首頁 > 安全研究 > 安全通報 > 安全簡訊

Brave開源Cookiecrumbler智能過濾Cookie通知

發布時間 2025-04-28

1. Brave開源Cookiecrumbler智能過濾Cookie通知


4月27日,Brave開源了一款名為“Cookiecrumbler”的新工具,用于檢測并優化處理cookie同意通知。自2022年起,Brave瀏覽器便默認在所有網站上阻止cookie同意橫幅,但發現此舉可能導致網站出現功能問題,影響可用性。Brave解釋稱,過于寬泛或不正確的阻止策略可能破壞網站基本功能,如結賬流程和頁面布局。在實際應用中,不加區分地阻止Cookie同意通知已引發滾動中斷、頁面空白等問題。Cookiecrumbler利用大型語言模型(LLM)技術,查找使用同意管理平臺(CMP)的網站,并分析其cookie同意通知。該工具通過社區驅動的評論機制,阻止那些不會破壞網站功能的通知,從而在保護用戶隱私的同時,減少對網站正常運行的干擾。其工作流程包括:使用區域代理抓取頂級網站,通過Puppeteer加載頁面以識別潛在cookie通知,將這些通知傳遞給LLM進行分類并提供修復建議,最后將檢測結果發布至GitHub項目,供社區分類和改進。這一流程確保了大規模、區域感知的cookie橫幅檢測和阻止,同時降低了誤報率和站點問題。在隱私保護方面,Cookiecrumbler完全在Brave后端運行,不涉及任何用戶數據。


https://www.bleepingcomputer.com/news/security/braves-cookiecrumbler-tool-taps-community-to-help-block-cookie-notices/


2. WooCommerce用戶遭仿冒安全警報釣魚攻擊


4月26日,近日,一場大規模網絡釣魚活動針對WooCommerce用戶展開,通過發送虛假安全警報郵件,誘導其下載所謂“關鍵補丁”以修復“未經身份驗證的管理訪問”漏洞。郵件冒充WooCommerce官方,使用“help@security-woocommerce[.]com”地址,聲稱網站面臨黑客攻擊風險,并附有緊急下載補丁的按鈕及安裝說明,以制造緊迫感。用戶點擊按鈕后,將被引導至一個仿冒的“woocomm?rce[.]com”網站(該域名利用同形異義詞攻擊技術,將字母“e”替換為立陶宛字符“?”),下載并安裝名為“authbypass-update-31297-id.zip”的惡意插件。該插件安裝后,會創建一個每分鐘運行一次的隨機cronjob,試圖添加隱藏管理員賬戶,并向特定URL注冊受感染站點,獲取第二階段混淆有效負載,進而在網站目錄下安裝多個PHP Web Shell(如PAS-Form、p0wny和WSO),使攻擊者能夠完全控制網站,進行廣告注入、用戶重定向、DDoS攻擊、支付卡信息竊取或勒索軟件加密等惡意活動。為逃避檢測,該插件還會從可見插件列表中刪除自身,并隱藏惡意賬戶。Patchstack研究人員指出,此次活動與2023年末針對WordPress用戶的類似攻擊存在關聯,均使用了一組不尋常的Web Shell、相同的有效載荷隱藏方法及相似的郵件內容。


https://www.bleepingcomputer.com/news/security/woocommerce-admins-targeted-by-fake-security-patches-that-hijack-sites/


3. 西新墨西哥大學遭麒麟黑客組織勒索攻擊


4月27日,近兩周來,西新墨西哥大學(WNMU)網站及數字系統持續遭受網絡攻擊,據新墨西哥州探照燈公司獲取的文件顯示,攻擊者疑為臭名昭著的俄語黑客組織“麒麟”(Qilin),該組織因運營“勒索軟件即服務”而聞名,手段惡劣且不擇手段。此次攻擊導致學校網站無法向公眾開放,教職員工和學生雖能通過第三方平臺如Canvas進行部分教學活動,但連接互聯網的課堂工具如打印機、投影儀等無法使用。一名員工電腦屏幕顯示來自“麒麟”的勒索信息,聲稱已獲取包括員工個人數據、簡歷、駕照、社保號碼及網絡地圖等敏感信息,并要求支付贖金,否則將泄露數據。4月25日,WNMU發薪日當天,計時員工和學生員工表示未收到直接存款,校方稱問題源于文件上傳銀行的意外復雜情況,部分員工可能面臨進一步延遲,并承諾退還因延遲產生的透支費用。高等教育部門發言人表示,機構正與州信息技術部合作評估問題,WNMU已開展正式調查以確定事件范圍并采取補救措施。學校已尋求私人網絡安全公司幫助,并為學生提供Canvas訪問指導,同時保持校園開放,但互聯網、電子郵件等連接仍無法使用。


https://databreaches.net/2025/04/27/russian-linked-hackers-appear-to-have-launched-a-crippling-cyberattack-on-western-new-mexico-university/


