HackerNews

HackerNews 编译，转载请注明出处： 美国多个城市正在警告一场正在进行的移动网络钓鱼活动，该活动通过伪装成城市停车违规部门的短信，通知用户未付停车发票，并声称如果未支付，将每天收取35美元的额外罚款。 尽管停车诈骗已经存在多年，但最近一波大规模的网络钓鱼短信已导致美国多个城市发布警告，包括安纳波利斯、波士顿、格林尼治、丹佛、底特律、休斯顿、密尔沃基、盐湖城、夏洛特、圣地亚哥、旧金山等。 此次短信浪潮始于去年12月，并一直持续至今。BleepingComputer 本周早些时候也收到了针对纽约居民的钓鱼短信。 这些短信声称来自城市停车违规部门，通知用户有未付的停车发票，如果未支付，将每天收取35美元的逾期费用。短信随后提示用户点击链接以支付罚款。 “这是纽约市关于未付停车发票的最后提醒。如果今天不付款，将每天收取35美元的逾期费用，”钓鱼短信写道。 同样的钓鱼模板也被用于其他城市的未付停车发票短信中。 为了规避检测，诈骗者利用Google.com的开放重定向，将用户引导至伪装成目标城市的钓鱼网站。例如，纽约市的钓鱼网站是nycparkclient[.]com。 过去一年中，苹果引入了一项安全功能，禁用了来自未知发件人或可疑域名的短信中的链接。由于Google.com是一个受信任的域名，苹果iMessage不会禁用该链接，因此使用公司开放重定向更容易诱使用户不慎点击链接。 在纽约市的钓鱼活动中，点击链接会进入一个伪装成“纽约市财政局：停车和摄像头违规”的网站，提示用户输入姓名和邮政编码。 此时，用户可以输入任意姓名和邮政编码，随后将被引导至一个页面，声称“您的车辆在纽约市有未付的停车发票。为了避免每天35美元的滞纳金，请立即结算您的余额。” 所欠金额因活动而异，BleepingComputer收到的短信显示我们欠4.60美元。 从下面的图片可以看出，这是一个骗局的明显迹象，因为美元符号显示在金额之后，而不是之前，这在美国是不寻常的。这进一步表明钓鱼诈骗是由美国以外的人创建的。 点击“现在处理”按钮会将用户引导至一个屏幕，诈骗者在此试图窃取用户的数据，包括姓名、地址、电话号码、电子邮件地址，最终还有信用卡信息。 这些信息随后可能被用于各种恶意活动，包括进一步的网络钓鱼攻击、身份盗窃、金融诈骗以及将数据出售给其他威胁行为者。 一般来说，如果您收到未知电话号码或电子邮件地址发来的短信，要求您点击链接、付款或以某种方式回应，您应该报告并封锁该号码，而不是轻信。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “雷根”加载器是一种“复杂且不断演变的恶意软件工具包”，被包括“雷根”锁屏软件（又名“怪兽螳螂”）、芬7、芬8以及“无情螳螂”（前身为REvil）在内的多个网络犯罪和勒索软件团伙所使用。 瑞士网络安全公司PRODAFT在一份声明中表示：“雷根”加载器在维持对受感染系统的访问中发挥着关键作用，帮助攻击者长期潜伏在网络中进行攻击活动。 尽管它与“雷根”锁屏软件团伙有关联，但尚不清楚该团伙是拥有该工具还是将其出租给他人。不过可以肯定的是，其开发者不断添加新功能，使其更具模块化，更难被检测。 “雷根”加载器也被称为“萨多尼克”，最早于2021年8月由Bitdefender记录，当时芬8针对美国一家未具名金融机构的攻击未能成功。该恶意软件自2020年起就被投入使用。 2023年7月，博通旗下的赛门铁克披露芬8使用该后门的更新版本来投放现已失效的“黑猫”勒索软件。 “雷根”加载器的核心功能是能够在目标环境中建立长期立足点，同时运用一系列技术规避检测，确保攻击活动的持续性。 PRODAFT指出：“该恶意软件利用基于PowerShell的有效载荷执行操作，采用强大的加密和编码方法（包括RC4和Base64）来隐藏其活动，并运用复杂的进程注入策略来建立和维持对受感染系统的隐秘控制。” “这些功能共同增强了其规避检测和在目标环境中持续存在的能力。” 该恶意软件以包含多个组件的档案文件包的形式提供给合作伙伴，以便实现反向Shell、本地权限提升和远程桌面访问等功能。它还被设计为与攻击者建立通信，使攻击者能够通过命令与控制（C2）面板远程控制受感染的系统。 “雷根”加载器通常利用PowerShell在受害者系统上执行，并整合了大量反分析技术，以抵抗检测并模糊控制流逻辑。 此外，它还能够通过运行DLL插件和Shellcode以及读取和窃取任意文件内容来开展各种后门操作。为了在网络中横向移动，“雷根”加载器还使用了另一个基于PowerShell的跳板文件。 另一个关键组件是一个名为“bc”的Linux可执行ELF文件，它被设计用于协助远程连接，使攻击者能够在受感染的系统上直接启动和执行命令行指令。 PRODAFT表示，“bc”与QakBot和IcedID等其他已知恶意软件家族中的BackConnect模块类似，它们都允许攻击者与受害者的设备进行远程交互。“这是网络犯罪分子的常见手段，尤其是针对企业受害者，因为他们的设备通常处于网络隔离状态。”该公司补充道，“它采用了高级的混淆、加密和反分析技术，包括基于PowerShell的有效载荷、RC4和Base64解密程序、动态进程注入、令牌操作以及横向移动能力。这些功能体现了现代勒索软件生态系统的复杂性和适应性不断增强。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “set-utils” 的恶意 Python Package Index (PyPI) 软件包，通过拦截钱包创建功能窃取以太坊私钥，并通过 Polygon 区块链发送出去。 该软件包伪装成一个 Python 工具，模仿了拥有超过 7.12 亿次下载的热门 “python-utils” 以及拥有超过 2350 万次安装的 “utils”。 开发人员网络安全平台 Socket 的研究人员发现了这个恶意软件包，并报告说自 2025 年 1 月 29 日在 PyPI 上提交以来，“set-utils” 已经被下载了上千次。 该开源供应链安全公司表示，攻击主要针对使用 “eth-account” 进行钱包创建和管理的区块链开发人员、基于 Python 的 DeFi 项目、支持以太坊的 Web3 应用以及使用 Python 自动化的个人钱包。 以太坊私钥的隐秘盗窃 该恶意软件包嵌入了攻击者的 RSA 公钥，用于加密被盗数据，以及一个由攻击者控制的以太坊发送账户。 该软件包会钩入标准的以太坊钱包创建函数，如 “from_key()” 和 “from_mnemonic()”，在受感染的机器上生成私钥时拦截这些私钥。 然后它会加密被盗的私钥，并将其嵌入到以太坊交易的数据字段中，再通过 Polygon RPC 端点 “rpc-amoy.polygon.technology/” 发送给攻击者的账户。 