HackerNews

思科（Cisco）披露，其两款已终止服务的小型商务SPA 300和SPA 500系列IP电话中，基于Web的管理界面存在多个关键的远程代码执行零日漏洞。 目前思科没有为这些设备提供修复补丁，使用这些产品的用户需要转移使用更新的、仍在支持的型号上。 五个漏洞详情 思科披露了五个漏洞，其中三个被评为严重（CVSS v3.1评分：9.8），两个被归类为高严重性（CVSS v3.1评分：7.5）。严重漏洞被跟踪为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过向目标设备发送特别构建的 HTTP请求，以root权限在底层操作系统上执行任意命令。 “如果成功利用此漏洞，攻击者可能会溢出内部缓冲区，并在根权限级别执行任意命令，”思科在公告中警告说。 两个高严重性漏洞是CVE-2024-20451和CVE-2024-20453。它们是由于对HTTP数据包的检查不充分引起的，这允许恶意数据包在受影响的设备上造成拒绝服务。 思科指出，这五个漏洞都会影响在SPA 300和SPA 500系列IP电话上运行的所有软件版本。无论电话配置如何，漏洞彼此独立，可以被单独利用。 已终止服务 根据思科公司的支持门户提供的信息，SPA 300产品最后一次销售给客户是在2019年2月，并且在三年后，即2022年2月，思科停止了对这个产品的技术支持。对于SPA 500型号的产品，供应商在2020年6月1日这一天，既停止了对该型号硬件的销售，也结束了对它的技术支持。值得注意的是，思科将继续为持有服务合同或特殊保修条款的客户保障SPA 500产品，直到2025年5月31日。 对于SPA 300产品，自2024年2月29日起，思科不再提供保障。 两者都不会获得安全更新，因此建议用户过渡到更新的受支持型号，例如Cisco IP Phone 8841或Cisco 6800系列的型号。 思科还提供技术迁移计划（TMP），允许客户以旧换新符合条件的产品并获得新设备的信用额度。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jDKOHdqHFDGSWLXmY-22_g 封面来源于网络，如有侵权请联系删除

2024 年美国黑帽大会上，NCC 集团的研究人员披露了在 Sonos 智能扬声器中发现的漏洞，其中包括一个可能被用于窃听用户的漏洞。 其中一个漏洞被追踪为 CVE-2023-50809，可被目标 Sonos 智能扬声器 Wi-Fi 范围内的攻击者利用来远程执行代码。 研究人员演示了攻击者如何利用此漏洞控制 Sonos One 扬声器，秘密录制音频，然后将其泄露到攻击者的服务器。 Sonos 在 8 月 1 日发布的公告中向客户通报了该漏洞，但实际补丁已于去年发布。Sonos 扬声器使用的 Wi-Fi SoC 联发科也在 2024 年 3 月发布了修复程序。 Sonos 表示，该漏洞影响了无线驱动程序，该驱动程序“在协商 WPA2 四次握手时未能正确验证信息元素”。 该供应商表示：“低权限、近距离的攻击者可以利用此漏洞远程执行任意代码。” 此外，NCC 研究人员还发现了 Sonos Era-100 安全启动实现中的漏洞。通过将这些漏洞与之前已知的特权提升漏洞结合起来，研究人员能够以提升的特权实现持久代码执行。 NCC 集团发布了一份包含技术细节的白皮书，以及一段展示其窃听漏洞的视频。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一，运行于 Ring -1（用于虚拟机管理程序和 CPU 虚拟化）和 Ring 0 之上，后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别，SMM 与操作系统隔离，以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315，严重性评级为高（CVSS 评分：7.5），由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现，他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节，演讲主题为“ AMD Sinkclose：通用 Ring-2 权限提升”。 研究人员报告称，Sinkclose 近 20 年来一直未被发现，影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置，即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的，因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired，检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU，然后扫描内存中是否存在恶意软件。 根据 AMD 的建议，以下型号受到影响： EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO（Castle Peak WS SP3、Chagall WS） AMD Athlon 3000 系列移动版（Dali、Pollock） AMD Instinct MI300A AMD在其公告中表示，它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施，并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点，并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而，IOActive 回应称，内核级漏洞虽然并不普遍，但在复杂的攻击中肯定并不少见，根据先前攻击情况实例来看，确实如此。 