HackerNews

HackerNews 编译，转载请注明出处： 微软利用其AI驱动的安全副驾工具，在开源引导程序GRUB2、U-Boot和Barebox中发现了20个此前未知的漏洞。 GRUB2（GRand Unified Bootloader）是大多数Linux发行版的默认引导程序，包括Ubuntu，而U-Boot和Barebox则广泛用于嵌入式和物联网设备。 微软在GRUB2中发现了11个漏洞，包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及密码比较中的侧信道攻击。 此外，在U-Boot和Barebox中还发现了9个缓冲区溢出漏洞，这些漏洞涉及解析SquashFS、EXT4、CramFS、JFFS2和符号链接，需要物理访问才能利用。 这些新发现的漏洞影响依赖UEFI安全启动的设备，如果条件合适，攻击者可以绕过安全保护来在设备上执行任意代码。 虽然利用这些漏洞可能需要对设备进行本地访问，但此前的引导程序攻击（如BlackLotus）是通过恶意软件感染实现的。 微软解释称：“虽然威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox漏洞，但在GRUB2的情况下，漏洞可能被进一步利用来绕过安全启动并安装隐蔽的引导程序，或者可能绕过其他安全机制，如BitLocker。” “安装此类引导程序的后果是严重的，因为这可以授予威胁行为者对设备的完全控制，允许他们控制启动过程和操作系统，危及网络上的其他设备，并进行其他恶意活动。” “此外，这可能导致在操作系统重新安装或硬盘更换后仍然存在的持久性恶意软件。” 以下是微软在GRUB2中发现的漏洞摘要： CVE-2024-56737 – HFS文件系统挂载中的缓冲区溢出，由于对非空终止字符串的不安全strcpy操作 CVE-2024-56738 – 密码比较函数中的侧信道攻击（grub_crypto_memcmp不是恒定时间） CVE-2025-0677 – UFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0678 – Squash4文件读取中的整数溢出导致缓冲区溢出 CVE-2025-0684 – ReiserFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0685 – JFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0686 – RomFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0689 – UDF块处理中的越界读取 CVE-2025-0690 – 读取命令（键盘输入处理程序）中的有符号整数溢出和越界写入 CVE-2025-1118 – dump命令允许任意内存读取（应在生产环境中禁用） CVE-2025-1125 – HFS压缩文件打开中的整数溢出导致缓冲区溢出 除CVE-2025-0678被评为“高”（CVSS v3.1评分：7.8）外，所有上述漏洞均被评为中等严重性。 微软表示，安全副驾显著加速了在大型和复杂的代码库（如GRUB2）中的漏洞发现过程，节省了大约一周的时间，这些时间本将用于手动分析。 副驾识别漏洞并建议修复措施（来源：微软） AI工具不仅识别了此前未知的漏洞，还提供了针对性的缓解建议，这可以为开源项目（由志愿者和小型核心团队支持）提供指导，并加速安全补丁的发布。 利用分析中的发现，微软表示安全副驾在使用共享代码的项目中也发现了类似的漏洞，如U-Boot和Barebox。 GRUB2、U-Boot和Barebox在2025年2月发布了针对这些漏洞的安全更新，因此升级到最新版本应能缓解这些漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为 RESURGE 的新型恶意软件，该软件已被用于针对 Ivanti Connect Secure（ICS）设备上一个现已修复的安全漏洞的攻击活动。 CISA 表示：“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能，包括能够抵御系统重启；然而，RESURGE 包含独特的命令，可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。” 与恶意软件部署相关的安全问题是 CVE-2025-0282，这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞，可能导致远程代码执行。 该漏洞影响以下版本： Ivanti Connect Secure 22.7R2.5 之前的版本 Ivanti Policy Secure 22.7R1.2 之前的版本 Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本 据谷歌旗下的 Mandiant 公司称，CVE-2025-0282 已被武器化，用于传播所谓的 SPAWN 恶意软件生态系统，包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。 上个月，日本计算机应急响应中心（JPCERT/CC）透露，观察到该安全缺陷被用于传播 SPAWN 的一个更新版本，称为 SPAWNCHIMERA，它将上述所有不同的模块整合为一个单一的恶意软件，同时还进行了修改，以通过 UNIX 域套接字促进进程间通信。 值得注意的是，该修订版包含一个功能，可以修补 CVE-2025-0282，以防止其他恶意行为者利用它进行自己的攻击活动。 CISA 表示，RESURGE（“libdsupgrade.so”）是 SPAWNCHIMERA 的改进版，支持三种新命令： 将自身插入“ld.so.preload”，设置网页后门，操纵完整性检查和修改文件。 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。 CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件：RESURGE 中包含的 SPAWNSLOTH 变体（“liblogblock.so”）和一个定制的 64 位 Linux ELF 二进制文件（“dsmain”）。 CISA 称：“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件，包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像（vmlinux）。” 