窃取的私钥外泄 与其他传统的网络数据窃取方法相比，将窃取的数据嵌入以太坊交易中更为隐蔽，也更难与合法活动区分开来。 防火墙和杀毒软件通常会监控 HTTP 请求，但不会监控区块链交易，因此这种做法不太可能引起警报或被阻止。 此外，Polygon 交易的处理费用很低，小额交易没有速率限制，还提供免费的公共 RPC 端点，因此威胁行为者不需要建立自己的基础设施。 一旦外泄过程完成，攻击者可以随时检索被盗数据，因为这些信息被永久地存储在区块链上。 “set-utils” 软件包在被发现后已从 PyPI 上移除。然而，已经将其纳入项目的用户和软件开发人员应立即卸载它，并假设创建的任何以太坊钱包都已被危及。 如果这些钱包中包含资金，建议尽快将它们转移到另一个钱包，因为这些钱包中的资金随时都可能被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局与司法部刑事司、联邦调查局、欧洲刑警组织以及荷兰国家警察、德国联邦刑事警察局、法兰克福总检察院、爱沙尼亚国家刑事警察和芬兰国家调查局等其他执法部门合作，查封了俄罗斯加密货币交易所 Garantex 的网站域名 。 据两位知情人士透露，Garantex 涉嫌协助勒索软件团伙和暗网市场转移资金，其域名已被美国特勤局根据弗吉尼亚州东区美国检察官办公室的搜查令查封并控制。Garantex 的官方网站已被替换为一个通知，上面写着：“根据搜查令，Garantex 的域名已被美国特勤局查封。” 此外，据知情人士表示，Garantex 的主要运营地点包括莫斯科的联邦大厦和圣彼得堡，其他被制裁的虚拟货币交易所也在这些地方运营。此外，Garantex 在 2022 年 2 月失去了在爱沙尼亚提供虚拟货币服务的执照，因为爱沙尼亚金融情报局发现了其与犯罪活动钱包的关联，以及反洗钱和反恐融资政策的严重合规问题。 美国财政部外国资产控制办公室（OFAC）于 2022 年 4 月对 Garantex 实施了制裁，原因是其与俄罗斯勒索软件团伙和暗网市场 Hydra 有关联，这两者也都遭到制裁。此后，OFAC 又对 Cryptex 和 PM2BTC 等加密货币交易所实施了制裁，原因是它们为俄罗斯勒索软件团伙和其他网络犯罪组织洗钱。 然而，尽管面临多方制裁，Garantex 仍在寻找机会继续运营。该交易所周四在其电报频道表示：“尽管困难重重，我们仍在坚持，并努力解决这些问题。我们不会放弃，所有在俄罗斯钱包中的 Tether（USDT）目前都面临风险。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已经关闭了未公开数量的 GitHub 存储库，这些存储库被用于大规模的恶意广告活动中，影响了全世界近一百万台设备。 微软的威胁分析师在 2024 年 12 月初发现了这些攻击活动，当时他们观察到多个设备从 GitHub 存储库下载了恶意软件，这些恶意软件随后被用来在受损系统上部署各种其他有效载荷。 分析活动后，他们发现攻击者为了获取经济利益在非法的盗版流媒体网站的视频中注入了广告，这些广告会将潜在受害者重定向到攻击者控制的恶意的 GitHub 存储库 。 微软今天解释说：“流媒体网站在电影框架中嵌入了恶意广告重定向器，以从恶意广告平台生成按次观看或按点击付费的收入。这些重定向器随后通过一两个额外的恶意重定向器路由流量，最终到达另一个网站，例如恶意软件或技术支持诈骗网站，然后再重定向到 GitHub。” 恶意广告视频将用户重定向到 GitHub 存储库，这些存储库会感染恶意软件，这些恶意软件旨在进行系统发现、收集详细的系统信息（例如内存大小、图形细节、屏幕分辨率、操作系统和用户路径），并在收集数据的同时部署额外的有效载荷。 第三阶段的有效载荷是一个 PowerShell 脚本，它会从命令和控制服务器下载 NetSupport 远程访问木马病毒，并在注册表中为其建立持久性机制。一旦执行，该恶意软件还可以部署 Lumma 信息窃取器和开源的 Doenerium 信息窃取器，以窃取用户数据和浏览器凭证。 另一方面，如果第三阶段的有效载荷是一个可执行文件，它会创建并运行一个 CMD 文件，同时丢弃一个带有 .com 扩展名的重命名的 AutoIt 解释器。这个 AutoIt 组件随后会启动二进制文件，并可能丢弃另一个带有 .scr 扩展名的 AutoIt 解释器。同时，还会部署一个 JavaScript 文件，以帮助执行 .scr 文件并为其建立持久性机制。 在攻击的最后阶段，AutoIt 有效载荷使用 RegAsm 或 PowerShell 打开文件、启用远程浏览器调试，并窃取额外的信息。在某些情况下，PowerShell 还被用来配置 Windows Defender 的排除路径，或者丢弃更多 NetSupport 有效载荷。 虽然 GitHub 是第一阶段有效载荷的主要托管平台，但微软威胁情报中心还观察到 Dropbox 和 Discord 上托管的有效载荷。 微软表示：“此活动被跟踪在名为 Storm – 0408 的行动之下，我们用它来跟踪众多与远程访问或信息窃取恶意软件相关的威胁行为者，这些行为者还使用网络钓鱼、搜索引擎优化（SEO）或恶意广告活动来分发恶意有效载荷。” “这次活动影响了各种组织和行业，包括消费者和企业设备，突显了攻击的无差别性质。” 微软的报告提供了有关此次复杂的恶意广告活动中各个攻击阶段以及使用的有效载荷的更多详细信息。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 researchers 发现，超过1000个WordPress网站被感染，这些网站中被注入了第三方 JavaScript 代码，从而产生了四个独立的后门，使攻击者能够持续访问受害网站。 “创建四个后门使攻击者在其中一个被发现并移除时，仍然可以通过其他入口重新进入目标系统。”c/side的研究员Himanshu Anand在周三的分析中表示。 这些恶意的 JavaScript 代码通过 cdn.csyndication[.]com 提供。截至撰写本文时，有多达908个网站包含对这个域名的引用。 这四个后门是这样工作的： 1.第1个后门，上传并安装一个名为“Ultra SEO Processor”的假插件，然后用于执行攻击者发布的命令 2.第2个后门，将恶意 JavaScript 注入 wp-config.php 3.第4个后门，旨在执行远程命令并从 gsocket[.]io 获取另一个有效载荷，可能会打开一个反向 shell 为了降低这些攻击带来的风险，建议用户删除未经授权的 SSH 密钥、轮换 WordPress 管理员凭据，并监控系统日志中的可疑活动。 