Aggregator

作者：启明星辰ADLab 原文链接：https://mp.weixin.qq.com/s/VUzwaR7eti2YoNebGFz80A 一、前言 近期，国产大模型DeepSeek凭借其高效的推理能力、创新性的优化技术、低门槛本地化部署能力、灵活的开源商业授权等，迅速成为开源生态中的“现象级选手”。然而，技术普及的加速期往往伴随着网络安全攻防对抗的升级。当前，大量政府、企业和个人开发者在基于D...

HackerNews 编译，转载请注明出处： 白蚁勒索软件团伙声称对澳大利亚最大的生育服务提供商 Genea 近期的数据泄露事件负责，窃取了敏感的医疗保健数据。 这家体外受精（IVF）提供商自 1986 年开始运营（当时名为悉尼 IVF）。它在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供广泛的服务，包括生育治疗、检查、遗传服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司报道，Genea 和另外两家公司（Monash IVF 和 Virtus）占据了该国行业总收入的 80% 以上。 Genea 上周三首次披露，其正在调查一起 “网络事件”，此前在公司网络上检测到 “可疑活动”。在今天发布的一份更新声明中，这家生育服务巨头确认攻击者从其系统中窃取了数据，这些数据随后被发布在网上。 该公司表示，已获得法院命令，禁止他人分享泄露的数据，并且正在与澳大利亚网络安全中心合作调查这起事件。 这份经过删减的法院命令显示，威胁行为者于 2025 年 1 月 31 日通过 Citrix 服务器入侵了 Genea 的网络。随后，他们获得了对该公司主文件服务器、域控制器、备份程序和 BabySentry 主患者管理系统的访问权限。两周后，即 2 月 14 日，攻击者从 Genea 的被入侵系统中窃取了 940.7GB 的数据，并将其转移到了他们控制的一个 DigitalOcean 云服务器上。 正在进行的调查还发现，Genea 被入侵的患者管理系统中包含了以下类型的个人和健康数据，每个受影响个体暴露的信息各不相同： 全名、电子邮件、地址、电话号码、出生日期、紧急联系人和近亲信息， 医疗保险卡号码、私人健康保险详情、国防部门号码、医疗记录号码、患者号码， 病史、诊断和治疗、药物和处方、患者健康问卷、病理和诊断测试结果、医生和专家的记录、预约详情和时间表。 “目前没有证据表明任何财务信息（如信用卡详细信息或银行账户号码）受到此次事件的影响，”Genea 补充道。 “我们还通知了澳大利亚信息专员办公室（OAIC）这起事件的最新进展，”Genea 一位发言人告诉 BleepingComputer。 白蚁勒索软件声称对此负责 尽管 Genea 没有将此次攻击归咎于特定的威胁组织或网络犯罪团伙，但白蚁勒索软件团伙在周一声称对此负责。 在他们暗网泄露网站的新条目中，他们声称窃取了约 700GB 的数据，并泄露了据称从 Genea 网络中窃取的身份证明文件和患者文件的截图。 “我们从公司的服务器中获得了约 700GB 的数据，包括客户的机密和个人数据，”威胁行为者声称。 据威胁情报公司 Cyjax 称，白蚁勒索软件团伙于 2024 年 10 月中旬浮出水面，此后在其暗网门户上列出了来自世界各地和各个行业的 18 名受害者。 2024 年 12 月，该勒索软件团伙还声称入侵了总部位于亚利桑那州的服务（SaaS）提供商 Blue Yonder。这家全球供应链软件提供商拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、DHL、3M、Ace Hardware、宝洁、嘉士伯、都乐、沃尔格林、西部数据和 7-Eleven 等知名企业。 与其他勒索软件团伙一样，白蚁网络犯罪团伙也从事数据盗窃、勒索和加密攻击。据网络安全公司 Trend Micro 称，他们使用的是 2021 年 9 月泄露的 Babuk 加密器版本，并且已知会在受害者的加密系统上留下 “How To Restore Your Files.txt” 赎金便条。 Trend Micro 还补充道，白蚁的勒索软件加密器可能仍在开发中，因为它会因代码执行缺陷而提前终止。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Prodaft 上周内部发布并于昨天公开的一份报告显示，自 2024 年 6 月开始活动以来，被追踪为 “EncryptHub”（又称 Larva-208）的威胁行为者已针对全球各地的组织发起了鱼叉式网络钓鱼和社会工程攻击，以获取企业网络的访问权限。该报告显示，自 2024 年 6 月 EncryptHub 开始运营以来，已至少入侵了 618 家机构。 在获得访问权限后，这些威胁行为者会安装远程监控和管理（RMM）软件，随后部署诸如 Stealc 和 Rhadamanthys 之类的信息窃取木马。