等） – 7月：CVE-2023-37450、CVE-2023-38606 – 6月：CVE-2023-32434等3个 – 5月：CVE-2023-32409等3个 – 4月：CVE-2023-28206等2个 – 2月：WebKit漏洞CVE-2023-23529   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一根据在野活跃利用的证据，将影响Advantive VeraCore和Ivanti Endpoint Manager（EPM）的五个安全漏洞添加到了已知被利用漏洞（KEV）目录中。 漏洞列表如下： – CVE-2024-57968：Advantive VeraCore中的无限制文件上传漏洞，允许远程未认证的攻击者通过upload.aspx上传文件到意外的文件夹。 – CVE-2025-25181：Advantive VeraCore中的SQL注入漏洞，允许远程攻击者执行任意SQL命令。 – CVE-2024-13159：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13160：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13161：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 VeraCore漏洞的利用被归因于可能是一个名为XE Group的越南威胁行为者，该组织已被观察到投放反向shell和web shell以维持对受感染系统的持久远程访问。 另一方面，目前没有公开报告说明三个Ivanti EPM漏洞在现实攻击中是如何被利用的。上个月，Horizon3.ai发布了一个概念验证（PoC）利用。这家网络安全公司将它们描述为“凭证强迫”漏洞，可能允许未认证的攻击者危及服务器。 鉴于活跃利用的情况，联邦民用执行分支（FCEB）机构必须在2025年3月31日之前应用必要的补丁。 这一发展正值威胁情报公司GreyNoise警告CVE-2024-4577的大规模利用，这是一个影响PHP-CGI的严重漏洞，攻击活动激增，针对日本、新加坡、印度尼西亚、英国、西班牙和印度。 “过去30天内针对CVE-2024-4577的IP中，超过43%来自德国和中国，”GreyNoise表示，并补充说，它“检测到2月份针对多个国家网络的协调性利用尝试激增，表明对易受攻击目标的额外自动化扫描。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国台湾地区公司摩莎（Moxa）发布了一项安全更新，以解决其PT交换机中的一个关键安全漏洞，该漏洞可能允许攻击者绕过认证。 该漏洞被追踪为CVE-2024-12297，CVSS v4评分为9.2（满分10.0）。 摩莎在上周发布的一份咨询报告中表示：“由于授权机制中的缺陷，多款摩莎PT交换机容易出现认证绕过漏洞。” “尽管有客户端和后端服务器验证，但攻击者可以利用其实现中的漏洞。该漏洞可能使暴力破解攻击得以进行，以猜测有效凭证，或者利用MD5冲突攻击伪造认证哈希，从而可能危及设备的安全。” 成功利用这一漏洞，可能会导致认证绕过，允许攻击者获得未经授权的访问权限，进入敏感配置或中断服务。 受影响的版本包括： – PT-508系列（固件版本3.8及更早版本） – PT-510系列（固件版本3.8及更早版本） – PT-7528系列（固件版本5.0及更早版本） – PT-7728系列（固件版本3.9及更早版本） – PT-7828系列（固件版本4.0及更早版本） – PT-G503系列（固件版本5.3及更早版本） – PT-G510系列（固件版本6.5及更早版本） – PT-G7728系列（固件版本6.5及更早版本） – PT-G7828系列（固件版本6.5及更早版本） 该漏洞的补丁可通过联系摩莎技术支持团队获得。该公司感谢莫斯科Rosatom自动化控制系统（RASU）的Artem Turyshev报告了这一漏洞。 除了应用最新修复程序外，使用受影响产品的公司还被建议使用防火墙或访问控制列表（ACL）限制网络访问，强制执行网络分段，尽量减少直接暴露于互联网，对访问关键系统实施多因素认证（MFA），启用事件日志记录，并监控网络流量和设备行为以发现异常活动。 值得注意的是，摩莎在2025年1月中旬已经解决了以太网交换机EDS-508A系列（固件版本3.11及更早版本）中的同一漏洞。 这一修复措施是在两个月前摩莎推出其蜂窝路由器、安全路由器和网络安全设备的补丁（CVE-2024-9138和CVE-2024-9140）之后不久，这些补丁可防止权限提升和命令执行。 