Aggregator

US Risks Losing 'AI Cold War' as China Surges Ahead(link is external)

BankInfoSecurity.com
5 hours 43 minutes ago
AI Leaders Call for Proactive US Response Amid Chinese Technology Breakthroughs
The United States risks losing the so-called "AI Cold War" against China unless it abandons traditional containment strategies and adapts to Beijing's advances, panelists told lawmakers Tuesday. "I'm as stunned as all of you about just how fast China has caught up," said Adam Thierer.

新型 Mirai 僵尸网络导致TVT DVR漏洞利用激增(link is external)

HackerNews
5 hours 53 minutes ago
HackerNews 编译,转载请注明出处: 近期,一种新型Mirai僵尸网络引发了针对TVT NVMS9000数字视频录像机(DVR)的大规模漏洞利用激增。该攻击潮在2025年4月3日达到高峰,当天共检测到超过2500个独立IP地址在扫描易受攻击的设备。 攻击者利用的是一个信息泄露漏洞,该漏洞最早由SSD Advisory于2024年5月披露,详细公开了通过单一TCP数据包获取管理员明文凭证的完整利用方法。该漏洞可绕过认证机制,使攻击者无需权限即可执行设备上的管理命令。 根据威胁监测平台GreyNoise的监测结果,这一波攻击极可能与基于Mirai的恶意软件有关,其目的是将受感染设备纳入其僵尸网络中。这些被感染的设备通常会被用来代理恶意流量、进行加密货币挖矿,或发起分布式拒绝服务(DDoS)攻击。 在过去一个月内,GreyNoise记录了6600个与该活动相关的独立IP地址,全部被确认为恶意且无法伪造。其中,大多数攻击来源于台湾地区、日本和韩国,而受攻击的设备则主要集中在美国、英国和德国。 TVT NVMS9000是由中国深圳的TVT数字技术有限公司生产的一款数字视频录像机,主要用于安防监控系统中对视频画面进行录制、存储和管理。由于这些DVR设备通常联网使用,因此历来是各种僵尸网络攻击的重点目标,有些漏洞甚至已存在长达五年之久。 近期曾攻击DVR设备的其他僵尸网络还包括HiatusRAT、Mirai和FreakOut。根据SSD发布的建议,用户应尽快将固件升级至1.3.4版本或更高版本以修复漏洞。如无法升级,建议限制DVR设备的公网访问权限,并屏蔽GreyNoise列出的恶意IP地址的入站请求。 感染Mirai僵尸网络的DVR设备通常会表现出异常网络流量激增、运行缓慢、频繁死机或重启、空闲时CPU或内存占用高以及配置被篡改等迹象。如发现上述情况,应立即断开设备连接,执行出厂重置,更新至最新固件,并将其与主网络隔离。 值得注意的是,NVMS9000的最新固件发布时间为2018年,目前尚不清楚该系列设备是否仍在厂商支持范围内。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

WhatsApp 漏洞可让攻击者在 Windows 电脑上运行恶意代码(link is external)

