HackerNews

HackerNews 编译，转载请注明出处： 自周五起，欧盟金融机构及其第三方供应商需向本国监管机构报告重大信息技术事件，标志着欧盟《数字运营弹性法案》（DORA）正式生效。 该法案旨在推动金融行业及其供应链的最佳实践，既包括保护企业免受网络攻击，也包括防范其他形式的业务中断，如去年CrowdStrike的错误更新事件。报告要求同样适用于国际上的第三方供应商。“数字运营弹性”即指金融实体通过直接或间接使用ICT第三方服务商提供的服务来确保其所需的全部ICT相关能力，并借助这些能力来解决所使用网络和信息系统的安全问题，以及持续提供高质量的金融服务(包括在ICT中断期间)。 对于不遵守规定的行为，法案将处以严厉处罚，最显著的是对受监管“金融机构”失职管理层成员可能追究刑事责任——该术语涵盖范围广泛，包括银行、支付服务提供商、投资公司以及从事加密资产业务的企业。 法案要求这些机构的管理层定期接收高级信息技术人员的报告，以支持组织的弹性建设。 如未能提供此类信息，欧盟成员国已接到指示，需为失职的个别董事会成员建立民事责任制度，同时保留在法规中追究刑事责任的可能性。 网络弹性公司Rubrik的企业首席技术官詹姆斯·休斯表示：“任何法规中的个人问责制往往能使人更加专注。”他还补充说，该公司对金融服务公司的调查显示，近一半的公司为准备这项法规花费了超过100万美元。 违反义务的金融机构可能被处以全球年度营业额2%或1000万欧元（1030万美元）的罚款，以较高者为准。不遵守规定的第三方信息技术供应商可能每天被处以全球平均日营业额1%的罚款，“直至合规为止，且罚款期限不超过六个月”。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一、事件概述 近期，网络安全领域接连曝出针对研究人员的假PoC（概念验证）攻击事件，引发业界高度关注。2024年12月，微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞，分别是CVE-2024-49112和CVE-2024-49113。其中，CVE-2024-49113是一个拒绝服务（DoS）漏洞。然而，就在漏洞修复后不久，Trend Micro发现了一个名为“LDAPNightmare”的恶意利用，它伪装成CVE-2024-49113的PoC，通过一个恶意代码仓库，诱骗安全研究人员下载并执行信息窃取型恶意软件。该恶意软件会从受感染机器上收集敏感数据，包括计算机信息、运行进程、网络详情和已安装更新等，并将其传输到攻击者控制的远程服务器。 无独有偶，2023年，Palo Alto Networks的研究人员也发现了一个新的恶意软件活动，该活动针对WinRAR的CVE-2023-40477漏洞。攻击者使用一个基于GeoServer漏洞CVE-2023-25157公开PoC代码修改而来的假PoC脚本，诱骗研究人员下载并执行VenomRAT有效载荷。一旦执行，该恶意软件会在系统中创建计划任务，每隔三分钟运行一次，以持续运行恶意软件，进而控制受害者系统、执行命令并窃取数据。 包含 “poc.exe” 的存储库 二、技术分析过程 （1）LDAPNightmare攻击技术分析 攻击者精心构建了一个看似合法的恶意代码仓库，其中的Python文件被替换为恶意可执行文件。当研究人员下载并执行该文件后，会释放并执行一个PowerShell脚本。该脚本随后建立计划任务，从Pastebin下载并执行另一个恶意脚本，最终收集受害者的公网IP地址，并将窃取的数据传输到外部FTP服务器。 SafeBreach Labs对CVE-2024-49113进行了深入研究，并开发出了一个PoC利用工具（概念验证漏洞），这个工具能够致使任何未打补丁的Windows服务器（不仅仅是域控制器）崩溃，来证明此漏洞的严重危害程度。根据Microsoft的分析发现，还可以进一步利用此漏洞导致远程代码执行。其次，研究人员确实验证了Microsoft的补丁修复了越界漏洞，并且该漏洞无法使修补的服务器崩溃。具体其攻击流程如下： 攻击者向受害服务器发送DCE/RPC请求。 受害服务器被触发，向攻击者的DNS服务器发送关于SafeBreachLabs.pro的DNS SRV查询。 攻击者的DNS服务器回复攻击者的主机名和LDAP端口。 受害服务器发送NBNS请求，以查找收到的主机名（攻击者的）的IP地址。 攻击者发送带有其IP地址的NBNS响应。 受害服务器成为LDAP客户端，向攻击者的机器发送CLDAP请求。 攻击者发送带有特定值的CLDAP转介响应包，导致LSASS崩溃并强制重启受害服务器。 LDAPNightmare攻击流程 （2）VenomRAT恶意软件活动技术分析 Palo Alto Networks的安全研究人员发现了一个针对WinRAR中 CVE-2023-40477 漏洞的新恶意软件活动。该活动使用虚假的概念验证（PoC） 脚本来诱骗研究人员下载并执行VenomRAT有效载荷。虚假的PoC脚本基于跟踪的GeoServer中漏洞CVE-2023-25157公开可用的PoC代码。该代码已经过修改，以删除有关CVE-2023-25157漏洞详细信息的注释，并添加了下载和执行带有“检查依赖关系”注释的批处理脚本的其他代码。该脚本在%TEMP%/bat.bat创建批处理文件，连接到特定URL并运行响应内容，进而下载可执行文件并保存到%APPDATA%\Drivers\Windows.Gaming.Preview.exe，同时创建计划任务，每三分钟运行一次该可执行文件，以实现持久化运行。Windows.Gaming.Preview.exe 可执行文件是VenomRAT的变体，VenomRAT是一种远程访问木马（RAT）。VenomRAT可用于窃取数据、在受害者系统上执行命令以及远程控制系统。 Palo Alto Networks研究人员认为，该攻击活动背后的攻击者是以网络安全研究人员为目标的，以便控制与访问他们的系统并窃取他们的数据。研究人员还认为，攻击者还可能正在使用受感染的系统对其他组织发起进一步的攻击活动。 三、结论与建议 这些假PoC攻击事件凸显了网络安全领域面临的严峻挑战。攻击者利用研究人员对安全漏洞的关注和研究热情，通过伪装成PoC的恶意软件，成功渗透并窃取了研究人员的敏感信息，甚至可能进一步利用这些系统对其他组织发动攻击。因此，安全研究人员在下载和执行来自在线仓库的代码时必须保持高度警惕，优先选择官方来源，仔细审查仓库内容，验证仓库所有者或组织的真实性，并关注社区反馈，寻找可能的安全风险警示。同时，用户应确保及时更新软件至最新版本，避免点击不明链接，并使用有效的安全解决方案来检测和阻止恶意软件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/420252.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Planet Technology的WGS-804HPT工业交换机存在严重漏洞，攻击者可通过串联这些漏洞，在其工业设备上实现远程代码执行。 