据Cyber News消息，11 月 10 日，一名黑客在某黑客论坛上列出了一个待售数据集，声称它包含 4.89 亿 Instagram 用户数据。 Instagram 每月有超过 20 亿活跃用户，意味着如果这些数据被证明是真实的，将影响将近四分之一的用户。 黑客分享了 100 多条数据样本，包括用户名、姓名 、电子邮件等。虽然黑客者声称这些数据是 “新收集的”，但在黑客论坛上分享的数据的有效性通常值得怀疑。 据 Cybernews 研究人员称，数据样本中共享的 Instagram 配置文件似乎是真实的。 抓取的数据样本 数据集样本中的电子邮件地址并不存在于以前泄露事件的数据集中，可能意味着数据确实是新的，但也可能是故意伪造的。 至于这些数据是通过何种方式获取，研究人员称如果黑客的行为可信，并且通过抓取公共 API 获取数据，则意味着私有 Instagram API 已向公众暴露，或者其公共 API 受到了对象属性级授权（Broken Object Property Level Authorization）的攻击。 Cybernews 已联系 Instagram 的母公司 Meta 寻求置评，但尚未收到回复。 虽然数据抓取处于法律灰色地带，但根据 Meta 的政策，未经公司许可，使用自动化获取数据违反了其条款。Meta 的网站声称有一个专门的外部数据滥用 （EDM） 团队，专注于检测和阻止抓取。 据说该团队还通过与威胁情报研究人员合作，并与有实力的托管供应商一起防止抓取的数据集在在线论坛上共享。       转自Freebuf，原文链接：https://www.freebuf.com/news/415153.html 封面来源于网络，如有侵权请联系删除

亚马逊披露了一起数据泄露事件，据称在 2023 年 5 月的 MOVEit 攻击中被盗的信息暴露了员工数据。 亚马逊披露了一起数据泄露事件，据称员工信息在 2023 年 5 月的 MOVEit 攻击中被盗。该公司称，数据是从第三方供应商处窃取的。 亚马逊没有披露受影响员工的人数。 在黑客论坛 BreachForums 上，一个名为 Nam3L3ss 的威胁者泄露了 280 多万条包含员工数据的记录。 被泄露的数据包括姓名、联系信息、办公地点、电子邮件地址等。暴露的数据不包括社会安全号或财务信息。 “亚马逊和 AWS 系统仍然安全，我们没有遇到安全事件。我们接到通知，我们的一家物业管理供应商发生了一起安全事件，包括亚马逊在内的几家客户都受到了影响。”亚马逊发言人亚当-蒙哥马利（Adam Montgomery）告诉 TechCrunch：“唯一涉及的亚马逊信息是员工的工作联系信息，例如工作电子邮件地址、办公桌电话号码和大楼位置。” 这家跨国科技公司证实，它已经修补了威胁者在攻击中发现的漏洞。 这将是有趣的几天。 亚马逊于 2023 年 5 月通过 MoveIT 0day 漏洞被入侵。根据我们收到的信息，我们可以确认亚马逊的数据是 100% 合法的。 更多信息：https://t.co/fCQF3Gy3nG – vx-underground (@vxunderground) 2024 年 11 月 11 日 网络安全公司 Hudson Rock 的研究人员报告称，“Nam3L3ss ”还声称据称从 25 个主要组织窃取的数据泄露。 “MOVEit此前已知被CL0P勒索软件组织利用，虽然很多公司都与该漏洞有关，但亚马逊、麦当劳等此次特定漏洞中的公司却与之无关。”哈德逊岩石公司发布的报告中写道。“研究人员目前还无法确认这些数据是来自 CL0P、其关联公司，还是 Nam3L3ss 自己利用了这些公司。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301785 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，朝鲜黑客正使用 Flutter 创建的木马记事本应用程序和扫雷游戏来攻击苹果 macOS 系统，这些应用程序具有合法的苹果开发人员 ID 签名和公证。 这些暂时经过了苹果安全检查的应用涉及窃取加密货币，与朝鲜黑客长期在金融盗窃方面的兴趣一致。根据发现该活动的 Jamf Threat Labs 的说法，该活动看起来更像是一场绕过 macOS 安全的实验，而不是一场成熟且高度针对性的操作。 从 2024 年 11 月开始，Jamf 在 VirusTotal 上发现了多个应用程序，这些应用程序对所有 AV 扫描似乎完全无害，但展示了“第一阶段”功能，连接到与朝鲜行为者相关的服务器。 这些应用程序均使用谷歌的 Flutter 框架为 macOS 构建，该框架使开发人员能够使用以 Dart 编程语言编写的单个代码库为不同的操作系统创建本地编译的应用程序。 Jamf研究人员表示，攻击者在基于 Flutter 的应用程序中嵌入恶意软件并非闻所未闻，但却是第一次看到攻击者使用它来攻击 macOS 设备。 由于嵌入在动态库 （dylib） 中，该库由动态库 （dylib） 在运行时加载，使用这种方法不仅为恶意软件开发者提供了更多功能，而且还使恶意代码更难检测。 Flutter 应用程序布局 在进一步分析其中一款名为 New Updates in Crypto Exchange （2024-08-28）的应用程序时，Jamf 发现 dylib 中的混淆代码支持 AppleScript 执行，使其能够执行从命令和控制 （C2） 服务器发送的脚本。该应用程序打开了一个适用于 macOS 的扫雷游戏，其代码可在 GitHub 上免费获得。 Jamf 发现的 6 个恶意应用程序中有 5 个具有用合法的开发人员 ID 签名，并且恶意软件已通过公证，这意味着这些应用程序被苹果的自动化系统扫描并被认为安全。 经过安全签名、带有木马的扫雷游戏 Jamf 还发现了两款基于 Golang 和 Python 变体的应用，两者都向一个已知的与朝鲜有关联的域 “mbupdate.linkpc[.]net “发出网络请求，并具有脚本执行功能。 目前苹果已经撤销了 Jamf 发现的应用程序签名，因此这些应用如果加载到最新的 macOS 系统上将无法绕过 Gatekeeper 防御。 然而，目前尚不清楚这些应用程序是否曾经用于实际操作，或者仅用于“在野”测试中，以评估绕过安全软件的技术。     转自Freebuf，原文链接：https://www.freebuf.com/news/415171.html 封面来源于网络，如有侵权请联系删除

