HackerNews 编译，转载请注明出处： 一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密（SSE-C）功能加密S3存储桶，只有威胁行为者才知道解密密钥，并要求支付赎金以获取该密钥。 这一活动由Halcyon发现，据其报告，名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而，该行动可能会升级，或者很快会有更多威胁行为者采用这一战术。 亚马逊简单存储服务（S3）是亚马逊云服务（AWS）提供的一种可扩展、安全且高速的对象存储服务，而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。 SSE-C是一种加密选项，用于确保S3静态数据的安全，允许客户使用自己的加密密钥，通过AES-256算法对数据进行加密和解密。AWS不存储该密钥，客户负责生成、管理和保护密钥。 在Codefinger的攻击中，威胁行为者使用被破解的AWS凭证，利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥，定位到S3存储桶中的对象进行SSE-C加密。 然后，攻击者在本地生成一个加密密钥，对目标数据进行加密。 由于AWS不存储这些加密密钥，因此即使受害者向亚马逊报告了未经授权的活动，也无法在没有攻击者密钥的情况下恢复数据。 Halcyon解释道：“通过利用AWS原生服务，他们在不合作的情况下实现了既安全又无法恢复数据的加密。” 接下来，攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略，并在所有受影响的目录中放置了勒索信，指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。 勒索信还警告受害者，如果他们尝试更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，使受害者无法恢复其数据。 Halcyon已将其发现报告给亚马逊，云服务提供商表示，他们会尽力及时通知密钥已泄露的客户，以便他们立即采取行动。 亚马逊还鼓励人们实施严格的安全协议，并按照以下步骤快速解决未经授权的AWS账户活动问题。 Halcyon还建议AWS客户设置限制性策略，以防止在其S3存储桶中使用SSE-C。 关于AWS密钥，应禁用未使用的密钥，频繁轮换活跃的密钥，并将账户权限保持在所需的最低级别。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 《流放之路2》开发团队证实，一名黑客通过破解的管理员账号修改了密码，并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来，《流放之路2》（PoE 2）玩家账号频繁被盗的原因。 被攻破的管理员账号使黑客能够更改其他玩家账号的密码，导致许多玩家的游戏内购买物品丢失，包括他们耗费数百小时才获得的珍贵物品。 然而，由于日志保留的时间限制，目前无法确定此次事件波及的确切范围，这意味着可能有更多账号在此次攻击中失窃。 《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏，是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。 尽管目前仍处于抢先体验阶段，但这款游戏在Steam上好评如潮，已经形成了一个由数万名玩家组成的忠实社区，还有更多玩家翘首以盼其正式发行。 《流放之路2》的玩家在游戏论坛上报告称，近期出现了一波账号被盗事件。他们发现，无论是Steam账号还是独立的PoE账号，在未被触发双重身份验证代码请求的情况下就被攻破了。 这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时，发现黑客已经盗走了他们所有的游戏内物品，包括珍贵的神圣宝珠和终极装备。 据受害玩家在论坛上的帖子称，PoE客服告诉他们，无法回滚账号或恢复被盗物品，因此损失无法挽回。 通过旧Steam账号被盗取的管理员权限 据404 Media首次报道，昨日，《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认，此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的，该账号已被攻破。 黑客利用部分信息，如信用卡的最后四位数字，说服Steam客服重置凭据并控制了该账号。 这使得黑客能够访问《流放之路2》的管理员账号，并进一步访问其他玩家的账号。 