Zerobot 僵尸网络利用数十个物联网漏洞来扩展其网络
Hackernews 编译,转载请注明出处: 据观察,一种名为Zerobot的基于Go的新型僵尸网络利用物联网(IoT)设备和其他软件中的近20个安全漏洞,在野外迅速扩散。 Fortinet FortiGuard实验室的研究员Cara Lin说:“僵尸网络包含几个模块,包括自我复制、针对不同协议的攻击和自我传播。它还使用WebSocket协议与其命令和控制服务器进行通信。” 据称,该行动于2022年11月18日之后开始,主要针对Linux操作系统,以控制易受攻击的设备。 Zerobot的名字来自于一个传播脚本,该脚本用于在获得对主机的访问权后根据其微架构实现(例如“zero.arm64”)检索恶意有效载荷。 该恶意软件旨在针对各种CPU架构,如i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64和s390x。 迄今为止,已经发现了两个版本的Zerobot:一个是在2022年11月24日之前使用的,它具有基本功能和一个更新的版本,包括自传播模块,可以使用21个漏洞攻击其他端点。 这包括影响TOTOLINK路由器、Zysel防火墙、F5 BIG-IP、海康威视摄像头、FLIR AX8热成像摄像头、D-Link DNS320 NAS和Spring Framework等的漏洞。 Zerobot在受感染的机器上初始化后,会与远程命令控制(C2)服务器建立联系,并等待进一步的指令,允许它运行任意命令,并对TCP、UDP、TLS、HTTP和ICMP等不同网络协议发起攻击。 “在很短的时间内,它被更新为字符串模糊处理、复制文件模块和传播攻击模块,这使得它更难被检测出来,并使其具有更高的感染能力。”Lin说。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
开源勒索软件工具包 Cryptonite 变成意外的擦除器恶意软件
Hackernews 编译,转载请注明出处: 一个名为Cryptonite的开源勒索软件工具包版本因其“架构和编程薄弱”而在野外被观察到具有擦除器功能。 与其他勒索软件不同,Cryptonite无法在地下网络犯罪网站上出售,而是直到最近才由名为CYBERDEVILZ的攻击者通过GitHub存储库免费提供。源代码及其分支已经被删除。 该恶意软件是用Python编写的,它利用加密包中的Fernet模块对扩展名为“.cryptn8”的文件进行加密。 但Fortinet FortiGuard实验室分析的一种新样本发现,它可以锁定文件,但无法重新解密,本质上就像一个破坏性数据擦除器。 但这一变化并非攻击者的故意行为,而是由于缺乏质量保证,导致程序在完成加密过程后试图显示勒索通知时崩溃。 Fortinet研究人员Gergely Revay在周一的一篇报道中表示:“这个漏洞的问题在于,由于勒索软件的设计简单,如果程序崩溃,甚至关闭,就无法恢复加密文件。” 勒索软件程序执行过程中引发的异常也意味着用于加密文件的“密钥”永远不会传输给运营商,从而锁定用户的数据。 这一发现是在勒索软件领域不断发展的背景下得出的,以文件加密恶意软件为幌子的擦拭器越来越多地部署在不允许解密的情况下覆盖数据。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
朝鲜黑客传播伪装成加密货币应用程序的 AppleJeus 恶意软件
Hackernews 编译,转载请注明出处: 根据Volexity的最新发现,Lazarus Group黑客将虚假加密货币应用程序作为诱饵,来交付以前未记录的AppleJeus恶意软件版本。 研究人员Callum Roxan、Paul Rascagneres和Robert Jan Mora说:“这个活动很可能涉及一项可能针对加密货币用户和组织的活动,通过恶意Microsoft Office文档使用AppleJeus恶意软件的变体。” 众所周知,朝鲜政府采取三管齐下的方法,利用恶意网络活动,精心策划收集情报,进行攻击,并为受制裁的国家创造非法收入。这些威胁以Lazarus Group(又名Hidden Cobra或Zinc)的名义进行集体跟踪。 根据美国情报机构发布的2021年年度威胁评估报告,“朝鲜对全球金融机构和加密货币交易所进行了网络盗窃,窃取了数亿美元,可能是为了资助政府的优先事项,例如其核武器和导弹项目。” 今年四月早些时候,网络安全和基础设施安全局(CISA)警告说,一个名为TraderTraitor的活动集群通过Windows和macOS的木马加密应用程序针对加密货币交易所和交易公司。 虽然TraderTraitor攻击最终导致Manuscrypt远程访问木马的部署,但新活动利用了一个名为BloxHolder的加密交易网站,这是合法HaasOnline平台的模仿者,通过安装程序文件交付AppleJeus。 2018年卡巴斯基首次记录的AppleJeus旨在获取有关受感染系统的信息(即MAC地址、计算机名称和操作系统版本),并从命令和控制(C2)服务器下载shellcode。 据说攻击链在2022年10月略有偏差,对手从MSI安装程序文件转向了一个陷阱式的Microsoft Excel文档,该文档使用宏从OpenDrive下载远程托管的有效负载,即PNG图像。 Volexy表示,切换背后的想法可能会减少安全产品的静态检测,并补充说,它无法从OpenDrive链接获取图像文件(“Background.png”),但指出它嵌入了三个文件,包括随后被提取并在受感染主机上启动的编码有效载荷。 研究人员总结道:“Lazarus Group继续致力于瞄准加密货币用户,尽管他们的活动和策略一直受到关注。” 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
BMC 供应链新漏洞影响数十家制造商的服务器
Hackernews 编译,转载请注明出处: 美国Megatrends(AMI)MegaRAC基板管理控制器(BMC)软件中披露了三种不同的安全漏洞,可能导致在易受攻击的服务器上执行远程代码。 固件和硬件安全公司Eclypsium在与The Hacker News分享的一份报告中表示:“利用这些漏洞的影响包括远程控制受感染的服务器,远程部署恶意软件、勒索软件和固件植入物,以及服务器物理损坏(砖砌)。” BMC是服务器中的特权独立系统,用于控制低级硬件设置和管理主机操作系统,即使在计算机断电的情况下也是如此。 这些功能使BMC成为黑客的目标,他们希望在操作系统重新安装和硬盘更换后幸存下来的设备上植入持久性恶意软件。 这些新发现的问题统称为BMC&C,攻击者可以访问Redfish等远程管理界面(IPMI),从而利用这些漏洞,可能使对手能够控制系统并使云基础设施面临风险。 其中最严重的漏洞是 CVE-2022-40259(CVSS评分:9.9),这是一种通过Redfish API执行任意代码的情况,要求攻击者在设备上拥有最低级别的访问权限(回调权限或更高)。 CVE-2022-40242(CVSS评分:8.3)与系统管理员用户的哈希有关,可以破解和滥用该哈希值以获得管理shell访问权限,而CVE-2022-2827(CVSS 评分:7.5)是密码重置功能中的一个漏洞,可以利用该漏洞来确定是否存在具有特定用户名的帐户。 研究人员解释说:“[CVE-2022-2827]允许精确定位预先存在的用户,并且不会导致进入shell,但会为攻击者提供暴力攻击或撞库攻击的目标列表。” 调查结果再次强调了确保固件供应链和确保BMC系统不直接暴露在互联网上的重要性。 该公司表示:“由于数据中心倾向于在特定硬件平台上实现标准化,任何BMC级别的漏洞都很可能适用于大量设备,并可能影响整个数据中心及其提供的服务。” Binarly在基于AMI的设备中披露了多个高影响漏洞,这些漏洞可能导致早期启动阶段(即EFI前环境)内存损坏和任意代码执行。 今年5月早些时候,Eclypsium还发现了影响Quanta Cloud Technology(QCT)服务器的所谓“Pantsdown”BMC漏洞,成功利用该漏洞可以让攻击者完全控制设备。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
DuckLogs 恶意软件在野外执行多种恶意活动
Cyble研究和情报实验室(CRIL)一直在持续监控在野外新出现的活跃恶意软件家族。最近,CRIL观察到一种名为DuckLogs的新恶意软件,它执行多种恶意活动,如Stealer、Keylogger、Clipper、远程访问等。除此之外,CRIL还在野外观察到DuckLogs C&C服务器的多个活动实例,这表明恶意软件正在出现。 DuckLogs是MaaS(恶意软件即服务)。它窃取用户的敏感信息,如密码、cookie、登录数据、历史记录、加密钱包详细信息等,并将被盗数据从受害者的机器转移到其C&C服务器。 黑客可以使用“控制”模块控制受害者的机器,并执行以下活动: 在受害者机器中传输和执行其他文件。 在浏览器中打开任何网址。 关闭、重新启动、注销和锁定计算机。 从系统中卸载恶意软件。 发送消息。 执行DoS(拒绝服务)攻击。 显示蓝屏死机。 禁用鼠标和键盘输入等。 DuckLogs是一种独特的组合,将Stealer、Keylogger和Clipper恶意软件捆绑到一个恶意软件包中,可以在网络犯罪论坛中以相对较低的价格获得,使这种威胁对更广泛的潜在受害者构成危险。 Cyble研究和情报实验室将继续监控野外的新恶意软件,并更新博客,提供可操作的情报,以保护用户免受此类攻击。 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/2034/ 消息来源:CybleBlogs,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
谷歌修复了今年第九个积极利用的 Chrome 零日漏洞
Hackernews 编译,转载请注明出处: 谷歌为Chrome网络浏览器推出了紧急安全更新,以解决一个新的零日漏洞,该漏洞在野外被积极利用,追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日,谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节,以允许用户更新其Chrome安装。无论如何,黑客可以利用该漏洞来实现任意代码执行。 谷歌通过发布适用于Mac和Linux的108.0.5359.94以及适用于Windows的108.0.5359.94/.95修复了零日漏洞,该公司计划在未来几天/几周内推出。 CVE-2022-4262 是谷歌今年解决的第九个积极利用的Chrome零日漏洞,以下是这家科技巨头修复的其他零日漏洞列表: CVE-2022-4135(11月25日)– GPU中的堆缓冲区溢出漏洞。 CVE-2022-3723(10月28日)– V8 Javascript引擎中的类型混淆漏洞。 CVE-2022-3075(9月2日)– Mojo运行库集合中的数据验证不足。 CVE-2022-2856(8月17日)– Intents中不可信输入的验证不足。 CVE-2022-2294(7月4日)– Web实时通信 (WebRTC) 组件中的堆缓冲区溢出。 CVE-2022-1364(4月14日)– V8 JavaScript引擎中存在的类型混淆漏洞。 CVE-2022-1096(3月25日)– V8 JavaScript引擎中的类型混淆漏洞。 CVE-2022-0609(2月14日)– 在动画组件中释放问题后使用。 建议Chrome用户尽快更新其安装,以消除试图利用零日漏洞的攻击。 消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
黑客在暗网上泄露 Medibank 客户数据
Hackernews 编译,转载请注明出处: Medibank周四证实,在拒绝支付赎金后,这起破坏性网络攻击的幕后黑客在暗网上发布了从其系统中窃取的另一批数据。 澳大利亚健康保险公司表示:“我们正在分析数据,但公布的数据似乎是我们认为罪犯窃取的数据。” “虽然我们的调查仍在继续,但目前没有迹象表明金融或银行数据已被窃取。被盗的个人数据本身不足以实现身份和金融欺诈。到目前为止,我们分析的原始数据是不完整的,难以理解。” 该公司承认,在2022年10月发生勒索软件事件后,其现有和前任客户中约970万人的个人数据被访问。 其中包括510万Medibank客户、280万ahm客户和180万国际客户。还访问了约16万Medibank客户、30万ahm客户和2万国际客户的健康索赔。 最新的数据集以六个ZIP存档文件的形式上传,其中包括健康索赔信息,尽管Medibank注意到大部分数据都是碎片化的,并且没有与客户姓名和联系方式相结合。 攻击者被怀疑位于俄罗斯,与今年5月早些时候卷土重来的REvil勒索软件组织有关。 与此同时,澳大利亚信息委员会(OAIC)办公室宣布对Medibank与安全事件相关的数据处理做法展开调查。 电信巨头Optus已经在进行类似的调查,该公司在2022年9月下旬遭遇黑客入侵,以确定该公司是否“采取了合理措施,保护其持有的个人信息免受滥用、干扰、丢失、未经授权的访问、修改或披露”。 这些大型数据泄露事件也促使澳大利亚政府通过了一项新的立法,如果公司多次或严重的数据泄露,可能会面临高达5000万澳元的罚款。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
Symoo 恶意应用程序滥用黑客设备在多个平台上创建虚假帐户
Hackernews 编译,转载请注明出处: 在谷歌Play Store上发现的恶意Android短信应用程序可以偷偷获取短信,目的是在Facebook、谷歌和WhatsApp等平台上创建账户。 这款名为Symoo(com.vanjan.sms)的应用程序下载量超过10万次,充当了向服务器发送消息的中继站,为账户创建服务做宣传。 这是通过使用与受感染设备相关的电话号码作为收集一次性密码的手段来实现的,该密码通常是在设置新帐户时用来验证用户的。 发现该恶意软件的安全研究人员Maxime Ingrao说:“恶意软件在第一个屏幕上询问用户的电话号码,同时还要求用户获得短信权限。” “然后它假装加载了应用程序,但一直停留在这个页面上,这是为了隐藏接收到的短信界面,这样用户就看不到订阅各种服务的短信。” 使用这些电话号码非法注册的主要服务包括亚马逊、Discord、Facebook、谷歌、Instagram、KakaoTalk、微软、耐克、Telegram、TikTok、Tinder、Viber和WhatsApp等。 此外,恶意软件收集的数据会被转移到一个名为“goomy[.]fun”的域名,该域名曾被用于另一个名为Virtual Number(com.programmatics.virtualnumber)的恶意应用程序,该应用程序已从Play商店中下架。 该应用程序的开发者Walven也与另一款名为ActivationPW-虚拟号码(com.programmatics.activation)的安卓应用程序联系在一起,该应用程序声称提供“接收来自200多个国家短信验证的虚拟号码”,价格不到50美分。 据Ingrao称,Symoo和ActivationPW代表了欺诈方案的两端,其中,安装了Symoo和ValidationPW的黑客设备的电话号码,被用来帮助用户通过后者购买账户。 谷歌告诉The Hacker News,这两款应用程序已经从Play商店下架,开发者也被禁止使用。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
研究人员发现了恶意 NPM 库规避漏洞检测的方法
Hackernews 编译,转载请注明出处: 网络安全公司JFrog的新发现表明,针对npm生态系统的恶意软件可以利用npm命令行接口(CLI)工具中的“意外行为”来逃避安全检查。 npm CLI的安装和审计命令具有内置功能,可以检查软件包及其所有依赖项是否存在已知漏洞,通过突出漏洞有效地为开发人员提供警告机制。 但正如JFrog所确认的那样,当软件包遵循特定的版本格式时,不会显示安全建议,这会造成严重缺陷,可能直接或通过软件包的依赖关系引入其系统的情况。 具体来说,只有当安装的软件包版本包含连字符(例如,1.2.3-a)时,问题才会出现,其中连字符用于表示npm模块的预发布版本。 虽然项目维护人员将常规npm软件包版本和预发布版本之间的差异视为一种预期功能,但这也使它成为攻击者试图毒害开源生态系统的成熟机会。 Or Peles说:“黑客可能会利用这种行为,故意在他们看起来无辜的软件包中植入易受攻击或恶意代码,这些代码将被其他开发人员包括在内,因为它们有价值的功能,或由于感染技术的错误,如拼写错误或依赖关系混淆 。” 换句话说,对手可以发布一个预发版本格式看似无害的软件包,然后可能会被其他开发人员接收,尽管有相反的证据,但不会被告知该软件包是恶意的。 该开发再次重申了软件供应链是如何构建为各方之间的信任链的,以及一个环节的妥协如何影响使用恶意第三方依赖的所有下游应用程序。 为了应对这种威胁,建议开发人员避免安装带有预发布版本的npm包,除非已知源代码完全可靠。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
CISA 警告积极利用的关键 Oracle Fusion 中间件漏洞
Hackernews 编译,转载请注明出处: 美国网络安全与基础设施安全局(CISA)周一在其已知漏洞利用目录(KEV)中,添加了一个影响Oracle Fusion中间件的关键漏洞,引用了积极利用漏洞的证据。 该漏洞被跟踪为CVE-2021-35587, CVSS评分为9.8,影响Oracle Access Manager (OAM)版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。 成功利用远程命令执行漏洞可能会使具有网络访问权限的未经身份验证的攻击者完全破坏并接管access Manager实例。 越南安全研究员Nguyen Jang (Janggggg)在今年3月初报告了peterjson的漏洞,他指出:“它可以让攻击者访问OAM服务器,创建拥有任何特权的用户,或者只是在受害者的服务器中执行代码。” 2022年1月,Oracle在其关键补丁更新中解决了该漏洞。 有关这些攻击的性质和利用规模的其他细节目前尚不清楚。威胁情报公司GreyNoise收集的数据表明,将该漏洞武器化的企图一直在进行,其源头是美国、中国、德国、新加坡和加拿大。 CISA还将最近修补的Google Chrome浏览器(CVE-2022-4135)中的堆缓冲区溢出漏洞添加到KEV目录中,这家互联网巨头承认该漏洞在野外被滥用。 联邦机构需要在2022年12月19日前应用供应商补丁,以保护其网络免受潜在威胁。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文