全球领先的商业通信公司Mitel发布了一份重要的安全公告，指出其MiCollab软件中存在一个严重的SQL注入漏洞，该漏洞特别影响音频、网络和视频会议（AWV）组件。该漏洞被命名为 CVE-2024-47223，CVSS 得分为 9.4，表明一旦被利用将可能造成重大损失。 该漏洞源于对用户输入的 sanitization 不足，允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。 Mitel 在其公告中警告说：“成功利用该漏洞需要特制的 URL，并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案，因此该风险尤为突出。” 如果攻击者成功利用了 CVE-2024-47223，他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而，潜在的危害还不止于此。Mitel 的公告称，攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表，从而可能导致 MiCollab 系统无法运行。 鉴于该漏洞的严重性，Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出：“Mitel 建议受影响产品版本的客户更新到最新版本”，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。 OSI Security公司的Patrick Webster发现并报告了这一漏洞，他的及时发现引起了Mitel的注意。 对于无法立即升级的客户，Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁，以降低风险。该补丁可通过 Mitel 的知识管理系统获取，并提供了帮助保护受影响系统的具体说明。     转自安全客，原文链接：https://www.anquanke.com/post/id/300846 封面来源于网络，如有侵权请联系删除

在中东紧张局势升级之际，继以色列对伊朗 10 月 1 日的导弹袭击作出回应后，伊朗的政府部门和核设施也遭到了网络攻击。 在中东紧张局势升级之际，伊朗周六遭遇重大网络攻击，政府部门和核设施受到干扰。以色列承诺对伊朗10月1日的导弹袭击作出回应，而在加沙和黎巴嫩的地区冲突加剧之际，伊朗也遭到了大规模网络攻击。 伊朗网络空间最高委员会前秘书 Abolhassan Firouzabadi 告诉当地媒体，伊朗遭受了网络攻击。Firouzabadi 还补充说，威胁者从目标基础设施中窃取了敏感信息。 伊朗国际报援引伊朗网络空间最高委员会前秘书菲鲁扎巴迪的话说：“伊朗政府的几乎所有三个部门（司法部门、立法部门和行政部门）都遭到了严重的网络攻击，其信息被窃取。我们的核设施也是网络攻击的目标，燃料配送网络、市政网络、运输网络、港口和类似部门也是攻击的目标。”他补充说：“这些只是全国各地受到攻击的众多领域中的一部分。” 伊朗民航组织禁止在航班上使用传呼机和对讲机，因为在黎巴嫩发生了涉及这些设备的破坏袭击，造成 39 名真主党成员死亡。 伊朗民航组织发言人说：“伊朗民航已禁止在所有航班上携带寻呼机和对讲机。这一决定是在经历黎巴嫩真主党武装组织成员，遭受破坏性袭击的三周之后做出的，当时传呼机和对讲机发生爆炸，造成至少 39 人死亡。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300836 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会最近发布的一份报告显示，尽管数月前就已发布了修补程序，但仍有大量 Fortinet 设备存在严重的远程代码执行 (RCE) 漏洞。 CVE-2024-23113 是一个影响 fgfmd 守护进程的认证前 RCE 漏洞，Fortinet 早在 2024 年 2 月就首次披露并修补了该漏洞。该漏洞允许未经身份验证的攻击者通过无需用户交互的简单攻击，在有漏洞的设备上执行任意代码。 Shadowserver 在 2024 年 10 月 12 日的扫描中发现了惊人的 87390 个唯一 IP 地址，这些地址仍在托管易受攻击的 Fortinet 设备。美国的暴露设备数量最多（约14,000台），其次是日本（5,100台）和印度（4,800台）。 我们现在报告的Fortinet IP仍有可能受到CVE-2024-23113（格式字符串预验证RCE）的攻击。该漏洞已知在野外被利用。 2024-10-12 扫描发现 87,390 个 IP。顶部：美国（14K）、日本（5.1K）、印度（4.8K） 该漏洞影响 Fortinet 的多种产品，包括： FortiOS 7.0 及更新版本 FortiPAM 1.0 及更高版本 FortiProxy 7.0 及以上版本 FortiWeb 7.4 Fortinet 于 2024 年 2 月首次披露并修补了该漏洞，敦促管理员更新系统以避免被利用。