HackerNews

HackerNews 编译，转载请注明出处： 网络安全公司 ESET 在其 2024 年下半年报告中指出，Lumma Stealer 信息窃取恶意软件在网络犯罪领域迅速崛起，检测量激增了 369%。 自 2022 年首次现身以来，Lumma Stealer 逐步崭露头角，最终在 2024 年下半年跻身 ESET 产品检测的十大信息窃取者之列。这款恶意软件主要针对两因素认证（2FA）浏览器扩展、用户凭证及加密货币钱包发起攻击。 在众多信息窃取者中，长期占据主导地位的 Agent Tesla 恶意软件已被 Formbook 取代。Formbook（又称 XLoader）自 2016 年以来一直活跃于网络犯罪领域，因其作为恶意软件即服务（MaaS）的性质而持续得到开发，并频繁被网络犯罪分子利用。ESET 的一位恶意软件分析师在报告中指出，Formbook 的活跃度持续不减。 与此同时，尽管臭名昭著的“信息窃取者即服务”Redline Stealer 在 2024 年 10 月作为“Magnus 行动”的一部分被国际执法机关拆除，但 ESET 认为，这一行动将促使其他类似威胁的扩张。ESET 恶意软件研究员 Alexandre Côté Cyr 表示，RedLine 信息窃取者的创作者不太可能尝试恢复该恶意软件，因为执法机关已掌握其用户名和最后使用的 IP 地址。他预计，RedLine 被拆除后留下的权力真空将导致其他恶意软件即服务信息窃取者活动的增加。 在勒索软件方面，ESET 分析指出，LockBit 勒索软件被拆除后，其他威胁行为者正在填补这一空缺。值得注意的是，RansomHub 勒索软件即服务在 2024 年下半年占据主导地位，到下半年结束时已累积数百个受害者。 ESET 威胁检测总监 Jiří Kropáč 评论道：“2024 年下半年，网络犯罪分子忙于寻找安全漏洞和创新方式，以扩大受害者群体，继续与防御者进行猫捉老鼠的游戏。因此，我们在遥测数据中观察到新的攻击途径和社交工程方法，以及新威胁的激增。同时，拆除行动也导致了之前稳定的威胁排名发生变化。”   消息来源：Infosecurity Magazine，编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，欧洲航天局（ESA）官方网店成为黑客的攻击目标。攻击者在结账环节植入了恶意JavaScript代码，制造了一个假冒的Stripe支付页面。 欧洲航天局致力于拓展太空探索边界，通过培训宇航员和研发火箭、卫星等设备，深入探索宇宙奥秘，其预算超过100亿欧元。 目前，ESA网店已暂停服务，页面显示“暂时脱离轨道”。该恶意脚本已收集顾客信息，包括支付卡数据等敏感内容。 电子商务安全专家Sansec昨日发现此恶意脚本，并发出警告，称网店系统与ESA内部系统可能存在集成，这或将威胁到ESA员工的安全。 Sansec发现，窃取信息的域名与官方销售ESA商品的网店域名相同，但使用了不同的顶级域（TLD）。 虽然欧洲航天局的官方商店使用“.com”后缀的“esaspaceshop”域名，但黑客使用的是相同的名称，且顶级域名为“.pics”（即esaspaceshop[.]pics），这一点在ESA商店的源代码中可以看到： 恶意JavaScript代码注入到ESA网店 该脚本包含了来自Stripe SDK的混淆HTML代码，当客户尝试完成购买时，加载了一个虚假的Stripe支付页面。 值得注意的是，虚假的Stripe页面并不显得可疑，尤其是在它从ESA官方网店加载时。 虚假的Stripe支付页面显示在ESA网店中 网络应用安全公司Source Defense Research确认了Sansec的发现，并监测到ESA官方网店曾加载了虚假的Stripe支付页面。 BleepingComputer昨日就此事向ESA求证。在收到回复前，我们发现网店虽已撤下虚假支付页面，但恶意脚本仍潜藏在网站源代码中。 ESA后续回应称，该网店并未托管在其基础设施上，且机构不管理商店数据，因不拥有这些数据。这一信息通过whois查询得到验证，查询显示了ESA域名（esa.int）及其网店的完整信息，但出于隐私保护，联系数据已被隐藏。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自10月起，一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。 该僵尸网络的攻击目标不仅限于DigiEver设备，还包括多个网络视频录制机（NVR）和固件版本过时的TP-Link路由器。 TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现，尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞，但相关活动迹象至少可以追溯到9月。 此外，这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。 攻击DigiEver NVR 被利用来攻破DigiEver NVR的漏洞是一个远程代码执行（RCE）漏洞，攻击者通过利用’/cgi-bin/cgi_main.cgi’ URI中的不正确用户输入验证来发动攻击。 这使得远程未认证的攻击者能够通过特定参数（如HTTP POST请求中的ntp字段）注入命令，如’curl’和’chmod’。 