HackerNews

HackerNews 编译，转载请注明出处： 微软今天宣布，基于客户反馈，将无限期推迟移除 Windows Server Update Services (WSUS) 中的驱动同步功能。 “看到你们中有多少人已经开始转向可用的基于云的驱动服务，我们最初提议移除 WSUS 驱动同步。感谢你们的反馈，尤其是在离线设备场景中，我们现在修订了这一计划，”高级项目经理 Paul Reed 表示。 “基于您宝贵的反馈，我们推迟了原定于 2025 年 4 月 18 日移除 WSUS 驱动同步的计划。请继续关注，我们将努力制定修订后的时间线，以便为您优化我们的服务，”微软在周一的消息中心更新中补充道。 这一公告是在过去一年发布的三次警告之后发布的，微软原计划于 2025 年 4 月 18 日移除 WSUS 驱动同步。微软最初于 2024 年 6 月宣布弃用 WSUS 驱动同步，并在 2025 年 1 月鼓励 IT 管理员采用其更新的基于云的驱动服务。 一个月后，微软提醒管理员为 WSUS 驱动同步的弃用做好准备，并鼓励他们采用基于云的解决方案来管理客户端和服务器更新，例如 Windows Autopatch、Microsoft Intune 和 Azure Update Manager。 2024 年 9 月，微软还宣布 WSUS 已被弃用，但补充说，它计划维护所有现有功能，并继续通过该渠道发布更新。这一公告是在 2024 年 8 月 13 日将 WSUS 列为“从 Windows Server 2025 开始移除或不再开发的功能”之后发布的。 近二十年前作为 Software Update Services (SUS) 推出的 WSUS，帮助 IT 管理员通过单个服务器管理并分发微软产品的更新，覆盖大型企业网络中的许多 Windows 设备，而不是依赖每个终端从微软的服务器进行更新。 2024 年 6 月，微软还宣布正式弃用 Windows NTLM 身份验证协议，敦促开发人员转向 Kerberos 或协商身份验证，以避免未来的问题。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被称为 PoisonSeed 的恶意活动正在利用与客户关系管理（CRM）工具和批量邮件服务相关的泄露凭据，发送包含加密货币种子短语的垃圾邮件，试图清空受害者的数字钱包。 “批量垃圾邮件的接收者成为了加密货币种子短语投毒攻击的目标，”Silent Push 在分析中表示。“作为攻击的一部分，PoisonSeed 提供安全种子短语，诱使潜在受害者将其复制粘贴到新的加密货币钱包中，以便日后进行攻击。” PoisonSeed 的目标包括企业组织和加密货币行业外的个人。像 Coinbase 和 Ledger 这样的加密货币公司，以及 Mailchimp、SendGrid、Hubspot、Mailgun 和 Zoho 等批量邮件服务提供商均在目标之列。 该活动被认为与两个 loosely aligned 的威胁行为者 Scattered Spider 和 CryptoChameleon 不同，两者都是更广泛的网络犯罪生态系统“Com”的一部分。该活动的一些方面之前由安全研究员 Troy Hunt 和 Bleeping Computer 于上个月披露。 这些攻击涉及威胁行为者为知名的 CRM 和批量邮件公司设置假冒的网络钓鱼页面，目的是诱骗高价值目标提供他们的凭据。一旦获得凭据，对手就会创建一个 API 密钥，以确保即使被盗密码被所有者重置，也能保持持久访问。 在下一阶段，操作者可能会使用自动化工具导出邮件列表，并从这些被攻陷的账户发送垃圾邮件。CRM 被攻陷后的供应链垃圾邮件通知用户，他们需要使用嵌入在电子邮件中的种子短语设置新的 Coinbase 钱包。 攻击的最终目标是使用相同的恢复短语劫持账户并从这些钱包中转移资金。与 Scattered Spider 和 CryptoChameleon 的关联源于使用了一个之前被识别为前者使用的域名（“mailchimp-sso[.]com”），以及 CryptoChameleon 历史上针对 Coinbase 和 Ledger 的攻击。 尽管如此，PoisonSeed 使用的网络钓鱼工具包与这两个威胁集群使用的没有任何相似之处，这表明它要么是 CryptoChameleon 的一个全新的网络钓鱼工具包，要么是一个不同的威胁行为者，只是碰巧使用了类似的战术。 这一进展发生在一个俄语系威胁行为者被观察到使用托管在 Cloudflare Pages.Dev 和 Workers.Dev 上的网络钓鱼页面来分发可以远程控制受感染 Windows 主机的恶意软件之后。该活动的早期版本也被发现分发了 StealC 信息窃取器。 “这一最新活动利用了围绕 DMCA（数字千年版权法案）下架通知的 Cloudflare 品牌网络钓鱼页面，这些通知跨越多个域名，”Hunt.io 表示。 “诱饵滥用 ms-search 协议通过双扩展名下载一个伪装成 PDF 的恶意 LNK 文件。一旦执行，恶意软件会与攻击者操作的 Telegram 机器人检查，发送受害者的 IP 地址，然后过渡到 Pyramid C2 来控制受感染的主机。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布了一份关于Fast Flux技术风险的咨询报告，该技术已被威胁行为者采用，以掩盖命令与控制（C2）通道的位置。 “Fast Flux是一种通过快速更改与单个域名相关的域名系统（DNS）记录来掩盖恶意服务器位置的技术，”这些机构表示。“这种威胁利用了网络防御中常见的漏洞，使得追踪和阻止恶意Fast Flux活动变得困难。”   这份咨询报告由美国网络安全与基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心以及新西兰国家网络安全中心联合发布。   近年来，Fast Flux技术已被许多黑客组织采用，包括与 Gamaredon、CryptoChameleon 和 Raspberry Robin 相关的威胁行为者，以使其恶意基础设施能够逃避检测和执法部门的打击。   这种方法本质上涉及使用多种 IP 地址，并在快速 succession 中轮换，同时指向一个恶意域名。它最初于 2007 年在 Honeynet 项目中被发现。   它可以是单通量（Single Flux），即一个域名与多个 IP 地址相关联，也可以是双通量（Double Flux），即除了更改 IP 地址外，负责解析域名的 DNS 名称服务器也会频繁更改，为恶意域名提供额外的冗余和匿名性。   “Fast Flux网络之所以‘快速’，是因为通过 DNS，它会快速轮换多个僵尸程序，每个僵尸程序只使用很短的时间，从而使得基于 IP 的拒绝列表和打击工作变得困难，”Palo Alto Networks Unit 42 在 2021 年发布的一份报告中表示。   将Fast Flux描述为国家安全威胁，这些机构表示，威胁行为者正在利用这种技术来掩盖恶意服务器的位置，并建立能够抵御打击的弹性 C2 基础设施。   不仅如此，Fast Flux在 C2 通信之外也发挥着重要作用，帮助对手托管网络钓鱼网站，以及部署和分发恶意软件。   