近期，Infoblox和Eclypsium的网络安全研究人员，在域名系统（DNS）中发现了复杂的攻击媒介“Sitting Ducks”。Infoblox公司在报告中透露，自2018年以来，Sitting Ducks劫持超过35,000个域名，存在超过100万个易受攻击的目标域。这次攻击是在研究俄罗斯托管的404TDS（一个流量分配系统）基础设施时发现的，系俄罗斯网络犯罪分子参与其中。攻击者在伪装下执行恶意活动，包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。 “Sitting Ducks”攻击与其他控制域名的技术不同，因为它不需要注册商的访问权限，攻击者只需要利用所谓的”无效委托”（lame delegation）即可。 Sitting Ducks flow (Infoblox) 无效委托发生在注册的域名或子域名将权威DNS服务委托给不同于域名注册商的其他提供商时，如果权威名称服务器缺少域名信息并且无法解析查询，这种委托就被称为无效的。当恶意行为者注册了被分配的域名，获得指向该域名的所有域名的访问权限时，就会发生无效委托攻击。此外，攻击者通过利用DNS提供商的漏洞，扫描互联网上具有无效委托的域名，未经授权就声称拥有所有权。他们把劫持的域名创建恶意记录，将流量定向到恶意服务器，并将用户定向到攻击者的网站。根据Eclypsium博客文章所述，“Sitting Ducks”现象有多种变体。它能够利用域名所有者在域名服务器信息中的拼写错误，从而使得攻击者能够注册部分无效域名。Dangling DNS记录，由于配置被遗忘而包含无效信息，可以推广到其他类型的DNS记录。Dangling CNAME攻击将DNS响应重定向到失效的域名，从而允许恶意行为者注册失效的域名并获得血统。经过对十几个DNS提供商域名授权的分析，结果显示，参与者中最显著的是俄罗斯的网络犯罪分子。 利用这种攻击，每天有数百个域名被劫持，这些域名通常是通过所谓的“品牌保护注册商”注册的，或者是注册了外观相似的域名。 媒体呼吁，为了避免Sitting Ducks攻击，域名所有者应该使用独立于其域名注册商的权威DNS提供商。确保域名和子域将名称服务器委托给有效的服务提供商，并询问DNS提供商缓解措施以降低风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/QDInVB-9JghzoCeyLIEXSA 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一个以前未记录的 Windows 后门，它利用名为后台智能传输服务 ( BITS )的内置功能作为命令和控制 (C2) 机制。 Elastic Security Labs 于 2024 年 6 月 25 日发现了这一新发现的恶意软件，该恶意软件与针对南美某政府外交部的网络攻击有关。该活动集群被标记为 REF8747 。 安全研究人员 Seth Goodwin 和 Daniel Stepanic表示：“本文发布时，后门的最新版本具有 35 种处理程序功能，包括键盘记录和屏幕捕获功能。此外，BITSLOTH 还包含许多用于发现、枚举和命令行执行的不同功能。” 据评估，该工具自 2021 年 12 月开始开发，被攻击者用于数据收集目的，目前尚不清楚幕后黑手是谁。 攻击者使用了名为RingQ的开源工具。RingQ 用于加密恶意软件并防止被安全软件检测，然后解密并直接在内存中执行。 2024 年 6 月，安实验室安全情报中心 (ASEC)透露，存在漏洞的 Web 服务器被利用来投放 Web Shell，然后利用这些 Web Shell 通过 RingQ 投递其他有效载荷，包括加密货币挖矿机。 此次攻击还因使用 STOWAWAY 通过 HTTP 代理加密的 C2 流量和名为 iox 的端口转发实用程序而引人注目，后者此前曾被名为Bronze Starlight（又名 Emperor Dragonfly）的网络间谍组织在 Cheerscrypt 勒索软件攻击中利用。 BITSLOTH 采用 DLL 文件（“flengine.dll”）的形式，通过使用与 Image-Line 关联的合法可执行文件（称为FL Studio（“fl.exe”），使用 DLL 侧加载技术进行加载。 