近日，研究人员发现了一种名为 HotPage.exe 的新型恶意软件。 这种恶意软件最初是在 2023 年底被检测到的，起初它伪装成了一个安装程序，表面上可以通过阻止广告和恶意网站来改善网页浏览。 但它实际上是将代码注入远程进程并拦截浏览器流量。正如 ESET 在今天早些时候发布的一份公告中所描述的，该恶意软件可以修改、替换或重定向网页内容，并根据特定条件打开新标签。 有趣的是，HotPage.exe 的嵌入式驱动程序是由微软签署的，但却归属于一家另外的公司。由于有关该公司的信息很少，这引起了人们的警惕。该软件向中文用户推销 “网吧安全解决方案”，据称是为了增强浏览体验。 然而，它却将用户重定向到与游戏相关的广告，并收集用户计算机的数据用于统计目的。 2024 年 3 月 18 日，ESET 按照漏洞披露协调流程向微软报告了这一漏洞。微软于 2024 年 5 月 1 日从 Windows 服务器目录中删除了违规驱动程序。此后，ESET将此威胁标记为Win{32|64}/HotPage.A和Win{32|64}/HotPage.B。 进一步调查发现，该公司利用微软的驱动程序代码签名要求，获得了扩展验证（EV）证书。 ESET表示，这说明基于信任的驱动程序签名系统正在被滥用。该公司注册于2022年初，背景不详，其域名dwadsafe.com现已下线。 HotPage 恶意软件的技术细节 从技术角度看，该恶意软件的安装过程包括在磁盘上投放驱动程序、解密配置文件并将库注入基于 Chromium 的浏览器。 该驱动程序通过挂钩基于网络的 Windows API 功能、更改 URL 或打开带有广告内容的新标签来操纵浏览器流量。 该恶意软件的一个关键问题是其内核组件，它无意中允许其他威胁在 Windows 操作系统的最高权限级别执行代码。 这是由于访问限制不足，使得任何进程都能与内核组件通信并利用其代码注入功能。 这种技术对网络安全行业的广泛影响值得注意。恶意软件使用经过签名的合法驱动程序，不仅为侵入性广告软件提供了便利，还使系统面临更多安全风险。 攻击者可以利用这一漏洞获得系统级权限或向进程中注入恶意代码，从而利用对已签名驱动程序的固有信任。 为防范此类威胁，安全研究人员建议定期更新软件，使用全面的安全解决方案，并保持严格的访问控制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406489.html 封面来源于网络，如有侵权请联系删除

钓鱼攻击一直是企业和个人用户面临的主要威胁之一。为了应对这种威胁，许多电子邮件安全服务引入了URL重写（保护）技术，通过声誉过滤器阻止用户访问已知钓鱼网站。然而，近期的一些钓鱼活动却利用这种保护技术来实施攻击。 安全公司Barracuda Networks最新报告显示：“从2024年5月中旬开始，网络钓鱼攻击者开始利用三种不同的URL重写服务来掩盖钓鱼网站URL。这些URL重写服务由值得信赖的合法品牌提供。到目前为止，此类滥用URL重写服务攻击已经攻击了数百家甚至更多的公司。” URL重写服务的工作原理 URL重写服务是电子邮件安全供应商在安全邮件网关和云邮件服务中广泛使用的一种对电子邮件中的链接进行即时声誉检查的工具，通过重写传入或传出电子邮件中的链接，使其指向由安全受控的域名和服务。当用户点击重写的链接时，服务器会检查该链接是否指向已知的钓鱼或恶意软件网站，并根据检查结果决定是阻止访问还是重定向到安全网址。这种方法的好处在于，如果一个网站在稍后被标记为恶意，所有指向它的重写链接都将停止工作，从而为所有用户提供保护。 URL重写的技术缺陷与挑战 尽管URL重写服务在理论上具有保护作用，但其实际效果却存在争议。首先，这种方法会破坏加密电子邮件签名，因为安全电子邮件网关通过更改链接修改了原始电子邮件。其次，重写的链接掩盖了真实的目的地网址，这使得用户无法通过查看链接来识别钓鱼网站。例如，微软在其Office 365用户中提供了名为“安全链接”的功能，该功能会重写传入电子邮件和应用程序（如Outlook和Teams）中的链接。然而，这一功能过去曾被安全公司批评，原因包括不进行动态扫描或容易被基于IP的流量重定向绕过——微软的IP地址是公开的——或通过使用来自合法和受信任域名的开放重定向URL。 URL重写服务最大的缺点是，其链接声誉检查基于黑名单机制，而一个新钓鱼网站被添加到安全厂商的黑名单所需的时间各不相同。