HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一种新型名称混淆攻击“whoAMI”，该攻击允许任何发布具有特定名称的亚马逊机器镜像（AMI）的人在亚马逊网络服务（AWS）账户内获得代码执行权限。 Datadog安全实验室研究员Seth Art在一份与《黑客新闻》共享的报告中表示：“如果大规模执行，这种攻击可以用于获取数千个账户的访问权限。这种易受攻击的模式可以在许多私有和开源代码仓库中找到。” 这种攻击本质上是一种供应链攻击，通过发布恶意资源并诱骗配置错误的软件使用它而不是合法的对应资源来实现。 攻击利用了任何人都可以将AMI（用于在AWS中启动弹性计算云EC2实例的虚拟机镜像）发布到社区目录这一事实，以及开发人员在通过ec2:DescribeImages API搜索时可能省略“–owners”属性的情况。 具体来说，当受害者通过API检索AMI ID时，名称混淆攻击需要满足以下三个条件： 使用名称过滤器， 未指定所有者、所有者别名或所有者ID参数， 从返回的匹配镜像列表中获取最新创建的镜像（“most_recent=true”）。 这使得攻击者可以创建一个与搜索条件中指定的模式匹配的恶意AMI，从而导致使用威胁行为者的“替身”AMI创建EC2实例。反过来，这授予了对实例的远程代码执行（RCE）能力，允许威胁行为者发起各种后续利用行动。 攻击者只需要一个AWS账户，就可以将他们的后门AMI发布到公共社区AMI目录，并选择一个与目标所寻求的AMI匹配的名称。 “这与依赖混淆攻击非常相似，只是在后者中，恶意资源是一个软件依赖项（如pip包），而在whoAMI名称混淆攻击中，恶意资源是一个虚拟机镜像，”Art说。 Datadog表示，该公司监控的大约1%的组织受到了whoAMI攻击的影响，并且发现了使用易受攻击标准编写的Python、Go、Java、Terraform、Pulumi和Bash shell的公开代码示例。 在2024年9月16日负责任地披露后，亚马逊在三天后解决了这个问题。当被要求置评时，AWS告诉《黑客新闻》，它没有发现任何证据表明这种技术在野外被滥用。 “所有AWS服务都按设计运行。根据广泛的日志分析和监控，我们的调查确认，这项研究中描述的技术仅由授权研究人员执行，没有证据表明任何其他方使用了它，”该公司表示。 “这种技术可能会影响通过ec2:DescribeImages API检索亚马逊机器镜像（AMI）ID但未指定所有者值的客户。2024年12月，我们推出了Allowed AMIs，这是一种新的账户范围设置，使客户能够限制在其AWS账户内发现和使用AMI。我们建议客户评估并实施这一新的安全控制措施。” 截至去年11月，HashiCorp Terraform已开始在terraform-provider-aws版本5.77.0中使用“most_recent = true”但未使用所有者过滤器时向用户发出警告。预计该警告诊断将在版本6.0.0中升级为错误。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软在 2025 年 2 月 11 日披露了一个 Windows 轻量级目录访问协议（LDAP）实现中的关键安全漏洞，允许攻击者远程执行任意代码。 这个被指定为 CVE-2025-21376 的“蠕虫式”漏洞被分类为远程代码执行（RCE）问题，无需任何用户交互或权限即可被利用。 该漏洞涉及多个弱点，包括竞争条件（CWE-362）、整数下溢（CWE-191）和基于堆的缓冲区溢出（CWE-122）。 攻击者可以通过向易受攻击的 LDAP 服务器发送特制请求来利用此漏洞。 成功利用可能导致缓冲区溢出，进而实现远程代码执行。 通用漏洞评分系统（CVSS）为此漏洞分配了 8.1 的基础分和 7.1 的时间分。 微软专家指出，该漏洞的攻击向量是网络-based（AV:N），攻击复杂度高（AC:H），无需权限（PR:N），无需用户交互（UI:N）。 影响范围未变（S:U），对机密性、完整性和可用性的影响均为高（C:H, I:H, A:H）。 