Aggregator

Wiz Threat Research 揭示了一个由讲罗马尼亚语的威胁组织 Diicot（又称 Mexals）策划的新恶意软件活动。该活动以 Linux 环境为目标，采用了先进的恶意软件技术，标志着其能力显著升级。该组织一直利用 Linux 系统进行加密劫持，使用 XMRig 等工具和复杂的自传播机制。 据 Wiz Research 称，与早期迭代版本相比，更新后的恶意软件显示出惊人的复杂程度，凸显了攻击者适应和完善其战术的能力。报告指出：“我们分析的恶意软件包括一些显著的改进，反映了更高的复杂程度。”主要的进步包括引入了新的指挥控制（C2）基础设施，从基于 Discord 的 C2 过渡到 HTTP，以及采用 Zephyr 协议和 Monero 挖矿。 Diicot 图表 | 来源：Wiz Research Wiz Research 该恶意软件还改进了混淆技术。例如，修改后的 UPX 标头现在包括损坏的校验和，使标准解包工具失效。这些变化表明，该恶意软件正在努力绕过现代安全措施，阻挠自动检测。 该活动的一个突出特点是它能够根据环境调整自己的行为。在云环境中，恶意软件会优先向其他主机传播，而在传统环境中，它会部署加密有效载荷。报告解释说，“云检测逻辑”“基于远程机器的 Linux 发行版和版本”，显示了该组织对目标的细致关注。 调查中发现的有效载荷包括： Brute-Spreader： 在网络中传播并保持持久性的主要有效载荷。 反向外壳 (client.go)： 允许攻击者完全远程控制被入侵的机器。 SSH 标记扫描器： 识别弱 SSH 凭据以获得初始访问权限。 该活动对运行 OpenSSH 的 Linux 系统构成重大风险。薄弱的凭证和错误配置的安全设置很容易成为这种高级恶意软件的入口点。Wiz 研究人员强调：“如果你的系统依赖 SSH 且没有适当的安全保护，它们很容易成为攻击目标。” 加密劫持仍然是 Diicot 行动的核心动机。攻击者从 Monero 挖矿中赚取了超过 16,000 美元，还从 Zephyr 协议中赚取了更多难以追踪的收入。除了经济损失，企业还面临数据外渗、系统受损和潜在运营中断的风险。 随着 Diicot 集团的不断发展，防御策略也必须与时俱进。Wiz Research 建议加强 SSH 配置，强制执行强密码，并部署能够识别混淆有效载荷的高级检测机制。   转自安全客，原文链接：https://www.anquanke.com/post/id/302932 封面来源于网络，如有侵权请联系删除

As these threat actors become increasingly strategic and harder to detect, organizations must take all measures to protect their data, including cybersecurity training. In this Help Net Security video, Rodman Ramezanian, Global Cloud Threat Lead at Skyhigh Security, discusses how companies can defend themselves against threats and be prepared for future ones.

The post How companies can fight ransomware impersonations appeared first on Help Net Security.

你是否对间谍的世界充满好奇？那些身怀绝技、智勇双全的特工们是如何炼成的？本文就一同揭开“间谍课程”的秘密，探

你是否对间谍的世界充满好奇？那些身怀绝技、智勇双全的特工们是如何炼成的？本文就一同揭开“间谍课程”的秘密，探索他们成为真正的特工之前都学习了哪些特殊技能？本文将深入了解间谍的基本素质、必备技能以及独特

境外间谍活动作为国家安全领域的重要问题，一直备受关注。随着互联网的普及和社交媒体的发展，境外间谍活动呈现出新的特点和趋势。境外间谍活动是指外国情报机构或代理人，通过非法手段获取本国国家秘密、敏感信息或

