HackerNews 编译，转载请注明出处： 与俄罗斯有关联的威胁组织 Gamaredon（又名 Shuckworm）被指对乌克兰境内的一个外国军事任务发动了网络攻击，目的是投放一种名为 GammaSteel 的已知恶意软件的更新版本。 据赛门铁克威胁猎手团队称，该组织针对一个西方国家的军事任务，首次检测到恶意活动的迹象是在 2025 年 2 月 26 日。 赛门铁克在其报告中表示：“攻击者使用的初始感染向量似乎是一个被感染的可移动驱动器。” 攻击从在 Windows 注册表的 UserAssist 键下创建一个值开始，随后通过 “explorer.exe” 启动 “mshta.exe”，以启动一个多阶段感染链并运行两个文件。 第一个文件名为 “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”，用于与命令与控制（C2）服务器建立通信。该服务器通过访问与合法服务（如 Teletype、Telegram 和 Telegraph 等）相关的特定 URL 来获取。 第二个文件名为 “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”，设计用于通过创建每个文件夹的快捷方式文件来感染任何可移动驱动器和网络驱动器，以执行恶意的 “mshta.exe” 命令并隐藏它。 随后在 2025 年 3 月 1 日，脚本被执行以联系 C2 服务器，窃取系统元数据，并接收一个 Base64 编码的负载，该负载随后用于运行一个设计用于下载混淆后的新版本脚本的 PowerShell 命令。 该脚本连接到一个硬编码的 C2 服务器以获取另外两个 PowerShell 脚本。第一个脚本是一个侦察工具，能够截取屏幕截图、运行 systeminfo 命令、获取主机上运行的安全软件的详细信息、枚举桌面中的文件和文件夹，并列出正在运行的进程。 第二个 PowerShell 脚本是 GammaSteel 的改进版本，这是一种已知的信息窃取工具，能够根据桌面和文档文件夹中的扩展名白名单从受害者的设备中窃取文件。 “这次攻击标志着 Shuckworm 在复杂性上有所提升，尽管它看起来比其他俄罗斯组织的技术能力稍逊一筹，但它通过不懈地专注于乌克兰的目标来弥补这一点，”赛门铁克表示。 “尽管该组织似乎没有像一些其他俄罗斯组织那样的技术能力，但 Shuckworm 现在似乎正在通过不断对其使用的代码进行小幅度修改、添加混淆以及利用合法的网络服务来尝试降低被发现的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者继续向npm注册表上传恶意包，以篡改已安装的合法库的本地版本并执行恶意代码，这被视为一种更隐蔽的软件供应链攻击手段。 最新发现的名为pdf-to-office的包伪装成一个将PDF文件转换为Microsoft Word文档的工具。但实际上，它包含可以向与Atomic Wallet和Exodus相关的加密货币钱包软件注入恶意代码的功能。 “实际上，受害者试图将加密货币发送到另一个加密货币钱包时，原本的钱包目标地址会被替换为恶意行为者拥有的地址，”ReversingLabs研究员Lucija Valentić在与The Hacker News分享的一份报告中表示。 该npm包于2025年3月24日首次发布，此后已更新三次，但之前的版本可能已被作者自己删除。最新版本1.1.2于4月8日上传，目前仍可供下载。该包迄今已被下载334次。 这一披露仅在软件供应链安全公司发现两个名为ethers-provider2和ethers-providerz的npm包几周后。这些包被设计为感染本地安装的包，并通过SSH连接到威胁行为者的服务器建立反向shell。 这种攻击方式对威胁行为者来说是一个有吸引力的选择，因为它允许恶意软件在恶意包被移除后仍然存在于开发者的系统中。 对pdf-to-office的分析显示，嵌入在包中的恶意代码会检查Windows计算机的“AppData/Local/Programs”文件夹中是否存在“atomic/resources/app.asar”存档，以确定是否安装了Atomic Wallet。如果是，则引入剪贴板功能。 “如果该存档存在，恶意代码会用一个新的特洛伊木马版本覆盖其中一个文件，该文件与合法文件具有相同的功能，但将发送资金的外部加密货币地址替换为威胁行为者拥有的Base64编码的Web3钱包地址，”Valentić表示。 同样地，该有效载荷还设计为特洛伊木马化与Exodus钱包相关的文件“src/app/ui/index.js”。 但有趣的是，这些攻击针对的是Atomic Wallet（2.91.5和2.90.6）和Exodus（25.13.3和25.9.2）的两个特定版本，以确保覆盖正确的JavaScript文件。 “如果pdf-to-office包碰巧从计算机中移除，Web3钱包的软件仍会保持受损状态，并继续将加密货币资金转移到攻击者的钱包，”Valentić表示。“要完全从Web3钱包的软件中移除恶意特洛伊木马文件，唯一的方法是从计算机中完全移除它们并重新安装。” 这一披露正值ExtensionTotal详细描述了10个恶意Visual Studio Code扩展，这些扩展会偷偷下载一个禁用Windows安全的PowerShell脚本，通过计划任务建立持久性，并安装一个XMRig加密货币矿工。 这些扩展在被移除之前总共被安装了超过一百万次。以下是扩展的名称： Prettier — VSCode的代码（由prettier提供） VS Code的Discord Rich Presence（由Mark H提供） Rojo — Roblox Studio同步（由evaera提供） Solidity编译器（由VSCode Developer提供） Claude AI（由Mark H提供） Golang编译器（由Mark H提供） VSCode的ChatGPT代理（由Mark H提供） HTML混淆器（由Mark H提供） VSCode的Python混淆器（由Mark H提供） VSCode的Rust编译器（由Mark H提供） “攻击者创建了一个复杂的多阶段攻击，甚至安装了他们模仿的合法扩展，以避免在后台挖掘加密货币时引起怀疑，”ExtensionTotal表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文终于在发给客户的电子邮件通知中确认，一名黑客窃取并泄露了从其描述为“两台过时服务器”中盗取的凭据。 然而，该公司补充说，其甲骨文云服务器并未被攻破，此次事件未影响客户数据和云服务。 “甲骨文希望明确声明，甲骨文云——也称为甲骨文云基础设施或 OCI——并未发生安全漏洞，”甲骨文在与 BleepingComputer 共享的客户通知中表示。 “没有 OCI 客户环境被攻破。没有 OCI 客户数据被查看或窃取。没有任何 OCI 服务被中断或以任何方式受到损害，”甲骨文在从 replies@oracle-mail.com 发送的电子邮件中补充道，敦促客户如有其他问题联系甲骨文支持或其账户经理。 “一名黑客确实访问并发布了从未属于 OCI 的两台过时服务器中的用户名。由于这两台服务器上的密码要么被加密，要么被哈希处理，因此黑客并未暴露可用的密码。因此，黑客无法访问任何客户环境或客户数据。” 自今年 3 月事件曝光以来，当时一名威胁者（rose87168）在 BreachForums 上出售 600 万条数据记录，甲骨文在与媒体分享的声明中一直否认有关甲骨文云漏洞的报道。尽管这确实与甲骨文告诉客户的内容相符——即漏洞影响的是旧平台甲骨文云经典版——但网络安全专家凯文·博蒙特表示，这只是文字游戏。 “甲骨文将旧的甲骨文云服务重新命名为甲骨文经典版。甲骨文经典版发生了安全事件，”博蒙特说。“甲骨文通过这种范围界定否认‘甲骨文云’被入侵——但仍是甲骨文管理的甲骨文云服务。这就是文字游戏的一部分。” BleepingComputer 已联系甲骨文确认这些通知的真实性，并非由威胁者或其他第三方发送，但尚未收到回复。甲骨文也尚未澄清被攻破的服务器是否属于甲骨文云经典版或其他平台。 据称从甲骨文云窃取的数据正在出售 资料来源：BleepingComputer 此前一周，该公司在与部分客户的私下通话中承认，攻击者在攻破 2017 年最后一次使用的“遗留环境”后窃取了旧的客户凭据。 