该公司建议，作为一项重要的缓解措施，从所有接口移除对易受攻击的 fgfmd 守护进程的访问，但这需要以限制 FortiManager 发现 FortiGate 为代价。Fortinet 还建议管理员实施本地策略，限制特定 IP 地址的 FGFM 连接。但他们强调，这只是一种缓解措施，而不是全面的解决方案，因为漏洞仍可能从允许的 IP 被利用。 尽管有这些警告，但仍有大量设备未打补丁，给全球组织带来持续风险。 上周，网络安全和基础设施安全局（CISA）发出警报，确认 CVE-2024-23113 正在被攻击者利用。Shadowserver最近的发现进一步凸显了这一漏洞的规模，因为仍有数千台Fortinet设备暴露在漏洞中。这种广泛的暴露使关键基础设施、企业和政府组织面临网络攻击的风险，特别是由于利用该漏洞只需极少的努力。     转自安全客，原文链接：https://www.anquanke.com/post/id/300839 封面来源于网络，如有侵权请联系删除

微软在即将推出的 Windows Server 版本中淘汰了老旧的点对点隧道协议 (PPTP) 和二层隧道协议 (L2TP)，从而在增强 VPN 安全性方面迈出了重要一步。虽然这些协议长期以来一直是 Windows VPN 的组成部分，但微软鼓励用户过渡到更现代、更安全的替代协议： 安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2)。 微软在最近的一份声明中指出：“随着技术的发展，我们的安全协议也必须与时俱进。作为我们提供最高级别安全和性能的持续承诺的一部分，我们将在未来的 Windows Server 版本中淘汰 PPTP 和 L2TP 协议。” 值得注意的是，弃用并不意味着立即删除。 微软澄清说：“被弃用的功能将继续工作并得到全面支持，直到它们被正式移除。我们相信您已经将产品生命周期纳入了您的管理策略。即便如此，弃用通知也可以跨越几个月或几年的时间，以帮助您进行必要的过渡。” 此举并不令人意外，因为 PPTP 和 L2TP 存在安全漏洞已有时日。随着威胁环境的不断变化，这些协议已不再被认为足够强大，能够满足现代安全标准。 微软提倡采用 SSTP 和 IKEv2，理由是它们具有卓越的安全性、性能和可靠性。SSTP 利用 SSL/TLS 加密技术提供安全的通信通道，并能无缝穿越防火墙。IKEv2 拥有强大的加密算法、稳健的身份验证和更高的性能，因此特别适合移动用户。 虽然未来的 Windows Server 版本仍允许使用 PPTP 和 L2TP 进行 VPN 输出连接，但将不再支持基于这些协议的输入连接。这一变化旨在引导用户使用更安全的 VPN 配置。 为了促进平稳过渡，微软提供了有关如何安装和配置 SSTP/IKEv2 以实现 VPN 服务器功能的详细说明。 这一停用标志着 Windows Server VPN 功能的重大转变，它优先考虑安全性并鼓励采用现代协议。通过过渡到 SSTP 和 IKEv2，企业可以确保其网络通信在面对不断变化的网络威胁时保持安全、高效和可靠。     转自安全客，原文链接：https://www.anquanke.com/post/id/300842 封面来源于网络，如有侵权请联系删除

HashiCorp 发布了一份安全公告，披露了其 Vault 秘密管理平台中的一个漏洞，该漏洞可能允许攻击者将权限升级到高度敏感的根策略。 图片来源：安全客 该漏洞被追踪为 CVE-2024-9180，CVSSv3 得分为 7.2，源于 “Vault 内存实体缓存中条目处理不当”。公告解释说，拥有 “根命名空间身份端点写权限 ”的恶意行为者可以通过 Vault 节点上的身份 API 端点操作其缓存的实体记录，并有可能将其权限升级到该节点上的 Vault 根策略。 从本质上讲，这意味着攻击者可以利用这个漏洞获得对 Vault 实例的完全控制权，从而可能泄露敏感数据并中断关键操作。 幸运的是，这个漏洞的影响是有限的。HashiCorp 澄清说：“被操纵的实体记录不会在整个集群中传播，也不会持久化到存储后端，而且会在服务器重启时被清除。” 此外，该漏洞只影响根命名空间中的实体，不会影响标准命名空间或管理命名空间中的实体。由于 HCP Vault Dedicated 依赖于管理命名空间，因此也不会受到影响。 不过，HashiCorp 敦促所有 Vault 用户 评估与此问题相关的风险，并考虑升级 到已打补丁的版本。 以下版本提供了补救措施： Vault 社区版 1.18.0 Vault 企业版：1.18.0、1.17.7、1.16.11、1.15.16 作为升级的替代方案，HashiCorp 建议实施 Sentinel EGP 策略或修改默认策略，以限制对身份终端的访问。此外，监控 Vault 审计日志，查找 “identity_policy ”数组中包含 “root ”的条目，有助于发现潜在的利用企图。     转自安全客，原文链接：https://www.anquanke.com/post/id/300825 封面来源于网络，如有侵权请联系删除

