朝鲜黑客传播伪装成加密货币应用程序的 AppleJeus 恶意软件

Hackernews 编译,转载请注明出处: 根据Volexity的最新发现,Lazarus Group黑客将虚假加密货币应用程序作为诱饵,来交付以前未记录的AppleJeus恶意软件版本。 研究人员Callum Roxan、Paul Rascagneres和Robert Jan Mora说:“这个活动很可能涉及一项可能针对加密货币用户和组织的活动,通过恶意Microsoft Office文档使用AppleJeus恶意软件的变体。” 众所周知,朝鲜政府采取三管齐下的方法,利用恶意网络活动,精心策划收集情报,进行攻击,并为受制裁的国家创造非法收入。这些威胁以Lazarus Group(又名Hidden Cobra或Zinc)的名义进行集体跟踪。 根据美国情报机构发布的2021年年度威胁评估报告,“朝鲜对全球金融机构和加密货币交易所进行了网络盗窃,窃取了数亿美元,可能是为了资助政府的优先事项,例如其核武器和导弹项目。” 今年四月早些时候,网络安全和基础设施安全局(CISA)警告说,一个名为TraderTraitor的活动集群通过Windows和macOS的木马加密应用程序针对加密货币交易所和交易公司。 虽然TraderTraitor攻击最终导致Manuscrypt远程访问木马的部署,但新活动利用了一个名为BloxHolder的加密交易网站,这是合法HaasOnline平台的模仿者,通过安装程序文件交付AppleJeus。 2018年卡巴斯基首次记录的AppleJeus旨在获取有关受感染系统的信息(即MAC地址、计算机名称和操作系统版本),并从命令和控制(C2)服务器下载shellcode。 据说攻击链在2022年10月略有偏差,对手从MSI安装程序文件转向了一个陷阱式的Microsoft Excel文档,该文档使用宏从OpenDrive下载远程托管的有效负载,即PNG图像。 Volexy表示,切换背后的想法可能会减少安全产品的静态检测,并补充说,它无法从OpenDrive链接获取图像文件(“Background.png”),但指出它嵌入了三个文件,包括随后被提取并在受感染主机上启动的编码有效载荷。 研究人员总结道:“Lazarus Group继续致力于瞄准加密货币用户,尽管他们的活动和策略一直受到关注。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

BMC 供应链新漏洞影响数十家制造商的服务器

Hackernews 编译,转载请注明出处: 美国Megatrends(AMI)MegaRAC基板管理控制器(BMC)软件中披露了三种不同的安全漏洞,可能导致在易受攻击的服务器上执行远程代码。 固件和硬件安全公司Eclypsium在与The Hacker News分享的一份报告中表示:“利用这些漏洞的影响包括远程控制受感染的服务器,远程部署恶意软件、勒索软件和固件植入物,以及服务器物理损坏(砖砌)。” BMC是服务器中的特权独立系统,用于控制低级硬件设置和管理主机操作系统,即使在计算机断电的情况下也是如此。 这些功能使BMC成为黑客的目标,他们希望在操作系统重新安装和硬盘更换后幸存下来的设备上植入持久性恶意软件。 这些新发现的问题统称为BMC&C,攻击者可以访问Redfish等远程管理界面(IPMI),从而利用这些漏洞,可能使对手能够控制系统并使云基础设施面临风险。 其中最严重的漏洞是 CVE-2022-40259(CVSS评分:9.9),这是一种通过Redfish API执行任意代码的情况,要求攻击者在设备上拥有最低级别的访问权限(回调权限或更高)。 CVE-2022-40242(CVSS评分:8.3)与系统管理员用户的哈希有关,可以破解和滥用该哈希值以获得管理shell访问权限,而CVE-2022-2827(CVSS 评分:7.5)是密码重置功能中的一个漏洞,可以利用该漏洞来确定是否存在具有特定用户名的帐户。 研究人员解释说:“[CVE-2022-2827]允许精确定位预先存在的用户,并且不会导致进入shell,但会为攻击者提供暴力攻击或撞库攻击的目标列表。” 调查结果再次强调了确保固件供应链和确保BMC系统不直接暴露在互联网上的重要性。 该公司表示:“由于数据中心倾向于在特定硬件平台上实现标准化,任何BMC级别的漏洞都很可能适用于大量设备,并可能影响整个数据中心及其提供的服务。” Binarly在基于AMI的设备中披露了多个高影响漏洞,这些漏洞可能导致早期启动阶段(即EFI前环境)内存损坏和任意代码执行。 今年5月早些时候,Eclypsium还发现了影响Quanta Cloud Technology(QCT)服务器的所谓“Pantsdown”BMC漏洞,成功利用该漏洞可以让攻击者完全控制设备。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

