Aggregator

HackerNews 编译，转载请注明出处： 研究人员披露了 Xerox VersaLink C7025 多功能打印机（MFP）的安全漏洞，这些漏洞可能被攻击者利用，通过 Lightweight Directory Access Protocol (LDAP) 和 SMB/FTP 服务进行 pass-back 攻击，从而获取身份验证凭据。 Rapid7 安全研究员 Deral Heiland 表示：“这种 pass-back 攻击方式利用了一个漏洞，允许恶意行为者篡改 MFP 的配置，使 MFP 设备将身份验证凭据发送回攻击者。” 如果攻击者成功利用这些漏洞，他们可以获取 Windows Active Directory 的凭据，从而在组织的环境中横向移动，并可能破坏其他关键的 Windows 服务器和文件系统。 漏洞列表 受影响的固件版本为 57.69.91 及更早版本，具体漏洞如下： CVE-2024-12510 (CVSS 评分：6.7)：通过 LDAP 进行 pass-back 攻击。 CVE-2024-12511 (CVSS 评分：7.6)：通过用户地址簿进行 pass-back 攻击。 成功利用 CVE-2024-12510 可能会导致身份验证信息被重定向到恶意服务器，从而暴露凭据。然而，这需要攻击者能够访问 LDAP 配置页面，并且 LDAP 用于身份验证。 CVE-2024-12511 同样允许恶意行为者访问用户地址簿配置，修改 SMB 或 FTP 服务器的 IP 地址，使其指向攻击者控制的主机，从而在文件扫描操作期间捕获 SMB 或 FTP 身份验证凭据。 Heiland 指出：“要成功实施攻击，攻击者需要在用户地址簿中配置 SMB 或 FTP 扫描功能，并且需要物理访问打印机控制台或通过 Web 界面访问远程控制控制台。除非已启用用户级别的远程控制控制台访问权限，否则可能需要管理员权限。” 在 2024 年 3 月 26 日负责任地披露这些漏洞后，相关问题已在上个月底发布的 Service Pack 57.75.53 中得到解决，适用于 VersaLink C7020、7025 和 7030 系列打印机。 如果无法立即进行更新，建议用户为管理员账户设置复杂密码，避免使用具有提升权限的 Windows 身份验证账户，并为未经身份验证的用户禁用远程控制控制台。 与此同时，Specular 创始人兼 CEO Peyton Smith 详细披露了一个影响广泛部署的医疗保健软件 HealthStream MSOW 的未授权 SQL 注入漏洞（CVE-2024-56735），该漏洞可能导致整个数据库被攻破，使威胁行为者能够从公共互联网访问 23 家医疗保健组织的敏感数据。 该公司表示，已发现 50 个暴露在互联网上的 MSOW 实例，其中 23 个存在安全缺陷。 Smith 表示，该漏洞可能允许“整个数据库通过带内方式返回，这意味着攻击者可以通过精心构造的 SQL 注入 HTTP 负载，在 HTTP 响应中检索明文数据库内容。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

作者：洺熙 由于篇幅限制，全文未能完全展示，更多内容请至项目Github地址：https://github.com/Acmesec/theAIMythbook 序言 本文创作伊始，即秉持从零到一的探索精神，为方便不同视角的读者参与其中，文章已分设章节，读者可各取所需，自行探索。同时，笔者向所有秉持独立思考精神的探索者致以崇高的敬意，拜谢诸君。 人工智能的浪潮汹涌而至，其核心在于模拟人脑的运作...

泄露信息或用于撞库、网络钓鱼和身份盗用，雅虎用户应速改密码并启用双重认证。

The campaign heavily uses Dropbox folders and PowerShell scripts to evade detection and quickly scrapped infrastructure components after researchers began poking around.

Frameless BITB A new approach to Browser In The Browser (BITB) without the use of iframes, allows the bypass of traditional framebusters implemented by login pages like Microsoft. This POC code is built for...

The post Bypassing Microsoft Login Pages: Frameless BITB’s Innovative Approach appeared first on Penetration Testing Tools.

FindFunc: Advanced Filtering/Finding of Functions in IDA PRO FindFunc is an IDA PRO plugin to find code functions that contain a certain assembly or byte pattern, reference a certain name or string, or conform...

The post FindFunc: IDA PRO plugin to find code functions appeared first on Penetration Testing Tools.

AD-AssessmentKit These tools are ideal for network administrators and cybersecurity professionals seeking to assess and enhance the security posture of AD environments and network infrastructures. AD-SecurityAudit.sh It focuses on initial reconnaissance and vulnerability identification...

The post AD-AssessmentKit: comprehensive security audits and network mapping of AD environments appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 黑客组织 Winnti 被认为是 2024 年 3 月针对日本制造、材料和能源行业的公司的一项新活动 RevivalStone 的幕后黑手。 日本网络安全公司 LAC 详细说明的这次活动，与 Trend Micro 跟踪的 Earth Freybug 威胁集群重叠，该集群已被评估为 APT41 网络间谍组织的一个子集，Cybereason 将其称为 Operation CuckooBees，Symantec 则将其称为 Blackfly。 APT41 被描述为一个高度熟练且有条理的行动者，能够进行间谍活动并污染供应链。其活动通常以隐蔽为目的，利用多种战术通过定制工具集实现目标，这些工具不仅可以绕过环境中安装的安全软件，还能收集关键信息并建立秘密通道以保持远程访问。 “该组织的间谍活动，许多与国家的战略目标一致，已针对全球范围内的各种公共和私营行业部门，”LAC 表示。 “该威胁组织的攻击特点是使用 Winnti 恶意软件，该软件具有独特的根kit，可隐藏和操纵通信，以及在恶意软件中使用被盗的合法数字证书。” 自 2012 年以来一直活跃的 Winnti，截至 2022 年主要针对亚洲的制造和材料相关组织，最近的活动在 2023 年 11 月至 2024 年 10 月期间针对亚太地区，利用 IBM Lotus Domino 等面向公众的应用程序的漏洞部署恶意软件，如下所示： DEATHLOTUS：一种被动的 CGI 后门，支持文件创建和命令执行。 UNAPIMON：一种用 C++ 编写的防御规避工具。 PRIVATELOG：一种加载器，用于投放 Winnti RAT（也称为 DEPLOYLOG），进而通过根kit 安装程序交付名为 WINNKIT 的内核级根kit。 CUNNINGPIGEON：一种利用 Microsoft Graph API 从邮件消息中获取命令（文件和进程管理以及自定义代理）的后门。 WINDJAMMER：一种具有拦截 TCPIP 网络接口以及在内网中与受感染端点创建秘密通道的能力的根kit。 SHADOWGAZE：一种利用 IIS 网站服务器的监听端口的被动后门。 LAC 记录的最新攻击链发现，攻击者利用一个未指定的企业资源规划（ERP）系统中的 SQL 注入漏洞，在受感染的服务器上投放 China Chopper 和 Behinder（也称为 Bingxia 和 IceScorpion）等 web shell，利用这些访问权限进行侦察、收集横向移动的凭据，并交付 Winnti 恶意软件的改进版本。 据说，这次入侵的范围进一步扩大，通过利用共享账户攻破了一家托管服务提供商（MSP），随后利用该公司的基础设施将恶意软件传播到另外三个组织。 LAC 表示，还在 RevivalStone 活动中发现了对 TreadStone 和 StoneV5 的引用，前者是一个旨在与 Winnti 恶意软件配合使用的控制器，也包含在去年 I-Soon（也称为 Anxun）泄露的 Linux 恶意软件控制面板中。 “如果 TreadStone 与 Winnti 恶意软件具有相同的含义，这仅是推测，但 StoneV5 也可能意味着版本 5，有可能这次攻击中使用的恶意软件是 Winnti v5.0，”研究人员 Takuma Matsumoto 和 Yoshihiro Ishikawa 表示。 “新的 Winnti 恶意软件增加了混淆、更新的加密算法和规避安全产品的功能，预计该攻击组织将继续更新 Winnti 恶意软件的功能并将其用于攻击。” 这一披露正值 Fortinet FortiGuard Labs 详细说明了一种名为 SSHDInjector 的基于 Linux 的攻击套件，该套件自 2024 年 11 月以来能够通过将恶意软件注入进程来劫持网络设备上的 SSH 守护进程，以实现持续访问和秘密操作。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用网络注入来传播一种名为 FrigidStealer 的新型苹果 macOS 恶意软件。 这一活动被归因于一个此前未被记录的威胁行为者 TA2727，该行为者还与针对 Windows（Lumma Stealer 或 DeerStealer）和 Android（Marcher）平台的信息窃取器有关。 TA2727 是一个“使用假更新主题诱饵来分发各种恶意软件载荷的威胁行为者”，Proofpoint 威胁研究团队在一份报告中表示。 TA2727 是新近识别的威胁活动集群之一，与 TA2726 一起，后者被认为是一个恶意流量分发系统（TDS）运营商，为其他威胁行为者分发流量以传播恶意软件。这个以经济利益为动机的威胁行为者自 2022 年 9 月以来一直活跃。 TA2726 据称是 TA2727 和另一个名为 TA569 的威胁行为者的 TDS，后者负责分发一种基于 JavaScript 的加载器恶意软件 SocGholish（也称为 FakeUpdates），该软件通常在合法但已被攻陷的网站上伪装成浏览器更新。 “TA2726 以经济利益为动机，与其他以经济利益为动机的行为者如 TA569 和 TA2727 合作，”该公司指出。“也就是说，这个行为者很可能负责导致其他威胁行为者操作注入的网络服务器或网站攻陷。” TA569 和 TA2727 有一些相似之处，它们都通过恶意 JavaScript 网站注入来传播，这些注入模仿了 Google Chrome 或 Microsoft Edge 等网络浏览器的更新。TA2727 的不同之处在于使用了针对不同地理区域或设备提供不同载荷的攻击链。 如果用户在法国或英国的 Windows 计算机上访问受感染网站，他们会收到下载 MSI 安装程序文件的提示，该文件会启动 Hijack Loader（也称为 DOILoader），进而加载 Lumma Stealer。 另一方面，从 Android 设备访问相同的假更新重定向时，会导致部署一种名为 Marcher 的银行木马，该木马在野外已被检测到超过十年。 假浏览器更新 不仅如此，从 2025 年 1 月开始，该活动已更新，开始针对北美以外的 macOS 用户，将他们重定向到一个假更新页面，下载一种名为 FrigidStealer 的新型信息窃取器。 FrigidStealer 安装程序与其他 macOS 恶意软件一样，需要用户明确启动未签名应用以绕过 Gatekeeper 保护，之后会运行嵌入的 Mach-O 可执行文件来安装恶意软件。 “该可执行文件是用 Go 编写的，并进行了临时签名，”Proofpoint 表示。“该可执行文件是使用 WailsIO 项目构建的，该项目在用户的浏览器中呈现内容。这增加了对受害者的社会工程，暗示 Chrome 或 Safari 安装程序是合法的。” FrigidStealer 与其他针对 macOS 系统的窃取器家族并无二致。它利用 AppleScript 提示用户输入系统密码，从而获得提升的权限，以窃取来自网络浏览器、Apple Notes 和加密货币相关应用的文件和各种敏感信息。 “行为者正在利用网络攻陷来传播针对企业和消费者用户 的恶意软件，”该公司表示。“可以预见，这些网络注入将传播针对收件人的定制恶意软件，包括 Mac 用户，他们在企业环境中的数量仍然少于 Windows 用户。” 这一事件发生在 Denwp Research 的 Tonmoy Jitu 披露另一种完全不可检测的 macOS 后门 Tiny FUD 之后，该后门利用名称操作、动态链接守护进程（DYLD）注入和基于命令与控制（C2）的命令执行。 这也紧随新型信息窃取恶意软件 Astral Stealer 和 Flesh Stealer 的出现，它们旨在收集敏感信息、逃避检测并在受攻陷系统上保持持久性。 “Flesh Stealer 在检测虚拟机（VM）环境方面特别有效，”Flashpoint 在最近的一份报告中表示。“它会避免在 VM 上执行，以防止任何潜在的取证分析，展示了对安全研究实践的理解。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

