Aggregator

A vulnerability, which was classified as critical, was found in Francisco Burzi PHP-Nuke up to 7.3. This affects an unknown part of the file index.php. The manipulation of the argument modpath leads to file inclusion. This vulnerability is uniquely identified as CVE-2004-2018. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）上周四宣布对一名36岁也门公民提出指控，指控其使用Black Kingdom勒索软件实施全球攻击，包括美国境内的企业、学校和医院。也门萨那的Rami Khaled Ahmed被控一项合谋罪、一项蓄意破坏受保护计算机罪及一项威胁破坏受保护计算机罪。据评估，Ahmed目前居住在也门。 司法部声明称：“2021年3月至2023年6月期间，Ahmed及其同伙入侵了多家美国受害者的计算机网络，包括加州恩西诺的医疗计费服务公司、俄勒冈州的滑雪度假村、宾夕法尼亚州的学区以及威斯康星州的健康诊所。”Ahmed被指控通过利用微软Exchange服务器的ProxyLogon漏洞（CVE-2021-26855）开发并部署勒索软件。该软件通过加密受害者网络数据或声称窃取数据实施勒索，加密后会在系统中留下赎金条，要求受害者向同谋者控制的比特币地址支付价值1万美元的加密货币。据称受害者还被要求将付款证明发送至Black Kingdom专用邮箱，该勒索软件估计感染了美国及其他地区约1500台计算机系统。 微软在2021年3月底披露，这款也被追踪为Pydomer的勒索软件家族曾利用Pulse Secure VPN漏洞（CVE-2019-11510）发动攻击，并指出其是首个利用ProxyLogon漏洞的现有勒索家族。网络安全厂商Sophos将Black Kingdom描述为“结构相对简陋且业余”，攻击者利用ProxyLogon漏洞部署Web Shell后，通过PowerShell命令下载勒索软件。2021年8月，观察发现一名尼日利亚威胁行为体试图以支付100万美元比特币为条件招募员工，作为内鬼在企业网络部署Black Kingdom勒索软件。 若罪名成立，Ahmed每项指控最高面临五年联邦监禁。此案由美国联邦调查局（FBI）联合新西兰警方调查。此次指控正值美国政府当局针对各类犯罪活动密集发布公告之际： 司法部公开对乌克兰公民Artem Stryzhak的起诉书，指控其自2021年6月成为勒索软件附属成员后使用Nefilim勒索软件攻击企业。Stryzhak于2024年6月在西班牙被捕，并于2025年4月30日引渡至美国。若定罪将面临最高五年监禁。 英国公民Tyler Robert Buchanan（疑似臭名昭著的Scattered Spider网络犯罪组织成员）从西班牙引渡至美国，面临电信欺诈和加重身份盗窃指控。Buchanan于2024年6月在西班牙被捕，美国于2024年11月宣布对其及Scattered Spider其他成员的指控。 Scattered Spider另一成员Noah Michael Urban于2024年1月被捕，2025年4月初对类似指控认罪，并同意根据认罪协议向59名受害者支付1300万美元。尽管多名成员被捕，Scattered Spider仍被观察到使用模仿Okta登录门户的更新版钓鱼工具包和新版Spectre RAT维持对入侵系统的持久访问。Silent Push称：“2025年观察到的变化暗示新开发者和/或技术混淆决策的存在。” 儿童勒索组织764的两名头目Leonidas Varagiannis（又名War，21岁）和Prasan Nepal（又名Trippy，20岁）因指挥和传播儿童性虐待材料（CSAM）被捕，二人被指控剥削至少八名未成年受害者。该组织另一成员Richard Anthony Reyna Densmore因性剥削儿童于2024年11月在美国被判30年监禁。764组织成员隶属于The Com——一个实施经济动机犯罪、性犯罪和暴力犯罪的松散关联团体集合，其中也包括Scattered Spider。 美国财政部金融犯罪执法网络（FinCEN）将柬埔寨 conglomerate HuiOne Group 列为“东南亚跨国网络犯罪集团主要洗钱关切机构”，指控其协助浪漫诱骗诈骗并为朝鲜民主主义人民共和国（DPRK）网络劫案收益洗钱提供关键节点。