HackerNews

HackerNews 编译，转载请注明出处： Citrix 已发布安全更新，修复了一个影响 NetScaler 控制台（原 NetScaler ADM）和 NetScaler 代理的高严重性安全漏洞，该漏洞在特定条件下可能导致权限提升。 该漏洞被追踪为 CVE-2024-12284，CVSS v4 评分为 8.8（满分 10.0）。 该漏洞被描述为权限管理不当，如果 NetScaler 控制台代理已部署，可能会导致已认证的权限提升，允许攻击者执行受损后的操作。 “该问题源于权限管理不足，可能被已认证的恶意行为者利用，无需额外授权即可执行命令，” NetScaler 指出。 “然而，只有已认证且已有权访问 NetScaler 控制台的用户才能利用此漏洞，从而将威胁面限制在已认证用户范围内。” 网络安全 受影响的版本如下： NetScaler 控制台 14.1 低于 14.1-38.53 NetScaler 控制台 13.1 低于 13.1-56.18 NetScaler 代理 14.1 低于 14.1-38.53 NetScaler 代理 13.1 低于 13.1-56.18 以下软件版本已修复该漏洞： NetScaler 控制台 14.1-38.53 及更高版本 NetScaler 控制台 13.1-56.18 及更高版本 NetScaler 代理 14.1-38.53 及更高版本 NetScaler 代理 13.1-56.18 及更高版本 “Cloud Software Group 强烈建议 NetScaler 控制台和 NetScaler 代理的客户尽快安装相关更新版本，” 该公司表示，并补充说没有解决方法可以修复此漏洞。 不过，使用 Citrix 托管的 NetScaler 控制台服务的客户无需采取任何行动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一场传播 XLoader 恶意软件的恶意活动利用了与 Eclipse 基金会相关的合法应用程序，采用了 DLL 侧载技术。 “此次攻击中使用的合法应用程序 jarsigner，是在安装 Eclipse 基金会分发的 IDE 软件包过程中创建的文件，它是一种用于签署 JAR（Java 归档）文件的工具。” AhnLab 安全情报中心（ASEC）表示。 这家韩国网络安全公司指出，该恶意软件以压缩的 ZIP 压缩包形式传播，其中包含合法的可执行文件以及用于侧载以启动恶意软件的 DLL 文件： Documents2012.exe：合法的 jarsigner.exe 二进制文件的重命名版本 jli.dll：由威胁行为者修改的 DLL 文件，用于解密并注入 concrt140e.dll concrt140e.dll：XLoader 载荷 当运行 “Documents2012.exe” 时，攻击链进入恶意阶段，触发修改后的 “jli.dll” 库的执行，从而加载 XLoader 恶意软件。 “分发的 concrt140e.dll 文件是一个加密的载荷，在攻击过程中解密，并注入到合法文件 aspnet_wp.exe 中执行，” ASEC 说道。 “注入的恶意软件 XLoader 窃取用户的 PC 和浏览器信息等敏感信息，并执行下载其他恶意软件等各种活动。” 作为 Formbook 恶意软件的后续版本，XLoader 于 2020 年首次在野外被发现。它以恶意软件即服务（MaaS）模式出售给其他犯罪分子。2023 年 8 月，一种伪装成 Microsoft Office 的 macOS 版信息窃取程序和键盘记录器被发现。 Zscaler ThreatLabz 在本月发布的两部分报告中表示：“XLoader 6 和 7 版本增加了额外的混淆和加密层，旨在保护关键代码和信息，以规避基于签名的检测并增加逆向工程的难度。” 进一步分析显示，XLoader 采用了之前在 SmokeLoader 中观察到的技术，包括在运行时加密部分代码和规避 NTDLL 钩子。 对恶意软件的进一步分析还发现，它使用了硬编码的诱饵列表，将真实的命令与控制（C2）网络通信与合法网站的流量混合在一起。诱饵和真实的 C2 服务器都使用不同的密钥和算法进行了加密。 就像 Pushdo 等恶意软件家族一样，使用诱饵的目的是生成到合法域名的网络流量，以掩盖真实的 C2 流量。 DLL 侧载还被 SmartApeSG（又名 ZPHP 或 HANEYMANEY）威胁行为者滥用，通过被 JavaScript 网页注入破坏的合法网站传递 NetSupport RAT，远程访问木马作为传递 StealC 窃取器的通道。 随着 Zscaler 详细介绍了另外两个名为 NodeLoader 和 RiseLoader 的恶意软件加载器，它们被用于传播各种信息窃取程序、加密货币矿机和僵尸网络恶意软件，如 Vidar、Lumma、Phemedrone、XMRig 和 Socks5Systemz。 “RiseLoader 和 RisePro 在其网络通信协议的多个方面存在相似之处，包括消息结构、初始化过程和载荷结构，” 它指出，“这些重叠可能表明两个恶意软件家族背后是同一个威胁行为者。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自由职业软件开发者正成为一项持续活动的目标，该活动利用以工作面试为主题诱饵来传播跨平台恶意软件家族，即BeaverTail和InvisibleFerret。据《黑客新闻》报道，这一与朝鲜有关的活动被命名为“欺骗性开发”（DeceptiveDevelopment），与被追踪为“传染性面试”（Contagious Interview，又称CL-STA-0240）、DEV#POPPER、著名千里马（Famous Chollima）、PurpleBravo和坚韧的蓬山（Tenacious Pungsan）的集群有重叠。该活动自2023年底以来一直在进行。 “‘欺骗性开发’通过在求职和自由职业网站上进行鱼叉式网络钓鱼，针对自由职业软件开发者，旨在窃取加密货币钱包以及浏览器和密码管理器中的登录信息，”网络安全公司ESET在一份与《黑客新闻》共享的报告中表示。 2024年11月，ESET向《黑客新闻》证实，“欺骗性开发”与“传染性面试”存在重叠，将其归类为一个新的拉撒路集团（Lazarus Group）活动，该活动旨在进行加密货币盗窃。 这些攻击链的特点是利用社交媒体上的虚假招聘人员资料联系潜在目标，并与他们分享托管在GitHub、GitLab或Bitbucket上的特洛伊木马代码库，以工作面试过程为借口部署后门程序。 这些活动的后续版本已经扩展到其他求职平台，如Upwork、Freelancer.com、We Work Remotely、Moonlight和Crypto Jobs List。