在许多被观察到的案例中，EncryptHub 还会在被入侵的系统上部署勒索软件。 Prodaft 告诉 BleepingComputer，该威胁组织与 RansomHub 和 BlackSuit 有关联，曾部署过这两种勒索软件加密器，可能作为它们的初始访问代理或直接附属机构。然而，在许多攻击中，研究人员观察到威胁行为者部署了自定义的 PowerShell 数据加密器，因此他们也有自己的变种。 Larva-208 的攻击手段包括短信钓鱼、语音钓鱼以及模仿 Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet 和 Microsoft 365 等企业 VPN 产品的虚假登录页面。 攻击者通常在发给目标的消息中冒充 IT 支持人员，声称 VPN 访问出现问题或账户存在安全问题，引导他们登录钓鱼网站。 受害者会收到链接，这些链接会将他们重定向到钓鱼登录页面，其凭据和多因素认证（MFA）令牌（会话 cookie）会被实时捕获。 一旦钓鱼过程结束，受害者会被重定向到服务的真实域名，以避免引起怀疑。 EncryptHub 购买了 70 多个模仿上述产品的域名，如 “linkwebcisco.com” 和 “weblinkteams.com”，以增加钓鱼页面的可信度。 这些钓鱼网站托管在 Yalishanda 等不受监管的托管服务提供商上，ProDaft 表示，这些提供商通常不会响应合理的下架请求。 Prodaft 还发现另一个被追踪为 Larva-148 的子组，该子组帮助购买钓鱼活动中使用的域名、管理托管服务并设置基础设施。虽然 Larva-148 可能向 EncryptHub 出售域名和钓鱼工具包，但它们的确切关系尚未明确。 一旦 EncryptHub 入侵目标系统，它会部署各种 PowerShell 脚本和恶意软件，以获得持久性、远程访问、数据窃取和文件加密的能力。 首先，他们诱骗受害者安装 AnyDesk、TeamViewer、ScreenConnect、Atera 和 Splashtop 等 RMM 软件。这使他们能够远程控制被入侵的系统，保持长期访问权限，并实现横向移动。 接下来，他们使用不同的 PowerShell 脚本部署信息窃取木马，如 Stealc、Rhadamanthys 和 Fickle Stealer，以窃取存储在网页浏览器中的数据。这些数据包括保存的凭据、会话 cookie 和加密货币钱包助记词。 BleepingComputer 还看到了针对 Linux 和 Mac 设备执行类似操作的 Python 脚本。 在 BleepingComputer 看到的脚本样本中，威胁行为者试图从被入侵的系统中窃取大量数据，包括： 各种加密货币钱包的数据，包括 MetaMask、Ethereum Wallet、Coinbase Wallet、Trust Wallet、Opera Wallet、Brave Wallet、TronLink、Trezor Wallet 等。 各种 VPN 客户端的配置数据，包括 Cisco VPN Client、FortiClient、Palto Alto Networks GlobalProtect、OpenVPN 和 WireGuard。 各种流行密码管理器的数据，包括 Authenticator、1Password、NordPass、DashLane、Bitwarden、RoboForm、Keeper、MultiPassword、KeePassXC 和 LastPass。 与特定扩展名匹配或文件名包含某些关键词的文件，包括图片、RDP 连接文件、Word 文档、Excel 电子表格、CSV 文件和证书。文件名中的一些目标关键词包括 “pass”、“account”、“auth”、“2fa”、“wallet”、“seedphrase”、“recovery”、“keepass”、“secret” 等。 Larva-208 的最终威胁是勒索软件，其形式为自定义的基于 PowerShell 的加密器，该加密器使用 AES 加密文件并附加 “.crypted” 扩展名，同时删除原始文件。 会为受害者生成一张赎金条，要求通过 Telegram 以 USDT 支付赎金。 Prodaft 表示，EncryptHub 是一个复杂的威胁行为者，会根据目标定制攻击以提高效果，成功入侵了大型组织的高价值目标。 “本报告中考察的 LARVA-208 鱼叉式网络钓鱼行为者体现了针对性网络攻击日益增长的复杂性，”Prodaft 警告说。“通过采用高度定制的社会工程手段、先进的混淆方法和精心制作的诱饵，该威胁行为者展示了强大的能力，能够规避检测并入侵高价值目标。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Как сбой в модерации превратил ленту Reels в калейдоскоп шок-контента?

