流行的 WordPress 备份插件 WP Time Capsule 存在一个严重漏洞，导致 20,000 多个网站容易被完全接管。 该漏洞（CVE-2024-8856）由安全研究员Rein Daelman发现，未经认证的攻击者可将任意文件上传到网站服务器。这意味着恶意行为者有可能注入后门、恶意软件，甚至完全控制网站。 该漏洞源于插件的 UploadHandler.php 文件缺乏文件类型验证，以及缺乏直接文件访问防护。这种危险的组合为攻击者提供了入侵易受攻击网站的直接途径。 该漏洞的 CVSS 得分为 9.8，被列为严重漏洞。这强调了网站所有者立即采取行动的紧迫性。 成功利用此漏洞可能导致 数据泄露： 攻击者可能窃取敏感的用户信息、财务数据或专有内容。 网站篡改： 恶意行为者可能会篡改网站内容，损害网站声誉和用户信任。 恶意软件传播： 网站可能被用来向毫无戒心的访问者分发恶意软件。 完全接管服务器： 攻击者可以完全控制托管网站的服务器。 WP Time Capsule 开发团队已在 1.22.22 版本中解决了这一漏洞。强烈建议所有用户立即更新到该版本。 以下是 WordPress 用户的一些基本最佳实践： 保持更新插件和主题： 定期将所有插件和主题更新到最新版本，以修补安全漏洞。 使用强大的密码： 为 WordPress 管理员账户和所有用户账户选择强大、唯一的密码。 实施双因素身份验证： 启用双因素身份验证，增加一层额外的安全性。 定期备份网站： 备份对于从安全事故或数据丢失中恢复至关重要。 选择信誉良好的插件： 只安装来源可靠、安全记录良好的插件。     转自安全客，原文链接：https://www.anquanke.com/post/id/301939 封面来源于网络，如有侵权请联系删除

众所周知，钓鱼邮件几乎都是以网络为载体进行传播，但在瑞士，网络犯罪分子将这一行为发展到了线下，通过实体信件向受害者传播恶意软件。 据Cyber News消息，有黑客冒充瑞士气象局（联邦气象和气候学办公室），以该部门的抬头发送纸质信件，其中包含一个二维码，要求收件人下载最新的“恶劣天气警报程序”。 为了让受害者尽可能地扫码下载，信中称该信用被要求强制安装，对家庭安全至关重要，因此提示用户使用智能手机扫描二维码，然后按照后续说明下载并安装该应用程序。 瑞士国家网络安全中心 （NCSC） 警告说，网络犯罪分子正在使用这种方法将恶意软件加载到移动设备上。该恶意应用程序试图模仿联邦民防局官方的 Alertswiss 应用程序，该机构使用它来通知、警告和提醒民众。 NCSC透露，如果受害者扫码并安装了程序，就会载入一个名为“Coper”（也称为“Octo2”）恶意软件。Octo2是一个会窃取银行账户凭证的安卓系统木马，在意大利、波兰、摩尔多瓦、匈牙利等国家广泛传播。 除此以外，Octo2还会图访问其他将近400款智能手机应用程序的登录数据，并将其外泄到攻击者控制的服务器上。 但这款“带毒”的冒牌货也可通过肉眼识别出端倪，首先，假冒程序的名称为“AlertSwiss”（S为大写），而不是官方正版的“Alertswiss”（S为小写），此外，二者的Logo也存在些许差异。 瑞士当局已建议用户忽略该信件并将其扔掉。但恶意应用程序可以采取多种形式，伪装成其他应用继续传播。       转自Freebuf，原文链接：https://www.freebuf.com/news/415468.html 封面来源于网络，如有侵权请联系删除

Perception Point 的最新发现揭露了一种先进的两步式网络钓鱼技术，该技术利用 Microsoft Visio 文件（.vsdx）和 SharePoint 发起极具欺骗性的凭证盗窃活动。 Microsoft Visio 文件传统上用于绘制流程图和网络地图等专业图表，但现在已被武器化。Perception Point 的报告显示：“在最近的网络钓鱼活动中，Visio 文件正被用来传递恶意 URL，在两步攻击路径中创建一个欺骗性传递点。” 这种方法利用了用户对 SharePoint 和 Microsoft Visio 等熟悉平台的信任。通过在被入侵的 SharePoint 账户托管的 .vsdx 文件中嵌入恶意 URL，攻击者可以绕过许多标准安全措施。 攻击分为两步，旨在逃避检测和利用用户行为： 第一步：诱惑 攻击者首先利用被攻破的电子邮件账户向目标发送网络钓鱼电子邮件。“这些电子邮件因其来源而看似合法，通常包含令人信服的叙述，如紧急商业提案或采购订单。”这些电子邮件可能包含一个链接或 .eml 文件附件，其中包含一个指向 SharePoint 托管的 Visio 文件的 URL。 