Aggregator

仿冒DeepSeek的手机木马病毒被捕获!

嘶吼
1 year 4 months ago

近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒

相关病毒样本信息

用户一旦点击运行仿冒App,该App会提示用户“需要应用程序更新”,并诱导用户点击“更新”按钮。用户点击后,会提示安装所谓的“新版”DeepSeek应用程序,实际上是包含恶意代码的子安装包,并会诱导用户授予其后台运行和使用无障碍服务的权限。

诱导用户“更新”(左上)、诱导用户安装“带毒”子安装包(右上)、诱导用户授权其后台运行(左下)、诱导用户授权其使用无障碍功能(右下)。

同时,该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析,该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动,诱使用户从非官方渠道安装仿冒DeepSeek的手机木马,从而对用户的个人隐私和经济利益构成较大威胁

除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外,国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件,由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序,因此相关文件均为仿冒程序。由此可见,网络犯罪分子已经将仿冒DeepSeek作为传播病毒木马程序的新手法。预计未来一段时间内,包括仿冒DeepSeek在内的各种人工智能应用程序的病毒木马将持续增加。

国家计算机病毒应急处理中心发布防范措施

针对该款手机木马病毒,国家计算机病毒应急处理中心发布以下防范措施:

·不要从短信、社交媒体软件、网盘等非官方渠道传播的网络链接或二维码下载App,仅通过DeepSeek官方网站或正规手机应用商店下载安装相应App。

·保持手机预装的安全保护功能或第三方手机安全软件处于实时开启状态,并保持手机操作系统和安全软件更新到最新版本。

·在手机使用过程中,谨慎处理非用户主动发起的App安装请求,一旦发现App在安装过程中发起对设备管理器、后台运行和使用无障碍功能等权限请求,应一律予以拒绝。

·如遭遇安装后无法正常卸载的App程序,应立即备份手机中的通讯录、短信、照片、聊天记录和文档文件等重要数据,在手机生产商售后服务人员或专业人员的指导下对手机进行安全检测和恢复。同时密切关注本人的社交媒体类软件和金融类软件是否具有异常登录信息或异常操作信息,以及亲友是否收到由本人手机号或社交媒体软件发送的异常信息,一旦出现上述相关情况,应及时联系相关软件供应商和亲友说明有关情况。

·警惕和防范针对流行App软件的电信网络诈骗话术,如“由于XXX软件官方网站服务异常,请通过以下链接下载官方应用程序”“由于XXX软件更新到最新版本,需要用户重新授予后台运行和无障碍功能权限”等,避免被网络犯罪分子诱导。

·对已下载的可疑文件,可访问国家计算机病毒协同分析平台进行上传检测。

文章来源自:央视新闻

胡金鱼

Juniper 修复 Session Smart 路由器关键认证绕过漏洞

HackerNews
1 year 4 months ago
HackerNews 编译,转载请注明出处: Juniper Networks 修复了一个关键漏洞,该漏洞允许攻击者绕过认证并完全控制 Session Smart Router (SSR) 设备。该安全漏洞(编号为 CVE-2025-21589)在内部产品安全测试中被发现,同时也影响 Session Smart Conductor 和 WAN Assurance Managed Routers。 Juniper 在上周发布的一份紧急安全公告中表示:“Juniper Networks Session Smart Router 中存在一个通过替代路径或通道绕过认证的漏洞,可能允许网络攻击者绕过认证并获取设备的管理控制权。” 根据 Juniper 的安全事件响应团队(SIRT),目前尚未发现该漏洞在实际攻击中被利用的证据。 Juniper 已在 SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2 及后续版本中修复了该漏洞。虽然一些连接到 Mist Cloud 的设备已经自动更新,但管理员仍被建议将所有受影响的系统升级到这些修复版本之一。 Juniper 表示:“在由 Conductor 管理的部署中,只需升级 Conductor 节点,修复程序将自动应用于所有连接的路由器。尽管如此,路由器仍应尽可能升级到修复版本,但一旦连接到已升级的 Conductor,它们将不再易受攻击。” Juniper 设备频繁成为攻击目标 由于 Juniper 设备常用于关键环境,因此经常成为攻击目标,并且在供应商发布安全更新后不到一周内就会被针对。 例如,去年 6 月,Juniper 发布了紧急更新,修复了另一个 SSR 认证绕过漏洞(编号为 CVE-2024-2973),该漏洞可被利用以完全控制未修补的设备。 8 月,ShadowServer 威胁监测服务警告称,有威胁行为者使用 watchTowr Labs 的概念验证(PoC)漏洞利用链,针对 Juniper EX 交换机和 SRX 防火墙进行远程代码执行攻击。 一个月后,VulnCheck 发现仍有数千台 Juniper 设备容易受到使用同一漏洞利用链的攻击。 更近一些,去年 12 月,Juniper 还警告客户,有攻击者正在扫描互联网上的 Session Smart 路由器,使用默认凭据感染 Mirai 恶意软件。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Xerox 打印机可能被攻击者利用来获取 Windows Active Directory 凭据