然而，尽管甲骨文告诉客户这是非敏感的旧遗留数据，但漏洞背后的威胁者与 BleepingComputer 分享了 2024 年末的数据，并在 BreachForums 上发布了 2025 年的新记录。 BleepingComputer 还与多名甲骨文客户单独确认，从威胁者那里收到的泄露数据样本（包括关联的 LDAP 显示名称、电子邮件地址、名字和其他识别信息）是有效的，此前甲骨文曾告诉 BleepingComputer，“甲骨文云未发生任何漏洞。发布的凭据不属于甲骨文云。没有甲骨文云客户遭受漏洞或丢失任何数据。” 网络安全公司 CybelAngel 上周首次透露，甲骨文告诉客户，攻击者早在 2025 年 1 月就在甲骨文的部分 Gen 1（也称为甲骨文云经典版）服务器上部署了 Web Shell 和其他恶意软件。据称，直到 2 月下旬漏洞被发现之前，威胁者从甲骨文身份管理器（IDM）数据库中窃取了数据，包括用户电子邮件、哈希密码和用户名。 上个月，BleepingComputer 首次报道，甲骨文私下通知客户，甲骨文健康（一家之前称为 Cerner 的软件即服务（SaaS）公司）在 1 月发生了另一起漏洞，影响了美国多家医疗机构和医院的患者数据。 消息人士告诉 BleepingComputer，一名名为“Andrew”的威胁者——尚未声称与任何勒索或勒索软件操作有关——现在正在勒索被攻破的医院，要求以加密货币支付数百万美元，以不出售或泄露被盗数据。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，一种新型Mirai僵尸网络引发了针对TVT NVMS9000数字视频录像机（DVR）的大规模漏洞利用激增。该攻击潮在2025年4月3日达到高峰，当天共检测到超过2500个独立IP地址在扫描易受攻击的设备。 攻击者利用的是一个信息泄露漏洞，该漏洞最早由SSD Advisory于2024年5月披露，详细公开了通过单一TCP数据包获取管理员明文凭证的完整利用方法。该漏洞可绕过认证机制，使攻击者无需权限即可执行设备上的管理命令。 根据威胁监测平台GreyNoise的监测结果，这一波攻击极可能与基于Mirai的恶意软件有关，其目的是将受感染设备纳入其僵尸网络中。这些被感染的设备通常会被用来代理恶意流量、进行加密货币挖矿，或发起分布式拒绝服务（DDoS）攻击。 在过去一个月内，GreyNoise记录了6600个与该活动相关的独立IP地址，全部被确认为恶意且无法伪造。其中，大多数攻击来源于台湾地区、日本和韩国，而受攻击的设备则主要集中在美国、英国和德国。 TVT NVMS9000是由中国深圳的TVT数字技术有限公司生产的一款数字视频录像机，主要用于安防监控系统中对视频画面进行录制、存储和管理。由于这些DVR设备通常联网使用，因此历来是各种僵尸网络攻击的重点目标，有些漏洞甚至已存在长达五年之久。 近期曾攻击DVR设备的其他僵尸网络还包括HiatusRAT、Mirai和FreakOut。根据SSD发布的建议，用户应尽快将固件升级至1.3.4版本或更高版本以修复漏洞。如无法升级，建议限制DVR设备的公网访问权限，并屏蔽GreyNoise列出的恶意IP地址的入站请求。 感染Mirai僵尸网络的DVR设备通常会表现出异常网络流量激增、运行缓慢、频繁死机或重启、空闲时CPU或内存占用高以及配置被篡改等迹象。如发现上述情况，应立即断开设备连接，执行出厂重置，更新至最新固件，并将其与主网络隔离。 值得注意的是，NVMS9000的最新固件发布时间为2018年，目前尚不清楚该系列设备是否仍在厂商支持范围内。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）揭示了一组针对乌克兰机构的新网络攻击，这些攻击使用信息窃取恶意软件。 该机构表示，这些活动针对军事单位、执法机构以及地方自治机构，尤其是那些位于乌克兰东部边境附近的机构。 这些攻击涉及分发包含启用宏的 Microsoft Excel 电子表格（XLSM）的网络钓鱼电子邮件，当打开时，会部署两种恶意软件：一种是从 PSSW100AVB（“100% 绕过杀毒软件的 PowerShell 脚本”）GitHub 仓库中获取的 PowerShell 脚本，用于开启反向 shell，以及一个以前未被记录的窃密程序，名为 GIFTEDCROOK。 “文件名和电子邮件主题行涉及诸如排雷、行政罚款、无人机生产以及被毁财产赔偿等敏感问题，”CERT-UA 表示。 “这些电子表格包含恶意代码，当用户打开文档并启用宏时，会自动转变为恶意软件并在用户不知情的情况下执行。” GIFTEDCROOK 用 C/C++ 编写，可从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等网络浏览器中窃取敏感数据，如 cookie、浏览历史和认证数据。 这些电子邮件消息是从被攻陷的账户发送的，通常是通过电子邮件客户端的 Web 界面发送，以使消息看起来具有合法性，并诱使潜在受害者打开文档。CERT-UA 将此活动归因于威胁群组 UAC-0226，尽管它尚未与特定国家相关联。 这一进展正值一个疑似与俄罗斯有关联的间谍活动者 UNC5837 被与 2024 年 10 月针对欧洲政府和军事组织的网络钓鱼活动相关联。 “该活动使用了签名的 .RDP 文件附件，以从受害者的机器建立远程桌面协议（RDP）连接，”Google 威胁情报小组（GTIG）表示。 “与通常关注交互会话的 RDP 攻击不同，此次攻击创造性地利用了资源重定向（将受害者文件系统映射到攻击者服务器）和 RemoteApps（向受害者呈现攻击者控制的应用程序）。” 值得注意的是，RDP 活动之前已在 2024 年 10 月由 CERT-UA、亚马逊网络服务和微软记录，并在 12 月由 Trend Micro 记录。CERT-UA 正在追踪名为 UAC-0215 的活动，而其他公司则将其归因于俄罗斯国家赞助的黑客组织 APT29。 此次攻击还值得注意，因为它可能使用了一个名为 PyRDP 的开源工具来自动化恶意活动，如文件外泄和剪贴板捕获，包括可能敏感的数据如密码。 “此次活动可能使攻击者能够读取受害者的驱动器、窃取文件、捕获剪贴板数据（包括密码），并获取受害者环境变量，”GTIG 在周一的报告中表示。“UNC5837 的主要目标似乎是间谍活动和文件窃取。” 近几个月来，还观察到网络钓鱼活动使用假的 CAPTCHA 和 Cloudflare Turnstile 来分发 Legion Loader（又名 Satacom），然后作为渠道投放一个名为“保存到 Google Drive”的恶意 Chromium 基浏览器扩展。 “初始载荷通过驱动器下载感染传播，始于受害者搜索特定文档并被引诱到恶意网站，”Netskope 威胁实验室表示。“下载的文档包含一个 CAPTCHA，一旦受害者点击，就会将其重定向到 Cloudflare Turnstile CAPTCHA，然后最终重定向到通知页面。” 该页面提示用户允许在该网站上接收通知，之后受害者被重定向到第二个 Cloudflare Turnstile CAPTCHA，完成后再重定向到一个提供 ClickFix 风格指导以下载他们所需文档的页面。 实际上，此次攻击为 MSI 安装程序文件的交付和执行铺平了道路，该文件负责启动 Legion Loader，后者又执行一系列步骤来下载和运行临时 PowerShell 脚本，最终将恶意浏览器扩展添加到浏览器中。 PowerShell 脚本还会终止浏览器会话以启用扩展，打开设置中的开发者模式，然后重新启动浏览器。最终目标是捕获各种敏感信息并将其外泄给攻击者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被称为 PoisonSeed 的恶意活动正在利用与客户关系管理（CRM）工具和批量邮件服务相关的泄露凭据，发送包含加密货币种子短语的垃圾邮件，试图清空受害者的数字钱包。 “批量垃圾邮件的接收者成为了加密货币种子短语投毒攻击的目标，”Silent Push 在分析中表示。“作为攻击的一部分，PoisonSeed 提供安全种子短语，诱使潜在受害者将其复制粘贴到新的加密货币钱包中，以便日后进行攻击。” PoisonSeed 的目标包括企业组织和加密货币行业外的个人。像 Coinbase 和 Ledger 这样的加密货币公司，以及 Mailchimp、SendGrid、Hubspot、Mailgun 和 Zoho 等批量邮件服务提供商均在目标之列。 