HackerNews

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）揭示了一组针对乌克兰机构的新网络攻击，这些攻击使用信息窃取恶意软件。 该机构表示，这些活动针对军事单位、执法机构以及地方自治机构，尤其是那些位于乌克兰东部边境附近的机构。 这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格（XLSM）的网络钓鱼电子邮件，当打开时，会部署两种恶意软件：一种是从 PSSW100AVB（“100% 绕过杀毒软件的 PowerShell 脚本”）GitHub 仓库中获取的 PowerShell 脚本，用于开启反向 shell，以及一个以前未被记录的窃密程序，名为 GIFTEDCROOK。 “文件名和电子邮件主题行涉及诸如排雷、行政罚款、无人机生产以及被毁财产赔偿等敏感问题，”CERT-UA 表示。 “这些电子表格包含恶意代码，当用户打开文档并启用宏时，会自动转变为恶意软件并在用户不知情的情况下执行。” GIFTEDCROOK 用 C/C++ 编写，可从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中窃取敏感数据，如 cookie、浏览历史和认证数据。 这些电子邮件消息是从被攻陷的账户发送的，通常是通过电子邮件客户端的 Web 界面发送，以使消息看起来具有合法性，并诱使潜在受害者打开文档。CERT-UA 将此活动归因于威胁群组 UAC-0226，尽管它尚未与特定国家相关联。 这一进展正值一个疑似与俄罗斯有关联的间谍活动者 UNC5837 被与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动相关联。 “该活动使用了签名的 .RDP 文件附件，以从受害者的机器建立远程桌面协议（RDP）连接，”Google 威胁情报小组（GTIG）表示。 “与通常关注交互会话的 RDP 攻击不同，此次攻击创造性地利用了资源重定向（将受害者文件系统映射到攻击者服务器）和 RemoteApps（向受害者呈现攻击者控制的应用程序）。” 值得注意的是，RDP 活动之前已在 2024 年 10 月由 CERT-UA、亚马逊网络服务和微软记录，并在 12 月由 Trend Micro 记录。CERT-UA 正在追踪名为 UAC-0215 的活动，而其他公司则将其归因于俄罗斯国家赞助的黑客组织 APT29。 此次攻击还值得注意，因为它可能使用了一个名为 PyRDP 的开源工具来自动化恶意活动，如文件外泄和剪贴板捕获，包括可能敏感的数据如密码。 “此次活动可能使攻击者能够读取受害者的驱动器、窃取文件、捕获剪贴板数据（包括密码），并获取受害者环境变量，”GTIG 在周一的报告中表示。“UNC5837 的主要目标似乎是间谍活动和文件窃取。” 近几个月来，还观察到网络钓鱼活动使用假的 CAPTCHA 和 Cloudflare Turnstile 来分发 Legion Loader（又名 Satacom），然后作为渠道投放一个名为“保存到 Google Drive”的恶意 Chromium 基浏览器扩展。 “初始载荷通过驱动器下载感染传播，始于受害者搜索特定文档并被引诱到恶意网站，”Netskope 威胁实验室表示。“下载的文档包含一个 CAPTCHA，一旦受害者点击，就会将其重定向到 Cloudflare Turnstile CAPTCHA，然后最终重定向到通知页面。” 该页面提示用户允许在该网站上接收通知，之后受害者被重定向到第二个 Cloudflare Turnstile CAPTCHA，完成后再重定向到一个提供 ClickFix 风格指导以下载他们所需文档的页面。 实际上，此次攻击为 MSI 安装程序文件的交付和执行铺平了道路，该文件负责启动 Legion Loader，后者又执行一系列步骤来下载和运行临时 PowerShell 脚本，最终将恶意浏览器扩展添加到浏览器中。 PowerShell 脚本还会终止浏览器会话以启用扩展，打开设置中的开发者模式，然后重新启动浏览器。最终目标是捕获各种敏感信息并将其外泄给攻击者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被观察到通过 SourceForge（一个流行的软件托管服务）分发恶意载荷，如加密货币矿工和剪贴板恶意软件，这些恶意软件伪装成合法应用程序（如 Microsoft Office）的破解版本。 “SourceForge 主网站 sourceforge.net 上的一个名为 officepackage 的项目看起来足够无害，它包含了从一个合法的 GitHub 项目复制的 Microsoft Office 插件，”卡巴斯基在今日发布的一份报告中表示。“officepackage 的描述和内容也取自 GitHub。” 虽然 sourceforge.net 上创建的每个项目都会被分配一个“<project>.sourceforge.io”域名，但这家俄罗斯网络安全公司发现，officepackage 的域名“officepackage.sourceforge[.]io”显示了一个长长的 Microsoft Office 应用程序列表以及相应的下载链接（俄语）。 此外，将鼠标悬停在下载按钮上会在浏览器状态栏中显示一个看似合法的 URL：“loading.sourceforge[.]io/download，给人一种下载链接与 SourceForge 相关联的印象。然而，点击链接会将用户重定向到“taplink[.]cc”上托管的一个完全不同的页面，该页面显著显示了另一个下载按钮。 如果受害者点击下载按钮，他们将收到一个 7 MB 的 ZIP 压缩包（“vinstaller.zip”），打开后包含一个受密码保护的第二个压缩包（“installer.zip”）和一个包含打开文件密码的文本文件。 新的 ZIP 文件中包含一个 MSI 安装程序，该程序负责创建多个文件、一个名为“UnRAR.exe”的控制台归档实用程序、一个 RAR 归档文件以及一个 Visual Basic（VB）脚本。 “VB 脚本运行 PowerShell 解释器以从 GitHub 下载并执行一个名为 confvk 的批处理文件，”卡巴斯基表示。“该文件包含 RAR 归档文件的密码。它还会解压恶意文件并运行下一阶段的脚本。” 该批处理文件还设计为运行两个 PowerShell 脚本，其中一个使用 Telegram API 发送系统元数据。另一个文件下载另一个批处理脚本，然后对 RAR 归档文件的内容进行操作，最终启动矿工和剪贴板恶意软件（即 ClipBanker）载荷。 此外，还会投放 netcat 可执行文件（“ShellExperienceHost.exe”），该文件与远程服务器建立加密连接。不仅如此，confvk 批处理文件被发现创建了另一个名为“ErrorHandler.cmd”的文件，其中包含一个通过 Telegram API 检索并执行文本字符串的 PowerShell 脚本。 该网站具有俄语界面，表明其专注于俄语用户。遥测数据显示，90% 的潜在受害者在俄罗斯，从 1 月初到 3 月下旬，共有 4,604 名用户遭遇了这一骗局。 