Hackernews 编译，转载请注明出处： SonicWall 发布了安全更新，其中包含一个跨多个防火墙设备的关键漏洞，未经身份验证的远程攻击者可以将其武器化，以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录，这个问题被描述为SonicOS的 web 管理界面中基于堆栈的缓冲区溢出，可以通过发送特制的 HTTP 请求触发，导致远程代码执行或 DoS。 该漏洞影响了31个不同的 SonicWall 防火墙设备，这些设备运行的版本分别是7.0.1-5050和更早版本，7.0.1-r579和更早版本，以及6.5.4.4-44v-21-1452和更早版本。Hatlab 的ZiTong Wang报道了这一事件。 这家网络安全公司表示，目前还没有发现任何利用该漏洞进行主动攻击的实例，而且迄今为止也没有公开报道过PoC或恶意使用该漏洞的情况。 尽管如此，建议受影响的用户尽快应用补丁，以减少潜在的威胁。在修复程序到位之前，SonicWall 还建议客户限制SonicOS对可信源 IP 地址的管理访问。 网络安全公司 Sophos 警告说，其防火墙产品中的一个关键认证绕过漏洞(CVE-2022-1040，CVSS 得分: 9.8)，已被用于对南亚一些组织的攻击。 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

 Hackernews 编译，转载请注明出处： 从2021年6月，一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关，该攻击使用了一种基于 windows 的远程访问木马，名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性，以及他们的核心目标是建立长期间谍渠道。” 上个月，该APT组织扩展了它的恶意软件工具集，用一个名为 CapraRAT的后门侵入了安卓设备，这个后门与 CrimsonRAT 有很高的“重合度”。 Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载，有效负载包含一个基于 python 的存储器，用于安装基于 .NET的侦察工具和RAT，以及一个原装的基于 .NET的植入，在受感染的系统上运行任意代码。 除了不断改进他们的部署策略和恶意功能，透明部落黑客依赖于各种各样的分发方法，例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序，以攻击印度实体和个人。 其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序，Kavach是一个印度政府授权的双因素身份验证解决方案，用于访问电子邮件服务。 另外还有 covid-19主题的诱饵图像和 VHD格式文件，这些文件被用作从远程命令和控制服务器（比如CrimsonRAT）检索额外有效载荷的发射台，CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。 研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件，以适应各种紧急操作，这表明该组织具有攻击性、持久性、灵活性，并不断改进他们的策略，以感染目标。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个名为“RED-LILI”的攻击者发布了近800个恶意模块，与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常，攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次，攻击者似乎已经完全自动化了 NPM 帐户的创建过程，并且开设了专用帐户，每个包一个账户，这使得他的新恶意软件包更难被发现。” 这些发现建立在 JFrog 和  Sonatype 近期的报告的基础上，这两份报告详细介绍了数百个 NPM 软件包，这些软件包利用依赖项混淆和类型定位等技术来针对 Azure、 Uber 和 Airbnb 的开发者。 根据对 RED-LILI 作案手法的详细分析，异常行为的最早痕迹发生在2022年2月23日，在一周的时间里，大量恶意软件包呈爆发式分发。 具体来说，将rogue库上传到 NPM (Checkmarx 称之为“工厂”)的自动化过程包括同时使用自定义 Python 代码和 Selenium 等 web 测试工具，以模拟所需的用户操作，好在注册表中复制用户创建过程。 为了通过 NPM 设置的一次性密码验证屏障，攻击者利用一个名为Interactsh 的开放源码工具将 NPM 服务器发送的 OTP 提取到注册过程中提供的电子邮件地址，高效地使帐户创建请求成功。 有了这个全新的 NPM 用户帐号，攻击者接着以自动的方式创建和发布一个恶意软件包，每个帐号只有一个，但不是在创建访问令牌之前，以便在不需要电子邮件 OTP 验证的情况下发布软件包。 研究人员说: “随着供应链攻击者提高他们的技能，防御者的工作会更加艰难，这次攻击标志着他们技术取得了极大进步。”“通过将软件包分发在多个用户名之间，攻击者使防御者更难将它们联系起来，并一举解决它们。而且，通过这种方式，设备会更容易被感染。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能，以抗议乌克兰的战争，大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。 Node-ipc 是一个用于进程间通信的 JavaScript 模块，数百万开发者在开发软件时使用这个模块。最近，该模块的作者 Brandon Nozaki Miller 在软件中插入了代码，用于删除定位于俄罗斯和白俄罗斯的开发者系统的所有文件。 