值得注意的是，CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon（前身为 Hafnium）作为零日漏洞加以利用，微软本月早些时候披露了这一消息。 最新发现表明，恶意软件背后的威胁行为者正在积极改进和调整其技术，因此组织必须立即将其 Ivanti 实例更新到最新版本。 作为进一步的缓解措施，建议重置特权和非特权账户的凭证，轮换所有域用户和所有本地账户的密码，审查访问策略以暂时撤销受影响设备的权限，重置相关账户的凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码，以维持远程访问权限，并将访客重定向至虚假网站。 mu-plugins（Must-Use 插件的简称）是指位于“wp-content/mu-plugins”目录中的插件，这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。 “这种方法反映了令人担忧的趋势，因为 mu-plugins 不会在标准的 WordPress 插件界面中列出，这使得它们在常规安全检查中容易被忽略，”Sucuri 研究员 Puja Srivastava 在分析中表示。 在网站安全公司分析的事件中，发现该目录中存在三种不同的恶意 PHP 代码： “wp-content/mu-plugins/redirect.php”：将访客重定向至外部恶意网站。 “wp-content/mu-plugins/index.php”：提供类似网页后门的功能，允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。 “wp-content/mu-plugins/custom-js-loader.php”：向受感染网站注入垃圾信息，可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容，并劫持外部链接至恶意网站。 Sucuri 表示，“redirect.php”伪装成浏览器更新，诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。 Srivastava 解释称：“该脚本包含一个功能，可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫，防止其检测到重定向行为。” 与此同时，攻击者继续利用受感染的 WordPress 网站作为跳板，通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式，诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略，并用于传播 Lumma Stealer 恶意软件。 受攻击的 WordPress 网站还被用于部署恶意 JavaScript，这些脚本可以将访客重定向至不受欢迎的第三方域名，或作为支付页面上的信息窃取工具，窃取用户输入的财务信息。 目前尚不清楚这些网站是如何被攻破的，但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。 根据 Patchstack 的最新报告，自今年年初以来，攻击者频繁利用 WordPress 插件中的四个不同安全漏洞： CVE-2024-27956（CVSS 评分：9.9）：WordPress Automatic 插件（AI 内容生成和自动发布插件）中的未授权任意 SQL 执行漏洞。 CVE-2024-25600（CVSS 评分：10.0）：Bricks 主题中的未授权远程代码执行漏洞。 CVE-2024-8353（CVSS 评分：10.0）：GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。 CVE-2024-4345（CVSS 评分：10.0）：Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。 为降低这些威胁带来的风险，WordPress 网站管理员应确保插件和主题保持最新版本，定期检查代码中的恶意软件，强制使用强密码，并部署网页应用防火墙以拦截恶意请求并防止代码注入。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个疑似俄罗斯的黑客组织 Water Gamayun（也被称为 EncryptHub 和 LARVA-208）利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633，部署了两款新的后门程序 SilentPrism 和 DarkWisp。 Water Gamayun 主要通过恶意配置包（.ppkg）、签名的 Microsoft 安装程序文件（.msi）和 Windows 管理控制台文件（.msc）来部署恶意负载。此次攻击利用了 CVE-2025-26633（也被称为 MSC EvilTwin），该漏洞存在于微软管理控制台（MMC）框架中，攻击者通过恶意的 Microsoft 控制台文件（.msc）来执行恶意软件。 – SilentPrism：这是一个 PowerShell 植入程序，能够实现持久化、同时执行多个 shell 命令，并保持远程控制，同时还具备反分析技术以逃避检测。 – DarkWisp：该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。 – Rhadamanthys Stealer：通过 MSC EvilTwin 加载器部署，该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件，最终部署该窃密程序。 攻击链涉及使用配置包（.ppkg）、签名的 Windows 安装程序文件（.msi）和 .msc 文件来传递信息窃取器和后门程序，这些程序能够实现持久化和数据窃取。此外，攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件（如钉钉、QQTalk 和 VooV Meeting），执行 PowerShell 下载器以获取和运行下一阶段的负载。 – Water Gamayun 还被发现利用其他商品化窃密程序（如 StealC）以及三种定制的 PowerShell 变体（EncryptHub 窃密程序变体 A、B 和 C）。 – 这些变体均基于开源的 Kematian 窃密程序修改而成，能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。 – 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族，如 Lumma Stealer、Amadey 和剪切板劫持器。 趋势科技提醒，Water Gamayun 在攻击中使用了多种交付方法和技术，例如通过签名的 Microsoft 安装程序文件传递恶意负载，并利用本地工具（LOLBAS）等手段，这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统，修补相关漏洞，以防止此类攻击。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家名为Morphing Meerkat的网络钓鱼即服务（PhaaS）运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS（DoH）协议逃避检测，并通过DNS邮件交换（MX）记录识别受害者的电子邮件提供商，动态生成超过114个品牌的仿冒登录页面。 大规模网络钓鱼行动 Morphing Meerkat自2020年起活跃，由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录，但该平台在过去几年中大多未被察觉。 作为一款完整的PhaaS工具包，Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施，用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。 该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商，发送带有类似“需要采取行动：账户停用”等紧急主题的邮件。这些邮件支持多种语言，包括英语、西班牙语、俄语和中文，且能够伪造发件人姓名和地址。 攻击流程 当受害者点击邮件中的恶意链接时，他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台（如Google DoubleClick）执行，并涉及受感染的WordPress网站、伪造的域名和免费托管服务。 最终，钓鱼工具包会在受害者的浏览器中加载，同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果，工具包会动态生成伪造的登录页面，并自动填充受害者的电子邮件地址。 一旦受害者输入凭据，数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外，攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性，受害者首次输入密码后会收到一条错误信息提示密码无效，诱导其再次输入。 输入成功后，受害者会被重定向至真实的身份验证页面，以减少怀疑。 使用DoH与DNS MX的隐蔽性 Morphing Meerkat的独特之处在于采用DoH和DNS MX记录，这些高级技术使攻击更具隐蔽性。 DoH通过加密的HTTPS请求执行DNS解析，替代传统的基于UDP的DNS查询，从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息，从而避免被检测。 利用MX记录信息，钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面，提升攻击的成功率。 防御建议 Infoblox建议企业实施更严格的DNS控制，阻止用户直接与DoH服务器通信。此外，还应限制用户访问与企业业务无关的广告技术和文件共享基础设施，以降低攻击风险。 与Morphing Meerkat相关的所有攻击指标（IoC）已公开发布在GitHub存储库中，供安全研究人员进一步分析。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司OpenAI宣布，将“卓越且独特”的关键安全漏洞的最高漏洞赏金奖励从2万美元提高到10万美元。OpenAI表示，其服务和平台每周被全球4亿用户使用，涵盖企业、机构和政府部门。 OpenAI在声明中表示：“我们将卓越且独特关键漏洞的最高赏金提高到10万美元（此前为2万美元），这一调整体现了我们对有意义、高影响力安全研究的奖励承诺，这些研究有助于我们保护用户并维护系统信任。” 作为扩展赏金计划和奖励高影响力安全研究的一部分，OpenAI还将在“限时促销”期间为特定类别的合格报告提供额外的赏金奖励。例如，截至4月30日，OpenAI将为报告其基础设施和产品中不安全直接对象引用（IDOR）漏洞的安全研究人员提供双倍奖励，最高可达1.3万美元。 OpenAI于2023年4月启动了漏洞赏金计划，通过Bugcrowd众包安全平台为报告产品线漏洞、缺陷或安全问题的研究人员提供最高2万美元的奖励。该公司表示，模型安全问题不在该计划范围内，ChatGPT用户利用的越狱和安全绕过漏洞也不包括在内。 OpenAI在披露ChatGPT支付数据泄露事件一个月后推出了漏洞赏金计划，该事件是由于其平台的Redis客户端开源库中的一个漏洞导致的。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软开始测试一款名为“快速设备恢复”的新Windows 11工具，该工具旨在远程部署修复程序，解决因故障驱动程序和配置导致操作系统无法启动的问题。 该工具是微软Windows弹性计划的一部分，该计划旨在通过引入自动化工具和功能，检测、诊断和修复Windows 11中的关键故障，从而增强系统稳定性，减少停机时间。 微软解释称：“当系统出现故障时，设备有时会陷入Windows恢复环境（Windows RE），严重影响生产力，通常需要IT团队花费大量时间进行故障排查和恢复受影响的设备。” “借助快速设备恢复，当大规模故障导致设备无法正常启动时，微软可以通过Windows RE向受影响的设备广泛部署针对性修复方案，自动修复故障，迅速使用户恢复到可工作状态，无需复杂的手动干预。” 3月28日，微软将“快速设备恢复”发布至Windows内部预览版Beta通道，供内部测试人员开始测试该工具。 当启用该工具且新的驱动程序或配置更改导致Windows 11无法正常启动时，操作系统将进入Windows恢复环境并自动启动“快速设备恢复”工具。该工具将通过以太网或Wi-Fi连接到互联网，并将崩溃数据发送至微软服务器。根据对这些数据的分析，微软可以远程应用修复程序，例如移除有问题的驱动程序或更新以及更改配置设置。 这款新工具是为应对2024年7月CrowdStrike故障更新而推出的。当时，该更新导致全球数百万台Windows设备突然出现蓝屏死机（BSOD）并陷入重启循环。