苹果的 Wi-Fi 定位系统 (WPS) 可用于绘制和跟踪全球的 Wi-Fi 接入点 (AP)。但在Black Hat 2024 的一次演讲中，马里兰大学研究员 Erik Rye 将演示如何在几天内绘制数亿个 AP，甚至不需要苹果设备或任何类型的权限。 苹果如何暴露全球 AP 您是否曾经想过，您的手机如何知道它在世界上的位置？ 当然，全球定位系统 (GPS) 是它使用的工具之一，但它并不完美。当设备与天空失去清晰的联系时，它的效率就会降低，而且它会消耗大量电量，这对于如此持久的任务来说并不理想。 这就是 Wi-Fi 定位系统的用武之地。如果用 Wi-Fi 接入点 (AP) 替代卫星，WPS 的工作原理有点像 GPS。 首先，运行 Apple 或 Google 操作系统的设备会定期报告其位置（通过 GPS 或手机信号塔三角测量）以及来自附近网络的相对信号强度（用其基本服务集标识符或 BSSID 标记），从而提供一些距离指示。通过这种众包，这些公司开发了有关全球 AP 位置的庞大数据库。 正如 Rye 所解释的那样，“您可能不拥有任何 Apple 设备，但尽管如此，您的 Wi-Fi 接入点仍将进入此系统，这仅仅是因为拥有 Apple 设备的人会路过您的家、给您送包裹或住在您隔壁。” 然后，单个设备可以通过扫描附近的 Wi-Fi 网络并向公司服务器报告来确定其位置。在 Apple 的案例中，WPS 服务器将返回这些 Wi-Fi 网络的位置，设备可以将其与观察到的信号强度进行比较以确定其相对位置。那么，问题是什么呢？ Apple 的 WPS API 是开放且免费的。它是为 Apple 设备设计的，但任何人都可以从非 Apple 设备查询它，而无需任何类型的身份验证或 API 密钥。使用用 Go 编写并在 Linux 上运行的程序，Rye 暴力猜测了大量 BSSID 号码，直到他最终找到一个真正的 BSSID，为此，WPS API 端点向他赠送了一组靠近它的其他 BSSID。 “一旦开始获得命中，你就可以进行所谓的‘滚雪球抽样’，然后将其反馈回去，并不断反复抽样。”他解释道。“在不到一周的时间内，我们能够积累大约 5 亿个唯一的 BSSID。” 苹果 WPS 的一个特殊功能让这一过程变得更加高效。在响应位置查询时，它会主动返回最多 400 个结果，而不仅仅是几个附近的网络。 有什么风险？ “我们基本上可以创建一张地球的 Wi-Fi 地图，其中包括一些最偏远的地方：南极洲、大西洋中部的小岛等等。”Rye 说。 他的研究成果包括：一张为饱受战争蹂躏的乌克兰提供互联网接入的 Starlink AP 地图，以及一幅加沙地带互联网接入不断变化的图景，这些都可能是有价值的军事情报。 更有针对性的隐私攻击可能涉及在个人搬家或使用移动 AP（例如，在房车中）旅行时跟踪他们。 “这很有趣——每个人都有自己想要了解的案例研究。”赖伊说。“有人问过我们关于火人节的问题，这个问题很容易回答，因为火人节位于偏僻的地方。所以如果你的接入点出现在那里，我们就知道你来参加火人节了。” 什么可以做（什么不可以做） 细心的读者可能会问：如果苹果和谷歌都有 WPS，为什么我们只挑选一个呢？ 这两个系统都使用庞大的全球 BSSID 数据库来三角测量设备位置。但是，当 Android 设备查询 Google 的 WPS API 时，Google 的服务器会进行三角测量并回复结果，而不是回复一长串 BSSID。因此，所有额外数据都不会被暴露。 Google 还需要一个 API 密钥，它用它来对查询收取费用（最多每两次请求收取一分钱）。对于普通用户来说，这笔小费用微不足道，但对于需要猜测大量 BSSID 才能找到真实 BSSID 的攻击者来说，这笔费用是高得离谱的，就像 Rye 在测试中所做的那样。 这只是苹果、接入点制造商甚至立法者可以改善接入点安全性的众多方法中的两种。与此同时，个人也可以采取一些预防措施。 “如果你是一个技术娴熟的用户——运行OpenWrt 或类似程序——你可以手动随机化你的 BSSID。但这超出了大多数人的能力范围。”Rye 说。 特别处于危险中的个人可以完全避免使用旅行 AP，并在每次搬家时采用新的 AP。Rye 补充道：“Apple 已实施了选择退出功能。如果您在网络名称末尾添加‘_nomap’，Apple 表示这将阻止您的 Wi-Fi 接入点进入他们的系统。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/teziza2UEcX8a0U9G-7_KQ 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达检测显示，近 100 亿条密码汇编集合 RockYou2024 发生泄露，造成了史上最大密码泄露事件，此次泄露对倾向于重复使用密码的用户构成了严重威胁。 知道创宇暗网雷达截图 研究发现，RockYou2024 是迄今为止最大的密码汇编泄露事件，泄露数据文档中竟包含 9948575739 个独特的明文密码。 暗网论坛上黑客帖子的截图 上传该文档的黑客此前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及位于Burlington 的 Rowan College 学生申请表。 