HackerNews

HackerNews 编译，转载请注明出处： 2025年1月14日下午3时01分，由美国、韩国和日本共同发布的声明指出，朝鲜国家支持的黑客组织通过多次加密货币抢劫案，窃取了价值超过6.59亿美元的加密货币。 该声明同时警告称，与朝鲜民主主义人民共和国相关的威胁组织仍在积极针对区块链技术行业的公司进行攻击。 “最近至2024年9月，美国政府观察到朝鲜对加密货币行业进行了激烈攻击，采用伪装良好的社会工程学手段部署恶意软件，如TraderTraitor、AppleJeus等。韩国和日本也观察到了朝鲜使用类似趋势和战术的情况。”联合声明警告道。 “朝鲜的网络计划威胁到我们三国以及更广泛的国际社会，特别是对国际金融体系的完整性和稳定性构成重大威胁。” 声明还正式确认，朝鲜攻击者是2024年7月印度最大比特币交易所WazirX遭入侵事件的幕后黑手，该事件导致2.35亿美元损失。 此外，朝鲜还与去年披露的多起其他加密货币抢劫案有关，包括DMM Bitcoin（3.08亿美元）、Upbit（5000万美元）、Rain Management（1613万美元）和Radiant Capital（5000万美元）。 然而，区块链分析公司Chainalysis在12月的一份报告中描绘了更严峻的情况，称朝鲜黑客去年在47起网络攻击中窃取了价值13.4亿美元的加密货币，打破了2022年11亿美元的纪录。 “2023年，与朝鲜相关的黑客在20起事件中窃取了约6.605亿美元；2024年，这一数字增至47起事件中窃取13.4亿美元，被盗价值增长了102.88%。”Chainalysis表示。 近年来，特别是2024年全年，美国、韩国和日本政府机构还发布了关于朝鲜诱骗私营公司雇佣其作为远程IT工作者的警报。 这些朝鲜IT工作者自称“IT战士”，通过位于美国的笔记本电脑农场连接到企业网络，冒充美国IT员工，这是FBI多年来一直警告的情况。 美国政府反复警告称，朝鲜拥有一支庞大的IT工作者队伍，他们经过培训，能够隐藏真实身份，在美国和世界各地数百家公司找到工作。 例如，网络安全公司KnowBe4最近雇佣了一名朝鲜恶意行为者担任首席软件工程师，该人员在通过背景调查、验证推荐信和四次视频面试后入职，这些过程均借助了被盗身份和AI工具。然而，一旦入职，这位“IT战士”便立即试图在公司提供的设备上安装信息窃取恶意软件。 在被发现并被解雇后，一些朝鲜IT工作者还利用内部知识和编程技能，以泄露被盗敏感信息的威胁向前雇主勒索。 目前，美国国务院提供高达500万美元的悬赏，以获取有助于破坏朝鲜前线公司延边银河和Volasys银河（及其员工）活动的信息。在过去六年中，这些公司通过非法远程IT工作计划获得了超过8800万美元的收入。 “美国、日本和韩国建议私营部门实体，特别是区块链和自由职业工作行业的实体，仔细阅读这些咨询和公告，以便更好地了解缓解网络威胁的措施，并降低无意中雇佣朝鲜IT工作者的风险。”美国、韩国和日本在今天的联合声明中补充道。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。 网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。 在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。 创建非法管理员账户（图片来源：c/side） 随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。 据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。 攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。 阻止攻击 c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。 此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。 最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。 同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁追踪者关注到一场新行动，目标直指Fortinet FortiGate防火墙设备，其管理接口暴露在公共互联网上。 “该行动涉及在防火墙管理接口上进行未授权的管理员登录、创建新账户、通过这些账户进行SSL VPN认证，以及进行各种其他配置更改。”网络安全公司Arctic Wolf在上周发布的分析中表示。 据信，恶意活动始于2024年11月中旬，未知威胁行为者通过未授权访问受影响防火墙的管理接口来更改配置，并使用DCSync提取凭证。 目前尚不清楚确切的初始访问向量，但鉴于受影响组织和固件版本的“压缩时间线”，已“高度确信”这很可能是利用零日漏洞所致。 受影响设备的固件版本介于2024年2月和10月发布的7.0.14和7.0.16之间。 该行动已观察到从2024年11月16日左右开始的四个不同攻击阶段，允许攻击者从漏洞扫描和侦察进展到配置更改和横向移动。 “与合法防火墙活动相比，这些活动的突出之处在于，它们广泛使用了来自少数不寻常IP地址的jsconsole接口。”Arctic Wolf研究人员表示。 “鉴于入侵之间的手法和基础设施存在细微差异，可能有多个人或团体参与了此次行动，但jsconsole的使用是贯穿始终的共同线索。” 简而言之，这些数字入侵涉及攻击者登录防火墙管理接口以进行配置更改，包括将输出设置从“标准”更改为“更多”，作为早期侦察工作的一部分，然后在2024年12月初进行更广泛的更改，创建新的超级管理员账户。 据说这些新创建的超级管理员账户随后被用来为每台设备设置多达六个新的本地用户账户，并将它们添加到受害者组织先前为SSL VPN访问创建的现有组中。在其他事件中，现有账户被劫持并添加到具有VPN访问权限的组中。 “还观察到威胁行为者创建新的SSL VPN门户，并直接向其中添加用户账户。”Arctic Wolf指出。“在进行必要更改后，威胁行为者与受影响设备建立了SSL VPN隧道。所有隧道的客户端IP地址均来自少数几家VPS托管提供商。” 该行动以对手利用SSL VPN访问权限，通过称为DCSync的技术提取凭证以进行横向移动告终。不过，目前尚无法了解他们的最终目标，因为他们在攻击进入下一阶段之前就被清除了。 为缓解此类风险，至关重要的是，组织不要将防火墙管理接口暴露在互联网上，并限制对可信用户的访问。 