Cybersecurity information flow

Writing Nimless Nim - Slides and source for BSIDESKC 2024 talk.

BlueToolkit is an extensible Bluetooth Classic vulnerability testing framework that helps uncover new and old vulnerabilities in Bluetooth-enabled…

5月14日，Check Point Research的一项研究揭示了Foxit PDF阅读器的一个设计缺陷，并表示其已被不法分子利用，可能导致执行有害命令，使全球7亿用户面临风险。PDF是一种用于呈现文本、图像及多媒体内容的标准格式，用以确保无论使用何种软件、硬件或操作系统查看，都能具有一致的布局和 ...

俄乌冲突中网络战的整体情况解读

目前，PDF 已然成为了数字通信中不可或缺的一部分，在 PDF 阅读器领域，Adobe Acrobat Reader 占据了最大的市场份额，但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进，在 200 多个国家拥有超过 7 亿用户。 然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用 Foxit PDF Reader 设计中存在安全缺陷 研究人员表示，安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉，警告消息中提供了一个”有害“的默认选项，一旦有粗心的用户使用默认选项，安全漏洞就会自动触发，从远程服务器下载并执行恶意有效负载。 安全研究人员已经证实安全漏洞已经被多个黑客用于电子犯罪和间谍活动。其中，名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为”著名“。黑客通过部署特定恶意软件、获得受害者的数据信息。此外，黑客能够开展针对 Windows 和 Android 设备的混合攻击活动，从而绕过双因素身份验证 （2FA） 。 VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞，以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动，发现了一条攻击链。 在另一场攻击活动中，Check Point Research 确认了黑客为@silentkillertv，主要利用两个链接的PDF 文件执行活动，其中一个文件托管在合法网站 trello.com 上。黑客还销售恶意工具，并于 4 月 27 日宣传了这一漏洞。 研究过程中，Check Point 获得了多个攻击者拥有的构建器，这些构建器利用此漏洞创建恶意 PDF 文件，大多数收集的 PDF 正在执行 PowerShell 命令，该命令从远程服务器下载有效负载，然后立刻执行。 最后，安全人员指出，随着社会工程策略的日益复杂，用户必须时刻保持警惕，随时了解自身网络安全状况，谨慎行事，并实施包括多因素身份

在安装苹果最新iOS 17.5更新后，用户遭遇了一个有点“灵异”的问题：数年前已经彻底删除的照片不可思议地重新出现在了照片应用中。

在安装苹果最新iOS 17.5更新后，用户遭遇了一个有点“灵异”的问题：数年前已经彻底删除的照片不可思议地重新出现在了照片应用中。

The Spanish bank Santander disclosed a data breach at a third-party provider that impacted customers in Chile, Spain, and Uruguay. The Spanish financial institution Santander revealed a data breach involving a third-party provider that affected customers in Chile, Spain, and Uruguay. The bank recently became aware of unauthorized access to one of its databases hosted […]

" 西班牙银行Santander公布了一起涉及第三方服务提供商的数据泄露事件，该事件影响了智利、西班牙和乌拉圭的客户。近日，这家西班牙金融机构发现，有人未经授权访问了其托管在第三方服务提供商处的一个数据库。此次数据泄露影响了智利、西班牙和乌拉圭的客户。Santander银行透露，此次数据泄露涉及第三方提供商，银行方面最近才得知这一未经授权的数据访问事件。"

BobTheSmuggler是一款专为红队研究人员开发和设计的Payload生成工具，支持创建包含嵌入式7z/zip压缩文档的HTML文件。

在安装苹果最新iOS 17.5更新后，用户遭遇了一个有点“灵异”的问题：数年前已经彻底删除的照片不可思议地重新出现在了照片应用中。

Swagger UI before 4.1.3 could allow a remote attacker to conduct spoofing attacks. By persuading a victim to open a crafted URL, an attacker could exploit this vulnerability to display remote OpenAPI definitions.
[GitHub]A simple POC (CVE-2018-25031

" 在4.1.3版本之前的Swagger UI可能允许远程攻击者实施伪造攻击。通过说服受害者打开一个精心构造的URL，攻击者可以利用这个漏洞显示远程OpenAPI定义。\n[GitHub]一个简单的POC（CVE-2018-25031）"

[GitHub]CVE-2024-32640 | Automated SQLi PoC

" [GitHub] CVE-2024-32640 | 自动 SQLi 证明 of concept（PoC）"

Cacti provides an operational monitoring and fault management framework. A command injection vulnerability on the 1.3.x DEV branch allows any unauthenticated user to execute arbitrary command on the server when `register_argc_argv` option of PHP is `On`. In `cmd_realtime.php` line 119, the `$poller_id` used as part of the command execution is sourced from `$_SERVER['argv']`, which can be controlled by URL when `register_argc_argv` option of PHP is `On`. And this option is `On` by default in many environments such as the main PHP Docker image for PHP. Commit 53e8014d1f082034e0646edc6286cde3800c683d contains a patch for the issue, but this commit was reverted in commit 99633903cad0de5ace636249de16f77e57a3c8fc.
[GitHub]Cacti CVE-2024-29895 POC

