HackerNews 编译，转载请注明出处： 澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布了一份关于Fast Flux技术风险的咨询报告，该技术已被威胁行为者采用，以掩盖命令与控制（C2）通道的位置。 “Fast Flux是一种通过快速更改与单个域名相关的域名系统（DNS）记录来掩盖恶意服务器位置的技术，”这些机构表示。“这种威胁利用了网络防御中常见的漏洞，使得追踪和阻止恶意Fast Flux活动变得困难。”   这份咨询报告由美国网络安全与基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心以及新西兰国家网络安全中心联合发布。   近年来，Fast Flux技术已被许多黑客组织采用，包括与 Gamaredon、CryptoChameleon 和 Raspberry Robin 相关的威胁行为者，以使其恶意基础设施能够逃避检测和执法部门的打击。   这种方法本质上涉及使用多种 IP 地址，并在快速 succession 中轮换，同时指向一个恶意域名。它最初于 2007 年在 Honeynet 项目中被发现。   它可以是单通量（Single Flux），即一个域名与多个 IP 地址相关联，也可以是双通量（Double Flux），即除了更改 IP 地址外，负责解析域名的 DNS 名称服务器也会频繁更改，为恶意域名提供额外的冗余和匿名性。   “Fast Flux网络之所以‘快速’，是因为通过 DNS，它会快速轮换多个僵尸程序，每个僵尸程序只使用很短的时间，从而使得基于 IP 的拒绝列表和打击工作变得困难，”Palo Alto Networks Unit 42 在 2021 年发布的一份报告中表示。   将Fast Flux描述为国家安全威胁，这些机构表示，威胁行为者正在利用这种技术来掩盖恶意服务器的位置，并建立能够抵御打击的弹性 C2 基础设施。   不仅如此，Fast Flux在 C2 通信之外也发挥着重要作用，帮助对手托管网络钓鱼网站，以及部署和分发恶意软件。   为了防范Fast Flux，建议组织采取以下措施：阻止 IP 地址、将恶意域名重定向到黑洞服务器、过滤与声誉不佳的域名或 IP 地址之间的流量、实施增强的监控，并强制执行网络钓鱼意识和培训。   “Fast Flux代表了对网络安全的持续威胁，利用快速变化的基础设施来掩盖恶意活动，”这些机构表示。“通过实施强大的检测和缓解策略，组织可以显著降低因Fast Flux支持的威胁而被攻破的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年4月5日，Ionut Ilascu报道，WinRAR文件压缩解决方案中的一个漏洞可能被利用来绕过Windows的“网络标记”（Mark of the Web，MotW）安全警告，并在Windows机器上执行任意代码。 该安全问题被追踪为CVE-2025-31334，影响所有WinRAR版本，除了最新的7.11版本。 Windows的“网络标记”是一种安全功能，它通过一个元数据值（一个名为“区域标识符”的备用数据流）来标记从互联网下载的文件，以标识这些文件可能不安全。 当打开带有MotW标记的可执行文件时，Windows会警告用户该文件是从互联网下载的，可能有害，并提供继续执行或终止的选项。 CVE-2025-31334漏洞允许威胁行为者在打开指向可执行文件的符号链接（symlink）时绕过MotW安全警告，该符号链接在任何7.11版本之前的WinRAR中都存在。攻击者可以利用特制的符号链接执行任意代码。需要注意的是，在Windows上创建符号链接通常需要管理员权限。 该安全问题获得了6.8的中等严重性评分，并已在WinRAR的最新版本中修复，如WinRAR的应用程序变更日志中所指出的： “如果从WinRAR shell启动指向可执行文件的符号链接，则忽略可执行文件的MotW数据” – WinRAR 该漏洞由三井物产Secure Directions的Shimamine Taihei通过日本的信息技术促进机构（IPA）报告。日本的计算机安全事件响应小组协调了与WinRAR开发者的负责任披露。 从7.10版本开始，WinRAR提供了从MotW备用数据流中移除信息的可能性（例如位置、IP地址），这些信息可能被视为隐私风险。 包括国家支持的威胁行为者在内的攻击者过去曾利用MotW绕过漏洞来投放各种恶意软件，而无需触发安全警告。 最近，俄罗斯黑客利用了7-Zip压缩工具中的类似漏洞，该漏洞在双重压缩（在一个文件内压缩另一个文件）时不会传播MotW，以运行Smokeloader恶意软件投放器。