WGS-804HPT工业交换机常用于楼宇和智能家居自动化网络中，用于连接物联网（IoT）设备、IP监控摄像头和无线局域网（WLAN）网络应用。该系列交换机配备了Web服务和简单网络管理协议（SNMP）管理接口。 Claroty研究人员披露了WGS-804HPT工业交换机中的三个漏洞，这些漏洞可串联利用，在易受攻击的设备上实现预认证远程代码执行。 Claroty发布的安全公告指出：“这些漏洞包括独立的缓冲区溢出漏洞、整数溢出漏洞和操作系统命令注入漏洞；我们成功开发了一个利用这些漏洞的漏洞利用程序，可在设备上远程运行代码。能够远程控制这些设备的攻击者可以利用它们进一步攻击内部网络中的其他设备，并进行横向移动。” 专家对固件的分析发现，WGS-804HPT交换机Web服务的dispatcher.cgi接口存在漏洞。以下是Claroty发现的漏洞： CVE-2024-48871（CVSS评分：9.8）——基于栈的缓冲区溢出漏洞使未经身份验证的攻击者能够通过恶意HTTP请求执行远程代码。 CVE-2024-52320（CVSS评分：9.8）——操作系统命令注入漏洞允许未经身份验证的攻击者通过恶意HTTP请求执行远程代码。 CVE-2024-52558（CVSS评分：5.3）——整数下溢漏洞使未经身份验证的攻击者能够通过格式错误的HTTP请求导致系统崩溃。 攻击者可利用这些漏洞劫持执行流程，并通过HTTP请求中的shellcode运行操作系统命令。 成功利用这些漏洞后，攻击者可通过在HTTP请求中嵌入shellcode来劫持执行流程，并获得执行操作系统命令的能力。 Planet Technology已发布固件版本1.305b241111以解决这些问题。 研究人员指出，QEMU使他们能够模拟关键组件，有助于发现漏洞、开发概念验证（PoC）和评估设备的潜在影响。 “我们已私下向总部位于台湾的Planet Technology披露了这些漏洞，该公司已解决这些安全问题，并建议用户将设备固件升级到版本1.305b241111。”报告总结道。 消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯当局已将一家加拿大IT公司列为“不受欢迎”组织，使其成为第二个被列入该名单的西方网络安全公司。 俄罗斯总检察院周四在一份声明中表示，OpenText公司“与美国执法部门紧密合作，并为西方的反俄宣传努力做出贡献”。 莫斯科还声称，该公司为美国国防部提供服务，向五角大楼供应软件，其中包括一款有助于识别互联网用户的软件。 俄罗斯当局表示，OpenText于2023年收购的英国公司Micro Focus“向乌克兰执法机构提供了收集数据所需的网络安全软件和服务，以便打击俄罗斯军队和基础设施”。 截至北美东部时间周五上午10点45分，OpenText尚未回复Recorded Future News关于这些指控的置评请求。 这家位于加拿大安大略省滑铁卢的公司专门从事企业信息管理（EIM）软件，帮助组织管理机构文档、记录和其他内容。该公司还提供网络安全解决方案。 在俄罗斯，“不受欢迎”的地位适用于那些活动被认为对该国利益或安全有害的组织或个人。一旦被指定为“不受欢迎”，这些组织将被禁止在俄罗斯境内运营——其资产可能会被没收，活动也会受到限制。俄罗斯公民和法人实体也被禁止与这些组织合作，如果不遵守规定，还可能面临刑事指控。 去年12月，俄罗斯以类似的指控将美国网络安全公司Recorded Future列入“不受欢迎”组织名单。当时，Recorded Future的首席执行官克里斯托弗·阿尔伯格表示，该公司与任何情报机构没有特定联系，但许多政府机构都是其客户。The Record是Recorded Future旗下一个编辑独立的单位。 在俄乌战争后，OpenText和Micro Focus于2022年暂停了在俄罗斯的业务，并表示只有“战争结束且制裁解除”后才会恢复在该国的运营。OpenText此前曾捐款支持乌克兰的人道主义工作。 2023年，OpenText还透露，在2015年BlackEnergy网络攻击导致乌克兰全国大范围停电后，该公司向乌克兰电力公司Ukrenergo提供服务，以帮助保护其基础设施免受未来威胁。 2024年，俄罗斯外交部对五名Micro Focus员工实施个人制裁，指责他们向乌克兰执法机构提供软件和网络安全服务，以收集数据来打击俄罗斯军队和基础设施。 “这些IT公司是新纳粹的盟友，它们的活动导致人员伤亡，并可能被用来对付任何与盎格鲁-撒克逊人利益不一致的国家政府。”俄罗斯当局在当时的一份声明中表示。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦贸易委员会（FTC）周五发布的初步报告中指出，企业根据从消费者数据和行为中收集的信息对商品进行加价，这些信息包括地理位置、人口统计特征、购物习惯，甚至个人在网页上移动鼠标的方式。 该报告基于六家公司——万事达卡、埃森哲、PROS、Bloomreach、Revionics和麦肯锡公司——提供的材料。FTC于7月要求这些公司提供有关其所谓“监控定价”产品的信息。 这六家被调查公司出售的工具使企业能够不断调整价格，让零售商能够基于各种个人特征，通过算法调整并确定向消费者收取的费用。 该报告由FTC即将离任的民主党多数派要求编制，目前仍处于“工作人员观点”阶段，尚未最终确定。即将上任的FTC主席安德鲁·弗格森和共和党成员梅利萨·霍利约克反对发布该报告，称在机构调查结束前不应发布。 根据FTC的新闻稿，由于该委员会要求不得泄露机密商业秘密，因此报告仅提供了假设性示例。 报告也未明确这六家公司各自对消费者进行画像的广泛程度。 新闻稿称，其中一些公司表示，它们能够“根据细致的消费者数据（如化妆品公司针对特定肤质和肤色的促销活动）来确定个性化和差异化的定价及折扣”。 FTC基于这六家公司提供的文件提出的一个假设案例是，一位被标记为新父母的消费者在购买婴儿产品时看到了更高的价格。 FTC表示，这六家研究公司服务的客户多达250家，涵盖从杂货店到服装连锁店的各类企业。 即将离任的主席莉娜·可汗在一份声明中表示：“FTC应继续调查监控定价行为，因为美国人有权了解自己的个人数据是如何被用来设定他们支付的价格的，以及企业是否为同一商品或服务向不同的人收取不同价格。” 该委员会呼吁消费者和企业发表公开评论，详细说明监控定价对他们造成的影响。 六家公司中只有两家回应了置评请求。 旗下拥有Recorded Future News的万事达卡的一位发言人表示，公司正在审查刚刚发布的报告。 该发言人说：“我们不提供监控定价服务。我们的服务和平台帮助我们的客户更好地了解与其业务相关的趋势和见解。” Revionics的一位发言人说，该公司没有开发“针对特定个人推荐定价的软件。Revionics在任何情况下都不会使用个人消费者数据。” 