Aggregator

最终文本的全文翻译

error code: 521

HackerNews 编译，转载请注明出处： 近期，恶意软件僵尸网络“Ficora”与“Capsaicin”正利用已停产或运行过时固件版本的D-Link路由器发起攻击。这些目标涵盖了多款常见的D-Link型号，例如DIR-645、DIR-806、GO-RT-AC750以及DIR-845L。 在初始攻击阶段，攻击者利用了几个已知的漏洞，包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备沦陷，攻击者会通过D-Link管理界面（HNAP）的GetDeviceSettings操作执行恶意命令。 这两个僵尸网络不仅具备数据窃取能力，还能执行shell脚本。它们的主要用途是进行分布式拒绝服务（DDoS）攻击。 关于Ficora僵尸网络 Ficora是Mirai的一个变种，专门设计用于利用D-Link设备的漏洞。 根据Fortinet的遥测数据，Ficora的攻击活动在10月和11月出现了两次显著的峰值。该僵尸网络的感染范围广泛，但特别关注日本和美国。一旦感染，Ficora会通过名为“multi”的shell脚本下载并执行有效载荷，利用wget、curl、ftpget和tftp等多种方法。 此外，Ficora内置了暴力破解功能，并包含硬编码的凭证，使其能够感染其他基于Linux的设备，且支持多种硬件架构。 在DDoS攻击方面，Ficora具备UDP泛洪、TCP泛洪和DNS放大功能，从而增强了其攻击效果。 关于Capsaicin僵尸网络 Capsaicin是Kaiten僵尸网络的一个变种，据推测由Keksec组织开发，该组织因“EnemyBot”等针对Linux设备的恶意软件而闻名。 Capsaicin的攻击活动主要集中在10月21日至22日，目标多为东亚国家。在感染过程中，Capsaicin使用名为“bins.sh”的下载器脚本获取以“yakuza”为前缀的二进制文件，这些文件支持arm、mips、sparc和x86等多种架构。 此外，该恶意软件还会主动查找并禁用同一主机上运行的其他僵尸网络有效载荷。 除了与Ficora类似的DDoS功能外，Capsaicin还能收集主机信息并将其传输到指挥与控制（C2）服务器进行追踪。 为了防御这些僵尸网络恶意软件的攻击，建议采取以下措施： 确保路由器和物联网设备运行最新的固件版本，以修复已知的漏洞。 如果设备已停产且不再接收安全更新，建议更换为新型号的设备。 更改默认的管理员凭证为独特且强大的密码，以增加攻击者的破解难度。 关闭不必要的远程访问接口，以降低被攻击的风险。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

NachoVPN NachoVPN is a Proof of Concept that demonstrates exploitation of SSL-VPN clients, using a rogue VPN server. It uses a plugin-based architecture so that support for additional SSL-VPN products can be contributed by...

The post NachoVPN: Popping SSL-VPNs with a Rogue Server appeared first on Penetration Testing Tools.

#硬件设备 华硕将在下周推出玩家国度新款 NUC 迷你机，搭载英特尔酷睿 200 系列处理器和英伟达 RTX50 系显卡。ROG NUC 2025 是高端机型因此售价可能会超过 200

