HackerNews

HackerNews 编译，转载请注明出处： 安全研究人员发现新型ClickFix攻击活动正同时针对Windows和Linux系统，利用可跨操作系统感染的指令展开攻击。 ClickFix是一种社会工程学策略，通过伪造验证系统或应用错误诱骗网站访客运行控制台命令以安装恶意软件。此类攻击传统上以Windows系统为目标，诱使受害者从Windows运行命令执行PowerShell脚本，导致信息窃取恶意软件感染甚至勒索攻击。 然而，2024年一项使用虚假Google Meet错误的活动也瞄准了macOS用户。Hunt.io研究人员上周发现的最新活动，是首批将这种社会工程学技术适配到Linux系统的攻击之一。 此次攻击被归因于与巴基斯坦关联的威胁组织APT36（又名“Transparent Tribe”），攻击者仿冒印度国防部网站，提供所谓官方新闻稿链接。 当访客点击链接时，平台会对其操作系统进行识别并重定向至相应攻击流程。在Windows系统上，受害者会看到全屏页面警告内容使用权受限。点击“继续”触发JavaScript将恶意MSHTA命令复制到剪贴板，并指示用户在Windows终端粘贴执行。该操作启动基于.NET的加载器连接攻击者地址，同时用户会看到诱饵PDF文件使一切看似正常。 在Linux系统上，受害者被重定向至验证码页面，点击“我不是机器人”按钮时将Shell命令复制到剪贴板。随后引导用户按ALT+F2打开Linux运行对话框，粘贴命令并按Enter执行。该命令在目标系统部署“mapeal.sh”载荷。据Hunt.io称，当前版本尚未执行任何恶意行为，仅从攻击者服务器获取JPEG图像。 “脚本从同一trade4wealth[.]in目录下载JPEG图像并在后台打开，”Hunt.io解释道，“执行期间未观察到持久化机制、横向移动或外联通信等额外活动。” 但研究人员指出，APT36可能正在测试Linux感染链的有效性——只需将图像替换为Shell脚本即可安装恶意软件或实施其他恶意活动。 ClickFix攻击成功适配Linux系统，标志着该攻击类型现已覆盖三大主流桌面操作系统平台。 作为通用安全原则，用户在未明确知晓命令功能的情况下，不应将任何命令复制粘贴至运行对话框。此类操作只会增加恶意软件感染和敏感数据被盗风险。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 浏览器扩展已深度嵌入员工日常工作流程，从语法检查到寻找折扣等任务均提供助力。然而，其广泛权限带来了重大安全风险，却大多未被IT和安全团队察觉。 一份独特的《2025年企业浏览器扩展安全报告》首次结合公开扩展商店数据与企业实际使用遥测数据，揭示了这一被低估的威胁载体。 报告主要发现： 扩展无处不在但危险：99%的企业用户安装了浏览器扩展，其中52%运行超过10个扩展，显著扩大了威胁面。 安全分析：几乎每位员工都可能危及组织安全。 对敏感数据的广泛权限：企业环境中53%的扩展拥有“高”或“关键”风险权限，可访问Cookie、密码、浏览历史和网页内容等敏感数据。 安全分析：单个被攻破的扩展可能使整个组织陷入风险。 生成式AI扩展：隐蔽威胁：超过20%的企业员工使用生成式AI扩展，其中58%具有“高”或“关键”权限，构成重大风险。 安全分析：企业必须对生成式AI扩展的使用和数据处理实施严格政策。 不可信的扩展发布者：54%的扩展通过Gmail账户匿名发布，79%来自仅发布过单个扩展的发布者，导致信任评估极度困难。 安全分析：扩展信任验证高度困难，增加了恶意活动的可能性。 废弃和过时扩展：51%的扩展超过一年未更新，26%的企业扩展通过旁加载规避安全审查。 安全分析：过时或未受管理的扩展因潜在漏洞显著增加安全风险。 对安全和IT团队的建议： 审计企业环境中所有浏览器扩展。 对扩展进行分类以了解其风险特征。 详细枚举和分析扩展权限。 对每个扩展执行全面风险评估。 实施基于风险的自适应安全策略以有效管理扩展威胁。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员周一披露，一个与土耳其政府结盟的网络间谍组织似乎利用某即时通讯应用的零日漏洞，监视伊拉克境内库尔德军事行动。 据微软威胁情报部门称，追踪代号为Marbled Dust的黑客自2024年4月起入侵Output Messenger（一款常用于工作场所和组织聊天的应用）用户账户。 该团队表示“高度确信攻击目标与伊拉克境内库尔德军事组织相关，这与Marbled Dust既往攻击优先级一致。”库尔德武装组织库尔德工人党（PKK）周一宣布，在与土耳其持续数十年的冲突后，将解散并解除武装。伊拉克多数库尔德人居住在与土耳其接壤的半自治地区。 Marbled Dust的活动与其他公司追踪的Sea Turtle或UNC1326行动存在重叠。微软指出，该组织以攻击欧洲和中东实体闻名，“特别是与土耳其政府存在利益冲突的政府机构及组织，以及电信和信息技术行业目标。” 此前未记录的Output Messenger漏洞（CVE-2025-27920）可使认证用户将恶意文件上传至服务器启动目录。微软称尚不确定Marbled Dust如何每次均获取认证账户权限，但推测该组织可能使用DNS劫持或仿冒域名等技术拦截网络流量并窃取用户凭证。 在微软通报漏洞后，Output Messenger开发商印度公司Srimax发布了软件更新。研究人员还发现第二个未遭利用的漏洞（CVE-2025-27921），Srimax补丁亦涵盖该缺陷。 微软表示，利用首个漏洞可使攻击者“无差别访问所有用户的通信内容、窃取敏感数据并冒充用户身份，进而导致运营中断、内部系统未授权访问及大规模凭证泄露。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近几周，针对印度数字基础设施的黑客活动分子攻击声明引发广泛担忧——在印度与巴基斯坦的地缘政治紧张局势下，政府、教育及关键行业领域据称发生超100起入侵事件。 然而，CloudSEK的新调查表明实际损害微乎其微，许多声明存在夸大或完全捏造。 包括Nation Of Saviors、KAL EGY 319和SYLHET GANG-SG在内的知名黑客活动组织声称已入侵印度选举委员会和总理办公室等重要目标。 