HackerNews 编译，转载请注明出处： 自2019年以来，一个名为“automslc”的恶意PyPi包已从Python Package Index下载超过10万次，利用硬编码的凭据从Deezer流媒体服务盗取音乐。 Deezer是一个在180个国家可用的音乐流媒体服务，提供超过9000万首曲目、播放列表和播客。它通过广告支持的免费层级或付费订阅提供，付费订阅支持更高的音频质量和离线收听。 安全公司Socket发现了这个恶意包，并发现它通过硬编码Deezer凭据来下载媒体和抓取平台的元数据，从而盗取音乐。 尽管盗版工具通常不被视为恶意软件，但automslc使用命令与控制（C2）基础设施进行集中控制，可能会将不知情的用户纳入分布式网络。 此外，该工具可能很容易被用于其他恶意活动，因此其用户始终面临风险。 截至本文撰写时，automslc仍可在PyPI上下载。 该恶意包包含硬编码的Deezer账户凭据，用于登录服务，或使用用户提供的凭据创建与服务API的认证会话。 登录后，它请求曲目元数据并提取内部解密令牌，特别是Deezer用于URL生成的“MD5_ORIGIN”。 接下来，脚本使用内部API调用来请求完整长度的流媒体URL并检索整个音频文件，绕过了Deezer允许的30秒预览限制。 下载的音频文件以高质量格式存储在用户的设备上，允许离线收听和分发。 这违反了Deezer的服务条款和版权法，使用户在不知情的情况下面临风险。 automslc包可以不受限制地反复请求和下载曲目，实际上允许大规模盗版。 至于该包的制作者，Socket在各种账户和GitHub仓库上识别出别名“hoabt2”和“Thanh Hoa”，但他们的身份未知。 如果你将automslc作为独立工具使用或作为软件项目的一部分，要知道该工具允许非法活动，可能会给你带来麻烦。 C2导向的操作表明，威胁行为者正在积极监控和协调盗版活动，而不是简单地提供一个被动的盗版工具，这增加了未来更新中引入更多恶意行为的风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已从Visual Studio Marketplace移除了两款受欢迎的VSCode扩展：“Material Theme – Free”和“Material Theme Icons – Free”，原因是这些扩展据称包含恶意代码。 这两款扩展非常受欢迎，总下载量接近900万次，用户现在会在VSCode中收到提示，告知这些扩展已被自动禁用。 发布者马蒂亚·阿斯托里诺（网名equinusocio）在VSCode Marketplace上有多个扩展，总安装量超过1300万次。 关于这些扩展存在恶意软件的消息来自网络安全研究人员阿米特·阿萨拉夫和伊泰·克鲁克，他们在扫描VSCode恶意扩展方面具有专业技能。 在今天发布的一份报告中，研究人员表示他们在这些扩展中发现了可疑代码，并已将调查结果报告给微软。 “微软已从VS Code Marketplace移除了这两个扩展，并封禁了开发者。”一位微软员工在YCombinator的Hacker News上发布消息称，“社区成员对扩展进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，并将此报告给了我们。微软的安全研究人员证实了这些说法，并发现了更多可疑代码。” “我们已将发布者从VS Marketplace封禁，移除了其所有扩展，并从所有运行这些扩展的VS Code实例中卸载。为澄清，此次移除与版权/许可证无关，仅涉及潜在的恶意意图。” VSCode自动移除Material Theme扩展   研究人员告诉BleepingComputer，他们的专业扫描器检测到扩展代码中存在恶意活动。其中一位研究人员阿米特·阿萨拉夫表示，他们认为恶意代码是在扩展更新中引入的，这表明要么是通过依赖项的供应链攻击，要么是开发者的账户被入侵。   此外，他们解释称，主题应该是静态的JSON文件，不应执行任何代码，因此这种行为在他们的评估中被标记为可疑。 经BleepingComputer验证，主题中的“release-notes.js”文件包含高度混淆的JavaScript，这在开源软件中始终是一个危险信号。 “release-notes.js”文件中的高度混淆JavaScript 对代码的部分反混淆显示了对用户名和密码的多次引用。然而，由于文件仍然高度混淆，BleepingComputer无法确定这些引用的具体方式。 微软表示，他们将很快在VSMarketplace GitHub仓库中发布更多关于该扩展和任何检测到的恶意活动的详细信息。 