HackerNews

HackerNews 编译，转载请注明出处： 微软发布了Windows 11 24H2的KB5053656预览累积更新，包含38项更改，包括在AMD和Intel驱动的Copilot+设备上启用实时翻译，并修复了身份验证和蓝屏问题。 KB5053656更新是微软“可选非安全预览更新”计划的一部分，该计划每月月底推送更新，以便Windows管理员测试即将发布的Bug修复、改进和功能。这些更新会在下个月的“修补星期二”发布时推出，但与常规的“修补星期二”累积更新不同，非安全预览更新不包括安全更新。 对于配备AMD和Intel CPU的Copilot+设备，KB5053656更新新增了实时字幕和实时翻译功能，支持将超过44种语言翻译为英语。 此预览更新还修复了以下问题： 修复了在从睡眠恢复时可能触发PDC_WATCHDOG_TIMEOUT蓝屏错误的问题。 修复了在某些情况下导致Kerberos和FIDO缓存凭据身份验证停止响应的多个Bug。 您可以通过以下方式安装更新： 打开设置，点击Windows Update，然后点击检查更新。 由于这是一个可选更新，系统会询问您是否希望安装，您只需点击下载并安装链接即可。 此外，您也可以通过微软更新目录手动下载并安装KB5053656预览更新。 安装完成后，此可选的累积更新将把Windows 11 24H2系统更新到构建 26100.3624。 2025年3月的预览更新带来了一些附加的修复和改进，以下是一些重要的改进： 新功能！ 在Copilot+设备上，通过语义索引模型和传统的词汇索引，改进了Windows搜索，使用户更容易查找文档、照片和设置。 应用程序安装：修复了MsiCloseHandle API在处理包含大量文件的MSI文件时的执行时间过长问题。 启动菜单：修复了如果更新停止响应并回滚，可能会导致无效的启动菜单项的问题。此修复防止设备在未来遇到此问题。如果您已经遇到此问题，可以在系统配置（msconfig）中的启动部分管理额外的启动项。 位置历史功能（Cortana用于访问设备启用位置服务时的24小时设备历史记录的API）被移除。移除该功能后，位置数据将不再本地保存，相应的设置也被从设置 > 隐私与安全 > 位置页面中移除。 微软已知KB5053656存在两个已知问题： Citrix组件阻止2025年1月的Windows安全更新安装（此问题的临时解决方法可以参考Citrix文档页面）。 Windows ARM设备上的Roblox玩家无法从微软商店下载游戏（作为解决方法，玩家可以直接从www.roblox.com下载Roblox）。 Windows 11 24H2现已广泛部署，所有符合条件的Windows 10 22H2设备可以通过Windows Update获取。微软目前正在将Windows 11 2024更新推送给所有符合条件的Windows 10 22H2用户。 2025年1月中旬，微软还开始强制升级所有符合条件的未管理系统（运行Windows 11 22H2/23H2的家庭版和专业版）到Windows 11 24H2。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关的高级持续性威胁（APT）组织被归因于创建一个伪装成印度公共部门邮政系统的虚假网站，旨在感染印度国内的Windows和Android用户。 网络安全公司CYFIRMA将此次攻击归因于名为APT36（也称为Transparent Tribe）的威胁行为者。 该伪造的印度邮政网站名为postindia[.]site。来自Windows系统的用户访问该网站时会被提示下载一个PDF文档，而来自Android设备的用户则会下载一个恶意的应用程序包（“indiapost.apk”）。 CYFIRMA表示：“当从桌面访问时，网站会提供一个包含‘ClickFix’攻击技巧的恶意PDF文件。该文档要求用户按下Win + R键，将提供的PowerShell命令粘贴到运行对话框中并执行，这可能会危及系统安全。” 对与该PDF文件关联的EXIF数据进行分析显示，该文件由一个名为“PMYLS”的作者创建，这可能是指巴基斯坦总理青年笔记本计划。伪装成印度邮政的域名在2024年11月20日注册。 PowerShell代码的目的是从一个远程服务器（“88.222.245[.]211”）下载下一阶段的有效载荷，但该服务器当前处于不活跃状态。 另一方面，当同一个网站从Android设备访问时，它会鼓励用户安装他们的移动应用程序以获得“更好的体验”。一旦安装，该应用程序会请求大量权限，允许它窃取和导出敏感数据，包括联系人列表、当前位置以及外部存储中的文件。 公司表示：“该Android应用程序会将其图标更改为模仿不引人怀疑的Google帐户图标，以掩盖其活动，使用户在想要卸载应用时很难找到它。该应用还具备强制要求用户接受权限的功能，即使第一次被拒绝。” 该恶意应用还设计为即使在设备重启后，也会持续在后台运行，并明确请求忽略电池优化的权限。 CYFIRMA补充道：“‘ClickFix’这一技巧被网络犯罪分子、诈骗者和APT组织广泛利用，正如其他研究人员在野外观察到的那样。这种新兴的攻击手段构成了重大威胁，因为它可以攻击那些不了解或不熟悉此类方法的用户，甚至包括一些技术精通的用户。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新的分析表明，RansomHub的关联组织与其他勒索软件团伙Medusa、BianLian和Play之间存在关联。 根据ESET的报告，这种联系源自一个名为EDRKillShifter的自定义工具。该工具专门用于在受感染设备上禁用终端检测和响应（EDR）软件。RansomHub的攻击者首次被发现使用EDRKillShifter是在2024年8月。 EDRKillShifter通过一种名为“带上你自己的漏洞驱动程序”（BYOVD）的已知策略实现其目标。该策略利用合法但存在漏洞的驱动程序来终止保护终端的安全解决方案。 攻击者使用此类工具的目的在于确保勒索软件加密程序能够顺利执行，而不会被安全软件检测和阻止。 “在一次入侵过程中，攻击者的目标是获得管理员或域管理员权限。”ESET研究人员Jakub Souček和Jan Holman在与《The Hacker News》分享的报告中表示。 他们进一步指出：“勒索软件运营商通常不会频繁更新加密器，因为代码更新容易引发缺陷，可能损害他们的声誉。因此，安全厂商对这些加密器的检测能力相对较强。为了应对这一点，攻击者会在执行加密程序前使用EDR杀软工具移除安全防护。” 值得注意的是，EDRKillShifter原本是RansomHub专为其附属成员开发的定制工具。像这样专门提供给附属组织的工具本身并不常见，而现在该工具也被用于Medusa、BianLian和Play等其他勒索软件攻击中。 尤其值得关注的是，Play和BianLian采用的是**封闭式勒索软件即服务（RaaS）**模式。在这种模式下，运营者不会主动招募新成员，而是基于长期的信任关系与少量合作者合作。 “Play和BianLian的可信成员正在与竞争对手合作，甚至与像RansomHub这样的新兴团伙合作，并将从他们那里获得的工具重新用于自身的攻击中。”ESET推测，“这尤其值得注意，因为这些封闭式团伙通常在攻击中使用一套固定的核心工具。” 