HackerNews

HackerNews 编译，转载请注明出处： 据报道，被称为“空间海盗”的威胁行为者与一场针对俄罗斯信息技术（IT）组织的恶意活动有关，该活动使用了一种此前未被记录的恶意软件，名为 LuckyStrike Agent。 此次恶意活动于 2024 年 11 月被俄罗斯国有电信公司 Rostelecom 的网络安全部门 Solar 检测到。Solar 将该活动追踪为Erudite Mogwai。 攻击还使用了其他工具，如 Deed RAT（也称为 ShadowPad Light）和一个定制版本的代理工具 Stowaway，后者此前已被其他与中国有关的黑客组织使用。 “Erudite Mogwai是活跃的高级持续性威胁（APT）组织之一，专门从事机密信息窃取和间谍活动，”Solar 研究人员表示，“自 2017 年以来，该组织一直在攻击政府机构、各类组织的 IT 部门以及与航空航天和电力等高科技产业相关的企业。” 该威胁行为者最早于 2022 年由 Positive Technologies 公开记录，详细说明了其独家使用 Deed RAT 恶意软件的情况。该组织被认为与另一个名为 Webworm 的黑客组织在战术上有重叠。已知其针对俄罗斯、格鲁吉亚和蒙古的组织。 在针对一个政府行业客户的攻击中，Solar 表示发现攻击者部署了各种工具以协助侦察，同时还投放了 LuckyStrike Agent，这是一个多功能的 .NET 后门，使用 Microsoft OneDrive 进行命令与控制（C2）。 “攻击者不迟于 2023 年 3 月通过入侵一个公开访问的网络服务获得了对基础设施的访问权限，随后开始在基础设施中寻找‘低垂果实’，”Solar 表示，“在 19 个月的时间里，攻击者逐渐在客户的系统中扩散，直到 2024 年 11 月到达与监控连接的网络段。” 值得注意的是，攻击者还使用了修改版的 Stowaway，仅保留了其代理功能，并使用 LZ4 作为压缩算法，采用 XXTEA 作为加密算法，增加了对 QUIC 传输协议的支持。 “Erudite Mogwai开始通过削减不需要的功能来修改这个工具，”Solar 表示，“他们继续进行了一些小的修改，如重命名函数和更改结构大小（可能是为了绕过现有的检测特征）。目前，该组织使用的 Stowaway 版本可以称为一个完整的分支。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Winos 4.0的恶意软件正在通过伪装成台湾地区国税局的钓鱼邮件，针对中国台湾地区的公司展开攻击。 此次攻击活动由Fortinet FortiGuard Labs于上月发现，与以往利用恶意游戏相关应用程序的攻击链条有所不同。攻击者声称附件是“待税务检查的企业名单”，并要求收件人将其转发给公司财务主管。该附件伪装成财政部的官方文件，诱导收件人下载所谓的“待税务检查企业名单”，但实际上是一个包含恶意DLL文件（“lastbld2Base.dll”）的ZIP文件。该文件为下一阶段的攻击做准备，执行下载Winos 4.0模块的shellcode，该模块从远程服务器（“206.238.221[.]60”）下载并收集敏感数据。 Winos 4.0的登录模块具备多种功能，包括截屏、记录按键、修改剪贴板内容、监控连接的USB设备、运行shellcode，以及在Kingsoft Security和Huorong安全提示时允许执行敏感操作（例如cmd.exe）。Fortinet还发现了一个次要攻击链条，该链条可下载一个在线模块，用于截取微信和网上银行的屏幕截图。 值得注意的是，传播Winos 4.0恶意软件的入侵组织被命名为Void Arachne和银狐（Silver Fox），该恶意软件还与另一种名为ValleyRAT的远程访问木马存在重叠。Forescout Vedere Labs的安全研究主管Daniel dos Santos表示：“Winos和ValleyRAT都源自同一源头——Gh0st RAT，这是一种于2008年在中国开发并开源的恶意软件。” ValleyRAT最早于2023年初被发现，最近被观察到利用假冒Chrome网站作为传播渠道，感染使用中文的用户。类似的恶意下载方案也被用于传播Gh0st RAT。此外，Winos 4.0的攻击链条还整合了名为CleverSoar的安装程序，该程序通过伪装成假软件或游戏相关应用程序的MSI安装包执行。Rapid7在2024年11月底指出，CleverSoar安装程序会检查用户的语言设置，如果设置为中文或越南语以外的语言，安装程序将终止，从而防止感染。 与此同时，银狐APT组织还被发现利用被篡改的飞利浦（Philips）DICOM查看器版本部署ValleyRAT，随后用于投放键盘记录器和加密货币矿工。值得注意的是，这些攻击利用了TrueSight驱动程序的漏洞来禁用防病毒软件。Forescout表示：“此次攻击利用被篡改的DICOM查看器作为诱饵，感染受害者系统，部署用于远程访问和控制的后门（ValleyRAT）、用于捕获用户活动和凭据的键盘记录器，以及用于利用系统资源获取经济利益的加密货币矿工。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “Have I Been Pwned”（HIBP）数据泄露通知服务新增了超 2.84 亿个被信息窃取恶意软件盗取且在一个 Telegram 频道上被发现的账户。 HIBP 创始人特洛伊・亨特表示，他在分析可能从多个来源收集并在一个名为 “ALIEN TXTBASE” 的 Telegram 频道上共享的 1.5TB 窃取日志时，发现了 284,132,969 个受到危害的账户。 “这些日志包含 230 亿行数据，涉及 4.93 亿个唯一的网站和电子邮件地址组合，影响了 2.84 亿个唯一的电子邮件地址，” 亨特在周二的博客中说道。 “我们还向 Pwned Passwords 添加了 2.44 亿个此前从未见过的密码，并更新了其中已有的另外 1.99 亿个密码的计数。” 由于此次收集的账户数量庞大，这些数据可能既包括通过凭证填充攻击和数据泄露被盗取的旧凭据，也包括新凭据。 在将被盗账户添加到 HIBP 数据库之前，特洛伊通过检查使用被盗电子邮件地址进行密码重置尝试是否会触发该服务发送密码重置电子邮件来确认其真实性。 借助新添加的 API（每分钟允许搜索多达 1000 个电子邮件地址以及窃取日志搜索），域名所有者和网站运营者（支付月订阅费用的）现在可以通过按电子邮件域名或网站域名查询添加的窃取日志来识别凭据被盗的客户。 当被问及普通用户是否也能知道他们的账户是否在 ALIEN TXTBASE 信息窃取日志中时，特洛伊称如果他们也订阅了 HIBP 通知服务的话，就可以知道。 “但如果他们使用通知服务来验证地址，它只会显示其凭据被捕获的网站，我不想公开显示这些信息，因为这可能会暴露对敏感服务的使用，” 他说道。 “今天推出这些新 API 将最终帮助许多组织确定恶意活动的来源，更重要的是，提前采取措施，在其造成损害之前阻止它，” 他补充道。 