HackerNews
5 hours 58 minutes ago
HackerNews 编译,转载请注明出处: Meta 警告 Windows 用户更新 WhatsApp 消息应用至最新版本,以修复一个可让攻击者在设备上执行恶意代码的漏洞。 该漏洞被描述为一个欺骗问题,追踪编号为 CVE-2025-30401,攻击者可通过向潜在目标发送带有篡改文件类型的恶意文件来利用此安全漏洞。 Meta 表示,该漏洞影响了所有 WhatsApp 版本,并已通过发布 WhatsApp 2.2450.6 修复。 “在 WhatsApp for Windows 版本 2.2450.6 之前,附件会根据其 MIME 类型显示,但选择文件打开处理程序是基于附件的文件名扩展名,”WhatsApp 在周二的公告中解释道。“恶意构造的不匹配可能导致收件人在 WhatsApp 内手动打开附件时,意外执行任意代码而非查看附件。” Meta 表示,一位外部研究人员通过 Meta Bug Bounty 提交发现了该漏洞。该公司尚未分享 CVE-2025-30401 是否在野外被利用的信息。 2024 年 7 月,WhatsApp 解决了一个类似的问题,即当收件人在安装了 Python 的 Windows 设备上打开时,Python 和 PHP 附件可在无警告的情况下执行。 常被间谍软件攻击的目标 最近,在多伦多大学公民实验室的安全研究人员报告后,WhatsApp 还修复了一个被利用来安装 Paragon Graphite 间谍软件的零点击、零日安全漏洞。 该公司表示,去年年底已解决了攻击向量,“无需客户端修复”,并在“审查了 MITRE 发布的 CVE 指南和自身的内部政策后”决定不分配 CVE 编号。 1 月 31 日,在服务器端缓解了安全问题后,WhatsApp 通知了来自 20 多个国家的约 90 名 Android 用户,包括意大利记者和活动家,他们成为了使用零点击漏洞的 Paragon 间谍软件攻击的目标。 去年 12 月,美国联邦法官裁定,以色列间谍软件制造商 NSO Group 利用 WhatsApp 零日漏洞在至少 1,400 台设备上部署了 Pegasus 间谍软件,从而违反了美国的黑客法律。 法院文件显示,NSO 据称利用多个零日漏洞通过 WhatsApp 漏洞部署 Pegasus 间谍软件,其开发人员还逆向工程了 WhatsApp 的代码,以创建发送恶意消息的工具,从而安装间谍软件,违反了联邦和州法律。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

微软修复 Windows Server 和 Windows 11 24H2 的认证问题(link is external)

HackerNews
6 hours 2 minutes ago
HackerNews 编译,转载请注明出处: 微软已修复一个已知问题,该问题导致在使用 Kerberos PKINIT 预认证安全协议的系统上启用 Credential Guard 时出现认证问题。 据微软称,这些认证问题影响了客户端(Windows 11 24H2 版本)和服务器(Windows Server 2025)平台,尽管仅在一些特殊场景中出现。 在受影响的系统上,用户遇到问题,因为当使用身份更新管理器证书/预引导密钥初始化(PKINIT)协议时,密码未能正确轮换。 然而,由于 Kerberos 认证通常用于企业终端,因此家庭设备可能不受此已知问题的影响。 “由于这个问题,设备无法按照默认的 30 天间隔更改密码。由于这种失败,设备被视为过期、禁用或已删除,导致用户认证问题,”微软在 Windows 发布健康仪表板更新中解释道。 “运行 Windows 家庭版的设备不太可能受到此问题的影响,因为 Kerberos 认证通常用于企业环境中,在个人或家庭设置中并不常见。” 微软表示,该问题已在 2025 年 4 月的 Windows 安全更新中得到修复,适用于 Windows 11 24H2 和 Windows Server 2025。然而,它还补充说,在找到永久解决方案之前,已禁用 Credential Guard 中依赖 Kerberos 密码轮换的机器账户。 “我们建议您为您的设备安装最新的更新,因为它包含重要的改进和问题解决,包括此问题,”该公司表示。 2022 年 11 月,微软发布了紧急带外(OOB)更新,以修复另一个导致企业 Windows 域控制器上 Kerberos 登录失败和各种其他认证问题的已知问题。 它还在 2021 年 11 月解决了与 Windows Server 上 Kerberos 委托场景相关的认证失败问题,并在一年前解决了影响运行 Windows 2000 及更高版本的域连接设备的类似 Kerberos 认证问题。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CISA 将 CrushFTP 漏洞添加到 KEV 目录,因已确认被积极利用(link is external)

