HackerNews

HackerNews 编译，转载请注明出处： 一个名为”Mora_001″的新勒索软件组织正利用两个Fortinet漏洞，通过未授权访问防火墙设备部署名为SuperBlack的自定义勒索病毒。 这两个漏洞均为身份验证绕过漏洞，编号为CVE-2024-55591和CVE-2025-24472。Fortinet分别于2024年1月和2月披露了相关漏洞信息。 Fortinet在2024年1月14日首次披露CVE-2024-55591时，确认该漏洞已被作为零日漏洞利用。北极狼公司指出，自2024年11月起，攻击者就利用该漏洞入侵FortiGate防火墙。 值得注意的是，Fortinet在2025年2月11日将其1月公告中补充了CVE-2025-24472漏洞信息，导致外界误认为这是新发现的被利用漏洞。但Fortinet向BleepingComputer澄清称，该漏洞实际已于2024年1月修复且未被利用。 “我们未发现CVE-2025-24472被利用的证据。”Fortinet当时表示。 然而，Forescout研究人员的报告显示，他们在2025年1月下旬发现SuperBlack攻击活动，攻击者最早在2025年2月2日就利用了CVE-2025-24472漏洞。 Forescout向BleepingComputer说明：”尽管我们未直接向Fortinet报告24472漏洞的利用情况，但一家受影响的合作机构将我们的调查结果同步给了Fortinet的PSIRT团队。” “随后，Fortinet在2月11日更新公告，承认CVE-2025-24472正被积极利用。”BleepingComputer已联系Fortinet核实该细节，目前尚未获得回复。 SuperBlack攻击流程分析 Forescout指出，Mora_001采用高度结构化的攻击链，不同受害者间的攻击模式高度一致： 首先，攻击者通过jsconsole接口发起基于WebSocket的攻击，或直接向暴露的防火墙接口发送HTTPS请求，利用两个Fortinet漏洞获取’super_admin’权限。 接着，创建新管理员账户（包括forticloud-tech、fortigate-firewall、adnimistrator），并修改自动化任务配置以确保账户被删除后能自动重建。 随后，攻击者通过窃取的VPN凭证、新建VPN账户、WMIC/SSH工具及TACACS+/RADIUS认证进行网络测绘和横向移动。 在实施双重勒索前，Mora_001使用定制工具窃取数据，优先针对文件服务器、数据库服务器和域控制器进行加密。完成加密后，系统会留下勒索信。最终部署名为’WipeBlack’的定制擦除工具，清除勒索软件执行痕迹以阻碍取证分析。 Forescout发现多项证据表明SuperBlack与LockBit勒索组织存在密切联系，尽管前者表现出独立运作特征： SuperBlack加密器（VirusTotal记录）基于LockBit 3.0泄露的构建器开发，具有相同的载荷结构和加密算法，但移除了原始品牌标识。 SuperBlack勒索信包含与LockBit运营相关的TOX聊天ID，暗示Mora_001可能是LockBit前附属机构或核心团队中负责赎金谈判的成员。 攻击使用的IP地址与历史LockBit行动存在大量重叠。此外，WipeBlack工具亦被BrainCipher、EstateRansomware、SenSayQ等与LockBit关联的勒索组织使用。 Forescout在报告末尾提供了完整的SuperBlack攻击活动入侵指标（IoC）列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软就删除VSCode扩展一事向开发者致歉   2025年3月13日，微软在Visual Studio Marketplace中重新上架了“Material Theme – Free”和“Material Theme Icons – Free”两款VSCode扩展。此前，这两款扩展因被怀疑包含恶意代码而被下架，其开发者Mattia Astorino（别名“equinusocio”）也被平台封禁。 这两款扩展的安装量超过900万次，于2月因安全风险被下架。当时，微软表示，社区成员对扩展进行了深度安全分析，发现多处可疑迹象并报告给微软。微软安全研究人员确认了这一说法，并发现了更多可疑代码。 研究人员Amit Assaraf和Itay Kruk在使用AI扫描工具检查VSCode提交内容时，首次将这两款扩展标记为潜在恶意软件。他们认为，Material Theme的“release-notes.js”文件中存在代码执行能力且代码经过高度混淆，这引发了安全担忧。 然而，开发者Astorino对此表示反对，称问题出自在扩展中使用的一个自2016年以来就未更新的sanity.io依赖项，该依赖项用于显示发布说明。他指出，如果微软在下架前与他沟通，他可以在几秒钟内解决这一问题，而不是直接封禁他的账号。 Astorino表示，Material Theme扩展的混淆过程中无意中包含了sanity.io SDK客户端，其中包含了一些引用用户名或密码的字符串，但这些并非恶意代码，只是多年前构建过程中的一个错误。 3月12日，微软的Scott Hanselman在GitHub上向Astorino道歉，并恢复了他的开发者账号。他承认，微软在处理此事时过于仓促，导致了错误的结论。Hanselman还表示，Visual Studio Code Marketplace将更新其对混淆代码的政策，并改进扫描工具，以避免未来再次匆忙处理类似项目。 尽管如此，Amit Assaraf在接受采访时仍坚持认为，该扩展确实包含恶意代码，但他也承认开发者并无恶意意图。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta警告称，FreeType开源字体渲染库存在安全漏洞（CVE-2025-27363），可能已被用于实际攻击。该漏洞被评定为高危，CVSS评分为8.1，属于越界写入漏洞，可能被利用来实现远程代码执行。 漏洞存在于FreeType 2.13.0及以下版本中。当解析与TrueType GX和可变字体文件相关的字体子字形结构时，漏洞代码会将一个有符号短整型值分配给无符号长整型，并添加一个静态值，导致缓冲区分配过小。随后，代码会在分配的缓冲区边界外写入多达6个有符号长整型值。 FreeType开发者Werner Lemberg表示，该漏洞已在两年前修复，2.13.0以上版本不再受影响。然而，许多Linux发行版仍在使用过时版本的FreeType库，存在被利用的风险。这些发行版包括： AlmaLinux Alpine Linux Amazon Linux 2 Debian稳定版 RHEL/CentOS Stream 8和9 GNU Guix Mageia OpenMandriva openSUSE Leap Slackware Ubuntu 22.04 鉴于该漏洞已被实际利用的风险，用户被建议尽快更新至FreeType的最新版本（2.13.3），以获得最佳保护。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub安全实验室发现并报告了开源ruby-saml库中的两个高危安全漏洞（CVE-2025-25291和CVE-2025-25292），攻击者可利用这些漏洞绕过基于安全断言标记语言（SAML）的身份验证保护。 SAML是一种基于XML的标记语言和开放标准，用于在各方之间交换身份验证和授权数据，支持单点登录（SSO）等功能，允许用户使用一组凭据访问多个站点、服务和应用程序。   这两个漏洞的CVSS评分为8.8，影响以下版本的ruby-saml库：   < 1.12.4   >= 1.13.0，< 1.18.0   漏洞成因在于REXML和Nokogiri解析XML的方式不同，导致两者从相同XML输入生成完全不同的文档结构。攻击者可利用此差异发起签名包裹攻击，绕过身份验证。   GitHub指出，攻击者若持有目标组织用于验证SAML响应或断言的密钥所创建的有效签名，即可构造SAML断言并登录为任意用户。   此外，ruby-saml 1.12.4和1.18.0版本还修复了一个远程拒绝服务（DoS）漏洞（CVE-2025-25293，CVSS评分7.7），该漏洞涉及处理压缩SAML响应时的问题。   GitHub建议用户尽快升级至最新版本，以防范潜在威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软揭露了一起针对酒店业的钓鱼活动，不法分子假扮在线旅游机构Booking.com，利用名为ClickFix的社会工程学手段传播窃取凭证的恶意软件。 微软称，该活动始于2024年12月，目的是进行金融诈骗和盗窃，被追踪为Storm-1865。攻击目标是北美、大洋洲、南亚和东南亚以及欧洲各地与Booking.com有业务往来的酒店业人士，通过发送假冒邮件，声称有客人在Booking.com上留下了负面评价，要求收件人给出“反馈”。 ClickFix手段近来愈发普遍，它诱骗用户在修复一个虚假错误的借口下，复制粘贴并执行恶意指令，从而启动感染过程，该手段最早于2023年10月被发现。 攻击流程是Storm-1865先向目标发送恶意邮件，内容涉及Booking.com上的虚假客人负面评价，要求收件人反馈，邮件中还嵌入了看似指向预订网站的链接或PDF附件。然而，点击链接会将受害者引至一个伪装在Booking.com页面背景上的虚假验证码页面，以增加安全性假象，提高攻击成功率。 在虚假验证码页面，网页运用ClickFix手段下载恶意载荷，指示用户使用快捷键打开Windows运行窗口，然后粘贴并执行网页添加到剪贴板的命令。该命令利用合法的mshta.exe程序投放下一阶段载荷，包括XWorm、Lumma窃密程序、VenomRAT等多种常见恶意软件家族。 微软之前观察到Storm-1865利用电商平台对买家实施钓鱼攻击，引导至诈骗付款网页。此次结合ClickFix手段，显示出攻击策略的演变，旨在绕过传统反钓鱼和反恶意软件安全措施。 Storm-1865是众多采用ClickFix作为恶意软件传播手段的活动之一。该手段效果显著，连俄罗斯和伊朗的国家级攻击组织如APT28和MuddyWater也采用它来诱骗受害者。 新加坡网络安全公司记录的一起活动显示，利用ClickFix投放名为SMOKESABER的下载器，进而成为Lumma窃密程序的传播渠道。其他活动则借助恶意广告、搜索引擎投毒、GitHub问题以及在论坛或社交媒体上发布ClickFix页面链接等方式。 ClickFix标志着对抗性社会工程策略的演变，利用用户信任和浏览器功能部署恶意软件。其被网络犯罪分子和APT组织快速采用，凸显了其有效性和低技术门槛。 其他已记录的ClickFix活动包括：利用虚假验证码启动多阶段PowerShell执行过程，最终投放Lumma和Vidar等信息窃取程序；名为Blind Eagle的攻击者利用虚假Google reCAPTCHA挑战部署恶意软件；利用虚假预订确认链接将用户重定向至验证码页面，进而引导至Lumma窃密程序；利用虚假Windows主题网站将用户重定向至验证码页面，进而引导至Lumma窃密程序。 Lumma窃密程序的多样化感染机制还体现在通过伪装成人工智能内容的虚假GitHub仓库，利用名为SmartLoader的加载器进行传播。这些恶意仓库伪装成无害工具，如游戏外挂、破解软件和加密货币工具，以免费或非法功能为诱饵，诱使受害者下载ZIP文件。 Trustwave还详细描述了一起利用发票相关诱饵分发更新版Strela窃密程序的电子邮件钓鱼活动，该程序被认为由名为Hive0145的单一攻击者操作。Strela窃密程序样本包含自定义多层混淆和代码流扁平化，以增加分析难度。据报道，攻击者可能开发了一种名为“Stellar加载器”的专用加密器，专门用于Strela窃密程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）表示，截至上月，Medusa 勒索软件已影响美国 300 多家关键基础设施行业的组织。 这一消息来自 CISA、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）今天联合发布的通告。 “CISA、FBI 和 MS-ISAC 警告称，截至 2025 年 2 月，Medusa 开发者及其合作伙伴已攻击 300 多个受害组织，受影响行业涵盖医疗、教育、法律、保险、科技及制造业等多个关键基础设施领域。” FBI、CISA 和 MS-ISAC 呼吁各组织采取通告中的缓解措施，以降低 Medusa 勒索软件攻击的风险和影响。 通告指出，为防范 Medusa 勒索软件攻击，建议采取以下安全措施： 修补已知安全漏洞，确保操作系统、软件和固件在合理时间内完成更新； 进行网络分段，限制受感染设备在组织内部的横向移动； 过滤网络流量，阻止未知或不受信任来源访问内部系统的远程服务。 Medusa 勒索软件最早于 2021 年 1 月出现，但该组织直到 2023 年才开始活跃，并推出“Medusa Blog”泄密网站，以被盗数据为筹码施压受害者支付赎金。 自其出现以来，Medusa 已在全球范围内造成超过 400 名受害者，并因 2023 年 3 月攻击明尼阿波利斯公立学校（MPS）并公布被盗数据的视频而引发媒体关注。 2023 年 11 月，该组织还在暗网勒索平台上泄露了据称从丰田金融服务公司（Toyota Financial Services）窃取的文件。此前，丰田拒绝支付 800 万美元的赎金，并通知客户数据遭泄露。 Medusa 最初是封闭式勒索软件，仅由一个黑客组织负责开发和运营。后来，该组织转型为“勒索软件即服务”（RaaS）模式，采用合作伙伴体系，但核心开发者仍负责关键运营，包括赎金谈判。 “Medusa 开发者通常在网络犯罪论坛和黑市上招募初始访问经纪人（IABs）获取受害目标的访问权限。” 通告补充道，”这些合作伙伴可能获得 100 美元至 100 万美元不等的报酬，并有机会专门为 Medusa 工作。” 需要注意的是，多个恶意软件组织都使用“Medusa”这一名称，包括一个基于 Mirai 的勒索软件机器人网络和 2020 年发现的 Android 恶意软件即服务（MaaS）组织（又称 TangleBot）。 由于这一名称的广泛使用，Medusa 勒索软件常被误认为是 MedusaLocker 勒索软件，尽管两者实际上是完全不同的黑客组织。 上个月，CISA 和 FBI 还联合发布警报，警告“Ghost”勒索软件已入侵全球 70 多个国家的多个行业，包括关键基础设施领域。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 四家美国医疗机构——Hillcrest Convalescent Center、Gastroenterology Associates of Central Florida、Community Care Alliance 和 Sunflower Medical Group——近日向相关部门报告数据泄露事件，受影响总人数超过56万。 此次规模最大的泄露事件由堪萨斯州的 Sunflower Medical Group 披露。该机构于 2025年1月7日 发现数据泄露，调查显示，黑客自 2024年12月15日 起便已侵入其系统，并窃取了包括姓名、地址、出生日期、社会安全号码（SSN）、驾驶执照号码、医疗信息和健康保险信息等敏感数据。   Rhysida 勒索软件组织 宣称对此次攻击负责，并声称窃取了 3TB 数据，并将其挂售。该组织称泄露数据涉及 40万人，但 Sunflower 向缅因州总检察长办公室报告，实际受影响人数为22万。   位于北卡罗来纳州的 Hillcrest Convalescent Center 是一家疗养及康复中心，该机构于 2024年6月下旬 发现网络中存在可疑活动。调查结果表明，黑客入侵了其系统，窃取了姓名、社会安全号码、出生日期、银行账户信息、驾驶执照及其他政府签发证件号码、医疗信息及健康保险数据。   Hillcrest 向缅因州总检察长办公室报告，此次事件影响了超过10.6万人。   佛罗里达州中央消化病学会（Gastroenterology Associates of Central Florida，旗下 Center for Digestive Health） 在 2024年4月 发现其 IT 网络遭入侵。调查显示，黑客可能获取了姓名、社会安全号码、出生日期及健康信息，受影响人数超过 12.2万。   此次攻击由 BianLian 勒索软件组织 发起，该组织于 2024年5月中旬 公开宣布对此事件负责。   位于罗得岛州的 Community Care Alliance 于 2024年7月初 遭遇黑客攻击，直至 2025年1月 调查完成，才确认黑客可能窃取了姓名、地址、出生日期、驾驶执照号码、社会安全号码、诊断信息、实验室结果、保险信息及治疗记录等敏感数据。   该机构向缅因州总检察长办公室和美国卫生与公共服务部（HHS） 报告，事件影响约11.5万人。Rhysida 勒索软件组织 在 2024年7月底 宣称对此攻击负责。   2024年，美国共有720起医疗数据泄露事件被报告，涉及1.86亿条用户记录，凸显了医疗行业网络安全形势的严峻性。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本国家警察厅（NPA）和国家网络安全战略中心（NISC）发布安全通告，警告针对日本组织的高级持续性威胁（APT）攻击活动。 此次攻击由“MirrorFace”组织实施，该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作，同时规避宿主系统上的安全检测。 攻击者使用了经过修改的开源远程访问木马（RAT）Lilith RAT，命名为 “LilimRAT”，该恶意软件专门针对 Windows Sandbox 运行环境进行优化。 Windows Sandbox 作为独立的虚拟环境，与宿主系统隔离。MirrorFace 组织正是利用这一特性，在受感染系统上保持持久性，同时减少攻击痕迹，降低被发现的可能性。 据 ITOCHU Cyber & Intelligence 研究人员分析，该恶意软件包含专门的代码，用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在，这是 Windows Sandbox 默认的用户配置。 如果 WDAGUtilityAccount 文件夹未被检测到，恶意软件会立即终止运行。代码示例如下：   FileAttributesA = GetFileAttributesA(“C:\\Users\\WDAGUtilityAccount”); if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0) {     c_GetModuleFileNameA();     c_WSAStartup();     v29 = 1;     // 其他初始化代码 } 攻击者首先在目标系统上启用 Windows Sandbox（默认情况下该功能是禁用的），并创建自定义的 Windows Sandbox 配置文件（WSB）。然后，在这个隔离环境中执行恶意软件，以避免安全工具的检测。 完整的攻击流程包括： 在受感染主机上放置三个关键文件： 批处理脚本（.bat） 压缩工具 包含恶意软件的存档文件 创建 Windows Sandbox 配置文件（WSB），其中包含： 启用网络连接 在宿主系统和沙箱之间共享文件夹 设定在 Windows Sandbox 启动时自动执行命令 WSB 配置示例如下：   <Configuration>     <Networking>Enable</Networking>     <MappedFolders>         <MappedFolder>             <HostFolder>C:\{Host-side folder}</HostFolder>             <SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>             <ReadOnly>false</ReadOnly>         </MappedFolder>     </MappedFolders>     <LogonCommand>         <Command>C:\{Sandbox-side folder}\{random}.bat</Command>     </LogonCommand>     <MemoryInMB>1024</MemoryInMB> </Configuration>   通过此配置，恶意软件可在 Windows Sandbox 内部运行，同时仍可访问宿主系统的文件。 攻击流程启动后，批处理文件会提取档案并安排任务来执行恶意软件。 然后，恶意软件通过 Tor 网络与命令和控制服务器建立通信，以掩盖其活动。 这次攻击之所以特别隐蔽，是因为 Windows Sandbox 默认禁用了 Windows Defender，这就为攻击者提供了一个无安全威胁的操作环境。 此外，当 Windows Sandbox 以 SYSTEM 权限通过任务调度程序启动时，它会在后台运行而不显示窗口，这使得检测更具挑战性。 安全专家建议，除非特别需要，否则应禁用 Windows Sandbox，监控相关进程，限制管理权限，并实施 AppLocker 策略，以防止在企业环境中未经授权执行 Windows Sandbox。 消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员发现，一款名为“KoSpy”的新型安卓间软件谍与朝鲜威胁组织有关联，该组织已通过至少五个恶意应用渗透至谷歌应用商店和第三方应用商店APKPure。 Lookout研究人员表示，这款间谍软件归属于朝鲜威胁组织APT37（又名“ScarCruft”）。自2022年3月起，这一行动便已启动，且威胁组织一直在积极开发该恶意软件，以更新样本。 该间谍软件行动主要针对韩语和英语用户，通过伪装成文件管理器、安全工具和软件更新程序来实施攻击。 Lookout确定的五款应用为：휴대폰 관리자（手机管理器）、File Manager（文件管理器，包名com.file.exploer）、스마트 관리자（智能管理器）、카카오 보안（Kakao安全）和Software Update Utility（软件更新工具）。   这些恶意应用至少提供部分承诺的功能，但在后台加载KoSpy间谍软件。唯一例外的是Kakao Security，它仅显示一个虚假的系统窗口，同时请求访问高风险权限。 KoSpy应用界面 根据之前与朝鲜行动相关的IP地址、用于分发Konni恶意软件的域名，以及与另一个朝鲜赞助的威胁组织APT43的基础设施重叠情况，该行动被归咎于APT37。 一旦在设备上激活，KoSpy会从Firebase Firestore数据库中检索一个加密的配置文件，以躲避检测。 随后，它连接到实际的命令与控制（C2）服务器，并运行检查以确保它不在模拟器中运行。该恶意软件可以从C2服务器获取更新的设置、额外的可执行有效载荷，并通过一个“开关”动态地激活或停用。 KoSpy的数据收集能力包括： 截获短信和通话记录 实时追踪受害者的GPS位置 读取并窃取本地存储文件 利用设备麦克风录制音频 利用设备摄像头拍摄照片和视频 捕获设备屏幕截图 通过安卓辅助功能服务记录按键操作 每个应用使用独立的Firebase项目和C2服务器进行数据窃取，且数据在传输前使用硬编码的AES密钥进行加密。 尽管这些间谍软件应用已从谷歌应用商店和APKPure下架，但用户需要手动卸载它们，并使用安全工具进行扫描，以彻底清除设备上的任何感染残留。在严重情况下，建议进行出厂重置。 谷歌应用商店保护功能也能阻止已知的恶意应用，因此在已更新的安卓设备上启用该功能有助于抵御KoSpy。 谷歌发言人向BleepingComputer确认，Lookout确定的所有KoSpy应用都已从谷歌应用商店下架，相关的Firebase项目也已关闭。 “使用地区语言表明这是有针对性的恶意软件。在任何用户安装之前，2024年3月发现的最新恶意软件样本已从谷歌应用商店中移除，”谷歌告诉BleepingComputer。 “谷歌应用商店保护会自动保护安装了谷歌应用商店服务的安卓用户，使其免受已知版本的此类恶意软件的侵害，即使应用来自Play商店之外的来源。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Facebook 警告称，FreeType 2.13 及以下版本中的一个漏洞可导致任意代码执行，且该漏洞已被用于攻击。 FreeType 是一个广泛使用的开源字体渲染库，用于显示文本和程序化地将文本添加到图像中。它支持多种字体格式，如 TrueType (TTF)、OpenType (OTF) 等。 该库安装在数百万个系统和服务中，包括 Linux、Android、游戏引擎、GUI 框架和在线平台。 此漏洞编号为 CVE-2025-27363，CVSS v3 评分为 8.1（高危），已在 2023 年 2 月 9 日的 FreeType 2.13.0 版本中修复。 Facebook 昨日披露了这一漏洞，警告称该漏洞在所有 2.13 及以下版本的 FreeType 中均可被利用，并且已有报告显示该漏洞在攻击中被积极利用。 “在 FreeType 2.13.0 及以下版本中，当尝试解析与 TrueType GX 和可变字体文件相关的字体子图结构时，存在越界写入问题，”公告中写道。 “漏洞代码将一个有符号短整型值赋给一个无符号长整型，然后添加一个静态值，导致其回绕并分配过小的堆缓冲区。” “随后，代码会在这个缓冲区的边界外写入多达 6 个有符号长整型，这可能导致任意代码执行。” 尽管 Facebook 可能在某种程度上依赖 FreeType，但尚不清楚其安全团队观察到的攻击是否发生在其平台上，或者他们是在其他地方发现了这些攻击。 鉴于 FreeType 在多个平台上的广泛使用，软件开发者和项目管理员必须尽快升级到 FreeType 2.13.3（最新版本）。 尽管最新易受攻击的版本（2.13.0）已发布两年，但较旧的库版本可能在软件项目中长期存在，因此尽快解决该漏洞至关重要。 BleepingComputer 就此漏洞及其利用方式向 Meta 询问，收到了以下声明： “当我们发现开源软件中的安全漏洞时，会进行报告，因为这有助于增强每个人在线安全，”Facebook 对 BleepingComputer 表示。“我们认为用户希望我们不断探索提高安全性的方法。我们将保持警惕，并致力于保护人们的私人通信。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周二发布安全更新，修复了57个安全漏洞，其中包括6个已在野外被积极利用的零日漏洞。 在这57个漏洞中，6个被评为“严重”，50个为“重要”，1个为“低危”。修复的漏洞中，有23个涉及远程代码执行，22个与权限提升相关。 此外，微软还修复了其基于 Chromium 的 Edge 浏览器中的17个漏洞，其中一个是特定于浏览器的伪造漏洞（CVE-2025-26643，CVSS 评分：5.4）。 6个被积极利用的零日漏洞 CVE-2025-24983（CVSS 评分：7.0）——Windows Win32 内核子系统的 Use-After-Free（UAF）漏洞，允许授权攻击者在本地提升权限。 CVE-2025-24984（CVSS 评分：4.6）——Windows NTFS 信息泄露漏洞，攻击者可通过插入恶意 USB 设备，读取目标设备的部分堆内存。 CVE-2025-24985（CVSS 评分：7.8）——Windows Fast FAT 文件系统驱动的整数溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-24991（CVSS 评分：5.5）——Windows NTFS 越界读取漏洞，允许授权攻击者在本地窃取信息。 CVE-2025-24993（CVSS 评分：7.8）——Windows NTFS 基于堆的缓冲区溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-26633（CVSS 评分：7.0）——Microsoft Management Console（MMC）输入净化不当漏洞，允许未经授权的攻击者本地绕过安全功能。 发现并报告 CVE-2025-24983 的安全公司 ESET 透露，该漏洞最早于2023年3月在野外发现，并通过名为 PipeMagic 的后门程序传播至受感染主机。 ESET 解释称，该漏洞属于 Win32k 驱动中的 Use-After-Free 漏洞，在特定情况下，使用 WaitForInputIdle API 可能导致 W32PROCESS 结构被多次解引用，引发 UAF 攻击。要成功利用该漏洞，攻击者需要在竞争条件中占据优势。 PipeMagic 于2022年首次被发现，这是一种基于插件的木马程序，主要针对亚洲和沙特阿拉伯的目标。2024年底，该恶意软件曾伪装成 OpenAI ChatGPT 应用进行传播。 据卡巴斯基实验室 2024年10月的报告，PipeMagic 生成 16 字节的随机数组，以 \\.\pipe\1.<十六进制字符串> 的格式创建命名管道。该恶意软件会不断创建、读取并销毁该管道，以接收加密载荷和控制信号。通常，PipeMagic 依赖从命令与控制（C2）服务器下载的多个插件，而该服务器托管在微软 Azure 上。 Zero Day Initiative 指出，CVE-2025-26633 源自 MSC 文件处理方式的缺陷，允许攻击者绕过文件信誉保护，并在当前用户环境中执行代码。此漏洞的利用活动与名为 EncryptHub（又称 LARVA-208）的威胁组织有关。 安全公司 Action1 发现，攻击者可以将影响 Windows 核心文件系统的四个漏洞（CVE-2025-24985、CVE-2025-24993、CVE-2025-24984 和 CVE-2025-24991）进行组合利用，从而实现远程代码执行和信息泄露。这四个漏洞均由匿名报告。 Immersive 安全研究高级总监 Kev Breen 解释称，该攻击方法依赖于攻击者构造恶意的 VHD（虚拟硬盘）文件，并诱导用户打开或挂载它。虽然 VHD 主要用于存储虚拟机操作系统，但过去已有攻击者通过 VHD/VHDX 作为钓鱼攻击载体，以绕过杀毒软件检测。 Tenable 研究员 Satnam Narang 指出，CVE-2025-26633 是继 CVE-2024-43572 之后，第二个在野外被利用的 MMC 相关零日漏洞。而 CVE-2025-24985 则是自 2022年3月以来，Windows Fast FAT 文件系统驱动的首个被利用的零日漏洞。 目前尚不清楚这些漏洞的具体利用规模和攻击环境。鉴于其严重性，美国网络安全与基础设施安全局（CISA）已将这些漏洞列入“已知被利用漏洞”（KEV）目录，并要求联邦机构在 2025年4月1日前完成修补。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司 GreyNoise 警告称，针对服务器端请求伪造（SSRF）漏洞的攻击正在多个平台上呈现“协同激增”态势。 “至少有400个IP地址正在同时利用多个SSRF相关的CVE漏洞，且攻击行为之间存在显著重叠。”GreyNoise 表示，该公司在2025年3月9日观察到这一活动。 当前，遭受SSRF漏洞攻击的国家包括美国、德国、新加坡、印度、立陶宛和日本。此外，以色列在2025年3月11日经历了一波显著增长。 以下是被攻击者利用的SSRF漏洞列表： – CVE-2017-0929（CVSS评分：7.5）- DotNetNuke   – CVE-2020-7796（CVSS评分：9.8）- Zimbra Collaboration Suite   – CVE-2021-21973（CVSS评分：5.3）- VMware vCenter   – CVE-2021-22054（CVSS评分：7.5）- VMware Workspace ONE UEM   – CVE-2021-22175（CVSS评分：9.8）- GitLab CE/EE   – CVE-2021-22214（CVSS评分：8.6）- GitLab CE/EE   – CVE-2021-39935（CVSS评分：7.5）- GitLab CE/EE   – CVE-2023-5830（CVSS评分：9.8）- ColumbiaSoft DocumentLocator   – CVE-2024-6587（CVSS评分：7.5）- BerriAI LiteLLM   – CVE-2024-21893（CVSS评分：8.2）- Ivanti Connect Secure   – OpenBMCS 2.4 认证后 SSRF 攻击（无 CVE 编号）   – Zimbra Collaboration Suite SSRF 攻击（无 CVE 编号）   GreyNoise 指出，许多相同的IP地址正在同时针对多个SSRF漏洞，而非集中攻击单一漏洞。这种攻击模式表明，攻击者正在实施结构化的漏洞利用，可能涉及自动化工具或事先的情报收集。 鉴于当前的活跃攻击态势，GreyNoise 建议用户立即安装最新补丁、限制出站连接至必要端点，并密切监测异常的出站请求。 “许多现代云服务依赖内部元数据 API，而一旦SSRF漏洞被利用，攻击者就能访问这些API。”GreyNoise 解释道，“SSRF 可用于绘制内部网络拓扑、定位易受攻击的服务，并窃取云凭据。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名朝鲜黑客组织Lazarus近日被曝在npm（Node包管理器）平台投放6个恶意软件包，目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段，专门针对加密货币敏感信息实施窃取。 网络安全公司Socket研究团队发现，此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI（Python软件包索引）等开发者平台，通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案，创下历史最高纪录。 六大恶意软件包特征   本次发现的恶意软件包均采用”仿冒拼写”策略诱导开发者误装：   1. is-buffer-validator：仿冒流行库is-buffer，实施凭证窃取   2. yoojae-validator：伪装验证工具窃取系统敏感数据   3. event-handle-package：伪装事件处理工具部署远程后门   4. array-empty-validator：窃取系统及浏览器凭证   5. react-event-dependency：伪装React工具植入恶意程序   6. auth-validator：窃取登录凭证与API密钥   据Socket报告披露，这些软件包内嵌的恶意代码具备多重窃取功能，包括劫持Chrome、Brave、Firefox浏览器的登录数据、Cookies及历史记录，窃取macOS系统密钥链信息，针对Solana钱包的id.json文件及Exodus钱包文件实施定向窃取，包括植入朝鲜黑客惯用的”BeaverTail”恶意软件和”InvisibleFerret”后门程序。 目前所有恶意软件包仍存在于npm及GitHub平台。安全专家建议开发者严格审查项目依赖包来源，重点排查开源代码中的混淆代码、非常规服务器连接请求并警惕名称与知名库相似的软件包。 此次事件再次凸显软件供应链安全风险。Lazarus组织自2023年起持续活跃，其攻击范围已覆盖金融、加密货币等多个关键领域。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 CyberArk 称，MassJacker 活动使用了至少 778,531 个加密货币钱包地址，从被攻破的计算机中窃取数字资产。 在分析时，与该操作相关的约 423 个钱包中包含 95,300 美元，但历史数据表明存在更大规模的交易。 此外，还有一个单独的 Solana 钱包，攻击者似乎将其用作中央收款中心，目前已积累了超过 300,000 美元的交易。 CyberArk 怀疑整个 MassJacker 操作与一个特定的威胁组织有关，因为从命令和控制服务器下载的文件名和用于解密文件的加密密钥在整个活动中相同。 然而，该操作仍可能遵循恶意软件即服务模式，中央管理员向不同网络罪犯出售访问权限。 CyberArk 称 MassJacker 是一种加密劫持操作，尽管该词通常与利用受害者处理/硬件资源进行未授权加密货币挖掘有关。 实际上，MassJacker 依赖于剪贴板劫持恶意软件（clippers），这种恶意软件监控 Windows 剪贴板上复制的加密货币钱包地址，并将其替换为攻击者控制的钱包地址。 通过这种方式，受害者在不知情的情况下将资金发送给攻击者，而非他们原本打算发送的对象。 Clippers 结构简单但效果显著，由于功能和操作范围有限，很难被检测到。 技术细节方面，MassJacker 通过 pesktop[.]com 分发，该网站托管盗版软件和恶意软件。 从该网站下载的软件安装程序会执行 cmd 脚本，触发 PowerShell 脚本，获取 Amadey bot 和两个加载程序文件（PackerE 和 PackerD1）。 Amadey 启动 PackerE，后者解密并加载 PackerD1 到内存中。 PackerD1 具有五种嵌入式资源，增强其规避和反分析性能，包括即时（JIT）挂钩、元数据令牌映射以混淆函数调用，以及用于命令解释的自定义虚拟机，而不是运行常规 .NET 代码。 PackerD1 解密并注入 PackerD2，最终解压缩并提取最终有效载荷 MassJacker，并将其注入到合法的 Windows 进程 ‘InstalUtil.exe’ 中。 MassJacker 使用正则表达式模式监控剪贴板上的加密货币钱包地址，如果找到匹配项，就从加密列表中替换为攻击者控制的钱包地址。 CyberArk 呼吁网络安全研究界更深入地研究像 MassJacker 这样的大型加密劫持操作，尽管其造成的财务损失看似较低，但可能揭示许多威胁行为者的宝贵识别信息。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司近日紧急发布安全更新，修复编号为CVE-2025-24201的零日漏洞。该漏洞存在于WebKit跨平台网页浏览器引擎中，影响Safari浏览器及多款运行于macOS、iOS、Linux和Windows系统的应用程序。 “此次更新是对iOS 17.2版本已防御攻击的补充修复。”苹果在周二发布的安全公告中表示，”我们确认该漏洞在iOS 17.2之前版本中，已被用于针对特定人群实施高度复杂的定向攻击。” 经证实，攻击者可通过特制恶意网页内容突破Web内容沙箱限制。目前苹果已通过强化检测机制修复了该越界写入漏洞，相关补丁包含在iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1更新中。 受影响的设备型号包括： – iPhone XS及后续机型 – iPad Pro全系（13英寸/12.9英寸第三代起/11英寸第一代起） – iPad Air第三代起 – iPad第七代起 – iPad mini第五代起 – 运行macOS Sequoia系统的Mac设备 – Apple Vision Pro 苹果暂未透露漏洞发现者信息，也未披露相关攻击行动的具体细节。虽然该漏洞目前主要用于定向攻击，但安全专家强烈建议用户立即更新系统以防范潜在攻击。 这是苹果本年度修复的第三个零日漏洞，此前分别于1月（CVE-2025-24085）和2月（CVE-2025-24200）修复两处漏洞。2024全年苹果共修复6个野外利用漏洞，而2023年漏洞修复量达20个，其中包含： – 11月：CVE-2023-42916、CVE-2023-42917 – 10月：CVE-2023-42824、CVE-2023-5217 – 9月：5个漏洞（CVE-2023-41061等） – 7月：CVE-2023-37450、CVE-2023-38606 – 6月：CVE-2023-32434等3个 – 5月：CVE-2023-32409等3个 – 4月：CVE-2023-28206等2个 – 2月：WebKit漏洞CVE-2023-23529   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一根据在野活跃利用的证据，将影响Advantive VeraCore和Ivanti Endpoint Manager（EPM）的五个安全漏洞添加到了已知被利用漏洞（KEV）目录中。 漏洞列表如下： – CVE-2024-57968：Advantive VeraCore中的无限制文件上传漏洞，允许远程未认证的攻击者通过upload.aspx上传文件到意外的文件夹。 – CVE-2025-25181：Advantive VeraCore中的SQL注入漏洞，允许远程攻击者执行任意SQL命令。 – CVE-2024-13159：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13160：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13161：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 VeraCore漏洞的利用被归因于可能是一个名为XE Group的越南威胁行为者，该组织已被观察到投放反向shell和web shell以维持对受感染系统的持久远程访问。 另一方面，目前没有公开报告说明三个Ivanti EPM漏洞在现实攻击中是如何被利用的。上个月，Horizon3.ai发布了一个概念验证（PoC）利用。这家网络安全公司将它们描述为“凭证强迫”漏洞，可能允许未认证的攻击者危及服务器。 鉴于活跃利用的情况，联邦民用执行分支（FCEB）机构必须在2025年3月31日之前应用必要的补丁。 这一发展正值威胁情报公司GreyNoise警告CVE-2024-4577的大规模利用，这是一个影响PHP-CGI的严重漏洞，攻击活动激增，针对日本、新加坡、印度尼西亚、英国、西班牙和印度。 “过去30天内针对CVE-2024-4577的IP中，超过43%来自德国和中国，”GreyNoise表示，并补充说，它“检测到2月份针对多个国家网络的协调性利用尝试激增，表明对易受攻击目标的额外自动化扫描。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国台湾地区公司摩莎（Moxa）发布了一项安全更新，以解决其PT交换机中的一个关键安全漏洞，该漏洞可能允许攻击者绕过认证。 该漏洞被追踪为CVE-2024-12297，CVSS v4评分为9.2（满分10.0）。 摩莎在上周发布的一份咨询报告中表示：“由于授权机制中的缺陷，多款摩莎PT交换机容易出现认证绕过漏洞。” “尽管有客户端和后端服务器验证，但攻击者可以利用其实现中的漏洞。该漏洞可能使暴力破解攻击得以进行，以猜测有效凭证，或者利用MD5冲突攻击伪造认证哈希，从而可能危及设备的安全。” 成功利用这一漏洞，可能会导致认证绕过，允许攻击者获得未经授权的访问权限，进入敏感配置或中断服务。 受影响的版本包括： – PT-508系列（固件版本3.8及更早版本） – PT-510系列（固件版本3.8及更早版本） – PT-7528系列（固件版本5.0及更早版本） – PT-7728系列（固件版本3.9及更早版本） – PT-7828系列（固件版本4.0及更早版本） – PT-G503系列（固件版本5.3及更早版本） – PT-G510系列（固件版本6.5及更早版本） – PT-G7728系列（固件版本6.5及更早版本） – PT-G7828系列（固件版本6.5及更早版本） 该漏洞的补丁可通过联系摩莎技术支持团队获得。该公司感谢莫斯科Rosatom自动化控制系统（RASU）的Artem Turyshev报告了这一漏洞。 除了应用最新修复程序外，使用受影响产品的公司还被建议使用防火墙或访问控制列表（ACL）限制网络访问，强制执行网络分段，尽量减少直接暴露于互联网，对访问关键系统实施多因素认证（MFA），启用事件日志记录，并监控网络流量和设备行为以发现异常活动。 值得注意的是，摩莎在2025年1月中旬已经解决了以太网交换机EDS-508A系列（固件版本3.11及更早版本）中的同一漏洞。 这一修复措施是在两个月前摩莎推出其蜂窝路由器、安全路由器和网络安全设备的补丁（CVE-2024-9138和CVE-2024-9140）之后不久，这些补丁可防止权限提升和命令执行。 上个月，摩莎还解决了影响各种交换机的多个高严重性漏洞（CVE-2024-7695、CVE-2024-9404和CVE-2024-9137），可能导致拒绝服务（DoS）攻击或命令执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基在 2024 年观察到，南亚和东南亚、中东和非洲的海事和物流公司成为了被称作 SideWinder 的高级持续性威胁（APT）组织的攻击目标。 这些攻击活动遍布孟加拉国、柬埔寨、吉布提、埃及、阿拉伯联合酋长国和越南。其他攻击目标还包括南亚和非洲的核电站和核能基础设施，以及电信、咨询、IT 服务公司、房地产代理和酒店。 在看似更广泛地扩展其受害者范围的情况下，SideWinder 还针对了阿富汗、阿尔及利亚、保加利亚、中国、印度、马尔代夫、卢旺达、沙特阿拉伯、土耳其和乌干达的外交实体。针对印度的攻击尤为显著，因为之前曾怀疑该威胁行为者来自印度。 “值得注意的是，SideWinder 不断努力改进其工具集，以领先于安全软件的检测，延长在受感染网络中的持续存在，并隐藏在受感染系统中的痕迹，”研究人员 Giampaolo Dedola 和 Vasily Berdnikov 说，他们将其描述为“一个高度先进且危险的对手”。 SideWinder 之前在 2024 年 10 月曾是俄罗斯网络安全公司进行广泛分析的主题，记录了该威胁行为者使用名为 StealerBot 的模块化后利用工具包，从受感染的主机中捕获广泛敏感信息的情况。2024 年 7 月，BlackBerry 也强调了该黑客组织针对海事部门的攻击。 最新的攻击链与之前报告的情况相符，鱼叉式网络钓鱼电子邮件作为渠道，投放利用微软 Office 公式编辑器（CVE-2017-11882）中已知安全漏洞的陷阱文档，以激活多阶段序列，进而使用名为 ModuleInstaller 的 .NET 下载器，最终启动 StealerBot。 卡巴斯基表示，一些诱饵文档与核电站和核能机构有关，而其他文档则包含提及海事基础设施和各个港口当局的内容。 “他们不断监测其工具集被安全解决方案检测到的情况，”卡巴斯基说，“一旦他们的工具被识别，他们会在不到五小时的时间内生成新的恶意软件版本。” “如果出现行为检测，SideWinder 会尝试更改用于维持持续性和加载组件的技术。此外，他们还会更改恶意文件的名称和路径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Cato CTRL 团队的新发现，未修复的 TP-Link Archer 路由器已成为一个新的僵尸网络活动的目标，该活动被称为 Ballista。 “该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389），通过互联网自动传播自身。” 安全研究员 Ofek Vardi 和 Matan Mittelman 在与 The Hacker News 共享的技术报告中表示。 CVE-2023-1389 是影响 TP-Link Archer AX-21 路由器的高严重性安全漏洞，可能导致命令注入，从而为远程代码执行铺平道路。 最早利用该漏洞的证据可以追溯到 2023 年 4 月，当时未知的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那以后，它还被用来传播 Condi 和 AndroxGh0st 等其他恶意软件家族。 Cato CTRL 表示，他们于 2025 年 1 月 10 日检测到了 Ballista 活动，最近一次利用尝试记录在 2 月 17 日。 攻击序列涉及使用恶意软件投放器，一个名为 “dropbpb.sh” 的 shell 脚本，设计用于在目标系统上获取并执行适用于各种系统架构（如 mips、mipsel、armv5l、armv7l 和 x86_64）的主要二进制文件。 一旦执行，恶意软件会在 82 端口建立加密的命令和控制（C2）通道，以控制设备。 “这允许运行 shell 命令以进行进一步的远程代码执行和拒绝服务（DoS）攻击。” 研究人员表示，“此外，恶意软件还会尝试读取本地系统上的敏感文件。” Ballista 僵尸网络 支持的一些命令包括： flooder，触发洪水攻击 exploiter，利用 CVE-2023-1389 漏洞 start，与 exploiter 一起使用的可选参数，用于启动模块 close，停止触发功能的模块 shell，在本地系统上运行 Linux shell 命令 killall，用于终止服务 此外，它能够在执行开始时终止之前的实例并擦除自身存在。它还设计用于通过尝试利用该漏洞传播到其他路由器。 使用 C2 IP 地址位置（2.237.57[.]70）和恶意软件二进制文件中存在意大利语字符串，表明涉及未知的意大利威胁行为者，网络安全公司表示。 尽管如此，似乎该恶意软件正在积极开发中，因为该 IP 地址已不再有效，并且存在一个新的投放器变体，使用 TOR 网络域而不是硬编码的 IP 地址。 在攻击面管理平台 Censys 上的搜索显示，超过 6000 台设备被 Ballista 感染。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。 该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务和科技组织。 “虽然这个恶意软件样本与其他僵尸网络有相似之处，但它仍然与广泛使用的 Mirai 和 Mozi 僵尸网络不同。” 研究人员表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 Blind Eagle 的威胁行为者自 2024 年 11 月以来，与一系列针对哥伦比亚机构和政府实体的持续攻击活动有关。 “监控到的攻击活动针对哥伦比亚司法机构以及其他政府或私人组织，感染率很高。” Check Point 在一项新分析中表示。 “在 2024 年 12 月 19 日左右进行的一次攻击活动中，超过 1600 名受害者受到影响。考虑到 Blind Eagle 的定向 APT 方法，这一感染率非常显著。” 自 2018 年以来一直活跃的 Blind Eagle ，也被称为 AguilaCiega、APT-C-36 和 APT-Q-98。它以对南美实体，特别是哥伦比亚和厄瓜多尔的超针对性攻击而闻名。 该威胁行为者策划的攻击链涉及使用社会工程学手段，通常以鱼叉式网络钓鱼电子邮件的形式，获取对目标系统的初始访问权限，并最终投放现成的远程访问木马，如 AsyncRAT、NjRAT、Quasar RAT 和 Remcos RAT。 最新的入侵行为因三个原因而引人注目：使用了针对微软 Windows 漏洞（CVE-2024-43451）的变种利用，采用了新兴的 “打包即服务”（PaaS）HeartCrypt，以及通过 Bitbucket 和 GitHub 分发有效载荷，超越了谷歌硬盘和 Dropbox。 具体来说，HeartCrypt 用于保护恶意可执行文件，这是 PureCrypter 的一个变种，然后负责启动托管在现已被删除的 Bitbucket 或 GitHub 存储库上的 Remcos RAT 恶意软件。 CVE-2024-43451 指的是微软在 2024 年 11 月修复的 NTLMv2 哈希泄露漏洞。据 Check Point 称，盲鹰在补丁发布后仅六天就将其变种纳入攻击武器库，导致毫无戒心的受害者在手动点击通过网络钓鱼电子邮件分发的恶意.URL 文件时推进感染。 “虽然这个变种实际上并不会暴露 NTLMv2 哈希，但它会通知威胁行为者文件是由同一异常用户文件交互下载的。” 这家网络安全公司表示。 “在易受 CVE-2024-43451 影响的设备上，即使在用户手动与文件交互之前，也会触发 WebDAV 请求，表现出同样的异常行为。同时，在已打补丁和未打补丁的系统上，手动点击恶意.URL 文件会启动下一阶段有效载荷的下载和执行。” Check Point 指出，这种 “快速反应” 有助于突出该组织的技术专长以及其在面对不断演变的安全防御时适应和追求新攻击方法的能力。 作为威胁行为者起源的铁证，GitHub 存储库显示该威胁行为者在 UTC-5 时区运营，与南美多个国家一致。 不仅如此，似乎出现了一次操作失误，对存储库提交历史的分析发现了一个包含 1634 个唯一电子邮件地址的账户密码对文件。 尽管名为 “Ver Datos del Formulario.html” 的 HTML 文件于 2025 年 2 月 25 日从存储库中删除，但发现它包含与个人、政府机构、教育机构和在哥伦比亚运营的企业相关的详细信息，如用户名、密码、电子邮件、电子邮件密码和 ATM PIN 码。 “其成功的关键因素之一是能够利用合法的文件共享平台，包括谷歌硬盘、Dropbox、Bitbucket 和 GitHub，使其能够绕过传统安全措施并秘密分发恶意软件。” Check Point 表示。 “此外，其使用地下犯罪软件工具如 Remcos RAT、HeartCrypt 和 PureCrypter 加强了其与网络犯罪生态系统的深厚联系，提供了访问 sophisticated 逃避技术和持续访问方法的途径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文