利用性和影响 尽管目前尚无公开的利用代码，但可利用性评估表明，利用此漏洞的可能性较大。目前该漏洞尚未公开披露或被利用。 然而，由于其蠕虫式特性，即无需用户干预即可在网络中快速传播，因此潜在的利用风险显著。 为了缓解此漏洞，建议用户应用微软提供的最新安全更新。 截至 2025 年 2 月的补丁星期二，受影响的系统（包括 Windows Server 2019 和 Windows 10 Version 1809）的更新已经可用。 用户应优先应用最新的安全补丁，以防止此漏洞被利用。因此，及时了解最新的漏洞和更新对于维护强大的网络安全防御至关重要。   消息来源：CyberSecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   Rapid7 的安全研究人员周四发现了一个新的 PostgreSQL 零日漏洞，该漏洞似乎是一个针对 BeyondTrust 远程支持产品的攻击链中的关键组成部分。 这个漏洞被标记为 CVE-2025-1094，影响 PostgreSQL 交互终端 psql，允许包含不受信任但正确转义的输入的 SQL 语句触发 SQL 注入。 有趣的是，Rapid7 直接将 PostgreSQL 漏洞的利用与针对 BeyondTrust 远程支持系统的远程代码执行攻击联系起来。这些攻击已经成功入侵了美国财政部的机器。 在所有检查的情景中，Rapid7 研究人员表示，BeyondTrust 漏洞（CVE-2024-12356）的利用都需要借助这个 PostgreSQL 漏洞。尽管 BeyondTrust 已经发布了其漏洞的补丁，包括 CVE-2024-12356 和另一个漏洞（CVE-2024-12686），但 PostgreSQL 中的基础漏洞仍然是攻击者的一个令人担忧的切入点。 根据 Rapid7 的公开文档，该漏洞存在于 psql 处理无效字节序列的方式中，这些序列来自格式错误的 UTF-8 字符。在测试中，Rapid7 研究人员发现，精心制作的无效序列可以提前终止 SQL 命令，允许攻击者注入额外的语句，甚至通过 psql 的元命令触发 shell 执行。 在受控测试中，Rapid7 研究人员表示，他们能够注入一个命令，在系统上执行 id 命令，确认了完全系统被攻破的可能性。 PostgreSQL 团队发布了一个紧急补丁，并警告称，在 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本中存在受影响的情况。该项目在感谢 Rapid7 发现该漏洞的同时，并未承认零日漏洞的利用情况。 Rapid7 还发布了一个 Metasploit 模块，该模块可以识别易受攻击的 BeyondTrust 系统，并自动化有效载荷的传递。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与朝鲜有关的国家级威胁行为者被指与一场针对韩国商业、政府和加密货币部门的持续活动有关。 这场被 Securonix 命名为 DEEP#DRIVE 的攻击活动，被归因于一个名为 Kimsuky 的黑客组织，该组织也被追踪为 APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427 和 Velvet Chollima。 “攻击者利用用韩语编写的定制网络钓鱼诱饵，伪装成合法文件，成功渗透到目标环境。” 安全研究人员丹・尤兹维克（Den Iuzvyk）和蒂姆・佩克（Tim Peck）在一份与《黑客新闻》共享的报告中表示，并将此活动描述为“复杂且多阶段的操作”。 通过网络钓鱼电子邮件发送的诱饵文件，格式为 .HWP、.XLSX 和 .PPTX，伪装成工作日志、保险文件和与加密货币相关的文件，诱使收件人打开它们，从而触发感染过程。 攻击链值得注意的是其在各个阶段大量依赖 PowerShell 脚本，包括有效载荷传递、侦察和执行。其特点还在于使用 Dropbox 进行有效载荷分发和数据窃取。 