1、 新型LianSpy恶意软件通过屏蔽安卓安全功能躲避检测 https://securelist.com/lianspy-android-spyware/113253/ 研究人员发现了一种名为LianSpy的未记录的Android恶意软件，该软件伪装成支付宝应用或系统服务以躲避检测，专门针对俄罗斯用户。研究人员的分析显示，LianSpy自2021年7月起活跃，但其强大的隐蔽功能使其在三年多的时间里未被发现。LianSpy通过修改Android的图标阻止列表设置参数，绕过了Android 12及以后的“隐私指示器”安全功能，使受害者无法察觉屏幕正在被录制。该恶意软件利用这些功能在设备上隐藏自己的存在。LianSpy安装后，会伪装成Android系统服务 2、朝鲜黑客利用VPN更新漏洞安装恶意软件 https://www.documentcloud.org/documents/25031724-240805_saibeoanbo_jeongbogongdongce_habdongboangweongomun 韩国国家网络安全中心（NCSC）警告称，朝鲜国家支持的黑客通过劫持VPN软件更新漏洞来部署恶意软件并入侵网络。涉及此活动的两个威胁组织是Kimsuky（APT43）和Andariel（APT45），这两个国家支持的黑客组织此前与著名的Lazarus Group有关。NCSC警告称，这两组织同时针对同一行业的活动具有前所未有的性质，显示了其特定政策目标。在首个案例中，2024年1月， 3、勒索软件团伙利用新型SharpRhino恶意软件攻击IT从业者 https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/ 研究人员发现，Hunters International勒索软件团伙正在使用一种名为SharpRhino的全新C#远程访问木马（RAT），专门针对IT人员入侵企业网络。此恶意软件帮助Hunters International实现初始感染、提升在受感染系统上的权限、执行PowerShell命令，并最终部署勒索软件。根据研究人员的报告，SharpRhino通过一个假冒合法网络工具Angr 4、MDM公司Mobile Guardian遭攻击致13000台设备被远程擦除 https://www.mobileguardian.com/security-incident-august-2024/ 总部位于英国的移动设备管理（MDM）供应商Mobile Guardian遭遇安全事件，导致其管理的iOS和ChromeOS设备被未经授权访问，目前这些设备无法使用。在新加坡，此事件导致13000台设备被远程擦除，教育部因此决定终止与该供应商的合作。Mobile Guardian专注于教育领域，提供设备管理、网页过滤和课堂管理工具。供应商告知客户，这次攻击导致“一小部分设备被取消注册”，进而导致远程擦除。欧洲和北美的客户也面临风险。 5、CrowdStrike 发布 Falcon Sensor BSOD崩溃根本原因分析 https://www.securityweek.com/crowdstrike-releases-root-cause-analysis-of-falcon-sensor-bsod-crash/ 网络安全供应商 CrowdStrike 周二发布了一份根本原因分析，详细说明了导致全球 Windows 系统瘫痪的软件更新崩溃背后的技术故障，并将该事件归咎于安全漏洞和流程缺陷的共同作用。 6、谷歌修复并警告Android内核存在一个被广泛利用的漏洞 https://securityaffairs.com/166656/breaking-news/google-actively-exploited-android-kernel-flaw.html 谷歌修复了一个影响 Android 内核的高危漏洞，编号为 CVE-2024-36971。这家 IT 巨头意识到该漏洞已被广泛利用。该公司没有透露利用此漏洞的攻击细节。 7、勒索软件攻击袭击了法国博物馆网络 https://securityaffairs.com/166696/cyber-crime/ransomware-attack-french-museum-network.html 勒索软件攻击袭击了法国国家博物馆联盟网络，包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。攻击发生在周日，尽管一些受影响的场馆正在举办夏季奥运会比赛，但此次事件并未对奥运会造成影响。 8、国际刑警组织追回新加坡史上最大 BEC 诈骗案 4100 万美元 https://thehackernews.com/2024/08/interpol-recovers-41-million-in-largest.html 国际刑警组织表示，其设计了一种“全球止付机制”，帮助促成了有史以来最大规模的商业电子邮件诈骗（BEC）案件的追回。 9、血狼利用STRRAT商业恶意软件袭击哈萨克斯坦组织 https://thehackernews.com/2024/08/kazakh-organizations-targeted-by-bloody.html 哈萨克斯坦的组织是名为Bloody Wolf的威胁活动集群的目标，该集群传播一种名为STRRAT（又名 Strigoi Master）的商品恶意软件。 10、Apache OFBiz 曝出严重漏洞，允许预身份验证 RCE https://www.freebuf.com/news/407869.html 近日，研究人员发现 Apache OFBiz 中存在一个新的关键漏洞，该漏洞是 Apache OFBiz 中的一个错误授权问题，被追踪为CVE-2024-38856。该漏洞影响 18.12.14 之前的版本，18.12.15 版本解决了该漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型Android银行木马BlankBot针对土耳其用户 https://intel471.com/blog/blankbot-a-new-android-banking-trojan-with-screen-recording-keylogging-and-remote-control-capabilities 2024年8月5日，研究人员发现了一种名为BlankBot的新型Android银行木马，该木马专门针对土耳其用户，旨在窃取金融信息。根据研究人员的分析报告，BlankBot具备多种恶意功能，包括客户注入、键盘记录、屏幕录制，并通过WebSocket连接与控制服务器通信。BlankBot于2024年7月24日被发现，目前仍在积极开发中，恶意 2、Magniber勒索软件攻击影响全球家庭用户 https://www.bleepingcomputer.com/news/security/surge-in-magniber-ransomware-attacks-impact-home-users-worldwide/ 2024年8月4日，全球各地的家庭用户正遭受一波大规模的Magniber勒索软件攻击，设备被加密后需支付高达数千美元的赎金才能获取解密器。自2024年7月20日以来，BleepingComputer论坛上寻求帮助的Magniber勒索软件受害者激增，勒索软件识别网站ID-Ransomware也收到了近720份相关提交。尽管目前尚不清楚受害者是如何感染的，但一些受害者表示 3、勒索软件攻击导致Keytronic损失超过1700万美元 https://www.sec.gov/Archives/edgar/data/719733/000071973324000044/q42024preliminaryexhibit991.htm 电子制造服务公司Keytronic披露，最近的一次勒索软件攻击导致其额外开支和收入损失总计超过1700万美元。公司在2024财年第四季度的初步财务报告中公布了与此次事件相关的成本。