HackerNews

HackerNews 编译，转载请注明出处： 苹果公司近日紧急发布安全更新，修复编号为CVE-2025-24201的零日漏洞。该漏洞存在于WebKit跨平台网页浏览器引擎中，影响Safari浏览器及多款运行于macOS、iOS、Linux和Windows系统的应用程序。 “此次更新是对iOS 17.2版本已防御攻击的补充修复。”苹果在周二发布的安全公告中表示，”我们确认该漏洞在iOS 17.2之前版本中，已被用于针对特定人群实施高度复杂的定向攻击。” 经证实，攻击者可通过特制恶意网页内容突破Web内容沙箱限制。目前苹果已通过强化检测机制修复了该越界写入漏洞，相关补丁包含在iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1更新中。 受影响的设备型号包括： – iPhone XS及后续机型 – iPad Pro全系（13英寸/12.9英寸第三代起/11英寸第一代起） – iPad Air第三代起 – iPad第七代起 – iPad mini第五代起 – 运行macOS Sequoia系统的Mac设备 – Apple Vision Pro 苹果暂未透露漏洞发现者信息，也未披露相关攻击行动的具体细节。虽然该漏洞目前主要用于定向攻击，但安全专家强烈建议用户立即更新系统以防范潜在攻击。 这是苹果本年度修复的第三个零日漏洞，此前分别于1月（CVE-2025-24085）和2月（CVE-2025-24200）修复两处漏洞。2024全年苹果共修复6个野外利用漏洞，而2023年漏洞修复量达20个，其中包含： – 11月：CVE-2023-42916、CVE-2023-42917 – 10月：CVE-2023-42824、CVE-2023-5217 – 9月：5个漏洞（CVE-2023-41061等） – 7月：CVE-2023-37450、CVE-2023-38606 – 6月：CVE-2023-32434等3个 – 5月：CVE-2023-32409等3个 – 4月：CVE-2023-28206等2个 – 2月：WebKit漏洞CVE-2023-23529   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一根据在野活跃利用的证据，将影响Advantive VeraCore和Ivanti Endpoint Manager（EPM）的五个安全漏洞添加到了已知被利用漏洞（KEV）目录中。 漏洞列表如下： – CVE-2024-57968：Advantive VeraCore中的无限制文件上传漏洞，允许远程未认证的攻击者通过upload.aspx上传文件到意外的文件夹。 – CVE-2025-25181：Advantive VeraCore中的SQL注入漏洞，允许远程攻击者执行任意SQL命令。 – CVE-2024-13159：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13160：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13161：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 VeraCore漏洞的利用被归因于可能是一个名为XE Group的越南威胁行为者，该组织已被观察到投放反向shell和web shell以维持对受感染系统的持久远程访问。 另一方面，目前没有公开报告说明三个Ivanti EPM漏洞在现实攻击中是如何被利用的。上个月，Horizon3.ai发布了一个概念验证（PoC）利用。这家网络安全公司将它们描述为“凭证强迫”漏洞，可能允许未认证的攻击者危及服务器。 鉴于活跃利用的情况，联邦民用执行分支（FCEB）机构必须在2025年3月31日之前应用必要的补丁。 这一发展正值威胁情报公司GreyNoise警告CVE-2024-4577的大规模利用，这是一个影响PHP-CGI的严重漏洞，攻击活动激增，针对日本、新加坡、印度尼西亚、英国、西班牙和印度。 “过去30天内针对CVE-2024-4577的IP中，超过43%来自德国和中国，”GreyNoise表示，并补充说，它“检测到2月份针对多个国家网络的协调性利用尝试激增，表明对易受攻击目标的额外自动化扫描。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国台湾地区公司摩莎（Moxa）发布了一项安全更新，以解决其PT交换机中的一个关键安全漏洞，该漏洞可能允许攻击者绕过认证。 该漏洞被追踪为CVE-2024-12297，CVSS v4评分为9.2（满分10.0）。 摩莎在上周发布的一份咨询报告中表示：“由于授权机制中的缺陷，多款摩莎PT交换机容易出现认证绕过漏洞。” “尽管有客户端和后端服务器验证，但攻击者可以利用其实现中的漏洞。该漏洞可能使暴力破解攻击得以进行，以猜测有效凭证，或者利用MD5冲突攻击伪造认证哈希，从而可能危及设备的安全。” 成功利用这一漏洞，可能会导致认证绕过，允许攻击者获得未经授权的访问权限，进入敏感配置或中断服务。 受影响的版本包括： – PT-508系列（固件版本3.8及更早版本） – PT-510系列（固件版本3.8及更早版本） – PT-7528系列（固件版本5.0及更早版本） – PT-7728系列（固件版本3.9及更早版本） – PT-7828系列（固件版本4.0及更早版本） – PT-G503系列（固件版本5.3及更早版本） – PT-G510系列（固件版本6.5及更早版本） – PT-G7728系列（固件版本6.5及更早版本） – PT-G7828系列（固件版本6.5及更早版本） 该漏洞的补丁可通过联系摩莎技术支持团队获得。该公司感谢莫斯科Rosatom自动化控制系统（RASU）的Artem Turyshev报告了这一漏洞。 除了应用最新修复程序外，使用受影响产品的公司还被建议使用防火墙或访问控制列表（ACL）限制网络访问，强制执行网络分段，尽量减少直接暴露于互联网，对访问关键系统实施多因素认证（MFA），启用事件日志记录，并监控网络流量和设备行为以发现异常活动。 值得注意的是，摩莎在2025年1月中旬已经解决了以太网交换机EDS-508A系列（固件版本3.11及更早版本）中的同一漏洞。 这一修复措施是在两个月前摩莎推出其蜂窝路由器、安全路由器和网络安全设备的补丁（CVE-2024-9138和CVE-2024-9140）之后不久，这些补丁可防止权限提升和命令执行。 