HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了来自 Sungrow、Growatt 和 SMA 三家太阳能逆变器供应商的 46 个新的安全漏洞。这些漏洞可能被恶意攻击者利用，以远程控制设备或执行代码，对电网安全构成严重威胁。 这些漏洞被 Forescout Vedere Labs 集体命名为 SUN:DOWN。研究人员指出，这些新漏洞可以被利用来在设备或供应商的云平台上执行任意命令、接管账户、入侵供应商的基础设施，或控制逆变器所有者的设备。 主要漏洞包括： 1. 远程代码执行：攻击者可以上传 `.aspx` 文件，这些文件将被 SMA 的 Web 服务器（sunnyportal[.]com）执行，从而实现远程代码执行。 2. 用户名枚举：未经身份验证的攻击者可以通过暴露的 `server.growatt.com/userCenter.do` 端点进行用户名枚举。 3. 设备接管：未经身份验证的攻击者可以通过 `server-api.growatt.com/newTwoEicAPI.do` 端点获取其他用户所属的电站列表和任意设备，从而实现设备接管。 4. 账户接管：未经身份验证的攻击者可以通过有效的用户名，利用 `server-api.growatt.com/newPlantAPI.do` 端点获取智能电表的序列号，从而实现账户接管。 5. 信息泄露和物理损坏：未经身份验证的攻击者可以通过 `evcharge.growatt.com/ocpp` 端点获取电动汽车充电器、能耗信息和其他敏感数据，还可以远程配置电动汽车充电器并获取固件相关信息，从而导致信息泄露和物理损坏。 6. Sungrow Android 应用安全问题：Sungrow 的 Android 应用使用不安全的 AES 密钥加密客户端数据，这使得攻击者可以拦截并解密移动应用与 iSolarCloud 之间的通信。 7. 中间人攻击：Sungrow 的 Android 应用明确忽略证书错误，容易受到中间人攻击。 8. 硬编码密码：Sungrow 的 WiNet WebUI 包含一个硬编码密码，可用于解密所有固件更新。 9. MQTT 消息处理漏洞：Sungrow 在处理 MQTT 消息时存在多个漏洞，可能导致远程代码执行或拒绝服务（DoS）状态。 Forescout 指出，如果攻击者利用这些新发现的漏洞控制大量 Sungrow、Growatt 和 SMA 逆变器，可能会对电网和其他主要电网造成不稳定。在针对 Growatt 逆变器的假设攻击场景中，攻击者可以通过暴露的 API 猜测真实账户用户名，通过将密码重置为默认的 “123456” 来劫持账户，并进行后续攻击。 更糟糕的是，被劫持的逆变器可以被控制成僵尸网络，放大攻击力度，对电网造成破坏，导致电网中断和潜在的停电。所有供应商在接到漏洞披露后，均已解决了这些问题。 Forescout 强调，缓解这些风险需要在采购太阳能设备时严格执行安全要求，定期进行风险评估，并确保对这些设备的网络进行全面监控。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员成功入侵了一个名为 BlackLock 的勒索软件团伙的在线基础设施，揭露了该团伙的作案手法和关键信息。 Resecurity 表示，他们发现 BlackLock 犯罪团伙运营的数据泄露网站（DLS）存在一个安全漏洞，这使得研究人员能够提取配置文件、凭证以及服务器上执行的命令历史记录。 该公司称，该漏洞涉及 BlackLock 勒索软件的数据泄露网站（DLS）的 “某种配置错误”，导致与他们通过 Tor 隐藏服务（托管它们）的网络基础设施相关的明网 IP 地址被泄露，以及额外的服务信息。 研究人员将获取的命令历史记录描述为 BlackLock 勒索软件最大的操作安全（OPSEC）失误之一。 BlackLock 是另一个名为 Eldorado 的勒索软件团伙的改版。自 2025 年以来，它已成为最活跃的勒索团伙之一，主要针对科技、制造、建筑、金融和零售行业。截至上个月，该团伙已在网站上列出了 46 个受害者，这些受影响的组织位于阿根廷、阿鲁巴、巴西、加拿大、刚果（布）、克罗地亚、秘鲁、法国、意大利、荷兰、西班牙、阿联酋、英国和美国。 该团伙于 2025 年 1 月中旬宣布推出一个地下附属网络，并被观察到积极招募 “流量引导者”（traffers），以协助攻击的早期阶段，通过将受害者引导至部署恶意软件的恶意页面，这些恶意软件能够建立对受损系统的初始访问。 Resecurity 发现的漏洞是一个本地文件包含（LFI）漏洞，本质上是通过路径遍历攻击欺骗 Web 服务器泄露敏感信息，包括操作员在泄露网站上执行的命令历史记录。 一些值得注意的发现如下： – 使用 Rclone 将数据泄露到 MEGA 云存储服务中，在某些情况下甚至直接在受害者系统上安装 MEGA 客户端。 – 威胁行为者至少在 MEGA 上创建了八个账户，使用通过 YOPmail 创建的一次性电子邮件地址（例如，“zubinnecrouzo-6860@yopmail.com”）来存储受害者数据。 – 对勒索软件的逆向工程发现，其源代码和勒索信与另一种名为 DragonForce 的勒索软件存在相似之处，后者曾针对沙特阿拉伯的组织发动攻击（尽管 DragonForce 使用 Visual C++ 编写，而 BlackLock 使用 Go 语言）。 – BlackLock 的主要运营者之一 “$$$” 于 2025 年 3 月 11 日启动了一个名为 Mamona 的短期勒索软件项目。 在令人意外的转折中，BlackLock 的数据泄露网站于 2025 年 3 月 20 日被 DragonForce 篡改——很可能是通过利用相同的 LFI 漏洞（或类似漏洞）——其配置文件和内部聊天记录被泄露在网站首页上。就在前一天，Mamona 勒索软件的数据泄露网站也遭到了篡改。 Resecurity 表示：“目前尚不清楚 BlackLock 勒索软件（作为一个团伙）是否开始与 DragonForce 勒索软件合作，或者是否悄然转归新所有者旗下。新主人可能接管了该项目及其附属网络，因为勒索软件市场正在整合，他们意识到其前任可能会被攻破。” “BlackLock 和 Mamona 勒索软件事件发生后，关键人物‘$$$’并未表现出任何惊讶。该人物可能完全清楚自己的行动可能已经被攻破，因此悄然退出之前的项目可能是最合理的选择。”   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为“RESURGE”的新型恶意软件，该软件被用于攻击Ivanti Connect Secure（ICS）设备中已修复的安全漏洞。 CISA指出，“RESURGE”包含“SPAWNCHIMERA”恶意软件变体的功能，例如能够在设备重启后存活，但它还包含独特的指令，改变了其行为模式。该恶意软件具备多种功能，包括作为根工具包（rootkit）、下载器（dropper）、后门（backdoor）、引导工具包（bootkit）、代理（proxy）和隧道工具（tunneler）的能力。 