Aggregator

A vulnerability classified as critical was found in Linux Kernel up to 5.15.169/6.1.114/6.6.58/6.11.5. Affected by this vulnerability is an unknown functionality of the component typec. The manipulation leads to use after free. This vulnerability is known as CVE-2024-50150. Access to the local network is required for this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in rexml Gem up to 3.2.6 on Ruby. This affects an unknown part of the component XML Data Parser. The manipulation of the argument attribute with the input < leads to resource consumption. This vulnerability is uniquely identified as CVE-2024-35176. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

The PC Security Stack Mappings project improves the security posture of corporate PCs by aligning each of the security features found in vPro PC and Core Ultra chips with the techniques described in MITRE's ATT&CK.

Here’s a look at the most interesting products from the past week, featuring releases from Outpost24, Palo Alto Networks, Red Canary, and Sonatype. Outpost24 introduces CyberFlex to streamline attack surface management and pen testing Outpost24 has launched Outpost24 CyberFlex, a comprehensive application security solution that combines Attack Surface Management (ASM) and Penetration Testing as a Service (PTaaS) to manage and secure an organization’s external-facing applications, and deliver enhanced visibility in a flexible and agile way. … More →

The post New infosec products of the week: March 7, 2025 appeared first on Help Net Security.

Applus+ Laboratories创立于1907年，是西班牙最大的检测与认证机构，全球领先的网络安全测试与认证服务提供商，有20+网络安全认证实验室、200+网络安全专家、业务遍布全球65+国家和地区。

A newly identified vulnerability in the Cisco Secure Client for Windows could allow attackers to execute arbitrary code with SYSTEM privileges. The vulnerability lies within the interprocess communication (IPC) channel and can be exploited by an authenticated, local attacker to perform a DLL hijacking attack. This vulnerability is present only when the Secure Firewall Posture […]

The post Cisco Secure Client for Windows Let Attackers Execute Arbitrary Code With SYSTEM Privileges appeared first on Cyber Security News.

恶意软件冒充热门Go库，通过“typosquatting”手段感染Linux和macOS系统，执行远程代码并下载恶意脚本，威胁开发者安全。供应链攻击持续升级，亟需防范。

