Cybersecurity information flow

据加拿大多伦多大学网络安全实验室Citizen Lab报告，中国绝大多数云输入法应用皆存在严重安全漏洞，可被黑客利用来窃取用户输入内容。报告指出，搜狗、百度和讯飞三家厂商占到了中国第三方输入法市场的95%以上，用户数量估计超过7.8亿。同时，预装并默认使用易受攻击键盘应用的三家手机制造商——荣耀、O ...

科技巨头思科周三警告称，国家支持的专业黑客团队正在利用其 ASA 防火墙平台中的至少两个 0day 漏洞，在电信和能源部门网络上植入恶意软件。 根据思科 Talos 的一份报告，攻击者瞄准运行思科自适应安全设备 (ASA) 或思科 Firepower 威胁防御 (FTD) 产品的某些设备中的软件缺陷，植入恶意软件、执行命令，并可能从受感染的设备中窃取数据。 该活动标记为 ArcaneDoor，利用思科产品中两个已记录的软件漏洞（CVE-2024-20353 和 CVE-2024-20359），但思科公司的恶意软件猎人仍然不确定攻击者是如何入侵的。 “我们尚未确定此次活动中使用的初始访问向量。迄今为止，我们尚未发现预身份验证利用的证据。”思科 Talos 表示。 “ArcaneDoor 是一项由国家背景的黑客组织针对多个供应商的外围网络设备发起攻击的最新例子。对于这些攻击者来说，外围网络设备是针对间谍活动的完美入侵点。”思科解释说，并指出，在这些设备上获得立足点可以让攻击者直接进入组织、重新路由或修改流量并监控网络通信。 思科表示，一位未透露姓名的客户于 2024 年初向其 PSIRT 团队通报了 ASA 防火墙产品的“安全问题”，启动了一项调查，最终发现了黑客活动（Talos 追踪为 UAT4356，微软威胁情报中心追踪为 STORM-1849） 。 该公司表示，该攻击者使用了定制工具，表现出对间谍活动的明确关注以及对其目标设备的深入了解，这是成熟的国家资助攻击者的标志。 思科表示，它观察到黑客团队部署了两个后门，这些后门共同用于针对目标进行恶意操作，其中包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。 该公司警告称：“思科与受害者和情报合作伙伴合作，发现了一个复杂的攻击链，该攻击链用于植入定制恶意软件并在一小部分客户中执行命令。” 思科研究人员表示，网络遥测和情报合作伙伴提供的信息表明，黑客有兴趣刺探微软和其他供应商的网络设备。 思科表示：“无论您的网络设备提供商是谁，现在都是确保设备正确修补、登录到中央安全位置并配置为具有强大的多因素身份验证 (MFA) 的时候了。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pU4AlNI8VyIAlfuOBs2llQ 封面来源于网络，如有侵权请联系删除

美国财政部外国资产控制办公室 (OFAC) 对四名伊朗国民实施制裁，因为他们参与了针对美国政府、国防承包商和私营公司的网络攻击。 OFAC 还制裁了与伊朗伊斯兰革命卫队网络电子司令部 (IRGC-CEC)有关联的两家幌子公司 Mehrsam Andisheh Saz Nik (MASN) 和 Dadeh Afzar Arman (DAA) 。 伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC）是伊朗政府内负责网络安全和网络战的组织。由于其参与各种网络活动，它被包括美国在内的许多国家视为主要威胁。 这些伊朗国民参与了针对十几家美国公司和政府实体的袭击。他们发起了鱼叉式网络钓鱼和恶意软件攻击。美国司法部和联邦调查局针对这四人在这些网络行动中所扮演的角色提起了起诉书。 美国财政部负责恐怖主义和金融情报的副部长布莱恩·尼尔森 (Brian E. Nelson) 表示：“伊朗恶意网络行为者继续以协调一致的多管齐下的行动针对美国公司和政府实体，旨在破坏我们关键基础设施的稳定并对我们的公民造成伤害。” 。“美国将继续利用我们的整体政府方法来揭露和破坏这些网络的运营。” 伊朗网络行为者坚持通过各种网络活动瞄准美国，包括针对关键基础设施的勒索软件攻击以及针对个人、公司和政府实体的鱼叉式网络钓鱼活动。 这四名伊朗公民是 Hossein Harooni、Reza Kazemifar、Komeil Baradaran Salmani 和 Alireza Shafie Nasab，他们被指控参与利用鱼叉式网络钓鱼和其他黑客技术窃取数十万企业员工账户的恶意软件操作。 Alireza Shafie Nasab 和 Reza Kazemifar Rahman 在 MASN 工作期间针对美国实体。卡泽米法尔参与了针对财政部的袭击。 Hosein Mohammad Harooni 使用鱼叉式网络钓鱼和社会工程攻击财政部和其他美国实体。 Komeil Baradaran Salmani 与多家 IRGC-CEC 幌子公司合作，参与针对包括财政部在内的多个美国实体的鱼叉式网络钓鱼活动。 “由于今天的行动，上述指定人员在美国或由美国人拥有或控制的所有财产和财产权益均被封锁，并且必须向 OFAC 报告。此外，由一名或多名被封锁人员直接或间接、单独或合计拥有 50% 或以上股份的任何实体也将被封锁。 除非获得 OFAC 颁发的一般或特定许可证授权或豁免，否

