HackerNews 编译，转载请注明出处： 白俄罗斯黑客组织利用带有恶意软件的 Microsoft Excel 文档作为诱饵，以传递 PicassoLoader 的新变种。据评估，这一威胁集群是自 2016 年以来由与白俄罗斯对齐的黑客组织（称为 Ghostwriter，又名 Moonscape、TA445、UAC-0057 和 UNC1151）发起的长期活动的延伸。 “该活动自 2024 年 7 月至 8 月开始筹备，并于 11 月至 12 月进入活跃阶段，” SentinelOne 研究员 Tom Hegel 在一份与《黑客新闻》共享的技术报告中表示。“最近的恶意软件样本和命令与控制（C2）基础设施活动表明，该行动在最近几天仍然活跃。” 这家网络安全公司分析的攻击链的起点是一个来自名为 Vladimir Nikiforech 的账户的 Google Drive 共享文档，该文档托管了一个 RAR 压缩包。 远程访问木马（RAT）文件包含一个恶意 Excel 工作簿，当打开时，如果潜在受害者启用宏运行，将触发执行一个混淆的宏。该宏随后写入一个 DLL 文件，最终为 PicassoLoader 的简化版本铺平了道路。 在下一阶段，会向受害者显示一个诱饵 Excel 文件，而在后台，系统上会下载额外的有效载荷。早在 2024 年 6 月，这种方法就被用于传递 Cobalt Strike 后利用框架。 SentinelOne 表示，还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档，这些文档从远程 URL（“sciencealert[.]shop”）检索一个未知的第二阶段恶意软件，形式为看似无害的 JPG 图像，这种技术被称为隐写术。这些 URL 已不再可用。 在另一个实例中，被动手动的 Excel 文档被用来传递一个名为 LibCMD 的 DLL，该 DLL 旨在运行 cmd.exe 并连接到 stdin/stdout。它直接作为 .NET 程序集加载到内存中并执行。 “在整个 2024 年，Ghostwriter 反复使用包含 Macropack 混淆的 VBA 宏的 Excel 工作簿，并投放用 ConfuserEx 混淆的嵌入式 .NET 下载程序，” Hegel 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员穆罕默德·沙哈特披露了影响GatesAir Maxiva UAXT和VAXT发射机的三项关键漏洞。这些广泛部署的发射机被用于广播、交通和公共安全等多个行业。如果被利用，这些漏洞可能导致严重后果，包括会话劫持、数据泄露和系统全面沦陷。 漏洞详情如下： CVE-2025-22960（会话劫持）：此漏洞允许未经身份验证的攻击者访问暴露的日志文件，可能会泄露敏感的会话相关信息，如会话ID和身份验证令牌。攻击者可利用此漏洞劫持活跃会话，获得未授权访问权限，并在受影响设备上提升权限。 CVE-2025-22961（数据泄露）：攻击者可通过公开暴露的URL直接访问敏感数据库备份文件（snapshot_users.db）。此漏洞可能导致敏感用户数据泄露，包括登录凭证，进而可能导致系统全面沦陷。 CVE-2025-22962（远程代码执行）：当调试模式启用时，拥有有效会话ID的攻击者可发送精心构造的POST请求，在底层系统上执行任意命令。这一关键漏洞可导致系统全面沦陷，包括未授权访问、权限提升以及可能的设备完全接管。 沙哈特还公布了这些漏洞的概念验证利用代码，这加剧了这些漏洞的严重性，使得恶意行为者更容易利用这些漏洞。这凸显了立即采取行动以缓解风险的紧迫性。 GatesAir尚未为这些漏洞发布补丁。在此期间，建议使用受影响发射机的组织采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件实施严格的文件权限。 避免记录敏感的会话相关数据。 在存储前对敏感数据进行加密。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用GatesAir Maxiva UAXT和VAXT发射机的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： eSentire 威胁响应单元（TRU）披露了一项针对 Mac 用户的新活动，该活动利用 Poseidon Stealer 恶意软件。