HackerNews

HackerNews 编译，转载请注明出处： 据观察，黑客在不同的攻击活动中，将恶意代码隐藏在图片中，以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。 惠普狼安全（HP Wolf Security）在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出：“在这两次攻击活动中，攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中，并使用相同的.NET加载器来安装其最终的有效载荷。” 攻击始于一封伪装成发票和采购订单的钓鱼邮件，诱骗收件人打开恶意附件，如Microsoft Excel文档。打开这些文档后，会利用Equation Editor（CVE-2017-11882）中的已知安全漏洞下载VBScript文件。 该脚本旨在解码并运行一个PowerShell脚本，该脚本会从archive[.]org上托管的一个图片中提取Base64编码的代码，然后将其解码为.NET可执行文件并执行。 .NET可执行文件作为加载器，从给定URL下载VIP键盘记录器并运行，使威胁行为者能够从受感染的系统窃取包括键盘输入、剪贴板内容、屏幕截图和凭据在内的广泛数据。VIP键盘记录器与Snake键盘记录器和404键盘记录器存在功能重叠。 另一次类似的攻击活动被发现通过电子邮件向目标发送恶意归档文件。这些邮件伪装成询价请求，旨在诱使收件人打开归档文件内的JavaScript文件，然后启动PowerShell脚本。 与前面的案例类似，PowerShell脚本会从远程服务器下载一张图片，解析其中的Base64编码代码，并运行相同的基于.NET的加载器。不同的是，这次攻击链的最终结果是部署了一个名为0bj3ctivity的信息窃取器。 两次攻击活动的相似之处表明，黑客正在利用恶意软件工具包来提高整体效率，同时降低制作攻击所需的时间和技术专长。 惠普狼安全还表示，它观察到恶意行为者利用HTML走私技术，通过AutoIt释放器投放XWorm远程访问木马（RAT），这与之前以类似方式分发AsyncRAT的攻击活动相呼应。 “值得注意的是，HTML文件带有表明它们是在GenAI的帮助下编写的标志，”惠普表示。“这一活动表明，在攻击链的初始访问和恶意软件投放阶段，GenAI的使用正在不断增加。” “事实上，黑客从GenAI中获得了诸多好处，从扩大攻击规模、创建可能提高感染率的变种，到使网络防御者更难进行归因。” 不仅如此，黑客还创建了GitHub存储库，宣传视频游戏作弊和修改工具，以便使用.NET释放器部署Lumma Stealer恶意软件。 惠普安全实验室的首席威胁研究员亚历克斯·霍兰德（Alex Holland）表示：“分析过的这些攻击活动进一步证明了网络犯罪的商品化。随着数字恶意软件工具包更加自由、实惠和易用，即使技能有限、知识有限的新手也能拼凑出有效的感染链。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细披露了一起攻击事件，攻击者利用基于Python的后门程序持续访问受感染终端，随后利用这一访问权限在整个目标网络中部署RansomHub勒索软件。 据GuidePoint Security称，攻击者最初通过一款名为SocGholish（又称FakeUpdates）的JavaScript恶意软件获得访问权限，该软件通过诱骗用户下载假冒的网页浏览器更新进行传播。 此类攻击通常涉及利用黑帽搜索引擎优化（SEO）技术，将受害者重定向到看似合法但已被感染的网站。SocGholish执行后，会与攻击者控制的服务器建立联系，以获取其他有效载荷。 网络安全 去年，SocGholish攻击活动针对依赖过时版本SEO插件（如Yoast（CVE-2024-4984，CVSS评分：6.4）和Rank Math PRO（CVE-2024-3665，CVSS评分：6.4））的WordPress网站进行初步渗透。 在GuidePoint Security调查的事件中，SocGholish感染约20分钟后，基于Python的后门程序被植入。攻击者随后通过RDP会话在局域网内横向移动，将该后门程序传播至同一网络中的其他计算机。 安全研究员Andrew Nelson表示：“该脚本作为反向代理，连接到硬编码的IP地址。脚本通过初始命令与控制（C2）握手后，将建立一个主要基于SOCKS5协议的隧道。” “该隧道允许攻击者利用受害系统作为代理，在受感染网络中横向移动。” 自2023年12月初以来，该Python脚本（ReliaQuest于2024年2月记录了其早期版本）已在野外被检测到，并进行了旨在改进隐匿技术的“表面级更改”。 GuidePoint还指出，解码后的脚本既精致又编写良好，这表明恶意软件作者要么对维护高度可读和可测试的Python代码一丝不苟，要么依赖于人工智能（AI）工具来辅助编码。 Nelson补充道：“除了局部变量隐匿外，代码被分解为具有高度描述性方法名称和变量的不同类。每个方法还具有高度错误处理和详细的调试信息。” 基于Python的后门程序远非勒索软件攻击中检测到的唯一前驱程序。本月早些时候，Halcyon指出，在勒索软件部署之前部署的其他工具包括： 使用EDRSilencer和Backstab禁用端点检测和响应（EDR）解决方案 使用LaZagne窃取凭据 ——使用MailBruter暴力破解凭据以攻击电子邮件账户 ——使用Sirefef和Mediyes维持隐蔽访问并传递其他有效载荷 此外，勒索软件攻击活动还瞄准了亚马逊S3存储桶，利用亚马逊网络服务（AWS）的服务器端加密（客户提供的密钥）（SSE-C）对受害者的数据进行加密。这一活动被归因于名为Codefinger的攻击者。 除了在没有其生成的密钥的情况下阻止恢复外，这些攻击还采用紧急勒索策略，通过S3对象生命周期管理API将文件标记为在七天内删除，以迫使受害者付款。 网络安全 Halcyon表示：“Codefinger滥用已公开的具有S3对象读写权限的AWS密钥。通过利用AWS原生服务，他们在无需合作的情况下实现了既安全又无法恢复的加密。” 与此同时，SlashNext表示，其见证了模仿Black Basta勒索软件团伙电子邮件轰炸技术的“快速”钓鱼活动激增，向受害者收件箱发送超过1100封与新闻通讯或付款通知相关的合法邮件。 该公司称：“当人们感到不知所措时，攻击者会通过电话或Microsoft Teams消息乘虚而入，冒充公司技术支持人员提供简单解决方案。” “他们自信地交谈以获得信任，指示用户安装TeamViewer或AnyDesk等远程访问软件。一旦软件安装在设备上，攻击者便悄然潜入。从那里，他们可以传播有害程序或潜入网络的其他区域，为直接访问敏感数据铺平道路。”