DuckLogs 恶意软件在野外执行多种恶意活动

Cyble研究和情报实验室(CRIL)一直在持续监控在野外新出现的活跃恶意软件家族。最近,CRIL观察到一种名为DuckLogs的新恶意软件,它执行多种恶意活动,如Stealer、Keylogger、Clipper、远程访问等。除此之外,CRIL还在野外观察到DuckLogs C&C服务器的多个活动实例,这表明恶意软件正在出现。 DuckLogs是MaaS(恶意软件即服务)。它窃取用户的敏感信息,如密码、cookie、登录数据、历史记录、加密钱包详细信息等,并将被盗数据从受害者的机器转移到其C&C服务器。 黑客可以使用“控制”模块控制受害者的机器,并执行以下活动: 在受害者机器中传输和执行其他文件。 在浏览器中打开任何网址。 关闭、重新启动、注销和锁定计算机。 从系统中卸载恶意软件。 发送消息。 执行DoS(拒绝服务)攻击。 显示蓝屏死机。 禁用鼠标和键盘输入等。 DuckLogs是一种独特的组合,将Stealer、Keylogger和Clipper恶意软件捆绑到一个恶意软件包中,可以在网络犯罪论坛中以相对较低的价格获得,使这种威胁对更广泛的潜在受害者构成危险。 Cyble研究和情报实验室将继续监控野外的新恶意软件,并更新博客,提供可操作的情报,以保护用户免受此类攻击。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/2034/ 消息来源:CybleBlogs,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌修复了今年第九个积极利用的 Chrome 零日漏洞

Hackernews 编译,转载请注明出处: 谷歌为Chrome网络浏览器推出了紧急安全更新,以解决一个新的零日漏洞,该漏洞在野外被积极利用,追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日,谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节,以允许用户更新其Chrome安装。无论如何,黑客可以利用该漏洞来实现任意代码执行。 谷歌通过发布适用于Mac和Linux的108.0.5359.94以及适用于Windows的108.0.5359.94/.95修复了零日漏洞,该公司计划在未来几天/几周内推出。 CVE-2022-4262 是谷歌今年解决的第九个积极利用的Chrome零日漏洞,以下是这家科技巨头修复的其他零日漏洞列表: CVE-2022-4135(11月25日)– GPU中的堆缓冲区溢出漏洞。 CVE-2022-3723(10月28日)– V8 Javascript引擎中的类型混淆漏洞。 CVE-2022-3075(9月2日)– Mojo运行库集合中的数据验证不足。 CVE-2022-2856(8月17日)– Intents中不可信输入的验证不足。 CVE-2022-2294(7月4日)– Web实时通信 (WebRTC) 组件中的堆缓冲区溢出。 CVE-2022-1364(4月14日)– V8 JavaScript引擎中存在的类型混淆漏洞。 CVE-2022-1096(3月25日)– V8 JavaScript引擎中的类型混淆漏洞。 CVE-2022-0609(2月14日)– 在动画组件中释放问题后使用。 建议Chrome用户尽快更新其安装,以消除试图利用零日漏洞的攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客在暗网上泄露 Medibank 客户数据

