v2ray节点推荐
tz.v2ray.club

10元/100G一月
19元110GB用完为止
39元240G流量用完为止

比较实惠，推荐39元套餐。
里面也有免费套餐，但是比较慢

提供安卓和windows小白端

网络勒索 (Cy-X) 或更为常见的勒索软件是在过去三到四年中引起广泛关注的话题。自 2020 年以来，Orange Cyber​​defense 广泛覆盖了这一威胁。

在最新的年度安全报告《Security Navigator 2024》（SN24）中，研究显示，2022 年至 2023 年（2022 年第四季度至 2023 年第三季度）期间增长了 46%。更新我们的数据集后，我们发现实际增幅甚至更高，增幅略低于 51%。更新的数字是由于数据集的动态性质所致；生态系统不断变化，因此我们只有在研究期结束后才意识到某些泄漏地点及其受害者。

可悲的是，这只会进一步加剧现实。预测这种增长水平是否会维持是很困难的。 Cy-X 可能已达到饱和点，我们可能会看到 Cy-X 威胁持续维持在 2023 年的水平。另一方面，如果我们确实遵循过去几年的受害者人数模式（年初人数较少，全年不断增加），则会产生相反的效果，一旦受害者人数不断增加，更多的。然而，我们认为 Cy-X 受害者数量目前将保持稳定，如果幸运的话，敲诈勒索受害者可能会减少。尽管如此，我们距离取得胜利还有很长的路要走。
自报告中讨论 SN24 Cy-X 数据集结束以来已经过去了六个月，这段时间发生了很多事情。 2023 年第四季度和 2024 年第一季度的受害者总数为 2,141 人，几乎是 2022 年全年记录的所有受害者，即 2,220 人。考虑到两个最活跃的 Cy-X 组织在此期间（试图）遭到破坏，这一受害者数量是惊人的。执法部门 (LE) 的目标是在 2023 年 12 月扰乱 ALPHV，几天后他们就通过“松开”自己来表现出抵抗。 LE 随后于 2024 年 2 月拿下了 LockBit 的基础设施，但这仅意味着 LockBit 的停机时间为几天，因为他们也在最初拿下几天后设法恢复了在线状态。尽管这两个 Cy-X 操作当时看起来非常抵制，但 ALPHV（BlackCat）在 2024 年 3 月上旬下线，“退出”游戏，很可能是所谓的退出骗局。

破坏这一不稳定生态系统的努力——Cy-X 品牌寿命短带来的挑战#
无论其效果如何，之前的 LE 活动都为 Cy-X 运营提供了重要的见解。一个例子是 Cy-X 犯罪的暗数，即我们不知道的受害者人数，因为他们没有暴露在我们监控的泄密网站上。了解暗数将有助于我们完整了解当前 Cy-X 威胁。因此，整个情况将包括受害者的实际数量，其中包括我们对泄露网站上暴露的受害者的部分看法（我们的数据）以及我们永远不会知道的受害者组织（暗数）。 2023 年 Hive 被查封后发现的受害者人数比我们从其数据泄露网站记录的受害者人数还要多，实际人数比我们从其数据泄露网站记录的要多 5 到 6 倍。如果我们将 2020 年 1 月至 2024 年 3 月期间记录的受害者人数（11,244 人）乘以 6，那么所有 Cy-X 组织的实际受害者人数可能高达 67,000 人。

Cl0p 是我们数据集中最持久的威胁参与者，它在 2023 年非常繁忙，占所有受害者的 11%。然而，自该分析以来的过去六个月中，Cy-X 组织的数据泄露网站上仅观察到 7 名受害者。 Cl0p 过去曾一度出现，大规模利用漏洞，但最终又回到了阴影中，因此这可能只是 Cl0p 的作案手法。

活跃 Cy-X 基团的总数随时间波动，并且某些基团比其他基团持续时间更长。 《Security Navigator 2024》报告通过研究同比变化来解决这个问题。总体而言，与 2022 年相比，2023 年活跃 Cy-X 团体的数量确实出现了净增长。总的来说，这是一个非常不稳定的生态系统，其中有很多变动。我们的研究发现，54% 的 Cy-X“品牌”在运行 1 至 6 个月后就消失了。延续到 2023 年的 Cy-X 群体数量较少，但新 Cy-X 群体数量的增加导致了活动的净增长。进一步证实了这些群体的短暂性。讽刺的是，LockBit3 和 ALPHV 被列为 2023 年“持久”类别。