由于 sourceforge[.]io 页面被搜索引擎索引并出现在搜索结果中，因此相信在 Yandex 上搜索 Microsoft Office 的俄罗斯用户可能是此次攻击的目标。 “随着用户寻求在官方渠道之外下载应用程序的方式，攻击者提供了他们自己的，”卡巴斯基表示。“虽然此次攻击主要针对加密货币，通过部署矿工和 ClipBanker，但攻击者可能会将系统访问权限出售给更危险的行为者。” 这一披露正值该公司透露了一个通过假冒 DeepSeek 人工智能（AI）聊天机器人的欺诈性网站分发名为 TookPS 的恶意软件下载器的活动细节。 这包括像 deepseek-ai-soft[.]com 这样的网站，据 Malwarebytes 称，用户通过赞助的 Google 搜索结果被重定向到该网站。 TookPS 被设计为下载并执行 PowerShell 脚本，这些脚本通过 SSH 为受感染的主机提供远程访问，并投放一个名为 TeviRat 的特洛伊木马的修改版本。这突显了威胁行为者试图通过多种方式获得对受害计算机的完全访问权限。 “该样本 […] 使用 DLL 侧加载来修改和部署 TeamViewer 远程访问软件到受感染的设备上，”卡巴斯基表示。“简单来说，攻击者将一个恶意库放在 TeamViewer 的同一文件夹中，这改变了软件的默认行为和设置，使其对用户隐藏，并为攻击者提供了隐蔽的远程访问。” 这一进展紧随发现针对 RVTools（一个流行的 VMware 工具）的恶意 Google 广告，以投放一个名为 ThunderShell（又名 SMOKEDHAM）的修改版本，这是一个基于 PowerShell 的远程访问工具（RAT），强调了恶意广告仍然是一个持续且不断演变的威胁。 “ThunderShell，有时也被称为 SmokedHam，是一个公开可用的后利用框架，专为红队行动和渗透测试而设计，”Field Effect 表示。“它提供了一个命令和控制（C2）环境，使操作员能够通过基于 PowerShell 的代理在受感染的机器上执行命令。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了亚马逊 EC2 简单系统管理器（SSM）代理中的一个现已修复的安全漏洞。如果成功利用该漏洞，攻击者可能实现权限提升和代码执行。 根据 Cymulate 在一份与《黑客新闻》共享的报告中所述，该漏洞可能允许攻击者在文件系统中意外位置创建目录、以 root 权限执行任意脚本，并可能通过向系统敏感区域写入文件来提升权限或执行恶意活动。 亚马逊 SSM Agent 是亚马逊网络服务（AWS）的一个组件，使管理员能够远程管理、配置和在 EC2 实例及本地服务器上执行命令。 该软件处理在 SSM 文档中定义的命令和任务，这些文档可以包含一个或多个插件，每个插件负责执行特定任务，例如运行 shell 脚本或自动化部署和配置相关活动。 此外，SSM Agent 会根据插件规范动态创建目录和文件，通常依赖插件 ID 作为目录结构的一部分。这引入了一个安全风险：如果插件 ID 的验证不当，可能会导致潜在漏洞。 Cymulate 的发现是一个路径遍历漏洞，源于插件 ID 的验证不当，可能允许攻击者操纵文件系统并以提升的权限执行任意代码。问题根植于名为“ValidatePluginId”的函数（位于 pluginutil.go 文件中）。 “该函数未能正确清理输入，允许攻击者提供包含路径遍历序列（例如 ../）的恶意插件 ID，”安全研究员 Elad Beber 表示。 由于这一漏洞，攻击者可以提供一个特制的插件 ID（例如 ../../../../../../malicious_directory），在创建 SSM 文档时执行底层文件系统上的任意命令或脚本，从而实现权限提升和其他后续攻击行为。 在 2025 年 2 月 12 日负责任地披露该漏洞后，亚马逊于 2025 年 3 月 5 日通过发布 SSM Agent 版本 3.3.1957.0 修复了该问题。 根据项目维护人员在 GitHub 上发布的更新日志，“添加并使用 BuildSafePath 方法以防止在编排目录中发生路径遍历。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 已发布安全更新，以修复影响 FortiSwitch 的一个严重安全漏洞，该漏洞可能允许攻击者进行未经授权的密码更改。 该漏洞被追踪为 CVE-2024-48887，CVSS 评分为 9.3（满分 10.0）。 Fortinet 在今日发布的公告中表示：“FortiSwitch GUI 中存在一个未验证的密码更改漏洞 [CWE-620]，可能允许远程未认证的攻击者通过特制请求修改管理员密码。” 以下是受影响的版本： FortiSwitch 7.6.0（升级至 7.6.1 或更高版本） FortiSwitch 7.4.0 至 7.4.4（升级至 7.4.5 或更高版本） FortiSwitch 7.2.0 至 7.2.8（升级至 7.2.9 或更高版本） FortiSwitch 7.0.0 至 7.0.10（升级至 7.0.11 或更高版本） FortiSwitch 6.4.0 至 6.4.14（升级至 6.4.15 或更高版本） 这家网络安全公司表示，该漏洞是由 FortiSwitch Web UI 开发团队的 Daniel Rozeboom 内部发现并报告的。 作为临时措施，Fortinet 建议禁用管理界面的 HTTP/HTTPS 访问，并限制系统访问权限，仅允许受信任的主机访问。 虽然目前没有证据表明该漏洞已被利用，但许多影响 Fortinet 产品的安全漏洞曾被威胁行为者武器化，因此用户必须尽快应用补丁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在微软的 Visual Studio Code 市场中有九个 VSCode 扩展伪装成合法开发工具，同时感染用户设备，植入 XMRig 加密货币矿工以挖掘以太坊和门罗币。 Microsoft VSCode 是一款流行的代码编辑器，允许用户安装扩展以扩展程序的功能。这些扩展可以从微软的 VSCode 市场下载，这是一个供开发者查找和安装插件的在线中心。 ExtensionTotal 研究员 Yuval Ronen 发现了九个于 2025 年 4 月 4 日在微软门户上发布的 VSCode 扩展。 扩展名称： Discord Rich Presence for VS Code（开发者：Mark H）- 18.9 万次安装 Rojo – Roblox Studio Sync（开发者：evaera）- 11.7 万次安装 Solidity Compiler（开发者：VSCode Developer）- 1300 次安装 Claude AI（开发者：Mark H） Golang Compiler（开发者：Mark H） ChatGPT Agent for VSCode（开发者：Mark H） HTML Obfuscator（开发者：Mark H） Python Obfuscator for VSCode（开发者：Mark H） Rust Compiler for VSCode（开发者：Mark H） 市场数据显示，这些扩展自 4 月 4 日以来已累计超过 30 万次安装。