HackerNews 编译，转载请注明出处： 英国生鲜物流企业Peter Green Chilled近期遭遇勒索软件攻击，部分系统遭加密。该公司为乐购（Tesco）、奥乐齐（Aldi）等零售巨头提供冷链运输服务，此次事件距离玛莎百货（Marks & Spencer）重大网络攻击尚不足一月。BBC报道称，攻击者于周三加密企业数据并扰乱运营，公司内部邮件证实正在处理勒索软件事件。 网络安全研究员Aras Nazarovas指出，此类攻击可使物流企业陷入服务瘫痪，导致合作超市特定商品短期缺货。ISACA全球战略官Chris Dimitriadis强调，网络罪犯正将目标转向供应链环节——配送中断、库存损耗与财务损失将引发连锁反应。 近期英国零售业频现安全危机，除玛莎百货外，哈罗德百货（Harrods）、合作社集团（Co-op）相继遭入侵。据路透社数据，玛莎百货因攻击已损失超6000万英镑（约8000万美元）利润，市值蒸发逾10亿英镑。调查显示，攻击者通过第三方服务商塔塔咨询（TCS）两名员工的凭证侵入系统，黑客组织Scattered Spider被怀疑参与作案。该团伙以钓鱼技术著称，2023年曾伪装IT支持人员攻陷拉斯维加斯美高梅度假村与凯撒娱乐集团。 尽管Scattered Spider作案手法老练，执法机构已展开全球缉捕。2023年，涉嫌参与美高梅攻击的22岁英国公民Tyler Robert Buchanan在西班牙落网。同年11月，美国起诉包括Ahmed Hossam Eldin Elbadawy在内的五名该组织成员。安全专家警示，供应链环节的数字化依赖度攀升，物流企业需强化第三方供应商的凭证管理及零信任架构部署。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者至少持续八个月分发被植入木马的KeePass密码管理器版本，用于安装Cobalt Strike信标、窃取凭证并最终在攻陷网络中部署勒索软件。 WithSecure威胁情报团队在调查某次勒索攻击时发现了该活动。研究人员发现，攻击始于通过Bing广告推广的虚假软件网站传播恶意KeePass安装程序。 由于KeePass是开源软件，攻击者通过修改源代码构建了名为KeeLoader的木马版本。该版本保留了密码管理器的全部正常功能，但被植入了安装Cobalt Strike信标的代码，并将KeePass密码数据库以明文形式导出，随后通过信标实施窃取。 WithSecure指出，本次活动中使用的Cobalt Strike水印与某初始访问代理（IAB）存在关联，该代理疑似曾参与Black Basta勒索软件攻击。Cobalt Strike水印是嵌入信标的唯一标识符，与生成载荷时使用的许可证绑定。 “这种水印常见于涉及Black Basta勒索软件的信标和域名。很可能是由与Black Basta密切合作的初始访问代理使用，”WithSecure解释道，“我们尚未发现其他使用此Cobalt Strike信标水印的事件（无论是勒索软件还是其他类型），但这不意味着此类事件不存在。” 研究人员发现多个KeeLoader变种已通过合法证书签名，并借助keeppaswrd[.]com、keegass[.]com和KeePass[.]me等仿冒域名传播。BleepingComputer证实，keeppaswrd[.]com网站仍在运营，持续分发带毒安装程序（VirusTotal检测记录）。 除部署Cobalt Strike信标外，木马化KeePass程序还包含密码窃取功能，可窃取用户输入的所有凭证。WithSecure报告指出：“KeeLoader不仅被改造为恶意软件加载器，其功能还被扩展以实现密码数据库窃取。当KeePass数据库被打开时，账户、登录名、密码、网站及备注信息会以CSV格式导出至%localappdata%目录，文件名采用100-999之间的随机整数值。” 在WithSecure调查的案例中，攻击最终导致该公司的VMware ESXi服务器遭勒索软件加密。进一步调查发现，攻击者构建了庞大基础设施用于分发伪装成合法工具的恶意程序，以及用于窃取凭证的钓鱼页面。 aenys[.]com域名被用于托管多个仿冒知名企业的子域名，包括WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank和DEX Screener。这些子域名分别用于分发不同恶意软件变种或实施凭证窃取。 WithSecure以中等置信度将该活动归因于UNC4696组织，该团伙此前与Nitrogen Loader攻击活动存在关联。早期的Nitrogen活动涉及BlackCat/ALPHV勒索软件。 安全专家建议用户始终从官方网站下载软件（尤其是密码管理器等高敏感度工具），并避免点击广告中的链接。即使广告显示的是软件服务的正确URL，也应保持警惕——攻击者已多次证明其有能力绕过广告政策，在显示真实URL的同时将用户导向仿冒网站。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙成员越来越多地使用名为Skitnet（又名“Bossnet”）的新型恶意软件，在已入侵的网络中实施隐蔽的入侵后活动。 该恶意软件自2024年4月起在RAMP等地下论坛出售，但网络安全公司Prodaft的研究人员称，其真正在勒索团伙中流行始于2025年初。Prodaft向BleepingComputer证实，已观察到BlackBasta、Cactus等多个勒索组织在真实攻击中部署Skitnet，例如BlackBasta曾利用该工具通过微软Teams钓鱼攻击渗透企业网络。 Skitnet感染始于在目标系统上投放并执行的Rust语言编写的加载器，该加载器会解密经过ChaCha20算法加密的Nim语言二进制文件，并将其加载至内存运行。Nim模块随后建立基于DNS的反向Shell连接（通过随机生成DNS查询发起），与C2服务器通信。恶意软件启动三个独立线程： 发送心跳DNS请求的线程 监控并外传Shell输出的线程 监听并解密DNS响应指令的线程 通过Skitnet的C2控制面板，攻击者可查看目标IP地址、地理位置和设备状态，并通过HTTP或DNS协议发送执行指令。支持的核心命令包括： startup：通过下载三个文件（含恶意DLL）并在启动文件夹创建指向华硕合法程序ISP.exe的快捷方式实现持久化，触发DLL劫持执行PowerShell脚本pas.ps1维持C2通信。 Screen：使用PowerShell截取桌面截图，上传至Imgur图床后向C2发送图片链接。 Anydesk：静默安装AnyDesk远程工具并隐藏窗口和通知托盘图标。 Rutserv：静默安装另一款合法远程工具RUT-Serv。 Shell：启动PowerShell命令循环，每5秒轮询服务器获取新指令并通过Invoke-Expression执行。 Av：通过查询WMI（SELECT * FROM AntiVirusProduct in root\SecurityCenter2）枚举已安装杀毒软件信息并回传。 除基础指令外，攻击者还可利用.NET加载器在内存中执行PowerShell脚本，实现更深度的攻击定制。尽管勒索组织常使用低杀毒检出率的定制化工具，但这些工具开发成本高昂且需要稀缺的技术人才（尤其对中小型团伙而言）。使用Skitnet这类现成恶意软件成本更低、部署更快，且多团伙共用可增加溯源难度。Prodaft已在GitHub公开该恶意软件的入侵指标（IoCs）。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Darktrace的新数据显示，针对医疗行业的网络攻击强度在2024年“显著上升”，该领域遭受的安全事件数量超过其他关键行业。该公司透露，去年共处理了45起影响医疗机构的网络安全事件，高于金融行业（37起）、能源行业（22起）、保险行业（14起）和电信行业（12起）。 医疗行业成为重点攻击目标的关键因素在于其高价值属性。Darktrace指出，全球范围内医疗数据泄露造成的损失高于任何其他行业，在2020年至2024年间平均达到1000万美元。Darktrace首席网络分析师Nicole Wong表示：“医疗成为最受攻击的行业之一符合我们长期观察的趋势，但2024年的攻击强度明显加剧。医院和医疗服务机构存储着大量患者个人敏感数据，这使它们成为数据泄露、勒索软件和其他网络攻击的主要目标。” 