2021 年 12 月，HIBP 还添加了 44.1 万个账户，这些账户是在当时使用最广泛的信息窃取软件之一 RedLine 进行的信息窃取活动中被盗取的。这些数据在一个未受保护的服务器上被发现，该服务器暴露了 2021 年 8 月和 9 月收集的超过 600 万条 RedLine 日志。 更近一些，本月早些时候，HIBP 添加了 1200 万个 Zacks Investment 用户的账户，这些用户的敏感数据（包括姓名、用户名、电子邮件地址、IP 地址、实际地址和电话号码）在一次安全漏洞事件中被暴露。 两年前，即 2023 年 6 月，该漏洞通知服务还添加了另一个数据库，其中包含使用 Zacks 平台的另外 880 万个用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白蚁勒索软件团伙声称对澳大利亚最大的生育服务提供商 Genea 近期的数据泄露事件负责，窃取了敏感的医疗保健数据。 这家体外受精（IVF）提供商自 1986 年开始运营（当时名为悉尼 IVF）。它在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供广泛的服务，包括生育治疗、检查、遗传服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司报道，Genea 和另外两家公司（Monash IVF 和 Virtus）占据了该国行业总收入的 80% 以上。 Genea 上周三首次披露，其正在调查一起 “网络事件”，此前在公司网络上检测到 “可疑活动”。在今天发布的一份更新声明中，这家生育服务巨头确认攻击者从其系统中窃取了数据，这些数据随后被发布在网上。 该公司表示，已获得法院命令，禁止他人分享泄露的数据，并且正在与澳大利亚网络安全中心合作调查这起事件。 这份经过删减的法院命令显示，威胁行为者于 2025 年 1 月 31 日通过 Citrix 服务器入侵了 Genea 的网络。随后，他们获得了对该公司主文件服务器、域控制器、备份程序和 BabySentry 主患者管理系统的访问权限。两周后，即 2 月 14 日，攻击者从 Genea 的被入侵系统中窃取了 940.7GB 的数据，并将其转移到了他们控制的一个 DigitalOcean 云服务器上。 正在进行的调查还发现，Genea 被入侵的患者管理系统中包含了以下类型的个人和健康数据，每个受影响个体暴露的信息各不相同： 全名、电子邮件、地址、电话号码、出生日期、紧急联系人和近亲信息， 医疗保险卡号码、私人健康保险详情、国防部门号码、医疗记录号码、患者号码， 病史、诊断和治疗、药物和处方、患者健康问卷、病理和诊断测试结果、医生和专家的记录、预约详情和时间表。 “目前没有证据表明任何财务信息（如信用卡详细信息或银行账户号码）受到此次事件的影响，”Genea 补充道。 “我们还通知了澳大利亚信息专员办公室（OAIC）这起事件的最新进展，”Genea 一位发言人告诉 BleepingComputer。 白蚁勒索软件声称对此负责 尽管 Genea 没有将此次攻击归咎于特定的威胁组织或网络犯罪团伙，但白蚁勒索软件团伙在周一声称对此负责。 在他们暗网泄露网站的新条目中，他们声称窃取了约 700GB 的数据，并泄露了据称从 Genea 网络中窃取的身份证明文件和患者文件的截图。 “我们从公司的服务器中获得了约 700GB 的数据，包括客户的机密和个人数据，”威胁行为者声称。 据威胁情报公司 Cyjax 称，白蚁勒索软件团伙于 2024 年 10 月中旬浮出水面，此后在其暗网门户上列出了来自世界各地和各个行业的 18 名受害者。 2024 年 12 月，该勒索软件团伙还声称入侵了总部位于亚利桑那州的服务（SaaS）提供商 Blue Yonder。这家全球供应链软件提供商拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、DHL、3M、Ace Hardware、宝洁、嘉士伯、都乐、沃尔格林、西部数据和 7-Eleven 等知名企业。 与其他勒索软件团伙一样，白蚁网络犯罪团伙也从事数据盗窃、勒索和加密攻击。据网络安全公司 Trend Micro 称，他们使用的是 2021 年 9 月泄露的 Babuk 加密器版本，并且已知会在受害者的加密系统上留下 “How To Restore Your Files.txt” 赎金便条。 Trend Micro 还补充道，白蚁的勒索软件加密器可能仍在开发中，因为它会因代码执行缺陷而提前终止。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Prodaft 上周内部发布并于昨天公开的一份报告显示，自 2024 年 6 月开始活动以来，被追踪为 “EncryptHub”（又称 Larva-208）的威胁行为者已针对全球各地的组织发起了鱼叉式网络钓鱼和社会工程攻击，以获取企业网络的访问权限。该报告显示，自 2024 年 6 月 EncryptHub 开始运营以来，已至少入侵了 618 家机构。 在获得访问权限后，这些威胁行为者会安装远程监控和管理（RMM）软件，随后部署诸如 Stealc 和 Rhadamanthys 之类的信息窃取木马。在许多被观察到的案例中，EncryptHub 还会在被入侵的系统上部署勒索软件。 Prodaft 告诉 BleepingComputer，该威胁组织与 RansomHub 和 BlackSuit 有关联，曾部署过这两种勒索软件加密器，可能作为它们的初始访问代理或直接附属机构。然而，在许多攻击中，研究人员观察到威胁行为者部署了自定义的 PowerShell 数据加密器，因此他们也有自己的变种。 Larva-208 的攻击手段包括短信钓鱼、语音钓鱼以及模仿 Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet 和 Microsoft 365 等企业 VPN 产品的虚假登录页面。 攻击者通常在发给目标的消息中冒充 IT 支持人员，声称 VPN 访问出现问题或账户存在安全问题，引导他们登录钓鱼网站。 受害者会收到链接，这些链接会将他们重定向到钓鱼登录页面，其凭据和多因素认证（MFA）令牌（会话 cookie）会被实时捕获。 一旦钓鱼过程结束，受害者会被重定向到服务的真实域名，以避免引起怀疑。 EncryptHub 购买了 70 多个模仿上述产品的域名，如 “linkwebcisco.com” 和 “weblinkteams.com”，以增加钓鱼页面的可信度。 这些钓鱼网站托管在 Yalishanda 等不受监管的托管服务提供商上，ProDaft 表示，这些提供商通常不会响应合理的下架请求。 Prodaft 还发现另一个被追踪为 Larva-148 的子组，该子组帮助购买钓鱼活动中使用的域名、管理托管服务并设置基础设施。虽然 Larva-148 可能向 EncryptHub 出售域名和钓鱼工具包，但它们的确切关系尚未明确。 一旦 EncryptHub 入侵目标系统，它会部署各种 PowerShell 脚本和恶意软件，以获得持久性、远程访问、数据窃取和文件加密的能力。 