HackerNews 编译，转载请注明出处： 英国工程巨头 IMI 周四向伦敦证券交易所（LSE）提交了一份简短通知，称其成为了网络攻击的受害者。 “[IMI] 目前正在应对一起涉及公司系统未经授权访问的网络安全事件，”该公司向 LSE 表示。 该公司尚未透露其面临的事件类型，但表示已聘请外部网络安全专家进行调查并控制攻击。 “与此同时，公司正在采取必要措施以遵守监管义务，”IMI 说。 这家工程巨头表示，将在适当的时候提供更多信息，并在回复 SecurityWeek 的询问时拒绝透露有关事件性质和影响的进一步细节。 此次攻击的披露大约是在另一家英国工程公司史密斯集团（Smiths Group）披露影响其某些系统的网络攻击一周后。 “我们目前正在进行一起涉及系统未经授权访问的网络事件。我们一旦意识到这一活动，就迅速隔离了受影响的系统并启动了业务连续性计划，”史密斯集团上周表示。 目前尚不清楚这两起攻击中是否使用了勒索软件，以及黑客是否试图对这两家工程巨头进行敲诈。SecurityWeek 尚未看到任何已知的勒索软件组织声称对这些事件负责。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，软件开发者从公开资源中使用已泄露的 ASP.NET 机器密钥，可能会使应用程序面临攻击风险。该公司威胁情报团队发现，2024 年 12 月曾有未知攻击者利用公开的静态 ASP.NET 机器密钥注入恶意代码，并投递名为 Godzilla 的后利用框架。 微软指出，此类密钥可能被用于 ViewState 代码注入攻击，目前已发现超过 3000 个公开披露的密钥存在被利用的风险。与以往常见的 ViewState 代码注入攻击使用被盗或被泄露的密钥不同，这些公开披露的密钥风险更高，因为它们广泛存在于多个代码仓库中，且可能未经修改就被直接用于开发代码。 ViewState 是 ASP.NET 框架中用于在页面回发之间保存页面和控件值的方法，通常以隐藏字段形式存储在页面中，并使用 Base64 编码，同时通过机器身份验证码（MAC）密钥生成的哈希值来确保数据未被篡改。然而，如果这些密钥被盗或被未经授权的第三方获取，攻击者可以利用这些密钥发送恶意 ViewState 请求并执行任意代码。 微软已提供公开披露机器密钥的哈希值列表，建议用户检查其环境中使用的密钥是否匹配，并警告称，如果公开披露的密钥被成功利用，仅旋转密钥可能不足以解决问题，因为攻击者可能已在主机上建立了持久性。为降低此类攻击风险，建议不要从公开来源复制密钥，并定期更换密钥。此外，微软还从其文档中删除了一些包含密钥的“有限实例”，以进一步阻止攻击者。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Silent Lynx的此前未被记录的威胁行为者已被证实与针对吉尔吉斯斯坦和土库曼斯坦多个实体的网络攻击有关。 Seqrite Labs研究员Subhajeet Singha在上月末发布的一份技术报告中指出：“该威胁组织此前曾针对东欧和中亚地区涉及经济决策和银行领域的政府智库。” 该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。据推测，这一活动很可能由一名哈萨克斯坦的威胁行为者发起，但这一推测的置信度为中。 这些感染始于一封包含RAR压缩文件附件的钓鱼邮件，该附件最终成为恶意有效载荷的传输工具，使攻击者能够远程控制被感染的计算机。 网络安全公司于2024年12月27日检测到的第一轮攻击中，利用RAR压缩文件启动了一个ISO文件，该文件包含一个恶意的C++二进制文件和一个诱饵PDF文件。随后，该可执行文件运行一个PowerShell脚本，该脚本利用Telegram机器人（名为“@south_korea145_bot”和“@south_afr_angl_bot”）执行命令和数据外泄。 通过机器人执行的一些命令包括curl命令，用于从远程服务器（“pweobmxdlboi[.]com”）或Google Drive下载和保存额外的有效载荷。 相比之下，另一轮攻击则使用了一个包含两个文件的恶意RAR压缩文件：一个诱饵PDF文件和一个Golang可执行文件。后者旨在与攻击者控制的服务器（“185.122.171[.]22:8082”）建立反向shell连接。 