Aggregator

HackerNews 编译，转载请注明出处： 德国联邦警察局（BKA）确认两名俄罗斯公民为2019年至2021年间GandCrab和REvil勒索软件组织的领导者。 据BKA披露，31岁的Daniil Maksimovich Shchukin和43岁的Anatoly Sergeevitsch Kravchuk”至少从2019年初至2021年7月”担任这两个勒索软件团伙的头目。 Shchukin多年来以UNKN/UNKNOWN为化名，在网络犯罪论坛发帖并作为勒索软件运营代表发言。 德国当局称，Shchukin和Kravchuk至少参与了130起针对德国企业的勒索案件。攻击后，至少25名受害者向Shchukin及其同伙支付220万美元赎金，而他们造成的总财务损失估计超过4000万美元。 GandCrab于2018年初出现，其头目于2019年6月宣布”退休”，声称已从赎金支付中赚取20亿美元。该头目套现1.5亿美元，声称已投资于合法企业。 不久后，名为REvil的新组织出现，沿用GandCrab建立的联盟模式，通过广告和与网络犯罪分子建立伙伴关系运营。 REvil（又称Sodinokibi）由前GandCrab联盟成员和运营者组成，他们已掌握成功战术并开始应用于自身运营。REvil后来增设公开泄露网站并运营数据拍卖以施压受害者。知名受害者包括多个得克萨斯州地方政府、电脑巨头宏碁，以及影响约1500名下游受害者的Kaseya供应链攻击。 大规模Kaseya黑客事件后，REvil休整两个月，期间执法部门入侵其服务器并开始监控运营。当时记录了多次基础设施中断，2022年1月中旬，俄罗斯逮捕了十余名REvil团伙成员，他们于2025年因信用卡诈骗指控服刑期满后获释。 目前尚不清楚Shchukin或Kravchuk在REvil于2021年覆灭后是否加入其他勒索软件组织。 BKA认为Shchukin和Kravchuk现位于俄罗斯，呼吁公众分享可能有助于确定其下落的任何信息。相关条目也已创建在欧盟头号通缉犯门户网站上。 警方分享了多张照片，包括纹身照片，以帮助追踪这两名威胁行为体并将其绳之以法。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名安全研究人员因对微软安全响应中心（MSRC）处理漏洞披露流程不满，公开了未修补Windows权限提升漏洞的利用代码，攻击者可借此获取SYSTEM或提升的管理员权限。 该漏洞被命名为BlueHammer，由化名Chaotic Eclipse的研究人员发布。由于该安全问题尚无官方补丁，按微软定义属于零日漏洞。 目前尚不清楚触发公开泄露的原因。Chaotic Eclipse在简短帖子中表示：”我之前不是虚张声势威胁微软，现在再来一次。与之前不同，我不解释原理了，各位天才自己琢磨。另外，非常感谢MSRC领导层让这一切成为可能。” 4月3日，Chaotic Eclipse以Nightmare-Eclipse为别名发布了BlueHammer漏洞利用的GitHub仓库，对微软处理安全问题的方式表示难以置信和沮丧。 “我真想知道他们决策背后的逻辑，明知道会发生这种事还照做不误？他们是认真的吗？” 研究人员还指出，概念验证（PoC）代码包含可能阻止其可靠运行的漏洞。 Tharros（原Analygence）首席漏洞分析师Will Dormann向BleepingComputer确认BlueHammer利用有效，称该漏洞是本地权限提升（LPE），结合了TOCTOU（检查时间到使用时间）和路径混淆。 他解释该问题不易利用，可使本地攻击者访问安全账户管理器（SAM）数据库——其中包含本地账户的密码哈希。获得此访问权限后，攻击者可提升至SYSTEM权限，可能实现机器完全沦陷。 Dormann告诉BleepingComputer：”到那时，攻击者基本拥有系统控制权，可以生成SYSTEM权限的shell。” 部分测试该利用的研究人员确认，代码在Windows Server上未成功，证实了Chaotic Eclipse关于代码存在漏洞可能阻止正常运行的说法。 Will Dormann补充，在Server平台上，BlueHammer利用可将权限从非管理员提升至提升的管理员——这是一种需要用户临时授权需要完全系统访问权限操作的保护机制。 尽管Chaotic Eclipse/Nightmare-Eclipse披露的原因仍不确定，Dormann指出MSRC提交漏洞时的一项要求是提供利用视频。虽然这可能帮助微软更轻松地筛选报告漏洞，但增加了提交有效报告的工作量。 尽管BlueHammer需要本地攻击者才能利用，其风险仍然重大，因为黑客可通过多种途径获取本地访问权限，包括社交工程、利用其他软件漏洞或基于凭证的攻击。 BleepingComputer已联系微软就BlueHammer漏洞置评，但截至发稿未获回复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多伦多大学研究团队开发出一种名为GPUBreach的新型攻击，可通过在GPU GDDR6内存上诱导Rowhammer位翻转来提升权限，最终导致系统完全沦陷。 GPUBreach的完整细节将于4月13日在奥克兰举行的IEEE安全与隐私研讨会上公布。 研究人员证明，GDDR6中的Rowhammer诱导位翻转可损坏GPU页表（PTE），向无特权的CUDA内核授予任意GPU内存读写权限。 攻击者随后可利用NVIDIA驱动中的内存安全漏洞，将此链接至CPU端权限提升，可能在无需禁用输入输出内存管理单元（IOMMU）保护的情况下实现系统完全沦陷。 IOMMU是一种硬件单元，用于防范直接内存攻击，通过管理每个设备可访问的内存区域来控制和限制设备访问内存的方式。 尽管IOMMU是防范大多数直接内存访问（DMA）攻击的有效措施，但无法阻止GPUBreach。 研究人员解释：”GPUBreach表明，GPU Rowhammer攻击已从数据损坏升级为真正的权限提升。通过损坏GPU页表，无特权CUDA内核可获得任意GPU内存读写权限，然后利用NVIDIA驱动中新发现的内存安全漏洞，将此能力链接至CPU端提升。结果是实现系统范围的沦陷直至root shell，且无需禁用IOMMU，与当代研究不同，使GPUBreach成为更强大的威胁。” 同一研究团队此前曾展示GPUHammer——首个证明GPU Rowhammer攻击切实可行的研究，促使NVIDIA向用户发出警告，并建议激活系统级纠错码缓解措施以阻止GDDR6内存上的此类尝试。 然而，GPUBreach将威胁提升至新高度，表明不仅可能损坏数据，还可能在IOMMU启用的情况下获取root权限。 研究人员以配备GDDR6的NVIDIA RTX A6000 GPU为例展示结果，该型号广泛用于AI开发和训练工作负载。 披露与缓解措施 多伦多大学研究人员于2025年11月11日向NVIDIA、谷歌、AWS和微软报告了发现。 谷歌确认报告并向研究人员授予600美元漏洞赏金。 NVIDIA表示可能更新其2025年7月的现有安全公告，以纳入新发现的攻击可能性。 正如研究人员所证明，如果GPU控制的内存能够损坏受信任的驱动状态，仅靠IOMMU是不够的，因此面临风险的用户不应仅依赖该安全措施。 纠错码（ECC）内存有助于纠正单位翻转并检测双位翻转，但对多位翻转不可靠。 最终，研究人员强调，对于无ECC的消费级GPU，GPUBreach完全无法缓解。 研究人员将于4月13日发布其工作的完整细节，包括技术论文及GitHub仓库（含复现包和脚本）。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability marked as critical has been reported in Apple macOS up to 13.6/14.6. The affected element is an unknown function. The manipulation leads to improper access controls. This vulnerability is uniquely identified as CVE-2024-44275. Local access is required to approach this attack. No exploit exists. It is suggested to upgrade the affected component.

