HackerNews

HackerNews 编译，转载请注明出处： 据Trend Micro安全研究员Peter Girnus称，7-Zip归档工具中的一个最近修补的安全漏洞（CVE-2025-0411，CVSS评分为7.0）被野外利用来传递SmokeLoader恶意软件。该漏洞允许远程攻击者绕过网络标记（MotW）保护，并以当前用户的身份执行任意代码。7-Zip在2024年11月发布的24.09版本中解决了这个问题。 “俄罗斯网络犯罪集团通过鱼叉式网络钓鱼活动积极利用该漏洞，使用同形异义攻击来伪造文档扩展名，欺骗用户和Windows操作系统执行恶意文件。”Girnus说。 据怀疑，CVE-2025-0411可能被武器化，用于针对乌克兰的政府和非政府组织，作为俄乌冲突背景下的网络间谍活动的一部分。 MotW是微软在Windows中实现的一项安全功能，旨在防止从互联网下载的文件在未通过Microsoft Defender SmartScreen进一步检查的情况下自动执行。 CVE-2025-0411通过使用7-Zip进行双重归档来绕过MotW，即创建一个归档文件，然后再创建一个该归档文件的归档文件，以隐藏恶意负载。 “CVE-2025-0411的根本原因是，在24.09版本之前，7-Zip没有正确地将MotW保护传播到双重封装的归档内容，”Girnus解释说。“这允许威胁行为者创建包含恶意脚本或可执行文件的归档文件，这些文件不会受到MotW保护，使Windows用户容易受到攻击。” 利用该漏洞的零日攻击最早在2024年9月25日被检测到，感染序列导致了SmokeLoader，这是一种多次用于针对乌克兰的加载器恶意软件。 起点是一封包含特制归档文件的网络钓鱼电子邮件，该文件使用同形异义攻击将内部ZIP归档文件伪装成Microsoft Word文档文件，从而触发漏洞。 据Trend Micro称，这些网络钓鱼邮件是从与乌克兰政府机构和商业账户相关的电子邮件地址发送的，目标是市政组织和企业，这表明这些账户之前已被攻陷。 “这些被攻陷的电子邮件账户为发送给目标的邮件增添了真实性，操纵潜在受害者信任内容及其发件人，”Girnus指出。 这种方法导致执行ZIP归档文件中的互联网快捷方式（.URL）文件，该文件指向攻击者控制的服务器，该服务器托管了另一个ZIP文件。新下载的ZIP文件包含伪装成PDF文档的SmokeLoader可执行文件。 至少有九个乌克兰政府实体和其他组织被评估为受到该活动的影响，包括司法部、基辅公共交通服务、基辅供水公司和市议会。 鉴于CVE-2025-0411正在被积极利用，建议用户更新到最新版本，实施电子邮件过滤功能以阻止网络钓鱼尝试，并禁用来自不受信任来源的文件执行。 “我们在此次活动中针对和受影响的组织中注意到一个有趣的收获是小型地方政府机构，”Girnus说。“这些组织通常面临巨大的网络压力，但往往被忽视，缺乏大型政府机构的网络安全意识和资源。这些较小的组织可以成为威胁行为者转向较大政府机构的有价值支点。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，针对 Go 生态系统的软件供应链攻击中出现了一种恶意包，该包能够使攻击者远程访问受感染系统。 据 Socket 称，该包名为 github.com/boltdb-go/bolt，是对合法 BoltDB 数据库模块（github.com/boltdb/bolt）的拼写混淆。恶意版本（1.3.1）于 2021 年 11 月发布到 GitHub，随后被 Go 模块镜像服务无限期缓存。 安全研究人员基里尔・博伊琴科（Kirill Boychenko）在分析中表示：“一旦安装，该后门包将授予威胁行为者对受感染系统的远程访问权限，使其能够执行任意命令。” Socket 表示，这一事件标志着恶意行为者最早利用 Go 模块镜像对模块的无限期缓存来欺骗用户下载该包的案例之一。随后，攻击者修改了源代码仓库中的 Git 标签，将其重定向到良性版本。 这种欺骗手段确保了手动审核 GitHub 代码仓库时不会发现任何恶意内容，而缓存机制则意味着不知情的开发人员使用 go CLI 安装该包时，仍会下载后门版本。 博伊琴科说：“一旦模块版本被缓存，即使原始源代码后来被修改，它仍然可以通过 Go 模块代理访问。虽然这种设计对合法使用场景有益，但威胁行为者利用它在后续对代码仓库的修改后，仍能持续分发恶意代码。” “由于不可变模块既提供安全优势，也存在潜在的滥用途径，开发人员和安全团队应警惕利用缓存模块版本来逃避检测的攻击。” 与此同时，Cycode 详细披露了三个恶意 npm 包——serve-static-corell、openssl-node 和 next-refresh-token，这些包包含隐藏代码，用于收集系统元数据并在受感染主机上运行由远程服务器（“8.152.163[.]60”）发出的任意命令。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Pwn2Own Automotive 2025黑客大赛的第二天，安全研究人员两次攻破了特斯拉的Wall Connector电动汽车充电器。 此外，他们还发现了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA电动汽车充电器，以及Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500车载信息娱乐系统（IVI）中的23个零日漏洞。 PHP Hooligans团队率先利用未检查最小值的数字范围比较零日漏洞攻破了特斯拉Wall Connector，随后Synacktiv团队也通过充电连接器攻破了特斯拉的电动汽车充电器，而这种攻击方式此前从未公开演示过。 当天，在特斯拉Wall Connector的黑客攻击尝试中，发生了两次漏洞碰撞：一次由PCAutomotive团队发起，另一次由Summoning团队的Sina Kheirkhah发起，他利用了两个已知漏洞的漏洞链。 根据Pwn2Own Tokyo 2025大赛规则，比赛期间所有目标设备都必须安装所有安全更新并运行最新的操作系统版本。 在比赛第二天，趋势科技的零日漏洞计划（Zero Day Initiative）为23个零日漏洞颁发了335,500美元的现金奖励。目前，Sina Kheirkhah在“Pwn大师”排名中领先。 在Pwn2Own Automotive大赛首日，安全研究人员利用了16个独特的零日漏洞，并获得了382,750美元的现金奖励。比赛结束后，供应商将有90天的时间开发和发布安全补丁，然后ZDI才会公开披露这些零日漏洞。 