资讯平台 Cybernews 的研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照，结果显示这些密码来自新旧数据泄露的混合。 泄露的数据集中包含了各种个人用户在线账户的密码，暴露了全球用户的真实密码汇编，大大增加了凭证填充攻击的风险。而这种攻击可能会对用户和企业造成严重损害。例如，最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。 此外，攻击者可以利用 RockYou2024 密码汇编进行暴力破解攻击，并在未经授权的情况下访问使用数据集中所含密码的个人所使用的各种在线账户。RockYou2024与黑客论坛和市场上的其他泄露数据库（例如包含用户电子邮件地址和其他凭证的数据库）相结合，可能导致一连串的数据泄露、金融欺诈和身份盗窃事件发生。 RockYou 并非首次泄露 2021年，Cybernews 平台发表了一篇关于RockYou2021密码汇编的文章，当时最大的密码汇编包含 84 亿个纯文本密码。根据上图中黑客发表的声明可知，他们通过在互联网上搜索数据泄露信息来开发该数据集，从 2021 年到 2024 年增加了 15 亿个密码，数据集增加了 15%。 RockYou2021 汇编是 2009 年数据泄露事件的延伸事件，其中包括数千万个社交媒体账户的用户密码。自此之后，汇编的数量急剧增加。最新的 RockYou 版本包含了20多年来从 4000 多个数据库中收集的信息。 如何防范 RockYou2024？ 尽管目前并没有很好的方法来保护密码泄露的用户，但受影响的个人和组织可以采取缓解策略。Cybernews 研究小组给出了以下建议： 立即重置与泄漏密码相关的所有账户密码，强烈建议在不同的平台上使用的不同的密码； 尽可能启用多因素身份验证 (MFA)，通除密码之外的额外验证来增强安全性； 利用密码管理器软件生成和存储复杂密码，降低不同账户重复使用密码的风险。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，cybernews

近日，Twilio 称发现了一个不安全的 API 端点，允许威胁行为者非法验证数百万 Authy 多因素身份验证用户的电话号码，这可能导致他们收到短信钓鱼，同时还可能会遭遇 SIM 卡交换攻击。 Authy 是一款移动应用程序，可在启用了 MFA 的网站上生成多因素验证码。 6 月底，一个名为 ShinyHunters 的威胁行为者泄露了一个 CSV 文本文件，其中包含他们在 Authy 服务注册的 3300 万个电话号码。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据来源：BleepingComputer CSV 文件包含 33420546 行内容，每一行都包含账户 ID、电话号码、”over_the_top “列、账户状态和设备数量。 Twilio 表示，有威胁分子使用了一个未经验证的 API 端点编译了电话号码列表。目前，Twilio 检测到由于使用了未经身份验证的端点，威胁行为者能够识别与 Authy 账户相关的数据，包括电话号码。Twilio 现已采取措施保护该端点的安全，不再允许未经身份验证的请求。 目前还没有任何证据表明威胁行为者获取了 Twilio 的系统或其他敏感数据。不过作为预防措施，Twilio 要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序，以获取最新的安全更新，并敦促所有 Authy 用户保持警惕，提高对网络钓鱼和网络诈骗攻击的防范意识。 2022 年Twilio 曾披露过两起漏洞攻击事件，当时有威胁行为者入侵了其基础设施并访问 Authy 客户信息。 滥用不安全的 API 据悉，这些数据是通过不安全的 API 端点输入大量电话号码列表编制而成的。如果号码有效，端点就会返回在 Authy 注册的相关账户信息。 这种技术与此前威胁行为者滥用Twitter API 和 Facebook API 编译数千万用户配置文件的方式类似。 ShinyHunters 在帖子中称：虽然 Authy 只获取电话号码，但这对于那些想实施诈骗、SIM 卡交换攻击入侵账户的用户仍然有利。并暗示威胁行为者将电话号码列表与据称 Gemini 和 Nexo 数据泄露事件中泄露的电话号码进行比较。 如果发现匹配，威胁者可能会尝试执行 SIM 卡交换攻击或网络钓鱼攻击，入侵加密货币交易所账户并窃取所有资产。 Twilio 目前已经发布了新的安全更新，并建议用户升级到 Authy Android（v25.1.0）和 iOS App（v26.1.0），其中包括安全更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405195.html 封面来源于网络，如有侵权请联系删除