首先，他们诱骗受害者安装 AnyDesk、TeamViewer、ScreenConnect、Atera 和 Splashtop 等 RMM 软件。这使他们能够远程控制被入侵的系统，保持长期访问权限，并实现横向移动。 接下来，他们使用不同的 PowerShell 脚本部署信息窃取木马，如 Stealc、Rhadamanthys 和 Fickle Stealer，以窃取存储在网页浏览器中的数据。这些数据包括保存的凭据、会话 cookie 和加密货币钱包助记词。 BleepingComputer 还看到了针对 Linux 和 Mac 设备执行类似操作的 Python 脚本。 在 BleepingComputer 看到的脚本样本中，威胁行为者试图从被入侵的系统中窃取大量数据，包括： 各种加密货币钱包的数据，包括 MetaMask、Ethereum Wallet、Coinbase Wallet、Trust Wallet、Opera Wallet、Brave Wallet、TronLink、Trezor Wallet 等。 各种 VPN 客户端的配置数据，包括 Cisco VPN Client、FortiClient、Palto Alto Networks GlobalProtect、OpenVPN 和 WireGuard。 各种流行密码管理器的数据，包括 Authenticator、1Password、NordPass、DashLane、Bitwarden、RoboForm、Keeper、MultiPassword、KeePassXC 和 LastPass。 与特定扩展名匹配或文件名包含某些关键词的文件，包括图片、RDP 连接文件、Word 文档、Excel 电子表格、CSV 文件和证书。文件名中的一些目标关键词包括 “pass”、“account”、“auth”、“2fa”、“wallet”、“seedphrase”、“recovery”、“keepass”、“secret” 等。 Larva-208 的最终威胁是勒索软件，其形式为自定义的基于 PowerShell 的加密器，该加密器使用 AES 加密文件并附加 “.crypted” 扩展名，同时删除原始文件。 会为受害者生成一张赎金条，要求通过 Telegram 以 USDT 支付赎金。 Prodaft 表示，EncryptHub 是一个复杂的威胁行为者，会根据目标定制攻击以提高效果，成功入侵了大型组织的高价值目标。 “本报告中考察的 LARVA-208 鱼叉式网络钓鱼行为者体现了针对性网络攻击日益增长的复杂性，”Prodaft 警告说。“通过采用高度定制的社会工程手段、先进的混淆方法和精心制作的诱饵，该威胁行为者展示了强大的能力，能够规避检测并入侵高价值目标。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2019年以来，一个名为“automslc”的恶意PyPi包已从Python Package Index下载超过10万次，利用硬编码的凭据从Deezer流媒体服务盗取音乐。 Deezer是一个在180个国家可用的音乐流媒体服务，提供超过9000万首曲目、播放列表和播客。它通过广告支持的免费层级或付费订阅提供，付费订阅支持更高的音频质量和离线收听。 安全公司Socket发现了这个恶意包，并发现它通过硬编码Deezer凭据来下载媒体和抓取平台的元数据，从而盗取音乐。 尽管盗版工具通常不被视为恶意软件，但automslc使用命令与控制（C2）基础设施进行集中控制，可能会将不知情的用户纳入分布式网络。 此外，该工具可能很容易被用于其他恶意活动，因此其用户始终面临风险。 截至本文撰写时，automslc仍可在PyPI上下载。 该恶意包包含硬编码的Deezer账户凭据，用于登录服务，或使用用户提供的凭据创建与服务API的认证会话。 登录后，它请求曲目元数据并提取内部解密令牌，特别是Deezer用于URL生成的“MD5_ORIGIN”。 接下来，脚本使用内部API调用来请求完整长度的流媒体URL并检索整个音频文件，绕过了Deezer允许的30秒预览限制。 下载的音频文件以高质量格式存储在用户的设备上，允许离线收听和分发。 这违反了Deezer的服务条款和版权法，使用户在不知情的情况下面临风险。 automslc包可以不受限制地反复请求和下载曲目，实际上允许大规模盗版。 至于该包的制作者，Socket在各种账户和GitHub仓库上识别出别名“hoabt2”和“Thanh Hoa”，但他们的身份未知。 如果你将automslc作为独立工具使用或作为软件项目的一部分，要知道该工具允许非法活动，可能会给你带来麻烦。 C2导向的操作表明，威胁行为者正在积极监控和协调盗版活动，而不是简单地提供一个被动的盗版工具，这增加了未来更新中引入更多恶意行为的风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已从Visual Studio Marketplace移除了两款受欢迎的VSCode扩展：“Material Theme – Free”和“Material Theme Icons – Free”，原因是这些扩展据称包含恶意代码。 这两款扩展非常受欢迎，总下载量接近900万次，用户现在会在VSCode中收到提示，告知这些扩展已被自动禁用。 发布者马蒂亚·阿斯托里诺（网名equinusocio）在VSCode Marketplace上有多个扩展，总安装量超过1300万次。 关于这些扩展存在恶意软件的消息来自网络安全研究人员阿米特·阿萨拉夫和伊泰·克鲁克，他们在扫描VSCode恶意扩展方面具有专业技能。 在今天发布的一份报告中，研究人员表示他们在这些扩展中发现了可疑代码，并已将调查结果报告给微软。 “微软已从VS Code Marketplace移除了这两个扩展，并封禁了开发者。”一位微软员工在YCombinator的Hacker News上发布消息称，“社区成员对扩展进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，并将此报告给了我们。微软的安全研究人员证实了这些说法，并发现了更多可疑代码。” “我们已将发布者从VS Marketplace封禁，移除了其所有扩展，并从所有运行这些扩展的VS Code实例中卸载。为澄清，此次移除与版权/许可证无关，仅涉及潜在的恶意意图。” VSCode自动移除Material Theme扩展   研究人员告诉BleepingComputer，他们的专业扫描器检测到扩展代码中存在恶意活动。其中一位研究人员阿米特·阿萨拉夫表示，他们认为恶意代码是在扩展更新中引入的，这表明要么是通过依赖项的供应链攻击，要么是开发者的账户被入侵。   此外，他们解释称，主题应该是静态的JSON文件，不应执行任何代码，因此这种行为在他们的评估中被标记为可疑。 经BleepingComputer验证，主题中的“release-notes.js”文件包含高度混淆的JavaScript，这在开源软件中始终是一个危险信号。 “release-notes.js”文件中的高度混淆JavaScript 对代码的部分反混淆显示了对用户名和密码的多次引用。然而，由于文件仍然高度混淆，BleepingComputer无法确定这些引用的具体方式。 微软表示，他们将很快在VSMarketplace GitHub仓库中发布更多关于该扩展和任何检测到的恶意活动的详细信息。 扩展的开发者马蒂亚·阿斯托里诺（网名equinusocio）回应了关于扩展存在恶意软件的担忧，称问题是由于过时的Sanity.io依赖项“看起来被入侵”所致。 “亲爱的@gegtor，Material Theme从未包含任何有害内容。”阿斯托里诺在微软的VSMarketplace仓库中发布消息称，“我们自2016年以来使用了一个过时的sanity.io依赖项来从sanity headless CMS显示发布说明，这就是他们发现的唯一问题。” “该依赖项自2016年以来一直存在，并且通过了此后所有的检查，现在看起来被入侵了，但微软从未联系过我们要求移除它。他们直接下架了一切，导致数百万用户出现问题，并在VSCode中造成循环（是的，这是他们的错）。” “他们从未联系我们澄清就破坏了一切。移除旧依赖项只需30秒，但这似乎就是微软的行事方式。我们还提供了一个混淆的index.js文件，其中包含所有主题命令和逻辑。它被混淆是因为扩展现在是闭源的；然而，如果你删除它，扩展仍然可以使用纯JSON文件正常运行。” 在情况明朗并确定这些扩展是否恶意之前，建议从所有项目中移除以下内容： – equinusocio.moxer-theme – equinusocio.vsc-material-theme – equinusocio.vsc-material-theme-icons – equinusocio.vsc-community-material-theme – equinusocio.moxer-icons 随后，开发者阿斯托里诺在VSCode Marketplace上发布了一个名为“Fanny Themes”的“完全重写且没有任何依赖项”的扩展，但微软随后将其移除。 针对我们关于混淆的release-notes.js文件的问题，阿斯托里诺重申了他在GitHub上的说法，即一个@sanity依赖项被入侵，如果他收到通知，可以迅速移除。 “发布说明文件是在2016年制作并用于从sanity.io（一个无头CMS）生成网页视图以显示更改的。”阿斯托里诺告诉BleepingComputer，“从那以后就再也没有动过，因为我一直专注于扩展的新版本。唯一有害的东西是旧的（也是唯一的）@sanity依赖项，它已被入侵。但我并不知情。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）周二警告称，一个被其追踪为 UAC-0173 的有组织犯罪团伙重新活跃，该团伙通过感染计算机部署名为 DCRat（又名 DarkCrystal RAT）的远程访问木马。 乌克兰网络安全机构表示，最新一波攻击始于 2025 年 1 月中旬，目标是乌克兰公证人。 感染链利用声称代表乌克兰司法部发送的网络钓鱼邮件，诱使收件人下载一个可执行文件，该文件一旦启动，就会部署 DCRat 恶意软件。该二进制文件托管在 Cloudflare 的 R2 云存储服务上。 “通过这种方式，攻击者获得了对公证人自动化工作场所的初步访问权限，随后采取措施安装额外工具，特别是 RDPWRAPPER，该工具实现了并行 RDP 会话的功能，结合使用 BORE 工具，允许从互联网直接建立到计算机的 RDP 连接，”CERT-UA 表示。 这些攻击还以使用其他工具和恶意软件家族为特征，如 FIDDLER（用于拦截国家注册表网络界面输入的认证数据）、NMAP（用于网络扫描）和 XWorm（用于窃取敏感数据，如凭据和剪贴板内容）。 此外，受感染的系统被用作发送恶意邮件的渠道，使用 SENDMAIL 控制台工具进一步传播攻击。 这一发展发生在 CERT-UA 将 Sandworm 黑客组织（又名 APT44、Seashell Blizzard 和 UAC-0002）的一个子集群归因于利用微软 Windows 中的一个现已修补的安全漏洞（CVE-2024-38213，CVSS 评分：6.5）后的几天，该漏洞在 2024 年下半年通过带有陷阱的文档被利用。 攻击链被发现执行 PowerShell 命令，负责显示诱饵文件，同时在后台启动其他有效负载，包括 SECONDBEST（又名 EMPIREPAST）、SPARK 和一个名为 CROOKBAG 的 Golang 加载器。 CERT-UA 将此活动归因于 UAC-0212，该活动在 2024 年 7 月至 2025 年 2 月期间针对塞尔维亚、捷克共和国和乌克兰的供应商公司，其中一些攻击记录针对了 20 多家乌克兰企业，这些企业专注于自动化过程控制系统（ACST）、电气工程和货运运输。 这些攻击中的一些已被 StrikeReady Labs 和微软记录，后者将该威胁组织追踪为 BadPilot。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   美国网络安全与基础设施安全局（CISA）周二将影响微软合作伙伴中心（Microsoft Partner Center）和 Synacor Zimbra 协作套件（ZCS）的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 这两个漏洞分别是： CVE-2024-49035（CVSS 评分：8.7）：微软合作伙伴中心的一个不当访问控制漏洞，允许攻击者提升权限。（已于 2024 年 11 月修复） CVE-2023-34192（CVSS 评分：9.0）：Synacor ZCS 的一个跨站脚本（XSS）漏洞，允许远程认证攻击者通过特制脚本向 /h/autoSaveDraft 函数执行任意代码。（已于 2023 年 7 月通过 8.8.15 补丁 40 修复） 去年，微软确认 CVE-2024-49035 已在野外被利用，但未透露其在实际攻击中如何被武器化的更多细节。目前尚无 CVE-2023-34192 在野外被利用的公开报告。 鉴于此情况，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 18 日之前应用必要的更新，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露，提供了前所未有的视角，揭示了他们的策略和成员之间的内部冲突。 这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行，于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露，该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。 