Pwn2Own Automotive 2025黑客大赛将于1月22日至1月24日在日本东京举行的Automotive World大会上，专注于汽车技术的攻击。 黑客将瞄准汽车操作系统（如Automotive Grade Linux、Android Automotive OS和BlackBerry QNX）、电动汽车充电器和车载信息娱乐系统。 尽管特斯拉还提供了Model 3/Y（基于Ryzen）的等效台式设备，但在比赛日程公布之前，没有安全研究人员注册尝试攻击该公司的Wall Connector。第二天的日程安排和每项挑战的结果也可在此处查看。 一年前，在首届Pwn2Own Automotive东京大赛上，安全研究人员因两次攻破特斯拉并利用多个电动汽车系统中的49个零日漏洞，获得了1,323,750美元的奖励。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： QNAP已修复六项rsync漏洞，这些漏洞可能导致攻击者在未打补丁的网络附加存储（NAS）设备上执行远程代码。 Rsync是一款开源文件同步工具，支持通过其守护进程进行直接文件同步、通过SSH进行SSH传输以及节省时间和带宽的增量传输。它被Rclone、DeltaCopy、ChronoSync等许多备份解决方案广泛使用，同时也应用于云和服务器管理操作以及公共文件分发。 这些漏洞被追踪为CVE-2024-12084（堆缓冲区溢出）、CVE-2024-12085（未初始化堆栈导致的信息泄露）、CVE-2024-12086（服务器泄露任意客户端文件）、CVE-2024-12087（通过–inc-recursive选项的路径遍历）、CVE-2024-12088（绕过–safe-links选项）和CVE-2024-12747（符号链接竞态条件）。 QNAP表示，这些漏洞影响了其数据备份和灾难恢复解决方案HBS 3 Hybrid Backup Sync 25.1.x，该方案支持本地、远程和云存储服务。 在周四发布的安全公告中，QNAP表示已在HBS 3 Hybrid Backup Sync 25.1.4.952中修复了这些漏洞，并建议客户将软件更新到最新版本。 要在您的NAS设备上更新Hybrid Backup Sync安装，您需要： 以管理员身份登录QTS或QuTS hero。 打开App Center并搜索HBS 3 Hybrid Backup Sync。 等待HBS 3 Hybrid Backup Sync出现在搜索结果中。 点击“更新”，然后在后续确认消息中点击“确定”。 这些rsync漏洞可以组合利用，形成导致远程系统妥协的利用链。攻击者仅需要对易受攻击的服务器拥有匿名读取访问权限。 “当组合利用时，前两个漏洞（堆缓冲区溢出和信息泄露）允许客户端在运行Rsync服务器的设备上执行任意代码，”CERT/CC在rsync 3.4.0发布安全修复的一周前发出警告。“客户端仅需要对服务器拥有匿名读取访问权限，例如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。” Shodan搜索结果显示，有70多万个IP地址暴露了rsync服务器。然而，尚不清楚其中有多少容易受到利用这些安全漏洞的攻击，因为成功利用需要有效的凭据或配置为允许匿名连接的服务器。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在分发近1000个假冒Reddit和WeTransfer文件共享服务的网页，这些网页会诱导用户下载Lumma Stealer恶意软件。 在假冒网页上，威胁行为体滥用Reddit品牌，展示一个关于特定话题的虚假讨论线程。线程创建者请求帮助下载特定工具，另一名用户则通过WeTransfer上传该工具并分享链接，第三名用户表示感谢，以使整个过程看似合法。 假冒Reddit站点（来源：BleepingComputer） 不明真相的受害者点击链接后，会被带到一个模仿WeTransfer流行文件共享服务界面的假冒网站。点击“下载”按钮后，用户会被引导至“weighcobbweo[.]top”上托管的Lumma Stealer有效载荷。 此次活动中使用的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 参与此次活动的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 假冒WeTransfer门户（来源：BleepingComputer） Sekoia研究员crep1x发现了这些假冒网站，并分享了参与此次活动的完整网页列表。总共有529个假冒Reddit的页面和407个假冒WeTransfer官方服务的下载页面。 该研究员告诉BleepingComputer，他无法获取感染链先前阶段的任何线索，但使用的特定话题表明有一定的精心策划。 此次攻击可能始于恶意广告、搜索引擎中毒、恶意网站、社交媒体上的直接消息和其他手段。 一年前，同一位研究员发现了一场类似的活动，其中1300个网站滥用AnyDesk品牌来推广Vidar Stealer恶意软件。 信息窃取恶意软件的风险 Lumma Stealer是一款功能强大的工具，具有先进的逃避和数据窃取机制。该恶意软件被出售给黑客，黑客通过GitHub评论、裸照生成器网站和恶意广告等多种方式分发。 信息窃取恶意软件可以收集存储在网页浏览器中的密码和会话令牌等信息，这些信息可用于在不知道凭据的情况下劫持账户。 此类威胁通常用于从公司窃取敏感登录数据，而这些数据通常会在黑客论坛上出售。 最近，信息窃取软件对PowerSchool、HotTopic、CircleCI和Snowflake等公司发动了高影响力攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体，该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。 这家科技巨头的云部门在其第11期《威胁地平线报告》中表示：“该行为体从事了多种威胁活动，包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。” TRIPLESTRENGTH从事三类恶意攻击，包括非法加密货币挖掘、勒索软件和敲诈，并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。 目标云实例的初步访问是通过被盗的凭证和cookie实现的，其中一些源自Raccoon信息窃取器的感染日志。被劫持的环境随后被滥用，以创建用于挖掘加密货币的计算资源。 该活动的后续版本被发现利用高度特权账户，将攻击者控制的账户作为受害者的云项目中的计费联系人，以便为挖掘目的设置大型计算资源。 