Aggregator

Ivanti’s Cloud Services Appliance is being targeted by threat actors exploiting three zero-day bugs

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

由 Cris Tomboc 和 King Orande 领导的 Trustwave 威胁情报团队最近发布了一份报告，公布了一种新发现的名为 Pronsis Loader 的恶意软件。该恶意软件于 2023 年 11 月首次出现，与 2024 年初出现的类似威胁 D3F@ck Loader 进行了比较。Pronsis Loader 的显著特点是它能发送 Lumma Stealer 和 Latrodectus 等恶意软件，给受害者带来巨大风险。发现其基础设施与 Lumma Stealer 相关联，凸显了这一不断演变的威胁的规模。 Pronsis Loader 与其他加载程序的不同之处在于它使用了 JPHP（一种 PHP 的 Java 实现）。“研究人员解释说：”两者都使用 JPHP 编译的可执行文件，因此很容易互换。不过，与使用 Inno Setup Installer 的 D3F@ck Loader 不同，Pronsis Loader 部署的是 Nullsoft Scriptable Install System（NSIS）。这种开源工具可以定制 Windows 安装程序，使 Pronsis Loader 在安装技术上具有明显优势。 Pronsis 加载器 Pronsis Loader 使用 NSIS | 图片： Trustwave 有趣的是，JPHP 在恶意软件开发者中并不广泛使用，这使得 Pronsis Loader 对这种语言的依赖偏离了典型的恶意软件环境。这种实现方式允许创建 .phb 文件，而使用传统的 Java 工具无法轻松反编译这些文件。尽管存在这种复杂性，但由于这些文件中存在 CAFEBABE 标头，威胁分析人员可以在提取后对其进行反编译，从而揭示其真实性质。 Pronsis Loader 的安装程序包含大量有效载荷，其中大部分由良性文件组成，旨在掩盖内嵌的恶意代码。据研究人员称，“安装程序的大部分内容由良性文件组成，旨在掩盖恶意文件”。这些文件被放入 %Temp% 目录，但其中隐藏着一个关键的可执行文件–FailWorker-Install.exe，它包含真正的恶意软件。 该可执行文件会触发一系列事件，通过 NSIS 插件调用 Nact.dll 文件来运行 JPHP 编译的加载程序。提取后，可以在 JPHP-INF 目录中找到主模块，其中 launcher.conf 文件指定了 app\modules 目录的初始 .bootstrap 文件。Pronsis Loader 的结构允许它从指定 URL 下载有效载荷，然后发送 Latrodectus 恶意软件。该恶意软件主要通过钓鱼邮件传播，与 IcedID 等其他已知威胁如出一辙。 Pronsis Loader 具有逃避检测的嵌入式功能。其中一种规避技术是通过隐藏在 MainForm.phb 文件中的 PowerShell 脚本实现的。这个编码脚本会禁用 Windows Defender 对用户配置文件目录的扫描，使恶意软件更容易运行而不被发现。“报告强调说：”这个 PowerShell 命令将被放置在一个批处理文件中，文件名为随机数字，并通过 cmd.exe 执行。 通过部署 Lumma Stealer 和 Latrodectus，进一步证明了 Pronsis Loader 提供多种有效载荷的能力。Latrodectus 于 2023 年 10 月首次被观察到，因其激进的感染技术而备受关注。受感染的机器会加载一系列批处理文件和可执行文件，以方便恶意软件的安装和持续运行。 在一个实例中，Latrodectus 通过一个名为 todaydatabase.zip 的文件发送，该文件将一个可执行文件放入 %Temp% 目录，启动了感染过程。安装完成后，Latrodectus 会使用计划任务来确保持久性，每 10 分钟运行一次，重新执行其恶意组件。此外，该恶意软件还创建了一个名为 runnung 的互斥程序来管理持续感染。 Pronsis Loader 的推出标志着 JPHP 作为恶意软件平台的使用发生了重大转变。通过利用 NSIS 安装程序和规避典型的安全协议，Pronsis Loader 对网络安全防御者提出了严峻的挑战。报告强调，这种加载器 “突出了它与 D3F@ck Loader 的相似之处，以及它在提供 Lumma Stealer 和 Latrodectus 作为主要有效载荷方面的作用”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300658 封面来源于网络，如有侵权请联系删除

ИИ стал свидетелем самых сокровенных желаний пользователей.