正如之前所强调的，这些招聘挑战通常涉及修复漏洞或为加密货币相关项目添加新功能。 除了编码测试，这些虚假项目还伪装成加密货币项目、具有区块链功能的游戏以及具有加密货币功能的赌博应用程序。恶意代码通常以单行代码的形式嵌入到良性组件中。 “此外，他们被指示构建并执行项目以进行测试，这就是初始入侵发生的地方，”安全研究员马特耶·哈夫拉内克（Matěj Havránek）表示。“使用的代码库通常是私有的，因此受害者首先被要求提供他们的账户ID或电子邮件地址以获得访问权限，这很可能是为了掩盖恶意活动，避免被研究人员发现。” 实现初始入侵的第二种方法是诱骗受害者安装带有恶意软件的视频会议平台，如MiroTalk或FreeConference。 虽然BeaverTail和InvisibleFerret都具有信息窃取功能，但前者作为后者的下载器。BeaverTail还有两种变体：一种是可嵌入特洛伊木马项目的JavaScript变体，另一种是使用Qt平台构建的本地版本，伪装成会议软件。 InvisibleFerret是一种模块化的Python恶意软件，它检索并执行三个额外的组件： pay：收集信息并充当后门，能够接受攻击者控制服务器的远程命令，记录键盘输入、捕获剪贴板内容、运行shell命令、从挂载的驱动器中窃取文件和数据，以及安装AnyDesk和浏览器模块，并从浏览器扩展和密码管理器中收集信息； bow：负责窃取存储在基于Chromium的浏览器（如Chrome、Brave、Opera、Yandex和Edge）中的登录数据、自动填充数据和支付信息； adc：通过安装AnyDesk远程桌面软件作为持久化机制。 ESET表示，该活动的主要目标是全球范围内从事加密货币和去中心化金融项目的软件开发者，其中芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国报告了大量目标。 “攻击者不区分地理位置，旨在尽可能多地入侵受害者，以增加成功提取资金和信息的可能性。” 这也在运营商采用的明显较差的编码实践中得到体现，从未能删除开发注释到用于开发和测试的本地IP地址，表明该入侵组织并不关心隐蔽性。 值得注意的是，利用工作面试诱饵是朝鲜各种黑客组织采用的经典策略，其中最突出的是一个长期活动，被称为“梦幻工作”（Operation Dream Job）。 此外，有证据表明，这些威胁行为者还参与了欺诈性的IT工作者计划，朝鲜国民在该计划中以虚假身份申请海外工作，以获取定期薪水，从而为政权的优先事项提供资金。 “‘欺骗性开发’集群是朝鲜相关行为者采用的众多赚钱计划之一，并符合从传统货币转向加密货币的持续趋势，”ESET表示。 “在我们的研究过程中，我们观察到它从原始的工具和技术发展到更高级、更有能力的恶意软件，以及更成熟的技巧来吸引受害者并部署恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一些最敏感的公司和军事网络可能面临被入侵的风险，研究人员披露了通过信息窃取恶意软件（infostealer malware）广泛窃取凭证的情况。 Hudson Rock 的分析显示，网络犯罪市场上正在出售来自洛克希德·马丁（Lockheed Martin）、波音（Boeing）和霍尼韦尔（Honeywell）以及美国陆军和海军、联邦调查局（FBI）和政府问责办公室（GAO）的泄露凭证。 威胁行为者只需花费 10 美元就可以购买到企业电子邮件和 VPN 账户的访问权限，以及内部开发工具（如 GitHub、Jira、Confluence）和军事训练平台等资产的访问权限。 这些网络犯罪市场使得搜索特定凭证（如 army.mil）变得更加容易，而且通常这些日志还包含用于绕过多因素认证（MFA）的活动会话 cookie，报告称。 即使那些未受信息窃取者影响的组织，如果其合作伙伴、供应商和供应商受到攻击，也可能会被入侵，Hudson Rock 警告。 “每一个被感染的员工都是一个真实的人——可能是从事军事人工智能系统工作的工程师、管理机密合同的采购官员、有权访问关键任务情报的国防分析师，”报告继续说道。 “在某个时候，这些员工在用于工作的设备上下载了恶意软件，这不仅暴露了他们的凭证，还可能暴露了他们的整个数字足迹：浏览历史、自动填充数据、内部文件以及敏感应用程序的会话 cookie。” 黑鸭子（Black Duck）的首席顾问托马斯·理查兹（Thomas Richards）表示，这项研究对美国构成了重大的国家安全风险。 “被盗的数据可能允许对手进入关键网络，并采取措施进一步入侵更多人员和系统，”他指出。 “受影响的用户应立即更改密码，并应启动法证调查，以确定他们是如何被入侵的，以及攻击者是否访问了他们不应访问的信息。” 信息窃取者感染可能来自多种来源，包括网络钓鱼邮件、受感染网站的自动下载、破解/盗版游戏、看似合法的应用程序（如假会议软件）、谷歌广告甚至 YouTube 视频描述。 Hudson Rock 声称，在过去的几年里，它已经识别出超过 3000 万台被信息窃取者感染的计算机。   消息来源：InfoSecurity magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Genea 是澳大利亚最大的生育服务提供商之一，该公司披露未知攻击者入侵了其网络并访问了受攻击系统中存储的数据。 Genea 周三发表声明称，在检测到网络上的“可疑活动”后，正在“紧急调查一起网络事件”。 “我们的调查发现，未经授权的第三方访问了 Genea 的数据。我们正在紧急调查被访问数据的性质和范围，以及其中包含个人身份信息的程度，”该公司透露。“如果我们的调查发现任何个人身份信息受到影响的证据，我们将与相关人员沟通。” Genea 还表示，正在努力恢复为控制漏洞而关闭的服务器，并确保公司的系统安全。 尽管公司未披露此次攻击是否以任何方式扰乱了其运营，但已告知患者，如果治疗计划有任何变化，将会通知他们。 “我们对此次事件可能引起的任何担忧深表歉意，并希望向患者保证，我们非常重视您的隐私和数据安全，”Genea 表示。“我们还希望向您保证，我们的专家团队、护士和办公室支持人员正在夜以继日地工作，以确保您的治疗受到的干扰最小，这是我们的首要任务和重中之重。” 尽管公司尚未透露漏洞何时被发现，或患者个人和健康信息是否被泄露，但 Genea 确认遭遇漏洞的消息是在电话故障影响该集团生育诊所的五天后发布的。 在对电话故障公告的回复中，患者还透露该公司的 MyGenea 应用程序也已停机。 这家体外受精（IVF）服务提供商（1986 年成立，最初名为悉尼 IVF）在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供各种服务，包括生育治疗、检查、基因服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司首次报道，Genea 以及另外两家公司（Monash IVF 和 Virtus）占该国行业总收入的 80% 以上。 