4. 微軟揭露Storm-1977針對教育云租戶的密碼噴灑攻擊


4月27日,微軟近日披露,其追蹤的威脅行為者Storm-1977在過去一年中針對教育領域云租戶發起了密碼噴灑攻擊。微軟威脅情報團隊分析指出,此次攻擊利用了名為AzureChecker.exe的命令行界面(CLI)工具,該工具被多個威脅行為者廣泛使用。攻擊過程中,該二進制文件會連接至外部服務器“sac-auth.nodefunction[.]vip”,以獲取AES加密的密碼噴灑目標列表。此外,該工具還接受包含用戶名和密碼組合的“accounts.txt”文本文件作為輸入,威脅行為者利用這兩個文件中的信息,對目標租戶進行憑證驗證。在雷德蒙德觀察到的一起成功入侵案例中,威脅行為者利用來賓帳戶在受感染訂閱中創建資源組,并進一步在組內創建200多個容器,意圖進行非法加密貨幣挖掘。微軟強調,容器化資產如Kubernetes集群、容器注冊表和鏡像等易受多種攻擊,包括利用泄露的云憑證進行集群接管、利用存在漏洞和錯誤配置的容器鏡像執行惡意操作、通過錯誤配置的管理接口訪問Kubernetes API并部署惡意容器或劫持整個集群,以及在節點上運行易受攻擊的代碼或軟件。


https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html


5. Commvault Innovation Release嚴重漏洞需緊急修復


4月25日,企業需緊急應對Commvault Innovation Release嚴重漏洞CVE-2025-34028。該漏洞存在于Commvault Command Center企業級備份與數據管理解決方案內,CVSS評分高達9.0,攻擊者無需登錄即可遠程執行任意代碼,進而獲取系統完全控制權。漏洞成因是“deployWebpackage.do”Web接口組件未對外部服務器進行有效驗證,使其易遭受預認證服務器端請求偽造(SSRF)攻擊。攻擊者可利用此漏洞發送特制ZIP壓縮包(內含惡意“.JSP”文件),通過精心設計請求參數,將惡意文件轉移至可公開訪問位置并觸發執行,達成遠程代碼執行目的。該漏洞由watchTowr Labs研究員于2025年4月7日發現并上報,Commvault在4月17日安全公告中承認其嚴重性,指出該漏洞可能導致Command Center環境全面失陷,進而泄露敏感數據并中斷關鍵業務。此漏洞僅影響Linux和Windows平臺“Innovation Release”軟件版本11.38.0至11.38.19,企業將系統升級至11.38.20或11.38.25版本即可完成修復。


https://hackread.com/critical-commvault-flaw-allows-full-system-takeover/


6. 朝鮮黑客通過空殼公司傳播惡意軟件


4月25日,與朝鮮關聯的威脅行為組織“Contagious Interview”被曝通過虛假招聘流程設立空殼公司分發惡意軟件。網絡安全公司Silent Push深度分析發現,該組織在最新活動中利用加密貨幣咨詢行業的BlockNovas LLC、Angeloper Agency和SoftGlide LLC三家空殼公司,以“面試誘餌”傳播BeaverTail、InvisibleFerret和OtterCookie三種已知惡意軟件家族。此次攻擊是朝鮮策劃的多起招聘主題社會工程攻擊之一,攻擊者以編程任務或解決視頻面試技術問題為借口,誘導目標下載跨平臺惡意軟件。此次攻擊呈現升級態勢:空殼公司網絡方面,BlockNovas LLC雖宣稱有14名員工,但多數檔案偽造,且公司注冊時間與宣稱的運營年限不符;社交媒體偽裝上,攻擊者在多個平臺創建虛假賬戶擴大傳播;攻擊鏈則采用多階段設計,BeaverTail作為JavaScript竊取器/加載器,通過特定域名建立C2通信并投遞下一階段載荷,InvisibleFerret為Python后門,支持多平臺持久化并可竊取敏感數據,OtterCookie則部分通過同一JS載荷分發。此外,BlockNovas子域名托管“狀態儀表盤”監控相關域名,且子域名運行開源密碼破解系統,部分域名還托管加密貨幣錢包工具。


https://thehackernews.com/2025/04/north-korean-hackers-spread-malware-via.html

上一篇 下一篇