Aggregator

全球情报机构数字生态全纪实

希望能为正在学习SQL手工注入技术的安全从业者提供有价值的参考案例。

HackerNews 编译，转载请注明出处： 2025年1月底，安全研究人员首次发现了一种名为SvcStealer 2025的恶意软件。该恶意软件通过鱼叉式网络钓鱼（Spear Phishing）邮件附件传播，专门窃取受感染系统中的大量个人和财务信息，包括设备数据、已安装的软件、用户凭据、加密货币钱包和浏览器数据。 SvcStealer采取系统化的方式进行数据盗取，逐步从各种应用程序中提取信息，然后将其压缩并通过命令与控制（C2）服务器外传。 在成功收集数据后，SvcStealer还具备下载额外恶意软件载荷的能力，从而将其威胁能力从数据窃取扩展到进一步的恶意活动。 SEQRITE的研究人员在常规威胁狩猎操作中识别出了SvcStealer。他们注意到该恶意软件使用Microsoft Visual C++编写，同时具备逃避检测的能力。通过终止监控进程并删除活动痕迹，SvcStealer能够绕过安全工具的检测。 感染系统后，SvcStealer会通过算术运算，从受害者的卷序列号中生成一个独特的11字节字母数字值。 SvcStealer基于卷序列号生成文件夹名称的代码（来源：SEQRITE） SvcStealer展现了其高度复杂的数据外传设计。它在收集到敏感信息后，将数据存储在**ProgramData**目录下，以生成的唯一文件夹名称命名。 它的目标包括： – 多个浏览器（Chrome、Edge、Brave）中的加密货币钱包 – 通信平台（Telegram、Discord）中的数据 – 各类浏览器中的用户凭据 – 系统截图和运行进程信息 SvcStealer收集信息后的文件夹结构（来源：SEQRITE） 随后，SvcStealer会将收集到的数据压缩为ZIP文件，并通过端口80与C2服务器（IP地址：185.81.68.156 或 176.113.115.149）建立连接。 压缩后的信息文件示意图（来源：SEQRITE） 它使用HTTP POST请求，并采用`Content-Type: multipart/form-data`的方式，将被窃取的数据伪装成普通的网络流量进行传输。 下载其他恶意软件家族的示意图（来源：SEQRITE） 为了维持持久性，SvcStealer会持续向其C2服务器发送信号，等待进一步的命令。这些命令可能包括下载额外的恶意软件载荷，进一步扩大感染范围或实施其他恶意活动。 安全专家建议用户对可疑邮件附件保持高度警惕，并采用高级终端保护解决方案来防御此类新兴威胁。定期更新安全软件和系统补丁、加强员工的网络安全意识培训，也是减少攻击风险的有效方式。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国家铁路运营商Ukrzaliznytsia遭受大规模网络攻击，导致通过移动应用和网站购买车票的在线服务中断。 事件迫使人们前往售票亭购买纸质车票，造成拥挤、延误、长时间排队和不满。 由于火车是乌克兰国内和国际旅行中唯一可靠且相对安全的交通方式，此次网络攻击影响重大，Daryna Antoniuk报道。 Ukrzaliznytsia在多个通信渠道的官方声明中确认，中断始于昨日，并为造成的不便道歉。 该组织已增加售票点工作人员以应对突然增加的服务需求，但队伍仍很长。 军事人员可在列车上向列车长购票，以免影响其行动。 网络攻击前已在线购票但无法下载的乘客，建议使用发送到邮箱的PDF副本，或在发车前20分钟到火车站向工作人员说明情况。 明天出行的乘客被要求不要在今天涌向售票处，工作人员正在努力满足今天出行乘客的需求。 Ukrzaliznytsia网站上的公告 尽管在线售票平台出现问题，Ukrzaliznytsia在公告中指出，网络攻击并未影响列车运营。 该组织强调，过去几年遭受的多次网络攻击增强了其应对协议和韧性。 “敌人的主要目标失败了：列车运行稳定，准点运行无延误，所有运营流程已切换到备份模式，”Ukrzaliznytsia的最新更新写道。 “尽管铁路基础设施遭受物理攻击，铁路仍在继续运营，即使是最狡猾的网络攻击也无法阻止它。” “由于Ukrzaliznytsia以前曾是敌方网络攻击的目标，公司内部已实施了备份协议。” 该组织称此次攻击“高度系统化且多层”，并保证正在与SBU网络安全部门和政府计算机应急响应小组（CERT-UA）的专家合作，以填补安全漏洞并恢复受影响的系统。然而，目前尚未提供具体的恢复时间表。