HackerNews

一次针对一家车辆追踪解决方案公司的网络攻击，导致英国囚车追踪系统和报警系统陷入瘫痪，目前尚无证据表明犯罪分子试图利用这一情况。 作为当事者公司，Microlise已于近期向伦敦证券交易所通报了此次事件，但未提供有关客户可能受到连锁反应影响的详细信息。 Microlise在11月6日发布声明，表示攻击者可能已获取了员工数据，不过“公司有信心客户的系统数据未受到泄露。” Microlise称：“我们正在努力恢复服务，恢复工作预计将持续数天，服务有望在下周末基本恢复正常。” 作为Microlise公司的客户，Serco是一家为英国司法部运营囚犯押送服务的外包公司。据《金融时报》报道，Serco的员工于11月4日接到通知，因Microlise事件影响，“车辆追踪、紧急报警、导航和预计到达时间通知”均已暂停使用。 英国司法部对此事拒绝发表评论。据了解，相关官员认为此次事件对英国的囚犯押送服务没有实质性影响。 尽管此次供应链事件暴露出第三方供应商遭受网络攻击带来的风险，但目前没有迹象表明攻击者意识到Microlise与Serco囚犯运输服务之间的关联。 英国政府目前正在试点一项“Cyber Essentials”认证计划来保护供应链，该项目初期将要求英国最大的银行，将网络安全标准纳入对供应商的要求中。 根据英国政府即将出台的《网络安全与弹性法案》，其他关键基础设施运营商以及公共部门承包商也可能会被要求引入类似的供应商安全标准。该法案预计将于明年提交议会审议。     转自安全内参，原文链接：https://www.secrss.com/articles/72339 封面来源于网络，如有侵权请联系删除  

国际零售巨头皇家阿霍德德尔海兹集团（Ahold Delhaize）日前确认，旗下Food Lion、Stop & Shop等多个美国超市品牌的系统中断，是因为持续的“网络安全问题”所引发。公司表示，他们已关闭了一些系统，这对部分药房及电商业务造成了影响。 这家总部位于荷兰的跨国企业，在欧洲以阿尔伯特·海恩（Albert Heijn）和德尔海兹（Delhaize）等品牌闻名，在美国市场则拥有Stop & Shop、Hannaford、Giant和Food Lion等品牌，公司官网显示这些品牌在美国市场拥有超过2000家门店。 图：该公司官网显示美国市场的品牌数据 该公司在上周五（8日）发布的声明中指出：“在问题首次被发现时，我们的安全团队立即在外部网络安全专家的协助下展开了调查。同时，我们也已通知执法部门。” “皇家阿霍德德尔海兹集团美国分公司旗下的所有品牌店铺仍正常营业，继续为客户提供服务。我们将持续采取措施，以进一步保护我们的系统。客户、员工和合作伙伴的安全始终是我们的首要任务。” “我们对于此次事件可能给客户和合作伙伴带来的不便深感抱歉。” 员工顾客在社交媒体上反馈吐槽 据悉，美国零售店面临的问题已经持续了一周。由于网络安全调查通常需要较长时间，案件的具体细节仍在收集中。但是，受影响店铺的员工们已在社交媒体上分享了他们的经历。 Stop & Shop的部分顾客最近反映，他们所在的超市药房因IT问题暂时无法补充药品。为应对这一问题，药品被转移至附近的沃尔格林药房，但由于商店的电话线路也出现了问题，处理过程受到了影响。 不过，地方新闻报道称，药房的IT问题目前已经得到解决，现在可以正常补充处方药。 一位自称负责向商店运送物资的人员表示，发票上的价格与实际成本不符。 不同商店受到影响的程度有所差异。截至11月9日，部分商店的服务已经恢复正常，而另一些商店仍然没有互联网连接，只能依靠员工的个人热点来维持运营。 Food Lion的Reddit社区尤其活跃，用户们讨论了员工在店铺内遇到的类似问题。 关于交货延迟或缺失的报告频繁出现，且部分到货物资供应不足。截至11月10日，也出现了与Stop & Shop类似的发票与实际价格不匹配现象。同时，电话线路依然无法使用。 有些用户反映，Food Lion To Go和Instacart的订单无法处理，后者的恢复时间也一再推迟。此外，部分支付服务也受到了限制。 据称，在某些地点，一线员工被经理告知不要与同事讨论此问题，目的是防止信息在社交媒体上扩散。然而，也有员工表示，他们的店铺并没有受到这样的限制。 一名员工还表达了对财务数据可能被影响的担忧。该员工声称，在事件发生几天后，他的借记卡被用于多次欺诈性消费，但目前尚不清楚这两件事是否有关联。 官方缺乏进一步的信息更新 外媒The Register就此问题询问了皇家阿霍德德尔海兹集团，是否有任何数据在此次攻击中遭到泄露，但并未收到回复。 本文发布时，Hannaford的网站仍处于宕机状态，显示消息：“抱歉！我们的服务器出现了技术问题。我们正在尽快恢复服务。” The Register尝试从英国访问其他美国品牌的网站（Giant、Food Lion和Stop & Shop），但即便使用VPN，也无法绕过其网络保护层，访问被阻止。 在美国，这四大零售品牌共拥有约2000家店铺，均可能受到此次网络安全事件的影响。 其中，Food Lion拥有超过1000家门店，员工人数超过8.2万人，每周服务超过1000万名顾客。如果问题持续影响这些店铺，潜在影响规模将非常巨大。       转自安全内参，原文链接：https://www.secrss.com/articles/72373 封面来源于网络，如有侵权请联系删除