为移除该故障更新，Windows管理员不得不进入Windows恢复环境或安全模式，手动删除驱动程序，以使Windows设备恢复正常启动。 有了“快速设备恢复”这样的工具，微软本可以更轻松、更快速地推送修复程序，移除驱动程序并使设备重新上线。 微软表示，该功能最终将在Windows 11家庭版中默认启用。企业用户可以通过RemoteRemedation CSP或直接在设备上通过reagentc.exe，在Windows 11专业版和企业版中自定义该工具的工作方式。 该工具还可以预先配置网络凭据，以便更容易地部署修复程序，并配置故障设备多久向微软服务器请求一次修复。 微软将在几天内发布一个测试修复包，供内部测试人员进行实时测试。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 CoffeeLoader 的新型复杂恶意软件，其主要功能是下载并执行第二阶段的有效载荷。 据 Zscaler ThreatLabz 表示，CoffeeLoader 在行为上与已知的 SmokeLoader 恶意软件加载器存在相似之处。Zscaler 威胁情报高级总监 Brett Stone-Gross 在本周发布的一份技术分析报告中指出：“该恶意软件的目的是在躲避端点安全产品检测的同时，下载并执行第二阶段的有效载荷。” 为了绕过安全解决方案，CoffeeLoader 采用了多种技术，包括利用 GPU 的专用打包器、调用栈伪造、睡眠混淆以及使用 Windows 纤程。 CoffeeLoader 最早于 2024 年 9 月出现，它利用域名生成算法（DGA）作为备用机制，以防主要的命令与控制（C2）通道无法访问。该恶意软件的核心是一个名为 Armoury 的打包器，它通过在系统 GPU 上执行代码来增加虚拟环境中的分析难度。Armoury 因其伪装成华硕开发的合法 Armoury Crate 工具而得名。 感染过程始于一个下载器，它尝试以提升的权限执行由 Armoury 打包的 DLL 载荷（“ArmouryAIOSDK.dll”或“ArmouryA.dll”），但在执行之前，如果下载器没有必要的权限，它会尝试绕过用户账户控制（UAC）。此外，下载器还会通过设置计划任务在主机上建立持久性，该任务配置为在用户登录时以最高权限运行，或者每 10 分钟运行一次。随后，执行一个加载器组件，进而加载主模块。 Stone-Gross 表示：“主模块采用了多种技术来躲避杀毒软件（AV）和端点检测与响应（EDR）的检测，包括调用栈伪造、睡眠混淆以及利用 Windows 纤程。”这些方法能够伪造调用栈以掩盖函数调用的来源，并在有效载荷处于睡眠状态时进行混淆，从而使其能够躲避安全软件的检测。 CoffeeLoader 的最终目标是通过 HTTPS 联系 C2 服务器，以获取下一阶段的恶意软件，包括注入并执行 Rhadamanthys 壳代码的命令。 Zscaler 表示，在源代码层面，CoffeeLoader 与 SmokeLoader 存在诸多相似之处，这表明它可能是后者的一个重大迭代版本，尤其是在去年执法部门打击并摧毁了 SmokeLoader 的基础设施之后。该公司指出：“SmokeLoader 和 CoffeeLoader 之间还存在显著的相似性，前者分发后者，但两者之间的确切关系尚不清楚。” 这一发现正值 Seqrite Labs 详细披露了一起网络钓鱼邮件活动，该活动启动了一个多阶段感染链，投放了一种名为 Snake Keylogger 的信息窃取恶意软件。此外，近期还出现了一系列针对参与加密货币交易的用户发起的活动，通过在 Reddit 帖子中宣传破解版的 TradingView，诱骗用户安装 Windows 和 macOS 系统上的 Lumma 和 Atomic 等窃取器。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了来自 Sungrow、Growatt 和 SMA 三家太阳能逆变器供应商的 46 个新的安全漏洞。这些漏洞可能被恶意攻击者利用，以远程控制设备或执行代码，对电网安全构成严重威胁。 这些漏洞被 Forescout Vedere Labs 集体命名为 SUN:DOWN。研究人员指出，这些新漏洞可以被利用来在设备或供应商的云平台上执行任意命令、接管账户、入侵供应商的基础设施，或控制逆变器所有者的设备。 主要漏洞包括： 1. 远程代码执行：攻击者可以上传 `.aspx` 文件，这些文件将被 SMA 的 Web 服务器（sunnyportal[.]com）执行，从而实现远程代码执行。 2. 用户名枚举：未经身份验证的攻击者可以通过暴露的 `server.growatt.com/userCenter.do` 端点进行用户名枚举。 3. 设备接管：未经身份验证的攻击者可以通过 `server-api.growatt.com/newTwoEicAPI.do` 端点获取其他用户所属的电站列表和任意设备，从而实现设备接管。 4. 账户接管：未经身份验证的攻击者可以通过有效的用户名，利用 `server-api.growatt.com/newPlantAPI.do` 端点获取智能电表的序列号，从而实现账户接管。 5. 信息泄露和物理损坏：未经身份验证的攻击者可以通过 `evcharge.growatt.com/ocpp` 端点获取电动汽车充电器、能耗信息和其他敏感数据，还可以远程配置电动汽车充电器并获取固件相关信息，从而导致信息泄露和物理损坏。 6. Sungrow Android 应用安全问题：Sungrow 的 Android 应用使用不安全的 AES 密钥加密客户端数据，这使得攻击者可以拦截并解密移动应用与 iSolarCloud 之间的通信。 7. 中间人攻击：Sungrow 的 Android 应用明确忽略证书错误，容易受到中间人攻击。 8. 硬编码密码：Sungrow 的 WiNet WebUI 包含一个硬编码密码，可用于解密所有固件更新。 9. MQTT 消息处理漏洞：Sungrow 在处理 MQTT 消息时存在多个漏洞，可能导致远程代码执行或拒绝服务（DoS）状态。 Forescout 指出，如果攻击者利用这些新发现的漏洞控制大量 Sungrow、Growatt 和 SMA 逆变器，可能会对电网和其他主要电网造成不稳定。在针对 Growatt 逆变器的假设攻击场景中，攻击者可以通过暴露的 API 猜测真实账户用户名，通过将密码重置为默认的 “123456” 来劫持账户，并进行后续攻击。 更糟糕的是，被劫持的逆变器可以被控制成僵尸网络，放大攻击力度，对电网造成破坏，导致电网中断和潜在的停电。所有供应商在接到漏洞披露后，均已解决了这些问题。 Forescout 强调，缓解这些风险需要在采购太阳能设备时严格执行安全要求，定期进行风险评估，并确保对这些设备的网络进行全面监控。