日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击，能将恶意 Word 文件嵌入 PDF 来绕过安全检测。 JPCERT采样了一种多格式文件，能被大多数扫描引擎和工具识别为 PDF，但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。多格式文件是包含两种不同文件格式的文件，这些文件格式可根据打开它们的应用程序解释为多种文件类型并执行。 通常，攻击者使用多格式来逃避检测或迷惑分析工具，因为这些文件在一种格式中可能看起来安全，而在 另一种格式中隐藏恶意代码。 在JPCERT的分析结果中，PDF 文档包含一个带有 VBS 宏的 Word 文档，如果在 Microsoft Office 中以 .doc 文件形式打开，则可以下载并安装 MSI 恶意软件文件，但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。 需要注意，PDF 中的 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置，用户需要通过点击相应设置或解锁文件来手动禁用。 JPCERT 表示，虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事，但攻击者部署多格式文件来逃避检测的情况已时有发生。 对于攻击者来说，PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具（如 “pdfid”）或其他自动分析工具的检测，这些工具只会检查文件外层看似正常的结构。 JPCERT给出的解决办法是采用多层防御和丰富的检测集，“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外，他们还分享了一条 Yara 规则，即检查文件是否以 PDF 签名开头，并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式，这与 JPCERT 在野外发现的规避技术一致。     转自Freebuf，原文链接:https://www.freebuf.com/news/376435.html 封面来源于网络，如有侵权请联系删除

美国多个联邦机构近日向该国航天工业发出警告，要求警惕外国警报机构的间谍活动。 美国国家情报总监办公室下属的国家反情报与安全中心（NCSC）称，全球太空经济投入将从 2021 年的 4690 亿美元增长到 2030 年的超过 1 万亿美元，而美国是这一增长的主要驱动力，并且对能源、金融、电信、交通、农业等多行业起到重要作用。NCSC认为外国情报机构已经认识到商业航天工业对美国经济和国家安全的重要性，包括关键基础设施对其产生的依赖性。 NCSC例举了针对美国航天工业进行间谍活动的可能形式，包括利用网络攻击、空壳公司或老式间谍手段收集有关美国太空能力或创新技术的敏感信息，也可能使用卫星干扰或黑客攻击等反空间系统来破坏或削弱美国卫星系统。 2021 年，NASA 成为SolarWinds 漏洞攻击的九个目标机构之一，这次大规模网络攻击被机构领导层称为“警钟”，旨在保护其赖以存储和传播敏感技术数据的网络安全。 在2022年爆发的俄乌战争中，被指与俄罗斯政府有联系的黑客对美国通信公司Viasat、SpaceX 星链系统进行了网络攻击。马斯克于2022年3月在推特上表示，攻击使冲突地区附近的一些星链终端曾一度堵塞数小时。 而在今年举行的美国黑帽技术大会（Black Hat USA）上，安全研究专家的一项研究议题也表示，黑客想要针对卫星进行攻击也非难事。根据对17 种不同卫星型号的 19 名工程师和开发人员的调查，有3名工程师承认他们没有采取任何措施来防止第三方入侵，有9名工程师虽然表示采取了防御措施，但其中只有5名实施了任何类型的访问控制。     转自Freebuf，原文链接:https://hackernews.cc/archives/45320 封面来源于网络，如有侵权请联系删除