第二步：陷阱 点击链接后，受害者会重定向到一个托管 Visio 文件的受攻击 SharePoint 页面。该文件包含一个嵌入式 “行动召唤 ”按钮，通常标注为 “查看文档”。受害者被指示按住 Ctrl 键并点击，这个简单的操作可以绕过自动安全系统。一旦点击，嵌入的 URL 就会将用户引导到一个伪造的 Microsoft 365 登录页面，该页面的目的是收集凭证。“该报告解释说：”与链接互动会将受害者重定向到一个冒充 Microsoft 365 的钓鱼页面。   这种网络钓鱼技术结合了复杂的技术和心理操纵。通过要求用户执行按住 Ctrl 键等手动操作，攻击者可以躲避自动电子邮件安全扫描仪和检测工具。此外，合法品牌（包括组织徽标）的使用也增加了恶意 Visio 文件的可信度。 Perception Point 的研究人员观察到，使用这种方法的攻击明显增加，目标是全球数百家组织。报告警告说，这些活动 “旨在逃避检测和利用用户的信任”，强调了在企业环境中保持警惕的重要性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301944 封面来源于网络，如有侵权请联系删除  

Cisco Talos 最近发现了一个针对欧洲和亚洲政府和教育部门敏感信息的复杂网络活动。该活动由一个讲越南语的威胁分子操纵，利用一种名为 “PXA Stealer ”的新型信息窃取恶意软件。思科的报告显示，PXA Stealer 经过精心设计，可潜入受害者的系统，从网络浏览器和应用程序中窃取一系列关键数据，包括凭证、财务信息和其他敏感信息。 Talos 报告强调：“PXA Stealer 有能力解密受害者的浏览器主密码，并利用它窃取各种在线账户的存储凭证。”这一独特功能使恶意软件能够绕过安全措施，直接访问加密的浏览器数据，让攻击者能够获取用户名、密码、cookie，甚至自动填充信息。 此次活动的目标实体包括印度的教育机构以及瑞典和丹麦等欧洲国家的政府组织。据 Talos 称，“攻击者的动机是窃取受害者的信息，包括各种在线账户的凭证、浏览器登录数据、cookie、自动填充信息、信用卡详细信息、各种加密货币在线和桌面钱包的数据、已安装的 VPN 客户端的数据、游戏软件账户、聊天工具、密码管理器和 FTP 客户端。” 支持 PXA Stealer 的基础架构包括 tvdseo[.]com 等域，这些域疑似已被攻陷或被用于托管恶意有效载荷的合法访问。威胁行为者利用 Telegram 机器人进行数据外渗，有效隐藏并协调敏感数据的传输。Talos 专家发现，“攻击者的 Telegram 账户有传记数据，其中包括一个指向私人杀毒软件检查网站的链接，该网站允许用户或买家评估恶意软件程序的检测率”，这表明这是一种确保 PXA Stealer 不被发现的精心策划的方法。 Cisco Talos 观察到，PXA Stealer 活动开始于一封带有 ZIP 文件附件的钓鱼电子邮件，其中包含一个用 Rust 编写的恶意加载程序。加载程序执行后，会部署多个混淆批脚本，以避免被检测到。Talos 指出，“该过程中的每一步都至关重要，需要精确执行才能实现准确的去混淆”，这凸显了恶意软件传播方式的复杂性。 除了传统的数据窃取，PXA Stealer 还针对流行浏览器中的特定配置文件，提取存储在加密数据库中的登录数据、cookie 和信用卡详细信息。该恶意软件还 “从浏览器的登录数据文件中收集受害者的登录信息”，优先获取与高价值账户相关的信息。     转自安全客，原文链接：https://www.anquanke.com/post/id/301925 封面来源于网络，如有侵权请联系删除

在执法部门和加密侦探迅速追踪到黑客之后，去中心化金融公司 Thala Labs 追回了从其一份养殖合约中窃取的 2550 万美元流动性池代币。 Thala在11月16日的一篇文章中透露，11月15日，该公司遭遇了一个 “安全漏洞”，原因是 “与其v1养殖合约有关的一个孤立漏洞”，该漏洞允许黑客提取流动性代币。 Thala表示，它立即暂停了所有相关合约，冻结了价值1150万美元的Thala相关资产，并迅速查明了黑客的身份。 Thala 表示：“在执法部门、Seal 911、Ogle 和其他人的帮助下，我们很快就确定了漏洞利用者的身份。” 加密侦探 Ogle 说，黑客在事件发生 6 小时后交还了资金，而 Thala 则表示，他们获得了 30 万美元的赏金，以换取用户资产的全部归还。攻击者的身份细节没有披露。 