网络安全 “此次行动中的受害者并不局限于任何特定行业或组织规模。”该公司表示。“受害者组织概况的多样性，加上自动化登录/注销事件的出现，表明此次行动的针对性是机会主义的，而非有意识、有方法地针对。” Fortinet确认新零日漏洞 Fortinet已发布有关FortiOS和FortiProxy中新的关键认证绕过漏洞的详细信息（CVE-2024-55591，CVSS评分：9.6），该公司表示该漏洞被用来劫持防火墙和入侵企业网络。 “一个认证绕过使用替代路径或通道的漏洞[CWE-288]，影响FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。”该公司在2025年1月14日发布的咨询中表示。 该缺陷影响以下版本： FortiOS 7.0.0至7.0.16（升级至7.0.17或更高版本） FortiProxy 7.0.0至7.0.19（升级至7.0.20或更高版本），以及 FortiProxy 7.2.0至7.2.12（升级至7.2.13或更高版本） 它还表示，该漏洞已被未知威胁行为者利用来创建管理员和本地用户账户、设置新的用户组或把新创建的本地用户添加到现有SSL VPN用户组，并更改防火墙策略，这与Arctic Wolf的发现相呼应。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据区块链分析公司Elliptic发布的数据，基于Telegram的在线市场HuiOne Guarantee（汇旺担保）及其供应商已累计收到至少240亿美元的加密货币，超越了已消亡的Hydra，成为有史以来最大的在线非法市场。 自2024年7月以来，该市场的月度流入量增长了51%。 HuiOne Group旗下的HuiOne Guarantee去年年中备受瞩目，因其被曝为网络诈骗分子的中心，宣传洗钱服务、出售被盗数据，甚至提供电击镣铐，用于对付以高薪工作为诱饵被骗入诈骗窝点从事恋爱诈骗的人。此事导致加密货币公司Tether冻结了与该市场相关的2962万美元稳定币。 HuiOne Guarantee成立于2021年，表面上是为了促进汽车和房地产的销售，但据说与柬埔寨执政的洪氏家族有着密切联系。据联合国毒品和犯罪问题办公室（UNODC）发布的一份报告，该平台拥有82万多用户。 Elliptic在与The Hacker News分享的一份新报告中表示：“该市场似乎是助长跨国有组织犯罪团伙对全球受害者实施诈骗的关键推手。” 自HuiOne Group的子公司HuiOne Guarantee和HuiOne Pay被公开曝光后，中文市场已与其母公司保持距离，并更名为Haowang Guarantee。 值得注意的是，2023年6月至2024年2月期间，HuiOne Pay被确认从朝鲜黑客组织Lazarus使用的匿名钱包中收到了超过15万美元的加密货币。该钱包曾被用于存放2023年6月和7月从三家加密货币公司窃取的数字资产。 此前声称对平台上宣传的商品和服务不承担任何责任的HuiOne Guarantee也已介入，阻止包括人口贩卖、枪支和恐怖主义相关交易在内的某些类型商业活动。 然而，Elliptic的分析显示，该市场仍在持续增长，现金流入量已超过240亿美元。仅在2024年第四季度，HuiOne Guarantee及其供应商使用的钱包收到的加密货币价值就超过了40亿美元。相比之下，Hydra市场在其长达六年的运营期间总共收到的加密货币约为52亿美元。 Elliptic表示：“此外，近60亿美元的加密货币通过HuiOne Guarantee上主要用于网络赌博的Telegram机器人流通。对通过该平台下注的初步分析表明，其中大部分可能构成洗钱行为。” Elliptic的调查还发现，HuiOne Pay是众多提供恋爱诈骗洗钱服务的供应商之一。该公司识别的另一家供应商声称在柬埔寨柴桢省的金福科技园区运营，该园区是一个与网络诈骗相关的诈骗窝点。 近几个月来，HuiOne Group还推出了一系列加密相关产品，包括一种名为USDH的与美元挂钩的稳定币、一个允许用户将USDH兑换为其他加密货币的去中心化加密货币交易所，以及一款名为ChatMe的适用于Android和iOS的通讯应用。 Elliptic联合创始人兼首席科学家Tom Robinson在一份声明中表示：“这似乎是HuiOne试图降低被Tether或Telegram等平台下架风险的一种尝试。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，谷歌“使用谷歌账号登录”认证流程中存在一个“缺陷”，攻击者可利用域名所有权的特殊之处获取敏感数据。 周一的报告中，Truffle Security联合创始人兼首席执行官Dylan Ayrey表示：“谷歌的OAuth登录机制无法防止攻击者购买已倒闭创业公司的域名，并利用其重新创建前员工的电子邮件账户。” “虽然无法访问旧电子邮件数据，但可以使用这些账户登录该组织使用的所有不同SaaS产品。” 这家总部位于旧金山的公司指出，仅仅通过购买与已倒闭创业公司相关的废弃域名，即可未经授权访问与OpenAI ChatGPT、Slack、Notion、Zoom甚至HR系统等各种应用程序相关的前员工账户，从而使数百万美国用户的数据面临风险。 Ayrey说：“最敏感的账户包括HR系统，其中含有税务文件、工资单、保险信息、社会保险号码等更多信息。面试平台也包含有关候选人反馈、录用和拒绝的敏感信息。” OAuth（开放授权）是一种用于访问委托的开放标准，允许用户授予网站或应用程序访问其在其他网站上信息的权限，而无需提供密码。这是通过使用访问令牌来验证用户身份并允许服务访问令牌所指定的资源来实现的。 当使用“使用谷歌账号登录”登录Slack等应用程序时，谷歌会向该服务发送一组关于用户的声明，包括其电子邮件地址和托管域名，然后可利用这些信息登录用户账户。 这也意味着，如果服务仅依赖这些信息对用户进行身份验证，那么域名所有权变更就可能让攻击者重新访问前员工账户。 Truffle还指出，谷歌的OAuth ID令牌包含一个唯一的用户标识符（sub声明），理论上可以防止这个问题，但已被发现不可靠。值得注意的是，微软的Entra ID令牌包含sub或oid声明，用于存储每个用户的不可变值。 谷歌最初对漏洞披露的回应称这是预期行为，但自2024年12月19日起重新打开了漏洞报告，并向Ayrey颁发了1337美元的奖金。谷歌还将此问题定性为“具有重大影响的滥用相关方法”。 与此同时，下游软件提供商无法采取任何措施来保护其免受谷歌OAuth实现中的漏洞影响。