Aggregator

A vulnerability was found in Intel Processor. It has been classified as problematic. This affects an unknown part. The manipulation leads to information disclosure. This vulnerability is uniquely identified as CVE-2024-45332. The attack needs to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Intel Core Processor and classified as problematic. This vulnerability affects unknown code. The manipulation leads to information disclosure. This vulnerability was named CVE-2025-20623. Local access is required to approach this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Intel Processor. Affected is an unknown function. The manipulation leads to insufficient resource pool. This vulnerability is traded as CVE-2025-20103. An attack has to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Intel Processor. It has been classified as problematic. Affected is an unknown function of the component denial of service. The manipulation leads to uncaught exception. This vulnerability is traded as CVE-2025-20054. Attacking locally is a requirement. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in Intel Atom Arocessor. Affected by this vulnerability is an unknown functionality. The manipulation leads to information disclosure. This vulnerability is known as CVE-2024-43420. It is possible to launch the attack on the local host. There is no exploit available. It is recommended to upgrade the affected component.

A critical vulnerability in Microsoft’s Remote Desktop Gateway (RD Gateway) that could allow attackers to execute malicious code on affected systems remotely. The vulnerability, tracked as CVE-2025-21297, was disclosed by Microsoft in their January 2025 security updates and has since been actively exploited in the wild. The flaw, discovered and reported by VictorV (Tang Tianwen) […]

The post Windows Remote Desktop Gateway UAF Vulnerability Allows Remote Code Execution appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 美国司法部对12名嫌疑人提出指控，称其涉嫌参与一系列加密货币盗窃及后续洗钱活动，涉案金额达数亿美元。指控包括用于打击有组织犯罪的RICO共谋罪、电汇欺诈共谋、洗钱和妨碍司法公正。案件中的两名新增嫌疑人——20岁的Malone Lam和21岁的Jeandiel Serrano——于2024年9月被捕，被控通过社会工程攻击从华盛顿特区一名受害者处窃取约2.45亿美元。 司法部表示，该团伙成员最初通过在线游戏平台结识。自2023年10月起，他们利用窃取数据库中的信息锁定持有大量加密货币的潜在目标。据称部分嫌疑人“主动致电受害者，通过社会工程手段说服他们其账户正遭受网络攻击，而团伙成员试图帮助保护账户”。 检方指控该团伙通过多种骗局获利，包括一笔1400万美元和另一笔290万美元的盗窃。2024年7月，Lam入侵某受害者的iCloud账户以监控其位置。随后19岁的Marlon Ferro闯入该目标位于新墨西哥州的住宅，窃取与其加密账户关联的硬件设备。 2024年8月，据加密货币调查员ZachXBT（自称协助执法部门研究此案）透露，Lam和四名未具名嫌疑人瞄准加密借贷平台Genesis的债权人。他们冒充加密货币交易所Gemini的客服人员，谎称受害者账户被黑，指示其重置多因素认证并将资金转入被控钱包，同时诱骗受害者使用AnyDesk共享屏幕导致私钥泄露。 ZachXBT发布的视频据称记录了该团伙盗取资金时的实时反应，视频中有人反复高喊“我们搞定了！”。 检方称，该团伙成员利用非法所得过着奢侈生活，使用伪造文件在佛罗里达和加州租赁豪宅，乘坐私人飞机前往汉普顿，并购买多辆豪车。在为期三周的时间内，他们涉嫌在洛杉矶夜店挥霍400万美元。 嫌疑人Kunal Mehta、Hamza Doost、Joel Cortez和Evan Tangeman被控参与洗钱活动。据称担任数据库黑客兼团伙组织者的Conor Flansburg曾对Lam发出疑问：“我们怎么都比别人强这么多……我们怎么在几个月内就超越了那些混了八年圈子的人？” 起诉书显示，2024年9月18日，一名休班执法人员告知Lam警方正在逼近。在警察抵达其迈阿密住所实施逮捕前，Lam走向屋后通往比斯坎湾的码头，将手机扔入水中。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

