1、黑客利用Webview2部署CoinLurker木马并绕过安全检测 https://thehackernews.com/2024/12/hackers-exploit-webview2-to-deploy.html 安全研究员发现了一种Go语言写的新型窃密恶意软件CoinLurker，该恶意软件利用假更新警报传播，利用Microsoft Edge Webview2来触发执行恶意载荷。这种技术依赖于预安装组件和用户交互，难以在沙盒环境中进行分析和检测，从而有效躲避自动化安全措施。此外，CoinLurker通过注入Web3脚本，从Bitbucket存储库上下载伪装的工具，如“UpdateMe.exe”，并以合法的EV证书签名，使得安全检测更加复杂。CoinLur 2、西门子UMC组件存在高危的堆溢出漏洞 https://www.govinfosecurity.com/siemens-warns-critical-vulnerability-in-umc-a-27121 西门子发布安全公告，警告其用户管理组件(UMC)中存在一个严重的堆内存溢出漏洞(CVE-2024-49775)，可能导致攻击者执行任意代码。受影响的产品包括Opcenter Execution Foundation、SIMATIC PCS neo、SINEC NMS等，这些系统广泛应用于制造业和能源领域，用于分布式控制和网络监控。漏洞的根本原因在于内存处理不当，可能被攻击者用来破坏运营、窃取数据或操控关键系统。西门子已为部分产 3、Builder.ai内部数据库因配置错误暴露1.29TB敏感数据 https://www.websiteplanet.com/news/builderai-breach-report/ 一家总部位于伦敦的AI开发公司Builder.ai因数据库配置错误，暴露了1.29TB的未加密数据，其中包括300多万条记录。敏感信息涉及客户报价、保密协议、发票、税务文件、电子邮件截图和云存储密钥等，严重威胁客户隐私及内部运营安全。此数据泄露可能导致钓鱼攻击、发票欺诈、未经授权的云访问以及公司声誉受损。尽管安全研究员及时告知，但该公司仍耗时近一个月才完成修复，同时也暴露了该公司事件响应效率不足。安全研究员建议该公司应加强访问控制、数据加密和应急响应计划，并定期进行安全审计 4、BadBox恶意软件僵尸网络感染了全球超过近20万台安卓设备 https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/ 尽管最近在德国尝试通过沉洞操作来破坏其运作，BadBox安卓恶意软件僵尸网络的感染设备数量已增长至全球近20万台。 5、npm包供应链攻击来袭，被植入恶意挖矿病毒 https://thehackernews.com/2024/12/rspack-npm-packages-compromised-with.html Rspack的开发人员透露，他们的两个npm包@rspack/core和@rspack/cli在一场软件供应链攻击中，被攻击者在官方包注册表中植入挖矿病毒。 6、黑客利用关键的Fortinet EMS漏洞部署远程访问工具 https://thehackernews.com/2024/12/hackers-exploiting-critical-fortinet.html 一个现已修补的影响Fortinet FortiClient EMS的关键安全漏洞正被恶意行为者利用，作为网络活动的一部分，安装了AnyDesk和ScreenConnect等远程桌面软件。 7、Google 日历沦为钓鱼新工具，可绕过安全防护机制 https://hackread.com/google-calendar-phishing-scam-users-malicious-invites/ 根据 Check Point 与 Hackread.com 共同发布的最新研究报告，Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。 8、LockBit 开发人员被控在全球勒索软件中造成数十亿美元损失 https://www.anquanke.com/post/id/302926 一名拥有俄罗斯和以色列双重国籍的人在美国受到指控，据称他是现已解散的 LockBit 勒索软件即服务（RaaS）业务的开发者，该业务自 2019 年前后开始运营，至少持续到 2024 年 2 月。美国司法部（DoJ）在一份声明中说，51 岁的罗斯蒂斯拉夫-帕内夫（Rostislav Panev）今年 8 月早些时候在以色列被捕，目前正在等待引渡。根据向 Panev 拥有的加密货币钱包的资金转账，据称他在 2022 年 6 月至 2024 年 2 月期间赚取了约 23 万美元。美国联邦检察官菲利普-R-塞林格（Ph 9、美国商务部拟设立人工智能安全审查办公室 https://www.secrss.com/articles/73814 12月19日，美国参议院提出了《维护美国在人工智能领域的主导地位法案》（Preserving American Dominance in Al Act），提出将在商务部内设立人工智能安全审查办公室（ Artificial Intelligence Safety Review Office），该办公室将负责与前沿人工智能公司、大型数据中心和基础设施即服务提供商（IaaS）合作，旨在确保美国在人工智能行业的领导地位。 10、Craft CMS 漏洞可让攻击者执行远程代码 https://cybersecuritynews.com/php-based-craft-cms-vulnerability/ 流行的基于 PHP 的 Craft CMS 中发现了一个严重漏洞，允许未经身份验证的攻击者在受影响的系统上执行远程代码。该安全漏洞编号为 CVE-2024-56145，影响 PHP 的默认配置，并可能影响全球超过 150,000 个网站。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用Monetag广告传播Lumma恶意软件 https://www.helpnetsecurity.com/2024/12/17/deceptionads-malvertising-fake-captchas-lumma-infostealer/ 安全研究员发现Lumma恶意软件在一场大规模恶意广告活动中传播。用户在搜索流媒体、动漫或学术文档时会进入SEO优化站点，这些站点被嵌入恶意的广告脚本，将用户重定向至假冒的CAPTCHA页面。受害者按照页面指示无意中执行PowerShell脚本，从而下载并安装Lumma恶意软件。攻击者通过复杂的脚本混淆和广告跳转链，隐藏恶意活动并规避广告网络的审查，利用公共广告网络、托管服务和广告跟踪工具的管 2、欧洲多个公司遭遇伪DocuSign钓鱼邮件攻击 https://www.helpnetsecurity.com/2024/12/18/european-companies-docusign-themed-phishing-owa-microsoft-azure/ 欧洲多个公司近期遭遇了针对Microsoft Azure云基础设施的有效钓鱼攻击，目标主要是汽车、化工和工业制造领域的企业。攻击者伪装成DocuSign请求，通过伪造的DocuSign PDF附件或嵌入式恶意链接诱导用户点击，从而引导至恶意的HubSpot表单，试图窃取Microsoft账户登录凭证。