Cybersecurity information flow

干净的信息流推送工具,偏向安全圈的点点滴滴,为安全研究人员每日发现优质内容.

了解更多 »

最近更新
时间 节点
2024年4月20日 03:11 Github关注
2024年4月20日 03:11 Github关注
2024年4月20日 01:51 Github关注
Open Source EDR for Windows
2024年4月20日 01:51 Github关注
Free, simple, and intuitive online database design tool and SQL generator.
2024年4月20日 01:51 Github关注
Various one-off pentesting projects written in Nim. Updates happen on a whim.
2024年4月20日 00:51 Github关注
🔥 Turn entire websites into LLM-ready markdown
2024年4月20日 00:11 SecWiki周报
真相 | 国际金融公司雇佣前间谍? https://mp.weixin.qq.com/s/vvtqJz0liAVa1hlI_BWD3Q
2024年4月19日 23:41 LABS_Tech Blog
Bishop Fox shares limited details about mitigation bypasses for PAN-OS CVE-2024-3400 in an effort to be maximally useful for defenders, while minimally useful for opportunistic attackers.

" 主教狐狸(Bishop Fox)在尽量确保对防御者最有帮助的同时,尽可能减少对机会主义攻击者的利用,分享了关于PAN-OS CVE-2024-3400缓解绕过的有限细节。"
2024年4月19日 22:11 Github关注
2024年4月19日 22:11 Github关注
The official Meta Llama 3 GitHub site
2024年4月19日 22:01 Github_POC
A command injection vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall. Fixes for PAN-OS 10.2, PAN-OS 11.0, and PAN-OS 11.1 are in development and are expected to be released by April 14, 2024. Cloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability. All other versions of PAN-OS are also not impacted.
[GitHub]Finding Palo Alto devices vulnerable to CVE-2024-3400.

" 全球保护功能中存在命令注入漏洞,特定版本的PAN-OS软件和独特的特性配置可能使未经身份验证的攻击者能够在防火墙上以root权限执行任意代码。PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 的修复方案正在开发中,预计将于2024年4月14日发布。云NGFW、Panorama设备和服务器接入不受此漏洞影响。所有其他版本的PAN-OS同样不受影响。\n\n[GitHub] 发现Palo Alto设备易受CVE-2024-3400攻击。"
2024年4月19日 21:39 Trustwave Blog
Clients often conflate Offensive Security with penetration testing, yet they serve distinct purposes within cybersecurity. Offensive Security is a broad term encompassing strategies to protect against cyber threats, while penetration testing is a specific activity where security teams test system vulnerabilities.

" 客户通常将进攻性安全与渗透测试混淆,然而它们在网络安全领域中具有不同的目的。进攻性安全是一个涵盖防范网络威胁的战略的宽泛术语,而渗透测试则是安全团队测试系统漏洞的具体活动。"
2024年4月19日 21:34 知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Sentry
Sentry is an error tracking and performance monitoring platform. Prior to 24.4.1, when authenticating as a superuser to Sentry with a username and password, the password is leaked as cleartext in logs under the _event_: `auth-index.validate_superuser`. An attacker with access to the log data could use these leaked credentials to login to the Sentry system as superuser. Self-hosted users on affected versions should upgrade to 24.4.1 or later. Users can configure the logging level to exclude logs of the `INFO` level and only generate logs for levels at `WARNING` or more.
2024年4月19日 21:34 知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Docker
Moby is an open source container framework that is a key component of Docker Engine, Docker Desktop, and other distributions of container tooling or runtimes. In 26.0.0, IPv6 is not disabled on network interfaces, including those belonging to networks where `--ipv6=false`. An container with an `ipvlan` or `macvlan` interface will normally be configured to share an external network link with the host machine. Because of this direct access, (1) Containers may be able to communicate with other hosts on the local network over link-local IPv6 addresses, (2) if router advertisements are being broadcast over the local network, containers may get SLAAC-assigned addresses, and (3) the interface will be a member of IPv6 multicast groups. This means interfaces in IPv4-only networks present an unexpectedly and unnecessarily increased attack surface. The issue is patched in 26.0.2. To completely disable IPv6 in a container, use `--sysctl=net.ipv6.conf.all.disable_ipv6=1` in the `docker create` or `
2024年4月19日 20:51 Github关注
Admin to Kernel code execution using the KSecDD driver
2024年4月19日 20:51 看雪论坛
@ 目录 前言 环境搭建 前置知识 漏洞分析 漏洞利用 总结 参考 前言 最近在学习 Maglev 相关知识,然后看了一些与其相关的 CVE,感觉该漏洞比较容易复现,所以先打算复现一下,本文还是主要分析漏洞产生的原因,基础知识笔者会简单说一说,更多的还是需要读者自己去学习 这里说一下为什 ...