研究人员怀疑，这些勒索软件攻击可能由同一威胁行为者发起。该行为者被称为QuadSwitcher，由于其战术与Play的典型入侵手法极为相似，因此被认为与Play关系最为密切。 此外，EDRKillShifter还被观察到由另一个勒索软件关联组织CosmicBeetle使用。CosmicBeetle利用该工具在三起涉及RansomHub和假冒LockBit的攻击中禁用了安全软件。 这一发现正值勒索软件团伙广泛使用BYOVD技术，通过部署EDR杀软工具来攻击受感染系统的趋势上升之际。 去年，勒索软件团伙Embargo被发现使用名为MS4Killer的程序来中和安全软件。而在本月，Medusa勒索软件组织被指使用了一种名为ABYSSWORKER的自定义恶意驱动程序。 ESET强调：“攻击者需要管理员权限才能部署EDR杀软工具，因此应在他们获得权限前及时检测和阻止其活动。” 为此，ESET建议企业用户确保开启潜在不安全应用的检测功能，从而有效阻止带有漏洞的驱动程序安装。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一种新型的“钓鱼即服务”（PhaaS）平台。该平台利用域名系统（DNS）中的邮件交换（MX）记录生成虚假登录页面，伪造约114个品牌，以骗取用户凭据。 DNS情报公司Infoblox正在追踪此次活动，并将该钓鱼套件及相关攻击活动命名为Morphing Meerkat（变形猫鼬）。 “该攻击者通常利用广告技术基础设施中的开放重定向漏洞，劫持域名进行钓鱼活动，并通过包括Telegram在内的多种渠道分发窃取的凭据。”Infoblox在与《The Hacker News》分享的报告中表示。 Forcepoint在2024年7月记录了一次利用该PhaaS工具包的攻击活动。攻击者在钓鱼邮件中插入链接，伪装成共享文档。受害者点击链接后会被重定向至Cloudflare R2上的虚假登录页面，输入凭据后信息将通过Telegram传输至攻击者手中。 据估计，Morphing Meerkat已发送了数千封垃圾邮件。为了绕过安全过滤，攻击者主要依赖受感染的WordPress网站以及Google旗下DoubleClick等广告平台的开放重定向漏洞。 此外，该钓鱼套件还支持实时翻译，能够将钓鱼页面的内容动态转换为包括英语、韩语、西班牙语、俄语、德语、中文和日语在内的十多种语言，针对全球用户进行攻击。 钓鱼页面还具备多项反分析措施，例如禁止鼠标右键点击和屏蔽键盘快捷键（如Ctrl + S用于保存网页、Ctrl + U用于查看网页源代码），进一步阻碍安全研究人员的分析。 Morphing Meerkat真正独特之处在于它通过从Cloudflare或Google获取的DNS MX记录识别受害者的邮件服务提供商（如Gmail、Microsoft Outlook或Yahoo!）。随后，它会动态生成相应的虚假登录页面，以增加欺骗的可信度。 如果钓鱼套件无法识别受害者的MX记录，则会默认显示一个伪装成Roundcube的登录页面。 “这种攻击方式为攻击者带来了显著优势，”Infoblox表示。“它使攻击者能够针对特定受害者进行定向攻击，通过与受害者实际使用的邮件服务提供商高度一致的网页内容，提高欺骗成功率。” “整体钓鱼体验显得更加真实，因为登录页面的设计通常与钓鱼邮件中的消息相匹配。这种技术进一步诱骗受害者在钓鱼页面中提交他们的邮箱凭据。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。 这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。 “在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。 “受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。” 该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：   – Firefox 136.0.4   – Firefox ESR 115.21.1   – Firefox ESR 128.8.1   目前没有证据表明CVE-2025-2857在野外被利用。 与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。 卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。 据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。 美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。 建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，一些加密货币相关的npm包遭到劫持，攻击者通过这些包从受感染的系统中窃取环境变量等敏感信息。 Sonatype研究员Ax Sharma表示：”其中一些包已在npmjs.com上存在超过9年，为区块链开发者提供了合法功能。然而，这些包的最新版本中被植入了混淆的恶意脚本。” 受影响的npm包及版本： country-currency-map (2.1.8) bnb-javascript-sdk-nobroadcast (2.16.16) @bithighlander/bitcoin-cash-js-lib (5.2.2) eslint-config-travix (6.3.1) @crosswise-finance1/sdk-v2 (0.1.21) @keepkey/device-protocol (7.13.3) @veniceswap/uikit (0.65.34) @veniceswap/eslint-config-pancake (1.6.2) babel-preset-travix (1.2.1) @travix/ui-themes (1.1.5) @coinmasters/types (4.8.16) 软件供应链安全公司对这些包的分析显示，攻击者在”package/scripts/launch.js”和”package/scripts/diagnostic-report.js”中植入了高度混淆的恶意代码。这些脚本会在包安装后立即运行，专门窃取API密钥、访问令牌、SSH密钥等数据，并将其发送到远程服务器（”eoi2ectd5a5tn1h.m.pipedream[.]net”）。 有趣的是，相关库的GitHub代码库并未被篡改，攻击者是如何成功推送恶意代码的仍是一个谜。目前尚不清楚此攻击活动的最终目的。 Sharma表示，他们推测这些劫持事件可能是由于旧版npm维护者账户被攻破所致。攻击者可能通过凭证填充攻击（使用此前数据泄露中的用户名和密码在其他网站上尝试登录）或接管过期域名的方式，取得了这些账户的控制权。 鉴于多个项目的维护者账户几乎在同一时间受到攻击，研究人员认为账户接管的可能性高于精心策划的网络钓鱼攻击。 此次事件凸显了为账户启用双因素认证（2FA）以防止账户接管的必要性。它还反映出在开源项目达到生命周期末期或停止维护时，实施安全防护措施的难度。 Sharma强调：”这次事件进一步表明了加强供应链安全措施的紧迫性。