这些数字可能是人为虚高的，目的是让扩展显得更合法和更受欢迎，从而吸引更多用户安装。 ExtensionTotal 表示已向微软报告了这些恶意扩展，但截至本文撰写时，它们仍可在市场上找到。 VSCode 市场上的 Discord 主题扩展 来源：BleepingComputer PowerShell 脚本安装 XMRig 矿工 当安装并激活后，恶意扩展会从外部源 ‘https://asdf11[.]xyz/’ 获取 PowerShell 脚本并执行。完成后，它还会安装其伪装的合法扩展，以避免用户产生怀疑。 下载 PowerShell 脚本的代码 来源：BleepingComputer 恶意 PowerShell 脚本执行多种功能，包括禁用防御、建立持久性、提升权限，最终加载加密货币矿工。 首先，它创建一个伪装为“OnedriveStartup”的计划任务，并在 Windows 注册表中注入脚本，以确保恶意软件（Launcher.exe）在系统启动时运行。 接下来，它关闭关键的 Windows 服务（如 Windows Update 和 Update Medic），并将工作目录添加到 Windows Defender 的排除列表中，以逃避检测。 如果恶意软件未以管理员权限执行，它会模仿系统二进制文件（ComputerDefaults.exe），并通过恶意 MLANG.dll 进行 DLL 劫持以提升权限并执行 Launcher.exe 有效载荷。 可执行文件以 base64 编码形式提供，PowerShell 脚本对其进行解码，以连接到二级服务器 myaunet[.]su 下载并运行 XMRig，这是一种门罗币加密货币矿工。 BleepingComputer 发现，威胁行为者的远程服务器上还有一个 /npm/ 文件夹，可能表明该活动也在该软件包索引上进行。然而，我们尚未在 NPM 平台上找到恶意文件。 威胁行为者服务器上的 NPM 目录 来源：BleepingComputer 如果您安装了 ExtensionTotal 报告中提到的九个扩展中的任何一个，您应立即卸载它们，然后手动定位并删除加密货币矿工、计划任务、注册表键和恶意软件目录。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 2025 年 4 月的 Android 安全更新中发布了针对 62 个漏洞的补丁，其中包括两个在针对性攻击中被利用的零日漏洞。 其中一个零日漏洞是 Linux 内核 ALSA 设备 USB 音频驱动中的高严重性权限提升安全漏洞（CVE-2024-53197），据报道，塞尔维亚当局利用了这一漏洞来解锁扣押的 Android 设备，这是以色列数字取证公司 Cellebrite 开发的零日漏洞利用链的一部分。 这一漏洞利用链还包括一个 USB 视频类零日漏洞（CVE-2024-53104，已于 2 月修复）和一个人机接口设备零日漏洞（CVE-2024-50302，上个月修复），该链由大赦国际的安全实验室于 2024 年中期发现，当时他们正在分析塞尔维亚警方解锁设备上的日志。 谷歌在 2 月告诉 BleepingComputer，这些修复程序已于 1 月与原始设备制造商（OEM）合作伙伴共享。 “我们在这些报告之前就已知晓这些漏洞及利用风险，并迅速为 Android 开发了修复程序。修复程序已于 1 月 18 日通过合作伙伴咨询共享，”谷歌发言人告诉 BleepingComputer。 本月修复的第二个零日漏洞（CVE-2024-53150）是 Android 内核信息泄露漏洞，由越界读取弱点引起，使本地攻击者无需用户交互即可访问易受攻击设备上的敏感信息。 2025 年 3 月的 Android 安全更新还修复了另外 60 个安全漏洞，其中大多数是高严重性的权限提升漏洞。 谷歌发布了两组安全补丁，分别是 2025-04-01 和 2025-04-05 安全补丁级别。后者提供了第一批的所有修复程序以及针对封闭源第三方和内核子组件的安全补丁，这些补丁不一定适用于所有 Android 设备。 谷歌 Pixel 设备立即接收这些更新，而其他厂商通常需要更长时间来测试和优化安全补丁，以适应其特定的硬件配置。 2024 年 11 月，谷歌还修复了另一个 Android 零日漏洞（CVE-2024-43047），该漏洞最初于 2024 年 10 月被谷歌 Project Zero 标记为已被利用，并被塞尔维亚政府在 NoviSpy 间谍软件攻击中用于针对活动人士、记者和抗议者的 Android 设备。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Everest 勒索软件团伙的暗网泄露网站显然在周末被一名未知攻击者黑掉，现已下线。 未知攻击者将网站内容替换为以下讽刺性信息：“不要犯罪，犯罪很糟糕 xoxo 来自布拉格。” Everest 团伙已将其泄露网站下线，该网站现已无法加载，显示“洋葱网站未找到”错误。 Everest 的被黑泄露网站（Tammy H.） 虽然目前尚不清楚攻击者是如何获得对 Everest 网站的访问权限的，或者该网站是否真的被黑，但一些安全专家，如 Flare 高级威胁情报研究员 Tammy Harper，指出可能是利用了 WordPress 漏洞来篡改勒索软件团伙的泄露网站。 “值得一提的是，Everest 使用了 WordPress 模板来制作他们的博客。我不会对此感到惊讶，”Harper 表示。 自 2020 年首次出现以来，Everest 勒索软件团伙已从仅通过数据窃取进行企业勒索的策略转变为在攻击中加入勒索软件以加密受害者的受损系统。 Everest 的运营者还以作为其他网络犯罪团伙和威胁行为者的初始访问代理而闻名，出售对被攻陷企业网络的访问权限。 在过去的五年中，Everest 已在其暗网泄露网站上添加了超过 230 名受害者，该网站是双倍勒索攻击的一部分，勒索软件团伙试图通过威胁发布包含敏感信息的文件来迫使受害者支付赎金。 其最近的一名受害者是 STIIIZY，这是一家总部位于加利福尼亚州的知名大麻品牌，Everest 在 2024 年 11 月声称对其发起了攻击。今年 1 月，STIIIZY 透露，未知攻击者攻陷了其销售点（POS）供应商，窃取了客户信息，包括购买信息和政府身份证件。 2024 年 8 月，美国卫生与公众服务部还警告称，Everest 勒索软件团伙正越来越多地针对美国各地的医疗机构。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕了六名利用人工智能工具进行大规模加密货币投资诈骗的个人，该诈骗利用深度伪造广告展示知名公众人物，以吸引人们参与。 该诈骗非常成功，从全球 208 名受害者那里骗取了 1900 万欧元（约合 2090 万美元）。 代号为“COINBLACK – WENDMINE”的警方行动始于两年前，当时一名受害者提交了投诉。行动导致在格拉纳达和阿利坎特地区逮捕了六名年龄在 34 至 57 岁之间的个人。 此外，在警方突袭中还查获了 10 万欧元、手机、电脑、硬盘、枪支和文件。 