Broadcom Symantec的研究人员发现了一个以前未被发现的后门，称为Msupedge，它被用于攻击中国台湾一所未命名的大学。 该后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。   “Msupedge是动态链接库（DLL）形式的后门，”Broadcom Symantec发布的报告写道。“已发现它已安装在以下文件路径中： csidl_drive_fixed\xampp\wuplog.dll csidl_system\wbem\wmiclnt.dll 虽然 wuplog.dll 是由 Apache （httpd.exe） 加载的，但 wmiclnt.dll 的父进程未知。” Msupedge 使用的 DNS 隧道工具代码基于公开的 dnscat2 工具。 该后门通过解析特殊结构的主机名来接收和执行命令。这些命令的结果会被编码并以第五级域名的形式返回。此外，该后门还将解析到的 C&C 服务器的 IP 地址的第三个八位字节解释为命令开关，并根据该值调整其行为。内存分配、命令解压和执行的错误通知也通过这种方式发送。 威胁行为者被发现利用一个关键的 PHP 漏洞（追踪编号为 CVE-2024-4577，CVSS 评分为 9.8））来部署 Msupedge 后门。攻击者利用这一缺陷实现了远程代码执行，并获得了对目标网络的初步访问。 后门支持以下命令： 案例 0x8a ： 创建流程。该命令通过 DNS TXT 记录接收。 案例 0x75 ： 下载文件。下载 URL 通过 DNS TXT 记录接收。 情况 0x24 ： 休眠 （ip_4 * 86400 * 1000 ms）。 情况 0x66 ： 休眠 （ip_4 * 3600 * 1000 ms）。 案例 0x38 ： 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。 案例 0x3c：删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。 Symantec没有将攻击归咎于特定的威胁行为者，也未能确定攻击的动机。 “最近几周，Symantec观察到多个威胁行为者在扫描易受攻击的系统。迄今为止，我们尚未找到任何证据能够将此次威胁归因于特定的行为者，攻击动机仍然未知。”报告总结道，“报告中还包括了妥协指标（Indicators of Compromise）。”   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全内参8月20日消息，本月初，印度上百家中小银行使用的数字支付系统遭遇了一场极具破坏性的勒索软件攻击。研究人员发现，这次攻击的根源在于一个Jenkins漏洞。Jenkins是一款开发人员广泛使用的开源自动化工具。 攻击者利用Jenkins漏洞攻陷系统 瞻博网络（Juniper Networks）日前发布一项研究报告，详细分析了攻击者如何利用Jenkins命令行界面（CLI）中的CVE-2024-23897漏洞进行攻击。该界面帮助开发人员与系统进行交互操作。 7月31日，负责管理印度所有零售支付系统的综合组织，印度国家支付公司（NPCI）宣布，正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。 C-Edge为印度的地区农村银行提供技术服务。为减小影响，印度国家支付公司决定将C-Edge与其运营的零售支付系统隔离。C-Edge的客户在开始恢复工作时无法访问支付系统。 经过一天的努力，服务恢复正常。此后，勒索软件团伙RansomEXX宣布对这次攻击负责，并在其泄露网站上声称，他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。 瞻博网络分析了印度国家支付公司向印度计算机应急响应小组（CERT-IN）提交的报告。研究人员表示，这次攻击凸显了各组织应当尽快应用安全补丁并修正服务器配置错误，以防止安全漏洞被恶意利用。 数月前就已有漏洞预警 Jenkins可以帮助开发人员构建、测试和部署软件。然而，这个漏洞允许攻击者访问敏感文件或数据。 