Seqrite Labs表示，它观察到该威胁行为者与YoroTrooper（又名SturgeonPhisher）之间存在一定的战术重叠，后者已被证实使用PowerShell和Golang工具针对独联体国家发动攻击。 Singha表示：“Silent Lynx的攻击活动展示了其利用ISO文件、C++加载器、PowerShell脚本和Golang植入物的复杂多阶段攻击策略。” “他们依赖Telegram机器人进行命令和控制，结合诱饵文档和区域目标选择，这也凸显了他们将间谍活动的重点放在中亚和SPECA成员国上。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，针对 Go 生态系统的软件供应链攻击中出现了一种恶意包，该包能够使攻击者远程访问受感染系统。 据 Socket 称，该包名为 github.com/boltdb-go/bolt，是对合法 BoltDB 数据库模块（github.com/boltdb/bolt）的拼写混淆。恶意版本（1.3.1）于 2021 年 11 月发布到 GitHub，随后被 Go 模块镜像服务无限期缓存。 安全研究人员基里尔・博伊琴科（Kirill Boychenko）在分析中表示：“一旦安装，该后门包将授予威胁行为者对受感染系统的远程访问权限，使其能够执行任意命令。” Socket 表示，这一事件标志着恶意行为者最早利用 Go 模块镜像对模块的无限期缓存来欺骗用户下载该包的案例之一。随后，攻击者修改了源代码仓库中的 Git 标签，将其重定向到良性版本。 这种欺骗手段确保了手动审核 GitHub 代码仓库时不会发现任何恶意内容，而缓存机制则意味着不知情的开发人员使用 go CLI 安装该包时，仍会下载后门版本。 博伊琴科说：“一旦模块版本被缓存，即使原始源代码后来被修改，它仍然可以通过 Go 模块代理访问。虽然这种设计对合法使用场景有益，但威胁行为者利用它在后续对代码仓库的修改后，仍能持续分发恶意代码。” “由于不可变模块既提供安全优势，也存在潜在的滥用途径，开发人员和安全团队应警惕利用缓存模块版本来逃避检测的攻击。” 与此同时，Cycode 详细披露了三个恶意 npm 包——serve-static-corell、openssl-node 和 next-refresh-token，这些包包含隐藏代码，用于收集系统元数据并在受感染主机上运行由远程服务器（“8.152.163[.]60”）发出的任意命令。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体，该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。 这家科技巨头的云部门在其第11期《威胁地平线报告》中表示：“该行为体从事了多种威胁活动，包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。” TRIPLESTRENGTH从事三类恶意攻击，包括非法加密货币挖掘、勒索软件和敲诈，并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。 目标云实例的初步访问是通过被盗的凭证和cookie实现的，其中一些源自Raccoon信息窃取器的感染日志。被劫持的环境随后被滥用，以创建用于挖掘加密货币的计算资源。 该活动的后续版本被发现利用高度特权账户，将攻击者控制的账户作为受害者的云项目中的计费联系人，以便为挖掘目的设置大型计算资源。 加密货币挖掘是通过使用unMiner应用程序和unMineable挖掘池进行的，根据目标系统，采用CPU和GPU优化的挖掘算法。 颇为不寻常的是，TRIPLESTRENGTH的勒索软件部署操作主要针对本地资源，而非云基础设施，使用的勒索软件包括Phobos、RCRU64和LokiLocker。 Google Cloud表示：“在专注于黑客活动的Telegram频道中，与TRIPLESTRENGTH有关联的行为体发布了RCRU64勒索软件即服务（RaaS）的广告，并寻求合作伙伴参与勒索软件和敲诈勒索活动。” 在2024年5月的一起RCRU64勒索软件事件中，据说威胁行为体首先通过远程桌面协议获得初步访问权限，随后执行横向移动和防病毒防御规避步骤，在多个主机上执行勒索软件。 