虽然开发团队尚未确认，但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图，据称该面板被用于修改玩家的密码。 更糟糕的是，当《流放之路2》的账号密码被更改时，它会被记录为一个可编辑的备注，而不是作为一个不可编辑的审计条目进行记录。 “实际上，存在一个漏洞，即将新密码设置为账号的事件被错误地标记为备注，而不是像审计事件那样。”罗杰斯在采访中说道。 “这意味着备注是客户服务人员可以添加到玩家账号上的内容，他们可以编辑和删除它们。因此，将密码更改标记为备注可能会被客户服务人员意外删除，而不是以任何人都无法更改的方式永久保留。” “因此，这实际上意味着，那些成功获取账号的人，他们是通过发送一个随机密码来攻击账号，然后在之后删除该备注。” 虽然开发团队正在分析日志以查找受影响的账号，但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间，一些日志被删除。 “实际上，去年11月有五天我们没有日志，之后有66个账号的备注被删除，”罗杰斯继续说道。 开发团队承认游戏后端存在错误和安全漏洞，这些漏洞本可预防此次攻击。他们表示：“我们这次彻底搞砸了。” Grinding Gear Games向玩家保证，事件发生后，已经采取了多项安全措施，包括取消将Steam账号与管理员账号关联的功能。 然而，对于那些受影响的账号，Grinding Gear Games并未宣布任何补偿计划，而是表示无法恢复被盗物品。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA已将BeyondTrust特权远程访问（PRA）和远程支持（RS）产品中的命令注入漏洞（CVE-2024-12686）标记为正在被攻击利用。 根据《强制性操作指令》（BOD）22-01的要求，该漏洞被纳入CISA的“已知被利用漏洞”目录后，美国联邦机构必须在2月3日前的三周内，针对该漏洞发起的持续攻击，确保其网络安全。 12月19日，美国网络安全机构还在同一款BeyondTrust软件产品中发现了另一个关键的命令注入安全漏洞（CVE-2024-12356）。 BeyondTrust在12月初调查其部分远程支持SaaS实例遭入侵事件时发现了这两个漏洞。攻击者窃取了一个API密钥，随后使用该密钥重置了本地应用账户的密码。 虽然BeyondTrust在12月的披露中并未明确提及，但威胁行为者很可能利用这两个漏洞作为零日漏洞，入侵BeyondTrust系统，进而攻击其客户。 1月初，财政部披露，攻击者使用窃取的远程支持SaaS API密钥，入侵了该部门使用的BeyondTrust实例。 此后，此次攻击被指与中国国家支持的黑客组织“丝绸台风”有关。该网络间谍组织以侦察和数据盗窃攻击而闻名，曾在2021年初利用Microsoft Exchange Server ProxyLogon零日漏洞入侵约68,500台服务器后广为人知。 威胁行为者专门瞄准了负责管理和执行贸易与经济制裁项目的外国资产控制办公室（OFAC），以及审查外国投资是否存在国家安全风险的美国外国投资委员会（CFIUS）。 他们还入侵了财政部的金融研究办公室系统，但此次事件的影响仍在评估中。据信，“丝绸台风”利用窃取的BeyondTrust数字密钥访问了“与潜在制裁行动和其他文件相关的非机密信息”。 BeyondTrust表示，它已对所有云实例中的CVE-2024-12686和CVE-2024-12356漏洞应用了安全补丁。但是，运行自托管实例的用户必须手动部署补丁。 该公司尚未在上个月发布的安全公告中将这两个安全漏洞标记为正在被攻击利用。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过控制被遗弃和过期的域名基础设施（每个域名仅需20美元），网络犯罪分子已劫持了此前由不同威胁行为者部署的至少4000个独特的网络后门。 网络安全公司WatchTowr Labs表示，其通过注册40多个后门原本用于命令与控制（C2）的域名，成功实施了此次行动。在与Shadowserver Foundation合作下，研究中涉及的域名已被封锁。 WatchTowr Labs首席执行官Benjamin Harris和研究人员Aliz Hammond在上周的技术报告中表示：“我们劫持了那些依赖现已被遗弃的基础设施和/或过期域名的后门，这些后门原本存在于其他后门之中，此后我们一直在观察结果如潮水般涌入。” “这次劫持使我们能够追踪受感染的主机在‘报告’时的动向，并在理论上使我们有权接管和控制这些受感染的主机。” 