微软已经确认，上个月的Windows安全更新正在破坏Windows 11 22H2和23H2系统上的SSH连接。 这个新确认的问题影响了企业、物联网(IoT)和教育客户，微软表示，只有“有限数量”的设备受到影响。 微软还在调查使用Windows 11家庭版或专业版的消费者客户是否受到影响。 “在安装2024年10月安全更新后，一些客户报告称OpenSSH（开放安全外壳）服务无法启动，阻止了SSH连接。”公司在10月补丁星期二KB5044285累积更新和KB5044380预览更新的支持文档更新中解释道。 “该服务失败时没有详细的日志记录，需要手动干预才能运行sshd.exe进程。” 在修复可用之前，受影响的客户仍然可以通过更新受影响目录上的访问控制列表(ACL)权限来临时修复这些SSH连接问题，具体步骤如下： 1. 以管理员身份打开PowerShell。 2. 更新“C:\ProgramData\ssh和C:\ProgramData\ssh\logs”文件夹的权限（并对“C:\ProgramData\ssh\logs”重复这些步骤），允许SYSTEM和管理员组完全控制权限，同时允许经过身份验证的用户读取权限。如果需要，你可以通过修改权限字符串来限制特定用户或组的读取权限。 3. 使用以下Powershell脚本更新权限： 微软正在积极寻找解决方案，该方案将通过即将到来的Windows更新推出。 11月9日，公司透露10月补丁星期二更新解决了影响Windows 11 24H2设备的指纹传感器冻结问题。 在指纹问题解决后，还删除了阻止受影响系统上Windows 11 24H2升级的安全防护。 上个月，微软修复了9月预览累积更新中的一个已知问题，该问题阻止一些应用程序在非管理员账户下启动在Windows 10 22H2系统上运行。 还解决了另一个问题，该问题导致安装了7月安全更新后，Windows服务器在企业网络中中断远程桌面连接。     转自E安全，原文链接：https://mp.weixin.qq.com/s/C_1CleTFPGiEOkdGNUe8og 封面来源于网络，如有侵权请联系删除

