Hackernews 编译，转载请注明出处： Cyble研究和情报实验室（CRIL）的专家发现了三个新的勒索软件：AXLocker、Octocrypt和Alice勒索软件。 AXLocker勒索软件会加密受害者的文件，并从受感染的机器上窃取Discord令牌。对代码的分析表明，startencryption()函数通过枚举C:\驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名，并从加密过程中排除目录列表。 AXLocker勒索软件使用AES加密算法加密文件，与其他勒索软件不同，它不会更改加密文件的名称或扩展名。 Cyble发布的分析表明：“在加密受害者的文件后，勒索软件收集并向黑客发送敏感信息，如计算机名、用户名、机器IP地址、系统UUID和Discord令牌。” 恶意软件使用正则表达式在本地存储文件中查找Discord令牌，然后将其与其他信息一起发送到Discord服务器。 一旦勒索软件对文件进行了加密，它就会弹出一个窗口，其中包含一张赎金通知，指示用户与操作人员联系。赎金单不包括要求受害者恢复文件的金额。 Cyble还发现了一种名为Octocrypt的新勒索软件，这是一种Golang勒索软件，其运营商正在采用勒索软件即服务（RaaS）的商业模式。该恶意软件于2022年10月左右出现在威胁环境中，售价为400美元。 Cyble继续说道：“Octocrypt网页面板生成器界面允许黑客通过输入API URL、加密地址、加密金额和联系人邮箱地址等选项来生成勒索软件二进制可执行文件。” Cyble发现的第三种勒索软件被称为“Alice”，也被提供为勒索软件即服务（RaaS）。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Cado实验室的研究人员最近发现黑客WatchDog重新出现。WatchDog是一个机会主义者，他们经常对各种云服务提供商托管的资源进行加密劫持攻击。 WatchDog在2022年6月瞄准了一个蜜罐，与这种类型的攻击一样，脚本一开始使用许多命令，旨在削弱受损的系统并删除监控工具。在删除Linux系统日志之前，黑客使用ulimit命令为当前用户配置资源限制，试图掩盖其踪迹。 在之前关于WatchDog活动的报告中，研究人员发现了一种独特的技术，即黑客用一个相当简单的shell脚本替换了常见的系统实用程序（如top和ps），该脚本用于从上述实用程序的输出中泄露任何攻击者拥有的进程。同样的技术也出现在这个新的有效载荷中。 目前WatchDog仍然活跃，并对腾讯和阿里云等云服务提供商的用户构成重大威胁。在分析过的shell脚本中可以看到这种黑客的几种典型技术，并且重新使用特定的Monero钱包使得归因相对容易。 用于删除TeamTNT可执行文件的代码的存在是一个有趣的观察。证据表明，以云为中心的加密劫持组织保持对当前威胁形势的最新了解，因此这可能表明WatchDog在其活动期间遇到了TeamTNT活动的证据。 前面提到WatchDog和类似的组织是机会主义的，很有可能这个恶意软件利用配置错误的云实例作为初始访问向量。这再次强调了某些云黑客可以轻易地破坏云资源，而且他们几乎不需要付出多少努力就可以使这一努力有利可图。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2022/ 消息来源：cadosecurity，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews 编译，转载请注明出处： 谷歌云（Google Cloud）上周披露，它在野外发现了34个不同的Cobalt Strike工具黑客版本，其中最早的版本于2012年11月发布。 根据谷歌云威胁情报（GCTI）团队的调查结果，这些版本从1.44到4.7，总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。 Cobalt Strike由Fortra（née HelpSystems）开发，是一种受欢迎的对抗框架，红色团队使用它来模拟攻击场景并测试其网络防御能力。 它包括一个作为指挥和控制（C2）中心的团队服务器，以远程控制受感染的设备，以及一个旨在提供下一阶段有效负载的stager，称为Beacon，这是一个功能齐全的植入物，可向C2服务器报告。 由于该软件具有广泛的功能，越来越多地黑客将其未经授权的版本武器化，以推进他们的后开发活动。 谷歌Chronicle子公司的逆向工程师Greg Sinclair表示：“虽然Cobalt Strike的意图是模拟真实的网络威胁，但黑客已经掌握了它的能力，并将其作为受害者网络中横向移动的强大工具，作为第二阶段攻击有效载荷的一部分。” 为了解决这种滥用，GCTI发布了一套开源的YARA规则，以标记恶意黑客组织使用的软件的不同变体。 Sinclair说：“我们的想法是删除坏版本，同时保留合法版本，我们的目的是将这个工具移回合法红色团队的领域，让攻击者难以滥用它。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一名乌克兰国民因参与臭名昭著的网络犯罪集团，使用名为Zeus的恶意软件从受害者的银行账户窃取数百万美元，被美国通缉十多年，已被瑞士当局逮捕。 Vyacheslav Igorevich Penchukov在网上化名“tank”和“father”，据说他参与了该组织的日常运营，于2022年10月23日被捕，目前正在等待引渡到美国。 独立安全记者Brian Krebs首先报道了逮捕的细节。 Penchukov和Ivan Viktorovich Klepikov（又名“petrovich”和“nowhere”）和Alexey Dmitrievich Bron（又名“thehead”）于2012年8月在内布拉斯加州特区首次被指控。 根据美国司法部（DoJ）在2014年发布的法庭文件，Penchukov和网络犯罪集团的其他八名成员用Zeus感染了“数千台商业计算机”，Zeus能够窃取密码、帐号和其他与登录网上银行帐户相关的信息。 