通过信标活动识别的受感染目标包括孟加拉国、中国和尼日利亚的政府机构，以及中国、韩国和泰国等地的学术机构。 这些后门其实是网络外壳，旨在为目标网络提供持续的远程访问，以便进行后续利用，其范围和功能各不相同： 能够通过PHP代码执行攻击者提供的命令的简单网络外壳 c99shell r57shell China Chopper，一种由中国关联的高级持续性威胁（APT）组织广泛共享的网络外壳 c99shell和r57shell都是功能全面的网络外壳，能够执行任意代码或命令、执行文件操作、部署额外的有效载荷、暴力破解FTP服务器，并从受感染的主机上自行删除。 WatchTowr Labs表示，其观察到一些网络外壳被脚本维护人员植入后门，以泄露其部署位置，从而无意中也将控制权交给了其他威胁行为者。 此次发现发生在该公司揭示其仅花费20美元便收购了一个与.mobi顶级域名（TLD）相关的旧版WHOIS服务器域名（“whois.dotmobiregistry[.]net”）之后几个月。该域名帮助识别出超过135000个独特系统，这些系统即使在迁移到“whois.nic[.]mobi”后仍与该服务器保持通信。 这些系统包括VirusTotal等各种私营企业，以及无数政府、军事和大学实体的邮件服务器。其中，.gov地址来自阿根廷、孟加拉国、不丹、埃塞俄比亚、印度、印度尼西亚、以色列、巴基斯坦、菲律宾、乌克兰和美国。 WatchTowr Labs表示：“看到攻击者和防御者犯同样的错误，这多少有些令人鼓舞。人们很容易陷入攻击者从不犯错的思维定式，但我们看到了相反的证据——存在开放网络外壳、过期域名和使用已被植入后门的软件的计算机。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的隐蔽信用卡盗刷攻击活动正瞄准WordPress电子商务结账页面，通过向与内容管理系统（CMS）相关的数据库表中插入恶意JavaScript代码来实施攻击。 Sucuri研究人员Puja Srivastava在新的分析中指出：“这款针对WordPress网站的信用卡盗刷恶意软件会悄无声息地将恶意JavaScript注入数据库条目中，以窃取敏感的支付信息。” “该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。” 这家由GoDaddy拥有的网站安全公司表示，它发现恶意软件被嵌入到WordPress的wp_options表中，该表具有“widget_block”选项，从而使其能够躲避扫描工具的检测，并在被攻陷的网站上持续存在而不引起注意。 通过这种方式，恶意JavaScript被插入到WordPress管理面板（wp-admin > widgets）中的HTML区块小部件中。 JavaScript代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才采取行动。此时，它会动态创建一个虚假的支付屏幕，模仿Stripe等合法的支付处理器。 该表单旨在捕获用户的信用卡号码、有效期、CVV号码和账单信息。此外，该恶意脚本还能够实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。 随后，被盗数据会经过Base64编码并结合AES-CBC加密，以使其看起来无害并抵抗分析尝试。在最终阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz”或“fqbe23[.]xyz”）。 这一发现是在Sucuri突出类似攻击活动一个多月后出现的，该活动利用JavaScript恶意软件动态创建虚假的信用卡表单或提取结账页面上支付字段中输入的数据。 收集到的信息在被传输到远程服务器（“staticfonts[.]com”）之前，会经过三层混淆：首先将其编码为JSON，然后使用密钥“script”进行XOR加密，最后使用Base64编码。 Srivastava指出：“该脚本旨在从结账页面上特定的字段中提取敏感的信用卡信息。然后，该恶意软件通过Magento的API收集额外的用户数据，包括用户的姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型检索的。” 此次披露还紧随一起以金钱为目的的网络钓鱼邮件活动的发现，该活动诱骗收件人点击伪装成近2200美元未支付请求下的PayPal登录页面。 Fortinet FortiGuard Labs的Carl Windsor表示：“骗子似乎只是注册了一个为期三个月免费的Microsoft 365测试域名，然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com）。