HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，一些加密货币相关的npm包遭到劫持，攻击者通过这些包从受感染的系统中窃取环境变量等敏感信息。 Sonatype研究员Ax Sharma表示：”其中一些包已在npmjs.com上存在超过9年，为区块链开发者提供了合法功能。然而，这些包的最新版本中被植入了混淆的恶意脚本。” 受影响的npm包及版本： country-currency-map (2.1.8) bnb-javascript-sdk-nobroadcast (2.16.16) @bithighlander/bitcoin-cash-js-lib (5.2.2) eslint-config-travix (6.3.1) @crosswise-finance1/sdk-v2 (0.1.21) @keepkey/device-protocol (7.13.3) @veniceswap/uikit (0.65.34) @veniceswap/eslint-config-pancake (1.6.2) babel-preset-travix (1.2.1) @travix/ui-themes (1.1.5) @coinmasters/types (4.8.16) 软件供应链安全公司对这些包的分析显示，攻击者在”package/scripts/launch.js”和”package/scripts/diagnostic-report.js”中植入了高度混淆的恶意代码。这些脚本会在包安装后立即运行，专门窃取API密钥、访问令牌、SSH密钥等数据，并将其发送到远程服务器（”eoi2ectd5a5tn1h.m.pipedream[.]net”）。 有趣的是，相关库的GitHub代码库并未被篡改，攻击者是如何成功推送恶意代码的仍是一个谜。目前尚不清楚此攻击活动的最终目的。 Sharma表示，他们推测这些劫持事件可能是由于旧版npm维护者账户被攻破所致。攻击者可能通过凭证填充攻击（使用此前数据泄露中的用户名和密码在其他网站上尝试登录）或接管过期域名的方式，取得了这些账户的控制权。 鉴于多个项目的维护者账户几乎在同一时间受到攻击，研究人员认为账户接管的可能性高于精心策划的网络钓鱼攻击。 此次事件凸显了为账户启用双因素认证（2FA）以防止账户接管的必要性。它还反映出在开源项目达到生命周期末期或停止维护时，实施安全防护措施的难度。 Sharma强调：”这次事件进一步表明了加强供应链安全措施的紧迫性。开发者和企业在开发过程的每个阶段都应优先考虑安全性，以降低第三方依赖带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云端直播公司StreamElements确认，其一名第三方服务提供商遭遇了数据泄露事件，导致威胁行为者在黑客论坛上泄露了部分被窃数据样本。 该平台向用户保证，此次攻击并未影响其服务器，但去年停止合作的一家第三方提供商的旧数据仍然遭到泄露。   “我们最近了解到，一个我们去年停止合作的第三方服务提供商发生了数据安全事件。”该公司在X平台上发文称。   “我们可以确认，StreamElements的服务器没有遭到入侵。”   “尽管此次事件并非源自StreamElements系统内部，但我们非常重视客户数据的安全，并正在积极与他们联系，以评估和解决可能的影响。”   StreamElements是一家广受欢迎的云端直播工具平台，主要为Twitch和YouTube上的内容创作者提供服务。它提供一系列功能，包括直播叠加层、打赏/捐赠管理、聊天机器人、活动信息流、商品商店集成、直播分析、忠诚度/奖励系统等。   该平台与主要游戏品牌建立了合作伙伴关系，并被许多顶级Twitch主播使用，注册创作者超过100万。   StreamElements的声明是在一名昵称为“victim”的威胁行为者声称窃取了21万名StreamElements客户的数据后发布的。该行为者在2025年3月20日还在黑客论坛上分享了部分被窃数据样本，包括用户的全名、地址、电话号码和电子邮件地址。   威胁行为者在BreachForums上的帖子 来源：BleepingComputer Twitch领域的记者和直播评论员Zach Bussey报道称，他曾与该黑客组织相关人员取得联系，对方提供了证据，证实了数据的真实性。   “我尝试验证数据泄露的真实性，请求查看我在2021年或2022年下的订单中的个人信息。”Bussey在X平台上解释道。   “几秒钟后，他们便提供了这些信息，包括我的姓名、地址、邮政编码、电话号码和电子邮件。”   该黑客还声称，他们通过信息窃取恶意软件感染了StreamElements的一名员工，进而接管了内部账户，访问了平台的订单管理系统。   威胁行为者表示，他们从该系统中窃取了2020年至2024年的用户数据。   尽管StreamElements尚未正式验证这些细节，但在此期间注册的用户被建议保持高度警惕，以防潜在的网络钓鱼和诈骗行为。   今天早些时候，StreamElements提醒社区警惕有人利用此次安全事件进行网络钓鱼攻击，发送假冒的“数据泄露”邮件以欺骗收件人。   截至目前，StreamElements尚未向受影响用户发送数据泄露通知，并表示调查仍在进行中。   值得注意的是，威胁行为者在BreachForums上的帖子目前已被删除。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尽管Oracle否认其Oracle Cloud联合SSO登录服务器被入侵以及600万人的账户数据被盗，但BleepingComputer已与多家公司确认，威胁行为者分享的数据样本是有效的。 上周，一个名叫“rose87168”的人声称入侵了Oracle Cloud服务器，并开始出售据称属于600万用户的认证数据和加密密码。该威胁行为者还表示，被盗的SSO和LDAP密码可以利用被盗文件中的信息进行解密，并愿意与能够帮助恢复这些密码的人分享部分数据。 威胁行为者发布了多个文本文件，包含一个数据库、LDAP数据以及140,621个公司和政府机构域的列表，这些域据称受到了此次入侵的影响。需要注意的是，其中一些公司域看起来像是测试用的，而且每个公司有多个域。 威胁行为者正在出售据称被盗的Oracle Cloud数据 来源：BleepingComputer 除了数据之外，“rose87168”还与BleepingComputer分享了一个Archive.org网址，该网址指向一个托管在“login.us2.oraclecloud.com”服务器上的文本文件，其中包含他们的电子邮件地址。这个文件表明威胁行为者可以在Oracle的服务器上创建文件，这表明实际发生了入侵。 然而，Oracle否认其Oracle Cloud遭受了入侵，并拒绝回答关于此次事件的任何进一步问题。 “Oracle Cloud没有被入侵。发布的凭据不是用于Oracle Cloud的。没有Oracle Cloud客户遭受入侵或丢失任何数据，”该公司上周五对BleepingComputer表示。 然而，这一否认与BleepingComputer的调查结果相矛盾，后者从威胁行为者那里获得了更多泄露数据的样本，并联系了相关公司。 这些公司的代表在承诺匿名的情况下同意确认数据，他们确认了信息的真实性。