HackerNews 编译，转载请注明出处： 社交媒体平台 X（原 Twitter）现已开始屏蔽指向 “Signal.me” 的链接，该链接是 Signal 加密消息应用用于分享用户账户信息的一种方式。 据 BleepingComputer 测试和其他用户的报告，尝试通过公开帖子、私信或个人简介发布 Signal.me 链接时，会收到错误提示，称存在垃圾邮件或恶意软件风险。 当用户尝试发送 Signal.me 链接时，会看到如下错误提示：“此请求看起来可能是自动化的。为了保护我们的用户免受垃圾邮件和其他恶意活动的侵害，我们目前无法完成此操作。请稍后再试。” 我们的测试显示，只有包含 “signal.me” URL 的消息才会被屏蔽。 记者 Matt Binder 首次报道了这一问题，他表示目前尚不清楚这一行为是从何时开始的。 “目前尚不清楚 X 从何时开始在平台上屏蔽 ‘Signal.me’ 链接，”Binder 在其报道中解释道。“然而，这似乎是一个相当新的变化，因为用户之前可以在公开帖子和他们的个人简介中包含 ‘Signal.me’ 链接。其他 Signal 链接，如 Signal.org，似乎并未被屏蔽。” 其他与 Signal 相关的 URL，如 Signal.link 和 Signal.group 链接，似乎并未受到屏蔽影响。此外，第三方消息服务（如 Telegram）的联系人链接仍可在 X 平台上正常分享。 与此同时，在屏蔽措施实施之前已发布在 X 上的 Signal.me 链接仍然可以点击，但用户在点击链接时会看到一条警告，提示该链接可能不安全。 研究员 Tommy Mysk 是本周末最早发现这一问题的人之一，他告诉 BleepingComputer，目前尚不清楚这一行动背后的原因。 “我是偶然发现的。我不能推测，但这一行为看起来与他们屏蔽 Mastodon 链接时的情况非常相似，”Mysk 表示。 2023 年，埃隆·马斯克收购 Twitter 后，该社交平台开始屏蔽指向竞争对手平台的链接，如 Facebook、Instagram 和 Mastodon。在用户抗议后，这一政策很快被撤销。 最近，马斯克因他领导的美国政府部门——政府效率部（DOGE）——获取多个美国政府机构的数据而受到批评。 据报道，Signal 这款流行的端到端加密通信应用被联邦雇员广泛用于向记者报告 DOGE 的违规行为。 因此，有人猜测 X 上对 Signal.me 链接的屏蔽可能是出于政治动机。然而，X 尚未对屏蔽一事发表任何声明，也未回应置评请求。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一种新型名称混淆攻击“whoAMI”，该攻击允许任何发布具有特定名称的亚马逊机器镜像（AMI）的人在亚马逊网络服务（AWS）账户内获得代码执行权限。 Datadog安全实验室研究员Seth Art在一份与《黑客新闻》共享的报告中表示：“如果大规模执行，这种攻击可以用于获取数千个账户的访问权限。这种易受攻击的模式可以在许多私有和开源代码仓库中找到。” 这种攻击本质上是一种供应链攻击，通过发布恶意资源并诱骗配置错误的软件使用它而不是合法的对应资源来实现。 攻击利用了任何人都可以将AMI（用于在AWS中启动弹性计算云EC2实例的虚拟机镜像）发布到社区目录这一事实，以及开发人员在通过ec2:DescribeImages API搜索时可能省略“–owners”属性的情况。 具体来说，当受害者通过API检索AMI ID时，名称混淆攻击需要满足以下三个条件： 使用名称过滤器， 未指定所有者、所有者别名或所有者ID参数， 从返回的匹配镜像列表中获取最新创建的镜像（“most_recent=true”）。 这使得攻击者可以创建一个与搜索条件中指定的模式匹配的恶意AMI，从而导致使用威胁行为者的“替身”AMI创建EC2实例。反过来，这授予了对实例的远程代码执行（RCE）能力，允许威胁行为者发起各种后续利用行动。 攻击者只需要一个AWS账户，就可以将他们的后门AMI发布到公共社区AMI目录，并选择一个与目标所寻求的AMI匹配的名称。 “这与依赖混淆攻击非常相似，只是在后者中，恶意资源是一个软件依赖项（如pip包），而在whoAMI名称混淆攻击中，恶意资源是一个虚拟机镜像，”Art说。 