后来，他迅速从 npm JavaScript 注册表中删除了包含雨刷代码的模块版本，但随后又发布了另一个名为“ peacenotwar”的模块，并使其成为 node-ipc 的依赖项。因此，下载了 node-ipc 的开发人员最终在桌面目录中放置了一个与乌克兰战争相关的消息传递文件。所有版本统计起来，node-ipc 模块平均每周的下载量超过一百万次。 应用程序安全供应商Snyk 本周调查了这起事件，并将其描述为破坏全球开源社区的行为的一个例子。“这起安全事件涉及一名维护人员破坏磁盘文件的破坏性行为，以及他们试图隐藏和重申以花式蓄意破坏的企图,”Snyk的开发商宣传总监 Liran Tal 在博客中说。“虽然这是一种出于抗议动机的攻击，但它突显了软件供应链面临的一个更大的问题: 代码关联的依赖关系可能会对您的安全产生巨大影响。” Node-ipc 事件是近几个月来第二起说明企业使用开放源码和第三方组件构建软件之后面临的严重风险的事件。 今年1月，Marak Squires——两个广泛使用的开源库—— colors.js 和 faker.js 的维护者——故意在模块中引入代码，导致依赖它们的应用程序多次打印输出“ liberty”一词，后面还跟着胡言乱语。Sonatype负责维护 Maven 中央 Java 包存储库并调查 Squires 事件，据称，‘ colors’有超过33亿次的下载量，在超过19000个项目中使用，而‘faker’则有超过2.72亿次的下载量和大约2500个依赖项目。因此，成千上万的应用程序受到了 Squires 的行动的影响，Sonatype 推测这可能是 Squires 对他认为的大公司和商业项目免费从他的工作中获益的一种抗议形式。 危险的干预 Snyk 对最新 node-ipc 事件的分析表明，Miller，使用了 RIAEvangelist 这个名字，在2021年3月7日的几个小时内发布了包含破坏性代码(10.1.1和10.1.2)的两个 node-ipc 版本。被破坏的模块在被移除之前，可以在 npm JavaScript 注册表上下载，下载不到24小时就被删除了。尽管如此，与 node-ipc 相关的大量下载使得至少一些在代码中使用该模块的开发人员受到了影响，Tal 在 Dark Reading 的评论中说。 他说: “破坏性的10.1.1和10.1.2版本已经从 npmjs 的注册表中删除了，我们没来得及为它们收集任何下载数据。”但是，node-ipc 的10.x 版本分支每周大约有3,000次下载，因此可以有把握地假定，包含的雨刮器代码的下载量也是这样的数量。 一天后，也就是3月8日，米勒在 NPM 上发布了这个peacenotwar包。他说，这个模块既是对俄罗斯入侵乌克兰的抗议，也是一个“非破坏性”的例子，正说明开发人员需要对节点模块实施更多控制。这应该作为一个有益的例子，说明团队应该使用显式依赖版本,”Miller 在一个 GitHub 线程中说。“升级与否永远是我们来决定。” Tal 表示，peacenotwar 模块最初只有几十到几百次下载，但是，当它被添加为主流 node-ipc 分支的一个依赖项，下载量就超过了4万次。“不过请记住，这个模块的破坏性较小，但对终端用户来说仍然相当令人担忧。” 在一份声明中，Sonatype 首席技术官 Brian Fox 说，最近的事件表明了开发人员在选择使用开源模块时应该审查维护人员。他建议开发人员应该只从基金会支持的项目中选择代码，而不是从个人项目中选择代码。选择一个只有一个维护人员的项目意味着要完全信任一个开发人员。他指出，由基金会支持的开源项目往往更可控，这使得单个开发人员很难以一己之力改变代码。 Tal说，之前的研究表明，关联的依赖关系与每个被添加到正在构建的软件中的模块显著息息相关。他指出，2019年的一项研究显示，由于可传递的依赖关系，开发人员平均安装一个 npm 包就隐式信任其他80个包。他表示: “一些非常受欢迎的软件包可以达到10万多个其他软件包，这使得它们成为主要的攻击目标。” 供应链安全问题已经增加，应该是任何开发者，创业者，或企业的头等大事，Tal说。安全问题与维护者的声誉、许可证、安全漏洞和项目的可维护性都有关。“开发人员应该仔细检查开源组件的总体健康评分，其中包括上述所有标准，或许还不止。” 消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据观察，一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit，目的是ATM机网络，并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织，该组织的一些战术、技术和程序共享与另一个名为UNC1945的组织有相似之处。 Mandiant 公司的研究人员在本周发布的一份新报告中称，这名演员进行的入侵涉及“高度的 OPSEC，利用公共和私人恶意软件、公用程序和脚本来移除证据，阻碍应急行动。” 更令人担忧的是，在某些案例中，这些攻击持续了几年，在整个过程中，黑客利用一个名为 CAKETAP 的 rootkit ，且仍未被发现，这个 rootkit 被设计用来隐藏网络连接、进程和文件。 Mandiant 公司能够从受害的 ATM 交换服务器中恢复内存检测数据，该公司指出，内核 rootkit 的一种变体具有专门功能，使其能够拦截卡和 PIN 验证信息，并使用被盗数据从 ATM 终端进行欺诈性的现金提款。 同时使用的还有两个后门，即 SLAPSTICK 和 TINYSHELL，它们都属于 UNC1945，用于获得对任务关键系统的持久远程访问，以及通过 rlogin、 telnet 或 SSH 进行 shell 执行和文件传输。 研究人员指出: “由于该组织熟悉基于 Unix 和 Linux 的系统，unc2891经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门，这些值可能会被检测人员忽略，比如 systemd (SYSTEMD)、名称服务缓存守护进程(NCSD)和 Linux at 守护进程(ATD)。” 