近日，波兰国内安全局（ABW）和国家警察已就针对波兰铁路网络的黑客攻击展开调查。据波兰新闻社报道，此次攻击对当地交通造成了较大影响。 特勤局副协调员Stanisław Zaryn表示：波兰当局正在调查一起未经授权使用铁路交通控制系统的事件。几个月来，俄罗斯联邦与白俄罗斯联合在一起企图破坏波兰国家的稳定。 事实上，自2014年俄乌之间爆发的数次黑客事件中，俄罗斯黑客就经常会使用一些复杂的黑客技术来破坏乌克兰网络，扰乱该国的卫星通信，甚至引发大面积停电。而在北约试图加强乌克兰防御俄罗斯之际，波兰的铁路系统一直是西方武器和其他援助流入乌克兰的主要来源。因此，这次袭击其实也是俄罗斯想要破坏支援行动的一环。 Zaryn说：俄罗斯联邦与白俄罗斯经常合作发起攻击，所以我们从现在起会重视所有向波兰铁路局发出的恶意信号。 黑客向目标列车发出 “无线电停止 “命令 据悉，威胁分子在周六（8月26日）发送了一个信号，触发了紧急状态，导致什切青市附近的列车停运。据媒体报道，这次袭击造成至少 20 辆列车停运，交通瘫痪长达数小时。据《连线》报道，破坏者通过无线电频率向目标列车发出 “无线电停止 “命令。由于波兰铁路系统使用的无线电系统缺乏加密或认证，因此很容易欺骗无线电停止命令。 网络安全专家 Lukasz Olejnik 表示：不管是谁，只要拥有 30 美元的现成无线电设备，就可以向波兰的列车以 150.100 兆赫兹的频率发送一连串三个声波，并触发列车的紧急停车功能。一旦无线电设备接收到连续发送的三个音调信息，机车就会停止。 Olejnik说：多年来，波兰的无线电和火车论坛以及YouTube上一直有人在介绍如何发送该命令。而无线电设备本身价格很低，频率、音调也都是已知的情况下，所以即使是青少年也能轻易做到。 不过致使火车瘫痪的无线电攻击有一个限制条件，就是破坏者必须距离目标火车相对较近——从数百英尺到数英里不等，具体取决于他们所使用的无线电设备的功率。 波兰国家运输机构已表示将在 2025 年之前全面升级波兰的铁路系统，但在此之前，它将继续使用相对不受保护的 VHF 150 MHz 系统。 波兰铁路局表示，这次攻击事件仅导致列车运行受阻，并未造成人员伤亡或财产损失。 黑客对此次波兰铁路系统的攻击并未使用任何勒索软件，甚至不需要渗透数字网络。但Olejnik警告称，这种攻击虽然很简单但绝不能低估，因为其可能会造成更加深远的影响。     转自Freebuf，原文链接:https://www.freebuf.com/news/376324.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，网络安全公司 Deep Instinct 的安全研究人员发布了一个滥用Windows筛选平台（ WFP) 来提升用户权限的工具NoFilter，能将访问者的权限增加到Windows上的最高权限级别——SYSTEM权限。 该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。 微软将WFP 定义为一组 API 和系统服务，为创建网络过滤应用程序提供平台。开发人员可以使用 WFP API 创建代码，在网络数据到达目的地之前对其进行过滤或修改，这些功能在网络监控工具、入侵检测系统或防火墙中可见。 研究人员开发了三种新的攻击来提升的权限，既不会留下太多证据，也不会被众多安全产品检测到。 复制访问令牌 第一种方法允许使用 WFP 复制访问令牌，即在线程和进程的安全上下文中识别用户及其权限的代码片段。当线程执行特权任务时，安全标识符会验证关联的令牌是否具有所需的访问级别。 安全研究员解释称，调用 NtQueryInformationProcess 函数可以获取包含进程持有的所有令牌的句柄表。这些令牌的句柄可以复制，以便另一个进程升级到 SYSTEM。Windows 操作系统中一个名为 tcpip.sys的重要驱动程序 具有多个函数，可以通过设备 IO 请求向 WPF ALE（应用程序层执行）内核模式层调用这些函数，以进行状态过滤。NoFilter工具 通过这种方式滥用WPF来复制令牌，从而实现权限提升。 研究人员表示，通过避免调用 DuplicateHandle，可以提高隐蔽性，并且许多端点检测和响应解决方案可能会忽视恶意操作。 