HuiOne Pay的银行牌照于2025年3月被柬埔寨国家银行吊销。 这些进展出现之际，勒索软件仍是持久威胁，尽管随着持续执法行动导致攻击策略重大转变，该领域日益呈现碎片化和波动性。这包括无加密攻击频率上升，以及网络犯罪分子从传统层级化组织转向“独狼”模式的趋势。 Halcyon表示：“勒索软件运营日益去中心化，越来越多前附属成员选择独立运作而非依附既有组织。这一转变由多重因素驱动，包括执法协调加强、主要勒索基础设施成功捣毁，以及攻击者通过品牌轮换或无标识行动规避溯源的广泛尝试。” Verizon数据显示，2024年所有分析的数据泄露事件中44%涉及勒索软件（2023年为32%）。但也有好消息：拒绝支付赎金的受害者数量创历史新高，愿支付赎金的组织比例下降。Verizon在《2025年数据泄露调查报告》（DBIR）中称：“2024年支付赎金中位数为11.5万美元，低于前一年的15万美元。64%受害组织未支付赎金，较两年前的50%有所上升。”Coveware数据显示，2025年第一季度平均赎金支付额为552,777美元，环比微降0.2%，但媒体披露的赎金支付额同比飙升80%（增长20万美元）。 该公司表示：“2025年第一季度选择支付赎金的公司比例略有上升，无论是为了获取解密密钥还是阻止威胁行为体在泄露网站公布被盗数据。”该季度勒索支付解决率统计为27%，低于2019年Q1的85%、2020年Q1的73%、2021年Q1的56%、2022年Q1的46%、2023年Q1的45%及2024年Q1的28%。“尽管攻击仍在持续且新团伙每月涌现，但早期勒索软件即服务（RaaS）集团打造的精密勒索机器正陷入难以解决的复杂困境。” Check Point数据显示，尽管遭遇挫折，勒索软件未见停歇迹象：2025年Q1报告2,289起事件，较2024年Q1增长126%，但2025年3月勒索攻击环比下降32%（总计600起）。北美和欧洲占案件总数80%以上，消费品与服务、商业服务、工业制造、医疗保健以及建筑工程成为最受攻击行业。 BlackFog创始人兼CEO Darren Williams博士表示：“勒索事件量正达到前所未有的水平。这对应对专注于破坏、数据盗窃和勒索的攻击者的组织构成持续挑战。不同团伙会兴起和解散，但他们都聚焦于同一终极目标——数据外泄。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability, which was classified as problematic, was found in WordPress. This affects the function Stats of the file class-wp-object-cache.php. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2020-11029. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Sourcegraph up to 3.15.0. This vulnerability affects the function SafeRedirectURL of the file cmd/frontend/auth/redirect.go. The manipulation with the input //foo//example.com as part of String leads to open redirect. This vulnerability was named CVE-2020-12283. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in PIP and classified as critical. Affected by this vulnerability is an unknown functionality of the component Private Package Handler. The manipulation leads to improper input validation. This vulnerability is known as CVE-2018-20225. An attack has to be approached locally. There is no exploit available. The real existence of this vulnerability is still doubted at the moment.