此次攻击利用的漏洞编号为CVE-2025-0282，这是一个堆栈缓冲区溢出漏洞，影响Ivanti Connect Secure、Policy Secure和ZTA网关，可能导致远程代码执行。受影响的版本包括： – Ivanti Connect Secure 22.7R2.5之前的版本 – Ivanti Policy Secure 22.7R1.2之前的版本 – Ivanti Neurons for ZTA网关22.7R2.3之前的版本 谷歌旗下的Mandiant公司指出，CVE-2025-0282已被用于传播名为“SPAWN”的恶意软件生态系统，包括多个组件，如SPAWNANT、SPAWNMOLE和SPAWNSNAIL。这些恶意软件被认为与中国相关的间谍组织UNC5337有关。 上个月，日本计算机应急响应小组（JPCERT/CC）发现，该漏洞被用于传播“SPAWNCHIMERA”，这是一个将上述多个模块整合为一体的单一恶意软件，同时增加了通过UNIX域套接字进行进程间通信的功能。值得注意的是，该变体还包含一个功能，用于修补CVE-2025-0282漏洞，以防止其他恶意行为者利用该漏洞进行攻击。 CISA表示，“RESURGE”（文件名为“libdsupgrade.so”）是“SPAWNCHIMERA”的改进版本，支持三种新指令： 1. 将自身插入“ld.so.preload”，设置网络外壳（web shell），操纵完整性检查和修改文件。 2. 启用网络外壳进行凭证收集、账户创建、密码重置和权限提升。 3. 将网络外壳复制到Ivanti运行的启动磁盘，并操纵运行中的核心启动镜像。 此外，CISA还从一个未指明的关键基础设施实体的ICS设备中发现了另外两个相关文件：一个“SPAWNSLOTH”变体（文件名为“liblogblock.so”），包含在“RESURGE”中；以及一个定制的64位Linux ELF二进制文件（文件名为“dsmain”）。 CISA指出，“SPAWNSLOTH”变体篡改了Ivanti设备的日志，而第三个文件是一个包含开源shell脚本和开源工具BusyBox部分功能的嵌入式二进制文件。该开源shell脚本能够从受损的内核镜像中提取未压缩的内核映像（vmlinux）。 值得注意的是，CVE-2025-0282还被另一个与中国相关的威胁组织“Silk Typhoon”（原名Hafnium）利用为零日漏洞，微软在本月早些时候披露了这一情况。 最新发现表明，恶意软件背后的攻击者正在积极改进其攻击手段，因此，各机构必须将Ivanti设备更新到最新版本。此外，建议采取进一步缓解措施，包括重置特权和非特权账户的凭证、轮换所有域用户和本地账户的密码、审查访问策略以暂时撤销受影响设备的权限、重置相关账户凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Crocodilus”的新型Android银行木马，其主要攻击目标是西班牙和土耳其的用户。 据ThreatFabric称，Crocodilus甫一登场便是一个成熟的威胁，具备现代技术，如远程控制、黑屏覆盖以及通过辅助功能记录数据等。 与其他同类银行木马一样，该恶意软件旨在实现设备接管（DTO），并最终进行欺诈交易。对源代码和调试消息的分析显示，该恶意软件的作者使用的是土耳其语。 荷兰移动安全公司ThreatFabric分析的Crocodilus样本伪装成谷歌Chrome浏览器（软件包名称为“quizzical.washbowl.calamity”），充当一个能够绕过Android 13及以上版本限制的下载程序。 安装并启动后，该应用会请求访问Android辅助功能服务，随后与远程服务器建立联系，以接收进一步指令、被攻击的金融应用列表以及用于窃取凭证的HTML覆盖层。 Crocodilus还能够针对加密货币钱包发起攻击，其覆盖层不是提供一个虚假的登录页面来捕获登录信息，而是显示一条警告信息，敦促受害者在12小时内备份他们的种子短语，否则可能会失去对钱包的访问权限。 这种社会工程技巧不过是威胁行为者的一种手段，目的是引导受害者访问其种子短语，然后通过滥用辅助功能服务来收集这些短语，从而让他们能够完全控制钱包并转移资产。 “它持续运行，监控应用启动并显示覆盖层以拦截凭证，”ThreatFabric说，“该恶意软件监控所有辅助功能事件并捕获屏幕上显示的所有元素。” 这使得恶意软件能够记录受害人在屏幕上执行的所有操作，以及触发对Google Authenticator应用内容的屏幕截图。 Crocodilus的另一个特点是能够通过显示黑屏覆盖层来隐藏设备上的恶意行为，同时静音声音，从而确保这些行为不被受害者发现。 该恶意软件支持的一些重要功能如下： 启动指定的应用程序 从设备上自我删除 发送推送通知 向所有/选定联系人发送短信 获取联系人列表 获取已安装的应用程序列表 获取短信 请求设备管理权限 启用黑屏覆盖层 更新C2服务器设置 启用/禁用声音 启用/禁用键盘记录使自己成为默认的短信管理器 “Crocodilus移动银行木马的出现标志着现代恶意软件的复杂性和威胁水平有了显著的升级，”ThreatFabric说，“凭借其先进的设备接管能力、远程控制功能，以及从最早版本就开始部署的黑屏覆盖层攻击，Crocodilus展现出了在新发现的威胁中不常见的成熟度。” 与此同时，Forcepoint披露了一项网络钓鱼活动的细节，该活动被发现利用税务主题的诱饵来分发针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马，其传播手段是一种经过混淆处理的Visual Basic脚本。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ESET在调查几个知名勒索软件组织之间的关联时发现，越来越多的勒索软件组织开始将用于禁用端点检测和响应（EDR）解决方案的工具纳入其武器库。 在2024年LockBit和BlackCat勒索软件组织消亡后，新的威胁者崭露头角，其中包括2024年2月出现的RansomHub，这是一个勒索软件即服务（RaaS）组织。 随着勒索软件附属组织从不同团体迁移到RansomHub，例如据称是Change Healthcare黑客事件背后的BlackCat附属组织，RansomHub成为并一直保持着在该领域的主导威胁地位。 2024年5月，RansomHub在其武器库中添加了EDRKillShifter，这是一种针对众多安全解决方案的自定义EDR杀手工具，它依赖密码来保护在执行过程中充当中间层的shellcode。 EDR杀手是在受害者的网络上执行的，旨在使任何在本地终端上运行的安全解决方案失明、损坏或终止。虽然可以使用简单的脚本，但更复杂的工具会部署易受攻击的驱动程序，然后利用这些驱动程序进行恶意活动。 RansomHub通过其RaaS面板向其附属组织提供了EDRKillShifter，但ESET观察到它被用于涉及Play、Medusa和BianLian等其他勒索软件变种的攻击中。 