但CloudSEK分析师发现这些破坏行为大多具有象征意义：遭篡改的网站通常在数分钟内恢复，泄露数据实为公开或回收利用的旧数据，分布式拒绝服务（DDoS）攻击造成的停机时间可忽略不计。 攻击声明与事实对比： 尽管有声明称从印度国家信息中心窃取247 GB敏感政府数据，但泄露的“证据”仅为1.5 GB公开媒体文件。类似地，所谓从安得拉邦高等法院窃取的数据主要由线上已有的案件元数据构成。其他声明攻击（包括对印度陆军和选举委员会的入侵）被揭露为使用过期数据或完全伪造。 根据CloudSEK分析，围绕所谓入侵的炒作主要由X平台（原Twitter）上与巴基斯坦关联的账号推动，包括@PakistanCyberForce和@CyberLegendX。这些账号传播未经核实的声明，并将其与“Operation Sindoor”“Bunyan Al Marsous”等持续行动关联。 尽管传播广泛，大多数声明仍缺乏系统入侵或破坏的可信证据支持。 与此同时，在舆论喧嚣背后，一个据称对印度构成更严重威胁的网络攻击正在升级。以关联巴基斯坦闻名的高级持续性威胁组织APT36已发起复杂钓鱼活动，意图渗透印度政府和国防网络。 在2025年4月印控克什米尔帕哈尔加姆恐怖袭击后，APT36利用情绪化诱导内容，通过伪装成政府简报（PPT或PDF格式）的钓鱼邮件传播Crimson RAT恶意软件。这些恶意文档将用户导向仿冒印度官方网站的钓鱼域名，诱骗受害者提交凭证或执行恶意代码。 Crimson RAT是一种用于远程控制系统并窃取数据的远程访问木马。 在近期APT36行动中，该木马一旦安装便会连接至命令服务器，允许攻击者远程窃取文件、截取屏幕截图并在受感染系统执行超20种不同指令。其隐蔽性、持久性及对国防网络的针对性使其成为高风险间谍工具。 CloudSEK指出：“恶意软件收集敏感数据（如截图、文件或系统信息）后，会将数据回传至C2服务器供攻击者进一步分析。该过程设计隐蔽，最大限度降低被安全软件检测的概率。” 随着印度持续监控黑客活动分子的动向，警惕APT36等更隐蔽且能力更强的攻击者已成为明确需求。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种由虚假网站网络构成的复杂钓鱼计划多年来持续针对Web3项目并大规模清空加密货币钱包。该计划最初于2024年4月被Validin检测为简单的加密钓鱼网站网络，但很快显现出更高复杂性和更大规模。这促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs合作开展进一步调查。 这项被研究人员命名为FreeDrain的计划，未依赖钓鱼邮件、短信（短信钓鱼）、社交媒体帖子和博客评论垃圾信息等常见传播手段，而是通过SEO操纵、免费层级网络服务和分层重定向技术瞄准加密货币钱包。该行动可能由位于印度（或可能斯里兰卡）的团队实施，至少自2022年起持续活跃。 Validin和SentinelLabs于2025年5月7日至9日在马拉加举行的威胁情报大会PIVOTcon 2025上公布了其发现。 2024年4月，Validin发布了一份记录系列加密窃取钓鱼页面的报告。该报告引起一名人士的注意，其联系Validin称损失了8枚比特币（当时价值约50万美元）。SentinelLabs和Validin研究人员在5月8日的联合报告中解释称：“受害者在点击高排名搜索引擎结果后，试图检查钱包余额时，无意间将钱包助记词提交至钓鱼网站。” 助记词（又称恢复短语或助记种子）是用于恢复加密货币钱包并访问相关资金的单词列表。可信的加密货币追踪分析师确认，用于接收受害者资金的目标钱包为一次性地址。他们表示，被盗资产迅速通过加密货币混币器转移——这是一种通过多笔交易分割和洗钱的混淆方法，使得追踪和追回几乎不可能。 研究人员报告称，尽管无法协助追回损失资产，但此次接触表明钓鱼攻击属于更广泛的大规模行动的一部分。进一步调查后，SentinelLabs和Validin研究人员识别出38,048个托管诱饵页面的FreeDrain子域名。这些子域名托管在亚马逊S3和微软Azure Web Apps等云基础设施上，模仿合法的加密货币钱包界面。 为使钓鱼网站网络更具吸引力，黑客综合运用SEO操纵技术、免费层级网络托管服务（如GitHub.io、WordPress.com、GoDaddySites、Gitbook）、域名抢注技术、熟悉视觉元素和分层重定向技术，诱使受害者误认为网站合法。 “我们对所有主流搜索引擎顶部结果中出现的大量诱饵页面感到震惊。”研究人员表示。“多数页面仅包含一张大图（通常是合法加密钱包界面的静态截图）和几行看似提供帮助说明的文字——讽刺的是，部分页面甚至声称要教育用户如何防范钓鱼攻击。”尽管看似基础，这些网页直接回答了搜索引擎用户可能输入的问题。此类页面已知会受到搜索引擎算法的推荐，尤其是当托管在高声誉平台时。 此外，FreeDrain运营者通过在维护不善的网站上进行大规模评论灌水，通过搜索引擎索引提升其诱饵页面的可见度——这种技术被称为“垃圾索引”。研究人员写道：“该技术使FreeDrain能绕过钓鱼邮件或恶意广告等传统传播途径，直接在用户最信任的搜索引擎顶部接触目标。”调查人员发现，许多诱饵页面的文字存在由大语言模型生成的证据。 他们指出，发现的复制粘贴痕迹揭示了具体使用工具，包括“4o mini”等字符串——可能指向OpenAI的GPT-4o mini模型。调查人员表示，这些迹象表明FreeDrain运营者正在利用生成式AI创建可扩展内容，但有时操作粗心。SentinelLabs和Validin研究人员梳理出最终导向钓鱼网站的逐步流程： 在主流搜索引擎搜索钱包相关查询（如“Trezor钱包余额”）。 点击高排名结果（通常托管在gitbook.io或webflow.io等看似可信的平台）。 进入显示可点击大图（通常是合法钱包界面静态截图）的页面。 点击图片，跳转至钓鱼页面或重定向至中间网站。 抵达最终钓鱼网站（与真实钱包服务近乎完美的克隆），诱导用户输入助记词。 一旦提交助记词，攻击者的自动化基础设施将在数分钟内清空资金。 