Aggregator

蓟县骑行记:无终子国,幽州渔阳

不安全
9 months ago
作者骑行160公里前往蓟县独乐寺,途中经历炎热天气和交通不便。参观了辽代建筑独乐寺和白塔寺后,因天气炎热放弃爬盘山。返程时多次扎胎并处理充电宝问题。全程体验了骑行的艰辛与古建之美。

Pwn2Own Berlin: Critical IonMonkey JIT Bug Exposes Firefox to Memory Corruption

Penetration Testing Tools - Metepreter.org
9 months ago

During the Pwn2Own Berlin 2025 competition, security researcher Manfred Paul successfully demonstrated an attack against the Mozilla Firefox browser’s rendering process by exploiting a vulnerability in the IonMonkey JIT compiler. Although he did not...

The post Pwn2Own Berlin: Critical IonMonkey JIT Bug Exposes Firefox to Memory Corruption appeared first on Penetration Testing Tools.

ddos

黑客利用 Apache HTTP 服务器漏洞,部署 Linuxsys 加密货币挖矿程序

HackerNews
9 months ago
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了一场新的攻击活动,该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。 该漏洞编号为CVE-2021-41773(CVSS评分:7.5),是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞,可能导致远程代码执行。 “攻击者利用被攻陷的合法网站分发恶意软件,实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。 本月观察到的感染流程(源自印度尼西亚IP地址 103.193.177[.]152)旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本,负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序,这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。 “这种方法很巧妙,因为受害者连接的是拥有有效SSL证书的合法主机,降低了检测的可能性,”VulnCheck指出,“此外,这为下载站点(‘repositorylinux[.]org’)提供了一层隔离,因为恶意软件本身并不托管在那里。” 这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本,该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示,还在被攻陷的网站上发现了两个Windows可执行文件,表明攻击者可能也在针对微软的桌面操作系统。 值得注意的是,此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞(CVE-2024-36401,CVSS评分:9.8),Fortinet FortiGuard Labs在2024年9月记录了这一情况。 有趣的是,漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的,其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。 近年来被利用来传播此挖矿程序的其他漏洞还包括: CVE-2023-22527:Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞 CVE-2023-34960:Chamilo学习管理系统(LMS)中的命令注入漏洞 CVE-2023-38646:Metabase中的命令注入漏洞 CVE-2024-0012 和 CVE-2024-9474:Palo Alto Networks防火墙中的认证绕过和权限提升漏洞 “所有这些都表明攻击者正在进行一项长期活动,采用一致的技术手段,例如n-day(已知漏洞)利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿,”VulnCheck表示,“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐,需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发,这种方法在很大程度上帮助攻击者避免了审查。” Exchange服务器遭GhostContainer后门攻击 与此同时,卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞(CVE-2020-0688,CVSS评分:8.8)。 这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”,该俄罗斯公司表示,并补充说“该后门使攻击者能够完全控制Exchange服务器,允许他们执行一系列恶意活动。” 该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。 怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁(APT)活动的一部分。 关于攻击者身份的信息不多,但他们被评估为技术高度娴熟,原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。 “GhostContainer后门不会连接任何[命令与控制]基础设施,”卡巴斯基表示,“相反,攻击者从外部连接到被攻陷的服务器,他们的控制命令隐藏在正常的Exchange Web请求中。”       消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

