HackerNews

针对 Windows 内核中一个关键的0day特权提升漏洞的概念验证 (PoC) 代码已公开发布。该漏洞编号为CVE-2024-38106 ，是Microsoft 在 2024 年 8 月补丁日更新中修补的几个0day漏洞之一。 CVE-2024-38106 是 Windows 内核中的一个竞争条件漏洞，可能允许本地攻击者获得系统权限。该问题的 CVSS 评分为 7.0，微软的可利用性评估将其标记为“更有可能被利用”。 一位匿名研究人员向微软报告了该漏洞，其细节一直保密，直到周末在 GitHub 上公开发布了 PoC 漏洞利用程序。 PoC 演示了如何触发竞争条件来破坏内核内存并以提升的权限实现任意代码执行。 PixiePoint Security 研究人员对微软 CVE-2024-38106 补丁进行了分析，揭示了根本原因。此漏洞是由于对函数VslpEnterIumSecureMode()中的调用进行了不正确的锁定而造成的。 微软的修复通过使用VslpLockPagesForTransfer()和实现了正确的锁定VslpUnlockPagesForTransfer()来防止竞争条件。 由于 PoC 漏洞已公开可用，因此组织必须尽快应用安全更新。 唯一完整的缓解措施是安装包含CVE-2024-38106修复程序的安全更新。微软在 2024 年 8 月补丁更新中解决了该漏洞，并敦促所有客户立即应用补丁。 Windows 11 和 Windows Server 2022 以及一些仍受支持的旧版 Windows 均受到影响。目前尚无关于野外主动利用漏洞的报告，但公开的 PoC 大大增加了这种变化的可能性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/u0aj6_e80WIqdRpZr1gCcw 封面来源于网络，如有侵权请联系删除。

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。

美国联邦调查局警告称，朝鲜黑客正积极瞄准加密货币行业，并利用复杂的社会工程学来实现其目标。 FBI 的咨询报告显示，这些攻击的目的是部署恶意软件并窃取去中心化金融 (DeFi)、加密货币和类似实体的虚拟资产。 美国联邦调查局表示：“朝鲜的社会工程计划复杂而精巧，受害者往往掌握着复杂的技术。鉴于这种恶意活动的规模和持续性，即使是那些精通网络安全实践的人也可能受到攻击。” 据该机构称，朝鲜黑客组织正在针对与 DeFi 或加密货币相关业务有关的潜在受害者进行广泛的研究，然后以个性化的虚假场景为目标，通常涉及新的就业或企业投资。 攻击者还会与目标受害者进行长时间的对话，以建立信任，然后在“看似自然且不会引起警报的情况下”传播恶意软件。 此外，攻击者经常冒充各种个人，包括受害者可能认识的联系人，使用逼真的图像，例如从社交媒体帐户窃取的照片，以及时间敏感事件的虚假图像。 与加密行业相关的个人应该注意在设备上运行代码或应用程序的请求、进行涉及非标准代码包的测试或练习的请求、提供就业机会或投资机会、将对话转移到其他消息平台的请求以及包含链接或附件的未经请求的联系人。 建议组织开发验证联系人身份的方法，不要共享有关加密货币钱包的信息，避免参加就业前测试或在公司拥有的设备上运行代码，实施多因素身份验证，使用封闭平台进行业务沟通，并限制对敏感网络文档和代码存储库的访问。 谷歌旗下的安全部门 Mandiant 在一份新报告中指出， 社会工程学只是朝鲜黑客在针对加密货币组织的攻击中所采用的技术之一。 攻击者还被发现依赖供应链攻击来部署恶意软件，然后转向其他资源。 Mandiant 公司解释道，他们还可能以智能合约（通过重入攻击或闪电贷攻击）和去中心化自治组织（通过治理攻击）为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7j3_IDJTzia4vVbdHx2UtQ 封面来源于网络，如有侵权请联系删除。

蒙大拿州计划生育协会证实其网络系统近期遭到入侵，近100GB敏感数据被泄露，RansomHub 勒索软件组织近期宣布对此次攻击负责。 勒索软件组织RansomHub 声称其从蒙大拿州计划生育协会窃取了近 100 GB 的敏感数据，包括多个被盗文件的样本，这些样本包含 2024 年以来的财务预算记录、工资信息、米苏拉县拘留所正在进行的法庭案件的文件以及责任保险证明。 RansomHub 暗泄密网站 蒙大拿州计划生育协会首席执行官兼总裁玛莎·富勒在声明中证实，该组织上个月曾遭到入侵。 “2024 年 8 月 28 日，蒙大拿州计划生育协会 (PPMT) 发现了一起影响 IT 系统的网络安全事件，”富勒说。“在事件发生期间，IT 人员立即实施了该组织的事件响应协议，其中包括将部分网络离线。” 富勒强调称“调查仍在进行中”，并且计划生育协会已知悉 RansomHub 的声明。 与往常一样，网络犯罪集团给了计划生育协会七天时间来协商赎金要求，否则将计划在暗网上泄露这 93 GB 的被盗文件，并将其出售给最高出价者。 RansomHub 暗泄密网站 “我们非常重视此事，已向联邦执法部门报告了此事，并将全力支持他们的调查，”富勒总结道。  RansomHub 是一个新兴的勒索软件组织，自二月份以来该勒索软件的受害者数量一直在增加。 作为一个非营利性妇女生殖健康组织，蒙大拿州计划生育协会在西北部的蒙大拿州已运营逾 50 年，设有五个健康中心，并提供虚拟远程医疗服务。根据其网站，组织每年为“数千名患者”提供服务，包括 LGBTQIA2S+ 社区，总部位于比林斯大都会区。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。 Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。 受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下： NWA 系列： NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本。 WAC 系列： WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本。 WAX 系列： WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。 WBE 系列： WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本。 Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。 更多 Zyxel 修复 Zyxel 还针对 APT 和 USG FLEX 防火墙中的多个高严重性缺陷发布了安全更新。摘要如下： CVE-2024-6343：CGI 程序中的缓冲区溢出可能导致通过身份验证的管理员发送伪造的 HTTP 请求，从而导致 DoS。 CVE-2024-7203：验证后命令注入允许通过伪造的 CLI 命令执行操作系统命令。 CVE-2024-42057：在 IPSec VPN 中的指令注入，允許未認證的攻擊者在「使用者為本-PSK」模式下，利用偽造的長使用者名稱執行作業系統指令。 CVE-2024-42058：取消引用空指针可通过未认证攻击者发送的伪造数据包导致 DoS。 CVE-2024-42059：身份验证后命令注入允许身份验证的管理员通过 FTP 上传伪造的压缩语言文件执行操作系统命令。 CVE-2024-42060： 認證後指令注入漏洞，令已認證的管理員可透過上載精心製作的內部使用者協議檔案，執行作業系統指令。 CVE-2024-42061：dynamic_script.cgi “中的反射 XSS 允许攻击者诱骗用户访问伪造的 URL，从而可能泄漏基于浏览器的信息。 上述漏洞中 CVE-2024-42057 值得特别关注 ，它是 IPSec VPN 功能中的命令注入漏洞，无需验证即可被远程利用。 利用漏洞所需的特定配置要求会降低其严重性，包括在基于用户的 PSK 身份验证模式下配置设备，以及用户的用户用户名长度超过 28 个字符。 有关其他受影响的防火墙更多详细信息，可具体查看 Zyxel 公告。   转自Freebuf，原文链接：https://www.freebuf.com/news/410154.html 封面来源于网络，如有侵权请联系删除。

