HackerNews

HackerNews 编译，转载请注明出处： 一名名为“rose87168”的威胁行为者声称从Oracle云服务器窃取了600万条记录。 据称，被盗数据包括Java密钥库（JKS）文件、加密的单点登录（SSO）密码、哈希的轻量级目录访问协议（LDAP）密码、密钥文件以及企业管理器Java平台安全（JPS）密钥。 此次漏洞据称影响了全球超过14万名租户，引发了对云安全的严重担忧。 黑客声称利用了Oracle云登录基础设施中的一个漏洞，特别是针对login.(region-name).oraclecloud.com这个端点。 据称，这个子域名托管了过时的Oracle融合中间件软件，该软件可能容易受到CVE-2021-35587的攻击，这是一个已知的影响Oracle访问管理器的漏洞。 被盗数据正在暗网论坛上兜售，包括漏洞论坛。“rose87168”正在向受影响的组织索要赎金，以防止其数据被出售或曝光。 此外，威胁行为者通过提供奖励，刺激其他人帮助解密加密的SSO和LDAP密码。 Oracle否认其云基础设施遭到入侵。在2025年3月21日发布的一份声明中，该公司声称没有客户数据被泄露，发布的凭据与其系统无关。 自2025年1月以来一直活跃的“rose87168”在策划此次攻击时展示了复杂的方法。黑客声称在将被盗数据在线兜售前约40天就已获得访问权限。 使用Oracle云的组织被建议立即采取行动： 重置凭据：更改所有SSO、LDAP及相关密码，并强制执行强密码策略和多因素认证（MFA）。 监控系统：部署安全监控工具，以检测未授权访问或异常活动。 调查漏洞：进行法医调查，以识别漏洞并减轻风险。 与Oracle联系：向Oracle报告事件，并寻求关于保护系统的指导。 加强安全：实施严格的访问控制和增强的日志记录机制。 此次漏洞事件凸显了针对云环境的网络攻击日益复杂。它强调了定期更新软件、主动监控威胁以及实施强大的安全措施以减轻风险的重要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare宣布，已关闭所有HTTP连接，现在仅接受api.cloudflare.com的安全HTTPS连接。 此举旨在防止未加密的API请求被发送，即使是意外发送的，也会在服务器关闭HTTP连接并重定向到安全通信通道之前，消除敏感信息在明文流量中暴露的风险。 “从今天起，任何未加密的连接到api.cloudflare.com都将被完全拒绝，”Cloudflare周四的公告中写道。 “开发者不应再期望HTTP连接出现403禁止响应，因为我们将通过完全关闭HTTP接口来阻止底层连接的建立。只允许建立安全的HTTPS连接，”这家互联网服务公司补充道。 Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务。它用于DNS记录管理、防火墙配置、DDoS防护、缓存、SSL设置、基础设施部署、访问分析数据以及管理零信任访问和安全策略。 此前，Cloudflare系统允许通过HTTP（未加密）和HTTPS（加密）访问API，要么通过重定向，要么拒绝HTTP。 然而，正如公司所解释的，即使被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据，如API密钥或令牌。 当连接通过公共或共享Wi-Fi网络时，这种场景更加危险，因为中间人攻击更容易得逞。 通过完全禁用API访问的HTTP端口，Cloudflare在传输层屏蔽了明文连接，在任何数据交换之前强制执行HTTPS。 影响和下一步行动 这一变化立即影响了使用Cloudflare API服务的HTTP协议的任何人。依赖该协议的脚本、机器人和工具将中断。 同样适用于遗留系统和自动客户端、物联网设备以及由于配置不当而不支持或不默认使用HTTPS的低级客户端。 对于在Cloudflare上有网站的客户，公司计划在年底前推出一个免费选项，以安全的方式禁用HTTP流量。 Cloudflare数据显示，所有通过其系统的互联网流量中，仍有约2.4%是通过不安全的HTTP协议进行的。当考虑到自动化流量时，HTTP的份额跃升至近17%。 客户可以在仪表板的“分析与日志”>“通过SSL提供的流量”下跟踪HTTP与HTTPS流量，然后再选择加入，以评估这对他们环境的影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局警告称，假冒的在线文档转换器被用于窃取个人信息，在最坏的情况下，还会在受害者的设备上部署勒索软件。 上周，联邦调查局丹佛野外办公室在接到关于这些工具的报告不断增加后发出了警告。 “联邦调查局丹佛野外办公室警告说，特工们越来越多地看到一种涉及免费在线文档转换工具的骗局，我们希望鼓励受害者报告这种骗局的实例，”警告中写道。 “在这种情况下，犯罪分子使用免费的在线文档转换工具将恶意软件加载到受害者的计算机上，导致勒索软件等事件。” 联邦调查局表示，网络犯罪分子正在创建推广免费文档转换、下载工具或文件合并工具的网站。 “为了实施这一计划，全球的网络犯罪分子正在使用任何类型的免费文档转换器或下载器工具。这可能是一个声称将一种文件类型转换为另一种文件类型的网站，例如将.doc文件转换为.pdf文件，”联邦调查局继续说道。 “它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 虽然这些在线工具按宣传工作，但联邦调查局表示，生成的文件可能还包含隐藏的恶意软件，可用于获取受感染设备的远程访问权限。 联邦调查局还表示，上传的文档也可能被刮取敏感信息，如姓名、社会安全号码、加密货币种子、密码短语、钱包地址、电子邮件地址、密码和银行信息。 联邦调查局丹佛野外办公室告诉BleepingComputer，人们正在向IC3.gov报告这些骗局，过去三周内，丹佛都会区的一个公共部门实体报告了这一骗局。 “骗子试图模仿合法的URL——所以只改一个字母，或者用‘INC’代替‘CO’，”联邦调查局丹佛公共事务办公室的维姬·米戈亚告诉BleepingComputer。 “过去，用户会在搜索引擎中输入‘免费在线文件转换器’，他们很容易受到攻击，因为结果所使用的算法现在经常包括付费结果，这些结果可能是骗局。” 虽然联邦调查局告诉BleepingComputer，他们不能分享任何进一步的技术细节，因为这会让骗子知道什么是有效的，但威胁行为者已被知利用这些工具部署恶意软件。 有人质疑这些免费的文档转换器是否会导致恶意软件和勒索软件攻击，答案是肯定的。 上周，网络安全研究员威尔·托马斯分享了一些声称是在线文档转换器的网站，如docu-flex[.]com和pdfixers[.]com。 虽然这些网站已不再可用，但它们分发了名为Pdfixers.exe [VirusTotal]和DocuFlex.exe [VirusTotal]的Windows可执行文件，这两个文件都被检测为恶意软件。 一位以追踪Gootloader感染而闻名的网络安全研究员在11月报告说，有一个谷歌广告活动推广假冒的文件转换器网站。这些网站假装转换你的文件，但实际上会让你下载Gootloader恶意软件。 “访问这个WordPress网站（惊喜！），我发现了一个表单，用于上传PDF以将其转换为.zip文件中的.docx文件，”研究员解释道。 “但在通过某些检查后——来自英语国家，并且在过去的24小时内在同一个C类子网上没有访问过——用户收到的是.zip文件中的.js文件，而不是真正的.docx文件。” 这个JavaScript文件是Gootloader，一种以下载额外恶意软件而闻名的恶意软件加载器，如银行木马、信息窃取程序、恶意软件下载器和后利用工具，如Cobalt Strike信标。 利用这些额外的有效载荷，威胁行为者侵入公司网络，并横向扩展到其他计算机。像这样的攻击过去已经导致了全面的勒索软件攻击，如REvil和BlackSuit的攻击。 