开发者和企业在开发过程的每个阶段都应优先考虑安全性，以降低第三方依赖带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云端直播公司StreamElements确认，其一名第三方服务提供商遭遇了数据泄露事件，导致威胁行为者在黑客论坛上泄露了部分被窃数据样本。 该平台向用户保证，此次攻击并未影响其服务器，但去年停止合作的一家第三方提供商的旧数据仍然遭到泄露。   “我们最近了解到，一个我们去年停止合作的第三方服务提供商发生了数据安全事件。”该公司在X平台上发文称。   “我们可以确认，StreamElements的服务器没有遭到入侵。”   “尽管此次事件并非源自StreamElements系统内部，但我们非常重视客户数据的安全，并正在积极与他们联系，以评估和解决可能的影响。”   StreamElements是一家广受欢迎的云端直播工具平台，主要为Twitch和YouTube上的内容创作者提供服务。它提供一系列功能，包括直播叠加层、打赏/捐赠管理、聊天机器人、活动信息流、商品商店集成、直播分析、忠诚度/奖励系统等。   该平台与主要游戏品牌建立了合作伙伴关系，并被许多顶级Twitch主播使用，注册创作者超过100万。   StreamElements的声明是在一名昵称为“victim”的威胁行为者声称窃取了21万名StreamElements客户的数据后发布的。该行为者在2025年3月20日还在黑客论坛上分享了部分被窃数据样本，包括用户的全名、地址、电话号码和电子邮件地址。   威胁行为者在BreachForums上的帖子 来源：BleepingComputer Twitch领域的记者和直播评论员Zach Bussey报道称，他曾与该黑客组织相关人员取得联系，对方提供了证据，证实了数据的真实性。   “我尝试验证数据泄露的真实性，请求查看我在2021年或2022年下的订单中的个人信息。”Bussey在X平台上解释道。   “几秒钟后，他们便提供了这些信息，包括我的姓名、地址、邮政编码、电话号码和电子邮件。”   该黑客还声称，他们通过信息窃取恶意软件感染了StreamElements的一名员工，进而接管了内部账户，访问了平台的订单管理系统。   威胁行为者表示，他们从该系统中窃取了2020年至2024年的用户数据。   尽管StreamElements尚未正式验证这些细节，但在此期间注册的用户被建议保持高度警惕，以防潜在的网络钓鱼和诈骗行为。   今天早些时候，StreamElements提醒社区警惕有人利用此次安全事件进行网络钓鱼攻击，发送假冒的“数据泄露”邮件以欺骗收件人。   截至目前，StreamElements尚未向受影响用户发送数据泄露通知，并表示调查仍在进行中。   值得注意的是，威胁行为者在BreachForums上的帖子目前已被删除。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尽管Oracle否认其Oracle Cloud联合SSO登录服务器被入侵以及600万人的账户数据被盗，但BleepingComputer已与多家公司确认，威胁行为者分享的数据样本是有效的。 上周，一个名叫“rose87168”的人声称入侵了Oracle Cloud服务器，并开始出售据称属于600万用户的认证数据和加密密码。该威胁行为者还表示，被盗的SSO和LDAP密码可以利用被盗文件中的信息进行解密，并愿意与能够帮助恢复这些密码的人分享部分数据。 威胁行为者发布了多个文本文件，包含一个数据库、LDAP数据以及140,621个公司和政府机构域的列表，这些域据称受到了此次入侵的影响。需要注意的是，其中一些公司域看起来像是测试用的，而且每个公司有多个域。 威胁行为者正在出售据称被盗的Oracle Cloud数据 来源：BleepingComputer 除了数据之外，“rose87168”还与BleepingComputer分享了一个Archive.org网址，该网址指向一个托管在“login.us2.oraclecloud.com”服务器上的文本文件，其中包含他们的电子邮件地址。这个文件表明威胁行为者可以在Oracle的服务器上创建文件，这表明实际发生了入侵。 然而，Oracle否认其Oracle Cloud遭受了入侵，并拒绝回答关于此次事件的任何进一步问题。 “Oracle Cloud没有被入侵。发布的凭据不是用于Oracle Cloud的。没有Oracle Cloud客户遭受入侵或丢失任何数据，”该公司上周五对BleepingComputer表示。 然而，这一否认与BleepingComputer的调查结果相矛盾，后者从威胁行为者那里获得了更多泄露数据的样本，并联系了相关公司。 这些公司的代表在承诺匿名的情况下同意确认数据，他们确认了信息的真实性。这些公司表示，相关的LDAP显示名称、电子邮件地址、名字和其他身份信息都是正确的，并且属于他们。 威胁行为者还与BleepingComputer分享了据称是他们与Oracle之间的电子邮件交流。 一封电子邮件显示威胁行为者联系了Oracle的安全电子邮件（secalert_us@oracle.com），报告他们入侵了服务器。 “我已经深入研究了你们的云仪表板基础设施，发现了一个巨大的漏洞，让我获得了600万用户信息的完全访问权限，”BleepingComputer看到的电子邮件中写道。 另一封与BleepingComputer分享的电子邮件显示了威胁行为者与一个使用ProtonMail电子邮件地址的人之间的交流，该人声称来自Oracle。BleepingComputer已对这个人的电子邮件地址进行了遮盖，因为我们无法验证他们的身份或电子邮件交流的真实性。 在这封电子邮件交流中，威胁行为者表示，一个使用@proton.me电子邮件地址的Oracle人告诉他们：“我们收到了你的电子邮件。从现在起，我们使用这个电子邮件进行所有通信。你收到后告诉我。” 网络安全公司Cloudsek还发现了一个Archive.org网址，显示“login.us2.oraclecloud.com”服务器在2025年2月17日之前一直在运行Oracle融合中间件11g。在有关此次据称入侵的报道之后，Oracle已将这台服务器下线。 该软件版本受到一个被追踪为CVE-2021-35587的漏洞的影响，该漏洞允许未认证的攻击者入侵Oracle访问管理器。威胁行为者声称在此次据称入侵Oracle服务器时使用了这个漏洞。 BleepingComputer已多次就这些信息向Oracle发送电子邮件，但尚未收到任何回复。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）因2022年的一次勒索软件攻击，对高级计算机软件集团有限公司处以307万英镑的罚款，该攻击暴露了79,404人的敏感个人数据，其中包括国家医疗服务体系（NHS）的患者数据。 2022年8月初，当包括111紧急服务在内的各种NHS服务出现重大故障时，宣布了此次网络攻击，这表明英国托管服务提供商（MSP）高级计算机软件集团受到了攻击。 高级计算机软件集团为NHS提供了多种患者管理和健康相关产品，如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。 