上个月，摩莎还解决了影响各种交换机的多个高严重性漏洞（CVE-2024-7695、CVE-2024-9404和CVE-2024-9137），可能导致拒绝服务（DoS）攻击或命令执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基在 2024 年观察到，南亚和东南亚、中东和非洲的海事和物流公司成为了被称作 SideWinder 的高级持续性威胁（APT）组织的攻击目标。 这些攻击活动遍布孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南。其他攻击目标还包括南亚和非洲的核电站和核能基础设施，以及电信、咨询、IT 服务公司、房地产代理和酒店。 在看似更广泛地扩展其受害者范围的情况下，SideWinder 还针对了阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体。针对印度的攻击尤为显著，因为之前曾怀疑该威胁行为者来自印度。 “值得注意的是，SideWinder 不断努力改进其工具集，以领先于安全软件的检测，延长在受感染网络中的持续存在，并隐藏在受感染系统中的痕迹，”研究人员 Giampaolo Dedola 和 Vasily Berdnikov 说，他们将其描述为“一个高度先进且危险的对手”。 SideWinder 之前在 2024 年 10 月曾是俄罗斯网络安全公司进行广泛分析的主题，记录了该威胁行为者使用名为 StealerBot 的模块化后利用工具包，从受感染的主机中捕获广泛敏感信息的情况。2024 年 7 月，BlackBerry 也强调了该黑客组织针对海事部门的攻击。 最新的攻击链与之前报告的情况相符，鱼叉式网络钓鱼电子邮件作为渠道，投放利用微软 Office 公式编辑器（CVE-2017-11882）中已知安全漏洞的陷阱文档，以激活多阶段序列，进而使用名为 ModuleInstaller 的 .NET 下载器，最终启动 StealerBot。 卡巴斯基表示，一些诱饵文档与核电站和核能机构有关，而其他文档则包含提及海事基础设施和各个港口当局的内容。 “他们不断监测其工具集被安全解决方案检测到的情况，”卡巴斯基说，“一旦他们的工具被识别，他们会在不到五小时的时间内生成新的恶意软件版本。” “如果出现行为检测，SideWinder 会尝试更改用于维持持续性和加载组件的技术。此外，他们还会更改恶意文件的名称和路径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Cato CTRL 团队的新发现，未修复的 TP-Link Archer 路由器已成为一个新的僵尸网络活动的目标，该活动被称为 Ballista。 “该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389），通过互联网自动传播自身。” 安全研究员 Ofek Vardi 和 Matan Mittelman 在与 The Hacker News 共享的技术报告中表示。 CVE-2023-1389 是影响 TP-Link Archer AX-21 路由器的高严重性安全漏洞，可能导致命令注入，从而为远程代码执行铺平道路。 最早利用该漏洞的证据可以追溯到 2023 年 4 月，当时未知的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那以后，它还被用来传播 Condi 和 AndroxGh0st 等其他恶意软件家族。 Cato CTRL 表示，他们于 2025 年 1 月 10 日检测到了 Ballista 活动，最近一次利用尝试记录在 2 月 17 日。 攻击序列涉及使用恶意软件投放器，一个名为 “dropbpb.sh” 的 shell 脚本，设计用于在目标系统上获取并执行适用于各种系统架构（如 mips、mipsel、armv5l、armv7l 和 x86_64）的主要二进制文件。 一旦执行，恶意软件会在 82 端口建立加密的命令和控制（C2）通道，以控制设备。 “这允许运行 shell 命令以进行进一步的远程代码执行和拒绝服务（DoS）攻击。” 研究人员表示，“此外，恶意软件还会尝试读取本地系统上的敏感文件。” Ballista 僵尸网络 支持的一些命令包括： flooder，触发洪水攻击 exploiter，利用 CVE-2023-1389 漏洞 start，与 exploiter 一起使用的可选参数，用于启动模块 close，停止触发功能的模块 shell，在本地系统上运行 Linux shell 命令 killall，用于终止服务 此外，它能够在执行开始时终止之前的实例并擦除自身存在。它还设计用于通过尝试利用该漏洞传播到其他路由器。 使用 C2 IP 地址位置（2.237.57[.]70）和恶意软件二进制文件中存在意大利语字符串，表明涉及未知的意大利威胁行为者，网络安全公司表示。 尽管如此，似乎该恶意软件正在积极开发中，因为该 IP 地址已不再有效，并且存在一个新的投放器变体，使用 TOR 网络域而不是硬编码的 IP 地址。 在攻击面管理平台 Censys 上的搜索显示，超过 6000 台设备被 Ballista 感染。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。 该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务和科技组织。 “虽然这个恶意软件样本与其他僵尸网络有相似之处，但它仍然与广泛使用的 Mirai 和 Mozi 僵尸网络不同。” 研究人员表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 Blind Eagle 的威胁行为者自 2024 年 11 月以来，与一系列针对哥伦比亚机构和政府实体的持续攻击活动有关。 “监控到的攻击活动针对哥伦比亚司法机构以及其他政府或私人组织，感染率很高。” Check Point 在一项新分析中表示。 “在 2024 年 12 月 19 日左右进行的一次攻击活动中，超过 1600 名受害者受到影响。考虑到 Blind Eagle 的定向 APT 方法，这一感染率非常显著。” 自 2018 年以来一直活跃的 Blind Eagle ，也被称为 AguilaCiega、APT-C-36 和 APT-Q-98。它以对南美实体，特别是哥伦比亚和厄瓜多尔的超针对性攻击而闻名。 该威胁行为者策划的攻击链涉及使用社会工程学手段，通常以鱼叉式网络钓鱼电子邮件的形式，获取对目标系统的初始访问权限，并最终投放现成的远程访问木马，如 AsyncRAT、NjRAT、Quasar RAT 和 Remcos RAT。 