Black Basta 最初在 2022 年 4 月受到关注，当时他们使用现已基本停用的 QakBot（又名 QBot）作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告，这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 据 Elliptic 和 Corvus Insurance 估计，到 2023 年底，这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。 瑞士网络安全公司 PRODAFT 表示，这个以经济利益为动机的威胁行为者（也被称为 Vengeful Mantis）由于内部纷争，自今年年初以来基本处于不活跃状态，其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。 更糟糕的是，与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS（又名 Nurturing Mantis）和 Akira 勒索软件行动。 “内部冲突是由‘Tramp’（LARVA-18）驱动的，他是一名已知的威胁行为者，运营一个负责传播 QBot 的垃圾邮件网络，”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物，他的行为在该团伙的不稳定中起到了重要作用。” 泄露的聊天记录包含近 200,000 条消息，其中一些关键内容如下： Lapa 是 Black Basta 的主要管理员之一，负责管理任务。 Cortes 与 QakBot 团伙有关联，该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。 YY 是 Black Basta 的另一名管理员，负责支持任务。 Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名，他还使用 GG 和 AA 这两个名字。 Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。 据信，Black Basta 的一名成员是一名 17 岁的未成年人。 在 Scattered Spider 成功后，Black Basta 开始积极将社会工程学纳入其攻击手段。 据 Qualys 称，Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示，SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用，通常依赖默认的 VPN 凭证或暴力破解被盗凭证。 目前，Black Basta 尚未发布这些漏洞的补丁。在此期间，使用受影响系统的组织应采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件应用严格的文件权限。 避免记录敏感的会话相关数据。 在存储前加密敏感数据。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用受影响系统的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国领先的背景审查和药物及酒精检测公司 DISA Global Solutions 遭遇了一起数据泄露事件，影响了 330 万人。 今年 1 月，该公司首次披露了一起发生在 2024 年 2 月 9 日至 4 月 22 日的网络安全事件，该公司在 4 月 22 日发现了这起数据泄露事件。 本月早些时候，DISA 表示，威胁行为者可能访问了存储在其系统中的敏感数据，但没有证据表明数据进一步传播或被滥用。 今天，该公司确认，在进一步调查后，确定有 3332750 人的敏感数据在这次网络攻击中被泄露。 DISA 在各个行业拥有超过 55000 家客户，其中 30% 的财富 500 强公司依赖该公司的服务。因此，这起数据泄露事件可能在全国范围内产生深远影响。 “我们写这封信是为了通知您，DISA 发生了一起可能涉及您部分个人信息的事件，这些信息是由于您可能为当前或 former 雇主或 prospective 雇主完成的员工筛查服务而被我们获取的，”这是发给受影响个人的通知内容。 DISA 在与当局共享的样本信中没有披露未经授权的一方访问了哪些类型的信息。然而，在其网站上发布的一份通知中，列出了以下信息： 全名 社会安全号码 驾驶证号码 政府身份证号码 金融账户信息 其他数据元素 虽然目前尚不清楚 “其他数据元素” 具体包括哪些内容，但由于该公司提供的服务类型，DISA 通常处理个人身份信息、联系方式、就业和教育历史、犯罪和背景审查、药物和酒精检测数据、医疗和健康相关数据等。 尽管 DISA 没有透露他们遭受了何种类型的网络攻击，但一份已被删除的通知表明，他们支付了赎金以防止被盗数据被公开发布。 “DISA 的数据未在暗网上被发现。DISA 表示已 ‘采取措施阻止威胁行为者公开发布任何获取的数据，并确认数据已被删除’，”这份已被删除的通知副本中写道。 为了保护受影响的人免受数据泄露带来的风险，DISA 通过 Experian 提供 12 个月的免费信用监控和身份盗窃保护服务。 还建议可能受影响的个人考虑对他们的账户设置欺诈警报和安全冻结，以防范潜在风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   mozilla 已经重申了其承诺，将继续支持 Manifest V2 扩展程序，同时引入 Manifest V3，让用户能够自由选择他们想要在浏览器中使用的扩展程序。 Manifest V3 是谷歌开发的浏览器扩展程序规范，旨在通过限制过于宽松的网络请求和远程内容加载，使网络浏览器的插件功能更安全。 尽管出发点是好的，但 Manifest V3 对某些类型的插件（如广告拦截器）施加了限制，这可能会使它们的效果大打折扣。 随着 Manifest V3 的强制实施，不兼容的扩展程序正从用户的浏览器中被禁用，剥夺了用户在功能和风险之间做出选择的权利。 BleepingComputer 上周晚些时候确认的一个 notable case 是 uBlock Origin 广告拦截器被禁用，该拦截器在 Chrome Web Store 上的下载量已超过 3800 万次。 尽管许多广告拦截器已经迁移到了 Manifest V3 版本，但这些版本通常在检测和拦截定向内容方面能力较弱。 虽然微软 Edge、mozilla firefox 和苹果 Safari 都已经采用了 Manifest V3，但他们各自进行了修改，使用户在享受安全增强的同时拥有更大的自由度。 对于旧的插件来说，支持 Manifest V2 是唯一的选择，而 firefox 今天通过公告重申了其将继续在可预见的未来支持 Manifest V2。 mozilla 表示：“虽然一些浏览器正在逐步淘汰 Manifest V2，但 firefox 将继续同时支持 Manifest V2 和 Manifest V3。” 