该公司并未透露许多关于哪个勒索软件组织攻击了他们的细节，但在接下来的几天里，显然恢复工作将需要很长时间，即使有Mandiant和微软专家的帮助。 后来证实，LockBit勒索软件组织是此次攻击的幕后黑手，他们利用被盗的凭证在Staffplan Citrix服务器上设置远程桌面协议（RDP）会话，随后横向移动进入组织的环境。 今天，ICO宣布对高级计算机软件集团处以307万英镑（约合395万美元）的罚款，以惩罚其未能保护敏感数据和系统免受黑客攻击。 ICO在其声明中强调了软件供应商未能实施足够的安全措施，以防止导致数据泄露和危及生命的健康服务中断的漏洞。 这些漏洞主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏普遍的多因素认证（MFA）覆盖。 “高级计算机软件集团的子公司安全措施严重不足，不符合我们对处理如此大量敏感信息的组织的期望，”信息专员约翰·爱德华兹表示。 “尽管高级计算机软件集团在许多系统上安装了多因素认证，但覆盖不全面意味着黑客可以进入，使成千上万人的敏感个人信息面临风险。” 值得注意的是，此次对高级计算机软件集团的罚款与2024年8月ICO考虑并宣布的609万英镑（约合774万美元）的罚款相比大幅减少。 然而，此次罚款具有重要意义，因为这是英国首次对数据处理者而非数据控制者处以罚款。 过去ICO对数据控制者处以的显著罚款包括对英国航空公司因2018年数据泄露处以创纪录的2000万英镑罚款，以及对万豪国际酒店因2014年安全事件处以1840万英镑罚款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Abnormal Security 的研究发现，威胁者正在利用一种名为 Atlantis AIO Multi-Checker 的电子犯罪工具，来自动化针对 140 多个平台的凭证填充攻击。 “Atlantis AIO 已经成为网络犯罪分子武器库中的强大武器，能够使攻击者快速连续地测试数百万个被盗凭证，”网络安全公司在分析中表示。 凭证填充是一种网络攻击类型，攻击者收集被盗的账户凭证，通常是用户名或电子邮件地址和密码的列表，然后通过大规模的自动化登录请求，利用这些凭证在不相关的系统上获取未经授权的访问权限。 这些凭证可能来自社交媒体服务的数据泄露，也可能从地下论坛获取，由其他威胁者出售。凭证填充与暴力破解攻击不同，后者围绕使用试错法破解密码、登录凭证和加密密钥。 据 Abnormal Security 称，Atlantis AIO 为威胁者提供了通过预配置模块大规模发起凭证填充攻击的能力，目标是各种平台和基于云的服务，从而促进欺诈、数据盗窃和账户接管。 “Atlantis AIO Multi-Checker 是一种旨在自动化凭证填充攻击的网络犯罪工具，”该公司表示，“它能够大规模测试被盗凭证，能够迅速在 140 多个平台上尝试数百万个用户名和密码组合。” 该程序背后的威胁者还声称，它建立在“经过验证的成功基础之上”，并且他们有成千上万满意的客户，同时向客户保证平台的安全性，以保持他们的购买隐私。 “每个功能、更新和交互都经过精心设计，以超越预期的方式提升您的体验，”他们在官方广告中表示，并补充说“我们不断开创推动前所未有成果的解决方案。” Atlantis AIO 的目标包括像 Hotmail、Yahoo、AOL、GMX 和 Web.de 这样的电子邮件提供商，以及电子商务、流媒体服务、VPN、金融机构和食品配送服务。 另一个值得注意的方面是该工具能够对上述电子邮件平台进行暴力破解攻击，并自动化与 eBay 和 Yahoo 相关的账户恢复流程。 “像 Atlantis AIO 这样的凭证填充工具为网络犯罪分子提供了一条直接的路径，将被盗凭证变现，”Abnormal Security 表示。 “一旦攻击者在各个平台上获得账户访问权限，他们可以以多种方式利用这些账户，例如在暗网市场上出售登录详情、进行欺诈或使用被攻破的账户分发垃圾邮件和发起网络钓鱼活动。” 为了缓解此类攻击带来的账户接管风险，建议实施严格的密码规则，并采用抗网络钓鱼的多因素认证（MFA）机制。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布了带外修复程序，以解决其 Windows 版 Chrome 浏览器中的一个高严重性安全漏洞，该漏洞已被利用，攻击目标是俄罗斯的组织。 该漏洞被追踪为 CVE-2025-2783，被描述为在 Windows 上的 Mojo 中“在未指定情况下提供了不正确的句柄”。Mojo 指的是一组运行时库，为跨平台的进程间通信提供机制。 按照惯例，谷歌并未透露有关攻击性质、攻击者身份以及可能的目标的更多技术细节。该漏洞已在 Windows 版 Chrome 134.0.6998.177/.178 中修复。 “谷歌已意识到有报道称 CVE-2025-2783 的利用程序存在于野外环境，”这家科技巨头在一份简短的公告中承认。 值得注意的是，CVE-2025-2783 是今年年初以来首个被积极利用的 Chrome 零日漏洞。卡巴斯基研究人员 Boris Larin 和 Igor Kuznetsov 因在 2025 年 3 月 20 日发现并报告了这一漏洞而受到赞誉。 这家俄罗斯网络安全厂商在其自身的公告中，将 CVE-2025-2783 的零日漏洞利用描述为技术复杂的目标攻击，表明高级持续威胁（APT）的特征。该活动被追踪为 Operation ForumTroll。 “在所有情况下，感染发生在受害者点击网络钓鱼邮件中的链接后，攻击者的网站使用 Google Chrome 网络浏览器打开，”研究人员表示。“无需进一步操作即可被感染。” “该漏洞的本质在于 Chrome 和 Windows 操作系统交叉点上的逻辑错误，允许绕过浏览器的沙箱保护。” 这些短寿命的链接据说是为目标量身定制的，间谍活动是此次行动的最终目标。卡巴斯基表示，恶意邮件包含据称来自合法科学和专家论坛 Primakov Readings 组织者的邀请。 网络钓鱼邮件针对的是俄罗斯的媒体机构、教育机构和政府组织。此外，CVE-2025-2783 被设计为与另一个促进远程代码执行的漏洞利用程序一起运行。卡巴斯基表示，他们无法获得第二个漏洞利用程序。 “到目前为止分析的所有攻击工件都表明攻击者具有高度复杂性，使我们能够自信地得出结论，一个国家赞助的 APT 组织是此次攻击的幕后黑手，”研究人员表示。 鉴于该漏洞正在被积极利用，建议使用基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在补丁可用时尽快应用修复程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表上发现了两个恶意软件包，它们旨在感染本地安装的另一个软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。 这些软件包分别是 ethers-provider2 和 ethers-providerz。前者自 2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包可能被恶意软件作者自己移除，因此没有吸引任何下载。 “它们是简单的下载程序，恶意载荷隐藏得非常巧妙，”ReversingLabs 研究员 Lucija Valentić 在一份与《黑客新闻》分享的报告中表示。 “有趣的部分在于它们的第二阶段，会‘修补’本地安装的合法 npm 软件包 ethers，用包含恶意载荷的新文件替换。该修补后的文件最终会提供反向 Shell。” 这一发展标志着威胁者战术的新升级，因为即使卸载了恶意软件包，也不会清除受感染机器上的恶意功能，因为更改位于流行的库中。此外，如果用户在 ethers-provider2 仍存在于系统中时卸载了 ethers 软件包，当稍后再次安装该软件包时，存在重新感染的风险。 ReversingLabs 对 ethers-provider2 的分析显示，它不过是广泛使用的 ssh2 npm 软件包的特洛伊版本，在 install.js 中包含恶意载荷，以从远程服务器（“5.199.166[.]1:31337/install”）检索第二阶段恶意软件，将其写入临时文件并运行。 执行后，临时文件会立即从系统中删除，试图避免留下任何痕迹。第二阶段载荷则开始无限循环，检查 npm 软件包 ethers 是否本地安装。 如果该软件包已经存在或新安装，它会通过替换名为 “provider-jsonrpc.js” 的文件之一的伪造版本采取行动，该版本包含额外代码，从同一服务器获取并执行第三阶段。新下载的载荷作为反向 Shell，通过 SSH 连接到威胁者的服务器。 “这意味着，使用此客户端建立的连接在从服务器收到自定义消息后会变成反向 Shell，”Valentić 表示。“即使将软件包 ethers-provider2 从受感染的系统中移除，在某些情况下客户端仍会被使用，为攻击者提供一定程度的持久性。” 在此阶段值得注意的是，npm 注册表上的官方 ethers 软件包并未被破坏，因为恶意修改是在安装后在本地进行的。 第二个软件包 ethers-providerz 也表现出类似的行为，试图修改本地安装的 npm 软件包 “@ethersproject/providers” 相关的文件。该库针对的确切 npm 软件包未知，但源代码引用表明可能是 loader.js。 这些发现揭示了威胁者在开发者系统中提供和持久化恶意软件的新方式，这使得在下载和使用之前仔细审查来自开源存储库的软件包变得至关重要。 “尽管下载量低，但这些软件包功能强大且恶意，”Valentić 表示。“如果它们的使命成功，它们将破坏本地安装的软件包 ethers，即使该软件包被移除，也能在受感染的系统上保持持久性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯语言的黑客组织 RedCurl（又名 Earth Kapre 和 Red Wolf）首次与勒索软件活动相关联，这标志着该威胁组织的攻击手法发生了转变。 这一活动由罗马尼亚网络安全公司 Bitdefender 观察到，涉及部署一种前所未见的勒索软件变种，名为 QWCrypt。 RedCurl 有着针对加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国等多地多个实体进行企业间谍攻击的历史。该组织自至少 2018 年 11 月以来一直活跃。 2020 年，Group-IB 记录的攻击链涉及使用带有 “人力资源”（HR）主题诱饵的鱼叉式网络钓鱼电子邮件来激活恶意软件部署过程。今年 1 月，Huntress 详细描述了该威胁组织针对加拿大多个组织的攻击，以部署名为 RedLoader 的加载程序，该程序具有 “简单的后门功能”。 上个月，加拿大网络安全公司 eSentire 揭露了 RedCurl 使用伪装成简历和求职信的垃圾 PDF 附件，在网络钓鱼信息中利用合法的 Adobe 可执行文件 “ADNotificationManager.exe” 侧载加载程序恶意软件。 Bitdefender 详细描述的攻击过程遵循相同的步骤，使用伪装成简历的可挂载磁盘镜像（ISO）文件来启动多阶段感染程序。在磁盘镜像中存在一个文件，它模仿 Windows 屏保（SCR），但实际上是由 ADNotificationManager.exe 执行的加载程序（“netutils.dll”）使用的二进制文件，通过 DLL 侧载执行。 “执行后，netutils.dll 立即用 open 动词发起 ShellExecuteA 调用，将受害者的浏览器定向到 https://secure.indeed.com/auth，”Bitdefender 技术解决方案总监 Martin Zugec 在一份与《黑客新闻》分享的报告中表示。 “这显示了一个合法的 Indeed 登录页面，这是一个精心设计的干扰，旨在误导受害者认为他们只是在打开简历。这种社会工程手段为恶意软件提供了在未被察觉的情况下运行的窗口。” 加载程序还充当下载程序，用于下载下一阶段的后门 DLL，同时通过计划任务在主机上建立持久性。然后使用程序兼容性助手（pcalua.exe）执行新检索到的 DLL，这种技术在 2024 年 3 月由 Trend Micro 详细描述。 植入物提供的访问权限为横向移动铺平了道路，使威胁者能够在网络中导航、收集情报并进一步升级访问权限。但似乎是一个重大的转变，他们已知的作案手法之一也导致了勒索软件的首次部署。 “这种有针对性的攻击可以被解释为一种试图用最小的努力造成最大损害的尝试，”Zugec 说。“通过加密托管在 hypervisors 上的虚拟机，使其无法启动，RedCurl 有效地禁用了整个虚拟化基础设施，影响所有托管服务。” 勒索软件可执行文件除了采用 “自带易受攻击的驱动程序”（BYOVD）技术来禁用端点安全软件外，还会在启动加密例程之前采取步骤收集系统信息。此外，加密后留下的勒索便条似乎受到 LockBit、HardBit 和 Mimic 团伙的启发。 “这种重复使用现有勒索便条文本的做法引发了关于 RedCurl 团伙的起源和动机的问题，”Zugec 说。“值得注意的是，没有已知的专门泄露网站（DLS）与该勒索软件相关联，目前尚不清楚勒索便条是否代表真正的敲诈企图或是一种转移注意力的手段。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处: 名为 EncryptHub 的威胁组织利用了微软 Windows 中最近修复的安全漏洞作为零日漏洞，来投放包括后门和信息窃取器（如 Rhadamanthys 和 StealC）在内的多种恶意软件家族。 “在这次攻击中，威胁者操纵 .msc 文件和多语言用户界面路径（MUIPath），以下载并执行恶意载荷、维持持久性和从受感染系统中窃取敏感数据，”Trend Micro 研究员 Aliakbar Zahravi 在分析中表示。 所涉及的漏洞是 CVE-2025-26633（CVSS 评分：7.0），微软将其描述为 Microsoft Management Console（MMC）中的不正确中和漏洞，可能允许攻击者在本地绕过安全功能。该公司在本月初的 Patch Tuesday 更新中修复了这一漏洞。 Trend Micro 已将该漏洞利用命名为 MSC EvilTwin，并将疑似俄罗斯活动集群追踪为 Water Gamayun。该威胁组织还被称为 LARVA-208。 