该活动被认为与两个 loosely aligned 的威胁行为者 Scattered Spider 和 CryptoChameleon 不同，两者都是更广泛的网络犯罪生态系统“Com”的一部分。该活动的一些方面之前由安全研究员 Troy Hunt 和 Bleeping Computer 于上个月披露。 这些攻击涉及威胁行为者为知名的 CRM 和批量邮件公司设置假冒的网络钓鱼页面，目的是诱骗高价值目标提供他们的凭据。一旦获得凭据，对手就会创建一个 API 密钥，以确保即使被盗密码被所有者重置，也能保持持久访问。 在下一阶段，操作者可能会使用自动化工具导出邮件列表，并从这些被攻陷的账户发送垃圾邮件。CRM 被攻陷后的供应链垃圾邮件通知用户，他们需要使用嵌入在电子邮件中的种子短语设置新的 Coinbase 钱包。 攻击的最终目标是使用相同的恢复短语劫持账户并从这些钱包中转移资金。与 Scattered Spider 和 CryptoChameleon 的关联源于使用了一个之前被识别为前者使用的域名（“mailchimp-sso[.]com”），以及 CryptoChameleon 历史上针对 Coinbase 和 Ledger 的攻击。 尽管如此，PoisonSeed 使用的网络钓鱼工具包与这两个威胁集群使用的没有任何相似之处，这表明它要么是 CryptoChameleon 的一个全新的网络钓鱼工具包，要么是一个不同的威胁行为者，只是碰巧使用了类似的战术。 这一进展发生在一个俄语系威胁行为者被观察到使用托管在 Cloudflare Pages.Dev 和 Workers.Dev 上的网络钓鱼页面来分发可以远程控制受感染 Windows 主机的恶意软件之后。该活动的早期版本也被发现分发了 StealC 信息窃取器。 “这一最新活动利用了围绕 DMCA（数字千年版权法案）下架通知的 Cloudflare 品牌网络钓鱼页面，这些通知跨越多个域名，”Hunt.io 表示。 “诱饵滥用 ms-search 协议通过双扩展名下载一个伪装成 PDF 的恶意 LNK 文件。一旦执行，恶意软件会与攻击者操作的 Telegram 机器人检查，发送受害者的 IP 地址，然后过渡到 Pyramid C2 来控制受感染的主机。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 暴露的PostgreSQL实例正成为持续攻击活动的目标，攻击者企图非法获取访问权限并部署加密货币挖矿程序。 云安全公司Wiz表示，此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种，涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。 研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示：“该威胁行为者不断进化，采取了防御规避技术，例如为每个目标部署具有独特哈希值的二进制文件，并以无文件方式执行挖矿载荷，这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。” Wiz还透露，该活动目前已导致超过1500名受害者受害，这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍，足以成为机会主义威胁行为者的攻击目标。 此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。 成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查，并投放一个Base64编码的载荷，实际上这是一个shell脚本，用于终止竞争性的加密货币挖矿程序，并投放一个名为PG_CORE的二进制文件。 服务器上还下载了一个经过混淆处理的Golang二进制文件，代号为postmaster，它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性，创建一个具有提升权限的新角色，并将另一个名为cpu_hu的二进制文件写入磁盘。 cpu_hu从GitHub下载最新版本的XMRig矿工，并通过一种称为memfd的已知Linux无文件技术在内存中启动它。 “威胁行为者为每个受害者分配了一个独特的挖矿工人，”Wiz表示，并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看，这表明该活动可能利用了超过1500台被攻陷的机器。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。 这种发展被视为 Lazarus “Contagious Interview” 活动的演变，该活动同样针对 AI 和加密货币领域的求职者。 ClickFix 是一种相对较新但日益常见的战术，威胁行为者利用网站或文档中的虚假错误提示，声称内容无法查看。页面随后提示用户通过运行 PowerShell 命令来“修复”问题，从而在系统上下载并执行恶意软件。 Sekoia 表示，在最新的活动中，Lazarus 假冒了多家知名公司，包括 Coinbase、KuCoin、Kraken、Circle、Securitize、BlockFi、Tether、Robinhood 和 Bybit，这些公司最近被朝鲜黑客窃取了创纪录的15亿美元。 “通过收集我们在所有虚假面试网站中识别出的数据（即 JSON 对象），我们能够确定哪些公司被无意中用作这些虚假面试的诱饵，”Sekoia 解释道。 “我们的分析基于从虚假面试网站检索到的184份不同的邀请。在这些邀请中，我们发现有14家公司的名称被用来诱使受害者完成申请流程。” Lazarus 采用 ClickFix 在2023年11月首次记录的“Contagious Interview”活动中，Lazarus 在 LinkedIn 或 X 上接近目标，向他们提供就业机会。 然后，他们利用托管在 GitHub 和 Bitbucket 等协作平台上的软件和编码测试项目，诱骗目标下载并在其系统上运行恶意软件加载程序，投放信息窃取器。 从2025年2月开始，Sekoia 表示 Lazarus 开始使用所谓的“ClickFake”活动，采用 ClickFix 战术来实现自我感染步骤，而攻击的早期阶段保持不变。 然而，研究人员指出，“Contagious Interview” 活动仍在进行中，这表明朝鲜人可能在并行运行这两种技术时评估其有效性。 在 ClickFake 攻击中，Lazarus 将重点从针对开发人员和程序员转向 CeFi 公司中担任非技术职务的人员，例如业务开发人员和市场经理。 这些人被邀请通过链接进入一个看似合法的网站进行远程面试，该网站使用 ReactJS 构建，包含联系表单、开放式问题，并要求提供视频介绍。 当目标尝试使用网络摄像头录制视频时，会出现一个虚假错误，声称驱动程序问题阻止了摄像头访问，并生成了解决问题的说明。 根据浏览器的用户代理，网站提供特定于操作系统的指令，支持 Windows 或 macOS。 受害者被指示在 CMD（Windows）或终端（macOS）中运行一个 curl 命令，这会使他们感染一个名为“GolangGhost”的基于 Go 的后门，并通过注册表修改和 LaunchAgent plist 文件建立持久性。 一旦部署，GolangGhost 会连接到其命令和控制（C2）服务器，用唯一机器 ID 注册新感染的设备，并等待命令。 该恶意软件可以执行文件操作、shell 命令执行、窃取 Chrome Cookie、浏览历史和存储的密码，以及收集系统元数据。 随着 Lazarus 多样化其攻击方法，潜在目标必须保持警惕，及时了解最新动态，并在下载或执行任何内容之前始终验证面试邀请。 切勿在 Windows 命令提示符或 macOS 终端中执行从互联网复制的任何内容，尤其是如果您不完全了解其功能。 Sekoia 还分享了组织可以用来检测和阻止 ClickFake 活动的 Yara 规则，以及与最新 Lazarus 活动相关的完整妥协指标列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软开始测试一款名为“快速设备恢复”的新Windows 11工具，该工具旨在远程部署修复程序，解决因故障驱动程序和配置导致操作系统无法启动的问题。 该工具是微软Windows弹性计划的一部分，该计划旨在通过引入自动化工具和功能，检测、诊断和修复Windows 11中的关键故障，从而增强系统稳定性，减少停机时间。 