据The Hack News消息，与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。 Check Point 在一份分析中表示，该活动与一个名为 WIRTE 的组织有关，该组织最近至少进行了两波针对以色列的破坏性攻击。 WIRTE 是中东高级持续威胁 （APT） 的绰号，首先由西班牙网络安全公司 S2 Grupo 发现。该组织至少自 2018 年 8 月以来就一直活跃，主要针对该地区的广泛实体发动攻击，活动范围包括巴勒斯坦、约旦、伊拉克、沙特阿拉伯和埃及。 Check Point表示，该组织的活动在整个加沙战争期间一直存在，一方面，它的持续活动加强了与哈马斯的联系，另一方面又使这项活动的地理归属变得特别复杂。 WIRTE 在 2024 年的活动被发现利用中东的地缘政治紧张局势和战乱来制作恶意RAR文档，从而部署 Havoc 后期开发框架。 在 2024 年 9 月之前观察到的替代链利用类似的 RAR 文档部署 IronWind 下载器。这两种感染序列利用向受害者传播带有欺骗性的 PDF 文档，使用合法的可执行文件来侧载带有恶意软件的 DLL。 在 2024 年 10 月观察到针对医院和市政当局等多个以色列组织的网络钓鱼活动中，钓鱼电子邮件甚至显示从网络安全公司 ESET 在以色列的合作商发出，其中包含新创建的SameCoin Wiper 版本，该版本也曾在今年早些时候针对以色列的攻击中部署。 除了用随机字节覆盖文件外，最新版本的 SameCoin 擦除器还会修改受害者系统的背景，以显示带有哈马斯军事分支 Al-Qassam Brigades 名称的图像。SameCoin 是一种以安全更新为幌子分发的定制擦除器，于 2024 年 2 月被发现，被哈马斯附属的攻击者用来破坏 Windows 和 Android 设备。 据 HarfangLab 称，Windows 加载程序样本（“INCD-SecurityUpdate-FEB24.exe”）的时间戳被更改为 2023 年 10 月 7 日，即哈马斯对以色列发动突然攻势的日期。而初始访问媒介据信是一封冒充以色列国家网络局 （INCD） 的电子邮件。 “尽管中东冲突持续，但该组织坚持开展多项活动，展示了一个多功能工具包，其中包括用于间谍和破坏活动的擦除器、后门和网络钓鱼页面，”Check Point 在报告中总结道。       转自Freebuf，原文链接：https://www.freebuf.com/news/415238.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，今年2月，一个名为“KryptonZambie”的黑客者开始在 BreachForums论坛 上出售 1.328亿条个人信息记录，目前已证实，这些数据来自一家聚合数据的 B2B 需求生成公司 DemandScience（前身为 Pure Incubation）。 数据聚合是从公共来源收集、编译和组织数据，以创建一个对数字营销人员和广告商有价值的综合数据集，从而创建丰富的 “档案”，用于生成线索或营销信息。 在 DemandScience 的案例中，该公司从公共来源和第三方收集业务数据包括全名、实际地址、电子邮件地址、电话号码、职称和职能以及社交媒体链接。 黑客表示，他们从暴露的系统中窃取到了这些数据。对此BleepingComputer曾问询DemandScience，但被告知没有证据表明发生了数据泄露。DemandScience 企业传播高级总监Derek Beckwith表示“所有的系统都 100% 正常运行，我们没有发现任何迹象表明我们的任何系统或数据发生了黑客攻击或泄露事件。我们正在继续监测情况，因此目前不宜进一步扩大事态。” 到了8月15日，KryptonZambie 以 8 个论坛积分（相当于几美元）的价格出售数据集，基本上是免费泄露数据。 黑客发布的数据泄露帖子 11月13日，安全专家、数据泄露查询网站Have I Been Pwned（HIBP）创始人特洛伊·亨特（Troy Hunt）发表博文，称已确认数据的真实性，有受数据泄露影响的人联系了 DemandScience，并被告知泄露的数据来自两年前已退役的系统。 亨特还在泄露的数据中找到了自己的个人信息，包括他在辉瑞工作时的数据。 目前被盗数据集中的所有 1.22 亿个唯一电子邮件地址已添加到BIBP中，受影响的订阅者将收到有关数据泄露的邮件通知。     转自Freebuf，原文链接：https://www.freebuf.com/news/415274.html 封面来源于网络，如有侵权请联系删除  