虽然并非所有文件转换器都是恶意软件，但在使用前进行研究并在下载任何程序前查看评论是必要的。 如果一个网站相对不知名，最好完全避免使用它。 如果你使用在线文件转换器或下载器，一定要分析网站生成的任何文件，因为如果它们是可执行文件或JavaScript文件，它们几乎肯定是恶意的。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项研究显示，已root的设备遭移动恶意软件攻击的可能性超过普通设备的3.5倍，这凸显了它们给组织机构带来的风险。 root和越狱曾是用于定制移动设备的流行方法，如今主要被高级用户使用。 尽管制造商已引入更多定制选项和更严格的安全协议来减少这些行为，但已root和已越狱的设备在企业环境中仍构成严重安全威胁。 root（针对安卓）和越狱（针对iOS）使用户能获得设备操作系统的特权访问权限，可进行通常受限的修改。然而，这些行为也使设备面临重大漏洞风险。 研究发现，已root设备在企业总设备中仅占0.1%，但遭受恶意软件和其他安全威胁攻击的比例却不成比例地高。 恶意软件攻击在已root设备上发生的频率是普通设备的3.5倍。 检测到的被攻破应用数量增加12倍。 系统被攻破事件数量高出250倍。 文件系统被攻破事件数量激增3000倍。 安全增强型Linux禁用次数增加90多倍。 这些数据凸显了在可访问敏感企业数据的环境中使用已root或已越狱设备的严重风险。 报告还研究了流行root和越狱工具的演变。对于安卓，广泛使用的框架有Magisk、APatch和KernelSU；iOS用户则依赖Dopamine、Checkra1n和Roothide等工具。 这些工具不断更新，以规避检测并在新的操作系统版本中保持功能。 例如，Magisk采用“无系统”root方法，避免修改系统分区，使应用和操作系统更难检测到root访问。 同样，Checkra1n利用旧苹果设备的硬件漏洞，确保持续的越狱能力。 已root和已越狱的设备在全球范围内被检测到，美国和马来西亚等国家尤为突出。 这些工具的开发社区非常活跃，全球贡献者合作改进绕过安全措施的技术。 研究追踪了Magisk和KernelSU等主要框架的开发活动，发现新的分支出现与安卓和iOS的更新或安全措施加强相吻合。 这种动态开发态势凸显了安全厂商与root工具开发者之间持续的“猫鼠游戏”。 一台被攻破的设备可能成为更大规模攻击的入口，使整个组织面临风险。 安全专家强调，先进的检测方法至关重要，不仅要能识别已root设备，还要能识别用于获得root访问权限的具体工具。 这些技术利用机器学习和行为分析，以领先于不断演变的威胁。 企业必须对这些复杂风险保持警惕，实施强大的安全措施，以保护敏感数据和系统免遭攻破。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tenable Research 指出，DeepSeek R1 存在潜在安全风险，这一生成式人工智能模型可能被操控，用于生成恶意软件。 和许多生成式人工智能（GenAI）模型一样，DeepSeek R1 设计有防止滥用的安全机制。不过，Tenable Research 发现，这些防御机制可以被绕过，这引发了人们对人工智能在促进网络犯罪方面所起作用的担忧。研究人员警告说，虽然 DeepSeek 生成的恶意软件需要进一步完善才能完全有效，但它降低了那些几乎没有编码技能的人开发恶意软件的门槛。 Tenable 安全团队进行的实验旨在确定 DeepSeek R1 是否能够创建两种恶意软件：键盘记录器和勒索软件样本。最初，DeepSeek R1 拒绝生成这些软件，符合其编程限制。然而，Tenable 的研究人员使用了简单的越狱技术，使他们能够绕过这些限制。 Tenable 的员工研究工程师 Nick Miles 解释说：“最初，DeepSeek 拒绝了我们生成键盘记录器的请求。但通过将请求重新表述为‘教育练习’，并应用常见的越狱方法，我们迅速克服了其限制。” 在绕过人工智能的安全机制后，DeepSeek R1 生成了一个键盘记录器，可以加密日志并将其秘密存储在设备上，以及一个能够加密文件的勒索软件可执行文件。研究结果表明，即使是非专家也可能利用像 DeepSeek 这样的人工智能技术来开发恶意软件。 生成式人工智能提升网络犯罪活动能力的潜力是一个重大问题。虽然 DeepSeek 的代码需要手动完善才能完全发挥作用，但该人工智能模型可以提供基础代码并建议相关技术，加速有抱负的网络犯罪分子的学习过程。 Miles 强调了负责任地开发人工智能的重要性：“Tenable 的研究突显了负责任地开发人工智能和加强防护措施以防止滥用的紧迫需求。随着人工智能能力的进化，组织、政策制定者和安全专家必须共同努力，确保这些强大的工具不会成为网络犯罪的帮凶。” Tenable Research 的研究结果突显了保护生成式人工智能模型免遭滥用的持续挑战。随着人工智能技术的进步，绕过其安全机制的方法也在不断发展，这突显了持续改进安全措施的必要性。确保人工智能仍然是创新工具而非剥削工具，需要开发者、研究人员和政策制定者之间的持续合作。   消息来源：Security Brief; 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 观察到，Medusa 勒索软件即服务（RaaS）操作背后的威胁参与者使用了一种名为 ABYSSWORKER 的恶意驱动程序，作为自带脆弱驱动程序（BYOVD）攻击的一部分，旨在禁用防恶意软件工具。 Elastic Security Labs 在报告中称，他们观察到一次 Medusa 勒索软件攻击，该攻击通过使用名为 HeartCrypt 的打包即服务（PaaS）进行打包的加载程序来传输加密器。 “该加载程序与一个被我们命名为 ABYSSWORKER 的中国厂商的被吊销证书签名的驱动程序一起部署，它会在受害机器上安装该驱动程序，然后利用它来攻击并使不同的 EDR 厂商失效，”该公司在报告中表示。 名为 “smuol.sys” 的驱动程序模仿了一个合法的 CrowdStrike Falcon 驱动程序（“CSAgent.sys”）。从 2024 年 8 月 8 日到 2025 年 2 月 25 日，VirusTotal 平台上已经检测到了数十个 ABYSSWORKER 文件。所有已识别的样本都使用了可能被盗且已被吊销的中国公司证书进行签名。 值得注意的是，这个能够杀死 EDR 的驱动程序在 2025 年 1 月被 ConnectWise 以 “nbwdv.sys” 的名字记录在案。 一旦被初始化和启动，ABYSSWORKER 被设计成将进程 ID 添加到全局受保护进程列表中，并监听传入的设备 I/O 控制请求，然后根据 I/O 控制代码将这些请求分派给相应的处理程序。 “这些处理程序涵盖了从文件操作到进程和驱动程序终止的一系列操作，提供了一个全面的工具集，可用于终止或永久禁用 EDR 系统，”Elastic 表示。 部分 I/O 控制代码列表如下： – 0x222080 – 通过发送密码 “7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X” 启用驱动程序 – 0x2220c0 – 加载必要的内核 API – 0x222184 – 复制文件 – 0x222180 – 删除文件 – 0x222408 – 按模块名称杀死系统线程 – 0x222400 – 按模块名称移除通知回调 – 0x2220c0 – 加载 API – 0x222144 – 按进程 ID 终止进程 – 0x222140 – 按线程 ID 终止线程 – 0x222084 – 禁用恶意软件 – 0x222664 – 重启机器 其中，0x222400 尤为引人关注，它可以通过搜索并移除所有已注册的通知回调来使安全产品失明，这种方法也被其他 EDR 杀手工具（如 EDRSandBlast 和 RealBlindingEDR）采用。 