高级持续性威胁 (APT) 参与者，例如朝鲜的 Lazarus 组织，一直在使用BYOVD（自带易受攻击的驱动程序）技术，甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略，采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现，包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序，甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此，Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁，尤其是来自国家支持的和老练的专业黑客组织的威胁，不容忽视。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

物理安全公司ADT近日披露了一起数据泄露事件，确认黑客非法获取并泄露了超过30000名客户的信息。 “ADT Inc.（以下简称“ADT”或“公司”）最近经历了一起网络安全事件，未经授权的黑客非法访问了包含 ADT 客户订单信息的数据库。”提交给 SEC 的 8-K 表格写道。“公司发现这一事件后迅速采取措施，终止了未经授权的访问，并与顶级网络安全专家合作进行调查。尽管如此，黑客仍窃取了包括电子邮件地址、电话号码和邮政地址在内的有限客户信息。” 黑客声称此次数据泄露涉及超过 30812 条记录，其中包括 30400 封电子邮件。泄露的数据还包括客户的电子邮件、完整地址、用户ID及购买产品等信息。 ADT 的调查表明，客户的家庭安全系统并未受到损害，且没有证据显示财务信息（如信用卡或银行信息）被窃取。公司认为此次事件仅影响了一小部分客户，并已通知相关客户。ADT预计此次事件不会对其运营或财务状况产生重大影响，目前调查仍在继续。 “根据目前的调查结果，公司认为此次事件未对客户的家庭安全系统造成损害。此外，公司没有理由相信攻击者获取了其他个人敏感信息，如信用卡数据或银行信息。”8-K表格进一步说明：“公司正在继续对该网络安全事件进行调查，并已通知可能受影响的客户，这些客户仅占公司整体用户群的一小部分。” ADT 是一家警报和物理安全系统提供商，在美国 150 多个地区拥有 13000 多名专业人员。该公司拥有超过 600 万客户，在遭受网络攻击后披露了这一数据泄露事件。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。 什么是 0.0.0.0 Day漏洞？ 0.0.0.0 Day漏洞是以色列网络安全初创公司 Oligo 新发现的漏洞，攻击者能够在补丁可用之前利用该漏洞。 这个漏洞是一个涉及 IP 地址 0.0.0.0 的0-Day漏洞。该漏洞被研究人员称为”0.0.0.0 Day”，它暴露了浏览器处理网络请求时的一个漏洞，可被滥用来访问敏感的本地服务。 这是一个存在多年的漏洞。研究人员发现，早在 2006 年就有报告称存在涉及 IP 地址的安全问题。 图解公共网络如何使用 0.0.0.0 地址与专用网络和本地设备通信，来源：Oligo 正如报告中所提到的，该漏洞的技术细节涉及恶意网站欺骗浏览器，允许浏览器与运行在用户本地机器（localhost）上的 API（应用程序编程接口）进行交互。 这些 API 通常是为应用程序内部通信而设计的，不应该从网站等外部来源访问。这些网站只需瞄准 0.0.0.0，而不是 localhost/127.0.0.1，就有可能在访问者的硬件上执行代码。通过利用 0.0.0.0 Day漏洞，攻击者有可能在未经授权的情况下访问存储在用户计算机上的敏感信息、窃取数据甚至启动恶意软件。 这项研究进一步凸显了浏览器安全漏洞十分令人担忧的现状。浏览器的设计目的是作为用户与潜在有害在线内容之间的屏障。然而，0.0.0.0 Day漏洞暴露了浏览器处理网络请求的弱点。不同浏览器在安全机制上的不一致性，可能会让恶意行为者访问用户的本地网络和在其上运行的服务。 与 0.0.0.0 通信的网站数量，来源：Oligo 对市面上主流浏览器带来巨大影响 研究人员发现，几乎市面上的所有浏览器都可能受到该漏洞的影响，所以作为负责任披露的一部分，所有相关公司都已被告知，目前这些公司也都做出了相应的应对措施，具体如下： Chrome 0-Day漏洞： 谷歌 Chrome 浏览器是全球最流行的浏览器，无疑是攻击者的首要目标。如果成功利用0.0.0.0 Day漏洞，攻击者就可以绕过 Chrome 浏览器的安全机制，访问用户的本地网络。这可能会暴露存储在用户计算机上的敏感数据，如果用户是远程办公，还可能危及企业网络，甚至为安装恶意软件提供便利。 火狐0-Day漏洞： 火狐浏览器虽然不像 Chrome 浏览器那样被广泛使用，但仍然是许多用户的首选。成功利用 0.0.0.0 Day漏洞可能会给 Firefox 用户带来类似的后果。攻击者有可能访问本地网络、窃取数据或发起恶意软件攻击。 Safari 0-Day漏洞：苹果公司的 Safari 浏览器是苹果设备上的默认浏览器，也有可能受到 0.0.0.0 Day 漏洞的攻击。虽然苹果公司以强大的安全性著称，但这一漏洞凸显了时刻保持警惕的必要性。成功的漏洞利用可能会让攻击者访问用户 Mac 或 iOS 设备上的本地网络，从而可能泄露敏感数据或为进一步攻击提供便利。 针对这一安全漏洞，苹果和谷歌更新了正在努力解决这一问题的方法。报告显示，在即将发布的 macOS 15 Sequoia 测试版中，苹果 Safari 将阻止所有查询 0.0.0.0 IP 地址的尝试。同样，谷歌 Chrome 浏览器的安全团队也在努力修复漏洞。谷歌正在推出阻止访问 0.0.0.0 的更新，预计将在 Chrome 133 中完全实施。 微软已经在 Windows 操作系统中阻止了对 0.0.0.0 IP 地址的访问。然而，Mozilla 采取了不同的立场。Mozilla 发言人表示，担心实施更严格的限制可能会带来严重的兼容性问题。由于有关标准的讨论和对这些兼容性风险的评估仍在进行中，火狐尚未实施拟议的限制。相反，Mozilla 计划继续参与这一进程，以确保采取一种平衡的方法。 0.0.0.0 Day 漏洞的发现凸显了在日益复杂的威胁环境中维护浏览器安全所面临的持续挑战。浏览器开发商必须继续投资研发，时刻领先于网络犯罪分子。同时，用户也必须保持警惕，以保护自己免受新威胁的侵害。   转自Freebuf，原文链接：https://www.freebuf.com/news/408169.html 封面来源于网络，如有侵权请联系删除

