A critical vulnerability identified as CVE-2024-44308 has been actively exploited in the wild, affecting multiple versions of Apple Safari across iOS, visionOS, and macOS platforms. This flaw, located within WebKit’s DFG JIT compiler, poses a significant threat by allowing remote code execution (RCE). Affected Software and Versions Here’s a table summarizing the affected software and […]
The post Apple Safari JavaScriptCore Remote Code Execution Flaw Exploited in the Wild appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.
一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows,该虚拟机包含内置后门,可以秘密访问公司网络。
使用虚拟机进行攻击并不是什么新鲜事,勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而,威胁者通常在破坏网络后手动安装这些软件。
Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装,以破坏企业网络并获得持久性。
网络钓鱼电子邮件伪装成“OneAmerica 调查”,其中包含一个 285MB 的大型 ZIP 存档,用于安装预装后门的 Linux 虚拟机。
该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹,其中主要可执行文件伪装为 fontdiag.exe。
启动快捷方式时,它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹,然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。
Start.bat批处理文件安装QEMU Linux虚拟机
安装虚拟机时,同一个批处理文件将显示从远程站点下载的 PNG 文件,该文件显示虚假服务器错误作为诱饵,这意味着调查链接已损坏。
显示假错误的图像
名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门,可保护持久的 C2 通信,允许攻击者在后台进行操作。
由于 QEMU 是一个经过数字签名的合法工具,因此 Windows 不会对其运行发出任何警报,并且安全工具无法检查虚拟机内运行的恶意程序。
LNK 文件内容
后门操作
后门的核心是一个名为 Chisel 的工具,这是一个网络隧道程序,经过预先配置,可通过 WebSockets 与特定命令和控制 (C2) 服务器创建安全通信通道。
Chisel 通过 HTTP 和 SSH 传输数据,允许攻击者与受感染主机上的后门进行通信,即使防火墙保护网络也是如此。
为了持久性,QEMU 环境设置为在主机通过“bootlocal.sh”修改重新引导后自动启动。同时,会生成并上传 SSH 密钥,以避免重新进行身份验证。
Securonix 突出显示了两个命令,即“get-host-shell”和“get-host-user”。第一个在主机上生成一个交互式 shell,允许执行命令,而第二个用于确定权限。
然后可以执行的命令包括监视、网络和有效负载管理操作、文件管理和数据泄露操作,因此攻击者拥有一组多功能的命令,使他们能够适应目标并执行破坏性操作。
恶意分子的命令历史记录
防御 QEMU 滥用
CRON#TRAP 活动并不是黑客第一次滥用 QEMU 与其 C2 服务器建立秘密通信。
2024 年 3 月,卡巴斯基报告了另一场活动,威胁者使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。
在这种情况下,隐藏在仅运行 1MB RAM 的 Kali Linux 虚拟机内的一个非常轻的后门被用来建立一个隐蔽的通信隧道。
要检测和阻止这些攻击,请考虑为从用户可访问的文件夹执行的“qemu.exe”等进程放置监视器,将 QEMU 和其他虚拟化套件放入阻止列表中,并从系统 BIOS 禁用或阻止关键设备上的虚拟化。
声明:以下内容均来自RC²反窃密实验室联合承办的正式赛事活动,活动均已向监管单位报备,一切均在合法、合规、可控下开展,仅供交流与参考。
01 电磁信息安全联合实验室
RC²与深圳信通院成立的「电磁信息安全联合实验室」,隶属于深圳信通院电磁空间安全研究中心,是目前国内最大的集电磁安全技术研究、模拟场景测试、设备专业检测、TSCM专业培训于一体的TSCM领域安全技术研究实验室。
实验室占地700平米,内设4个符合国际TSCM标准的专业模拟测试间、1个专业信号屏蔽室、2个设备操作间和2个专业教室等。
感谢中国信息通信研究院南方分院(深圳信通院)对RC²的认可与信任,本次BUGPWN赛事,得以再次在「电磁空间安全研究中心」成功举办~
★专业词解读:TSCM
Technical Surveillance CounterMeasures,即技术反窃密,是一套基于技术防护理念的商业秘密保护体系,包括通过专业检测技术侦测窃密器材和潜在风险,配合行业技术威胁情报,识别可能存在技术渗透的安全弱点等。