由于BianLian和Play是比较封闭的勒索软件操作，它们能够获得EDRKillShifter的访问权限，这表明它们可能与RansomHub合作，在其攻击中重新利用RaaS的工具。 “我们高度确信所有这些攻击都是由同一个威胁者执行的，该威胁者是这四个勒索软件组织的附属组织，”ESET指出，并将该威胁者称为QuadSwitcher。 ESET还表示，其他勒索软件附属组织也被看到使用EDRKillShifter，并补充说这并不是威胁者用来禁用安全软件的唯一工具。事实上，勒索软件附属组织使用的EDR杀手种类有所增加。 EDR杀手的使用增加被视为对安全解决方案更有效地检测文件加密恶意软件的反应。ESET指出，加密器很少收到重大更新，以避免引入缺陷的风险。 ESET还指出，虽然有超过1700个易受攻击的驱动程序可以供EDR杀手解决方案使用，但只有少数几个被滥用，因为针对它们有经过测试的代码，威胁者无需从头编写新代码。 除了RansomHub，只有另一个RaaS运营商被观察到在其服务中添加了EDR杀手，即Embargo，其泄露网站上仅列出了14名受害者。该工具被称为MS4Killer，基于公开的概念验证（PoC）代码。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Arkana Security的新勒索软件组织声称入侵了美国电信提供商WideOpenWest（WOW!），并窃取了客户数据。WideOpenWest（WOW!）是一家总部位于美国的电信公司，主要在中西部和东南部地区运营，为住宅和商业客户提供宽带互联网、有线电视和电话服务。WOW!以其在与大型供应商竞争的市场中提供高速互联网和具有竞争力的价格而闻名。 Arkana Security最近出现在威胁领域，声称提供渗透测试后的服务，并提供数据安全和风险管理服务。该勒索软件组织通过窃取受害者的数据来向他们施压，要求支付一笔“慷慨的费用”。 Arkana声称窃取了两个数据库，分别包含40.3万和220万账户的数据。被攻破的数据包括用户名、密码、安全详情、电子邮件和Firebase集成数据。 “我们已完全攻破了Wide Open West（WOW!），获取了高度敏感的客户数据和服务器。如果你们不采取行动，我们将公开并出售这些数据。”该组织在其Tor泄露网站上发布的声明中写道。 “现在，只有你们和我们知道这次入侵。但如果你们不支付，入侵将公之于众。 你们的基础设施是一场灾难——你们的安全措施形同虚设。系统保护如此薄弱，显然没有真正努力去保护任何东西。 这是你们的巨大失误，后果将非常严重。” Arkana在泄露网站上曝光了受害者，并发布了被入侵组织高管的敏感个人信息。 目前，该组织还将俄勒冈监控网络公司列在了泄露网站上。 Arkana声称已入侵WOW!的内部系统，包括AppianCloud和Symphonica平台。 “一次重大的网络攻击席卷了Wide Open West（WOW!），这是一家拥有超过150万客户的领先互联网服务提供商。黑客成功通过攻破其两个关键平台：AppianCloud和Symphonica，获得了对WOW!的全面控制。此次入侵导致WOW!的系统、面向客户的设备和后端服务器被全面接管，使客户数据和运营基础设施面临重大风险。攻击者现在能够操纵网络配置、客户数据和服务器代码逻辑，这对WOW!的整个客户群，包括依赖其服务的关键基础设施部门，构成了严重威胁。”该组织发布的声明继续说道。“攻击者现在完全控制了WOW!的基础设施，攻击的全部规模仍在展开。数百万客户和企业客户可能受到影响，影响程度尚未完全显现。”   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了Windows 11 24H2的KB5053656预览累积更新，包含38项更改，包括在AMD和Intel驱动的Copilot+设备上启用实时翻译，并修复了身份验证和蓝屏问题。 KB5053656更新是微软“可选非安全预览更新”计划的一部分，该计划每月月底推送更新，以便Windows管理员测试即将发布的Bug修复、改进和功能。这些更新会在下个月的“修补星期二”发布时推出，但与常规的“修补星期二”累积更新不同，非安全预览更新不包括安全更新。 对于配备AMD和Intel CPU的Copilot+设备，KB5053656更新新增了实时字幕和实时翻译功能，支持将超过44种语言翻译为英语。 此预览更新还修复了以下问题： 修复了在从睡眠恢复时可能触发PDC_WATCHDOG_TIMEOUT蓝屏错误的问题。 修复了在某些情况下导致Kerberos和FIDO缓存凭据身份验证停止响应的多个Bug。 您可以通过以下方式安装更新： 打开设置，点击Windows Update，然后点击检查更新。 由于这是一个可选更新，系统会询问您是否希望安装，您只需点击下载并安装链接即可。 此外，您也可以通过微软更新目录手动下载并安装KB5053656预览更新。 安装完成后，此可选的累积更新将把Windows 11 24H2系统更新到构建 26100.3624。 2025年3月的预览更新带来了一些附加的修复和改进，以下是一些重要的改进： 新功能！ 在Copilot+设备上，通过语义索引模型和传统的词汇索引，改进了Windows搜索，使用户更容易查找文档、照片和设置。 应用程序安装：修复了MsiCloseHandle API在处理包含大量文件的MSI文件时的执行时间过长问题。 启动菜单：修复了如果更新停止响应并回滚，可能会导致无效的启动菜单项的问题。此修复防止设备在未来遇到此问题。如果您已经遇到此问题，可以在系统配置（msconfig）中的启动部分管理额外的启动项。 位置历史功能（Cortana用于访问设备启用位置服务时的24小时设备历史记录的API）被移除。移除该功能后，位置数据将不再本地保存，相应的设置也被从设置 > 隐私与安全 > 位置页面中移除。 微软已知KB5053656存在两个已知问题： Citrix组件阻止2025年1月的Windows安全更新安装（此问题的临时解决方法可以参考Citrix文档页面）。 Windows ARM设备上的Roblox玩家无法从微软商店下载游戏（作为解决方法，玩家可以直接从www.roblox.com下载Roblox）。 Windows 11 24H2现已广泛部署，所有符合条件的Windows 10 22H2设备可以通过Windows Update获取。微软目前正在将Windows 11 2024更新推送给所有符合条件的Windows 10 22H2用户。 2025年1月中旬，微软还开始强制升级所有符合条件的未管理系统（运行Windows 11 22H2/23H2的家庭版和专业版）到Windows 11 24H2。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关的高级持续性威胁（APT）组织被归因于创建一个伪装成印度公共部门邮政系统的虚假网站，旨在感染印度国内的Windows和Android用户。 