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在 2023 年 11 月，南亚的一家媒体机构遭遇了一次前所未有的网络攻击，攻击者利用了一种之前未曾记录的基于 Go 语言开发的后门程序，名为 GoGra。 “GoGra 是一种用 Go 语言编写的后门程序，它通过 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制（C&C）服务器进行交互。”Broadcom旗下的Symantec在与The Hacker News分享的一份报告中表示。 目前尚不清楚 GoGra 是如何被交付到目标环境的。然而，GoGra 被专门配置为从 Outlook 用户名为“FNU LNU”的账户中读取邮件，其邮件主题以“Input”一词开头。 接着，GoGra 使用密钥和 AES-256 算法在密码块链（CBC）模式下对邮件内容进行解密，然后通过 cmd.exe 执行相关命令。 随后，操作结果会被加密并发送回同一用户，邮件主题为“Output”。 据报道，GoGra 可能由一个名为 Harvester 的国家级黑客组织开发，因为其与名为 Graphon 的定制 .NET 植入程序具有相似特征，该植入程序同样利用 Microsoft Graph API 进行命令和控制（C&C）。 这一趋势表明，威胁行为者越来越倾向于利用合法的云服务，以保持隐匿并减少对专用基础设施的依赖。   下面列出了采用该技术的其他一些新恶意软件家族： Firefly是一种在针对东南亚军事组织的网络攻击中部署的以前未见的数据泄露工具。该工具收集的信息会通过硬编码的刷新令牌上传至 Google Drive。 在 2024 年 4 月，一种名为 Grager 的新型后门被部署于台湾、香港和越南的三个组织。Grager 利用 Graph API 与托管在 Microsoft OneDrive 上的命令与控制（C&C）服务器进行通信。这一活动初步与一个被追踪为 UNC5330 的疑似中国威胁行为者相关联。 另一个名为 MoonTag 的后门也具备与 Graph API 通信的功能，并被认为是中国威胁参与者所开发。 此外，名为 Onedrivetools 的后门曾被用于攻击美国和欧洲的 IT 服务公司。该后门通过 Graph API 与托管在 OneDrive 上的 C&C 服务器进行交互，以执行接收到的命令并将结果保存至 OneDrive。 Symantec 表示：“尽管通过云服务进行命令与控制并非新技术，但近期越来越多的攻击者开始采用这一方法。”该公司还提到了一些相关的恶意软件，例如 BLUELIGHT，Graphite，Graphican和BirdyClient等。 根据目前利用云服务的威胁参与者的数量，可以推测，间谍行为者正在研究并模仿其他组织所采用的成功技术。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亨利·施恩公司在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿，并泄露了大量用户数据。 安全内参8月8日消息，美国医疗保健分销商、财富500强企业亨利·施恩（Henry Schein）日前下调了其年度利润预期。这家牙科和医疗设备分销商警告称，从去年10月披露的网络攻击中恢复正常的速度较慢。 该公司股价在盘前交易中下跌至64.50美元，跌幅达7.3%。 在网络安全漏洞发生后，亨利·施恩将一些系统下线，通知了当局并聘请了专家，事件还扰乱了其制造和分销业务。 伦敦证券交易所数据显示，该事件对公司今年的财务表现产生了持续影响，第二季度收入为31.4亿美元，低于分析师预估的32.7亿美元。 首席执行官Stanley Bergman表示：“我们在分销业务中的销售趋势正在改善，但自去年年底的网络事件以来，这些业务的恢复速度比预期的要慢。” 勒索攻击造成重大损失 亨利·施恩最初在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿。BlackCat组织声称，泄露了包括DEA号码、个人身份信息（PII）数据和供应商银行账户在内的敏感数据。 尽管公司努力恢复，网络攻击者在去年11月14日再次发动攻击。威胁行为者声称，此次造成超过5亿美元的损失。 值得注意的是，ALPHV/BlackCat组织声称对亨利·施恩进行了两次重新加密，并预告了第三次攻击。然而，几天后，BlackCat从其泄露网站上移除了亨利·施恩，这表明公司可能支付了赎金，但没有官方声明证实这一点。 黑客组织在去年12月再次通过其暗网频道更新了亨利·施恩数据泄露的情况。同月，亨利·施恩公司向美国缅因州总检察长报告称，数据泄露影响了超过2.9万人的个人信息。 公司下调营收预期 亨利·施恩将其年度利润预期从此前的每股5美元至5.16美元下调至每股4.70美元至4.82美元。分析师预计利润为每股5.06美元。 公司表示，现在预计全年销售额将增长4%至6%，而此前的预测为增长8%至10%。按照公司2023财年总营收123.39亿美元计算，2024财年总营收预期下调了4.93亿美元（约合人民币35.4亿元）。 亨利·施恩的牙科部门第二季度销售额下降了1.7%，至19.2亿美元，低于预期的19.9亿美元。 其医疗部门的销售额也下降了5%，至9.98亿美元，低于预期的10.7亿美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68973 封面来源于网络，如有侵权请联系删除