警方的公告强调了行动的复杂性，解释说犯罪分子创建了多个空壳公司来洗钱。同时，该团伙的头目使用了超过 50 个不同的化名。 该诈骗有多个阶段，从典型的“浪漫诱饵诈骗”或威胁行为者冒充“财务顾问”开始，最后以假的资金回收索赔告终。 受害者是通过算法选择的，这些算法挑选出符合网络犯罪分子目标要求的个人，然后通过人工智能生成的深度伪造广告进行针对性攻击。 “在人工智能的帮助下，诈骗者创建了假广告，展示知名国家人物似乎在推荐投资这些产品，”西班牙国家警察的公告解释道。 “这显著增加了受害者对投资安全性和盈利性的信任。” 受害者最初在本质上是假平台的大型投资回报上看到了虚假数字。 在某个时候，冒充财务顾问甚至模拟与受害者建立浪漫关系的诈骗者告知他们，他们的投资已被冻结，只有在他们支付一大笔款项后才能取回资金。 在最后阶段，受害者再次被诈骗者联系，这些诈骗者现在冒充欧洲刑警组织的特工或英国律师，声称他们的资金已被追回，只需支付当地税费即可取回资金。 警方提醒公众警惕保证回报的承诺，并在存入任何资金之前始终验证投资平台的合法性和可信度。 其他警示信号包括投资压力、无法提款、意外的余额“冻结”以及关于额外“费用/税费”的说法，这些费用/税费据称是取款所需的。 如今，创建逼真的 AI 生成深度伪造视频变得轻而易举，因此用户不应受据称推广投资平台的名人影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软今天宣布，基于客户反馈，将无限期推迟移除 Windows Server Update Services (WSUS) 中的驱动同步功能。 “看到你们中有多少人已经开始转向可用的基于云的驱动服务，我们最初提议移除 WSUS 驱动同步。感谢你们的反馈，尤其是在离线设备场景中，我们现在修订了这一计划，”高级项目经理 Paul Reed 表示。 “基于您宝贵的反馈，我们推迟了原定于 2025 年 4 月 18 日移除 WSUS 驱动同步的计划。请继续关注，我们将努力制定修订后的时间线，以便为您优化我们的服务，”微软在周一的消息中心更新中补充道。 这一公告是在过去一年发布的三次警告之后发布的，微软原计划于 2025 年 4 月 18 日移除 WSUS 驱动同步。微软最初于 2024 年 6 月宣布弃用 WSUS 驱动同步，并在 2025 年 1 月鼓励 IT 管理员采用其更新的基于云的驱动服务。 一个月后，微软提醒管理员为 WSUS 驱动同步的弃用做好准备，并鼓励他们采用基于云的解决方案来管理客户端和服务器更新，例如 Windows Autopatch、Microsoft Intune 和 Azure Update Manager。 2024 年 9 月，微软还宣布 WSUS 已被弃用，但补充说，它计划维护所有现有功能，并继续通过该渠道发布更新。这一公告是在 2024 年 8 月 13 日将 WSUS 列为“从 Windows Server 2025 开始移除或不再开发的功能”之后发布的。 近二十年前作为 Software Update Services (SUS) 推出的 WSUS，帮助 IT 管理员通过单个服务器管理并分发微软产品的更新，覆盖大型企业网络中的许多 Windows 设备，而不是依赖每个终端从微软的服务器进行更新。 2024 年 6 月，微软还宣布正式弃用 Windows NTLM 身份验证协议，敦促开发人员转向 Kerberos 或协商身份验证，以避免未来的问题。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被称为 PoisonSeed 的恶意活动正在利用与客户关系管理（CRM）工具和批量邮件服务相关的泄露凭据，发送包含加密货币种子短语的垃圾邮件，试图清空受害者的数字钱包。 “批量垃圾邮件的接收者成为了加密货币种子短语投毒攻击的目标，”Silent Push 在分析中表示。“作为攻击的一部分，PoisonSeed 提供安全种子短语，诱使潜在受害者将其复制粘贴到新的加密货币钱包中，以便日后进行攻击。” PoisonSeed 的目标包括企业组织和加密货币行业外的个人。像 Coinbase 和 Ledger 这样的加密货币公司，以及 Mailchimp、SendGrid、Hubspot、Mailgun 和 Zoho 等批量邮件服务提供商均在目标之列。 该活动被认为与两个 loosely aligned 的威胁行为者 Scattered Spider 和 CryptoChameleon 不同，两者都是更广泛的网络犯罪生态系统“Com”的一部分。该活动的一些方面之前由安全研究员 Troy Hunt 和 Bleeping Computer 于上个月披露。 这些攻击涉及威胁行为者为知名的 CRM 和批量邮件公司设置假冒的网络钓鱼页面，目的是诱骗高价值目标提供他们的凭据。一旦获得凭据，对手就会创建一个 API 密钥，以确保即使被盗密码被所有者重置，也能保持持久访问。 在下一阶段，操作者可能会使用自动化工具导出邮件列表，并从这些被攻陷的账户发送垃圾邮件。CRM 被攻陷后的供应链垃圾邮件通知用户，他们需要使用嵌入在电子邮件中的种子短语设置新的 Coinbase 钱包。 攻击的最终目标是使用相同的恢复短语劫持账户并从这些钱包中转移资金。与 Scattered Spider 和 CryptoChameleon 的关联源于使用了一个之前被识别为前者使用的域名（“mailchimp-sso[.]com”），以及 CryptoChameleon 历史上针对 Coinbase 和 Ledger 的攻击。 尽管如此，PoisonSeed 使用的网络钓鱼工具包与这两个威胁集群使用的没有任何相似之处，这表明它要么是 CryptoChameleon 的一个全新的网络钓鱼工具包，要么是一个不同的威胁行为者，只是碰巧使用了类似的战术。 这一进展发生在一个俄语系威胁行为者被观察到使用托管在 Cloudflare Pages.Dev 和 Workers.Dev 上的网络钓鱼页面来分发可以远程控制受感染 Windows 主机的恶意软件之后。该活动的早期版本也被发现分发了 StealC 信息窃取器。 “这一最新活动利用了围绕 DMCA（数字千年版权法案）下架通知的 Cloudflare 品牌网络钓鱼页面，这些通知跨越多个域名，”Hunt.io 表示。 “诱饵滥用 ms-search 协议通过双扩展名下载一个伪装成 PDF 的恶意 LNK 文件。一旦执行，恶意软件会与攻击者操作的 Telegram 机器人检查，发送受害者的 IP 地址，然后过渡到 Pyramid C2 来控制受感染的主机。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布了一份关于Fast Flux技术风险的咨询报告，该技术已被威胁行为者采用，以掩盖命令与控制（C2）通道的位置。 “Fast Flux是一种通过快速更改与单个域名相关的域名系统（DNS）记录来掩盖恶意服务器位置的技术，”这些机构表示。“这种威胁利用了网络防御中常见的漏洞，使得追踪和阻止恶意Fast Flux活动变得困难。”   这份咨询报告由美国网络安全与基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心以及新西兰国家网络安全中心联合发布。   