Aggregator

A collective of Venezuelan nationals, implicated in a sophisticated series of fiscal exfiltrations from automated teller machines via

The post The Jackpotting Ring: Venezuelan Malware Syndicate Admits to Multi-State ATM Heist appeared first on Penetration Testing Tools.

A Singaporean tribunal has dismissed a motion filed by Wang Yunhe, a Chinese national indicted in the United

The post Botnet King Denied: Singapore High Court Blocks Wang Yunhe’s Bid to Reclaim Seized Gear appeared first on Penetration Testing Tools.

A Jordanian national residing in Georgia has formally confessed to his involvement in the illicit trade of unauthorized

The post The Broker Unmasked: Jordanian “r1z” Admits Selling Access to 50 Corporate Networks appeared first on Penetration Testing Tools.

For several hours, the official portal of the Georgian government inadvertently hosted sensitive information that authorities would have

The post The Gazprom Slip: Georgia Scrambles After State Secrets Leak on Official Portal appeared first on Penetration Testing Tools.

A critical vulnerability has emerged within a popular utility for the Laravel framework, effectively transmuting a standard file

The post Unpatched RCE in Livewire Filemanager Grants Full Server Access appeared first on Penetration Testing Tools.

Sometimes, the most mortifying missives are dispatched not by intent, but by a stray, clumsy gesture. It appears

The post No More Accidental Texts: Google Messages Tests Life-Saving “Tap to Edit” Feature appeared first on Penetration Testing Tools.

Occasionally, the most unforeseen vulnerabilities reside not within nascent code, but within foundations that have been deemed unimpeachable

The post Foundations of Sand: 30-Year-Old glibc Vulnerability Exposed in Linux Core appeared first on Penetration Testing Tools.

The January suite of Windows 11 updates has unexpectedly manifested as one of those troublesome releases where the

The post The PC That Never Sleeps: Microsoft Issues Emergency Fix for Windows 11 Shutdown Bug appeared first on Penetration Testing Tools.

Microsoft has initiated a formal inquiry into a proliferation of grievances asserting that the January security update for

The post Outlook Classic Paralyzed: January Windows 11 Update Breaks POP Email Access appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 美国田纳西州一名男子承认入侵了美国最高法院的电子档案系统，并入侵了美国联邦机构AmeriCorps和美国退伍军人事务部的账户。 联邦检察官表示，来自田纳西州斯普林菲尔德的24岁男子尼古拉斯·摩尔在2023年8月至10月期间，使用窃取的凭据访问了最高法院受限的电子档案系统至少25次。 此外，他有时每天多次使用相同的被盗凭据登录最高法院的系统。 据称，摩尔在Instagram上吹嘘这些入侵行为，将包含受害者姓名和来自最高法院账户的档案系统详细信息的截图发布到一个名为@ihackedthegovernment的账户。 美国司法部周五表示：”摩尔曾三次在其Instagram账户@ihackedthegovernment上发布其受害者的最高法院档案系统详细信息的截图，包括受害者的姓名和其他信息。” 他还在2023年8月至10月期间，使用被盗的MyAmeriCorps凭据七次访问第二名受害者的AmeriCorps账户，从该机构的服务器获取了个人信息（包括姓名、出生日期、电子邮件地址、家庭住址、电话号码、公民身份、退伍军人身份、服役历史以及社会安全号码的最后四位数字），并将其泄露在同一Instagram账户上。 摩尔还在2023年9月至10月期间，使用从一名美国海军陆战队退伍军人那里窃取的登录凭据，五次访问退伍军人事务部的”My HealtheVet”在线个人健康记录门户网站。退伍军人事务部还运营着美国最大的综合医疗保健系统，在美国1,380个医疗保健机构提供护理服务。 检察官在法庭文件中表示：”这次入侵使摩尔能够访问该退伍军人的私人健康信息，包括处方药和其他私密数据。摩尔随后将退伍军人的健康信息发布到@ihackedthegovernment账户，并吹嘘自己获得了访问退伍军人事务部服务器的权限。” 摩尔承认了一项计算机欺诈罪，这是一项轻罪，最高可判处一年监禁和10万美元罚款。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Corporations across the globe frequently harbor an inflated perception of their capacity to recuperate from cyber incursions. This

The post The Resilience Debt: Dell Unveils the Hidden Risk Behind Overconfident Cyber Recovery appeared first on Penetration Testing Tools.