Akamai表示，该Mirai僵尸网络的攻击与Ta-Lun Yen演示中描述的攻击非常相似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加定时任务（cron jobs），攻击者实现了持久化。 一旦设备被攻陷，它将被用于发起分布式拒绝服务（DDoS）攻击，或通过利用漏洞集和凭证列表传播到其他设备。 Akamai指出，这个新的Mirai变种在技术上具有显著特点，它运用了XOR和ChaCha20加密技术，并且能够针对x86、ARM和MIPS等多种系统架构发起攻击。 Akamai评论道：“尽管采用复杂的解密手段并非首次出现，但这无疑表明Mirai僵尸网络的运营者正在持续更新其战术、技术和程序。” 研究人员进一步强调：“这一现象尤为值得关注，因为许多基于Mirai的僵尸网络至今仍依赖从原始Mirai恶意软件源代码中沿用的字符串混淆逻辑。” 此外，该僵尸网络还利用了另外两个已知漏洞：CVE-2018-17532（影响Teltonika RUT9XX路由器）和CVE-2023-1389（影响TP-Link设备）。 Akamai报告的末尾提供了与该活动相关的攻击指示符（IoC）以及用于检测和防御该威胁的Yara规则，以帮助企业和安全团队有效应对这一新型Mirai变种带来的挑战。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，在使用介质支持工具安装Windows 11版本24H2时，操作系统可能无法接受后续的安全更新。 该问题发生在使用CD和USB闪存驱动器安装Windows 11版本时，且包含了2024年10月8日至11月12日之间发布的安全更新。 “当使用安装介质安装Windows 11版本24H2时，设备可能会保持在无法接受后续Windows安全更新的状态。” 微软警告称。 “此问题仅在创建的介质中包含了2024年10月或2024年11月的安全更新时发生。” 微软解释道。 该漏洞不会影响通过Windows Update或Microsoft Update Catalog网站应用的安全更新，并且在使用2024年12月的最新安全更新时不会发生此问题。 微软目前正在着手修复此问题，并建议使用安装介质安装Windows 11 24H2时，使用2024年12月10日发布的最新安全更新，以避免遇到后续的更新问题。 Windows 11 24H2问题 这个安装介质问题是Windows 11 24H2版本一系列问题中的一部分，该版本是微软今年发布的最新重要功能更新，旨在提供增强的安全性、可用性和性能。 此前，Windows 11 24H2用户已经遭遇了多个问题，包括Dirac设备或USB DAC音响系统的音频问题、使用过时的Google Workspace同步时的Outlook启动问题、Auto HDR导致的游戏卡顿和颜色不正确的问题，以及支持eSCL协议的USB扫描仪的功能问题。 特别需要注意的是，这次主要的Windows更新在多个Ubisoft游戏上导致了性能问题、崩溃、冻结和音频故障，包括《刺客信条》、《星球大战：流亡者》和《阿凡达：潘多拉边境》等热门游戏。 Windows 11 24H2更新甚至在特定的华硕硬件以及其他一些软件/硬件配置上被暂时阻止，因为这些配置会引发问题。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客近期发起了一项名为“Contagious Interview”（传染性面试）的行动，通过虚假的职位邀请针对软件开发人员，传播一种新型恶意软件——“OtterCookie”。 据网络安全公司Palo Alto Networks和NTT Security Japan的研究分析，这项行动自2022年12月以来一直在活跃，并已经演化了多种攻击手段。最初，该行动主要利用BeaverTail和InvisibleFerret等恶意软件进行攻击，但来自NTT Security Japan的报告指出，Contagious Interview行动现在正在使用一种新的恶意软件，名为OtterCookie，该恶意软件可能于2023年9月首次被引入，且在11月出现了新的变种。 与Palo Alto Networks Unit42研究员记录的攻击类似，OtterCookie通过一个加载器传递，该加载器获取JSON数据并将“cookie”属性作为JavaScript代码执行。 NTT表示，尽管BeaverTail仍然是最常见的有效载荷，OtterCookie在一些情况下与BeaverTail一同部署，或单独使用。 该加载器通过从GitHub或Bitbucket下载的Node.js项目或npm包感染目标。然而，最近也使用了构建为Qt或Electron应用程序的文件。 攻击概述 图源：NTT Japan 一旦OtterCookie在目标设备上激活，它会使用Socket.IO WebSocket工具与其命令控制（C2）基础设施建立安全通信，并等待接收指令。 研究人员观察到执行数据窃取的Shell命令（例如收集加密货币钱包密钥、文档、图片及其他有价值信息）。 NTT解释道：“9月版本的OtterCookie已包含内置功能，用于窃取与加密货币钱包相关的密钥。” “例如，checkForSensitiveData函数使用正则表达式检查以太坊私钥，”研究人员指出，并补充说，11月版本的恶意软件对这一点进行了修改，改为通过远程Shell命令来实现此功能。 锁定加密货币信息 图源：NTT Japan 最新版本的OtterCookie还可以将剪贴板数据泄露给威胁行为者，这些数据可能包含敏感信息。 