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“disgrasya”的恶意PyPI包被发现，该包滥用合法的WooCommerce商店来验证被盗信用卡，并已在开源软件包平台上被下载超过34,000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡，这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。 尽管该包已被从PyPI中移除，但其高下载量显示了此类恶意操作的滥用规模。 “与依赖欺骗或拼写错误的典型供应链攻击不同，disgrasya没有试图显得合法，”Socket研究人员的一份报告解释道。 “它公然恶意，滥用PyPI作为分发渠道，以接触更广泛的欺诈者受众。” 特别值得注意的是，disgrasya公然滥用PyPI托管一个包，其创建者在描述中明确指出该包用于恶意活动。 “一个利用多线程和代理通过多个网关检查信用卡的工具，”disgrasya包的描述中写道。 Socket指出，该包的恶意功能从7.36.9版本开始引入，可能是为了逃避安全检查，因为初始提交的安全检查可能比后续更新更严格。 恶意包包含一个Python脚本，该脚本访问合法的WooCommerce网站，收集产品ID，然后通过调用商店的后端将商品添加到购物车。 接下来，它导航到网站的结账页面，在那里窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。 Socket表示，这两个信息通常在页面上是隐藏的，并且很快过期，但脚本会立即抓取它们，同时用虚构的客户信息填充结账表单。 在下一步中，而不是将窃取的卡直接发送到支付网关，它将卡发送到攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并返回一个假令牌。 POST请求将卡数据发送到外部   最后，带有令牌化卡的订单在网店中提交，如果订单通过，则验证卡是有效的。如果失败，则记录错误并尝试下一张卡。 打印的交易结果   使用这样的工具，威胁行为者能够以自动化的方式验证大量被盗信用卡。 这些经过验证的卡随后可能被用于进行金融欺诈或在网络犯罪市场上出售。 Socket评论说，这种端到端的结账模拟过程特别难以被目标网站上的欺诈检测系统检测到。 “从收集产品ID和结账令牌，到将窃取的卡数据发送给恶意第三方，以及模拟完整的结账流程，整个工作流程都是高度针对性和有条理的，”Socket表示。 “它旨在融入正常的流量模式，使传统欺诈检测系统极难检测。” 尽管如此，Socket表示有一些方法可以缓解这个问题，比如阻止低于5美元的非常低价值订单，这些订单通常用于卡农攻击，监控具有异常高失败率的多个小额订单，或与单一IP地址或地区相关的高结账量。 Socket还建议在结账流程中添加CAPTCHA步骤，这可能会中断卡农脚本的操作，并在结账和支付端点上应用速率限制。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Parquet的Java库中存在一个严重安全漏洞，成功利用该漏洞的远程攻击者可在易受攻击的实例上执行任意代码。 Apache Parquet是一种免费开源的列式数据文件格式，专为高效的数据处理和检索而设计，支持复杂数据、高性能压缩和编码方案，最初于2013年推出。 该漏洞编号为CVE-2025-30065，CVSS评分为10.0，是最高 severity 级别。 “Apache Parquet 1.15.0及更早版本的parquet-avro模块中的架构解析存在漏洞，允许恶意行为者执行任意代码，”项目维护者在一份公告中表示。 据Endor Labs称，成功利用该漏洞需要诱骗易受攻击的系统读取特制的Parquet文件以获得代码执行权限。 “该漏洞可能影响导入Parquet文件的数据管道和分析系统，特别是当这些文件来自外部或不可信来源时，”该公司表示。“如果攻击者能够篡改文件，就可能触发该漏洞。” 该缺陷影响所有版本的软件，包括1.15.0版本。该问题已在1.15.1版本中得到解决。亚马逊的Keyi Li被授予发现并报告该漏洞的荣誉。 虽然目前没有证据表明该漏洞已在野外被利用，但Apache项目中的漏洞已成为威胁行为者寻找机会入侵系统和部署恶意软件的焦点。 上个月，Apache Tomcat中的一个严重安全漏洞（CVE-2025-24813，CVSS评分：9.8）在公开披露后30小时内遭到积极利用。 网络安全公司Aqua在本周发布的一项分析中表示，其发现了一项新的攻击活动，针对使用容易猜到的凭据的Apache Tomcat服务器，部署加密的有效载荷，旨在窃取用于横向移动的SSH凭据，并最终劫持系统资源用于非法加密货币挖掘。 这些有效载荷还能够建立持久性，并充当基于Java的Web shell，使攻击者能够在服务器上执行任意Java代码，Aqua的威胁情报总监Assaf Morag表示。 “此外，该脚本旨在检查用户是否具有root权限，如果是，则执行两个函数，以优化CPU消耗以获得更好的加密货币挖掘效果。” 