一、事件概述 近期，网络安全领域接连曝出针对研究人员的假PoC（概念验证）攻击事件，引发业界高度关注。2024年12月，微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞，分别是CVE-2024-49112和CVE-2024-49113。其中，CVE-2024-49113是一个拒绝服务（DoS）漏洞。然而，就在漏洞修复后不久，Trend Micro发现了一个名为“LDAPNightmare”的恶意利用，它伪装成CVE-2024-49113的PoC，通过一个恶意代码仓库，诱骗安全研究人员下载并执行信息窃取型恶意软件。该恶意软件会从受感染机器上收集敏感数据，包括计算机信息、运行进程、网络详情和已安装更新等，并将其传输到攻击者控制的远程服务器。 无独有偶，2023年，Palo Alto Networks的研究人员也发现了一个新的恶意软件活动，该活动针对WinRAR的CVE-2023-40477漏洞。攻击者使用一个基于GeoServer漏洞CVE-2023-25157公开PoC代码修改而来的假PoC脚本，诱骗研究人员下载并执行VenomRAT有效载荷。一旦执行，该恶意软件会在系统中创建计划任务，每隔三分钟运行一次，以持续运行恶意软件，进而控制受害者系统、执行命令并窃取数据。 包含 “poc.exe” 的存储库 二、技术分析过程 （1）LDAPNightmare攻击技术分析 攻击者精心构建了一个看似合法的恶意代码仓库，其中的Python文件被替换为恶意可执行文件。当研究人员下载并执行该文件后，会释放并执行一个PowerShell脚本。该脚本随后建立计划任务，从Pastebin下载并执行另一个恶意脚本，最终收集受害者的公网IP地址，并将窃取的数据传输到外部FTP服务器。 SafeBreach Labs对CVE-2024-49113进行了深入研究，并开发出了一个PoC利用工具（概念验证漏洞），这个工具能够致使任何未打补丁的Windows服务器（不仅仅是域控制器）崩溃，来证明此漏洞的严重危害程度。根据Microsoft的分析发现，还可以进一步利用此漏洞导致远程代码执行。其次，研究人员确实验证了Microsoft的补丁修复了越界漏洞，并且该漏洞无法使修补的服务器崩溃。具体其攻击流程如下： 攻击者向受害服务器发送DCE/RPC请求。 受害服务器被触发，向攻击者的DNS服务器发送关于SafeBreachLabs.pro的DNS SRV查询。 攻击者的DNS服务器回复攻击者的主机名和LDAP端口。 受害服务器发送NBNS请求，以查找收到的主机名（攻击者的）的IP地址。 攻击者发送带有其IP地址的NBNS响应。 受害服务器成为LDAP客户端，向攻击者的机器发送CLDAP请求。 攻击者发送带有特定值的CLDAP转介响应包，导致LSASS崩溃并强制重启受害服务器。 LDAPNightmare攻击流程 （2）VenomRAT恶意软件活动技术分析 Palo Alto Networks的安全研究人员发现了一个针对WinRAR中 CVE-2023-40477 漏洞的新恶意软件活动。该活动使用虚假的概念验证（PoC） 脚本来诱骗研究人员下载并执行VenomRAT有效载荷。虚假的PoC脚本基于跟踪的GeoServer中漏洞CVE-2023-25157公开可用的PoC代码。该代码已经过修改，以删除有关CVE-2023-25157漏洞详细信息的注释，并添加了下载和执行带有“检查依赖关系”注释的批处理脚本的其他代码。该脚本在%TEMP%/bat.bat创建批处理文件，连接到特定URL并运行响应内容，进而下载可执行文件并保存到%APPDATA%\Drivers\Windows.Gaming.Preview.exe，同时创建计划任务，每三分钟运行一次该可执行文件，以实现持久化运行。Windows.Gaming.Preview.exe 可执行文件是VenomRAT的变体，VenomRAT是一种远程访问木马（RAT）。VenomRAT可用于窃取数据、在受害者系统上执行命令以及远程控制系统。 Palo Alto Networks研究人员认为，该攻击活动背后的攻击者是以网络安全研究人员为目标的，以便控制与访问他们的系统并窃取他们的数据。研究人员还认为，攻击者还可能正在使用受感染的系统对其他组织发起进一步的攻击活动。 三、结论与建议 这些假PoC攻击事件凸显了网络安全领域面临的严峻挑战。攻击者利用研究人员对安全漏洞的关注和研究热情，通过伪装成PoC的恶意软件，成功渗透并窃取了研究人员的敏感信息，甚至可能进一步利用这些系统对其他组织发动攻击。因此，安全研究人员在下载和执行来自在线仓库的代码时必须保持高度警惕，优先选择官方来源，仔细审查仓库内容，验证仓库所有者或组织的真实性，并关注社区反馈，寻找可能的安全风险警示。同时，用户应确保及时更新软件至最新版本，避免点击不明链接，并使用有效的安全解决方案来检测和阻止恶意软件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/420252.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络威胁行为者正利用FastHTTP Go库，针对全球Microsoft 365账户发起高速暴力破解密码攻击。 近日，事件响应公司SpearTip发现了此次攻击活动，据称攻击始于2024年1月6日，目标直指Azure Active Directory Graph API。 研究人员警告称，这些暴力破解攻击有10%的时间能够成功接管账户。 滥用FastHTTP进行账户接管 FastHTTP是Go编程语言的高性能HTTP服务器和客户端库，专为处理HTTP请求而优化，即使在大量并发连接的情况下也能实现更高的吞吐量、更低的延迟和更高的效率。 在此次攻击活动中，黑客利用FastHTTP创建HTTP请求，自动化尝试未经授权的登录。 SpearTip指出，所有请求均针对Azure Active Directory的终端点，旨在暴力破解密码或反复发送多因素认证（MFA）挑战，以在MFA疲劳攻击中压垮目标。 SpearTip报告称，65%的恶意流量来自巴西，利用广泛的自治系统号（ASN）提供商和IP地址，其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。 研究人员表示，41.5%的攻击失败，21%因保护机制而触发账户锁定，17.7%因违反访问策略（地理位置或设备合规性）而被拒绝，10%受到MFA保护。 这意味着，有9.7%的情况下，威胁行为者成功认证到目标账户，这是一个相当高的成功率。 Microsoft 365账户接管可能导致机密数据泄露、知识产权被盗、服务中断等负面后果。 SpearTip已分享一个PowerShell脚本，管理员可利用该脚本在审核日志中检查是否存在FastHTTP用户代理，从而判断自己是否成为此次攻击的目标。 管理员还可以手动登录Azure门户，导航至“Microsoft Entra ID”→“用户”→“登录日志”，并应用“客户端应用：‘其他客户端’”筛选器来检查用户代理。 如果发现任何恶意活动迹象，建议管理员立即终止用户会话并重置所有账户凭据，审查已注册的MFA设备，并删除未经授权的添加项。 SpearTip报告的底部部分提供了与该攻击活动相关的妥协指标的完整列表。

HackerNews 编译，转载请注明出处： 2025年1月14日下午3时01分，由美国、韩国和日本共同发布的声明指出，朝鲜国家支持的黑客组织通过多次加密货币抢劫案，窃取了价值超过6.59亿美元的加密货币。 该声明同时警告称，与朝鲜民主主义人民共和国相关的威胁组织仍在积极针对区块链技术行业的公司进行攻击。 “最近至2024年9月，美国政府观察到朝鲜对加密货币行业进行了激烈攻击，采用伪装良好的社会工程学手段部署恶意软件，如TraderTraitor、AppleJeus等。韩国和日本也观察到了朝鲜使用类似趋势和战术的情况。”联合声明警告道。 “朝鲜的网络计划威胁到我们三国以及更广泛的国际社会，特别是对国际金融体系的完整性和稳定性构成重大威胁。” 声明还正式确认，朝鲜攻击者是2024年7月印度最大比特币交易所WazirX遭入侵事件的幕后黑手，该事件导致2.35亿美元损失。 此外，朝鲜还与去年披露的多起其他加密货币抢劫案有关，包括DMM Bitcoin（3.08亿美元）、Upbit（5000万美元）、Rain Management（1613万美元）和Radiant Capital（5000万美元）。 然而，区块链分析公司Chainalysis在12月的一份报告中描绘了更严峻的情况，称朝鲜黑客去年在47起网络攻击中窃取了价值13.4亿美元的加密货币，打破了2022年11亿美元的纪录。 “2023年，与朝鲜相关的黑客在20起事件中窃取了约6.605亿美元；2024年，这一数字增至47起事件中窃取13.4亿美元，被盗价值增长了102.88%。”Chainalysis表示。 近年来，特别是2024年全年，美国、韩国和日本政府机构还发布了关于朝鲜诱骗私营公司雇佣其作为远程IT工作者的警报。 这些朝鲜IT工作者自称“IT战士”，通过位于美国的笔记本电脑农场连接到企业网络，冒充美国IT员工，这是FBI多年来一直警告的情况。 美国政府反复警告称，朝鲜拥有一支庞大的IT工作者队伍，他们经过培训，能够隐藏真实身份，在美国和世界各地数百家公司找到工作。 例如，网络安全公司KnowBe4最近雇佣了一名朝鲜恶意行为者担任首席软件工程师，该人员在通过背景调查、验证推荐信和四次视频面试后入职，这些过程均借助了被盗身份和AI工具。然而，一旦入职，这位“IT战士”便立即试图在公司提供的设备上安装信息窃取恶意软件。 在被发现并被解雇后，一些朝鲜IT工作者还利用内部知识和编程技能，以泄露被盗敏感信息的威胁向前雇主勒索。 目前，美国国务院提供高达500万美元的悬赏，以获取有助于破坏朝鲜前线公司延边银河和Volasys银河（及其员工）活动的信息。在过去六年中，这些公司通过非法远程IT工作计划获得了超过8800万美元的收入。 “美国、日本和韩国建议私营部门实体，特别是区块链和自由职业工作行业的实体，仔细阅读这些咨询和公告，以便更好地了解缓解网络威胁的措施，并降低无意中雇佣朝鲜IT工作者的风险。”美国、韩国和日本在今天的联合声明中补充道。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过控制被遗弃和过期的域名基础设施（每个域名仅需20美元），网络犯罪分子已劫持了此前由不同威胁行为者部署的至少4000个独特的网络后门。 网络安全公司WatchTowr Labs表示，其通过注册40多个后门原本用于命令与控制（C2）的域名，成功实施了此次行动。在与Shadowserver Foundation合作下，研究中涉及的域名已被封锁。 WatchTowr Labs首席执行官Benjamin Harris和研究人员Aliz Hammond在上周的技术报告中表示：“我们劫持了那些依赖现已被遗弃的基础设施和/或过期域名的后门，这些后门原本存在于其他后门之中，此后我们一直在观察结果如潮水般涌入。” “这次劫持使我们能够追踪受感染的主机在‘报告’时的动向，并在理论上使我们有权接管和控制这些受感染的主机。” 通过信标活动识别的受感染目标包括孟加拉国、中国和尼日利亚的政府机构，以及中国、韩国和泰国等地的学术机构。 这些后门其实是网络外壳，旨在为目标网络提供持续的远程访问，以便进行后续利用，其范围和功能各不相同： 能够通过PHP代码执行攻击者提供的命令的简单网络外壳 c99shell r57shell China Chopper，一种由中国关联的高级持续性威胁（APT）组织广泛共享的网络外壳 c99shell和r57shell都是功能全面的网络外壳，能够执行任意代码或命令、执行文件操作、部署额外的有效载荷、暴力破解FTP服务器，并从受感染的主机上自行删除。 WatchTowr Labs表示，其观察到一些网络外壳被脚本维护人员植入后门，以泄露其部署位置，从而无意中也将控制权交给了其他威胁行为者。 此次发现发生在该公司揭示其仅花费20美元便收购了一个与.mobi顶级域名（TLD）相关的旧版WHOIS服务器域名（“whois.dotmobiregistry[.]net”）之后几个月。该域名帮助识别出超过135000个独特系统，这些系统即使在迁移到“whois.nic[.]mobi”后仍与该服务器保持通信。 这些系统包括VirusTotal等各种私营企业，以及无数政府、军事和大学实体的邮件服务器。其中，.gov地址来自阿根廷、孟加拉国、不丹、埃塞俄比亚、印度、印度尼西亚、以色列、巴基斯坦、菲律宾、乌克兰和美国。 WatchTowr Labs表示：“看到攻击者和防御者犯同样的错误，这多少有些令人鼓舞。人们很容易陷入攻击者从不犯错的思维定式，但我们看到了相反的证据——存在开放网络外壳、过期域名和使用已被植入后门的软件的计算机。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正采用一种名为“交易模拟欺诈”的新手段窃取加密货币，其中一起攻击成功盗取了价值约46万美元的143.45枚以太坊。 