去年11月，SonarSource首次发现了CVE-2024-23897漏洞，并帮助Jenkins团队验证今年1月发布的修复程序。 漏洞概念验证（PoC）一经发布，研究人员立即开始注意到攻击企图，并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。 由于Jenkins被广泛部署，这个漏洞在今年年初给网络安全社区敲响了警钟。 Horizon3.ai的首席架构师Naveen Sunkavally指出，全球有成千上万的Jenkins服务器对公众开放。由于这些服务器通常存储着大量敏感信息和其他系统的凭证，Jenkins成为了攻击者的常见目标。 Sunkavally表示：“如果Jenkins服务器的默认配置被错误修改，或者攻击者获取了有效的Jenkins用户账户，即使攻击者没有任何初始权限，他们也可以利用这个漏洞，甚至进一步控制服务器并提取凭证数据。不过，后两种情况依赖于超出攻击者控制的因素。” 他还提到，美国网络安全和基础设施安全局（CISA）的已知被利用漏洞（CISA KEV）目录中包含了四个与Jenkins相关的漏洞。此前，某些漏洞曾被用于安装加密挖矿软件或支持国家级网络攻击。 Critical Start的网络威胁情报分析师Sarah Jones和其他几位研究人员在今年1月发出警告，称该漏洞可能允许黑客窃取大量敏感数据，甚至可能“完全控制组织的基础设施”。 她补充道：“除了这些直接威胁，这类事件还可能对组织的声誉造成持久性损害，削弱公众信任，影响财务稳定，甚至引发法律后果。”   转自安全内参，原文链接：https://www.secrss.com/articles/69344 封面来源于网络，如有侵权请联系删除

黑客对乌克兰最受欢迎的网上银行之一发动了大规模分布式拒绝服务 (DDoS) 攻击，主要针对乌克兰人用于为军队筹集捐款的服务。 Monobank 首席执行官 Oleh Horokhovskyi 表示，此次攻击从周五晚上持续到周一早上，总请求量达到每秒 75 亿次。他还称此次攻击的规模“非同寻常”。“这一事件没有影响银行的运营，但指出该公司与乌克兰的安全部门以及美国云计算公司亚马逊网络服务的专家合作，以缓解垃圾流量的攻击。” 在 1 月份的一次 DDoS 事件中，Monobank在三天内收到了5.8 亿条垃圾服务请求。该银行仅通过移动应用程序为客户提供服务，因此成为黑客眼中极具吸引力的目标。 Horokhovskyi 表示，最新攻击的目的是破坏乌克兰人依赖的为国家武装部队筹集捐款的服务。这项服务让用户的捐款变得相对简单——他们所要做的就是创建一个虚拟钱包，并将其直接分享到 Instagram 故事中，让其他人捐款。 Horokhovskyi 说，过去三年通过该平台“不间断”的捐款可能惹恼了敌人，促使他们“不惜一切代价”试图入侵该服务。 Monobank 暗示俄罗斯可能是此次攻击的幕后黑手，但并未提供任何证据。Horokhovskyi 此前称该银行是乌克兰“受攻击最严重的 IT 目标之一”。 另一家乌克兰服务公司 EasyWay 周一表示，该公司受到 DDoS 攻击，该公司提供有关乌克兰各地公共交通的信息。EasyWay 警告称，这可能会影响其运营。EasyWay 并未将此次攻击归咎于某个特定的黑客组织。 与此同时，俄罗斯的服务也遭受了 DDoS 攻击，这些攻击通常来自乌克兰。本月早些时候，在乌克兰入侵后，未透露姓名的黑客针对俄罗斯库尔斯克地区的政府和商业网站以及关键基础设施服务发起攻击。 7 月份，俄罗斯几家大型银行证实，他们遭受了据称“来自国外策划的” DDoS 攻击，导致其移动应用程序和网站暂时中断。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tMD1mVYMINoHcdYJ1J8c1g 封面来源于网络，如有侵权请联系删除

据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