加密货币挖掘是通过使用unMiner应用程序和unMineable挖掘池进行的，根据目标系统，采用CPU和GPU优化的挖掘算法。 颇为不寻常的是，TRIPLESTRENGTH的勒索软件部署操作主要针对本地资源，而非云基础设施，使用的勒索软件包括Phobos、RCRU64和LokiLocker。 Google Cloud表示：“在专注于黑客活动的Telegram频道中，与TRIPLESTRENGTH有关联的行为体发布了RCRU64勒索软件即服务（RaaS）的广告，并寻求合作伙伴参与勒索软件和敲诈勒索活动。” 在2024年5月的一起RCRU64勒索软件事件中，据说威胁行为体首先通过远程桌面协议获得初步访问权限，随后执行横向移动和防病毒防御规避步骤，在多个主机上执行勒索软件。 TRIPLESTRENGTH还经常在Telegram上宣传访问被入侵的服务器，包括托管提供商和云平台的服务器。 Google表示，已采取措施应对这些活动，包括强制实施多因素身份验证（MFA）以防止账户被接管的风险，并推出改进后的日志记录功能，以标记敏感计费操作。 这家科技巨头表示：“单个被盗的凭证可能引发连锁反应，使攻击者能够访问本地和云中的应用程序和数据。” “这种访问权限可进一步被利用，通过远程访问服务破坏基础设施、操纵MFA，并为后续的社会工程学攻击建立可信的存在。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。 沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。” 该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。 QakBot（又称QBot和Pinkslipbot）在2023年遭受重大运营挫折，其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后，不断有传播该恶意软件的零星活动被发现。 QakBot最初被设计为银行木马，后来被改造为加载程序，能够在目标系统上交付下一阶段的有效载荷，如勒索软件。QakBot和IcedID的一个显著特点是其BC模块，该模块使威胁行为者能够将主机用作代理，并通过嵌入的VNC组件提供远程访问通道。 沃尔玛的分析显示，BC模块除了包含对旧版QakBot样本的引用外，还得到了进一步增强和开发，用于收集系统信息，在某种程度上充当自主程序，以便利后续利用。 沃尔玛表示：“我们所说的这款恶意软件是一个独立的后门程序，利用BackConnect作为媒介，允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。” Sophos也对BC恶意软件进行了独立分析，将该软件的痕迹归因于其追踪的威胁集群STAC5777，该集群与Storm-1811重叠，Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。 这家英国网络安全公司指出，STAC5777和STAC5143（一个可能与FIN7有联系的威胁集团）都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标，诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限，以安装Python后门和Black Basta勒索软件。 Sophos表示：“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户，并利用Microsoft Teams的默认配置，该配置允许外部域的用户与内部用户发起聊天或会议。” 沃尔玛表示，鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件，而新款BC模块的出现，再加上Black Basta近几个月也分发了ZLoader的事实，这表明了一个高度互联的网络犯罪生态系统，其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一场名为“J-magic”的攻击活动中，企业级Juniper Networks路由器成为了定制后门的攻击目标。 据Lumen Technologies旗下的Black Lotus Labs团队称，该活动之所以得名如此，是因为后门程序会不断监测威胁行为者在TCP流量中发送的“魔术包”。 该公司在向The Hacker News提供的一份报告中表示：“J-magic活动标志着专为JunoOS设计的恶意软件罕见出现，JunoOS服务于类似市场，但依赖于FreeBSD的一个变种操作系统。” 公司收集的证据显示，该后门程序的最早样本可追溯至2023年9月，活动持续时间为2023年中至2024年中。半导体、能源、制造和信息技术（IT）行业是最主要的攻击目标。 欧洲、亚洲和南美洲均有感染报告，包括阿根廷、亚美尼亚、巴西、智利、哥伦比亚、印度尼西亚、荷兰、挪威、秘鲁、英国、美国和委内瑞拉。 该活动的一个显著特点是，在通过尚未确定的方法获得初步访问权限后，会部署一个代理。该代理是公开可用的后门程序cd00r的一个变种，在开始操作前会等待五个不同的预定参数。 在收到这些“魔术包”后，代理程序被配置为发送一个二级挑战，随后J-magic在与魔术包中指定的IP地址和端口建立反向shell。这使得攻击者能够控制设备、窃取数据或部署额外的有效载荷。 Lumen推测，挑战环节的加入是攻击者试图防止其他威胁行为者随意发送魔术包，并将J-magic代理用于实现自身目标。 值得注意的是，cd00r的另一个变种，代号为SEASPY，在2022年末针对Barracuda Email Security Gateway（ESG）设备的活动中被部署。 不过，目前尚无证据表明这两场活动有关联，J-magic活动也没有显示出与针对企业级路由器（如Jaguar Tooth和BlackTech（又名Canary Typhoon））的其他活动有任何重叠迹象。 据说，大多数可能受影响的IP地址是作为VPN网关的Juniper路由器，另一个较小的集群则是暴露NETCONF端口的设备。据信，网络配置设备因其能够自动化路由器配置信息和管理而成为攻击目标。 随着路由器被用于国家行为者策划后续攻击，最新发现强调了边缘基础设施持续成为攻击目标的情况，这主要归因于此类设备的长时间运行以及缺乏端点检测和响应（EDR）保护。 Lumen表示：“该活动最引人注目的方面之一是专注于Juniper路由器。虽然我们已经看到其他网络设备受到严重攻击，但这场活动表明，攻击者能够成功地将攻击范围扩大到其他设备类型，如企业级路由器。