这项研究是作为防御 Cy-X 有效性检查的一部分进行的。 LE 和全球各地的政府机构正在努力消除网络勒索，因为这确实是一个全球性问题。在过去两年半中，我们看到 LE 活动稳步增长，记录了 169 项打击网络犯罪的行动。
在所有有记录的 LE 活动中，我们发现网络勒索受到的关注最多。所有行为中有 14% 与网络勒索犯罪有关，其次是黑客行为和欺诈行为，各占 11%。与加密货币相关的犯罪占 9% 的份额。近一半的 LE 活动涉及对个人或团体的逮捕和判刑。

在我们最新的 Security Navigator 报告中，我们写道，“2023 年，我们特别注意到，我们加大力度摧毁或破坏威胁行为者（滥用）使用的基础设施和托管服务。”根据过去 6 个月更新的数据集，我们确实看到“执法干扰”类别的比例更高。在这里，我们收集了一些行动，例如启动国际工作组打击勒索软件的公告、LE 欺骗威胁行为者为其提供解密密钥、夺取基础设施、渗透网络犯罪市场等。虽然我们之前已经争论过我们确实看到的行动是否执行得最多通常，例如逮捕和扣押可能不会那么有效，最近的两项 LE 行动非常值得关注。
在 ALPHV 的案例中，他的第一反应似乎对 LE 破坏它的努力非常有抵抗力，但他已经逃离了现场，并且（很可能）进行了退出骗局。这可能会极大地破坏勒索软件即服务 (RaaS) 生态系统内的“信任”，随着附属机构和其他参与者评估其风险，受害者数量可能会在短期内减少。与此同时，还有一个空白需要填补，从历史上看，新的（重新）品牌很快就会填补这一空白。
与 ALPHV 类似，LockBit 声称在最初的打击中幸存下来，但在网络勒索的世界中，声誉就是一切。附属机构是否会继续与“复活”的 LockBit 开展业务，而不怀疑这是否可能是一个 LE 蜜罐？

Cy-X 受害者以绝望或附属交叉的形式再次受害#
到目前为止，我们知道网络犯罪生态系统是一个复杂的生态系统，包括许多不同类型的参与者、角色和行为。对于我们正在监控的网络犯罪类型——网络勒索来说，情况确实如此。在过去的十年中，网络犯罪即服务 (CaaS) 的生态系统确实得到了发展，并为监控此类犯罪增加了一些挑战。其中一个挑战是没有一个威胁行为者从头到尾执行一次攻击（完整的攻击链）。
在检查 Cy-X 数据泄露网站上的受害者列表时，我们观察到受害者的重新出现。这不是什么新鲜事，我们自 2020 年以来一直在观察这种现象。但我们终于有了足够大的数据集来对再次发生的事件进行分析，以分析这些是否确实是再次受害或生态系统的其他动态，甚至是生态系统本身并没有意识到。例如，我们注意到，一些受害者的名单相隔数月或数年，而另一些受害者则在几天或几周内重新发布。我们不会下载被盗数据并检查列表内容，因为这是我们的道德问题，我们不想下载和存储被盗受害者数据。因此，我们的观察基于匹配受害者姓名。

在考虑可能的再次受害情况时，我们最紧迫的问题之一是为什么我们会看到一些受害者再次出现。

我们对此有一些简化的假设：

另一次网络攻击：实际再次受害，因此发生了针对同一受害者的第二轮网络勒索/网络攻击。通过可能使用相同的入口点或后门；或者与第一次出现完全无关。
访问或数据的重复使用：受害者的数据已经“传播”（泄露或出售给地下组织）并被用作再次勒索受害者的杠杆。或者该访问权限已出售给不同的买家。然而，数据或访问权限正在被重复使用。
关联公司交叉：关联公司在不同的 Cy-X 操作之间重复使用受害者数据。
最后一个假设可能表明威胁行为者是多么受经济驱动，以及他们可能变得多么绝望。我们确信我们的假设可能存在其他变化，但我们希望在接下来的分析中尽可能保持简单。我们想探讨是否看到行为者之间再次受害的模式。我们发现超过 100 起受害者被重新发布到同一组织或另一个组织的泄密网站的事件。

我们创建了一个网络图并向节点添加了一些颜色编码。绿色节点代表第二个发布有关特定受害者的信息的演员。他们强调了再次受害的情况。蓝色节点代表充当受害者的起源或第一张海报的演员。当 Cy-X 演员既是首次发布者又是第二次发布者时，该节点默认为绿色。箭头是一个附加指示符。查看受害者出现的有向网络图，我们可以看到再次受害的方向。一些具有循环引用的 Cy-X 参与者在他们自己的数据泄露网站上转发了受害者。以下分析是我们当前研究的摘要，我们计划在即将发布的年度勒索软件报告Cy-Xplorer中发布更广泛的分析。
有几个集群引起了人们的注意。例如，Snatch 组织通过不断重新发布来自其他 Cy-X 操作（例如 AstroTeam、Meow、Sabbath、Karma Leaks、cactus、Quantum、Egregor 和 Marketo）的受害者来展示重新受害活动。请记住，再次受害是指犯罪受害者在未来遭受额外伤害或受害的现象。我们认为，这意味着受害者会再次经历未经授权的访问和/或数据泄露和/或数据盗窃和/或勒索和/或加密和/或声誉受损、和/或财务损失和心理伤害ETC。

在这三种假设中，受害者将再次成为受害者，经历上述的一种、几种或全部伤害。这与攻击本身的技术复杂性无关，而仅仅是因为再次被列入暗网泄露网站，受害者组织再次面临几种严重形式的伤害。

如果我们继续研究该图，我们会看到另一个集群，ALPHV，我们看到 ALPHV 重新发布了来自 MONTI、8Base 和 Qilin 的受害者（在后者中，受害者组织在同一天在两个泄漏站点 ALPHV 和 Qilin 上发布） ）。与此同时，首先出现在 ALPHV 泄露网站上的受害者组织被其他各种组织重新发布，例如 AvosLocker、LockBit、Ransomhouse、incransom、Haron、cactus 等。箭头有助于指示关系的方向性，例如，谁先行动。其他星团也表现出非常相似的模式，我们在此探索中不会深入探讨。尽管如此，网络图和上述（部分）分析向我们展示了转发受害组织的关系和模式。更具体地说，同一受害者（不是同一事件）在网络勒索领域的传播重申了我们在之前的工作中讨论过的另一个理论，即网络勒索的“机会主义本质”。网络勒索是一种大规模游戏，确保经济收益的一种方法是“在不同方面进行游戏”，以确保至少某种形式的付款。此外，从较高的层面来看，它显示了这个生态系统已经变得多么混乱。我们的所有三个假设都进一步揭示了网络犯罪生态系统的不可预测性。

因此，再次受害并不会改变网络勒索的运作方式，但它确实向我们展示了不同形式的再次受害的可能性，因此不幸的是增加了遭受网络勒索攻击的受害者组织的痛苦。最后，此类分析有助于我们了解网络犯罪生态系统的动态，在本例中是网络勒索/勒索软件威胁格局及其威胁参与者。

与首次网络攻击一样，对于受害者组织来说，解决决定受害者结果的受害者变量非常重要。简而言之，您的网络实践、您的数字足迹、您组织的数据对您的价值、威胁行为者访问您的环境的时间、您可能为增加数据泄露的“噪音”而采取的安全控制措施；所有变量都会影响您的组织对网络空间中机会主义威胁行为者的吸引力。

Binarly 的新发现显示，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。

虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。

Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。

Lighttpd 的静默修复涉及越界读取漏洞，该漏洞可用于泄露敏感数据，例如进程内存地址，从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。

该固件安全公司表示：“缺乏有关安全修复的及时和重要信息，阻碍了固件和软件供应链上这些修复的正确处理。”

缺陷描述如下——

Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题，因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态，不再有资格进行安全更新，从而实际上将其变成了永远的错误。

该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。

Binarly 补充道：“这是某些产品中永远无法修复的另一个漏洞，并将在很长一段时间内给行业带来高影响风险。”

Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。

该漏洞的编号为CVE-2024-24576，CVSS 评分为 10.0，表明严重程度最高。也就是说，它仅影响在 Windows 上使用不受信任的参数调用批处理文件的场景。

Rust 安全响应工作组在 2024 年 4 月 9 日发布的公告中表示： “在 Windows 上使用 Command API 调用批处理文件（带有 bat 和 cmd 扩展名）时，Rust 标准库没有正确转义参数。”

“能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。”

该缺陷影响 1.77.2 之前的所有 Rust 版本。安全研究员RyotaK被认为发现了该错误并向 CERT 协调中心 ( CERT/CC ) 报告。

RyotaK 表示，该漏洞（代号为 BatBadBut）会影响多种编程语言，并且当“编程语言包装 [Windows 中] 的 CreateProcess 函数并添加命令参数的转义机制”时，就会出现该漏洞。

