1、HPE披露Midnight Blizzard组织入侵其安全团队邮件帐户 https://www.sec.gov/Archives/edgar/data/1645590/000164559024000009/hpe-20240119.htm 惠普企业 (HPE) 今天披露，疑似俄罗斯黑客 Midnight Blizzard 获得了该公司 Microsoft Office 365 电子邮件环境的访问权限，以窃取其网络安全团队和其他部门的数据。Midnight Blizzard，又名 Cozy Bear、APT29 和 Nobelium，是俄罗斯国家资助的黑客组织，据信隶属于俄罗斯对外情报局 (SVR)。威胁行为者全年与多次攻击有关，包括臭名昭著的 2020 Sola 2、研究人员披露VexTrio黑产组织为网络犯罪者代理流量 https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/ 研究人员新调查结果显示，ClearFake、SocGholish 和其他数十个攻击者背后的威胁行为者已与另一个名为 VexTrio 的实体建立了合作伙伴关系，作为大规模“犯罪附属计划”的一部分。该公司表示，最新的进展表明了“他们在网络犯罪行业中活动的广度和联系的深度”，并将VexTrio 描述为“安全文献中描述的最大的单一恶意流量代理”。据信，V 3、恶意NPM软件包通过GitHub窃取数百个开发人员SSH密钥 https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data 在 npm 包注册表中发现的两个恶意包利用 GitHub 来存储从安装它们的开发人员系统中窃取的 Base64 加密的 SSH 密钥。名为warbeast2000和kodiak2k 的模块于本月初发布，分别吸引了412 次和1281 次下载，随后被 npm 维护者删除。最近一次下载发生于 2024 年 1 月 21 日。warbeast2000 有 8 个不同版本，kodiak2k 有 30 多个版本。这两个模块 4、Kasseika勒索软件使用BYOVD手段对抗安全防护软件 https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html Kasseika的勒索软件组织加入了Akira、AvosLocker、BlackByte 和 RobbinHood等其他组织的行列，成为最新一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上的安全相关进程的勒索软件组织。该策略允许“威胁行为者终止防病毒进程和服务以部署勒索软件” 。Kasseika于 2023 年 12 月中旬 5、谷歌Kubernetes错误配置可导致攻击者控制GKE集群 https://orca.security/resources/blog/sys-all-google-kubernetes-engine-risk-example/ 研究人员发现了一个影响 Google Kubernetes Engine (GKE) 的漏洞，拥有 Google 帐户的威胁参与者可能会利用该漏洞来控制 Kubernetes 集群。云安全公司 Orca将这一严重缺陷代号为Sys:All 。据估计，多达 250000 个活跃的 GKE 集群容易受到攻击。安全研究人员表示，这源于一种可能普遍存在的误解，即 Google Kubernetes Engine 中的系统：经过身份验证的 6、GoAnywhere软件存在安全漏洞攻击者可创建管理员账号 https://www.fortra.com/security/advisory/fi-2024-001 Fortra 的 GoAnywhere 托管文件传输 (MFT) 软件中披露了一个严重的安全漏洞，该漏洞可能被滥用来创建新的管理员用户。该问题的编号为CVE-2024-0204，CVSS 评分为 9.8（满分 10）。Fortra在 2024 年 1 月 22 日发布的公告中表示：“7.4.1 之前的 Fortra GoAnywhere MFT 中的身份验证绕过允许未经授权的用户通过管理门户创建管理员用户。”无法升级到版本 7.4.1 的用户可以通过删除安装目录中的 InitialAcc 7、2023年区块链黑客攻击导致价值17 亿美元加密货币被盗 https://www.securityweek.com/1-7-billion-stolen-in-cryptocurrency-hacks-in-2023-report/ 根据区块链分析公司 Chainaanalysis 的一份报告，2023 年，由于加密货币平台黑客攻击，总共价值 17 亿美元的加密货币被盗。 8、Mozilla 发布Firefox 122修复了15个漏洞 https://www.securityweek.com/firefox-122-patches-15-vulnerabilities/ Firefox 和 Thunderbird 发布的更新解决了 15 个漏洞，其中包括 5 个高严重性错误。 9、思科警告统一通信产品中存在严重漏洞请立即修补 https://securityaffairs.com/158116/security/cisco-unified-communications-critical-flaw.html 思科解决了其统一通信和联络中心解决方案产品中可能导致远程代码执行的严重缺陷。 10、严重的 Jenkins 漏洞使服务器易遭受 RCE 攻击 https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html 开源持续集成/持续交付和部署 (CI/CD) 自动化软件 Jenkins 的维护者已经解决了九个安全漏洞，其中包括一个严重错误，如果成功利用该错误，可能会导致远程代码执行 (RCE)。该问题被分配了 CVE 标识符CVE-2024-23897，被描述为通过内置命令行界面 ( CLI )的任意文件读取漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、加密货币窃密木马利用DNS记录中隐藏的恶意脚本传递载荷 https://securelist.com/new-macos-backdoor-crypto-stealer/111778/ 黑客正在使用一种隐秘的方法，通过隐藏恶意脚本的 DNS 记录向 macOS 用户传递信息窃取恶意软件。该活动似乎针对 macOS Ventura 及更高版本的用户，并依赖于重新打包为包含木马的 PKG 文件的破解应用程序。研究人员发现了该活动并分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行恶意软件，假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口，要求输入管理员密码。获得许可后，恶意软件会通 2、攻击者利用Atlassian Confluence产品RCE漏洞发起攻击 https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-atlassian-confluence-rce-flaw/ 安全研究人员正在观察 CVE-2023-22527 远程代码执行缺陷漏洞的利用尝试，该漏洞影响过时版本的 Atlassian Confluence 服务器。Atlassian上周披露了该安全问题 ，并指出该问题仅影响 2023 年 12 月 5 日之前发布的 Confluence 版本，以及一些不受支持的版本。