这些公司表示，相关的LDAP显示名称、电子邮件地址、名字和其他身份信息都是正确的，并且属于他们。 威胁行为者还与BleepingComputer分享了据称是他们与Oracle之间的电子邮件交流。 一封电子邮件显示威胁行为者联系了Oracle的安全电子邮件（[email protected]），报告他们入侵了服务器。 “我已经深入研究了你们的云仪表板基础设施，发现了一个巨大的漏洞，让我获得了600万用户信息的完全访问权限，”BleepingComputer看到的电子邮件中写道。 另一封与BleepingComputer分享的电子邮件显示了威胁行为者与一个使用ProtonMail电子邮件地址的人之间的交流，该人声称来自Oracle。BleepingComputer已对这个人的电子邮件地址进行了遮盖，因为我们无法验证他们的身份或电子邮件交流的真实性。 在这封电子邮件交流中，威胁行为者表示，一个使用@proton.me电子邮件地址的Oracle人告诉他们：“我们收到了你的电子邮件。从现在起，我们使用这个电子邮件进行所有通信。你收到后告诉我。” 网络安全公司Cloudsek还发现了一个Archive.org网址，显示“login.us2.oraclecloud.com”服务器在2025年2月17日之前一直在运行Oracle融合中间件11g。在有关此次据称入侵的报道之后，Oracle已将这台服务器下线。 该软件版本受到一个被追踪为CVE-2021-35587的漏洞的影响，该漏洞允许未认证的攻击者入侵Oracle访问管理器。威胁行为者声称在此次据称入侵Oracle服务器时使用了这个漏洞。 BleepingComputer已多次就这些信息向Oracle发送电子邮件，但尚未收到任何回复。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）因2022年的一次勒索软件攻击，对高级计算机软件集团有限公司处以307万英镑的罚款，该攻击暴露了79,404人的敏感个人数据，其中包括国家医疗服务体系（NHS）的患者数据。 2022年8月初，当包括111紧急服务在内的各种NHS服务出现重大故障时，宣布了此次网络攻击，这表明英国托管服务提供商（MSP）高级计算机软件集团受到了攻击。 高级计算机软件集团为NHS提供了多种患者管理和健康相关产品，如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。 该公司并未透露许多关于哪个勒索软件组织攻击了他们的细节，但在接下来的几天里，显然恢复工作将需要很长时间，即使有Mandiant和微软专家的帮助。 后来证实，LockBit勒索软件组织是此次攻击的幕后黑手，他们利用被盗的凭证在Staffplan Citrix服务器上设置远程桌面协议（RDP）会话，随后横向移动进入组织的环境。 今天，ICO宣布对高级计算机软件集团处以307万英镑（约合395万美元）的罚款，以惩罚其未能保护敏感数据和系统免受黑客攻击。 ICO在其声明中强调了软件供应商未能实施足够的安全措施，以防止导致数据泄露和危及生命的健康服务中断的漏洞。 这些漏洞主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏普遍的多因素认证（MFA）覆盖。 “高级计算机软件集团的子公司安全措施严重不足，不符合我们对处理如此大量敏感信息的组织的期望，”信息专员约翰·爱德华兹表示。 “尽管高级计算机软件集团在许多系统上安装了多因素认证，但覆盖不全面意味着黑客可以进入，使成千上万人的敏感个人信息面临风险。” 值得注意的是，此次对高级计算机软件集团的罚款与2024年8月ICO考虑并宣布的609万英镑（约合774万美元）的罚款相比大幅减少。 然而，此次罚款具有重要意义，因为这是英国首次对数据处理者而非数据控制者处以罚款。 过去ICO对数据控制者处以的显著罚款包括对英国航空公司因2018年数据泄露处以创纪录的2000万英镑罚款，以及对万豪国际酒店因2014年安全事件处以1840万英镑罚款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Abnormal Security 的研究发现，威胁者正在利用一种名为 Atlantis AIO Multi-Checker 的电子犯罪工具，来自动化针对 140 多个平台的凭证填充攻击。 “Atlantis AIO 已经成为网络犯罪分子武器库中的强大武器，能够使攻击者快速连续地测试数百万个被盗凭证，”网络安全公司在分析中表示。 凭证填充是一种网络攻击类型，攻击者收集被盗的账户凭证，通常是用户名或电子邮件地址和密码的列表，然后通过大规模的自动化登录请求，利用这些凭证在不相关的系统上获取未经授权的访问权限。 这些凭证可能来自社交媒体服务的数据泄露，也可能从地下论坛获取，由其他威胁者出售。凭证填充与暴力破解攻击不同，后者围绕使用试错法破解密码、登录凭证和加密密钥。 据 Abnormal Security 称，Atlantis AIO 为威胁者提供了通过预配置模块大规模发起凭证填充攻击的能力，目标是各种平台和基于云的服务，从而促进欺诈、数据盗窃和账户接管。 “Atlantis AIO Multi-Checker 是一种旨在自动化凭证填充攻击的网络犯罪工具，”该公司表示，“它能够大规模测试被盗凭证，能够迅速在 140 多个平台上尝试数百万个用户名和密码组合。” 该程序背后的威胁者还声称，它建立在“经过验证的成功基础之上”，并且他们有成千上万满意的客户，同时向客户保证平台的安全性，以保持他们的购买隐私。 “每个功能、更新和交互都经过精心设计，以超越预期的方式提升您的体验，”他们在官方广告中表示，并补充说“我们不断开创推动前所未有成果的解决方案。” Atlantis AIO 的目标包括像 Hotmail、Yahoo、AOL、GMX 和 Web.de 这样的电子邮件提供商，以及电子商务、流媒体服务、VPN、金融机构和食品配送服务。 另一个值得注意的方面是该工具能够对上述电子邮件平台进行暴力破解攻击，并自动化与 eBay 和 Yahoo 相关的账户恢复流程。 “像 Atlantis AIO 这样的凭证填充工具为网络犯罪分子提供了一条直接的路径，将被盗凭证变现，”Abnormal Security 表示。 “一旦攻击者在各个平台上获得账户访问权限，他们可以以多种方式利用这些账户，例如在暗网市场上出售登录详情、进行欺诈或使用被攻破的账户分发垃圾邮件和发起网络钓鱼活动。” 为了缓解此类攻击带来的账户接管风险，建议实施严格的密码规则，并采用抗网络钓鱼的多因素认证（MFA）机制。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布了带外修复程序，以解决其 Windows 版 Chrome 浏览器中的一个高严重性安全漏洞，该漏洞已被利用，攻击目标是俄罗斯的组织。 该漏洞被追踪为 CVE-2025-2783，被描述为在 Windows 上的 Mojo 中“在未指定情况下提供了不正确的句柄”。Mojo 指的是一组运行时库，为跨平台的进程间通信提供机制。 按照惯例，谷歌并未透露有关攻击性质、攻击者身份以及可能的目标的更多技术细节。该漏洞已在 Windows 版 Chrome 134.0.6998.177/.178 中修复。 “谷歌已意识到有报道称 CVE-2025-2783 的利用程序存在于野外环境，”这家科技巨头在一份简短的公告中承认。 值得注意的是，CVE-2025-2783 是今年年初以来首个被积极利用的 Chrome 零日漏洞。卡巴斯基研究人员 Boris Larin 和 Igor Kuznetsov 因在 2025 年 3 月 20 日发现并报告了这一漏洞而受到赞誉。 这家俄罗斯网络安全厂商在其自身的公告中，将 CVE-2025-2783 的零日漏洞利用描述为技术复杂的目标攻击，表明高级持续威胁（APT）的特征。该活动被追踪为 Operation ForumTroll。 “在所有情况下，感染发生在受害者点击网络钓鱼邮件中的链接后，攻击者的网站使用 Google Chrome 网络浏览器打开，”研究人员表示。“无需进一步操作即可被感染。” “该漏洞的本质在于 Chrome 和 Windows 操作系统交叉点上的逻辑错误，允许绕过浏览器的沙箱保护。” 这些短寿命的链接据说是为目标量身定制的，间谍活动是此次行动的最终目标。卡巴斯基表示，恶意邮件包含据称来自合法科学和专家论坛 Primakov Readings 组织者的邀请。 网络钓鱼邮件针对的是俄罗斯的媒体机构、教育机构和政府组织。此外，CVE-2025-2783 被设计为与另一个促进远程代码执行的漏洞利用程序一起运行。卡巴斯基表示，他们无法获得第二个漏洞利用程序。 “到目前为止分析的所有攻击工件都表明攻击者具有高度复杂性，使我们能够自信地得出结论，一个国家赞助的 APT 组织是此次攻击的幕后黑手，”研究人员表示。 鉴于该漏洞正在被积极利用，建议使用基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在补丁可用时尽快应用修复程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表上发现了两个恶意软件包，它们旨在感染本地安装的另一个软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。 这些软件包分别是 ethers-provider2 和 ethers-providerz。前者自 2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包可能被恶意软件作者自己移除，因此没有吸引任何下载。 “它们是简单的下载程序，恶意载荷隐藏得非常巧妙，”ReversingLabs 研究员 Lucija Valentić 在一份与《黑客新闻》分享的报告中表示。 “有趣的部分在于它们的第二阶段，会‘修补’本地安装的合法 npm 软件包 ethers，用包含恶意载荷的新文件替换。该修补后的文件最终会提供反向 Shell。” 这一发展标志着威胁者战术的新升级，因为即使卸载了恶意软件包，也不会清除受感染机器上的恶意功能，因为更改位于流行的库中。此外，如果用户在 ethers-provider2 仍存在于系统中时卸载了 ethers 软件包，当稍后再次安装该软件包时，存在重新感染的风险。 ReversingLabs 对 ethers-provider2 的分析显示，它不过是广泛使用的 ssh2 npm 软件包的特洛伊版本，在 install.js 中包含恶意载荷，以从远程服务器（“5.199.166[.]1:31337/install”）检索第二阶段恶意软件，将其写入临时文件并运行。 执行后，临时文件会立即从系统中删除，试图避免留下任何痕迹。第二阶段载荷则开始无限循环，检查 npm 软件包 ethers 是否本地安装。 如果该软件包已经存在或新安装，它会通过替换名为 “provider-jsonrpc.js” 的文件之一的伪造版本采取行动，该版本包含额外代码，从同一服务器获取并执行第三阶段。新下载的载荷作为反向 Shell，通过 SSH 连接到威胁者的服务器。 “这意味着，使用此客户端建立的连接在从服务器收到自定义消息后会变成反向 Shell，”Valentić 表示。“即使将软件包 ethers-provider2 从受感染的系统中移除，在某些情况下客户端仍会被使用，为攻击者提供一定程度的持久性。” 在此阶段值得注意的是，npm 注册表上的官方 ethers 软件包并未被破坏，因为恶意修改是在安装后在本地进行的。 第二个软件包 ethers-providerz 也表现出类似的行为，试图修改本地安装的 npm 软件包 “@ethersproject/providers” 相关的文件。该库针对的确切 npm 软件包未知，但源代码引用表明可能是 loader.js。 这些发现揭示了威胁者在开发者系统中提供和持久化恶意软件的新方式，这使得在下载和使用之前仔细审查来自开源存储库的软件包变得至关重要。 “尽管下载量低，但这些软件包功能强大且恶意，”Valentić 表示。“如果它们的使命成功，它们将破坏本地安装的软件包 ethers，即使该软件包被移除，也能在受感染的系统上保持持久性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯语言的黑客组织 RedCurl（又名 Earth Kapre 和 Red Wolf）首次与勒索软件活动相关联，这标志着该威胁组织的攻击手法发生了转变。 这一活动由罗马尼亚网络安全公司 Bitdefender 观察到，涉及部署一种前所未见的勒索软件变种，名为 QWCrypt。 RedCurl 有着针对加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国等多地多个实体进行企业间谍攻击的历史。该组织自至少 2018 年 11 月以来一直活跃。 2020 年，Group-IB 记录的攻击链涉及使用带有 “人力资源”（HR）主题诱饵的鱼叉式网络钓鱼电子邮件来激活恶意软件部署过程。今年 1 月，Huntress 详细描述了该威胁组织针对加拿大多个组织的攻击，以部署名为 RedLoader 的加载程序，该程序具有 “简单的后门功能”。 上个月，加拿大网络安全公司 eSentire 揭露了 RedCurl 使用伪装成简历和求职信的垃圾 PDF 附件，在网络钓鱼信息中利用合法的 Adobe 可执行文件 “ADNotificationManager.exe” 侧载加载程序恶意软件。 Bitdefender 详细描述的攻击过程遵循相同的步骤，使用伪装成简历的可挂载磁盘镜像（ISO）文件来启动多阶段感染程序。在磁盘镜像中存在一个文件，它模仿 Windows 屏保（SCR），但实际上是由 ADNotificationManager.exe 执行的加载程序（“netutils.dll”）使用的二进制文件，通过 DLL 侧载执行。 “执行后，netutils.dll 立即用 open 动词发起 ShellExecuteA 调用，将受害者的浏览器定向到 https://secure.indeed.com/auth，”Bitdefender 技术解决方案总监 Martin Zugec 在一份与《黑客新闻》分享的报告中表示。 “这显示了一个合法的 Indeed 登录页面，这是一个精心设计的干扰，旨在误导受害者认为他们只是在打开简历。这种社会工程手段为恶意软件提供了在未被察觉的情况下运行的窗口。” 加载程序还充当下载程序，用于下载下一阶段的后门 DLL，同时通过计划任务在主机上建立持久性。