扩展的开发者马蒂亚·阿斯托里诺（网名equinusocio）回应了关于扩展存在恶意软件的担忧，称问题是由于过时的Sanity.io依赖项“看起来被入侵”所致。 “亲爱的@gegtor，Material Theme从未包含任何有害内容。”阿斯托里诺在微软的VSMarketplace仓库中发布消息称，“我们自2016年以来使用了一个过时的sanity.io依赖项来从sanity headless CMS显示发布说明，这就是他们发现的唯一问题。” “该依赖项自2016年以来一直存在，并且通过了此后所有的检查，现在看起来被入侵了，但微软从未联系过我们要求移除它。他们直接下架了一切，导致数百万用户出现问题，并在VSCode中造成循环（是的，这是他们的错）。” “他们从未联系我们澄清就破坏了一切。移除旧依赖项只需30秒，但这似乎就是微软的行事方式。我们还提供了一个混淆的index.js文件，其中包含所有主题命令和逻辑。它被混淆是因为扩展现在是闭源的；然而，如果你删除它，扩展仍然可以使用纯JSON文件正常运行。” 在情况明朗并确定这些扩展是否恶意之前，建议从所有项目中移除以下内容： – equinusocio.moxer-theme – equinusocio.vsc-material-theme – equinusocio.vsc-material-theme-icons – equinusocio.vsc-community-material-theme – equinusocio.moxer-icons 随后，开发者阿斯托里诺在VSCode Marketplace上发布了一个名为“Fanny Themes”的“完全重写且没有任何依赖项”的扩展，但微软随后将其移除。 针对我们关于混淆的release-notes.js文件的问题，阿斯托里诺重申了他在GitHub上的说法，即一个@sanity依赖项被入侵，如果他收到通知，可以迅速移除。 “发布说明文件是在2016年制作并用于从sanity.io（一个无头CMS）生成网页视图以显示更改的。”阿斯托里诺告诉BleepingComputer，“从那以后就再也没有动过，因为我一直专注于扩展的新版本。唯一有害的东西是旧的（也是唯一的）@sanity依赖项，它已被入侵。但我并不知情。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）周二警告称，一个被其追踪为 UAC-0173 的有组织犯罪团伙重新活跃，该团伙通过感染计算机部署名为 DCRat（又名 DarkCrystal RAT）的远程访问木马。 乌克兰网络安全机构表示，最新一波攻击始于 2025 年 1 月中旬，目标是乌克兰公证人。 感染链利用声称代表乌克兰司法部发送的网络钓鱼邮件，诱使收件人下载一个可执行文件，该文件一旦启动，就会部署 DCRat 恶意软件。该二进制文件托管在 Cloudflare 的 R2 云存储服务上。 “通过这种方式，攻击者获得了对公证人自动化工作场所的初步访问权限，随后采取措施安装额外工具，特别是 RDPWRAPPER，该工具实现了并行 RDP 会话的功能，结合使用 BORE 工具，允许从互联网直接建立到计算机的 RDP 连接，”CERT-UA 表示。 这些攻击还以使用其他工具和恶意软件家族为特征，如 FIDDLER（用于拦截国家注册表网络界面输入的认证数据）、NMAP（用于网络扫描）和 XWorm（用于窃取敏感数据，如凭据和剪贴板内容）。 此外，受感染的系统被用作发送恶意邮件的渠道，使用 SENDMAIL 控制台工具进一步传播攻击。 这一发展发生在 CERT-UA 将 Sandworm 黑客组织（又名 APT44、Seashell Blizzard 和 UAC-0002）的一个子集群归因于利用微软 Windows 中的一个现已修补的安全漏洞（CVE-2024-38213，CVSS 评分：6.5）后的几天，该漏洞在 2024 年下半年通过带有陷阱的文档被利用。 攻击链被发现执行 PowerShell 命令，负责显示诱饵文件，同时在后台启动其他有效负载，包括 SECONDBEST（又名 EMPIREPAST）、SPARK 和一个名为 CROOKBAG 的 Golang 加载器。 CERT-UA 将此活动归因于 UAC-0212，该活动在 2024 年 7 月至 2025 年 2 月期间针对塞尔维亚、捷克共和国和乌克兰的供应商公司，其中一些攻击记录针对了 20 多家乌克兰企业，这些企业专注于自动化过程控制系统（ACST）、电气工程和货运运输。 这些攻击中的一些已被 StrikeReady Labs 和微软记录，后者将该威胁组织追踪为 BadPilot。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