该缺陷的严重性评分很高，被描述为模板注入漏洞，允许未经身份验证 3、抵押贷款机构LoanDepot遭网络攻击致1660万用户数据泄露 https://www.businesswire.com/news/home/20240122969848/en/loanDepot-Provides-Update-on-Cyber-Incident 抵押贷款机构 LoanDepot 表示，在本月早些时候披露的勒索软件攻击中，约 1660 万人的个人信息被盗。1 月 6 日的一次攻击迫使其关闭部分系统以遏制违规行为，该公司告诉客户，定期自动付款仍将得到处理，但付款历史记录会出现延迟。事件发生后，通过服务客户门户进行的付款也无法使用，其他几个在线门户，包括 MyloanDepot、HELOC 和 mellohome 网站也处于离线状态。几天后 4、Google发布Chrome 121 修复了17 个漏洞 https://www.securityweek.com/chrome-121-patches-17-vulnerabilities/ 谷歌周二宣布将 Chrome 121 升级至稳定版，修补了 17 个漏洞，其中 11 个是外部研究人员报告的。 5、5379 台公网GitLab 服务器易受零点击帐户接管攻击 https://securityaffairs.com/158075/hacking/gitlab-servers-vulnerable-cve-2023-7028.html 数千台 GitLab 服务器容易受到利用漏洞 CVE-2023-7028 的零点击帐户接管攻击。 6、全球零售商 BuyGoods.com 泄露用户 PII、KYC 数据 https://www.hackread.com/online-retailer-buygoods-com-pii-kyc-data-leak/ 暴露的服务器还暴露了客户和附属公司的个人记录，其中包含高度敏感的个人身份信息（PII）和了解你的客户（KYC）数据。 7、美国、英国和澳大利亚联合制裁 REvil 黑客组织成员 https://www.freebuf.com/news/390471.html Bleeping Computer 网站消息，澳大利亚、美国和英国政府宣布对俄罗斯人 Aleksandr Gennadievich Ermakov 实施制裁。据悉，该男子被认为是 2022 年 Medibank 攻击事件的幕后黑手，也是 REvil 勒索软件组织的重要成员。 8、苹果、VMware、Apache等科技巨头漏洞被大量应用 https://www.freebuf.com/news/390485.html Therecord网站披露，黑客因频繁利用多个新发现的漏洞发起攻击吸引了美国网络安全专家们的高度关注，专家们担心这些漏洞可能会被网络犯罪组织和其他各国政府用于不法目的。过去一周，美国网络安全专家和网络安全与基础设施安全局（CISA）等政府机构已经关注到了影响苹果、VMware、Atlassian、Fortra、Apache等科技巨头的漏洞。 9、微软内网遭撞库攻击：高管邮件被盗，法务/安全部门也被访问 https://www.secrss.com/articles/63068 微软表示，这次攻击系由俄罗斯支持的黑客组织“午夜暴雪”（Midnight Blizzard）发起。这是多年以来至少第二次，微软因不遵守基本网络卫生而导致可能伤害客户的漏洞。 10、Apple修复了2024年首个被利用的零日漏洞 https://www.bleepingcomputer.com/news/apple/apple-fixes-first-zero-day-bug-exploited-in-attacks-this-year/ 修复的零日漏洞被记录为CVE-2024-23222 [iOS, macOS, tvOS]，它是一个WebKit混淆问题，攻击者可以利用它在目标设备上执行代码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ScarCruft组织针对安全研究人员发起网络钓鱼攻击 https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/ 2023 年 12 月，名为ScarCruft的威胁行为者精心策划了一场新活动，媒体组织和朝鲜事务领域的知名专家成为了这场活动的目标。ScarCruft 一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。这个与朝鲜有联系的对手，也被称为 2、苹果发布针对iPhone和Mac产品中严重零日漏洞的补丁 https://cwe.mitre.org/data/definitions/843.html Apple 周一发布了 iOS、iPadOS、macOS、tvOS 和 Safari 网络浏览器的安全更新，以解决已被广泛利用的零日漏洞。该问题被追踪为CVE-2024-23222，是一个类型混淆错误，威胁行为者可以利用该错误在处理恶意制作的 Web 内容时实现任意代码执行。这家科技巨头表示，该问题已通过改进检查得到解决。一般来说，类型混淆漏洞可以被用来执行越界内存访问，或导致崩溃和任意代码执行。苹果在一份简短的咨询中承认，它“意识到有报告称这个问题可能已被利用”，但没有透露有关攻击性质或利用该缺 3、阿根廷Payoneer金融账户遭遇双因素身份验证绕过攻击 https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/ 阿根廷的许多 Payoneer 用户表示，在睡觉时收到短信 OTP 代码后，醒来后发现他们受 2FA 保护的账户遭到黑客攻击，资金被盗。Payoneer是一家提供在线汇款和数字支付服务的金融服务平台。它在阿根廷很受欢迎，因为它允许人们在绕过当地银行法规的同时赚取外币收入。从上周末开始，许多账户受到双因素身份验证 (2FA) 保护的阿根廷 Payoneer 用户 报告说， 他们的账 4、MavenGate攻击劫持Java和安卓应用中依赖的废弃库 https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/ 一些被放弃但仍在 Java 和 Android 应用程序中使用的公共和流行库被发现容易受到名为 MavenGate 的新软件供应链攻击方法的影响。对项目的访问可以通过域名购买被劫持，并且由于大多数默认构建配置都很容易受到攻击，因此很难甚至不可能知道是否正在执行攻击。成功利用这些缺陷可能会允许恶意行为者劫持依赖项中的工件并将恶意代码注入应用程序，更糟糕的是，甚至通过恶 5、NS-STEALER利用Discord机器人从主流浏览器中窃取数据 https://www.trellix.com/about/newsroom/stories/research/java-based-sophisticated-stealer-using-discord-bot-as-eventlistener/ 网络安全研究人员发现了一种新的基于 Java 的“复杂”信息窃取程序，它使用 Discord 机器人从受感染的主机中窃取敏感数据。这种名为NS-STEALER的恶意软件通过伪装成破解软件的 ZIP 档案进行传播。