当 BleepingComputer 今天早些时候联系 Genea 发言人时，对方未能立即发表评论。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的 JavaScript 混淆方法利用隐形 Unicode 字符来表示二进制值，这种方法正在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极利用。 Juniper Threat Labs 发现了这次攻击，报告称该攻击发生在 2025 年 1 月初，显示出高度复杂性，包括使用以下手段： 使用个性化非公开信息来针对受害者， 使用调试器断点和时间检查来规避检测， 使用递归包装的 Postmark 跟踪链接来掩盖最终的网络钓鱼目的地。 JavaScript 开发者 Martin Kleppe 于 2024 年 10 月首次披露了这种混淆技术，其在实际攻击中的快速采用突显了新研究如何迅速被武器化。 使 JS 负载“隐形” 这种新的混淆技术利用了隐形 Unicode 字符，特别是 Hangul 半角（U+FFA0）和 Hangul 全角（U+3164）字符。 JavaScript 负载中的每个 ASCII 字符都被转换为 8 位二进制表示，其中的二进制值（1 和 0）被替换为隐形的 Hangul 字符。 混淆后的代码存储为 JavaScript 对象的一个属性，由于 Hangul 填充字符显示为空白，脚本中的负载看起来是空的，如下图所示。 空白处隐藏恶意代码 一个简短的引导脚本使用 JavaScript Proxy 的 get() trap 来检索隐藏的负载。当访问隐藏属性时，Proxy 将隐形的 Hangul 填充字符转换回二进制，并重建原始的 JavaScript 代码。 Juniper 的分析师报告称，攻击者除了上述手段外，还采取了额外的隐藏步骤，例如使用 base64 编码脚本和使用反调试检查来规避分析。 “这些攻击高度个性化，包括非公开信息，初始 JavaScript 会尝试在被分析时调用调试器断点，检测到延迟后，然后通过重定向到良性网站来中止攻击，”Juniper 解释道。 这些攻击难以检测，因为空白减少了安全扫描器将其标记为恶意的可能性。 由于负载只是对象中的一个属性，它可以被注入到合法脚本中而不引起怀疑；此外，整个编码过程易于实现，不需要高级知识。 Juniper 表示，此次活动中使用的两个域名此前与 Tycoon 2FA 网络钓鱼工具包有关。 如果是这样，我们可能会在未来看到这种隐形混淆方法被更广泛的攻击者采用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 和 FBI 表示，部署 Ghost 勒索软件的攻击者已经入侵了包括关键基础设施组织在内的多个行业的受害者，涉及超过 70 个国家。 受影响的行业还包括医疗保健、政府、教育、技术、制造业以及众多中小企业。 “从 2021 年初开始，Ghost 攻击者开始攻击那些互联网服务运行过时软件和固件版本的受害者，”CISA、FBI 和多州信息共享与分析中心（MS-ISAC）在周三发布的一份联合公告中表示。 “这种对包含漏洞的网络的无差别攻击已导致超过 70 个国家的组织被攻陷，包括中国的组织。” Ghost 勒索软件运营商经常更换其恶意软件可执行文件，更改加密文件的文件扩展名，修改勒索信内容，并使用多个电子邮件地址进行勒索通信，这导致该组织的归属随时间波动。 与该组织相关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture，其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。 这个以经济利益为动机的勒索软件组织利用公开可用的代码来利用易受攻击服务器的安全漏洞。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。 为了防御 Ghost 勒索软件攻击，网络安全防御者被建议采取以下措施： 制作定期的异地系统备份，防止被勒索软件加密， 尽快修补操作系统、软件和固件的漏洞， 关注 Ghost 勒索软件针对的安全漏洞（即 CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）， 对网络进行分段，限制从受感染设备的横向移动， 对所有特权账户和电子邮件服务账户强制使用抗网络钓鱼的多因素认证（MFA）。 在 Amigo_A 和 Swisscom 的 CSIRT 团队于 2021 年初首次发现 Ghost 勒索软件后，其运营商开始投放定制的 Mimikatz 样本，随后是 Cobalt Strike 信标，并使用合法的 Windows CertUtil 证书管理器部署勒索软件有效载荷，以绕过安全软件。 除了在 Ghost 勒索软件攻击中用于初始访问外，针对 Fortinet SSL VPN 设备的漏洞 CVE-2018-13379 的国家级黑客组织也被发现进行了攻击。 攻击者还利用同一安全漏洞攻陷了可通过互联网访问的美国选举支持系统。 Fortinet 在 2019 年 8 月、2020 年 7 月、2020 年 11 月和 2021 年 4 月多次警告客户修补其 SSL VPN 设备以应对 CVE-2018-13379。 CISA、FBI 和 MS-ISAC 今天发布的联合公告还包含了与 FBI 调查中识别的先前 Ghost 勒索软件活动相关的妥协指标（IOCs）、战术、技术和程序（TTPs）以及检测方法，这些调查最近一次是在 2025 年 1 月。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二将影响 Palo Alto Networks PAN-OS 和 SonicWall SonicOS SSLVPN 的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正在被积极利用的证据。 这两个漏洞如下： CVE-2025-0108（CVSS 评分：7.8）：Palo Alto Networks PAN-OS 管理 Web 界面中的身份验证绕过漏洞，允许未授权的攻击者通过网络访问管理 Web 界面，绕过通常需要的身份验证并调用某些 PHP 脚本。 CVE-2024-53704（CVSS 评分：8.2）：SSLVPN 身份验证机制中的身份验证不当漏洞，允许远程攻击者绕过身份验证。 Palo Alto Networks 已确认观察到针对 CVE-2025-0108 的积极利用尝试，并指出该漏洞可以与其他漏洞（如 CVE-2024-9474）结合使用，以允许未经授权访问未修补和未安全配置的防火墙。 “Palo Alto Networks 观察到在未修补和未安全配置的 PAN-OS Web 管理界面上，CVE-2025-0108 与 CVE-2024-9474 和 CVE-2025-0111 的利用尝试，”该公司在更新的公告中表示。 威胁情报公司 GreyNoise 表示，多达 25 个恶意 IP 地址正在积极利用 CVE-2025-0108，自近一周前被检测到以来，攻击者活动量增加了 10 倍。攻击流量的前三大来源是美国、德国和荷兰。 至于 CVE-2024-53704，网络安全公司 Arctic Wolf 透露，威胁行为者在 Bishop Fox 提供概念验证（PoC）后不久就开始利用该漏洞。 鉴于这些漏洞正在被积极利用，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 11 日之前修复这些漏洞，以确保其网络的安全。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特洛伊木马式游戏安装程序在大规模 StaryDobry 攻击中部署加密货币矿工，卡巴斯基将这一大规模活动命名为 StaryDobry，该活动于 2024 年 12 月 31 日首次被检测到，持续了一个月。此次攻击的目标是全球的个人和企业，卡巴斯基的遥测数据显示，俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的感染浓度较高。 研究人员塔季扬娜·什什科娃（Tatyana Shishkova）和基里尔·科尔切米尼（Kirill Korchemny）在周二发布的一份分析报告中表示：“这种方法帮助威胁行为者充分利用了矿工植入，目标是强大的游戏机，这些机器能够维持挖矿活动。” 此次 XMRig 加密货币矿工活动利用了流行的模拟和物理游戏，如 BeamNG.drive、Garry’s Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy，作为诱饵发起复杂的攻击链。这包括在 2024 年 9 月将使用 Inno Setup 制作的被投毒的游戏安装程序上传到各种种子网站，表明活动背后的不明威胁行为者精心策划了这些攻击。 下载这些发布版本（也称为“重打包”）的用户会看到一个安装程序界面，提示他们继续进行安装过程，在此过程中会提取并执行一个投放器（“unrar.dll”）。 该 DLL 文件在确定是否在调试或沙盒环境中运行后才会继续执行，这表明其具有高度的规避行为。随后，它会查询多个网站，如 api.myip [.]com、ip-api [.]com 和 ipwho [.]is，以获取用户的 IP 地址并估算其位置。如果这一步失败，国家默认为中国或白俄罗斯，原因尚不清楚。 下一阶段涉及收集机器的指纹信息，解密另一个可执行文件（“MTX64.exe”），并将其内容写入磁盘上的文件 “Windows.Graphics.ThumbnailHandler.dll”，该文件位于 %SystemRoot% 或 %SystemRoot%\Sysnative 文件夹中。 基于一个名为 EpubShellExtThumbnailHandler 的合法开源项目，MTX64 通过加载下一阶段的有效载荷（一个名为 Kickstarter 的便携式可执行文件），修改了 Windows Shell Extension Thumbnail Handler 功能，以谋取自身利益，然后解包嵌入其中的加密数据块。 该数据块与前一步类似，被写入磁盘，文件名为 “Unix.Directory.IconHandler.dll”，位于文件夹 %appdata\Roaming\Microsoft\Credentials%InstallDate%\ 中。 新创建的 DLL 被配置为从远程服务器获取最终阶段的二进制文件，该服务器负责运行矿工植入，同时还会持续检查运行进程列表中的 taskmgr.exe 和 procmon.exe。如果检测到这些进程中的任何一个，该工件将立即终止。 该矿工是一个经过轻微修改的 XMRig 版本，使用预定义的命令行在具有 8 个或更多核心的 CPU 上启动挖矿过程。“如果少于 8 个，矿工不会启动，”研究人员表示。“此外，攻击者选择在他们自己的基础设施中托管挖矿池服务器，而不是使用公共服务器。” “XMRig 使用其内置功能解析构建的命令行。矿工还会创建一个单独的线程来检查系统中运行的进程监控器，使用的方法与前一阶段相同。”由于缺乏可以将其与任何已知犯罪软件行为者联系起来的指标，StaryDobry 仍未被归因。尽管如此，样本中的俄语字符串表明可能存在说俄语的威胁行为者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet FortiGuard Labs 报告称，一种新的 Snake Keylogger 恶意软件变种正在活跃攻击中国、土耳其、印度尼西亚和西班牙的 Windows 用户。该变种自今年年初以来已导致全球超过 2.8 亿次感染尝试被阻止。 “Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼邮件传播，旨在通过记录键盘输入、捕获凭据和监控剪贴板来从流行的网络浏览器（如 Chrome、Edge 和 Firefox）中窃取敏感信息，”安全研究员 Kevin Su 表示。 该恶意软件的其他功能使其能够使用简单邮件传输协议（SMTP）和 Telegram 机器人将窃取的信息 exfiltrate 到攻击者控制的服务器，从而使威胁行为者能够访问窃取的凭据和其他敏感数据。 最新攻击的显著特点是利用 AutoIt 脚本语言来传递和执行主要负载。换句话说，包含恶意软件的可执行文件是一个 AutoIt 编译的二进制文件，从而使其能够绕过传统的检测机制。 “使用 AutoIt 不仅通过将负载嵌入编译后的脚本中使静态分析复杂化，还启用了模仿良性自动化工具的动态行为，”Su 补充道。 一旦启动，Snake Keylogger 会将自身的一个副本投放到 “%Local_AppData%\supergroup” 文件夹中的 “ageless.exe” 文件中。它还会在 Windows 启动文件夹中投放另一个名为 “ageless.vbs” 的文件，以便每次系统重启时，Visual Basic Script (VBS) 会自动启动恶意软件。 通过这种持久化机制，Snake Keylogger 能够在相关进程被终止后仍然保持对受感染系统的访问并继续其恶意活动。 攻击链的最后一步是将主要负载注入到合法的 .NET 进程（如 “regsvcs.exe”）中，使用一种称为进程空洞的技术，使恶意软件能够在受信任的进程中隐藏自身并绕过检测。 