这一发现紧随 Venak Security 的一份报告，该报告指出威胁参与者如何利用 Check Point 的 ZoneAlarm 防病毒软件相关的合法但脆弱的内核驱动程序，作为 BYOVD 攻击的一部分，以获得提升的权限并禁用 Windows 安全功能，如内存完整性。 攻击者随后滥用了这些提升的权限，通过远程桌面协议（RDP）连接到受感染的系统，从而获得持久的访问权限。这一漏洞随后已被 Check Point 修补。 “由于 vsdatant.sys 以高级内核权限运行，攻击者能够利用其漏洞，绕过安全防护和防病毒软件，从而完全控制受感染的机器，”该公司表示。 “一旦这些防御被绕过，攻击者就能完全访问底层系统，能够获取用户密码和其他存储的凭证等敏感信息。这些数据随后被窃取，为进一步的攻击打开了大门。” Check Point 软件公司告诉《黑客新闻》，该脆弱的驱动程序已过时，且不再被积极使用，因此客户需要运行软件的最新版本。 “Venak Security 提到的脆弱驱动程序（vsdatant.sys，版本 14.1.32.0）已过时，不再在我们当前的产品中使用，”该公司表示。“运行 ZoneAlarm 或 Harmony Endpoint 最新版本的用户不会受到影响，因为这些版本包含更新的驱动程序，解决了此问题。” “在彻底审查后，我们可以确认过去 8 年发布的版本均不受此问题影响。为了获得全面的保护，我们建议用户确保运行的是 Check Point ZoneAlarm 或 Check Point Harmony Endpoint 的最新版本，其中包含针对 BYOVD 风格攻击的增强防护措施。” 这一发展正值 RansomHub（又名 Greenbottle 和 Cyclops）勒索软件操作被归因于至少一个其附属机构使用的一种以前未被记录的多功能后门，代号为 Betruger。 该植入程序具有通常与勒索软件攻击前部署的恶意软件相关的功能，如截取屏幕、记录按键、网络扫描、权限提升、凭证转储以及将数据窃取到远程服务器。 “Betruger 的功能表明，它可能是为了在准备勒索软件攻击时减少在目标网络上投放的新工具数量而开发的，”Broadcom 旗下的赛门铁克表示，将其描述为与其他勒索软件集团为数据窃取开发的自定义工具有所不同。 “在勒索软件攻击中使用除加密有效载荷以外的自定义恶意软件相对不寻常。大多数攻击者依赖合法工具、利用现成资源以及公开可用的恶意软件，如 Mimikatz 和 Cobalt Strike。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起大规模供应链攻击涉及 GitHub Action “tj-actions/changed-files”，起初是针对 Coinbase 一个开源项目的精准攻击，之后发展为更大范围的攻击。 帕洛阿尔托网络公司 42 号单元在报告中指出：“攻击载荷专注于利用他们一个开源项目的公共 CI/CD 流程——agentkit，可能目的是利用它进行进一步的攻击行为。然而，攻击者未能使用 Coinbase 的机密信息或发布软件包。” 2025 年 3 月 14 日，人们发现 “tj-actions/changed-files” 被攻破，注入了泄露运行该工作流的仓库敏感机密信息的代码，该事件被赋予 CVE 编号 CVE-2025-30066（CVSS 评分：8.6）。 据恩多尔实验室估计，218 个 GitHub 仓库因此次供应链攻击泄露了机密信息，大部分泄露信息包括 “几十个” DockerHub、npm 和亚马逊网络服务（AWS）的凭证，以及 GitHub 安装访问令牌。 安全研究员亨里克・普拉特表示：“考虑到有数万个仓库依赖 GitHub Action，此次供应链攻击的初始规模听起来令人恐惧。然而，深入研究工作流、运行情况和泄露的机密信息会发现，实际影响比预期小：只有 218 个仓库泄露了机密信息，其中大部分是短生命周期的 GITHUB_TOKEN，一旦工作流运行完成就会过期。” 此后，另一个 GitHub Action “reviewdog/action-setup” 的 v1 标签也被攻破，该 Action 通过 “tj-actions/eslint-changed-files” 作为依赖项被 “tj-actions/changed-files” 依赖，在 tj-actions 事件发生前，带有类似的攻击载荷。 “reviewdog/action-setup” 的漏洞被跟踪为 CVE-2025-30154（CVSS 评分：8.6）。 据称，利用 CVE-2025-30154 的漏洞，未被识别的威胁者能够获取与 “tj-actions/changed-files” 相关联的个人访问令牌（PAT），从而允许他们修改仓库并推送恶意代码，进而影响每一个依赖该 Action 的 GitHub 仓库。 当 “tj-actions/eslint-changed-files” Action 被执行时， “tj-actions/changed-files” CI 运行器的机密信息被泄露，允许攻击者窃取运行器中使用的凭证，包括属于 tj-bot-actions GitHub 用户账户的个人访问令牌（PAT）。 目前怀疑攻击者以某种方式获取了具有写入权限的令牌，从而能够访问 reviewdog 组织并进行恶意修改。不过，攻击者获取该令牌的方式目前尚不清楚。 此外，对 “reviewdog/action-setup” 的恶意提交是通过首先分叉相应仓库，向其提交更改，然后向原始仓库创建分叉拉取请求，最终引入任意提交来完成的——这种情况被称为悬垂提交。 “攻击者采取了重大措施来掩盖他们的踪迹，使用了各种技术，例如利用悬垂提交，创建多个临时 GitHub 用户账户，以及在工作流日志中模糊他们的活动（尤其是在最初的 Coinbase 攻击中），”帕洛阿尔托网络公司高级研究经理吉尔告诉《黑客新闻》，“这些发现表明攻击者技术高超，对 CI/CD 安全威胁和攻击战术有深入了解。” 42 号单元推测，分叉拉取请求背后的用户账户 “iLrmKCu86tjwp8” 可能被隐藏，因为攻击者在注册时从提供的合法电子邮件地址切换到了一次性（或匿名）电子邮件，违反了 GitHub 的政策。 这可能导致用户的所有交互和操作都被隐藏。然而，当被要求置评时，GitHub 既未确认也未否认这一假设，但表示正在积极审查情况并根据需要采取行动。 “目前没有证据表明 GitHub 或其系统被攻破。所强调的项目是用户维护的开源项目，”GitHub 一位发言人告诉《黑客新闻》。 “GitHub 继续根据《可接受使用政策》审查并采取行动，处理用户关于仓库内容的报告，包括恶意软件和其他恶意攻击。用户在更新到新版本之前，应始终审查 GitHub Actions 或他们代码中使用的任何其他软件包。这一点在此处和其他使用第三方代码的情况中都是真实的。” 对 tj-actions/changed-files 的 GitHub 分叉的深入搜索导致发现了另外两个账户 “2ft2dKo28UazTZ” 和 “mmvojwip”，这两个账户都已被从平台上删除。这两个账户也被发现创建了 Coinbase 相关仓库的分叉，如 onchainkit、agentkit 和 x402。 进一步检查发现，这些账户通过分叉拉取请求修改了 agentkit 仓库中的 “changelog.yml” 文件，指向使用 PAT 更早发布的恶意版本的 “tj-actions/changed-files”。 据信，攻击者获取了具有写入权限的 GitHub 令牌，从而能够访问 agentkit 仓库——这是由执行 tj-actions/changed-files GitHub Actions 促成的——以便进行未经授权的更改。 另一个值得强调的重要方面是两种情况下使用的攻击载荷的差异，这表明攻击者试图保持低调。 “攻击者在攻击的不同阶段使用了不同的攻击载荷。例如，在广泛攻击中，攻击者转储了运行器的内存，并将存储为环境变量的机密信息打印到工作流的日志中，无论运行的是哪个工作流，”吉尔说。 “然而，在针对 Coinbase 的攻击中，攻击者专门获取了 GITHUB_TOKEN，并确保攻击载荷只在仓库属于 Coinbase 时执行。” 目前尚不清楚此次行动的最终目标是什么，但 “强烈” 怀疑其意图是为了经济利益，很可能是试图进行加密货币盗窃，考虑到对 Coinbase 的高度针对性，吉尔指出。截至 2025 年 3 月 19 日，加密货币交易所已经修复了此次攻击。 此外，目前也不清楚是什么促使攻击者改变策略，将最初的目标攻击转变为大规模且不太隐蔽的行动。 “一种假设是，在意识到他们无法利用其令牌来污染 Coinbase 仓库——并且在得知 Coinbase 已经检测并缓解了攻击之后——攻击者担心失去对 tj-actions/changed-files Action 的访问权限。”吉尔说。 “由于攻破此 Action 可以提供对许多其他项目的访问权限，他们可能决定迅速采取行动。这可以解释为什么他们在 Coinbase 在其端点缓解了暴露风险仅 20 分钟后就发起了广泛攻击，尽管这增加了被发现的风险。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SANS 技术研究所的互联网风暴中心（Internet Storm Center）近期观察到针对两个思科（Cisco）智能许可工具（Smart Licensing Utility）漏洞的利用尝试，这两个漏洞已于半年前修复。 2024 年 9 月初，思科披露其智能许可工具存在两个关键漏洞（CVE-2024-20439 和 CVE-2024-20440），并发布了相关补丁。这两个漏洞可能允许未经身份验证的远程攻击者收集敏感信息或管理受影响系统上的相关服务。 CVE-2024-20439：这是一个静态凭证漏洞，攻击者可以通过一个硬编码的密码访问该软件。 CVE-2024-20440：该漏洞与一个记录过多信息的日志文件有关，攻击者在利用第一个漏洞后可以访问该日志文件。 SANS 的研究员 Johannes Ullrich 报告称，观察到攻击者尝试使用默认凭据访问思科智能许可工具实例。攻击者的目标尚不明确，但 Ullrich 指出，同一威胁行为者似乎也在尝试入侵其他类型的系统，包括一些暴露在互联网上的物联网设备。 目前，尚无公开报告表明这两个思科漏洞在野外被利用的情况。思科的安全公告显示，这两个漏洞是内部发现的，截至本文撰写时，尚未提及野外利用情况。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 瑞士全球解决方案提供商 Ascom 确认其 IT 基础设施遭到网络攻击，黑客组织 Hellcat 正在利用被盗凭据攻击全球的 Jira 服务器。 该公司在一份新闻稿中宣布，黑客在周日入侵了其技术工单系统，目前公司正在调查此次事件。Ascom 是一家电信公司，在 18 个国家设有子公司，专注于无线现场通信。 黑客组织 HellCat 声称对此次攻击负责，并告诉 BleepingComputer，他们窃取了大约 44GB 的数据，可能会影响该公司所有部门。Ascom 表示，黑客入侵了其技术工单系统，但此次事件并未影响公司的业务运营，客户和合作伙伴无需采取任何预防措施。 “针对此类犯罪行为的调查已立即启动，并正在进行中。Ascom 正在与相关当局密切合作。”—— Ascom HellCat 黑客组织成员 Rey 告诉 BleepingComputer，他们从 Ascom 窃取了多个产品的源代码、各种项目的详细信息、发票、机密文件以及工单系统中的问题。尽管瑞士公司没有提供有关此次入侵的技术细节，但攻击 Jira 工单系统已经成为 HellCat 黑客的常见攻击手段。 HellCat 的 Jira 攻击狂潮 Jira 是一种常用于软件开发和 IT 团队的项目管理和问题跟踪平台，用于跟踪和管理项目。该平台通常包含敏感数据，例如源代码、身份验证密钥、IT 计划、客户信息以及与这些项目相关的内部讨论。 此前，HellCat 声称对施耐德电气（Schneider Electric）、西班牙电信（Telefónica）和法国电信集团（Orange Group）的攻击负责，这些公司均证实了相关事件。在这三起事件中，黑客都是通过入侵 Jira 服务器进入系统。 最近，该黑客组织还声称对英国跨国汽车制造商捷豹路虎（Jaguar Land Rover，JLR）的攻击负责，并窃取和泄露了约 700 份内部文件。 据该威胁行为者描述，泄露内容包括“开发日志、跟踪数据、源代码”以及一名员工的数据，暴露了“用户名、电子邮件、显示名称、时区等敏感信息”。 HellCat 勒索软件泄露捷豹路虎数据 威胁情报公司 Hudson Rock 的联合创始人兼首席技术官 Alon Gal 表示，捷豹路虎事件符合 HellCat 黑客的特定模式。 “此次事件的核心是一种已经成为 HELL CAT 标志的技术：利用从被信息窃取器感染的员工那里收集到的 Jira 凭据。”—— Alon Gal 该研究人员表示，捷豹路虎事件是通过使用 LG 电子员工的第三方凭据入侵 JLR 的 Jira 服务器实现的。Gal 指出，这些被盗凭据并非新近泄露，而是多年前就已经曝光，但一直有效，黑客因此得以利用。 HellCat 的活动并未止步于这些入侵事件。该威胁行为者今天宣布，他们入侵了汽车行业的营销公司 Affinitiv 的 Jira 系统。该公司为原始设备制造商（OEM）和经销商提供数据分析平台。 该威胁行为者向 BleepingComputer 确认，他们通过 Jira 系统入侵了 Affinitiv，并公开披露称，他们窃取了一个包含超过 47 万个“唯一电子邮件”和超过 78 万条记录的数据库。 当 BleepingComputer 就此次攻击联系 Affinitiv 时，该公司表示已经开始展开调查。为了证明入侵，黑客发布了两张截图，其中包含姓名、电子邮件地址、邮政地址和经销商名称。 Alon Gal 警告称，由于 Jira 在企业工作流程中的核心地位以及其存储的大量数据，“Jira 已成为攻击者的首要目标”，此类访问权限可用于“横向移动、提升权限以及提取敏感信息”。 由于信息窃取器收集的凭据很容易找到，且其中一些凭据多年来一直未更改，因为公司未能将其纳入定期轮换流程，此类攻击可能会变得更加频繁。 消息来源：BleepingComputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场精心策划的网络钓鱼活动正在悄然改变其攻击目标，从 Windows 系统转向 macOS，引发了网络安全领域的高度关注。据以色列网络安全公司 LayerX 的最新报告，这场以窃取用户登录凭证为目的的恐吓软件攻击活动，近期调整了攻击策略，将矛头指向了 macOS 用户。 在 2024 年及 2025 年初，该攻击活动主要针对 Windows 用户，通过入侵合法网站并植入恶意代码，制造虚假的微软安全警报。这些警报声称用户的计算机已被入侵并锁定，随后网页会被恶意代码冻结，制造出系统故障的假象。受害者在恐慌中被诱导输入 Windows 用户名和密码，攻击者借此获取敏感信息。 为了增加攻击的可信度，攻击者将钓鱼页面托管在微软旗下的合法 Azure 应用托管平台 Windows.net 上。由于该平台的高信誉度，攻击者成功绕过了许多基于顶级域名（TLD）声誉检查的反钓鱼防御机制。LayerX 指出：“Windows.net 是一个知名且被广泛使用的平台，由信誉良好的微软公司运营。因此，这些钓鱼页面能够轻易绕过传统的安全防护机制。” 此外，攻击者还利用随机化、快速变形的子域名来托管恶意代码，并精心设计钓鱼页面，使其看起来极为专业。