一、组织概述 （一）组织背景 Hunters International勒索组织最早于2023年10月进入大众视野，以RaaS（勒索软件即服务）模式运作。自发布以来，该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业，影响范围覆盖全球各个地区。 从起源上，Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名，这也是它能在短时间内成功实施多起勒索攻击的重要原因。 Hunters International声称其源码来自于Hive Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限，并部署如Cobalt Strike、SharpRhino等远控工具，最终传播勒索软件，加密和窃取数据。此外，该组织重视保密性，严格管控信息，保证其行动的隐蔽性。近期，Hunters International勒索组织日渐猖獗，使其在网络犯罪领域迅速崭露头角，强势威胁全球网络安全。 Hunters International数据泄露站点 作为典型的双重勒索组织，Hunters International对外宣称其主要目的是数据泄露，以此施压受害者，要求他们支付赎金，上图展示了该组织的数据泄露站点。 （二）攻击活动统计 根据公开数据统计，2024年初至今，Hunters International组织已成功发起163次勒索攻击。从下图可知，该组织近期攻击活动较为频繁。 各月攻击次数(注：统计日期截止2024/09/13) 从受害者国家分布来看，Hunters International组织的主要目标是美国，其中欧洲、亚洲一些国家也遭遇数次攻击，其中，中国占比3%左右。 受害者国家分布 从受害者所在行业分布来看，该组织针对的行业没有明显的倾向性，其中，以制造业和信息技术行业为主，占比分别为30.6%和9.8%。 受害者行业分布 二、样本分析 今年8月，国外研究机构披露，Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼，从而入侵企业内网，最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为，本文针对该事件涉及的样本进行详细分析。 （一）SharpRhino远控木马 Hunters International组织投递远控木马SharpRhino的完整流程如下图所示： SharpRhino远控木马通过捆绑合法工具ipscan进行传播，母体样本ipscan为NSIS安装程序，解压后包含如下文件： 当双击ipscan安装程序，7za.exe程序被触发，调用7za.dll对UpdateFull.7z解压，解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下，如下图： 其中，LogUpdate.bat和WindowsUpdate.bat两者功能相似，Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件，指向了LogUpdate.bat脚本文件。 LogUpdate.bat为批处理脚本，用来启动PowerShell脚本文件Wiaphoh7um.t。 Wiaphoh7um.t为PowerShell脚本文件，该脚本主要有两个功能： 解密出经过高度混淆的SharpRhino木马的C#源代码； 将SharpRhino源码编译加载到内存，将C2、加密密钥、延时时间传递给函数HPlu()并执行； SharpRhino为最终的远控木马，具体信息如下表： SharpRhino运行之后，首先会生成随机16个字节的ClientID ，并收集系统信息。 然后通过http与服务器进行连接，并发送上线数据包。数据包为json格式，分为三个字段“UUID”，“ID”，“Data”。首次向服务器发送数据时“UUID”的值为null，“ID”为 ClientID，“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器： cdn-server-2.wesoc40288.workers.dev。 捕获到的上线包数据流量如下： 发送数据包之后，客户端接收服务器的响应，解析出相应指令并执行：服务器返回指令共有三种情况： delay：延迟一定时间后再次向服务器发送http请求 exit：直接退出程序 PowerShell：执行任意PowerShell命令 为了更详细的分析控制端与客户端的通信行为，我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例，构造的控制端向客户端发送指令的流量如下图： 下图展示了数据包被解密后，客户端成功打开了计算器。 （二）Hunters International勒索软件 该勒索软件需要提供“-c 用户名:密码”才能执行，该用户名和密码用于受害者登录泄露网站查看信息，最后保存在勒索信中提供给受害者。 勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息，执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开，加密后的文件通常被加上“.locked”后缀。对比早期的版本（2024.03），近期的版本（2024.07）在加密过程信息输出和勒索信内容方面进行了更新。 新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。 勒索信方面，文件名和内容都进行了更新，早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。 该勒索软件执行后首先检查解析命令行参数，如果没有提供参数，当前执行立即终止。现整理部分参数如下： 参数项 描述 -c 指定用户名密码，格式为“user:password”，必选参数 -t/-threads/–threads 加密线程数量，默认为10 -R/-no-remote/–no-remote 不加密远程共享文件 -k/-kill/–kill 要杀死的进程 -s/-skip/–skip 跳过不加密的文件 -E/-no-erase/–no-erase 不擦除磁盘空间 -X/-no-extension/–no-extension 不给加密后文件添加后缀 -w/-wait/–wait 等待一段时间后加密 该勒索软件中使用的字符串都被单独移位+异或加密保存，使用时移位+异或解密后拼接恢复。 解析完命令行参数后，程序会创建一个线程池来进行后续的多线程的文件加密操作，在加密文件前，该程序会执行以下命令来删除卷影以阻止备份和恢复 exe delete shadows /all /quiet exe shadowcopy delete exe delete systemstatebackup exe delete catalog-quiet exe /set {default} recoveryenabled No exe /set {default} bootstatuspolicy ignoreallfailures exe delete systemstatebackup -keepVersion:3 停止包含以下列表中名称的服务和进程，防止文件被占用无法加密。 agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon 枚举网络中存在的主机： 遍历本地磁盘驱动器类型，以区分本地和网络共享磁盘。 然后开始分别扫描本地文件，和网络共享文件，添加到不同的待加密文件列表中使用不同的线程分开加密。 文件加密过程中，该程序会跳过以下的文件名、文件目录名及文件后缀。 跳过的文件名： READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db 跳过的文件目录名： Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs 跳过的文件后缀名： 386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx 该勒索软件使用 AES 算法来加密文件内容，加密密钥由BCryptGenRandom()函数生成的随机数组成，加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密，该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。 加密过程完成后，该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件，并不断写入 16384字节的随机数据，直到磁盘上没有可用空间，最后再删除该文件，以此来覆盖硬盘数据，防止从硬盘中恢复文件。 三、ATT&CK 下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。 四、新华三防护方案 新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前，新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。 