HackerNews

HackerNews 编译，转载请注明出处： 一名使用化名 “CoreInjection” 的黑客声称对以色列网络安全公司 Check Point 进行入侵，声称获得了敏感的内部数据和网络系统访问权限。 该黑客于 2025 年 3 月 30 日星期日在 Breach Forums 论坛上发布了这一声明，并宣布以 5 枚比特币（约 434,570 美元）的价格出售所窃取的内容。黑客强调，该价格”固定且不可协商”，且仅接受加密货币付款。有兴趣的买家需通过 TOX 消息平台联系。   在论坛的帖子中，CoreInjection 声称出售的数据包括：   – 内部项目文档   – 用户凭据（包括哈希和明文形式）   – 内部网络地图和架构图   – 专有软件的源代码和编译二进制文件   – 员工联系方式，包括电话号码和电子邮件地址   Check Point 公司的回应   在该帖子引起关注后不久，Check Point 发表声明，否认近期发生过如此规模的入侵事件。公司表示，该黑客的说法涉及的是”一个已知的、非常有限的旧事件”，该事件影响的仅是少数组织，且未涉及核心系统。   “此事件在几个月前就已得到处理，并不包含暗网论坛帖子中描述的内容，”Check Point 在声明中表示。”受影响的组织当时已得到通知和妥善处理，此次曝光不过是对旧信息的再度炒作。”   公司坚称，其客户、基础设施或内部运营均未受到安全威胁，并澄清称，受影响的门户网站并未涉及生产环境或包含敏感架构的系统。   CoreInjection 是谁？   CoreInjection 是网络犯罪领域的一个相对新面孔，但已迅速因针对关键基础设施和高端网络（特别是以色列的目标）而声名鹊起。该黑客于 2025 年 3 月 15 日首次出现在 Breach Forums 上，并自那时起已发布了 5 条出售企业网络访问权限的帖子。   其最早的一条帖子是出售对一家总部位于美国的工业机械和设备公司管理面板的访问权限，标价 100,000 美元。然而，不久之后，黑客的攻击目标展现出了一个明显的地理倾向——以色列。   2025 年 3 月 16 日，CoreInjection 声称在出售某以色列国际汽车公司的网络和管理电子邮件访问权限。据称，该访问权限包含对该公司”以色列网络基础设施的完全控制权”，售价 50,000 美元。   两天后的 3 月 18 日，黑客又发布了一条帖子，出售对一家以色列”知名数字屏幕公司”的”完整系统访问权限”。该帖子称，黑客可访问管理大型商场中的数字显示屏服务器，售价 100,000 美元，并强调该权限可实现”即时内容修改和传播”，也就是说，可以实时控制公共显示屏的内容。   这一细节引起了网络安全专家的警觉。过去，与伊朗、真主党和巴勒斯坦黑客组织有关的团体曾多次攻击 CCTV 摄像头、电视信号和公共显示屏，通常用于政治宣传。如果 CoreInjection 的声明属实，这类访问权限的出售可能会为类似的高曝光度攻击提供可乘之机。   2025 年 3 月 20 日，该黑客又发布了一条帖子，出售某以色列电气产品公司的客户和订单数据库，并声称数据”独家且最新”，售价 30,000 美元。   综合来看，CoreInjection 的一系列出售信息显示出明确的攻击模式：高价值访问权限、关键系统以及对以色列基础设施的强烈兴趣。无论其是独立行动，还是隶属于更广泛的组织，该黑客的活动都已引起地下论坛和网络安全界的关注。   仍存疑问   尽管 Check Point 试图安抚公众，但黑客对被窃数据的详细描述仍然引发了担忧。如果这些数据属实，其中提到的内部网络架构、明文凭据和专有软件，可能表明黑客的访问权限比 Check Point 公开承认的要深得多。   此外，仍有几个关键问题未得到解答。如果这确实是一个旧事件，为什么当时未被公开披露？对于一家规模如此庞大的网络安全公司来说，透明度应当是基本要求。而且，Check Point 尚未提供任何关于事件发生方式的细节，这使得外界无法判断其攻击路径究竟是什么——是错误配置的门户？凭据泄露？内部威胁？还是其他原因？   同时，Check Point 也未说明是否已查明黑客的入侵方式，或是否已锁定任何可能的嫌疑人。在缺乏这些信息的情况下，外界难以评估此次攻击是否已被完全遏制，或者仍然存在持续威胁。   这一事件发生之际，网络犯罪分子正越来越多地将网络安全公司本身作为攻击目标，往往利用微小的安全漏洞，进而引发更大规模的数据泄露。无论 CoreInjection 的声明是否属实，该事件都表明，即使是专门从事网络安全防御的公司，也无法完全免受黑客攻击的威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州成为法律风暴的中心，因为一起针对甲骨文公司的集体诉讼。该诉讼于2025年3月31日在美国德克萨斯州西区联邦法院提起，指控甲骨文未能保护敏感信息，并未及时通知受影响的个人。 此次数据泄露事件最初于2025年3月22日由Hackread.com报道。一名使用“rose87168”化名的黑客声称在2025年1月入侵了甲骨文的云基础设施。据该黑客称，泄露的数据包括加密的单点登录密码、Java KeyStore（JKS）文件、企业管理器JPS密钥以及与甲骨文云的单点登录和LDAP系统相关的用户凭证。据称，被盗数据集包含约600万用户的信息。 甲骨文公开否认了此次数据泄露，并拒绝进一步说明。然而，网络安全公司CloudSEK进行了一项独立调查，并声称找到了“确凿证据”证明数据泄露。2025年3月31日，黑客在Breach Forums上发布了更多证据，包括甲骨文云环境的内部LDAP记录和部分凭证。 一名论坛管理员据称验证了数据的真实性，尽管Hackread.com表示，在甲骨文提供透明度之前，它无法独立确认数据泄露的全部情况。然而，根据TechMundo的报道，其分析了数据并发现其为真实。 这起集体诉讼由佛罗里达州居民迈克尔·托伊卡奇于2025年3月31日提起，他声称自己的私人信息通过一家使用甲骨文软件的医疗保健提供者存储在甲骨文的系统中。诉讼称，甲骨文未能达到行业标准安全实践，并指控该公司疏忽、违反受托责任、不当得利以及违反第三方受益人合同。 托伊卡奇声称，自消息传出以来，他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出，甲骨文未能遵守德克萨斯州法律，该法律要求组织在确认数据泄露后60天内通知受影响的个人。截至提起诉讼之日，甲骨文尚未发出任何此类通知。 提高赌注的是泄露数据的性质。诉讼强调，泄露不仅涉及个人身份识别信息（PII），还涉及敏感的健康数据。它引用了多个来源，包括彭博社和HIPAA Journal，这些报道称甲骨文已开始悄悄地向一些医疗保健客户发出患者数据泄露的警报。黑客的帖子威胁要发布受影响公司的完整名单，并提出如果特定组织支付费用来删除其员工记录，可以将其排除在外。 诉讼列出了甲骨文的一长串所谓失误，包括缺乏适当的加密、糟糕的网络监控以及未能及时检测或应对数据泄露。