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，旨在禁用NT LAN Manager (NTLM) v1的Microsoft Active Directory组策略可通过配置错误被轻易绕过。 Silverfort研究员Dor Segal在与The Hacker News分享的一份报告中表示：“本地应用程序的一个简单配置错误即可覆盖组策略，从而有效抵消了旨在阻止NTLMv1身份验证的组策略。” NTLM是一种仍在广泛使用的机制，特别是在Windows环境中，用于跨网络对用户进行身份验证。该旧版协议因向后兼容性要求而未被删除，但自2024年年中被弃用。 去年年末，Microsoft正式从Windows 11 24H2版本和Windows Server 2025中移除了NTLMv1。虽然NTLMv2引入了新的缓解措施，使得中继攻击更难执行，但该技术仍受到多个安全漏洞的困扰，这些漏洞已被威胁行为者积极利用来访问敏感数据。 利用这些漏洞的目的是迫使受害者对任意端点进行身份验证，或将身份验证信息中继到易受攻击的目标，并代表受害者执行恶意操作。 Segal解释道：“组策略机制是Microsoft在整个网络中禁用NTLMv1的解决方案。LMCompatibilityLevel注册表项可阻止域控制器评估NTLMv1消息，并在使用NTLMv1进行身份验证时返回错误密码错误（0xC000006A）。” 然而，Silverfort的调查发现，通过利用Netlogon远程协议（MS-NRPC）中的一项设置，仍有可能绕过组策略并使用NTLMv1身份验证。 具体而言，它利用了名为NETLOGON_LOGON_IDENTITY_INFO的数据结构，该结构包含一个名为ParameterControl的字段，该字段又具有一个配置选项，允许“在仅允许NTLMv2（NTLM）的情况下使用NTLMv1身份验证（MS-NLMP）”。 Segal表示：“这项研究表明，本地应用程序可以被配置为启用NTLMv1，从而抵消在Active Directory中设置的组策略LAN Manager身份验证级别的最高级别。” “这意味着，组织认为通过设置此组策略是在做正确的事，但实际上仍被配置错误的应用程序绕过。” 为减轻NTLMv1带来的风险，必须在域中为所有NTLM身份验证启用审核日志，并留意请求客户端使用NTLMv1消息的易受攻击的应用程序。当然，还建议组织保持其系统更新。 此次发现之前，安全研究人员Haifei Li曾报告了一项在野外发现的PDF工件中的“零日行为”，在某些条件下，使用Adobe Reader或Foxit PDF Reader打开这些工件可能会泄露本地net-NTLM信息。Foxit Software已在Windows的2024.4版本中解决了此问题。 此次披露之际，HN Security研究员Alessandro Iandoli还详细介绍了如何绕过Windows 11（24H2版本之前）中的各种安全功能，从而在内核级别实现任意代码执行。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 关于一个现已修复的安全漏洞的细节已经公布，该漏洞可能允许绕过统一可扩展固件接口（UEFI）系统中的安全启动机制。 据ESET向The Hacker News分享的一份新报告显示，该漏洞被分配了CVE标识符CVE-2024-7344（CVSS评分：6.7），存在于由微软的“Microsoft Corporation UEFI CA 2011”第三方UEFI证书签名的UEFI应用程序中。 成功利用该漏洞可导致在系统启动时执行不受信任的代码，从而使攻击者能够在启用安全启动的计算机上部署恶意UEFI启动套件，无论安装的是何种操作系统。 安全启动是一种固件安全标准，通过确保设备仅使用原始设备制造商（OEM）信任的软件启动，来防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。 受影响的UEFI应用程序是Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc.和Signal Computer GmbH等公司开发的多个实时系统恢复软件套件的一部分，具体受影响版本如下： Howyar SysReturn 10.2.023_20240919版本之前 Greenware GreenGuard 10.2.023-20240927版本之前 Radix SmartRecovery 11.2.023-20240927版本之前 Sanfong EZ-back System 10.3.024-20241127版本之前 WASAY eRecoveryRX 8.4.022-20241127版本之前 CES NeoImpact 10.1.024-20241127版本之前 SignalComputer HDD King 10.3.021-20241127版本之前 ESET研究员Martin Smolár表示：“该漏洞是由于使用了自定义PE加载器，而不是使用标准和安全的UEFI函数LoadImage和StartImage造成的。因此，该应用程序允许在系统启动时从名为cloak.dat的特别制作的文件中加载任何UEFI二进制文件——甚至是未签名的文件——而不考虑UEFI安全启动状态。” 因此，利用CVE-2024-7344的攻击者可以绕过UEFI安全启动保护，并在操作系统加载之前在UEFI环境中执行未签名代码，从而获得对主机的隐蔽且持久的访问权限。 CERT协调中心（CERT/CC）表示：“在此早期启动阶段执行的代码可以在系统上持久存在，可能会加载恶意内核扩展，这些扩展在重启和操作系统重新安装后仍然存在。此外，它还可能逃避基于操作系统和终端检测和响应（EDR）安全措施的检测。” 恶意行为者还可以通过将自己的易受攻击的“reloader.efi”二进制文件的副本带到已注册微软第三方UEFI证书的任何UEFI系统中，进一步扩大利用范围。但是，将易受攻击和恶意的文件部署到EFI系统分区需要提升权限：在Windows上是本地管理员权限，在Linux上是root权限。 这家斯洛伐克网络安全公司在2024年6月负责任地向CERT/CC披露了这一发现，之后Howyar Technologies及其合作伙伴在相关产品中解决了这一问题。2025年1月14日，微软作为其“补丁星期二”更新的一部分，撤销了旧的易受攻击的二进制文件。 除了应用UEFI撤销、管理对位于EFI系统分区上的文件的访问权限、安全启动定制以及与可信平台模块（TPM）进行远程证明之外，还有一些其他方法可以防止利用未知的易受攻击的已签名UEFI引导加载程序和部署UEFI启动套件。 Smolár表示：“近年来发现的UEFI漏洞数量以及在合理时间窗口内修复漏洞或撤销易受攻击的二进制文件的失败表明，即使是像UEFI安全启动这样重要的功能，也不应被视为不可逾越的障碍。” “然而，我们对此漏洞最担忧的不是修复和撤销二进制文件所花费的时间，与类似情况相比，这个时间已经相当不错，而是这已经不是第一次发现如此明显不安全的已签名UEFI二进制文件。这引发了以下问题：第三方UEFI软件供应商中这种不安全技术的使用有多普遍，以及可能还有多少其他类似的不为人知但已签名的引导加载程序。