Hackernews 编译，转载请注明出处： 8月22日，美国网络安全和基础设施安全局(CISA)根据积极利用的证据，将影响Palo Alto Networks PAN-OS的安全漏洞添加到其已知利用漏洞目录中。 跟踪为CVE-2022-0028（CVSS 评分：8.6）的高危漏洞是一种URL过滤策略中的配置错误，可能允许未经身份验证的远程攻击者执行反射和放大的TCP拒绝服务(DoS)攻击。 Palo Alto Networks在一份报告中表示：“如果被利用，这个漏洞不会影响我们产品的机密性、完整性或可用性，然而，由此产生的拒绝服务(DoS)攻击可能有助于混淆攻击者的身份，并将防火墙作为攻击源。” 该漏洞影响以下产品版本，并在本月发布的更新中得以解决： PAN-OS 10.2 (version < 10.2.2-h2) PAN-OS 10.1 (version < 10.1.6-h6) PAN-OS 10.0 (version < 10.0.11-h1) PAN-OS 9.1 (version < 9.1.14-h4) PAN-OS 9.0 (version < 9.0.16-h3) PAN-OS 8.1 (version < 8.1.23-h1) 这家网络设备制造商表示，在收到来自不同供应商（包括Palo Alto Networks）的易受攻击的防火墙设备被用来实施反射式拒绝服务(RDoS)攻击后，他们发现了该漏洞。 受影响产品的客户应立即使用相关补丁，以减轻潜在威胁。联邦文职行政部门(FCEB)机构必须在2022年9月12日前更新到最新版本。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 与流行智能手机品牌相关的廉价安卓设备型号是假冒版本，其中包含多个特洛伊木马，旨在攻击WhatsApp和WhatsApp Business消息传递应用程序。 Doctor Web于2022年7月首次发现的特洛伊木马，是在至少四款不同智能手机的系统分区中发现的：P48pro、radmi note 8、Note30u和Mate40。 这家网络安全公司在8月22日发布的一份报告中表示：“这些事件是由于被攻击的设备是著名品牌型号的仿冒品而造成的。此外，他们没有安装最新的操作系统版本，而是使用了早已过时的4.4.2版本，并在设备详细信息中显示相应的信息（例如，Android 10）。” 具体来说，篡改涉及两个文件“/system/lib/libcutils.so”和“/system/lib/libmtd.so”，它们被修改为当任何应用程序使用libcutils.so系统库时，它就会触发包含在libmtd.so中的特洛伊木马的执行。 如果使用这些库的应用程序是WhatsApp和WhatsApp Business，libmtd.so会继续启动第三个后门，其主要职责是从远程服务器下载附加插件并将其安装到受损设备上。 研究人员说：“被发现的后门及其下载的模块的危险在于，它们的运行方式会成为目标应用程序的一部分。因此，他们可以访问受攻击应用程序的文件，并可以阅读聊天记录、发送垃圾邮件、拦截和监听电话，以及执行其他恶意操作，具体取决于下载模块的功能。” 另一方面，如果使用这些库的应用程序是wpa_supplicant（用于管理网络连接的系统守护进程），libmtd.so则被配置为启动本地服务器，该服务器允许通过“mysh”控制台从远程或本地客户端进行连接。 基于在负责无线固件更新的系统应用程序中嵌入的另一个特洛伊木马的发现，Doctor Web推测系统分区植入可能是FakeUpdates（又名SocGholish）恶意软件家族的一部分。 就其本身而言，流氓应用程序旨在通过Lua脚本泄露有关受感染设备的详细元数据，并在用户不知情的情况下下载和安装其他软件。 为了避免成为此类恶意软件攻击的受害者，建议用户仅从官方商店和合法经销商处购买移动设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Donot Team黑客，又名APT-C-35，为其Jaca Windows恶意软件框架添加了新功能。 Donot团队自2016年以来一直活跃，重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。 2021年10月，大赦国际发布的一份报告表示，“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件，针对多哥著名人权捍卫者进行攻击。过去，在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施，与印度网络安全公司Innefu Labs之间的联系。” 攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始，一旦启用Microsoft Office宏，就会加载下一阶段的恶意软件，利用公式编辑器漏洞打开RTF文件，并通过远程模板注入。 “Morphisec Labs 确定了一个新的DoNot感染链，它将新模块引入Windows框架。在这篇文章中，我们详细介绍了shellcode加载器机制及其后续模块，确定了浏览器窃取器组件中的新功能，并分析了反向shell的新DLL变体。DoNot最新的鱼叉式网络钓鱼电子邮件活动使用了RTF文件针对政府部门，包括巴基斯坦国防部门。”Morphisec发布的报告中写道。 该组织现在改进了其Jaca Windows恶意软件框架，例如，它增强了浏览器窃取模块。与以前版本的模块不同，新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll)，而不是在DLL中实现窃取功能。每个附加的可执行文件都允许从Google Chrome和/或Mozilla Firefox中窃取信息。 在最近的攻击中，该组织使用RTF文档发送消息，欺骗用户启用宏。启用宏后，将一段shellcode注入内存，然后从C2服务器下载并执行第二阶段的shellcode。 第二阶段的shellcode从不同的远程服务器获取主DLL文件（“pgixedfxglmjirdc.dll”），它负责向C2服务器发送信号通知感染成功。它向服务器发送受感染机器的系统信息，然后下载下一阶段DLL，即模块下载器“WavemsMp.dll”。 