11月12日，五眼联盟（美国、英国、澳大利亚、加拿大和新西兰）网络安全机构报告称，黑客越来越多地利用零日漏洞访问目标网络。 与过去相比，当前的安全威胁或关注点可能已经发生了变化。2022年和2021年发布的类似警告称，恶意网络行为者更频繁地利用旧软件漏洞，现在可能更关注新披露的漏洞。 在联合咨询报告中，机构列出了2023年最常被利用的15个漏洞，其中CVE-2023-3519（影响Citrix网络产品NetScalers的问题）被最广泛地使用。 NetScalers漏洞被修补时的报告称，攻击者利用漏洞，以自动化的方式破坏了数千个设备，放置了webshells以获得持续访问权限。 其他被广泛利用的漏洞包括影响思科路由器的关键漏洞，影响Fortinet VPN设备的漏洞，以及一个影响MOVEit文件传输工具的漏洞，该漏洞被Clop勒索软件团伙广泛利用。 报告指出，自美国网络安全和基础设施安全局（CISA）及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。 尽管咨询报告只涵盖了去年的情况，但根据英国国家网络安全中心（NCSC）的说法，零日漏洞利用的趋势已经延续到2024年，标志着“与2022年相比发生了转变，当时列表只有不到一半作为零日漏洞被利用。” NCSC首席技术官Ollie Whitehouse警告说：“常规化的零日漏洞初始利用代表了新常态，恶意行为者寻求渗透网络，这应该引起最终用户组织和供应商的关注，。” “为了降低被入侵的风险，所有组织都必须通过及时应用补丁，并在技术市场上使用安全设计产品来保持领先地位。”Whitehouse说。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sZGhRNMcdMxRXisqxWnlFg 封面来源于网络，如有侵权请联系删除

据Cyber News消息，11 月 10 日，一名黑客在某黑客论坛上列出了一个待售数据集，声称它包含 4.89 亿 Instagram 用户数据。 Instagram 每月有超过 20 亿活跃用户，意味着如果这些数据被证明是真实的，将影响将近四分之一的用户。 黑客分享了 100 多条数据样本，包括用户名、姓名 、电子邮件等。虽然黑客者声称这些数据是 “新收集的”，但在黑客论坛上分享的数据的有效性通常值得怀疑。 据 Cybernews 研究人员称，数据样本中共享的 Instagram 配置文件似乎是真实的。 抓取的数据样本 数据集样本中的电子邮件地址并不存在于以前泄露事件的数据集中，可能意味着数据确实是新的，但也可能是故意伪造的。 至于这些数据是通过何种方式获取，研究人员称如果黑客的行为可信，并且通过抓取公共 API 获取数据，则意味着私有 Instagram API 已向公众暴露，或者其公共 API 受到了对象属性级授权（Broken Object Property Level Authorization）的攻击。 Cybernews 已联系 Instagram 的母公司 Meta 寻求置评，但尚未收到回复。 虽然数据抓取处于法律灰色地带，但根据 Meta 的政策，未经公司许可，使用自动化获取数据违反了其条款。Meta 的网站声称有一个专门的外部数据滥用 （EDM） 团队，专注于检测和阻止抓取。 据说该团队还通过与威胁情报研究人员合作，并与有实力的托管供应商一起防止抓取的数据集在在线论坛上共享。       转自Freebuf，原文链接：https://www.freebuf.com/news/415153.html 封面来源于网络，如有侵权请联系删除