调查人员最终表示，由于FreeDrain使用临时基础设施和共享免费服务，溯源行动具有挑战性。然而，通过分析仓库元数据、行为信号和时间痕迹，他们成功获取了运营者特征的重要线索，包括其可能位置、工作模式和协作水平。研究人员称，调查揭示了多项关键发现。他们分析了与FreeDrain关联的GitHub仓库，发现提交记录中的电子邮件地址唯一且关联独立GitHub账户，多数来自免费邮箱提供商。 此外，提交时间戳主要集中于UTC+05:30时区（对应印度标准时间IST），表明与印度（或可能斯里兰卡）存在强烈地理关联。该发现通过分析Webflow等其他服务的元数据得到佐证——日志显示IST时区清晰的工作日9点至17点工作模式。研究人员总结称，综合证据表明FreeDrain行动极可能由印度境内人员在标准工作日时段实施。他们还指出，该活动至少自2022年活跃，2024年中活动量显著增加，且报告发布时仍在持续。 针对FreeDrain活动暴露的问题，调查人员建议免费内容平台采取措施防止滥用并改进对恶意活动的响应： 改进滥用报告机制：允许直接从已发布内容页面举报滥用行为，并与可信威胁情报分析师和研究人员建立直接沟通渠道。 投资基础防滥用工具：监测批量账户创建、相似域名结构和外部钓鱼工具包重复托管等滥用模式。 增强检测能力：识别协同滥用行为，例如重复命名模式和跨子域名复用的相同模板。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 检测泄露的凭证只是战斗的一半。真正的挑战——往往被忽视的另一半——在于检测后的处理。GitGuardian《2025年机密泛滥现状报告》的新研究揭示了一个令人不安的趋势：在公共代码库中发现的大多数暴露的企业机密，在被检测后仍保持有效数年之久，这导致攻击面持续扩大，而许多组织未能有效应对。 根据GitGuardian对GitHub公共代码库中暴露机密的分析，早在2022年检测到的凭证中，仍有惊人的比例至今有效： “检测到泄露的机密只是第一步，”GitGuardian研究团队表示，“真正的挑战在于快速修复。” 这种持续有效性暗示着两个令人担忧的可能性：要么组织未意识到其凭证已暴露（安全可见性问题），要么缺乏资源、流程或紧迫性来妥善修复（安全运维问题）。在这两种情况下，一个值得关注的观察结果是，这些机密甚至未被例行撤销——既没有通过默认过期自动失效，也未在定期轮换流程中手动处理。 组织要么对暴露的凭证毫不知情，要么缺乏资源有效应对。硬编码机密在代码库中泛滥，使得全面修复变得困难。凭证轮换需要跨服务和系统协调更新，通常会影响生产环境。 资源限制迫使组织仅优先处理最高风险的暴露，而遗留系统因不支持临时凭证等现代方法造成技术障碍。可见性有限、操作复杂性和技术限制的结合，解释了为何硬编码机密在暴露后仍长期有效。转向采用集中化自动化系统和短期凭证的现代机密安全方案，已成为运营必需，而不仅仅是安全最佳实践。 在原始数据背后隐藏着一个令人不安的现实：由于凭证在公共代码库中持续存在多年，关键生产系统仍然脆弱。 对2022-2024年暴露机密的分析表明，数据库凭证、云密钥和关键服务的API令牌在首次暴露后仍长期有效。这些并非测试或开发凭证，而是通往生产环境的真实密钥，为攻击者访问敏感客户数据、基础设施和关键业务系统提供了直接通道。 仍暴露的敏感服务（2022–2024） MongoDB：攻击者可利用这些凭证窃取或破坏数据。这些高度敏感的凭证可能让攻击者获取个人身份信息，或用于提权和横向移动的技术洞察。 谷歌云、AWS、腾讯云：这些云密钥可能让攻击者访问基础设施、代码和客户数据。 MySQL/PostgreSQL：这些数据库凭证每年也持续出现在公开代码中。 这些都不是测试凭证，而是真实服务的密钥。 过去三年间，公共代码库中暴露机密的格局变化既显示出进步，也揭示了新风险，尤其是云和数据库凭证方面。需再次强调，这些趋势仅反映已被发现且仍然有效的案例——意味着尽管已被公开暴露，它们仍未被修复或撤销。 对于云凭证，数据显示出明显的上升趋势。2023年，有效云凭证占所有仍活跃的暴露机密比例略低于10%。到2024年，该比例激增至近16%。这一增长可能反映了企业环境中云基础设施和SaaS采用率的提升，但也凸显出许多组织在安全管理云访问方面持续面临的挑战——尤其是随着开发速度和复杂性的增加。 相比之下，数据库凭证暴露呈相反走势。2023年，有效数据库凭证占检测到的未修复机密超13%，但到2024年该数字降至不足7%。这一下降可能表明，针对数据库凭证的认知和修复工作——特别是高调数据泄露事件后及托管数据库服务使用增加——正在产生效果。 总体结论是微妙的：尽管组织可能在保护传统数据库机密方面有所进步，但有效且未修复的云凭证暴露的快速上升表明，新型机密正在成为最普遍和高风险的存在。随着云原生架构成为常态，对自动化机密管理、短期凭证和快速修复的需求比以往任何时候都更加紧迫。 高风险凭证的实用修复策略 MongoDB凭证 为降低暴露的MongoDB凭证带来的风险，组织应迅速轮换任何可能泄露的凭证，并设置IP白名单严格限制数据库访问。启用审计日志对实时检测可疑活动和协助事件调查也至关重要。长期来看，应通过动态凭证摆脱硬编码密码。如果使用MongoDB Atlas，可通过API编程实现密码轮换，使CI/CD流水线能够定期轮换机密，即使未检测到暴露。 谷歌云密钥 如果发现谷歌云密钥暴露，最安全的措施是立即撤销。为防范未来风险，应从静态服务账户密钥转向现代短期认证方法：对外部工作负载使用“工作负载身份联盟”，将服务账户直接绑定至谷歌云资源，或在需要用户访问时实施服务账户模拟。强制执行定期密钥轮换，并对所有服务账户实施最小权限原则，以降低任何暴露的潜在影响。 AWS IAM凭证 对于AWS IAM凭证，若怀疑暴露必须立即轮换。最佳的长期防御是完全弃用长期用户访问密钥，选择通过IAM角色和AWS STS为工作负载提供临时凭证。对于AWS外部的系统，利用“IAM Roles Anywhere”。使用AWS IAM访问分析器定期审计访问策略，并启用AWS CloudTrail进行全面日志记录，以便快速发现和响应可疑的凭证使用行为。 通过采用这些现代机密管理实践——聚焦短期动态凭证和自动化——组织能显著降低暴露机密带来的风险，并使修复成为可管理的常规流程，而非紧急救火行动。