五、IOC angryip[.]org angryipsca[.]com cdn-server-1[.]xiren77418[.]workers[.]dev cdn-server-2[.]wesoc40288[.]workers[.]dev ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af 24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355 1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47     转自FreeBuf，原文链接：https://www.freebuf.com/news/412262.html 封面来源于网络，如有侵权请联系删除

网络中存在的各类威胁错综复杂且不断变化，攻击者一直在改进其攻击方法，经常出现一些新的信息窃取恶意软件。据Cyber Security News消息，最近一种名为 PureLogs 的恶意软件以其低廉的价格、不俗的功能受到攻击者青睐。 图片来源：FreeBuf PureLogs  是用 C# 构建的 64 位信息窃取程序，并使用 commercial.NET Reactor 打包器将其程序集捆绑到多个阶段， 能够通过 Chrome、Edge、Opera等浏览器获取私人信息，与 Lumma、Vidar 和 Meduza 等少数其他恶意软件具有相同的能力。 2022 年，PureLogs 最初在地下市场上出售，此后在多个地下论坛上进行了推广，并在 clearnet 上保留了一个帐户和专用市场。目前该程序通过将潜在客户引导至特定Telegram机器人以获得支持和销售查询，价格为每月99美元、每季度199美元、每年299美元和终身用户的499美元，是市场上最便宜的信息窃取程序之一。 根据 Flashpoint Intel Team 报告，PureLogs 分三个阶段运行。加载和执行阶段是第一个阶段，第二阶段是在加载最终信息窃取程序集之前进行反沙箱测试和网络配置。到了第三阶段，PureLogs开始实施信息窃取程序代码，并获取以下信息： 浏览数据 Chrome、Edge 和 Opera 扩展 加密货币钱包应用程序 桌面应用程序 受害者计算机信息 文件夹、文件扩展名等都可以被 PureLogs 识别并抓取，并可将相关数据传输到 Telegram。PureLogs 的Telegram 面板可显示受害者的详细信息、被窃数据的数量、捕获的屏幕截图以及可以整个下载的日志文件。 由于该恶意软件非常易于操作、价格低廉且进入门槛低，让低水平攻击者也能成功实施较复杂的攻击操作。 参考来源：PureLogs, Low Cost Infostealer Attacking Chrome Browser     转自FreeBuf，原文链接：https://www.freebuf.com/news/412760.html 封面来源于网络，如有侵权请联系删除

施耐德电气就其 Harmony 工业 PC 系列和 Pro-face PS5000 传统工业 PC 系列的系统监控应用程序中的一个关键漏洞发布了安全通报。 该漏洞被跟踪为 CVE-2024-8884，CVSS v3.1 得分为 9.8，因此是一个严重威胁，如果不打补丁，可能会暴露敏感信息和潜在的运行故障。 该漏洞存在于这些工业 PC 中使用的系统监视器应用程序中，这些工业 PC 以轻薄耐用的设计著称，为工业环境提供灵活的连接。该关键漏洞是由于敏感信息通过不安全的 HTTP 连接暴露给了未经授权的行为者。具体来说，如果攻击者能通过网络与应用程序进行交互，就能获取凭证。 这一漏洞使企业面临拒绝服务（DoS）攻击、敏感数据泄漏和潜在完整性问题的重大风险，最终可能导致关键工业环境中的运行故障。 CVE-2024-8884 漏洞影响以下产品中所有版本的系统监视器应用程序： Harmony 工业 PC 系列：HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP； Pro-face PS5000 传统工业 PC 系列。 这两个产品系列在工业环境中被广泛用于监控和管理生产系统，因此对于依赖施耐德电气解决方案来确保其设施无缝运行的公司来说，这一威胁尤其令人担忧。 施耐德电气为受此漏洞影响的客户提供了详细的修复策略。建议的解决方案是卸载系统监控应用程序。 施耐德电气还强烈建议客户遵循行业最佳实践，包括在测试和开发环境或离线基础架构中测试卸载过程，以避免对生产造成意外干扰。     转自安全客，原文链接：https://www.anquanke.com/post/id/300810 封面来源于网络，如有侵权请联系删除

