HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员详细描述了NVIDIA容器工具包中一个之前已修复的安全漏洞的不完整修复情况。如果该漏洞被成功利用，可能会使敏感数据面临风险。 原始漏洞CVE-2024-0132（CVSS评分：9.0）是一个时间检查到时间使用（TOCTOU）漏洞，可能导致容器逃逸攻击，并允许未经授权访问底层主机。 虽然NVIDIA在2024年9月解决了这一漏洞，但Trend Micro的新分析显示，修复并不完整，并且还存在一个相关的性能问题，影响Linux上的Docker，可能导致拒绝服务（DoS）状态。 网络安全 “这些问题可能使攻击者能够突破容器隔离，访问敏感的主机资源，并造成严重的运营中断，”Trend Micro研究人员Abdelrahman Esmail在今天发布的一份新报告中表示。 TOCTOU漏洞的持续存在意味着一个精心设计的容器可能被滥用以访问主机文件系统，并以root权限执行任意命令。该漏洞影响版本1.17.4，前提是明确启用了功能allow-cuda-compat-libs-from-container。 “具体漏洞存在于mount_files函数中，”Trend Micro表示。“该问题源于在对对象执行操作时缺乏适当的锁定。攻击者可以利用此漏洞提升权限，并在主机上下文中执行任意代码。” 然而，要使这种权限提升生效，攻击者必须已经获得了在容器内执行代码的能力。 该缺陷已被分配CVE标识符CVE-2025-23359（CVSS评分：9.0），此前云安全公司Wiz在2025年2月将其标记为CVE-2024-0132的绕过漏洞。该问题已在版本1.17.4中得到修复。 网络安全公司表示，在分析CVE-2024-0132时，还发现了一个性能问题，可能在主机上导致拒绝服务（DoS）漏洞。该问题影响Linux系统上的Docker实例。 “当使用(bind-propagation=shared)配置多个挂载创建新容器时，会建立多个父/子路径。然而，在容器终止后，Linux挂载表中相关的条目并未被移除，”Esmail表示。 “这导致挂载表快速增长且无法控制，耗尽可用文件描述符（fd）。最终，Docker因fd耗尽而无法创建新容器。这种过大的挂载表还会导致严重的性能问题，阻止用户连接到主机（例如通过SSH）。” 为缓解此问题，建议监控Linux挂载表的异常增长，限制Docker API访问仅限授权人员，实施严格的访问控制策略，并定期审计容器到主机文件系统绑定、卷挂载和套接字连接。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络钓鱼攻击者正在采用一种名为“精准验证钓鱼”的新规避技术，该技术仅在用户输入攻击者特定目标的电子邮件地址时才会显示虚假登录表单。 与传统的广泛目标网络钓鱼不同，这种新方法使用实时电子邮件验证，确保只有经过预先验证的高价值目标才能看到钓鱼内容。 尽管这种新策略并不特别复杂或高深，但它将所有非有效目标排除在网络钓鱼过程之外，从而阻止他们了解攻击操作。 电子邮件安全公司Cofense记录了这种新策略的采用率上升，并指出这给他们的工作带来了显著的实际问题。 在研究网络钓鱼网站时，研究人员通常会输入虚假的电子邮件地址或他们控制的地址，以映射凭证盗窃活动。 然而，随着这种新技巧的出现，研究人员输入的无效或测试电子邮件地址现在会显示错误或将其重定向到无害的网站。这影响了研究中使用的自动化安全爬虫和沙箱，降低了检测率并延长了网络钓鱼活动的寿命。 “网络安全团队传统上依赖于通过提交虚假凭证来观察攻击者行为和基础设施的受控网络钓鱼分析，”Cofense解释道。 “通过精准验证钓鱼，这些策略变得无效，因为任何未识别的电子邮件在钓鱼内容被交付之前就会被拒绝。” 根据Cofense的说法，攻击者使用两种主要技术来实现实时电子邮件验证。 第一种方法是滥用集成在网络钓鱼工具包中的第三方电子邮件验证服务，通过API调用实时检查受害者地址的有效性。 第二种方法是在网络钓鱼页面中部署自定义JavaScript，该脚本会将受害者在钓鱼页面上输入的电子邮件地址发送到攻击者的服务器，以确认其是否在预先收集的列表中。 如果没有匹配项，受害者将被重定向到无害的网站，比如维基百科。 Cofense解释说，通过简单地输入向他们报告网络钓鱼尝试的人员的电子邮件地址来绕过这一限制通常是不可能的，因为他们的客户施加了使用限制。 即使他们被允许使用真实目标的地址，分析人员也指出，一些活动更进一步，在受害者在钓鱼页面上输入有效电子邮件后，会向其收件箱发送一个验证代码或链接。 为了继续网络钓鱼过程，受害者需要输入他们收件箱中收到的代码，而这超出了安全分析师的访问范围。 这对电子邮件安全工具，尤其是依赖传统检测方法的工具，产生了严重的影响，因为它们更有可能无法向目标发出网络钓鱼尝试的警报。 随着网络钓鱼活动采用动态输入验证，防御者必须采用新的检测策略，强调行为指纹识别和实时威胁情报关联，以保持领先于攻击者。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文终于在发给客户的电子邮件通知中确认，一名黑客窃取并泄露了从其描述为“两台过时服务器”中盗取的凭据。 然而，该公司补充说，其甲骨文云服务器并未被攻破，此次事件未影响客户数据和云服务。 “甲骨文希望明确声明，甲骨文云——也称为甲骨文云基础设施或 OCI——并未发生安全漏洞，”甲骨文在与 BleepingComputer 共享的客户通知中表示。 “没有 OCI 客户环境被攻破。没有 OCI 客户数据被查看或窃取。没有任何 OCI 服务被中断或以任何方式受到损害，”甲骨文在从 replies@oracle-mail.com 发送的电子邮件中补充道，敦促客户如有其他问题联系甲骨文支持或其账户经理。 “一名黑客确实访问并发布了从未属于 OCI 的两台过时服务器中的用户名。由于这两台服务器上的密码要么被加密，要么被哈希处理，因此黑客并未暴露可用的密码。因此，黑客无法访问任何客户环境或客户数据。” 自今年 3 月事件曝光以来，当时一名威胁者（rose87168）在 BreachForums 上出售 600 万条数据记录，甲骨文在与媒体分享的声明中一直否认有关甲骨文云漏洞的报道。尽管这确实与甲骨文告诉客户的内容相符——即漏洞影响的是旧平台甲骨文云经典版——但网络安全专家凯文·博蒙特表示，这只是文字游戏。 “甲骨文将旧的甲骨文云服务重新命名为甲骨文经典版。甲骨文经典版发生了安全事件，”博蒙特说。“甲骨文通过这种范围界定否认‘甲骨文云’被入侵——但仍是甲骨文管理的甲骨文云服务。这就是文字游戏的一部分。” BleepingComputer 已联系甲骨文确认这些通知的真实性，并非由威胁者或其他第三方发送，但尚未收到回复。甲骨文也尚未澄清被攻破的服务器是否属于甲骨文云经典版或其他平台。 据称从甲骨文云窃取的数据正在出售 资料来源：BleepingComputer 此前一周，该公司在与部分客户的私下通话中承认，攻击者在攻破 2017 年最后一次使用的“遗留环境”后窃取了旧的客户凭据。 