HackerNews

HackerNews 编译，转载请注明出处： Fortinet警告称，已修复的无线局域网管理器（FortiWLM）漏洞（CVE-2023-34990，CVSS得分9.6）可能导致管理员权限访问和敏感信息泄露。 供应商发布的公告中写道：“FortiWLM中的相对路径遍历漏洞[CWE-23]可能允许远程、未经身份验证的攻击者读取敏感文件。” Horizon3.ai的安全研究员Zach Hanley（@hacks_zach）向Fortinet报告了该漏洞。 该漏洞影响以下产品： – FortiWLM版本8.6.0到8.6.5（已在8.6.6及以上版本修复） – FortiWLM版本8.5.0到8.5.4（已在8.5.5及以上版本修复） Hanley解释说，CVE-2023-34990漏洞使得远程攻击者能够通过精心构造的请求，利用特定端点的日志读取功能进行攻击。 “这个漏洞允许远程、未经身份验证的攻击者通过对/ems/cgi-bin/ezrf_lighttpd.cgi端点发起精心构造的请求，访问并滥用系统中用于读取特定日志文件的内置功能。”Horizon3.ai发布的报告中写道，“这个问题源于请求参数缺乏输入验证，允许攻击者遍历目录并读取系统上的任何日志文件。” 专家补充说，FortiWLM的详细日志暴露了会话ID，使得攻击者可以利用日志文件读取漏洞劫持会话并访问已验证的端点。 FortiWLM中经过身份验证的用户的会话ID令牌在设备启动时保持静态。攻击者可以通过日志文件读取漏洞劫持会话并获得管理员权限。 研究员还注意到，CVE-2023-34990漏洞可以与CVE-2023-48782（CVSS得分8.8）链式利用，从而在根权限下实现远程任意代码执行。 威胁行为者经常针对Fortinet设备，因此客户应及时更新其安装版本。 “尽管我们发现该漏洞在州政府、地方政府、教育（SLED）和医疗领域客户中较为常见，但幸运的是，互联网暴露相对有限，约为15个实例。”报告最后总结道。   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 Check Point 与 Hackread.com 共同发布的最新研究报告，Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。 Google 日历成工具：网络攻击者利用 Google 日历的功能模块，发送仿冒合法邀请函的网络钓鱼邮件。 高级攻击策略：攻击者采用 Google 表单和 Google 绘图等多元化工具，规避传统邮件安全防护机制，从而强化攻击的可信度。 影响范围广泛：在短短四周内，已检测到与该攻击活动关联的 4000 余封网络钓鱼邮件，涉及约 300 家品牌企业。 社会工程学手法：网络犯罪分子通过制造紧迫感、恐慌情绪以及冒充身份等手段，诱使受害者点击恶意链接并泄露敏感信息。 防范措施：部署高级邮箱安全监控系统、第三方应用程序使用审计机制以及行为分析技术，对于抵御此类不断演进的威胁具有重要意义。 Google 日历作为 Google 工作空间的重要组成部分，是一款面向全球超过 5 亿用户的日程安排与时间管理工具，支持 41 种语言。 据 CPR 的研究显示，攻击者正试图操控 Google 日历及其相关功能模块，例如 Google 绘图，通过发送伪装成合法邮件的链接，突破传统邮箱安全防线，实施网络钓鱼攻击。这些链接表面上看似指向 Google 表单或 Google 绘图，进一步提升了攻击的可信度。 恶意邮件与 Google 日历配置（来源：CPR） 攻击者最初利用 Google 日历内置的友好功能，提供链接至 Google 表单。在察觉到安全产品能够识别恶意日历邀请后，攻击者迅速调整策略，将攻击手段与 Google 绘图功能相结合。 Check Point 发文指出：网络犯罪分子正在篡改“发件人”头部信息，使邮件看起来像是由已知且合法的用户通过 Google 日历发送的。在短短四周内，网络安全研究人员已监测到 4000 多封此类钓鱼邮件，涉及约 300 家品牌企业。 攻击者利用用户对 Google 日历的信任和熟悉程度，诱使受害者点击恶意链接。他们会伪造看似合法的日历邀请，通常来自受害者熟悉的联系人或组织机构。这些初始邀请可能包含指向 Google 表单、Google 绘图或 ICS 文件附件的链接，后者看似是简单的信息请求或调查问卷，常以 CAPTCHA 或支持按钮的形式呈现。 一旦受害者点击链接，将被重定向至一个精心设计的恶意网站，该网站通过虚假身份验证流程窃取个人信息或公司数据。该网站可能模仿合法的登录页面、加密货币交易所或技术支持页面。攻击者的最终目的是诱骗受害者泄露敏感信息，如密码、信用卡详细信息或个人身份证号码。被盗取的信息可能被用于信用卡欺诈或未经授权的交易，给受害者带来重大风险。 值得注意的是，攻击者通常会叠加社会工程学策略来增强攻击的可信度。他们可能通过制造紧迫感、恐慌情绪或激发好奇心，诱使受害者点击恶意链接。此外，攻击者还可能冒充可信任的个人或组织，以获取受害者的信任。这无疑大大大提高了通过Google日历钓鱼的成功率，企业/组织应保持高度警惕，以应对日益复杂化的网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418157.html 封面来源于网络，如有侵权请联系删除

趋势科技公布了威胁组织 Earth Koshchei 开展的大规模流氓远程桌面协议 (RDP) 活动。Earth Koshchei 以间谍活动而闻名，他们利用鱼叉式网络钓鱼电子邮件和恶意 RDP 配置文件来入侵包括政府、军事组织和智囊团在内的高知名度目标。 据描述，该攻击方法涉及 “RDP 中继、恶意 RDP 服务器和恶意 RDP 配置文件”，利用红队技术达到恶意目的。报告称，这种方法使攻击者能够获得受害者机器的部分控制权，导致 “数据泄露和恶意软件安装”。 该活动在 2024 年 10 月 22 日达到顶峰，当时向包括外交和军事实体在内的各种目标发送了数百封鱼叉式网络钓鱼电子邮件。这些电子邮件诱骗收件人打开恶意 RDP 配置文件，将他们的机器连接到地球 Koshchei 的 193 个 RDP 中继站之一。 地球 Koshchei 在 2024 年 8 月至 10 月间注册了 200 多个域名，展示了精心策划的活动。这些域名通常模仿合法的服务或组织，如云提供商和政府实体。此外，该组织还使用 TOR、VPN 和住宅代理等匿名层来掩盖其行动，并使归因复杂化。 该基础设施包括 193 个代理服务器和 34 个流氓 RDP 后端服务器，它们是数据外泄和间谍活动的入口点。 地球 Koshchei 展示了重新利用合法红队工具的敏锐能力。通过采用 2022 年 Black Hills 信息安全博客中描述的技术，攻击者使用 PyRDP 等工具拦截和操纵 RDP 连接。这使他们能够浏览受害者的文件系统、渗出数据，甚至打着 “AWS 安全存储连接稳定性测试 ”等合法程序的幌子运行恶意应用程序。 趋势科技解释说：“PyRDP代理可确保窃取的任何数据或执行的任何命令都会被导回攻击者，而不会引起受害者的警觉。” 该组织的目标受害者多种多样，包括政府、军队、云提供商和学术研究人员。Earth Koshchei（又称 APT29 或 Midnight Blizzard）的典型战术、技术和程序（TTPs）以及受害者研究都支持将此次活动归咎于该组织。 报告指出：“Earth Koshchei 的特点是持续针对外交、军事、能源、电信和 IT 公司。据信，该组织与俄罗斯对外情报局（SVR）有关联。” 