HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一个新兴的人工智能（AI）辅助勒索软件家族——FunkSec，该家族于2024年末崭露头角，至今已造成85名以上受害者。 Check Point Research在与The Hacker News分享的最新报告中指出：“该团伙采用双重勒索战术，结合数据窃取与加密手段，向受害者施压以索取赎金。值得注意的是，FunkSec要求的赎金异常低廉，有时低至1万美元，并以折扣价将窃取的数据出售给第三方。” 2024年12月，FunkSec推出了数据泄露网站（DLS），以“集中化”其勒索软件运营，发布泄露公告，提供分布式拒绝服务（DDoS）攻击定制工具，并作为勒索软件即服务（RaaS）模式的一部分，推出定制勒索软件。 受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示，这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。 据Halcyon称，FunkSec的特点在于，它既是勒索软件团伙，又是数据掮客，以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。 已确定该RaaS团伙中的部分成员从事黑客活动，这凸显了黑客主义与网络犯罪之间界限的持续模糊，正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。 他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动保持一致，并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物： Scorpion（又名DesertStorm），一名疑似来自阿尔及利亚的参与者，曾在地下论坛如Breached Forum上宣传该团伙。 El_farado，在DesertStorm被Breached Forum封禁后，成为宣传FunkSec的主要人物。 XTN，一名可能的同伙，参与了一项尚不清楚的“数据分类”服务。 Blako，被DesertStorm与El_farado一同标记。 Bjorka，一名印尼知名黑客活动分子，其别名被用于在DarkForums上声称与FunkSec相关的泄露，这可能指向松散的隶属关系或他们试图冒充FunkSec。 该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具。 Check Point指出：“包括加密器在内的该团伙工具的开发可能得到了AI的辅助，这有助于他们快速迭代，尽管开发者显然缺乏技术专长。” 名为FunkSec V1.5的最新勒索软件版本用Rust编写，相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现，勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的，可能是开发者本人所为，这表明威胁行为者来自该国。 勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件，但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。 Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示：“2024年是勒索软件团伙非常成功的一年，与此同时，全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙，在12月成为最活跃的勒索软件团伙，模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使，FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌，尽管其活动的真正成功性仍高度可疑。” 与此同时，Forescout详细描述了Hunters International的一次攻击，该攻击可能利用Oracle WebLogic Server作为初始入口点，投放China Chopper web shell，然后用于执行一系列后利用活动，最终导致勒索软件的部署。 Forescout表示：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   近日，网络安全研究人员详细披露了一个现已修复的安全漏洞，该漏洞影响三星智能手机上的Monkey’s Audio（APE）解码器，可能导致代码执行。 此高严重性漏洞被追踪为CVE-2024-49415（CVSS评分：8.1），影响运行Android 12、13和14版本的三星设备。 三星在其2024年12月发布的月度安全更新公告中称：“在SMR Dec-2024 Release 1之前的libsaped.so中存在越界写入漏洞，允许远程攻击者执行任意代码。该补丁增加了适当的输入验证。” 发现并报告此漏洞的谷歌Project Zero研究人员娜塔莉·西尔瓦诺维奇表示，在特定条件下，该漏洞无需用户交互即可触发（即零点击），并构成了一个“有趣的新攻击面”。 特别是，当谷歌信息应用配置为富通信服务（RCS），即Galaxy S23和S24手机的默认配置时，该漏洞便会生效，因为转录服务会在用户与消息互动以进行转录之前，对传入的音频进行本地解码。 “libsaped.so中的saped_rec函数向由C2媒体服务分配的dmabuf写入数据，该dmabuf的大小始终显示为0x120000，”西尔瓦诺维奇解释道。 “虽然libsapedextractor提取的最大blocksperframe值也限制在0x120000以内，但如果输入样本的字节数为24，saped_rec最多可以写入3 * blocksperframe字节。这意味着，一个具有较大blocksperframe大小的APE文件可能会严重溢出此缓冲区。” 在假设的攻击场景中，攻击者可以通过谷歌信息应用向任何启用了RCS的目标设备发送特制的音频消息，从而导致其媒体编解码器进程（“samsung.software.media.c2”）崩溃。 三星2024年12月的补丁还修复了SmartSwitch中的另一个高严重性漏洞（CVE-2024-49413，CVSS评分：7.1），该漏洞可能会被本地攻击者利用，通过不正当的加密签名验证来安装恶意应用程序。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周五指控三名俄罗斯国民涉嫌运营加密货币混淆服务Blender.io和Sinbad.io。 罗曼·维塔利耶维奇·奥斯塔彭科和亚历山大·叶夫根尼耶维奇·奥列伊尼克于2024年12月1日在荷兰金融情报与调查局、芬兰国家调查局和FBI的协调下被捕。 两人的被捕地点未公开。第三名嫌疑人安东·维亚切拉维奇·塔拉索夫仍在逃。 被告被指控运营加密货币混淆器（又称“搅拌器”），这些服务成为“清洗犯罪所得资金”的避风港，包括勒索软件和电信诈骗所得，从而使国家支持的黑客团体和网络犯罪分子能够从其恶意活动中获利。 具体而言，他们允许付费用户以掩盖加密货币来源和资金源自各种网络犯罪事实的方式，将加密货币发送给指定收款人。 