最大的密码汇编包含近百亿个唯一密码，在一个流行的黑客论坛上被泄露。Cybernews 研究团队认为，此次泄露对倾向于重复使用密码的用户构成了严重威胁。 Cybernews 研究人员发现了似乎是最大的密码汇编，其中包含惊人的 9,948,575,739 个独特的明文密码。包含数据的文件名为 rockyou2024.txt，由论坛用户 ObamaCare 于 7 月 4 日发布。 虽然该用户于 2024 年 5 月下旬注册，但他们之前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿县罗文学院的学生申请。 Cybernews 研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照，结果显示这些密码来自新旧数据泄露的混合。 研究人员表示：“从本质上讲，RockYou2024 泄露的是世界各地个人使用的真实密码汇编，大大增加了凭证填充攻击（就是中国网民熟悉的撞库攻击）的风险。” 凭证填充攻击可能会对用户和企业造成严重损害。例如，最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。 该团队解释说：“攻击者可以利用 RockYou2024 密码汇编进行暴力攻击，泄露的数据集中包含各种个人用户使用的在线帐户密码。” 并非第一次 RockYou2024 密码汇编并非从天而降。三年前，Cybernews 发表了一篇关于RockYou2021密码汇编的文章，当时最大的密码汇编包含 84 亿个纯文本密码。 根据该团队对 RockYou2024 的分析，攻击者通过在互联网上搜索数据泄露来开发数据集，从 2021 年到 2024 年又增加了 15 亿个密码，使数据集增加了 15%。 RockYou2021 汇编是 2009 年数据泄露事件的扩展，其中包含数千万个社交媒体账户的用户密码。然而，自那以后，汇编数量呈指数级增长。最有可能的是，最新的 RockYou 版本包含了 20 多年来从 4,000 多个数据库收集的信息。 Cybernews 团队认为，攻击者可以利用多达 100 亿的 RockYou2024 汇编来攻击任何未受暴力破解攻击保护的系统。这包括从在线和离线服务到接入互联网的一切工业硬件。 “此外，结合黑客论坛和市场上其他泄露的数据库（例如包含用户电子邮件地址和其他凭证），RockYou2024 可能导致一系列数据泄露、金融欺诈和身份盗窃。”该团队表示。 如何防范 RockYou2024？ 显然，并没有灵丹妙药来保护已暴露密码的用户，但受影响的个人和组织可以采取缓解策略。安全研究人员建议： 1.使用随机密码管理器来随机生成复杂密码，比如Chrome浏览器自带的密码管理工具，可以随机生成密码，并可以对弱密码、已泄露密码进行检测； 2.使用多重验证工具进行身份验证，微软、谷歌均提供了Authenticator验证工具，建议网民通过苹果、安卓应用商店下载安装。 3.中国主流互联网服务均支持社交媒体工具（微信、支付宝、抖音等）扫码验证或手机短信验证，部分与金融服务相关的关键业务必须通过刷脸验证或人工验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/G4kMwOvDP1vbE4fT_mJ0CQ 封面来源于网络，如有侵权请联系删除

Passkey（通行密钥）是一种流行的无密码技术，多用于验证用户对云托管应用程序的访问。尽管Passkey被寄予厚望，号称密码终结者，但却容易受到中间对手（AitM）攻击。根据eSentire的一项研究，如果Passkey未能正确实施，例如提供不太安全的备份身份验证方法，容易遭受AitM攻击，攻击者通过修改向用户显示的提示来绕过身份验证流程。 大多数Passkey实现可被绕过 “在Passkey仅用作第一因素身份验证方法时，其备份身份验证容易受到AitM攻击，”eSentire威胁响应部门（TRU）的首席安全研究员Joe Stewart在博客文章中指出：“由于AitM可以通过修改登录页面中的HTML、CSS和图像或JavaScript来操纵呈现给用户的视图，当它被代理到最终用户时，他攻击者可以控制身份验证流程并删除对密钥身份验证的所有引用。” 这一发现意味着，在无密码密钥身份验证之后被认为更安全的帐户（例如银行、电子商务、社交媒体、云帐户和软件开发平台等在线平台上的帐户）仍然可以被入侵。 Stewart在博客中发布了POC并指出，开源AitM软件（如Evilginx）可用于欺骗GitHub，Microsoft和Google等流行IT服务的用户。 在Evilginx中，可以通过一些编辑（编辑显示文本）来部署特定的Phishlet，即通过从真实登录页面捕获身份验证令牌和会话cookie来启用AitM攻击的脚本，以诱骗用户进行密钥身份验证。 “我们使用了标准的GitHub网络钓鱼进行测试，”Stewart说道：“当目标用户访问诱饵URL时，除了URL栏中的主机名之外，他们看到的钓鱼页面与普通的GitHub登录页面一样，因为它就是真实的GitHub登录页面，只是通过Evilginx代理。” 然而，通过稍微修改网络钓鱼配置，攻击者可以删除“使用Passkey登录”的文本，Stewart补充说，这意味着攻击者可以很容易地诱骗用户选择基于密码的备份身份验证。 