为抵御此类攻击，企业应该： 阻止出站 RDP 连接： 将 RDP 流量限制在受信任的服务器上。 检测恶意 RDP 文件： 使用能够识别恶意 RDP 配置文件的工具，如趋势科技的 Trojan.Win32.HUSTLECON.A 检测系统。 加强电子邮件安全： 实施过滤器，防止发送可疑附件，尤其是 RDP 配置文件。   转自安全客，原文链接：https://www.anquanke.com/post/id/302885 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Forescout的分析发现，针对工业控制系统（ICS）的新型恶意软件攻击能够导致工程流程崩溃。 研究人员识别出从2024年8月至11月，攻击三菱和西门子工程工作站的两种恶意软件攻击，并在VirusTotal数据库中列出。 这些恶意软件分别是针对三菱工作站的Ramnit蠕虫和针对西门子工作站的新型实验性恶意软件Chaya_003。 Chaya_003展现出了终止工程流程的能力。 研究人员发现，攻击者使用了合法服务作为指挥与控制（C2）手段，使得威胁检测变得更加困难。 工程工作站是运行传统操作系统（如Windows）并同时运行由设备制造商提供的专用工程软件的标准计算机。这些软件对于在操作技术（OT）和ICS环境中对现场设备（如可编程逻辑控制器PLC）进行调试和编程至关重要。 Forescout引用了SANS研究所的最新研究，发现工程工作站的被攻击事件占OT/ICS系统事件的20%以上，促使他们进行了这项新分析。 研究人员将他们的调查重点放在了VirusTotal上传的两类数据上：标记为恶意的软件工程可执行文件和可能与工程软件互动的恶意文件。 Forescout发现了两个Ramnit集群攻击三菱工作站的情况。 Ramnit最早出现在2010年，作为一种银行木马，旨在窃取凭证，后来发展为一个模块化平台，能够从C2服务器下载插件。 该恶意软件可以通过受感染的物理设备（如USB驱动器）或通过被攻破的IT系统网络传播。 研究人员未能确认这两个Ramnit集群是如何感染三菱工程工作站的，但他们认为恶意软件可能将恶意代码添加到合法的Windows可执行文件中，这与自2021年以来在OT软件中观察到的其他Ramnit感染相符。 调查揭示了三个二进制文件，代表了一个名为Chaya_003的恶意软件集群的三个迭代版本。 其中两个二进制文件名为“Isass.exe”和“elsass.exe”，这表明它们故意伪装成合法的系统进程，可能是为了欺骗用户或绕过杀毒软件。 Chaya_003的C2基础设施利用Discord webhooks，并具有系统侦察和进程干扰功能。 所有样本都实现了列举系统进程的功能，检索每个进程的信息并将可执行文件名与预定义列表进行比较。如果进程与列表中的条目匹配，则会被终止。 研究人员观察到“明确的进化模式”，这表明该恶意软件正在不断改进并为更广泛的部署做好准备。 Forescout呼吁工业组织采取措施，提升防御针对工程工作站的攻击。这些措施包括： 识别连接到OT网络的所有工作站，并评估其软件版本、开放端口、凭证和端点保护软件。 确保所有软件更新到最新版本，并确保端点保护解决方案已启用且保持最新。 避免直接将工程工作站暴露于互联网。 适当分隔网络，将IT、物联网（IoT）和OT设备隔离开来。 限制网络连接，只允许授权的管理和工程工作站连接。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据区块链研究公司Chainalysis的报告，2024年，超过22亿美元的加密货币被盗自加密平台。 该公司发现，近五年来这些平台的盗窃金额超过了10亿美元，2024年增长了21%以上，达到了22亿美元，事件数目从2023年的282起增至2024年的303起。 研究人员指出，仅在2024年1月至7月之间，加密平台的损失就达到了15亿美元——这一速度使得行业预计2024年的盗窃金额将达到30亿美元。然而，随着2024年5月日本平台DMM Bitcoin遭遇3.05亿美元的重大损失，以及2024年7月印度WazirX平台近2.35亿美元的被盗事件，年中以后，攻击的数量和规模大幅下降。 这两起攻击对现实世界产生了深远的影响。DMM Bitcoin两周前宣布，黑客攻击迫使其关闭网站并将所有加密资产出售给日本金融巨头SBI Group。Chainalysis追踪了被盗的DMM资金，发现其通过多个不同平台进行洗钱，最终在臭名昭著的柬埔寨金融平台Huione Guarantee上兑现——该平台是中国有组织犯罪和网络诈骗的中心。 11月，印度当局逮捕了一名来自西孟加拉邦的男子，指控他参与盗取WazirX平台的2.35亿美元。 Chainalysis表示，与朝鲜政府相关的黑客组织主导了大部分来自加密平台的盗窃行为，2024年，这些黑客通过47起事件窃取了13.4亿美元。这一数字较2023年的6605万美元（20起攻击事件）大幅增加。 根据Chainalysis，朝鲜黑客已因其加密货币盗窃行为而臭名昭著——朝鲜利用这些资金规避国际制裁，并资助其弹道导弹项目。 “遗憾的是，朝鲜的加密攻击似乎变得更加频繁，”研究人员表示，“尤其是5000万到1亿美元之间的攻击，以及超过1亿美元的攻击在2024年出现得比2023年更为频繁，表明朝鲜在进行大规模攻击时变得更加熟练和迅速。这与过去两年形成鲜明对比，过去两年中，朝鲜的攻击每次带来的利润通常低于5000万美元。” 虽然根据被盗金额，多个史上最大规模的黑客攻击已被归因于朝鲜黑客，但该国也在逐渐转向盗取来自小型平台的小额资金。Chainalysis表示，朝鲜攻击事件的密度在“尤其是约1万美元”的范围内有了增长。   朝鲜加密黑客的技能继续令安全专家困惑。上周，加密平台Radiant Capital发布了关于9月一起事件的事后分析，其中超过5000万美元被盗。 这些黑客涉嫌与朝鲜的侦察总局（RGB）有关，采用创新的手段破坏了Radiant Capital工程师使用的设备。 根据联合国调查人员的报告，朝鲜政府在2017年至2023年间，通过攻击加密货币平台获得了30亿美元的资金。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

E安全消息，如果正在进行的调查发现TP-Link路由器用于网络攻击并构成国家安全风险，美国政府考虑从明年开始禁止TP-Link路由器。据《华尔街日报》报道，美国司法部、商务部和国防部正在调查这个问题，商务部的一个办公室已经发出了传票。近年来，TP-Link在美国SOHO路由器（针对家庭和小型办公场所）市场份额已增长到大约65%。外媒报道这种增长是通过以低于制造成本的价格销售设备来实现的，这也是司法部正在调查的问题。目前超过300家美国互联网服务提供商将TP-Link设备作为家庭用户的默认互联网路由器。《华尔街日报》表示，TP-Link路由器也出现在包括国防部、美国国家航空航天局（NASA）和美国缉毒局（DEA）在内的多个政府机构的网络中。 TP-Link美国子公司的一位发言人告诉《华尔街日报》：“我们欢迎任何与美国政府合作的机会，以证明我们的安全实践完全符合行业安全标准，并展示我们对美国市场、美国消费者以及应对美国国家安全风险的承诺。” TP-Link路由器僵尸网络被用于密码喷射攻击微软10月份的一份报告，称被黑客入侵的SOHO路由器僵尸网络（被跟踪为Quad7、CovertNetwork-1658或xlogin，由中国威胁行为者操作）主要由TP-Link设备组成。随后美国展开了调查。