微软解释称：“当系统出现故障时，设备有时会陷入Windows恢复环境（Windows RE），严重影响生产力，通常需要IT团队花费大量时间进行故障排查和恢复受影响的设备。” “借助快速设备恢复，当大规模故障导致设备无法正常启动时，微软可以通过Windows RE向受影响的设备广泛部署针对性修复方案，自动修复故障，迅速使用户恢复到可工作状态，无需复杂的手动干预。” 3月28日，微软将“快速设备恢复”发布至Windows内部预览版Beta通道，供内部测试人员开始测试该工具。 当启用该工具且新的驱动程序或配置更改导致Windows 11无法正常启动时，操作系统将进入Windows恢复环境并自动启动“快速设备恢复”工具。该工具将通过以太网或Wi-Fi连接到互联网，并将崩溃数据发送至微软服务器。根据对这些数据的分析，微软可以远程应用修复程序，例如移除有问题的驱动程序或更新以及更改配置设置。 这款新工具是为应对2024年7月CrowdStrike故障更新而推出的。当时，该更新导致全球数百万台Windows设备突然出现蓝屏死机（BSOD）并陷入重启循环。为移除该故障更新，Windows管理员不得不进入Windows恢复环境或安全模式，手动删除驱动程序，以使Windows设备恢复正常启动。 有了“快速设备恢复”这样的工具，微软本可以更轻松、更快速地推送修复程序，移除驱动程序并使设备重新上线。 微软表示，该功能最终将在Windows 11家庭版中默认启用。企业用户可以通过RemoteRemedation CSP或直接在设备上通过reagentc.exe，在Windows 11专业版和企业版中自定义该工具的工作方式。 该工具还可以预先配置网络凭据，以便更容易地部署修复程序，并配置故障设备多久向微软服务器请求一次修复。 微软将在几天内发布一个测试修复包，供内部测试人员进行实时测试。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关的高级持续性威胁（APT）组织被归因于创建一个伪装成印度公共部门邮政系统的虚假网站，旨在感染印度国内的Windows和Android用户。 网络安全公司CYFIRMA将此次攻击归因于名为APT36（也称为Transparent Tribe）的威胁行为者。 该伪造的印度邮政网站名为postindia[.]site。来自Windows系统的用户访问该网站时会被提示下载一个PDF文档，而来自Android设备的用户则会下载一个恶意的应用程序包（“indiapost.apk”）。 CYFIRMA表示：“当从桌面访问时，网站会提供一个包含‘ClickFix’攻击技巧的恶意PDF文件。该文档要求用户按下Win + R键，将提供的PowerShell命令粘贴到运行对话框中并执行，这可能会危及系统安全。” 对与该PDF文件关联的EXIF数据进行分析显示，该文件由一个名为“PMYLS”的作者创建，这可能是指巴基斯坦总理青年笔记本计划。伪装成印度邮政的域名在2024年11月20日注册。 PowerShell代码的目的是从一个远程服务器（“88.222.245[.]211”）下载下一阶段的有效载荷，但该服务器当前处于不活跃状态。 另一方面，当同一个网站从Android设备访问时，它会鼓励用户安装他们的移动应用程序以获得“更好的体验”。一旦安装，该应用程序会请求大量权限，允许它窃取和导出敏感数据，包括联系人列表、当前位置以及外部存储中的文件。 公司表示：“该Android应用程序会将其图标更改为模仿不引人怀疑的Google帐户图标，以掩盖其活动，使用户在想要卸载应用时很难找到它。该应用还具备强制要求用户接受权限的功能，即使第一次被拒绝。” 该恶意应用还设计为即使在设备重启后，也会持续在后台运行，并明确请求忽略电池优化的权限。 CYFIRMA补充道：“‘ClickFix’这一技巧被网络犯罪分子、诈骗者和APT组织广泛利用，正如其他研究人员在野外观察到的那样。这种新兴的攻击手段构成了重大威胁，因为它可以攻击那些不了解或不熟悉此类方法的用户，甚至包括一些技术精通的用户。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文