Aggregator

供应链投毒风险预警！悬镜安全近日在python仓库捕获1起利用开源组件perfviewer进行木马远程植入的投毒攻击事件，该组件存在较大供应链安全隐患，请速排查！

针对Mimikatz在Win11 24H2无法提取凭据的问题，通过分析pypykatz解决方案，修复签名偏移与结构体变化。

error code: 521

HackerNews 编译，转载请注明出处： 与伊朗有关的威胁行为体在一次未遂导弹袭击前，曾对船只自动识别系统（AIS）数据进行测绘。这表明，与德黑兰结盟的组织正在利用网络行动来支持并增强现实世界的实体攻击。 这项研究证明，网络战与传统实体作战之间的界限正迅速变得模糊。 亚马逊的威胁情报团队指出，国家背景的行为体正越来越多地利用网络行动来支持和增强实体攻击，他们将此趋势称为“网络赋能实体攻击”。 亚马逊发布的报告称：”我们正目睹国家行为体在战争方式上的根本性转变。这些不仅仅是恰好造成物理损坏的网络攻击；它们是经过协调的行动，其中数字操作被专门设计用来支持实体军事目标。” 在亚马逊专家描述的第一个案例中，与伊朗有关的APT组织”Imperial Kitten” 利用网络入侵来支持现实世界的海上攻击。2021年12月，他们入侵了一个船舶AIS平台；到2022年8月，他们扩大了活动范围，甚至访问了船载闭路电视系统以获取实时情报。2024年1月27日，他们搜索了一艘特定船只的AIS数据，标志着其转向了针对性跟踪。几天后的2024年2月1日，胡塞武装向该船只发动了导弹袭击。该案例显示了网络侦察如何能直接促成对海上目标的精确实体攻击。 研究人员描述的第二个案例涉及另一个伊朗关联的APT组织”MuddyWater”，其参与了支持实体攻击的网络行动。2025年5月13日，该组织为其活动架设了服务器。到6月17日，他们访问了另一台被入侵的服务器，该服务器正从耶路撒冷流式传输实时闭路电视画面，从而获得了实时情报。6月23日，伊朗向该市发动了导弹袭击，而以色列官员确认攻击者利用了被黑客入侵的摄像头来调整打击目标。该案例凸显了被入侵的监控系统如何能直接支持实体攻击。 报告进一步指出：”这个时间点并非巧合。正如《The Record》所报道，以色列官员曾敦促公民断开联网安全摄像头的连接，并警告伊朗正在利用它们来’收集实时情报并调整导弹目标’。” 亚马逊的研究表明，伊朗关联组织正在使用分层的网络基础设施来支持实体攻击。他们通过匿名VPN隐藏活动，使用攻击者控制的服务器进行持久性操作，并渗透到企业系统（如闭路电视网络和海事平台）以获取高价值情报。来自被入侵传感器的实时数据流，使攻击者能够在军事打击过程中调整目标。亚马逊引入了一个新术语——“网络赋能实体攻击”——来描述那些直接协助和改进现实世界军事攻击的网络行动，因为现有术语无法完全涵盖这一现象。 报告总结道：”我们相信，网络赋能实体攻击将在多个对手中变得越来越普遍。国家行为体正在认识到将数字侦察与实体攻击相结合所带来的’力量倍增器’效应。这一趋势代表了战争形式的根本性演变，网络行动与实体作战之间的传统界限正在瓦解。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Как на самом деле работают современные трекеры (спойлер: IP-адрес им почти не нужен).