网络安全公司CYFIRMA将此次攻击归因于名为APT36（也称为Transparent Tribe）的威胁行为者。 该伪造的印度邮政网站名为postindia[.]site。来自Windows系统的用户访问该网站时会被提示下载一个PDF文档，而来自Android设备的用户则会下载一个恶意的应用程序包（“indiapost.apk”）。 CYFIRMA表示：“当从桌面访问时，网站会提供一个包含‘ClickFix’攻击技巧的恶意PDF文件。该文档要求用户按下Win + R键，将提供的PowerShell命令粘贴到运行对话框中并执行，这可能会危及系统安全。” 对与该PDF文件关联的EXIF数据进行分析显示，该文件由一个名为“PMYLS”的作者创建，这可能是指巴基斯坦总理青年笔记本计划。伪装成印度邮政的域名在2024年11月20日注册。 PowerShell代码的目的是从一个远程服务器（“88.222.245[.]211”）下载下一阶段的有效载荷，但该服务器当前处于不活跃状态。 另一方面，当同一个网站从Android设备访问时，它会鼓励用户安装他们的移动应用程序以获得“更好的体验”。一旦安装，该应用程序会请求大量权限，允许它窃取和导出敏感数据，包括联系人列表、当前位置以及外部存储中的文件。 公司表示：“该Android应用程序会将其图标更改为模仿不引人怀疑的Google帐户图标，以掩盖其活动，使用户在想要卸载应用时很难找到它。该应用还具备强制要求用户接受权限的功能，即使第一次被拒绝。” 该恶意应用还设计为即使在设备重启后，也会持续在后台运行，并明确请求忽略电池优化的权限。 CYFIRMA补充道：“‘ClickFix’这一技巧被网络犯罪分子、诈骗者和APT组织广泛利用，正如其他研究人员在野外观察到的那样。这种新兴的攻击手段构成了重大威胁，因为它可以攻击那些不了解或不熟悉此类方法的用户，甚至包括一些技术精通的用户。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新的分析表明，RansomHub的关联组织与其他勒索软件团伙Medusa、BianLian和Play之间存在关联。 根据ESET的报告，这种联系源自一个名为EDRKillShifter的自定义工具。该工具专门用于在受感染设备上禁用终端检测和响应（EDR）软件。RansomHub的攻击者首次被发现使用EDRKillShifter是在2024年8月。 EDRKillShifter通过一种名为“带上你自己的漏洞驱动程序”（BYOVD）的已知策略实现其目标。该策略利用合法但存在漏洞的驱动程序来终止保护终端的安全解决方案。 攻击者使用此类工具的目的在于确保勒索软件加密程序能够顺利执行，而不会被安全软件检测和阻止。 “在一次入侵过程中，攻击者的目标是获得管理员或域管理员权限。”ESET研究人员Jakub Souček和Jan Holman在与《The Hacker News》分享的报告中表示。 他们进一步指出：“勒索软件运营商通常不会频繁更新加密器，因为代码更新容易引发缺陷，可能损害他们的声誉。因此，安全厂商对这些加密器的检测能力相对较强。为了应对这一点，攻击者会在执行加密程序前使用EDR杀软工具移除安全防护。” 值得注意的是，EDRKillShifter原本是RansomHub专为其附属成员开发的定制工具。像这样专门提供给附属组织的工具本身并不常见，而现在该工具也被用于Medusa、BianLian和Play等其他勒索软件攻击中。 尤其值得关注的是，Play和BianLian采用的是**封闭式勒索软件即服务（RaaS）**模式。在这种模式下，运营者不会主动招募新成员，而是基于长期的信任关系与少量合作者合作。 “Play和BianLian的可信成员正在与竞争对手合作，甚至与像RansomHub这样的新兴团伙合作，并将从他们那里获得的工具重新用于自身的攻击中。”ESET推测，“这尤其值得注意，因为这些封闭式团伙通常在攻击中使用一套固定的核心工具。” 研究人员怀疑，这些勒索软件攻击可能由同一威胁行为者发起。该行为者被称为QuadSwitcher，由于其战术与Play的典型入侵手法极为相似，因此被认为与Play关系最为密切。 此外，EDRKillShifter还被观察到由另一个勒索软件关联组织CosmicBeetle使用。CosmicBeetle利用该工具在三起涉及RansomHub和假冒LockBit的攻击中禁用了安全软件。 这一发现正值勒索软件团伙广泛使用BYOVD技术，通过部署EDR杀软工具来攻击受感染系统的趋势上升之际。 去年，勒索软件团伙Embargo被发现使用名为MS4Killer的程序来中和安全软件。而在本月，Medusa勒索软件组织被指使用了一种名为ABYSSWORKER的自定义恶意驱动程序。 ESET强调：“攻击者需要管理员权限才能部署EDR杀软工具，因此应在他们获得权限前及时检测和阻止其活动。” 为此，ESET建议企业用户确保开启潜在不安全应用的检测功能，从而有效阻止带有漏洞的驱动程序安装。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一种新型的“钓鱼即服务”（PhaaS）平台。该平台利用域名系统（DNS）中的邮件交换（MX）记录生成虚假登录页面，伪造约114个品牌，以骗取用户凭据。 DNS情报公司Infoblox正在追踪此次活动，并将该钓鱼套件及相关攻击活动命名为Morphing Meerkat（变形猫鼬）。 “该攻击者通常利用广告技术基础设施中的开放重定向漏洞，劫持域名进行钓鱼活动，并通过包括Telegram在内的多种渠道分发窃取的凭据。”Infoblox在与《The Hacker News》分享的报告中表示。 Forcepoint在2024年7月记录了一次利用该PhaaS工具包的攻击活动。攻击者在钓鱼邮件中插入链接，伪装成共享文档。受害者点击链接后会被重定向至Cloudflare R2上的虚假登录页面，输入凭据后信息将通过Telegram传输至攻击者手中。 据估计，Morphing Meerkat已发送了数千封垃圾邮件。为了绕过安全过滤，攻击者主要依赖受感染的WordPress网站以及Google旗下DoubleClick等广告平台的开放重定向漏洞。 此外，该钓鱼套件还支持实时翻译，能够将钓鱼页面的内容动态转换为包括英语、韩语、西班牙语、俄语、德语、中文和日语在内的十多种语言，针对全球用户进行攻击。 钓鱼页面还具备多项反分析措施，例如禁止鼠标右键点击和屏蔽键盘快捷键（如Ctrl + S用于保存网页、Ctrl + U用于查看网页源代码），进一步阻碍安全研究人员的分析。 Morphing Meerkat真正独特之处在于它通过从Cloudflare或Google获取的DNS MX记录识别受害者的邮件服务提供商（如Gmail、Microsoft Outlook或Yahoo!）。随后，它会动态生成相应的虚假登录页面，以增加欺骗的可信度。 如果钓鱼套件无法识别受害者的MX记录，则会默认显示一个伪装成Roundcube的登录页面。 “这种攻击方式为攻击者带来了显著优势，”Infoblox表示。