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks三款防火墙模型经全面评估，发现存在大量已知安全漏洞，这些漏洞影响了设备的固件及安全功能的配置。 安全厂商Eclypsium在一份向The Hacker News提供的报告中指出：“这些并非罕见或边缘案例的漏洞，而是非常知名的问题，甚至在消费级笔记本电脑上都不应出现。如果被利用，这些问题可能让攻击者绕过最基本的安全保护机制，如安全启动，并修改设备固件。” 该公司分析的三款Palo Alto Networks防火墙型号分别为PA-3260、PA-1410和PA-415，其中PA-3260已于2023年8月31日正式停售，而其他两款型号仍在全面支持范围内。 网络安全方面，发现的漏洞被统称为“PANdora’s Box”，具体包括： CVE-2020-10713（又称BootHole，影响PA-3260、PA-1410和PA-415），指Linux系统中启用了安全启动功能的缓冲区溢出漏洞，可导致安全启动绕过。 CVE-2022-24030、CVE-2021-33627、CVE-2021-42060、CVE-2021-42554、CVE-2021-43323和CVE-2021-45970（影响PA-3260），指一组影响Insyde Software的InsydeH2O UEFI固件的系统管理模式（SMM）漏洞，可能导致权限提升和安全启动绕过。 LogoFAIL（影响PA-3260），指在统一可扩展固件接口（UEFI）代码中发现的一组关键漏洞，利用固件中嵌入的图像解析库漏洞，在系统启动时绕过安全启动并执行恶意代码。 PixieFail（影响PA-1410和PA-415），指UEFI参考实现中TCP/IP网络协议栈的一组漏洞，可能导致代码执行和信息泄露。 不安全的闪存访问控制漏洞（影响PA-415），指SPI闪存访问控制配置不当，可能允许攻击者直接修改UEFI并绕过其他安全机制。 CVE-2023-1017（影响PA-415），指可信平台模块（TPM）2.0参考库规范中的越界写入漏洞。 Intel BootGuard泄露密钥绕过（影响PA-1410）。 Eclypsium表示：“这些发现凸显了一个关键事实：即使是为保护而设计的设备，如果安全和维护不当，也可能成为攻击途径。随着威胁行为者继续瞄准安全设备，组织必须采取更全面的供应链安全方法，包括严格的供应商评估、定期固件更新和持续的设备完整性监控。通过了解和解决这些隐藏漏洞，组织可以更好地保护其网络和免受利用安全工具发起的复杂攻击。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CloudSEK 的一份新报告显示，威胁行为者正在利用 Zendesk 的免费试用版创建令人信服的网络钓鱼活动。 Zendesk 为其平台提供免费试用，允许用户注册自定义子域。虽然这一功能旨在增强合法企业的能力，但它已被威胁行为者所利用。据报告称，“在过去 6 个月中，有几家客户通过 XVigil 的虚假 URL 和网络钓鱼子模块发现了此类可疑域名”。这些子域模仿合法品牌的名称，将与品牌相关的关键词与数字字符串相结合，欺骗毫无戒心的用户。 虽然目前还没有活动活动的记录，但 CloudSEK 的分析师已经展示了一种潜在的攻击方法。这种战术被称为 “诱饵与转换模式”，其中包括 子域名注册： 攻击者模仿目标公司的品牌注册 Zendesk 子域名。 钓鱼页面集成： 这些子域经过定制，包含伪装成票务系统或支持表单的钓鱼页面。 利用电子邮件信任： Zendesk 生成的电子邮件可直接进入收件人的主要收件箱，由于其可感知的合法性而绕过垃圾邮件过滤器。 使用图片截屏链接钓鱼页面 | 来源：CloudSEK 其中一种情况是发送伪装成票单分配邮件的网络钓鱼页面。报告指出：“所有电子邮件通信（票据）都会登陆主收件箱，而不是被标记为垃圾邮件。这一点相当令人担忧，因为员工可能会误以为由可信机构分发的类似脉络的精心策划的活动。” 这些攻击的主要目的是窃取登录凭证或财务数据等敏感信息。这可能会给个人和组织带来重大经济损失和声誉损害。 CloudSEK 敦促组织和个人保持警惕。将未知 Zendesk 实例列入黑名单并教育员工了解常见的网络钓鱼策略有助于降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303744 封面来源于网络，如有侵权请联系删除

  HackerNews 编译，转载请注明出处： 入侵教育科技巨头PowerSchool的黑客在勒索要求中声称，他们窃取了6240万学生和950万教师的个人数据。 PowerSchool是为K-12学校和学区提供云计算软件解决方案的供应商，提供包括注册、沟通、考勤、员工管理、学习系统、分析和财务等工具。 1月7日，PowerSchool披露其遭受网络攻击，黑客利用盗取的凭证访问了该公司PowerSource客户支持门户。 通过这一访问，黑客使用客户支持维护工具从学区的PowerSIS数据库中下载了学生和教师的数据。 根据BleepingComputer的首次报道和相关FAQ，敏感信息如社会保障号、医疗信息和成绩等已被窃取，部分受影响的学生数据受到影响。 该FAQ还提到，PowerSchool已支付赎金以防止被窃取的数据被私下泄露，并看到黑客声称删除了这些数据的视频。 尽管该公司在客户FAQ中比其他安全披露更为透明，但仍未提供具体的受影响学生和教师数量，这令家长、教师和学校管理员感到沮丧。 然而，BleepingComputer获得了更多信息，揭示了此次数据泄露的影响。 超过6240万学生受影响 根据多个消息来源，PowerSchool攻击的黑客声称，他们在向公司提出勒索要求时，窃取了来自美国、加拿大及其他国家的6505个学区的数据。 BleepingComputer被告知，此次PowerSchool数据泄露影响了624888628名学生和9506624名教师。   需要注意的是，加拿大学区的数字通常大于美国学区，因为这些学区管理特定地区的所有学校。 尽管PowerSchool尚未评论具体的受影响人数，并表示调查仍在进行中，但他们向BleepingComputer强调，数据泄露的具体情况因学区而异。 PowerSchool表示，学区根据其政策要求决定在SIS数据库中存储哪些信息。因此，预计不到四分之一的受影响学生的社会保障号在此次泄露中被暴露。 公司还表示，他们有云端和本地托管的PowerSchool SIS客户。对于自托管数据库的学区，由于需要学区共享信息进行分析，数据审查变得更为复杂。 