Mandiant has disseminated an exhaustive repository of rainbow tables engineered to decrypt the antiquated Net-NTLMv1 protocol. This initiative

The post The End of NTLMv1: Mandiant Releases Rainbow Tables to Kill Legacy Logins appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处：  一场恶意广告活动正在利用一款名为NexShield的虚假广告拦截Chrome和Edge扩展程序，该扩展会故意使浏览器崩溃，为ClickFix攻击做准备。 这些攻击于本月早些时候被发现，并投递了一种名为ModeloRAT的新型基于Python的远程访问工具，该工具被部署在企业环境中。 NexShield扩展程序声称是一款隐私优先、高性能、轻量级的广告拦截器，由拥有超过1400万用户的合法广告拦截器uBlock Origin的原始开发者Raymond Hill创建。该扩展现已被从Chrome网上应用商店移除。 托管安全公司Huntress的研究人员表示，NexShield通过在无限循环中创建chrome.runtime端口连接并耗尽浏览器内存资源，从而在浏览器中造成拒绝服务条件。 这会导致标签页冻结、Chrome进程CPU使用率升高、RAM使用量增加，以及浏览器整体无响应。最终，Chrome/Edge会卡死或崩溃，迫使通过Windows任务管理器终止进程。 因此，Huntress将这些攻击称为ClickFix的一个变种，并将其命名为”CrashFix”。 当浏览器重新启动时，该扩展程序会显示一个欺骗性弹窗，展示虚假警告，并建议扫描系统以定位问题。 这样做会打开一个新窗口，显示关于检测到威胁用户数据安全问题的虚假警告，并提供如何修复问题的说明，其中涉及在Windows命令提示符中执行恶意命令。 以典型的ClickFix方式，恶意扩展程序将一个命令复制到剪贴板，并指示用户只需按”Ctrl+V”，然后在命令提示符中运行它。 这个”修复”命令是一个链式操作，通过远程连接触发一个经过混淆处理的PowerShell脚本，该脚本会下载并执行恶意脚本。 为了试图使扩展程序与恶意活动脱钩并逃避检测，有效载荷在安装NexShield后有60分钟的执行延迟。 对于企业环境中特定的已加入域的主机，威胁行为者会投递ModeloRAT。该工具可以执行系统侦察、运行PowerShell命令、修改注册表、引入其他有效载荷以及自我更新。 对于非域主机，据Huntress研究人员称，命令与控制服务器返回了”TEST PAYLOAD!!!!”消息，表明这些目标要么优先级较低，要么相关攻击仍在开发中。 本月早些时候，网络安全公司Securonix发现了另一起ClickFix攻击，该攻击通过滥用全屏模式在目标浏览器中模拟Windows蓝屏死机界面。然而，在CrashFix攻击中，浏览器崩溃是真实的，这使得攻击更具说服力。 研究人员提供了关于整个CrashFix攻击及以此方式投递的有效载荷的详细技术报告。他们详细说明了感染链的多个阶段以及ModeloRAT的功能，从建立持久性、收集侦察信息到执行命令、对系统进行指纹识别以及确定其在受感染系统上的权限。 Huntress将分析的CrashFix攻击归因于名为”KongTuke”的威胁行为者，该团伙的活动自2025年初以来就一直在该公司的监控范围内。 基于最近的发现，研究人员认为KongTuke正在不断进化，并且对企业网络越来越感兴趣，因为这对网络犯罪分子来说利润更高。 要防止落入ClickFix攻击的陷阱，可以确保完全理解在系统上执行的任何外部命令的效果。此外，从受信任的发布者或来源安装浏览器扩展程序，可以保护您免受CrashFix攻击或其他威胁。 安装了NexShield的用户应执行全面的系统清理，因为仅卸载扩展程序无法清除所有有效载荷，例如ModeloRAT或其他恶意脚本。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

The automation of software development via artificial intelligence has transitioned from the realm of speculative fiction into an

The post The Security Paradox: New Study Reveals 69 Vulnerabilities in AI-Generated Apps appeared first on Penetration Testing Tools.

A sophisticated cyber espionage offensive, meticulously orchestrated against United States governmental entities, has been unearthed by the Acronis

The post The Lotus Trap: Mustang Panda Targets US Government via LOTUSLITE Malware appeared first on Penetration Testing Tools.

Since the dawn of 2025, the threat intelligence practitioners at Cisco Talos have documented the persistent operations of