据Cyber News消息，荷兰数据保护局 （Dutch DPA）  已向美国人工智能公司Clearview AI 开出 3050 万欧元（3370 万美元）巨额罚款，并对其服务下达了使用禁令。 Clearview AI 是一家总部位于美国纽约的面部识别公司，为执法部门、政府机构和其他组织提供面部识别服务，能够根据视觉输入查找特定人员的身份。 当局认为，该公司建立了一个非法数据库，其中包含300亿张面部照片，包括许多荷兰人的照片。因此，Clearview AI会自动从互联网上抓取这些照片，然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不不知道这一点，也未对这一行为进行授权。 荷兰数据保护局主席亚历德-沃尔夫森（Aleid Wolfsen） 称，Clearview AI 为欧盟以外的实体提供服务，而人脸识别等侵入性技术的使用应受到明确监管。例如警方必须在严格的条件下、在荷兰 DPA 和其他监管机构的监督下自行管理软件和数据库。 当局也向 Clearview AI的客户发出警告，由于该公司违反了法律，使用其服务也会成为非法行为，若继续使用将面临被罚款的风险。 根据荷兰数据保护局解释的法律规则，Clearview AI 根本就不应该建立包含照片、唯一生物识别代码和其他相关信息的数据库，与指纹一样，这些都是生物识别数据，收集和使用这些数据是被禁止的行为。虽然这项禁令有一些法定的例外情况，但 Clearview 不符合依赖这些例外情况。 沃尔夫森表示，Clearview AI 拒绝配合披露其 “非法 “数据库中包括哪些类型的个人数据，这样一家公司不能继续侵犯欧洲人的权利，也不能逍遥法外。 我们现在要调查是否可以追究公司管理层的个人责任，并对他们的违规行为处以罚款。 如果董事会知道有人违反了 GDPR，他们就有权阻止这种行为，否则，如果有意识地接受了这些违法行为，那么董事会就将承担相应责任。 多年来，Clearview AI已在欧洲面临了多次违法纠纷，法国、奥地利、意大利、希腊和英国的监管机构指控该公司使用“自动数据爬虫”。2022 年 10 月，法国对 Clearview 处以 2000 万欧元的罚款。2023年11月，Clearview AI 赢得了针对英国隐私监管机构的诉讼，并推翻了对该公司的另一项巨额罚款。   转自Freebuf，原文链接：https://www.freebuf.com/news/410169.html 封面来源于网络，如有侵权请联系删除。

Cisco Talos 研究人员在适用于 macOS 的 Microsoft 应用程序中发现了八个漏洞。这些漏洞可能允许攻击者将恶意库注入 Microsoft 的应用程序并获取访问权限。这可以访问麦克风、摄像头和屏幕录制等敏感资源，从而可能导致数据泄露或权限提升。 Cisco Talos 发现 Microsoft macOS 应用程序中存在漏洞，攻击者可以利用这些漏洞在用户不知情的情况下发送电子邮件、录制音频、拍照或录制视频。 尽管存在这些风险，但 Microsoft 认为这些问题风险较低，并拒绝修复它们，并表示某些应用程序需要允许未签名的库才能支持插件。Talos 提供了这些漏洞的列表以及相应的 Talos ID 和 CVE。 macOS 上的透明度、同意和控制 (TCC) 框架要求应用程序在访问联系人、照片或位置等敏感资源之前获得用户的明确同意。 TCC 与授权配合使用，授权是应用程序支持特定功能所需的能力。虽然开发人员可以使用多种授权，但最强大的授权仅供 Apple 自己的应用程序和系统二进制文件使用。 当应用程序请求访问资源时，会触发权限弹出窗口以征求用户批准。 研究人员专注于通过注入恶意库来滥用其他应用程序的权限或授权，从而利用 macOS 应用程序。一种名为 Dylib Hijacking 的技术允许将代码插入正在运行的应用程序中。 尽管 macOS 功能（如强化运行时）旨在防止此类攻击，但如果成功，注入的库可以利用授予原始应用程序的所有权限，有效地代表其行事。 用户授予的权限记录在TCC数据库中。专家指出，TCC 模型并非万无一失。如果具有提升权限的受信任应用程序受到攻击，则可能会被操纵以滥用其权限，从而在用户不知情的情况下执行未经授权的操作（例如屏幕录制）。 研究人员注意到，微软的几款 macOS 应用程序使用了强化运行时，以增强安全性。然而，它们也依赖于有风险的com.apple.security.cs.disable-library-validation授权。 强化运行时可防止库注入，使用沙盒可保护数据，但攻击者可以使用恶意软件，利用其授权和权限来破坏特定应用程序。 当应用程序从可操纵的位置加载库时，就会出现这种风险，允许攻击者注入库并运行任意代码，利用应用程序的权限。并非所有沙盒应用程序都同样脆弱；特定的授权或漏洞会增加易受攻击性。 分析重点关注两组 Microsoft 应用，第一组“Microsoft Office 应用”包括 Microsoft Word、Outlook、Excel、OneNote 和 PowerPoint，这些应用具有共同的漏洞。 第二组“Microsoft Teams 应用”包括主 Microsoft Teams 应用及其辅助应用：WebView.app 和 com.microsoft.teams2.modulehost.app。由于辅助应用和特定功能，该组存在明显的漏洞。专家们证明了这些应用存在漏洞，并描述了这些问题的潜在影响。 macOS 上存在漏洞的 Microsoft 应用程序允许攻击者利用应用程序的所有授权并重复使用权限，而无需任何用户提示。 Microsoft 使用该com.apple.security.cs.disable-library-validation授权来支持“插件”，而根据 Apple 的说法，该授权应该只允许加载第三方签名的插件。 Microsoft 的 macOS 应用程序主要使用基于 Web 的“Office 插件”，这引发了人们对此授权必要性的担忧。 研究人员警告说，通过禁用库验证，Microsoft 可能会绕过 macOS 强化的运行时安全性，使用户面临不必要的风险。 “我们以微软的应用程序为例。这些应用程序都启用了强化运行时，并获得了授权 com.apple.security.cs.disable-library-validation 。微软认为这些问题风险较低。”报告总结道。 在报告的八个应用程序中，以下四个应用程序已由微软更新： Microsoft     Teams（工作或学校）主应用程序 Microsoft     Teams（工作或学校）WebView.app Microsoft     Teams（工作或学校）com.microsoft.teams2.modulehost.app，现已重命名为 Microsoft Teams     ModuleHost.app 微软 OneNote 其余四个应用程序仍然容易受到攻击： 微软 Excel 微软 Outlook 微软 PowerPoint 微软 Word 存在漏洞的应用程序为攻击者敞开了大门，使他们能够利用应用程序的所有权限，并且在没有任何用户提示的情况下重复使用已授予应用程序的所有权限，实际上充当攻击者的权限代理。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yBxtKhnYt3FuOru6Kxoo_w 封面来源于网络，如有侵权请联系删除

据报道，俄罗斯最大的社交媒体和网络服务 VK（VKontakte）近日发生了大规模数据泄露，影响了3.9亿用户。 一位名为 Hikki-Chan 的威胁行为者声称，俄罗斯最大的社交媒体和网络服务VK 在 2024 年 9 月遭遇了大规模数据泄露。泄露的数据仅需少量BreachForums 论坛积分就可以直接获取。 根据Similarweb的数据，VK每月吸引约11亿访客，全球访问量排名第23位。该平台的主要用户为俄罗斯人，占总流量的89%。 该威胁行为者声称：“此次泄密事件暴露了数亿用户的个人信息，包括身份证号码、姓名、性别、个人资料图片、国家和城市。” 泄露的 7z 档案包含 3.904 亿条记录，解压缩后占用 27.6GB 的存储空间。 VK于2006年上线，2021 年 12 月，VK 被俄罗斯国有企业接管。在俄罗斯军事入侵乌克兰和国际制裁之后，VK 应用程序从 Apple App Store 中移除，但仍可在 Google Play 商店中使用。 Hackread.com 是第一个发现该泄露信息，并报道了数据是通过第三方获取的，而非直接从VK入侵。 VK 用户数据并非首次在网上传播。 第一次发生在 2016 年 6 月，当时黑客窃取了 1.71 亿个 VK 账户，并试图以约 580 美元的价格出售包括纯文本密码在内的数据。 第二次是在2022 年，VK 遭遇了超过 126GB 的大规模数据泄露，其中包含 3200 万条记录，包括照片链接、全名以及其他抓取和 API 查询中获得的数据。安全研究员 Bob Diachenko表示，甚至已关闭或受保护的 VK 账户也遭到泄露。 根据安全公司 Cyfirma 的报告，威胁行为者 Hikki-Chan 于 2024 年初首次出现，此前曾攻击过多家以色列公司和政府机构，包括以色列警察局、国防部以及福利和社会事务部。 消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

德国空中交通管制机构确认遭受网络攻击 负责国家空中交通管制的德国国有公司德国航空安全公司 (Deutsche Flugsicherung) 已确认遭受网络攻击。 此次攻击的性质尚不清楚。一名新闻官周一告诉 Recorded Future News，此次事件影响了公司的管理 IT 基础设施。 该发言人表示：“是否可以访问、以及可以访问哪些数据仍在调查中”，并补充说该国安全部门已获悉此事。 他们强调，德国的飞行安全“有充分的保障”，空中交通管制作业未受到影响。 德国联邦信息安全局（BSI）正在处理该事件。 据巴伐利亚广播公司报道，该事件怀疑是由俄罗斯军事情报机构 GRU 旗下的威胁行为者 APT28 引发的。 BSI 的一位发言人表示，该机构正在为受影响的人提供支持，并正在与其他部门密切对话。他们拒绝就事件的更多细节发表评论。 英国伦敦交通局披露正在发生的“网络安全事件” 伦敦交通局 (TfL) 是该市的交通管理部门，目前正在调查一起正在进行的网络攻击，但尚未影响其服务。 该机构表示，目前没有证据表明客户信息在该事件中遭到泄露。 伦敦交通局的客户信息团队早些时候通过电子邮件和今天在网上发布的声明中警告客户：“我们目前正在处理一起正在发生的网络安全事件。目前，没有证据表明任何客户数据遭到泄露，并且这对交通局的服务也没有影响。” 伦敦交通局还向相关政府机构（包括国家犯罪局和国家网络安全中心）报告了此次攻击，并与他们密切合作，以应对并控制事件的影响。 该机构补充道：“我们的系统和客户数据的安全对我们来说非常重要，我们已立即采取行动，防止任何人进一步访问我们的系统。” 伦敦交通局首席技术官沙希·维尔马 (Shashi Verma) 在给 BBC 的一份声明中表示：“我们已经对内部系统采取了一系列措施，以应对正在发生的网络安全事件。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7x05ZPJhFlbWEHmI2RxHcA 封面来源于网络，如有侵权请联系删除

