HackerNews

HackerNews 编译，转载请注明出处： ClearFake 活动背后的威胁者利用虚假的 reCAPTCHA 或 Cloudflare Turnstile 验证作为诱饵，诱骗用户下载 Lumma Stealer 和 Vidar Stealer 等恶意软件。 ClearFake 最早于 2023 年 7 月被曝光，是一种利用受感染的 WordPress 网站上的虚假网络浏览器更新诱饵作为恶意软件分发手段的威胁活动集群。 该活动还以依赖一种称为 EtherHiding 的技术而闻名，该技术通过利用币安智能链（BSC）合约来获取下一阶段的有效载荷，从而使攻击链更具弹性。这些感染链的最终目标是交付能够针对 Windows 和 macOS 系统的信息窃取恶意软件。 截至 2024 年 5 月，ClearFake 攻击采用了现在被称为 ClickFix 的社会工程手段，该手段涉及欺骗用户在解决不存在的技术问题的幌子下运行恶意的 PowerShell 代码。 “尽管这种新的 ClearFake 变种继续依赖 EtherHiding 技术和 ClickFix 手段，但它引入了与币安智能链的额外交互，”Sekoia 在新的分析中表示。 “通过使用智能合约的应用程序二进制接口，这些交互涉及加载多个 JavaScript 代码和额外资源，这些资源会识别受害者的系统，以及下载、解密和显示 ClickFix 诱饵。” ClearFake 框架的最新迭代标志着一个重大演变，采用了 Web3 能力来抵抗分析并加密了与 ClickFix 相关的 HTML 代码。 其结果是一个更新的多阶段攻击序列，当受害者访问受感染的网站时开始，这将导致从 BSC 获取中间 JavaScript 代码。加载的 JavaScript 随后负责识别系统并获取托管在 Cloudflare Pages 上的加密 ClickFix 代码。 如果受害者继续执行并运行恶意的 PowerShell 命令，将导致部署 Emmenhtal Loader（又名 PEAKLIGHT），随后释放 Lumma Stealer。 Sekoia 表示，2025 年 1 月下旬观察到另一种 ClearFake 攻击链，该攻击链提供了一个负责安装 Vidar Stealer 的 PowerShell 加载程序。截至上个月，至少有 9300 个网站被 ClearFake 感染。 “该运营商一直在每天更新框架代码、诱饵和分发的有效载荷，”它补充道。“ClearFake 的执行现在依赖于存储在币安智能链中的多条数据，包括 JavaScript 代码、AES 密钥、托管诱饵 HTML 文件的 URL 以及 ClickFix PowerShell 命令。” “被 ClearFake 攻击的网站数量表明，这一威胁仍然广泛存在，并影响全球许多用户。在 2024 年 7 月，……大约有 20 万名唯一用户可能接触到 ClearFake 诱饵，这些诱饵鼓励他们下载恶意软件。” 这一发现与超过 100 个汽车经销商网站被发现被 ClickFix 诱饵感染的情况同时出现，这些感染导致了 SectopRAT 恶意软件的部署。 “这种汽车经销商感染发生的地方不是经销商自己的网站，而是一个第三方视频服务，”安全研究员 Randy McEoin 说，他在 2023 年详细描述了一些最早的 ClearFake 活动，将此次事件描述为供应链攻击的一个实例。 所涉及的视频服务是 LES Automotive（“idostream[.]com”），该网站已从其网站上移除了恶意的 JavaScript 注入。 这些发现还与发现的几个网络钓鱼活动同时出现，这些活动旨在推送各种恶意软件家族并进行凭证收割—— 使用嵌入在电子邮件消息的存档文件附件中的虚拟硬盘（VHD）文件，通过 Windows 批处理脚本来分发 Venom RAT 使用 Microsoft Excel 文件附件，利用已知的安全漏洞（CVE-2017-0199）下载 HTML 应用程序（HTA），然后使用 Visual Basic 脚本（VBS）获取图像，该图像包含另一个负责解码和启动 AsyncRAT 和 Remcos RAT 的有效载荷 利用 Microsoft 365 基础设施中的错误配置来控制租户，创建新的管理员帐户，并提供能够绕过电子邮件安全保护的网络钓鱼内容，最终促进凭证收割和帐户接管（ATO） 随着社会工程活动不断变得越来越复杂，组织和企业必须走在前列，实施强大的身份验证和访问控制机制，以抵御中间人攻击（AitM）和浏览器中间人攻击（BitM）技术，这些技术允许攻击者劫持帐户。 “使用 BitM 框架的一个关键好处在于其快速瞄准能力，能够在几秒钟内到达网络上的任何网站，并且配置最少，”谷歌旗下的 Mandiant 在本周发布的一份报告中表示。 “一旦通过 BitM 工具或框架瞄准应用程序，合法网站将通过攻击者控制的浏览器提供服务。这使得受害者很难区分合法网站和虚假网站。从攻击者的角度来看，BitM 提供了一种简单而有效的手段，用于窃取受多因素认证（MFA）保护的会话。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在利用 PHP 中的一个严重安全漏洞来投放加密货币挖矿程序和远程访问木马（RAT），例如 Quasar RAT。 该漏洞被指派了 CVE 标识符 CVE-2024-4577，是指影响运行在 CGI 模式的 Windows 系统上的 PHP 的参数注入漏洞，可能允许远程攻击者运行任意代码。 网络安全公司 Bitdefender 表示，自去年年底以来，观察到针对 CVE-2024-4577 的利用尝试激增，其中中国台湾地区（54.65%）、中国香港地区（27.06%）、巴西（16.39%）、日本（1.57%）和印度（0.33%）的集中度较高。 大约 15% 的检测到的利用尝试涉及使用“whoami”和“echo <test_string>”等命令进行基本漏洞检查。另外 15% 围绕用于系统侦察的命令，例如进程枚举、网络发现、用户和域信息以及系统元数据收集。 Bitdefender 技术解决方案总监 Martin Zugec 指出，检测到的攻击中大约有 5% 最终部署了 XMRig 加密货币挖矿程序。 “另一个较小的活动涉及部署 Nicehash 挖矿程序，这是一个允许用户出售计算能力以换取加密货币的平台，”Zugec 补充道。“挖矿进程伪装成合法应用程序，例如 javawindows.exe，以逃避检测。” PHP 漏洞用于部署 Quasar 远程访问木马 其他攻击被发现利用该漏洞交付开源的 Quasar RAT 等远程访问工具，以及使用 cmd.exe 执行托管在远程服务器上的恶意 Windows 安装程序（MSI）文件。 在某种程度上是一个有趣的变化，这家罗马尼亚公司还观察到试图修改易受攻击服务器上的防火墙配置，目的是阻止访问与漏洞利用相关的已知恶意 IP 地址。 这种不寻常的行为引发了竞争对手加密劫持集团为争夺易受攻击资源的控制权，并阻止他们再次针对自己控制的目标的可能性。这也与关于加密劫持攻击的历史观察结果一致，即在部署自己的有效载荷之前终止竞争对手的挖矿进程。 这一发展紧随思科 Talos 公布自今年年初以来针对日本组织的攻击中利用 PHP 漏洞的活动细节之后。 建议用户更新其 PHP 安装到最新版本以防范潜在威胁。 “由于大多数活动一直在使用 LOLBAS 工具，组织应考虑将 PowerShell 等工具的使用限制在环境中的特权用户（如管理员）内。”Zugec 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

科技媒体 bleepingcomputer 昨日（3 月 17 日）发布博文，报道称微软安全团队最新发现一种名为 StilachiRAT 的新型远程访问木马（RAT），该恶意软件通过高级技术逃避检测、维持持久性并窃取敏感数据。 IT之家援引博文介绍，尽管当前传播范围有限，微软仍提前公开威胁指标与防御建议，协助网络安全人员降低潜在危害。目前尚未确认该恶意软件的幕后攻击者或地理来源。 StilachiRAT 木马通过 WWStartupCtrl64.dll 模块，扫描 Coinbase、Metamask 等 20 种加密货币钱包扩展，获取数字钱包数据。 此外，该木马还会提取 Chrome 浏览器保存的凭证，监控剪贴板中的密码和加密货币密钥，记录系统硬件信息及活跃的远程桌面协议（RDP）会话。 该木马会收集摄像头状态、GUI 应用运行情况，构建目标系统画像以定位高价值攻击目标，该木马还会通过克隆用户安全令牌伪装登录身份，可突破 RDP 服务器的管理员会话限制，在受害网络内横向渗透。 该木马以独立进程或 Windows 服务形式部署后，绑定 **Windows 服务控制管理器（SCM）** 持久化，利用“看门狗线程”监控自身进程，若被终止将自动重建。 转自IT之家，原文链接：https://www.ithome.com/0/838/701.htm 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 上个月，区块链游戏平台 WEMIX 遭遇网络攻击，导致攻击者窃取了价值约 610 万美元的 8,654,860 个 WEMIX 代币。 在昨天举行的新闻发布会上，WEMIX 首席执行官 Kim Seok-Hwan 确认了这起发生在 2025 年 2 月 28 日的事件，并解释称延迟发布公开声明并非试图掩盖，而是出于保护玩家免受进一步损失的考虑。 “我们在 2 月 28 日发现黑客攻击后，立即关闭了受影响的服务器，并开始进行详细分析，”Kim Seok-Hwan 表示。 “当天，我们向首尔地方警察厅网络调查科提交了刑事投诉，目前国家调查办公室正在进行调查。” “由于最初未能确定确切的入侵方式，立即公开可能会使我们面临更多攻击。” “此外，大部分被盗资产已被出售，影响了市场。鉴于难以保证没有进一步的风险，立即披露可能会引发市场恐慌。” WEMIX 是由韩国游戏公司 Wemade 开发的区块链游戏平台。 WEMIX 生态系统包括其自身的加密货币 WEMIX 代币，并将区块链技术整合到游戏中，提供玩赚（P2E）模式、基于 NFT 的所有权以及去中心化金融（DeFi）功能。 Wemade 以其热门游戏《传奇》而闻名，但自推出 WEMIX 以来，已专注于从旧游戏中汲取灵感的区块链集成游戏。 其中最成功的是 MIR4，仅在 Google Play 上就有超过 500 万次下载。 Wemade 的其他区块链游戏还包括 Night Crows（100 万次下载）、Rise of Stars、Crypto Ball Z 和 MIR M（已停用）。 据昨天的新闻发布会消息，黑客在窃取 NFT 平台“NILE”的监控服务认证密钥后潜入了 WEMIX。 尽管 Wemade 不确定攻击者是如何获取密钥的，但推测可能是通过入侵一个开发者为方便而上传密钥的共享存储库。 黑客在两个月的攻击计划后，尝试了十五次提款，其中十三次成功。 被盗的 WEMIX 代币很快通过加密货币交易所被洗白。 目前，WEMIX 已经下线，所有区块链相关基础设施正在迁移到更安全的环境，公司目标是在 2025 年 3 月 21 日全面恢复服务。 值得一提的是，数字资产交易所联盟（DAXA）已将 WEMIX 指定为“投资谨慎”资产并暂停存款，WEMIX 计划对此提出上诉。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过 300 款恶意 Android 应用从 Google Play 下载了 6000 万次，它们或作为广告软件，或试图窃取凭证和信用卡信息。 这一操作最初由 IAS 威胁实验室发现，该实验室将此恶意活动归类为 Vapor，并称其自 2024 年初以来一直在进行。 IAS 识别出 180 款属于 Vapor 活动的应用，这些应用每天生成 2000 万次欺诈性的广告竞价请求，以进行大规模广告欺诈。 Bitdefender 最新发布的报告将恶意应用数量增加至 331 款，并报告在巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染。 “这些应用会显示不合时宜的广告，甚至试图通过网络钓鱼攻击诱使受害者交出凭证和信用卡信息，”Bitdefender 警告称。 尽管所有这些应用都已被从 Google Play 下架，但 Vapor 通过新应用卷土重来的风险依然很大，因为威胁行为者已经展示了绕过 Google 审查流程的能力。  Vapor 活动中使用到的应用是实用工具，提供诸如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等专门功能。 这些应用通过了 Google 的安全审查，因为它们包含了所宣传的功能，并且在提交时并未包含恶意组件。相反，恶意功能是通过从命令和控制（C2）服务器推送的更新在安装后下载的。 一些由 Bitdefender 和 IAS 突出显示的典型案例包括： – AquaTracker – 100 万次下载 – ClickSave Downloader – 100 万次下载 – Scan Hawk – 100 万次下载 – Water Time Tracker – 100 万次下载 – Be More – 100 万次下载 – BeatWatch – 50 万次下载 – TranslateScan – 10 万次下载 – Handset Locator – 5 万次下载 这些应用是从多个开发者账户上传到 Google Play 的，每个账户只推送几款应用到商店，以免在被下架时冒高风险中断。出于类似原因，每个发布者使用不同的广告软件 SDK。 