HackerNews

HackerNews 编译，转载请注明出处： 博通公司（Broadcom）今日发布安全更新，修复了VMware Tools for Windows中的一个高危身份验证绕过漏洞。 VMware Tools是一套专为提升性能、图形显示及整体系统集成而设计的驱动程序和实用工具，适用于在VMware虚拟机中运行的客户操作系统。 该漏洞（CVE-2025-22230）源于访问控制不当，由俄罗斯网络安全公司Positive Technologies的Sergey Bliznyuk报告，该公司因涉嫌交易黑客工具而受到制裁。 具有低权限的本地攻击者可在无需用户交互的低复杂度攻击中利用该漏洞，在易受攻击的虚拟机上获取高权限。 “恶意行为者若在Windows客户虚拟机上拥有非管理员权限，可能会获得在该虚拟机内执行某些高权限操作的能力，”VMware在周二发布的一份安全公告中解释道。 本月早些时候，博通还修复了三个VMware零日漏洞（CVE-2025-22224、CVE-2025-22225和CVE-2025-22226），这些漏洞在攻击中被利用，由微软威胁情报中心报告。 正如公司当时所解释的，拥有特权管理员或root访问权限的攻击者可将这些漏洞串联起来，以逃逸虚拟机的沙箱。 补丁发布数日后，威胁监测平台Shadowserver发现超过37000个暴露在互联网上的VMware ESXi实例易受CVE-2025-22224攻击。 勒索软件团伙和国家赞助的黑客经常以VMware漏洞为目标，因为VMware产品在企业运营中广泛用于存储或传输敏感企业数据。 例如，在11月，博通警告称攻击者正在利用两个VMware vCenter Server漏洞：一个特权提升到root的漏洞（CVE-2024-38813）和一个关键的远程代码执行漏洞（CVE-2024-38812），后者是在2024年中国矩阵杯黑客大赛期间被发现的。 2024年1月，博通还披露称中国国家黑客自2021年底以来一直在利用一个关键的vCenter Server零日漏洞（CVE-2023-34048），在受影响的ESXi系统上部署VirtualPita和VirtualPie后门。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare宣布，其R2对象存储及相关服务出现了一次持续1小时7分钟的故障，导致全球100%的写入请求和35%的读取请求失败。 Cloudflare R2是一种可扩展的、与S3兼容的对象存储服务，具有免费的数据检索、多区域复制以及与Cloudflare的紧密集成等特点。 此次故障发生在UTC时间21:38至22:45之间，据称是由一次凭证轮换操作导致R2网关（API前端）失去对后端存储的认证访问权限所引发的。 具体而言，新凭证被错误地部署到了开发环境而非生产环境，而当旧凭证被删除后，生产服务便失去了有效的凭证。 问题的根源在于遗漏了一个命令行标志’–env production’，这导致新凭证被部署到了生产R2网关工作程序而非生产工作程序。 R2网关工作程序认证示意图（图片来源：Cloudflare） 由于问题的性质以及Cloudflare服务的工作方式，这一错误配置并未立即显现，导致修复工作进一步延迟。 “R2可用性指标的下降是逐渐的，并非立即显而易见，因为之前凭证删除到存储基础设施的传播存在延迟，”Cloudflare在其事件报告中解释道。 “这导致我们最初发现问题存在延迟。在更新旧凭证集后，我们不应依赖可用性指标，而应明确验证R2网关服务用于认证R2存储基础设施的令牌。” 尽管此次事件未导致客户数据丢失或损坏，但仍造成了部分或全部服务降级，影响了以下服务： R2：100%写入请求失败，35%读取请求失败（缓存对象仍可访问） 缓存储备：由于读取请求失败，源流量增加 图片和流媒体：所有上传请求失败，图片传输量降至25%，流媒体降至94% 电子邮件安全、向量化、日志交付、计费、密钥透明度审计员：不同程度的服务降级 为防止类似事件在未来再次发生，Cloudflare改进了凭证日志记录和验证，并强制使用自动化部署工具，以避免人为错误。 公司还正在更新标准操作程序（SOP），要求对凭证轮换等高影响操作进行双重验证，并计划增强健康检查，以便更快地发现根本原因。 Cloudflare的R2服务在2月也曾因人为错误导致1小时的故障。 当时，一名操作员在处理有关服务中钓鱼URL的滥用报告时，关闭了整个R2网关服务，而不是仅阻止特定端点。 由于缺乏对高影响操作的安全保障和验证检查，导致了此次故障，促使Cloudflare计划并实施额外措施，以改进账户配置、更严格的访问控制以及对高风险操作的两方批准流程。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CrushFTP向客户发出警告，称存在一个未授权的HTTP(S)端口访问漏洞，并敦促他们立即更新服务器。 正如该公司在上周五发给客户的一封电子邮件中所解释的（BleepingComputer已看到该邮件），如果未打补丁的服务器通过HTTP(S)暴露在互联网上，该安全漏洞将使攻击者能够获得未授权的访问权限。 “请立即采取行动尽快打补丁。今天（2025年3月21日）已解决一个漏洞。所有CrushFTP v11版本均受影响。（没有更早的版本受到影响。）即将生成CVE编号，”该公司警告道。 “这个漏洞的核心在于暴露的HTTP(S)端口可能导致未授权访问。如果你启用了CrushFTP的DMZ功能，该漏洞将得到缓解。” 尽管邮件称此漏洞仅影响CrushFTP v11版本，但同一天发布的安全公告却指出，CrushFTP v10和v11均受影响，正如网络安全公司Rapid7首次指出的那样。 作为临时解决方案，那些无法立即更新至CrushFTP v11.3.1+（该版本修复了该漏洞）的用户可以启用DMZ（非军事区）外围网络选项来保护其CrushFTP实例，直到安全更新得以部署。 根据Shodan的数据显示，有超过3400个CrushFTP实例的Web界面暴露在互联网上，容易受到攻击，尽管BleepingComputer无法确定其中有多少已经打过补丁。 暴露在互联网上的CrushFTP实例（Shodan数据） 在2024年4月，CrushFTP还发布了安全更新，修复了一个正在被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未授权的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。 当时，网络安全公司CrowdStrike发现了指向情报收集活动的证据，很可能是出于政治动机，攻击者针对了美国多个组织的CrushFTP服务器。 