HackerNews
6 hours 10 minutes ago
HackerNews 编译,转载请注明出处: 美国网络安全和基础设施安全局(CISA)已将最近披露的一个影响 CrushFTP 的严重安全漏洞添加到其已知被利用漏洞(KEV)目录中,此前有报告显示该漏洞在野外被积极利用。 该漏洞是一个身份验证绕过漏洞,可能允许未认证的攻击者接管易受攻击的实例。该漏洞已在版本 10.8.4 和 11.3.1 中修复。 “CrushFTP 在 HTTP 授权头中存在身份验证绕过漏洞,允许远程未认证的攻击者认证到任何已知或可猜测的用户账户(例如 crushadmin),可能导致完全被攻陷,”CISA 在一份公告中表示。 该漏洞已被分配了 CVE 编号 CVE-2025-31161(CVSS 评分:9.8)。值得注意的是,同一漏洞之前被追踪为 CVE-2025-2825,但现在已在 CVE 列表中被标记为拒绝。 这一进展是在与该漏洞相关的披露过程陷入争议和混乱之后发生的,VulnCheck 作为 CVE 编号机构(CNA),分配了一个编号(即 CVE-2025-2825),而实际的 CVE(即 CVE-2025-31161)则一直悬而未决。 Outpost24 负责任地向供应商披露了该漏洞,并澄清说,它在 2025 年 3 月 13 日向 MITRE 请求了一个 CVE 编号,并且正在与 CrushFTP 协调,以确保在 90 天的披露期内推出修复措施。 然而,直到 3 月 27 日,MITRE 才将该漏洞分配为 CVE-2025-31161,而此时 VulnCheck 已经发布了自己的 CVE,且在发布前未联系“CrushFTP 或 Outpost24 以查看是否已经有负责任的披露流程正在进行中。” VulnCheck 方面批评 MITRE 拒绝 CVE-2024-2825 并发布了 CVE-2025-31161,同时指责 CrushFTP 试图掩盖该漏洞。 “CrushFTP, LLC 发布了一则公告,但故意要求在 90 天内不发布 CVE,实际上试图将该漏洞对安全社区和防御者隐瞒,”VulnCheck 安全研究员 Patrick Garrity 在 LinkedIn 的一篇帖子中表示。 “更糟糕的是,MITRE 似乎优先考虑其在编写过程中的参与,而不是及时披露一个在野外被积极利用的漏洞。这开创了一个危险的先例。” 这家瑞典网络安全公司随后发布了触发该漏洞利用的分步说明,但没有透露太多技术细节: 生成一个至少 31 个字符长度的随机字母数字会话令牌 设置一个名为 CrushAuth 的 cookie,其值为步骤 1 中生成的值 设置一个名为 currentAuth 的 cookie,其值为步骤 1 中生成值的最后 4 个字符 使用步骤 2 和 3 中的 cookie 以及将 Authorization 头设置为“AWS4-HMAC=<username>/”(其中 <username> 是要登录的用户,例如 crushadmin)对目标 /WebInterface/function/ 执行 HTTP GET 请求 这些操作的最终结果是,最初生成的会话将作为选定用户进行认证,允许攻击者执行该用户有权执行的任何命令。 Huntress 重新创建了 CVE-2025-31161 的概念验证,并表示在 2025 年 4 月 3 日观察到 CVE-2025-31161 在野外被利用,并发现了进一步的后续攻击活动,包括使用 MeshCentral 代理和其他恶意软件。有证据表明,攻陷可能早在 3 月 30 日就已发生。 这家网络安全公司表示,到目前为止,已观察到针对四家不同公司的四个不同主机的攻击,其中三家受影响的公司由同一家托管服务提供商(MSP)托管。受影响公司的名称未被披露,但它们属于营销、零售和半导体行业。 发现威胁行为者利用该访问权限安装了诸如 AnyDesk 和 MeshAgent 等合法远程桌面软件,同时在至少一个实例中采取措施收集凭证。 在部署 MeshAgent 后,据说攻击者将一个非管理员用户(“CrushUser”)添加到本地管理员组,并交付了另一个 C++ 二进制文件(“d3d11.dll”),这是开源库 TgBot 的一种实现。 “很可能威胁行为者正在利用 Telegram 机器人从受感染的主机收集遥测数据,”Huntress 研究人员表示。 截至 2025 年 4 月 6 日,共有 815 个未修补的实例容易受到该漏洞的影响,其中 487 个位于北美,250 个在欧洲。鉴于该漏洞正在被积极利用,联邦民用行政分支(FCEB)机构必须在 4 月 28 日之前应用必要的补丁以保护其网络。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