然后使用程序兼容性助手（pcalua.exe）执行新检索到的 DLL，这种技术在 2024 年 3 月由 Trend Micro 详细描述。 植入物提供的访问权限为横向移动铺平了道路，使威胁者能够在网络中导航、收集情报并进一步升级访问权限。但似乎是一个重大的转变，他们已知的作案手法之一也导致了勒索软件的首次部署。 “这种有针对性的攻击可以被解释为一种试图用最小的努力造成最大损害的尝试，”Zugec 说。“通过加密托管在 hypervisors 上的虚拟机，使其无法启动，RedCurl 有效地禁用了整个虚拟化基础设施，影响所有托管服务。” 勒索软件可执行文件除了采用 “自带易受攻击的驱动程序”（BYOVD）技术来禁用端点安全软件外，还会在启动加密例程之前采取步骤收集系统信息。此外，加密后留下的勒索便条似乎受到 LockBit、HardBit 和 Mimic 团伙的启发。 “这种重复使用现有勒索便条文本的做法引发了关于 RedCurl 团伙的起源和动机的问题，”Zugec 说。“值得注意的是，没有已知的专门泄露网站（DLS）与该勒索软件相关联，目前尚不清楚勒索便条是否代表真正的敲诈企图或是一种转移注意力的手段。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处: 名为 EncryptHub 的威胁组织利用了微软 Windows 中最近修复的安全漏洞作为零日漏洞，来投放包括后门和信息窃取器（如 Rhadamanthys 和 StealC）在内的多种恶意软件家族。 “在这次攻击中，威胁者操纵 .msc 文件和多语言用户界面路径（MUIPath），以下载并执行恶意载荷、维持持久性和从受感染系统中窃取敏感数据，”Trend Micro 研究员 Aliakbar Zahravi 在分析中表示。 所涉及的漏洞是 CVE-2025-26633（CVSS 评分：7.0），微软将其描述为 Microsoft Management Console（MMC）中的不正确中和漏洞，可能允许攻击者在本地绕过安全功能。该公司在本月初的 Patch Tuesday 更新中修复了这一漏洞。 Trend Micro 已将该漏洞利用命名为 MSC EvilTwin，并将疑似俄罗斯活动集群追踪为 Water Gamayun。该威胁组织还被称为 LARVA-208。 CVE-2025-26633 核心上利用了 Microsoft Management Console 框架（MMC），通过名为 MSC EvilTwin 加载程序的 PowerShell 加载程序执行恶意 Microsoft Console（.msc）文件。 具体来说，它涉及加载程序创建两个同名的 .msc 文件：一个干净文件和一个恶意文件，后者被放置在同一个位置但位于名为 “en-US” 的目录中。其想法是，当运行前者时，MMC 会意外地选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径（MUIPath）功能实现的。 “通过滥用 mmc.exe 使用 MUIPath 的方式，攻击者可以为 MUIPath en-US 配备恶意 .msc 文件，导致 mmc.exe 加载并执行恶意文件，而不是原始文件，且在受害者不知情的情况下进行，”Zahravi 解释说。 EncryptHub 还被观察到采用另外两种方法，利用 .msc 文件在受感染系统上运行恶意载荷： – 使用 MMC 的 ExecuteShellCommand 方法在受害者的机器上下载并执行下一阶段的载荷，这种方法此前由荷兰网络安全公司 Outflank 于 2024 年 8 月记录在案。 – 使用伪造的可信目录（如 “C:\Windows \System32”）来绕过用户账户控制（UAC），并投放名为 “WmiMgmt.msc” 的恶意 .msc 文件。 Trend Micro 表示，攻击链可能从受害者下载伪装成合法中国软件（如钉钉或 QQTalk）的数字签名 Microsoft 安装程序（MSI）文件开始，然后用于从远程服务器获取并执行加载程序。据说该威胁组织自 2024 年 4 月以来一直在试验这些技术。 “这场活动正处于积极发展阶段，它采用多种投递方法和定制载荷，旨在维持持久性、窃取敏感数据，然后将其外泄至攻击者的命令与控制（C&C）服务器，”Zahravi 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大安全意识培训提供商Beauceron Security的负责人大卫·希普利（David Shipley）周一回应了美国联邦调查局（FBI）丹佛办事处本月初发布的一则警告，该警告涉及一种利用免费在线文档转换工具窃取信息或向毫无戒心的用户计算机植入恶意软件的骗局的增长。 “使用被污染的网站，这些网站可能试图通过未打补丁的浏览器部署恶意软件，或者使用特洛伊木马程序部署远程访问工具，这些方法是寻找传统带有恶意Office附件的网络钓鱼替代方式的有效手段，”他指出。 为了实施这一骗局，美国联邦调查局表示，“全球的网络犯罪分子正在使用任何类型的免费文档转换或下载工具。这可能是一个声称将一种文件类型转换为另一种的网站，例如将.doc文件转换为.pdf文件。它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 该机构称，除了执行承诺的任务外，恶意工具还会从提交的文件中抓取个人身份信息、银行信息、电子邮件地址和密码。 信息科技研究集团（Info-Tech Research Group）的首席研究总监弗雷德·沙格农（Fred Chagnon）呼应了美国联邦调查局的警告，指出，“使用在线文档转换器的担忧是双重的。首先，也是最突出的是，你无法信任你得到的文件的完整性。即使是恶意服务也会为用户执行实际的转换。” 然而，他说，“生成的PDF文件可能包含嵌入式JavaScript代码，该代码在启动时执行，或者在Word或Excel文档的情况下，Visual Basic代码形式的宏可能隐藏在文档中。端点检测和响应工具可以作为抵御这些恶意程序的一层防御，但这并非万无一失。” 其次，他补充说，无法确定服务对上传文件中的数据做了什么，这些文件可能包含敏感或机密信息。 桑斯技术研究所（SANS Technology Institute）研究院长约翰内斯·乌尔里希（Johannes Ullrich）博士说，“这些攻击很简单。用户被欺骗执行恶意代码，声称该代码是一个文件转换工具。过去，攻击者声称是‘破解软件’（软件的许可证检查被移除）或游戏作弊。” 在这种情况下，他说，“用户通常会在谷歌上搜索一个工具，例如将Word文档转换为PDF。坏人有时会购买谷歌广告，或者操纵搜索排名，使其恶意工具出现在结果列表的顶部。在某些情况下，他们可能会回复像Stackoverflow这样的网站上的问题，以宣传恶意工具。” 一旦受害者执行程序，乌尔里希说，“工具将运行恶意代码。在某些情况下，工具会直接退出，并在用户看来‘损坏’。在其他情况下，工具可能同时执行合法操作和恶意操作。” 此外，美国联邦调查局丹佛办事处的公共事务官员维姬·米戈亚（Vikki Migoya）在电子邮件中表示，“骗子试图模仿合法的网址——只改变一个字母，或者用‘INC’代替‘CO’。过去在搜索引擎中输入‘免费在线文件转换器’的用户容易受到攻击，因为现在用于结果的算法通常包括付费结果，这些结果可能是骗局。” 她说，“在过去的一个月里，丹佛都会区的一个公共部门实体遭到了这种骗局的攻击，并随后遭遇了勒索软件攻击。”她拒绝提供更多细节，指出，“任何其他细节，包括有多少案例或何时首次出现，都会让骗子知道什么对他们有效，以及我们已经发现了他们的哪些骗局。” 网络安全软件和咨询公司Emsisoft的威胁分析师卢克·康诺利（Luke Connolly）说，美国联邦调查局发布警告这一事实很好地表明这个问题相当普遍，应该被严肃对待。 他说，防御措施包括只使用来自可信供应商的服务，在打开来自外部来源的文件之前使用端点保护进行扫描，使用网络保护阻止访问已知的恶意网站，以及仔细检查任何你正在交换信息的网站的网址。 康诺利说，不要“只看标志。骗子使用的域名看起来很可信，但并非如其表面所示，在快速浏览时，‘rn’组合看起来像‘m’。” 希普利补充说，IT部门可以通过解决根本问题来帮助降低风险。“理解业务摩擦痛点，比如文件转换，这有助于改变与同事的关系，将IT和安全部门从令人讨厌的‘不’部门转变为友好的‘知道如何安全地做这件事’部门，”他指出。 他说，简单的答案是IT部门要确保普通用户不能从未经批准的来源安装软件，并且浏览器和操作系统已更新。但他指出，“如果有人认为他们需要为工作做某事而工具没有提供，他们可能会试图绕过控制。”例如，他们可能会将文件电子邮件发送到他们的私人账户，并使用不安全的个人设备进行转换。 降低这种风险的唯一方法是通过用户教育，并提供人们需要的工具，使他们能够成功完成工作，他补充说。 乌尔里希表示同意。他说，用户应该对任何下载的来源保持谨慎，尽可能坚持使用官方应用商店。此外，他说，“组织的安全部门还应通过提供经过审查的工具库来支持用户。反恶意软件可能有帮助，但效果参差不齐。”   消息来源：CSO Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 博通公司（Broadcom）今日发布安全更新，修复了VMware Tools for Windows中的一个高危身份验证绕过漏洞。 VMware Tools是一套专为提升性能、图形显示及整体系统集成而设计的驱动程序和实用工具，适用于在VMware虚拟机中运行的客户操作系统。 该漏洞（CVE-2025-22230）源于访问控制不当，由俄罗斯网络安全公司Positive Technologies的Sergey Bliznyuk报告，该公司因涉嫌交易黑客工具而受到制裁。 具有低权限的本地攻击者可在无需用户交互的低复杂度攻击中利用该漏洞，在易受攻击的虚拟机上获取高权限。 “恶意行为者若在Windows客户虚拟机上拥有非管理员权限，可能会获得在该虚拟机内执行某些高权限操作的能力，”VMware在周二发布的一份安全公告中解释道。 本月早些时候，博通还修复了三个VMware零日漏洞（CVE-2025-22224、CVE-2025-22225和CVE-2025-22226），这些漏洞在攻击中被利用，由微软威胁情报中心报告。 正如公司当时所解释的，拥有特权管理员或root访问权限的攻击者可将这些漏洞串联起来，以逃逸虚拟机的沙箱。 补丁发布数日后，威胁监测平台Shadowserver发现超过37000个暴露在互联网上的VMware ESXi实例易受CVE-2025-22224攻击。 勒索软件团伙和国家赞助的黑客经常以VMware漏洞为目标，因为VMware产品在企业运营中广泛用于存储或传输敏感企业数据。 例如，在11月，博通警告称攻击者正在利用两个VMware vCenter Server漏洞：一个特权提升到root的漏洞（CVE-2024-38813）和一个关键的远程代码执行漏洞（CVE-2024-38812），后者是在2024年中国矩阵杯黑客大赛期间被发现的。 2024年1月，博通还披露称中国国家黑客自2021年底以来一直在利用一个关键的vCenter Server零日漏洞（CVE-2023-34048），在受影响的ESXi系统上部署VirtualPita和VirtualPie后门。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare宣布，其R2对象存储及相关服务出现了一次持续1小时7分钟的故障，导致全球100%的写入请求和35%的读取请求失败。 Cloudflare R2是一种可扩展的、与S3兼容的对象存储服务，具有免费的数据检索、多区域复制以及与Cloudflare的紧密集成等特点。 此次故障发生在UTC时间21:38至22:45之间，据称是由一次凭证轮换操作导致R2网关（API前端）失去对后端存储的认证访问权限所引发的。 具体而言，新凭证被错误地部署到了开发环境而非生产环境，而当旧凭证被删除后，生产服务便失去了有效的凭证。 问题的根源在于遗漏了一个命令行标志’–env production’，这导致新凭证被部署到了生产R2网关工作程序而非生产工作程序。 R2网关工作程序认证示意图（图片来源：Cloudflare） 由于问题的性质以及Cloudflare服务的工作方式，这一错误配置并未立即显现，导致修复工作进一步延迟。 “R2可用性指标的下降是逐渐的，并非立即显而易见，因为之前凭证删除到存储基础设施的传播存在延迟，”Cloudflare在其事件报告中解释道。 “这导致我们最初发现问题存在延迟。在更新旧凭证集后，我们不应依赖可用性指标，而应明确验证R2网关服务用于认证R2存储基础设施的令牌。” 尽管此次事件未导致客户数据丢失或损坏，但仍造成了部分或全部服务降级，影响了以下服务： R2：100%写入请求失败，35%读取请求失败（缓存对象仍可访问） 缓存储备：由于读取请求失败，源流量增加 图片和流媒体：所有上传请求失败，图片传输量降至25%，流媒体降至94% 电子邮件安全、向量化、日志交付、计费、密钥透明度审计员：不同程度的服务降级 为防止类似事件在未来再次发生，Cloudflare改进了凭证日志记录和验证，并强制使用自动化部署工具，以避免人为错误。 公司还正在更新标准操作程序（SOP），要求对凭证轮换等高影响操作进行双重验证，并计划增强健康检查，以便更快地发现根本原因。 Cloudflare的R2服务在2月也曾因人为错误导致1小时的故障。 当时，一名操作员在处理有关服务中钓鱼URL的滥用报告时，关闭了整个R2网关服务，而不是仅阻止特定端点。 由于缺乏对高影响操作的安全保障和验证检查，导致了此次故障，促使Cloudflare计划并实施额外措施，以改进账户配置、更严格的访问控制以及对高风险操作的两方批准流程。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CrushFTP向客户发出警告，称存在一个未授权的HTTP(S)端口访问漏洞，并敦促他们立即更新服务器。 正如该公司在上周五发给客户的一封电子邮件中所解释的（BleepingComputer已看到该邮件），如果未打补丁的服务器通过HTTP(S)暴露在互联网上，该安全漏洞将使攻击者能够获得未授权的访问权限。 “请立即采取行动尽快打补丁。今天（2025年3月21日）已解决一个漏洞。所有CrushFTP v11版本均受影响。（没有更早的版本受到影响。）即将生成CVE编号，”该公司警告道。 “这个漏洞的核心在于暴露的HTTP(S)端口可能导致未授权访问。如果你启用了CrushFTP的DMZ功能，该漏洞将得到缓解。” 