然后，这些缴获的凭证被用来从账户中抽取资金，司法部称Jabber Zeus团伙为“广泛的勒索企业”。 2017年的一份WIRED报道称，Zeus银行木马是由一位匿名人士编写的，只知道此人的名字是lucky12345，将Penchukov描述为当地著名的DJ，喜欢高档宝马和保时捷。 更重要的是，被“无限适应性”恶意软件感染的机器可以被折叠到僵尸网络中，僵尸网络的力量可以用来执行分布式拒绝服务（DDoS）攻击。 Zeus的继任者，被称为Gameover Zeus，是一个对等僵尸网络，在2014年作为代号为Tovar的国际执法行动的一部分，被暂时中断。 所有被告都被指控共谋参与敲诈勒索活动、共谋实施计算机欺诈和身份盗窃、严重身份盗窃以及多项银行欺诈罪。 他的两名同谋Yevhen Kulibaba（又名“jonni”）和Yuriy Konovalenko（又名为“jtk0”）于2014年11月从英国引渡回国后认罪，并于2015年5月28日被判处两年零十个月监禁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在勒索软件攻击后，密歇根州两个县的公立学校被迫停止活动，包括上课。 密歇根州杰克逊县和希尔斯代尔县的公立学校在因勒索软件攻击其系统而关闭两天后重新开放。 周一，公立学校开始出现系统故障，影响关键操作系统，之所以出现故障，是因为他们是周末检测到的勒索软件攻击的受害者。 杰克逊县中学学区负责人Kevin Oxley宣布，该系统已被关闭，以控制损坏。 学校通知执法部门，聘请外部网络安全顾问对事件进行调查，并在安全恢复系统方面获得帮助。 作为预防措施，学校要求每个人不要使用任何学校发放的设备。 杰克逊县中级学区的公告中写道：“多亏了我们的技术团队和网络安全专家的全天候工作，我们准备迎接学生明天（2022年11月17日，星期四）返校。” 我们的首要任务是让孩子们重返校园，很高兴明天能够做到这一点。虽然我们的修复工作仍在继续，但我们优先恢复了基本系统，以便我们能够安全地恢复运营，并使杰克逊县和希尔斯代尔县的学校大楼重新开放。然而，由于我们的团队仍致力于恢复其他系统，所以学生们对一些技术资源的访问将受到限制。 目前，尚未有任何网络犯罪集团声称此次攻击。 学区是勒索软件团伙的特权目标，今年9月，美国最大的学区之一洛杉矶联合学区遭到了勒索软件攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过，安全供应商F5并不认为这是可利用的漏洞。 专家发现的漏洞有： CVE-2022-41622是一种通过跨站点请求伪造 （CSRF） 执行未经身份验证的远程代码，会影响BIG-IP和BIG-IQ产品。 供应商发布的公告表示：“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面（而不是数据平面）利用此漏洞。如果被利用，此漏洞可能会危及整个系统。” CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码，驻留在设备模式iControl REST中。在设备模式下，具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。 公告中写道：“在设备模式下，具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题；没有数据平面暴露。设备模式由特定许可证强制实施，或者可以为单个虚拟群集多处理器（vCMP）来宾实例启用或禁用。” 上述漏洞被评为高严重性。 Rapid7于2022年8月18日向F5报告了这两个漏洞，并支持供应商解决这些问题。 以下是 F5 因不可利用而拒绝的安全控制的绕过： ID1145045 – 通过错误的UNIX套接字权限提升本地权限 （CWE-269） ID1144093 – 通过不正确的文件上下文绕过SELinux （CWE-732） ID1144057 – 通过更新脚本中的命令注入绕过SELinux （CWE-78）   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员发现了名为RapperBot恶意软件的新样本，这些恶意软件正被用来构建一个僵尸网络，能够对游戏服务器发起分布式拒绝服务（DDoS）攻击。 Fortinet FortiGuard实验室的研究人员Joie Salvio和Roy Tay在周二的一份报告中表示：“事实上，这个活动不像是RapperBot，而更像是一场在2月份出现，然后在4月中旬神秘消失的运动。” 网络安全公司在2022年8月首次记录了RapperBot，据悉它专门对配置为接受密码认证的SSH服务器进行强制操作。 这种新生的恶意软件受到Mirai僵尸网络的极大启发，其源代码于2016年10月泄露，导致了多个变种的出现。 RapperBot的更新版本值得注意的是，除了支持使用通用路由封装（GRE）隧道协议的DoS攻击，以及针对运行《侠盗猎车手：圣安德烈亚斯》的游戏服务器的UDP flood攻击外，它还能够执行Telnet暴力攻击。 研究人员说：“Telnet暴力强制代码主要是为自我传播而设计的，类似于旧的Mirai Satori僵尸网络。” 该硬编码明文凭证列表是与物联网设备相关的默认凭证，被嵌入到二进制文件中，而不是从命令和控制（C2）服务器检索，这是在2022年7月之后检测到的工件中观察到的行为。 成功侵入之后，将使用的凭据报告回C2服务器，并在被黑客入侵的设备上安装RapperBot有效负载。 Fortinet表示，该恶意软件只针对运行在ARM、MIPS、PowerPC、SH4和SPARC架构上的设备，如果这些设备运行在Intel芯片组上，则停止其自我传播机制。 更重要的是，早在2021年5月，就发现2022年10月的活动与涉及恶意软件的其他操作存在重叠，Telnet扩展器模块于2021年8月首次出现，但在随后的示例中被删除，并于上月重新引入。 研究人员总结道：“基于这个新活动与之前报道的RapperBot活动之间不可否认的相似性，它们很可能是由单个黑客或由不同的黑客操作的，可以访问私人共享的基本源代码。