在PayPal网页门户上，他们只是请求资金，并将分发列表作为地址添加。” 该活动之所以狡猾，是因为邮件来自合法的PayPal地址（service@paypal.com），并包含真实的登录网址，这使得邮件能够绕过安全工具的检测。 更糟糕的是，一旦受害者尝试登录他们的PayPal账户了解支付请求，他们的账户就会自动与分发列表的电子邮件地址关联，从而使威胁行为者能够控制该账户。 近几周来，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者的钱包中窃取加密货币。 Scam Sniffer表示：“现代Web3钱包将交易模拟作为用户友好的功能纳入其中。此功能允许用户在签署交易之前预览其预期结果。虽然旨在提高透明度和用户体验，但攻击者已找到利用此机制的方法。” WordPress信用卡盗刷软件 感染链涉及利用交易模拟和执行之间的时间差，使攻击者能够设置模仿去中心化应用（DApps）的虚假网站，以执行欺诈性的钱包资金耗尽攻击。 Web3反诈骗解决方案提供商表示：“这一新的攻击手段代表了网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的安全功能的可信钱包。这种复杂的方法使检测变得特别具有挑战性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Aviatrix Controller云网络平台的一个关键安全漏洞被公开，该漏洞已在野外被积极利用，以部署后门程序和加密货币挖矿软件。 云安全公司Wiz表示，目前正在应对多起涉及CVE-2024-50603（CVSS评分：10.0）武器化的事件，这是一个可能导致未经授权的远程代码执行的最严重漏洞。 换言之，由于某些API端点没有充分对用户输入进行清理，成功利用该漏洞的攻击者可以注入恶意操作系统命令。该漏洞已在7.1.4191和7.2.4996版本中得到修复。 波兰网络安全公司Securing的安全研究员Jakub Korepta发现并报告了这一缺陷，并因此受到赞誉。此后，一个概念验证（PoC）漏洞利用工具已被公开。 网络安全公司收集的数据显示，约3%的云企业环境部署了Aviatrix Controller，其中65%的环境展示了横向移动到云控制平面管理权限的路径。这反过来又允许在云环境中进行权限提升。 Wiz研究人员Gal Nagli、Merav Bar、Gili Tikochinski和Shaked Tanchuma表示：“当Aviatrix Controller部署在AWS云环境中时，它默认允许权限提升，这使得该漏洞的利用成为高风险。” 利用CVE-2024-50603的现实攻击正在利用对目标实例的初步访问，使用XMRig挖掘加密货币，并部署Sliver指挥和控制（C2）框架，可能是为了持久性和后续利用。 Wiz研究人员表示：“虽然我们尚未看到云横向移动的直接证据，但我们确实认为，威胁行为者很可能正在利用该漏洞来枚举主机的云权限，然后转向从受害者的云环境中提取数据。” 鉴于该漏洞正在被积极利用，建议用户尽快应用补丁，并阻止对Aviatrix Controller的公共访问。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正采用一种名为“交易模拟欺诈”的新手段窃取加密货币，其中一起攻击成功盗取了价值约46万美元的143.45枚以太坊。 此次由ScamSniffer发现的攻击，凸显了现代Web3钱包中交易模拟机制存在的漏洞，该机制本应用于保护用户免受欺诈和恶意交易侵害。 攻击原理 交易模拟功能允许用户在签署和执行区块链交易前预览预期结果。 该功能旨在通过帮助用户验证交易内容（如转账的加密货币数量、燃气费及其他交易费用以及链上数据变化等）来增强安全性和透明度。 攻击者诱导受害者访问一个模仿合法平台的恶意网站，该网站启动了一个看似“领取”功能的操作。交易模拟显示用户将获得少量以太坊。 然而，模拟与执行之间存在时间延迟，攻击者利用这一时间差更改链上合约状态，从而在交易获得批准后改变其实际执行内容。 受害者信任钱包的交易模拟结果并签署了交易，导致网站将其钱包中的所有加密货币转至攻击者钱包。 攻击流程 ScamSniffer指出一起真实案例，受害者在状态更改后30秒签署了欺诈交易，导致资产（143.35枚以太坊）全部损失。 ScamSniffer警告称：“这种新的攻击方式标志着网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的受信任钱包功能。这种复杂手段使得检测尤为困难。” 