HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马，该木马已被观察到针对医疗保健和制药行业发起攻击。 “攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵，旨在迫使收件人点击恶意链接，”Morphisec实验室研究员Nadav Lorber表示，“一旦访问，该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。” 最近一次观察到的活动是在2025年3月10日，其与去年思科Talos和Check Point记录的传播信息窃取恶意软件（如Lumma和Rhadamanthys）的网络钓鱼活动存在基础设施和传递机制的重叠。此次行动的一个显著特点是使用本地化的网络钓鱼诱饵，电子邮件以目标国家主要使用的语言撰写，包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语，这表明攻击者试图通过针对特定地区的攻击来扩大攻击范围，以最大限度地提高感染率。 电子邮件内容涉及法律调查或版权侵权等主题，旨在制造虚假的紧迫感，增加用户互动的可能性。 感染链的特征是使用DLL侧加载技术来启动进程。第一阶段是一个内存加载器，它解密并执行主要有效载荷，同时还采用多种技巧来逃避检测。ResolverRAT有效载荷不仅使用加密和压缩，而且一旦解码，它只存在于内存中。 “ResolverRAT的初始化序列揭示了一个复杂、多阶段的引导过程，旨在实现隐蔽性和弹性，”Lorber说，并补充说它通过Windows注册表和在文件系统中安装在不同位置作为备用机制，实现了多种冗余持久化方法。 一旦启动，该恶意软件在与命令与控制（C2）服务器建立联系之前使用定制的证书认证，从而绕过机器的根证书颁发机构。它还实施了一个IP轮换系统，如果主C2服务器不可用或被关闭，它将连接到备用C2服务器。 此外，ResolverRAT配备了通过证书固定、源代码混淆和不规则信标模式向C2服务器发送信号来逃避检测的能力。 “这种先进的C2基础设施展示了攻击者的高级能力，结合了安全通信、备用机制和旨在维持持久访问同时逃避安全监控系统检测的逃避技术，”Morphisec表示。 该恶意软件的最终目标是处理C2服务器发出的命令，并将响应数据传回，将超过1MB大小的数据分解为16KB的块，以最大限度地减少被检测到的可能性。 尽管此次行动尚未被归因于特定的组织或国家，但诱饵主题的相似性和与之前观察到的网络钓鱼攻击中使用的DLL侧加载的使用暗示了可能的联系。 “这种对齐表明攻击者基础设施或行动手册可能存在重叠，可能指向相关威胁组织之间的共同附属模式或协调活动，”该公司表示。 随着CYFIRMA详细描述了另一种名为海王星RAT的远程访问木马，该木马采用模块化、基于插件的方法来窃取信息、在主机上保持持久性、索要500美元的赎金，甚至覆盖主引导记录（MBR）以扰乱Windows系统的正常运行，这一发展也随之而来。 它通过GitHub、Telegram和YouTube免费传播。尽管如此，与该恶意软件相关的GitHub个人资料（称为MasonGroup，即FREEMASONRY）目前已无法访问。 “海王星RAT结合了先进的反分析技术和持久性方法，以在受害者的系统上长期保持存在，并配备了危险的功能，”该公司在上周发布的分析中指出。 它包括“加密剪贴板、能够窃取270多个不同应用程序凭证的密码窃取器、勒索软件功能以及实时桌面监控，使其成为一个极其严重的威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年12月，SEQRITE检测到一个与巴基斯坦有关联的威胁行为者针对印度多个领域发起攻击，涉及铁路、石油天然气以及外交部等多个部门。此次攻击标志着该黑客组织的攻击范围已从政府、国防、海洋以及大学等领域进一步扩大。 此次攻击中使用了多种远程访问木马，包括Xeno RAT、Spark RAT以及之前未被记录的CurlBack RAT恶意软件家族。安全研究员Sathwik Ram Prakki指出：“近期攻击活动中一个显著的变化是从使用HTML应用程序（HTA）文件转变为采用微软安装程序（MSI）包作为主要的初始攻击手段。” SideCopy被认为是活跃于2019年至今的Transparent Tribe（又名APT36）的一个分支。该组织之所以得此名，是因为其模仿了另一个名为SideWinder的威胁行为者的攻击链来传递自己的恶意载荷。 2024年6月，SEQRITE曾指出SideCopy使用了经过混淆处理的HTA文件，并利用了此前在SideWinder攻击中观察到的技术。这些文件还被发现包含指向由SideWinder使用的RTF文件的URL链接。 攻击最终导致了Action RAT和ReverseRAT两种已知恶意软件家族的部署，它们均被归因于SideCopy。此外，攻击还涉及其他多种载荷，包括用于窃取文件和图片的Cheex、从连接的驱动器中抽取数据的USB复制器，以及一种基于.NET的Geta RAT，该恶意软件能够执行来自远程服务器的30条命令。 该RAT能够窃取火狐浏览器以及基于Chromium的浏览器的所有账户、配置文件和Cookie数据，这一功能是从AsyncRAT借鉴而来的。 SEQRITE当时指出：“APT36主要针对Linux系统，而SideCopy则针对Windows系统，并为其武器库增添了新的载荷。” CurlBack RAT和Spark RAT 最新发现表明，该黑客组织仍在不断发展成熟，通过电子邮件钓鱼作为恶意软件的传播载体。这些电子邮件包含各种类型的诱饵文件，从铁路工作人员的假期名单到由印度石油公司（HPCL）发布的信息安全指南等。 其中一个攻击集群特别值得关注，因为它能够同时针对Windows和Linux系统，最终导致跨平台远程访问木马Spark RAT和一种新的基于Windows的恶意软件CurlBack RAT的部署。CurlBack RAT能够收集系统信息、从宿主下载文件、执行任意命令、提升权限以及列出用户账户。 另一个攻击集群被观察到使用诱饵文件作为启动多步骤感染过程的一种方式，该过程会投放一个定制版本的Xeno RAT，该软件采用了基本的字符串操作方法。 该公司指出：“该组织已从使用HTA文件转变为使用MSI包作为主要的初始攻击手段，并继续采用诸如DLL侧加载、反射加载以及通过PowerShell进行AES解密等高级技术。” “此外，他们还利用定制化的开源工具，如Xeno RAT和Spark RAT，并部署了新发现的CurlBack RAT。