该研究指出，对于使用Passkey作为第一因素和第二因素身份验证方法的情况，都可实施此类攻击。除非用户安全意识极强，能够记得界面中（应该有）Passkey选项，否则很可能会直接输入用户名和密码，这些用户名和密码将与身份验证令牌/cookie一起被发送给攻击者，后者可以使用这些令牌/cookie来保持对帐户的持续访问。 根据Stewart的说法，passkeys.directory上列出的大多数Passkey实现都容易受到此类身份验证方法编辑攻击。 最安全的备份身份验证方法 该研究进一步强调，几乎所有的Passkey备份身份验证方法都容易受到AitM攻击，包括密码、安全问题、向受信任设备推送通知、社交受信任联系人恢复、短信代码、电子邮件、电话、KYC/文件验证或预定义电子邮件或短信号码上的魔术链接。其中，只有社交可信联系人恢复、KYC验证和魔术链接等选项才能通过繁琐的设置来阻止AitM。 研究者指出，第二密钥或FIDO2硬件密钥是最安全的方法。“显然，拥有多个密钥才是最安全的方法，最好是至少有一个密钥是由PIN安全存储和保护的硬件密钥，”Stewart指出：“Passkey的采用仍处于早期阶段，在密钥/安全密钥丢失或AitM身份验证流程被操纵的情况下，魔术链接可能是目前恢复用户帐户最安全的方法。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Pcoh2uAb8nVIj4ephuQiyg 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，一起来自多国执法机构组成的联合行动成功关闭了 593 台运行未经授权版本的 Cobalt Strike 的流氓服务器，这些服务启经常被网络犯罪分子滥用。 这项为期一周的行动于 2024 年 6 月 24 日开始，代号为“墨菲斯行动”，由英国国家犯罪局（NCA）牵头，由欧洲刑警组织协调。参与的机构包括联邦调查局、澳大利亚联邦警察和加拿大皇家骑警，针对 27 个国家和地区的 129 家互联网服务提供商的 690 个恶意 Cobalt Strike 软件实例。 行动结束时，通过向互联网服务提供商发送服务器下线和滥用通知，提醒他们注意网络上的恶意软件，其中 593 个实例已被清除。该行动还利用恶意软件信息共享平台共享实时威胁情报，帮助识别了近 120 万个危害指标。 Cobalt Strike是一种合法的网络安全工具，专为渗透测试和红队行动而设计，能帮助安全专业人员模拟网络攻击，以识别和缓解网络中的漏洞。然而，强大的功能使其成为网络犯罪分子的最爱，利用它们进行真实攻击，包括勒索软件和数据盗窃。 被这次行动关闭的服务器预计将极大地破坏依赖 “Cobalt Strike “进行攻击的网络犯罪行动。不过专家提醒，这可能只是暂时的。 取缔Cobalt Strike 非法行为是一项多方面的工作，涉及实时威胁情报共享、网络扫描、主动探测、与互联网服务提供商合作以及国际协调。但网络犯罪分子通常具有较快的应变与适应能力，往往在服务器被攻陷后不久就会建立新的基础设施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405155.html 封面来源于网络，如有侵权请联系删除

BleepingComputer 网站消息，近日，Xbox Live 服务因重大故障而瘫痪，全球用户受到影响，无法登录 Xbox 账户和玩游戏。 根据大量用户报告，该在线游戏平台已瘫痪至少三个小时，用户无法玩需要登录 Xbox 账户的云游戏和离线游戏。Xbox 支持团队表示，他们知道有些用户的 Xbox Live 已经断开，正在进行调查。 截至文章发布，Xbox 状态页面仍然显示中断，账户和配置文件服务受到影响。 这次中断影响了不同平台的用户，包括云游戏、Xbox One 游戏机、Windows 上的 Xbox、安卓设备、苹果设备和网络服务等。 在第一批用户报告出现在网上几个小时之后，Xbox 团队承认了这一问题。 Xbox 团队解释说：”您可能无法登录 Xbox 配置文件，登录时可能会断开连接，或出现其他相关问题。大多数游戏、应用程序和社交活动等需要登录的功能将无法使用。” 自中断开始以来，Downdetector 已收到数万份服务问题报告，受影响的玩家称他们无法登录账户玩游戏，并报告了服务器问题。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405076.html 封面来源于网络，如有侵权请联系删除