近年来，Fast Flux技术已被许多黑客组织采用，包括与 Gamaredon、CryptoChameleon 和 Raspberry Robin 相关的威胁行为者，以使其恶意基础设施能够逃避检测和执法部门的打击。   这种方法本质上涉及使用多种 IP 地址，并在快速 succession 中轮换，同时指向一个恶意域名。它最初于 2007 年在 Honeynet 项目中被发现。   它可以是单通量（Single Flux），即一个域名与多个 IP 地址相关联，也可以是双通量（Double Flux），即除了更改 IP 地址外，负责解析域名的 DNS 名称服务器也会频繁更改，为恶意域名提供额外的冗余和匿名性。   “Fast Flux网络之所以‘快速’，是因为通过 DNS，它会快速轮换多个僵尸程序，每个僵尸程序只使用很短的时间，从而使得基于 IP 的拒绝列表和打击工作变得困难，”Palo Alto Networks Unit 42 在 2021 年发布的一份报告中表示。   将Fast Flux描述为国家安全威胁，这些机构表示，威胁行为者正在利用这种技术来掩盖恶意服务器的位置，并建立能够抵御打击的弹性 C2 基础设施。   不仅如此，Fast Flux在 C2 通信之外也发挥着重要作用，帮助对手托管网络钓鱼网站，以及部署和分发恶意软件。   为了防范Fast Flux，建议组织采取以下措施：阻止 IP 地址、将恶意域名重定向到黑洞服务器、过滤与声誉不佳的域名或 IP 地址之间的流量、实施增强的监控，并强制执行网络钓鱼意识和培训。   “Fast Flux代表了对网络安全的持续威胁，利用快速变化的基础设施来掩盖恶意活动，”这些机构表示。“通过实施强大的检测和缓解策略，组织可以显著降低因Fast Flux支持的威胁而被攻破的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年4月5日，Ionut Ilascu报道，WinRAR文件压缩解决方案中的一个漏洞可能被利用来绕过Windows的“网络标记”（Mark of the Web，MotW）安全警告，并在Windows机器上执行任意代码。 该安全问题被追踪为CVE-2025-31334，影响所有WinRAR版本，除了最新的7.11版本。 Windows的“网络标记”是一种安全功能，它通过一个元数据值（一个名为“区域标识符”的备用数据流）来标记从互联网下载的文件，以标识这些文件可能不安全。 当打开带有MotW标记的可执行文件时，Windows会警告用户该文件是从互联网下载的，可能有害，并提供继续执行或终止的选项。 CVE-2025-31334漏洞允许威胁行为者在打开指向可执行文件的符号链接（symlink）时绕过MotW安全警告，该符号链接在任何7.11版本之前的WinRAR中都存在。攻击者可以利用特制的符号链接执行任意代码。需要注意的是，在Windows上创建符号链接通常需要管理员权限。 该安全问题获得了6.8的中等严重性评分，并已在WinRAR的最新版本中修复，如WinRAR的应用程序变更日志中所指出的： “如果从WinRAR shell启动指向可执行文件的符号链接，则忽略可执行文件的MotW数据” – WinRAR 该漏洞由三井物产Secure Directions的Shimamine Taihei通过日本的信息技术促进机构（IPA）报告。日本的计算机安全事件响应小组协调了与WinRAR开发者的负责任披露。 从7.10版本开始，WinRAR提供了从MotW备用数据流中移除信息的可能性（例如位置、IP地址），这些信息可能被视为隐私风险。 包括国家支持的威胁行为者在内的攻击者过去曾利用MotW绕过漏洞来投放各种恶意软件，而无需触发安全警告。 最近，俄罗斯黑客利用了7-Zip压缩工具中的类似漏洞，该漏洞在双重压缩（在一个文件内压缩另一个文件）时不会传播MotW，以运行Smokeloader恶意软件投放器。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“disgrasya”的恶意PyPI包被发现，该包滥用合法的WooCommerce商店来验证被盗信用卡，并已在开源软件包平台上被下载超过34,000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡，这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。 尽管该包已被从PyPI中移除，但其高下载量显示了此类恶意操作的滥用规模。 “与依赖欺骗或拼写错误的典型供应链攻击不同，disgrasya没有试图显得合法，”Socket研究人员的一份报告解释道。 “它公然恶意，滥用PyPI作为分发渠道，以接触更广泛的欺诈者受众。” 特别值得注意的是，disgrasya公然滥用PyPI托管一个包，其创建者在描述中明确指出该包用于恶意活动。 “一个利用多线程和代理通过多个网关检查信用卡的工具，”disgrasya包的描述中写道。 Socket指出，该包的恶意功能从7.36.9版本开始引入，可能是为了逃避安全检查，因为初始提交的安全检查可能比后续更新更严格。 恶意包包含一个Python脚本，该脚本访问合法的WooCommerce网站，收集产品ID，然后通过调用商店的后端将商品添加到购物车。 接下来，它导航到网站的结账页面，在那里窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。 Socket表示，这两个信息通常在页面上是隐藏的，并且很快过期，但脚本会立即抓取它们，同时用虚构的客户信息填充结账表单。 在下一步中，而不是将窃取的卡直接发送到支付网关，它将卡发送到攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并返回一个假令牌。 POST请求将卡数据发送到外部   最后，带有令牌化卡的订单在网店中提交，如果订单通过，则验证卡是有效的。如果失败，则记录错误并尝试下一张卡。 打印的交易结果   使用这样的工具，威胁行为者能够以自动化的方式验证大量被盗信用卡。 这些经过验证的卡随后可能被用于进行金融欺诈或在网络犯罪市场上出售。 Socket评论说，这种端到端的结账模拟过程特别难以被目标网站上的欺诈检测系统检测到。 “从收集产品ID和结账令牌，到将窃取的卡数据发送给恶意第三方，以及模拟完整的结账流程，整个工作流程都是高度针对性和有条理的，”Socket表示。 “它旨在融入正常的流量模式，使传统欺诈检测系统极难检测。” 尽管如此，Socket表示有一些方法可以缓解这个问题，比如阻止低于5美元的非常低价值订单，这些订单通常用于卡农攻击，监控具有异常高失败率的多个小额订单，或与单一IP地址或地区相关的高结账量。 Socket还建议在结账流程中添加CAPTCHA步骤，这可能会中断卡农脚本的操作，并在结账和支付端点上应用速率限制。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Parquet的Java库中存在一个严重安全漏洞，成功利用该漏洞的远程攻击者可在易受攻击的实例上执行任意代码。 