它还引用了甲骨文自己的公开隐私政策，该政策称公司会在不无故延迟的情况下报告任何数据泄露，但诉讼称这种情况并未发生。 随着对补偿性损害赔偿、信用监控服务以及对甲骨文数据安全基础设施改革的要求，这起集体诉讼正成为甲骨文多年来面临的最重要的法律挑战之一。此案还可能重新引发关于云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的辩论。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元（约 1.62 亿美元）罚款。 法国竞争管理局（Autorité de la concurrence）表示，将对苹果公司处以经济处罚，原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间，滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架，要求移动应用必须获得用户的明确同意，才能访问其设备的唯一广告标识符（即广告商标识符 IDFA），并在应用程序和网站之间跟踪用户，以进行定向广告投放。 “除非您获得用户的许可以启用跟踪，否则设备的广告标识符值将全部为零，您不得对其进行跟踪，”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示，但只有在您展示该提示并用户授予权限后，设备的广告标识符值才会被返回。” 除了请求跟踪权限外，应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题，但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的，也不成比例，”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”，并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求，因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是，用户在同意被跟踪时需要进行两次确认，而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪，但苹果公司在其自有应用中并未向用户请求同意（直到 iOS 15 实施之后），”该机构指出。”由于这一不对称性，法国国家信息与自由委员会（CNIL）对苹果处以罚款，认定其违反了《法国数据保护法》第 82 条，该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在，因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意，而对于第三方数据收集，仍然要求开发者获得双重同意。” 值得注意的是，该命令并未要求对 ATT 框架进行具体更改。据路透社报道，这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说，这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中，该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示，ATT 提示对所有开发者（包括苹果自身）都是一致的，并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激增，近24000个唯一IP地址试图访问这些门户。 威胁情报公司GreyNoise表示：“这种模式表明有协调的努力来探测网络防御并识别暴露或易受攻击的系统，可能作为针对性利用的前奏。” 据称，这次激增始于2025年3月17日，每天约有20000个唯一IP地址参与，直到3月26日才减少。在高峰期，估计有23958个唯一IP地址参与了此次活动。其中，只有154个IP地址被标记为恶意。 美国和加拿大成为流量的主要来源，其次是芬兰、荷兰和俄罗斯。此次活动主要针对美国、英国、爱尔兰、俄罗斯和新加坡的系统。 目前尚不清楚是什么驱动了这一活动，但它表明了一种系统性地测试网络防御的方法，这很可能为后续的利用铺平道路。 “在过去的18到24个月里，我们观察到一种一致的模式，即有针对性地针对旧漏洞或特定技术的成熟攻击和侦察尝试，”GreyNoise的数据科学副总裁鲍勃·鲁迪斯表示。“这些模式通常与2到4周后出现的新漏洞相吻合。” 鉴于这种不寻常的活动，拥有面向互联网的Palo Alto Networks实例的组织必须采取措施来保护其登录门户。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司在周一为旧型号和旧版本操作系统回溯修复了三个近期在野外被积极利用的漏洞。 以下是相关漏洞： – CVE-2025-24085（CVSS评分：7.3）——核心媒体组件中的一个use-after-free漏洞，可能允许已安装在设备上的恶意应用程序提升权限。 – CVE-2025-24200（CVSS评分：4.6）——辅助功能组件中的一个授权问题，可能使恶意行为者能够在锁定设备上禁用USB限制模式，作为网络物理攻击的一部分。 – CVE-2025-24201（CVSS评分：8.8）——WebKit组件中的一个越界写入问题，可能允许攻击者创建恶意网页内容，从而突破网页内容沙箱。 这些更新现已适用于以下操作系统版本： – CVE-2025-24085 —— 已在macOS Sonoma 14.7.5、macOS Ventura 13.7.5和iPadOS 17.7.6中修复。 – CVE-2025-24200 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 – CVE-2025-24201 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 这些修复涵盖了以下设备： – iOS 15.8.4和iPadOS 15.8.4 —— 适用于iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和iPod touch（第七代）。 – iOS 16.7.11和iPadOS 16.7.11 —— 适用于iPhone 8、iPhone 8 Plus、iPhone X、iPad第五代、iPad Pro 9.7英寸和iPad Pro 12.9英寸第一代。 – iPadOS 17.7.6 —— 适用于iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代。 苹果公司还发布了iOS 18.4和iPadOS 18.4来修复62个漏洞，macOS Sequoia 15.4来修复131个漏洞，tvOS 18.4来修复36个漏洞，visionOS 2.4来修复38个漏洞，以及Safari 18.4来修复14个漏洞。 