2024年4月19日 20:31 Github关注
Artifact for ICSE 2023
2024年4月19日 20:11 freebuf
某集团企业生产网(私有云或机房数据中心)、办公网终端均使用同一个AD域,那么其生产服务器是否需要脱域或其它方式整改?
2024年4月19日 19:11 Github关注
Catcher(捕手) 重点系统指纹漏洞验证工具,适用于外网打点,资产梳理漏洞检查。
2024年4月19日 19:01 绿盟科技博客
一、前言 本报告调查了我们从2022年7月初到2023年1月底在受CUJO AI保护的消费者网络中观察到的物联
Read More
2024年4月19日 18:11 hackernews.cc
中东在以色列和伊朗的复杂冲突中,见证了另一种形式的冲突:网络战。约旦发现自己处于这场战斗的最前沿,面临着各种黑客组织精心策划的一系列所谓网络攻击。 BlackMaskers 团队已成为一个突出的威胁,他们声称对约旦进行了网络攻击,且目标是约旦从证券交易所到私营企业的重要实体。 约旦支持以色列对抗伊朗的事件就是一个例证。BlackMaskers 团队宣布约旦是他们的首要目标。 他们对约旦网站的攻击以及随后的数据泄露引发了广泛担忧,加剧了国家基础设施和私营公司的脆弱性。 约旦当局正在处理网络攻击的报告,同时也因其支持以色列对抗伊朗的决定而面临公众批评。受影响的组织疑似包括约旦证券交易所和约旦自来水公司 Yarmook。 黑客组织威胁要泄露更多约旦公司有关的敏感信息时,约旦网络被攻击的严重性也凸显出来了。这一警告加上样本文件的发布,进一步扰乱了该国的局势。在混乱之中,网络攻击者仍然难以捉摸,他们利用约旦组织的漏洞来逃避检测。 据称,泄露的样本数据包含敏感文件和信息、约旦钢铁等公司的财务审计报告、据称对约旦协助以色列应对伊朗威胁的深入了解,以及其他来自约旦实体的文件。 约旦人表现出了针对政府的叛乱,这一叛乱的影响超出了约旦边界,与该地区更广泛的地缘政治格局相交叉。有关约旦协助以色列应对伊朗威胁的报道在国内引发了轩然大波和异议,当地公众感到自己被政府背叛了。 这些事件在社交媒体平台上引起强烈反响,加剧了大众的猜测和不满。背叛和与以色列勾结的指控充斥着网络言论,描绘了约旦人的不满情绪。 据报道,约旦政府因支持以色列反对伊朗袭击而引起公众的愤怒。许多约旦人感到政府的立场背叛了他们,这导致了大家对与以色列结盟的强烈抗议。 混乱之中约旦的漏洞再次暴露,一个陌生的黑客组织声称对多个组织同时进行了网络攻击。 此次未经证实的入侵突显了中东地区当前的局势:黑客、政府和当地公众正在选边站队,而战争正在扰乱普通公民的生活。   转自安全客,原文链接:https://www.anquanke.com/post/id/295789 封面来源于网络,如有侵权请联系删除
2024年4月19日 18:11 hackernews.cc
欧洲刑警组织周四宣布,全球最大的网络钓鱼即服务平台之一已因长达一年的全球行动“严重中断”服务 。 本周,来自 19 个国家的执法部门搜查了全球 70 个地址,逮捕了 37 名与 LabHost 运营相关的嫌疑人。 据欧洲刑警组织称,之前在开放网络上提供的 LabHost 平台已被关闭,其基础设施也受到损害。调查人员还发现了至少 40,000 个与该平台相关的网络钓鱼域名,该平台在全球拥有约 10,000 名用户。 澳大利亚警方周四宣布,他们关闭了 207 台通过 LabHost 服务托管创建的钓鱼网站的服务器,该网站针对该国超过 94,000 人。五人因与该服务的运作有关而在澳大利亚被捕。 英国逮捕了四名与该网站运营相关的人员,据称其中包括原始开发者。警方证实,英国有近 70,000 名受害者在 LabHost 的欺诈网站之一输入了自己的详细信息。在全球范围内,该服务已获得预计 480,000 个卡号、64,000 个 PIN 码以及用于网站和其他在线服务的超过 100 万个密码。 截至周四,英国警方已联系该国多达 25,000 名受害者,告诉他们数据已被泄露。 在网络钓鱼即服务模型中,网络犯罪分子提供工具,着让技术水平较低的个人能够进行网络钓鱼攻击。 