ZIP 文件中包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），该文件充当部署恶意 JAR 文件的管道，该文件 6、Splunk Enterprise 中的高严重性漏洞已修复 https://www.securityweek.com/high-severity-vulnerability-patched-in-splunk-enterprise/ 最新的 Splunk Enterprise 版本修复了多个漏洞，其中包括 Windows 版本中的一个高严重性缺陷。 7、航空租赁巨头 AerCap 遭受勒索软件攻击 https://www.securityweek.com/aircraft-lessor-aercap-confirms-ransomware-attack/ 全球最大的航空租赁公司 AerCap 于 1 月 17 日遭受勒索软件攻击。 8、美国SEC 称 X 账户通过 SIM 卡交换遭到黑客攻击 https://www.securityweek.com/sec-says-x-account-hacked-via-sim-swapping/ 美国证券交易委员会周一透露，黑客利用 SIM 卡交换的方式接管了其 X（前身为 Twitter）账户。 9、一个新的严重漏洞会影响FORTRA GOANYWHERE MFT https://securityaffairs.com/157993/hacking/fortra-goanywhere-mft-critical-flaw.html Fortra 解决了影响 GoAnywhere MFT（托管文件传输）产品的新身份验证绕过漏洞。Fortra 警告客户存在一个名为 CVE-2024-0204 （CVSS 评分 9.8）的新身份验证绕过漏洞，该漏洞会影响 GoAnywhere MFT（托管文件传输）产品。 10、研究称手机环境光传感器可泄露用户隐私信息 https://www.freebuf.com/news/390377.html 麻省理工学院计算机科学和人工智能实验室（CSAIL）的一项研究论文显示，Android 和 iPhone 手机的环境光传感器可以变成摄像头，让攻击者可以探测用户行为及其周围环境。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、COLDRIVER组织利用Rust语言恶意软件扩大钓鱼攻击范围 https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/ 与俄罗斯有关的威胁行为者COLDRIVER不断发展其间谍技术，超越了凭据收集的范围，以提供有史以来第一个用 Rust 编程语言编写的定制恶意软件。研究人员表示攻击链利用 PDF 作为诱饵文档来触发感染序列。诱饵是从模拟帐户发送的。COLDRIVER，也称为 Blue Callisto、BlueCharlie（或 TAG-53）、Calisto（也可拼写为 Callisto）、Dancing Salome、Gossam 2、Midnight Blizzard组织针对微软高管的电子邮件发起网络攻击 https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ 微软周五透露，它是对其企业系统进行民族国家攻击的目标，导致该公司网络安全和法律部门的高级管理人员和其他人员的电子邮件和附件被盗。这家 Windows 制造商将此次攻击归因于其追踪的俄罗斯高级持续威胁 (APT) 组织Midnight Blizzard（以前称为 Nobelium），该组织也称为 APT29、BlueBravo、Cloaked Ursa、Cozy B 3、研究人员披露部署复杂远程访问木马的恶意npm软件包 https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/ 已发现上传到 npm 注册表的恶意包在受感染的 Windows 计算机上部署复杂的远程访问木马。该软件包名为“ os兼容”，于 2024 年 1 月 9 日发布，在被删除之前总共吸引了380 次下载。如果平台不是 Windows，它会向用户显示一条错误消息，指出脚本正在 Linux 或无法识别的操作系统上运行，敦促他们在“Windows Server OS”上运行它。批处理脚本本身会验证它是否具有管理员权限，如果没有，则通过 PowerShell 命令 4、Tietoevry勒索软件攻击导致瑞典企业和城市停电 https://www.tietoevry.com/en/newsroom/all-news-and-releases/other-news/2024/01/ransomware-attack-in-sweden-update/ 芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击，影响其位于瑞典的一个数据中心的云托管客户，据报道，此次攻击是由 Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司，为企业提供托管服务和云托管。该公司在全球拥有约 24000 名员工，2023 年收入为 31 亿美元。Tietoevry 今天证实，勒索软件攻击发生在 5、3AM勒索软件与Conti组织和Royal勒索软件有关联性 https://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/ 安全研究人员分析了最近出现的 3AM 勒索软件操作的活动，发现其与 Conti 集团和 Royal 勒索软件团伙等组织有密切联系。3AM（也拼写为 ThreeAM）也一直在尝试一种新的勒索策略：与受害者的社交媒体关注者分享数据泄露的消息，并使用机器人回复 X（以前称为 Twitter）上的高级帐户，发送指向数据泄露的消息。研究人员注意到威胁参与者在部署 LockBit 恶 6、Apple 发布 iOS 和 macOS更新修复WebKit零日漏洞 https://www.securityweek.com/apple-ships-ios-17-3-warns-of-webkit-zero-day-exploitation/ Apple 推出了新版本的 iOS 和 macOS 平台，以修复被零日漏洞利用的 WebKit 漏洞。 7、开源 AI/ML 平台中发现多个严重漏洞 https://www.securityweek.com/critical-vulnerabilities-found-in-ai-ml-open-source-platforms/ 安全研究人员标记了开源 AI/ML 解决方案 MLflow、ClearML、Hugging Face 中的多个严重漏洞。 8、研究人员发现超大规模数据泄露，共260亿条 https://securityaffairs.com/157933/breaking-news/largest-data-leak-ever.html 这次超大规模泄露包含来自之前多次泄露的数据，其中包含令人震惊的 12 TB 信息，涵盖令人难以置信的 260 亿条记录。几乎可以肯定，这次泄漏是迄今为止发现的最大的一次泄漏。 9、网络犯罪分子在暗网中泄露了从泰国窃取的大量 PII 数据 https://securityaffairs.com/157870/data-breach/resecurity-massive-thailand-data-leak.html 安全研究人员警告说，网络犯罪分子在暗网上大量泄露了被盗的泰国个人身份信息 (PII)。 10、乌克兰最大的移动银行 Monobank 遭遇大型DDoS 攻击 https://thecyberexpress.com/monobank-cyberattack/ 乌克兰最大的移动银行 Monobank 遭受了一系列拒绝服务 (DDoS) 攻击，首席执行官确认在一次攻击中产生了惊人的 5.8 亿个服务请求。