Google тихо открыла канал между iOS и Android, и остается только ждать, заметит ли это Apple и что она с этим сделает.

error code: 521

HackerNews 编译，转载请注明出处： 维也纳大学的一个研究团队发现了一个WhatsApp安全漏洞，攻击者可利用此漏洞批量获取约35亿账户的信息。Meta公司随后修复了该漏洞，以阻止这种批量信息枚举技术。 用户通过向WhatsApp服务器查询电话号码来发现联系人，这种机制本身使得电话号码枚举成为可能。尽管平台设有标准的速率限制机制，但研究人员仍能以每小时超过1亿个号码的速度进行探测，且未被拦截，这暴露了平台在大规模枚举攻击面前的脆弱性。研究发现，在2021年Facebook数据泄露事件中遭泄露的电话号码，有近一半目前仍在WhatsApp上活跃使用。 研究人员在报告中指出：”这种架构本质上就支持电话号码枚举，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御手段，但我们重新审视了这个问题，并证明WhatsApp在面对大规模枚举时依然高度脆弱。在我们的研究中，我们能够以每小时超过一亿个电话号码的速度进行探测，而未遭遇拦截或有效的速率限制。” 研究人员开发了一种方法，能为全球245个国家/地区生成符合格式的可疑手机号码，将全球候选号码范围缩小至630亿。他们分析了35亿个WhatsApp账户，收集的数据包括电话号码、时间戳、个人资料图片、”个性签名”文本以及端到端加密公钥，由此创建了目前规模最大、且符合伦理研究规范的数据集之一。将此数据集与2021年通过Facebook数据爬取获得的5亿条记录进行比较后，发现其中一半号码仍在活跃使用，显示了早期数据泄露的长期影响。 该团队进行了一次”人口普查”，揭示了账户活跃度、设备类型、操作系统市场份额和资料使用情况，凸显了尽管平台采用端到端加密，但仍存在大量数据可见性。他们还在明令禁止使用该服务的地区（如中国、缅甸、朝鲜、伊朗）识别出了活跃账户，表明封禁措施效果有限。对X25519密钥的分析显示，存在大量密钥复用以及跨设备重复使用一次性预密钥的情况，这表明某些实现存在安全隐患或可能存在欺诈行为。一些美国号码甚至使用了全零的私钥，这强烈暗示其随机数生成器存在缺陷或使用了非标准软件。 Meta公司试图淡化此问题，声称用户的聊天消息、联系人或其他私人数据并未因此泄露，且个人资料照片或”个性签名”文本仅在用户将其设置为”所有人”可见时才会被查看。研究人员在2024年至2025年间逐步报告了此问题，但Meta表示直至2025年8月才收到完整的技术细节。相关的缓解措施于9月初开始部署，并在10月追加了进一步的保护机制。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： 一款名为Sturnus的新型安卓银行木马具备完全控制设备的能力，其攻击目标覆盖了WhatsApp、Telegram和Signal等安全通讯软件的信息。它通过捕获屏幕内容来绕过加密通讯，能够窃取银行凭证、远程控制设备，并向用户隐藏欺诈行为。 ThreatFabric的分析显示，Sturnus恶意软件仍处于开发阶段，或目前正处于有限的测试期。然而，该木马已将中南欧的金融机构列为目标，预示着攻击者正在为更广泛的攻击活动做准备。该恶意软件功能完备，并在通信协议和设备支持方面超越了已有的木马家族。有证据表明，攻击者开展了短暂、间歇性的活动，重点针对WhatsApp、Telegram和Signal等加密通讯应用，并使用了针对特定地区的攻击模板。操作者正在积极优化其工具以捕获敏感通信，为未来更协同、大规模的攻击行动做准备。 ThreatFabric在报告中指出：”Sturnus除了针对银行应用外，还会监控前台应用。一旦受害者打开如WhatsApp、Signal或Telegram等加密通讯服务，它会自动激活其UI树收集功能。” 该恶意代码的通信模式模仿了紫翅椋鸟杂乱无章的鸣叫，会在明文、RSA和AES消息之间不可预测地切换。它通过HTTP POST请求注册设备，接收一个UUID和RSA公钥，随后生成本地AES-256密钥，用RSA公钥加密后以Base64格式存储。密钥交换完成后，它使用AES/CBC/PKCS5Padding加密所有消息，在数据前附加一个随机的初始向量，并将数据封装在自定义结构中。 Sturnus通过两个相互关联的机制窃取数据：HTML覆盖层和基于无障碍服务的键盘记录。它存储针对特定银行应用的网络钓鱼模板，并通过一个WebView显示这些模板，该WebView会捕获所有输入并将其发送到命令与控制服务器。数据外泄后，它会禁用已使用的覆盖层以避免检测。它还可以使用全屏遮挡覆盖层来隐藏其活动。 其无障碍服务会记录文本变化、点击事件、焦点切换以及完整的UI树更新，即使屏幕捕获被阻止，攻击者也能据此重构用户操作。这些功能还使该恶意软件能够提取用于解锁设备的PIN码和密码。 报告进一步说明：”由于它依赖于无障碍服务日志记录而非网络拦截，该恶意软件可以读取屏幕上出现的所有内容——包括联系人、完整的对话线程以及收发消息的内容——而且是实时进行。这使得该功能尤其危险：它通过在被合法应用解密后访问信息，完全绕开了端到端加密，让攻击者能够直接查看本应私密的对话。” Sturnus通过两种互补的捕获方法，实现了对受感染设备的完全远程控制：一是通过安卓的显示捕获框架进行实时屏幕镜像；二是在标准捕获失败时，通过无障碍事件构建屏幕截图的备用系统。随后，一个原生库通过VNC RFB协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射，跟踪点击、文本输入、滚动和应用启动，而无需使用图像。这种方法占用带宽更少，能避免屏幕捕获警报，并且即使对隐藏或受保护的元素也有效。 Sturnus通过获取设备管理员权限来增强其持久性，它会监控解锁事件、阻止用户尝试撤销其权限，并防止自身被卸载。一个庞大的监控子系统负责追踪系统变更、网络连接状态、电源状态、SIM卡更换、应用安装、root迹象以及开发者选项。Sturnus还会分析传感器、硬件和网络信息，以调整其策略、规避分析，并保持对设备的长期控制。 报告总结道：”Sturnus代表了一种复杂且全面的威胁，它实现了多种攻击向量，使攻击者能够近乎完全地控制受感染设备。基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员权限滥用以及全面的环境监控相结合，对受害者的财务安全和隐私构成了极其危险的威胁。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability described as problematic has been identified in getkin kin-openapi up to 0.130.x. Affected by this vulnerability is an unknown functionality of the component ZIP File Handler. The manipulation results in highly compressed data. This vulnerability is reported as CVE-2025-30153. The attack can be launched remotely. No exploit exists. Upgrading the affected component is recommended.