上个月，摩莎还解决了影响各种交换机的多个高严重性漏洞（CVE-2024-7695、CVE-2024-9404和CVE-2024-9137），可能导致拒绝服务（DoS）攻击或命令执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基在 2024 年观察到，南亚和东南亚、中东和非洲的海事和物流公司成为了被称作 SideWinder 的高级持续性威胁（APT）组织的攻击目标。 这些攻击活动遍布孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南。其他攻击目标还包括南亚和非洲的核电站和核能基础设施，以及电信、咨询、IT 服务公司、房地产代理和酒店。 在看似更广泛地扩展其受害者范围的情况下，SideWinder 还针对了阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体。针对印度的攻击尤为显著，因为之前曾怀疑该威胁行为者来自印度。 “值得注意的是，SideWinder 不断努力改进其工具集，以领先于安全软件的检测，延长在受感染网络中的持续存在，并隐藏在受感染系统中的痕迹，”研究人员 Giampaolo Dedola 和 Vasily Berdnikov 说，他们将其描述为“一个高度先进且危险的对手”。 SideWinder 之前在 2024 年 10 月曾是俄罗斯网络安全公司进行广泛分析的主题，记录了该威胁行为者使用名为 StealerBot 的模块化后利用工具包，从受感染的主机中捕获广泛敏感信息的情况。2024 年 7 月，BlackBerry 也强调了该黑客组织针对海事部门的攻击。 最新的攻击链与之前报告的情况相符，鱼叉式网络钓鱼电子邮件作为渠道，投放利用微软 Office 公式编辑器（CVE-2017-11882）中已知安全漏洞的陷阱文档，以激活多阶段序列，进而使用名为 ModuleInstaller 的 .NET 下载器，最终启动 StealerBot。 卡巴斯基表示，一些诱饵文档与核电站和核能机构有关，而其他文档则包含提及海事基础设施和各个港口当局的内容。 “他们不断监测其工具集被安全解决方案检测到的情况，”卡巴斯基说，“一旦他们的工具被识别，他们会在不到五小时的时间内生成新的恶意软件版本。” “如果出现行为检测，SideWinder 会尝试更改用于维持持续性和加载组件的技术。此外，他们还会更改恶意文件的名称和路径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Cato CTRL 团队的新发现，未修复的 TP-Link Archer 路由器已成为一个新的僵尸网络活动的目标，该活动被称为 Ballista。 “该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389），通过互联网自动传播自身。” 安全研究员 Ofek Vardi 和 Matan Mittelman 在与 The Hacker News 共享的技术报告中表示。 CVE-2023-1389 是影响 TP-Link Archer AX-21 路由器的高严重性安全漏洞，可能导致命令注入，从而为远程代码执行铺平道路。 最早利用该漏洞的证据可以追溯到 2023 年 4 月，当时未知的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那以后，它还被用来传播 Condi 和 AndroxGh0st 等其他恶意软件家族。 Cato CTRL 表示，他们于 2025 年 1 月 10 日检测到了 Ballista 活动，最近一次利用尝试记录在 2 月 17 日。 攻击序列涉及使用恶意软件投放器，一个名为 “dropbpb.sh” 的 shell 脚本，设计用于在目标系统上获取并执行适用于各种系统架构（如 mips、mipsel、armv5l、armv7l 和 x86_64）的主要二进制文件。 一旦执行，恶意软件会在 82 端口建立加密的命令和控制（C2）通道，以控制设备。 “这允许运行 shell 命令以进行进一步的远程代码执行和拒绝服务（DoS）攻击。” 研究人员表示，“此外，恶意软件还会尝试读取本地系统上的敏感文件。” Ballista 僵尸网络 支持的一些命令包括： flooder，触发洪水攻击 exploiter，利用 CVE-2023-1389 漏洞 start，与 exploiter 一起使用的可选参数，用于启动模块 close，停止触发功能的模块 shell，在本地系统上运行 Linux shell 命令 killall，用于终止服务 此外，它能够在执行开始时终止之前的实例并擦除自身存在。