许多哺乳动物都有橘色变种——如老虎、金毛犬、红毛猩猩和红发人类——但只有家猫的橘色特征与性别相关，且更多出现在雄性身上。从雄性橘猫占多数这一现象，科学家推测这种被称为"性连锁橘色"的突变位于X染色体上。任何携带该突变的雄性猫都会呈现全橘色，而雌性猫需要两条X染色体都携带该突变才会全橘——这种情况更为罕见。携带单拷贝突变的雌猫会呈现部分橘色——要么是玳瑁斑纹，要么是橘黑白相间的三花图案。这是由于雌性特有的X染色体随机失活现象，即每个细胞中有一条X染色体被关闭。这导致色素细胞形成镶嵌图案，部分表达性连锁橘色特征，部分则不表达。研究人员在 X 染色体上寻找雄性橘猫共有的变异，发现一个变异增加了 Arhgap36 基因在色素细胞中的异常表达。

HackerNews 编译，转载请注明出处： 苏黎世联邦理工学院（ETH Zürich）的研究人员发现了一个新的安全漏洞，影响所有现代英特尔CPU并导致内存敏感数据泄露，这表明被称为Spectre的漏洞在七年后仍在持续影响计算机系统。该漏洞被命名为分支特权注入（BPI），“可被利用来滥用CPU（中央处理器）的预测计算，从而未经授权获取其他处理器用户的信息”。 研究作者之一、计算机安全组（COMSEC）负责人Kaveh Razavi表示，该缺陷影响所有英特尔处理器，可能使攻击者读取处理器缓存内容及同一CPU其他用户的工作内存。该攻击利用分支预测器竞态条件（BPRC），当处理器为不同权限用户切换预测计算时，未授权的黑客可借此绕过安全屏障获取特权进程的机密信息。 英特尔已发布微码补丁修复该漏洞（CVE编号CVE-2024-45332，CVSS v4评分5.7）。在5月13日的公告中，英特尔称“某些英特尔处理器间接分支预测器中由共享微架构预测状态引发的敏感信息泄露，可能允许已认证用户通过本地访问实现信息泄露”。 与此同时，阿姆斯特丹自由大学系统与网络安全组（VUSec）的研究人员披露了一类自训练Spectre v2攻击（代号Training Solo）。VUSec表示：“攻击者可在同一域（如内核）内推测劫持控制流，跨权限边界泄露机密，无需依赖eBPF等强大沙箱环境即可重现经典Spectre v2场景。” 这两个硬件漏洞（CVE-2024-28956和CVE-2025-24495）可针对英特尔CPU以最高17 KB/s的速度泄露内核内存。研究发现它们能“完全打破域隔离，重新启用传统用户-用户、虚拟机-虚拟机甚至虚拟机-宿主机Spectre-v2攻击”： CVE-2024-28956（CVSS v4评分5.7）：间接目标选择（ITS）漏洞，影响第9-11代英特尔酷睿及第2-3代至强等处理器 CVE-2025-24495（CVSS v4评分6.8）：Lion Cove分支预测单元问题，影响采用Lion Cove核心的英特尔CPU 尽管英特尔已发布微码更新修复这些缺陷，AMD表示已修订现有Spectre和Meltdown漏洞指南，明确强调使用经典伯克利数据包过滤器（cBPF）的风险。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙成员越来越多地使用名为Skitnet（又名“Bossnet”）的新型恶意软件，在已入侵的网络中实施隐蔽的入侵后活动。 该恶意软件自2024年4月起在RAMP等地下论坛出售，但网络安全公司Prodaft的研究人员称，其真正在勒索团伙中流行始于2025年初。Prodaft向BleepingComputer证实，已观察到BlackBasta、Cactus等多个勒索组织在真实攻击中部署Skitnet，例如BlackBasta曾利用该工具通过微软Teams钓鱼攻击渗透企业网络。 