Hackernews 编译,转载请注明出处: Medibank周四证实,在拒绝支付赎金后,这起破坏性网络攻击的幕后黑客在暗网上发布了从其系统中窃取的另一批数据。 澳大利亚健康保险公司表示:“我们正在分析数据,但公布的数据似乎是我们认为罪犯窃取的数据。” “虽然我们的调查仍在继续,但目前没有迹象表明金融或银行数据已被窃取。被盗的个人数据本身不足以实现身份和金融欺诈。到目前为止,我们分析的原始数据是不完整的,难以理解。” 该公司承认,在2022年10月发生勒索软件事件后,其现有和前任客户中约970万人的个人数据被访问。 其中包括510万Medibank客户、280万ahm客户和180万国际客户。还访问了约16万Medibank客户、30万ahm客户和2万国际客户的健康索赔。 最新的数据集以六个ZIP存档文件的形式上传,其中包括健康索赔信息,尽管Medibank注意到大部分数据都是碎片化的,并且没有与客户姓名和联系方式相结合。 攻击者被怀疑位于俄罗斯,与今年5月早些时候卷土重来的REvil勒索软件组织有关。 与此同时,澳大利亚信息委员会(OAIC)办公室宣布对Medibank与安全事件相关的数据处理做法展开调查。 电信巨头Optus已经在进行类似的调查,该公司在2022年9月下旬遭遇黑客入侵,以确定该公司是否“采取了合理措施,保护其持有的个人信息免受滥用、干扰、丢失、未经授权的访问、修改或披露”。 这些大型数据泄露事件也促使澳大利亚政府通过了一项新的立法,如果公司多次或严重的数据泄露,可能会面临高达5000万澳元的罚款。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Symoo 恶意应用程序滥用黑客设备在多个平台上创建虚假帐户

Hackernews 编译,转载请注明出处: 在谷歌Play Store上发现的恶意Android短信应用程序可以偷偷获取短信,目的是在Facebook、谷歌和WhatsApp等平台上创建账户。 这款名为Symoo(com.vanjan.sms)的应用程序下载量超过10万次,充当了向服务器发送消息的中继站,为账户创建服务做宣传。 这是通过使用与受感染设备相关的电话号码作为收集一次性密码的手段来实现的,该密码通常是在设置新帐户时用来验证用户的。 发现该恶意软件的安全研究人员Maxime Ingrao说:“恶意软件在第一个屏幕上询问用户的电话号码,同时还要求用户获得短信权限。” “然后它假装加载了应用程序,但一直停留在这个页面上,这是为了隐藏接收到的短信界面,这样用户就看不到订阅各种服务的短信。” 使用这些电话号码非法注册的主要服务包括亚马逊、Discord、Facebook、谷歌、Instagram、KakaoTalk、微软、耐克、Telegram、TikTok、Tinder、Viber和WhatsApp等。 此外,恶意软件收集的数据会被转移到一个名为“goomy[.]fun”的域名,该域名曾被用于另一个名为Virtual Number(com.programmatics.virtualnumber)的恶意应用程序,该应用程序已从Play商店中下架。 该应用程序的开发者Walven也与另一款名为ActivationPW-虚拟号码(com.programmatics.activation)的安卓应用程序联系在一起,该应用程序声称提供“接收来自200多个国家短信验证的虚拟号码”,价格不到50美分。 据Ingrao称,Symoo和ActivationPW代表了欺诈方案的两端,其中,安装了Symoo和ValidationPW的黑客设备的电话号码,被用来帮助用户通过后者购买账户。 谷歌告诉The Hacker News,这两款应用程序已经从Play商店下架,开发者也被禁止使用。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员发现了恶意 NPM 库规避漏洞检测的方法