Thala 强调说，“受影响的用户无需采取进一步行动，其头寸将得到 100% 的补偿。” 资料来源：Thala Labs 塔拉实验室 Thala前端的访问已恢复正常。但是，在Thala对协议代码库进行 “广泛审查 ”和重新审核之前，养殖活动仍处于暂停状态，用户无法进行押注和解押。 Thala 首席执行官亚当-卡德尔（Adam Cader）在 11 月 16 日的一篇 X 帖子中指出，这次攻击涉及 Thala 与 Move 的集成，Move 是由 Movement Labs 构建的模块化区块链网络。 “未来在Move上发生一些安全问题是不可避免的，但为什么我们都在这里建设，就是为了让这些问题发生的频率和严重程度大大降低，并且随着时间的推移，相邻的工具变得越来越强大，趋势是0。” Thala 是 Aptos layer-1 区块链上最著名的 DeFi 平台之一。 据CoinGecko称，自事件发生以来，THL代币已下跌约35%，至0.51美元。 在此次漏洞中，价值约250万美元的THL代币被盗，另有900万美元来自Thala的Move Dollar（MOD）稳定币。 与此同时，DefiLlama的数据显示，Thala被锁定的总价值从11月15日的2.4亿美元降至本文撰写时的1.956亿美元。 Thala 协议自 2023 年 4 月以来的 TVL 变化。来源：DefiLlama 资料来源：DeFiLlama 区块链安全公司CertiK报告称，10月份受害者被抢走近1.3亿美元，其中大部分来自漏洞利用。 10 月份最大的事件涉及借贷协议 Radiant Capital，损失约 5400 万美元。 网络安全公司 Hacken 的数据显示，在 2024 年第三季度的前三个月中，黑客在 28 起事件中窃取了约 4.6 亿美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/301933 封面来源于网络，如有侵权请联系删除

阿帕奇软件基金会（Apache Software Foundation）发布了阿帕奇流量服务器（Apache Traffic Server）的安全更新，解决了可能使用户遭受一系列网络攻击的三个关键漏洞。 这些漏洞影响到 9.0.0 至 9.2.5 版和 10.0.0 至 10.0.1 版，包括缓存中毒和潜在的权限升级。 CVE-2024-38479 （CVSS 7.5）： 缓存密钥插件漏洞 此漏洞允许攻击者操纵缓存密钥插件，可能导致缓存中毒攻击。 通过向服务器缓存注入恶意内容，攻击者可将用户重定向到钓鱼网站或发送恶意软件。 CVE-2024-50305 （CVSS 7.5）： 主机字段漏洞 特制的「Host」字段值可引致Apache Traffic Server 崩溃。 此阻断服务漏洞可被利用来干扰网站的可用性及影响合法用户。 CVE-2024-50306 （CVSS 9.1）： 启动时的权限升级 此高严重漏洞源于一个未检查的回传值，可能允许Apache Traffic Server在启动时保留较高的权限。 利用此漏洞，攻击者可对服务器及其数据进行重大控制。 缓解措施 Apache 软件基金会敦促所有用户立即更新其安装。 9.x 分支的用户应升级到 9.2.6 或更高版本，而运行 10.x 分支的用户应升级到 10.0.2 或更高版本。       转自安全客，原文链接：https://www.anquanke.com/post/id/301930 封面来源于网络，如有侵权请联系删除

Gen Digital 公司的高级恶意软件研究员 Jan Rubín 最近分析发现，一种名为 Glove Stealer 的新型恶意软件是一种针对大量浏览器数据和本地安装的应用程序的强力信息窃取程序。Glove Stealer 使用 .NET 编写，它采用了一种专注于渗出敏感数据的方法，包括 Cookie、自动填充数据、加密货币钱包和 2FA 身份验证器。 Glove Stealer 严重依赖社交工程策略进行传播。它经常以一种看似有用的工具（如 ClickFix）出现在网络钓鱼活动中，诱使用户以为自己正在排除系统故障。Rubín 解释说：“诸如此类的策略会欺骗用户，让他们以为是在帮助自己，但按照攻击者的指示操作，他们实际上是在无意中感染了自己的设备。” 网络钓鱼邮件通常包含一个模仿虚假错误信息的 HTML 附件，提示用户通过 PowerShell 或运行提示执行恶意脚本。恶意软件本身以编码有效载荷的形式从服务器下载，并最终在服务器上进行数据窃取操作。 