PowerSchool在回应关于我们报道的问题时，向BleepingComputer分享了以下声明： “我们理解我们在PowerSchool SIS上有一个非常庞大的客户群，但我们认为有必要强调，大多数涉及的个人——实际上超过四分之三——并未被泄露社会保障号。我们收到了很多关于涉及数据类型的问题，很难一概而论，因为答案因客户而异，并且取决于客户的选择及州或学区的政策要求。” “我们深切关心我们服务的学生、教师和家庭，完全致力于为他们提供支持。PowerSchool将为所有受影响的学生和教育工作者提供两年的免费身份保护服务和两年的免费信用监控服务。无论个人社会保障号是否被泄露，我们都会提供这些服务（这意味着我们无论是否被法规要求都将这样做）。我们还将代表我们的客户向州检察总长办公室、教育工作者、学生、家长和其他受影响方发出通知。我们真诚希望减轻这些通知对我们的客户和他们所在机构的负担。” PowerSchool表示，他们将为所有受影响的学生和教育工作者提供两年的免费身份保护和信用监控服务。 公司还将代表客户向州检察长办公室及相关人员发出数据泄露通知，但尚不清楚具体时间。 此外，PowerSchool承诺将在1月17日发布基于CrowdStrike调查的事件报告，但该报告尚未发布。 当被问及报告何时可用时，PowerSchool表示CrowdStrike仍在完成最终的法医报告，报告完成后将提供给客户。 在此期间，PowerSchool已在其客户专用FAQ中发布更新，表示客户可以获得有关目前已知情况的保密CrowdStrike事实说明。 PowerSchool还建立了一个专门的公共网站，供受影响人员关注进一步更新。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究员发现了Cloudflare内容分发网络（CDN）的一个漏洞，该漏洞可能通过在Signal和Discord等平台发送图片暴露用户的大致位置。尽管攻击的地理定位能力不足以精确到街道级别，但可以推断出用户所在的地理区域并监控其移动轨迹。 这一发现对注重隐私的人群——如记者、活动家、异见人士甚至网络犯罪分子而言，尤其令人担忧。然而，对于执法部门，这一漏洞可能是调查的利器，帮助确定嫌疑人所在的国家或州。 无交互追踪攻击 三个月前，安全研究员Daniel发现Cloudflare通过将媒体资源缓存到距离用户最近的数据中心来提升加载速度。 他解释道：“我发现了一种独特的无交互去匿名攻击，能够在250英里范围内定位任何目标。” 该攻击仅需目标设备上安装一个易受攻击的应用（或运行于笔记本电脑的后台应用）。攻击者通过发送托管在Cloudflare CDN上的特定图片（如截图或头像），利用Cloudflare Workers的一个漏洞强制请求通过特定数据中心处理。 这一漏洞使攻击者能够绕过Cloudflare默认的安全限制，这些限制通常会根据用户位置从最近的数据中心路由请求。通过枚举不同数据中心的缓存响应，攻击者可以根据返回的机场代码大致确定用户位置。 由于许多应用（包括Signal和Discord）会自动下载推送通知中的图片，这种攻击无需用户交互即可实现追踪，是一种无交互攻击。追踪精度在50到300英里之间，城市地区的精度更高，而农村或人口稀少地区的精度较低。 在测试中，研究员通过Cloudflare的任播路由机制追踪Discord首席技术官Stanislav Vishnevskiy的位置，发现多个邻近数据中心可同时处理请求，从而进一步提高了准确性。 受影响平台的回应 根据404 Media的报道，研究员已将发现披露给Cloudflare、Signal和Discord。Cloudflare标记该问题为已解决，并奖励200美元。但研究员表示，尽管Workers漏洞已修复，通过使用VPN测试不同CDN位置，追踪攻击仍然可能，只是操作略显繁琐。 研究员称：“我选择了一家在全球31个国家设有3000多台服务器的VPN供应商。通过这种新方法，我可以再次覆盖大约54%的Cloudflare数据中心。”这已涵盖全球大部分人口密集地区。 Cloudflare回应称，禁用缓存功能是用户的责任。Discord和Signal则认为问题在于Cloudflare，且不属于它们的职责范围。 BleepingComputer已联系Signal、Discord和Cloudflare寻求对此事的进一步评论，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress的RealHome主题和Easy Real Estate插件存在两个严重漏洞，允许未经身份验证的用户获取管理员权限。 虽然Patchstack研究人员在2024年9月发现了这两个漏洞，并多次尝试联系供应商InspiryThemes，但至今未收到任何回复。同时，Patchstack指出，自2024年9月以来，供应商发布了三个版本，但未修复这些关键问题。因此，这些漏洞依然存在并可被利用。 RealHome主题和Easy Real Estate插件是房地产网站中最受欢迎的主题和插件之一。根据Envanto Market数据显示，RealHome主题目前用于32,600个网站。 第一个漏洞影响RealHome主题，是一个未经身份验证的权限提升问题，编号为CVE-2024-32444，CVSS评分为9.8。漏洞源于主题的inspiry_ajax_register函数允许用户注册新账户，但未正确验证授权或实现随机数验证。如果网站启用了注册功能，攻击者可通过特制的HTTP请求将自己的角色设为“管理员”，从而绕过安全检查。一旦注册为管理员，攻击者即可完全控制WordPress站点，包括篡改内容、植入脚本以及访问用户或其他敏感数据。 第二个漏洞影响Easy Real Estate插件，是通过社交登录实现的另一种未经身份验证的权限提升问题，编号为CVE-2024-32555，CVSS评分为9.8。该漏洞源于插件的社交登录功能，允许用户通过电子邮件地址登录，但未验证该地址是否属于请求者。如果攻击者知道管理员的电子邮件地址，则无需密码即可登录。成功利用该漏洞的后果与CVE-2024-32444类似。 由于InspiryThemes尚未发布修复补丁，建议使用上述主题或插件的网站所有者和管理员立即禁用它们。同时，限制用户注册功能可以防止未经授权的账户创建，从而降低漏洞被利用的风险。 鉴于这些问题已被公开，威胁行为者可能会尝试扫描易受攻击的网站，因此快速响应以减轻威胁至关重要。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络基础设施与安全公司Cloudflare周二表示，其检测并阻止了一次高达5.6 Tbps的分布式拒绝服务（DDoS）攻击，这是迄今为止报告的最大规模攻击。 这次基于UDP协议的攻击发生在2024年10月29日，目标是一家位于东亚的未具名互联网服务提供商（ISP），攻击源自一个Mirai变种僵尸网络。 “此次攻击持续了80秒，并来源于超过13000个物联网设备，”Cloudflare的Omer Yoachimik和Jorge Pacheco在一份报告中表示。 与此同时，每秒观测到的平均唯一源IP地址为5500个，每个IP地址每秒的平均流量约为1 Gbps。 此前最大规模的DDoS攻击记录同样由Cloudflare在2024年10月报告，其峰值为3.8 Tbps。 Cloudflare还披露，其在2024年阻止了约2130万次DDoS攻击，比2023年增长了53%，超过1 Tbps的攻击数量在季度间激增了1885%。仅在2024年第四季度，就缓解了多达690万次DDoS攻击。 以下是2024年第四季度观察到的一些其他重要统计数据： 已知DDoS僵尸网络占所有HTTP DDoS攻击的72.6%。 Layer 3/Layer 4（网络层）最常见的攻击向量是SYN洪水（38%）、DNS洪水攻击（16%）和UDP洪水（14%）。 Memcached、BitTorrent及勒索型DDoS攻击分别环比增长314%、304%和78%。 约72%的HTTP DDoS攻击和91%的网络层DDoS攻击在十分钟内结束。 印尼、中国香港、新加坡、乌克兰和阿根廷是DDoS攻击的最大来源国。 中国、菲律宾和德国是被攻击最多的国家。 通信、互联网、营销、信息技术和博彩是最常被攻击的行业。 与此同时，网络安全公司Qualys和Trend Micro披露，臭名昭著的Mirai僵尸网络恶意软件的变种正通过利用已知的安全漏洞和弱密码攻击物联网（IoT）设备，将其用作DDoS攻击的工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oracle敦促用户尽快应用2025年1月的关键补丁更新（CPU），以修复其产品和服务中的318个安全漏洞。 最严重的漏洞是Oracle Agile产品生命周期管理（PLM）框架中的一个高危漏洞（CVE-2025-21556，CVSS评分：9.9），该漏洞允许攻击者接管易受攻击的实例。据NIST国家漏洞数据库（NVD）描述，这是一个易于利用的漏洞，攻击者可通过HTTP以低权限网络访问破坏Oracle Agile PLM框架。值得注意的是，Oracle在2024年11月警告称，同一产品中的另一个漏洞（CVE-2024-21287，CVSS评分：7.5）正被积极利用。两者均影响Oracle Agile PLM框架9.3.6版本。 Oracle安全保障副总裁Eric Maurice表示：“我们强烈建议用户为Oracle Agile PLM框架应用2025年1月的关键补丁更新，因为它不仅修复了CVE-2024-21287，还包含其他补丁。” 其他同样严重的漏洞（CVSS评分：9.8）包括： CVE-2025-21524：JD Edwards EnterpriseOne Tools的监控与诊断SEC组件漏洞 CVE-2023-3961：JD Edwards EnterpriseOne Tools的E1开发平台技术（Samba）组件漏洞 CVE-2024-23807：Oracle Agile工程数据管理的Apache Xerces C++ XML解析器组件漏洞 CVE-2023-46604：Oracle通信直径信令路由器的Apache ActiveMQ组件漏洞 CVE-2024-45492：多个产品（包括Oracle通信网络分析数据总监和HTTP服务器）的XML解析器（libexpat）组件漏洞 CVE-2024-56337：Oracle通信策略管理的Apache Tomcat服务器组件漏洞 CVE-2025-21535：Oracle WebLogic服务器核心组件漏洞 CVE-2016-1000027：Oracle BI Publisher的Spring Framework组件漏洞 CVE-2023-29824：Oracle商业智能企业版的分析服务器（SciPy）组件漏洞 特别是CVE-2025-21535，与CVE-2020-2883（CVSS评分：9.8）相似，后者是Oracle WebLogic服务器中的一个关键安全漏洞，攻击者可通过IIOP或T3网络访问进行未经身份验证的攻击。本月，美国网络安全与基础设施安全局（CISA）将CVE-2020-2883添加到其已知被利用漏洞目录（KEV），并指出其已在野外被积极利用。 此外，Oracle还修复了影响其通信计费和收入管理产品的关键漏洞CVE-2024-37371（CVSS评分：9.1），该漏洞可能导致攻击者通过发送带有无效长度字段的消息令牌引发内存读取错误。 Oracle还发布了针对Oracle Linux的更新，包含285个新安全补丁。用户被建议及时应用相关修复以保持系统安全，避免潜在的安全风险。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织正在利用Cambium Networks cnPilot路由器中的未披露零日漏洞，部署一种名为AIRASHI的AISURU僵尸网络变种，用于发动分布式拒绝服务（DDoS）攻击。 据奇安信XLab披露，这些攻击自2024年6月起就已利用该漏洞实施。为防止漏洞被进一步滥用，相关技术细节暂未公开。除此之外，该僵尸网络还利用了多个已知漏洞，包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-28771，以及针对AVTECH摄像机、LILIN DVR设备和深圳天网科技设备的漏洞。 奇安信XLab指出，“AIRASHI的运营者在Telegram上发布了DDoS攻击能力测试结果。从历史数据来看，AIRASHI僵尸网络的攻击能力稳定在1-3 Tbps之间。” 大部分受感染设备位于巴西、俄罗斯、越南和印度尼西亚，而主要攻击目标包括中国、美国、波兰和俄罗斯。 AIRASHI是AISURU（又称NAKOTNE）僵尸网络的变种。2024年8月，奇安信首次检测到该僵尸网络在Steam平台发起DDoS攻击，时间与游戏《黑神话：悟空》上线相吻合。 AIRASHI僵尸网络持续更新，其中部分变种还整合了代理功能，显示威胁组织意图将其服务范围扩展至DDoS攻击之外。据悉，AISURU在2024年9月一度暂停活动，随后于10月卷土重来，并在11月底再次更新功能，此时已更名为AIRASHI。 XLab表示，“名为‘kitty’的样本在2024年10月初开始传播。与以往AISURU样本相比，kitty简化了网络协议，并在10月底开始使用SOCKS5代理与C2服务器通信。” AIRASHI至少存在两种版本： AIRASHI-DDoS（2024年10月底首次检测），主要用于DDoS攻击，同时支持任意命令执行和反向Shell访问。 