该发言人说：“Revionics的人工智能价格优化软件在向零售商推荐最优价格时，会考虑众多市场层面的因素。通过使用人工智能，Revionics帮助零售商确定一个对消费者和零售商都有利的价格。” FTC指出，这六家公司中的一些“反对将其提供的工具描述为旨在或用于为消费者设定个性化价格或实现监控定价”。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周四宣布推出OSV-SCALIBR（软件成分分析库），这是一款用于软件成分分析的开源库。 该工具以开源Go库的形式发布，是一款可扩展的文件系统扫描器，旨在提取软件库存信息并识别漏洞。 OSV-SCALIBR既可以作为独立的二进制文件（库的外围包装）使用，也可以作为库导入到Go项目中。 该工具支持对包、二进制文件和源代码进行软件成分分析（SCA）。它可用于扫描Linux、Windows和macOS上的操作系统包，并支持多种编程语言的工件和锁定文件扫描。 此外，它还提供了漏洞扫描功能，并可用于生成SPDX和CycloneDX格式的软件物料清单（SBOM）。 “OSV-SCALIBR现在是谷歌用于实时主机、代码仓库和容器的主要SCA引擎。它已在许多不同的产品和内部工具中进行了广泛使用和测试，以帮助生成SBOM、发现漏洞，并以谷歌的规模保护用户数据，”这家互联网巨头表示。 该工具的功能已被分组为软件提取和漏洞检测插件，当执行独立的二进制文件时，一组推荐的内部插件将默认运行。 OSV-SCALIBR在其定义文件中存储了内置插件模块。当该工具作为库使用时，可以通过导入这些插件并将它们添加到扫描配置中来启用它们。当SCALIBR作为库使用时，也可以运行自定义插件。 OSV-SCALIBR目前主要作为开源Go库提供，但谷歌正在努力将其更深入地集成到2022年发布的开源依赖项漏洞扫描器OSV-Scanner中。 OSV-SCANNER中的一些功能已经具备了OSV-SCALIBR的部分能力，未来几个月内将集成更多功能，包括已安装包的提取、SBOM生成和弱凭据扫描。 “请注意，OSV-Scanner V2即将发布，将具备许多这些新功能。OSV-Scanner将成为需要CLI界面的用户使用OSV-SCALIBR库的主要前端。OSV-Scanner的现有用户可以继续以相同的方式使用该工具，同时保持对所有现有用例的向后兼容性，”谷歌表示。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“pycord-self”的恶意软件包出现在Python包索引（PyPI）上，该软件包的目标用户为Discord开发者，旨在窃取认证令牌并在系统中植入后门以实现远程控制。 该软件包模仿了广受欢迎的“discord.py-self”软件包，后者下载量已近2800万次，并且甚至提供了正版项目的功能。 正版软件包是一个Python库，允许与Discord的用户API通信，并允许开发者以编程方式控制账户。 它通常用于消息传递和自动化交互、创建Discord机器人、编写自动化管理脚本、通知或响应，以及在不使用机器人账户的情况下运行命令或从Discord检索数据。 据代码安全公司Socket称，该恶意软件包去年6月被添加到PyPi上，截至目前已被下载885次。 截至发稿时，该软件包仍可通过一个已通过平台验证其详细信息的发布者从PyPI获取。 PyPI上的恶意软件包（图片来源：BleepingComputer） Socket研究人员分析了该恶意软件包，发现pycord-self包含执行两项主要操作的代码。一是从受害者处窃取Discord认证令牌并将其发送到外部URL。 攻击者可以使用窃取的令牌，在无需访问凭据的情况下劫持开发者的Discord账户，即使启用了双重身份验证保护也不例外。 该恶意软件包的第二个功能是，通过端口6969与远程服务器建立持久连接，从而设置一个隐蔽的后门机制。 Socket在报告中解释道：“根据操作系统的不同，它会启动一个shell（Linux上的“bash”或Windows上的“cmd”），使攻击者能够持续访问受害者的系统。” “后门在单独的线程中运行，这使得在软件包继续看似正常运行的同时难以检测到它。” 在机器上设置后门（图片来源：Socket） 建议软件开发人员避免在不确认代码来自官方作者的情况下安装软件包，尤其是热门软件包。验证软件包名称也可以降低遭遇拼写劫持攻击的风险。 在使用开源库时，如果可能的话，建议审查代码以查找可疑功能，并避免使用任何看似混淆的代码。此外，扫描工具可能有助于检测和阻止恶意软件包。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯黑客组织Star Blizzard已被关联到一起新的钓鱼攻击活动，该活动瞄准受害者的WhatsApp账户，这标志着其可能为了逃避检测而改变了长期以来的作案手法。 微软威胁情报团队在与The Hacker News分享的一份报告中称：Star Blizzard的目标通常与政府或外交部门（包括现任和前任官员）、国防政策或涉及俄罗斯的国际关系研究人员，以及与俄乌战争相关的对乌克兰援助方有关。 Star Blizzard（原名SEABORGIUM）是一个与俄罗斯有关联的威胁活动集群，以凭证收集活动而闻名。该组织自2012年至少就已开始活跃，还曾被追踪为Blue Callisto、BlueCharlie（或TAG-53）、Calisto（或Callisto的另一种拼写）、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446和UNC4057等别名。 此前观察到的攻击链涉及向感兴趣的目标发送钓鱼邮件，通常来自Proton账户，邮件附件中包含恶意链接，这些链接会重定向到由Evilginx支持的页面，该页面能够通过中间人（AiTM）攻击收集凭证和二次验证（2FA）代码。 Star Blizzard还被关联到使用HubSpot和MailerLite等电子邮件营销平台来隐藏真实的电子邮件发件人地址，并避免在电子邮件消息中包含由黑客控制的域名基础设施。 去年年底，微软和美国司法部（DoJ）宣布查封了180多个域名，这些域名被该威胁组织用于在2023年1月至2024年8月期间瞄准记者、智库和非政府组织（NGO）。 这家科技巨头评估认为，对其活动的公开披露可能促使黑客团队通过攻击WhatsApp账户来改变策略。也就是说，该活动似乎规模有限，并在2024年11月底结束。 微软威胁情报战略总监Sherrod DeGrippo告诉The Hacker News：“目标主要属于政府和外交部门，包括现任和前任官员。” “此外，目标还包括涉及国防政策的人员、专注于俄罗斯的国际关系研究人员以及与俄乌战争相关的对乌克兰援助方。” 这一切始于一封自称来自美国政府官员的钓鱼邮件，以赋予其合法性，并增加受害者与其互动的可能性。 邮件中包含一个快速响应（QR）码，敦促收件人加入一个所谓的WhatsApp群组，讨论“最新的非政府组织支持乌克兰NGO的倡议”。