近日，美国知名建筑设计公司 CannonDesign（佳能公司）向其 13000 多名客户发送了数据泄露通知，告知他们黑客在2023年初的一次攻击中侵入并窃取了公司的网络数据。 公司在通知中说明，安全事件发生在2023年1月19日至25日期间，涉及未经授权的网络访问和数据泄露。尽管公司于2023年1月25日发现了入侵行为，但调查工作直到2024年5月3日才完成，整个过程持续了超过三个月。 调查结果显示，攻击者可能获取了包括姓名、地址、社会安全号码（SSN）和驾驶执照号码在内的个人信息。为了降低个人数据泄露的风险，公司将为受影响的个人提供Experian提供的24个月信用监控服务，但该措施显著滞后。 Cannon Design 没有明确指出攻击者的身份，但其发言人向 BleepingComputer 证实，此次披露的信息与 2023 年初发生的 Avos Locker 勒索软件攻击有关。 该公司还表示，尽管数据已在多个网站上公布，但目前尚未发现任何滥用被盗信息的行为。 Avos Locker勒索软件攻击 2023 年 2 月 2 日，Avos Locker 勒索软件团伙宣布对 CannonDesign 进行了攻击，声称掌握了 5.7 TB 的被盗数据，包括公司和客户文件。 Avos Locker的原始声明 在勒索未果后，数据被转交给了 Dunghill Leaks，该组织于 2023 年 9 月 26 日发布了被盗的 2TB 数据，内容包括数据库转储、项目示意图、招聘文件、客户详细信息、营销材料、IT 和基础设施细节以及质量保证报告。 被盗数据随后出现在 Dunghill Leaks 网站上 Dunghill Leaks 是由 Dark Angels 勒索软件组织于 2023 年 4 月推出的数据泄露网站，用于向受害者施压，迫使他们支付赎金。 2024 年 2 月，同一数据集在暗网中的黑客论坛上发布，包括 ClubHydra，而数据集的一部分在 2024 年 7 月通过 torrent 在 Breached Forums 上分享的。 黑客在 clearnet 黑客论坛上免费分享的部分数据 BleepingComputer 已联系 CannonDesign，确认此次披露的数据泄露与已在网上流传一年多的同一数据集有关，但尚未得到任何回复。 CannonDesign 是一家总部位于美国的著名建筑、工程和咨询公司，是全球最具创新力的建筑公司之一，以其在学术建筑、医院和体育场馆等领域的卓越项目而闻名，参与的重要项目包括明尼苏达大学健康诊所和外科中心、马里兰大学多功能体育场等。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

恶意行为者正在使用一种名为 Xeon Sender 的云攻击工具，通过滥用合法服务大规模开展短信钓鱼和垃圾邮件活动。 SentinelOne安全研究员亚Alex Delamotte在与《黑客新闻》分享的一份报告中提到：攻击者可以利用Xeon通过多个软件即服务（SaaS）提供商，使用服务提供商的有效凭证发送信息。 据悉，用于大规模分发短信的服务包括亚马逊通知服务（SNS）、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。 值得注意的是，该活动并没有利用这些提供商的任何固有弱点，而是使用合法的 API 进行垃圾短信群发攻击。还引用了 SNS Sender 等工具，这些工具越来越多地成为批量发送钓鱼信息并最终获取目标敏感信息的途径。 其主要是通过 Telegram 和黑客论坛传播，其中一个旧版本归功于一个专门宣传破解黑客工具的 Telegram 频道。最新版本以 ZIP 文件形式提供下载，归功于一个名为 Orion Toolxhub的 Telegram 频道，该频道有 200 名成员。 Orion Toolxhub 创建于 2023 年 2 月 1 日，免费为成员提供可用于暴力破解攻击、IP 地址反向查询的软件，如 WordPress 网站扫描器、PHP web shell、比特币剪切器，以及一个名为 YonixSMS 的程序，该程序声称可提供无限短信发送功能。 Xeon Sender 也被称为 XeonV5 和 SVG Sender。这个基于 Python 的程序的早期版本最早在 2022 年被检测到。 Delamotte 表示：该工具的另一个化身是托管在带有图形用户界面的网络服务器上。