初始模拟（上）与篡改后的交易（下） 区块链监测平台建议，Web3钱包应降低模拟刷新频率以匹配区块链区块时间，在关键操作前强制刷新模拟结果，并添加过期警告以提醒用户风险。 从用户角度来看，这一新型攻击表明不应信任钱包模拟。 加密货币持有者应谨慎对待不明网站上的“免费领取”优惠，并仅信任经过验证的去中心化应用（dApps）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正利用一种手段，关闭苹果iMessage针对短信的内置防钓鱼保护机制，并诱骗用户重新启用被禁用的钓鱼链接。 随着我们越来越多的日常活动，如支付账单、购物或与朋友和同事交流，都是通过移动设备完成的，威胁行为者针对手机号码的短信网络钓鱼（smishing）攻击日益增多。 为保护用户免受此类攻击，苹果iMessage会自动禁用来自未知发件人（无论是电子邮件地址还是电话号码）的消息中的链接。 然而，苹果向BleepingComputer透露，如果用户回复该消息或将发件人添加到联系人列表中，链接将被启用。 过去几个月，BleepingComputer发现，试图诱骗用户回复短信以重新启用链接的短信网络钓鱼攻击激增。 如下所示，一条假冒的美国邮政服务（USPS）运输问题短信和一条假冒的未支付道路通行费短信均由未知发件人发送，而iMessage自动禁用了这些链接。 含有禁用链接的短信网络钓鱼攻击（来源：BleepingComputer） 虽然这些钓鱼诱饵并非新鲜事物，但我们注意到，这些短信网络钓鱼文本以及最近发现的其他文本都要求用户回复“Y”以启用链接。 短信网络钓鱼消息中写道：“请回复Y，然后退出短信，重新打开短信激活链接，或将链接复制到Safari浏览器打开。” 进一步研究表明，这种策略在过去一年中已被使用，自夏季以来更是激增。 由于用户已习惯于输入STOP、Yes或NO来确认预约或选择不接收短信，威胁行为者希望这种熟悉的行为会促使短信接收者回复短信并启用链接。 这样做将重新启用链接，并关闭此短信的iMessage内置防钓鱼保护机制。 即使用户没有点击现在已启用的链接，回复的行为也告诉威胁行为者，他们现在有一个会对钓鱼短信作出回应的目标，从而使其成为更大的目标。 虽然我们的大多数常规读者都能识别出这些是钓鱼攻击，但BleepingComputer的一位年长的家庭朋友向我们展示了上述短信之一，他不确定其是否合法。 不幸的是，这类人通常是这类钓鱼短信的目标，导致他们输入个人信息、信用卡信息或其他攻击者随后会窃取的信息。 如果您收到链接被禁用或来自未知发件人要求您回复的短信，强烈建议您不要回复。 相反，请直接联系公司或组织以验证短信内容，并询问是否还有其他需要您做的事情。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一个新兴的人工智能（AI）辅助勒索软件家族——FunkSec，该家族于2024年末崭露头角，至今已造成85名以上受害者。 Check Point Research在与The Hacker News分享的最新报告中指出：“该团伙采用双重勒索战术，结合数据窃取与加密手段，向受害者施压以索取赎金。值得注意的是，FunkSec要求的赎金异常低廉，有时低至1万美元，并以折扣价将窃取的数据出售给第三方。” 2024年12月，FunkSec推出了数据泄露网站（DLS），以“集中化”其勒索软件运营，发布泄露公告，提供分布式拒绝服务（DDoS）攻击定制工具，并作为勒索软件即服务（RaaS）模式的一部分，推出定制勒索软件。 受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示，这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。 据Halcyon称，FunkSec的特点在于，它既是勒索软件团伙，又是数据掮客，以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。 已确定该RaaS团伙中的部分成员从事黑客活动，这凸显了黑客主义与网络犯罪之间界限的持续模糊，正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。 他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动保持一致，并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物： Scorpion（又名DesertStorm），一名疑似来自阿尔及利亚的参与者，曾在地下论坛如Breached Forum上宣传该团伙。 