然而，该代码是故意损坏的，以触发受害者的回复。 如果邮件收件人回复，Star Blizzard会发送第二条消息，要求他们点击一个t[.]ly缩短的链接加入WhatsApp群组，并为此带来的不便表示歉意。 微软解释道：“点击此链接后，目标会被重定向到一个网页，要求他们扫描二维码加入群组。然而，这个二维码实际上被WhatsApp用于将账户连接到链接的设备或WhatsApp网页版。” 如果目标按照网站（“aerofluidthermo[.]org”）上的指示操作，这种方法将允许威胁组织未经授权地访问其WhatsApp消息，甚至通过浏览器插件将数据外泄。 建议属于Star Blizzard目标行业的个人在处理包含外部链接的邮件时保持警惕。 该活动“标志着Star Blizzard长期以来的TTP（战术、技术和程序）的一次中断，并凸显出该威胁组织在持续进行钓鱼攻击以获取敏感信息方面的坚韧不拔，即使其行动多次遭到破坏也是如此”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   网络安全研究人员揭露了一项新活动，该活动针对运行基于PHP应用的Web服务器，以在印度尼西亚推广赌博平台。 Imperva公司研究员Daniel Johnston在分析中指出：“过去两个月，我们观察到大量来自基于Python的机器人的攻击，这表明有一股势力在协同利用成千上万的Web应用。这些攻击似乎与赌博相关网站的泛滥有关，可能是对政府加强审查的回应。” 这家隶属于泰雷兹集团的公司表示，他们检测到数百万条来自Python客户端的请求，该客户端包含安装GSocket（又称Global Socket）的命令，这是一种开源工具，可用于在两个机器之间建立通信通道，不受网络边界的限制。 值得注意的是，近几个月来，GSocket已被用于多起加密货币劫持活动，甚至还被利用来插入恶意JavaScript代码，以窃取网站上的支付信息。 攻击链特别涉及利用已遭入侵服务器上预先存在的Web shell来部署GSocket。大多数攻击都瞄准了运行着一种名为Moodle的流行学习管理系统（LMS）的服务器。 攻击的一个显著特点是，在bashrc和crontab系统文件中添加了内容，以确保即使删除了Web shell，GSocket也能持续运行。 经确认，GSocket为这些目标服务器提供的访问权限被用作武器，以交付包含指向在线赌博服务（特别是针对印度尼西亚用户）的HTML内容的PHP文件。 Johnston说：“每个PHP文件的顶部都有PHP代码，只允许搜索机器人访问页面，而普通访问者则会被重定向到另一个域名。其背后的目的是瞄准搜索已知赌博服务的用户，然后将他们重定向到另一个域名。” Imperva表示，这些重定向指向了已知的印度尼西亚赌博网站“pktoto[.]cc”。 与此同时，c/side披露了一项广泛的恶意软件活动，该活动已针对全球超过5000个网站，创建未经授权的管理员账户，从远程服务器安装恶意插件，并将凭据数据回传至该服务器。 目前尚不清楚这些网站上部署JavaScript恶意软件的确切初始访问向量。该恶意软件被命名为WP3.XYZ，以与其用于获取插件和泄露数据的服务器域名（“wp3[.]xyz”）相关联。 为防范此类攻击，建议WordPress网站所有者保持插件更新，使用防火墙阻止恶意域名，扫描并删除可疑的管理员账户或插件。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了Planet Technology公司的WGS-804HPT工业交换机存在的三项安全漏洞，攻击者可利用这些漏洞在易受攻击的设备上实现未经认证的远程代码执行。 Claroty公司的Tomer Goldschmidt在周四的报告中表示：“这些交换机广泛用于建筑和家居自动化系统中的各种网络应用。攻击者如果能够远程控制这些设备中的任意一个，就可以利用它们进一步攻击内部网络中的其他设备，并进行横向移动。” 这家运营技术安全公司对使用QEMU框架的交换机固件进行了深入分析，发现漏洞源于提供网络服务的dispatcher.cgi接口。漏洞列表如下： CVE-2024-52558（CVSS评分：5.3）——整数下溢漏洞，允许未经认证的攻击者发送格式错误的HTTP请求，导致设备崩溃。 CVE-2024-52320（CVSS评分：9.8）——操作系统命令注入漏洞，允许未经认证的攻击者通过恶意HTTP请求发送命令，实现远程代码执行。 CVE-2024-48871（CVSS评分：9.8）——基于栈的缓冲区溢出漏洞，允许未经认证的攻击者发送恶意HTTP请求，实现远程代码执行。 成功利用这些漏洞后，攻击者可以通过在HTTP请求中嵌入shellcode来劫持执行流程，并获得执行操作系统命令的能力。 在负责披露漏洞后，这家中国台湾公司已于2024年11月15日发布了版本1.305b241111的补丁，以修复这些漏洞。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

名为 Star Blizzard 的俄罗斯威胁组织被发现参与了一项针对受害者 WhatsApp 账户的鱼叉式网络钓鱼活动，这表明其可能背离了长期以来的攻击手法，试图逃避侦查。 微软威胁情报团队在一份报告中表示：“Star Blizzard 的目标最常见的是与政府或外交（现任和前任职位持有者）、国防政策或国际关系研究人员有关，他们的工作涉及俄罗斯，以及与俄罗斯战争有关的对乌克兰的援助来源。 ” Star Blizzard（原名 SEABORGIUM）是一个与俄罗斯有关的威胁活动集群，以其凭证收集活动而闻名。该组织至少从 2012 年开始活跃，还以 Blue Callisto、BlueCharlie（或 TAG-53）、Calisto（也拼写为 Callisto）、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446 和 UNC4057 等绰号进行追踪。 之前观察到的攻击链涉及向感兴趣的目标发送鱼叉式网络钓鱼电子邮件（通常来自 Proton 帐户），附加嵌入恶意链接的文档，这些链接重定向到由 Evilginx 驱动的页面，该页面能够通过中间人 (AiTM) 攻击获取凭据和双因素身份验证 (2FA) 代码。 Star Blizzard 还涉嫌使用 HubSpot 和 MailerLite 等电子邮件营销平台来隐藏真正的电子邮件发件人地址，从而避免在电子邮件中包含参与者控制的域基础设施。 去年年底，微软和美国司法部 (DoJ)宣布查获了 180 多个域名，这些域名被威胁组织在 2023 年 1 月至 2024 年 8 月期间用来攻击记者、智库和非政府组织 (NGO)。 微软评估称，公开披露其活动可能促使黑客团队通过入侵 WhatsApp 账户来改变策略。尽管如此，该活动似乎受到了限制，并于 2024 年 11 月底结束。 