被入侵的域名和虚假网站被用于凭证钓鱼和载荷托管，凸显了该组织持续增强持久性和规避检测的努力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全与基础设施安全局（CISA）正在敲定计划，准备在白宫的密切关注下削减人员和开支。白宫一直对CISA的角色不满，认为其在压制保守派观点方面发挥了作用。 据一位直接了解计划进展的消息人士向Recorded Future News透露，该机构计划通过裁掉大约一半的全职员工和40%的合同工，总共裁掉大约1300人。 两位熟悉计划的消息人士称，该机构的国家风险管理中心（NRMC）——作为分析网络和关键基础设施风险的中心枢纽——预计将面临大幅削减。其中一位消息人士称，该办公室的部分系统性风险责任可能会被转移到该机构的网络安全司。 官员们表示，裁员的分配以及具体谁将失去工作仍在决定之中。特朗普政府过去曾在最终决定前改变过方向，消息人士强调，目前关于要削减什么的讨论可能会发生变化。 他们还表示，宣布的时间表尚未确定。 CBS新闻首先报道了CISA计划裁掉1300名员工的消息。CISA的一位发言人拒绝置评。 这一举措正值总统唐纳德·特朗普加大对CISA的审查力度之际，该机构因处理选举干预和虚假信息传播的方式而受到保守派的批评。周三，总统发布了一份备忘录，包括“对CISA过去6年所有活动的全面评估”，并撤销了该机构首任局长克里斯·克雷布斯所持有的安全许可。 参议院国土安全与政府事务委员会主席、肯塔基州共和党参议员兰德·保罗表示，他希望取消该机构，因为他认为该机构审查了保守派观点。 除了NRMC，CISA的利益相关方参与司（SED）——负责协调政府机构、私营公司和非营利组织执行保护关键基础设施特定方面的角色——也在考虑削减对象之列，两位了解当前想法的消息人士称。 据一位熟悉讨论的消息人士称，CISA的地方办事处也在讨论范围之内，其中包括将这些办事处的主任改为政治任命人员。 两位熟悉政府当前计划的消息人士称，CISA的威胁狩猎团队将被削减，但不会被取消。 CISA所在的国土安全部最近扩大了其自愿离职计划，包括提前退休，以及在某些情况下的买断工龄，为那些即将自愿离职的员工提供高达25000美元的一次性付款，4月7日的一份备忘录显示。备忘录称，员工需在周一之前决定是否接受这一提议。 另外，参议院俄勒冈州民主党参议员罗恩·怀登阻止了被选中负责CISA的肖恩·普兰基的提名。怀登昨天宣布，他将搁置这一提名，直到CISA发布一份详细说明该国电信系统安全漏洞的文件。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fourlis集团在欧洲多国经营宜家门店，日前表示，黑客攻击使其遭受了数千万美元的损失。 黑客在去年黑色星期五的两天前入侵了该公司的系统，影响了希腊、塞浦路斯、保加利亚和罗马尼亚的Fourlis集团资产。当时，尚不清楚该公司哪部分业务受到了影响，但最终发现是其宜家门店受到了冲击。 据Fourlis集团最近发布的财务业绩新闻稿称，此次攻击影响了该集团的家具业务板块，也就是其宜家门店。该公司声称，此次攻击造成了暂时性的中断。 黑客入侵持续了两周多，严重影响了宜家的在线商店和客户管理系统。据Fourlis集团的新闻稿显示，此次攻击导致公司销售额损失约1500万欧元（约合1700万美元）。该公司声称，截至今年3月，公司所有系统已全面恢复，此次攻击的影响已完全消除。 “2024年底，我们遭遇了一起网络安全事件，暂时扰乱了运营。但我们迅速且有效地应对，保护了数据，恢复了系统，并保障了集团的盈利能力。”Fourlis集团首席执行官在新闻稿中如是说。 据报道，该公司并未支付赎金，而是选择承受损失，并重新加大对IT领域的投资。然而，如果该公司真的没有支付赎金，那么攻击者很可能会选择公布被盗数据。 到目前为止，还没有勒索软件组织声称对此次攻击负责。 这并非宜家门店首次成为黑客的目标。2022年，勒索软件团伙Vice Society入侵了摩洛哥和科威特的宜家门店，并在该团伙的暗网博客上曝光了该公司。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非第四大电信运营商Cell C近日确认，2024年的一次网络攻击导致其客户数据泄露。Cell C成立于2001年，提供预付费和后付费移动套餐、数据套餐、互联网服务、光纤宽带、漫游及国际通话服务，以及SIM卡套餐和设备交易。 此次攻击由勒索软件组织RansomHouse发起，该组织在暗网泄露网站上公布了被盗数据，声称窃取了2TB的数据。泄露信息包括客户全名、联系方式、身份证号码、银行信息、驾照号码、医疗记录和护照详情。Cell C表示，攻击者未经授权访问了其部分IT系统。 Cell C在声明中指出，RansomHouse未经授权披露了此次网络安全事件中泄露的数据。公司迅速采取行动，与顶级网络安全和取证专家合作，通知相关机构，并积极支持受影响的利益相关者。Cell C还提醒客户保持警惕，防范欺诈、网络钓鱼和身份盗窃，并提供了包括向南非金融部门反欺诈计划（SAFPS）注册以获得额外保护的指导。 RansomHouse勒索软件组织背景 RansomHouse自2021年12月开始活跃，与其他勒索组织不同，该组织不加密数据，而是专注于数据盗窃以加快勒索活动。其受害者包括AMD和Keralty等公司。该组织通过泄露数据来羞辱未支付赎金的受害者。专家建议，仅靠备份数据不足以防范此类攻击，入侵预防系统（IPS）是更好的保护手段。 美国医疗机构成网络攻击重点目标 美国医疗机构因其管理的大量敏感数据成为网络攻击者的重点目标。2024年，美国医疗保健提供商遭受的勒索软件攻击激增，共发生98起攻击事件，涉及1.17亿条记录。这些攻击导致医院系统被锁定，迫使医院切换到手动操作流程。其中一些重大数据泄露事件包括Change Healthcare（1亿条记录）、Summit Pathology（180万条记录）、OnePoint Patient Care（79.6万条记录）和波士顿儿童健康医生（90.9万条记录）。 Loretto医院数据安全事件 2023年，Loretto医院也经历了一起数据安全事件。2023年1月19日，一名前员工盗用了少数患者的监控录像，并将其发布在Facebook上。事件被发现后，相关录像被删除。Loretto医院识别了受影响的个人，并于2023年3月15日通过邮件通知他们，提供保护信息的指导。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，日产Leaf电动汽车存在一系列漏洞，攻击者可利用这些漏洞远程入侵车辆，进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司PCAutomotive开展，并在2025年4月1日举办的Black Hat Asia 2025上进行了详细展示。 