Snake Keylogger 还被发现记录键盘输入，并使用诸如 checkip.dyndns[.]org 之类的网站来检索受害者的 IP 地址和地理位置信息。 “为了捕获键盘输入，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL（标志 13），这是一个低级别的键盘钩子，用于监控键盘输入，”Su 表示。“这种技术使恶意软件能够记录敏感输入，如银行凭据。” 与此同时，CloudSEK 详细描述了一项活动，该活动利用与教育机构相关的被攻陷基础设施来分发伪装成 PDF 文档的恶意 LNK 文件，最终部署 Lumma Stealer 恶意软件。 该活动 targeting 金融、医疗保健、技术和媒体等行业，是一个多阶段攻击序列，导致密码、浏览器数据和加密货币钱包被盗。 “该活动的主要感染向量是使用恶意 LNK（快捷方式）文件，这些文件被设计成看起来像合法的 PDF 文档，”安全研究员 Mayank Sahariya 表示，并补充说这些文件托管在一个 WebDAV 服务器上，不知情的访问者在访问网站后会被重定向到该服务器。 LNK 文件本身会执行一个 PowerShell 命令，连接到远程服务器并检索下一阶段恶意软件，一个经过混淆的 JavaScript 代码，其中包含另一个 PowerShell，从同一服务器下载 Lumma Stealer 并执行它。 最近几周，还观察到通过混淆的 JavaScript 文件分发 stealer 恶意软件，以从受感染的 Windows 系统中收集广泛的敏感数据，并将其 exfiltrate 到由攻击者操作的 Telegram 机器人。 “攻击从一个混淆的 JavaScript 文件开始，该文件从开源服务获取编码字符串以执行 PowerShell 脚本，”Cyfirma 表示。 “该脚本随后从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件，两者都使用隐写技术嵌入了恶意 MZ DOS 可执行文件。一旦执行，这些负载会部署 stealer 恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper Networks 修复了一个关键漏洞，该漏洞允许攻击者绕过认证并完全控制 Session Smart Router (SSR) 设备。该安全漏洞（编号为 CVE-2025-21589）在内部产品安全测试中被发现，同时也影响 Session Smart Conductor 和 WAN Assurance Managed Routers。 Juniper 在上周发布的一份紧急安全公告中表示：“Juniper Networks Session Smart Router 中存在一个通过替代路径或通道绕过认证的漏洞，可能允许网络攻击者绕过认证并获取设备的管理控制权。” 根据 Juniper 的安全事件响应团队（SIRT），目前尚未发现该漏洞在实际攻击中被利用的证据。 Juniper 已在 SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2 及后续版本中修复了该漏洞。虽然一些连接到 Mist Cloud 的设备已经自动更新，但管理员仍被建议将所有受影响的系统升级到这些修复版本之一。 Juniper 表示：“在由 Conductor 管理的部署中，只需升级 Conductor 节点，修复程序将自动应用于所有连接的路由器。尽管如此，路由器仍应尽可能升级到修复版本，但一旦连接到已升级的 Conductor，它们将不再易受攻击。” Juniper 设备频繁成为攻击目标 由于 Juniper 设备常用于关键环境，因此经常成为攻击目标，并且在供应商发布安全更新后不到一周内就会被针对。 例如，去年 6 月，Juniper 发布了紧急更新，修复了另一个 SSR 认证绕过漏洞（编号为 CVE-2024-2973），该漏洞可被利用以完全控制未修补的设备。 8 月，ShadowServer 威胁监测服务警告称，有威胁行为者使用 watchTowr Labs 的概念验证（PoC）漏洞利用链，针对 Juniper EX 交换机和 SRX 防火墙进行远程代码执行攻击。 一个月后，VulnCheck 发现仍有数千台 Juniper 设备容易受到使用同一漏洞利用链的攻击。 更近一些，去年 12 月，Juniper 还警告客户，有攻击者正在扫描互联网上的 Session Smart 路由器，使用默认凭据感染 Mirai 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露了 Xerox VersaLink C7025 多功能打印机（MFP）的安全漏洞，这些漏洞可能被攻击者利用，通过 Lightweight Directory Access Protocol (LDAP) 和 SMB/FTP 服务进行 pass-back 攻击，从而获取身份验证凭据。 Rapid7 安全研究员 Deral Heiland 表示：“这种 pass-back 攻击方式利用了一个漏洞，允许恶意行为者篡改 MFP 的配置，使 MFP 设备将身份验证凭据发送回攻击者。” 如果攻击者成功利用这些漏洞，他们可以获取 Windows Active Directory 的凭据，从而在组织的环境中横向移动，并可能破坏其他关键的 Windows 服务器和文件系统。 漏洞列表 受影响的固件版本为 57.69.91 及更早版本，具体漏洞如下： CVE-2024-12510 (CVSS 评分：6.7)：通过 LDAP 进行 pass-back 攻击。 CVE-2024-12511 (CVSS 评分：7.6)：通过用户地址簿进行 pass-back 攻击。 成功利用 CVE-2024-12510 可能会导致身份验证信息被重定向到恶意服务器，从而暴露凭据。然而，这需要攻击者能够访问 LDAP 配置页面，并且 LDAP 用于身份验证。 CVE-2024-12511 同样允许恶意行为者访问用户地址簿配置，修改 SMB 或 FTP 服务器的 IP 地址，使其指向攻击者控制的主机，从而在文件扫描操作期间捕获 SMB 或 FTP 身份验证凭据。 Heiland 指出：“要成功实施攻击，攻击者需要在用户地址簿中配置 SMB 或 FTP 扫描功能，并且需要物理访问打印机控制台或通过 Web 界面访问远程控制控制台。除非已启用用户级别的远程控制控制台访问权限，否则可能需要管理员权限。” 在 2024 年 3 月 26 日负责任地披露这些漏洞后，相关问题已在上个月底发布的 Service Pack 57.75.53 中得到解决，适用于 VersaLink C7020、7025 和 7030 系列打印机。 