具体来说，这家互联网公司表示，将继续支持 ‘blockingWebRequest’ 和 ‘declarativeNetRequest’ 这两个 API，分别对应 Manifest V3 和 Manifest V2，使像 uBlock Origin 这样的扩展程序能够继续正常工作。 mozilla 尚未说明这种支持将持续多久，但只要还有强大的插件能够增强用户的隐私和安全，mozilla 就有充分的理由继续支持 Manifest V2。 最终，mozilla 表示，这是对其自身宣言中 “原则 5” 的坚持，该原则指出：“个人必须有能力塑造互联网以及他们在互联网上的体验。” 当 Manifest V3 于 2022 年 11 月引入 firefox 时，mozilla 表示将在 2023 年底评估 Manifest V2 的弃用问题。 后来，在 2024 年 3 月，鉴于出现的所有技术和实际复杂性，mozilla 宣布在可预见的未来没有计划弃用 Manifest V2。 最新的公告重申了这一承诺，使 firefox 成为少数几个允许用户继续使用 Manifest V2 插件的网络浏览器之一。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，亚洲太平洋地区（APAC）的多个工业组织成为了针对性的网络钓鱼攻击的目标，攻击者试图通过这些攻击传播已知的恶意软件FatalRAT。 根据卡巴斯基ICS CERT的报告，攻击者利用了合法的中国云内容分发网络（CDN）myqcloud和有道云笔记服务作为攻击基础设施的一部分。 这些攻击主要针对马来西亚、中国、日本、泰国、韩国、新加坡、菲律宾、越南的政府机构和工业组织，特别是制造业、建筑业、信息技术、电信、医疗保健、电力和能源以及大规模物流和运输行业。 值得注意的是，FatalRAT的攻击活动之前曾利用虚假的Google广告作为传播媒介。 在2023年9月，Proofpoint记录了另一种电子邮件钓鱼活动，传播了包括FatalRAT、Gh0st RAT、Purple Fox和ValleyRAT在内的多种恶意软件家族。 这次攻击链的起点是一封包含中文文件名的ZIP压缩包的钓鱼邮件，解压后启动了第一阶段的加载程序，该加载程序请求有道云笔记以获取DLL文件和FatalRAT配置器。 配置器模块从note.youdao[.]com下载另一个笔记的内容，以访问配置信息。它还被设计为打开一个诱饵文件，以避免引起怀疑。 DLL是第二阶段的加载程序，负责从配置中指定的服务器（”myqcloud[.]com”）下载并安装FatalRAT有效载荷，同时显示关于应用程序运行问题的假错误消息。 该活动的一个重要特征是使用DLL侧加载技术来推进多阶段感染序列并加载FatalRAT恶意软件。 卡巴斯基表示，”攻击者使用黑白手法，利用合法二进制文件的功能，使事件链看起来像正常活动。” “攻击者还使用了DLL侧加载技术，以隐藏恶意软件在合法进程内存中的持久性。” FatalRAT是一种功能丰富的木马，能够记录键盘输入、破坏主引导记录（MBR）、开关屏幕、搜索和删除浏览器（如Google Chrome和Internet Explorer）中的用户数据、下载其他软件（如AnyDesk和UltraViewer）、执行文件操作、启动/停止代理，并终止任意进程。 目前尚不清楚使用FatalRAT进行攻击的幕后黑手是谁，尽管战术和工具的重叠表明”它们都反映了不同系列的攻击，某种程度上是相关的。”   消息来源：https://thehackernews.com/2025/02/fatalrat-phishing-attacks-target-apac.html； 卡巴斯基报告原文：https://ics-cert.kaspersky.com/publications/reports/2025/02/24/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets/； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一场正在进行的活动，该活动以 GitHub 上托管的开源项目为幌子，针对游戏玩家和加密货币投资者。 这场活动涉及数百个代码仓库，已被卡巴斯基命名为 GitVenom。 “这些受感染的项目包括用于管理 Instagram 账户的自动化工具、可远程管理比特币钱包的 Telegram 机器人以及用于玩Valorant 游戏的破解工具，”这家俄罗斯网络安全供应商表示。 “所有这些所谓项目功能都是虚假的，活动背后的网络犯罪分子窃取了个人和银行数据，并从剪贴板中劫持了加密钱包地址。” 此次恶意活动已促成 5 个比特币的盗窃，截至发稿时价值约 456,600 美元。据信，这场活动已持续至少两年，当时一些虚假项目被发布。大多数感染尝试记录在俄罗斯、巴西和土耳其。 这些项目使用多种编程语言编写，包括 Python、JavaScript、C、C++ 和 C#。但无论使用何种语言，最终目标都是一样的：启动嵌入的恶意负载，该负载负责从攻击者控制的 GitHub 代码仓库中检索额外组件并执行它们。 其中最突出的是一个 Node.js 信息窃取程序，它收集密码、银行账户信息、保存的凭据、加密货币钱包数据和网络浏览历史；将这些信息压缩成 .7z 压缩包，并通过 Telegram 泄露给威胁行为者。 通过这些虚假的 GitHub 项目下载的还有远程管理工具，如 AsyncRAT 和 Quasar RAT，可用于控制受感染的主机，以及剪贴板劫持恶意软件，可将复制到剪贴板的钱包地址替换为攻击者控制的钱包地址，从而将数字资产重定向到威胁行为者。 “由于像 GitHub 这样的代码共享平台被全球数百万开发人员使用，威胁行为者将来肯定会继续使用虚假软件作为感染诱饵，”卡巴斯基研究员 Georgy Kucherin 表示。 “因此，在处理第三方代码时必须非常小心。在尝试运行此类代码或将其集成到现有项目之前，彻底检查其执行的操作至关重要。” 这一事件发生之际，Bitdefender 揭露了诈骗者正在利用 IEM Katowice 2025 和 PGL Cluj-Napoca 2025 等重大电子竞技赛事，针对《反恐精英 2》（CS2）玩家进行欺诈。（详见：https://hackernews.cc/archives/57534） “通过劫持 YouTube 账户来冒充 s1mple、NiKo 和 donk 等职业玩家，网络犯罪分子诱骗粉丝参与欺诈性的 CS2 皮肤赠送活动，导致 Steam 账户被盗、加密货币失窃以及 valuable in-game items（有价值的游戏内物品）丢失，”这家罗马尼亚网络安全公司表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Check Point 周一发布的一份新报告显示，一种大规模恶意软件活动被发现利用与 Adlice 产品套件相关的易受攻击的 Windows 驱动程序，以规避检测并传递 Gh0st RAT 恶意软件。 “为了进一步规避检测，攻击者故意通过修改特定的 PE 部分生成了 2.0.2 驱动程序的多个变体（具有不同的哈希值），同时保持签名有效，” Check Point 表示。 