此次由ScamSniffer发现的攻击，凸显了现代Web3钱包中交易模拟机制存在的漏洞，该机制本应用于保护用户免受欺诈和恶意交易侵害。 攻击原理 交易模拟功能允许用户在签署和执行区块链交易前预览预期结果。 该功能旨在通过帮助用户验证交易内容（如转账的加密货币数量、燃气费及其他交易费用以及链上数据变化等）来增强安全性和透明度。 攻击者诱导受害者访问一个模仿合法平台的恶意网站，该网站启动了一个看似“领取”功能的操作。交易模拟显示用户将获得少量以太坊。 然而，模拟与执行之间存在时间延迟，攻击者利用这一时间差更改链上合约状态，从而在交易获得批准后改变其实际执行内容。 受害者信任钱包的交易模拟结果并签署了交易，导致网站将其钱包中的所有加密货币转至攻击者钱包。 攻击流程 ScamSniffer指出一起真实案例，受害者在状态更改后30秒签署了欺诈交易，导致资产（143.35枚以太坊）全部损失。 ScamSniffer警告称：“这种新的攻击方式标志着网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的受信任钱包功能。这种复杂手段使得检测尤为困难。” 初始模拟（上）与篡改后的交易（下） 区块链监测平台建议，Web3钱包应降低模拟刷新频率以匹配区块链区块时间，在关键操作前强制刷新模拟结果，并添加过期警告以提醒用户风险。 从用户角度来看，这一新型攻击表明不应信任钱包模拟。 加密货币持有者应谨慎对待不明网站上的“免费领取”优惠，并仅信任经过验证的去中心化应用（dApps）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一家领先的教育软件制造商承认其 IT 环境在一次网络攻击中遭到破坏，学生和教师的个人数据（包括一些社会安全号码和医疗信息）被盗。 PowerSchool 称，其基于云的学生信息系统被包括美国和加拿大在内的全球 18000 家客户用于处理 6000 多万 K-12 学生和教师的评分、出勤记录和个人信息。 12 月 28 日，有人 “使用被泄露的凭证 ”进入了该系统并访问了其中的内容，这家总部位于加利福尼亚州的公司在本周 Register 看到的一封电子邮件中告诉其客户。 一位学校首席技术官今天对 El Reg 说：“我很想看到更多关于发生在最大的学生信息系统供应商之一身上的这一严重安全漏洞的报道，”他补充说： “PowerSchool 很可能违反了他们与学区签署的数据隐私协议。联邦和州一级也有一些涉及学生隐私的法律。” 这位负责人说，该软件开发商用了近两周的时间来提醒客户，目前他们学校正在开展工作，以确定入侵的全部程度。 在加拿大，至少多伦多地区教育局向学生和教职员工发送了一份说明，警告 PowerSchool 遭受了 “2024 年 12 月 22 日至 28 日之间的数据泄露”。 未经授权的行为者提取了学生信息系统数据库中的两个表。 与此同时，PowerSchool 告诉我们，有人利用上述被盗凭证从其信息系统中复制了人们的私人信息。 一位发言人告诉我们：“我们认为，未经授权的行为者在学生信息系统数据库中提取了两张表。这些表格主要包括联系信息，数据元素包括家庭和教育工作者的姓名和地址信息。” “对于部分客户，这些表格可能还包括社会安全号、其他个人身份信息以及有限的医疗和成绩信息。” “并非所有 PowerSchool 学生信息系统的客户都受到影响，我们预计只有一部分受影响的客户有通知义务。” 该供应商表示，这不是一次涉及勒索软件或利用软件漏洞的攻击，而是一次相当直接的网络渗透。该公司已请一家独立的安全公司对其系统进行全面审计，并了解具体发生了什么情况以及谁受到了影响。 开发商告诉客户：“我们预计数据不会被共享或公开，我们相信数据已经被删除，不会再有任何复制或传播。” 开发人员告诉客户：“我们还停用了受影响的凭据，并限制了对受影响门户网站的所有访问。最后，我们对所有 PowerSource 客户支持门户账户进行了全面的密码重置，并进一步加强了密码和访问控制。” PowerSchool 表示，“根据监管和合同义务”，任何受影响的成年人都将获得免费的信用监控服务，而未成年人则将获得一家未具名身份保护服务公司的订阅服务。 有趣的是，安全机构 Cyble 认为，这次入侵可能比迄今为止公开承认的更为严重，持续时间也更长。 