此活动通过假冒合法的 DeepSeek 平台网站，诱骗用户下载并执行恶意负载。 感染始于用户被重定向到假冒的 DeepSeek 网站 deepseek.exploreio[.]net，通常通过恶意广告。该假冒网站与真实的 DeepSeek 网站非常相似，欺骗用户点击 “立即开始” 按钮，这将引导用户进入下载页面。点击 “下载 Mac OS” 后，会下载一个恶意的 DMG 文件。 下载的 DMG 文件包含一个伪装成 DeepSeek 应用程序的 shell 脚本。当用户将此 “应用程序” 拖放到终端时，脚本会执行，绕过 macOS GateKeeper 安全措施。脚本随后下载并执行 Poseidon Stealer 负载。 Poseidon Stealer 是一种恶意软件即服务（MaaS），针对基于 Chromium/Firefox 的浏览器中的敏感数据，包括信用卡、密码、书签和加密货币钱包数据。它还收集系统信息，窃取密钥链数据库，并从桌面、下载和文档目录中窃取文件。 该攻击通过利用终端执行方法绕过了 Gatekeeper 保护。Poseidon Stealer 负载采用反调试和字符串加密技术来阻碍分析。恶意软件还包含检查是否在沙盒或研究环境中运行，如果检测到则会终止自身。 用户应保持警惕，防范假冒软件下载网站，并实施主动安全措施以降低风险。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个由超过 130,000 台被攻陷设备组成的庞大僵尸网络正在对全球的 Microsoft 365 (M365) 账户进行密码喷雾攻击，目标是基本身份验证，以绕过多因素身份验证。 根据 SecurityScorecard 的一份报告，攻击者利用信息窃取恶意软件窃取的凭据，大规模针对这些账户。 这些攻击依赖于使用基本身份验证（Basic Auth）的非交互式登录，以绕过多因素身份验证（MFA）保护，在未经授权的情况下访问账户，而不会触发安全警报。 “仅依赖交互式登录监控的组织对这些攻击视而不见。非交互式登录，通常用于服务到服务的身份验证、遗留协议（例如 POP、IMAP、SMTP）和自动化流程，在许多配置中不会触发 MFA，”SecurityScorecard 警告道。 “基本身份验证在某些环境中仍然启用，允许以明文形式传输凭据，使其成为攻击者的首要目标。” 基本身份验证是一种过时的身份验证方法，用户的凭据以明文或 base64 编码形式随每个请求发送到服务器。它缺乏现代安全功能，如 MFA 和基于令牌的身份验证，微软计划在 2025 年 9 月弃用它，转而支持 OAuth 2.0，已经为大多数 Microsoft 365 服务禁用了基本身份验证。 这个新发现的僵尸网络使用基本身份验证尝试，针对大量账户使用常见或泄露的密码。由于基本身份验证是非交互式的，当尝试的凭据匹配时，攻击者不会被提示进行 MFA，并且通常不会受到条件访问策略（CAP）的限制，这使得攻击者可以悄无声息地验证账户凭据。 一旦凭据得到验证，它们可以用于访问不需要 MFA 的遗留服务，或在更复杂的网络钓鱼攻击中绕过安全功能，获得对账户的完全访问权限。 SecurityScorecard 还指出，您可能可以在 Entra ID 日志中看到密码喷雾攻击的迹象，这将显示非交互式登录的登录尝试增加，不同 IP 地址的多次失败登录尝试，以及身份验证日志中存在 “fasthttp” 用户代理。 今年 1 月，SpearTip 警告称，有威胁行为者以类似方式使用 FastHTTP Go 库进行 Microsoft 365 密码攻击，但未提及非交互式登录。目前尚不清楚这是否是僵尸网络的新发展，以规避检测。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   OpenAI 表示，已阻止多个朝鲜黑客组织使用其 ChatGPT 平台来研究未来目标并寻找入侵其网络的方法。 “我们封禁了显示与公开报道的朝鲜相关威胁行为者活动的账户，”该公司在 2025 年 2 月的威胁情报报告中表示。 “其中一些账户的活动与一个名为 VELVET CHOLLIMA（又名 Kimsuky、Emerald Sleet）的威胁组织的行为一致，而其他账户则可能与一个被可信来源评估为与 STARDUST CHOLLIMA（又名 APT38、Sapphire Sleet）相关的组织有关。” 