​​BigONE 热钱包漏洞致 2700 万美元被盗,平台承诺全额赔付用户资产​

HackerNews
9 months ago
HackerNews 编译,转载请注明出处: 加密货币交易所BigONE披露,黑客在昨日的攻击中窃取了价值2700万美元的各类数字资产。该平台宣布,私钥和用户数据在此次入侵中未受影响,所有遭受损失的客户都将从可用储备金中获得全额赔偿。 公告中写道:“7月17日凌晨,BigONE检测到涉及平台部分资产的异常流动。经调查确认,这是第三方攻击我们热钱包的结果。” 该公司向用户保证,攻击方式已被识别并得到完全控制。BigONE已与安全公司SlowMist合作,追踪被盗资金并监控其在各条区块链上的转移情况。交易所表示:“BigONE将全额承担本次事件造成的所有损失。用户资产不会受到任何实质影响。” 几小时后,BigONE管理员宣布,在遭受网络攻击后,存款和交易服务已全面恢复,提款和场外交易功能也将很快重新启用(截至撰写时尚未恢复)。 此外,尚未有关于攻击者具体如何入侵交易所并窃取资金的详细信息公布,但SlowMist表示交易所是供应链攻击的受害者。 与此同时,区块链观测站Lookonchain报告称,黑客已开始洗钱活动,将被盗资产兑换为120枚比特币(BTC)、1272枚以太坊(ETH)、2625枚Solana(SOL)和2330万枚波场币(TRX)。 区块链犯罪调查员ZachXBT对此事件发表了评论,强调BigONE在处理大量源自杀猪盘和投资诈骗的非法收益方面扮演的角色,并表示此类黑客攻击可能有助于为该领域带来“一次自然的净化”。 加密货币盗窃创纪录之年 今日早些时候,Chainalysis发布了其2025年年中加密货币犯罪报告,指出截至目前被盗金额已超过21.7亿美元,超过了2024年的全年总额。 ByJet交易所15亿美元的黑客事件在创下这一破纪录数字中起到了关键作用,也使朝鲜黑客组织成为今年迄今为止的头号盗窃者。 Chainalysis强调了一个显著趋势,即黑客如今更专注于攻击个人钱包,今年所有被盗资金中有23.35%来自个人钱包。 该区块链情报公司还列举了暴力抢劫加密货币的案例,这类案件也随着比特币价格上涨而呈上升趋势。       消息来源: bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

微软 Teams 语音通话遭恶意劫持,Matanbuchus 3.0 入侵企业网络​

HackerNews
9 months ago
HackerNews 编译,转载请注明出处: 网络安全研究人员发现,恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话,诱骗目标启动Windows内置的远程工具快速助手(Quick Assist),随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包,内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。 Matanbuchus恶意即服务(MaaS)背景 该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广,是可直接在内存中执行恶意载荷的Windows加载器,旨在规避安全检测。2022年6月,威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击,分发Cobalt Strike信标。 技术演进:Matanbuchus 3.0新特性 终端防护公司Morphisec分析指出,3.0版本具备显著增强的隐匿与攻击能力: 通信协议升级:C2通信与字符串混淆从RC4加密更换为Salsa20算法 内存规避技术:所有载荷均在内存中启动,消除磁盘痕迹 反沙盒检测:新增区域验证机制,确保仅在指定地理区域运行 系统调用隐匿:通过自定义shellcode执行系统调用,绕过Windows API包装层及EDR监控钩子 静态分析对抗:使用MurmurHash3非加密哈希函数混淆API调用,增加逆向工程难度 攻击链与后期能力 信息收集:获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态(管理员/普通用户) 载荷执行:支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷 自适应攻击:C2服务器根据受害者安全环境动态调整攻击方式 Microsoft Teams滥用趋势 该协作工具近年频遭攻击者滥用: 2023年:研究人员利用软件漏洞实现外部账号恶意投递 2024年:DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器 当前:Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道       消息来源: bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

360发布全球首份智能体安全报告,剖析Google、Intel等知名开源产品风险

嘶吼
9 months ago

当前,人工智能正迈入规模化应用落地阶段,智能体(AI Agent)作为具备环境感知、自主决策、任务执行等核心能力的智能化实体,呈现出多样化发展趋势。与此同时,智能体带来的安全风险也与日俱增。

近日,360联合清华大学发布全球首份漏洞视角的《智能体安全实践报告》,通过典型攻击面梳理和漏洞挖掘研究,深入分析智能体全生命周期链路各个场景的安全风险。结合360安全智能体的高效代码分析能力以及特有的特征库,分析报告了智能体相关开源项目漏洞20余个,其中不乏被广泛使用的Github高星项目,旨在提供智能体安全的综合性视角,为智能体安全生态的持续、积极发展贡献力量。

框架层藏开发隐患,易成攻击突破口

智能体架构通常由模型、工具、编排三个主要组件构成,开发框架则以模块化、可扩展性和快速编排能力为核心,提供一系列预设工具和基础功能,进而简化了智能体的构建与部署流程,提升了整体开发效率。但框架中的潜在安全问题也提供了额外的攻击向量,使其变为恶意攻击者通过网络发起攻击的“帮凶”。

报告指出,智能体开发框架无论是仅建立在本地服务,或是部署在云端的接口,都存在着从远程被攻破的可能。一方面,启动本地服务的开发框架通常默认所有的请求都是可信任的,缺少对请求发起方的身份验证以及对请求中包含数据的二次验证,极易成为攻击者横向渗透的目标,且存在经由浏览器转发请求从而进行远程攻击的可能;另一方面,部署在云端的接口中一旦存在漏洞,攻击者就能利用它来影响整个业务系统的安全。

生态层现协同风险,安全边界模糊

随着业务复杂度的提升,参与到智能体系统运作中的成员日益复杂,智能体系统对多角色、多工具的整合能力使其安全边界愈发模糊。而智能体通过自然语言形式来驱动的特性,使其天然易受外界的干扰和影响。

报告指出,在智能体系统中,大模型通常作为核心感知与决策模块,大模型的输出结果在很大程度上决定了智能体的行为走向,智能体的正确推理和响应很大程度上也依赖于可靠的输入信息。因此,攻击者可以通过操纵大模型生成包含恶意内容或错误流程的响应,从而间接影响智能体的行为。

此外,随着MCP(Model Context Protocol)规范提出了大模型与工具之间的通用通信框架,极大拓展了智能体的能力边界,智能体接入的工具愈发复杂多样,调用链条越来越长,MCP Server投毒、MCP Server远程风险、MCP Client恶意请求等一系列安全风险也随之显现。

沙箱层存配置盲区,亟需多层级防护

为了避免智能体在应用过程中的操作风险,通常会使用沙箱隔离方案,即将智能体调用工具的执行环境与真实系统分离,在沙箱内完成操作指令后,将执行结果返回大模型,从而保障工具调用的安全性。

然而,当前主流沙箱虽能快速构建文件系统与代码执行的隔离环境,却普遍缺乏对智能体应用场景的精细化配置,无法完全保障隔离效果的可靠性。此外,沙箱自身存在的安全漏洞也可能成为新的攻击入口,进一步影响智能体整体安全。

以模制模,360安全智能体守护智能体安全

报告指出,智能体的全生命周期安全风险呈现多维性、隐蔽性和系统性特征,其安全威胁渗透在开发、测试、部署和运营等一系列的流程中,只有将安全性作为智能体技术演进的核心指标,而非事后补救的附加功能,才能推动智能体真正成为人类社会的可靠伙伴

作为国内唯一兼具数字安全和人工智能双重能力的企业,360不仅较早开始关注大模型安全风险,同时打造了首个实现实战应用的安全智能体——360安全智能体。基于“以模制模”理念,360以安全智能体为核心构建大模型安全解决方案,涵盖智鉴、智盾、智搜、智控等多款产品,利用AI来检测和防范大模型可能出现的安全风险,全流程守护AI落地应用的全生命周期安全可控。既解决了传统网络安全问题,又为攻克AI安全新挑战提供了可行性方案。

随着人工智能发展进入“下半场”,智能体成为推动产业变革的核心力量。站在技术与产业融合的关键节点,唯有以创新思维重塑安全体系,将“以模制模”理念融入智能体发展全生命周期,才能真正保障智能体安全运行,推动其发挥核心作用,加速产业在智能化浪潮中行稳致远。

企业资讯

Managed ad