“它使攻击者能够针对特定受害者进行定向攻击，通过与受害者实际使用的邮件服务提供商高度一致的网页内容，提高欺骗成功率。” “整体钓鱼体验显得更加真实，因为登录页面的设计通常与钓鱼邮件中的消息相匹配。这种技术进一步诱骗受害者在钓鱼页面中提交他们的邮箱凭据。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。 这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。 “在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。 “受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。” 该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：   – Firefox 136.0.4   – Firefox ESR 115.21.1   – Firefox ESR 128.8.1   目前没有证据表明CVE-2025-2857在野外被利用。 与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。 卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。 据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。 美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。 建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，一些加密货币相关的npm包遭到劫持，攻击者通过这些包从受感染的系统中窃取环境变量等敏感信息。 Sonatype研究员Ax Sharma表示：”其中一些包已在npmjs.com上存在超过9年，为区块链开发者提供了合法功能。然而，这些包的最新版本中被植入了混淆的恶意脚本。” 受影响的npm包及版本： country-currency-map (2.1.8) bnb-javascript-sdk-nobroadcast (2.16.16) @bithighlander/bitcoin-cash-js-lib (5.2.2) eslint-config-travix (6.3.1) @crosswise-finance1/sdk-v2 (0.1.21) @keepkey/device-protocol (7.13.3) @veniceswap/uikit (0.65.34) @veniceswap/eslint-config-pancake (1.6.2) babel-preset-travix (1.2.1) @travix/ui-themes (1.1.5) @coinmasters/types (4.8.16) 软件供应链安全公司对这些包的分析显示，攻击者在”package/scripts/launch.js”和”package/scripts/diagnostic-report.js”中植入了高度混淆的恶意代码。这些脚本会在包安装后立即运行，专门窃取API密钥、访问令牌、SSH密钥等数据，并将其发送到远程服务器（”eoi2ectd5a5tn1h.m.pipedream[.]net”）。 有趣的是，相关库的GitHub代码库并未被篡改，攻击者是如何成功推送恶意代码的仍是一个谜。目前尚不清楚此攻击活动的最终目的。 Sharma表示，他们推测这些劫持事件可能是由于旧版npm维护者账户被攻破所致。攻击者可能通过凭证填充攻击（使用此前数据泄露中的用户名和密码在其他网站上尝试登录）或接管过期域名的方式，取得了这些账户的控制权。 鉴于多个项目的维护者账户几乎在同一时间受到攻击，研究人员认为账户接管的可能性高于精心策划的网络钓鱼攻击。 此次事件凸显了为账户启用双因素认证（2FA）以防止账户接管的必要性。它还反映出在开源项目达到生命周期末期或停止维护时，实施安全防护措施的难度。 Sharma强调：”这次事件进一步表明了加强供应链安全措施的紧迫性。开发者和企业在开发过程的每个阶段都应优先考虑安全性，以降低第三方依赖带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云端直播公司StreamElements确认，其一名第三方服务提供商遭遇了数据泄露事件，导致威胁行为者在黑客论坛上泄露了部分被窃数据样本。 该平台向用户保证，此次攻击并未影响其服务器，但去年停止合作的一家第三方提供商的旧数据仍然遭到泄露。   “我们最近了解到，一个我们去年停止合作的第三方服务提供商发生了数据安全事件。”该公司在X平台上发文称。   “我们可以确认，StreamElements的服务器没有遭到入侵。”   “尽管此次事件并非源自StreamElements系统内部，但我们非常重视客户数据的安全，并正在积极与他们联系，以评估和解决可能的影响。”   StreamElements是一家广受欢迎的云端直播工具平台，主要为Twitch和YouTube上的内容创作者提供服务。它提供一系列功能，包括直播叠加层、打赏/捐赠管理、聊天机器人、活动信息流、商品商店集成、直播分析、忠诚度/奖励系统等。   该平台与主要游戏品牌建立了合作伙伴关系，并被许多顶级Twitch主播使用，注册创作者超过100万。   StreamElements的声明是在一名昵称为“victim”的威胁行为者声称窃取了21万名StreamElements客户的数据后发布的。该行为者在2025年3月20日还在黑客论坛上分享了部分被窃数据样本，包括用户的全名、地址、电话号码和电子邮件地址。   威胁行为者在BreachForums上的帖子 来源：BleepingComputer Twitch领域的记者和直播评论员Zach Bussey报道称，他曾与该黑客组织相关人员取得联系，对方提供了证据，证实了数据的真实性。   “我尝试验证数据泄露的真实性，请求查看我在2021年或2022年下的订单中的个人信息。”Bussey在X平台上解释道。   “几秒钟后，他们便提供了这些信息，包括我的姓名、地址、邮政编码、电话号码和电子邮件。”   该黑客还声称，他们通过信息窃取恶意软件感染了StreamElements的一名员工，进而接管了内部账户，访问了平台的订单管理系统。   威胁行为者表示，他们从该系统中窃取了2020年至2024年的用户数据。   尽管StreamElements尚未正式验证这些细节，但在此期间注册的用户被建议保持高度警惕，以防潜在的网络钓鱼和诈骗行为。   今天早些时候，StreamElements提醒社区警惕有人利用此次安全事件进行网络钓鱼攻击，发送假冒的“数据泄露”邮件以欺骗收件人。   截至目前，StreamElements尚未向受影响用户发送数据泄露通知，并表示调查仍在进行中。   