Aggregator

Модель научилась соблюдать баланс между толерантностью и реализмом.

在网络安全领域，技术的演进如同浪潮般不断推动着行业的变革。曾经作为重要安全防线的漏洞扫描器，如今正面临着被攻击面管理平台逐渐取代的趋势。这一转变并非偶然，而是网络安全需求不断发展和深化的必然结果。

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，它会删除对安全解决方案运行至关重要的文件，并使恢复变得更加困难。 趋势科技自 2023 年 5 月起就已警告过 Poortry 驱动程序添加了此功能，Sophos 现已确认在野外看到了 EDR 擦除攻击。 PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。 PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。 该工具包被 BlackCat、Cuba 和 LockBit 等多个勒索软件团伙使用，最初引起人们关注是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙（如 Scattered Spider）也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵活动。 在 2022 年和 2023 年期间，Poortry不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。 擦除器的进化 Sophos 的最新报告基于2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。 这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。 该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录和这些目录中的关键文件。 然后，它向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除其关键文件。 这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，从而赋予它一定的操作灵活性，以覆盖更广泛的 EDR 产品。 按文件类型删除功能 该恶意软件可以进行微调，仅删除对 EDR 操作至关重要的文件，从而避免在攻击危险的初始阶段产生不必要的告警从而引发关注。 Sophos 还指出，最新的 Poortry 变种采用签名时间戳操作来绕过 Windows 上的安全检查，并使用来自其他软件（如 Tonec Inc. 的 Internet Download Manager）的元数据。 驱动程序属性 攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。 用于签署 Poortry 驱动程序的各种证书 尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。 EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aHdlIjodAAYxsQCg6HNDPQ 封面来源于网络，如有侵权请联系删除

今年 2 月，由于生成了不符合历史事实的人类图像而引发争议，Google 暂停了生成人类图像的功能。时隔半年之后，Google 官方博客宣布其 Imagen 3 模型将在未来几天向 Gemini Advanced、Business 和 Enterprise 用户提供人类图像生成功能。为避免生成受争议图像，Imagen 3 包含了安全保护措施，不支持生成照片级写实主义图像、可识别个人、描述未成年人或过度血腥、暴力或性爱场景的图像。举例来说，Google AI 会拒绝“拜登总统打篮球”之类图像生成要求。

A vulnerability was found in kitsada8621 Digital Library Management System 1.0. It has been classified as problematic. Affected is the function JwtRefreshAuth of the file middleware/jwt_refresh_token_middleware.go. The manipulation of the argument Authorization leads to improper output neutralization for logs. This vulnerability is traded as CVE-2024-8297. It is possible to launch the attack remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

Submit #394613 / VDB-276072

网络安全公司 ESET 称，与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。 WPS Office 是中国金山软件开发的一款办公套件，在亚洲非常受欢迎。据报道，它在全球拥有超过 5 亿活跃用户。 该黑客组织被追踪为 APT-C-60，0day漏洞编号为 CVE⁠⁠2024⁠-⁠7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。 该漏洞允许远程代码执行，已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用，影响的版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。 CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中，特别是“ksoqing://”，它允许通过文档内特制的 URL 执行外部应用程序。 由于对这些 URL 的验证和清理不当，该漏洞允许攻击者制作导致任意代码执行的恶意超链接。 APT-C-60 创建了电子表格文档（MHTML 文件），其中嵌入了隐藏在诱饵图像下的恶意超链接，以诱骗受害者点击它们，从而触发漏洞。 处理后的 URL 参数包括一个 base64 编码的命令，用于执行特定插件 (promecefpluginhost.exe)，该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。 该DLL是APT-C-60的下载器组件，用于从攻击者的服务器获取最终的有效负载（TaskControler.dll），这是一个名为“SpyGlace”的自定义后门。 攻击链 中国网络安全公司安恒信息（DBAPPSecurity）最近发布了对 WPS Office 漏洞的分析，此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。 SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告，该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。 根据2022 年底 ThreatBook（微步在线） 的一份报告，APT-C-60 还针对了韩国的实体。 ESET 周三报告称，2 月底，一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格，当目标用户点击单元格时触发漏洞。 诱饵文档嵌入了一张隐藏恶意超链接的图片 关于此漏洞的另一个有趣的事实是，它也可以通过在 Windows 资源管理器的预览窗格中单击来触发，这使得它更加危险。 据 ESET 称，WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响，但仅限于 Windows。 在对 CVE-2024-7262 进行分析时，ESET 发现开发商只修复了部分错误代码，该漏洞仍然可被利用。随后，该供应商发布了针对第二个漏洞的补丁，补丁编号为 CVE-2024-7263。 WPS Office 是一款流行的办公套件，根据官方网站的数据，其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。 安全专家建议所有WPS 用户应尽快将软件更新到最新版本。 ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC )，参考链接：https://github.com/eset/malware-ioc/tree/master/apt_c_60   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/BdUFk6X5CAmBuH7__6UXqg 封面来源于网络，如有侵权请联系删除