Keytronic表示：“由于此次事件，公司在第四季度产生了大约230万美元的额外开支，并且预计损失了约1500万美元的收入。”此次网络攻击发生于5月6日，导致美国和墨西哥的多个站点运营中断。这些站点的运营因事件暂停了两周 4、法国电信基础设施遭蓄意破坏 https://therecord.media/french-telecom-infrastructure-sabotage 近日，法国多家电信服务提供商的光纤网络在夜间遭到“蓄意破坏”，导致部分固定和移动服务中断。法国第二大电信运营商SFR在X平台上发布声明称，其长途光缆被“破坏”，公司服务在最受影响的地区可能会中断。法国警方告诉AFP新闻社，事件发生在法国的六个地区，但作为奥运会主办城市的巴黎未受影响。根据互联网监测服务NetBlocks的数据，法国多家互联网服务提供商，包括Free和Alphalink，均出现了服务中断。法国数字化事务副部长Marina Ferrari证实了此次攻击，并 5、Cryptonator因洗钱和盗取加密货币被查封 https://www.trmlabs.com/post/us-and-german-authorities-seize-crypto-wallet-cryptonator-and-charge-administrator 美国和德国执法机构查封了加密货币钱包平台Cryptonator的域名，该平台被勒索软件团伙、暗网市场和其他非法服务利用，并起诉其运营者Roman Boss。Cryptonator于2014年推出，允许用户存储和在个人钱包内交换加密货币。区块链调查公司报告称，Cryptonator未能实施反洗钱控制，使得匿名或假名用户能够利用该服务进行非法活动。Cryptonator的主要 6、罗克韦尔自动化设备中的高危漏洞允许未经授权访问 https://claroty.com/team82/research/bypassing-rockwell-automation-logix-controllers-local-chassis-security-protection 研究人员披露了Rockwell Automation ControlLogix 1756设备中的一个高严重性安全绕过漏洞，该漏洞可能被利用来执行常见的工业协议（CIP）编程和配置命令。该漏洞被分配了CVE-2024-6242标识符，CVSS v3.1评分为8.4。美国网络安全和基础设施安全局（CISA）在一份公告中指出：“受影响产品中存在一个漏洞，允许威胁行为 7、新型SLUBStick攻击技术威胁Linux内核安全 https://www.securityweek.com/new-slubstick-attack-makes-linux-kernel-vulnerabilities-more-dangerous/ 奥地利格拉茨技术大学的一组研究人员发表了一篇关于 SLUBStick 的论文，SLUBStick 是一种新的 Linux 内核利用技术。 8、AWS 部署"Mithra"神经网络来预测和阻止恶意域名 https://www.securityweek.com/aws-deploying-mithra-neural-network-to-predict-and-block-malicious-domains/ 云计算巨头 AWS 表示，它正在使用具有 35 亿个节点和 480 亿条边的大型神经网络图模型来加快检测在其基础设施上托管的恶意域。 9、研究人员警告 Apache OFBiz 存在新的严重漏洞 https://securityaffairs.com/166612/hacking/critical-apache-ofbiz-flaw.html 专家敦促各组织解决 Apache OFBiz 中一个新严重漏洞，编号为 CVE-2024-38856。该漏洞是 Apache OFBiz 中的一个错误授权问题，影响 18.12.14 之前的版本，18.12.15 版本解决了该漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客利用免费TryCloudflare服务投放远程控制木马 https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats 研究人员警告称，威胁行为者正越来越多地滥用Cloudflare Tunnel服务进行恶意软件活动，通常投放远程控制木马。此类活动首次于今年2月被检测到，黑客利用TryCloudflare免费服务分发多种RAT，包括AsyncRAT、GuLoader、VenomRAT、Remcos RAT和Xworm。在最新的攻击活动中，研究人员观察到，威胁行为者通过税务主题邮件引诱目标，邮件中的URL或附件 2、黑客通过开发者问答平台传播恶意Python包 https://checkmarx.com/blog/stackexchange-abused-to-spread-malicious-python-package-that-drains-victims-crypto-wallets/ 研究人员发现，黑客滥用问答平台Stack Exchange，引导开发者下载恶意Python包，这些包能够窃取加密货币钱包中的资金。研究人员报告称，这些恶意包在安装后会自动执行，启动一系列事件以控制受害者的系统，同时窃取数据并掏空其加密货币钱包。这场始于2024年6月25日的攻击活动，专门针对Raydium和Solana的加密货币用户。这些包已被从PyPI仓库 3、APT28利用汽车销售钓鱼邮件攻击外交官 https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure/ 俄罗斯关联的威胁行为者APT28最近开展了一项新活动，通过汽车销售钓鱼诱饵传播模块化Windows后门程序HeadLace。研究人员指出，这项活动可能自2024年3月起开始，主要针对外交官。值得注意的是，自2023年7月以来，另一个俄罗斯国家支持的黑客组织APT29也使用过类似的汽车销售钓鱼诱饵，这表明APT28可能正在重新利用成功的策略用于其自身的攻击活动。 4、新型Windows后门BITSLOTH利用BITS进行隐秘通信 https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth 研究人员发现了一种未被记录的Windows后门程序，利用内置功能Background Intelligent Transfer Service（BITS）作为命令和控制（C2）机制。这种新型恶意软件被研究人员命名为BITSLOTH，于2024年6月25日首次发现，关联到针对南美某政府外交部的网络攻击。该活动集群被追踪为REF8747。研究人员表示，最新版本的BITSLOTH后门具有包括键盘记录和屏幕捕获在内的35个处理函数。此外，BITSLOTH还具有 5、Facebook广告引流至虚假网站窃取信用卡信息 https://www.recordedfuture.com/research/eriakos-scam-campaign-detected Facebook用户近日成为一个复杂的电商诈骗网络的目标，该网络通过数百个假网站窃取个人和财务数据，利用品牌冒充和恶意广告手段进行诈骗。研究人员在2024年4月17日检测到这一活动，并因其使用的内容分发网络（CDN）命名为ERIAKOS。这些欺诈网站仅通过移动设备和广告诱饵访问，目的是规避自动检测系统。该活动专门针对通过Facebook广告诱饵访问诈骗网站的移动用户，这些广告有时依靠限时折扣吸引用户点击。这些假网站和广告主要冒充一个主要在线电商平台和一 6、英国关停诈骗数百万美元的“Russian Coms”诈骗平台 https://hackread.com/uk-shuts-down-russian-coms-fraud-platform/ 英国国家犯罪调查局（NCA）近日成功关闭了一个名为“Russian Coms”的诈骗平台，该平台在全球范围内造成了数千万英镑的经济损失。