随着时间的推移，加密项目的需求也在不断增加。让我们来看看一些最好的加密应用程序接口。

HackerNews 编译，转载请注明出处：   研究人员发现了 OpenSSH 安全网络工具套件中的两个安全漏洞，如果被成功利用，可能会导致中间人（MitM）攻击和拒绝服务（DoS）攻击。 Qualys 威胁研究单元（TRU）详细披露了以下漏洞： CVE-2025-26465：OpenSSH 客户端在 6.8p1 至 9.9p1 版本（含）中存在逻辑错误，如果启用了 VerifyHostKeyDNS 选项，可能会使客户端容易受到中间人攻击。这允许恶意攻击者在客户端尝试连接到合法服务器时冒充合法服务器（该漏洞于 2014 年 12 月引入）。 CVE-2025-26466：OpenSSH 客户端和服务器在 9.5p1 至 9.9p1 版本（含）中容易受到预认证拒绝服务攻击，这会导致内存和 CPU 消耗（该漏洞于 2023 年 8 月引入）。 “如果攻击者可以通过 CVE-2025-26465 进行中间人攻击，客户端可能会接受攻击者的密钥而不是合法服务器的密钥，”Qualys TRU 产品经理赛义德·阿巴西表示。 这会破坏 SSH 连接的完整性，使攻击者有可能在用户意识到之前拦截或篡改会话。 换句话说，成功利用这些漏洞可能会允许恶意行为者破坏并劫持 SSH 会话，并获得对敏感数据的未经授权访问。值得注意的是，VerifyHostKeyDNS 选项默认是禁用的。 另一方面，反复利用 CVE-2025-26466 可能会导致可用性问题，阻止管理员管理服务器并锁定合法用户，从而有效地使日常操作瘫痪。 OpenSSH 维护人员在今天发布的 OpenSSH 9.9p2 版本中解决了这两个漏洞。 这次披露是在 Qualys 七个多月前披露另一个 OpenSSH 漏洞（称为 regreSSHion，CVE-2024-6387）之后发布的，该漏洞可能导致在基于 glibc 的 Linux 系统中以 root 特权进行未认证的远程代码执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Researcher Says Firm Failed to Secure Sensitive Health Data From Survey Forms
An unsecured database containing 2 terabytes of data allegedly exposed more than 1.6 million clinical research records to the internet, including sensitive personal and medical information of patients, said the security researcher who discovered the lapse. Why does this keep happening?

'Marstech1' Malware Targets Developers Through GitHub Repository
New North Korean malware is targeting crypto wallets with an unconventional command-and-control infrastructure and through malware embedded into a GitHub repository that's apparently the account of a Pyongyang hacker. The implant appears to have emerged late last December.

Investment Led by Bain Capital to Enhance Predictive Threat Detection Capabilities
Dream raised $100 million in Series B funding from Bain Capital on a $1.1 billion valuation to enhance its proprietary Cyber Language Model and expand globally, with a focus on U.S. market entry to address growing national security threats through AI-driven cybersecurity and predictive solutions.

Court Clears Way for Musk's DOGE Team to Continue Accessing Sensitive Federal Data
A federal judge has ruled against a lawsuit from 14 state attorneys general requesting a temporary restraining order against Elon Musk and the Department of Government Efficiency amid controversy surrounding the billionaire's access to sensitive government systems.

东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎，并根据“谛听”收集的各类安全数据，撰写并发布了2024年工业控制网络安全态势白皮书。

东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎，并根据“谛听”收集的各类安全数据，撰写并发布了2024年工业控制网络安全态势白皮书。