美国佐治亚州北区检察官瑞安·K·布坎南表示：“Blender.io和Sinbad.io涉嫌被全球罪犯用于清洗从勒索软件受害者、虚拟货币失窃案和其他犯罪中窃取的资金。” Blender于2018年推出，2022年5月被美国财政部制裁，原因是与朝鲜有关联的拉扎勒斯集团利用该服务清洗网络犯罪所得，包括一起针对Ronin Bridge的黑客攻击所得。 “该服务在一个流行的互联网论坛上宣传称拥有‘无日志政策’，并会删除用户交易的所有痕迹，”司法部表示，“此外，广告中描述称，Blender不要求用户注册、登录或‘提供除接收地址外的任何详细信息！’” Blender还被指控为与俄罗斯有关的勒索软件团伙（如TrickBot、Conti（前身为Ryuk）、Sodinokibi（又称REvil）和Gandcrab）提供洗钱便利。虽然Blender在制裁公告发布前一个月停止运营，但区块链情报公司Elliptic在2023年5月透露，该服务“极有可能”在2022年10月初以Sinbad的名义重新命名并推出。 一年多后，国际执法机构查封了与Sinbad相关的在线基础设施，并对该混淆器处以制裁，因其处理了价值数百万美元的来自拉扎勒斯集团抢劫案的虚拟货币。 55岁的奥斯塔彭科被指控一项洗钱共谋罪和两项经营未获授权的资金转账业务罪。 44岁的奥列伊尼克和32岁的塔拉索夫被指控一项洗钱共谋罪和一项经营未获授权的资金转账业务罪。如被定罪，这三名被告均面临每项指控最高25年的监禁。 此消息传出之际，Chainalysis表示，在与加拿大执法部门合作的“Spincaster行动”和“DeCloak行动”中，已确认超过1100名加密货币诈骗受害者，估计总损失超过2500万美元。 在这些诈骗中，骗子通常会指示受害者设立自己的自托管钱包，在加拿大的集中式交易所购买加密货币，并将这些资金发送到自托管钱包。 Chainalysis表示：“骗子向受害者付款，诱使他们将资金存入自托管钱包。然后，骗子诱使受害者将加密货币发送到目标地址，从而榨干受害者的钱包/资金。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，正对一家“境外威胁行为组织”采取法律行动，因该组织运营了一项“黑客即服务”基础设施，故意绕过其生成式人工智能（AI）服务的安全控制，制作攻击性和有害内容。 这家科技巨头的数字犯罪部门（DCU）表示，已观察到这些威胁行为者“开发了复杂的软件，利用从公共网站上抓取到的暴露的客户凭证”，并“试图识别和非法访问某些生成式AI服务的账户，故意篡改这些服务的功能”。 随后，这些对手利用Azure OpenAI服务等，通过向其他恶意行为者出售访问权限来获利，并为他们提供如何使用这些定制工具生成有害内容的详细指导。微软表示，其于2024年7月发现了这一活动。 微软表示，自那以后，已撤销了该威胁行为组织的访问权限，实施了新的应对措施，并加强了保障措施，以防止此类活动在未来再次发生。同时，微软还表示已获得法院命令，查封了该组织犯罪活动的核心网站（“aitism[.]net”）。 随着OpenAI ChatGPT等AI工具的普及，威胁行为者滥用这些工具进行恶意活动的现象也屡见不鲜，从制作违禁内容到开发恶意软件等。微软和OpenAI曾多次披露，来自中国、伊朗、朝鲜和俄罗斯的国家组织正在利用他们的服务进行侦察、翻译和虚假信息宣传活动。 法院文件显示，至少有三名未知人员参与了此次活动，他们利用窃取的Azure API密钥和客户Entra ID认证信息侵入微软系统，违反可接受使用政策，使用DALL-E创建有害图像。据信，还有另外七方使用了他们提供的服务和工具进行类似活动。 目前尚不清楚这些API密钥是如何被窃取的，但微软表示，被告从包括多家美国公司在内的多个客户那里进行了“系统性API密钥盗窃”，其中一些公司位于宾夕法尼亚州和新泽西州。 微软在一份文件中表示：“被告使用属于美国微软客户的被盗Microsoft API密钥，创建了一个‘黑客即服务’计划，该计划可通过‘rentry.org/de3u’和‘aitism.net’等基础设施访问，专门用于滥用微软的Azure基础设施和软件。” 一个现已被删除的GitHub存储库显示，de3u被描述为“具有反向代理支持的DALL-E 3前端”。该GitHub账户于2023年11月8日创建。 据说，在查封“aitism[.]net”后，这些威胁行为者采取了“掩盖行踪”的措施，包括试图删除某些Rentry.org页面、de3u工具的GitHub存储库以及反向代理基础设施的部分内容。 微软指出，这些威胁行为者使用de3u和一款名为oai反向代理的定制反向代理服务，利用被盗的API密钥向Azure OpenAI Service API发出请求，以文本提示非法生成数千张有害图像。目前尚不清楚创建了何种类型的攻击性图像。 运行在服务器上的oai反向代理服务旨在通过Cloudflare隧道将de3u用户计算机的通信传输到Azure OpenAI Service，并将响应传回用户设备。 “de3u软件允许用户通过简单的用户界面发出Microsoft API调用，利用Azure API访问Azure OpenAI Service，使用DALL-E模型生成图像，”微软解释道。 “被告的de3u应用程序使用未记录的Microsoft网络API与Azure计算机通信，发送旨在模仿合法Azure OpenAPI Service API请求的请求。这些请求使用被盗的API密钥和其他认证信息进行身份验证。” 值得一提的是，Sysdig于2024年5月指出，使用代理服务非法访问大型语言模型（LLM）服务与针对Anthropic、AWS Bedrock、Google Cloud Vertex AI、Microsoft Azure、Mistral和OpenAI等AI服务的LLMjacking攻击活动有关，这些攻击活动利用了被盗的云凭证，并将访问权限出售给其他行为者。 微软表示：“被告通过协调一致和持续的非法活动模式，开展Azure滥用企业的相关事务，以实现其共同的非法目的。” “被告的非法活动模式不仅限于对微软的攻击。微软迄今发现的证据表明，Azure滥用企业一直在瞄准并侵害其他AI服务提供商。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一家领先的教育软件制造商承认其 IT 环境在一次网络攻击中遭到破坏，学生和教师的个人数据（包括一些社会安全号码和医疗信息）被盗。 PowerSchool 称，其基于云的学生信息系统被包括美国和加拿大在内的全球 18000 家客户用于处理 6000 多万 K-12 学生和教师的评分、出勤记录和个人信息。 12 月 28 日，有人 “使用被泄露的凭证 ”进入了该系统并访问了其中的内容，这家总部位于加利福尼亚州的公司在本周 Register 看到的一封电子邮件中告诉其客户。 一位学校首席技术官今天对 El Reg 说：“我很想看到更多关于发生在最大的学生信息系统供应商之一身上的这一严重安全漏洞的报道，”他补充说： “PowerSchool 很可能违反了他们与学区签署的数据隐私协议。联邦和州一级也有一些涉及学生隐私的法律。” 这位负责人说，该软件开发商用了近两周的时间来提醒客户，目前他们学校正在开展工作，以确定入侵的全部程度。 