这可能需要几分钟、几小时或几天，取决于是否有人报告。一些安全厂商比其他厂商动作更快，攻击者也知道这一点。域名相当便宜，等到一个域名因托管钓鱼网站而被标记时，可能已经有数百名用户成为其受害者。 攻击者如何滥用URL重写服务 目前尚不清楚Barracuda观察到的钓鱼活动如何重写指向钓鱼网站的URL。研究人员推测，他们可能入侵了使用这些服务的企业内部电子邮件账户，然后向这些被入侵的帐户发送电子邮件或从这些被入侵的帐户发送电子邮件以强制进行URL重写。然后，攻击者只需从生成的电子邮件消息中获取重写的URL，用来制作新的钓鱼电子邮件。 一些使用URL重写技术的钓鱼电子邮件伪装成来自微软的密码更改提醒或来自DocuSign的文档签名请求。这些电子邮件包含被仿冒服务的典型品牌元素，包括使用重写链接将用户重定向的按钮。 面对滥用URL重写服务的钓鱼邮件攻击，Barracuda的研究人员强调，安全措施应与安全意识培训相结合，企业和个人用户应保持警惕，及时更新安全策略，以应对不断变化的网络威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Jpg4KqY6j3fkYeei4SFICQ 封面来源于网络，如有侵权请联系删除

据观察，未知黑客组织利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。 Recorded Future 的 Insikt Group 正在以临时代号 TAG-100 跟踪该活动，并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织，其中包括两个未具名的亚太政府间组织。 自 2024 年 2 月以来，柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。 该网络安全公司表示：“TAG-100 采用开源远程访问功能，并利用各种面向互联网的设备获取初始访问权限。” “该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。” 攻击链涉及利用影响各种面向互联网的产品已知安全漏洞，包括 Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet FortiGate。 据观察，该组织还针对至少 15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动，其中包括法国、意大利、日本和马来西亚等，其中还包括位于玻利维亚、法国和美国的几个古巴大使馆。 该公司表示：“从 2024 年 4 月 16 日开始，TAG-100 针对教育、金融、法律、地方政府和公用事业领域的 Palo Alto Networks GlobalProtect 设备进行了可能的侦察和利用活动。” 据称，攻击活动与CVE-2024-3400 （CVSS 评分：10.0）的概念验证（PoC）漏洞的公开发布同时进行，CVE-2024-3400 是一个影响 Palo Alto Networks GlobalProtect 防火墙的严重远程代码执行漏洞。 成功进行初始访问后，将在受感染主机上部署 Pantegana、Spark RAT 和 Cobalt Strike Beacon。 研究结果表明，PoC 漏洞可以与开源程序相结合，从而策划攻击，有效降低不太熟练的攻击者的进入门槛。此外，此类伎俩还能让对手的归因工作变得复杂，并逃避检测。 Recorded Future 表示：“广泛瞄准面向互联网的设备尤其具有吸引力，因为它可以通过通常具有有限可视性、日志记录功能和对传统安全解决方案的支持的产品在目标网络中提供立足点，从而降低利用后检测的风险。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ceKHCFQLCZqlbjwPVGj7xg 封面来源于网络，如有侵权请联系删除