但鉴于并非所有编程语言都解决了该问题，建议开发人员在 Windows 上执行命令时要小心谨慎。

RyotaK在给用户的建议中表示： “为了防止批处理文件意外执行，您应该考虑将批处理文件移动到不包含在 PATH 环境变量中的目录中。”

“在这种情况下，除非指定完整路径，否则批处理文件不会被执行，因此可以防止批处理文件的意外执行。”

最新节点购买地址：https://tz.v2ray.club/
MubaiCloud跑路了，推荐上面的最新节点购买。

非常离谱还告诉你们

红帽公司周五发布了“紧急安全警报”，警告称流行的数据压缩库XZ Utils（以前称为 LZMA Utils）的两个版本已被恶意代码植入后门，旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094，CVSS 评分为 10.0，表明严重程度最高。它影响 XZ Utils 版本 5.6.0（2 月 24 日发布）和 5.6.1（3 月 9 日发布）。

IBM 子公司在一份公告中表示： “通过一系列复杂的混淆，liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库，任何与该库链接的软件都可以使用该库，拦截并修改与该库的数据交互。”

具体来说，代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH（安全 Shell）的 sshd 守护进程，并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问：正确的情况。”

“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD)，并允许特定的远程攻击者（拥有特定的私钥）发送任意代码JFrog说：“通过 SSH 发送有效负载，该负载将在身份验证步骤之前执行，从而有效地劫持整个受害计算机。 ”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说，经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。

“鉴于活动持续了数周，提交者要么直接参与其中，要么他们的系统受到了一些相当严重的损害，”弗罗因德说。 “不幸的是，考虑到他们在各种列表上就‘修复’进行了沟通，后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库，“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明，这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中，并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版，和乌班图。

出于谨慎考虑，建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下：

Arch Linux（安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711，以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日（含）期间创建的容器映像）
Kali Linux（3 月 26 日至 29 日期间）
openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 28 日期间）
Debian 测试、不稳定和实验版本（从 5.5.1alpha-0.1 到 5.6.1-1）

有关影响 util-linux 软件包的“wall”命令的漏洞的详细信息已经出现，不良行为者可能会利用该漏洞泄露用户密码或更改某些 Linux 发行版上的剪贴板。

该漏洞编号为 CVE-2024-28085，安全研究员 Skyler Ferrante将其代号为WallEscape 。它被描述为转义序列不正确中和的情况。

“util-linux wall 命令不会从命令行参数中过滤转义序列，”费兰特说。 “如果 mesg 设置为“y”并且 wall 设置为 setgid，则允许非特权用户在其他用户的终端上放置任意文本。”

该漏洞是作为 2013 年 8 月提交的一部分引入的。

“wall”命令用于向当前登录服务器的所有用户的终端写入消息，实质上允许具有提升权限的用户向所有本地用户广播关键信息（例如，系统关闭）。

Linux 命令的手册页上写道：“wall 在所有当前登录用户的终端上显示消息、文件内容或标准输入。” “只有超级用户才能在选择拒绝消息或正在使用自动拒绝消息的程序的用户的终端上进行写入。”

CVE-2024-28085 本质上是利用通过命令行参数提供的未正确过滤的转义序列来诱骗用户在其他用户的终端上创建虚假的sudo（又名超级用户 do）提示符并诱骗他们输入密码。

然而，要实现此功能，mesg 实用程序（控制显示其他用户消息的能力）必须设置为“y”（即启用），并且 wall 命令必须具有 setgid 权限。

CVE-2024-28085 会影响 Ubuntu 22.04 和 Debian Bookworm，因为满足这两个条件。另一方面，CentOS 不易受到攻击，因为 wall 命令没有 setgid。

“在 Ubuntu 22.04 上，我们有足够的控制权来默认泄露用户的密码，”费兰特说。 “对用户攻击的唯一迹象是，当用户正确输入密码时，会出现错误的密码提示，并且密码位于命令历史记录中。”

同样，在允许发送墙消息的系统上，攻击者可能会通过 Windows 终端等选定终端上的转义序列来更改用户的剪贴板。它不适用于 GNOME 终端。

建议用户更新到 util-linux 版本 2.40 以缓解该缺陷。

Microsoft Edge Web 浏览器中现已修补的安全漏洞可能会被滥用，在用户系统上安装任意扩展并执行恶意操作。

Guardio Labs 安全研究员 Oleg Zaytsev在与 The Hacker 分享的一份新报告中表示：“这个缺陷可能允许攻击者利用最初用于营销目的的私有 API，在用户不知情的情况下秘密安装具有广泛权限的其他浏览器扩展。”消息。