此次行动得到全球执法合作伙伴和欧洲刑警组织的支持，已逮捕三名嫌疑人，并破坏了数百名犯罪分子的各种诈骗计划。据NCA发布的新闻稿称，在三年时间里，该平台共进行了超过130万次电话呼叫，涉及超过50万个独特的英国电话号码，估计有17万名英国公民成为骗局的受害者。据研究人员报告，英国受害者的平均财务损失超过9400英镑。诈骗分子采用多种手 7、Mirai僵尸网络瞄准易受目录遍历攻击的OFBiz服务器 https://isc.sans.edu/diary/Increased%20Activity%20Against%20Apache%20OFBiz%20CVE-2024-32113/31132 研究人员发布报告显示，开源ERP框架OFBiz目前成为新的Mirai僵尸网络变种的目标。OFBiz是由Apache基金会支持的一个Java框架，用于创建ERP应用程序。尽管OFBiz的普及度较商业替代品低，但其同样承载着敏感的业务数据，其安全性至关重要。今年5月，OFBiz发布了一个关键安全更新，修复了一个目录遍历漏洞，该漏洞可能导致远程命令执行。受影响的OFBiz版本为18.12.13之前的版本。 8、黑客利用配置错误的Jupyter Notebooks进行DDoS攻击 https://www.aquasec.com/blog/panamorfi-a-new-discord-ddos-campaign/ 研究人员披露了一项针对配置错误的Jupyter Notebooks的新型分布式拒绝服务（DDoS）攻击活动。该活动由研究人员命名为“Panamorfi”，利用一个名为mineping的Java工具发起TCP洪水DDoS攻击。mineping最初是为Minecraft游戏服务器设计的DDoS工具。攻击链条包括利用暴露在互联网的Jupyter Notebook实例运行wget命令，从文件共享网站Filebin获取一个ZIP归档文件。该ZIP文件包含两个Java归 9、Chrome引入应用程序绑定加密保护Cookie免受恶意软件攻击 https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html Google宣布在其Chrome浏览器中加入应用程序绑定加密（App-Bound Encryption），以防止信息窃取恶意软件在Windows系统上获取Cookie。Chrome安全团队的表示，尽管Windows上的数据保护API（DPAPI）可以保护静态数据免受其他用户或冷启动攻击，但无法防御能够以登录用户身份执行代码的恶意应用。应用程序绑定加密通过将应用程序的身份（如Chrome）与加密数据相结合，防止其他应用在尝试解 10、Linux内核受新型SLUBStick跨缓存攻击影响 https://www.stefangast.eu/papers/slubstick.pdf 研究人员披露了一种名为SLUBStick的新型Linux内核跨缓存攻击，该攻击能够将有限的堆漏洞转化为任意内存读写能力，具有99%的成功率，允许攻击者提升权限或逃脱容器。来自格拉茨理工大学的研究团队展示了这一攻击在Linux内核版本5.9和6.2（最新版本）上的有效性，覆盖32位和64位系统，表现出高度的通用性。SLUBStick能够绕过现代内核防御机制，如监督模式执行预防（SMEP）、监督模式访问预防（SMAP）和内核地址空间布局随机化（KASLR）。该攻击将在本月晚些时候的Usenix安全研讨会 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、朝鲜黑客组织DEV#POPPER跨平台攻击开发者 https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/近日，研究人员发现由朝鲜支持的黑客组织DEV#POPPER正在进行一场针对软件开发者的跨平台恶意软件攻击，目标包括Windows、Linux和macOS系统。该攻击活动主要针对韩国、北美、欧洲和中东的开发者，通过伪装成招聘面试引诱受害者下载受感染 2、XDSpy网络间谍组织对俄罗斯和摩尔多瓦公司开展钓鱼攻击 https://habr.com/ru/companies/f_a_c_c_t/news/831420/研究人员近日发现，一个名为XDSpy的网络间谍组织正在对俄罗斯和摩尔多瓦的公司进行钓鱼攻击。攻击链最终部署了一种名为DSDownloader的恶意软件。XDSpy首次被白俄罗斯计算机应急响应小组在2020年2月发现，其后续分析表明，该组织自2011年以来一直对东欧和巴尔干半岛的政府机构进行信息窃取攻击。最新攻击使用与协议相关的诱饵邮件传播包含合法可执行文件和恶意DLL文件的RAR档案。通过DLL旁加载技术，恶意DLL文件被执行，随后下载并运行DSDownloader。DSDownloader 3、全球领先白银生产商Fresnillo披露网络攻击事件 https://otp.tools.investis.com/clients/uk/fresnillo_plc4/rns/regulatory-story.aspx?cid=191&newsid=1848251&全球最大的白银生产商Fresnillo PLC近日披露，遭遇了一次网络攻击，导致其系统中的数据被未经授权访问。在发现攻击后，Fresnillo立即采取了应对措施来遏制数据泄露，并与外部法证专家合作调查和评估事件的影响。公司表示，此次网络攻击未对其运营产生影响，也不预期会有财务或实质性影响。Fresnillo强调：“所有业务单位继续运营，未经历或预见到任何重大运营或财务影响。情况将持续评 4、俄罗斯黑客利用Sitting Ducks漏洞劫持3万多域名 https://eclypsium.com/blog/ducks-now-sitting-dns-internet-infrastructure-insecurity/据研究人员报道，俄罗斯关联的犯罪分子正通过利用DNS服务漏洞，劫持了超过3万个域名。自2019年以来，这些黑客使用一种名为Sitting Ducks的技术，成功控制了大量域名。该技术最早在2016年由研究人员披露，当时他发现主要云服务提供商如AWS、谷歌和Digital Ocean存在DNS漏洞，导致12万个域名被劫持。Sitting Ducks漏洞源于不完善的商业流程，而非代码错误，因而难以解决。该技术比其他域名劫持方法更容易 5、西悉尼大学披露重大数据泄露事件，被窃取多达580TB数据 https://www.westernsydney.edu.au/news/cyber-incident澳大利亚西悉尼大学近日披露，一次重大数据泄露事件导致黑客在其Microsoft Office 365环境中窃取了多达580TB的数据，包括教职工和学生的个人信息。调查显示，黑客在2023年5月首次入侵，并持续到2024年1月，期间获悉黑客利用了大学的Solar Car实验室基础设施进行部分攻击。此次攻击还涉及大学的Isilon存储平台，黑客于2023年7月入侵，并在2024年3月16日前持续访问存储数据。受影响的数据包括个人身份信息如姓名、联系方式、出生日期、健康信息、政府身份证明文件、税号 6、被利用的漏洞影响2 万个在网上暴露的VMware ESXi实例 https://www.securityweek.com/exploited-vulnerability-could-impact-20k-internet-exposed-vmware-esxi-instances/Shadowserver Foundation 的数据显示，大约有 20,000 台未针对被利用的漏洞进行修补的 VMware ESXi 服务器可通过互联网访问。该漏洞编号为 CVE-2024-37085（CVSS 评分为 6.8），是一种中等严重程度的身份验证绕过漏洞，可让威胁行为者获得对易受攻击的 ESXi 实例的完全访问权限。 