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员成功入侵了一个名为 BlackLock 的勒索软件团伙的在线基础设施，揭露了该团伙的作案手法和关键信息。 Resecurity 表示，他们发现 BlackLock 犯罪团伙运营的数据泄露网站（DLS）存在一个安全漏洞，这使得研究人员能够提取配置文件、凭证以及服务器上执行的命令历史记录。 该公司称，该漏洞涉及 BlackLock 勒索软件的数据泄露网站（DLS）的 “某种配置错误”，导致与他们通过 Tor 隐藏服务（托管它们）的网络基础设施相关的明网 IP 地址被泄露，以及额外的服务信息。 研究人员将获取的命令历史记录描述为 BlackLock 勒索软件最大的操作安全（OPSEC）失误之一。 BlackLock 是另一个名为 Eldorado 的勒索软件团伙的改版。自 2025 年以来，它已成为最活跃的勒索团伙之一，主要针对科技、制造、建筑、金融和零售行业。截至上个月，该团伙已在网站上列出了 46 个受害者，这些受影响的组织位于阿根廷、阿鲁巴、巴西、加拿大、刚果（布）、克罗地亚、秘鲁、法国、意大利、荷兰、西班牙、阿联酋、英国和美国。 该团伙于 2025 年 1 月中旬宣布推出一个地下附属网络，并被观察到积极招募 “流量引导者”（traffers），以协助攻击的早期阶段，通过将受害者引导至部署恶意软件的恶意页面，这些恶意软件能够建立对受损系统的初始访问。 Resecurity 发现的漏洞是一个本地文件包含（LFI）漏洞，本质上是通过路径遍历攻击欺骗 Web 服务器泄露敏感信息，包括操作员在泄露网站上执行的命令历史记录。 一些值得注意的发现如下： – 使用 Rclone 将数据泄露到 MEGA 云存储服务中，在某些情况下甚至直接在受害者系统上安装 MEGA 客户端。 – 威胁行为者至少在 MEGA 上创建了八个账户，使用通过 YOPmail 创建的一次性电子邮件地址（例如，“[email protected]”）来存储受害者数据。 – 对勒索软件的逆向工程发现，其源代码和勒索信与另一种名为 DragonForce 的勒索软件存在相似之处，后者曾针对沙特阿拉伯的组织发动攻击（尽管 DragonForce 使用 Visual C++ 编写，而 BlackLock 使用 Go 语言）。 – BlackLock 的主要运营者之一 “$$$” 于 2025 年 3 月 11 日启动了一个名为 Mamona 的短期勒索软件项目。 在令人意外的转折中，BlackLock 的数据泄露网站于 2025 年 3 月 20 日被 DragonForce 篡改——很可能是通过利用相同的 LFI 漏洞（或类似漏洞）——其配置文件和内部聊天记录被泄露在网站首页上。就在前一天，Mamona 勒索软件的数据泄露网站也遭到了篡改。 Resecurity 表示：“目前尚不清楚 BlackLock 勒索软件（作为一个团伙）是否开始与 DragonForce 勒索软件合作，或者是否悄然转归新所有者旗下。新主人可能接管了该项目及其附属网络，因为勒索软件市场正在整合，他们意识到其前任可能会被攻破。” “BlackLock 和 Mamona 勒索软件事件发生后，关键人物‘$$$’并未表现出任何惊讶。该人物可能完全清楚自己的行动可能已经被攻破，因此悄然退出之前的项目可能是最合理的选择。”   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为“RESURGE”的新型恶意软件，该软件被用于攻击Ivanti Connect Secure（ICS）设备中已修复的安全漏洞。 CISA指出，“RESURGE”包含“SPAWNCHIMERA”恶意软件变体的功能，例如能够在设备重启后存活，但它还包含独特的指令，改变了其行为模式。该恶意软件具备多种功能，包括作为根工具包（rootkit）、下载器（dropper）、后门（backdoor）、引导工具包（bootkit）、代理（proxy）和隧道工具（tunneler）的能力。 此次攻击利用的漏洞编号为CVE-2025-0282，这是一个堆栈缓冲区溢出漏洞，影响Ivanti Connect Secure、Policy Secure和ZTA网关，可能导致远程代码执行。受影响的版本包括： – Ivanti Connect Secure 22.7R2.5之前的版本 – Ivanti Policy Secure 22.7R1.2之前的版本 – Ivanti Neurons for ZTA网关22.7R2.3之前的版本 谷歌旗下的Mandiant公司指出，CVE-2025-0282已被用于传播名为“SPAWN”的恶意软件生态系统，包括多个组件，如SPAWNANT、SPAWNMOLE和SPAWNSNAIL。这些恶意软件被认为与中国相关的间谍组织UNC5337有关。 上个月，日本计算机应急响应小组（JPCERT/CC）发现，该漏洞被用于传播“SPAWNCHIMERA”，这是一个将上述多个模块整合为一体的单一恶意软件，同时增加了通过UNIX域套接字进行进程间通信的功能。值得注意的是，该变体还包含一个功能，用于修补CVE-2025-0282漏洞，以防止其他恶意行为者利用该漏洞进行攻击。 CISA表示，“RESURGE”（文件名为“libdsupgrade.so”）是“SPAWNCHIMERA”的改进版本，支持三种新指令： 1. 将自身插入“ld.so.preload”，设置网络外壳（web shell），操纵完整性检查和修改文件。 2. 启用网络外壳进行凭证收集、账户创建、密码重置和权限提升。 3. 将网络外壳复制到Ivanti运行的启动磁盘，并操纵运行中的核心启动镜像。 此外，CISA还从一个未指明的关键基础设施实体的ICS设备中发现了另外两个相关文件：一个“SPAWNSLOTH”变体（文件名为“liblogblock.so”），包含在“RESURGE”中；以及一个定制的64位Linux ELF二进制文件（文件名为“dsmain”）。 CISA指出，“SPAWNSLOTH”变体篡改了Ivanti设备的日志，而第三个文件是一个包含开源shell脚本和开源工具BusyBox部分功能的嵌入式二进制文件。该开源shell脚本能够从受损的内核镜像中提取未压缩的内核映像（vmlinux）。 值得注意的是，CVE-2025-0282还被另一个与中国相关的威胁组织“Silk Typhoon”（原名Hafnium）利用为零日漏洞，微软在本月早些时候披露了这一情况。 最新发现表明，恶意软件背后的攻击者正在积极改进其攻击手段，因此，各机构必须将Ivanti设备更新到最新版本。