它还设计用于通过尝试利用该漏洞传播到其他路由器。 使用 C2 IP 地址位置（2.237.57[.]70）和恶意软件二进制文件中存在意大利语字符串，表明涉及未知的意大利威胁行为者，网络安全公司表示。 尽管如此，似乎该恶意软件正在积极开发中，因为该 IP 地址已不再有效，并且存在一个新的投放器变体，使用 TOR 网络域而不是硬编码的 IP 地址。 在攻击面管理平台 Censys 上的搜索显示，超过 6000 台设备被 Ballista 感染。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。 该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务和科技组织。 “虽然这个恶意软件样本与其他僵尸网络有相似之处，但它仍然与广泛使用的 Mirai 和 Mozi 僵尸网络不同。” 研究人员表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 Blind Eagle 的威胁行为者自 2024 年 11 月以来，与一系列针对哥伦比亚机构和政府实体的持续攻击活动有关。 “监控到的攻击活动针对哥伦比亚司法机构以及其他政府或私人组织，感染率很高。” Check Point 在一项新分析中表示。 “在 2024 年 12 月 19 日左右进行的一次攻击活动中，超过 1600 名受害者受到影响。考虑到 Blind Eagle 的定向 APT 方法，这一感染率非常显著。” 自 2018 年以来一直活跃的 Blind Eagle ，也被称为 AguilaCiega、APT-C-36 和 APT-Q-98。它以对南美实体，特别是哥伦比亚和厄瓜多尔的超针对性攻击而闻名。 该威胁行为者策划的攻击链涉及使用社会工程学手段，通常以鱼叉式网络钓鱼电子邮件的形式，获取对目标系统的初始访问权限，并最终投放现成的远程访问木马，如 AsyncRAT、NjRAT、Quasar RAT 和 Remcos RAT。 最新的入侵行为因三个原因而引人注目：使用了针对微软 Windows 漏洞（CVE-2024-43451）的变种利用，采用了新兴的 “打包即服务”（PaaS）HeartCrypt，以及通过 Bitbucket 和 GitHub 分发有效载荷，超越了谷歌硬盘和 Dropbox。 具体来说，HeartCrypt 用于保护恶意可执行文件，这是 PureCrypter 的一个变种，然后负责启动托管在现已被删除的 Bitbucket 或 GitHub 存储库上的 Remcos RAT 恶意软件。 CVE-2024-43451 指的是微软在 2024 年 11 月修复的 NTLMv2 哈希泄露漏洞。据 Check Point 称，盲鹰在补丁发布后仅六天就将其变种纳入攻击武器库，导致毫无戒心的受害者在手动点击通过网络钓鱼电子邮件分发的恶意.URL 文件时推进感染。 “虽然这个变种实际上并不会暴露 NTLMv2 哈希，但它会通知威胁行为者文件是由同一异常用户文件交互下载的。” 这家网络安全公司表示。 “在易受 CVE-2024-43451 影响的设备上，即使在用户手动与文件交互之前，也会触发 WebDAV 请求，表现出同样的异常行为。同时，在已打补丁和未打补丁的系统上，手动点击恶意.URL 文件会启动下一阶段有效载荷的下载和执行。” Check Point 指出，这种 “快速反应” 有助于突出该组织的技术专长以及其在面对不断演变的安全防御时适应和追求新攻击方法的能力。 作为威胁行为者起源的铁证，GitHub 存储库显示该威胁行为者在 UTC-5 时区运营，与南美多个国家一致。 不仅如此，似乎出现了一次操作失误，对存储库提交历史的分析发现了一个包含 1634 个唯一电子邮件地址的账户密码对文件。 尽管名为 “Ver Datos del Formulario.html” 的 HTML 文件于 2025 年 2 月 25 日从存储库中删除，但发现它包含与个人、政府机构、教育机构和在哥伦比亚运营的企业相关的详细信息，如用户名、密码、电子邮件、电子邮件密码和 ATM PIN 码。 “其成功的关键因素之一是能够利用合法的文件共享平台，包括谷歌硬盘、Dropbox、Bitbucket 和 GitHub，使其能够绕过传统安全措施并秘密分发恶意软件。” Check Point 表示。 “此外，其使用地下犯罪软件工具如 Remcos RAT、HeartCrypt 和 PureCrypter 加强了其与网络犯罪生态系统的深厚联系，提供了访问 sophisticated 逃避技术和持续访问方法的途径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本电信巨头 NTT 近日遭遇数据泄露事件，波及近 1.8 万家企业的客户信息。 2 月 5 日，NTT 安全团队在其“订单信息分发系统”中检测到可疑活动，并立即限制了对设备 A 的访问。根据公司发布的数据泄露通知，2 月 5 日 NTT 通信公司（NTT Com）发现其设施遭到了非法访问，并于 2 月 6 日确认部分信息可能已经泄露（以下简称“事件”）。公司表示：“通过内部调查，我们发现存储在内部系统（即订单信息分发系统 *1）中的部分企业客户服务信息可能已经外泄。请注意，个人客户的服务信息未包含在内。” 进一步调查显示，2 月 15 日还发现了另一台设备的未授权访问，该公司随后封锁了该设备。调查结果显示，此次事件共泄露了 17,891 家企业的数据，公司将通知受影响客户。 可能泄露的信息包括合同编号、客户名称（合同名称）、客户联系人姓名、电话号码、电子邮件地址、地址及与服务使用相关的信息。不过，事件并未涉及 NTT Docomo 直接提供的企业智能手机和移动电话合同。 NTT 表示将加强安全措施，提高服务质量，并在保护客户隐私的前提下及时披露最新进展。这并非 NTT 首次遭遇数据泄露。2020 年 5 月，NTT 通信公司曾披露一起数据泄露事件，影响了数百名客户。 当时，公司在 5 月 7 日发现部分系统遭到未授权访问后启动调查，并于几天前确认攻击者可能窃取了部分信息。根据当时的数据泄露通知，NTT Com 在 5 月 7 日检测到攻击者对其设备的未授权访问，并于 5 月 11 日确认部分信息可能已经外泄。 NTT Com 的专家最初在一台 Active Directory 服务器上发现了可疑活动，随后发现攻击者入侵了一台运营服务器和一台存储客户信息的信息管理服务器。内部调查显示，攻击者最初瞄准了一台位于新加坡的服务器，然后利用其进行横向移动，进而渗透到日本的基础设施。 针对该事件，公司关闭了受影响的服务器，以防止恶意软件传播并与外部服务器通信。据 NTT 称，此次安全漏洞可能影响 621 家公司的信息，这些信息均存储在该信息管理服务器上。公司还宣布，已采取额外措施以防止未来发生类似攻击。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的 Python JSON Logger 库中披露的一个漏洞，通过依赖链缺陷，暴露了约 4300 万个安装，使其面临潜在的远程代码执行（RCE）攻击风险。该漏洞编号为 GHSA-wmxh-pxcx-9w24，CVSS v3 严重程度评分为 8.8/10，源于一个未注册的依赖项（”msgspec-python313-pre”），攻击者可能利用它劫持软件包安装。 安全研究员 Omnigodz 发现，攻击者可能利用此漏洞在使用受影响版本（3.2.0 和 3.2.1）日志工具的系统中执行任意代码。维护者在研究员通过 GitHub 安全咨询程序负责任地披露问题后，发布了修复版本 3.3.0。 该漏洞是一个典型的依赖混淆攻击案例，攻击者利用软件供应链中的漏洞。Python JSON Logger 的 pyproject.toml 配置文件包含一个名为 msgspec-python313-pre 的可选开发依赖项，用于 Python 3.13 兼容性。然而，由于原始维护者删除了该包，其名称在 PyPI 上未注册，形成了命名空间真空。 如 Omnigodz 的概念验证研究所示，任何 PyPI 用户都可以声明被遗弃的包名并发布恶意代码。当开发者在 Python 3.13 环境中通过 pip install python-json-logger[dev] 安装日志记录器的开发依赖项时，包管理器会自动获取攻击者控制的 msgspec-python313-pre（如果存在于公共存储库中）。研究人员通过临时注册一个良性版本的包（v0.0.0.1）确认了这一攻击路径，但没有证据表明在漏洞窗口期间发生了恶意利用。 根据 PyPI 的 BigQuery 计量，Python JSON Logger 每月下载量超过 4600 万次，其广泛采用放大了此漏洞的潜在影响。成功利用该漏洞将通过 RCE 能力授予攻击者完整的系统控制权，根据 CVSS 计量标准，这将危及机密性、完整性和可用性。这种攻击只需要较低的复杂度——只需在 PyPI 上发布一个恶意包——但取决于受害者是否在启用了开发依赖项的情况下使用 Python 3.13，这在 CI/CD 管道和开发人员工作站中是一种常见配置。 