伊朗黑客组织APT33利用新型Tickler恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。 根据微软安全研究人员撰写的报告，代表伊朗利益的威胁组织（也被追踪为 Peach Sandstorm 和 Refined Kitten）在 2024 年 4 月至 7 月期间使用了这种新恶意软件作为情报收集活动的一部分。 在这些攻击过程中，攻击者利用 Microsoft Azure 基础设施进行命令和控制 (C2)，使用欺诈性的、攻击者控制。 APT33 在 2024 年 4 月至 5 月期间成功发动密码喷洒攻击，入侵了国防、航天、教育和政府部门的目标组织。在这些攻击中，他们试图使用少量常用密码访问许多帐户，以避免触发帐户锁定。 “尽管密码喷洒活动在各个行业中都持续出现，但微软观察到 Peach Sandstorm 专门利用教育行业中被盗用的用户账户来获取运营基础设施。在这些情况下，攻击者访问了现有的 Azure 订阅或使用被盗用账户创建订阅来托管其基础设施。”微软表示。 黑客控制的 Azure 基础设施被用于后续针对政府、国防和航天领域的行动。 APT33 Tickler 攻击流程 微软补充道：“在过去的一年里，Peach Sandstorm 使用定制工具成功入侵了多家组织，主要是上述领域的组织。” 伊朗黑客组织还在 2023 年 11 月使用了这种策略，攻击了全球国防承包商的网络并部署了 FalseFont 后门。 今年 9 月，微软警告称，APT33 活动已再次出现，自 2023 年 2 月以来，该活动针对全球数千个组织发起了大规模密码喷洒攻击，针对国防、卫星和制药领域。 微软宣布，从 10 月 15 日开始，所有 Azure 登录尝试都必须进行多重身份验证 (MFA)，以保护 Azure 帐户免遭网络钓鱼和劫持。 该公司此前发现，MFA 可使 99.99% 启用 MFA 的账户抵御黑客攻击，并将入侵风险降低 98.56%，即使攻击者试图使用之前被入侵的凭据入侵账户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/uczzZDeRMymYI9BBmqqYog 封面来源于网络，如有侵权请联系删除

A vulnerability was found in FeehiCMS up to 2.1.1 and classified as critical. This issue affects the function insert of the file /admin/index.php?r=user%2Fcreate. The manipulation of the argument User[avatar] leads to unrestricted upload. The identification of this vulnerability is CVE-2024-8296. The attack may be initiated remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability has been found in FeehiCMS up to 2.1.1 and classified as critical. This vulnerability affects the function createBanner of the file /admin/index.php?r=banner%2Fbanner-create. The manipulation of the argument BannerForm[img] leads to unrestricted upload. This vulnerability was named CVE-2024-8295. The attack can be initiated remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability, which was classified as critical, was found in FeehiCMS up to 2.1.1. This affects the function update of the file /admin/index.php?r=friendly-link%2Fupdate. The manipulation of the argument FriendlyLink[image] leads to unrestricted upload. This vulnerability is uniquely identified as CVE-2024-8294. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

Iran-linked group APT33 used new Tickler malware in attacks against organizations in the government, defense, satellite, oil and gas sectors. Microsoft researchers reported that the Iran-linked cyberespionage group APT33  (aka Peach Sandstorm, Holmium, Elfin, Refined Kitten, and Magic Hound) used new custom multi-stage backdoor called Tickler to compromise organizations in sectors such as government, defense, satellite, oil, and gas […]

Iran-linked group APT33 adds new Tickler malware to its arsenalIran-linked group APT33 used ne

Submit #394568 / VDB-276071