这家网络安全厂商一直在监控黑帽黑客论坛，并表示从研究结果来看，这次入侵最早可能发生在 2011 年 6 月 16 日，而数字入侵则在今年 1 月 2 日结束。 Cyble 的威胁情报主管考斯图布-梅德（Kaustubh Medhe）说，有证据表明，“旨在渗透系统并提取有价值信息的数据窃取恶意软件 ”被用于攻击 PowerSchool 的员工和/或用户。 据悉，“Oracle Netsuite ERP、HR 软件 UltiPro、Zoom、Slack、Jira、GitLab 等关键系统和应用程序，以及 Microsoft 登录、LogMeIn、Windows AD Azure 和 BeyondTrust 等平台的敏感凭据 ”可能已因此受到损害。 我们已要求 PowerSchool 对 Cyble 的调查结果做出回应。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303389 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 研究人员通过注册用于控制后门程序的过期域名，成功劫持了4000多个虽被遗弃但仍活跃的网站后门，并使其通信基础设施陷入瘫痪。 部分活跃的恶意软件（网络后门）被部署在高调目标（包括政府和大学系统）的服务器上，一旦有人控制这些通信域名，便能执行指令。 攻击安全机构WatchTowr Labs与Shadowserver基金会合作，阻止这些域名及其对应的受害者落入恶意行为者之手。 发现数千个被突破的系统 后门是指被植入受攻击系统中的恶意工具或代码，允许未经授权的远程访问和控制。威胁行为者通常利用后门进行持续访问，并在受攻击系统中执行进一步攻击的指令。 WatchTowr研究人员开始搜索各种网络后门中的域名，并购买其中已过期的域名，从而基本上控制了这些后门。 在建立日志系统后，这些被遗弃但仍活跃的恶意软件开始发送请求，使研究人员能够识别出至少部分受害者。 通过注册40多个域名，研究人员收到来自4000多个被突破系统的通信尝试，这些系统试图“回连”到攻击者。 注册域名示例（来源：WatchTowr） 研究人员发现了多种后门类型，包括“经典”的r57shell、功能更强大的c99shell（提供文件管理和暴力破解功能）以及常与APT组织相关联的“中国菜刀”网络后门。 报告中甚至提到一个后门展现出与Lazarus组织相关的行为，但随后澄清这很可能是其他行为者重用了该威胁行为者的工具。 在被突破的机器中，WatchTowr发现了中国政府机构（包括法院）中的多个系统、被攻破的尼日利亚政府司法系统以及孟加拉国政府网络中的系统。 此外，泰国、中国和韩国的教育机构中也发现了受感染的系统。 WatchTowr将劫持域名的管理责任移交给Shadowserver基金会，以确保这些域名未来不会被恶意接管。Shadowserver目前正在将所有来自被突破系统的流量吸引到其域名的陷阱中。 WatchTowr的研究虽然并不复杂，但表明恶意软件运营中的过期域名仍可能为新网络犯罪分子所用，他们只需注册控制域名便能获取一些受害者。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意行为者在各种恶意垃圾邮件活动中继续通过伪造发件人电子邮件地址取得成功。 伪造电子邮件的发件人地址通常被视为一种让数字信息看起来更合法并绕过可能将其标记为恶意的安全机制的手段。 尽管有域名密钥识别邮件（DKIM）、基于域名的邮件身份验证、报告和一致性（DMARC）以及发件人策略框架（SPF）等保障措施可以防止垃圾邮件发送者伪造知名域名，但这些措施反而促使他们利用老旧、被忽视的域名进行活动。 这样做的话，电子邮件信息很可能会绕过依赖域名年龄来识别垃圾邮件的安全检查。 一家DNS威胁情报公司在与《黑客新闻》分享的一项新分析中发现，包括Muddling Meerkat在内的威胁行为者滥用了一些自身拥有的、已近20年未用于托管内容的老旧顶级域名（TLD）。 “这些域名缺少大多数DNS记录，包括通常用于检查发件人域名真实性的记录，如SPF记录，”该公司表示，“这些域名简短且属于高声誉的顶级域名。”自2022年12月以来一直活跃的一项此类活动涉及分发带有指向钓鱼网站的二维码附件的电子邮件，并指示收件人打开附件并使用手机上的支付宝或微信应用扫描二维码。 