HackerNews 编译，转载请注明出处： 网络安全研究人员近日指出，一种新的网络钓鱼活动正在利用 ClickFix 技巧来传递一个名为 Havoc 的开源命令与控制（C2）框架。 “威胁行为者将每个恶意软件阶段隐藏在 SharePoint 站点之后，并使用修改版的 Havoc Demon 与 Microsoft Graph API 结合，以在受信任的知名服务中隐藏 C2 通信，”Fortinet ForEGuard Labs 在一份与《黑客新闻》共享的技术报告中表示。 此次攻击的起点是一封包含 HTML 附件（“Documents.html”）的网络钓鱼邮件，当用户打开该附件时，会显示一条错误消息，该消息利用 ClickFix 技巧诱骗用户将恶意 PowerShell 命令复制并粘贴到终端或 PowerShell 中执行，从而触发下一阶段的攻击。 该命令旨在下载并执行托管在攻击者控制的 SharePoint 服务器上的 PowerShell 脚本。新下载的 PowerShell 会检查其是否在沙盒环境中运行，然后才会继续下载 Python 解释器（“pythonw.exe”），如果系统中尚未存在该解释器的话。 通过 SharePoint 站点部署 Havoc C2 接下来的步骤是从同一个 SharePoint 位置获取并执行一个 Python 脚本，该脚本作为 KaynLdr 的 shellcode 加载器，KaynLdr 是一个用 C 和 ASM 编写的反射加载器，能够启动嵌入的 DLL，即在此情况下在受感染主机上启动 Havoc Demon 代理。 “威胁行为者使用 Havoc 与 Microsoft Graph API 结合，以在知名服务中隐藏 C2 通信，”Fortinet 表示，并补充说该框架支持收集信息、执行文件操作、命令和有效载荷执行、令牌操作以及 Kerberos 攻击等功能。 与此同时，Malwarebytes 揭示了威胁行为者继续利用 Google Ads 政策中的已知漏洞，通过可能已被攻陷的广告商账户投放针对 PayPal 客户的虚假广告。 这些广告旨在诱骗那些搜索与账户问题或支付问题相关的帮助的受害者拨打一个欺诈电话，最终可能导致他们交出个人和财务信息。 “Google 登陆页面（也称为最终 URL）政策中的一个弱点，允许任何人只要登陆页面和显示 URL（广告中显示的网页）属于同一域名，就可以冒充热门网站，”Malwarebytes 研究高级总监 Jérôme Segura 说道。 “黑客们就像秃鹫一样，盘旋在最热门的 Google 搜索词之上，尤其是在涉及任何在线帮助或客户服务时。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Palo Alto Networks Unit 42 的调查发现，网络犯罪分子正将目标对准亚马逊网络服务（AWS）环境，向毫无戒心的目标推送网络钓鱼活动。 这家网络安全公司正在追踪一个名为 TGR-UNK-0011（代表动机不明的威胁组织）的活动集群，该公司表示，该集群与一个名为 JavaGhost 的组织有重叠。据悉，TGR-UNK-0011 自 2019 年以来一直活跃。 “该组织历史上一直专注于网站篡改，”安全研究员玛格丽特・凯利（Margaret Kelley）表示。“2022 年，他们转向发送网络钓鱼电子邮件以谋取经济利益。” 值得注意的是，这些攻击并未利用 AWS 的任何漏洞。相反，威胁行为者利用受害者环境中暴露的 AWS 访问密钥的配置错误，通过滥用亚马逊简单电子邮件服务（SES）和 WorkMail 服务发送网络钓鱼消息。 这样一来，其作案手法的好处是无需托管或支付自己的基础设施来开展恶意活动。 更重要的是，这使得威胁行为者的网络钓鱼消息能够绕过电子邮件保护，因为这些数字信件源自目标组织之前接收过电子邮件的已知实体。 “JavaGhost 获得了与身份和访问管理（IAM）用户相关的暴露的长期访问密钥，这使他们能够通过命令行界面（CLI）获得对 AWS 环境的初始访问权限，”凯利解释道。 “在 2022 年至 2024 年期间，该组织演变了他们的战术，采用了更高级的防御规避技术，试图在 CloudTrail 日志中隐藏身份。这种战术历史上曾被 Scattered Spider 利用。” 一旦确认获得对组织 AWS 账户的访问权限，攻击者就会生成临时凭证和登录 URL 以允许控制台访问。Unit 42 指出，这使他们能够隐藏自己的身份并查看 AWS 账户内的资源。 随后，该组织被观察到利用 SES 和 WorkMail 建立网络钓鱼基础设施，创建新的 SES 和 WorkMail 用户，并设置新的 SMTP 凭证以发送电子邮件消息。 “在攻击的时间范围内，JavaGhost 创建了各种 IAM 用户，其中一些他们在攻击期间使用，而另一些他们从未使用，”凯利说道。“未使用的 IAM 用户似乎充当长期持久性机制。” 威胁行为者作案手法的另一个显著特点是创建了一个带有信任策略的新 IAM 角色，从而允许他们从其控制的另一个 AWS 账户访问组织的 AWS 账户。 “该组织继续在攻击过程中留下相同的标记，通过创建名为 Java_Ghost 的新亚马逊弹性云计算（EC2）安全组，其组描述为‘我们存在但不可见’，”Unit 42 总结道。“这些安全组不包含任何安全规则，该组织通常不会尝试将这些安全组附加到任何资源。安全组的创建出现在 CloudTrail 日志的 CreateSecurityGroup 事件中。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局追回了 2021 年对铀金融（Uranium Finance）网络攻击中被盗的 3100 万美元加密货币，铀金融是一个基于币安智能链（Binance Smart Chain）的去中心化金融（DeFi）协议。 铀金融是一个建立在币安 BNB 链上的去中心化金融（DeFi）协议，作为自动化做市商（AMM），类似于 Uniswap。 该平台于 2021 年 4 月推出，但黑客迅速利用其智能合约中的漏洞窃取资产，导致其过早死亡，造成数百万美元的投资者损失。 区块链情报公司 TRM 实验室今天报告称，已协助纽约南区（SDNY）和国土安全调查局（HSI）圣地亚哥追踪并追回被盗资产，这是近年来最重要的追回行动之一。 “2023 年 2 月，TRM 与执法部门密切合作，仔细追踪被盗资产在多个区块链上的流动，识别关键的洗钱模式，并为执法部门提供可操作的情报，” TRM 实验室的报告中写道。 “到 2023 年 3 月，该团队已经绘制出攻击者试图模糊资金的企图，将其与 Tornado Cash 交易和跨链交换联系起来。” “因此，执法部门能够在 2025 年 2 月成功扣押 3100 万美元的未追回资金。” 被盗资金在 2021 年 4 月的两次攻击中被盗，导致超过 5370 万美元的损失。 第一次攻击发生在 2021 年 4 月 6 日，利用奖励分配系统中的漏洞，导致 140 万美元的盗窃。 黑客后来归还了 100 万美元，保留了 385,500 美元，这些资金通过 Tornado Cash 洗钱。 第二次攻击发生在 2021 年 4 月 28 日，利用铀金融交易逻辑中的单字符编码错误，使攻击者能够通过操纵余额窃取 5200 万美元。 被盗资金通过去中心化交易所洗钱，转换为各种加密货币，并在休眠钱包中存储多年。 如今，超过一半的金额已被追回，美国纽约南区要求受害者通过电子邮件 UraniumVictims@hsi.dhs.gov 联系，以领取部分追回的加密货币。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）将 Bybit 平台的黑客攻击归咎于朝鲜黑客组织 TraderTraitor，随着更多技术细节的曝光，这一事件的来龙去脉逐渐清晰。 Bybit 平台在 2 月 21 日遭受攻击，导致近 15 亿美元的以太坊加密货币被盗。此次攻击迅速被指向朝鲜黑客，尤其是臭名昭著的 Lazarus 组织。 FBI 在周三发布的一份警报中表示，他们自 2022 年以来一直在监控的 TraderTraitor 是此次攻击的幕后黑手。FBI 过去曾指出，TraderTraitor 是 Lazarus 组织的另一个名称，但网络安全行业的部分成员将其描述为专门针对加密货币攻击的 Lazarus 行动。Lazarus 组织还以从事网络间谍活动和破坏性行动而闻名。 FBI 表示：“TraderTraitor 的行动者迅速行动，将部分被盗资产转换为比特币和其他虚拟资产，并分散到多个区块链上的数千个地址。