微软威胁情报战略总监 Sherrod DeGrippo表示：“目标主要属于政府和外交部门，包括现任和前任官员。” “此外，目标还包括参与国防政策的个人、专注于俄罗斯的国际关系研究人员以及在与俄罗斯的战争中向乌克兰提供援助的个人。” 一切都始于一封声称来自美国政府官员的鱼叉式网络钓鱼电子邮件，以赋予其合法性的外表并增加受害者与其互动的可能性。 该信息包含一个二维码，敦促收件人加入一个所谓的 WhatsApp 群组，讨论“旨在支持乌克兰非政府组织的最新非政府举措”。然而，该代码被故意损坏，以触发受害者的回应。 如果电子邮件收件人回复，Star Blizzard 会发送第二条消息，要求他们点击短网址加入 WhatsApp 群组，同时对造成的不便表示歉意。 微软解释道：“点击此链接后，目标将被重定向到一个网页，要求他们扫描二维码加入群组。然而，WhatsApp 实际上使用此二维码将帐户连接到链接设备和/或 WhatsApp Web 门户。” 使用 WhatsApp 链接二维码进行恶意 Star Blizzard 网络钓鱼尝试 如果目标按照网站（“aerofluidthermo[.]org”）上的说明进行操作，该方法将允许攻击者未经授权访问他们的 WhatsApp 消息，甚至通过浏览器插件窃取数据。 安全专家建议属于 Star Blizzard 所针对的行业的个人在处理包含外部来源链接的电子邮件时务必小心谨慎。 此次活动“标志着星际暴雪长期以来的 TTP 的突破，凸显了威胁行为者即使在运营不断恶化的情况下，仍坚持通过鱼叉式网络钓鱼活动获取敏感信息的韧性。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/zixeFRSAqj0NpD4Maja5ig 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）要求网络托管巨头GoDaddy实施基本的安全保护措施，包括HTTPS API和强制多因素身份验证（MFA），以解决自2018年以来其托管服务未能抵御攻击的问题。 FTC表示，这家总部位于亚利桑那州的公司声称采取了合理的安全措施，但实际上却误导了数百万网络托管客户，因为GoDaddy未能实施标准的安全工具和实践，导致其“对托管环境中的漏洞和威胁视而不见”。 FTC消费者保护局局长塞缪尔·莱文表示：“数百万家公司，特别是小型企业，依赖GoDaddy等网络托管提供商来保护他们和客户所依赖的网站。” “FTC今天采取行动，确保像GoDaddy这样的公司加强其安全系统，以保护全球消费者。” 根据FTC的投诉，GoDaddy不合理的安全措施包括未使用多因素身份验证（MFA）、未管理软件更新、未记录安全相关事件、未对网络进行分段、未监测安全威胁（包括未使用可从其众多日志中主动检测威胁的软件），以及未使用文件完整性监测。 该公司还未能盘点和管理资产、评估其网站托管服务的风险，并确保访问消费者数据的服务的连接安全。 安全漏洞频发导致多次数据泄露 FTC表示，在2019年至2022年期间，这些数据安全漏洞导致了多次重大安全事件，使得威胁者能够访问客户的网站和数据。 例如，2023年2月，这家托管巨头披露称，未知攻击者在多年来的攻击中突破了其cPanel共享托管环境，窃取源代码并在受感染的服务器上安装恶意软件。 该公司表示，直到2022年12月初收到客户投诉称他们的网站被重定向到未知域名后，才发现这一漏洞。 GoDaddy当时还透露，2021年11月和2020年3月披露的安全漏洞也与这次攻击活动有关。 2021年11月的漏洞影响了120万Managed WordPress客户。攻击者使用被盗密码侵入GoDaddy的托管环境，从一些客户那里获得了电子邮件地址、WordPress管理员密码、sFTP和数据库凭据以及SSL私钥。 在2020年3月的漏洞事件后，GoDaddy通知了2.8万名客户，称攻击者在2019年10月使用他们的网络托管凭据通过SSH进行了连接。 根据拟议的和解令，FTC将要求GoDaddy建立强大的信息安全计划，并禁止该公司误导客户关于其安全保护的说法。该命令还要求GoDaddy聘请独立的第三方评估人员每两年对其信息安全计划进行一次审查。 该公司还被要求为所有客户、员工和承包商员工“在任何支持托管服务的工具或资产上，包括连接到任何数据库时”添加强制性的MFA，并“至少提供一种不需要客户提供电话号码的方法，例如通过集成身份验证应用程序或允许使用安全密钥。” 去年12月，FTC还命令万豪国际和喜达屋酒店实施强大的数据安全计划，以应对2014年和2018年导致超过3.4亿宾客记录泄露的失败事件。 万豪在2014年10月与FTC达成和解，并同意向49个州支付5200万美元，以解决与这些数据泄露相关的索赔。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已扩大Windows 11管理员保护功能的测试范围，允许内部人员通过Windows安全设置启用该安全功能。 该功能最初于去年10月在面向Canary频道的Windows 11内部人员预览版中推出。管理员保护采用隐藏的即时提升机制和Windows Hello身份验证提示，仅在需要访问关键系统资源时解锁管理员权限，以阻止对它们的访问。 启用后，该功能可确保登录的管理员用户仅拥有标准用户权限，并在安装新应用或尝试更改注册表时，要求通过PIN码或生物识别方法使用Windows Hello进行身份验证。 与Windows用户帐户控制（UAC）安全功能相比，这些身份验证提示更难绕过，以防止恶意软件和攻击者通过访问关键资源来破坏系统。 “启用管理员保护后，请求用户授权以提升不受信任和未签名应用程序的提示现在包含扩展的颜色编码区域，这些区域将向下延伸至应用程序描述部分，”Windows内部人员团队周四表示。 管理员保护身份验证提示 管理员保护默认处于关闭状态，必须通过IT管理员通过组策略或Intune等移动设备管理（MDM）工具启用，同时根据Windows内部人员团队今日分享的信息，用户也可以通过Windows安全设置启用。 “现在可以在‘帐户保护’选项卡下的Windows安全设置中启用管理员保护。这允许用户在不需要IT管理员帮助的情况下启用此功能，”Windows内部人员团队补充道。 “这也允许Windows家庭用户通过Windows安全设置启用管理员保护。更改此设置需要重新启动Windows。” 目前，已安装Windows 11 Insider Preview Build 27774的Canary频道内部人员可以使用这一新的安全功能。 Windows安全设置中的管理员保护 近几个月来，微软还宣布将于2025年初向Windows 11内部人员计划社区推出新的“快速机器恢复”功能，该功能将帮助系统管理员通过Windows更新的“目标修复”功能远程修复无法启动的设备。 此外，该公司还计划为Windows 11添加对配置刷新（允许管理员将PC设置恢复到预设配置）和零信任DNS（旨在将所有DNS查询重定向到受信任的DNS服务器）的支持。 