Aggregator

通过大量转换，这种方法可能降低恶意软件分类系统的性能，甚至使其误判恶意代码为良性。

Fortinet是全球网络安全领域的一家老牌专业企业，自创立以来始终致力网络安全技术创新发展，积极推动网络与安 […]

Fortinet中国区2025年战略规划：启动国内SASE PoP节点部署，实现更加本地化的运营服务 日期：2024年12月24日

A vulnerability was found in Mozilla Firefox 27.0. It has been declared as critical. Affected by this vulnerability is the function window.open of the file nsGlobalWindow.cpp of the component WebIDL. The manipulation leads to code injection. This vulnerability is known as CVE-2014-1510. The attack can be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

error code: 521

哈马斯与以色列的冲突已经爆发一年多了，两大实体之间的网络战仍在继续，其中涉及各种各样的网络攻击者，并借鉴了其他全球冲突的剧本。 以下是此次网络战争期间的一些重大发展以及可以预期在 2025 年看到的形势。 初始阶段 哈马斯对以色列发动袭击后不久，十多个威胁组织宣布准备对巴勒斯坦、以色列及其各自的支持者发动网络攻击。这些组织包括 Killnet、Anonymous Sudan、Team insane、Mysterious Team Bangladesh 和 Indian CyberForce。 在最初的日子里， 首批遭受网络攻击的受害者是耶路撒冷邮报，它遭到了Anonymous Sudan（匿名者苏丹）的攻击，以及特拉维夫索拉斯基医疗中心遭到西尔赫特团伙的攻击，最终导致其运营中断。 随着网络攻击的持续，  Krypton 网络向有意攻击以色列组织的黑客分子出售其分布式拒绝服务 (DDoS) 功能。 攻击也从另一边袭来，据报道，ThreatSec 攻击了巴勒斯坦互联网服务提供商 AlfaNet，导致该公司的服务器关闭，并在此过程中控制了加沙 5,000 多台服务器。 随后，在 X 上的第一篇帖子中，亲以色列的黑客组织 Predatory Sparrow 再次出现在人们的视野中。 该组织对其追随者说：“你觉得这很可怕吗？我们回来了。我们希望你们关注加沙事件。”——并附上了一份关于美国派遣战斗机和军舰支持以色列的报道链接。 全球范围的网络战 冲突开始后大约一个月，美国联邦调查局局长克里斯托弗·雷 (Christopher Wray) 警告称，中东战争增加了针对美国的网络攻击威胁，并指出针对美国海外军事基地的袭击有所增加，预计未来将出现物理攻击和网络攻击。 联邦调查局再次发出警告，这次警告涉及网络犯罪分子伪装成筹款人和慈善机构，通过电子邮件、社交媒体、电话和众筹网站联系个人，所有这些都是为了让受害者相信他们的加密货币资金将流向以色列或巴勒斯坦受害者。 Netcraft 的一份报告追踪到这些虚假账户中有 160 万美元的加密货币，这是他们影响力的一次盛大展示。 到 2023 年底，以色列公司 CyTaka 雇佣了来自世界各地的网络黑客网络来对抗反以色列的在线活动，而被称为加沙网络帮 (Gaza Cybergang) 的网络攻击者则使用了Pierogi++ 后门恶意软件的变种来攻击巴勒斯坦和以色列目标。 年度回顾 去年年初，土耳其黑客在特拉维夫一家客流量很大的电影院里传播有关以色列和加沙冲突的政治暴力信息。 7 月，以色列陆军参谋长报告称，自冲突开始以来，已挫败约 30 亿次网络攻击 。针对以色列国防军 (IDF) 的网络攻击包括针对军队运作所必需的操作系统，但并未提供有关攻击性质的详细信息。 随后在 10 月，安全公司 ESET 报告了一起影响其以色列合作伙伴公司的 “安全事件”。该公司称，有一起恶意电子邮件活动已被拦截，并最终否认其系统存在任何真正的危害。 就在上个月，有报道称支持哈马斯及其议程的高级持续性威胁 (APT)“Wirte”正在对中东各国政府进行间谍活动 ，并对以色列进行擦除器攻击。 该 APT 使用包含文档、合法资源和恶意软件的网络钓鱼攻击，有时使用 IronWind 加载程序，该加载程序采用多阶段感染链来投放恶意负载。 未来展望 观察人士和业内专家预计，2025 年还会出现更多类似的情况。冲突加剧了网络威胁，国家背景的黑客组织和自发黑客团体会继续利用全球紧张局势。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 在发给 Dark Reading 的电子邮件声明中表示：“我们可以预见复杂的网络钓鱼活动、虚假信息和对关键基础设施的攻击将会升级。”“组织应该优先考虑实时威胁情报和先进的人工智能检测系统，以保持领先于不断发展的策略。” 此外，他建议各组织做好强有力的员工培训，并实施多层次的安全措施，以减轻未来的攻击。 Kowski 补充道：“这对于防御预计将激增的社会工程学和有针对性的恶意软件攻击至关重要。” Bambenek Consulting 总裁约翰·巴姆贝内克 (John Bambenek) 则持不同看法。巴姆贝内克在发给 Dark Reading 的电子邮件声明中表示：“目前，哈马斯遭受了巨大损失，他们更注重生存，甚至在网络领域的能力也大大减弱。” 他认为，2025 年，人们的注意力应该集中在伊朗身上，因为伊朗是这场冲突中的主要力量。 “如果最近的报道属实，以色列正在考虑在短期内对伊朗进行军事打击，那么这很可能很容易升级为网络战。”他说。“  Team82 最近的研究表明，如果事态升级，伊朗政府已经决定进行实地测试，并预先部署广泛发动 ICS/OT 攻击的能力，而这些攻击很可能包括美国和欧洲。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/izjiorVaHiRLNaGFNGV_ow 封面来源于网络，如有侵权请联系删除