error code: 521

HackerNews 编译，转载请注明出处： 上周五，美国北加州联邦法官认定NSO集团——这家开发了臭名昭著的Pegasus间谍软件的公司，对其在今年早些时候成功入侵并感染1400名WhatsApp用户设备的行为负有不可推卸的责任。 这一裁决可能会对NSO集团带来巨额的赔偿。据悉，该公司的间谍软件被多个匿名政府客户在全球范围内广泛使用，且多次被曝出滥用行为。 尽管NSO的间谍软件已被发现潜藏于数百名活动家、记者及其他社会公民的手机中，但在此之前，法院从未判定该公司需为其滥用行为承担法律责任。NSO集团一直坚称，其工具仅供国家安全官员和执法人员用于调查情报事务和打击犯罪活动。 Meta旗下的WhatsApp早在2019年便提起了诉讼，指控NSO集团发现了其系统漏洞，并利用该漏洞在用户设备上秘密安装了间谍软件。记者、人权活动家、政治异见者、外交官及高级外国政府官员等，这些常成为Pegasus攻击目标的群体，均不幸成为了WhatsApp的受害者。 WhatsApp在诉讼中指出，NSO集团多次调整漏洞利用方式，以突破WhatsApp在长达两年时间内设置的防御屏障。 北加州联邦法官Phyllis Hamilton在裁决中明确表示，NSO集团的行为违反了联邦计算机欺诈和滥用法（CFAA）以及加利福尼亚州的综合计算机数据访问和欺诈法（CDAFA），并为其所实施的攻击提供了有力支持。此外，法官还判定NSO集团因违反WhatsApp的服务条款而需承担违约责任。 “历经五年的诉讼，我们对今天的裁决深感欣慰。”WhatsApp在声明中表示，“NSO集团将不再能够逃避其对WhatsApp、记者、人权活动家及公民社会所实施的非法攻击的责任。” “随着这一裁决的作出，间谍软件公司应清醒地认识到，他们的非法行为将不再被社会所容忍。” NSO集团的发言人未立即对请求置评的请求作出回应。 间谍软件的受害者及其支持者纷纷对这一裁决表示欢迎。 “这是首次成功地对NSO集团提起诉讼，并判定其因使用Pegasus间谍软件破坏了数百万人的数字安全基础设施而负有责任。”Access Now的高级技术法律顾问Natalia Krapiva表示，“尽管法院仍需确定NSO应支付的赔偿金额，但这一裁决对WhatsApp来说无疑是一次重大胜利，同时也为全球数百名受害者带来了正义，他们的生活因Pegasus和其他间谍软件而遭受了严重破坏。” Krapiva补充说，全球的间谍软件公司都应引起警觉，“无罪时代已经结束，他们将为破坏我们的设备和平台安全以及侵犯人权的行为承担法律责任。” 在裁决中，法官严厉批评了NSO集团，指出其多次未能按照法院命令提供完整的Pegasus源代码。法官在命令中强调，NSO提交的源代码仅限于以色列公民在以色列境内查看，并指出NSO未能以可访问的方式提供完整源代码是其决定支持WhatsApp请求制裁的主要原因之一。 法官进一步指出，NSO集团利用了一个名为“WhatsApp安装服务器”（WIS）的工具，使客户能够发送“加密”文件，并通过“安装向量”对目标实施监视。法官表示，NSO集团似乎“完全承认WIS通过WhatsApp服务器发送消息，导致Pegasus被安装到目标用户的设备上，并且WIS随后能够通过WhatsApp服务器获取受保护的信息，并将其传回WIS。” 在此案中出庭作证的NSO高级执行人员在宣誓证词中承认了他们开发了针对WhatsApp黑客攻击中使用的漏洞利用方式。最近公开的法院文件还显示，WhatsApp的安全团队多次成功阻止了Pegasus的入侵，但NSO集团仍继续研发新型恶意软件以突破其防御系统。 这场备受瞩目的诉讼为我们提供了一个难得的机会，得以深入了解这家神秘间谍软件制造商的内部运作。公司高管在证词中承认，与过去的声明相反，NSO集团实际上完全控制了从目标设备提取数据以及将间谍软件植入目标设备的过程。 “NSO的客户角色微不足道，”WhatsApp的一份文件表示，引用了一位高级高管的证词，“NSO通过其Pegasus的设计控制了数据检索和交付过程的每一个方面。” 这家间谍软件制造商曾试图阻止证词公开，但法官驳回了其请求，并命令上个月解封了这些文件。 案件中的证据还显示，即使在WhatsApp起诉NSO集团涉嫌违反联邦反黑客法之后，NSO集团仍继续开发新的恶意软件，通过WhatsApp账户感染受害者。 根据法院档案，关于赔偿金额的辩论将于三月展开。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Essays . Forensics . Machine Learning . Opinion . SecurityOn December 22, 2024

A vulnerability was found in Joomlaextensions Com Hmcommunity. It has been classified as problematic. Affected is an unknown function of the file index.php. The manipulation leads to cross site scripting. This vulnerability is traded as CVE-2011-4809. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Sun JRE 1.5.0/1.6.0 and classified as critical. Affected by this vulnerability is an unknown functionality. The manipulation leads to memory corruption. This vulnerability is known as CVE-2010-0094. The attack can be launched remotely. Furthermore, there is an exploit available.

12月26日，《三个白帽聊安全》直播对话，携好礼等你来！

12月26日，《三个白帽聊安全》直播对话，携好礼等你来！

12月26日，《三个白帽聊安全》直播对话，携好礼等你来！

12月26日，《三个白帽聊安全》直播对话，携好礼等你来！

A vulnerability classified as critical has been found in Mozilla Firefox up to 3.0.10. This affects an unknown part. The manipulation leads to improper input validation. This vulnerability is uniquely identified as CVE-2009-1834. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

With outdated and inadequately maintained components, along with insecure dependencies, the open-source ecosystem presents numerous risks that could expose organizations to threats. In this article, you will find excerpts from 2024 open-source security reports that can help your organization strengthen its software security practices. 70% of open-source components are poorly or no longer maintained Regardless of geographic origin, the average mid-size application has several disturbing trends leading to critical vulnerabilities. Open-source contributes 2 to 9 times … More →

The post What open source means for cybersecurity appeared first on Help Net Security.

A vulnerability was found in systemd and classified as critical. Affected by this issue is some unknown functionality of the component DynamicUser Property Handler. The manipulation leads to improper access controls. This vulnerability is handled as CVE-2019-3844. The attack needs to be approached locally. Furthermore, there is an exploit available.