这种托管方式消除了潜在的访问障碍，使那些可能不擅长运行 Python 工具并对其依赖关系进行故障排除的技术水平较低的攻击者也能使用。 无论使用哪种变体，Xeon Sender 都为用户提供了一个命令行界面，可用于与所选服务提供商的后台 API 通信，并协调垃圾短信群发攻击。 这也意味着威胁分子已经掌握了访问端点所需的 API 密钥。精心制作的 API 请求还包括发件人 ID、信息内容以及从文本文件中的预定义列表中选择的电话号码之一。 除了短信发送方法外，Xeon Sender还具有验证Nexmo和Twilio账户凭证、为给定的国家代码和地区代码生成电话号码以及检查所提供的电话号码是否有效等功能。 SentinelOne 表示，尽管该工具缺乏精细度，但源代码中充满了单个字母或字母加数字等模棱两可的变量，使调试工作更具挑战性。 Xeon Sender 主要使用供应商特定的 Python 库来制作 API 请求，这给检测带来了更大的挑战。因为每个库都是独一无二的，提供商的日志也是如此，团队可能很难检测到对特定服务的滥用行为。 因此，为了抵御 Xeon Sender 这样的威胁，企业应该监控与评估或修改短信发送权限相关的活动，或对分发列表的异常更改，如大量上传新的收件人电话号码。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409012.html 封面来源于网络，如有侵权请联系删除

本周二，据FalconFeeds、Ransomlook等多家威胁情报平台报道，某A股上市建筑公司某集团疑似发生大规模数据泄漏，勒索软件组织The Ransom House Group在数据泄漏论坛发帖称窃取了该公司2.3TB数据，并宣称如果未来2-3天内不支付赎金将撕票（公布数据）。 此次针对某集团的攻击事件未得到官方确认，也未公布具体被窃数据的种类和数量，但报道该事件的威胁情报平台预计可能涉及公司内部敏感信息。 RansomHouse勒索软件组织发布的勒索通知 曾勒索荷兰建筑巨头和AMD RansomHouse是近年来新兴的数据勒索团伙之一，自2021年末开始活跃。通过与其他网络犯罪团伙合作，利用企业系统的漏洞发动攻击，RansomHouse逐步形成了复杂的勒索网络。RansomHouse勒索软件组织并不像传统勒索软件团伙那样对文件进行加密，而是专注于数据窃取与勒索。RansomHouse主要通过复杂的网络渗透手段和钓鱼攻击来进入目标公司的网络。成功攻破后，他们会迅速下载并窃取公司数据，随后勒索赎金。 RansomHouse强调自己并非“勒索软件组织”，而是“专业调解者”，帮助受害者以最小损失解决数据泄露问题。 据报告，RansomHouse已经针对各行各业的多家知名大型企业发起攻击（上图），不断扩大其全球影响力。此前，RansomHouse曾成功攻击过包括半导体巨头AMD、非洲零售巨头Shoprite在内的多家大型公司，通过数据窃取与勒索手段获取赎金。值得注意的是，RansomHouse此前曾攻击过荷兰建筑巨头KuiperCompagnons。 勒索软件防御的关键措施 此次网络攻击凸显了在“网络攻击全球化”大潮中，中国企业的威胁态势正迅速恶化，面对RansomHouse及类似的网络勒索威胁，企业应采取多层次的防御措施，以防止数据泄露和勒索攻击。以下是GoUpSec安全顾问提供的关键防御策略： 漏洞管理与补丁更新。RansomHouse通常利用未修复的系统漏洞进行攻击，因此企业必须确保及时安装系统和软件更新，修复已知的安全漏洞。 强化访问控制与身份验证。使用强密码策略并启用多因素身份验证（MFA）可以大幅减少攻击者利用弱密码获取系统访问权限的机会。 数据加密与备份。定期备份重要数据并确保备份文件离线存储。同时，对敏感数据进行加密，以减少数据泄露后的影响。 网络钓鱼培训与防护。钓鱼攻击是网络犯罪分子常用的手段之一。企业应定期对员工进行网络安全培训，提高对钓鱼邮件的识别能力，同时部署电子邮件过滤系统。 引入威胁检测与响应平台。采用安全信息和事件管理系统（SIEM）和威胁检测平台，可以帮助企业及时识别和响应潜在的网络威胁，降低攻击造成的损害。 与专业网络安全供应商合作。企业可以考虑与专业的网络安全公司合作，进行定期的安全审计和渗透测试，以确保其安全防护体系的有效性。 通过这些策略，企业可以显著提升其网络防御能力，抵御RansomHouse等依赖数据窃取进行勒索的新兴勒索组织的威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/-e-uFQGGQ0h1Uz79YtLPXQ 封面来源于网络，如有侵权请联系删除