研究人员还检测到一些典型的侦察命令，如ls和cat，这表明攻击者意图探索目标环境，为进一步的深入渗透或横向移动做准备。 OtterCookie恶意软件的出现以及感染方法的多样化，表明Contagious Interview行动背后的威胁行为者正在尝试新的战术。 针对这一威胁，软件开发人员应当提高警惕，核实潜在雇主的信息，避免在个人或工作计算机上随意运行代码，尤其是在应聘过程中要求进行编程测试时。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，锐捷网络（Ruijie Networks）开发的云管理平台存在安全漏洞，可能使攻击者远程操控网络设备。 Claroty公司的研究人员Noam Moshe和Tomer Goldschmidt在报告中指出，这些漏洞不仅影响Reyee平台，还波及Reyee OS网络设备。一旦漏洞被利用，攻击者能在任何支持云功能的设备上执行代码，从而控制大量设备。 在对物联网（IoT）厂商进行深入分析时，Claroty发现了10个漏洞，并设计了“Open Sesame”攻击方法。该方法可通过云平台远程入侵接入点，实现未授权访问。 CVE-2024-47547（CVSS评分9.4）：弱密码恢复机制，易受暴力破解攻击。 CVE-2024-48874（CVSS评分9.8）：服务器端请求伪造（SSRF）漏洞，攻击者可访问内部服务及云基础设施。 CVE-2024-52324（CVSS评分9.8）：允许发送恶意MQTT消息，执行任意操作系统命令。 此外，CVE-2024-45722（CVSS评分7.5）漏洞表明，知道设备序列号即可破解MQTT认证，进而攻击MQTT代理，获取云连接设备序列号列表。 研究人员表示，利用序列号可生成有效认证凭据，执行拒绝服务攻击，包括认证、断开连接、发送伪造消息等，甚至向用户发送虚假数据。 攻击者若接近锐捷接入点的Wi-Fi网络，可通过拦截Wi-Fi信标提取序列号，利用MQTT通信漏洞实现远程代码执行。该攻击被命名为CVE-2024-47146（CVSS评分7.5）。 锐捷网络已修复所有漏洞，无需用户操作。预计约5万台云连接设备受影响。 研究人员表示，这是物联网设备（如无线接入点、路由器和其他连接设备）中的弱点的又一例，这些设备通常很容易进入，但却能够进行更深层次的网络攻击。 此次披露正值PC Automotive安全公司发现12个漏洞，影响某些斯柯达汽车的MIB3娱乐信息单元，恶意攻击者可能通过这些漏洞将其链式利用来执行代码、实时追踪汽车位置、通过车载麦克风录音、截取娱乐显示屏的屏幕截图，甚至窃取联系人信息。 这些漏洞（CVE-2023-28902至CVE-2023-29113）允许攻击者通过蓝牙“获得MIB3娱乐信息单元的代码执行权限”，提升至root权限，绕过安全启动获取持久的代码执行权限，并且每次汽车启动时通过DNS通道控制娱乐信息单元。PC Automotive的研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，美国司法部（DoJ）公布了对巴西库里奇巴29岁公民Junior Barros De Oliveira的起诉书。De Oliveira涉嫌通过黑客攻击威胁勒索，已被起诉四项与从受保护计算机获取信息相关的勒索威胁罪名，以及四项威胁通讯罪名。 案件受害者是一家新泽西州公司在巴西的子公司，其计算机系统于2020年3月遭到De Oliveira的入侵。他利用获取的访问权限，至少三次窃取约30万名客户的机密信息。 2020年9月，De Oliveira通过假名向该公司首席执行官发送电子邮件，要求支付300比特币（约320万美元），否则将泄漏公司数据。一个月后，他又将同一邮件转发给首席执行官及巴西子公司高管。 在后续邮件中，De Oliveira表示愿“协助解决安全漏洞”，但要求75比特币（约80万美元）作为咨询费，并提供了支付到比特币钱包的详细指南。 若罪名成立，每项勒索威胁罪名最高可判5年监禁，并处25万美元或非法获利/损失两倍的罚款（以较高者为准）；每项威胁通讯罪名最高可判2年监禁，并处相同额度的罚款。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。 该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。 项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ” Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。 腾讯云鼎安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。 此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。 它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。 建议用户将其实例更新到软件的最新版本，以防范潜在威胁。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/AlMi5CgBPNhmkSF0h-fhzQ 封面来源于网络，如有侵权请联系删除