在加拿大，至少多伦多地区教育局向学生和教职员工发送了一份说明，警告 PowerSchool 遭受了 “2024 年 12 月 22 日至 28 日之间的数据泄露”。 未经授权的行为者提取了学生信息系统数据库中的两个表。 与此同时，PowerSchool 告诉我们，有人利用上述被盗凭证从其信息系统中复制了人们的私人信息。 一位发言人告诉我们：“我们认为，未经授权的行为者在学生信息系统数据库中提取了两张表。这些表格主要包括联系信息，数据元素包括家庭和教育工作者的姓名和地址信息。” “对于部分客户，这些表格可能还包括社会安全号、其他个人身份信息以及有限的医疗和成绩信息。” “并非所有 PowerSchool 学生信息系统的客户都受到影响，我们预计只有一部分受影响的客户有通知义务。” 该供应商表示，这不是一次涉及勒索软件或利用软件漏洞的攻击，而是一次相当直接的网络渗透。该公司已请一家独立的安全公司对其系统进行全面审计，并了解具体发生了什么情况以及谁受到了影响。 开发商告诉客户：“我们预计数据不会被共享或公开，我们相信数据已经被删除，不会再有任何复制或传播。” 开发人员告诉客户：“我们还停用了受影响的凭据，并限制了对受影响门户网站的所有访问。最后，我们对所有 PowerSource 客户支持门户账户进行了全面的密码重置，并进一步加强了密码和访问控制。” PowerSchool 表示，“根据监管和合同义务”，任何受影响的成年人都将获得免费的信用监控服务，而未成年人则将获得一家未具名身份保护服务公司的订阅服务。 有趣的是，安全机构 Cyble 认为，这次入侵可能比迄今为止公开承认的更为严重，持续时间也更长。 这家网络安全厂商一直在监控黑帽黑客论坛，并表示从研究结果来看，这次入侵最早可能发生在 2011 年 6 月 16 日，而数字入侵则在今年 1 月 2 日结束。 Cyble 的威胁情报主管考斯图布-梅德（Kaustubh Medhe）说，有证据表明，“旨在渗透系统并提取有价值信息的数据窃取恶意软件 ”被用于攻击 PowerSchool 的员工和/或用户。 据悉，“Oracle Netsuite ERP、HR 软件 UltiPro、Zoom、Slack、Jira、GitLab 等关键系统和应用程序，以及 Microsoft 登录、LogMeIn、Windows AD Azure 和 BeyondTrust 等平台的敏感凭据 ”可能已因此受到损害。 我们已要求 PowerSchool 对 Cyble 的调查结果做出回应。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303389 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 自“白厅进程”启动以应对商业黑客工具“泛滥及滥用”问题一年以来，其参与者担忧该倡议缺乏实际改变这些工具交易和使用方式的能力。 白厅进程组织者周三发布的咨询总结显示，所谓商业网络入侵能力（CCIC）的市场正在扩大，并警告称，CCIC对国家安全和人权构成的威胁“预计将在未来几年增加”。 早在2023年，英国政府通信总部（GCHQ）就警告称，过去十年里，80多个国家购买了间谍软件，其中一些国家利用这些软件“瞄准记者、人权活动家、政治异见人士和反对者以及外国政府官员”。 为应对这一问题，去年2月，英国和法国政府在伦敦共同主办了一场会议，召集外交官、行业代表、学者和民间团体承诺采取行动。 据Recorded Future News当时报道，一些最重要的CCIC出口国——尤其是以色列、印度、奥地利、埃及和北马其顿——选择不参加会议，且参会行业代表中没有销售引起担忧的CCIC者。同样拥有国内CCIC行业的俄罗斯也不太可能受邀参会。 尽管会议召开之际，美国刚宣布将限制“涉及滥用商业间谍软件”人员的签证，并将多家涉嫌助长侵犯人权行为的间谍软件公司列入制裁名单，但参会国家此后均未采取类似措施。 相反，与会者现已就CCIC供应商和国家的良好做法应为何样，制定了一份56页的咨询报告。该报告多次提及“担忧”（超过30次），并附带说明不代表英国或法国政府政策，广泛质疑该进程如何能将那些对解决问题毫无兴趣的政府和企业纳入其中。 英国渗透测试企业NCC Group的政府事务主管凯瑟琳·索默表示：“‘白厅进程’面临的挑战在于，它故意撒下大网，旨在纳入并吸引CCIC生态系统中的大多数，但实际上如何触及那些行为和做法需要改变以真正产生影响的群体。”“负责任的行为者和寻求澄清和指导的积极参与者将从‘白厅进程’下一阶段的成果中受益。但我们所有人都希望看到的重大转变目前仍难以预见，”索默告诉Recorded Future News，并补充说，“但这不应阻止我们继续尝试！” 网络研究非营利组织Virtual Routes（以其原名参与‘白厅进程’）联合主任詹姆斯·夏尔斯称赞该进程是“CCIC治理方面迈出的一大步”，但仍“遇到与其他努力相同的根本障碍”。 夏尔斯强调，各国对“国家安全”的不同定义助长了CCIC的滥用，并阻碍了对这些能力采购情况的独立监督。 他补充说，“与网络安全能力建设之间的联系凸显了‘有者’和‘无者’之间的不公平感。对一些发展中国家而言，具有讽刺意味的是，‘白厅进程’的组织者英国和法国一方面想限制（CCIC的）获取，另一方面却又支持自己的间谍软件行业。” 夏尔斯还表示，“大帐篷式做法有可能同意联合国已确立的那类自愿准则或最佳做法——而这些准则在更广泛的网络空间负责任国家行为方面经常被公然违反——而不是针对已知违规者和滥用者（无论是国家还是公司）采取具体、有针对性的行动。” 迄今为止，只有美国采取了针对性行动。国务卿安东尼·布林肯称CCIC威胁“隐私和言论自由、和平集会和结社自由”。他在国务院发布针对从事间谍软件行业人员的签证限制时发表的评论还谈到了该技术“在最恶劣的情况下与任意拘留、强迫失踪和法外处决有关”。 在唐纳德·特朗普赢得选举胜利后举行的白厅进程会议上，据一位与会者称，与会者对新政府是否会对此话题表现出同等兴趣表示怀疑，一些人因其他政府没有紧急采取具体行动解决CCIC滥用问题而感到沮丧。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，威胁行为者正在利用最近披露的GFI KerioControl防火墙漏洞，该漏洞可导致一键远程代码执行（RCE）。 GFI KerioControl是一款网络安全解决方案，提供防火墙功能和统一威胁管理能力，包括威胁检测和阻止、流量控制、入侵防御以及VPN功能。 被利用的漏洞编号为CVE-2024-52875，于12月19日发布了补丁，是一个CRLF注入漏洞，可被利用执行HTTP响应拆分攻击，进而导致反射型跨站脚本（XSS）攻击。 安全研究员埃吉迪奥·罗马诺于12月16日发布了该漏洞的详细技术文档，指出反射型XSS攻击向量可被利用执行一键RCE攻击。 罗马诺解释说，该问题源于GFI KerioControl中的多个HTTP响应拆分漏洞，这些漏洞之所以存在，是因为易受攻击的页面未能正确清理用户输入。 研究员评估认为，由于利用该漏洞获得RCE时可利用一个九年前就已存在的漏洞，且可能使攻击者在防火墙上部署root shell，因此该漏洞应被视为“高危”，CVSS评分为8.8。 罗马诺发布了针对该安全缺陷的概念验证（PoC）代码，并警告称，该漏洞影响GFI KerioControl 9.2.5至9.4.5版本，意味着该漏洞在软件中潜伏了大约七年。 