为了防范Fast Flux，建议组织采取以下措施：阻止 IP 地址、将恶意域名重定向到黑洞服务器、过滤与声誉不佳的域名或 IP 地址之间的流量、实施增强的监控，并强制执行网络钓鱼意识和培训。   “Fast Flux代表了对网络安全的持续威胁，利用快速变化的基础设施来掩盖恶意活动，”这些机构表示。“通过实施强大的检测和缓解策略，组织可以显著降低因Fast Flux支持的威胁而被攻破的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年4月5日，Ionut Ilascu报道，WinRAR文件压缩解决方案中的一个漏洞可能被利用来绕过Windows的“网络标记”（Mark of the Web，MotW）安全警告，并在Windows机器上执行任意代码。 该安全问题被追踪为CVE-2025-31334，影响所有WinRAR版本，除了最新的7.11版本。 Windows的“网络标记”是一种安全功能，它通过一个元数据值（一个名为“区域标识符”的备用数据流）来标记从互联网下载的文件，以标识这些文件可能不安全。 当打开带有MotW标记的可执行文件时，Windows会警告用户该文件是从互联网下载的，可能有害，并提供继续执行或终止的选项。 CVE-2025-31334漏洞允许威胁行为者在打开指向可执行文件的符号链接（symlink）时绕过MotW安全警告，该符号链接在任何7.11版本之前的WinRAR中都存在。攻击者可以利用特制的符号链接执行任意代码。需要注意的是，在Windows上创建符号链接通常需要管理员权限。 该安全问题获得了6.8的中等严重性评分，并已在WinRAR的最新版本中修复，如WinRAR的应用程序变更日志中所指出的： “如果从WinRAR shell启动指向可执行文件的符号链接，则忽略可执行文件的MotW数据” – WinRAR 该漏洞由三井物产Secure Directions的Shimamine Taihei通过日本的信息技术促进机构（IPA）报告。日本的计算机安全事件响应小组协调了与WinRAR开发者的负责任披露。 从7.10版本开始，WinRAR提供了从MotW备用数据流中移除信息的可能性（例如位置、IP地址），这些信息可能被视为隐私风险。 包括国家支持的威胁行为者在内的攻击者过去曾利用MotW绕过漏洞来投放各种恶意软件，而无需触发安全警告。 最近，俄罗斯黑客利用了7-Zip压缩工具中的类似漏洞，该漏洞在双重压缩（在一个文件内压缩另一个文件）时不会传播MotW，以运行Smokeloader恶意软件投放器。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“disgrasya”的恶意PyPI包被发现，该包滥用合法的WooCommerce商店来验证被盗信用卡，并已在开源软件包平台上被下载超过34,000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡，这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。 尽管该包已被从PyPI中移除，但其高下载量显示了此类恶意操作的滥用规模。 “与依赖欺骗或拼写错误的典型供应链攻击不同，disgrasya没有试图显得合法，”Socket研究人员的一份报告解释道。 “它公然恶意，滥用PyPI作为分发渠道，以接触更广泛的欺诈者受众。” 特别值得注意的是，disgrasya公然滥用PyPI托管一个包，其创建者在描述中明确指出该包用于恶意活动。 “一个利用多线程和代理通过多个网关检查信用卡的工具，”disgrasya包的描述中写道。 Socket指出，该包的恶意功能从7.36.9版本开始引入，可能是为了逃避安全检查，因为初始提交的安全检查可能比后续更新更严格。 恶意包包含一个Python脚本，该脚本访问合法的WooCommerce网站，收集产品ID，然后通过调用商店的后端将商品添加到购物车。 接下来，它导航到网站的结账页面，在那里窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。 Socket表示，这两个信息通常在页面上是隐藏的，并且很快过期，但脚本会立即抓取它们，同时用虚构的客户信息填充结账表单。 在下一步中，而不是将窃取的卡直接发送到支付网关，它将卡发送到攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并返回一个假令牌。 POST请求将卡数据发送到外部   最后，带有令牌化卡的订单在网店中提交，如果订单通过，则验证卡是有效的。如果失败，则记录错误并尝试下一张卡。 打印的交易结果   使用这样的工具，威胁行为者能够以自动化的方式验证大量被盗信用卡。 这些经过验证的卡随后可能被用于进行金融欺诈或在网络犯罪市场上出售。 Socket评论说，这种端到端的结账模拟过程特别难以被目标网站上的欺诈检测系统检测到。 “从收集产品ID和结账令牌，到将窃取的卡数据发送给恶意第三方，以及模拟完整的结账流程，整个工作流程都是高度针对性和有条理的，”Socket表示。 “它旨在融入正常的流量模式，使传统欺诈检测系统极难检测。” 尽管如此，Socket表示有一些方法可以缓解这个问题，比如阻止低于5美元的非常低价值订单，这些订单通常用于卡农攻击，监控具有异常高失败率的多个小额订单，或与单一IP地址或地区相关的高结账量。 Socket还建议在结账流程中添加CAPTCHA步骤，这可能会中断卡农脚本的操作，并在结账和支付端点上应用速率限制。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Parquet的Java库中存在一个严重安全漏洞，成功利用该漏洞的远程攻击者可在易受攻击的实例上执行任意代码。 Apache Parquet是一种免费开源的列式数据文件格式，专为高效的数据处理和检索而设计，支持复杂数据、高性能压缩和编码方案，最初于2013年推出。 该漏洞编号为CVE-2025-30065，CVSS评分为10.0，是最高 severity 级别。 “Apache Parquet 1.15.0及更早版本的parquet-avro模块中的架构解析存在漏洞，允许恶意行为者执行任意代码，”项目维护者在一份公告中表示。 据Endor Labs称，成功利用该漏洞需要诱骗易受攻击的系统读取特制的Parquet文件以获得代码执行权限。 “该漏洞可能影响导入Parquet文件的数据管道和分析系统，特别是当这些文件来自外部或不可信来源时，”该公司表示。“如果攻击者能够篡改文件，就可能触发该漏洞。” 该缺陷影响所有版本的软件，包括1.15.0版本。该问题已在1.15.1版本中得到解决。亚马逊的Keyi Li被授予发现并报告该漏洞的荣誉。 虽然目前没有证据表明该漏洞已在野外被利用，但Apache项目中的漏洞已成为威胁行为者寻找机会入侵系统和部署恶意软件的焦点。 上个月，Apache Tomcat中的一个严重安全漏洞（CVE-2025-24813，CVSS评分：9.8）在公开披露后30小时内遭到积极利用。 