美国成瘾治疗中心（AAC）是一家营利性成瘾治疗连锁机构，其遭遇网络安全事件，导致 422,424 人的个人记录泄露。 根据该公司发送给受影响人员的通知函，泄露的数据可能包括姓名、地址、电话号码、出生日期、医疗记录号和其他标识符。 ACC 表示，社会安全号码和健康保险信息也可能被泄露，但患者的治疗信息或支付卡数据不会泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日左右发现了一起网络安全事件，并表示已立即展开调查。该公司已通知执法部门并聘请第三方网络安全专家提供帮助。 调查确定，9 月 23 日至 9 月 26 日期间，“未经授权的一方”从 AAC 系统中窃取了一些数据。 该公司告诉客户：“我们对受影响的数据进行了彻底审查，以确定涉及哪些信息以及与数据相关的个人。”该公司还表示，“目前”尚未发现与该事件有关的任何身份盗窃或欺诈行为。 此次泄密事件影响了 AAC 及其附属供应商的客户，包括 AdCare、Greenhouse、Desert Hope Center、Oxford Treatment Center、Recovery First、Sunrise House、River Oaks Treatment Center 和 Laguna Treatment Hospital。 近期一系列网络安全事件让多家医疗服务提供商成为攻击目标。Regional Care 的数据泄露事件发生于 9 月中旬，本月初已报告此事，影响 22.5 万人。 总部位于马里兰州的静脉修复中心 (CVR)遭遇重大数据泄露，影响了 446,000 人的数据；而位于马萨诸塞州的安娜雅克医院 (AJH) 遭遇的攻击则导致超过 316,000 人的数据受到影响。 攻击者针对医疗保健机构主要有两个原因：这些机构通常保护不力，而且他们保存的数据非常有价值。例如，攻击者可以利用泄露的信息进行健康身份欺诈，使恶意攻击者能够获得处方药。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WVVU9xYidj3jr_xORgV7sA 封面来源于网络，如有侵权请联系删除

据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除

近期CloudSEK的TRIAD团队发现了Postman Workspaces（一个流行的基于云的API开发和测试平台）的严重安全漏洞和风险。 在为期一年的调查中，研究人员发现超过30,000个公开可访问的工作区泄露了关于第三方API的敏感信息，包括访问令牌、刷新令牌和第三方API密钥。 根据该公司与Hackread.com分享的报告，泄露的数据涵盖了各个行业从小型企业到大型企业，影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务，使组织面临众多威胁和安全风险。 研究人员指出，导致这些数据泄露的常见做法包括无意中共享Postman集合、访问控制配置错误、与公开可访问的存储库同步，以及在未经加密的情况下以明文形式存储敏感数据。 这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥和对内部系统的访问权限，可能导致受影响组织遭受财务和声誉损害。 Postman中的敏感数据泄露对个人开发者和整个组织都可能产生重大影响。据报道，像api.github.com、slack.com和hooks.slack.com这样的顶级API服务拥有更多的暴露秘密。Salesforce.com、login.microsoftonline.com和graph.facebook.com等高知名度服务也已被曝光。 ZenDesk凭据泄露和Razorpay API密钥泄露 （来源CloudSec） 泄露的API密钥或访问令牌可以为攻击者提供对关键系统和数据的直接访问权限，可能导致数据泄露、未经授权的系统访问以及增加网络钓鱼和社会工程攻击。 Postman通常存储敏感信息，如API密钥、秘密和个人身份信息（PII）。为确保数据安全，组织应明智地使用环境变量，限制权限，避免使用长期令牌，使用外部秘密管理，并在共享任何集合或环境之前进行双重检查。 为了防止此类暴露，CloudSEK敦促组织采取更可靠的安全措施，例如使用环境变量以避免硬编码敏感数据，限制权限，频繁轮换令牌，利用机密管理工具，并在共享之前仔细检查集合。 此外，Postman在披露这些发现后实施了一项秘密保护策略，以防止敏感数据在公共工作区中被暴露。该策略会在检测到机密时提醒用户，提供解决方案，并促进过渡到私有或团队工作区。 “从本月开始，我们将从公有API网络中移除那些已知含有暴露密钥的公共工作区。随着我们推出这项政策变更，含有密钥的公共工作区的所有者将会被通知，并有机会在他们的工作区被从网络中移除之前，先移除那些暴露的密钥。”公司指出。     转自E安全，原文链接：https://mp.weixin.qq.com/s/KoI6XjgpBfL_2fZn_1qo4w 封面来源于网络，如有侵权请联系删除