error code: 521

Sophos在上周发布的新报告中表示：“似乎运营[Rockstar2FA]服务的团队至少经历了基础设施的部分崩溃，与该服务相关的页面不再可访问。这似乎并非因为被取缔行动，而是因为服务后端的某些技术故障。” Rockstar2FA最初由Trustwave在上月底记录为一种PhaaS服务，允许犯罪分子发起能够窃取Microsoft 365账户凭证和会话cookie的网络钓鱼攻击，从而绕过多重因素认证（MFA）保护。 该服务被评估为DadSec网络钓鱼工具包的更新版本，微软将其追踪为Storm-1575。大多数网络钓鱼页面被发现托管在.com、.de、.ru和.moscow顶级域名上，尽管人们相信.ru域名的使用量随时间减少。 Rockstar2FA似乎在2024年11月11日遭受了技术中断，当时重定向到中间诱饵页面时产生了Cloudflare超时错误，伪造的登录页面无法加载。 虽然尚不清楚导致中断的原因，但PhaaS工具包留下的空白导致与FlowerStorm相关的网络钓鱼活动激增，FlowerStorm自2024年6月以来一直活跃。 Sophos表示，这两种服务在网络钓鱼门户页面的格式和连接后端服务器以收集凭证的方法上存在相似之处，这引发了它们可能有共同起源的可能性。它们还滥用Cloudflare Turnstile，以确保传入页面请求不是来自机器人。 人们怀疑11月11日的中断可能代表其中一个团队的战略转变、运营人员的变动，或是有意将两个操作分开的努力。目前没有确凿的证据将这两个服务联系起来。 使用FlowerStorm最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。 Sophos表示：“服务行业是最受攻击的行业，特别是那些提供工程、建筑、房地产和法律服务及咨询的公司。” 如果有什么不同的话，这些发现再次说明了攻击者使用网络犯罪服务和商品工具在不需要太多技术专长的情况下，也能大规模进行网络攻击的持续趋势。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability, which was classified as very critical, was found in Samba up to 3.2.12. Affected is an unknown function. The manipulation leads to format string. This vulnerability is traded as CVE-2009-1886. It is possible to launch the attack remotely. Furthermore, there is an exploit available.

About 75% of healthcare sector entities that suffered a ransomware attack over the past year were targeted on a weekend or holiday, highlighting the need for organizations to bolster staffing and related strategies during these vulnerable times, said Jeff Wichman of security firm Semperis.

Researchers Trace 61% of Known Losses This Year to Pyongyang-Backed Hackers
Hackers tied to North Korea's cash-strapped totalitarian dictatorship this year stole a record amount of cryptocurrency, totaling $1.34 billion across 47 incidents, or about double their known haul for 2023, reported blockchain analytics firm Chainalysis.