研究发现，该钓鱼攻击使用了多个域名和虚假Microsoft Outlook We 3、SonicWall设备存在关键漏洞影响超过25000台设备 https://www.govinfosecurity.com/critical-flaws-expose-25000-sonicwall-devices-to-hackers-a-27101 SonicWall设备因关键安全漏洞暴露在网络攻击风险中，尤其是超过20000台设备运行的是已过期且未再收到供应商支持的固件。这些漏洞可能导致未经授权的访问和数据泄露。安全研究员发现，全球有超过430000台SonicWall设备中，约39%使用的是系列7的设备，但未能及时应用最新的安全补丁，成为黑客攻击的目标。研究表明，尽管一些漏洞的补丁已经可用，但仍有大量组织继续使用过时的设备，暴露于高风险之中。 4、LockBit勒索软件组织将以4.0版本卷土重来 https://thecyberexpress.com/lockbit-ransomware-comeback-lockbit-4-0/ 此前，英国国家犯罪局网络部门、联邦调查局(FBI) 和其他执法部门合作打击LockBit勒索软件组织。近期安全研究员发现，LockBit勒索软件组织计划于2025年2月3日发布其最新版本LockBit 4.0，此次发布标志着该组织在近一年停滞后重新进入勒索软件即服务(RaaS)市场。尽管LockBit正在计划重返网络犯罪领域，但其能否成功尚不确定。此前，该组织因执法部门的强力打击遭受重大损失，包括核心成员被逮捕、解密密钥泄露以及声誉受损。与此同时，Rans 5、攻击者利用Mirai僵尸网络攻击SSR设备 https://securityaffairs.com/172157/malware/juniper-networks-mirai-botnet.html 安全研究员发现攻击者正在利用Mirai僵尸网络攻击Session Smart Router(SSR)设备。2024年12月11日，多名SSR设备使用者称其Session Smart Network(SSN)平台出现异常行为，设备被Mirai恶意软件感染后用于分布式拒绝服务(DDoS)攻击。调查发现，受影响设备均使用默认密码， 攻击者利用Mirai僵尸网络通过SSH攻击利用默认凭据远程执行命令，实施各种恶意活动，包括DDoS攻击。这些设备显 6、FortiWLM漏洞导致管理员权限被盗用与敏感信息泄露 https://securityaffairs.com/172144/hacking/fortinet-warns-of-a-patched-fortiwlm-vulnerability.html Wireless LAN Manager(FortiWLM)存在一项关键漏洞(CVE-2023-34990，CVSS评分9.6)，攻击者可通过路径遍历访问敏感日志文件，从而窃取会话ID并劫持用户会话，获取管理员权限。这一漏洞影响FortiWLM 8.5.0至8.5.4和8.6.0至8.6.5版本，其中8.5.5和8.6.6版本已修复。漏洞源于请求参数缺乏输入验证，允许攻击者利用特定路径访问系统日志 7、威胁行为者通过伪造npm库和VSCode扩展传播恶意软件 https://thehackernews.com/2024/12/thousands-download-malicious-npm.html 威胁行为者通过在npm注册表和Visual Studio Code(VSCode)扩展市场上传播恶意软件引发关注。这些攻击采用"typosquatting"技术伪造受欢迎的库和工具(如typescript-eslint和@types/node)，并通过下载木马和多阶段有效载荷感染用户设备。伪造库(如@typescript_eslinter/eslint和types-node)被设计为下载恶意文件或从远程服务器检索恶意脚本。研究还发现多个恶意VSCod 8、谷歌Chrome桌面版存在多个安全漏洞 https://cyble.com/blog/multiple-vulnerabilities-in-google-chrome-for-desktop-update-to-stay-secure/ 印度计算机应急响应小组(CERT-In)于2024年12月16日发布公告，指出谷歌Chrome桌面版存在多个高危漏洞，包括V8引擎中的类型混淆漏洞(CVE-2024-12381、CVE-2024-12053)和翻译组件中的释放后使用漏洞(CVE-2024-12382)。这些漏洞可能被远程攻击者利用，通过恶意网页执行任意代码、造成服务拒绝(DoS)或泄露敏感信息。攻击者可诱导用户访问恶意网站，以触 9、2024年黑客从各大平台窃取了22亿美元的加密货币 https://www.helpnetsecurity.com/2024/12/19/cryptocurrency-hackers-stole-2-2-billion-from-platforms-in-2024/ 2024年，黑客从各大平台窃取了总计22亿美元的加密货币，其中北韩关联的黑客在47起攻击事件中盗走了约13.4亿美元，占比高达303起攻击中的47%。与过去几年不同，2024年第二季度和第三季度，中心化服务成为最主要的目标，私钥安全问题成为中央化交易平台亟待解决的风险。北韩黑客频繁且逐渐向高额金额(超1亿美元)和低额金额(如1万美元)渗透，显示出其不断优化的攻击能力。安全研究员提 10、新PaaS平台“FlowerStorm”攻击Microsoft 365用户 https://cybersecuritynews.com/paas-platform-microsoft-365/ 一种名为“FlowerStorm”的新网络钓鱼即服务 (PaaS) 平台已经出现，针对 Microsoft 365 用户。继 2024 年 11 月其前身 Rockstar2FA 意外中断后，该平台迅速获得关注。Rockstar2FA 是 DadSec 网络钓鱼工具包的更新版本，于 2024 年 11 月 11 日遭遇部分基础设施崩溃。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客对巴基斯坦发起了新型的网络钓鱼攻击 https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html 攻击者在此次针对巴基斯坦的一场网络钓鱼攻击中利用税务主题诱饵文档，通过微软MSC(管理控制台)文件嵌入恶意代码(如嵌入恶意的DLL文件)，以此来隐藏后门，接着通过加载远程HTML文件或使用计划任务来实现持久性控制。后门用于与远程服务器通信，执行命令并窃取数据。这种攻击方式利用使得检测和分析变得更加困难。尽管攻击尚未明确指向具体组织，但与曾利用相似手法的Patchwork威胁组织存在一定关联。整体来看，攻击展示了威胁行为者在网络攻击中利用复杂技术手 2、安全研究员发现了针对工控和物联网的新型恶意软件 https://www.helpnetsecurity.com/2024/12/17/ot-specific-malware-siemens-industrial-iot/ 安全研究员近日发现两种专门针对工业控制系统(ICS)和物联网(IoT)设备的恶意软件。其中 IOCONTROL恶意软件由"CyberAv3ngers"组织开发，针对多种IoT和OT设备，支持远程执行命令并自我删除，可能导致燃料系统关闭或用户支付信息泄露。而Chaya_003恶意软件用于专门针对运行西门子TIA Portal软件的工程工作站，能够伪装成系统进程，利用Discord作为命令与控制服务器，并对系统进行侦察和破坏 3、黑客滥用Linux eBPF技术传播恶意软件 https://hackread.com/hackers-exploit-linux-ebpf-malware-ongoing-campaign/ 安全研究员发现了一场针对东南亚企业和用户的Linux恶意软件活动，该活动利用了eBPF(扩展的Berkeley数据包过滤器)技术。