“微软将受感染的小型办公室和家庭办公室（SOHO）路由器网络跟踪为 CovertNetwork-1658。TP-Link制造的SOHO路由器构成了该网络的大部分。“该公司表示。“微软评估，多个中国威胁行为者使用从CovertNetwork-1658密码喷射操作中获得的凭据来执行计算机网络利用（CNE）活动。” 12月16日，《纽约时报》报道称，拜登政府计划禁止中国电信在美国的最后活跃业务。 2022年1月，美国联邦通信委员会（FCC）以“重大国家安全关切”为由撤销了中国电信美洲的许可证。 2022年11月，FCC禁止销售五家中国公司（即华为技术、中兴通讯、海能达通信、杭州海康威视数字技术、大华科技）制造的通信设备，原因是“对国家安全构成不可接受的风险”。 2020年6月，FCC正式将华为和中兴通讯列为对美国通信网络完整性构成国家安全威胁的实体。   转自E安全，原文链接：https://mp.weixin.qq.com/s/smrntN8VGSmp_t03JXaibA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 来自 BitSight 的新报告证实，尽管德国警方进行了干扰，BadBox 恶意软件操作依然持续增长，研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。 BitSight 的研究人员警告称，该恶意软件似乎已扩大其攻击范围，不再仅仅针对一些不知名的中国 Android 设备，现在已开始感染更为知名且受信任的品牌，例如 Yandex 电视和 Hisense 智能手机。 BadBox 是一种 Android 恶意软件，据信基于 ‘Triada’ 恶意软件家族，它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。 该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后，恶意软件操作逐步扩展到其他在线销售的不知名产品。 BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。 此外，BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上，执行更危险的操作。 恶意软件活动流程 上周，德国联邦信息安全办公室（BSI）宣布，他们通过拦截操作中断了该国的 BadBox 恶意软件活动，成功切断了一个恶意软件的指挥与控制服务器的通信，影响了约 30000 台 Android 设备。 这些受影响的设备主要是 Android 数字相框和媒体流媒体盒，但 BSI 警告称，BadBox 恶意软件可能出现在更多产品类别中。 根据 BitSight 研究员 Pedro Falé 的说法，该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名，他们能够监控设备何时尝试连接，进而得知有多少唯一 IP 地址受到影响。 “但现实情况是，BadBox 似乎仍然活跃并扩展，”Falé 写道，“当 BitSight 成功拦截一个 BadBox 域名时，我们在 24 小时内注册了超过 160000 个唯一 IP 地址，这一数字一直在稳步增长。” 这表明，BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台，但实际情况远远超过了这个数字。 这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。 “这些受影响的型号（从 YNDX-00091 到 YNDX-000102）是来自知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒，”BitSight 解释道。 “这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制（C2）域进行如此大量的通信，将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。” BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。 设备与 BadBox 服务器通信的位置 BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为此次干扰仅限于特定区域，因此 BadBox Android 恶意软件活动得以持续。 随着 BadBox 扩展到更多大品牌，消费者应确保及时安装最新的固件安全更新，将智能设备与更关键的系统隔离，并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新，强烈建议您将其断网或完全关闭。 BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。   消息来源：Bleeping Computer, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据乌克兰计算机应急响应小组（CERT-UA）披露，名为 UAC-0125 的威胁行为者正在利用 Cloudflare Workers 服务，诱使该国军事人员下载伪装成 Army+ 的恶意软件。Army+ 是由乌克兰国防部于 2024 年 8 月推出的一款移动应用，旨在帮助武装部队实现无纸化操作。 访问伪造的 Cloudflare Workers 网站的用户会被提示下载一个名为 Army+ 的 Windows 可执行文件，该文件是使用 Nullsoft Scriptable Install System（NSIS）创建的，NSIS 是一款开源工具，用于为操作系统创建安装程序。 打开该二进制文件后，会显示一个伪装的文件并启动，同时执行一个 PowerShell 脚本，该脚本旨在安装 OpenSSH，生成一对 RSA 密钥对，将公钥添加到“authorized_keys”文件中，并通过 TOR 匿名网络将私钥传输到攻击者控制的服务器上。 该攻击的最终目标是让攻击者能够远程访问受害者的计算机，CERT-UA 表示，目前尚不清楚这些链接是如何传播的。 该机构进一步指出，UAC-0125 与另一个名为 UAC-0002 的威胁群体相关，后者更广为人知的名称包括 APT44、FROZENBARENTS、Sandworm、Seashell Blizzard 和 Voodoo Bear，这是一个与俄罗斯联邦总参谋部第 74455 单位（GRU）有关的高级持续性威胁（APT）组织。 本月早些时候，Fortra 披露其观察到“合法服务滥用”的上升趋势，恶意行为者利用 Cloudflare Workers 和 Pages 托管虚假的 Microsoft 365 登录和人类验证页面，以窃取用户凭证。 该公司表示，Cloudflare Pages 上的钓鱼攻击已增长 198%，从 2023 年的 460 起事件增至 2024 年 10 月中旬的 1,370 起。同样，利用 Cloudflare Workers 的钓鱼攻击也增加了 104%，从 2023 年的 2,447 起事件增至目前的 4,999 起。 该事件发生时，欧洲理事会对 16 名个人和 3 个实体实施制裁，指责其“俄罗斯在国外的破坏性行动”。