Hackernews 编译,转载请注明出处: 网络安全公司JFrog的新发现表明,针对npm生态系统的恶意软件可以利用npm命令行接口(CLI)工具中的“意外行为”来逃避安全检查。 npm CLI的安装和审计命令具有内置功能,可以检查软件包及其所有依赖项是否存在已知漏洞,通过突出漏洞有效地为开发人员提供警告机制。 但正如JFrog所确认的那样,当软件包遵循特定的版本格式时,不会显示安全建议,这会造成严重缺陷,可能直接或通过软件包的依赖关系引入其系统的情况。 具体来说,只有当安装的软件包版本包含连字符(例如,1.2.3-a)时,问题才会出现,其中连字符用于表示npm模块的预发布版本。 虽然项目维护人员将常规npm软件包版本和预发布版本之间的差异视为一种预期功能,但这也使它成为攻击者试图毒害开源生态系统的成熟机会。 Or Peles说:“黑客可能会利用这种行为,故意在他们看起来无辜的软件包中植入易受攻击或恶意代码,这些代码将被其他开发人员包括在内,因为它们有价值的功能,或由于感染技术的错误,如拼写错误或依赖关系混淆 。” 换句话说,对手可以发布一个预发版本格式看似无害的软件包,然后可能会被其他开发人员接收,尽管有相反的证据,但不会被告知该软件包是恶意的。 该开发再次重申了软件供应链是如何构建为各方之间的信任链的,以及一个环节的妥协如何影响使用恶意第三方依赖的所有下游应用程序。 为了应对这种威胁,建议开发人员避免安装带有预发布版本的npm包,除非已知源代码完全可靠。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CISA 警告积极利用的关键 Oracle Fusion 中间件漏洞

Hackernews 编译,转载请注明出处: 美国网络安全与基础设施安全局(CISA)周一在其已知漏洞利用目录(KEV)中,添加了一个影响Oracle Fusion中间件的关键漏洞,引用了积极利用漏洞的证据。 该漏洞被跟踪为CVE-2021-35587, CVSS评分为9.8,影响Oracle Access Manager (OAM)版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。 成功利用远程命令执行漏洞可能会使具有网络访问权限的未经身份验证的攻击者完全破坏并接管access Manager实例。 越南安全研究员Nguyen Jang (Janggggg)在今年3月初报告了peterjson的漏洞,他指出:“它可以让攻击者访问OAM服务器,创建拥有任何特权的用户,或者只是在受害者的服务器中执行代码。” 2022年1月,Oracle在其关键补丁更新中解决了该漏洞。 有关这些攻击的性质和利用规模的其他细节目前尚不清楚。威胁情报公司GreyNoise收集的数据表明,将该漏洞武器化的企图一直在进行,其源头是美国、中国、德国、新加坡和加拿大。 CISA还将最近修补的Google Chrome浏览器(CVE-2022-4135)中的堆缓冲区溢出漏洞添加到KEV目录中,这家互联网巨头承认该漏洞在野外被滥用。 联邦机构需要在2022年12月19日前应用供应商补丁,以保护其网络免受潜在威胁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

宏碁部分笔记本电脑的漏洞可以用来绕过安全功能

Hackernews 编译,转载请注明出处: ESET宣布发现了一个影响宏碁笔记本电脑的漏洞,该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说,该漏洞被追踪为CVE-2022-4020,与联想公司本月早些时候披露的漏洞类似。 与联想的情况一样,攻击者可以直接从OS创建NVRAM变量来触发这个漏洞,使UEFI安全引导失效。 Secure Boot是最新的统一可扩展固件接口(UEFI)2.3.1的一个安全特性,旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前,它们将被阻止运行。 能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施,即使在重新安装操作系统的情况下也可以实现持久性。 CVE-2022-4020影响宏碁Aspire A315-22的某些版本,该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似,具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在,则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。 ESET解释说,该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法,更新应该作为关键的Windows更新发布。或者,可以在此处下载更新的BIOS版本。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密

Hackernews 编译,转载请注明出处: 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密(E2EE)的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分,预计将成为所谓的“万能应用”。据马斯克称,其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光,当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中,引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是,其他各种消息平台,如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase,都已经支持消息加密。 此前,谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天,目前正在对群聊进行同样的尝试。同样,Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示,该社交媒体平台的新用户注册数量创下了“历史新高”,截至11月16日,过去七天平均每天超过200万,比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户(mDAU)。 本月早些时候,在推出改版后的Twitter Blue订阅服务前后,该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出,采用多色验证系统,旨在为公司发放金色徽章,为政府发放灰色徽章,为个人账户发放蓝色徽章。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文