这一事件的披露正值网络安全公司详细描述了另一场恶意软件活动，该活动已通过恶意 JavaScript 共谋了35000多个网站，这些 JavaScript “完全劫持了用户的浏览器窗口”，将网站访客重定向到中文赌博平台。 “此次攻击似乎针对或起源于说普通话的地区，最终的登陆页面在‘Kaiyun’品牌下提供赌博内容。” 这些重定向是通过托管在五个不同域名上的 JavaScript 实现的，这些 JavaScript 作为执行重定向的主要有效载荷的加载器： – mlbetjs[.]com – ptfafajs[.]com – zuizhongjs[.]com – jbwzzzjs[.]com – jpbkte[.]com 这些研究结果还揭示了 Group-IB 关于一个名为 ScreamedJungle 的威胁行为者的最新报告，该行为者将名为 Bablosoft JS 的 JavaScript 注入受损的 Magento 网站，收集访问用户的指纹信息。据信，到目前为止，已有超过115个电子商务网站受到影响。 “注入的脚本是‘Bablosoft BrowserAutomationStudio（BAS）套件’的一部分。”这家新加坡公司表示，并补充道，“它还包含其他几个函数，用于收集有关访问受损网站的用户的系统和浏览器的信息。” 据说，攻击者利用已知的漏洞（例如影响易受攻击的 Magento 版本的 CVE-2024-34102（又名 CosmicSting）和 CVE-2024-20720）入侵这些网站。这个以经济利益为动机的威胁行为者于2024年5月底首次被发现。 “浏览器指纹识别是一种强大的技术，通常被网站用于跟踪用户活动并调整营销策略。”Group-IB表示，“然而，这些信息也被网络犯罪分子利用，以模仿合法用户行为，规避安全措施，并进行欺诈活动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2023 年 1 月首次出现以来，Medusa 勒索软件背后的威胁行为者已经声称近 400 个受害者，2023 年至 2024 年间，这类以经济利益为动机的攻击事件增加了 42%。 据 Symantec 威胁猎手团队在一份报告中表示，仅在 2025 年的前两个月，该组织就声称发起了 40 多起攻击。网络安全公司正跟踪这个集群，将其命名为 Spearwing。 “与其他多数勒索软件操作者一样，Spearwing 及其分支机构会实施双倍勒索攻击，在加密网络之前先窃取受害者的数据，以免受害者不支付赎金，从而增加对受害者的压力。” Symantec 表示。 “如果受害者拒绝支付，该组织则威胁在他们的数据泄露网站上发布被盗数据。” 尽管像 RansomHub（又名 Greenbottle 和 Cyclops）、Play（又名 Balloonfly）以及 Qilin（又名 Agenda、Stinkbug 和 Water Galura）这样的勒索软件即服务（RaaS）玩家已经从 LockBit 和 BlackCat 的破坏中受益，但 Medusa 感染事件的激增表明，该威胁行为者也有可能急于填补这两个多产的勒索软件留下的空白。 随着勒索软件的构成继续处于不稳定状态，最近几个月，像 Anubis、CipherLocker、Core、Dange、LCRYX、Loches、Vgod 和 Xelera 这样的新 RaaS 操作不断地出现在网络空间中。 Medusa 有向医疗机构和非营利组织索要 10 万至 1500 万美元赎金的记录，同时还把金融和政府机构作为攻击目标。 该勒索软件的攻击链涉及利用面向公众的应用程序中的已知安全漏洞来获取初始访问权限，主要是 Microsoft Exchange Server。还怀疑该威胁行为者很可能正在利用初始访问代理来突破感兴趣的网络。 一旦成功进入，黑客就会使用 SimpleHelp、AnyDesk 或 MeshAgent 等远程管理和监控（RMM）软件来保持持续访问，并使用经过验证的自带易受攻击驱动程序（BYOVD）技术来终止使用 KillAV 的杀毒进程。值得注意的是，KillAV 之前也被用于 BlackCat 勒索软件攻击。 “使用合法的 RMM 软件 PDQ Deploy 是 Medusa 勒索软件攻击的另一大特征。” Symantec 表示，“攻击者通常会利用它来投放其他工具和文件，并在受害者的网络中横向移动。” 在 Medusa 勒索软件攻击过程中部署的其他工具包括用于访问和运行数据库查询的 Navicat、用于数据泄露的 RoboCopy 和 Rclone。 “与其他针对性勒索软件组织一样，Spearwing 往往会攻击各个行业的大型组织。” Symantec 表示，“勒索软件组织通常完全由利润驱动，而不受任何意识形态或道德观念的约束。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic 近日发布了安全更新，以解决影响 Kibana（一款用于 Elasticsearch 的数据可视化仪表板软件）的一个严重安全漏洞，该漏洞可能导致任意代码执行。 该漏洞被追踪为 CVE-2025-25012，其 CVSS 评分为 9.9（满分 10.0），被描述为一种原型污染的情况。 公司周三发布的一份咨询报告中表示：“Kibana 中的原型污染可通过精心制作的文件上传和特定的 HTTP 请求来实现任意代码执行。” 原型污染漏洞是一种安全缺陷，允许攻击者操纵应用程序的 JavaScript 对象和属性，可能导致未经授权的数据访问、特权升级、拒绝服务或远程代码执行。 该漏洞影响 Kibana 8.15.0 到 8.17.3 之间的所有版本，已在 8.17.3 版本中得到解决。 网络安全 具体而言，在 Kibana 8.15.0 及以上版本中，只有具有 Viewer 角色的用户才会受到该漏洞的影响。在 Kibana 8.17.1 和 8.17.2 版本中，只有具有以下所有权限的用户才会受到该漏洞的影响 – – fleet-all – integrations-all – actions:execute-advanced-connectors 建议用户尽快采取措施，应用最新的修复程序，以防止潜在威胁。如果无法立即更新，建议用户在 Kibana 的配置（“kibana.yml”）中将 Integration Assistant 功能标记设置为 false（“xpack.integration_assistant.enabled: false”）。 2024 年 8 月，Elastic 解决了 Kibana 中另一个严重的原型污染漏洞（CVE-2024-37287，CVSS 评分：9.9），该漏洞也可能导致代码执行。