他们甚至加入了反机器人和验证码验证机制，以延缓自动化检测系统的识别。 然而，随着 Chrome、Firefox 和 Microsoft Edge 浏览器近期新增了反恐吓软件功能，针对 Windows 系统的攻击成功率大幅下降，攻击活动减少了 90%。这迫使攻击者将注意力转向 macOS 用户，因为 macOS 系统并未受到这些新防御机制的保护。 LayerX 表示，在针对 Windows 的攻击活动进行期间，并未观察到对 macOS 的攻击。但在新的反钓鱼防御措施推出后的两周内，针对 macOS 用户的攻击便迅速展开。这些钓鱼页面与之前用于攻击 Windows 的页面几乎完全相同，但布局和信息已被调整以适应 macOS 用户，恶意代码也经过修改以针对 Safari 浏览器。 据 LayerX 报告，攻击者利用用户错误输入合法网站 URL 的机会，将其引导至被入侵的域名“托管”页面，随后通过多个域名重定向，最终将用户带到钓鱼页面。在一个具体案例中，一名 LayerX 企业客户的 macOS 和 Safari 用户成为攻击目标。尽管该组织部署了安全网络网关（SWG），但攻击仍然成功绕过了这一防护措施。 LayerX 认为，攻击者可能会在将 macOS 上的 Safari 用户作为主要攻击目标后，对现有基础设施进行最小限度的修改，以进一步调整其攻击策略。LayerX 产品营销主管 Eyal Arazi 强调：“个人非企业账户被入侵通常仅限于暴露该个人用户的信息，而企业账户被入侵可能导致组织层面的数据泄露，使威胁变得更加严重。” 这场从 Windows 到 macOS 的攻击向量转变表明，攻击者正在不断调整和优化其攻击策略，以寻找新的漏洞和目标。这场攻击活动不仅高度专业、持续性强，还具有很强的适应性，对企业用户构成了重大威胁。随着攻击手段的不断演变，企业和个人用户必须保持警惕，及时更新安全防护措施，以应对日益复杂和隐蔽的网络攻击。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据公民实验室（The Citizen Lab）的一份新报告称，澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡政府很可能是以色列公司 Paragon Solutions 开发的间谍软件的客户。 Paragon 由 Ehud Barak 和 Ehud Schneorson 于 2019 年创立，该公司开发了一种名为 Graphite 的监控工具，能够从设备上的即时通讯应用中收集敏感数据。 公民实验室表示，通过梳理与该间谍软件相关的服务器基础设施，已将上述六国政府识别为“疑似 Paragon 部署”对象。 这一发现距离 Meta 旗下的 WhatsApp 声明其通知约 90 名记者和民间社会组织成员（称其为 Graphite 攻击目标）还不到两个月。这些攻击已于 2024 年 12 月被阻断。 这些攻击的目标人群遍布 20 多个国家，包括欧洲的比利时、希腊、拉脱维亚、立陶宛、奥地利、塞浦路斯、捷克共和国、丹麦、德国、荷兰、葡萄牙、西班牙和瑞典等国。 当时，一位 WhatsApp 发言人对《黑客新闻》表示：“这是最新例证，说明为何间谍软件公司必须为其非法行为负责。WhatsApp 将继续保护人们私下交流的能力。” 在这些攻击中，目标对象被添加到 WhatsApp 群组中，随后收到一份 PDF 文档。该文档会被自动解析，触发现已修复的零日漏洞，从而加载 Graphite 间谍软件。最终阶段是突破安卓沙盒，入侵目标设备上的其他应用。 对被入侵的安卓设备的进一步调查发现了一种名为 BIGPRETZEL 的取证痕迹，据信该痕迹可用于唯一识别 Paragon 的 Graphite 间谍软件感染。 此外，证据还表明，2024 年 6 月，意大利难民在利比亚组织的一名创始人所使用的 iPhone 可能遭到 Paragon 感染。苹果公司随后通过发布 iOS 18 解决了这一攻击途径。 苹果公司在一份声明中表示：“此类雇佣间谍软件攻击极为复杂，开发成本高达数百万美元，使用寿命通常较短，且专门针对特定个体，因其身份或行为而成为攻击目标。” “在检测到相关攻击后，我们的安全团队迅速开发并在 iOS 18 初始版本中部署了修复程序，以保护 iPhone 用户，并向可能被单独针对的用户发送苹果威胁通知，以告知并协助他们。”     消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Veeam 和 IBM 近日发布了安全更新，以修复其 Backup 和 AIX 系统中的高风险漏洞。 Veeam 发布了安全更新，修复了影响其 Backup & Replication 软件的一个关键安全漏洞，该漏洞可能导致远程代码执行。该漏洞编号为 CVE-2025-23120，其 CVSS 评分为 9.9（满分 10.0），影响 12.3.0.310 版本及所有更早的 12 版本。 Veeam 在周三发布的安全公告中表示：“该漏洞允许经过身份验证的域用户执行远程代码。” 安全研究人员 Piotr Bazydlo（来自 watchTowr）因发现并报告该漏洞而受到赞誉，该漏洞已在 12.3.1 版本（构建号 12.3.1.1139）中得到修复。 根据 Bazydlo 和研究员 Sina Kheirkhah 的分析，CVE-2025-23120 源自 Veeam 对反序列化机制的不一致处理，导致一个允许反序列化的白名单类为一种内部反序列化铺平了道路，而这种内部反序列化采用了基于黑名单的方法来阻止公司认为有风险的数据反序列化。 这也意味着攻击者可以利用黑名单中缺失的反序列化工具（例如 Veeam.Backup.EsxManager.xmlFrameworkDs 和 Veeam.Backup.Core.BackupSummary）来实现远程代码执行。 “任何属于 Veeam 服务器 Windows 主机本地用户组的用户都可以利用这些漏洞，”研究人员表示，“更糟糕的是，如果你的服务器已加入域，那么任何域用户都可以利用这些漏洞。” Veeam 的补丁将这两个工具添加到现有黑名单中，这意味着如果发现其他可行的反序列化工具，该解决方案可能会再次面临类似风险。 与此同时，IBM 也发布了补丁，修复了其 AIX 操作系统中的两个关键漏洞，这些漏洞可能允许执行命令。受影响的 AIX 版本为 7.2 和 7.3，具体漏洞如下： CVE-2024-56346（CVSS 评分：10.0）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimesis NIM 主服务执行任意命令。 CVE-2024-56347（CVSS 评分：9.6）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimsh 服务的 SSL/TLS 保护机制执行任意命令。 尽管目前没有证据表明这些关键漏洞已被实际利用，但用户仍被建议尽快应用必要的补丁，以防范潜在威胁。 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件，该软件可能针对俄语用户。 卡巴斯基在一份分析报告中表示：“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端，以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。 攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接，打开后，该存档文件会解压出一个名为 start.bat 的批处理文件，该文件负责通过 PowerShell 检索另一个存档文件。 