这一切都始于一个包含单个 Windows 快捷方式（.LNK）文件的 ZIP 压缩包，该文件伪装成合法文件。当提取并运行时，会触发 PowerShell 代码的执行，以从 Dropbox 获取并显示诱饵文件，同时通过名为“ChromeUpdateTaskMachine”的计划任务在 Windows 主机上秘密建立持久性。 其中一个用韩语编写的诱饵文件涉及物流设施叉车操作的安全工作计划，深入探讨了重型货物的安全处理，并概述了确保遵守工作场所安全标准的方法。 PowerShell 脚本还设计为联系同一个 Dropbox 位置以获取另一个 PowerShell 脚本，该脚本负责收集和窃取系统信息。此外，它还会投放第三个 PowerShell 脚本，最终负责执行一个未知的 .NET 程序集。 “使用基于 OAuth 令牌的身份验证进行 Dropbox API 交互，使得侦察数据（如系统信息和活动进程）能够无缝窃取到预定文件夹。” 研究人员表示。 “这种基于云的基础设施展示了一种有效且隐蔽的方法来托管和检索有效载荷，绕过了传统的 IP 或域名阻止列表。此外，该基础设施似乎具有动态性和短寿命，正如攻击初期阶段后关键链接的迅速移除所证明的那样，这不仅使分析复杂化，还表明攻击者积极监控其活动以确保操作安全。” Securonix 表示，他们能够利用 OAuth 令牌获得更多关于威胁行为者基础设施的洞察，发现证据表明这场活动可能从去年 9 月就开始了。 “尽管缺少最后阶段，但分析突显了攻击者采用的复杂技术，包括混淆、隐蔽执行和动态文件处理，这些技术表明攻击者意图规避检测并使事件响应复杂化。” 研究人员总结道。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一场规模巨大的物联网（IoT）安全漏洞事件曝光了 27 亿条包含敏感用户数据的信息，其中包括 Wi-Fi 网络名称、密码、IP 地址和设备标识符。此次事件与中国植物生长灯制造商 Mars Hydro 以及加州注册公司 LG-LED SOLUTIONS LIMITED 有关。 网络安全研究人员 Jeremiah Fowler 发现了这个未受保护的数据库，并向 vpnMentor 进行了报告。这一事件凸显了物联网设备安全和云存储实践中的严重漏洞。 这个公开可访问的数据库总计 1.17TB，没有任何密码保护或加密措施。它包含了全球售出的物联网设备的日志、监控记录和错误报告，具体内容包括： Wi-Fi SSID（网络名称） 和明文密码。 IP 地址、设备 ID、MAC 地址和操作系统详细信息（iOS/Android）。 API 令牌、应用程序版本以及标有“Mars-pro-iot-error”或“SF-iot-error”的错误日志。 事件背景与调查 Mars Hydro 的 Mars Pro 应用程序用于控制物联网生长灯和气候系统，尽管其隐私政策声称不收集用户数据，但据报道，该应用程序仍然收集了这些数据。 进一步的调查发现，这些记录与加州注册公司 LG-LED SOLUTIONS LIMITED 有关。泄露的数据还包括 API 详细信息以及 LG-LED SOLUTIONS、Mars Hydro 和 Spider Farmer 公司的 URL 链接，这些公司生产和销售农业生长灯、风扇和冷却系统。 许多记录标有“Mars-pro-iot-error”或“SF-iot-error”，其中包含令牌、应用版本、设备类型和 IP 地址以及 SSID 凭证。 Fowler 迅速通知了 LG-LED SOLUTIONS 和 Mars Hydro，几小时后，数据库的访问权限被限制。Mars Hydro 确认，“Mars Pro”应用程序是他们的官方产品，该应用在 iOS 和 Android 平台上支持多种语言。 然而，目前尚不清楚 LG-LED SOLUTIONS 是否直接管理该数据库，或者是否使用了第三方承包商。数据库曝光的时间长度以及是否有未经授权的方访问过它也不得而知。 安全风险与影响 泄露的数据带来了严重的风险： 网络渗透：攻击者可以利用暴露的 Wi-Fi 凭证访问家庭或企业网络，从而实施中间人攻击、数据拦截或勒索软件部署。 