El_farado，在DesertStorm被Breached Forum封禁后，成为宣传FunkSec的主要人物。 XTN，一名可能的同伙，参与了一项尚不清楚的“数据分类”服务。 Blako，被DesertStorm与El_farado一同标记。 Bjorka，一名印尼知名黑客活动分子，其别名被用于在DarkForums上声称与FunkSec相关的泄露，这可能指向松散的隶属关系或他们试图冒充FunkSec。 该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具。 Check Point指出：“包括加密器在内的该团伙工具的开发可能得到了AI的辅助，这有助于他们快速迭代，尽管开发者显然缺乏技术专长。” 名为FunkSec V1.5的最新勒索软件版本用Rust编写，相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现，勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的，可能是开发者本人所为，这表明威胁行为者来自该国。 勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件，但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。 Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示：“2024年是勒索软件团伙非常成功的一年，与此同时，全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙，在12月成为最活跃的勒索软件团伙，模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使，FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌，尽管其活动的真正成功性仍高度可疑。” 与此同时，Forescout详细描述了Hunters International的一次攻击，该攻击可能利用Oracle WebLogic Server作为初始入口点，投放China Chopper web shell，然后用于执行一系列后利用活动，最终导致勒索软件的部署。 Forescout表示：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   近日，网络安全研究人员详细披露了一个现已修复的安全漏洞，该漏洞影响三星智能手机上的Monkey’s Audio（APE）解码器，可能导致代码执行。 此高严重性漏洞被追踪为CVE-2024-49415（CVSS评分：8.1），影响运行Android 12、13和14版本的三星设备。 三星在其2024年12月发布的月度安全更新公告中称：“在SMR Dec-2024 Release 1之前的libsaped.so中存在越界写入漏洞，允许远程攻击者执行任意代码。该补丁增加了适当的输入验证。” 发现并报告此漏洞的谷歌Project Zero研究人员娜塔莉·西尔瓦诺维奇表示，在特定条件下，该漏洞无需用户交互即可触发（即零点击），并构成了一个“有趣的新攻击面”。 特别是，当谷歌信息应用配置为富通信服务（RCS），即Galaxy S23和S24手机的默认配置时，该漏洞便会生效，因为转录服务会在用户与消息互动以进行转录之前，对传入的音频进行本地解码。 “libsaped.so中的saped_rec函数向由C2媒体服务分配的dmabuf写入数据，该dmabuf的大小始终显示为0x120000，”西尔瓦诺维奇解释道。 “虽然libsapedextractor提取的最大blocksperframe值也限制在0x120000以内，但如果输入样本的字节数为24，saped_rec最多可以写入3 * blocksperframe字节。这意味着，一个具有较大blocksperframe大小的APE文件可能会严重溢出此缓冲区。” 在假设的攻击场景中，攻击者可以通过谷歌信息应用向任何启用了RCS的目标设备发送特制的音频消息，从而导致其媒体编解码器进程（“samsung.software.media.c2”）崩溃。 三星2024年12月的补丁还修复了SmartSwitch中的另一个高严重性漏洞（CVE-2024-49413，CVSS评分：7.1），该漏洞可能会被本地攻击者利用，通过不正当的加密签名验证来安装恶意应用程序。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文