LabHost 已成为全球网络犯罪分子的重要工具。该平台每月平均订阅费为 249 美元,它提供网络钓鱼工具包、托管页面的基础设施、直接与受害者互动的交互功能以及活动概述服务。 根据订阅情况,犯罪分子还会收到一份目标列表,其中包括金融机构、邮政服务和电信服务提供商。 LabHost 还提供了超过 170 个虚假网站的菜单,提供令人信服的网络钓鱼页面供用户选择。 欧洲刑警组织表示,LabHost 最具破坏性的是其名为 LabRat 的集成活动管理工具。此功能使网络犯罪分子能够实时监控和控制攻击。 LabRat 旨在捕获双因素身份验证代码和凭据,这让犯罪分子能成功绕过安全措施。 欧洲刑警组织表示:“LabHost 等平台让不熟练的黑客更容易实施网络犯罪,从而显著扩大了黑客的攻击范围。” “然而,无论该服务模型将自己描绘得对用户多友好,对其恶意使用都构成了非法活动——处罚可能会很严厉。” 去年 8 月,国际警方关闭了一个名为 16shop 的网络钓鱼即服务平台,该平台有 7 万人使用。该服务的网络钓鱼工具包旨在窃取 Apple、PayPal、American Expres
2024年4月19日 18:11 hackernews.cc
据称 RansomHouse 组织将 Lopesan Hotels 添加到其勒索网站的受害者名单中,声称他们获得了 650GB 有关酒店收入(3.824 亿美元)的数据以及有关 408 名员工的详细信息。 该组织声称已于 2024 年 3 月 22 日对数据进行加密,同时表示该公司对于在互联网上泄露了机密数据不感兴趣。 Lopesan 酒店集团是一家家族企业集团,于 1972 年作为承担公共建筑项目的集团开始活动。后来该连锁酒店扩大规模成为一家跨国公司,总部位于大加那利岛。 RansomHouse Group 分享了洛普森酒店网络攻击的详细信息 该黑客组织声称,除网络攻击外,该连锁酒店仍未能解决网络攻击问题。他们表示:“我们确信洛普森酒店集团对机密数据泄露或出售给第三方不感兴趣,但我们强烈建议您尽早解决这种情况。” 此外,RansomHouse 还分享了一个不需要任何密码的便可下载数据的链接,网站上所有用户都可以使用这些数据。 RansomHouse 集团以高价值目标为目标而闻名 据称该勒索软件团伙的行动始于2021 年底的勒索软件即服务操作,他们对大型企业和高价值目标的网络进行主动攻击。 RansomHouse 最初是针对意大利的,但后来他们开始针对美国和西班牙等国家。 该组织主要针对工业和科技领域,并于 2022 年 5 月建立了受害者勒索页面。 用 RansomHouse 代表的话说,该组织声称不加密数据,“只是敲诈勒索”。他们称自己是一支“正义的力量”,旨在“揭露”安全实践不佳的公司。据观察,该组织只接受比特币付款。 与一些较大的当代勒索软件组织相比,该组织的行动往往更小、更复杂。众所周知,他们在著名的地下市场招募成员,并利用基于 Tor 的聊天室进行赎金谈判。 由于该组织倾向于仅进行勒索攻击,因此他们的技术往往更隐蔽、更快,也由于不发生加密过程,避免了典型的勒索软件检测触发。 RansomHouse Group 对大规模数据泄露负责 RansomHouse 小组最近开发了一种名为“MrAgent”的新工具,该工具针对的是通常用于存储有价值数据的 VMware ESXi 虚拟机管理程序。去年,该组织将几个大型组织作为目标。 他们的活动包括从半导体巨头 AMD 窃取 450 GB 数据、扰乱西班牙巴塞罗那医院诊所医疗服务的攻击以及对非洲最大连锁超市 Shoprite 的攻击等。 尽管 RansomHouse
2024年4月19日 17:51 hackernews.cc