然而，尽管甲骨文告诉客户这是非敏感的旧遗留数据，但漏洞背后的威胁者与 BleepingComputer 分享了 2024 年末的数据，并在 BreachForums 上发布了 2025 年的新记录。 BleepingComputer 还与多名甲骨文客户单独确认，从威胁者那里收到的泄露数据样本（包括关联的 LDAP 显示名称、电子邮件地址、名字和其他识别信息）是有效的，此前甲骨文曾告诉 BleepingComputer，“甲骨文云未发生任何漏洞。发布的凭据不属于甲骨文云。没有甲骨文云客户遭受漏洞或丢失任何数据。” 网络安全公司 CybelAngel 上周首次透露，甲骨文告诉客户，攻击者早在 2025 年 1 月就在甲骨文的部分 Gen 1（也称为甲骨文云经典版）服务器上部署了 Web Shell 和其他恶意软件。据称，直到 2 月下旬漏洞被发现之前，威胁者从甲骨文身份管理器（IDM）数据库中窃取了数据，包括用户电子邮件、哈希密码和用户名。 上个月，BleepingComputer 首次报道，甲骨文私下通知客户，甲骨文健康（一家之前称为 Cerner 的软件即服务（SaaS）公司）在 1 月发生了另一起漏洞，影响了美国多家医疗机构和医院的患者数据。 消息人士告诉 BleepingComputer，一名名为“Andrew”的威胁者——尚未声称与任何勒索或勒索软件操作有关——现在正在勒索被攻破的医院，要求以加密货币支付数百万美元，以不出售或泄露被盗数据。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： F5 Labs 的研究人员发现了一场针对性攻击活动，该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造（SSRF）漏洞来提取 EC2 元数据，这些元数据可能包括来自 IMDSv1 端点的身份和访问管理（IAM）凭据。 检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务，可能导致敏感数据泄露、操作和中断服务。 F5 Labs 的研究人员报告称，恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明，这是由单一威胁者实施的。 SSRF 问题是网络漏洞，使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求，而这些资源通常是攻击者无法访问的。 在 F5 观察到的活动中，攻击者找到了具有 SSRF 漏洞的 EC2 主机网站，使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。 EC2 元数据是亚马逊 EC2（弹性计算云）中的一项服务，提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置，以及潜在的安全凭据。 该元数据服务只能通过连接到内部 IP 地址上的特殊 URL（如 http://169.254.169.254/latest/meta-data/）的虚拟机访问。 首个恶意 SSRF 探测记录在 3 月 13 日，但活动在 3 月 15 日至 25 日之间升级到全面规模，使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。 在此期间，攻击者轮换了六个查询参数名称（dest、file、redirect、target、URI、URL）和四个子路径（例如，/meta-data/、/user-data），显示出从易受攻击的站点中提取敏感数据的系统性方法。 这些攻击之所以成功，是因为易受攻击的实例运行在 IMDSv1 上，这是 AWS 的旧元数据服务，允许任何对实例有访问权限的人检索元数据，包括任何存储的 IAM 凭据。 该系统已被 IMDSv2 取代，后者需要会话令牌（身份验证）来保护网站免受 SSRF 攻击。 这些攻击在 2025 年 3 月的威胁趋势报告中被强调，F5 Labs 文档记录了过去一个月中被利用最多的漏洞。 按数量计算，被利用最多的前四个 CVE 是： CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit（69,433 次尝试） CVE-2020-8958 – 广州 ONU OS 命令注入 RCE（4,773 次尝试） CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE（4,698 次尝试） CVE-2019-9082 – ThinkPHP PHP 注入 RCE（3,534 次尝试） 报告强调，旧漏洞仍然是高度针对性的，40% 的被利用 CVE 年龄超过四年。 为了缓解威胁，建议应用可用的安全更新、加强路由器和物联网设备配置，并用受支持的型号替换已停产的网络设备。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，一个现已修复的安全漏洞影响了 Windows 公共日志文件系统（CLFS），该漏洞被作为零日漏洞利用，用于针对少数目标的勒索软件攻击。 “目标包括美国信息技术（IT）和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业，”这家科技巨头表示。 相关漏洞是 CVE-2025-29824，这是一个 CLFS 中的权限提升漏洞，攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。 微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况，并将其命名为 Storm-2460，同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。 目前尚不清楚攻击中使用的具体初始访问向量。然而，观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件，以部署载荷。 该恶意软件是一个包含加密载荷的恶意 MSBuild 文件，解包后会启动 PipeMagic，这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。 值得一提的是，CVE-2025-29824 是继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞）之后，通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现，并于上个月由微软修复。 此前，PipeMagic 还与利用另一个 CLFS 零日漏洞（CVE-2023-28252）的 Nokoyawa 勒索软件攻击有关。 “在我们归因于同一攻击者的其他攻击中，我们还观察到，在利用 CLFS 提权漏洞之前，受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染，该后门通过 MSBuild 脚本启动，”卡巴斯基在 2023 年 4 月指出。 