HackerNews

HackerNews 编译，转载请注明出处： 暴露的PostgreSQL实例正成为持续攻击活动的目标，攻击者企图非法获取访问权限并部署加密货币挖矿程序。 云安全公司Wiz表示，此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种，涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。 研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示：“该威胁行为者不断进化，采取了防御规避技术，例如为每个目标部署具有独特哈希值的二进制文件，并以无文件方式执行挖矿载荷，这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。” Wiz还透露，该活动目前已导致超过1500名受害者受害，这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍，足以成为机会主义威胁行为者的攻击目标。 此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。 成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查，并投放一个Base64编码的载荷，实际上这是一个shell脚本，用于终止竞争性的加密货币挖矿程序，并投放一个名为PG_CORE的二进制文件。 服务器上还下载了一个经过混淆处理的Golang二进制文件，代号为postmaster，它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性，创建一个具有提升权限的新角色，并将另一个名为cpu_hu的二进制文件写入磁盘。 cpu_hu从GitHub下载最新版本的XMRig矿工，并通过一种称为memfd的已知Linux无文件技术在内存中启动它。 “威胁行为者为每个受害者分配了一个独特的挖矿工人，”Wiz表示，并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看，这表明该活动可能利用了超过1500台被攻陷的机器。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 戴尔科技公司发布了一项关键安全更新，以解决其 Unity 企业存储系统中的多个严重漏洞。这些漏洞可能允许攻击者以 root 权限执行任意命令、删除关键系统文件，并在无需身份验证的情况下进行其他恶意活动。 安全研究人员发现了 16 个不同的漏洞，这些漏洞影响运行 5.4 版本及更早版本的戴尔 Unity、UnityVSA 和 Unity XT 存储系统，其中最严重的漏洞在通用漏洞评分系统（CVSS）中的评分为 9.8 分。   CVE-2025-22398：远程 root 命令执行   CVE-2025-22398（CVSS 评分 9.8）允许通过未经身份验证的远程命令执行以 root 权限完全接管系统。攻击者可以构造针对 Unity API 的恶意网络请求，注入能以完全管理员权限执行的操作系统命令。这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。   戴尔发布安全公告明确指出，对该漏洞的利用“可能会导致系统被攻击者接管”，其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。   CVE-2025-24383：特权文件删除   CVE-2025-24383（CVSS 评分 9.1）漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件，从而对文件系统造成同样危险的破坏。攻击者可以删除关键的系统二进制文件、配置文件或数据存储，这有可能会使存储操作陷入瘫痪，或者为后续攻击创造条件。   虽然由于该漏洞对机密性的影响较小（无影响对比高影响），其评分略低，但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。   其他安全漏洞   该安全公告还详细说明了 CVE-2025-24381 漏洞，这是一个开放重定向漏洞，评分为 8.8 分，攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。   进一步加剧风险的是多个本地特权提升漏洞（CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386），CVSS 评分为 7.8 分，这些漏洞使得低权限的本地用户能够以 root 权限执行命令。   另外还有两个命令注入漏洞（CVE-2024-49601 和 CVE-2025-24382），CVSS 评分为 7.3 分，使得未经身份验证的远程攻击者能够执行影响程度较低的命令。   戴尔对负责任地披露这些漏洞的安全研究人员表示感谢：“prowser” 发现了关键的远程命令注入漏洞，而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。   受影响产品及修复措施   这些漏洞影响了戴尔广受欢迎的企业存储系统，包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。   戴尔已发布了 Dell Unity 操作环境（OE）5.5.0.0.5.259 版本作为修复方案，并强烈建议所有客户立即进行升级。   使用受影响的戴尔 Unity 系统的组织应评估自身面临的风险，实施推荐的更新，并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 佳能已发布一项重要的安全公告，内容涉及在该公司多款打印机驱动程序中检测到的一个严重漏洞，攻击者可能利用该漏洞在受影响的系统上执行任意代码。 这个被认定为 CVE-2025-1268 的漏洞，在通用漏洞评分系统（CVSS）基础评分中达到了 9.4 的高危分值，这表明受影响的佳能产品用户面临着重大的安全隐患。 严重越界漏洞详情 安全研究人员发现了一个越界漏洞，该漏洞特别影响到多款佳能 Generic Plus 打印机驱动程序中的 EMF（增强型图元文件）重新编码处理功能。 当通过受攻击的应用程序处理打印任务时，这个漏洞有可能使恶意行为者得以执行任意代码。这个漏洞的严重性体现在其 9.4 的 CVSS 评分上，使其被归入 “严重” 的安全等级，需要系统管理员和用户立即予以关注。 此外，这个漏洞尤其令人担忧，因为利用该漏洞无需权限、用户交互或特殊访问条件。这一分类意味着远程攻击者有可能以相对较低的难度利用这个漏洞。 该漏洞不仅可能扰乱打印操作，还可能成为更复杂攻击的切入点，使得未经授权的代码得以执行，从而危及系统的完整性和数据安全。 