HackerNews

HackerNews 编译，转载请注明出处： 近期，一场针对Chrome浏览器扩展的新型攻击活动曝光，至少有16款扩展被攻破，导致超过60万用户的敏感数据和凭据泄露。 此次攻击通过钓鱼手段，瞄准了Chrome Web Store上的扩展发布者，利用他们的访问权限，在合法扩展中植入恶意代码，以窃取用户的Cookie和访问令牌。 首个确认受影响的公司是网络安全企业Cyberhaven。12月27日，Cyberhaven透露其浏览器扩展遭到威胁行为者的攻击，恶意代码被注入，与位于cyberhavenext[.]pro的外部指挥控制（C&C）服务器通信，下载额外配置文件并窃取用户数据。 LayerX Security公司CEO Or Eshed指出，浏览器扩展是网络安全中的薄弱环节。尽管通常认为扩展无害，但它们往往拥有广泛权限，能访问用户的敏感信息，如Cookie、访问令牌和身份信息。 许多组织对其终端安装的扩展及潜在风险缺乏了解。随着Cyberhaven漏洞事件的曝光，与同一C&C服务器通信的其他受攻击扩展也被迅速识别。 Nudge Security公司首席技术官Jamie Blasco进一步发现了指向C&C服务器同一IP地址的其他域名。 目前，疑似被攻破的扩展包括但不限于： AI Assistant – ChatGPT和Gemini for Chrome Bard AI Chat Extension GPT 4 Summary with OpenAI Search Copilot AI Assistant for Chrome TinaMind AI Assistant Wayin AI VPNCity Internxt VPN Vindoz Flex Video Recorder VidHelper Video Downloader Bookmark Favicon Changer Castorus Uvoice Reader Mode Parrot Talks Primus 这些扩展的受感染情况表明，Cyberhaven并非唯一目标，此次攻击是一次针对合法浏览器扩展的大规模活动。 分析显示，被攻破的Cyberhaven扩展中的恶意代码主要针对Facebook账户的身份数据和访问令牌，特别是商业账户。 Cyberhaven表示，恶意版本扩展在上线约24小时后已被移除，部分其他受影响扩展也已从Chrome Web Store更新或下架。 然而，LayerX的Or Eshed警告，即使扩展从商店下架，只要受感染版本仍在用户设备上运行，攻击者仍可访问并窃取数据。 安全研究人员正继续寻找更多受影响的扩展，但此次攻击活动的复杂性和规模已给许多组织敲响了保护浏览器扩展安全的警钟。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

OilRig（又称 APT34 或 Helix Kitten）以针对中东地区关键部门的网络间谍活动而闻名，它利用漏洞和先进技术实现其地缘政治目标，行动精准。 Picus Labs 在其最新报告中深入探讨了这一伊朗国家支持的行为体的行动。报告重点介绍了 OilRig 的演变过程、历史活动及其使用的先进战术。 OilRig 于 2016 年出现在网络威胁领域，但也有证据表明其早期活动。该组织最初通过鱼叉式网络钓鱼活动和部署 Helminth 后门以沙特阿拉伯的组织为目标，并很快显示出长期存在和隐蔽的能力。报告指出：“OilRig 通过战略性地使用 Helminth 后门而崭露头角，这是一种先进的恶意软件工具，能够隐蔽、持续地访问目标系统。” 多年来，OilRig 已将其触角伸向整个中东地区，以政府实体、能源部门和技术提供商为目标。其工具也在不断演变，从早期的 Helminth 恶意软件到 QUADAGENT 和 ISMAgent 等更复杂的有效载荷。这些后门加上 Invoke-Obfuscation 等开源混淆工具，反映了该组织的适应能力和技术专长。 报告概述了 OilRig 如何将零日漏洞和最近披露的漏洞纳入其武器库，包括利用 CVE-2024-30088 漏洞。这个 Windows 内核漏洞允许 OilRig 获得系统级访问权限，使其能够部署定制的 STEALHOOK 后门，进行长时间监控和数据外渗。 OilRig 还针对供应链，利用技术提供商内被入侵的账户发起更广泛的攻击。2018 年的 QUADAGENT 活动就体现了这一策略，它利用基于 PowerShell 的恶意软件渗透政府和企业网络，而且往往不被发现。 Picus Labs 通过 MITRE ATT&CK 框架详细概述了 OilRig 的战术、技术和程序（TTPs）。其中包括： 初始访问： OilRig 擅长鱼叉式网络钓鱼活动，通常伪装成 LinkedIn 等平台上的可信联系人来获取凭证。 执行： 该组织依靠 PowerShell 和其他脚本工具在被入侵环境中隐蔽执行命令。 持久性： 定时任务和混淆有效载荷可确保持续访问，即使在部分修复工作完成后也是如此。 防御规避： 高级混淆技术（包括 base64 编码和调用混淆）允许 OilRig 绕过检测系统。 凭证访问： Mimikatz 和 LaZagne 等工具可从密码存储和内存转储中提取明文凭证。 渗透： OilRig 采用 FTP 和 DNS 隧道等替代协议提取敏感数据，同时避开监控系统。 Picus Labs 的报告全面概述了 OilRig 的 TTP，并将其映射到 MITRE ATT&CK 框架。这一详细分析为寻求抵御这一持续性威胁的组织提供了宝贵的见解。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303035 封面来源于网络，如有侵权请联系删除