这些电子邮件使用中文撰写的与税收相关的诱饵，同时以不同方式将二维码文档隐藏在电子邮件正文中包含的四位数字密码之后。在其中一个案例中，钓鱼网站要求用户输入其身份和银行卡信息，然后向攻击者进行欺诈付款。 “尽管这些活动确实使用了我们在Muddling Meerkat中看到的废弃域名，但它们似乎还广泛伪造随机域名，甚至包括不存在的域名，”Infoblox解释道，“行为者可能会使用这种技术来避免发送来自同一发件人的重复电子邮件。” 该公司表示，它还观察到了冒充亚马逊、万事达卡和SMBC等知名品牌，利用流量分发系统（TDSes）将受害者重定向到假冒登录页面以窃取其凭据的钓鱼活动。以下是一些已确定使用伪造发件人域名的电子邮件地址： mailto:ak@fdd.xpv[.]org mailto:mh@thq.cyxfyxrv[.]com mailto:mfhez@shp.bzmb[.]com mailto:gcini@vjw.mosf[.]com mailto:iipnf@gvy.zxdvrdbtb[.]com mailto:zmrbcj@bce.xnity[.]net mailto:nxohlq@vzy.dpyj[.]com 第三类垃圾邮件与勒索有关，其中电子邮件收件人被要求支付1800美元的比特币以删除据称安装在其系统上的远程访问木马所录制的令人尴尬的视频。 “行为者伪造用户自己的电子邮件地址，并挑战他们进行检查，”Infoblox表示，电子邮件告诉用户他们的设备已被入侵，作为证明，行为者声称该邮件是从用户自己的帐户发送的。” 这一披露正值法律、政府和建筑部门自2024年9月初以来成为旨在窃取Microsoft 365凭据的新型钓鱼活动“肉铺”的目标。 据Obsidian Security称，这些攻击滥用Canva、Dropbox DocSend和Google Accelerated Mobile Pages（AMP）等受信任平台将用户重定向到恶意网站。其他一些渠道包括电子邮件和被入侵的WordPress网站。 “在显示钓鱼页面之前，会显示一个带有Cloudflare Turnstile的自定义页面，以验证用户实际上是人类，”该公司表示，“这些旋转门使得电子邮件保护系统（如URL扫描器）更难检测到钓鱼网站。” 近几个月来，短信钓鱼活动冒充阿联酋执法机构发送虚假的付款请求，涉及不存在的交通违规、停车违规和执照续期。为此目的而设立的一些虚假网站被归因于一个名为Smishing Triad的已知威胁行为者。 中东的银行业客户也成为了一种复杂的社交工程计划的攻击目标，该计划在电话中冒充政府官员，并使用远程访问软件窃取信用卡信息和一次性密码（OTP）。 Group-IB在今天发布的一项分析中表示，这场针对个人数据已在暗网上通过窃取器恶意软件泄露的女性消费者的活动，据推测是未知母语为阿拉伯语的人所为。 “骗子利用受害者的合作意愿和服从指令的意愿，希望为他们不满意的购买获得退款。” Cofense发现的另一场活动涉及发送声称来自美国社会保障管理局的电子邮件，其中嵌入了下载ConnectWise远程访问软件安装程序的链接或将受害者定向到凭据收集页面。 这一发展发生在根据Interisle Consulting Group的一份报告，在2023年9月至2024年8月期间报告的网络犯罪域名中，通用顶级域名（gTLD）如.top、.xyz、.shop、.vip和.club占37%，尽管它们仅占域名市场总量的11%。 由于价格低廉且缺乏注册要求，这些域名已成为恶意行为者的诱人目标，从而为滥用打开了大门。在广泛用于网络犯罪的顶级域名中，有22个提供的注册费用低于2.00美元。 威胁行为者还被发现宣传一个名为PhishWP的恶意WordPress插件，该插件可用于创建可自定义的支付页面，模仿Stripe等合法支付处理器，通过Telegram窃取个人和财务数据。 SlashNext在一份新报告中表示：“攻击者既可以入侵合法的WordPress网站，也可以设置欺诈网站来安装它。在配置插件以模仿支付网关后，不明真相的用户会被诱骗输入其支付详情。插件会收集这些信息并将其直接发送给攻击者，通常是在实时状态下。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个以Mirai为基础的新型僵尸网络正逐渐变得更为复杂，现在正在利用工业路由器和智能家居设备安全漏洞的零日漏洞进行攻击。 