值得注意的是，威胁行为者在BreachForums上的帖子目前已被删除。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尽管Oracle否认其Oracle Cloud联合SSO登录服务器被入侵以及600万人的账户数据被盗，但BleepingComputer已与多家公司确认，威胁行为者分享的数据样本是有效的。 上周，一个名叫“rose87168”的人声称入侵了Oracle Cloud服务器，并开始出售据称属于600万用户的认证数据和加密密码。该威胁行为者还表示，被盗的SSO和LDAP密码可以利用被盗文件中的信息进行解密，并愿意与能够帮助恢复这些密码的人分享部分数据。 威胁行为者发布了多个文本文件，包含一个数据库、LDAP数据以及140,621个公司和政府机构域的列表，这些域据称受到了此次入侵的影响。需要注意的是，其中一些公司域看起来像是测试用的，而且每个公司有多个域。 威胁行为者正在出售据称被盗的Oracle Cloud数据 来源：BleepingComputer 除了数据之外，“rose87168”还与BleepingComputer分享了一个Archive.org网址，该网址指向一个托管在“login.us2.oraclecloud.com”服务器上的文本文件，其中包含他们的电子邮件地址。这个文件表明威胁行为者可以在Oracle的服务器上创建文件，这表明实际发生了入侵。 然而，Oracle否认其Oracle Cloud遭受了入侵，并拒绝回答关于此次事件的任何进一步问题。 “Oracle Cloud没有被入侵。发布的凭据不是用于Oracle Cloud的。没有Oracle Cloud客户遭受入侵或丢失任何数据，”该公司上周五对BleepingComputer表示。 然而，这一否认与BleepingComputer的调查结果相矛盾，后者从威胁行为者那里获得了更多泄露数据的样本，并联系了相关公司。 这些公司的代表在承诺匿名的情况下同意确认数据，他们确认了信息的真实性。这些公司表示，相关的LDAP显示名称、电子邮件地址、名字和其他身份信息都是正确的，并且属于他们。 威胁行为者还与BleepingComputer分享了据称是他们与Oracle之间的电子邮件交流。 一封电子邮件显示威胁行为者联系了Oracle的安全电子邮件（secalert_us@oracle.com），报告他们入侵了服务器。 “我已经深入研究了你们的云仪表板基础设施，发现了一个巨大的漏洞，让我获得了600万用户信息的完全访问权限，”BleepingComputer看到的电子邮件中写道。 另一封与BleepingComputer分享的电子邮件显示了威胁行为者与一个使用ProtonMail电子邮件地址的人之间的交流，该人声称来自Oracle。BleepingComputer已对这个人的电子邮件地址进行了遮盖，因为我们无法验证他们的身份或电子邮件交流的真实性。 在这封电子邮件交流中，威胁行为者表示，一个使用@proton.me电子邮件地址的Oracle人告诉他们：“我们收到了你的电子邮件。从现在起，我们使用这个电子邮件进行所有通信。你收到后告诉我。” 网络安全公司Cloudsek还发现了一个Archive.org网址，显示“login.us2.oraclecloud.com”服务器在2025年2月17日之前一直在运行Oracle融合中间件11g。在有关此次据称入侵的报道之后，Oracle已将这台服务器下线。 该软件版本受到一个被追踪为CVE-2021-35587的漏洞的影响，该漏洞允许未认证的攻击者入侵Oracle访问管理器。威胁行为者声称在此次据称入侵Oracle服务器时使用了这个漏洞。 BleepingComputer已多次就这些信息向Oracle发送电子邮件，但尚未收到任何回复。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）因2022年的一次勒索软件攻击，对高级计算机软件集团有限公司处以307万英镑的罚款，该攻击暴露了79,404人的敏感个人数据，其中包括国家医疗服务体系（NHS）的患者数据。 2022年8月初，当包括111紧急服务在内的各种NHS服务出现重大故障时，宣布了此次网络攻击，这表明英国托管服务提供商（MSP）高级计算机软件集团受到了攻击。 高级计算机软件集团为NHS提供了多种患者管理和健康相关产品，如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。 该公司并未透露许多关于哪个勒索软件组织攻击了他们的细节，但在接下来的几天里，显然恢复工作将需要很长时间，即使有Mandiant和微软专家的帮助。 后来证实，LockBit勒索软件组织是此次攻击的幕后黑手，他们利用被盗的凭证在Staffplan Citrix服务器上设置远程桌面协议（RDP）会话，随后横向移动进入组织的环境。 今天，ICO宣布对高级计算机软件集团处以307万英镑（约合395万美元）的罚款，以惩罚其未能保护敏感数据和系统免受黑客攻击。 ICO在其声明中强调了软件供应商未能实施足够的安全措施，以防止导致数据泄露和危及生命的健康服务中断的漏洞。 这些漏洞主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏普遍的多因素认证（MFA）覆盖。 “高级计算机软件集团的子公司安全措施严重不足，不符合我们对处理如此大量敏感信息的组织的期望，”信息专员约翰·爱德华兹表示。 “尽管高级计算机软件集团在许多系统上安装了多因素认证，但覆盖不全面意味着黑客可以进入，使成千上万人的敏感个人信息面临风险。” 值得注意的是，此次对高级计算机软件集团的罚款与2024年8月ICO考虑并宣布的609万英镑（约合774万美元）的罚款相比大幅减少。 然而，此次罚款具有重要意义，因为这是英国首次对数据处理者而非数据控制者处以罚款。 过去ICO对数据控制者处以的显著罚款包括对英国航空公司因2018年数据泄露处以创纪录的2000万英镑罚款，以及对万豪国际酒店因2014年安全事件处以1840万英镑罚款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Abnormal Security 的研究发现，威胁者正在利用一种名为 Atlantis AIO Multi-Checker 的电子犯罪工具，来自动化针对 140 多个平台的凭证填充攻击。 “Atlantis AIO 已经成为网络犯罪分子武器库中的强大武器，能够使攻击者快速连续地测试数百万个被盗凭证，”网络安全公司在分析中表示。 凭证填充是一种网络攻击类型，攻击者收集被盗的账户凭证，通常是用户名或电子邮件地址和密码的列表，然后通过大规模的自动化登录请求，利用这些凭证在不相关的系统上获取未经授权的访问权限。 这些凭证可能来自社交媒体服务的数据泄露，也可能从地下论坛获取，由其他威胁者出售。凭证填充与暴力破解攻击不同，后者围绕使用试错法破解密码、登录凭证和加密密钥。 