研究人员发现一个新的 Linux 内核提权漏洞

研究人员发现一个新的 Linux 内核提权漏洞 Linux内核中的一个容易被利用的漏洞（CVE-2022-0847）可以被本地无权用户利用，通过利用已经公开的漏洞在脆弱的系统上获得root权限。 由安全研究员Max Kellermann发现的这个缺陷他称之为Dirty Pipe，因为它与Dirty Cow缺陷相似已经在Linux内核和Android内核中打了补丁。受影响的Linux发行版正在推送带有该补丁的安全更新。... Kellerman写的关于他如何发现该漏洞的文章是安全研究人员的一个重要信息来源，包括他的PoC漏洞。其他研究人员也想出了一些变化。 这个漏洞显然很容易被利用，尽管它不能被远程利用攻击者需要事先访问一个有漏洞的主机来部署利用程序。尽管如此，如果Dirty Cow缺陷被攻击者在实际利用，你可以肯定他们也会利用Dirty Pipe。

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击 据网络安全公司 ESET 的研究人员称，这种名为 FontOnLake 的恶意软件似乎是精心设计的，虽然正在积极开发，但已经包括远程访问选项、凭证盗窃功能，并能够初始化代理服务器。 FontOnLake 样本于2020年5月首次出现在 VirusTotal 上，但与这些文件相连的命令和控制（C2）服务器被禁用，研究人员说这可能是由于上传的原因。 研究人员指出，该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。 ESET认为，操作者对被抓住和他们的活动暴露 “过于谨慎”，因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外，该恶意软件的作者利用了C/C++和一些第三方库，如 Boost 和 Protobuf。 FontOnLake 是模块化的恶意软件，利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake，但该公司表示，在其已知的组件中，有被用来加载后门、rootkits和收集信息的木马应用程序。 总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的，并创建了一个通往同一C2的桥梁，用于数据外流。此外，它们能够发出 “心跳” 命令，以保持这种连接的活性。 FontOnLake 总是与一个内核模式的 rootkit 一起，在受感染的 Linux 机器上保持持久性。据 Avast 称，该 rootkit 是基于开源的 Suterusu 项目。 以下是ESET发布的技术白皮书，研究 FontOnLake。 #ThreatIntelligence #malware

研究人员发现恶意软件 MacStealer 会获取 iCloud 密码、文件和信用卡详细信息

研究人员发现恶意软件 MacStealer 会获取 iCloud 密码、文件和信用卡详细信息 报道了这一发现： Uptycs 发现 MacStealer 可以从 Firefox，Google Chrome 和 Microsoft Brave 浏览器获取密码，cookie 和信用卡数据。它可以提取几种不同的文件类型，包括.txt、.doc、.jpg和.zip，并且可以提取钥匙串数据库。根据 Uptycs 从暗网收集的信息，MacStealer 的制造商正在研究收集 Safari 密码和 cookie 以及 Notes 应用程序中数据的能力。 运行后，恶意软件会收集数据，将其全部压缩为单个zip文件，将文件发送给坏人，然后从Mac中删除该文件。 目前还不清楚 MacStealer 是否已记录在跟踪漏洞和暴露的CVE.report数据库中，Apple尚未对该恶意软件发表评论。苹果周一发布了macOS Big Sur，Monterey和Ventura的更新，但根据安全说明，这些更新似乎不包括MacStealer的补丁。 庆幸的是，这款软件没有经过数字签名，因此在大多数 Mac 上会被 Gatekeeper 阻止安装。您需要手动安装并运行该应用程序，然后输入Mac密码以授予其访问系统设置的权限才能使其正常工作。 标签: #Mac #MacStealer #数据泄露 频道: @GodlyNews1 投稿: @GodlyNewsBot

研究人员开发了一种新技术，可以模拟关闭或重新启动 iPhone，防止恶意软件被删除，并允许黑客秘密监听麦克风、以及通过实时网络连

研究人员开发了一种新技术，可以模拟关闭或重新启动 iPhone，防止恶意软件被删除，并允许黑客秘密监听麦克风、以及通过实时网络连接接收敏感数据。 从历史上看，当恶意软件感染 iOS 设备时，只需重新启动设备即可将其删除，从而从内存中清除恶意软件。 然而，这种新的技术可以做到允许恶意软件实现持久性，因为设备从未真正关闭。 由于这种被研究人员称为 “NoReboot” 的攻击并没有利用 iOS 中的任何缺陷，而是使用了人类级别的欺骗手段，因此 Apple 无法修复它。 ▶ #iOS #Hacking #Security

研究人员发现 VSCode 插件商店包含大量恶意程序

研究人员发现 VSCode 插件商店包含大量恶意程序 研究人员对 VSCode Marketplace 的研究发现了数千个恶意扩展程序，安装量达数百万次。包括以下情况： • 1,283 个带有已知恶意代码 (2.29 亿次安装)。 • 8,161 个使用硬编码 IP 地址进行通信。 • 1,452 个运行未知可执行文件。 • 2,304 个使用其他发布者的 Github repo，表明它们是山寨版。 微软在 VSCode Marketplace 上缺乏严格的控制和代码审查机制，这使得威胁行为者可以肆无忌惮地滥用该平台，而且随着该平台的使用越来越多，情况会越来越糟。研究人员检测到的所有恶意扩展都已负责任地报告给微软进行删除。截至发稿时，绝大多数扩展仍可通过 VSCode Marketplace 下载。

研究人员表示，数百万部手机在出厂时就已经感染了恶意软件

研究人员表示，数百万部手机在出厂时就已经感染了恶意软件 BLACK HAT ASIA 的Trend Micro 研究人员表示，Black Hat Asia 不法分子甚至在设备出厂前就用恶意固件感染了全球数百万台 Android。 这种硬件主要是廉价的 Android 移动设备，尽管智能手表、电视和其他东西也包含在其中。 这些小工具的制造外包给原始设备制造商 (OEM)。研究人员表示，这种外包使得生产链中的某个人（例如固件供应商）有可能在产品发货时用恶意代码感染产品。 该恶意软件的目的是窃取信息或从收集或提供的信息中获利。 该恶意软件将设备变成代理，用于窃取和出售 SMS 消息、接管社交媒体和在线消息帐户，并通过广告和点击欺诈作为获利机会。 一种代理插件，允许犯罪分子一次最多出租设备约五分钟。例如，那些租用设备控制权的人可以获得有关击键、地理位置、IP 地址等的数据。 通过遥测数据，研究人员估计全球至少存在数百万台受感染设备，但主要集中在东南亚和东欧。研究人员表示，犯罪分子自己报告的统计数据约为 890 万。