随着“大菠萝”、Flipperzero等WiFi黑客硬件的流行，在机场、航班、酒店、办公楼等公共场所架设恶意WiFi热点窃取隐私数据的“恶作剧”越来越多，这种行为是否“可刑”？近日，澳大利亚联邦警察（AFP）指控一名澳大利亚男子在珀斯、墨尔本和阿德莱德的多趟国内航班和机场实施“恶意双胞胎”WiFi攻击，窃取他人的电子邮件或社交媒体账号。警方在2024年4月接到航空公司员工的报告后开始调查，并在检查其在机场被扣押的设备后，发现了该男子从事网络间谍活动的证据。 “恶意双胞胎”WiFi攻击 “恶意双胞胎”WiFi网络指恶意或假冒的无线接入点，使用与特定区域合法WiFi网络相同的SSID（WiFi网络名称）。例如，许多航班提供机上WiFi服务，要求乘客首先连接到航空公司的WiFi网络。 网络犯罪分子进行“恶意双胞胎”攻击时，会首先设置一个自己控制的WiFi网络，使用与航空公司WiFi网络相同的名称（信号甚至更强）。试图连接到这些恶意接入点的用户会被引导到一个假登录页面（钓鱼网页），要求他们使用电子邮件地址、密码或其他凭证登录。 澳大利亚警方表示，这名被捕的澳大利亚男子使用便携WiFi设备在多个地点创建免费WiFi接入点，要求用户使用其电子邮件或社交媒体账户登录。该男子收集了这些信息，随后可用于访问更敏感的数据、劫持社交媒体账户、敲诈受害者或将其出售给其他网络犯罪分子。 “AFP网络犯罪调查员已确定与珀斯、墨尔本和阿德莱德机场的欺诈性WiFi页面使用相关的数据，作案地点除澳洲国内航班外，还包括该男子离职前的工作地点。”AFP透露。 最高可判23年 目前，关于该男子利用所窃取信息从事非法活动的调查仍在进行中。该嫌疑人面临的刑事指控包括： 未经授权干扰电子通信，最高可判处10年监禁。 持有意图实施严重犯罪的数据，最高可判处3年监禁。 未经授权访问或修改受限制数据，最高可判处2年监禁。 不诚实地获取或处理个人财务信息，最高可判处5年监禁。 持有意图实施犯罪的身份信息，最高可判处3年监禁。 上述罪名如果全部成立，该嫌疑人面临的最高刑期将长达23年。 公众场所使用WiFi安全需知 在公共场所，恶意或不可信的WiFi接入点是最常见的风险之一，需要使用此类网络的用户应谨慎分享其他登录凭证。专家建议在不可信的WiFi网络上关闭文件共享，并使用VPN加密互联网流量，防止敏感信息被捕获。网络安全研究员Daniel Card认为，网络犯罪分子极少使用“恶意双胞胎”WiFi攻击，大多数人无需为此担心。 “这种攻击完全可能，我们在实验室中以及安全测试/培训中都会进行这种攻击，但在现实世界中很少见到，”Card在接受BleepingComputer采访时表示：“这属于近距离的网络钓鱼。除了在黑客会议上作为演示/玩笑/比赛使用外，我处理过的所有黑客事件中都未曾见过或听说过这种攻击。” 不过，Card提到2018年被起诉的俄罗斯国家黑客组织GRU曾实施“恶意双胞胎”攻击以监控目标的互联网流量。 Card认为，告诉人们不要使用WiFi是不现实的，因为在长途旅行中使用无线网络对员工和学生来说至关重要。他认为，用户名和密码是有缺陷的认证机制，因此需要多因素认证（MFA）和强大的安全标准来保护我们的账户。   转自e安全，原文链接：https://mp.weixin.qq.com/s/SOVxli_IL4-o79v3r4UCRg 封面来源于网络，如有侵权请联系删除

思科修补了 4 月份曝出的 NX-OS 零日漏洞，威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份，安装未知恶意软件。 网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件，威胁攻击者利用安全漏洞进入受害者内部系统后，收集了大量的管理员级的凭据，一边可以随时访问思科 Nexus 交换机，部署了一个此前未出现过的定制化恶意软件。 此后，威胁攻击者利用这一”渠道“，便可以轻松的远程连接到受害者的设备，上传额外文件并执行恶意代码。 接到漏洞通知后，思科方面立刻做出回应，指出具有管理员权限的本地威胁攻击者可以利用安全漏洞（跟踪为 CVE-2024-20399），在易受攻击设备的底层操作系统上以 root 权限执行任意命令。 此外，思科相关负责人还指出，CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的，使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数，从而利用这一安全漏洞。 一旦威胁攻击者成功利用该安全漏洞后，就可以以 root 权限在底层操作系统上执行任意命令。 受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机： MDS 9000 系列多层交换机； Nexus 3000 系列交换机； Nexus 5500 平台交换机； Nexus 5600 平台交换机； Nexus 6000 系列交换机； Nexus 7000 系列交换机； 独立 NX-OS 模式下的 Nexus 9000 系列交换机。 威胁攻击者还可以利用 CVE-2024-20399 安全漏洞，在不触发系统 syslog 消息的情况下执行命令，从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。 因此，思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。 