美国网络安全和基础设施安全局（CISA）将CVE-2024-4040添加到了其已知被利用漏洞目录中，并命令美国联邦机构在一周内确保其网络中易受攻击的服务器安全。 在2023年11月，CrushFTP客户还被警告要修复其企业套件中的一个严重远程代码执行漏洞（CVE-2023-43177），在该漏洞被修复三个月后，报告该漏洞的Converge安全研究人员发布了一个概念验证利用。 像CrushFTP这样的文件传输产品是勒索软件团伙的诱人目标，特别是Clop团伙，该团伙与针对MOVEit Transfer、GoAnywhere MFT、Accelion FTA和Cleo软件中的零日漏洞的数据盗窃攻击有关联。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云安全公司Wiz披露了Kubernetes Ingress NGINX控制器中存在的一组五个严重安全漏洞，这些漏洞可能导致无认证的远程代码执行，使超过6500个集群面临风险，因为该组件暴露在公共互联网上。 这些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974）被统称为IngressNightmare，CVSS评分为9.8。值得注意的是，这些缺陷不影响NGINX Ingress控制器，后者是NGINX和NGINX Plus的另一种Ingress控制器实现。 “利用这些漏洞，攻击者可以未经授权访问Kubernetes集群中所有命名空间中存储的所有机密，可能导致集群被接管，”该公司在一份与The Hacker News共享的报告中表示。 IngressNightmare主要影响Kubernetes Ingress NGINX控制器的准入控制器组件。大约43%的云环境容易受到这些漏洞的影响。 Ingress NGINX控制器使用NGINX作为反向代理和负载均衡器，使其能够将HTTP和HTTPS路由从集群外部暴露给内部服务。 该漏洞利用了部署在Kubernetes pod中的准入控制器在没有认证的情况下可通过网络访问的事实。 具体来说，它涉及通过直接向准入控制器发送恶意Ingress对象（也称为AdmissionReview请求），远程注入任意NGINX配置，从而在Ingress NGINX控制器的pod上执行代码。 “准入控制器的高权限和不受限制的网络可访问性创建了一个关键的升级路径，”Wiz解释道。“利用这个缺陷，攻击者可以执行任意代码并访问所有跨命名空间的集群机密，这可能导致完整的集群接管。” 这些缺陷如下： CVE-2025-24513（CVSS评分：4.8）——一个不正确的输入验证漏洞，可能导致容器内的目录遍历，结合其他漏洞可能导致拒绝服务（DoS）或有限的集群机密对象披露 CVE-2025-24514（CVSS评分：8.8）——auth-url Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1097（CVSS评分：8.8）——auth-tls-match-cn Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1098（CVSS评分：8.8）——mirror-target和mirror-host Ingress注解可用于将任意配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1974（CVSS评分：9.8）——无需凭据或管理访问权限即可实现集群接管 在一个实验性的攻击场景中，威胁行为者可以利用NGINX的客户端请求体缓冲功能，以共享库的形式将恶意载荷上传到pod，然后向准入控制器发送AdmissionReview请求。 该请求包含上述配置指令注入之一，导致共享库被加载，从而实现远程代码执行。 Wiz的云安全研究员Hillai Ben-Sasson告诉The Hacker News，攻击链本质上涉及注入恶意配置，并利用它读取敏感文件和运行任意代码。这随后可能允许攻击者滥用强服务账户以读取Kubernetes机密并最终促进集群接管。 在一份独立的咨询报告中，Kubernetes安全响应委员会表示，除了CVE-2025-1974之外的所有漏洞都涉及改进Ingress NGINX处理某些配置参数的方式。另一方面，CVE-2025-1974可以与其他漏洞结合，无需凭据或管理访问权限即可实现集群接管。 在负责任地披露后，这些漏洞已在Ingress NGINX Controller版本1.12.1、1.11.5和1.10.7中得到修复。 建议用户尽快更新到最新版本，并确保准入网络钩子端点不被外部暴露。 作为缓解措施，建议仅允许Kubernetes API服务器访问准入控制器，并在不需要时暂时禁用准入控制器组件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年11月至2025年2月期间，国际刑警组织在贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚等七个非洲国家开展了一项代号为“红牌行动”的国际行动，共逮捕了306名嫌疑人，并查获了1842台设备。 国际刑警组织表示，此次协调一致的行动“旨在打击和瓦解对个人和企业造成重大危害的跨境犯罪网络”，并指出其重点针对移动银行、投资和消息传递应用的诈骗。 这些网络诈骗涉及5000多名受害者。参与行动的国家包括贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚。 “红牌行动”的成功表明，在打击没有国界且可能对个人和社区造成毁灭性影响的网络犯罪方面，国际合作的力量，”国际刑警组织网络犯罪局局长尼尔·杰顿表示。“重要资产和设备的追回以及关键嫌疑人的逮捕，向网络犯罪分子发出了强烈信息，即他们的行为不会不受惩罚。” 在打击行动中，尼日利亚警方逮捕了130人，其中包括113名外国人，他们涉嫌参与在线赌场和投资诈骗。一些在诈骗中心工作的人据说是人口贩卖的受害者，并被迫实施非法计划。 另一个值得注意的行动是，南非当局逮捕了40人，并查获了1000多张用于大规模短信钓鱼攻击的SIM卡。 在其他地方，赞比亚官员逮捕了14名涉嫌犯罪团伙成员，他们通过短信钓鱼链接安装恶意软件，入侵受害者的手机并获得其银行应用的未经授权访问权限。Group-IB表示，该恶意软件还使犯罪分子能够控制消息传递应用，从而将欺诈链接传播给其他人。 俄罗斯网络安全厂商卡巴斯基指出，已与国际刑警组织分享了其对一款针对非洲国家用户的恶意Android应用的分析以及相关基础设施的信息。 此外，卢旺达当局逮捕了45名犯罪网络成员，他们因参与社会工程诈骗而被指控，在2024年骗取受害者超过30.5万美元。在被盗资金中，已追回103,043美元，并查获292台设备。 