CVE-2025-26633 核心上利用了 Microsoft Management Console 框架（MMC），通过名为 MSC EvilTwin 加载程序的 PowerShell 加载程序执行恶意 Microsoft Console（.msc）文件。 具体来说，它涉及加载程序创建两个同名的 .msc 文件：一个干净文件和一个恶意文件，后者被放置在同一个位置但位于名为 “en-US” 的目录中。其想法是，当运行前者时，MMC 会意外地选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径（MUIPath）功能实现的。 “通过滥用 mmc.exe 使用 MUIPath 的方式，攻击者可以为 MUIPath en-US 配备恶意 .msc 文件，导致 mmc.exe 加载并执行恶意文件，而不是原始文件，且在受害者不知情的情况下进行，”Zahravi 解释说。 EncryptHub 还被观察到采用另外两种方法，利用 .msc 文件在受感染系统上运行恶意载荷： – 使用 MMC 的 ExecuteShellCommand 方法在受害者的机器上下载并执行下一阶段的载荷，这种方法此前由荷兰网络安全公司 Outflank 于 2024 年 8 月记录在案。 – 使用伪造的可信目录（如 “C:\Windows \System32”）来绕过用户账户控制（UAC），并投放名为 “WmiMgmt.msc” 的恶意 .msc 文件。 Trend Micro 表示，攻击链可能从受害者下载伪装成合法中国软件（如钉钉或 QQTalk）的数字签名 Microsoft 安装程序（MSI）文件开始，然后用于从远程服务器获取并执行加载程序。据说该威胁组织自 2024 年 4 月以来一直在试验这些技术。 “这场活动正处于积极发展阶段，它采用多种投递方法和定制载荷，旨在维持持久性、窃取敏感数据，然后将其外泄至攻击者的命令与控制（C&C）服务器，”Zahravi 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大安全意识培训提供商Beauceron Security的负责人大卫·希普利（David Shipley）周一回应了美国联邦调查局（FBI）丹佛办事处本月初发布的一则警告，该警告涉及一种利用免费在线文档转换工具窃取信息或向毫无戒心的用户计算机植入恶意软件的骗局的增长。 “使用被污染的网站，这些网站可能试图通过未打补丁的浏览器部署恶意软件，或者使用特洛伊木马程序部署远程访问工具，这些方法是寻找传统带有恶意Office附件的网络钓鱼替代方式的有效手段，”他指出。 为了实施这一骗局，美国联邦调查局表示，“全球的网络犯罪分子正在使用任何类型的免费文档转换或下载工具。这可能是一个声称将一种文件类型转换为另一种的网站，例如将.doc文件转换为.pdf文件。它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 该机构称，除了执行承诺的任务外，恶意工具还会从提交的文件中抓取个人身份信息、银行信息、电子邮件地址和密码。 信息科技研究集团（Info-Tech Research Group）的首席研究总监弗雷德·沙格农（Fred Chagnon）呼应了美国联邦调查局的警告，指出，“使用在线文档转换器的担忧是双重的。首先，也是最突出的是，你无法信任你得到的文件的完整性。即使是恶意服务也会为用户执行实际的转换。” 然而，他说，“生成的PDF文件可能包含嵌入式JavaScript代码，该代码在启动时执行，或者在Word或Excel文档的情况下，Visual Basic代码形式的宏可能隐藏在文档中。端点检测和响应工具可以作为抵御这些恶意程序的一层防御，但这并非万无一失。” 其次，他补充说，无法确定服务对上传文件中的数据做了什么，这些文件可能包含敏感或机密信息。 桑斯技术研究所（SANS Technology Institute）研究院长约翰内斯·乌尔里希（Johannes Ullrich）博士说，“这些攻击很简单。用户被欺骗执行恶意代码，声称该代码是一个文件转换工具。过去，攻击者声称是‘破解软件’（软件的许可证检查被移除）或游戏作弊。” 在这种情况下，他说，“用户通常会在谷歌上搜索一个工具，例如将Word文档转换为PDF。坏人有时会购买谷歌广告，或者操纵搜索排名，使其恶意工具出现在结果列表的顶部。在某些情况下，他们可能会回复像Stackoverflow这样的网站上的问题，以宣传恶意工具。” 一旦受害者执行程序，乌尔里希说，“工具将运行恶意代码。在某些情况下，工具会直接退出，并在用户看来‘损坏’。在其他情况下，工具可能同时执行合法操作和恶意操作。” 此外，美国联邦调查局丹佛办事处的公共事务官员维姬·米戈亚（Vikki Migoya）在电子邮件中表示，“骗子试图模仿合法的网址——只改变一个字母，或者用‘INC’代替‘CO’。过去在搜索引擎中输入‘免费在线文件转换器’的用户容易受到攻击，因为现在用于结果的算法通常包括付费结果，这些结果可能是骗局。” 她说，“在过去的一个月里，丹佛都会区的一个公共部门实体遭到了这种骗局的攻击，并随后遭遇了勒索软件攻击。”她拒绝提供更多细节，指出，“任何其他细节，包括有多少案例或何时首次出现，都会让骗子知道什么对他们有效，以及我们已经发现了他们的哪些骗局。” 网络安全软件和咨询公司Emsisoft的威胁分析师卢克·康诺利（Luke Connolly）说，美国联邦调查局发布警告这一事实很好地表明这个问题相当普遍，应该被严肃对待。 他说，防御措施包括只使用来自可信供应商的服务，在打开来自外部来源的文件之前使用端点保护进行扫描，使用网络保护阻止访问已知的恶意网站，以及仔细检查任何你正在交换信息的网站的网址。 康诺利说，不要“只看标志。骗子使用的域名看起来很可信，但并非如其表面所示，在快速浏览时，‘rn’组合看起来像‘m’。” 希普利补充说，IT部门可以通过解决根本问题来帮助降低风险。“理解业务摩擦痛点，比如文件转换，这有助于改变与同事的关系，将IT和安全部门从令人讨厌的‘不’部门转变为友好的‘知道如何安全地做这件事’部门，”他指出。 他说，简单的答案是IT部门要确保普通用户不能从未经批准的来源安装软件，并且浏览器和操作系统已更新。但他指出，“如果有人认为他们需要为工作做某事而工具没有提供，他们可能会试图绕过控制。”例如，他们可能会将文件电子邮件发送到他们的私人账户，并使用不安全的个人设备进行转换。 降低这种风险的唯一方法是通过用户教育，并提供人们需要的工具，使他们能够成功完成工作，他补充说。 乌尔里希表示同意。他说，用户应该对任何下载的来源保持谨慎，尽可能坚持使用官方应用商店。此外，他说，“组织的安全部门还应通过提供经过审查的工具库来支持用户。反恶意软件可能有帮助，但效果参差不齐。”   消息来源：CSO Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 博通公司（Broadcom）今日发布安全更新，修复了VMware Tools for Windows中的一个高危身份验证绕过漏洞。 VMware Tools是一套专为提升性能、图形显示及整体系统集成而设计的驱动程序和实用工具，适用于在VMware虚拟机中运行的客户操作系统。 该漏洞（CVE-2025-22230）源于访问控制不当，由俄罗斯网络安全公司Positive Technologies的Sergey Bliznyuk报告，该公司因涉嫌交易黑客工具而受到制裁。 