HackerNews

HackerNews 编译，转载请注明出处： 思科公司警告管理员立即修补Cisco Smart Licensing Utility（CSLU）中的严重漏洞，该漏洞暴露了一个内置的后门管理员账户，目前已被攻击者利用。 CSLU是一款Windows应用程序，用于在本地管理许可证和关联产品，而无需连接至思科云端的Smart Software Manager解决方案。   思科于2024年9月修补了该安全漏洞（CVE-2024-20439），并将其描述为“未公开的静态用户凭证”，攻击者可通过CSLU应用程序的API远程登录未修补的系统，获取管理员权限。   CVE-2024-20439仅影响运行受漏洞影响版本的CSLU系统，但只有在用户手动启动CSLU应用程序时才会被利用（默认情况下不会在后台运行）。   Aruba威胁研究员Nicholas Starke在思科发布补丁两周后，逆向分析了该漏洞，并发布了包含详细技术信息的报告，其中包括解码后的硬编码静态密码。   思科在周二更新的安全公告中表示：“2025年3月，思科产品安全事件响应团队（PSIRT）发现该漏洞在野外环境中已被尝试利用。思科继续强烈建议客户尽快升级至修复后的软件版本。”   与第二个漏洞联动利用   尽管思科未公开这些攻击的具体细节，但SANS技术研究院研究主任Johannes Ullrich上月发现，有攻击者利用后门管理员账户攻击暴露在互联网上的CSLU实例。   Ullrich指出，威胁行为者正将CVE-2024-20439漏洞与另一个严重的信息泄露漏洞（CVE-2024-20440）结合使用。未经身份验证的攻击者可通过发送精心构造的HTTP请求，访问易受攻击设备中的日志文件，获取API凭证等敏感数据。   “虽然当时的快速搜索未发现任何活跃的攻击行为，但Nicholas Starke在思科发布公告后不久就在博客中公开了后门凭证，因此现在看到部分攻击活动并不意外。”Ullrich表示。   本周一，美国网络安全与基础设施安全局（CISA）将CVE-2024-20439的静态凭证漏洞加入其“已知被利用漏洞目录”，并要求美国联邦机构在三周内（即4月21日前）保护系统免受该漏洞的主动利用。   近年来，这并非思科产品中首次发现并移除后门账户。在此之前，思科的IOS XE、广域网应用服务（WAAS）、数字网络架构（DNA）中心和应急响应软件中也曾发现硬编码凭证漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基研究人员发现，数千部新安卓设备被预装了 Triada 木马的新变种。一旦用户设置设备，攻击者即可立即开始窃取数据。 此次恶意软件活动主要影响俄罗斯用户。根据卡巴斯基移动防护工具的监测数据，2025年3月13日至27日期间已确认至少有2600起感染事件。这些被感染的设备是假冒的热门智能手机型号，通过在线商店以折扣价销售，吸引不明真相的消费者购买。 Triada 是一种模块化的安卓恶意软件，最早于2016年被发现。它通过在设备内存中运行来逃避检测，多年来已多次被发现在通过非正规渠道销售的低价安卓手机的固件中隐藏。一旦安装，Triada 就会变得非常难以清除，除非重新刷机。 卡巴斯基的最新报告显示，Triada 的最新变种更具隐蔽性，它隐藏在安卓系统框架中，并复制到智能手机上的每个进程中。该恶意软件在被感染设备上执行以下操作： – 窃取即时通讯和社交媒体账号； – 通过 WhatsApp 和 Telegram 发送和删除消息，冒充用户； – 通过修改钱包地址劫持加密货币交易； – 监控浏览活动并替换链接； – 在通话过程中伪造电话号码以重新路由对话； – 拦截、发送和删除短信； – 开启高级短信服务以收取付费服务费用； – 远程下载和运行额外应用程序； – 阻断网络连接以逃避检测或破坏防御。 交易分析显示，新 Triada 木马已窃取至少价值27万美元的加密货币，但由于还涉及难以追踪的门罗币（Monero），实际被盗金额可能更高。 卡巴斯基尚不确定设备是如何感染 Triada 的，但推测这可能是由于供应链攻击所致。卡巴斯基研究人员德米特里·卡利宁表示：“Triada 的新版本在设备到达用户之前就被嵌入到智能手机的固件中。供应链可能在某个环节被攻破，甚至商店可能都不知道它们销售的手机带有 Triada”。 为降低风险，建议用户仅从授权经销商处购买智能手机。如有疑问，可以使用谷歌提供的干净系统镜像，或可信的第三方 ROM（如 LineageOS 或 GrapheneOS）重新刷机。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基因数据共享平台 openSNP 将于 2025 年 4 月 30 日关闭，并删除所有用户提交的数据。该平台的联合创始人巴斯蒂安·格雷沙克·茨沃拉拉斯本周早些时候宣布了这一决定，他指出，个人基因组数据如今容易遭到滥用，且在过去 14 年间，相关环境已发生根本性变化。 openSNP 是一个免费且开源的平台，用户可以在此上传和分享基因及表型数据，用于研究和教育目的。其最初目标是打破商业 DNA 检测公司的垄断，让研究人员和普通民众能够免费且无障碍地探索人类基因数据。多年来，openSNP 已成为此类数据存储库中的佼佼者，广泛应用于研究、教育，甚至社区主导的调查，例如驳斥有缺陷的慢性疲劳综合征基因研究。 尽管与 23andMe 没有直接关联，但 openSNP 收到的大部分数据都来自 23andMe 的用户。随着 23andMe 申请破产保护，提交至 openSNP 的新数据几乎停滞，且预计短期内难以恢复。此外，茨沃拉拉斯还担心，保留这些数据可能会被滥用，尤其是私人法医公司、执法机构和政府以伪科学为由，愈发积极地寻求获取此类信息。 “2025 年，提供个人基因数据免费且开放访问的风险与收益比，与 14 年前相比已大不相同。”茨沃拉拉斯解释道，“因此，关闭 openSNP 并删除其中存储的数据，是如今对这些数据最负责任的管理方式。”openSNP 曾多次拒绝企业收购其数据控制权的提议，是开源项目在低预算下成功运营的罕见范例。然而，鉴于当前伦理、政治和社会环境的变化，该组织认为继续运营风险过高。 该平台将在本月底关闭，所有用户提交的数据都将被清除。公告并未要求用户采取任何手动操作，如删除数据，因此无需用户自行处理。不过，那些希望保留个人或他人数据副本以供个人使用的人，可在 4 月 30 日之前下载。需要注意的是，虽然已下载数据的用户将永久保留副本，但移除公共、集中的数据源将降低其被发现和未来通过网络爬虫获取的可能性。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Hijack Loader”的恶意软件加载器的更新版本，该版本增加了新功能以逃避检测并在受感染系统中建立持久性。 Zscaler ThreatLabz 研究员穆罕默德·伊尔凡·瓦表示：“Hijack Loader 推出了一种新模块，通过调用栈伪造来隐藏函数调用（例如API调用和系统调用）的来源。”此外，“Hijack Loader 增加了一个新模块，用于执行反虚拟机检查，以检测恶意软件分析环境和沙箱。” Hijack Loader 最初于2023年被发现，能够传递第二阶段的有效载荷，例如信息窃取恶意软件。它还配备了多种模块，用于绕过安全软件和注入恶意代码。Hijack Loader 在网络安全社区中还被称为DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER。 2024年10月，HarfangLab 和 Elastic Security Labs 详细描述了利用合法代码签名证书以及臭名昭著的 ClickFix 策略传播恶意软件的 Hijack Loader 活动。 与前代产品相比，Hijack Loader 的最新版本增加了调用栈伪造作为逃避检测的手段，以隐藏API和系统调用的来源。这种方法最近也被另一种名为 CoffeeLoader 的恶意软件加载器采用。 “该技术利用 EBP 指针链遍历堆栈，并通过用伪造的堆栈帧替换实际堆栈帧来隐藏恶意调用的存在。”Zscaler 表示。 与之前的版本一样，Hijack Loader 利用 Heaven’s Gate 技术执行64位直接系统调用以进行进程注入。其他更改包括更新黑名单进程列表，新增“avastsvc.exe”（Avast 防病毒软件的一个组件），延迟执行时间五秒。 该恶意软件还增加了两个新模块，分别是 ANTIVM（用于检测虚拟机）和 modTask（通过计划任务设置持久性）。研究结果表明，Hijack Loader 仍在被其运营者积极维护，目的是增加分析和检测的难度。 SHELBY 恶意软件利用 GitHub 进行命令与控制 与此同时，Elastic Security Labs 揭示了一个名为 SHELBY 的新型恶意软件家族，该家族利用 GitHub 进行命令与控制（C2）、数据外泄和远程控制。相关活动被追踪为 REF8685。 攻击链始于一封网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中包含一个 .NET 二进制文件，用于通过 DLL 侧加载执行一个名为 SHELBYLOADER（“HTTPService.dll”）的 DLL 加载器。这些邮件通过目标组织内部发送，投递给了伊拉克一家电信公司。 随后，加载器与 GitHub 建立通信，从攻击者控制的存储库中名为“License.txt”的文件中提取一个特定的48字节值。该值用于生成 AES 解密密钥，解密主后门有效载荷（“HTTPApi.dll”）并将其加载到内存中，而不会在磁盘上留下可检测的痕迹。 “SHELBYLOADER 利用沙箱检测技术来识别虚拟化或监控环境。”Elastic 表示，“一旦执行，它会将结果发送回 C2。这些结果被封装在日志文件中，详细说明每种检测方法是否成功识别出沙箱环境。” SHELBYC2 后门则解析另一个名为“Command.txt”的文件中列出的命令，以从 GitHub 存储库下载/上传文件、反射加载 .NET 二进制文件以及运行 PowerShell 命令。值得注意的是，C2 通信通过使用个人访问令牌（PAT）提交到私有存储库来实现。 “恶意软件的设置方式意味着，任何拥有 PAT（个人访问令牌）的人都可以理论上获取攻击者发送的命令，并访问任何受害机器上的命令输出。”该公司表示，“这是因为 PAT 令牌嵌入在二进制文件中，任何获得它的人均可使用。” Emmenhtal 通过 7-Zip 文件传播 SmokeLoader 此外，以支付为主题的网络钓鱼邮件还被观察到用于传播名为 Emmenhtal Loader（也称 PEAKLIGHT）的恶意软件加载器家族，该家族充当部署另一种名为 SmokeLoader 的恶意软件的渠道。 GDATA 表示：“在这一 SmokeLoader 样本中，一个值得注意的技术是使用了 .NET Reactor，这是一种用于混淆和打包的商业 .NET 保护工具。” “尽管 SmokeLoader 历史上曾使用过 Themida、Enigma Protector 和自定义加密器等打包器，但使用 .NET Reactor 符合其他恶意软件家族（尤其是窃密器和加载器）的趋势，因为其具有强大的反分析机制。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，以经济利益为动机的网络犯罪团伙FIN7正在利用一种名为Anubis的基于Python的后门程序，劫持被入侵的Windows系统。 瑞士网络安全公司PRODAFT在一份技术报告中指出，这种恶意软件允许攻击者执行远程Shell命令和其他系统操作，从而完全控制被感染的机器。 FIN7也被称为Carbon Spider、ELBRUS、Gold Niagara、Sangria Tempest和Savage Ladybug，是一个以俄罗斯为背景的网络犯罪团伙。该团伙以不断演变和扩展的恶意软件家族而闻名，这些恶意软件家族用于获取初始访问权限和数据窃取。近年来，该团伙被认为已转变为勒索软件的附属组织。 2024年7月，该团伙被发现使用多个在线别名宣传一种名为AuKill（又称AvNeutralizer）的工具，该工具能够终止安全工具，可能是为了多元化其盈利策略。 Anubis后门被认为通过恶意垃圾邮件活动传播，通常诱使受害者执行托管在被入侵的SharePoint网站上的恶意负载。该恶意软件以ZIP存档的形式交付，感染的入口点是一个Python脚本，该脚本设计用于直接在内存中解密并执行主要混淆的有效负载。一旦启动，该后门会通过TCP套接字以Base64编码格式与远程服务器建立通信。 服务器的响应同样以Base64编码，允许该后门收集主机的IP地址、上传/下载文件、更改当前工作目录、获取环境变量、修改Windows注册表、使用PythonMemoryModule将DLL文件加载到内存中，并终止自身。 德国安全公司GDATA在对Anubis进行独立分析时发现，该后门还支持将操作员提供的响应作为受害者系统上的Shell命令运行。PRODAFT表示：“这使得攻击者能够在不直接在受感染系统上存储这些功能的情况下，执行诸如键盘记录、截屏或窃取密码等操作。通过尽可能保持后门的轻量化，攻击者降低了被检测的风险，同时保持了执行进一步恶意活动的灵活性。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为Outlaw（又称Dota）的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。 据Elastic安全实验室周二发布的最新分析报告称，“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件，用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者，他们被认为来自罗马尼亚。 自2018年底以来，该黑客团伙一直活跃，通过暴力破解SSH服务器，利用获得的权限进行侦察，并通过将自身的SSH密钥添加到“authorized_keys”文件中，以在被入侵主机上保持持久性。 攻击者还采用多阶段感染过程，使用一个下载器Shell脚本（“tddwrt7s.sh”）下载一个归档文件（“dota3.tar.gz”），然后解包以启动挖矿程序，同时清除过往入侵痕迹，并终止其他竞争挖矿程序和自身旧版本挖矿程序。 