尽管邮件称此漏洞仅影响CrushFTP v11版本，但同一天发布的安全公告却指出，CrushFTP v10和v11均受影响，正如网络安全公司Rapid7首次指出的那样。 作为临时解决方案，那些无法立即更新至CrushFTP v11.3.1+（该版本修复了该漏洞）的用户可以启用DMZ（非军事区）外围网络选项来保护其CrushFTP实例，直到安全更新得以部署。 根据Shodan的数据显示，有超过3400个CrushFTP实例的Web界面暴露在互联网上，容易受到攻击，尽管BleepingComputer无法确定其中有多少已经打过补丁。 暴露在互联网上的CrushFTP实例（Shodan数据） 在2024年4月，CrushFTP还发布了安全更新，修复了一个正在被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未授权的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。 当时，网络安全公司CrowdStrike发现了指向情报收集活动的证据，很可能是出于政治动机，攻击者针对了美国多个组织的CrushFTP服务器。 美国网络安全和基础设施安全局（CISA）将CVE-2024-4040添加到了其已知被利用漏洞目录中，并命令美国联邦机构在一周内确保其网络中易受攻击的服务器安全。 在2023年11月，CrushFTP客户还被警告要修复其企业套件中的一个严重远程代码执行漏洞（CVE-2023-43177），在该漏洞被修复三个月后，报告该漏洞的Converge安全研究人员发布了一个概念验证利用。 像CrushFTP这样的文件传输产品是勒索软件团伙的诱人目标，特别是Clop团伙，该团伙与针对MOVEit Transfer、GoAnywhere MFT、Accelion FTA和Cleo软件中的零日漏洞的数据盗窃攻击有关联。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云安全公司Wiz披露了Kubernetes Ingress NGINX控制器中存在的一组五个严重安全漏洞，这些漏洞可能导致无认证的远程代码执行，使超过6500个集群面临风险，因为该组件暴露在公共互联网上。 这些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974）被统称为IngressNightmare，CVSS评分为9.8。值得注意的是，这些缺陷不影响NGINX Ingress控制器，后者是NGINX和NGINX Plus的另一种Ingress控制器实现。 “利用这些漏洞，攻击者可以未经授权访问Kubernetes集群中所有命名空间中存储的所有机密，可能导致集群被接管，”该公司在一份与The Hacker News共享的报告中表示。 IngressNightmare主要影响Kubernetes Ingress NGINX控制器的准入控制器组件。大约43%的云环境容易受到这些漏洞的影响。 Ingress NGINX控制器使用NGINX作为反向代理和负载均衡器，使其能够将HTTP和HTTPS路由从集群外部暴露给内部服务。 该漏洞利用了部署在Kubernetes pod中的准入控制器在没有认证的情况下可通过网络访问的事实。 具体来说，它涉及通过直接向准入控制器发送恶意Ingress对象（也称为AdmissionReview请求），远程注入任意NGINX配置，从而在Ingress NGINX控制器的pod上执行代码。 “准入控制器的高权限和不受限制的网络可访问性创建了一个关键的升级路径，”Wiz解释道。“利用这个缺陷，攻击者可以执行任意代码并访问所有跨命名空间的集群机密，这可能导致完整的集群接管。” 这些缺陷如下： CVE-2025-24513（CVSS评分：4.8）——一个不正确的输入验证漏洞，可能导致容器内的目录遍历，结合其他漏洞可能导致拒绝服务（DoS）或有限的集群机密对象披露 CVE-2025-24514（CVSS评分：8.8）——auth-url Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1097（CVSS评分：8.8）——auth-tls-match-cn Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1098（CVSS评分：8.8）——mirror-target和mirror-host Ingress注解可用于将任意配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1974（CVSS评分：9.8）——无需凭据或管理访问权限即可实现集群接管 在一个实验性的攻击场景中，威胁行为者可以利用NGINX的客户端请求体缓冲功能，以共享库的形式将恶意载荷上传到pod，然后向准入控制器发送AdmissionReview请求。 该请求包含上述配置指令注入之一，导致共享库被加载，从而实现远程代码执行。 Wiz的云安全研究员Hillai Ben-Sasson告诉The Hacker News，攻击链本质上涉及注入恶意配置，并利用它读取敏感文件和运行任意代码。这随后可能允许攻击者滥用强服务账户以读取Kubernetes机密并最终促进集群接管。 在一份独立的咨询报告中，Kubernetes安全响应委员会表示，除了CVE-2025-1974之外的所有漏洞都涉及改进Ingress NGINX处理某些配置参数的方式。另一方面，CVE-2025-1974可以与其他漏洞结合，无需凭据或管理访问权限即可实现集群接管。 在负责任地披露后，这些漏洞已在Ingress NGINX Controller版本1.12.1、1.11.5和1.10.7中得到修复。 建议用户尽快更新到最新版本，并确保准入网络钩子端点不被外部暴露。 作为缓解措施，建议仅允许Kubernetes API服务器访问准入控制器，并在不需要时暂时禁用准入控制器组件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年11月至2025年2月期间，国际刑警组织在贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚等七个非洲国家开展了一项代号为“红牌行动”的国际行动，共逮捕了306名嫌疑人，并查获了1842台设备。 国际刑警组织表示，此次协调一致的行动“旨在打击和瓦解对个人和企业造成重大危害的跨境犯罪网络”，并指出其重点针对移动银行、投资和消息传递应用的诈骗。 这些网络诈骗涉及5000多名受害者。参与行动的国家包括贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚。 “红牌行动”的成功表明，在打击没有国界且可能对个人和社区造成毁灭性影响的网络犯罪方面，国际合作的力量，”国际刑警组织网络犯罪局局长尼尔·杰顿表示。“重要资产和设备的追回以及关键嫌疑人的逮捕，向网络犯罪分子发出了强烈信息，即他们的行为不会不受惩罚。” 在打击行动中，尼日利亚警方逮捕了130人，其中包括113名外国人，他们涉嫌参与在线赌场和投资诈骗。一些在诈骗中心工作的人据说是人口贩卖的受害者，并被迫实施非法计划。 另一个值得注意的行动是，南非当局逮捕了40人，并查获了1000多张用于大规模短信钓鱼攻击的SIM卡。 