预计这些资产将进一步被清洗，并最终转换为法定货币。” FBI 此前还曾将 TraderTraitor 与从 Bitcoin.DMM.com 盗取 3.08 亿美元加密货币的事件联系起来。该机构已公布了一份朝鲜威胁行为者已知使用的加密货币地址列表。 Bybit 声称自己是全球第二大加密货币交易所（按交易量计算），已启动漏洞赏金计划，以努力追回被盗资金，向成功冻结资金的实体提供追回金额的 5%，并向帮助追踪资金的实体提供 5%。 然而，截至目前，只有 3%（4200 万美元）的被盗加密货币被冻结，这是在黑客攻击曝光后不久被阻止的金额——此后似乎没有其他资金被追回。目前近 9500 万美元被标记为“等待回应”。 Bybit 表示，已向帮助追踪和冻结资金的实体支付了超过 400 万美元的赏金。该公司指出，一些加密货币服务拒绝合作。 Bybit 联合创始人兼首席执行官 Ben Zhou 表示：“我们已指派一个团队来维护和更新这个网站，我们将不会停止，直到 Lazarus 或行业中的恶意行为者被消除。未来，我们还将向其他 Lazarus 的受害者开放这个漏洞赏金平台。” 该加密货币交易所已向客户保证，即使被盗资金无法追回，他们的资产也是有保障的，公司依然具有偿付能力。 Bybit 已聘请 Sygnia 和 Verichains 对此次事件进行调查，这些公司声称已确定了根本原因——攻击涉及来自 Safe{Wallet} 基础设施（特别是 AWS S3 存储桶）的恶意代码，没有迹象表明 Bybit 自己的基础设施被攻破。 Safe{Wallet} 是一个去中心化托管协议和集体资产管理平台，发表声明确认其成为 Lazarus 黑客的目标，黑客攻破了一名 Safe{Wallet} 开发者的机器。该公司指出，其智能合约未受影响，前端及其服务的源代码也未受影响。 根据目前掌握的信息，攻击者似乎在 2 月 19 日将一个恶意的 Safe{Wallet} JavaScript 文件替换为恶意代码，该代码针对 Bybit 的以太坊冷钱包，设计在下一次交易期间激活，这次交易发生在 2 月 21 日。 恶意代码在签名过程中操纵了交易内容，使其看起来像是将资金转移到正确的地址，而实际上资金却转入了黑客控制的地址。 攻击者随后迅速从 Safe{Wallet} JavaScript 文件中移除了恶意代码。 Chainalysis 于周三发布的《2025 年加密货币犯罪报告》显示，根据目前收集到的数据，2024 年用于非法活动的加密货币地址收到了大约 400 亿美元，但预计一旦所有数据被分析，这一金额将增加到 510 亿美元。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，被称为“空间海盗”的威胁行为者与一场针对俄罗斯信息技术（IT）组织的恶意活动有关，该活动使用了一种此前未被记录的恶意软件，名为 LuckyStrike Agent。 此次恶意活动于 2024 年 11 月被俄罗斯国有电信公司 Rostelecom 的网络安全部门 Solar 检测到。Solar 将该活动追踪为Erudite Mogwai。 攻击还使用了其他工具，如 Deed RAT（也称为 ShadowPad Light）和一个定制版本的代理工具 Stowaway，后者此前已被其他与中国有关的黑客组织使用。 “Erudite Mogwai是活跃的高级持续性威胁（APT）组织之一，专门从事机密信息窃取和间谍活动，”Solar 研究人员表示，“自 2017 年以来，该组织一直在攻击政府机构、各类组织的 IT 部门以及与航空航天和电力等高科技产业相关的企业。” 该威胁行为者最早于 2022 年由 Positive Technologies 公开记录，详细说明了其独家使用 Deed RAT 恶意软件的情况。该组织被认为与另一个名为 Webworm 的黑客组织在战术上有重叠。已知其针对俄罗斯、格鲁吉亚和蒙古的组织。 在针对一个政府行业客户的攻击中，Solar 表示发现攻击者部署了各种工具以协助侦察，同时还投放了 LuckyStrike Agent，这是一个多功能的 .NET 后门，使用 Microsoft OneDrive 进行命令与控制（C2）。 “攻击者不迟于 2023 年 3 月通过入侵一个公开访问的网络服务获得了对基础设施的访问权限，随后开始在基础设施中寻找‘低垂果实’，”Solar 表示，“在 19 个月的时间里，攻击者逐渐在客户的系统中扩散，直到 2024 年 11 月到达与监控连接的网络段。” 值得注意的是，攻击者还使用了修改版的 Stowaway，仅保留了其代理功能，并使用 LZ4 作为压缩算法，采用 XXTEA 作为加密算法，增加了对 QUIC 传输协议的支持。 “Erudite Mogwai开始通过削减不需要的功能来修改这个工具，”Solar 表示，“他们继续进行了一些小的修改，如重命名函数和更改结构大小（可能是为了绕过现有的检测特征）。目前，该组织使用的 Stowaway 版本可以称为一个完整的分支。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白俄罗斯黑客组织利用带有恶意软件的 Microsoft Excel 文档作为诱饵，以传递 PicassoLoader 的新变种。据评估，这一威胁集群是自 2016 年以来由与白俄罗斯对齐的黑客组织（称为 Ghostwriter，又名 Moonscape、TA445、UAC-0057 和 UNC1151）发起的长期活动的延伸。 “该活动自 2024 年 7 月至 8 月开始筹备，并于 11 月至 12 月进入活跃阶段，” SentinelOne 研究员 Tom Hegel 在一份与《黑客新闻》共享的技术报告中表示。“最近的恶意软件样本和命令与控制（C2）基础设施活动表明，该行动在最近几天仍然活跃。” 这家网络安全公司分析的攻击链的起点是一个来自名为 Vladimir Nikiforech 的账户的 Google Drive 共享文档，该文档托管了一个 RAR 压缩包。 远程访问木马（RAT）文件包含一个恶意 Excel 工作簿，当打开时，如果潜在受害者启用宏运行，将触发执行一个混淆的宏。该宏随后写入一个 DLL 文件，最终为 PicassoLoader 的简化版本铺平了道路。 在下一阶段，会向受害者显示一个诱饵 Excel 文件，而在后台，系统上会下载额外的有效载荷。早在 2024 年 6 月，这种方法就被用于传递 Cobalt Strike 后利用框架。 SentinelOne 表示，还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档，这些文档从远程 URL（“sciencealert[.]shop”）检索一个未知的第二阶段恶意软件，形式为看似无害的 JPG 图像，这种技术被称为隐写术。这些 URL 已不再可用。 在另一个实例中，被动手动的 Excel 文档被用来传递一个名为 LibCMD 的 DLL，该 DLL 旨在运行 cmd.exe 并连接到 stdin/stdout。它直接作为 .NET 程序集加载到内存中并执行。 “在整个 2024 年，Ghostwriter 反复使用包含 Macropack 混淆的 VBA 宏的 Excel 工作簿，并投放用 ConfuserEx 混淆的嵌入式 .NET 下载程序，” Hegel 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动设备安全公司 iVerify 的新发现表明，强大的零点击间谍软件的使用范围比之前理解的更为广泛，不仅影响民间社会成员，还波及企业高管。 iVerify 在周三宣布，仅在 12 月份，就在其测试的 18,000 台唯一设备中检测到了 11 台感染了 “飞马” 间谍软件。 iVerify 此前在 12 月份表示，自 5 月份首次提供诊断扫描服务以来，在提交测试的 3,000 部手机中发现了 7 部感染了 “飞马” 间谍软件。关于这些检测的新闻报道导致 iVerify 的威胁狩猎应用程序的使用范围更广，涵盖了更主流的用户群体。 该公司描述的最新受害者均在私营行业工作，包括房地产、物流和金融领域，只有一位是欧洲政府官员。愿意透露其所在地的受害者来自瑞士、波兰、巴林、西班牙、捷克共和国和亚美尼亚。 “飞马” 间谍软件由以色列公司 NSO Group 制造，多年来一直面临质疑，因为尽管该公司声称其产品仅出售给针对犯罪分子和恐怖分子的政府，但该间谍软件仍频繁出现在民间社会的手机中。零点击间谍软件无需与设备所有者直接交互即可安装。 