自去年11月以来，微软还开始在Windows 365和Windows 11 Enterprise 24H2客户端设备上测试热补丁功能，该功能使Windows能够在后台下载安全更新并安装它们，而无需重新启动。 自2023年11月微软启动“安全未来倡议”（SFI）网络安全工程工作以来，已推出部分功能。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款在一百多万个WordPress网站上安装的W3 Total Cache插件存在严重漏洞，可能使攻击者获取包括云端应用元数据在内的多种信息。 W3 Total Cache插件采用多种缓存技术，旨在优化网站速度、减少加载时间并提升SEO排名。 尽管开发者已在最新版本中发布了修复程序，但该漏洞（CVE-2024-12365）仍未被数十万网站所安装的版本所修复。 Wordfence指出，该安全问题源于直至最新版本2.8.2的所有版本中，“is_w3tc_admin_page”函数缺少功能检查。这一缺陷使得攻击者可访问插件的安全nonce值并执行未授权操作。 若攻击者已通过身份验证并至少拥有订阅者级别的权限（这一条件极易满足），则可能利用该漏洞。 CVE-2024-12365漏洞被利用的主要风险包括： 服务器端请求伪造（SSRF）：发出可能暴露敏感数据的网络请求，包括云端应用的实例元数据 信息泄露 服务滥用：消耗缓存服务限额，影响网站性能并可能增加成本 就该漏洞的实际影响而言，攻击者可利用网站基础设施向其他服务发出代理请求，并利用收集到的信息发动进一步攻击。 受影响用户应采取的最佳行动是升级到W3 Total Cache的最新版本2.8.2，该版本已修复此漏洞。 根据wordpress.org的下载统计数据显示，开发者发布最新更新后，约有15万个网站安装了该插件，仍有数十万个WordPress网站存在漏洞风险。 一般建议网站所有者避免安装过多插件，并弃用非必需产品。 此外，部署Web应用防火墙也大有裨益，因为它可以识别和阻止利用尝试。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，黑客在不同的攻击活动中，将恶意代码隐藏在图片中，以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。 惠普狼安全（HP Wolf Security）在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出：“在这两次攻击活动中，攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中，并使用相同的.NET加载器来安装其最终的有效载荷。” 攻击始于一封伪装成发票和采购订单的钓鱼邮件，诱骗收件人打开恶意附件，如Microsoft Excel文档。打开这些文档后，会利用Equation Editor（CVE-2017-11882）中的已知安全漏洞下载VBScript文件。 该脚本旨在解码并运行一个PowerShell脚本，该脚本会从archive[.]org上托管的一个图片中提取Base64编码的代码，然后将其解码为.NET可执行文件并执行。 .NET可执行文件作为加载器，从给定URL下载VIP键盘记录器并运行，使威胁行为者能够从受感染的系统窃取包括键盘输入、剪贴板内容、屏幕截图和凭据在内的广泛数据。VIP键盘记录器与Snake键盘记录器和404键盘记录器存在功能重叠。 另一次类似的攻击活动被发现通过电子邮件向目标发送恶意归档文件。这些邮件伪装成询价请求，旨在诱使收件人打开归档文件内的JavaScript文件，然后启动PowerShell脚本。 与前面的案例类似，PowerShell脚本会从远程服务器下载一张图片，解析其中的Base64编码代码，并运行相同的基于.NET的加载器。不同的是，这次攻击链的最终结果是部署了一个名为0bj3ctivity的信息窃取器。 两次攻击活动的相似之处表明，黑客正在利用恶意软件工具包来提高整体效率，同时降低制作攻击所需的时间和技术专长。 惠普狼安全还表示，它观察到恶意行为者利用HTML走私技术，通过AutoIt释放器投放XWorm远程访问木马（RAT），这与之前以类似方式分发AsyncRAT的攻击活动相呼应。 “值得注意的是，HTML文件带有表明它们是在GenAI的帮助下编写的标志，”惠普表示。“这一活动表明，在攻击链的初始访问和恶意软件投放阶段，GenAI的使用正在不断增加。” “事实上，黑客从GenAI中获得了诸多好处，从扩大攻击规模、创建可能提高感染率的变种，到使网络防御者更难进行归因。” 不仅如此，黑客还创建了GitHub存储库，宣传视频游戏作弊和修改工具，以便使用.NET释放器部署Lumma Stealer恶意软件。 惠普安全实验室的首席威胁研究员亚历克斯·霍兰德（Alex Holland）表示：“分析过的这些攻击活动进一步证明了网络犯罪的商品化。随着数字恶意软件工具包更加自由、实惠和易用，即使技能有限、知识有限的新手也能拼凑出有效的感染链。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员详细披露了一起攻击事件，攻击者利用基于Python的后门程序持续访问受感染终端，随后利用这一访问权限在整个目标网络中部署RansomHub勒索软件。 据GuidePoint Security称，攻击者最初通过一款名为SocGholish（又称FakeUpdates）的JavaScript恶意软件获得访问权限，该软件通过诱骗用户下载假冒的网页浏览器更新进行传播。 此类攻击通常涉及利用黑帽搜索引擎优化（SEO）技术，将受害者重定向到看似合法但已被感染的网站。SocGholish执行后，会与攻击者控制的服务器建立联系，以获取其他有效载荷。 网络安全 去年，SocGholish攻击活动针对依赖过时版本SEO插件（如Yoast（CVE-2024-4984，CVSS评分：6.4）和Rank Math PRO（CVE-2024-3665，CVSS评分：6.4））的WordPress网站进行初步渗透。 在GuidePoint Security调查的事件中，SocGholish感染约20分钟后，基于Python的后门程序被植入。攻击者随后通过RDP会话在局域网内横向移动，将该后门程序传播至同一网络中的其他计算机。 安全研究员Andrew Nelson表示：“该脚本作为反向代理，连接到硬编码的IP地址。脚本通过初始命令与控制（C2）握手后，将建立一个主要基于SOCKS5协议的隧道。” “该隧道允许攻击者利用受害系统作为代理，在受感染网络中横向移动。” 自2023年12月初以来，该Python脚本（ReliaQuest于2024年2月记录了其早期版本）已在野外被检测到，并进行了旨在改进隐匿技术的“表面级更改”。 GuidePoint还指出，解码后的脚本既精致又编写良好，这表明恶意软件作者要么对维护高度可读和可测试的Python代码一丝不苟，要么依赖于人工智能（AI）工具来辅助编码。 