网络安全公司Aqua在本周发布的一项分析中表示，其发现了一项新的攻击活动，针对使用容易猜到的凭据的Apache Tomcat服务器，部署加密的有效载荷，旨在窃取用于横向移动的SSH凭据，并最终劫持系统资源用于非法加密货币挖掘。 这些有效载荷还能够建立持久性，并充当基于Java的Web shell，使攻击者能够在服务器上执行任意Java代码，Aqua的威胁情报总监Assaf Morag表示。 “此外，该脚本旨在检查用户是否具有root权限，如果是，则执行两个函数，以优化CPU消耗以获得更好的加密货币挖掘效果。” 该活动影响Windows和Linux系统，很可能被认为是中国讲威胁行为者所为，因为源代码中存在中文语言注释。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位新手网络犯罪分子被发现利用俄罗斯的“防弹”托管（BPH）服务提供商Proton66来协助其操作。 这些发现来自DomainTools，该公司在发现一个名为cybersecureprotect[.]com的虚假网站后检测到了这一活动，该网站托管在Proton66上，伪装成一个杀毒服务。 这家威胁情报公司表示，他们在该域名中发现了一个操作安全（OPSEC）失误，导致其恶意基础设施暴露，从而揭示了服务器上托管的恶意负载。 “这一发现引导我们深入了解了一个新兴威胁行为者Coquettte的操作——一个利用Proton66的防弹托管服务来分发恶意软件并从事其他非法活动的业余网络犯罪分子，”该公司在与《黑客新闻》分享的一份报告中表示。 Proton66还与另一个名为PROSPERO的BPH服务相关联，该服务已被归因于多个分发桌面和Android恶意软件的活动，如GootLoader、Matanbuchus、SpyNote、Coper（又名Octo）和SocGholish。托管在该服务上的网络钓鱼页面已通过短信传播，以诱骗用户输入他们的银行凭证和信用卡信息。 Coquettte就是这样一个利用Proton66生态系统优势的威胁行为者，以分发伪装成合法杀毒工具的恶意软件。 这表现为一个ZIP存档（“CyberSecure Pro.zip”），其中包含一个Windows安装程序，然后从远程服务器下载第二阶段的恶意软件，该服务器负责从命令和控制（C2）服务器（“cia[.]tf”）分发后续负载。 第二阶段是一个被分类为Rugmi（又名Penguish）的加载程序，过去曾用于部署诸如Lumma、Vidar和Raccoon等信息窃取器。 对Coquettte的数字足迹的进一步分析发现了一个个人网站，其中他们声称自己是“一名19岁的软件工程师，正在攻读软件开发学位”。 此外，cia[.]tf域名已使用电子邮件地址“root@coquettte[.]com”注册，确认威胁行为者控制了C2服务器，并将虚假的网络安全网站作为恶意软件分发中心。 “这表明Coquettte是一个年轻的个体，可能是一名学生，这与他们在网络犯罪活动中犯下的业余错误（如开放目录）相一致，”DomainTools表示。 该威胁行为者的活动不仅限于恶意软件，因为他们还运营着其他出售制造非法物质和武器指南的网站。据信Coquettte与一个名为Horrid的更广泛的黑客组织有松散的联系。 “基础设施重叠的模式表明，这些网站背后的人可能自称为‘Horrid’，Coquettte是其中一名成员的别名，而不是一个独立的行动者，”该公司表示。 “该组织与多个与网络犯罪和非法内容相关的域名的关联表明，它作为一个孵化器，激励或业余的网络犯罪分子，为那些希望在地下黑客圈中崭露头角的人提供资源和基础设施。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。 该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。 “Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。 受影响的产品和版本如下： – Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布） – Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移） – Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布） – ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布） Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。 Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。” 值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。 谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。 攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。 SPAWN恶意软件生态系统包括以下组件： – SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器 – SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密 – SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠） SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。 根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。 “Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。 “政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。” 除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。 该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。 “UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。 “这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。” 更新： 美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。 该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。 “组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客组织正在通过发布恶意npm包来传播BeaverTail恶意软件，以及一个新的远程访问木马（RAT）加载器，这是他们正在进行的“Contagious Interview”活动的一部分。 “这些最新的样本使用十六进制字符串编码来逃避自动化检测系统和手动代码审计，这表明威胁行为者在混淆技术上的变化，”Socket安全研究员Kirill Boychenko在一份报告中表示。 这些恶意包在被移除前总共被下载了5600多次，包括： – empty-array-validator – twitterapis – dev-debugger-vite – snore-log – core-pino – events-utils – icloud-cod – cln-logger – node-clog – consolidate-log – consolidate-logger 这一发现是在一个月前发现一系列npm包分发BeaverTail之后，BeaverTail是一种JavaScript窃取器，还能分发基于Python的后门，名为InvisibleFerret。 该活动的最终目标是以求职面试过程为幌子，渗透开发者的系统，窃取敏感数据，转移金融资产，并维持对受感染系统的长期访问。 新发现的npm库伪装成实用工具和调试器，其中dev-debugger-vite使用了SecurityScorecard在2024年12月名为“Phantom Circuit”的活动中标记为Lazarus Group使用的C2地址。 这些包的突出之处在于，其中一些，如events-utils和icloud-cod，与Bitbucket仓库相关联，而不是GitHub。此外，icloud-cod包被发现在一个名为“eiwork_hire”的目录中托管，再次强调了威胁行为者使用与面试相关的主题来激活感染。 对cln-logger、node-clog、consolidate-log和consolidate-logger包的分析还发现了一些代码级别的细微变化，表明攻击者正在发布多个恶意软件变体，以提高活动的成功率。 尽管有所变化，这四个包中嵌入的恶意代码作为一个远程访问木马（RAT）加载器，能够从远程服务器传播下一阶段的有效载荷。 由于C2端点不再提供有效载荷，目前尚不清楚通过加载器传播的恶意软件的确切性质。然而，Boychenko表示，该代码作为一个活跃的恶意软件加载器，具有远程访问木马（RAT）功能，能够动态获取并执行远程JavaScript，使朝鲜攻击者能够在受感染的系统上运行任意代码。这种行为使他们能够部署任何他们选择的后续恶意软件，使加载器本身成为一个重大威胁。 这些发现表明了“Contagious Interview”的持续性，它不仅对软件供应链构成持续威胁，还采用了臭名昭著的ClickFix社会工程战术来分发恶意软件。 “Contagious Interview威胁行为者继续创建新的npm账户，并在npm注册表、GitHub和Bitbucket等平台上部署恶意代码，展示了他们的持续性，并且没有放缓的迹象，”Boychenko说。 “这个高级持续性威胁（APT）组织正在多样化其战术——在新的别名下发布新的恶意软件，在GitHub和Bitbucket仓库中托管有效载荷，并重用BeaverTail和InvisibleFerret等核心组件，以及新观察到的RAT/加载器变体。” BeaverTail部署Tropidoor# 新npm包的发现正值韩国网络安全公司AhnLab详细描述了一项以招聘为主题的网络钓鱼活动，该活动分发了BeaverTail，然后用于部署一个以前未记录的Windows后门，代号为Tropidoor。该公司的分析显示，BeaverTail正在积极针对韩国的开发者。 该电子邮件声称来自一家名为AutoSquare的公司，包含一个指向Bitbucket上托管项目的链接，敦促收件人在本地克隆项目以审查他们对程序的理解。 该应用程序实际上是一个包含BeaverTail（“tailwind.config.js”）和一个DLL下载器恶意软件（“car.dll”）的npm库，后者由JavaScript窃取器和加载器启动。 Tropidoor是一个通过下载器在内存中运行的后门，能够联系C2服务器以接收指令，从而可以窃取文件、收集驱动器和文件信息、运行和终止进程、截取屏幕截图，以及通过用NULL或垃圾数据覆盖来删除或擦除文件。 该植入程序的一个重要方面是，它直接实现了Windows命令，如schtasks、ping和reg，这一功能之前也在Lazarus Group的另一种名为LightlessCan的恶意软件中观察到，LightlessCan是BLINDINGCAN（又名AIRDRY或ZetaNile）的后续产品。 AhnLab表示：“用户不仅要警惕电子邮件附件，还要警惕来自未知来源的可执行文件。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软认可了一个以EncryptHub身份活动的独狼黑客，他发现了Windows中的两个安全漏洞，并于上个月报告了这些漏洞。这位黑客被描述为一个“矛盾”的个体，他在网络安全领域有着合法的职业生涯，同时也涉足网络犯罪。 瑞典安全公司Outpost24 KrakenLabs发布了一项新的深入分析，揭露了这位新兴网络犯罪分子的身份。大约十年前，这位黑客离开了他在乌克兰哈尔科夫的家乡，搬到了罗马尼亚海岸附近的一个新地方。 微软将这两个漏洞归功于一个名为“SkorikARI with SkorikARI”的用户，据评估这是EncryptHub的另一个用户名。这两个漏洞已在上个月的Patch Tuesday更新中被修复，具体如下： – CVE-2025-24061（CVSS评分：7.8）- 微软Windows Mark-of-the-Web（MotW）安全功能绕过漏洞 – CVE-2025-24071（CVSS评分：6.5）- 微软Windows文件资源管理器欺骗漏洞 EncryptHub还被追踪为LARVA-208和Water Gamayun，他在2024年中期因利用一个虚假的WinRAR网站分发各种恶意软件而受到关注，这些恶意软件托管在一个名为“encrypthub”的GitHub存储库中。 最近几周，这位威胁行为者被归因于微软管理控制台（CVE-2025-26633，CVSS评分：7.0，也称为MSC EvilTwin）的零日漏洞利用，以交付信息窃取器和以前未记录的后门，名为SilentPrism和DarkWisp。 据PRODAFT估计，在过去九个月的运营中，EncryptHub已经攻陷了超过618个高价值目标，涵盖多个行业。 “我们调查过程中分析的所有数据都指向一个单独的个体的行为，”Outpost24的高级威胁情报分析师Lidia Lopez告诉《黑客新闻》。 “然而，我们不能排除与其他威胁行为者合作的可能性。在一个用于监控感染统计数据的Telegram频道中，还有另一个拥有管理权限的Telegram用户，这表明可能有其他没有明确组织隶属关系的人提供合作或帮助。” Outpost24表示，他们能够从“由于糟糕的操作安全实践导致的演员自我感染”中拼凑出EncryptHub的在线足迹，从而揭示了其基础设施和工具的新方面。 这位个体被认为在搬到罗马尼亚附近的一个未指明地点后保持低调，通过在线课程自学计算机科学，同时在业余时间寻找与计算机相关的工作。 然而，这位威胁行为者的所有活动在2022年初突然停止，这与俄乌战争的开始相吻合。