国际刑警组织表示：“他们的手段包括冒充电信员工并声称虚假的‘中奖’来获取敏感信息并访问受害者的移动银行账户。”“另一种方法是冒充受伤的家庭成员，向亲属请求资金以支付医院账单。” 逮捕消息传出之际，正值国际刑警组织几周前宣布与非洲开发银行集团建立合作伙伴关系，以更好地打击该地区的腐败、金融犯罪、网络诈骗和洗钱行为。 本月早些时候，泰国皇家警察和新加坡警察逮捕了一名在全球范围内造成90多起数据泄露事件的个人，其中包括65起在亚太地区。该威胁行为者于2020年12月4日首次公开出现，使用别名ALTDOS、mystic251、DESORDEN、GHOSTR和0mid16B进行活动。 这些攻击涉及使用SQL注入工具（如SQLmap）获取敏感数据，随后部署Cobalt Strike Beacons以持续控制被攻破的主机。 Group-IB在一份详细说明该威胁行为者作案手法的报告中表示：“他针对面向互联网的Windows服务器，专门搜索包含个人信息的数据库。”“在攻破这些服务器后，他窃取了受害者的数据，在某些情况下，还在被攻破的服务器上对其进行了加密。” 这些攻击的最终目标是获取经济利益，迫使受害者要么支付赎金，要么冒着其机密数据被公开的风险。来自孟加拉国、加拿大、印度、印度尼西亚、马来西亚、巴基斯坦、新加坡、泰国和美国的多个实体的数据在CryptBB、RaidForums和BreachForums等暗网论坛上被泄露。 Group-IB研究人员指出：“在他所有四个别名中一个持续的细节是其发布被盗数据截图的方法。”“无论他如何重新品牌化，他始终直接从同一台设备上传图像，揭示了一个关键的操作指纹。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警示一项Android恶意软件活动，该活动利用微软的.NET多平台应用UI（.NET MAUI）框架，制作假冒银行和社交媒体应用，目标是印度和说中文的用户。 “这些威胁伪装成合法应用，针对用户窃取敏感信息，”McAfee Labs研究员Dexter Shin表示。 .NET MAUI是微软的跨平台桌面和移动应用框架，使用C#和XAML创建原生应用。它是Xamarin的进化版，具备通过单个项目创建多平台应用的能力，并在必要时加入特定平台的源代码。 值得注意的是，Xamarin的官方支持已于2024年5月1日结束，科技巨头敦促开发者迁移到.NET MAUI。 过去曾检测到使用Xamarin实现的Android恶意软件，而最新发展表明，威胁行为者正在通过使用.NET MAUI开发新恶意软件，不断调整和改进其战术。 “这些应用的核心功能完全用C#编写，并以二进制大对象形式存储，”Shin表示。“这意味着与传统Android应用不同，其功能不存在于DEX文件或原生库中。” 这为威胁行为者带来了新优势，因为.NET MAUI充当打包器，使恶意软件能够逃避检测，并在受害设备上长期存在。 基于.NET MAUI的Android应用，统称为FakeApp，及其关联的软件包名称如下： X (pkPrIg.cljOBO) 迷城 (pCDhCg.cEOngl) X (pdhe3s.cXbDXZ) X (ppl74T.cgDdFK) Cupid (pommNC.csTgAT) X (pINUNU.cbb8AK) 私密相册 (pBOnCi.cUVNXz) X•GDN (pgkhe9.ckJo4P) 迷城 (pCDhCg.cEOngl) 小宇宙 (p9Z2Ej.cplkQv) X (pDxAtR.c9C6j7) 迷城 (pg92Li.cdbrQ7) 依恋 (pZQA70.cFzO30) 慢夜 (pAQPSN.CcF9N3) indus credit card (indus.credit.card) Indusind Card (com.rewardz.card) 没有证据表明这些应用已分发至Google Play。相反，主要传播方式是诱骗用户点击通过消息应用发送的虚假链接，这些链接将毫无戒心的接收者重定向至非官方应用商店。 在McAfee强调的一个例子中，该应用伪装成印度金融机构，收集用户敏感信息，包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。 另一款应用则模仿社交媒体网站X，从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店，针对说中文的用户。 除了使用加密套接字通信将收集的数据传输至命令与控制（C2）服务器外，恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限（例如“android.permission.LhSSzIw6q”），试图破坏分析工具。 为保持不被检测，还使用了一种称为多级动态加载的技术，利用XOR加密的加载程序启动AES加密的有效载荷，后者又加载设计用于执行恶意软件的.NET MAUI程序集。 “主要有效载荷最终隐藏在C#代码中，”Shin表示。“当用户与应用交互，例如按下按钮时，恶意软件会悄悄窃取他们的数据并发送至C2服务器。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新调查发现，一种名为Raspberry Robin的恶意软件与近200个独特的命令与控制（C2）域名相关联。 “Raspberry Robin（也被称为Roshtyak或Storm-0856）是一个复杂且不断演变的威胁行为者，为众多犯罪团伙提供初始访问代理（IAB）服务，其中许多团伙与俄罗斯有联系，”Silent Push在一份与The Hacker News共享的报告中表示。 自2019年出现以来，该恶意软件已成为SocGholish、Dridex、LockBit、IcedID、BumbleBee和TrueBot等恶意软件的传播渠道。它还被称为QNAP蠕虫，因为它利用被攻破的QNAP设备来获取有效载荷。 多年来，Raspberry Robin的攻击链增加了一种新的分发方式，即通过Discord消息服务发送的附件中的存档和Windows脚本文件下载，此外还获取了一天漏洞来实现本地权限提升，这些漏洞在公开披露之前就被利用。 也有证据表明，该恶意软件作为按安装付费（PPI）的僵尸网络提供给其他行为者，以分发下一阶段的恶意软件。 此外，Raspberry Robin感染还纳入了一种基于USB的传播机制，即使用包含伪装成文件夹的Windows快捷方式（LNK）文件的被攻破的USB驱动器来激活恶意软件的部署。 美国政府已经透露，被追踪为Cadet Blizzard的俄罗斯国家级威胁行为者可能使用Raspberry Robin作为初始访问促进器。 Silent Push在其与Team Cymru共同进行的最新分析中发现了一个用于连接所有被攻破的QNAP设备的数据中继IP地址，最终发现了超过180个独特的C2域名。 “这个单一IP地址通过Tor中继连接，这可能是网络运营商发布新命令并与被攻破设备交互的方式，”该公司表示。“用于此中继的IP位于一个欧盟国家。” 对基础设施的深入调查表明，Raspberry Robin的C2域名很短，例如q2[.]rs、m0[.]wf、h0[.]wf和2i[.]pm，并且它们在被攻破的设备和IP之间快速轮换，使用一种称为快速通量的技术，以使它们难以被关闭。 Raspberry Robin的一些顶级域名（TLD）包括.wf、.pm、.re、.nz、.eu、.gy、.tw和.cx，域名使用Sarek Oy、1API GmbH、NETIM、Epag[.]de、CentralNic Ltd和Open SRS等小众注册商注册。大多数已识别的C2域名的域名服务器位于一家名为ClouDNS的保加利亚公司。 “Raspberry Robin被俄罗斯政府威胁行为者使用，与其与无数其他严重威胁行为者合作的历史相符，其中许多与俄罗斯有联系，”该公司表示。“这些包括LockBit、Dridex、SocGholish、DEV-0206、Evil Corp（DEV-0243）、Fauppod、FIN11、Clop Gang和Lace Tempest（TA505）。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月底，安全研究人员首次发现了一种名为SvcStealer 2025的恶意软件。该恶意软件通过鱼叉式网络钓鱼（Spear Phishing）邮件附件传播，专门窃取受感染系统中的大量个人和财务信息，包括设备数据、已安装的软件、用户凭据、加密货币钱包和浏览器数据。 SvcStealer采取系统化的方式进行数据盗取，逐步从各种应用程序中提取信息，然后将其压缩并通过命令与控制（C2）服务器外传。 在成功收集数据后，SvcStealer还具备下载额外恶意软件载荷的能力，从而将其威胁能力从数据窃取扩展到进一步的恶意活动。 SEQRITE的研究人员在常规威胁狩猎操作中识别出了SvcStealer。他们注意到该恶意软件使用Microsoft Visual C++编写，同时具备逃避检测的能力。通过终止监控进程并删除活动痕迹，SvcStealer能够绕过安全工具的检测。 感染系统后，SvcStealer会通过算术运算，从受害者的卷序列号中生成一个独特的11字节字母数字值。 SvcStealer基于卷序列号生成文件夹名称的代码（来源：SEQRITE） SvcStealer展现了其高度复杂的数据外传设计。它在收集到敏感信息后，将数据存储在**ProgramData**目录下，以生成的唯一文件夹名称命名。 它的目标包括： – 多个浏览器（Chrome、Edge、Brave）中的加密货币钱包 – 通信平台（Telegram、Discord）中的数据 – 各类浏览器中的用户凭据 – 系统截图和运行进程信息 SvcStealer收集信息后的文件夹结构（来源：SEQRITE） 随后，SvcStealer会将收集到的数据压缩为ZIP文件，并通过端口80与C2服务器（IP地址：185.81.68.156 或 176.113.115.149）建立连接。 压缩后的信息文件示意图（来源：SEQRITE） 它使用HTTP POST请求，并采用`Content-Type: multipart/form-data`的方式，将被窃取的数据伪装成普通的网络流量进行传输。 下载其他恶意软件家族的示意图（来源：SEQRITE） 为了维持持久性，SvcStealer会持续向其C2服务器发送信号，等待进一步的命令。这些命令可能包括下载额外的恶意软件载荷，进一步扩大感染范围或实施其他恶意活动。 安全专家建议用户对可疑邮件附件保持高度警惕，并采用高级终端保护解决方案来防御此类新兴威胁。定期更新安全软件和系统补丁、加强员工的网络安全意识培训，也是减少攻击风险的有效方式。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国家铁路运营商Ukrzaliznytsia遭受大规模网络攻击，导致通过移动应用和网站购买车票的在线服务中断。 事件迫使人们前往售票亭购买纸质车票，造成拥挤、延误、长时间排队和不满。 由于火车是乌克兰国内和国际旅行中唯一可靠且相对安全的交通方式，此次网络攻击影响重大，Daryna Antoniuk报道。 Ukrzaliznytsia在多个通信渠道的官方声明中确认，中断始于昨日，并为造成的不便道歉。 该组织已增加售票点工作人员以应对突然增加的服务需求，但队伍仍很长。 军事人员可在列车上向列车长购票，以免影响其行动。 网络攻击前已在线购票但无法下载的乘客，建议使用发送到邮箱的PDF副本，或在发车前20分钟到火车站向工作人员说明情况。 明天出行的乘客被要求不要在今天涌向售票处，工作人员正在努力满足今天出行乘客的需求。 Ukrzaliznytsia网站上的公告 尽管在线售票平台出现问题，Ukrzaliznytsia在公告中指出，网络攻击并未影响列车运营。 该组织强调，过去几年遭受的多次网络攻击增强了其应对协议和韧性。 “敌人的主要目标失败了：列车运行稳定，准点运行无延误，所有运营流程已切换到备份模式，”Ukrzaliznytsia的最新更新写道。 “尽管铁路基础设施遭受物理攻击，铁路仍在继续运营，即使是最狡猾的网络攻击也无法阻止它。” “由于Ukrzaliznytsia以前曾是敌方网络攻击的目标，公司内部已实施了备份协议。” 该组织称此次攻击“高度系统化且多层”，并保证正在与SBU网络安全部门和政府计算机应急响应小组（CERT-UA）的专家合作，以填补安全漏洞并恢复受影响的系统。然而，目前尚未提供具体的恢复时间表。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Next.js React框架中存在一个严重的安全漏洞，在特定条件下可能被利用来绕过授权检查。 该漏洞被追踪为CVE-2025-29927，CVSS评分为9.1（满分10.0）。 Next.js在咨询报告中称：“Next.js使用内部标头x-middleware-subrequest来防止递归请求引发无限循环。” “有可能跳过中间件运行，这可能允许请求在到达路由之前跳过关键检查，例如授权cookie验证。” 该问题已在12.3.5、13.5.9、14.2.25和15.2.3版本中得到解决。如果无法更新补丁，建议用户阻止包含x-middleware-subrequest标头的外部用户请求到达Next.js应用程序。 发现并报告该漏洞的安全研究员Rachid Allam（又名zhero和cold-try）已发布更多技术细节，这使得用户迫切需要迅速应用修复措施。 JFrog表示：“该漏洞允许攻击者轻松绕过在Next.js中间件中执行的授权检查，可能使攻击者能够访问为管理员或其他高权限用户预留的敏感网页。” 