本周，GreyNoise警告称，已观察到多次针对CVE-2024-52875的利用尝试，该漏洞“允许攻击者利用HTTP响应拆分和反射型跨站脚本获取设备的CSRF令牌，在特定条件下可能实现一键远程代码执行”。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大的物质使用障碍（SUD）治疗与康复服务提供商BayMark健康服务公司，已向数量未公开的患者发出通知，告知他们2024年9月发生的一次数据泄露事件中，攻击者盗走了他们的个人及健康信息。 这家总部位于德克萨斯州的组织，在35个美国州和3个加拿大省份的400多个服务点，每天为超过7.5万名患者提供针对物质使用和精神健康障碍的药物辅助治疗（MAT）服务。 BayMark在向受影响个体邮寄的数据泄露通知信中透露，公司于2024年10月11日在IT系统出现故障后得知此次泄露事件。后续调查显示，攻击者在2024年9月24日至10月14日期间访问了BayMark的系统。 BayMark在其网站上发布的一份声明中解释称：“2024年10月11日，我们得知一起事件导致我们部分IT系统运营中断。我们立即采取措施保护系统安全，在第三方取证专家的协助下展开调查，并通知了执法部门。” “我们的调查发现，2024年9月24日至10月14日期间，未经授权的第三方访问了BayMark系统上的一些文件。随后，我们对这些文件进行了审查和分析。” 此次事件中泄露的文件包含了每位受影响患者的多种数据，包括他们的姓名以及： 社会保险号 驾驶证号 出生日期 所接受的服务及服务日期 保险信息 治疗医生以及治疗和/或诊断信息 对于在此次事件中可能泄露了社会保险号或驾驶证号的患者，BayMark现正提供为期一年的Equifax身份监测服务，费用全免。 今日早些时候，BleepingComputer联系BayMark发言人寻求更多关于此次泄露事件的信息，包括受影响患者的总数，但对方未立即回应置评请求。 虽然这家医疗服务提供商没有提供关于9月攻击的更多细节，但RansomHub勒索软件团伙在10月声称对此次泄露事件负责，称他们从BayMark被攻破的系统中窃取了1.5TB的文件。这些数据随后被上传到了威胁行为者的暗网泄露网站上。 BayMark在RansomHub泄露网站上的条目（BleepingComputer） RansomHub勒索软件即服务（RaaS）运营（前称Cyclops和Knight）几乎一年前，即2024年2月浮出水面，专注于基于数据盗窃的勒索，而非加密受害者的系统。 自那以来，它已声称对包括Rite Aid药店连锁、佳士得拍卖行、美国电信运营商Frontier Communications、计划生育协会性健康非营利组织、川崎摩托欧洲分公司、博洛尼亚足球俱乐部以及石油服务巨头哈里伯顿在内的多个知名受害者负责。 在BlackCat/ALPHV勒索软件运营在窃取2200万美元后通过退出诈骗关闭之后，RansomHub还泄露了Change Healthcare被盗的数据。 自浮出水面以来，FBI表示，截至2024年8月，RansomHub勒索软件附属组织已攻破了美国政府、关键基础设施和医疗保健等关键基础设施领域的200多家受害者。 BayMark健康服务公司发出数据泄露通知之际，美国卫生与公众服务部（HHS）已提议对《1996年健康保险流通与责任法案》（HIPAA）进行修订，以加强患者健康数据的安全保护，以应对近年来影响医院和美国人的大规模医疗保健安全泄露事件激增的情况。 10月，UnitedHealth确认，在2月影响超过1亿人的Change Healthcare勒索软件攻击之后，公司遭遇了近年来最大的医疗保健数据泄露事件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CrowdStrike警告称，一起网络钓鱼攻击正冒充该网络安全公司，通过虚假的招聘邮件诱骗目标对象下载门罗币（Monero）加密货币挖矿软件XMRig。 2025年1月7日，该公司发现了这起恶意攻击活动，根据钓鱼邮件的内容判断，该活动开始的时间应该不会太早。 攻击始于一封发送给求职者的钓鱼邮件，邮件自称来自CrowdStrike的招聘代理，感谢他们申请公司的开发者职位。邮件指示目标对象从一个看似合法CrowdStrike门户的网站上下载所谓的“员工客户关系管理（CRM）应用程序”。 这据说是公司为了“通过推出新的申请者CRM应用程序来简化入职流程”而做出的努力。 点击邮件中嵌入链接的候选人会被带到一个名为“cscrm-hiring[.]com”的网站，该网站提供Windows或macOS系统的应用程序下载链接。 滥用CrowdStrike品牌的恶意网站（图片来源：CrowdStrike） 下载的工具会在获取额外有效载荷之前进行沙箱检查，以确保其不在分析环境中运行，例如检查进程号、CPU核心数以及调试器的存在。 一旦这些检查完成且结果为阴性（即受害者符合感染条件），应用程序会生成一条虚假的错误信息，称安装程序文件可能已损坏。 虚假错误信息（图片来源：CrowdStrike） 在后台，下载器会获取一个包含运行XMRig所需参数的配置文件文本。 然后，它会从GitHub存储库中下载一个包含挖矿软件的ZIP压缩包，并在“%TEMP%\System\”目录中解压文件。 挖矿软件将在后台运行，消耗极少的处理能力（最多10%），以避免被检测。 在“开始”菜单的“启动”目录中添加了一个批处理脚本，以确保在重启之间持续运行，同时在注册表中写入了一个登录时自动启动的键。 有关此次攻击活动的更多详情及其相关的入侵指标，请参阅CrowdStrike的报告。 求职者应始终通过验证电子邮件地址是否属于公司官方域名，并从公司官方页面上联系相关人员来确认对方是否为真正的招聘人员。 请警惕紧急或异常请求、看似过于美好的机会，或要求下载据称招聘所需的可执行文件的邀请。雇主很少（甚至从不）要求候选人在面试过程中下载第三方应用程序，也绝不会要求预先付款。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种针对macOS的信息窃取恶意软件Banshee Stealer的新变种，该变种更为隐蔽。 Check Point Research在向The Hacker News分享的一份新分析报告中指出：“在2024年底源代码泄露后，该恶意软件一度被认为已沉寂。但此次新变种引入了受苹果XProtect启发的先进字符串加密技术。这一发展使其能够绕过杀毒软件系统，对全球超过1亿macOS用户构成重大风险。” 该网络安全公司表示，他们在2024年9月底检测到了这一新版本。该恶意软件通过伪装成谷歌浏览器、Telegram和TradingView等流行软件的钓鱼网站和假冒GitHub仓库进行传播。 Banshee Stealer首次由Elastic Security Labs在2024年8月记录。它以每月3000美元的价格，作为恶意软件即服务（MaaS）模型提供给其他网络犯罪分子，能够收集来自网页浏览器、加密货币钱包和具有特定扩展名的文件的数据。 2024年11月底，该恶意软件的源代码在网上泄露，导致其运营受挫并关闭。然而，Check Point表示，他们已发现多起仍通过钓鱼网站分发该恶意软件的攻击活动，但目前尚不清楚这些活动是否由之前的客户发起。 