需要强调的是，Windows 11 24H2 版本不受此特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户，而这类权限通常只有管理员级别的用户才能获得。 “漏洞利用针对的是 CLFS 内核驱动中的一个漏洞，”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF，从而为进程启用所有权限，这允许将进程注入到 SYSTEM 进程中。” 成功利用漏洞后，攻击者会通过转储 LSASS 内存来提取用户凭据，并使用随机扩展名加密系统中的文件。 微软表示，未能获得勒索软件样本进行分析，但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。 “勒索软件攻击者重视被攻陷后的提权漏洞利用，因为这些漏洞可以让他们将初始访问权限（包括从商品恶意软件分发者手中接过的访问权限）提升为特权访问权限，”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由生成式人工智能（AI）驱动的平台Lovable，支持通过文本指令创建全栈式网页应用，现已被发现是最容易遭受“越狱攻击”的工具之一，使得技术门槛极低的网络攻击者也能轻松搭建仿冒的钓鱼网页以窃取用户凭证。 Guardio Labs研究员Nati Tal在提供给《The Hacker News》的报告中指出：“作为一个专为开发和部署网页应用设计的工具，它的功能与每个诈骗者的梦想清单几乎完全吻合。从像素级别还原的诈骗页面，到实时托管、规避侦测技术，甚至用于追踪被盗数据的后台管理面板——Lovable不仅参与其中，而且执行得十分彻底。没有安全防护机制，没有丝毫犹豫。” 这一滥用技术被命名为“VibeScamming”，其灵感源自“vibe coding”概念，即利用AI通过简短文字描述问题，由面向编程优化的大语言模型（LLM）生成软件代码的方式。 事实上，滥用LLM和AI聊天机器人进行恶意活动早已不新鲜。近期研究显示，攻击者已经在利用诸如OpenAI ChatGPT和Google Gemini等热门工具，协助进行恶意软件的开发、研究与内容生成。 与此同时，DeepSeek等大语言模型也被发现易受特定的提示攻击与越狱技术（如Bad Likert Judge、Crescendo、Deceptive Delight）影响，进而绕过安全与伦理限制，生成本应被禁止的内容，如钓鱼邮件、键盘记录器以及勒索软件样本——尽管这通常需要额外提示或调试过程。 Broadcom旗下的赛门铁克上月发布的报告也揭示，OpenAI开发的AI代理“Operator”可被武器化，实现完全自动化的网络攻击流程：包括寻找特定用户的电子邮箱地址、生成用于收集系统信息的PowerShell脚本、将数据储存于Google Drive，并撰写钓鱼邮件引导目标用户执行恶意代码。 Lovable AI与VibeScamming的结合进一步暴露出AI工具在降低网络攻击门槛上的潜力。攻击者可以不具备专业技术背景，便借助AI的代码生成能力，制造出功能齐全的恶意程序。 一个典型案例是一种新型越狱手法“Immersive World”，可创建能在Chrome浏览器中窃取凭证和敏感信息的信息窃取器。该方法通过“叙事工程”（narrative engineering）绕过LLM的安全控制，构建一个完整虚构的故事世界，并为其中的角色设定具体规则，从而避开模型的内容限制。 Guardio Labs的最新分析更进一步指出，除了Lovable，Anthropic推出的Claude（程度较轻）等平台也可能被用于策划完整的诈骗行动：包括伪造短信模板、通过Twilio投递含恶意链接的短信、内容混淆处理、逃避检测机制，以及集成Telegram以实现数据外传。 所谓VibeScamming的攻击路径从一句直接指令开始，要求AI自动化完成整个攻击周期。研究人员随后通过多轮提示逐步引导LLM生成预期的恶意内容。这个被称为“Level Up”的阶段包括：优化钓鱼页面外观、改进信息投递方式、增强整体诈骗行为的可信度。 根据Guardio的测试，Lovable不仅能生成高度仿真的微软登录页面，还可自动将页面部署在其子域名（例如*.lovable.app）上，并在窃取凭证后将用户重定向至office[.]com，增强欺骗性。 更令人担忧的是，Claude与Lovable在面对旨在规避安全检测的提示时，竟然也会提供协助，包括将被盗凭证外传至Firebase、RequestBin、JSONBin或私人Telegram频道等第三方平台。 Tal指出：“真正令人警惕的，不仅是页面外观的高度仿真，还有它的用户体验。其仿真程度高到甚至比微软官方登录流程还要顺畅。这显示出专注任务的AI代理所具备的强大能力，也警示我们——一旦缺乏严格的防护机制，它们极易被恶意利用。” “它不仅生成了可用的诈骗页面，还赠送了一个功能完备的管理后台，让我们可以查看所有收集的数据——包括凭证、IP地址、时间戳，甚至明文密码。” 作为应对，Guardio也同步发布了首个“VibeScamming基准测试”版本，用于全面评估各类生成式AI模型在钓鱼攻击流程中的抗滥用能力。测试结果显示，ChatGPT得分8分（满分10分），Claude为4.3，而Lovable仅为1.8，显示其极高的可被利用性。 Tal总结道：“ChatGPT虽然是最强大的通用模型，但在防范越狱方面也最为谨慎。相较之下，Claude起初表现出较强的抵抗，但在被套上‘伦理’或‘安全研究’的框架后，很快就会给出详细的操作建议。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 臭名昭著的高级持续性威胁（APT）组织ToddyCat近期采用了一种复杂的攻击策略，通过利用ESET命令行扫描器中的安全漏洞，将恶意代码悄无声息地植入目标系统。 该漏洞现已编号为CVE-2024-11859。攻击者借此得以在受信任的安全软件环境中执行恶意负载，从而绕过安全监测工具的检测。 2024年初，调查人员在多台被入侵设备的临时目录中发现名为“version.dll”的可疑文件。进一步分析确认，这些文件是一个名为TCESB的复杂攻击工具的组成部分，专为规避安全机制与监控系统而开发。 这一工具此前未在ToddyCat的武器库中出现过，其主要利用了ESET命令行扫描器（ecls）在加载DLL文件时的安全缺陷。ESET已将该问题注册为CVE-2024-11859，并于2025年1月21日发布补丁，随后于4月4日发布安全公告。 漏洞利用链的技术分析 卡巴斯基的报告指出，攻击者使用了MITRE ATT&CK框架中T1574类别的技术——DLL代理（DLL Proxying），借此执行恶意代码。TCESB工具导出所有合法version.dll文件的函数接口，但在后台重定向调用至原始DLL的同时执行恶意操作。 该漏洞利用了ESET命令行扫描器的不安全加载机制：该程序在查找version.dll时会优先搜索当前目录，再搜索系统目录。因此，攻击者可以将恶意DLL文件伪装为version.dll，从而被程序优先加载。 