乌克兰 CERT-UA 揭示针对乌克兰机构的新网络攻击(link is external)

HackerNews
6 hours 15 minutes ago
HackerNews 编译,转载请注明出处: 乌克兰计算机应急响应小组(CERT-UA)揭示了一组针对乌克兰机构的新网络攻击,这些攻击使用信息窃取恶意软件。 该机构表示,这些活动针对军事单位、执法机构以及地方自治机构,尤其是那些位于乌克兰东部边境附近的机构。 这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格(XLSM)的网络钓鱼电子邮件,当打开时,会部署两种恶意软件:一种是从 PSSW100AVB(“100% 绕过杀毒软件的 PowerShell 脚本”)GitHub 仓库中获取的 PowerShell 脚本,用于开启反向 shell,以及一个以前未被记录的窃密程序,名为 GIFTEDCROOK。 “文件名和电子邮件主题行涉及诸如排雷、行政罚款、无人机生产以及被毁财产赔偿等敏感问题,”CERT-UA 表示。 “这些电子表格包含恶意代码,当用户打开文档并启用宏时,会自动转变为恶意软件并在用户不知情的情况下执行。” GIFTEDCROOK 用 C/C++ 编写,可从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中窃取敏感数据,如 cookie、浏览历史和认证数据。 这些电子邮件消息是从被攻陷的账户发送的,通常是通过电子邮件客户端的 Web 界面发送,以使消息看起来具有合法性,并诱使潜在受害者打开文档。CERT-UA 将此活动归因于威胁群组 UAC-0226,尽管它尚未与特定国家相关联。 这一进展正值一个疑似与俄罗斯有关联的间谍活动者 UNC5837 被与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动相关联。 “该活动使用了签名的 .RDP 文件附件,以从受害者的机器建立远程桌面协议(RDP)连接,”Google 威胁情报小组(GTIG)表示。 “与通常关注交互会话的 RDP 攻击不同,此次攻击创造性地利用了资源重定向(将受害者文件系统映射到攻击者服务器)和 RemoteApps(向受害者呈现攻击者控制的应用程序)。” 值得注意的是,RDP 活动之前已在 2024 年 10 月由 CERT-UA、亚马逊网络服务和微软记录,并在 12 月由 Trend Micro 记录。CERT-UA 正在追踪名为 UAC-0215 的活动,而其他公司则将其归因于俄罗斯国家赞助的黑客组织 APT29。 此次攻击还值得注意,因为它可能使用了一个名为 PyRDP 的开源工具来自动化恶意活动,如文件外泄和剪贴板捕获,包括可能敏感的数据如密码。 “此次活动可能使攻击者能够读取受害者的驱动器、窃取文件、捕获剪贴板数据(包括密码),并获取受害者环境变量,”GTIG 在周一的报告中表示。“UNC5837 的主要目标似乎是间谍活动和文件窃取。” 近几个月来,还观察到网络钓鱼活动使用假的 CAPTCHA 和 Cloudflare Turnstile 来分发 Legion Loader(又名 Satacom),然后作为渠道投放一个名为“保存到 Google Drive”的恶意 Chromium 基浏览器扩展。 “初始载荷通过驱动器下载感染传播,始于受害者搜索特定文档并被引诱到恶意网站,”Netskope 威胁实验室表示。“下载的文档包含一个 CAPTCHA,一旦受害者点击,就会将其重定向到 Cloudflare Turnstile CAPTCHA,然后最终重定向到通知页面。” 该页面提示用户允许在该网站上接收通知,之后受害者被重定向到第二个 Cloudflare Turnstile CAPTCHA,完成后再重定向到一个提供 ClickFix 风格指导以下载他们所需文档的页面。 实际上,此次攻击为 MSI 安装程序文件的交付和执行铺平了道路,该文件负责启动 Legion Loader,后者又执行一系列步骤来下载和运行临时 PowerShell 脚本,最终将恶意浏览器扩展添加到浏览器中。 PowerShell 脚本还会终止浏览器会话以启用扩展,打开设置中的开发者模式,然后重新启动浏览器。最终目标是捕获各种敏感信息并将其外泄给攻击者。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

重点防范境外恶意网址和恶意IP(link is external)

嘶吼
6 hours 15 minutes ago

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及:美国、荷兰、英国等。主要情况如下:

一、恶意地址信息

(一)恶意地址:ret.6bc.us

关联IP地址:173.109.82.78

归属地:美国/佛罗里达州/迈阿密

威胁类型:僵尸网络

病毒家族:Purple Fox

描述:Purple Fox是一种功能复杂的恶意软件,具备后门、持久化、信息窃取和传播能力,一般通过漏洞利用和钓鱼攻击方式传播,对系统和网络安全构成威胁。防御措施包括及时更新系统、安装安全软件、提高用户意识和加强网络监控。

(二)恶意地址:morphed.ru

关联IP地址:34.219.59.42

归属地:美国/俄勒冈州/波特兰

威胁类型:木马远控

病毒家族:Gamarue

描述:Gamarue是一种木马,某些变种为蠕虫。Gamarue可通过可移动驱动器、垃圾邮件和木马下载器、漏洞利用工具包进行传播。一旦感染设备,病毒会在临时文件夹中生成一个随机文件名的病毒主体,并在注册表创建自启动项;病毒感染可移动存储设备后,会生成文件autorun.inf和一个以U盘卷标+容量命名的快捷方式,并将原U盘所有文件转移到一个隐藏文件夹中。

(三)恶意地址:cinskw.net

关联IP地址:15.197.148.33

归属地:美国

威胁类型:远控木马

病毒家族:silverfox

描述:银狐组织(silverfox),又名“谷堕大盗”,是一个专业从事黑灰产的攻击组织。该攻击组织此前主要针对金融、证券、教育及设计行业,不仅通过使用SEO网站优化使得相关钓鱼网站搜索排名领先,然后诱导用户下载安装木马文件,还通过把木马文件伪装成各种常见的工具、微信聊天记录或者是与金融相关的新闻热点事件和相关教学视频等,诱骗员工点击安装木马文件,从而为后续入侵企业办公网提供入口。该团伙通过控制受害主机权限,在系统内长期驻留、监控用户日常操作、窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为。

(四)恶意地址:superyou.zapto.org

关联IP地址:44.209.47.121

归属地:美国/弗吉尼亚州/阿什本

威胁类型:远控木马

病毒家族:autoit

描述:AutoIt是一种通过AutoIT脚本语言编写的木马病毒。由于AutoIt解释器本身属于合法程序,黑客可以把恶意代码藏在脚本文件中,从而灵活地创建恶意软件,且在系统中没有独立进程存在,造成其存活周期延长。AutoIt会通过创建注册表创建开机自启动,运行时该病毒会检查自身运行环境,如果检测到虚拟环境则会自行终止。此外,该病毒还可以感染计算机全部磁盘,并驻留内存与服务器通信,实施远程控制。

(五)恶意地址:oeihefoeaboeubfuo.ru

关联IP地址:44.200.87.10

归属地:美国/弗吉尼亚州/阿什本

威胁类型:远控木马

病毒家族:Phorpiex

描述:Phorpiex是一种木马,主要用于构建僵尸网络,感染Windows设备并通过USB驱动器、可移动存储和垃圾邮件传播。它通过弱口令暴力破解用户凭证并传播到网络中的其他PC。感染后,Phorpiex会修改注册表实现自启动,允许后门访问和控制,并尝试连接IRC服务器以执行恶意操作,如下载文件、发动拒绝服务攻击(SYN flood)等。此外,Phorpiex还会下载勒索软件,加密文件并勒索赎金,并新增了感染32位PE文件的功能,会下发Avaddon勒索病毒。

(六)恶意地址:pywolwnvd.biz

关联IP地址:34.219.59.42

归属地:美国/俄勒冈州/波特兰

威胁类型:远控木马

病毒家族:krypt

描述:Krypt(也称为Kryptik)是一种多功能的恶意软件家族,主要针对Windows系统。它通常通过钓鱼邮件、恶意广告或捆绑软件方式传播,具有窃取信息、下载其他恶意软件以及持久化感染的能力。

(七)恶意地址:hacked13.no-ip.info

关联IP地址:104.36.180.25

归属地:远控木马

威胁类型:加拿大/安大略省/多伦多

病毒家族:Poison

描述:Poison是一种后门木马,攻击者会获得未授予的权限进而控制失陷主机。该木马通过注入其他进程来隐藏自身,功能具有下载和上传文件、键盘记录、信息窃取等功能。

(八)恶意地址:donate.v2.xmrig.com

关联IP地址:178.128.242.134

归属地:荷兰/北荷兰省/阿姆斯特丹

威胁类型:挖矿木马

病毒家族:Minepool

描述:Minepool是一种加密货币挖矿池。该矿池可挖掘比特币、科莫多、Litecoinz、Snowgem和Votecoin等多种货币,通过组建一组协作的矿工来运作,利用其他挖矿病毒进行挖矿相关任务。

(九)恶意地址:z.totonm.com

关联IP地址:193.62.37.224

归属地:英国/英格兰/伦敦

威胁类型:挖矿木马

病毒家族:WannaMine

描述:WannaMine是一种挖矿木马,2017年10月发现之初,主要利用“永恒之蓝”(EternalBlue)漏洞进行传播,后来逐步增加通过ssh/telnet暴力破解,利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限,主要挖取门罗币。WannaMine最新版本新增了组合与免杀功能,且功能模块独立化,每个模块在攻击流程中都具备明确角色和任务,有效避免单个组织功能模块被关联分析,攻击目标方向由Windows系统扩展至Linux环境,并能够构造僵尸网络,为其他黑客组织提供武器。

(十)恶意地址:anam0rph.su

关联IP地址:18.141.10.107 

归属地:新加坡

威胁类型:后门木马

病毒家族:andromeda

描述:Andromeda是一种模块化的后门木马。最原始的病毒仅包含一个加载器,在其运行期间会从C&C服务器上下载相关模块和更新,它同时也拥有反虚拟机和反调试的功能。病毒可以通过使用Rootkit隐藏与自身相关的进程、文件和注册表项。此外,病毒还会控制感染主机构建僵尸网络,用于分发其它病毒,也可能会下载其它病毒进入系统,还可能会进行其他如DoS/DDoS拒绝服务攻击等恶意活动。

二、排查方法

(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网络和IP发起通信的设备网上活动痕迹。

(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。

三、处置建议

(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。

(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。

(三)向公安机关及时报告,配合开展现场调查和技术溯源。

文章来源自:国家网络安全通报中心

胡金鱼

加密货币矿工和剪贴板恶意软件通过 SourceForge 传播(link is external)