如果无法立即进行更新，建议用户为管理员账户设置复杂密码，避免使用具有提升权限的 Windows 身份验证账户，并为未经身份验证的用户禁用远程控制控制台。 与此同时，Specular 创始人兼 CEO Peyton Smith 详细披露了一个影响广泛部署的医疗保健软件 HealthStream MSOW 的未授权 SQL 注入漏洞（CVE-2024-56735），该漏洞可能导致整个数据库被攻破，使威胁行为者能够从公共互联网访问 23 家医疗保健组织的敏感数据。 该公司表示，已发现 50 个暴露在互联网上的 MSOW 实例，其中 23 个存在安全缺陷。 Smith 表示，该漏洞可能允许“整个数据库通过带内方式返回，这意味着攻击者可以通过精心构造的 SQL 注入 HTTP 负载，在 HTTP 响应中检索明文数据库内容。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织 Winnti 被认为是 2024 年 3 月针对日本制造、材料和能源行业的公司的一项新活动 RevivalStone 的幕后黑手。 日本网络安全公司 LAC 详细说明的这次活动，与 Trend Micro 跟踪的 Earth Freybug 威胁集群重叠，该集群已被评估为 APT41 网络间谍组织的一个子集，Cybereason 将其称为 Operation CuckooBees，Symantec 则将其称为 Blackfly。 APT41 被描述为一个高度熟练且有条理的行动者，能够进行间谍活动并污染供应链。其活动通常以隐蔽为目的，利用多种战术通过定制工具集实现目标，这些工具不仅可以绕过环境中安装的安全软件，还能收集关键信息并建立秘密通道以保持远程访问。 “该组织的间谍活动，许多与国家的战略目标一致，已针对全球范围内的各种公共和私营行业部门，”LAC 表示。 “该威胁组织的攻击特点是使用 Winnti 恶意软件，该软件具有独特的根kit，可隐藏和操纵通信，以及在恶意软件中使用被盗的合法数字证书。” 自 2012 年以来一直活跃的 Winnti，截至 2022 年主要针对亚洲的制造和材料相关组织，最近的活动在 2023 年 11 月至 2024 年 10 月期间针对亚太地区，利用 IBM Lotus Domino 等面向公众的应用程序的漏洞部署恶意软件，如下所示： DEATHLOTUS：一种被动的 CGI 后门，支持文件创建和命令执行。 UNAPIMON：一种用 C++ 编写的防御规避工具。 PRIVATELOG：一种加载器，用于投放 Winnti RAT（也称为 DEPLOYLOG），进而通过根kit 安装程序交付名为 WINNKIT 的内核级根kit。 CUNNINGPIGEON：一种利用 Microsoft Graph API 从邮件消息中获取命令（文件和进程管理以及自定义代理）的后门。 WINDJAMMER：一种具有拦截 TCPIP 网络接口以及在内网中与受感染端点创建秘密通道的能力的根kit。 SHADOWGAZE：一种利用 IIS 网站服务器的监听端口的被动后门。 LAC 记录的最新攻击链发现，攻击者利用一个未指定的企业资源规划（ERP）系统中的 SQL 注入漏洞，在受感染的服务器上投放 China Chopper 和 Behinder（也称为 Bingxia 和 IceScorpion）等 web shell，利用这些访问权限进行侦察、收集横向移动的凭据，并交付 Winnti 恶意软件的改进版本。 据说，这次入侵的范围进一步扩大，通过利用共享账户攻破了一家托管服务提供商（MSP），随后利用该公司的基础设施将恶意软件传播到另外三个组织。 LAC 表示，还在 RevivalStone 活动中发现了对 TreadStone 和 StoneV5 的引用，前者是一个旨在与 Winnti 恶意软件配合使用的控制器，也包含在去年 I-Soon（也称为 Anxun）泄露的 Linux 恶意软件控制面板中。 “如果 TreadStone 与 Winnti 恶意软件具有相同的含义，这仅是推测，但 StoneV5 也可能意味着版本 5，有可能这次攻击中使用的恶意软件是 Winnti v5.0，”研究人员 Takuma Matsumoto 和 Yoshihiro Ishikawa 表示。 “新的 Winnti 恶意软件增加了混淆、更新的加密算法和规避安全产品的功能，预计该攻击组织将继续更新 Winnti 恶意软件的功能并将其用于攻击。” 这一披露正值 Fortinet FortiGuard Labs 详细说明了一种名为 SSHDInjector 的基于 Linux 的攻击套件，该套件自 2024 年 11 月以来能够通过将恶意软件注入进程来劫持网络设备上的 SSH 守护进程，以实现持续访问和秘密操作。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用网络注入来传播一种名为 FrigidStealer 的新型苹果 macOS 恶意软件。 这一活动被归因于一个此前未被记录的威胁行为者 TA2727，该行为者还与针对 Windows（Lumma Stealer 或 DeerStealer）和 Android（Marcher）平台的信息窃取器有关。 TA2727 是一个“使用假更新主题诱饵来分发各种恶意软件载荷的威胁行为者”，Proofpoint 威胁研究团队在一份报告中表示。 TA2727 是新近识别的威胁活动集群之一，与 TA2726 一起，后者被认为是一个恶意流量分发系统（TDS）运营商，为其他威胁行为者分发流量以传播恶意软件。这个以经济利益为动机的威胁行为者自 2022 年 9 月以来一直活跃。 TA2726 据称是 TA2727 和另一个名为 TA569 的威胁行为者的 TDS，后者负责分发一种基于 JavaScript 的加载器恶意软件 SocGholish（也称为 FakeUpdates），该软件通常在合法但已被攻陷的网站上伪装成浏览器更新。 “TA2726 以经济利益为动机，与其他以经济利益为动机的行为者如 TA569 和 TA2727 合作，”该公司指出。“也就是说，这个行为者很可能负责导致其他威胁行为者操作注入的网络服务器或网站攻陷。” TA569 和 TA2727 有一些相似之处，它们都通过恶意 JavaScript 网站注入来传播，这些注入模仿了 Google Chrome 或 Microsoft Edge 等网络浏览器的更新。TA2727 的不同之处在于使用了针对不同地理区域或设备提供不同载荷的攻击链。 如果用户在法国或英国的 Windows 计算机上访问受感染网站，他们会收到下载 MSI 安装程序文件的提示，该文件会启动 Hijack Loader（也称为 DOILoader），进而加载 Lumma Stealer。 另一方面，从 Android 设备访问相同的假更新重定向时，会导致部署一种名为 Marcher 的银行木马，该木马在野外已被检测到超过十年。 