这些被封禁的账户是通过一个行业合作伙伴提供的信息检测到的。除了研究网络攻击中使用的工具外，这些威胁行为者还利用 ChatGPT 获取与加密货币相关的信息，这与朝鲜国家支持的威胁组织的常见兴趣相关。 这些恶意行为者还利用 ChatGPT 进行编码辅助，包括如何使用开源远程管理工具（RAT），以及对用于远程桌面协议（RDP）暴力攻击的开源和公开可用的安全工具和代码进行调试、研究和开发辅助。 OpenAI 的威胁分析师还发现，朝鲜行为者在调试自动启动扩展点（ASEP）位置和 macOS 攻击技术时，暴露了当时安全供应商未知的恶意二进制文件的暂存 URL。 这些暂存 URL 和相关的编译可执行文件被提交给一个在线扫描服务，以便与更广泛的安全社区共享。因此，一些供应商现在能够可靠地检测到这些二进制文件，保护潜在受害者免受未来攻击。 OpenAI 在研究朝鲜威胁行为者如何使用被封禁账户时发现的其他恶意活动包括但不限于： – 询问各种应用程序中的漏洞， – 开发和排除 C# 基 RDP 客户端的故障，以启用， – 要求代码以绕过未经授权的 RDP 的安全警告， – 请求多个 PowerShell 脚本，用于 RDP 连接、文件上传/下载、从内存中执行代码和混淆 HTML 内容， – 讨论创建和部署混淆的有效载荷以供执行， – 寻求对加密货币投资者和交易者进行针对性网络钓鱼和社会工程的方法，以及更通用的网络钓鱼内容， – 制作网络钓鱼电子邮件和通知，诱使用户透露敏感信息。 该公司还封禁了与一个潜在的朝鲜 IT 工人计划相关的账户，该计划被描述为具有通过欺骗西方公司雇佣朝鲜人来为平壤政权获取收入的所有特征。 “在似乎获得就业后，他们使用我们的模型执行与工作相关的任务，如编写代码、排除故障和与同事交流，”OpenAI 解释道。“他们还使用我们的模型来编造掩盖故事，以解释异常行为，如避免视频通话、从未经授权的国家访问公司系统或工作时间不规律。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚成为最新一个因国家安全问题禁止安装俄罗斯公司卡巴斯基安全软件的国家。 澳大利亚内政部秘书斯蒂芬妮·福斯特（Stephanie Foster PSM）表示：“经过威胁和风险分析后，我决定，澳大利亚政府机构使用卡巴斯基实验室的产品和网络服务对澳大利亚政府、网络和数据构成不可接受的安全风险，这些风险来自外国干涉、间谍活动和破坏行为。” 福斯特还指出，政府需要向关键基础设施和其他澳大利亚政府部门传递强烈的政策信号，表明使用卡巴斯基产品和服务带来的安全风险不可接受。 她进一步强调，相关机构有责任管理卡巴斯基庞大用户数据收集所带来的风险，以及该数据可能受到外国政府非法指令的影响，这些指令与澳大利亚法律相冲突。 根据政府于2月23日发布的新指令（002-2025），政府机构不得在其系统和设备上安装卡巴斯基的产品和服务，并必须在2025年4月1日之前删除所有现有安装。 不过，机构可以申请豁免，若其使用卡巴斯基软件是出于“合法商业原因”，并确保采取适当的风险缓解措施。 这些豁免将是有时间限制的，仅限于满足合规性和执法要求的用途。 此举紧随美国的脚步。2024年6月末，美国禁止卡巴斯基在国内销售其软件和产品，或向现有客户发布产品更新。该公司于2024年7月中旬退出了美国市场。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用破解软件作为诱饵，传播信息窃取器，如 Lumma 和 ACR Stealer。 AhnLab 安全情报中心（ASEC）表示，自 2025 年 1 月以来，ACR Stealer 的分发量显著增加。 这种信息窃取恶意软件的一个显著特点是使用了一种称为 dead drop resolver 的技术来提取实际的命令与控制（C2）服务器。这包括依赖于合法服务，如 Steam、Telegram 的 Telegraph、Google Forms 和 Google Slides。 “威胁行为者将实际的 C2 域名以 Base64 编码的形式输入到特定页面，”ASEC 表示。“恶意软件访问该页面，解析字符串，并获取实际的 C2 域名地址以执行恶意行为。” ACR Stealer 之前通过 Hijack Loader 恶意软件分发，能够从受攻陷的系统中窃取广泛的信息，包括文件、网络浏览器数据和加密货币钱包扩展。 