近日，Citizenlab 研究人员调查了多家厂商的输入法应用安全漏洞并报告称：除华为以外，百度、荣耀、科大讯飞、OPPO 、三星、腾讯、Vivo 和小米等供应商的九款应用程序中有八款均存在安全漏洞。 随着用户规模的不断增长，云输入法应用的后端技术正变得越来越复杂，人们对此类应用的潜在安全风险也越来越重视。其中，用户数据在云服务器上是否安全；信息从用户设备传输到云服务器的过程中是否安全是研究人员关注的两个重点问题。 为此，研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO 、vivo和荣耀输入法的多个平台版本（安卓、iOS 和 Windows 版本）。 其中腾讯、百度和科大讯飞是键盘输入法应用的开发者；三星、华为、小米、OPPO 、vivo和荣耀是手机制造商，它们要么自己开发了键盘输入法，要么预装了上述三个输入法产品。 为了更好地了解这些厂商的键盘应用是否安全地实现了其云推荐功能，研究者对这些输入法进行了安全分析以确定它们是否充分加密了用户的输入按键记录。 对九家厂商的输入法进行分析后，研究者发现只有华为的输入法应用在传输用户按键记录时未发现任何安全问题。其余八家厂商的每一家至少有一款应用发现了漏洞，黑客可以利用该漏洞完全窃取用户输入的内容。 去年 8 月，多伦多大学跨学科实验室发现了腾讯搜狗输入法中的加密漏洞，此次披露的信息建立在该实验室此前研究的基础上。 据估计，有近十亿用户受到这类漏洞的影响，其中搜狗、百度和 iFlytek 的输入法编辑器（IME）占据了很大的市场份额。 已发现出现漏洞的输入法应用如下： 腾讯 QQ 拼音易受 CBC padding oracle 攻击，可恢复明文 百度输入法，由于 BAIDUv3.1 加密协议中的错误，允许网络窃听者解密网络传输并提取 Windows 上键入的文本 iFlytek IME，其安卓应用程序允许网络窃听者恢复未充分加密的网络传输明文 安卓系统上的三星键盘，通过未加密的纯 HTTP 传输按键数据 小米手机，预装了百度、iFlytek 和搜狗的键盘应用程序 OPPO，预装了百度和搜狗的键盘应用程序 vivo，预装搜狗 IME 荣耀，预装百度 IME 由于输入法安全漏洞可导致个人财务信息、登录账号和隐私泄露。因此研究人员建议使用这些键盘的用户及时更新应用程序和操作系统，并改用完全在设备上操作的键盘应用程序，以减少这些隐私问题。 隐私专家建议手机用户应保持

日前，Egress 公司公布，2023 年二维码网络钓鱼（QR）攻击数量急剧增加。2021 年和 2022 年，网络钓鱼电子邮件中的二维码有效载荷相对较少，分别占攻击总数的 0.8% 和 1.4%。2023 年，这一比例跃升至 12.4%。 据悉，黑客使用社会工程学发起的攻击案例同样有所增加，目前已经占到网络钓鱼攻击的 19%，这种情况发生的原因可能是生成式人工智能技术的大量使用。 另一方面，自 2021 年以来，附件型有效载荷的使用有所减少，三年前，在 Egress 检测到的攻击中，附件型有效载荷占 72.7%，到了 2024 年第一季度，随着黑客不断改进有效载荷，这一比例已降至 35.7%。 黑客利用人工智能技术，进行深度伪造和自动网络钓鱼 从研究人员发布的信息来看，深度伪造已经成为了当下“头条新闻”，与 2023 年最后一个季度相比，2024 年第一季度使用 Zoom 和移动电话作为多渠道攻击链路的情况有所增加；Zoom 增加了 33.3%，移动电话增加了 31.3%。 研究人员预测，未来 12 个月及以后，网络攻击中使用视频和音频深度伪造的情况将会继续大幅度增加。 生成式人工智能技术的出现大大提高了攻击成功率，黑客可以利用该技术轻松创建恶意软件、网络钓鱼网站和电汇欺诈攻击发票等有效载荷，最大程度上简化了网络黑客的作案流程，并以更快的速度提供了更高效的攻击策略。 此外，研究人员还发现，2024 年前三个月，通过 SEG 检测的攻击数量增加了 52.2%。其中 68.4% 的攻击通过了验证检查，甚至包括 SEG 使用的主要检测能力 DMARC。 与集成云电子邮件安全 （ICES） 解决方案不同，SEG 对合法的但已经遭到入侵的第三方帐户效果相对较差，而大多数攻击却都是从这些帐户发送出来。（SEG 位于网络边缘，利用定义库并使用基于签名和基于信誉的检测扫描已知威胁。） 混淆技术经常绕过 SEG，例如劫持合法超链接和屏蔽基于图像的附件（如 JPEG）中指向网络钓鱼网站的超链接，这两种技术占绕过 SEG 的混淆方法的 45.5%。 金融、法律和医疗保健等行业是网络钓鱼攻击的首要目标 报告显示，千禧一代是网络钓鱼攻击的首要目标，收到了 37.5% 的网络钓鱼电子邮件。最受网络钓鱼攻击“喜爱”的行业是金融、法律和医疗保健，其中会计和财务团队的员工收到的网络钓鱼电子邮件最多，其次是营销和人力资源。 值得注意的是，有 13

日前，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 例如上传到 GitHub 的文件 URL 地址可以表明来自微软，但事实上该项目代码中从未提及相关内容，IT 之家附上两个案例如下： https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件，然后通过 GitHub 链接进行分发。 而且这些链接属于 GitHub 官方 URL 域名，且后缀是“Microsoft”等官方储存库，因此用户很大几率认为该 URL 下载链接的内容是正规安全的。 GitHub 目前已经删除了部分恶意软件链接，对尚未完全修复该漏洞。对于开发者而言，现阶段没有足够有效的方法阻止这种滥用，唯一的方案就是完全禁用 comment。     转自FreeBuf，原文链接：https://www.freebuf.com/news/399336.html 封面来源于网络，如有侵权请联系删除

据称，一家名为 Spy.pet 互联网搜索公司自 2023 年 11 月以来一直在抓取并收集 Discord 用户数据，数量已达 40 亿条。 据报道，这些信息可公开访问，分别从 14201 台服务器上收集，而这些服务器上累计有超过 6 亿名用户。 虽然目前还不清楚该网站的所有者是谁，但从抓取这些数据的性质表明，Discord  与机器人或第三方应用程序的交互方式存在潜在安全漏洞。此前，来自 Chess、Clubhouse、LinkedIn、Mastodon 和 GETTR 的废弃数据库也曾泄露在了网络上。 Spy.pet 是一个聊天信息收集平台，它通过包含已知别名、代词、连接账户、Discord 服务器和公开消息的配置文件收集用户数据。该平台只接受加密货币支付，用户必须购买信用点数（每个信用点数 0.01 美元，至少 500 个信用点数）才能访问个人资料、对话档案和搜索服务器。 2024 年 2 月，该平台遭到 DDoS 攻击，但平台所有者声称损失很小。 安全专家怀疑，Discord 聊天中泄露的数据可能会暴露个人信息、私人照片和视频、财务细节和公司机密。其中，财务细节可能成为诈骗者的目标，如果 Discord 用于商务沟通，则可能暴露公司机密。 目前，Discord 称已经在调查 Spy.pet，并致力于保护用户的隐私。如果发现违反其服务条款和社区准则的行为，公司计划采取适当措施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399310.html 封面来源于网络，如有侵权请联系删除

By a funny coincidence, just after I sent my last newsletter about how to backdoor Rust crates, an advanced supply chain attack targeting SSH servers was uncovered by a talented developer and agitated the internet for the following weeks, leading to really interesting investigations and other fun-to-read speculations about who

" 巧合的是，在我上一份关于如何破解Rust软件包的新闻通讯发出后，一位才华横溢的开发者发现了一种针对SSH服务器的先进供应链攻击，并在接下来的几周内激起了互联网的动荡，引发了关于谁是攻击者的有趣调查以及其他引人入胜的猜测。"