Outpost24表示，他们发现的证据表明，他当时被监禁。 “释放后，他恢复了求职，这次提供自由职业的网络和应用程序开发服务，这获得了一些关注，”该公司在报告中表示。“但薪酬可能不够，短暂尝试漏洞赏金计划后未获成功，我们相信他在2024年上半年转向了网络犯罪。” EncryptHub在网络犯罪领域的早期尝试之一是Fickle Stealer，这是Fortinet FortiGuard Labs在2024年6月首次记录的一种基于Rust的信息窃取恶意软件，通过多个渠道分发。 在最近与安全研究员g0njxa的一次采访中，这位威胁行为者声称Fickle“在StealC或Rhadamantys（拼写错误）永远无法工作的系统上提供结果”，并且它“通过高质量的企业防病毒系统”。他们还表示，这个窃取器不仅被私下共享，而且还是他们另一个名为EncryptRAT的产品的“核心”部分。 “我们能够将Fickle Stealer与之前与EncryptHub相关的别名联系起来，”Lopez说。“此外，与该活动相关的其中一个域名与他合法自由职业工作的基础设施相匹配。从我们的分析来看，我们估计EncryptHub的网络犯罪活动始于2024年3月左右。Fortinet在6月的报告可能标志着这些行动的首次公开记录。” EncryptHub还被发现广泛依赖OpenAI的ChatGPT来协助恶意软件开发，甚至利用它来帮助翻译电子邮件和消息，并作为一种忏悔工具。 “EncryptHub的案例突显了糟糕的操作安全仍然是网络犯罪分子最严重的弱点之一，”Lopez指出。“尽管技术复杂，但基本错误——如密码重复使用、暴露的基础设施以及将个人活动与犯罪活动混为一谈——最终导致了他的曝光。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国拥有数百年历史的邮政机构皇家邮政集团（Royal Mail Group）疑似遭遇重大数据泄露，144GB的内部文件、客户信息和营销数据被曝光。此次泄露事件由网络犯罪论坛Breach Forum的用户“GHNA”首次披露。 144GB敏感数据泄露 据Hackread.com研究团队观察，GHNA于2025年3月31日（星期一）在Breach Forum发帖称：“今天，我上传了144GB的皇家邮政集团数据供大家下载（再次感谢Spectos的‘协助’）。感谢阅读，尽情享用！” 帖子中包含一张疑似皇家邮政集团与Spectos举行Zoom会议的截图。Spectos是一家总部位于德国的数据分析和绩效管理公司，曾多次与其他泄露事件扯上关系。这引发了外界对此次攻击究竟是直接入侵皇家邮政集团的基础设施，还是通过拥有深度系统访问权限的供应商Spectos进行的第三方攻击的猜测。 泄露的144GB档案包含293个文件夹和16,549个文件，涉及范围广泛： 客户个人身份信息（PII）：包括姓名、完整地址、邮编、寄送详情，以及寄件方的企业名称和服务使用情况。 内部通信：视频会议记录，尤其是Spectos与皇家邮政集团员工之间的Zoom通话。 运营数据：配送路线数据、邮局位置信息和后端SQL数据库。 营销基础设施数据：Mailchimp邮件列表导出，包含订阅者元数据、活动标签和详细的同意信息。 黑客GHNA是谁？ 深入调查发现，GHNA自2024年底以来便活跃于Breach Forum，通过泄露或出售多个高知名度企业的数据逐渐积累声誉。其发布的帖子涉及多个行业，包括： 多家市值数十亿美元的软件公司和太阳能行业企业； 三星电子（德国）——泄露了客户满意度工单数据； Touchworld Technology LLC和Liberty Latin America——源代码库； 涉及美国和欧洲软件公司（包括CRM和Staking平台）的访问权限； 针对加密货币公司的攻击，如Staking公司和赌场（均被论坛标记为“已验证”，其中一个已被售出）。 皇家邮政集团的数据泄露事件是GHNA发布的体量最大的攻击之一。但从其过往行为来看，这很可能只是一个更广泛的“访问即服务”（Access-as-a-Service）运营的一部分。 第三方供应商Spectos卷入 Spectos的名字多次出现在泄露的数据中，包括内部文件和会议视频。虽然目前尚不清楚Spectos是攻击入口还是仅被动涉及，黑客发帖时提到“再次感谢Spectos的‘协助’”，暗示Spectos的系统可能是此次泄露的切入点。考虑到泄露数据的规模和类型，攻击者或许通过共享系统、集成点或Spectos自身基础设施实现了入侵。 皇家邮政集团在发给Hackread.com的邮件中表示：“我们了解到此次事件疑似影响了皇家邮政的供应商Spectos。我们正与该公司合作调查事件，并评估是否存在数据影响。”截至目前，Spectos尚未就此事公开回应。 皇家邮政集团的安全挑战 此次事件是皇家邮政集团面临的一系列网络安全挑战中的最新一次。早在2023年年初，皇家邮政就曾遭受LockBit勒索软件团伙攻击，导致国际包裹寄递系统中断数周，被迫启用紧急预案。 当时的攻击由勒索软件团伙发起，主要目的是勒索赎金。而这次事件虽然没有勒索要求，但或许反映出黑客对皇家邮政集团数据的兴趣愈发浓厚，尤其是针对其供应商网络中的薄弱环节。 影响与持续调查 尽管皇家邮政集团尚未正式确认数据真实性，但已通过Spectos承认事件的存在。如果泄露数据属实，受影响客户的信息可能面临诈骗、垃圾邮件甚至身份盗窃的风险。 对于皇家邮政集团而言，这一事件加剧了其在数据保护和供应商管理上的压力。对于监管机构而言，事件或将引发关于皇家邮政集团是否采取了充分措施保护用户信息的质疑。 截至发稿时，事件调查仍在进行中，皇家邮政集团和Spectos均未作进一步回应。   消息来源：Hacker read； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司警告管理员立即修补Cisco Smart Licensing Utility（CSLU）中的严重漏洞，该漏洞暴露了一个内置的后门管理员账户，目前已被攻击者利用。 CSLU是一款Windows应用程序，用于在本地管理许可证和关联产品，而无需连接至思科云端的Smart Software Manager解决方案。   思科于2024年9月修补了该安全漏洞（CVE-2024-20439），并将其描述为“未公开的静态用户凭证”，攻击者可通过CSLU应用程序的API远程登录未修补的系统，获取管理员权限。   CVE-2024-20439仅影响运行受漏洞影响版本的CSLU系统，但只有在用户手动启动CSLU应用程序时才会被利用（默认情况下不会在后台运行）。   Aruba威胁研究员Nicholas Starke在思科发布补丁两周后，逆向分析了该漏洞，并发布了包含详细技术信息的报告，其中包括解码后的硬编码静态密码。   思科在周二更新的安全公告中表示：“2025年3月，思科产品安全事件响应团队（PSIRT）发现该漏洞在野外环境中已被尝试利用。思科继续强烈建议客户尽快升级至修复后的软件版本。”   与第二个漏洞联动利用   尽管思科未公开这些攻击的具体细节，但SANS技术研究院研究主任Johannes Ullrich上月发现，有攻击者利用后门管理员账户攻击暴露在互联网上的CSLU实例。   