获取系统和管理员访问令牌 第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务以将 SYSTEM 令牌插入表中。使用 RpcOpenPrinter 函数按名称检索打印机的句柄。通过将名称更改为“\\127.0.0.1”，该服务将连接到本地主机。在 RPC 调用之后，需要向 WfpAleQueryTokenById 发出多个设备 IO 请求才能检索 SYSTEM 令牌。 研究人员表示，这种方法比第一种方法更隐蔽，因为配置 IPSec 策略通常是由网络管理员等合法特权用户完成的操作。 第三种方法允许获取登录到受感染系统的另一个用户的令牌，以进行横向移动。研究人员表示，如果可以将访问令牌添加到哈希表中，则可以使用登录用户的权限启动进程。为了获取令牌并以登录用户的权限启动任意进程，研究人员滥用了 OneSyncSvc 服务和 SyncController.dll，它们是攻击性工具领域的新组件。 检测建议 黑客和渗透测试人员很可能会采用这三种方法，但Deep Instinct也给出了如下缓解措施： 配置与已知网络配置不匹配的新 IPSec 策略。 当 IPSec 策略处于活动状态时，RPC 调用 Spooler/OneSyncSvc。 通过多次调用 WfpAleQueryTokenById 来暴力破解令牌的 LUID。 BFE 服务以外的进程向设备 WfpAle 发出设备 IO 请求。     转自Freebuf，原文链接:https://www.freebuf.com/news/376019.html 封面来源于网络，如有侵权请联系删除

英国软件公司Swan Retail遭受网络攻击，导致超过300家英国商户无法处理付款或完成订单。 安全内参8月21日消息，英国IT软件公司Swan Retail在上周日遭受网络攻击，导致超过300家英国商户无法处理付款或完成订单。截至当前，该公司服务器仍处于离线状态，尚无明确迹象表明该公司何时能重新提供服务。 Swan Retail主要服务于零售和餐饮行业，提供处理在线订单、销售点（POS）交易、库存管理和会计服务的软件。该公司正在与与执法机构、英国国家欺诈和网络犯罪报告中心（Action Fraud）以及英国国家网络安全中心（NCSC）合作，对此次攻击展开调查。 攻击事件影响多达300名客户 Swan Retail发言人表示，上周日，公司系统遭“未经授权的第三方”访问。 攻击发生后，公司已尽快通知了内部团队和受影响的零售商，目前正与执法部门以及外部顾问团队（Action Fraud和NCSC等）保持联系，对此次数据泄露事件进行全面取证调查。 发言人表示：“Swan Retail遭遇了一起犯罪网络攻击事件，严重破坏了我们的服务，影响了部分客户的业务。我们正在全天候工作，努力解决这个问题，并与执法部门保持联络。”公司表示，调查“取得了良好的进展”，但尚不能确认服务何时能够恢复正常。 这家IT服务供应商尚未公开披露遭受的网络攻击类型，但是攻击造成服务中断，影响了百货商店和园艺中心等一系列独立零售商。 2020年11月，Swan Retail被技术品牌集团ClearCourse收购，该集团提供综合性软件解决方案和综合性支付平台。 第三方支付安全问题不断 Swan Retail平台整合了多项领先的在线支付服务，其中不少服务在近年来都遇到过网络安全问题。 最近几周，其中一项名为WooCommerce的服务一直在应对相关问题。7月14日，研究人员在WordPress的WooCommerce支付插件中发现了漏洞。根据记录，尝试破坏该插件的行为已经超过一百万字。自曝光以来，漏洞在短短几天内就被用来对157000个站点发动了130万次攻击。 目前，该漏洞编号为CVE-2023-28121，严重程度评级为9.8（严重）。根据安全供应商Wordfence发布的新闻稿，该漏洞是WooCommerce支付身份验证绕过漏洞，“允许未经身份验证的攻击者冒充任意用户，以假身份执行一些操作，可能导致网站被接管。” 参考资料：https://techmonitor.ai/technology/cybersecurity/swan-retail-cyberattack   转自安全内参，原文链接:https://www.secrss.com/articles/57997 封面来源于网络，如有侵权请联系删除