假浏览器更新 不仅如此，从 2025 年 1 月开始，该活动已更新，开始针对北美以外的 macOS 用户，将他们重定向到一个假更新页面，下载一种名为 FrigidStealer 的新型信息窃取器。 FrigidStealer 安装程序与其他 macOS 恶意软件一样，需要用户明确启动未签名应用以绕过 Gatekeeper 保护，之后会运行嵌入的 Mach-O 可执行文件来安装恶意软件。 “该可执行文件是用 Go 编写的，并进行了临时签名，”Proofpoint 表示。“该可执行文件是使用 WailsIO 项目构建的，该项目在用户的浏览器中呈现内容。这增加了对受害者的社会工程，暗示 Chrome 或 Safari 安装程序是合法的。” FrigidStealer 与其他针对 macOS 系统的窃取器家族并无二致。它利用 AppleScript 提示用户输入系统密码，从而获得提升的权限，以窃取来自网络浏览器、Apple Notes 和加密货币相关应用的文件和各种敏感信息。 “行为者正在利用网络攻陷来传播针对企业和消费者用户 的恶意软件，”该公司表示。“可以预见，这些网络注入将传播针对收件人的定制恶意软件，包括 Mac 用户，他们在企业环境中的数量仍然少于 Windows 用户。” 这一事件发生在 Denwp Research 的 Tonmoy Jitu 披露另一种完全不可检测的 macOS 后门 Tiny FUD 之后，该后门利用名称操作、动态链接守护进程（DYLD）注入和基于命令与控制（C2）的命令执行。 这也紧随新型信息窃取恶意软件 Astral Stealer 和 Flesh Stealer 的出现，它们旨在收集敏感信息、逃避检测并在受攻陷系统上保持持久性。 “Flesh Stealer 在检测虚拟机（VM）环境方面特别有效，”Flashpoint 在最近的一份报告中表示。“它会避免在 VM 上执行，以防止任何潜在的取证分析，展示了对安全研究实践的理解。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   研究人员发现了 OpenSSH 安全网络工具套件中的两个安全漏洞，如果被成功利用，可能会导致中间人（MitM）攻击和拒绝服务（DoS）攻击。 Qualys 威胁研究单元（TRU）详细披露了以下漏洞： CVE-2025-26465：OpenSSH 客户端在 6.8p1 至 9.9p1 版本（含）中存在逻辑错误，如果启用了 VerifyHostKeyDNS 选项，可能会使客户端容易受到中间人攻击。这允许恶意攻击者在客户端尝试连接到合法服务器时冒充合法服务器（该漏洞于 2014 年 12 月引入）。 CVE-2025-26466：OpenSSH 客户端和服务器在 9.5p1 至 9.9p1 版本（含）中容易受到预认证拒绝服务攻击，这会导致内存和 CPU 消耗（该漏洞于 2023 年 8 月引入）。 “如果攻击者可以通过 CVE-2025-26465 进行中间人攻击，客户端可能会接受攻击者的密钥而不是合法服务器的密钥，”Qualys TRU 产品经理赛义德·阿巴西表示。 这会破坏 SSH 连接的完整性，使攻击者有可能在用户意识到之前拦截或篡改会话。 换句话说，成功利用这些漏洞可能会允许恶意行为者破坏并劫持 SSH 会话，并获得对敏感数据的未经授权访问。值得注意的是，VerifyHostKeyDNS 选项默认是禁用的。 另一方面，反复利用 CVE-2025-26466 可能会导致可用性问题，阻止管理员管理服务器并锁定合法用户，从而有效地使日常操作瘫痪。 OpenSSH 维护人员在今天发布的 OpenSSH 9.9p2 版本中解决了这两个漏洞。 这次披露是在 Qualys 七个多月前披露另一个 OpenSSH 漏洞（称为 regreSSHion，CVE-2024-6387）之后发布的，该漏洞可能导致在基于 glibc 的 Linux 系统中以 root 特权进行未认证的远程代码执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 社交媒体平台 X（原 Twitter）现已开始屏蔽指向 “Signal.me” 的链接，该链接是 Signal 加密消息应用用于分享用户账户信息的一种方式。 据 BleepingComputer 测试和其他用户的报告，尝试通过公开帖子、私信或个人简介发布 Signal.me 链接时，会收到错误提示，称存在垃圾邮件或恶意软件风险。 当用户尝试发送 Signal.me 链接时，会看到如下错误提示：“此请求看起来可能是自动化的。为了保护我们的用户免受垃圾邮件和其他恶意活动的侵害，我们目前无法完成此操作。请稍后再试。” 我们的测试显示，只有包含 “signal.me” URL 的消息才会被屏蔽。 记者 Matt Binder 首次报道了这一问题，他表示目前尚不清楚这一行为是从何时开始的。 “目前尚不清楚 X 从何时开始在平台上屏蔽 ‘Signal.me’ 链接，”Binder 在其报道中解释道。“然而，这似乎是一个相当新的变化，因为用户之前可以在公开帖子和他们的个人简介中包含 ‘Signal.me’ 链接。其他 Signal 链接，如 Signal.org，似乎并未被屏蔽。” 其他与 Signal 相关的 URL，如 Signal.link 和 Signal.group 链接，似乎并未受到屏蔽影响。此外，第三方消息服务（如 Telegram）的联系人链接仍可在 X 平台上正常分享。 与此同时，在屏蔽措施实施之前已发布在 X 上的 Signal.me 链接仍然可以点击，但用户在点击链接时会看到一条警告，提示该链接可能不安全。 研究员 Tommy Mysk 是本周末最早发现这一问题的人之一，他告诉 BleepingComputer，目前尚不清楚这一行动背后的原因。 “我是偶然发现的。我不能推测，但这一行为看起来与他们屏蔽 Mastodon 链接时的情况非常相似，”Mysk 表示。 2023 年，埃隆·马斯克收购 Twitter 后，该社交平台开始屏蔽指向竞争对手平台的链接，如 Facebook、Instagram 和 Mastodon。在用户抗议后，这一政策很快被撤销。 最近，马斯克因他领导的美国政府部门——政府效率部（DOGE）——获取多个美国政府机构的数据而受到批评。 据报道，Signal 这款流行的端到端加密通信应用被联邦雇员广泛用于向记者报告 DOGE 的违规行为。 因此，有人猜测 X 上对 Signal.me 链接的屏蔽可能是出于政治动机。然而，X 尚未对屏蔽一事发表任何声明，也未回应置评请求。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 Android 16 Beta 2 中推出了一项新的安全功能，旨在防止用户在通话期间更改敏感设置，以应对日益复杂的电话诈骗。 