安联锐视是一家摄像机、录像机和其他监控产品制造商, Cybernews 研究人员在该公司分析平台的泄露数据库中发现该公司 30 亿条泄露数据记录。 Cybernews 研究团队发现了一个开放的 Elasticsearch 服务器,其中包含从全球 Raysharp 设备收集的日志和专有数据。 Elasticsearch 是一种常用的分析工具,旨在组织、搜索、分析和可视化大量数据。 泄露的日志跨度三个月,从 2023 年 11 月 2 日到 2024 年 2 月 1 日。记录总数为 3,148,830,160 条。 暴露的日志包含敏感类型的数据,包括以下数据点: device_uuid:这可能是唯一的设备标识符。不良行为者可以使用它来跟踪和识别特定设备。泄露设备 ID 以及其他信息可能会损害用户和组织的隐私和安全。 mobile_token:用于移动应用程序中的身份验证和授权目的,暴露的移动令牌可能会被用于对用户帐户或敏感信息进行未经授权的访问。 Token_uuid:这可能是与身份验证令牌关联的唯一标识符。暴露这些数据可能有助于获得未经授权的访问。 appid:应用程序本身的唯一标识符。虽然不太敏感,但它可用于针对特定的应用程序或服务。 DeviceName:这可能会泄露有关使用该设备的用户或组织的信息,并用于有针对性的攻击或分析。 APNS和Push_channel:研究人员还发现了表明系统配置为利用 Apple 推送通知服务 (APNS) 的数据项。这是向 iPhone 和其他 iOS 设备发送推送通知的通道。 研究团队表示:“这些数据的暴露可能是无意的,是由 Elasticsearch 的错误配置造成的。” “暴露设备日志会给所有使用 Raysharp 设备和应用程序的用户和组织带来风险。保持安全系统和服务的私密性对于维护完整性和安全性至关重要。” 经过负责任的披露后,泄露的数据不再被暴露。 暴露的日志可能源自产品开发 国家计算机网络应急技术处理协调中心(CNCERT/CC)向《网络新闻》表示,他们已收到该公司的回复。确认安联锐视使用 Elasticsearch 来管理日志。 Elasticsearch 是一个开源的日志服务系统,9500 端口仅用于产品开发过程中的日志查询。一般情况下没有必要使用。只有当产品出现异常时,才需要通过 9500 端口查询产品日志来协助定位问题。目前 9500 端口服务暂时停止,解
2024年4月19日 17:51 hackernews.cc
法国高品质内衣公司 Le Slip Français 宣布发生数据泄露事件,部分客户数据被盗。 该公司在其网站上表示:“4 月 15 日,在我们遭受恶意网络攻击后,我们意识到客户的一些个人数据不幸被黑客窃取了。” Le Slip Français 是一家法国在线零售商,销售高品质内衣、泳装和配饰,其产品 100% 源自法国。 该公司保证有关客户帐户密码或支付卡数据的信息不会受到该事件的影响。 该公司表示:“此次攻击已得到控制,我们正在密切监视情况以防发生任何潜在的欺诈行为,必要时会通知我们的用户。” 该公司向法国数据保护局 CNIL 和其他司法部门报告了这一事件。 运营数据泄露搜索网站 Have I Been Pwned 的安全顾问特洛伊·亨特 (Troy Hunt) 在 X 上指出,五天前泄露的数据出现在一个流行黑客论坛上。这些数据是由一个名为 shopifyGUY 的黑客发布的,他也是上周 Giant Tiger Canada 泄密事件的罪魁祸首。 该黑客声称,泄露的数据包括 696,144 条客户详细信息,例如电子邮件地址、姓名、电话号码、实际地址、购买情况以及总共 1,506,395 封电子邮件。 Hunt 认为黑客的别名暗示了 Shopify 密钥的泄露。 Hunt 在 X 上发帖称:“我被告知这些漏洞出现的 JSON 格式都与此一致,显而易见这是所有漏洞的共同向量。”   转自安全客,原文链接:https://www.anquanke.com/post/id/295808 封面来源于网络,如有侵权请联系删除
2024年4月19日 17:51 hackernews.cc