Datadog表示，该公司监控的大约1%的组织受到了whoAMI攻击的影响，并且发现了使用易受攻击标准编写的Python、Go、Java、Terraform、Pulumi和Bash shell的公开代码示例。 在2024年9月16日负责任地披露后，亚马逊在三天后解决了这个问题。当被要求置评时，AWS告诉《黑客新闻》，它没有发现任何证据表明这种技术在野外被滥用。 “所有AWS服务都按设计运行。根据广泛的日志分析和监控，我们的调查确认，这项研究中描述的技术仅由授权研究人员执行，没有证据表明任何其他方使用了它，”该公司表示。 “这种技术可能会影响通过ec2:DescribeImages API检索亚马逊机器镜像（AMI）ID但未指定所有者值的客户。2024年12月，我们推出了Allowed AMIs，这是一种新的账户范围设置，使客户能够限制在其AWS账户内发现和使用AMI。我们建议客户评估并实施这一新的安全控制措施。” 截至去年11月，HashiCorp Terraform已开始在terraform-provider-aws版本5.77.0中使用“most_recent = true”但未使用所有者过滤器时向用户发出警告。预计该警告诊断将在版本6.0.0中升级为错误。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与朝鲜有关的国家级威胁行为者被指与一场针对韩国商业、政府和加密货币部门的持续活动有关。 这场被 Securonix 命名为 DEEP#DRIVE 的攻击活动，被归因于一个名为 Kimsuky 的黑客组织，该组织也被追踪为 APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427 和 Velvet Chollima。 “攻击者利用用韩语编写的定制网络钓鱼诱饵，伪装成合法文件，成功渗透到目标环境。” 安全研究人员丹・尤兹维克（Den Iuzvyk）和蒂姆・佩克（Tim Peck）在一份与《黑客新闻》共享的报告中表示，并将此活动描述为“复杂且多阶段的操作”。 通过网络钓鱼电子邮件发送的诱饵文件，格式为 .HWP、.XLSX 和 .PPTX，伪装成工作日志、保险文件和与加密货币相关的文件，诱使收件人打开它们，从而触发感染过程。 攻击链值得注意的是其在各个阶段大量依赖 PowerShell 脚本，包括有效载荷传递、侦察和执行。其特点还在于使用 Dropbox 进行有效载荷分发和数据窃取。 这一切都始于一个包含单个 Windows 快捷方式（.LNK）文件的 ZIP 压缩包，该文件伪装成合法文件。当提取并运行时，会触发 PowerShell 代码的执行，以从 Dropbox 获取并显示诱饵文件，同时通过名为“ChromeUpdateTaskMachine”的计划任务在 Windows 主机上秘密建立持久性。 其中一个用韩语编写的诱饵文件涉及物流设施叉车操作的安全工作计划，深入探讨了重型货物的安全处理，并概述了确保遵守工作场所安全标准的方法。 PowerShell 脚本还设计为联系同一个 Dropbox 位置以获取另一个 PowerShell 脚本，该脚本负责收集和窃取系统信息。此外，它还会投放第三个 PowerShell 脚本，最终负责执行一个未知的 .NET 程序集。 “使用基于 OAuth 令牌的身份验证进行 Dropbox API 交互，使得侦察数据（如系统信息和活动进程）能够无缝窃取到预定文件夹。” 研究人员表示。 “这种基于云的基础设施展示了一种有效且隐蔽的方法来托管和检索有效载荷，绕过了传统的 IP 或域名阻止列表。此外，该基础设施似乎具有动态性和短寿命，正如攻击初期阶段后关键链接的迅速移除所证明的那样，这不仅使分析复杂化，还表明攻击者积极监控其活动以确保操作安全。” Securonix 表示，他们能够利用 OAuth 令牌获得更多关于威胁行为者基础设施的洞察，发现证据表明这场活动可能从去年 9 月就开始了。 “尽管缺少最后阶段，但分析突显了攻击者采用的复杂技术，包括混淆、隐蔽执行和动态文件处理，这些技术表明攻击者意图规避检测并使事件响应复杂化。” 研究人员总结道。