佳能对 Microsoft 攻击研究与安全工程团队（MORSE）负责任地报告这一漏洞表示感谢，特别认可研究人员 Robert Ord 在识别 CVE-2025-1268 漏洞方面所做出的贡献。 以下是该漏洞的概述： 风险因素 详情 受影响产品 – Generic Plus PCL6 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus UFR II 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPS4 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPSLX 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus PS 打印机驱动程序（V3.12 及更早版本） 影响 任意代码执行或干扰打印操作。 利用前提条件 无需权限、用户交互或特殊访问条件；可远程利用。 CVSS 3.1 评分 9.4（严重） 受影响的打印机驱动程序 佳能已确认该漏洞影响以下版本的打印机驱动程序： Generic Plus PCL6 打印机驱动程序 ——V3.12 及更早版本 Generic Plus UFR II 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPS4 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPSLX 打印机驱动程序 ——V3.12 及更早版本 Generic Plus PS 打印机驱动程序 ——V3.12 及更早版本 这些驱动程序广泛应用于佳能的各种生产型打印机、办公 / 小型办公多功能打印机以及激光打印机，有可能影响到全球成千上万的机构和个人用户。 佳能已开发出更新的打印机驱动程序来解决这一安全问题。该公司强烈建议所有用户通过当地佳能销售代表的网站安装最新版本的打印机驱动程序。 用户应优先进行此更新，以降低针对该漏洞的潜在攻击风险。 为了全面保护，IT 管理员应考虑实施额外的安全控制措施，例如对打印服务器进行网络分段以及加强对可疑打印活动的监控。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DarkCloud 是一种自2022年出现的复杂窃密恶意软件，迅速成为该类别中最普遍的威胁之一。 这种针对 Windows 系统的恶意软件已经进化到可以从受感染的系统中提取敏感信息，包括浏览器数据、FTP 凭证、截图、键盘记录和财务信息。 其主要传播方式是通过钓鱼活动，攻击者冒充合法公司或伪装成付款收据或罚款通知。这些攻击经常针对人力资源部门。其他传播途径包括恶意广告、水坑攻击以及与其他恶意软件（如 DbatLoader 或 ClipBanker）一起部署。 安全研究员 REXorVc0 识别了 DarkCloud 的广泛功能，指出该恶意软件采用多阶段感染过程，旨在规避检测。 “这种窃密软件的执行和传播主要由钓鱼活动推动，攻击者冒充了各种公司，”REXorVc0 在其技术分析中解释道。 其影响是巨大的，许多组织因数据窃密功能而受害，丢失了浏览器数据、加密货币钱包和凭证，而攻击者则通过 Telegram 频道进行操作。 DarkCloud 的感染链始于受害者访问恶意链接或下载受感染的文件。 初始载荷通常以压缩文件或脚本的形式交付，启动一个旨在绕过安全控制的多阶段过程。加载程序下载或提取下一阶段的内容，通常采用复杂的混淆技术。一个分析的样本使用了 Base64 编码和 TripleDES 加密： rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])   rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])   最终阶段涉及将窃密程序注入到合法的 Windows 进程中，如 svchost.exe 或 MSBuild。这种技术使 DarkCloud 能够隐秘运行，规避大多数安全解决方案，同时从浏览器、密码管理器和邮件客户端中收集敏感数据，并通过 Telegram 机器人进行数据外泄。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。 这种发展被视为 Lazarus “Contagious Interview” 活动的演变，该活动同样针对 AI 和加密货币领域的求职者。 ClickFix 是一种相对较新但日益常见的战术，威胁行为者利用网站或文档中的虚假错误提示，声称内容无法查看。页面随后提示用户通过运行 PowerShell 命令来“修复”问题，从而在系统上下载并执行恶意软件。 Sekoia 表示，在最新的活动中，Lazarus 假冒了多家知名公司，包括 Coinbase、KuCoin、Kraken、Circle、Securitize、BlockFi、Tether、Robinhood 和 Bybit，这些公司最近被朝鲜黑客窃取了创纪录的15亿美元。 “通过收集我们在所有虚假面试网站中识别出的数据（即 JSON 对象），我们能够确定哪些公司被无意中用作这些虚假面试的诱饵，”Sekoia 解释道。 “我们的分析基于从虚假面试网站检索到的184份不同的邀请。在这些邀请中，我们发现有14家公司的名称被用来诱使受害者完成申请流程。” Lazarus 采用 ClickFix 在2023年11月首次记录的“Contagious Interview”活动中，Lazarus 在 LinkedIn 或 X 上接近目标，向他们提供就业机会。 然后，他们利用托管在 GitHub 和 Bitbucket 等协作平台上的软件和编码测试项目，诱骗目标下载并在其系统上运行恶意软件加载程序，投放信息窃取器。 从2025年2月开始，Sekoia 表示 Lazarus 开始使用所谓的“ClickFake”活动，采用 ClickFix 战术来实现自我感染步骤，而攻击的早期阶段保持不变。 然而，研究人员指出，“Contagious Interview” 活动仍在进行中，这表明朝鲜人可能在并行运行这两种技术时评估其有效性。 在 ClickFake 攻击中，Lazarus 将重点从针对开发人员和程序员转向 CeFi 公司中担任非技术职务的人员，例如业务开发人员和市场经理。 这些人被邀请通过链接进入一个看似合法的网站进行远程面试，该网站使用 ReactJS 构建，包含联系表单、开放式问题，并要求提供视频介绍。 当目标尝试使用网络摄像头录制视频时，会出现一个虚假错误，声称驱动程序问题阻止了摄像头访问，并生成了解决问题的说明。 根据浏览器的用户代理，网站提供特定于操作系统的指令，支持 Windows 或 macOS。 受害者被指示在 CMD（Windows）或终端（macOS）中运行一个 curl 命令，这会使他们感染一个名为“GolangGhost”的基于 Go 的后门，并通过注册表修改和 LaunchAgent plist 文件建立持久性。 一旦部署，GolangGhost 会连接到其命令和控制（C2）服务器，用唯一机器 ID 注册新感染的设备，并等待命令。 