尽管新披露的这些漏洞尚未被积极利用，但建议用户将其设备更新至最新版本，以防范潜在威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Lucid的新型复杂网络钓鱼即服务(PhaaS)平台，利用通过苹果iMessage和安卓富通信服务(RCS)传播的短信网络钓鱼消息，攻击了88个国家的169个实体。 Lucid的独特卖点在于其利用合法通信平台来绕过传统的基于短信的检测机制。 瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份技术报告中表示：“其可扩展的订阅模式使网络犯罪分子能够开展大规模网络钓鱼活动，以获取信用卡信息进行金融欺诈。” “Lucid利用苹果iMessage和安卓的RCS技术，绕过了传统的短信垃圾邮件过滤器，显著提高了投递和成功率。” Lucid被认为是讲中文的黑客组织XinXin（又名Black Technology）的作品，网络钓鱼活动主要针对欧洲、英国和美国，意图窃取信用卡数据和个人身份识别信息(PII)。 网络安全 更重要的是，该服务背后的威胁行为者还开发了其他PhaaS平台，如Lighthouse和Darcula，后者已更新为能够克隆任何品牌的网站以创建网络钓鱼版本。Lucid的开发者是代号为LARVA-242的威胁行为者，他也是XinXin组织的关键人物。 这三个PhaaS平台在模板、目标池和战术上有重叠，暗示了一个繁荣的地下经济，讲中文的行为者利用Telegram以订阅方式宣传他们的产品以获取利润。 利用这些服务的网络钓鱼活动被发现冒充邮政服务、快递公司、收费支付系统和税务退款机构，使用令人信服的网络钓鱼模板欺骗受害者提供敏感信息。 这些大规模活动在后端通过iPhone设备农场和在Windows系统上运行的移动设备模拟器来发送数十万条包含虚假链接的诈骗消息。目标电话号码是通过各种方法获得的，如数据泄露和网络犯罪论坛。 “对于iMessage的链接点击限制，他们采用‘请回复Y’技术来建立双向通信，”PRODAFT解释说。“对于谷歌的RCS过滤，他们不断轮换发送域/号码以避免模式识别。” iMessage和RCS短信网络钓鱼 “对于iMessage，这涉及创建具有冒充显示名称的临时Apple ID，而RCS利用运营商在发送者验证中的实现不一致性。” 除了提供简化可定制网络钓鱼网站创建的自动化工具外，这些页面本身还结合了高级反检测和规避技术，如IP阻止、用户代理过滤和限时单次使用URL。 Lucid还支持通过面板实时监控受害者活动并记录与网络钓鱼链接的每一次交互，使其客户能够提取输入的信息。受害者提交的信用卡详细信息会经过额外的验证步骤。该面板是使用开源的Webman PHP框架构建的。 “Lucid PhaaS面板揭示了一个高度组织化和相互关联的网络钓鱼即服务平台生态系统，这些平台由讲中文的威胁行为者运营，主要在XinXin组织下，”该公司表示。 “XinXin组织开发和利用这些工具，并通过出售窃取的信用卡信息获利，同时积极监控和支持类似PhaaS服务的发展。” 值得注意的是，PRODAFT的发现与Palo Alto Networks Unit 42的发现相呼应，后者最近指出一些未具名的威胁行为者利用域名模式“com-”注册了超过10,000个域名，通过苹果iMessage传播各种短信网络钓鱼骗局。 随着Barracuda警告2025年初PhaaS攻击大幅增加，使用Tycoon 2FA、EvilProxy和Sneaky 2FA，这些服务分别占所有PhaaS事件的89%、8%和3%。 “网络钓鱼邮件是许多攻击的入口，从凭证盗窃到金融欺诈、勒索软件等等，”Barracuda安全研究员Deerendra Prasad表示。“推动网络钓鱼即服务的平台越来越复杂和隐蔽，使得传统安全工具更难检测网络钓鱼攻击，并且在造成损害方面更强大。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Gmail诞生21周年之际，谷歌宣布了一项重大更新，企业用户现在只需几次点击，即可向任何平台的任何用户邮箱发送端到端加密邮件。 该功能从今日起以测试版形式推出，允许用户向组织内的Gmail用户发送端到端加密邮件，未来几周将扩展至任何Gmail邮箱，并计划今年晚些时候支持所有邮箱平台。 这一新型加密模式——作为安全/多用途互联网邮件扩展（S/MIME）协议的替代方案——的亮点在于，发送方和接收方无需使用定制软件或交换加密证书。 “这种能力几乎无需IT团队和终端用户付出额外努力，消除了传统IT复杂性和现有解决方案的不佳用户体验，同时保留了增强的数据主权、隐私和安全控制，”谷歌工作空间的乔尼·伯克和朱利安·杜普兰表示。 实现端到端加密邮件的技术是客户端加密（CSE），谷歌已将其应用于Gmail及其他服务，如日历、云端硬盘、文档、幻灯片、表格和Meet。 因此，当向另一位Gmail用户发送端到端加密邮件时，消息会在接收端自动解密。对于非Gmail用户（如微软Outlook），谷歌邮件平台会向其发送一封邀请邮件，邀请其通过受限的Gmail版本查看端到端加密邮件，该版本可通过访客谷歌工作空间账户安全地查看和回复消息。 由于这一过程由客户端加密驱动，数据在传输或存储到谷歌云存储之前会在客户端进行加密，从而使其对包括谷歌在内的其他第三方实体不可读。 不过，客户端加密与端到端加密的一个关键区别在于，客户端使用的加密密钥是在云端密钥管理服务中生成和存储的，这使得组织管理员能够控制密钥、撤销用户对密钥的访问权限，甚至监控加密文件。 “首先，在结构层面，这种方法提供了更全面的加密保护，”伯克和德普兰表示，“无论你向谁发送消息，他们使用什么邮箱，你的消息都会被加密，且你拥有唯一的控制权。只有一套密钥，而你就是唯一拥有它们的人。” “其次，它简单易用，减少了IT团队和用户的摩擦，因为无需成为加密专家就能让其正常工作。这将为团队节省大量时间和金钱，最终为他们提供了一条通往大家渴望的路径：无痛且正常工作的邮件加密。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 暴露的PostgreSQL实例正成为持续攻击活动的目标，攻击者企图非法获取访问权限并部署加密货币挖矿程序。 云安全公司Wiz表示，此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种，涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。 研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示：“该威胁行为者不断进化，采取了防御规避技术，例如为每个目标部署具有独特哈希值的二进制文件，并以无文件方式执行挖矿载荷，这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。” Wiz还透露，该活动目前已导致超过1500名受害者受害，这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍，足以成为机会主义威胁行为者的攻击目标。 