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略，通过欺骗目标以管理员身份运行PowerShell，随后指示受害者粘贴并执行其提供的恶意代码。 微软威胁情报团队在X平台上发布的一系列帖子中表示：“为了执行这一战术，黑客伪装成韩国政府官员，并与目标建立信任关系，之后通过钓鱼邮件发送带有PDF附件的邮件。” 受害者被说服点击包含Windows系统注册步骤链接的URL，以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。 如果受害者照做，恶意代码将下载并安装基于浏览器的远程桌面工具，并从远程服务器下载包含硬编码PIN的证书文件。 微软表示：“该代码随后向远程服务器发送网页请求，使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。” 微软还表示，自2025年1月以来，该攻击方法在少数攻击中得到了应用，并称其与Kimsuky黑客组织以往的攻击手法有所不同。 值得注意的是，Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月，调查显示，与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户，在Apple macOS系统的终端应用中复制并执行恶意命令，声称是为了解决浏览器无法访问摄像头和麦克风的问题。 此类攻击在近几个月内迅速增加，部分原因在于它们依赖目标自行感染机器，从而绕过了安全防护。 亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场” 与此同时，美国司法部（DoJ）宣布，亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪，该计划使朝鲜黑客能够冒充美国公民和居民，在超过300家美国公司获得远程工作机会。 司法部表示，从2020年10月到2023年10月，这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元，违反了国际制裁。 司法部称：“作为美国公民，Chapman与海外IT工人合作，从2020年10月到2023年10月，盗取美国国民的身份，并利用这些身份申请远程IT工作，进一步实施计划时，向国土安全部传递虚假文件。” “Chapman和她的同谋在数百家美国公司获得了工作机会，包括财富500强公司，通常是通过临时工作人员公司或其他承包机构。” 被告于2024年5月被捕，她还被指控通过在家中设置多个笔记本电脑，运营一个“笔记本电脑农场”，制造出朝鲜工人正在国内工作的假象，实际上这些工人位于中国和俄罗斯，通过远程连接到公司的内部系统。 司法部补充道：“由于Chapman及其同谋的行为，超过300家美国公司受影响，超过70个美国公民身份被泄露，超过100次向DHS传递虚假信息，超过70名美国人被错误地创建了税务责任。” 随着执法部门加大对这一IT工人计划的审查，相关的数据外泄和勒索行为不断升级。 美国联邦调查局（FBI）在上个月发布的通报中表示：“在被发现连接到公司网络后，朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索，直到公司满足赎金要求。”FBI还表示：“在某些情况下，朝鲜IT工人已公开发布受害公司专有代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场利用近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，试图猜测多种网络设备的登录凭证，包括Palo Alto Networks公司、Ivanti 公司以及 SonicWall 公司的设备。 暴力破解攻击是指威胁分子尝试用大量用户名和密码反复登录账户或设备，直到找到正确的组合。一旦他们获得了正确的登录凭证，这些威胁分子就可以利用这些凭证来劫持设备或获取网络访问权限。 据威胁监测平台 “影子服务器基金会”（The Shadowserver Foundation）称，自上个月起，这种暴力破解攻击一直在持续，每天动用近 280 万个源 IP 地址来实施攻击。 其中大多数（110 万个）来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但总体上参与这一活动的来源国家数量非常多。 这些是诸如防火墙、VPN、网关以及其他安全设备之类的边缘安全设备，通常暴露在互联网上以方便远程访问。 发起这些攻击的设备大多是 MikroTik、华为、思科、Boa 和中兴的路由器以及物联网设备，这些设备通常被大型恶意软件僵尸网络攻陷。 “影子服务器基金会” 在给 BleepingComputer 的一份声明中证实，这一活动已经持续了一段时间，但最近规模大幅扩大。 “影子服务器” 还表示，攻击 IP 地址分布在许多网络和自治系统中，很可能是僵尸网络或与住宅代理网络相关的某种操作。 住宅代理是互联网服务提供商（ISP）分配给消费者客户的 IP 地址，因其在以下方面用途广泛而备受青睐：网络犯罪、网页抓取、地理限制绕过、广告验证、球鞋 / 票务倒卖等。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通家庭用户，而非机器人、数据抓取者或黑客。 此次攻击所针对的网关设备，如防火墙等，可能会被用作住宅代理操作的代理出口节点，通过组织的企业网络路由恶意流量。 这些节点被认为是 “高质量” 的，因为组织通常声誉良好，攻击更难被发现和阻止。 保护边缘设备免受暴力破解攻击的措施包括：将默认管理员密码更改为强密码且独一无二的密码、强制执行多因素身份验证（MFA）、使用可信 IP 的允许列表，以及如果不需要则禁用网络管理界面。 最后，对这些设备应用最新的固件和安全更新至关重要，因为这可以消除威胁分子可利用来获得初始访问权限的漏洞。 去年 4 月，思科曾警告称，针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动在全球范围内展开。 去年 12 月，Citrix 也曾警告称，针对 Citrix Netscaler 设备的密码喷射攻击在全球范围内发生。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国工程巨头 IMI 周四向伦敦证券交易所（LSE）提交了一份简短通知，称其成为了网络攻击的受害者。 “[IMI] 目前正在应对一起涉及公司系统未经授权访问的网络安全事件，”该公司向 LSE 表示。 该公司尚未透露其面临的事件类型，但表示已聘请外部网络安全专家进行调查并控制攻击。 “与此同时，公司正在采取必要措施以遵守监管义务，”IMI 说。 这家工程巨头表示，将在适当的时候提供更多信息，并在回复 SecurityWeek 的询问时拒绝透露有关事件性质和影响的进一步细节。 此次攻击的披露大约是在另一家英国工程公司史密斯集团（Smiths Group）披露影响其某些系统的网络攻击一周后。 “我们目前正在进行一起涉及系统未经授权访问的网络事件。我们一旦意识到这一活动，就迅速隔离了受影响的系统并启动了业务连续性计划，”史密斯集团上周表示。 目前尚不清楚这两起攻击中是否使用了勒索软件，以及黑客是否试图对这两家工程巨头进行敲诈。SecurityWeek 尚未看到任何已知的勒索软件组织声称对这些事件负责。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Silent Lynx的此前未被记录的威胁行为者已被证实与针对吉尔吉斯斯坦和土库曼斯坦多个实体的网络攻击有关。 Seqrite Labs研究员Subhajeet Singha在上月末发布的一份技术报告中指出：“该威胁组织此前曾针对东欧和中亚地区涉及经济决策和银行领域的政府智库。” 该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。据推测，这一活动很可能由一名哈萨克斯坦的威胁行为者发起，但这一推测的置信度为中。 这些感染始于一封包含RAR压缩文件附件的钓鱼邮件，该附件最终成为恶意有效载荷的传输工具，使攻击者能够远程控制被感染的计算机。 网络安全公司于2024年12月27日检测到的第一轮攻击中，利用RAR压缩文件启动了一个ISO文件，该文件包含一个恶意的C++二进制文件和一个诱饵PDF文件。随后，该可执行文件运行一个PowerShell脚本，该脚本利用Telegram机器人（名为“@south_korea145_bot”和“@south_afr_angl_bot”）执行命令和数据外泄。 通过机器人执行的一些命令包括curl命令，用于从远程服务器（“pweobmxdlboi[.]com”）或Google Drive下载和保存额外的有效载荷。 相比之下，另一轮攻击则使用了一个包含两个文件的恶意RAR压缩文件：一个诱饵PDF文件和一个Golang可执行文件。后者旨在与攻击者控制的服务器（“185.122.171[.]22:8082”）建立反向shell连接。 Seqrite Labs表示，它观察到该威胁行为者与YoroTrooper（又名SturgeonPhisher）之间存在一定的战术重叠，后者已被证实使用PowerShell和Golang工具针对独联体国家发动攻击。 Singha表示：“Silent Lynx的攻击活动展示了其利用ISO文件、C++加载器、PowerShell脚本和Golang植入物的复杂多阶段攻击策略。” “他们依赖Telegram机器人进行命令和控制，结合诱饵文档和区域目标选择，这也凸显了他们将间谍活动的重点放在中亚和SPECA成员国上。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络基础设施与安全公司Cloudflare周二表示，其检测并阻止了一次高达5.6 Tbps的分布式拒绝服务（DDoS）攻击，这是迄今为止报告的最大规模攻击。 这次基于UDP协议的攻击发生在2024年10月29日，目标是一家位于东亚的未具名互联网服务提供商（ISP），攻击源自一个Mirai变种僵尸网络。 “此次攻击持续了80秒，并来源于超过13000个物联网设备，”Cloudflare的Omer Yoachimik和Jorge Pacheco在一份报告中表示。 与此同时，每秒观测到的平均唯一源IP地址为5500个，每个IP地址每秒的平均流量约为1 Gbps。 此前最大规模的DDoS攻击记录同样由Cloudflare在2024年10月报告，其峰值为3.8 Tbps。 Cloudflare还披露，其在2024年阻止了约2130万次DDoS攻击，比2023年增长了53%，超过1 Tbps的攻击数量在季度间激增了1885%。仅在2024年第四季度，就缓解了多达690万次DDoS攻击。 以下是2024年第四季度观察到的一些其他重要统计数据： 已知DDoS僵尸网络占所有HTTP DDoS攻击的72.6%。 Layer 3/Layer 4（网络层）最常见的攻击向量是SYN洪水（38%）、DNS洪水攻击（16%）和UDP洪水（14%）。 Memcached、BitTorrent及勒索型DDoS攻击分别环比增长314%、304%和78%。 约72%的HTTP DDoS攻击和91%的网络层DDoS攻击在十分钟内结束。 印尼、中国香港、新加坡、乌克兰和阿根廷是DDoS攻击的最大来源国。 中国、菲律宾和德国是被攻击最多的国家。 通信、互联网、营销、信息技术和博彩是最常被攻击的行业。 与此同时，网络安全公司Qualys和Trend Micro披露，臭名昭著的Mirai僵尸网络恶意软件的变种正通过利用已知的安全漏洞和弱密码攻击物联网（IoT）设备，将其用作DDoS攻击的工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一、事件概述 近期，网络安全领域接连曝出针对研究人员的假PoC（概念验证）攻击事件，引发业界高度关注。2024年12月，微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞，分别是CVE-2024-49112和CVE-2024-49113。其中，CVE-2024-49113是一个拒绝服务（DoS）漏洞。然而，就在漏洞修复后不久，Trend Micro发现了一个名为“LDAPNightmare”的恶意利用，它伪装成CVE-2024-49113的PoC，通过一个恶意代码仓库，诱骗安全研究人员下载并执行信息窃取型恶意软件。该恶意软件会从受感染机器上收集敏感数据，包括计算机信息、运行进程、网络详情和已安装更新等，并将其传输到攻击者控制的远程服务器。 