该活动影响Windows和Linux系统，很可能被认为是中国讲威胁行为者所为，因为源代码中存在中文语言注释。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位新手网络犯罪分子被发现利用俄罗斯的“防弹”托管（BPH）服务提供商Proton66来协助其操作。 这些发现来自DomainTools，该公司在发现一个名为cybersecureprotect[.]com的虚假网站后检测到了这一活动，该网站托管在Proton66上，伪装成一个杀毒服务。 这家威胁情报公司表示，他们在该域名中发现了一个操作安全（OPSEC）失误，导致其恶意基础设施暴露，从而揭示了服务器上托管的恶意负载。 “这一发现引导我们深入了解了一个新兴威胁行为者Coquettte的操作——一个利用Proton66的防弹托管服务来分发恶意软件并从事其他非法活动的业余网络犯罪分子，”该公司在与《黑客新闻》分享的一份报告中表示。 Proton66还与另一个名为PROSPERO的BPH服务相关联，该服务已被归因于多个分发桌面和Android恶意软件的活动，如GootLoader、Matanbuchus、SpyNote、Coper（又名Octo）和SocGholish。托管在该服务上的网络钓鱼页面已通过短信传播，以诱骗用户输入他们的银行凭证和信用卡信息。 Coquettte就是这样一个利用Proton66生态系统优势的威胁行为者，以分发伪装成合法杀毒工具的恶意软件。 这表现为一个ZIP存档（“CyberSecure Pro.zip”），其中包含一个Windows安装程序，然后从远程服务器下载第二阶段的恶意软件，该服务器负责从命令和控制（C2）服务器（“cia[.]tf”）分发后续负载。 第二阶段是一个被分类为Rugmi（又名Penguish）的加载程序，过去曾用于部署诸如Lumma、Vidar和Raccoon等信息窃取器。 对Coquettte的数字足迹的进一步分析发现了一个个人网站，其中他们声称自己是“一名19岁的软件工程师，正在攻读软件开发学位”。 此外，cia[.]tf域名已使用电子邮件地址“root@coquettte[.]com”注册，确认威胁行为者控制了C2服务器，并将虚假的网络安全网站作为恶意软件分发中心。 “这表明Coquettte是一个年轻的个体，可能是一名学生，这与他们在网络犯罪活动中犯下的业余错误（如开放目录）相一致，”DomainTools表示。 该威胁行为者的活动不仅限于恶意软件，因为他们还运营着其他出售制造非法物质和武器指南的网站。据信Coquettte与一个名为Horrid的更广泛的黑客组织有松散的联系。 “基础设施重叠的模式表明，这些网站背后的人可能自称为‘Horrid’，Coquettte是其中一名成员的别名，而不是一个独立的行动者，”该公司表示。 “该组织与多个与网络犯罪和非法内容相关的域名的关联表明，它作为一个孵化器，激励或业余的网络犯罪分子，为那些希望在地下黑客圈中崭露头角的人提供资源和基础设施。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。 该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。 “Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。 受影响的产品和版本如下： – Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布） – Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移） – Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布） – ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布） Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。 Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。” 值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。 谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。 攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。 SPAWN恶意软件生态系统包括以下组件： – SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器 – SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密 – SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠） SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。 