Через несколько лет нам не придется ежедневно тратить по 8 часов жизни впустую.

Intel Microcode, a critical component of Intel CPUs, has been found to contain security vulnerabilities. These vulnerabilities could potentially allow attackers to gain unauthorized access to sensitive information or even crash systems.   Intel Microcode Vulnerabilities Fixed   Following two vulnerabilities have been identified in Intel Microcode, affecting some Intel processors.   CVE-2024-23984 This vulnerability […]

The post Extended Support for Ubuntu: Patch Intel Microcode Vulnerabilities appeared first on TuxCare.

The post Extended Support for Ubuntu: Patch Intel Microcode Vulnerabilities appeared first on Security Boulevard.

Edgio launched Premier Bot Manager, a next-generation bot management solution designed to protect enterprise applications against increasingly sophisticated automated threats. Premier Bot Manager introduces enhanced detection capabilities, AI-powered threat intelligence, and granular categorization of known and unknown bot attacks, providing organizations with comprehensive visibility and defense against bots including credential abusers, scrapers, and DDoS attackers. Building on the success of Edgio’s previous Advanced Bot Management solution that saw wide adoption upon its release, Premier Bot … More →

The post Edgio Premier Bot Manager detects, classifies and mitigates bot traffic appeared first on Help Net Security.

There has been a dramatic rise in e-commerce fraud as the increasing use of AI-generated deepfakes poses an unprecedented security challenge for online merchants.

The post AI-Driven eCommerce Fraud to Top $107 Billion by 2029 appeared first on Security Boulevard.

Crime Syndicates Too Powerful for Regional Governments to Police, UN Report Warns
Cybercrime syndicates across Southeast Asia have teamed up with human traffickers, money launderers and cryptocurrency services to build an increasingly effective cybercrime ecosystem that can survive law enforcement crackdowns, according to a new United Nations report.

Russia, Iran and China Investing in Cyber Ops, Warns MI5 Director Ken McCallum
Nation-state actors are investing aggressively in advanced cyber operations to target government information and technology in a bid to sow "mayhem on British and European streets," warned a top British intelligence official. Russia, Iran and China are using proxies and hacking agencies.

Kivera Integrates Controls Into Cloudflare One to Prevent Cloud Misconfigurations
With the acquisition of New York-based startup Kivera, Cloudflare will enhance its Cloudflare One platform, adding proactive controls that secure cloud environments, prevent misconfigurations and improve regulatory compliance for businesses using multiple cloud providers.

Russian Nationals, Agencies Engaged in Cyberattacks, Misinformation to be Targeted
The European Council on Tuesday introduced a new sanctions framework to target Russian nationals and organizations engaged in malicious cyber activities such as election misinformation and disruptive cyberattacks. It seeks to address activities such as influence operations and hacking.

近日，俄罗斯政府机构和工业实体遭遇了一场名为“ Awaken Likho ”的网络活动攻击活动。 卡巴斯基表示，攻击者现在更倾向于使用合法MeshCentral平台的代理，而不是他们之前用来获得系统远程访问权限的UltraVNC模块。这家俄罗斯网络安全公司详细说明了一场始于2024年6月并至少持续到8月的新活动。该活动主要针对俄罗斯政府机构、其承包商和工业企业。 “ Awaken Likho ”组织，亦称作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌针对国防和关键基础设施部门发动网络攻击。据悉，该组织的活动可追溯至2021年8月。其采用的鱼叉式钓鱼攻击手法包括发送伪装成Word或PDF文档的恶意可执行文件，这些文件带有双重扩展名，如“doc.exe”或“.pdf.exe”，使用户仅能看到看似无害的.docx或.pdf后缀。 然而，一旦受害者打开这些文件，便会触发UltraVNC的安装程序，进而导致攻击者能够完全接管受害者的计算机系统。此外，根据F.A.C.C.T.今年5月的报告，Core Werewolf还针对位于亚美尼亚的一个俄罗斯军事基地以及一家从事武器研究的俄罗斯研究所发动了攻击。在这些攻击中，攻击者使用了一种自解压存档（SFX）技术，以隐蔽的方式安装UltraVNC，同时向受害者展示看似无害的诱饵文档。 卡巴斯基最新揭露的攻击链条中，攻击者利用7-Zip创建了一个SFX存档文件。当受害者打开该文件时，会执行一个名为“MicrosoftStores.exe”的程序，进而解压并运行一个AutoIt脚本，最终激活开源的MeshAgent远程管理工具。卡巴斯基解释称，这一系列操作使得攻击者能够在受害者的系统中长期潜伏，并通过计划任务定时执行命令文件，以此来启动MeshAgent并与MeshCentral服务器建立连接。 据安全专家分析，“ Awaken Likho ”团伙使用了定制化的恶意软件和零日漏洞利用，以实现对目标系统的深度渗透。此外，他们还运用了复杂的网络钓鱼和社会工程学技巧，诱导目标用户点击恶意链接或下载病毒文件。 值得注意的是，该团伙的攻击目标主要集中在俄罗斯政府的敏感部门和关键基础设施领域。这些攻击不仅可能导致政府机密的泄露，还可能对国家安全和社会稳定造成严重影响。 为了应对这一威胁，俄罗斯政府已经加强了对网络安全的投入，并提升了相关机构的防御能力。同时，国际间的网络安全合作也在不断加强，以共同应对跨国网络攻击的挑战。 专家建议，政府机构和个人用户都应提高网络安全意识，定期更新系统和软件补丁，避免点击不明链接或下载来源不明的文件。此外，加强数据备份和恢复策略也是防范网络攻击的重要措施。 参考来源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html     转自Freebuf，原文链接：https://www.freebuf.com/news/412331.html 封面来源于网络，如有侵权请联系删除  

We are excited to announce the release of an updated AI assistant, which brings powerful analysis capabilities right to your private sessions in the ANY.RUN sandbox. With our new assistant, we’ve taken things to the next level by combining deep, insightful analysis with the privacy and security you need.  AI Reports Are Now Available for […]

The post Private AI Assistant for Malware Analysis <br>in ANY.RUN Sandbox appeared first on ANY.RUN's Cybersecurity Blog.

A flaw in Apple's mirroring feature within the iOS 18 and macOS Sequoia software updates compromises personal privacy when used on work Macs, according to a report from Sevco Security.

The post iPhone Mirroring Flaw Could Expose Employee Personal Information appeared first on Security Boulevard.

欧盟法院限制 Meta 使用 Facebook 个人数据投放定向广告；淘宝也做自营店，推出「淘精选」业务；时代落幕，苹果宣布 iPhone 6、iPod nano 及 shuffle 停产

как QUIC меняет правила игры в интернет-коммуникациях.

Две ошибки были замечены в реальных атаках, чем привлекли внимание CISA.

A vulnerability was found in Dell AppSync up to 4.6.0.0. It has been classified as problematic. This affects an unknown part. The manipulation leads to xml external entity reference. This vulnerability is uniquely identified as CVE-2024-39586. The attack needs to be done within the local network. There is no exploit available.

A vulnerability was found in Unisoc T606, T612, T616, T610, T618, T760, T770, T820 and S8000 and classified as problematic. Affected by this issue is some unknown functionality of the component DRM Service. The manipulation leads to null pointer dereference. This vulnerability is handled as CVE-2024-39440. An attack has to be approached locally. There is no exploit available.