" Cacti 提供了一个操作监控和故障管理框架。1.3.x DEV 分支上的命令注入漏洞允许任何未认证的用户在 PHP 的 `register_argc_argv` 选项设置为 `On` 时在服务器上执行任意命令。在 `cmd_realtime.php` 的第 119 行，用作命令执行部分之一的 `$poller_id` 来源于 `$_SERVER['argv']，当 PHP 的 `register_argc_argv` 选项设置为 `On` 时，该值可以被 URL 控制。而在许多环境中，例如 PHP 主要 Docker 镜像，这个选项

Akira 勒索软件团伙声称攻击 Fiskars 集团后，集团发布声明确认“遭遇了网络攻击，影响了在美国的一小部分公司系统。” Fiskars 表示公司的运营未受影响，业务仍在正常进行。 “Fiskars 集团发现此次攻击后，立即采取了遏制措施，并成功阻止了事件的进一步发展。目前，针对该事件及其对数据影响的调查正在进行中，”公司表示。 Fiskars 集团已通知执法部门，并继续协助他们的调查。 尚不清楚此次事件是否暴露了任何个人数据。 5月14日，使用Akira 勒索软件的著名黑客在其受害者网站上发布了 Fiskars 集团的信息，声称他们窃取了2TB的数据，包括“各种敏感文件”。 “我们拿走了2TB的数据。需要我列出从他们服务器上复制的内容吗？很显然这里有很多你们感兴趣的敏感文件。我们会尽快提供这些文件的访问权限，”Akira 在暗网上的帖子写道。 Fiskars集团总部位于芬兰赫尔辛基，是Fiskars、Georg Jensen、Gerber、Iittala、Moomin Arabia、Royal Copenhagen、Waterford和Wedgwood的全球消费品供应商。该公司在 100 多个国家/地区开展业务，拥有近 450 家门店。Fiskars集团拥有约7,000名员工，2023年全球净销售额为11亿欧元。 根据 Cybernews Ransomlooker 工具，Akira Ransomware 是 2023 年最活跃的勒索软件团伙之一，共有 169 名受害者。 据联邦调查局 （FBI） 和其他当局称，在不到一年的运营中，该团伙已从 250 多个受影响的组织中获得了约 4200 万美元的勒索软件收益。Akira的最大受害者是日本汽车巨头日产（Nissan），该公司向100,000人通报了网络漏洞，据称斯坦福大学（Stanford University）和德克萨斯州的城市拿骚湾（Nassau Bay）丢失了430GB的内部数据。    消息来源：cybernews，译者：lune；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

BobTheSmuggler是一款专为红队研究人员开发和设计的Payload生成工具，支持创建包含嵌入式7z/zip压缩文档的HTML文件。

Slicer4J is an accurate, low-overhead dynamic slicer for Java programs.

威胁情报公司 Recorded Future 周二对滥用合法 GitHub 配置文件传播信息窃取恶意软件的恶意活动发出警报。 作为该活动的一部分，在独立国家联合体 (CIS) 之外活动的俄语黑客通过冒充 1Password、Bartender 5、和 Pixelmator Pro进行攻击。 Recorded Future 在一份新报告中指出，恶意软件操作共享相同的命令与控制 (C&C) 基础设施，这表明在跨平台攻击中使用了集中式设置，可能会提高效率。 2024 年初的行业报告显示，AMOS 通过欺骗性网站、冒充合法 macOS 应用程序（包括 Slack 的安装文件）以及欺诈性 Web3 项目进行分发。 以这些报告为起点，Recorded Future 发现了 12 个宣传合法 macOS 软件的网站，但将受害者重定向到分发 AMOS 的 GitHub 配置文件。该配置文件还传播了 Octo Android 银行木马和各种 Windows 信息窃取程序。 该 GitHub 配置文件属于名为“papinyurii33”的用户，创建于 2024 年 1 月 16 日，仅包含两个存储库。Recorded Future 表示，其研究人员在 2 月和 3 月初观察到这些存储库中的文件发生了多次更改，但自 3 月 7 日以来没有新的活动。 调查还揭示了 FileZilla 文件传输协议 FTP 服务器用于恶意软件管理以及分发 Lumma 和 Vidar 信息窃取程序的情况。 此外，Recorded Future 表示，它发现了与该活动相关的多个 IP 地址，其中包括与 DarkComet RAT 的 C&C 基础设施相关的四个 IP，以及用于分发该活动的 FileZilla FTP 服务器。2023 年 8 月至 2024 年 2 月期间，Raccoon Stealer 也使用这些 FTP 服务器进行分发。 Recorded Future 与 Cyfirma、CERT-UA、Cyble 和 Malwarebytes 的报告证实了调查结果，得出的结论是，这些攻击是由同一攻击者精心策划的，是大规模活动的一部分。 该网络安全公司建议组织使用自动代码扫描工具对从外部存储库获取的所有代码进行代码评估，并识别潜在的恶意软件或可疑模式。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.