这些对象包括涉及在欧洲的外部刺杀、爆炸和网络攻击的 GRU 29155 单位，以及参与中非共和国和布基纳法索的亲俄秘密影响操作的“非洲贸易与投资集团”和“非洲倡议”新闻机构，这些机构传播俄罗斯宣传和虚假信息。   消息来源：The Hacker News, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员将多起针对性攻击与一个名为“The Mask”的网络间谍组织联系起来。该 APT 组织于 2019 年和 2022 年针对拉丁美洲的一个组织发起攻击。 威胁组织访问了 MDaemon 电子邮件服务器并使用其 WorldClient 网络邮件组件在受感染的组织内保持持久性。 WorldClient 组件的身份验证面板 卡巴斯基发布的分析报告称：“攻击者使用的持久性方法基于 WorldClient，允许加载处理从客户端到电子邮件服务器的自定义 HTTP 请求的扩展程序。” “这些扩展程序可以通过 C:\MDaemon\WorldClient\WorldClient.ini 文件进行配置” “The Mask”APT组织（又名“Careto” [西班牙语，意为“丑陋的脸”或“面具”]）是一个备受瞩目的受国家支持的黑客组织，其目标一直是政府机构、外交机构、大使馆、外交办公室和能源公司。 卡巴斯基于 2014 年首次发现该 APT 组织，但专家认为该网络间谍活动已持续了五年多。当时，卡巴斯基称这是他们迄今为止见过的最复杂的 APT 行动。 Mask APT 自 2007 年起就已活跃，它展示了使用复杂植入物的能力，通常通过0day漏洞进行传播。 专家们尚未确定该 APT 组织的来源，但他们还注意到该组织讲西班牙语，并且针对全球 30 多个国家。 在最近的攻击中，The Mask 使用恶意扩展进行侦察、文件系统交互和有效载荷执行。 2024 年初，攻击者利用 hmpalert.sys 驱动程序和 Google Updater 部署了一个名为 FakeHMP 的新植入程序，可实现文件检索、键盘记录、屏幕截图和其他有效载荷。他们还部署了麦克风录音机和文件窃取程序。 在调查 2022 年的攻击时，研究人员注意到受害组织在 2019 年也遭受过使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署了 Careto2，然后通过 COM 劫持保持持久性。该框架从虚拟文件系统加载插件，插件名称被哈希化为 DJB2 值。 “距离我们上次看到 Careto 网络攻击已经过去了 10 年，但该攻击者仍然像以前一样强大。这是因为 Careto 能够发明非凡的感染技术，例如通过 MDaemon 电子邮件服务器持久化或通过 HitmanPro Alert 驱动程序植入加载，以及开发复杂的多组件恶意软件。” 报告总结道。“虽然我们无法估计社区需要多长时间才能发现该攻击者的下一次攻击，但我们相信他们的下一次活动将与之前的一样复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7C4Xm3xCiGziXGXwr4SUGg 封面来源于网络，如有侵权请联系删除

E安全消息，黑客组织TIDRONE以针对台湾国防和无人机行业而闻名，现已将业务扩展到韩国，利用企业资源规划（ERP）软件部署CLNTEND后门恶意软件。AhnLab安全情报中心 (ASEC) 近期揭露了TIDRONE策划的一系列针对韩国公司的网络攻击。TIDRONE最初于2024年9月由Trend Micro发现，与一个讲中文的威胁组织有关。他们的活动以台湾组织为目标，现在扩展到韩国，尤其是小型ERP解决方案。ASEC表示：“自2024年7月以来，该集团也一直在利用韩国ERP软件……可能由小公司开发并分发给少数韩国公司。使用ERP软件作为攻击媒介突显了该组织对供应链的战略目标，特别是那些分发范围有限且在安全性方面缺乏透明度的软件。这些攻击涉及DLL side-loading，这是一种众所周知的技术，允许恶意软件以合法程序为幌子执行。分发过程遵循两个主要模式： 1. 定制化ERP利用：小规模ERP开发商为每个客户提供量身定制的软件，给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”，而合法版本“大约20MB”。 2. Dropper安装：攻击者分发包含安装程序（droppers）的ERP软件版本，这些安装程序会同时安装ERP软件和CLNTEND恶意软件。 恶意加载器经常滥用合法的可执行文件，例如： winword.exe（Microsoft Word） VsGraphicsDesktopEngine.exe rc.exe 该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件，从而启用旁加载来解密和执行内存中的CLNTEND有效负载。 CLNTEND被描述为远程访问木马（RAT），能够与命令和控制（C2）服务器进行复杂的通信。 ASEC解释说：“与CXCLNT不同，CLNTEND以支持各种通信协议而闻名，例如TCP（原始套接字、Web套接字）、TLS、HTTP、HTTPS和SMB。” 恶意软件的加密数据文件（例如wctE5ED.tmp）使用FlsCallback等高级混淆技术进行解密，这进一步使研究人员的分析复杂化。 该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括： C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe C:\NVIDIA\DisplayDriver\rc.exe C:\ProgramData\Microsoft OneDrive\setup\nir.exe 这凸显了TIDRONE的一贯策略，即将恶意组件混合到可识别的目录中以逃避检测。 TIDRONE组织通过ERP利用针对韩国公司，展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件，确保了该组织对脆弱系统的更广泛访问。 ASEC总结道：“最近识别出的攻击案例涉及利用ERP，这些ERP被怀疑是由一个小开发公司创建的。” 建议依赖ERP系统的组织（尤其是来自较小供应商的组织）仔细检查其软件供应链，实施更严格的监控机制，并定期更新其端点防御措施，以降低此类高级威胁带来的风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/oT4Ajv8SO4ShPfJv6GDdKQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近日，欧盟委员会启动了新的调查，旨在查明 TikTok 是否违反《数字服务法案》，允许外国势力干涉近期罗马尼亚选举。 本月初，法院取消了总统选举第二轮投票，此前一名不明身份的独立候选人、普京崇拜者 Calin Georgescu 出人意料地领先。 根据解密的情报报告，选举前几周， TikTok 突然激活了成千上万个账户，委员会正依据这些报告展开调查。 欧盟委员会主席 Ursula von der Leyen 表示：“我们必须保护我们的民主免受任何形式的外国干涉。当我们怀疑有此类干涉，尤其是在选举期间时，我们必须迅速而果断地采取行动。” “在有严重迹象表明外国势力通过 TikTok 干预了罗马尼亚总统选举后，我们正在彻查 TikTok 是否因未能应对此类风险而违反了《数字服务法案》。在欧盟，所有在线平台，包括 TikTok ，必须对此负责。” 