去中心化金融生态系统再次遭受了重大的安全漏洞。区块链基础设施协议Nexera遭遇一个重大漏洞，导致价值约180万美元的数字资产被盗。 加密安全公司Cyvers在8月7日详细描述了这次攻击。攻击者通过一个复杂的策略，控制了Nexera的代理合同（proxy contract）。 在去中心化金融（DeFi）协议中，代理合同通常是一个关键的控制点，它允许用户通过智能合约与DeFi平台进行交互。 攻击者利用控制的代理合同，执行了“withdraw admin”（撤回管理员）功能，窃取了平台的全部NXRA币（3250万NXRA币）。 “我们的系统检测到一笔涉及您的代理合同的可疑交易。Cyvers在X（Twitter）上的一篇文章中解释说：“一个地址拥有了你的代理合约并对其进行了升级。不久之后，该地址使用了撤回管理功能来转移所有的$NXRA币。” 事件发生后，Nexera迅速做出反应，暂停了NXRA币合约，并停止了去中心化交易所的交易。Kucoin和MEXC交易所已经暂停交易活动。 尽管采取的措施对于防止进一步的损失至关重要，但平台在重建信任和追回被盗资金方面面临着巨大的挑战。 此前Ronin Network案例中，一个被认为是”白帽黑客”（即那些发现并报告安全漏洞的黑客，通常不会利用这些漏洞进行恶意行为）的人盗取了价值980万美元的以太币，但很快就归还了这些资金。 与Ronin Network情况不同，Nexera事件表现出了明显的恶意意图。 盗窃发生后，黑客立即启动了一个流程来清洗被盗的NXRA币。通过将被盗资金转换为以太坊（ETH）并可能利用加密货币混合器，掩盖被盗资金的来源，使当局和网络安全公司追踪和恢复资产变得更具挑战性。 这次攻击在加密货币社区中引起了巨大的震动。 在攻击之后，NXRA币的价值暴跌了40%。区块链侦探ZachXBT已经将攻击者与一系列先前的私钥泄露事件联系起来，涉及SpaceCatch、Concentric Finance、OKX DEX、Serenity Shield和Reach等事件。 攻击者目前持有大量的3250万NXRA币，这些代币的价值大约为123万美元，以及价值55.5万美元的USDT稳定币（USDT是一种与美元价值挂钩的稳定币，通常用于加密货币交易和存储价值）。   转自E安全，原文链接：https://mp.weixin.qq.com/s/mPRWBSYPfew2UOVfwMZyEw 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击，这些攻击针对大学教授、研究人员和其他工作人员，目的是收集情报。 网络安全公司 Resilience表示，在观察到黑客犯下的操作安全 (OPSEC) 错误后，它在 2024 年 7 月下旬发现了这一活动。 Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima，只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点：使用受感染的主机作为临时基础设施，部署经过混淆的 Green Dinosaur Web Shell 版本，然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面，这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户，目的是获取他们的凭证。 接下来，受害者被重定向到另一个网站，该网站指向托管在 Google Drive 上的 PDF 文档，该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示：“此外，在 Kimsuky 的网络钓鱼网站上，还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理，用于窃取访问者的 cookie 和凭据，并显示弹出窗口，告诉用户他们需要再次登录，因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具，该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁，建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络，如有侵权请联系删除

美国国务院周三宣布，将悬赏高达 1000 万美元，征集几名被控入侵工业控制系统 (ICS) 的伊朗公民的个人信息。 通缉名单包括：哈米德·霍马云法尔 (Hamid Homayunfal)、哈米德·礼萨·拉什加里安 (Hamid Reza Lashgarian)、马赫迪·拉什加里安 (Mahdi Lashgarian)、米拉德·曼苏里 (Milad Mansuri)、穆罕默德·巴盖尔·希林卡 (Mohammad Bagher Shirinkar) 和礼萨·穆罕默德·阿明·萨贝里安 (Reza Mohammad Amin Saberian)，他们与伊朗伊斯兰革命卫队 (IRGC)，特别是网络电子指挥部有联系。 据信，这些人是名为 Cyber Av3ngers 的黑客组织的幕后黑手，该组织于 2023 年秋季针对宾夕法尼亚州阿利奎帕市水务局的 Unitronics Vision 可编程逻辑控制器 (PLC) 发起攻击。还针对美国其他水务公司的 ICS发起攻击。 目标 PLC 暴露在互联网上，仅受弱默认密码的保护。 CyberAv3ngers 自称是一个黑客组织，但美国认为这是伊朗政府用来进行恶意网络活动的身份。 此前，美国政府宣布悬赏1000 万美元缉拿“网络复仇者”组织成员。悬赏 1000 万美元，征集有关Alphv/BlackCat 勒索软件运营商及其附属机构以及朝鲜黑客组织 APT45成员的信息。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5XwhSGjDOHLjBn_Mkp8TeQ 封面来源于网络，如有侵权请联系删除