Apache 软件基金会（ASF）发布了一项安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞在特定条件下可能导致远程代码执行（RCE）。 被追踪为 CVE-2024-56337 的漏洞，被描述为对 CVE-2024-50379（CVSS 评分：9.8）的不完整修复，这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。 项目维护者在上周的咨询中表示：“在大小写不敏感的文件系统上运行 Tomcat，并且默认 servlet 写入功能启用（readonly 初始化参数设置为非默认值 false）的用户，可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置，以完全缓解 CVE-2024-50379。” 这两个漏洞都是检查时间与使用时间（TOCTOU）竞态条件漏洞，当默认 servlet 被设置为允许写入时，可能会导致在大小写不敏感的文件系统上执行代码。 Apache 在 CVE-2024-50379 的警报中指出：“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。” CVE-2024-56337 影响以下版本的 Apache Tomcat： – Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复） – Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复） – Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复） 此外，根据运行的 Java 版本，用户需要进行以下配置更改： – Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false（默认为 true） – Java 17 – 如果已经设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false） – Java 21 及更高版本 – 不需要采取行动，因为系统属性已被移除 ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证（PoC）代码。 这一披露是在 Zero Day Initiative（ZDI）分享了 Webmin（CVE-2024-12828，CVSS 评分：9.9）的一个关键漏洞细节时发布的，该漏洞允许经过身份验证的远程攻击者执行任意代码。 ZDI 表示：“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前，没有进行适当的验证。攻击者可以利用这个漏洞，在 root 权限下执行代码。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据Fortinet FortiGuard 实验室的最新发现，网络安全研究人员标记了两个恶意软件包，这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，并具备从受感染主机窃取敏感信息的功能。 这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。 安全研究员 Jenna Wang 表示，Zebo 是“恶意软件的典型例子，具有用于监视、数据泄露和未经授权的控制的功能”，并补充说 cometlogger“还显示出恶意行为的迹象，包括动态文件操纵、webhook 注入、窃取信息和反 [虚拟机] 检查”。 这两个软件包中的第一个 zebo 使用混淆技术（例如十六进制编码字符串）来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。 它还包含大量用于收集数据的功能，包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹，然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。 除了窃取敏感数据外，该恶意软件还通过创建批处理脚本在机器上设置持久性，该脚本启动 Python 代码并将其添加到 Windows 启动文件夹，以便在每次重新启动时自动执行。 另一方面，Cometlogger 功能丰富，可以窃取各种信息，包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。 它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外，它还包含检查以避免在虚拟化环境中运行，并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。 Jenna Wang 说：“通过异步执行任务，该脚本可以最大限度地提高效率，在短时间内窃取大量数据。” “虽然某些功能可能是合法工具的一部分，但缺乏透明度和可疑功能使其执行起来不安全。在运行代码之前务必仔细检查，并避免与来自未经验证来源的脚本进行交互。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FOgDVffQIhU4SBJe3cVOZA 封面来源于网络，如有侵权请联系删除