Nelson补充道：“除了局部变量隐匿外，代码被分解为具有高度描述性方法名称和变量的不同类。每个方法还具有高度错误处理和详细的调试信息。” 基于Python的后门程序远非勒索软件攻击中检测到的唯一前驱程序。本月早些时候，Halcyon指出，在勒索软件部署之前部署的其他工具包括： 使用EDRSilencer和Backstab禁用端点检测和响应（EDR）解决方案 使用LaZagne窃取凭据 ——使用MailBruter暴力破解凭据以攻击电子邮件账户 ——使用Sirefef和Mediyes维持隐蔽访问并传递其他有效载荷 此外，勒索软件攻击活动还瞄准了亚马逊S3存储桶，利用亚马逊网络服务（AWS）的服务器端加密（客户提供的密钥）（SSE-C）对受害者的数据进行加密。这一活动被归因于名为Codefinger的攻击者。 除了在没有其生成的密钥的情况下阻止恢复外，这些攻击还采用紧急勒索策略，通过S3对象生命周期管理API将文件标记为在七天内删除，以迫使受害者付款。 网络安全 Halcyon表示：“Codefinger滥用已公开的具有S3对象读写权限的AWS密钥。通过利用AWS原生服务，他们在无需合作的情况下实现了既安全又无法恢复的加密。” 与此同时，SlashNext表示，其见证了模仿Black Basta勒索软件团伙电子邮件轰炸技术的“快速”钓鱼活动激增，向受害者收件箱发送超过1100封与新闻通讯或付款通知相关的合法邮件。 该公司称：“当人们感到不知所措时，攻击者会通过电话或Microsoft Teams消息乘虚而入，冒充公司技术支持人员提供简单解决方案。” “他们自信地交谈以获得信任，指示用户安装TeamViewer或AnyDesk等远程访问软件。一旦软件安装在设备上，攻击者便悄然潜入。从那里，他们可以传播有害程序或潜入网络的其他区域，为直接访问敏感数据铺平道路。”

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，旨在禁用NT LAN Manager (NTLM) v1的Microsoft Active Directory组策略可通过配置错误被轻易绕过。 Silverfort研究员Dor Segal在与The Hacker News分享的一份报告中表示：“本地应用程序的一个简单配置错误即可覆盖组策略，从而有效抵消了旨在阻止NTLMv1身份验证的组策略。” NTLM是一种仍在广泛使用的机制，特别是在Windows环境中，用于跨网络对用户进行身份验证。该旧版协议因向后兼容性要求而未被删除，但自2024年年中被弃用。 去年年末，Microsoft正式从Windows 11 24H2版本和Windows Server 2025中移除了NTLMv1。虽然NTLMv2引入了新的缓解措施，使得中继攻击更难执行，但该技术仍受到多个安全漏洞的困扰，这些漏洞已被威胁行为者积极利用来访问敏感数据。 利用这些漏洞的目的是迫使受害者对任意端点进行身份验证，或将身份验证信息中继到易受攻击的目标，并代表受害者执行恶意操作。 Segal解释道：“组策略机制是Microsoft在整个网络中禁用NTLMv1的解决方案。LMCompatibilityLevel注册表项可阻止域控制器评估NTLMv1消息，并在使用NTLMv1进行身份验证时返回错误密码错误（0xC000006A）。” 然而，Silverfort的调查发现，通过利用Netlogon远程协议（MS-NRPC）中的一项设置，仍有可能绕过组策略并使用NTLMv1身份验证。 具体而言，它利用了名为NETLOGON_LOGON_IDENTITY_INFO的数据结构，该结构包含一个名为ParameterControl的字段，该字段又具有一个配置选项，允许“在仅允许NTLMv2（NTLM）的情况下使用NTLMv1身份验证（MS-NLMP）”。 Segal表示：“这项研究表明，本地应用程序可以被配置为启用NTLMv1，从而抵消在Active Directory中设置的组策略LAN Manager身份验证级别的最高级别。” “这意味着，组织认为通过设置此组策略是在做正确的事，但实际上仍被配置错误的应用程序绕过。” 为减轻NTLMv1带来的风险，必须在域中为所有NTLM身份验证启用审核日志，并留意请求客户端使用NTLMv1消息的易受攻击的应用程序。当然，还建议组织保持其系统更新。 此次发现之前，安全研究人员Haifei Li曾报告了一项在野外发现的PDF工件中的“零日行为”，在某些条件下，使用Adobe Reader或Foxit PDF Reader打开这些工件可能会泄露本地net-NTLM信息。Foxit Software已在Windows的2024.4版本中解决了此问题。 此次披露之际，HN Security研究员Alessandro Iandoli还详细介绍了如何绕过Windows 11（24H2版本之前）中的各种安全功能，从而在内核级别实现任意代码执行。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 关于一个现已修复的安全漏洞的细节已经公布，该漏洞可能允许绕过统一可扩展固件接口（UEFI）系统中的安全启动机制。 据ESET向The Hacker News分享的一份新报告显示，该漏洞被分配了CVE标识符CVE-2024-7344（CVSS评分：6.7），存在于由微软的“Microsoft Corporation UEFI CA 2011”第三方UEFI证书签名的UEFI应用程序中。 成功利用该漏洞可导致在系统启动时执行不受信任的代码，从而使攻击者能够在启用安全启动的计算机上部署恶意UEFI启动套件，无论安装的是何种操作系统。 安全启动是一种固件安全标准，通过确保设备仅使用原始设备制造商（OEM）信任的软件启动，来防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。 受影响的UEFI应用程序是Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc.和Signal Computer GmbH等公司开发的多个实时系统恢复软件套件的一部分，具体受影响版本如下： Howyar SysReturn 10.2.023_20240919版本之前 Greenware GreenGuard 10.2.023-20240927版本之前 Radix SmartRecovery 11.2.023-20240927版本之前 Sanfong EZ-back System 10.3.024-20241127版本之前 WASAY eRecoveryRX 8.4.022-20241127版本之前 CES NeoImpact 10.1.024-20241127版本之前 SignalComputer HDD King 10.3.021-20241127版本之前 ESET研究员Martin Smolár表示：“该漏洞是由于使用了自定义PE加载器，而不是使用标准和安全的UEFI函数LoadImage和StartImage造成的。