分析还显示，TCESB基于开源工具EDRSandBlast修改而来，在其功能上进行了拓展。恶意程序可修改Windows内核结构，禁用关键系统事件（如进程创建）的通知机制。 为了进一步提升隐蔽性，TCESB还采用了“自带易受攻击驱动程序”（BYOVD，T1211）的方式，使用存在CVE-2021-36276漏洞的Dell驱动程序DBUtilDrv2.sys，在内核层执行高权限操作。 负载执行机制 该工具实现了一个复杂的负载执行系统，每隔两秒检查当前目录中是否存在名为“kesp”或“ecore”的特定文件。一旦发现，便使用AES-128加密算法进行解密，解密密钥则存储在载荷文件的前32字节内。 这一多阶段执行机制展现了ToddyCat在作战安全性方面的高度专业性。攻击者确保仅在渗透成功后才部署真正的负载，有效提升了攻击的隐蔽性和持久性。 安全专家建议：应重点监控系统中涉及使用已知漏洞驱动程序的安装行为。资源平台如loldrivers项目可用于识别这类驱动。同时，还应监测Windows系统中内核调试符号加载事件，尤其是在无需进行内核调试的设备上。 这一事件再次凸显出高级威胁行为者战术的不断演进：他们甚至能够利用受信任的安全软件，长期、隐蔽地控制目标系统。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，一种新型Mirai僵尸网络引发了针对TVT NVMS9000数字视频录像机（DVR）的大规模漏洞利用激增。该攻击潮在2025年4月3日达到高峰，当天共检测到超过2500个独立IP地址在扫描易受攻击的设备。 攻击者利用的是一个信息泄露漏洞，该漏洞最早由SSD Advisory于2024年5月披露，详细公开了通过单一TCP数据包获取管理员明文凭证的完整利用方法。该漏洞可绕过认证机制，使攻击者无需权限即可执行设备上的管理命令。 根据威胁监测平台GreyNoise的监测结果，这一波攻击极可能与基于Mirai的恶意软件有关，其目的是将受感染设备纳入其僵尸网络中。这些被感染的设备通常会被用来代理恶意流量、进行加密货币挖矿，或发起分布式拒绝服务（DDoS）攻击。 在过去一个月内，GreyNoise记录了6600个与该活动相关的独立IP地址，全部被确认为恶意且无法伪造。其中，大多数攻击来源于台湾地区、日本和韩国，而受攻击的设备则主要集中在美国、英国和德国。 TVT NVMS9000是由中国深圳的TVT数字技术有限公司生产的一款数字视频录像机，主要用于安防监控系统中对视频画面进行录制、存储和管理。由于这些DVR设备通常联网使用，因此历来是各种僵尸网络攻击的重点目标，有些漏洞甚至已存在长达五年之久。 近期曾攻击DVR设备的其他僵尸网络还包括HiatusRAT、Mirai和FreakOut。根据SSD发布的建议，用户应尽快将固件升级至1.3.4版本或更高版本以修复漏洞。如无法升级，建议限制DVR设备的公网访问权限，并屏蔽GreyNoise列出的恶意IP地址的入站请求。 感染Mirai僵尸网络的DVR设备通常会表现出异常网络流量激增、运行缓慢、频繁死机或重启、空闲时CPU或内存占用高以及配置被篡改等迹象。如发现上述情况，应立即断开设备连接，执行出厂重置，更新至最新固件，并将其与主网络隔离。 值得注意的是，NVMS9000的最新固件发布时间为2018年，目前尚不清楚该系列设备是否仍在厂商支持范围内。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 警告 Windows 用户更新 WhatsApp 消息应用至最新版本，以修复一个可让攻击者在设备上执行恶意代码的漏洞。 该漏洞被描述为一个欺骗问题，追踪编号为 CVE-2025-30401，攻击者可通过向潜在目标发送带有篡改文件类型的恶意文件来利用此安全漏洞。 Meta 表示，该漏洞影响了所有 WhatsApp 版本，并已通过发布 WhatsApp 2.2450.6 修复。 “在 WhatsApp for Windows 版本 2.2450.6 之前，附件会根据其 MIME 类型显示，但选择文件打开处理程序是基于附件的文件名扩展名，”WhatsApp 在周二的公告中解释道。“恶意构造的不匹配可能导致收件人在 WhatsApp 内手动打开附件时，意外执行任意代码而非查看附件。” Meta 表示，一位外部研究人员通过 Meta Bug Bounty 提交发现了该漏洞。该公司尚未分享 CVE-2025-30401 是否在野外被利用的信息。 2024 年 7 月，WhatsApp 解决了一个类似的问题，即当收件人在安装了 Python 的 Windows 设备上打开时，Python 和 PHP 附件可在无警告的情况下执行。 常被间谍软件攻击的目标 最近，在多伦多大学公民实验室的安全研究人员报告后，WhatsApp 还修复了一个被利用来安装 Paragon Graphite 间谍软件的零点击、零日安全漏洞。 该公司表示，去年年底已解决了攻击向量，“无需客户端修复”，并在“审查了 MITRE 发布的 CVE 指南和自身的内部政策后”决定不分配 CVE 编号。 1 月 31 日，在服务器端缓解了安全问题后，WhatsApp 通知了来自 20 多个国家的约 90 名 Android 用户，包括意大利记者和活动家，他们成为了使用零点击漏洞的 Paragon 间谍软件攻击的目标。 去年 12 月，美国联邦法官裁定，以色列间谍软件制造商 NSO Group 利用 WhatsApp 零日漏洞在至少 1,400 台设备上部署了 Pegasus 间谍软件，从而违反了美国的黑客法律。 法院文件显示，NSO 据称利用多个零日漏洞通过 WhatsApp 漏洞部署 Pegasus 间谍软件，其开发人员还逆向工程了 WhatsApp 的代码，以创建发送恶意消息的工具，从而安装间谍软件，违反了联邦和州法律。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复一个已知问题，该问题导致在使用 Kerberos PKINIT 预认证安全协议的系统上启用 Credential Guard 时出现认证问题。 据微软称，这些认证问题影响了客户端（Windows 11 24H2 版本）和服务器（Windows Server 2025）平台，尽管仅在一些特殊场景中出现。 在受影响的系统上，用户遇到问题，因为当使用身份更新管理器证书/预引导密钥初始化（PKINIT）协议时，密码未能正确轮换。 然而，由于 Kerberos 认证通常用于企业终端，因此家庭设备可能不受此已知问题的影响。 “由于这个问题，设备无法按照默认的 30 天间隔更改密码。由于这种失败，设备被视为过期、禁用或已删除，导致用户认证问题，”微软在 Windows 发布健康仪表板更新中解释道。 “运行 Windows 家庭版的设备不太可能受到此问题的影响，因为 Kerberos 认证通常用于企业环境中，在个人或家庭设置中并不常见。” 微软表示，该问题已在 2025 年 4 月的 Windows 安全更新中得到修复，适用于 Windows 11 24H2 和 Windows Server 2025。