近日，Cybernews研究团队发现，法国的汉堡王由于网站配置错误而向公众泄露了敏感信息。汉堡王作为美国著名的国际快餐巨头，在全球拥有超过1.9万家餐厅，收入18亿美元。 这些泄露的信息一旦落入恶意行为者手中，则会成为其对汉堡王连锁店实施网络攻击的工具。由于此次遭遇信息泄露的是求职网站，因此那些在法国汉堡王求职的人可能会受到影响。 事实上这已经不是汉堡王第一次泄露敏感数据了。据报道，早在2019年汉堡王就曾因为配置错误，导致法国分店泄露了购买汉堡王的儿童个人身份信息(PII)。 Cybernews联系了该公司，该公司称已经解决了这个问题。 可公开访问的凭证 2023 年 6 月 1 日，Cybernews 研究小组发现了一个属于汉堡王法国网站的可公开访问的环境文件（.env），其中包含各种凭证，该文件托管在用于发布招聘信息的子域上。 虽然泄露的数据本身不足以完全控制该网站，但它可以大大简化攻击者的潜在接管过程，特别是当他们还能够识别其他易受攻击的端点时。 除其他敏感数据外，该文件还包含一个数据库的凭证。虽然由于法律原因，研究人员无法检查数据库中到底存储了什么内容，但其中很可能有求职者输入的职位信息和其他个人数据。 数据库凭据的暴露是十分危险的，因为恶意行为者可以利用这些凭据连接到数据库，然后读取或修改其中存储的数据。如果威胁行为者能够发现并利用网站中的任意 PHP 代码执行漏洞，.env 中的凭据就可以更容易、更隐蔽地提取 MySQL 数据库。 研究小组观察到的另一项敏感信息包括 Google Tag Manager ID。Google 标签管理器是一种用于优化更新网站或移动应用程序上的测量代码和相关代码片段（统称为标签）的工具。Google 标签管理器 ID 指定了网站应使用的标签管理器容器。 攻击者一旦获取到这些凭据，并将其与网站上的其他漏洞点相结合，就有可能将标签 ID 更改为自己容器的 ID。然后他们就能在网站上执行任意的 JavaScript 代码。 破坏网站指标 研究人员还发现了一个 Google Analytics ID，其专门用于确定哪些流量应被记录并发送到相关的 Google Analytics 账户。 攻击者可以利用这些泄露的数据在自己控制的网站上设置 ID，然后那些自动生成的流量会使相关的 Google Analytics 账户不堪重负，从而在攻击期间对网站的性能分析造成严重破坏。     转自Freebuf，原文链接:https://www.freebuf.com/news/373866.html 封面来源于网络，如有侵权请联系删除

国外媒体披露，美国网络安全咨询师、第一个被美国联邦调查局（FBI)通缉的天才黑客凯文・米特尼克（Kevin David Mitnick）于 2023 年 7 月16 日去世，享年 60 岁。 1963 年 8 月 6 日，Mitnick 出生于美国，很小的时候就表现出在计算机方面的天分，还在上小学的 Mitnick 就用社区学校里的一台计算机计成功入侵了其它学校的网络系统，最后不得不因此退学了。退学后的 Mitnick 并没有中断学习技术，随着能力的提升， 在16 岁时又因进行社交工程破解太平洋电信公司的密码，在付费电话系统中修改上万美国家庭的电话号码，而被电脑信息跟踪机跟踪逮捕，成为了全球第一名网络少年犯。 出狱后，他又修改了不少公司的财务账单，导致又被逮捕入狱一年。 此后，Mitnick  不断“作案”，先后成功入侵了诺基亚、摩托罗拉、升阳以及富士通等公司计算机，盗取企业重要资料，FBI 曾统计他给这些公司带来的损失高达 4 亿美元。 几番经历后，Mitnick 决定金盆洗手，开始在世界各地进行有关于网络安全方面的演讲，最终成了业内享有盛名地网络安全咨询师，还出版了《反欺骗的艺术》、《反入侵的艺术》、《线上幽灵：世界头号黑客米特尼克自传》等书籍。     转自Freebuf，原文链接:https://www.freebuf.com/articles/372624.html 封面来源于网络，如有侵权请联系删除