大多数 Vapor 应用是在 2024 年 10 月至 2025 年 1 月之间发布到 Google Play 上的，尽管上传一直持续到 3 月。 这些恶意的 Vapor 应用在安装后会关闭其在 AndroidManifest.xml 文件中的启动器活动，使它们不可见。在某些情况下，它们会将自己在设置中重命名为看似合法的应用（例如 Google Voice）。 这些应用无需用户交互即可启动，并使用本地代码启用一个隐藏的次要组件，同时保持启动器禁用以隐藏图标。 Bitdefender 指出，这种方法绕过了 Android 13+ 的安全保护，这些保护措施禁止应用在激活后动态禁用自身的启动器活动。 该恶意软件还绕过了 Android 13+ 的“SYSTEM_ALERT_WINDOW”权限限制，并创建了一个充当全屏覆盖的次要屏幕。 广告显示在这个屏幕上，该屏幕覆盖在所有其他应用之上，用户无法退出，因为“返回”按钮被禁用。 该应用还会从“最近任务”中移除自己，因此用户无法确定他们刚刚看到的广告是由哪个应用启动的。 Bitdefender 报告称，一些应用超越了广告欺诈的范畴，会显示 Facebook 和 YouTube 的假登录屏幕以窃取凭证，或以各种借口提示用户输入信用卡信息。 一般建议 Android 用户避免从不知名发布者处安装不必要的应用，仔细检查授予的权限，并将应用抽屉与设置中的应用列表进行比较，以查看所有已安装的应用。 所有 331 款恶意应用的完整列表可在此处查看。 如果您发现自己安装了这些应用中的任何一个，请立即卸载，并使用 Google Play Protect（或其他移动防病毒产品）运行完整的系统扫描。 BleepingComputer 已就 Vapor 活动联系 Google 以获取评论，但在发布时尚未收到声明。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于亚利桑那州的 Western Alliance Bank 正在通知近 22,000 名客户，他们的个人信息在 10 月份被窃取，原因是第三方供应商的安全文件传输软件遭到攻击。 Western Alliance 是 Western Alliance Bancorporation 的全资子公司，这是一家拥有超过 800 亿美元资产的美国领先银行公司。 该银行在 2 月份的 SEC 文件中首次披露，攻击者利用第三方软件中的零日漏洞（该供应商于 2024 年 10 月 27 日披露）入侵了 Western Alliance 的少量系统，并窃取了存储在受感染设备上的文件。 Western Alliance 在发现攻击者泄露了从其系统中窃取的一些文件后，才确定客户数据从其网络中被窃取。 在发送给 21,899 名受影响客户的泄露通知信中，公司表示已确定“未经授权的攻击者从 2024 年 10 月 12 日至 10 月 24 日从系统中获取了某些文件”。 对被盗文件的分析于 2025 年 2 月 21 日完成，发现其中包含客户个人信息，包括姓名、社保号码、出生日期、金融账户号码、驾照号码、税务识别号码和/或护照信息（如果提供给 Western Alliance）。 Western Alliance 表示：“我们没有证据表明您的个人信息已被用于欺诈或身份盗窃的目的。” 该公司还为受影响的人提供了一年免费的 Experian IdentityWorks Credit 3B 身份保护服务会员资格。 “虽然我们没有证据表明您的个人信息因此次事件而被滥用，但我们鼓励您利用这封信中包含的免费信用监控。” 当 BleepingComputer 今天早些时候联系 Western Alliance 时，一位发言人未立即回复评论请求。 尽管此次泄露事件中被攻破的安全文件传输软件未在泄露通知信或 2 月份的 SEC 文件中被命名，但该银行是 Clop 勒索软件团伙在 1 月份将其泄露网站上新增的 58 家公司之一。 该网络犯罪集团此前曾利用一系列攻击，利用 Cleo LexiCom、VLTransfer 和 Harmony 软件中的预认证零日漏洞（CVE-2024-50623），这些软件在 10 月份进行了修补，当时该公司警告客户立即升级。 12 月，Cleo 发布了针对第二个零日漏洞（编号为 CVE-2024-55956）的安全更新，Clop 攻击者利用该漏洞部署了一个名为“Malichus”的 JAVA 后门，用于窃取数据、执行命令并进一步入侵受害者的网络。 Cleo 在一份私人咨询报告中解释称：“该漏洞被利用在某些 Cleo Harmony、VLTrader 和 LexiCom 实例上安装恶意后门代码，形式为包含服务器端 JavaScript 的恶意 Freemarker 模板。” 目前尚不清楚在这些攻击中有多少家公司被攻破，但 Cleo 声称其软件在全球被超过 4,000 个组织使用。 Clop 之前与近年来的几起数据窃取活动有关，目标是 MOVEit Transfer、GoAnywhere MFT 和 Accellion FTA 中的零日漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AMI 的 MegaRAC 基板管理控制器（BMC）软件中披露了一处严重的安全漏洞，攻击者可借此绕过身份验证并实施后续攻击。 该漏洞编号为 CVE-2024-54085，在 CVSS v4 标准下评分为 10.0，属最严重级别。 固件安全公司 Eclypsium 在报告中指出：“本地或远程攻击者可通过访问远程管理接口（Redfish）或内部主机到 BMC 接口（Redfish）来利用该漏洞。” “利用该漏洞，攻击者能够远程控制被攻陷服务器，远程部署恶意软件、勒索软件，篡改固件，砖化主板组件（BMC 或可能 BIOS/UEFI），造成服务器物理损坏（过压/砖化），以及引发受害者无法停止的无限重启循环。” 此外，该漏洞还可能被武器化，用于发起破坏性攻击，通过发送恶意命令使易受攻击的设备持续重启，从而导致无限期停机，直至设备重新配置。 自 2022 年 12 月以来，在 AMI MegaRAC BMC 中发现的一系列安全缺陷中，CVE-2024-54085 是最新的一例，这些缺陷被统称为 BMC&C，包括： – CVE-2022-40259：通过 Redfish API 执行任意代码 – CVE-2022-40242：通过 SSH 获取 UID = 0 的 shell 的默认凭据 – CVE-2022-2827：通过 API 进行用户枚举 – CVE-2022-26872：通过 API 拦截密码重置 – CVE-2022-40258：Redfish 和 API 的弱密码哈希 – CVE-2023-34329：通过 HTTP 标头欺骗绕过身份验证 – CVE-2023-34330：通过动态 Redfish 扩展接口注入代码 Eclypsium 指出，CVE-2024-54085 与 CVE-2023-34329 类似，都允许绕过身份验证且影响相似。