HackerNews
6 hours 20 minutes ago
HackerNews 编译,转载请注明出处: 威胁行为者被观察到通过 SourceForge(一个流行的软件托管服务)分发恶意载荷,如加密货币矿工和剪贴板恶意软件,这些恶意软件伪装成合法应用程序(如 Microsoft Office)的破解版本。 “SourceForge 主网站 sourceforge.net 上的一个名为 officepackage 的项目看起来足够无害,它包含了从一个合法的 GitHub 项目复制的 Microsoft Office 插件,”卡巴斯基在今日发布的一份报告中表示。“officepackage 的描述和内容也取自 GitHub。” 虽然 sourceforge.net 上创建的每个项目都会被分配一个“<project>.sourceforge.io”域名,但这家俄罗斯网络安全公司发现,officepackage 的域名“officepackage.sourceforge[.]io”显示了一个长长的 Microsoft Office 应用程序列表以及相应的下载链接(俄语)。 此外,将鼠标悬停在下载按钮上会在浏览器状态栏中显示一个看似合法的 URL:“loading.sourceforge[.]io/download,给人一种下载链接与 SourceForge 相关联的印象。然而,点击链接会将用户重定向到“taplink[.]cc”上托管的一个完全不同的页面,该页面显著显示了另一个下载按钮。 如果受害者点击下载按钮,他们将收到一个 7 MB 的 ZIP 压缩包(“vinstaller.zip”),打开后包含一个受密码保护的第二个压缩包(“installer.zip”)和一个包含打开文件密码的文本文件。 新的 ZIP 文件中包含一个 MSI 安装程序,该程序负责创建多个文件、一个名为“UnRAR.exe”的控制台归档实用程序、一个 RAR 归档文件以及一个 Visual Basic(VB)脚本。 “VB 脚本运行 PowerShell 解释器以从 GitHub 下载并执行一个名为 confvk 的批处理文件,”卡巴斯基表示。“该文件包含 RAR 归档文件的密码。它还会解压恶意文件并运行下一阶段的脚本。” 该批处理文件还设计为运行两个 PowerShell 脚本,其中一个使用 Telegram API 发送系统元数据。另一个文件下载另一个批处理脚本,然后对 RAR 归档文件的内容进行操作,最终启动矿工和剪贴板恶意软件(即 ClipBanker)载荷。 此外,还会投放 netcat 可执行文件(“ShellExperienceHost.exe”),该文件与远程服务器建立加密连接。不仅如此,confvk 批处理文件被发现创建了另一个名为“ErrorHandler.cmd”的文件,其中包含一个通过 Telegram API 检索并执行文本字符串的 PowerShell 脚本。 该网站具有俄语界面,表明其专注于俄语用户。遥测数据显示,90% 的潜在受害者在俄罗斯,从 1 月初到 3 月下旬,共有 4,604 名用户遭遇了这一骗局。 由于 sourceforge[.]io 页面被搜索引擎索引并出现在搜索结果中,因此相信在 Yandex 上搜索 Microsoft Office 的俄罗斯用户可能是此次攻击的目标。 “随着用户寻求在官方渠道之外下载应用程序的方式,攻击者提供了他们自己的,”卡巴斯基表示。“虽然此次攻击主要针对加密货币,通过部署矿工和 ClipBanker,但攻击者可能会将系统访问权限出售给更危险的行为者。” 这一披露正值该公司透露了一个通过假冒 DeepSeek 人工智能(AI)聊天机器人的欺诈性网站分发名为 TookPS 的恶意软件下载器的活动细节。 这包括像 deepseek-ai-soft[.]com 这样的网站,据 Malwarebytes 称,用户通过赞助的 Google 搜索结果被重定向到该网站。 TookPS 被设计为下载并执行 PowerShell 脚本,这些脚本通过 SSH 为受感染的主机提供远程访问,并投放一个名为 TeviRat 的特洛伊木马的修改版本。这突显了威胁行为者试图通过多种方式获得对受害计算机的完全访问权限。 “该样本 […] 使用 DLL 侧加载来修改和部署 TeamViewer 远程访问软件到受感染的设备上,”卡巴斯基表示。“简单来说,攻击者将一个恶意库放在 TeamViewer 的同一文件夹中,这改变了软件的默认行为和设置,使其对用户隐藏,并为攻击者提供了隐蔽的远程访问。” 这一进展紧随发现针对 RVTools(一个流行的 VMware 工具)的恶意 Google 广告,以投放一个名为 ThunderShell(又名 SMOKEDHAM)的修改版本,这是一个基于 PowerShell 的远程访问工具(RAT),强调了恶意广告仍然是一个持续且不断演变的威胁。 “ThunderShell,有时也被称为 SmokedHam,是一个公开可用的后利用框架,专为红队行动和渗透测试而设计,”Field Effect 表示。“它提供了一个命令和控制(C2)环境,使操作员能够通过基于 PowerShell 的代理在受感染的机器上执行命令。”   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

亚马逊修复 EC2 SSM Agent 漏洞:通过路径遍历实现权限提升(link is external)