AIRASHI-Proxy（2024年12月初首次检测），是AIRASHI-DDoS的修改版，新增代理功能。 该僵尸网络通过DNS查询不断调整方法获取C2服务器信息，并采用全新网络协议，使用HMAC-SHA256和CHACHA20算法进行通信。此外，AIRASHI-DDoS支持13种消息类型，而AIRASHI-Proxy仅支持5种。 研究显示，黑客持续利用物联网设备漏洞作为初始入侵点，并通过这些设备组建僵尸网络，助推大规模DDoS攻击的实施。 与此同时，奇安信还披露了一种跨平台后门程序alphatronBot，该恶意软件自2023年初起活跃，目标包括中国政府及企业，其利用被感染的Windows和Linux系统组建僵尸网络。此后门程序采用合法的开源点对点（P2P）聊天应用PeerChat与其他感染节点通信。 P2P协议的去中心化特性使得攻击者无需通过单一C2服务器，即可通过任意受感染节点发布命令，从而大幅提高僵尸网络对拆除行动的抵抗力。 “该后门程序内置的700多个P2P网络涵盖80个国家和地区的感染设备，包括MikroTik路由器、海康威视摄像机、VPS服务器、DLink路由器和CPE设备等。”奇安信指出。 此外，XLab去年还详细分析了一种名为DarkCracks的复杂隐秘载荷投递框架，该框架利用受感染的GLPI和WordPress网站充当下载器和C2服务器。 “其主要目标是收集受感染设备的敏感信息，维持长期访问，并利用受感染的高性能设备作为中继节点控制其他设备或分发恶意载荷，从而有效掩盖攻击者的痕迹。”XLab补充道，“被感染的系统涉及多个国家的重要基础设施，包括学校网站、公共交通系统和监狱访客系统。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

7-Zip 中存在一个高严重性漏洞，攻击者可以利用该漏洞绕过 Windows 安全功能 Mark of the Web (MotW)，并在从嵌套归档文件中提取恶意文件时在用户的计算机上执行代码。 7-Zip 于 2022 年 6 月从 22.00 版开始添加了对 MotW 的支持。从那时起，它会自动将 MotW 标志（特殊的“Zone.Id”备用数据流）添加到从下载的档案中提取的所有文件中。 此标志通知操作系统、网络浏览器和其他应用程序，文件可能来自不受信任的来源，应谨慎处理。 因此，当双击使用 7-Zip 提取的危险文件时，用户会收到警告，打开或运行此类文件可能会导致潜在的危险行为，包括在其设备上安装恶意软件。 Microsoft Office 还将检查 MotW 标志，如果找到，它将在受保护的视图中打开文档，这会自动启用只读模式并禁用所有宏。 使用 MoTW 标志启动下载的可执行文件（BleepingComputer） 然而，如趋势科技在周末发布的一份公告中所解释的那样，一个被追踪为CVE-2025-0411的安全漏洞可以让攻击者绕过这些安全警告并在目标电脑上执行恶意代码。 Trend Micro 表示：“此漏洞允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。” “特定缺陷存在于存档文件的处理中。从带有网络标记的精心设计的存档中提取文件时，7-Zip 不会将网络标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。” 7-Zip 已于2024 年 11 月 30 日发布 7-Zip 24.09修补了此漏洞 。 “7-Zip 文件管理器没有传播从嵌套档案中提取的文件的 Zone.Identifier 流（如果另一个打开的档案内有一个打开的档案）。”Pavlov 说。 利用类似漏洞可部署恶意软件 由于 7-Zip 没有自动更新功能，许多用户可能仍在运行易受攻击的版本，攻击者可以利用7ZIP的旧版本感染恶意软件。 所有 7-Zip 用户应尽快修补其安装，因为此类漏洞经常被恶意软件攻击所利用。 例如，6 月份，微软解决了 Mark of the Web 安全绕过漏洞 (CVE-2024-38213)， DarkGate 恶意软件运营商自 2024 年 3 月以来一直在利用该漏洞作为0day武器来绕过 SmartScreen 保护并安装伪装成 Apple iTunes、NVIDIA、Notion 和其他合法软件安装程序的恶意软件。 以经济利益为目的的 Water Hydra（又名 DarkCasino）黑客组织还利用另一个 MotW 绕过（CVE-2024-21412），使用DarkMe 远程访问木马 (RAT)针对股票交易 Telegram 频道和外汇交易论坛发起攻击。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UC2bhaDJEdyNE0MsWN5EjQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 2025年1月21日，Ravie Lakshmanan报道了一起针对乌克兰的网络诈骗活动。未知的威胁行为者通过发送AnyDesk连接请求，伪装成网络安全机构，试图进行诈骗。 乌克兰计算机应急响应小组（CERT-UA）警告称，这些AnyDesk连接请求声称是为了进行“安全水平”评估的审计。CERT-UA提醒各组织警惕此类社会工程学攻击，这些攻击试图利用用户的信任。 CERT-UA指出：“在某些情况下，我们可能会使用AnyDesk等远程访问软件。”然而，此类行动仅在与网络安全防御对象的所有者通过官方批准的通信渠道事先达成一致后才会进行。 要使这种攻击成功，目标计算机上必须安装并运行AnyDesk远程访问软件，同时攻击者需要获取目标的AnyDesk标识符。这表明攻击者可能需要通过其他方式首先获取该标识符。为了降低这些攻击带来的风险，远程访问程序应仅在使用期间启用，并通过官方通信渠道进行协调。 与此同时，乌克兰国家特种通信和信息保护局（SSSCIP）透露，其网络安全事件响应中心在2024年共检测到1,042起事件，其中恶意代码和入侵尝试占所有事件的75%以上。 SSSCIP表示：“2024年，最活跃的网络威胁团伙是UAC-0010、UAC-0050和UAC-0006，它们分别擅长网络间谍活动、金融盗窃和信息心理战。”其中，UAC-0010（也被称为Aqua Blizzard和Gamaredon）被认为与277起事件有关；UAC-0050和UAC-0006分别与99起和174起事件有关。 此外，研究人员还发现了24个此前未被报告的“.shop”顶级域名，这些域名可能与亲俄黑客组织GhostWriter（也称为TA445、UAC-0057和UNC1151）有关。