这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块，恶意软件与另一台C2服务器进行通信。恶意软件从嵌入式链接中获取新地址，该链接指向包含加密地址的Google Drive文档。 攻击者还实现了一个反向shell模块，该模块被重新编译为DLL。其功能保持不变，打开攻击者机器的套接字（位于162.33.177[.]41），创建一个新的隐藏cmd.exe进程并将STDIN、STDOUT和STDERR设置为套接字。 研究人员总结道：“防御像DoNot团队这样的APT需要深度防御策略，该策略使用多个安全层，以确保任何给定层被破坏时的冗余。最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的Windows框架。这是因为流行的安全解决方案（例如NGAV、EDR、EPP、XDR等）侧重于检测磁盘或操作系统上的异常情况，它们在运行时检测或阻止内存攻击的能力是有限的。在一定程度上，它们会导致严重的系统性能问题和错误警报，因为必须将它们调到最高警告级别。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 黑客控制了一颗退役卫星，并播放了黑客会议演讲和黑客电影。 在拉斯维加斯举行的最新一届DEF CON黑客大会上，白帽黑客团体Shadytel演示了如何控制地球静止轨道上的卫星。该组织使用了一颗名为Anik F1R的卫星，该卫星于2020年被销毁。 该组织被授权进行黑客攻击，他们攻击的卫星已经退役，这意味着它将被送往墓地轨道。墓地轨道，也被称为垃圾轨道，它远离普通运行轨道，一些卫星在其运行寿命结束时被移入此类轨道，以避免与运行中的航天器和卫星发生碰撞。 该小组的一名成员Karl Koscher解释说，他们可以使用一个未使用的上行链路设施，其中包括连接卫星的硬件。 “[Koscher]说，他们还获得了使用上行链路的许可证，并租用了卫星转发器，该转发器是在接收天线和发射天线之间打开通道的单元。”Lorenzo Franceschi-Bicchierai在主板上写道。 这群黑客能够将去年在ToorCon举行的黑客会议上的谈话与WarGames等黑客电影一起播放。 Koscher及其团队强调黑客一旦进入上行链路设施，就可能控制退役卫星进行恶意活动。 Koscher解释说，很容易找到连接卫星的硬件，该小组使用了一种Hack RF软件定义的无线电外围设备，能够传输或接收从1 MHz到6 GHz的无线电信号。这个软件很便宜，只需300美元左右。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用，来破坏目标网络，进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说： “Bumblebee操作员进行密集的侦察活动，并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光，当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动，该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付，此后，这种操作方式得到了调整，避开使用带有宏的文档，转而使用ISO和LNK文件，主要是为了响应微软默认阻止宏的决定。 研究人员说：“恶意软件的传播是通过钓鱼电子邮件来完成的，该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行，最终用户必须提取存档，挂载ISO映像文件，并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言，包含启动Bumblebee加载程序的命令，然后将其用作下一阶段操作（如持久性、权限升级、侦察和凭据盗窃）的管道。 攻击期间还使用了Cobalt Strike对手模拟框架，该框架在受感染端点上提升权限后，使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中，一名高权限用户的被盗凭据随后被用来控制Active Directory，更不用说创建一个本地用户帐户来进行数据泄露。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击，该攻击达到每秒4600万次请求（RPS）。 攻击发生在6月1日9:45，它以每秒10000多次请求（rps）开始，目标是客户的HTTP/S负载均衡器。八分钟后，攻击速度增至每秒100000次请求，两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出，每秒请求量至少比之前的记录高出76%，该记录在6月被Cloudflare阻止，达到2600万RPS。 谷歌表示：“这是迄今为止报告的最大的第7层DDoS攻击，比之前报告的记录至少大76%。此次攻击的规模就像在10秒内接受维基百科（世界上十大流量网站之一）的所有日常请求一样。” 专家报告称，该攻击来自132个国家的5256个源IP，前4个国家贡献了总攻击流量的约31%。 大约22%（1169）的源IP对应于Tor出口节点，但专家指出，来自这些节点的请求量仅占攻击流量的3%。 “虽然我们认为由于易受攻击的服务的性质，Tor参与攻击是偶然的，但即使在峰值的3%（超过130万rps），我们的分析表明，Tor出口节点可以向web应用程序和服务发送大量不受欢迎的流量。”报告继续说道。 此次攻击涉及的不安全服务的地理分布和类型表明，它是由Mēris僵尸网络发起的。 “攻击在谷歌网络的边缘被阻止，恶意请求从客户的应用程序上游被阻止。在攻击开始之前，客户已经在其相关的Cloud Armor安全策略中配置了Adaptive Protection，以了解并为其服务建立正常流量模式的基线模型。”专家总结道。“因此，Adaptive Protection能够在其生命周期的早期检测到DDoS攻击，分析其传入流量，并使用推荐的保护规则生成警报——所有这些都在攻击升级之前完成。客户通过部署推荐的规则，利用Cloud Armor最近推出的速率限制功能来限制攻击流量，从而对警报采取行动。