该恶意软件的一个显著特点是初始访问组件（又称BLITZ），它通过扫描运行SSH服务的易受攻击系统，以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制（C2）服务器获取目标列表，以进一步延续传播周期。 在某些攻击中，该团伙还利用存在CVE-2016-8655和CVE-2016-5195（又称Dirty COW）漏洞的Linux和Unix操作系统，以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后，恶意软件会部署SHELLBOT，通过C2服务器使用IRC频道进行远程控制。 SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。 在挖矿过程中，该恶意软件会检测被感染系统的CPU，并为所有CPU核心启用大页面功能，以提高内存访问效率。它还使用一个名为kswap01的二进制文件，以确保与攻击者基础设施的持续通信。 “尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术，但它仍然活跃。”Elastic表示，“该恶意软件部署了修改版的XMRig挖矿程序，利用IRC进行C2通信，并使用公开可用的脚本实现持久性和防御规避。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了谷歌云平台（GCP）云运行服务（Cloud Run）的一个现已修复的权限提升漏洞。该漏洞可能会让恶意攻击者访问容器镜像，甚至注入恶意代码。 据网络安全公司Tenable的安全研究员利夫·马坦（Liv Matan）称，该漏洞允许攻击者利用其在谷歌云运行服务中的修订编辑权限，拉取同一账户中的私有谷歌工件仓库（Google Artifact Registry）和谷歌容器仓库（Google Container Registry）镜像。这一安全漏洞被Tenable命名为“ImageRunner”，谷歌已于2025年1月28日完成修复。 谷歌云运行服务是一种完全托管的服务，用于在可扩展的无服务器环境中运行容器化应用程序。当使用该技术运行服务时，会通过指定镜像URL从工件仓库（或Docker Hub）拉取容器镜像以进行后续部署。 问题在于，某些身份虽然没有容器仓库权限，但却拥有谷歌云运行服务修订的编辑权限。每次部署或更新云运行服务时，都会创建一个新版本，而每次部署云运行修订时，都会使用服务代理账户来拉取必要的镜像。 如果攻击者在受害者的项目中获得了特定权限（特别是`run.services.update`和`iam.serviceAccounts.actAs`权限），他们可以修改云运行服务并部署一个新修订版本。在此过程中，攻击者可以指定服务拉取项目内任何私有容器镜像。此外，攻击者还可以访问受害者仓库中存储的敏感或专有镜像，并引入恶意指令，这些指令在执行时可能会被利用来提取机密信息、窃取敏感数据，甚至向攻击者控制的机器打开反向Shell。 谷歌发布的补丁现在确保创建或更新云运行资源的用户或服务账户必须明确拥有访问容器镜像的权限。谷歌在其2025年1月的云运行发布说明中表示：“创建或更新云运行资源的主体（用户或服务账户）现在需要明确的权限来访问容器镜像。”当使用工件仓库时，确保主体在包含容器镜像的项目或仓库上具有工件仓库读者（roles/artifactregistry.reader）IAM角色。 Tenable将“ImageRunner”描述为其所谓的“Jenga”现象的一个实例，这种现象是由于各种云服务的相互关联性导致安全风险传递。“云服务提供商在其现有服务的基础上构建服务。如果一个服务受到攻击或被攻破，那么在其基础上构建的其他服务也会继承风险并变得脆弱。”这种场景为攻击者提供了发现新的权限提升机会甚至漏洞的可能性，同时也为防御者引入了新的隐藏风险。 此次披露发生在Praetorian详细描述较低权限主体如何滥用Azure虚拟机（VM）以控制Azure订阅的几周之后。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名使用化名 “CoreInjection” 的黑客声称对以色列网络安全公司 Check Point 进行入侵，声称获得了敏感的内部数据和网络系统访问权限。 该黑客于 2025 年 3 月 30 日星期日在 Breach Forums 论坛上发布了这一声明，并宣布以 5 枚比特币（约 434,570 美元）的价格出售所窃取的内容。黑客强调，该价格”固定且不可协商”，且仅接受加密货币付款。有兴趣的买家需通过 TOX 消息平台联系。   在论坛的帖子中，CoreInjection 声称出售的数据包括：   – 内部项目文档   – 用户凭据（包括哈希和明文形式）   – 内部网络地图和架构图   – 专有软件的源代码和编译二进制文件   – 员工联系方式，包括电话号码和电子邮件地址   Check Point 公司的回应   在该帖子引起关注后不久，Check Point 发表声明，否认近期发生过如此规模的入侵事件。公司表示，该黑客的说法涉及的是”一个已知的、非常有限的旧事件”，该事件影响的仅是少数组织，且未涉及核心系统。   “此事件在几个月前就已得到处理，并不包含暗网论坛帖子中描述的内容，”Check Point 在声明中表示。”受影响的组织当时已得到通知和妥善处理，此次曝光不过是对旧信息的再度炒作。”   公司坚称，其客户、基础设施或内部运营均未受到安全威胁，并澄清称，受影响的门户网站并未涉及生产环境或包含敏感架构的系统。   CoreInjection 是谁？   CoreInjection 是网络犯罪领域的一个相对新面孔，但已迅速因针对关键基础设施和高端网络（特别是以色列的目标）而声名鹊起。该黑客于 2025 年 3 月 15 日首次出现在 Breach Forums 上，并自那时起已发布了 5 条出售企业网络访问权限的帖子。   其最早的一条帖子是出售对一家总部位于美国的工业机械和设备公司管理面板的访问权限，标价 100,000 美元。然而，不久之后，黑客的攻击目标展现出了一个明显的地理倾向——以色列。   2025 年 3 月 16 日，CoreInjection 声称在出售某以色列国际汽车公司的网络和管理电子邮件访问权限。据称，该访问权限包含对该公司”以色列网络基础设施的完全控制权”，售价 50,000 美元。   两天后的 3 月 18 日，黑客又发布了一条帖子，出售对一家以色列”知名数字屏幕公司”的”完整系统访问权限”。该帖子称，黑客可访问管理大型商场中的数字显示屏服务器，售价 100,000 美元，并强调该权限可实现”即时内容修改和传播”，也就是说，可以实时控制公共显示屏的内容。   这一细节引起了网络安全专家的警觉。过去，与伊朗、真主党和巴勒斯坦黑客组织有关的团体曾多次攻击 CCTV 摄像头、电视信号和公共显示屏，通常用于政治宣传。如果 CoreInjection 的声明属实，这类访问权限的出售可能会为类似的高曝光度攻击提供可乘之机。   