以色列各地的信用卡刷卡设备在周日（10日）出现故障，疑似由于网络攻击影响了支撑这些设备运行的通信服务。 超市和加油站的顾客因设备故障无法进行支付，事件持续了大约一个小时。 据《耶路撒冷邮报》报道，故障原因是当地支付网关公司Hyp旗下产品CreditGuard遭到分布式拒绝服务（DDoS）攻击。 这次攻击扰乱了信用卡终端与更广泛的支付系统之间的通信，但并未导致任何信息或支付数据被盗取。 Hyp公司发言人向《耶路撒冷邮报》透露，已排除了针对公司网络和基础设施进行更大规模干扰的可能性。发言人表示，DDoS攻击主要针对“公司部分服务及与公司连接的通信提供商”，但攻击在被发现后迅速得到了遏制，服务也很快恢复正常。 以伊冲突引爆网络威胁态势 目前尚不清楚谁是此次攻击的幕后主使。据《以色列时报》报道，以色列第12频道新闻和陆军电台均指出，一个与伊朗有关的黑客组织声称对此次攻击负责，但是并未提供具体信源。 此次事件与今年10月份发生的类似攻击事件相似。当时，支付公司Sheba也遭遇DDoS攻击。那次攻击持续了大约三小时，导致支付中断。由于Sheba在以色列国家支付系统中扮演重要角色，借记卡支付的审批过程也因此受到了延迟。 自10月7日恐怖袭击以来，因地区冲突，以色列的民用基础设施遭遇了更多网络攻击，主要是由与伊朗和真主党相关的黑客团体以及其他政治动机驱动的黑客活动主义者发起的。 这些团体发动的网络攻击不仅影响了以色列本土，还波及了该地区之外的民用基础设施。去年，爱尔兰西部的一个偏远地区因亲伊朗黑客组织攻击一台设备，导致当地居民两天无法用水。黑客声称该设备由以色列公司犹尼康（Unitronics）制造。 当时，美国联邦政府也发布警告，表示正在处理针对犹尼康可编程逻辑控制器（PLC）的活跃攻击。这些控制器广泛应用于包括宾夕法尼亚州阿里奎帕市政水务局在内的许多水务部门。       转自安全内参，原文链接：https://www.secrss.com/articles/72299 封面来源于网络，如有侵权请联系删除

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

戴尔发布了企业SONIC操作系统的安全更新，以解决多个漏洞，其中包括可能允许攻击者入侵受影响系统的关键漏洞。 这些漏洞被识别为 CVE-2024-45763、CVE-2024-45764 和 CVE-2024-45765，影响戴尔企业 SONIC 操作系统 4.1.x 和 4.2.x。 CVE-2024-45763： 受影响的 SONiC 版本中存在操作系统命令注入漏洞，“具有远程访问权限的高权限攻击者可利用此漏洞，导致命令执行”。戴爾強烈建議升級至已修補的版本，以減輕此 9.1 CVSS 評級風險 CVE-2024-45764： 身份验证中关键步骤缺失漏洞允许 “拥有远程访问权限的未经身份验证的攻击者[利用]此漏洞，导致保护机制绕过”。该漏洞的 CVSS 得分为 9.0，因此需要立即升级 CVE-2024-45765： 另一个操作系统命令注入漏洞，CVSS 得分为 9.1，可使高权限命令在低权限角色下执行，从而导致命令执行。 该公告称：“这是一个严重程度很高的漏洞，因此戴尔建议客户尽早升级。” 戴尔已经发布了企业SONIC操作系统的更新版本，以解决这些漏洞。我们敦促用户尽快升级到4.1.6或4.2.2版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/301721 封面来源于网络，如有侵权请联系删除

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新，解决了多个漏洞，其中一些漏洞可能导致远程代码执行。 Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器，它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件，当这些文件被有漏洞的 Ghostscript 版本处理时，就会触发这些漏洞，导致代码执行或信息泄露。 最严重的漏洞包括 CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956： 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中，包括 PostScript 解释器和 PDF 处理模块。 CVE-2024-46954： 此漏洞涉及超长UTF-8编码，可被利用来实现目录遍历，潜在允许攻击者访问敏感文件。 CVE-2024-46955： 该漏洞虽然不太严重，但可能导致越界读取，从而泄露敏感信息。 鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用，这些漏洞凸显了安全文档处理的关键需求，特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。 强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本，以降低被利用的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/301733 封面来源于网络，如有侵权请联系删除