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑产团伙利用国内下载站传播Mac远控木马 https://mp.weixin.qq.com/s/EhRX26TP9rxEKys_MzDYvQ 近期安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡。安天CERT判断该事件针对的目标为国内IT运维人员，当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站，并下载执行含有恶意文件的运维工具，进一步连接攻击者服务器运行远控木马窃取主机中的数据和文件。该团伙使用经过精心构造的域名，并对下载的载荷文件进行混淆处理，以规避安全产品的检测，安天CE 2、CISA和FBI警告Androxgh0st僵尸网络的凭证窃取活动 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a CISA 和 FBI 今天警告称，使用 Androxgh0st 恶意软件的威胁行为者正在构建一个专注于云凭证盗窃的僵尸网络，并利用窃取的信息来传播额外的恶意负载。该僵尸网络于 2022 年首次被发现，大约一年前控制了 40000 多台设备。它扫描易受以下远程代码执行 (RCE) 漏洞影响的网站和服务器： CVE-2017-9841（PHPUnit 单元测试框架）、CVE-2021-41773（Apache HTTP Server）和CVE-2018-1513 3、攻击者利用Docker漏洞部署挖矿程序与灰产软件盈利 https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts/ 易受攻击的 Docker 服务正成为一项新颖活动的目标，在该活动中，威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件，作为多管齐下的货币化策略的一部分。这是第一个记录在案的恶意软件将 9Hits 应用程序作为有效负载部署的案例。9Hits将自己宣传为“独特的网络流量解决方案”和“自动流量交换”，允许服务成员将流量引入其网站以换取购买积分。这是通过名为 9Hi 4、TA866组织针对北美目标发送数千封发票主题的钓鱼邮件 https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign 研究人员发现 TA866 在消失九个月后又重新出现在电子邮件威胁活动数据中。2024 年 1 月 11 日，研究人员阻止了一场大规模活动，其中包括针对北美的数千封电子邮件。以发票为主题的电子邮件附有 PDF，其名称例如“Document_[10 位数字].pdf”以及各种主题，例如“项目成就”。PDF 包含 OneDrive URL，如果单击这些 URL，则会启动多步骤感染链，最终导致恶意软件负 5、研究人员发布EDK II网络启动环境存在的9个安全漏洞 https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html 一组九个漏洞（统称为“PixieFail”）影响 Tianocore EDK II 的 IPv6 网络协议栈，EDK II 是广泛用于企业计算机和服务器的 UEFI 规范的开源参考实现。这些缺陷存在于 PXE 网络启动过程中，该过程对于在数据中心和高性能计算环境中配置操作系统以及启动时从网络加载操作系统映像的标准过程至关重要。研究人员发现PixieFail 缺陷，并已通过 CERT/CC 6、CISA警告Ivanti EPMM身份验证绕过漏洞正在被积极利用 https://www.cisa.gov/news-events/alerts/2024/01/18/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局 (CISA) 周四将一个现已修补的影响 Ivanti Endpoint Manager Mobile (EPMM) 和 MobileIron Core 的严重缺陷添加到其已知被利用的漏洞 ( KEV )目录中，并表示该漏洞正在被积极利用。所涉及的漏洞是CVE-2023-35082（CVSS 评分：9.8），这是一种身份验证绕过方法，它是针对 CVE-2023- 7、攻击者滥用TeamViewer软件部署勒索攻击软件 https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer 勒索软件攻击者再次使用 TeamViewer 获得对组织端点的初始访问权限，并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。TeamViewer 是一种在企业界广泛使用的合法远程访问工具，因其简单性和功能而受到重视。不幸的是，该工具也受到诈骗者甚至勒索软件攻击者的使用，他们使用它来访问远程桌面，不受阻碍地删除和执行恶意文件。研究人员的一份新报告显示，网络犯罪分子并没有放弃这些旧技术，仍然通过 TeamViewer 接管设备来尝试部 8、TensorFlow机器学习框架存在安全漏洞可能导致供应链攻击 https://www.praetorian.com/blog/tensorflow-supply-chain-compromise-via-self-hosted-runner-attack/ 在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置，“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。成功利用这些问题可能会允许外部攻击者将恶意版本上传到 GitHub 存储库，在自托管 GitHub 运行器上 9、谷歌发布安全更新以修复Chrome浏览器中四个安全漏洞 https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html 谷歌发布了更新，修复了 Chrome 浏览器中的四个安全问题，其中包括一个被积极利用的零日漏洞。该问题编号为CVE-2024-0519，涉及 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问，威胁行为者可利用该问题触发崩溃。通过读取越界内存，攻击者可能能够获取秘密值，例如内存地址，这可以绕过 ASLR 等保护机制，以提高利用单独的弱点来实现代码的可靠性和可能性执行，而不仅仅是拒绝服务。有关攻 10、Atlassian Jira产品平台持续中断影响多个云服务 https://jira-software.status.atlassian.com/incidents/z9kvvpkbngws 1 月 18 日，多个 Atlassian Jira 产品正在经历持续中断。Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的用户面临连接问题。东部时间 18 日上午 5:52：Atlassian 已实施修复，应该可以解决该问题并继续监控该事件。 Jira 服务从 18 日早上开始（至少截至东部时间凌晨 3:34）遇到连接问题。