eBPF原本设计用于增强Linux网络功能，但被攻击者滥用，用于隐藏网络活动、窃取数据并规避安全检测。黑客通过eBPF加载两个Rootkit，一个用于隐藏恶意行为，另一个投放远程访问木马(如Trojan.Siggen28.58279)，实现私有网络内的通信。值得注意的是，攻击者不再依赖私有的命令与控制(C2)服务器，而 4、黑客在Breach Forums上曝光Cisco的敏感数据 https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/ 近日，黑客组织IntelBroker在网络犯罪和数据泄露平台(Breach Forums)曝光了Cisco的敏感数据，共计2.9GB，涉及身份验证、网络安全和协作工具等多个方面的关键数据。这些数据来自一个总容量达4.5TB的未加密数据库，黑客利用Cisco开发资源配置错误，成功下载了大量敏感信息。这次泄露的数据包括Cisco的多个核心系统，如身份服务引擎(ISE)、SASE安全访问服务以及Webex协作平台等。这一事件再一次揭示了企业在数据安 5、APT组织开始大量抄袭红队先进的战术和工具 https://cybersecuritynews.com/hackers-leverage-red-team-tools-in-rdp-attacks/ 近日，安全研究人员调查后发现，臭名昭著的APT组织Earth Koshchei（也被称为APT29或Midnight Blizzard）与一项大规模非法远程桌面协议（RDP）的恶意活动相关。 6、CVSS漏洞评分系统曝出严重缺陷 https://www.secrss.com/articles/73607 在近日举行的Black Hat欧洲大会上，金融巨头摩根大通的网络安全专家发出警告：当前广泛使用的漏洞严重性评估系统——通用漏洞评分系统（CVSS）存在重大缺陷，可能导致安全团队对漏洞风险误判，从而延长漏洞的暴露时间，增加组织面临的风险。 7、 辉立证券有客户账号遭黑客入侵，购入200万港元濒临除牌美股 https://baijiahao.baidu.com/s?id=1818763088938829721 近日，辉立证券有客户账号在不知情下遭黑客入侵，动用户口内的现金及孖展额，大手购入面临除牌风险的美国科技股Orangekloud，涉资近200万港元。辉立回应指，已将有关事件报警，目前正在调查中。 8、100万 WordPress站点RCE 漏洞让攻击者获得了对后端的控制权 https://cybersecuritynews.com/wordpress-sites-vulnerable-to-critical-rce/ 一个严重的远程代码执行 （RCE） 漏洞 （CVE-2024-6386），影响超过 1,000,000 个 WordPress 多语言插件 （WPML） 的有效安装。此缺陷源于 Twig 模板引擎中的服务器端模板注入 （SSTI） 漏洞，允许攻击者在受影响的网站上执行任意代码。 9、角川支付了超2100万元勒索软件赎金 https://www.secrss.com/articles/73722 据内部邮件和加密货币交易记录显示，日本大型媒体集团角川很可能向俄罗斯相关勒索软件组织BlackSuit支付了约2174万元赎金。攻击者声称窃取了1.5TB内部数据，尽管支付了赎金，但部分被盗数据仍被泄露。 10、Fortinet 警告 FortiWLM 存在严重漏洞 https://thehackernews.com/2024/12/fortinet-warns-of-critical-fortiwlm.html Fortinet 已针对影响无线 LAN 管理器 (FortiWLM) 的一个现已修补的关键安全漏洞发布了公告，该漏洞可能导致敏感信息泄露。该漏洞的编号为 CVE-2023-34990，CVSS 评分为 9.6 分（满分 10.0 分）。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、网络犯罪分子利用伪造的Google日历邀请发起大规模网络钓鱼 https://www.theregister.com/2024/12/18/google_calendar_spoofed_in_phishing_campaign/ 网络犯罪分子利用伪造的Google日历邀请向全球约300家企业发起钓鱼攻击，已发送超过4000封伪造邮件。这些邮件通过修改发件人邮箱头，使其看似来自受害者熟悉的联系人，并附带伪装成Google日历邀请的.ics文件。一旦受害者点击邮件中的链接，便会跳转至伪装成支持页面或验证码页面的恶意网站，进一步引导其提交个人信息和支付数据。这些攻击主要针对企业和机构中的员工，意图窃取凭证或财务信息。安全研究员建议企业启用Google日历的 2、大众汽车集团信息娱乐系统存在多个安全漏洞 https://hackread.com/cl0p-ransomware-exploits-cleo-vulnerability-data-leaks/ 大众汽车集团旗下部分车型的信息娱乐系统被发现存在12个漏洞，将导致被攻击者利用于实时追踪车辆位置并获取敏感数据。安全研究员重点分析了Preh Car Connect GmbH公司生产的MIB3信息娱乐系统，这些系统自2021年起在多款大众集团车型中使用，包括最新款的斯柯达Superb III轿车。被发现的安全漏洞主要集中在蓝牙同步过程及网络服务中，例如处理联系人照片时出现的缓冲区溢出漏洞(CVE-2023-28905)，可能允许攻击者远程执 3、Apache Struts 2存在关键的安全漏洞 https://www.theregister.com/2024/12/17/critical_rce_apache_struts/ Apache Struts 2的最新漏洞CVE-2024-53677正在被利用，攻击者借助公开的PoC代码进行远程代码执行(RCE)攻击。这一漏洞影响了Struts版本2.0.0至2.3.37(已终止支持)、2.5.0至2.5.33以及6.0.0至6.3.0.2。该漏洞严重程度达到了CVSS 9.5分，意味着风险极高。攻击者可以通过操纵文件上传参数来实现路径遍历，从而在未授权的目录上传恶意文件，并最终实现远程代码执行。Apache也在其12月12日的公告中明确 4、零点击 HomeKit 漏洞被用来监视塞尔维亚记者 https://www.anquanke.com/post/id/302816 大赦国际的一份新报告显示，NSO 集团的 Pegasus 间谍软件被用于攻击塞尔维亚记者和活动人士的 iPhone。这些攻击是利用 HomeKit 功能中的零点击漏洞进行的，攻击者无需与用户进行任何交互即可入侵设备。 5、黑客从 4.5TB 暴露记录中泄露思科部分数据 https://www.anquanke.com/post/id/302804 2024 年 12 月 16 日星期一，黑客泄露了属于技术和网络安全巨头思科的 “部分数据”。泄露事件发生在网络犯罪和数据泄露平台 Breach Forums 上，臭名昭著的黑客 IntelBroker 和该论坛的所有者在论坛上发布了 2.9 GB 的数据供下载。 6、Meta因6年前的数据泄露事件被罚款2.64亿美元 https://www.freebuf.com/news/417970.html 据BleepingComputer消息，当地时间12月17日，爱尔兰数据保护委员会（DPC）以Facebook涉嫌泄露2900万用户个人数据，违反了《通用数据保护条例（GDPR）》相关规定为由，对其母公司 Meta 处以 2.51亿欧元（约2.64亿美元）罚款。 