The Hacker News已联系谷歌以获取进一步评论，如有回复，我们将更新报道。 Ayrey说：“作为个人，一旦你从创业公司离职，你就失去了保护这些账户中数据的能力，你的数据将受到创业公司及域名未来命运的摆布。如果用户和工作区没有不可变标识符，域名所有权变更将继续危及账户安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Microsoft曝光了一个已修复的Apple macOS安全漏洞。该漏洞若被成功利用，可使以“root”身份运行的攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。 该漏洞为CVE-2024-44243（CVSS评分：5.5），属于中等严重程度，苹果已在上月发布的macOS Sequoia 15.2中进行了修复。苹果公司将此描述为一个“配置问题”，可能允许恶意应用修改文件系统的受保护部分。 Microsoft威胁情报团队的Jonathan Bar Or表示：“绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）以及扩大攻击面和利用其他技术的可能性。” SIP（也称为无根模式）是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，包括/System、/usr、/bin、/sbin、/var以及设备上预安装的应用程序。 它通过针对root用户账户执行各种保护来实现其功能，仅允许由苹果签名并具有写入系统文件的特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护的部分。 SIP特有的两项权限如下： com.apple.rootless.install：此权限可解除SIP对具有该权限的进程的文件系统限制。 com.apple.rootless.install.heritable：此权限通过继承com.apple.rootless.install权限，可解除SIP对进程及其所有子进程的文件系统限制。 CVE-2024-44243是Microsoft在macOS中发现的最新SIP绕过漏洞，此前发现的类似漏洞包括CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储套件守护进程（storagekitd）的“com.apple.rootless.install.heritable”权限来绕过SIP保护。 具体而言，这是通过利用“storagekitd在无需适当验证或降低权限的情况下调用任意进程的能力”来实现的，可将新的文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件，这些二进制文件可在执行某些操作（如磁盘修复）时被触发。 Bar Or表示：“由于能够以root身份运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。” 此次披露距Microsoft曝光Apple macOS透明度、同意和控制（TCC）框架中的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5），即HM Surf漏洞，已近三个月，该漏洞可能被利用来访问敏感数据。 Bar Or表示：“禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，且由于监控可见性降低，威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非营利性献血机构OneBlood证实，去年夏天的一次勒索软件攻击中，捐赠者的个人信息被盗。 OneBlood于2024年7月31日首次向公众通报此次攻击，指出勒索软件攻击者对其虚拟机进行了加密，迫使这家医疗机构回退到使用手动流程。 OneBlood为美国250多家医院提供血液，此次攻击导致血液采集、检测和分发工作延误，一些诊所启动了“严重血液短缺”预案。 当时，这家非营利机构紧急呼吁民众捐赠O型阳性、O型阴性和血小板，这些血型普遍适用，可用于紧急输血。 上周，OneBlood开始向受影响的个人发送数据泄露通知，告知他们针对此事件的调查已于2024年12月12日完成，并确定泄露的确切日期为2024年7月14日。 威胁者在OneBlood发现泄露后的一天，即7月29日之前，一直可以访问其网络。 “我们的调查显示，2024年7月14日至7月29日期间，我们的网络中某些文件和文件夹被未经授权地复制。”OneBlood的数据泄露通知中写道。 “调查确定，您的姓名和社保号码包含在相关文件和文件夹中。”同一份文件指出。 虽然采血中心通常会收集更多信息，如电话号码、电子邮件和实体地址、人口统计数据和病史，但此次泄露的数据仅限于姓名和社保号码。 姓名和社保号码可能会被用于身份盗窃和金融欺诈，由于这些信息不易更改，相关风险将持续多年。 为减轻这一风险，OneBlood在信中附上了免费一年期信用监测服务的激活码，通知收件人需在2025年4月9日前使用。 此外，受影响个人应考虑对其账户进行信用冻结和欺诈警报设置，以防止遭受经济损失。 虽然OneBlood确实遵守了其最初承诺，即告知受影响个人可能存在的数据泄露风险，但六个月的延迟通知仍使这些人处于风险之中。 OneBlood在勒索软件攻击中受影响的人数尚未披露。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员发现，可能与俄罗斯有关联的威胁组织 APT28正在监视中亚国家外交实体，以收集该地区的经济和政治情报。 该组织被追踪为 UAC-0063，至少自 2021 年以来一直活跃，此前曾针对乌克兰、以色列、印度以及哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等多个中亚国家的外交、非营利、学术、能源和国防实体进行攻击。 在对7 月份针对乌克兰科研机构的攻击进行分析时，乌克兰计算机应急反应小组 (CERT-UA) 认为 UAC-0063 与 APT28（又名 Fancy Bear 或 BlueDelta）有“中等信心”关联，后者与俄罗斯军事情报机构 (GRU) 有关联。 网络安全公司 Sekoia发现并于周一在一份报告中描述了正在进行的网络间谍活动，黑客使用合法文件（例如信函、草稿文件或内部行政记录）向受害者发送恶意软件，这些文件可能来自哈萨克斯坦外交部。 