根据 Lookout 最近发布的一份报告，随着网络犯罪团伙转变策略，在攻击的早期阶段将移动设备作为攻击目标，移动威胁继续以惊人的速度增长。 该报告重点分析了以企业为重点的凭证窃取和网络钓鱼尝试的季度环比增长 17%、恶意应用程序检测的季度环比增长 32%，以及 iOS 设备比 Android 设备更容易受到网络钓鱼攻击的趋势。 与中国和俄罗斯 APT 有关的新型移动监控工具 在一系列新发现的威胁中，研究人员披露了由中国和俄罗斯的高级持续威胁（APT）组织（包括 Gamaredon 等）开发的一系列移动监控软件工具。 在企业移动设备上检测到的恶意应用程序超过 106,000 个，从特洛伊木马恶意软件到复杂的间谍软件，种类繁多。 在全球范围内，移动网络钓鱼和恶意网页内容已成为商业电子邮件泄露 (BEC)、MFA 绕过攻击、高管假冒和漏洞利用的代名词。这些攻击通常成本低、回报高，因此已成为现代杀伤链的首选初始步骤。 这种威胁矢量的最新演变是使用高管假冒攻击，这种攻击利用个人的资历和低级员工与生俱来的乐于助人的愿望来提高成功率。攻击者通过制造高度紧急的情况，并利用高管和员工之间的不熟悉，说服员工共享敏感数据、访问钓鱼网页或给他们汇款。 iOS 比 Android 更受企业欢迎，因此 Lookout 观察到，在 2024 年第三季度的网络钓鱼攻击中，威胁行为者针对 iOS 的攻击频率（18.4%）高于 Android（11.4%）。最常见的设备配置错误包括过时的操作系统、过时的安卓安全补丁级（ASPL）、无设备锁和无加密。 攻击者瞄准移动设备入侵企业云系统 最重要的移动恶意软件系列仍然主要倾向于安卓监控软件。 Lookout 用户遇到的最常见的十大移动浏览器漏洞都会影响基于 Chromium 的浏览器。攻击者特别瞄准这些漏洞，希望用户尚未更新到已打补丁的版本。 除浏览器漏洞外，最常见的五个移动应用程序漏洞涉及社交媒体、消息和身份验证应用程序以及应用程序商店。 随着高级恶意软件的商品化、民族国家移动恶意软件能力的发展以及对以移动为重点的社交工程的严重依赖，当今的企业必须将高级移动威胁防御作为其安全战略的一部分。威胁行为者越来越多地以移动设备为目标，窃取凭证并渗透到企业云中，这种途径被称为 “现代杀伤链”。 “随着网络威胁的不断发展，我们看到越来越多的攻击以移动设备为目标，将其作为进入存放敏感数据的企业云应用程序的门户。”Lookout端点副总裁David Richardson表示：“这一趋势凸显了对先进MTD解决方案的迫切需求，这些解决方案不仅能保护设备，还能保护它们所连接的敏感数据和系统。” 《Lookout移动威胁态势报告》的数据来源于Lookout安全云的人工智能驱动移动数据集，该数据集包含超过2.2亿台设备、3.6亿个应用程序和数十亿个网页项目。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303050 封面来源于网络，如有侵权请联系删除

2024 年 12 月 23 日，匹兹堡区域交通运输公司 (PRT) 宣布正在积极应对于 12 月 19 日星期四首次发现的勒索软件攻击。 匹兹堡地区交通运输公司 (PRT) 是一家为美国宾夕法尼亚州匹兹堡大都会区提供服务的公共交通机构。 该公司运营各种交通服务，包括公交车、轻轨（“T”）和斜坡服务，为该地区的通勤者和居民提供交通选择。PRT 旨在提供安全、实惠且可靠的交通解决方案，以满足当地居民的需求。 勒索软件攻击导致匹兹堡当地交通服务严重中断。 该机构已通知执法部门，并在网络安全专家的协助下调查该安全漏洞。 周四早上铁路服务暂时中断，但公交服务已恢复正常运营。 “发现事件后，PRT 立即展开调查，启动了网络事件响应小组，通知了执法部门，并聘请了全国公认的第三方网络安全和数据取证专家。这些团队正在努力确定是否有任何信息遭到泄露。”该机构在其网站上发表的声明中写道。 “尽管周四早上铁路服务暂时中断，但公共交通服务目前仍正常运行。不过，其他一些乘客服务仍受到负面影响，包括 PRT 的客户服务中心，该中心暂时无法接受或处理老年人和儿童的 ConnectCard。” 目前尚不清楚威胁组织是否在侵入该机构系统后窃取了数据。 该机构没有提供有关此次网络攻击的更多细节，例如事件背后的勒索软件团伙。目前尚无勒索软件组织声称对此次网络攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gXGcpLR6Hk7Ydt-Gzw_bvQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全公司 ESET 在其 2024 年下半年报告中指出，Lumma Stealer 信息窃取恶意软件在网络犯罪领域迅速崛起，检测量激增了 369%。 自 2022 年首次现身以来，Lumma Stealer 逐步崭露头角，最终在 2024 年下半年跻身 ESET 产品检测的十大信息窃取者之列。