具体而言，调查将重点审查 TikTok 在政治广告和付费政治内容方面的政策，包括其推荐系统是否存在被有组织、有计划的操控，以及是否做了足够的工作来减少个别人试图在选举前影响公众舆论的风险。 显然，一些宣传 Calin Georgescu 的 TikTok 内容没有被标记为选举内容，违反了当地法律。 如果 TikTok 被发现违反了《数字服务法案》第 34(1) 条、第 34(2) 条和第 35(1) 条，可能会面临巨额罚款。该法案赋予监管机构权力，对违规公司处以全球年营业额 6% 的罚款。 这家公司已经因各种违规行为在美国和英国被罚款数千万美元。去年，爱尔兰数据保护委员会（DPC）要求其支付3.45亿欧元（约合3.68亿美元），因其在处理儿童用户信息时违反了《通用数据保护条例》（GDPR）。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最近一项对取证工具 Cellebrite 软件的披露展示，所有的智能手机设备都可以被破解。总部位于新加坡的网络安全公司 Group-IB 警告称，不论是使用 Apple iOS 还是 Google Android 操作系统的智能手机用户都面临着风险。 Cellebrite Premium 是一种执法机构用于从锁定智能手机中提取数据的工具，自 2024 年 2 月以来一直受到关注。美国联邦调查局曾利用该工具，在 40 分钟内破解了唐纳德·特朗普枪击事件嫌疑人的手机。 本周，国际特赦组织报告揭示了塞尔维亚当局如何利用这一由以色列公司开发的产品，非法侵入记者和社会运动人士的设备。 Group-IB 提出了关于透明度和用户安全的紧迫问题：“最近的研究发现，智能手机制造商往往会淡化或掩盖安全漏洞，这让个人和企业暴露于数据泄露、身份盗窃和企业间谍等风险之下。”该公司在报告中表示，几乎所有现代智能手机在第一次解锁后都面临着被数据提取的威胁。 “虽然旧设备尤为易受攻击，但即便是最新的设备也远非免疫。遗憾的是，所有运行 Apple iOS 和 Google Android 的现代智能手机用户都面临风险。”Group-IB 的报告写道。 手机解锁与取证工具的功能 取证工具开发者自己列出了他们工具的功能。 Cellebrite 的更新日志详细说明了其新增加的功能，包括强力破解运行 iOS 12.5-17.2.1 的 iPhone，以及支持包括 Qualcomm 和 Exynos 型号在内的 Samsung Galaxy S24 系列。 此前泄露的支持矩阵甚至包括了新款智能手机，如 Pixel 8 系列和 iPhone 15 系列。厂商明确指出，最新款智能手机在第一次解锁后就存在漏洞。 苹果公司最近对此作出了回应，引入了一项新的 iOS 安全功能，即在设备 72 小时不活动后自动重启 iPhone。 另一个手机解锁和取证工具，GrayKey，声称能够部分访问所有运行 iOS 18 或更旧版本的 iPhone。然而，根据 Group-IB 的说法，该工具在最新的 iOS 更新中表现不佳。该工具列出了所有 Google Pixel 设备在第一次解锁后也存在漏洞。 “旧设备，如 iPhone X 及其之前的版本，非常脆弱，容易受到攻击，”Group-IB 的研究人员表示，“尽管采用了先进的加密技术，现代设备依然无法免疫，事实上，目前的设备依然存在漏洞，尤其是在第一次解锁后的 AFU 模式下。” 其他未授权方也越来越多地使用越狱和文件替换工具来利用被盗或丢失的智能手机。这些工具使攻击者能够访问系统文件并替换为篡改的数据。 另一种绕过激活锁的方法是未授权方使用伪造的响应，似乎来自苹果服务器，或者通过替换备份文件来绕过“查找我的 iPhone”和“激活锁”等功能。 “即使是最安全的智能手机，在被盗或丢失时也可能被破解。”研究人员警告道。许多攻击针对的是引导加载程序或 USB 端口的漏洞，这些漏洞通常出现在设备处于活动状态时。 Group-IB 共享了地下市场上各种苹果设备解锁的价格清单。 “这些绕过方法通常是临时的，通常只持续到固件重置或更新。但它们为攻击者提供了足够的时间，将被盗设备转售为功能完好的智能手机。”研究人员表示。 尽管智能手机容易受到威胁，研究人员还提出了另一个问题——如果数据完整性无法得到保证，这些设备作为证据是否可信？信息很容易被篡改或植入。 如何保护自己？ Cellebrite 和其他工具可能让智能手机用户面临风险，包括数据泄露、身份盗窃、证据篡改甚至企业间谍活动。 Group-IB 建议 iOS 用户启用锁定模式，因为这可以限制设备的可被攻击性，并尽可能频繁地升级智能手机硬件。Android 用户应使用安全型号，如 Google Pixel 8 及更新的智能手机，并启用 MTE功能。 “经验丰富的用户可以考虑自定义操作系统，将 AFU 模式转为 BFU，并记得锁定引导加载程序。”Group-IB 说道。 制造商应通过启用完全断开智能手机端口的模式（仅充电模式），来增强硬件安全性，这样可以保护端口硬件并中断数据传输。 Group-IB 还建议效仿苹果，引入将智能手机转为 BFU 模式的功能，即使是在更短时间的非活动后也能切换。“加强引导加载程序：识别并修复引导加载程序中的漏洞，并确保这些漏洞得到报告。一些旧智能手机可以通过暴力破解密码被攻破（因此建议设置最小密码长度）。”Group-IB 提到。   消息来源：cyber news, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯政府已将美国情报公司 Recorded Future 列为“非友好组织”，指控该公司参与收集和分析关于俄罗斯军队行动的数据。 俄罗斯总检察院指控 Recorded Future 向乌克兰专家提供免费访问程序的权限，这些程序将用于开展对俄罗斯的攻击性信息战。 Recorded Future 的首席执行官 Christopher Ahlberg 一直公开支持乌克兰，他对这一标签表示欢迎。 “生活中有些事情是罕见的恭维，而这个就是其中之一，”Ahlberg 在 X 社交媒体平台上发布了这样一条信息。 “非友好组织”标签将禁止 Recorded Future 在俄罗斯开展业务，并使该公司在俄罗斯分享其数据和分析时面临法律风险和障碍。 俄罗斯总检察院将 Recorded Future 描述为提供数据搜索、处理和分析服务的实体，其中包括访问和分析非公开或受限网络的数据。 “他们专注于网络威胁，积极与 CIA 和其他国家的情报机构合作。为西方对俄罗斯发起的宣传战提供信息和技术支持，”声明中写道。 “该组织参与收集和分析俄罗斯武装部队的行动数据。向乌克兰专家提供免费访问程序，用于准备和开展对俄罗斯的攻击性信息操作，”声明补充道。 这被认为是首个被指定为“非友好组织”的网络安全公司。俄罗斯政府通常将这一标签用于非政府组织（NGO）、媒体和民间社会组织。 Recorded Future 总部位于马萨诸塞州，目前正在接受金融服务巨头 Mastercard 以 26 亿美元收购。该交易宣布时，Mastercard 将此次收购定位为其网络安全服务的扩展，并表示将加强其用于保护金融服务生态系统的洞察力和情报。 Recorded Future 曾在 2019 年被私募股权公司 Insight Partners 以 7.8 亿美元收购。它被认为是全球最大的威胁情报公司，客户遍布 75 个国家，其中包括 45 个国家的政府。   消息来源：Security Week, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，网络安全研究人员披露了一项针对欧洲公司的新型网络钓鱼活动，旨在窃取账户凭证并控制受害者的 Microsoft Azure 云基础设施。 