error code: 521

HackerNews 编译，转载请注明出处： 威胁组织Cloud Atlas在其2024年的网络攻击活动中使用了一种此前未被记录的恶意软件VBCloud，针对“数十名用户”实施攻击。 据卡巴斯基研究员Oleg Kupreev本周发布的分析报告显示，受害者通常通过钓鱼邮件感染，该邮件包含一个利用公式编辑器漏洞（CVE-2018-0802）的恶意文档，用于下载并执行恶意代码。 超过80%的攻击目标位于俄罗斯，其余少数受害者分布在白俄罗斯、加拿大、摩尔多瓦、以色列、吉尔吉斯斯坦、土耳其和越南。 Cloud Atlas（又称Clean Ursa、Inception、Oxygen和Red October）是自2014年活跃至今的一个匿名威胁活动集群。2022年12月，该组织被发现针对俄罗斯、白俄罗斯和德涅斯特河沿岸实施网络攻击，使用了一种名为PowerShower的基于PowerShell的后门程序。 一年后，俄罗斯网络安全公司F.A.C.C.T.披露，该国的多个实体遭遇鱼叉式钓鱼攻击，攻击利用了一个旧版Microsoft Office公式编辑器漏洞（CVE-2017-11882），植入了一个Visual Basic脚本（VBS）负载，负责下载下一阶段的未知VBS恶意软件。 卡巴斯基的最新报告表明，这些组件属于被称为VBShower的恶意工具集，它用于下载并安装PowerShower和VBCloud。 攻击链始于一封钓鱼邮件，其中包含一个诱导打开的Microsoft Office文档。一旦打开，该文档会从远程服务器下载一个恶意RTF模板，并利用CVE-2018-0802漏洞下载并运行一个托管在相同服务器上的HTML应用程序（HTA）文件。 Kupreev指出：“漏洞通过RTF模板下载HTA文件并运行，利用NTFS替代数据流（ADS）功能在%APPDATA%\Roaming\Microsoft\Windows\路径下提取并创建多个文件。这些文件组成了VBShower后门程序。” 这些文件包括一个启动器，负责在内存中提取并运行后门模块；另一个VBS脚本充当清理工具，用于删除”\Local\Microsoft\Windows\Temporary Internet Files\Content.Word”文件夹内的所有文件内容，以及自身和启动器中的内容，从而掩盖恶意活动的痕迹。 VBShower后门用于从命令与控制（C2）服务器获取更多VBS负载，其功能包括重启系统、收集文件夹中的文件信息、运行进程的名称、计划任务的列表，并安装PowerShower和VBCloud。 PowerShower的功能与VBShower相似，但主要区别在于它从C2服务器下载并执行下一阶段的PowerShell脚本，同时也可作为ZIP档案文件的下载工具。 卡巴斯基观察到多达七种PowerShell负载，每种负载执行以下特定任务： 通过Active Directory服务接口（ADSI）获取远程计算机上的本地组及其成员列表 对用户账户进行字典攻击 解压由PowerShower下载的ZIP档案，并执行其中的PowerShell脚本以实施Kerberoasting攻击（获取Active Directory账户凭据的后期利用技术） 获取管理员组列表 获取域控制器列表 收集ProgramData文件夹中的文件信息 获取本地计算机的账户策略和密码策略设置 VBCloud的功能类似于VBShower，但通过公共云存储服务进行C2通信。它由一个计划任务触发，在受害者用户每次登录系统时激活。 该恶意软件能够收集磁盘信息（驱动器号、类型、介质类型、大小和可用空间）、系统元数据以及特定文件（如DOC、DOCX、XLS、XLSX、PDF、TXT、RTF和RAR）和与Telegram消息应用相关的文件。 Kupreev总结道：“PowerShower用于探测本地网络并协助进一步渗透，而VBCloud则负责收集系统信息和窃取文件。整个感染链包括多个阶段，其最终目标是从受害者设备中窃取数据。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Karton Distributed malware processing framework based on Python, Redis, and MinIO. The idea Karton is a robust framework for creating flexible and lightweight malware analysis backends. It can be used to connect malware analysis systems into a...

The post karton: Distributed malware processing framework appeared first on Penetration Testing Tools.

A vulnerability has been found in SSH Tectia Client up to 5.0.3 and classified as problematic. This vulnerability affects unknown code of the component Error Handler. The manipulation leads to information disclosure. This vulnerability was named CVE-2008-5161. The attack can be initiated remotely. There is no exploit available.