在其他地方，赞比亚官员逮捕了14名涉嫌犯罪团伙成员，他们通过短信钓鱼链接安装恶意软件，入侵受害者的手机并获得其银行应用的未经授权访问权限。Group-IB表示，该恶意软件还使犯罪分子能够控制消息传递应用，从而将欺诈链接传播给其他人。 俄罗斯网络安全厂商卡巴斯基指出，已与国际刑警组织分享了其对一款针对非洲国家用户的恶意Android应用的分析以及相关基础设施的信息。 此外，卢旺达当局逮捕了45名犯罪网络成员，他们因参与社会工程诈骗而被指控，在2024年骗取受害者超过30.5万美元。在被盗资金中，已追回103,043美元，并查获292台设备。 国际刑警组织表示：“他们的手段包括冒充电信员工并声称虚假的‘中奖’来获取敏感信息并访问受害者的移动银行账户。”“另一种方法是冒充受伤的家庭成员，向亲属请求资金以支付医院账单。” 逮捕消息传出之际，正值国际刑警组织几周前宣布与非洲开发银行集团建立合作伙伴关系，以更好地打击该地区的腐败、金融犯罪、网络诈骗和洗钱行为。 本月早些时候，泰国皇家警察和新加坡警察逮捕了一名在全球范围内造成90多起数据泄露事件的个人，其中包括65起在亚太地区。该威胁行为者于2020年12月4日首次公开出现，使用别名ALTDOS、mystic251、DESORDEN、GHOSTR和0mid16B进行活动。 这些攻击涉及使用SQL注入工具（如SQLmap）获取敏感数据，随后部署Cobalt Strike Beacons以持续控制被攻破的主机。 Group-IB在一份详细说明该威胁行为者作案手法的报告中表示：“他针对面向互联网的Windows服务器，专门搜索包含个人信息的数据库。”“在攻破这些服务器后，他窃取了受害者的数据，在某些情况下，还在被攻破的服务器上对其进行了加密。” 这些攻击的最终目标是获取经济利益，迫使受害者要么支付赎金，要么冒着其机密数据被公开的风险。来自孟加拉国、加拿大、印度、印度尼西亚、马来西亚、巴基斯坦、新加坡、泰国和美国的多个实体的数据在CryptBB、RaidForums和BreachForums等暗网论坛上被泄露。 Group-IB研究人员指出：“在他所有四个别名中一个持续的细节是其发布被盗数据截图的方法。”“无论他如何重新品牌化，他始终直接从同一台设备上传图像，揭示了一个关键的操作指纹。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警示一项Android恶意软件活动，该活动利用微软的.NET多平台应用UI（.NET MAUI）框架，制作假冒银行和社交媒体应用，目标是印度和说中文的用户。 “这些威胁伪装成合法应用，针对用户窃取敏感信息，”McAfee Labs研究员Dexter Shin表示。 .NET MAUI是微软的跨平台桌面和移动应用框架，使用C#和XAML创建原生应用。它是Xamarin的进化版，具备通过单个项目创建多平台应用的能力，并在必要时加入特定平台的源代码。 值得注意的是，Xamarin的官方支持已于2024年5月1日结束，科技巨头敦促开发者迁移到.NET MAUI。 过去曾检测到使用Xamarin实现的Android恶意软件，而最新发展表明，威胁行为者正在通过使用.NET MAUI开发新恶意软件，不断调整和改进其战术。 “这些应用的核心功能完全用C#编写，并以二进制大对象形式存储，”Shin表示。“这意味着与传统Android应用不同，其功能不存在于DEX文件或原生库中。” 这为威胁行为者带来了新优势，因为.NET MAUI充当打包器，使恶意软件能够逃避检测，并在受害设备上长期存在。 基于.NET MAUI的Android应用，统称为FakeApp，及其关联的软件包名称如下： X (pkPrIg.cljOBO) 迷城 (pCDhCg.cEOngl) X (pdhe3s.cXbDXZ) X (ppl74T.cgDdFK) Cupid (pommNC.csTgAT) X (pINUNU.cbb8AK) 私密相册 (pBOnCi.cUVNXz) X•GDN (pgkhe9.ckJo4P) 迷城 (pCDhCg.cEOngl) 小宇宙 (p9Z2Ej.cplkQv) X (pDxAtR.c9C6j7) 迷城 (pg92Li.cdbrQ7) 依恋 (pZQA70.cFzO30) 慢夜 (pAQPSN.CcF9N3) indus credit card (indus.credit.card) Indusind Card (com.rewardz.card) 没有证据表明这些应用已分发至Google Play。相反，主要传播方式是诱骗用户点击通过消息应用发送的虚假链接，这些链接将毫无戒心的接收者重定向至非官方应用商店。 在McAfee强调的一个例子中，该应用伪装成印度金融机构，收集用户敏感信息，包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。 另一款应用则模仿社交媒体网站X，从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店，针对说中文的用户。 除了使用加密套接字通信将收集的数据传输至命令与控制（C2）服务器外，恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限（例如“android.permission.LhSSzIw6q”），试图破坏分析工具。 为保持不被检测，还使用了一种称为多级动态加载的技术，利用XOR加密的加载程序启动AES加密的有效载荷，后者又加载设计用于执行恶意软件的.NET MAUI程序集。 “主要有效载荷最终隐藏在C#代码中，”Shin表示。“当用户与应用交互，例如按下按钮时，恶意软件会悄悄窃取他们的数据并发送至C2服务器。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新调查发现，一种名为Raspberry Robin的恶意软件与近200个独特的命令与控制（C2）域名相关联。 “Raspberry Robin（也被称为Roshtyak或Storm-0856）是一个复杂且不断演变的威胁行为者，为众多犯罪团伙提供初始访问代理（IAB）服务，其中许多团伙与俄罗斯有联系，”Silent Push在一份与The Hacker News共享的报告中表示。 自2019年出现以来，该恶意软件已成为SocGholish、Dridex、LockBit、IcedID、BumbleBee和TrueBot等恶意软件的传播渠道。它还被称为QNAP蠕虫，因为它利用被攻破的QNAP设备来获取有效载荷。 多年来，Raspberry Robin的攻击链增加了一种新的分发方式，即通过Discord消息服务发送的附件中的存档和Windows脚本文件下载，此外还获取了一天漏洞来实现本地权限提升，这些漏洞在公开披露之前就被利用。 也有证据表明，该恶意软件作为按安装付费（PPI）的僵尸网络提供给其他行为者，以分发下一阶段的恶意软件。 此外，Raspberry Robin感染还纳入了一种基于USB的传播机制，即使用包含伪装成文件夹的Windows快捷方式（LNK）文件的被攻破的USB驱动器来激活恶意软件的部署。 美国政府已经透露，被追踪为Cadet Blizzard的俄罗斯国家级威胁行为者可能使用Raspberry Robin作为初始访问促进器。 