僵尸网络招募：受感染的物联网设备可能被劫持用于 DDoS 攻击，正如最近涉及 Matrix 黑客组织的事件所示。 物理威胁：恶意行为者可能操纵连接的生长灯、风扇或冷却系统，从而可能破坏农作物。 Fowler 特别强调了“最近邻攻击”这种战术的可能性，这是俄罗斯 GRU 黑客在 2024 年通过附近 Wi-Fi 网络入侵一家乌克兰组织的策略。 Palo Alto Networks 的威胁报告为此提供了背景：98% 的物联网设备数据未加密，57% 的设备高度脆弱。 此次事件反映了物联网安全中的系统性缺陷： 弱加密：许多设备依赖如 WPA2 等过时的协议，这些协议容易受到暴力破解攻击。 默认密码：用户往往未能更改出厂设置，导致设备暴露在风险中。 集中化云存储风险：在未受保护的服务器上存储大量数据，创造了单点故障。 值得注意的是，研究人员猜测此次泄露可能涉及 2019 年由中国智能设备品牌 Orvibo 暴露的同一数据库。 专家建议 专家们敦促物联网制造商和用户采取以下措施： 加密敏感日志，并用令牌化值替换明文凭证。 分割网络，将物联网设备与关键系统隔离。 进行定期审计 和渗透测试。 Mars Hydro 和 LG-LED SOLUTIONS 尚未就此次泄露事件的起源或可能的第三方参与发表评论。Fowler 强调，他的发现旨在“提高人们的意识”，目前没有证据表明存在直接滥用行为。   消息来源：CyberSecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zacks Investment Research（以下简称 Zacks）是一家美国投资研究公司，通过其专有的股票表现评估工具“Zacks Rank”为客户提供数据驱动的洞察，以帮助做出明智的财务决策。据报道，Zacks 去年遭受了另一起数据泄露事件，导致约 1200 万个账户的敏感信息被曝光。 今年 1 月底，一名威胁行为者在黑客论坛上发布了数据样本，声称 Zacks 在 2024 年 6 月发生了数据泄露，导致数百万客户的数据被曝光。这些数据可供论坛成员以少量加密货币换取，包含全名、用户名、电子邮件地址、物理地址和电话号码。 BleepingComputer 多次联系 Zacks 询问数据的真实性，但尚未收到回复。然而，该威胁行为者告诉 BleepingComputer，他们以域管理员身份访问了公司的活动目录，然后窃取了主网站（Zacks.com）和其他 16 个网站的源代码，包括一些内部网站。他们还分享了窃取的源代码样本作为新漏洞的证明。 今天早些时候，泄露的 Zacks 数据库被添加到“Have I Been Pwned”网站，用户可以在此检查他们的个人数据是否被泄露。HIBP 确认该文件包含 1200 万个唯一的电子邮件地址，以及 IP 地址、姓名、未加盐的 SHA-256 哈希密码、电话号码、物理地址和用户名。 然而，该服务也指出，大约 93% 的泄露电子邮件地址已经存在于其数据库中，这些地址来自过去对该平台或其他服务的泄露。 无官方确认 Zacks 尚未确认所谓的数据泄露，但如果数据泄露被证明是新黑客攻击的结果，这可能是该公司过去四年中的第三次重大数据泄露。 2023 年 1 月，Zacks 披露黑客在 2021 年 11 月至 2022 年 8 月期间侵入了其网络，并获取了 82 万名客户的敏感信息。 几个月后，2023 年 6 月，HIBP 验证了一个来自 Zacks 的独立数据库，该数据库之前已被泄露。该数据库包含使用 Zacks 服务的 880 万名个人的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。 根据 HIBP 服务的创建者 Troy Hunt 的说法，这些数据似乎在 2020 年 5 月被泄露，表明这是一起较早的事件。 尽管尚未得到官方验证，但 HIBP 在将其添加到服务之前已经验证了最新的 Zacks 客户数据泄露，并且有非常高的信心认为它来自一起新事件。需要注意的是，也有可能是威胁行为者从其他服务抓取了这些信息，并编制了一个与 Zacks 相关的用户信息数据库。