Introduction:
In a constantly evolving area of cybersecurity, cybercriminals continue to target online applications as their primary target. Among the arsenal of threats, 403 bypasses have emerged as a key weakness that allows unauthorized access to confidential information. The purpose of this article is to consider the subtleties of 403 bypass and provide recommendations on how to increase web application security.
Acknowledging the 403 Bypass:
The 403 bypass is based on voids in the access control systems that are used for online applications. Web servers typically use the HTTP status code 403, forbidden to restrict access to specific resources. However, the adversary uses a variety of tactics to break through these defenses and enter an area without authorization.
Adding a Security Rule:
Access control rules are pivotal in web application security, defining permissible access to resources. For instance, consider a scenario where a web application employs Cloudflare to enforce security policies. Administra

Introduction:
In a constantly evolving area of cybersecurity, cybercriminals continue to target online applications as their primary target. Among the arsenal of threats, 403 bypasses have emerged as a key weakness that allows unauthorized access to confidential information. The purpose of this article is to consider the subtleties of 403 bypass and provide recommendations on how to increase web application security.
Acknowledging the 403 Bypass:
The 403 bypass is based on voids in the access control systems that are used for online applications. Web servers typically use the HTTP status code 403, forbidden to restrict access to specific resources. However, the adversary uses a variety of tactics to break through these defenses and enter an area without authorization.
Adding a Security Rule:
Access control rules are pivotal in web application security, defining permissible access to resources. For instance, consider a scenario where a web application employs Cloudflare to enforce security policies. Administra

PowerDNS Recursor存在安全漏洞(CVE-2024-25583)，当使用递归转发时，来自上游服务器的精心构造的响应可能导致拒绝服务。

介绍了Avast发现并分析了一起利用eScan杀毒软件更新机制分发后门和加密货币挖矿程序的恶意软件活动。

描述了一个针对npm的复杂网络攻击，攻击者利用木马文件执行任意代码。

讨论了编程语言中的内存安全性对安全性的重要性以及其影响

C2-Tracker是一种用于跟踪C2服务器、工具和僵尸网络的新技术。该技术提供了免费的IOC（指标情报）源，涵盖了各种工具/恶意软件。

详细分析了社会工程攻击和恶意代码注入的供应链攻击事件，突出了对开源项目XZ Utils的攻击过程，揭示了攻击者的策略和技术手段。

介绍了Linux内核io_uring子系统中的使用后释放漏洞CVE-2024-0582，包括漏洞的详细分析和成功利用该漏洞的策略

VFS Sandbox Escape in CrushFTP in all versions before 10.7.1 and 11.1.0 on all platforms allows remote attackers with low privileges to read files from the filesystem outside of VFS Sandbox.
[GitHub]Scanner of vulnerability on crushftp instance

" VFS沙箱逃逸在所有版本小于10.7.1和11.1.0的CrushFTP中，以及在所有平台上，允许具有低权限的远程攻击者从VFS沙箱之外的文件系统读取文件。\n[GitHub] CrushFTP实例漏洞扫描器"

VFS Sandbox Escape in CrushFTP in all versions before 10.7.1 and 11.1.0 on all platforms allows remote attackers with low privileges to read files from the filesystem outside of VFS Sandbox.
[GitHub]A server side template injection vulnerability in CrushFTP in all versions before 10.7.1 and 11.1.0 on all platforms allows unauthenticated remote attackers to read files from the filesystem outside of the VFS Sandbox, bypass authentication to gain administrative access, and perform remote code execution on the server.

" VFS沙箱逃逸在所有版本低于10.7.1和11.1.0的CrushFTP中，以及在所有平台上，允许具有低权限的远程攻击者从VFS沙箱之外的文件系统读取文件。\n[GitHub] CrushFTP在所有版本低于10.7.1和11.1.0的所有平台上，存在服务器端模板注入漏洞，允许未认证的远程攻击者从VFS沙箱之外的文件系统读取文件，绕过认证获得管理员权限，并在服务器上执行远程代码。"

[GitHub]Blind SQLi exploit for CVE-2024-2876. a vulnerability effecting the Icegram express - Email subscribers plugin for wordpress.

" [GitHub] 盲目的 SQLi 漏洞利用，针对 CVE-2024-2876，影响 WordPress 的 Icegram express - 邮件订阅者插件。"