前言相信各个师傅都收到了消息，今年的护网将是常态化护网，周期非常的长。在这几天，已经有各大厂商开始陆续的收集简历了吧，相信以护网的薪酬，大家都想分一杯羹。那么我们学会应急响应是必不可少的！让我们也马上

HackerNews 编译，转载请注明出处：   美国网络安全与基础设施安全局（CISA）周二将影响微软合作伙伴中心（Microsoft Partner Center）和 Synacor Zimbra 协作套件（ZCS）的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 这两个漏洞分别是： CVE-2024-49035（CVSS 评分：8.7）：微软合作伙伴中心的一个不当访问控制漏洞，允许攻击者提升权限。（已于 2024 年 11 月修复） CVE-2023-34192（CVSS 评分：9.0）：Synacor ZCS 的一个跨站脚本（XSS）漏洞，允许远程认证攻击者通过特制脚本向 /h/autoSaveDraft 函数执行任意代码。（已于 2023 年 7 月通过 8.8.15 补丁 40 修复） 去年，微软确认 CVE-2024-49035 已在野外被利用，但未透露其在实际攻击中如何被武器化的更多细节。目前尚无 CVE-2023-34192 在野外被利用的公开报告。 鉴于此情况，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 18 日之前应用必要的更新，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CrimsonEDR CrimsonEDR is an open-source project engineered to identify specific malware patterns, offering a tool for honing skills in circumventing Endpoint Detection and Response (EDR). By leveraging diverse detection methods, it empowers users to...

The post Bypass EDR Detection with CrimsonEDR appeared first on Penetration Testing Tools.

DotDumper An automatic unpacker and logger for DotNet Framework targeting files! This tool has been unveiled at Black Hat USA 2022. The automatic detection and classification of any given file in a reliable manner is...

The post DotDumper: automatic unpacker and logger for DotNet Framework targeting files appeared first on Penetration Testing Tools.

JAKARTA CYBER WHITE Defaced the Website of Safe Deposit

UAC-BOF-Bonanza This repository serves as a collection of public UAC bypass techniques that have been weaponized as BOFs. A single module that integrates all techniques has been provided to use the BOFs via the...

The post UAC-BOF-Bonanza: Collection of UAC Bypass Techniques Weaponized as BOFs appeared first on Penetration Testing Tools.

A vulnerability, which was classified as problematic, was found in Decidim up to 0.28.2. This affects an unknown part. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2024-45594. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in baltic-it TOPqw Webportal up to 1.35.287.1. Affected by this vulnerability is an unknown functionality of the file /Apps/TOPqw/QWKalkulation/QWKalkulation.aspx of the component QWKalkulation. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2024-45879. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic has been found in baltic-it TOPqw Webportal up to 1.35.283.2. This affects an unknown part of the file /Apps/TOPqw/qwStammdaten.aspx of the component Stammdaten Menu. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2024-45878. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Incognito Service Activation Center 14.11. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Create Customer API. The manipulation of the argument lastName leads to cross site scripting. This vulnerability is handled as CVE-2024-42834. The attack may be launched remotely. There is no exploit available.

A vulnerability has been found in Cyber Cafe Management System 1.0 and classified as problematic. Affected by this vulnerability is an unknown functionality. The manipulation of the argument adminname leads to cross site scripting. This vulnerability is known as CVE-2023-38920. The attack can be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, has been found in Mitchell Bennis Simple File List Plugin up to 6.1.12 on WordPress. This issue affects some unknown processing of the component Attribute Handler. The manipulation leads to cross site scripting. The identification of this vulnerability is CVE-2024-10146. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.