研究人员以2020年生产的第二代日产Leaf为研究对象，发现其信息娱乐系统的蓝牙功能存在漏洞，可被攻击者利用作为入侵车辆内部网络的入口。攻击者随后能够提升权限，并通过车载通信模块建立命令与控制（C&C）通道，从而通过互联网直接、隐蔽且持续地访问电动汽车。 研究人员展示了攻击者如何利用这些漏洞监视车主，例如跟踪车辆位置、截取信息娱乐系统屏幕截图以及录制车内人员对话。此外，攻击者还能远程操控车辆的多项物理功能，包括车门、雨刷、喇叭、后视镜、车窗、车灯，甚至方向盘，即使车辆处于行驶状态也不例外。 这些漏洞共被分配了八个CVE编号，从CVE-2025-32056到CVE-2025-32063。研究人员表示，漏洞披露流程始于2023年8月，日产在2024年1月确认了这些发现，但直到最近才完成CVE分配。 日产的一位发言人表示：“PCAutomotive就其研究与日产取得了联系。出于安全原因，我们拒绝透露具体的对策或细节。为了我们客户的出行安全和安心，我们将继续开发并推出对抗日益复杂网络攻击的技术。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 摩洛哥社保机构本周遭遇了一起严重的网络攻击，大量数据被窃取，其中包含数百万私营部门员工的个人信息，这些信息被泄露到了Telegram等即时通讯软件上。 摩洛哥社保基金为众多行业从业者提供养老金和保险福利，从流水线工人到企业高管都涵盖其中。该机构在本周三发布的声明中表示，初步调查显示，此次数据泄露是由于黑客绕过了其安全系统。 尽管摩洛哥社保机构没有明确指出此次数据泄露的责任方，但声称许多被泄露的文件“具有误导性、不准确或不完整”。然而，黑客在Telegram上发布这些文件时声称，此次攻击是对摩洛哥在社交媒体平台上“骚扰”阿尔及利亚的回应，并警告说如果阿尔及利亚网站受到攻击，他们将继续发动网络攻击。 摩洛哥媒体将此次攻击归咎于阿尔及利亚黑客，认为这是两国之间更大规模网络战的一个环节。近年来，摩洛哥与阿尔及利亚的关系降至历史低点。两国已召回大使、关闭大使馆及各自的领空。阿尔及利亚支持西撒哈拉独立运动“波利萨里奥阵线”，这也是两国紧张关系的根源之一。 此次泄露的信息涉及摩洛哥一些极为敏感的领域。例如，被泄露的工资信息如果属实，将反映出尽管摩洛哥在经济发展上取得了进步，但巨大的贫富差距仍然存在。此外，被泄露的文件中还包括未经证实的国有企业高管、与王室控股公司和慈善基金相关的人物以及拉巴特的以色列联络办公室的财务数据。 摩洛哥国家个人数据保护委员会在周四表示，已准备好调查受此次数据泄露影响的人员的投诉。摩洛哥政府发言人穆斯塔法·贝塔斯将此次攻击与国际社会对摩洛哥在冲突中支持的增加联系起来，称这种支持“让我们的敌人感到不安，甚至试图通过这些敌对行动来伤害我们的国家”。 美国国务卿马可·鲁比奥本周早些时候表示支持摩洛哥对西撒哈拉地区的主权计划，这一声明在周四受到了阿尔及利亚的批评。在唐纳德·特朗普总统的第一个任期内，华盛顿在2020年改变了其长期立场，支持摩洛哥对该地区的主权。乔·拜登政府既没有撤销也没有公开支持这一政策。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet公司揭露了一个令人不安的情况：网络攻击者找到了一种方法，即使在最初用于入侵FortiGate设备的漏洞被修复后，他们仍能保持对该设备的只读访问权限。 据推测，攻击者利用了包括但不限于CVE-2022-42475、CVE-2023-27997和CVE-2024-21762在内的已知且现已修复的安全漏洞来实施攻击。 Fortinet在周四发布的安全公告中表示：“攻击者利用已知漏洞，为易受攻击的FortiGate设备设置了只读访问权限。这是通过在用于提供SSL-VPN语言文件的文件夹中创建一个符号链接，连接用户文件系统和根文件系统来实现的。” Fortinet指出，这些修改发生在用户文件系统中，并成功躲避了检测，导致即使在修复了最初入侵的安全漏洞后，该符号链接（也称为symlink）仍然存在。 这使得攻击者能够继续访问设备文件系统中的文件，包括配置文件等，但那些从未启用SSL-VPN功能的客户不受此问题影响。 目前尚不清楚是谁在幕后操纵此次攻击活动，但Fortinet的调查显示，该攻击并非针对特定地区或行业。Fortinet还表示，已直接通知受影响的客户。 为了防止此类问题再次发生，Fortinet推出了一系列FortiOS软件更新： – FortiOS 7.4、7.2、7.0和6.4版本：将符号链接标记为恶意文件，以便由防病毒引擎自动删除。 – FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本：删除了符号链接，并修改了SSL-VPN用户界面，以防止此类恶意符号链接的传播。 Fortinet建议客户将其系统更新至FortiOS 7.6.2、7.4.7、7.2.11、7.0.17或6.4.16版本，审查设备配置，并将所有配置视为可能已被篡改，采取适当的恢复措施。 美国网络安全与基础设施安全局（CISA）也发布了相关安全公告，敦促用户重置暴露的凭据，并考虑在应用补丁之前禁用SSL-VPN功能。法国计算机应急响应小组（CERT-FR）在类似的公告中表示，他们已知晓此类入侵行为可追溯至2023年初。 watchTowr公司首席执行官Benjamin Harris在接受采访时表示，此次事件令人担忧，原因主要有两个。 首先，网络攻击的实施速度远远超过了组织进行漏洞修复的速度，而且攻击者显然深知这一点。其次，更令人恐惧的是，攻击者在快速入侵后多次部署了能够抵御组织所依赖的漏洞修复、升级和出厂重置等缓解措施的能力和后门，以维持对被入侵组织的持久访问。 Harris还表示，在watchTowr的客户群体中发现了后门部署的情况，并且许多被认定为“关键基础设施”的组织也受到了影响。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sensata Technologies（简称 Sensata）在上周末遭受了一次勒索软件攻击，部分公司网络被加密，运营受到扰乱。 在向美国证券交易委员会（SEC）提交的 8-K 表格中，Sensata 表示此次攻击发生在 4 月 6 日星期日，并涉及数据泄露。 “此次事件暂时影响了 Sensata 的运营，包括发货、收货、制造生产以及各种其他支持功能，”通知中写道。 Sensata 是一家工业技术公司，开发、制造和销售各种传感器及传感器解决方案，以及电气保护组件和系统。 该公司产品主要用于汽车、航空航天和工业应用领域。2023 年，Sensata 报告的年收入为 40 亿美元。 