该公司还表示，任何使用中间件授权用户而没有额外授权检查的托管网站都容易受到CVE-2025-29927的攻击，可能使攻击者能够访问通常无法访问的资源（例如管理员页面）。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Palo Alto Networks Unit 42最新的云威胁报告，66%的云存储桶中包含敏感数据，这些数据容易受到勒索软件攻击。SANS Institute最近报告称，这些攻击可以通过滥用云服务提供商的存储安全控制和默认设置来实施。 “仅在过去几个月里，我就目睹了两种利用合法云安全功能实施勒索软件攻击的方法，”SANS认证讲师、安全顾问Brandon Evans警告说。Halcyon披露了一项攻击活动，该活动利用了亚马逊S3的本地加密机制之一SSE-C来加密目标存储桶。几个月前，安全顾问Chris Farris展示了攻击者如何利用AWS的另一项安全功能（带有外部密钥材料的KMS密钥）通过ChatGPT生成的简单脚本实施类似的攻击。“显然，这个话题无论是对威胁行为者还是研究人员来说都是当务之急，”Brandon指出。 为应对云勒索软件，SANS建议组织机构： 了解云安全控制的效能与局限：使用云服务并不能自动保证数据安全。“大多数人首先使用的云服务是OneDrive、Dropbox、iCloud等文件备份解决方案，”Brandon解释道。“虽然这些服务通常默认启用了文件恢复功能，但亚马逊S3、Azure存储或谷歌云存储并非如此。安全专业人员必须了解这些服务的工作原理，不要假设云服务会拯救他们。” 封禁不受支持的云加密方法：AWS S3 SSE-C、AWS KMS外部密钥材料等加密技术可能被滥用，因为攻击者可以完全控制密钥。组织机构可以使用身份和访问管理（IAM）策略来强制S3使用特定的加密方法，例如使用托管在AWS中的密钥材料的SSE-KMS。 启用备份、对象版本控制和对象锁定：这些是云存储的完整性和可用性控制措施。在三大云服务提供商中，这些功能均未默认启用。如果正确使用，它们可以增加组织在勒索软件攻击后恢复数据的可能性。 通过数据生命周期策略平衡安全与成本：这些安全功能需要费用。“云服务提供商不会免费托管你的数据版本或备份。同时，你的组织也不会为你提供数据安全的无限预算，”Brandon说。三大云服务提供商都允许客户定义生命周期策略。这些策略使组织能够自动删除不再需要的对象、版本和备份。然而，攻击者也可能利用生命周期策略，如在前述攻击活动中，他们利用该策略敦促目标快速支付赎金。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Visual Studio Code（VSCode） Marketplace上存在两个恶意扩展，它们会向用户部署处于开发阶段的勒索软件。 这两个名为“ahban.shiba”和“ahban.cychelloworld”的扩展，已被市场维护人员下架。 据ReversingLabs称，这两个扩展包含代码，旨在调用PowerShell命令，从命令与控制（C2）服务器获取PowerShell脚本负载并执行。 该负载被怀疑是处于早期开发阶段的勒索软件，仅加密受害者Windows桌面名为“testShiba”文件夹中的文件。 文件加密后，PowerShell负载显示消息：“您的文件已被加密。向ShibaWallet支付1个柴犬币以恢复它们。” 然而，没有向受害者提供其他说明或加密货币钱包地址，这进一步表明该恶意软件可能仍在开发中。 几个月前，软件供应链安全公司发现多个恶意扩展，其中一些伪装成Zoom，但具有从远程服务器下载未知第二阶段负载的功能。 上周，Socket详细描述了一个恶意Maven包，它伪装成scribejava-core OAuth库，每月15日秘密收集并泄露OAuth凭证，突出显示了旨在逃避检测的时间触发机制。 该库于2024年1月25日上传至Maven Central，目前仍可从该存储库下载。 “攻击者使用typoquatting——创建几乎相同的名称来欺骗开发人员添加恶意包，”安全研究员库什·潘迪亚说。“有趣的是，这个恶意包有六个依赖包。” “它们都是typoquatting合法包，但使用相同的groupId（io.github.leetcrunch），而不是真实的命名空间（com.github.scribejava）。” 采用这种方法的目的是提高恶意库的表面合法性，从而增加开发人员下载并在项目中使用它的可能性。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周一为其面向企业的 Edge for Business 网络浏览器宣布了一项新功能，称为内联数据保护。该功能旨在防止员工将敏感的公司数据分享到消费级生成式人工智能（GenAI）应用中，如 OpenAI ChatGPT、Google Gemini 和 DeepSeek。随着时间的推移，这一列表将扩展到包括其他生成式 AI、电子邮件、协作和社交媒体应用。 “借助 Edge for Business 的新内联保护功能，您可以在用户通过网络应用或生成式 AI 提示直接输入文本等与敏感数据交互的多种方式中防止数据泄露，”这家科技巨头表示。 微软的 Purview 浏览器数据丢失防护（DLP）控制功能的推出，正值该公司宣布 Microsoft Teams 协作安全功能全面可用，以应对针对企业通信应用用户的网络钓鱼攻击。 近几个月来，如 Storm-1674 和 Storm-1811 等威胁行为者利用 Microsoft Teams 作为渠道，诱使毫无戒心的用户下载恶意软件或授予他们远程访问权限，以便后续部署勒索软件。 最新推出的功能提供了新的控制措施，使组织的安全团队能够规定哪些租户、域和用户可以与员工通信，更好地防范实时恶意链接或附件，并改进向管理员报告可疑消息的方式。 “可疑文件和 URL 会在安全、隔离的环境中自动执行——即沙箱——以确定它们是否表现出任何恶意行为，”微软表示。“这一过程被称为实时引爆，确保在最终用户能够访问之前识别并中和有害内容。” 随着这些公告的发布，微软表示正在扩展 Security Copilot，增加 11 个新的安全解决方案，其中 5 个来自外部合作伙伴，用于分析数据泄露、确定关键警报、进行根本原因分析和改进合规性。 微软开发的安全 Copilot 代理程序将于下个月提供预览，将对网络钓鱼警报进行分类、数据丢失防护和内部风险通知、监控漏洞和修复情况，并根据组织的威胁暴露情况整理威胁情报。 “网络攻击的频率和复杂性已经超过了人类的能力，建立人工智能代理是现代安全的必要条件，”微软安全事业部公司副总裁瓦苏·贾卡尔（Vasu Jakkal）表示。 “这些攻击的数量使依赖手动流程和碎片化防御的安全团队不堪重负，使他们难以及时处理恶意消息并利用数据驱动的见解进行更广泛的安全风险管理。” “今天推出的 Security Copilot 中的网络钓鱼分类代理可以处理常规的网络钓鱼警报和攻击，使人类防御者能够专注于更复杂的威胁和主动安全措施。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lookout 研究人员发现，一款名为 KoSpy 的新型 Android 间谍软件与朝鲜威胁组织 APT37（又名 ScarCruft）有关，该组织已通过至少五个恶意应用渗透到 Google Play 和第三方应用商店 APKPure。 此次间谍软件活动主要针对韩语和英语用户，伪装成文件管理器、安全工具和软件更新程序。恶意应用包括 휴대폰 관리자（Phone Manager）、File Manager（com.file.exploer）、스마트 관리자（Smart Manager）、카카오 보안（Kakao Security）和 Software Update Utility。 这些恶意应用在设备上运行时，会在后台加载 KoSpy 间谍软件，收集短信、通话记录、实时 GPS 位置、文件、音频和视频等敏感信息，并通过加密的 Firebase Firestore 数据库传输数据。每个应用使用独立的 Firebase 项目和命令控制（C2）服务器，数据在传输前使用硬编码的 AES 密钥进行加密。 尽管这些恶意应用已被从 Google Play 和 APKPure 移除，但用户仍需手动卸载它们，并使用安全工具扫描设备以彻底清除感染痕迹。在严重情况下，建议进行工厂重置。谷歌表示，所有被识别的 KoSpy 应用已从 Google Play 移除，相关 Firebase 项目也已关闭。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名名为“rose87168”的威胁行为者声称从Oracle云服务器窃取了600万条记录。 据称，被盗数据包括Java密钥库（JKS）文件、加密的单点登录（SSO）密码、哈希的轻量级目录访问协议（LDAP）密码、密钥文件以及企业管理器Java平台安全（JPS）密钥。 此次漏洞据称影响了全球超过14万名租户，引发了对云安全的严重担忧。 黑客声称利用了Oracle云登录基础设施中的一个漏洞，特别是针对login.(region-name).oraclecloud.com这个端点。 据称，这个子域名托管了过时的Oracle融合中间件软件，该软件可能容易受到CVE-2021-35587的攻击，这是一个已知的影响Oracle访问管理器的漏洞。 被盗数据正在暗网论坛上兜售，包括漏洞论坛。“rose87168”正在向受影响的组织索要赎金，以防止其数据被出售或曝光。 此外，威胁行为者通过提供奖励，刺激其他人帮助解密加密的SSO和LDAP密码。 Oracle否认其云基础设施遭到入侵。在2025年3月21日发布的一份声明中，该公司声称没有客户数据被泄露，发布的凭据与其系统无关。 自2025年1月以来一直活跃的“rose87168”在策划此次攻击时展示了复杂的方法。黑客声称在将被盗数据在线兜售前约40天就已获得访问权限。 使用Oracle云的组织被建议立即采取行动： 重置凭据：更改所有SSO、LDAP及相关密码，并强制执行强密码策略和多因素认证（MFA）。 监控系统：部署安全监控工具，以检测未授权访问或异常活动。 调查漏洞：进行法医调查，以识别漏洞并减轻风险。 与Oracle联系：向Oracle报告事件，并寻求关于保护系统的指导。 加强安全：实施严格的访问控制和增强的日志记录机制。 此次漏洞事件凸显了针对云环境的网络攻击日益复杂。它强调了定期更新软件、主动监控威胁以及实施强大的安全措施以减轻风险的重要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare宣布，已关闭所有HTTP连接，现在仅接受api.cloudflare.com的安全HTTPS连接。 此举旨在防止未加密的API请求被发送，即使是意外发送的，也会在服务器关闭HTTP连接并重定向到安全通信通道之前，消除敏感信息在明文流量中暴露的风险。 “从今天起，任何未加密的连接到api.cloudflare.com都将被完全拒绝，”Cloudflare周四的公告中写道。 “开发者不应再期望HTTP连接出现403禁止响应，因为我们将通过完全关闭HTTP接口来阻止底层连接的建立。只允许建立安全的HTTPS连接，”这家互联网服务公司补充道。 Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务。它用于DNS记录管理、防火墙配置、DDoS防护、缓存、SSL设置、基础设施部署、访问分析数据以及管理零信任访问和安全策略。 此前，Cloudflare系统允许通过HTTP（未加密）和HTTPS（加密）访问API，要么通过重定向，要么拒绝HTTP。 然而，正如公司所解释的，即使被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据，如API密钥或令牌。 当连接通过公共或共享Wi-Fi网络时，这种场景更加危险，因为中间人攻击更容易得逞。 通过完全禁用API访问的HTTP端口，Cloudflare在传输层屏蔽了明文连接，在任何数据交换之前强制执行HTTPS。 影响和下一步行动 这一变化立即影响了使用Cloudflare API服务的HTTP协议的任何人。依赖该协议的脚本、机器人和工具将中断。 同样适用于遗留系统和自动客户端、物联网设备以及由于配置不当而不支持或不默认使用HTTPS的低级客户端。 对于在Cloudflare上有网站的客户，公司计划在年底前推出一个免费选项，以安全的方式禁用HTTP流量。 Cloudflare数据显示，所有通过其系统的互联网流量中，仍有约2.4%是通过不安全的HTTP协议进行的。当考虑到自动化流量时，HTTP的份额跃升至近17%。 客户可以在仪表板的“分析与日志”>“通过SSL提供的流量”下跟踪HTTP与HTTPS流量，然后再选择加入，以评估这对他们环境的影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局警告称，假冒的在线文档转换器被用于窃取个人信息，在最坏的情况下，还会在受害者的设备上部署勒索软件。 上周，联邦调查局丹佛野外办公室在接到关于这些工具的报告不断增加后发出了警告。 “联邦调查局丹佛野外办公室警告说，特工们越来越多地看到一种涉及免费在线文档转换工具的骗局，我们希望鼓励受害者报告这种骗局的实例，”警告中写道。 “在这种情况下，犯罪分子使用免费的在线文档转换工具将恶意软件加载到受害者的计算机上，导致勒索软件等事件。” 