研究人员发现,英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。 虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补,但由于缺乏 CVE 标识符或建议,这意味着它被 AMI MegaRAC BMC 的开发人员忽视,最终出现在产品中由英特尔和联想提供。 Lighttpd(发音为“Lighty”)是一款开源高性能 Web 服务器软件,专为速度、安全性和灵活性而设计,同时针对高性能环境进行了优化,且不会消耗大量系统资源。 Lighttpd 的静默修复涉及越界读取漏洞,该漏洞可用于泄露敏感数据,例如进程内存地址,从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。 该固件安全公司表示:“缺乏有关安全修复的及时和重要信息,阻碍了固件和软件供应链上这些修复的正确处理。” 缺陷描述如下—— Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取 Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取 1.4.51 之前的 Lighttpd 中的越界读取 英特尔和联想选择不解决该问题,因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态,不再有资格进行安全更新,从而实际上将其变成了永远的错误。该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。 研究人员补充道:“这是某些产品中永远无法修复的另一个漏洞,并将在很长一段时间内给行业带来高影响风险。”   转自E安全,原文链接:https://mp.weixin.qq.com/s/ORiQEaUS6folKzT2_KlK6A 封面来源于网络,如有侵权请联系删除
2024年4月19日 17:51 hackernews.cc
自 2015 年以来,部分乌克兰政府网络一直受到名为 OfflRouter 的恶意软件的感染。 思科 Talos 发布的一份报告显示:其调查结果基于对 100 多个机密文档的分析,这些文档感染了 VBA 宏病毒并上传到 VirusTotal 恶意软件扫描平台。 安全研究员 Vanja Svajcer表示:“这些文件包含 VBA 代码,用于删除并运行名为‘ctrlpanel.exe’的可执行文件。” “该病毒在乌克兰仍然活跃,并导致潜在的机密文件被上传到可公开访问的文件存储库。” OfflRouter 的一个引人注目的方面是它无法通过电子邮件传播,因此需要通过其他方式传播,例如共享文档和可移动媒体,包括包含受感染文档的 USB 记忆棒。 据说这些设计选择,无论是有意还是无意,都将 OfflRouter 的传播限制在乌克兰境内和少数组织内,从而在近 10 年内逃脱了检测。 目前尚不清楚谁是该恶意软件背后的始作俑者,也没有迹象表明它是由乌克兰人开发的。 无论是谁,由于不寻常的传播机制和源代码中存在多个错误,他们都被描述为富有创造力但缺乏经验。 OfflRouter 早在 2018 年 5 月就被 MalwareHunterTeam 重点关注,斯洛伐克计算机安全事件响应小组 ( CSIRT.SK ) 于 2021 年 8 月再次重点关注 OfflRouter,介绍了上传到乌克兰国家警察网站的受感染文件(详情)。 作案手法几乎保持不变:VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件,然后该文件会感染系统和其他设备上发现的具有 .DOC(而非 .DOCX)扩展名的所有文件,具有相同宏的可移动媒体。 “感染会迭代要感染的文档候选列表,并使用创新方法检查文档感染标记,以避免多次感染过程 – 该功能检查文档创建元数据,添加创建时间,并检查总和的值。” Svajcer说。 “如果总和为零,则认为该文档已经被感染。” 也就是说,只有启用 VBA 宏时,攻击才会成功。截至 2022 年 7 月,微软一直在默认情况下阻止从互联网下载的 Office 文档中的宏,促使攻击者寻求其他初始访问途径。 该恶意软件的另一个关键功能是修改 Windows 注册表,以确保每次启动系统时可执行文件都会运行。 “该病毒仅针对文件扩展名为 .DOC(OLE2 文档的默认扩展名)
2024年4月19日 17:51 hackernews.cc