他们如何获得这些文件尚不清楚，但研究人员表示，这些文件可能是在早先的网络行动中被泄露的，或通过开源收集获得的，或通过物理操作获得的。 Sekoia发现了近二十份这样的文件，日期从 2021 年到 2024 年 10 月。其中大部分涉及哈萨克斯坦与其他国家之间的外交合作和经济问题。 这些恶意文件包含两种已知的恶意软件，Cherryspy 和 Hatvibe，这两种恶意软件都曾用于针对亚洲和乌克兰的网络间谍活动。Cherryspy 后门允许攻击者执行从命令和控制服务器收到的 Python 代码，而 Hatvibe 则可以在受感染的设备上下载和执行其他文件。 研究人员表示，尽管该组织在这次活动中使用了熟悉的工具，但感染链“非常独特”，并强调其专注于绕过安全解决方案。 研究人员认为，此次活动是针对中亚国家，特别是哈萨克斯坦外交关系的更大规模全球网络间谍行动的一部分。 他们表示：“此次攻击活动的目的可能是收集哈萨克斯坦与西亚、中亚国家关系的战略和经济情报。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/V7z5IYda7TOTQgLtpN2oEA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 威胁行为者正在分发伪装成针对近期Windows LDAP漏洞的概念验证（PoC）利用代码的信息窃取恶意软件。 该安全缺陷被追踪为CVE-2024-49113（CVSS评分7.5），可导致拒绝服务（DoS）攻击，并于12月10日与其他70多个漏洞（包括可能导致远程代码执行（RCE）的关键LDAP漏洞CVE-2024-49112）一同得到修复。 在针对这两个问题的补丁发布不到一个月后，SafeBreach发布了针对CVE-2024-49113的PoC代码，并称其重要性不亚于RCE漏洞。 SafeBreach将CVE-2024-49113称为“LDAP噩梦”，指出如果存在可访问互联网的DNS服务器，该漏洞可被利用来崩溃任何未打补丁的Windows服务器，即使这些服务器不是域控制器。 现在，趋势科技警告称，一款伪造的PoC利用代码诱使安全研究人员在其系统上执行信息窃取恶意软件。 “尽管使用PoC诱饵作为恶意软件传播手段的策略并非新鲜事，但此次攻击仍引发重大担忧，尤其是它利用了可能影响更多受害者的热门问题，”趋势科技指出。 该PoC通过从原始仓库分叉的仓库进行分发，并将原始Python文件替换为使用UPX打包的可执行文件。 执行后，伪造的PoC会在系统的临时文件夹中释放一个PowerShell脚本。该脚本创建一个计划任务，执行一个编码后的脚本，该脚本旨在从Pastebin下载另一个脚本。 第二个脚本收集系统信息，如进程列表、目录列表、IP地址、网络适配器信息和已安装更新，将其压缩成ZIP归档文件，并上传到外部FTP服务器。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密（SSE-C）功能加密S3存储桶，只有威胁行为者才知道解密密钥，并要求支付赎金以获取该密钥。 这一活动由Halcyon发现，据其报告，名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而，该行动可能会升级，或者很快会有更多威胁行为者采用这一战术。 亚马逊简单存储服务（S3）是亚马逊云服务（AWS）提供的一种可扩展、安全且高速的对象存储服务，而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。 SSE-C是一种加密选项，用于确保S3静态数据的安全，允许客户使用自己的加密密钥，通过AES-256算法对数据进行加密和解密。AWS不存储该密钥，客户负责生成、管理和保护密钥。 在Codefinger的攻击中，威胁行为者使用被破解的AWS凭证，利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥，定位到S3存储桶中的对象进行SSE-C加密。 然后，攻击者在本地生成一个加密密钥，对目标数据进行加密。 由于AWS不存储这些加密密钥，因此即使受害者向亚马逊报告了未经授权的活动，也无法在没有攻击者密钥的情况下恢复数据。 Halcyon解释道：“通过利用AWS原生服务，他们在不合作的情况下实现了既安全又无法恢复数据的加密。” 接下来，攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略，并在所有受影响的目录中放置了勒索信，指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。 勒索信还警告受害者，如果他们尝试更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，使受害者无法恢复其数据。 Halcyon已将其发现报告给亚马逊，云服务提供商表示，他们会尽力及时通知密钥已泄露的客户，以便他们立即采取行动。 亚马逊还鼓励人们实施严格的安全协议，并按照以下步骤快速解决未经授权的AWS账户活动问题。 Halcyon还建议AWS客户设置限制性策略，以防止在其S3存储桶中使用SSE-C。 关于AWS密钥，应禁用未使用的密钥，频繁轮换活跃的密钥，并将账户权限保持在所需的最低级别。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 《流放之路2》开发团队证实，一名黑客通过破解的管理员账号修改了密码，并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来，《流放之路2》（PoE 2）玩家账号频繁被盗的原因。 被攻破的管理员账号使黑客能够更改其他玩家账号的密码，导致许多玩家的游戏内购买物品丢失，包括他们耗费数百小时才获得的珍贵物品。 然而，由于日志保留的时间限制，目前无法确定此次事件波及的确切范围，这意味着可能有更多账号在此次攻击中失窃。 《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏，是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。 尽管目前仍处于抢先体验阶段，但这款游戏在Steam上好评如潮，已经形成了一个由数万名玩家组成的忠实社区，还有更多玩家翘首以盼其正式发行。 《流放之路2》的玩家在游戏论坛上报告称，近期出现了一波账号被盗事件。他们发现，无论是Steam账号还是独立的PoE账号，在未被触发双重身份验证代码请求的情况下就被攻破了。 