然而，它还补充说，在找到永久解决方案之前，已禁用 Credential Guard 中依赖 Kerberos 密码轮换的机器账户。 “我们建议您为您的设备安装最新的更新，因为它包含重要的改进和问题解决，包括此问题，”该公司表示。 2022 年 11 月，微软发布了紧急带外（OOB）更新，以修复另一个导致企业 Windows 域控制器上 Kerberos 登录失败和各种其他认证问题的已知问题。 它还在 2021 年 11 月解决了与 Windows Server 上 Kerberos 委托场景相关的认证失败问题，并在一年前解决了影响运行 Windows 2000 及更高版本的域连接设备的类似 Kerberos 认证问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将最近披露的一个影响 CrushFTP 的严重安全漏洞添加到其已知被利用漏洞（KEV）目录中，此前有报告显示该漏洞在野外被积极利用。 该漏洞是一个身份验证绕过漏洞，可能允许未认证的攻击者接管易受攻击的实例。该漏洞已在版本 10.8.4 和 11.3.1 中修复。 “CrushFTP 在 HTTP 授权头中存在身份验证绕过漏洞，允许远程未认证的攻击者认证到任何已知或可猜测的用户账户（例如 crushadmin），可能导致完全被攻陷，”CISA 在一份公告中表示。 该漏洞已被分配了 CVE 编号 CVE-2025-31161（CVSS 评分：9.8）。值得注意的是，同一漏洞之前被追踪为 CVE-2025-2825，但现在已在 CVE 列表中被标记为拒绝。 这一进展是在与该漏洞相关的披露过程陷入争议和混乱之后发生的，VulnCheck 作为 CVE 编号机构（CNA），分配了一个编号（即 CVE-2025-2825），而实际的 CVE（即 CVE-2025-31161）则一直悬而未决。 Outpost24 负责任地向供应商披露了该漏洞，并澄清说，它在 2025 年 3 月 13 日向 MITRE 请求了一个 CVE 编号，并且正在与 CrushFTP 协调，以确保在 90 天的披露期内推出修复措施。 然而，直到 3 月 27 日，MITRE 才将该漏洞分配为 CVE-2025-31161，而此时 VulnCheck 已经发布了自己的 CVE，且在发布前未联系“CrushFTP 或 Outpost24 以查看是否已经有负责任的披露流程正在进行中。” VulnCheck 方面批评 MITRE 拒绝 CVE-2024-2825 并发布了 CVE-2025-31161，同时指责 CrushFTP 试图掩盖该漏洞。 “CrushFTP, LLC 发布了一则公告，但故意要求在 90 天内不发布 CVE，实际上试图将该漏洞对安全社区和防御者隐瞒，”VulnCheck 安全研究员 Patrick Garrity 在 LinkedIn 的一篇帖子中表示。 “更糟糕的是，MITRE 似乎优先考虑其在编写过程中的参与，而不是及时披露一个在野外被积极利用的漏洞。这开创了一个危险的先例。” 这家瑞典网络安全公司随后发布了触发该漏洞利用的分步说明，但没有透露太多技术细节： 生成一个至少 31 个字符长度的随机字母数字会话令牌 设置一个名为 CrushAuth 的 cookie，其值为步骤 1 中生成的值 设置一个名为 currentAuth 的 cookie，其值为步骤 1 中生成值的最后 4 个字符 使用步骤 2 和 3 中的 cookie 以及将 Authorization 头设置为“AWS4-HMAC=<username>/”（其中 <username> 是要登录的用户，例如 crushadmin）对目标 /WebInterface/function/ 执行 HTTP GET 请求 这些操作的最终结果是，最初生成的会话将作为选定用户进行认证，允许攻击者执行该用户有权执行的任何命令。 Huntress 重新创建了 CVE-2025-31161 的概念验证，并表示在 2025 年 4 月 3 日观察到 CVE-2025-31161 在野外被利用，并发现了进一步的后续攻击活动，包括使用 MeshCentral 代理和其他恶意软件。有证据表明，攻陷可能早在 3 月 30 日就已发生。 这家网络安全公司表示，到目前为止，已观察到针对四家不同公司的四个不同主机的攻击，其中三家受影响的公司由同一家托管服务提供商（MSP）托管。受影响公司的名称未被披露，但它们属于营销、零售和半导体行业。 发现威胁行为者利用该访问权限安装了诸如 AnyDesk 和 MeshAgent 等合法远程桌面软件，同时在至少一个实例中采取措施收集凭证。 在部署 MeshAgent 后，据说攻击者将一个非管理员用户（“CrushUser”）添加到本地管理员组，并交付了另一个 C++ 二进制文件（“d3d11.dll”），这是开源库 TgBot 的一种实现。 “很可能威胁行为者正在利用 Telegram 机器人从受感染的主机收集遥测数据，”Huntress 研究人员表示。 截至 2025 年 4 月 6 日，共有 815 个未修补的实例容易受到该漏洞的影响，其中 487 个位于北美，250 个在欧洲。鉴于该漏洞正在被积极利用，联邦民用行政分支（FCEB）机构必须在 4 月 28 日之前应用必要的补丁以保护其网络。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）揭示了一组针对乌克兰机构的新网络攻击，这些攻击使用信息窃取恶意软件。 该机构表示，这些活动针对军事单位、执法机构以及地方自治机构，尤其是那些位于乌克兰东部边境附近的机构。 这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格（XLSM）的网络钓鱼电子邮件，当打开时，会部署两种恶意软件：一种是从 PSSW100AVB（“100% 绕过杀毒软件的 PowerShell 脚本”）GitHub 仓库中获取的 PowerShell 脚本，用于开启反向 shell，以及一个以前未被记录的窃密程序，名为 GIFTEDCROOK。 “文件名和电子邮件主题行涉及诸如排雷、行政罚款、无人机生产以及被毁财产赔偿等敏感问题，”CERT-UA 表示。 “这些电子表格包含恶意代码，当用户打开文档并启用宏时，会自动转变为恶意软件并在用户不知情的情况下执行。” GIFTEDCROOK 用 C/C++ 编写，可从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中窃取敏感数据，如 cookie、浏览历史和认证数据。 这些电子邮件消息是从被攻陷的账户发送的，通常是通过电子邮件客户端的 Web 界面发送，以使消息看起来具有合法性，并诱使潜在受害者打开文档。CERT-UA 将此活动归因于威胁群组 UAC-0226，尽管它尚未与特定国家相关联。 这一进展正值一个疑似与俄罗斯有关联的间谍活动者 UNC5837 被与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动相关联。 “该活动使用了签名的 .RDP 文件附件，以从受害者的机器建立远程桌面协议（RDP）连接，”Google 威胁情报小组（GTIG）表示。 “与通常关注交互会话的 RDP 攻击不同，此次攻击创造性地利用了资源重定向（将受害者文件系统映射到攻击者服务器）和 RemoteApps（向受害者呈现攻击者控制的应用程序）。” 值得注意的是，RDP 活动之前已在 2024 年 10 月由 CERT-UA、亚马逊网络服务和微软记录，并在 12 月由 Trend Micro 记录。CERT-UA 正在追踪名为 UAC-0215 的活动，而其他公司则将其归因于俄罗斯国家赞助的黑客组织 APT29。 此次攻击还值得注意，因为它可能使用了一个名为 PyRDP 的开源工具来自动化恶意活动，如文件外泄和剪贴板捕获，包括可能敏感的数据如密码。 “此次活动可能使攻击者能够读取受害者的驱动器、窃取文件、捕获剪贴板数据（包括密码），并获取受害者环境变量，”GTIG 在周一的报告中表示。“UNC5837 的主要目标似乎是间谍活动和文件窃取。” 近几个月来，还观察到网络钓鱼活动使用假的 CAPTCHA 和 Cloudflare Turnstile 来分发 Legion Loader（又名 Satacom），然后作为渠道投放一个名为“保存到 Google Drive”的恶意 Chromium 基浏览器扩展。 “初始载荷通过驱动器下载感染传播，始于受害者搜索特定文档并被引诱到恶意网站，”Netskope 威胁实验室表示。“下载的文档包含一个 CAPTCHA，一旦受害者点击，就会将其重定向到 Cloudflare Turnstile CAPTCHA，然后最终重定向到通知页面。” 该页面提示用户允许在该网站上接收通知，之后受害者被重定向到第二个 Cloudflare Turnstile CAPTCHA，完成后再重定向到一个提供 ClickFix 风格指导以下载他们所需文档的页面。 实际上，此次攻击为 MSI 安装程序文件的交付和执行铺平了道路，该文件负责启动 Legion Loader，后者又执行一系列步骤来下载和运行临时 PowerShell 脚本，最终将恶意浏览器扩展添加到浏览器中。 PowerShell 脚本还会终止浏览器会话以启用扩展，打开设置中的开发者模式，然后重新启动浏览器。最终目标是捕获各种敏感信息并将其外泄给攻击者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被观察到通过 SourceForge（一个流行的软件托管服务）分发恶意载荷，如加密货币矿工和剪贴板恶意软件，这些恶意软件伪装成合法应用程序（如 Microsoft Office）的破解版本。 “SourceForge 主网站 sourceforge.net 上的一个名为 officepackage 的项目看起来足够无害，它包含了从一个合法的 GitHub 项目复制的 Microsoft Office 插件，”卡巴斯基在今日发布的一份报告中表示。“officepackage 的描述和内容也取自 GitHub。” 虽然 sourceforge.net 上创建的每个项目都会被分配一个“<project>.sourceforge.io”域名，但这家俄罗斯网络安全公司发现，officepackage 的域名“officepackage.sourceforge[.]io”显示了一个长长的 Microsoft Office 应用程序列表以及相应的下载链接（俄语）。 此外，将鼠标悬停在下载按钮上会在浏览器状态栏中显示一个看似合法的 URL：“loading.sourceforge[.]io/download，给人一种下载链接与 SourceForge 相关联的印象。然而，点击链接会将用户重定向到“taplink[.]cc”上托管的一个完全不同的页面，该页面显著显示了另一个下载按钮。 如果受害者点击下载按钮，他们将收到一个 7 MB 的 ZIP 压缩包（“vinstaller.zip”），打开后包含一个受密码保护的第二个压缩包（“installer.zip”）和一个包含打开文件密码的文本文件。 新的 ZIP 文件中包含一个 MSI 安装程序，该程序负责创建多个文件、一个名为“UnRAR.exe”的控制台归档实用程序、一个 RAR 归档文件以及一个 Visual Basic（VB）脚本。 “VB 脚本运行 PowerShell 解释器以从 GitHub 下载并执行一个名为 confvk 的批处理文件，”卡巴斯基表示。“该文件包含 RAR 归档文件的密码。它还会解压恶意文件并运行下一阶段的脚本。” 该批处理文件还设计为运行两个 PowerShell 脚本，其中一个使用 Telegram API 发送系统元数据。另一个文件下载另一个批处理脚本，然后对 RAR 归档文件的内容进行操作，最终启动矿工和剪贴板恶意软件（即 ClipBanker）载荷。 此外，还会投放 netcat 可执行文件（“ShellExperienceHost.exe”），该文件与远程服务器建立加密连接。不仅如此，confvk 批处理文件被发现创建了另一个名为“ErrorHandler.cmd”的文件，其中包含一个通过 Telegram API 检索并执行文本字符串的 PowerShell 脚本。 该网站具有俄语界面，表明其专注于俄语用户。遥测数据显示，90% 的潜在受害者在俄罗斯，从 1 月初到 3 月下旬，共有 4,604 名用户遭遇了这一骗局。 由于 sourceforge[.]io 页面被搜索引擎索引并出现在搜索结果中，因此相信在 Yandex 上搜索 Microsoft Office 的俄罗斯用户可能是此次攻击的目标。 “随着用户寻求在官方渠道之外下载应用程序的方式，攻击者提供了他们自己的，”卡巴斯基表示。“虽然此次攻击主要针对加密货币，通过部署矿工和 ClipBanker，但攻击者可能会将系统访问权限出售给更危险的行为者。” 这一披露正值该公司透露了一个通过假冒 DeepSeek 人工智能（AI）聊天机器人的欺诈性网站分发名为 TookPS 的恶意软件下载器的活动细节。 这包括像 deepseek-ai-soft[.]com 这样的网站，据 Malwarebytes 称，用户通过赞助的 Google 搜索结果被重定向到该网站。 TookPS 被设计为下载并执行 PowerShell 脚本，这些脚本通过 SSH 为受感染的主机提供远程访问，并投放一个名为 TeviRat 的特洛伊木马的修改版本。这突显了威胁行为者试图通过多种方式获得对受害计算机的完全访问权限。 “该样本 […] 使用 DLL 侧加载来修改和部署 TeamViewer 远程访问软件到受感染的设备上，”卡巴斯基表示。“简单来说，攻击者将一个恶意库放在 TeamViewer 的同一文件夹中，这改变了软件的默认行为和设置，使其对用户隐藏，并为攻击者提供了隐蔽的远程访问。” 这一进展紧随发现针对 RVTools（一个流行的 VMware 工具）的恶意 Google 广告，以投放一个名为 ThunderShell（又名 SMOKEDHAM）的修改版本，这是一个基于 PowerShell 的远程访问工具（RAT），强调了恶意广告仍然是一个持续且不断演变的威胁。 “ThunderShell，有时也被称为 SmokedHam，是一个公开可用的后利用框架，专为红队行动和渗透测试而设计，”Field Effect 表示。“它提供了一个命令和控制（C2）环境，使操作员能够通过基于 PowerShell 的代理在受感染的机器上执行命令。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了亚马逊 EC2 简单系统管理器（SSM）代理中的一个现已修复的安全漏洞。如果成功利用该漏洞，攻击者可能实现权限提升和代码执行。 根据 Cymulate 在一份与《黑客新闻》共享的报告中所述，该漏洞可能允许攻击者在文件系统中意外位置创建目录、以 root 权限执行任意脚本，并可能通过向系统敏感区域写入文件来提升权限或执行恶意活动。 亚马逊 SSM Agent 是亚马逊网络服务（AWS）的一个组件，使管理员能够远程管理、配置和在 EC2 实例及本地服务器上执行命令。 该软件处理在 SSM 文档中定义的命令和任务，这些文档可以包含一个或多个插件，每个插件负责执行特定任务，例如运行 shell 脚本或自动化部署和配置相关活动。 此外，SSM Agent 会根据插件规范动态创建目录和文件，通常依赖插件 ID 作为目录结构的一部分。这引入了一个安全风险：如果插件 ID 的验证不当，可能会导致潜在漏洞。 Cymulate 的发现是一个路径遍历漏洞，源于插件 ID 的验证不当，可能允许攻击者操纵文件系统并以提升的权限执行任意代码。问题根植于名为“ValidatePluginId”的函数（位于 pluginutil.go 文件中）。 “该函数未能正确清理输入，允许攻击者提供包含路径遍历序列（例如 ../）的恶意插件 ID，”安全研究员 Elad Beber 表示。 由于这一漏洞，攻击者可以提供一个特制的插件 ID（例如 ../../../../../../malicious_directory），在创建 SSM 文档时执行底层文件系统上的任意命令或脚本，从而实现权限提升和其他后续攻击行为。 在 2025 年 2 月 12 日负责任地披露该漏洞后，亚马逊于 2025 年 3 月 5 日通过发布 SSM Agent 版本 3.3.1957.0 修复了该问题。 根据项目维护人员在 GitHub 上发布的更新日志，“添加并使用 BuildSafePath 方法以防止在编排目录中发生路径遍历。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 已发布安全更新，以修复影响 FortiSwitch 的一个严重安全漏洞，该漏洞可能允许攻击者进行未经授权的密码更改。 该漏洞被追踪为 CVE-2024-48887，CVSS 评分为 9.3（满分 10.0）。 Fortinet 在今日发布的公告中表示：“FortiSwitch GUI 中存在一个未验证的密码更改漏洞 [CWE-620]，可能允许远程未认证的攻击者通过特制请求修改管理员密码。” 以下是受影响的版本： FortiSwitch 7.6.0（升级至 7.6.1 或更高版本） FortiSwitch 7.4.0 至 7.4.4（升级至 7.4.5 或更高版本） FortiSwitch 7.2.0 至 7.2.8（升级至 7.2.9 或更高版本） FortiSwitch 7.0.0 至 7.0.10（升级至 7.0.11 或更高版本） FortiSwitch 6.4.0 至 6.4.14（升级至 6.4.15 或更高版本） 这家网络安全公司表示，该漏洞是由 FortiSwitch Web UI 开发团队的 Daniel Rozeboom 内部发现并报告的。 作为临时措施，Fortinet 建议禁用管理界面的 HTTP/HTTPS 访问，并限制系统访问权限，仅允许受信任的主机访问。 虽然目前没有证据表明该漏洞已被利用，但许多影响 Fortinet 产品的安全漏洞曾被威胁行为者武器化，因此用户必须尽快应用补丁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在微软的 Visual Studio Code 市场中有九个 VSCode 扩展伪装成合法开发工具，同时感染用户设备，植入 XMRig 加密货币矿工以挖掘以太坊和门罗币。 Microsoft VSCode 是一款流行的代码编辑器，允许用户安装扩展以扩展程序的功能。这些扩展可以从微软的 VSCode 市场下载，这是一个供开发者查找和安装插件的在线中心。 ExtensionTotal 研究员 Yuval Ronen 发现了九个于 2025 年 4 月 4 日在微软门户上发布的 VSCode 扩展。 扩展名称： Discord Rich Presence for VS Code（开发者：Mark H）- 18.9 万次安装 Rojo – Roblox Studio Sync（开发者：evaera）- 11.7 万次安装 Solidity Compiler（开发者：VSCode Developer）- 1300 次安装 Claude AI（开发者：Mark H） Golang Compiler（开发者：Mark H） ChatGPT Agent for VSCode（开发者：Mark H） HTML Obfuscator（开发者：Mark H） Python Obfuscator for VSCode（开发者：Mark H） Rust Compiler for VSCode（开发者：Mark H） 市场数据显示，这些扩展自 4 月 4 日以来已累计超过 30 万次安装。这些数字可能是人为虚高的，目的是让扩展显得更合法和更受欢迎，从而吸引更多用户安装。 ExtensionTotal 表示已向微软报告了这些恶意扩展，但截至本文撰写时，它们仍可在市场上找到。 VSCode 市场上的 Discord 主题扩展 来源：BleepingComputer PowerShell 脚本安装 XMRig 矿工 当安装并激活后，恶意扩展会从外部源 ‘https://asdf11[.]xyz/’ 获取 PowerShell 脚本并执行。完成后，它还会安装其伪装的合法扩展，以避免用户产生怀疑。 下载 PowerShell 脚本的代码 来源：BleepingComputer 恶意 PowerShell 脚本执行多种功能，包括禁用防御、建立持久性、提升权限，最终加载加密货币矿工。 首先，它创建一个伪装为“OnedriveStartup”的计划任务，并在 Windows 注册表中注入脚本，以确保恶意软件（Launcher.exe）在系统启动时运行。 接下来，它关闭关键的 Windows 服务（如 Windows Update 和 Update Medic），并将工作目录添加到 Windows Defender 的排除列表中，以逃避检测。 如果恶意软件未以管理员权限执行，它会模仿系统二进制文件（ComputerDefaults.exe），并通过恶意 MLANG.dll 进行 DLL 劫持以提升权限并执行 Launcher.exe 有效载荷。 