近日,美国伊利诺伊大学厄巴纳-香槟分校(UIUC)的四位计算机科学家在一篇新发布的论文中指出,只需提供描述漏洞的 CVE 公告,OpenAI 的 GPT-4 大语言模型便可以成功地利用现实世界真实存在的安全漏洞。 这项新研究建立在先前发现的 LLMs 可以在受控环境中用于自动攻击网站的基础上,研究过程共收集了 15 个 1day 漏洞(已披露但尚未修补的漏洞),研究人员发现,当提供其 CVE 描述时,GPT-4 能够成功利用这些漏洞之中的 87%,而其他测试的模型(如 GPT-3.5、一些开源 LLMs 以及专门设计的漏洞扫描器)则无法利用任何漏洞。目前因欠缺条件未对 GPT-4 的两个主要商业竞争对手—— Anthropic 的 Claude 3 和 Google 的 Gemini 1.5 Pro 进行测试。 这 15 个测试样本中,GPT-4 仅未能成功利用其中两个:Iris XSS(CVE-2024-25640)和Hertzbeat RCE(CVE-2023-51653)。前者是由于 Iris 网络应用程序具有极难导航的界面,后者则是由于漏洞详细描述为中文不便于理解操作。研究人员认为,未来的模型很可能比现今的黑客更有实力且更具性价比,他们计算了成功进行 LLM 代理攻击的费用,得出的结果是每次攻击的成本为 8.80 美元,比雇佣人类渗透测试员的成本要低得多。 论文作者还表示,这项研究最终仅包含 91 行代码和 1056 个提示词。OpenAI 已明确要求论文作者不得公开他们用于这个实验的提示——作者对此同意,但也表示他们会根据收到的请求提供,他们乐于促进合作,以在这个新兴的人工智能驱动的网络安全领域取得进一步进展。 论文链接:https://arxiv.org/pdf/2404.08144.pdf   转自安全内参,原文链接:https://www.secrss.com/articles/65375 封面来源于网络,如有侵权请联系删除
2024年4月19日 17:51 hackernews.cc
近日,黑客组织 FIN7 针对美国一家大型汽车制造商的 IT 部门的员工发送了鱼叉式钓鱼邮件,并利用 Anunak 后门感染了该系统。 据黑莓公司的研究人员称,该攻击发生在去年年底,依赖于二进制文件、脚本和库(LoLBas)。黑客重点攻击了那些具有高级权限的员工,并通过链接到冒充合法的高级 IP 扫描器工具的恶意 URL 引诱他们“上钩”。 黑莓公司根据使用独特 PowerShell 脚本的情况,确信这些攻击是 FIN7 所为,这些脚本使用了对方标志性的 “PowerTrash “混淆 shellcode 调用器,这种方式最早曾在 2022 年的一次攻击活动中出现过。 之前FIN7 的目的是暴露 Veeam 备份和 Microsoft Exchange 服务器,同时在该企业的网络中部署 Black Basta 和 Clop 勒索软件。 FIN7使用鱼叉式网络钓鱼电子邮件发起攻击 FIN7 向美国某大型汽车制造商 IT 部门的多位高权限员工发送了鱼叉式网络钓鱼电子邮件。邮件中包含 “advanced-ip-sccanner[.]com”链接,但事实上这其实是个虚假的 “advanced-ip-scanner.com “合法扫描仪项目。 研究人员发现,假冒网站会重定向到 “myipscanner[.]com”(现已下线)。访问者接下来会被带到一个提供恶意可执行文件(’WsTaskLoad.exe’)的 Dropbox 页面,该文件伪装成 Advanced IP Scanner 的合法安装程序。 该文件一旦被执行,就会触发一个涉及 DLL、WAV 文件和 shellcode 执行的多阶段进程,从而加载并解密一个名为 “dmxl.bin “的文件,其中包含 Anunak 后门有效载荷。 Anunak/Carbanak 是 FIN7 常用的恶意软件工具,其他常用的还有 Loadout、Griffon、PowerPlant 和 Diceloader。 同时,WsTaskLoad.exe 安装了 OpenSSH 以实现持久访问,并创建了一个计划任务。FIN7 以前也曾使用 OpenSSH 进行横向移动,但黑莓公司称在他们分析的活动中没有发现这种情况。 研究人员没有透露受害组织的名称,他
2024年4月19日 17:51 先知社区