Aggregator

A vulnerability was found in Linux Kernel up to 6.6.59/6.11.6. It has been declared as problematic. This vulnerability affects unknown code of the component qmp-usb. The manipulation leads to null pointer dereference. This vulnerability was named CVE-2024-50240. The attack needs to be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 特洛伊木马式游戏安装程序在大规模 StaryDobry 攻击中部署加密货币矿工，卡巴斯基将这一大规模活动命名为 StaryDobry，该活动于 2024 年 12 月 31 日首次被检测到，持续了一个月。此次攻击的目标是全球的个人和企业，卡巴斯基的遥测数据显示，俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的感染浓度较高。 研究人员塔季扬娜·什什科娃（Tatyana Shishkova）和基里尔·科尔切米尼（Kirill Korchemny）在周二发布的一份分析报告中表示：“这种方法帮助威胁行为者充分利用了矿工植入，目标是强大的游戏机，这些机器能够维持挖矿活动。” 此次 XMRig 加密货币矿工活动利用了流行的模拟和物理游戏，如 BeamNG.drive、Garry’s Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy，作为诱饵发起复杂的攻击链。这包括在 2024 年 9 月将使用 Inno Setup 制作的被投毒的游戏安装程序上传到各种种子网站，表明活动背后的不明威胁行为者精心策划了这些攻击。 下载这些发布版本（也称为“重打包”）的用户会看到一个安装程序界面，提示他们继续进行安装过程，在此过程中会提取并执行一个投放器（“unrar.dll”）。 该 DLL 文件在确定是否在调试或沙盒环境中运行后才会继续执行，这表明其具有高度的规避行为。随后，它会查询多个网站，如 api.myip [.]com、ip-api [.]com 和 ipwho [.]is，以获取用户的 IP 地址并估算其位置。如果这一步失败，国家默认为中国或白俄罗斯，原因尚不清楚。 下一阶段涉及收集机器的指纹信息，解密另一个可执行文件（“MTX64.exe”），并将其内容写入磁盘上的文件 “Windows.Graphics.ThumbnailHandler.dll”，该文件位于 %SystemRoot% 或 %SystemRoot%\Sysnative 文件夹中。 基于一个名为 EpubShellExtThumbnailHandler 的合法开源项目，MTX64 通过加载下一阶段的有效载荷（一个名为 Kickstarter 的便携式可执行文件），修改了 Windows Shell Extension Thumbnail Handler 功能，以谋取自身利益，然后解包嵌入其中的加密数据块。 该数据块与前一步类似，被写入磁盘，文件名为 “Unix.Directory.IconHandler.dll”，位于文件夹 %appdata\Roaming\Microsoft\Credentials%InstallDate%\ 中。 新创建的 DLL 被配置为从远程服务器获取最终阶段的二进制文件，该服务器负责运行矿工植入，同时还会持续检查运行进程列表中的 taskmgr.exe 和 procmon.exe。如果检测到这些进程中的任何一个，该工件将立即终止。 该矿工是一个经过轻微修改的 XMRig 版本，使用预定义的命令行在具有 8 个或更多核心的 CPU 上启动挖矿过程。“如果少于 8 个，矿工不会启动，”研究人员表示。“此外，攻击者选择在他们自己的基础设施中托管挖矿池服务器，而不是使用公共服务器。” “XMRig 使用其内置功能解析构建的命令行。矿工还会创建一个单独的线程来检查系统中运行的进程监控器，使用的方法与前一阶段相同。”由于缺乏可以将其与任何已知犯罪软件行为者联系起来的指标，StaryDobry 仍未被归因。尽管如此，样本中的俄语字符串表明可能存在说俄语的威胁行为者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Linux Kernel up to 6.11.7. It has been rated as problematic. Affected by this issue is the function panthor_device_mmap_io. The manipulation leads to Privilege Escalation. This vulnerability is handled as CVE-2024-53071. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic has been found in Linux Kernel up to 6.10.13/6.11.2. This affects the function xa_erase of the component panthor. The manipulation leads to improper update of reference count. This vulnerability is uniquely identified as CVE-2024-50174. Access to the local network is required for this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Rational Software ClearCase 2002-05-00/4.1 and classified as problematic. This issue affects some unknown processing of the component Portscan Handler. The manipulation leads to denial of service. The identification of this vulnerability is CVE-2002-1322. The attack may be initiated remotely. Furthermore, there is an exploit available.

AngryOxide AngryOxide was developed as a way to learn Rust, netlink, kernel sockets, and WiFi exploitation all at once. The overall goal of this tool is to provide a single-interface survey capability with advanced...

The post AngryOxide: 802.11 Attack Tool appeared first on Penetration Testing Tools.

Cookie-Monster Steal browser cookies for Edge, Chrome, and Firefox through a BOF or exe! Cookie-Monster will extract the WebKit master key, locate a browser process with a handle to the Cookies and Login Data...

The post Cookie-Monster: BOF to steal browser cookies & credentials appeared first on Penetration Testing Tools.

LOLSpoof LOLSpoof is an interactive shell program that automatically spoofs the command line arguments of the spawned process. Just call your incriminate-looking command line LOLBin (e.g. powershell -w hidden -enc ZwBlAHQALQBwAHIAbwBjAGUA….) and LOLSpoof will...

The post LOLSpoof: An interactive shell to spoof some LOLBins command line appeared first on Penetration Testing Tools.

国家级攻防演练常年第一的公司招红队、安服。内推码：NTABmXX 不到长亭非好汉，来了长亭就无憾！等你来！

国家级攻防演练常年第一的公司招红队、安服。内推码：NTABmXX 不到长亭非好汉，来了长亭就无憾！等你来！

The continent faces "relentless" military espionage, and increased cyber sabotage at the hands of authoritarian regimes, according to a high-ranking intelligence director.

我写这篇博客的目的只是汇总和分享中国消息来源发布的有关 NSA 网络行动的信息，看看我是否可以学到任何新的检测技术或攻击技术。

HackerNews 编译，转载请注明出处： Fortinet FortiGuard Labs 报告称，一种新的 Snake Keylogger 恶意软件变种正在活跃攻击中国、土耳其、印度尼西亚和西班牙的 Windows 用户。该变种自今年年初以来已导致全球超过 2.8 亿次感染尝试被阻止。 “Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼邮件传播，旨在通过记录键盘输入、捕获凭据和监控剪贴板来从流行的网络浏览器（如 Chrome、Edge 和 Firefox）中窃取敏感信息，”安全研究员 Kevin Su 表示。 该恶意软件的其他功能使其能够使用简单邮件传输协议（SMTP）和 Telegram 机器人将窃取的信息 exfiltrate 到攻击者控制的服务器，从而使威胁行为者能够访问窃取的凭据和其他敏感数据。 最新攻击的显著特点是利用 AutoIt 脚本语言来传递和执行主要负载。换句话说，包含恶意软件的可执行文件是一个 AutoIt 编译的二进制文件，从而使其能够绕过传统的检测机制。 “使用 AutoIt 不仅通过将负载嵌入编译后的脚本中使静态分析复杂化，还启用了模仿良性自动化工具的动态行为，”Su 补充道。 一旦启动，Snake Keylogger 会将自身的一个副本投放到 “%Local_AppData%\supergroup” 文件夹中的 “ageless.exe” 文件中。它还会在 Windows 启动文件夹中投放另一个名为 “ageless.vbs” 的文件，以便每次系统重启时，Visual Basic Script (VBS) 会自动启动恶意软件。 通过这种持久化机制，Snake Keylogger 能够在相关进程被终止后仍然保持对受感染系统的访问并继续其恶意活动。 攻击链的最后一步是将主要负载注入到合法的 .NET 进程（如 “regsvcs.exe”）中，使用一种称为进程空洞的技术，使恶意软件能够在受信任的进程中隐藏自身并绕过检测。 Snake Keylogger 还被发现记录键盘输入，并使用诸如 checkip.dyndns[.]org 之类的网站来检索受害者的 IP 地址和地理位置信息。 “为了捕获键盘输入，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL（标志 13），这是一个低级别的键盘钩子，用于监控键盘输入，”Su 表示。“这种技术使恶意软件能够记录敏感输入，如银行凭据。” 与此同时，CloudSEK 详细描述了一项活动，该活动利用与教育机构相关的被攻陷基础设施来分发伪装成 PDF 文档的恶意 LNK 文件，最终部署 Lumma Stealer 恶意软件。 该活动 targeting 金融、医疗保健、技术和媒体等行业，是一个多阶段攻击序列，导致密码、浏览器数据和加密货币钱包被盗。 “该活动的主要感染向量是使用恶意 LNK（快捷方式）文件，这些文件被设计成看起来像合法的 PDF 文档，”安全研究员 Mayank Sahariya 表示，并补充说这些文件托管在一个 WebDAV 服务器上，不知情的访问者在访问网站后会被重定向到该服务器。 LNK 文件本身会执行一个 PowerShell 命令，连接到远程服务器并检索下一阶段恶意软件，一个经过混淆的 JavaScript 代码，其中包含另一个 PowerShell，从同一服务器下载 Lumma Stealer 并执行它。 最近几周，还观察到通过混淆的 JavaScript 文件分发 stealer 恶意软件，以从受感染的 Windows 系统中收集广泛的敏感数据，并将其 exfiltrate 到由攻击者操作的 Telegram 机器人。 “攻击从一个混淆的 JavaScript 文件开始，该文件从开源服务获取编码字符串以执行 PowerShell 脚本，”Cyfirma 表示。 “该脚本随后从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件，两者都使用隐写技术嵌入了恶意 MZ DOS 可执行文件。一旦执行，这些负载会部署 stealer 恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

携手斯元，共同出海。

携手斯元，共同出海。

A vulnerability was found in Sucuri Security Plugin up to 1.8.33 on WordPress and classified as problematic. Affected by this issue is some unknown functionality of the component Event Log Entry Handler. The manipulation leads to cross-site request forgery. This vulnerability is handled as CVE-2022-29489. The attack may be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, was found in WP Plugin Manager Plugin up to 1.1.7 on WordPress. Affected is an unknown function of the component Plugin Activation Handler. The manipulation leads to cross-site request forgery. This vulnerability is traded as CVE-2023-1088. It is possible to launch the attack remotely. There is no exploit available.