Sensata 表示，公司已采取立即行动，加快受网络攻击影响的关键功能的恢复进程。然而，公司无法提供完成这一工作的具体时间表。 在外部网络安全专家的协助下进行的初步调查确认，黑客已从公司网络中窃取了数据。 数据泄露与勒索软件的常见策略 数据泄露是勒索软件攻击者常用的策略，用于勒索受害者、增加支付赎金的压力，并制造法律和监管上的复杂性。 目前，Sensata 正在确定此次攻击中被盗的文件，并将根据调查结果通知受影响的个人和监管机构。 公司预计此次事件对其截至今年 6 月 30 日的当前季度财务结果不会产生重大影响。 然而，Sensata 承认，随着对安全事件的全面范围和影响的进一步了解，这一预期可能会发生变化。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客在披露后数小时内开始利用 OttoKit（原名 SureTriggers）插件中的一个高危漏洞，该漏洞允许绕过认证。 强烈建议用户立即将 OttoKit/SureTriggers 升级到最新版本 1.0.79，该版本于本月初发布。 OttoKit WordPress 插件允许用户无需编写代码即可连接插件和外部工具（如 WooCommerce、Mailchimp 和 Google Sheets），并自动化发送邮件、添加用户或更新客户关系管理（CRM）系统等任务。统计数据显示，该产品在 100,000 个网站上处于活跃状态。 昨天，Wordfence 披露了 OttoKit 中的一个认证绕过漏洞，编号为 CVE-2025-3102。该漏洞影响所有版本的 SureTriggers/OttoKit，最高版本为 1.0.78。 漏洞源于 authenticate_user() 函数中缺少对空值的检查，该函数负责处理 REST API 认证。如果插件未配置 API 密钥，则存储的 secret_key 将保持为空，从而可能被利用。 攻击者可以通过发送一个空的 st_authorization 头来绕过检查，从而获得对受保护 API 端点的未授权访问权限。 本质上，CVE-2025-3102 允许攻击者在无需认证的情况下创建新的管理员账户，这可能导致网站被完全接管的高风险。 Wordfence 在 3 月中旬收到了来自安全研究员 “mikemyers” 的漏洞报告，该研究员因此发现获得了 1,024 美元的赏金。 插件供应商于 4 月 3 日收到完整的漏洞利用细节，并于同一天通过版本 1.0.79 发布了修复补丁。 然而，黑客迅速抓住了这一机会，利用管理员更新插件的延迟来利用该安全问题。 WordPress 安全平台 Patchstack 的研究人员警告称，在漏洞披露后仅数小时，就记录到了首次实际利用尝试。 “攻击者迅速利用了这一漏洞，首次记录的尝试发生在我们将其作为 vPatch 添加到数据库后仅四小时，”Patchstack 报告称。 “这种快速的漏洞利用突显了在此类漏洞公开披露后立即应用补丁或缓解措施的紧迫性，”研究人员表示。 威胁行为者尝试使用随机的用户名/密码和电子邮件地址组合创建新的管理员账户，这是任务自动化的迹象。 如果您正在使用 OttoKit/SureTriggers，请尽快升级到版本 1.0.79，并检查日志以查看是否有意外的管理员账户或其他用户角色、插件/主题安装、数据库访问事件以及安全设置的修改。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 执法机构宣布，他们追踪到了 SmokeLoader 恶意软件的客户，并拘留了至少五名个人。 “在一系列协调行动中，由名为‘Superstar’的运营商管理的 Smokeloader 按安装付费僵尸网络的客户面临了诸如逮捕、搜查住所、逮捕令或‘敲门谈话’等后果，”欧洲刑警组织在一份声明中表示。 据称，Superstar 运营了一项按安装付费的服务，使客户能够通过该加载器作为渠道，向受害者的机器部署下一阶段的恶意载荷。 根据欧洲执法机构的说法，该僵尸网络提供的访问权限被用于各种目的，包括键盘记录、网络摄像头访问、勒索软件部署和加密货币挖掘。 此次行动是名为“终局行动”（Operation Endgame）的持续协调行动的一部分，该行动去年导致了与多个恶意软件载荷器（如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相关的在线基础设施被拆解。 加拿大、捷克共和国、丹麦、法国、德国、荷兰和美国参与了此次后续行动，旨在针对网络犯罪生态系统的“需求侧”。 网络安全 据欧洲刑警组织称，当局通过之前查获的一个数据库追踪到注册的客户，将他们的在线身份与现实中的个人联系起来，并传唤他们接受询问。据信，有部分嫌疑人选择配合调查，并允许检查他们的个人设备以收集数字证据。 “一些嫌疑人以更高的价格转售从 SmokeLoader 购买的服务，从而为调查增加了额外的趣味性，”欧洲刑警组织表示。“一些嫌疑人曾以为他们已不在执法机构的监控范围内，但最终意识到他们仍然是目标。” 恶意软件载荷器的多种形式 这一发展与 Broadcom 旗下的赛门铁克披露的一项网络钓鱼活动的细节相吻合，该活动利用 Windows 屏保（SCR）文件格式在受害者的机器上分发基于 Delphi 的恶意软件载荷器 ModiLoader（又名 DBatLoader 和 NatsoLoader）。 这也与一项隐蔽的网络活动相吻合，该活动诱使用户运行恶意的 Windows 安装程序（MSI）文件以部署另一种名为 Legion Loader 的载荷器恶意软件。 “此次活动使用了一种称为‘粘贴劫持’（pastejacking）或‘剪贴板劫持’的方法，因为用户被指示将内容粘贴到运行窗口中，”Palo Alto Networks Unit 42 表示，并补充称，它利用了多种伪装策略，通过 CAPTCHA 页面规避检测，并将恶意软件下载页面伪装成博客网站。 网络钓鱼活动也成为了 Koi Loader 的分发渠道，后者随后用于下载和执行一种名为 Koi Stealer 的信息窃取工具，作为多阶段感染序列的一部分。 “像 Koi Loader 和 Koi Stealer 这样的恶意软件利用了反虚拟机（Anti-VM）能力，突显了现代威胁规避分析师、研究人员和沙箱的检测和分析的能力，”eSentire 在上个月发布的一份报告中表示。 不仅如此，最近几个月再次见证了 GootLoader（又名 SLOWPOUR）的回归，它通过谷歌的赞助搜索结果传播，这一技术最早于 2024 年 11 月初被发现。 攻击针对在谷歌上搜索“保密协议模板”的用户，提供虚假广告，点击后会重定向到一个网站（“lawliner[.]com”），要求用户输入电子邮件地址以接收文档。 “在用户输入电子邮件后不久，他们会收到来自 lawyer@skhm[.]org 的电子邮件，其中包含一个链接，指向他们请求的 Word 文档（DOCX），”一位名为 GootLoader 的安全研究人员表示，他多年来一直密切监控该恶意软件载荷器。 “如果用户通过了所有关卡，他们将下载一个压缩的 JavaScript 文件。当用户解压并执行 JavaScript 文件时，相同的 GootLoader 行为就会发生。” 还发现了一种名为 FakeUpdates（又名 SocGholish）的 JavaScript 下载器，它通常通过社会工程伎俩传播，诱使用户安装伪装成 Google Chrome 等网络浏览器合法更新的恶意软件。 “攻击者利用受损资源分发恶意软件，将恶意 JavaScript 注入易受攻击的网站以识别主机、执行资格检查，并显示虚假的更新页面，”谷歌表示。“恶意软件通常通过驱动下载分发。恶意 JavaScript 作为下载器，传递额外的恶意软件。” 这种虚假浏览器更新的攻击路径也被观察到分发另外两种名为 FAKESMUGGLES 的 JavaScript 恶意软件家族，它因使用 HTML 走私技术传递下一阶段载荷（如 NetSupport Manager）而得名，以及 FAKETREFF，它与远程服务器通信以检索额外的载荷（如 DarkGate）并发送基本的主机信息。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 AkiraBot 的人工智能（AI）驱动平台的细节，该平台用于向网站聊天框、评论区和联系表单发送垃圾信息，以推广可疑的搜索引擎优化（SEO）服务，如 Akira 和 ServicewrapGO。 “自 2024 年 9 月以来，AkiraBot 已针对超过 40 万个网站，并成功向至少 8 万个网站发送了垃圾信息，”SentinelOne 研究人员 Alex Delamotte 和 Jim Walter 在一份与《黑客新闻》分享的报告中表示。“该机器人利用 OpenAI 生成基于网站用途的定制化推广信息。” 该活动的目标包括中小型企业的联系表单和聊天小部件，其框架使用 OpenAI 的大型语言模型（LLMs）生成垃圾内容。这个基于 Python 的“广泛”工具的独特之处在于，它能够生成内容以绕过垃圾信息过滤器。 据信，这个批量消息工具自 2024 年 9 月起开始使用，最初名为“Shopbot”，似乎是指使用 Shopify 的网站。 随着时间的推移，AkiraBot 扩大了其目标范围，包括使用 GoDaddy、Wix 和 Squarespace 开发的网站，以及那些使用 Reamaze 构建的通用联系表单和实时聊天小部件的网站。 该操作的核心——生成垃圾内容——是通过利用 OpenAI API 实现的。该工具还提供了一个图形用户界面（GUI），用于选择要攻击的网站列表，并定制可以同时攻击的网站数量。 “通过处理包含机器人应发送消息类型的一般大纲的模板，AkiraBot 为目标网站创建定制的垃圾信息，”研究人员表示。“该模板通过发送到 OpenAI 聊天 API 的提示进行处理，以根据网站内容生成定制化的推广信息。” OpenAI 生成的垃圾信息 对源代码的分析显示，OpenAI 客户端使用了 gpt-4o-mini 模型，并被赋予了“生成营销信息的助手”角色。 该服务的另一个显著特点是，它能够绕过 CAPTCHA 障碍，大规模垃圾攻击网站，并通过依赖通常提供给广告商的代理服务来规避基于网络的检测。目标 CAPTCHA 服务包括 hCAPTCHA、reCAPTCHA 和 Cloudflare Turnstile。 为了实现这一点，该机器人的网络流量被设计为模仿合法最终用户，并利用 SmartProxy 提供的不同代理主机来掩盖流量来源。 AkiraBot 还被配置为将其活动记录在一个名为“submissions.csv”的文件中，该文件记录了成功和失败的垃圾信息尝试。对这些文件的检查显示，到目前为止，已有超过 42 万个独特域名被攻击。此外，与 CAPTCHA 绕过和代理轮换相关的成功指标被收集并通过 API 发送到 Telegram 频道。 针对这些发现，OpenAI 已禁用了威胁行为者使用的 API 密钥和其他相关资产。 “作者或作者们为此机器人绕过常用 CAPTCHA 技术的能力投入了大量努力，这表明运营商有动机违反服务提供商的保护措施，”研究人员表示。“AkiraBot 使用大型语言模型生成垃圾信息内容，展示了人工智能对防御网站垃圾攻击的新兴挑战。” 这一发展与一个名为 Xanthorox AI 的网络犯罪工具的出现相吻合，该工具被宣传为一个一站式聊天机器人，用于处理代码生成、恶意软件开发、漏洞利用和数据分析。该平台还支持通过实时语音通话和异步语音消息进行语音交互。 “Xanthorox AI 由五个不同的模型提供支持，每个模型都针对不同的操作任务进行了优化，”SlashNext 表示。“这些模型完全运行在卖家控制的本地服务器上，而不是部署在公共云基础设施上或通过暴露的 API。这种以本地为主的模式大幅降低了被发现、关闭或追踪的可能性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的威胁组织 Gamaredon（又名 Shuckworm）被指对乌克兰境内的一个外国军事任务发动了网络攻击，目的是投放一种名为 GammaSteel 的已知恶意软件的更新版本。 据赛门铁克威胁猎手团队称，该组织针对一个西方国家的军事任务，首次检测到恶意活动的迹象是在 2025 年 2 月 26 日。 赛门铁克在其报告中表示：“攻击者使用的初始感染向量似乎是一个被感染的可移动驱动器。” 攻击从在 Windows 注册表的 UserAssist 键下创建一个值开始，随后通过 “explorer.exe” 启动 “mshta.exe”，以启动一个多阶段感染链并运行两个文件。 第一个文件名为 “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”，用于与命令与控制（C2）服务器建立通信。该服务器通过访问与合法服务（如 Teletype、Telegram 和 Telegraph 等）相关的特定 URL 来获取。 第二个文件名为 “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”，设计用于通过创建每个文件夹的快捷方式文件来感染任何可移动驱动器和网络驱动器，以执行恶意的 “mshta.exe” 命令并隐藏它。 随后在 2025 年 3 月 1 日，脚本被执行以联系 C2 服务器，窃取系统元数据，并接收一个 Base64 编码的负载，该负载随后用于运行一个设计用于下载混淆后的新版本脚本的 PowerShell 命令。 