亚马逊披露了一起数据泄露事件，据称在 2023 年 5 月的 MOVEit 攻击中被盗的信息暴露了员工数据。 亚马逊披露了一起数据泄露事件，据称员工信息在 2023 年 5 月的 MOVEit 攻击中被盗。该公司称，数据是从第三方供应商处窃取的。 亚马逊没有披露受影响员工的人数。 在黑客论坛 BreachForums 上，一个名为 Nam3L3ss 的威胁者泄露了 280 多万条包含员工数据的记录。 被泄露的数据包括姓名、联系信息、办公地点、电子邮件地址等。暴露的数据不包括社会安全号或财务信息。 “亚马逊和 AWS 系统仍然安全，我们没有遇到安全事件。我们接到通知，我们的一家物业管理供应商发生了一起安全事件，包括亚马逊在内的几家客户都受到了影响。”亚马逊发言人亚当-蒙哥马利（Adam Montgomery）告诉 TechCrunch：“唯一涉及的亚马逊信息是员工的工作联系信息，例如工作电子邮件地址、办公桌电话号码和大楼位置。” 这家跨国科技公司证实，它已经修补了威胁者在攻击中发现的漏洞。 这将是有趣的几天。 亚马逊于 2023 年 5 月通过 MoveIT 0day 漏洞被入侵。根据我们收到的信息，我们可以确认亚马逊的数据是 100% 合法的。 更多信息：https://t.co/fCQF3Gy3nG – vx-underground (@vxunderground) 2024 年 11 月 11 日 网络安全公司 Hudson Rock 的研究人员报告称，“Nam3L3ss ”还声称据称从 25 个主要组织窃取的数据泄露。 “MOVEit此前已知被CL0P勒索软件组织利用，虽然很多公司都与该漏洞有关，但亚马逊、麦当劳等此次特定漏洞中的公司却与之无关。”哈德逊岩石公司发布的报告中写道。“研究人员目前还无法确认这些数据是来自 CL0P、其关联公司，还是 Nam3L3ss 自己利用了这些公司。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301785 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，朝鲜黑客正使用 Flutter 创建的木马记事本应用程序和扫雷游戏来攻击苹果 macOS 系统，这些应用程序具有合法的苹果开发人员 ID 签名和公证。 这些暂时经过了苹果安全检查的应用涉及窃取加密货币，与朝鲜黑客长期在金融盗窃方面的兴趣一致。根据发现该活动的 Jamf Threat Labs 的说法，该活动看起来更像是一场绕过 macOS 安全的实验，而不是一场成熟且高度针对性的操作。 从 2024 年 11 月开始，Jamf 在 VirusTotal 上发现了多个应用程序，这些应用程序对所有 AV 扫描似乎完全无害，但展示了“第一阶段”功能，连接到与朝鲜行为者相关的服务器。 这些应用程序均使用谷歌的 Flutter 框架为 macOS 构建，该框架使开发人员能够使用以 Dart 编程语言编写的单个代码库为不同的操作系统创建本地编译的应用程序。 Jamf研究人员表示，攻击者在基于 Flutter 的应用程序中嵌入恶意软件并非闻所未闻，但却是第一次看到攻击者使用它来攻击 macOS 设备。 由于嵌入在动态库 （dylib） 中，该库由动态库 （dylib） 在运行时加载，使用这种方法不仅为恶意软件开发者提供了更多功能，而且还使恶意代码更难检测。 Flutter 应用程序布局 在进一步分析其中一款名为 New Updates in Crypto Exchange （2024-08-28）的应用程序时，Jamf 发现 dylib 中的混淆代码支持 AppleScript 执行，使其能够执行从命令和控制 （C2） 服务器发送的脚本。该应用程序打开了一个适用于 macOS 的扫雷游戏，其代码可在 GitHub 上免费获得。 Jamf 发现的 6 个恶意应用程序中有 5 个具有用合法的开发人员 ID 签名，并且恶意软件已通过公证，这意味着这些应用程序被苹果的自动化系统扫描并被认为安全。 经过安全签名、带有木马的扫雷游戏 Jamf 还发现了两款基于 Golang 和 Python 变体的应用，两者都向一个已知的与朝鲜有关联的域 “mbupdate.linkpc[.]net “发出网络请求，并具有脚本执行功能。 目前苹果已经撤销了 Jamf 发现的应用程序签名，因此这些应用如果加载到最新的 macOS 系统上将无法绕过 Gatekeeper 防御。 然而，目前尚不清楚这些应用程序是否曾经用于实际操作，或者仅用于“在野”测试中，以评估绕过安全软件的技术。     转自Freebuf，原文链接：https://www.freebuf.com/news/415171.html 封面来源于网络，如有侵权请联系删除