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞（CVSS评分为9.8）。Backstage是Spotify用于构建开发人员门户的开源平台，它被多个组织使用，包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。 此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞（CVE-2022-36067 又名Sandbreak）来利用。 Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞，Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。 “未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸，在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。 该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。 研究人员解释说，模板引擎利用vm2库来防止不可信代码的执行。 “在审查如何限制这种风险时，我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板，来运行shell命令。因此，Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中，Oxeye发现了一个vm2沙盒逃逸漏洞，导致主机上的远程代码执行（RCE）。 研究人员在Shodan中对Backstage favicon哈希进行了简单的查询，并发现了500多个暴露在互联网上的Backstage实例。 专家们注意到，默认情况下部署Backstage时没有身份验证机制或授权机制，允许来宾访问。一些公开的Backstage实例不需要任何身份验证。 通过进一步的测试，专家们可以确定，在许多情况下，不需要身份验证就可以利用该漏洞。 “任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎（如Mustache），可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离，可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息，请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证，请同时在前端和后端启用它。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息，攻击者可能利用这些漏洞从启用了该功能的客户帐户中获取未经授权的信息访问权限。 Varonis在与The Hacker News共享的一份报告中表示：“在修补之前，该漏洞将允许黑客在启用Explore的情况下访问Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。” 这家网络安全公司表示，没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。 Zendesk Explore是一种报告和分析解决方案，允许组织“查看和分析有关客户和支持资源的关键信息”。 根据该安全软件公司的说法，利用该漏洞首先需要攻击者以新的外部用户身份注册受害者Zendesk帐户的票务服务，该功能可能默认启用，以允许最终用户提交支持票证。 该漏洞与GraphQL API中的SQL注入有关，该注入可能被滥用，以管理员身份泄露数据库中存储的所有信息，包括电子邮件地址、票证以及与实时代理的对话。 第二个漏洞涉及与查询执行API相关的逻辑访问问题，该API被配置为在不检查进行调用的“用户”是否有足够权限的情况下运行查询。 这意味着新创建的最终用户可以调用此API，更改查询，并从目标Zendesk帐户的RDS中的任何表中窃取数据，而无需SQLi。 Varonis表示，这些问题已于8月30日向Zendesk披露，随后该公司于2022年9月8日纠正了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 俄罗斯黑客使用了一个名为Somnia的新勒索软件来攻击乌克兰的多个组织。 政府专家将这些攻击归咎于“来自俄罗斯的爱”（FRwL）（又名Z-Team，UAC-0118）组织，据信这是一个亲俄罗斯的黑客活动组织。 CERT-UA发布的公告称：“FRwL（又名Z-Team）的活动由CERT-UA以标识符UAC-0118进行监控，对未经授权干预攻击目标的自动化系统和电子计算机的操作负责。” 调查发现，最初的入侵是由于下载和运行了一个模仿“高级IP扫描仪”软件的文件，但实际上包含了Vidar恶意软件。 根据警报，乌克兰组织最初被相关访问代理入侵，然后将泄露的数据转移给FRwL集团，该集团利用该数据进行网络攻击。 用作诱饵的“高级IP扫描仪”软件实际上包含了Vidar恶意软件，这是一种窃取数据的恶意软件，还能够捕获Telegram会话数据并接管受害者的帐户。 然后，黑客滥用受害者的Telegram帐户来窃取VPN配置数据（身份验证和证书）。如果VPN帐户未受到双重身份验证的保护，则黑客可以使用VPN连接获得公司网络的未经授权的连接。 一旦获得对目标网络的访问权限，攻击者就会使用Netscan等工具进行侦察，并在泄露数据之前部署Cobalt Strike Beacons。 需要强调的是，Somnia攻击背后的黑客并不要求支付赎金，他们的行动旨在破坏目标的网络。 CERT-UA还报告说，Somnia恶意软件正在不断发展。该恶意软件的第一个版本使用对称3DES算法，而第二个版本使用AES算法，同时，考虑到密钥和初始化向量的动态性，根据攻击者的理论计划，这个版本的Somnia不提供数据解密的可能性。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文