FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。 远程攻击者可利用Adobe ColdFusion 2021中的验证前RCE漏洞，获取受影响系統的控制权力。 Adobe 已发布安全补丁来解决这些漏洞，但攻击者仍在利用这些漏洞。 攻击活动涉及多个阶段，包括探测、反向外壳和部署恶意软件。 目前已发现四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 建议用户及时升级系统并部署保护机制，以挫败正在进行的攻击。 由于 Adobe ColdFusion 存在漏洞，Windows 和 macOS 平台的众多用户目前都面临风险。该软件套件是网络应用程序开发的热门选择，最近由于远程攻击者发现并利用了认证前远程代码执行（RCE）漏洞而受到攻击。这些漏洞使攻击者有能力夺取受影响系统的控制权，从而将危险系数提升到了严重级别。 这些攻击的核心目标是 Adobe ColdFusion 2021 中的 WDDX 反序列化过程。虽然Adobe迅速回应了安全更新（APSB23-40、APSB23-41和APSB23-47），但FortiGuard实验室仍观察到持续的攻击尝试。 从对攻击模式的分析，研究人员发现了威胁行为者执行的一个过程。他们使用 “interactsh “等工具发起探测活动，以测试漏洞利用的有效性。观察到这些活动涉及多个域，包括 mooo-ngcom、redteamtf 和 h4ck4funxyz。探测阶段让攻击者深入了解了潜在漏洞，并为更多的恶意行动的做好铺垫。 攻击活动的复杂性还体现在反向外壳的使用上。通过对有效载荷进行 Base64 编码，攻击者试图在未经授权的情况下访问受害者系统，从而实现远程控制。 值得注意的是，分析揭示了一种多管齐下的方法，包括部署各种恶意软件变种。攻击是从不同的 IP 地址发起的，这引起了人们对该活动影响范围之广的担忧。恶意软件有效载荷以 Base64 编码，在解码前隐藏了其真实性质。研究人员发现了四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 XMRig Miner 主要与 Monero 加密货币挖矿有关，被用来劫持系统处理能力。通过利用 6.20.0 版本，攻击者设法利用被入侵的系统获取经济利益。 Lucifer是一个混合型机器人，结合了加密劫持和分布式拒绝服务（DDoS）功能，是一个强大的实体。该恶意软件变种不仅展示了其挖矿能力，还展示了其在指挥和控制操作、通过漏洞传播以及复杂的 DDoS 攻击方面的能力。 与 “Lucifer “相连的 RudeMiner 携带着以前的 DDoS 攻击遗产。它在当前威胁环境中的参与表明了它的持久性和适应性，使其成为一个重大隐患。 BillGates/Setag 后门之前与 Confluence 服务器漏洞有关，在此背景下再次出现。表明它具有多方面的能力，包括系统劫持、C2 通信和多种攻击方法，其中包括基于 SYN、UDP、ICMP 和 HTTP 的攻击。 尽管有安全补丁可用，但攻击的持续不断，也突显了采取行动的紧迫性。我们强烈建议用户及时升级系统并部署保护机制，包括防病毒服务、IPS 签名、网络过滤和 IP 信誉跟踪，以遏制持续不断的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376962.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面，它伪装成一款名为“OfficeNote”的办公生产力应用程序，将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中，”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说，“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现，被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现，以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境，因此，恶意的.jar文件无法在macOS的安装中执行，因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制，并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示，在整个2023年7月，他们在VirusTotal上检测到多次该工件的提交，证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金，每月199美元或299美元/3个月。有趣的是，与Windows版本的XLoader(每月59美元和每月129美元)相比，这个价格相对昂贵。” 一旦执行，OfficeNote就会抛出一条错误消息，提示“无法打开，因为找不到原始项目”。实际上，它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而，Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外，恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明，其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密，这些机密可能被使用或出售给其他威胁行为者，以进一步危害用户。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕，该版本具有改进的能力，可以建立持久性并避免被安全软件发现。 安全实验室的研究人员在本周发表的一份报告中表示：RustBucket的变种是一个针对macOS系统的恶意软件集合，它增加了持久隐藏能力，同时利用动态网络基础设施方法进行指挥和控制。 该恶意软件于2023年4月曝光，当时Jamf威胁实验室将其描述为一个基于AppleScript的后门，能够从远程服务器检索第二级有效载荷。 第二阶段的恶意软件是用 Swift 编译的，旨在从命令和控制 （C2） 服务器下载主要恶意软件，这是一种基于 Rust 的二进制文件，具有收集大量信息以及在受感染系统上获取和运行其他 Mach-O 二进制文件或 shell 脚本的功能。 BlueNoroff恶意软件是第一个专门针对macOS用户的例子，现在.NET版本的RustBucket已经以类似的功能在野外浮出水面。 感染链由一个macOS安装文件组成，该文件安装了一个带有后门但功能正常的PDF阅读器。当使用PDF阅读器启动PDF文件时，就会触发恶意活动。最初的入侵载体包括钓鱼邮件，以及在LinkedIn等社交网络上采用假的角色。 安全人员还观察到该攻击具有很强的针对性，集中在亚洲、欧洲和美国的金融相关机构，这也表明该恶意活动是以非法创收为目的。 新发现的版本值得注意的是它不寻常的持久隐匿机制和使用动态DNS域名（docsend.linkpc[.net]）进行指挥和控制。 最后，研究人员表示，此次更新的RustBucket样本中，通过在路径/Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist添加一个plist文件来建立自己的持久性，并且它将恶意软件的二进制文件复制到以下路径/Users/<user>/Library/Metadata/System Update。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370920.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，苹果最近解决了一个由微软发现的macOS系统漏洞，该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP)以安装不可删除的恶意软件，并通过规避透明度同意和控制 (TCC) 安全检查来访问受害者的私人数据。 该漏洞被称为Migraine ，由一组微软安全研究人员发现并报告给苹果，现在被追踪为CVE-2023-32369。苹果已在两周前的 5 月 18 日发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修补了该漏洞。 系统完整性保护 (SIP)是一种 macOS 安全机制，可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件，其运作原则是只有由 Apple 签名或拥有特殊权限的进程（例如 Apple 软件更新和安装程序）才被授权更改受 macOS 保护的组件。 此外，如果不重新启动系统并启动 macOS Recovery（内置恢复系统），就无法禁用 SIP，这需要对已经受损的设备进行物理访问。 然而，微软的研究人员发现，拥有 root 权限的攻击者可以通过滥用 macOS 迁移助手实用程序来绕过 SIP 安全实施。研究证明，拥有 root 权限的攻击者可以使用 AppleScript 自动执行迁移过程，并在将其添加到 SIP 的排除列表后启动恶意负载，而无需重新启动系统和从 macOS Recovery 启动。 任意绕过 SIP 会带来重大风险，尤其是在被恶意软件利用时，包括创建无法通过标准删除方法删除的受 SIP 保护的恶意软件。此外攻击面也得到扩大，并可能允许攻击者通过任意内核代码执行来篡改系统完整性，并可能安装 rootkit 以隐藏安全软件中的恶意进程和文件。 绕过 SIP 保护还可以完全绕过TCC 策略，使威胁行为者能够替换 TCC 数据库并获得对受害者私人数据的无限制访问权限。 已非第一次发现macOS 漏洞 这不是微软研究人员近年来报告的第一个此类 macOS 漏洞。2021 年，微软报告了一个名为Shrootless 的 SIP 绕过漏洞，允许攻击者在受感染的 Mac 上执行任意操作，将权限提升为 root，并可能在易受攻击的设备上安装 rootkit。 最近，微软首席安全研究员 Jonathan Bar Or 还发现了一个名为 Achilles 的安全漏洞，攻击者可以利用该漏洞绕过 Gatekeeper对不受信任应用的限制，以此来部署恶意软件。他还发现了另一个名为powerdir的漏洞，可以让攻击者绕过TCC来访问用户的受保护数据。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368060.html 封面来源于网络，如有侵权请联系删除

苹果公司已经修复了一个漏洞，攻击者可以通过能够绕过Gatekeeper应用程序执行限制的不受信任的应用程序在脆弱的macOS设备上部署恶意软件。该安全漏洞”Achilles”由微软首席安全研究员Jonathan Bar Or发现并报告，现在被追踪为CVE-2022-42821。一周前，即12月13日，苹果在macOS 13（Ventura）、macOS 12.6.2（Monterey）和macOS 1.7.2（Big Sur）中解决了这个漏洞。 Gatekeeper是一个macOS安全功能，它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名（经苹果公司批准），在启动前要求用户确认，或发出应用程序不可信的警告。 这是通过检查一个名为com.apple.quarantine的扩展属性来实现的，该属性由网络浏览器分配给所有下载文件，类似于Windows中的Mark of the Web。 该缺陷允许特别制作的载荷滥用逻辑问题，设置限制性的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动，而不是被Gatekeeper阻挡，使攻击者能够下载和部署恶意软件。 微软周一表示，”苹果在macOS Ventura中引入的锁定模式，是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能，旨在阻止零点击远程代码执行漏洞，因此不能防御Achilles”。微软安全威胁情报团队补充说：”无论他们的锁定模式状态如何，终端用户都应该应用苹果发布的已修复版本”。 这只是过去几年发现的多个Gatekeeper旁路之一，其中许多被攻击者在外部滥用，以规避macOS安全机制，如Gatekeeper、文件隔离和系统完整性保护（SIP）在完全打过补丁的Mac上。 例如，Bar Or在2021年报告了一个被称为Shrootless的安全漏洞，可以让威胁者绕过系统完整性保护（SIP），在被攻击的Mac上进行任意操作，将权限提升到root，甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir，这是一个允许攻击者绕过透明、同意和控制（TCC）技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞（CVE-2022-26706）的利用代码，可以帮助攻击者绕过沙盒限制，在系统上运行代码。 最后但并非最不重要的是，苹果在2021年4月修复了一个零日macOS漏洞，使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查，并在受感染的Mac上下载更多的恶意软件。 Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序，并使用多年的技术来提升权限和禁用macOS的Gatekeeper，以运行未签署的载荷。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7179139903052546575/ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SecuRing的研究人员Wojciech Reguła（@_r3ggi）发布了一个macOS沙盒逃逸漏洞的技术细节和概念验证（PoC）代码，该漏洞被追踪为CVE-2022-26696（CVSS评分7.8）。 在Regula发表的总结中，研究人员观察到，这个漏洞是由他在沙盒macOS应用程序中观察到的一个奇怪行为引起的，这个行为可能会启动任何不继承主应用程序沙盒配置文件的应用程序。 苹果公司发布的建议写道：“沙盒进程可能可以绕过沙盒限制，该建议通过改进环境卫生解决了该漏洞。 ZDI发布的报告中写道：“该漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙盒。攻击者必须首先获得在目标系统上执行低权限代码的能力，才能利用此漏洞。LaunchServices组件中的XPC消息处理过程中存在特定漏洞，精心制作的消息可能会触发特权操作的执行。攻击者可以利用此漏洞提升权限，并在当前用户的上下文中执行任意代码。” 该漏洞于2021年12月22日报告给供应商，并于2022年8月15日披露。 Regula将分析重点放在Terminal.app的Objective-C方法上。 专家写道：“设置__OSINSTALL_ENVIRONMENT环境变量时，+[TTApplicationisRunningInInstallEnvironment]将返回YES，因此，当终端启动，+[TTApplicationisRunningInInstallEnvironment]返回YES时，一些环境变量没有被清除。通过简单的命令注入，我能够在终端中执行代码，而无需任何沙盒！” 专家通过将漏洞嵌入到Word文档中，并加载Mythic的JXA有效载荷，从而将漏洞武器化。 Regula解释道：“在终端内执行代码可能非常危险，因为它可能已经获得了一些TCC权限。” Reguła分享了一个视频PoC，演示了如何将Word文档武器化，以逃离沙盒并在终端内执行代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一份新的全球威胁报告为微软描绘了一幅糟糕的画面，因为Windows继续拥有最多的恶意软件感染，而macOS的恶意软件最少。Elastic Security Labs周二发布了一份网络安全报告，研究了流行的操作系统和它们收到的威胁，该公司还包括对企业客户的预测和建议。 像往常一样，macOS在名单上表现最佳，甚至击败了Linux，这意味着它看到的安全威胁最少。数字显示，54%的恶意软件感染是在Windows上发现的，39.4%是在Linux上发现的，而macOS只有6.2%的感染率。 木马是造成大多数感染的原因，占80.5%。特洛伊木马是一种软件，假装是良性的，但里面隐藏着恶意软件，一旦用户运行该程序就会激活。 研究人员发现，MacKeeper是Mac用户作为恶意软件攻击载体的最大威胁。MacKeeper有一段不好的历史，涉及的弹窗广告，而且一些版本让Mac容易受到恶意软件的攻击。 MacKeeper程序经常被视为恶意软件，或被用来传播恶意软件 报告提到，攻击者可以滥用MacKeeper，因为它有广泛的权限和对macOS进程和文件的访问。 