Hacking8 安全信息流
最近更新
| 时间 | 节点 | |
|---|---|---|
| 2024年5月17日 17:41 | MY_Github |
motikan2010 starred dependabot/dependabot-core · May 17, 2024 08:47 dependabot/dependabot-core 🤖 Dependabot's core logic for creating update PR's. Ruby 4.3k Updated May 17 " motikan2010 星标 dependabot/dependabot-core · 2024年5月17日 08:47\ndependabot/dependabot-core\n🤖 创建更新 PR 的核心逻辑。\nRuby\n4.3k 更新于 May 17" |
| 2024年5月17日 17:32 | hackernews.cc |
安全研究人员发现了新的后门程序,分别名为LunarWeb和LunarMail,该程序被用于攻击欧洲政府在海外的外交机构。 此恶意软件被用来入侵在中东有多个外交使团的某欧洲国家外交部,该软件至少自2020年以来一直在活跃。 网络安全公司ESET的研究人员认为,这些后门程序可能与俄罗斯国家支持的黑客组织Turla有关。这一推测的可信度属于中等水平。 Lunar攻击链 ESET在其报告中表示,攻击从鱼叉式网络钓鱼邮件开始,这些邮件携带含恶意宏代码的Word文件,用来在目标系统上安装LunarMail后门程序。 VBA宏代码通过创建Outlook插件来在被感染的主机上建立持久性,并确保每次启动电子邮件客户端时该插件都会被激活。 恶意 Outlook 加载项 ESET分析人员还发现潜在滥用配置错误的开源网络监控工具Zabbix来投放LunarWeb有效载荷的证据。 具体来说,服务器上部署了一个模仿Zabbix代理日志的组件,在通过HTTP请求使用特定密码访问时,它会解密并执行加载器和后门组件。 LunarWeb通过多种技术持久存在于被入侵的设备上,技术包括创建组策略扩展、替换系统DLL文件以及作为合法软件的一部分进行部署。 研究人员称,这两个有效载荷由恶意软件加载器”LunarLoader”解密,该加载器使用RC4和AES-256加密算法解密来自加密数据块的内容。此加载器使用DNS域名进行解密操作,并确保仅在目标环境中运行。 一旦Lunar后门在主机上运行,攻击者可以通过指挥C2服务器直接发送命令,并使用被盗凭证和被入侵的域控制器在网络中进行横向移动。 活动中出现的两条感染链 LunarWeb和LunarMail 这两个Lunar后门程序旨在进行长期隐蔽监控、数据盗窃以及保持对受感染系统的控制,例如政府和外交机构等高价值目标。 LunarWeb部署在服务器上,通过伪造Windows和ESET产品更新的HTTP标头模拟合法流量。该后门程序接收隐藏在.JPG和.GIF图像文件中的命令,此命令通过隐写术技术隐藏,包括执行shell和PowerShell命令、收集系统信息、运行Lua代码、压缩文件以及以AES-256加密形式外传数据。 ESET研究人员在一次攻击中观察到,黑客在几分钟内将LunarWeb投放到欧洲外交部的三个外交机构。 攻击者之所以能够快速移动,可能是因为他们之前已经获得了该部域控制器的访问 |
| 2024年5月17日 17:32 | 先知社区 | |
| 2024年5月17日 17:32 | 看雪论坛 |
Hamp;NCTF RE部分题解 打了一下这个比赛,发现有两道比较有意思的题目,和传统的re题不太一样,特此记录一下 RWhackA 本质上就是一个恶意程序,运行时在别的进程注入shellcode,flag就藏在shellcode里面 题目分析 首先用分析工具发现存在enigma ... |
| 2024年5月17日 17:12 | freebuf |
FBI于当地时间5月15日早上再度查封了臭名昭著的BreachForums黑客论坛,该论坛前身曾在2023年初的联合执法行动中被取缔。 |
| 2024年5月17日 17:12 | freebuf |
新的安卓版本还将包括私人空间,可以使用 PIN 码锁定,以防止窃贼访问存储在应用程序中的敏感数据。 |
| 2024年5月17日 17:12 | freebuf |
这一政策的出台,对于筑牢数据安全防线,提升会计师事务所的数据安全管理水平具有重要意义。 |
| 2024年5月17日 17:12 | 先知社区 | |
| 2024年5月17日 17:12 | 先知社区 | |
| 2024年5月17日 16:52 | freebuf |
