HackerNews 编译，转载请注明出处： 英国《在线安全法》新规实施后，VPN使用量激增，维基百科发起法律诉讼。7月25日生效的严格年龄验证制度正引发连锁反应：瑞士VPN服务商Proton报告称，新规实施后英国用户注册量单日暴涨1800%。英国用户通过VPN将IP地址伪装成他国以规避限制，此举使政府提升儿童网络安全的计划面临挑战。 该法案强制 TikTok、Reddit、X 等含成人内容的平台实施年龄验证，用户需提供身份证或信用卡信息方可访问涉及色情、自残及网络霸凌的内容。违规企业将面临最高1800万英镑（约2400万美元）或其全球营收10%的罚款（以较高者为准），企业高管可能承担刑事责任。 隐私风险引发民众抵制。请愿撤销该法案的联署一周内超28万人签署，触发政府必须回应的法律程序。成人平台Pornhub警告：“验证系统收集高敏感数据，将大幅增加信息泄露风险”。网络安全专家同时指出，部分VPN服务商存在记录用户数据、倒卖浏览历史的行为，甚至可能被黑客利用作为流量跳板。 维基百科的诉讼成为焦点。英国通信管理局拟将其列为“一类服务”，要求实施用户年龄验证、编辑身份认证及删除模糊定义的“有害内容”。维基媒体基金会称此举将威胁平台核心原则：年龄验证可能阻碍敏感议题编辑，身份认证或危及志愿者安全。7月22日至23日伦敦皇家法院已审理此案，若维基百科最终拒绝合规，其在英国的服务可能被全面封锁。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cyfirma发现，黑客正公然利用GitHub平台以“免费VPN”为幌子传播Lumma信息窃取木马。该恶意项目伪装成“Free VPN for PC”仓库，实际安装包会触发多阶段攻击链：首先释放伪装成VPN组件的.NET加载器，随后通过内存注入技术部署最终载荷。 该攻击采用双重诱饵策略：同一攻击者在GitHub同步上传名为“Minecraft Skin”的恶意仓库，瞄准青少年游戏群体；利用GitHub可信平台属性规避安全检测，受害者在搜索正版软件时易误入陷阱。技术层面采用多层混淆手段：初始载荷含Base64编码的PowerShell脚本，核心模块通过内存驻留规避磁盘扫描；注入合法进程（如explorer.exe）实现隐蔽运行，窃取流程包含浏览器凭证、加密货币钱包及文档文件。 Lumma窃密软件在地下市场以“恶意软件即服务”模式流通，月租费140-160美元，支持定制化攻击配置。近期活跃传播渠道除GitHub外，还包括：YouTube盗版教程视频诱导下载带毒安装包、虚假验证码页面诱骗用户执行系统命令、Discord游戏社区通过恶意机器人传播。 2025年5月，微软联合欧盟、日本执法机构开展专项打击行动：查封2,300个C2控制域名，瓦解暗网赃数据交易市场；39.4万台受感染Windows设备被重定向至安全服务器消毒；溯源发现俄罗斯开发者“Shamel”为核心运营者，其Telegram频道拥有超千名订阅者。 防护措施建议： 谨慎处理开源平台下载内容，优先验证仓库作者信誉及代码签名； 启用内存防护功能（如Microsoft Defender PPL），阻断非授权代码注入； 对敏感账户实施硬件级双因素认证，降低凭证泄露风险； 定期检查系统进程与网络连接状态，警惕异常行为。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场恶意软件活动，该活动通过伪装为LetsVPN、QQ浏览器等流行工具的虚假软件安装程序，最终投递Winos 4.0框架。这项由Rapid7在2025年2月首次监测到的攻击行动，使用了名为Catena的多阶段驻内存加载器。 “Catena通过嵌入shellcode和配置切换逻辑，将Winos 4.0等有效载荷完全驻留内存，规避了传统杀毒软件的检测，”安全研究人员安娜·希罗科娃与伊万·费格尔表示，“植入后，它会静默连接攻击者控制的服务器——多数位于香港——接收后续指令或额外恶意程序。”这类攻击与历史上部署Winos 4.0的案例相似，似乎专门针对中文环境，网络安全公司指出幕后存在具备高度能力的威胁组织进行“缜密的长期规划”。 趋势科技于2024年6月首次公开记录到Winos 4.0（又名ValleyRAT），当时该恶意程序通过VPN应用的恶意Windows安装包（MSI文件）针对中文用户发起攻击。相关活动被归因于追踪代号为Void Arachne的威胁集团，该组织也被称为Silver Fox。 后续传播该恶意软件的行动转而使用游戏相关应用作为诱饵，包括安装工具、加速器和优化程序等，诱骗用户安装。2025年2月披露的另一次攻击浪潮通过伪装台湾地区税务机构的钓鱼邮件针对当地实体。 基于知名远程木马Gh0st RAT的代码基础，Winos 4.0是采用C++编写的先进恶意框架，利用插件化系统实现数据窃取、远程Shell访问及发动分布式拒绝服务（DDoS）攻击。 2025年2月发现的基于QQ浏览器的感染流程显示，所有相关攻击载体均依赖NSIS安装程序。这些安装包捆绑了经过签名的诱饵应用，将shellcode嵌入.ini文件，并通过反射式DLL注入技术实现隐蔽驻留。整个感染链被命名为Catena。 研究人员指出：“该活动在2025年全年持续活跃，感染链保持稳定但存在战术调整，显示出攻击者具备强大适应能力。”攻击起点是伪装成腾讯开发的QQ浏览器安装包的恶意NSIS程序，通过Catena框架投递Winos 4.0。恶意程序通过TCP 18856端口和HTTPS 443端口与硬编码的C2基础设施通信。 在2025年4月发现的LetsVPN安装包攻击案例中，恶意程序通过创建计划任务实现持久化，这些任务在初始入侵数周后执行。虽然该恶意软件包含检测系统中文语言设置的显性校验，但即使未发现中文环境仍会继续执行。 这一现象表明该功能尚未完善，预计会在后续版本中改进。Rapid7透露，2025年4月监测到攻击者进行了“战术调整”，不仅修改了Catena执行链的某些组件，还新增了反杀毒检测规避功能。 新版攻击流程中，NSIS安装程序伪装成LetsVPN安装文件，运行PowerShell命令为所有驱动器（C:\至Z:\）添加Microsoft Defender排除项。随后释放的恶意载荷包含一个可执行文件，该文件会对运行进程进行快照扫描，检查是否存在奇虎360开发的杀毒软件相关进程。 该二进制文件使用威瑞信颁发的过期证书进行签名，证书显示归属方为腾讯科技（深圳），有效期从2018年10月11日至2020年2月2日。其主要功能是反射式加载DLL文件，该DLL会连接C2服务器（134.122.204[.]11:18852或103.46.185[.]44:443）以下载执行Winos 4.0。 研究人员总结称：“该行动展现出高度组织化的区域性恶意软件攻击模式，通过特制NSIS安装程序静默植入Winos 4.0。攻击者大量使用内存驻留载荷、反射式DLL加载及合法证书签名的诱饵软件规避告警，基础设施重叠和语言定向特征暗示其与Silver Fox APT存在关联，活动目标可能持续锁定中文语系环境。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于隐私的电子邮件提供商 Tuta（原名 Tutanota）和 VPN 信任倡议（VTI）对法国拟议的法律表示担忧，这些法律可能会在加密消息系统中设置后门，并限制互联网访问。 第一个案例涉及法国“毒品贩运法”的一项拟议修正案，该修正案将迫使加密通信服务提供商设置后门，使执法部门能够在 72 小时内访问疑似犯罪分子的解密消息。不遵守规定可能会导致巨额罚款：个人最高可达 150 万欧元，公司最高可达其全球年营业额的 2%。 该法律尚未生效，但修正案已通过法国参议院，正在提交国民议会，因此增加反对意见至关重要。 在一份新声明中，Tuta 呼吁法国国民议会拒绝这一修正案，倡导保护强大的加密技术，以维护个人隐私和安全。他们再次强调，强制在软件中设置后门会破坏所有用户的安全和隐私，而不仅仅是犯罪分子，因为这会制造出可能被恶意行为者利用的漏洞。 “为好人设置后门只是一个危险的幻觉，”Tuta 邮件的首席执行官 Matthias Pfau 告诉 BleepingComputer。“为了执法而削弱加密技术，必然会制造出可能被网络犯罪分子和敌对外国行为者利用的漏洞。这项法律不仅会针对犯罪分子，还会破坏每个人的安全。” Tuta 进一步指出，拟议的修正案引发了法律复杂性，因为它据称与欧洲的 GDPR 和德国的 IT 安全法相冲突。 VPN 反对访问限制 本周早些时候，VTI 就法国一项由版权方 Canal+ 和法国足球联赛（LFP）推动的法律修正案发表了强烈声明，他们已采取法律行动，迫使 VPN 提供商阻止对盗版网站和服务的访问。 VTI 的成员包括 AWS、Google、Cloudflare、Namecheap、OVH、IPVanish VPN、Ivacy VPN、NordVPN、PureVPN 和 ExpressVPN，认为这是对 VPN 服务的错误 targeting，并敦促法国当局重新考虑他们的方法。 “将重点放在内容中立的工具如 VPN 上，而不是解决非法内容的来源，不仅无法打击盗版，还会对网络安全和隐私造成附带损害，使用户面临风险，”VTI 表示。 政府压力不断增加 关于法国全面法律提案的最新消息证实了政府行动呈上升趋势，旨在对互联网上的数据流施加更严格的控制和监控。 上周，苹果决定从英国撤下其 iCloud 端到端加密功能“高级数据保护”（ADP），此前政府秘密要求创建一个后门以访问用户数据。 瑞典提出的一项类似法律将允许执法机构访问用户在 Signal 等应用上的消息历史。然而，Signal 的总裁 Meredith Whittaker 在最近的一次采访中表示，这项法律将迫使他们将服务撤出该国。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员发现了Palo Alto Networks（CVE-2024-5921）和SonicWall（CVE-2024-29014）企业VPN客户端更新过程中的漏洞，这些漏洞可能被利用来远程执行代码。 CVE-2024-5921 CVE-2024-5921影响Palo Alto的GlobalProtect App在Windows、macOS和Linux上的多个版本，起因是认证验证不足。 该公司确认，这使得攻击者能够将GlobalProtect应用连接到任意服务器，并且指出这可能导致攻击者在终端安装恶意根证书，随后安装由这些证书签名的恶意软件。 AmberWolf研究人员Richard Warren和David Cash解释说：“GlobalProtect VPN客户端的Windows和macOS版本都容易受到远程代码执行（RCE）和权限提升的影响，这是通过自动更新机制实现的。虽然更新过程要求MSI文件必须签名，但攻击者可以利用PanGPS服务安装一个恶意信任的根证书，从而实现RCE和权限提升。更新执行时具有服务组件的权限级别（Windows上的SYSTEM和macOS上的root）。” “默认情况下，用户可以在VPN客户端的用户界面组件（PanGPA）中指定任意端点。这种行为可以被利用于社交工程攻击中，攻击者诱骗用户连接到恶意VPN服务器。这些服务器可以捕获登录凭证，并通过恶意客户端更新破坏系统。” Palo Alto表示：“这个问题在GlobalProtect应用6.2.6及所有后续的6.2版本中已修复。”该公司还引入了一个额外的配置参数（FULLCHAINCERTVERIFY），应该启用以加强对系统信任证书库的证书验证。 根据PAN的安全咨询，目前还没有针对macOS或Linux版本的应用的修复。 不过，有一个权宜之计/缓解措施，即在端点上为GlobalProtect应用启用FIPS-CC模式（并在GlobalProtect门户/网关上启用FIPS-CC模式）。 AmberWolf研究人员表示，还可以实施基于主机的防火墙规则，以防止用户连接到恶意VPN服务器。 CVE-2024-29014 CVE-2024-29014影响SonicWall的NetExtender VPN客户端在Windows版本10.2.339及更早版本，当处理端点控制（EPC）客户端更新时，允许攻击者以SYSTEM权限执行代码。该漏洞源于签名验证不足。 有几种利用场景可能导致这种情况。例如，用户可能被诱骗将他们的NetExtender客户端连接到恶意VPN服务器，并安装假冒的（恶意的）EPC客户端更新。 AmberWolf研究人员解释了另一种方法：“当安装了SMA Connect代理时，攻击者可以利用自定义URI处理程序强制NetExtender客户端连接到他们的服务器。用户只需要访问恶意网站并接受浏览器提示，或打开恶意文档，攻击就可以成功。” SonicWall在今年早些时候已经在NetExtender Windows（32位和64位）10.2.341及更高版本中修补了这个漏洞，并敦促用户升级。 AmberWolf建议：“如果立即升级不可行，考虑使用客户端防火墙限制对已知合法VPN端点的访问，以防止用户无意中连接到恶意服务器。” VPN在许多场景下被视为不可或缺的工具，它提供了加密通道，使得用户可以在公共网络上安全地传输数据，同时也能绕过地理限制访问被封锁的内容。例如对于需要远程工作的员工，VPN提供了安全访问公司内部网络的能力，确保了数据传输的保密性和完整性。 但不可否认的是，VPN的存在也给企业带来了更多的攻击面，并且成为黑客攻击的跳板。     转自Freebuf，原文链接：https://www.freebuf.com/news/416278.html 封面来源于网络，如有侵权请联系删除