Ullrich指出，威胁行为者正将CVE-2024-20439漏洞与另一个严重的信息泄露漏洞（CVE-2024-20440）结合使用。未经身份验证的攻击者可通过发送精心构造的HTTP请求，访问易受攻击设备中的日志文件，获取API凭证等敏感数据。   “虽然当时的快速搜索未发现任何活跃的攻击行为，但Nicholas Starke在思科发布公告后不久就在博客中公开了后门凭证，因此现在看到部分攻击活动并不意外。”Ullrich表示。   本周一，美国网络安全与基础设施安全局（CISA）将CVE-2024-20439的静态凭证漏洞加入其“已知被利用漏洞目录”，并要求美国联邦机构在三周内（即4月21日前）保护系统免受该漏洞的主动利用。   近年来，这并非思科产品中首次发现并移除后门账户。在此之前，思科的IOS XE、广域网应用服务（WAAS）、数字网络架构（DNA）中心和应急响应软件中也曾发现硬编码凭证漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基研究人员发现，数千部新安卓设备被预装了 Triada 木马的新变种。一旦用户设置设备，攻击者即可立即开始窃取数据。 此次恶意软件活动主要影响俄罗斯用户。根据卡巴斯基移动防护工具的监测数据，2025年3月13日至27日期间已确认至少有2600起感染事件。这些被感染的设备是假冒的热门智能手机型号，通过在线商店以折扣价销售，吸引不明真相的消费者购买。 Triada 是一种模块化的安卓恶意软件，最早于2016年被发现。它通过在设备内存中运行来逃避检测，多年来已多次被发现在通过非正规渠道销售的低价安卓手机的固件中隐藏。一旦安装，Triada 就会变得非常难以清除，除非重新刷机。 卡巴斯基的最新报告显示，Triada 的最新变种更具隐蔽性，它隐藏在安卓系统框架中，并复制到智能手机上的每个进程中。该恶意软件在被感染设备上执行以下操作： – 窃取即时通讯和社交媒体账号； – 通过 WhatsApp 和 Telegram 发送和删除消息，冒充用户； – 通过修改钱包地址劫持加密货币交易； – 监控浏览活动并替换链接； – 在通话过程中伪造电话号码以重新路由对话； – 拦截、发送和删除短信； – 开启高级短信服务以收取付费服务费用； – 远程下载和运行额外应用程序； – 阻断网络连接以逃避检测或破坏防御。 交易分析显示，新 Triada 木马已窃取至少价值27万美元的加密货币，但由于还涉及难以追踪的门罗币（Monero），实际被盗金额可能更高。 卡巴斯基尚不确定设备是如何感染 Triada 的，但推测这可能是由于供应链攻击所致。卡巴斯基研究人员德米特里·卡利宁表示：“Triada 的新版本在设备到达用户之前就被嵌入到智能手机的固件中。供应链可能在某个环节被攻破，甚至商店可能都不知道它们销售的手机带有 Triada”。 为降低风险，建议用户仅从授权经销商处购买智能手机。如有疑问，可以使用谷歌提供的干净系统镜像，或可信的第三方 ROM（如 LineageOS 或 GrapheneOS）重新刷机。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基因数据共享平台 openSNP 将于 2025 年 4 月 30 日关闭，并删除所有用户提交的数据。该平台的联合创始人巴斯蒂安·格雷沙克·茨沃拉拉斯本周早些时候宣布了这一决定，他指出，个人基因组数据如今容易遭到滥用，且在过去 14 年间，相关环境已发生根本性变化。 openSNP 是一个免费且开源的平台，用户可以在此上传和分享基因及表型数据，用于研究和教育目的。其最初目标是打破商业 DNA 检测公司的垄断，让研究人员和普通民众能够免费且无障碍地探索人类基因数据。多年来，openSNP 已成为此类数据存储库中的佼佼者，广泛应用于研究、教育，甚至社区主导的调查，例如驳斥有缺陷的慢性疲劳综合征基因研究。 尽管与 23andMe 没有直接关联，但 openSNP 收到的大部分数据都来自 23andMe 的用户。随着 23andMe 申请破产保护，提交至 openSNP 的新数据几乎停滞，且预计短期内难以恢复。此外，茨沃拉拉斯还担心，保留这些数据可能会被滥用，尤其是私人法医公司、执法机构和政府以伪科学为由，愈发积极地寻求获取此类信息。 “2025 年，提供个人基因数据免费且开放访问的风险与收益比，与 14 年前相比已大不相同。”茨沃拉拉斯解释道，“因此，关闭 openSNP 并删除其中存储的数据，是如今对这些数据最负责任的管理方式。”openSNP 曾多次拒绝企业收购其数据控制权的提议，是开源项目在低预算下成功运营的罕见范例。然而，鉴于当前伦理、政治和社会环境的变化，该组织认为继续运营风险过高。 该平台将在本月底关闭，所有用户提交的数据都将被清除。公告并未要求用户采取任何手动操作，如删除数据，因此无需用户自行处理。不过，那些希望保留个人或他人数据副本以供个人使用的人，可在 4 月 30 日之前下载。需要注意的是，虽然已下载数据的用户将永久保留副本，但移除公共、集中的数据源将降低其被发现和未来通过网络爬虫获取的可能性。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Hijack Loader”的恶意软件加载器的更新版本，该版本增加了新功能以逃避检测并在受感染系统中建立持久性。 Zscaler ThreatLabz 研究员穆罕默德·伊尔凡·瓦表示：“Hijack Loader 推出了一种新模块，通过调用栈伪造来隐藏函数调用（例如API调用和系统调用）的来源。”此外，“Hijack Loader 增加了一个新模块，用于执行反虚拟机检查，以检测恶意软件分析环境和沙箱。” Hijack Loader 最初于2023年被发现，能够传递第二阶段的有效载荷，例如信息窃取恶意软件。它还配备了多种模块，用于绕过安全软件和注入恶意代码。Hijack Loader 在网络安全社区中还被称为DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER。 2024年10月，HarfangLab 和 Elastic Security Labs 详细描述了利用合法代码签名证书以及臭名昭著的 ClickFix 策略传播恶意软件的 Hijack Loader 活动。 与前代产品相比，Hijack Loader 的最新版本增加了调用栈伪造作为逃避检测的手段，以隐藏API和系统调用的来源。这种方法最近也被另一种名为 CoffeeLoader 的恶意软件加载器采用。 “该技术利用 EBP 指针链遍历堆栈，并通过用伪造的堆栈帧替换实际堆栈帧来隐藏恶意调用的存在。”Zscaler 表示。 与之前的版本一样，Hijack Loader 利用 Heaven’s Gate 技术执行64位直接系统调用以进行进程注入。其他更改包括更新黑名单进程列表，新增“avastsvc.exe”（Avast 防病毒软件的一个组件），延迟执行时间五秒。 该恶意软件还增加了两个新模块，分别是 ANTIVM（用于检测虚拟机）和 modTask（通过计划任务设置持久性）。研究结果表明，Hijack Loader 仍在被其运营者积极维护，目的是增加分析和检测的难度。 