与此同时，ASEC 还披露了另一项活动，该活动利用扩展名为 “MSC” 的文件，这些文件可以通过 Microsoft Management Console（MMC）执行，来传递 Rhadamanthys 信息窃取器。 “有两种类型的 MSC 恶意软件：一种利用 apds.dll 的漏洞（CVE-2024-43572），另一种使用控制台任务面板执行‘命令’，”这家韩国公司表示。 “MSC 文件伪装成 MS Word 文档。当点击‘打开’按钮时，它会从外部来源下载并执行一个 PowerShell 脚本。下载的 PowerShell 脚本包含一个 EXE 文件（Rhadamanthys）。” CVE-2024-43572，也称为 GrimResource，于 2024 年 6 月首次被 Elastic 安全实验室记录为被恶意行为者利用的零日漏洞。微软在 2024 年 10 月修复了该漏洞。 此外，还观察到恶意软件活动利用聊天支持平台，如 Zendesk，伪装成客户，诱骗不知情的支持代理下载一种名为 Zhong Stealer 的信息窃取器。 根据 Hudson Rock 最近发布的一份报告，在过去的几年中，超过 3000 万台计算机被信息窃取器感染，导致企业凭据和会话 cookie 被窃取，这些凭据和会话 cookie 随后被网络犯罪分子在地下论坛上出售给其他行为者以牟利。 买家可以利用这些凭据获得的访问权限，进行自己的后续攻击行动，导致严重风险。这些发展突显了信息窃取器作为初始访问向量的作用，为敏感企业环境提供了立足点。 “网络犯罪分子可以以每台计算机（日志）10 美元的价格，从从事机密国防和军事部门工作的员工那里购买被盗数据，”Hudson Rock 表示。“信息窃取器情报不仅仅是检测谁被感染——更重要的是理解被攻陷凭据和第三方风险的整个网络。” 在过去一年中，威胁行为者还加大了通过一种称为 ClickFix 的技术传播各种恶意软件家族的努力，这通常涉及将用户重定向到假的 CAPTCHA 验证页面，指示他们复制并执行恶意的 PowerShell 命令。其中一种被投放的有效载荷是 I2PRAT，它利用 I2P 匿名网络来隐藏其最终的 C2 服务器。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚软件公司 Atlassian 修复了 Bamboo、Bitbucket、Confluence、Crowd 和 Jira 产品中的 12 个关键和高危漏洞。 Atlassian 发布了安全补丁，以解决这些产品中的漏洞。其中最严重的漏洞包括： CVE-2024-50379（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在远程代码执行（RCE）漏洞。该漏洞是 Apache Tomcat 中的一个 TOCTOU 竞态条件，允许在大小写不敏感的文件系统上通过非默认的写启用 servlet 进行 RCE。受影响版本：9.0.0.M1-9.0.97、10.1.0-M1-10.1.33、11.0.0-M1-11.0.1。更新至 9.0.98、10.1.34 或 11.0.2。 CVE-2024-56337（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在 RCE 漏洞。该漏洞是 Apache Tomcat 的 TOCTOU 漏洞，由对 CVE-2024-50379 的不完全缓解引起。受影响版本：9.0.0-M1–9.0.97、10.1.0-M1–10.1.33、11.0.0-M1–11.0.1。需要在大小写不敏感的文件系统上进行额外配置。修复版本：Tomcat 9.0.99、10.1.35 和 11.0.3。 CVE-2024-52316（CVSS 评分为 9.8）：Crowd Data Center 和 Server 中的 Apache Tomcat 依赖项存在认证绕过和会话管理（BASM）漏洞。Apache Tomcat 的 Jakarta Authentication 中的一个未检查错误可能导致认证绕过，如果自定义 ServerAuthContext 在未设置 HTTP 状态的情况下失败。受影响版本：9.0.0-M1–9.0.95、10.1.0-M1–10.1.30、11.0.0-M1–11.0.0-M26。更新至 9.0.96、10.1.31 或 11.0.0。 Atlassian 未披露这些漏洞是否已在野外被利用。