这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时，发现黑客已经盗走了他们所有的游戏内物品，包括珍贵的神圣宝珠和终极装备。 据受害玩家在论坛上的帖子称，PoE客服告诉他们，无法回滚账号或恢复被盗物品，因此损失无法挽回。 通过旧Steam账号被盗取的管理员权限 据404 Media首次报道，昨日，《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认，此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的，该账号已被攻破。 黑客利用部分信息，如信用卡的最后四位数字，说服Steam客服重置凭据并控制了该账号。 这使得黑客能够访问《流放之路2》的管理员账号，并进一步访问其他玩家的账号。 虽然开发团队尚未确认，但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图，据称该面板被用于修改玩家的密码。 更糟糕的是，当《流放之路2》的账号密码被更改时，它会被记录为一个可编辑的备注，而不是作为一个不可编辑的审计条目进行记录。 “实际上，存在一个漏洞，即将新密码设置为账号的事件被错误地标记为备注，而不是像审计事件那样。”罗杰斯在采访中说道。 “这意味着备注是客户服务人员可以添加到玩家账号上的内容，他们可以编辑和删除它们。因此，将密码更改标记为备注可能会被客户服务人员意外删除，而不是以任何人都无法更改的方式永久保留。” “因此，这实际上意味着，那些成功获取账号的人，他们是通过发送一个随机密码来攻击账号，然后在之后删除该备注。” 虽然开发团队正在分析日志以查找受影响的账号，但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间，一些日志被删除。 “实际上，去年11月有五天我们没有日志，之后有66个账号的备注被删除，”罗杰斯继续说道。 开发团队承认游戏后端存在错误和安全漏洞，这些漏洞本可预防此次攻击。他们表示：“我们这次彻底搞砸了。” Grinding Gear Games向玩家保证，事件发生后，已经采取了多项安全措施，包括取消将Steam账号与管理员账号关联的功能。 然而，对于那些受影响的账号，Grinding Gear Games并未宣布任何补偿计划，而是表示无法恢复被盗物品。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA已将BeyondTrust特权远程访问（PRA）和远程支持（RS）产品中的命令注入漏洞（CVE-2024-12686）标记为正在被攻击利用。 根据《强制性操作指令》（BOD）22-01的要求，该漏洞被纳入CISA的“已知被利用漏洞”目录后，美国联邦机构必须在2月3日前的三周内，针对该漏洞发起的持续攻击，确保其网络安全。 12月19日，美国网络安全机构还在同一款BeyondTrust软件产品中发现了另一个关键的命令注入安全漏洞（CVE-2024-12356）。 BeyondTrust在12月初调查其部分远程支持SaaS实例遭入侵事件时发现了这两个漏洞。攻击者窃取了一个API密钥，随后使用该密钥重置了本地应用账户的密码。 虽然BeyondTrust在12月的披露中并未明确提及，但威胁行为者很可能利用这两个漏洞作为零日漏洞，入侵BeyondTrust系统，进而攻击其客户。 1月初，财政部披露，攻击者使用窃取的远程支持SaaS API密钥，入侵了该部门使用的BeyondTrust实例。 此后，此次攻击被指与中国国家支持的黑客组织“丝绸台风”有关。该网络间谍组织以侦察和数据盗窃攻击而闻名，曾在2021年初利用Microsoft Exchange Server ProxyLogon零日漏洞入侵约68,500台服务器后广为人知。 威胁行为者专门瞄准了负责管理和执行贸易与经济制裁项目的外国资产控制办公室（OFAC），以及审查外国投资是否存在国家安全风险的美国外国投资委员会（CFIUS）。 他们还入侵了财政部的金融研究办公室系统，但此次事件的影响仍在评估中。据信，“丝绸台风”利用窃取的BeyondTrust数字密钥访问了“与潜在制裁行动和其他文件相关的非机密信息”。 BeyondTrust表示，它已对所有云实例中的CVE-2024-12686和CVE-2024-12356漏洞应用了安全补丁。但是，运行自托管实例的用户必须手动部署补丁。 该公司尚未在上个月发布的安全公告中将这两个安全漏洞标记为正在被攻击利用。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过控制被遗弃和过期的域名基础设施（每个域名仅需20美元），网络犯罪分子已劫持了此前由不同威胁行为者部署的至少4000个独特的网络后门。 网络安全公司WatchTowr Labs表示，其通过注册40多个后门原本用于命令与控制（C2）的域名，成功实施了此次行动。在与Shadowserver Foundation合作下，研究中涉及的域名已被封锁。 WatchTowr Labs首席执行官Benjamin Harris和研究人员Aliz Hammond在上周的技术报告中表示：“我们劫持了那些依赖现已被遗弃的基础设施和/或过期域名的后门，这些后门原本存在于其他后门之中，此后我们一直在观察结果如潮水般涌入。” “这次劫持使我们能够追踪受感染的主机在‘报告’时的动向，并在理论上使我们有权接管和控制这些受感染的主机。” 通过信标活动识别的受感染目标包括孟加拉国、中国和尼日利亚的政府机构，以及中国、韩国和泰国等地的学术机构。 这些后门其实是网络外壳，旨在为目标网络提供持续的远程访问，以便进行后续利用，其范围和功能各不相同： 能够通过PHP代码执行攻击者提供的命令的简单网络外壳 c99shell r57shell China Chopper，一种由中国关联的高级持续性威胁（APT）组织广泛共享的网络外壳 c99shell和r57shell都是功能全面的网络外壳，能够执行任意代码或命令、执行文件操作、部署额外的有效载荷、暴力破解FTP服务器，并从受感染的主机上自行删除。 WatchTowr Labs表示，其观察到一些网络外壳被脚本维护人员植入后门，以泄露其部署位置，从而无意中也将控制权交给了其他威胁行为者。 此次发现发生在该公司揭示其仅花费20美元便收购了一个与.mobi顶级域名（TLD）相关的旧版WHOIS服务器域名（“whois.dotmobiregistry[.]net”）之后几个月。该域名帮助识别出超过135000个独特系统，这些系统即使在迁移到“whois.nic[.]mobi”后仍与该服务器保持通信。 