这些域名通过连接针对乌克兰的不同活动被发现。安全研究人员Will Thomas（@BushidoToken）的分析显示，这些活动中使用的域名均采用了相同的通用顶级域名（gTLD）、PublicDomainsRegistry注册商和Cloudflare域名服务器。所有被识别的服务器还配置了robots.txt目录。 随着俄乌战争即将进入第三年，针对俄罗斯的网络攻击也在增加，其目的是窃取敏感数据，并通过部署勒索软件来扰乱商业运营。 上周，网络安全公司F.A.C.C.T.将Sticky Werewolf组织与针对俄罗斯科研和生产企业的鱼叉式网络钓鱼活动联系起来。该活动旨在传播一种名为Ozone的远程访问木马，该木马能够为攻击者提供对受感染Windows系统的远程访问权限。F.A.C.C.T.还将Sticky Werewolf描述为一个亲乌克兰的网络间谍组织，主要针对俄罗斯的国家机构、科研院所和工业企业。然而，以色列网络安全公司Morphisec此前的分析指出，这种联系“仍不确定”。 目前尚不清楚这些攻击的成功率如何。在最近几个月中，其他被观察到针对俄罗斯实体的威胁活动团伙还包括Core Werewolf、Venture Wolf和Paper Werewolf（也称为GOFFEE）。其中，Paper Werewolf利用了一个名为Owowa的恶意IIS模块，以协助窃取凭据。 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现了一系列针对中国内地、中国香港地区和中国台湾地区用户的网络攻击活动。这些攻击活动利用一种名为ValleyRAT的已知恶意软件，通过一个多阶段加载器PNGPlug来传播。 根据Intezer发布的技术报告，攻击链始于一个钓鱼网页，该网页诱导受害者下载伪装成合法软件的恶意Microsoft Installer（MSI）安装包。一旦执行，该安装包会执行两项关键任务：一是部署一个看似合法的应用程序以掩盖恶意行为；二是静默提取一个包含恶意软件负载的加密存档。 报告指出，MSI安装包利用Windows Installer的CustomAction功能执行恶意代码，包括运行一个嵌入的恶意DLL文件。该DLL文件使用硬编码密码“hello202411”解密存档（all.zip），并提取核心恶意软件组件。这些组件包括： libcef.dll：作为加载器，通过填充大量无用代码使其体积膨胀至220MB，以此规避安全工具的检测。 down.exe：一个合法应用程序，用于掩盖恶意行为。 aut.png和view.png：伪装成PNG图片的恶意负载文件。 PNGPlug加载器的主要功能是为恶意软件的执行准备环境。它通过将aut.png和view.png注入内存，并通过修改Windows注册表来设置持久化，从而分别执行ValleyRAT恶意软件。 ValleyRAT自2023年以来已被发现，是一种远程访问木马（RAT），能够为攻击者提供对受感染机器的未经授权的访问和控制。该恶意软件的最新版本增加了截取屏幕截图和清除Windows事件日志的功能。此外，ValleyRAT与一个名为Silver Fox的威胁组织有关联，该组织还与另一个名为Void Arachne的活动集群存在战术重叠，因为它们都使用名为Winos 4.0的命令与控制（C2）框架。 此次攻击活动的独特之处在于其针对中文用户群体，并利用软件相关的诱饵激活攻击链。安全研究员Nicole Fishbein指出：“攻击者巧妙地利用合法软件作为恶意软件的传播机制，将恶意行为与看似无害的应用程序无缝结合。PNGPlug加载器的适应性进一步加剧了威胁，因为其模块化设计使其能够针对多个攻击活动进行定制 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球约有13,000台MikroTik路由器被劫持，组成了一个僵尸网络，用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。 “该活动利用了配置错误的DNS记录，从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出，“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件，这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”，其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵，诱使收件人打开一个ZIP文件，从而触发恶意软件。 ZIP文件中包含一个经过混淆的JavaScript文件，该文件会进一步运行一个PowerShell脚本，从而与位于IP地址62.133.60[.]137的命令与控制（C2）服务器建立连接。尽管入侵路由器的具体方式尚不明确，但多个固件版本受到了影响，其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞，可能被攻击者利用以执行任意代码。 “无论这些设备是如何被入侵的，攻击者似乎都在MikroTik设备上植入了一个脚本，启用SOCKS（安全套接字）功能，使设备能够作为TCP转发器运行。”Brunsdon解释道，“启用SOCKS后，每台设备实际上变成了一个代理服务器，从而掩盖了恶意流量的真实来源，使其更难被追踪。” 更令人担忧的是，这些代理的使用无需身份验证，这意味着其他威胁行为者可以利用这些设备或整个僵尸网络，将其用于各种恶意活动，包括分布式拒绝服务（DDoS）攻击和网络钓鱼活动。 此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架（SPF）TXT记录配置错误。攻击者通过这些配置错误，能够以这些域名的名义发送邮件，并绕过各种电子邮件安全防护机制。具体而言，这些SPF记录被配置为极其宽松的“+all”选项，这使得原本用于安全防护的机制形同虚设。这也意味着任何设备（如被劫持的MikroTik路由器）都可以在电子邮件中伪装成合法域名。 建议MikroTik设备所有者保持路由器固件的最新状态，并更改默认账户凭证，以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持，该僵尸网络能够发起广泛的恶意活动，从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出，“SOCKS4代理的使用进一步增加了检测和缓解的难度，凸显了采取强有力安全措施的必要性。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文