这一新变种的一个显著特点是移除了用于防止感染默认系统语言设置为俄语的Macs的俄语语言检查。移除这一功能暗示着威胁行为者可能正在寻求扩大潜在目标范围。 另一项关键更新是使用了苹果XProtect杀毒软件引擎中的字符串加密算法来混淆Banshee Stealer原始版本中的明文字符串。 Check Point Research安全研究小组经理Eli Smadja在一份向The Hacker News提供的声明中表示：“现代恶意软件攻击正在利用常见的人类漏洞，而不仅仅是特定平台的缺陷。macOS与其他操作系统一样，都面临着这些不断演变的威胁，尤其是当网络犯罪分子采用社会工程学和假冒软件更新等先进技术时。” 与此同时，Discord上的未经请求的消息正在被用来传播各种窃取器恶意软件家族，如Nova Stealer、Ageo Stealer和Hexon Stealer，其借口是测试一款新的视频游戏。 Malwarebytes表示：“这些窃取器似乎对Discord凭证特别感兴趣，因为这些凭证可用于扩大被攻陷账户的网络。这也对他们有所帮助，因为部分被盗信息包括受害者的好友账户。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks已发布软件补丁，以解决其Expedition迁移工具中的多个安全漏洞，其中包括一个经身份验证的攻击者可利用的高危漏洞以访问敏感数据。 公司在一份公告中表示：“Palo Alto Networks的Expedition迁移工具存在多个漏洞，使得攻击者能够读取Expedition数据库内容及任意文件，还可在Expedition系统上创建和删除任意文件。” “这些文件包括用户名、明文密码、设备配置以及运行PAN-OS软件的防火墙的设备API密钥等信息。” Expedition是Palo Alto Networks提供的一款免费工具，旨在协助用户从其他防火墙供应商迁移到其平台。该工具将于2024年12月31日终止使用（EoL）。漏洞列表如下： CVE-2025-0103（CVSS评分：7.8）——一个SQL注入漏洞，经身份验证的攻击者可利用该漏洞泄露Expedition数据库内容（如密码哈希、用户名、设备配置和设备API密钥），以及创建和读取任意文件。 CVE-2025-0104（CVSS评分：4.7）——一个反射型跨站脚本（XSS）漏洞，如果经身份验证的用户点击允许网络钓鱼攻击并可能导致浏览器会话失窃的恶意链接，攻击者便可在该用户浏览器的上下文中执行恶意JavaScript代码。 CVE-2025-0105（CVSS评分：2.7）——一个任意文件删除漏洞，未经身份验证的攻击者可删除主机文件系统中对www-data用户可访问的任意文件。 CVE-2025-0106（CVSS评分：2.7）——一个通配符扩展漏洞，允许未经身份验证的攻击者枚举主机文件系统中的文件。 CVE-2025-0107（CVSS评分：2.3）——一个操作系统（OS）命令注入漏洞，经身份验证的攻击者可在Expedition中以www-data用户的身份运行任意OS命令，从而导致泄露运行PAN-OS软件的防火墙的用户名、明文密码、设备配置和设备API密钥。 Palo Alto Networks表示，已在版本1.2.100（CVE-2025-0103、CVE-2025-0104和CVE-2025-0107）和1.2.101（CVE-2025-0105和CVE-2025-0106）中修复了这些漏洞，且不打算发布任何额外的更新或安全补丁。 作为临时解决方案，建议确保仅授权用户、主机和网络能够访问Expedition，或在不使用时关闭该服务。 与此同时，SonicWall也发布了补丁，以修复SonicOS中的多个漏洞，其中两个漏洞可被分别用于实现身份验证绕过和权限提升。 CVE-2024-53704（CVSS评分：8.2）——SSLVPN身份验证机制中存在身份验证不当漏洞，允许远程攻击者绕过身份验证。 CVE-2024-53706（CVSS评分：7.8）——Gen7 SonicOS云平台NSv（仅限AWS和Azure版本）中存在漏洞，允许远程经身份验证的本地低权限攻击者将权限提升至root，并可能导致代码执行。 虽然尚无证据表明上述漏洞已在现实中遭到利用，但用户务必尽快应用最新补丁。 此外，波兰网络安全公司Securing还披露了一个影响Aviatrix控制器的最高严重程度安全漏洞（CVE-2024-50603，CVSS评分：10.0），该漏洞可被利用以获得任意代码执行。该漏洞影响7.x至7.2.4820版本。 该漏洞源于API端点中的某些代码段未对用户提供的参数（“list_flightpath_destination_instances”和“flightpath_connection_test”）进行清理，已在7.1.4191或7.2.4996版本中修复。 安全研究员Jakub Korepta表示：“由于未正确中和操作系统命令中使用的特殊元素，未经身份验证的攻击者能够远程执行任意代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本周三将过去五年针对该国国家安全和高科技目标发动的 200 多起网络攻击归咎于黑客组织MirrorFace，详细介绍了他们的策略，并呼吁政府机构和企业加强预防措施。 日本警察厅表示，通过对 MirrorFace 在 2019 年至 2024 年期间发起的网络攻击的目标、方法和基础设施的分析，得出结论，这些攻击的目的是窃取日本国家安全和先进技术的数据。 NPA 表示，网络攻击目标包括日本外务省和防卫省、国家航天局以及政治家、记者、私营公司和与高科技相关的智库等个人。 NPA 调查发现，MirrorFace 主要在 2019 年 12 月至 2023 年 7 月期间向目标组织和个人发送了带有恶意软件附件的电子邮件，以查看计算机上保存的数据，这些邮件通常来自使用被盗身份的 Gmail 和 Microsoft Outlook 地址。 NPA 表示，这些电子邮件通常使用“日美同盟”、“台海”、“俄乌战争”和“自由开放的印太地区”等关键词作为主题，并附有研究小组的邀请、参考文献和小组成员名单。 另一种策略是，黑客在 2023 年 2 月至 10 月期间利用虚拟专用网络中的漏洞获取未经授权的信息访问，攻击了日本航空航天、半导体、信息和通信领域的组织。 此次攻击包括针对日本宇宙航空研究开发机构（JAXA）的一次攻击。该机构于 6 月承认，自 2023 年以来遭受了一系列网络攻击，但与火箭、卫星和国防相关的敏感信息并未受到影响。该机构正在调查并采取预防措施。 去年，一次网络攻击导致名古屋市港口集装箱码头的 运营陷入瘫痪三天。 最近，日本航空在圣诞节期间遭遇网络攻击，导致 20 多个国内航班延误或取消，该航空公司成功阻止了攻击并在数小时后恢复了系统，飞行安全并未受到影响。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NS_xe7HsbAdmau4a9gpjgg 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 研究人员通过注册用于控制后门程序的过期域名，成功劫持了4000多个虽被遗弃但仍活跃的网站后门，并使其通信基础设施陷入瘫痪。 