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一种名为“whoAMI”的名称混淆攻击，该攻击允许任何人通过发布具有特定名称的亚马逊机器镜像（AMI）来访问亚马逊网络服务（AWS）账户。 “whoAMI”攻击由 DataDog 研究人员于 2024 年 8 月提出，他们证明了攻击者可以通过利用软件项目检索 AMI ID 的方式，在 AWS 账户内获得代码执行权限。 亚马逊确认了这一漏洞，并在 9 月推出了修复措施，但问题在客户侧仍然存在，尤其是在组织未能更新代码的环境中。 实施“whoAMI”攻击 AMI 是预配置了必要软件（操作系统、应用程序）的虚拟机，用于创建在 AWS 生态系统中称为 EC2（弹性计算云）实例的虚拟服务器。 AMI 有公共和私有之分，每个都有特定的标识符。对于公共 AMI，用户可以在 AWS 目录中搜索所需的 AMI ID。 为了确保 AMI 来自 AWS 市场中的可信来源，搜索需要包含“所有者”属性，否则“whoAMI”名称混淆攻击的风险会增加。 “whoAMI”攻击之所以能够实现，是由于 AWS 环境中 AMI 选择的配置错误： 软件使用 ec2:DescribeImages API 检索 AMI 时未指定所有者 脚本使用通配符而不是具体的 AMI ID 一些基础设施即代码（IaC）工具（如 Terraform）使用“most_recent=true”，自动选择符合过滤条件的最新 AMI 这些条件允许攻击者通过命名资源与受信任的资源相似来插入恶意 AMI。如果没有指定所有者，AWS 会返回所有匹配的 AMI，包括攻击者的 AMI。 如果参数“most_recent”被设置为“true”，受害者的系统会提供最新添加到市场中的 AMI，这可能包括一个名称与合法条目相似的恶意 AMI。 演示检索恶意 AMI 而不是受信任的 AMI 攻击者只需发布一个符合受信任所有者使用的模式的 AMI 名称，用户就很容易选择它并启动一个 EC2 实例。 “whoAMI”攻击不需要突破目标的 AWS 账户。攻击者只需要一个 AWS 账户，将他们的后门 AMI 发布到公共社区 AMI 目录中，并战略性地选择一个模仿目标 AMI 的名称。 DataDog 表示，根据他们的遥测数据，他们监控的大约 1% 的组织容易受到“whoAMI”攻击，但“这一漏洞可能影响数千个不同的 AWS 账户”。 亚马逊的回应和防御措施 DataDog 研究人员通知了亚马逊这一漏洞，该公司确认内部非生产系统容易受到“whoAMI”攻击。 问题在 2024 年 9 月 19 日得到修复，12 月 1 日，AWS 引入了一个名为“Allowed AMIs”的新安全控制功能，允许客户创建受信任 AMI 提供商的允许列表。 AWS 表示，除了安全研究人员的测试外，该漏洞未被利用，因此没有客户数据通过“whoAMI”攻击被泄露。 亚马逊建议客户在使用“ec2:DescribeImages”API 时始终指定 AMI 所有者，并启用“Allowed AMIs”功能以获得额外保护。 新功能可通过 AWS 控制台 → EC2 → 账户属性 → Allowed AMIs 访问。 从 2024 年 11 月开始，Terraform 5.77 在使用“most_recent = true”而没有所有者过滤器时开始向用户发出警告，并计划在未来的版本（6.0）中实施更严格的措施。 系统管理员必须审查他们的配置并更新 AMI 源代码（Terraform、AWS CLI、Python Boto3 和 Go AWS SDK），以安全地检索 AMI。 要检查是否正在使用不受信任的 AMI，可以通过“Allowed AMIs”启用 AWS 审计模式，并切换到“强制模式”以阻止它们。 DataDog 还发布了一个扫描器，用于检查 AWS 账户中由不受信任的 AMI 创建的实例，可在 GitHub 仓库 中获取。