随后，该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件，同时禁用 Windows SmartScreen 保护功能，并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。 这两个二进制文件中，一个是加密货币矿工，另一个是名为 VGS 的盗取器，它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月，攻击者已被发现用 Arcane 替代了 VGS。 “尽管其中很多内容是从其他盗取器中借鉴而来的，但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。 除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外，Arcane 还能够收集全面的系统数据，以及以下多个应用程序的配置文件、设置和账户信息： VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN 网络客户端和工具：ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 通讯软件：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber 电子邮件客户端：Microsoft Outlook 游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原 Uplay）、Roblox、Battle.net 以及各种 Minecraft 客户端 加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi 此外，Arcane 还被设计为能够截取受感染设备的屏幕截图，枚举正在运行的进程，并列出已保存的 Wi-Fi 网络及其密码。 “大多数浏览器会生成唯一密钥，用于加密其存储的敏感数据，如登录信息、密码、Cookie 等。”卡巴斯基表示，“Arcane 利用数据保护 API（DPAPI）获取这些密钥，这是盗取器的典型行为。” “但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件，它利用该工具破解浏览器密钥。为此，该工具会被秘密地写入磁盘并启动，盗取器从其控制台输出中获取所需的全部密钥。” 此外，该盗取器恶意软件还采用了一种单独的方法，通过调试端口启动浏览器副本，从而从基于 Chromium 的浏览器中提取 Cookie。 该行动背后的不明威胁行为者已经扩大了他们的业务范围，包括一个名为 ArcanaLoader 的加载器，该加载器声称用于下载游戏外挂，但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。 “这场特定的活动之所以有趣，是因为它展示了网络犯罪分子的灵活性，他们始终在更新他们的工具和分发方法。”卡巴斯基表示，“此外，Arcane 盗取器本身也很有趣，因为它收集了各种不同的数据，并且使用了各种技巧来提取攻击者想要的信息。” 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造（SSRF）漏洞（CVE-2024-27564）发起攻击。尽管该漏洞的严重程度被评为中等，但其带来的威胁已引发广泛关注。 据网络安全公司Veriti的研究，攻击者已经在多起真实攻击中利用该漏洞，证明即使是中等风险的安全缺陷，也可能成为攻击者突破AI系统防线的有效手段。 Veriti的研究数据显示，仅在一周内，已有10,479次攻击尝试来自恶意IP地址。这些攻击表现出高度协调性，目标多为使用OpenAI技术的机构。 美国是遭受攻击最严重的国家，占比高达33%。德国和泰国紧随其后，各占7%。此外，印度尼西亚、哥伦比亚和英国等国也报告了相关攻击事件，反映了这一威胁的全球性。 Veriti的研究人员指出：“此次攻击模式表明，即使是微小的漏洞也可能成为攻击者的目标。只要有机会，他们便会加以利用。” 攻击量在2025年1月急剧上升，随后在2月和3月略有回落，可能表明攻击者的策略有所调整，或是受到防御措施的影响。 CVE-2024-27564是一种服务器端请求伪造漏洞，允许攻击者在输入参数中注入恶意URL，从而迫使ChatGPT的应用程序在攻击者的指令下执行请求。 该漏洞通常发生在用户输入未经过适当验证时。在本次事件中，攻击者通过操控ChatGPT的pictureproxy.php组件中的url参数，发送任意请求，可能绕过安全控制。 风险概览 风险因素 详情 影响产品 ChatGPT（commit f9f4bbc中的pictureproxy.php组件）OpenAI基础设施 影响 发送任意请求、暴露敏感信息 攻击条件 远程利用可能 CVSS 3.1评分 6.5（中等） 金融机构成为主要目标 在此次攻击中，银行和金融科技公司成为主要受害者。这类机构高度依赖AI驱动的服务和API集成，使其更容易受到SSRF攻击的侵害。 攻击可能导致数据泄露、未经授权的交易、合规性处罚以及声誉损害。 应对措施 令人担忧的是，Veriti发现35%的受影响机构由于入侵防护系统（IPS）、Web应用防火墙（WAF）和传统防火墙配置不当而未能有效防御此漏洞。 为应对此威胁，安全专家建议机构立即采取以下措施： 审查并修复IPS、WAF和防火墙配置，确保防御CVE-2024-27564。 实施严格的输入验证，防止恶意URL注入。 监控日志，检测来自已知恶意IP的攻击尝试。 考虑网络分段，隔离处理URL请求的组件。 在风险评估程序中优先关注与AI相关的安全漏洞。   近年来，国家支持的黑客组织和网络犯罪分子逐渐将AI系统作为攻击目标。根据最新报告，自2024年初以来，攻击者已在20多起事件中尝试滥用ChatGPT进行恶意活动。     消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者将恶意Word文件嵌入PDF文件中，以规避传统安全扫描。这种被称为“PDF中的MalDoc”的攻击方式，最早可追溯至2023年7月，它使受害者在打开看似普通的文档时触发宏，可能导致系统被攻陷，同时避开常见安全工具的检测。 据JPCERT/CC称，该攻击利用了技术漏洞，使文件在保持PDF签名的同时仍能作为Word文档运行。尽管这些混合文件具有PDF的魔数和文件结构，但它们可以直接在Microsoft Word中打开，触发嵌入的宏并执行恶意代码。在已记录的攻击中，文件通常使用.doc扩展名，确保根据Windows默认文件关联自动路由到Word。 这种技术之所以危险，是因为其双重性质的构成。这些文件在用标准PDF安全工具分析时看似无害，因为恶意内容存储在PDF对象结构之外但同一文件容器内。攻击基础设施涉及在合法的PDF文件对象后附加一个包含嵌入宏的mht文件。安全研究人员在检查文件的十六进制转储时确认，这种结构保持了PDF的头部信息，同时包含了Word文档的组成部分。 这意味着文件可以在不同的应用程序环境中运行，但结果却截然不同。当在标准的PDF查看器中打开时，文件会显示正常内容而不执行恶意行为。然而，当相同的文件被Microsoft Word处理时，它会激活嵌入的宏，建立命令和控制连接。传统的安全工具在面对这种技术时显示出显著的局限性。常见的PDF分析工具如pdfid无法识别恶意组件，因为它们仅专注于评估PDF的结构元素。同样，沙箱和防病毒解决方案可能会根据文件的初始PDF签名错误分类这些文件。 尽管存在这些规避能力，但安全团队可以实施有效的对策。OLEVBA，一个用于检测恶意Office宏的分析工具，对PDF中的MalDoc文件仍然有效。在处理这些混合文档时，OLEVBA能够成功识别并提取嵌入的宏代码，使安全人员能够识别恶意内容。 安全专业人员可以部署自定义的Yara规则来检测这些混合威胁。