Skitnet感染始于在目标系统上投放并执行的Rust语言编写的加载器，该加载器会解密经过ChaCha20算法加密的Nim语言二进制文件，并将其加载至内存运行。Nim模块随后建立基于DNS的反向Shell连接（通过随机生成DNS查询发起），与C2服务器通信。恶意软件启动三个独立线程： 发送心跳DNS请求的线程 监控并外传Shell输出的线程 监听并解密DNS响应指令的线程 通过Skitnet的C2控制面板，攻击者可查看目标IP地址、地理位置和设备状态，并通过HTTP或DNS协议发送执行指令。支持的核心命令包括： startup：通过下载三个文件（含恶意DLL）并在启动文件夹创建指向华硕合法程序ISP.exe的快捷方式实现持久化，触发DLL劫持执行PowerShell脚本pas.ps1维持C2通信。 Screen：使用PowerShell截取桌面截图，上传至Imgur图床后向C2发送图片链接。 Anydesk：静默安装AnyDesk远程工具并隐藏窗口和通知托盘图标。 Rutserv：静默安装另一款合法远程工具RUT-Serv。 Shell：启动PowerShell命令循环，每5秒轮询服务器获取新指令并通过Invoke-Expression执行。 Av：通过查询WMI（SELECT * FROM AntiVirusProduct in root\SecurityCenter2）枚举已安装杀毒软件信息并回传。 除基础指令外，攻击者还可利用.NET加载器在内存中执行PowerShell脚本，实现更深度的攻击定制。尽管勒索组织常使用低杀毒检出率的定制化工具，但这些工具开发成本高昂且需要稀缺的技术人才（尤其对中小型团伙而言）。使用Skitnet这类现成恶意软件成本更低、部署更快，且多团伙共用可增加溯源难度。Prodaft已在GitHub公开该恶意软件的入侵指标（IoCs）。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时移动虚拟网络使能者（MVNE）公司Effortel发生数据泄露，导致三家移动虚拟网络运营商（MVNO）——Carrefour Mobile、Neibo和Undo——的7万名客户个人信息遭窃。此次事件发生在该公司中央数据库的测试阶段，攻击者通过侵入MVNO与Telfort之间的支持门户获取了测试生成的客户数据文件。 泄露信息包含客户姓名、出生日期、电子邮箱、电话号码、住址、护照号码、用户编号及SIM卡技术识别码等敏感数据。Effortel总经理Laurent Bataille解释称：“约60%-65%的客户通过在线支付验证身份，此类用户身份数据未被存储，仅保留支付ID（需通过支付服务商才能关联到个人信息）。” Bataille呼吁受影响客户警惕钓鱼攻击，强调诈骗者可能利用泄露数据伪造精准骗局。值得注意的是，此次事件已是相关企业近期第二起重大数据泄露： 上月：Carrefour Mobile报告6.4万名客户信息被盗； 三周前：Undo曾警告遭遇网络攻击，客户数据被非法窃取。 Effortel作为技术服务商，为全球30多家MVNO提供计费、SIM卡激活等平台支持，其业务模式依赖与实体网络运营商（如Proximus）的协作。此次漏洞暴露了MVNE生态链中第三方测试环节的安全盲区，攻击者通过渗透测试环境间接劫持客户数据流。比利时数据保护机构已介入调查，初步认定涉事企业存在未加密存储测试数据、支持门户访问控制失效等违规行为。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

2025年CCF-腾讯犀牛鸟基金科恩开放“基于溯源图分析的威胁狩猎技术研究 ”课题

HackerNews 编译，转载请注明出处： 恶意攻击者利用AI技术伪造美国高级官员身份，通过短信和语音钓鱼（分别称为smishing和vishing）实施诈骗。根据美国联邦调查局（FBI）5月15日发布的警报，自2025年4月以来，这些深度伪造骗局持续针对美国现任或前任联邦/州政府高级官员及其联系人。 攻击者通过发送文本短信和AI生成的语音信息，诱使受害者点击恶意链接（通常伪装成要求切换至其他通讯平台），试图非法访问官员的个人或工作账户。成功入侵后，攻击者会利用获取的可信联系人信息，继续针对其他政府官员及其关联人士实施攻击，同时可能冒充可信联系人套取敏感信息或财务资源。 FBI防范AI钓鱼攻击指南 为帮助公众应对AI驱动的社交工程攻击，FBI建议采取以下防护措施： 通过反向查询号码并通过独立渠道验证身份，确认联系人的真实性 仔细检查通信中使用的邮箱地址、电话号码、URL链接和拼写细节（注意细微差异） 警惕图像/视频中的瑕疵，识别AI生成内容特征 切勿向网络或电话结识者透露敏感信息或联系方式 避免向未经验证身份者转账或转移资产 在确认发送者身份前，不要点击邮件/短信中的链接 谨慎下载附件或应用程序 启用双因素认证（2FA），绝不向他人分享验证码 与家人约定暗语或密语用于身份验证 FBI特别指出，攻击者通过精准模仿官员常用通讯方式（如Signal、Telegram等加密平台），利用“紧急事务”、“政策调整”等话术提升欺骗性。近期案例显示，部分钓鱼链接会诱导受害者输入双因素验证码，直接绕过账户保护机制。安全专家建议政府工作人员定期更新隐私设置，限制社交媒体公开信息，并启用高级账号监控服务。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

COM Type Coercion Execution in PowerShell This technique leverages PowerShell’s .NET interop layer and COM automation to achieve stealthy command execution by abusing implicit type coercion. A custom .NET object is defined in PowerShell with an...

The post Living-off-the-COM-Type-Coercion-Abuse: achieve stealthy command execution by abusing implicit type coercion appeared first on Penetration Testing Tools.

去年底UTG-Q-015针对CSDN等挂马被披露后该团伙更改了攻击手法，开始利用0day/Nday漏洞入侵政企Web站点，3月启用一批扫描节点对政企目标进行爆破，4月针对区块链网站、gitlab后台等进行攻击，并通过IM钓鱼定向入侵金融目标

HackerNews 编译，转载请注明出处： 网络安全公司Darktrace的新数据显示，针对医疗行业的网络攻击强度在2024年“显著上升”，该领域遭受的安全事件数量超过其他关键行业。该公司透露，去年共处理了45起影响医疗机构的网络安全事件，高于金融行业（37起）、能源行业（22起）、保险行业（14起）和电信行业（12起）。 医疗行业成为重点攻击目标的关键因素在于其高价值属性。Darktrace指出，全球范围内医疗数据泄露造成的损失高于任何其他行业，在2020年至2024年间平均达到1000万美元。Darktrace首席网络分析师Nicole Wong表示：“医疗成为最受攻击的行业之一符合我们长期观察的趋势，但2024年的攻击强度明显加剧。医院和医疗服务机构存储着大量患者个人敏感数据，这使它们成为数据泄露、勒索软件和其他网络攻击的主要目标。” 她还补充道：“患者信息的敏感性加上关键服务可能中断的风险，构成了攻击者的高价值目标。此外，医疗作为国家关键基础设施的重要性，使其特别吸引基于国家利益的政治动机威胁行为者。” 关于攻击者如何入侵医疗系统，新报告强调钓鱼攻击（32%）和边缘基础设施漏洞利用（36%）合计占医疗系统入侵事件的三分之二以上，其余包括暴露端口、配置错误和淘汰设备漏洞利用。Wong表示这与其他行业的攻击模式类似。 值得注意的是，75%的医疗网络入侵事件仅限于企业邮箱或云账户入侵，并未升级为勒索软件或数据窃取。报告指出：“这反映出APT组织典型的多阶段攻击模式，意味着针对医疗行业的威胁行为者整体能力有所提升，安全团队需做好应对准备。” 研究人员观察到钓鱼攻击对医疗行业的针对性增强。例如，三分之一的攻击针对VIP用户，表明威胁行为者正重点关注拥有更高访问权限或决策权的个体。此外，Darktrace发现2024年“相当比例”的钓鱼邮件要么冒充供应商，要么来自已被入侵的供应商账户。Darktrace高级网络分析师Nahisha Nobregas表示：“这种演变令人担忧，因为它利用了医疗机构与供应商之间的信任关系，由于通信看似来自合法商业伙伴，检测难度显著增加。” 在漏洞利用方面，Darktrace事件数据显示攻击者频繁利用Citrix、思科、Fortinet和Ivanti等厂商的边缘基础设施设备漏洞。受影响的医疗机构类型从设备供应商到非重症护理机构均有涉及。 研究人员警告称，医疗机构的攻击面正在扩大，为威胁行为者创造了更多机会。这包括云服务使用增加导致的SaaS覆盖范围扩大、更多第三方设备和服务的整合，以及医疗物联网（IoMT）设备的增长。Darktrace举例称，曾检测到一台感染PurpleFox rootkit和DirtyMoe恶意软件的数字成像设备，表明专用医疗设备已成为另一个易受攻击的操作系统载体。在此案例中，攻击者似乎无意窃取受保护的健康信息，而是试图将该设备作为渗透网络的跳板。 Darktrace高级网络分析师Patrick Anjos警告：“这一发现凸显了防御者需要像监控IT基础设施中的其他设备一样持续监控临床设备。必须将安全监控范围从传统IT系统扩展到专用医疗设备。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 网络安全研究人员近日警告称，一款名为HTTPBot的新型僵尸网络病毒正在中国境内活跃。该恶意软件主要针对游戏行业，同时也对科技公司及教育机构发起精准打击。绿盟科技在本周发布的报告中指出：“过去数月，该病毒通过持续感染设备扩大攻击规模，采用高度仿真的HTTP Flood攻击和动态特征混淆技术，成功绕过了传统基于规则的防护系统。” 这款于2024年8月首次现身的病毒因其使用HTTP协议发动分布式拒绝服务攻击而得名。值得注意的是，虽然采用Golang语言开发，但该病毒反常地将Windows系统作为主要攻击目标。作为一款基于Windows的僵尸网络木马，其最大特点是针对高价值业务接口（如游戏登录和支付系统）实施外科手术式打击。 “这种‘手术刀式’精准攻击对依赖实时交互的行业构成系统性威胁。”总部位于北京的绿盟科技强调，“HTTPBot标志着DDoS攻击已从‘无差别流量压制’转向‘高精度业务打击’的全新范式。”统计显示，自2025年4月以来，该病毒已发动至少200次攻击指令，主要打击目标为中国境内的游戏产业、科技企业、教育机构及旅游门户网站。 技术分析显示，该病毒运行时通过隐藏图形界面规避用户和安防工具的进程监控，并通过篡改Windows注册表实现开机自启。在连接C2服务器后，将根据指令对特定目标发起海量HTTP请求。其攻击模块包含七大武器库： 浏览器攻击模块（BrowserAttack）：通过隐藏Chrome实例模拟合法流量耗尽服务器资源 会话伪造模块（HttpAutoAttack）：基于Cookie技术精确复刻合法会话 负载增压模块（HttpFpDlAttack）：采用HTTP/2协议强制服务器返回大体积响应消耗CPU资源 WebSocket攻击模块（WebSocketAttack）：利用ws://和wss://协议建立长连接 POST强制攻击模块（PostAttack）：限定使用HTTP POST方式攻击 Cookie增强模块（CookieAttack）：在浏览器攻击基础上增加Cookie处理流程 “传统DDoS僵尸网络多活跃于Linux和物联网平台。”绿盟科技专家指出，“但HTTPBot家族却剑走偏锋，专门针对Windows平台。通过深度模拟协议层、模仿合法浏览器行为，该病毒成功突破依赖协议完整性的防御体系。其随机化URL路径和Cookie补充机制能持续占用服务器会话资源，而非单纯依赖流量压制。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability classified as very critical has been found in Oracle Primavera Unifier up to 19.12. Affected is an unknown function of the component Infrastructure. The manipulation leads to improper input validation. This vulnerability is traded as CVE-2019-16943. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oracle Banking Platform up to 2.9.0. It has been classified as very critical. Affected is an unknown function of the component Framework. The manipulation leads to improper input validation. This vulnerability is traded as CVE-2019-16943. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

· Manus 生图功能登场，从设计到搭建网站一站式搞定