1、Arm公司警告Mali GPU驱动程序中已被利用的零日漏洞 https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities Arm警告说，Mali GPU内核驱动程序中存在一个安全漏洞，该漏洞已在野外被积极利用。该漏洞被追踪为CVE-2024-4610，使用后释放（use-after-free）问题影响以下产品：Bifrost GPU内核驱动程序（从r34p0到r40p0的所有版本）、Valhall GPU内核驱动程序（从r34p0到r40p0的所有版本）。“一个本地非特权用户可以通过不当的GPU内存处理操作访问已释放的内存。”该公司在上周 2、Snowflake数据泄露事件影响上百家企业信息 https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html 多达165名Snowflake客户的信息可能在一场正在进行的数据盗窃和勒索活动中暴露，这表明该操作的影响比之前认为的更广泛。研究人员正在协助云数据仓库平台进行事件响应工作，正在追踪这一尚未分类的活动集群，称之为UNC5537，并将其描述为一个以财务为动机的威胁行为者。UNC5537正在系统地利用被盗的客户凭证入侵Snowflake客户实例，在网络犯罪论坛上广告受害者数据，并试图勒索许多受害者。UNC5537已经针对全球数百个组织，并经常通 3、Gitloker攻击滥用GitHub通知传播恶意oAuth应用 https://www.bleepingcomputer.com/news/security/gitloker-attacks-abuse-github-notifications-to-push-malicious-oauth-apps/ 攻击者假冒GitHub的安全和招聘团队，通过网络钓鱼攻击使用恶意OAuth应用劫持存储库，在持续的勒索活动中擦除被破坏的存储库。自至少2月份以来，数十名开发人员在这次活动中收到类似的假工作邀请或安全警报电子邮件，这些邮件来自"notifications@github.com"，这些邮件是在被破坏的GitHub账户使用的垃圾评论中标记在随机存储库问题或拉取 4、More_eggs恶意软件通过伪装简历对招聘人员发起网络钓鱼攻击 https://www.esentire.com/blog/more-eggs-activity-persists-via-fake-job-applicant-lures 研究人员发现了一起通过伪装成简历分发More_eggs恶意软件的钓鱼攻击，这种技术最早在两年前被检测到。具体来说，目标对象是一名招聘人员，威胁行为者通过伪装成求职者欺骗他们，并诱导他们访问其网站以下载加载程序，More_eggs被认为是一个名为Golden Chickens（又名Venom Spider）的威胁行为者的作品，是一个模块化后门，能够收集敏感信息。它以恶意软件即服务（MaaS）模式提供给其他犯罪行为者。 5、Apple 修复了其虚拟现实头戴设备Vision Pro 漏洞 https://www.securityweek.com/apple-patches-vision-pro-vulnerability-used-in-first-ever-spatial-computing-hack/ 苹果公司周一将其 Vision Pro 虚拟现实头戴设备的操作系统 visionOS 更新至 1.2 版本，该版本修复了多个漏洞，其中包括可能是该产品特有的第一个安全漏洞。visionOS 1.2 修补了近二十个漏洞。然而，这些漏洞中的绝大多数都存在于 visionOS 与其他 Apple 产品（如 iOS、macOS 和 tvOS）共享的组件中。 6、多个漏洞影响已停产的 Netgear WNR614 路由器 https://www.securityweek.com/multiple-vulnerabilities-plague-discontinued-netgear-wnr614-routers/ Redfox Security 警告称，已停产的 Netgear WNR614 路由器中存在漏洞，允许攻击者绕过身份验证、拦截通信和检索凭据。 7、微软修复了Microsoft 消息队列中的远程代码执行漏洞 https://www.securityweek.com/patch-tuesday-remote-code-execution-flaw-in-microsoft-message-queuing/ 微软周二呼吁 Windows 管理员紧急关注微软消息队列 (MSMQ) 组件中一个严重的远程代码执行漏洞的补丁。该漏洞被标记为CVE-2024-30080，CVSS 严重性评分为 9.8/10，攻击者可以通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来利用该漏洞。 8、日本视频网站NicoNico遭遇网络攻击被迫暂停服务 https://securityaffairs.com/164395/security/niconico-victim-cyber-attack.html 2024 年 6 月 8 日，日本视频共享平台 Niconico 遭受大规模网络攻击后暂停了服务。针对此次事件，公司暂时停止了Niconico视频、Niconico直播、Niconico频道等Niconico家庭服务，并暂停了外部服务上的Niconico账号登录。 9、因舆论压力，微软将Recall功能默认设置为关闭 持续不断的公众投诉，微软已经意识到其最近预览的 Windows Recall 功能的安全性有很多不足之处，并宣布了重要改变。该功能现在是可选的。“如果你不主动选择打开它，它将默认关闭。” 10、大选开始之际，欧盟各政党遭受 DDoS 攻击 近日，欧洲议会选举在荷兰正式启动，未来几天将陆续在欧盟其它国家举行，这一时期成为了网络攻击事件的”高发期“。Cloudflare 在一份报告中指出，大量威胁攻击者正在针对欧洲各国的政党，发动大规模 DDoS 攻击。 https://www.freebuf.com/news/403170.html 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客组织入侵迪士尼Confluence服务器并窃取2.5GB数据 https://www.bleepingcomputer.com/news/security/club-penguin-fans-breached-disney-confluence-server-stole-25gb-of-data/ 声称Club Penguin粉丝的黑客组织入侵了迪士尼的Confluence服务器，窃取了他们最喜欢游戏的信息，但最终得手的是2.5GB的内部公司数据。Club Penguin是一款于2005年至2018年间运营的多人在线游戏（MMO），玩家可以在虚拟世界中参与游戏、活动并与其他玩家聊天。该游戏最初由New Horizon Interactive创建，后来被 2、3.61亿被盗邮件账户在Telegram泄露并供公开检索 https://www.bleepingcomputer.com/news/security/361-million-stolen-accounts-leaked-on-telegram-added-to-hibp/ 一大批包含3.61亿个被盗电子邮件地址的数据已被添加到“Have I Been Pwned”数据泄露通知服务中，这些账户信息来自密码窃取恶意软件、凭证填充攻击和数据泄露。现在，任何人都可以检查他们的账户是否被泄露。网络安全研究人员从多个Telegram网络犯罪频道收集了这些凭证，这些频道通常泄露被盗数据以建立声誉和吸引订阅者。被盗数据通常以以下形式泄露：被盗数据通常以用户名和密 3、 研究人员发现Azure Service Tags服务存在严重漏洞 http://www.tenable.com/blog/these-services-shall-not-pass-abusing-service-tags-to-bypass-azure-firewall-rules-customer 安全研究人员发现了Azure Service Tags中的一个高严重性漏洞，可能允许攻击者访问客户的私人数据。Service Tags是特定Azure服务的IP地址组，用于防火墙过滤和基于IP的访问控制列表（ACLs），当需要网络隔离以保护Azure资源时使用。这是通过阻止传入或传出的互联网流量，仅允许Azure服务流量来实现的。威胁行为者可以利用该漏洞制作 4、SPECTR恶意软件针对乌克兰防御部队发起攻击 https://cert.gov.ua/article/6279600 乌克兰计算机应急响应小组（CERT-UA）警告称，针对该国防御部队的网络攻击使用了一种名为SPECTR的恶意软件，这是名为SickSync的间谍活动的一部分。该机构将这些攻击归因于一个被称为UAC-0020的威胁行为者，该行为者也被称为Vermin，被评估为与卢甘斯克人民共和国（LPR）的安全机构有关。LPR在2022年2月俄罗斯对乌克兰的军事入侵前几天被俄罗斯宣布为一个主权国家。攻击链始于包含一个RAR自解压存档文件的钓鱼电子邮件，该文件包含一个诱饵PDF文件、一个包含SPECTR负载的被木马化的SyncThing应用 5、黑客组织滥用BoxedApp商业打包软件规避恶意软件检测 https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground/ 威胁行为者越来越多地滥用BoxedApp等合法且商业可用的打包软件以规避检测并分发远程访问木马和信息窃取者等恶意软件。绝大多数被归因的恶意样本针对金融机构和政府行业。以BoxedApp打包提交到Google拥有的VirusTotal恶意软件扫描平台的样本数量在2023年5月左右出现了激增，Israeli网络安全公司补充说，样本提交主要来自土耳其、美国、德国、法国和俄罗斯。通过这种方式分发的恶意软件家族包括Agent Tesla、AsyncR 6、Google Maps时间轴数据计划将存储于本地设备以保护隐私 https://blog.google/products/maps/updates-to-location-history-and-new-controls-coming-soon-to-maps/ Google宣布计划从2024年12月1日起将Maps时间轴数据存储在用户的设备上，而不是其Google账户中。这项变化最初由科技巨头在2023年12月宣布，伴随着启用位置历史记录时的自动删除控制更新，将其默认设置为三个月，而不是之前的18个月。顾名思义，Google Maps时间轴帮助用户跟踪路线、行程和他们曾到过的地方，假设启用了位置历史记录和Web与应用活动设置。但随着最新的更改以在用户设 7、PHP存在严重安全漏洞可导致远程代码执行 https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/ 有关影响PHP的新严重安全漏洞的详细信息已经出现，在某些情况下可以利用该漏洞实现远程代码执行。该漏洞被追踪为CVE-2024-4577，被描述为影响Windows操作系统上安装的所有PHP版本的CGI参数注入漏洞。这个缺陷可以绕过为另一个安全漏洞CVE-2012-1823设置的保护措施。在2024年5月7日负责任披露后，已经在PHP版本8.3.8、8.2.20和8.1.29中提供了 8、研究人员披露攻击者入侵并清除GitHub仓库进行勒索 https://www.bleepingcomputer.com/news/security/new-gitloker-attacks-wipe-github-repos-in-extortion-scheme/ 攻击者正在瞄准GitHub仓库，擦除其内容，并要求受害者通过Telegram联系获取更多信息。这场活动背后的威胁行为者，在Telegram上使用Gitloker的用户名并冒充网络事件分析师，很可能是使用被盗凭证入侵目标的GitHub账户。随后，他们声称窃取了受害者的数据，创建了一个备份，可以帮助恢复被删除的数据。然后，他们会重命名仓库，并添加一个README.me文件，指示受害者通 9、研究人员披露ExCobalt组织基于Go语言编写的GoRed后门 https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ex-cobalt-go-red-tehnika-skrytogo-tunnelya/ 研究人员发现了一个之前未知的用Go语言编写的后门，我们将其归因于ExCobalt组织。ExCobalt是一个专注于网络间谍活动的网络犯罪组织，其成员至少自2016年起活跃，据信是臭名昭著的Cobalt组织的成员。Cobalt组织攻击金融机构以盗取资金，其显著特点是使用CobInt工具，而ExCobalt组织自2022年起开始使用该工具。研究人员与ExCobalt组织有关 10、纽约时报公司内部源代码和数据遭遇泄漏 https://www.bleepingcomputer.com/news/security/new-york-times-source-code-stolen-using-exposed-github-token/ 纽约时报公司确认，属于其的内部源代码和数据在2024年1月被从公司的GitHub代码库中盗取，并在4chan论坛上泄露。一名匿名用户周四在4chan上发布了一个包含被盗数据的273GB档案的种子文件。“基本上所有属于纽约时报公司的源代码，270GB。”4chan论坛帖子中写道。“总共有大约5千个代码库（其中不到30个是额外加密的），共计360万个文件，未压缩的tar格式。”威胁 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Zyxel发布针对EoL NAS设备固件的漏洞补丁 https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024 Zyxel发布了安全更新，以解决其两个已达到寿命终止（EoL）状态的网络附加存储（NAS）设备中影响严重的漏洞。成功利用五个漏洞中的三个可能允许未经认证的攻击者在受影响的安装上执行操作系统（OS）命令和任意代码。受影响的型号包括运行版本V5.21(AAZF.16)C0及更早版本的NAS326，以及运行版本V5.21( 2、汽车零部件供应商Advance Auto Parts上亿客户数据泄露 https://www.bleepingcomputer.com/news/security/advance-auto-parts-stolen-data-for-sale-after-snowflake-attack/ 威胁行为者声称正在出售从领先的汽车售后市场零部件供应商Advance Auto Parts公司窃取的3TB数据，这些数据是在攻破该公司Snowflake账户后被盗取的。Advance Auto Parts在美国、加拿大、波多黎各、美属维尔京群岛、墨西哥和多个加勒比海岛经营着4,777家门店和320个Worldpac分支机构，并为1,152家独立拥有的Carquest门店提供 3、研究人员披露TargetCompany勒索软件的Linux变种 https://www.trendmicro.com/en_us/research/24/f/targetcompany-s-linux-variant-targets-esxi-environments.html 研究人员观察到TargetCompany勒索软件家族的新Linux变种，使用定制的shell脚本针对VMware ESXi环境投放和执行有效载荷。TargetCompany勒索软件操作也被称为Mallox、FARGO和Tohnichi，于2021年6月出现，主要针对台湾、韩国、泰国和印度的组织进行数据库攻击（MySQL、Oracle、SQL Server）。TargetCompa 4、RansomHub勒索软件针对全球医疗企业发起攻击 https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware 研究人员对一种名为RansomHub的新生勒索软件的分析表明，它是更新和改名后的Knight勒索软件，Knight勒索软件本身是另一种名为Cyclops的勒索软件的进化版本。Knight（也称为Cyclops 2.0）勒索软件首次出现在2023年5月，采用双重勒索策略，窃取和加密受害者的数据以获取经济利益。它在多个平台上运行，包括Windows、Linux、macOS、ESXi和Android。在RAMP 5、FBI 已获得超过 7,000 个 LockBit 勒索软件解密密钥 https://www.securityweek.com/fbi-says-it-has-7000-lockbit-ransomware-decryption-keys/ 联邦调查局一名官员周三表示，该机构已获得 7,000 多个 LockBit 勒索软件解密密钥，并敦促受害者与其联系。文件遭到 LockBit 3.0 勒索软件加密的实体也可以尝试使用日本警方开发的解密器来恢复他们的文件，该解密器可在 NoMoreRansom 项目的网站上找到。 6、Muhstik 僵尸网络利用RocketMQ 漏洞扩大 DDoS 攻击 https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html 名为Muhstik的分布式拒绝服务 (DDoS) 僵尸网络利用影响 Apache RocketMQ 的现已修补的安全漏洞来选择易受攻击的服务器并扩大其规模。 7、谷歌意外泄露内部文档，被指欺骗SEO行业多年 https://www.secrss.com/articles/66749 近日，由于谷歌内部机器人“误操作”，一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。 8、Ariane Systems酒店自助入住系统存在漏洞可导致信息泄露 https://www.pentagrid.ch/en/blog/ariane-allegro-hotel-check-in-terminal-kios-escape/ 数千家酒店安装的Ariane Systems自助入住系统存在一个可绕过终端模式的漏洞，该漏洞可能允许访问客人的个人信息和其他房间的钥匙。这些终端允许客人自行预订和办理入住手续，通过POS子系统处理付款流程、打印发票并提供用作房间钥匙的RFID传感器。早在三月份，安全研究员发现，他可以轻松绕过他所住酒店自助入住终端上运行的Ariane Allegro Scenario Player的终端模式，并访问包含所有客户详细信息的底层W 9、Ticketmaster 信息泄露案Snowflake 或是泄密源头 https://www.freebuf.com/news/402774.html 安全研究人员表示，在云存储公司 Snowflake 数据泄露事件中，Ticketmaster 和其他多家机构的大量信息被盗。 10、伦敦国家医疗服务系统因勒索软件陷入瘫痪 https://hackread.com/london-nhs-ransomware-hospitals-targeted/ 该事件严重影响了医疗服务的提供，特别是输血和检验结果的提供，并导致医院无法连接到提供病理服务的私营公司的服务器。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、俄罗斯电力公司及政府机构遭遇Decoy Dog木马攻击 https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/ 俄罗斯的组织正遭遇网络攻击，这些攻击被发现是传递一种名为诱饵狗的Windows版本恶意软件。网络安全公司正在跟踪这一活动集群，名为“Operation Lahat”，并将其归因于一个名为“HellHounds”的高级持续威胁（APT）组织。HellHounds小组会攻破他们选择的组织并在其网络中隐藏多年未被发现。在此过程中，该小组利用了主要的入侵向量，从漏洞的Web服务到可信赖的关系。 2、Telerik报告产品漏洞可能允许恶意创建管理员账号 https://docs.telerik.com/report-server/knowledge-base/registration-auth-bypass-cve-2024-4358 Progress Software已经推出更新，以解决影响Telerik报告服务器的一个关键安全漏洞，该漏洞可能被远程攻击者利用绕过身份验证并创建恶意管理员用户。该问题被跟踪为CVE-2024-4358，具有最高10.0分中的CVSS评分9.8。该公司在一份咨询报告中表示：“在Progress Telerik报告服务器2024 Q1版本（10.0.24.305）或更早版本中，运行在IIS上，未经认证的攻击者可 3、美国无线电中继联盟ARRL称其遭遇网络攻击 https://www.arrl.org/news/arrl-systems-service-disruption 美国无线电中继联盟（ARRL）分享了有关5月份一起网络攻击的更多信息，该攻击使其“世界日志簿”（Logbook of the World）离线，并导致一些成员因信息不足。ARRL是美国的业余无线电全国协会，代表业余无线电的利益向政府监管机构反映，并为全国的爱好者推广活动和教育计划。5月16日，ARRL宣布其网络和总部系统遭遇了一起“涉及访问的严重事件”。由于ARRL没有提供进一步的信息，成员们对组织的透明度表示担忧。今天，ARRL终于分享了有关此次网络攻击的更多细节，称这次攻击 4、FBI警告称攻击者发布虚假远程工作广告诈骗加密货币 https://www.ic3.gov/Media/Y2024/PSA240604 FBI发出警告，称诈骗者利用虚假的远程工作广告，以合法公司招聘人员的身份，诱骗美国各地的求职者并窃取加密货币。这些在家工作的骗局旨在通过简单易完成的任务，如在线评价各种企业或“优化”某项服务，吸引潜在受害者。FBI警告称：“诈骗者冒充合法企业，如人力资源或招聘机构，可能通过未经请求的电话或消息联系受害者。”诈骗者设计了一个复杂的报酬结构，要求受害者支付加密货币才能赚更多的钱或‘解锁’工作，而这些支付直接进入诈骗者的口袋。为了使其欺诈计划更具说服力，诈骗者还会要求受害者使用一个虚假的门户网站，展示他们赚了多少钱 5、攻击者利用Excel宏在乌克兰发起多阶段恶意软件攻击 https://www.fortinet.com/blog/threat-research/menace-unleashed-excel-file-deploys-cobalt-strike-at-ukraine 研究人员观察到一场新的复杂网络攻击，目标是定位在乌克兰的终端，旨在部署Cobalt Strike并控制被攻破的主机。根据Fortinet FortiGuard Labs的报告，攻击链涉及一个嵌入VBA宏的Microsoft Excel文件以启动感染。安全研究员在周一的报告中表示：“攻击者使用多阶段恶意软件策略来传递臭名昭著的‘Cobalt Strike’有效载荷，并与命令与控制（C 6、TikTok 零日漏洞被利用，可劫持账户 https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/ 近日，攻击者利用社交媒体直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 账户。TikTok发言人证实，索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持，为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知，但是TikTok发言人补充说，“被入侵的账户数量非常少”。在零日漏洞被修复之前，或将不会分享有关被利用漏洞的任何细节。 7、恶意软件可能会窃取 WINDOWS RECALL收集的数据 https://securityaffairs.com/164181/digital-id/malware-steal-data-windows-recall-tool.html 网络安全研究人员演示了恶意软件如何窃取新 Windows Recall 工具收集的数据。Microsoft Copilot+ 的 Recall 功能是一款人工智能工具，旨在帮助用户在 PC 上搜索过去的活动。该工具收集的数据在本地存储和处理。推出后，它引起了网络安全专家的安全和隐私担忧，因为它会扫描并保存计算机屏幕的定期截图，可能会泄露密码或财务信息等敏感数据。 8、思科解决了用于危害德国政府会议的 WEBEX 漏洞 https://securityaffairs.com/164173/breaking-news/cisco-webex-flaws-german-government-meetings.html 5月初，德国媒体Zeit Online披露，威胁行为者利用德国政府实施的思科Webex软件中的漏洞来访问内部会议。 思科称：“2024 年 5 月初，思科发现了 Cisco Webex Meetings 中的漏洞，我们现在认为这些漏洞被用于有针对性的安全研究活动，允许未经授权访问我们法兰克福数据中心托管的某些客户的 Cisco Webex 部署中的会议信息和元数据。这些错误已得到解决，并且截至 2 9、2024 年 6 月 Android 安全更新修复了 37 个漏洞 https://source.android.com/docs/security/bulletin/2024-06-01 Android 2024 年 6 月更新包含针对框架和系统组件中高严重性缺陷的补丁，解决了特权提升和信息泄露等问题。 10、微软将逐步弃用 Windows NTLM 身份验证协议 https://www.bleepingcomputer.com/news/microsoft/microsoft-deprecates-windows-ntlm-authentication-protocol/ 微软表示，目前仍广泛使用的 NTLM 协议自 6 月份起将不再开发，并将逐步淘汰，转而采用更安全的替代协议Kerberos。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、DarkGate恶意软件从AutoIt脚本转向AutoHotkey机制 https://www.trellix.com/blogs/research/darkgate-again-but-improved/ 涉及DarkGate恶意软件即服务(MaaS)操作的网络攻击已从AutoIt脚本转向AutoHotkey机制来进行最后阶段。DarkGate是一种功能齐全的远程访问木马，配备命令和控制和rootkit功能，并包含用于凭证盗窃、键盘记录、屏幕捕获和远程桌面的各种模块。DarkGate活动往往适应得非常快，修改不同的组件以试图避开安全解决方案。这是研究人员第一次发现DarkGate使用不太常见的脚本解释器AutoHotKey来启动DarkGate。 2、研究人员发现针对Gulp用户传播远控的npm软件包 https://blog.phylum.io/sophisticated-rat-shell-targeting-gulp-projects-on-npm/ 网络安全研究人员发现了一个上传到npm包注册表的新可疑包，该包旨在向受感染的系统投放远程访问木马(RAT)。有问题的软件包是glup-debugger-log，它伪装成“gulp和gulp插件的记录器”，针对gulp工具包的用户。迄今为止，它已被下载175次。该软件配备了两个混淆文件，它们协同工作以部署恶意负载。其中一个脚本充当初始植入程序，为恶意软件攻击活动做好准备，如果目标机器满足某些要求，就会感染该机器，然后下载其他恶意软件组件； 3、CISA警告Oracle WebLogic存在被利用的安全漏洞 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)周四将影响Oracle WebLogic Server的安全漏洞添加到已知利用漏洞(KEV)目录中，并指出有证据表明存在主动利用。该问题被标记为CVE-2017-3506（CVSS评分：7.4），涉及操作系统命令注入漏洞，可被利用来获取对易受攻击的服务器的未授权访问并完全控制。CISA表示：“Fusion Middleware套件中的一款产品Oracle WebLogic Server存在操作系统命令注入漏洞，允许攻击者通过包含恶意 4、微软官方X账户在Roaring Kitty加密货币骗局中被劫持 https://www.bleepingcomputer.com/news/security/microsoft-indias-x-account-hijacked-in-roaring-kitty-crypto-scam-to-push-wallet-drainers/ 拥有超过211000名关注者的微软印度公司官方Twitter账号被加密货币骗子劫持，并冒充著名的模因股票交易员Keith Gill使用的用户名Roaring Kitty。微软印度的X账户作为该平台上官方认证的组织，拥有黄金支票，这使得劫持者的帖子更具合法性。威胁行为者利用Gill最近的复出来引诱潜在受害者，并用加密货币钱包 5、债务催收机构FBCS将数据泄露涉及人数增加到320万 https://www.securityweek.com/number-of-people-impacted-by-fbcs-data-breach-increases-to-3-2-million/ 债务催收机构金融商业和消费者解决方案(FBCS)表示，2月份发生的数据泄露事件已影响到320多万人。FBCS是美国一家全国性持牌债务催收机构，专门负责收取消费信贷、医疗保健、商业、汽车贷款和租赁、学生贷款和公用事业领域的未付债务。4月底，该公司报告称，2024年2月14日发生的一次数据泄露事件中，美国约有190万人的敏感个人信息遭到泄露。目前该公司已向缅因州检察长办公室提交了补充通知，称受影响 6、Atlassian Confluence RCE 漏洞详情披露 https://www.securityweek.com/details-of-atlassian-confluence-rce-vulnerability-disclosed/ SonicWall 分享了有关最近解决的 Confluence 高严重性远程代码执行漏洞的技术细节。 7、新型 V3B 网络钓鱼工具包瞄准 54 家欧洲银行的客户 https://www.bleepingcomputer.com/news/security/new-v3b-phishing-kit-targets-customers-of-54-european-banks/ 网络犯罪分子正在 Telegram 上推广一种名为“V3B”的新型网络钓鱼工具包，目前该工具包的目标是爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的 54 家主要金融机构的客户。该网络钓鱼工具包的价格在每月 130 至 450 美元之间，具体取决于购买的内容，具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者的实时聊天以及各种逃避机制。 8、电信巨头Frontier遭到勒索攻击，200 多万用户数据泄露 https://securityaffairs.com/164126/data-breach/ransomhub-gang-hacked-frontier-communications.html RansomHub 勒索软件组织声称窃取了美国电信公司 Frontier Communications 超过 200 万客户的信息。RansomHub 组织声称窃取了这家电信巨头的 5GB 数据。被盗数据包括姓名、电子邮件地址、社会保险号、信用、分数、出生日期和电话号码。 9、全球刑警展开“终结行动”，打击了多个僵尸网络 https://www.ithome.com/0/772/576.htm 欧洲刑警组织 Europol 近日联合美国、英国等数十国家地区刑警面向几款臭名昭著的网络僵尸病毒展开“终结行动（Operation Endgame）”打击，在 5 月 27 日至 29 日期间关闭超过 100 台服务器、扣押了 2000 多个域名，同时逮捕了 4 名嫌犯，并对 8 名嫌犯展开全球通缉。 10、Hugging Face 称黑客窃取了Spaces平台的身份验证令牌 https://huggingface.co/blog/space-secrets-disclosure Hugging Face 官方博客披露黑客窃取了其 Spaces 平台的身份验证令牌。Hugging Face 表示已撤销泄露的身份验证令牌，并发送邮件通知受影响的用户。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Andariel组织使用新型Dora RAT恶意软件攻击韩国机构 https://asec.ahnlab.com/en/66088/ 与朝鲜有关的威胁行为者Andariel在其针对韩国教育机构、制造公司和建筑企业的攻击中，使用了一种新的基于Golang的后门程序Dora RAT。这些攻击使用了键盘记录器、信息窃取工具和代理工具等恶意软件，可能用于控制并窃取感染系统中的数据。这些攻击的特点是利用一个存在漏洞的Apache Tomcat服务器来分发恶意软件。韩国的这家网络安全公司指出，该系统运行的是2013年版本的Apache Tomcat，容易受到多种漏洞的攻击。Andariel也被称为Nicket Hyatt、Onyx Sleet和Silent Choll 2、APT28使用HeadLace恶意软件和凭证收集工具攻击欧洲 https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp 俄罗斯GRU支持的威胁行为者APT28被指控在一系列攻击活动中，使用HeadLace恶意软件和凭证收集网页，针对欧洲的网络进行攻击。APT28，也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422，是与俄罗斯战略军事情报单位GR 3、攻击者利用伪造浏览器更新传播BitRAT和Lumma恶意软件 https://www.esentire.com/blog/fake-browser-updates-delivering-bitrat-and-lumma-stealer 假浏览器更新正在用于传播远程访问木马（RATs）和信息窃取恶意软件，如BitRAT和Lumma Stealer（又名LummaC2）。假浏览器更新已经导致了众多恶意软件感染，包括著名的SocGholish恶意软件。在2024年4月，我们观察到FakeBat通过类似的假更新机制进行分发。攻击链开始于潜在目标访问一个被植入JavaScript代码的陷阱网站，这些代码旨在将用户重定向到一个伪造的浏览器更新页面（“chatgpt 4、Pumpkin Eclipse网络攻击导致美国60余万路由器断网 https://blog.lumen.com/the-pumpkin-eclipse/ 超过60万台小型办公室/家庭办公室（SOHO）路由器因神秘的网络攻击而被破坏并离线，导致用户无法访问互联网。这一神秘事件发生在2023年10月25日至27日之间，影响了美国的一家互联网服务提供商（ISP），研究人员命名为“南瓜日食”（Pumpkin Eclipse）。此次攻击特别影响了ISP发行的三款路由器型号：ActionTec T3200、ActionTec T3260和Sagemcom。这一事件发生在10月25日至27日的72小时内，使受感染的设备永久无法使用，并需要进行硬件更换。此次断网事件非常重 5、研究人员警告互联网暴露的OT设备遭遇的网络攻击激增 https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/ 微软强调了保护互联网暴露的运营技术（OT）设备的重要性，因为自2023年末以来，针对这些环境的网络攻击激增。这些针对OT设备的反复攻击强调了提高OT设备安全姿态的关键需求，并防止关键系统成为容易攻击的目标。该公司指出，对OT系统的网络攻击可能使恶意行为者篡改用于工业过程的关键参数 6、Check Point VPN 零日漏洞PoC 代码已经公开 https://www.securityweek.com/poc-published-for-exploited-check-point-vpn-vulnerability/ 针对影响 Check Point 安全网关多个迭代的、被积极利用的零日漏洞，概念验证 (PoC) 代码已经发布。该问题于 5 月 27 日披露，编号为 CVE-2024-24919（CVSS 评分为 8.6），被描述为启用了 IPSec VPN 或移动访问网关中的任意文件读取问题。 7、Apache Log4j2 严重漏洞仍威胁全球金融 https://securityaffairs.com/163984/hacking/critical-apache-log4j2-flaw-still-threatens-global-finance.html 尽管严重的 Apache Log4j2 漏洞 (CVE-2021-44832) 是在一年多前发现并修补的，但它仍然对全球金融业构成重大威胁。 8、普华永道数据遭泄露，海量内部文件曝光 https://www.secrss.com/articles/66638 “四大”会计师事务所之一普华永道的18900份内部档案被公开，文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。 9、英国BBC数据泄露，现任和前任雇员均受影响 https://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/ 英国广播公司（BBC）披露了 5 月 21 日发生的一起数据安全事件，该事件涉及未经授权访问托管在云服务上的文件，从而泄露了 BBC 养老金计划成员的个人信息。 10、59% 公共部门的应用程序长期存在安全漏洞 https://www.helpnetsecurity.com/2024/05/30/public-sector-applications-security-debt/ Veracode 在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者滥用Stack Overflow网站推广恶意Python包 https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign 网络安全研究人员警告称，Python Package Index (PyPI) 存储库中发现了一个新的恶意Python包，该包作为更大范围的加密货币盗窃活动的一部分。该恶意包名为 pytoileur，截至撰写本文时已被下载316次。有趣的是，包的作者名为PhilipsPY，在PyPI维护者于2024年5月28日撤下之前的版本（1.0.1）后，上传了具有相同功能的新版本（1.0.2）。恶意代码嵌入在包的 2、LilacSquid组织针对IT和能源以及制药行业发起网络攻击 https://blog.talosintelligence.com/lilacsquid/ 一个名为LilacSquid的前所未有的网络间谍威胁行为者被发现自2021年以来一直对美国、欧洲和亚洲的各个行业进行有针对性的攻击，目的是窃取数据。研究人员在今天发布的一份新技术报告中表示：“这次活动旨在建立对受害者组织的长期访问，以便LilacSquid能够将感兴趣的数据转移到攻击者控制的服务器上。”受攻击的目标包括在美国为研究和工业部门开发软件的信息技术组织、欧洲的能源公司以及亚洲的制药行业，显示出广泛的受害者分布。攻击链已知利用公开的漏洞来入侵面向互联网的应用服务器，或使用被攻陷的远程桌面协议 3、FlyingYeti利用WinRAR漏洞在乌克兰传播COOKBOX恶意软件 https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine 研究人员已经采取措施破坏一个由俄罗斯支持的名为FlyingYeti的威胁行为者针对乌克兰长达一个月的网络钓鱼活动。研究人员在今天发布的一份新报告中表示：“FlyingYeti活动利用人们对失去住房和公共设施访问的担忧，通过债务主题诱饵引诱目标打开恶意文件。”一旦打开，这些文件将导致感染名为COOKBOX的PowerShell恶意软件，使FlyingYeti能够支持后续目标，例如安装其他负载并控制受害者的系统。FlyingYeti是该网络基础 4、5.6亿Ticketmaster客户的数据在疑似泄露后被出售 https://www.bleepingcomputer.com/news/security/data-of-560-million-ticketmaster-customers-for-sale-after-alleged-breach/ 一名被称为ShinyHunters的威胁行为者在最近复活的BreachForums黑客论坛上以50万美元的价格出售他们声称是5.6亿Ticketmaster客户的个人和财务信息。据称被盗的数据库最初在俄罗斯黑客论坛Exploit上出售，据称包含1.3TB的数据和客户的完整详细信息（即姓名、家庭和电子邮件地址、电话号码）、票务销售、订单和活动信息。这些数据 5、RedTail挖矿恶意软件利用Palo Alto防火墙漏洞发起攻击 https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit RedTail加密货币挖矿恶意软件的背后威胁行为者已将最近披露的影响Palo Alto Networks防火墙的安全漏洞添加到其利用武器库中。该恶意软件的工具包中增加了PAN-OS漏洞，并且恶意软件本身也进行了更新，现已包含新的反分析技术。攻击者通过使用私有加密货币挖矿池来更好地控制挖矿结果，尽管这增加了操作和财务成本。Akamai发现的感染序列利用了一个现已修补的PAN-OS漏洞（CVE-2024-3400，CV 6、攻击者利用种子网站上的盗版微软Office版本以传播恶意软件 https://asec.ahnlab.com/en/66017/ 网络犯罪分子通过在种子网站上推广的盗版微软Office版本向用户传播各种恶意软件。向用户传播的恶意软件包括远程访问木马（RAT）、加密货币矿工、恶意软件下载器、代理工具和反AV程序。研究人员发现，攻击者使用多种诱饵，包括微软Office、Windows和在韩国流行的Hangul文字处理器。这个破解的微软Office安装程序具有精心设计的界面，让用户可以选择要安装的版本、语言，以及是否使用32位或64位版本。 7、研究人员披露Pumpkin Eclipse僵尸网络在2023年的攻击活动 https://blog.lumen.com/the-pumpkin-eclipse/ 一个名为“Pumpkin Eclipse”的恶意软件僵尸网络在2023年进行了一次神秘的破坏性事件，摧毁了60万台办公/家庭办公（SOHO）互联网路由器，导致客户的互联网连接中断。研究人员观察到，这次事件在2023年10月25日至10月27日期间，导致美国中西部多个州的互联网接入中断。这使得受感染设备的所有者别无选择，只能更换路由器。尽管此次事件规模庞大，但影响范围集中，仅影响了一家互联网服务提供商（ISP）和该公司使用的三种型号的路由器：ActionTec T3200s、ActionTec T3260s 8、微软警告客户称Windows 11预览更新可能导致任务栏崩溃 https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-kb5037959-windows-11-preview-update-causes-taskbar-crashes/ 微软周四警告客户，Windows 11的2024年5月非安全预览更新导致任务栏崩溃和故障。本月的KB5037853可选更新于周四发布，修复了多个文件资源管理器问题和其他32个问题。今天，在推出这一累积更新的一天后，雷德蒙德在KB5037853支持文档中添加了一个新的已知问题，确认Windows 11 22H2和23H2用户可能会遇到任务栏问题 9、Cooler Master确认数据泄露事件导致客户信息被盗取 https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/ 知名电脑硬件制造商Cooler Master确认其于5月19日遭遇数据泄露，导致客户数据被窃取。Cooler Master是一个知名的电脑硬件制造商，产品涵盖散热设备、电脑机箱、电源和其他外设。一名自称'Ghostr'的攻击者称，他们在5月18日攻破了该公司的Fanzone网站，并下载了相关数据库。Cooler Master的Fanzone网站用于产品保修注册、申请RMA或提交支持 10、Snowflake遭遇数据泄露影响全球数百家知名企业 https://www.bleepingcomputer.com/news/security/snowflake-account-hacks-linked-to-santander-ticketmaster-breaches/ 一个威胁组织声称在攻击云存储公司Snowflake的一名员工账户后窃取了该公司的用户数据。然而，Snowflake反驳了这些说法，称最近的入侵是由安全措施不力的客户账户造成的。据网络安全公司HudsonRock称，威胁行为者还使用Snowflake的云存储服务获取了其他知名公司的数据，包括Anheuser-Busch、StateFarm、三菱、Progressive、 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Check Point发布VPN零日漏洞的紧急修复 https://support.checkpoint.com/results/sk/sk182336 Check Point已发布针对此前在攻击中利用的VPN零日漏洞的热修复程序，该漏洞被用来远程访问防火墙并试图入侵企业网络。 周一，该公司首次警告VPN设备攻击激增，并分享了管理员如何保护其设备的建议。后来发现问题的根源是一个零日漏洞，黑客利用该漏洞对其客户进行攻击。该漏洞编号为CVE-2024-24919，是一个高严重性的信息泄露漏洞，使攻击者能够读取在暴露于互联网的Check Point安全网关上启用了远程访问VPN的某些信息。"该漏洞可能允许攻击者读取在互联网连接的网关上启用了远程访问 2、Okta警告Customer Identity Cloud可受到凭证填充攻击 https://sec.okta.com/articles/2024/05/detecting-cross-origin-authentication-credential-stuffing-attacks Okta警告称，Customer Identity Cloud (CIC)中的跨源身份验证功能易受威胁行为者发起的凭证填充攻击。可疑活动始于2024年4月15日，公司表示已“主动”通知了启用该功能的客户。但未透露受到攻击影响的客户数量。凭证填充是一种网络攻击类型，对手尝试使用从之前的数据泄露、网络钓鱼或恶意软件活动中获得的用户名和密码列表登录在线服务。作为推荐的应对措施，用户被要求检查租 3、Moonstone Sleet组织与FakePenny勒索软件攻击有关联性 https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/ 微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来，这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序（TTP）在很大程度上与其他朝鲜攻击者重叠，但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone S 4、研究人员发布了高危Fortinet RCE的漏洞利用代码 https://www.fortiguard.com/psirt/FG-IR-23-130 安全研究人员已发布了Fortinet安全信息和事件管理（SIEM）解决方案的最高严重性漏洞的概念验证（PoC）利用代码，该漏洞已于今年二月修补。追踪编号为CVE-2024-23108，允许无需身份验证的远程命令执行并以root权限运行。“FortiSIEM主管中的多个操作系统命令中特殊元素中和不当漏洞[CWE-78]可能允许远程未经身份验证的攻击者通过精心构造的API请求执行未经授权的命令，”Fortinet表示。CVE-2024-23108影响FortiClient FortiSIEM 6.4.0及 5、处方管理公司Sav-Rx通报影响280万美国人的数据泄露事件 https://apps.web.maine.gov/online/aeviewer/ME/40/8912d568-e577-49a3-93ba-f9341533d332.shtml 处方管理公司Sav-Rx正在警告美国280多万人，他们的个人数据在2023年一次网络攻击中被盗。A&A Services，以Sav-Rx名义经营，是一家药品福利管理（PBM）公司，向美国各地的雇主、工会和其他组织提供处方药管理服务。上周五，该公司向缅因州总检察长办公室通报了2023年10月的一起网络安全事件，该事件暴露了2812336人的数据。“在2023年10月8日，我们发现了计算机网络的中断。因此，我们立即 6、专家发现了 macOS 版本的复杂 LightSpy 间谍软件 https://securityaffairs.com/163888/malware/lightspy-macos-version.html 研究人员发现 macOS 版本的 LightSpy 监视框架至少自 2024 年 1 月以来一直在野外活跃。 7、国际执法行动"终局行动"针对了多个僵尸网络 https://securityaffairs.com/163876/cyber-crime/operation-endgame.html 2024 年 5 月 27 日至 29 日，由欧洲刑警组织协调的代号为“终局行动”的国际执法行动，针对的是IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee和Trickbot等恶意软件投放器。是有史以来针对僵尸网络的最大规模执法行动。 8、CISA 提醒联邦机构修补被利用的 Linux 内核漏洞 https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html 美国网络安全和基础设施安全局 (CISA) 周四将影响 Linux 内核的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中，并指出有证据显示该漏洞存在主动利用。该高严重性问题被标记为CVE-2024-1086（CVSS 评分：7.8），与 netfilter 组件中的释放后使用错误有关，该错误允许本地攻击者将权限从普通用户提升到 root 并可能执行任意代码。 9、互联网档案馆连续多日遭遇DDoS 攻击 https://www.theregister.com/2024/05/29/ddos_internet_archive/ 互联网档案馆自周日以来一直遭受分布式拒绝服务 (DDoS) 攻击，并且正在努力维持服务。攻击者每秒发起了“数以万计的虚假信息请求”。 10、新版本 Redline 木马使用 Lua 字节码逃避检测 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/ 近日，研究人员观察到 Redline Stealer 木马的新变种，开始利用 Lua 字节码逃避检测。根据遥测数据，Redline Stealer 木马已经日渐流行，覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者滥用WordPress插件从电商网站窃取信用卡数据 https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html 未知的威胁行为者正在滥用较少人知的WordPress代码片段插件，在受害者网站中插入恶意PHP代码，以收集信用卡数据。2024年5月11日，一场活动中滥用了名为Dessky Snippets的WordPress插件，该插件允许用户添加自定义PHP代码。目前有超过200个活跃安装。此类攻击通常利用先前披露的WordPress插件漏洞或容易猜到的凭证，获得管理员访问权限并安装其他插件（无论是合法的还是其他的）进 2、研究人员在Google Play上发现超过90个恶意Android应用 https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google 研究人员在Google Play上发现了超过90个恶意Android应用程序，这些应用程序总共被安装了超过550万次，用于传播恶意软件和广告软件。其中，Anatsa银行木马最近活动激增。Anatsa（又称“Teabot”）是一种银行木马，针对欧洲、美国、英国和亚洲的650多家金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易。自去年底以来， 3、新型ShrinkLocker勒索软件使用BitLocker加密文件 https://usa.kaspersky.com/about/press-releases/2024_kaspersky-uncovers-new-bitlocker-abusing-ransomware 一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名，是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。使用BitLocker加密计算机的勒索软件并不新鲜。一名威胁行为者曾使用Windows的这一安全功能加密了比利时一家医院40台服务器 4、研究人员警告滥用Cloudflare Workers服务的网络钓鱼活动 https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling 网络安全研究人员正在警告一种滥用Cloudflare Workers服务的网络钓鱼活动，该活动用于部署钓鱼网站，收集与Microsoft、Gmail、Yahoo!和cPanel Webmail相关的用户凭证。这种攻击方法称为透明钓鱼或中间人攻击（AitM）钓鱼，研究人员在一份报告中表示，“利用Cloudflare Workers充当合法登录页面的反向代理服务器，拦截受害者和登录页面之间的流 5、First American金融公司披露12月数据泄露影响44000人 https://www.sec.gov/Archives/edgar/data/1472787/000095017024065359/faf-20240521.htm First American Financial Corporation是美国第二大产权保险公司，该公司于周二披露，12月份的一次网络攻击导致44000人受影响。该公司成立于1889年，为房地产专业人士、购房者和卖方提供金融和结算服务，涉及住宅和商业物业交易。这家总部位于加利福尼亚的公司拥有超过21000名员工，去年总收入为60亿美元。该金融服务公司在12月21日发布的声明中透露了一些有关事件性质的少量细节。为了遏制网络攻击的 6、Eclipse ThreadX 中的漏洞可能导致代码执行 https://www.securityweek.com/vulnerabilities-in-eclipse-threadx-could-lead-to-code-execution/ Humanativa Group 发布了有关 Eclipse ThreadX（一种用于物联网设备的实时操作系统）中发现的多个漏洞的信息。 7、Check Point 警告其 VPN 网关产品可能遭受零日攻击 https://thehackernews.com/2024/05/check-point-warns-of-zero-day-attacks.html Check Point 警告称，其网络安全网关产品中存在零日漏洞，威胁行为者已在野利用该漏洞。该问题被标记为CVE-2024-24919，影响 CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways 和 Quantum Spark 设备。 8、 BreachForums 在FBI执法行动后重新复活上线 https://securityaffairs.com/163841/cyber-crime/breachforums-resurrected-after-fbi-seizure.html 网络犯罪论坛 BreachForums 在执法行动查封其基础设施两周后重新恢复运行。 9、CatDDoS僵尸网络利用80多个已知安全漏洞发起 DDoS攻击 https://thehackernews.com/2024/05/researchers-warn-of-catddos-botnet-and.html 奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击，包括分布式拒绝服务 （DDoS） 攻击。奇安信X实验室团队发现，这些漏洞影响了Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Re 10、俄罗斯最大快递公司CDEK遭黑客攻击，导致业务全面停摆 https://therecord.media/russian-delivery-company-cdek-down-cyberattack 近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。事件发生后，有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、BLOODALCHEMY恶意软件针对南亚和东南亚政府发起攻击 https://blog-en.itochuci.co.jp/entry/2024/05/23/090000 网络安全研究人员发现，用于攻击南亚和东南亚政府组织的BLOODALCHEMY恶意软件实际上是Deed RAT的更新版本，后者被认为是ShadowPad的继任者。BLOODALCHEMY和Deed RAT的起源是ShadowPad，考虑到ShadowPad在众多APT攻击活动中的历史，特别关注这种恶意软件的使用趋势是至关重要的。BLOODALCHEMY首次是在2023年10月记录，当时与其追踪的REF5961入侵组织在东南亚国家联盟（ASEAN）国家的攻击活动有关。这是一个用C语言编写 2、攻击者利用木马化扫雷游戏的Python版本攻击金融组织 https://cert.gov.ua/article/6279419 黑客利用微软经典扫雷游戏的Python克隆代码，在针对欧洲和美国金融机构的攻击中隐藏恶意脚本。研究人员将这些攻击归因于被追踪为“UAC-0188”的威胁行为者，后者使用合法代码隐藏下载并安装SuperOps RMM的Python脚本。SuperOps RMM是一款合法的远程管理软件，能够使远程攻击者直接访问受感染系统。在最初发现此次攻击后，研究显示在欧洲和美国的金融和保险机构中，至少有五次潜在的入侵由相同的文件导致。 3、恶意谷歌推广广告利用新发布的Arc浏览器发起攻击 https://www.threatdown.com/blog/threat-actors-ride-the-hype-for-newly-released-arc-browser/ 与Arc浏览器Windows版发布同时进行的一场谷歌广告恶意软件活动，诱骗用户下载被植入木马的安装程序，从而感染恶意软件。Arc浏览器是一款具有创新用户界面设计的新型网络浏览器，与传统浏览器不同。在2023年7月发布macOS版本后，获得了科技媒体和用户的高度评价，其近期在Windows上的发布备受期待。网络犯罪分子为产品发布做了准备，在谷歌搜索上设置恶意广告，诱骗想要下载新浏览器的用户。谷歌的广告平台存在一个 4、Cencora遭遇数据泄露暴露了11家制药公司的美国患者信息 https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/ 由于Cencora在2024年2月遭受的网络攻击，一些全球最大的制药公司披露了数据泄露事件。Cencora是他们在制药和业务服务方面的合作伙伴。Cencora，前身为AmerisourceBergen，是一家专注于药品分销、特殊药房、咨询和临床试验支持的制药服务提供商。这家总部位于宾夕法尼亚州的公司在50个国家开展业务，拥有46000名员工，2023年收入为2620 5、微软Copilot在全球停机24小时后恢复正常 https://www.bleepingcomputer.com/news/microsoft/microsoft-copilot-fixed-worldwide-after-24-hour-outage/ 在超过24小时的停机后，微软的Bing、Copilot和Windows中的Copilot服务已在全球范围内恢复正常，但尚未发布有关导致问题的原因的信息。这次大规模停机始于周四凌晨3点（美国东部时间），主要影响亚洲和欧洲的用户，导致许多人无法访问这些服务。在停机期间，Bing.com显示空白页面或429 HTTP错误代码，但直接的Bing搜索仍然可用。微软在一天内不断分享更新，最初表示，“ 6、OpenAI 成立安全委员会，开始训练最新的人工智能模型 https://www.securityweek.com/openai-forms-safety-committee-as-it-starts-training-latest-artificial-intelligence-model/ OpenAI 正在成立一个新的安全委员会，并已开始训练一种新的人工智能模型，以取代其 ChatGPT 聊天机器人所依赖的 GPT-4 系统。 7、TP-Link 游戏路由器漏洞使用户面临远程代码攻击 https://thehackernews.com/2024/05/tp-link-gaming-router-vulnerability.html TP-Link Archer C5400X 游戏路由器被披露存在一个最高严重性安全漏洞，该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。该漏洞被标记为CVE-2024-5035，CVSS 评分为 10.0。它会影响路由器固件的所有版本，包括 1_1.1.6 及之前版本。该漏洞已在2024 年 5 月 24 日发布的1_1.1.7 版本中得到修补。 8、SingCERT 警告称，多个 WordPress 插件中发现严重漏洞 https://thecyberexpress.com/wordpress-plugin-vulnerabilities/ SingCERT 报告了 9 个严重的 WordPress 插件漏洞，并分享了缓解策略以避免被威胁行为者利用。 9、白宫宣布计划在年底前改革数据路由安全 https://www.nextgov.com/cybersecurity/2024/05/white-house-announces-plans-revamp-data-routing-security-year-end/396886/ 白宫网络官员周四表示，到今年年底，联邦机构拥有和使用的 50% 以上的 IP 地址将采用增强的数据路由安全措施，以帮助防止黑客劫持进入政府网络的数字通道。 10、印度军方和警方生物识别数据遭泄露 https://www.anquanke.com/post/id/296855 网络安全研究员 Jeremiah Fowler 发现并向WebsitePlanet报告了一个未受密码保护的数据库，其中包含 160 多万份文件，这些文件属于印度一家领先的生物特征认证解决方案提供商，该提供商在美国和澳大利亚设有办事处。暴露的记录包括警察、军队、教师和铁路工人的生物特征身份信息。同时，这些数据似乎可能在暗网相关的 Telegram 群组中出售。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。