Aggregator

思科修复 IOS XR 拒绝服务漏洞,可使路由器 BGP 进程崩溃(link is external)

HackerNews
3 months ago
HackerNews 编译,转载请注明出处: 思科修复了一个拒绝服务(DoS)漏洞(CVE-2025-20115),该漏洞允许未授权的远程攻击者通过发送单一 BGP 更新消息使 IOS XR 路由器上的边界网关协议(BGP)进程崩溃。 IOS XR 是思科为运营商级和服务提供商路由器开发的网络操作系统,基于微内核架构,专为高可用性、可扩展性和模块化设计。 攻击者可利用此漏洞通过精心构造的 BGP 更新或错误配置网络,导致内存损坏和 BGP 进程重启,从而引发拒绝服务。利用此漏洞需要攻击者控制 BGP 联盟扬声器或 AS_CONFED_SEQUENCE 属性达到 255 个自治系统编号。 “思科 IOS XR 软件中边界网关协议(BGP)的联盟实现存在漏洞,可能允许未认证的远程攻击者造成拒绝服务(DoS)条件。”咨询报告中指出,“该漏洞源于当 BGP 更新创建时,AS_CONFED_SEQUENCE 属性包含 255 个自治系统编号,导致内存损坏。攻击者可通过发送构造的 BGP 更新消息或网络设计使 AS_CONFED_SEQUENCE 属性达到 255 个或更多自治系统编号来利用此漏洞。成功利用可能导致内存损坏,BGP 进程重启,引发 DoS 条件。要利用此漏洞,攻击者必须控制与受害者同一自治系统中的 BGP 联盟扬声器,或网络设计使 AS_CONFED_SEQUENCE 属性达到 255 个或更多自治系统编号。” 此漏洞影响配置了 BGP 联盟的思科 IOS XR 软件,但不影响 IOS 软件、IOS XE 软件和 NX-OS 软件。 以下是受影响版本及修复版本: 思科 IOS XR 软件版本 首个修复版本 7.11 及更早版本 迁移到修复版本 24.1 及更早版本 迁移到修复版本 24.2 24.2.21(未来版本) 24.3 24.3.1 24.4 不受影响 若无法应用补丁,可将 AS_CONFED_SEQUENCE 限制在 254 个或更少自治系统编号,以降低攻击风险。 “存在一个解决此漏洞的变通方法。此漏洞部分原因是 BGP AS_CONFED_SEQUENCE 属性为 255 个或更多自治系统编号。变通方法是将此 BGP 属性限制在 254 个或更少自治系统编号。”报告中指出,“虽然此变通方法已在测试环境中部署并被证明成功,但客户应根据自身环境和使用条件确定其适用性和有效性。” IT 巨头建议在部署前评估变通方法,因为它可能根据特定部署场景影响网络性能。 思科产品安全事件响应团队(PSIRT)目前尚未发现利用此漏洞的攻击。   消息来源:Security Affairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

YouTube 惊现 DCRat 恶意软件,登录凭据或面临盗取危机(link is external)

嘶吼
3 months ago

网络安全研究人员发现了新一波攻击——Dark Crystal RAT(DCRat)。这是一种危险的远程访问木马,它通过恶意软件即服务(MaaS)模型重新出现。

攻击者主要瞄准游戏玩家,通过 YouTube 传播伪装成游戏作弊和破解程序的恶意软件。

恶意软件传播利用 YouTube 平台

DCRat 背后的攻击者将 YouTube 当作主要分发渠道,他们创建虚假或劫持的账户,上传宣传所谓游戏作弊、破解、机器人及类似软件的视频。每个视频描述都包含一个下载链接,引导用户访问托管受密码保护档案的合法文件共享服务,密码也在同一描述中提供,使整个过程看似可信。

YouTube 视频广告,宣传欺骗和破解

但这些档案并非提供所承诺的游戏工具,而是包含隐藏在各种垃圾文件和文件夹中的 DCRat 恶意软件,这些垃圾文件和文件夹旨在分散受害者的注意力。

DCRat,即 Dark Crystal RAT,于 2018 年首次出现,如今已演变成一种复杂的威胁。该恶意软件作为后门运行,让攻击者能远程访问受感染设备。此外,DCRat 支持模块化插件,极大地增强了其功能。研究人员已发现与该恶意软件家族相关的 34 个不同插件,涵盖按键记录、网络摄像头监视、文件盗窃和密码泄露等危险功能。

攻击者网站上的 DCRat 构建器插件

利用动漫主题域名

在基础设施方面,为托管命令和控制(C2)服务器,网络犯罪分子注册了许多二级域名(主要在俄罗斯的 “.ru” 域名区域内),并创建多个三级域名用于操作。仅自 2025 年初以来,攻击者就注册了至少 57 个新的二级域名。有趣的是,这些域名常包含受动漫启发的俚语,如 “nyashka”“nyashkoon” 和 “nyashtyan”,容易引起日本流行文化爱好者的共鸣。

采用特征命名方法的 C2 服务器地址

遥测数据显示,俄罗斯是此次活动的主要目标,约 80% 的感染发生在那里。其他受影响地区包括白俄罗斯、哈萨克斯坦和中国。卡巴斯基安全解决方案将该恶意软件检测为 “Backdoor.MSIL.DCRat”。

专家强烈建议用户只从可信来源下载游戏相关软件,避免因非官方渠道分发的受密码保护档案带来感染风险。

山卡拉

OKX 暂停 DEX 聚合器服务以阻止 Lazarus 黑客洗钱活动(link is external)

HackerNews
3 months ago
HackerNews 编译,转载请注明出处: OKX Web3 决定暂停其去中心化交易所(DEX)聚合器服务,以实施安全升级。此前有报道称,臭名昭著的朝鲜 Lazarus 黑客利用该服务进行了一次 15 亿美元的加密货币盗窃。 OKX 是一家领先的全球加密货币交易所,提供广泛的交易选项,包括现货和衍生品交易以及去中心化金融(DeFi)服务。截至 2024 年 12 月,OKX 在中心化交易所中占据全球现货交易市场份额的约 8.0%,月交易量约为 2300 亿美元,是全球顶级交易所之一。 去中心化交易所(DEX)聚合器是一个从多个 DEX 中获取流动性以提供最佳交易价格和减少滑点的平台。 在 Lazarus 组织创纪录的 15 亿美元 Bybit 加密货币盗窃后,据报道该组织试图利用 OKX 的 DEX 洗白 1 亿美元的被盗加密货币。 据彭博社报道,这引发了欧盟监管机构的调查。然而,OKX 否认了这些说法,称他们冻结了进入中心化交易所(CEX)的相关资金,并指责 Bybit 传播虚假信息。 “最近,我们发现 Lazarus 组织协调滥用我们的 DeFi 服务,”OKX 今日早些时候发布的公告中写道。 “同时,我们注意到旨在破坏我们工作的竞争攻击有所增加。我们选择采取果断行动,而不是退缩。” 今日,OKX 确认 Lazarus 一直在滥用其服务,需要一些停机时间来实施足够的防御措施以阻止这些活动。 “在与监管机构协商后,我们主动决定暂时暂停 DEX 聚合器服务。此举使我们能够实施额外的升级,以防止进一步的滥用,”OKX 解释道。 第一项措施是启动一个系统,以识别和跟踪 Web3 DEX 聚合器上与黑客相关的地址。 第二项关键措施是实时阻止这些地址在中心化交易所(CEX)上,以切断 Lazarus 的活动。 OKX 表示正在与区块链浏览器合作,确保交易得到正确标记,防止交易来源混淆并提高安全性。 加密货币交易所平台通过这些和其他措施寻求增强安全性、透明度和监管合规性。 目前尚不清楚 Lazarus 是否会找到绕过这些措施的方法,或者朝鲜黑客是否会转向其他安全标准较低的交易所。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

微软发现新远程访问特洛伊木马,用于加密货币盗窃和侦察(link is external)