该恶意软件可以执行文件操作、shell 命令执行、窃取 Chrome Cookie、浏览历史和存储的密码，以及收集系统元数据。 随着 Lazarus 多样化其攻击方法，潜在目标必须保持警惕，及时了解最新动态，并在下载或执行任何内容之前始终验证面试邀请。 切勿在 Windows 命令提示符或 macOS 终端中执行从互联网复制的任何内容，尤其是如果您不完全了解其功能。 Sekoia 还分享了组织可以用来检测和阻止 ClickFake 活动的 Yara 规则，以及与最新 Lazarus 活动相关的完整妥协指标列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软利用其AI驱动的安全副驾工具，在开源引导程序GRUB2、U-Boot和Barebox中发现了20个此前未知的漏洞。 GRUB2（GRand Unified Bootloader）是大多数Linux发行版的默认引导程序，包括Ubuntu，而U-Boot和Barebox则广泛用于嵌入式和物联网设备。 微软在GRUB2中发现了11个漏洞，包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及密码比较中的侧信道攻击。 此外，在U-Boot和Barebox中还发现了9个缓冲区溢出漏洞，这些漏洞涉及解析SquashFS、EXT4、CramFS、JFFS2和符号链接，需要物理访问才能利用。 这些新发现的漏洞影响依赖UEFI安全启动的设备，如果条件合适，攻击者可以绕过安全保护来在设备上执行任意代码。 虽然利用这些漏洞可能需要对设备进行本地访问，但此前的引导程序攻击（如BlackLotus）是通过恶意软件感染实现的。 微软解释称：“虽然威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox漏洞，但在GRUB2的情况下，漏洞可能被进一步利用来绕过安全启动并安装隐蔽的引导程序，或者可能绕过其他安全机制，如BitLocker。” “安装此类引导程序的后果是严重的，因为这可以授予威胁行为者对设备的完全控制，允许他们控制启动过程和操作系统，危及网络上的其他设备，并进行其他恶意活动。” “此外，这可能导致在操作系统重新安装或硬盘更换后仍然存在的持久性恶意软件。” 以下是微软在GRUB2中发现的漏洞摘要： CVE-2024-56737 – HFS文件系统挂载中的缓冲区溢出，由于对非空终止字符串的不安全strcpy操作 CVE-2024-56738 – 密码比较函数中的侧信道攻击（grub_crypto_memcmp不是恒定时间） CVE-2025-0677 – UFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0678 – Squash4文件读取中的整数溢出导致缓冲区溢出 CVE-2025-0684 – ReiserFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0685 – JFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0686 – RomFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0689 – UDF块处理中的越界读取 CVE-2025-0690 – 读取命令（键盘输入处理程序）中的有符号整数溢出和越界写入 CVE-2025-1118 – dump命令允许任意内存读取（应在生产环境中禁用） CVE-2025-1125 – HFS压缩文件打开中的整数溢出导致缓冲区溢出 除CVE-2025-0678被评为“高”（CVSS v3.1评分：7.8）外，所有上述漏洞均被评为中等严重性。 微软表示，安全副驾显著加速了在大型和复杂的代码库（如GRUB2）中的漏洞发现过程，节省了大约一周的时间，这些时间本将用于手动分析。 副驾识别漏洞并建议修复措施（来源：微软） AI工具不仅识别了此前未知的漏洞，还提供了针对性的缓解建议，这可以为开源项目（由志愿者和小型核心团队支持）提供指导，并加速安全补丁的发布。 利用分析中的发现，微软表示安全副驾在使用共享代码的项目中也发现了类似的漏洞，如U-Boot和Barebox。 GRUB2、U-Boot和Barebox在2025年2月发布了针对这些漏洞的安全更新，因此升级到最新版本应能缓解这些漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为 RESURGE 的新型恶意软件，该软件已被用于针对 Ivanti Connect Secure（ICS）设备上一个现已修复的安全漏洞的攻击活动。 CISA 表示：“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能，包括能够抵御系统重启；然而，RESURGE 包含独特的命令，可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。” 与恶意软件部署相关的安全问题是 CVE-2025-0282，这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞，可能导致远程代码执行。 该漏洞影响以下版本： Ivanti Connect Secure 22.7R2.5 之前的版本 Ivanti Policy Secure 22.7R1.2 之前的版本 Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本 据谷歌旗下的 Mandiant 公司称，CVE-2025-0282 已被武器化，用于传播所谓的 SPAWN 恶意软件生态系统，包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。 上个月，日本计算机应急响应中心（JPCERT/CC）透露，观察到该安全缺陷被用于传播 SPAWN 的一个更新版本，称为 SPAWNCHIMERA，它将上述所有不同的模块整合为一个单一的恶意软件，同时还进行了修改，以通过 UNIX 域套接字促进进程间通信。 值得注意的是，该修订版包含一个功能，可以修补 CVE-2025-0282，以防止其他恶意行为者利用它进行自己的攻击活动。 CISA 表示，RESURGE（“libdsupgrade.so”）是 SPAWNCHIMERA 的改进版，支持三种新命令： 将自身插入“ld.so.preload”，设置网页后门，操纵完整性检查和修改文件。 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。 CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件：RESURGE 中包含的 SPAWNSLOTH 变体（“liblogblock.so”）和一个定制的 64 位 Linux ELF 二进制文件（“dsmain”）。 