机密管理器集成也能帮助自动完成此类任务。 暴露机密的持续有效性代表着重大且常被忽视的安全风险。尽管检测至关重要，但组织必须优先考虑快速修复，并转向能够最小化凭证暴露影响的架构。 正如数据所示，问题正在恶化而非改善——更多机密在暴露后长期保持有效。通过实施适当的机密管理实践并弃用长期凭证，组织能显著减少攻击面，缓解不可避免的暴露事件的影响。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦刑事警察局（BKA）以涉嫌洗钱和运营犯罪交易平台为由，查封了加密货币交易所eXch的线上基础设施并关闭其服务。 当局称，此次行动于2025年4月30日开展，并查获了8TB数据以及价值3400万欧元（约合3825万美元）的加密货币资产，包括比特币、以太币、莱特币和达世币。 据BKA披露，eXch[.]cx自2014年运营至今，提供加密货币兑换服务，用户可通过该平台交易数字资产。该平台同时存在于明网（clearnet）和暗网（dark web）。 BKA在一份声明中表示，eXch“在犯罪地下经济（UE）平台中公开宣称不实施任何反洗钱措施”，且“用户无需向服务提供身份信息，平台也不会存储用户数据。因此，通过eXch进行的加密货币兑换尤其适合掩盖资金流向”。 自平台上线以来，估计有价值19亿美元的加密货币资产通过其完成转移，其中包括朝鲜黑客组织今年早些时候入侵Bybit后获得的部分非法收益。 值得注意的是，eXch曾于4月17日宣布计划于本月停止运营，此举促使当局提前行动以获取“大量证据和线索”。 在BitcoinTalk论坛的一则帖子中，eXch声称关闭服务的理由是“已确认平台成为一项跨大西洋执法行动的目标，旨在强制关闭我们的项目并以‘洗钱和恐怖主义’罪名起诉我们”。其辩称：“我们从未想过支持洗钱或恐怖主义等非法活动，也绝无动机运营一个被视为犯罪的项目。这毫无意义。” 区块链情报公司TRM Labs在5月2日发布的报告中指出，eXch的链上活动与儿童性虐待材料（CSAM）犯罪组织有关，且该平台直接经手超过30万美元的CSAM相关资金。报告称：“尽管eXch以隐私保护型交易所自居，但其以阻碍生态问责而闻名，例如拒绝协助Bybit冻结可能与其黑客事件相关的资金。” 在平台被取缔后，荷兰财政情报和调查局（FIOD）表示“正积极调查通过该兑换服务参与洗钱及其他非法活动的个人”，并强调：“此次行动并非对隐私权的攻击。我们尊重隐私权，但也将在服务被滥用于犯罪时采取行动。请相关人士立即停止违法行为——问题不在隐私，而在犯罪滥用。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌同意向美国德克萨斯州支付13.75亿美元（约合人民币100亿元），就两起涉嫌非法追踪用户位置与违规收集生物识别数据的诉讼达成和解。这是继2024年7月与Meta（原Facebook）就非法面部识别数据使用达成14亿美元和解后，德州总检察长肯·帕克斯顿在科技巨头监管领域的又一重大胜利。 根据德州总检察长办公室发布的声明，此次和解涉及谷歌在用户关闭“位置历史记录”情况下仍秘密追踪地理位置、收集无痕搜索数据，以及通过谷歌照片服务非法获取生物识别数据（声纹与面部特征）等多项指控。此前同类案件中，全美40个州联合诉讼仅获3.91亿美元和解，加州单独诉讼金额为9300万美元，此次德州和解金额超历史总和。 “在德州，科技巨头没有法外特权。多年来，谷歌通过产品服务秘密追踪用户行踪、私人搜索甚至生物特征。我们通过多年诉讼最终赢得这场战役，”帕克斯顿表示，“这13.75亿美元和解金是对企业滥用用户信任的严厉警示，我将持续保护德州民众隐私免受科技巨头侵害。” 谷歌在声明中否认存在不当行为，称相关产品政策早已调整。发言人何塞·卡斯塔内达表示：“此次和解主要涉及多年前已修正的旧版产品功能，包括Chrome无痕模式提示、谷歌地图位置披露条款及照片生物识别数据处理方式。我们将继续加强服务中的隐私控制。” 技术细节显示，作为和解协议的一部分，谷歌将于2024年12月1日起调整地图时间线功能——相关数据将仅存储于用户设备本地，停止云端同步并关闭网页端访问权限。用户需下载移动端谷歌地图应用方可继续使用该功能。 此次和解创下美国州政府单起隐私诉讼最高赔偿纪录。2024年以来，德州通过三起科技巨头隐私诉讼累计获赔超21亿美元，包括： 2024年1月：谷歌支付700万美元和解非法收集未成年人声纹数据诉讼 2024年7月：Meta支付14亿美元和解非法面部识别数据收集案 2024年8月：本起13.75亿美元谷歌隐私和解案 法律专家指出，德州通过修订《生物识别数据隐私法》与《数据隐私与安全法案》，构建了全美最严苛的数据保护体系。该州总检察长办公室设有专职技术侦查部门，配备逆向工程专家与数字取证团队，为诉讼提供技术支持。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，新型信息窃取软件“Noodlophile窃密者”正通过伪造的AI视频生成工具传播。攻击者在Facebook高流量群组投放名为“造梦机器”（Dream Machine）的广告，宣称可通过上传文件生成AI视频，实则诱导用户下载恶意压缩包。 感染链分析显示，受害者下载的ZIP文件内藏名为“Video Dream MachineAI.mp4.exe”的可执行程序（实为CapCut视频编辑软件v445.0版本的重打包程序），利用Winauth工具伪造数字签名。当用户双击该文件时，系统会执行多阶段攻击流程： 启动批处理脚本：通过install.bat调用Windows系统工具certutil.exe，解码Base64加密的带密码RAR压缩包（伪装为PDF文档） 建立持久化：在注册表添加自启动项 载荷注入：根据目标环境选择注入方式——若检测到Avast杀毒软件，则通过PE空心化技术将恶意代码注入RegAsm.exe进程；否则直接使用Shellcode内存加载 窃密执行：运行从硬编码服务器获取的混淆Python脚本，最终在内存中激活Noodlophile窃密者 该恶意软件具备三重数据窃取能力： 浏览器凭证：盗取Chrome、Edge等浏览器的账号密码、会话Cookie及身份令牌 数字资产：扫描加密货币钱包文件（如metamask.txt、ledger.txt等）与私钥 远程控制：部分样本捆绑XWorm远控木马，实现主动渗透 窃取数据通过Telegram机器人实时回传至攻击者，形成隐蔽的C2通道。