值得注意的是，尽管一个月前的缓解提交（1ce81a3）从项目的源代码中移除了有问题的依赖项，但该漏洞仍然存在。因为这个修复直到 3.3.0 版本才被包含在官方的 PyPI 发布中，所以所有使用标准包管理流程的安装仍然处于脆弱状态。这凸显了在开源维护周期中，将存储库更新与 PyPI 包发布同步的关键需求。 Python JSON Logger 的维护者通过两项并行措施解决了该漏洞： 发布了 v3.3.0，完全消除了 msgspec-python313-pre 依赖项。 与 Omnigodz 协调转移了争议软件包名称的所有权，有效防止了命名空间劫持。 安全团队建议立即使用 pip install –upgrade python-json-logger==3.3.0 升级至 v3.3.0。无法立即更新的组织应审核其 Python 环境。 “开发人员必须将依赖项视为攻击面，”Omnigodz 在他们的会议论文中指出，“特别是那些可选的依赖项，尽管具有完整的执行权限，但它们经常逃脱安全扫描器的检测。” 根据 ESET 的 2025 年威胁报告显示，供应链攻击正以每年 78% 的速度增长。该漏洞突出了 Python 生态系统在平衡可用性和安全性方面面临的持续挑战。尽管尚未有任何数据泄露事件与此具体漏洞相关联，但其发现促使主要开源社区重新审视依赖管理实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024 年，通过谷歌的漏洞赏金计划（VRP），660 名安全研究员因报告安全漏洞共获得了近 1200 万美元的赏金。 谷歌在去年对 VRP 的奖励结构进行了改革，将单笔最高奖励提升至 151515 美元，而移动 VRP 为顶级应用的关键漏洞提供高达 300000 美元的奖励（对于特别高质量的报告，最高奖励可达 450000 美元）。 去年 7 月，云 VRP 将顶级奖励金额最高上调了五倍，而 Chrome 安全漏洞的赏金如今也已超过 250000 美元。 去年，谷歌还将 MiraclePtr 绕过漏洞的赏金从 100115 美元提高到 250128 美元，翻了一倍多。此外，2023 年 10 月推出的 kvmCTF 新漏洞赏金计划，旨在提升基于内核的虚拟机（KVM）管理程序的安全性，为完整的虚拟机逃逸漏洞提供 250000 美元的赏金。 谷歌表示，自 2010 年首个漏洞赏金计划启动以来，已累计发放 6500 万美元的漏洞赏金，而去年的最高单笔奖励超过 110000 美元。 2024 年，谷歌向 137 名 Chrome VRP 研究员发放了 340 万美元，以奖励他们报告的 137 个有效 Chrome 安全漏洞。 去年，谷歌还向通过 Android 和谷歌设备安全奖励计划以及谷歌移动漏洞赏金计划报告安全漏洞的研究员支付了 330 多万美元。 “2025 年，我们将庆祝谷歌 VRP 15 周年。15 年来，我们始终致力于与安全社区的合作、创新和透明度，未来也将继续如此。” 谷歌表示，“我们的目标仍然是领先于新兴威胁，适应技术发展，并持续增强谷歌产品和服务的安全性。” 2023 年，谷歌向 632 名研究员支付了 1000 万美元，以奖励他们发现并负责任地报告其产品和服务中的安全漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）将开始向被Restoro和Reimage两家技术支援公司误导的受害者分发超过2550万美元的退款。 FTC将从3月13日起通过PayPal向736375名消费者发送退款，这些消费者曾被欺骗支付不必要的电脑维修服务费用。从现在到3月13日期间，符合条件的退款接收者将收到电子邮件，并需在30天内兑换PayPal付款。 Restoro Cyprus Limited和Reimage Cyprus Limited因违反FTC法案和电话营销规则，于一年前被罚款2600万美元。他们通过在线广告和弹出窗口，冒充Windows弹出窗口和系统警告，声称消费者的电脑感染了恶意软件、存在性能问题，并需要紧急关注以避免损害。 “自2018年1月以来，被告通过互联网和电话营销，以Restoro和Reimage的品牌名称，向消费者推销所谓的电脑维修服务，”FTC在投诉中表示，“被告使用相同的欺骗手段来营销和销售Restoro和Reimage，包括欺骗性弹出窗口、互联网营销、扫描所谓的错误和风险，以及电话营销。” “被告的弹出窗口和互联网广告以提供免费扫描或电脑‘更新’为诱饵吸引消费者。无论电脑实际状况如何，扫描或更新最终都会发现所谓的性能或安全问题，需要进行维修。” 