近日，GuidePoint Research和Intelligence Team（GRIT）发现了一个针对英语使用者的持续钓鱼活动，该活动已经针对美国超过130家公司和组织。 研究人员指出，自2024年6月26日以来，这个威胁行为者注册了与目标组织使用的VPN提供商相似的域名。威胁行为者通常会打电话给员工个人，假装来自服务台或IT团队，并声称他们正在解决VPN登录问题。如果这种社工攻击尝试成功，威胁行为者会发送一个短信链接给用户，该链接指向假冒公司VPN的假网站。 该威胁行为者还为每个目标组织设置了自定义的VPN登录页面。与此活动相关的域名如下： – ciscoweblink.com – ciscolinkweb.com – ciscolinkacc.com – ciscoacclink.com – linkciscoweb.com – fortivpnlink.com – vpnpaloalto.com – linkwebcisco.com 这些页面与每个组织的合法页面非常相似，包括可用的 VPN 组。但是，在某些情况下，威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中，这可能是作为社会工程攻击中的一种策略。 通过这些虚假登录页面，威胁行为者能够收集用户的用户名、密码和令牌，即使存在多因素认证（MFA）也是如此。 如果 MFA 使用推送通知，则威胁行为者会指示用户在社交工程调用期间批准推送通知。在最后一步中，用户被重定向到目标组织的合法 VPN 地址，并可能被要求再次登录，从而加强问题已解决的错觉。 一旦威胁行为者获得对网络的VPN访问权限，他们立即开始扫描网络，以识别横向移动、持久性和进一步权限提升的目标。 GRIT写道：这种钓鱼活动中使用的社会工程类型特别难以检测，因为它通常发生在传统安全工具的可见性之外，例如通过直接拨打用户的手机号和使用短信/文本消息。 除非用户报告收到这些类型的电话或消息，否则安全团队甚至可能察觉不到。威胁行为者还可以通过这种方法针对多个用户，直到他们成功地找到一个容易受到这种攻击的用户。 为了避免安全风险，用户应对过去30天内来自VPN分配IP地址的可疑活动日志进行详细排查。如果发现任何成功的入侵迹象要立即与安全团队沟通，并立刻采取相应措施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409821.html 封面来源于网络，如有侵权请联系删除

Atlas VPN 已确认存在一个零日漏洞，该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前，发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。 关于 Atlas VPN 零日漏洞 Atlas VPN提供 “免费 “和付费的 “高级 “VPN解决方案，可以改变用户的IP地址，以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。 此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3（即最新版本）。 发帖者解释了漏洞的根本原因，首先，AtlasVPN Linux 客户端由两部分组成，守护进程（atlasvpnd）由管理连接，客户端（atlasvpn）由用户控制连接、断开连接和列出服务。当客户端不通过本地套接或任何其他安全手段进行连接，而是在 8076 端口的 localhost 上打开一个 API时，它没有任何身份验证。计算机上运行的任何程序，包括浏览器，都可以访问这个端口。 简而言之，通过恶意脚本，任何网站都可以向 8076 端口提出断开 VPN 连接的请求，然后运行另一个请求，泄露用户的 IP 地址。 成功 “攻击 “的前提条件是访问者使用 Linux，并在访问网站时主动使用 AtlasVPN Linux 客户端 v1.0.3。当然，这也限制了潜在受害者的数量。 修复程序正在开发中 Atlas VPN 的通信主管 Rūta Čižinauskaitė 说：我们正在修复这个漏洞。