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Next.js React框架中存在一个严重的安全漏洞，在特定条件下可能被利用来绕过授权检查。 该漏洞被追踪为CVE-2025-29927，CVSS评分为9.1（满分10.0）。 Next.js在咨询报告中称：“Next.js使用内部标头x-middleware-subrequest来防止递归请求引发无限循环。” “有可能跳过中间件运行，这可能允许请求在到达路由之前跳过关键检查，例如授权cookie验证。” 该问题已在12.3.5、13.5.9、14.2.25和15.2.3版本中得到解决。如果无法更新补丁，建议用户阻止包含x-middleware-subrequest标头的外部用户请求到达Next.js应用程序。 发现并报告该漏洞的安全研究员Rachid Allam（又名zhero和cold-try）已发布更多技术细节，这使得用户迫切需要迅速应用修复措施。 JFrog表示：“该漏洞允许攻击者轻松绕过在Next.js中间件中执行的授权检查，可能使攻击者能够访问为管理员或其他高权限用户预留的敏感网页。” 该公司还表示，任何使用中间件授权用户而没有额外授权检查的托管网站都容易受到CVE-2025-29927的攻击，可能使攻击者能够访问通常无法访问的资源（例如管理员页面）。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Palo Alto Networks Unit 42最新的云威胁报告，66%的云存储桶中包含敏感数据，这些数据容易受到勒索软件攻击。SANS Institute最近报告称，这些攻击可以通过滥用云服务提供商的存储安全控制和默认设置来实施。 “仅在过去几个月里，我就目睹了两种利用合法云安全功能实施勒索软件攻击的方法，”SANS认证讲师、安全顾问Brandon Evans警告说。Halcyon披露了一项攻击活动，该活动利用了亚马逊S3的本地加密机制之一SSE-C来加密目标存储桶。几个月前，安全顾问Chris Farris展示了攻击者如何利用AWS的另一项安全功能（带有外部密钥材料的KMS密钥）通过ChatGPT生成的简单脚本实施类似的攻击。“显然，这个话题无论是对威胁行为者还是研究人员来说都是当务之急，”Brandon指出。 为应对云勒索软件，SANS建议组织机构： 了解云安全控制的效能与局限：使用云服务并不能自动保证数据安全。“大多数人首先使用的云服务是OneDrive、Dropbox、iCloud等文件备份解决方案，”Brandon解释道。“虽然这些服务通常默认启用了文件恢复功能，但亚马逊S3、Azure存储或谷歌云存储并非如此。安全专业人员必须了解这些服务的工作原理，不要假设云服务会拯救他们。” 封禁不受支持的云加密方法：AWS S3 SSE-C、AWS KMS外部密钥材料等加密技术可能被滥用，因为攻击者可以完全控制密钥。组织机构可以使用身份和访问管理（IAM）策略来强制S3使用特定的加密方法，例如使用托管在AWS中的密钥材料的SSE-KMS。 启用备份、对象版本控制和对象锁定：这些是云存储的完整性和可用性控制措施。在三大云服务提供商中，这些功能均未默认启用。如果正确使用，它们可以增加组织在勒索软件攻击后恢复数据的可能性。 通过数据生命周期策略平衡安全与成本：这些安全功能需要费用。“云服务提供商不会免费托管你的数据版本或备份。同时，你的组织也不会为你提供数据安全的无限预算，”Brandon说。三大云服务提供商都允许客户定义生命周期策略。这些策略使组织能够自动删除不再需要的对象、版本和备份。然而，攻击者也可能利用生命周期策略，如在前述攻击活动中，他们利用该策略敦促目标快速支付赎金。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackers Use Stolen Certificates to Bypass Endpoint Detection and Response
A Russian-speaking ransomware group has been deploying a malicious Windows PE driver that imitates a legitimate CrowdStrike Falcon driver to bypass endpoint security, warn researchers. The driver disables endpoint detection and response software by stripping process protections.