TRIPLESTRENGTH还经常在Telegram上宣传访问被入侵的服务器，包括托管提供商和云平台的服务器。 Google表示，已采取措施应对这些活动，包括强制实施多因素身份验证（MFA）以防止账户被接管的风险，并推出改进后的日志记录功能，以标记敏感计费操作。 这家科技巨头表示：“单个被盗的凭证可能引发连锁反应，使攻击者能够访问本地和云中的应用程序和数据。” “这种访问权限可进一步被利用，通过远程访问服务破坏基础设施、操纵MFA，并为后续的社会工程学攻击建立可信的存在。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一场名为“J-magic”的攻击活动中，企业级Juniper Networks路由器成为了定制后门的攻击目标。 据Lumen Technologies旗下的Black Lotus Labs团队称，该活动之所以得名如此，是因为后门程序会不断监测威胁行为者在TCP流量中发送的“魔术包”。 该公司在向The Hacker News提供的一份报告中表示：“J-magic活动标志着专为JunoOS设计的恶意软件罕见出现，JunoOS服务于类似市场，但依赖于FreeBSD的一个变种操作系统。” 公司收集的证据显示，该后门程序的最早样本可追溯至2023年9月，活动持续时间为2023年中至2024年中。半导体、能源、制造和信息技术（IT）行业是最主要的攻击目标。 欧洲、亚洲和南美洲均有感染报告，包括阿根廷、亚美尼亚、巴西、智利、哥伦比亚、印度尼西亚、荷兰、挪威、秘鲁、英国、美国和委内瑞拉。 该活动的一个显著特点是，在通过尚未确定的方法获得初步访问权限后，会部署一个代理。该代理是公开可用的后门程序cd00r的一个变种，在开始操作前会等待五个不同的预定参数。 在收到这些“魔术包”后，代理程序被配置为发送一个二级挑战，随后J-magic在与魔术包中指定的IP地址和端口建立反向shell。这使得攻击者能够控制设备、窃取数据或部署额外的有效载荷。 Lumen推测，挑战环节的加入是攻击者试图防止其他威胁行为者随意发送魔术包，并将J-magic代理用于实现自身目标。 值得注意的是，cd00r的另一个变种，代号为SEASPY，在2022年末针对Barracuda Email Security Gateway（ESG）设备的活动中被部署。 不过，目前尚无证据表明这两场活动有关联，J-magic活动也没有显示出与针对企业级路由器（如Jaguar Tooth和BlackTech（又名Canary Typhoon））的其他活动有任何重叠迹象。 据说，大多数可能受影响的IP地址是作为VPN网关的Juniper路由器，另一个较小的集群则是暴露NETCONF端口的设备。据信，网络配置设备因其能够自动化路由器配置信息和管理而成为攻击目标。 随着路由器被用于国家行为者策划后续攻击，最新发现强调了边缘基础设施持续成为攻击目标的情况，这主要归因于此类设备的长时间运行以及缺乏端点检测和响应（EDR）保护。 Lumen表示：“该活动最引人注目的方面之一是专注于Juniper路由器。虽然我们已经看到其他网络设备受到严重攻击，但这场活动表明，攻击者能够成功地将攻击范围扩大到其他设备类型，如企业级路由器。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络基础设施与安全公司Cloudflare周二表示，其检测并阻止了一次高达5.6 Tbps的分布式拒绝服务（DDoS）攻击，这是迄今为止报告的最大规模攻击。 这次基于UDP协议的攻击发生在2024年10月29日，目标是一家位于东亚的未具名互联网服务提供商（ISP），攻击源自一个Mirai变种僵尸网络。 “此次攻击持续了80秒，并来源于超过13000个物联网设备，”Cloudflare的Omer Yoachimik和Jorge Pacheco在一份报告中表示。 与此同时，每秒观测到的平均唯一源IP地址为5500个，每个IP地址每秒的平均流量约为1 Gbps。 此前最大规模的DDoS攻击记录同样由Cloudflare在2024年10月报告，其峰值为3.8 Tbps。 Cloudflare还披露，其在2024年阻止了约2130万次DDoS攻击，比2023年增长了53%，超过1 Tbps的攻击数量在季度间激增了1885%。