正如FTC在2024年3月所揭示的，其调查人员也曾在2022年5月至6月期间为Restoro，以及2022年7月至8月期间为Reimage支付了服务费用，以复制消费者体验。 尽管用于测试购买服务的设备没有性能或安全问题，并且运行着杀毒软件，但使用这两家公司的软件进行扫描“揭示”了数百个需要修复的问题，包括“电脑隐私问题”、“崩溃的程序”、“垃圾文件”和“损坏的注册表问题”。 他们还被要求支付高达58美元的“电脑维修计划”费用，并在支付后被敦促拨打“激活”电话给Restore和Reimage的电话营销人员，后者告知他们软件无法修复所有问题。 Restoro和Reimage的电话营销人员要求访问调查人员的电脑，并声称发现更多“错误、关键警告、病毒或恶意软件”，同时指向与标准且无害的系统错误和警告相关的Microsoft Windows事件查看器日志条目。 “电话营销人员随后推荐由技术人员提供的维修服务。他们提供各种‘维修计划’，价格分别为‘银牌’服务199.99美元、‘金牌’服务299.99美元或‘铂金’服务499.99美元，”FTC当时补充道。 除了2600万美元的罚款外，FTC的命令还禁止这两家公司使用欺骗性电话营销和歪曲性能或安全问题，以恐吓消费者购买不必要的电脑维修服务。 去年，FTC还命令Turbotax制造商Intuit停止营销“免费”但并非免费的软件，禁止Avast出售用户浏览数据用于广告目的，并禁止数据经纪公司InMarket和Outlogic出售美国人的原始位置数据。 12月，该机构还向受Epic Games使用暗模式欺骗玩家进行不必要的购买影响的人分发了超过7200万美元的Fortnite退款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亲巴勒斯坦的黑客组织 Dark Storm 声称，周一通过分布式拒绝服务（DDoS）攻击导致全球多地的 X 平台（原推特）出现中断，X 平台随后启用了 Cloudflare 的 DDoS 防护服务。 X 平台的所有者埃隆·马斯克虽未明确指出中断是由于 DDoS 攻击，但他确认是遭到了“大规模网络攻击”。 “针对 X 平台的网络攻击仍在持续，”马斯克在 X 平台上发文称，“我们每天都会遭受攻击，但这次动用了大量资源，可能是大型有组织的团体或某个国家所为。” Dark Storm 是一个亲巴勒斯坦的黑客组织，于 2023 年成立，曾多次攻击以色列、欧洲和美国的组织。 该组织今日在 Telegram 频道上发布消息，声称对 Twitter 发起 DDoS 攻击，并分享了攻击证明的截图和链接。 Check-host.net 是一个允许用户检查全球不同服务器上网站可用性的网站，常在 DDoS 攻击期间用于展示攻击正在进行。 X 平台目前受 Cloudflare 的 DDoS 防护服务保护，当可疑 IP 地址连接网站或单个 IP 地址请求过多时，会显示验证码。 该网站的 help.x.com 部分目前对所有请求都显示 Cloudflare 验证码。 黑客组织多次证明，他们能够利用僵尸网络等资源，干扰大型科技平台。 2024 年，美国指控两名苏丹兄弟涉嫌运营 Anonymous Sudan 黑客组织。 该组织成功使包括 Cloudflare、微软和 OpenAI 在内的多家大型科技公司的网站和 API 下线，导致全球众多用户服务中断。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的大规模恶意软件活动正在通过伪装成旨在绕过在线服务限制的工具，用名为SilentCryptoMiner的加密货币矿工感染用户。 俄罗斯网络安全公司卡巴斯基表示，这一活动是更大趋势的一部分，网络犯罪分子越来越多地利用Windows数据包重定向（WPD）工具，以限制绕过程序的形式分发恶意软件。 “此类软件通常以存档形式分发，附带文本安装说明，开发者以误报为由建议禁用安全解决方案，”研究人员列昂尼德·别兹韦申科、德米特里·皮库什和奥列格·库普列夫表示，“这正好符合攻击者的利益，使他们能够在不受保护的系统中持续存在，而不会被发现。” 这种手段已被用于传播窃取程序、远程访问工具（RATs）、提供隐藏远程访问的特洛伊木马以及像NJRat、XWorm、Phemedrone和DCRat这样的加密货币矿工。 这一策略的最新变化是一场活动，通过伪装成基于深度数据包检测（DPI）绕过工具的矿工，感染了2000多名俄罗斯用户。据说，该程序通过一个拥有6万订阅者的YouTube频道上的恶意存档链接进行宣传。 