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络与云安全领域近期出现了一种利用 Webflow 内容分发网络（CDN）上的虚假 PDF 文档进行的广泛网络钓鱼活动，其目的是窃取信用卡信息并实施金融诈骗。 “攻击者针对在搜索引擎上查找文档的受害者，使他们访问到包含嵌入式 CAPTCHA 图像的恶意 PDF，该图像中嵌入了一个钓鱼链接，诱使受害者提供敏感信息。” Netskope 威胁实验室研究员简・迈克尔・阿尔坎塔拉（Jan Michael Alcantara）表示。 自 2024 年下半年以来，这种活动一直在进行。用户在谷歌等搜索引擎上查找书名、文档和图表时，会被重定向到托管在 Webflow CDN 上的 PDF 文件。这些 PDF 文件中嵌入了一个模仿 CAPTCHA 挑战的图像，导致点击该图像的用户被带到了一个钓鱼页面，而这次页面上托管的是一个真实的 Cloudflare Turnstile CAPTCHA。 通过这种方式，攻击者试图为这一过程披上一层合法的外衣，欺骗受害者认为他们进行了一次安全检查，同时也规避了静态扫描器的检测。 完成真实 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面，以访问所谓的文档。然而，当受害者尝试完成此步骤时，他们会收到一个弹出消息，要求输入个人和信用卡信息。 “在输入信用卡信息后，攻击者会发送一条错误消息，表明信息未被接受。” 迈克尔・阿尔坎塔拉说，“如果受害者再次提交两到三次信用卡信息，他们将被重定向到一个 HTTP 500 错误页面。” 与此同时，SlashNext 详细披露了一种名为 Astaroth 的新型网络钓鱼工具包（不要与同名的银行恶意软件混淆），该工具包在 Telegram 和网络犯罪市场上以 2000 美元的价格出售，提供六个月的更新和绕过技术。 像网络钓鱼即服务（PhaaS）一样，它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来收集凭证和双因素认证（2FA）代码。 “ Astaroth 利用 Evilginx 风格的反向代理拦截和操纵受害者与合法认证服务（如 Gmail、Yahoo 和 Microsoft）之间的流量。” 安全研究员丹尼尔・凯利（Daniel Kelley）表示，“作为中间人，它实时捕获登录凭证、令牌和会话 cookie，有效绕过了 2FA。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司表示，最近在Kraken勒索软件团伙的泄露网站上发布的文件，涉及的数据来源于三年前的网络攻击。 这些数据，包含一份似乎从思科系统中被窃取的凭证列表，近日出现在Kraken勒索软件团伙的新数据泄露网站上。 思科发言人回应SecurityWeek的询问时表示：“思科已知有关安全事件的报告。报告中提到的事件发生在2022年5月，且我们当时已完全解决了该事件。” 他还表示：“根据我们的调查，事件并未对客户造成任何影响。” 思科曾在2022年8月详细说明了这一网络攻击事件。当时，一个名为Yanluowang的勒索软件团伙将思科列为其泄露网站的受害者，声称窃取了数GB的信息。 该事件被归咎于俄罗斯关联的威胁行为者UNC2447，该团伙以使用FiveHands和HelloKitty勒索软件而闻名。事件还与臭名昭著的Lapsus$黑客团伙有关，该团伙在2022年底解散，原因是两名英国成员被逮捕并定罪，此外，还与Yanluowang团伙有关。 2022年9月，攻击者公开了从思科窃取的文件，思科确认这些数据确实来源于其网络。 就在上周末，其中一部分数据——包括用户名、标识符和密码哈希值——出现在Kraken的泄露网站上，目前该网站总共有六篇相关帖子。 Kraken似乎是HelloKitty勒索软件团伙的重新品牌化，正如泄露网站所提到的，这也解释了为何他们会拥有这些思科的数据。 该团伙多次更换名字，可能是为了通过重提旧有攻击来吸引对新品牌的关注。 消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文