仅在2024年第四季度，就缓解了多达690万次DDoS攻击。 以下是2024年第四季度观察到的一些其他重要统计数据： 已知DDoS僵尸网络占所有HTTP DDoS攻击的72.6%。 Layer 3/Layer 4（网络层）最常见的攻击向量是SYN洪水（38%）、DNS洪水攻击（16%）和UDP洪水（14%）。 Memcached、BitTorrent及勒索型DDoS攻击分别环比增长314%、304%和78%。 约72%的HTTP DDoS攻击和91%的网络层DDoS攻击在十分钟内结束。 印尼、中国香港、新加坡、乌克兰和阿根廷是DDoS攻击的最大来源国。 中国、菲律宾和德国是被攻击最多的国家。 通信、互联网、营销、信息技术和博彩是最常被攻击的行业。 与此同时，网络安全公司Qualys和Trend Micro披露，臭名昭著的Mirai僵尸网络恶意软件的变种正通过利用已知的安全漏洞和弱密码攻击物联网（IoT）设备，将其用作DDoS攻击的工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现了一系列针对中国内地、中国香港地区和中国台湾地区用户的网络攻击活动。这些攻击活动利用一种名为ValleyRAT的已知恶意软件，通过一个多阶段加载器PNGPlug来传播。 根据Intezer发布的技术报告，攻击链始于一个钓鱼网页，该网页诱导受害者下载伪装成合法软件的恶意Microsoft Installer（MSI）安装包。一旦执行，该安装包会执行两项关键任务：一是部署一个看似合法的应用程序以掩盖恶意行为；二是静默提取一个包含恶意软件负载的加密存档。 报告指出，MSI安装包利用Windows Installer的CustomAction功能执行恶意代码，包括运行一个嵌入的恶意DLL文件。该DLL文件使用硬编码密码“hello202411”解密存档（all.zip），并提取核心恶意软件组件。这些组件包括： libcef.dll：作为加载器，通过填充大量无用代码使其体积膨胀至220MB，以此规避安全工具的检测。 down.exe：一个合法应用程序，用于掩盖恶意行为。 aut.png和view.png：伪装成PNG图片的恶意负载文件。 PNGPlug加载器的主要功能是为恶意软件的执行准备环境。它通过将aut.png和view.png注入内存，并通过修改Windows注册表来设置持久化，从而分别执行ValleyRAT恶意软件。 ValleyRAT自2023年以来已被发现，是一种远程访问木马（RAT），能够为攻击者提供对受感染机器的未经授权的访问和控制。该恶意软件的最新版本增加了截取屏幕截图和清除Windows事件日志的功能。此外，ValleyRAT与一个名为Silver Fox的威胁组织有关联，该组织还与另一个名为Void Arachne的活动集群存在战术重叠，因为它们都使用名为Winos 4.0的命令与控制（C2）框架。 此次攻击活动的独特之处在于其针对中文用户群体，并利用软件相关的诱饵激活攻击链。安全研究员Nicole Fishbein指出：“攻击者巧妙地利用合法软件作为恶意软件的传播机制，将恶意行为与看似无害的应用程序无缝结合。PNGPlug加载器的适应性进一步加剧了威胁，因为其模块化设计使其能够针对多个攻击活动进行定制 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球约有13,000台MikroTik路由器被劫持，组成了一个僵尸网络，用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。 “该活动利用了配置错误的DNS记录，从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出，“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件，这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”，其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵，诱使收件人打开一个ZIP文件，从而触发恶意软件。 