这款恶意软件主要针对两因素认证（2FA）浏览器扩展、用户凭证及加密货币钱包发起攻击。 在众多信息窃取者中，长期占据主导地位的 Agent Tesla 恶意软件已被 Formbook 取代。Formbook（又称 XLoader）自 2016 年以来一直活跃于网络犯罪领域，因其作为恶意软件即服务（MaaS）的性质而持续得到开发，并频繁被网络犯罪分子利用。ESET 的一位恶意软件分析师在报告中指出，Formbook 的活跃度持续不减。 与此同时，尽管臭名昭著的“信息窃取者即服务”Redline Stealer 在 2024 年 10 月作为“Magnus 行动”的一部分被国际执法机关拆除，但 ESET 认为，这一行动将促使其他类似威胁的扩张。ESET 恶意软件研究员 Alexandre Côté Cyr 表示，RedLine 信息窃取者的创作者不太可能尝试恢复该恶意软件，因为执法机关已掌握其用户名和最后使用的 IP 地址。他预计，RedLine 被拆除后留下的权力真空将导致其他恶意软件即服务信息窃取者活动的增加。 在勒索软件方面，ESET 分析指出，LockBit 勒索软件被拆除后，其他威胁行为者正在填补这一空缺。值得注意的是，RansomHub 勒索软件即服务在 2024 年下半年占据主导地位，到下半年结束时已累积数百个受害者。 ESET 威胁检测总监 Jiří Kropáč 评论道：“2024 年下半年，网络犯罪分子忙于寻找安全漏洞和创新方式，以扩大受害者群体，继续与防御者进行猫捉老鼠的游戏。因此，我们在遥测数据中观察到新的攻击途径和社交工程方法，以及新威胁的激增。同时，拆除行动也导致了之前稳定的威胁排名发生变化。”   消息来源：Infosecurity Magazine，编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，欧洲航天局（ESA）官方网店成为黑客的攻击目标。攻击者在结账环节植入了恶意JavaScript代码，制造了一个假冒的Stripe支付页面。 欧洲航天局致力于拓展太空探索边界，通过培训宇航员和研发火箭、卫星等设备，深入探索宇宙奥秘，其预算超过100亿欧元。 目前，ESA网店已暂停服务，页面显示“暂时脱离轨道”。该恶意脚本已收集顾客信息，包括支付卡数据等敏感内容。 电子商务安全专家Sansec昨日发现此恶意脚本，并发出警告，称网店系统与ESA内部系统可能存在集成，这或将威胁到ESA员工的安全。 Sansec发现，窃取信息的域名与官方销售ESA商品的网店域名相同，但使用了不同的顶级域（TLD）。 虽然欧洲航天局的官方商店使用“.com”后缀的“esaspaceshop”域名，但黑客使用的是相同的名称，且顶级域名为“.pics”（即esaspaceshop[.]pics），这一点在ESA商店的源代码中可以看到： 恶意JavaScript代码注入到ESA网店 该脚本包含了来自Stripe SDK的混淆HTML代码，当客户尝试完成购买时，加载了一个虚假的Stripe支付页面。 值得注意的是，虚假的Stripe页面并不显得可疑，尤其是在它从ESA官方网店加载时。 虚假的Stripe支付页面显示在ESA网店中 网络应用安全公司Source Defense Research确认了Sansec的发现，并监测到ESA官方网店曾加载了虚假的Stripe支付页面。 BleepingComputer昨日就此事向ESA求证。在收到回复前，我们发现网店虽已撤下虚假支付页面，但恶意脚本仍潜藏在网站源代码中。 ESA后续回应称，该网店并未托管在其基础设施上，且机构不管理商店数据，因不拥有这些数据。这一信息通过whois查询得到验证，查询显示了ESA域名（esa.int）及其网店的完整信息，但出于隐私保护，联系数据已被隐藏。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自10月起，一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。 该僵尸网络的攻击目标不仅限于DigiEver设备，还包括多个网络视频录制机（NVR）和固件版本过时的TP-Link路由器。 TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现，尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞，但相关活动迹象至少可以追溯到9月。 此外，这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。 攻击DigiEver NVR 被利用来攻破DigiEver NVR的漏洞是一个远程代码执行（RCE）漏洞，攻击者通过利用’/cgi-bin/cgi_main.cgi’ URI中的不正确用户输入验证来发动攻击。 这使得远程未认证的攻击者能够通过特定参数（如HTTP POST请求中的ntp字段）注入命令，如’curl’和’chmod’。 Akamai表示，该Mirai僵尸网络的攻击与Ta-Lun Yen演示中描述的攻击非常相似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加定时任务（cron jobs），攻击者实现了持久化。 一旦设备被攻陷，它将被用于发起分布式拒绝服务（DDoS）攻击，或通过利用漏洞集和凭证列表传播到其他设备。 Akamai指出，这个新的Mirai变种在技术上具有显著特点，它运用了XOR和ChaCha20加密技术，并且能够针对x86、ARM和MIPS等多种系统架构发起攻击。 Akamai评论道：“尽管采用复杂的解密手段并非首次出现，但这无疑表明Mirai僵尸网络的运营者正在持续更新其战术、技术和程序。” 研究人员进一步强调：“这一现象尤为值得关注，因为许多基于Mirai的僵尸网络至今仍依赖从原始Mirai恶意软件源代码中沿用的字符串混淆逻辑。” 此外，该僵尸网络还利用了另外两个已知漏洞：CVE-2018-17532（影响Teltonika RUT9XX路由器）和CVE-2023-1389（影响TP-Link设备）。 Akamai报告的末尾提供了与该活动相关的攻击指示符（IoC）以及用于检测和防御该威胁的Yara规则，以帮助企业和安全团队有效应对这一新型Mirai变种带来的挑战。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，在使用介质支持工具安装Windows 11版本24H2时，操作系统可能无法接受后续的安全更新。 该问题发生在使用CD和USB闪存驱动器安装Windows 11版本时，且包含了2024年10月8日至11月12日之间发布的安全更新。 “当使用安装介质安装Windows 11版本24H2时，设备可能会保持在无法接受后续Windows安全更新的状态。” 微软警告称。 “此问题仅在创建的介质中包含了2024年10月或2024年11月的安全更新时发生。” 微软解释道。 该漏洞不会影响通过Windows Update或Microsoft Update Catalog网站应用的安全更新，并且在使用2024年12月的最新安全更新时不会发生此问题。 微软目前正在着手修复此问题，并建议使用安装介质安装Windows 11 24H2时，使用2024年12月10日发布的最新安全更新，以避免遇到后续的更新问题。 Windows 11 24H2问题 这个安装介质问题是Windows 11 24H2版本一系列问题中的一部分，该版本是微软今年发布的最新重要功能更新，旨在提供增强的安全性、可用性和性能。 此前，Windows 11 24H2用户已经遭遇了多个问题，包括Dirac设备或USB DAC音响系统的音频问题、使用过时的Google Workspace同步时的Outlook启动问题、Auto HDR导致的游戏卡顿和颜色不正确的问题，以及支持eSCL协议的USB扫描仪的功能问题。 特别需要注意的是，这次主要的Windows更新在多个Ubisoft游戏上导致了性能问题、崩溃、冻结和音频故障，包括《刺客信条》、《星球大战：流亡者》和《阿凡达：潘多拉边境》等热门游戏。 Windows 11 24H2更新甚至在特定的华硕硬件以及其他一些软件/硬件配置上被暂时阻止，因为这些配置会引发问题。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客近期发起了一项名为“Contagious Interview”（传染性面试）的行动，通过虚假的职位邀请针对软件开发人员，传播一种新型恶意软件——“OtterCookie”。 据网络安全公司Palo Alto Networks和NTT Security Japan的研究分析，这项行动自2022年12月以来一直在活跃，并已经演化了多种攻击手段。最初，该行动主要利用BeaverTail和InvisibleFerret等恶意软件进行攻击，但来自NTT Security Japan的报告指出，Contagious Interview行动现在正在使用一种新的恶意软件，名为OtterCookie，该恶意软件可能于2023年9月首次被引入，且在11月出现了新的变种。 与Palo Alto Networks Unit42研究员记录的攻击类似，OtterCookie通过一个加载器传递，该加载器获取JSON数据并将“cookie”属性作为JavaScript代码执行。 NTT表示，尽管BeaverTail仍然是最常见的有效载荷，OtterCookie在一些情况下与BeaverTail一同部署，或单独使用。 该加载器通过从GitHub或Bitbucket下载的Node.js项目或npm包感染目标。然而，最近也使用了构建为Qt或Electron应用程序的文件。 攻击概述 图源：NTT Japan 一旦OtterCookie在目标设备上激活，它会使用Socket.IO WebSocket工具与其命令控制（C2）基础设施建立安全通信，并等待接收指令。 研究人员观察到执行数据窃取的Shell命令（例如收集加密货币钱包密钥、文档、图片及其他有价值信息）。 NTT解释道：“9月版本的OtterCookie已包含内置功能，用于窃取与加密货币钱包相关的密钥。” “例如，checkForSensitiveData函数使用正则表达式检查以太坊私钥，”研究人员指出，并补充说，11月版本的恶意软件对这一点进行了修改，改为通过远程Shell命令来实现此功能。 锁定加密货币信息 图源：NTT Japan 最新版本的OtterCookie还可以将剪贴板数据泄露给威胁行为者，这些数据可能包含敏感信息。 研究人员还检测到一些典型的侦察命令，如ls和cat，这表明攻击者意图探索目标环境，为进一步的深入渗透或横向移动做准备。 OtterCookie恶意软件的出现以及感染方法的多样化，表明Contagious Interview行动背后的威胁行为者正在尝试新的战术。 针对这一威胁，软件开发人员应当提高警惕，核实潜在雇主的信息，避免在个人或工作计算机上随意运行代码，尤其是在应聘过程中要求进行编程测试时。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，锐捷网络（Ruijie Networks）开发的云管理平台存在安全漏洞，可能使攻击者远程操控网络设备。 Claroty公司的研究人员Noam Moshe和Tomer Goldschmidt在报告中指出，这些漏洞不仅影响Reyee平台，还波及Reyee OS网络设备。一旦漏洞被利用，攻击者能在任何支持云功能的设备上执行代码，从而控制大量设备。 在对物联网（IoT）厂商进行深入分析时，Claroty发现了10个漏洞，并设计了“Open Sesame”攻击方法。该方法可通过云平台远程入侵接入点，实现未授权访问。 CVE-2024-47547（CVSS评分9.4）：弱密码恢复机制，易受暴力破解攻击。 CVE-2024-48874（CVSS评分9.8）：服务器端请求伪造（SSRF）漏洞，攻击者可访问内部服务及云基础设施。 CVE-2024-52324（CVSS评分9.8）：允许发送恶意MQTT消息，执行任意操作系统命令。 此外，CVE-2024-45722（CVSS评分7.5）漏洞表明，知道设备序列号即可破解MQTT认证，进而攻击MQTT代理，获取云连接设备序列号列表。 研究人员表示，利用序列号可生成有效认证凭据，执行拒绝服务攻击，包括认证、断开连接、发送伪造消息等，甚至向用户发送虚假数据。 攻击者若接近锐捷接入点的Wi-Fi网络，可通过拦截Wi-Fi信标提取序列号，利用MQTT通信漏洞实现远程代码执行。该攻击被命名为CVE-2024-47146（CVSS评分7.5）。 锐捷网络已修复所有漏洞，无需用户操作。预计约5万台云连接设备受影响。 研究人员表示，这是物联网设备（如无线接入点、路由器和其他连接设备）中的弱点的又一例，这些设备通常很容易进入，但却能够进行更深层次的网络攻击。 此次披露正值PC Automotive安全公司发现12个漏洞，影响某些斯柯达汽车的MIB3娱乐信息单元，恶意攻击者可能通过这些漏洞将其链式利用来执行代码、实时追踪汽车位置、通过车载麦克风录音、截取娱乐显示屏的屏幕截图，甚至窃取联系人信息。 这些漏洞（CVE-2023-28902至CVE-2023-29113）允许攻击者通过蓝牙“获得MIB3娱乐信息单元的代码执行权限”，提升至root权限，绕过安全启动获取持久的代码执行权限，并且每次汽车启动时通过DNS通道控制娱乐信息单元。PC Automotive的研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，美国司法部（DoJ）公布了对巴西库里奇巴29岁公民Junior Barros De Oliveira的起诉书。De Oliveira涉嫌通过黑客攻击威胁勒索，已被起诉四项与从受保护计算机获取信息相关的勒索威胁罪名，以及四项威胁通讯罪名。 案件受害者是一家新泽西州公司在巴西的子公司，其计算机系统于2020年3月遭到De Oliveira的入侵。他利用获取的访问权限，至少三次窃取约30万名客户的机密信息。 2020年9月，De Oliveira通过假名向该公司首席执行官发送电子邮件，要求支付300比特币（约320万美元），否则将泄漏公司数据。一个月后，他又将同一邮件转发给首席执行官及巴西子公司高管。 在后续邮件中，De Oliveira表示愿“协助解决安全漏洞”，但要求75比特币（约80万美元）作为咨询费，并提供了支付到比特币钱包的详细指南。 若罪名成立，每项勒索威胁罪名最高可判5年监禁，并处25万美元或非法获利/损失两倍的罚款（以较高者为准）；每项威胁通讯罪名最高可判2年监禁，并处相同额度的罚款。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。 该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。 项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ” Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。 腾讯云鼎安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。 此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。 它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。 建议用户将其实例更新到软件的最新版本，以防范潜在威胁。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/AlMi5CgBPNhmkSF0h-fhzQ 封面来源于网络，如有侵权请联系删除

美国成瘾治疗中心（AAC）是一家营利性成瘾治疗连锁机构，其遭遇网络安全事件，导致 422,424 人的个人记录泄露。 根据该公司发送给受影响人员的通知函，泄露的数据可能包括姓名、地址、电话号码、出生日期、医疗记录号和其他标识符。 ACC 表示，社会安全号码和健康保险信息也可能被泄露，但患者的治疗信息或支付卡数据不会泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日左右发现了一起网络安全事件，并表示已立即展开调查。该公司已通知执法部门并聘请第三方网络安全专家提供帮助。 调查确定，9 月 23 日至 9 月 26 日期间，“未经授权的一方”从 AAC 系统中窃取了一些数据。 该公司告诉客户：“我们对受影响的数据进行了彻底审查，以确定涉及哪些信息以及与数据相关的个人。”该公司还表示，“目前”尚未发现与该事件有关的任何身份盗窃或欺诈行为。 此次泄密事件影响了 AAC 及其附属供应商的客户，包括 AdCare、Greenhouse、Desert Hope Center、Oxford Treatment Center、Recovery First、Sunrise House、River Oaks Treatment Center 和 Laguna Treatment Hospital。 近期一系列网络安全事件让多家医疗服务提供商成为攻击目标。Regional Care 的数据泄露事件发生于 9 月中旬，本月初已报告此事，影响 22.5 万人。 总部位于马里兰州的静脉修复中心 (CVR)遭遇重大数据泄露，影响了 446,000 人的数据；而位于马萨诸塞州的安娜雅克医院 (AJH) 遭遇的攻击则导致超过 316,000 人的数据受到影响。 攻击者针对医疗保健机构主要有两个原因：这些机构通常保护不力，而且他们保存的数据非常有价值。例如，攻击者可以利用泄露的信息进行健康身份欺诈，使恶意攻击者能够获得处方药。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WVVU9xYidj3jr_xORgV7sA 封面来源于网络，如有侵权请联系删除

据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除

近期CloudSEK的TRIAD团队发现了Postman Workspaces（一个流行的基于云的API开发和测试平台）的严重安全漏洞和风险。 在为期一年的调查中，研究人员发现超过30,000个公开可访问的工作区泄露了关于第三方API的敏感信息，包括访问令牌、刷新令牌和第三方API密钥。 根据该公司与Hackread.com分享的报告，泄露的数据涵盖了各个行业从小型企业到大型企业，影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务，使组织面临众多威胁和安全风险。 研究人员指出，导致这些数据泄露的常见做法包括无意中共享Postman集合、访问控制配置错误、与公开可访问的存储库同步，以及在未经加密的情况下以明文形式存储敏感数据。 这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥和对内部系统的访问权限，可能导致受影响组织遭受财务和声誉损害。 Postman中的敏感数据泄露对个人开发者和整个组织都可能产生重大影响。据报道，像api.github.com、slack.com和hooks.slack.com这样的顶级API服务拥有更多的暴露秘密。Salesforce.com、login.microsoftonline.com和graph.facebook.com等高知名度服务也已被曝光。 ZenDesk凭据泄露和Razorpay API密钥泄露 （来源CloudSec） 泄露的API密钥或访问令牌可以为攻击者提供对关键系统和数据的直接访问权限，可能导致数据泄露、未经授权的系统访问以及增加网络钓鱼和社会工程攻击。 Postman通常存储敏感信息，如API密钥、秘密和个人身份信息（PII）。为确保数据安全，组织应明智地使用环境变量，限制权限，避免使用长期令牌，使用外部秘密管理，并在共享任何集合或环境之前进行双重检查。 为了防止此类暴露，CloudSEK敦促组织采取更可靠的安全措施，例如使用环境变量以避免硬编码敏感数据，限制权限，频繁轮换令牌，利用机密管理工具，并在共享之前仔细检查集合。 此外，Postman在披露这些发现后实施了一项秘密保护策略，以防止敏感数据在公共工作区中被暴露。该策略会在检测到机密时提醒用户，提供解决方案，并促进过渡到私有或团队工作区。 “从本月开始，我们将从公有API网络中移除那些已知含有暴露密钥的公共工作区。随着我们推出这项政策变更，含有密钥的公共工作区的所有者将会被通知，并有机会在他们的工作区被从网络中移除之前，先移除那些暴露的密钥。”公司指出。     转自E安全，原文链接：https://mp.weixin.qq.com/s/KoI6XjgpBfL_2fZn_1qo4w 封面来源于网络，如有侵权请联系删除

Apache 软件基金会（ASF）发布了一项安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞在特定条件下可能导致远程代码执行（RCE）。 被追踪为 CVE-2024-56337 的漏洞，被描述为对 CVE-2024-50379（CVSS 评分：9.8）的不完整修复，这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。 项目维护者在上周的咨询中表示：“在大小写不敏感的文件系统上运行 Tomcat，并且默认 servlet 写入功能启用（readonly 初始化参数设置为非默认值 false）的用户，可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置，以完全缓解 CVE-2024-50379。” 这两个漏洞都是检查时间与使用时间（TOCTOU）竞态条件漏洞，当默认 servlet 被设置为允许写入时，可能会导致在大小写不敏感的文件系统上执行代码。 Apache 在 CVE-2024-50379 的警报中指出：“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。” CVE-2024-56337 影响以下版本的 Apache Tomcat： – Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复） – Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复） – Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复） 此外，根据运行的 Java 版本，用户需要进行以下配置更改： – Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false（默认为 true） – Java 17 – 如果已经设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false） – Java 21 及更高版本 – 不需要采取行动，因为系统属性已被移除 ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证（PoC）代码。 这一披露是在 Zero Day Initiative（ZDI）分享了 Webmin（CVE-2024-12828，CVSS 评分：9.9）的一个关键漏洞细节时发布的，该漏洞允许经过身份验证的远程攻击者执行任意代码。 ZDI 表示：“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前，没有进行适当的验证。攻击者可以利用这个漏洞，在 root 权限下执行代码。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据Fortinet FortiGuard 实验室的最新发现，网络安全研究人员标记了两个恶意软件包，这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，并具备从受感染主机窃取敏感信息的功能。 这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。 安全研究员 Jenna Wang 表示，Zebo 是“恶意软件的典型例子，具有用于监视、数据泄露和未经授权的控制的功能”，并补充说 cometlogger“还显示出恶意行为的迹象，包括动态文件操纵、webhook 注入、窃取信息和反 [虚拟机] 检查”。 这两个软件包中的第一个 zebo 使用混淆技术（例如十六进制编码字符串）来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。 它还包含大量用于收集数据的功能，包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹，然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。 除了窃取敏感数据外，该恶意软件还通过创建批处理脚本在机器上设置持久性，该脚本启动 Python 代码并将其添加到 Windows 启动文件夹，以便在每次重新启动时自动执行。 另一方面，Cometlogger 功能丰富，可以窃取各种信息，包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。 它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外，它还包含检查以避免在虚拟化环境中运行，并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。 Jenna Wang 说：“通过异步执行任务，该脚本可以最大限度地提高效率，在短时间内窃取大量数据。” “虽然某些功能可能是合法工具的一部分，但缺乏透明度和可疑功能使其执行起来不安全。在运行代码之前务必仔细检查，并避免与来自未经验证来源的脚本进行交互。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FOgDVffQIhU4SBJe3cVOZA 封面来源于网络，如有侵权请联系删除

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Yen 记录了该活动所利用的漏洞之一，并于去年在罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示，该问题影响了多台 DVR 设备。 Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。 除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。 针对 DigiEver NVR 的攻击 被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。 这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。 Akamai 表示，它所看到的基于 Mirai 的僵尸网络发起的攻击与 Ta-Lun Yen 演示中描述的攻击类似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。 一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。 Akamai 表示，新的 Mirai 变种因使用 XOR 和 ChaCha20 加密以及针对包括 x86、ARM 和 MIPS 在内的广泛系统架构而著称。 Akamai 评论道：“尽管采用复杂的解密方法并不是什么新鲜事，但它表明基于 Mirai 的僵尸网络运营商的策略、技术和程序正在不断发展。” 研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码版本中包含的回收代码中的原始字符串混淆逻辑。” 研究人员指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的漏洞CVE-2018-17532以及影响 TP-Link 设备的漏洞CVE-2023-1389 。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/C-qEWotE2KDXBxKH2kMMyQ 封面来源于网络，如有侵权请联系删除

美国和日本当局将价值 3.08 亿美元的重大加密货币盗窃案归咎于曹县黑客。 美国联邦调查局、国防部网络犯罪中心和日本国家警察厅发出的警报称，2024 年 5 月对日本加密货币公司 DMM 的盗窃案是由一个曹县高级威胁组织实施的，该组织被追踪为TraderTraitor，又名 Jade Sleet、UNC4899 和 Slow Pisces。 机构透露，TraderTraitor 进行了有针对性的社会工程攻击，以访问和窃取加密货币资金。该活动始于 2024 年 3 月下旬，当时攻击者伪装成 LinkedIn 上的招聘人员，联系了日本企业加密货币钱包软件公司 Ginco 的一名员工。 该员工之所以成为攻击目标，是因为他们有权访问 Ginco 的钱包管理系统。 TraderTraitor 以 GitHub 页面上的入职前测试为幌子，向员工发送了一个指向恶意 Python 脚本的 URL 链接。受害者将 Python 代码复制到他们的个人 GitHub 页面上，随后遭到入侵。 2024 年 5 月中旬之后，黑客利用会话 cookie 信息冒充受感染的员工，成功获取了 Ginco 未加密通信系统的访问权限。 2024 年 5 月下旬，攻击者可能利用此访问权限操纵 DMM 员工的合法交易请求，导致 4,502.9 比特币损失，在攻击时价值 3.08 亿美元。 被盗资金随后被转移到 TraderTraitor 控制的钱包。 区块链分析公司 Chainalysis 于 12 月 19 日发布的一份报告发现，2024 年期间，与曹县有关的黑客在 47 起事件中窃取了价值 13.4 亿美元的加密货币。 这占全年被盗加密货币总量的 61%。 新的警报称，联邦调查局、日本国家警察厅和其他美国政府和国际合作伙伴将继续揭露和打击曹县的非法活动，包括网络犯罪和加密货币盗窃。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LtJX1rkcoRjao_kQS3qWew 封面来源于网络，如有侵权请联系删除

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。 漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。 概念验证PoC漏洞利用已存在 令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。 受影响的版本和补救措施 以下ColdFusion版本受到影响： ColdFusion 2023：更新11及更早版本 ColdFusion 2021：更新17及更早版本 Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本： ColdFusion 2023：更新12 ColdFusion 2021：更新18 Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。     转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw 封面来源于网络，如有侵权请联系删除