网络安全研究人员发现了一种新的隐秘 Linux 恶意软件，它利用一种非常规技术在受感染的系统中实现持久性并隐藏信用卡盗刷代码。 该恶意软件被认为是一名以经济利益为目的的攻击者所为，Stroz Friedberg 事件响应服务团队将其代号命名为sedexp 。 研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto表示：“这种高级威胁自 2022 年以来一直活跃，隐藏在众目睽睽之下，同时为攻击者提供了反向 shell 功能和先进的隐蔽战术。” sedexp 的突出特点是它使用 udev 规则来保持持久性。udev 是设备文件系统的替代品，它提供了一种根据设备属性识别设备的机制，并配置规则以在设备状态发生变化（即插入或移除设备）时做出响应。 udev 规则文件中的每一行至少有一个键值对，从而可以按名称匹配设备，并在检测到各种设备事件时触发某些操作（例如，在连接外部驱动器时触发自动备份）。 SUSE Linux 在其文档中指出：“匹配规则可以指定设备节点的名称、添加指向该节点的符号链接或运行指定程序作为事件处理的一部分。如果未找到匹配规则，则使用默认设备节点名称来创建设备节点。” sedexp 的 udev 规则——ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” ——设置为每当 /dev/random （对应设备次要编号8）加载时就会运行恶意软件，这通常在每次重启时发生。 换句话说，每次系统重启后都会执行 RUN 参数中指定的程序。 该恶意软件具有启动反向 shell 的功能，以便于远程访问受感染的主机，以及修改内存以隐藏任何包含字符串“sedexp”的文件，使其无法被 ls 或 find 等命令发现。 Stroz Friedberg 表示，在其调查的案例中，该功能已被用来隐藏 Web Shell、更改的 Apache 配置文件以及 udev 规则本身。 研究人员表示：“该恶意软件被用来在网络服务器上隐藏信用卡抓取代码，表明其重点是经济利益。sedexp 的发现表明，除了勒索软件之外，以经济为目的的攻击者也变得越来越复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Zifwuv5D57_gQ7eAPFxI1w 封面来源于网络，如有侵权请联系删除

APT组织执行了“AppDomainManager 注入”，这类似于 DLL 侧加载，但可以说更容易、更隐蔽。 正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。 第一个“GrimResource”是一种新技术，允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。 第二种技巧是“AppDomainManager 注入”，它使用恶意动态链接库 (DLL)，但比传统的侧载更简单。这种技巧已经存在七年了，被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。 NTT 研究人员在一篇新博客文章中表示，自 7 月以来，一个高级威胁组织一直在结合使用这些技术，将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。 GrimResource 的工作原理 攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。 ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上，它是一个管理保存控制台 (MSC) 文件，这是一种用于保存 MMC 内配置和设置的文件类型。 MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改，这些更改可用于从电子邮件中执行有效负载。 这是一种非常有趣且功能强大的文件格式，与许多经常被滥用的常见文件格式相比，它受到的关注较少。 利用此类漏洞的一种技术是GrimResource，它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题，在 MMC 中实现任意代码执行。 在此活动中，攻击者使用它来消除感染过程中的一个步骤：无需让受害者单击 MSC 文件中的恶意链接，只需打开 MSC 文件即可触发嵌入的 Javascript。 然后，恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”，并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的，那么它如何被用来下载恶意软件呢？ 