CISA 称：“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件，包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像（vmlinux）。” 值得注意的是，CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon（前身为 Hafnium）作为零日漏洞加以利用，微软本月早些时候披露了这一消息。 最新发现表明，恶意软件背后的威胁行为者正在积极改进和调整其技术，因此组织必须立即将其 Ivanti 实例更新到最新版本。 作为进一步的缓解措施，建议重置特权和非特权账户的凭证，轮换所有域用户和所有本地账户的密码，审查访问策略以暂时撤销受影响设备的权限，重置相关账户的凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码，以维持远程访问权限，并将访客重定向至虚假网站。 mu-plugins（Must-Use 插件的简称）是指位于“wp-content/mu-plugins”目录中的插件，这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。 “这种方法反映了令人担忧的趋势，因为 mu-plugins 不会在标准的 WordPress 插件界面中列出，这使得它们在常规安全检查中容易被忽略，”Sucuri 研究员 Puja Srivastava 在分析中表示。 在网站安全公司分析的事件中，发现该目录中存在三种不同的恶意 PHP 代码： “wp-content/mu-plugins/redirect.php”：将访客重定向至外部恶意网站。 “wp-content/mu-plugins/index.php”：提供类似网页后门的功能，允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。 “wp-content/mu-plugins/custom-js-loader.php”：向受感染网站注入垃圾信息，可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容，并劫持外部链接至恶意网站。 Sucuri 表示，“redirect.php”伪装成浏览器更新，诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。 Srivastava 解释称：“该脚本包含一个功能，可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫，防止其检测到重定向行为。” 与此同时，攻击者继续利用受感染的 WordPress 网站作为跳板，通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式，诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略，并用于传播 Lumma Stealer 恶意软件。 受攻击的 WordPress 网站还被用于部署恶意 JavaScript，这些脚本可以将访客重定向至不受欢迎的第三方域名，或作为支付页面上的信息窃取工具，窃取用户输入的财务信息。 目前尚不清楚这些网站是如何被攻破的，但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。 根据 Patchstack 的最新报告，自今年年初以来，攻击者频繁利用 WordPress 插件中的四个不同安全漏洞： CVE-2024-27956（CVSS 评分：9.9）：WordPress Automatic 插件（AI 内容生成和自动发布插件）中的未授权任意 SQL 执行漏洞。 CVE-2024-25600（CVSS 评分：10.0）：Bricks 主题中的未授权远程代码执行漏洞。 CVE-2024-8353（CVSS 评分：10.0）：GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。 CVE-2024-4345（CVSS 评分：10.0）：Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。 为降低这些威胁带来的风险，WordPress 网站管理员应确保插件和主题保持最新版本，定期检查代码中的恶意软件，强制使用强密码，并部署网页应用防火墙以拦截恶意请求并防止代码注入。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个疑似俄罗斯的黑客组织 Water Gamayun（也被称为 EncryptHub 和 LARVA-208）利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633，部署了两款新的后门程序 SilentPrism 和 DarkWisp。 Water Gamayun 主要通过恶意配置包（.ppkg）、签名的 Microsoft 安装程序文件（.msi）和 Windows 管理控制台文件（.msc）来部署恶意负载。此次攻击利用了 CVE-2025-26633（也被称为 MSC EvilTwin），该漏洞存在于微软管理控制台（MMC）框架中，攻击者通过恶意的 Microsoft 控制台文件（.msc）来执行恶意软件。 – SilentPrism：这是一个 PowerShell 植入程序，能够实现持久化、同时执行多个 shell 命令，并保持远程控制，同时还具备反分析技术以逃避检测。 – DarkWisp：该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。 – Rhadamanthys Stealer：通过 MSC EvilTwin 加载器部署，该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件，最终部署该窃密程序。 攻击链涉及使用配置包（.ppkg）、签名的 Windows 安装程序文件（.msi）和 .msc 文件来传递信息窃取器和后门程序，这些程序能够实现持久化和数据窃取。此外，攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件（如钉钉、QQTalk 和 VooV Meeting），执行 PowerShell 下载器以获取和运行下一阶段的负载。 – Water Gamayun 还被发现利用其他商品化窃密程序（如 StealC）以及三种定制的 PowerShell 变体（EncryptHub 窃密程序变体 A、B 和 C）。 – 这些变体均基于开源的 Kematian 窃密程序修改而成，能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。 – 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族，如 Lumma Stealer、Amadey 和剪切板劫持器。 趋势科技提醒，Water Gamayun 在攻击中使用了多种交付方法和技术，例如通过签名的 Microsoft 安装程序文件传递恶意负载，并利用本地工具（LOLBAS）等手段，这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统，修补相关漏洞，以防止此类攻击。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家名为Morphing Meerkat的网络钓鱼即服务（PhaaS）运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS（DoH）协议逃避检测，并通过DNS邮件交换（MX）记录识别受害者的电子邮件提供商，动态生成超过114个品牌的仿冒登录页面。 大规模网络钓鱼行动 Morphing Meerkat自2020年起活跃，由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录，但该平台在过去几年中大多未被察觉。 作为一款完整的PhaaS工具包，Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施，用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。 该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商，发送带有类似“需要采取行动：账户停用”等紧急主题的邮件。这些邮件支持多种语言，包括英语、西班牙语、俄语和中文，且能够伪造发件人姓名和地址。 攻击流程 当受害者点击邮件中的恶意链接时，他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台（如Google DoubleClick）执行，并涉及受感染的WordPress网站、伪造的域名和免费托管服务。 最终，钓鱼工具包会在受害者的浏览器中加载，同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果，工具包会动态生成伪造的登录页面，并自动填充受害者的电子邮件地址。 一旦受害者输入凭据，数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外，攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性，受害者首次输入密码后会收到一条错误信息提示密码无效，诱导其再次输入。 输入成功后，受害者会被重定向至真实的身份验证页面，以减少怀疑。 使用DoH与DNS MX的隐蔽性 Morphing Meerkat的独特之处在于采用DoH和DNS MX记录，这些高级技术使攻击更具隐蔽性。 DoH通过加密的HTTPS请求执行DNS解析，替代传统的基于UDP的DNS查询，从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息，从而避免被检测。 利用MX记录信息，钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面，提升攻击的成功率。 防御建议 Infoblox建议企业实施更严格的DNS控制，阻止用户直接与DoH服务器通信。此外，还应限制用户访问与企业业务无关的广告技术和文件共享基础设施，以降低攻击风险。 与Morphing Meerkat相关的所有攻击指标（IoC）已公开发布在GitHub存储库中，供安全研究人员进一步分析。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司OpenAI宣布，将“卓越且独特”的关键安全漏洞的最高漏洞赏金奖励从2万美元提高到10万美元。OpenAI表示，其服务和平台每周被全球4亿用户使用，涵盖企业、机构和政府部门。 OpenAI在声明中表示：“我们将卓越且独特关键漏洞的最高赏金提高到10万美元（此前为2万美元），这一调整体现了我们对有意义、高影响力安全研究的奖励承诺，这些研究有助于我们保护用户并维护系统信任。” 作为扩展赏金计划和奖励高影响力安全研究的一部分，OpenAI还将在“限时促销”期间为特定类别的合格报告提供额外的赏金奖励。例如，截至4月30日，OpenAI将为报告其基础设施和产品中不安全直接对象引用（IDOR）漏洞的安全研究人员提供双倍奖励，最高可达1.3万美元。 OpenAI于2023年4月启动了漏洞赏金计划，通过Bugcrowd众包安全平台为报告产品线漏洞、缺陷或安全问题的研究人员提供最高2万美元的奖励。该公司表示，模型安全问题不在该计划范围内，ChatGPT用户利用的越狱和安全绕过漏洞也不包括在内。 OpenAI在披露ChatGPT支付数据泄露事件一个月后推出了漏洞赏金计划，该事件是由于其平台的Redis客户端开源库中的一个漏洞导致的。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软开始测试一款名为“快速设备恢复”的新Windows 11工具，该工具旨在远程部署修复程序，解决因故障驱动程序和配置导致操作系统无法启动的问题。 该工具是微软Windows弹性计划的一部分，该计划旨在通过引入自动化工具和功能，检测、诊断和修复Windows 11中的关键故障，从而增强系统稳定性，减少停机时间。 微软解释称：“当系统出现故障时，设备有时会陷入Windows恢复环境（Windows RE），严重影响生产力，通常需要IT团队花费大量时间进行故障排查和恢复受影响的设备。” “借助快速设备恢复，当大规模故障导致设备无法正常启动时，微软可以通过Windows RE向受影响的设备广泛部署针对性修复方案，自动修复故障，迅速使用户恢复到可工作状态，无需复杂的手动干预。” 3月28日，微软将“快速设备恢复”发布至Windows内部预览版Beta通道，供内部测试人员开始测试该工具。 当启用该工具且新的驱动程序或配置更改导致Windows 11无法正常启动时，操作系统将进入Windows恢复环境并自动启动“快速设备恢复”工具。该工具将通过以太网或Wi-Fi连接到互联网，并将崩溃数据发送至微软服务器。根据对这些数据的分析，微软可以远程应用修复程序，例如移除有问题的驱动程序或更新以及更改配置设置。 这款新工具是为应对2024年7月CrowdStrike故障更新而推出的。当时，该更新导致全球数百万台Windows设备突然出现蓝屏死机（BSOD）并陷入重启循环。为移除该故障更新，Windows管理员不得不进入Windows恢复环境或安全模式，手动删除驱动程序，以使Windows设备恢复正常启动。 有了“快速设备恢复”这样的工具，微软本可以更轻松、更快速地推送修复程序，移除驱动程序并使设备重新上线。 微软表示，该功能最终将在Windows 11家庭版中默认启用。