此外，攻击链使用了各种恶意软件和公开可用的实用程序，包括- STEELHOUND —— STEELCORGI 内存植入的变体，用于解密嵌入式有效载荷和加密新的二进制文件 WINGHOOK-一个基于 Linux 和 Unix 操作系统的键盘记录程序，以编码格式捕获数据 WINGCRACK-一个实用程序，用于解析由 WINGHOOK 生成的编码内容 Wiperiight ——一个 ELF 实用程序，用于删除基于 Linux 和 Unix 系统上属于特定用户的日志条目 MIGLOGCLEANER ——一个在基于 Linux 和 Unix 的系统上清除日志或删除某些字符串的 ELF 实用程序 研究人员说: “ UNC2891使用他们的技术和经验来充分利用 Unix 和 Linux 环境中经常出现的不明显的安全措施。”“虽然 UNC2891和 UNC1945之间的一些相似度是显而易见的，但不足以确定入侵是同一个威胁组织所为。”         消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在流行的包管理器中已经揭露多个安全漏洞，如果被潜在黑客利用，可能被滥用来运行任意代码和访问敏感信息，包括受感染设备的源代码和访问令牌。 然而，值得注意的是，这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 SonarSource 的研究员 Paul Gerste 说: “这意味着攻击不能远程直接针对开发人员的机器，并且需要欺骗开发人员来加载格式不正确的文件。”“但你是否总是足够了解并信任来自互联网或公司内部仓库的所有软件包的提供者呢?” 包管理器指的是用于自动安装、升级和配置开发应用程序所需的第三方依赖项的系统或一组工具。 虽然流氓库将存储库打包存在自带的安全风险——需要对依赖关系进行适当的审查，以防止出现类型定义错误和依赖混淆攻击——但“管理依赖关系的行为通常不被视为具有潜在风险的操作” 但是，在各种软件包管理器中新发现的问题表明，攻击者可以将这些软件包武器化，诱骗受害者执行恶意代码。这些漏洞已经在以下软件包管理器中被识别出来： Composer 1.x < 1.10.23 and 2.x < 2.1.9 Bundler < 2.2.33 Bower < 1.8.13 Poetry < 1.1.9 Yarn < 1.22.13 pnpm < 6.15.1 Pip (no fix), and Pipenv (no fix) 其中最主要的漏洞是 Composer 的 browse 命令中的命令注入漏洞，这个漏洞被滥用，通过向已发布的恶意程序包插入 URL 来实现任意代码执行。 如果包利用类型定位或依赖关系混淆技术，它可能会导致这样一种情况，即运行库的浏览命令可能导致检索下一阶段的有效负载，然后该有效负载用来发动进一步的攻击。 在 Bundler、 Poetry、 Yarn、 Composer、 Pip 和 Pipenv 中发现的附加参数注入和不可信搜索路径漏洞意味着，黑客可以通过添加恶意软件的 git 可执行文件或攻击者控制的文件(如用于指定 Ruby 程序依赖项的 Gemfile)获得代码执行。 在2021年9月9日的披露之后，针对 Composer，Bundler，Bower，Poetry，Yarn 和 Pnpm 中的问题已经发布了修复程序。但是 Composer、 Pip 和 Pipenv 都受到不可信搜索路径漏洞的影响，他们选择不解决这个 bug。 “开发者是网络犯罪的香饽饽，因为他们可以访问公司的核心知识产权资产: 源代码,”Gerste 说。“攻击他们可以让攻击者进行间谍活动，或者在公司的产品中嵌入恶意代码。这甚至可能被用来实施供应链攻击。”     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动，攻击者使用Valorant当做诱饵，诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的，因为黑客发现绕过YouTube的新内容提交审核，或者在被举报和禁号时创建新账户都是很容易的。 ASEC发现的这一活动针对的是Valorant游戏社区，这是一款免费的Windows第一人称射击游戏，在视频描述中提供了一个自动瞄准机器人的下载链接。 假自动瞄准机器人(ASEC)宣传视频 据称，这些骗术是安装在游戏中的外挂，以帮助玩家快速精准瞄准敌人，不用任何技巧就能爆头。 自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎，因为它们可以自动瞄准，玩家轻松排名进步。 植入 Redline 试图下载视频描述中的文件的玩家将被带到anonfiles页面，在那里他们会获取一个RAR存档，其中包含一个名为“Cheat installer.exe”的可执行文件。 实际上，这个文件是RedLine 信息窃取程序的副本，RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一，它从受感染的系统窃取以下数据: 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表 Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx VPN客户端:ProtonVPN、OpenVPN、NordVPN 其他:FileZilla(主机地址、端口号、用户名和密码)，Minecraft(帐户凭据，级别，排名)，Steam(客户端会话)，Discord(令牌信息) 在收集了这些信息之后，RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中，并通过WebHook API POST请求将其导出文件到一个Discord服务器。 不要相信YouTube视频中的链接 除此之外，电子游戏中的作弊行为会破坏游戏的乐趣，另外，它总归是一个潜在的严重的安全风险。 这些作弊工具都不是由可信的实体编写的，也没有数字签名(所以反病毒警告肯定会被忽略)，而且很多确实是恶意软件。 ASEC的报告包含了最近的一个例子，但这只是恶意下载链接的海洋中的一小部分，它们藏在在YouTube宣传各种各样的免费软件的视频中。 宣传这些工具的视频通常是从其他地方偷来的，并在新创建的渠道上恶意转发，充当诱饵。 即使这些视频下面的评论称赞上传者，并声称该工具如宣称的那样有效，它们也不应该被信任，因为这些很容易被伪造。       消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