研究人员警告称，VPN 受到一个漏洞的影响，该漏洞可被利用来发动中间人 (MitM) 攻击，从而使攻击者能够拦截和重定向流量。 这项研究由亚利桑那州立大学、新墨西哥大学、密歇根大学和多伦多大学公民实验室的代表进行。 该攻击技术名为Port Shadow，漏洞编号为 CVE-2021-3773，基于 Benjamin Mixon-Baca 和 Jedidiah R. Crandall 于 2021 年首次提出的研究。两人均代表亚利桑那州立大学参与了这项新研究项目。 本周发表了一篇详细介绍这项研究的论文。 开展网络隐私和安全研究的公民实验室也发布了一份摘要。 VPN，即虚拟专用网络，旨在安全地访问远程资源，通常用于绕过审查机制并隐藏个人在线身份。 Port Shadow攻击使攻击者能够将目标锁定在相同 VPN 服务器中的其他人。具体来说，VPN 服务器有一个称为端口的共享资源，每个连接都分配给一个端口。 据研究人员称，攻击者可以“将自己的信息隐藏在受害者的端口上作为共享资源”。 他们解释说：“通过精心设计攻击者自己与 VPN 服务器的连接以及攻击者控制的远程互联网位置的数据包，就可以对使用同一 VPN 服务器的其他 VPN 用户发动攻击，其方式与对共享 WiFi 发动的攻击非常相似。” 该图描绘了两个 VPN 客户端和一个 VPN 服务器之间的典型交互 研究人员演示了攻击者如何利用 Port Shadow 充当目标用户和 VPN 服务器之间的路径内路由器，从而使他们能够拦截和重定向加密流量、对 VPN 对等体进行去匿名化以及进行端口扫描。 已发现 Port Shadow 攻击可针对在 Linux 或 FreeBSD 上运行的 OpenVPN、WireGuard 和 OpenConnect 进行攻击 — — 尽管 FreeBSD 的漏洞较小。 公民实验室解释说：“我们向 VPN 软件开发商、Linux 和 FreeBSD 披露了这个漏洞，但由于漏洞的工作方式，缓解策略仅限于使用特定的防火墙规则，而不是代码修复。” 研究人员向 VPN 开发人员和提供商分享了一些建议，这些建议应该有助于防止 Port Shadow 攻击。对于最终用户来说，连接到私人 VPN 服务器是保护自己免受此类攻击的最佳方式。ShadowSocks 和 Tor 不受影响。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CsucoJju3WrF89rn9aZw4A 封面来源于网络，如有侵权请联系删除

来自能源、石油/天然气和公用事业领域的 275 名 IT/网络安全领导者分享了他们遭遇勒索软件攻击的经历。 Sophos 最新的年度研究针对能源、石油/天然气和公用事业领域（支持企业的关键基础设施的核心要素）的真实勒索软件经历，探索了受害者的完整历程，从攻击率和根本原因到运营影响和业务结果。 今年的报告揭示了该行业的新研究领域，包括对赎金要求与赎金支付的探讨，以及能源、石油/天然气和公用事业组织从执法机构获得支持以补救攻击的频率。 提交表单，此处下载报告PDF副本。 勒索软件感染率持稳 2024 年，67% 的能源、石油/天然气和公用事业组织遭受勒索软件的攻击，与 2023 年报告的攻击率相同。 98% 的能源、石油/天然气和公用事业组织在过去一年遭受勒索软件攻击，他们表示网络犯罪分子在攻击期间试图破坏其备份。其中五分之四 (79%) 的备份破坏尝试成功，这是所有行业中备份破坏成功率最高的。 2024 年针对能源、石油/天然气和公用事业组织的勒索软件攻击中有 80% 导致数据加密，与 2023 年该行业报告的加密率 (79%) 一致，但高于 2024 年跨行业平均水平 70%。 2024 年，能源、石油/天然气和公用事业组织从勒索软件攻击中恢复的平均成本为 312 万美元，与 2023 年报告的 317 万美元相似。 受勒索软件攻击影响的设备 平均而言，能源、石油/天然气和公用事业行业中有 62% 的计算机受到勒索软件攻击的影响，远高于 49% 的跨行业平均值。 与其他行业不同，其他行业中只有一小部分组织对其整个环境进行了加密，而大约五分之一的能源、石油/天然气和公用事业组织 (17%) 报告称其 91% 或更多的设备受到影响。 51%的组织使用备份进行数据恢复 61% 的能源、石油/天然气和公用事业组织支付了赎金以恢复加密数据，而只有 51% 的组织使用备份恢复了加密数据，这是所有行业中备份使用率最低的一次。 这是能源、石油/天然气和公用事业组织首次报告支付赎金的倾向高于使用备份。相比之下，在全球范围内，支付赎金的组织占 56%，使用备份的组织占 68%。 今年的调查结果与前两年相比发生了显著变化，当时该行业的备份使用率令人印象深刻（2023 年为 70%，2022 年为 77%）。 