企业用户可以通过RemoteRemedation CSP或直接在设备上通过reagentc.exe，在Windows 11专业版和企业版中自定义该工具的工作方式。 该工具还可以预先配置网络凭据，以便更容易地部署修复程序，并配置故障设备多久向微软服务器请求一次修复。 微软将在几天内发布一个测试修复包，供内部测试人员进行实时测试。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 CoffeeLoader 的新型复杂恶意软件，其主要功能是下载并执行第二阶段的有效载荷。 据 Zscaler ThreatLabz 表示，CoffeeLoader 在行为上与已知的 SmokeLoader 恶意软件加载器存在相似之处。Zscaler 威胁情报高级总监 Brett Stone-Gross 在本周发布的一份技术分析报告中指出：“该恶意软件的目的是在躲避端点安全产品检测的同时，下载并执行第二阶段的有效载荷。” 为了绕过安全解决方案，CoffeeLoader 采用了多种技术，包括利用 GPU 的专用打包器、调用栈伪造、睡眠混淆以及使用 Windows 纤程。 CoffeeLoader 最早于 2024 年 9 月出现，它利用域名生成算法（DGA）作为备用机制，以防主要的命令与控制（C2）通道无法访问。该恶意软件的核心是一个名为 Armoury 的打包器，它通过在系统 GPU 上执行代码来增加虚拟环境中的分析难度。Armoury 因其伪装成华硕开发的合法 Armoury Crate 工具而得名。 感染过程始于一个下载器，它尝试以提升的权限执行由 Armoury 打包的 DLL 载荷（“ArmouryAIOSDK.dll”或“ArmouryA.dll”），但在执行之前，如果下载器没有必要的权限，它会尝试绕过用户账户控制（UAC）。此外，下载器还会通过设置计划任务在主机上建立持久性，该任务配置为在用户登录时以最高权限运行，或者每 10 分钟运行一次。随后，执行一个加载器组件，进而加载主模块。 Stone-Gross 表示：“主模块采用了多种技术来躲避杀毒软件（AV）和端点检测与响应（EDR）的检测，包括调用栈伪造、睡眠混淆以及利用 Windows 纤程。”这些方法能够伪造调用栈以掩盖函数调用的来源，并在有效载荷处于睡眠状态时进行混淆，从而使其能够躲避安全软件的检测。 CoffeeLoader 的最终目标是通过 HTTPS 联系 C2 服务器，以获取下一阶段的恶意软件，包括注入并执行 Rhadamanthys 壳代码的命令。 Zscaler 表示，在源代码层面，CoffeeLoader 与 SmokeLoader 存在诸多相似之处，这表明它可能是后者的一个重大迭代版本，尤其是在去年执法部门打击并摧毁了 SmokeLoader 的基础设施之后。该公司指出：“SmokeLoader 和 CoffeeLoader 之间还存在显著的相似性，前者分发后者，但两者之间的确切关系尚不清楚。” 这一发现正值 Seqrite Labs 详细披露了一起网络钓鱼邮件活动，该活动启动了一个多阶段感染链，投放了一种名为 Snake Keylogger 的信息窃取恶意软件。此外，近期还出现了一系列针对参与加密货币交易的用户发起的活动，通过在 Reddit 帖子中宣传破解版的 TradingView，诱骗用户安装 Windows 和 macOS 系统上的 Lumma 和 Atomic 等窃取器。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了来自 Sungrow、Growatt 和 SMA 三家太阳能逆变器供应商的 46 个新的安全漏洞。这些漏洞可能被恶意攻击者利用，以远程控制设备或执行代码，对电网安全构成严重威胁。 这些漏洞被 Forescout Vedere Labs 集体命名为 SUN:DOWN。研究人员指出，这些新漏洞可以被利用来在设备或供应商的云平台上执行任意命令、接管账户、入侵供应商的基础设施，或控制逆变器所有者的设备。 主要漏洞包括： 1. 远程代码执行：攻击者可以上传 `.aspx` 文件，这些文件将被 SMA 的 Web 服务器（sunnyportal[.]com）执行，从而实现远程代码执行。 2. 用户名枚举：未经身份验证的攻击者可以通过暴露的 `server.growatt.com/userCenter.do` 端点进行用户名枚举。 3. 设备接管：未经身份验证的攻击者可以通过 `server-api.growatt.com/newTwoEicAPI.do` 端点获取其他用户所属的电站列表和任意设备，从而实现设备接管。 4. 账户接管：未经身份验证的攻击者可以通过有效的用户名，利用 `server-api.growatt.com/newPlantAPI.do` 端点获取智能电表的序列号，从而实现账户接管。 5. 信息泄露和物理损坏：未经身份验证的攻击者可以通过 `evcharge.growatt.com/ocpp` 端点获取电动汽车充电器、能耗信息和其他敏感数据，还可以远程配置电动汽车充电器并获取固件相关信息，从而导致信息泄露和物理损坏。 6. Sungrow Android 应用安全问题：Sungrow 的 Android 应用使用不安全的 AES 密钥加密客户端数据，这使得攻击者可以拦截并解密移动应用与 iSolarCloud 之间的通信。 7. 中间人攻击：Sungrow 的 Android 应用明确忽略证书错误，容易受到中间人攻击。 8. 硬编码密码：Sungrow 的 WiNet WebUI 包含一个硬编码密码，可用于解密所有固件更新。 9. MQTT 消息处理漏洞：Sungrow 在处理 MQTT 消息时存在多个漏洞，可能导致远程代码执行或拒绝服务（DoS）状态。 Forescout 指出，如果攻击者利用这些新发现的漏洞控制大量 Sungrow、Growatt 和 SMA 逆变器，可能会对电网和其他主要电网造成不稳定。在针对 Growatt 逆变器的假设攻击场景中，攻击者可以通过暴露的 API 猜测真实账户用户名，通过将密码重置为默认的 “123456” 来劫持账户，并进行后续攻击。 更糟糕的是，被劫持的逆变器可以被控制成僵尸网络，放大攻击力度，对电网造成破坏，导致电网中断和潜在的停电。所有供应商在接到漏洞披露后，均已解决了这些问题。 Forescout 强调，缓解这些风险需要在采购太阳能设备时严格执行安全要求，定期进行风险评估，并确保对这些设备的网络进行全面监控。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员成功入侵了一个名为 BlackLock 的勒索软件团伙的在线基础设施，揭露了该团伙的作案手法和关键信息。 Resecurity 表示，他们发现 BlackLock 犯罪团伙运营的数据泄露网站（DLS）存在一个安全漏洞，这使得研究人员能够提取配置文件、凭证以及服务器上执行的命令历史记录。 该公司称，该漏洞涉及 BlackLock 勒索软件的数据泄露网站（DLS）的 “某种配置错误”，导致与他们通过 Tor 隐藏服务（托管它们）的网络基础设施相关的明网 IP 地址被泄露，以及额外的服务信息。 