A vulnerability described as critical has been identified in Apple visionOS. Affected is an unknown function of the component Kernel Memory Handler. Such manipulation leads to memory corruption. This vulnerability is uniquely identified as CVE-2024-44277. Local access is required to approach this attack. No exploit exists. Upgrading the affected component is recommended.

A vulnerability classified as critical has been found in Apple tvOS. Affected by this vulnerability is an unknown functionality of the component Kernel Memory Handler. Performing a manipulation results in memory corruption. This vulnerability was named CVE-2024-44277. The attack needs to be approached locally. There is no available exploit. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Apple iOS and iPadOS. Affected by this issue is some unknown functionality of the component Kernel Memory Handler. Executing a manipulation can lead to memory corruption. The identification of this vulnerability is CVE-2024-44277. The attack can only be executed locally. There is no exploit available. Upgrading the affected component is advised.

A vulnerability was found in Apple visionOS. It has been classified as critical. This issue affects some unknown processing. Performing a manipulation results in symlink following. This vulnerability is identified as CVE-2024-44273. The attack is only possible with local access. There is not any exploit available. Upgrading the affected component is recommended.

A vulnerability was found in Apple tvOS. It has been declared as critical. Impacted is an unknown function. Executing a manipulation can lead to symlink following. This vulnerability is tracked as CVE-2024-44273. The attack is restricted to local execution. No exploit exists. It is recommended to upgrade the affected component.

A vulnerability was found in Apple watchOS. It has been rated as critical. The affected element is an unknown function. The manipulation leads to symlink following. This vulnerability is listed as CVE-2024-44273. The attack must be carried out locally. There is no available exploit. Upgrading the affected component is advised.

A vulnerability categorized as critical has been discovered in Apple iOS and iPadOS. The impacted element is an unknown function. The manipulation results in symlink following. This vulnerability is cataloged as CVE-2024-44273. The attack must be initiated from a local position. There is no exploit available. It is advisable to upgrade the affected component.

A vulnerability identified as problematic has been detected in Apple iOS and iPadOS. This affects an unknown function of the component User Information Handler. This manipulation causes information disclosure. This vulnerability is registered as CVE-2024-44274. It is feasible to perform the attack on the physical device. No exploit is available. You should upgrade the affected component.