一个显著变化是受害者使用多种方法恢复加密数据的倾向有所增加（例如支付赎金和使用备份）。这一次，35% 的能源、石油/天然气和公用事业组织报告称，他们使用了不止一种方法来加密数据，高于 2023 年报告的 26%。 关键基础设施受害者通常不会支付最初要求的赎金 86 家支付赎金的能源、石油/天然气和公用事业组织受访者分享了实际支付的金额，结果显示 2024 年的平均（中位数）支付金额为 250 万美元。 略少于一半（48%）的受访者表示，他们的付款与原始要求相符。26% 的人支付的金额低于原始要求，27% 的人支付的金额更多。 从行业数据来看，能源、石油/天然气和公用事业最倾向于支付攻击者要求的原始赎金金额。这也是支付低于原始要求金额的倾向第二低的行业。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O3SHo9cdffsRXRG1jZ3LYA 封面来源于网络，如有侵权请联系删除

关键供应商Synnovis遭勒索软件攻击，导致英国伦敦器官移植和血液供应受到干扰。 安全内参7月17日消息，六周前，勒索软件攻击干扰了血液检测公司Synnovis的运作。到目前为止，这一事件已经影响了近8000名英国国家医疗服务体系（NHS）患者的手术，包括器官移植和癌症治疗，已被取消、推迟或转移到伦敦的其他设施。 NHS在7月11日发布公告更新指出，自6月3日事件爆发以来，伦敦国王学院医院NHS信托基金和盖伊和圣托马斯NHS信托基金，两家受影响最严重的NHS信托基金共推迟了6199次急性门诊预约和1491次选择性手术。 NHS表示，尽管推迟的急性门诊预约和选择性手术数量有所减少，但攻击的影响仍在继续，并且具有破坏性。 NHS伦敦医疗主任Chris Streather医生在声明中说：“这仍然对患者产生了重大影响，我理解手术推迟带来的痛苦。” “在整个伦敦，我们继续与NHS同事合作，互相提供帮助，尽量减少事件对护理服务的干扰，特别是在伦敦东南部的护理服务。伦敦的NHS组织正在合作制定恢复服务的计划。” NHS表示，6月3日事件造成持续干扰，也影响了整个英国的血液供应。 医院正在使用比平时更多的通用血型- O阴性和O阳性。NHS表示：“这对国家血液库存产生了影响。” 关键供应商因勒索攻击丧失IT能力 Synnovis在7月1日的最新更新中表示，网络攻击影响了其几乎所有的IT系统，导致公司处理样本的能力持续大幅降低。 Synnovis是盖伊和圣托马斯NHS信托基金、国王学院医院NHS信托基金和SYNLAB之间的病理学合作伙伴关系。 讲俄语的勒索软件组织Qilin声称对此次攻击负责。该组织在6月底在暗网上泄露了近4GB从Synnovis和NHS窃取的数据，据说还要求受害者支付5千万美元赎金。 公司表示，攻击影响了Synnovis分析仪识别和处理传入样本以及传输测试结果的能力。“相关的电子过程很多被迫归回纸面和手动操作，这大大影响了处理能力和交付时间。” Synnovis表示，预计“需要一些时间”才能完全恢复，并补充说，公司正在采取分阶段的方法重新建立其技术基础设施，“根据临床重要性进行优先排序”。 Synnovis说：“这包括在盖伊和圣托马斯以及国王学院医院交付新的中间件，即简化我们实验室信息管理系统结果报告和传输的软件。这些软件能增加我们各方的处理能力。” 外媒Security Media Group试图采访NHS和Synnovis，二者均拒绝提供该事件的额外详细信息。 医疗行业勒索破坏式攻击层出不穷 Synnovis攻击事件及其对NHS患者服务的破坏性影响令人想起最近美国和其他地区医疗保健部门遭遇的类似网络事件。 今年2月，美国联合健康集团的子公司Change Healthcare遭遇攻击；5月，Ascension连锁医院受到勒索软件攻击。两次事件均造成了大规模的干扰。 上周五，弗吉尼亚州民主党参议员Mark R. Warner向美国卫生与公众服务部部长Xavier Becerra和国家安全顾问助理Anne Neuberger发送了一封信，敦促拜登政府迅速制定并发布医疗保健部门的强制性最低网络标准。 尽管美国卫生部几个月来一直在研究如何制定医院的潜在网络安全绩效目标，Warner鼓励政府在Change Healthcare攻击之后立即发布新的医疗保健规定。 他说：“鉴于网络安全威胁和攻击的严重性、频率和复杂性不断增加，我今天写信是为了敦促您优先制定、尽快提出强制性最低网络标准。简而言之，不充分的网络安全实践使人们的生命处于危险之中。”   转自安全内参，原文链接：https://www.secrss.com/articles/68200 封面来源于网络，如有侵权请联系删除

