1、近期出现针对Apple设备用户的新型MFA网络钓鱼攻击 https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/ 近期，Apple设备用户成为了一种新型网络钓鱼攻击的靶标，该攻击利用了多重身份验证(MFA)机制。攻击者通过Apple的密码重置工具向受害者发送大量通知，诱使他们重置Apple ID密码。受害者点击“允许”后，攻击者便可接近重置其凭据。即使受害者选择“不允许”，攻击者仍可能通过伪装成苹果支持团队致电受害者，试图获取密码重置代码。此类攻击不仅限于特定类型的Apple设备，而且目前没有简单的防范方法。一些受害者尝试联系Appl 2、黑客开发恶意大型语言模型以绕过现有安全限制 https://www.recordedfuture.com/adversarial-intelligence-red-teaming-malicious-use-cases-ai 在发现现有工具如WormGPT等无法满足其高级入侵功能的需求后，网络骗子正在寻求开发自定义的恶意大型语言模型(LLM)。安全研究人员指出，地下论坛上充满了黑客讨论如何利用OpenAI和谷歌旗下Gemini开发的人工智能聊天机器人设置的护栏。例如，一位名为Poena的俄语威胁行为者在Telegram上发布了招聘人工智能和机器学习专家的广告，以开发恶意的LLM产品。此外，勒索软件和其他恶意软件运营商也显示出对这一趋势 3、Microsoft Edge安全漏洞可能允许静默安装恶意扩展 https://labs.guard.io/cve-2024-21388-microsoft-edges-marketing-api-exploited-for-covert-extension-installation-879fe5ad35ca 研究人员发现了一个Microsoft Edge浏览器中的安全漏洞(CVE-2024-21388)，该漏洞可能允许攻击者在用户不知情的情况下秘密安装具有广泛权限的浏览器扩展。这个权限升级缺陷涉及利用浏览器对某些私有API的特权访问，特别是edgeMarketingPagePrivate API，它可以从属于Microsoft的特定白名单网站访问。攻击 4、INC勒索软件团伙攻击苏格兰NHS并窃取3TB数据 https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html INC勒索软件组织对苏格兰国家医疗服务体系(NHS)发起了网络攻击，并声称窃取了3TB的数据。该组织在其Tor泄露网站上发布了苏格兰NHS的受害者名单，并威胁要公开这些数据。此次攻击发生于2023年3月15日，影响了NHS邓弗里斯和加洛韦，导致至少有“有限数量”的患者数据被黑客获取。苏格兰NHS已确认将与苏格兰警察局、国家网络安全中心、苏格兰政府和其他机构合作，以应对这一事件。INC 5、Facebook被指控曾利用用户设备监视竞品软件 https://www.freebuf.com/news/396187.html 近来，Facebook母公司Meta陷入了一起法律诉讼。据 TechCrunch 报道，Meta 被指控在其数据收集活动上撒谎，并利用其从用户那里“欺骗性地提取”数据进行不公平的斗争。诉讼称，Meta在2016 年 6 月至 2019 年 5 月之间曾使用一种名为“SSL man-in-the-middle”的网络攻击方法来拦截和解密竞品软件 Snapchat、YouTube 和 Amazon 加密的分析流量。 6、印度国防部被黑客打穿，泄露8.8GB数据 https://www.freebuf.com/news/396179.html （3月27日），EclecticIQ 研究人员发布了一份报告称：黑客攻击了印度政府和能源公司，目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制（C2）泄露敏感信息。黑客已经成功入侵了私营能源公司，并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息，攻击行动导致约 8.81 GB 的数据被泄露。 7、数千家使用 Ray 框架的公司面临网络攻击威胁 https://therecord.media/thousands-exposed-to-ray-framework-vulnerability 据 Ray 的开发商 Anyscale 称，Uber、亚马逊和 OpenAI 等大型科技公司都在使用该框架。 8、攻击者利用人工智能生成虚假讣告，进行网络钓鱼攻击 https://www.hackread.com/ai-generated-fake-obituary-websites-target-users/ 他们的最终目的可能是窃取个人数据、通过虚假事件的募捐进行诈骗，或将恶意软件植入访问者的设备。 9、14GB Minecraft玩家个人数据在非法论坛上免费发布 https://cybernews.com/news/minecraft-14gb-data-leak/ 据 Cybernews 研究团队称，共享数据库由 700 多份小型文件组成，这些文件似乎是根据之前的多次泄露和入侵事件汇编而成的。 10、违规使用数据训练大模型 谷歌被罚5亿欧元 http://www.anquan419.com/knews/24/6747.html 由于谷歌公司在未经许可的情况下，使用法国新闻机构和出版商提供的内容训练其旗下人工智能服务Bard的基础模型，违反了欧盟版权法相关规定。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、针对Ray人工智能框架的新ShadowRay攻击行动 https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild 近日，研究人员披露了一起名为"ShadowRay"的全球性网络攻击活动，这是首次有记录的针对广泛应用的开源人工智能框架Ray的活动性攻击。关键安全漏洞CVE-2023-48022自七个月前以来一直未被修补，该漏洞使得数千家公司的人工智能基础设施面临被恶意利用的风险，攻击者不仅能劫持计算资源进行加密货币挖矿，还有可能泄露敏感数据。受影响的行业包括教育、金融和医疗保健，Uber、亚马逊和Netflix等大公司也使 2、TheMoon变种植入4万多台设备助力匿名代理服务 https://blog.lumen.com/the-darkside-of-themoon/ 据研究人员报道，TheMoon恶意软件的一种新变体近期在全球范围内感染了数万台过时的小型办公和家庭路由器以及物联网(IoT)设备。其目标为已到使用寿命的家用/小型办公室(SOHO)路由器和IoT设备，1月和2月期间，有超过40000台过期设备在88个国家受到感染。TheMoon僵尸网络自2014年首次被发现活动，其运营者自2017年起至少在该恶意软件代码中加入了6种IoT设备的漏洞利用代码。该网络瞄准的是来自多家供应商的宽带调制解调器或路由器，包括Linksys、ASUS、MikroTik、D-L 3、最新报告表明API调用安全风险增加 https://thehackernews.com/2024/03/apis-drive-majority-of-internet-traffic.html 根据Imperva的《2024年API安全状况报告》，在2023年，互联网流量中高达71%源自应用程序编程接口(API)调用。企业网站在2023年平均经历了约15亿次API调用。随着数字服务向客户更快更高效的提供压力不断增加，尽管采用了shift-left框架和软件开发生命周期(SDLC)流程，API仍然在未编目、未认证或未审核的情况下上线。平均而言，组织在生产中有613个API端点，并且这一数字在迅速增长，时间推移这些API可能变成高 4、恶意NuGet软件包曝光针对开发人员 https://www.reversinglabs.com/blog/suspicious-nuget-package-grabs-data-from-industrial-systems 研究人员最近发现NuGet包管理器中出现了一个可疑软件包SqzrFramework480，这个软件包很可能是为了瞄准使用精密工业和数字设备制造商工具的开发者而设计。研究人员指出，该软件包自2024年1月24日首次发布以来，已被下载2999次。该安全公司表示目前没有发现其他具有相似行为的软件包。这一行动被推测很可能用于对装备了摄像头、机器视觉和机械臂的系统进行工业间谍活动。SqzrFramework480软 5、新型网络钓鱼攻击伪装银行通知传播键盘记录器 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader/ 研究人员发现了一场新型网络钓鱼攻击，威胁者通过伪装成银行支付通知的电子邮件，诱导用户打开附加的压缩文件。该压缩文件隐藏了一个恶意加载程序，用于在受害主机上部署一个称为Agent Tesla的信息窃取器和键盘记录器。这一加载程序运用了混淆技术来逃避检测，并利用复杂的解密方法和多态行为。它能够绕过杀毒软件防御，通过代理服务器和特定的URLs以及用户代理来检索其有效载荷，以 6、NVIDIA 修补了 Windows 版 ChatRTX 中高危漏洞 https://www.securityweek.com/code-execution-flaws-haunt-nvidia-chatrtx-for-windows/ 人工智能计算巨头 NVIDIA 周三针对其 ChatRTX for Windows 应用程序中的两个软件缺陷推出了紧急补丁，同时警告用户面临代码执行和数据篡改攻击的风险。 7、Chrome 更新修复了Pwn2Own所利用的零日漏洞 https://www.securityweek.com/chrome-update-patches-zero-day-vulnerabilities-exploited-at-pwn2own/ 谷歌周二发布了 Chrome 浏览器安全更新，以解决七个漏洞，其中四个是外部研究人员报告的。 8、Google Play上的免费VPN应用将设备变成代理 https://www.securityweek.com/vpn-apps-on-google-play-turn-android-devices-into-proxies/ 据 Human Security 报道，数十个将 Android 设备转变为住宅代理的 VPN 应用程序已进入 Google Play 商店。所有已识别的恶意应用程序都包含一个 Golang 库，负责将设备注册为代理节点，并且似乎链接到住宅代理卖家 Asocks。 9、空客通过收购 INFODAS 增强网络安全产品 https://fintech.global/2024/03/27/airbus-enhances-cybersecurity-offerings-with-infodas-acquisition/ 此次收购有望显着增强空客的网络安全产品组合，这是其战略愿景的重要组成部分，旨在增强欧洲和全球客户的数字保护。 10、CISA警告：黑客积极攻击微软SharePoint漏洞 https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html 美国网络安全和基础设施安全局 (CISA)根据野外活跃利用的证据，已将影响 Microsoft Sharepoint Server 的安全漏洞添加到其已知被利用的漏洞 ( KEV )目录中。该漏洞编号为 CVE-2023-24955（CVSS 评分：7.2），是一个严重的远程代码执行缺陷，允许具有站点所有者权限的经过身份验证的攻击者执行任意代码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型钓鱼工具Tycoon 2FA可绕过多重身份验证 https://blog.sekoia.io/tycoon-2fa-an-in-depth-analysis-of-the-latest-version-of-the-aitm-phishing-kit/ 近期网络威胁情报显示，名为"Tycoon 2FA"的新型钓鱼工具正被黑客用于针对Microsoft 365和Gmail账户，并绕过双因素身份验证(2FA)保护。目前，Tycoon 2FA服务利用了1100个域名，在成千上万的钓鱼攻击中被观察到。该工具涉及一个多步骤过程，其中威胁行为者通过托管钓鱼网页的反向代理服务器盗取会话cookie，拦截受害者输入并转发至合法服务。一旦用户完成MFA挑战 2、近17万用户受伪装Python包供应链攻击影响 https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure/ 研究人员披露，超过17万用户受到了一次针对Discord机器人开发者社区Top.gg用户群体的供应链攻击。该攻击主要通过伪装的Python PyPI软件包传播带有恶意软件的代码，这些恶意软件能够从受害者的浏览器、Discord应用、加密钱包以及包含特定关键字的文件中窃取数据。攻击者利用了多种供应链攻击技术，其中包括复制流行的Python软件包(如Colorama)、使用与Python官方站点极为相似的钓 3、GEOBOX黑客工具劫持Raspberry Pi伪造地理位置 https://www.resecurity.com/blog/article/cybercriminals-transform-raspberry-pi-into-a-tool-for-fraud-and-anonymization-geobox-discovery 据研究人员的报告，一个名为GEOBOX的新黑暗网工具通过劫持树莓派设备，让黑客们能够伪造地理位置并逃避检测。GEOBOX被设计来攻击树莓派4 B型号设备，使犯罪分子实现匿名化和欺诈。这一发现源自对一起在线银行盗窃案件的调查，涉及某财富100强金融公司的高净值客户。GEOBOX让犯罪分子可以操纵GPS数据，模拟网络，模仿Wi-F 4、CISA警告三大漏洞遭积极利要求机构紧急修补 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 据一份新闻报道，美国网络安全和基础设施安全局(CISA)更新了其已知被利用的漏洞(KEV)目录，新添加了三个正被积极利用的安全漏洞。这些漏洞包括Fortinet的FortiClient EMS SQL注入漏洞(CVE-2023-48788, CVSS评分9.3)、Ivanti的Endpoint Manager Cloud Service Appliance代码注入漏洞(CVE-2021-44529, CVSS评分9.8)以及Nice的Linear eMerge E3系列的 5、新的ZenHammer内存攻击影响AMD Zen系列CPU https://comsec.ethz.ch/wp-content/files/zenhammer_sec24.pdf 研究人员开发了首个针对AMD Zen微架构CPU的Rowhammer变体攻击——ZenHammer，该攻击漏洞针对DDR4和DDR5内存芯片上的物理地址映射。尽管AMD Zen芯片和DDR5内存模块之前被认为对Rowhammer较不敏感，但最新研究发现挑战了这一观点。ZenHammer利用内存单元物理特性，通过重复访问("锤击")特定内存单元行来改变比特值，称为"比特翻转"。通过在特定位置诱发比特翻转，攻击者可能获取敏感数据或提升权限。研究人员通过逆向工程解决了AMD平台的 6、滑板品牌Vans警告顾客数据泄露 https://view.news.vans.com/?qs=ccb3da58015c46135093fc75f9499b6bbcce99c4171e5e5ada89c8e517e03e17679f64b6aefa0fb2ab3b1f4f3731248c5b14eb620f6ac9737c9838d904eb5aa2624b218e0feae8700cb4365083fc0054&& 滑板品牌Vans于2024年3月通知客户遭受了一次“数据事故”，导致个人信息可能泄露。