SHELBY 恶意软件利用 GitHub 进行命令与控制 与此同时，Elastic Security Labs 揭示了一个名为 SHELBY 的新型恶意软件家族，该家族利用 GitHub 进行命令与控制（C2）、数据外泄和远程控制。相关活动被追踪为 REF8685。 攻击链始于一封网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中包含一个 .NET 二进制文件，用于通过 DLL 侧加载执行一个名为 SHELBYLOADER（“HTTPService.dll”）的 DLL 加载器。这些邮件通过目标组织内部发送，投递给了伊拉克一家电信公司。 随后，加载器与 GitHub 建立通信，从攻击者控制的存储库中名为“License.txt”的文件中提取一个特定的48字节值。该值用于生成 AES 解密密钥，解密主后门有效载荷（“HTTPApi.dll”）并将其加载到内存中，而不会在磁盘上留下可检测的痕迹。 “SHELBYLOADER 利用沙箱检测技术来识别虚拟化或监控环境。”Elastic 表示，“一旦执行，它会将结果发送回 C2。这些结果被封装在日志文件中，详细说明每种检测方法是否成功识别出沙箱环境。” SHELBYC2 后门则解析另一个名为“Command.txt”的文件中列出的命令，以从 GitHub 存储库下载/上传文件、反射加载 .NET 二进制文件以及运行 PowerShell 命令。值得注意的是，C2 通信通过使用个人访问令牌（PAT）提交到私有存储库来实现。 “恶意软件的设置方式意味着，任何拥有 PAT（个人访问令牌）的人都可以理论上获取攻击者发送的命令，并访问任何受害机器上的命令输出。”该公司表示，“这是因为 PAT 令牌嵌入在二进制文件中，任何获得它的人均可使用。” Emmenhtal 通过 7-Zip 文件传播 SmokeLoader 此外，以支付为主题的网络钓鱼邮件还被观察到用于传播名为 Emmenhtal Loader（也称 PEAKLIGHT）的恶意软件加载器家族，该家族充当部署另一种名为 SmokeLoader 的恶意软件的渠道。 GDATA 表示：“在这一 SmokeLoader 样本中，一个值得注意的技术是使用了 .NET Reactor，这是一种用于混淆和打包的商业 .NET 保护工具。” “尽管 SmokeLoader 历史上曾使用过 Themida、Enigma Protector 和自定义加密器等打包器，但使用 .NET Reactor 符合其他恶意软件家族（尤其是窃密器和加载器）的趋势，因为其具有强大的反分析机制。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，以经济利益为动机的网络犯罪团伙FIN7正在利用一种名为Anubis的基于Python的后门程序，劫持被入侵的Windows系统。 瑞士网络安全公司PRODAFT在一份技术报告中指出，这种恶意软件允许攻击者执行远程Shell命令和其他系统操作，从而完全控制被感染的机器。 FIN7也被称为Carbon Spider、ELBRUS、Gold Niagara、Sangria Tempest和Savage Ladybug，是一个以俄罗斯为背景的网络犯罪团伙。该团伙以不断演变和扩展的恶意软件家族而闻名，这些恶意软件家族用于获取初始访问权限和数据窃取。近年来，该团伙被认为已转变为勒索软件的附属组织。 2024年7月，该团伙被发现使用多个在线别名宣传一种名为AuKill（又称AvNeutralizer）的工具，该工具能够终止安全工具，可能是为了多元化其盈利策略。 Anubis后门被认为通过恶意垃圾邮件活动传播，通常诱使受害者执行托管在被入侵的SharePoint网站上的恶意负载。该恶意软件以ZIP存档的形式交付，感染的入口点是一个Python脚本，该脚本设计用于直接在内存中解密并执行主要混淆的有效负载。一旦启动，该后门会通过TCP套接字以Base64编码格式与远程服务器建立通信。 服务器的响应同样以Base64编码，允许该后门收集主机的IP地址、上传/下载文件、更改当前工作目录、获取环境变量、修改Windows注册表、使用PythonMemoryModule将DLL文件加载到内存中，并终止自身。 德国安全公司GDATA在对Anubis进行独立分析时发现，该后门还支持将操作员提供的响应作为受害者系统上的Shell命令运行。PRODAFT表示：“这使得攻击者能够在不直接在受感染系统上存储这些功能的情况下，执行诸如键盘记录、截屏或窃取密码等操作。通过尽可能保持后门的轻量化，攻击者降低了被检测的风险，同时保持了执行进一步恶意活动的灵活性。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为Outlaw（又称Dota）的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。 据Elastic安全实验室周二发布的最新分析报告称，“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件，用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者，他们被认为来自罗马尼亚。 自2018年底以来，该黑客团伙一直活跃，通过暴力破解SSH服务器，利用获得的权限进行侦察，并通过将自身的SSH密钥添加到“authorized_keys”文件中，以在被入侵主机上保持持久性。 攻击者还采用多阶段感染过程，使用一个下载器Shell脚本（“tddwrt7s.sh”）下载一个归档文件（“dota3.tar.gz”），然后解包以启动挖矿程序，同时清除过往入侵痕迹，并终止其他竞争挖矿程序和自身旧版本挖矿程序。 该恶意软件的一个显著特点是初始访问组件（又称BLITZ），它通过扫描运行SSH服务的易受攻击系统，以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制（C2）服务器获取目标列表，以进一步延续传播周期。 在某些攻击中，该团伙还利用存在CVE-2016-8655和CVE-2016-5195（又称Dirty COW）漏洞的Linux和Unix操作系统，以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后，恶意软件会部署SHELLBOT，通过C2服务器使用IRC频道进行远程控制。 SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。 在挖矿过程中，该恶意软件会检测被感染系统的CPU，并为所有CPU核心启用大页面功能，以提高内存访问效率。它还使用一个名为kswap01的二进制文件，以确保与攻击者基础设施的持续通信。 “尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术，但它仍然活跃。”Elastic表示，“该恶意软件部署了修改版的XMRig挖矿程序，利用IRC进行C2通信，并使用公开可用的脚本实现持久性和防御规避。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了谷歌云平台（GCP）云运行服务（Cloud Run）的一个现已修复的权限提升漏洞。