A vulnerability was found in Linux Kernel up to 5.16.10 and classified as critical. Affected by this issue is some unknown functionality of the component Binary File Handler. The manipulation results in memory corruption. This vulnerability is known as CVE-2022-25265. It is possible to launch the attack remotely. Furthermore, an exploit is available. It is advisable to implement a patch to correct this issue.

A vulnerability, which was classified as critical, was found in Linux Kernel up to 6.8-rc4. This vulnerability affects unknown code of the component i801. Executing manipulation can lead to buffer overflow. This vulnerability is registered as CVE-2024-26593. The attack requires access to the local network. No exploit is available. You should upgrade the affected component.

A vulnerability identified as critical has been detected in Linux Kernel up to 5.15.158/6.1.90/6.6.30/6.8.9. This affects the function device_get_named_child_node of the component ALSA. This manipulation causes improper update of reference count. This vulnerability appears as CVE-2024-36955. The attacker needs to be present on the local network. There is no available exploit. You should upgrade the affected component.

A vulnerability marked as problematic has been reported in FFmpeg 7.1. Affected is the function iamf_read_header in the library /libavformat/iamfdec.c. This manipulation causes null pointer dereference. The identification of this vulnerability is CVE-2024-55069. It is possible to initiate the attack remotely. There is no exploit available. To fix this issue, it is recommended to deploy a patch.

👍 👍 👍

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

该漏洞的根源在于AI-bolit组件的反混淆逻辑：当工具尝试解包恶意软件以进行扫描时，会执行从混淆PHP文件中提取的、由攻击者控制的函数名和数据。

Cloudflare遭遇六年最严重服务中断 数据库权限变更引发全球网络连锁故障。