The post Infrastructure Under Siege: China-Linked UAT-8837 Targets North American Utilities appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 德国CISPA亥姆霍兹信息安全中心的一个学术团队披露了一个影响AMD处理器的新型硬件漏洞的详细信息。 这个被命名为StackWarp的安全漏洞，可允许拥有主机服务器特权控制权的恶意行为者在机密虚拟机内部运行恶意代码，从而破坏了AMD安全加密虚拟化及安全嵌套分页（SEV-SNP）所提供的完整性保证。该漏洞影响AMD Zen 1至Zen 5架构的处理器。 研究人员Ruiyi Zhang、Tristan Hornetz、Daniel Weber、Fabian Thomas和Michael Schwarz表示：”在SEV-SNP的语境下，该漏洞允许恶意的VM主机操控客户虚拟机的堆栈指针。这使得攻击者能够劫持控制流和数据流，从而在机密虚拟机内部实现远程代码执行和权限提升。” AMD将该漏洞标识为CVE-2025-29943（CVSS v4评分：4.6），并将其定性为中等严重性的不当访问控制漏洞，可能允许具有管理员权限的攻击者更改CPU流水线的配置，导致SEV-SNP客户机内部的堆栈指针损坏。 此问题影响以下产品线： AMD EPYC 7003系列处理器 AMD EPYC 8004系列处理器 AMD EPYC 9004系列处理器 AMD EPYC 9005系列处理器 AMD EPYC Embedded 7003系列处理器 AMD EPYC Embedded 8004系列处理器 AMD EPYC Embedded 9004系列处理器 AMD EPYC Embedded 9005系列处理器 SEV旨在加密受保护虚拟机的内存，并将其与底层虚拟机监控程序隔离。然而，CISPA的新发现表明，通过攻击一种名为”堆栈引擎”的微架构优化（该优化负责加速堆栈操作），可以在不读取虚拟机明文内存的情况下绕过这一保护机制。 Zhang在与thehackernews分享的声明中表示：”该漏洞可以通过虚拟机监控程序侧一个先前未记录的的控制位进行利用。与目标虚拟机并行运行超线程的攻击者可以利用此功能来操控受保护虚拟机内部的堆栈指针位置。” 这反过来又导致程序流被重定向或敏感数据被操纵。StackWarp攻击可用于从SEV安全环境中泄露秘密，并危害基于AMD处理器的云环境中托管的虚拟机。具体来说，该漏洞可用于从单个错误的签名中恢复RSA-2048私钥，从而有效绕过OpenSSH密码身份验证和sudo密码提示，并在虚拟机中获得内核模式代码执行能力。 该芯片制造商已于2025年7月和10月针对此漏洞发布了微码更新。针对EPYC Embedded 8004和9004系列处理器的AGESA补丁计划于2026年4月发布。 此次披露建立在CISPA先前的一项研究基础之上，该研究详细描述了CacheWarp（CVE-2023-20592，CVSS v3评分：6.5），这是一种针对AMD SEV-SNP的软件故障攻击，允许攻击者劫持控制流、侵入加密虚拟机并在虚拟机内部执行权限提升。值得注意的是，两者都是硬件架构攻击。 Zhang表示：”对于SEV-SNP主机的运维人员来说，有具体的步骤需要采取：首先，检查受影响系统上是否启用了超线程。如果已启用，请计划临时关闭对完整性要求特别高的机密虚拟机的超线程功能。同时，应安装硬件供应商提供的任何可用的微码和固件更新。StackWarp再次证明了细微的微架构效应如何能破坏系统级的安全保证。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Security practitioners have identified an evolved iteration of the Kazuar loader, a tool wielded by the prolific Turla