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 艾利产品公司警告称，其网站遭到黑客入侵，导致客户信用卡和个人信息被盗，发生数据泄露事件。 艾利公司是一家生产销售自粘标签、服装品牌元素及提供印刷服务的美国公司。 在向受影响的客户发送的数据泄露通知中，艾利公司发现他们于2024年12月9日遭到攻击。 经过数字取证专家的内部调查，发现威胁行为者已于2024年7月18日在公司网上商店域名“avery.com”上植入了信用卡侧录器。 因此，2024年7月18日至12月9日期间，客户在艾利公司网站上输入的敏感支付信息被泄露给了威胁行为者。 “2024年12月9日，艾利公司发现与某些系统相关的勒索软件攻击，”通知中写道。 “艾利公司立即在取证专家的协助下展开调查，以确定活动的性质和范围。” “我们的调查显示，一名未经授权的入侵者在2024年7月18日至12月9日期间，在我们的网站avery.com上插入了恶意软件，用于‘窃取’信用卡信息。” 此次泄露事件中，以下数据遭到泄露： 姓名 账单和送货地址 电子邮件地址 电话号码 支付卡号、安全验证码（CVV）和到期日 购买金额 未泄露的信息包括：社会保险号、驾照号、政府颁发的身份证号及出生日期。 然而，已泄露的数据足以让不法分子以受害者名义进行欺诈交易，并在其账户中进行未经授权的购买。 “我们尚不清楚欺诈费用是否与我们的网站事件有关，但现在看来，由于我们收到两封客户邮件，表明他们产生了欺诈费用或收到网络钓鱼邮件，因此支付卡（及其他）信息可能已被窃取，”数据泄露通知继续写道。 “本月我们收到多起类似报告。因此，我们向您发送此通知，以便您采取措施保护自己。” 根据缅因州总检察长门户网站上关于数据泄露的条目，此次事件影响了61,193名艾利客户。 为减轻风险，艾利公司通过Cyberscout提供12个月的免费信用监控服务。 还建议通知收件人警惕未经请求的通信，并立即向银行和有关部门报告其账户上的任何可疑活动。 艾利公司还设立了专线，解答客户对此次事件的疑问和担忧。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个由13,000台米克罗提克（MikroTik）设备组成的新发现僵尸网络，利用域名服务器记录中的配置错误，绕过电子邮件保护，通过伪造大约20,000个网络域名传播恶意软件。 该威胁行为者利用了用于列出所有被授权代表一个域名发送电子邮件的服务器的发件人策略框架（SPF）的DNS记录配置不当。 据DNS安全公司英飞凌（Infoblox）称，这起恶意垃圾邮件活动于2024年11月末活跃。部分电子邮件假冒DHL快递公司，发送包含ZIP压缩包的虚假货运发票，而该压缩包内含有恶意有效载荷。 ZIP附件中是一个JavaScript文件，该文件组装并运行一个PowerShell脚本。该脚本与之前与俄罗斯黑客相关的域名上的威胁行为者的命令和控制（C2）服务器建立连接。 “许多垃圾邮件的标题揭示了大量域名和SMTP服务器IP地址，我们意识到，我们发现了一个由大约13,000台被劫持的米克罗提克设备组成的庞大网络，它们都是一个大型僵尸网络的一部分”，英飞凌解释道。 英飞凌解释说，大约20,000个域名的SPF DNS记录被配置为过于宽泛的“+all”选项，这允许任何服务器代表这些域名发送电子邮件。 “这实际上使SPF记录失去了意义，因为它为伪造和未经授权的电子邮件发送打开了大门”，英飞凌指出。 更安全的选择是使用“-all”选项，它将电子邮件发送限制为域名指定的服务器。 僵尸网络操作概述（来源：英飞凌） 入侵方法尚不清楚，但英飞凌表示，他们“看到了各种受影响的版本，包括最近的[米克罗提克]固件版本”。 米克罗提克路由器以其强大性能而闻名，威胁行为者瞄准它们，以创建能够进行非常强大攻击的僵尸网络。 就在去年夏天，云服务提供商OVHcloud指责一个由被攻破的米克罗提克设备组成的僵尸网络发动了一次大规模拒绝服务攻击，峰值达到创纪录的每秒8.4亿个数据包。 尽管敦促米克罗提克设备所有者更新系统，但由于补丁更新速度非常慢，许多路由器在很长一段时间内仍然存在漏洞。 本案中的僵尸网络将这些设备配置为SOCKS4代理，以发动分布式拒绝服务（DDoS）攻击、发送网络钓鱼电子邮件、数据外泄，并普遍帮助掩盖恶意流量的来源。 “尽管僵尸网络由13,000台设备组成，但它们作为SOCKS代理的配置允许数十万甚至数百万台被攻陷的机器使用它们进行网络访问，从而显著放大了僵尸网络操作的潜在规模和影响”，英飞凌评论道。 建议米克罗提克设备所有者为其型号应用最新的固件更新，更改默认管理员帐户凭据，并在不需要时关闭控制面板的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP已修复影响NetWeaver Web应用服务器的两个关键漏洞，这些漏洞可能被利用来提升权限并访问受限信息。 作为一月安全补丁日的一部分，该供应商还发布了针对其他产品的更新，以修复12个被评为中高严重性的其他问题。 SAP的安全公告指出：“SAP强烈建议客户访问支持门户，并优先应用补丁，以保护其SAP环境。” 本月SAP解决的最严重的四个安全问题概述如下： CVE-2025-0070（关键严重性，9.9分）：SAP NetWeaver ABAP应用服务器及ABAP平台的认证不当，使得经过认证的攻击者可以利用认证检查不当的漏洞，导致权限提升，并严重影响保密性、完整性和可用性。 CVE-2025-0066（关键严重性，9.9分）：SAP NetWeaver ABAP应用服务器（互联网通信框架）中存在信息泄露漏洞，由于访问控制薄弱，攻击者能够访问受限信息，严重损害保密性、完整性和可用性。 CVE-2025-0063（高严重性，8.8分）：SAP NetWeaver ABAP应用服务器及ABAP平台中存在SQL注入漏洞，原因是某些RFC功能模块缺少授权检查。这使得拥有基本权限的攻击者能够危及Informix数据库，导致保密性、完整性和可用性完全丧失。 CVE-2025-0061（高严重性，8.7分）：SAP BusinessObjects商业智能平台中存在多个漏洞，由于信息泄露问题，未经认证的攻击者可以在网络上执行会话劫持，从而访问并修改所有应用数据。 SAP产品服务于制造业、金融业、零售业、医疗保健和政府等多个行业的大型企业，在管理业务运营和客户关系方面发挥着关键作用。 SAP NetWeaver是运行ABAP应用程序和通过互联网通信框架实现安全通信的核心平台。它通常由管理财务、人力资源和供应链ERP系统的企业IT管理员、开发人员和顾问使用。 SAP BusinessObjects是一个用于报告、分析和数据可视化的平台，由分析师、决策者和IT团队使用，以获取见解并支持战略决策。 过去，黑客曾针对未更新以修复已知漏洞或配置不当的SAP产品，导致网络面临泄露风险。 这家德国供应商强烈建议客户应用最新的可用补丁，以保护其SAP环境。