一个月后，它又解决了两个严重的反序列化漏洞（CVE-2024-37288，CVSS 评分：9.9 和 CVE-2024-37285，CVSS 评分：9.1），这些漏洞也可能允许任意代码执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以经济利益为驱动的威胁行为者 EncryptHub 被发现正开展复杂的网络钓鱼活动来部署窃密程序和勒索软件，同时还研发了一种名为 EncryptRAT 的新产品。 “有观察发现 EncryptHub 通过分发热门应用的被植入木马的版本来攻击其用户，此外，该威胁行为者还利用了第三方‘按安装量付费’（PPI）分发服务”，Outpost24 KrakenLabs 在一份报告中表示。 该网络犯罪公司称，该威胁行为者是一个会犯下运营安全错误的黑客组织，并且会在其攻击活动中融入针对热门安全漏洞的利用方法。 EncryptHub 还被瑞士网络安全公司 PRODAFT 追踪为 LARVA-208，据评估，它于 2024 年 6 月末开始活跃，采取从短信网络钓鱼（smishing）到语音网络钓鱼（vishing）等多种方式，企图诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司告诉 The Hacker News，这个鱼叉式网络钓鱼组织与 RansomHub 和 Blacksuit 勒索软件组织有关联，且一直在使用高级社会工程学手段攻击多个行业的高价值目标。 “该行为者通常会创建一个针对组织的钓鱼网站来获取受害者的 VPN 凭证，随后会给受害者打电话，以 IT 团队或技术支持的身份要求受害者将详细信息输入钓鱼网站，以解决技术问题。如果针对受害者的攻击不是电话，而是一条直接发送的短信，那么就会使用一个伪造的 Microsoft Teams 链接来说服受害者。” 这些钓鱼网站托管在像 Yalishand 这样的防弹托管服务提供商上。一旦获得访问权限，EncryptHub 就会运行导致部署窃密程序（如 Fickle、StealC 和 Rhadamanthys）的 PowerShell 脚本。大多数情况下，这些攻击的最终目的是投放勒索软件并索要赎金。 威胁行为者采用的另一种常见方法是使用伪装成合法软件的被植入木马的应用程序以获取初始访问权限。这些包括 QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的假冒版本。 一旦这些带有陷阱的应用程序被安装，就会触发一个多阶段进程，充当交付下一阶段有效载荷（如 Kematian 盗窃程序）的载体，以方便窃取 Cookie。 自 2025 年 1 月 2 日起，EncryptHub 分发链的一个关键组成部分是使用第三方 PPI 服务，名为 LabInstalls，该服务为付费客户（起价为 10 美元（100 次安装量）至 450 美元（10,000 次安装量））提供批量恶意软件安装便利。 “EncryptHub 确实通过在顶级俄语地下论坛 XSS 上的 LabInstalls 销售帖子中留下好评反馈来确认自己是他们的客户，甚至还包含了一张证明使用该服务的截图”，Outpost24 表示。 “该威胁行为者很可能是雇佣这项服务来减轻分发负担，并扩大其恶意软件能够触达的目标数量。” 这些变化突显了 EncryptHub 攻击链的积极调整，同时该威胁行为者还在开发像 EncryptRAT 这样的新组件，这是一种用于管理活动感染、发布远程命令和访问被盗数据的命令与控制（C2）面板。有迹象表明，该对手可能正打算将这一工具商业化。 “EncryptHub 继续演变其战术，这强调了持续监控和积极防御措施的必要性”，该公司称，“组织必须保持警惕，并采用多层次安全策略来缓解此类对手带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究揭示，网络攻击者正利用暴露的云凭证，快速劫持企业的人工智能（AI）系统。这种攻击方式被称为 LLMjacking，主要针对非人类身份（NHIs），如 API 密钥、服务账户和机器凭证，以绕过传统安全控制并利用被盗的生成式 AI 访问权限进行非法牟利。 安全公司 Entro Labs 的研究发现，攻击者利用自动化的机器人扫描公共代码库和论坛，使用 Python 脚本检测有效凭证。一旦凭证被暴露，攻击者在 9 至 17 分钟内进行初步的 API 调用，如 GetCostAndUsage，以评估账户价值，同时避免使用可预测的调用如 GetCallerIdentity 来逃避检测。 凭证收集：自动化的机器人使用 Python 脚本扫描公共代码库和论坛，以检测有效凭证，其中 44% 的非人类身份是通过代码库和协作平台泄露的。 快速验证：攻击者在凭证暴露后的 9-17 分钟内执行初始 API 调用（如 GetCostAndUsage）来评估账户价值，并避免使用可预测的调用（如 GetCallerIdentity）以逃避检测。 模型枚举：入侵者通过 AWS Bedrock 执行 GetFoundationModelAvailability 请求，以列出可访问的大型语言模型（LLM），包括 Anthropic 的 Claude 和 Amazon Titan，并映射可用的攻击面。 漏洞利用：攻击者对受损端点进行自动化的 InvokeModel 尝试，研究人员在实验密钥中观察到每小时超过 1200 次未经授权的推理尝试。 Storm-2139 网络犯罪组织最近利用这种方法攻击了 Microsoft Azure AI 客户，窃取 API 密钥以生成暗网内容。取证日志显示，攻击者： 利用 Python 的请求库进行凭证验证 使用 aws s3 ls 命令识别 AI/ML 存储桶 尝试使用精心设计的提示来绕过内容过滤器的 InvokeModel Entro 的模拟入侵表明攻击者将自动脚本与手动侦察相结合 ——63% 的初始访问使用 Python SDK，而 37% 使用 Firefox 用户代理通过 AWS 控制台进行交互式探索。 成本利用：仅需一个带有 Bedrock 访问权限的受 compromis NHIs，每天可能会产生 46000 美元的未授权推理费用。 数据泄露：在 22% 的观察到的事件中，攻击者窃取了模型配置和训练数据元数据。 声誉损害：Microsoft Q1 2025 安全漏洞事件中，威胁者利用被盗的 Azure OpenAI 密钥生成了 14000 多张深度伪造图像。 缓解策略 检测并实时监控 NHIs 实施自动化的秘密轮换 强制执行最小权限原则 监控不寻常的 API 活动 对开发人员进行安全的 NHI 管理教育 随着攻击者在不到 20 分钟内利用漏洞，实时秘密扫描和自动轮换不再是可选的安全措施，而是 LLM 时代的关键生存机制。