一个名为Head Mare 的黑客组织涉嫌发动网络攻击，攻击对象主要是俄罗斯和白俄罗斯目标。 卡巴斯基在周一对该组织的策略和工具的分析中表示：“Head Mare 使用更为先进的方法来获取初始访问权限。例如，攻击者利用了 WinRAR 中相对较新的CVE-2023-38831漏洞，该漏洞允许攻击者通过特制的存档在系统上执行任意代码。这种方法使该组织能够更有效地传递和伪装恶意负载。” Head Mare 自 2023 年起活跃，是一年前开始的俄乌冲突背景下攻击俄罗斯组织的黑客组织之一。 它还在 X 上存在，并在那里泄露受害者的敏感信息和内部文件。该组织的攻击目标包括政府、交通、能源、制造业和环境部门。 与其他可能以对两国公司造成“最大程度损害”为目标的黑客活动分子不同，Head Mare 还使用 LockBit （Windows版本）和 Babuk （Linux版本）加密受害者的设备，并索要解密赎金。 其工具包还包括PhantomDL 和 PhantomCore，前者是一个基于 Go 的后门，能够提供额外的有效载荷并将感兴趣的文件上传到命令和控制 (C2) 服务器。 PhantomCore（又名 PhantomRAT）是 PhantomDL 的前身，是一种具有类似功能的远程访问木马，允许从 C2 服务器下载文件、将文件从受感染主机上传到 C2 服务器，以及在 cmd.exe 命令行解释器中执行命令。 “攻击者创建名为 MicrosoftUpdateCore 和 MicrosoftUpdateCoree 的计划任务和注册表值，将其活动伪装成与微软软件相关的任务。”卡巴斯基表示，“我们还发现该组织使用的某些 LockBit 样本具有以下名称：OneDrive.exe [和] VLC.exe。这些样本位于 C:\ProgramData 目录中，伪装成合法的 OneDrive 和 VLC 应用程序。” 我们发现，这两种文件都是通过网络钓鱼活动以具有双扩展名的商业文档的形式进行分发的（例如，решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe 或 тз на разработку.pdf.exe）。 其攻击武器库的另一个关键组成部分是Sliver，这是一个开源 C2 框架，以及各种公开可用的工具的集合，例如 rsockstun、ngrok 和 Mimikatz，用于促进发现、横向移动和凭证收集。 入侵最终会根据目标环境部署 LockBit 或 Babuk，然后留下一封勒索信，要求用户付款以换取解密器来解锁文件。 这家俄罗斯网络安全供应商表示：“Head Mare 组织所使用的策略、方法、程序和工具与俄乌冲突背景下针对俄罗斯和白俄罗斯目标进行攻击的其他组织类似。该组织的特点是使用 PhantomDL 和 PhantomCore 等定制恶意软件，以及利用相对较新的漏洞 CVE-2023-38831，在网络钓鱼活动中渗透到受害者的基础设施中。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_8z5DsDXY8XnKHJfxf7fCw 封面来源于网络，如有侵权请联系删除