安全公司Morphisec指出，此恶意软件即服务（MaaS）由越南语系犯罪团伙运营，暗网论坛提供“Cookie+密码提取”订阅服务。防御建议包括：禁用Windows文件扩展名隐藏功能，下载文件前验证数字签名，并使用更新至最新病毒库的安全软件扫描。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国高校常用课堂互动平台iClicker官网近期遭“ClickFix”攻击，黑客通过伪造验证码诱导师生执行恶意脚本。该平台隶属麦克米伦出版集团，服务全美5000余名教师与700万学生，用户包括密歇根大学、佛罗里达大学等知名院校。 据密歇根大学安全团队披露，2025年4月12日至16日期间，访问iClicker.com的用户会遭遇虚假CAPTCHA验证，提示点击“我不是机器人”按钮。当用户照做后，攻击者会将混淆处理的PowerShell指令复制至Windows剪贴板，诱导用户通过“运行”窗口执行。该脚本会连接远程服务器（http://67.217.228[.]14:8080）下载二级载荷——针对普通用户植入可实现设备完全控制的后门程序，对沙箱环境则伪装成微软VC++运行库安装包以规避检测。 安全机构SilentPush分析称，此类“ClickFix”社会工程攻击近年呈泛滥趋势，常伪装成Cloudflare验证、谷歌会议报错等界面。历史案例显示，最终载荷多为信息窃取程序，可盗取Chrome、Edge等浏览器的密码、Cookie、加密货币钱包及敏感文档（如seed.txt、metamask.txt等），并通过加密通道回传数据。考虑到攻击目标为高校群体，专家推测其最终目的可能是窃取凭证实施网络渗透或勒索攻击。 尽管iClicker于5月6日在官网发布安全公告，但BleepingComputer发现其页面嵌入了“noindex”元标签，致使公告无法被搜索引擎收录。公告称“登录前的虚假验证码由无关第三方植入，平台数据与核心功能未受影响”，建议4月12-16日期间点击过验证码的师生运行杀毒软件，并立即重置iClicker密码。若执行过恶意指令，需更换设备存储的所有密码，推荐使用BitWarden等密码管理器。 目前，移动端用户及未遭遇虚假验证码的访问者不受影响。平台母公司麦克米伦集团未回应媒体质询，安全研究人员正逆向分析攻击中使用的PowerShell混淆技术，以追溯攻击源头。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国第二大私营医疗集团Ascension披露，因前合作伙伴系统遭入侵，超43.7万名患者的个人健康信息遭泄露。此次事件源于2024年12月的数据泄露，系第三方文件传输软件漏洞被Clop勒索软件组织利用所致。 根据4月28日提交至美国卫生与公众服务部（HHS）的备案文件，泄露数据涵盖患者姓名、联系方式、社保号码及就诊记录等敏感信息，具体字段因个案而异。得克萨斯州有114,692人、马萨诸塞州96名居民确认受影响。 Ascension在致患者的通知信中解释，2024年12月5日发现潜在安全事件后启动调查，至2025年1月21日确认：前商业合作伙伴因使用的第三方软件存在漏洞遭入侵，导致Ascension患者数据被窃。尽管未透露技术细节，安全专家推测与Clop团伙利用Cleo文件传输系统漏洞的勒索攻击有关。 目前，Ascension通过第三方机构Kroll为受影响患者提供为期两年的免费身份监控服务，包括信用监测、欺诈协助及身份恢复支持。这是该机构一年内遭遇的第二起重大网络安全事件——2024年5月，Black Basta勒索软件攻击曾导致其全美多家医院运营瘫痪。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰与美国执法部门联合行动，成功瓦解一个由数千台感染物联网（IoT）设备及报废（EoL）路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务，四名涉案人员——三名俄罗斯公民（37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin）与一名哈萨克斯坦公民（38岁的Dmitriy Rubtsov）已被美国司法部起诉，指控其运营并利用代理服务非法牟利。 据司法部披露，用户需按月支付订阅费（9.95至110美元/月），攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局（FBI）在俄克拉荷马州发现，大量家用与商用路由器遭黑客入侵并植入恶意软件，用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出，该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制（C2）服务器通信，其中半数以上受害者位于美国，加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”（Operation Moonlander），已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示，这两个平台指向“同一僵尸网络，以不同品牌运营”。 互联网档案馆的网页快照显示，5socks.net曾宣称每日提供“超7000个在线代理节点”，覆盖美国各州及全球多国，攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称，受感染设备被植入名为“TheMoon”的恶意软件，该软件此前还支撑另一名为Faceless的犯罪代理服务。目前，该公司已对僵尸网络基础设施实施流量黑洞处理，阻断所有已知控制节点的通信。 