Aggregator

Легальный софт Syncro стал инструментом взлома. Что нужно знать, чтобы не попасться.

2025年11月26日 15:28软件资讯02.18K #软件资讯 洋葱网络 (Tor) 将放弃最古老的加密算法 Tor1，转而使用新开发的名为 CGO 的算法解决节点标记攻击和消息篡改

微软/动视旗下的《使命召唤》系列支配游戏行业已长达 20 年。上一次美国射击类游戏销量超过《使命召唤》还是 2006 年的《战争机器（Gears of War）》，上一次 FPS 游戏销量

微软/动视旗下的《使命召唤》系列支配游戏行业已长达 20 年。上一次美国射击类游戏销量超过《使命召唤》还是 2006 年的《战争机器（Gears of War）》，上一次 FPS 游戏销量超过《使命召唤》是 2006 年的《星球大战：前线2》。过去 16 年《使命召唤》系列游戏有 13 年荣登年度销量榜首，例外是 2013 年的《侠盗猎车手5（GTA 5）》、2018 年的《荒野大镖客2（Red Dead Redemption II）》以及 2023 年的《霍格沃茨之遗（Hogwarts Legacy）》。但今年《使命召唤：黑色行动7》的销量明显大幅下滑，今年的射击和 FPS 游戏市场的竞争比往年更激烈，EA 旗下的《战地6》美国销量超过《黑色行动7》，另一款热门游戏《ARC Raiders》的销量也相当可观。

AI is behind a surge in automated, hard-to-detect, and challenging-to-prevent cyberattacks. From

AI-powered cyberattacks are rising fast, and AI firewalls offer predictive, adaptive defense—but their cost, complexity and ROI must be carefully justified as organizations weigh upgrades.

The post Are AI Firewalls Worth the Investment?  appeared first on Security Boulevard.

In this Help Net Security interview, Marina Marceta, CISO at Heineken, discusses what it takes for CISOs to be seen as business-aligned leaders rather than technical overseers. She shares how connecting security to business impact can shift perceptions and strengthen partnerships across the company. Marceta focuses on the value of a security culture that supports innovation while keeping risk in check. What mindset shifts are essential for CISOs who want to be seen as strategic … More →

The post Heineken CISO champions a new risk mindset to unlock innovation appeared first on Help Net Security.

Что умеет новая флагманская модель от Anthropic.

#招聘 #网络安全 #信息安全 #安全人才 #SDL #数据安全 #治理 #安全运营 #合规 #杭州 #北京 #阿里云 #高端

HackerNews 编译，转载请注明出处： 网络安全研究发现，知名威胁行为者 ToddyCat 团伙正采用新型攻击手段获取目标企业的邮件数据，包括使用一款名为 TCSectorCopy 的定制化工具。 “该攻击可通过用户浏览器获取 OAuth 2.0 授权协议令牌，攻击者可在受攻陷基础设施边界之外利用这些令牌访问企业邮件，” 卡巴斯基（Kaspersky）在技术分析报告中指出。 ToddyCat 团伙自 2020 年起活跃，长期针对欧洲及亚洲多国组织发动攻击，曾使用 Samurai、TomBerBil 等多款工具维持控制权，并窃取谷歌 Chrome、微软 Edge 等浏览器的 Cookie 与凭据信息。 历史攻击与工具迭代 今年 4 月，该团伙被证实利用 ESET 命令行扫描器的安全漏洞（CVE-2024-11859，CVSS 评分 6.8），投递了一款此前未被记录的恶意软件（代号 TCESB）。 卡巴斯基表示，在 2024 年 5 月至 6 月期间的攻击事件中，发现了 TomBerBil 的 PowerShell 变体（此前已监测到 C++ 和 C# 版本），该变体新增了从 Mozilla Firefox 浏览器提取数据的功能。值得注意的是，此版本可由特权用户在域控制器上运行，并通过 SMB 协议借助网络共享资源访问浏览器文件。 该恶意软件通过计划任务执行 PowerShell 命令启动，具体功能为通过 SMB 协议搜索远程主机中的浏览器历史记录、Cookie 及保存的凭据。尽管包含敏感信息的复制文件通过 Windows 数据保护 API（DPAPI）加密，但 TomBerBil 具备捕获解密所需密钥的能力。 “早期版本的 TomBerBil 在目标主机上运行并复制用户令牌，通过 DPAPI 解密当前用户会话中的主密钥，进而解密文件本身，” 研究人员解释道，“而新版服务器端版本会复制 DPAPI 使用的用户加密密钥文件，攻击者借助这些密钥、用户 SID（安全标识符）及密码，可在本地解密所有复制文件。” 核心攻击手段解析 1. TCSectorCopy 窃取 Outlook OST 文件 ToddyCat 团伙通过定制化工具 TCSectorCopy（文件名为 “xCopy.exe”），窃取本地 Microsoft Outlook 存储的企业邮件（以 OST 文件，即离线存储表格式保存），该工具可绕过 Outlook 运行时对文件的访问限制。 TCSectorCopy 采用 C++ 开发，输入目标文件（此处为 OST 文件）后，会以只读模式挂载磁盘，按扇区顺序复制文件内容。OST 文件被写入攻击者指定路径后，通过开源工具 XstReader（支持 Outlook OST/PST 文件的查看器）提取邮件内容。 2. 内存中提取 Microsoft 365 访问令牌 针对使用 Microsoft 365 云服务的受害组织，该团伙还通过开源 C# 工具 SharpTokenFinder 直接从内存中获取访问令牌。该工具会枚举 Microsoft 365 应用程序，查找明文认证令牌（JSON Web 令牌 JWT）。 但在至少一起调查案例中，系统安装的安全软件阻止了 SharpTokenFinder 对 Outlook.exe 进程的内存 dump 操作，导致攻击受阻。为规避此限制，攻击者使用 Sysinternals 工具包中的 ProcDump 工具，通过特定参数对 Outlook 进程进行内存 dump。 “ToddyCat 高级持续性威胁（APT）团伙持续迭代攻击技术，不断探索可隐藏自身活动的手段，以获取受攻陷基础设施内的企业邮件数据，” 卡巴斯基总结道。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

Home在线应用Adobe 发布网页版 PhotoShop。12 月 8 日前注册免费12个月

迪士尼旗下的 FX 将制作改编自育碧游戏《孤岛惊魂》系列的电视剧。《孤岛惊魂（Far Cry）》系列最早由德国 Crytek 工作室制作，之后由育碧旗下的工作室制作了五部续作和多部衍生作品

迪士尼旗下的 FX 将制作改编自育碧游戏《孤岛惊魂》系列的电视剧。《孤岛惊魂（Far Cry）》系列最早由德国 Crytek 工作室制作，之后由育碧旗下的工作室制作了五部续作和多部衍生作品，但每一部都有不同的背景和主角。它是最畅销的游戏系列之一，截至 2019 年的数据称销量超过 5000 万份。《孤岛惊魂》电视剧由 Noah Hawley 和 Rob Mac 担任制作人，也将采用和游戏类似的单元剧模式，每季有不同演员阵容和场景设置。Noah Hawley 是《Fargo》和《Alien: Earth》的制作人，而 Rob Mac 是 FX 喜剧片《Always Sunny in Philadelphia》的制作人，此前与育碧以及苹果合作推出了 Apple TV+ 原创情景喜剧《Mythic Quest》。

Artificial intelligence is no longer a novelty in software development. It is now writing code t

AI-generated code is reshaping software development and introducing new security risks. Organizations must strengthen governance, expand testing and train developers to ensure AI-assisted coding remains secure and compliant.

The post Securing AI-Generated Code in Enterprise Applications: The New Frontier for AppSec Teams  appeared first on Security Boulevard.

The Tor Project has announced a significant cryptographic overhaul, retiring its legacy relay encryption algorithm after decades of service and replacing it with Counter Galois Onion (CGO). This research-backed encryption design defends against a broader class of sophisticated online attackers. Tor’s relay encryption serves a specialized function distinct from the standard TLS protocol used between […]

The post Tor Adopts Galois Onion Encryption to Strengthen Defense Against Online Attacks appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。 “攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。” 过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。 这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。 此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。 攻击源头与技术特征 经评估，攻击始于虚假成人网站 —— 毫无防备的用户通过恶意广告或其他社会工程学手段被引导至这些网站后，会突然收到 “紧急安全更新” 提示。研究人员发现部分网站版本包含俄语开发者注释，暗示攻击团伙可能为俄语系威胁行为者。 “Windows 更新界面完全通过 HTML 和 JavaScript 代码构建，受害者与钓鱼网站的任何元素交互后便会弹出，” 安全研究员埃利亚德・金希（Eliad Kimhy）表示，“该页面会通过 JavaScript 尝试全屏显示，同时生成一个背景为蓝色、文字为白色的高度仿真 Windows 更新窗口，让人联想到 Windows 著名的蓝屏死机（blue screen of death）界面。” 此次攻击的显著特征是大量使用混淆技术隐藏 ClickFix 相关代码，并通过禁用 Esc、F11、F5 及 F12 键阻止用户退出全屏弹窗。不过由于逻辑缺陷，用户仍可通过 Esc 和 F11 键关闭全屏模式。 初始执行的命令是一个 MSHTA 负载，通过合法的 mshta.exe 二进制文件启动，该负载包含的 JavaScript 代码会执行 PowerShell 命令，从远程服务器获取另一个 PowerShell 脚本。这些恶意域名经过特殊设计：直接访问会跳转至谷歌（Google）或 Steam 等良性网站。 “仅当通过 irm 或 iwr PowerShell 命令访问时，域名才会返回恶意代码，” 安克诺斯解释道，“这增加了额外的混淆层，阻碍安全人员分析。” 提权尝试与多负载投递 下载的 PowerShell 脚本集成了多种混淆与反分析机制，包括使用垃圾代码增加分析难度。脚本还会尝试提权，并为命令与控制（C2）服务器地址及负载存放路径添加微软 Defender 杀毒软件排除项。 为实现权限提升，恶意软件利用 Start-Process cmdlet 命令结合 “-Verb RunAs” 参数，以管理员权限启动 PowerShell，并持续弹出 UAC（用户账户控制）请求，直至受害者授权。该步骤成功后，脚本会释放更多负载，例如用于连接 C2 服务器的简易远程访问木马（RAT），后续可能进一步投递其他恶意软件。 研究发现，该 PowerShell 脚本最多可投递 8 种不同负载，安克诺斯将其称为 “最典型的广撒网攻击（spray and pray）”。这些负载包括 Rhadamanthys 窃密软件、Vidar 窃密软件 2.0 版本、RedLine 窃密软件、Amadey 木马，以及其他未明确标识的加载器和远程访问木马。 “只要其中一款负载成功运行，受害者就可能面临密码、加密货币钱包等资产被盗的风险，” 金希指出，“对于部分加载器，攻击者还可能后续投递其他恶意程序，导致攻击迅速升级。” 关联攻击活动：隐写术隐藏窃密软件 与此同时，亨特雷斯（Huntress）安全公司披露了另一项多阶段恶意软件执行链：攻击者同样以伪装成 Windows 更新的 ClickFix 为诱饵，通过隐写术（steganography）将攻击最终阶段隐藏在图片中，投递 Lumma、Rhadamanthys 等窃密软件。 与 JackFix 攻击类似，复制到剪贴板并粘贴至运行对话框的 ClickFix 命令，会通过 mshta.exe 运行 JavaScript 负载，该负载可在内存中直接执行远程托管的 PowerShell 脚本。 PowerShell 代码用于解密并启动一个.NET 程序集负载 —— 名为 Stego Loader 的加载器，该加载器负责执行隐藏在加密 PNG 图片中的 Donut 打包壳代码。提取的壳代码随后被注入目标进程，最终部署 Lumma 或 Rhadamanthys 窃密软件。 值得注意的是，亨特雷斯列出的用于获取 PowerShell 脚本的域名之一 “securitysettings [.] live”，也被安克诺斯标记为 JackFix 攻击的关联域名，表明这两起攻击活动可能存在关联。 “威胁行为者频繁更换承载第一阶段 MSHTA 负载的 URI 路径（如 /tick.odd、/gpsc.dat、/ercx.dat 等），” 安全研究员本・福兰（Ben Folland）与安娜・范（Anna Pham）在报告中指出，“此外，威胁行为者已将第二阶段负载的托管域名从 securitysettings [.] live 更换为 xoiiasdpsdoasdpojas [.] com，但两个域名均指向同一 IP 地址 141.98.80 [.] 175，该 IP 也用于投递第一阶段（即 mshta.exe 运行的 JavaScript 代码）。” 防御建议 ClickFix 攻击的成功源于其简单有效的攻击逻辑：诱骗用户自行感染设备，从而绕过安全防护。企业可通过以下方式防御此类攻击： 加强员工培训，提升对 ClickFix 类威胁的识别能力； 通过修改注册表或组策略（Group Policy）禁用 Windows 运行对话框（Run box）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： 近期一项威胁狩猎行动中，研究人员发现一批数量持续增长的欺诈域名，这些域名仿冒埃及主流服务提供商，包括法里电子支付平台、埃及邮政及卡里姆出行服务平台等。 Dark Atlas 威胁情报机构的这一发现表明，Smishing Triad 正在扩大其攻击规模 —— 该集团以大规模短信钓鱼活动著称。 此类欺诈域名旨在支持针对个人和企业的诈骗及数据窃取计划。 新型恶意域名曝光 分析师通过分析该集团基础设施的 HTTP 头信息，并利用这些指标在 Shodan中开展定向搜索，最终发现了更多恶意域名。这些域名仿冒全球知名品牌及金融平台，且集中分布在 AS132203 网络段 —— 该网络段与腾讯基础设施存在关联。 分析师指出，同一网络空间还被用于托管仿冒银联（UnionPay）、抖音国际版（TikTok）等服务的钓鱼页面，可见该犯罪集团广泛依赖共享托管资源开展攻击活动。 调查还显示，该集团依赖 Telegram（即时通讯软件）推广和销售其 “钓鱼即服务（Phishing-as-a-Service, PhaaS）” 产品。 通过分析该集团早期的 Telegram 频道，分析师发现了一段由名为 “wangduoyu8” 的成员发布的视频，视频展示了该集团的可定制化钓鱼短信工具包。这些工具包可快速部署至虚拟服务器，自动解压并配置针对多个地区受害者的钓鱼模板。 工具包中包含仿冒知名品牌的国际化模板，调查中发现的案例包括： 仿冒敦豪、Evri 物流、联合包裹的虚假配送通知 仿冒美国电话电报公司、西班牙电信、沃达丰的电信账单提醒 仿冒美国邮政、英国政府官网、埃及邮政的政府及邮政服务通知 来自 Darcula 的竞争压力加剧 Dark Atlas 在同一份安全公告中还详细披露了另一项相关动态：大型钓鱼即服务（PhaaS）平台 Darcula 正快速崛起。该平台在 100 多个国家 / 地区运营着超过 2 万个仿冒域名。 Netcraft 报告称，Darcula 3.0 升级版本新增了反检测功能、增强型管理面板、信用卡克隆工具及人工智能驱动的自动化功能 —— 操作人员仅需一键即可生成钓鱼页面。分析师警告，这些功能升级可能导致钓鱼攻击数量大幅上升。 研究团队表示，无论是Smishing Triad，还是 Darcula 等新兴钓鱼即服务（PhaaS）平台，均表明全球钓鱼攻击活动的技术成熟度正不断提升。 Dark Atlas 警示：“我们的调查强调，主动开展威胁狩猎、持续监控钓鱼基础设施及提升用户安全意识，对于降低此类攻击活动带来的风险至关重要。” “随着网络犯罪分子持续创新攻击手段，深入了解其战术、技术和流程，对于构建具备韧性的防御体系、保护全球敏感信息安全而言不可或缺。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文