iVerify 应用程序下载费用为 1 美元，用户可以每月扫描一次手机，检测高级商业间谍软件。设备所有者只需按照几个简单的步骤创建一个诊断文件，iVerify 将在几小时内完成评估。 该公司的扫描通过查找恶意软件签名并部分依赖机器学习来发现间谍软件感染的迹象和设备中的异常情况。 据 iVerify 称，新确认的检测发现了 2021-2023 年间的已知 “飞马” 变种，许多受害者被多种变种攻击。iVerify 表示，有些受害者被监视了数年。 iVerify 表示，仍在研究多个额外案例，这些案例中的法医痕迹表明可能存在潜在攻击。 企业高管成为 “飞马” 间谍软件的目标，为这场间谍软件危机增添了新的维度。这些高管可以接触到秘密的公司计划、财务数据，并且经常与其他在幕后进行敏感工作的有影响力的私营部门领导人交流，包括那些可能影响金融市场的交易。 迄今为止，大多数已知的 “飞马” 感染案例涉及记者、人权活动家、政治家和其他民间社会成员。 “从安全角度来看，世界对这种情况完全没有准备，” iVerify 联合创始人、前国家安全局分析师 Rocky Cole 在采访中表示。“这种情况比人们想象的要普遍得多。” Cole 表示，在最近的扫描中，只有一半被发现感染了 “飞马” 间谍软件的手机用户收到了苹果公司的威胁通知。 Cole 表示，公司只报告了 “真正阳性” 的 “飞马” 检测结果，并未包括那些无法通过独立外展验证身份的用户。 iVerify 还测试了其他类型的间谍软件，包括 Paragon（Graphite）、QuaDream（Reign）和 Intellexa（Predator）的产品，但这项新研究仅包括感染了 “飞马” 间谍软件的手机检测结果。   消息来源：The Record；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对 Palo Alto Networks PAN-OS 防火墙发动攻击，利用的是一个最近修复的漏洞（CVE-2025-0108），该漏洞允许绕过认证。 这一安全问题被评定为高严重性，影响 PAN-OS 管理 Web 界面，允许网络上的未认证攻击者绕过认证并调用某些 PHP 脚本，可能危及系统的完整性和机密性。 在 2 月 12 日的安全公告中，Palo Alto Networks 强烈敦促管理员将防火墙升级到以下版本以解决该问题： 11.2.4-h4 或更高版本 11.1.6-h1 或更高版本 10.2.13-h3 或更高版本 10.1.14-h9 或更高版本 PAN-OS 11.0 也受到影响，但该产品已达到生命周期终点（EoL），Palo Alto Networks 不计划为其发布任何修复。因此，强烈建议用户升级到受支持的版本。 受影响的 PAN-OS 版本： 11.2 版本低于 11.2.4-h4 11.1 版本低于 11.1.6-h1 10.2 版本低于 10.2.13-h3 10.1 版本低于 10.1.14-h9 该漏洞由 Assetnote 的安全研究人员发现并报告给 Palo Alto Networks。他们还在补丁发布时发布了包含完整利用细节的技术分析。 研究人员展示了如何利用这一漏洞提取敏感系统数据、检索防火墙配置，或可能操纵 PAN-OS 内的某些设置。 该漏洞的利用方式是利用 PAN-OS 中 Nginx 和 Apache 之间的路径混淆，从而绕过认证。 具有管理界面网络访问权限的攻击者可以利用这一点收集进一步攻击的情报，或通过修改可访问的设置来削弱安全防御。 威胁监控平台 GreyNoise 记录了针对未修补 PAN-OS 防火墙的利用尝试。这些攻击始于 2 月 13 日 17:00 UTC，似乎源自多个 IP 地址，可能表明不同威胁行为者正在利用该漏洞。 关于在线暴露的易受攻击设备，Macnica 研究员 Yutaka Sejiyama 告诉 BleepingComputer，目前有超过 4400 个 PAN-OS 设备在线暴露其管理界面。 为了防范正在进行的利用活动，考虑到概念验证（PoC）已公开，预计未来几天内可能会达到高潮，建议应用可用的补丁并限制对防火墙管理界面的访问。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文