近日，思科公司披露了其智能软件管理器本地版（SSM On-Prem）中的一个关键漏洞，该漏洞允许未经身份验证的远程攻击者更改任何用户的密码，包括管理员用户的密码。这个漏洞被追踪为 CVE-2024-20419，其严重程度评分为 10 分。 据悉，该漏洞是由于思科 SSM On-Prem 认证系统中密码更改过程执行不当造成的。 攻击者可以通过向受影响的设备发送特制的 HTTP 请求来利用这个漏洞。成功利用将允许攻击者以受影响用户的权限访问 Web UI 或 API，从而在未经授权的情况下对设备进行管理控制。 受影响的产品 思科 SSM On-Prem 思科智能软件管理器卫星版（SSM Satellite） 思科 SSM 卫星版已更名为思科智能软件管理器。对于 7.0 版本之前发布的版本，该产品称为思科 SSM 卫星版。从 7.0 版本开始，它被称为思科 SSM On-Prem。 已修复的软件 思科已发布软件更新来解决此漏洞。修复的版本如下： 建议客户升级到适当的软件修复版本以保护其系统安全。 此漏洞没有可用的解决方法，思科建议所有管理员升级到修复版本以降低风险。 截至目前，尚未有公开的公告或证据表明此漏洞被恶意利用，思科的产品安全事件响应团队（PSIRT）将继续监控这一情况。 另外，拥有服务合同的客户应通过其常规更新渠道获得安全修复程序，没有服务合同的客户可以联系思科技术援助中心（TAC）以获得必要的更新。 如何检查思科智能软件管理器本地版的版本 访问管理门户 打开一个 Web 浏览器，输入思科 SSM On-Prem 服务器的 IP 地址和端口号。例如，如果 IP 地址是 172.16.0.1，则输入：https://172.16.0.1:8443/admin 登录 使用管理员凭据登录管理门户。 查找系统运行状况部分 登录后，导航到管理门户的“系统运行状况”部分。此部分通常显示的是思科 SSM On-Prem 安装的当前软件发布版本。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406337.html 封面来源于网络，如有侵权请联系删除

美国联邦通信委员会（Federal Communications Commission）领导者在周二提出了一个新的提案，旨在进一步规范使用人工智能创建的自动拨号电话。 FCC主席杰西卡·罗森沃塞尔（Jessica Rosenworcel）正在就如何定义人工智能生成的电话征求公众意见，并“支持”在消费者收到非法人工智能机器人电话时通知消费者的技术。 该提案还将保护FCC新闻稿中所称的“积极使用AI帮助残疾人使用电话网络”。 根据提案，州检察官将获得新的权力来打击使用AI生成的自动拨号电话的企业。五名委员会成员将在即将到来的八月份会议上对该提案进行投票。 在二月份，FCC一致同意了一项“声明性裁决”，将使用AI生成的语音呼叫定义为《电话消费者保护法》（TCPA）下的“人工”呼叫，实际上界定了使用声音克隆技术的自动拨号电话是非法的。 近年来，这类AI呼叫不断增加，这项技术有可能通过模仿名人、政治候选人和近亲的声音来误导消费者，传播错误信息。 罗森沃尔塞尔的新提案是一系列旨在打击AI生成的自动拨号电话行动中的最新一项。 机构最近还提议对提供这些呼叫的服务提供商进行罚款，并要求运营商记录他们如何打击非法自动拨号电话和短信的服务商。   转自e安全，原文链接：https://mp.weixin.qq.com/s/ozwpKRV0fnnZemX6RL0Rhg 封面来源于网络，如有侵权请联系删除

以获取经济利益为目的的APT组织 FIN7 在多个地下论坛上使用多个假名，出售其定制的“AvNeutralizer”工具，该工具用于通过杀死企业网络上的企业端点保护软件（EDR）来逃避检测。 网络安全公司 SentinelOne在一份报告中表示：“AvNeutralizer（又名AuKill）是 FIN7 开发的用于篡改安全解决方案的高度专业化工具，已在地下犯罪市场销售，并被多个勒索软件团体使用。” FIN7 攻击者在黑客论坛上销售 AVNeutralizer FIN7 是一个源自俄罗斯和乌克兰的网络犯罪集团，自 2012 年以来一直是一个全球性的持续威胁，其最初目标是专注于金融欺诈以及窃取借记卡和信用卡。后来转变为充当 REvil 和 Conti 等现已不复存在的勒索软件团伙的附属机构，之后又推出了自己的勒索软件程序 DarkSide 和 BlackMatter。 FIN7 以复杂的网络钓鱼和工程攻击而闻名，以获取对公司网络的初始访问权，包括冒充百思买发送恶意 USB 密钥以及开发自定义恶意软件和工具。 为了增加攻击范围，他们创建了一个 名为 Bastion Secure 的虚假安全公司 ，雇佣渗透测试人员和开发人员进行勒索软件攻击，而申请人却不知道他们的工作成果是如何被利用的。 该APT组织被世界各地不同安全研究机构以 Carbanak、Carbon Spider、Gold Niagara 和 Sangria Tempest（以前称为 Elbrus）等名称进行追踪，曾设立Combi Security 和 Bastion Secure 等幌子公司，以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。 多年来，FIN7 通过重组其恶意软件库——POWERTRASH、DICELOADER（又名IceBot、Lizar 或Tirion）以及通过POWERTRASH加载器提供的渗透测试工具Core Impact，展示了高度的适应性、复杂性和技术专长。 Sophos 2023 年的一份报告详细说明了 AvNeutralizer/AuKill 如何滥用合法的 SysInternals Process Explorer 驱动程序来终止设备上运行的防病毒进程。 FIN7声称该工具可用于杀死任何防病毒/EDR 软件，包括 Windows Defender 以及 Sophos、SentinelOne、Panda、Elastic 和 Symantec 的产品。 SentinelOne 现在发现 FIN7 已更新 AVNeutralizer 以利用 Windows ProcLaunchMon.sys 驱动程序挂起进程，使其不再正常运行。 AvNeutralizer 工作流程，来源：SentinelOne SentinelOne 发现 FIN7 使用的其他定制工具和恶意软件，目前尚未出售给其他黑客组织： Powertrash（PowerShell 后门）、Diceloader（轻量级 C2 控制后门）、Core Impact（渗透测试工具包）和基于 SSH 的后门。 研究人员警告称，FIN7 在工具和技术方面的不断发展和创新以及其软件的销售，对全球企业构成了重大威胁。 SentinelOne 研究员 Antonio Cocomazzi 总结道：“FIN7 的不断创新，尤其是其在逃避安全措施的复杂技术方面，展示了其技术专长。” SentinelOne 的最新发现表明，FIN7 不仅在网络犯罪论坛上使用多个角色来促进 AvNeutralizer 的销售，而且还对该工具进行了新功能改进。 FIN7 一直致力于开发和使用复杂工具来开展自己的业务，向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的手段的自然演变。 FIN7 一直利用地下市场来获取收入。例如，美国司法部报告称，自 2015 年以来，FIN7 成功窃取了超过 1600 万张支付卡的数据，其中许多都在地下市场上出售。虽然这在勒索软件时代之前更为常见，但 AvNeutralizer 目前的广告可能预示着其攻击活动的转变或扩张。 与以前的 AV 系统相比，流行的 EDR 解决方案提供的保护不断增加。随着这些防御措施的改进，对 AvNeutralizer 等攻击工具的需求显著增长，尤其是在勒索软件运营商中。攻击者现在在绕过这些保护方面面临更严峻的挑战，这使得此类工具非常有价值且昂贵。 就其本身而言，更新后的 AvNeutralizer 版本采用了反分析技术，最重要的是，它利用名为“ ProcLaunchMon.sys ”的 Windows 内置驱动程序与Process Explorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信该工具自 2022 年 4 月以来一直在积极开发中。 Lazarus Group 也使用了类似版本的方法，这使得该方法更加危险，因为它通过将 Windows 机器中默认存在的易受攻击的驱动程序武器化，超越了传统的自带易受攻击驱动程序 (BYOVD) 攻击。 