微软已经确认，上个月的Windows安全更新正在破坏Windows 11 22H2和23H2系统上的SSH连接。 这个新确认的问题影响了企业、物联网(IoT)和教育客户，微软表示，只有“有限数量”的设备受到影响。 微软还在调查使用Windows 11家庭版或专业版的消费者客户是否受到影响。 “在安装2024年10月安全更新后，一些客户报告称OpenSSH（开放安全外壳）服务无法启动，阻止了SSH连接。”公司在10月补丁星期二KB5044285累积更新和KB5044380预览更新的支持文档更新中解释道。 “该服务失败时没有详细的日志记录，需要手动干预才能运行sshd.exe进程。” 在修复可用之前，受影响的客户仍然可以通过更新受影响目录上的访问控制列表(ACL)权限来临时修复这些SSH连接问题，具体步骤如下： 1. 以管理员身份打开PowerShell。 2. 更新“C:\ProgramData\ssh和C:\ProgramData\ssh\logs”文件夹的权限（并对“C:\ProgramData\ssh\logs”重复这些步骤），允许SYSTEM和管理员组完全控制权限，同时允许经过身份验证的用户读取权限。如果需要，你可以通过修改权限字符串来限制特定用户或组的读取权限。 3. 使用以下Powershell脚本更新权限： 微软正在积极寻找解决方案，该方案将通过即将到来的Windows更新推出。 11月9日，公司透露10月补丁星期二更新解决了影响Windows 11 24H2设备的指纹传感器冻结问题。 在指纹问题解决后，还删除了阻止受影响系统上Windows 11 24H2升级的安全防护。 上个月，微软修复了9月预览累积更新中的一个已知问题，该问题阻止一些应用程序在非管理员账户下启动在Windows 10 22H2系统上运行。 还解决了另一个问题，该问题导致安装了7月安全更新后，Windows服务器在企业网络中中断远程桌面连接。     转自E安全，原文链接：https://mp.weixin.qq.com/s/C_1CleTFPGiEOkdGNUe8og 封面来源于网络，如有侵权请联系删除

以色列各地的信用卡刷卡设备在周日（10日）出现故障，疑似由于网络攻击影响了支撑这些设备运行的通信服务。 超市和加油站的顾客因设备故障无法进行支付，事件持续了大约一个小时。 据《耶路撒冷邮报》报道，故障原因是当地支付网关公司Hyp旗下产品CreditGuard遭到分布式拒绝服务（DDoS）攻击。 这次攻击扰乱了信用卡终端与更广泛的支付系统之间的通信，但并未导致任何信息或支付数据被盗取。 Hyp公司发言人向《耶路撒冷邮报》透露，已排除了针对公司网络和基础设施进行更大规模干扰的可能性。发言人表示，DDoS攻击主要针对“公司部分服务及与公司连接的通信提供商”，但攻击在被发现后迅速得到了遏制，服务也很快恢复正常。 以伊冲突引爆网络威胁态势 目前尚不清楚谁是此次攻击的幕后主使。据《以色列时报》报道，以色列第12频道新闻和陆军电台均指出，一个与伊朗有关的黑客组织声称对此次攻击负责，但是并未提供具体信源。 此次事件与今年10月份发生的类似攻击事件相似。当时，支付公司Sheba也遭遇DDoS攻击。那次攻击持续了大约三小时，导致支付中断。由于Sheba在以色列国家支付系统中扮演重要角色，借记卡支付的审批过程也因此受到了延迟。 自10月7日恐怖袭击以来，因地区冲突，以色列的民用基础设施遭遇了更多网络攻击，主要是由与伊朗和真主党相关的黑客团体以及其他政治动机驱动的黑客活动主义者发起的。 这些团体发动的网络攻击不仅影响了以色列本土，还波及了该地区之外的民用基础设施。去年，爱尔兰西部的一个偏远地区因亲伊朗黑客组织攻击一台设备，导致当地居民两天无法用水。黑客声称该设备由以色列公司犹尼康（Unitronics）制造。 当时，美国联邦政府也发布警告，表示正在处理针对犹尼康可编程逻辑控制器（PLC）的活跃攻击。这些控制器广泛应用于包括宾夕法尼亚州阿里奎帕市政水务局在内的许多水务部门。       转自安全内参，原文链接：https://www.secrss.com/articles/72299 封面来源于网络，如有侵权请联系删除

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

戴尔发布了企业SONIC操作系统的安全更新，以解决多个漏洞，其中包括可能允许攻击者入侵受影响系统的关键漏洞。 这些漏洞被识别为 CVE-2024-45763、CVE-2024-45764 和 CVE-2024-45765，影响戴尔企业 SONIC 操作系统 4.1.x 和 4.2.x。 CVE-2024-45763： 受影响的 SONiC 版本中存在操作系统命令注入漏洞，“具有远程访问权限的高权限攻击者可利用此漏洞，导致命令执行”。戴爾強烈建議升級至已修補的版本，以減輕此 9.1 CVSS 評級風險 CVE-2024-45764： 身份验证中关键步骤缺失漏洞允许 “拥有远程访问权限的未经身份验证的攻击者[利用]此漏洞，导致保护机制绕过”。该漏洞的 CVSS 得分为 9.0，因此需要立即升级 CVE-2024-45765： 另一个操作系统命令注入漏洞，CVSS 得分为 9.1，可使高权限命令在低权限角色下执行，从而导致命令执行。 该公告称：“这是一个严重程度很高的漏洞，因此戴尔建议客户尽早升级。” 戴尔已经发布了企业SONIC操作系统的更新版本，以解决这些漏洞。我们敦促用户尽快升级到4.1.6或4.2.2版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/301721 封面来源于网络，如有侵权请联系删除

