Aggregator
CVE-2024-48939 | Paxton Net2 6.07 SR1 API License improper authorization
Oracle Warns of Agile PLM Vulnerability Currently Under Active Exploitation
CVE-2013-6890 | Debian Linux 6.0/7.0/7.1 improper authentication (Bug 1045982 / EDB-38909)
【在野利用】Apple 多个在野高危漏洞安全风险通告
【已复现】Palo Alto Networks PAN-OS身份认证绕过漏洞(CVE-2024-0012)安全风险通告第二次更新
注意喚起: Palo Alto Networks製PAN-OSの管理インタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)に関する注意喚起 (更新)
你看,我还有机会能来创新大会 2025 吗?
被嘲笑只有沙发彩电的理想,怎么在智能化上跑这么快?
vivo千镜安全实验室技术沙龙圆满落幕:共探安全攻防对抗前沿之道!
LastPass 发现虚假支持中心试图窃取客户数据
LastPass 发现,诈骗者正在为其 Chrome 扩展程序撰写评论,以宣传虚假的客户支持电话号码。
其实电话号码背后是更大的阴谋,旨在诱骗呼叫者让诈骗者可以远程访问他们的计算机。
LastPass 是一款流行的密码管理器,它利用 LastPass Chrome 扩展来生成、保存、管理和自动填充网站密码。威胁者试图通过使用虚假的 LastPass 客户支持号码留下 5 星级评论来瞄准该公司的大量用户群。
这些评论敦促遇到任何应用程序问题的用户拨打相关热线以联系 LastPass 在线客户服务,该服务与供应商无关。
Chrome 网上应用店中的欺诈性评论
相反,接听电话的骗子会冒充 LastPass 并将个人引导至“dghelp[.]top”网站,他们必须在其中输入代码才能下载远程支持程序。
虚假支持网站
拨打虚假支持号码的人会有人询问他们遇到的问题,然后询问他们是否试图通过计算机或移动设备访问 LastPass 以及他们使用的操作系统等一系列问题。然后,他们将被引导至 dghelp[.]top 网站,而威胁者仍保持在线状态,并试图让潜在受害者与该网站互动,从而暴露他们的数据。
研究人员发现,在此页面上输入代码将下载 ConnectWise ScreenConnect 代理 [VirusTotal],该代理将使诈骗者能够完全访问某人的计算机。
由 ConnectWise 签署的支持代理
从那里,一名威胁者可以让呼叫者继续提问。与此同时,另一个诈骗者利用ScreenConnect在后台安装其他程序进行无人值守的远程访问、窃取数据,或者窃取计算机中的数据。ScreenConnect 客户端将通过 molatorimax[.]icu 和 n9back366[.]stream 与攻击者控制的服务器建立连接。
在隐藏在 Cloudflare 后面之前,这两个网站之前都曾与乌克兰的 IP 地址相关联。提醒 LastPass 用户切勿与任何人(甚至合法的客户支持人员)共享其主密码,因为这将导致对 LastPass 保管库中存储的所有密码和数据的私人访问。
与更大的诈骗活动相关
与虚假 LastPass 支持中心相关的电话号码其实与一场规模大得多的活动有关。该电话号码 805-206-2892 也被发现被宣传为许多其他公司的支持号码,包括 Amazon、Adobe、Facebook、Hulu、YouTube TV、Peakcock TV、Verizon、Netflix、Roku、PayPal、Squarespace、Grammarly、 iCloud、Ticketmaster 和第一资本。
作为 PayPal 和 iCloud 支持号码进行推广
这些虚假的支持号码不仅会发布到 Chrome 扩展程序评论中,还会发布到允许任何人创建内容的网站上,例如公司论坛和 Reddit。虽然其中许多帖子在创建后就被删除了,但其他帖子仍然可用,并且全天都会创建新帖子。
Overreliance on GenAI to develop software compromises security
GenAI is quickly changing the software development process by automating tasks that once took developers hours, if not days, to complete, bolstering efficiency and productivity, according to Legit Security. “As GenAI transforms software development and becomes increasingly embedded in the development lifecycle, there are some real security concerns among developers and security teams,” said Liav Caspi, CTO at Legit. “Our research found that teams are challenged with balancing the innovations of GenAI and the risks … More →
The post Overreliance on GenAI to develop software compromises security appeared first on Help Net Security.
新的 Ymir 勒索软件与 RustyStealer 合作发起攻击
一种名为“Ymir”的新勒索软件家族在野外被发现,它对之前受到 RustyStealer infostealer 恶意软件危害的系统进行加密。
RustyStealer 是一个知名恶意软件家族,首次记录于 2021 年。据在事件响应期间发现 Ymir 的卡巴斯基研究人员称,这种新型勒索软件以其内存中执行、在代码注释中使用非洲林加拉语、使用 PDF 文件作为勒索信息及其扩展配置选项而闻名。
尽管卡巴斯基发现证据表明 Ymir 连接到可能促进数据泄露的外部服务器,但勒索软件并不具备这种功能。
目前已确认勒索软件操作于 2024 年 7 月启动,当时它便开始攻击世界各地的公司。
Ymir 关注 RustyStealer 感染
卡巴斯基的分析显示,Rusty 窃取者在 Ymir 部署前两天已渗透到目标基础设施内的多个系统。 RustyStealer 本质上是一种凭证收集工具,它使攻击者能够通过破坏可用于横向移动的合法高权限帐户来获得对系统的未经授权的访问。
使用 Windows 远程管理 (WinRM) 和用于远程控制的 PowerShell 等工具可以促进跨网络的横向移动。同时,攻击者还安装了Process Hacker和Advanced IP Scanner等工具。
接下来,他们执行与 SystemBC 恶意软件相关的脚本,并与攻击者的基础设施建立秘密通道,可能用于数据泄露或命令执行。
在巩固立足点并可能使用 RustyStealer 窃取数据后,Ymir 勒索软件作为最终有效负载被丢弃。
Ymir 是一种新型 Windows 勒索软件,完全从内存运行,利用“malloc”、“memove”和“memcmp”等功能来逃避检测。
启动后,它通过获取系统日期和时间、识别正在运行的进程以及检查系统正常运行时间来执行系统侦察,这可以帮助确定它是否在沙箱上运行。接下来,它根据硬编码列表跳过文件扩展名,以避免导致系统无法启动。
Ymir 使用 ChaCha20 流密码(一种先进且快速的加密算法)来加密受害者系统上的文件。加密文件会附加一个随机扩展名,例如“.6C5oy2dVr6”,并且从包含加密文件的所有目录中 Ymir 二进制文件的“.data”部分生成名为“INCIDENT_REPORT.pdf”的勒索字条。
Ymir 勒索信
该勒索软件还会修改 Windows 注册表“legalnoticecaption”值,以在用户登录加密设备之前显示勒索要求。
勒索信声称受害者系统中的数据被盗,卡巴斯基推测这可能是使用 Ymir 之前部署的工具发生的。
最后,Ymir 扫描系统中是否存在 PowerShell,并利用它删除其可执行文件以逃避识别和分析。
Ymir 的执行过程
Ymir 尚未建立数据泄露站点,但恶意分子可能刚刚开始积累受害者数据。卡巴斯基认为,Ymir 使用信息窃取程序作为访问代理可能很快使这个新的勒索软件家族成为广泛威胁。