英国信息专员办公室 (ICO) 宣布了一项临时决定，对高级计算机软件集团有限公司 (Advanced) 处以 609 万英镑（774 万美元）的罚款，原因是该公司在 2022 年遭受勒索软件攻击时未能保护好数万人的个人信息。 Advanced 是英国国家医疗服务体系 (NHS) 签约的 IT 服务和托管供应商，于 2022 年 8 月 4 日遭到威胁行为者的攻击。 该事件影响了数百家公共和私人实体，包括 NHS 111 以及 Adastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan 和 eFinancials 等各种医疗保健产品。 此次泄密事件导致近 83,000 人的个人信息被泄露，其中包括 890 名接受居家护理人员的入院指导。 尽管所有受影响的人都已被告知并被警告采取行动降低风险，而且到目前为止，没有任何攻击数据在暗网上发布，但敏感数据泄露的潜在影响是巨大的。 “这一事件表明信息安全是多么重要。”英国信息专员约翰·爱德华兹表示，“失去对敏感个人信息的控制，会让那些别无选择只能信任医疗和护理机构的人感到痛苦。” 爱德华兹在谈到高级安全立场时补充道：“对于一个受信任处理大量敏感和特殊类别数据的组织来说，我们暂时发现其在此次事件之前的信息安全方法存在严重缺陷。” ICO 指出，实施基本措施（例如应用安全更新、启用多因素身份验证以及检查系统是否存在已知漏洞）对于保护敏感数据至关重要，所有组织都应遵循这些最低限度的步骤。 该临时决定的发布旨在提醒所有组织其安全义务以及一旦失败可能产生的后果。 但是770 万美元的罚款尚未实施，ICO 表示将等待 Advanced 的评论后再做出最终决定，因此罚款金额可能会发生变化。 如果Advanced无法提供令人信服的论据，且罚款仍为774万美元，则每位被曝光者的罚款将相当于93.3美元，与过去的类似事件相比，这个数字非常高。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国证券交易委员会（SEC）已经结束了对 Progress 软件公司处理 MOVEit Transfer 的0day漏洞被广泛利用、导致 9500 多万人数据泄露事件的调查。 Progress Software 在提交给美国证券交易委员会的最新 FORM 8-K 文件中表示，美国证券交易委员会执法部将不建议对这起安全事件采取任何执法行动。 美国证券交易委员会周四晚间提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” “如前所述，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞有关的各种文件和信息。” 美国证券交易委员会（SEC）正在对 Progress Software 公司在应对通过 MOVEit Transfer 软件存在的0day漏洞引发的大规模数据盗窃攻击过程中所采取的措施进行调查。 据BleepingComputer首次报道，在 2023 年烈士纪念日假期期间，Clop 勒索软件团伙利用0day漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的Emsisoft称，超过 2,770 家公司和 9500 万人的数据通过0day漏洞被窃取。 由于攻击影响广泛，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金，攻击对象包括政府机构、金融公司、医疗保健机构、航空公司和教育机构。 尽管美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然面临马萨诸塞州联邦法院的数百起集体诉讼 。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

在拉斯维加斯举行的黑帽大会（BLACK HAT USA 2024）上，来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞细节。 RISC-V是一种开源指令集架构 (ISA)，旨在为各种类型的应用开发定制处理器，包括嵌入式系统、微控制器、数据中心和高性能计算机。 CISPA 研究人员发现中国芯片公司 T-Head （阿里巴巴旗下的平头哥半导体）生产的玄铁 C910 CPU 中存在漏洞。据专家介绍，玄铁 C910 是速度最快的 RISC-V CPU 之一。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存，从而可能使他们获得对目标设备的完全和不受限制的访问权限。 虽然 GhostWrite 漏洞特定于玄铁 C910 CPU，但已确认多种类型的系统受到影响，包括云服务器中的 PC、笔记本电脑、容器和虚拟机。 研究人员列出的易受攻击的设备列表包括 Scaleway Elastic Metal RV 裸机云实例；Sipeed Lichee Pi 4A、Milk-V Meles 和 BeagleV-Ahead 单板计算机 (SBC)；以及一些 Lichee 计算集群、笔记本电脑和游戏机。 “要利用此漏洞，攻击者需要在易受攻击的 CPU 上执行非特权代码。这对多用户和云系统构成威胁，或者在执行不受信任的代码时，甚至在容器或虚拟机中也是如此。”