具有低权限的本地攻击者可在无需用户交互的低复杂度攻击中利用该漏洞，在易受攻击的虚拟机上获取高权限。 “恶意行为者若在Windows客户虚拟机上拥有非管理员权限，可能会获得在该虚拟机内执行某些高权限操作的能力，”VMware在周二发布的一份安全公告中解释道。 本月早些时候，博通还修复了三个VMware零日漏洞（CVE-2025-22224、CVE-2025-22225和CVE-2025-22226），这些漏洞在攻击中被利用，由微软威胁情报中心报告。 正如公司当时所解释的，拥有特权管理员或root访问权限的攻击者可将这些漏洞串联起来，以逃逸虚拟机的沙箱。 补丁发布数日后，威胁监测平台Shadowserver发现超过37000个暴露在互联网上的VMware ESXi实例易受CVE-2025-22224攻击。 勒索软件团伙和国家赞助的黑客经常以VMware漏洞为目标，因为VMware产品在企业运营中广泛用于存储或传输敏感企业数据。 例如，在11月，博通警告称攻击者正在利用两个VMware vCenter Server漏洞：一个特权提升到root的漏洞（CVE-2024-38813）和一个关键的远程代码执行漏洞（CVE-2024-38812），后者是在2024年中国矩阵杯黑客大赛期间被发现的。 2024年1月，博通还披露称中国国家黑客自2021年底以来一直在利用一个关键的vCenter Server零日漏洞（CVE-2023-34048），在受影响的ESXi系统上部署VirtualPita和VirtualPie后门。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare宣布，其R2对象存储及相关服务出现了一次持续1小时7分钟的故障，导致全球100%的写入请求和35%的读取请求失败。 Cloudflare R2是一种可扩展的、与S3兼容的对象存储服务，具有免费的数据检索、多区域复制以及与Cloudflare的紧密集成等特点。 此次故障发生在UTC时间21:38至22:45之间，据称是由一次凭证轮换操作导致R2网关（API前端）失去对后端存储的认证访问权限所引发的。 具体而言，新凭证被错误地部署到了开发环境而非生产环境，而当旧凭证被删除后，生产服务便失去了有效的凭证。 问题的根源在于遗漏了一个命令行标志’–env production’，这导致新凭证被部署到了生产R2网关工作程序而非生产工作程序。 R2网关工作程序认证示意图（图片来源：Cloudflare） 由于问题的性质以及Cloudflare服务的工作方式，这一错误配置并未立即显现，导致修复工作进一步延迟。 “R2可用性指标的下降是逐渐的，并非立即显而易见，因为之前凭证删除到存储基础设施的传播存在延迟，”Cloudflare在其事件报告中解释道。 “这导致我们最初发现问题存在延迟。在更新旧凭证集后，我们不应依赖可用性指标，而应明确验证R2网关服务用于认证R2存储基础设施的令牌。” 尽管此次事件未导致客户数据丢失或损坏，但仍造成了部分或全部服务降级，影响了以下服务： R2：100%写入请求失败，35%读取请求失败（缓存对象仍可访问） 缓存储备：由于读取请求失败，源流量增加 图片和流媒体：所有上传请求失败，图片传输量降至25%，流媒体降至94% 电子邮件安全、向量化、日志交付、计费、密钥透明度审计员：不同程度的服务降级 为防止类似事件在未来再次发生，Cloudflare改进了凭证日志记录和验证，并强制使用自动化部署工具，以避免人为错误。 公司还正在更新标准操作程序（SOP），要求对凭证轮换等高影响操作进行双重验证，并计划增强健康检查，以便更快地发现根本原因。 Cloudflare的R2服务在2月也曾因人为错误导致1小时的故障。 当时，一名操作员在处理有关服务中钓鱼URL的滥用报告时，关闭了整个R2网关服务，而不是仅阻止特定端点。 由于缺乏对高影响操作的安全保障和验证检查，导致了此次故障，促使Cloudflare计划并实施额外措施，以改进账户配置、更严格的访问控制以及对高风险操作的两方批准流程。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CrushFTP向客户发出警告，称存在一个未授权的HTTP(S)端口访问漏洞，并敦促他们立即更新服务器。 正如该公司在上周五发给客户的一封电子邮件中所解释的（BleepingComputer已看到该邮件），如果未打补丁的服务器通过HTTP(S)暴露在互联网上，该安全漏洞将使攻击者能够获得未授权的访问权限。 “请立即采取行动尽快打补丁。今天（2025年3月21日）已解决一个漏洞。所有CrushFTP v11版本均受影响。（没有更早的版本受到影响。）即将生成CVE编号，”该公司警告道。 “这个漏洞的核心在于暴露的HTTP(S)端口可能导致未授权访问。如果你启用了CrushFTP的DMZ功能，该漏洞将得到缓解。” 尽管邮件称此漏洞仅影响CrushFTP v11版本，但同一天发布的安全公告却指出，CrushFTP v10和v11均受影响，正如网络安全公司Rapid7首次指出的那样。 作为临时解决方案，那些无法立即更新至CrushFTP v11.3.1+（该版本修复了该漏洞）的用户可以启用DMZ（非军事区）外围网络选项来保护其CrushFTP实例，直到安全更新得以部署。 根据Shodan的数据显示，有超过3400个CrushFTP实例的Web界面暴露在互联网上，容易受到攻击，尽管BleepingComputer无法确定其中有多少已经打过补丁。 暴露在互联网上的CrushFTP实例（Shodan数据） 在2024年4月，CrushFTP还发布了安全更新，修复了一个正在被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未授权的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。 当时，网络安全公司CrowdStrike发现了指向情报收集活动的证据，很可能是出于政治动机，攻击者针对了美国多个组织的CrushFTP服务器。 美国网络安全和基础设施安全局（CISA）将CVE-2024-4040添加到了其已知被利用漏洞目录中，并命令美国联邦机构在一周内确保其网络中易受攻击的服务器安全。 在2023年11月，CrushFTP客户还被警告要修复其企业套件中的一个严重远程代码执行漏洞（CVE-2023-43177），在该漏洞被修复三个月后，报告该漏洞的Converge安全研究人员发布了一个概念验证利用。 像CrushFTP这样的文件传输产品是勒索软件团伙的诱人目标，特别是Clop团伙，该团伙与针对MOVEit Transfer、GoAnywhere MFT、Accelion FTA和Cleo软件中的零日漏洞的数据盗窃攻击有关联。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云安全公司Wiz披露了Kubernetes Ingress NGINX控制器中存在的一组五个严重安全漏洞，这些漏洞可能导致无认证的远程代码执行，使超过6500个集群面临风险，因为该组件暴露在公共互联网上。 这些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974）被统称为IngressNightmare，CVSS评分为9.8。