2025 年 3 月 20 日，该黑客又发布了一条帖子，出售某以色列电气产品公司的客户和订单数据库，并声称数据”独家且最新”，售价 30,000 美元。   综合来看，CoreInjection 的一系列出售信息显示出明确的攻击模式：高价值访问权限、关键系统以及对以色列基础设施的强烈兴趣。无论其是独立行动，还是隶属于更广泛的组织，该黑客的活动都已引起地下论坛和网络安全界的关注。   仍存疑问   尽管 Check Point 试图安抚公众，但黑客对被窃数据的详细描述仍然引发了担忧。如果这些数据属实，其中提到的内部网络架构、明文凭据和专有软件，可能表明黑客的访问权限比 Check Point 公开承认的要深得多。   此外，仍有几个关键问题未得到解答。如果这确实是一个旧事件，为什么当时未被公开披露？对于一家规模如此庞大的网络安全公司来说，透明度应当是基本要求。而且，Check Point 尚未提供任何关于事件发生方式的细节，这使得外界无法判断其攻击路径究竟是什么——是错误配置的门户？凭据泄露？内部威胁？还是其他原因？   同时，Check Point 也未说明是否已查明黑客的入侵方式，或是否已锁定任何可能的嫌疑人。在缺乏这些信息的情况下，外界难以评估此次攻击是否已被完全遏制，或者仍然存在持续威胁。   这一事件发生之际，网络犯罪分子正越来越多地将网络安全公司本身作为攻击目标，往往利用微小的安全漏洞，进而引发更大规模的数据泄露。无论 CoreInjection 的声明是否属实，该事件都表明，即使是专门从事网络安全防御的公司，也无法完全免受黑客攻击的威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州成为法律风暴的中心，因为一起针对甲骨文公司的集体诉讼。该诉讼于2025年3月31日在美国德克萨斯州西区联邦法院提起，指控甲骨文未能保护敏感信息，并未及时通知受影响的个人。 此次数据泄露事件最初于2025年3月22日由Hackread.com报道。一名使用“rose87168”化名的黑客声称在2025年1月入侵了甲骨文的云基础设施。据该黑客称，泄露的数据包括加密的单点登录密码、Java KeyStore（JKS）文件、企业管理器JPS密钥以及与甲骨文云的单点登录和LDAP系统相关的用户凭证。据称，被盗数据集包含约600万用户的信息。 甲骨文公开否认了此次数据泄露，并拒绝进一步说明。然而，网络安全公司CloudSEK进行了一项独立调查，并声称找到了“确凿证据”证明数据泄露。2025年3月31日，黑客在Breach Forums上发布了更多证据，包括甲骨文云环境的内部LDAP记录和部分凭证。 一名论坛管理员据称验证了数据的真实性，尽管Hackread.com表示，在甲骨文提供透明度之前，它无法独立确认数据泄露的全部情况。然而，根据TechMundo的报道，其分析了数据并发现其为真实。 这起集体诉讼由佛罗里达州居民迈克尔·托伊卡奇于2025年3月31日提起，他声称自己的私人信息通过一家使用甲骨文软件的医疗保健提供者存储在甲骨文的系统中。诉讼称，甲骨文未能达到行业标准安全实践，并指控该公司疏忽、违反受托责任、不当得利以及违反第三方受益人合同。 托伊卡奇声称，自消息传出以来，他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出，甲骨文未能遵守德克萨斯州法律，该法律要求组织在确认数据泄露后60天内通知受影响的个人。截至提起诉讼之日，甲骨文尚未发出任何此类通知。 提高赌注的是泄露数据的性质。诉讼强调，泄露不仅涉及个人身份识别信息（PII），还涉及敏感的健康数据。它引用了多个来源，包括彭博社和HIPAA Journal，这些报道称甲骨文已开始悄悄地向一些医疗保健客户发出患者数据泄露的警报。黑客的帖子威胁要发布受影响公司的完整名单，并提出如果特定组织支付费用来删除其员工记录，可以将其排除在外。 诉讼列出了甲骨文的一长串所谓失误，包括缺乏适当的加密、糟糕的网络监控以及未能及时检测或应对数据泄露。它还引用了甲骨文自己的公开隐私政策，该政策称公司会在不无故延迟的情况下报告任何数据泄露，但诉讼称这种情况并未发生。 随着对补偿性损害赔偿、信用监控服务以及对甲骨文数据安全基础设施改革的要求，这起集体诉讼正成为甲骨文多年来面临的最重要的法律挑战之一。此案还可能重新引发关于云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的辩论。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元（约 1.62 亿美元）罚款。 法国竞争管理局（Autorité de la concurrence）表示，将对苹果公司处以经济处罚，原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间，滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架，要求移动应用必须获得用户的明确同意，才能访问其设备的唯一广告标识符（即广告商标识符 IDFA），并在应用程序和网站之间跟踪用户，以进行定向广告投放。 “除非您获得用户的许可以启用跟踪，否则设备的广告标识符值将全部为零，您不得对其进行跟踪，”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示，但只有在您展示该提示并用户授予权限后，设备的广告标识符值才会被返回。” 除了请求跟踪权限外，应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题，但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的，也不成比例，”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”，并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求，因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是，用户在同意被跟踪时需要进行两次确认，而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪，但苹果公司在其自有应用中并未向用户请求同意（直到 iOS 15 实施之后），”该机构指出。”由于这一不对称性，法国国家信息与自由委员会（CNIL）对苹果处以罚款，认定其违反了《法国数据保护法》第 82 条，该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在，因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意，而对于第三方数据收集，仍然要求开发者获得双重同意。” 值得注意的是，该命令并未要求对 ATT 框架进行具体更改。据路透社报道，这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说，这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中，该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示，ATT 提示对所有开发者（包括苹果自身）都是一致的，并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激增，近24000个唯一IP地址试图访问这些门户。 威胁情报公司GreyNoise表示：“这种模式表明有协调的努力来探测网络防御并识别暴露或易受攻击的系统，可能作为针对性利用的前奏。” 据称，这次激增始于2025年3月17日，每天约有20000个唯一IP地址参与，直到3月26日才减少。在高峰期，估计有23958个唯一IP地址参与了此次活动。其中，只有154个IP地址被标记为恶意。 美国和加拿大成为流量的主要来源，其次是芬兰、荷兰和俄罗斯。此次活动主要针对美国、英国、爱尔兰、俄罗斯和新加坡的系统。 目前尚不清楚是什么驱动了这一活动，但它表明了一种系统性地测试网络防御的方法，这很可能为后续的利用铺平道路。 “在过去的18到24个月里，我们观察到一种一致的模式，即有针对性地针对旧漏洞或特定技术的成熟攻击和侦察尝试，”GreyNoise的数据科学副总裁鲍勃·鲁迪斯表示。“这些模式通常与2到4周后出现的新漏洞相吻合。” 鉴于这种不寻常的活动，拥有面向互联网的Palo Alto Networks实例的组织必须采取措施来保护其登录门户。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司在周一为旧型号和旧版本操作系统回溯修复了三个近期在野外被积极利用的漏洞。 以下是相关漏洞： – CVE-2025-24085（CVSS评分：7.3）——核心媒体组件中的一个use-after-free漏洞，可能允许已安装在设备上的恶意应用程序提升权限。 – CVE-2025-24200（CVSS评分：4.6）——辅助功能组件中的一个授权问题，可能使恶意行为者能够在锁定设备上禁用USB限制模式，作为网络物理攻击的一部分。 – CVE-2025-24201（CVSS评分：8.8）——WebKit组件中的一个越界写入问题，可能允许攻击者创建恶意网页内容，从而突破网页内容沙箱。 这些更新现已适用于以下操作系统版本： – CVE-2025-24085 —— 已在macOS Sonoma 14.7.5、macOS Ventura 13.7.5和iPadOS 17.7.6中修复。 – CVE-2025-24200 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 – CVE-2025-24201 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 这些修复涵盖了以下设备： – iOS 15.8.4和iPadOS 15.8.4 —— 适用于iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和iPod touch（第七代）。 – iOS 16.7.11和iPadOS 16.7.11 —— 适用于iPhone 8、iPhone 8 Plus、iPhone X、iPad第五代、iPad Pro 9.7英寸和iPad Pro 12.9英寸第一代。 – iPadOS 17.7.6 —— 适用于iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代。 苹果公司还发布了iOS 18.4和iPadOS 18.4来修复62个漏洞，macOS Sequoia 15.4来修复131个漏洞，tvOS 18.4来修复36个漏洞，visionOS 2.4来修复38个漏洞，以及Safari 18.4来修复14个漏洞。 尽管新披露的这些漏洞尚未被积极利用，但建议用户将其设备更新至最新版本，以防范潜在威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Lucid的新型复杂网络钓鱼即服务(PhaaS)平台，利用通过苹果iMessage和安卓富通信服务(RCS)传播的短信网络钓鱼消息，攻击了88个国家的169个实体。 Lucid的独特卖点在于其利用合法通信平台来绕过传统的基于短信的检测机制。 瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份技术报告中表示：“其可扩展的订阅模式使网络犯罪分子能够开展大规模网络钓鱼活动，以获取信用卡信息进行金融欺诈。” “Lucid利用苹果iMessage和安卓的RCS技术，绕过了传统的短信垃圾邮件过滤器，显著提高了投递和成功率。” Lucid被认为是讲中文的黑客组织XinXin（又名Black Technology）的作品，网络钓鱼活动主要针对欧洲、英国和美国，意图窃取信用卡数据和个人身份识别信息(PII)。 网络安全 更重要的是，该服务背后的威胁行为者还开发了其他PhaaS平台，如Lighthouse和Darcula，后者已更新为能够克隆任何品牌的网站以创建网络钓鱼版本。Lucid的开发者是代号为LARVA-242的威胁行为者，他也是XinXin组织的关键人物。 这三个PhaaS平台在模板、目标池和战术上有重叠，暗示了一个繁荣的地下经济，讲中文的行为者利用Telegram以订阅方式宣传他们的产品以获取利润。 利用这些服务的网络钓鱼活动被发现冒充邮政服务、快递公司、收费支付系统和税务退款机构，使用令人信服的网络钓鱼模板欺骗受害者提供敏感信息。 这些大规模活动在后端通过iPhone设备农场和在Windows系统上运行的移动设备模拟器来发送数十万条包含虚假链接的诈骗消息。目标电话号码是通过各种方法获得的，如数据泄露和网络犯罪论坛。 “对于iMessage的链接点击限制，他们采用‘请回复Y’技术来建立双向通信，”PRODAFT解释说。“对于谷歌的RCS过滤，他们不断轮换发送域/号码以避免模式识别。” iMessage和RCS短信网络钓鱼 “对于iMessage，这涉及创建具有冒充显示名称的临时Apple ID，而RCS利用运营商在发送者验证中的实现不一致性。” 除了提供简化可定制网络钓鱼网站创建的自动化工具外，这些页面本身还结合了高级反检测和规避技术，如IP阻止、用户代理过滤和限时单次使用URL。 Lucid还支持通过面板实时监控受害者活动并记录与网络钓鱼链接的每一次交互，使其客户能够提取输入的信息。受害者提交的信用卡详细信息会经过额外的验证步骤。该面板是使用开源的Webman PHP框架构建的。 “Lucid PhaaS面板揭示了一个高度组织化和相互关联的网络钓鱼即服务平台生态系统，这些平台由讲中文的威胁行为者运营，主要在XinXin组织下，”该公司表示。 “XinXin组织开发和利用这些工具，并通过出售窃取的信用卡信息获利，同时积极监控和支持类似PhaaS服务的发展。” 值得注意的是，PRODAFT的发现与Palo Alto Networks Unit 42的发现相呼应，后者最近指出一些未具名的威胁行为者利用域名模式“com-”注册了超过10,000个域名，通过苹果iMessage传播各种短信网络钓鱼骗局。 