研究人员解释道。 为了展示他们的研究结果，研究人员展示了攻击者如何利用 GhostWrite 获取 root 权限或从内存中获取管理员密码。 与之前披露的许多CPU 攻击不同，GhostWrite 不是侧信道攻击，也不是瞬时执行攻击，而是一个架构错误。 研究人员向 T-Head 报告了他们的发现，但目前尚不清楚该供应商是否采取了任何行动。SecurityWeek在本文发表前几天联系了 T-Head 的母公司阿里巴巴征求意见，但尚未得到回复。 云计算和网络托管公司 Scaleway 也已收到通知，研究人员表示该公司正在向客户提供缓解措施。 值得注意的是，该漏洞是一个硬件错误，无法通过软件更新或补丁修复。禁用 CPU 中的矢量扩展可以减轻攻击，但也会影响性能。 研究人员告诉SecurityWeek，尚未为 GhostWrite 漏洞分配 CVE 标识符。 虽然没有迹象表明该漏洞已被利用，但 CISPA 研究人员指出，目前还没有特定的工具或方法来检测攻击。 研究人员发表的论文中提供了更多技术信息。他们还发布了一个名为 RISCVuzz 的开源框架，用于发现 GhostWrite 和其他 RISC-V CPU 漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aO8kr865bmh1VSlC4fIPPQ 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）和美国网络安全和基础设施安全局（CISA）发布的联合公告证实“Royal 勒索软件已更名为 BlackSuit，自两年多前出现以来，已向受害者索要超过 5 亿美元的赎金。” BlackSuit 团被认为是臭名昭著的 Conti 网络犯罪集团的直接继承者，于 2022 年 1 月以 Quantum 勒索软件的形式开始活动，自 2022 年 9 月以来一直活跃。 最初为了避免引起不必要的注意，Quantum使用了其他组织的加密器（如 ALPHV/BlackCat），但不久之后他们就部署了自己的Zeon 加密器，并于 2022 年 9 月更名为 Royal。 2023 年 6 月，在袭击德克萨斯州达拉斯市后，Royal 勒索软件行动开始测试一种名为 BlackSuit 的新加密器。从那时起，他们一直以 BlackSuit 的名义运作，Royal 勒索软件攻击已完全停止。 “BlackSuit 勒索软件是之前被确认为 Royal 勒索软件的演变，在编码上有许多相似之处，并且表现出了更强大的功能。该勒索软件的使用时间约为 2022 年 9 月至 2023 年 6 月。”FBI和CISA在周三对原始公告的更新中证实，“赎金要求通常在 100 万美元到 1000 万美元之间，要求以比特币支付。BlackSuit 总共索要 5 亿多美元的赎金，最大的个人赎金为 6000 万美元。” 2023 年 3 月以及随后的 2023 年 11 月的咨询更新中，这两个机构分享了攻击指标以及一系列策略、技术和程序 (TTP)，以帮助防御者阻止该团伙在其网络上部署勒索软件。 FBI 和 CISA 还指出，自 2022 年 9 月以来，BlackSuit 对 350 多个组织发起了攻击，并索要了至少 2.75 亿美元的赎金。 美国卫生与公众服务部 (HHS) 安全团队于 2022 年 12 月披露该勒索软件主要针对美国各地的医疗保健行业，组织了多起攻击事件，随后FBI 和 CISA联合发布相关公告。 最近，多个消息来源告诉 BleepingComputer，BlackSuit 勒索软件是大规模 CDK Global IT 中断的幕后黑手，此次中断扰乱了北美超过 15,000 家汽车经销店的运营，迫使CDK 关闭其 IT 系统和数据中心以控制事件，汽车经销商也不得不改用纸笔，导致买家无法购买汽车或接受已购车辆的服务。 参考链接：CDK Global 遭遇攻击导致系统中断，影响数千家美国汽车经销商   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播，该蠕虫能够窃取账户凭证和其他数据。 据发现该活动的卡巴斯基研究人员称，CMoon 可以执行多种功能，包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。 从攻击者使用的分发渠道来看，他们的目标范围集中在高价值目标而不是随机的互联网用户，这表明他们的行动非常复杂。 感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件（docx、.xlsx、.rtf 和 .pdf）链接时。 攻击者将文档链接替换为恶意可执行文件的链接，这些恶意可执行文件也托管在网站上，并作为自解压档案传递给受害者，其中包含原始文档和 CMoon 负载（以原始链接命名）。 卡巴斯基报告称：“我们还没有发现这种恶意软件的其他传播媒介，因此我们认为此次攻击仅针对特定网站的访问者。” 在该天然气公司收到此入侵通知后，恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。 由于 CMoon 的自我传播机制，感染仍在继续自主进行。 CMoon 是一种 .NET 蠕虫，它会将自身复制到一个新创建的文件夹中，该文件夹以其在受感染设备上检测到的防病毒软件命名；如果未检测到 AV，则复制到一个类似于系统文件夹的文件夹中。 该蠕虫在 Windows 启动目录上创建快捷方式，以确保它在系统启动时运行，从而确保重新启动之间的持久性。 为了避免在手动用户检查时引起怀疑，它将文件的创建和修改日期更改为 2013 年 5 月 22 日。 该蠕虫会监视新连接的 USB 驱动器，当任何 USB 驱动器连接到受感染的机器时，它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。 