最新的入侵行为因三个原因而引人注目：使用了针对微软 Windows 漏洞（CVE-2024-43451）的变种利用，采用了新兴的 “打包即服务”（PaaS）HeartCrypt，以及通过 Bitbucket 和 GitHub 分发有效载荷，超越了谷歌硬盘和 Dropbox。 具体来说，HeartCrypt 用于保护恶意可执行文件，这是 PureCrypter 的一个变种，然后负责启动托管在现已被删除的 Bitbucket 或 GitHub 存储库上的 Remcos RAT 恶意软件。 CVE-2024-43451 指的是微软在 2024 年 11 月修复的 NTLMv2 哈希泄露漏洞。据 Check Point 称，盲鹰在补丁发布后仅六天就将其变种纳入攻击武器库，导致毫无戒心的受害者在手动点击通过网络钓鱼电子邮件分发的恶意.URL 文件时推进感染。 “虽然这个变种实际上并不会暴露 NTLMv2 哈希，但它会通知威胁行为者文件是由同一异常用户文件交互下载的。” 这家网络安全公司表示。 “在易受 CVE-2024-43451 影响的设备上，即使在用户手动与文件交互之前，也会触发 WebDAV 请求，表现出同样的异常行为。同时，在已打补丁和未打补丁的系统上，手动点击恶意.URL 文件会启动下一阶段有效载荷的下载和执行。” Check Point 指出，这种 “快速反应” 有助于突出该组织的技术专长以及其在面对不断演变的安全防御时适应和追求新攻击方法的能力。 作为威胁行为者起源的铁证，GitHub 存储库显示该威胁行为者在 UTC-5 时区运营，与南美多个国家一致。 不仅如此，似乎出现了一次操作失误，对存储库提交历史的分析发现了一个包含 1634 个唯一电子邮件地址的账户密码对文件。 尽管名为 “Ver Datos del Formulario.html” 的 HTML 文件于 2025 年 2 月 25 日从存储库中删除，但发现它包含与个人、政府机构、教育机构和在哥伦比亚运营的企业相关的详细信息，如用户名、密码、电子邮件、电子邮件密码和 ATM PIN 码。 “其成功的关键因素之一是能够利用合法的文件共享平台，包括谷歌硬盘、Dropbox、Bitbucket 和 GitHub，使其能够绕过传统安全措施并秘密分发恶意软件。” Check Point 表示。 “此外，其使用地下犯罪软件工具如 Remcos RAT、HeartCrypt 和 PureCrypter 加强了其与网络犯罪生态系统的深厚联系，提供了访问 sophisticated 逃避技术和持续访问方法的途径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本电信巨头 NTT 近日遭遇数据泄露事件，波及近 1.8 万家企业的客户信息。 2 月 5 日，NTT 安全团队在其“订单信息分发系统”中检测到可疑活动，并立即限制了对设备 A 的访问。根据公司发布的数据泄露通知，2 月 5 日 NTT 通信公司（NTT Com）发现其设施遭到了非法访问，并于 2 月 6 日确认部分信息可能已经泄露（以下简称“事件”）。公司表示：“通过内部调查，我们发现存储在内部系统（即订单信息分发系统 *1）中的部分企业客户服务信息可能已经外泄。请注意，个人客户的服务信息未包含在内。” 进一步调查显示，2 月 15 日还发现了另一台设备的未授权访问，该公司随后封锁了该设备。调查结果显示，此次事件共泄露了 17,891 家企业的数据，公司将通知受影响客户。 可能泄露的信息包括合同编号、客户名称（合同名称）、客户联系人姓名、电话号码、电子邮件地址、地址及与服务使用相关的信息。不过，事件并未涉及 NTT Docomo 直接提供的企业智能手机和移动电话合同。 NTT 表示将加强安全措施，提高服务质量，并在保护客户隐私的前提下及时披露最新进展。这并非 NTT 首次遭遇数据泄露。2020 年 5 月，NTT 通信公司曾披露一起数据泄露事件，影响了数百名客户。 当时，公司在 5 月 7 日发现部分系统遭到未授权访问后启动调查，并于几天前确认攻击者可能窃取了部分信息。根据当时的数据泄露通知，NTT Com 在 5 月 7 日检测到攻击者对其设备的未授权访问，并于 5 月 11 日确认部分信息可能已经外泄。 NTT Com 的专家最初在一台 Active Directory 服务器上发现了可疑活动，随后发现攻击者入侵了一台运营服务器和一台存储客户信息的信息管理服务器。内部调查显示，攻击者最初瞄准了一台位于新加坡的服务器，然后利用其进行横向移动，进而渗透到日本的基础设施。 针对该事件，公司关闭了受影响的服务器，以防止恶意软件传播并与外部服务器通信。据 NTT 称，此次安全漏洞可能影响 621 家公司的信息，这些信息均存储在该信息管理服务器上。公司还宣布，已采取额外措施以防止未来发生类似攻击。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的 Python JSON Logger 库中披露的一个漏洞，通过依赖链缺陷，暴露了约 4300 万个安装，使其面临潜在的远程代码执行（RCE）攻击风险。该漏洞编号为 GHSA-wmxh-pxcx-9w24，CVSS v3 严重程度评分为 8.8/10，源于一个未注册的依赖项（”msgspec-python313-pre”），攻击者可能利用它劫持软件包安装。 安全研究员 Omnigodz 发现，攻击者可能利用此漏洞在使用受影响版本（3.2.0 和 3.2.1）日志工具的系统中执行任意代码。维护者在研究员通过 GitHub 安全咨询程序负责任地披露问题后，发布了修复版本 3.3.0。 该漏洞是一个典型的依赖混淆攻击案例，攻击者利用软件供应链中的漏洞。Python JSON Logger 的 pyproject.toml 配置文件包含一个名为 msgspec-python313-pre 的可选开发依赖项，用于 Python 3.13 兼容性。然而，由于原始维护者删除了该包，其名称在 PyPI 上未注册，形成了命名空间真空。 如 Omnigodz 的概念验证研究所示，任何 PyPI 用户都可以声明被遗弃的包名并发布恶意代码。当开发者在 Python 3.13 环境中通过 pip install python-json-logger[dev] 安装日志记录器的开发依赖项时，包管理器会自动获取攻击者控制的 msgspec-python313-pre（如果存在于公共存储库中）。研究人员通过临时注册一个良性版本的包（v0.0.0.1）确认了这一攻击路径，但没有证据表明在漏洞窗口期间发生了恶意利用。 