据Chainxin X Lab研究人员监测，该僵尸网络的发展和攻击始于2024年11月，开始利用之前未知的漏洞。 其中一个安全问题是CVE-2024-12856，这是Four-Faith工业路由器的一个漏洞，VulnCheck在12月底发现，但注意到在12月20日左右已有人试图利用该漏洞。 该僵尸网络还依赖于针对Neterbit路由器和Vimar智能家居设备中未知漏洞的自定义漏洞利用程序。 它于去年2月被发现，目前拥有15,000个每日活跃僵尸节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。 其主要目标似乎是为了盈利而对指定目标进行分布式拒绝服务（DDoS）攻击，每天针对数百个实体，活动在2024年10月和11月达到高峰。 目标国家 该恶意软件利用20多个漏洞的公共和私有漏洞利用程序，传播到暴露在互联网上的设备，针对数字视频录像机（DVR）、工业和家庭路由器以及智能家居设备。 具体来说，它针对以下设备： ASUS路由器（通过N日漏洞利用程序） 华为路由器（通过CVE-2017-17215） Neterbit路由器（自定义漏洞利用程序） LB-Link路由器（通过CVE-2023-26801） Four-Faith工业路由器（通过现在被追踪为CVE-2024-12856的零日漏洞） PZT摄像机（通过CVE-2024-8956和CVE-2024-8957） Kguard DVR Lilin DVR（通过远程代码执行漏洞利用程序） 通用DVR（使用如TVT editBlackAndWhiteList RCE等漏洞利用程序） Vimar智能家居设备（可能使用未公开的漏洞） 各种5G/LTE设备（可能通过配置错误或弱凭据） 该僵尸网络具有针对弱Telnet密码的暴力破解模块，使用具有唯一签名的自定义UPX打包，并实现基于Mirai的命令结构，用于更新客户端、扫描网络和进行DDoS攻击。 X Lab报告称，该僵尸网络的DDoS攻击持续时间短，在10到30秒之间，但强度很高，流量超过100 Gbps，即使对于坚固的基础设施也会造成中断。 “攻击目标遍布全球，分布在各行各业，”X Lab解释说。 “攻击的主要目标分布在中国、美国、德国、英国和新加坡，”研究人员说。 总体而言，该僵尸网络展示了利用N日甚至零日漏洞在多种设备类型上保持高感染率的独特能力。 用户可以遵循一般建议来保护他们的设备，即安装来自供应商的最新设备更新，如果不需要则禁用远程访问，并更改默认管理帐户凭据。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本最大的移动运营商Docomo透露，上周四的一次 DDoS 攻击导致部分服务中断近 12 小时。 NTT Docomo 在东亚国家拥有约 9000 万用户，其下载速度是当地主要供应商中最快的。 根据该公司网站上发布的通知，该公司遭遇了“因 DDoS 攻击而导致的网络拥塞”，导致一些关键服务难以使用。 受到 DDoS 影响的服务包括“goo”门户网站、Lemino 视频流服务、dpay 计费服务和“Golf me”高尔夫球服务。 该提供商表示：“访问困难等服务影响已得到解决，但由于恢复措施的影响，一些内容更新受到了影响。” 据当地报道，12 月下旬，多家日本公司遭受 DDoS 攻击，其中包括日本航空、三菱日联银行、瑞穗银行和 Resona 银行。 这并不是 NTT Docomo 第一次成为威胁组织的目标。 2023 年 9 月，Ransomed.vc 组织向该公司索要超过 100 万美元的赎金，但尚不清楚威胁组织是否真的从该运营商那里窃取了数据。由于电信公司对服务中断的容忍度较低，因此它们特别容易受到 DDoS 和勒索软件等服务中断攻击。不过，移动电话服务并未受到此次最新事件的影响。 目前尚无迹象表明谁对最新的 DDoS 攻击负责。 Stormwall在 2024 年 9 月发布的一份报告称，今年上半年全球 DDoS 攻击与 2023 年同期相比增长了 102%。 诺基亚 10 月份发布的另一份报告显示，针对全球电信网络的攻击从 2023 年 6 月的每天一两次增加到一年后的某些网络“每天超过 100 次”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/49w30lHttzPpc3s1MHhvfw 封面来源于网络，如有侵权请联系删除