HackerNews
6 hours 26 minutes ago
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了亚马逊 EC2 简单系统管理器(SSM)代理中的一个现已修复的安全漏洞。如果成功利用该漏洞,攻击者可能实现权限提升和代码执行。 根据 Cymulate 在一份与《黑客新闻》共享的报告中所述,该漏洞可能允许攻击者在文件系统中意外位置创建目录、以 root 权限执行任意脚本,并可能通过向系统敏感区域写入文件来提升权限或执行恶意活动。 亚马逊 SSM Agent 是亚马逊网络服务(AWS)的一个组件,使管理员能够远程管理、配置和在 EC2 实例及本地服务器上执行命令。 该软件处理在 SSM 文档中定义的命令和任务,这些文档可以包含一个或多个插件,每个插件负责执行特定任务,例如运行 shell 脚本或自动化部署和配置相关活动。 此外,SSM Agent 会根据插件规范动态创建目录和文件,通常依赖插件 ID 作为目录结构的一部分。这引入了一个安全风险:如果插件 ID 的验证不当,可能会导致潜在漏洞。 Cymulate 的发现是一个路径遍历漏洞,源于插件 ID 的验证不当,可能允许攻击者操纵文件系统并以提升的权限执行任意代码。问题根植于名为“ValidatePluginId”的函数(位于 pluginutil.go 文件中)。 “该函数未能正确清理输入,允许攻击者提供包含路径遍历序列(例如 ../)的恶意插件 ID,”安全研究员 Elad Beber 表示。 由于这一漏洞,攻击者可以提供一个特制的插件 ID(例如 ../../../../../../malicious_directory),在创建 SSM 文档时执行底层文件系统上的任意命令或脚本,从而实现权限提升和其他后续攻击行为。 在 2025 年 2 月 12 日负责任地披露该漏洞后,亚马逊于 2025 年 3 月 5 日通过发布 SSM Agent 版本 3.3.1957.0 修复了该问题。 根据项目维护人员在 GitHub 上发布的更新日志,“添加并使用 BuildSafePath 方法以防止在编排目录中发生路径遍历。”   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Fortinet 呼吁升级 FortiSwitch 以修复严重管理员密码更改漏洞(link is external)

HackerNews
6 hours 32 minutes ago
HackerNews 编译,转载请注明出处: Fortinet 已发布安全更新,以修复影响 FortiSwitch 的一个严重安全漏洞,该漏洞可能允许攻击者进行未经授权的密码更改。 该漏洞被追踪为 CVE-2024-48887,CVSS 评分为 9.3(满分 10.0)。 Fortinet 在今日发布的公告中表示:“FortiSwitch GUI 中存在一个未验证的密码更改漏洞 [CWE-620],可能允许远程未认证的攻击者通过特制请求修改管理员密码。” 以下是受影响的版本: FortiSwitch 7.6.0(升级至 7.6.1 或更高版本) FortiSwitch 7.4.0 至 7.4.4(升级至 7.4.5 或更高版本) FortiSwitch 7.2.0 至 7.2.8(升级至 7.2.9 或更高版本) FortiSwitch 7.0.0 至 7.0.10(升级至 7.0.11 或更高版本) FortiSwitch 6.4.0 至 6.4.14(升级至 6.4.15 或更高版本) 这家网络安全公司表示,该漏洞是由 FortiSwitch Web UI 开发团队的 Daniel Rozeboom 内部发现并报告的。 作为临时措施,Fortinet 建议禁用管理界面的 HTTP/HTTPS 访问,并限制系统访问权限,仅允许受信任的主机访问。 虽然目前没有证据表明该漏洞已被利用,但许多影响 Fortinet 产品的安全漏洞曾被威胁行为者武器化,因此用户必须尽快应用补丁。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

OdinLdr: Cobaltstrike Reflective Loader with Synthetic Stackframe(link is external)

Penetration Testing Tools - Metepreter.org
7 hours 49 minutes ago

OdinLdr Cobaltstrike UDRL for beacon and post-ex tools. Use NtApi call with synthetic stackframe to confuse EDR based on stackframe detection. Beacon Use BeaconUserData structure to give memory information to beacon and allocate memory...

The post OdinLdr: Cobaltstrike Reflective Loader with Synthetic Stackframe appeared first on Penetration Testing Tools.

ddos

Managed ad