她还补充道：“患者信息的敏感性加上关键服务可能中断的风险，构成了攻击者的高价值目标。此外，医疗作为国家关键基础设施的重要性，使其特别吸引基于国家利益的政治动机威胁行为者。” 关于攻击者如何入侵医疗系统，新报告强调钓鱼攻击（32%）和边缘基础设施漏洞利用（36%）合计占医疗系统入侵事件的三分之二以上，其余包括暴露端口、配置错误和淘汰设备漏洞利用。Wong表示这与其他行业的攻击模式类似。 值得注意的是，75%的医疗网络入侵事件仅限于企业邮箱或云账户入侵，并未升级为勒索软件或数据窃取。报告指出：“这反映出APT组织典型的多阶段攻击模式，意味着针对医疗行业的威胁行为者整体能力有所提升，安全团队需做好应对准备。” 研究人员观察到钓鱼攻击对医疗行业的针对性增强。例如，三分之一的攻击针对VIP用户，表明威胁行为者正重点关注拥有更高访问权限或决策权的个体。此外，Darktrace发现2024年“相当比例”的钓鱼邮件要么冒充供应商，要么来自已被入侵的供应商账户。Darktrace高级网络分析师Nahisha Nobregas表示：“这种演变令人担忧，因为它利用了医疗机构与供应商之间的信任关系，由于通信看似来自合法商业伙伴，检测难度显著增加。” 在漏洞利用方面，Darktrace事件数据显示攻击者频繁利用Citrix、思科、Fortinet和Ivanti等厂商的边缘基础设施设备漏洞。受影响的医疗机构类型从设备供应商到非重症护理机构均有涉及。 研究人员警告称，医疗机构的攻击面正在扩大，为威胁行为者创造了更多机会。这包括云服务使用增加导致的SaaS覆盖范围扩大、更多第三方设备和服务的整合，以及医疗物联网（IoMT）设备的增长。Darktrace举例称，曾检测到一台感染PurpleFox rootkit和DirtyMoe恶意软件的数字成像设备，表明专用医疗设备已成为另一个易受攻击的操作系统载体。在此案例中，攻击者似乎无意窃取受保护的健康信息，而是试图将该设备作为渗透网络的跳板。 Darktrace高级网络分析师Patrick Anjos警告：“这一发现凸显了防御者需要像监控IT基础设施中的其他设备一样持续监控临床设备。必须将安全监控范围从传统IT系统扩展到专用医疗设备。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 加密货币交易所Coinbase（用户超1亿）披露称，与恶意客服人员勾结的网络犯罪团伙窃取了客户数据，并索要2000万美元赎金以阻止公开泄露信息。该公司表示拒绝支付赎金，但将设立2000万美元悬赏基金用于征集攻击者线索。 此次披露源于攻击者在5月11日向Coinbase发送的勒索邮件，其威胁若未收到2000万美元将公开部分客户账户数据及内部文件。据调查，攻击者通过收买海外客服承包商或支持人员非法访问内部系统窃取数据。Coinbase在发现这些内部人员未经授权访问系统后将其解雇，但此时数据已遭窃取。 尽管攻击者窃取了约1%客户（约100万人）的个人身份信息组合，但未能获取用户私钥、密码，也未侵入Coinbase Prime账户以及客户或交易所的热钱包/冷钱包。根据提交给美国证券交易委员会（SEC）的文件，泄露数据包括： 姓名、地址、电话及邮箱； 部分隐藏的社会保险号（仅显示末四位）； 部分隐藏的银行账号及账户标识符； 政府身份证件图像（如驾照、护照）； 账户数据（余额快照与交易记录）； 有限的企业数据（客服可访问的文档、培训材料及通信记录）。 “网络犯罪分子贿赂并招募海外恶意客服人员窃取数据，以实施社会工程攻击。这些内鬼滥用客服系统权限窃取了少量客户账户数据。”Coinbase在周四的博客声明中表示，“所有密码、私钥及资金均未泄露，Coinbase Prime账户未受影响。我们将赔偿因受骗向攻击者转账的客户。” 尽管财务影响仍在评估中，且Coinbase未透露受后续社会工程攻击影响的客户数量，但公司预计事件相关补救及赔偿费用将达1.8亿至4亿美元。为此，Coinbase将在美国新建客服中心，加强内部威胁检测、安全威胁模拟及自动化响应投入，并赔偿因社会工程攻击受骗转账的客户。 Coinbase建议客户警惕冒充其员工的诈骗行为，强调绝不会通过电话索要账户信息或要求转账。用户应启用双因素认证及提款白名单功能以确保交易安全。