随着Barracuda警告2025年初PhaaS攻击大幅增加，使用Tycoon 2FA、EvilProxy和Sneaky 2FA，这些服务分别占所有PhaaS事件的89%、8%和3%。 “网络钓鱼邮件是许多攻击的入口，从凭证盗窃到金融欺诈、勒索软件等等，”Barracuda安全研究员Deerendra Prasad表示。“推动网络钓鱼即服务的平台越来越复杂和隐蔽，使得传统安全工具更难检测网络钓鱼攻击，并且在造成损害方面更强大。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Gmail诞生21周年之际，谷歌宣布了一项重大更新，企业用户现在只需几次点击，即可向任何平台的任何用户邮箱发送端到端加密邮件。 该功能从今日起以测试版形式推出，允许用户向组织内的Gmail用户发送端到端加密邮件，未来几周将扩展至任何Gmail邮箱，并计划今年晚些时候支持所有邮箱平台。 这一新型加密模式——作为安全/多用途互联网邮件扩展（S/MIME）协议的替代方案——的亮点在于，发送方和接收方无需使用定制软件或交换加密证书。 “这种能力几乎无需IT团队和终端用户付出额外努力，消除了传统IT复杂性和现有解决方案的不佳用户体验，同时保留了增强的数据主权、隐私和安全控制，”谷歌工作空间的乔尼·伯克和朱利安·杜普兰表示。 实现端到端加密邮件的技术是客户端加密（CSE），谷歌已将其应用于Gmail及其他服务，如日历、云端硬盘、文档、幻灯片、表格和Meet。 因此，当向另一位Gmail用户发送端到端加密邮件时，消息会在接收端自动解密。对于非Gmail用户（如微软Outlook），谷歌邮件平台会向其发送一封邀请邮件，邀请其通过受限的Gmail版本查看端到端加密邮件，该版本可通过访客谷歌工作空间账户安全地查看和回复消息。 由于这一过程由客户端加密驱动，数据在传输或存储到谷歌云存储之前会在客户端进行加密，从而使其对包括谷歌在内的其他第三方实体不可读。 不过，客户端加密与端到端加密的一个关键区别在于，客户端使用的加密密钥是在云端密钥管理服务中生成和存储的，这使得组织管理员能够控制密钥、撤销用户对密钥的访问权限，甚至监控加密文件。 “首先，在结构层面，这种方法提供了更全面的加密保护，”伯克和德普兰表示，“无论你向谁发送消息，他们使用什么邮箱，你的消息都会被加密，且你拥有唯一的控制权。只有一套密钥，而你就是唯一拥有它们的人。” “其次，它简单易用，减少了IT团队和用户的摩擦，因为无需成为加密专家就能让其正常工作。这将为团队节省大量时间和金钱，最终为他们提供了一条通往大家渴望的路径：无痛且正常工作的邮件加密。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 暴露的PostgreSQL实例正成为持续攻击活动的目标，攻击者企图非法获取访问权限并部署加密货币挖矿程序。 云安全公司Wiz表示，此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种，涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。 研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示：“该威胁行为者不断进化，采取了防御规避技术，例如为每个目标部署具有独特哈希值的二进制文件，并以无文件方式执行挖矿载荷，这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。” Wiz还透露，该活动目前已导致超过1500名受害者受害，这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍，足以成为机会主义威胁行为者的攻击目标。 此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。 成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查，并投放一个Base64编码的载荷，实际上这是一个shell脚本，用于终止竞争性的加密货币挖矿程序，并投放一个名为PG_CORE的二进制文件。 服务器上还下载了一个经过混淆处理的Golang二进制文件，代号为postmaster，它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性，创建一个具有提升权限的新角色，并将另一个名为cpu_hu的二进制文件写入磁盘。 cpu_hu从GitHub下载最新版本的XMRig矿工，并通过一种称为memfd的已知Linux无文件技术在内存中启动它。 “威胁行为者为每个受害者分配了一个独特的挖矿工人，”Wiz表示，并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看，这表明该活动可能利用了超过1500台被攻陷的机器。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 戴尔科技公司发布了一项关键安全更新，以解决其 Unity 企业存储系统中的多个严重漏洞。这些漏洞可能允许攻击者以 root 权限执行任意命令、删除关键系统文件，并在无需身份验证的情况下进行其他恶意活动。 安全研究人员发现了 16 个不同的漏洞，这些漏洞影响运行 5.4 版本及更早版本的戴尔 Unity、UnityVSA 和 Unity XT 存储系统，其中最严重的漏洞在通用漏洞评分系统（CVSS）中的评分为 9.8 分。   CVE-2025-22398：远程 root 命令执行   CVE-2025-22398（CVSS 评分 9.8）允许通过未经身份验证的远程命令执行以 root 权限完全接管系统。攻击者可以构造针对 Unity API 的恶意网络请求，注入能以完全管理员权限执行的操作系统命令。这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。   戴尔发布安全公告明确指出，对该漏洞的利用“可能会导致系统被攻击者接管”，其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。   CVE-2025-24383：特权文件删除   CVE-2025-24383（CVSS 评分 9.1）漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件，从而对文件系统造成同样危险的破坏。攻击者可以删除关键的系统二进制文件、配置文件或数据存储，这有可能会使存储操作陷入瘫痪，或者为后续攻击创造条件。   虽然由于该漏洞对机密性的影响较小（无影响对比高影响），其评分略低，但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。   其他安全漏洞   该安全公告还详细说明了 CVE-2025-24381 漏洞，这是一个开放重定向漏洞，评分为 8.8 分，攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。   