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress 插件中的一处关键性安全漏洞（编号为 CVE – 2025 – 0912），使全球超 10 万个网站面临未授权的远程代码执行（RCE）攻击风险。 该漏洞在 GiveWP 捐款插件中被发现，其严重程度达到 CVSS 评分体系中的最高值 ——9.8 分（关键级）。漏洞产生的根源在于插件处理捐款表单时，对用户输入的数据未进行妥善处理。 攻击者可利用此漏洞，通过反序列化不可信输入，在插件代码库中注入恶意 PHP 对象，并借助面向属性编程（POP）链实现对服务器的全面入侵。 漏洞存在于插件处理捐款表单中 card_address 参数的方式当中。在 3.19.4 及更早版本中，该插件未能对通过此字段传递的序列化数据进行有效验证或清理，从而导致 PHP 对象注入（CWE – 502）。 在处理捐款时，give_process_donation_form（）函数会反序列化用户输入，却未进行充分检查，这就让攻击者得以精心制作攻击载荷，进而实例化任意 PHP 对象。 实现远程代码执行的关键因素是插件代码库中存在可利用的 POP 链。这些链允许攻击者将诸如析构函数或唤醒函数之类的小工具方法串联起来，从而将对象注入升级为系统命令执行，正如 Wordfence 报告所指出的那样。 此漏洞能够绕过 WordPress 的安全nonce机制，且无需身份验证，任何外部攻击者都能利用。一旦成功利用，攻击者便能够： 删除任意文件（包括 wp-config.php） 提取数据库凭证信息 通过网页后门安装后门程序 鉴于 GiveWP 为非营利组织、宗教团体和政治活动等提供捐款系统支持，被入侵的网站面临金融欺诈、捐赠者数据被盗以及声誉受损等风险。攻击者可能会篡改网站、拦截捐款或部署加密货币挖矿程序。该插件与 PayPal 和 Stripe 等支付网关的集成也引发了对交易系统二次入侵的担忧。 安全分析公司 Defiant 的分析师警告称，尽管已发布 3.20.0 版本来修复此问题（通过实施严格输入验证和移除不安全的反序列化操作），但仍有超过 30% 的受影响网站尚未修补。 网站管理员必须采取以下行动： 立即更新至 GiveWP 3.20.0 或更高版本 审查服务器日志，查找对 /wp-json/givewp/v3/donations 的可疑 POST 请求 部署 Web 应用程序防火墙（WAF）规则，阻止 card_address 参数中的序列化数据 监测未经授权的文件更改或新管理员用户情况 对于暂时无法立即修补的网站，临时缓解措施包括禁用捐款小部件，或限制表单提交，仅允许通过 reCAPTCHA 验证的用户提交。 目前虽尚未发现活跃的利用行为，但该漏洞的简单性和高影响性使其成为勒索软件组织的主要攻击目标。 WordPress 安全团队敦促使用 GiveWP 的组织订阅漏洞披露信息源，并实施诸如 MalCare 实时漏洞利用预防之类的原子级安全措施。 鉴于全球超过 43% 的网站基于 WordPress 构建，此漏洞凸显了在非营利组织网络基础设施中，对第三方插件进行严格审核以及实施自动化补丁管理的迫切必要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 近日警告创作者，提防一种新的网络钓鱼骗局，诈骗者利用 AI 生成的首席执行官 Neal Mohan 视频来诱骗用户。骗子通过私密分享的方式传播伪造视频，谎称 YouTube 正在调整盈利政策，实则企图窃取用户凭据。 YouTube 表示：“YouTube 及员工不会通过私密视频联系用户或提供信息。如果你收到自称来自 YouTube 的私密视频，那就是一场网络钓鱼骗局。” 据外媒 The Verge 报道，近来，Reddit 上有用户报告称遇到类似骗局。一名用户透露，他们收到一封邮件，称“Notification for YouTube Creators”账户向其分享了一段私密视频，并要求下载恶意文件。另一名用户则表示，他们收到“Channel for Creators”分享的视频，被引导至一个伪造的 DocuSign 网站，同意所谓的新盈利政策。而这两封邮件的发件人均显示为看似官方的“[email protected]”。 YouTube 进一步警告，诈骗者正利用平台功能伪装成官方账号，引导创作者点击恶意链接。这类骗局并不新鲜，早在 2023 年，就有 Reddit 用户发现过 Neal Mohan 的 AI 伪造视频。 为了防范这类骗局，YouTube 提供了以下建议： 不要点击不明链接：特别是那些通过私密视频或邮件发送的链接。 提高警惕：不要轻易相信未经验证的视频或邮件。 报告可疑活动：如果发现可疑的视频或邮件，及时向 YouTube 官方报告。 YouTube 还在其帮助中心提供了防范和举报钓鱼邮件的建议，并推出了新的支持助手，帮助用户恢复被黑客攻击的账户。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过从 Google Play 移除 24 个恶意应用，并阻断 50 万台受感染设备的通信，BadBox Android 恶意软件僵尸网络再次被成功阻断。 BadBox 僵尸网络主要针对廉价的 Android 设备，如电视流媒体盒、平板电脑、智能电视和智能手机。这些设备要么在出厂时就预装了 BadBox 恶意软件，要么通过恶意应用或固件更新被感染。 一旦感染，这些设备就会变成住宅代理，生成虚假的广告印象，将用户重定向到低质量域名，并利用设备的 IP 地址创建虚假账户。 去年 12 月，德国当局成功阻断了该国受感染设备的恶意软件。然而，几天后，BitSight 报告称，恶意软件在至少 192,000 台设备上被发现，显示出对执法行动的抵抗能力。 据估计，该僵尸网络已增长到超过 100 万次感染，影响了 222 个国家的 Android 设备，其中大部分位于巴西（37.6%）、美国（18.2%）、墨西哥（6.3%）和阿根廷（5.3%）。 HUMAN 的 Satori 威胁情报团队与 Google、Trend Micro、Shadowserver 基金会和其他合作伙伴合作，领导了最新的阻断行动。 由于僵尸网络的规模突然扩大，HUMAN 现在将其称为“BadBox 2.0”，标志着其运营的新时代。 HUMAN 表示，受 BadBox 2.0 影响的设备包括低价的“非品牌”、未认证的平板电脑、联网电视盒、数字投影仪等。所有这些设备都是在中国大陆制造的，并销往全球。HUMAN 观察到 BadBox 2.0 相关的流量来自全球 222 个国家和地区。 HUMAN 发现，僵尸网络由多个威胁组织支持，这些组织具有不同的角色或利益。这些组织包括 SalesTracker（基础设施管理）、MoYu（后门和僵尸网络开发）、Lemon（广告欺诈活动）和 LongTV（恶意应用开发）。 