值得注意的是，这些缺陷不影响NGINX Ingress控制器，后者是NGINX和NGINX Plus的另一种Ingress控制器实现。 “利用这些漏洞，攻击者可以未经授权访问Kubernetes集群中所有命名空间中存储的所有机密，可能导致集群被接管，”该公司在一份与The Hacker News共享的报告中表示。 IngressNightmare主要影响Kubernetes Ingress NGINX控制器的准入控制器组件。大约43%的云环境容易受到这些漏洞的影响。 Ingress NGINX控制器使用NGINX作为反向代理和负载均衡器，使其能够将HTTP和HTTPS路由从集群外部暴露给内部服务。 该漏洞利用了部署在Kubernetes pod中的准入控制器在没有认证的情况下可通过网络访问的事实。 具体来说，它涉及通过直接向准入控制器发送恶意Ingress对象（也称为AdmissionReview请求），远程注入任意NGINX配置，从而在Ingress NGINX控制器的pod上执行代码。 “准入控制器的高权限和不受限制的网络可访问性创建了一个关键的升级路径，”Wiz解释道。“利用这个缺陷，攻击者可以执行任意代码并访问所有跨命名空间的集群机密，这可能导致完整的集群接管。” 这些缺陷如下： CVE-2025-24513（CVSS评分：4.8）——一个不正确的输入验证漏洞，可能导致容器内的目录遍历，结合其他漏洞可能导致拒绝服务（DoS）或有限的集群机密对象披露 CVE-2025-24514（CVSS评分：8.8）——auth-url Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1097（CVSS评分：8.8）——auth-tls-match-cn Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1098（CVSS评分：8.8）——mirror-target和mirror-host Ingress注解可用于将任意配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1974（CVSS评分：9.8）——无需凭据或管理访问权限即可实现集群接管 在一个实验性的攻击场景中，威胁行为者可以利用NGINX的客户端请求体缓冲功能，以共享库的形式将恶意载荷上传到pod，然后向准入控制器发送AdmissionReview请求。 该请求包含上述配置指令注入之一，导致共享库被加载，从而实现远程代码执行。 Wiz的云安全研究员Hillai Ben-Sasson告诉The Hacker News，攻击链本质上涉及注入恶意配置，并利用它读取敏感文件和运行任意代码。这随后可能允许攻击者滥用强服务账户以读取Kubernetes机密并最终促进集群接管。 在一份独立的咨询报告中，Kubernetes安全响应委员会表示，除了CVE-2025-1974之外的所有漏洞都涉及改进Ingress NGINX处理某些配置参数的方式。另一方面，CVE-2025-1974可以与其他漏洞结合，无需凭据或管理访问权限即可实现集群接管。 在负责任地披露后，这些漏洞已在Ingress NGINX Controller版本1.12.1、1.11.5和1.10.7中得到修复。 建议用户尽快更新到最新版本，并确保准入网络钩子端点不被外部暴露。 作为缓解措施，建议仅允许Kubernetes API服务器访问准入控制器，并在不需要时暂时禁用准入控制器组件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年11月至2025年2月期间，国际刑警组织在贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚等七个非洲国家开展了一项代号为“红牌行动”的国际行动，共逮捕了306名嫌疑人，并查获了1842台设备。 国际刑警组织表示，此次协调一致的行动“旨在打击和瓦解对个人和企业造成重大危害的跨境犯罪网络”，并指出其重点针对移动银行、投资和消息传递应用的诈骗。 这些网络诈骗涉及5000多名受害者。参与行动的国家包括贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚。 “红牌行动”的成功表明，在打击没有国界且可能对个人和社区造成毁灭性影响的网络犯罪方面，国际合作的力量，”国际刑警组织网络犯罪局局长尼尔·杰顿表示。“重要资产和设备的追回以及关键嫌疑人的逮捕，向网络犯罪分子发出了强烈信息，即他们的行为不会不受惩罚。” 在打击行动中，尼日利亚警方逮捕了130人，其中包括113名外国人，他们涉嫌参与在线赌场和投资诈骗。一些在诈骗中心工作的人据说是人口贩卖的受害者，并被迫实施非法计划。 另一个值得注意的行动是，南非当局逮捕了40人，并查获了1000多张用于大规模短信钓鱼攻击的SIM卡。 在其他地方，赞比亚官员逮捕了14名涉嫌犯罪团伙成员，他们通过短信钓鱼链接安装恶意软件，入侵受害者的手机并获得其银行应用的未经授权访问权限。Group-IB表示，该恶意软件还使犯罪分子能够控制消息传递应用，从而将欺诈链接传播给其他人。 俄罗斯网络安全厂商卡巴斯基指出，已与国际刑警组织分享了其对一款针对非洲国家用户的恶意Android应用的分析以及相关基础设施的信息。 此外，卢旺达当局逮捕了45名犯罪网络成员，他们因参与社会工程诈骗而被指控，在2024年骗取受害者超过30.5万美元。在被盗资金中，已追回103,043美元，并查获292台设备。 国际刑警组织表示：“他们的手段包括冒充电信员工并声称虚假的‘中奖’来获取敏感信息并访问受害者的移动银行账户。”“另一种方法是冒充受伤的家庭成员，向亲属请求资金以支付医院账单。” 逮捕消息传出之际，正值国际刑警组织几周前宣布与非洲开发银行集团建立合作伙伴关系，以更好地打击该地区的腐败、金融犯罪、网络诈骗和洗钱行为。 本月早些时候，泰国皇家警察和新加坡警察逮捕了一名在全球范围内造成90多起数据泄露事件的个人，其中包括65起在亚太地区。该威胁行为者于2020年12月4日首次公开出现，使用别名ALTDOS、mystic251、DESORDEN、GHOSTR和0mid16B进行活动。 这些攻击涉及使用SQL注入工具（如SQLmap）获取敏感数据，随后部署Cobalt Strike Beacons以持续控制被攻破的主机。 Group-IB在一份详细说明该威胁行为者作案手法的报告中表示：“他针对面向互联网的Windows服务器，专门搜索包含个人信息的数据库。”“在攻破这些服务器后，他窃取了受害者的数据，在某些情况下，还在被攻破的服务器上对其进行了加密。” 这些攻击的最终目标是获取经济利益，迫使受害者要么支付赎金，要么冒着其机密数据被公开的风险。来自孟加拉国、加拿大、印度、印度尼西亚、马来西亚、巴基斯坦、新加坡、泰国和美国的多个实体的数据在CryptBB、RaidForums和BreachForums等暗网论坛上被泄露。 Group-IB研究人员指出：“在他所有四个别名中一个持续的细节是其发布被盗数据截图的方法。”“无论他如何重新品牌化，他始终直接从同一台设备上传图像，揭示了一个关键的操作指纹。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文