进一步加剧风险的是多个本地特权提升漏洞（CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386），CVSS 评分为 7.8 分，这些漏洞使得低权限的本地用户能够以 root 权限执行命令。   另外还有两个命令注入漏洞（CVE-2024-49601 和 CVE-2025-24382），CVSS 评分为 7.3 分，使得未经身份验证的远程攻击者能够执行影响程度较低的命令。   戴尔对负责任地披露这些漏洞的安全研究人员表示感谢：“prowser” 发现了关键的远程命令注入漏洞，而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。   受影响产品及修复措施   这些漏洞影响了戴尔广受欢迎的企业存储系统，包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。   戴尔已发布了 Dell Unity 操作环境（OE）5.5.0.0.5.259 版本作为修复方案，并强烈建议所有客户立即进行升级。   使用受影响的戴尔 Unity 系统的组织应评估自身面临的风险，实施推荐的更新，并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 佳能已发布一项重要的安全公告，内容涉及在该公司多款打印机驱动程序中检测到的一个严重漏洞，攻击者可能利用该漏洞在受影响的系统上执行任意代码。 这个被认定为 CVE-2025-1268 的漏洞，在通用漏洞评分系统（CVSS）基础评分中达到了 9.4 的高危分值，这表明受影响的佳能产品用户面临着重大的安全隐患。 严重越界漏洞详情 安全研究人员发现了一个越界漏洞，该漏洞特别影响到多款佳能 Generic Plus 打印机驱动程序中的 EMF（增强型图元文件）重新编码处理功能。 当通过受攻击的应用程序处理打印任务时，这个漏洞有可能使恶意行为者得以执行任意代码。这个漏洞的严重性体现在其 9.4 的 CVSS 评分上，使其被归入 “严重” 的安全等级，需要系统管理员和用户立即予以关注。 此外，这个漏洞尤其令人担忧，因为利用该漏洞无需权限、用户交互或特殊访问条件。这一分类意味着远程攻击者有可能以相对较低的难度利用这个漏洞。 该漏洞不仅可能扰乱打印操作，还可能成为更复杂攻击的切入点，使得未经授权的代码得以执行，从而危及系统的完整性和数据安全。 佳能对 Microsoft 攻击研究与安全工程团队（MORSE）负责任地报告这一漏洞表示感谢，特别认可研究人员 Robert Ord 在识别 CVE-2025-1268 漏洞方面所做出的贡献。 以下是该漏洞的概述： 风险因素 详情 受影响产品 – Generic Plus PCL6 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus UFR II 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPS4 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPSLX 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus PS 打印机驱动程序（V3.12 及更早版本） 影响 任意代码执行或干扰打印操作。 利用前提条件 无需权限、用户交互或特殊访问条件；可远程利用。 CVSS 3.1 评分 9.4（严重） 受影响的打印机驱动程序 佳能已确认该漏洞影响以下版本的打印机驱动程序： Generic Plus PCL6 打印机驱动程序 ——V3.12 及更早版本 Generic Plus UFR II 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPS4 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPSLX 打印机驱动程序 ——V3.12 及更早版本 Generic Plus PS 打印机驱动程序 ——V3.12 及更早版本 这些驱动程序广泛应用于佳能的各种生产型打印机、办公 / 小型办公多功能打印机以及激光打印机，有可能影响到全球成千上万的机构和个人用户。 佳能已开发出更新的打印机驱动程序来解决这一安全问题。该公司强烈建议所有用户通过当地佳能销售代表的网站安装最新版本的打印机驱动程序。 用户应优先进行此更新，以降低针对该漏洞的潜在攻击风险。 为了全面保护，IT 管理员应考虑实施额外的安全控制措施，例如对打印服务器进行网络分段以及加强对可疑打印活动的监控。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DarkCloud 是一种自2022年出现的复杂窃密恶意软件，迅速成为该类别中最普遍的威胁之一。 这种针对 Windows 系统的恶意软件已经进化到可以从受感染的系统中提取敏感信息，包括浏览器数据、FTP 凭证、截图、键盘记录和财务信息。 其主要传播方式是通过钓鱼活动，攻击者冒充合法公司或伪装成付款收据或罚款通知。这些攻击经常针对人力资源部门。其他传播途径包括恶意广告、水坑攻击以及与其他恶意软件（如 DbatLoader 或 ClipBanker）一起部署。 安全研究员 REXorVc0 识别了 DarkCloud 的广泛功能，指出该恶意软件采用多阶段感染过程，旨在规避检测。 “这种窃密软件的执行和传播主要由钓鱼活动推动，攻击者冒充了各种公司，”REXorVc0 在其技术分析中解释道。 其影响是巨大的，许多组织因数据窃密功能而受害，丢失了浏览器数据、加密货币钱包和凭证，而攻击者则通过 Telegram 频道进行操作。 DarkCloud 的感染链始于受害者访问恶意链接或下载受感染的文件。 初始载荷通常以压缩文件或脚本的形式交付，启动一个旨在绕过安全控制的多阶段过程。加载程序下载或提取下一阶段的内容，通常采用复杂的混淆技术。一个分析的样本使用了 Base64 编码和 TripleDES 加密： rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])   rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])   最终阶段涉及将窃密程序注入到合法的 Windows 进程中，如 svchost.exe 或 MSBuild。这种技术使 DarkCloud 能够隐秘运行，规避大多数安全解决方案，同时从浏览器、密码管理器和邮件客户端中收集敏感数据，并通过 Telegram 机器人进行数据外泄。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。 这种发展被视为 Lazarus “Contagious Interview” 活动的演变，该活动同样针对 AI 和加密货币领域的求职者。 ClickFix 是一种相对较新但日益常见的战术，威胁行为者利用网站或文档中的虚假错误提示，声称内容无法查看。页面随后提示用户通过运行 PowerShell 命令来“修复”问题，从而在系统上下载并执行恶意软件。 Sekoia 表示，在最新的活动中，Lazarus 假冒了多家知名公司，包括 Coinbase、KuCoin、Kraken、Circle、Securitize、BlockFi、Tether、Robinhood 和 Bybit，这些公司最近被朝鲜黑客窃取了创纪录的15亿美元。 “通过收集我们在所有虚假面试网站中识别出的数据（即 JSON 对象），我们能够确定哪些公司被无意中用作这些虚假面试的诱饵，”Sekoia 解释道。 “我们的分析基于从虚假面试网站检索到的184份不同的邀请。在这些邀请中，我们发现有14家公司的名称被用来诱使受害者完成申请流程。” Lazarus 采用 ClickFix 在2023年11月首次记录的“Contagious Interview”活动中，Lazarus 在 LinkedIn 或 X 上接近目标，向他们提供就业机会。 然后，他们利用托管在 GitHub 和 Bitbucket 等协作平台上的软件和编码测试项目，诱骗目标下载并在其系统上运行恶意软件加载程序，投放信息窃取器。 从2025年2月开始，Sekoia 表示 Lazarus 开始使用所谓的“ClickFake”活动，采用 ClickFix 战术来实现自我感染步骤，而攻击的早期阶段保持不变。 然而，研究人员指出，“Contagious Interview” 活动仍在进行中，这表明朝鲜人可能在并行运行这两种技术时评估其有效性。 在 ClickFake 攻击中，Lazarus 将重点从针对开发人员和程序员转向 CeFi 公司中担任非技术职务的人员，例如业务开发人员和市场经理。 这些人被邀请通过链接进入一个看似合法的网站进行远程面试，该网站使用 ReactJS 构建，包含联系表单、开放式问题，并要求提供视频介绍。 当目标尝试使用网络摄像头录制视频时，会出现一个虚假错误，声称驱动程序问题阻止了摄像头访问，并生成了解决问题的说明。 根据浏览器的用户代理，网站提供特定于操作系统的指令，支持 Windows 或 macOS。 受害者被指示在 CMD（Windows）或终端（macOS）中运行一个 curl 命令，这会使他们感染一个名为“GolangGhost”的基于 Go 的后门，并通过注册表修改和 LaunchAgent plist 文件建立持久性。 一旦部署，GolangGhost 会连接到其命令和控制（C2）服务器，用唯一机器 ID 注册新感染的设备，并等待命令。 该恶意软件可以执行文件操作、shell 命令执行、窃取 Chrome Cookie、浏览历史和存储的密码，以及收集系统元数据。 随着 Lazarus 多样化其攻击方法，潜在目标必须保持警惕，及时了解最新动态，并在下载或执行任何内容之前始终验证面试邀请。 切勿在 Windows 命令提示符或 macOS 终端中执行从互联网复制的任何内容，尤其是如果您不完全了解其功能。 Sekoia 还分享了组织可以用来检测和阻止 ClickFake 活动的 Yara 规则，以及与最新 Lazarus 活动相关的完整妥协指标列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软利用其AI驱动的安全副驾工具，在开源引导程序GRUB2、U-Boot和Barebox中发现了20个此前未知的漏洞。 GRUB2（GRand Unified Bootloader）是大多数Linux发行版的默认引导程序，包括Ubuntu，而U-Boot和Barebox则广泛用于嵌入式和物联网设备。 微软在GRUB2中发现了11个漏洞，包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及密码比较中的侧信道攻击。 此外，在U-Boot和Barebox中还发现了9个缓冲区溢出漏洞，这些漏洞涉及解析SquashFS、EXT4、CramFS、JFFS2和符号链接，需要物理访问才能利用。 这些新发现的漏洞影响依赖UEFI安全启动的设备，如果条件合适，攻击者可以绕过安全保护来在设备上执行任意代码。 虽然利用这些漏洞可能需要对设备进行本地访问，但此前的引导程序攻击（如BlackLotus）是通过恶意软件感染实现的。 微软解释称：“虽然威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox漏洞，但在GRUB2的情况下，漏洞可能被进一步利用来绕过安全启动并安装隐蔽的引导程序，或者可能绕过其他安全机制，如BitLocker。” “安装此类引导程序的后果是严重的，因为这可以授予威胁行为者对设备的完全控制，允许他们控制启动过程和操作系统，危及网络上的其他设备，并进行其他恶意活动。” “此外，这可能导致在操作系统重新安装或硬盘更换后仍然存在的持久性恶意软件。” 以下是微软在GRUB2中发现的漏洞摘要： CVE-2024-56737 – HFS文件系统挂载中的缓冲区溢出，由于对非空终止字符串的不安全strcpy操作 CVE-2024-56738 – 密码比较函数中的侧信道攻击（grub_crypto_memcmp不是恒定时间） CVE-2025-0677 – UFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0678 – Squash4文件读取中的整数溢出导致缓冲区溢出 CVE-2025-0684 – ReiserFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0685 – JFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0686 – RomFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0689 – UDF块处理中的越界读取 CVE-2025-0690 – 读取命令（键盘输入处理程序）中的有符号整数溢出和越界写入 CVE-2025-1118 – dump命令允许任意内存读取（应在生产环境中禁用） CVE-2025-1125 – HFS压缩文件打开中的整数溢出导致缓冲区溢出 除CVE-2025-0678被评为“高”（CVSS v3.1评分：7.8）外，所有上述漏洞均被评为中等严重性。 微软表示，安全副驾显著加速了在大型和复杂的代码库（如GRUB2）中的漏洞发现过程，节省了大约一周的时间，这些时间本将用于手动分析。 副驾识别漏洞并建议修复措施（来源：微软） AI工具不仅识别了此前未知的漏洞，还提供了针对性的缓解建议，这可以为开源项目（由志愿者和小型核心团队支持）提供指导，并加速安全补丁的发布。 利用分析中的发现，微软表示安全副驾在使用共享代码的项目中也发现了类似的漏洞，如U-Boot和Barebox。 GRUB2、U-Boot和Barebox在2025年2月发布了针对这些漏洞的安全更新，因此升级到最新版本应能缓解这些漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文