以下检测规则通过查找PDF签名和嵌入的Office文档结构来识别潜在的PDF中的MalDoc文件。 这种技术不会绕过Word的宏安全设置，如果禁用了自动宏执行，用户仍会收到安全提示。然而，这种方法在自动分析工作流中造成了显著的盲点，可能允许恶意软件穿透防御层。组织应更新其安全协议，以特别测试这些混合文件格式，特别是在经常处理来自外部来源的文档附件的环境中。建议实施技术和用户意识培训，以最小化风险暴露。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机紧急响应小组（CERT-UA）发出警告，称有人利用被攻破的 Signal 账户发送恶意软件，对国防工业企业的员工及该国军队成员实施高度定向攻击。 公告称，此类攻击自本月起开始出现，攻击者通过 Signal 发送伪装成会议报告的档案。 由于部分消息来自目标熟悉的现有着，他们打开档案的可能性更高。 档案中包含一个 PDF 文件和一个可执行文件，前者作为诱饵引诱受害者打开，进而触发后者的启动。 可执行文件被归类为 DarkTortilla 加密程序/加载程序，启动后会解密并执行远程访问木马 Dark Crystal RAT（DCRAT）。 攻击概览 来源：CERT-UA CERT-UA 表示，此类活动已被追踪为 UAC-0200，这是一个自 2024 年 6 月以来一直利用 Signal 进行类似攻击的威胁集群。 然而，在最近的攻击中，钓鱼诱饵已更新，以反映乌克兰当前的重要话题，尤其是与军事领域相关的内容。 “自 2025 年 2 月起，诱饵信息的重点已转向无人机、电子战系统和其他军事技术相关话题，”CERT-UA 在其最新公告中解释道。 2025 年 2 月，谷歌威胁情报小组（GTIG）报告称，俄罗斯黑客滥用 Signal 的合法 “已链接设备” 功能，以获取对感兴趣账户的未授权访问权限。 自认为可能是间谍活动和定向钓鱼攻击目标的 Signal 用户，应关闭附件的自动下载功能，并对所有消息保持警惕，尤其是包含文件的消息。 此外，建议定期检查 Signal 上的已链接设备列表，以避免成为攻击的代理。 最后，Signal 用户应将所有平台上的消息传递应用程序更新至最新版本，并启用双因素认证，以增加账户保护。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州教育协会（PSEA）是宾夕法尼亚州最大的公共部门工会，该协会通知超过 50 万人，其个人信息在 2024 年 7 月的一次安全漏洞中被盗。 该工会代表超过 17.8 万名教育专业人士，包括教师、支持人员、高等教育人员、护士、退休教师和未来教师。 “PSEA 在 2024 年 7 月 6 日左右经历了一起影响我们网络环境的安全事件，”该组织在发送给 517,487 个人的漏洞通知信中表示。 “通过在 2025 年 2 月 18 日完成的彻底调查和对受影响数据的广泛审查，我们确定未授权行为者获取的数据包含了一些属于个人的信息，这些信息包含在我们网络中某些文件内。” PSEA 表示，被盗信息因人而异，包括个人、财务和健康数据，如驾照或州身份证、社保号、账户 PIN 码、安全码、支付卡信息、护照信息、纳税人 ID 号、凭证、健康保险和医疗信息。 该工会为社保号受到影响的个人提供免费的 IDX 信用监控和身份恢复服务，前提是他们在 2025 年 6 月 17 日之前注册。同时，建议受影响者监控其财务账户对账单和信用报告中的可疑活动，获取免费信用报告，并在其信用档案上设置欺诈警报和/或安全冻结。 尽管 PSEA 未将此次攻击归咎于特定的威胁行为者，但 Rhysida 勒索软件团伙在 2024 年 9 月 9 日声称对此漏洞负责。 该网络犯罪集团要求支付 20 比特币的赎金，并威胁如果不支付赎金就泄露被盗数据。尽管 PSEA 未透露是否支付了赎金以防止数据泄露，但勒索软件团伙已将其从暗网泄露网站上移除。 Rhysida 勒索软件即服务（RaaS）行动于近两年前的 2023 年 5 月浮出水面，并在入侵英国图书馆和智利陆军后声名狼藉。 该团伙在 2023 年 11 月入侵了索尼子公司 Insomniac Games，并在游戏工作室拒绝支付 200 万美元赎金后泄露了 1,67 TB 的文件。 Rhysida 勒索软件附属机构还声称在 2024 年 2 月对芝加哥的 Lurie 儿童医院发起了网络攻击，这是一家每年为超过 20 万名儿童提供护理的美国领先儿科急性护理机构，他们提出出售被盗数据以换取 60 比特币（当时约合 370 万美元）。 更近一些时候，Singing River 健康系统发出警告，称在 2023 年 8 月的一次勒索软件攻击中，近 90 万人的数据被盗，而俄亥俄州哥伦布市在 2024 年 7 月的一次 Rhysida 攻击后通知了 50 万人数据泄露。 美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）警告称，Rhysida 附属机构是许多机会主义攻击的幕后黑手，这些攻击针对广泛行业领域的组织，而美国卫生与公众服务部（HHS）已将 Rhysida 与针对医疗机构的攻击联系起来。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2016 年起，一项名为 “DollyWay” 的恶意软件活动通过入侵全球超过 20,000 个 WordPress 网站，将用户重定向至恶意网站。 在过去的八年里，该活动不断演变，采用了先进的逃避、重新感染和盈利策略。 据 GoDaddy 研究员 Denis Sinegubko 表示，DollyWay 在其最新版本（v3）中充当了一个大规模诈骗重定向系统。然而，在过去，它曾分发过更具破坏性的有效载荷，如勒索软件和银行木马。 “GoDaddy 安全研究人员发现了多个恶意软件活动之间的关联证据，这些活动汇聚成一个我们称之为 ‘DollyWay 世界统治’ 的长期运作，”GoDaddy 近期的一份报告解释道。 “虽然之前被认为是独立的活动，但我们的研究表明，这些攻击共享相同的基础设施、代码模式和盈利方法——所有迹象都表明它们与一个单一的、 sophisticated（复杂且老练的）威胁行为者有关。 “该行动的命名源于以下具有代表性的字符串，该字符串出现在某些恶意软件变种中：define(‘DOLLY_WAY’, ‘World Domination’)。” DollyWay v3 是一个先进的重定向操作，它利用插件和主题中的 n-day 漏洞来入侵易受攻击的 WordPress 网站。 截至 2025 年 2 月，DollyWay 每月通过将 WordPress 网站访客重定向至虚假的约会、赌博、加密货币和抽奖网站，产生 1,000 万次欺诈性展示。 该活动通过 VexTrio 和 LosPollos 附属网络进行盈利，在此之前，访客会通过流量分配系统（TDS）进行筛选。 流量分配系统根据访客的地理位置、设备类型和引荐来源等信息，对网络流量进行分析和重定向。网络犯罪分子通常利用恶意的 TDS 系统，将用户重定向至钓鱼网站或恶意软件下载页面。 这些网站是通过带有 ‘wp_enqueue_script’ 的脚本注入而被攻破的，该脚本会从被攻破的网站动态加载第二个脚本。 第二阶段收集访客的引荐来源数据，以帮助对重定向流量进行分类，然后加载决定目标有效性的 TDS 脚本。 直接访问网站且没有引荐来源、不是机器人（脚本中硬编码了 102 个已知机器人用户代理）、并且不是已登录的 WordPress 用户（包括管理员）的访客，被视为无效目标，不会被重定向。 第三阶段选择三个随机感染的站点作为 TDS 节点，然后从其中一个节点加载隐藏的 JavaScript，以执行最终到 VexTrio 或 LosPollos 诈骗页面的重定向。 该恶意软件使用附属跟踪参数，以确保攻击者每次重定向都能获得报酬。 