这些系统包括VirusTotal等各种私营企业，以及无数政府、军事和大学实体的邮件服务器。其中，.gov地址来自阿根廷、孟加拉国、不丹、埃塞俄比亚、印度、印度尼西亚、以色列、巴基斯坦、菲律宾、乌克兰和美国。 WatchTowr Labs表示：“看到攻击者和防御者犯同样的错误，这多少有些令人鼓舞。人们很容易陷入攻击者从不犯错的思维定式，但我们看到了相反的证据——存在开放网络外壳、过期域名和使用已被植入后门的软件的计算机。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的隐蔽信用卡盗刷攻击活动正瞄准WordPress电子商务结账页面，通过向与内容管理系统（CMS）相关的数据库表中插入恶意JavaScript代码来实施攻击。 Sucuri研究人员Puja Srivastava在新的分析中指出：“这款针对WordPress网站的信用卡盗刷恶意软件会悄无声息地将恶意JavaScript注入数据库条目中，以窃取敏感的支付信息。” “该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。” 这家由GoDaddy拥有的网站安全公司表示，它发现恶意软件被嵌入到WordPress的wp_options表中，该表具有“widget_block”选项，从而使其能够躲避扫描工具的检测，并在被攻陷的网站上持续存在而不引起注意。 通过这种方式，恶意JavaScript被插入到WordPress管理面板（wp-admin > widgets）中的HTML区块小部件中。 JavaScript代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才采取行动。此时，它会动态创建一个虚假的支付屏幕，模仿Stripe等合法的支付处理器。 该表单旨在捕获用户的信用卡号码、有效期、CVV号码和账单信息。此外，该恶意脚本还能够实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。 随后，被盗数据会经过Base64编码并结合AES-CBC加密，以使其看起来无害并抵抗分析尝试。在最终阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz”或“fqbe23[.]xyz”）。 这一发现是在Sucuri突出类似攻击活动一个多月后出现的，该活动利用JavaScript恶意软件动态创建虚假的信用卡表单或提取结账页面上支付字段中输入的数据。 收集到的信息在被传输到远程服务器（“staticfonts[.]com”）之前，会经过三层混淆：首先将其编码为JSON，然后使用密钥“script”进行XOR加密，最后使用Base64编码。 Srivastava指出：“该脚本旨在从结账页面上特定的字段中提取敏感的信用卡信息。然后，该恶意软件通过Magento的API收集额外的用户数据，包括用户的姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型检索的。” 此次披露还紧随一起以金钱为目的的网络钓鱼邮件活动的发现，该活动诱骗收件人点击伪装成近2200美元未支付请求下的PayPal登录页面。 Fortinet FortiGuard Labs的Carl Windsor表示：“骗子似乎只是注册了一个为期三个月免费的Microsoft 365测试域名，然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com）。在PayPal网页门户上，他们只是请求资金，并将分发列表作为地址添加。” 该活动之所以狡猾，是因为邮件来自合法的PayPal地址（service@paypal.com），并包含真实的登录网址，这使得邮件能够绕过安全工具的检测。 更糟糕的是，一旦受害者尝试登录他们的PayPal账户了解支付请求，他们的账户就会自动与分发列表的电子邮件地址关联，从而使威胁行为者能够控制该账户。 近几周来，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者的钱包中窃取加密货币。 Scam Sniffer表示：“现代Web3钱包将交易模拟作为用户友好的功能纳入其中。此功能允许用户在签署交易之前预览其预期结果。虽然旨在提高透明度和用户体验，但攻击者已找到利用此机制的方法。” WordPress信用卡盗刷软件 感染链涉及利用交易模拟和执行之间的时间差，使攻击者能够设置模仿去中心化应用（DApps）的虚假网站，以执行欺诈性的钱包资金耗尽攻击。 Web3反诈骗解决方案提供商表示：“这一新的攻击手段代表了网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的安全功能的可信钱包。这种复杂的方法使检测变得特别具有挑战性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Aviatrix Controller云网络平台的一个关键安全漏洞被公开，该漏洞已在野外被积极利用，以部署后门程序和加密货币挖矿软件。 云安全公司Wiz表示，目前正在应对多起涉及CVE-2024-50603（CVSS评分：10.0）武器化的事件，这是一个可能导致未经授权的远程代码执行的最严重漏洞。 换言之，由于某些API端点没有充分对用户输入进行清理，成功利用该漏洞的攻击者可以注入恶意操作系统命令。该漏洞已在7.1.4191和7.2.4996版本中得到修复。 波兰网络安全公司Securing的安全研究员Jakub Korepta发现并报告了这一缺陷，并因此受到赞誉。此后，一个概念验证（PoC）漏洞利用工具已被公开。 网络安全公司收集的数据显示，约3%的云企业环境部署了Aviatrix Controller，其中65%的环境展示了横向移动到云控制平面管理权限的路径。这反过来又允许在云环境中进行权限提升。 Wiz研究人员Gal Nagli、Merav Bar、Gili Tikochinski和Shaked Tanchuma表示：“当Aviatrix Controller部署在AWS云环境中时，它默认允许权限提升，这使得该漏洞的利用成为高风险。” 利用CVE-2024-50603的现实攻击正在利用对目标实例的初步访问，使用XMRig挖掘加密货币，并部署Sliver指挥和控制（C2）框架，可能是为了持久性和后续利用。 Wiz研究人员表示：“虽然我们尚未看到云横向移动的直接证据，但我们确实认为，威胁行为者很可能正在利用该漏洞来枚举主机的云权限，然后转向从受害者的云环境中提取数据。” 