7、安全审计发现Homebrew 中的15个漏洞，含多个严重漏洞 https://www.securityweek.com/homebrew-security-audit-finds-25-vulnerabilities/Trail of Bits 安全审计发现，Homebrew 中的多个漏洞可能允许攻击者加载可执行代码并修改二进制构建，从而可能控制 CI/CD 工作流执行并泄露机密。 8、制药巨头 Cencora 的客户个人和健康信息被窃取 https://www.securityweek.com/personal-health-information-stolen-from-pharma-giant-cencora/制药巨头 Cencora 本周证实，个人身份信息 (PII) 和受保护的健康信息 (PHI) 在 2024 年 2 月的网络攻击中遭到窃取。 9、安卓木马BingoMod从受害者银行账户窃取资金并擦除数据 https://securityaffairs.com/166410/malware/bingomod-android-rat.htmlBingoMod 是一种新型 Android 恶意软件，它可以在窃取受害者银行账户中的资金后清除设备数据。 10、巴黎奥运会应用过度收集用户信息并出售给广告商和科技公司 https://cybernews.com/security/paris-2024-olympic-apps-eavesdropping-on-users/2024年巴黎奥运会的应用程序正在追踪用户、提取私人数据，并将其出售给广告商和大型科技公司。此外，它们的过度收集信息超出了所声明的范围。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ModiLoader钓鱼攻击针对波兰等国中小企业 https://www.welivesecurity.com/en/eset-research/phishing-targeting-polish-smbs-continues-modiloader/ 研究人员监测到一起针对波兰、罗马尼亚和意大利中小企业的网络钓鱼活动。此次攻击通过ModiLoader下载器传播了包括Rescoms、Agent Tesla和Formbook在内的多个恶意软件家族。研究人员在5月份特别关注了9起显著的ModiLoader钓鱼活动，这些活动通过传播多种恶意软件家族，对这些企业的网络安全构成了严重威胁。攻击者采用了先进的技术手段，通过之前被入侵的账户和服务器来散布恶 2、大规模跨国Android短信OTP窃取活动影响超过113个国家 https://www.zimperium.com/blog/unmasking-the-sms-stealer-targeting-several-countries-with-deceptive-apps/ 团队对一场波及全球的Android短信窃取活动进行了深入研究和跟踪。这场活动通过超过107000个恶意软件样本，利用欺骗性广告和Telegram机器人等手段，针对了多个国家的大量用户。这些恶意软件样本伪装成合法应用程序，请求用户授权短信读取权限，然后与C&C服务器建立联系，收集敏感短信数据，包括用于账户验证的一次性密码(OTP)。攻击者展示了高度的适应性和技术能力，不断更新其策略和工 3、研究人员发现与Zloader相关新PowerShell后门 https://www.infosecurity-magazine.com/news/walmart-powershell-backdoor-zloader/ 研究人员近期揭露了一个与Zloader恶意软件相关的新型PowerShell后门。该后门旨在通过侦察活动为攻击者提供进一步访问权限，并部署包括Zloader在内的其他恶意软件样本。该后门采用了高级混淆技术，可能与新变种的Zloader一起使用，Zloader最初是一种银行木马，但近年来已发展出新功能，并与多个俄罗斯勒索软件组织有关联。 4、研究人员利用OPSEC漏洞渗透了Medusa云存储数据 https://darkatlas.io/blog/medusa-ransomware-group-opsec-failure 研究人员对Medusa勒索软件集团的调查中，发现了该组织的一个OPSEC（操作安全）漏洞。这一失误使得研究人员能够渗透Medusa的云账户，访问并分析其窃取的数据。通过这次访问，研究人员不仅能够查看和下载Medusa从受害者那里窃取的所有数据，还开始删除敏感文件，并联系受害者协助他们恢复数据。为了帮助检测此类事件，研究人员还制定了sigma规则，并通过邮件联系了尽可能多的受害者，提供恢复帮助。 5、Dark Angels勒索软件团伙获7500万美元巨额赎金 https://www.bleepingcomputer.com/news/security/dark-angels-ransomware-receives-record-breaking-75-million-ransom/ 研究报告中披露，一家位列财富50强的公司在2024年年初向Dark Angels勒索软件团伙支付了7500万美元的巨额赎金，该金额刷新了勒索软件赎金的历史记录。此前，最大的一笔已知赎金是CNA保险公司支付的4000万美元。Dark Angels勒索软件行动自2022年5月发起，专注于全球范围内的企业网络，采用“大猎物狩猎”策略，通过入侵企业网络并加密设备，以此作为索要 6、勒索软件攻击 OneBlood 血库，扰乱医疗运营 https://www.securityweek.com/ransomware-attack-hits-oneblood-blood-bank-disrupts-medical-operations/ OneBlood 是一家为美国 300 多家医院提供服务的非营利性血库，目前遭受了破坏性勒索软件攻击。 7、新漏洞使攻击者能够伪造来自2000多万个域名的电子邮件 https://www.securityweek.com/vulnerabilities-enable-attackers-to-spoof-emails-from-20-million-domains/ 两个新发现的漏洞可能允许威胁行为者滥用托管电子邮件服务来欺骗发件人的身份并绕过现有的保护措施，发现这些漏洞的研究人员表示，数百万个域名受到影响。卡内基梅隆大学计算机应急响应小组 (CERT) 协调中心 (CERT/CC)在一份咨询报告中指出，这两个漏洞的编号为CVE -2024-7208和CVE-2024-7209，允许经过身份验证的攻击者伪造共享托管域的身份，并使用网络授权伪造电子邮件发 8、微软称最新的Azure中断是由对DDoS攻击防御引起的 https://www.securityweek.com/microsoft-says-azure-outage-caused-by-ddos-attack-response/ 微软对 Azure 遭受的 DDoS 攻击的响应不但没有减轻攻击的影响，反而扩大了攻击的影响，从而导致了中断。调查显示，针对其系统发起的 DDoS 攻击触发了保护机制，但这些防御机制中的实施错误导致攻击的影响被放大而不是减轻。 9、DigiCert因域名验证疏忽撤销了83,000 多个 SSL 证书 https://thehackernews.com/2024/07/digicert-to-revoke-83000-ssl.html 证书颁发机构 (CA) DigiCert 发出警告称，由于在验证数字证书是否颁发给域名合法所有者的方式上存在疏忽，它将在 24 小时内撤销部分 SSL/TLS 证书。该公司表示，将采取措施撤销没有适当域控制验证（DCV）的证书。 10、黑客窃取并公开了CrowdStrike的10万行IoC数据 https://hackread.com/hacker-scrapes-publishes-crowdstrike-ioc-list/ CrowdStrike对黑客USDoD的声明持审慎态度，并没有直接否定。公司确认了USDoD关于泄露威胁行为者和IoC列表的说法，并分析了黑客提供的样本数据。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Mandrake间谍软件潜入Google Play应用 https://securelist.com/mandrake-apps-return-to-google-play/113147/ 经过两年的隐蔽发展，Mandrake Android间谍软件再次在Google Play上被发现。这款恶意软件曾于2020年被分析，现在以新版本的形式回归，携带更高级的混淆和规避技术。在2022至2024年间，至少有五个Mandrake应用程序在Google Play上发布，总安装次数超过32000次，且未被其他安全供应商检测到。新版本恶意软件将核心功能隐藏在本机库中，使用证书固定技术进行C2通信，并通过多种测试来检测是否运行在root设备或模拟环境中。该间谍 2、乌克兰网络攻击致俄罗斯金融系统服务中断 https://hackread.com/ukraine-cyber-attack-disrupted-russian-atm-banking/ 乌克兰近期对俄罗斯发起了一系列网络攻击，这些攻击自7月23日开始，目标直指俄罗斯的金融系统，包括ATM服务和网上银行，造成大规模的服务中断。这场攻势是乌克兰网络战略的一部分，旨在通过网络战能力来对抗俄罗斯经济的关键基础设施。攻击影响了包括Sberbank和VTB银行在内的多家主要金融机构，冻结了客户的银行卡，中断了金融交易和公共交通支付系统。此外，移动和互联网服务提供商也遭受了攻击，影响了数百万用户。 3、Proofpoint漏洞引发EchoSpoofing大规模钓鱼攻击 https://labs.guard.io/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6 安全研究人员揭露了一起名为“EchoSpoofing”的大规模网络钓鱼活动，该活动利用Proofpoint电子邮件保护服务的漏洞，向全球多家知名企业发送了数百万封伪造电子邮件。受影响的客户包括迪士尼、IBM、耐克等知名品牌。攻击者通过滥用Proofpoint的基础设施，成功绕过SPF和DKIM等主要安全措施，使得这些钓鱼邮件看起来如同官方邮 4、Specula利用Outlook漏洞执行远程代码 https://github.com/trustedsec/specula/wiki 安全机构最近发布了一款名为Specula的新型红队后利用框架，并展示如何将Microsoft Outlook变为C2信标执行远程代码。该框架利用了2017年修补的CVE-2017-11774漏洞，通过WebView创建自定义Outlook主页，即使在最新Office 365版本上也有效。攻击者可通过注册表值设置恶意主页，利用Outlook执行VBscript文件。Specula允许攻击者实现持久性和系统横向传播，且因outlook.exe受信任，易于逃避安全软件。 5、全球数百万网站面临OAuth实施缺陷与XSS结合攻击 https://salt.security/blog/over-1-million-websites-are-at-risk-of-sensitive-information-leakage---xss-is-dead-long-live-xss 安全研究团队近期发现，跨站点脚本（XSS）与OAuth结合后，形成了一种新的网络攻击手段，威胁着超过一百万网站的安全。这种攻击方式可以绕过传统的XSS防护措施，包括内容安全策略和HTTP-Only Cookie属性，通过OAuth流程中的URL重定向读取敏感的OAuth令牌，使攻击者能够完全控制用户账户。这一发现表明，即使网站采取了多种安全措施，仍 6、Apple推出 iOS、macOS等安全更新，修补数十个漏洞 https://www.securityweek.com/apple-rolls-out-security-updates-for-ios-macos/ 苹果公司周一宣布了一系列安全更新，修复了影响新旧 iOS 和 macOS 设备的数十个漏洞。iOS 17.6 和 iPadOS 17.6 针对最新一代 iPhone 和 iPad 设备发布，修复了 35 个安全缺陷，这些缺陷可能导致身份验证和策略绕过、应用程序意外终止或系统关闭、信息泄露、拒绝服务 (DoS) 和内存泄漏。 7、印度 APT 攻击多个国家港口和海事设施 https://www.securityweek.com/indian-apt-targeting-mediterranean-ports-and-maritime-facilities/ 被追踪的高级持续性威胁 (APT) 行为者SideWinder(也称Rattlesnake、Razor Tiger)，自 2012 年以来一直活跃，主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 8、ClickFix式网络钓鱼活动针对微软OneDrive用户 https://securityaffairs.com/166312/hacking/microsoft-onedrive-phishing.html 攻击者使用社会工程学手段诱使用户运行 PowerShell 脚本，从而入侵他们的系统。诈骗从一封包含 HTML 文件的电子邮件开始，诱骗收件人点击按钮来修复虚假的 DNS 问题。 9、工信部：2024上半年我国信息安全领域收入909亿元 https://www.secrss.com/articles/68549 上半年，我国软件和信息技术服务业（以下简称“软件业”）运行态势良好，软件业务收入和利润均保持两位数增长，软件业务出口收入增速由负转正，主要大省持续向好发展。 10、法国当局启动行动从受感染的系统中删除PlugX恶意软件 https://thehackernews.com/2024/07/french-authorities-launch-operation-to.html 法国司法当局与欧洲刑警组织合作，启动了一项所谓的“消毒行动”，以清除一种名为PlugX的已知恶意软件的受感染主机。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、针对拉丁美洲的恶意Chrome扩展程序激增 https://securityintelligence.com/posts/unveiling-latest-banking-trojan-threats-latam/ 最新研究揭示，拉丁美洲地区遭遇恶意Chrome扩展程序攻击激增，主要针对金融机构。这些扩展不仅收集技术信息、截图和剪贴板内容，还注入恶意脚本、窃取登录凭据，甚至绕过双因素认证。CyberCartel组织被指为幕后黑手，其利用现有恶意软件服务，针对高价值实体。攻击者通过Telegram更新C2配置，灵活控制恶意活动。地下市场亦出现恶意Chrome扩展程序构建器，降低犯罪门槛，加剧了银行木马威胁。 2、FBI发布关于朝鲜开展全球网络间谍活动的警告 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a 美国联邦调查局（FBI）联合多国网络安全机构发布警告，揭示了朝鲜侦察总局（RGB）第三局支持的网络组织在全球范围内的间谍活动。这些活动主要针对国防、航空航天、核能和工程实体，目的是获取敏感和机密的技术信息和知识产权，以推进朝鲜政权的军事和核计划。这些网络行动不仅局限于特定国家，而是对全球多个行业构成持续威胁。警告指出，这些组织通过勒索软件攻击美国医疗保健实体，为其间谍活动提供资金。此外，他们利用已知软件漏洞如Log4j，广泛获取初始访问权限，部署Web Sh 3、研究人员揭露利用生成式AI热潮进行网络诈骗 https://unit42.paloaltonetworks.com/cybersquatting-using-genai-keywords/ 在生成式人工智能（GenAI）技术快速发展的背景下，网络犯罪分子也试图通过这一热潮进行诈骗攻击。Palo Alto 安全研究人员注意到，自ChatGPT发布以来，含有GenAI相关关键词的新注册域名（NRD）数量显著增加，并且这些域名中相当一部分被标记为可疑。通过分析这些域名的流量和使用情况，研究人员发现了多种网络滥用行为，包括利用GenAI相关域名进行潜在有害程序的交付、垃圾邮件的分发以及通过域名停放进行的货币化操作。 4、CrowdStrike蓝屏故障引发全球网络钓鱼热潮 https://www.cyfirma.com/research/crowdstrike-falcon-sensor-update-worldwide-blue-screen-of-death-bsod-incident-update-ii/ CrowdStrike Falcon传感器的一次更新意外地在全球范围内触发了Windows计算机的蓝屏死机现象，导致众多用户遭遇服务中断。这一安全事件迅速被网络犯罪分子所利用，他们通过精心设计的网络钓鱼手段和恶意域名，试图误导并攻击用户。研究团队对这些攻击活动进行了持续监测和分析，识别出了攻击者所使用的多种恶意软件，包括但不限于Remcos远程访问木马 5、数百万网站可能因 OAuth 实施缺陷遭受 XSS 攻击 https://www.securityweek.com/millions-of-websites-susceptible-xss-attack-via-oauth-implementation-flaw/ API 安全公司 Salt Security 的研究部门 Salt Labs 发现并发布了跨站点脚本 (XSS) 攻击的详细信息，该攻击可能会影响全球数百万个网站。这不是一个可以集中修补的产品漏洞。它更像是 Web 代码和一款非常流行的应用程序（用于社交登录的OAuth）之间的实现问题。 6、微软称勒索软件团伙利用刚修补的VMware ESXi漏洞 https://www.securityweek.com/microsoft-says-ransomware-gangs-exploiting-just-patched-vmware-esxi-flaw/ VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周，微软威胁情报团队表示，勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。 7、网络钓鱼活动利用Proofpoint邮件路由漏洞进行欺骗 https://thehackernews.com/2024/07/proofpoint-email-routing-flaw-exploited.html 威胁行为者利用 Proofpoint 电子邮件保护服务中的问题来冒充知名品牌，作为大规模网络钓鱼活动的一部分。作为该活动的一部分，攻击者利用错误配置问题每天可以发送数百万条网络钓鱼消息并绕过电子邮件安全保护。 8、Gh0st RAT木马通过虚假Chrome网站攻击中国Windows用户 https://thehackernews.com/2024/07/gh0st-rat-trojan-targets-chinese.html 名为 Gh0st RAT 的远程访问木马由名为 Gh0stGambit 的“规避式植入程序”传播，是针对中文 Windows 用户的驱动下载计划的一部分。这些感染源自一个虚假网站（“chrome-web[.]com”），该网站伪装成谷歌的 Chrome 浏览器提供恶意安装程序包。 9、ATM机无法取钱，俄银行遭乌克兰大规模网络攻击 https://www.freebuf.com/news/407179.html 乌克兰和俄罗斯之间的网络战大幅升级，乌克兰网络特工针对俄罗斯顶级银行的自动取款机服务发起了大规模网络攻击。此次攻击始于 7 月 23 日上午，严重扰乱了俄罗斯各地的银行业务，导致客户无法提取现金和使用其他金融服务。 10、OpenStack Nova漏洞允许黑客未经授权访问云服务器 https://cybersecuritynews.com/openstack-nova-vulnerability/ 该漏洞被跟踪为 CVE-2024-40767，影响了 Nova 的多个版本，并对全球云基础设施构成严重风险。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT45从网络间谍活动转向勒索软件攻击 https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine APT45（又称Andariel），一个与朝鲜政府有联系的网络间谍组织，自2009年以来一直活跃在网络空间。该组织最初以政府机构和国防工业为目标进行间谍活动，但近年来已扩展至经济驱动的行动，包括开发勒索软件。APT45对金融部门、关键基础设施、医疗保健和制药行业以及核相关实体的攻击表明，其行动不仅为了自身利益，也可能为朝鲜的其他国家优先事项筹集资金。此外，APT45的活动与朝鲜侦察总局（RGB） 2、黑客组织对阿联酋银行发起创纪录DDoS攻击 https://www.darkreading.com/cyberattacks-data-breaches/pro-palestinian-actor-levels-six-day-ddos-on-uae-bank 黑客组织BlackMeta对阿联酋一家银行发起了长达六天的DDoS攻击，攻击强度平均每秒450万次请求，峰值达到每秒1470万次请求。攻击强度和持续时间创下记录，使合法网络请求的比例降至0.12%。研究报告显示，BlackMeta组织可能使用了InfraShutdown网络犯罪服务，该服务以每周500至625美元的价格提供攻击。 3、ServiceNow RCE漏洞被用于进行凭证窃取 https://www.resecurity.com/blog/article/cve-2024-4879-and-cve-2024-5217-servicenow-rce-exploitation-in-a-global-reconnaissance-campaign 研究团队通报了ServiceNow平台中被标识为CVE-2024-4879和CVE-2024-5217的严重安全漏洞，这些漏洞在全球范围内被侦察活动利用。这些漏洞的CVSSv4评分极高，分别达到9.3和9.2，意味着它们允许攻击者在Now Platform内远程执行代码，造成数据泄露和业务中断的风险。研究团队密切监视了这一活 4、研究人员揭露Confused Function漏洞 https://www.tenable.com/blog/confusedfunction-a-privilege-escalation-vulnerability-impacting-gcp-cloud-functions 研究人员揭露了一个名为ConfusedFunction的漏洞，该漏洞影响Google Cloud Platform的Cloud Functions服务。攻击者可以利用此漏洞通过Cloud Functions的部署过程提升权限，获取对Cloud Build服务账户的访问，进而可能滥用更高权限访问GCP资源。Google Cloud已经确认了该问题，并为新创建的Cloud 5、PKfail事件暴露了UEFI固件安全漏洞 https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem 安全研究团队最近揭露了PKfail事件，事件中受影响的设备使用了一个未被替换的测试平台密钥，该密钥由American Megatrends International (AMI)生成，且被标记为“不信任”。这一问题使得攻击者能够绕过安全启动，进而安装恶意软件。受影响的设备制造商包括Acer、Aopen、Dell等知名品牌。Binarly建议供应商采取加密密钥管理最佳实践，并替换测试密钥以降低风险。 6、Meta公司打击尼日利亚金融勒索诈骗活动 https://about.fb.com/news/2024/07/combating-financial-sextortion-scams-from-nigeria/ Meta公司近期宣布，已成功删除约63000个Instagram账户和7200个Facebook资产，这些账户和资产与尼日利亚的金融性勒索诈骗活动有关。这些活动主要由Yahoo Boys执行，他们利用社交媒体平台组织和招募新的诈骗者。Meta公司通过开发新技术信号和专家团队的深入调查，识别并删除了这些账户，同时与执法部门合作，提高对这类犯罪行为的打击力度。 7、西班牙银行用户遭GXC团伙AI钓鱼攻击 https://www.group-ib.com/blog/gxc-team-unmasked/ GXC，一个新兴的网络犯罪团伙，利用人工智能技术针对西班牙银行用户发起攻击。该团伙开发并销售网络钓鱼工具包和能够拦截OTP代码的Android恶意软件，其服务模式为“恶意软件即服务”，客户可购买定制化网络钓鱼资源。据安全团队分析，至少有250个网络钓鱼域和9种Android恶意软件变体被检测到。GXC团伙的AI钓鱼工具不仅技术先进，而且通过集成语音呼叫功能，增加了诈骗的说服力。目前，全球30家机构和西班牙36家银行用户受到威胁。 8、Google修复Chrome密码管理器凭据消失错误 https://www.bleepingcomputer.com/news/google/google-fixes-chrome-password-manager-bug-that-hides-credentials/ 谷歌已修复Chrome浏览器密码管理器的一个错误，该错误导致全球约2%的Windows用户在超过18小时的时间内无法看到其存储的密码。问题始于Chrome 127版本更新后，用户报告密码消失或每次登录后被提示重新保存密码。谷歌发布初步分析报告，确认问题与产品行为改变有关，并已部署修复程序。用户被建议重启Chrome以确保修复生效，或通过特定命令行标志启动浏览器。 9、Acronis公布ACI平台安全漏洞并建议安装修复程序 https://www.bleepingcomputer.com/news/security/acronis-warns-of-cyber-infrastructure-default-password-abused-in-attacks/ Acronis警告客户存在一个严重的网络安全漏洞，该漏洞可能允许攻击者使用默认凭据绕过身份验证。该漏洞影响Acronis Cyber Protect (ACI)平台，该平台被超过20000家服务提供商使用，保护150多个国家的750000多家企业。漏洞CVE-2023-45249允许未经身份验证的攻击者在未修补的ACI服务器上执行远程代码。Acronis 10、GitHub CFOR漏洞允许访问已删除或私有存储库 https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github 安全研究人员发现GitHub存在设计缺陷，允许用户访问已删除和私有的存储库数据，这一漏洞被称为跨分叉对象引用（CFOR）。GitHub确认这是其有意设计的架构功能，并非错误。研究人员展示了三种场景，包括访问已删除分支数据、已删除仓库数据和私有存储库数据。攻击者可以通过GitHub的UI暴力破解提交哈希或利用公共事件API端点来访问数据。研究人员建议密钥轮换作为修复措施，并提醒用户更新秘密扫描工具。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员揭露利用GitHub分发恶意软件服务 https://research.checkpoint.com/2024/stargazers-ghost-network/ 研究人员揭露了名为Stargazers Ghost Network（观星者幽灵网络）的复杂恶意软件分发服务。该网络利用GitHub平台，通过多个账户分发恶意链接和软件，伪装成合法项目以逃避检测。研究发现，此网络由Stargazer Goblin组织运营，涉及多种恶意软件家族，包括Atlantida Stealer和Rhadamanthys。自2022年起，该网络已通过高度自动化和面向受害者的策略，成功感染了数千名用户，估计非法收入高达10万美元。此外，研究还发现该网络 2、网络安全公司KnowBe4误聘朝鲜黑客引发安全威胁 https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us 网络安全培训公司KnowBe4遭遇了一起精心策划的内部威胁事件。一名冒充软件工程师的朝鲜IT工作者通过伪造身份和AI增强照片成功应聘，企图渗透公司系统。尽管进行了视频面试和背景调查，该假冒者仍然未被发现。事件中，该公司的终端检测和响应(EDR)软件发挥了关键作用，及时检测到恶意行为并发出警报。通过与执法机构合作，KnowBe4揭露了这起由朝鲜支持的网络犯罪活动。 3、研究人员提示警惕新型恶意加载器Krampus https://cybersecuritynews.com/beware-of-new-krampus-loader/ 一种名为Krampus的新型恶意软件加载器在地下网站中流行开来，其多功能性和易用性受到威胁行为体的青睐。Krampus支持处理多种文件类型，包括存档文件和PowerShell脚本，并具备侧载加密货币挖掘软件的能力。此外，它还能够嵌入档案文件中逃避检测，支持安装合法软件以掩盖其恶意行为，并提供用户友好的面板界面。Krampus的文件未经签名且无需加密，这增加了其隐蔽性，使其成为一个重大的安全威胁。 4、CrowdStrike公布Windows蓝屏故障调查结果 https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ 2024年7月24日，网络安全公司CrowdStrike发布声明，解释了上周五导致数百万Windows设备崩溃的事件。该公司表示，问题出在7月19日UTC时间04:09发布的一个内容配置更新上，该更新旨在收集新威胁技术的遥测数据。不幸的是，更新中的错误导致了Windows系统崩溃。受影响的主要是安装了7.11及以上版本的Windows主机，而Apple macOS和Linux系统则未受影响。CrowdStrike已经采取措施修复问题， 5、攻击者利用漏洞绕过SmartScreen传播恶意软件 https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed 安全研究人员发现，利用CVE-2024-21412漏洞的数据窃取活动正在迅速蔓延。攻击者通过诱导用户点击恶意链接，下载并执行LNK文件，该文件携带HTA脚本，悄无声息地下载诱饵PDF和恶意shell代码注入器。受影响的Windows系统被用于传播包括HijackLoader、ACR窃取程序和Meduza Stealer在内的多种恶意软件。研究人员建议用户提高警惕，避免从不可信来源下载或运行文件。 6、研究人员发现LangChain AI框架存在高危漏洞 https://unit42.paloaltonetworks.com/langchain-vulnerabilities/ 最新研究发现，开源AI框架LangChain存在两个高危漏洞，编号分别为CVE-2023-46229与CVE-2023-44467，可能被攻击者利用来远程执行代码和窃取敏感信息。LangChain迅速响应，发布补丁修复了这些安全风险。研究人员建议所有使用LangChain的组织和开发者立即更新至最新版本。 