Infrastructure Problems Blamed; Users Appear to Move to Similar FlowerStorm Service
As the end of the year approaches, it's out with the old and in with the new as researchers report that Rockstar 2FA, which once facilitated prolific phishing-as-a-service hits, has crashed and burned, apparently leading many one-time users to move to rival FlowerStorm.

AI Can Fake Alignment to New Instructions to Avoid Retraining
Advanced artificial intelligence models can feign alignment with new training goals while secretly adhering to their original principles, a study shows. Alignment faking isn't likely to cause immediate danger but may pose a challenge as AI systems grow more capable.

Major Chinese Router Manufacturer Facing Increased Scrutiny After Chinese Espionage
U.S. authorities have launched multiple investigations while reportedly considering banning the widely popular Chinese-manufactured TP-Link routers amid ongoing security risks linked to Chinese cyberespionage and hacking campaigns targeting American critical infrastructure sectors.

error code: 521

网络安全研究人员发现，可以使用大型语言模型 (LLM) 大规模生成恶意 JavaScript 代码的新变种，以更好地逃避检测。 Palo Alto Networks Unit 42 研究人员在一项新报告中表示： “尽管 LLM 很难从头开始创建恶意软件，但犯罪分子可以很容易地使用它们来重写或混淆现有的恶意软件，使其更难检测。” “犯罪分子可以促使 LLM 执行看起来更自然的转换，这使得检测这种恶意软件更具挑战性。” 随着时间的推移，经过足够多的转换，该方法可以降低恶意软件分类系统的性能，诱使它们相信一段恶意代码实际上是良性的。 尽管 LLM 提供商已不断加强安全防护，以防止其出轨并产生意外输出，但恶意开发人员却宣传使用WormGPT等工具来自动编写令人信服的网络钓鱼电子邮件，这些电子邮件针对潜在目标，甚至会创建新的恶意软件。 早在 2024 年 10 月，OpenAI就披露它阻止了 20 多项试图使用其平台进行侦察、漏洞研究、脚本支持和调试的操作和欺骗网络。 Unit 42 表示，它利用 LLM 的强大功能迭代重写现有的恶意软件样本，目的是绕过“无罪推定”（IUPG）或PhishingJS等机器学习（ML）模型的检测，从而有效地为创建 10,000 种新型 JavaScript 变体铺平了道路，同时又不改变其功能。 对抗性机器学习技术旨在每次将恶意软件作为输入输入系统时，使用各种方法对其进行转换——即变量重命名、字符串拆分、垃圾代码插入、删除不必要的空格以及完全重新实现代码。 该公司表示：“最终的输出是恶意 JavaScript 的新变种，它保持了与原始脚本相同的行为，但恶意分数几乎总是低得多。”并补充说，算法在 88% 的时间内将其恶意软件分类器模型的判定从恶意转变为良性。 更糟糕的是，这些重写的 JavaScript 工件在上传到 VirusTotal 平台时也会逃避其他恶意软件分析器的检测。 基于 LLM 的混淆提供的另一个关键优势是，它的大量重写看起来比 obfuscator.io 等库实现的重写自然得多，后者由于它们对源代码引入更改的方式，更容易可靠地检测和指纹识别。 Unit 42 表示：“在生成式人工智能的帮助下，新的恶意代码变种的规模可能会增加。不过，我们可以使用相同的策略来重写恶意代码，以帮助生成可以提高机器学习模型稳健性的训练数据。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/iSCmefHzaCwcHO0tuNkk2w 封面来源于网络，如有侵权请联系删除

Ldapper A GoLang tool to enumerate and abuse LDAP. Made simple. Ldapper was created with for use in offensive security engagements for user enumeration, group enumeration, and more. Ldapper uses familiar “net” commands such as...

The post ldapper: A GoLang tool to enumerate and abuse LDAP appeared first on Penetration Testing Tools.

A vulnerability was found in Mozilla Firefox 27.0. It has been rated as problematic. Affected by this issue is the function nsHTMLDocument::Open of the component Popup Blocker. The manipulation leads to improper access controls. This vulnerability is handled as CVE-2014-1511. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.