A vulnerability classified as critical was found in Google Chrome. Affected by this vulnerability is an unknown functionality of the component Reader Mode. The manipulation leads to use after free. This vulnerability is known as CVE-2020-6465. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in LeptonCMS 4.5.0. It has been classified as problematic. Affected is an unknown function of the file modules/wysiwyg/save.php of the component Event Handler. The manipulation leads to cross site scripting. This vulnerability is traded as CVE-2020-12707. It is possible to launch the attack remotely. Furthermore, there is an exploit available.

Name: RPCA CTF 2025 (an RPCA CTF event.)
Date: May 2, 2025, 5 p.m. — 05 May 2025, 17:00 UTC  [add to calendar]
Format: Jeopardy
On-site
Location: Royal Police Cadet Academy, Thailand
Offical URL: https://grandctf.rpca.ac.th/
Rating weight: 54.00
Event organizers: RPCA Cyber Club

HackerNews 编译，转载请注明出处： 网络安全公司FortiGuard事件响应团队（FGIR）在一份报告中披露，某伊朗国家支持的黑客组织对中东地区一家关键国家基础设施（CNI）实施了持续近两年的网络入侵。此次攻击活动从2023年5月持续至2025年2月，涉及“大规模间谍行动及疑似网络预置行为（一种用于维持长期访问以获取未来战略优势的战术）”。Fortinet指出，该攻击的技术特征与已知伊朗国家级威胁组织Lemon Sandstorm（原Rubidium，亦追踪为Parisite、Pioneer Kitten、UNC757）存在重叠。 该组织自2017年起活跃，攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。工业网络安全公司Dragos分析称，该组织曾利用Fortinet、Pulse Secure和Palo Alto Networks的VPN已知漏洞获取初始访问权限。2023年，美国网络安全与情报机构指控Lemon Sandstorm对美国、以色列、阿塞拜疆和阿联酋的实体部署勒索软件。 此次针对CNI实体的攻击分为四个阶段，攻击者根据受害方的防御措施持续升级工具链： 2023年5月15日至2024年4月29日，攻击者利用窃取的登录凭证入侵受害者SSL VPN系统，在对外服务器部署Web Shell，并植入Havoc、HanifNet、HXLibrary三款后门程序维持长期访问； 2024年4月30日至2024年11月22日，攻击者追加部署Web Shell及新型后门NeoExpressRAT，使用plink、Ngrok等工具渗透内网，定向窃取受害者邮件数据并进行横向移动至虚拟化基础设施； 2024年11月23日至2024年12月13日，在受害者启动初步封堵措施后，攻击者部署更多Web Shell及后门MeshCentral Agent、SystemBC； 2024年12月14日至今，攻击者尝试利用Biotime漏洞（CVE-2023-38950、CVE-2023-38951、CVE-2023-38952）重新渗透网络，并对11名员工发起钓鱼攻击以窃取Microsoft 365凭证 值得注意的是，Havoc和MeshCentral都是开源工具，分别作为命令和控制（C2）框架和远程监控和管理（RMM）软件。另一方面，SystemBC指的是一种商品恶意软件，通常是勒索软件部署的前兆。 下面简要介绍了攻击中使用的其他自定义恶意软件家族和开源工具： Havoc：开源C2框架 MeshCentral：开源远程监控管理（RMM）软件 SystemBC：常用于勒索攻击前期的商品化恶意软件 HanifNet：未签名的.NET可执行文件，支持远程命令执行（2023年8月首次出现） HXLibrary：恶意IIS模块，通过Google Docs文档获取C2配置（2023年10月部署） CredInterceptor：基于DLL的凭证窃取工具，针对LSASS进程内存（2023年11月使用） RemoteInjector：载荷加载器，用于启动Havoc等后续攻击模块（2024年4月投入） NeoExpressRAT：疑似通过Discord通信的后门程序（2024年8月出现） DarkLoadLibrary：开源加载器，用于激活SystemBC（2024年12月部署） 攻击者使用的C2服务器（apps.gist.githubapp[.]net、gupdate[.]net）与Lemon Sandstorm历史活动存在关联。Fortinet指出，受害者受限的运营技术（OT）网络是主要攻击目标，攻击者通过链式代理工具和定制化植入程序绕过网络分段限制进行横向移动，后期甚至串联四种不同代理工具访问内部网段。尽管攻击者渗透了OT相邻系统所在的网络分区，但尚未发现其侵入OT网络的证据。 分析显示，大部分恶意活动为人工键盘操作（依据命令错误及规律工作时间判断），且攻击者可能早在2021年5月15日已获得网络访问权限。Fortinet强调：“攻击者在整个入侵过程中展现出极高的战术素养，通过定制化工具链维持持久性并规避检测，其操作纪律性暗示该组织可能具有国家背景或掌握充足资源。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability has been found in Oracle Financial Services Compliance Regulatory Reporting 8.0.6/8.0.7/8.0.8 and classified as critical. This vulnerability affects unknown code of the component Web Service to Regulatory Report. The manipulation leads to server-side request forgery. This vulnerability was named CVE-2019-0227. The attack needs to be approached within the local network. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 印度卡纳塔克邦高等法院于2025年4月29日裁定，要求印度政府在全国范围内封禁加密邮件服务提供商Proton Mail。此裁决源于印度公司M Moser Design Associated India Pvt Ltd于2025年1月提起的一项法律诉讼。 根据法律媒体LiveLaw报道，该公司指控其员工收到通过Proton Mail发送的包含淫秽辱骂语言、AI生成的深度伪造图像及其他露骨色情内容的电子邮件。 在听证会上，法官M Nagaprasanna命令印度政府“根据《2008年信息技术法案》第69A条及《2009年信息封锁规则》第10条启动程序封禁Proton Mail”，并强调“在印度政府完成相关程序前，应立即封锁相关违规URL”。截至本文撰写时，Proton Mail在印度境内仍可正常访问。网络安全媒体The Hacker News已联系瑞士Proton公司寻求置评，尚未收到回复。 这是Proton Mail在印度第二次面临封禁威胁。去年初，因有报道称通过该平台发送虚假炸弹威胁，Proton公司曾声明“坚决反对任何违反瑞士法律使用其服务的行为”。根据瑞士法律，该公司虽不得向外国政府机构传输数据，但有义务配合瑞士当局的调查要求——瑞士执法部门可能会与境外机构合作打击非法活动。Proton补充说明：“尽管端到端加密技术为用户的邮件、文件、日历项和密码提供强隐私保护，但禁止利用该服务从事违反瑞士法律的行为。” 此次裁决再度引发关于加密通信服务监管的争议。支持者认为全面封禁侵犯用户隐私权，而执法部门则强调加密技术可能被滥用于非法活动。业界正密切关注Proton公司的后续回应及印度政府的执行措施。值得关注的是，Proton Mail作为全球知名隐私优先邮件服务，其运营基于瑞士严格的隐私法规，长期吸引重视数据安全的用户群体。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