研究人员表示：“在最新版本中，开发人员添加了一个新的调度组件，以控制 BITSLOTH 在受害者环境中运行的具体时间。这是我们在其他现代恶意软件家族（如EAGERBEE ）中观察到的功能。” BITSLOTH 是一个功能齐全的后门，能够运行和执行命令、上传和下载文件、执行枚举和发现以及通过键盘记录和屏幕捕获收集敏感数据。 它还可以将通信模式设置为 HTTP 或 HTTPS、删除或重新配置持久性、终止任意进程、从机器上注销用户、重新启动或关闭系统，甚至从主机上更新或删除自身。该恶意软件的一个定义方面是它使用 BITS 作为 C2。 研究人员补充道：“这种媒介对对手来说很有吸引力，因为许多组织仍在努力监控 BITS 网络流量和检测异常的 BITS 作业。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/3LDb_jS9vDUZpy-EIu4NnQ 封面来源于网络，如有侵权请联系删除

以色列黑客宣布对伊朗持续的互联网中断负责。 该组织以 WeRedEvils 为名开展活动，至少自 2023 年 10 月以来就已存在，这可能是哈马斯袭击以色列的直接后果，从而引发了当前的加沙战争。 “接下来几分钟，我们将攻击伊朗的系统和互联网提供商。”WeRedEvils 昨天在 Telegram 上表示。“猛烈的打击即将到来。” 根据该组织自己的说法，这次攻击是成功的，他们声称已经成功侵入伊朗的计算机系统，窃取数据并导致互联网中断。该组织声称他们已将窃取的信息转交给以色列政府。 作为证据，WeRedEvils 指出，信息和通信技术部网站 ict.gov.ir 目前已瘫痪，伊朗各部委的大多数其他网站也同样瘫痪，并出现“响应时间过长”的错误。一些网站还出现 403 错误。 《The Register》仅找到两个可在美国访问的政府部门页面，一个是该国文化部，另一个是外交部。 目前还不清楚 WeRedEvils 究竟造成了多大的损失，或者它是否应对当前的中断负全部责任。 WeRedEvils 声称，去年 10 月，它曾袭击伊朗电网，导致电网瘫痪两小时。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qzJ9kecAyX8K93tdE7R9lg 封面来源于网络，如有侵权请联系删除

一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击，将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%，让研究人员能够提升权限或逃离容器。 该发现来自奥地利格拉茨技术大学的一组研究人员，他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2（最新版本）进行攻击，显示出很高的通用性。 此外，此次攻击可与所有现代内核防御措施（如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR)）配合使用。 研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。同时，发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。 SLUBStick 详细信息 Linux 内核高效且安全地管理内存的一种方法是，为不同类型的数据结构分配和取消分配内存块（称为“slab”）。 此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构，这称为跨缓存攻击。然而，这些攻击大约有 40% 的时间是有效的，并且通常迟早会导致系统崩溃。 SLUBStick 利用堆漏洞（例如双重释放、用户释放后或越界写入）来操纵内存分配过程。 研究人员实验中成功利用的 CVE，来源：stefangast.eu 接下来，它使用定时侧通道来确定内存块分配/释放的确切时刻，从而允许攻击者预测和控制内存重用。 使用这些时间信息可将跨更改利用的成功率提高到 99%，从而使 SLUBStick 非常实用。 测量成功率，来源：stefangast.eu 将堆漏洞转换为任意内存读写原语分为三个步骤： 释放特定的内存块并等待内核重新使用它们。 以可控的方式重新分配这些块，确保它们能够重新用于页表等关键数据结构。 一旦回收，攻击者就会覆盖页表条目，获得读取和写入任何内存位置的能力。 篡改数据，来源：stefangast.eu 想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库中找到它们。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PpXosWa7BfbqqcxYzcLwhA 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