该漏洞影响 Atlas VPN Linux 客户端 1.0.3 版本。正如研究人员所说，由于该漏洞，恶意行为者可能会断开应用程序，从而断开用户与 VPN 网关之间的加密流量。这可能导致用户的 IP 地址泄露。 目前，该公司正在努力尽快修复这个容易被利用的漏洞，一旦问题得到解决，就会提示用户将其 Linux 应用程序更新到最新版本。 Čižinauskaitė还表示，他们将在开发过程中实施更多的安全检查，以避免未来出现此类漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/377482.html 封面来源于网络，如有侵权请联系删除

近日，纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞，攻击者可利用这些漏洞读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们的攻击所需的计算资源并不昂贵，这意味着任何具有适当网络访问权限的人都可以实施这些攻击，且不受VPN安全协议限制。换而言之，无论VPN使用何种安全协议，所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN（包括微软和苹果操作系统的内置VPN）也可能受到攻击。”纽约大学的Nian Xu声称： “即使受害者使用了HTTPS加密，我们的攻击也会泄露用户正在访问哪些网站，这可能会带来重大的隐私风险。” 四大数据泄露漏洞危及全球VPN客户端 研究者发现的四个普遍存在的VPN漏洞的CVE编号分别是：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。 CVE-2023-36672：LocalNet攻击导致明文流量泄漏。参考CVSS分数为6.8。 CVE-2023-35838：LocalNet攻击导致流量阻塞。参考CVSS分数为3.1。 CVE-2023-36673：ServerIP攻击与DNS欺骗相结合，可以将流量泄漏到任意IP地址。参考CVSS分数为7.4。 CVE-2023-36671：ServerIP攻击，只有VPN服务器真实IP地址的流量才会被泄露。参考CVSS分数为3.1。 第一对漏洞可在LocalNet攻击中被利用，即当用户连接到攻击者设置的Wi-Fi或以太网时（下图）： 后一对漏洞可被攻击者或恶意互联网服务提供商(ISP)所利用，通过不受信任的Wi-Fi/以太网发动ServerIP攻击。 ServerIP攻击示意图 研究人员表示：“这两种攻击都会操纵受害者的路由表，诱骗受害者将流量发送到受保护的VPN隧道之外，从而使对手能够读取和拦截传输的流量。” 除了数据泄露，此类攻击还产生另外一个风险：VPN通常用于保护较旧或不安全的协议，VPN防护失效意味着攻击者随后可以攻击较旧或不安全的协议，例如RDP、POP、FTP、telnet等。 研究者公布了多种攻击的视频演示 （https://www.youtube.com/watch?v=vOawEz39yNY&t=52s），还发布了可用于检查VPN客户端是否易受攻击的脚本（https://github.com/vanhoefm/vpnleaks）。 研究人员补充说：“一旦足够多的VPN设备修补了有关漏洞，如果有必要和/或有益，攻击脚本也将被公开发布。” 苹果设备VPN客户端几乎“全军覆没” 在测试了许多消费者和企业级VPN解决方案后，研究人员发现苹果设备上的VPN客户端几乎全军覆没（无论是Mac电脑、iPhone或iPad），Windows和Linux设备的VPN也很容易受到上述一种或两种攻击。在Android设备上，只有四分之一左右的VPN应用程序容易受到攻击——这可能与Android“精心设计”的API有关。 如上图所示，大多数Windows、macOS和iOS的内置VPN客户端都容易受到攻击，超过三分之一的Linux上的VPN客户端也是如此。 研究人员表示，他们并不知道这些漏洞是否在野外被利用，如果有的话，也很难发现。 据悉，研究人员已经向一些VPN供应商通报了他们发现的漏洞，其中一些供应商已经修复了漏洞，但却没有在更新说明中提及（以遵守研究人员在其研究发表之前的保密要求）。 研究人员在论文的末尾提供了各种设备上经过测试的VPN应用程序的完整列表，可供用户检查自己的VPN应用/客户端是否容易受到攻击。 