该漏洞可能会让恶意攻击者访问容器镜像，甚至注入恶意代码。 据网络安全公司Tenable的安全研究员利夫·马坦（Liv Matan）称，该漏洞允许攻击者利用其在谷歌云运行服务中的修订编辑权限，拉取同一账户中的私有谷歌工件仓库（Google Artifact Registry）和谷歌容器仓库（Google Container Registry）镜像。这一安全漏洞被Tenable命名为“ImageRunner”，谷歌已于2025年1月28日完成修复。 谷歌云运行服务是一种完全托管的服务，用于在可扩展的无服务器环境中运行容器化应用程序。当使用该技术运行服务时，会通过指定镜像URL从工件仓库（或Docker Hub）拉取容器镜像以进行后续部署。 问题在于，某些身份虽然没有容器仓库权限，但却拥有谷歌云运行服务修订的编辑权限。每次部署或更新云运行服务时，都会创建一个新版本，而每次部署云运行修订时，都会使用服务代理账户来拉取必要的镜像。 如果攻击者在受害者的项目中获得了特定权限（特别是`run.services.update`和`iam.serviceAccounts.actAs`权限），他们可以修改云运行服务并部署一个新修订版本。在此过程中，攻击者可以指定服务拉取项目内任何私有容器镜像。此外，攻击者还可以访问受害者仓库中存储的敏感或专有镜像，并引入恶意指令，这些指令在执行时可能会被利用来提取机密信息、窃取敏感数据，甚至向攻击者控制的机器打开反向Shell。 谷歌发布的补丁现在确保创建或更新云运行资源的用户或服务账户必须明确拥有访问容器镜像的权限。谷歌在其2025年1月的云运行发布说明中表示：“创建或更新云运行资源的主体（用户或服务账户）现在需要明确的权限来访问容器镜像。”当使用工件仓库时，确保主体在包含容器镜像的项目或仓库上具有工件仓库读者（roles/artifactregistry.reader）IAM角色。 Tenable将“ImageRunner”描述为其所谓的“Jenga”现象的一个实例，这种现象是由于各种云服务的相互关联性导致安全风险传递。“云服务提供商在其现有服务的基础上构建服务。如果一个服务受到攻击或被攻破，那么在其基础上构建的其他服务也会继承风险并变得脆弱。”这种场景为攻击者提供了发现新的权限提升机会甚至漏洞的可能性，同时也为防御者引入了新的隐藏风险。 此次披露发生在Praetorian详细描述较低权限主体如何滥用Azure虚拟机（VM）以控制Azure订阅的几周之后。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名使用化名 “CoreInjection” 的黑客声称对以色列网络安全公司 Check Point 进行入侵，声称获得了敏感的内部数据和网络系统访问权限。 该黑客于 2025 年 3 月 30 日星期日在 Breach Forums 论坛上发布了这一声明，并宣布以 5 枚比特币（约 434,570 美元）的价格出售所窃取的内容。黑客强调，该价格”固定且不可协商”，且仅接受加密货币付款。有兴趣的买家需通过 TOX 消息平台联系。   在论坛的帖子中，CoreInjection 声称出售的数据包括：   – 内部项目文档   – 用户凭据（包括哈希和明文形式）   – 内部网络地图和架构图   – 专有软件的源代码和编译二进制文件   – 员工联系方式，包括电话号码和电子邮件地址   Check Point 公司的回应   在该帖子引起关注后不久，Check Point 发表声明，否认近期发生过如此规模的入侵事件。公司表示，该黑客的说法涉及的是”一个已知的、非常有限的旧事件”，该事件影响的仅是少数组织，且未涉及核心系统。   “此事件在几个月前就已得到处理，并不包含暗网论坛帖子中描述的内容，”Check Point 在声明中表示。”受影响的组织当时已得到通知和妥善处理，此次曝光不过是对旧信息的再度炒作。”   公司坚称，其客户、基础设施或内部运营均未受到安全威胁，并澄清称，受影响的门户网站并未涉及生产环境或包含敏感架构的系统。   CoreInjection 是谁？   CoreInjection 是网络犯罪领域的一个相对新面孔，但已迅速因针对关键基础设施和高端网络（特别是以色列的目标）而声名鹊起。该黑客于 2025 年 3 月 15 日首次出现在 Breach Forums 上，并自那时起已发布了 5 条出售企业网络访问权限的帖子。   其最早的一条帖子是出售对一家总部位于美国的工业机械和设备公司管理面板的访问权限，标价 100,000 美元。然而，不久之后，黑客的攻击目标展现出了一个明显的地理倾向——以色列。   2025 年 3 月 16 日，CoreInjection 声称在出售某以色列国际汽车公司的网络和管理电子邮件访问权限。据称，该访问权限包含对该公司”以色列网络基础设施的完全控制权”，售价 50,000 美元。   两天后的 3 月 18 日，黑客又发布了一条帖子，出售对一家以色列”知名数字屏幕公司”的”完整系统访问权限”。该帖子称，黑客可访问管理大型商场中的数字显示屏服务器，售价 100,000 美元，并强调该权限可实现”即时内容修改和传播”，也就是说，可以实时控制公共显示屏的内容。   这一细节引起了网络安全专家的警觉。过去，与伊朗、真主党和巴勒斯坦黑客组织有关的团体曾多次攻击 CCTV 摄像头、电视信号和公共显示屏，通常用于政治宣传。如果 CoreInjection 的声明属实，这类访问权限的出售可能会为类似的高曝光度攻击提供可乘之机。   2025 年 3 月 20 日，该黑客又发布了一条帖子，出售某以色列电气产品公司的客户和订单数据库，并声称数据”独家且最新”，售价 30,000 美元。   综合来看，CoreInjection 的一系列出售信息显示出明确的攻击模式：高价值访问权限、关键系统以及对以色列基础设施的强烈兴趣。无论其是独立行动，还是隶属于更广泛的组织，该黑客的活动都已引起地下论坛和网络安全界的关注。   仍存疑问   尽管 Check Point 试图安抚公众，但黑客对被窃数据的详细描述仍然引发了担忧。如果这些数据属实，其中提到的内部网络架构、明文凭据和专有软件，可能表明黑客的访问权限比 Check Point 公开承认的要深得多。   此外，仍有几个关键问题未得到解答。如果这确实是一个旧事件，为什么当时未被公开披露？对于一家规模如此庞大的网络安全公司来说，透明度应当是基本要求。而且，Check Point 尚未提供任何关于事件发生方式的细节，这使得外界无法判断其攻击路径究竟是什么——是错误配置的门户？凭据泄露？内部威胁？还是其他原因？   同时，Check Point 也未说明是否已查明黑客的入侵方式，或是否已锁定任何可能的嫌疑人。在缺乏这些信息的情况下，外界难以评估此次攻击是否已被完全遏制，或者仍然存在持续威胁。   这一事件发生之际，网络犯罪分子正越来越多地将网络安全公司本身作为攻击目标，往往利用微小的安全漏洞，进而引发更大规模的数据泄露。无论 CoreInjection 的声明是否属实，该事件都表明，即使是专门从事网络安全防御的公司，也无法完全免受黑客攻击的威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文