研究人员将获取的命令历史记录描述为 BlackLock 勒索软件最大的操作安全（OPSEC）失误之一。 BlackLock 是另一个名为 Eldorado 的勒索软件团伙的改版。自 2025 年以来，它已成为最活跃的勒索团伙之一，主要针对科技、制造、建筑、金融和零售行业。截至上个月，该团伙已在网站上列出了 46 个受害者，这些受影响的组织位于阿根廷、阿鲁巴、巴西、加拿大、刚果（布）、克罗地亚、秘鲁、法国、意大利、荷兰、西班牙、阿联酋、英国和美国。 该团伙于 2025 年 1 月中旬宣布推出一个地下附属网络，并被观察到积极招募 “流量引导者”（traffers），以协助攻击的早期阶段，通过将受害者引导至部署恶意软件的恶意页面，这些恶意软件能够建立对受损系统的初始访问。 Resecurity 发现的漏洞是一个本地文件包含（LFI）漏洞，本质上是通过路径遍历攻击欺骗 Web 服务器泄露敏感信息，包括操作员在泄露网站上执行的命令历史记录。 一些值得注意的发现如下： – 使用 Rclone 将数据泄露到 MEGA 云存储服务中，在某些情况下甚至直接在受害者系统上安装 MEGA 客户端。 – 威胁行为者至少在 MEGA 上创建了八个账户，使用通过 YOPmail 创建的一次性电子邮件地址（例如，“zubinnecrouzo-6860@yopmail.com”）来存储受害者数据。 – 对勒索软件的逆向工程发现，其源代码和勒索信与另一种名为 DragonForce 的勒索软件存在相似之处，后者曾针对沙特阿拉伯的组织发动攻击（尽管 DragonForce 使用 Visual C++ 编写，而 BlackLock 使用 Go 语言）。 – BlackLock 的主要运营者之一 “$$$” 于 2025 年 3 月 11 日启动了一个名为 Mamona 的短期勒索软件项目。 在令人意外的转折中，BlackLock 的数据泄露网站于 2025 年 3 月 20 日被 DragonForce 篡改——很可能是通过利用相同的 LFI 漏洞（或类似漏洞）——其配置文件和内部聊天记录被泄露在网站首页上。就在前一天，Mamona 勒索软件的数据泄露网站也遭到了篡改。 Resecurity 表示：“目前尚不清楚 BlackLock 勒索软件（作为一个团伙）是否开始与 DragonForce 勒索软件合作，或者是否悄然转归新所有者旗下。新主人可能接管了该项目及其附属网络，因为勒索软件市场正在整合，他们意识到其前任可能会被攻破。” “BlackLock 和 Mamona 勒索软件事件发生后，关键人物‘$$$’并未表现出任何惊讶。该人物可能完全清楚自己的行动可能已经被攻破，因此悄然退出之前的项目可能是最合理的选择。”   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为“RESURGE”的新型恶意软件，该软件被用于攻击Ivanti Connect Secure（ICS）设备中已修复的安全漏洞。 CISA指出，“RESURGE”包含“SPAWNCHIMERA”恶意软件变体的功能，例如能够在设备重启后存活，但它还包含独特的指令，改变了其行为模式。该恶意软件具备多种功能，包括作为根工具包（rootkit）、下载器（dropper）、后门（backdoor）、引导工具包（bootkit）、代理（proxy）和隧道工具（tunneler）的能力。 此次攻击利用的漏洞编号为CVE-2025-0282，这是一个堆栈缓冲区溢出漏洞，影响Ivanti Connect Secure、Policy Secure和ZTA网关，可能导致远程代码执行。受影响的版本包括： – Ivanti Connect Secure 22.7R2.5之前的版本 – Ivanti Policy Secure 22.7R1.2之前的版本 – Ivanti Neurons for ZTA网关22.7R2.3之前的版本 谷歌旗下的Mandiant公司指出，CVE-2025-0282已被用于传播名为“SPAWN”的恶意软件生态系统，包括多个组件，如SPAWNANT、SPAWNMOLE和SPAWNSNAIL。这些恶意软件被认为与中国相关的间谍组织UNC5337有关。 上个月，日本计算机应急响应小组（JPCERT/CC）发现，该漏洞被用于传播“SPAWNCHIMERA”，这是一个将上述多个模块整合为一体的单一恶意软件，同时增加了通过UNIX域套接字进行进程间通信的功能。值得注意的是，该变体还包含一个功能，用于修补CVE-2025-0282漏洞，以防止其他恶意行为者利用该漏洞进行攻击。 CISA表示，“RESURGE”（文件名为“libdsupgrade.so”）是“SPAWNCHIMERA”的改进版本，支持三种新指令： 1. 将自身插入“ld.so.preload”，设置网络外壳（web shell），操纵完整性检查和修改文件。 2. 启用网络外壳进行凭证收集、账户创建、密码重置和权限提升。 3. 将网络外壳复制到Ivanti运行的启动磁盘，并操纵运行中的核心启动镜像。 此外，CISA还从一个未指明的关键基础设施实体的ICS设备中发现了另外两个相关文件：一个“SPAWNSLOTH”变体（文件名为“liblogblock.so”），包含在“RESURGE”中；以及一个定制的64位Linux ELF二进制文件（文件名为“dsmain”）。 CISA指出，“SPAWNSLOTH”变体篡改了Ivanti设备的日志，而第三个文件是一个包含开源shell脚本和开源工具BusyBox部分功能的嵌入式二进制文件。该开源shell脚本能够从受损的内核镜像中提取未压缩的内核映像（vmlinux）。 值得注意的是，CVE-2025-0282还被另一个与中国相关的威胁组织“Silk Typhoon”（原名Hafnium）利用为零日漏洞，微软在本月早些时候披露了这一情况。 最新发现表明，恶意软件背后的攻击者正在积极改进其攻击手段，因此，各机构必须将Ivanti设备更新到最新版本。此外，建议采取进一步缓解措施，包括重置特权和非特权账户的凭证、轮换所有域用户和本地账户的密码、审查访问策略以暂时撤销受影响设备的权限、重置相关账户凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Crocodilus”的新型Android银行木马，其主要攻击目标是西班牙和土耳其的用户。 据ThreatFabric称，Crocodilus甫一登场便是一个成熟的威胁，具备现代技术，如远程控制、黑屏覆盖以及通过辅助功能记录数据等。 与其他同类银行木马一样，该恶意软件旨在实现设备接管（DTO），并最终进行欺诈交易。对源代码和调试消息的分析显示，该恶意软件的作者使用的是土耳其语。 荷兰移动安全公司ThreatFabric分析的Crocodilus样本伪装成谷歌Chrome浏览器（软件包名称为“quizzical.washbowl.calamity”），充当一个能够绕过Android 13及以上版本限制的下载程序。 