#安全资讯 更多 Chrome 扩展程序遭到黑客攻击并发布携带恶意代码的虚假版本，超过 60 万名用户面临潜在的安全风险。这些扩展程序开发者账户遭到黑客钓鱼，黑客在某个时间点发布恶意版

error code: 521

HackerNews 编译，转载请注明出处： VulnCheck最新发现，针对四信（Four-Faith）部分路由器的高危漏洞CVE-2024-12856（CVSS评分7.2）已被实际利用于攻击中。该漏洞为操作系统命令注入漏洞，影响F3x24和F3x36两款路由器型号。 尽管漏洞严重性相对较低，需远程攻击者成功认证后才可触发，但若路由器默认凭据未更改，则可能导致未经授权的命令执行。 VulnCheck报告指出，不明攻击者利用默认凭据触发CVE-2024-12856漏洞，通过反向Shell实现远程持久访问。攻击源自IP地址178.215.238[.]91，该地址此前曾用于攻击四信路由器的另一漏洞CVE-2019-12168，最近一次攻击活动发生在2024年12月19日。 VulnCheck研究员Jacob Baines指出，通过HTTP协议的/apply.cgi端点可对F3x24和F3x36路由器发起攻击。在修改系统时间时，adj_time_year参数存在命令注入漏洞。Censys数据显示，目前超过15000台四信路由器直接暴露于互联网，且攻击可能始于2024年11月初。 截至目前，尚未有关于此漏洞补丁可用性的具体信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hayabusa Hayabusa is a Windows event log fast forensics timeline generator and threat hunting tool created by the Yamato Security group in Japan. Hayabusa means “peregrine falcon” in Japanese and was chosen as peregrine falcons are the fastest animal in the...

The post hayabusa: Windows event log fast forensics timeline generator and threat hunting tool appeared first on Penetration Testing Tools.

error code: 521

HackerNews 编译，转载请注明出处： 近期，一场针对Chrome浏览器扩展的新型攻击活动曝光，至少有16款扩展被攻破，导致超过60万用户的敏感数据和凭据泄露。 此次攻击通过钓鱼手段，瞄准了Chrome Web Store上的扩展发布者，利用他们的访问权限，在合法扩展中植入恶意代码，以窃取用户的Cookie和访问令牌。 首个确认受影响的公司是网络安全企业Cyberhaven。12月27日，Cyberhaven透露其浏览器扩展遭到威胁行为者的攻击，恶意代码被注入，与位于cyberhavenext[.]pro的外部指挥控制（C&C）服务器通信，下载额外配置文件并窃取用户数据。 LayerX Security公司CEO Or Eshed指出，浏览器扩展是网络安全中的薄弱环节。尽管通常认为扩展无害，但它们往往拥有广泛权限，能访问用户的敏感信息，如Cookie、访问令牌和身份信息。 许多组织对其终端安装的扩展及潜在风险缺乏了解。随着Cyberhaven漏洞事件的曝光，与同一C&C服务器通信的其他受攻击扩展也被迅速识别。 Nudge Security公司首席技术官Jamie Blasco进一步发现了指向C&C服务器同一IP地址的其他域名。 目前，疑似被攻破的扩展包括但不限于： AI Assistant – ChatGPT和Gemini for Chrome Bard AI Chat Extension GPT 4 Summary with OpenAI Search Copilot AI Assistant for Chrome TinaMind AI Assistant Wayin AI VPNCity Internxt VPN Vindoz Flex Video Recorder VidHelper Video Downloader Bookmark Favicon Changer Castorus Uvoice Reader Mode Parrot Talks Primus 这些扩展的受感染情况表明，Cyberhaven并非唯一目标，此次攻击是一次针对合法浏览器扩展的大规模活动。 分析显示，被攻破的Cyberhaven扩展中的恶意代码主要针对Facebook账户的身份数据和访问令牌，特别是商业账户。 Cyberhaven表示，恶意版本扩展在上线约24小时后已被移除，部分其他受影响扩展也已从Chrome Web Store更新或下架。 然而，LayerX的Or Eshed警告，即使扩展从商店下架，只要受感染版本仍在用户设备上运行，攻击者仍可访问并窃取数据。 安全研究人员正继续寻找更多受影响的扩展，但此次攻击活动的复杂性和规模已给许多组织敲响了保护浏览器扩展安全的警钟。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

以下是美国司法部关于该法令的官宣翻译，文末附有原文链接，以及相关法令概要和细则 PDF 的全文下载地址，本文不对该法令做任何解读。最终规则实施行政命令，防止美国的大规模敏感个人数据和与美国政府相关的数