该事件影响了多个 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露可逃避macOS内置安全软件的XProtect木马 https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/ macOS 平台的多个信息窃取程序已经证明，即使安全公司频繁跟踪并报告新变种，也能够逃避检测。这些恶意软件可以逃避 macOS 的内置反恶意软件系统 XProtect。XProtect 在后台工作，同时扫描下载的文件和应用程序以查找已知的恶意软件签名。尽管苹果不断更新该工具的恶意软件数据库，但由于恶意软件作者的快速响应，信息窃取者几乎立即绕过了 2、研究人员发现2023年针对环境服务行业的DDoS攻击激增 https://blog.cloudflare.com/ddos-threat-report-2023-q4/ 环境服务行业遭遇了基于 HTTP 的分布式拒绝服务 (DDoS) 攻击的激增，占其所有 HTTP 流量的一半。研究人员上周发布的 2023 年第四季度 DDoS 威胁报告中表示，这标志着 DDoS 攻击流量同比增长 61839%。网络攻击的激增恰逢2023 年 11 月 30 日至 12 月 12 日举行的COP 28会议”，并将其描述为“网络威胁形势中令人不安的趋势”。针对环境服务网站的 HTTP 攻击的增加是过去几年每年观察到的更大趋势的一部分，特别是在 COP 26 和 CO 3、Balada木马利用插件漏洞影响超7100个WordPress网站 https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html 数千个使用 Popup Builder 插件易受攻击版本的 WordPress 网站已受到名为Balada Injector的恶意软件的攻击。研究人员于 2023 年 1 月首次记录该活动，该活动以一系列周期性攻击波的形式进行，利用安全漏洞 WordPress 插件注入后门，旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。Sucuri 随后的调查结果揭 4、Rapid SCADA 中的七个漏洞使工业组织面临攻击 https://www.securityweek.com/unpatched-rapid-scada-vulnerabilities-could-expose-industrial-organizations-to-attacks/ Rapid SCADA 开源工业自动化平台受到多个漏洞的影响，这些漏洞可能允许黑客访问敏感的工业系统，但这些缺陷仍未修补。 5、UEFI中开源参考实现中的九个漏洞可能会产生严重影响 https://securityaffairs.com/157683/hacking/pixiefail-uefi-vulnerabilities.html 专家们在 UEFI 开源参考实现的网络协议栈中发现了多个缺陷，统称为 PixieFail。PixieFail 问题可被利用实现远程代码执行、敏感信息泄露、拒绝服务 (DoS) 和网络会话劫持攻击。 6、新的恶意软件针对Docker服务用于挖矿和刷流量 https://thehackernews.com/2024/01/new-docker-malware-steals-cpu-for.html 易受攻击的 Docker 服务正成为一项新颖活动的目标，在该活动中，威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件，作为多管齐下的货币化策略的一部分。 7、TensorFlow CI/CD 缺陷可能使供应链遭受中毒攻击 https://thehackernews.com/2024/01/tensorflow-cicd-flaw-exposed-supply.html 在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置，“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。 8、西班牙地方政府遭勒索攻击，被索要 1000 万欧元赎金 https://www.secrss.com/articles/62902 据报道，攻击者向卡尔维亚市政府索要1000万欧元赎金，该市市长称绝对不会支付，此前西班牙加入了《反勒索软件倡议》。 9、Anthropic 警告AI中毒可能导致开源大模型变成潜伏的间谍 https://arstechnica.com/information-technology/2024/01/ai-poisoning-could-turn-open-models-into-destructive-sleeper-agents-says-anthropic/ 开发 Claude AI 聊天机器人的 Anthropic 公司研究人员发表论文，警告 AI 中毒可能导致开源大模型变成潜伏的间谍。研究人员训练了三个含有后门的大模型，它们能根据用户输入指令的差异输出安全的代码或能被利用的漏洞代码。 10、国内首例非法爬虫纠纷案终审宣判微博运营方获赔2000万元 https://www.ithome.com/0/745/564.htm 据广东省高级人民法院官方公众号消息，国内首例非法调用服务器 API 接口获取数据予以交易转卖案件尘埃落定。广东省高级人民法院对微梦公司诉简亦迅公司及深圳分公司不正当竞争纠纷案二审公开宣判，驳回上诉，维持原判：全额支持微梦公司诉请赔偿经济损失 2000 万元。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、SonicWall防火墙存在安全漏洞影响全网超178000台设备 https://bishopfox.com/blog/its-2024-and-over-178-000-sonicwall-firewalls-are-publicly-exploitable 通过互联网暴露的超过 178000 个 SonicWall 防火墙至少可被两个安全漏洞利用，这两个安全漏洞可能被利用导致拒绝服务 (DoS) 条件和远程代码执行 (RCE)。这两个问题本质上是相同的，但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用。CVE-2022-22274（CVSS 评分：9.4），SonicOS 中通过 HTTP 请求的基于堆栈的缓冲区溢出漏洞允 2、研究人员披露伪装成Coinbase钱包的Inferno恶意软件 https://www.group-ib.com/blog/inferno-drainer/ 现已解散的Inferno Drainer背后的运营者在 2022 年至 2023 年的一年时间内创建了超过 16000 个独特的恶意域名。该计划利用高质量的网络钓鱼页面，引诱毫无戒心的用户将他们的加密货币钱包与攻击者的基础设施连接起来，攻击者的基础设施欺骗 Web3 协议，诱骗受害者授权交易。Inferno Drainer 于2022 年 11 月至 2023 年 11 月期间活跃，估计通过诈骗超过 137000 名受害者，获取了超过8700 万美元的非法利润。该恶意软件是一系列更广泛的类似产品的一 3、攻击者利用Windows漏洞部署开源窃密程序Phemedrone https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html 攻击者利用 Microsoft Windows 中现已修补的安全漏洞来部署名为Phemedrone Stealer 的开源信息窃取程序。Phemedrone 的目标是网络浏览器以及来自加密货币钱包和 Telegram、Steam 和 Discord 等消息应用程序的数据。它还会截取屏幕截图并收集有关硬件、位置和操作系统详细信息的系统信息。然后，被盗数据通过 Te 4、研究人员披露Bosch智能恒温器固件中存在多个漏洞 https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-bosch-bcc100-thermostat/ 博世 BCC100 恒温器和力士乐 NXA015S-36V-B 智能拧紧机中已披露多个安全漏洞，如果成功利用这些漏洞，攻击者可能会在受影响的系统上执行任意代码。研究人员去年 8 月发现了博世 BCC100 恒温器中的缺陷，攻击者可能会利用该问题来更改设备固件并植入恶意版本。该高严重性漏洞的编号为CVE-2023-49722 （CVSS 评分：8.3），博世于 2023 年 11 月修复了该漏洞。BCC101/ 5、GitHub 轮换密钥以应对漏洞 https://www.securityweek.com/github-rotates-credentials-in-response-to-vulnerability/ 代码托管平台 GitHub 周二宣布，在得知影响 GitHub.com 和 GitHub Enterprise Server 的漏洞可能会暴露登录信息后，该公司已轮换密钥。 6、AMD&苹果&高通GPU易受LeftoverLocals攻击窃取AI数据 https://www.securityweek.com/ai-data-exposed-to-leftoverlocals-attack-via-vulnerable-amd-apple-qualcomm-gpus/ 研究人员演示了如何利用图形处理单元 (GPU) 漏洞的新攻击方法从人工智能和其他类型的应用程序中获取潜在的敏感信息。该漏洞被称为LeftoverLocals，官方编号为 CVE-2023-4969，Trail of Bits 进行的测试显示苹果、AMD 和高通 GPU 受到影响。 7、Citrix 向 NetScaler ADC 客户发出新的零日漏洞利用警告 https://www.securityweek.com/citrix-warns-netscaler-adc-customers-of-new-zero-day-exploitation/ Citrix 发现有利用两个新的 NetScaler ADC 和 Gateway 零日漏洞（编号为 CVE-2023-6548 和 CVE-2023-6549）的攻击。 8、AndroxGh0st 僵尸网络瞄准 AWS、Azure 和 Office 365 凭证 https://thehackernews.com/2024/01/feds-warn-of-androxgh0st-botnet.html 美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI)警告称，部署AndroxGh0st恶意软件的威胁行为者正在创建一个僵尸网络，用于“在目标网络中识别和利用受害者”。该云攻击工具能够渗透易受已知安全漏洞影响的服务器，以访问 Laravel 环境文件并窃取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名应用程序的凭据。 9、新的iShutdown方法可识别iPhone上隐藏的间谍软件(如 Pegasus) https://thehackernews.com/2024/01/new-ishutdown-method-exposes-hidden.html 网络安全研究人员发现了一种名为iShutdown的“轻量级方法” ，可以可靠地识别 Apple iOS 设备上的间谍软件迹象，包括 NSO Group 的Pegasus、QuaDream 的Reign和 Intellexa 的Predator等臭名昭著的间谍软件。卡巴斯基还发布了一系列 Python 脚本来提取、分析和解析 Shutdown.log，以提取重新启动统计信息。 10、英国隐私监管机构将对AI网络抓取方法进行审查 https://therecord.media/uk-ico-examines-privacy-concerns-data-scraping-artificial-intelligence-llms 英国的数据保护监管机构信息专员办公室 (ICO) 正在审查通过网络抓取收集数据来训练生成人工智能模型的合法性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用Ivanti零日漏洞以部署网络间谍软件 https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day 自 12 月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。这些安全问题被标识为 CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。研究人员称攻击背后的威胁行为者从事间谍活动，目前在内部追踪为 UNC5221。今天，威胁监控服务 Shadowser 2、GitLab警告用户修补严重的零点击帐户劫持漏洞 https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-zero-click-account-hijacking-vulnerability/ GitLab 发布了社区版和企业版的安全更新，以解决两个关键漏洞，其中之一允许在没有用户交互的情况下劫持帐户。供应商强烈建议尽快更新 DevSecOps 平台的所有易受攻击的版本（自托管安装需要手动更新）。GitLab 修补的最严重的安全问题具有最高的严重性评分（满分 10 分），并被跟踪为 CVE-2023-7028。成功的利用不需要任何交互。这是一个身份验证问 3、研究人员披露2023年有近5200起组织遭勒索软件攻击事件 https://www.rapid7.com/blog/post/2024/01/12/2023-ransomware-stats-a-look-back-to-plan-ahead/ 2023 年有近 5200 个受害者组织遭受勒索软件攻击，并从其管理的检测和响应团队的公开披露和事件数据中进行了研究。研究人员认为这个数字实际上更高，因为它没有考虑到许多可能未被报告的攻击。虽然勒索软件活动仍然很高，但用于这些攻击的独特勒索软件家族的数量减少了一半以上，从2022年的95个新家族减少到2023年的43个。比克表示，这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。研究人员称AlphV 是 4、谷歌警告 Chrome 浏览器零日漏洞被利用 https://www.securityweek.com/google-warns-of-chrome-browser-zero-day-being-exploited/ 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 5、PAX 支付终端存在漏洞，容易遭受黑客攻击 https://www.securityweek.com/vulnerabilities-expose-pax-payment-terminals-to-hacking/ PAX 基于 Android 的 PoS 终端中的漏洞可被利用来降级引导加载程序、执行任意代码。 