Coinbase表示：“对于受影响客户，我们对此事件造成的担忧与不便深表歉意。我们将持续解决问题并投资世界级防御体系——这正是我们保护客户、维护加密经济安全的承诺。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报团队首席分析师John Hultquist向BleepingComputer透露，使用“Scattered Spider”攻击手法的黑客组织在针对英国零售业后，已将矛头转向美国零售企业。该组织被追踪为UNC3944，涉嫌实施勒索软件攻击与数据勒索双重威胁。 英国零售巨头玛莎百货（Marks & Spencer）此前遭遇勒索攻击，攻击者使用DragonForce加密器对VMware ESXi主机上的虚拟机进行加密。微软将该攻击归因于Octo Tempest（即Scattered Spider）。连锁超市Co-op确认攻击者窃取了大量现会员及前会员数据，哈罗德百货（Harrods）则于5月1日因网络渗透尝试被迫限制网站访问权限，疑似主动阻断攻击。 DragonForce勒索组织宣称对上述三起事件负责。BleepingComputer获悉，攻击者使用了与Scattered Spider关联的社会工程学策略。该勒索组织于2023年12月首次出现，近期推出“白标服务”供其他犯罪团伙定制化使用。 自Scattered Spider于4月开始攻击英国零售商以来，英国国家网络安全中心（NCSC）已发布防御指南，并警告这些攻击应被视为“警钟”。NCSC表示尚未确认攻击是否由单一组织发起，目前正与受害者及执法部门联合调查。 Scattered Spider（别名0ktapus、UNC3944、Scatter Swine）指代一个流动性威胁团伙，以社会工程学攻击闻名，擅长钓鱼攻击、SIM卡劫持、MFA轰炸（定向疲劳攻击）等手法。2023年9月，该组织入侵美高梅度假村，通过冒充员工致电IT部门获取权限，利用BlackCat勒索软件加密超100台VMware ESXi虚拟机。 该组织还曾作为RansomHub、Qilin及DragonForce等勒索软件的附属团伙活动，受害者包括Twilio、Coinbase、DoorDash、凯撒娱乐、MailChimp、拳头游戏及Reddit。部分成员据信隶属于“Com”社群——该松散团体因实施网络攻击与暴力行为备受关注。 这些网络罪犯年龄最小仅16岁，多为英语使用者，活跃于Telegram频道、Discord服务器及黑客论坛，实时策划攻击行动。尽管媒体与安全研究者常将“Scattered Spider”描述为统一团伙，但其实际是由采用特定战术的松散成员构成，追踪难度较高。 Hultquist指出：“这些攻击者攻击性强、手法创新，尤其擅长突破成熟安全体系。他们在社会工程学及第三方入侵方面屡获成功。”美国零售企业需警惕近期威胁升级。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司ReliaQuest今日发布最新报告称，至少有两个网络犯罪团伙BianLian和RansomExx正在利用SAP NetWeaver近期披露的安全漏洞，表明多组威胁分子正在争相利用该漏洞。 ReliaQuest表示发现了BianLian数据勒索团伙和RansomExx勒索软件家族（微软追踪代号Storm-2460）的活动痕迹。通过基础设施关联，研究人员确认BianLian至少参与了一起攻击事件，其服务器184[.]174[.]96[.]74运行的rs64.exe程序负责反向代理服务，该IP与同一托管商运营的184[.]174[.]96[.]70存在关联，后者曾被标记为BianLian的命令控制（C2）服务器，两者共享相同的证书与端口配置。 研究人员还观察到名为PipeMagic的插件式木马被部署，该恶意软件近期通过Windows通用日志文件系统（CLFS）权限提升漏洞（CVE-2025-29824）的零日攻击，针对美国、委内瑞拉、西班牙和沙特阿拉伯实体发起定向攻击。攻击者通过利用SAP NetWeaver漏洞植入WebShell后投放PipeMagic木马。 “尽管首次攻击尝试失败，但后续攻击通过内联MSBuild任务执行部署了Brute Ratel C2框架，”ReliaQuest指出，“在此过程中生成的dllhost.exe进程表明攻击者试图再次利用CLFS漏洞（CVE-2025-29824），此次通过内联汇编技术发起新攻击。” SAP安全公司Onapsis补充称，自2025年3月以来，威胁分子同时利用CVE-2025-31324漏洞及同组件的反序列化漏洞（CVE-2025-42999）实施攻击，新补丁已修复CVE-2025-31324的根本原因。 ReliaQuest在声明中强调：“只要CVE-2025-31324仍可被利用，其与CVE-2025-42999的实际危害差异微乎其微。尽管CVE-2025-42999需要更高权限，但CVE-2025-31324本身已能获取完整系统权限。攻击者无论通过认证或非认证用户均能同样利用这两个漏洞，因此两者的修复建议完全一致。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 玛莎百货（M&S）在5月13日证实，攻击者在今年4月针对该公司发起的勒索软件攻击中窃取了客户数据。该事件发生时，客户报告称电子支付系统出现故障，影响信用卡支付、礼品卡使用及Click and Collect服务。 该公司于4月通过伦敦证券交易所发布声明称：“玛莎百货集团（以下简称公司或M&S）过去数日持续处理网络安全事件。发现事件后，我们立即对门店运营做出临时性调整以保护客户与业务，对造成的不便深表歉意。需强调的是，所有门店正常营业，网站与应用程序运行未受影响。” “公司已聘请外部网络安全专家协助事件调查与处置。”玛莎百货立即向数据保护监管机构及英国国家网络安全中心报告了该事件，但未透露攻击技术细节。 作为总部位于伦敦的英国跨国零售巨头（创立于1884年，主营服装、家居及食品业务），玛莎百货在伦敦证券交易所上市且为富时100指数成分股。该公司在英国及部分国际市场拥有大量实体店与线上服务，是英国家喻户晓的传统优质品牌。 勒索软件组织DragonForce声称对玛莎百货及英国合作社集团（Co-op）实施攻击，并向BBC透露曾试图入侵哈罗德百货（Harrods）。据BleepingComputer报道，DragonForce附属组织使用Scattered Spider社会工程手段攻击玛莎百货，加密了该公司使用的VMware ESXi虚拟机。 本周玛莎百货在官网更新的声明确认数据泄露：“为主动应对事件，我们立即采取系统防护措施并引入顶尖网络安全团队。事件已上报政府部门和执法机构，目前保持密切合作。” “由于攻击性质特殊，部分客户个人数据被窃取，但无证据表明数据被共享。受影响信息可能包括联系方式、出生日期、线上订单记录等，但关键支付信息与账户密码未泄露。”具体而言，失窃数据涵盖： 联系方式（姓名、邮箱、地址、电话号码） 出生日期 线上购物历史 家庭信息 用于在线支付的脱敏支付卡信息（仅显示首尾四位数字） M&S信用卡或Sparks Pay会员的客户参考编号（非实际卡号） 玛莎百货强调：“为明确起见，公司系统不存储完整支付卡信息，因此声明中使用‘脱敏’表述。目前无证据表明数据外泄包含可用支付信息或密码，但客户下次登录时需强制重置密码。” 该公司建议客户：警惕可疑邮件/短信（玛莎绝不会索要账户信息）；为每个账户设置独立高强度密码；保持设备安全补丁更新；可访问英国国家网络安全中心官网获取数据泄露防护指南。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit勒索软件组织遭黑客入侵，其暗网后台基础设施数据被窃取并泄露。攻击者攻陷了该团伙的暗网泄密网站并篡改页面，发布警示信息及后台联盟面板MySQL数据库转储链接。 篡改后的页面显示“别犯罪，犯罪是坏事 xoxo来自布拉格”，并附有可下载“paneldb_dump.zip”的链接。该数据库包含20个核心表，涉及以下关键信息： 59,975个比特币地址：用于收取赎金的钱包清单 4,442条谈判记录：2024年12月19日至2025年4月29日期间，LockBit运营者与受害者之间的勒索对话 构建配置数据：包含目标公司名称、应规避加密的文件类型等攻击参数 75名成员信息：管理员及分支机构账户的明文密码（例如“Weekendlover69”等） LockBit头目“LockBitSupp”通过私聊承认入侵属实，但声称私钥和核心数据未泄露。