商业服务巨头 CBIZ 近日披露了一起数据泄露事件，攻击者通过利用公司某网页中的安全漏洞，于2024年6月2日至6月21日期间窃取了客户数据。2024年6月24日，网络安全专家参与协助调查，公司确认了这一入侵事件并识别了数据泄露情况。 CBIZ发布通知称： “2024 年 6 月 24 日，公司获悉未经授权的攻击者可能从某些数据库中提取了信息。 ” 调查显示，攻击者通过利用与公司网页相关的漏洞，在2024年6月2日至6月21日期间获取了部分数据库中的信息。 在此次事件中攻击者窃取了近 36,000 人的个人信息，其中包括： 姓名 联系方式 社会安全号码 出生或死亡日期 退休人员健康信息 福利计划信息 CBIZ是一家管理咨询公司，提供财务、福利及保险服务，是美国最大的专业服务公司之一。公司在全国拥有120个办事处，员工总数达6,700人。2023年，公司收入达到15.9亿美元。 受此次事件影响的CBIZ客户已于2024年8月28日开始收到通知。 尽管目前没有证据表明被盗数据已被滥用，CBIZ仍在披露指南中建议客户注册为期两年的信用监控和身份盗窃保护服务，以降低潜在风险。此外，建议受影响的客户考虑冻结信用记录及在其信用报告中添加欺诈警报。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，安全研究人员在航空运输安全系统中发现一个严重漏洞，可允许未经授权人员（例如恐怖分子）绕过机场安检，获得进入飞机驾驶舱的权限。 安全研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）在FlyCASS系统中发现了这一漏洞。FlyCASS是一个由第三方提供的web服务，一些航空公司使用它来管理和操作已知机组成员（KCM）计划和驾驶舱访问安全系统（CASS）。 KCM是美国运输安全管理局（TSA）的一项计划，允许飞行员和空乘人员通过机场安全处的一条特殊通道绕过安检。而CASS则为授权飞行员在搭乘飞机时使用驾驶舱的跳座提供进入飞机驾驶舱的身份验证。 KCM系统由ARINC（柯林斯宇航的子公司）运营，通过在线平台验证航空公司员工的身份。 KCM的流程相当简单，机组人员只需出示（扫描）KCM条形码或输入员工编号，通过TSA的终端笔记本电脑与航空公司的数据库进行交叉核对，验证通过的人员无需安检即可快速进入无菌区。 CASS系统类似KCM，用于验证飞行员是否有资格在通勤或旅行时进入驾驶舱内使用“跳座”（驾驶舱内供其无执飞任务机组人员搭乘航班的临时座位）。 CASS的主要功能是通过访问航空公司员工数据库来验证搭乘航班的飞行员的身份和就业状态，从而确保只有授权机组人员才能够进入驾驶舱并使用跳座。这一系统在“9·11”事件后变得尤为重要，因为它可以有效减少未经授权的人员进入驾驶舱的风险。 研究人员发现，FlyCASS的登录系统存在SQL注入漏洞，攻击者可以利用该漏洞插入恶意SQL语句进行数据库查询，并以航空公司——如航空运输国际（Air Transport International）的管理员身份登录，篡改系统中的员工数据。 令研究人员惊讶的是，在FlyCASS系统中添加航空公司飞行员和乘务员名单无需进一步检查认证，可以将任何人添加为KCM和CASS的授权用户。 研究人员成功添加一个名为“Test TestOnly”的虚构员工账户，并赋予其KCM和CASS的访问权限，实现了“绕过安检并进入商用飞机驾驶舱”（上图）。 “任何具备基本SQL注入知识的人都可以登录该网站，并将任意人员添加到KCM和CASS系统中，从而跳过安检并进入商用飞机的驾驶舱。”卡罗尔说道。 意识到问题的严重性后，研究人员立即展开了漏洞披露流程，并于2024年4月23日联系了美国国土安全部（DHS）。研究人员决定不直接联系FlyCASS网站，因为它似乎由一个人运营，研究人员担心直接披露会引起对方的恐慌。 国土安全部在接到通知后，也认识到这一漏洞的严重性，并确认FlyCASS已于2024年5月7日从KCM/CASS系统中断开。不久之后，FlyCASS上的漏洞被修复。 然而，在进一步协调安全披露的过程中，研究人员遇到了阻力，国土安全部停止回复他们的电子邮件。 此外，TSA的新闻办公室也向研究人员发送了一份声明，否认该漏洞对系统的影响，声称系统的审查过程会阻止未经授权的访问。然而，在研究人员通知TSA之后，TSA悄悄删除了其网站上与其声明相矛盾的信息。 “在我们通知TSA后，他们删除了网站上提到的手动输入员工ID的内容，但并未回应我们的更正。我们已确认TSA的界面仍然允许手动输入员工ID。”卡罗尔说道。 卡罗尔还表示，这一漏洞可能导致更严重的安全漏洞，例如攻击者可以篡改现有的KCM成员档案（例如用户照片和姓名），冒名顶替现有成员从而绕过对新成员的审查过程。 在研究人员发布报告后，另一位名为阿莱桑德罗·奥尔蒂斯的研究人员发现，FlyCASS似乎在2024年2月曾遭受过MedusaLocker勒索软件攻击，Joe Sandbox的分析显示该系统中存在被加密文件和勒索信。 此次曝光的可绕过机场安检的严重漏洞再次提醒我们，即便是用于关键安全保障的系统也可能存在严重安全隐患，需要持续监控和及时修补。 漏洞披露时间线： 2024年4月23日：首次向ARINC和FAA披露 2024年4月24日：随后通过CISA向DHS披露 2024年4月25日：国土安全部CISO确认他们正在制定解决方案 2024年5月7日：国土安全部CISO确认FlyCASS已与KCM/CASS断开连接 2024年5月17日：向国土安全部CISO跟进有关TSA声明的情况（无回复） 2024年6月4日：向国土安全部CISO跟进有关TSA声明的情况（无回复）   转自GoUpSec，原文链接：https://www.goupsec.com/news/17386.html 封面来源于网络，如有侵权请联系删除

德国空中交通管制中心（DFS）遭受黑客攻击。不过，据巴伐利亚广播公司 BR24报道，空中交通管制并未受到干扰。目前尚在调查是否有数据被访问以及是哪些数据。德国交通部、德国信息安全监管机构BSI和联邦宪法保护办公室均已证实此事。 据BR24当地时间9月2日凌晨1：48的报道，德国空中交通管制中心（DFS）遭受黑客攻击。DFS位于美因河畔法兰克福附近的朗根，已对此进行了确认。据发言人表示，“行政IT基础设施，即DFS GmbH的办公室通信”受到了影响。 此前一名空中交通管制发言人向德新社证实，DFS上周发现了此次攻击。受影响的系统是内部办公室通信，这对于组织内部的信息交换至关重要。 飞行安全未受影响 DFS表示，飞行安全得到了充分保障，他们正在努力将影响降到最低。空中交通没有受到影响，运行正常。据空中交通管制中心称，袭击发生在上周。目前尚不清楚是否有数据被访问。 外交部发言人表示，安全部门已经获悉此事。 负责的联邦交通部没有提供关于该事件的进一步信息，而是转交给了外交部。 联邦宪法保护办公室（BfV）证实了这一事件：“我们已经意识到这次攻击并正在处理它，”一位发言人说。 然而，截至目前，还无法提供进一步的信息，甚至无法提供可能的肇事者的信息。 在回应BR24的请求时，联邦信息安全办公室（BSI）表示已获悉DFS发生了IT安全事件，并参与了事件处理。BSI支持受影响的部门，并与其他当局保持密切联系。BSI还强调，飞行安全得到了充分保障，空中交通管制作业任何时候都不会受到限制。BSI发言人表示：“BSI目前未对事件的进一步细节发表评论。” 网络攻击被归因于俄罗斯情报部门 媒体报道，尤其是巴伐利亚广播公司的报道，暗示臭名昭著的黑客组织“APT 28”可能是此次攻击的幕后黑手。根据BR24的信息，“APT 28”组织参与了这次攻击。根据联邦宪法保护办公室（BfV）的说法，这种活动自2004年以来一直在全球范围内活跃，主要涉及网络间谍活动。“它是世界上最活跃、最危险的网络参与者之一。” BfV将“APT 28”归咎于俄罗斯军事情报部门GRU。早在今年5月，联邦政府就强烈谴责了APT 28组织对SPD以及国防、IT和航空公司的网络攻击。这些攻击还针对物流、军备、航空航天、IT服务以及基金会和协会领域的德国公司。 怀疑APT28 此次攻击的幕后黑手并非毫无根据。近年来，该组织在欧洲和北美发动了大量网络攻击，通常带有政治目的。与俄罗斯情报机构GRU的联系表明，此类攻击可能不仅具有犯罪动机，还可能具有地缘政治动机。 对未来的影响 DFS遭受的攻击可能会对德国的网络安全政策产生深远影响。联邦政府过去已经采取措施提高关键基础设施的安全性。这些措施包括加强安全法规和建立新的机构来防御网络攻击。然而，最近的事件可能会给政客们带来更大的压力，迫使他们采取更果断的措施，以防止未来再次发生此类攻击。 预计DFS和其他受影响机构将进一步加强其IT安全措施。这可能包括增加对网络安全的投资、培训员工和实施更先进的防御技术。与国际合作伙伴在网络安全领域的合作也将变得越来越重要，以便能够有效抵御全球威胁。 德国空中交通管制中心遭受网络攻击事件表明，即使是中央集权机构也有可能面临此类威胁。与俄罗斯军事情报部门有联系的APT28组织涉嫌参与其中，凸显了网络攻击的地缘政治层面。在数字攻击日益普遍的世界中，政府和公司必须加大力度保护其IT系统，以确保国家安全和经济稳定。   转自安全内参，原文链接：https://www.secrss.com/articles/69772 封面来源于网络，如有侵权请联系删除