HackerNews 编译，转载请注明出处： 一个名为 “set-utils” 的恶意 Python Package Index (PyPI) 软件包，通过拦截钱包创建功能窃取以太坊私钥，并通过 Polygon 区块链发送出去。 该软件包伪装成一个 Python 工具，模仿了拥有超过 7.12 亿次下载的热门 “python-utils” 以及拥有超过 2350 万次安装的 “utils”。 开发人员网络安全平台 Socket 的研究人员发现了这个恶意软件包，并报告说自 2025 年 1 月 29 日在 PyPI 上提交以来，“set-utils” 已经被下载了上千次。 该开源供应链安全公司表示，攻击主要针对使用 “eth-account” 进行钱包创建和管理的区块链开发人员、基于 Python 的 DeFi 项目、支持以太坊的 Web3 应用以及使用 Python 自动化的个人钱包。 以太坊私钥的隐秘盗窃 该恶意软件包嵌入了攻击者的 RSA 公钥，用于加密被盗数据，以及一个由攻击者控制的以太坊发送账户。 该软件包会钩入标准的以太坊钱包创建函数，如 “from_key()” 和 “from_mnemonic()”，在受感染的机器上生成私钥时拦截这些私钥。 然后它会加密被盗的私钥，并将其嵌入到以太坊交易的数据字段中，再通过 Polygon RPC 端点 “rpc-amoy.polygon.technology/” 发送给攻击者的账户。 窃取的私钥外泄 与其他传统的网络数据窃取方法相比，将窃取的数据嵌入以太坊交易中更为隐蔽，也更难与合法活动区分开来。 防火墙和杀毒软件通常会监控 HTTP 请求，但不会监控区块链交易，因此这种做法不太可能引起警报或被阻止。 此外，Polygon 交易的处理费用很低，小额交易没有速率限制，还提供免费的公共 RPC 端点，因此威胁行为者不需要建立自己的基础设施。 一旦外泄过程完成，攻击者可以随时检索被盗数据，因为这些信息被永久地存储在区块链上。 “set-utils” 软件包在被发现后已从 PyPI 上移除。然而，已经将其纳入项目的用户和软件开发人员应立即卸载它，并假设创建的任何以太坊钱包都已被危及。 如果这些钱包中包含资金，建议尽快将它们转移到另一个钱包，因为这些钱包中的资金随时都可能被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局与司法部刑事司、联邦调查局、欧洲刑警组织以及荷兰国家警察、德国联邦刑事警察局、法兰克福总检察院、爱沙尼亚国家刑事警察和芬兰国家调查局等其他执法部门合作，查封了俄罗斯加密货币交易所 Garantex 的网站域名 。 据两位知情人士透露，Garantex 涉嫌协助勒索软件团伙和暗网市场转移资金，其域名已被美国特勤局根据弗吉尼亚州东区美国检察官办公室的搜查令查封并控制。Garantex 的官方网站已被替换为一个通知，上面写着：“根据搜查令，Garantex 的域名已被美国特勤局查封。” 此外，据知情人士表示，Garantex 的主要运营地点包括莫斯科的联邦大厦和圣彼得堡，其他被制裁的虚拟货币交易所也在这些地方运营。此外，Garantex 在 2022 年 2 月失去了在爱沙尼亚提供虚拟货币服务的执照，因为爱沙尼亚金融情报局发现了其与犯罪活动钱包的关联，以及反洗钱和反恐融资政策的严重合规问题。 美国财政部外国资产控制办公室（OFAC）于 2022 年 4 月对 Garantex 实施了制裁，原因是其与俄罗斯勒索软件团伙和暗网市场 Hydra 有关联，这两者也都遭到制裁。此后，OFAC 又对 Cryptex 和 PM2BTC 等加密货币交易所实施了制裁，原因是它们为俄罗斯勒索软件团伙和其他网络犯罪组织洗钱。 然而，尽管面临多方制裁，Garantex 仍在寻找机会继续运营。该交易所周四在其电报频道表示：“尽管困难重重，我们仍在坚持，并努力解决这些问题。我们不会放弃，所有在俄罗斯钱包中的 Tether（USDT）目前都面临风险。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已经关闭了未公开数量的 GitHub 存储库，这些存储库被用于大规模的恶意广告活动中，影响了全世界近一百万台设备。 微软的威胁分析师在 2024 年 12 月初发现了这些攻击活动，当时他们观察到多个设备从 GitHub 存储库下载了恶意软件，这些恶意软件随后被用来在受损系统上部署各种其他有效载荷。 分析活动后，他们发现攻击者为了获取经济利益在非法的盗版流媒体网站的视频中注入了广告，这些广告会将潜在受害者重定向到攻击者控制的恶意的 GitHub 存储库 。 微软今天解释说：“流媒体网站在电影框架中嵌入了恶意广告重定向器，以从恶意广告平台生成按次观看或按点击付费的收入。这些重定向器随后通过一两个额外的恶意重定向器路由流量，最终到达另一个网站，例如恶意软件或技术支持诈骗网站，然后再重定向到 GitHub。” 恶意广告视频将用户重定向到 GitHub 存储库，这些存储库会感染恶意软件，这些恶意软件旨在进行系统发现、收集详细的系统信息（例如内存大小、图形细节、屏幕分辨率、操作系统和用户路径），并在收集数据的同时部署额外的有效载荷。 第三阶段的有效载荷是一个 PowerShell 脚本，它会从命令和控制服务器下载 NetSupport 远程访问木马病毒，并在注册表中为其建立持久性机制。一旦执行，该恶意软件还可以部署 Lumma 信息窃取器和开源的 Doenerium 信息窃取器，以窃取用户数据和浏览器凭证。 另一方面，如果第三阶段的有效载荷是一个可执行文件，它会创建并运行一个 CMD 文件，同时丢弃一个带有 .com 扩展名的重命名的 AutoIt 解释器。这个 AutoIt 组件随后会启动二进制文件，并可能丢弃另一个带有 .scr 扩展名的 AutoIt 解释器。同时，还会部署一个 JavaScript 文件，以帮助执行 .scr 文件并为其建立持久性机制。 在攻击的最后阶段，AutoIt 有效载荷使用 RegAsm 或 PowerShell 打开文件、启用远程浏览器调试，并窃取额外的信息。在某些情况下，PowerShell 还被用来配置 Windows Defender 的排除路径，或者丢弃更多 NetSupport 有效载荷。 虽然 GitHub 是第一阶段有效载荷的主要托管平台，但微软威胁情报中心还观察到 Dropbox 和 Discord 上托管的有效载荷。 微软表示：“此活动被跟踪在名为 Storm – 0408 的行动之下，我们用它来跟踪众多与远程访问或信息窃取恶意软件相关的威胁行为者，这些行为者还使用网络钓鱼、搜索引擎优化（SEO）或恶意广告活动来分发恶意有效载荷。” “这次活动影响了各种组织和行业，包括消费者和企业设备，突显了攻击的无差别性质。” 微软的报告提供了有关此次复杂的恶意广告活动中各个攻击阶段以及使用的有效载荷的更多详细信息。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

RSUPPORT株式会社が提供するRemoteViewのAgent（Windows版）には、複数の脆弱性が存在します。

HackerNews 编译，转载请注明出处： 据 researchers 发现，超过1000个WordPress网站被感染，这些网站中被注入了第三方 JavaScript 代码，从而产生了四个独立的后门，使攻击者能够持续访问受害网站。 “创建四个后门使攻击者在其中一个被发现并移除时，仍然可以通过其他入口重新进入目标系统。”c/side的研究员Himanshu Anand在周三的分析中表示。 这些恶意的 JavaScript 代码通过 cdn.csyndication[.]com 提供。截至撰写本文时，有多达908个网站包含对这个域名的引用。 这四个后门是这样工作的： 1.第1个后门，上传并安装一个名为“Ultra SEO Processor”的假插件，然后用于执行攻击者发布的命令 2.第2个后门，将恶意 JavaScript 注入 wp-config.php 3.第4个后门，旨在执行远程命令并从 gsocket[.]io 获取另一个有效载荷，可能会打开一个反向 shell 为了降低这些攻击带来的风险，建议用户删除未经授权的 SSH 密钥、轮换 WordPress 管理员凭据，并监控系统日志中的可疑活动。 这一事件的披露正值网络安全公司详细描述了另一场恶意软件活动，该活动已通过恶意 JavaScript 共谋了35000多个网站，这些 JavaScript “完全劫持了用户的浏览器窗口”，将网站访客重定向到中文赌博平台。 “此次攻击似乎针对或起源于说普通话的地区，最终的登陆页面在‘Kaiyun’品牌下提供赌博内容。” 这些重定向是通过托管在五个不同域名上的 JavaScript 实现的，这些 JavaScript 作为执行重定向的主要有效载荷的加载器： – mlbetjs[.]com – ptfafajs[.]com – zuizhongjs[.]com – jbwzzzjs[.]com – jpbkte[.]com 这些研究结果还揭示了 Group-IB 关于一个名为 ScreamedJungle 的威胁行为者的最新报告，该行为者将名为 Bablosoft JS 的 JavaScript 注入受损的 Magento 网站，收集访问用户的指纹信息。据信，到目前为止，已有超过115个电子商务网站受到影响。 “注入的脚本是‘Bablosoft BrowserAutomationStudio（BAS）套件’的一部分。”这家新加坡公司表示，并补充道，“它还包含其他几个函数，用于收集有关访问受损网站的用户的系统和浏览器的信息。” 据说，攻击者利用已知的漏洞（例如影响易受攻击的 Magento 版本的 CVE-2024-34102（又名 CosmicSting）和 CVE-2024-20720）入侵这些网站。这个以经济利益为动机的威胁行为者于2024年5月底首次被发现。 “浏览器指纹识别是一种强大的技术，通常被网站用于跟踪用户活动并调整营销策略。”Group-IB表示，“然而，这些信息也被网络犯罪分子利用，以模仿合法用户行为，规避安全措施，并进行欺诈活动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文