根据 PyPI 的 BigQuery 计量，Python JSON Logger 每月下载量超过 4600 万次，其广泛采用放大了此漏洞的潜在影响。成功利用该漏洞将通过 RCE 能力授予攻击者完整的系统控制权，根据 CVSS 计量标准，这将危及机密性、完整性和可用性。这种攻击只需要较低的复杂度——只需在 PyPI 上发布一个恶意包——但取决于受害者是否在启用了开发依赖项的情况下使用 Python 3.13，这在 CI/CD 管道和开发人员工作站中是一种常见配置。 值得注意的是，尽管一个月前的缓解提交（1ce81a3）从项目的源代码中移除了有问题的依赖项，但该漏洞仍然存在。因为这个修复直到 3.3.0 版本才被包含在官方的 PyPI 发布中，所以所有使用标准包管理流程的安装仍然处于脆弱状态。这凸显了在开源维护周期中，将存储库更新与 PyPI 包发布同步的关键需求。 Python JSON Logger 的维护者通过两项并行措施解决了该漏洞： 发布了 v3.3.0，完全消除了 msgspec-python313-pre 依赖项。 与 Omnigodz 协调转移了争议软件包名称的所有权，有效防止了命名空间劫持。 安全团队建议立即使用 pip install –upgrade python-json-logger==3.3.0 升级至 v3.3.0。无法立即更新的组织应审核其 Python 环境。 “开发人员必须将依赖项视为攻击面，”Omnigodz 在他们的会议论文中指出，“特别是那些可选的依赖项，尽管具有完整的执行权限，但它们经常逃脱安全扫描器的检测。” 根据 ESET 的 2025 年威胁报告显示，供应链攻击正以每年 78% 的速度增长。该漏洞突出了 Python 生态系统在平衡可用性和安全性方面面临的持续挑战。尽管尚未有任何数据泄露事件与此具体漏洞相关联，但其发现促使主要开源社区重新审视依赖管理实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024 年，通过谷歌的漏洞赏金计划（VRP），660 名安全研究员因报告安全漏洞共获得了近 1200 万美元的赏金。 谷歌在去年对 VRP 的奖励结构进行了改革，将单笔最高奖励提升至 151515 美元，而移动 VRP 为顶级应用的关键漏洞提供高达 300000 美元的奖励（对于特别高质量的报告，最高奖励可达 450000 美元）。 去年 7 月，云 VRP 将顶级奖励金额最高上调了五倍，而 Chrome 安全漏洞的赏金如今也已超过 250000 美元。 去年，谷歌还将 MiraclePtr 绕过漏洞的赏金从 100115 美元提高到 250128 美元，翻了一倍多。此外，2023 年 10 月推出的 kvmCTF 新漏洞赏金计划，旨在提升基于内核的虚拟机（KVM）管理程序的安全性，为完整的虚拟机逃逸漏洞提供 250000 美元的赏金。 谷歌表示，自 2010 年首个漏洞赏金计划启动以来，已累计发放 6500 万美元的漏洞赏金，而去年的最高单笔奖励超过 110000 美元。 2024 年，谷歌向 137 名 Chrome VRP 研究员发放了 340 万美元，以奖励他们报告的 137 个有效 Chrome 安全漏洞。 去年，谷歌还向通过 Android 和谷歌设备安全奖励计划以及谷歌移动漏洞赏金计划报告安全漏洞的研究员支付了 330 多万美元。 “2025 年，我们将庆祝谷歌 VRP 15 周年。15 年来，我们始终致力于与安全社区的合作、创新和透明度，未来也将继续如此。” 谷歌表示，“我们的目标仍然是领先于新兴威胁，适应技术发展，并持续增强谷歌产品和服务的安全性。” 2023 年，谷歌向 632 名研究员支付了 1000 万美元，以奖励他们发现并负责任地报告其产品和服务中的安全漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）将开始向被Restoro和Reimage两家技术支援公司误导的受害者分发超过2550万美元的退款。 FTC将从3月13日起通过PayPal向736375名消费者发送退款，这些消费者曾被欺骗支付不必要的电脑维修服务费用。从现在到3月13日期间，符合条件的退款接收者将收到电子邮件，并需在30天内兑换PayPal付款。 Restoro Cyprus Limited和Reimage Cyprus Limited因违反FTC法案和电话营销规则，于一年前被罚款2600万美元。他们通过在线广告和弹出窗口，冒充Windows弹出窗口和系统警告，声称消费者的电脑感染了恶意软件、存在性能问题，并需要紧急关注以避免损害。 “自2018年1月以来，被告通过互联网和电话营销，以Restoro和Reimage的品牌名称，向消费者推销所谓的电脑维修服务，”FTC在投诉中表示，“被告使用相同的欺骗手段来营销和销售Restoro和Reimage，包括欺骗性弹出窗口、互联网营销、扫描所谓的错误和风险，以及电话营销。” “被告的弹出窗口和互联网广告以提供免费扫描或电脑‘更新’为诱饵吸引消费者。无论电脑实际状况如何，扫描或更新最终都会发现所谓的性能或安全问题，需要进行维修。” 正如FTC在2024年3月所揭示的，其调查人员也曾在2022年5月至6月期间为Restoro，以及2022年7月至8月期间为Reimage支付了服务费用，以复制消费者体验。 尽管用于测试购买服务的设备没有性能或安全问题，并且运行着杀毒软件，但使用这两家公司的软件进行扫描“揭示”了数百个需要修复的问题，包括“电脑隐私问题”、“崩溃的程序”、“垃圾文件”和“损坏的注册表问题”。 他们还被要求支付高达58美元的“电脑维修计划”费用，并在支付后被敦促拨打“激活”电话给Restore和Reimage的电话营销人员，后者告知他们软件无法修复所有问题。 Restoro和Reimage的电话营销人员要求访问调查人员的电脑，并声称发现更多“错误、关键警告、病毒或恶意软件”，同时指向与标准且无害的系统错误和警告相关的Microsoft Windows事件查看器日志条目。 “电话营销人员随后推荐由技术人员提供的维修服务。他们提供各种‘维修计划’，价格分别为‘银牌’服务199.99美元、‘金牌’服务299.99美元或‘铂金’服务499.99美元，”FTC当时补充道。 除了2600万美元的罚款外，FTC的命令还禁止这两家公司使用欺骗性电话营销和歪曲性能或安全问题，以恐吓消费者购买不必要的电脑维修服务。 去年，FTC还命令Turbotax制造商Intuit停止营销“免费”但并非免费的软件，禁止Avast出售用户浏览数据用于广告目的，并禁止数据经纪公司InMarket和Outlogic出售美国人的原始位置数据。 