Hackernews 编译，转载请注明出处：   研究员发现，黑客滥用高影响反射/放大方法，实施长达14小时的持续分布式拒绝服务攻击，放大率达到了破纪录的4294967296倍。 这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ，已经被武器化，可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。 Akamai 研究员 Chad Seaman 在一份联合报告中说: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署，一个频繁使用的系统测试设施暴露在一个公共互联网上。” “攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。” DDoS 反射攻击通常包括假冒受害者的 IP 地址，以重定向来自目标服务器（比如 DNS、 NTP 或 CLDAP 服务器）的响应，这种方式使得发送给假冒的发送者的答复远大于请求，导致服务完全无法访问。 攻击的第一个迹象据说是在2022年2月18日被发现的，黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器，多亏一个未经认证的测试设施无意中暴露在公共互联网上，这才有了线索。 “这个特定的攻击载体不同于大多数 UDP 反射/放大攻击方法，因为暴露的系统测试设施可以被滥用，通过一个单独的仿冒攻击发起包，发动持续时间长达14小时的 DDoS 攻击，导致数据包放大比为惊人的4,294,967,296比1。” 具体来说，这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化，这个驱动程序被设计用来监听 UDP 端口10074上的命令，“它并不打算暴露在互联网上,”Akamai 解释说，并补充道，“但正是其在互联网的暴露最终导致了它被滥用。” “对 tp240dvr 二进制文件的检查表明，由于其设计，攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包，导致大约4,294,967,294个放大的攻击数据包指向受害者。” 作为对这一发现的回应，Mitel在周二发布了软件更新，禁止公开访问测试功能，同时将这一问题描述为访问控制漏洞，黑客可以利用该漏洞获取敏感信息。 该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说，tp-240反射/放大攻击的附带影响要引起重视。” “影响可能包括部分或全部这些系统中的语音通信中断，以及由于传输能力消耗、网络地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节，这些设备可以链接到未经身份验证的远程代码执行，且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示，这些问题存在于 TerraMaster 操作系统（TOS）中，“只要知道受害者的 IP 地址，就能让未经认证的攻击者进入受害者的保险箱。” TOS 是为 TNAS 设备设计的操作系统，使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露，上周3月1日发布的 TOS 版本4.2.30中，这些漏洞被修补。 其中一个漏洞被追踪为 CVE-2022-24990，与一个名为“ webNasIPS”的组件中的信息泄露案例有关，导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。 另一方面，第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关，导致出现这样一种情况，即这两个漏洞可以同时出现，以提交一个特别制作的命令来实现远程代码执行。 “总而言之，这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件，另一个是机器时间的信息泄漏，并将其与经过身份验证的操作系统命令注入链接起来，以根用户身份实现未经身份验证的远程代码执行。 TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击， 与 QNAP 和  ASUSTOR 一样也是受害者，该公司称，它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。 目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验，如果有进展，我们将更新相关报道。 “修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明，并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ，以防止未加密文件被加密。     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文