联邦调查局表示，网络犯罪分子正在创建推广免费文档转换、下载工具或文件合并工具的网站。 “为了实施这一计划，全球的网络犯罪分子正在使用任何类型的免费文档转换器或下载器工具。这可能是一个声称将一种文件类型转换为另一种文件类型的网站，例如将.doc文件转换为.pdf文件，”联邦调查局继续说道。 “它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 虽然这些在线工具按宣传工作，但联邦调查局表示，生成的文件可能还包含隐藏的恶意软件，可用于获取受感染设备的远程访问权限。 联邦调查局还表示，上传的文档也可能被刮取敏感信息，如姓名、社会安全号码、加密货币种子、密码短语、钱包地址、电子邮件地址、密码和银行信息。 联邦调查局丹佛野外办公室告诉BleepingComputer，人们正在向IC3.gov报告这些骗局，过去三周内，丹佛都会区的一个公共部门实体报告了这一骗局。 “骗子试图模仿合法的URL——所以只改一个字母，或者用‘INC’代替‘CO’，”联邦调查局丹佛公共事务办公室的维姬·米戈亚告诉BleepingComputer。 “过去，用户会在搜索引擎中输入‘免费在线文件转换器’，他们很容易受到攻击，因为结果所使用的算法现在经常包括付费结果，这些结果可能是骗局。” 虽然联邦调查局告诉BleepingComputer，他们不能分享任何进一步的技术细节，因为这会让骗子知道什么是有效的，但威胁行为者已被知利用这些工具部署恶意软件。 有人质疑这些免费的文档转换器是否会导致恶意软件和勒索软件攻击，答案是肯定的。 上周，网络安全研究员威尔·托马斯分享了一些声称是在线文档转换器的网站，如docu-flex[.]com和pdfixers[.]com。 虽然这些网站已不再可用，但它们分发了名为Pdfixers.exe [VirusTotal]和DocuFlex.exe [VirusTotal]的Windows可执行文件，这两个文件都被检测为恶意软件。 一位以追踪Gootloader感染而闻名的网络安全研究员在11月报告说，有一个谷歌广告活动推广假冒的文件转换器网站。这些网站假装转换你的文件，但实际上会让你下载Gootloader恶意软件。 “访问这个WordPress网站（惊喜！），我发现了一个表单，用于上传PDF以将其转换为.zip文件中的.docx文件，”研究员解释道。 “但在通过某些检查后——来自英语国家，并且在过去的24小时内在同一个C类子网上没有访问过——用户收到的是.zip文件中的.js文件，而不是真正的.docx文件。” 这个JavaScript文件是Gootloader，一种以下载额外恶意软件而闻名的恶意软件加载器，如银行木马、信息窃取程序、恶意软件下载器和后利用工具，如Cobalt Strike信标。 利用这些额外的有效载荷，威胁行为者侵入公司网络，并横向扩展到其他计算机。像这样的攻击过去已经导致了全面的勒索软件攻击，如REvil和BlackSuit的攻击。 虽然并非所有文件转换器都是恶意软件，但在使用前进行研究并在下载任何程序前查看评论是必要的。 如果一个网站相对不知名，最好完全避免使用它。 如果你使用在线文件转换器或下载器，一定要分析网站生成的任何文件，因为如果它们是可执行文件或JavaScript文件，它们几乎肯定是恶意的。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项研究显示，已root的设备遭移动恶意软件攻击的可能性超过普通设备的3.5倍，这凸显了它们给组织机构带来的风险。 root和越狱曾是用于定制移动设备的流行方法，如今主要被高级用户使用。 尽管制造商已引入更多定制选项和更严格的安全协议来减少这些行为，但已root和已越狱的设备在企业环境中仍构成严重安全威胁。 root（针对安卓）和越狱（针对iOS）使用户能获得设备操作系统的特权访问权限，可进行通常受限的修改。然而，这些行为也使设备面临重大漏洞风险。 研究发现，已root设备在企业总设备中仅占0.1%，但遭受恶意软件和其他安全威胁攻击的比例却不成比例地高。 恶意软件攻击在已root设备上发生的频率是普通设备的3.5倍。 检测到的被攻破应用数量增加12倍。 系统被攻破事件数量高出250倍。 文件系统被攻破事件数量激增3000倍。 安全增强型Linux禁用次数增加90多倍。 这些数据凸显了在可访问敏感企业数据的环境中使用已root或已越狱设备的严重风险。 报告还研究了流行root和越狱工具的演变。对于安卓，广泛使用的框架有Magisk、APatch和KernelSU；iOS用户则依赖Dopamine、Checkra1n和Roothide等工具。 这些工具不断更新，以规避检测并在新的操作系统版本中保持功能。 例如，Magisk采用“无系统”root方法，避免修改系统分区，使应用和操作系统更难检测到root访问。 同样，Checkra1n利用旧苹果设备的硬件漏洞，确保持续的越狱能力。 已root和已越狱的设备在全球范围内被检测到，美国和马来西亚等国家尤为突出。 这些工具的开发社区非常活跃，全球贡献者合作改进绕过安全措施的技术。 研究追踪了Magisk和KernelSU等主要框架的开发活动，发现新的分支出现与安卓和iOS的更新或安全措施加强相吻合。 这种动态开发态势凸显了安全厂商与root工具开发者之间持续的“猫鼠游戏”。 一台被攻破的设备可能成为更大规模攻击的入口，使整个组织面临风险。 安全专家强调，先进的检测方法至关重要，不仅要能识别已root设备，还要能识别用于获得root访问权限的具体工具。 这些技术利用机器学习和行为分析，以领先于不断演变的威胁。 企业必须对这些复杂风险保持警惕，实施强大的安全措施，以保护敏感数据和系统免遭攻破。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tenable Research 指出，DeepSeek R1 存在潜在安全风险，这一生成式人工智能模型可能被操控，用于生成恶意软件。 和许多生成式人工智能（GenAI）模型一样，DeepSeek R1 设计有防止滥用的安全机制。不过，Tenable Research 发现，这些防御机制可以被绕过，这引发了人们对人工智能在促进网络犯罪方面所起作用的担忧。研究人员警告说，虽然 DeepSeek 生成的恶意软件需要进一步完善才能完全有效，但它降低了那些几乎没有编码技能的人开发恶意软件的门槛。 Tenable 安全团队进行的实验旨在确定 DeepSeek R1 是否能够创建两种恶意软件：键盘记录器和勒索软件样本。最初，DeepSeek R1 拒绝生成这些软件，符合其编程限制。然而，Tenable 的研究人员使用了简单的越狱技术，使他们能够绕过这些限制。 