电话诈骗手段日益复杂，诈骗者常利用心理操纵技巧诱使受害者授予权限，从而安装恶意软件。常见手法包括引导受害者在通话中启用侧载或无障碍权限，使恶意应用能够绕过安全防护并控制设备。鉴于此，谷歌在 Android 16 中引入了“通话中防诈骗保护”功能。 阻止通话期间启用侧载权限：侧载允许应用安装其他应用，通常默认禁用以确保安全。Android 16 现在防止用户在通话期间启用此权限，进一步增强了安全性。 限制通话期间的无障碍权限：无障碍权限允许应用读取屏幕内容并代表用户执行操作，这常被恶意软件利用。Android 16 在通话期间阻止授予这些权限，进一步降低了未经授权控制的风险。 警告提示：用户在尝试绕过这些限制时，会收到关于潜在诈骗的明确警告，鼓励他们验证来电者的身份。 增强的确认模式：此功能扩展了 Android 15 中引入的保护措施，增加了更严格的防护，防止未经授权访问敏感设置。 这项新安全功能是谷歌在应对电话导向攻击交付（TOAD）诈骗等日益增长的威胁中，持续提升用户安全性的努力的一部分。通过将这些保护措施集成到 Android 16 Beta 2 中，谷歌旨在显著减少诈骗案件。 虽然诈骗者可能仍会指示受害者挂断电话后启用权限，但这一额外步骤足以扰乱其诈骗手段。此外，Android 16 还包括更广泛的安全增强功能，如防止意图重定向攻击和改进大屏设备的应用兼容性。 目前，防诈骗保护功能已在 Android 16 Beta 2 中上线，适用于 Pixel 设备（Pixel 6 及更新型号）。Android 16 的最终版本预计将于 2025 年第二季度晚些时候发布。随着这些功能的公开推出，用户可以期待一个更安全的移动体验，优先保护隐私和防止诈骗。 随着诈骗手段因人工智能的进步而变得更加复杂，谷歌的新方法标志着在降低风险和为用户提供强大防御网络威胁方面迈出了重要一步。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，ExHub 被发现存在一个关键的不安全直接对象引用（IDOR）漏洞，该漏洞允许攻击者在未经授权的情况下修改任何项目的网页托管配置，对受影响系统构成重大风险。 ExHub 是一个基于云的平台，提供网页托管、项目协作和部署功能。用户可以配置其项目的网页托管设置，这些设置决定了项目如何部署和被访问。理想情况下，只有授权用户才能修改这些设置。然而，由于访问控制的不当实现，未授权用户可以通过知道项目的唯一标识符来利用系统。 该漏洞存在于 ExHub 的项目部署配置 API 中。具体来说，该 API 缺乏 robust 的授权检查，使得任何用户（无论其角色或认证状态）都可以发送精心构造的请求来修改托管设置。 漏洞利用过程技术复杂度较低： 获取项目 ID：攻击者需要获取一个有效的项目 ID，这可以通过枚举或其他间接手段获得。 构造未授权的 API 请求：通过向漏洞端点 /api/v1/projects/deployment_configuration/<projectid>发送 POST 请求，攻击者可以修改关键的托管参数。 执行请求：使用工具如 Burp Suite 或 Postman 就足以执行攻击并实时观察更改。 验证更改：攻击者可以通过 ExHub 的用户界面确认修改。 该漏洞实际上允许未授权用户执行诸如更改机器类型、端口和 DNS 配置等管理操作，这些操作本应仅限于高权限角色。 漏洞影响 该 IDOR 漏洞的后果严重，攻击者可以操纵部署配置，可能获得对敏感资源的未经授权访问。配置错误可能导致服务中断或无法访问。此外，被利用的配置可能使攻击者能够提升权限或链式攻击以进行进一步利用。 漏洞修复 ExHub 采取了以下措施来解决此漏洞： 在所有 API 端点引入严格的授权检查。 通过实施随机化技术使项目 ID 更难以预测。 重构用户角色以强制执行最小权限原则。 教训 此次事件为开发者和组织提供了几个关键教训： 授权检查至关重要：每个 API 端点都必须严格验证用户权限。 避免可预测的标识符：使用容易猜测的 ID 会增加被利用的风险。 最小权限原则：根据用户角色限制其操作，以最小化配置错误可能造成的损害。 全面测试：安全测试应包括后端 API，以发现诸如 IDOR 之类的隐藏漏洞。 通过实施严格的访问控制并采用安全设计原则，公司可以保护其平台免受利用，并建立用户信任。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 埃隆·马斯克的政府效率部（DOGE）推出的一个网站被发现存在重大安全漏洞，允许未经授权的用户直接修改其内容。 这一漏洞由两名网络开发专家发现，该网站使用了一个不安全的外部数据库，这使得任何了解该漏洞的人都可以在网站上发布和显示内容。 DOGE 网站在 1 月份上线，旨在展示该部门削减政府开支的努力。然而，几周来，该网站基本处于不活跃状态，仅包含三行文字和一个卡通标志。 该网站在周三和周四进一步开发，从 Cloudflare Pages 站点获取数据，底层代码在此部署。 安全漏洞最初由 404Media 报道，两名网络开发专家向他们发出了警告。他们发现 doge.gov 网站连接了一个可由第三方访问和修改的数据库，这使得任何人都可以进行未经授权的修改，且修改内容会实时显示在网站上。漏洞很快被利用，有人在网站首页发布了讽刺性信息。 一条信息写道：“这是一个.gov 网站的笑话。”另一条则称：“这些‘专家’把数据库敞开了—— roro。”这些信息在网站上停留了数小时。Newsweek 也在周五早上看到了“这是一个.gov 网站的笑话”的信息。网站如此轻易地被篡改，引发了人们对 DOGE 安全实践的担忧。 专家指出，该网站似乎是在仓促之间建成的。一名程序员告诉 404Media：“感觉它是匆匆忙忙搭建的。网页源代码中存在许多错误，还暴露了敏感信息。”编码专家 Sam Curry 指出，DOGE 网站似乎是由 Burst Data 开发和托管的，而 Burst Data 由一名现任 DOGE 员工管理。他补充说，网站上的图片通过 Cloudflare 的 ImageDelivery 服务进行路由。DOGE 团队随后修复了网站问题，删除了那些引发争议的信息。 然而，这一事件引发了对部门处理敏感数据和维护安全系统能力的质疑。在所谓的黑客攻击之前，DOGE 网站据报发布了机密情报数据。据 Huffington Post 报道，该网站显示了美国情报机构的规模和人员信息。机密数据的曝光和网站被轻易黑客攻击的情况，导致对 DOGE 及其实践的审查增加。 批评者对部门接触敏感信息的权限以及潜在的利益冲突表示担忧。已有多起诉讼针对 DOGE，挑战其接触政府数据的权限。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文