根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。 “Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。 “政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。” 除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。 该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。 “UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。 “这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。” 更新： 美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。 该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。 “组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客组织正在通过发布恶意npm包来传播BeaverTail恶意软件，以及一个新的远程访问木马（RAT）加载器，这是他们正在进行的“Contagious Interview”活动的一部分。 “这些最新的样本使用十六进制字符串编码来逃避自动化检测系统和手动代码审计，这表明威胁行为者在混淆技术上的变化，”Socket安全研究员Kirill Boychenko在一份报告中表示。 这些恶意包在被移除前总共被下载了5600多次，包括： – empty-array-validator – twitterapis – dev-debugger-vite – snore-log – core-pino – events-utils – icloud-cod – cln-logger – node-clog – consolidate-log – consolidate-logger 这一发现是在一个月前发现一系列npm包分发BeaverTail之后，BeaverTail是一种JavaScript窃取器，还能分发基于Python的后门，名为InvisibleFerret。 该活动的最终目标是以求职面试过程为幌子，渗透开发者的系统，窃取敏感数据，转移金融资产，并维持对受感染系统的长期访问。 新发现的npm库伪装成实用工具和调试器，其中dev-debugger-vite使用了SecurityScorecard在2024年12月名为“Phantom Circuit”的活动中标记为Lazarus Group使用的C2地址。 这些包的突出之处在于，其中一些，如events-utils和icloud-cod，与Bitbucket仓库相关联，而不是GitHub。此外，icloud-cod包被发现在一个名为“eiwork_hire”的目录中托管，再次强调了威胁行为者使用与面试相关的主题来激活感染。 对cln-logger、node-clog、consolidate-log和consolidate-logger包的分析还发现了一些代码级别的细微变化，表明攻击者正在发布多个恶意软件变体，以提高活动的成功率。 尽管有所变化，这四个包中嵌入的恶意代码作为一个远程访问木马（RAT）加载器，能够从远程服务器传播下一阶段的有效载荷。 由于C2端点不再提供有效载荷，目前尚不清楚通过加载器传播的恶意软件的确切性质。然而，Boychenko表示，该代码作为一个活跃的恶意软件加载器，具有远程访问木马（RAT）功能，能够动态获取并执行远程JavaScript，使朝鲜攻击者能够在受感染的系统上运行任意代码。这种行为使他们能够部署任何他们选择的后续恶意软件，使加载器本身成为一个重大威胁。 这些发现表明了“Contagious Interview”的持续性，它不仅对软件供应链构成持续威胁，还采用了臭名昭著的ClickFix社会工程战术来分发恶意软件。 “Contagious Interview威胁行为者继续创建新的npm账户，并在npm注册表、GitHub和Bitbucket等平台上部署恶意代码，展示了他们的持续性，并且没有放缓的迹象，”Boychenko说。 “这个高级持续性威胁（APT）组织正在多样化其战术——在新的别名下发布新的恶意软件，在GitHub和Bitbucket仓库中托管有效载荷，并重用BeaverTail和InvisibleFerret等核心组件，以及新观察到的RAT/加载器变体。” BeaverTail部署Tropidoor# 新npm包的发现正值韩国网络安全公司AhnLab详细描述了一项以招聘为主题的网络钓鱼活动，该活动分发了BeaverTail，然后用于部署一个以前未记录的Windows后门，代号为Tropidoor。