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了SimpleHelp远程访问软件中的多个安全漏洞，这些漏洞可能导致信息泄露、权限提升和远程代码执行。 在一份详细阐述发现内容的技术报告中，Horizon3.ai研究员Naveen Sunkavally表示，“这些漏洞极易被逆向分析和利用。” 已确认的漏洞列表如下： CVE-2024-57727：一个未经身份验证的路径遍历漏洞，允许攻击者从SimpleHelp服务器下载任意文件，包括包含SimpleHelpAdmin账户和其他本地技术人员账户哈希密码的serverconfig.xml文件 CVE-2024-57728：一个任意文件上传漏洞，允许拥有SimpleHelpAdmin权限（或作为拥有管理员权限的技术人员）的攻击者在SimpleServer主机的任意位置上传任意文件，可能导致远程代码执行 CVE-2024-57726：一个权限提升漏洞，允许以低权限技术人员身份访问的攻击者利用后端授权检查缺失的问题，将其权限提升至管理员级别 在假设的攻击场景中，恶意行为者可以通过串联CVE-2024-57726和CVE-2024-57728漏洞，成为管理员用户并上传任意有效载荷，从而控制SimpleHelp服务器。 鉴于这三个漏洞的严重性和易于武器化的特点，Horizon3.ai表示将暂不公布其额外的技术细节。在2025年1月6日负责任地披露漏洞后，SimpleHelp已于1月8日和13日发布的5.3.9、5.4.10和5.5.8版本中修复了这些漏洞。 鉴于已知威胁行为者会利用远程访问工具建立对目标环境的持久远程访问，用户迅速应用补丁至关重要。 此外，SimpleHelp还建议用户更改SimpleHelp服务器的管理员密码，轮换技术人员账户的密码，并限制SimpleHelp服务器接受技术人员和管理员登录的IP地址。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过220万台暴露的Rsync服务器可能面临六项新漏洞的威胁，其中包括一项允许在服务器上远程执行代码的高危堆缓冲区溢出漏洞。 Rsync是一款开源的文件同步和数据传输工具，以其执行增量传输、减少数据传输时间和带宽使用的能力而备受推崇。 它支持本地文件系统传输、通过SSH等安全协议的远程传输，以及通过其自带的守护进程进行直接文件同步。 Rclone、DeltaCopy、ChronoSync等备份系统、公共文件分发仓库以及云和服务器管理操作都广泛使用了该工具。 这些Rsync漏洞由谷歌云和独立安全研究人员发现，可被组合利用形成强大的攻击链，导致远程系统被攻陷。 Openwall发布的公告指出：“在最严重的CVE（通用漏洞披露）案例中，攻击者仅需对rsync服务器（如公共镜像）拥有匿名读取访问权限，即可在服务器运行的机器上执行任意代码。” 以下是这六项漏洞的概述： 堆缓冲区溢出（CVE-2024-12084）：由于Rsync守护进程对校验和长度的处理不当导致，会在缓冲区中进行越界写入。该漏洞影响3.2.7至3.4.0以下版本，可导致任意代码执行。缓解措施包括使用特定标志编译以禁用SHA256和SHA512摘要支持。（CVSS评分：9.8） 未初始化堆栈导致的信息泄露（CVE-2024-12085）：在比较文件校验和时，会导致未初始化堆栈数据泄露。攻击者可通过操纵校验和长度来利用该漏洞。该漏洞影响3.4.0以下所有版本，可通过使用-ftrivial-auto-var-init=zero标志编译来初始化堆栈内容以缓解。（CVSS评分：7.5） 服务器泄露任意客户端文件（CVE-2024-12086）：恶意服务器可利用操纵的校验和值在文件传输过程中逐字节枚举和重建任意客户端文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.1） 通过–inc-recursive选项的路径遍历（CVE-2024-12087）：在使用–inc-recursive选项时，由于符号链接验证不足导致。恶意服务器可以在客户端的指定目录之外写入文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5） 绕过–safe-links选项（CVE-2024-12088）：当Rsync未能正确验证包含其他链接的符号链接目标时发生。这会导致路径遍历和在指定目录之外进行任意文件写入。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5） 符号链接竞态条件（CVE-2024-12747）：在处理符号链接时出现竞态条件导致的漏洞。利用该漏洞，攻击者可访问敏感文件并提升权限。该漏洞影响3.4.0以下所有版本。（CVSS评分：5.6） CERT协调中心（CERT/CC）发布了关于Rsync漏洞的公告，指出Red Hat、Arch、Gentoo、Ubuntu NixOS、AlmaLinux OS Foundation和Triton数据中心等受到影响。 然而，还有许多可能受影响的项目和供应商尚未回应。 CERT/CC警告称：“前两个漏洞（堆缓冲区溢出和信息泄露）结合利用时，允许客户端在运行Rsync服务器的设备上执行任意代码。客户端仅需对服务器拥有匿名读取访问权限，如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。敏感数据（如SSH密钥）可被提取，通过覆盖文件（如/.bashrc或/.popt）可执行恶意代码。” RedHat在其关于CVE-2024-12084的公告中指出，没有实际的缓解措施，该漏洞在Rsync的默认配置中即可被利用。 RedHat解释说：“请记住，rsync的默认rsyncd配置允许匿名文件同步，这存在该漏洞的风险。否则，攻击者需要拥有需要身份验证的服务器的有效凭据。” 通过ZoomEye搜索(port=873 || port=8873) && “@RSYNCD”发现，有超过220万个暴露的Rsync服务器IP地址。其中大多数IP地址位于中国，共超80万个暴露，其次是美国、韩国和德国。 ZoomEye显示受影响的Rsync服务器分布图 尽管存在许多暴露的服务器，但尚不清楚它们是否易受新披露的漏洞影响，因为攻击者需要有效凭据或服务器必须配置为允许匿名连接，而我们未进行测试。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）周二透露，一项法院授权的行动允许联邦调查局（FBI）作为“数月执法行动”的一部分，从4250多台受感染电脑中删除了PlugX恶意软件。 PlugX（又称Korplug）是一种远程访问木马（RAT），被与中国（PRC）相关的威胁行为者广泛使用，用于信息窃取和远程控制被攻陷的设备。 FBI提交的一份宣誓书指出，已确定的PlugX变种与一个名为Mustang Panda（又称BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416和Twill Typhoon）的国家支持的黑客组织有关联。 “自2014年以来，Mustang Panda黑客们在一系列针对美国受害者以及欧洲和亚洲政府和企业的活动中，渗透了数千个计算机系统，还攻击了中国异见人士团体，”司法部表示。 该威胁行为者的其他目标还包括中国台湾、中国香港、日本、韩国、蒙古国、印度、缅甸、印度尼西亚、菲律宾、泰国、越南和巴基斯坦。 此次干扰行动是更大规模“消毒”行动的一部分，该行动自2024年7月底开始，旨在清除受感染系统中的PlugX恶意软件。巴黎检察院和网络安全公司Sekoia此前曾分享过此次活动的详细信息。 Sekoia此前详细介绍称，这种特定的PlugX变种会通过连接的USB设备传播到其他系统。该恶意软件一旦安装，就会向攻击者控制的服务器（“45.142.166[.]112”）发出信号，等待进一步指令以从主机收集数据。 2024年4月底，该公司还透露，它仅花费了7美元就瘫痪了与该IP地址相关的服务器，从而得以发出自我删除指令，从受感染的设备中删除恶意软件。 该指令执行了以下步骤： 删除受害电脑上由PlugX恶意软件创建的文件； 删除用于在受害电脑启动时自动运行PlugX应用程序的PlugX注册表项； 创建一个临时脚本文件，以便在停止PlugX应用程序后删除它； 停止PlugX应用程序； 运行临时文件以删除PlugX应用程序、删除PlugX恶意软件在受害电脑上创建的用于存储PlugX文件的目录，以及从受害电脑上删除临时文件。 FBI表示，自我删除指令不会影响美国境内目标设备上的任何合法功能或文件，也不会从它们传输任何其他数据。 上个月，Sekoia表示，作为为10个国家开展PlugX消毒过程而建立的法律框架的一部分，已针对5539个IP地址发出了多达59475个消毒有效载荷。 “这次大规模黑客攻击以及数千台基于Windows的电脑（包括美国许多家庭电脑）长期感染，表明了中国国家支持的黑客肆无忌惮、咄咄逼人，”美国宾夕法尼亚州东区检察官Jacqueline Romero说。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，一项新的恶意广告活动正针对通过谷歌广告进行宣传的个人和企业，试图通过谷歌上的欺诈广告进行网络钓鱼，窃取他们的登录凭证。 Malwarebytes威胁情报高级总监Jérôme Segura在一份与The Hacker News共享的报告中指出：“该诈骗方案通过冒充谷歌广告，诱骗受害者访问假冒的登录页面，从而窃取尽可能多的广告主账户。” 据推测，该活动的最终目的是利用窃取的凭证继续扩大诈骗活动，同时还在地下论坛上将这些凭证出售给其他犯罪分子。根据Reddit、Bluesky和谷歌官方支持论坛上的帖子，这一威胁自2024年11月中旬以来便已开始活跃。 这一系列活动与利用窃取器恶意软件窃取与Facebook广告和商业账户相关的数据，以劫持这些账户并用于推送进一步传播恶意软件的恶意广告活动的行为极为相似。 新发现的诈骗活动专门针对在谷歌搜索引擎上搜索谷歌广告的用户，向他们展示虚假的谷歌广告，点击后会将用户重定向到托管在Google Sites上的欺诈网站。 这些网站作为着陆页，引导访问者访问外部钓鱼网站，这些网站通过WebSocket捕获他们的登录凭证和二次验证码（2FA），并将其传输到攻击者控制的远程服务器上。 Segura表示：“这些假冒的谷歌广告来自不同地点和行业的个人和企业（包括一家地区机场）。其中一些账户已有数百条其他合法广告在运行。” 该诈骗活动的一个巧妙之处在于，它利用了谷歌广告不要求最终URL（用户点击广告后到达的网页）与展示URL必须相同（只要域名匹配）的规则。 这使得威胁分子可以在sites.google[.]com上托管他们的中间着陆页，同时保持展示URL为ads.google[.]com。此外，他们的作案手法还包括使用指纹技术、反爬虫流量检测、受验证码启发的诱饵、伪装和混淆等技术来隐藏钓鱼基础设施。 Malwarebytes表示，窃取的凭证随后被用于登录受害者的谷歌广告账户，添加新的管理员，并利用他们的预算发布虚假的谷歌广告。 换句话说，威胁分子正在接管谷歌广告账户来推送自己的广告，以便将新受害者添加到不断增长的被黑客攻击的账户池中，这些账户被用于进一步延续诈骗活动。 Segura说：“这些活动背后似乎有几个个人或团体。值得注意的是，他们中的大多数是葡萄牙语使用者，可能位于巴西。钓鱼基础设施依赖于使用.pt顶级域名（TLD）的中间域名，这表明与葡萄牙有关。” “这种恶意广告活动并不违反谷歌的广告规则。威胁分子被允许在广告中显示欺诈性URL，使其与合法网站难以区分。谷歌尚未表明它采取了决定性措施来冻结这些账户，直到其安全性得到恢复。” 这一披露之际，Trend Micro透露，攻击者正在利用YouTube和SoundCloud等平台分发指向假冒安装程序的链接，这些安装程序针对的是流行软件的盗版版本，最终会导致部署各种恶意软件家族，如Amadey、Lumma Stealer、Mars Stealer、Penguish、PrivateLoader和Vidar Stealer。 该公司表示：“威胁分子经常使用Mediafire和Mega.nz等可信赖的文件托管服务来隐藏恶意软件的来源，并使检测和清除变得更加困难。许多恶意下载都受到密码保护并进行了编码，这在沙箱等安全环境中增加了分析的复杂性，并使恶意软件能够逃避早期检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜关联的Lazarus Group被指为针对寻找Web3和加密货币领域自由职业的软件开发者发起新一轮网络攻击行动——“Operation 99”，旨在传播恶意软件。 SecurityScorecard公司威胁研究与情报高级副总裁Ryan Sherstobitoff在今日发布的一份新报告中指出：“该行动始于假扮成招聘人员在领英等平台发布信息，以项目测试和代码审查为诱饵吸引开发者。” “一旦受害者上钩，他们就会被引导克隆一个看似无害实则暗藏危机的恶意GitLab仓库。克隆的代码会连接到命令与控制（C2）服务器，从而将恶意软件植入受害者环境。” 该行动受害者遍布全球，其中意大利受害者最为集中。阿根廷、巴西、埃及、法国、德国、印度、印度尼西亚、墨西哥、巴基斯坦、菲律宾、英国和美国等地也有少量受害者。 该网络安全公司表示，其于2025年1月9日发现的这一行动建立在Lazarus Group此前攻击中使用的以工作为主题的战术基础上，如“Operation Dream Job”（又称NukeSped），此次行动特别针对Web3和加密货币领域的开发者。 “Operation 99”的独特之处在于，它通过一个精心设计的招聘计划诱骗开发者参与编码项目，该计划涉及制作虚假的领英账号，然后将开发者引导至恶意GitLab仓库。 攻击的最终目的是部署数据窃取植入程序，从开发环境中提取源代码、密钥、加密货币钱包密钥和其他敏感数据。 