Aggregator

Let's Encrypt将于2025年6月停止发送证书到期邮件通知，原因是大部分用户已采用自动化策略、成本和隐私考虑。建议用户使用自动化工具或监测服务（如Red Sift、Datadog等）管理证书续签。

这篇文章介绍了HTTP错误代码521的含义及其常见原因。该错误通常由Cloudflare触发，表示Web服务器配置存在问题或无法正确处理请求。常见原因包括DNS设置错误、服务器配置不当或防火墙限制等。

HackerNews 编译，转载请注明出处： 近日，一起恶意软件活动被发现利用Python载荷和TryCloudflare隧道传播名为AsyncRAT的远程访问木马。 Forcepoint X-Labs研究员Jyotika Singh在分析中指出：“AsyncRAT是一种远程访问木马，利用async/await模式实现高效异步通信。” “它允许攻击者隐秘地控制受感染系统，窃取数据并执行命令，同时保持隐蔽，因此构成重大网络安全威胁。” 这起多阶段攻击链的起点是一封包含Dropbox链接的钓鱼邮件，点击链接后会下载一个ZIP压缩包。 压缩包内包含一个互联网快捷方式（URL）文件，该文件作为Windows快捷方式（LNK）文件的传输渠道，进一步推动感染扩散，而收件人则会看到一个看似无害的诱饵PDF文档。 具体而言，LNK文件是通过URL文件内嵌的TryCloudflare URL获取的。TryCloudflare是Cloudflare提供的一项合法服务，用于通过创建专用通道（即trycloudflare[.]com上的子域名）将Web服务器暴露给互联网，而无需开放任何端口。 LNK文件触发PowerShell执行托管在同一位置的JavaScript代码，进而引导到一个能够下载另一个ZIP压缩包的批处理脚本（BAT）。新下载的ZIP文件包含旨在启动和执行多个恶意软件家族的Python载荷，如AsyncRAT、Venom RAT和XWorm。 值得注意的是，去年发现了同一感染序列的轻微变种，传播了AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT和XWorm。 Singh指出：“这起AsyncRAT活动再次表明，黑客如何利用Dropbox链接和TryCloudflare等合法基础设施为己所用。载荷通过Dropbox链接和临时的TryCloudflare隧道基础设施下载，从而诱使收件人相信其合法性。” 这一事态发展正值利用钓鱼即服务（PhaaS）工具包进行钓鱼活动激增之际，这些活动通过引导用户访问模仿微软、谷歌、苹果和GitHub等可信平台登录页面的虚假着陆页，实施账户接管攻击。 还观察到通过电子邮件进行的社会工程学攻击利用被攻陷的供应商账户收集用户的Microsoft 365登录凭据，这表明威胁行为者正在利用互联供应链和固有信任来绕过电子邮件身份验证机制。 近几周记录的其他一些钓鱼活动包括： 针对拉丁美洲组织的攻击，利用官方法律文件和收据分发和执行SapphireRAT； 利用合法域名（包括政府网站“.gov”域名）托管Microsoft 365凭据收集页面； 冒充税务机构和相关金融机构，针对澳大利亚、瑞士、英国和美国的用户，以捕获用户凭据、进行欺诈支付和分发AsyncRAT、MetaStealer、Venom RAT、XWorm等恶意软件； 利用伪造的Microsoft Active Directory Federation Services（ADFS）登录页面收集凭据和多因素身份验证（MFA）代码，以进行后续以财务动机为主的电子邮件攻击； 利用Cloudflare Workers（workers.dev）托管模仿各种在线服务的通用凭据收集页面； 以就业合同为幌子，针对德国组织使用Sliver植入物； 利用零宽度连接符和软连字符（又称SHY字符）绕过钓鱼邮件中的一些URL安全检查； 分发陷阱URL，作为名为ApateWeb的活动的一部分，交付恐吓软件、潜在不需要的程序（PUPs）和其他诈骗页面。 CloudSEK的最新研究还表明，可以利用Zendesk的基础设施来协助钓鱼攻击和投资诈骗。 该公司表示：“Zendesk允许用户注册其SaaS平台的免费试用版，并允许注册子域名，这些子域名可能被滥用以冒充目标。”并补充说，攻击者随后可以将目标电子邮件地址作为“用户”添加到Zendesk门户中，以发送钓鱼邮件。 “Zendesk不会进行电子邮件检查以邀请用户。这意味着任何随机账户都可以作为成员添加。可以以分配给电子邮件地址的工单为幌子发送钓鱼页面。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软与 Arch Linux 达成合作，将通过 WSL2 提供官方映像。微软每月拉取一次请求，Arch Linux 每月更新 ISO 映像，确保用户始终获得最新版本。Arch Linux 仅支持 WSL2。