2023年12月13日，Vans检测到其IT系统存在未经授权的活动，调查显示这一事故涉及客户的个人信息，包括邮箱地址、全名、 7、美国上千万卡车容易受蠕虫攻击 https://www.theregister.com/2024/03/22/boffins_tucktotruck_worm/ 科罗拉多州立大学研究人员发现，美国商用卡车使用的 Electronic Logging Devices(ELDs)存在安全漏洞，可被用于控制卡车，甚至在卡车之间传播蠕虫。 8、欧罗巴航空宣布客户数据可能遭到泄露 https://cybersecuritynews.com/air-europa-compromise-of-customer-data 西班牙著名航空公司欧罗巴航空公司（Air Europa）宣布，在去年10月发现安全事件后，其客户数据可能会遭到泄露。 9、Apple 修补了 iOS、macOS 中的代码执行漏洞 https://www.securityweek.com/apple-patches-code-execution-vulnerability-in-ios-macos/ Apple 发布了针对 iOS 和 macOS 设备的新安全更新，以解决任意代码执行漏洞。该问题被追踪为 CVE-2024-1580，被描述为导致越界写入的整数溢出，影响 iOS 和 macOS 的 CoreMedia 和 WebRTC 组件，并可能在图像处理过程中触发。 10、TheMoon僵尸网络在1-2月份感染了超过40,000 台设备 https://securityaffairs.com/161091/malware/themoon-malware-targets-soho.html Lumen Technologies 的 Black Lotus 实验室团队发现了“ TheMoon ”机器人的更新版本，该机器人针对报废 (EoL) 小型家庭/小型办公室 (SOHO) 路由器和物联网设备。该僵尸程序的新版本已被发现感染了 88 个国家/地区的数千台过时设备。TheMoon僵尸网络的活动 于 2014 年首次被发现，自 2017 年以来，其运营商在该僵尸网络的代码中添加了至少 6 个物联网设备漏洞。该僵尸网络针对多家供应商 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、俄罗斯黑客利用TinyTurla-NG入侵欧洲NGO网络 https://blog.talosintelligence.com/tinyturla-full-kill-chain/ 据研究人员最新发布的报告，与俄罗斯有关联的网络威胁行动组织Turla，成功侵入了一个未命名欧洲非政府组织(NGO)的多个系统，并部署了名为TinyTurla-NG(TTNG)的后门程序。攻击者首次渗透系统后，建立了持久性并修改了端点上运行的防病毒产品设置。此后，通过一个名为Chisel的通讯渠道来窃取数据，并向网络中其他可访问的系统拓展其控制范围。有证据显示，这些系统最早在2023年10月就已遭到破坏，Chisel在2023年12月部署，数据窃取活动在2024年1月12 2、StrelaStealer网络钓鱼攻击影响逾百个欧美机构 https://unit42.paloaltonetworks.com/strelastealer-campaign/ 研究人员最新发现了一波针对性的网络钓鱼攻击，这次攻击主要通过传播名为StrelaStealer的信息窃取恶意软件。据研究人员发布的报告，这次攻击波及了超过100家欧盟和美国的组织。研究者发现，攻击者通过垃圾邮件附件的形式散布恶意软件，并不断更换邮件附件文件格式以躲避安全检测。StrelaStealer主要用于盗取知名邮件客户端的登录数据，并将其传送至攻击者控制的服务器。自2022年11月首次揭露StrelaStealer以来，研究人员在2023年11月和2024年1月监测到 3、AWS修复Apache Airflow严重的“FlowFixation”会话劫持漏洞 https://www.tenable.com/blog/flowfixation-aws-apache-airflow-service-takeover-vulnerability-and-why-neglecting-guardrails 亚马逊网络服务(AWS)近期修复了其托管的Apache Airflow(MWAA)服务中的一个关键安全漏洞。根据研究人员的报告，此漏洞允许恶意攻击者劫持用户会话，并可能在底层实例上实现远程代码执行。这一漏洞被Tenable公司命名为FlowFixation，并已由AWS地址解决。Tenable的高级安全研究员在一项技术分析中指出，攻击者在接管受害者账户 4、GoFetch攻击威胁苹果M系列芯片可致安全加密遭泄露 https://gofetch.fail/ 一种名为"GoFetch"的新型旁道攻击手段影响了苹果的M1、M2和M3处理器，此攻击手段可用于从CPU缓存中窃取密钥。GoFetch攻击利用现代苹果CPU中的数据存储器依赖预取器(DMPs)，并瞄准了执行时间恒定的密码实现，从而重建包括OpenSSL Diffie-Hellman、Go RSA、CRYSTALS Kyber和Dilithium在内的多种算法的私钥。这一攻击由来自美国多所大学的七名研究人员开发，并于2023年12月5日向苹果报告了他们的发现。然而，由于这是一个基于硬件的漏洞，目前无法在受影响的CPU中修复它。虽然可以通过软件修复来减 5、KDE警告官方主题或存在擦除用户文件风险 https://www.bleepingcomputer.com/news/linux/kde-advises-extreme-caution-after-theme-wipes-linux-users-files/ KDE团队警告Linux用户安装全局主题时要极为谨慎，哪怕是从官方KDE Store下载。这些主题通过运行任意代码来自定义桌面外观，但KDE Store目前允许任何人上传新的主题和插件，且没有恶意行为检查机制。KDE坦言，目前缺乏资源去审查提交到官方商店中每个全局主题的代码。如果这些主题存在缺陷或恶意设计，可能会导致不可预料的后果。在一个Reddit帖子中，至少有一名用户在安装 6、联合国调查58起朝鲜涉嫌盗窃加密货币案件，价值 30 亿美元 https://therecord.media/north-korea-cryptocurrency-hacks-un-experts 在 3 月 7 日发布的一份报告中，联合国专家表示，他们追踪了 2017 年至 2023 年间“隶属于侦察总局 (RGB) 的网络威胁行为者，包括 Kimsuky、Lazarus Group、Andariel 和 BlueNoroff”的活动。 7、国家网信办公布《促进和规范数据跨境流动规定》 https://www.freebuf.com/articles/395806.html 3 月 22 日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》，自公布之日起施行。 8、新型Loop DOS攻击可能针对30万个脆弱主机 https://securityaffairs.com/160851/hacking/loop-dos-attack.html 该攻击通过配对使用UDP协议的服务器，并利用IP伪造技术，诱导它们进入一个无限循环的通信状态。 9、影响全球300万间酒店客房dormakaba门锁被曝高危漏洞 https://www.ithome.com/0/757/461.htm 专家表示该漏洞存在于多玛凯拔的 Saflok MT 系列、Quantum 系列、RT 系列、Saffire 系列、Confidant 系列和所有其它 Saflok 品牌的锁产品。 10、Sign1 恶意软件感染了9 万个 WordPress 网站 https://www.bleepingcomputer.com/news/security/evasive-sign1-malware-campaign-infects-39-000-wordpress-sites/ 在对 Sign1 恶意软件详细分析后，Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL，每 10 分钟就会更新一次，以躲避安全拦截。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Ivanti修复由北约研究人员报告的关键RCE漏洞 https://forums.ivanti.com/s/article/KB-CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry?language=en_US Ivanti近日修复了两项关键漏洞CVE-2023-41724和CVE-2023-46808。CVE-2023-41724影响Ivanti Standalone Sentry，这是一款作为设备与激活Sync-enabled邮箱服务器之间网关的设备。该漏洞可以让未认证的攻击者在相同的物理或逻辑网络中执行任意指令。尽管目前尚无客户通过该漏洞被攻陷的报告，Iva 2、Fortinet软件关键漏洞遭野外积极利用 https://www.horizon3.ai/attack-research/attack-blogs/cve-2023-48788-fortinet-forticlientems-sql-injection-deep-dive/ 研究人员发布了Fortinet公司FortiClient Enterprise Management Server(EMS)软件中一个关键漏洞(CVE-2023-48788，CVSS评分9.3)的概念验证(PoC)利用代码。该漏洞目前在野外被积极利用进行攻击。这个关键漏洞是一个普遍存在的SQL注入问题，位于DAS组件中。该SQL注入漏洞可能允许未认证的攻击者通过 3、豪华游艇经销商遭Rhysida勒索软件攻击 https://www.theregister.com/2024/03/21/luxury_yacht_dealer_rhysida/ 美国豪华游艇经销商MarineMax在本月初遭到了Rhysida勒索软件团伙的网络攻击。该集团宣称对此次攻击负责，并在其网站上发布了声称从MarineMax窃取的数据片段。这些文件主要与账户和财务相关，但文件的具体性质并不清晰。尽管MarineMax在3月10日向证券交易委员会(SEC)披露了网络攻击，并采取了一系列措施来减少业务受到的影响，但他们当时并未提及勒索软件的参与。MarineMax在提交给SEC的8-K表格中声称，受影响的信息环境中并未存储敏感数 4、微软曝光利用纳税申报表的新型网络钓鱼骗局 https://www.microsoft.com/en-us/security/blog/2024/03/20/microsoft-threat-intelligence-unveils-targets-and-innovative-tactics-amidst-tax-season/ 微软最近警告称，在纳税季节，针对个人纳税人和企业的网络钓鱼及恶意软件活动正在升温。这些网络诈骗活动不仅针对新税务人士、最近获得绿卡的移民、自行申报的小企业主以及年长者等特定群体，还使用紧急手段来窃取他们的个人和财务数据。攻击者经常伪装成可信来源，例如雇主、税务机构和支付处理商，发送模糊或不完整的税务文件，创 5、俄黑客组织APT29针对德国政党发起网络攻击 https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties 俄罗斯黑客团伙APT29被指控对德国政党进行网络攻击作为其背后莫斯科支持的间谍活动的一部分。安研究人员表示，此次行动是该组织首次针对政治组织。研究人员发布的报告中将这次活动归咎于与俄罗斯外交情报局关联的APT29。该活动自2月底以来活跃，主要通过假装来自德国基督教民主联盟的网络钓鱼邮件进行。攻击者发送的钓鱼电子邮件看起来是来自德国基督教民主联盟的，邀请受害者参加晚宴接待。这些邮件包含了一个伪装成zip文件附件的恶意软件"RootS 6、千万房门面临电子锁漏洞风险 https://unsaflok.com/ 研究人员发现了一系列针对Dormakaba Saflok电子RFID锁的漏洞，这些漏洞被集体命名为Unsaflok，可能允许黑客破解这些流行锁具，打开全球范围内数百万扇门。Saflok电子RFID锁广泛应用于酒店和多户型住宅环境，遍布131个国家的13000个地产，影响了估计超过300万扇门。研究显示，仅需获取任一物业的一张钥匙卡，攻击者即可针对该物业的任何一扇门进行攻击。这张钥匙卡可以是他们自己房间的或者一个过期的从快速结账收集箱中取得的。利用成本不到300美元的RFID读写设备，研究人员可以复制这种钥匙卡来开锁。Dormakaba在2023年1 7、德国警方摧毁暗网市场“复仇者市场” https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2024/Presse2024/240321_PM_Nemesis_Market.html 2024年3月23日，德国联邦刑警局(BKA)和法兰克福打击网络犯罪小组(ZIT)成功摧毁了暗网市场Nemesis Market的基础设施。这次行动在德国和立陶宛执行，阻断了该市场的运作。据德国BKA发布的新闻稿称，Nemesis Market自2021年以来活跃，提供非法药物、窃取数据、信用卡信息以及网络犯罪服务，如勒索软件、钓鱼攻击或DDoS攻击。该市场近期注册用户超过15万，卖 8、SmokeLoader恶意软件针对金融部门发起网络钓鱼攻击 https://scpc.gov.ua/api/files/8e300d33-6257-4d7f-8f72-457224268343 近期，一群以金融动机为驱动的黑客利用SmokeLoader恶意软件，广泛针对乌克兰政府和行政机构的财务部门进行了一系列的网络钓鱼攻击活动。根据研究人员共同跟踪，他们分析了从2023年5月到11月发生的23起网络钓鱼活动。在这些频繁且规模庞大的攻击中，利用诱骗性电子邮件，黑客锁定了政府、防务、电信、零售和金融部门的财务部门。攻击者使用之前泄露的电子邮件地址来构建信任感，邮件主题常关于支付和账单，且包含以前泄露事件中窃取的合法财务文件。虽然试图使电子邮件看起来可信 9、AndroxGh0st恶意软件攻击Laravel应用窃取云凭证 https://blogs.juniper.net/en-us/security/shielding-networks-against-androxgh0st 研究人员近日揭示了一个名为AndroxGh0st的恶意软件，该软件针对使用Laravel框架的应用程序，窃取敏感数据，包括云服务凭证。研究人员表示，AndroxGh0st通过扫描和窃取.env文件中的重要信息，揭露了与AWS和Twilio等服务相关的登录详情。该恶意软件自2022年起就已在野外被检测到，利用者通过它访问Laravel环境文件，窃取包括亚马逊云服务(AWS)在内的各种云服务应用程序的凭证。AndroxGh0st利用已知的 10、Mozilla修复Firefox在Pwn2Own大赛中被利用的零日漏洞 https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943 Mozilla迅速应对了在2024年温哥华Pwn2Own黑客大赛中被利用的两个Firefox零日漏洞。研究人员在比赛中通过OOB(越界)写操作以及暴露的高风险功能漏洞成功实现了对Mozilla Firefox的沙箱逃逸并执行远程代码。研究人员的这次黑客攻击为他赢得了10万美元和10个“Pwn之王”积分。Firefox安全顾问公布的两个问题涉及的CVE编号分别为CVE-2024-29943和CVE-2024-29944，并指出这两个问题仅影 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimsuky团伙利用Windows帮助文件进行网络攻击 https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group/ 据研究人员透露，臭名昭著的朝鲜黑客团伙Kimsuky已开始采取新的网络攻击手段。Kimsuky一直偏爱使用钓鱼攻击，有时还会通过长时间的社会工程学手段冒充学者或媒体人与目标建立联系。他们之前的攻击中，受害者会收到加载了恶意软件的问卷。虽然研究人员尚不确定该团伙如何分发其最新的攻击载荷，但它们确信包括有毒的Microsoft编译的HTML帮助(CHM)文件，以及ISO、VH 2、新型网络钓鱼攻击运用Office漏洞部署NetSupport恶意软件 https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/ 一种新型网络钓鱼活动正在针对美国组织，其目的是部署名为NetSupport RAT的远程访问木马。研究人员正在追踪这一活动，称其为“Operation PhantomBlu”。PhantomBlu行动引入了一种新颖的利用方法，通过利用OLE(对象链接与嵌入)模板操控，巧妙地利用Microsoft Office文档模板来执行恶意代码，同时规避检测，背离了NetSupport RAT的典型传输机 3、黑客积极利用JetBrains TeamCity漏洞传播恶意软件 https://www.trendmicro.com/en_us/research/24/c/teamcity-vulnerability-exploits-lead-to-jasmin-ransomware.html 根据研究人员的报告，多个威胁行为者正在积极利用JetBrains TeamCity最近曝光的安全漏洞来发动攻击。研究人员报告称，攻击者可以利用CVE-2024-27198进行广泛的恶意活动，包括投放Jasmin勒索软件、部署XMRig加密货币挖矿程序、部署Cobalt Strike信标、部署SparkRAT后门、执行域发现和持久性命令等。攻击者借此安装恶意软件，与指挥控制服务 4、Ivanti漏洞遭大规模攻击活动利用 https://www.varonis.com/blog/increased-threat-activity-targeting-ivanti-vulnerabilities 研究人员报告显示，此次活动主要以两个漏洞为目标：CVE-2023-46805，一种高严重性的验证绕过漏洞，以及CVE-2024-21887，一种关键严重性的命令注入漏洞。黑客通过串联这两个漏洞获得了远程执行任意命令的能力。这些漏洞的详情于2024年1月10日公开披露，并迅速有相应的概念验证(POC)代码作为流行的Metasploit攻击框架的攻击模块发布。首批报告显示，一名黑客自2023年12月起开始利用这些目标，该行 5、新型“Loop DoS”攻击威胁30万系统 https://cispa.de/en/loop-dos 研究人员发现了一种名为“Loop DoS”的新型拒绝服务(DoS)攻击方式，该攻击通过UDP漏洞针对应用层协议，创建无限循环通信，影响约30万主机。与传统的滥用大量流量使系统不堪重负的DoS攻击不同，“Loop DoS”攻击利用了UDP(面向无连接的协议)不验证消息的特性，通过伪造IP地址制造服务器间的无休止通信，导致服务不可用。这种攻击可以影响DNS、NTP、TFTP等常用协议，以及Echo和Chargen这样的传统协议。尽管目前还未发现该漏洞被广泛利用，但此现象展示了网络安全威胁的演变和网络犯罪分子的高级化。系统管理员和IT安全专 6、GitHub 在公共测试版中推出“代码扫描自动修复” https://www.securityweek.com/github-rolls-out-code-scanning-autofix-in-public-beta/ GitHub 周三宣布推出代码扫描自动修复的公开测试版，这是一项旨在帮助开发人员更快地解决代码漏洞的新功能。代码扫描自动修复最初于 2023 年 11 月宣布，依靠 GitHub 的人工智能代码完成工具 Copilot 和语义代码分析引擎 CodeQL 来识别 JavaScript、Typescript、Java 和 Python 存储库中的漏洞，并为其提供修复建议。 7、FortiClient EMS 严重漏洞被广泛利用 https://securityaffairs.com/160885/uncategorized/fortinet-forticlient-ems-critical-flaw.html 研究人员针对 Fortinet 的 FortiClient 企业管理服务器 (EMS) 软件中的一个严重缺陷发布了 PoC 漏洞，该漏洞已被积极利用。 8、PWN2OWN 温哥华 2024第一天 – 特斯拉被攻破 https://securityaffairs.com/160870/hacking/pwn2own-vancouver-2024-day-1.html 2024 年 Pwn2Own 温哥华黑客大赛第一天，参赛者团队展示了特斯拉黑客技术，参与者在 2024 年 Pwn2Own 温哥华黑客竞赛第一天因展示 19 个独特的零日而获得了 732,000 美元的奖金。专家们成功演示了针对 Tesla 汽车、Linux 和 Windows 操作系统等的漏洞利用。 9、因系统故障，埃塞俄比亚某商业银行可以无”限额“取钱 https://www.wionews.com/business-economy/ethiopia-bank-glitch-allows-customers-to-withdraw-millions-heres-what-happened-701766 埃塞俄比亚最大的商业银行（Commericial Bank of Ethiopia）出现一起技术故障，旗下的 ATM 可以无”限额“取钱。 10、 IDC：2027 年中国网络安全市场规模将超 200 亿美元 https://www.secrss.com/articles/64540 IDC 预测，中国网络安全市场规模从 2022 年的 123.5 亿美元快速增长至 2027 年的 233.2 亿美元，期间年复合增长率为 13.5%，高于全球平均水平。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、苏格兰健康局遭网络攻击面临数据泄露风险 https://www.nhsdg.co.uk/cyberattack/ 2024年3月15日，服务于苏格兰西南部地区的NHS Dumfries and Galloway健康局宣布遭受了一次有针对性的持续网络攻击。尽管具体攻击方式未公开，健康局已警告表示有大量患者和员工数据可能已被泄露。目前，该健康局已经启动既定应对协议，正在与多个合作机构紧密合作，包括Police Scotland、国家网络安全中心(NCSC)和苏格兰政府，旨在控制攻击、调查数据泄露范围并减轻潜在损害。该网络攻击可能导致NHS Dumfries and Galloway的服务中断，潜在影响包括病患预约、在线服务的访问或内部 2、黑客利用假谷歌站点传播AZORult木马病毒 https://www.netskope.com/blog/from-delivery-to-execution-an-evasive-azorult-campaign-smuggled-through-google-sites 近期，研究人员发现了一种新的恶意软件活动，攻击者通过制作伪造的谷歌站点页面，并采用HTML走私技术，传播一种名为AZORult的商业恶意软件以窃取信息。研究人员发布的报告中指出，这种钓鱼活动尚未归咎于特定的威胁行为者或团伙，但已广泛展开，目的是收集敏感数据并在黑市论坛出售。AZORult是一种信息窃取软件，最初于2016年被检测到。它通常通过钓鱼和垃圾邮件活动、为盗 3、DEEP#GOSU新恶意软件攻击活动针对Windows系统 https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign/ 研究人员近日发现一场名为DEEP#GOSU的新型攻击活动，利用PowerShell和VBScript恶意软件攻击Windows系统，并窃取敏感信息。研究人员通过技术分析指出，该恶意软件运用高级技术，能够在Windows系统中悄无声息地执行操作，尤其在网络监控方面。DEEP#GOSU被认为与朝鲜支持的黑客组织Kimsuky相关。该恶意软件的功能包括记录键盘操作、监控剪贴板内容、执行动态有 4、Atlassian修复了Bamboo等产品中的严重漏洞 https://securityaffairs.com/160838/security/atlassian-fixed-critical-flaw-cve-2024-1597.html Atlassian 修复了 Bamboo、Bitbucket、Confluence 和 Jira 产品中的数十个漏洞，其中包括一个可能非常危险的严重缺陷。 5、Chrome 123、Firefox 124发布，修复严重漏洞 https://www.securityweek.com/chrome-123-firefox-124-patch-serious-vulnerabilities/ 谷歌和 Mozilla 周二宣布了网络浏览器安全更新，解决了数十个漏洞，其中包括一个严重漏洞和多个高严重漏洞。 6、Microsoft 宣布在 Windows 中弃用 1024 位 RSA 密钥 https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-deprecation-of-1024-bit-rsa-keys-in-windows Microsoft 宣布，Windows 传输层安全 (TLS) 中将很快弃用短于 2048 位的 RSA 密钥，以提供更高的安全性。1024 位 RSA 密钥的强度约为 80 位，而 2048 位密钥的强度约为 112 位，这使得后者的分解时间长了 40 亿倍。该领域的专家认为 2048 位密钥 至少在 2030 年之前都是安全的。 7、LockBit 试图通过新版本维持生存 https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html 最近，研究人员获得了一个样本，据信该样本代表了 LockBit 的新演变：与平台无关的恶意软件正在测试的开发版本，与以前的版本不同。 8、TeamCity漏洞导致勒索软件、恶意挖矿和 RAT 攻击激增 https://thehackernews.com/2024/03/teamcity-flaw-leads-to-surge-in.html 多个威胁行为者正在利用 JetBrains TeamCity 软件中最近披露的安全漏洞来部署勒索软件、加密货币挖矿程序、Cobalt Strike 信标以及基于 Golang 的名为 Spark RAT 的远程访问木马。 9、微软报告，英国87%的组织容易受到网络攻击 https://cybernews.com/security/uk-organizations-ai-attacks/ 报告显示，39%的组织没有将网络威胁告知其领导层，没有业务连续性计划，没有专门的网络安全预算，且缺乏对技术升级的投资。 10、超过133K台 Fortinet 设备仍然易受CVE-2024-21762影响 https://www.theregister.com/2024/03/18/more_than_133000_fortinet_appliances 尽管补丁逐渐增加，但暴露在公共互联网上且易受 FortiOS 一个月前严重安全漏洞影响的 Fortinet 数量仍然非常高。根据安全非营利组织 Shadowserver 的最新数据，易受 CVE-2024-21762 影响的 Fortinet 设备数量超过 133,000 台，仅比十天前的 150,000 多台略有下降。暴露数量最多的是亚洲，有 54,310 台设备仍然容易受到严重 RCE 漏洞的影响。北美和欧洲分别以 34,945 和 28 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型AcidPour恶意软件瞄准乌克兰Linux系统 https://www.hackread.com/acidrain-linux-malware-variant-acidpour-ukraine/ 研究人员近日发现了一种针对乌克兰Linux系统的恶意软件新变种，命名为“AcidPour”。这种恶意软件是已知AcidRain恶意软件的进化版本，去年三月首次出现并在俄罗斯入侵乌克兰之初于Viasat hack事件中破坏了大量KA-SAT Surfbeam2调制解调器。AcidPour与原始的AcidRain在某些代码字符串上有相似之处，但在代码库上有显著不同，这个新的变种是专门为Linux x86设备编译的，而不是MIPS体系结构。研究人员指出 2、WordPress插件miniOrange漏洞会导致网站被接管 https://www.wordfence.com/blog/2024/03/critical-vulnerability-remains-unpatched-in-two-permanently-closed-miniorange-wordpress-plugins-1250-bounty-awarded/ 研究人员近日发现WordPress插件miniOrange的恶意软件扫描器和Web应用防火墙中存在一个关键漏洞，该漏洞可能允许未经授权的攻击者接管网站。自2024年3月1日，Wordfence作为公司Bug赏金倡议Extravaganza的一部分，接到了关于miniOrange恶意软件 3、关键FileCatalyst远程执行漏洞PoC利用代码发布 https://www.fortra.com/security/advisory/fi-2024-002 Fortra修复了其FileCatalyst文件传输产品中一个关键的远程代码执行漏洞。Fortra发布了更新来解决这个影响其FileCatalyst文件传输解决方案的关键漏洞，该漏洞被追踪为CVE-2024-25153(CVSS评分9.8)。远程未经授权的攻击者可以利用这个漏洞在受影响的服务器上执行任意代码。安全建议说明："FileCatalyst Workflow Web Portal的'ftpservlet'中的目录遍历允许通过特殊构造的POST请求将文件上传到意图之外的'uploa 4、TMChecker工具可降低攻击者恶意活动门槛 https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise 研究人员警告称，新的名为TMChecker的工具集在暗网上作为攻击武器获得关注，旨在针对远程访问服务和流行的电子商务平台。该工具由化名为"M762"的威胁行为者开发，并在XSS网络犯罪论坛上售价每月200美元，根据研究人员的报告，它可用于针对企业VPN网关、电子邮件服务器、内容管理系统和主机控制面板。TMChecker帮助威胁行为者侵入企业网络，获取未经授权的访问敏感数据的机会。微软去年观察到，自 5、新型GPU缓存侧信道攻击影响多种流行的浏览器和显卡 https://www.securityweek.com/new-attack-shows-risks-of-browsers-giving-websites-access-to-gpu/ 来自奥地利格拉茨科技大学和法国雷恩大学的研究人员团队展示了一种新的图形处理单元 (GPU) 攻击，该攻击会影响多种流行的浏览器和显卡。 6、配置错误的 Firebase 实例暴露了1.25 亿条用户记录 https://www.securityweek.com/misconfigured-firebase-instances-expose-125-million-user-records/ 安全研究人员警告称，数百个网站错误配置了 Google Firebase，泄露了超过 1.25 亿条用户记录，其中包括明文密码。 7、从Deepfakes到恶意软件,AI在网络攻击中的作用不断扩大 https://thehackernews.com/2024/03/from-deepfakes-to-malware-ais-expanding.html 如今，支持人工智能 (AI) 工具的大型语言模型 (LLM) 可用于开发能够绕过 YARA 规则的自我增强恶意软件。 8、乌克兰网络警察逮捕了出售 1 亿个被盗账户的黑客 https://securityaffairs.com/160748/cyber-crime/ukraine-cyber-police-account-hacking.html 乌克兰网络警察与国家警察一起逮捕了三名试图出售 1 亿封受损电子邮件和 Instagram 帐户的黑客。他们涉嫌黑客入侵全球 1 亿多个电子邮件和 Instagram 帐户并将其出售。 9、谷歌2023年发放7100万元漏洞赏金，近年累计支出超4亿元 https://www.secrss.com/articles/64456 在2023年内，谷歌向来自68个国家的632名研究人员支付了1000万美元（约合人民币7196万元），以表彰他们在发现并负责地报告旗下产品和服务的安全漏洞。 10、麦当劳 IT 系统中断，波及全球餐厅 https://www.bleepingcomputer.com/news/technology/mcdonalds-it-systems-outage-impacts-restaurants-worldwide/ 由于系统中断，导致麦当劳员工无法接受订单和接受付款，包括美国、日本、澳大利亚、加拿大、荷兰、意大利、新西兰和英国等多国的麦当劳门店于当日停止营业。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT28针对多地区开展广泛网络钓鱼攻击 https://securityintelligence.com/x-force/itg05-leverages-malware-arsenal/ 根据研究人员发布的最新报告，与俄罗斯有关联的网络威胁行为者APT28，被发现正在进行多起精心策划的网络钓鱼攻击。这次攻击针对的是欧洲、南高加索地区、中亚以及北美和南美的政府及非政府组织(NGOs)。APT28利用看似官方的诱饵文档进行欺骗，这些文档既包括内部文件也包括公开可获得的文档，涵盖了金融、重要基础设施、行政会议、网络安全、海洋安全、卫生保健、商务和国防产业等多个领域。研究人员观察到的最新活动是在2023年11月末至2024年2月间，APT 2、朝鲜APT组织利用Tornado Cash洗钱2300万美元 https://www.elliptic.co/blog/north-korean-hackers-return-to-tornado-cash-despite-sanctions 据研究人员报道，与朝鲜有关的网络黑客组织Lazarus再次恢复使用加密货币混合器平台Tornado Cash洗钱2300万美元。2023年11月发生的HTX交易所1125万美元的盗窃案被追踪到Lazarus APT组织，如今，Elliptic通报称Lazarus组织通过Tornado Cash清洗了来自该次攻击的逾2300万美元资金。2022年8月，美国财政部外国资产控制办公室(OFAC)因北朝鲜相关的Lazar 3、英国国防大臣专机在波兰遭电子战攻击 https://www.thesun.co.uk/news/26691317/russia-putin-grant-shapps-plane-hacked-gps-communications-ww3/ 英国国防大臣格兰特·沙普斯的RAF Dassault Falcon 900喷气式飞机最近在飞往英国途中，据称遭到了俄罗斯黑客发起的电子战攻击，导致飞机的全球定位系统(GPS)和通信设备短暂失效。沙普斯此行前往波兰访问英国在"坚定捍卫者"军事演习中的军队，并确认了英国对乌克兰的全力支持。《太阳报》的国防编辑在起飞时搭乘了RAF Dassault Falcon 900喷气式飞机，并报告说飞机在靠 4、新声学攻击可凭打字模式识别键盘输入 https://arxiv.org/pdf/2403.08740.pdf 最新研究展示了一种新型声学旁道攻击方法，即使在噪音环境下，也能根据键盘打字模式推断用户输入。该方法的平均成功率虽然只有43%，低于过去提出的其他方法，但它不需要受控的录音条件或特定的打字平台。这一技术更适用于现实攻击，在特定的目标相关参数下，通过收集后的分析产生足够可靠的数据，以解密目标的整体输入。美国奥古斯塔大学的研究人员公布了他们独特的声学旁道方法的技术细节。这种攻击利用通过专用软件捕捉的不同按键的特有声音排放和用户的打字模式来收集数据集。收集目标的一些打字样本至关重要，以便将特定的按键和单词与声波联系起来。虽然论 5、AT&T否认泄露的7000万用户数据来自其系统 https://www.bleepingcomputer.com/news/security/att-says-leaked-data-of-70-million-people-is-not-from-its-systems/ AT&T公司近日表示，在一家网络犯罪论坛上被黑客泄露并宣称来自2021年对公司系统的攻击的大量数据，并非来自其系统。该数据涉及7100万人。这些数据涉及到声称是2021年攻击AT&T数据泄露案的一部分，由一个名为ShinyHunters的威胁行为者尝试在数据盗窃论坛上以20万美元的起始价格和3万美元的增量报价出售。该黑客表示他们愿意立即以100万美元出售。如今，另一名 6、富士通遭受恶意软件攻击并发生数据泄露 https://securityaffairs.com/160682/hacking/fujitsu-suffered-cyberattack.html 日本科技巨头富士通周五宣布遭遇恶意软件攻击，威胁行为者可能窃取了个人和客户信息。该公司透露，多台工作计算机感染了恶意软件，为了应对这一威胁，安全人员将受影响的系统与网络断开。该公司对此事件展开调查，发现威胁行为者可能泄露了包含个人和客户信息的文件。 7、航空航天部门面临猛增的网络安全威胁 https://securityaffairs.com/160664/uncategorized/aviation-and-aerospace-sectors-cyber-threats.html 随着全球地缘政治紧张局势加剧，民航业和航空航天领域遭受破坏性网络攻击的风险加大。Resecurity 详细介绍了针对这些部门的威胁行为者最近的显着活动。Lockbit 3.0是针对这些行业的最活跃的勒索软件组织之一，已对多家知名公司发起了攻击。它于 2021 年 9 月攻击泰国主要航空公司曼谷航空，于 2021 年 10 月攻击以色列航空航天和国防公司 EMIT Aviation Consulti 8、恶意广告提供虚假Notepad++和VNote安装包针对中国用户 https://thehackernews.com/2024/03/malicious-ads-targeting-chinese-users.html 在百度等搜索引擎上寻找 Notepad++ 和 VNote 等合法软件的中国用户正成为恶意广告和虚假链接的目标，这些链接会分发该软件的木马版本，并最终部署Geacon（一种基于 Golang 的 Cobalt Strike 实现）。 9、TikTok 因“安全问题”被美国发布禁令 https://www.darkreading.com/cyber-risk/tiktok-ban-raises-data-security-control-questions 继众议院能源与商务委员会上周通过禁用流行社交媒体平台 TikTok 的法案后，美国国会投票赞成该法案，该法案规定，任何受“外国”控股的企业需在 180 天内撤资。 10、LockBit 一重要成员被加拿大法院判处 4 年监禁 https://www.ithome.com/0/755/716.htm 据加拿大媒体 CTV News 报道，黑客组织 LockBit 重要成员米哈伊尔・瓦西里耶夫（Mikhail Vasiliev）被加拿大安大略省法院判处 4 年监禁。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、印度Android用户钓鱼诈骗活动日趋猖獗 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india/ 研究人员报告，自2023年3月起至今，印度Android用户成为了钓鱼诈骗软件活动的目标。这种恶意软件已经发展成一个服务形式，涵盖了800多个应用程序，并感染了超过3700台设备。钓鱼页面设计用于易于欺骗的场景，比如电费付款、预约医院和快递预定等。这些页面会在不同应用程序中加载，最后出售给诈骗者。诈骗者通常通过电话、短信、电子邮件或社交应用程序联系 2、RedCurl团伙利用Windows PCA工具进行企业间谍活动 https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html 俄语网络犯罪组织RedCurl正在利用一个名为程序兼容性助手(PCA)的合法微软Windows组件执行恶意命令。研究人员分析中指出，该服务(pcalua.exe)原本设计用来识别和解决与旧程序的兼容问题，但敌对方可以利用这个工具作为命令行解释器的替代，以此执行命令并绕过安全限制。RedCurl组织自2018年起活跃，以企业间谍活动面向位于澳大利亚、加拿大、德国、 3、关键FortiClient EMS漏洞PoC被出售 https://fortiguard.fortinet.com/psirt/FG-IR-24-007 研究人员最近修复了其FortiClient Endpoint Management Server(EMS)解决方案中的一个SQL注入漏洞(CVE-2023-48788)，这似乎引起了许多人的兴趣：研究人员的攻击团队计划下周发布技术细节和概念验证Exploit，而有人正试图通过GitHub以不到300美元的价格出售一个PoC。关于CVE-2023-48788，这是Fortinet最近修补的几个漏洞之一。在星期三，有人在GitHub建立了一个页面，宣传针对CVE-2023-48788的“新Exp 4、思科修复IOS XR软件中的高危提权和拒绝服务漏洞 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ssh-privesc-eWDMKew3 思科本周修补了其IOS XR软件中的高危权限提升和拒绝服务(DoS)漏洞。思科解决了IOS XR软件中的多个漏洞，其中包括三个高危漏洞，这些漏洞可被用于提升权限和触发拒绝服务(DoS)状态。漏洞CVE-2024-20320是一个思科IOS XR软件SSH权限提升漏洞。该问题存在于思科8000系列路由器和思科网络融合系统(NCS)540和5700系列路由器的Cisco 5、法国政府数据泄露暴露4300万民众信息 https://www.francetravail.fr/candidat/soyez-vigilants/cyberattaque-soyez-vigilants.html 法国政府部门——负责注册和帮助失业人员的France Travail——最近成为一起大规模数据泄露的受害者，这次泄露影响了多达4300万公民的信息。France Travail在周三宣布，已将此次涉及包含20年个人信息的事件通报给该国的数据保护监管机构CNIL。泄露的数据包括姓名、出生日期、社会保障号码、France Travail标识符、电子邮件地址、邮政地址和电话号码，好在密码和银行详情没有受到影响。然而，CNIL 6、DarkGate活动利用微软零日漏洞进行攻击 https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html 研究人员在2024年1月中旬发现了一个名为DarkGate的攻击活动，该活动利用了Windows零日漏洞CVE-2024-21412。研究人员报告称，APT组织“水木马”(Water Hydra)利用CVE-2024-21412漏洞进行了零日攻击。DarkGate远程访问木马(RAT)使用Borland Delphi编写，并以恶意软件即服务(MaaS)模式存在于 7、新型恶意软件BunnyLoader 3.0窃取凭证及加密货币 https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/ 最近，研究人员揭露了一种名为“BunnyLoader 3.0”的新型恶意软件，此恶意软件专门设计用来窃取用户登录凭证和加密货币，同时能够在操作系统中潜伏不被发现。自2023年9月首次被发现以来，BunnyLoader经过多次升级和增强，以逃避安全检测和提高效能。2024年2月11日，黑客公开了这一恶意软件的最新版本——BunnyLoader 3.0。与前一版本相比，3.0版本在性能上有了90%的显著提升，且有效减少了载荷体积和增强了键盘记录功能，这使得它比 8、SIM交换者在eSIM攻击中可劫持电话号码 https://www.facct.ru/media-center/press-releases/esim-bank-attacks/ SIM换号攻击者已经适应了新的攻击手段，通过将受害者的电话号码端口转移到一张新的eSIM卡(一种存储在许多新型智能手机芯片上的可重写数字SIM卡)来窃取该号码。eSIM(嵌入式用户身份识别模块)是存储在移动设备芯片上的数字卡片，与物理SIM卡承担相同的角色和功能，但可以远程重新编程、配置、停用、更换和删除。用户通常可以通过扫描服务提供商的QR码，将eSIM添加到支持该功能的设备上。随着智能手机制造商越来越青睐eSIM，因为eSIM无需SIM卡插槽，还能在小型 9、国际货币基金组织邮箱账户遭黑客攻击 https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/ 国际货币基金组织(IMF)在上周五披露了今年早些时候其11个电子邮件账户被未知攻击者入侵的网络安全事件。这一由190个会员国资助的国际金融机构，也是总部位于华盛顿特区的联合国主要金融机构。根据发布的新闻稿，IMF在二月份检测到了这次事件，并正在进行调查以评估攻击的影响。到目前为止，IMF未发现证据表明攻击者获得了进入受损电子邮件账户之外的其他系统或资源的访问权限。IMF 10、ShadowSyndicate针对aiohttp漏洞发起扫描攻击 https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334/ 研究人员监测到，自2024年2月27日公布了aiohttp(异步HTTP客户端/服务器框架)漏洞(CVE-2024-23334)的概念验证(PoC)及教学视频后，网络犯罪集团ShadowSyndicate可能开始利用这一漏洞进行网络攻击。此漏洞为目录遍历问题，可能让未经认证的远程攻击者访问服务器上的敏感文件。根据研究人员的数据显示，全球有超过43000个 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。