该漏洞已确认影响以下设备： – HPE Cray XD670 – Asus RS720A-E11-RS24U – ASRockRack AMI 已于 2025 年 3 月 11 日发布补丁修复该漏洞。尽管目前尚无证据表明该漏洞已被野外利用，但下游用户在 OEM 厂商纳入这些修复并发布给客户后，应尽快更新系统。 “需要注意的是，修补这些漏洞并非易事，需要设备停机，”Eclypsium 表示。“该漏洞仅影响 AMI 的 BMC 软件堆栈。然而，由于 AMI 位于 BIOS 供应链的顶端，下游影响波及超过十几家制造商。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在以其历史上最大的收购交易，斥资320亿美元全现金收购云安全公司Wiz。 “此次收购代表着谷歌云对人工智能时代两大重要且快速增长趋势的投资：提升云安全能力以及支持多云环境（即使用多个云服务提供商），”这家科技巨头今日表示。 谷歌还表示，此次收购有待监管机构批准，旨在为客户提供一个“全面的安全平台”，以保护现代IT环境。 谷歌云首席执行官托马斯・库里安表示，将谷歌的云服务与Wiz结合，将“推动多云网络安全的采用、多云的使用以及云计算中的竞争和增长”。 Wiz首席执行官阿萨夫・拉帕波特表示，即使交易完成后，Wiz仍将保持作为一个独立的多云平台，并将与其他云公司如AWS、Azure和Oracle合作。 此次发展距离谷歌以54亿美元收购Mandiant还不到三年。此外，在七个多月前，谷歌曾试图以据报道的230亿美元价格收购Wiz但未成功。 谷歌的其他与安全相关的收购包括2012年9月收购的VirusTotal和2022年1月收购的Siemplify。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个影响微软Windows的安全漏洞未被修补，自2017年以来，一直被来自伊朗、朝鲜和俄罗斯的11个国家级赞助组织利用，作为数据盗窃、间谍活动和以经济利益为目的的行动的一部分。 这个零日漏洞被趋势科技的零日计划（ZDI）追踪为ZDI-CAN-25373，它允许攻击者利用精心制作的Windows快捷方式或壳链接（.LNK）文件，在受害者的机器上执行隐藏的恶意命令。 “这些攻击利用了.LNK文件中隐藏的命令行参数来执行恶意有效载荷，使检测变得复杂，”安全研究员彼得・吉尔纳斯和阿里亚克巴尔・扎哈瓦在与《黑客新闻》分享的分析中表示。“ZDI-CAN-25373的利用使组织面临数据盗窃和网络间谍活动的重大风险。” 具体来说，这涉及到用换行符（\x0A）和回车符（\x0D）填充参数，以逃避检测。 到目前为止，已经发现了近1000个利用ZDI-CAN-25373的.LNK文件，其中大部分样本与Evil Corp（Water Asena）、Kimsuky（Earth Kumiho）、Konni（Earth Imp）、Bitter（Earth Anansi）和ScarCruft（Earth Manticore）有关。 在这11个被发现滥用该漏洞的国家级赞助威胁行为者中，近一半来自朝鲜。除了在不同时间利用该漏洞外，这一发现还表明平壤的网络机构中存在跨合作。 遥测数据显示，位于美国、加拿大、俄罗斯、韩国、越南和巴西的政府、私人实体、金融机构、智库、电信服务提供商以及军事/国防机构已成为利用该漏洞攻击的主要目标。 在ZDI分析的攻击中，.LNK文件充当已知恶意软件家族的交付工具，如Lumma Stealer、GuLoader和Remcos RAT等。其中值得注意的是Evil Corp利用ZDI-CAN-25373分发Raspberry Robin。 微软方面将此问题定性为低严重性，并不打算发布修复程序。 “ZDI-CAN-25373是一个用户界面（UI）对关键信息的错误表示（CWE-451）的示例，”研究人员表示。“这意味着Windows用户界面未能向用户呈现关键信息。” “通过利用ZDI-CAN-25373，威胁行为者可以阻止最终用户查看与评估文件风险级别相关的执行命令的关键信息。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一种新的供应链攻击方式，名为“规则文件后门”，它影响了像GitHub Copilot和Cursor这样的AI代码编辑器，使其能够注入恶意代码。 “这种技术使黑客能够通过将隐藏的恶意指令注入到Cursor和GitHub Copilot使用的看似无害的配置文件中，从而在不被察觉的情况下破坏AI生成的代码。”Pillar安全公司的联合创始人兼首席技术官齐夫・卡尔尼尔在与《黑客新闻》分享的技术报告中表示。 “通过利用模型指令负载中的隐藏Unicode字符和复杂的规避技术，威胁行为者可以操纵AI插入恶意代码，从而绕过常规的代码审查。” 这种攻击方式的显著之处在于，它允许恶意代码在项目中悄然传播，构成供应链风险。 攻击的核心在于AI代理用于指导其行为的规则文件，这些文件帮助用户定义最佳编码实践和项目架构。 具体来说，它涉及在看似无害的规则文件中嵌入精心设计的提示，导致AI工具生成包含安全漏洞或后门的代码。换句话说，被污染的规则会促使AI生成不良代码。 这可以通过使用零宽连接符、双向文本标记和其他不可见字符来隐藏恶意指令，并利用AI解释自然语言以生成易受攻击的代码的能力，通过语义模式欺骗模型，使其忽略道德和安全约束。 在2024年2月底和3月的负责任披露之后，Cursor和GitHub都表示用户有责任审查和接受工具生成的建议。 “‘规则文件后门’代表了一种重大风险，它将AI本身作为攻击向量，实际上将开发人员最信任的助手变成了无意的帮凶，可能通过被破坏的软件影响数百万最终用户。”卡尔尼尔说。 “一旦被污染的规则文件被纳入项目存储库，它将影响团队成员未来所有的代码生成会话。此外，恶意指令通常会在项目分叉后仍然存在，从而为供应链攻击创造了途径，可能影响下游依赖关系和最终用户。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科修复了一个拒绝服务（DoS）漏洞（CVE-2025-20115），该漏洞允许未授权的远程攻击者通过发送单一 BGP 更新消息使 IOS XR 路由器上的边界网关协议（BGP）进程崩溃。 IOS XR 是思科为运营商级和服务提供商路由器开发的网络操作系统，基于微内核架构，专为高可用性、可扩展性和模块化设计。 攻击者可利用此漏洞通过精心构造的 BGP 更新或错误配置网络，导致内存损坏和 BGP 进程重启，从而引发拒绝服务。利用此漏洞需要攻击者控制 BGP 联盟扬声器或 AS_CONFED_SEQUENCE 属性达到 255 个自治系统编号。 “思科 IOS XR 软件中边界网关协议（BGP）的联盟实现存在漏洞，可能允许未认证的远程攻击者造成拒绝服务（DoS）条件。”咨询报告中指出，“该漏洞源于当 BGP 更新创建时，AS_CONFED_SEQUENCE 属性包含 255 个自治系统编号，导致内存损坏。攻击者可通过发送构造的 BGP 更新消息或网络设计使 AS_CONFED_SEQUENCE 属性达到 255 个或更多自治系统编号来利用此漏洞。成功利用可能导致内存损坏，BGP 进程重启，引发 DoS 条件。要利用此漏洞，攻击者必须控制与受害者同一自治系统中的 BGP 联盟扬声器，或网络设计使 AS_CONFED_SEQUENCE 属性达到 255 个或更多自治系统编号。” 此漏洞影响配置了 BGP 联盟的思科 IOS XR 软件，但不影响 IOS 软件、IOS XE 软件和 NX-OS 软件。 以下是受影响版本及修复版本： 思科 IOS XR 软件版本 首个修复版本 7.11 及更早版本 迁移到修复版本 24.1 及更早版本 迁移到修复版本 24.2 24.2.21（未来版本） 24.3 24.3.1 24.4 不受影响 若无法应用补丁，可将 AS_CONFED_SEQUENCE 限制在 254 个或更少自治系统编号，以降低攻击风险。 “存在一个解决此漏洞的变通方法。此漏洞部分原因是 BGP AS_CONFED_SEQUENCE 属性为 255 个或更多自治系统编号。变通方法是将此 BGP 属性限制在 254 个或更少自治系统编号。”报告中指出，“虽然此变通方法已在测试环境中部署并被证明成功，但客户应根据自身环境和使用条件确定其适用性和有效性。” IT 巨头建议在部署前评估变通方法，因为它可能根据特定部署场景影响网络性能。 思科产品安全事件响应团队（PSIRT）目前尚未发现利用此漏洞的攻击。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OKX Web3 决定暂停其去中心化交易所（DEX）聚合器服务，以实施安全升级。此前有报道称，臭名昭著的朝鲜 Lazarus 黑客利用该服务进行了一次 15 亿美元的加密货币盗窃。 OKX 是一家领先的全球加密货币交易所，提供广泛的交易选项，包括现货和衍生品交易以及去中心化金融（DeFi）服务。截至 2024 年 12 月，OKX 在中心化交易所中占据全球现货交易市场份额的约 8.0%，月交易量约为 2300 亿美元，是全球顶级交易所之一。 去中心化交易所（DEX）聚合器是一个从多个 DEX 中获取流动性以提供最佳交易价格和减少滑点的平台。 在 Lazarus 组织创纪录的 15 亿美元 Bybit 加密货币盗窃后，据报道该组织试图利用 OKX 的 DEX 洗白 1 亿美元的被盗加密货币。 据彭博社报道，这引发了欧盟监管机构的调查。然而，OKX 否认了这些说法，称他们冻结了进入中心化交易所（CEX）的相关资金，并指责 Bybit 传播虚假信息。 “最近，我们发现 Lazarus 组织协调滥用我们的 DeFi 服务，”OKX 今日早些时候发布的公告中写道。 “同时，我们注意到旨在破坏我们工作的竞争攻击有所增加。我们选择采取果断行动，而不是退缩。” 今日，OKX 确认 Lazarus 一直在滥用其服务，需要一些停机时间来实施足够的防御措施以阻止这些活动。 “在与监管机构协商后，我们主动决定暂时暂停 DEX 聚合器服务。此举使我们能够实施额外的升级，以防止进一步的滥用，”OKX 解释道。 第一项措施是启动一个系统，以识别和跟踪 Web3 DEX 聚合器上与黑客相关的地址。 第二项关键措施是实时阻止这些地址在中心化交易所（CEX）上，以切断 Lazarus 的活动。 OKX 表示正在与区块链浏览器合作，确保交易得到正确标记，防止交易来源混淆并提高安全性。 加密货币交易所平台通过这些和其他措施寻求增强安全性、透明度和监管合规性。 目前尚不清楚 Lazarus 是否会找到绕过这些措施的方法，或者朝鲜黑客是否会转向其他安全标准较低的交易所。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发现了一种新的远程访问特洛伊木马（RAT），该木马采用“复杂技术”来规避检测、维持持久性和窃取敏感数据。 尽管该恶意软件（被称为 StilachiRAT）尚未广泛传播，但微软决定公开分享妥协指标和缓解指导，以帮助网络防御者检测这一威胁并减少其影响。 由于 StilachiRAT 在野外部署的实例有限，微软尚未将此恶意软件归因于特定的威胁行为者或与特定地理位置关联。 “2024 年 11 月，微软事件响应研究人员发现了一种新型远程访问特洛伊木马（RAT），我们将其命名为 StilachiRAT，它展示了复杂的规避检测、在目标环境中持续存在和窃取敏感数据的技术，”微软表示。 对包含 StilachiRAT 功能的 WWStartupCtrl64.dll 模块的分析显示，该恶意软件使用了多种方法从目标系统中窃取信息，例如存储在浏览器中的凭证、数字钱包信息、剪贴板中的数据以及系统信息。 这种新 RAT 的功能中，微软特别指出了其侦察功能，例如收集系统数据，包括硬件标识符、摄像头是否存在、活跃的远程桌面协议（RDP）会话以及运行中的基于 GUI 的应用程序，以对目标系统进行画像。 在被部署到受损系统后，攻击者可以利用 StilachiRAT 通过扫描 20 种加密货币钱包扩展的配置信息来窃取数字钱包数据，包括 Coinbase 钱包、Phantom、Trust 钱包、MetaMask、OKX 钱包、Bitget 钱包等。 该恶意软件还利用 Windows API 窃取存储在 Google Chrome 本地状态文件中的凭证，并监控剪贴板活动以获取敏感信息，如密码和加密货币密钥，同时跟踪活跃窗口和应用程序。 一旦作为独立进程或 Windows 服务启动，RAT 通过 Windows 服务控制管理器（SCM）获得并保持持久性，并使用看门狗线程监控恶意软件的二进制文件，确保它们在不活跃时自动重新创建。 StilachiRAT 还能够通过捕获前台窗口信息和克隆安全令牌来模仿登录用户，从而在受害者网络中横向移动，尤其是在 RDP 服务器上部署 RAT 后，这些服务器通常托管管理会话。 “该恶意软件获取当前会话，积极启动前台窗口，并枚举所有其他 RDP 会话，”微软表示。“对于每个已识别的会话，它将访问 Windows 资源管理器外壳并复制其权限或安全令牌。然后，恶意软件可以使用这些新获得的权限启动应用程序。” RAT 的功能还包括广泛的检测规避和反取证功能，例如清除事件日志的能力和检查是否在沙箱环境中运行以阻止恶意软件分析尝试。即使被诱骗在沙箱中运行，StilachiRAT 的 Windows API 调用也被编码为“在运行时动态解析的校验和”，并进一步混淆以减慢分析速度。 最后，微软表示 StilachiRAT 允许通过命令和控制（C2）服务器的命令执行以及潜在的类似 SOCKS 的代理功能，这可以让威胁行为者重启受损系统、清除日志、窃取凭证、执行应用程序以及操作系统窗口。 