麻省理工学院毕业的两兄弟被指控利用以太坊区块链的一个漏洞,在12秒内窃取了约1.8亿元。 |
| 2024年5月17日 16:52 | 先知社区 | |
| 2024年5月17日 16:52 | 先知社区 | |
| 2024年5月17日 16:32 | hackernews.cc |
Akira 勒索软件团伙声称攻击 Fiskars 集团后,集团发布声明确认“遭遇了网络攻击,影响了在美国的一小部分公司系统。” Fiskars 表示公司的运营未受影响,业务仍在正常进行。 “Fiskars 集团发现此次攻击后,立即采取了遏制措施,并成功阻止了事件的进一步发展。目前,针对该事件及其对数据影响的调查正在进行中,”公司表示。 Fiskars 集团已通知执法部门,并继续协助他们的调查。 尚不清楚此次事件是否暴露了任何个人数据。 5月14日,使用Akira 勒索软件的著名黑客在其受害者网站上发布了 Fiskars 集团的信息,声称他们窃取了2TB的数据,包括“各种敏感文件”。 “我们拿走了2TB的数据。需要我列出从他们服务器上复制的内容吗?很显然这里有很多你们感兴趣的敏感文件。我们会尽快提供这些文件的访问权限,”Akira 在暗网上的帖子写道。 Fiskars集团总部位于芬兰赫尔辛基,是Fiskars、Georg Jensen、Gerber、Iittala、Moomin Arabia、Royal Copenhagen、Waterford和Wedgwood的全球消费品供应商。该公司在 100 多个国家/地区开展业务,拥有近 450 家门店。Fiskars集团拥有约7,000名员工,2023年全球净销售额为11亿欧元。 根据 Cybernews Ransomlooker 工具,Akira Ransomware 是 2023 年最活跃的勒索软件团伙之一,共有 169 名受害者。 据联邦调查局 (FBI) 和其他当局称,在不到一年的运营中,该团伙已从 250 多个受影响的组织中获得了约 4200 万美元的勒索软件收益。Akira的最大受害者是日本汽车巨头日产(Nissan),该公司向100,000人通报了网络漏洞,据称斯坦福大学(Stanford University)和德克萨斯州的城市拿骚湾(Nassau Bay)丢失了430GB的内部数据。   消息来源:cybernews,译者:lune; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文 |
| 2024年5月17日 16:32 | 先知社区 | |
| 2024年5月17日 16:32 | 先知社区 | |
| 2024年5月17日 16:03 | Github_POC |
An issue was discovered in CMS Made Simple 2.2.8. It is possible with the News module, through a crafted URL, to achieve unauthenticated blind time-based SQL injection via the m1_idlist parameter. [GitHub]CVE-2019-9054 exploit added support for python3 + bug fixes " 在CMS Made Simple 2.2.8中发现了一个问题。通过精心构造的URL,新闻模块可能导致未经身份验证的盲目的基于时间的SQL注入,通过m1_idlist参数实现。\n[GitHub] CVE-2019-9054漏洞利用新增了对python3的支持+修复了bug。" |
| 2024年5月17日 16:03 | Github_POC |
[GitHub]CVE-2024-31974 " [GitHub] CVE-2024-31974\n\n将上述链接中的英文翻译为中文,内容为:“GitHub上的CVE-2024-31974”。这是一个关于网络安全漏洞的标识,CVE(Common Vulnerabilities and Exposures)是公共漏洞和暴露的缩写,用于命名网络安全漏洞。此处表示2024年发现的某个漏洞,编号为31974。" |
| 2024年5月17日 16:02 | Github_POC |
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in 8theme XStore allows SQL Injection.This issue affects XStore: from n/a through 9.3.5.
