Aggregator

伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体

HackerNews
1 year 3 months ago
据观察,名为 Charming Kitten (迷人小猫)的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP,该公司表示,它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案,该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten (迷人小猫)黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten (迷人小猫)多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC),也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm(以前称为 Phosphorus)、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件,但研究发现,涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示:“BellaCiao 是一个基于 .NET 的恶意软件家族,它为入侵增添了独特的变化,将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件,它实现与其祖先类似的功能,包含用于加载另一个未知 DLL(“D3D12_1core.dll”)的代码,该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示:“从高层角度来看,这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”,并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络,如有侵权请联系删除
内容转载

Postman Workspaces 泄露超 3 万个 API 密钥和敏感令牌

HackerNews
1 year 3 months ago
近期CloudSEK的TRIAD团队发现了Postman Workspaces(一个流行的基于云的API开发和测试平台)的严重安全漏洞和风险。 在为期一年的调查中,研究人员发现超过30,000个公开可访问的工作区泄露了关于第三方API的敏感信息,包括访问令牌、刷新令牌和第三方API密钥。 根据该公司与Hackread.com分享的报告,泄露的数据涵盖了各个行业从小型企业到大型企业,影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务,使组织面临众多威胁和安全风险。 研究人员指出,导致这些数据泄露的常见做法包括无意中共享Postman集合、访问控制配置错误、与公开可访问的存储库同步,以及在未经加密的情况下以明文形式存储敏感数据。 这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥和对内部系统的访问权限,可能导致受影响组织遭受财务和声誉损害。 Postman中的敏感数据泄露对个人开发者和整个组织都可能产生重大影响。据报道,像api.github.com、slack.com和hooks.slack.com这样的顶级API服务拥有更多的暴露秘密。Salesforce.com、login.microsoftonline.com和graph.facebook.com等高知名度服务也已被曝光。 ZenDesk凭据泄露和Razorpay API密钥泄露 (来源CloudSec) 泄露的API密钥或访问令牌可以为攻击者提供对关键系统和数据的直接访问权限,可能导致数据泄露、未经授权的系统访问以及增加网络钓鱼和社会工程攻击。 Postman通常存储敏感信息,如API密钥、秘密和个人身份信息(PII)。为确保数据安全,组织应明智地使用环境变量,限制权限,避免使用长期令牌,使用外部秘密管理,并在共享任何集合或环境之前进行双重检查。 为了防止此类暴露,CloudSEK敦促组织采取更可靠的安全措施,例如使用环境变量以避免硬编码敏感数据,限制权限,频繁轮换令牌,利用机密管理工具,并在共享之前仔细检查集合。 此外,Postman在披露这些发现后实施了一项秘密保护策略,以防止敏感数据在公共工作区中被暴露。该策略会在检测到机密时提醒用户,提供解决方案,并促进过渡到私有或团队工作区。 “从本月开始,我们将从公有API网络中移除那些已知含有暴露密钥的公共工作区。随着我们推出这项政策变更,含有密钥的公共工作区的所有者将会被通知,并有机会在他们的工作区被从网络中移除之前,先移除那些暴露的密钥。”公司指出。     转自E安全,原文链接:https://mp.weixin.qq.com/s/KoI6XjgpBfL_2fZn_1qo4w 封面来源于网络,如有侵权请联系删除
内容转载

Power Pwn: An offensive and defensive security toolset for Microsoft 365 Power Platform

Penetration Testing Tools - Metepreter.org
1 year 3 months ago

Power Pwn Power Pwn is an offensive and defensive security toolset for Microsoft Power Platform. Disclaimer: These materials are presented from an attacker’s perspective to raise awareness of the risks of underestimating the security...

The post Power Pwn: An offensive and defensive security toolset for Microsoft 365 Power Platform appeared first on Penetration Testing Tools.

ddos

Apache fixed a critical SQL Injection in Apache Traffic Control

Security Affairs
1 year 3 months ago
Apache Software Foundation (ASF) addressed a critical SQL Injection vulnerability, tracked as CVE-2024-45387, in Apache Traffic Control. The Apache Software Foundation (ASF) released security updates to address a critical security vulnerability, tracked as CVE-2024-45387 (CVSS score 9.9), in Traffic Control. Traffic Control allows operators to set up a Content Delivery Network to quickly and efficiently deliver content […]
Pierluigi Paganini

.NET内网实战:调用wevtutil进程实现痕迹清理

不安全
1 year 3 months ago
01阅读须知此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内

伏魔挑战赛.NET赛道 | 分享一款突破WAF免杀的WebShell

不安全
1 year 3 months ago
01阅读须知此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直

Managed ad