安装并启动后，该应用会请求访问Android辅助功能服务，随后与远程服务器建立联系，以接收进一步指令、被攻击的金融应用列表以及用于窃取凭证的HTML覆盖层。 Crocodilus还能够针对加密货币钱包发起攻击，其覆盖层不是提供一个虚假的登录页面来捕获登录信息，而是显示一条警告信息，敦促受害者在12小时内备份他们的种子短语，否则可能会失去对钱包的访问权限。 这种社会工程技巧不过是威胁行为者的一种手段，目的是引导受害者访问其种子短语，然后通过滥用辅助功能服务来收集这些短语，从而让他们能够完全控制钱包并转移资产。 “它持续运行，监控应用启动并显示覆盖层以拦截凭证，”ThreatFabric说，“该恶意软件监控所有辅助功能事件并捕获屏幕上显示的所有元素。” 这使得恶意软件能够记录受害人在屏幕上执行的所有操作，以及触发对Google Authenticator应用内容的屏幕截图。 Crocodilus的另一个特点是能够通过显示黑屏覆盖层来隐藏设备上的恶意行为，同时静音声音，从而确保这些行为不被受害者发现。 该恶意软件支持的一些重要功能如下： 启动指定的应用程序 从设备上自我删除 发送推送通知 向所有/选定联系人发送短信 获取联系人列表 获取已安装的应用程序列表 获取短信 请求设备管理权限 启用黑屏覆盖层 更新C2服务器设置 启用/禁用声音 启用/禁用键盘记录使自己成为默认的短信管理器 “Crocodilus移动银行木马的出现标志着现代恶意软件的复杂性和威胁水平有了显著的升级，”ThreatFabric说，“凭借其先进的设备接管能力、远程控制功能，以及从最早版本就开始部署的黑屏覆盖层攻击，Crocodilus展现出了在新发现的威胁中不常见的成熟度。” 与此同时，Forcepoint披露了一项网络钓鱼活动的细节，该活动被发现利用税务主题的诱饵来分发针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马，其传播手段是一种经过混淆处理的Visual Basic脚本。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ESET在调查几个知名勒索软件组织之间的关联时发现，越来越多的勒索软件组织开始将用于禁用端点检测和响应（EDR）解决方案的工具纳入其武器库。 在2024年LockBit和BlackCat勒索软件组织消亡后，新的威胁者崭露头角，其中包括2024年2月出现的RansomHub，这是一个勒索软件即服务（RaaS）组织。 随着勒索软件附属组织从不同团体迁移到RansomHub，例如据称是Change Healthcare黑客事件背后的BlackCat附属组织，RansomHub成为并一直保持着在该领域的主导威胁地位。 2024年5月，RansomHub在其武器库中添加了EDRKillShifter，这是一种针对众多安全解决方案的自定义EDR杀手工具，它依赖密码来保护在执行过程中充当中间层的shellcode。 EDR杀手是在受害者的网络上执行的，旨在使任何在本地终端上运行的安全解决方案失明、损坏或终止。虽然可以使用简单的脚本，但更复杂的工具会部署易受攻击的驱动程序，然后利用这些驱动程序进行恶意活动。 RansomHub通过其RaaS面板向其附属组织提供了EDRKillShifter，但ESET观察到它被用于涉及Play、Medusa和BianLian等其他勒索软件变种的攻击中。 由于BianLian和Play是比较封闭的勒索软件操作，它们能够获得EDRKillShifter的访问权限，这表明它们可能与RansomHub合作，在其攻击中重新利用RaaS的工具。 “我们高度确信所有这些攻击都是由同一个威胁者执行的，该威胁者是这四个勒索软件组织的附属组织，”ESET指出，并将该威胁者称为QuadSwitcher。 ESET还表示，其他勒索软件附属组织也被看到使用EDRKillShifter，并补充说这并不是威胁者用来禁用安全软件的唯一工具。事实上，勒索软件附属组织使用的EDR杀手种类有所增加。 EDR杀手的使用增加被视为对安全解决方案更有效地检测文件加密恶意软件的反应。ESET指出，加密器很少收到重大更新，以避免引入缺陷的风险。 ESET还指出，虽然有超过1700个易受攻击的驱动程序可以供EDR杀手解决方案使用，但只有少数几个被滥用，因为针对它们有经过测试的代码，威胁者无需从头编写新代码。 除了RansomHub，只有另一个RaaS运营商被观察到在其服务中添加了EDR杀手，即Embargo，其泄露网站上仅列出了14名受害者。该工具被称为MS4Killer，基于公开的概念验证（PoC）代码。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Arkana Security的新勒索软件组织声称入侵了美国电信提供商WideOpenWest（WOW!），并窃取了客户数据。WideOpenWest（WOW!）是一家总部位于美国的电信公司，主要在中西部和东南部地区运营，为住宅和商业客户提供宽带互联网、有线电视和电话服务。WOW!以其在与大型供应商竞争的市场中提供高速互联网和具有竞争力的价格而闻名。 Arkana Security最近出现在威胁领域，声称提供渗透测试后的服务，并提供数据安全和风险管理服务。该勒索软件组织通过窃取受害者的数据来向他们施压，要求支付一笔“慷慨的费用”。 Arkana声称窃取了两个数据库，分别包含40.3万和220万账户的数据。被攻破的数据包括用户名、密码、安全详情、电子邮件和Firebase集成数据。 “我们已完全攻破了Wide Open West（WOW!），获取了高度敏感的客户数据和服务器。如果你们不采取行动，我们将公开并出售这些数据。”该组织在其Tor泄露网站上发布的声明中写道。 “现在，只有你们和我们知道这次入侵。但如果你们不支付，入侵将公之于众。 你们的基础设施是一场灾难——你们的安全措施形同虚设。系统保护如此薄弱，显然没有真正努力去保护任何东西。 这是你们的巨大失误，后果将非常严重。” Arkana在泄露网站上曝光了受害者，并发布了被入侵组织高管的敏感个人信息。 目前，该组织还将俄勒冈监控网络公司列在了泄露网站上。 Arkana声称已入侵WOW!的内部系统，包括AppianCloud和Symphonica平台。 “一次重大的网络攻击席卷了Wide Open West（WOW!），这是一家拥有超过150万客户的领先互联网服务提供商。黑客成功通过攻破其两个关键平台：AppianCloud和Symphonica，获得了对WOW!的全面控制。此次入侵导致WOW!的系统、面向客户的设备和后端服务器被全面接管，使客户数据和运营基础设施面临重大风险。攻击者现在能够操纵网络配置、客户数据和服务器代码逻辑，这对WOW!的整个客户群，包括依赖其服务的关键基础设施部门，构成了严重威胁。”该组织发布的声明继续说道。“攻击者现在完全控制了WOW!的基础设施，攻击的全部规模仍在展开。数百万客户和企业客户可能受到影响，影响程度尚未完全显现。”   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文