HackerNews
1 year 4 months ago
HackerNews 编译,转载请注明出处: 研究人员披露了 Xerox VersaLink C7025 多功能打印机(MFP)的安全漏洞,这些漏洞可能被攻击者利用,通过 Lightweight Directory Access Protocol (LDAP) 和 SMB/FTP 服务进行 pass-back 攻击,从而获取身份验证凭据。 Rapid7 安全研究员 Deral Heiland 表示:“这种 pass-back 攻击方式利用了一个漏洞,允许恶意行为者篡改 MFP 的配置,使 MFP 设备将身份验证凭据发送回攻击者。” 如果攻击者成功利用这些漏洞,他们可以获取 Windows Active Directory 的凭据,从而在组织的环境中横向移动,并可能破坏其他关键的 Windows 服务器和文件系统。 漏洞列表 受影响的固件版本为 57.69.91 及更早版本,具体漏洞如下: CVE-2024-12510 (CVSS 评分:6.7):通过 LDAP 进行 pass-back 攻击。 CVE-2024-12511 (CVSS 评分:7.6):通过用户地址簿进行 pass-back 攻击。 成功利用 CVE-2024-12510 可能会导致身份验证信息被重定向到恶意服务器,从而暴露凭据。然而,这需要攻击者能够访问 LDAP 配置页面,并且 LDAP 用于身份验证。 CVE-2024-12511 同样允许恶意行为者访问用户地址簿配置,修改 SMB 或 FTP 服务器的 IP 地址,使其指向攻击者控制的主机,从而在文件扫描操作期间捕获 SMB 或 FTP 身份验证凭据。 Heiland 指出:“要成功实施攻击,攻击者需要在用户地址簿中配置 SMB 或 FTP 扫描功能,并且需要物理访问打印机控制台或通过 Web 界面访问远程控制控制台。除非已启用用户级别的远程控制控制台访问权限,否则可能需要管理员权限。” 在 2024 年 3 月 26 日负责任地披露这些漏洞后,相关问题已在上个月底发布的 Service Pack 57.75.53 中得到解决,适用于 VersaLink C7020、7025 和 7030 系列打印机。 如果无法立即进行更新,建议用户为管理员账户设置复杂密码,避免使用具有提升权限的 Windows 身份验证账户,并为未经身份验证的用户禁用远程控制控制台。 与此同时,Specular 创始人兼 CEO Peyton Smith 详细披露了一个影响广泛部署的医疗保健软件 HealthStream MSOW 的未授权 SQL 注入漏洞(CVE-2024-56735),该漏洞可能导致整个数据库被攻破,使威胁行为者能够从公共互联网访问 23 家医疗保健组织的敏感数据。 该公司表示,已发现 50 个暴露在互联网上的 MSOW 实例,其中 23 个存在安全缺陷。 Smith 表示,该漏洞可能允许“整个数据库通过带内方式返回,这意味着攻击者可以通过精心构造的 SQL 注入 HTTP 负载,在 HTTP 响应中检索明文数据库内容。”   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

AI 迷思录:应用与安全指南

Seebug Paper
1 year 4 months ago
作者:洺熙 由于篇幅限制,全文未能完全展示,更多内容请至项目Github地址:https://github.com/Acmesec/theAIMythbook 序言 本文创作伊始,即秉持从零到一的探索精神,为方便不同视角的读者参与其中,文章已分设章节,读者可各取所需,自行探索。同时,笔者向所有秉持独立思考精神的探索者致以崇高的敬意,拜谢诸君。 人工智能的浪潮汹涌而至,其核心在于模拟人脑的运作...

AD-AssessmentKit: comprehensive security audits and network mapping of AD environments

Penetration Testing Tools - Metepreter.org
1 year 4 months ago

AD-AssessmentKit These tools are ideal for network administrators and cybersecurity professionals seeking to assess and enhance the security posture of AD environments and network infrastructures. AD-SecurityAudit.sh It focuses on initial reconnaissance and vulnerability identification...

The post AD-AssessmentKit: comprehensive security audits and network mapping of AD environments appeared first on Penetration Testing Tools.

ddos

Winnti APT41 组织通过 RevivalStone 网络间谍活动瞄准日本公司

HackerNews
1 year 4 months ago
HackerNews 编译,转载请注明出处: 黑客组织 Winnti 被认为是 2024 年 3 月针对日本制造、材料和能源行业的公司的一项新活动 RevivalStone 的幕后黑手。 日本网络安全公司 LAC 详细说明的这次活动,与 Trend Micro 跟踪的 Earth Freybug 威胁集群重叠,该集群已被评估为 APT41 网络间谍组织的一个子集,Cybereason 将其称为 Operation CuckooBees,Symantec 则将其称为 Blackfly。 APT41 被描述为一个高度熟练且有条理的行动者,能够进行间谍活动并污染供应链。其活动通常以隐蔽为目的,利用多种战术通过定制工具集实现目标,这些工具不仅可以绕过环境中安装的安全软件,还能收集关键信息并建立秘密通道以保持远程访问。 “该组织的间谍活动,许多与国家的战略目标一致,已针对全球范围内的各种公共和私营行业部门,”LAC 表示。 “该威胁组织的攻击特点是使用 Winnti 恶意软件,该软件具有独特的根kit,可隐藏和操纵通信,以及在恶意软件中使用被盗的合法数字证书。” 自 2012 年以来一直活跃的 Winnti,截至 2022 年主要针对亚洲的制造和材料相关组织,最近的活动在 2023 年 11 月至 2024 年 10 月期间针对亚太地区,利用 IBM Lotus Domino 等面向公众的应用程序的漏洞部署恶意软件,如下所示: DEATHLOTUS:一种被动的 CGI 后门,支持文件创建和命令执行。 UNAPIMON:一种用 C++ 编写的防御规避工具。 PRIVATELOG:一种加载器,用于投放 Winnti RAT(也称为 DEPLOYLOG),进而通过根kit 安装程序交付名为 WINNKIT 的内核级根kit。 CUNNINGPIGEON:一种利用 Microsoft Graph API 从邮件消息中获取命令(文件和进程管理以及自定义代理)的后门。 WINDJAMMER:一种具有拦截 TCPIP 网络接口以及在内网中与受感染端点创建秘密通道的能力的根kit。 SHADOWGAZE:一种利用 IIS 网站服务器的监听端口的被动后门。 LAC 记录的最新攻击链发现,攻击者利用一个未指定的企业资源规划(ERP)系统中的 SQL 注入漏洞,在受感染的服务器上投放 China Chopper 和 Behinder(也称为 Bingxia 和 IceScorpion)等 web shell,利用这些访问权限进行侦察、收集横向移动的凭据,并交付 Winnti 恶意软件的改进版本。 据说,这次入侵的范围进一步扩大,通过利用共享账户攻破了一家托管服务提供商(MSP),随后利用该公司的基础设施将恶意软件传播到另外三个组织。 LAC 表示,还在 RevivalStone 活动中发现了对 TreadStone 和 StoneV5 的引用,前者是一个旨在与 Winnti 恶意软件配合使用的控制器,也包含在去年 I-Soon(也称为 Anxun)泄露的 Linux 恶意软件控制面板中。 “如果 TreadStone 与 Winnti 恶意软件具有相同的含义,这仅是推测,但 StoneV5 也可能意味着版本 5,有可能这次攻击中使用的恶意软件是 Winnti v5.0,”研究人员 Takuma Matsumoto 和 Yoshihiro Ishikawa 表示。 “新的 Winnti 恶意软件增加了混淆、更新的加密算法和规避安全产品的功能,预计该攻击组织将继续更新 Winnti 恶意软件的功能并将其用于攻击。” 这一披露正值 Fortinet FortiGuard Labs 详细说明了一种名为 SSHDInjector 的基于 Linux 的攻击套件,该套件自 2024 年 11 月以来能够通过将恶意软件注入进程来劫持网络设备上的 SSH 守护进程,以实现持续访问和秘密操作。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

新型 FrigidStealer 恶意软件通过假浏览器更新攻击 macOS 用户

HackerNews
1 year 4 months ago
HackerNews 编译,转载请注明出处: 网络安全研究人员警告称,一种新的恶意软件活动利用网络注入来传播一种名为 FrigidStealer 的新型苹果 macOS 恶意软件。 这一活动被归因于一个此前未被记录的威胁行为者 TA2727,该行为者还与针对 Windows(Lumma Stealer 或 DeerStealer)和 Android(Marcher)平台的信息窃取器有关。 TA2727 是一个“使用假更新主题诱饵来分发各种恶意软件载荷的威胁行为者”,Proofpoint 威胁研究团队在一份报告中表示。 TA2727 是新近识别的威胁活动集群之一,与 TA2726 一起,后者被认为是一个恶意流量分发系统(TDS)运营商,为其他威胁行为者分发流量以传播恶意软件。这个以经济利益为动机的威胁行为者自 2022 年 9 月以来一直活跃。 TA2726 据称是 TA2727 和另一个名为 TA569 的威胁行为者的 TDS,后者负责分发一种基于 JavaScript 的加载器恶意软件 SocGholish(也称为 FakeUpdates),该软件通常在合法但已被攻陷的网站上伪装成浏览器更新。 “TA2726 以经济利益为动机,与其他以经济利益为动机的行为者如 TA569 和 TA2727 合作,”该公司指出。“也就是说,这个行为者很可能负责导致其他威胁行为者操作注入的网络服务器或网站攻陷。” TA569 和 TA2727 有一些相似之处,它们都通过恶意 JavaScript 网站注入来传播,这些注入模仿了 Google Chrome 或 Microsoft Edge 等网络浏览器的更新。TA2727 的不同之处在于使用了针对不同地理区域或设备提供不同载荷的攻击链。 如果用户在法国或英国的 Windows 计算机上访问受感染网站,他们会收到下载 MSI 安装程序文件的提示,该文件会启动 Hijack Loader(也称为 DOILoader),进而加载 Lumma Stealer。 另一方面,从 Android 设备访问相同的假更新重定向时,会导致部署一种名为 Marcher 的银行木马,该木马在野外已被检测到超过十年。 假浏览器更新 不仅如此,从 2025 年 1 月开始,该活动已更新,开始针对北美以外的 macOS 用户,将他们重定向到一个假更新页面,下载一种名为 FrigidStealer 的新型信息窃取器。 FrigidStealer 安装程序与其他 macOS 恶意软件一样,需要用户明确启动未签名应用以绕过 Gatekeeper 保护,之后会运行嵌入的 Mach-O 可执行文件来安装恶意软件。 “该可执行文件是用 Go 编写的,并进行了临时签名,”Proofpoint 表示。“该可执行文件是使用 WailsIO 项目构建的,该项目在用户的浏览器中呈现内容。这增加了对受害者的社会工程,暗示 Chrome 或 Safari 安装程序是合法的。” FrigidStealer 与其他针对 macOS 系统的窃取器家族并无二致。它利用 AppleScript 提示用户输入系统密码,从而获得提升的权限,以窃取来自网络浏览器、Apple Notes 和加密货币相关应用的文件和各种敏感信息。 “行为者正在利用网络攻陷来传播针对企业和消费者用户 的恶意软件,”该公司表示。“可以预见,这些网络注入将传播针对收件人的定制恶意软件,包括 Mac 用户,他们在企业环境中的数量仍然少于 Windows 用户。” 这一事件发生在 Denwp Research 的 Tonmoy Jitu 披露另一种完全不可检测的 macOS 后门 Tiny FUD 之后,该后门利用名称操作、动态链接守护进程(DYLD)注入和基于命令与控制(C2)的命令执行。 这也紧随新型信息窃取恶意软件 Astral Stealer 和 Flesh Stealer 的出现,它们旨在收集敏感信息、逃避检测并在受攻陷系统上保持持久性。 “Flesh Stealer 在检测虚拟机(VM)环境方面特别有效,”Flashpoint 在最近的一份报告中表示。“它会避免在 VM 上执行,以防止任何潜在的取证分析,展示了对安全研究实践的理解。”   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad