网络安全日报 2025年01月15日
1、WordPress电商结账页面被信用卡窃取恶意程序攻击 https://blog.sucuri.net/2025/01/stealthy-credit-card-skimmer-targets-wordpress-checkout-pages-via-database-injection.html 网络安全研究人员警告,一种新型信用卡窃取恶意程序正在利用WordPress电商网站的结账页面实施攻击。该恶意程序通过将恶意JavaScript代码注入WordPress数据库表(如wp_options表)实现持久化,避免了传统扫描工具的检测。代码会在用户进入结账页面时激活,通过伪造的信用卡表单或劫持合法支付字段窃取信用卡信息,包括卡号、有效期、CVV等 2、亲俄黑客NoName057再度攻击意大利关键目标 https://securityaffairs.com/172982/hacktivism/noname057-targets-italy.html 在乌克兰总统泽连斯基访问意大利期间,亲俄黑客组织NoName057(16)发起了一系列DDoS攻击,目标涉及意大利政府机构、关键基础设施以及私营企业。受影响的网站包括外交部、基础设施与交通部、金融市场监管机构Consob、空军、海军和多个地方公共交通公司。此外,意大利的多家银行和港口也遭到攻击。攻击者通过Telegram频道宣布对事件负责,并批评意大利对乌克兰的支持。该组织自2022年3月以来活跃,擅长利用Bobik僵尸网络在地缘政治紧张时期展 3、Aviatrix漏洞被利用安装后门和挖矿木马 https://www.wiz.io/blog/wiz-research-identifies-exploitation-in-the-wild-of-aviatrix-cve-2024-50603 黑客正积极利用Aviatrix Controller中的关键远程命令执行漏洞(CVE-2024-50603)在受害者系统中植入Sliver后门并进行Monero加密货币挖矿攻击。该漏洞源于API输入验证不足,允许攻击者通过特制请求执行系统级命令,无需认证即可实现控制。此漏洞影响7.x至7.2.4820版本的Aviatrix Controller,用户应尽快升级至7.1.4191或7.2.4996 4、macOS漏洞允许黑客安装恶意内核驱动 https://www.microsoft.com/en-us/security/blog/2025/01/13/analyzing-cve-2024-44243-a-macos-system-integrity-protection-bypass-through-kernel-extensions/ 苹果修复了一项macOS漏洞(CVE-2024-44243),该漏洞可被攻击者利用绕过系统完整性保护(SIP),安装恶意内核驱动程序。SIP是macOS的重要安全功能,旨在限制root用户对系统关键区域的修改,通常需通过物理访问并使用恢复模式禁用。该漏洞存在于负责磁盘状态管理的Storage 5、欧盟执法培训机构近10万名个人数据遭泄露 https://www.cepol.europa.eu/newsroom/news/update-notification-data-breach-3 欧盟执法培训机构(CEPOL)在2024年5月遭受网络攻击,导致约97000名参与其培训活动的人员个人数据可能被泄露。受影响数据包括姓名、电子邮件、电话号码、职务、组织、专业资质等。CEPOL自10月起向受影响人员发送通知,并采取措施重建其IT系统,但仍警告数据可能被用于量身定制诈骗、网络骚扰、勒索等恶意活动。用户被建议更改密码、启用多因素认证并警惕可疑行为。 6、OneBlood证实个人数据在7月份的勒索攻击中被盗 https://www.anquanke.com/post/id/303482 非营利性献血组织 OneBlood 证实,去年夏天,献血者的个人信息在一次勒索软件攻击中被盗。OneBlood 于 2024 年 7 月 31 日首次向公众通报了这一攻击事件,指出勒索软件攻击者对其虚拟机进行了加密,迫使该医疗机构退回到使用人工流程的状态。 7、攻击者利用Youtube评论区传播窃密软件 https://www.freebuf.com/news/419785.html 趋势科技的一项调查研究发现,为了尽可能传播恶意软件,攻击者正利用Youtube评论区、谷歌搜索等渠道提供其恶意下载链接。研究人员称,为了增加其恶意内容的可信度,攻击者以一些热门Youtube频道为目标,其中一些频道拥有数十万订阅者。这些受感染的频道声称提供破解版的高级软件或游戏,并在视频描述或评论中提供带有安装指南的下载链接。 8、网络安全机构预测深度伪造将成为2025年主要欺诈手段 https://finance.eastmoney.com/a/202501133295065340.html 全球网络安全机构派拓网络发布的亚太地区网络安全预测显示,2025年,深度伪造将被更加频繁地单独使用或加入到更大规模的攻击中。 9、研究人员成功入侵苹果新型USB-C控制器 https://cybersecuritynews.com/apples-new-usb-c-controller-hacked/ 安全研究人员成功入侵了自iPhone 15 和 iPhone 15 Pro引入的苹果ACE3 USB-C控制器,引发了对设备安全性和潜在漏洞的质疑。 10、微软周二补丁修复了被利用的Hyper-V 三个零日漏洞 https://www.securityweek.com/microsoft-patches-trio-of-exploited-windows-hyper-v-zero-days/ 周二补丁日:Microsoft 的 1 月补丁日推出包括对 160 个安全缺陷的修复,这是至少自 2017 年以来任何一个月解决的 CVE 数量最多的一次。这家软件巨头周二呼吁紧急关注 Windows Hyper-V NT 内核集成虚拟化服务提供商 (VSP) 中的三个独立缺陷,并警告说恶意攻击者已经在发起权限提升漏洞。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月14日
1、新的Web3攻击利用交易模拟来窃取加密货币 https://drops.scamsniffer.io/transaction-simulation-spoofing-a-new-threat-in-web3/ 攻击者利用名为“交易模拟欺骗”的新技术漏洞,针对Web3钱包实施攻击,成功窃取143.45个以太坊(约合46万美元)。该漏洞源于现代Web3钱包的交易模拟功能设计缺陷,此功能原本用于让用户在交易前预览区块链操作的预期结果。然而,攻击者通过伪装成合法平台的网站引诱受害者执行所谓的“Claim”操作,并利用模拟与执行之间的时间差修改链上合同状态,从而转移受害者的全部资产。 2、研究人员表示2025年云安全与AI威胁挑战将愈发严峻 https://www.govinfosecurity.com/cloud-security-apt-threats-ai-risks-loom-large-in-2025-a-27265 2025年,人工智能(AI)技术的快速发展为云安全带来了新挑战,同时也为威胁缓解提供了创新工具。Mandiant高级威胁情报顾问Jamie Collier表示,安全机构正迈入AI创新的第二阶段,计划部署半自动化操作以优化警报解析、高优先级任务生成和风险缓解。Collier强调,AI在网络钓鱼与反欺诈领域的应用将显著增强工作流程效率。然而,云安全依然面临国家级威胁、混合云环境中身份泄露风险及黑客利用其突破云 3、微软起诉利用Azure AI创建有害内容的黑客组织 https://blogs.microsoft.com/on-the-issues/2025/01/10/taking-legal-action-to-protect-the-public-from-abusive-ai-generated-content/ 微软近日宣布对一个“基于外国的威胁行为组织”采取法律行动,指控其通过黑客服务架构绕过Azure OpenAI服务的安全控制,用于生成有害内容。微软数字犯罪部门发现,该组织窃取公开网站上的客户凭证,并非法访问生成式AI服务,定制工具供其他恶意行为者使用。案件涉及通过被盗Azure API密钥和Entra ID信息滥用微软服务,以DALL- 4、西班牙电信确认内部工单系统被攻破并发生数据泄露 https://www.bleepingcomputer.com/news/security/telefonica-confirms-internal-ticketing-system-breach-after-data-leak/ 西班牙电信(Telefónica)确认其内部工单系统遭黑客入侵,约2.3 GB的文件和工单数据被泄露到黑客论坛。据称,攻击者通过员工账户凭证入侵内部Jira系统,窃取涉及@telefonica.com邮箱的内部和客户相关工单。此次攻击未伴随勒索行为,但其中三名攻击者与新兴的Hellcat勒索软件团伙有关联。目前,西班牙电信已采取措施阻止未授权访问并重置受影响账户 5、黑客利用 Aviatrix 控制器漏洞部署后门和挖矿 https://thehackernews.com/2025/01/hackers-exploit-aviatrix-controller.html 最近披露的一个影响https://docs.aviatrix.com/documentation/latest/getting-started/platform-overview/index.html云网络平台的严重安全漏洞已被广泛利用,以部署后门和加密货币挖矿程序。云安全公司 Wiz 表示,目前正在应对涉及https://thehackernews.com/2025/01/major-vulnerabilities-patched-in.ht 6、谷歌安全研究人员发现了针对三星设备的零点击漏洞 https://thehackernews.com/2025/01/google-project-zero-researcher-uncovers.html 网络安全研究人员详细介绍了三星智能手机上影响Monkey's Audio (APE) 解码器的一个现已修补的安全漏洞,该漏洞可能导致代码执行。该高严重性漏洞编号为CVE-2024-49415 (CVSS 评分:8.1),影响运行 Android 版本 12、13 和 14 的三星设备。 7、NETGEAR路由器漏洞(CVE-2024-12847)已被广泛利用多年 https://securityonline.info/cve-2024-12847-cvss-9-8-netgear-router-flaw-exploited-in-the-wild-for-years-poc-published 多个 Netgear 路由器中发现了严重的安全漏洞,允许远程攻击者获得对设备的未经授权的访问和控制。该漏洞被识别为 CVE-2024-12847 (CVSS 9.8),至少自 2017 年以来就已被广泛利用。该漏洞针对以下 NETGEAR 设备的嵌入式 Web 服务器:NETGEAR DGN1000 :固件版本低于 1.1.00.48,NETGEAR DGN2 8、使用AI开发的新兴 FunkSec 勒索软件已攻击85名受害者 https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/ 2024年底,新兴勒索软件组织FunkSec浮出水面,该团伙借助人工智能(AI)工具,使用双重勒索策略加密并窃取数据,以低至1万美元的赎金威胁受害者,并以折扣价出售窃取数据。FunkSec在其数据泄露网站上整合勒索业务,还引入DDoS攻击工具和勒索软件即服务(RaaS)模式,进一步扩展其影响力。受害者分布于美国、印度、意大利等七国,部分成员疑与黑客活动相关联,彰显黑客主义与网络犯罪的界限愈加模糊。FunkSec工具开 9、网络钓鱼短信诱骗Apple iMessage用户禁用保护 https://www.anquanke.com/post/id/303439 网络犯罪分子正在利用一种技巧关闭苹果 iMessage 的内置网络钓鱼保护功能,并诱骗用户重新启用已禁用的网络钓鱼链接。 10、1亿macOS用户面临Banshee新变种威胁 https://www.freebuf.com/news/419718.html 研究人员分析了 Banshee macOS Stealer样本的新版本,该样本最初避开了大多数反病毒引擎的检测。Banshee是一种窃取恶意软件,通过使用反分析技术(例如分叉和进程创建)来避免检测,目标是用户凭证、浏览器数据和加密钱包。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月13日
1、新型远程控制木马NonEuclid感染Windows系统 https://www.cyfirma.com/research/noneuclid-rat/ 研究人员近日揭示了一种名为NonEuclid的远程访问木马(RAT),其以高级隐蔽与反检测技术著称。该恶意软件由C#开发,具备绕过杀毒软件、防护逃逸、特权升级以及针对关键文件的勒索加密功能。NonEuclid自2024年11月起在地下论坛广泛推广,甚至在Discord和YouTube上出现相关教程。该木马通过Windows API调用监控分析工具,利用虚拟环境检测和Windows AMSI绕过等技术,避免被检测。此外,它还通过修改注册表、创建计划任务等方式实现持久化,并能通过绕过用户账户控制(UA 2、新型PayPal钓鱼攻击利用MS365绕过检测 https://www.fortinet.com/blog/threat-research/phish-free-paypal-phishing 研究人员揭露了一种复杂的PayPal钓鱼诈骗,利用Microsoft365的功能和真实邮件迷惑用户。攻击者通过MS365注册测试域名,并创建包含受害者邮箱的分发列表,以此发送真实的PayPal资金请求邮件,从而绕过反钓鱼过滤器。受害者点击链接后,会被引导至合法的PayPal登录页面,登录后账户可能被自动链接至攻击者账户,导致资金风险。这一攻击不依赖传统的钓鱼技术,邮件和链接看似完全合法,使得普通用户更易中招。 3、Chrome与Firefox紧急更新修复高危内存安全漏洞 https://www.zdnet.com/article/update-chrome-and-firefox-now-to-patch-these-critical-security-flaws/ Chrome和Firefox近日发布了关键安全更新,修复了多项严重漏洞。Chrome更新至31.0.6778.264/265版(Windows和Mac)及131.0.6778.264版(Linux),修补了四个漏洞,其中最严重的CVE-2025-0291为V8 JavaScript引擎中的类型混淆问题,可能被远程利用以运行恶意代码或发起拒绝服务攻击。Firefox则更新至134版,修复了11个安 4、GroupGreeting网站遭遇zqxq恶意代码注入攻击 https://www.malwarebytes.com/blog/news/2025/01/groupgreeting-e-card-site-attacked-inzqxq-campaign 研究人员近日发现,“zqxq”恶意代码注入攻击影响了GroupGreeting.com,这一企业常用的电子贺卡平台。该攻击行为与NDSW/NDSX或TDS Parrot恶意软件活动类似,利用高流量网站和节日期间访问激增的机会,向访客植入恶意代码。据悉,超过2800个网站遭遇类似攻击。攻击通过高度混淆的JavaScript代码隐藏恶意重定向及远程加载恶意脚本功能。代码中使用随机令牌生成、条件检查和流量 5、SonicWall警告SonicOS漏洞存在被利用风险 https://securityaffairs.com/172823/security/sonicwall-sonicos-authentication-bypass-flaw.html SonicWall近日发布安全通知,警告其防火墙SonicOS中存在一个身份验证绕过漏洞(CVE-2024-53704,CVSS评分:8.2),主要影响启用了SSL VPN或SSH管理功能的设备。该漏洞被认为存在实际利用风险,可能被攻击者绕过身份验证获取未经授权的访问权限。SonicWall已发布新版固件修复此漏洞,并建议用户立即升级到最新版本,其中包括对其他较低严重性漏洞的修复。受影响设备包括Gen 6、 6、GFI KerioControl存在严重RCE漏洞可被进行远程代码执行 https://karmainsecurity.com/hacking-kerio-control-via-cve-2024-52875 GFI KerioControl防火墙被曝存在严重的远程代码执行(RCE)漏洞(CVE-2024-52875),攻击者可通过CRLF注入攻击实现HTTP响应拆分,进而触发跨站脚本(XSS)等攻击。该漏洞影响版本9.2.5至9.4.5,并允许通过构造恶意URL诱使管理员执行恶意代码。研究表明,截至2024年12月28日,已有来自新加坡和香港的7个IP发起利用攻击。超过23800个公开的GFI KerioControl实例可能面临风险,主要分布在伊朗、乌兹别克 7、虚假PoC漏洞利用恶意软件攻击网络安全研究人员 https://hackread.com/fake-poc-exploit-hit-cybersecurity-researchers-malware/ 研究人员发现一个针对CVE-2024-49113漏洞的假PoC(概念验证)漏洞利用工具,该漏洞是微软Windows LDAP服务中的一个拒绝服务漏洞。攻击者通过伪装成合法的PoC,诱使安全研究人员下载并执行恶意软件。该恶意软件窃取计算机和网络信息,并将数据传输至攻击者的服务器。该攻击被命名为“LDAPNightmare”,采用伪装成合法代码库的方式,欺骗受害者。受害者下载的看似无害的文件,实际上包含恶意的PowerShell脚本,最终执行并 8、美国医疗账单服务商Medusind遭遇数据泄露影响36万人 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/bf4aed39-d2f2-4ce2-bd56-5357107d7f3c.html 医疗账单服务公司Medusind披露,2023年12月发生的数据泄露事件影响了超过36万名个人。事件发生在12月29日,Medusind发现其IT网络出现可疑活动后,立即采取行动,将受影响的系统下线,并聘请了网络安全取证公司进行调查。调查结果表明,黑客可能获取了包含个人敏感信息的文件,包括健康保险和账单信息、支付信息、医疗历史、政府身份证明(如社会安全号 9、终端变“矿场”,挖矿病毒借破解版软件无声“开矿” https://www.freebuf.com/news/419052.html 近期,火绒威胁情报中心监测到 XMRig 挖矿病毒正在通过破解软件进行传播,该破解软件下载链接由 CSDN 用户在其发布的文章中提供。破解软件中的脚本可以进行创建计划任务、检查 CPU 数量与修改挖矿线程数等操作,最终执行 XMRig 挖矿病毒进行挖矿。 10、网络钓鱼活动利用CrowdStrike招聘骗局传播挖矿软件 https://cybersecuritynews.com/fake-crowdstrike-job-offers/ CrowdStrike近日发出一则提醒,称一个网络钓鱼活动冒充自己发布虚假招聘,以借此向受害者传播门罗币加密货币矿工 (XMRig) 。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月10日
1、中东地区诈骗分子冒充政府官员窃取OTP https://www.group-ib.com/blog/social-engineering-in-action/ 根据研究人员的报告,中东地区出现了一种精密的退款诈骗,诈骗分子冒充政府官员,利用远程控制工具如AnyDesk和TeamViewer窃取受害者的个人和财务信息。受害者通常是在向政府服务门户提交投诉后成为目标,诈骗分子通过电话联系并要求受害者下载远程控制软件,借此获取设备访问权限。获准访问后,诈骗分子能查看受害者的屏幕并盗取信用卡信息及一次性密码(OTP)。这种骗局特别有效,因为它针对的是信任政府机关的受害者,且平均损失达到1300美元,部分受害者损失高达5000美元。此案件可 2、超4000个后门通过注册过期域名被劫持 https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/ 研究人员发现,超过4000个被遗弃但仍活跃的Web后门被劫持,黑客通过注册过期域名重新控制了这些后门的通信基础设施。此次行动由WatchTowr Labs和The Shadowserver Foundation合作进行,成功防止了这些域名落入恶意攻击者手中。被劫持的后门类型主要包括r57shell、c99shell和“China Chopper”等多种恶意Web Shell。通过注册超过40个过期域名,研究人员监测到这些后门系统的通信请求,并追踪到 3、黑客利用KerioControl防火墙漏洞窃取管理员CSRF令牌 https://censys.com/cve-2024-52875/ 黑客正在利用KerioControl防火墙产品中的一个关键性CRLF注入漏洞(CVE-2024-52875)发起远程代码执行(RCE)攻击。该漏洞影响KerioControl版本9.2.5至9.4.5,由于在'dest'参数中对换行符(LF)字符的处理不当,攻击者可以通过注入恶意负载操控HTTP头和响应。攻击者通过在受害者浏览器执行注入的JavaScript,窃取Cookies或CSRF令牌。一旦获取管理员的CSRF令牌,攻击者便可利用KerioControl的升级功能上传恶意.img文件,植入包含root级别的Shell 4、CISA警告Mitel和Oracle系统严重漏洞已被积极利用 https://www.cisa.gov/news-events/alerts/2025/01/07/cisa-adds-three-known-exploited-vulnerabilities-catalog 美国网络安全与基础设施安全局(CISA)近日将Mitel MiCollab和Oracle WebLogic Server的三个严重漏洞列入已知被利用漏洞(KEV)目录,并确认这些漏洞正受到活跃攻击。CVE-2024-41713与CVE-2024-55550可链式利用,允许远程未认证攻击者读取服务器上的任意文件。Censys数据显示,全球共有超过5600个Mitel MiCollab 5、联合国航空机构确认招聘数据库遭受数据泄露 https://www.bleepingcomputer.com/news/security/un-aviation-agency-confirms-recruitment-database-security-breach/ 联合国航空机构(ICAO)确认,其招聘数据库遭到黑客攻击,约42000条记录被盗。此次事件发生在ICAO宣布调查潜在的“信息安全事件”后两天,黑客使用“Natohub”身份在黑客论坛BreachForums泄露了包含姓名、出生日期、地址、电话号码、电子邮件地址以及教育和就业信息的文件。ICAO表示,虽然泄露的招聘数据涉及个人信息,但未包括财务信息、密码、护照信息或申请人 6、MacOS漏洞CVE-2024-54527曝光:PoC 利用代码已发布 https://www.anquanke.com/post/id/303379 安全研究人员 Mickey Jin 提供了一份详细的技术和概念验证 (PoC) 漏洞利用代码,揭示了 macOS 中的一个关键 TCC(透明度、同意和控制)绕过漏洞 CVE-2024-54527。这个影响 MediaLibraryService XPC 服务的漏洞展示了攻击者如何操纵权限绕过 TCC 保护,从而带来重大安全风险。 7、俄乌网络战大事件:乌克兰黑客黑掉了俄罗斯互联网 https://www.freebuf.com/news/419374.html 乌克兰黑客组织“乌克兰网络联盟”的成员本周二(1月7日)在Telegram上 宣布,他们已经攻破了俄罗斯互联网服务提供商Nodex的网络,并在窃取敏感文件后清空了系统。同时,他们还分享了在攻击期间黑掉的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。 8、戴尔系统更新包框架现严重漏洞,可提升攻击者权限 https://www.freebuf.com/news/419366.html 据Cyber Security News消息,戴尔(Dell)电脑的系统更新包 (DUP) 框架被发现一个严重安全漏洞,可能会使系统面临来自攻击者的权限提升和拒绝服务攻击。该漏洞被跟踪为 CVE-2025-22395,CVSS评分8.2,影响 22.01.02 之前的 DUP 框架版本,允许具有低权限的本地攻击者利用该框架在服务器上执行任意远程脚本,从而导致未经授权的系统访问、服务中断以及敏感数据的潜在泄露。 9、英国重拳出击:创建和分享deepfakes不雅内容将面临刑事处罚 https://www.ithome.com/0/823/140.htm 路透社报道称英国政府重拳出击,明确创建、分享不雅“深度伪造”(deepfakes)图像,属于刑事犯罪。此举将填补现有立法的空白,并更好地保护受害者。 10、远程召唤功能存在安全隐患,260 万辆特斯拉汽车在美遭调查 https://www.theregister.com/2025/01/08/nhtsa_tesla_smart_summon/ 美国国家公路交通安全管理局(NHTSA)在收到多起碰撞事故报告,宣布在美国启动调查 260 万辆特斯拉汽车。 调查涉及远程控制功能 Actually Smart Summon, 该功能允许汽车在短距离内自动驾驶,此前有报道称该代码在物理上出现了崩溃 。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
软件系统安全逆向分析-混淆对抗
1. 概述 在一般的软件中,我们逆向分析时候通常都不能直接看到软件的明文源代码,或多或少存在着混淆对抗的操作。下面,我会实践操作一个例子从无从下手到攻破目标。 花指令对抗 虚函数表 RC4 2. 实战-donntyousee 题目载体为具有漏洞的小型软件,部分题目提供源代码,要求攻击者发现并攻击软件中存在的漏洞。 2.1 程序测试 首先拿到这道题目,查壳看架构,elf64 放到虚拟机中运行一下 plz input your flag 8888888888888 wrong ida64反编译,发现软件进行了去符号处理,最直白就是没有main()函数。 但是ida自动帮我们定位到了系统入口函数start()。 然后我们查字符串 plz、wrong,均无法查到相关字符串 可见程序对静态分析做了很大的操作,防止一眼顶真。 然后我们回到系统入口函数start,F5反编译。 程序无法完全反编译,并且发现init和fini均无法正常识别。 进入main函数,即sub_405559(),无可用信息。 2.2 花指令对抗 看汇编 很明显,程序做的混淆对抗是加了花指令。 花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度。 花指令关键在于对堆栈变化以及函数调用的操作。强硬的动态调试能力也可以无视花,直接en看。 对于此花指令,我们只需要将call $+5、 retn nop 即可 (该软件的每个有用的function都加入了此花指令) E8 00 00 00 00                call    $+5 C3                            retn 此时F5反编译,程序明显可读了 2.3 虚函数 我们重命名一下,方便理解 可见程序还使用了虚函数重定位的技术。 下面我们进行动态调试,具体跟进函数。 F7进入 又发现了花,我们nop掉 然后进入下一个函数进行重复的操作 再往下程序结束,但是我们并没有看到密文比较的地方。 我们对rc4的两个函数进行交叉引用,看哪里调用了他们呢 .data.rel.ro 这个节段是只读数据段的重定位段,在链接时重定位,里面放的就是我们的虚函数表。 看到下面还有一个sub_405CAA(),我们点击跟进。 至此,我们找到了程序的所有逻辑。 2.4 RC4解密 提取密文 25CD54AF511C58D3A84B4F56EC835DD4F6474A6FE073B0A5A8C317815E2BF4F671EA2FFFA8639957 提取密钥 921C2B1FBAFBA2FF07697D77188C rc4_enc()函数还有个 ^23 得解。
网络安全日报 2025年01月09日
1、新型Mirai僵尸网络利用零日漏洞攻击工业路由器 https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/ 研究人员揭示了一种新的Mirai基础的僵尸网络,该网络利用零日漏洞对工业路由器和智能家居设备发起攻击。这些漏洞首次出现在2024年11月,其中包括四信工业路由器的CVE-2024-12856漏洞,后者于2024年12月被发现并开始被攻击。该僵尸网络除了利用公开的漏洞,还针对Neterbit路由器和Vimar智能家居设备的未知漏洞进行攻击。该僵尸网络自2024年2月首 2、研究人员发现Illumina iSeq 100 DNA测序仪存在重大安全漏洞 https://eclypsium.com/blog/genetic-engineering-meets-reverse-engineering-dna-sequencers-vulnerable-bios/ 研究人员发现,Illumina公司生产的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞,可能会让攻击者禁用这些用于检测疾病和开发疫苗的设备。iSeq 100使用的过时BIOS固件缺乏标准的写保护机制,且未启用Secure Boot技术,使得设备易受到恶意篡改,可能导致设备“砖化”或植入长期隐蔽的后门。研究人员指出,iSeq 100运行的BIOS版本存在多项高、中危漏洞,其中包 3、 恶意浏览器扩展成身份攻击新前沿技术 https://www.bleepingcomputer.com/news/security/malicious-browser-extensions-are-the-next-frontier-for-identity-attacks/ 2025年1月7日,一项新的攻击活动揭示了恶意浏览器扩展正在成为身份攻击的新阵地。全球超过260万用户在新年前夕发现,他们的Cookies和身份数据暴露在一起,这次攻击利用了被侵入的浏览器扩展。最初,数据安全公司Cyberhaven发现其扩展被攻击者植入恶意代码,窃取Facebook的Cookies和认证令牌。随着消息曝光,更多被攻击的扩展被陆续发现,至今 4、PowerSchool泄露K-12学区学生和教师数据 https://www.bleepingcomputer.com/news/security/powerschool-hack-exposes-student-teacher-data-from-k-12-districts/ 教育软件公司PowerSchool确认,2024年12月28日发生的网络安全事件导致K-12学区使用其PowerSchool SIS平台的学生和教师个人信息被盗。攻击者通过PowerSchool的客户支持平台PowerSource,利用被盗的凭据,获取了学生和教师数据库的CSV文件,窃取了包括姓名、地址、社会安全号码(SSN)、医疗信息和成绩等数据。尽管部分学区未受影 5、Telegram 在 2024 年与美国当局共享了2,253 名用户的数据 https://www.anquanke.com/post/id/303343 Telegram 是一款广受欢迎但又饱受争议的消息应用程序,它对执法部门数据请求的遵从度大幅提高,在 2024 年满足了美国当局提出的 900 项请求。根据通过 Telegram 的 “透明度报告 ”机器人获取的最新发布的透明度数据,这标志着与早期相比,Telegram 的合作量大幅飙升,所提供的数据影响了 2,253 名用户。 6、美国CDN巨头Akamai宣布2026年6月30日停止在中国服务 https://www.techweb.com.cn/it/2025-01-07/2955489.shtml 近日,美国CDN巨头Akamai(阿卡迈)在致客户的一封信中宣布将于2026年6月30日停止在中国的服务。 为满足全球不同国家和地区的法规要求,对于海外企业入华的 CDN 业务,Akamai将通过中国的合作伙伴火山引擎、腾讯云、网宿科技,为客户提供高性能且安全合规的本地化解决方案和服务,确保客户的业务平稳运行。 7、Android 发布针对关键 RCE 漏洞的补丁 https://gbhackers.com/android-security-updates-2/#google_vignette 最新的2025 年 1 月 Android 安全公告发布了有关影响 Android 设备的关键漏洞的重要更新,其中包含一系列远程代码执行 (RCE) 漏洞。 8、OpenVPN Connect 漏洞允许攻击者访问用户的私钥 https://cybersecuritynews.com/openvpn-connect-private-key/ 研究人员在流行的 VPN 客户端软件 OpenVPN Connect 中发现了一个被确定为 CVE-2024-8474 的严重漏洞。此缺陷可能允许攻击者访问用户的私钥,从而可能损害其 VPN 流量的机密性。 9、go-git 已修补关键漏洞 - CVE-2025-21613 https://www.anquanke.com/post/id/303354 用于 Git 交互的流行 Go 库 go-git 最近发布了 5.13 版,以解决两个可能导致您的软件源暴露的关键安全漏洞。强烈建议开发人员立即更新其依赖项。 10、SonicWall 针对 SonicOS 中的多个漏洞发布重要安全通报 https://www.anquanke.com/post/id/303351 领先的网络安全提供商 SonicWall 发布重要安全公告,警告其 SonicOS 操作系统存在多个漏洞。 这些漏洞影响到 Gen6 和 Gen7 防火墙,从身份验证旁路到权限升级,使设备暴露于潜在的网络攻击。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月08日
1、Apache Struts 2远程代码执行漏洞CVE-2024-53677 https://struts.apache.org/download.cgi Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。Apache Struts 2多个受影响版本中文件上传逻辑存在缺陷,由于在文件上传过程中对用户提供的参数缺乏严格校验,攻击者可以通过操纵文件上传参数执行路径遍历攻击,某些情况下可能导致将恶意文件上传到服务器上的其他位置,从而导致远程代码执行。 2、黑客通过伪造npm包攻击以太坊开发者窃取敏感数据 https://socket.dev/blog/malicious-npm-campaign-targets-ethereum-developers 研究人员发现多个恶意npm包伪装成以太坊开发工具Hardhat,试图窃取开发者系统中的敏感数据。Hardhat是以太坊软件开发环境,广泛用于编写、编译、调试和部署智能合约及去中心化应用(dApp)。恶意包利用了开发者对开源插件的信任,通过npm平台发布,窃取如私钥、助记词和配置文件等信息。研究团队指出,攻击者通过Hardhat运行时环境中的函数(如hreInit()和hreConfig())收集敏感数据,并将其传输到攻击者控制的服务器。已知的伪 3、恶意插件PhishWP将网站变为钓鱼页面窃取信用卡信息 https://slashnext.com/blog/phishwp-turns-sites-into-phishing-traps/ 研究人员发现了一款名为PhishWP的恶意WordPress插件,黑客利用该插件创建虚假的支付页面,以窃取用户的信用卡信息、CVV码和3D安全验证码(OTP)。PhishWP通过模仿Stripe等支付服务的结账页面,诱使用户输入敏感数据,随后通过Telegram将收集到的信息实时传输给攻击者,使其能立即用于未经授权的交易或在暗网出售。该插件支持定制化的虚假结账页面、浏览器环境分析、3DS验证码弹窗以及自动回复邮件等功能,极大地提高了攻击的隐蔽性与成功率。Ph 4、moxa蜂窝路由器和安全路由器存在高危漏洞 https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241155-privilege-escalation-and-os-command-injection-vulnerabilities-in-cellular-routers,-secure-routers,-and-netwo moxa公司警告其多款蜂窝路由器、安全路由器和网络安全设备存在两项高危安全漏洞,可能导致权限升级和命令执行。漏洞编号为CVE-2024-9138和CVE-2024-9140,分别存在于多个moxa设备和固件版本中。CVE-2 5、联发科多款芯片存在安全漏洞 https://corp.mediatek.com/product-security-bulletin/January-2025 联发科披露了多个影响其芯片组的安全漏洞,其中包括一个严重的远程代码执行(RCE)漏洞,影响高达51款芯片。该漏洞被跟踪为CVE-2024-20154,存在于受影响芯片的调制解调器中,攻击者只需通过控制基站与设备建立连接即可触发远程代码执行,无需额外权限或用户交互。该漏洞的严重性被评为“关键”,其CVSS评分可能在9到10之间。受影响的设备包括用于汽车、智能手机、物联网设备和Chromebook的芯片,漏洞主要集中在调制解调器LR12A、LR13、NR15、NR16 6、Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险 https://www.freebuf.com/news/419216.html 在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE - 2024 - 51741和CVE - 2024 - 46981,这凸显了Redis用户面临着重大的安全风险,也强调了及时更新和采取缓解措施的重要性。 7、Windows LDAP PoC漏洞利用被公布 https://www.freebuf.com/news/419188.html 近日,网上发布了一个针对Windows轻量级目录访问协议(LDAP)安全漏洞的概念验证(PoC)漏洞利用程序,可能会引发拒绝服务(DoS)状况。目前该漏洞现已修复,建议企业/组织立即修复,以免被攻击者利用。 8、iPhone iOS18默认将照片共享给苹果 https://gbhackers.com/iphone-sharing-the-photos-by-default-to-apple/#google_vignette 开发人员 Jeff Johnson 最近的一篇博文揭示了最近推出的 iOS 18 中 Apple 照片应用程序中的一项新功能。其中“增强视觉搜索”的开关允许 iPhone 默认将照片数据传输给 苹果,这引发了对用户隐私和数据共享做法的担忧。 9、研究人员发现支持签名绕过和代码执行的 Nuclei 漏洞 https://thehackernews.com/2025/01/researchers-uncover-nuclei.html ProjectDiscovery 的 Nuclei 中披露了一个高度严重的安全漏洞,Nuclei 是一种广泛使用的开源漏洞扫描程序,如果成功利用该漏洞,攻击者可以绕过签名检查并可能执行恶意代码。 10、担心隐私泄露,阿姆斯特丹叫停智能交通信号灯 https://world.huanqiu.com/article/4KxDuMADASG 由于担忧可能造成个人隐私泄露,阿姆斯特丹市议会已决定停止推广智能交通信号灯在当地的大规模使用。据荷兰阿姆斯特丹AT5电视台5日报道,这些智能交通信号灯能够通过与安装在个人手机中的应用程序通信来识别通勤者信息,以判断有哪些人在路上行驶,从而调节信号,让交通更加顺畅。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月07日
1、2024年加密钱包盗窃损失达4.94亿美元 https://drops.scamsniffer.io/scam-sniffer-2024-web3-phishing-attacks-wallet-drainers-drain-494-million/ 据Web3反诈骗平台Scam Sniffer统计,2024年加密钱包盗窃攻击导致全球损失高达4.94亿美元,比2023年增长67%。尽管受害钱包数量仅增加3.7%,但单个受害者的资产损失显著增多。其中,30起大规模盗窃案涉案金额超百万美元,最大一起盗窃高达5540万美元。大部分攻击集中在以太坊生态,占总损失的85.3%,主要针对质押和稳定币资产。攻击者广泛利用假冒的CAPTCHA页面、C 2、数据表明高级钓鱼链接周均威胁用户一次 https://www.helpnetsecurity.com/2025/01/06/phishing-cyber-threats/ 根据SlashNext报告,2024年下半年凭证盗窃攻击激增703%,表明钓鱼攻击的复杂性和频率显著上升。用户平均每周收到至少一个能绕过传统安全措施的高级钓鱼链接,高峰期每周面临3至6次威胁。此外,80%的嵌入式恶意链接为未知零日威胁,反映静态威胁情报和签名检测的局限性。报告还指出,社交工程攻击增加141%,显示攻击者正利用AI生成更复杂的钓鱼策略,不仅瞄准电子邮件,还扩展到短信、社交媒体及商业协作平台。SlashNext首席技术官斯蒂芬·科夫斯基警告,202 3、2024年macOS恶意软件增长显著 https://objective-see.org/blog/blog_0x7D.html 根据Objective-See Foundation发布的年度报告,2024年macOS恶意软件显著增长,种类和复杂程度均创历史新高。研究显示,随着macOS市场份额过去三年增长60%,针对其恶意活动也随之上升,包括利用人工智能开发恶意软件以及通过社会工程手段分发恶意软件即服务(MaaS)。报告对新型macOS恶意软件进行了详细分类与分析,涵盖感染方式、持久化机制以及功能目的,类型包括勒索软件、信息窃取器等。此外,暗网中有关绕过macOS安全防御的讨论激增,进一步推动了这些威胁的传播。展望未来,研究机 4、LegionLoader滥用Chrome扩展传播多种恶意软件 https://www.freebuf.com/news/419136.html 据gbhackers消息,名为LegionLoader 的恶意软件正通过Chrome 扩展分发窃密软件,包括对受害者实施电子邮件操纵、跟踪浏览,甚至将受感染的浏览器转变为攻击者的代理服务器,使其能够使用受害者的凭证浏览网页。 5、用户集体起诉Siri“偷听”,苹果花9500万美元和解 https://baijiahao.baidu.com/s?id=1820196220105731934&wfr=spider&for=pc&& 科技巨头苹果公司同意支付9500万美元现金,以和解一项拟议的集体诉讼,该诉讼声称其Siri语音助手侵犯了用户的隐私。 6、网信部门:处置网络水军账号和商家店铺239万个 https://baijiahao.baidu.com/s?id=1820195308439868932&wfr=spider&for=pc&& 2024以来,网信部门严肃查处网络水军组织招募、推广引流、刷量控评等问题,督促重点平台清理违法违规信息482万条,处置账号和商家店铺239万个、群组5.2万个。 7、华硕路由器漏洞允许任意代码执行 https://cybersecuritynews.com/asus-router-vulnerabilities/ 华硕公司在某些固件系列中发现了注入和执行漏洞,这些漏洞可能允许经过身份验证的攻击者通过华硕路由器的 AiCloud 功能触发命令执行。 8、日本最大的移动运营商因DDoS攻击导致服务中断 https://therecord.media/ntt-docomo-japan-mobile-carrier-ddos-incident 日本最大的移动运营商 NTT Docomo Inc. 表示,一次分布式拒绝服务 (DDoS) 网络攻击导致运营中断,网站和一些服务在宕机大半天后才逐渐恢复。 9、黑客滥用AWS泄露的信息进行云狩猎 https://www.freebuf.com/news/419064.html#google_vignette 名为“EC2 Grouper”的黑客组织,近年来一直在利用AWS工具以及泄露的凭证对云环境展开狩猎型攻击。 10、恶意软件通过木马VPN应用和SEO投毒传播,目标是中文用户 https://www.freebuf.com/news/419140.html 网络安全研究人员发现一种名为PLAYFULGHOST的新恶意软件,它具有多种信息收集功能,例如键盘记录、屏幕捕获、音频捕获、远程 shell 以及文件传输/执行。PLAYFULGHOST 的初始访问途径包括使用带有行为准则相关诱饵的网络钓鱼电子邮件或搜索引擎优化 (SEO) 投毒技术来分发 LetsVPN 等合法 VPN 应用程序的木马版本。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月06日
1、恶意NPM包伪装以太坊工具部署Quasar RAT木马 https://socket.dev/blog/quasar-rat-disguised-as-an-npm-package 研究人员发现一个恶意NPM包,伪装成用于检测以太坊智能合约漏洞的库,但实际上该包在开发者系统上安装后,会部署一个名为Quasar RAT的远程控制木马。该包名为“ethereumvulncontracthandler”,于2024年12月18日发布,至今已被下载66次。该恶意包使用多层混淆技术,包括Base64编码、XOR编码和代码最小化,以逃避分析和检测。一旦安装,该包会从远程服务器获取并执行恶意脚本,进而在Windows系统上部署Quasar RAT。木马通过修改 2、超过300万邮件服务器因缺乏加密面临嗅探攻击风险 https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/ 研究报告显示,全球约330万台运行POP3和IMAP服务的邮件服务器未启用TLS加密,导致用户凭证和邮件内容以明文形式传输,暴露于嗅探攻击的风险中。IMAP和POP3是访问邮件的主要协议,其中IMAP适合多设备同步,而POP3则仅在单设备上访问邮件。TLS协议为用户在邮件传输过程中提供加密保护,但未启用TLS的服务器会将用户名和密码以明文形式传输,容 3、欧洲多国封禁俄罗斯媒体Telegram频道 https://kyivindependent.com/telegram-blocks-russian-state-owned-media-channels-in-eu/ Telegram在多个欧洲国家限制访问俄罗斯国有新闻频道,包括波兰、法国、意大利等国。被封禁的俄罗斯媒体包括RIA Novosti、NTV、Rossiya 1和《俄罗斯报》等。用户访问这些频道时,会收到“此频道无法显示,因为违反了当地法律”的提示。Telegram的封禁措施针对多个由俄罗斯政府运营或控制的媒体,旨在应对俄罗斯在国际媒体领域的宣传和虚假信息传播。根据欧盟当局的报告,俄罗斯媒体在当前冲突中扮演了重要角色,用以支 4、微软Dynamics 365与Power Apps漏洞修复 https://www.stratussecurity.com/post/critical-microsoft-365-vulnerability 微软修复了Dynamics 365和Power Apps Web API中的三大严重漏洞,这些漏洞可能导致敏感数据泄露。漏洞由澳大利亚网络安全公司Stratus Security发现,并已于2024年5月完成修复。两个漏洞位于Power Platform的OData Web API中:第一个因访问控制缺失,允许攻击者通过布尔搜索方法逐字符猜测并提取密码哈希值;第二个利用orderby子句获取数据库中关键列的数据,如联系人主电子邮件地址。第三个漏洞 5、FireScam恶意软件窃取安卓用户敏感数据 https://www.cyfirma.com/research/inside-firescam-an-information-stealer-with-spyware-capabilities/ 研究人员发现FireScam安卓信息窃取恶意软件,伪装为“Telegram Premium”应用,通过钓鱼网站传播,目标设备覆盖Android 8至Android 15。该恶意软件窃取用户凭证和财务数据,监控通知并将信息发送至Firebase数据库,还利用动态广播接收器和沙箱检测等规避技术,避免被发现。FireScam请求广泛权限,包括应用管理、通知访问和后台活动豁免,增强其持久性和隐蔽性。它还能 6、Tenable插件故障导致全球Nessus Agent宕机 https://status.tenable.com/incidents/9wjf0gnblhq7 Tenable公司承认,因差异化插件更新存在问题,导致12月31日起Nessus漏洞扫描器的多个Agent版本在全球范围内下线。受影响的包括10.8.0和10.8.1版本,问题影响了美洲、欧洲和亚洲的用户。为解决问题,Tenable已发布修复版本10.8.2,并计划恢复插件推送服务。此外,用户需手动升级到10.8.2或降级至10.7.3,并执行插件重置以恢复离线Agent。 7、新型AI越狱方法“Bad Likert Judge”将成功率提升60%以上 https://unit42.paloaltonetworks.com/multi-turn-technique-jailbreaks-llms/ 研究人员揭示了一种名为“Bad Likert Judge”的多回合AI越狱新技术,该方法通过让大语言模型(LLM)充当Likert量表评分裁判,生成与评分相关的示例,以绕过模型的安全防护。实验表明,该技术在六大主流LLM平台上的攻击成功率平均提升超60%,目标领域包括仇恨、骚扰、恶意软件生成等内容。研究还表明,内容过滤可显著降低攻击成功率,凸显部署AI模型时强化内容过滤的重要性。 8、日本多家企业遭遇大规模DDoS攻击 https://www.docomo.ne.jp/info/notice/page/250102_04_m.html 近期,日本多家重要机构在年底假期期间遭遇大规模分布式拒绝服务(DDoS)攻击,导致运营受阻。受影响的包括NTT Docomo、瑞穗银行、Resona银行及日本航空等,涉及服务中断、网络故障及航班延误等问题。攻击还波及物流、政府及金融机构,部分攻击被怀疑与俄乌局势相关。研究人员指出,俄罗斯黑客常使用多种攻击向量和配置以最大化影响,日本每天遭受约2000次DDoS攻击。日本警方与欧盟刑警组织联手展开调查,关闭27个DDoS服务网站并逮捕3名嫌疑人。 9、苹果AI照片分析功能引发隐私争议 https://www.govinfosecurity.com/apples-ai-photo-analyzer-faces-privacy-backlash-a-27211 苹果的AI照片分析功能因默认启用而面临隐私批评。该功能通过增强视觉搜索技术识别照片中的地标,结合设备端机器学习与加密云处理,但未征得用户明确同意便被激活。尽管苹果采用差分隐私与OHTTP中继等保护措施,保证数据匿名化,但批评者认为默认上传元数据削弱了用户控制权。专家质疑苹果未能坚持其隐私承诺,与此前争议性CSAM检测计划相比,该功能的隐私性甚至更弱。用户对无法完全选择退出表示不满,而苹果对此尚未作出回应。 10、iTerm2 修补了暴露用户输入和输出的关键安全漏洞 https://securityonline.info/iterm2-patches-critical-security-vulnerability-exposing-user-input-and-output/ iTerm2(一种流行的 macOS 终端模拟器)中发现并修补了一个严重的安全漏洞,编号为 CVE-2025-22275 (CVSS 9.3)。该缺陷存在于版本 3.5.6 至 3.5.10 以及 beta 版本 3.5.6 及更高版本中。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月03日
1、EC2 Grouper黑客团伙利用AWS凭证实施攻击 https://www.fortinet.com/blog/threat-research/catching-ec2-grouper-no-indicators-required 研究人员近期揭示了一支名为“EC2 Grouper”的攻击团伙,该组织频繁利用被盗的AWS凭证实施针对云环境的攻击。研究表明,EC2 Grouper通过代码仓库获取有效账户的凭证,并使用AWS工具进行侦察和资源创建,避免手动操作。其特征包括使用“ec2group12345”类命名模式的安全组和特定用户代理字符串。然而,这些特征并非可靠的检测指标,因为攻击者可能随时修改策略。研究人员指出,该团伙擅长利用API开展活动 2、“双击劫持”漏洞绕过主流网站点击劫持防护措施 https://www.paulosyibelo.com/2024/12/doubleclickjacking-what.html 研究人员近日披露了一种名为“双击劫持”(DoubleClickjacking)的新型漏洞。这一基于时间的攻击手法利用双击序列,成功绕过点击劫持防护措施,如X-Frame-Options头和SameSite: Lax/Strict Cookie。攻击者通过恶意网站诱导用户双击,利用JavaScript的Window Location对象在双击过程中将用户重定向至恶意页面,并关闭原始窗口,使用户在不知情的情况下完成权限授权。这种方法显著提升了UI操控攻击的隐蔽性,可 3、LDAPNightmare漏洞PoC可致未修复Windows服务器崩溃 https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/ 研究人员近日公布了首个针对CVE-2024-49112的零点击概念验证(PoC)漏洞利用方案。该漏洞是一个影响Windows轻量级目录访问协议(LDAP)的远程代码执行漏洞,CVSS评分高达9.8,可导致未修复的Windows服务器,包括域控制器(DC),在无需用户交互的情况下崩溃重启。攻击流程涉及攻击者通过DCE/RPC请求触发受害服务器发送DNS 4、美军士兵涉AT&T与Verizon数据勒索案被捕 https://www.govinfosecurity.com/arrest-us-army-soldier-tied-to-att-verizon-extortion-a-27192 联邦执法部门近日逮捕了20岁的美军士兵Cameron Wagenius,他涉嫌参与Snowflake客户数据泄露及后续勒索案件。根据解密的两项指控,他非法出售和转移用户电话记录信息,且明知这些信息系通过欺诈手段获取。Snowflake攻击事件涉及约165家组织,窃取50亿条通话与短信记录,并通过勒索获利36比特币(约340万美元)。其中包括AT&T支付37万美元赎金以销毁1.1亿客户数据。犯罪团伙还通过不启用 5、工信部发布关于防范SafePay勒索病毒的风险提示 https://www.secrss.com/articles/74132 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到一种名为SafePay的新型勒索病毒,其通过数据窃取和文件加密双重勒索机制开展攻击,可能导致数据泄露、业务中断等安全风险。 6、开发者质疑苹果 iOS 18增强视觉搜索功能:默认启用,泄露用户隐私 https://baijiahao.baidu.com/s?id=1819909192944982584 开发者 Jeff Johnson 于去年12 月 28 日发布博文,曝料称在苹果 iOS 18 和 macOS 15 Sequoia 系统中,会默认启用“增强视觉搜索”(Enhanced Visual Search),会将用户照片数据传输给苹果公司,担忧该功能会泄露用户隐私。 7、TrueNAS CORE 漏洞让攻击者能够执行远程代码 https://gbhackers.com/truenas-core-vulnerability/ 来自 Computest Sector 7 的安全研究人员 Daan Keuper、Thijs Alkemade 和 Khaled Nassar 披露了 TrueNAS CORE 中的一个严重漏洞,TrueNAS CORE 是由 iXsystems 开发的广泛使用的开源存储操作系统。 8、黑客在第三方入侵中窃取 ZAGG 客户的信用卡 https://www.bleepingcomputer.com/news/security/hackers-steal-zagg-customers-credit-cards-in-third-party-breach/ ZAGG Inc. 通知客户,在黑客入侵了该公司的电子商务提供商 BigCommerce 提供的第三方应用程序后,他们的信用卡数据已暴露给未经授权的个人。 9、D-Link就易受僵尸网络攻击的报废路由器发出警告 https://www.anquanke.com/post/id/303202 D-Link 发布了一份重要通知,敦促用户退役和更换几款传统路由器,包括 DIR-645、DIR-806、GO-RT-AC750 和 DIR-845,理由是它们已处于生命周期结束(EOL)和支持结束(EOS)状态。这些不再受支持或更新的路由器已成为僵尸网络 “Ficora ”和 “Capsaicin ”的网络攻击目标。 10、GStreamer漏洞威胁数百万用户,Linux 系统岌岌可危 https://www.anquanke.com/post/id/303158 GitHub 安全实验室的安东尼奥-莫拉莱斯(Antonio Morales)最近发布了一份报告,公布了 GStreamer 中的 29 个漏洞,GStreamer 是一个开源多媒体框架,广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能,包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件,也成为网络攻击者的诱人目标。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页