Aggregator

Теперь Пичаи с уверенность вызывает Microsoft на технологическую дуэль.

感谢2024支持京东安全的白帽英雄们！

zLabs发现了AppLite，它是AntiDot银行木马的一个复杂的新变种，通过大范围的网络钓鱼活动以安卓设备为目标。该恶意软件伪装成 Chrome、TikTok 和企业工具等合法应用程序，能够窃取敏感凭证并完全控制受感染的设备。 该活动背后的攻击者采用了精心设计的社交工程策略来引诱受害者。他们伪装成人力资源代表或工作招聘人员，向潜在受害者发送精心制作的网络钓鱼电子邮件。这些电子邮件将用户重定向到模仿知名公司和教育机构的钓鱼网站，敦促他们下载恶意安卓应用程序。 一旦安装，这个看似合法的应用程序就会充当滴管，将 AppLite 银行木马暗中发送到受害者的设备上。正如 zLabs 所解释的那样： “受害者会被重定向到一个恶意登陆页面，以继续申请流程或安排面试。登陆页面会操纵受害者下载并安装一个恶意程序。 攻击序列 Zimperium AppLite 使用 ZIP 操作等混淆技术来逃避安全工具的检测： “恶意行为者经常使用各种方法改变 APK 文件的 ZIP 格式和 Android Manifest 文件的结构，使分析工具失效并逃避检测。解析器如果不更新，可能无法正确处理文件，从而使恶意软件绕过检测机制，继续安装在目标设备上。” 与其他银行木马类似，AppLite 利用叠加攻击来欺骗用户。当目标应用程序启动时，恶意软件会叠加一个模仿合法应用程序的恶意 HTML 页面，诱骗用户输入敏感凭据。 恶意软件通过 Webocket 与其命令和控制 (C&C) 服务器建立连接，实现实时双向通信。攻击者可以发布命令收集敏感数据，如联系人、短信和应用程序凭据，甚至可以利用虚拟网络计算（VNC）功能远程控制设备。 AppLite 最令人震惊的功能是自动解锁设备。通过使用辅助功能服务，它可以识别锁定模式视图、计算移动路径并模拟触摸手势，从而在无需用户交互的情况下解锁设备。 该活动针对精通英语、西班牙语、法语、德语、意大利语、葡萄牙语和俄语的用户。主要受害者是 95 个银行应用程序、62 个加密货币应用程序和其他金融服务的用户，分布在北美、欧洲和亚洲部分地区。     转自安全客，原文链接：https://www.anquanke.com/post/id/302672 封面来源于网络，如有侵权请联系删除

近日我们观察到某恶意域名的访问量从9月初陡增，10月底开始爆发，并观察到恶意的payload ，基于相关日志确认CSDN被挂马。测绘数据显示国内大量网站正文页面中包含该恶意域名，包含政府、互联网、媒体等网站，推测 CDN 厂商疑似被污染。