这些程序包括Main5346及其变体Main99，它们作为另外三个有效载荷的下载器—— Payload99/73（及其功能相似的Payload5346），用于收集系统数据（如文件和剪贴板内容）、终止网页浏览器进程、执行任意操作并建立与C2服务器的持久连接； Brow99/73，用于从网页浏览器中窃取数据，以促进凭据盗窃； MCLIP，用于实时监控和窃取键盘和剪贴板活动。 该公司表示：“通过攻击开发者账户，攻击者不仅窃取知识产权，还能访问加密货币钱包，从而实现直接财务盗窃。针对私钥和密钥的定向盗窃可能导致数百万数字资产被盗，进而推动Lazarus Group的财务目标。” 该恶意软件架构采用模块化设计，灵活且适用于Windows、macOS和Linux操作系统。这也凸显了国家网络威胁不断演变和适应的本质。 “对于朝鲜而言，黑客攻击是创造收入的生命线，”Sherstobitoff表示，“Lazarus Group持续将窃取的加密货币用于支持该政权的野心，积累了惊人的资金。随着Web3和加密货币行业的蓬勃发展，‘Operation 99’行动聚焦于这些高增长领域。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯政府和企业采购的主要电子交易平台Roseltorg周一证实，该平台在最初声称中断因“维护工作”所致后，实则遭受了网络攻击。 Roseltorg是俄罗斯政府选定的开展公共采购（包括国防和建筑行业的合同）的最大电子交易运营商之一。该平台还提供电子文档管理和采购规划工具。 上周四，Roseltorg首次确认其服务已暂时暂停，但未提供进一步细节。在最近的一份Telegram声明中，Roseltorg透露，其遭受了“旨在破坏数据和整个电子交易基础设施的外部攻击”。 Roseltorg表示，此次攻击所影响的所有数据和基础设施已完全恢复，交易系统预计很快将恢复运营。然而，截至本文撰写时，该公司网站仍处于离线状态。 上周，此前鲜为人知的亲乌黑客组织Yellow Drift声称对Roseltorg的攻击负责，称他们删除了包括电子邮件和备份在内的550TB数据。作为证明，黑客们在他们的Telegram频道上发布了据称来自平台受损基础设施的截图。 “如果你支持暴政并资助战争，那就准备好回到石器时代吧，”黑客们说道。 Roseltorg遭受的网络攻击已经影响到依赖该平台运营的客户，包括政府机构、国有企业和供应商。在公司发布公告后，许多客户在评论区表达了担忧，抱怨可能遭受的财务损失和采购过程的延误。 Roseltorg在一份声明中表示，一旦交易系统恢复访问，包括合同签订在内的所有程序截止日期将自动延长，无需用户提出任何请求。 据当地媒体报道，Roseltorg服务于一些俄罗斯最大的企业，包括石油公司卢克石油、数字服务提供商俄罗斯电信和钻石开采公司阿尔罗萨，以及国防部等政府机构和网络监管机构Roskomnadzor。 Roseltorg是本月遭受亲乌黑客攻击的多家俄罗斯公司之一。上周，一个与未知势力有关联的黑客组织声称攻破了俄罗斯负责管理财产和土地记录的政府机构Rosreestr。 另一个名为乌克兰网络联盟的黑客组织也声称对俄罗斯互联网提供商Nodex的攻击负责，称其一夜之间摧毁了该公司的基础设施。Nodex证实了此次攻击。 周一，一个名为网络无政府主义小队的乌克兰黑客组织宣布，他们攻击了俄罗斯科技公司Infobis，该公司开发农业工作计划、监测和会计系统。黑客们声称已窃取了3TB的信息并破坏了该公司部分基础设施。Infobis未对所谓的攻击发表评论。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件制造商Adobe于周二针对多款产品中的十多个安全缺陷推出了修复措施，并警告称，恶意黑客可以利用这些漏洞发动远程代码执行攻击。 该公司表示，这些漏洞影响了Adobe Photoshop、Substance 3D Stager、iPad版Illustrator、Adobe Animate以及Adobe Substance 3D Designer。 根据Adobe的文档，Photoshop的更新适用于Windows和macOS系统，鉴于通过陷阱文件利用代码执行的风险，用户应尽快安装此更新。 具体细节如下： Adobe Photoshop——此次更新修复了两个关键严重级别的任意代码执行漏洞（CVE-2025-21127和CVE-2025-21122）。 Adobe Substance 3D Stager——此公告记录了五个关键严重级别的内存安全漏洞，这些漏洞可能导致在当前用户上下文中执行任意代码。这些漏洞的CVSS严重级别评分为7.8/10，影响Windows和macOS用户。 iPad版Illustrator——此次更新涵盖了两个独立的内存安全问题，这些问题使Apple iPad用户面临代码执行攻击的风险。两个漏洞均被评为关键级别，CVSS严重级别评分为7.8/10。 Adobe Animate——此次更新修复了一个可能导致任意代码执行漏洞的整数下溢问题。该更新适用于Windows和macOS用户。 Adobe Substance 3D Designer——此次更新包含针对影响所有平台的四个关键内存安全漏洞的补丁。成功利用这些漏洞可能导致在当前用户上下文中执行任意代码。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络威胁行为者正利用FastHTTP Go库，针对全球Microsoft 365账户发起高速暴力破解密码攻击。 近日，事件响应公司SpearTip发现了此次攻击活动，据称攻击始于2024年1月6日，目标直指Azure Active Directory Graph API。 研究人员警告称，这些暴力破解攻击有10%的时间能够成功接管账户。 滥用FastHTTP进行账户接管 FastHTTP是Go编程语言的高性能HTTP服务器和客户端库，专为处理HTTP请求而优化，即使在大量并发连接的情况下也能实现更高的吞吐量、更低的延迟和更高的效率。 在此次攻击活动中，黑客利用FastHTTP创建HTTP请求，自动化尝试未经授权的登录。 SpearTip指出，所有请求均针对Azure Active Directory的终端点，旨在暴力破解密码或反复发送多因素认证（MFA）挑战，以在MFA疲劳攻击中压垮目标。 SpearTip报告称，65%的恶意流量来自巴西，利用广泛的自治系统号（ASN）提供商和IP地址，其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。 研究人员表示，41.5%的攻击失败，21%因保护机制而触发账户锁定，17.7%因违反访问策略（地理位置或设备合规性）而被拒绝，10%受到MFA保护。 这意味着，有9.7%的情况下，威胁行为者成功认证到目标账户，这是一个相当高的成功率。 Microsoft 365账户接管可能导致机密数据泄露、知识产权被盗、服务中断等负面后果。 SpearTip已分享一个PowerShell脚本，管理员可利用该脚本在审核日志中检查是否存在FastHTTP用户代理，从而判断自己是否成为此次攻击的目标。 管理员还可以手动登录Azure门户，导航至“Microsoft Entra ID”→“用户”→“登录日志”，并应用“客户端应用：‘其他客户端’”筛选器来检查用户代理。 如果发现任何恶意活动迹象，建议管理员立即终止用户会话并重置所有账户凭据，审查已注册的MFA设备，并删除未经授权的添加项。 SpearTip报告的底部部分提供了与该攻击活动相关的妥协指标的完整列表。