该问题被追踪为CVE-2024-21388（CVSS 评分：6.5），并在 2023 年 11 月负责任地披露后，由 Microsoft 在 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决。Windows 制造商将 Zaytsev 和 Jun Kokatsu 归功于报告问题。

微软在针对该缺陷的公告中表示，“成功利用此漏洞的攻击者可以获得安装扩展程序所需的权限”，并补充说它“可能导致浏览器沙箱逃逸”。

这家科技巨头将其描述为一个权限升级缺陷，还强调，成功利用该漏洞需要攻击者“在利用该漏洞之前采取额外的行动来准备目标环境”。

根据 Guardio 的调查结果，CVE-2024-21388 允许能够在 bing.com 或 microsoft.com 页面上运行 JavaScript 的不良行为者从 Edge Add-ons 商店安装任何扩展，无需用户同意或交互。

这是因为浏览器具有对某些私有 API 的特权访问权限，使得安装来自供应商自己的扩展市场的附加组件成为可能。

基于 Chromium 的 Edge 浏览器中的一个这样的 API 是 edgeMarketingPagePrivate，它可以从属于 Microsoft 的一组列入白名单的网站访问，包括 bing.com、microsoft.com、microsoftedgewelcome.microsoft.com 和 microsoftedgetips.microsoft.com 等。

该 API 还包含一个名为 installTheme() 的方法，顾名思义，该方法旨在通过传递唯一主题标识符（“themeId”）及其文件作为 input来从 Edge Add-ons 存储安装主题。

Guardio 发现的错误本质上是验证不足的情况，从而使攻击者能够从店面提供任何扩展标识符（而不是 themeId）并秘密安装它。

“作为额外的好处，由于此扩展安装并未完全按照最初设计的方式完成，因此不需要用户的任何交互或同意，”扎伊采夫解释道。

在利用 CVE-2024-21388 的假设攻击场景中，威胁参与者可以向附加组件存储发布看似无害的扩展，并使用它向 bing.com 或任何网站注入一段恶意 JavaScript 代码允许访问 API – 并通过使用扩展标识符调用 API 来安装他们选择的任意扩展。

换句话说，在 Edge 浏览器上执行特制扩展程序并访问 bing.com 将在未经受害者许可的情况下自动安装目标扩展程序。

Guardio 说，虽然没有证据表明该漏洞在野外被利用，但它强调了平衡用户便利性和安全性的必要性，以及浏览器自定义如何无意中破坏安全机制并引入几种新的攻击媒介。

扎伊采夫说：“攻击者相对容易诱骗用户安装看似无害的扩展程序，而没有意识到这是更复杂攻击的第一步。” “该漏洞可被利用来促进安装额外的扩展，从而可能获得金钱收益。”

网络安全研究人员分享了 Amazon Web Services (AWS) Managed Workflows for Apache Airflow ( MWAA )中现已修补的安全漏洞的详细信息，恶意行为者可能会利用该漏洞来劫持受害者的​​会话并在底层实例上实现远程代码执行。
aws官方说明：https://docs.aws.amazon.com/mwaa/latest/userguide/what-is-mwaa.html
该漏洞现已由 AWS 解决，Tenable 的代号为FlowFixation。

高级安全研究员 Liv Matan在技术分析中表示：“在接管受害者的帐户后，攻击者可能执行读取连接字符串、添加配置和触发有向无环图 (DAGS) 等任务。”

“在某些情况下，此类行为可能会导致 MWAA 基础实例出现 RCE，并横向移动到其他服务。”

根据网络安全公司的说法，该漏洞的根本原因是 AWS MWAA Web 管理面板上的会话固定和 AWS 域配置错误相结合，导致跨站点脚本 ( XSS ) 攻击。

会话固定是一种网络攻击技术，当用户通过服务身份验证而不使任何现有会话标识符无效时，就会发生这种技术。这允许攻击者强制（也称为固定）用户已知的会话标识符，以便一旦用户进行身份验证，攻击者就可以访问经过身份验证的会话。

通过利用这一缺陷，威胁行为者可能会迫使受害者使用和验证攻击者的已知会话，并最终接管受害者的 Web 管理面板。

Matan 表示：“FlowFixation 凸显了云提供商域架构和管理现状的一个更广泛的问题，因为它与公共后缀列表 ( PSL ) 和共享父域有关：同站点攻击”，并补充说错误配置也会影响微软Azure 和谷歌云。