7、美国私募巨头收购以色列间谍软件公司Paragon https://therecord.media/blackberry-offloads-cylance-for-fraction-of-what-it-paid 据以色列新闻机构报道，一家美国私募股权公司已完成收购以色列间谍软件公司 Paragon 的交易。 8、Windows 内核漏洞在攻击中被利用以获取系统访问权限 https://cybersecuritynews.com/windows-kernal-vulnerability-actively-exploits-in-attacks/ 美国网络安全和基础设施安全局 （CISA） 已在其已知利用漏洞目录中添加了两个新漏洞，其中一个属于攻击中积极使用的 Windows 内核漏洞。 9、德克萨斯理工大学系统数据泄露影响了 140 万患者 https://www.bleepingcomputer.com/news/security/texas-tech-university-system-data-breach-impacts-14-million-patients/ 德克萨斯理工大学健康科学中心及其埃尔帕索健康科学中心遭受了一次网络攻击，破坏了计算机系统和应用程序，可能暴露了 140 万患者的数据。 10、CNCERT发现处置两起美对我大型科技企业机构网络攻击事件 https://www.secrss.com/articles/73689 国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用新型Yokai后门攻击泰国官员 https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html 近期，泰国政府官员成为网络攻击的新目标，攻击者利用DLL侧加载技术部署了一种名为Yokai的后门程序。此次攻击链以含有两个快捷方式文件的RAR压缩包为起点，文件名伪装成与美国司法部相关的文档。当受害者打开文件时，后门在后台悄然植入，通过合法程序IdrInit.exe侧加载恶意DLL文件，最终实现远程命令执行与持久化控制。Yokai后门能够与命令与控制(C2)服务器通信，执行远程命令，进一步威胁系统安全。攻击者可能通过钓鱼邮件进行初始投递，利用社会工程 2、塞尔维亚警方对记者手机安装NoviSpy间谍软件 https://securityaffairs.com/172039/malware/novispy-spyware-serbian-journalist.html 近日，安全研究员发现塞尔维亚记者斯拉维沙·米兰诺夫在被警方拘留后，其手机出现异常，例如数据和Wi-Fi被禁用。调查显示，警方通过Cellebrite工具解锁并提取手机数据，同时安装了未被识别的新型间谍软件NoviSpy。这款间谍软件能够窃取个人数据、激活麦克风和摄像头，严重侵犯个人隐私。NoviSpy通过Android Debug Bridge(adb)指令安装，受控于塞尔维亚的C2服务器。安全研究员还发现，塞尔维亚情报局BIA 3、黑客组织MUT-1244对安全研究员发起钓鱼攻击 https://www.helpnetsecurity.com/2024/12/16/mut-1244-targeting-security-researchers-threat-aws-wordpress-data-theft/ 黑客组织MUT-1244针对安全研究员发起了一场钓鱼攻击活动，主要通过恶意GitHub项目和伪造的代码注入手段进行恶意操作。MUT-1244利用ClickFix攻击，通过诱导用户点击钓鱼链接或执行恶意代码，来窃取敏感数据，如AWS访问密钥、WordPress账户凭证等。此外，MUT-1244还通过设置伪造的GitHub项目，植入xmrdropper，来窃取系统信息 4、Cl0p勒索组织利用Cleo漏洞攻击全球企业 https://hackread.com/cl0p-ransomware-exploits-cleo-vulnerability-data-leaks/ Cl0p勒索组织声称利用Cleo的管理文件传输(MFT)软件中的一个关键漏洞，影响了Cleo Harmony、VLTrader和LexiCom等产品。这一攻击策略与Cl0p在过去针对Progress Software的MOVEit Transfer漏洞的攻击类似，均利用零日漏洞进行高影响力的系统入侵和数据窃取。此次Cl0p威胁受害企业支付赎金以避免数据泄露。安全专家建议Cleo应当立即打补丁，以防止潜在的供应链风险和数据泄露风险。Cl0p的 5、最新的Windows内核漏洞，可获system权限 https://www.freebuf.com/news/417893.html 网络安全和基础设施安全局（CISA）已将两个新的漏洞添加到其已知被利用漏洞目录中，其中一个是涉及 Windows 内核的漏洞，目前正被用于攻击。该漏洞编号为CVE-2024-35250，具体是在 Windows 的 ks.sys 驱动中存在的 "不受信任的指针解引用" 。这个漏洞可以通过利用未受信任的指针，来进行任意内存读写，最终实现权限提升。这种问题可能导致系统崩溃或使攻击者能够执行任意代码，对安全专业人员来说是一个重要关注点。 6、黑客通过虚假品牌赞助攻击YouTube视频创作者 https://www.freebuf.com/news/417875.html 据Cyber Security News消息，网络安全专家发现了一波针对Youtube创作者的攻击，攻击者利用钓鱼邮件，冒充品牌方与这些创作者进行合作沟通，以此来传播恶意软件。 7、Cicada3301勒索软件攻击了法国标致汽车经销商 https://www.anquanke.com/post/id/302764 Cicada3301 勒索软件组织声称已入侵标致特许经营公司，窃取了 35GB 的敏感数据。该组织采用 “勒索软件即服务”（RaaS）模式，收取 20% 的佣金。该勒索软件于 2024 年 6 月首次被发现，主要针对 Windows 和 Linux/ESXi 系统。Cicada3301 与 BlackCat 有相似之处，使用 ChaCha20 加密和类似的策略。泄露的数据包括发票、护照副本和内部通信。 8、ConnectOnCall 数据泄露事件影响超过 90 万人 https://www.anquanke.com/post/id/302758 ConnectOnCall 是一个远程医疗平台和下班后值班应答服务，旨在加强医疗服务提供者与患者之间的沟通。它提供自动患者呼叫跟踪、符合 HIPAA 的聊天功能，并与电子健康记录 (EHR) 系统集成，以简化下班后呼叫和护理协调。该公司披露的数据泄露事件暴露了 90 多万人的个人信息和医疗信息。 9、比特币ATM巨头字节联邦遭黑客攻击，5.8 万用户受到影响 https://www.anquanke.com/post/id/302742 美国最大的比特币 ATM 运营商 Byte Federal 发生数据泄露事件，58,000 名客户受到影响。黑客利用 GitLab 中的漏洞访问了客户的敏感数据。暴露的信息包括姓名、ID、地址和交易历史记录。Byte Federal 保护了系统安全，通知了客户，并正在与专家进行调查。我们敦促客户重置密码并监控账户以防欺诈。 10、黑吃黑？专门攻击黑客和网络安全人员的恶意软件 https://www.secrss.com/articles/73606 MUT-1244攻击充分展示了供应链攻击的隐蔽性、复杂性与破坏力，甚至网络安全专业人员都难以幸免。近日，网络安全公司Checkmarx首次披露了一种专门攻击黑客和网络安全研究人员的供应链攻击。