CMoon 还会查找 USB 驱动器上存储的有趣文件，并将它们临时存储在隐藏目录（“.intelligence”和“.usb”）中，然后将它们泄露到攻击者的服务器。 CMoon 具有标准的信息窃取功能，目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。 一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件，例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。 该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。 被盗文件和系统信息被打包并发送到外部服务器，在那里进行解密（RC4）并使用 MD5 哈希验证其完整性。 卡巴斯基表示，在其当前可见范围之外还有更多网站分发 CMoon，蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/H1YEJmnkrLXOjPOhVHZcmg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一种名为 BlankBot 的新型 Android 银行木马，该木马针对土耳其用户，旨在窃取财务信息。 Intel 471在上周发表的一份分析报告中表示：“BlankBot具有一系列恶意功能，包括客户注入，键盘记录，屏幕录制，并通过WebSocket连接与控制服务器进行通信。” 据说 BlankBot 于 2024 年 7 月 24 日被发现，正在积极开发中，该恶意软件滥用 Android 的辅助功能服务权限来完全控制受感染的设备。 下面列出了一些包含 BlankBot 的恶意 APK 文件的名称： app-release.apk （com.abcdefg.w568b） app-release.apk （com.abcdef.w568b） 应用程序发布签名 （14）.apk （com.whatsapp.chma14） app.apk （com.whatsapp.chma14p） app.apk （com.whatsapp.w568bp） showcuu.apk （com.whatsapp.w568b） 与最近重新出现的 Mandrake Android 木马一样，BlankBot 实现了基于会话的软件包安装程序，以规避 Android 13 中引入的限制设置功能，阻止侧载应用程序直接请求危险权限。 “该机器人要求受害者允许安装来自第三方的应用程序，然后它检索存储在应用程序资产目录中的未加密安卓软件包（APK）文件，并继续软件包安装过程。”Intel 471 说。 该恶意软件具有多种功能，可执行屏幕录制、键盘记录，并根据从远程服务器接收到的特定命令注入覆盖层，以获取银行账户凭证、支付数据，甚至用于解锁设备的图案。 BlankBot 还能拦截短信、卸载任意应用程序并收集联系人列表和已安装应用程序等数据。它还能进一步利用可访问性服务 API，阻止用户访问设备设置或启动杀毒应用程序。 “BlankBot 是一种仍在开发中的新型 Android 银行木马，在不同应用程序中观察到的多种代码变体就是证明。”这家网络安全公司表示。“无论如何，一旦恶意软件感染了Android设备，它就可以执行恶意操作。” Google发言人告诉The Hacker News，该公司尚未在Google Play商店中找到任何包含该恶意软件的应用程序。 这家科技巨头表示：“Google Play Protect会自动保护Android用户免受此已知版本恶意软件的侵害，该功能在使用Google Play服务的安卓设备上默认开启。“Google Play Protect 会向用户发出警告并阻止包含此恶意软件的应用，即使这些应用的来源在 Play 以外。” Google概述了它正在采取的各种措施，以打击威胁行为者使用Stingrays等蜂窝站点模拟器将短信直接注入Android手机，这种欺诈技术被称为SMS Blaster欺诈。 “这种注入消息的方法完全绕过了运营商网络，从而绕过了所有复杂的基于网络的反垃圾邮件和反欺诈过滤器，”Google表示。“SMS Blasters 暴露了一个虚假的 LTE 或 5G 网络，该网络只执行单一功能：将用户的连接降级到传统的 2G 协议。” 缓解措施包括在调制解调器层面禁用 2G 的用户选项和关闭空密码，后者是虚假基站注入短信有效载荷的必要配置。 今年5月初，Google还表示，如果用户的蜂窝网络连接未加密，或者犯罪分子利用蜂窝站点模拟器窥探用户或向他们发送短信形式的欺诈信息，Google就会向用户发出警报。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员发现了 Microsoft 的 Windows Smart App Control 和 SmartScreen 中的设计弱点，这些弱点可能使威胁行为者能够在不发出任何警告的情况下获得目标环境的初始访问权限。 智能应用控制 （SAC） 是 Microsoft 在 Windows 11 中引入的一项云驱动的安全功能，用于阻止恶意、不受信任和可能不需要的应用在系统上运行。如果服务无法对应用进行预测，它会检查应用是否已签名或是否具有有效的签名，以便执行。 与 Windows 10 一起发布的 SmartScreen 是一种类似的安全功能，可确定网站或下载的应用程序是否具有潜在的恶意。它还利用基于声誉的方法进行 URL 和应用保护。 “Microsoft Defender SmartScreen 评估网站的 URL，以确定它们是否已知分发或托管不安全的内容，”Redmond 在其文档中指出。 “它还为应用程序提供声誉检查，检查下载的程序以及用于签署文件的数字签名。如果 URL、文件、应用或证书已建立信誉，则用户不会看到任何警告。