Tenable 的员工研究工程师 Nick Miles 解释说：“最初，DeepSeek 拒绝了我们生成键盘记录器的请求。但通过将请求重新表述为‘教育练习’，并应用常见的越狱方法，我们迅速克服了其限制。” 在绕过人工智能的安全机制后，DeepSeek R1 生成了一个键盘记录器，可以加密日志并将其秘密存储在设备上，以及一个能够加密文件的勒索软件可执行文件。研究结果表明，即使是非专家也可能利用像 DeepSeek 这样的人工智能技术来开发恶意软件。 生成式人工智能提升网络犯罪活动能力的潜力是一个重大问题。虽然 DeepSeek 的代码需要手动完善才能完全发挥作用，但该人工智能模型可以提供基础代码并建议相关技术，加速有抱负的网络犯罪分子的学习过程。 Miles 强调了负责任地开发人工智能的重要性：“Tenable 的研究突显了负责任地开发人工智能和加强防护措施以防止滥用的紧迫需求。随着人工智能能力的进化，组织、政策制定者和安全专家必须共同努力，确保这些强大的工具不会成为网络犯罪的帮凶。” Tenable Research 的研究结果突显了保护生成式人工智能模型免遭滥用的持续挑战。随着人工智能技术的进步，绕过其安全机制的方法也在不断发展，这突显了持续改进安全措施的必要性。确保人工智能仍然是创新工具而非剥削工具，需要开发者、研究人员和政策制定者之间的持续合作。   消息来源：Security Brief; 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 观察到，Medusa 勒索软件即服务（RaaS）操作背后的威胁参与者使用了一种名为 ABYSSWORKER 的恶意驱动程序，作为自带脆弱驱动程序（BYOVD）攻击的一部分，旨在禁用防恶意软件工具。 Elastic Security Labs 在报告中称，他们观察到一次 Medusa 勒索软件攻击，该攻击通过使用名为 HeartCrypt 的打包即服务（PaaS）进行打包的加载程序来传输加密器。 “该加载程序与一个被我们命名为 ABYSSWORKER 的中国厂商的被吊销证书签名的驱动程序一起部署，它会在受害机器上安装该驱动程序，然后利用它来攻击并使不同的 EDR 厂商失效，”该公司在报告中表示。 名为 “smuol.sys” 的驱动程序模仿了一个合法的 CrowdStrike Falcon 驱动程序（“CSAgent.sys”）。从 2024 年 8 月 8 日到 2025 年 2 月 25 日，VirusTotal 平台上已经检测到了数十个 ABYSSWORKER 文件。所有已识别的样本都使用了可能被盗且已被吊销的中国公司证书进行签名。 值得注意的是，这个能够杀死 EDR 的驱动程序在 2025 年 1 月被 ConnectWise 以 “nbwdv.sys” 的名字记录在案。 一旦被初始化和启动，ABYSSWORKER 被设计成将进程 ID 添加到全局受保护进程列表中，并监听传入的设备 I/O 控制请求，然后根据 I/O 控制代码将这些请求分派给相应的处理程序。 “这些处理程序涵盖了从文件操作到进程和驱动程序终止的一系列操作，提供了一个全面的工具集，可用于终止或永久禁用 EDR 系统，”Elastic 表示。 部分 I/O 控制代码列表如下： – 0x222080 – 通过发送密码 “7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X” 启用驱动程序 – 0x2220c0 – 加载必要的内核 API – 0x222184 – 复制文件 – 0x222180 – 删除文件 – 0x222408 – 按模块名称杀死系统线程 – 0x222400 – 按模块名称移除通知回调 – 0x2220c0 – 加载 API – 0x222144 – 按进程 ID 终止进程 – 0x222140 – 按线程 ID 终止线程 – 0x222084 – 禁用恶意软件 – 0x222664 – 重启机器 其中，0x222400 尤为引人关注，它可以通过搜索并移除所有已注册的通知回调来使安全产品失明，这种方法也被其他 EDR 杀手工具（如 EDRSandBlast 和 RealBlindingEDR）采用。 这一发现紧随 Venak Security 的一份报告，该报告指出威胁参与者如何利用 Check Point 的 ZoneAlarm 防病毒软件相关的合法但脆弱的内核驱动程序，作为 BYOVD 攻击的一部分，以获得提升的权限并禁用 Windows 安全功能，如内存完整性。 攻击者随后滥用了这些提升的权限，通过远程桌面协议（RDP）连接到受感染的系统，从而获得持久的访问权限。这一漏洞随后已被 Check Point 修补。 “由于 vsdatant.sys 以高级内核权限运行，攻击者能够利用其漏洞，绕过安全防护和防病毒软件，从而完全控制受感染的机器，”该公司表示。 “一旦这些防御被绕过，攻击者就能完全访问底层系统，能够获取用户密码和其他存储的凭证等敏感信息。这些数据随后被窃取，为进一步的攻击打开了大门。” Check Point 软件公司告诉《黑客新闻》，该脆弱的驱动程序已过时，且不再被积极使用，因此客户需要运行软件的最新版本。 “Venak Security 提到的脆弱驱动程序（vsdatant.sys，版本 14.1.32.0）已过时，不再在我们当前的产品中使用，”该公司表示。“运行 ZoneAlarm 或 Harmony Endpoint 最新版本的用户不会受到影响，因为这些版本包含更新的驱动程序，解决了此问题。” “在彻底审查后，我们可以确认过去 8 年发布的版本均不受此问题影响。为了获得全面的保护，我们建议用户确保运行的是 Check Point ZoneAlarm 或 Check Point Harmony Endpoint 的最新版本，其中包含针对 BYOVD 风格攻击的增强防护措施。” 这一发展正值 RansomHub（又名 Greenbottle 和 Cyclops）勒索软件操作被归因于至少一个其附属机构使用的一种以前未被记录的多功能后门，代号为 Betruger。 该植入程序具有通常与勒索软件攻击前部署的恶意软件相关的功能，如截取屏幕、记录按键、网络扫描、权限提升、凭证转储以及将数据窃取到远程服务器。 “Betruger 的功能表明，它可能是为了在准备勒索软件攻击时减少在目标网络上投放的新工具数量而开发的，”Broadcom 旗下的赛门铁克表示，将其描述为与其他勒索软件集团为数据窃取开发的自定义工具有所不同。 “在勒索软件攻击中使用除加密有效载荷以外的自定义恶意软件相对不寻常。大多数攻击者依赖合法工具、利用现成资源以及公开可用的恶意软件，如 Mimikatz 和 Cobalt Strike。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文