据英国《金融时报》报道，一段时间以来，有数以万计的美国军事电子邮件被错误地发送到了西非国家马里，其原因竟然是美国军方域名与马里国家域名因过于相似导致的人为拼写错误。 据悉，美国军方的“.mil”域名与马里使用的“.ml”非常接近，导致出现拼写混淆。一位与马里政府签订协议、管理该国国家域名的荷兰互联网企业家 Johannes Zuurbier表示，他在近几个月就收到了数万封由美国军方发来的电子邮件，其中包含敏感但非机密的信息，例如密码、医疗记录和高级官员的行程，甚至是美国军事设施地图。 一封电子邮件包含美国陆军参谋长詹姆斯·麦康维尔将军及其代表团今年早些时候准备前往印度尼西亚的旅行行程 Zuurbier自2013年起就开始管理马里的国家域名，但由于与马里政府的合同到期，Zuurbier本月联系美国官员提醒称，这些信息可能会被俄罗斯利用，因为马里与该国关系甚好。 对此，美国国防部副新闻秘书萨布丽娜·辛格回应称，没有一封泄露的电子邮件是从国防部电子邮箱地址发送的，但作为预防措施，他们已阻止其电邮账户将邮件发送至域名为.ml的电邮地址。美国防部还称，正在给军方人员进行培训，以避免他们犯这种错误。 就在今年4月，美国五角大楼曾批露一起严重泄密事件，马萨诸塞州的一位空军国民警卫队成员、21 岁的杰克·特谢拉被指控在 Discord 上分享了有关俄乌战争和其他敏感国家安全话题的机密军事文件，以及在军事基地工作时秘密获得的文件。     转自Freebuf，原文链接:https://hackernews.cc/archives/44625 封面来源于网络，如有侵权请联系删除

  近日，市面上出现了一款名为SophosEncrypt的新型勒索软件，该软件与网络安全厂商Sophos同名，因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。 MalwareHunterTeam在本周一（7月17日）首次发现了这款勒索软件，起初还以为它是 Sophos 红队演习的一部分。 但很快Sophos X-Ops团队就在推特上表明，他们并没有创建该加密程序，且正在对此次事件进行调查。 Sophos X-Ops团队表示，他们早些时候在VT上发现了这个勒索软件并且一直在调查。但据初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。 此外，ID勒索软件显示了一份受害者提交的报告，表明此勒索软件目前仍处于活动状态。虽然对RaaS操作及其推广方式知之甚少，但MalwareHunterTeam还是发现了一个加密器的样本。 SophosEncrypt 勒索软件 据悉，该勒索软件的加密程序是用 Rust 编写的，并使用了 “C:\Users\Dubinin\”路径作为其原型。 在内部，该勒索软件被命名为 “sophos_encrypt”，因此被称为SophosEncrypt，检测结果已添加到ID Ransomware中。 执行时，加密程序会提示联盟成员输入一个与受害者相关的令牌，该令牌可能首先从勒索软件管理面板中获取。 输入令牌后，加密程序将连接到 179.43.154.137:21119 并验证令牌是否有效。 勒索软件专家Michael Gillespie发现可以通过禁用网卡绕过这一验证，从而有效地离线运行加密程序。输入有效令牌后，加密器会提示勒索软件联盟在加密设备时使用其他信息，包括联系人电子邮件、jabber 地址和 32 个字符的密码，Gillespie称这也是加密算法的一部分。 然后，加密器会提示联盟成员加密一个文件或加密整个设备，如下图所示。 加密器在加密前提示信息，来源：BleepingComputer BleepingComputer 在加密文件时，Gillespie告诉BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每个加密文件都会在文件名后附加输入的令牌、输入的电子邮件和sophos扩展名，格式为：.[[[]].[[[]].sophos。下面是 BleepingComputer 的加密测试示例。 