12月，该机构还向受Epic Games使用暗模式欺骗玩家进行不必要的购买影响的人分发了超过7200万美元的Fortnite退款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亲巴勒斯坦的黑客组织 Dark Storm 声称，周一通过分布式拒绝服务（DDoS）攻击导致全球多地的 X 平台（原推特）出现中断，X 平台随后启用了 Cloudflare 的 DDoS 防护服务。 X 平台的所有者埃隆·马斯克虽未明确指出中断是由于 DDoS 攻击，但他确认是遭到了“大规模网络攻击”。 “针对 X 平台的网络攻击仍在持续，”马斯克在 X 平台上发文称，“我们每天都会遭受攻击，但这次动用了大量资源，可能是大型有组织的团体或某个国家所为。” Dark Storm 是一个亲巴勒斯坦的黑客组织，于 2023 年成立，曾多次攻击以色列、欧洲和美国的组织。 该组织今日在 Telegram 频道上发布消息，声称对 Twitter 发起 DDoS 攻击，并分享了攻击证明的截图和链接。 Check-host.net 是一个允许用户检查全球不同服务器上网站可用性的网站，常在 DDoS 攻击期间用于展示攻击正在进行。 X 平台目前受 Cloudflare 的 DDoS 防护服务保护，当可疑 IP 地址连接网站或单个 IP 地址请求过多时，会显示验证码。 该网站的 help.x.com 部分目前对所有请求都显示 Cloudflare 验证码。 黑客组织多次证明，他们能够利用僵尸网络等资源，干扰大型科技平台。 2024 年，美国指控两名苏丹兄弟涉嫌运营 Anonymous Sudan 黑客组织。 该组织成功使包括 Cloudflare、微软和 OpenAI 在内的多家大型科技公司的网站和 API 下线，导致全球众多用户服务中断。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的大规模恶意软件活动正在通过伪装成旨在绕过在线服务限制的工具，用名为SilentCryptoMiner的加密货币矿工感染用户。 俄罗斯网络安全公司卡巴斯基表示，这一活动是更大趋势的一部分，网络犯罪分子越来越多地利用Windows数据包重定向（WPD）工具，以限制绕过程序的形式分发恶意软件。 “此类软件通常以存档形式分发，附带文本安装说明，开发者以误报为由建议禁用安全解决方案，”研究人员列昂尼德·别兹韦申科、德米特里·皮库什和奥列格·库普列夫表示，“这正好符合攻击者的利益，使他们能够在不受保护的系统中持续存在，而不会被发现。” 这种手段已被用于传播窃取程序、远程访问工具（RATs）、提供隐藏远程访问的特洛伊木马以及像NJRat、XWorm、Phemedrone和DCRat这样的加密货币矿工。 这一策略的最新变化是一场活动，通过伪装成基于深度数据包检测（DPI）绕过工具的矿工，感染了2000多名俄罗斯用户。据说，该程序通过一个拥有6万订阅者的YouTube频道上的恶意存档链接进行宣传。 在2024年11月发现的后续策略升级中，威胁者被发现冒充工具开发者，以虚假的版权打击通知威胁频道所有者，要求他们发布带有恶意链接的视频，否则以所谓的侵权为由面临频道被关闭的风险。 “2024年12月，用户报告了通过其他Telegram和YouTube频道分发的感染矿工的工具版本，这些频道随后被关闭，”卡巴斯基表示。 这些带有陷阱的存档文件被发现包含一个额外的可执行文件，其中一个合法的批处理脚本被修改为通过PowerShell运行二进制文件。如果系统中安装的杀毒软件干扰攻击链并删除恶意二进制文件，用户将看到一条错误消息，提示他们重新下载文件，并在禁用安全解决方案后运行它。 该可执行文件是一个基于Python的加载程序，旨在检索下一阶段的恶意软件，另一个Python脚本下载SilentCryptoMiner矿工有效载荷并建立持久性，但在检查是否在沙盒中运行并配置Windows Defender排除项之前不会采取行动。 “为了隐身，SilentCryptoMiner采用进程空心化技术将矿工代码注入系统进程（在这种情况下是dwm.exe），”卡巴斯基表示，“该恶意软件能够在配置中指定的进程活动时停止挖矿，并且可以通过网页面板进行远程控制。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2024年9月以来，中东和北非地区成为了一场新型攻击活动的目标，该活动传播了一种经过修改的知名恶意软件AsyncRAT。 “这场利用社交媒体分发恶意软件的活动，与该地区的当前地缘政治气候有关，”Positive Technologies的研究人员克利门蒂·加尔金和斯坦尼斯拉夫·皮日霍夫在上周发布的一份分析报告中表示。“攻击者将恶意软件托管在合法的在线文件共享账户或专门为此目的设立的Telegram频道中。” 据估计，自2024年秋季以来，这场活动已经感染了大约900名受害者，俄罗斯网络安全公司补充道，这表明其传播范围广泛。大多数受害者位于利比亚、沙特阿拉伯、埃及、土耳其、阿拉伯联合酋长国、卡塔尔和突尼斯。 这一活动被归因于一个名为Desert Dexter的威胁行为者，该行为者于2025年2月被发现。其主要手段是在Facebook上创建临时账户和新闻频道，然后利用这些账户发布包含文件共享服务或Telegram频道链接的广告。 网络安全研究人员指出，这些链接会将用户重定向到一个经过修改的AsyncRAT恶意软件版本，该版本包含离线键盘记录功能；搜索16种不同的加密货币钱包扩展和应用程序；并与Telegram机器人通信。 攻击链从一个RAR存档开始，其中包含批处理脚本或JavaScript文件，这些文件被编程为运行PowerShell脚本，该脚本负责触发攻击的第二阶段。 具体来说，它终止了与各种.NET服务相关的进程，这些进程可能会阻止恶意软件启动，从“C:\ProgramData\WindowsHost”和“C:\Users\Public”文件夹中删除扩展名为BAT、PS1和VBS的文件，并在C:\ProgramData\WindowsHost中创建一个新的VBS文件，在C:\Users\Public中创建BAT和PS1文件。 该脚本随后在系统上建立持久性，收集并外泄系统信息到Telegram机器人，截取屏幕截图，并最终通过将AsyncRAT有效载荷注入“aspnet_compiler.exe”可执行文件来启动它。 目前尚不清楚谁是这场活动的幕后黑手，尽管JavaScript文件中的阿拉伯语评论暗示了他们可能的来源。 对发送到Telegram机器人的消息的进一步分析显示，攻击者的桌面截图名为“DEXTERMSI”，其中包含PowerShell脚本以及一个名为Luminosity Link RAT的工具。