此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。 成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查，并投放一个Base64编码的载荷，实际上这是一个shell脚本，用于终止竞争性的加密货币挖矿程序，并投放一个名为PG_CORE的二进制文件。 服务器上还下载了一个经过混淆处理的Golang二进制文件，代号为postmaster，它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性，创建一个具有提升权限的新角色，并将另一个名为cpu_hu的二进制文件写入磁盘。 cpu_hu从GitHub下载最新版本的XMRig矿工，并通过一种称为memfd的已知Linux无文件技术在内存中启动它。 “威胁行为者为每个受害者分配了一个独特的挖矿工人，”Wiz表示，并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看，这表明该活动可能利用了超过1500台被攻陷的机器。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 戴尔科技公司发布了一项关键安全更新，以解决其 Unity 企业存储系统中的多个严重漏洞。这些漏洞可能允许攻击者以 root 权限执行任意命令、删除关键系统文件，并在无需身份验证的情况下进行其他恶意活动。 安全研究人员发现了 16 个不同的漏洞，这些漏洞影响运行 5.4 版本及更早版本的戴尔 Unity、UnityVSA 和 Unity XT 存储系统，其中最严重的漏洞在通用漏洞评分系统（CVSS）中的评分为 9.8 分。   CVE-2025-22398：远程 root 命令执行   CVE-2025-22398（CVSS 评分 9.8）允许通过未经身份验证的远程命令执行以 root 权限完全接管系统。攻击者可以构造针对 Unity API 的恶意网络请求，注入能以完全管理员权限执行的操作系统命令。这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。   戴尔发布安全公告明确指出，对该漏洞的利用“可能会导致系统被攻击者接管”，其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。   CVE-2025-24383：特权文件删除   CVE-2025-24383（CVSS 评分 9.1）漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件，从而对文件系统造成同样危险的破坏。攻击者可以删除关键的系统二进制文件、配置文件或数据存储，这有可能会使存储操作陷入瘫痪，或者为后续攻击创造条件。   虽然由于该漏洞对机密性的影响较小（无影响对比高影响），其评分略低，但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。   其他安全漏洞   该安全公告还详细说明了 CVE-2025-24381 漏洞，这是一个开放重定向漏洞，评分为 8.8 分，攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。   进一步加剧风险的是多个本地特权提升漏洞（CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386），CVSS 评分为 7.8 分，这些漏洞使得低权限的本地用户能够以 root 权限执行命令。   另外还有两个命令注入漏洞（CVE-2024-49601 和 CVE-2025-24382），CVSS 评分为 7.3 分，使得未经身份验证的远程攻击者能够执行影响程度较低的命令。   戴尔对负责任地披露这些漏洞的安全研究人员表示感谢：“prowser” 发现了关键的远程命令注入漏洞，而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。   受影响产品及修复措施   这些漏洞影响了戴尔广受欢迎的企业存储系统，包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。   戴尔已发布了 Dell Unity 操作环境（OE）5.5.0.0.5.259 版本作为修复方案，并强烈建议所有客户立即进行升级。   使用受影响的戴尔 Unity 系统的组织应评估自身面临的风险，实施推荐的更新，并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 佳能已发布一项重要的安全公告，内容涉及在该公司多款打印机驱动程序中检测到的一个严重漏洞，攻击者可能利用该漏洞在受影响的系统上执行任意代码。 这个被认定为 CVE-2025-1268 的漏洞，在通用漏洞评分系统（CVSS）基础评分中达到了 9.4 的高危分值，这表明受影响的佳能产品用户面临着重大的安全隐患。 严重越界漏洞详情 安全研究人员发现了一个越界漏洞，该漏洞特别影响到多款佳能 Generic Plus 打印机驱动程序中的 EMF（增强型图元文件）重新编码处理功能。 当通过受攻击的应用程序处理打印任务时，这个漏洞有可能使恶意行为者得以执行任意代码。这个漏洞的严重性体现在其 9.4 的 CVSS 评分上，使其被归入 “严重” 的安全等级，需要系统管理员和用户立即予以关注。 此外，这个漏洞尤其令人担忧，因为利用该漏洞无需权限、用户交互或特殊访问条件。这一分类意味着远程攻击者有可能以相对较低的难度利用这个漏洞。 该漏洞不仅可能扰乱打印操作，还可能成为更复杂攻击的切入点，使得未经授权的代码得以执行，从而危及系统的完整性和数据安全。 佳能对 Microsoft 攻击研究与安全工程团队（MORSE）负责任地报告这一漏洞表示感谢，特别认可研究人员 Robert Ord 在识别 CVE-2025-1268 漏洞方面所做出的贡献。 以下是该漏洞的概述： 风险因素 详情 受影响产品 – Generic Plus PCL6 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus UFR II 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPS4 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPSLX 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus PS 打印机驱动程序（V3.12 及更早版本） 影响 任意代码执行或干扰打印操作。 