此外，建议采取进一步缓解措施，包括重置特权和非特权账户的凭证、轮换所有域用户和本地账户的密码、审查访问策略以暂时撤销受影响设备的权限、重置相关账户凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Crocodilus”的新型Android银行木马，其主要攻击目标是西班牙和土耳其的用户。 据ThreatFabric称，Crocodilus甫一登场便是一个成熟的威胁，具备现代技术，如远程控制、黑屏覆盖以及通过辅助功能记录数据等。 与其他同类银行木马一样，该恶意软件旨在实现设备接管（DTO），并最终进行欺诈交易。对源代码和调试消息的分析显示，该恶意软件的作者使用的是土耳其语。 荷兰移动安全公司ThreatFabric分析的Crocodilus样本伪装成谷歌Chrome浏览器（软件包名称为“quizzical.washbowl.calamity”），充当一个能够绕过Android 13及以上版本限制的下载程序。 安装并启动后，该应用会请求访问Android辅助功能服务，随后与远程服务器建立联系，以接收进一步指令、被攻击的金融应用列表以及用于窃取凭证的HTML覆盖层。 Crocodilus还能够针对加密货币钱包发起攻击，其覆盖层不是提供一个虚假的登录页面来捕获登录信息，而是显示一条警告信息，敦促受害者在12小时内备份他们的种子短语，否则可能会失去对钱包的访问权限。 这种社会工程技巧不过是威胁行为者的一种手段，目的是引导受害者访问其种子短语，然后通过滥用辅助功能服务来收集这些短语，从而让他们能够完全控制钱包并转移资产。 “它持续运行，监控应用启动并显示覆盖层以拦截凭证，”ThreatFabric说，“该恶意软件监控所有辅助功能事件并捕获屏幕上显示的所有元素。” 这使得恶意软件能够记录受害人在屏幕上执行的所有操作，以及触发对Google Authenticator应用内容的屏幕截图。 Crocodilus的另一个特点是能够通过显示黑屏覆盖层来隐藏设备上的恶意行为，同时静音声音，从而确保这些行为不被受害者发现。 该恶意软件支持的一些重要功能如下： 启动指定的应用程序 从设备上自我删除 发送推送通知 向所有/选定联系人发送短信 获取联系人列表 获取已安装的应用程序列表 获取短信 请求设备管理权限 启用黑屏覆盖层 更新C2服务器设置 启用/禁用声音 启用/禁用键盘记录使自己成为默认的短信管理器 “Crocodilus移动银行木马的出现标志着现代恶意软件的复杂性和威胁水平有了显著的升级，”ThreatFabric说，“凭借其先进的设备接管能力、远程控制功能，以及从最早版本就开始部署的黑屏覆盖层攻击，Crocodilus展现出了在新发现的威胁中不常见的成熟度。” 与此同时，Forcepoint披露了一项网络钓鱼活动的细节，该活动被发现利用税务主题的诱饵来分发针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马，其传播手段是一种经过混淆处理的Visual Basic脚本。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ESET在调查几个知名勒索软件组织之间的关联时发现，越来越多的勒索软件组织开始将用于禁用端点检测和响应（EDR）解决方案的工具纳入其武器库。 在2024年LockBit和BlackCat勒索软件组织消亡后，新的威胁者崭露头角，其中包括2024年2月出现的RansomHub，这是一个勒索软件即服务（RaaS）组织。 随着勒索软件附属组织从不同团体迁移到RansomHub，例如据称是Change Healthcare黑客事件背后的BlackCat附属组织，RansomHub成为并一直保持着在该领域的主导威胁地位。 2024年5月，RansomHub在其武器库中添加了EDRKillShifter，这是一种针对众多安全解决方案的自定义EDR杀手工具，它依赖密码来保护在执行过程中充当中间层的shellcode。 EDR杀手是在受害者的网络上执行的，旨在使任何在本地终端上运行的安全解决方案失明、损坏或终止。虽然可以使用简单的脚本，但更复杂的工具会部署易受攻击的驱动程序，然后利用这些驱动程序进行恶意活动。 RansomHub通过其RaaS面板向其附属组织提供了EDRKillShifter，但ESET观察到它被用于涉及Play、Medusa和BianLian等其他勒索软件变种的攻击中。 由于BianLian和Play是比较封闭的勒索软件操作，它们能够获得EDRKillShifter的访问权限，这表明它们可能与RansomHub合作，在其攻击中重新利用RaaS的工具。 “我们高度确信所有这些攻击都是由同一个威胁者执行的，该威胁者是这四个勒索软件组织的附属组织，”ESET指出，并将该威胁者称为QuadSwitcher。 ESET还表示，其他勒索软件附属组织也被看到使用EDRKillShifter，并补充说这并不是威胁者用来禁用安全软件的唯一工具。事实上，勒索软件附属组织使用的EDR杀手种类有所增加。 EDR杀手的使用增加被视为对安全解决方案更有效地检测文件加密恶意软件的反应。ESET指出，加密器很少收到重大更新，以避免引入缺陷的风险。 ESET还指出，虽然有超过1700个易受攻击的驱动程序可以供EDR杀手解决方案使用，但只有少数几个被滥用，因为针对它们有经过测试的代码，威胁者无需从头编写新代码。 除了RansomHub，只有另一个RaaS运营商被观察到在其服务中添加了EDR杀手，即Embargo，其泄露网站上仅列出了14名受害者。该工具被称为MS4Killer，基于公开的概念验证（PoC）代码。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Arkana Security的新勒索软件组织声称入侵了美国电信提供商WideOpenWest（WOW!），并窃取了客户数据。WideOpenWest（WOW!）是一家总部位于美国的电信公司，主要在中西部和东南部地区运营，为住宅和商业客户提供宽带互联网、有线电视和电话服务。WOW!以其在与大型供应商竞争的市场中提供高速互联网和具有竞争力的价格而闻名。 Arkana Security最近出现在威胁领域，声称提供渗透测试后的服务，并提供数据安全和风险管理服务。该勒索软件组织通过窃取受害者的数据来向他们施压，要求支付一笔“慷慨的费用”。 Arkana声称窃取了两个数据库，分别包含40.3万和220万账户的数据。被攻破的数据包括用户名、密码、安全详情、电子邮件和Firebase集成数据。 “我们已完全攻破了Wide Open West（WOW!），获取了高度敏感的客户数据和服务器。如果你们不采取行动，我们将公开并出售这些数据。”该组织在其Tor泄露网站上发布的声明中写道。 “现在，只有你们和我们知道这次入侵。但如果你们不支付，入侵将公之于众。 你们的基础设施是一场灾难——你们的安全措施形同虚设。系统保护如此薄弱，显然没有真正努力去保护任何东西。 这是你们的巨大失误，后果将非常严重。” Arkana在泄露网站上曝光了受害者，并发布了被入侵组织高管的敏感个人信息。 目前，该组织还将俄勒冈监控网络公司列在了泄露网站上。 Arkana声称已入侵WOW!的内部系统，包括AppianCloud和Symphonica平台。 “一次重大的网络攻击席卷了Wide Open West（WOW!），这是一家拥有超过150万客户的领先互联网服务提供商。黑客成功通过攻破其两个关键平台：AppianCloud和Symphonica，获得了对WOW!的全面控制。此次入侵导致WOW!的系统、面向客户的设备和后端服务器被全面接管，使客户数据和运营基础设施面临重大风险。攻击者现在能够操纵网络配置、客户数据和服务器代码逻辑，这对WOW!的整个客户群，包括依赖其服务的关键基础设施部门，构成了严重威胁。”该组织发布的声明继续说道。“攻击者现在完全控制了WOW!的基础设施，攻击的全部规模仍在展开。数百万客户和企业客户可能受到影响，影响程度尚未完全显现。”   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了Windows 11 24H2的KB5053656预览累积更新，包含38项更改，包括在AMD和Intel驱动的Copilot+设备上启用实时翻译，并修复了身份验证和蓝屏问题。 KB5053656更新是微软“可选非安全预览更新”计划的一部分，该计划每月月底推送更新，以便Windows管理员测试即将发布的Bug修复、改进和功能。这些更新会在下个月的“修补星期二”发布时推出，但与常规的“修补星期二”累积更新不同，非安全预览更新不包括安全更新。 对于配备AMD和Intel CPU的Copilot+设备，KB5053656更新新增了实时字幕和实时翻译功能，支持将超过44种语言翻译为英语。 此预览更新还修复了以下问题： 修复了在从睡眠恢复时可能触发PDC_WATCHDOG_TIMEOUT蓝屏错误的问题。 修复了在某些情况下导致Kerberos和FIDO缓存凭据身份验证停止响应的多个Bug。 您可以通过以下方式安装更新： 打开设置，点击Windows Update，然后点击检查更新。 由于这是一个可选更新，系统会询问您是否希望安装，您只需点击下载并安装链接即可。 此外，您也可以通过微软更新目录手动下载并安装KB5053656预览更新。 安装完成后，此可选的累积更新将把Windows 11 24H2系统更新到构建 26100.3624。 2025年3月的预览更新带来了一些附加的修复和改进，以下是一些重要的改进： 新功能！ 在Copilot+设备上，通过语义索引模型和传统的词汇索引，改进了Windows搜索，使用户更容易查找文档、照片和设置。 应用程序安装：修复了MsiCloseHandle API在处理包含大量文件的MSI文件时的执行时间过长问题。 启动菜单：修复了如果更新停止响应并回滚，可能会导致无效的启动菜单项的问题。此修复防止设备在未来遇到此问题。如果您已经遇到此问题，可以在系统配置（msconfig）中的启动部分管理额外的启动项。 位置历史功能（Cortana用于访问设备启用位置服务时的24小时设备历史记录的API）被移除。移除该功能后，位置数据将不再本地保存，相应的设置也被从设置 > 隐私与安全 > 位置页面中移除。 微软已知KB5053656存在两个已知问题： Citrix组件阻止2025年1月的Windows安全更新安装（此问题的临时解决方法可以参考Citrix文档页面）。 Windows ARM设备上的Roblox玩家无法从微软商店下载游戏（作为解决方法，玩家可以直接从www.roblox.com下载Roblox）。 Windows 11 24H2现已广泛部署，所有符合条件的Windows 10 22H2设备可以通过Windows Update获取。微软目前正在将Windows 11 2024更新推送给所有符合条件的Windows 10 22H2用户。 2025年1月中旬，微软还开始强制升级所有符合条件的未管理系统（运行Windows 11 22H2/23H2的家庭版和专业版）到Windows 11 24H2。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关的高级持续性威胁（APT）组织被归因于创建一个伪装成印度公共部门邮政系统的虚假网站，旨在感染印度国内的Windows和Android用户。 网络安全公司CYFIRMA将此次攻击归因于名为APT36（也称为Transparent Tribe）的威胁行为者。 该伪造的印度邮政网站名为postindia[.]site。来自Windows系统的用户访问该网站时会被提示下载一个PDF文档，而来自Android设备的用户则会下载一个恶意的应用程序包（“indiapost.apk”）。 CYFIRMA表示：“当从桌面访问时，网站会提供一个包含‘ClickFix’攻击技巧的恶意PDF文件。该文档要求用户按下Win + R键，将提供的PowerShell命令粘贴到运行对话框中并执行，这可能会危及系统安全。” 对与该PDF文件关联的EXIF数据进行分析显示，该文件由一个名为“PMYLS”的作者创建，这可能是指巴基斯坦总理青年笔记本计划。伪装成印度邮政的域名在2024年11月20日注册。 PowerShell代码的目的是从一个远程服务器（“88.222.245[.]211”）下载下一阶段的有效载荷，但该服务器当前处于不活跃状态。 另一方面，当同一个网站从Android设备访问时，它会鼓励用户安装他们的移动应用程序以获得“更好的体验”。一旦安装，该应用程序会请求大量权限，允许它窃取和导出敏感数据，包括联系人列表、当前位置以及外部存储中的文件。 公司表示：“该Android应用程序会将其图标更改为模仿不引人怀疑的Google帐户图标，以掩盖其活动，使用户在想要卸载应用时很难找到它。该应用还具备强制要求用户接受权限的功能，即使第一次被拒绝。” 该恶意应用还设计为即使在设备重启后，也会持续在后台运行，并明确请求忽略电池优化的权限。 CYFIRMA补充道：“‘ClickFix’这一技巧被网络犯罪分子、诈骗者和APT组织广泛利用，正如其他研究人员在野外观察到的那样。这种新兴的攻击手段构成了重大威胁，因为它可以攻击那些不了解或不熟悉此类方法的用户，甚至包括一些技术精通的用户。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新的分析表明，RansomHub的关联组织与其他勒索软件团伙Medusa、BianLian和Play之间存在关联。 