FBI在公告中表示，攻击者利用报废路由器中的已知安全漏洞植入恶意软件，获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令，包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现，主要针对Linksys路由器。 安全专家指出，用户购买代理服务后仅需通过IP地址与端口组合即可连接，且服务激活后无需额外认证，极易被滥用。为降低风险，建议用户定期重启路由器、安装安全补丁、修改默认密码，并在设备报废后及时更换新型号。Lumen警告称，代理服务将继续威胁互联网安全，因其允许攻击者隐匿于住宅IP背后，而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现三个恶意npm软件包专门针对苹果macOS版人工智能驱动的源代码编辑器Cursor。这些伪装成“最便宜Cursor API”开发者工具的软件包会窃取用户凭证，从攻击者控制的服务器获取加密载荷，覆盖Cursor的main.js文件，并禁用自动更新机制以维持持久性驻留。 受影响的软件包包括： sw-cur（2,771次下载） sw-cur1（307次下载） aiide-cur（163次下载） 截至5月9日时，这三个软件包仍可在npm仓库下载。其中“aiide-cur”由用户“aiide”于2025年2月14日发布，自称是“macOS版Cursor编辑器的命令行配置工具”；另外两个软件包由别名“gtr2018”的用户提前一天发布，累计下载量已超3,200次。 安装后，这些软件包会窃取用户输入的Cursor凭证，并从远程服务器（t.sw2031[.]com或api.aiide[.]xyz）获取第二阶段载荷，用恶意代码替换合法Cursor文件。“sw-cur”还会禁用Cursor自动更新功能并终止所有相关进程，随后重启应用使恶意代码生效，使攻击者能在平台上执行任意代码。 Socket公司研究员基里尔·博延科指出，这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋势。这种“补丁式攻击”的阴险之处在于，即使删除恶意软件包，仍需重新安装被篡改的软件才能彻底清除威胁。 “攻击者不再局限于向软件包管理器植入恶意代码，而是发布看似无害的npm包来重写受害者计算机上的可信代码，”Socket向The Hacker News解释，“恶意逻辑通过合法父进程（如IDE或共享库）运行时，会继承应用程序信任，在被删后仍保持持久性，并自动获取软件权限——从API令牌、签名密钥到外网访问权限。” 攻击者还利用开发者对AI工具的兴趣实施钓鱼，以“最便宜Cursor API”为诱饵吸引用户安装后门。防御此类供应链攻击需监测安装后脚本、修改node_modules外文件、异常网络请求等行为，配合版本锁定、实时依赖扫描和关键文件完整性监控。 此次披露还包含另两个npm包——2024年9月由用户“olumideyo”发布的pumptoolforvolumeandcomment（625次下载）和debugdogs（119次下载）。后者通过调用前者传播混淆载荷，窃取加密货币平台BullX的密钥、钱包文件和交易数据，并通过Telegram机器人外传。安全研究员库什·潘迪亚指出，这种“包装器模式”使用多重名称传播相同恶意代码，能在数秒内清空数字资产。 此外，安全公司Aikido发现合法npm包“rand-user-agent”遭供应链攻击，恶意版本2.0.83、2.0.84和1.0.110会植入远程控制木马。这些版本通过与外部服务器通信实现目录切换、文件上传和命令执行，于2025年5月5日被检测到。目前该包已被标记为弃用，GitHub仓库重定向至404页面。维护方WebScrapingAPI称，攻击者通过未启用双因素认证的过期自动化令牌实施了此次入侵。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌上周四宣布，将在Chrome浏览器、搜索引擎和安卓系统中推出全新人工智能反欺诈功能。该公司表示，其设备端大型语言模型Gemini Nano将首次被整合至桌面版Chrome 137的安全浏览系统，通过实时分析网站内容识别诈骗风险，即使面对从未出现过的诈骗手段也能提供保护。 “设备端处理方式可即时识别危险网站，其独特优势在于能解析网站复杂多变的特征，帮助我们更快适应新型诈骗手法，”谷歌在声明中指出。目前该技术已用于打击远程技术支持诈骗，这类诈骗常以虚假的电脑故障为借口骗取用户财务信息。 谷歌Chrome安全团队工程师解释称，系统通过大语言模型扫描网页中可能存在的诈骗信号，例如滥用键盘锁定API等可疑行为。检测到风险信号后，安全浏览系统会综合判断页面是否为欺诈网站。为平衡性能与安全，谷歌采用异步处理机制限制GPU使用量，并设置令牌配额防止资源过度消耗。 除当前针对技术支持诈骗的防护外，谷歌计划将检测范围扩展至包裹追踪和未缴通行费类诈骗。安卓版Chrome预计将在今年晚些时候获得该功能。同时，升级后的AI反诈系统日均拦截的欺诈性搜索结果数量已提升20倍，2024年成功将仿冒航空公司客服的诈骗页面减少80%，虚假签证/政府服务网站减少70%。 针对安卓用户，Chrome将新增设备端机器学习通知预警功能。当检测到恶意网站推送的诱导性通知（如要求下载可疑软件或泄露敏感信息），浏览器会显示网站名称、欺诈风险提示，并提供退订选项。该功能与谷歌今年3月在短信应用中推出的AI诈骗检测形成互补，延续了其设备端优先的安全策略。 值得关注的是，谷歌正为安卓16系统开发“高级防护”功能，默认关闭JavaScript和2G连接，并启用防盗锁、离线设备锁等安全设置。此前有报道称，该公司还在测试通话中检测银行APP诱导开启的新型反诈技术，进一步构建多层级防护体系。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非国有航空公司南非航空(SAA)于周二发布声明称，其于上周六遭遇网络攻击，导致官方网站和多个内部运营系统暂时中断。 此次攻击还影响了移动应用程序，但该公司表示IT团队已控制事态，并“将核心航班运营的干扰降至最低”。 在周二发布的声明中，南非航空强调：“我们确保了客户服务中心、销售办公室等关键客服渠道的持续运行，所有受影响平台已于当天恢复正常功能”。 