Palo Alto Networks Unit 42 将该活动命名为 HubPhish，因为攻击链中滥用了 HubSpot 工具。受害者包括至少 20,000 名来自汽车、化学和工业复合材料制造领域的欧洲用户。 “该钓鱼活动在 2024 年 6 月达到了高峰，利用 HubSpot 免费表单构建器服务创建了虚假表单，”安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在一份与《The Hacker News》共享的报告中表示。 这些攻击通过伪装成 Docusign 的钓鱼邮件，诱使收件人查看文档，随后将用户重定向到恶意的 HubSpot 免费表单构建器链接，从那里再引导到一个假的 Office 365 Outlook Web App 登录页面，以窃取用户的凭证。 Unit 42 发现至少 17 个有效的免费表单，用户点击后被重定向到多个由攻击者控制的恶意域名。其中，大部分域名托管在 “.buzz” 顶级域（TLD）上。 “钓鱼活动托管在多个平台上，包括 Bulletproof VPS 主机，”该公司表示。“[攻击者] 还利用这些基础设施访问了被攻击的 Microsoft Azure 租户，在账户接管操作中进行进一步渗透。” 在成功访问账户后，攻击者会在账户中添加一个新设备以确保持续控制。 “攻击者通过钓鱼活动针对受害者的 Microsoft Azure 云基础设施，利用凭证盗窃攻击从受害者的终端设备获取凭证，”Unit 42 解释道。“随后，他们通过横向渗透操作进入云端。” 此事的披露与攻击者冒充 SharePoint 进行的钓鱼邮件活动有关，目的是传播一种名为 XLoader 的信息盗窃者恶意软件，它是 Formbook 的继任者。 钓鱼攻击也在不断演变，采用新颖的方法绕过电子邮件安全措施。最新的攻击方式包括滥用 Google 日历和 Google 绘图等合法服务，以及伪造电子邮件安全供应商品牌，如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。 这些利用 Google 服务信任的攻击通常会发送包含日历（.ICS）文件的邮件，文件内有指向 Google Forms 或 Google Drawings 的链接。点击该链接后，用户会被引导到另一个链接，通常伪装成 reCAPTCHA 或支持按钮。一旦点击，受害者将被转发到假页面，进行财务诈骗。   消息来源：The Hacker News, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，当地时间12月17日，爱尔兰数据保护委员会（DPC）以Facebook涉嫌泄露2900万用户个人数据，违反了《通用数据保护条例（GDPR）》相关规定为由，对其母公司 Meta 处以 2.51亿欧元（约2.64亿美元）罚款。 该事件被指由未经授权的第三方对用户访问令牌的利用，导致敏感用户数据如姓名、电子邮件地址、电话号码和地理位置等被暴露，还对儿童造成了影响。尽管 Facebook  发现后立即采取了纠正措施，但该事件仍然违反了几条 GDPR 条款： 第 33 条第 3款：不完整的泄露通知细节——罚款 800 万欧元 第 33 条第 5款：对泄露事实/补救措施的记录不足——罚款 300 万欧元 第 25 条第 1款：未将数据保护嵌入系统设计中——罚款 1.3 亿欧元 第 25 条第 2款：未将数据处理限制在必要范围内——罚款 1.1 亿欧元 DPC副委员 Graham Doyle表示，此处罚突显了在设计和开发周期中未能融入数据保护要求将会给个人带来非常严重的风险和伤害，包括对个人的基本权利和自由构成风险。 对此，Meta向BleepingComputer表示，这一处罚与2018 年的数据泄露事件有关，已在确定问题后立即采取了补救措施，并主动通知了受影响的用户以及爱尔兰数据保护委员会。 近期Meta已在各地背负了多项罚款。11月4日，韩国个人信息保护委员会以违反《个人信息保护法》为由，对Meta 处以216 亿多韩元（至少1500万美元）罚款；同月，印度竞争委员会以Meta强迫 WhatsApp 用户同意与旗下其他 平台全面共享数据为由，对其开出2500 万美元罚单。 就在最近，Meta同意支付5000万澳元（约3160万美元）以了结因剑桥分析公司丑闻而进行的旷日持久的法律诉讼，该公司曾被曝未经许可保留了数百万Facebook澳大利亚用户的个人数据，并将其用于 This is Your Digital Life 应用程序，这些数据可能被滥用于政治分析。   转自Freebuf，原文链接：https://www.freebuf.com/news/417970.html 封面来源于网络，如有侵权请联系删除

Ivanti 解决了其云服务设备（CSA）解决方案中的一个关键身份验证绕过漏洞。 Ivanti 解决了影响其云服务设备（CSA）解决方案的一个关键身份验证绕过漏洞，该漏洞被追踪为 CVE-2024-11639（CVSS 评分 10）。 远程未认证的攻击者可以利用该漏洞获得管理员访问权限。 这个漏洞是由 CrowdStrike 高级研究团队发现的，影响 5.0.2 及之前版本。 “在 Ivanti CSA 5.0.3 之前的版本的管理员网络控制台中存在一个身份验证绕过问题，允许远程未认证的攻击者获得管理员访问权限。”公司发布的公告中写道。 该公司还修复了一个关键的 SQL 注入漏洞，该漏洞被追踪为 CVE-2024-11772（CVSS 评分 9.1），影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 公司解决的第三个问题是另一个关键的 SQL 注入漏洞，被追踪为 CVE-2024-11773（CVSS 评分 9.1），同样影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者也可以利用该漏洞执行任意 SQL 语句。 Ivanti 发布了 CSA 5.0.3 版本来解决上述问题，并指出公司不知道有在野利用这些漏洞的攻击。 “在我们公开披露之前，没有客户被这些漏洞所利用的消息。这些漏洞是通过我们的负责任披露计划被披露的。”公告总结道，“目前，没有已知的公开利用这些漏洞的情况，也无法提供妥协指标。” 早在 10 月初，这家软件公司就警告了其云服务设备（CSA）中的三个新的安全漏洞（CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381），这些漏洞正在野外攻击中被积极利用。 以下是这三个漏洞的描述： CVE-2024-9379（CVSS 评分 6.5）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的 SQL 注入。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 CVE-2024-9380（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的操作系统命令注入漏洞。具有管理员权限的远程认证攻击者可以利用该漏洞实现远程代码执行。 CVE-2024-9381（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前的版本中的路径遍历问题。具有管理员权限的远程认证攻击者可以利用该漏洞绕过限制。 威胁行为者将这些三个漏洞与 CSA 零日漏洞 CVE-2024-8963（CVSS 评分 9.4）链接起来，该漏洞在 9 月被软件公司解决。 威胁行为者可以利用这些漏洞在易受攻击的 CSA 网关上执行 SQL 注入攻击、通过命令注入执行任意代码，并利用路径遍历弱点绕过安全限制。 “我们了解到有限的客户运行 CSA 4.6 补丁 518 及之前的版本，当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 链接时，这些客户遭到了利用。”Ivanti 发布的公告中写道，“我们没有证据表明其他漏洞在野外被利用。这些漏洞不影响 Ivanti 的任何其他产品或解决方案。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302694 封面来源于网络，如有侵权请联系删除