Gen Threat Labs 的安全研究人员认为，微软上周修补的一个被利用的0day漏洞与朝鲜的 Lazarus APT 组织有关。 该漏洞被编号为CVE-2024-38193，并被微软标记为“积极利用”，允许在最新的 Windows 操作系统上获得 SYSTEM 权限。 Gen 是 Norton、Avast、LifeLock 和 Avira 等消费品牌的集合，该公司发布了一条简短的说明，称此次攻击与 Lazarus 通过使用 FudModule rootkit 相关联。但是，该公司并未发布任何指标或技术文档来支持这种关联。 “6 月初，Luigino Camastra 和 Milanek 发现 Lazarus 组织正在利用 Windows 中一个关键部分 AFD.sys 驱动程序中隐藏的安全漏洞。该漏洞使他们能够未经授权访问敏感系统区域。我们还发现他们使用一种名为 Fudmodule 的特殊恶意软件来隐藏他们的活动，不让安全软件发现。”该公司表示，但没有提供更多细节。 Avast 之前曾将 FudModule 记录为 Lazarus APT 工具包的一部分，该工具包包含可追溯至二月份的管理员到内核的 Windows 0day漏洞。 这是微软在 8 月补丁日安全更新中发现的六个0day漏洞之一。安全专家还认为，朝鲜 APT 组织正在利用第二个漏洞 ( CVE-2024-38178 ) 来攻击韩国受害者。 该漏洞是 Windows 脚本引擎中的一个内存损坏漏洞，如果经过身份验证的客户端被诱骗点击链接，则会导致远程代码执行攻击。要成功利用此漏洞，攻击者首先需要准备目标，使其在 Internet Explorer 模式下使用 Edge。 Ahn 实验室和韩国国家网络安全中心报告了此脚本引擎0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OgFKCyYGQd221n52-E4Vww 封面来源于网络，如有侵权请联系删除

俄勒冈州动物园通知大约 118000 人，称他们的姓名和支付卡信息在其在线售票服务中被盗。 6 月 26 日发现了该数据泄露事件，泄露的数据包括姓名、支付卡号、CVV 等。动物园称2023年12月20日至2024年6月26日期间的交易可能受到影响。 该动物园在提交给缅因州总检察长办公室的监管文件中表示：“为防止产生其他的影响，俄勒冈动物园审查了这段期间的所有交易，确定了所有支付卡信息可能受到影响的人。” 据该动物园称，威胁者通过重定向处理俄勒冈州动物园在线购票的第三方供应商的交易来实施攻击。动物园立即停用了受影响的网站，并建立了一个新的安全在线购票网站。 另外，该动物园已于8月16日向缅因州动物保护协会发送了书面通知，指出可能有117815只动物受到影响。 “俄勒冈动物园已将此事通报联邦执法部门。并且也在审查其政策和程序，以减少未来发生类似事件的可能性，”动物园表示。 动物园为可能受到影响的个人提供一年的免费信用监控和身份保护服务。 虽然动物园尚未明确透露导致数据泄露的具体网络攻击类型，但该事件可能与俄勒冈州动物园在线票务服务受到网络浏览器感染有关。 网络窃取器也称为数字窃取器、JavaScript 嗅探器或 JS 嗅探器，是一个恶意软件家族，通常会被威胁行为者注入到合法网站上（通常在结帐页面上），以窃取访问者的个人和支付卡信息。 盗取器感染通常难以被发现，俄勒冈州动物园就是一个例子，被盗信息被用于实施各种欺诈行为。迄今为止，网络安全研究人员已经确定了 130 多个数字盗取器家族。 作为美国最古老的动物园之一，成立于 1888 年的俄勒冈动物园归当地大都会政府所有，占地 64 英亩。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除