美军进攻性网络行动的管控政策将进一步宽松

本轮融资所筹资金将用于AI+网络安全产品迭代应用、突破重点行业落地场景及市场渠道建设等

建设EDR的最佳时机就是当下，和我们一起从0到1建设信创终端安全，做好对抗实战威胁的准备。

yaklang中的闭包与side-effect

在一场突如其来的意外事件中，风靡全球的 OpenAI 人工智能聊天机器人 ChatGPT 正在经历一场全球性的重大故障。这次中断始于北京时间 2024 年 12 月 11 日下午 3:17 左右，同时也影响了 OpenAI 的其他服务，包括新推出的文本到视频 AI 模型 Sora 和公司的 API。 用户在尝试访问 ChatGPT 时收到了一条消息：“ChatGPT 目前不可用”，随后确认 OpenAI 意识到了这个问题，并正在积极修复。这次故障给无数将 ChatGPT 整合到日常工作中的个人和企业的工作流程带来了影响。 故障原因尚不清楚。虽然 OpenAI 没有发布任何有关根本原因的官方声明，但各种猜测层出不穷。鉴于 ChatGPT 庞大的用户群（每周活跃用户超过 2 亿），它是网络攻击的首要目标。今年早些时候，一个名为 “匿名苏丹”（Anonymous Sudan）的组织声称对一次 DDoS 攻击负责，这次攻击与之前的 ChatGPT 故障同时发生。目前的中断是恶意活动还是技术故障造成的，还有待观察。 OpenAI 向用户保证，他们正在努力恢复服务。与此同时，全球数百万人仍在等待，这凸显了我们对这些强大人工智能工具日益增长的依赖性。我们将继续关注事态发展，并随时提供最新消息。     转自安全客，原文链接：https://www.anquanke.com/post/id/302661 封面来源于网络，如有侵权请联系删除

Deep Instinct 的网络安全研究人员发现了一种新颖且强大的基于分布式组件对象模型(DCOM) 的横向移动攻击方法，使攻击者能够在目标 Windows 系统上秘密部署后门。 攻击利用 Windows Installer 服务远程编写自定义 DLL，将其加载到活动服务中，并使用任意参数执行它们。具体来说，DLL（动态链接库）是一个 Windows 文件，其中包含多个程序共享的代码、数据和资源。 Deep Instinct 的技术博客详细介绍了该攻击，该攻击利用了IMsiServer COM 接口。通过逆向其内部结构，攻击者可以操纵其功能以实现远程代码执行，绕过传统的安全控制并在受感染的系统上建立持久立足点。 DCOM 横向移动是一种利用 DCOM 中的漏洞在网络内横向移动的技术，它允许不同计算机上的程序之间进行通信。 另一方面，计算机对象 (COM) 是经过编译的代码，它基于由全局唯一类 ID (CLSID) 定义的类实现的接口为系统提供服务，并使用全局唯一标识符 (GUID) – AppID 进行远程访问。COM 组件之间的所有通信都通过接口进行。 该技术包括识别易受攻击的 Windows Installer 服务、利用其 COM 接口、制作包含恶意代码的恶意 DLL、远程编写 DLL、将 DLL 加载到正在运行的服务进程中并执行代码。攻击者控制该服务，操纵其功能以与其进行远程交互。 恶意 DLL 被加载到 Windows Installer 服务中，允许攻击者执行其代码，并授予他们对系统的远程访问权限。由于 Windows Installer 具有广泛的系统权限和网络可访问性，此方法对 Windows Installer 特别有效。 研究人员在技术博客文章中指出，DCOM 上传和执行攻击功能强大，但也有局限性。它要求攻击者和受害者机器都位于同一个域内，从而将其适用性限制在特定的组织边界内。 一致的 DCOM 强化补丁状态可以降低补丁级别不同的环境中攻击的有效性。 除此之外，上传的有效负载必须是强命名的 .NET 程序集，并且必须与目标计算机的架构（x86 或 x64）兼容，这增加了攻击过程的复杂性。 Deep Instinct 研究讨论了 IDispatch，这是一个基本的 COM 接口，它使脚本语言和高级语言能够与 COM 对象交互。但是，由于 IMsiServer 接口未实现 IDispatch，因此它并不直接参与 DCOM 上传和执行攻击。 这意味着像 PowerShell 这样的传统脚本语言无法使用标准技术直接与其交互。研究人员使用较低级别的技术来操纵 IMsiServer 接口，并通过直接调用接口的方法并传递必要的参数来实现远程代码执行。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/EaXRq4TFwC4wc2eAe0yKUQ 封面来源于网络，如有侵权请联系删除