一种新近开发的技术，利用了Windows的一个辅助功能框架——UI Automation（UIA），来执行多种恶意活动，同时巧妙地避开了端点检测和响应（EDR）解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报告中指出：“要利用这项技术，必须说服用户运行一个利用UI Automation的程序。”这可能导致隐蔽的命令执行，进而窃取敏感数据、将浏览器重定向至网络钓鱼网站等。 更糟糕的是，本地攻击者可能会利用这一安全漏洞执行命令，从Slack和WhatsApp等消息应用中读取或发送消息。此外，这种技术还可能被用来通过网络操控用户界面元素。 UI Automation最初随Windows XP和Microsoft .NET Framework一同推出，旨在提供对各种用户界面（UI）元素的程序化访问，并帮助用户通过辅助技术产品（如屏幕阅读器）来操作这些元素，它也可用于自动化测试场景。 微软在一份支持文件中提到：“辅助技术应用通常需要访问受保护的系统UI元素，或者可能以更高权限运行的其他进程。因此，辅助技术应用必须获得系统的信任，并以特殊权限运行。” “要访问更高权限级别的进程，辅助技术应用必须在应用的清单文件中设置UIAccess标志，并由具有管理员权限的用户启动。” 与其他应用中的元素进行UI交互，是通过组件对象模型（COM）作为进程间通信（IPC）机制来实现的。这使得创建UIA对象成为可能，通过设置事件处理程序，在检测到特定UI变化时触发，从而与焦点应用进行交互。 Akamai的研究发现，这种方法也可能被滥用，允许恶意行为者读取或发送消息、窃取在网站（如支付信息）中输入的数据，并在浏览器中当前显示的网页刷新或更改时执行命令，将受害者重定向至恶意网站。 Peled指出：“除了我们可以在屏幕上与之交互的UI元素外，还有更多的元素被预先加载并存储在缓存中。我们也可以与这些元素交互，比如阅读屏幕上未显示的消息，甚至在屏幕上不显示的情况下设置文本框并发送消息。” 需要指出的是，这些恶意场景都是UI Automation的预期功能，类似于Android的辅助服务API已经成为恶意软件从受感染设备中提取信息的常用手段。 Peled补充说：“这归根结底是应用程序的预期用途：这些权限级别必须存在才能使用它。这就是为什么UIA能够绕过Defender——应用程序没有发现任何异常。如果某功能被视为特性而非缺陷，机器的逻辑就会遵循这一特性。” Deep Instinct披露，分布式COM（DCOM）远程协议允许软件组件通过网络通信，可能被利用来远程编写自定义有效载荷，创建嵌入式后门。 安全研究员Eliran Nissan表示：“这种攻击允许在目标机器上编写自定义DLL，将它们加载到服务中，并使用任意参数执行它们的功能。”这种后门式攻击滥用了IMsiServer COM接口。 Nissan说：“到目前为止，DCOM横向移动攻击的研究主要集中在基于IDispatch的COM对象上，因为它们可以被脚本化。”新的“DCOM上传和执行”方法“远程将自定义有效载荷写入受害者的[全局程序集缓存]，从服务上下文执行它们，并与它们通信，有效地充当嵌入式后门。这里的研究证明，许多意想不到的DCOM对象可能被用于横向移动，应该对齐适当的防御措施。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417529.html 封面来源于网络，如有侵权请联系删除

一项全球执法行动成功打击了27个用于发起分布式拒绝服务（DDoS）攻击的压力测试服务，并将它们作为一项名为PowerOFF的多年国际行动的一部分而下线。 这项由欧洲刑警组织协调、涉及15个国家的努力，拆除了几个启动器和压力测试网站，包括zdstresser.net、orbitalstress.net和starkstresser.net。这些服务通常利用安装在受感染设备上的僵尸网络恶意软件，代表付费客户对他们的目标发起攻击。 此外，与非法平台有关的三名管理员在法国和德国被捕，计划对超过300名用户进行操作活动。 欧洲刑警组织在一份声明中说：“这些被称为‘启动器’和‘压力测试’网站的平台，使网络犯罪分子和黑客活动分子能够用非法流量淹没目标，导致网站和其他基于网络的服务无法访问。”声明还指出：“发起此类攻击的动机各不相同，从经济破坏、财务收益到意识形态原因，如KillNet或Anonymous Sudan等黑客活动团体所展示的那样。” 荷兰警方在一份协调声明中表示，已启动对四名年龄在22至26岁之间的嫌疑人的诉讼，他们分别来自Rijen、Voorhout、Lelystad和Barneveld，涉嫌发动数百次DDoS攻击。 参与PowerOFF行动的国家包括澳大利亚、巴西、加拿大、芬兰、法国、德国、日本、拉脱维亚、荷兰、波兰、葡萄牙、瑞典、罗马尼亚、英国和美国。 这一发展是在德国执法当局宣布破坏一个名为dstat[.]cc的犯罪服务一个月后，该服务使其他威胁行为者能够发起分布式拒绝服务（DDoS）攻击。 本月早些时候，网络基础设施和安全公司Cloudflare表示，在美国由Cloudflare保护的购物和零售网站在黑色星期五/网络星期一购物季节期间，DDoS活动显著增加。 该公司还透露，2024年其系统缓解了全球6.5%的潜在恶意或客户定义原因的流量。在上述时间段内，受到攻击最多的行业是赌博/游戏行业，其次是金融、数字原生、社会和电信行业。 这些发现还跟随着一个“普遍存在”的配置错误漏洞的发现，该漏洞存在于实施基于CDN的Web应用防火墙（WAF）服务的企业环境中，这可能允许威胁行为者绕过针对网络资源设置的安全防护，发起DDoS攻击。这种技术被代号命名为Breaking WAF。 Zafran研究人员表示：“这种配置错误源于现代WAF提供商同时充当CDN（内容分发网络）提供商，旨在为Web应用程序提供网络可靠性和缓存。”这种双重功能是CDN/WAF提供商普遍存在的架构盲点的核心。 为了减轻攻击带来的风险，建议组织通过采用IP白名单、基于HTTP头的认证和相互认证的TLS（mTLS）来限制对其Web应用程序的访问。       转自安全客，原文链接：https://www.anquanke.com/post/id/302697 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一种名为Pumakit的新Linux rootkit恶意软件被发现，它使用隐身和高级权限提升技术来隐藏其在系统上的存在。 该恶意软件是一个多组件集合，包括一个投递器(dropper)、内存驻留可执行文件、内核模块rootkit和一个共享对象(SO)用户空间rootkit。 