该公司未回应此次事件是否涉及勒索软件的质询。 首席执行官约翰·拉莫拉表示，公司正在调查事件根本原因，并核查敏感信息是否外泄。作为预防措施，该事件已向国家安全局、南非警察局及信息监管机构报告。 南非航空承诺，若确认存在信息被盗将通知受影响人员。南非航空公司去年营收超3亿美元、运营16条航线。截至周三下午尚无黑客组织宣称负责。 此次攻击是南非关键机构持续遭受网络犯罪冲击的最新案例。2023年，勒索团伙曾泄露总统个人联系方式，并窃取国防部1.6TB数据。 此后，国有银行、能源巨头、政府雇员养老基金及国家实验室接连遇袭。仅2025年前四个月，政府气象服务部门、最大鸡肉生产商和主要电信公司已相继沦陷。 上周，非洲最大电信运营商MTN集团也确认遭遇数据泄露。 面对愈演愈烈的网络威胁，南非政府于今年4月出台新规，强制要求所有机构向信息监管机构报告网络攻击，以加强个人信息安全事件的监控。 这项立法恰逢南非航空等国有企业正从长期财务危机中复苏的关键时期——该航司2024年才实现13年来首次盈利，此前累计接受政府注资约137亿元人民币。        消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 教育出版巨头培生集团（Pearson）向BleepingComputer证实遭遇网络攻击，威胁分子窃取了企业数据和客户信息。 这家总部位于英国的公司是全球最大的学术出版、数字学习工具和标准化考试服务商之一，通过印刷与在线服务为70多个国家的学校、大学及个人提供服务。 培生发言人表示：“我们近期发现未经授权的攻击者入侵了部分系统。发现异常活动后，我们立即采取措施阻止并聘请取证专家调查事件影响范围，同时配合执法机构调查。已部署额外防护措施，包括增强安全监控和身份验证。当前认为攻击者主要窃取历史遗留数据，将通过适当渠道向客户及合作伙伴通报详细信息。”培生强调失窃数据未包含员工信息。 知情人士透露，攻击者于2025年1月通过公开的.git/config文件中暴露的GitLab个人访问令牌(PAT)入侵培生开发环境。此类本地配置文件通常存储Git项目名称、邮箱等设置，若远程URL中嵌入访问令牌被意外公开，可导致攻击者访问内部代码库。在此次攻击中，暴露的令牌使威胁分子获取公司源代码，其中包含硬编码的云平台凭证与认证令牌。 据称攻击者随后利用这些凭证从培生内部网络及AWS、Google Cloud、Snowflake、Salesforce CRM等云基础设施窃取数TB数据，涉及客户信息、财务记录、支持工单和源代码，数百万用户受影响。当BleepingComputer询问培生是否支付赎金、“遗留数据”具体定义、受影响客户数量及通知计划时，该公司拒绝置评。此前培生在1月披露其子公司PDRI遭入侵，据信与本次攻击相关。 网络安全专家指出，扫描Git配置文件和暴露凭证已成为攻击者入侵云服务的常用手段。去年互联网档案馆（Internet Archive）就因Git配置文件暴露导致GitLab仓库令牌泄露而遭入侵。安全建议包括限制.git/config文件公开访问、避免在远程URL嵌入凭证。培生事件再次印证代码仓库安全管理的重要性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit勒索软件组织遭黑客入侵，其暗网后台基础设施数据被窃取并泄露。攻击者攻陷了该团伙的暗网泄密网站并篡改页面，发布警示信息及后台联盟面板MySQL数据库转储链接。 篡改后的页面显示“别犯罪，犯罪是坏事 xoxo来自布拉格”，并附有可下载“paneldb_dump.zip”的链接。该数据库包含20个核心表，涉及以下关键信息： 59,975个比特币地址：用于收取赎金的钱包清单 4,442条谈判记录：2024年12月19日至2025年4月29日期间，LockBit运营者与受害者之间的勒索对话 构建配置数据：包含目标公司名称、应规避加密的文件类型等攻击参数 75名成员信息：管理员及分支机构账户的明文密码（例如“Weekendlover69”等） LockBit头目“LockBitSupp”通过私聊承认入侵属实，但声称私钥和核心数据未泄露。安全研究人员发现，数据库中的构建配置表关联了特定受害者的公钥与私钥对，这为开发通用解密工具提供了可能。意大利网络安全专家Emanuele De Lucia分析指出，勒索金额根据目标估值动态调整，初始索要金额跨度从5万至150万美元不等，受害者顶级域名涉及埃塞俄比亚(.et)、日本(.jp)、巴西(.br)等国家地区。 此次攻击暴露了LockBit运营体系的脆弱性： 分支机构活跃度低下：44个生成加密器的账户中仅30个处于活跃状态，反映该组织实际攻击能力缩水 基础设施漏洞：与近期Everest勒索软件组织遭入侵事件类似，攻击者可能利用PHP 8.1.2的远程代码执行漏洞(CVE-2024-4577)实施入侵 内部安防缺失：明文存储密码、未隔离核心数据库等低级错误，凸显犯罪组织的运维缺陷 安全界认为这是继2024年2月国际执法机构“Cronos行动”后，对LockBit的又一次重创。泄露数据为追踪资金流向、归因攻击事件提供了关键线索，或将加速该犯罪集团的瓦解。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 5月7日（周三）起，美国正式实施“真实身份证”（REAL ID）新规，这项联邦标准化身份认证系统将生物识别数据与机场面部识别技术深度绑定。尽管官方宣称此举能提升安全等级，但网络安全专家警告其可能成为全球黑客的“巨型靶心”和“监控超级武器”。 Polyguard网络安全公司联合创始人兼CEO约书亚·麦肯蒂（Joshua McKenty）指出，REAL ID通过整合全美50个州机动车管理局数据库，建立了“国家超级数据库”，将持卡人的“生物特征信息与面部数据关联”。这位前NASA首席云架构师强调，即使旅客在机场安检时选择退出面部识别，其生物信息早在申请证件时已被采集，且数据删除政策存在模糊性。随着深度伪造技术泛滥，这类集中化存储的生物特征数据库可能被用于身份欺诈和仿冒攻击。 