安全研究人员发现，数据库中的构建配置表关联了特定受害者的公钥与私钥对，这为开发通用解密工具提供了可能。意大利网络安全专家Emanuele De Lucia分析指出，勒索金额根据目标估值动态调整，初始索要金额跨度从5万至150万美元不等，受害者顶级域名涉及埃塞俄比亚(.et)、日本(.jp)、巴西(.br)等国家地区。 此次攻击暴露了LockBit运营体系的脆弱性： 分支机构活跃度低下：44个生成加密器的账户中仅30个处于活跃状态，反映该组织实际攻击能力缩水 基础设施漏洞：与近期Everest勒索软件组织遭入侵事件类似，攻击者可能利用PHP 8.1.2的远程代码执行漏洞(CVE-2024-4577)实施入侵 内部安防缺失：明文存储密码、未隔离核心数据库等低级错误，凸显犯罪组织的运维缺陷 安全界认为这是继2024年2月国际执法机构“Cronos行动”后，对LockBit的又一次重创。泄露数据为追踪资金流向、归因攻击事件提供了关键线索，或将加速该犯罪集团的瓦解。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 端点检测与响应（EDR）解决方案已成为多数组织的标准网络安全产品，但它们并非无懈可击。5月5日，怡安集团旗下Stroz Friedberg事件响应服务研究人员发布报告，披露攻击者利用一种新型技术成功绕过头部EDR产品SentinelOne的防护。该技术名为“自带安装程序”（Bring Your Own Installer），通过利用SentinelOne代理程序升级/降级流程中的漏洞，绕过防篡改功能，导致终端失去保护。 Stroz Friedberg研究人员观察到攻击者使用该技术获取本地管理员权限，绕过EDR防护并执行Babuk勒索软件变种。SentinelOne已针对该报告向客户提供缓解措施。“截至报告发布时，怡安集团Stroz Friedberg尚未发现任何EDR厂商（包括SentinelOne）在正确配置产品的情况下受到此攻击影响。”研究人员在报告中指出。 与其他EDR产品类似，SentinelOne的EDR具备防篡改功能，旨在阻止未授权用户禁用防护措施及恶意软件终止EDR进程。该功能需要管理员在管理控制台执行操作或使用唯一代码才能解除防护。然而，Stroz Friedberg研究人员发现攻击者通过利用公开服务器应用的漏洞，获取了运行SentinelOne EDR主机的本地管理员权限。 在系统取证分析中，研究人员发现多项EDR绕过迹象，包括：多个合法签名的SentinelOne安装程序文件（如SentinelOneInstaller_windows_64bit_v23_4_4_223.exe和SentinelInstaller_windows_64bit_v23_4_6_347.msi）的创建记录；与产品版本变更相关的额外事件日志（包括计划任务变更、服务停止/启动事件、本地防火墙配置变更等）。 基于这些发现，Stroz Friedberg研究人员通过实验复现了SentinelOne EDR软件的潜在漏洞。他们在安装23.4.6.223版本SentinelOne EDR的Windows 2022 Server虚拟机上，使用MSI安装程序启动代理程序升级/降级流程。升级/降级过程会在生成新版本进程前约55秒终止所有现有进程，形成短暂的无防护窗口期。研究人员利用本地管理员权限执行taskkill命令终止与升级相关的msiexec.exe进程，最终导致系统失去SentinelOne防护，并在管理控制台显示为离线状态。 针对该发现，SentinelOne迅速向客户发布缓解指南，包括：启用默认开启的本地代理密码功能防止未授权卸载；使用本地升级授权功能确保通过控制台认证升级流程。报告发布后，SentinelOne已对所有新客户默认开启本地更新授权功能，并协助研究人员将攻击模式私下披露给其他EDR厂商。部分被联系厂商未对此攻击模式披露作出回应。     消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文