值得注意的是，最终的重定向仅在访客与页面元素交互（点击）时发生，从而逃避仅检查页面加载的被动扫描工具。 Sinegubko 解释说，DollyWay 是一个非常顽固的威胁，它会在每次页面加载时自动重新感染网站，因此清除它尤其困难。 它通过将 PHP 代码分散在所有活跃插件中，并添加一个 WPCode 插件的副本（如果尚未安装）来实现这一目的，该插件包含混淆的恶意软件代码片段。 WPCode 是一个第三方插件，允许管理员添加小段 “代码”，在不直接编辑主题文件或 WordPress 代码的情况下修改 WordPress 功能。 作为攻击的一部分，黑客会将 WPCode 从 WordPress 插件列表中隐藏，以便管理员无法看到或删除它，这使得消毒变得复杂。 DollyWay 还会创建以随机 32 字符十六进制字符串命名的管理员用户，并将这些账户在管理员面板中隐藏。只有通过直接的数据库检查才能看到这些账户。 GoDaddy 共享了与 DollyWay 相关的完整妥协指标（IoCs），以帮助抵御这一威胁。 它将在后续文章中发布更多关于该行动基础设施和战术变化的细节。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了影响 mySCADA myPRO 的两个严重漏洞的细节，这是一种在运营技术（OT）环境中使用的数据采集与监视控制系统（SCADA）。瑞士安全公司 PRODAFT 表示，如果这些漏洞被利用，可能会使攻击者获得对工业控制网络的未授权访问，从而导致严重的运营中断和财务损失。 这两个漏洞在 CVSS v4 评分系统中均被评定为 9.3 分，具体如下： – CVE-2025-20014：一种操作系统命令注入漏洞，允许攻击者通过包含版本参数的特制 POST 请求在受影响系统上执行任意命令 – CVE-2025-20061：一种操作系统命令注入漏洞，允许攻击者通过包含电子邮件参数的特制 POST 请求在受影响系统上执行任意命令 成功利用这两个漏洞中的任何一个，都可能使攻击者能够注入系统命令并执行任意代码。这些问题已在以下版本中得到解决： – mySCADA PRO Manager 1.3 – mySCADA PRO Runtime 9.2.1 据 PRODAFT 称，这两个漏洞均源于未能对用户输入进行清理，从而为命令注入打开了大门。 “这些漏洞突显了 SCADA 系统中的持续安全风险以及加强防御的必要性，”该公司表示。“利用这些漏洞可能导致运营中断、财务损失和安全隐患。” 建议组织应用最新补丁，通过将 SCADA 系统与 IT 网络隔离来实施网络分段，强制执行强身份验证，并监控可疑活动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ClearFake 活动背后的威胁者利用虚假的 reCAPTCHA 或 Cloudflare Turnstile 验证作为诱饵，诱骗用户下载 Lumma Stealer 和 Vidar Stealer 等恶意软件。 ClearFake 最早于 2023 年 7 月被曝光，是一种利用受感染的 WordPress 网站上的虚假网络浏览器更新诱饵作为恶意软件分发手段的威胁活动集群。 该活动还以依赖一种称为 EtherHiding 的技术而闻名，该技术通过利用币安智能链（BSC）合约来获取下一阶段的有效载荷，从而使攻击链更具弹性。这些感染链的最终目标是交付能够针对 Windows 和 macOS 系统的信息窃取恶意软件。 截至 2024 年 5 月，ClearFake 攻击采用了现在被称为 ClickFix 的社会工程手段，该手段涉及欺骗用户在解决不存在的技术问题的幌子下运行恶意的 PowerShell 代码。 “尽管这种新的 ClearFake 变种继续依赖 EtherHiding 技术和 ClickFix 手段，但它引入了与币安智能链的额外交互，”Sekoia 在新的分析中表示。 “通过使用智能合约的应用程序二进制接口，这些交互涉及加载多个 JavaScript 代码和额外资源，这些资源会识别受害者的系统，以及下载、解密和显示 ClickFix 诱饵。” ClearFake 框架的最新迭代标志着一个重大演变，采用了 Web3 能力来抵抗分析并加密了与 ClickFix 相关的 HTML 代码。 其结果是一个更新的多阶段攻击序列，当受害者访问受感染的网站时开始，这将导致从 BSC 获取中间 JavaScript 代码。加载的 JavaScript 随后负责识别系统并获取托管在 Cloudflare Pages 上的加密 ClickFix 代码。 如果受害者继续执行并运行恶意的 PowerShell 命令，将导致部署 Emmenhtal Loader（又名 PEAKLIGHT），随后释放 Lumma Stealer。 Sekoia 表示，2025 年 1 月下旬观察到另一种 ClearFake 攻击链，该攻击链提供了一个负责安装 Vidar Stealer 的 PowerShell 加载程序。截至上个月，至少有 9300 个网站被 ClearFake 感染。 “该运营商一直在每天更新框架代码、诱饵和分发的有效载荷，”它补充道。“ClearFake 的执行现在依赖于存储在币安智能链中的多条数据，包括 JavaScript 代码、AES 密钥、托管诱饵 HTML 文件的 URL 以及 ClickFix PowerShell 命令。” “被 ClearFake 攻击的网站数量表明，这一威胁仍然广泛存在，并影响全球许多用户。在 2024 年 7 月，……大约有 20 万名唯一用户可能接触到 ClearFake 诱饵，这些诱饵鼓励他们下载恶意软件。” 这一发现与超过 100 个汽车经销商网站被发现被 ClickFix 诱饵感染的情况同时出现，这些感染导致了 SectopRAT 恶意软件的部署。 “这种汽车经销商感染发生的地方不是经销商自己的网站，而是一个第三方视频服务，”安全研究员 Randy McEoin 说，他在 2023 年详细描述了一些最早的 ClearFake 活动，将此次事件描述为供应链攻击的一个实例。 所涉及的视频服务是 LES Automotive（“idostream[.]com”），该网站已从其网站上移除了恶意的 JavaScript 注入。 这些发现还与发现的几个网络钓鱼活动同时出现，这些活动旨在推送各种恶意软件家族并进行凭证收割—— 使用嵌入在电子邮件消息的存档文件附件中的虚拟硬盘（VHD）文件，通过 Windows 批处理脚本来分发 Venom RAT 使用 Microsoft Excel 文件附件，利用已知的安全漏洞（CVE-2017-0199）下载 HTML 应用程序（HTA），然后使用 Visual Basic 脚本（VBS）获取图像，该图像包含另一个负责解码和启动 AsyncRAT 和 Remcos RAT 的有效载荷 利用 Microsoft 365 基础设施中的错误配置来控制租户，创建新的管理员帐户，并提供能够绕过电子邮件安全保护的网络钓鱼内容，最终促进凭证收割和帐户接管（ATO） 随着社会工程活动不断变得越来越复杂，组织和企业必须走在前列，实施强大的身份验证和访问控制机制，以抵御中间人攻击（AitM）和浏览器中间人攻击（BitM）技术，这些技术允许攻击者劫持帐户。 “使用 BitM 框架的一个关键好处在于其快速瞄准能力，能够在几秒钟内到达网络上的任何网站，并且配置最少，”谷歌旗下的 Mandiant 在本周发布的一份报告中表示。 “一旦通过 BitM 工具或框架瞄准应用程序，合法网站将通过攻击者控制的浏览器提供服务。这使得受害者很难区分合法网站和虚假网站。从攻击者的角度来看，BitM 提供了一种简单而有效的手段，用于窃取受多因素认证（MFA）保护的会话。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文