6、VMware 敦促客户修补关键的 Aria Automation漏洞 https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability/ Aria Automation 受到一个严重漏洞的影响，该漏洞可被利用来获取对远程组织和工作流程的访问权限。 7、ATLASSIAN 修复了旧版CONFLUENCE中的严重RCE https://securityaffairs.com/157591/security/atlassian-rce-flaw-older-confluence-versions.html Atlassian 警告 Confluence 数据中心和 Confluence Server 中存在一个严重的远程代码执行漏洞，该漏洞被跟踪为 CVE-2023-22527（CVSS 评分 10.0），该漏洞会影响旧版本。 8、Remcos RAT 在韩国通过伪装成成人游戏进行传播 https://thehackernews.com/2024/01/remcos-rat-spreading-through-adult.html 名为 Remcos RAT 的远程访问木马 (RAT) 被发现通过网络硬盘在韩国伪装成成人主题游戏进行传播。 9、研究人员发现全球僵尸网络活动大幅激增 https://www.infosecurity-magazine.com/news/hundredfold-surge-global-botnet 活动激增的原因是攻击者使用廉价或免费的云和托管服务器来创建僵尸网络启动板。这些新的僵尸网络专注于扫描全球互联网端口，并显示出潜在电子邮件服务器漏洞的迹象。 10、研究人员建议安卓引入定期重启机制能有效阻止固件漏洞攻击 研究人员建议 Android 应该引入自动重启功能，以使利用固件缺陷变得更加困难。最近报告了影响 Google Pixel 和三星 Galaxy 手机等 Android 设备的固件漏洞，这些漏洞可能会被利用来窃取数据并在设备不处于静止状态时监视用户。当设备处于“静止”状态时，意味着它已关闭或启动后尚未解锁。在这种状态下，隐私保护非常高，并且移动设备无法完全发挥作用，因为加密密钥仍然无法供已安装的应用程序使用。重新启动后的第一次解锁会导致多个加密密钥移动到快速访问内存，以便安装的应用程序正常工作，并且设备切换到“非静止”状态。 https://www.bleepingcomputer.com/news/security/grapheneos-frequent-android-auto-reboots-block-firmware-exploits/ 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、CISA披露SharePoint存在的安全漏洞已被积极利用 https://www.cisa.gov/news-events/alerts/2024/01/10/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局 (CISA) 已将影响 Microsoft SharePoint Server 的严重安全漏洞添加到其已知被利用的漏洞 ( KEV )目录中，并引用了主动利用的证据。该问题编号为CVE-2023-29357（CVSS 评分：9.8），是一个权限升级缺陷，攻击者可利用该缺陷获取管理员权限。作为 2023 年 6 月补丁星期二更新的一部分，微软发布了针对该错误的补 2、Medusa勒索软件攻击活动呈上升趋势 https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/ 自 2023 年 2 月在暗网上首次出现专门的数据泄露网站以来，与Medusa 勒索软件相关的威胁行为者加大了活动力度，以发布不愿同意其要求的受害者的敏感数据。作为多重勒索策略的一部分，当受害者的数据发布在泄露网站上时，该组织将为受害者提供多种选择，例如延长时间、删除数据或下载所有数据。所有这些选项都有一个价格标签，具体取决于受该群体影响的组织。Medusa（不要与 Medusa Locker 混淆）是指 2022 年底出现、并于 2 3、Apache Hadoop和Flink中的错误配置可能遭受挖矿攻击 https://blog.aquasec.com/threat-alert-apache-applications-targeted-by-stealthy-attacker 网络安全研究人员发现了一种新的攻击，该攻击利用 Apache Hadoop 和 Flink 中的错误配置在目标环境中部署加密货币矿工。由于攻击者使用加壳程序和 Rootkit 来隐藏恶意软件，因此这次攻击特别令人感兴趣。该恶意软件会删除特定目录的内容并修改系统配置以逃避检测。针对 Hadoop 的感染链利用了 YARN（又一个资源协商器）ResourceManager中的错误配置，该资源管理器负责跟踪集群中的资源并调度 4、GitLab 修补高危任意用户密码重置漏洞 https://www.securityweek.com/gitlab-patches-critical-password-reset-vulnerability/ GitLab 解决了一个严重的身份验证漏洞，该漏洞允许攻击者劫持密码重置电子邮件。 5、信息窃取程序利用 Windows SmartScreen 绕过漏洞 https://www.securityweek.com/information-stealer-exploits-windows-smartscreen-bypass/ 据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 6、超过 178,000 个SonicWall 防火墙 (NGFW) 可能遭受黑客攻击 https://securityaffairs.com/157524/hacking/vulnerable-sonicwall-ngfw-exposed-online.html SonicWall 下一代防火墙 (NGFW) 系列 6 和 7 设备受到两个未经身份验证的拒绝服务漏洞的影响，分别为CVE-2022-22274 和 CVE-2023-0656，这可能会导致远程代码执行。专家发现，76%（233,984 个中的 178,637 个）面向互联网的防火墙容易受到一个或两个问题的影响。 7、Meta承认使用盗版书籍来训练 AI，并拒绝赔偿作家 https://www.freebuf.com/news/389695.html 近日，Meta（前身为 Facebook）就因使用包含大量盗版书籍的“Books3”数据集训练其 LLAM 1 和 LLAM 2 模型而面临包括喜剧演员 Sarah Silverman 和作家 Richard Kadrey 在内的一众作者的集体诉讼。Meta 虽承认使用了 Books3 数据集，却拒绝向作者支付适当的补偿。 8、Balada Injector 活动感染了 7100多个WordPress 网站 https://thehackernews.com/2024/01/balada-injector-infects-over-7100.html 数千个使用 Popup Builder 插件易受攻击版本的 WordPress 网站已受到名为Balada Injector的恶意软件的攻击。 