其中,BUGSWEEP反窃密检测服务,将对机构的技术安全状况进行专业评估,通常包括对目标机构及其周边开展彻底的信号频谱、电器线路和物理检查。(以上解释来自RC²反窃密实验室)
02 第2届BUGPWN比赛介绍
下面回顾第2届BUGPWN赛事的相关信息:
BUGPWN赛事命名首先,BUGPWN的命名来源:
BUG,在TSCM中特指一切形式的窃密器材;PWN,这个极客词汇带有破解、粉碎的含义;BUGPWN,即包含”找出一切窃密器材”或“将一切窃密器材粉碎”的寓意。BLACKBOX,即黑盒,渗透测试术语,指在对目标背景一无所知的情况下开展安全评估。杨叔当初设定这个名字主要是受到了GEEKPWN大赛的启发,所以,也特别感谢GEEKPWN 国际极客安全大赛(现更名为GEEKCON)创始人王琦(大牛蛙)、XCON安全峰会创始人王英健(呆神)、百度CSO陈洋及各位行业专家的大力支持与鼓励。
BUGPWN赛事主旨BUGPWN 赛事的主旨,主要有:
• 为国内商业级TSCM安全技术团队,创建一个以交流国内外最新检测技术、经验、装备与行业威胁情报等,集实用与前瞻性为一体的互动平台;• 协助企业级商业秘密保护体系的深度建设;• 助力国内企业TSCM 技术团队的共同成长;• 积极推进中国TSCM 行业的良性健康发展。目前,BUGPWN TSCM 黑盒挑战赛的「技术专家评委池」里,已包含英国、意大利、俄罗斯、日本及中国内地与香港等国家与地区的资深从业者。本届赛事的4位专家评委来自日本及中国内地与香港地区,明年预计将有更多海外专家评委加入BUGPWN。
BUGPWN赛事组织&承办本届赛事组织方:
• 中国信息通信研究院南方分院(深圳信息通信研究院)• RC²反窃密实验室本届赛事承办方:
• 中国信息通信研究院南方分院(深圳信息通信研究院)比赛地点:
• 深圳信息通信研究院-电磁空间安全研究中心BUGPWN赛事内容第2届赛事分三个不同难度场景,来考核各参赛队的现场处理能力。
每个场景都将在三个层面进行考核:
• 排查成功率
• 排查专业度
• 环境损坏度
简单解释下:
★ 排查成功率,即在限定时间内对指定场景开展检测,找寻出不同难度系数器材(技术组评判)。
★ 排查专业度,即在比赛期间,考核参赛团队间配合、装备的熟悉度等(专家评委评判)。
★ 环境损坏度,本赛事充分考虑到实际场景,强调对商业环境的保护,没有复原环境或造成直接损坏的都将严重失分。
不过在充分考虑了第1届参赛队伍的参赛建议后,在第2届BUGPWN重新修订了技术分与评委分的占比,以及出题的侧重.....却没想到今年的比赛过程更是跌宕起伏,让人感慨不已~
以下是第2届BUGPWN TSCM 黑盒挑战赛的部分精彩片段。
BUGPWN TSCM 黑盒挑战赛 定位为遵循国际TSCM行业标准,采取定向邀请制的专业TSCM交流赛事,今年还在现场赛事结束后增加了闭门分享环节,主题是「全球窃听器材的技术发展现状」,很遗憾不能公布太多细节。
今年第二届赛事的合作方已增加至30多家,特别感谢青藤云安全、百度安全、安卫普科技、赛安威视、ALUBA、香港侦探总会、安在、ASIS CHINA、HackingGroup、狮子会、骇极、上海中联律所等合作方对本届BUGPWN赛事的赞助与大力支持,感谢大家共同参与推进国内TSCM商业秘密保护行业的发展~
03 我们2025再见
回顾第2届BUGPWN赛事,无论是组委会的国内外专家,还是本次多个受邀参赛队伍,以及为赛事保障的技术组和后勤组的小伙伴们,还有诸多合作方,数周来,大家都在为之努力和付出,在此由衷地向大家表示诚挚的感谢
从比赛难度而言,BUGPWN组委会综合考虑了近些年全球商业窃密真实案例中出现的非法器材,及目前网络/黑市上正在销售的主要器材类型,并预估参赛队伍的水平,依托实验室的模拟训练环境专门设计了不同难度系数的场景。
从参赛团队技术水平来说,大部分参赛团队均来自大型跨国企业内部一线检测队伍,也都参加过RC²不同深度的课程,这可能会在经验和技能上造成一定偏差。
第1与第2届「BUGPWN TSCM 黑盒挑战赛」主要面向国内TSCM专业团队的定向邀请,预计2025年,将邀请更多专业团队甚至海外专家、小组参加,我们衷心地期望BUGPWN能够通过国际赛事交流等方式,促进国内TSCM行业的进步和良性发展!
无论是参加赛事,还是日常从事BUGSWEEP工作,下面这句话来自国外某TSCM行业著作,杨叔也送给参赛的各位同学,共勉:
“Remember, the walls have ears.”
“永远保持警惕,隔墙有耳。”
2025,我们明年再见......
Google于11月20日发布了Android 16的首个开发者预览版,梆梆安全基于移动应用预兼容加固框架技术,率先实现了“零修改”完美兼容适配Android 16首个开发者预览版。
Google从Android 16起,改变了以往每年只发布一个大版本的节奏,以更快的迭代节奏实现新版本推送。
根据谷歌官方发布的时间表,预计Android 16将会在2025年Q2发布正式版本。
·2024年Q4发布Android 16开发者预览版;
·2025年Q1发布Android 16公开测试版;
·2025年Q2发布Android 16稳定版和正式版。
梆梆安全移动应用预兼容加固框架
梆梆安全作为移动应用加固技术领跑者,始终坚持以客户为中心,以技术为导向,基于多年移动应用安全技术的积累,建立了高效的Android系统预兼容、自适应的安全加固框架技术,可以第一时间完成对Android系统新版本的兼容适配支持,做好客户安全服务的基础保障工作。
目前,梆梆安全与Google、OPPO、VIVO、小米、荣耀、三星等手机厂商建立了全面的技术合作伙伴关系,共同开展Android系统、手机硬件、加固技术的多方协同验证,确保应用加固技术的兼容性、稳定性和安全性。