iProov生物识别安全公司创始人安德鲁·巴德（Andrew Bud）则认为，REAL ID为构建“信任经济”奠定基础，有利于提升政府、金融和医疗机构的身份核验效率，并为移动数字驾照等未来技术铺路。但麦肯蒂揭示出三重悖论：系统在提供便利的同时，也加剧了“监控与隐私”、“集中控制与个人数据主权”之间的矛盾。他呼吁建立“可撤回授权、透明化操作、真正可移植”的验证体系，使个人能自主管理生物数据。 尽管国土安全部长克里斯蒂·诺姆（Kristi Noem）表示未持REAL ID者仍可用护照登机，但需接受额外安检。关键注意事项包括： 国际航班仍需护照，REAL ID仅限美国境内使用 18岁以下未成年人免持REAL ID 各州车管局发放的临时纸质凭证无效，必须使用实体证件 姓名变更者需携带法院文件或结婚证等补充材料 目前全美81%居民已完成证件升级，但仍有数百万人在各地车管局排长队办理。网络安全公司Guardio监测发现，诈骗分子正通过伪造车管局网站、钓鱼邮件等手段窃取申请者个人信息，提醒公众务必通过官方渠道办理。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现iOS游戏《Cats Tower: The Cat Game!》存在数据泄露，该应用使近45万用户面临被黑客追踪、劫持Facebook账户甚至武器化其后端系统的风险。Cybernews团队确认，这款由App Store显示开发商为Rhino Games（隐私政策链接指向亚美尼亚移动游戏公司Next Epic LLC）的游戏，因Firebase配置错误导致以下信息暴露：用户名称、IP地址、Facebook用户ID及访问令牌以及硬编码密钥。 泄露的IP地址虽非精确GPS坐标，但结合其他公开或泄露数据仍可定位用户居住地。尤其危险的是229组Facebook访问令牌，攻击者可借此侵入账户发布加密货币诈骗或向好友发送钓鱼链接。研究人员多次联系相关公司均未获回应。 调查期间，暴露的Firebase实例持续泄露超45万用户的IP与用户名，由于Firebase作为临时数据库会定期与永久后端同步，当前可见数据可能只是冰山一角。技术娴熟的黑客可部署实时爬虫监控数据库，将单次泄露转为持续性监控行动。 更严重的是，该应用代码库中散布着本应对开发团队保密的敏感密钥，包括：客户端ID、反向客户端ID、安卓客户端ID、API密钥、项目ID、存储桶、谷歌应用ID、数据库URL、GAD应用标识符。 这些密钥属于iOS应用中最常泄露的前十类敏感信息。网络安全专家警告，将API密钥等凭证硬编码至发布版应用的行为存在极大风险，攻击者可借此逆向工程整个后端系统，滥用服务收集更多用户数据、伪造请求甚至通过应用基础设施直接发送垃圾信息。 此次泄露事件是Cybernews对App Store中15.6万款iOS应用（约占总量8%）调查的典型案例。研究发现71%的受检应用至少泄露一项密钥，平均每款应用暴露5.2项敏感信息。例如多款热门约会应用泄露的硬编码凭证可访问存有近150万用户照片的云存储桶（含已删除图片、违规内容及私密消息图片）；某家庭位置追踪应用实时泄露GPS坐标；某防骚扰应用泄露拦截号码、关键词及含真实姓名/邮件的客服工单。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 端点检测与响应（EDR）解决方案已成为多数组织的标准网络安全产品，但它们并非无懈可击。5月5日，怡安集团旗下Stroz Friedberg事件响应服务研究人员发布报告，披露攻击者利用一种新型技术成功绕过头部EDR产品SentinelOne的防护。该技术名为“自带安装程序”（Bring Your Own Installer），通过利用SentinelOne代理程序升级/降级流程中的漏洞，绕过防篡改功能，导致终端失去保护。 Stroz Friedberg研究人员观察到攻击者使用该技术获取本地管理员权限，绕过EDR防护并执行Babuk勒索软件变种。SentinelOne已针对该报告向客户提供缓解措施。“截至报告发布时，怡安集团Stroz Friedberg尚未发现任何EDR厂商（包括SentinelOne）在正确配置产品的情况下受到此攻击影响。”研究人员在报告中指出。 与其他EDR产品类似，SentinelOne的EDR具备防篡改功能，旨在阻止未授权用户禁用防护措施及恶意软件终止EDR进程。该功能需要管理员在管理控制台执行操作或使用唯一代码才能解除防护。然而，Stroz Friedberg研究人员发现攻击者通过利用公开服务器应用的漏洞，获取了运行SentinelOne EDR主机的本地管理员权限。 在系统取证分析中，研究人员发现多项EDR绕过迹象，包括：多个合法签名的SentinelOne安装程序文件（如SentinelOneInstaller_windows_64bit_v23_4_4_223.exe和SentinelInstaller_windows_64bit_v23_4_6_347.msi）的创建记录；与产品版本变更相关的额外事件日志（包括计划任务变更、服务停止/启动事件、本地防火墙配置变更等）。 基于这些发现，Stroz Friedberg研究人员通过实验复现了SentinelOne EDR软件的潜在漏洞。他们在安装23.4.6.223版本SentinelOne EDR的Windows 2022 Server虚拟机上，使用MSI安装程序启动代理程序升级/降级流程。升级/降级过程会在生成新版本进程前约55秒终止所有现有进程，形成短暂的无防护窗口期。研究人员利用本地管理员权限执行taskkill命令终止与升级相关的msiexec.exe进程，最终导致系统失去SentinelOne防护，并在管理控制台显示为离线状态。 针对该发现，SentinelOne迅速向客户发布缓解指南，包括：启用默认开启的本地代理密码功能防止未授权卸载；使用本地升级授权功能确保通过控制台认证升级流程。报告发布后，SentinelOne已对所有新客户默认开启本地更新授权功能，并协助研究人员将攻击模式私下披露给其他EDR厂商。部分被联系厂商未对此攻击模式披露作出回应。     消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文