因此，该应用程序允许在系统启动时从名为cloak.dat的特别制作的文件中加载任何UEFI二进制文件——甚至是未签名的文件——而不考虑UEFI安全启动状态。” 因此，利用CVE-2024-7344的攻击者可以绕过UEFI安全启动保护，并在操作系统加载之前在UEFI环境中执行未签名代码，从而获得对主机的隐蔽且持久的访问权限。 CERT协调中心（CERT/CC）表示：“在此早期启动阶段执行的代码可以在系统上持久存在，可能会加载恶意内核扩展，这些扩展在重启和操作系统重新安装后仍然存在。此外，它还可能逃避基于操作系统和终端检测和响应（EDR）安全措施的检测。” 恶意行为者还可以通过将自己的易受攻击的“reloader.efi”二进制文件的副本带到已注册微软第三方UEFI证书的任何UEFI系统中，进一步扩大利用范围。但是，将易受攻击和恶意的文件部署到EFI系统分区需要提升权限：在Windows上是本地管理员权限，在Linux上是root权限。 这家斯洛伐克网络安全公司在2024年6月负责任地向CERT/CC披露了这一发现，之后Howyar Technologies及其合作伙伴在相关产品中解决了这一问题。2025年1月14日，微软作为其“补丁星期二”更新的一部分，撤销了旧的易受攻击的二进制文件。 除了应用UEFI撤销、管理对位于EFI系统分区上的文件的访问权限、安全启动定制以及与可信平台模块（TPM）进行远程证明之外，还有一些其他方法可以防止利用未知的易受攻击的已签名UEFI引导加载程序和部署UEFI启动套件。 Smolár表示：“近年来发现的UEFI漏洞数量以及在合理时间窗口内修复漏洞或撤销易受攻击的二进制文件的失败表明，即使是像UEFI安全启动这样重要的功能，也不应被视为不可逾越的障碍。” “然而，我们对此漏洞最担忧的不是修复和撤销二进制文件所花费的时间，与类似情况相比，这个时间已经相当不错，而是这已经不是第一次发现如此明显不安全的已签名UEFI二进制文件。这引发了以下问题：第三方UEFI软件供应商中这种不安全技术的使用有多普遍，以及可能还有多少其他类似的不为人知但已签名的引导加载程序。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 艾利产品公司警告称，其网站遭到黑客入侵，导致客户信用卡和个人信息被盗，发生数据泄露事件。 艾利公司是一家生产销售自粘标签、服装品牌元素及提供印刷服务的美国公司。 在向受影响的客户发送的数据泄露通知中，艾利公司发现他们于2024年12月9日遭到攻击。 经过数字取证专家的内部调查，发现威胁行为者已于2024年7月18日在公司网上商店域名“avery.com”上植入了信用卡侧录器。 因此，2024年7月18日至12月9日期间，客户在艾利公司网站上输入的敏感支付信息被泄露给了威胁行为者。 “2024年12月9日，艾利公司发现与某些系统相关的勒索软件攻击，”通知中写道。 “艾利公司立即在取证专家的协助下展开调查，以确定活动的性质和范围。” “我们的调查显示，一名未经授权的入侵者在2024年7月18日至12月9日期间，在我们的网站avery.com上插入了恶意软件，用于‘窃取’信用卡信息。” 此次泄露事件中，以下数据遭到泄露： 姓名 账单和送货地址 电子邮件地址 电话号码 支付卡号、安全验证码（CVV）和到期日 购买金额 未泄露的信息包括：社会保险号、驾照号、政府颁发的身份证号及出生日期。 然而，已泄露的数据足以让不法分子以受害者名义进行欺诈交易，并在其账户中进行未经授权的购买。 “我们尚不清楚欺诈费用是否与我们的网站事件有关，但现在看来，由于我们收到两封客户邮件，表明他们产生了欺诈费用或收到网络钓鱼邮件，因此支付卡（及其他）信息可能已被窃取，”数据泄露通知继续写道。 “本月我们收到多起类似报告。因此，我们向您发送此通知，以便您采取措施保护自己。” 根据缅因州总检察长门户网站上关于数据泄露的条目，此次事件影响了61,193名艾利客户。 为减轻风险，艾利公司通过Cyberscout提供12个月的免费信用监控服务。 还建议通知收件人警惕未经请求的通信，并立即向银行和有关部门报告其账户上的任何可疑活动。 艾利公司还设立了专线，解答客户对此次事件的疑问和担忧。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个由13,000台米克罗提克（MikroTik）设备组成的新发现僵尸网络，利用域名服务器记录中的配置错误，绕过电子邮件保护，通过伪造大约20,000个网络域名传播恶意软件。 该威胁行为者利用了用于列出所有被授权代表一个域名发送电子邮件的服务器的发件人策略框架（SPF）的DNS记录配置不当。 据DNS安全公司英飞凌（Infoblox）称，这起恶意垃圾邮件活动于2024年11月末活跃。部分电子邮件假冒DHL快递公司，发送包含ZIP压缩包的虚假货运发票，而该压缩包内含有恶意有效载荷。 ZIP附件中是一个JavaScript文件，该文件组装并运行一个PowerShell脚本。该脚本与之前与俄罗斯黑客相关的域名上的威胁行为者的命令和控制（C2）服务器建立连接。 “许多垃圾邮件的标题揭示了大量域名和SMTP服务器IP地址，我们意识到，我们发现了一个由大约13,000台被劫持的米克罗提克设备组成的庞大网络，它们都是一个大型僵尸网络的一部分”，英飞凌解释道。 英飞凌解释说，大约20,000个域名的SPF DNS记录被配置为过于宽泛的“+all”选项，这允许任何服务器代表这些域名发送电子邮件。 “这实际上使SPF记录失去了意义，因为它为伪造和未经授权的电子邮件发送打开了大门”，英飞凌指出。 更安全的选择是使用“-all”选项，它将电子邮件发送限制为域名指定的服务器。 僵尸网络操作概述（来源：英飞凌） 入侵方法尚不清楚，但英飞凌表示，他们“看到了各种受影响的版本，包括最近的[米克罗提克]固件版本”。 米克罗提克路由器以其强大性能而闻名，威胁行为者瞄准它们，以创建能够进行非常强大攻击的僵尸网络。 就在去年夏天，云服务提供商OVHcloud指责一个由被攻破的米克罗提克设备组成的僵尸网络发动了一次大规模拒绝服务攻击，峰值达到创纪录的每秒8.4亿个数据包。 尽管敦促米克罗提克设备所有者更新系统，但由于补丁更新速度非常慢，许多路由器在很长一段时间内仍然存在漏洞。 本案中的僵尸网络将这些设备配置为SOCKS4代理，以发动分布式拒绝服务（DDoS）攻击、发送网络钓鱼电子邮件、数据外泄，并普遍帮助掩盖恶意流量的来源。 “尽管僵尸网络由13,000台设备组成，但它们作为SOCKS代理的配置允许数十万甚至数百万台被攻陷的机器使用它们进行网络访问，从而显著放大了僵尸网络操作的潜在规模和影响”，英飞凌评论道。 建议米克罗提克设备所有者为其型号应用最新的固件更新，更改默认管理员帐户凭据，并在不需要时关闭控制面板的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文