该公司的分析显示，BeaverTail正在积极针对韩国的开发者。 该电子邮件声称来自一家名为AutoSquare的公司，包含一个指向Bitbucket上托管项目的链接，敦促收件人在本地克隆项目以审查他们对程序的理解。 该应用程序实际上是一个包含BeaverTail（“tailwind.config.js”）和一个DLL下载器恶意软件（“car.dll”）的npm库，后者由JavaScript窃取器和加载器启动。 Tropidoor是一个通过下载器在内存中运行的后门，能够联系C2服务器以接收指令，从而可以窃取文件、收集驱动器和文件信息、运行和终止进程、截取屏幕截图，以及通过用NULL或垃圾数据覆盖来删除或擦除文件。 该植入程序的一个重要方面是，它直接实现了Windows命令，如schtasks、ping和reg，这一功能之前也在Lazarus Group的另一种名为LightlessCan的恶意软件中观察到，LightlessCan是BLINDINGCAN（又名AIRDRY或ZetaNile）的后续产品。 AhnLab表示：“用户不仅要警惕电子邮件附件，还要警惕来自未知来源的可执行文件。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软认可了一个以EncryptHub身份活动的独狼黑客，他发现了Windows中的两个安全漏洞，并于上个月报告了这些漏洞。这位黑客被描述为一个“矛盾”的个体，他在网络安全领域有着合法的职业生涯，同时也涉足网络犯罪。 瑞典安全公司Outpost24 KrakenLabs发布了一项新的深入分析，揭露了这位新兴网络犯罪分子的身份。大约十年前，这位黑客离开了他在乌克兰哈尔科夫的家乡，搬到了罗马尼亚海岸附近的一个新地方。 微软将这两个漏洞归功于一个名为“SkorikARI with SkorikARI”的用户，据评估这是EncryptHub的另一个用户名。这两个漏洞已在上个月的Patch Tuesday更新中被修复，具体如下： – CVE-2025-24061（CVSS评分：7.8）- 微软Windows Mark-of-the-Web（MotW）安全功能绕过漏洞 – CVE-2025-24071（CVSS评分：6.5）- 微软Windows文件资源管理器欺骗漏洞 EncryptHub还被追踪为LARVA-208和Water Gamayun，他在2024年中期因利用一个虚假的WinRAR网站分发各种恶意软件而受到关注，这些恶意软件托管在一个名为“encrypthub”的GitHub存储库中。 最近几周，这位威胁行为者被归因于微软管理控制台（CVE-2025-26633，CVSS评分：7.0，也称为MSC EvilTwin）的零日漏洞利用，以交付信息窃取器和以前未记录的后门，名为SilentPrism和DarkWisp。 据PRODAFT估计，在过去九个月的运营中，EncryptHub已经攻陷了超过618个高价值目标，涵盖多个行业。 “我们调查过程中分析的所有数据都指向一个单独的个体的行为，”Outpost24的高级威胁情报分析师Lidia Lopez告诉《黑客新闻》。 “然而，我们不能排除与其他威胁行为者合作的可能性。在一个用于监控感染统计数据的Telegram频道中，还有另一个拥有管理权限的Telegram用户，这表明可能有其他没有明确组织隶属关系的人提供合作或帮助。” Outpost24表示，他们能够从“由于糟糕的操作安全实践导致的演员自我感染”中拼凑出EncryptHub的在线足迹，从而揭示了其基础设施和工具的新方面。 这位个体被认为在搬到罗马尼亚附近的一个未指明地点后保持低调，通过在线课程自学计算机科学，同时在业余时间寻找与计算机相关的工作。 然而，这位威胁行为者的所有活动在2022年初突然停止，这与俄乌战争的开始相吻合。Outpost24表示，他们发现的证据表明，他当时被监禁。 “释放后，他恢复了求职，这次提供自由职业的网络和应用程序开发服务，这获得了一些关注，”该公司在报告中表示。“但薪酬可能不够，短暂尝试漏洞赏金计划后未获成功，我们相信他在2024年上半年转向了网络犯罪。” EncryptHub在网络犯罪领域的早期尝试之一是Fickle Stealer，这是Fortinet FortiGuard Labs在2024年6月首次记录的一种基于Rust的信息窃取恶意软件，通过多个渠道分发。 在最近与安全研究员g0njxa的一次采访中，这位威胁行为者声称Fickle“在StealC或Rhadamantys（拼写错误）永远无法工作的系统上提供结果”，并且它“通过高质量的企业防病毒系统”。他们还表示，这个窃取器不仅被私下共享，而且还是他们另一个名为EncryptRAT的产品的“核心”部分。 “我们能够将Fickle Stealer与之前与EncryptHub相关的别名联系起来，”Lopez说。“此外，与该活动相关的其中一个域名与他合法自由职业工作的基础设施相匹配。从我们的分析来看，我们估计EncryptHub的网络犯罪活动始于2024年3月左右。Fortinet在6月的报告可能标志着这些行动的首次公开记录。” EncryptHub还被发现广泛依赖OpenAI的ChatGPT来协助恶意软件开发，甚至利用它来帮助翻译电子邮件和消息，并作为一种忏悔工具。 “EncryptHub的案例突显了糟糕的操作安全仍然是网络犯罪分子最严重的弱点之一，”Lopez指出。“尽管技术复杂，但基本错误——如密码重复使用、暴露的基础设施以及将个人活动与犯罪活动混为一谈——最终导致了他的曝光。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国拥有数百年历史的邮政机构皇家邮政集团（Royal Mail Group）疑似遭遇重大数据泄露，144GB的内部文件、客户信息和营销数据被曝光。此次泄露事件由网络犯罪论坛Breach Forum的用户“GHNA”首次披露。 144GB敏感数据泄露 据Hackread.com研究团队观察，GHNA于2025年3月31日（星期一）在Breach Forum发帖称：“今天，我上传了144GB的皇家邮政集团数据供大家下载（再次感谢Spectos的‘协助’）。感谢阅读，尽情享用！” 帖子中包含一张疑似皇家邮政集团与Spectos举行Zoom会议的截图。Spectos是一家总部位于德国的数据分析和绩效管理公司，曾多次与其他泄露事件扯上关系。这引发了外界对此次攻击究竟是直接入侵皇家邮政集团的基础设施，还是通过拥有深度系统访问权限的供应商Spectos进行的第三方攻击的猜测。 泄露的144GB档案包含293个文件夹和16,549个文件，涉及范围广泛： 客户个人身份信息（PII）：包括姓名、完整地址、邮编、寄送详情，以及寄件方的企业名称和服务使用情况。 内部通信：视频会议记录，尤其是Spectos与皇家邮政集团员工之间的Zoom通话。 运营数据：配送路线数据、邮局位置信息和后端SQL数据库。 营销基础设施数据：Mailchimp邮件列表导出，包含订阅者元数据、活动标签和详细的同意信息。 黑客GHNA是谁？ 深入调查发现，GHNA自2024年底以来便活跃于Breach Forum，通过泄露或出售多个高知名度企业的数据逐渐积累声誉。其发布的帖子涉及多个行业，包括： 多家市值数十亿美元的软件公司和太阳能行业企业； 三星电子（德国）——泄露了客户满意度工单数据； Touchworld Technology LLC和Liberty Latin America——源代码库； 涉及美国和欧洲软件公司（包括CRM和Staking平台）的访问权限； 针对加密货币公司的攻击，如Staking公司和赌场（均被论坛标记为“已验证”，其中一个已被售出）。 皇家邮政集团的数据泄露事件是GHNA发布的体量最大的攻击之一。但从其过往行为来看，这很可能只是一个更广泛的“访问即服务”（Access-as-a-Service）运营的一部分。 第三方供应商Spectos卷入 Spectos的名字多次出现在泄露的数据中，包括内部文件和会议视频。虽然目前尚不清楚Spectos是攻击入口还是仅被动涉及，黑客发帖时提到“再次感谢Spectos的‘协助’”，暗示Spectos的系统可能是此次泄露的切入点。考虑到泄露数据的规模和类型，攻击者或许通过共享系统、集成点或Spectos自身基础设施实现了入侵。 皇家邮政集团在发给Hackread.com的邮件中表示：“我们了解到此次事件疑似影响了皇家邮政的供应商Spectos。我们正与该公司合作调查事件，并评估是否存在数据影响。”截至目前，Spectos尚未就此事公开回应。 皇家邮政集团的安全挑战 此次事件是皇家邮政集团面临的一系列网络安全挑战中的最新一次。早在2023年年初，皇家邮政就曾遭受LockBit勒索软件团伙攻击，导致国际包裹寄递系统中断数周，被迫启用紧急预案。 当时的攻击由勒索软件团伙发起，主要目的是勒索赎金。而这次事件虽然没有勒索要求，但或许反映出黑客对皇家邮政集团数据的兴趣愈发浓厚，尤其是针对其供应商网络中的薄弱环节。 影响与持续调查 尽管皇家邮政集团尚未正式确认数据真实性，但已通过Spectos承认事件的存在。如果泄露数据属实，受影响客户的信息可能面临诈骗、垃圾邮件甚至身份盗窃的风险。 对于皇家邮政集团而言，这一事件加剧了其在数据保护和供应商管理上的压力。对于监管机构而言，事件或将引发关于皇家邮政集团是否采取了充分措施保护用户信息的质疑。 截至发稿时，事件调查仍在进行中，皇家邮政集团和Spectos均未作进一步回应。   消息来源：Hacker read； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文