Here's an overview of the various breaches that have been consolidated into this Have I Been

这篇文章讨论了如何在遇到网络连接问题时处理“error code: 521”。该错误通常表示与服务器的连接被意外重置。建议检查网络连接、清除浏览器缓存或尝试更换网络环境以解决问题。

HackerNews 编译，转载请注明出处： 一个名为Silent Lynx的此前未被记录的威胁行为者已被证实与针对吉尔吉斯斯坦和土库曼斯坦多个实体的网络攻击有关。 Seqrite Labs研究员Subhajeet Singha在上月末发布的一份技术报告中指出：“该威胁组织此前曾针对东欧和中亚地区涉及经济决策和银行领域的政府智库。” 该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。据推测，这一活动很可能由一名哈萨克斯坦的威胁行为者发起，但这一推测的置信度为中。 这些感染始于一封包含RAR压缩文件附件的钓鱼邮件，该附件最终成为恶意有效载荷的传输工具，使攻击者能够远程控制被感染的计算机。 网络安全公司于2024年12月27日检测到的第一轮攻击中，利用RAR压缩文件启动了一个ISO文件，该文件包含一个恶意的C++二进制文件和一个诱饵PDF文件。随后，该可执行文件运行一个PowerShell脚本，该脚本利用Telegram机器人（名为“@south_korea145_bot”和“@south_afr_angl_bot”）执行命令和数据外泄。 通过机器人执行的一些命令包括curl命令，用于从远程服务器（“pweobmxdlboi[.]com”）或Google Drive下载和保存额外的有效载荷。 相比之下，另一轮攻击则使用了一个包含两个文件的恶意RAR压缩文件：一个诱饵PDF文件和一个Golang可执行文件。后者旨在与攻击者控制的服务器（“185.122.171[.]22:8082”）建立反向shell连接。 Seqrite Labs表示，它观察到该威胁行为者与YoroTrooper（又名SturgeonPhisher）之间存在一定的战术重叠，后者已被证实使用PowerShell和Golang工具针对独联体国家发动攻击。 Singha表示：“Silent Lynx的攻击活动展示了其利用ISO文件、C++加载器、PowerShell脚本和Golang植入物的复杂多阶段攻击策略。” “他们依赖Telegram机器人进行命令和控制，结合诱饵文档和区域目标选择，这也凸显了他们将间谍活动的重点放在中亚和SPECA成员国上。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