近日，在一起重大网络安全事件中，印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击，近300家当地金融机构的支付系统被迫暂时关闭。 据路透社报道，知情人士表示，此次攻击需要立即采取行动，将受影响的银行与更广泛支付网络隔离开来。 尽管多次请求，C-Edge Technologies并未回应评论，而印度银行和支付系统的主要监管机构——印度储备银行（RBI）也未发表任何声明。 周三晚间，负责监管印度支付系统的印度国家支付公司（NPCI）发布了一份公告，确认已“暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统”。 公告指出，由C-Edge服务的银行客户在隔离期间将无法使用支付系统。 这种隔离是预防措施，目的是防止对国家支付基础设施产生更广泛的影响。据监管机构官员称，这些主要在大城市之外运营的近300家小型银行已被切断了与支付网络的连接。尽管此次中断规模较大，但一位知情人士指出，这些银行的业务量仅占该国整个支付系统总量的0.5%左右。 为了评估情况并进一步降低风险，NPCI目前正在进行审计。此外，印度央行和印度网络安全机构最近几周已向金融机构发出了关于潜在网络威胁的警告。   转自Freebuf，原文链接：https://www.freebuf.com/news/407594.html 封面来源于网络，如有侵权请联系删除

全球最大白银生产商之一、黄金、铜和锌的重要生产商Fresnillo PLC近日披露，该公司遭遇了一次网络攻击，导致部分IT系统和数据被非法访问。 Fresnillo在周二的一份公告中表示，公司成为了一起网络安全事件的受害者，这次事件导致未经授权的人员访问了公司的部分IT系统和数据。在发现攻击后，Fresnillo立即启动了应急响应措施以控制数据泄露，并与外部取证专家合作，正在调查和评估此次事件的影响。 Fresnillo强调，此次网络攻击并未影响其生产运营，预计也不会对财务或物质层面产生影响。Fresnillo表示：“所有业务部门的活动正常进行，未经历或预见到任何重大运营或财务影响。我们将持续评估该情况直至完全解决。” Fresnillo在墨西哥运营着八个矿山（Fresnillo、Saucito、Juanicipio、Ciénega、Herradura、Soledad-Dipolos1、Noche Buena和San Julián），拥有四个高级勘探项目（Orisyvo、Rodeo、Guanajuato和Tajitos），以及一些长期勘探项目。该公司在伦敦证券交易所（FRES）和墨西哥证券交易所（FRES）上市，并在墨西哥、秘鲁和智利拥有采矿特许权和勘探项目。 值得注意的是，上个月澳大利亚矿业公司Northern Minerals也披露了一起数据泄漏事件，BianLian勒索软件团伙在暗网上发布了从该公司网络中窃取的数据（包括企业、运营和财务信息）。加拿大铜山矿业公司（CMMC）也曾在2022年12月遭遇勒索软件攻击后被迫关闭其一个矿厂的系统，以遏制和评估影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/NbJ2qOkoLZwRCbijI2_3VA 封面来源于网络，如有侵权请联系删除