其他命令旨在“暂停系统、修改 Windows 注册表值以及枚举打开的窗口。” 为了减少此恶意软件可以利用来攻击目标系统的攻击面，微软建议仅从官方网站下载软件，并使用能够阻止恶意域名和电子邮件附件的安全软件。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正密切关注一起安全事件，其中流行的 GitHub Action tj-actions/changed-files 被攻破，导致使用持续集成和持续交付（CI/CD）工作流的仓库机密信息泄露。 该事件涉及的 tj-actions/changed-files GitHub Action 在 23000 多个仓库中使用，用于跟踪和检索所有更改的文件和目录。这一供应链攻击被赋予了 CVE 标识符 CVE-2025-30066（CVSS 评分：8.6），据说发生在 2025 年 3 月 14 日之前。 “在这次攻击中，攻击者修改了操作代码，并回溯更新了多个版本标签以引用恶意提交，”StepSecurity 表示。“被攻破的操作会在 GitHub Actions 构建日志中打印 CI/CD 机密信息。” 这种行为的最终结果是，如果工作流日志可公开访问，那么当在仓库上运行该操作时，可能会导致敏感机密信息未经授权而被曝光。这包括 AWS 访问密钥、GitHub 个人访问令牌（PATs）、npm 令牌和私有 RSA 密钥等。尽管如此，但没有证据表明泄露的机密信息被传输到了任何攻击者控制的基础设施中。 具体来说，恶意插入的代码旨在运行一个托管在 GitHub gist 上的 Python 脚本，该脚本会转储来自 Runner Worker 进程的 CI/CD 机密信息。据说该脚本源自一个未经验证的源代码提交。该 GitHub gist 已被删除。 “tj-actions/change-files 在组织的软件开发流程中使用，”Endor Labs 的首席技术官兼联合创始人 Dimitri Stiliadis 在一份声明中表示。“在开发人员编写和审查代码后，他们通常会发布到仓库的主分支。从那里‘流程’会接管，构建用于生产的代码并部署它。” “tj-actions/change-files 帮助检测仓库中的文件更改。它允许你检查在提交、分支或拉取请求之间哪些文件被添加、修改或删除。” “攻击者修改了操作代码，并回溯更新了多个版本标签以引用恶意提交。被攻破的操作现在执行一个恶意 Python 脚本，该脚本转储 CI/CD 机密信息，影响了数千个 CI 流程。” 项目维护者表示，事件背后的未知威胁者攻破了 @tj-actions-bot 使用的 GitHub 个人访问令牌（PAT），该机器人对被攻破的仓库具有特权访问权限。 在发现该事件后，账户密码已更新，身份验证已升级为使用通过密钥，并且其权限级别已更新，遵循最小特权原则。GitHub 还撤销了被攻破的 PAT。 “受影响的个人访问令牌作为 GitHub action 机密存储，目前已撤销，”维护者补充道。“今后，tj-actions 组织的所有项目将不再使用 PAT，以防止任何复发风险。” 任何使用该 GitHub Action 的用户都应尽快更新到最新版本（46.0.1）。用户还应审查 3 月 14 日至 3 月 15 日期间执行的所有工作流，并检查“changed-files 部分下是否有意外输出”。 这并非 tj-actions/changed-files Action 首次出现安全问题。2024 年 1 月，安全研究员 Adnan Khan 揭露了影响 tj-actions/changed-files 和 tj-actions/branch-names 的一个关键漏洞（CVE-2023-49291，CVSS 评分：9.8），该漏洞可能导致任意代码执行。 这一事件再次凸显了开源软件特别容易受到供应链风险的影响，这可能会对下游客户产生严重后果。 “截至 2025 年 3 月 15 日，所有版本的 tj-actions/changed-files 均被发现受到影响，因为攻击者成功修改了现有版本标签，使其全部指向恶意代码，”云安全公司 Wiz 表示。 “使用了哈希固定版本的 tj-actions/changed-files 的客户不会受到影响，除非他们在利用时间窗口期间更新到了受影响的哈希。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据思科 Talos 最新发现，网络犯罪分子正在利用用于网页设计和布局的层叠样式表（CSS），以规避垃圾邮件过滤器并追踪用户行为。这一行为可能会危及受害者的安全和隐私。 “尽管在电子邮件客户端中，与动态内容（例如 JavaScript）相关的许多功能受到限制，但 CSS 提供的功能仍可让攻击者和垃圾邮件发送者追踪用户的操作和偏好，”Talos 研究员 Omid Mirzaei 在上周发布的一份报告中表示。 这一发现是对该公司之前研究的补充，之前的研究显示，2024 年下半年，利用隐藏文本盐值规避电子邮件垃圾邮件过滤器和安全网关的电子邮件威胁激增。 这种技术特别涉及利用超文本标记语言（HTML）和 CSS 的合法功能，包含在电子邮件客户端中渲染时不可见的注释和无关内容，但这些内容可能会使解析器和检测引擎出错。 Talos 的最新分析发现，威胁行为者正在使用诸如 text_indent 和 opacity 等 CSS 属性，将无关内容从电子邮件正文中隐藏起来。在某些情况下，这些活动的最终目标是将电子邮件接收者重定向到钓鱼页面。 此外，CSS 还为威胁行为者提供了通过垃圾邮件追踪用户行为的机会，方法是嵌入诸如@media CSS 规则这样的 CSS 属性，从而为潜在的指纹攻击打开大门。 “这种滥用行为的范围可以从识别收件人的字体和颜色方案偏好、客户端语言，甚至追踪他们的操作（例如查看或打印电子邮件），”Mirzaei 解释说。 “CSS 提供了广泛的规则和属性，可以帮助垃圾邮件发送者和威胁行为者对用户、他们的网络邮件或电子邮件客户端以及系统进行指纹识别。例如，媒体规则可以检测用户环境的某些属性，包括屏幕大小、分辨率和颜色深度。” 为了降低此类威胁带来的风险，建议实施高级筛选机制，以检测隐藏文本盐值和内容隐藏，并使用电子邮件隐私代理。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2024 年 5 月以来，攻击者一直在利用 Edimax IC-7100 网络摄像头的一个未修复安全漏洞来分发 Mirai 僵尸网络恶意软件变种。 该漏洞为 CVE-2025-1316（CVSS v4 评分：9.3），是一个关键的操作系统命令注入漏洞，攻击者可利用特制请求在易受攻击设备上实现远程代码执行。 