受感染的设备会定期连接到攻击者控制的命令和控制服务器，以接收新的配置设置和要在受感染设备上执行的命令。 HUMAN 告诉 BleepingComputer，他们与 Shadowserver 基金会合作，对 BadBox 2.0 的域名进行了阻断，防止 50 万台受感染设备与攻击者设置的命令和控制（C2）服务器通信。 当域名被阻断时，研究人员会接管该域名，允许他们监控所有连接到该域名的受感染设备，并收集关于僵尸网络的数据。由于受感染设备无法再连接到攻击者控制的域名，恶意软件进入休眠状态，从而有效阻断了感染。 HUMAN 还发现 Google Play 中有 24 个 Android 应用安装了 BadBox 恶意软件。其中一些应用，如“Earn Extra Income”和“Pregnancy Ovulation Calculator”（由 Seekiny Studio 开发），每个应用的下载量都超过 5 万次。 Google 已将这些应用从 Google Play 中移除，并添加了一条 Play Protect 强制规则，以警告用户并阻止在认证的 Android 设备上安装与 BadBox 2.0 相关的应用。 此外，这家科技巨头已终止了参与 BadBox 活动的广告欺诈的发布商账户，防止通过 Google Ads 进行盈利。 然而，需要注意的是，Google 无法对全球销售的非 Play Protect 认证的 Android 设备进行消毒，因此虽然 BadBox 2.0 已被阻断，但并未被完全消除。 只要消费者继续购买基于 Android 开源项目（AOSP）的设备，如非品牌的电视盒，这些设备缺乏官方的 Google Play 服务支持，就存在使用预装恶意软件的硬件的风险。 对此，Google 的 Android 安全与隐私工程与保证总监 Shailesh Saini 表示：“我们很高兴与 HUMAN 合作，采取行动对抗 BadBox 操作，保护消费者免受欺诈。受感染的设备是 Android 开源项目设备，而不是 Android TV OS 设备或 Play Protect 认证的 Android 设备。” “如果设备未获得 Play Protect 认证，Google 将不会记录安全性和兼容性测试结果。Play Protect 认证的 Android 设备会经过广泛的测试，以确保质量和用户安全。用户应确保启用了 Google Play Protect，这是 Android 的恶意软件保护功能，默认情况下在具有 Google Play 服务的设备上启用。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在警告一个针对 Go 生态系统的恶意活动，该活动使用拼写错误的模块，旨在在 Linux 和苹果 macOS 系统上部署加载器恶意软件。 “威胁行为者已经发布了至少七个模仿广泛使用的 Go 库的软件包，其中包括一个（github[.]com/shallowmulti/hypert）似乎针对金融行业开发者的软件包，”Socket 研究员基里尔·博伊琴科（Kirill Boychenko）在一份新报告中表示。 “这些软件包共享重复的恶意文件名和一致的混淆技术，表明了一个有协调的威胁行为者，能够迅速调整策略。” 这些恶意软件包通过 Go 模块镜像缓存机制来实现持久的远程访问。一旦安装，这些软件包会授予攻击者对受感染系统的远程访问权限，使他们能够执行任意命令。 攻击者利用了 Go 模块镜像服务的缓存机制，即使原始源代码库中的标签被修改，已缓存的恶意版本仍可供下载。这种欺骗性的方法确保对 GitHub 存储库的手动审核不会发现任何恶意内容，而缓存机制意味着使用 go CLI 安装包的开发者会继续下载带有后门的变体。 以下是被发现的恶意 Go 软件包列表： shallowmulti/hypert (github.com/shallowmulti/hypert) shadowybulk/hypert (github.com/shadowybulk/hypert) belatedplanet/hypert (github.com/belatedplanet/hypert) thankfulmai/hypert (github.com/thankfulmai/hypert) vainreboot/layout (github.com/vainreboot/layout) ornatedoctrin/layout (github.com/ornatedoctrin/layout) utilizedsun/layout (github.com/utilizedsun/layout) 这些恶意软件包的设计目的是实现远程代码执行。这是通过运行一个混淆的 shell 命令来完成的，该命令从远程服务器（”alturastreet[.]icu”）检索并运行一个脚本。为了逃避检测，远程脚本在一段时间后才会被检索。 攻击的最终目标是安装并运行一个可执行文件，该文件可能会窃取数据或凭证。 安全研究人员建议开发人员和安全团队监控利用缓存模块版本来逃避检测的攻击。他们还建议使用不可变模块版本来减少此类攻击的风险。 “由于不可变模块既提供了安全优势，也提供了潜在的滥用媒介，开发人员和安全团队应该监控利用缓存模块版本来逃避检测的攻击，”博伊琴科指出。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌宣布推出人工智能（AI）驱动的欺诈检测功能，以保护 Android 设备用户及其个人信息。 “这些功能特别针对对话式欺诈，这种欺诈最初可能看起来无害，但随后会演变为有害情况，”谷歌表示。“而且越来越多的电话欺诈者使用篡改技术来隐藏他们的真实号码，假装成可信的公司。” 该公司表示，他们与金融机构合作，更好地了解客户所遇到的欺诈性质，从而能够设计出能够标记可疑模式的 AI 模型，并在对话过程中提供实时警告，同时不牺牲用户隐私。 这些模型完全在设备上运行，如果检测到可能是欺诈的情况，会提醒用户。用户可以选择忽略或报告并阻止发件人。该设置默认启用，仅适用于设备联系人列表中的电话号码。 科技巨头还强调，用户的对话保持私密，如果他们选择将聊天报告为垃圾邮件，那么发件人详细信息和与该发件人的近期消息将共享给谷歌和运营商。 该功能首先在美国、英国和加拿大以英语推出，计划在稍后进行更广泛的扩展。 此外，类似的电话欺诈检测功能正在扩展到美国所有使用 Pixel 9 及以上版本的英语用户。该功能最初于 2024 年 11 月推出。 值得注意的是，虽然此功能默认是关闭的，以给予用户控制权，但电话音频是临时处理的，在与联系人的电话中从未使用。 “如果启用，欺诈检测会在通话开始和通话过程中发出提示音，通知参与者该功能已开启，”谷歌表示。