Cunningham and Daniel Warn That Poor Leadership, Cuts Are Hurting US Cyber Posture
In the latest "Proof of Concept," Cyber Threat Alliance's Michael Daniel and former Forrester analyst Chase Cunningham joined editors from Information Security Media Group to examine how fractured leadership, shifting responsibilities and declining federal support are eroding U.S. cyber defenses.

Cooperation Deal With Jana Expands Rapid7 Board to 11, Tightens Governance Controls
Rapid7 struck a truce with Jana Partners, agreeing to hand the activist investor three board seats in exchange for cooperation until early next year. The deal will boost Rapid7's board size from eight to 11, adding former Forescout CEO Wael Mohamed and former Imperva and Gigamon CFO Michael Burns.

California Alerting Consumers to Delete Data, Samples Shared With Firm
Genetics testing firm 23andMe has filed for Chapter 11 bankruptcy protection and says it is looking to sell the company. But what does that potentially mean for the firm's trove of highly sensitive health and ancestry information pertaining to millions of consumers?

株式会社ハンモックが提供するAssetViewには、複数の脆弱性が存在します。

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Visual Studio Code（VSCode） Marketplace上存在两个恶意扩展，它们会向用户部署处于开发阶段的勒索软件。 这两个名为“ahban.shiba”和“ahban.cychelloworld”的扩展，已被市场维护人员下架。 据ReversingLabs称，这两个扩展包含代码，旨在调用PowerShell命令，从命令与控制（C2）服务器获取PowerShell脚本负载并执行。 该负载被怀疑是处于早期开发阶段的勒索软件，仅加密受害者Windows桌面名为“testShiba”文件夹中的文件。 文件加密后，PowerShell负载显示消息：“您的文件已被加密。向ShibaWallet支付1个柴犬币以恢复它们。” 然而，没有向受害者提供其他说明或加密货币钱包地址，这进一步表明该恶意软件可能仍在开发中。 几个月前，软件供应链安全公司发现多个恶意扩展，其中一些伪装成Zoom，但具有从远程服务器下载未知第二阶段负载的功能。 上周，Socket详细描述了一个恶意Maven包，它伪装成scribejava-core OAuth库，每月15日秘密收集并泄露OAuth凭证，突出显示了旨在逃避检测的时间触发机制。 该库于2024年1月25日上传至Maven Central，目前仍可从该存储库下载。 “攻击者使用typoquatting——创建几乎相同的名称来欺骗开发人员添加恶意包，”安全研究员库什·潘迪亚说。“有趣的是，这个恶意包有六个依赖包。” “它们都是typoquatting合法包，但使用相同的groupId（io.github.leetcrunch），而不是真实的命名空间（com.github.scribejava）。” 采用这种方法的目的是提高恶意库的表面合法性，从而增加开发人员下载并在项目中使用它的可能性。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

作者：Tianwei Lan, Luca Demetrio, Farid Nait-Abdesselam, Yufei Han, Simone Aonzo 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/pdf/2503.11841v1 摘要 机器学习（ML）恶意软件检测器严重依赖众包的防病毒（AV）标签，像 VirusTotal 这样的平台被视为恶意软件标注...