Elastic Security在VirusTotal上发现了一个可疑的二进制文件(‘cron’)上传，日期为2024年9月4日，并报告说无法看到谁在使用它以及它针对的目标。 通常，这些工具被高级威胁行为者用于针对关键基础设施和企业系统进行间谍活动、财务盗窃和破坏操作。 Pumakit采用多阶段感染过程，起始于一个名为’cron’的投递器，它从内存中完全执行嵌入的有效载荷(‘/memfd:tgt’和’/memfd:wpn’)。 ‘/memfd:wpn’有效载荷在子进程中执行，执行环境检查和内核映像操作，并最终将LKM rootkit模块(‘puma.ko’)部署到系统内核中。 LKM rootkit中嵌入了Kitsune SO (‘lib64/libs.so’)，作为用户空间rootkit，使用’LD_PRELOAD’注入自身到进程中，以拦截用户级别的系统调用。 Pumakit感染链 rootkit遵循条件激活，检查特定的内核符号、安全启动状态和其他先决条件后才加载。 Elastic表示，Puma利用’kallsyms_lookup_name()’函数来操纵系统行为。这表明rootkit旨在仅针对5.7版本之前的Linux内核，因为新版本不再导出该函数，因此不能被其他内核模块使用。 “LKM rootkit操纵系统行为的能力始于其使用系统调用表及其依赖于kallsyms_lookup_name()进行符号解析，”Elastic研究人员Remco Sprooten和Ruben Groenewoud解释说。 “与针对5.7及以上内核版本的现代rootkit不同，该rootkit不使用kprobes，表明它是为旧内核设计的。” Puma使用’ftrace’钩住18个系统调用和多个内核函数，以获得权限提升、命令执行能力以及隐藏进程的能力。 内核函数’prepare_creds’和’commit_creds’被滥用以修改进程凭证，为特定进程授予root权限。 该rootkit可以从内核日志、系统工具和杀毒软件中隐藏自己的存在，并且还可以隐藏目录中的特定文件和进程列表中的对象。 如果钩子被中断，rootkit会重新初始化它们，确保其恶意更改不会被撤销，模块不能被卸载。 用户空间rootkit Kitsune SO与Puma协同工作，将其隐身和控制机制扩展到用户交互。 它拦截用户级别的系统调用，并改变ls、ps、netstat、top、htop和cat等命令的行为，以隐藏与rootkit相关的文件、进程和网络连接。 它还可以根据攻击者定义的标准动态隐藏任何其他文件和目录，并使恶意二进制文件对用户和系统管理员完全隐形。 Kitsune SO还处理与命令和控制(C2)服务器的所有通信，将命令中继到LKM rootkit，并将配置和系统信息传输给操作员。 除了文件哈希之外，Elastic Security还发布了一个YARA规则，以帮助Linux系统管理员检测Pumakit攻击。     消息来源：bleepingcomputer；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国网络安全战略专家、新锐网安公司SentinelOne首席安全顾问摩根·莱特（Morgan Wright）日前撰文称，特朗普第二任期政府已表态减少物理战争，网络战将是替代选择，预计针对美军进攻性网络行动的管控政策将进一步宽松，以实现美国的全球优势。以下为全文翻译，安全内参做了少量编辑。 美国网络司令部和国家安全局（NSA）前负责人保罗·仲宗根将军（Paul Nakasone）有一句名言，能最恰如其分地概括下届特朗普政府将面临的网络安全挑战。他曾说：“如果我们发现自己只在内部网络进行防御，我们已经失去了主动权和优势。” 网络空间威胁态势每天都在变化。虽然新的AI技术将在打击对手方面发挥重要作用，但一项更具进攻性的网络政策可能成为美国能够部署的最强大的武器。 特朗普政府即将于明年1月上台，人们不禁要问：在未来的几个月和几年中，我们是否会看到更多进攻性的网络行动？ 对此，摩根·莱特认为答案是肯定的。启动一场传统战争与派出一支网络战队截然不同。传统战争风险高代价大，而网络战则完全相反。 美军进攻性网络行动近年频次暴涨 按照惯例，美国在非战区或未明确敌对状态的情况下展开军事行动，需要得到总统批准。美国法典第10编（武装部队规则）是军事权力的基础。 然而，针对本·拉登的代号为“海神之矛行动”的任务则是根据美国法典第50编（间谍活动与秘密行动规则）进行的。这项由海豹突击队第六分队执行的情报导向行动，尽管取得了成功，但必须先经过总统批准。这是一个漫长且复杂的过程。 与之类似，针对伊朗核设施的代号为“奥林匹克行动”的知名网络破坏任务，在连续两届美国政府中都需要总统授权。这一过程同样繁琐。这些行动虽然本质上是网络作战，但目标均是固定的物理设施。 网络战争需要不同的政策和全新的思维方式。奥巴马政府期间出台总统政策指令（PDD-20）要求，进攻性和防御性网络行动必须经过白宫多次审批。这一规定导致行动速度大幅放缓，不是因为技术能力，而是政策约束。 2018年，特朗普第一任期内的政府开始转向新方法。《第13号国家安全总统备忘录》（NSPM-13）授予国防部长更大的权限，以开展进攻性网络行动。结果是短短几个月内，美国进行的网络空间行动数量超过了过去10年的总和。这一策略被称为“持续交战”。 据美媒C4isrnet 2018年的报告显示，这些更具进攻性的网络活动，帮助美国军方在应对对手方面更加高效。然而，进攻性军事网络行动的性质，决定了它们通常属于机密。美国的机密政策会产生一个问题，人们几乎从未听闻成功案例，失败案例却在国会监督框架下被广泛讨论。 网络威胁态势不断恶化将推动管控政策进一步宽松 美国持续面临来自俄罗斯、朝鲜和伊朗等敌对国家不断演变的众多威胁，以及代理人和跨国网络犯罪组织的持续攻击。值得注意的是，一些新的变化正在发生，而新的应对方法可能对未来的网络空间政策产生重大影响。 2021年5月，拜登总统因太阳风事件（国家支持的网络威胁行动）和Colonial管道事件（跨国网络犯罪组织攻击）发布了网络安全行政命令（EO 14028）。该命令不仅要求实施多因素认证、加密等基础网络安全工具，还对政府传统上采用的应对方法提出质疑，呼吁采用现代化解决方案。 另一起更近期的网络事件，由外国支持的“盐台风”针对美国电信行业的攻击。这引发了更多要求建立独立美国网络部队的讨论。虽然支持与反对的争论仍在继续，但在今年4月，美国的最大网络对手已经成立了专门的网络空间部队。 未能阻止外国实施激进网络间谍活动的代价越来越大。外国黑客持续窃取美国国防等领域的知识产权。朝鲜持续通过远程IT工作者骗局寻找新的方式获取流动资金，以资助其军事与核计划。伊朗也表示，将扩大铀浓缩规模，并积极开展低风险的网络攻击行动。 俄罗斯同样不容低估。即使在乌克兰战争期间，俄罗斯仍然对美国关键基础设施实施攻击。 美国前总统西奥多·罗斯福有一句名言：“说话温和，但手持大棒。”在网络空间，这根“大棒”并不是花哨的AI技术、军事硬件或最新的小工具，而是一项明确的政策，并辅以这些技术工具作为支撑。 真正的成功标准不是对敌人成功攻击的次数，而是敌人对美国的攻击完全不存在。 即将上任的特朗普政府已明确表示，他们更倾向于减少动能战争。如果这一目标真正实现，将更多是因为政策的调整，而非技术上的突破。可以预见，政策将更多地聚焦于第五领域（网络空间）的战争。     转自安全内参，原文链接：https://www.secrss.com/articles/73451 封面来源于网络，如有侵权请联系删除