这家网络安全公司称，此次恶意活动涉及数千个第一阶段恶意样本，这些样本被用来部署一个程序，该程序能够通过所谓的自带易受攻击驱动程序（BYOVD）攻击来终止终端检测与响应（EDR）软件。 在 VirusTotal 平台上，已识别出多达 2500 种不同的旧版 2.0.2 版本的易受攻击的 RogueKiller 反rootkit 驱动程序 truesight.sys 变体，尽管实际数量可能更高。EDR 杀手模块于 2024 年 6 月首次被检测和记录。 Truesight 驱动程序存在的问题是，影响 3.4.0 以下所有版本的任意进程终止漏洞，此前已被利用来设计概念验证（PoC）漏洞利用程序，如 Darkside 和 TrueSightKiller，这些程序自 2023 年 11 月以来就已公开。 2024 年 3 月，SonicWall 公布了一种名为 DBatLoader 的加载器的详细信息，该加载器被发现利用 truesight.sys 驱动程序来终止安全解决方案，然后再传递 Remcos RAT 恶意软件。 有证据表明，此次攻击活动可能是由一个名为 Silver Fox APT 的威胁行为者所为，因为在执行链和使用的技术上存在一定程度的重叠，包括“感染向量、执行链、初始阶段样本的相似性以及历史目标模式”。 此外，约 75% 的受害者位于中国，其余受害者主要集中在亚洲其他地区，包括新加坡和台湾。 攻击序列涉及分发通常伪装成合法应用程序的第一阶段工具，这些工具通过提供奢侈品交易的欺骗性网站和流行消息应用程序（如 Telegram）中的欺诈渠道进行传播。 这些样本充当下载程序，释放旧版 Truesight 驱动程序以及模仿常见文件类型（如 PNG、JPG 和 GIF）的下一阶段有效载荷。第二阶段恶意软件随后检索另一个恶意软件，该恶意软件反过来加载 EDR 杀手模块和 Gh0st RAT 恶意软件。 “虽然旧版 Truesight 驱动程序（2.0.2 版本）的变体通常由初始阶段样本下载和安装，但如果系统上尚未安装该驱动程序，它们也可以直接由 EDR/AV 杀手模块部署，” Check Point 解释道。 “这表明，尽管 EDR/AV 杀手模块已完全集成到此次活动中，但它能够独立于早期阶段运行。” 该模块采用 BYOVD 技术，利用易受攻击的驱动程序来终止与某些安全软件相关的进程。通过这种方式，攻击能够绕过微软易受攻击驱动程序阻止列表，这是一种基于哈希值的 Windows 机制，旨在保护系统免受已知易受攻击驱动程序的威胁。 攻击最终部署了一种名为 HiddenGh0st 的 Gh0st RAT 变体，该变体旨在远程控制被攻陷的系统，为攻击者提供进行数据盗窃、监视和系统操纵的途径。 截至 2024 年 12 月 17 日，微软已更新驱动程序阻止列表，将相关驱动程序纳入其中，有效阻止了利用该驱动程序的攻击向量。 “通过修改驱动程序的特定部分，同时保留其数字签名，攻击者绕过了常见的检测方法，包括最新的微软易受攻击驱动程序阻止列表和 LOLDrivers 检测机制，使他们能够长时间躲避检测，” Check Point 表示。 “利用任意进程终止漏洞，使 EDR/AV 杀手模块能够针对和禁用与安全解决方案相关联的进程，进一步增强了此次攻击活动的隐蔽性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白俄罗斯黑客组织利用带有恶意软件的 Microsoft Excel 文档作为诱饵，以传递 PicassoLoader 的新变种。据评估，这一威胁集群是自 2016 年以来由与白俄罗斯对齐的黑客组织（称为 Ghostwriter，又名 Moonscape、TA445、UAC-0057 和 UNC1151）发起的长期活动的延伸。 “该活动自 2024 年 7 月至 8 月开始筹备，并于 11 月至 12 月进入活跃阶段，” SentinelOne 研究员 Tom Hegel 在一份与《黑客新闻》共享的技术报告中表示。“最近的恶意软件样本和命令与控制（C2）基础设施活动表明，该行动在最近几天仍然活跃。” 这家网络安全公司分析的攻击链的起点是一个来自名为 Vladimir Nikiforech 的账户的 Google Drive 共享文档，该文档托管了一个 RAR 压缩包。 远程访问木马（RAT）文件包含一个恶意 Excel 工作簿，当打开时，如果潜在受害者启用宏运行，将触发执行一个混淆的宏。该宏随后写入一个 DLL 文件，最终为 PicassoLoader 的简化版本铺平了道路。 在下一阶段，会向受害者显示一个诱饵 Excel 文件，而在后台，系统上会下载额外的有效载荷。早在 2024 年 6 月，这种方法就被用于传递 Cobalt Strike 后利用框架。 SentinelOne 表示，还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档，这些文档从远程 URL（“sciencealert[.]shop”）检索一个未知的第二阶段恶意软件，形式为看似无害的 JPG 图像，这种技术被称为隐写术。这些 URL 已不再可用。 在另一个实例中，被动手动的 Excel 文档被用来传递一个名为 LibCMD 的 DLL，该 DLL 旨在运行 cmd.exe 并连接到 stdin/stdout。它直接作为 .NET 程序集加载到内存中并执行。 “在整个 2024 年，Ghostwriter 反复使用包含 Macropack 混淆的 VBA 宏的 Excel 工作簿，并投放用 ConfuserEx 混淆的嵌入式 .NET 下载程序，” Hegel 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员穆罕默德·沙哈特披露了影响GatesAir Maxiva UAXT和VAXT发射机的三项关键漏洞。这些广泛部署的发射机被用于广播、交通和公共安全等多个行业。如果被利用，这些漏洞可能导致严重后果，包括会话劫持、数据泄露和系统全面沦陷。 漏洞详情如下： CVE-2025-22960（会话劫持）：此漏洞允许未经身份验证的攻击者访问暴露的日志文件，可能会泄露敏感的会话相关信息，如会话ID和身份验证令牌。攻击者可利用此漏洞劫持活跃会话，获得未授权访问权限，并在受影响设备上提升权限。 CVE-2025-22961（数据泄露）：攻击者可通过公开暴露的URL直接访问敏感数据库备份文件（snapshot_users.db）。此漏洞可能导致敏感用户数据泄露，包括登录凭证，进而可能导致系统全面沦陷。 CVE-2025-22962（远程代码执行）：当调试模式启用时，拥有有效会话ID的攻击者可发送精心构造的POST请求，在底层系统上执行任意命令。这一关键漏洞可导致系统全面沦陷，包括未授权访问、权限提升以及可能的设备完全接管。 沙哈特还公布了这些漏洞的概念验证利用代码，这加剧了这些漏洞的严重性，使得恶意行为者更容易利用这些漏洞。这凸显了立即采取行动以缓解风险的紧迫性。 GatesAir尚未为这些漏洞发布补丁。