网络安全公司 Akamai 表示，针对该漏洞的最早利用尝试可追溯到 2024 年 5 月，尽管自 2023 年 6 月以来一直有公开的概念验证（PoC）利用可用。 “该漏洞利用了 Edimax 设备中 /camera-cgi/admin/param.cgi 端点，并将命令注入 NTP_serverName 选项，作为 param.cgi 的 ipcamSource 选项的一部分，”Akamai 研究员 Kyle Lefton 和 Larry Cashdollar 表示。 虽然利用该端点需要身份验证，但发现攻击者利用了默认凭证（admin:1234）来获取未经授权的访问。 至少有两种不同的 Mirai 僵尸网络变种被发现利用该漏洞，其中一种在运行获取不同架构恶意软件的 shell 脚本之前还加入了反调试功能。 这些活动的最终目标是将受感染设备整合到一个能够针对感兴趣目标发动分布式拒绝服务（DDoS）攻击的网络中。 此外，僵尸网络还被观察到利用了影响 TOTOLINK 物联网设备的 CVE-2024-7214 和 CVE-2021-36220 以及 Hadoop YARN 漏洞。 在上周发布的一份独立咨询中，Edimax 表示 CVE-2025-1316 影响的是不再积极支持的旧设备，由于该型号已停产超过 10 年，因此没有计划提供安全补丁。 鉴于没有官方补丁，建议用户要么升级到较新的型号，要么避免将设备直接暴露在互联网上，更改默认管理员密码，并监控访问日志是否有异常活动的迹象。 “网络犯罪分子开始组装僵尸网络的最有效方式之一是针对旧设备上安全性差且过时的固件，”Akamai 表示。 “Mirai 的遗产继续困扰着全球各地的组织，因为基于 Mirai 恶意软件的僵尸网络传播没有停止的迹象。有了各种免费的教程和源代码（现在还有人工智能的帮助），启动僵尸网络变得更容易了。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Apache Tomcat 被披露存在一个安全漏洞，该漏洞在公开披露仅 30 小时后，随着公共概念验证（PoC）的发布，已在野外被积极利用。 该漏洞被追踪为 CVE-2025-24813，影响以下版本： – Apache Tomcat 11.0.0-M1 至 11.0.2 – Apache Tomcat 10.1.0-M1 至 10.1.34 – Apache Tomcat 9.0.0-M1 至 9.0.98 当满足特定条件时，该漏洞可能导致远程代码执行或信息泄露： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 安全敏感上传的目标 URL 是公共上传目标 URL 的子目录 – 攻击者了解正在上传的安全敏感文件的名称 – 安全敏感文件也通过部分 PUT 上传 若成功利用该漏洞，恶意用户可查看安全敏感文件，或通过 PUT 请求将任意内容注入这些文件。 此外，若以下所有条件均满足，攻击者还可实现远程代码执行： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 应用程序使用了 Tomcat 的基于文件的会话持久化功能，并使用了默认存储位置 – 应用程序包含可能被用于反序列化攻击的库 上周，项目维护者在一份咨询报告中表示，该漏洞已在 Tomcat 版本 9.0.99、10.1.35 和 11.0.3 中得到解决。 然而，Wallarm 公司指出，该漏洞已出现野外利用尝试。 “此次攻击利用了 Tomcat 的默认会话持久化机制及其对部分 PUT 请求的支持，”该公司表示。 “该漏洞的利用分为两个步骤：攻击者通过 PUT 请求上传一个序列化的 Java 会话文件。攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化。” 换句话说，这些攻击涉及发送一个包含 Base64 编码序列化 Java 负载的 PUT 请求，该请求被写入 Tomcat 的会话存储目录，随后通过发送一个带有指向恶意会话的 JSESSIONID 的 GET 请求来执行反序列化。 Wallarm 还指出，该漏洞极易被利用，且无需身份验证。唯一的先决条件是 Tomcat 使用基于文件的会话存储。 “虽然此漏洞利用了会话存储，但更大的问题是 Tomcat 对部分 PUT 处理不当，这允许几乎在任何位置上传任何文件，”它补充道。“攻击者将很快开始改变策略，上传恶意 JSP 文件，修改配置，并在会话存储之外植入后门。” 建议运行受影响版本 Tomcat 的用户尽快更新其实例，以减轻潜在威胁。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场大规模的Coinbase网络钓鱼攻击伪装成强制性的钱包迁移，欺骗收件人使用攻击者控制的预生成恢复短语设置新钱包。 这些邮件的主题是“迁移至Coinbase钱包”，声称所有用户必须迁移到自我托管钱包，并提供了下载合法Coinbase钱包的说明。 “自3月14日起，Coinbase将过渡到自我托管钱包。在一场集体诉讼指控未注册证券和无证经营后，法院要求用户自行管理钱包，”钓鱼邮件中写道。 “Coinbase将作为注册经纪人，允许购买，但所有资产必须转移到Coinbase钱包。” “下面显示的唯一恢复短语是您的Coinbase身份。它授予对您资金的访问权—请将其记录下来并安全存储。通过依次输入每个单词后跟一个空格，将其导入Coinbase钱包。” 这些邮件声称来自Coinbase，但回信地址是[email protected]。它们还来自IP地址167.89.33.244，这是一个SendGrid IP地址，通过DNS解析到o1.soha.akamai.com。 由于这些邮件似乎是通过SendGrid直接发送的，并且似乎是通过Akamai的账户，因此它们通过了SPF、DMARC和DKIM电子邮件安全检查，从而绕过了许多账户的垃圾邮件过滤器。 BleepingComputer联系了Akamai，询问是否有一个SendGrid账户被攻破，并收到了以下声明。 “Akamai已注意到有关针对Coinbase用户的网络钓鱼骗局的报道，该骗局涉及使用Akamai电子邮件域名。我们非常重视信息安全，并正在积极调查此事，”Akamai告诉BleepingComputer。 “网络钓鱼骗局仍然是普遍的网络威胁，我们敦促所有用户在收到未请求的电子邮件时保持警惕，尤其是那些要求提供个人信息或账户信息的邮件。如果您怀疑一封邮件可能是网络钓鱼尝试，请将其视为网络钓鱼，并避免点击任何链接或提供任何敏感信息。” “我们正在努力解决这一情况，并将继续监控和减轻任何相关风险。在此期间，我们建议提高警惕，以帮助保护您的个人信息。” 这场网络钓鱼活动的特别之处在于，邮件内没有任何网络钓鱼链接，所有链接都指向Coinbase合法的钱包页面。 