Telegram机器人中还有一个名为“dexterlyly”的Telegram频道的链接，这表明威胁行为者可能来自利比亚。该频道创建于2024年10月5日。 “大多数受害者是普通用户，包括以下行业的员工：石油生产、建筑、信息技术和农业，”研究人员表示。 网络安全研究人员指出，Desert Dexter使用的工具并不特别复杂。然而，Facebook广告与合法服务的结合以及对地缘政治形势的利用，已经导致了众多设备被感染。 这一消息的出现正值奇安信（QiAnXin）披露了一场名为“海象行动”的鱼叉式网络钓鱼活动的细节，该活动被发现针对中国科研机构，目的是投放一个能够收集与海洋科学和技术相关的敏感信息的后门。 这一活动被归因于一个名为UTG-Q-011的集群，据称，它是另一个敌对集体CNC集团的一个子集，该集团与印度的Patchwork威胁行为者在战术上存在重叠。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员展示了一种新技术，使恶意网络浏览器扩展能够伪装成任何已安装的插件。 “多态扩展创建了目标图标的像素级复制品、HTML弹出窗口、工作流程，甚至暂时禁用合法扩展，使受害者极易相信他们是在向真实扩展提供凭据，”SquareX在上周发布的一份报告中表示。 收集到的凭据随后可能被威胁者滥用，以劫持在线账户并获取未经授权的敏感个人和财务信息访问权限。这次攻击影响了所有基于Chromium的网络浏览器，包括谷歌Chrome、微软Edge、Brave、Opera等。 这种方法利用了用户通常会将扩展程序钉选到浏览器工具栏的事实。在假设的攻击场景中，威胁者可以将多态扩展发布到Chrome网络商店（或任何扩展市场）并将其伪装成实用程序。 网络安全研究人员指出，虽然该插件提供了广告宣传的功能以免引起怀疑，但它在后台通过主动扫描与特定目标扩展相关的网络资源（使用一种称为网络资源撞击的技术）来激活恶意功能。 一旦识别出合适的目标扩展，攻击便会进入下一阶段，导致其变成合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标匹配，并通过“chrome.management”API暂时禁用实际插件来实现的，这会导致它从工具栏中被移除。 “多态扩展攻击极为强大，因为它利用了人类依赖视觉线索进行确认的倾向，”SquareX表示。“在这种情况下，工具栏上扩展图标用于告知用户他们正在交互的工具。” 这一发现是在该公司一个月前披露另一种名为“浏览器同步劫持”的攻击方法之后得出的，该方法可以通过看似无害的浏览器扩展来控制受害者的设备。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 出于经济利益驱动的威胁组织EncryptHub被发现通过复杂的网络钓鱼活动部署信息窃取器和勒索软件，同时还在开发一款名为EncryptRAT的新产品。 Outpost24的KrakenLabs在一份报告中称：“EncryptHub通过分发热门应用的被篡改版本来攻击用户，还利用了第三方按安装付费（PPI）分发服务。” 这家网络安全公司将该威胁组织描述为一个存在操作安全失误的黑客团体，且该团体会将针对热门安全漏洞的利用整合到攻击活动中。 EncryptHub还被瑞士网络安全公司PRODAFT追踪为LARVA-208，被认为自2024年6月底开始活跃，采用从短信钓鱼到语音钓鱼等多种方式，诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司向《黑客新闻》透露，该网络钓鱼组织与RansomHub和Blacksuit勒索软件组织有关联，过去九个月里，利用高级社会工程学手段攻击了618个高价值目标，涉及多个行业。 “攻击者通常会创建一个针对组织的钓鱼网站来获取受害者的VPN凭证，”PRODAFT表示，“随后，受害者会接到电话，被要求在钓鱼网站上输入个人信息以解决技术问题，对方伪装成IT团队或客服。如果攻击不是通过电话，而是直接发送短信，就会使用伪造的Microsoft Teams链接来说服受害者。” 这些钓鱼网站托管在防弹主机提供商Yalishand等平台上。一旦获得访问权限，EncryptHub就会运行PowerShell脚本，进而部署Fickle、StealC和Rhadamanthys等窃取器恶意软件。大多数情况下，攻击的最终目的是投放勒索软件并索要赎金。 威胁者采用的另一种常见方法是使用伪装成合法软件的特洛伊木马应用程序作为初始访问手段。这些包括QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect的假冒版本。 这些被篡改的应用程序一旦安装，就会触发一个多阶段的过程，作为后续有效载荷（如Kematian窃取器）的传递工具，以方便窃取Cookie。 自2025年1月2日起，EncryptHub分发链的一个关键部分是使用名为LabInstalls的第三方PPI服务，该服务为付费客户（从10美元100次安装到450美元10000次安装）提供批量恶意软件安装。 “EncryptHub通过在俄语顶级地下论坛XSS上的LabInstalls销售帖子中留下好评，甚至附上使用该服务的截图，确认自己是其客户，”Outpost24表示。 “该威胁者很可能雇佣这项服务以减轻分发负担并扩大其恶意软件的攻击范围。” 这些变化突显了EncryptHub攻击链的积极调整，该组织还在开发新组件，如用于管理活跃感染、发布远程命令和访问被盗数据的命令与控制（C2）面板EncryptRAT。有证据表明，对手可能正考虑将该工具商业化。 “EncryptHub不断演变其战术，强调了持续监控和积极防御措施的必要性，”该公司表示，“组织必须保持警惕，采用多层次安全策略来降低此类对手带来的风险。” 提醒广大用户：为规避风险，请从官方或可信赖的渠道下载软件，避免使用来路不明的安装包。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 1 月以来，不明身份的黑客组织针对日本的企业发起了一系列恶意攻击，受害者涵盖科技、电信、娱乐、教育及电商行业。   Cisco Talos 研究员 Chetan Raghuprasad 在周四发布的技术报告中指出，攻击者利用 CVE-2024-4577 漏洞（PHP 在 Windows 平台的 PHP-CGI 远程代码执行漏洞）作为初始攻击手段，成功入侵目标系统。   “攻击者利用这一漏洞获取初始访问权限，并运行 PowerShell 脚本，以执行 Cobalt Strike 反向 HTTP shellcode 载荷，从而实现对受感染终端的长期远程控制，”Raghuprasad 表示。   