据 Abnormal Security 称，Atlantis AIO 为威胁者提供了通过预配置模块大规模发起凭证填充攻击的能力，目标是各种平台和基于云的服务，从而促进欺诈、数据盗窃和账户接管。 “Atlantis AIO Multi-Checker 是一种旨在自动化凭证填充攻击的网络犯罪工具，”该公司表示，“它能够大规模测试被盗凭证，能够迅速在 140 多个平台上尝试数百万个用户名和密码组合。” 该程序背后的威胁者还声称，它建立在“经过验证的成功基础之上”，并且他们有成千上万满意的客户，同时向客户保证平台的安全性，以保持他们的购买隐私。 “每个功能、更新和交互都经过精心设计，以超越预期的方式提升您的体验，”他们在官方广告中表示，并补充说“我们不断开创推动前所未有成果的解决方案。” Atlantis AIO 的目标包括像 Hotmail、Yahoo、AOL、GMX 和 Web.de 这样的电子邮件提供商，以及电子商务、流媒体服务、VPN、金融机构和食品配送服务。 另一个值得注意的方面是该工具能够对上述电子邮件平台进行暴力破解攻击，并自动化与 eBay 和 Yahoo 相关的账户恢复流程。 “像 Atlantis AIO 这样的凭证填充工具为网络犯罪分子提供了一条直接的路径，将被盗凭证变现，”Abnormal Security 表示。 “一旦攻击者在各个平台上获得账户访问权限，他们可以以多种方式利用这些账户，例如在暗网市场上出售登录详情、进行欺诈或使用被攻破的账户分发垃圾邮件和发起网络钓鱼活动。” 为了缓解此类攻击带来的账户接管风险，建议实施严格的密码规则，并采用抗网络钓鱼的多因素认证（MFA）机制。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布了带外修复程序，以解决其 Windows 版 Chrome 浏览器中的一个高严重性安全漏洞，该漏洞已被利用，攻击目标是俄罗斯的组织。 该漏洞被追踪为 CVE-2025-2783，被描述为在 Windows 上的 Mojo 中“在未指定情况下提供了不正确的句柄”。Mojo 指的是一组运行时库，为跨平台的进程间通信提供机制。 按照惯例，谷歌并未透露有关攻击性质、攻击者身份以及可能的目标的更多技术细节。该漏洞已在 Windows 版 Chrome 134.0.6998.177/.178 中修复。 “谷歌已意识到有报道称 CVE-2025-2783 的利用程序存在于野外环境，”这家科技巨头在一份简短的公告中承认。 值得注意的是，CVE-2025-2783 是今年年初以来首个被积极利用的 Chrome 零日漏洞。卡巴斯基研究人员 Boris Larin 和 Igor Kuznetsov 因在 2025 年 3 月 20 日发现并报告了这一漏洞而受到赞誉。 这家俄罗斯网络安全厂商在其自身的公告中，将 CVE-2025-2783 的零日漏洞利用描述为技术复杂的目标攻击，表明高级持续威胁（APT）的特征。该活动被追踪为 Operation ForumTroll。 “在所有情况下，感染发生在受害者点击网络钓鱼邮件中的链接后，攻击者的网站使用 Google Chrome 网络浏览器打开，”研究人员表示。“无需进一步操作即可被感染。” “该漏洞的本质在于 Chrome 和 Windows 操作系统交叉点上的逻辑错误，允许绕过浏览器的沙箱保护。” 这些短寿命的链接据说是为目标量身定制的，间谍活动是此次行动的最终目标。卡巴斯基表示，恶意邮件包含据称来自合法科学和专家论坛 Primakov Readings 组织者的邀请。 网络钓鱼邮件针对的是俄罗斯的媒体机构、教育机构和政府组织。此外，CVE-2025-2783 被设计为与另一个促进远程代码执行的漏洞利用程序一起运行。卡巴斯基表示，他们无法获得第二个漏洞利用程序。 “到目前为止分析的所有攻击工件都表明攻击者具有高度复杂性，使我们能够自信地得出结论，一个国家赞助的 APT 组织是此次攻击的幕后黑手，”研究人员表示。 鉴于该漏洞正在被积极利用，建议使用基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在补丁可用时尽快应用修复程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表上发现了两个恶意软件包，它们旨在感染本地安装的另一个软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。 这些软件包分别是 ethers-provider2 和 ethers-providerz。前者自 2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包可能被恶意软件作者自己移除，因此没有吸引任何下载。 “它们是简单的下载程序，恶意载荷隐藏得非常巧妙，”ReversingLabs 研究员 Lucija Valentić 在一份与《黑客新闻》分享的报告中表示。 “有趣的部分在于它们的第二阶段，会‘修补’本地安装的合法 npm 软件包 ethers，用包含恶意载荷的新文件替换。该修补后的文件最终会提供反向 Shell。” 这一发展标志着威胁者战术的新升级，因为即使卸载了恶意软件包，也不会清除受感染机器上的恶意功能，因为更改位于流行的库中。此外，如果用户在 ethers-provider2 仍存在于系统中时卸载了 ethers 软件包，当稍后再次安装该软件包时，存在重新感染的风险。 ReversingLabs 对 ethers-provider2 的分析显示，它不过是广泛使用的 ssh2 npm 软件包的特洛伊版本，在 install.js 中包含恶意载荷，以从远程服务器（“5.199.166[.]1:31337/install”）检索第二阶段恶意软件，将其写入临时文件并运行。 执行后，临时文件会立即从系统中删除，试图避免留下任何痕迹。第二阶段载荷则开始无限循环，检查 npm 软件包 ethers 是否本地安装。 如果该软件包已经存在或新安装，它会通过替换名为 “provider-jsonrpc.js” 的文件之一的伪造版本采取行动，该版本包含额外代码，从同一服务器获取并执行第三阶段。新下载的载荷作为反向 Shell，通过 SSH 连接到威胁者的服务器。 “这意味着，使用此客户端建立的连接在从服务器收到自定义消息后会变成反向 Shell，”Valentić 表示。“即使将软件包 ethers-provider2 从受感染的系统中移除，在某些情况下客户端仍会被使用，为攻击者提供一定程度的持久性。” 在此阶段值得注意的是，npm 注册表上的官方 ethers 软件包并未被破坏，因为恶意修改是在安装后在本地进行的。 第二个软件包 ethers-providerz 也表现出类似的行为，试图修改本地安装的 npm 软件包 “@ethersproject/providers” 相关的文件。该库针对的确切 npm 软件包未知，但源代码引用表明可能是 loader.js。 这些发现揭示了威胁者在开发者系统中提供和持久化恶意软件的新方式，这使得在下载和使用之前仔细审查来自开源存储库的软件包变得至关重要。 “尽管下载量低，但这些软件包功能强大且恶意，”Valentić 表示。“如果它们的使命成功，它们将破坏本地安装的软件包 ethers，即使该软件包被移除，也能在受感染的系统上保持持久性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯语言的黑客组织 RedCurl（又名 Earth Kapre 和 Red Wolf）首次与勒索软件活动相关联，这标志着该威胁组织的攻击手法发生了转变。 这一活动由罗马尼亚网络安全公司 Bitdefender 观察到，涉及部署一种前所未见的勒索软件变种，名为 QWCrypt。 RedCurl 有着针对加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国等多地多个实体进行企业间谍攻击的历史。该组织自至少 2018 年 11 月以来一直活跃。 2020 年，Group-IB 记录的攻击链涉及使用带有 “人力资源”（HR）主题诱饵的鱼叉式网络钓鱼电子邮件来激活恶意软件部署过程。今年 1 月，Huntress 详细描述了该威胁组织针对加拿大多个组织的攻击，以部署名为 RedLoader 的加载程序，该程序具有 “简单的后门功能”。 上个月，加拿大网络安全公司 eSentire 揭露了 RedCurl 使用伪装成简历和求职信的垃圾 PDF 附件，在网络钓鱼信息中利用合法的 Adobe 可执行文件 “ADNotificationManager.exe” 侧载加载程序恶意软件。 Bitdefender 详细描述的攻击过程遵循相同的步骤，使用伪装成简历的可挂载磁盘镜像（ISO）文件来启动多阶段感染程序。在磁盘镜像中存在一个文件，它模仿 Windows 屏保（SCR），但实际上是由 ADNotificationManager.exe 执行的加载程序（“netutils.dll”）使用的二进制文件，通过 DLL 侧载执行。 “执行后，netutils.dll 立即用 open 动词发起 ShellExecuteA 调用，将受害者的浏览器定向到 https://secure.indeed.com/auth，”Bitdefender 技术解决方案总监 Martin Zugec 在一份与《黑客新闻》分享的报告中表示。 “这显示了一个合法的 Indeed 登录页面，这是一个精心设计的干扰，旨在误导受害者认为他们只是在打开简历。这种社会工程手段为恶意软件提供了在未被察觉的情况下运行的窗口。” 加载程序还充当下载程序，用于下载下一阶段的后门 DLL，同时通过计划任务在主机上建立持久性。然后使用程序兼容性助手（pcalua.exe）执行新检索到的 DLL，这种技术在 2024 年 3 月由 Trend Micro 详细描述。 植入物提供的访问权限为横向移动铺平了道路，使威胁者能够在网络中导航、收集情报并进一步升级访问权限。但似乎是一个重大的转变，他们已知的作案手法之一也导致了勒索软件的首次部署。 “这种有针对性的攻击可以被解释为一种试图用最小的努力造成最大损害的尝试，”Zugec 说。“通过加密托管在 hypervisors 上的虚拟机，使其无法启动，RedCurl 有效地禁用了整个虚拟化基础设施，影响所有托管服务。” 勒索软件可执行文件除了采用 “自带易受攻击的驱动程序”（BYOVD）技术来禁用端点安全软件外，还会在启动加密例程之前采取步骤收集系统信息。此外，加密后留下的勒索便条似乎受到 LockBit、HardBit 和 Mimic 团伙的启发。 “这种重复使用现有勒索便条文本的做法引发了关于 RedCurl 团伙的起源和动机的问题，”Zugec 说。“值得注意的是，没有已知的专门泄露网站（DLS）与该勒索软件相关联，目前尚不清楚勒索便条是否代表真正的敲诈企图或是一种转移注意力的手段。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处: 名为 EncryptHub 的威胁组织利用了微软 Windows 中最近修复的安全漏洞作为零日漏洞，来投放包括后门和信息窃取器（如 Rhadamanthys 和 StealC）在内的多种恶意软件家族。 “在这次攻击中，威胁者操纵 .msc 文件和多语言用户界面路径（MUIPath），以下载并执行恶意载荷、维持持久性和从受感染系统中窃取敏感数据，”Trend Micro 研究员 Aliakbar Zahravi 在分析中表示。 所涉及的漏洞是 CVE-2025-26633（CVSS 评分：7.0），微软将其描述为 Microsoft Management Console（MMC）中的不正确中和漏洞，可能允许攻击者在本地绕过安全功能。该公司在本月初的 Patch Tuesday 更新中修复了这一漏洞。 Trend Micro 已将该漏洞利用命名为 MSC EvilTwin，并将疑似俄罗斯活动集群追踪为 Water Gamayun。该威胁组织还被称为 LARVA-208。 CVE-2025-26633 核心上利用了 Microsoft Management Console 框架（MMC），通过名为 MSC EvilTwin 加载程序的 PowerShell 加载程序执行恶意 Microsoft Console（.msc）文件。 具体来说，它涉及加载程序创建两个同名的 .msc 文件：一个干净文件和一个恶意文件，后者被放置在同一个位置但位于名为 “en-US” 的目录中。其想法是，当运行前者时，MMC 会意外地选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径（MUIPath）功能实现的。 “通过滥用 mmc.exe 使用 MUIPath 的方式，攻击者可以为 MUIPath en-US 配备恶意 .msc 文件，导致 mmc.exe 加载并执行恶意文件，而不是原始文件，且在受害者不知情的情况下进行，”Zahravi 解释说。 EncryptHub 还被观察到采用另外两种方法，利用 .msc 文件在受感染系统上运行恶意载荷： – 使用 MMC 的 ExecuteShellCommand 方法在受害者的机器上下载并执行下一阶段的载荷，这种方法此前由荷兰网络安全公司 Outflank 于 2024 年 8 月记录在案。 – 使用伪造的可信目录（如 “C:\Windows \System32”）来绕过用户账户控制（UAC），并投放名为 “WmiMgmt.msc” 的恶意 .msc 文件。 Trend Micro 表示，攻击链可能从受害者下载伪装成合法中国软件（如钉钉或 QQTalk）的数字签名 Microsoft 安装程序（MSI）文件开始，然后用于从远程服务器获取并执行加载程序。据说该威胁组织自 2024 年 4 月以来一直在试验这些技术。 “这场活动正处于积极发展阶段，它采用多种投递方法和定制载荷，旨在维持持久性、窃取敏感数据，然后将其外泄至攻击者的命令与控制（C&C）服务器，”Zahravi 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文