相反，网络钓鱼邮件包含一个恢复短语，声称应使用该短语设置新的Coinbase钱包。 恢复短语，也称为“种子”，是一系列单词，作为加密货币钱包私钥的人类可读版本。 任何知道此恢复短语的人都可以将其导入自己的设备，从而窃取其中存储的任何加密货币和NFT。 虽然大多数加密货币网络钓鱼骗局试图窃取用户的恢复短语，然后攻击者用其窃取资金，但此次网络钓鱼活动则相反。 这封网络钓鱼邮件非常巧妙，因为它不是窃取用户的短语，而是提供一个攻击者已经知道并控制的短语。 一旦用户使用该短语设置新钱包并转移资金，所有资产将可供威胁行为者使用，他们可以将其转移到自己控制的另一个钱包。 Coinbase已意识到这一骗局，并在X上发帖称他们永远不会向客户发送恢复短语。 “提醒：警惕恢复短语骗局，”Coinbase在X上发帖。 “我们已注意到新的网络钓鱼邮件，伪装成Coinbase和Coinbase钱包。我们永远不会向您发送恢复短语，您也不应输入任何其他人提供的恢复短语。” 对于那些上当受骗的人，如果新创建的钱包中仍有资金，应迅速将其转回自己的钱包，以免被威胁行为者窃取。 虽然规则一直是不要将恢复短语分享给其他人或网站，但现在应扩展为不要使用通过电子邮件和网站共享给您的恢复短语，因为它们很可能被用于窃取您的加密货币。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员约哈内斯·努格罗霍发布了一款针对Akira勒索软件Linux版本的解密器，该解密器利用GPU算力来恢复解密密钥并免费解锁文件。 努格罗霍在朋友的求助下开发了这款解密器，他判断基于Akira生成加密密钥的方式（使用时间戳），破解加密系统在一周内可行。尽管过程中遇到了一些意外的复杂情况，项目耗时三周，且研究员在破解加密密钥上花费了1200美元用于GPU资源，但他最终还是成功了。 这款解密器并不像传统的解密工具那样需要用户提供密钥来解锁文件。相反，它通过暴力破解加密密钥（每个文件唯一）来工作，这利用了Akira加密程序基于当前时间（纳秒）作为种子生成加密密钥的事实。 加密种子是与加密函数一起使用以生成强大且不可预测的加密密钥的数据。由于种子影响密钥生成，因此保持其秘密性至关重要，以防止攻击者通过暴力破解或其他加密攻击重新创建加密或解密密钥。 Akira勒索软件为每个文件动态生成唯一的加密密钥，使用四个不同时间戳种子（纳秒精度），并通过1500轮SHA-256哈希处理。 用于生成密钥的四个时间戳 来源：tinyhack.com 这些密钥使用RSA-4096加密，并附加在每个加密文件的末尾，因此在没有私钥的情况下很难解密。时间戳中纳秒级的精度使得每秒可能产生超过十亿个值，这使得暴力破解密钥变得困难。 此外，努格罗霍表示，Linux上的Akira勒索软件使用多线程同时加密多个文件，这使得确定所用时间戳变得更加困难，进一步增加了复杂性。 研究人员通过查看朋友分享的日志文件，缩小了暴力破解的时间戳范围。这使他能够看到勒索软件的执行时间，通过文件元数据估计加密完成时间，并在不同硬件上生成加密基准以创建可预测的配置文件。 最初使用RTX 3060的尝试速度太慢，每秒只能进行6000万次加密测试。升级到RTC 3090也没有太大帮助。 最终，研究人员转向使用RunPod & Vast.ai云GPU服务，这些服务提供了足够的算力，并且价格合理，足以确认其工具的有效性。 具体来说，他使用了16个RTX 4090 GPU，在大约10小时内暴力破解了解密密钥。然而，根据需要恢复的加密文件数量，这一过程可能需要几天时间。 研究人员在其书面报告中指出，GPU专家仍可优化他的代码，因此性能可能会进一步提升。 努格罗霍已在GitHub上提供了解密器，并附上了如何恢复Akira加密文件的说明。 与往常一样，在尝试解密文件时，请备份原始加密文件，因为使用错误的解密密钥可能会导致文件损坏。 BleepingComputer尚未测试该工具，无法保证其安全性和有效性，因此使用时需自行承担风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在推广恶意的Microsoft OAuth应用，这些应用伪装成Adobe和DocuSign应用，用于分发恶意软件和窃取Microsoft 365账户凭证。 Proofpoint的研究人员发现了这些活动，并在X上的一条推文中将其描述为“高度针对性”的攻击。 此次活动中，恶意OAuth应用伪装成Adobe Drive、Adobe Drive X、Adobe Acrobat和DocuSign等应用。 这些应用请求访问相对不敏感的权限，如“个人资料”、“电子邮件”和“开放ID”，以避免被检测和引起怀疑。 如果用户授予这些权限，攻击者将获得以下访问权限： – 个人资料：姓名、用户ID、个人资料图片、用户名 – 电子邮件：主要电子邮件地址（无收件箱访问权限） – 开放ID：允许确认用户身份并获取Microsoft账户详细信息 Proofpoint告诉BleepingComputer，这些钓鱼活动通过被攻陷的电子邮件账户（很可能是Office 365账户）从慈善机构或小公司发送。 这些电子邮件针对美国和欧洲的多个行业，包括政府、医疗保健、供应链和零售业。网络安全公司看到的一些电子邮件使用了请求建议书和合同诱饵，以诱使收件人点击链接。 虽然接受Microsoft OAuth应用所提供的权限仅向攻击者提供了有限的数据，但这些信息仍可能被用于更具针对性的攻击。 此外，一旦用户授予OAuth应用权限，它会将用户重定向到显示Microsoft 365凭证钓鱼表单或分发恶意软件的登录页面。 “受害者在授权O365 OAuth应用后，经历了多次重定向和阶段，最终被呈现恶意软件或钓鱼页面，”Proofpoint告诉BleepingComputer。 “在某些情况下，受害者被重定向到一个‘O365登录’页面（托管在恶意域名上）。在授权后不到一分钟，Proofpoint检测到账户上有可疑的登录活动。” Proofpoint表示，他们无法确定所分发的恶意软件，但攻击者利用了过去一年变得非常流行的ClickFix社会工程攻击。 用于恶意OAuth活动的ClickFix登录页面 来源：Proofpoint 这些攻击与多年前报道的攻击相似，表明OAuth应用仍然是劫持Microsoft 365账户的有效方式，而无需窃取凭证。 建议用户在批准OAuth应用权限请求时保持谨慎，并始终验证其来源和合法性。 要检查现有的批准权限，可以前往“我的应用”（myapplications.microsoft.com）→“管理你的应用”，并在该页面上撤销任何未识别的应用。 Microsoft 365管理员还可以通过“企业应用”→“同意和权限”→将“用户可以同意应用”设置为“否”，以完全限制用户对第三方OAuth应用请求的权限。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文