日前，美国俄亥俄州哥伦布市当局对一名网络安全研究员提起了诉讼，指控他非法下载该市在网络攻击中被窃取的数据并与媒体分享。 今年7月，哥伦布市曾遭到 Rhysida 勒索软件组织的攻击，导致公共机构的电子邮件和其他资源的系统中断，虽然该市最早表示没有数据被加密，但 Rhysida 声称窃取了 6.5 TB 的数据，其中 45%（约26万个、 3.1 TB大小的文件）已在8月8日该市拒绝支付赎金后发布。 事后，哥伦布市市长安德鲁·金瑟 （Andrew Ginther） 表示，泄露的数据没有任何价值，而且攻击没有效果，但一位名叫康纳·古德沃尔夫 （Connor Goodwolf） 的网络研究员指责市长并未透露实情，并将部分泄密内容与媒体进行了共享。 8月12日，市长称被窃的数据因为“加密或损坏”而无法使用，公众无需担心，但古德沃尔夫与媒体分享的样本证明泄露的数据并未加密，其中包含警察和罪犯的社会安全号码、家庭暴力案件中的姓名以及其他居民的个人信息。 当局随即对古德沃尔夫提起诉讼，称共享被盗数据是非法行为，而且指责他在暗网以非正常手段与黑客“互动”后才获得这些数据。 诉讼还指称，古德沃尔夫据称计划创建一个网站供人们查看他们的数据是否被泄露，这干扰了警方的调查。 该诉讼旨在对古德沃尔夫发出临时限制令，包括禁止他进一步访问、下载或共享数据，并保留到目前为止下载的所有数据，同时要求他支付超过2.5万美元的处罚金。 据市检察官扎克·克莱因 （Zach Klein） 称，古德沃尔夫仍然被允许就该事件发表评论，该诉讼不是为了压制言论自由，而是防止数据的进一步传播。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410067.html 封面来源于网络，如有侵权请联系删除

近日，澳大利亚网络安全中心（ACSC）就信息窃取恶意软件不断升级的威胁发出警告。警告中提到：这种恶意软件会从受害者的设备中窃取敏感数据，包括登录凭证、财务信息和个人文件等。 越来越多的网络犯罪分子正利用这种信息窃取程序对企业网络进行未经授权的访问，导致企业遭遇勒索软件攻击、数据泄露和经济损失等严重后果。这些数据一旦外流，就会成为暗网市场上的高价商品，网络犯罪分子会将其拍卖给出价最高者。这些被窃取的凭证往往成为更严重攻击的入口，如勒索软件、商业电子邮件泄露和知识产权盗窃。 信息窃取者的能力 信息窃取攻击的生命周期通常分为四个阶段： 1.收购： 网络犯罪分子通过各种渠道获取信息窃取者，包括恶意软件即服务 （MaaS） 平台，这降低了技术不太熟练的犯罪分子的进入门槛。 2.分配： 一旦获得权限，恶意软件就会通过网络钓鱼电子邮件、恶意广告、破解软件和其他欺骗性方法进行分发，通常以用于工作和休闲的个人设备为目标，这种做法在远程工作环境中尤为常见。 3.数据收集： 成功感染后，恶意软件会从受害者的设备中收集敏感信息，重点关注存储在 Web 浏览器中的凭据、身份验证 cookie 和其他关键数据。 4.货币： 最终，被盗数据会统一在暗网市场上出售，通常由初始访问代理购买。这些经纪人专门进入公司网络并将该访问权限转售给其他网络犯罪分子，然后这些网络犯罪分子执行更具破坏性的攻击。 美国可持续发展协会 ACSC 建议企业应采取积极主动的网络安全措施以降低信息窃取者带来的风险的重要性，具体包括： 实施多因素身份验证 (MFA)：在所有关键服务中实施多因素身份验证（MFA），特别是针对特权用户账户。 安全意识培训：定期教育员工有关网络钓鱼、恶意下载的危险以及安全密码管理的重要性。 设备管理：确保所有访问企业网络的设备（包括个人设备）都遵守严格的安全策略。 网络监控：持续监控异常活动，尤其是远程连接和特权账户。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410057.html 封面来源于网络，如有侵权请联系删除