9、Opera MyFlaw漏洞可运行 Mac 或 Windows 上的任何文件 https://thehackernews.com/2024/01/opera-myflaw-bug-could-let-hackers-run.html 网络安全研究人员披露了 Microsoft Windows 和 Apple macOS 的 Opera Web 浏览器中的一个安全漏洞，该漏洞可被利用来执行底层操作系统上的任何文件。 10、上市公司海普瑞遭遇电信诈骗，损失逾9000万元 https://www.secrss.com/articles/62766 海普瑞(002399.SZ)1月14日晚间公告，全资子公司Techdow Pharma Italy S.R.L.（简称“天道意大利”）近期遭遇犯罪团伙电信诈骗，涉案金额约1170余万欧元（约合9100万人民币）。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露Apache OfBiz ERP系统中漏洞的利用方法 https://vulncheck.com/blog/ofbiz-cve-2023-51467 网络安全研究人员开发了一种概念验证 (PoC) 代码，该代码利用Apache OfBiz 开源企业资源规划 (ERP) 系统中最近披露的一个关键缺陷来执行内存驻留有效负载。该漏洞为CVE-2023-51467（CVSS 评分：9.8），它绕过了同一软件中的另一个严重缺陷（CVE-2023-49070，CVSS 评分：9.8），可被武器化以绕过身份验证并远程执行任意命令代码。虽然该问题已在上个月发布的Apache OFbiz 版本 18.12.11中得到修复，但据观察，威胁行为者试图利用该缺陷，针对 2、攻击者恶意滥用GitHub资源的行为呈现上升趋势 https://www.recordedfuture.com/flying-under-the-radar-abusing-gitHub-malicious-infrastructure GitHub 在信息技术 (IT) 环境中的普遍存在，使其成为威胁行为者托管和传递恶意负载并充当死点解析器、命令和控制以及数据渗漏点的有利可图的选择。将 GitHub 服务用于恶意基础设施可以让对手融入合法的网络流量，通常会绕过传统的安全防御，并使上游基础设施跟踪和攻击者归因变得更加困难。网络安全公司将这种方法描述为“离地受信任站点”(LOTS)，这是威胁行为者经常采用的离地生活 (LotL) 技术的延伸， 3、Adobe修复Substance 3D Stager产品中的代码执行漏洞 https://www.securityweek.com/adobe-patches-code-execution-flaws-in-substance-3d-stager/ 软件制造商 Adobe 发布了针对 Substance 3D Stager 产品中六个安全缺陷的补丁，并警告称，黑客可以针对这些漏洞发起代码执行攻击。Adobe 将这些漏洞标记为“重要严重性”等级，并敦促 macOS 和 Windows 平台上的用户立即应用更新。在 2004 年的第一个周二补丁更新中，Adobe记录了面向企业的 3D 渲染软件中至少有 6 个漏洞，并表示成功利用可能会导致内存泄漏和在当前用户的上下文中 4、开源密码管理器Bitwarden添加密钥支持以登录Web密码库 https://www.bleepingcomputer.com/news/security/bitwarden-adds-passkey-support-to-log-into-web-password-vaults/ 开源 Bitwarden 密码管理器宣布所有用户现在都可以使用密钥而不是标准用户名和密码对登录其网络保管库。密钥是大多数人设置的密码的更安全的替代方案，并且可以抵御网络钓鱼。就 Bitwarden 而言，他们允许用户解密其保管库，而无需主密码、电子邮件地址或双因素身份验证 (2FA)。Bitwarden 的密钥实现目前处于测试阶段，依赖 PRF WebAuthn 扩展来验证 5、Akira勒索软件可擦除NAS和磁带备份设备的数据 https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/suomalaiset-organisaatiot-akira-kiristyshaittaohjelmien-kohteena 芬兰国家网络安全中心 (NCSC-FI) 通报 Akira 勒索软件活动在 12 月份有所增加，该活动针对该国的公司并擦除备份。该机构表示，上个月报告的 7 起勒索软件事件中，有 6 起是由威胁行为者发起的。擦除备份会放大攻击的损害，并允许威胁行为者向受害者施加更大的压力，因为他们消除了无需支付赎金即可恢复数据的选项。小型组织经常使用网络附加存储 (NA 6、超过15万个WordPress网站因易受攻击的插件可能遭受攻击 https://www.wordfence.com/blog/2024/01/type-juggling-leads-to-two-vulnerabilities-in-post-smtp-mailer-wordpress-plugin/ 影响 POST SMTP Mailer WordPress 插件（300000 个网站使用的电子邮件传送工具）的两个漏洞可能会帮助攻击者完全控制站点身份验证。上个月，研究人员发现了该插件中的两个漏洞，并将其报告给供应商。第一个被追踪为CVE-2023-6875，是一个严重的授权绕过缺陷，由 connect-app REST 端点上的“类型杂耍”问题引起。该 7、Atomic窃取器通过加密载荷针对Mac用户发起攻击 https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version 网络安全研究人员发现了名为Atomic（或 AMOS）的 macOS 信息窃取程序的更新版本，这表明该恶意软件背后的威胁行为者正在积极增强其功能。Atomic Stealer 似乎在 2023 年 12 月中下旬左右进行了更新，其开发人员引入了有效负载加密，以绕过检测规则。Atomic Stealer首次出现于 2023 年 4 月，每月订阅费为 1000 8、新型 CI/CD 攻击可能导致 PyTorch 供应链受损 https://www.securityweek.com/new-class-of-ci-cd-attacks-could-have-led-to-pytorch-supply-chain-compromise/ Praetorian 安全研究员 John Stawinski 表示，新披露的一类 CI/CD 攻击可能允许攻击者将恶意代码注入 PyTorch 存储库，从而导致大规模供应链受损。 9、苹果修复妙控键盘中的击键注入漏洞 https://www.securityweek.com/apple-patches-keystroke-injection-vulnerability-in-magic-keyboard/ 苹果本周宣布了妙控键盘固件更新，修复了一个可能允许攻击者通过蓝牙注入击键的漏洞。 10、Juniper SRX 防火墙和 EX 交换机中发现严重 RCE 漏洞 https://thehackernews.com/2024/01/critical-rce-vulnerability-uncovered-in.html Juniper Networks 已发布更新以修复其 SRX 系列防火墙和 EX 系列交换机中的关键远程代码执行 (RCE) 漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。