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新，解决了多个漏洞，其中一些漏洞可能导致远程代码执行。 Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器，它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件，当这些文件被有漏洞的 Ghostscript 版本处理时，就会触发这些漏洞，导致代码执行或信息泄露。 最严重的漏洞包括 CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956： 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中，包括 PostScript 解释器和 PDF 处理模块。 CVE-2024-46954： 此漏洞涉及超长UTF-8编码，可被利用来实现目录遍历，潜在允许攻击者访问敏感文件。 CVE-2024-46955： 该漏洞虽然不太严重，但可能导致越界读取，从而泄露敏感信息。 鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用，这些漏洞凸显了安全文档处理的关键需求，特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。 强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本，以降低被利用的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/301733 封面来源于网络，如有侵权请联系删除

网络犯罪分子一直在寻找绕过安全防御的新方法，据 Perception Point 报道，最新的策略是利用 ZIP 连接向 Windows 用户发送木马恶意软件。这种技术利用了 ZIP 文件格式的灵活性，允许攻击者以躲避检测方法的方式嵌入恶意有效载荷。 ZIP 文件压缩效率高、使用方便，因此被广泛用于捆绑文件。然而，这种结构也可能被利用。威胁者可以通过将多个 ZIP 压缩文件串联成一个文件来操纵 ZIP 文件。Perception Point 的报告解释说：“在处理连接的 ZIP 文件方面存在的这种差异使攻击者可以通过将恶意有效载荷隐藏在某些 ZIP 阅读器无法访问或不访问的存档部分来躲避检测工具”。 这种规避策略的影响因所使用的 ZIP 阅读器而异： 7zip： 它只显示存档的一部分，通常是良性文件，而潜在的恶意内容仍被隐藏。 WinRAR：这一工具可揭示整个有效载荷，同时暴露良性和恶意内容。 Windows 文件资源管理器： 它很难处理连接的 ZIP 文件，用户往往看不到隐藏的内容。 Perception Point 强调指出，这种可变性允许攻击者针对特定软件进行攻击。正如报告中指出的，“许多安全厂商依赖于流行的 ZIP 处理程序，如 7zip 或操作系统本地工具……威胁行为者知道这些工具经常会错过或忽略隐藏在压缩包中的恶意内容。” Perception Point 的分析发现了一个钓鱼电子邮件活动，该活动分发了一个伪装成合法运输文件的压缩 ZIP 文件。这个名为 SHIPPING_INV_PL_BL_pdf.rar 的恶意文件一旦用 WinRAR 或 Windows 文件资源管理器打开，就会发现档案中隐藏了一个可执行木马。该木马使用 AutoIt 脚本嵌入，能够下载额外的恶意有效载荷，有可能导致严重的系统危害。 Perception Point 推出了 “递归解包器”，这是一种专有的反规避算法，能够检测和提取深层隐藏的内容。通过分析连接的 ZIP 文件的每一层，Recursive Unpacker 可降低风险并提高对潜在威胁的可见性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301742 封面来源于网络，如有侵权请联系删除  

据BleepingComputer消息，Code White 安全研究员最近披露了一个关键的Veeam备份和复制（VBR）安全漏洞，并被用来部署Frag勒索软件。 Veeam是一家知名的数据管理供应商，官方表示全球有55万名客户使用其产品，其中包括全球 2000 强名单中约 74% 的公司。在早前，Veeam VBR已先后成为Akira和Fog勒索软件的目标。 研究员发现，该漏洞（跟踪为 CVE-2024-40711）是由不受信任的数据弱点反序列化引起，未经身份验证的威胁行为者可以利用这些数据弱点在 Veeam VBR 服务器上获得远程代码执行 （RCE）。 Frag勒索软件赎金票据 watchTowr Labs 于 9 月 9 日发布了对 CVE-2024-40711 的技术分析，并将概念验证漏洞的发布时间推迟到 9 月 15 日，以便管理员有足够的时间应用 Veeam 于 9 月 4 日发布的安全更新。 由于存在可能会立即被勒索软件团伙滥用的风险，Code White 在披露该漏洞时也推迟了分享更多细节。Veeam VBR 软件是攻击者寻求快速访问公司备份数据的热门目标，许多企业将其用作灾难恢复和数据保护解决方案，以备份、恢复和复制虚拟机、物理机和云计算机。 然而，Sophos X-Ops 事件响应人员发现，这对延缓 Akira 和 Fog 勒索软件攻击的作用微乎其微。 威胁者利用 RCE 漏洞和窃取的 VPN 网关凭据，在未打补丁和已暴露于互联网的服务器上向本地管理员和远程桌面用户组添加恶意账户。 最近，Sophos 还发现同一威胁活动集群（跟踪为 “STAC 5881″）在攻击中使用了 CVE-2024-40711 漏洞，导致 Frag 勒索软件被部署到被入侵的网络上。 2023 年 3 月，Veeam 修补了另一个高严重性 VBR 漏洞 (CVE-2023-27532)，该漏洞可让恶意行为者攻破备份基础设施。       转自Freebuf，原文链接：https://www.freebuf.com/news/414973.html 封面来源于网络，如有侵权请联系删除