HackerNews
3 months ago
HackerNews 编译,转载请注明出处: 微软发现了一种新的远程访问特洛伊木马(RAT),该木马采用“复杂技术”来规避检测、维持持久性和窃取敏感数据。 尽管该恶意软件(被称为 StilachiRAT)尚未广泛传播,但微软决定公开分享妥协指标和缓解指导,以帮助网络防御者检测这一威胁并减少其影响。 由于 StilachiRAT 在野外部署的实例有限,微软尚未将此恶意软件归因于特定的威胁行为者或与特定地理位置关联。 “2024 年 11 月,微软事件响应研究人员发现了一种新型远程访问特洛伊木马(RAT),我们将其命名为 StilachiRAT,它展示了复杂的规避检测、在目标环境中持续存在和窃取敏感数据的技术,”微软表示。 对包含 StilachiRAT 功能的 WWStartupCtrl64.dll 模块的分析显示,该恶意软件使用了多种方法从目标系统中窃取信息,例如存储在浏览器中的凭证、数字钱包信息、剪贴板中的数据以及系统信息。 这种新 RAT 的功能中,微软特别指出了其侦察功能,例如收集系统数据,包括硬件标识符、摄像头是否存在、活跃的远程桌面协议(RDP)会话以及运行中的基于 GUI 的应用程序,以对目标系统进行画像。 在被部署到受损系统后,攻击者可以利用 StilachiRAT 通过扫描 20 种加密货币钱包扩展的配置信息来窃取数字钱包数据,包括 Coinbase 钱包、Phantom、Trust 钱包、MetaMask、OKX 钱包、Bitget 钱包等。 该恶意软件还利用 Windows API 窃取存储在 Google Chrome 本地状态文件中的凭证,并监控剪贴板活动以获取敏感信息,如密码和加密货币密钥,同时跟踪活跃窗口和应用程序。 一旦作为独立进程或 Windows 服务启动,RAT 通过 Windows 服务控制管理器(SCM)获得并保持持久性,并使用看门狗线程监控恶意软件的二进制文件,确保它们在不活跃时自动重新创建。 StilachiRAT 还能够通过捕获前台窗口信息和克隆安全令牌来模仿登录用户,从而在受害者网络中横向移动,尤其是在 RDP 服务器上部署 RAT 后,这些服务器通常托管管理会话。 “该恶意软件获取当前会话,积极启动前台窗口,并枚举所有其他 RDP 会话,”微软表示。“对于每个已识别的会话,它将访问 Windows 资源管理器外壳并复制其权限或安全令牌。然后,恶意软件可以使用这些新获得的权限启动应用程序。” RAT 的功能还包括广泛的检测规避和反取证功能,例如清除事件日志的能力和检查是否在沙箱环境中运行以阻止恶意软件分析尝试。即使被诱骗在沙箱中运行,StilachiRAT 的 Windows API 调用也被编码为“在运行时动态解析的校验和”,并进一步混淆以减慢分析速度。 最后,微软表示 StilachiRAT 允许通过命令和控制(C2)服务器的命令执行以及潜在的类似 SOCKS 的代理功能,这可以让威胁行为者重启受损系统、清除日志、窃取凭证、执行应用程序以及操作系统窗口。 其他命令旨在“暂停系统、修改 Windows 注册表值以及枚举打开的窗口。” 为了减少此恶意软件可以利用来攻击目标系统的攻击面,微软建议仅从官方网站下载软件,并使用能够阻止恶意域名和电子邮件附件的安全软件。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

GitHub Action 被攻破,23000 多个仓库的 CI/CD 秘密面临风险(link is external)