入侵后，攻击者利用 JuicyPotato、RottenPotato、SweetPotato、Fscan 和 Seatbelt 等工具进行侦察、权限提升和横向移动。同时，黑客通过修改 Windows 注册表、创建计划任务及自定义服务等手段，进一步巩固在系统内的持久化控制。此外，攻击者使用 Cobalt Strike 插件 “TaoWu” 进行后渗透攻击。   为了隐藏恶意行为，黑客利用 wevtutil 命令清除 Windows 事件日志，抹除安全、系统及应用日志中的记录。最终，攻击者执行 Mimikatz 命令，从内存中提取并窃取密码及 NTLM 哈希。   攻击的最终目标是窃取凭据，而进一步分析 Cobalt Strike 的命令与控制（C2）服务器后发现，黑客意外暴露了存储在阿里云服务器上的完整攻击工具集。   攻击者使用的工具包括：   – Browser Exploitation Framework（BeEF）：一款公开可用的渗透测试工具，可在浏览器上下文中执行命令。   – Viper C2：一个模块化的 C2 框架，支持远程命令执行，并可生成 Meterpreter 反向 shell 载荷。   – Blue-Lotus：一个 JavaScript Webshell XSS 攻击框架，可用于劫持浏览器会话、窃取 Cookie、截取屏幕截图、创建反向 shell，甚至在内容管理系统（CMS）中创建新账户。   “根据我们观察到的后渗透活动，包括建立持久性、提升至 SYSTEM 级权限，以及对对抗性框架的潜在访问，我们有理由相信，攻击者的动机不仅仅是窃取凭据，而是可能策划更大规模的未来攻击，”Raghuprasad 表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部正式指控俄罗斯加密货币交易所 Garantex 的管理员协助犯罪组织进行洗钱，并违反制裁规定。   涉案人员包括 46 岁的立陶宛籍俄罗斯居民 Aleksej Besciokov 和 40 岁的俄罗斯籍阿联酋居民 Aleksandr Mira Serda。两人自 2019 年至 2025 年间控制 Garantex，现被指控共谋洗钱，最高可判 20 年监禁。   此外，Besciokov 还被指控共谋经营未经许可的资金传输业务（最高可判 5 年监禁）以及违反《国际紧急经济权力法》（最高可判 20 年监禁）。   美国司法部今日表示，自 2019 年 4 月以来，Garantex 至少处理了 960 亿美元的加密货币交易。   Mira Serda 担任 Garantex 的联合创始人兼首席商务官，而 Besciokov 则是技术管理员，负责维护 Garantex 的关键基础设施，并审核、批准交易。   司法部指出，两人明知 Garantex 被用于洗白数亿美元的犯罪所得，并助长黑客攻击、勒索软件、毒品交易及恐怖活动，仍采取措施隐瞒交易所的非法行为。   本周，美国司法部联合德国和芬兰执法机构，查封了 Garantex 的域名（Garantex[.]org、Garantex[.]io、Garantex[.]academy）及其运营服务器。   此外，美国当局还掌握了此前的服务器副本，包括账目记录及客户数据库，并冻结了超过 2600 万美元的洗钱资金。   由于 Garantex 遭到欧盟第 16 轮对俄制裁，稳定币发行商 Tether 已封锁其数字钱包，迫使 Garantex 于周四暂停服务。本轮制裁针对 542 名个人及实体。   Garantex 团队在周四的 Telegram 公告中表示：“我们有坏消息。Tether 参与了针对俄罗斯加密市场的战争，冻结了我们价值超过 25 亿卢布的钱包。”   “我们暂时中止所有服务，包括加密货币提取。目前整个团队正全力解决此问题。我们在战斗，不会放弃！请注意，所有俄罗斯钱包中的 USDT 现已面临风险。”   2022 年 4 月，美国财政部外国资产控制办公室（OFAC）对 Garantex 进行制裁，原因是该交易所涉及超过 1 亿美元的暗网市场及网络犯罪交易，其中包括臭名昭著的 Conti 勒索软件团伙和 Hydra 暗网市场。   此外，2022 年 2 月，爱沙尼亚金融情报部门撤销了 Garantex 的虚拟货币服务许可证，理由是该交易所未能遵守反洗钱和反恐融资（AML/CFT）政策，并与犯罪资金相关的钱包存在关联。   OFAC 当时表示：“尽管失去了爱沙尼亚的许可证，Garantex 仍通过不正当手段向客户提供服务。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Akamai 研究人员发现，Edimax IC-7100 IP 摄像头存在一个关键的命令注入漏洞（CVE-2025-1316），目前正被僵尸网络恶意软件积极利用以攻陷设备。研究人员确认，这一漏洞正在被用于仍在进行中的攻击。该漏洞源于对传入请求的不当中和，允许攻击者通过发送特制请求来执行远程代码。 Akamai 研究员 Kyle Lefton 表示，他们将在下周提供有关该漏洞及其相关僵尸网络的更多技术细节。 在发现该漏洞后，Akamai 向美国网络安全与基础设施安全局（CISA）报告了这一情况，CISA 随后尝试联系台湾厂商 Edimax。 “无论是 Akamai SIRT 还是 CISA 都多次尝试联系厂商（Edimax）。CISA 未能从他们那里得到回应，”Lefton 告诉 BleepingComputer.com。 “我亲自联系了他们并得到了回复，但他们只是说所涉及的设备 IC-7100 已经停产，因此不会收到进一步的更新。由于 Edimax 无法向我们提供更多资讯，这个 CVE 可能影响更广泛的设备范围，而且不太可能发布补丁。” Edimax IC-7100 是一款用于家庭、小型办公大楼、商业设施和工业场所远程监控的 IP 安全摄像头。该产品已不再广泛零售，于 2011 年 10 月发布，Edimax 将其列为“遗留产品”，这意味着它不再生产，很可能也不再获得支持。然而，全球范围内仍有许多这样的设备在使用。 Edimax 漏洞被追踪为 CVE-2025-1316，是一个严重程度为关键的（CVSS v4.0 评分 9.3）操作系统命令注入漏洞，由传入请求的不当处理引起。远程攻击者可以通过向设备发送特制请求来利用此漏洞，从而获得远程代码执行的能力。在此情况下，当前的利用是由僵尸网络恶意软件执行的，旨在攻陷设备。 僵尸网络通常利用这些设备发起分布式拒绝服务（DDoS）攻击、代理恶意流量或作为跳板攻击同一网络中的其他设备。