HASH GAME - Online Skill Game GET 300

　　PupkinStealer恶意软件首次发现于2025年4月，是一款基于架开发的信息窃取类恶意程序，具有特定的攻击目标和危害特性。该恶意软件利用即时通讯应用Bot API（即时通讯平台的机器人接口）建立通信信道，规避流量检测。植入系统后，PupkinStealer首先提取Chromium内核浏览器的Local State文件获取解密密钥，通过Windows DPAPI（数据保护接口）破解存储的账户密码，随后扫描桌面文件，窃取相关敏感数据，最终将数据压缩为ZIP文件，嵌入受害IP、系统SID等元数据，经由即时通讯应用外传至攻击者控制的机器人账号。

　　这次中断持续了约20小时，期间客户无法访问SentinelOne管理控制台及相关服务。但终端保护功能在整个事件期间保持正常运行，该公司确认这不是安全相关事件，且未丢失任何客户数据。根据官方分析，中断发生在关键网络路由和DNS解析器规则被自动删除时，这是由即将弃用的控制系统中的软件缺陷导致的。事件发生在SentinelOne向新的基础设施即代码(IaC)架构过渡过程中，创建新账户触发了有缺陷的系统。控制系统配置比较功能中的软件缺陷错误识别了差异，并应用了它认为适当的配置状态，覆盖了先前建立的网络设置。弃用系统恢复了空路由表，导致所有区域的网络连接广泛丢失。

　　在Windows系统上，攻击者使用Python函数安装Java开发工具包(JDK)，以执行从命令控制(C2)服务器获取的Java归档(JAR)文件。该JAR文件application-ref.jar作为加载器，启动一系列恶意组件链。JAR中嵌入的多个信息窃取程序，能够从Chrome扩展窃取凭证；通过HTTP头部检查收集Discord令牌；使用PowerShell和WebSockets进行硬件和系统侦察。攻击还部署了一个本地DLL文件app_bound_decryptor.dll，执行XOR编码/解码，操作Windows命名管道，并包含沙箱规避检查。

　　其实两个缺陷是代表图形组件中的授权错误缺陷，允许在特定命令序列期间通过GPU微码中的未授权命令执行导致内存损坏。攻击者可以利用这些缺陷执行恶意命令，破坏系统内存，潜在导致权限提升和系统被攻破。还有一个缺陷是图形组件中的释放后使用(use-after-free)漏洞，在通过Adreno GPU驱动程序进行图形渲染期间，特别是在Chrome浏览器内部，会导致内存损坏。该缺陷可被利用绕过浏览器隔离机制并在目标系统上执行任意代码。

　　这些漏洞于2025年5月23日被发现，影响运行在PHP 8.1或更高版本上的vBulletin 5.0.0至5.7.5和6.0.0至6.0.3版本。漏洞链存在于通过精心构造的URL调用受保护方法的能力，以及vBulletin模板引擎中模板条件的滥用。攻击者可以使用易受攻击的 replaceAdTemplate 方法注入精心构造的模板代码，使用PHP变量函数调用等技巧绕过不安全函数过滤器。5月26日，研究人员报告在蜜罐日志中观察到针对易受攻击的 ajax/api/ad/replaceAdTemplate 端点的攻击尝试。其中一名攻击者来自波兰，试图部署PHP后门以执行系统命令。