无独有偶，2023年，Palo Alto Networks的研究人员也发现了一个新的恶意软件活动，该活动针对WinRAR的CVE-2023-40477漏洞。攻击者使用一个基于GeoServer漏洞CVE-2023-25157公开PoC代码修改而来的假PoC脚本，诱骗研究人员下载并执行VenomRAT有效载荷。一旦执行，该恶意软件会在系统中创建计划任务，每隔三分钟运行一次，以持续运行恶意软件，进而控制受害者系统、执行命令并窃取数据。 包含 “poc.exe” 的存储库 二、技术分析过程 （1）LDAPNightmare攻击技术分析 攻击者精心构建了一个看似合法的恶意代码仓库，其中的Python文件被替换为恶意可执行文件。当研究人员下载并执行该文件后，会释放并执行一个PowerShell脚本。该脚本随后建立计划任务，从Pastebin下载并执行另一个恶意脚本，最终收集受害者的公网IP地址，并将窃取的数据传输到外部FTP服务器。 SafeBreach Labs对CVE-2024-49113进行了深入研究，并开发出了一个PoC利用工具（概念验证漏洞），这个工具能够致使任何未打补丁的Windows服务器（不仅仅是域控制器）崩溃，来证明此漏洞的严重危害程度。根据Microsoft的分析发现，还可以进一步利用此漏洞导致远程代码执行。其次，研究人员确实验证了Microsoft的补丁修复了越界漏洞，并且该漏洞无法使修补的服务器崩溃。具体其攻击流程如下： 攻击者向受害服务器发送DCE/RPC请求。 受害服务器被触发，向攻击者的DNS服务器发送关于SafeBreachLabs.pro的DNS SRV查询。 攻击者的DNS服务器回复攻击者的主机名和LDAP端口。 受害服务器发送NBNS请求，以查找收到的主机名（攻击者的）的IP地址。 攻击者发送带有其IP地址的NBNS响应。 受害服务器成为LDAP客户端，向攻击者的机器发送CLDAP请求。 攻击者发送带有特定值的CLDAP转介响应包，导致LSASS崩溃并强制重启受害服务器。 LDAPNightmare攻击流程 （2）VenomRAT恶意软件活动技术分析 Palo Alto Networks的安全研究人员发现了一个针对WinRAR中 CVE-2023-40477 漏洞的新恶意软件活动。该活动使用虚假的概念验证（PoC） 脚本来诱骗研究人员下载并执行VenomRAT有效载荷。虚假的PoC脚本基于跟踪的GeoServer中漏洞CVE-2023-25157公开可用的PoC代码。该代码已经过修改，以删除有关CVE-2023-25157漏洞详细信息的注释，并添加了下载和执行带有“检查依赖关系”注释的批处理脚本的其他代码。该脚本在%TEMP%/bat.bat创建批处理文件，连接到特定URL并运行响应内容，进而下载可执行文件并保存到%APPDATA%\Drivers\Windows.Gaming.Preview.exe，同时创建计划任务，每三分钟运行一次该可执行文件，以实现持久化运行。Windows.Gaming.Preview.exe 可执行文件是VenomRAT的变体，VenomRAT是一种远程访问木马（RAT）。VenomRAT可用于窃取数据、在受害者系统上执行命令以及远程控制系统。 Palo Alto Networks研究人员认为，该攻击活动背后的攻击者是以网络安全研究人员为目标的，以便控制与访问他们的系统并窃取他们的数据。研究人员还认为，攻击者还可能正在使用受感染的系统对其他组织发起进一步的攻击活动。 三、结论与建议 这些假PoC攻击事件凸显了网络安全领域面临的严峻挑战。攻击者利用研究人员对安全漏洞的关注和研究热情，通过伪装成PoC的恶意软件，成功渗透并窃取了研究人员的敏感信息，甚至可能进一步利用这些系统对其他组织发动攻击。因此，安全研究人员在下载和执行来自在线仓库的代码时必须保持高度警惕，优先选择官方来源，仔细审查仓库内容，验证仓库所有者或组织的真实性，并关注社区反馈，寻找可能的安全风险警示。同时，用户应确保及时更新软件至最新版本，避免点击不明链接，并使用有效的安全解决方案来检测和阻止恶意软件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/420252.html 封面来源于网络，如有侵权请联系删除