鉴于该漏洞正在被积极利用，建议用户尽快应用补丁，并阻止对Aviatrix Controller的公共访问。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亲俄黑客Noname057(16)上周末针对意大利各部委、机构、关键基础设施网站和私人组织发动攻击。新一轮攻击恰逢乌克兰总统泽连斯基访问意大利。 该组织在其 Telegram 频道上宣布对此次攻击负责。 1 月 11 日星期六，攻击针对了意大利各部委和政府机构，而周日，新一波 DDoS 攻击袭击了意大利银行和私营企业。 黑客活动分子发起的攻击在威胁领域并不是什么新鲜事，并且会造成一些破坏和暂时的服务中断。 国家网络安全局 (ACN) 的专家为受影响的组织提供支持，减轻攻击并恢复功能。 目标名单很长，包括外交部、基础设施和交通部、意大利金融市场监管机构 Consob、空军、海军、宪兵队和当地公共交通公司，包括罗马的 Atac 和热那亚的 Amt。 Noname057(16) 黑客还攻击了意大利银行，包括 Intesa、Monte Paschi di Siena 以及意大利塔兰托和的里雅斯特港口。亲俄黑客还针对私人组织，包括 Vulcanair 和 Olidata。 12 月底，在地缘政治紧张局势加剧的背景下，亲俄组织 NoName057 对意大利的几家网站发起了新一轮 DDoS 攻击，其中包括马尔彭萨机场和利纳特机场。 NoName57 组织自 2022 年 3 月以来一直活跃，并以全球政府和关键基础设施组织为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ipCD7Z-4hPdf7PBBMiEiDA 封面来源于网络，如有侵权请联系删除

印度加密货币交易所 Mudrex 因合规性更新而停止提款至 1 月 28 日，引发了用户的反弹和社区的怀疑。 印度加密货币交易所 Mudrex 暂时停止了加密货币提现，引发了加密货币社区的反弹。 1 月 11 日，Mudrex 暂停了其平台上的加密货币提现，让用户对这一突然决定感到不解。 该公司告诉 Cointelegraph，暂停是暂时的，将持续到 1 月 28 日，目的是升级平台的合规框架，防止不良行为者滥用。 当被问及暂停运营以进行合规升级的必要性时，Mudrex 的联合创始人兼首席执行官 Edul Patel 说： 他说：“像加密货币这样重要的东西，你必须这样做。如果基础设施不正确，就很容易被滥用于邪恶活动。作为一个负责任的平台，我们需要确保我们的系统到位，并在各个时间点改进服务。” 值得注意的是，Mudrex 是印度少数几家允许加密货币提现的加密货币交易所之一。 “过去三年半以来，我们是印度唯一一家允许加密货币提现的公司，我们将继续坚持这一点。”帕特尔说。 社区反弹 在加密货币交易商 Vivan Live 在 X 上发帖，警告 Mudrex 用户立即撤回资金后，这一问题获得了关注。 Vivan 在帖子中写道： “恭喜！Mudrex 禁用了加密货币提款功能！别说我没告诉你！如果你还没把钱取出来，把它兑换成印度卢比–提现到你的银行，然后跑吧！” 另一位社区成员 Aakash Athawasya 对该交易所的意图表示怀疑，认为 Mudrex “本来就没有（加密货币提现）”，并指责它提供的是 “价格曝光，而不是所有权”。他说，“十英尺长的杆子 ”他都不会碰 Mudrex。 资料来源 Aakash Athawasya Mudrex 报告称，其用户数量每年增长 200%，达到 300 万，12 月份的交易量激增 20 倍，达到 2 亿美元。 印度面临着越来越严格的监管审查，这已经导致 Bybit 等交易所暂停了在该国的业务。Bybit宣布，从1月12日起，它将限制服务，包括加密货币交易、开户和下单，理由是不断变化的监管动态是其暂时退出印度市场的原因。 CoinDCX 推出加密货币提现服务 印度加密货币交易所 CoinDCX 为其用户推出了加密货币提现功能。 1 月 6 日，CoinDCX 首席执行官苏米特-古普塔（Sumit Gupta）在 X 上宣布，第一阶段将向 150 万用户推出该功能，并计划在后续阶段扩大该功能。 不过，选择加密货币取款的用户将不得不永久关闭其印度卢比存款功能，但卢比取款仍可继续使用。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303436 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络犯罪分子正采用一种名为“交易模拟欺诈”的新手段窃取加密货币，其中一起攻击成功盗取了价值约46万美元的143.45枚以太坊。 此次由ScamSniffer发现的攻击，凸显了现代Web3钱包中交易模拟机制存在的漏洞，该机制本应用于保护用户免受欺诈和恶意交易侵害。 攻击原理 交易模拟功能允许用户在签署和执行区块链交易前预览预期结果。 该功能旨在通过帮助用户验证交易内容（如转账的加密货币数量、燃气费及其他交易费用以及链上数据变化等）来增强安全性和透明度。 攻击者诱导受害者访问一个模仿合法平台的恶意网站，该网站启动了一个看似“领取”功能的操作。交易模拟显示用户将获得少量以太坊。 然而，模拟与执行之间存在时间延迟，攻击者利用这一时间差更改链上合约状态，从而在交易获得批准后改变其实际执行内容。 受害者信任钱包的交易模拟结果并签署了交易，导致网站将其钱包中的所有加密货币转至攻击者钱包。 攻击流程 ScamSniffer指出一起真实案例，受害者在状态更改后30秒签署了欺诈交易，导致资产（143.35枚以太坊）全部损失。 ScamSniffer警告称：“这种新的攻击方式标志着网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的受信任钱包功能。这种复杂手段使得检测尤为困难。” 初始模拟（上）与篡改后的交易（下） 区块链监测平台建议，Web3钱包应降低模拟刷新频率以匹配区块链区块时间，在关键操作前强制刷新模拟结果，并添加过期警告以提醒用户风险。 从用户角度来看，这一新型攻击表明不应信任钱包模拟。 加密货币持有者应谨慎对待不明网站上的“免费领取”优惠，并仅信任经过验证的去中心化应用（dApps）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正利用一种手段，关闭苹果iMessage针对短信的内置防钓鱼保护机制，并诱骗用户重新启用被禁用的钓鱼链接。 