部分活跃的恶意软件（网络后门）被部署在高调目标（包括政府和大学系统）的服务器上，一旦有人控制这些通信域名，便能执行指令。 攻击安全机构WatchTowr Labs与Shadowserver基金会合作，阻止这些域名及其对应的受害者落入恶意行为者之手。 发现数千个被突破的系统 后门是指被植入受攻击系统中的恶意工具或代码，允许未经授权的远程访问和控制。威胁行为者通常利用后门进行持续访问，并在受攻击系统中执行进一步攻击的指令。 WatchTowr研究人员开始搜索各种网络后门中的域名，并购买其中已过期的域名，从而基本上控制了这些后门。 在建立日志系统后，这些被遗弃但仍活跃的恶意软件开始发送请求，使研究人员能够识别出至少部分受害者。 通过注册40多个域名，研究人员收到来自4000多个被突破系统的通信尝试，这些系统试图“回连”到攻击者。 注册域名示例（来源：WatchTowr） 研究人员发现了多种后门类型，包括“经典”的r57shell、功能更强大的c99shell（提供文件管理和暴力破解功能）以及常与APT组织相关联的“中国菜刀”网络后门。 报告中甚至提到一个后门展现出与Lazarus组织相关的行为，但随后澄清这很可能是其他行为者重用了该威胁行为者的工具。 在被突破的机器中，WatchTowr发现了中国政府机构（包括法院）中的多个系统、被攻破的尼日利亚政府司法系统以及孟加拉国政府网络中的系统。 此外，泰国、中国和韩国的教育机构中也发现了受感染的系统。 WatchTowr将劫持域名的管理责任移交给Shadowserver基金会，以确保这些域名未来不会被恶意接管。Shadowserver目前正在将所有来自被突破系统的流量吸引到其域名的陷阱中。 WatchTowr的研究虽然并不复杂，但表明恶意软件运营中的过期域名仍可能为新网络犯罪分子所用，他们只需注册控制域名便能获取一些受害者。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗账单服务提供商领军者Medusind正通知数十万用户，他们的个人及健康信息在一年多前的2023年12月遭到泄露。 这家总部位于迈阿密的公司在美国和印度设有12个分支机构，为超过6000家医疗服务提供商提供收入周期管理服务，助力其降低运营成本、实现收益最大化。 Medusind在向缅因州总检察长办公室提交的数据泄露通知信中表示，公司在2023年12月检测到网络上的可疑活动后，发现了此次泄露事件。 泄露通知指出：“在发现可疑活动后，Medusind立即将受影响系统下线，并聘请了一家领先的网络安全取证公司进行调查。” “通过调查，我们发现网络犯罪分子可能已获取包含您个人信息的某些文件的副本。” Medusind在缅因州的备案文件中透露，2023年12月的数据泄露事件影响了360,934人的个人及健康信息。 事件中泄露的文件包含以下数据类型，但受影响个体的信息各不相同： 医疗保险和账单信息（如保险单号码或索赔/福利信息） 支付信息（如借记卡/信用卡号码或银行账户信息） 健康信息（如病史、病历号或处方信息） 政府身份信息（如社会保险号、纳税人识别号、驾驶证或护照号码） 其他个人信息（如出生日期、电子邮件、地址或电话号码） Medusind为受此次数据泄露影响的用户提供为期两年的Kroll免费身份监测服务，包括信用监测、欺诈咨询和身份盗窃恢复。 同时，该公司警告用户留意账户对账单，以发现潜在的身份盗窃和欺诈行为迹象，并监测信用报告，查找未经授权或可疑活动。 此前，美国卫生与公众服务部（HHS）于2024年12月底提议对1996年《健康保险流通与责任法案》（HIPAA）进行修订，以加强近年来大规模医疗安全泄露和数据泄露事件频发背景下患者的健康数据安全。 这些修订后的网络安全规则要求医疗机构加密美国人的受保护健康信息（PHI），在可能的情况下实施多因素身份验证，并对网络进行分段，以加大网络犯罪分子横向移动的难度。 美国最大的私立医疗系统之一Ascension最近警告近560万人，他们的数据在5月的一起由Black Basta勒索软件团伙声称负责的网络攻击中被盗。 10月，UnitedHealth确认近年来最大的医疗数据泄露事件，该事件源于2月一起影响超过1亿人的Change Healthcare勒索软件攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，乌克兰网络联盟组织的一部分黑客活动分子宣布，他们已侵入俄罗斯互联网服务提供商Nodex的网络，在窃取敏感文件后清除了被黑的系统。 昨日，这些乌克兰黑客在Telegram上宣布：“圣彼得堡的俄罗斯互联网提供商Nodex被完全洗劫并清空。数据被窃取，而他们留下的只是没有备份的空设备。” 黑客们还分享了他们在攻击期间入侵的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。 周二，Nodex在VKontakte上向客户证实了乌克兰网络联盟的声明，称其网络在疑似来自乌克兰的有计划攻击后“被摧毁”。 Nodex表示：“亲爱的用户！昨晚，我们的基础设施遭到攻击（推测来自乌克兰）。网络已被摧毁。我们正在从备份中恢复。目前没有时间表或预测。我们的首要任务是先恢复电话服务和呼叫中心。” 互联网监测组织NetBlocks也观察到，在Nodex确认遭受网络攻击后，其网络运营商的固定电话和移动服务连接在昨日午夜崩溃。 Nodex中断情况（NetBlocks） 《The Record》率先报道了此次攻击，称Nodex的网站仍然无法访问，俄罗斯互联网提供商仍在努力恢复系统。但该公司无法提供系统恢复在线的时间表。 此后，Nodex发布了更多关于恢复过程的更新，告知用户“网络核心已恢复”，其工程师仍在重置交换机。 三小时后，俄罗斯ISP表示DHCP服务器已上线，现在许多客户应能上网。 Nodex在VKontakte上的另一条更新中表示：“很多人应该能上网了。请重启您的路由器。” 乌克兰网络联盟自2016年以来一直活跃，当时多个黑客和黑客组织（如FalconsFlame、Trinity、RUH8和CyberHunta）联合起来，注册为非政府组织。 自那时以来，乌克兰网络联盟的网络活动分子声称多次攻破影响多个俄罗斯组织的系统，包括俄罗斯国防部、独立国家联合体研究所（由俄罗斯国家公司Gazprom资助）、顿涅茨克人民共和国煤炭和能源部、弗拉基米尔·普京的政治顾问弗拉基斯拉夫·苏尔科夫以及多名俄罗斯军官和媒体机构等。 2023年10月，乌克兰黑客还攻破了Trigona勒索软件团伙的服务器，在窃取包括源代码、数据库记录和加密货币热钱包在内的所有数据后将其清空。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发出警告，黑客在零日攻击中利用了Connect Secure远程代码执行漏洞（CVE-2025-0282），在设备上安装了恶意软件。 该公司表示，在Ivanti Integrity Checker Tool（ICT）检测到客户设备上的恶意活动后，他们意识到了这一漏洞。Ivanti随即展开调查，并确认威胁行为者正在积极利用CVE-2025-0282作为零日漏洞。 CVE-2025-0282是一个严重（9.0分）的栈溢出漏洞，存在于Ivanti Connect Secure 22.7R2.5版本之前、Ivanti Policy Secure 22.7R1.2版本之前以及Ivanti Neurons for ZTA网关22.7R2.3版本之前的版本中，允许未经身份验证的攻击者远程在设备上执行代码。 