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Yen 记录了该活动所利用的漏洞之一，并于去年在罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示，该问题影响了多台 DVR 设备。 Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。 除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。 针对 DigiEver NVR 的攻击 被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。 这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。 Akamai 表示，它所看到的基于 Mirai 的僵尸网络发起的攻击与 Ta-Lun Yen 演示中描述的攻击类似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。 一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。 Akamai 表示，新的 Mirai 变种因使用 XOR 和 ChaCha20 加密以及针对包括 x86、ARM 和 MIPS 在内的广泛系统架构而著称。 Akamai 评论道：“尽管采用复杂的解密方法并不是什么新鲜事，但它表明基于 Mirai 的僵尸网络运营商的策略、技术和程序正在不断发展。” 研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码版本中包含的回收代码中的原始字符串混淆逻辑。” 研究人员指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的漏洞CVE-2018-17532以及影响 TP-Link 设备的漏洞CVE-2023-1389 。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/C-qEWotE2KDXBxKH2kMMyQ 封面来源于网络，如有侵权请联系删除

美国和日本当局将价值 3.08 亿美元的重大加密货币盗窃案归咎于曹县黑客。 美国联邦调查局、国防部网络犯罪中心和日本国家警察厅发出的警报称，2024 年 5 月对日本加密货币公司 DMM 的盗窃案是由一个曹县高级威胁组织实施的，该组织被追踪为TraderTraitor，又名 Jade Sleet、UNC4899 和 Slow Pisces。 机构透露，TraderTraitor 进行了有针对性的社会工程攻击，以访问和窃取加密货币资金。该活动始于 2024 年 3 月下旬，当时攻击者伪装成 LinkedIn 上的招聘人员，联系了日本企业加密货币钱包软件公司 Ginco 的一名员工。 该员工之所以成为攻击目标，是因为他们有权访问 Ginco 的钱包管理系统。 TraderTraitor 以 GitHub 页面上的入职前测试为幌子，向员工发送了一个指向恶意 Python 脚本的 URL 链接。受害者将 Python 代码复制到他们的个人 GitHub 页面上，随后遭到入侵。 2024 年 5 月中旬之后，黑客利用会话 cookie 信息冒充受感染的员工，成功获取了 Ginco 未加密通信系统的访问权限。 2024 年 5 月下旬，攻击者可能利用此访问权限操纵 DMM 员工的合法交易请求，导致 4,502.9 比特币损失，在攻击时价值 3.08 亿美元。 被盗资金随后被转移到 TraderTraitor 控制的钱包。 区块链分析公司 Chainalysis 于 12 月 19 日发布的一份报告发现，2024 年期间，与曹县有关的黑客在 47 起事件中窃取了价值 13.4 亿美元的加密货币。 这占全年被盗加密货币总量的 61%。 新的警报称，联邦调查局、日本国家警察厅和其他美国政府和国际合作伙伴将继续揭露和打击曹县的非法活动，包括网络犯罪和加密货币盗窃。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LtJX1rkcoRjao_kQS3qWew 封面来源于网络，如有侵权请联系删除

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。 漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。 概念验证PoC漏洞利用已存在 令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。 受影响的版本和补救措施 以下ColdFusion版本受到影响： ColdFusion 2023：更新11及更早版本 ColdFusion 2021：更新17及更早版本 Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本： ColdFusion 2023：更新12 ColdFusion 2021：更新18 Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。     转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）将其已知被利用漏洞（KEV）目录中增加了一个Acclaim Systems USAHERDS漏洞，该漏洞被追踪为CVE-2021-44207（CVSS评分：8.1）。 USAHERDS是由Acclaim Systems开发的基于网络的应用程序，旨在协助美国州政府追踪和管理动物健康和疾病爆发。它是AgraGuard产品套件的一部分，该套件包括USAHERDS、USALIMS、USAPlants、USAFoodSafety和USAMeals，旨在支持农业和食品安全运营。 该漏洞被中国网络间谍组织APT41利用，入侵了多个美国州政府网络。 这个漏洞源于硬编码凭证漏洞，影响了Acclaim USAHERDS网络应用程序7.4.0.1及更早版本。知道静态ValidationKey和DecryptionKey值的攻击者可以利用它们在运行应用程序的系统上执行任意代码。 攻击者可以制作恶意ViewState数据以绕过MAC检查，并触发服务器端代码执行。 “Acclaim USAHERDS网络应用程序7.4.0.1及更早版本，在2021年11月之前构建的版本使用了静态的ValidationKey和DecryptionKey值。”咨询报告中写道。“高风险——知道ValidationKey和DecryptionKey可以用来在运行应用程序的系统上实现远程代码执行。” 安全研究人员Douglas Bienstock来自Mandiant，他向公司报告了这个问题。Acclaim Systems通过在2021年11月发布补丁来解决这个问题，以修复漏洞。 根据《约束性操作指令》（BOD）22-01：减少已知被利用漏洞的重大风险，联邦民事机构必须在截止日期前解决已识别的漏洞，以保护他们的网络不受目录中漏洞被利用的攻击。 专家们还建议私营组织审查目录，并解决其基础设施中的漏洞。 CISA命令联邦机构在2025年1月13日之前修复此漏洞。     消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。 Lazarus Group利用恶意ISO文件来逃避检测，部署了木马化的VNC软件，以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。 研究人员还在受感染的主机上发现了CookieTime恶意软件，该恶意代码在LPEClient安装后以SQLExplorer服务激活，最初执行C2命令，但现在主要用于下载有效载荷。 攻击者使用CookieTime下载了多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。 攻击者使用ServiceChanger恶意软件停止了一个合法服务，在磁盘上存储恶意文件，并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll，与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下，CookieTime也通过DLL侧加载被加载，并且支持多种加载方法和不同的入口点。 “由于CookiePlus充当下载器，它的功能有限，并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中，CookiePlus生成了一个32字节的数据数组，其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。 研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠，但都伪装成Notepad++插件，并使用类似的策略，如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用，看起来更为先进，与2024年初已知的MISTPEN样本相比，支持额外的执行选项。 Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而，CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。 “在其历史上，Lazarus Group只使用了少量的模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织正在不断努力改进他们的武器库和感染链，以逃避安全产品的检测。”报告总结道。“对于防御者来说，问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看，它似乎仍在积极开发中，这意味着Lazarus Group未来可能会添加更多插件。”       消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

哈马斯与以色列的冲突已经爆发一年多了，两大实体之间的网络战仍在继续，其中涉及各种各样的网络攻击者，并借鉴了其他全球冲突的剧本。 以下是此次网络战争期间的一些重大发展以及可以预期在 2025 年看到的形势。 初始阶段 哈马斯对以色列发动袭击后不久，十多个威胁组织宣布准备对巴勒斯坦、以色列及其各自的支持者发动网络攻击。这些组织包括 Killnet、Anonymous Sudan、Team insane、Mysterious Team Bangladesh 和 Indian CyberForce。 在最初的日子里， 首批遭受网络攻击的受害者是耶路撒冷邮报，它遭到了Anonymous Sudan（匿名者苏丹）的攻击，以及特拉维夫索拉斯基医疗中心遭到西尔赫特团伙的攻击，最终导致其运营中断。 随着网络攻击的持续，  Krypton 网络向有意攻击以色列组织的黑客分子出售其分布式拒绝服务 (DDoS) 功能。 攻击也从另一边袭来，据报道，ThreatSec 攻击了巴勒斯坦互联网服务提供商 AlfaNet，导致该公司的服务器关闭，并在此过程中控制了加沙 5,000 多台服务器。 随后，在 X 上的第一篇帖子中，亲以色列的黑客组织 Predatory Sparrow 再次出现在人们的视野中。 该组织对其追随者说：“你觉得这很可怕吗？我们回来了。我们希望你们关注加沙事件。”——并附上了一份关于美国派遣战斗机和军舰支持以色列的报道链接。 全球范围的网络战 冲突开始后大约一个月，美国联邦调查局局长克里斯托弗·雷 (Christopher Wray) 警告称，中东战争增加了针对美国的网络攻击威胁，并指出针对美国海外军事基地的袭击有所增加，预计未来将出现物理攻击和网络攻击。 联邦调查局再次发出警告，这次警告涉及网络犯罪分子伪装成筹款人和慈善机构，通过电子邮件、社交媒体、电话和众筹网站联系个人，所有这些都是为了让受害者相信他们的加密货币资金将流向以色列或巴勒斯坦受害者。 Netcraft 的一份报告追踪到这些虚假账户中有 160 万美元的加密货币，这是他们影响力的一次盛大展示。 到 2023 年底，以色列公司 CyTaka 雇佣了来自世界各地的网络黑客网络来对抗反以色列的在线活动，而被称为加沙网络帮 (Gaza Cybergang) 的网络攻击者则使用了Pierogi++ 后门恶意软件的变种来攻击巴勒斯坦和以色列目标。 年度回顾 去年年初，土耳其黑客在特拉维夫一家客流量很大的电影院里传播有关以色列和加沙冲突的政治暴力信息。 7 月，以色列陆军参谋长报告称，自冲突开始以来，已挫败约 30 亿次网络攻击 。针对以色列国防军 (IDF) 的网络攻击包括针对军队运作所必需的操作系统，但并未提供有关攻击性质的详细信息。 随后在 10 月，安全公司 ESET 报告了一起影响其以色列合作伙伴公司的 “安全事件”。该公司称，有一起恶意电子邮件活动已被拦截，并最终否认其系统存在任何真正的危害。 就在上个月，有报道称支持哈马斯及其议程的高级持续性威胁 (APT)“Wirte”正在对中东各国政府进行间谍活动 ，并对以色列进行擦除器攻击。 该 APT 使用包含文档、合法资源和恶意软件的网络钓鱼攻击，有时使用 IronWind 加载程序，该加载程序采用多阶段感染链来投放恶意负载。 未来展望 观察人士和业内专家预计，2025 年还会出现更多类似的情况。冲突加剧了网络威胁，国家背景的黑客组织和自发黑客团体会继续利用全球紧张局势。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 在发给 Dark Reading 的电子邮件声明中表示：“我们可以预见复杂的网络钓鱼活动、虚假信息和对关键基础设施的攻击将会升级。”“组织应该优先考虑实时威胁情报和先进的人工智能检测系统，以保持领先于不断发展的策略。” 此外，他建议各组织做好强有力的员工培训，并实施多层次的安全措施，以减轻未来的攻击。 Kowski 补充道：“这对于防御预计将激增的社会工程学和有针对性的恶意软件攻击至关重要。” Bambenek Consulting 总裁约翰·巴姆贝内克 (John Bambenek) 则持不同看法。巴姆贝内克在发给 Dark Reading 的电子邮件声明中表示：“目前，哈马斯遭受了巨大损失，他们更注重生存，甚至在网络领域的能力也大大减弱。” 他认为，2025 年，人们的注意力应该集中在伊朗身上，因为伊朗是这场冲突中的主要力量。 “如果最近的报道属实，以色列正在考虑在短期内对伊朗进行军事打击，那么这很可能很容易升级为网络战。”他说。“  Team82 最近的研究表明，如果事态升级，伊朗政府已经决定进行实地测试，并预先部署广泛发动 ICS/OT 攻击的能力，而这些攻击很可能包括美国和欧洲。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/izjiorVaHiRLNaGFNGV_ow 封面来源于网络，如有侵权请联系删除

Sophos在上周发布的新报告中表示：“似乎运营[Rockstar2FA]服务的团队至少经历了基础设施的部分崩溃，与该服务相关的页面不再可访问。这似乎并非因为被取缔行动，而是因为服务后端的某些技术故障。” Rockstar2FA最初由Trustwave在上月底记录为一种PhaaS服务，允许犯罪分子发起能够窃取Microsoft 365账户凭证和会话cookie的网络钓鱼攻击，从而绕过多重因素认证（MFA）保护。 该服务被评估为DadSec网络钓鱼工具包的更新版本，微软将其追踪为Storm-1575。大多数网络钓鱼页面被发现托管在.com、.de、.ru和.moscow顶级域名上，尽管人们相信.ru域名的使用量随时间减少。 Rockstar2FA似乎在2024年11月11日遭受了技术中断，当时重定向到中间诱饵页面时产生了Cloudflare超时错误，伪造的登录页面无法加载。 虽然尚不清楚导致中断的原因，但PhaaS工具包留下的空白导致与FlowerStorm相关的网络钓鱼活动激增，FlowerStorm自2024年6月以来一直活跃。 Sophos表示，这两种服务在网络钓鱼门户页面的格式和连接后端服务器以收集凭证的方法上存在相似之处，这引发了它们可能有共同起源的可能性。它们还滥用Cloudflare Turnstile，以确保传入页面请求不是来自机器人。 人们怀疑11月11日的中断可能代表其中一个团队的战略转变、运营人员的变动，或是有意将两个操作分开的努力。目前没有确凿的证据将这两个服务联系起来。 使用FlowerStorm最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。 Sophos表示：“服务行业是最受攻击的行业，特别是那些提供工程、建筑、房地产和法律服务及咨询的公司。” 如果有什么不同的话，这些发现再次说明了攻击者使用网络犯罪服务和商品工具在不需要太多技术专长的情况下，也能大规模进行网络攻击的持续趋势。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文