另一个值得注意的更新涉及 FIN7 的Checkmarks 平台，该平台已被修改为包含一个自动 SQL 注入攻击模块，用于利用面向公众的应用程序。 SentinelOne 表示：“FIN7 在其攻击活动中采用了自动攻击方法，通过自动 SQL 注入攻击瞄准面向公众的服务器。此外，它在犯罪地下论坛中开发和商业化 AvNeutralizer 等专用工具，大大增强了该组织的影响力。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ogNxXV6CLTijrxwyTi4ZGw 封面来源于网络，如有侵权请联系删除

澳大利亚软件供应商 Atlassian 周二发布安全更新，以修复其 Bamboo、Confluence 和 Jira 产品中的几个高严重漏洞。 Atlassian 公司紧急呼吁关注 Bamboo 数据中心和服务器更新，以解决两个高严重性漏洞，其中一个影响 UriComponentsBuilder 依赖项的漏洞，可能允许未经身份验证的攻击者执行服务器端请求伪造 (SSRF) 攻击。 该漏洞编号为 CVE-2024-22262，影响 Bamboo Data Center 和 Bamboo Server 版本 9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、9.5.0 和 9.6.0，并在 9.6.3 LTS 和 9.2.14 LTS 版本中得到解决。 Atlassian 表示，第二个漏洞编号为 CVE-2024-21687，是一个文件包含漏洞，允许攻击者“让应用程序显示本地文件的内容，或执行已在服务器本地存储的其他文件”。 该问题影响 Bamboo Data Center 和 Server 的 9.0.0、9.1.0、9.2.0、9.3.0、9.4.0、9.5.0 和 9.6.0 版本，需要身份验证才能成功利用，并已在 Bamboo Data Center 和 Server 9.6.4 LTS 和 9.2.16 LTS 版本中得到解决。 该公司还推出了针对 Confluence 数据中心和 Confluence 服务器中七个高严重性漏洞的补丁，其中五个是 Apache Commons Compress 依赖项中的拒绝服务漏洞。 Atlassian 指出：“易受攻击版本存在于 Confluence 中，但尚未被使用。因此，我们的产品本身并不易受攻击，也不存在风险。升级将转移到库的较新版本 – 但任何未来的升级都将这样做。” 这些漏洞已在 Confluence Data Center 版本 8.9.4、8.5.12 LTS 和 7.19.25 LTS 以及 Confluence Server 版本 8.5.12 LTS 和 7.19.25 LTS 中得到解决。 安全更新还解决了与捆绑 JDK 相关的十几个 CVE，但不影响 .zip/.tar.gz 发行版。第三方依赖性漏洞是在 Confluence Data Center 和 Server 7.0.1 版本中引入的。 此外，Atlassian 发布了针对存储型跨站点脚本 (XSS) 问题的修复程序，该问题可能允许经过身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 Jira Software 数据中心和服务器以及 Jira Service Management 数据中心和服务器已更新，以解决 XStream 依赖项中的一个高严重性漏洞，该漏洞可能被利用来导致拒绝服务情况。 该漏洞的补丁编号为 CVE-2022-41966，包含在 Jira Software Data Center 和 Server 版本 9.8.0、9.12.0 LTS 和 9.4.18 LTS 中，以及 Jira Service Management Data Center 和 Server 版本 5.8.0、5.12.0 LTS 和 5.4.18 LTS 中。 Atlassian 并未提及这些漏洞是否已被利用，但建议用户尽快修补。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rXYgc8TUQcrUntZjf8l_wA 封面来源于网络，如有侵权请联系删除