“您可以在任何时候关闭欺诈检测，无论是在单独通话中还是对所有未来通话。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据俄罗斯网络安全公司 Positive Technologies 称，被称为 Dark Caracal 的威胁行为者在 2024 年针对拉丁美洲的西班牙语目标发动了攻击，部署了一种名为 Poco RAT 的远程访问木马。 该恶意软件被描述为具备“完整的间谍功能套件”，包括上传文件、截取屏幕截图、执行命令和操纵系统进程的能力。研究人员 Denis Kazakov 和 Sergey Samokhin 在上周发布的技术报告中表示，Poco RAT 通过使用 C++ 代码库中的 POCO 库而得名。 Dark Caracal 自 2012 年以来一直活跃，以其定制的工具和针对特定目标的攻击而闻名。该组织与 CrossRAT 和 Bandook 等恶意软件家族有关联。2021 年，该组织被发现在南美洲的网络间谍活动“Bandidos”中使用 Bandook 恶意软件的新版本。 在最新的攻击中，Dark Caracal 继续关注西班牙语用户，利用与发票相关的网络钓鱼邮件作为起点，这些邮件带有西班牙语编写的恶意附件。分析显示，Poco RAT 的入侵主要针对委内瑞拉、智利、多米尼加共和国、哥伦比亚和厄瓜多尔的企业。 这些附件伪装成各种行业垂直领域的文档，包括银行、制造、医疗保健、制药和物流，以增加其可信度。当受害者打开这些文件时，他们会被重定向到一个链接，该链接会从合法的文件共享服务或云存储平台（如 Google Drive 和 Dropbox）下载一个 .rev 归档文件。 “带有 .rev 扩展名的文件是使用 WinRAR 生成的，最初设计用于在多部分存档中重建缺失或损坏的卷，”研究人员解释道。“威胁行为者将它们重新用作隐蔽的有效载荷容器，帮助恶意软件逃避安全检测。” 归档文件中包含一个基于 Delphi 的投放器，负责启动 Poco RAT，后者随后与远程服务器建立联系，授予攻击者对受感染主机的完全控制。尽管 Poco RAT 本身没有内置的持久性机制，但一旦完成初步侦查，服务器可能会发出建立持久性的命令，或者攻击者可能会利用 Poco RAT 作为跳板来部署主要的有效载荷。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在开发一项名为“屏蔽邮件”的新功能，以增强电子邮件隐私保护。该功能旨在为用户在注册应用程序和服务时生成一次性电子邮件别名。这一功能最初由Android Authority在谷歌Play服务v24.45.33 APK的代码拆解中发现，其目的是对抗垃圾邮件，并保护用户的主Gmail地址不被暴露。 “屏蔽邮件”功能将集成到Gboard的自动填充系统中，允许安卓用户在注册过程中创建随机的一次性电子邮件地址。这一功能与苹果的“隐藏我的邮箱”功能类似，但具有更广泛的谷歌生态系统兼容性。 该功能利用谷歌的自动填充框架，目前该框架在应用程序或网站注册时会提示用户使用保存的登录凭证。“屏蔽邮件”在此基础上新增了一个选项：“使用屏蔽邮件”按钮。激活该按钮后，系统会生成一个独特的别名（例如[email protected]）。 这些别名通过谷歌的服务器进行路由，将邮件转发至用户的主收件箱，同时隐藏用户的真实地址。重要的是，该系统在服务器端运行，这意味着别名的创建和管理依赖于谷歌的后端基础设施，目前该功能尚未正式推出。 APK代码显示，用户可以通过Gmail设置禁用任何别名的转发功能，从而有效阻止垃圾邮件来源。该功能预计将在“转发和POP/IMAP”选项卡中，用户可以在此处切断别名与主账户之间的关联。Android Authority的预览显示，该功能的用户界面已集成到Gboard中，在电子邮件字段交互时会作为上下文建议出现。 “屏蔽邮件”的架构解决了两个关键的隐私挑战：跨服务跟踪和数据泄露风险。通过为每个应用程序或网站分配独特的别名，用户可以分散自己的数字足迹，防止第三方将不同平台上的活动关联起来。例如，购物应用和健身服务将收到不同的别名，从而隔离潜在的数据泄露风险。如果发生数据泄露，用户可以停用被泄露的别名，而不会影响主邮箱。 该功能还更新了谷歌现有的别名方法，例如“+”标签（如[email protected]），许多服务目前已不再支持这种方法。与静态后缀不同，“屏蔽邮件”的随机别名更难被过滤，因此具有更强的反垃圾邮件能力。此外，与需要手动创建别名的第三方服务（如TempMail）相比，该功能简化了工作流程。谷歌此举是在苹果2021年为iCloud+用户推出“隐藏我的邮箱”功能之后的类似举措，该功能同样可以生成一次性地址。然而，“屏蔽邮件”集成在Gboard和自动填充系统中，使其成为安卓系统级工具，无需第三方密码管理器即可实现类似功能。 这一集成可能会使超过30亿活跃安卓设备用户能够使用电子邮件掩码功能，与苹果的付费解决方案不同。 开发者指出，该功能可能会减少对基于OAuth的登录方式的依赖，这种登录方式允许应用程序访问谷歌账户信息。通过将身份验证与电子邮件暴露解耦，“屏蔽邮件”为那些对分享个人数据持谨慎态度的用户提供了一个折中方案。 尽管代码提交证实了该功能的开发进展，但谷歌尚未公布发布时间表。关键未知因素包括： 别名有效期：地址是一次性使用后过期，还是可用于重复交互。 跨平台支持：是否会扩展到iOS或桌面环境。 盈利模式：关于与谷歌One订阅服务关联的猜测，尽管初步报告显示该功能可能会广泛提供。 安全专家强调，“屏蔽邮件”的有效性取决于邮件转发的可靠性以及谷歌防止别名劫持的能力。与苹果的系统一样，目前尚无法确认转发邮件是否采用端到端加密。 “屏蔽邮件”是谷歌自采用SMTP STARTTLS以来在电子邮件隐私方面迈出的最重要一步。通过将一次性别名嵌入安卓核心工作流程，该公司可能会改变用户管理数字身份的方式——减少垃圾邮件，降低数据泄露风险，并限制跨应用跟踪。随着开发的持续推进，该功能的成功将取决于无缝集成和透明的用户控制，确保在不牺牲便利性的前提下保护隐私。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为 “Eleven11bot” 的新型僵尸网络恶意软件已感染超过 86,000 台物联网设备，主要是安全摄像头和网络视频录像机（NVR），用于发起分布式拒绝服务（DDoS）攻击。 这个与伊朗有松散联系的僵尸网络已经对电信服务提供商和在线游戏服务器发起了 DDoS 攻击。 Eleven11bot 由诺基亚研究人员发现，并与威胁监测平台 GreyNoise 分享了相关细节。 诺基亚安全研究员杰罗姆·迈耶（Jérôme Meyer）表示，Eleven11bot 是他们近年来观察到的最大的 DDoS 僵尸网络之一。 “这个僵尸网络主要由被攻陷的网络摄像头和网络视频录像机（NVR）组成，已经迅速增长到超过 30,000 台设备，”迈耶在 LinkedIn 上表示。 “它的规模在非国家行为体的僵尸网络中非常突出，使其成为自 2022 年 2 月乌克兰战争以来观察到的最大的 DDoS 僵尸网络活动之一。” 今天早些时候，威胁监测平台 Shadowserver 基金会报告称，观察到 86,400 台设备感染了 Eleven11bot 僵尸网络，其中大部分位于美国、英国、墨西哥、加拿大和澳大利亚。 受 Eleven11bot 影响的国家及地区 来源：Shadowserver 基金会 迈耶表示，僵尸网络的攻击强度已达每秒数亿个数据包，攻击持续时间通常跨越多天。 在 GreyNoise 和 Censys 的帮助下，过去一个月内记录了 1,400 个与僵尸网络操作相关的 IP 地址，其中 96% 来自真实设备（非伪造）。 与 Eleven11bot 相关的恶意 IP 地址 来源：GreyNoise 这些 IP 地址大多位于伊朗，其中超过 300 个被 GreyNoise 归类为恶意。 GreyNoise 报告称，该恶意软件通过暴力破解弱或常见的管理员用户凭据传播，利用特定物联网型号的已知默认凭据，并积极扫描网络以查找暴露的 Telnet 和 SSH 端口。 GreyNoise 已发布与 Eleven11bot 相关的 IP 地址列表，并确认这些 IP 地址存在恶意行为，建议防御者将此列表添加到其阻止列表中，并监控可疑的登录尝试。 一般来说，建议确保所有物联网设备运行最新固件版本，如果不需要远程访问功能则将其禁用，并将默认管理员账户凭据更改为强大且唯一的密码。 物联网设备通常无法获得供应商的长期支持，因此定期检查设备是否已达到使用寿命终点（EOL），并将其替换为较新的型号至关重要。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一将五个影响思科、日立 Vantara、微软 Windows 和 Progress WhatsUp Gold 软件的安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 漏洞详情 CVE-2023-20118（CVSS 评分：6.5）：思科小型企业 RV 系列路由器的基于网络的管理界面中的命令注入漏洞，允许经过身份验证的远程攻击者获得根级别权限并访问未经授权的数据（由于路由器已达到使用寿命终点，未进行修补） CVE-2022-43939（CVSS 评分：8.6）：日立 Vantara Pentaho BA Server 中的授权绕过漏洞，源于使用非规范 URL 路径进行授权决策（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2022-43769（CVSS 评分：8.8）：日立 Vantara Pentaho BA Server 中的特殊元素注入漏洞，允许攻击者将 Spring 模板注入属性文件，从而执行任意命令（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2018-8639（CVSS 评分：7.8）：微软 Windows Win32k 中的不正确资源关闭或释放漏洞，允许本地经过身份验证的用户进行权限提升，并在内核模式下运行任意代码（已于 2018 年 12 月修复） CVE-2024-4885（CVSS 评分：9.8）：Progress WhatsUp Gold 中的路径遍历漏洞，允许未经过身份验证的攻击者实现远程代码执行（已于 2024 年 6 月通过版本 2023.1.3 修复） 关于上述漏洞中的一些在野外如何被利用的报告很少，但法国网络安全公司 Sekoia 上周透露，威胁行为者正在利用 CVE-2023-20118 将易受攻击的路由器纳入名为 PolarEdge 的僵尸网络。 至于 CVE-2024-4885，Shadowserver 基金会表示，自 2024 年 8 月 1 日起，已观察到针对该漏洞的利用尝试。GreyNoise 的数据显示，来自中国香港、俄罗斯、巴西、韩国和英国的多达八个独特 IP 地址与该漏洞的恶意利用有关。 最后，CISA 提醒联邦民用执行部门（FCEB）机构在 2025 年 3 月 24 日之前应用必要的缓解措施，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国及美国西海岸的互联网服务提供商（ISP）近期遭遇大规模网络攻击，黑客通过入侵受害系统，植入信息窃取程序和加密货币挖矿软件。 据Splunk威胁研究团队报告，此次攻击还涉及多个二进制程序，这些程序不仅可用于窃取数据，还能帮助攻击者在受感染系统中建立长期控制权限。 黑客利用脚本语言绕过安全防护 Cisco旗下的Splunk研究团队表示，攻击者在操作过程中尽量减少入侵痕迹，以规避检测，除非受害账户已经遭到控制。“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透，并使用API（如Telegram）执行远程控制（C2）操作。” 此次攻击活动主要利用暴力破解手段，针对弱密码账户进行入侵。攻击源IP地址主要来自东欧，受害目标包括超过4,000个ISP提供商的IP地址。 攻击流程：入侵、窃取信息、植入挖矿程序 攻击者在获取初始访问权限后，会通过PowerShell执行一系列恶意程序，包括网络扫描、信息窃取以及XMRig加密货币挖矿，以滥用受害设备的计算资源。 在执行恶意程序之前，攻击者通常会先关闭安全软件功能，并终止与挖矿检测相关的服务，以降低被发现的风险。 信息窃取与恶意软件投放 除了截屏功能，该恶意软件还具备类似“剪贴板劫持”程序的特性，可监控受害者的剪贴板内容，专门窃取比特币（BTC）、以太坊（ETH）、币安链BEP2（ETHBEP2）、莱特币（LTC）和波场（TRX）等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。 此外，受感染设备还会被植入一个二进制文件，用于执行额外的恶意负载，其中包括： Auto.exe：从C2服务器下载密码列表（pass.txt）和IP地址列表（ip.txt），用于后续暴力破解攻击 Masscan.exe：多功能端口扫描工具 大规模IP扫描，精准锁定目标 Splunk研究团队指出，攻击者专门针对美国西海岸及中国的ISP基础设施IP地址，并利用Masscan扫描工具批量扫描大量IP地址，以发现开放端口，并进一步实施凭证暴力破解攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文