看起来很简单，记录久了，力量就能浮现（可惜，大多数人还是做不到）。

看起来很简单，记录久了，力量就能浮现（可惜，大多数人还是做不到）。

A vulnerability, which was classified as critical, was found in uClibc and uClibc-ng up to 1.0.38. This affects the function gethostbyname/getaddrinfo/gethostbyaddr/getnameinfo of the component Domain Name Handler. The manipulation leads to injection. This vulnerability is uniquely identified as CVE-2021-43523. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in Wuzhi CMS 4.1.0. Affected by this issue is some unknown functionality of the component System Bulletin. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2020-19770. The attack may be launched remotely. There is no exploit available.

A vulnerability, which was classified as critical, has been found in libexpat up to 2.4.2. Affected by this issue is the function storeAtts of the file xmlparse.c. The manipulation leads to memory corruption. This vulnerability is handled as CVE-2021-45960. The attack needs to be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in BusyBox up to 1.33.2. It has been declared as problematic. This vulnerability affects unknown code of the component unlzma Applet. The manipulation leads to out-of-bounds read. This vulnerability was named CVE-2021-42374. Access to the local network is required for this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in libexpat up to 2.4.2. Affected is the function doProlog of the file xmlparse.c. The manipulation of the argument m_groupSize leads to integer overflow. This vulnerability is traded as CVE-2021-46143. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in libexpat up to 2.4.2. It has been declared as critical. This vulnerability affects the function addBinding of the file xmlparse.c. The manipulation leads to integer overflow. This vulnerability was named CVE-2022-22822. The attack needs to be approached within the local network. There is no exploit available. It is recommended to upgrade the affected component.