利用前提条件 无需权限、用户交互或特殊访问条件；可远程利用。 CVSS 3.1 评分 9.4（严重） 受影响的打印机驱动程序 佳能已确认该漏洞影响以下版本的打印机驱动程序： Generic Plus PCL6 打印机驱动程序 ——V3.12 及更早版本 Generic Plus UFR II 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPS4 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPSLX 打印机驱动程序 ——V3.12 及更早版本 Generic Plus PS 打印机驱动程序 ——V3.12 及更早版本 这些驱动程序广泛应用于佳能的各种生产型打印机、办公 / 小型办公多功能打印机以及激光打印机，有可能影响到全球成千上万的机构和个人用户。 佳能已开发出更新的打印机驱动程序来解决这一安全问题。该公司强烈建议所有用户通过当地佳能销售代表的网站安装最新版本的打印机驱动程序。 用户应优先进行此更新，以降低针对该漏洞的潜在攻击风险。 为了全面保护，IT 管理员应考虑实施额外的安全控制措施，例如对打印服务器进行网络分段以及加强对可疑打印活动的监控。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DarkCloud 是一种自2022年出现的复杂窃密恶意软件，迅速成为该类别中最普遍的威胁之一。 这种针对 Windows 系统的恶意软件已经进化到可以从受感染的系统中提取敏感信息，包括浏览器数据、FTP 凭证、截图、键盘记录和财务信息。 其主要传播方式是通过钓鱼活动，攻击者冒充合法公司或伪装成付款收据或罚款通知。这些攻击经常针对人力资源部门。其他传播途径包括恶意广告、水坑攻击以及与其他恶意软件（如 DbatLoader 或 ClipBanker）一起部署。 安全研究员 REXorVc0 识别了 DarkCloud 的广泛功能，指出该恶意软件采用多阶段感染过程，旨在规避检测。 “这种窃密软件的执行和传播主要由钓鱼活动推动，攻击者冒充了各种公司，”REXorVc0 在其技术分析中解释道。 其影响是巨大的，许多组织因数据窃密功能而受害，丢失了浏览器数据、加密货币钱包和凭证，而攻击者则通过 Telegram 频道进行操作。 DarkCloud 的感染链始于受害者访问恶意链接或下载受感染的文件。 初始载荷通常以压缩文件或脚本的形式交付，启动一个旨在绕过安全控制的多阶段过程。加载程序下载或提取下一阶段的内容，通常采用复杂的混淆技术。一个分析的样本使用了 Base64 编码和 TripleDES 加密： rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])   rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])   最终阶段涉及将窃密程序注入到合法的 Windows 进程中，如 svchost.exe 或 MSBuild。这种技术使 DarkCloud 能够隐秘运行，规避大多数安全解决方案，同时从浏览器、密码管理器和邮件客户端中收集敏感数据，并通过 Telegram 机器人进行数据外泄。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。 这种发展被视为 Lazarus “Contagious Interview” 活动的演变，该活动同样针对 AI 和加密货币领域的求职者。 ClickFix 是一种相对较新但日益常见的战术，威胁行为者利用网站或文档中的虚假错误提示，声称内容无法查看。页面随后提示用户通过运行 PowerShell 命令来“修复”问题，从而在系统上下载并执行恶意软件。 Sekoia 表示，在最新的活动中，Lazarus 假冒了多家知名公司，包括 Coinbase、KuCoin、Kraken、Circle、Securitize、BlockFi、Tether、Robinhood 和 Bybit，这些公司最近被朝鲜黑客窃取了创纪录的15亿美元。 “通过收集我们在所有虚假面试网站中识别出的数据（即 JSON 对象），我们能够确定哪些公司被无意中用作这些虚假面试的诱饵，”Sekoia 解释道。 “我们的分析基于从虚假面试网站检索到的184份不同的邀请。在这些邀请中，我们发现有14家公司的名称被用来诱使受害者完成申请流程。” Lazarus 采用 ClickFix 在2023年11月首次记录的“Contagious Interview”活动中，Lazarus 在 LinkedIn 或 X 上接近目标，向他们提供就业机会。 然后，他们利用托管在 GitHub 和 Bitbucket 等协作平台上的软件和编码测试项目，诱骗目标下载并在其系统上运行恶意软件加载程序，投放信息窃取器。 从2025年2月开始，Sekoia 表示 Lazarus 开始使用所谓的“ClickFake”活动，采用 ClickFix 战术来实现自我感染步骤，而攻击的早期阶段保持不变。 然而，研究人员指出，“Contagious Interview” 活动仍在进行中，这表明朝鲜人可能在并行运行这两种技术时评估其有效性。 在 ClickFake 攻击中，Lazarus 将重点从针对开发人员和程序员转向 CeFi 公司中担任非技术职务的人员，例如业务开发人员和市场经理。 这些人被邀请通过链接进入一个看似合法的网站进行远程面试，该网站使用 ReactJS 构建，包含联系表单、开放式问题，并要求提供视频介绍。 当目标尝试使用网络摄像头录制视频时，会出现一个虚假错误，声称驱动程序问题阻止了摄像头访问，并生成了解决问题的说明。 根据浏览器的用户代理，网站提供特定于操作系统的指令，支持 Windows 或 macOS。 受害者被指示在 CMD（Windows）或终端（macOS）中运行一个 curl 命令，这会使他们感染一个名为“GolangGhost”的基于 Go 的后门，并通过注册表修改和 LaunchAgent plist 文件建立持久性。 一旦部署，GolangGhost 会连接到其命令和控制（C2）服务器，用唯一机器 ID 注册新感染的设备，并等待命令。 该恶意软件可以执行文件操作、shell 命令执行、窃取 Chrome Cookie、浏览历史和存储的密码，以及收集系统元数据。 随着 Lazarus 多样化其攻击方法，潜在目标必须保持警惕，及时了解最新动态，并在下载或执行任何内容之前始终验证面试邀请。 切勿在 Windows 命令提示符或 macOS 终端中执行从互联网复制的任何内容，尤其是如果您不完全了解其功能。 Sekoia 还分享了组织可以用来检测和阻止 ClickFake 活动的 Yara 规则，以及与最新 Lazarus 活动相关的完整妥协指标列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软利用其AI驱动的安全副驾工具，在开源引导程序GRUB2、U-Boot和Barebox中发现了20个此前未知的漏洞。 