尽管该漏洞影响了这三款产品，但Ivanti表示，他们目前仅发现Ivanti Connect Secure设备受到了该漏洞的利用。 Ivanti的一篇博客文章写道：“在披露时，我们已知有少数客户的Ivanti Connect Secure设备受到了CVE-2025-0282的利用。” “我们尚未发现CVE在Ivanti Policy Secure或Neurons for ZTA网关中被利用。” Ivanti已紧急为Ivanti Connect Secure发布了安全补丁，该补丁已在固件版本22.7R2.5中解决。 然而，根据今日发布的安全公告，Ivanti Policy Secure和Ivanti Neurons for ZTA网关的补丁将于2025年1月21日发布。 Ivanti Policy Secure：此解决方案不面向互联网，因此被利用的风险显著降低。Ivanti Policy Secure的修复计划于2025年1月21日发布，并将在标准下载门户中提供。客户应始终确保其IPS设备根据Ivanti的建议进行配置，且不暴露于互联网。我们尚未发现CVE在Ivanti Policy Secure中被利用。 Ivanti Neurons for ZTA网关：在生产环境中，Ivanti Neurons ZTA网关无法被利用。如果为该解决方案生成的网关未连接到ZTA控制器，则存在该生成网关被利用的风险。修复计划于2025年1月21日发布。我们尚未发现CVE在ZTA网关中被利用。 该公司建议所有Ivanti Connect Secure管理员执行内部和外部ICT扫描。 如果扫描结果正常，Ivanti仍建议管理员在升级到Ivanti Connect Secure 22.7R2.5之前进行出厂重置。 但是，如果扫描结果显示存在安全漏洞，Ivanti表示，出厂重置应能移除已安装的恶意软件。然后，应使用22.7R2.5版本将设备重新投入生产。 今日的安全更新还修复了另一个被追踪为CVE-2025-0283的漏洞，Ivanti表示，该漏洞目前尚未被利用或与CVE-2025-0282结合使用。此漏洞允许经过身份验证的本地攻击者提升权限。 由于Ivanti正与Mandiant和微软威胁情报中心合作调查这些攻击，我们很快就会看到有关检测到的恶意软件的报告。 BleepingComputer就这些攻击向Ivanti提出了进一步的问题，并在收到回复后更新本文。 今年10月，Ivanti发布了安全更新，修复了三个在攻击中被积极利用的Cloud Services Appliance（CSA）零日漏洞。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。 该插件销量超过2万次，允许WooCommerce网站的用户在产品设计（如服装、马克杯、手机壳）中进行颜色更换、文本转换或尺寸修改等自定义操作。 2024年3月17日，Patchstack的Rafie Muhammad在检查该插件时发现，该插件存在以下两个严重漏洞： CVE-2024-51919（CVSS评分：9.0）：由于文件上传功能“save_remote_file”和“fpd_admin_copy_file”实现不安全，未正确验证或限制文件类型，导致未经身份验证的任意文件上传漏洞。攻击者可通过提供远程URL上传恶意文件，实现远程代码执行（RCE）。 CVE-2024-51818（CVSS评分：9.3）：由于使用了不足的“strip_tags”函数，导致用户输入未得到适当净化，从而引发未经身份验证的SQL注入漏洞。用户提供的输入未经适当验证便直接整合到数据库查询中，可能导致数据库被攻破，数据被检索、修改或删除。 Patchstack在发现这些问题后一天便通知了供应商，但Radykal至今未作回应。 Patchstack于1月6日将这两个漏洞添加到其数据库中，并于今日发布博客文章，以警告用户并提高对此类风险的认识。 Muhammad表示，尽管Radykal发布了20个新版本，且最新版本6.4.3也于2个月前发布，但这两个严重的安全问题仍未得到修复。 Patchstack的文章为攻击者提供了足够的技术信息，以便他们创建漏洞利用工具并开始针对使用Radykal的Fancy Product Designer插件的网店发起攻击。 作为一般建议，管理员应通过创建包含安全文件扩展名的允许列表来防止任意文件上传。此外，Patchstack还建议，通过对用户查询输入进行安全转义和格式化来净化输入，从而防范SQL注入攻击。 BleepingComputer已联系Radykal，询问其是否计划近期发布安全更新，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭示了一款名为NonEuclid的新型远程访问木马，该木马可使不法分子远程控制受感染的Windows系统。 Cyfirma上周发布的技术分析指出：“NonEuclid远程访问木马（RAT）采用C#开发，是一款高度复杂的恶意软件，通过先进的规避技术提供未经授权的远程访问。” “它运用多种机制，包括杀毒软件绕过、权限提升、反检测和针对关键文件的勒索软件加密。” 自2024年11月底以来，NonEuclid已在地下论坛中被宣传，并在Discord、YouTube等热门平台上发现了有关该恶意软件的教程和讨论。这表明有人正有组织地将其作为犯罪软件解决方案进行分发。 该RAT的核心是从客户端应用程序的初始化阶段开始，之后进行一系列检查以躲避检测，然后再为与指定IP和端口的通信建立TCP套接字。 它还会配置Microsoft Defender防病毒排除项，以防止安全工具标记其相关文件，并监控如“taskmgr.exe”、“processhacker.exe”和“procexp.exe”等常用于分析和进程管理的进程。 Cyfirma表示：“它使用Windows API调用（CreateToolhelp32Snapshot、Process32First、Process32Next）来枚举进程，并检查其可执行文件名是否与指定目标匹配。如果找到匹配项，则根据AntiProcessMode设置，要么终止该进程，要么触发客户端应用程序退出。” 该恶意软件采用的一些反分析技术包括检查其是否在虚拟或沙盒环境中运行，一旦发现，则立即终止程序。此外，它还具备绕过Windows反恶意软件扫描接口（AMSI）的功能。 NonEuclid通过计划任务和Windows注册表更改实现持久性，并试图通过绕过用户帐户控制（UAC）保护来提升权限并执行命令。 一个相对罕见的功能是，它能够加密具有特定扩展名（如.CSV、.TXT和.PHP）的文件，并将它们重命名为“.NonEuclid”扩展名，从而有效转变为勒索软件。 Cyfirma称：“NonEuclid RAT是现代恶意软件日益复杂的典型代表，结合了先进的隐蔽机制、反检测功能和勒索软件能力。它在地下论坛、Discord服务器和教程平台上的广泛宣传表明，它对网络犯罪分子具有吸引力，并凸显了应对此类威胁的挑战。该恶意软件集成了权限提升、AMSI绕过和进程阻止等功能，展示了其在躲避安全措施方面的适应性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意行为者在各种恶意垃圾邮件活动中继续通过伪造发件人电子邮件地址取得成功。 