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全公司卡巴斯基的最新发现显示，超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。 该公司表示：“从2020年1月到2022年6月，超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击，约占所有用户中受恶意和不需要的附加组件影响的70%。” 根据卡巴斯基的遥测数据，2022年上半年，多达1311557名用户属于这一类别。相比之下，这类用户的数量在2020年达到峰值3660236名，其次是2021年的1823263个独立用户。 最普遍的威胁是一系列称为WebSearch的广告软件，它伪装成PDF查看器和其他实用程序，并具有收集和分析搜索查询，以及将用户重定向到附属链接的功能。 WebSearch还因修改浏览器的起始页而闻名，该页面包含搜索引擎和许多指向第三方来源的链接，如AliExpress，当受害者点击这些链接时，会帮助扩展开发人员通过附属链接赚钱。 卡巴斯基指出：“此外，该扩展将浏览器的默认搜索引擎修改为search.myway[.]com，它可以捕获用户查询，收集并分析它们。根据用户搜索的内容，大多数相关的合作伙伴网站将在搜索结果中积极推广。” 第二组扩展涉及一种名为AddScript的威胁，该威胁以视频下载程序的名义隐藏其恶意功能。虽然附加组件确实提供了广告功能，但它们也旨在联系远程服务器以检索和执行任意JavaScript代码。 此外，还发现了FB Stealer等窃取信息的恶意软件，其目的是窃取登录用户的Facebook登录凭据和会话cookie。FB Stealer在2022年上半年造成了3077起独特的感染尝试。 该恶意软件主要针对搜索引擎上寻找破解软件的用户，FB Stealer通过名为NullMixer的特洛伊木马交付，该木马通过非官方破解软件安装程序传播，如SolarWinds Broadband Engineers Edition。 研究人员说：“FB Stealer是由恶意软件而不是由用户安装的，一旦添加到浏览器中，它就会模仿无害且外观标准的Chrome扩展程序Google Translate。” 这些攻击也是出于经济动机。恶意软件操作人员在获得身份验证cookie后，登录到目标的Facebook帐户，并通过更改密码来劫持该帐户，从而有效地锁定了受害者。然后，攻击者可以滥用访问权限向受害者的朋友要钱。 一个多月前，Zimperiumm披露了一个名为ABCsoup的恶意软件家族，它伪装成Google Translate扩展程序，作为针对谷歌Chrome、Opera和Mozilla Firefox浏览器俄罗斯用户的广告软件活动的一部分。 为使Web浏览器免受感染，建议用户坚持使用可信来源下载软件，检查扩展权限，并定期查看和卸载“您不再使用或无法识别”的加载项。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样，在更新大多数用户之前，这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。 最新更新进一步解决了其他10个安全漏洞，其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关，同时还修复了下载中的堆缓冲区溢出漏洞。 这是谷歌自年初以来修复的第五个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 建议用户更新到适用于macOS和Linux的104.0.5112.101版本，以及适用于Windows的104.O.5112.102/101版本，以缓解潜在威胁。基于Chromium浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也建议应用修复程序。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体，这被怀疑是间谍行动的一部分。 Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客，也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组（CERT-UA）证实了这些发现。 该黑客自2013年以来一直活跃，因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来，攻击事件不断升级。 据说，最新的一系列攻击已于2022年7月15日开始，一直持续到8月8日，感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件，最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。 同时，还向受损机器交付了两个后门，分别名为Giddome和Pterodo，这两个后门都是典型的Shuckworm工具，攻击者不断重新开发，旨在领先检测标准。 Pterodo的核心是一种Visual Basic Script（VBS）dropper恶意软件，具有执行PowerShell脚本、使用计划任务（shtasks.exe）来保持持久性，以及从命令和控制服务器下载其他代码的功能。 另一方面，Giddome植入物具有多种功能，包括录制音频、捕获屏幕截图、记录击键，以及在受感染主机上检索和执行任意可执行文件。 这些入侵行为通过从受感染账户分发的电子邮件发生，进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。 这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关，使攻击者能够窃取存储在Web浏览器中的文件和凭据。 调查结果是在CERT-UA发出警报后公布的，该警报警告称，“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。 单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。 微软还发布了Azure Sentinel搜索查询[1, 2]，可用于检查恶意活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文