据报道，这场长达一年的攻击活动通过开源软件的“木马化”版本来窃取黑帽黑客的敏感信息，同时还针对善意的安全研究人员，令业内震惊。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用广告传播SocGholish恶意软件攻击凯撒医疗员工 https://www.malwarebytes.com/blog/news/2024/12/malicious-ad-distributes-socgholish-malware-to-kaiser-permanente-employees 12月15日，一场针对凯撒医疗(Kaiser Permanente)员工的恶意广告活动被检测到。攻击者利用Google搜索广告伪装成该公司的人力资源(HR)门户网站，试图诱导员工输入登录凭证。然而，点击广告的受害者却被重定向到一个受感染的网站，弹出虚假浏览器更新通知。这场名为"SocGholish"的恶意软件活动旨在欺骗用户运行伪装成浏览器更新的恶意脚 2、锐捷网络的Reyee云管理平台及其设备存在关键安全漏洞 https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/ 安全研究员发现，锐捷网络的Reyee云管理平台及其网络设备存在关键安全漏洞，可能威胁约5万台设备。漏洞主要涉及MQTT协议实现，其中设备使用易预测的序列号生成认证凭据，使攻击者可冒充设备连接云平台。通过获取设备序列号，攻击者可实施拒绝服务攻击、发送伪造数据、甚至远程执行命令，进而窃取敏感信息。此外，安全研究员发现攻击者可通过名为"Open Sesame"的方法，利用设备的信标消息提取序列号 3、黑客攻击加州三家医院并窃取1700万患者信息 https://www.govinfosecurity.com/hackers-steal-17m-patient-records-in-attack-on-3-hospitals-a-27059 南加州医疗服务提供商PIH Health于12月1日遭遇勒索软件攻击，黑客入侵其三家医院及相关机构的网络系统，声称窃取了1700万患者记录，并威胁公开2TB数据。此次攻击导致PIH Health的IT和电话系统中断，迫使其采取纸质临时流程，部分手术和检查被取消，药品处方服务受限。PIH Health正在与网络取证专家合作调查，已向执法部门和FBI报告事件。黑客通过传真威胁信称有"幽灵"潜入网络，但 4、加拿大Care1眼科公司泄露2.2TB大小的患者信息 https://hackread.com/canadian-eyecare-firm-care1-exposes-patient-records/ 安全研究员发现加拿大眼科技术公司Care1的未受保护数据库泄露了约4.8百万条患者记录，总容量达2.2TB。暴露信息包括患者姓名、地址、病历、个人健康编号(PHN)及详细的眼科检查报告。这些报告以PDF格式保存，包含医生笔记和眼部图像，同时还发现包含患者家庭住址及健康数据的CSV和XLS文件。Care1是一家专注于眼科人工智能技术的眼科技术公司，与170多家验光师合作，管理超过15万次患者访问。虽然数据是否被未经授权访问尚不明确，但此类泄露给患者 5、欧洲刑警组织打击电诈：逮捕 8 名嫌犯、涉案数百万欧元 https://www.ithome.com/0/817/729.htm 欧洲刑警组织（Europol）发布新闻稿，介绍他们近期针对网络电诈钓鱼团伙展开了一次跨国执法打击行动，取得了重大进展。在打击行动中，荷兰和比利时分别逮捕了 4 名嫌疑人（共计 8 人），并在多个地点进行了共计 17 次搜查。 6、关键的 Mullvad VPN 漏洞让攻击者能够执行恶意代码 https://cybersecuritynews.com/mullvad-vpn-vulnerabilities/ 安全研究人员在流行的 Mullvad VPN 服务中发现了几个高严重性漏洞，这些漏洞可能允许攻击者执行恶意代码并损害用户隐私。这些漏洞是在 X41 D-Sec GmbH 于 2024 年底进行的全面安全审计中发现的。 7、curl漏洞允许攻击者访问敏感信息 https://cybersecuritynews.com/curl-vulnerability-attackers-sensitive-information/ 网络安全研究人员在流行的数据传输工具 Curl 中发现了一个严重的安全漏洞，可能允许攻击者访问敏感信息。 8、黑客利用 Microsoft Teams 远程访问用户系统 https://cybersecuritynews.com/microsoft-teams-to-gain-remote-access/ 攻击始于大量针对受害者的网络钓鱼电子邮件。不久之后，攻击者冒充可信客户的员工发起了 Microsoft Teams 通话。在通话过程中，攻击者指示受害者下载远程支持应用程序，最初建议使用 Microsoft Remote Support。当从 Microsoft Store 安装失败时，攻击者转向AnyDesk ，这是一种经常被网络犯罪分子利用的合法远程桌面工具。 9、Glutton 恶意软件利用 Laravel 和 ThinkPHP 等主流PHP框架 https://thehackernews.com/2024/12/new-glutton-malware-exploits-popular.html 网络安全研究人员发现了一种名为Glutton 的新的基于 PHP 的后门，该后门已被用于针对中国、美国、柬埔寨、巴基斯坦和南非的网络攻击。 10、安全研究员发现具有高级隐匿机制的新型Linux Rootkit https://securityaffairs.com/172016/malware/pumakit-sophisticated-rootkit.html 安全研究员发现了一种新型的Linux Rootkit——PUMAKIT，它具备高度复杂性和隐匿性。该恶意软件采用多阶段设计，包括加载器、内存驻留的可执行文件以及核心Rootkit组件。PUMAKIT利用可加载内核模块(LKM)和ftrace挂钩技术，重定向18个系统调用及核心内核函数，以隐藏自身及相关文件，规避检测和调试尝试。针对旧版内核(5.7版本之前)，它通过未导出的kallsyms_lookup_name()实现符号解析和权限提升， 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、微软MFA漏洞导致全球用户账户安全风险 https://hackread.com/authquake-flaw-mfa-bypass-azure-office-365-accounts/ 安全研究员发现微软多因素认证(MFA)存在“AuthQuake”漏洞，攻击者可利用该漏洞绕过安全措施，未经授权访问用户账户，该漏洞已影响Azure、Office 365等服务的超过4亿用户。攻击者利用登录尝试次数的速率限制以及时间敏感性验证码(TOTP)的3分钟有效期，快速生成新会话，尝试多次验证码组合。测试显示，攻击者在70分钟内即可绕过MFA，成功率高达50%，且无需用户交互或触发警报。微软在2024年7月发布临时修复补丁，并于10月9日通过 2、软件公司Ivanti修复CSA解决方案中的关键漏洞 https://securityaffairs.com/171850/breaking-news/ivanti-maximum-severity-flaw-csa-solution.html 软件公司Ivanti发布了最新版本CSA 5.0.3，以修复其Cloud Services Appliance(CSA)解决方案中的多个严重漏洞。