今年 4 月，思科曾警告称，自 2023 年 11 月以来，一个由国家支持的黑客组织（被追踪为 UAT4356 和 STORM-1849）一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞（CVE-2024-20353 和 CVE-2024-20359），针对全球政府网络开展名为 ArcaneDoor 的活动。 当时，斯克公司多次强调，安全研究人员还发现有证据表明，威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后，威胁攻击者利用这些安全漏洞安装了未知的恶意软件，使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。 值得一提的是，思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。 上个月，Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备，在这次攻击活动中，威胁攻击者利用对受害者网络的持续访问，在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/404980.html 封面来源于网络，如有侵权请联系删除

虚假的 IT 支持网站宣传针对常见 Windows 错误（如 0x80070643 错误）的恶意 PowerShell“修复”，以使用窃取信息的恶意软件感染设备。 这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现，它们通过已被入侵和劫持的 YouTube 频道进行推广，以增加内容创建者的合法性。 具体来说，威胁行为者正在制作虚假视频，宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。 在 2024 年 1 月补丁星期二期间，微软发布了安全更新以修复 BitLocker 加密绕过漏洞，该漏洞被追踪为 CVE-2024-20666。 安装更新后，全球的 Windows 用户报告称，在尝试安装更新时收到“0x80070643 – ERROR_INSTALL_FAILURE”，无论他们如何努力，该错误都不会消失。 “安装更新时出现一些问题，但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息，这可能会有所帮助：（0x80070643）”，Windows 更新错误显示。 Windows 更新中的 0x80070643 事实证明，Windows Update 显示了不正确的错误消息，因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。微软解释称，新的安全更新要求 WinRE 分区有 250MB 的可用空间，如果没有，则必须自行手动扩展该分区。但是，对于那些 WinRE 不是驱动器上的最后一个分区的人来说，扩展 WinRE 分区很复杂，甚至是不可能的。因此，许多人无法安装安全更新，并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。 这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。 虚假 IT 网站宣传 PowerShell 修复程序 据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。 eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。” “当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。” 研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。 就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。 YouTube 上宣传的虚假 IT 支持网站 这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。 伪装成 Windows 错误修复程序的恶意 PowerShell 脚本 该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。 混淆的 Windows 注册表文件 但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。 未混淆的 Windows 注册表文件 使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。 虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。 您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。 至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCN4EZMLj7Hhlszvau0xdA 封面来源于网络，如有侵权请联系删除