激活 AppDomainManager注入 所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域，这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中，攻击者会使用恶意代码创建一个 AppDomainManager 类，然后诱骗目标应用程序加载该类而不是合法应用程序。 这可以通过配置三个特定环境变量（APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION）来实现，或者像本次攻击活动中的情况一样，上传一个自定义配置文件，该文件只会指示应用程序运行其恶意的 AppDomainManager。 Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说：“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分，它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。 NTT 研究人员写道：“目前，DLL 侧载是执行恶意软件的最常见方法，但 AppDomainManager 注入比 DLL 侧载容易得多，并且人们担心未来利用可能会增加。” 由于发现此类恶意注入非常困难，King 建议采取一种防御方法，在此类攻击发生之前进行阻止。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tRdadOHmncKH4-HLZ5jUWg 封面来源于网络，如有侵权请联系删除

西雅图-塔科马国际机场已确认，周末发生的 IT 系统故障导致预订登机系统中断和航班延误，该故障很可能是网络攻击造成的。 西雅图-塔科马国际机场是西雅图的主要国际机场，也是美国西北地区最繁忙的机场。2023 年，该机场服务了近 5100 万名乘客。该机场是阿拉斯加航空和达美航空的主要枢纽，服务于 91 个国内目的地和 28 个国际目的地。 8 月 24 日星期六，西雅图港警告称，该港和西雅图机场正遭受“可能的网络攻击”导致的持续中断，迫使他们隔离某些关键系统以控制损失。 “西雅图港（包括西雅图机场）正在经历互联网和网络系统中断，这影响了机场的一些系统。建议乘客向航空公司查询航班的最新信息。”西雅图港发布的 X 帖子写道。“今天早上，西雅图港出现某些系统中断，表明可能遭受网络攻击。港口隔离了关键系统，正在努力恢复全面服务，但尚未确定恢复时间。” “我们正在与相关部门和合作伙伴密切合作，以帮助可能受到影响的旅客。如果您今天出行，请与我们的航空公司合作伙伴联系以获取旅行信息，并留出更多时间到达西雅图机场和登机口。” 周日，服务中断仍在继续，机场建议人们通过航空公司网站获取旅行信息，例如其航班对应的登机口号码。 截至撰写本文时，该机场的网站仍处于离线状态，而官方 X 账号警告乘客应执行某些操作，例如通过航空公司应用程序办理即将起飞的航班的登机手续，因为机场内的航站楼仍然处于瘫痪状态。 “西雅图港（包括西雅图机场）的系统中断仍在继续。”机场运营商的最新消息称，“港口团队继续在恢复系统正常运行方面取得进展，但尚未确定恢复时间。” 阿拉斯加航空还通过 X 告知乘客，西雅图机场的行李分拣系统“极其有限”，建议乘客只携带最少的必需品，并尽可能避免托运行李。 建议需要托运行李的旅客在行李标签上写上自己的全名和联系方式。阿拉斯加航空在其网站上告知，这些信息将用于追踪由于当前情况而未在抵达时出现在行李传送带上的行李。 联邦调查局发言人向《西雅图时报》证实，他们“已知悉这一事件，正在与合作伙伴查明事情真相”，但未透露任何其他信息。 目前还没有任何勒索软件团体或其他黑客组织对此次攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-JgsVqyUeVBbSa4sE0ityg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。 这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。 MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。 JFrog 研究人员在一份详细报告中表示：“固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。” 一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行（例如，Pickle 模型文件）。 这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。 另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。 研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会呈现这些内容。” 这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。 换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。 为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/33OxeqSO2YfF6Ffv-Ows0g 封面来源于网络，如有侵权请联系删除

安全内参8月23日消息，美国半导体制造公司微芯科技（Microchip Technology）披露，“未经授权的第三方破坏了公司对某些服务器的使用以及部分业务操作。” 微芯科技于周二向美国证券交易委员会（SEC）提交文件披露称，8月17日，该公司“检测到可能涉及其信息技术系统的可疑活动。”公司随后展开调查。8月19日，调查结果确认存在未经授权的访问。该公司采取了隔离相关系统、关闭其他系统等多项措施，并聘请了外部网络安全顾问来确定问题范围。 “由于该事件，公司某些制造设施的运营低于正常水平，公司目前履行订单的能力受到影响。”文件中还承诺，微芯科技正在尽快努力修复问题。 文件没有提及事件原因、对芯片制造商造成的破坏程度，或是否涉及勒索软件。但是，文件提到对受影响的系统进行隔离。这表明未经授权的第三方活动有蔓延到公司IT系统其他部分的潜在风险。 任何芯片制造商的生产能力下降的消息都不容乐观。微芯科技的此次事件尤为令人担忧，因为在2024年1月，拜登政府向该公司拨款1.62亿美元，用于扩大其制造旗舰微控制器的工厂。美国政府称这笔资金将推动美国汽车、国防和航空航天工业的发展。这种表述反映出微芯科技是极其重要的军方供应商。 微芯科技的产品被设计用于关键任务，常用于汽车、飞机、导弹等高速移动的设备，或在恶劣的偏远地区运行的设备。例如，美国航空航天局（NASA）将在其下一代高性能航天计算机（HPSC）中使用微芯科技芯片。 该公司还提供铸造服务。如果此次事件影响了铸造过程，将会对硅材料供应造成严重打击。 针对芯片制造商的网络攻击并不罕见。仅在今年，台积电（TSMC）、安世半导体（Nexperia）和超威半导体公司（AMD）就发生了类似事件。过去此类攻击也屡见不鲜，比如英伟达（Nvidia）在2022年就遭遇了勒索软件事件。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/06ql1QkrlZNR7frnTWgVsw 封面来源于网络，如有侵权请联系删除

Cato Security 发现一种名为 Cthulhu Stealer 的新信息窃取程序，它以 Apple macOS 为目标，窃取大量信息。 Cthulhu Stealer通过伪装成合法软件的 Apple 磁盘映像 (DMG) 攻击 macOS 用户。研究人员发现 Cthulhu Stealer 会冒充 Adobe GenP、CleanMyMac 和 Grand Theft Auto IV 等合法软件的磁盘映像。 恶意代码用 GoLang 编写，在安装 dmg 时，它会提示用户使用 macOSosascript工具输入他们的系统和 MetaMask 密码。 一旦用户输入了凭证，恶意软件就会将其存储在一个目录中，并使用 Chainbreak 转储 Keychain 密码。然后，恶意软件会创建一个包含系统和网络信息的 zip 存档，并向命令和控制 (C2) 服务器发送通知。该恶意软件还会收集系统信息，包括 IP 地址和硬件/软件信息。 “Cthulhu Stealer 的主要功能是从各种商店窃取凭证和加密货币钱包，包括游戏账户。有多个检查器函数可以检查目标文件存储的安装文件夹，通常在“Library/Application Support/[file store]”中。” Cado Security 发布的报告写道:“在 /Users/Shared/NW 中创建一个目录，并将安装文件夹的内容转储到每个商店的文本文件中。” 该恶意软件可以从各种来源窃取各种类型的信息。其中包括浏览器 cookie，它可以让攻击者访问用户会话和存储的密码，以及众多加密货币钱包。例如 Coinbase、MetaMask、Wasabi、Binance、Daedalus、Electrum、Atomic、Harmony、Enjin、Hoo、Dapper、Coinomi、Trust、Blockchain 和 XDeFI 钱包，突显了该恶意软件专注于利用金融数据。 此外，该恶意软件还针对特定的应用程序和服务，窃取 Telegram 的 Tdata 帐户信息、Minecraft 用户帐户，甚至 Battlenet 的游戏相关文件，表明它有可能破坏个人和游戏活动。该恶意软件还可以转储 Keychain 和 SafeStorage 密码。 Cthulhu Stealer 与Atomic Stealer信息窃取程序具有相似的功能和特性，因此专家推测它们可能是由同一开发人员创建的。这两个窃取程序都使用 macOS 命令行工具osascript提示用户输入密码，甚至在提示中包含相同的拼写错误。 Cthulhu Stealer 的开发者和附属机构以 Cthulhu 团队的名义运营，通过 Telegram 进行交流并以每月 500 美元的价格出租他们的恶意软件。联盟会员负责部署恶意软件，并从主要开发者那里获得一定比例的收益。Cthulhu Stealer 已在两个知名恶意软件市场上出售，并在 Telegram 上做广告。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/KSzkYjbmLyXcCju5DFSLGw 封面来源于网络，如有侵权请联系删除

SolarWinds 在其 Web Help Desk 产品中留下了硬编码凭证，可供远程、未经身份验证的攻击者使用，登录易受攻击的实例、访问内部功能并修改敏感数据 该软件制造商称这是一个严重的疏忽，目前已发布更新修复；制造商鼓励用户安装修复程序，该修复程序会删除内置的硬编码凭证。 该安全漏洞编号为CVE-2024-28987，CVSS 严重性评级为 9.1（满分 10）。 它影响 Web Help Desk 12.8.3 HF1 及所有先前版本，并已在 12.8.3 HF2 中修复。昨天发布的修补程序必须手动安装。 WHD 是 SolarWinds 的 IT 帮助台票务和资产管理软件，其网站拥有来自政府、教育、医疗保健、非营利组织和电信领域客户的推荐。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z9feIKhNS9VrRE__XM6xsA 封面来源于网络，如有侵权请联系删除

Atlassian 发布了 2024 年 8 月安全公告，详细介绍了影响 Bamboo、Confluence、Crowd 和 Jira 产品的九个高严重性漏洞。 Bamboo 数据中心和服务器收到了针对两个高严重性漏洞的补丁，其中包括一个经过身份验证的远程代码执行漏洞，其漏洞编号为 CVE-2024-21689。 第二个漏洞是一个拒绝服务 (DoS) 安全缺陷，影响 Bouncy Castle Jva 依赖项。该漏洞编号为 CVE-2024-29857，无需身份验证即可利用。 针对 Confluence 数据中心和服务器发布的补丁解决了两个高严重性安全缺陷，包括 Apache Tomcat (CVE-2024-34750) 中的 DoS 问题，该问题可能被未经身份验证的攻击者利用。 第二个缺陷是反射式跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 问题，编号为 CVE-2024-21690，它可能允许远程、未经身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 该公司解释说，攻击者可以“强迫最终用户在当前已经过身份验证的 Web 应用程序上执行不必要的操作”。 Atlassian 解决了 Crowd Data Center 和 Server 中的三个高严重性 SSRF 漏洞。这三个漏洞被标记为 CVE-2024-22259、CVE-2024-22243 和 CVE-2024-22262，均会影响该产品使用的 Spring Framework。 该公司还宣布了针对 Jira 数据中心和服务器以及 Jira 服务管理数据中心和服务器的 Apache Tomcat 依赖项中高严重性漏洞的补丁。该漏洞编号为 CVE-2024-34750，可导致 DoS 攻击。 Atlassian 在其安全公告中表示，针对这些漏洞的补丁已于上个月发布。尽管该公司并未提及这些漏洞是否已被利用，但建议用户尽快更新其安装。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yLPxy0MQx1vzpF4acGJS-g 封面来源于网络，如有侵权请联系删除

黑客使用有效的管理员凭据获得了对交换机的访问权限，然后从应用程序级别“越狱”到操作系统级别。 进一步的证据表明，经验丰富的攻击者越来越多地攻击边缘设备和网络设备，以提高隐身性和持久性：在这个案例中，一个名为“Velvet Ant”的黑客组织实力雄厚，但却鲜为人知。 2024 年 7 月 1 日，思科发布了一份公告，详细介绍了影响其 Nexus 交换机使用的 NX-OS 软件的 CLI 命令注入漏洞。 同一天，Sygnia 报告称发现该漏洞已被其追踪的黑客组织 Velvet Ant 使用。Sygnia 现已发布有关 Velvet Ant TTP 的更多信息。 Velvet Ant是 Sygnia 为该黑客组织的命名。该公司没有发现任何证据表明其他研究人员研究过该组织。 