可执行文件以 base64 编码形式提供，PowerShell 脚本对其进行解码，以连接到二级服务器 myaunet[.]su 下载并运行 XMRig，这是一种门罗币加密货币矿工。 BleepingComputer 发现，威胁行为者的远程服务器上还有一个 /npm/ 文件夹，可能表明该活动也在该软件包索引上进行。然而，我们尚未在 NPM 平台上找到恶意文件。 威胁行为者服务器上的 NPM 目录 来源：BleepingComputer 如果您安装了 ExtensionTotal 报告中提到的九个扩展中的任何一个，您应立即卸载它们，然后手动定位并删除加密货币矿工、计划任务、注册表键和恶意软件目录。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 2025 年 4 月的 Android 安全更新中发布了针对 62 个漏洞的补丁，其中包括两个在针对性攻击中被利用的零日漏洞。 其中一个零日漏洞是 Linux 内核 ALSA 设备 USB 音频驱动中的高严重性权限提升安全漏洞（CVE-2024-53197），据报道，塞尔维亚当局利用了这一漏洞来解锁扣押的 Android 设备，这是以色列数字取证公司 Cellebrite 开发的零日漏洞利用链的一部分。 这一漏洞利用链还包括一个 USB 视频类零日漏洞（CVE-2024-53104，已于 2 月修复）和一个人机接口设备零日漏洞（CVE-2024-50302，上个月修复），该链由大赦国际的安全实验室于 2024 年中期发现，当时他们正在分析塞尔维亚警方解锁设备上的日志。 谷歌在 2 月告诉 BleepingComputer，这些修复程序已于 1 月与原始设备制造商（OEM）合作伙伴共享。 “我们在这些报告之前就已知晓这些漏洞及利用风险，并迅速为 Android 开发了修复程序。修复程序已于 1 月 18 日通过合作伙伴咨询共享，”谷歌发言人告诉 BleepingComputer。 本月修复的第二个零日漏洞（CVE-2024-53150）是 Android 内核信息泄露漏洞，由越界读取弱点引起，使本地攻击者无需用户交互即可访问易受攻击设备上的敏感信息。 2025 年 3 月的 Android 安全更新还修复了另外 60 个安全漏洞，其中大多数是高严重性的权限提升漏洞。 谷歌发布了两组安全补丁，分别是 2025-04-01 和 2025-04-05 安全补丁级别。后者提供了第一批的所有修复程序以及针对封闭源第三方和内核子组件的安全补丁，这些补丁不一定适用于所有 Android 设备。 谷歌 Pixel 设备立即接收这些更新，而其他厂商通常需要更长时间来测试和优化安全补丁，以适应其特定的硬件配置。 2024 年 11 月，谷歌还修复了另一个 Android 零日漏洞（CVE-2024-43047），该漏洞最初于 2024 年 10 月被谷歌 Project Zero 标记为已被利用，并被塞尔维亚政府在 NoviSpy 间谍软件攻击中用于针对活动人士、记者和抗议者的 Android 设备。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Everest 勒索软件团伙的暗网泄露网站显然在周末被一名未知攻击者黑掉，现已下线。 未知攻击者将网站内容替换为以下讽刺性信息：“不要犯罪，犯罪很糟糕 xoxo 来自布拉格。” Everest 团伙已将其泄露网站下线，该网站现已无法加载，显示“洋葱网站未找到”错误。 Everest 的被黑泄露网站（Tammy H.） 虽然目前尚不清楚攻击者是如何获得对 Everest 网站的访问权限的，或者该网站是否真的被黑，但一些安全专家，如 Flare 高级威胁情报研究员 Tammy Harper，指出可能是利用了 WordPress 漏洞来篡改勒索软件团伙的泄露网站。 “值得一提的是，Everest 使用了 WordPress 模板来制作他们的博客。我不会对此感到惊讶，”Harper 表示。 自 2020 年首次出现以来，Everest 勒索软件团伙已从仅通过数据窃取进行企业勒索的策略转变为在攻击中加入勒索软件以加密受害者的受损系统。 Everest 的运营者还以作为其他网络犯罪团伙和威胁行为者的初始访问代理而闻名，出售对被攻陷企业网络的访问权限。 在过去的五年中，Everest 已在其暗网泄露网站上添加了超过 230 名受害者，该网站是双倍勒索攻击的一部分，勒索软件团伙试图通过威胁发布包含敏感信息的文件来迫使受害者支付赎金。 其最近的一名受害者是 STIIIZY，这是一家总部位于加利福尼亚州的知名大麻品牌，Everest 在 2024 年 11 月声称对其发起了攻击。今年 1 月，STIIIZY 透露，未知攻击者攻陷了其销售点（POS）供应商，窃取了客户信息，包括购买信息和政府身份证件。 2024 年 8 月，美国卫生与公众服务部还警告称，Everest 勒索软件团伙正越来越多地针对美国各地的医疗机构。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕了六名利用人工智能工具进行大规模加密货币投资诈骗的个人，该诈骗利用深度伪造广告展示知名公众人物，以吸引人们参与。 该诈骗非常成功，从全球 208 名受害者那里骗取了 1900 万欧元（约合 2090 万美元）。 代号为“COINBLACK – WENDMINE”的警方行动始于两年前，当时一名受害者提交了投诉。行动导致在格拉纳达和阿利坎特地区逮捕了六名年龄在 34 至 57 岁之间的个人。 此外，在警方突袭中还查获了 10 万欧元、手机、电脑、硬盘、枪支和文件。 警方的公告强调了行动的复杂性，解释说犯罪分子创建了多个空壳公司来洗钱。同时，该团伙的头目使用了超过 50 个不同的化名。 该诈骗有多个阶段，从典型的“浪漫诱饵诈骗”或威胁行为者冒充“财务顾问”开始，最后以假的资金回收索赔告终。 受害者是通过算法选择的，这些算法挑选出符合网络犯罪分子目标要求的个人，然后通过人工智能生成的深度伪造广告进行针对性攻击。 “在人工智能的帮助下，诈骗者创建了假广告，展示知名国家人物似乎在推荐投资这些产品，”西班牙国家警察的公告解释道。 “这显著增加了受害者对投资安全性和盈利性的信任。” 受害者最初在本质上是假平台的大型投资回报上看到了虚假数字。 在某个时候，冒充财务顾问甚至模拟与受害者建立浪漫关系的诈骗者告知他们，他们的投资已被冻结，只有在他们支付一大笔款项后才能取回资金。 在最后阶段，受害者再次被诈骗者联系，这些诈骗者现在冒充欧洲刑警组织的特工或英国律师，声称他们的资金已被追回，只需支付当地税费即可取回资金。 警方提醒公众警惕保证回报的承诺，并在存入任何资金之前始终验证投资平台的合法性和可信度。 其他警示信号包括投资压力、无法提款、意外的余额“冻结”以及关于额外“费用/税费”的说法，这些费用/税费据称是取款所需的。 如今，创建逼真的 AI 生成深度伪造视频变得轻而易举，因此用户不应受据称推广投资平台的名人影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文