抱歉，我无法总结这篇文章的内容，因为您提供的链接似乎无法访问（错误代码：521）。如果您有其他问题或需要帮助，请告诉我！

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地利用合法的HTTP客户端工具，对Microsoft 365环境发动账户接管（ATO）攻击。 企业安全公司Proofpoint表示，其观察到有黑客利用HTTP客户端Axios和Node Fetch发送HTTP请求并从Web服务器接收HTTP响应，以实施ATO攻击。 安全研究员Anna Akselevich称：“这些工具最初源自GitHub等公共存储库，如今却越来越多地被用于中间人（AitM）攻击和暴力破解等技术手段中，导致大量账户被接管。” 自2018年2月以来，利用HTTP客户端工具进行暴力破解攻击的现象一直备受关注，随后的迭代更是采用OkHttp客户端的各种变体来攻击Microsoft 365环境，这种情况一直持续到2024年初。 但Proofpoint指出，到2024年3月，各种HTTP客户端开始受到追捧，攻击规模达到新高。截至去年下半年，78%的Microsoft 365租户至少遭受过一次ATO攻击。 Akselevich说：“2024年5月，这些攻击达到高峰，利用数百万个被劫持的家庭IP地址来攻击云账户。” Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现，证明了这些攻击尝试的数量和多样性。其中，将精确瞄准与AitM技术相结合的攻击手段，取得了更高的成功率。 Proofpoint表示，Axios是为Node.js和浏览器设计的，可以与Evilginx等AitM平台配合使用，以窃取凭据和多因素认证（MFA）代码。 此外，还观察到威胁行为者设置了新的邮箱规则以掩盖恶意活动证据、窃取敏感数据，甚至注册了权限范围过大的新OAuth应用程序，以建立对受损环境的持久远程访问。 据悉，Axios攻击活动主要针对交通运输、建筑、金融、信息技术和医疗保健等行业的高价值目标，如高管、财务官、账户经理和运营人员。 2024年6月至11月期间，超过51%的目标组织被评估为已成功受到攻击，43%的目标用户账户遭到入侵。 这家网络安全公司还检测到一起大规模密码喷洒攻击活动，该活动使用Node Fetch和Go Resty客户端，自2024年6月9日以来记录了不少于1300万次的登录尝试，平均每天超过6.6万次恶意尝试。然而，成功率仍然较低，仅影响了2%的目标实体。 迄今为止，已确定3000个组织中的超过17.8万个目标用户账户遭到攻击，其中大多数属于教育领域，特别是学生用户账户，这些账户可能保护不足，可被用于其他攻击活动或被出售给不同的威胁行为者。 Akselevich表示：“威胁行为者用于ATO攻击的工具已大大发展，他们利用各种HTTP客户端工具来利用API和发送HTTP请求。这些工具具有独特优势，使攻击更加高效。” “鉴于这一趋势，攻击者可能会继续在不同HTTP客户端工具之间切换，调整策略以利用新技术并逃避检测，这反映出了他们为增强攻击效果和降低曝光度而不断进化的更广泛模式。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Cloudflare将盗版动漫网站KKA标记为疑似钓鱼网站，用户可忽略警告继续访问。KKA已更换新域名，运营者称未发现钓鱼问题，并怀疑是版权机构大量举报所致。版权机构持续打击盗版网站，并已获得DMCA传票要求Cloudflare提供相关信息。

APIDetector APIDetector is a powerful and efficient tool designed for testing exposed Swagger endpoints in various subdomains with unique smart capabilities to detect false positives. It’s particularly useful for security professionals and developers who...

The post apidetector: Efficiently scan for exposed Swagger endpoints across web domains and subdomains appeared first on Penetration Testing Tools.

T3SF – Technical Tabletop Exercises Simulation Framework T3SF is a framework that offers a modular structure for the orchestration of events based on a master scenario events list (MSEL) together with a set of...

The post T3SF: Technical Tabletop Exercises Simulation Framework appeared first on Penetration Testing Tools.

A vulnerability was found in ClassCMS 4.8. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file class/admin/channel.php. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2024-57097. The attack can be launched remotely. There is no exploit available.

A vulnerability was found in Sayski ForestBlog 20241223. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Article Editing. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2024-57498. The attack may be launched remotely. There is no exploit available.

A vulnerability was found in WP Projects Portfolio with Client Testimonials Plugin up to 3.0 on WordPress. It has been declared as problematic. This vulnerability affects unknown code. The manipulation leads to cross site scripting. This vulnerability was named CVE-2024-13114. The attack can be initiated remotely. There is no exploit available.

A vulnerability was found in Glossy Plugin up to 2.3.5 on WordPress. It has been rated as problematic. This issue affects some unknown processing. The manipulation leads to cross site scripting. The identification of this vulnerability is CVE-2024-13325. The attack may be initiated remotely. There is no exploit available.

A vulnerability classified as problematic has been found in iBuildApp Plugin up to 0.2.0 on WordPress. Affected is an unknown function. The manipulation leads to cross site scripting. This vulnerability is traded as CVE-2024-13326. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability classified as problematic was found in Musicbox Plugin up to 2.0.3 on WordPress. Affected by this vulnerability is an unknown functionality. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2024-13327. The attack can be launched remotely. There is no exploit available.

PingRAT PingRAT secretly passes C2 traffic through firewalls using ICMP payloads.   Features: Uses ICMP for Command and Control Undetectable by most AV/EDR solutions Written in Go Use Server Client Download Copyright (C) 2023

The post PingRAT: secretly passes C2 traffic through firewalls using ICMP payloads appeared first on Penetration Testing Tools.

作为创业者，DeepSeek爆火给我的「七点启示」