Glove Stealer 更为先进的功能之一是能够绕过谷歌 Chrome 浏览器的应用绑定加密（Chrome 浏览器 127 版引入）。为了实现这一功能，Glove Stealer 使用了一个利用 IElevator 服务的专用模块，这是 2024 年 10 月公开披露的一种方法。这种绕过方法允许 Glove Stealer 访问原本受保护的 Chrome 浏览器数据，包括 Cookie 和存储的密码。Rubín 解释说：“这种绕过方法涉及使用 IElevator 服务，”使攻击者能够检索对解密受保护信息至关重要的 App-Bound 密钥。 该模块伪装成 zagent.exe，被战略性地放置在 Chrome 浏览器的 “程序文件 ”目录中。这个位置至关重要，因为 App-Bound 加密会验证调用者进程的路径，这意味着 Glove Stealer 必须拥有本地管理员权限才能成功执行该模块。 Glove Stealer 并不局限于 Chrome 浏览器。它还针对其他流行浏览器，如 Firefox、Edge、Brave，甚至 CryptoTab 等专注于加密货币的浏览器。该恶意软件会系统性地终止浏览器进程，然后以有组织的结构收集数据，并将其保存在名为 Cookies、Autofill、OTP 和 Wallets 的文件夹中。通过这种方法，攻击者可以全面掌握受害者的在线活动和敏感信息。 Glove Stealer 的攻击目标包括加密货币钱包扩展、Google Authenticator 和 LastPass 等 2FA 工具以及 Thunderbird 等电子邮件客户端。 收集数据后，Glove Stealer 会根据受害者最近的文件将其整理到一个唯一的目录路径中，并标记上根据设备名称和序列号生成的 MD5 哈希值。数据收集完成后，将使用 ECB 模式下的 3DES 加密技术对数据进行打包和加密。加密后的数据包会以 Base64 编码文件的形式发送到命令与控制 (C&C) 服务器，为数据外泄过程增加了一层隐蔽性。 Rubín 总结说：“Glove Stealer 能够从 Chrome、Firefox、Edge、Brave 等多种浏览器中窃取各种信息。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301936 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，研究人员最近在高级人工智能图像生成模型中发现了一个潜在的安全漏洞，能够在无意中泄露敏感系统指令，尤其是在高级扩散模型 Recraft 中。 近来，以Stable Diffusion 和 Midjourney 为代表的图像生成模型在人工智能生成图像领域掀起了一场革命。Invicti 的安全研究人员称，Invicti 公司的安全研究人员发现，这些模型的工作原理是通过一种称为 “去噪 “的过程，将随机噪音逐渐细化为清晰的图片。 目前在文本到图片排行榜上处于领先地位的 Recraft 所展示的功能已经超越了典型的扩散模型。研究人员注意到，Recraft 可以完成图像生成模型通常无法完成的语言任务。 例如，当提示数学运算或地理问题时，Recraft 会生成包含正确答案的图像，而其他模型则不同，它们只是将文本可视化，而无法理解。 此外，进一步的调查还发现，Recraft 采用了两级架构： 大型语言模型 (LLM) 处理和改写用户提示信息，以及将处理后的提示传递给扩散模型。这种独特的方法使 Recraft 能够处理复杂的查询，并生成更准确、更能感知上下文的图像。 不过也带来了一个潜在的漏洞。 通过仔细实验，研究人员发现某些提示可以诱使系统泄露部分内部指令。 通过生成带有特定提示的多个图像，研究人员能够拼凑出用于指导大模型行为的系统提示片段。 一些泄露的说明包括：以 “法师风格 “或 “形象风格 “开始描述、提供物体和人物的详细描述、将说明转化为描述性句子、包括具体的构图细节、避免使用 “太阳 “或 “阳光 “等词语、必要时将非英语文本翻译成英语。 这种无意中泄露系统提示的行为引起了人们对人工智能模型的安全性和隐私性的极大关注。 如果恶意行为者能够提取敏感指令，他们就有可能操纵系统、绕过安全措施或深入了解专有的人工智能技术。 这一事件为 AI 开发人员和研究人员敲响了警钟，随着 AI 不断进步并更深入地融入我们生活的各个方面，确保这些系统的安全性和完整性变得至关重要。     转自Freebuf，原文链接：https://www.freebuf.com/news/415336.html 封面来源于网络，如有侵权请联系删除