HackerNews 编译，转载请注明出处： 2025年1月14日下午3时01分，由美国、韩国和日本共同发布的声明指出，朝鲜国家支持的黑客组织通过多次加密货币抢劫案，窃取了价值超过6.59亿美元的加密货币。 该声明同时警告称，与朝鲜民主主义人民共和国相关的威胁组织仍在积极针对区块链技术行业的公司进行攻击。 “最近至2024年9月，美国政府观察到朝鲜对加密货币行业进行了激烈攻击，采用伪装良好的社会工程学手段部署恶意软件，如TraderTraitor、AppleJeus等。韩国和日本也观察到了朝鲜使用类似趋势和战术的情况。”联合声明警告道。 “朝鲜的网络计划威胁到我们三国以及更广泛的国际社会，特别是对国际金融体系的完整性和稳定性构成重大威胁。” 声明还正式确认，朝鲜攻击者是2024年7月印度最大比特币交易所WazirX遭入侵事件的幕后黑手，该事件导致2.35亿美元损失。 此外，朝鲜还与去年披露的多起其他加密货币抢劫案有关，包括DMM Bitcoin（3.08亿美元）、Upbit（5000万美元）、Rain Management（1613万美元）和Radiant Capital（5000万美元）。 然而，区块链分析公司Chainalysis在12月的一份报告中描绘了更严峻的情况，称朝鲜黑客去年在47起网络攻击中窃取了价值13.4亿美元的加密货币，打破了2022年11亿美元的纪录。 “2023年，与朝鲜相关的黑客在20起事件中窃取了约6.605亿美元；2024年，这一数字增至47起事件中窃取13.4亿美元，被盗价值增长了102.88%。”Chainalysis表示。 近年来，特别是2024年全年，美国、韩国和日本政府机构还发布了关于朝鲜诱骗私营公司雇佣其作为远程IT工作者的警报。 这些朝鲜IT工作者自称“IT战士”，通过位于美国的笔记本电脑农场连接到企业网络，冒充美国IT员工，这是FBI多年来一直警告的情况。 美国政府反复警告称，朝鲜拥有一支庞大的IT工作者队伍，他们经过培训，能够隐藏真实身份，在美国和世界各地数百家公司找到工作。 例如，网络安全公司KnowBe4最近雇佣了一名朝鲜恶意行为者担任首席软件工程师，该人员在通过背景调查、验证推荐信和四次视频面试后入职，这些过程均借助了被盗身份和AI工具。然而，一旦入职，这位“IT战士”便立即试图在公司提供的设备上安装信息窃取恶意软件。 在被发现并被解雇后，一些朝鲜IT工作者还利用内部知识和编程技能，以泄露被盗敏感信息的威胁向前雇主勒索。 目前，美国国务院提供高达500万美元的悬赏，以获取有助于破坏朝鲜前线公司延边银河和Volasys银河（及其员工）活动的信息。在过去六年中，这些公司通过非法远程IT工作计划获得了超过8800万美元的收入。 “美国、日本和韩国建议私营部门实体，特别是区块链和自由职业工作行业的实体，仔细阅读这些咨询和公告，以便更好地了解缓解网络威胁的措施，并降低无意中雇佣朝鲜IT工作者的风险。”美国、韩国和日本在今天的联合声明中补充道。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。 网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。 在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。 创建非法管理员账户（图片来源：c/side） 随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。 据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。 攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。 阻止攻击 c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。 此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。 最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。 同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁追踪者关注到一场新行动，目标直指Fortinet FortiGate防火墙设备，其管理接口暴露在公共互联网上。 “该行动涉及在防火墙管理接口上进行未授权的管理员登录、创建新账户、通过这些账户进行SSL VPN认证，以及进行各种其他配置更改。”网络安全公司Arctic Wolf在上周发布的分析中表示。 据信，恶意活动始于2024年11月中旬，未知威胁行为者通过未授权访问受影响防火墙的管理接口来更改配置，并使用DCSync提取凭证。 目前尚不清楚确切的初始访问向量，但鉴于受影响组织和固件版本的“压缩时间线”，已“高度确信”这很可能是利用零日漏洞所致。 受影响设备的固件版本介于2024年2月和10月发布的7.0.14和7.0.16之间。 该行动已观察到从2024年11月16日左右开始的四个不同攻击阶段，允许攻击者从漏洞扫描和侦察进展到配置更改和横向移动。 “与合法防火墙活动相比，这些活动的突出之处在于，它们广泛使用了来自少数不寻常IP地址的jsconsole接口。”Arctic Wolf研究人员表示。 “鉴于入侵之间的手法和基础设施存在细微差异，可能有多个人或团体参与了此次行动，但jsconsole的使用是贯穿始终的共同线索。” 简而言之，这些数字入侵涉及攻击者登录防火墙管理接口以进行配置更改，包括将输出设置从“标准”更改为“更多”，作为早期侦察工作的一部分，然后在2024年12月初进行更广泛的更改，创建新的超级管理员账户。 据说这些新创建的超级管理员账户随后被用来为每台设备设置多达六个新的本地用户账户，并将它们添加到受害者组织先前为SSL VPN访问创建的现有组中。在其他事件中，现有账户被劫持并添加到具有VPN访问权限的组中。 “还观察到威胁行为者创建新的SSL VPN门户，并直接向其中添加用户账户。”Arctic Wolf指出。“在进行必要更改后，威胁行为者与受影响设备建立了SSL VPN隧道。所有隧道的客户端IP地址均来自少数几家VPS托管提供商。” 该行动以对手利用SSL VPN访问权限，通过称为DCSync的技术提取凭证以进行横向移动告终。不过，目前尚无法了解他们的最终目标，因为他们在攻击进入下一阶段之前就被清除了。 为缓解此类风险，至关重要的是，组织不要将防火墙管理接口暴露在互联网上，并限制对可信用户的访问。 网络安全 “此次行动中的受害者并不局限于任何特定行业或组织规模。”该公司表示。“受害者组织概况的多样性，加上自动化登录/注销事件的出现，表明此次行动的针对性是机会主义的，而非有意识、有方法地针对。” Fortinet确认新零日漏洞 Fortinet已发布有关FortiOS和FortiProxy中新的关键认证绕过漏洞的详细信息（CVE-2024-55591，CVSS评分：9.6），该公司表示该漏洞被用来劫持防火墙和入侵企业网络。 “一个认证绕过使用替代路径或通道的漏洞[CWE-288]，影响FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。”该公司在2025年1月14日发布的咨询中表示。 该缺陷影响以下版本： FortiOS 7.0.0至7.0.16（升级至7.0.17或更高版本） FortiProxy 7.0.0至7.0.19（升级至7.0.20或更高版本），以及 FortiProxy 7.2.0至7.2.12（升级至7.2.13或更高版本） 它还表示，该漏洞已被未知威胁行为者利用来创建管理员和本地用户账户、设置新的用户组或把新创建的本地用户添加到现有SSL VPN用户组，并更改防火墙策略，这与Arctic Wolf的发现相呼应。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据区块链分析公司Elliptic发布的数据，基于Telegram的在线市场HuiOne Guarantee（汇旺担保）及其供应商已累计收到至少240亿美元的加密货币，超越了已消亡的Hydra，成为有史以来最大的在线非法市场。 自2024年7月以来，该市场的月度流入量增长了51%。 HuiOne Group旗下的HuiOne Guarantee去年年中备受瞩目，因其被曝为网络诈骗分子的中心，宣传洗钱服务、出售被盗数据，甚至提供电击镣铐，用于对付以高薪工作为诱饵被骗入诈骗窝点从事恋爱诈骗的人。此事导致加密货币公司Tether冻结了与该市场相关的2962万美元稳定币。 HuiOne Guarantee成立于2021年，表面上是为了促进汽车和房地产的销售，但据说与柬埔寨执政的洪氏家族有着密切联系。据联合国毒品和犯罪问题办公室（UNODC）发布的一份报告，该平台拥有82万多用户。 Elliptic在与The Hacker News分享的一份新报告中表示：“该市场似乎是助长跨国有组织犯罪团伙对全球受害者实施诈骗的关键推手。” 自HuiOne Group的子公司HuiOne Guarantee和HuiOne Pay被公开曝光后，中文市场已与其母公司保持距离，并更名为Haowang Guarantee。 值得注意的是，2023年6月至2024年2月期间，HuiOne Pay被确认从朝鲜黑客组织Lazarus使用的匿名钱包中收到了超过15万美元的加密货币。该钱包曾被用于存放2023年6月和7月从三家加密货币公司窃取的数字资产。 此前声称对平台上宣传的商品和服务不承担任何责任的HuiOne Guarantee也已介入，阻止包括人口贩卖、枪支和恐怖主义相关交易在内的某些类型商业活动。 然而，Elliptic的分析显示，该市场仍在持续增长，现金流入量已超过240亿美元。仅在2024年第四季度，HuiOne Guarantee及其供应商使用的钱包收到的加密货币价值就超过了40亿美元。相比之下，Hydra市场在其长达六年的运营期间总共收到的加密货币约为52亿美元。 Elliptic表示：“此外，近60亿美元的加密货币通过HuiOne Guarantee上主要用于网络赌博的Telegram机器人流通。对通过该平台下注的初步分析表明，其中大部分可能构成洗钱行为。” Elliptic的调查还发现，HuiOne Pay是众多提供恋爱诈骗洗钱服务的供应商之一。该公司识别的另一家供应商声称在柬埔寨柴桢省的金福科技园区运营，该园区是一个与网络诈骗相关的诈骗窝点。 近几个月来，HuiOne Group还推出了一系列加密相关产品，包括一种名为USDH的与美元挂钩的稳定币、一个允许用户将USDH兑换为其他加密货币的去中心化加密货币交易所，以及一款名为ChatMe的适用于Android和iOS的通讯应用。 Elliptic联合创始人兼首席科学家Tom Robinson在一份声明中表示：“这似乎是HuiOne试图降低被Tether或Telegram等平台下架风险的一种尝试。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，谷歌“使用谷歌账号登录”认证流程中存在一个“缺陷”，攻击者可利用域名所有权的特殊之处获取敏感数据。 周一的报告中，Truffle Security联合创始人兼首席执行官Dylan Ayrey表示：“谷歌的OAuth登录机制无法防止攻击者购买已倒闭创业公司的域名，并利用其重新创建前员工的电子邮件账户。” “虽然无法访问旧电子邮件数据，但可以使用这些账户登录该组织使用的所有不同SaaS产品。” 这家总部位于旧金山的公司指出，仅仅通过购买与已倒闭创业公司相关的废弃域名，即可未经授权访问与OpenAI ChatGPT、Slack、Notion、Zoom甚至HR系统等各种应用程序相关的前员工账户，从而使数百万美国用户的数据面临风险。 Ayrey说：“最敏感的账户包括HR系统，其中含有税务文件、工资单、保险信息、社会保险号码等更多信息。面试平台也包含有关候选人反馈、录用和拒绝的敏感信息。” OAuth（开放授权）是一种用于访问委托的开放标准，允许用户授予网站或应用程序访问其在其他网站上信息的权限，而无需提供密码。这是通过使用访问令牌来验证用户身份并允许服务访问令牌所指定的资源来实现的。 当使用“使用谷歌账号登录”登录Slack等应用程序时，谷歌会向该服务发送一组关于用户的声明，包括其电子邮件地址和托管域名，然后可利用这些信息登录用户账户。 这也意味着，如果服务仅依赖这些信息对用户进行身份验证，那么域名所有权变更就可能让攻击者重新访问前员工账户。 Truffle还指出，谷歌的OAuth ID令牌包含一个唯一的用户标识符（sub声明），理论上可以防止这个问题，但已被发现不可靠。值得注意的是，微软的Entra ID令牌包含sub或oid声明，用于存储每个用户的不可变值。 谷歌最初对漏洞披露的回应称这是预期行为，但自2024年12月19日起重新打开了漏洞报告，并向Ayrey颁发了1337美元的奖金。谷歌还将此问题定性为“具有重大影响的滥用相关方法”。 与此同时，下游软件提供商无法采取任何措施来保护其免受谷歌OAuth实现中的漏洞影响。The Hacker News已联系谷歌以获取进一步评论，如有回复，我们将更新报道。 Ayrey说：“作为个人，一旦你从创业公司离职，你就失去了保护这些账户中数据的能力，你的数据将受到创业公司及域名未来命运的摆布。如果用户和工作区没有不可变标识符，域名所有权变更将继续危及账户安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文