鉴于 CVE-2025-1316 的利用活动正在进行中，受影响的设备应立即下线或更换为获得积极支持的产品。 CISA 建议用户尽量减少受影响设备的网络暴露，将其置于防火墙之后，并将其与关键业务网络隔离。此外，美国机构建议在需要时使用最新的虚拟专用网络（VPN）产品进行安全远程访问。 常见的受感染 IoT 设备迹象包括性能下降、过度发热、设备设置意外更改以及出现异常网络流量。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局已追回超过 2300 万美元的加密货币，这些加密货币与 2024 年 1 月从瑞波（Ripple）加密钱包中窃取的 1.5 亿美元有关。调查人员相信，2022 年入侵 LastPass 的黑客是此次攻击的幕后黑手。 尽管威胁行为者试图掩盖行踪，但执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到价值 23,604,815.09 美元的被盗数字资产，并将其与以下加密货币交易所关联：OKX、Payward Interactive, Inc.（即 Kraken）、WhiteBIT、AscendEX Technology SRL、Ftrader Ltd（即 FixedFloat）、SwapSpace LLC 和 Rabbit Finance LLC（即 CoinRabbit）。 美国司法部昨日解封的一份没收投诉书显示，美国特勤局的调查人员在采访受害者后认为，攻击者只能通过破解受害者密码库中存储的私钥来窃取加密货币，而这些私钥是在 2022 年在线密码管理器数据泄露事件中被盗取的。 他们发现，存储在多个受害者密码管理器账户中的被盗数据和密码被攻击者用来访问“他们的电子账户并窃取信息、加密货币和其他数据”。 他们还发现，没有证据表明受害者的设备被入侵，这表明攻击者是通过解密被盗的在线密码管理器数据来获取用于入侵受害者加密钱包的密钥。 “盗窃规模和资金迅速流失的情况表明，这需要多个恶意行为者的努力，并且与在线密码管理器数据泄露和其他类似情况受害者的加密货币盗窃案一致。” 尽管调查人员未明确指出受害者身份，但这些细节与 2024 年 1 月 31 日披露的瑞波联合创始人兼执行主席克里斯·拉森（Chris Larsen）钱包遭黑客攻击、价值 1.5 亿美元的加密货币被盗事件相符。 加密货币欺诈调查员扎克 XBT（ZachXBT）首先将本周追回的 2300 万美元加密货币与拉森的 XRP 钱包遭黑客攻击事件联系起来。 “美国执法部门昨日提交的没收投诉书揭示了 2024 年 1 月瑞波联合创始人克里斯·拉森钱包遭袭的 1.5 亿美元（2.83 亿 XRP）的原因，即私钥存储在 LastPass（2022 年遭黑客攻击的密码管理器）中，”他今日在 Telegram 消息中表示。 3 月 7 日 14:40 东岸时间：LastPass 在发布后发表以下声明： “自 2022 年我们首次披露这一事件以来，LastPass 一直与执法部门的多位代表密切合作。到目前为止，我们的执法合作伙伴尚未向我们提供任何确凿证据，将任何加密货币盗窃与我们的事件联系起来。在此期间，我们一直在大力投资加强安全措施，并将继续这样做。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers，迫使他们在视频中推广恶意软件和加密货币矿工。 这些威胁行为者利用 Windows Packet Divert (WPD) 工具在俄罗斯的流行程度，这些工具帮助用户绕过互联网审查和政府对网站及在线服务的限制。 YouTubers 为迎合这一受众群体，发布了关于如何使用各种基于 WPD 的工具绕过审查的教程，并成为威胁行为者的目标，这些行为者伪装成这些工具的版权持有者。 在大多数情况下，威胁行为者声称是所展示限制绕过工具的原始开发者，向 YouTube 提出版权索赔，然后联系创作者，提供解决方案，即在视频中包含他们提供的下载链接。 同时，他们威胁说，如果不遵守，将在 YouTube 上再增加两次“打击”，根据平台的“三次打击”政策，可能导致频道被封禁。 在其他情况下，攻击者直接联系创作者，伪装成工具的开发者，声称原始工具有一个新版本或新的下载链接，要求创作者在视频中更改链接。 YouTubers 出于对失去频道的担忧，屈服于威胁行为者的勒索，同意在视频中添加指向托管这些所谓的 WPD 工具的 GitHub 存储库的链接。然而，这些是被植入木马的版本，包含了一个加密矿工下载器。 卡巴斯基观察到这种推广被植入木马的 WPD 工具的行为发生在一段有超过 400,000 次观看的 YouTube 视频中，恶意链接在被移除前达到了 40,000 次下载。 一个拥有 340,000 订阅者的 Telegram 频道也以同样的伪装推广了恶意软件。 “根据我们的遥测，这场恶意软件活动已经影响了俄罗斯 2,000 多名受害者，但实际数字可能更高，”卡巴斯基警告说。 恶意软件加载程序是从 GitHub 存储库下载的包含 Python 恶意软件加载程序的恶意存档，通过修改后的启动脚本（“general.bat”）使用 PowerShell 启动。 如果受害者的防病毒软件干扰了这一过程，启动脚本会提示用户禁用防病毒软件并重新下载文件。 可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载程序并在设备上执行。 第二阶段负载是另一个可执行文件，其大小被膨胀到 690 MB 以逃避防病毒分析，同时它还具备反沙盒和虚拟机检查功能。 恶意软件加载程序通过添加排除项和创建名为 “DrvSvc” 的 Windows 服务来关闭 Microsoft Defender 保护，以实现重启后的持久性。 最终，它下载最终负载，SilentCryptoMiner，这是一个修改版的 XMRig，能够开采多种加密货币，包括 ETH、ETC、XMR 和 RTM。 coin miner 每 100 分钟从 Pastebin 获取远程配置，以便动态更新。 为了逃避检测，它被加载到如 “dwm.exe” 的系统进程中，使用进程空心化技术，并在用户启动如 Process Explorer 和 Task Manager 的监控工具时暂停挖矿活动。 尽管卡巴斯基发现的这场活动主要针对俄罗斯用户，但相同的策略也可能被用于更广泛范围的操作，这些操作还可能投放信息窃取器或勒索软件等风险更高的恶意软件。 用户应避免从 YouTube 视频或描述中的网址下载软件，尤其是来自较小到中等规模的频道，这些频道更容易受到欺诈和勒索的影响。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文