它还警告说，在苹果平台的恶意软件中，macOS加密软件可能变得更加普遍。密码挖掘恶意软件或”密码劫持”是一种恶意程序，它利用计算机在未经用户同意的情况下秘密”挖掘”一种加密货币。挖矿会占用计算机的大部分或全部资源，如GPU或CPU性能，使系统变慢。 除了这些具体的威胁，报告中并没有过多提及macOS。这表明，当谈到到恶意软件感染时，Mac用户并没有感到太多的担心。 苹果公司软件工程主管克雷格-费德里吉（Craig Federighi）在2021年表示，该平台的恶意软件水平令人无法接受，至少比iOS更糟糕。但macOS对用户有内置的保护措施，包括杀毒软件，对已知开发者的应用进行验证，以及文件系统加密的能力。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166262350633239077/?log_from=f914f982fe00d_1668653007456 封面来源于网络，如有侵权请联系删除

在 Mac 开机或者打开某款应用时进行恶意软件扫描之外，苹果悄然新增了一项新功能：在 Mac 处于闲置状态进行恶意软件软件扫描。Howard Oakley 在其 The Eclectic Light Company 博文中写道，苹果于 2021 年 3 月引入了名为 XProtect Remediator 的功能，在最新发布的 macOS Monterey 中开始启用。 XProtect Remediator 是对现有 XProtect 系统工具的补充。Oakley 表示 XProtect 系统工具主要用于应用生产，是否存在已知恶意软件黑名单中的代码。XProtect Remediator 由可执行代码模块组成，这些模块既可以扫描又可以修复检测到的恶意软件。 Oakley 表示，它似乎可以替代苹果之前的恶意软件删除工具 (MRT)。虽然在 Apple 的支持网站上搜索“恶意软件”确实会显示对 MRT 的引用，但这些引用已从实际支持文档中删除。 支持文档中也未提及此 XProtect Remediator，并且 XProtect 被描述为用于在检测到恶意软件后删除。但是，Apple 现在确实表示 XProtect 还有助于识别恶意软件。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1311103.htm 封面来源于网络，如有侵权请联系删除

援引国外科技媒体 MacRumors 报道，Zoom 已经发布了新版补丁，修复了存在于 macOS 端应用中的漏洞，允许黑客入侵接管用户的操作系统。在安全公告中，Zoom 承认存在 CVE-2022-28756 这个问题，并表示在最新的 5.11.5 版本中已经提供了修复，用户应该理解下载安装。 Objective-See Foundation 的联合创始人兼安全专家帕特里克·沃德尔（Patrick Wardle）率先发现了这个漏洞，并在上周召开的 Def Con 黑客大会上公开演示。该漏洞存在于 Zoom 的 macOS 安装包内，需要特别的用户权限来执行。 通过利用该工具，沃德尔利用 Zoom 安装包的加密签名来安装恶意程序。接下来，攻击者可以接管用户的系统，允许修改、删除和添加文件。 在引用 Zoom 的更新之后，沃德尔表示：“感谢 Zoom 能够如此快地修复这个问题。反转补丁，Zoom 安装程序现在调用 lchown 来更新更新 .pkg 的权限，从而防止恶意使用”。 您可以通过首先在 Mac 上打开应用程序并从屏幕顶部的菜单栏中点击 zoom.us（这可能因您所在的国家/地区而异）来在 Zoom 上安装 5.11.5 更新。然后，选择检查更新，如果可用，Zoom 将显示一个窗口，其中包含最新的应用程序版本，以及有关更改内容的详细信息。从这里，选择更新开始下载。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304807.htm 封面来源于网络，如有侵权请联系删除

近日，两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机，意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号，深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还是指出，本次攻击是面向 Katzenberg 本人参与投资的身份盗窃保护公司 Aura 的一次技术演示。 据悉，Tobac 利用了现已得到修复的漏洞、并且结合了社会工程技能，以欺骗 Katzenberg 点击钓鱼网站上的恶意链接。 在得逞之后，攻击者便可窃取受害者 Mac 上的照片、电子邮件和联系人等隐私信息。 更让人感到惊悚的是，黑客甚至能够在不触发 macOS 内置麦克风指示器的情况下，悄然开启 Mic 并监听受害者的谈话内容。 Tobac 的丈夫 Evan（也是一名黑客兼安全研究人员），在另一条推文中介绍了本次 macOS 漏洞利用的更多细节。 可知攻击方案基于 Ryan Pickren 的安全研究而构建，当初他因发现 Safari 的跨站脚本漏洞而获得了 10.05 万美元的奖励。更确切地说，黑客可通过 iCloud 链接和 Safari 的共享偏好来开展底层漏洞利用攻击。 不过对于普通 macOS 用户来说，还请不要连续漏过多次版本更新、并养成良好的使用习惯（不轻易点击可疑的邮件连接），不然就会像 Katzenberg 的 Mac 一样易被侵入。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1248021.htm 封面来源于网络，如有侵权请联系删除