GRUB2（GRand Unified Bootloader）是大多数Linux发行版的默认引导程序，包括Ubuntu，而U-Boot和Barebox则广泛用于嵌入式和物联网设备。 微软在GRUB2中发现了11个漏洞，包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及密码比较中的侧信道攻击。 此外，在U-Boot和Barebox中还发现了9个缓冲区溢出漏洞，这些漏洞涉及解析SquashFS、EXT4、CramFS、JFFS2和符号链接，需要物理访问才能利用。 这些新发现的漏洞影响依赖UEFI安全启动的设备，如果条件合适，攻击者可以绕过安全保护来在设备上执行任意代码。 虽然利用这些漏洞可能需要对设备进行本地访问，但此前的引导程序攻击（如BlackLotus）是通过恶意软件感染实现的。 微软解释称：“虽然威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox漏洞，但在GRUB2的情况下，漏洞可能被进一步利用来绕过安全启动并安装隐蔽的引导程序，或者可能绕过其他安全机制，如BitLocker。” “安装此类引导程序的后果是严重的，因为这可以授予威胁行为者对设备的完全控制，允许他们控制启动过程和操作系统，危及网络上的其他设备，并进行其他恶意活动。” “此外，这可能导致在操作系统重新安装或硬盘更换后仍然存在的持久性恶意软件。” 以下是微软在GRUB2中发现的漏洞摘要： CVE-2024-56737 – HFS文件系统挂载中的缓冲区溢出，由于对非空终止字符串的不安全strcpy操作 CVE-2024-56738 – 密码比较函数中的侧信道攻击（grub_crypto_memcmp不是恒定时间） CVE-2025-0677 – UFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0678 – Squash4文件读取中的整数溢出导致缓冲区溢出 CVE-2025-0684 – ReiserFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0685 – JFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0686 – RomFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0689 – UDF块处理中的越界读取 CVE-2025-0690 – 读取命令（键盘输入处理程序）中的有符号整数溢出和越界写入 CVE-2025-1118 – dump命令允许任意内存读取（应在生产环境中禁用） CVE-2025-1125 – HFS压缩文件打开中的整数溢出导致缓冲区溢出 除CVE-2025-0678被评为“高”（CVSS v3.1评分：7.8）外，所有上述漏洞均被评为中等严重性。 微软表示，安全副驾显著加速了在大型和复杂的代码库（如GRUB2）中的漏洞发现过程，节省了大约一周的时间，这些时间本将用于手动分析。 副驾识别漏洞并建议修复措施（来源：微软） AI工具不仅识别了此前未知的漏洞，还提供了针对性的缓解建议，这可以为开源项目（由志愿者和小型核心团队支持）提供指导，并加速安全补丁的发布。 利用分析中的发现，微软表示安全副驾在使用共享代码的项目中也发现了类似的漏洞，如U-Boot和Barebox。 GRUB2、U-Boot和Barebox在2025年2月发布了针对这些漏洞的安全更新，因此升级到最新版本应能缓解这些漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为 RESURGE 的新型恶意软件，该软件已被用于针对 Ivanti Connect Secure（ICS）设备上一个现已修复的安全漏洞的攻击活动。 CISA 表示：“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能，包括能够抵御系统重启；然而，RESURGE 包含独特的命令，可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。” 与恶意软件部署相关的安全问题是 CVE-2025-0282，这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞，可能导致远程代码执行。 该漏洞影响以下版本： Ivanti Connect Secure 22.7R2.5 之前的版本 Ivanti Policy Secure 22.7R1.2 之前的版本 Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本 据谷歌旗下的 Mandiant 公司称，CVE-2025-0282 已被武器化，用于传播所谓的 SPAWN 恶意软件生态系统，包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。 上个月，日本计算机应急响应中心（JPCERT/CC）透露，观察到该安全缺陷被用于传播 SPAWN 的一个更新版本，称为 SPAWNCHIMERA，它将上述所有不同的模块整合为一个单一的恶意软件，同时还进行了修改，以通过 UNIX 域套接字促进进程间通信。 值得注意的是，该修订版包含一个功能，可以修补 CVE-2025-0282，以防止其他恶意行为者利用它进行自己的攻击活动。 CISA 表示，RESURGE（“libdsupgrade.so”）是 SPAWNCHIMERA 的改进版，支持三种新命令： 将自身插入“ld.so.preload”，设置网页后门，操纵完整性检查和修改文件。 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。 CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件：RESURGE 中包含的 SPAWNSLOTH 变体（“liblogblock.so”）和一个定制的 64 位 Linux ELF 二进制文件（“dsmain”）。 CISA 称：“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件，包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像（vmlinux）。” 值得注意的是，CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon（前身为 Hafnium）作为零日漏洞加以利用，微软本月早些时候披露了这一消息。 最新发现表明，恶意软件背后的威胁行为者正在积极改进和调整其技术，因此组织必须立即将其 Ivanti 实例更新到最新版本。 作为进一步的缓解措施，建议重置特权和非特权账户的凭证，轮换所有域用户和所有本地账户的密码，审查访问策略以暂时撤销受影响设备的权限，重置相关账户的凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码，以维持远程访问权限，并将访客重定向至虚假网站。 mu-plugins（Must-Use 插件的简称）是指位于“wp-content/mu-plugins”目录中的插件，这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。 “这种方法反映了令人担忧的趋势，因为 mu-plugins 不会在标准的 WordPress 插件界面中列出，这使得它们在常规安全检查中容易被忽略，”Sucuri 研究员 Puja Srivastava 在分析中表示。 在网站安全公司分析的事件中，发现该目录中存在三种不同的恶意 PHP 代码： “wp-content/mu-plugins/redirect.php”：将访客重定向至外部恶意网站。 “wp-content/mu-plugins/index.php”：提供类似网页后门的功能，允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。 “wp-content/mu-plugins/custom-js-loader.php”：向受感染网站注入垃圾信息，可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容，并劫持外部链接至恶意网站。 Sucuri 表示，“redirect.php”伪装成浏览器更新，诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。 Srivastava 解释称：“该脚本包含一个功能，可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫，防止其检测到重定向行为。” 与此同时，攻击者继续利用受感染的 WordPress 网站作为跳板，通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式，诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略，并用于传播 Lumma Stealer 恶意软件。 受攻击的 WordPress 网站还被用于部署恶意 JavaScript，这些脚本可以将访客重定向至不受欢迎的第三方域名，或作为支付页面上的信息窃取工具，窃取用户输入的财务信息。 目前尚不清楚这些网站是如何被攻破的，但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。 根据 Patchstack 的最新报告，自今年年初以来，攻击者频繁利用 WordPress 插件中的四个不同安全漏洞： CVE-2024-27956（CVSS 评分：9.9）：WordPress Automatic 插件（AI 内容生成和自动发布插件）中的未授权任意 SQL 执行漏洞。 CVE-2024-25600（CVSS 评分：10.0）：Bricks 主题中的未授权远程代码执行漏洞。 CVE-2024-8353（CVSS 评分：10.0）：GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。 CVE-2024-4345（CVSS 评分：10.0）：Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。 为降低这些威胁带来的风险，WordPress 网站管理员应确保插件和主题保持最新版本，定期检查代码中的恶意软件，强制使用强密码，并部署网页应用防火墙以拦截恶意请求并防止代码注入。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个疑似俄罗斯的黑客组织 Water Gamayun（也被称为 EncryptHub 和 LARVA-208）利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633，部署了两款新的后门程序 SilentPrism 和 DarkWisp。 Water Gamayun 主要通过恶意配置包（.ppkg）、签名的 Microsoft 安装程序文件（.msi）和 Windows 管理控制台文件（.msc）来部署恶意负载。此次攻击利用了 CVE-2025-26633（也被称为 MSC EvilTwin），该漏洞存在于微软管理控制台（MMC）框架中，攻击者通过恶意的 Microsoft 控制台文件（.msc）来执行恶意软件。 – SilentPrism：这是一个 PowerShell 植入程序，能够实现持久化、同时执行多个 shell 命令，并保持远程控制，同时还具备反分析技术以逃避检测。 – DarkWisp：该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。 – Rhadamanthys Stealer：通过 MSC EvilTwin 加载器部署，该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件，最终部署该窃密程序。 攻击链涉及使用配置包（.ppkg）、签名的 Windows 安装程序文件（.msi）和 .msc 文件来传递信息窃取器和后门程序，这些程序能够实现持久化和数据窃取。此外，攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件（如钉钉、QQTalk 和 VooV Meeting），执行 PowerShell 下载器以获取和运行下一阶段的负载。 – Water Gamayun 还被发现利用其他商品化窃密程序（如 StealC）以及三种定制的 PowerShell 变体（EncryptHub 窃密程序变体 A、B 和 C）。 – 这些变体均基于开源的 Kematian 窃密程序修改而成，能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。 – 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族，如 Lumma Stealer、Amadey 和剪切板劫持器。 趋势科技提醒，Water Gamayun 在攻击中使用了多种交付方法和技术，例如通过签名的 Microsoft 安装程序文件传递恶意负载，并利用本地工具（LOLBAS）等手段，这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统，修补相关漏洞，以防止此类攻击。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家名为Morphing Meerkat的网络钓鱼即服务（PhaaS）运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS（DoH）协议逃避检测，并通过DNS邮件交换（MX）记录识别受害者的电子邮件提供商，动态生成超过114个品牌的仿冒登录页面。 大规模网络钓鱼行动 Morphing Meerkat自2020年起活跃，由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录，但该平台在过去几年中大多未被察觉。 作为一款完整的PhaaS工具包，Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施，用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。 该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商，发送带有类似“需要采取行动：账户停用”等紧急主题的邮件。这些邮件支持多种语言，包括英语、西班牙语、俄语和中文，且能够伪造发件人姓名和地址。 攻击流程 当受害者点击邮件中的恶意链接时，他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台（如Google DoubleClick）执行，并涉及受感染的WordPress网站、伪造的域名和免费托管服务。 最终，钓鱼工具包会在受害者的浏览器中加载，同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果，工具包会动态生成伪造的登录页面，并自动填充受害者的电子邮件地址。 一旦受害者输入凭据，数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外，攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性，受害者首次输入密码后会收到一条错误信息提示密码无效，诱导其再次输入。 输入成功后，受害者会被重定向至真实的身份验证页面，以减少怀疑。 使用DoH与DNS MX的隐蔽性 Morphing Meerkat的独特之处在于采用DoH和DNS MX记录，这些高级技术使攻击更具隐蔽性。 DoH通过加密的HTTPS请求执行DNS解析，替代传统的基于UDP的DNS查询，从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息，从而避免被检测。 利用MX记录信息，钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面，提升攻击的成功率。 防御建议 Infoblox建议企业实施更严格的DNS控制，阻止用户直接与DoH服务器通信。此外，还应限制用户访问与企业业务无关的广告技术和文件共享基础设施，以降低攻击风险。 与Morphing Meerkat相关的所有攻击指标（IoC）已公开发布在GitHub存储库中，供安全研究人员进一步分析。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司OpenAI宣布，将“卓越且独特”的关键安全漏洞的最高漏洞赏金奖励从2万美元提高到10万美元。OpenAI表示，其服务和平台每周被全球4亿用户使用，涵盖企业、机构和政府部门。 OpenAI在声明中表示：“我们将卓越且独特关键漏洞的最高赏金提高到10万美元（此前为2万美元），这一调整体现了我们对有意义、高影响力安全研究的奖励承诺，这些研究有助于我们保护用户并维护系统信任。” 作为扩展赏金计划和奖励高影响力安全研究的一部分，OpenAI还将在“限时促销”期间为特定类别的合格报告提供额外的赏金奖励。例如，截至4月30日，OpenAI将为报告其基础设施和产品中不安全直接对象引用（IDOR）漏洞的安全研究人员提供双倍奖励，最高可达1.3万美元。 OpenAI于2023年4月启动了漏洞赏金计划，通过Bugcrowd众包安全平台为报告产品线漏洞、缺陷或安全问题的研究人员提供最高2万美元的奖励。该公司表示，模型安全问题不在该计划范围内，ChatGPT用户利用的越狱和安全绕过漏洞也不包括在内。 OpenAI在披露ChatGPT支付数据泄露事件一个月后推出了漏洞赏金计划，该事件是由于其平台的Redis客户端开源库中的一个漏洞导致的。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软开始测试一款名为“快速设备恢复”的新Windows 11工具，该工具旨在远程部署修复程序，解决因故障驱动程序和配置导致操作系统无法启动的问题。 该工具是微软Windows弹性计划的一部分，该计划旨在通过引入自动化工具和功能，检测、诊断和修复Windows 11中的关键故障，从而增强系统稳定性，减少停机时间。 微软解释称：“当系统出现故障时，设备有时会陷入Windows恢复环境（Windows RE），严重影响生产力，通常需要IT团队花费大量时间进行故障排查和恢复受影响的设备。” “借助快速设备恢复，当大规模故障导致设备无法正常启动时，微软可以通过Windows RE向受影响的设备广泛部署针对性修复方案，自动修复故障，迅速使用户恢复到可工作状态，无需复杂的手动干预。” 3月28日，微软将“快速设备恢复”发布至Windows内部预览版Beta通道，供内部测试人员开始测试该工具。 当启用该工具且新的驱动程序或配置更改导致Windows 11无法正常启动时，操作系统将进入Windows恢复环境并自动启动“快速设备恢复”工具。该工具将通过以太网或Wi-Fi连接到互联网，并将崩溃数据发送至微软服务器。根据对这些数据的分析，微软可以远程应用修复程序，例如移除有问题的驱动程序或更新以及更改配置设置。 这款新工具是为应对2024年7月CrowdStrike故障更新而推出的。当时，该更新导致全球数百万台Windows设备突然出现蓝屏死机（BSOD）并陷入重启循环。为移除该故障更新，Windows管理员不得不进入Windows恢复环境或安全模式，手动删除驱动程序，以使Windows设备恢复正常启动。 有了“快速设备恢复”这样的工具，微软本可以更轻松、更快速地推送修复程序，移除驱动程序并使设备重新上线。 微软表示，该功能最终将在Windows 11家庭版中默认启用。企业用户可以通过RemoteRemedation CSP或直接在设备上通过reagentc.exe，在Windows 11专业版和企业版中自定义该工具的工作方式。 该工具还可以预先配置网络凭据，以便更容易地部署修复程序，并配置故障设备多久向微软服务器请求一次修复。 微软将在几天内发布一个测试修复包，供内部测试人员进行实时测试。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文