图片来源：安全客 趋势科技研究公司的一份最新报告指出，巴西出现了一种鱼叉式网络钓鱼活动，该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件，以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”，他们采用了复杂的技术来逃避检测，对该地区的制造企业、零售企业和政府机构构成了严重威胁。 该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始，这种策略旨在引诱毫无戒心的用户。报告称，“这些电子邮件的附件通常伪装成个人所得税文件”，而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”（违规通知），诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后，会通过 mshta.exe 工具运行嵌入的 JavaScript 命令，而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。 最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片： 趋势科技研究 趋势科技研究人员解释说：“除了 LNK 文件外，ZIP 文件还包含另一个文件，其中有类似的混淆 JavaScript 命令，”这些命令在执行过程中会被解码，并连接到命令与控制（C&C）服务器以获取进一步的指令。 该活动的核心是 Astaroth，这是一种臭名昭著的银行木马，可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟，它就会造成长期破坏，不仅包括数据盗窃，还包括监管罚款、业务中断和失去消费者信任。 报告说：“虽然 Astaroth 看起来像是一个古老的银行木马，但它的再次出现和持续演化使其成为一个持久的威胁。” Water Makara 采用了先进的混淆技术，使检测变得困难。研究人员发现，编码后的 JavaScript 命令会指向恶意 URL，如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA)，这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。 巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出：“鱼叉式网络钓鱼活动主要针对巴西的公司，其中受影响最大的是制造公司、零售公司和政府机构。” 报告总结道：“Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件，这凸显了人类意识的关键作用。” 随着巴西继续面临来自复杂网络行为者的日益严重的威胁，防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法，将技术防御与强大的用户教育相结合。     转自安全客，原文链接：https://www.anquanke.com/post/id/300950 封面来源于网络，如有侵权请联系删除

近日，研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。 网络安全公司 Trend Micro 的研究人员说，攻击者正试图在攻击中整合 EDRSilencer，以逃避检测。 被“静音”的EDR 产品 端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。 它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应，同时向防御者发送有关威胁来源、影响和传播的详细报告。 EDRSilencer 是受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具，可检测运行中的 EDR 进程，并使用 Windows 过滤平台（WFP）监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。 WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性。 通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止警报和详细遥测报告的发送。 在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括： 微软卫士 SentinelOne FortiEDR Palo Alto Networks Traps/Cortex XDR 思科安全端点（前 AMP） ElasticEDR Carbon Black EDR 趋势科技 Apex One 阻止硬编码可执行文件的传播，来源：趋势科技 趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。 不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具。 趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性。 研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的情况下成功攻击的可能性。 EDRSilencer 攻击链，来源：趋势科技 趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。 此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。     转自FreeBuf，原文链接：https://www.freebuf.com/news/412912.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，与朝鲜相关的恶意软件 FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。 研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。 美国相关机构于2018 年 10 月首次记录了 FASTCash，称至少自 2016 年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于 30 多个不同国家/地区的 ATM 机成功实施了攻击；2018年，同样的攻击又在 23 个不同国家的 ATM 机中上演。 虽然之前的 FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux 系统，相关样本于 2023 年 6 月中旬首次提交到了 VirusTotal 平台。 该恶意软件为Ubuntu Linux 20.04 编译的共享对象（“libMyFc.so”）形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从 12000 到 30000 里拉（350 美元到 875 美元）不等 。 攻击示意图 Linux 变体的发现进一步强调了对足够强大的检测能力的需求，而 Linux 服务器环境中通常缺乏这些功能，建议对借记卡实施芯片和 PIN 要求、要求并验证发卡机构金融请求响应信息中的信息验证码，并对芯片和 PIN 交易执行授权响应加密验证。 参考来源：New Linux Variant of FASTCash Malware Targets Payment Switches in ATM Heists     转自FreeBuf，原文链接：https://www.freebuf.com/news/412963.html 封面来源于网络，如有侵权请联系删除