根据ESET的报告，这种联系源自一个名为EDRKillShifter的自定义工具。该工具专门用于在受感染设备上禁用终端检测和响应（EDR）软件。RansomHub的攻击者首次被发现使用EDRKillShifter是在2024年8月。 EDRKillShifter通过一种名为“带上你自己的漏洞驱动程序”（BYOVD）的已知策略实现其目标。该策略利用合法但存在漏洞的驱动程序来终止保护终端的安全解决方案。 攻击者使用此类工具的目的在于确保勒索软件加密程序能够顺利执行，而不会被安全软件检测和阻止。 “在一次入侵过程中，攻击者的目标是获得管理员或域管理员权限。”ESET研究人员Jakub Souček和Jan Holman在与《The Hacker News》分享的报告中表示。 他们进一步指出：“勒索软件运营商通常不会频繁更新加密器，因为代码更新容易引发缺陷，可能损害他们的声誉。因此，安全厂商对这些加密器的检测能力相对较强。为了应对这一点，攻击者会在执行加密程序前使用EDR杀软工具移除安全防护。” 值得注意的是，EDRKillShifter原本是RansomHub专为其附属成员开发的定制工具。像这样专门提供给附属组织的工具本身并不常见，而现在该工具也被用于Medusa、BianLian和Play等其他勒索软件攻击中。 尤其值得关注的是，Play和BianLian采用的是**封闭式勒索软件即服务（RaaS）**模式。在这种模式下，运营者不会主动招募新成员，而是基于长期的信任关系与少量合作者合作。 “Play和BianLian的可信成员正在与竞争对手合作，甚至与像RansomHub这样的新兴团伙合作，并将从他们那里获得的工具重新用于自身的攻击中。”ESET推测，“这尤其值得注意，因为这些封闭式团伙通常在攻击中使用一套固定的核心工具。” 研究人员怀疑，这些勒索软件攻击可能由同一威胁行为者发起。该行为者被称为QuadSwitcher，由于其战术与Play的典型入侵手法极为相似，因此被认为与Play关系最为密切。 此外，EDRKillShifter还被观察到由另一个勒索软件关联组织CosmicBeetle使用。CosmicBeetle利用该工具在三起涉及RansomHub和假冒LockBit的攻击中禁用了安全软件。 这一发现正值勒索软件团伙广泛使用BYOVD技术，通过部署EDR杀软工具来攻击受感染系统的趋势上升之际。 去年，勒索软件团伙Embargo被发现使用名为MS4Killer的程序来中和安全软件。而在本月，Medusa勒索软件组织被指使用了一种名为ABYSSWORKER的自定义恶意驱动程序。 ESET强调：“攻击者需要管理员权限才能部署EDR杀软工具，因此应在他们获得权限前及时检测和阻止其活动。” 为此，ESET建议企业用户确保开启潜在不安全应用的检测功能，从而有效阻止带有漏洞的驱动程序安装。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一种新型的“钓鱼即服务”（PhaaS）平台。该平台利用域名系统（DNS）中的邮件交换（MX）记录生成虚假登录页面，伪造约114个品牌，以骗取用户凭据。 DNS情报公司Infoblox正在追踪此次活动，并将该钓鱼套件及相关攻击活动命名为Morphing Meerkat（变形猫鼬）。 “该攻击者通常利用广告技术基础设施中的开放重定向漏洞，劫持域名进行钓鱼活动，并通过包括Telegram在内的多种渠道分发窃取的凭据。”Infoblox在与《The Hacker News》分享的报告中表示。 Forcepoint在2024年7月记录了一次利用该PhaaS工具包的攻击活动。攻击者在钓鱼邮件中插入链接，伪装成共享文档。受害者点击链接后会被重定向至Cloudflare R2上的虚假登录页面，输入凭据后信息将通过Telegram传输至攻击者手中。 据估计，Morphing Meerkat已发送了数千封垃圾邮件。为了绕过安全过滤，攻击者主要依赖受感染的WordPress网站以及Google旗下DoubleClick等广告平台的开放重定向漏洞。 此外，该钓鱼套件还支持实时翻译，能够将钓鱼页面的内容动态转换为包括英语、韩语、西班牙语、俄语、德语、中文和日语在内的十多种语言，针对全球用户进行攻击。 钓鱼页面还具备多项反分析措施，例如禁止鼠标右键点击和屏蔽键盘快捷键（如Ctrl + S用于保存网页、Ctrl + U用于查看网页源代码），进一步阻碍安全研究人员的分析。 Morphing Meerkat真正独特之处在于它通过从Cloudflare或Google获取的DNS MX记录识别受害者的邮件服务提供商（如Gmail、Microsoft Outlook或Yahoo!）。随后，它会动态生成相应的虚假登录页面，以增加欺骗的可信度。 如果钓鱼套件无法识别受害者的MX记录，则会默认显示一个伪装成Roundcube的登录页面。 “这种攻击方式为攻击者带来了显著优势，”Infoblox表示。“它使攻击者能够针对特定受害者进行定向攻击，通过与受害者实际使用的邮件服务提供商高度一致的网页内容，提高欺骗成功率。” “整体钓鱼体验显得更加真实，因为登录页面的设计通常与钓鱼邮件中的消息相匹配。这种技术进一步诱骗受害者在钓鱼页面中提交他们的邮箱凭据。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。 这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。 “在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。 “受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。” 该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：   – Firefox 136.0.4   – Firefox ESR 115.21.1   – Firefox ESR 128.8.1   目前没有证据表明CVE-2025-2857在野外被利用。 与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。 卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。 据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。 美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。 建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文