Palo Alto Networks 发现了一种名为 “Lynx ”的新型勒索软件威胁行为体，它正积极瞄准美国和英国各行各业的组织。不过，这种新的恶意软件并不是全新的，事实上，它是 2023 年 8 月出现的 INC 勒索软件家族的改版。 自出现以来，Lynx勒索软件已经掀起了波澜，其攻击目标涉及零售、房地产、建筑和金融服务等多个领域。该变种以 “勒索软件即服务”（RaaS）的方式运行，因此其他网络犯罪分子也可以在其攻击中部署该变种。 Lynx 勒索软件背后的恶意行为者采用了复杂的技术，包括双重勒索策略，即在加密受害者数据之前先将其流出。如果不支付赎金，被盗数据可能会泄露或在暗网上出售。 Lynx 勒索软件的血统可以直接追溯到 INC 勒索软件，估计有 48% 的代码与之共享。使用开源工具 BinDiff 对这两种恶意软件进行比较，证实了两者的相似性。Palo Alto Networks 发现，许多核心功能（约 70.8%）被重复使用，这表明 Lynx 开发人员严重依赖 INC 的代码库。 BinDiff 显示的 INC 和 Lynx 勒索软件代码相似性 | 图片： Palo Alto Networks 这种对已有勒索软件代码的依赖在网络犯罪领域并不罕见。正如报告所指出的，“通过利用已有代码，并在其他成功勒索软件打下的基础上继续发展，威胁行为者可以节省时间和资源，从而更快、更有效地发起攻击。这种代码的重复使用导致了勒索软件家族的迅速扩散，随着地下市场上源代码的增多，这种趋势很可能会继续下去。” Lynx 勒索软件最危险的一点是它实施双重勒索。受害者不仅要面对被加密的文件，还要面临敏感数据被暴露的风险。Lynx 背后的组织声称已经入侵了许多公司，并将窃取的数据显示在公共网站上。虽然他们声称自己避开政府机构、医院和非营利组织，但他们的攻击仍对许多行业构成重大威胁。 Palo Alto Networks 强调了 Lynx 勒索软件的广泛部署途径，包括网络钓鱼电子邮件、恶意下载和黑客论坛上的资源共享。因此，企业在防御这些多方面威胁时必须保持警惕。 对Lynx勒索软件的技术分析表明，它使用了先进的加密算法，包括CTR模式下的AES-128和Curve25519 Donna，这使得它在不支付赎金的情况下解密异常困难。该勒索软件专门针对 Windows 系统，据观察，它使用重启管理器 API (RstrtMgr) 来提高加密效率，Conti 和 Cactus 等其他臭名昭著的勒索软件家族也使用了这种技术。 此外，Lynx勒索软件在设计时考虑到了灵活性，允许攻击者通过各种命令行参数自定义执行方式。这样，攻击者就能根据自己的具体需求定制攻击，无论是加密特定目录、网络驱动器还是服务。 恶意软件中的命令行选项 | 图片： Palo Alto Networks Lynx 勒索软件的出现凸显了网络威胁不断演变的本质。企业需要保持警惕并积极采取网络安全措施，以降低此类威胁带来的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300789 封面来源于网络，如有侵权请联系删除

Mozilla 为其 Firefox 浏览器发布了一个紧急安全更新，以解决一个目前在野外被利用的关键漏洞。该漏洞被追踪为 CVE-2024-9680，CVSS 得分为 9.8，允许攻击者在用户系统上执行任意代码。 图片来源：安全客 “东部时间周二上午 8 点左右，我们收到反病毒公司 ESET 的警告，他们提醒我们在野外发现了一个 Firefox 漏洞。”Mozilla 在一份安全公告中说。“我们要衷心感谢 ESET 与我们分享他们的发现，正是这样的合作让网络对每个人来说都更加安全。” 该漏洞存在于动画时间轴组件中，它是 Firefox Web Animations API 中的一个机制，用于控制和同步网页上的动画。更具体地说，它是一个 “释放后使用”（use-after-free）漏洞，这是一种内存损坏漏洞，当程序释放内存位置后继续使用该位置时就会出现这种漏洞。这样，攻击者就可以注入恶意代码并控制受影响的系统。 Mozilla 解释说：“ESET 发送给我们的样本包含一个完整的漏洞利用链，允许在用户计算机上远程执行代码。在收到样本的一个小时内，我们就召集了一个由安全、浏览器、编译器和平台工程师组成的团队，对该漏洞进行逆向工程，迫使它触发有效载荷，并了解它是如何工作的。” 尽管没有提前通知，而且漏洞利用非常复杂，但 Mozilla 还是在短短 25 小时内开发并发布了修复程序。这种快速反应凸显了漏洞的严重性，以及立即更新到最新版本火狐浏览器的重要性。 修补版本包括： Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1、Thunderbird 115.16、Thunderbird 128.3.1 和 Thunderbird 131.0.1。 令人担忧的是，Mozilla 已确认该漏洞正被积极利用来攻击 Tor 浏览器用户。不过，有关这些攻击的性质和攻击者身份的详细信息仍然很少。     转自安全客，原文链接：https://www.anquanke.com/post/id/300781 封面来源于网络，如有侵权请联系删除