[GitHub](CVE-2024-33559) The XStore theme for WordPress is vulnerable to SQL Injection due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query
" 不恰当的对SQL命令中使用的特殊元素进行中和('SQL注入')漏洞在8主题XStore中允许SQL注入。此问题影响XStore:从n/a到9.3.5。\n[GitHub](CVE-2024-33559) 由于用户提供的参数不足的转义和现有SQL查询准备不足,WordPress的XStore主题易受SQL注入攻击。"
|
| 2024年5月17日 15:52 | seebug最新漏洞 | |
| 2024年5月17日 15:12 | freebuf |
PMapper可以帮助广大研究人员识别一个AWS账号或AWS组织中存在安全风险的IAM配置,并对IAM权限执行快速评估。 |
| 2024年5月17日 14:32 | Github关注 |
Standard collection of rules for capa: the tool for enumerating the capabilities of programs |
| 2024年5月17日 14:32 | Github关注 |
The FLARE team's open-source tool to identify capabilities in executable files. |
| 2024年5月17日 14:32 | Github关注 |
A Rust client for WeChatFerry. |
| 2024年5月17日 14:32 | freebuf |
这一政策的出台,对于筑牢数据安全防线,提升会计师事务所的数据安全管理水平具有重要意义。 |
| 2024年5月17日 14:12 | freebuf |
一个名为 Storm-1811 的威胁攻击者正在滥用客户端管理工具 "快速助手"对用户展开社交工程攻击。 |
| 2024年5月17日 14:12 | hackernews.cc |
据英国TOP10VPN的一份最新研究报告指出,一种基于 IEEE 802.11 Wi-Fi 标准中的设计缺陷能够允许攻击者诱导用户连接至不安全的网络,进而对用户进行网络窃听。 报告指出,该缺陷是基于CVE-2023-52424 SSID 混淆攻击的漏洞利用,涉及所有操作系统和 Wi-Fi 客户端,包括基于 WEP、WPA3、802.11X/EAP 和 AMPE 协议的家庭网络和网状网络。 TopVPN表示,攻击者可以通过发动 “中间人”(AitM)攻击,欺骗客户端连接到一个不受信任的 Wi-Fi 网络,而不是它打算连接的网络。比如当用户想要连接到网络 TrustedNet 时,攻击者会诱骗它连接到使用类似凭证的另一个网络 WrongNet。因此,用户客户端会显示连接到了 TrustedNet,而实际上却连接到的是 WrongNet。 换句话说,即使在连接到受保护的 Wi-Fi 网络时——密码或其他凭证经过了相互验证,也不能保证用户连接到的是他们想要的网络。 研究人员指出,之所以能够利用这一缺陷,一个重要原因是目前的Wi-Fi网络依靠 4 路握手来验证自己和客户端的身份,并协商加密连接的密钥。4路握手需要一个共享的配对主密钥(PMK),根据Wi-Fi版本和所使用的特定认证协议,PMK可以以不同的方式获得。 问题在于,IEEE 802.11 标准并未强制要求在密钥推导过程中包含 SSID。换句话说,当客户端设备连接到 SSID 时,SSID 并不总是认证过程的一部分。在这些实施过程中,攻击者有机会设置一个恶意接入点,欺骗受信任网络的 SSID,并利用它将受害者降级到信任度较低的网络。 攻击者要利用这一弱点,必须具备某些条件,即只在可能拥有两个共享凭证的 Wi-Fi 网络的情况下起作用。例如,环境中可能有分别有一个 2.4 GHz 和5GHz 网络频段,每个频段都有不同的 SSID,但具有相同的验证凭据。通常情况下,客户端设备会连接到安全性更好的 5 GHz 网络。但如果攻击者足够接近目标网络以实施中间人攻击,就可以粘贴一个与 5 GHz 频段具有相同 SSID 的恶意接入点,然后就可以利用恶意接入点接收所有验证帧并将其转发到较弱的 2.4 GHz 接入点,让客户端设备与该网络连接。 值得注意的是,在某些情况下它还可能使 VPN 保护失效。研究人员表示,许多 VPN,如 Clouldflare& |
| 2024年5月17日 14:12 | hackernews.cc |