7、BIND 更新解决高严重性 DoS 漏洞 https://www.securityweek.com/bind-updates-resolve-high-severity-dos-vulnerabilities/ 最新的 BIND 安全更新解决了导致拒绝服务的远程利用漏洞。 8、威胁行为者创建了3000多个GitHub账户用于传播恶意软件 https://www.securityweek.com/network-of-3000-github-accounts-used-for-malware-distribution/ Stargazer Goblin 创建了一个由 3,000 多个 GitHub 帐户组成的网络，通过网络钓鱼存储库分发恶意软件。 9、Nvidia 修补 AI、网络产品中的高危漏洞 https://www.securityweek.com/nvidia-patches-high-severity-vulnerabilities-in-ai-networking-products/ Nvidia 已修补其 Jetson、Mellanox OS、OnyX、Skyway 和 MetroX 产品中的高严重性漏洞。 10、多产的DDoS 市场DigitallStress被英国执法部门关闭 https://www.infosecurity-magazine.com/news/ddos-marketplace-shut-down-uk-law/ 英国执法机构已经渗透并摧毁了DigitallStress，这是世界上最多产的地下市场，提供分布式拒绝服务（DDoS）服务。国家犯罪局（NCA）表示，该局已于7月2日与北爱尔兰警察局（PSNI）合作接管并禁用了 digitalstress[.]su。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、乌克兰科研机构遭遇APT28组织网络间谍攻击 https://cert.gov.ua/article/6280129 2024年7月，乌克兰科研机构成为了一起精心策划的网络钓鱼攻击的目标，攻击中使用了HATVIBE和CHERRYSPY两种恶意软件。乌克兰计算机应急响应小组（CERT-UA）将此次攻击归因于UAC-0063，一个与俄罗斯的APT28组织有联系的威胁行为者。攻击者通过获取该机构员工的电子邮件账户，向数十个收件人发送了带有恶意宏的Microsoft Word文档。当这些宏被启用时，它们会触发一个HTA文件的执行，该文件通过创建计划任务在受害者计算机上实现持久性，并为CHERRYSPY后门铺平了道路。 2、RA World勒索软件针对全球进行攻击 https://unit42.paloaltonetworks.com/ra-world-ransomware-group-updates-tool-set/ 安全研究人员对勒索软件组织RA Group（现更名为RA World）的活动进行了深入分析。自2024年3月以来，RA World的活动显著增加，其暗网泄密网站上约37%的帖子均为近期发布，突显了该组织作为新兴威胁的重要性。RA World采用多重勒索策略，先窃取敏感数据再加密，随后利用这些数据作为筹码威胁受害者支付赎金。该组织对医疗保健行业的组织特别感兴趣，但到2024年中期，制造业成为主要受害行业。美国是受攻击最严重的国家，其次是 3、DeFi交易所dYdX v3网站遭遇DNS劫持攻击 https://status.dydx.exchange/incidents/lzyhxm4wp22w DeFi加密货币交易所dYdX遭遇安全警报，其v3交易平台网站被DNS劫持。攻击者通过部署假冒网站，利用PERMIT2交易批准机制，试图盗取用户代币。dYdX迅速响应，通知用户不要访问受攻击的网站，并确保智能合约和用户资产安全。此次安全事件与一系列针对Squarespace注册商的DNS劫持攻击有关，暴露了在域名转移过程中MFA被关闭的安全漏洞。 4、研究人员发现针对HamsterKombat玩家的恶意软件 https://www.welivesecurity.com/en/eset-research/tap-estry-threats-targeting-hamster-kombat-players/ 研究人员揭露了针对流行的Telegram点击游戏HamsterKombat玩家的新型网络威胁。随着该游戏迅速走红，网络犯罪分子开始利用其热度进行多种恶意活动。研究发现，这些威胁包括伪装成HamsterKombat的Android间谍软件Ratel、虚假应用商店，以及在GitHub上伪装成游戏自动化工具实则传播LummaStealer恶意软件的加密器。这些恶意活动不仅针对Android用户，Win 5、Magento网站遭信用卡盗刷器攻击 https://thehackernews.com/2024/07/magento-sites-targeted-with-sneaky.html 网络安全研究人员揭露了一起针对Magento电子商务网站的新型信用卡盗刷攻击。攻击者巧妙地使用交换文件技术来隐藏其恶意软件，使得即使在多次清理尝试后，该恶意软件仍然能够存活。这种窃取器不仅能够捕获网站上所有信用卡表格的数据，还能将详细信息泄露到攻击者控制的域名。研究人员指出攻击者利用域名与流行产品和服务相似的策略来逃避检测。 6、R0bl0ch0n TDS-新型附属欺诈计划波及全球1.1亿互联网用户 https://www.freebuf.com/news/406861.html 世界观察组织的专家团队揭露了一种新型流量分配系统（TDS），该系统与附属营销紧密相关，并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列，这一系统被命名为R0bl0ch0n TDS，已经对全球约1.1亿互联网用户造成了影响。 7、网约车外挂犯罪团伙被打掉：17 人被抓，22 万余个账号被封停 https://mp.weixin.qq.com/s/SZ7Fady2ZKFxTgNCeu65kA 阜新市居民李某在多个司机群以“外挂”软件能实现虚拟定位、优先抢单、随意变换计费路程等名义，发布出售“朱雀”、“猪猪侠”、“钵钵鸡”等多款网约车外挂非法获利。 8、微软为受 Crowdstrike 影响的机器发布恢复工具 https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959 微软对无法自动接收 Crowdstrike 最新补丁的机器提供了一个创建可启动 U 盘的恢复工具。该恢复工具通过 USB 启动到 Windows PE 环境，访问磁盘，然后自动删除有问题的 CrowdStrike 文件，从而允许计算机正常启动。 9、Docker修补了可追溯至2018 年的严重AuthZ插件绕过漏洞 https://www.securityweek.com/docker-patches-critical-authz-plugin-bypass-vulnerability-dating-back-to-2018/ Docker 发布了紧急安全公告，修复了某些版本 Docker Engine 中的一个严重漏洞，该漏洞允许攻击者在特定情况下绕过授权插件（AuthZ）。 该漏洞被标记为CVE-2024-41110，CVSS 严重性评分为 10/10，最初于 2018 年发现并修复，但令人费解的是，2019 年 1 月的补丁并未延续到后来的主要版本，导致漏洞回归。 10、Chrome 127 版本修复了 24 个漏洞 https://www.securityweek.com/chrome-127-patches-24-vulnerabilities/ 谷歌周二宣布向稳定版频道发布 Chrome 127，其中修补了 24 个漏洞，其中包括外部研究人员报告的 16 个漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。