网络犯罪分子一直在寻找绕过安全防御的新方法，据 Perception Point 报道，最新的策略是利用 ZIP 连接向 Windows 用户发送木马恶意软件。这种技术利用了 ZIP 文件格式的灵活性，允许攻击者以躲避检测方法的方式嵌入恶意有效载荷。 ZIP 文件压缩效率高、使用方便，因此被广泛用于捆绑文件。然而，这种结构也可能被利用。威胁者可以通过将多个 ZIP 压缩文件串联成一个文件来操纵 ZIP 文件。Perception Point 的报告解释说：“在处理连接的 ZIP 文件方面存在的这种差异使攻击者可以通过将恶意有效载荷隐藏在某些 ZIP 阅读器无法访问或不访问的存档部分来躲避检测工具”。 这种规避策略的影响因所使用的 ZIP 阅读器而异： 7zip： 它只显示存档的一部分，通常是良性文件，而潜在的恶意内容仍被隐藏。 WinRAR：这一工具可揭示整个有效载荷，同时暴露良性和恶意内容。 Windows 文件资源管理器： 它很难处理连接的 ZIP 文件，用户往往看不到隐藏的内容。 Perception Point 强调指出，这种可变性允许攻击者针对特定软件进行攻击。正如报告中指出的，“许多安全厂商依赖于流行的 ZIP 处理程序，如 7zip 或操作系统本地工具……威胁行为者知道这些工具经常会错过或忽略隐藏在压缩包中的恶意内容。” Perception Point 的分析发现了一个钓鱼电子邮件活动，该活动分发了一个伪装成合法运输文件的压缩 ZIP 文件。这个名为 SHIPPING_INV_PL_BL_pdf.rar 的恶意文件一旦用 WinRAR 或 Windows 文件资源管理器打开，就会发现档案中隐藏了一个可执行木马。该木马使用 AutoIt 脚本嵌入，能够下载额外的恶意有效载荷，有可能导致严重的系统危害。 Perception Point 推出了 “递归解包器”，这是一种专有的反规避算法，能够检测和提取深层隐藏的内容。通过分析连接的 ZIP 文件的每一层，Recursive Unpacker 可降低风险并提高对潜在威胁的可见性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301742 封面来源于网络，如有侵权请联系删除  

据BleepingComputer消息，Code White 安全研究员最近披露了一个关键的Veeam备份和复制（VBR）安全漏洞，并被用来部署Frag勒索软件。 Veeam是一家知名的数据管理供应商，官方表示全球有55万名客户使用其产品，其中包括全球 2000 强名单中约 74% 的公司。在早前，Veeam VBR已先后成为Akira和Fog勒索软件的目标。 研究员发现，该漏洞（跟踪为 CVE-2024-40711）是由不受信任的数据弱点反序列化引起，未经身份验证的威胁行为者可以利用这些数据弱点在 Veeam VBR 服务器上获得远程代码执行 （RCE）。 Frag勒索软件赎金票据 watchTowr Labs 于 9 月 9 日发布了对 CVE-2024-40711 的技术分析，并将概念验证漏洞的发布时间推迟到 9 月 15 日，以便管理员有足够的时间应用 Veeam 于 9 月 4 日发布的安全更新。 由于存在可能会立即被勒索软件团伙滥用的风险，Code White 在披露该漏洞时也推迟了分享更多细节。Veeam VBR 软件是攻击者寻求快速访问公司备份数据的热门目标，许多企业将其用作灾难恢复和数据保护解决方案，以备份、恢复和复制虚拟机、物理机和云计算机。 然而，Sophos X-Ops 事件响应人员发现，这对延缓 Akira 和 Fog 勒索软件攻击的作用微乎其微。 威胁者利用 RCE 漏洞和窃取的 VPN 网关凭据，在未打补丁和已暴露于互联网的服务器上向本地管理员和远程桌面用户组添加恶意账户。 最近，Sophos 还发现同一威胁活动集群（跟踪为 “STAC 5881″）在攻击中使用了 CVE-2024-40711 漏洞，导致 Frag 勒索软件被部署到被入侵的网络上。 2023 年 3 月，Veeam 修补了另一个高严重性 VBR 漏洞 (CVE-2023-27532)，该漏洞可让恶意行为者攻破备份基础设施。       转自Freebuf，原文链接：https://www.freebuf.com/news/414973.html 封面来源于网络，如有侵权请联系删除