美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。 官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。 Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。” 参考资料：https://statescoop.com/maryland-state-bug-bounty-program-2024/     转自安全内参，原文链接：https://www.secrss.com/articles/71270 封面来源于网络，如有侵权请联系删除

区块链技术解决方案公司OwlTing因开放了对AWS存储（S3）的访问，不慎暴露了765,000用户的敏感数据。此次数据泄露主要影响了台湾方面入住过酒店的客人。 7月29日，Cybernews研究团队在例行的开源情报（OSINT）调查中，发现了一个配置错误的亚马逊S3存储桶，其中存储了大量文件。S3存储桶是亚马逊网络服务（AWS）上的简单云存储容器，类似于用于存储文件的文件夹。 该存储桶中的超过168,000个CSV和XLSX文档包含了超过765,000名客户的个人身份信息（PII）。 此次泄露被归咎于OwlTing，这是一家服务于全球旅游、食品安全、酒店业和其他电子商务领域的台湾公司，提供着广受认可的区块链解决方案。 该公司确认了这一事实，并采取了相应的措施来遏止泄露。然而，它对事件的严重性有所弱化，称：“此次泄露不涉及任何敏感数据。” 但Cybernews研究人员警告说：“姓名、电话号码和酒店预订详情等个人信息的泄露，可能导致各种形式的身份盗窃和欺诈，给被泄漏方带来严重风险。” 那么究竟泄露了哪些数据呢？ 暴露的数据似乎与酒店管理服务有关，并且主要包含了来自Booking、Expedia等流行平台的预订数据。 泄露的数据包括以下内容： 全名 电话号码和一些电子邮件地址 酒店预订详情，如订单日期、登记入住和退房、房间号码和类型、支付和未付金额、货币以及用于预订的各项服务。 图片来源：cybernews 泄露的电子邮件地址大约有3,000个，但大多数电话号码皆被收集，总数接近900万条。 暴露电话号码中超过92%属于台湾用户，与此同时还包括来自日本、香港、新加坡、马来西亚、泰国和韩国的数千名用户和欧洲国家的数百名用户，但几乎没有识别出美国用户。 数据可能被攻击者使用 Cybernews研究人员警告说，暴露的数据对专门从事鱼叉式网络钓鱼、语音钓鱼（vishing）、短信钓鱼（Smishing）和其他社交工程攻击的网络犯罪分子来说非常有价值。此外，数据可能与其他过去的泄露结合起来，试图进行金融欺诈或账户入侵攻击。 研究人员警告说：“攻击者可以使用过去的酒店预订详情，进行极具欺骗性的网络钓鱼行为。例如，一条短信或电子邮件引用在特定酒店的住宿，请求反馈或为未来的预订提供折扣，都可能会诱使个人点击恶意链接或提供更多个人信息。” 欺诈者可以使用电话号码给用户打电话或发送短信，假装是酒店或相关服务的人，索要敏感信息，如信用卡号或密码。此外，一长串电话号码可能被用于非法的自动拨号。 网络跟踪（Doxxing）是另一个严重威胁，因为网络犯罪分子已知会在互联网上搜索可能用于推进其财务或个人议程的敏感材料。 网络犯罪分子会使用AI和其他智能工具大规模发起攻击。 Cybernews研究团队无法验证数据是否被任何威胁行为者或其他第三方访问。我们联系了OwlTing以获取额外评论，但在发布前没有收到回应。 谨慎对待亚马逊S3存储桶 Cybernews研究人员建议在亚马逊S3存储桶暴露时采取以下缓解步骤： 更改访问控制以限制公开访问并保护存储桶。更新权限以确保只有授权用户或服务具有必要的访问权限。 监控访问日志，以评估存储桶是否被未经授权的行为者访问。 启用服务器端加密以保护静态数据。 使用AWS密钥管理服务（KMS）安全地管理加密密钥。 实施SSL/TLS以确保数据传输中的安全通信。 考虑加强安全实践，包括定期审计、自动化安全检查和员工培训。 OwlTing成立于2010年，总部位于台湾，专门提供多个领域的区块链技术解决方案。该公司在全球范围内设有办事处，包括美国、日本、马来西亚、泰国和新加坡。 披露时间线 2024年7月29日：发现泄露。 2024年8月2日：发送初次披露电子邮件，并随后发送了多封跟进电子邮件。 2024年9月13日：通知台湾CERT。 2024年9月19日：关闭了对数据的访问。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文