该脚本连接到一个硬编码的 C2 服务器以获取另外两个 PowerShell 脚本。第一个脚本是一个侦察工具，能够截取屏幕截图、运行 systeminfo 命令、获取主机上运行的安全软件的详细信息、枚举桌面中的文件和文件夹，并列出正在运行的进程。 第二个 PowerShell 脚本是 GammaSteel 的改进版本，这是一种已知的信息窃取工具，能够根据桌面和文档文件夹中的扩展名白名单从受害者的设备中窃取文件。 “这次攻击标志着 Shuckworm 在复杂性上有所提升，尽管它看起来比其他俄罗斯组织的技术能力稍逊一筹，但它通过不懈地专注于乌克兰的目标来弥补这一点，”赛门铁克表示。 “尽管该组织似乎没有像一些其他俄罗斯组织那样的技术能力，但 Shuckworm 现在似乎正在通过不断对其使用的代码进行小幅度修改、添加混淆以及利用合法的网络服务来尝试降低被发现的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者继续向npm注册表上传恶意包，以篡改已安装的合法库的本地版本并执行恶意代码，这被视为一种更隐蔽的软件供应链攻击手段。 最新发现的名为pdf-to-office的包伪装成一个将PDF文件转换为Microsoft Word文档的工具。但实际上，它包含可以向与Atomic Wallet和Exodus相关的加密货币钱包软件注入恶意代码的功能。 “实际上，受害者试图将加密货币发送到另一个加密货币钱包时，原本的钱包目标地址会被替换为恶意行为者拥有的地址，”ReversingLabs研究员Lucija Valentić在与The Hacker News分享的一份报告中表示。 该npm包于2025年3月24日首次发布，此后已更新三次，但之前的版本可能已被作者自己删除。最新版本1.1.2于4月8日上传，目前仍可供下载。该包迄今已被下载334次。 这一披露仅在软件供应链安全公司发现两个名为ethers-provider2和ethers-providerz的npm包几周后。这些包被设计为感染本地安装的包，并通过SSH连接到威胁行为者的服务器建立反向shell。 这种攻击方式对威胁行为者来说是一个有吸引力的选择，因为它允许恶意软件在恶意包被移除后仍然存在于开发者的系统中。 对pdf-to-office的分析显示，嵌入在包中的恶意代码会检查Windows计算机的“AppData/Local/Programs”文件夹中是否存在“atomic/resources/app.asar”存档，以确定是否安装了Atomic Wallet。如果是，则引入剪贴板功能。 “如果该存档存在，恶意代码会用一个新的特洛伊木马版本覆盖其中一个文件，该文件与合法文件具有相同的功能，但将发送资金的外部加密货币地址替换为威胁行为者拥有的Base64编码的Web3钱包地址，”Valentić表示。 同样地，该有效载荷还设计为特洛伊木马化与Exodus钱包相关的文件“src/app/ui/index.js”。 但有趣的是，这些攻击针对的是Atomic Wallet（2.91.5和2.90.6）和Exodus（25.13.3和25.9.2）的两个特定版本，以确保覆盖正确的JavaScript文件。 “如果pdf-to-office包碰巧从计算机中移除，Web3钱包的软件仍会保持受损状态，并继续将加密货币资金转移到攻击者的钱包，”Valentić表示。“要完全从Web3钱包的软件中移除恶意特洛伊木马文件，唯一的方法是从计算机中完全移除它们并重新安装。” 这一披露正值ExtensionTotal详细描述了10个恶意Visual Studio Code扩展，这些扩展会偷偷下载一个禁用Windows安全的PowerShell脚本，通过计划任务建立持久性，并安装一个XMRig加密货币矿工。 这些扩展在被移除之前总共被安装了超过一百万次。以下是扩展的名称： Prettier — VSCode的代码（由prettier提供） VS Code的Discord Rich Presence（由Mark H提供） Rojo — Roblox Studio同步（由evaera提供） Solidity编译器（由VSCode Developer提供） Claude AI（由Mark H提供） Golang编译器（由Mark H提供） VSCode的ChatGPT代理（由Mark H提供） HTML混淆器（由Mark H提供） VSCode的Python混淆器（由Mark H提供） VSCode的Rust编译器（由Mark H提供） “攻击者创建了一个复杂的多阶段攻击，甚至安装了他们模仿的合法扩展，以避免在后台挖掘加密货币时引起怀疑，”ExtensionTotal表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细描述了NVIDIA容器工具包中一个之前已修复的安全漏洞的不完整修复情况。如果该漏洞被成功利用，可能会使敏感数据面临风险。 原始漏洞CVE-2024-0132（CVSS评分：9.0）是一个时间检查到时间使用（TOCTOU）漏洞，可能导致容器逃逸攻击，并允许未经授权访问底层主机。 虽然NVIDIA在2024年9月解决了这一漏洞，但Trend Micro的新分析显示，修复并不完整，并且还存在一个相关的性能问题，影响Linux上的Docker，可能导致拒绝服务（DoS）状态。 网络安全 “这些问题可能使攻击者能够突破容器隔离，访问敏感的主机资源，并造成严重的运营中断，”Trend Micro研究人员Abdelrahman Esmail在今天发布的一份新报告中表示。 TOCTOU漏洞的持续存在意味着一个精心设计的容器可能被滥用以访问主机文件系统，并以root权限执行任意命令。该漏洞影响版本1.17.4，前提是明确启用了功能allow-cuda-compat-libs-from-container。 “具体漏洞存在于mount_files函数中，”Trend Micro表示。“该问题源于在对对象执行操作时缺乏适当的锁定。攻击者可以利用此漏洞提升权限，并在主机上下文中执行任意代码。” 然而，要使这种权限提升生效，攻击者必须已经获得了在容器内执行代码的能力。 该缺陷已被分配CVE标识符CVE-2025-23359（CVSS评分：9.0），此前云安全公司Wiz在2025年2月将其标记为CVE-2024-0132的绕过漏洞。该问题已在版本1.17.4中得到修复。 网络安全公司表示，在分析CVE-2024-0132时，还发现了一个性能问题，可能在主机上导致拒绝服务（DoS）漏洞。该问题影响Linux系统上的Docker实例。 “当使用(bind-propagation=shared)配置多个挂载创建新容器时，会建立多个父/子路径。然而，在容器终止后，Linux挂载表中相关的条目并未被移除，”Esmail表示。 “这导致挂载表快速增长且无法控制，耗尽可用文件描述符（fd）。最终，Docker因fd耗尽而无法创建新容器。这种过大的挂载表还会导致严重的性能问题，阻止用户连接到主机（例如通过SSH）。” 为缓解此问题，建议监控Linux挂载表的异常增长，限制Docker API访问仅限授权人员，实施严格的访问控制策略，并定期审计容器到主机文件系统绑定、卷挂载和套接字连接。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络钓鱼攻击者正在采用一种名为“精准验证钓鱼”的新规避技术，该技术仅在用户输入攻击者特定目标的电子邮件地址时才会显示虚假登录表单。 与传统的广泛目标网络钓鱼不同，这种新方法使用实时电子邮件验证，确保只有经过预先验证的高价值目标才能看到钓鱼内容。 尽管这种新策略并不特别复杂或高深，但它将所有非有效目标排除在网络钓鱼过程之外，从而阻止他们了解攻击操作。 电子邮件安全公司Cofense记录了这种新策略的采用率上升，并指出这给他们的工作带来了显著的实际问题。 在研究网络钓鱼网站时，研究人员通常会输入虚假的电子邮件地址或他们控制的地址，以映射凭证盗窃活动。 然而，随着这种新技巧的出现，研究人员输入的无效或测试电子邮件地址现在会显示错误或将其重定向到无害的网站。这影响了研究中使用的自动化安全爬虫和沙箱，降低了检测率并延长了网络钓鱼活动的寿命。 “网络安全团队传统上依赖于通过提交虚假凭证来观察攻击者行为和基础设施的受控网络钓鱼分析，”Cofense解释道。 “通过精准验证钓鱼，这些策略变得无效，因为任何未识别的电子邮件在钓鱼内容被交付之前就会被拒绝。” 根据Cofense的说法，攻击者使用两种主要技术来实现实时电子邮件验证。 第一种方法是滥用集成在网络钓鱼工具包中的第三方电子邮件验证服务，通过API调用实时检查受害者地址的有效性。 第二种方法是在网络钓鱼页面中部署自定义JavaScript，该脚本会将受害者在钓鱼页面上输入的电子邮件地址发送到攻击者的服务器，以确认其是否在预先收集的列表中。 如果没有匹配项，受害者将被重定向到无害的网站，比如维基百科。 Cofense解释说，通过简单地输入向他们报告网络钓鱼尝试的人员的电子邮件地址来绕过这一限制通常是不可能的，因为他们的客户施加了使用限制。 即使他们被允许使用真实目标的地址，分析人员也指出，一些活动更进一步，在受害者在钓鱼页面上输入有效电子邮件后，会向其收件箱发送一个验证代码或链接。 为了继续网络钓鱼过程，受害者需要输入他们收件箱中收到的代码，而这超出了安全分析师的访问范围。 这对电子邮件安全工具，尤其是依赖传统检测方法的工具，产生了严重的影响，因为它们更有可能无法向目标发出网络钓鱼尝试的警报。 随着网络钓鱼活动采用动态输入验证，防御者必须采用新的检测策略，强调行为指纹识别和实时威胁情报关联，以保持领先于攻击者。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文终于在发给客户的电子邮件通知中确认，一名黑客窃取并泄露了从其描述为“两台过时服务器”中盗取的凭据。 然而，该公司补充说，其甲骨文云服务器并未被攻破，此次事件未影响客户数据和云服务。 “甲骨文希望明确声明，甲骨文云——也称为甲骨文云基础设施或 OCI——并未发生安全漏洞，”甲骨文在与 BleepingComputer 共享的客户通知中表示。 “没有 OCI 客户环境被攻破。没有 OCI 客户数据被查看或窃取。没有任何 OCI 服务被中断或以任何方式受到损害，”甲骨文在从 replies@oracle-mail.com 发送的电子邮件中补充道，敦促客户如有其他问题联系甲骨文支持或其账户经理。 “一名黑客确实访问并发布了从未属于 OCI 的两台过时服务器中的用户名。由于这两台服务器上的密码要么被加密，要么被哈希处理，因此黑客并未暴露可用的密码。因此，黑客无法访问任何客户环境或客户数据。” 自今年 3 月事件曝光以来，当时一名威胁者（rose87168）在 BreachForums 上出售 600 万条数据记录，甲骨文在与媒体分享的声明中一直否认有关甲骨文云漏洞的报道。尽管这确实与甲骨文告诉客户的内容相符——即漏洞影响的是旧平台甲骨文云经典版——但网络安全专家凯文·博蒙特表示，这只是文字游戏。 “甲骨文将旧的甲骨文云服务重新命名为甲骨文经典版。甲骨文经典版发生了安全事件，”博蒙特说。“甲骨文通过这种范围界定否认‘甲骨文云’被入侵——但仍是甲骨文管理的甲骨文云服务。这就是文字游戏的一部分。” BleepingComputer 已联系甲骨文确认这些通知的真实性，并非由威胁者或其他第三方发送，但尚未收到回复。甲骨文也尚未澄清被攻破的服务器是否属于甲骨文云经典版或其他平台。 据称从甲骨文云窃取的数据正在出售 资料来源：BleepingComputer 此前一周，该公司在与部分客户的私下通话中承认，攻击者在攻破 2017 年最后一次使用的“遗留环境”后窃取了旧的客户凭据。 然而，尽管甲骨文告诉客户这是非敏感的旧遗留数据，但漏洞背后的威胁者与 BleepingComputer 分享了 2024 年末的数据，并在 BreachForums 上发布了 2025 年的新记录。 BleepingComputer 还与多名甲骨文客户单独确认，从威胁者那里收到的泄露数据样本（包括关联的 LDAP 显示名称、电子邮件地址、名字和其他识别信息）是有效的，此前甲骨文曾告诉 BleepingComputer，“甲骨文云未发生任何漏洞。发布的凭据不属于甲骨文云。没有甲骨文云客户遭受漏洞或丢失任何数据。” 网络安全公司 CybelAngel 上周首次透露，甲骨文告诉客户，攻击者早在 2025 年 1 月就在甲骨文的部分 Gen 1（也称为甲骨文云经典版）服务器上部署了 Web Shell 和其他恶意软件。据称，直到 2 月下旬漏洞被发现之前，威胁者从甲骨文身份管理器（IDM）数据库中窃取了数据，包括用户电子邮件、哈希密码和用户名。 上个月，BleepingComputer 首次报道，甲骨文私下通知客户，甲骨文健康（一家之前称为 Cerner 的软件即服务（SaaS）公司）在 1 月发生了另一起漏洞，影响了美国多家医疗机构和医院的患者数据。 消息人士告诉 BleepingComputer，一名名为“Andrew”的威胁者——尚未声称与任何勒索或勒索软件操作有关——现在正在勒索被攻破的医院，要求以加密货币支付数百万美元，以不出售或泄露被盗数据。