匈牙利官员向当地媒体证实，该国国防采购机构（VBÜ）遭到“国际黑客组织”的攻击。 周四早些时候，名为 INC Ransomware 或 INC Ransom 的网络犯罪组织声称可以访问该机构的数据，并在其暗网门户网站上发布了示例截图。 先前的研究表明，该组织于去年出现，主要针对医疗保健、教育和政府实体。其背后的运营者仍然未知。 匈牙利国防部在回应媒体询问时拒绝透露可能的信息泄露，称调查仍在进行中。该部补充说，VBÜ 不存储敏感的军事数据。匈牙利是北约联盟的成员。 总理维克托·欧尔班的幕僚长盖尔盖利·古利亚斯将此次袭击归咎于“敌对的外国非国家黑客组织”，但没有透露该组织的名字。 古利亚斯在周四的新闻发布会上表示，可能被访问的最敏感数据包括“有关军事采购的计划和数据”。 匈牙利新闻媒体 Magyar Hang报道称，INC 勒索软件入侵了该机构的服务器，下载并加密了所有文件。据称，黑客发布了包含匈牙利军队空中和陆地能力数据的文件截图，以及标有“非公开”的文件。 媒体报道称，泄露的数据“相当新”，一些文件可追溯到今年 10 月。据报道，黑客索要 500 万美元赎金。 匈牙利官员没有就他们是否正在与黑客谈判发表评论。国防部尚未回应 Recorded Future News 的置评请求。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bIPxaypcWTd3AUp9Ov9O8g 封面来源于网络，如有侵权请联系删除

网络安全公司 ClearSky 警告称，Windows 中一个新修补的day漏洞可通过用户最少的交互（例如删除文件或右键单击文件）被利用。 该0day漏洞编号为 CVE-2024-43451，是一个中等严重程度的漏洞，会影响 MSHTM 引擎，该引擎继续由 Internet Explorer 模式下的 Edge 和其他应用程序通过 WebBrowser 控件使用，从而使它们暴露于困扰该组件的任何安全缺陷。 成功利用 CVE-2024-43451 允许威胁组织窃取受害者的 NTLMv2 哈希，然后通过执行传递哈希攻击使用它来作为目标用户进行身份验证。 微软在 11 月 12 日的安全公告（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451）中指出：“用户与恶意文件进行最小程度的交互，例如选择（单击）、检查（右键单击）或执行除打开或执行之外的操作，都可能触发此漏洞。” ClearSky 发现了该漏洞并于 2024 年 6 月向微软报告，据该公司称，一些看似无害的操作可能会触发隐藏在 URL 文件中的漏洞，包括删除文件和将文件拖放到另一个文件夹。 ClearSky 观察到 CVE-2024-43451 被疑似俄罗斯黑客在针对乌克兰实体的攻击中利用。 受害者会收到来自受感染的乌克兰政府服务器的钓鱼电子邮件，提示他们更新学历证书。这些电子邮件将受害者引导至从政府官方网站下载的恶意 ZIP 文件。 该档案包含两个文件——一个 PDF 文档和一个 URL 文件——针对两个已知漏洞，即 CVE-2023-320462 和 CVE-2023-360251。该 URL 指向外部服务器以获取两个可执行文件，也旨在利用新披露的0day漏洞。 ClearSky 在一份技术报告中解释道：“当用户通过右键单击、删除或移动 URL 文件与它交互时，漏洞就会被触发。此操作会与攻击者的服务器建立连接并下载更多恶意文件，包括 SparkRAT 恶意软件。” 攻击链 该网络安全公司表示，在 Windows 10 和 Windows 11 上，URL 文件在执行任何这些操作时都会立即与外部服务器建立通信。在 Windows 7、8 和 8.1 上，该漏洞仅在多次尝试后才会触发。 ClearSky 表示，这表明“新发现的漏洞在 Windows 10/11 操作系统上更容易被利用”。 乌克兰计算机应急响应小组 (CERT-UA) 称，CVE-2024-43451 已被追踪为 UAC-0194 的威胁组织利用为0day漏洞，该威胁组织疑似来自俄罗斯。据 ClearSky 称，攻击者使用了与其他团体常见的工具包和技术。 技术报告：https://www.clearskysec.com/wp-content/uploads/2024/11/Zero-day-cve-2024-4351-report.pdf       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tPJInKAx4HZxpk8o98_lTg 封面来源于网络，如有侵权请联系删除