缓解建议 研究人员指出：“一些VPN产品已经修复漏洞，包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科已确认其适用于Linux、macOS和Windows的思科安全客户端和AnyConnect安全移动客户端容易受到CVE-2023-36672的影响，但仅限于特定的非默认配置。Mulvad则表示只有其iOS应用程序容易受到LocalNet攻击。 如果用户的VPN安全更新不可用，研究人员给出的建议是通过禁用本地网络访问来缓解LocalNet攻击。用户还可以通过确保网站使用HTTPS来缓解攻击，现在大多数网站都支持HTTPS。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/66_qEv_K-CS3psoD9EaioQ 封面来源于网络，如有侵权请联系删除

近日，SuperVPN 暴露了高达 133 GB 的数据，其中包括毫无戒心的用户的个人详细信息，例如 IP 地址。 早在 2022 年 5 月，SuperVPN 这一免费 VPN 服务提供商就曾泄露客户数据。 在最近的一次网络安全事件中，安全研究员 Jeremiah Fowler 发现了一个与流行的免费 VPN 服务相关的非密码保护数据库中的重大数据泄露。 暴露的数据库包含惊人的 360,308,817 条记录，总计 133 GB。这些记录包括范围广泛的敏感信息，包括用户电子邮件地址、原始 IP 地址、地理位置数据和服务器使用记录。 此外，该漏洞还泄露了密钥、唯一应用程序用户 ID 号和 UUID 号，可用于识别更多有用信息。 在数据库中找到的其他信息包括电话或设备型号、操作系统、互联网连接类型和 VPN 应用程序版本。此外，退款请求和付费帐户详细信息也存在于违规行为中。   泄露数据的类型（VPNmentor） 虽然 SuperVPN 声称它不存储用户日志，但泄露的数据表明情况并非如此，这与公司的政策相矛盾。这也表明“几乎每一个主要的免费 VPN 服务都是一个荣耀的数据农场。” 随着人们对在线隐私和安全的日益关注，近年来对 VPN 服务的需求猛增。因此，市场上可供用户使用的 VPN 应用程序数量显着增加。 然而，产品数量激增导致 VPN 应用程序比例惊人，它们不可靠且无法提供预期的隐私和安全级别。这会导致适得其反的用户体验，因为缺乏足够的安全协议会使他们的信息面临因数据泄露而泄露的风险。 根据 VPNmentor 的报告，暴露的数据库中的大部分记录都与 SuperVPN 相关联，SuperVPN 是一款免费的 VPN 应用程序，可在苹果和谷歌应用程序商店中使用。 此外，研究人员注意到列出了两个名为 SuperVPN 的应用程序，每个都归功于不同的开发人员。青岛乐游互动网络科技有限公司是 SuperVPN for iOS、iPad 和 macOS 的开发商，而 SuperSoft Tech 开发了第二个同名应用程序。 值得注意的是，这并不是 SuperVPN 第一次因泄露其毫无戒心的用户的个人详细信息而受到指责。事实上，正如 Hackread.com 在 2022 年 5 月报道的那样，SuperVPN 是泄露超过 2100 万用户详细信息的免费 VPN 服务列表之一。其他泄露客户数据的免费 VPN 服务包括 GeckoVPN 和 ChatVPN。该数据库总共包含 10GB 的数据，这些数据在 Telegram 上泄露。 在vpnMentor 发布的报告中，Fowler 注意到 SuperVPN 的客户支持电子邮件与 StormVPN、Luna VPN、RocketVPN 和 GhostVPN 相关联。此外，在数据库中观察到对这些 VPN 提供商中的每一个的引用。 泄露数据的类型（VPNmentor） 不可靠的 VPN 应用程序的激增可归因于寻求利用日益增长的隐私和安全需求的利润驱动的开发人员。 VPN 行业已经变得非常有利可图，全球数百万用户正在寻求可靠的解决方案来保护他们的在线状态。在这种环境下，一些开发人员将金钱收益置于用户安全之上，专注于快速且廉价的 VPN 应用程序开发、营销和分发。 因此，对于一家公司来说，生产多个名称不同且用户体验略有不同的 VPN 应用程序并非不可能，因为这将使其能够在用户身上撒下更广泛的网络，以寻找合适的 VPN 提供商。 选择免费 VPN 服务时，必须谨慎行事并考虑某些表明潜在风险的危险信号。这些包括： 1、不明确的数据收集和使用政策 确认 VPN 服务不会记录您的互联网活动，以避免数据被出售给广告商或第三方的风险。 2、缺乏透明度 请注意 VPN 提供商的官方网站上没有“关于我们”部分，因为这可能表明缺少有关谁处理您数据的信息。 3、DNS 泄漏保护 确保 VPN 服务提供 DNS 泄漏保护，以防止您的互联网服务提供商看到您的在线活动。 4、弱加密 避免使用提供弱于 128 位或 256 位 AES 加密的 VPN，因为这会增加您的数据被泄露的风险。 5、负面评论 阅读用户评论并咨询信誉良好的评论网站，以在选择 VPN 服务之前评估其他用户的体验和顾虑。 VPN 应用程序的激增为寻求在线活动隐私和安全的用户带来了机遇和挑战。虽然市场上提供了范围广泛的可靠 VPN 解决方案，但越来越多的不可靠应用程序需要谨慎和明智的决策。 通过了解导致VPN 应用程序过多的因素，识别与其使用相关的风险，并实施降低这些风险的措施，用户可以做出更明智的选择来保护他们的在线隐私和安全。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/PGdWdBFMRtEr25iWC9EA0A 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点，创建新用户帐户，随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 CACTUS  善于利用各种工具 自 2023 年 3 月以来，安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外，网络攻击者采用了双重勒索策略，在加密前窃取敏感数据。值得一提的是，截至目前为止尚未发现任何数据泄露。 CACTUS 恶意软件利用存在漏洞 VPN 设备后，进入目标系统，设置一个 SSH 后门，以谋求后续能够“长久”入侵。在完成上述步骤后，开始执行一系列 PowerShell 命令进行网络扫描，并确定用于加密的计算机列表。 此外，在 CACTUS 恶意软件攻击过程中，还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制，同时也“积极”利用 AnyDesk 等远程监控和管理（RMM）软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案，以及从 Web 浏览器和本地安全子系统服务（LSASS）中提取凭证以提升自身权限。 CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现，其中赎金软件是通过 PowerShell 脚本实现的（Black Basta 也使用过类似方法）。 Cactus 与其它恶意软件存在明显差异 与其它勒索软件相比，Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件，Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本质上是对自身进行加密，使其更难检测，并帮助其避开防病毒和网络监控工具。（CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件，然后在执行有效负载之前删除 .7z 档案。) Cactus 勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择：设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看，CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞，侵入目标受害者网络，这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞，进行初始入侵。 几天前，趋势科技也发现名为 Rapture 的勒索软件，它的整个感染链最多可持续三到五天。 最后，研究人员强调有理由怀疑，攻击活动是通过易受攻击网站和服务器促进入内部系统的，因此实体组织必须采取措施保持系统的最新状态，并执行最低特权原则（PoLP）。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366111.html 封面来源于网络，如有侵权请联系删除