Apache Parquet是一种免费开源的列式数据文件格式，专为高效的数据处理和检索而设计，支持复杂数据、高性能压缩和编码方案，最初于2013年推出。 该漏洞编号为CVE-2025-30065，CVSS评分为10.0，是最高 severity 级别。 “Apache Parquet 1.15.0及更早版本的parquet-avro模块中的架构解析存在漏洞，允许恶意行为者执行任意代码，”项目维护者在一份公告中表示。 据Endor Labs称，成功利用该漏洞需要诱骗易受攻击的系统读取特制的Parquet文件以获得代码执行权限。 “该漏洞可能影响导入Parquet文件的数据管道和分析系统，特别是当这些文件来自外部或不可信来源时，”该公司表示。“如果攻击者能够篡改文件，就可能触发该漏洞。” 该缺陷影响所有版本的软件，包括1.15.0版本。该问题已在1.15.1版本中得到解决。亚马逊的Keyi Li被授予发现并报告该漏洞的荣誉。 虽然目前没有证据表明该漏洞已在野外被利用，但Apache项目中的漏洞已成为威胁行为者寻找机会入侵系统和部署恶意软件的焦点。 上个月，Apache Tomcat中的一个严重安全漏洞（CVE-2025-24813，CVSS评分：9.8）在公开披露后30小时内遭到积极利用。 网络安全公司Aqua在本周发布的一项分析中表示，其发现了一项新的攻击活动，针对使用容易猜到的凭据的Apache Tomcat服务器，部署加密的有效载荷，旨在窃取用于横向移动的SSH凭据，并最终劫持系统资源用于非法加密货币挖掘。 这些有效载荷还能够建立持久性，并充当基于Java的Web shell，使攻击者能够在服务器上执行任意Java代码，Aqua的威胁情报总监Assaf Morag表示。 “此外，该脚本旨在检查用户是否具有root权限，如果是，则执行两个函数，以优化CPU消耗以获得更好的加密货币挖掘效果。” 该活动影响Windows和Linux系统，很可能被认为是中国讲威胁行为者所为，因为源代码中存在中文语言注释。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位新手网络犯罪分子被发现利用俄罗斯的“防弹”托管（BPH）服务提供商Proton66来协助其操作。 这些发现来自DomainTools，该公司在发现一个名为cybersecureprotect[.]com的虚假网站后检测到了这一活动，该网站托管在Proton66上，伪装成一个杀毒服务。 这家威胁情报公司表示，他们在该域名中发现了一个操作安全（OPSEC）失误，导致其恶意基础设施暴露，从而揭示了服务器上托管的恶意负载。 “这一发现引导我们深入了解了一个新兴威胁行为者Coquettte的操作——一个利用Proton66的防弹托管服务来分发恶意软件并从事其他非法活动的业余网络犯罪分子，”该公司在与《黑客新闻》分享的一份报告中表示。 Proton66还与另一个名为PROSPERO的BPH服务相关联，该服务已被归因于多个分发桌面和Android恶意软件的活动，如GootLoader、Matanbuchus、SpyNote、Coper（又名Octo）和SocGholish。托管在该服务上的网络钓鱼页面已通过短信传播，以诱骗用户输入他们的银行凭证和信用卡信息。 Coquettte就是这样一个利用Proton66生态系统优势的威胁行为者，以分发伪装成合法杀毒工具的恶意软件。 这表现为一个ZIP存档（“CyberSecure Pro.zip”），其中包含一个Windows安装程序，然后从远程服务器下载第二阶段的恶意软件，该服务器负责从命令和控制（C2）服务器（“cia[.]tf”）分发后续负载。 第二阶段是一个被分类为Rugmi（又名Penguish）的加载程序，过去曾用于部署诸如Lumma、Vidar和Raccoon等信息窃取器。 对Coquettte的数字足迹的进一步分析发现了一个个人网站，其中他们声称自己是“一名19岁的软件工程师，正在攻读软件开发学位”。 此外，cia[.]tf域名已使用电子邮件地址“root@coquettte[.]com”注册，确认威胁行为者控制了C2服务器，并将虚假的网络安全网站作为恶意软件分发中心。 “这表明Coquettte是一个年轻的个体，可能是一名学生，这与他们在网络犯罪活动中犯下的业余错误（如开放目录）相一致，”DomainTools表示。 该威胁行为者的活动不仅限于恶意软件，因为他们还运营着其他出售制造非法物质和武器指南的网站。据信Coquettte与一个名为Horrid的更广泛的黑客组织有松散的联系。 “基础设施重叠的模式表明，这些网站背后的人可能自称为‘Horrid’，Coquettte是其中一名成员的别名，而不是一个独立的行动者，”该公司表示。 “该组织与多个与网络犯罪和非法内容相关的域名的关联表明，它作为一个孵化器，激励或业余的网络犯罪分子，为那些希望在地下黑客圈中崭露头角的人提供资源和基础设施。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。 该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。 “Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。 受影响的产品和版本如下： – Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布） – Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移） – Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布） – ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布） Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。 Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。” 值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。 谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。 攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。 SPAWN恶意软件生态系统包括以下组件： – SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器 – SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密 – SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠） SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。 根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。 “Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。 “政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。” 除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。 该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。 “UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。 “这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。” 更新： 美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。 该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。 “组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客组织正在通过发布恶意npm包来传播BeaverTail恶意软件，以及一个新的远程访问木马（RAT）加载器，这是他们正在进行的“Contagious Interview”活动的一部分。 “这些最新的样本使用十六进制字符串编码来逃避自动化检测系统和手动代码审计，这表明威胁行为者在混淆技术上的变化，”Socket安全研究员Kirill Boychenko在一份报告中表示。 这些恶意包在被移除前总共被下载了5600多次，包括： – empty-array-validator – twitterapis – dev-debugger-vite – snore-log – core-pino – events-utils – icloud-cod – cln-logger – node-clog – consolidate-log – consolidate-logger 这一发现是在一个月前发现一系列npm包分发BeaverTail之后，BeaverTail是一种JavaScript窃取器，还能分发基于Python的后门，名为InvisibleFerret。 该活动的最终目标是以求职面试过程为幌子，渗透开发者的系统，窃取敏感数据，转移金融资产，并维持对受感染系统的长期访问。 新发现的npm库伪装成实用工具和调试器，其中dev-debugger-vite使用了SecurityScorecard在2024年12月名为“Phantom Circuit”的活动中标记为Lazarus Group使用的C2地址。 这些包的突出之处在于，其中一些，如events-utils和icloud-cod，与Bitbucket仓库相关联，而不是GitHub。此外，icloud-cod包被发现在一个名为“eiwork_hire”的目录中托管，再次强调了威胁行为者使用与面试相关的主题来激活感染。 对cln-logger、node-clog、consolidate-log和consolidate-logger包的分析还发现了一些代码级别的细微变化，表明攻击者正在发布多个恶意软件变体，以提高活动的成功率。 尽管有所变化，这四个包中嵌入的恶意代码作为一个远程访问木马（RAT）加载器，能够从远程服务器传播下一阶段的有效载荷。 由于C2端点不再提供有效载荷，目前尚不清楚通过加载器传播的恶意软件的确切性质。然而，Boychenko表示，该代码作为一个活跃的恶意软件加载器，具有远程访问木马（RAT）功能，能够动态获取并执行远程JavaScript，使朝鲜攻击者能够在受感染的系统上运行任意代码。这种行为使他们能够部署任何他们选择的后续恶意软件，使加载器本身成为一个重大威胁。 这些发现表明了“Contagious Interview”的持续性，它不仅对软件供应链构成持续威胁，还采用了臭名昭著的ClickFix社会工程战术来分发恶意软件。 “Contagious Interview威胁行为者继续创建新的npm账户，并在npm注册表、GitHub和Bitbucket等平台上部署恶意代码，展示了他们的持续性，并且没有放缓的迹象，”Boychenko说。 “这个高级持续性威胁（APT）组织正在多样化其战术——在新的别名下发布新的恶意软件，在GitHub和Bitbucket仓库中托管有效载荷，并重用BeaverTail和InvisibleFerret等核心组件，以及新观察到的RAT/加载器变体。” BeaverTail部署Tropidoor# 新npm包的发现正值韩国网络安全公司AhnLab详细描述了一项以招聘为主题的网络钓鱼活动，该活动分发了BeaverTail，然后用于部署一个以前未记录的Windows后门，代号为Tropidoor。该公司的分析显示，BeaverTail正在积极针对韩国的开发者。 该电子邮件声称来自一家名为AutoSquare的公司，包含一个指向Bitbucket上托管项目的链接，敦促收件人在本地克隆项目以审查他们对程序的理解。 该应用程序实际上是一个包含BeaverTail（“tailwind.config.js”）和一个DLL下载器恶意软件（“car.dll”）的npm库，后者由JavaScript窃取器和加载器启动。 Tropidoor是一个通过下载器在内存中运行的后门，能够联系C2服务器以接收指令，从而可以窃取文件、收集驱动器和文件信息、运行和终止进程、截取屏幕截图，以及通过用NULL或垃圾数据覆盖来删除或擦除文件。 该植入程序的一个重要方面是，它直接实现了Windows命令，如schtasks、ping和reg，这一功能之前也在Lazarus Group的另一种名为LightlessCan的恶意软件中观察到，LightlessCan是BLINDINGCAN（又名AIRDRY或ZetaNile）的后续产品。 AhnLab表示：“用户不仅要警惕电子邮件附件，还要警惕来自未知来源的可执行文件。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软认可了一个以EncryptHub身份活动的独狼黑客，他发现了Windows中的两个安全漏洞，并于上个月报告了这些漏洞。这位黑客被描述为一个“矛盾”的个体，他在网络安全领域有着合法的职业生涯，同时也涉足网络犯罪。 瑞典安全公司Outpost24 KrakenLabs发布了一项新的深入分析，揭露了这位新兴网络犯罪分子的身份。大约十年前，这位黑客离开了他在乌克兰哈尔科夫的家乡，搬到了罗马尼亚海岸附近的一个新地方。 微软将这两个漏洞归功于一个名为“SkorikARI with SkorikARI”的用户，据评估这是EncryptHub的另一个用户名。这两个漏洞已在上个月的Patch Tuesday更新中被修复，具体如下： – CVE-2025-24061（CVSS评分：7.8）- 微软Windows Mark-of-the-Web（MotW）安全功能绕过漏洞 – CVE-2025-24071（CVSS评分：6.5）- 微软Windows文件资源管理器欺骗漏洞 EncryptHub还被追踪为LARVA-208和Water Gamayun，他在2024年中期因利用一个虚假的WinRAR网站分发各种恶意软件而受到关注，这些恶意软件托管在一个名为“encrypthub”的GitHub存储库中。 