Tenable 还指出，共享架构（多个客户拥有相同的父域）可能成为攻击者利用同站点攻击、跨源问题和cookie 等漏洞的金矿，从而有效地导致未经授权的访问、数据和数据泄露。泄漏和代码执行。

AWS 和 Azure 将配置错误的域添加到 PSL 中，从而导致 Web 浏览器将添加的域识别为公共后缀，从而解决了该缺陷。另一方面，谷歌云将这个问题描述为“不够严重”，不值得修复。

“在同站点攻击的情况下，上述域架构的安全影响是显着的，云环境中此类攻击的风险更高，”Matan 解释道。

“其中，cookie-tossing 攻击和同站点属性 cookie 保护绕过尤其令人担忧，因为两者都可以绕过 CSRF 保护。cookie-tossing 攻击还可以滥用会话固定问题。”

网络安全研究人员揭示了一种名为AndroxGh0st的工具，该工具用于针对 Laravel 应用程序并窃取敏感数据。

Juniper 威胁实验室研究员 Kashinath T Pattan表示：“它的工作原理是扫描 .env 文件并从中提取重要信息，从而显示与 AWS 和 Twilio 相关的登录详细信息。”

“它被归类为 SMTP 破解者，它使用各种策略来利用 SMTP，例如凭证利用、Web shell 部署和漏洞扫描。”

至少自 2022 年起，AndroxGh0st 就已在野外被检测到，威胁者利用它来访问 Laravel 环境文件并窃取各种基于云的应用程序（例如 Amazon Web Services (AWS)、SendGrid 和 Twilio）的凭证。

已知涉及 Python 恶意软件的攻击链会利用 Apache HTTP Server、Laravel Framework 和 PHPUnit 中的已知安全漏洞来获取初始访问权限以及权限升级和持久性。

今年 1 月初，美国网络安全和情报机构警告攻击者部署 AndroxGh0st 恶意软件来创建僵尸网络，以“在目标网络中识别和利用受害者”。

Pattan 解释说：“Androxgh0st 首先通过 Apache 的一个漏洞进入，该漏洞被识别为 CVE-2021-41773，使其能够访问易受攻击的系统。”

“此后，它利用其他漏洞，特别是 CVE-2017-9841 和 CVE-2018-15133，来执行代码并建立持久控制，从本质上接管目标系统。”

Androxgh0st 旨在从各种来源窃取敏感数据，包括 .env 文件、数据库和云凭据。这允许威胁行为者向受感染的系统提供额外的有效负载。

Juniper Threat Labs 表示，它观察到与利用 CVE-2017-9841 相关的活动有所增加，因此用户必须迅速将其实例更新到最新版本。

它补充说，大多数针对其蜜罐基础设施的攻击尝试来自美国、英国、中国、荷兰、德国、保加利亚、科威特、俄罗斯、爱沙尼亚和印度。

这一进展发生之际，AhnLab 安全情报中心 (ASEC)透露，位于韩国的易受攻击的 WebLogic 服务器正成为攻击者的目标，并将其用作下载服务器来分发名为z0Miner的加密货币挖矿程序和快速反向代理 (FRP) 等其他工具。

它还发现了一个恶意活动，该活动渗透到 AWS 实例，在几分钟内创建了 6,000 多个 EC2 实例，并部署了与称为Meson Network的去中心化内容交付网络 (CDN) 相关的二进制文件。

这家总部位于新加坡的公司旨在创建“世界上最大的带宽市场”，其工作方式是允许用户将闲置带宽和存储资源与 Meson 交换代币（即奖励）。

Sysdig在本月发布的一份技术报告中表示：“这意味着矿工将获得 Meson 代币作为向 Meson Network 平台提供服务器的奖励，奖励将根据带入网络的带宽和存储量来计算。”

“这不再是挖掘加密货币的全部了。像 Meson 网络这样的服务希望利用硬盘空间和网络带宽而不是 CPU。虽然 Meson 可能是合法的服务，但这表明攻击者总是在寻找新的方法来制造加密货币。”钱。”

随着云环境日益成为威胁行为者有利可图的目标，保持软件最新并监控可疑活动至关重要。

威胁情报公司 Permiso 还发布了一款名为CloudGrappler的工具，该工具构建在cloudgrep的基础上，可以扫描 AWS 和 Azure，以标记与知名威胁参与者相关的恶意事件。