The post The Invisible Agent: Turla’s Evolved Kazuar Loader Hijacks COM to Blind Windows appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场持续攻击活动”KongTuke”的详细信息。该活动利用一款伪装成广告拦截器的恶意谷歌Chrome扩展程序，故意使网页浏览器崩溃，并模仿ClickFix式诱饵欺骗受害者运行任意命令，从而投递一种先前未被记录的远程访问木马（RAT），名为ModeloRAT。 Huntress将这种ClickFix攻击的新变种命名为CrashFix。 KongTuke（也称为404 TDS、Chaya_002、LandUpdate808和TAG-124）是一个流量分发系统的名称。该系统以在将受害者重定向至有效载荷投递站点感染其系统前，先对受害者主机进行特征分析而闻名。随后，对这些受感染主机的访问权限会被移交给其他威胁行为者（包括勒索软件组织），以进行后续的恶意软件投递。 根据Recorded Future于2025年4月发布的一份报告，一些曾利用TAG-124基础设施的网络犯罪团伙包括Rhysida勒索软件、Interlock勒索软件和TA866（又名Asylum Ambuscade）。该威胁行为者还与SocGholish和D3F@ck Loader有关联。 根据该网络安全公司记录的攻击链，据称受害者在搜索广告拦截器时，被引导至一个恶意广告，该广告将其重定向到官方Chrome网上应用商店托管的一个扩展程序。 这个名为”NexShield – Advanced Web Guardian”（ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi）的浏览器扩展程序，伪装成”终极隐私护盾”，声称能保护用户免受网页上的广告、追踪器、恶意软件和侵扰性内容的侵害。该扩展至少被下载了5000次。目前它已无法下载。 Huntress表示，该扩展程序几乎是所有主流浏览器可用的合法广告拦截器插件uBlock Origin Lite版本2025.1116.1841的克隆。其设计目的是显示虚假的安全警告，声称浏览器”异常停止”，并提示用户运行”扫描”以修复由Microsoft Edge检测到的潜在安全威胁。 如果用户选择运行扫描，受害者会看到一个伪造的安全警报，指示他们打开Windows”运行”对话框，粘贴已复制到剪贴板的显示命令并执行它。这反过来会导致浏览器完全冻结，通过发起拒绝服务攻击使其崩溃——该攻击通过无限循环创建新的运行时端口连接，重复触发同一步骤十亿次。 这种资源耗尽技术会导致内存消耗过度，使网页浏览器变得缓慢、无响应，并最终崩溃。 一旦安装，该扩展程序还设计向攻击者控制的服务器（”nexsnield[.]com”）传输一个唯一ID，使操作者能够追踪受害者。此外，它采用了延迟执行机制，确保恶意行为仅在安装60分钟后才被触发。此后，有效载荷每10分钟执行一次。 研究人员Anna Pham、Tanner Filip和Dani Lopez表示：”弹窗仅在浏览器变得无响应后、在浏览器启动时出现。在DoS执行之前，时间戳会存储在本地存储中。当用户强制退出并重新启动浏览器时，启动处理程序会检查此时间戳，如果存在，则显示CrashFix弹窗，并移除时间戳。” “仅当UUID存在（意味着用户正被追踪）、C2服务器成功响应获取请求、并且弹窗窗口至少被打开并随后关闭过一次时，DoS才会执行。最后一个条件可能是为了确保在触发有效载荷前用户与扩展程序有交互。” 最终结果是它创建了自己的循环，每当受害者因DoS攻击导致浏览器无响应而强制退出并重启浏览器时，都会激活虚假警告。如果扩展程序未被移除，攻击将在10分钟后再次触发。 该弹窗还采用了多种反分析技术，包括禁用右键上下文菜单，并阻止尝试使用键盘快捷键启动开发者工具。CrashFix命令利用合法的Windows实用程序finger.exe，从攻击者的服务器（”199.217.98[.]108″）检索并执行下一阶段的有效载荷。安全研究员Brad Duncan在2025年12月记录了KongTuke对Finger命令的使用。 从服务器接收的有效载荷是一个PowerShell命令，该命令被配置为检索第二个PowerShell脚本。后者转而借鉴了SocGholish的手法，使用多层Base64编码和XOR运算来隐藏下一阶段的恶意软件。 解密后的代码块会扫描正在运行的进程，查找超过50种分析工具和虚拟机指示器，如果发现则立即停止执行。它还检查计算机是否已加入域或是独立计算机，并向同一服务器发送HTTP POST请求，其中包含两条信息： 已安装的防病毒产品列表 一个标志，对于独立的”WORKGROUP”计算机值为”ABCD111″，对于已加入域的主机值为”BCDA222″ 如果被入侵系统在HTTP请求中被标记为已加入域，则KongTuke攻击链最终会部署ModeloRAT。这是一个功能齐全的基于Python的Windows RAT，它使用RC4加密进行命令与控制通信（”170.168.103[.]208″ 或 “158.247.252[.]178″），利用注册表建立持久化，并便于执行二进制文件、DLL、Python脚本和PowerShell命令。 ModeloRAT能够在收到自我更新（”VERSION_UPDATE”）或退出（”TERMINATION_SIGNAL”）命令时进行自我更新或终止。它还实现了变化的信标逻辑以躲避检测。 Huntress表示：”在正常操作下，它使用300秒（5分钟）的标准间隔。当服务器发送激活配置命令时，植入程序进入主动模式，以可配置的间隔进行快速轮询，默认间隔为150毫秒。” “在连续六次或更多次通信失败后，RAT会退避到900秒（15分钟）的延长间隔以避免检测。从单次通信失败恢复时，它在恢复正常操作前使用150秒的重连间隔。” 虽然针对已加入域的机器部署ModeloRAT表明KongTuke的目标是企业环境，以便于更深层次的渗透，但独立工作站上的用户则会遭受另一个多阶段感染序列。该序列最终C2服务器会响应消息”TEST PAYLOAD!!!!”，表明其可能仍处于测试阶段。 该网络安全公司总结道：”KongTuke的CrashFix活动展示了威胁行为者如何不断演进其社会工程策略。通过假冒可信的开源项目（uBlock Origin Lite）、故意使用户的浏览器崩溃，然后提供一个虚假的修复方案，他们构建了一个自我维持的感染循环，利用用户的挫败感进行攻击。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文