在2024年11月发现的后续策略升级中，威胁者被发现冒充工具开发者，以虚假的版权打击通知威胁频道所有者，要求他们发布带有恶意链接的视频，否则以所谓的侵权为由面临频道被关闭的风险。 “2024年12月，用户报告了通过其他Telegram和YouTube频道分发的感染矿工的工具版本，这些频道随后被关闭，”卡巴斯基表示。 这些带有陷阱的存档文件被发现包含一个额外的可执行文件，其中一个合法的批处理脚本被修改为通过PowerShell运行二进制文件。如果系统中安装的杀毒软件干扰攻击链并删除恶意二进制文件，用户将看到一条错误消息，提示他们重新下载文件，并在禁用安全解决方案后运行它。 该可执行文件是一个基于Python的加载程序，旨在检索下一阶段的恶意软件，另一个Python脚本下载SilentCryptoMiner矿工有效载荷并建立持久性，但在检查是否在沙盒中运行并配置Windows Defender排除项之前不会采取行动。 “为了隐身，SilentCryptoMiner采用进程空心化技术将矿工代码注入系统进程（在这种情况下是dwm.exe），”卡巴斯基表示，“该恶意软件能够在配置中指定的进程活动时停止挖矿，并且可以通过网页面板进行远程控制。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2024年9月以来，中东和北非地区成为了一场新型攻击活动的目标，该活动传播了一种经过修改的知名恶意软件AsyncRAT。 “这场利用社交媒体分发恶意软件的活动，与该地区的当前地缘政治气候有关，”Positive Technologies的研究人员克利门蒂·加尔金和斯坦尼斯拉夫·皮日霍夫在上周发布的一份分析报告中表示。“攻击者将恶意软件托管在合法的在线文件共享账户或专门为此目的设立的Telegram频道中。” 据估计，自2024年秋季以来，这场活动已经感染了大约900名受害者，俄罗斯网络安全公司补充道，这表明其传播范围广泛。大多数受害者位于利比亚、沙特阿拉伯、埃及、土耳其、阿拉伯联合酋长国、卡塔尔和突尼斯。 这一活动被归因于一个名为Desert Dexter的威胁行为者，该行为者于2025年2月被发现。其主要手段是在Facebook上创建临时账户和新闻频道，然后利用这些账户发布包含文件共享服务或Telegram频道链接的广告。 网络安全研究人员指出，这些链接会将用户重定向到一个经过修改的AsyncRAT恶意软件版本，该版本包含离线键盘记录功能；搜索16种不同的加密货币钱包扩展和应用程序；并与Telegram机器人通信。 攻击链从一个RAR存档开始，其中包含批处理脚本或JavaScript文件，这些文件被编程为运行PowerShell脚本，该脚本负责触发攻击的第二阶段。 具体来说，它终止了与各种.NET服务相关的进程，这些进程可能会阻止恶意软件启动，从“C:\ProgramData\WindowsHost”和“C:\Users\Public”文件夹中删除扩展名为BAT、PS1和VBS的文件，并在C:\ProgramData\WindowsHost中创建一个新的VBS文件，在C:\Users\Public中创建BAT和PS1文件。 该脚本随后在系统上建立持久性，收集并外泄系统信息到Telegram机器人，截取屏幕截图，并最终通过将AsyncRAT有效载荷注入“aspnet_compiler.exe”可执行文件来启动它。 目前尚不清楚谁是这场活动的幕后黑手，尽管JavaScript文件中的阿拉伯语评论暗示了他们可能的来源。 对发送到Telegram机器人的消息的进一步分析显示，攻击者的桌面截图名为“DEXTERMSI”，其中包含PowerShell脚本以及一个名为Luminosity Link RAT的工具。Telegram机器人中还有一个名为“dexterlyly”的Telegram频道的链接，这表明威胁行为者可能来自利比亚。该频道创建于2024年10月5日。 “大多数受害者是普通用户，包括以下行业的员工：石油生产、建筑、信息技术和农业，”研究人员表示。 网络安全研究人员指出，Desert Dexter使用的工具并不特别复杂。然而，Facebook广告与合法服务的结合以及对地缘政治形势的利用，已经导致了众多设备被感染。 这一消息的出现正值奇安信（QiAnXin）披露了一场名为“海象行动”的鱼叉式网络钓鱼活动的细节，该活动被发现针对中国科研机构，目的是投放一个能够收集与海洋科学和技术相关的敏感信息的后门。 这一活动被归因于一个名为UTG-Q-011的集群，据称，它是另一个敌对集体CNC集团的一个子集，该集团与印度的Patchwork威胁行为者在战术上存在重叠。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文