随着我们越来越多的日常活动，如支付账单、购物或与朋友和同事交流，都是通过移动设备完成的，威胁行为者针对手机号码的短信网络钓鱼（smishing）攻击日益增多。 为保护用户免受此类攻击，苹果iMessage会自动禁用来自未知发件人（无论是电子邮件地址还是电话号码）的消息中的链接。 然而，苹果向BleepingComputer透露，如果用户回复该消息或将发件人添加到联系人列表中，链接将被启用。 过去几个月，BleepingComputer发现，试图诱骗用户回复短信以重新启用链接的短信网络钓鱼攻击激增。 如下所示，一条假冒的美国邮政服务（USPS）运输问题短信和一条假冒的未支付道路通行费短信均由未知发件人发送，而iMessage自动禁用了这些链接。 含有禁用链接的短信网络钓鱼攻击（来源：BleepingComputer） 虽然这些钓鱼诱饵并非新鲜事物，但我们注意到，这些短信网络钓鱼文本以及最近发现的其他文本都要求用户回复“Y”以启用链接。 短信网络钓鱼消息中写道：“请回复Y，然后退出短信，重新打开短信激活链接，或将链接复制到Safari浏览器打开。” 进一步研究表明，这种策略在过去一年中已被使用，自夏季以来更是激增。 由于用户已习惯于输入STOP、Yes或NO来确认预约或选择不接收短信，威胁行为者希望这种熟悉的行为会促使短信接收者回复短信并启用链接。 这样做将重新启用链接，并关闭此短信的iMessage内置防钓鱼保护机制。 即使用户没有点击现在已启用的链接，回复的行为也告诉威胁行为者，他们现在有一个会对钓鱼短信作出回应的目标，从而使其成为更大的目标。 虽然我们的大多数常规读者都能识别出这些是钓鱼攻击，但BleepingComputer的一位年长的家庭朋友向我们展示了上述短信之一，他不确定其是否合法。 不幸的是，这类人通常是这类钓鱼短信的目标，导致他们输入个人信息、信用卡信息或其他攻击者随后会窃取的信息。 如果您收到链接被禁用或来自未知发件人要求您回复的短信，强烈建议您不要回复。 相反，请直接联系公司或组织以验证短信内容，并询问是否还有其他需要您做的事情。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一个新兴的人工智能（AI）辅助勒索软件家族——FunkSec，该家族于2024年末崭露头角，至今已造成85名以上受害者。 Check Point Research在与The Hacker News分享的最新报告中指出：“该团伙采用双重勒索战术，结合数据窃取与加密手段，向受害者施压以索取赎金。值得注意的是，FunkSec要求的赎金异常低廉，有时低至1万美元，并以折扣价将窃取的数据出售给第三方。” 2024年12月，FunkSec推出了数据泄露网站（DLS），以“集中化”其勒索软件运营，发布泄露公告，提供分布式拒绝服务（DDoS）攻击定制工具，并作为勒索软件即服务（RaaS）模式的一部分，推出定制勒索软件。 受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示，这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。 据Halcyon称，FunkSec的特点在于，它既是勒索软件团伙，又是数据掮客，以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。 已确定该RaaS团伙中的部分成员从事黑客活动，这凸显了黑客主义与网络犯罪之间界限的持续模糊，正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。 他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动保持一致，并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物： Scorpion（又名DesertStorm），一名疑似来自阿尔及利亚的参与者，曾在地下论坛如Breached Forum上宣传该团伙。 El_farado，在DesertStorm被Breached Forum封禁后，成为宣传FunkSec的主要人物。 XTN，一名可能的同伙，参与了一项尚不清楚的“数据分类”服务。 Blako，被DesertStorm与El_farado一同标记。 Bjorka，一名印尼知名黑客活动分子，其别名被用于在DarkForums上声称与FunkSec相关的泄露，这可能指向松散的隶属关系或他们试图冒充FunkSec。 该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具。 Check Point指出：“包括加密器在内的该团伙工具的开发可能得到了AI的辅助，这有助于他们快速迭代，尽管开发者显然缺乏技术专长。” 名为FunkSec V1.5的最新勒索软件版本用Rust编写，相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现，勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的，可能是开发者本人所为，这表明威胁行为者来自该国。 勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件，但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。 Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示：“2024年是勒索软件团伙非常成功的一年，与此同时，全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙，在12月成为最活跃的勒索软件团伙，模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使，FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌，尽管其活动的真正成功性仍高度可疑。” 与此同时，Forescout详细描述了Hunters International的一次攻击，该攻击可能利用Oracle WebLogic Server作为初始入口点，投放China Chopper web shell，然后用于执行一系列后利用活动，最终导致勒索软件的部署。 Forescout表示：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文