在此期间，建议使用受影响发射机的组织采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件实施严格的文件权限。 避免记录敏感的会话相关数据。 在存储前对敏感数据进行加密。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用GatesAir Maxiva UAXT和VAXT发射机的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： eSentire 威胁响应单元（TRU）披露了一项针对 Mac 用户的新活动，该活动利用 Poseidon Stealer 恶意软件。此活动通过假冒合法的 DeepSeek 平台网站，诱骗用户下载并执行恶意负载。 感染始于用户被重定向到假冒的 DeepSeek 网站 deepseek.exploreio[.]net，通常通过恶意广告。该假冒网站与真实的 DeepSeek 网站非常相似，欺骗用户点击 “立即开始” 按钮，这将引导用户进入下载页面。点击 “下载 Mac OS” 后，会下载一个恶意的 DMG 文件。 下载的 DMG 文件包含一个伪装成 DeepSeek 应用程序的 shell 脚本。当用户将此 “应用程序” 拖放到终端时，脚本会执行，绕过 macOS GateKeeper 安全措施。脚本随后下载并执行 Poseidon Stealer 负载。 Poseidon Stealer 是一种恶意软件即服务（MaaS），针对基于 Chromium/Firefox 的浏览器中的敏感数据，包括信用卡、密码、书签和加密货币钱包数据。它还收集系统信息，窃取密钥链数据库，并从桌面、下载和文档目录中窃取文件。 该攻击通过利用终端执行方法绕过了 Gatekeeper 保护。Poseidon Stealer 负载采用反调试和字符串加密技术来阻碍分析。恶意软件还包含检查是否在沙盒或研究环境中运行，如果检测到则会终止自身。 用户应保持警惕，防范假冒软件下载网站，并实施主动安全措施以降低风险。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Bitdefender 的研究人员日前发现，网络犯罪分子正在针对《反恐精英 2》（CS2）社区实施“直播劫持”诈骗。据 Bitdefender 实验室研究员 Ionuț Băltăriu 介绍，这些攻击利用被劫持和伪造的电竞主播账号作为信任载体，导致大量玩家的 Steam 账号被盗、加密货币失窃以及珍贵游戏道具损失。 这种通过直播劫持诈骗加密货币的行为听起来颇具未来感，但其背后的诈骗手法却相当古老 —— 通过伪装成可信主体，诱使受害者交出自己的财物。Bitdefender 详细拆解了这一诈骗过程： 首先，诈骗者会寻找拥有现成订阅用户的正规 YouTube 账号，并设法将其劫持并接管。在控制账号后，他们会重新包装频道，伪装成知名电竞主播，如“Oleksandr’s1mple’ Kostyljev”、“Nikola ‘NiKo’ Kovač”或“donk”等。伪装手段包括上传大量旧的、循环播放的直播内容。 随后，诈骗者开始进行恶意直播，循环播放被冒充主播的旧游戏画面。在此过程中，他们会邀请观众参与直播活动，声称免费赠送 CS2 皮肤和加密货币。此时，诈骗者会分享特制的二维码或欺诈性链接。 最后，当受害者被诱导登录 Steam 账号以获取所谓的“免费奖励”，或被要求发送加密货币以实现“翻倍”时，诈骗行为便完成了。一旦受害者上钩，他们的 Steam 账号将被洗劫一空，珍贵的游戏皮肤和道具不翼而飞，而他们的加密货币也将一去不返。 Bitdefender 指出，CS2 社区是这些诈骗者的主要目标。作为一款拥有 2600 万注册玩家（截至 2025 年 1 月）的热门竞技游戏，CS2 的高人气使其成为诈骗者的理想目标。此外，近期备受瞩目的电子竞技赛事，如 2025 年 IEM 卡托维兹和 PGL 克卢日-纳波卡，也成为了诈骗者利用的对象。他们通过制作与赛事主题相关或时间同步的虚假直播，并配合虚假社区帖子和受控评论，进一步诱导玩家上当。 IT之家注意到，为了帮助玩家防范此类诈骗，Bitdefender 在其博客中分享了一些实用建议。玩家应保持高度警惕，对“好得令人难以置信”的福利、可疑的链接和二维码，以及不熟悉的直播频道保持怀疑。此外，Bitdefender 还建议玩家启用 Steam Guard 和多因素认证（MFA）。 转自IT之家，原文链接：https://www.ithome.com/0/833/073.htm 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一个由超过 130,000 台被攻陷设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 账户进行密码喷雾攻击，目标是基本身份验证，以绕过多因素身份验证。 根据 SecurityScorecard 的一份报告，攻击者利用信息窃取恶意软件窃取的凭据，大规模针对这些账户。 这些攻击依赖于使用基本身份验证（Basic Auth）的非交互式登录，以绕过多因素身份验证（MFA）保护，在未经授权的情况下访问账户，而不会触发安全警报。 “仅依赖交互式登录监控的组织对这些攻击视而不见。非交互式登录，通常用于服务到服务的身份验证、遗留协议（例如 POP、IMAP、SMTP）和自动化流程，在许多配置中不会触发 MFA，”SecurityScorecard 警告道。 “基本身份验证在某些环境中仍然启用，允许以明文形式传输凭据，使其成为攻击者的首要目标。” 基本身份验证是一种过时的身份验证方法，用户的凭据以明文或 base64 编码形式随每个请求发送到服务器。它缺乏现代安全功能，如 MFA 和基于令牌的身份验证，微软计划在 2025 年 9 月弃用它，转而支持 OAuth 2.0，已经为大多数 Microsoft 365 服务禁用了基本身份验证。 这个新发现的僵尸网络使用基本身份验证尝试，针对大量账户使用常见或泄露的密码。由于基本身份验证是非交互式的，当尝试的凭据匹配时，攻击者不会被提示进行 MFA，并且通常不会受到条件访问策略（CAP）的限制，这使得攻击者可以悄无声息地验证账户凭据。 一旦凭据得到验证，它们可以用于访问不需要 MFA 的遗留服务，或在更复杂的网络钓鱼攻击中绕过安全功能，获得对账户的完全访问权限。 SecurityScorecard 还指出，您可能可以在 Entra ID 日志中看到密码喷雾攻击的迹象，这将显示非交互式登录的登录尝试增加，不同 IP 地址的多次失败登录尝试，以及身份验证日志中存在 “fasthttp” 用户代理。 今年 1 月，SpearTip 警告称，有威胁行为者以类似方式使用 FastHTTP Go 库进行 Microsoft 365 密码攻击，但未提及非交互式登录。目前尚不清楚这是否是僵尸网络的新发展，以规避检测。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文