最近几周，这位威胁行为者被归因于微软管理控制台（CVE-2025-26633，CVSS评分：7.0，也称为MSC EvilTwin）的零日漏洞利用，以交付信息窃取器和以前未记录的后门，名为SilentPrism和DarkWisp。 据PRODAFT估计，在过去九个月的运营中，EncryptHub已经攻陷了超过618个高价值目标，涵盖多个行业。 “我们调查过程中分析的所有数据都指向一个单独的个体的行为，”Outpost24的高级威胁情报分析师Lidia Lopez告诉《黑客新闻》。 “然而，我们不能排除与其他威胁行为者合作的可能性。在一个用于监控感染统计数据的Telegram频道中，还有另一个拥有管理权限的Telegram用户，这表明可能有其他没有明确组织隶属关系的人提供合作或帮助。” Outpost24表示，他们能够从“由于糟糕的操作安全实践导致的演员自我感染”中拼凑出EncryptHub的在线足迹，从而揭示了其基础设施和工具的新方面。 这位个体被认为在搬到罗马尼亚附近的一个未指明地点后保持低调，通过在线课程自学计算机科学，同时在业余时间寻找与计算机相关的工作。 然而，这位威胁行为者的所有活动在2022年初突然停止，这与俄乌战争的开始相吻合。Outpost24表示，他们发现的证据表明，他当时被监禁。 “释放后，他恢复了求职，这次提供自由职业的网络和应用程序开发服务，这获得了一些关注，”该公司在报告中表示。“但薪酬可能不够，短暂尝试漏洞赏金计划后未获成功，我们相信他在2024年上半年转向了网络犯罪。” EncryptHub在网络犯罪领域的早期尝试之一是Fickle Stealer，这是Fortinet FortiGuard Labs在2024年6月首次记录的一种基于Rust的信息窃取恶意软件，通过多个渠道分发。 在最近与安全研究员g0njxa的一次采访中，这位威胁行为者声称Fickle“在StealC或Rhadamantys（拼写错误）永远无法工作的系统上提供结果”，并且它“通过高质量的企业防病毒系统”。他们还表示，这个窃取器不仅被私下共享，而且还是他们另一个名为EncryptRAT的产品的“核心”部分。 “我们能够将Fickle Stealer与之前与EncryptHub相关的别名联系起来，”Lopez说。“此外，与该活动相关的其中一个域名与他合法自由职业工作的基础设施相匹配。从我们的分析来看，我们估计EncryptHub的网络犯罪活动始于2024年3月左右。Fortinet在6月的报告可能标志着这些行动的首次公开记录。” EncryptHub还被发现广泛依赖OpenAI的ChatGPT来协助恶意软件开发，甚至利用它来帮助翻译电子邮件和消息，并作为一种忏悔工具。 “EncryptHub的案例突显了糟糕的操作安全仍然是网络犯罪分子最严重的弱点之一，”Lopez指出。“尽管技术复杂，但基本错误——如密码重复使用、暴露的基础设施以及将个人活动与犯罪活动混为一谈——最终导致了他的曝光。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国拥有数百年历史的邮政机构皇家邮政集团（Royal Mail Group）疑似遭遇重大数据泄露，144GB的内部文件、客户信息和营销数据被曝光。此次泄露事件由网络犯罪论坛Breach Forum的用户“GHNA”首次披露。 144GB敏感数据泄露 据Hackread.com研究团队观察，GHNA于2025年3月31日（星期一）在Breach Forum发帖称：“今天，我上传了144GB的皇家邮政集团数据供大家下载（再次感谢Spectos的‘协助’）。感谢阅读，尽情享用！” 帖子中包含一张疑似皇家邮政集团与Spectos举行Zoom会议的截图。Spectos是一家总部位于德国的数据分析和绩效管理公司，曾多次与其他泄露事件扯上关系。这引发了外界对此次攻击究竟是直接入侵皇家邮政集团的基础设施，还是通过拥有深度系统访问权限的供应商Spectos进行的第三方攻击的猜测。 泄露的144GB档案包含293个文件夹和16,549个文件，涉及范围广泛： 客户个人身份信息（PII）：包括姓名、完整地址、邮编、寄送详情，以及寄件方的企业名称和服务使用情况。 内部通信：视频会议记录，尤其是Spectos与皇家邮政集团员工之间的Zoom通话。 运营数据：配送路线数据、邮局位置信息和后端SQL数据库。 营销基础设施数据：Mailchimp邮件列表导出，包含订阅者元数据、活动标签和详细的同意信息。 黑客GHNA是谁？ 深入调查发现，GHNA自2024年底以来便活跃于Breach Forum，通过泄露或出售多个高知名度企业的数据逐渐积累声誉。其发布的帖子涉及多个行业，包括： 多家市值数十亿美元的软件公司和太阳能行业企业； 三星电子（德国）——泄露了客户满意度工单数据； Touchworld Technology LLC和Liberty Latin America——源代码库； 涉及美国和欧洲软件公司（包括CRM和Staking平台）的访问权限； 针对加密货币公司的攻击，如Staking公司和赌场（均被论坛标记为“已验证”，其中一个已被售出）。 皇家邮政集团的数据泄露事件是GHNA发布的体量最大的攻击之一。但从其过往行为来看，这很可能只是一个更广泛的“访问即服务”（Access-as-a-Service）运营的一部分。 第三方供应商Spectos卷入 Spectos的名字多次出现在泄露的数据中，包括内部文件和会议视频。虽然目前尚不清楚Spectos是攻击入口还是仅被动涉及，黑客发帖时提到“再次感谢Spectos的‘协助’”，暗示Spectos的系统可能是此次泄露的切入点。考虑到泄露数据的规模和类型，攻击者或许通过共享系统、集成点或Spectos自身基础设施实现了入侵。 皇家邮政集团在发给Hackread.com的邮件中表示：“我们了解到此次事件疑似影响了皇家邮政的供应商Spectos。我们正与该公司合作调查事件，并评估是否存在数据影响。”截至目前，Spectos尚未就此事公开回应。 皇家邮政集团的安全挑战 此次事件是皇家邮政集团面临的一系列网络安全挑战中的最新一次。早在2023年年初，皇家邮政就曾遭受LockBit勒索软件团伙攻击，导致国际包裹寄递系统中断数周，被迫启用紧急预案。 当时的攻击由勒索软件团伙发起，主要目的是勒索赎金。而这次事件虽然没有勒索要求，但或许反映出黑客对皇家邮政集团数据的兴趣愈发浓厚，尤其是针对其供应商网络中的薄弱环节。 影响与持续调查 尽管皇家邮政集团尚未正式确认数据真实性，但已通过Spectos承认事件的存在。如果泄露数据属实，受影响客户的信息可能面临诈骗、垃圾邮件甚至身份盗窃的风险。 对于皇家邮政集团而言，这一事件加剧了其在数据保护和供应商管理上的压力。对于监管机构而言，事件或将引发关于皇家邮政集团是否采取了充分措施保护用户信息的质疑。 截至发稿时，事件调查仍在进行中，皇家邮政集团和Spectos均未作进一步回应。   消息来源：Hacker read； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文