如果没有声誉，则该项目将被标记为风险较高，并向用户发出警告。” 还值得一提的是，当启用 SAC 时，它会替换和禁用 Defender SmartScreen。 Elastic Security Labs 在与 The Hacker News 分享的一份报告中表示：“Smart App Control 和 SmartScreen 存在许多基本的设计弱点，这些弱点允许在没有安全警告和最少用户交互的情况下进行初始访问。 绕过这些保护的最简单方法之一是使用合法的扩展验证 （EV） 证书对应用程序进行签名，恶意行为者已经利用这种技术来分发恶意软件，正如最近在 HotPage 中所证明的那样。 下面列出了一些可用于检测规避的其他方法： Reputation Hijacking，涉及识别和重新利用具有良好声誉的应用程序以绕过系统（例如，JamPlus 或已知的 AutoHotkey 解释器） Reputation Seeding，涉及使用看似无害的攻击者控制的二进制文件来触发由于应用程序中的漏洞而导致的恶意行为，或者在经过一定时间后触发恶意行为。 Reputation Tampering，涉及更改合法二进制文件（例如计算器）的某些部分以注入 shellcode，而不会失去其整体声誉 LNK Stomping，涉及利用 Windows 快捷方式 （LNK） 文件处理方式中的错误来删除 Web 标记 （MotW） 标签并绕过 SAC 保护，因为 SAC 会阻止带有标签的文件。 “它涉及制作具有非标准目标路径或内部结构的LNK文件，”研究人员说。“当单击时，这些LNK文件被explorer.exe与规范格式修改。这种修改导致在执行安全检查之前删除 MotW 标签。” “基于声誉的保护系统是阻止恶意软件的重要保障，”该公司表示。“然而，像任何保护技术一样，它们也有一些弱点，也可以绕过。安全团队应仔细检查其检测堆栈中的下载内容，而不是仅依赖操作系统原生安全功能在此区域提供保护。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自2021年起，俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。 网络安全公司卡巴斯基在2024年3月发现了这款恶意软件，并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制（C2）通信，以避免设立专用基础设施并逃避检测。 安全研究员Dmitry Kalinin在周一发布的技术报告中表示：LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。 目前尚不清楚该间谍软件的传播方式，但卡巴斯基推测，它可能是通过未知的安全漏洞或是直接接触目标手机来部署的，这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。 LianSpy一旦被激活，会先检查自己是不是以系统应用身份在运行。如果是，它会利用管理员权限在后台操作。如果不是，它会请求一系列权限以访问联系人、通话记录、通知，甚至会在手机屏幕上绘制覆盖层。 它还会检查自己是否在调试环境中运行，以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标，并触发屏幕截图、导出数据和更新配置等活动，以指定需要捕获的信息类型。 某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据，并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。 Kalinin说：“为了更新间谍软件配置，LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式’^frame_.+.png$’匹配的文件，如果找到，文件将被下载到应用程序的内部数据目录中。” 并且，收集的数据以加密形式存储在SQL数据库中，指定记录类型和SHA-256哈希值，只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。 LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能，该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数，防止通知图标出现在状态栏。 它还利用NotificationListenerService隐藏后台服务的通知，处理并抑制状态栏通知。 LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为”mu”的su二进制文件来获取root权限，这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。 此外，LianSpy的C2通信是单向的，只接收命令，不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令，从硬编码的Pastebin URL更新Yandex Disk的凭据，不同恶意软件变种的 Pastebin URL 各不相同，使用这种合法服务增加了混淆层，追踪LianSpy变得更加困难。 LianSpy是不断增长的间谍软件工具列表中的最新成员，通常利用零日漏洞攻击目标移动设备（无论是 Android 还是 iOS）。Kalinin表示：“除了收集通话记录和应用列表等标准间谍行为外，它还利用root权限进行隐蔽的屏幕录制，避开安全检查，其依赖重命名的su二进制文件，暗示了初次入侵后的二次感染。”   转自Freebuf，原文链接：https://www.freebuf.com/news/408008.html 封面来源于网络，如有侵权请联系删除