伪造电子邮件的发件人地址通常被视为一种让数字信息看起来更合法并绕过可能将其标记为恶意的安全机制的手段。 尽管有域名密钥识别邮件（DKIM）、基于域名的邮件身份验证、报告和一致性（DMARC）以及发件人策略框架（SPF）等保障措施可以防止垃圾邮件发送者伪造知名域名，但这些措施反而促使他们利用老旧、被忽视的域名进行活动。 这样做的话，电子邮件信息很可能会绕过依赖域名年龄来识别垃圾邮件的安全检查。 一家DNS威胁情报公司在与《黑客新闻》分享的一项新分析中发现，包括Muddling Meerkat在内的威胁行为者滥用了一些自身拥有的、已近20年未用于托管内容的老旧顶级域名（TLD）。 “这些域名缺少大多数DNS记录，包括通常用于检查发件人域名真实性的记录，如SPF记录，”该公司表示，“这些域名简短且属于高声誉的顶级域名。”自2022年12月以来一直活跃的一项此类活动涉及分发带有指向钓鱼网站的二维码附件的电子邮件，并指示收件人打开附件并使用手机上的支付宝或微信应用扫描二维码。 这些电子邮件使用中文撰写的与税收相关的诱饵，同时以不同方式将二维码文档隐藏在电子邮件正文中包含的四位数字密码之后。在其中一个案例中，钓鱼网站要求用户输入其身份和银行卡信息，然后向攻击者进行欺诈付款。 “尽管这些活动确实使用了我们在Muddling Meerkat中看到的废弃域名，但它们似乎还广泛伪造随机域名，甚至包括不存在的域名，”Infoblox解释道，“行为者可能会使用这种技术来避免发送来自同一发件人的重复电子邮件。” 该公司表示，它还观察到了冒充亚马逊、万事达卡和SMBC等知名品牌，利用流量分发系统（TDSes）将受害者重定向到假冒登录页面以窃取其凭据的钓鱼活动。以下是一些已确定使用伪造发件人域名的电子邮件地址： mailto:[email protected][.]org mailto:[email protected][.]com mailto:[email protected][.]com mailto:[email protected][.]com mailto:[email protected][.]com mailto:[email protected][.]net mailto:[email protected][.]com 第三类垃圾邮件与勒索有关，其中电子邮件收件人被要求支付1800美元的比特币以删除据称安装在其系统上的远程访问木马所录制的令人尴尬的视频。 “行为者伪造用户自己的电子邮件地址，并挑战他们进行检查，”Infoblox表示，电子邮件告诉用户他们的设备已被入侵，作为证明，行为者声称该邮件是从用户自己的帐户发送的。” 这一披露正值法律、政府和建筑部门自2024年9月初以来成为旨在窃取Microsoft 365凭据的新型钓鱼活动“肉铺”的目标。 据Obsidian Security称，这些攻击滥用Canva、Dropbox DocSend和Google Accelerated Mobile Pages（AMP）等受信任平台将用户重定向到恶意网站。其他一些渠道包括电子邮件和被入侵的WordPress网站。 “在显示钓鱼页面之前，会显示一个带有Cloudflare Turnstile的自定义页面，以验证用户实际上是人类，”该公司表示，“这些旋转门使得电子邮件保护系统（如URL扫描器）更难检测到钓鱼网站。” 近几个月来，短信钓鱼活动冒充阿联酋执法机构发送虚假的付款请求，涉及不存在的交通违规、停车违规和执照续期。为此目的而设立的一些虚假网站被归因于一个名为Smishing Triad的已知威胁行为者。 中东的银行业客户也成为了一种复杂的社交工程计划的攻击目标，该计划在电话中冒充政府官员，并使用远程访问软件窃取信用卡信息和一次性密码（OTP）。 Group-IB在今天发布的一项分析中表示，这场针对个人数据已在暗网上通过窃取器恶意软件泄露的女性消费者的活动，据推测是未知母语为阿拉伯语的人所为。 “骗子利用受害者的合作意愿和服从指令的意愿，希望为他们不满意的购买获得退款。” Cofense发现的另一场活动涉及发送声称来自美国社会保障管理局的电子邮件，其中嵌入了下载ConnectWise远程访问软件安装程序的链接或将受害者定向到凭据收集页面。 这一发展发生在根据Interisle Consulting Group的一份报告，在2023年9月至2024年8月期间报告的网络犯罪域名中，通用顶级域名（gTLD）如.top、.xyz、.shop、.vip和.club占37%，尽管它们仅占域名市场总量的11%。 由于价格低廉且缺乏注册要求，这些域名已成为恶意行为者的诱人目标，从而为滥用打开了大门。在广泛用于网络犯罪的顶级域名中，有22个提供的注册费用低于2.00美元。 威胁行为者还被发现宣传一个名为PhishWP的恶意WordPress插件，该插件可用于创建可自定义的支付页面，模仿Stripe等合法支付处理器，通过Telegram窃取个人和财务数据。 SlashNext在一份新报告中表示：“攻击者既可以入侵合法的WordPress网站，也可以设置欺诈网站来安装它。在配置插件以模仿支付网关后，不明真相的用户会被诱骗输入其支付详情。插件会收集这些信息并将其直接发送给攻击者，通常是在实时状态下。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

硬件制造商联发科、HPE 和戴尔周一发布公告，告知客户其产品中发现并修补的潜在严重漏洞。 半导体公司联发科宣布修补十几个漏洞，其中包括数十个芯片组的调制解调器组件中一个严重漏洞，该漏洞可能导致远程代码执行 (RCE)。 该问题被标记为 CVE-2024-20154，是一种越界写入漏洞，当设备连接到攻击者控制的恶意基站时，无需用户交互即可利用该漏洞。 联发科的建议还详细介绍了七个高严重性漏洞，这些漏洞可能会导致本地权限提升，如果攻击者靠近易受攻击的设备，则会导致 RCE。 Dell发布了针对其更新包 (DUP) 框架中高严重性缺陷的补丁，该漏洞编号为 CVE-2025-22395，并被描述为本地特权升级问题，该问题可能导致任意脚本的执行，从而导致拒绝服务 (DoS) 情况。DUP 框架版本 22.01.02 解决了此漏洞。 此外，该科技公司还发布了针对受 CVE-2024-52316 影响的多种产品的修复程序，CVE-2024-52316 是 2024 年 11 月披露的 Apache Tomcat 漏洞，可能导致身份验证绕过。 HPE 宣布修复其运行 Brocade Fabric OS (FOS) 的 SAN 交换机中使用的第三方组件中的多个缺陷，包括可能导致权限提升、远程命令执行、身份验证绕过、DoS 和任意文件创建或删除的高中严重性漏洞。 该公司的建议中提到了十个安全缺陷：两个于 2022 年公开披露，四个于 2023 年披露，四个于 2024 年发现。所有漏洞均已在 HPE B 系列产品的 FOS 固件 9.2.2、9.2.1a1 和 9.2.0c 版本中修复。 尽管没有任何供应商提及这些漏洞被利用进行攻击，但建议用户尽快应用这些补丁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wYpP3IxCHbWsHTQuZPPFwQ 封面来源于网络，如有侵权请联系删除