安全内参9月2日消息，澳大利亚最大的健康保险公司Medibank表示，为应对2022年发生的勒索软件事件所带来的影响，预计在未来三年内将总共投入1.26亿澳元（约合人民币6.07亿元）用于升级其IT安全系统。 Medibank在其财年终结声明中表示，截至今年6月的近12个月内，已投入近4000万澳元用于升级其IT系统。首席财务官Mark Rogers在8月22日的财报电话会议上告诉投资者，预计今年的投入金额将与去年持平。 此前遭到个保机构起诉，被指责网安预算过低 此前，澳大利亚信息专员办公室已经将该公司告上法庭，指控其涉嫌数据隐私违规，导致多达970万现有客户和旧客户的个人及敏感健康信息受到损害。 代理信息专员Elizabeth Tydd表示，Medibank“未能根据其规模、资源、所处理的敏感和个人信息的性质与数量，以及数据泄露对个人造成严重损害的风险，采取合理的措施保护其持有的个人信息”。 2022年10月，一个总部位于俄罗斯的网络犯罪集团黑客攻击了Medibank，并在当年12月将5GB副本数据发布在暗网上，声称这是窃取的全部数据。这次黑客攻击影响了970万现有客户和旧客户，其中包括180万居住在澳大利亚的外国人。 今年早些时候，美国、澳大利亚和英国对一名俄罗斯男子实施制裁，称其为此次黑客攻击的幕后主使。这名男子名为Aleksandr Gennadievich Ermakov，可能与已解散的俄罗斯网络勒索团伙REvil有关。 澳大利亚信息专员向澳大利亚法院表示，尽管Medibank在2022年的收入达到71亿澳元，但其网络安全预算却仅为100万澳元。 金监机构要求预留超12亿元费用，用作网安系统升级 国际律师事务所Dentons表示，理论上，根据《隐私法》，澳大利亚联邦法院理论上有权对每次违规行为处以最高222万澳元的民事罚款，这意味着Medibank面临最高21.5万亿澳元的民事罚款。该律师事务所指出：“尽管最终的民事罚款金额不太可能接近这个数字，但这一数字确实反映了案件的严重性。” 2023年6月，澳大利亚的金融监管机构审慎监管局（APRA）在审查中发现Medibank信息安全环境存在缺陷，随后命令这家保险巨头预留2.5亿澳元（约合人民币12亿元）作为额外资本，以加强其信息安全系统。 APRA表示，这一修订后的资本调整要求将保持有效，直到Medibank完成双方同意的整改计划并通过APRA对其风险管理实践的目标技术评估为止。Medibank首席执行官David Koczkar当时表示，公司仍然“强大且资本充足”，并将继续改善系统和流程，以为客户提供更好的安全保障。 Rogers在8月22日的投资者会议上表示，公司预计在2025财年之后仍将面临与数据泄露相关的进一步成本，但这些费用主要与诉讼相关。Medibank还面临来自股东和受影响客户的多起集体诉讼，可能导致大量赔付。 该公司表示，2023-2024财年净收入达到81亿澳元，比上一年增长了4.7%，运营利润约为7亿澳元，增长了7.9%。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/Jrh6z7jWfvIak8TnDRw7rw 封面来源于网络，如有侵权请联系删除

区块链分析公司 Chainalysis周四发布了年中加密犯罪更新报告，并重点关注了与柬埔寨企业集团 Huione Group 有关的在线市场 Huione Guarantee。自 2021 年以来这个在线市场处理了超过 490 亿美元的加密货币交易。 7 月，区块链安全公司 Elliptic透露，该平台是目前工业规模杀猪盘诈骗的关键参与者——充当“所有交易的担保人或托管提供商”。 Chainalysis 在该研究的基础上发现，该平台的规模远超之前的认知。Huione Guarantee 是一个通过提供 Telegram 账号作为联系点来连接买家和卖家的市场。该平台称自己是中立方，不会核实所宣传商品的合法性。 研究人员表示，有数千个 Telegram 群组在 Huione Guarantee 上做广告，其中许多“可能与在该地区运营的犯罪企业有联系”。 “链上分析显示，Huione Pay 在以太坊上很活跃，总流入量超过 19 亿美元，在 TRON 上也很活跃，流入量超过 470 亿美元。”他们还表示，“Huione Guarantee 上的许多商家很少掩饰他们的活动，而是使用不加掩饰的暗语来宣传他们所寻求的服务类型。” Chainalysis 发现了 Huione Pay 与非法或有风险的各方之间数百次转账的例子。他们表示，Huione 曾向研究人员之前与诈骗、被盗资金、受制裁的俄罗斯交易所 Garantex、欺诈商店、儿童性虐待材料、赌场等有关的账户接收和发送资金。 Chainalysis 发现，这些钱包与缅甸知名诈骗团伙以及其他数十家已知参与东南亚非法活动的实体有关联。 他们表示：“这些网络对 Huione Guarantee 的使用表明，该服务促进了诈骗者和欺诈者本身的活动，还促进了他们背后的犯罪网络的活动。” 该平台上的一些帖子提供了面部识别系统和工具，可用于进行杀猪盘诈骗业务或其他庞氏骗局。 Chainalysis 表示，之所以关注 Huione Guarantee，是因为它是众多网络犯罪分子的“枢纽”。 母公司 Huione Group 提供合法服务，但区块链数据一再显示，该公司的子公司深度涉足持续在东南亚运营的杀猪盘诈骗生态系统。 Elliptic 指出，Huione Pay 的董事之一是 Hun To——因长期与海洛因贩运、洗钱、中国有组织犯罪和诈骗团伙有联系而臭名昭著。 网络诈骗不断创新 Chainalysis 的报告还追踪了一系列与网络诈骗有关的其他加密货币趋势，并指出犯罪分子不断发展并适应执法力度。 犯罪集团现在能够在更短的时间内重新生成诈骗工具，并继续维持同时进行的小规模犯罪活动。 Chainalysis 表示，最引人注目的一件事是 2024 年创建的活跃钱包数量，这表明新的骗局激增。 根据 Chainalysis 的数据，约有 43% 的诈骗资金流入了今年开始活跃的钱包，创下了历史新高。第二高的年份是 2022 年，当时 29.9% 的犯罪资金流入了当年开始活跃的钱包。 但与诈骗活动相关的最大钱包之一整合了来自KK Park 的许多骗局的资金——KK Park 是缅甸与泰国边境最臭名昭著的杀猪盘诈骗组织之一。 与 KK Park 有关的钱包于 2022 年首次被发现，截至 2024 年，已有超过 1 亿美元汇入该钱包。Chainalysis 表示，这些资金“可能来自诈骗受害者，也可能来自试图拯救被贩卖家庭成员的家庭支付的赎金”。 “此外，值得注意的是，KK Park 和类似建筑的诈骗行动在调整其链下诈骗存在方面非常活跃，经常从中国服务商处购买成熟的 Facebook、Tinder 和 Match.com 个人资料用于他们的诈骗活动。”他们解释道。 这些诈骗行为所赚取的大部分资金随后通过 Huione Guarantee 等中心化交易所进行洗钱。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/4GwwzPAuHI4G9OtRt_xolw 封面来源于网络，如有侵权请联系删除