Silent Push在其与Team Cymru共同进行的最新分析中发现了一个用于连接所有被攻破的QNAP设备的数据中继IP地址，最终发现了超过180个独特的C2域名。 “这个单一IP地址通过Tor中继连接，这可能是网络运营商发布新命令并与被攻破设备交互的方式，”该公司表示。“用于此中继的IP位于一个欧盟国家。” 对基础设施的深入调查表明，Raspberry Robin的C2域名很短，例如q2[.]rs、m0[.]wf、h0[.]wf和2i[.]pm，并且它们在被攻破的设备和IP之间快速轮换，使用一种称为快速通量的技术，以使它们难以被关闭。 Raspberry Robin的一些顶级域名（TLD）包括.wf、.pm、.re、.nz、.eu、.gy、.tw和.cx，域名使用Sarek Oy、1API GmbH、NETIM、Epag[.]de、CentralNic Ltd和Open SRS等小众注册商注册。大多数已识别的C2域名的域名服务器位于一家名为ClouDNS的保加利亚公司。 “Raspberry Robin被俄罗斯政府威胁行为者使用，与其与无数其他严重威胁行为者合作的历史相符，其中许多与俄罗斯有联系，”该公司表示。“这些包括LockBit、Dridex、SocGholish、DEV-0206、Evil Corp（DEV-0243）、Fauppod、FIN11、Clop Gang和Lace Tempest（TA505）。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月底，安全研究人员首次发现了一种名为SvcStealer 2025的恶意软件。该恶意软件通过鱼叉式网络钓鱼（Spear Phishing）邮件附件传播，专门窃取受感染系统中的大量个人和财务信息，包括设备数据、已安装的软件、用户凭据、加密货币钱包和浏览器数据。 SvcStealer采取系统化的方式进行数据盗取，逐步从各种应用程序中提取信息，然后将其压缩并通过命令与控制（C2）服务器外传。 在成功收集数据后，SvcStealer还具备下载额外恶意软件载荷的能力，从而将其威胁能力从数据窃取扩展到进一步的恶意活动。 SEQRITE的研究人员在常规威胁狩猎操作中识别出了SvcStealer。他们注意到该恶意软件使用Microsoft Visual C++编写，同时具备逃避检测的能力。通过终止监控进程并删除活动痕迹，SvcStealer能够绕过安全工具的检测。 感染系统后，SvcStealer会通过算术运算，从受害者的卷序列号中生成一个独特的11字节字母数字值。 SvcStealer基于卷序列号生成文件夹名称的代码（来源：SEQRITE） SvcStealer展现了其高度复杂的数据外传设计。它在收集到敏感信息后，将数据存储在**ProgramData**目录下，以生成的唯一文件夹名称命名。 它的目标包括： – 多个浏览器（Chrome、Edge、Brave）中的加密货币钱包 – 通信平台（Telegram、Discord）中的数据 – 各类浏览器中的用户凭据 – 系统截图和运行进程信息 SvcStealer收集信息后的文件夹结构（来源：SEQRITE） 随后，SvcStealer会将收集到的数据压缩为ZIP文件，并通过端口80与C2服务器（IP地址：185.81.68.156 或 176.113.115.149）建立连接。 压缩后的信息文件示意图（来源：SEQRITE） 它使用HTTP POST请求，并采用`Content-Type: multipart/form-data`的方式，将被窃取的数据伪装成普通的网络流量进行传输。 下载其他恶意软件家族的示意图（来源：SEQRITE） 为了维持持久性，SvcStealer会持续向其C2服务器发送信号，等待进一步的命令。这些命令可能包括下载额外的恶意软件载荷，进一步扩大感染范围或实施其他恶意活动。 安全专家建议用户对可疑邮件附件保持高度警惕，并采用高级终端保护解决方案来防御此类新兴威胁。定期更新安全软件和系统补丁、加强员工的网络安全意识培训，也是减少攻击风险的有效方式。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国家铁路运营商Ukrzaliznytsia遭受大规模网络攻击，导致通过移动应用和网站购买车票的在线服务中断。 事件迫使人们前往售票亭购买纸质车票，造成拥挤、延误、长时间排队和不满。 由于火车是乌克兰国内和国际旅行中唯一可靠且相对安全的交通方式，此次网络攻击影响重大，Daryna Antoniuk报道。 Ukrzaliznytsia在多个通信渠道的官方声明中确认，中断始于昨日，并为造成的不便道歉。 该组织已增加售票点工作人员以应对突然增加的服务需求，但队伍仍很长。 军事人员可在列车上向列车长购票，以免影响其行动。 网络攻击前已在线购票但无法下载的乘客，建议使用发送到邮箱的PDF副本，或在发车前20分钟到火车站向工作人员说明情况。 明天出行的乘客被要求不要在今天涌向售票处，工作人员正在努力满足今天出行乘客的需求。 Ukrzaliznytsia网站上的公告 尽管在线售票平台出现问题，Ukrzaliznytsia在公告中指出，网络攻击并未影响列车运营。 该组织强调，过去几年遭受的多次网络攻击增强了其应对协议和韧性。 “敌人的主要目标失败了：列车运行稳定，准点运行无延误，所有运营流程已切换到备份模式，”Ukrzaliznytsia的最新更新写道。 “尽管铁路基础设施遭受物理攻击，铁路仍在继续运营，即使是最狡猾的网络攻击也无法阻止它。” “由于Ukrzaliznytsia以前曾是敌方网络攻击的目标，公司内部已实施了备份协议。” 该组织称此次攻击“高度系统化且多层”，并保证正在与SBU网络安全部门和政府计算机应急响应小组（CERT-UA）的专家合作，以填补安全漏洞并恢复受影响的系统。然而，目前尚未提供具体的恢复时间表。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Next.js React框架中存在一个严重的安全漏洞，在特定条件下可能被利用来绕过授权检查。 该漏洞被追踪为CVE-2025-29927，CVSS评分为9.1（满分10.0）。 Next.js在咨询报告中称：“Next.js使用内部标头x-middleware-subrequest来防止递归请求引发无限循环。” “有可能跳过中间件运行，这可能允许请求在到达路由之前跳过关键检查，例如授权cookie验证。” 该问题已在12.3.5、13.5.9、14.2.25和15.2.3版本中得到解决。如果无法更新补丁，建议用户阻止包含x-middleware-subrequest标头的外部用户请求到达Next.js应用程序。 发现并报告该漏洞的安全研究员Rachid Allam（又名zhero和cold-try）已发布更多技术细节，这使得用户迫切需要迅速应用修复措施。 JFrog表示：“该漏洞允许攻击者轻松绕过在Next.js中间件中执行的授权检查，可能使攻击者能够访问为管理员或其他高权限用户预留的敏感网页。” 该公司还表示，任何使用中间件授权用户而没有额外授权检查的托管网站都容易受到CVE-2025-29927的攻击，可能使攻击者能够访问通常无法访问的资源（例如管理员页面）。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文