一种拥有超过 10.7万个样本的新型恶意软件，已经针对 Android 设备进行了两年多的攻击，它正在窃取短信以获取一次性密码 (OTP) 和其他敏感用户数据，以进行进一步的恶意活动。 移动安全提供商 Zimperium zLabs 的研究人员发现，这种恶意软件被称为“SMS Stealer”，它背后有着庞大的网络犯罪基础设施，通过动态变化的移动应用程序进行传播，这些应用程序再通过 Telegram 消息或合法应用程序的广告进行扩散。 Zimperium 的研究人员 Aazim Bill SE Yaswant、Rajat Goyal、Vishnu Pratapagiri 和 Gianluca Braga 在7 月30日发布的博客文章中表示：“自 2022 年 2 月以来研究人员一直在追踪该窃取程序，到目前为止，该程序已被113 个国家的用户下载，其中印度和俄罗斯位居榜首。” 该活动似乎是组织严密的攻击者出于经济动机而推动的，他们拥有至少 13 个命令和控制 (C2) 服务器以及 2600 个 Telegram 机器人。 这种不断演变的活动十分危险，因为它可以逃避“传统的基于签名的检测方法”，这使得防御者很难发现，“没有复杂设备端上的恶意软件引擎能够检测到zero-day恶意软件”。Zimperium 首席科学家 Nico Chiaraviglio 说。 他说：“该恶意软件能够动态生成并通过多种威胁载体向特定设备用户分发独特的恶意应用程序，该威胁行为者具有很高的复杂性和适应性。” 事实上，研究人员分析的恶意软件样本中，有超过9.9万个是未知的，在公开可用的存储库中也无法找到，这表明在过去的两年半中，这类活动几乎未被记录。此外，通过拦截恶意软件的OTP消息，我们发现攻击者针对的是60多个全球顶级品牌，其中一些品牌拥有数亿用户。 谷歌发言人告诉 Dark Reading：“Android 用户可以通过 Google Play Protect 来自动防御已知版本的恶意软件，该功能在搭载 Google Play 服务的 Android 设备上启用。Google  Play Protect 可以警告用户或阻止已知存在恶意行为的应用程序，即使这些应用程序来自 Play 商店以外的来源。” 多阶段战役 研究人员发现，恶意软件感染并窃取短信及其他数据的过程分为多个阶段，可能想利用所窃取的数据进行进一步的恶意活动。 研究人员在帖子中写道：“这些被盗凭证为进一步欺诈活动提供了跳板，例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。” 当Android 用户被诱骗侧载恶意应用程序，要么通过模仿合法应用商店的欺骗性广告，要么通过使用自动 Telegram 机器人直接与目标用户沟通，并通过社交工程手段引诱他们参与。安装后，恶意应用程序会请求读取短信的权限，根据帖子，这是“Android 上的高风险权限，可广泛访问敏感的个人数据”。 研究人员写道：“尽管合法的应用程序可能需要请求短信权限以实现特定的功能，但这个应用程序的请求可能是未经授权的，目的是窃取受害者的私人短信信息。” 一旦获得权限，恶意软件就会寻找 C2 服务器的地址，然后建立连接以传输要执行的命令和被盗的短信。在第五阶段，也就是最后阶段，攻击者将受害者的设备变成“静默拦截器”，恶意软件会隐藏在其中，并不断监控传入的短信，主要是寻找有价值的 OTP 来进行在线帐户验证。 “迫切需要”加强移动防御 Chiaravigli 指出，虽然窃取短信获取经济利益不是一种新的威胁方式，但攻击者在此次活动中采取的动态和持续性手段是一种“精细而有效的攻击方法”，需要立即做出反应。 事实上，专家表示，移动恶意软件日益泛滥，尤其是那些可以窃取有价值的OTP 的无处不在且隐秘的应用程序，对个人和企业都构成了重大威胁。它们不仅侵犯了用户的隐私，而且还为一系列恶意活动提供了跳板，例如凭证盗窃、金融欺诈和勒索软件等。 证书生命周期管理提供商 Sectigo 的产品高级副总裁 Jason Soroko 指出：“我们过去曾见过短信窃取恶意软件，但是，短信窃取程序能够拦截 OTP、帮助窃取凭证并进一步实现恶意软件渗透，这带来了严重的风险。” 他说，这凸显了组织机构“迫切需要”采用增强的移动安全策略，特别强调应用程序权限的管理和持续的威胁监控，“以保护数字身份和企业完整性”。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 补充说，新的防御策略应该是多层次的，包括高级行为分析、机器学习和实时威胁情报的组合。他表示：“强大的移动威胁防御解决方案、主动防御策略和持续的安全更新在识别和消除隐藏的恶意软件方面发挥着关键作用。”   消息来源：darkreading，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软表示，周二的一次 DDoS 攻击导致其 Azure 门户以及部分 Microsoft 365 和 Microsoft Purview 服务中断八小时。 微软表示，使用量意外激增导致 Azure Front Door 和 Azure 内容交付网络出现间歇性错误、峰值和超时。初步调查显示，该公司安全响应中的错误可能加剧了中断的影响。 微软表示将在 72 小时内对该事件进行初步审查，并在两周内进行最终审查，以查明问题出在哪里以及如何更好地应对。 此次事件发生不到两周前，CrowdStrike在其 Falcon 安全平台上发布了有缺陷的软件更新，导致全球 850 万台 Windows 设备发生 IT 中断。 在最初获悉该事件后，微软对网络配置进行了更改，以支持其 DDoS 缓解措施。该公司还执行了故障转移到备用网络路径。 这并不是该公司第一次处理与 DDoS 相关的中断。微软在 2023 年遭受了一系列 DDoS 攻击，这些攻击与亲俄黑客活动分子有关，其中包括一个名为“匿名苏丹”的组织。 微软表示，最初的网络配置变化在美国东部时间上午 10 点后不久缓解了大部分影响，这距离中断开始仅三个多小时。随后，一些客户报告可用性低于 100%，该公司开始推出更新的响应措施，首先是亚太地区，然后是欧洲。 在验证缓解措施成功后，这些更新已在美洲推出。 到下午，故障率已降至事故发生前的水平，并于美国东部时间下午 5 点之前宣布事故得到解决，此时距离事故发生已经过去了 9 个小时。 NexusGuard 总监 Donny Chong 在一份声明中表示：“微软的中断表明 DDoS 攻击者可以轻易对关键业务服务造成严重破坏。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p3BGK2gz-nWeNzJBXOvd6w 封面来源于网络，如有侵权请联系删除

针对软件开发人员的持续攻击活动背后的黑客展示了新的战术和策略，并将其重点扩大到 Windows、Linux 和 macOS 系统。 该攻击群被称为DEV#POPPER，与朝鲜有关，其目标人群遍布韩国、北美、欧洲和中东。 Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一篇报告中表示：“这种攻击形式是社会工程学的一种高级形式，旨在操纵个人泄露机密信息或执行他们通常不会做的事情。” DEV#POPPER 是一个活跃恶意软件活动的绰号，该活动以求职面试为幌子诱骗软件开发人员下载托管在 GitHub 上的陷阱软件。它与 Palo Alto Networks Unit 42 跟踪的名为Contagious Interview的活动有相似之处。 本月早些时候，研究人员发现针对 Windows 和 macOS 的恶意软件发布了名为 BeaverTail 的更新版本，这表明该活动的范围更广泛且跨平台。 Securonix 的攻击链文档或多或少是一致的，攻击者冒充开发人员职位的面试官，并敦促候选人下载 ZIP 存档文件以完成编码作业。 档案中有一个 npm 模块，一旦安装，就会触发混淆的 JavaScript（即 BeaverTail）的执行，该模块确定其运行的操作系统并与远程服务器建立联系以窃取感兴趣的数据。 它还能够下载下一阶段的有效载荷，包括一个名为 InvisibleFerret 的 Python 后门，旨在收集详细的系统元数据、访问存储在 Web 浏览器中的 cookie、执行命令、上传/下载文件以及记录击键和剪贴板内容。 最近的样本中添加的新功能包括使用增强混淆、AnyDesk 远程监控和管理 (RMM) 软件来实现持久性，以及对用于数据泄露的 FTP 机制的改进。此外，Python 脚本还充当运行辅助脚本的管道，该脚本负责从不同操作系统的各种网络浏览器（Google Chrome、Opera 和 Brave）窃取敏感信息。 研究人员表示：“原始 DEV#POPPER 活动的这一复杂扩展继续利用 Python 脚本执行多阶段攻击，重点是从受害者那里窃取敏感信息，但现在其功能更加强大。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5n1bi4EfPBogESvi1Y7U4A 封面来源于网络，如有侵权请联系删除