包括CVSS评分为10的认证绕过漏洞CVE-2024-11639，该漏洞允许远程未认证攻击者获得管理员权限。此外，还修复了两个SQL注入漏洞(CVE-2024-11772和CVE-2024-11773)，这两个漏洞可被远程认证攻击者利用执行任意SQL语句。Iv 3、网络犯罪市场Rydox在国际执法行动中被查封 https://cyberscoop.com/rydox-cybercriminal-marketplace-seized-doj-albania-kosovo/ 美国司法部宣布，在一项国际执法行动中成功打击了一个提供盗窃个人信息和网络犯罪市场Rydox，三名Rydox网站管理员被捕。Rydox自2016年起运营，涉及超过7600笔非法交易，累积收入超过23万美元，主要通过出售信用卡信息、登录凭证以及其他个人身份信息(PII)牟利，涉及数千名美国居民。该网站已向18000多名用户销售了超过321000个网络犯罪产品。此次国际执法行动由FBI匹兹堡办公室、阿尔巴尼亚特别反腐败机构(SPAK)及 4、超过30万个Prometheus监控服务器暴露于DoS攻击风险 https://www.aquasec.com/blog/300000-prometheus-servers-and-exporters-exposed-to-dos-attacks/ 安全研究员揭示了Prometheus生态系统的多个安全漏洞，包括信息泄露、拒绝服务(DoS)和远程代码执行等风险。研究发现，超过33.6万个Prometheus服务器和导出器暴露在互联网上，其中许多未启用认证，易被攻击者利用来获取敏感信息，如凭据和API密钥。此外，暴露的pprof调试端点可能导致服务器过载和崩溃。Prometheus是一款开源监控工具，常被用于动态环境如Kubernetes。其核心功能包括定 5、ZLoader恶意软件通过DNS隧道隐蔽C2通信 https://thehackernews.com/2024/12/zloader-malware-returns-with-dns.html 安全研究员发现了新的ZLoader恶意软件变种，该变种通过域名系统(DNS)隧道进行命令和控制(C2)通信，提升了对检测与缓解的抗衡能力。ZLoader是一种加载器型恶意软件，可部署下一阶段的payload，并支持交互式Shell功能来执行恶意操作。其抗分析技术，如环境检查和API导入解析算法，继续进化以躲避沙箱和静态签名检测。此外，该恶意软件与Black Basta勒索软件攻击密切相关，利用远程桌面连接来分发恶意软件。企业需加强对网络和终端设备的安 6、iOS和macOS中的Symlink漏洞可绕过TCC访问敏感数据 https://thehackernews.com/2024/12/phone-phishing-gang-busted-eight.html 安全研究员发现iOS和macOS中的一个已修复的Symlink漏洞，影响到透明、同意和控制(TCC)框架的安全性。该漏洞允许恶意应用通过欺骗文件操作来访问敏感数据，如健康数据、相机和麦克风等。这种漏洞可在用户毫无察觉的情况下进行数据窃取，严重威胁用户隐私和数据安全。苹果公司已经通过iOS 18、iPadOS 18和macOS Sequoia 15的更新修复了此漏洞，同时修复了WebKit和Safari中的其他安全问题。建议用户及时更新设备系统，并加强 7、新的IOCONTROL恶意软件被用于关键基础设施攻击 https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/ 伊朗威胁行为者正在利用一种名为IOCONTROL的新恶意软件，用以破坏以色列和美国关键基础设施使用的物联网(IoT)设备和操作技术/监控与数据采集系统(OT/SCADA)。 8、大众和斯柯达曝12个组合漏洞，攻击者可在10米内无接触入侵 https://cybersecuritynews.com/vulnerabilities-skoda-volkswagen-cars/ 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞，这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 9、国家发展改革委颁布《电力监控系统安全防护规定》 https://www.ndrc.gov.cn/xxgk/jd/jd/202412/t20241212_1394979.html 本次修订对原《规定》做了多方的修改，并新增13条，修订后共六章37条。 10、Cleo 修补了在数据盗窃攻击中被利用的关键零日漏洞 https://www.bleepingcomputer.com/news/security/cleo-patches-critical-zero-day-exploited-in-data-theft-attacks/ Cleo 发布了针对其 LexiCom、VLTransfer 和 Harmony 软件中零日漏洞的安全更新，该漏洞目前正在数据盗窃攻击中被利用。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者发动全球性的网络钓鱼攻击 https://hackread.com/ongoing-phishing-campaign-targets-employees/ 安全研究人员发现了一场针对全球12大行业的持续性钓鱼攻击，涉及30多家公司及其员工。这次攻击已分发超过200个恶意链接，目标是窃取用户登录凭据。攻击者采用可信域名、动态公司品牌伪装以及文档平台模仿等手段，绕过检测并诱骗用户上当。窃取的凭据会通过C2服务器或Telegram机器人实时传送给攻击者。其中受影响的行业包括能源、时尚、金融、航空航天、制造业、电信及政府部门等。安全专家建议各行各业都应当：实施多因素身份认证(MFA)，定期加强对员工的网络安全意识培训，使用 2、俄威胁组织Turla利用网络犯罪工具持续攻击乌克兰 https://cyberscoop.com/turla-leverage-cybercriminal-tools-target-ukraine-microsoft/ 俄罗斯国家级威胁组织Turla(也称Secret Blizzard)近期通过利用其他网络犯罪团伙的工具，对乌克兰目标展开攻击。2024年3月至4月期间，该组织使用与犯罪团伙Storm-1919相关联的Amadey僵尸网络恶意软件，针对乌克兰军事设备展开间谍活动。Turla还采用多种混合间谍技术，包括网络钓鱼、战略网站妥协和中间人攻击，扩大攻击范围至全球政府部门和军事机构。安全研究报告表明，Turla利用第三方访问权限入侵关键网 3、年轻人开始给眼珠子拍照，警惕“虹膜写真”泄露隐私 https://baijiahao.baidu.com/s?id=1818216520536855842 有专家在接受媒体采访时提醒，虹膜和人的指纹一样，其纹理特征包含着很多独一无二的个人信息。尽管虹膜写真和虹膜生物认证在硬件、软件和技术原理上并不完全相同，但不排除有别有用心的不法分子可能利用虹膜的写真照片，结合相关技术手段对虹膜生物认证系统进行破解，因此其建议对于拍摄的虹膜写真，尽可能不要在公共场合展示。 4、欧洲刑警组织关闭了27家DDoS攻击平台供应商，管理员被捕 https://cybersecuritynews.com/27-ddos-attack-platforms-seized-dismantled/ 作为由欧洲刑警组织协调的国际行动 PowerOFF 的一部分，当局已经查获了 27 个用于实施这些攻击的最受欢迎的平台。