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： F5 Labs 的研究人员发现了一场针对性攻击活动，该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造（SSRF）漏洞来提取 EC2 元数据，这些元数据可能包括来自 IMDSv1 端点的身份和访问管理（IAM）凭据。 检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务，可能导致敏感数据泄露、操作和中断服务。 F5 Labs 的研究人员报告称，恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明，这是由单一威胁者实施的。 SSRF 问题是网络漏洞，使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求，而这些资源通常是攻击者无法访问的。 在 F5 观察到的活动中，攻击者找到了具有 SSRF 漏洞的 EC2 主机网站，使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。 EC2 元数据是亚马逊 EC2（弹性计算云）中的一项服务，提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置，以及潜在的安全凭据。 该元数据服务只能通过连接到内部 IP 地址上的特殊 URL（如 http://169.254.169.254/latest/meta-data/）的虚拟机访问。 首个恶意 SSRF 探测记录在 3 月 13 日，但活动在 3 月 15 日至 25 日之间升级到全面规模，使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。 在此期间，攻击者轮换了六个查询参数名称（dest、file、redirect、target、URI、URL）和四个子路径（例如，/meta-data/、/user-data），显示出从易受攻击的站点中提取敏感数据的系统性方法。 这些攻击之所以成功，是因为易受攻击的实例运行在 IMDSv1 上，这是 AWS 的旧元数据服务，允许任何对实例有访问权限的人检索元数据，包括任何存储的 IAM 凭据。 该系统已被 IMDSv2 取代，后者需要会话令牌（身份验证）来保护网站免受 SSRF 攻击。 这些攻击在 2025 年 3 月的威胁趋势报告中被强调，F5 Labs 文档记录了过去一个月中被利用最多的漏洞。 按数量计算，被利用最多的前四个 CVE 是： CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit（69,433 次尝试） CVE-2020-8958 – 广州 ONU OS 命令注入 RCE（4,773 次尝试） CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE（4,698 次尝试） CVE-2019-9082 – ThinkPHP PHP 注入 RCE（3,534 次尝试） 报告强调，旧漏洞仍然是高度针对性的，40% 的被利用 CVE 年龄超过四年。 为了缓解威胁，建议应用可用的安全更新、加强路由器和物联网设备配置，并用受支持的型号替换已停产的网络设备。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，一个现已修复的安全漏洞影响了 Windows 公共日志文件系统（CLFS），该漏洞被作为零日漏洞利用，用于针对少数目标的勒索软件攻击。 “目标包括美国信息技术（IT）和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业，”这家科技巨头表示。 相关漏洞是 CVE-2025-29824，这是一个 CLFS 中的权限提升漏洞，攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。 微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况，并将其命名为 Storm-2460，同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。 目前尚不清楚攻击中使用的具体初始访问向量。然而，观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件，以部署载荷。 该恶意软件是一个包含加密载荷的恶意 MSBuild 文件，解包后会启动 PipeMagic，这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。 值得一提的是，CVE-2025-29824 是继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞）之后，通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现，并于上个月由微软修复。 此前，PipeMagic 还与利用另一个 CLFS 零日漏洞（CVE-2023-28252）的 Nokoyawa 勒索软件攻击有关。 “在我们归因于同一攻击者的其他攻击中，我们还观察到，在利用 CLFS 提权漏洞之前，受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染，该后门通过 MSBuild 脚本启动，”卡巴斯基在 2023 年 4 月指出。 需要强调的是，Windows 11 24H2 版本不受此特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户，而这类权限通常只有管理员级别的用户才能获得。 “漏洞利用针对的是 CLFS 内核驱动中的一个漏洞，”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF，从而为进程启用所有权限，这允许将进程注入到 SYSTEM 进程中。” 成功利用漏洞后，攻击者会通过转储 LSASS 内存来提取用户凭据，并使用随机扩展名加密系统中的文件。 微软表示，未能获得勒索软件样本进行分析，但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。 “勒索软件攻击者重视被攻陷后的提权漏洞利用，因为这些漏洞可以让他们将初始访问权限（包括从商品恶意软件分发者手中接过的访问权限）提升为特权访问权限，”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文