A vulnerability labeled as problematic has been found in Apple watchOS. This impacts an unknown function of the component User Information Handler. Such manipulation leads to information disclosure. This vulnerability is documented as CVE-2024-44274. The attack can be executed directly on the physical device. There is not any exploit available. The affected component should be upgraded.

HackerNews 编译，转载请注明出处： 据Fortinet FortiGuard Labs观察，疑似与朝鲜民主主义人民共和国（DPRK）关联的威胁行为体正在利用GitHub作为命令控制（C2）基础设施，对韩国组织实施多阶段攻击。 攻击链以混淆的Windows快捷方式（LNK）文件为起点，投放诱饵PDF文档和PowerShell脚本，为下一阶段攻击做准备。据评估，这些LNK文件通过钓鱼邮件分发。 载荷下载后，受害者看到PDF文档，同时恶意PowerShell脚本在后台静默运行。该脚本扫描虚拟机、调试器和取证工具相关运行进程以抵抗分析，检测到任一进程即立即终止。 否则，脚本提取Visual Basic脚本（VBScript），通过计划任务设置持久化——每30分钟在隐藏窗口启动PowerShell载荷以规避检测，确保系统每次重启后自动执行。 随后，PowerShell脚本分析受感染主机，将结果保存至日志文件，并使用硬编码访问令牌外泄至”motoralis”账户创建的GitHub仓库。该活动创建的GitHub账户还包括”God0808RAMA”、”Pigresy80″、”entire73″、”pandora0009″和”brandonleeodd93-blip”等。 脚本随后解析同一GitHub仓库中的特定文件以获取额外模块或指令，使运营者能够利用GitHub等平台的信任关系混入其中，维持对受感染主机的持久控制。 Fortinet表示，该活动早期迭代曾依赖LNK文件传播Xeno RAT等恶意软件家族。值得注意的是，去年ENKI和Trellix曾记录利用GitHub C2分发Xeno RAT及其变种MoonPeak的攻击，这些攻击被归因于朝鲜国家支持的组织Kimsuky。 安全研究员Cara Lin表示：”威胁行为体不依赖复杂的定制恶意软件，而是使用原生Windows工具进行部署、规避和持久化。通过最小化投放PE文件的使用并利用LolBins，攻击者能够以低检测率瞄准广泛受众。” 此次披露恰逢AhnLab详细介绍Kimsuky类似的基于LNK的感染链，最终导致基于Python的后门部署。 LNK文件如前所述执行PowerShell脚本，在”C:\windirr”路径创建隐藏文件夹以存放载荷，包括诱饵PDF和另一个伪装成Hangul文字处理器（HWP）文档的LNK文件。同时还部署中间载荷以设置持久化并启动PowerShell脚本，后者使用Dropbox作为C2通道获取批处理脚本。 批处理文件随后从远程服务器（”quickcon[.]store”）下载两个独立的ZIP文件片段，合并为单一档案，从中提取XML任务调度器和Python后门。任务调度器用于启动植入程序。 该基于Python的恶意软件支持下载额外载荷并执行C2服务器发出的命令，可运行shell脚本、列出目录、上传/下载/删除文件，以及运行BAT、VBScript和EXE文件。 这些发现也恰逢ScarCruft从传统LNK攻击链转向基于HWP OLE的投放器以投递RokRAT——该远控木马为朝鲜黑客组织独家使用。据S2W称，具体而言，恶意软件作为OLE对象嵌入HWP文档，通过DLL侧加载执行。 这家韩国安全公司表示：”与之前从LNK投放BAT脚本到shellcode的攻击链不同，本案例证实使用新开发的投放器和下载器恶意软件来投递shellcode和ROKRAT载荷。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

4月7日-10日12:00–24:00整点开抢！

三菱電機製、ICONICS Suite、MobileHMI、Hyper Historian、AnalytiX、IoTWorX、MC Works64およびGENESISの複数のプロセスには、Windowsショートカットの不適切な扱いの脆弱性が存在します。

三菱電機製GENESIS64、ICONICS Suite、MobileHMI、Hyper Historian、AnalytiX、IoTWorX、MC Works64、GENESIS、GENESIS32およびBizVizの複数のサービスは、必要以上に高い権限で実行されています。

A security researcher operating under the alias Chaotic Eclipse (@ChaoticEclipse0) has publicly dropped a working zero-day local privilege escalation (LPE) exploit for Windows, dubbed BlueHammer, along with full proof-of-concept (PoC) source code on GitHub. The disclosure was confirmed by vulnerability researcher Will Dormann, who noted that the exploit works and that Microsoft’s own security response process may have directly […]

The post Researcher Released Windows Defender 0-Day Exploit Code, Allowing Attackers to Gain Full Access appeared first on Cyber Security News.

三菱電機製GENESIS64、ICONICS Suite、Hyper Historian、MC Works64およびGENESIS32には、複数の脆弱性が存在します。