这些平台被称为“booter”和“stresser”网站，使网络犯罪分子和黑客能够用非法流量淹没目标，使网站和其他基于 Web 的服务无法访问。 5、研究人员在一小时内破解了微软Azure的多因素验证 https://www.darkreading.com/cyberattacks-data-breaches/researchers-crack-microsoft-azure-mfa-hour 由于存在一个关键漏洞，研究人员在大约一个小时内就破解了微软 Azure 的多因素身份验证（MFA）方法，该漏洞允许他们在未经授权的情况下访问用户的账户，包括 Outlook 电子邮件、OneDrive 文件、Teams 聊天记录、Azure 云等。 6、新的恶意软件技术利用 Windows UI 框架来逃避 EDR https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html 一种新开发的技术利用名为 UI 自动化 （UIA） 的 Windows 辅助功能框架来执行各种恶意活动，而不会泄露端点检测和响应 （EDR） 解决方案。 7、Splunk 安全网关应用程序存在远程代码执行漏洞 https://www.anquanke.com/post/id/302669 在 Splunk Secure Gateway 应用程序中发现了一个严重漏洞，该漏洞可允许低权限用户在易受攻击的系统上执行任意代码。该漏洞被识别为 CVE-2024-53247，CVSS 得分为 8.8，影响 Splunk Enterprise 9.3.2、9.2.4 和 9.1.7 以下版本，以及 Splunk Cloud Platform 上 Splunk Secure Gateway 应用程序 3.2.461 和 3.7.13 以下版本。 8、恶意 npm 软件包模仿 ESLint 插件，窃取敏感数据 https://www.anquanke.com/post/id/302654 Socket 研究团队最近的一份报告揭露了针对使用流行的 @typescript-eslint/eslint-plugin 的开发人员的复杂错别字抢注攻击。合法的 @typescript-eslint/eslint-plugin 是 TypeScript 开发的基石，每周下载量超过 300 万次，在 CI/CD 管道中得到广泛采用。攻击者于 2023 年 11 月 17 日发布了一个名为 @typescript_eslinter/eslint 的恶意软件包。攻击者于 2023 年 11 月 17 日发布了恶意软件 9、工信部发布关于防范Zabbix软件SQL注入超危漏洞的风险提示 https://www.secrss.com/articles/73446 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，开源软件Zabbix存在SQL注入超危漏洞。 10、国内最大IT社区CSDN被挂马，疑似CDN 厂商被污染导致 https://www.secrss.com/articles/73427 近日研究员观察到某恶意域名的访问量从9月初陡增，10月底开始爆发，并观察到恶意的payload ，基于相关日志确认CSDN被挂马。测绘数据显示国内大量网站正文页面中包含该恶意域名，包含政府、互联网、媒体等网站，推测 CDN 厂商疑似被污染。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客利用假求职邮件传播AppLite木马攻击安卓用户 https://hackread.com/hackers-job-seekers-banking-trojan-fake-job-emails/ 黑客通过伪装成知名公司HR团队的假求职邮件，传播新型AppLite银行木马，专门针对安卓设备窃取银行凭证、加密钱包和其他敏感数据。攻击者利用钓鱼邮件，引导受害者访问伪装成求职网站的恶意页面，并诱使其下载携带恶意软件的应用程序。该木马具备拦截短信、记录键盘输入、截屏以及绕过双因素认证的功能，同时通过代码混淆和动态行为规避安全检测，并频繁更新命令与控制(C2)服务器以隐匿活动。安全研究人员将其归类为Antidot木马的新变种，指出其利用求职者的疏忽进行 2、Dell紧急修复Power Manager的高危漏洞 https://hackread.com/dell-urges-update-critical-power-manager-vulnerability/ Dell Power Manager软件被发现存在高危访问控制漏洞(CVE-2024-49600)，该漏洞允许本地攻击者绕过安全措施、执行任意代码，并提升权限。受影响版本包括3.17之前的所有版本。漏洞可能导致系统机密性、完整性和可用性遭到破坏，包括恶意软件植入、数据泄露或系统妥协。Dell已发布Power Manager 3.17版本修复该漏洞，并强烈建议用户立即更新，以免受到攻击威胁。经安全研究员分析发现此漏洞目前无可用变通方案。此外， 3、微软一次性修复超70个安全漏洞 https://www.securityweek.com/microsoft-ships-urgent-patch-for-exploited-windows-clfs-zero-day/ 2024年12月11日，微软发布了一次重要的安全更新，修复了70多个已知安全漏洞，其中特别强调了一个正在被利用的Windows通用日志文件系统(CLFS)零日漏洞(CVE-2024-49138)。该漏洞被评为高危(CVSS评分7.8)，已在实际攻击中被利用。微软指出，该漏洞无需用户交互即可被低权限用户利用，通过堆栈缓冲区溢出获得系统级权限，显示出极高的风险。此次补丁还修复了多个关键漏洞，包括Windows 4、心脏手术设备制造商Artivion遭勒索攻击和数据窃取 https://www.theregister.com/2024/12/10/artivion_security_incident/ 2024年11月21日，心脏手术设备制造商Artivion遭遇了一起严重的网络安全事件，疑似为双重勒索类型的勒索软件攻击。攻击者不仅加密了公司的文件，还窃取了部分数据。目前尚未有勒索软件团伙承认此次事件，或双方正在就赎金进行谈判。Artivion在向美国证券交易委员会提交的声明中表示，已采取应急措施，包括下线部分系统、启动调查，并聘请外部专家协助评估、控制和修复该事件。然而，此次攻击仍对公司订单和发货流程以及部分业务运营造成持续性干扰。尽管Artivion预计 5、公安部公布多起打击整治“网络水军”违法犯罪典型案例 https://www.chinacourt.org/article/detail/2024/12/id/8287569.shtml 今年以来，公安部依托“净网2024”专项行动，聚焦造谣引流、舆情敲诈、刷量控评、有偿删帖等突出违法犯罪活动，部署全国公安机关开展打击整治“网络水军”违法犯罪工作，共侦破案件900余起，抓获嫌疑人5000余名。公安部11日公布多起依法打击“网络水军”违法犯罪典型案例。 6、断网近24小时！俄罗斯再次演练“主权互联网”可用性 https://www.secrss.com/articles/73363 上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 7、知名Cleo企业级文件传输产品存在漏洞，正在被黑客利用 https://www.securityweek.com/cleo-file-transfer-tool-vulnerability-exploited-in-wild-against-enterprises/ 网络安全公司 Huntress 在周一警告称，影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补，并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司，为超过 4200 家组织提供供应链和 B2B 集成解决方案。 