Velvet Ant攻击事件是老练攻击者通过边缘或网络设备攻击网络的典型案例。此类设备通常设计为黑匣子，用户访问权限有限，通常没有日志记录，安全堆栈也无法查看。成功攻击者的优势在于隐蔽性和持久性显著提高。 在一篇新博客文章中，Sygnia 描述了 Velvet Ant 多年来如何向网络基础设施的“更深、更黑暗”部分过渡，并最终危及思科交换机的安全。 Nexus 交换机运行 NX-OS。它具有分层架构，包括有限的 CLI“应用程序”级别和基于 Linux 的底层操作系统级别。授权管理员使用应用程序级别 CLI 执行网络管理任务，但不能（或不应该）直接访问受保护的操作系统级别。交换机的管理与操作系统分离，并受 CLI 的限制。操作系统级别处理核心系统功能、运行进程和管理对交换机操作至关重要的资源。 在可见性方面，操作系统层面发生的事情仍停留在操作系统层面——管理员和网络安全堆栈无法看到。“这些交换机设备不允许用户访问底层操作系统，因此几乎不可能扫描到入侵指标。”研究人员指出。 在这起事件中，Velvet Ant 首先使用有效的管理员凭据访问了交换机，然后从应用程序级别“越狱”（使用命令注入漏洞）进入操作系统级别。攻击者通过应用程序级别访问网络，并在操作系统级别实现隐藏持久性。 该漏洞编号为CVE-2024-20399，仍在等待 NVD 分析。思科公告将其评为中等严重性等级，漏洞描述为“思科 NX-OS 软件 CLI 中的漏洞可能允许拥有管理员凭据经过身份验证的用户在受影响设备的底层操作系统上以 root 身份执行任意命令。” 通过控制交换机，Velvet Ant 能够直接转向网络上的其他设备，而无需采用通常的横向移动方法——大多数不良行为者入侵都是通过这种方法检测到的。Velvet Ant 的目的是从事间谍活动。 研究人员表示：“这种访问使攻击者能够提升对交换机的控制权，使他们能够执行恶意脚本并操纵系统，超出预期的管理能力。” 该漏洞的发现是针对 Velvet Ant 间谍活动的大规模取证调查的一部分。在此期间，Sygnia 发现了使用有效管理凭据执行的可疑 Base64 编码命令。这些命令曾用于加载和执行二进制文件，并被追溯到交换机。 Velvet Ant 在利用后删除驻留证据。尽管如此，Sygnia 还是能够从设备内存中重建已使用的恶意软件。它将该恶意软件命名为 VelvetShell – 两种开源工具 TinyShell（Unix 后门）和 3proxy 的混合构造。 虽然这些工具长期以来一直被单独用于恶意目的，但 Velvet Ant 将它们整合到单个二进制文件中。在这种组合格式下，它可以执行任意命令、下载和上传文件，以及创建用于代理网络流量的隧道。简而言之，它对受感染系统提供了广泛的控制，既可以实现数据泄露，也可以实现持续访问。 最初的0day漏洞（现已被思科修补）并不容易利用。攻击者必须拥有网络访问权限和管理员凭据才能访问 Nexus 交换机。这种复杂性解释了为什么思科自己的公告中只给 Nexus 漏洞一个“中等”严重评级。 如果能做到这一点，攻击者可以利用该漏洞访问和控制交换机操作系统，并从那里访问和利用其他设备，同时保持对网络安全堆栈的隐藏。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JC3ml71XHISjRWIepP4Ocg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，来自美国肯塔基州的39岁男子Jesse Kipf（杰西·基普夫）使用被盗的凭证侵入夏威夷死亡登记系统，将自己的信息更改为已经去世。 美国司法部 （DoJ） 的一份新闻稿表示，该男子在2023年1月利用了居住在另一个州的医生账户访问了上述系统，制作了一份自己的死亡证明表，将该医生指定为该案件的医疗证明人，并使用医生的数字签名签署了死亡证明。 这份证明成功让该男子在美国政府数据库中显示为”已故“，从而取消了他未履行的子女抚养义务，他自己承认这是自己伪造死亡的主要原因。 此外，该男子还实施了其他的犯罪行为，包括使用被盗的帐户凭证访问私人公司网络和政府系统，并在暗网市场上出售对应的访问权限。他还使用虚假的社会安全号码在金融机构申请借贷并注册借记卡账户。 负责调查的联邦调查局（FBI）的Michael E. Stansbury （迈克尔·斯坦斯伯里）表示，这名黑客入侵各种计算机系统并恶意窃取他人身份以谋取私利的行为将付出代价。 根据统计，该男子包括未支付的子女抚养费在内所造成的总损失至少达到了195750 美元。 根据法院裁决，该男子被判入狱 81 个月，并必须强制服刑85%的刑期，即69个月（超过5.5年）。获释后还将受到为期3年的监管。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409196.html 封面来源于网络，如有侵权请联系删除