被SophosEncrypt加密的文件，来源：BleepingComputer BleepingComputer 在每个文件被加密的文件夹中，勒索软件都会创建一个名为 information.hta 的赎金说明，加密完成后会自动启动。该赎金说明包含有关受害者文件遭遇情况的信息，以及关联方在加密设备前输入的联系信息。 SophosEncrypt 勒索信，来源：BleepingComputer BleepingComputer 该勒索软件还能更改 Windows 桌面壁纸，壁纸会直接显示为它所冒充的 “Sophos “品牌。 SophosEncrypt 壁纸，来源：BleepingComputer BleepingComputer 加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 网站。这个 Tor 网站不是一个谈判或数据泄漏网站，而似乎是勒索软件即服务操作的附属面板。 勒索软件面板，来源：BleepingComputer BleepingComputer Sophos研究人员对 SophosEncrypt 恶意软件进行分析后发布了一份关于新的 SophosEncrypt 勒索软件的报告。 该报告显示，该勒索软件团伙位于 179.43.154.137 的命令和控制服务器与之前攻击中使用的 Cobalt Strike C2 服务器有所关联。 此外，两个样本都包含一个硬编码 IP 地址，该地址在近一年多的时间内一直与 Cobalt Strike 命令控制和自动攻击有关，这些攻击还曾试图用加密采矿软件感染其他计算机。     转自Freebuf，原文链接:https://www.freebuf.com/news/372446.html 封面来源于网络，如有侵权请联系删除

在Linux中广泛使用的PostScript语言和PDF文件开源解释器Ghostscript被发现存在严重远程代码执行漏洞。 该漏洞被标记为CVE-2023-3664，CVSS v3评级为9.8，影响10.01.2之前的所有Ghostscript版本，10.01.2是三周前发布的最新版本。 据Kroll公司的分析师G. Glass和D. Truman称，他们针对该漏洞开发了一个概念验证（PoC）漏洞，在打开恶意特制文件时可触发代码执行。 考虑到许多Linux发行版都默认安装了Ghostscript，而且LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件也使用了Ghostscript，因此在大多数情况下，触发CVE-2023-3664的机会非常多。 Kroll还表示，如果Windows上的开源应用程序使用了Ghostscript的端口，那么该漏洞也会影响到这些应用程序。 Ghostscript漏洞 CVE-2023-3664漏洞与操作系统管道有关，管道允许不同的应用程序通过将一个应用程序的输出作为另一个应用程序的输入来交换数据。 问题源于Ghostscript中的 “gp_file_name_reduce() “函数，该函数似乎可以获取多个路径，并通过移除相对路径引用来简化路径以提高效率。 然而，如果向该漏洞函数提供特制的路径，它可能会返回意外的结果，从而导致覆盖验证机制和潜在的漏洞利用。 此外，当Ghostscript尝试打开一个文件时，它会使用另一个名为 “gp_validate_path “的函数来检查其位置是否安全。 然而，由于存在漏洞的函数会在第二个函数检查之前更改位置细节，因此攻击者很容易利用这个漏洞，迫使Ghostscript处理本应禁止的文件。 Kroll公司的分析人员创建了一个PoC，只要在任何使用Ghostscript的应用程序上打开EPS（嵌入式Postscript）文件，就会触发该PoC。 因此，如果你是Linux用户，建议升级到最新版本的Ghostscript 10.01.2。 如果你是在Windows上使用Ghostscript端口的开源软件，则需要更多时间来升级到最新版本。因此，建议在Windows中安装时格外小心。     转自Freebuf，原文链接:https://www.freebuf.com/news/371927.html 封面来源于网络，如有侵权请联系删除