ZIP文件中包含一个经过混淆的JavaScript文件，该文件会进一步运行一个PowerShell脚本，从而与位于IP地址62.133.60[.]137的命令与控制（C2）服务器建立连接。尽管入侵路由器的具体方式尚不明确，但多个固件版本受到了影响，其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞，可能被攻击者利用以执行任意代码。 “无论这些设备是如何被入侵的，攻击者似乎都在MikroTik设备上植入了一个脚本，启用SOCKS（安全套接字）功能，使设备能够作为TCP转发器运行。”Brunsdon解释道，“启用SOCKS后，每台设备实际上变成了一个代理服务器，从而掩盖了恶意流量的真实来源，使其更难被追踪。” 更令人担忧的是，这些代理的使用无需身份验证，这意味着其他威胁行为者可以利用这些设备或整个僵尸网络，将其用于各种恶意活动，包括分布式拒绝服务（DDoS）攻击和网络钓鱼活动。 此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架（SPF）TXT记录配置错误。攻击者通过这些配置错误，能够以这些域名的名义发送邮件，并绕过各种电子邮件安全防护机制。具体而言，这些SPF记录被配置为极其宽松的“+all”选项，这使得原本用于安全防护的机制形同虚设。这也意味着任何设备（如被劫持的MikroTik路由器）都可以在电子邮件中伪装成合法域名。 建议MikroTik设备所有者保持路由器固件的最新状态，并更改默认账户凭证，以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持，该僵尸网络能够发起广泛的恶意活动，从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出，“SOCKS4代理的使用进一步增加了检测和缓解的难度，凸显了采取强有力安全措施的必要性。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名华盛顿男子在法庭上承认，参与了多起诈骗案件，导致超过60万美元的损失。 28岁的马尔科·拉昆·霍内斯特（Marco Raquan Honesty）承认，在2021年至2022年期间，他参与了包括新冠救济诈骗、短信钓鱼、银行账户接管、伪造汇票和其他诈骗活动。 霍内斯特通过短信钓鱼（smishing）实施诈骗，向受害者发送短信，告知其资金被未经授权转账，并引导受害者访问伪装成正规银行网站的钓鱼网站，盗取受害者的登录凭据。 法庭上出示的文件还指控霍内斯特运营了一个Telegram频道，广告中出售被盗数据，如信用卡、支票、银行凭证和其他与诈骗相关的赃物。 他还通过Zelle和银行内转账等方式，访问受害者账户，将资金转移到自己及共谋者的账户中。 根据法庭文件，霍内斯特使用一名短信钓鱼受害者的信息，与德克萨斯州机动车辆管理局（Texas Department of Motor Vehicles）完成了一笔交易，作为针对汽车经销商的诈骗活动的一部分。他还制作假身份证，卖给其他人，以便他们实施类似的诈骗计划。 2021年4月至10月期间，霍内斯特与共谋者一起，向薪资保护计划（PPP）提交虚假贷款申请，并伪造税表来支持这些申请。此骗局导致小企业管理局（SBA）损失超过50万美元，霍内斯特为一些贷款提供便利，收取了回扣或费用，在某些情况下，每笔贷款获得1万美元。 美国司法部表示：“霍内斯特通过这一计划为自己、父亲、两个姐妹、祖母、表亲、孩子的母亲以及其他朋友和亲戚获取了PPP贷款。” 2021年12月至2022年1月期间，霍内斯特还参与了一项涉及虚假西联汇款汇票的计划，造成超过7.9万美元的预期损失。 2023年9月，调查人员在搜查霍内斯特住所时，扣押了24部手机、3台笔记本电脑、空白的IRS 1099表格、空白社保卡模板、SIM卡、信用卡压印机、空白卡片和信用卡读卡器等物品。 霍内斯特参与的诈骗案件共造成大约62.2万美元的损失，但当局认为，预期损失金额超过85万美元。 霍内斯特面临最高20年的电信诈骗刑罚，以及强制执行的2年加重身份盗窃刑期。他将在5月23日接受宣判。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文