微软的网络安全研究人员最近发现，隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。 该组织攻击卫星设备是因为它们对于军事和全球通信等现代设施至关重要。此类攻击的实施者可以通过破坏卫星系统来利用它，从而破坏通信和数据泄露，并影响导航和计时信息。 这种定制恶意软件袭击了美国和阿联酋的卫星、通信、石油或天然气以及政府行业。 技术分析 Peach Sandstorm 冒充“go-http-client”用户代理，对数千个组织发起密码喷洒攻击，主要针对美国和澳大利亚的国防、航天、教育和政府部门。 该组织还通过 LinkedIn 使用虚假的俄罗斯和西方个人资料进行情报收集，以便联系美国人和西欧人并为他们制定商业提案。 经过深度攻击后，他们还使用虚假的 Azure订阅来获取其他 C&C 服务。 微软注意到多个领域都存在此类活动，并且公司直接联系了那些受到影响的客户。 Microsoft Threat Intelligence 发现了两个 Tickler 恶意软件样本，它们由 Peach Sandstorm 于 2024 年 7 月部署。 第一个样本伪装成 PDF，这是一个 64 位 C/C++ PE 文件，使用 PEB 遍历来定位“kernell32.dll”。该样本还收集网络数据并通过 HTTP POST 将其发送到 C2 服务器。 Peach Sandstorm 攻击链（来源 – 微软） Tickler 恶意软件的第二个样本 sold.dll 下载了额外的有效负载，包括用于 DLL 侧加载的合法 Windows 二进制文件（msvcp140.dll、LoggingPlatform.dll、vcruntime140.dll、Microsoft.SharePoint.NativeMessaging.exe）以及能够执行各种命令（如 systeminfo、dir、run、delete、upload、download）的恶意 DLL。 Peach Sandstorm 通过创建具有学生订阅的 Azure 租户（通过新帐户和破坏现有的教育部门帐户）建立了 C2 基础设施。 他们设置了多个 azurewebsites[.]net 域作为 C2 节点，其他伊朗组织（如 Smoke Sandstorm）也采用了这种策略。 Peach Sandstorm事件活动包括： 欧洲防御组织中的横向 SMB 运动。 在一家制药公司遭遇密码泄露后，尝试安装 AnyDesk。 中东卫星运营商通过 Microsoft Teams 上的恶意 ZIP 捕获 AD 快照。 这些技术使 Peach Sandstorm 能够扩大访问权限、保持持久性并在受感染的网络中收集敏感数据。 缓解措施： 重置密码、撤销会话 cookie 并撤消攻击者 MFA 更改。 实施 Azure 安全基准，阻止旧式身份验证并强制执行 MFA。 保护具有最小权限的帐户，使用 Entra Connect Health 进行监控，并使用密码保护。 启用云和实时保护、EDR 阻止模式和防篡改保护。 教育用户有关登录安全性并过渡到无密码身份验证。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/yYyjB8B6JVd_vbC2wfmQeg 封面来源于网络，如有侵权请联系删除

安全内参8月30日消息，马来西亚公共交通运营商国家基建公司（Prasarana Malaysia Bhd）确认，社交媒体上关于其内部系统部分被未经授权访问的网络安全事件的报道属实。 国家基建公司在一份声明中表示，此次事件并未影响其日常运营，公司正与网络安全专家合作，调查并缓解这一情况。 该公司还表示，正在与国家网络安全局（Nacsa）和马来西亚网络安全机构（CyberSecurity Malaysia）协调，以提供全面的应对措施并保护其系统免受任何威胁。 声明称：“我们的重点仍然是迅速解决问题，同时确保我们的服务继续满足公众的需求。我们将继续在适当的时候提供更新。” 这份声明意在回应社交媒体关于其网站可能因勒索软件攻击而导致316GB数据泄露的报道。 8月25日夜间，网络安全平台Falcon Feeds.io在推特上发帖称，一家名为RansomHub的勒索软件组织还威胁将在6到7天内公布国家基建公司的数据。 勒索软件是一种恶意软件，其设计目的是通过加密数据来阻止对计算机系统或文件的访问，直到向攻击者支付赎金为止。 国家基建公司拥有并运营广泛的交通服务，涵盖RapidKL旗下的轻轨、捷运和巴士快速交通系统，以及吉隆坡单轨列车和一支公交车队。   转自安全内参，原文链接：https://www.secrss.com/articles/69702 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，GitHub  teloxide rust 库的一位贡献者发现，GitHub项目中的评论以提供修复程序为幌子，实际在其中植入了Lumma Stealer 恶意软件。 BleepingComputer 进一步审查发现， GitHub 上的各种项目中有数千条类似的评论，这些评论都为用户的提问提供了虚假的修复程序。 以下图为例，该评论告诉用户从 mediafire.com 或通过 bit.ly URL 下载受密码保护的压缩包，然后运行其中的可执行文件。 逆向工程师告诉 BleepingComputer，仅在 3 天时间里就有超过2.9万条推送该恶意软件的评论。 传播Lumma Stealer 恶意软件的评论回复 含有 Lumma Stealer的安装程序 单击该链接会将用户带到一个名为“fix.zip”的文件下载页面，其中包含一些 DLL 文件和一个名为 x86_64-w64-ranlib.exe 的可执行文件。通过在 Any.Run分析发现，这是一个Lumma Stealer 信息窃取恶意软件。 Lumma Stealer 是一种高级信息窃取程序，能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 浏览器中窃取 cookie、凭证、密码、信用卡和浏览历史记录。此外，它还能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。这些数据被收集并发送回给攻击者，攻击者可以使用这些信息进行进一步的攻击或在网络犯罪市场上出售。 虽然 GitHub的工作人员会在检测到这些评论时进行删除，但已经有受害者在Reddit上进行了反馈。 就在最近，Check Point Research 披露了名为Stargazer Goblin 的攻击者进行的类似活动，他们通过在Github上创建3000多个虚假账户传播恶意软件。目前尚不清楚这两起事件是否由同一攻击者所为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409987.html 封面来源于网络，如有侵权请联系删除