therecord网站消息,美国悬赏500万美元,以获取被控代表朝鲜诈骗公司近 700 万美元的 IT 员工信息。 美国国务院称,从 2020 年 10 月到 2023 年 10 月,一位名叫克里斯蒂娜-查普曼(Christina Chapman)的美国公民帮助化名为 Jiho Han、Chunji Jin 和 Haoran Xu 的工作者以软件和应用程序开发员的身份在多个行业和领域的公司实施欺诈,获得远程工作。 查普曼、以上三名工作者以及一名27岁的乌克兰人奥列克桑德尔·迪登科(Oleksandr Didenko)已被联邦检察官指控参与该计划。三名工作者的经理(化名 Zhonghua 和 Venechor S )被列为未被起诉的同谋。 本周三,查普曼在她的家乡亚利桑那州利奇菲尔德公园被捕,迪登科于 5 月 7 日在波兰被捕,美国正在寻求对他的引渡。 国务院表示,该诈骗计划帮助 Jiho Han、Chunji Jin 和 Haoran Xu 使用属于 60 多名真实美国人的虚假身份在美国公司获得非法远程工作,为朝鲜创造了至少 680 万美元的收入。 司法部表示,该计划影响了 300 多家美国公司,导致 100 多次向国土安全部传递了虚假信息,为超过 35 名美国人制造了虚假纳税义务。 据美国国务院介绍,这三名工作者与朝鲜军火工业部(该部门负责监督朝鲜弹道导弹的开发、武器生产和研发项目)有关联,他们曾尝试在两家未具名的美国政府机构找到工作,但均以失败告终。不过,他们成功在多家财富 500 强公司获得工作,其中包括排名前五的大型电视网络、一家硅谷科技公司、一家航空航天和国防公司、一家美国汽车制造商、一家奢侈品零售店和一家美国标志性媒体和娱乐公司。 美国国务院称,查普曼帮助他们获取了 60 名美国公民的身份信息,并 “接收和托管 ”了雇主发送的笔记本电脑,目的是让这些朝鲜人看起来像是在美国工作。另外,他还帮助这些工作者远程连接到美国公司的电脑网络、处理工资支票,把钱洗白。 FBI 纽约分局助理局长吉姆-史密斯(Jim Smith)说,迪登科涉嫌在该计划中搭建了一些网站,用于欺诈和盗用美国人的身份。 美国国务院呼吁知道查普曼、 Jiho Han、Chunji Jin 和 Haoran Xu 信息的人提供线索,FBI 也发布了关于朝鲜 IT 人员的警报。 逃避制裁 去年,美国财政部宣布对四个实体实施制裁,这些实体雇用了数千 |
| 2024年5月17日 13:52 | hackernews.cc |
网络安全研究人员最近发现一项 SugarGh0st RAT 活动,针对美国参与人工智能领域组织,包括学术界、私营企业和政府服务机构。 2024 年 5 月的活动被称为 UNK_SweetSpecter,使用 SugarGh0st RAT,这是一种根据 Gh0stRAT 定制的远程访问木马,是 Gh0stRAT 的定制变体。 Gh0stRAT 是一种较旧的商品木马,变体被用于针对与人工智能相关的实体,SugarGh0st RAT 历来被用于针对中亚和东亚的目标用户。 Proofpoint 发布的一份报告中描述,这些攻击利用免费电子邮件帐户来分发以 AI 为主题的诱饵,诱使收件人打开 zip 附件。 此后,感染链与思科 Talos之前发现的模式非常相似。值得注意的是,攻击者修改了注册表项名称以实现持久性,并利用了不同的命令和控制 (C2) 服务器。 Proofpoint 分析显示,UNK_SweetSpecter 将 C2 通信转移到了新域 account.gommask[.]online,这凸显了攻击者的敏捷性。 自初次报告以来,SugarGh0st RAT 仅参与了少数活动,表明其行动具有高度针对性。目标包括一家美国电信公司、一家国际媒体组织和一家南亚政府组织,几乎所有收件人的电子邮件地址似乎都是公开的。 Proofpoint写道:“虽然这些活动没有利用技术复杂的恶意软件或攻击链,但[我们的]遥测支持评估所识别的活动极具针对性。” “2024 年 5 月的攻击活动似乎针对不到 10 个人,根据开源研究,所有这些人似乎都与美国领先的人工智能组织有直接联系。” Proofpoint 无法将这些活动高度可信地归因于特定的黑客组织。   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/iEXzE0TTvQ_NTxovy_fqBQ 封面来源于网络,如有侵权请联系删除 |
| 2024年5月17日 13:12 | freebuf |
本篇文章主要讨论破解APP流量加密的通用方法,从被动触发、主动构造、透明加密代理服务器。 |
| 2024年5月17日 12:32 | Github关注 |
Context aware, pluggable and customizable data protection and de-identification SDK for text and images |