2024 年 12 月 10 日，微软披露了Windows 远程桌面服务中的一个严重漏洞，能够让攻击者在受影响的系统上执行远程代码，从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115，CVSS 评分为 8.1，由昆仑实验室的研究员 k0shl发现。漏洞影响Windows Server 的多个版本，包括Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025。 漏洞源于两个关键缺陷： CWE-591：在锁定不当的内存中存储敏感数据 CWE-416：释放后使用 攻击者可通过连接到具有远程桌面网关角色的系统并触发竞争条件来利用此漏洞。 这会产生 “free-after-free”  情况，从而执行任意代码。 值得注意的是，这种攻击不需要用户交互或权限，但其高度复杂性使得没有高级技术技能的攻击者不太可能成功利用该漏洞。 目前所有受影响的版本都已作为微软 2024 年 12 月 “星期二补丁”更新的一部分，打上了相应的安全补丁。虽然漏洞利用代码的成熟度目前尚未得到证实，也没有证据表明存在主动利用或公开披露的情况，但其潜在影响仍然很大。 成功利用后，攻击者可通过远程代码执行完全控制目标系统。 此漏洞反映了与远程桌面协议 （RDP） 等远程访问技术相关存在的持续性风险。 虽然目前还没有主动利用漏洞的报告，但这一漏洞的严重性凸显了立即采取行动保护系统免受潜在攻击的必要性，包括将 RDP 访问限制在受信任的网络、启用网络级身份验证（NLA）和监控可疑活动。     转自Freebuf，原文链接：https://www.freebuf.com/news/417532.html 封面来源于网络，如有侵权请联系删除

Malicious actors are exploiting a critical vulnerability in the Hunk Companion plugin for WordPress to install other vulnerable plugins that could open the door to a variety of attacks. The flaw, tracked as CVE-2024-11972 (CVSS score: 9.8), affects all versions of the plugin prior to 1.9.0. The plugin has over 10,000 active installations. "This flaw poses a significant security risk, as it

GitLab announced the release of critical security patches for its Community Edition (CE) and Enterprise Edition (EE). The newly released versions 17.6.2, 17.5.4, and 17.4.6 address several high-severity vulnerabilities, and GitLab strongly recommends that all self-managed installations be upgraded immediately. It is worth noting that GitLab.com is already running the patched version, while GitLab-dedicated customers […]

The post GitLab Security Update, Patch for Critical Vulnerabilities appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

Apple представила будущее мобильных устройств – с ИИ у каждого в кармане.

Jetico launches Search, a PII and sensitive data discovery tool integrated with BCWipe to locate and securely erase files beyond forensic recovery. Addressing the growing demand for effective solutions in data protection, Search integrates discovery capabilities with Jetico’s renowned BCWipe software, delivering unified platform to locate and securely erase files beyond forensic recovery. Search empowers administrators to identify sensitive information across their entire network and safely manage it, simplifying data spill response and ensuring compliance … More →

The post Jetico Search locates and manages sensitive data appeared first on Help Net Security.

A vulnerability was found in Linux Kernel up to 5.16.4. It has been classified as problematic. Affected is the function packet_type of the file /proc/net/ptype of the component Net Namespace Handler. The manipulation leads to information disclosure. This vulnerability is traded as CVE-2022-48757. Access to the local network is required for this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.9.6 and classified as critical. This issue affects some unknown processing of the component ena. The manipulation leads to buffer overflow. The identification of this vulnerability is CVE-2024-40999. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Linux Kernel up to 5.4.225/5.10.157/5.15.81/6.0.11. This vulnerability affects the function do_sys_openat2 of the file /sys/kernel/tracing. The manipulation leads to excessive iteration. This vulnerability was named CVE-2022-49006. The attack needs to be approached within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in Linux Kernel up to 6.10.9. Affected by this issue is the function tnl_num of the component hns3. The manipulation leads to out-of-bounds read. This vulnerability is handled as CVE-2024-46833. The attack can only be initiated within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Lua 5.4.0 and classified as critical. This vulnerability affects unknown code of the file ldebug.c. The manipulation leads to integer underflow. This vulnerability was named CVE-2020-24370. The attack can be initiated remotely. There is no exploit available.