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 Windows-WiFi-Password-Stealer 的 GitHub 仓库引发了网络安全专业人士的关注。 该仓库由用户托管，提供了一个基于 Python 的脚本，能够从 Windows 系统中提取保存的 Wi-Fi 凭证，并将其保存到文本文件中。 尽管该仓库声称用于教育目的，但其潜在的恶意使用风险不容忽视。 恶意软件详情 根据 X 上的一篇网络地下帖子，该仓库包含以下关键文件： Password Stealer.py：执行凭证提取过程的主脚本。 requirements.txt：运行脚本所需的 Python 依赖项列表。 README.md：包含安装和使用说明的文档。 该工具执行 netsh wlan show profile，这是一个合法的网络 shell 命令，用于获取与系统关联的服务集标识符（SSID）列表。 对于每个 SSID，该工具随后运行 netsh wlan export profile，生成包含配置详细信息的 XML 文件，包括明文的预共享密钥（PSK）。 这些 XML 文件暂时存储在系统的当前工作目录中，由 Python 脚本解析以提取密码，随后被删除以规避检测。 该方法利用了 Windows 对 Wi-Fi 凭证的原生处理方式，这些凭证以加密形式存储在凭据管理器中。 该工具的简单性和开源性质降低了恶意使用的门槛。用 Python 编写，依赖项极少，可使用 PyInstaller 转换为独立可执行文件。 要使用该工具，用户需安装依赖项： pip install -r requirements.txt 此外，README 提供了使用 PyInstaller 将脚本转换为可执行文件的说明：   pyinstaller –onefile PasswordStealer.py 这一功能简化了部署，使非技术用户也能轻松使用，增加了其被恶意利用的可能性。GitHub 仓库提供了清晰的编译说明，即使是新手用户也能生成针对特定攻击场景的有效载荷。 此类工具在 GitHub 等平台上的公开可用性带来了显著风险。恶意行为者可以轻松地将代码重新用于凭证收集，从而实现未经授权的网络访问或在受攻陷环境中进行横向移动。 组织应强制实施多因素认证用于 Wi-Fi 访问，并定期轮换 PSK，以减少凭证泄露的影响。 尽管该工具本身并非固有恶意，但其滥用突显了操作系统处理敏感凭证方式的关键漏洞。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。 Craft CMS 是一个用于构建网站和自定义数字体验的内容管理系统（CMS）。 关于 CVE-2025-23209 的技术细节不多，但利用该漏洞并不容易，因为它需要安装的安全密钥已经被攻破。 在 Craft CMS 中，安全密钥是一个加密密钥，用于保护用户认证令牌、会话 cookie、数据库值和敏感应用程序数据。 CVE-2025-23209 漏洞只有在攻击者已经获得这个安全密钥时才会成为问题，这为解密敏感数据、生成伪造的认证令牌或远程注入和执行恶意代码打开了大门。 CISA 已将该漏洞添加到已知被利用漏洞（KEV）目录中，但未分享任何关于攻击范围和来源以及目标的信息。 联邦机构需在 2025 年 3 月 13 日之前修补 Craft CMS 漏洞。 该漏洞已在 Craft 5.5.8 和 4.13.8 版本中修复，因此建议用户尽快升级到这些版本或更高版本。 如果您怀疑系统已被攻破，建议删除 `.env` 文件中包含的旧密钥，并使用 `php craft setup/security-key` 命令生成新的密钥。请注意，密钥更改将使使用旧密钥加密的任何数据无法访问。 除了 CVE-2025-23209 之外，CISA 还将 Palo Alto Networks 防火墙中的一个漏洞（CVE-2025-0111）添加到已知被利用漏洞目录中，并设定了相同的 3 月 13 日截止日期。 这是一个影响 PAN-OS 防火墙的文件读取漏洞，供应商披露黑客将其作为利用链的一部分，与 CVE-2025-0108 和 CVE-2024-9474 一起利用。 受该漏洞影响的用户可以查看 Palo Alto Networks 的安全公告，了解修复该漏洞的 PAN-OS 版本。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文