8、银狐木马团伙再出新招——Web漏洞成切入点 https://www.anquanke.com/post/id/302630 银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过伪装成与工作相关的文件，如发票、财税文件等，诱骗用户点击下载和执行，从而实现对目标计算机的远程控制。 9、Apple 推送重大 iOS、macOS 安全更新 https://www.securityweek.com/apple-pushes-major-ios-macos-security-updates/ 苹果安全响应团队推出了重大安全更新，以修复 iOS 和 macOS 生态系统中的安全缺陷，并警告数据泄露、沙箱逃逸和代码执行攻击的风险。该公司呼吁立即关注其 iOS 18.2 和 macOS Sequoia 15.2 补丁，警告内核、WebKit、AppleMobileFileIntegrity、密码和 ImageIO 组件中存在缺陷。 10、BadRAM攻击：使用10美元的设备破坏AMD可信执行环境保护 https://www.securityweek.com/badram-attack-uses-10-equipment-to-break-amd-processor-protections/ 学术研究人员设计了 BadRAM，这是一种新的攻击，使用 10 美元的设备来破坏 AMD 最新的可信执行环境保护。这种名为BadRAM 的新攻击使用 10 美元的现成设备来破坏 AMD SEV-SNP（安全加密虚拟化 - 安全嵌套分页），这是一种尖端的内存完整性保护，依靠加密和隔离来防止信息泄漏，并且基于虚拟机管理程序攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、朝鲜黑客窃取Radiant Capital 5000万美元资金 https://www.securityweek.com/radiant-capital-50-million-heist-blamed-on-north-korean-hackers/ Radiant Capital于2023年10月遭遇重大网络攻击，约5000万美元资产被朝鲜关联的黑客组织UNC4736(亦称AppleJeus或Citrine Sleet)窃取。攻击起源于9月，一名开发者通过Telegram收到伪装成前承包商的消息，点击恶意链接后感染恶意软件。黑客利用开发者设备，在多签名调整过程中伪造交易，避过Safe{Wallet}验证，将资金从核心市场抽离。随后，攻击者利用开放授权进 2、OpenWrt路由器具有导致供应链攻击的安全漏洞 https://www.helpnetsecurity.com/2024/12/09/openwrt-security-update-supply-chain-attack/ OpenWrt是一种可定制的操作系统，主要用于各种制造商的无线家用路由器。安全研究员在OpenWrt的Attendedsysupgrade Server(ASU)中发现了两处安全漏洞。ASU是为基于OpenWrt发行版提供按需生成固件镜像服务的服务器，支持用户根据设备和所需软件包生成新固件。漏洞包括：命令注入漏洞，攻击者可能在固件构建过程中注入恶意命令，从而生成签署有合法构建密钥的恶意固件。SHA-256哈希碰撞问题( 3、ShinyHunters和Nemesis利用AWS S3漏洞窃取2TB敏感数据 https://hackread.com/shinyhunters-nemesis-hacks-aws-s3-bucket-leak/ 网络安全研究人员揭示了一场由ShinyHunters和Nemesis攻击组织关联的大规模网络攻击。攻击者通过利用数百万个网站的漏洞，窃取了超过2TB的敏感数据，包括客户信息、基础设施凭证和专有源代码。黑客采用Python、PHP等脚本语言以及ffuf、httpx和Shodan等工具，扫描AWS IP地址和域名，扩展攻击范围。由于配置不当，攻击者还通过开放的AWS S3存储桶暴露了其部分操作细节。研究人员与AWS欺诈团队合作通知受影响用户，并采取缓解措施，同时 4、黑客通过操纵AI干扰健康应用的准确性 https://www.govinfosecurity.com/interviews/how-hackers-manipulate-ai-to-affect-health-app-accuracy-i-5427 安全研究员发现，黑客可通过AI操纵健康应用的数据，威胁用户健康和数据完整性。研究者开发的恶意软件从Google Health Connect提取数据并发送至AI应用，由AI生成虚假信息，如错误的血糖读数，从而误导健康应用建议错误的治疗方案。这种操控可能导致医生难以质疑患者日常使用的设备数据，增加医疗决策风险。尽管此研究针对Google Health Connect，但这种利用AI操纵 5、FBI建议用暗号戳穿语音克隆骗局 https://www.secrss.com/articles/73303 近日，美国联邦调查局（FBI）发布了一项重要建议：与家人设置一个专属“暗号”或“暗语”，以应对日益猖獗的AI语音克隆骗局。随着越来越多的犯罪分子利用生成式AI技术模仿亲友声音实施诈骗，FBI提醒民众，这种简单的防护措施可以有效识别骗局，保护财产安全。 6、DeepSeek 和 Claude AI 存在命令注入漏洞 https://www.freebuf.com/news/417305.html DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 7、罗马尼亚在涉嫌俄罗斯干预TikTok后取消总统选举结果 https://thehackernews.com/2024/12/romania-cancels-presidential-election.html 因为有人指控俄罗斯干预，罗马尼亚宪法法院在一项历史性裁决中宣布总统选举第一轮投票结果无效 。 8、DaMAgeCard：一种新的攻击利用 SD 卡来破坏系统内存 https://cybersecuritynews.com/damagecard-attack/ 一种被称为“DaMAgeCard”的新型攻击利用 SD Express 标准，通过其 SD 读卡器直接访问设备的内存。这种方法绕过了传统的安全措施，允许攻击者提取敏感数据或注入恶意代码，而无需物理访问设备内部。 9、第三方公司0Patch修复了Windows NTLM 哈希零日漏洞 https://www.ithome.com/0/816/232.htm 第三方安全公司 0Patch 发布了针对 Windows 系统中的一个零日 NTLM 哈希漏洞的修复补丁，该漏洞允许攻击者仅通过被攻击者查看文件资源管理器中的恶意文件所在的文件夹即可劫持凭据，无需实际打开文件。 10、黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理 https://www.4hou.com/posts/pnBX 尽管该漏洞已于 2023 年 5 月 16 日得到修复，但直到近期才为其分配了 CVE，导致用户没有意识到其严重性以及应用安全更新的紧迫性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。