HackerNews
3 months ago
HackerNews 编译,转载请注明出处: 网络安全研究人员正密切关注一起安全事件,其中流行的 GitHub Action tj-actions/changed-files 被攻破,导致使用持续集成和持续交付(CI/CD)工作流的仓库机密信息泄露。 该事件涉及的 tj-actions/changed-files GitHub Action 在 23000 多个仓库中使用,用于跟踪和检索所有更改的文件和目录。这一供应链攻击被赋予了 CVE 标识符 CVE-2025-30066(CVSS 评分:8.6),据说发生在 2025 年 3 月 14 日之前。 “在这次攻击中,攻击者修改了操作代码,并回溯更新了多个版本标签以引用恶意提交,”StepSecurity 表示。“被攻破的操作会在 GitHub Actions 构建日志中打印 CI/CD 机密信息。” 这种行为的最终结果是,如果工作流日志可公开访问,那么当在仓库上运行该操作时,可能会导致敏感机密信息未经授权而被曝光。这包括 AWS 访问密钥、GitHub 个人访问令牌(PATs)、npm 令牌和私有 RSA 密钥等。尽管如此,但没有证据表明泄露的机密信息被传输到了任何攻击者控制的基础设施中。 具体来说,恶意插入的代码旨在运行一个托管在 GitHub gist 上的 Python 脚本,该脚本会转储来自 Runner Worker 进程的 CI/CD 机密信息。据说该脚本源自一个未经验证的源代码提交。该 GitHub gist 已被删除。 “tj-actions/change-files 在组织的软件开发流程中使用,”Endor Labs 的首席技术官兼联合创始人 Dimitri Stiliadis 在一份声明中表示。“在开发人员编写和审查代码后,他们通常会发布到仓库的主分支。从那里‘流程’会接管,构建用于生产的代码并部署它。” “tj-actions/change-files 帮助检测仓库中的文件更改。它允许你检查在提交、分支或拉取请求之间哪些文件被添加、修改或删除。” “攻击者修改了操作代码,并回溯更新了多个版本标签以引用恶意提交。被攻破的操作现在执行一个恶意 Python 脚本,该脚本转储 CI/CD 机密信息,影响了数千个 CI 流程。” 项目维护者表示,事件背后的未知威胁者攻破了 @tj-actions-bot 使用的 GitHub 个人访问令牌(PAT),该机器人对被攻破的仓库具有特权访问权限。 在发现该事件后,账户密码已更新,身份验证已升级为使用通过密钥,并且其权限级别已更新,遵循最小特权原则。GitHub 还撤销了被攻破的 PAT。 “受影响的个人访问令牌作为 GitHub action 机密存储,目前已撤销,”维护者补充道。“今后,tj-actions 组织的所有项目将不再使用 PAT,以防止任何复发风险。” 任何使用该 GitHub Action 的用户都应尽快更新到最新版本(46.0.1)。用户还应审查 3 月 14 日至 3 月 15 日期间执行的所有工作流,并检查“changed-files 部分下是否有意外输出”。 这并非 tj-actions/changed-files Action 首次出现安全问题。2024 年 1 月,安全研究员 Adnan Khan 揭露了影响 tj-actions/changed-files 和 tj-actions/branch-names 的一个关键漏洞(CVE-2023-49291,CVSS 评分:9.8),该漏洞可能导致任意代码执行。 这一事件再次凸显了开源软件特别容易受到供应链风险的影响,这可能会对下游客户产生严重后果。 “截至 2025 年 3 月 15 日,所有版本的 tj-actions/changed-files 均被发现受到影响,因为攻击者成功修改了现有版本标签,使其全部指向恶意代码,”云安全公司 Wiz 表示。 “使用了哈希固定版本的 tj-actions/changed-files 的客户不会受到影响,除非他们在利用时间窗口期间更新到了受影响的哈希。”   消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

网络犯罪分子利用 CSS 规避垃圾邮件过滤器并追踪电子邮件用户行为(link is external)

HackerNews
3 months ago
HackerNews 编译,转载请注明出处: 据思科 Talos 最新发现,网络犯罪分子正在利用用于网页设计和布局的层叠样式表(CSS),以规避垃圾邮件过滤器并追踪用户行为。这一行为可能会危及受害者的安全和隐私。 “尽管在电子邮件客户端中,与动态内容(例如 JavaScript)相关的许多功能受到限制,但 CSS 提供的功能仍可让攻击者和垃圾邮件发送者追踪用户的操作和偏好,”Talos 研究员 Omid Mirzaei 在上周发布的一份报告中表示。 这一发现是对该公司之前研究的补充,之前的研究显示,2024 年下半年,利用隐藏文本盐值规避电子邮件垃圾邮件过滤器和安全网关的电子邮件威胁激增。 这种技术特别涉及利用超文本标记语言(HTML)和 CSS 的合法功能,包含在电子邮件客户端中渲染时不可见的注释和无关内容,但这些内容可能会使解析器和检测引擎出错。 Talos 的最新分析发现,威胁行为者正在使用诸如 text_indent 和 opacity 等 CSS 属性,将无关内容从电子邮件正文中隐藏起来。在某些情况下,这些活动的最终目标是将电子邮件接收者重定向到钓鱼页面。 此外,CSS 还为威胁行为者提供了通过垃圾邮件追踪用户行为的机会,方法是嵌入诸如@media CSS 规则这样的 CSS 属性,从而为潜在的指纹攻击打开大门。 “这种滥用行为的范围可以从识别收件人的字体和颜色方案偏好、客户端语言,甚至追踪他们的操作(例如查看或打印电子邮件),”Mirzaei 解释说。 “CSS 提供了广泛的规则和属性,可以帮助垃圾邮件发送者和威胁行为者对用户、他们的网络邮件或电子邮件客户端以及系统进行指纹识别。例如,媒体规则可以检测用户环境的某些属性,包括屏幕大小、分辨率和颜色深度。” 为了降低此类威胁带来的风险,建议实施高级筛选机制,以检测隐藏文本盐值和内容隐藏,并使用电子邮件隐私代理。   消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad