Aggregator

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）表示，截至上月，Medusa 勒索软件已影响美国 300 多家关键基础设施行业的组织。 这一消息来自 CISA、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）今天联合发布的通告。 “CISA、FBI 和 MS-ISAC 警告称，截至 2025 年 2 月，Medusa 开发者及其合作伙伴已攻击 300 多个受害组织，受影响行业涵盖医疗、教育、法律、保险、科技及制造业等多个关键基础设施领域。” FBI、CISA 和 MS-ISAC 呼吁各组织采取通告中的缓解措施，以降低 Medusa 勒索软件攻击的风险和影响。 通告指出，为防范 Medusa 勒索软件攻击，建议采取以下安全措施： 修补已知安全漏洞，确保操作系统、软件和固件在合理时间内完成更新； 进行网络分段，限制受感染设备在组织内部的横向移动； 过滤网络流量，阻止未知或不受信任来源访问内部系统的远程服务。 Medusa 勒索软件最早于 2021 年 1 月出现，但该组织直到 2023 年才开始活跃，并推出“Medusa Blog”泄密网站，以被盗数据为筹码施压受害者支付赎金。 自其出现以来，Medusa 已在全球范围内造成超过 400 名受害者，并因 2023 年 3 月攻击明尼阿波利斯公立学校（MPS）并公布被盗数据的视频而引发媒体关注。 2023 年 11 月，该组织还在暗网勒索平台上泄露了据称从丰田金融服务公司（Toyota Financial Services）窃取的文件。此前，丰田拒绝支付 800 万美元的赎金，并通知客户数据遭泄露。 Medusa 最初是封闭式勒索软件，仅由一个黑客组织负责开发和运营。后来，该组织转型为“勒索软件即服务”（RaaS）模式，采用合作伙伴体系，但核心开发者仍负责关键运营，包括赎金谈判。 “Medusa 开发者通常在网络犯罪论坛和黑市上招募初始访问经纪人（IABs）获取受害目标的访问权限。” 通告补充道，”这些合作伙伴可能获得 100 美元至 100 万美元不等的报酬，并有机会专门为 Medusa 工作。” 需要注意的是，多个恶意软件组织都使用“Medusa”这一名称，包括一个基于 Mirai 的勒索软件机器人网络和 2020 年发现的 Android 恶意软件即服务（MaaS）组织（又称 TangleBot）。 由于这一名称的广泛使用，Medusa 勒索软件常被误认为是 MedusaLocker 勒索软件，尽管两者实际上是完全不同的黑客组织。 上个月，CISA 和 FBI 还联合发布警报，警告“Ghost”勒索软件已入侵全球 70 多个国家的多个行业，包括关键基础设施领域。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

2025年2月，威胁猎人捕获作恶手机号超300万，日活跃作恶IP超600万，威胁猎人帮助客户发现风险事件14348起......

Шесть чисел за границей буфера превращают красивый текст в невидимую угрозу.

HackerNews 编译，转载请注明出处： 四家美国医疗机构——Hillcrest Convalescent Center、Gastroenterology Associates of Central Florida、Community Care Alliance 和 Sunflower Medical Group——近日向相关部门报告数据泄露事件，受影响总人数超过56万。 此次规模最大的泄露事件由堪萨斯州的 Sunflower Medical Group 披露。该机构于 2025年1月7日 发现数据泄露，调查显示，黑客自 2024年12月15日 起便已侵入其系统，并窃取了包括姓名、地址、出生日期、社会安全号码（SSN）、驾驶执照号码、医疗信息和健康保险信息等敏感数据。   Rhysida 勒索软件组织 宣称对此次攻击负责，并声称窃取了 3TB 数据，并将其挂售。该组织称泄露数据涉及 40万人，但 Sunflower 向缅因州总检察长办公室报告，实际受影响人数为22万。   位于北卡罗来纳州的 Hillcrest Convalescent Center 是一家疗养及康复中心，该机构于 2024年6月下旬 发现网络中存在可疑活动。调查结果表明，黑客入侵了其系统，窃取了姓名、社会安全号码、出生日期、银行账户信息、驾驶执照及其他政府签发证件号码、医疗信息及健康保险数据。   Hillcrest 向缅因州总检察长办公室报告，此次事件影响了超过10.6万人。   佛罗里达州中央消化病学会（Gastroenterology Associates of Central Florida，旗下 Center for Digestive Health） 在 2024年4月 发现其 IT 网络遭入侵。调查显示，黑客可能获取了姓名、社会安全号码、出生日期及健康信息，受影响人数超过 12.2万。   此次攻击由 BianLian 勒索软件组织 发起，该组织于 2024年5月中旬 公开宣布对此事件负责。   位于罗得岛州的 Community Care Alliance 于 2024年7月初 遭遇黑客攻击，直至 2025年1月 调查完成，才确认黑客可能窃取了姓名、地址、出生日期、驾驶执照号码、社会安全号码、诊断信息、实验室结果、保险信息及治疗记录等敏感数据。   该机构向缅因州总检察长办公室和美国卫生与公共服务部（HHS） 报告，事件影响约11.5万人。Rhysida 勒索软件组织 在 2024年7月底 宣称对此攻击负责。   2024年，美国共有720起医疗数据泄露事件被报告，涉及1.86亿条用户记录，凸显了医疗行业网络安全形势的严峻性。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本国家警察厅（NPA）和国家网络安全战略中心（NISC）发布安全通告，警告针对日本组织的高级持续性威胁（APT）攻击活动。 此次攻击由“MirrorFace”组织实施，该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作，同时规避宿主系统上的安全检测。 攻击者使用了经过修改的开源远程访问木马（RAT）Lilith RAT，命名为 “LilimRAT”，该恶意软件专门针对 Windows Sandbox 运行环境进行优化。 Windows Sandbox 作为独立的虚拟环境，与宿主系统隔离。MirrorFace 组织正是利用这一特性，在受感染系统上保持持久性，同时减少攻击痕迹，降低被发现的可能性。 据 ITOCHU Cyber & Intelligence 研究人员分析，该恶意软件包含专门的代码，用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在，这是 Windows Sandbox 默认的用户配置。 如果 WDAGUtilityAccount 文件夹未被检测到，恶意软件会立即终止运行。代码示例如下：   FileAttributesA = GetFileAttributesA(“C:\\Users\\WDAGUtilityAccount”); if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0) {     c_GetModuleFileNameA();     c_WSAStartup();     v29 = 1;     // 其他初始化代码 } 攻击者首先在目标系统上启用 Windows Sandbox（默认情况下该功能是禁用的），并创建自定义的 Windows Sandbox 配置文件（WSB）。然后，在这个隔离环境中执行恶意软件，以避免安全工具的检测。 完整的攻击流程包括： 在受感染主机上放置三个关键文件： 批处理脚本（.bat） 压缩工具 包含恶意软件的存档文件 创建 Windows Sandbox 配置文件（WSB），其中包含： 启用网络连接 在宿主系统和沙箱之间共享文件夹 设定在 Windows Sandbox 启动时自动执行命令 WSB 配置示例如下：   <Configuration>     <Networking>Enable</Networking>     <MappedFolders>         <MappedFolder>             <HostFolder>C:\{Host-side folder}</HostFolder>             <SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>             <ReadOnly>false</ReadOnly>         </MappedFolder>     </MappedFolders>     <LogonCommand>         <Command>C:\{Sandbox-side folder}\{random}.bat</Command>     </LogonCommand>     <MemoryInMB>1024</MemoryInMB> </Configuration>   通过此配置，恶意软件可在 Windows Sandbox 内部运行，同时仍可访问宿主系统的文件。 攻击流程启动后，批处理文件会提取档案并安排任务来执行恶意软件。 然后，恶意软件通过 Tor 网络与命令和控制服务器建立通信，以掩盖其活动。 这次攻击之所以特别隐蔽，是因为 Windows Sandbox 默认禁用了 Windows Defender，这就为攻击者提供了一个无安全威胁的操作环境。 此外，当 Windows Sandbox 以 SYSTEM 权限通过任务调度程序启动时，它会在后台运行而不显示窗口，这使得检测更具挑战性。 安全专家建议，除非特别需要，否则应禁用 Windows Sandbox，监控相关进程，限制管理权限，并实施 AppLocker 策略，以防止在企业环境中未经授权执行 Windows Sandbox。 消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability has been found in D-Link DAP-1325 and classified as critical. Affected by this vulnerability is the function setDhcpAssignRangeUpdate. The manipulation of the argument lan_ipaddr leads to stack-based buffer overflow. This vulnerability is known as CVE-2023-41213. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.