1、亲哈马斯黑客组织使用新型Linux擦除器攻击以色列 https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group 根据报道，亲哈马斯的黑客组织在以色列和哈马斯之间的战争期间，使用一种名为BiBi-Linux Wiper的新型Linux擦除器恶意软件，针对以色列的一些目标进行攻击。这种恶意软件是一个x64 ELF可执行文件，没有混淆或保护措施。它允许攻击者指定目标文件夹，并且如果以root权限运行，可能会破坏整个操作系统。研究人员自愿协助以色列公司应对战争危机，在取证调查过程中，发现了这种新型Linux擦除器恶意软件， 2、黑客利用GitHub窃取AWS密钥进行加密挖矿 https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/ 据报道，研究人员发现了一场持续多年的加密挖矿活动，该活动被命名为“EleKtra-Leak”。该活动的黑客能够自动克隆GitHub仓库，并窃取其中暴露的AWS密钥。研究人员称，黑客通常在AWS密钥在GitHub仓库中暴露后的五分钟内就能够获取它们，并在多个区域尽可能多地启动Amazon EC2实例来挖掘Monero。在8月30日至10月6日的一个多月时间里，研究人员发现了474个不同的挖矿程序，它们可能由黑客控 3、激活Microsoft应用程序方法可实现DCOM Excel横向移动 https://posts.specterops.io/lateral-movement-abuse-the-power-of-dcom-excel-application-3c016d0d9922 研究人员介绍了一种有趣的横向移动技术，即利用分布式组件对象模型(DCOM)Excel应用程序中的ActivateMicrosoftApp ()方法。DCOM是微软的一种解决方案，允许软件组件远程通信。COM对象必须在客户端和服务器端正确配置，Windows注册表存储了DCOM配置数据，包括类标识符(CLSID)、程序标识符(ProgID)和应用程序标识符(AppID)。客户端通过提供CLSID、 4、黑客利用Slack重定向功能诱导用户点击恶意链接 https://www.esentire.com/blog/the-wiki-slack-attack Wiki-Slack攻击是一种新型的网络钓鱼攻击，它利用了Slack平台的一个特性，即允许用户创建重定向链接，即以slack-redir.net为域名的链接，当用户点击这些链接时，会被重定向到目标网站。黑客可以通过在Slack上发送包含恶意网站的重定向链接来诱导用户点击，从而窃取用户的敏感信息或者安装恶意软件。这种攻击的危险性在于，用户可能会认为这些链接是来自Slack官方或者可信任的来源，而不会怀疑其真实性。而且，由于Slack平台广泛用于企业和组织的内部沟通，这种攻击可能会影响大量的用 5、RansomedVC勒索软件团伙宣布退出并出售其基础设施 https://www.hackread.com/ransomedvc-ransomware-quit-sell-infrastructure/ RansomedVC是一个2023年8月份出现的勒索软件团伙，它声称自己是为了揭露违反欧盟一般数据保护条例(GDPR)的企业而进行渗透测试，但实际上是为了敲诈受害者的钱财。该团伙曾声称侵入了索尼、NTT Docomo等大型日本企业，并在暗网上出售窃取的数据。然而，最近该团伙在其暗网站上发布了一则声明，称他们已经退出勒索软件行业，并将其基础设施(包括暗网网站、数据泄露站、加密器、解密器等)以比特币出售给感兴趣的买家。该团伙没有透露退出的原因，也没有提 6、Pwn2Own 大会落幕，三星多次被攻破，苹果和谷歌躲过一劫 https://www.bleepingcomputer.com/news/security/hackers-earn-over-1-million-for-58-zero-days-at-pwn2own-toronto/ Pwn2Own 多伦多 2023 黑客大赛落下帷幕，参赛团队在为期 3 天的比赛时间里，针对消费类产品进行了 58 次零日漏洞利用（以及多次漏洞碰撞），共获得了 103.85 万美元的奖金。 7、研究发现基于 XMPP 协议的社交软件面临严重窃听风险 https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html 一名安全研究人员声称他发现有人试图利用托管在德国 Hetzner和Linode（Akamai 的子公司）的服务器，秘密拦截来自基于 XMPP 的即时消息服务 jabber[.]ru（又名xmpp[.]ru）的流量。 8、Lazarus APT利用已知漏洞攻击软件供应商 https://www.anquanke.com/post/id/291090 Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。 9、HackerOne 已向白帽支付了超 3 亿美元漏洞赏金 https://www.bleepingcomputer.com/news/security/hackerone-paid-ethical-hackers-over-300-million-in-bug-bounties/ 知名网络安全公司 HackerOne 宣布，自 2012 年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。 10、F5 修复了BIG-IP 身份验证绕过漏洞，允许远程代码执行攻击 https://www.bleepingcomputer.com/news/security/f5-fixes-big-ip-auth-bypass-allowing-remote-code-execution-attacks/ F5 BIG-IP 配置实用程序中存在一个严重漏洞（编号为 CVE-2023-46747），允许远程访问配置实用程序的攻击者执行未经身份验证的远程代码执行。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、黑客利用MSIX应用程序包文件传播GHOSTPULSE恶意软件 https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks 最近，一种新的网络攻击活动被发现，利用伪造的MSIX应用程序包文件，模仿一些流行的软件，如谷歌浏览器、微软Edge、Brave、Grammarly和Cisco Webex，来分发一种名为GHOSTPULSE的新型恶意软件加载器。目标用户可能通过一些已知的技术，如被入侵的网站、搜索引擎优化(SEO)污染或恶意广告，被诱导下载这些MSIX包文件。运行MSIX文件会打开一个Windows提示框，要求用户点 2、动态搜索广告传播恶意软件，危害用户安全 https://www.malwarebytes.com/blog/threat-intelligence/2023/10/malvertising-via-dynamic-search-ads-delivers-malware-bonanza 一种利用动态搜索广告(DSA)传播恶意软件的网络攻击活动近期被研究人员发现。网站所有者不知道的是，他们的一个广告是自动创建的，目的是宣传Python开发人员的流行程序，并且人们在Google上搜索该程序时可以看到该广告。点击广告的受害者会被带到一个被黑的网页，其中包含下载该应用程序的链接，结果却安装了十多个不同的恶意软件。动态搜索广告(DSA)是一种 3、乌克兰“IT军队”攻击俄罗斯运营商 https://securityaffairs.com/153192/hacktivism/it-army-of-ukraine-hit-russia-isp.html 乌克兰自愿“IT军队”是一支由政府领导的网络志愿者组织，旨在对抗俄罗斯的网络攻击和宣传。该组织通过Telegram频道发布任务，要求志愿者对俄罗斯的网站和基础设施进行分布式拒绝服务(DDoS)攻击，以干扰其正常运行。该组织还要求志愿者举报YouTube上散布关于乌克兰战争谎言的频道。乌克兰“IT军队”的目标包括俄罗斯的能源巨头Gazprom，俄罗斯的银行和政府网站，以及俄罗斯的新闻网站。该组织还将白俄罗斯作为俄罗斯的盟友之一 4、Hive勒索软件团伙疑似改名为Hunters International https://www.bleepingcomputer.com/news/security/new-hunters-international-ransomware-possible-rebrand-of-hive/ 据报道，一种名为Hunters International的新勒索软件服务品牌出现了，它使用了Hive勒索软件行动的代码，这让人有理由怀疑原来的团伙在换了个旗号后重新活跃起来。安全研究人员分析了Hunters International的样本，发现它与Hive勒索软件攻击中使用的代码有着惊人的相似之处。具体来说，研究人员首先发现了这种新的加密器，他得出结论认为Hunters 5、美国学区遭黑客攻击，学生数据被泄露并发送给家长 https://www.databreaches.net/hackers-escalate-leak-200k-ccsd-students-data-claim-to-still-have-access-to-ccsd-email-system/ 2023年10月5日，美国内华达州的克拉克县学区(CCSD)发现其电子邮件环境受到了未经授权的访问，随后启动了调查，并与执法部门合作。CCSD是美国第五大学区，拥有超过30万名学生和1.5万名教师。调查结果显示，黑客获取了部分学生、家长和员工的有限个人信息，包括学生照片、地址、学生ID号和电子邮件地址等。攻击发生后，CCSD禁止了外部账户访问其谷歌 6、加拿大禁止政府电话使用微信和卡巴斯基 https://www.securityweek.com/canada-bans-wechat-and-kaspersky-on-government-phones/ 加拿大周一以隐私和安全风险为由，禁止政府智能手机和其他移动设备使用流行的中国通讯应用微信和俄罗斯平台卡巴斯基。 7、波音公司正在调查勒索软件攻击事件 https://www.securityweek.com/boeing-investigating-ransomware-attack-claims/ 波音公司正在调查 LockBit 勒索软件团伙最近提出的勒索，称大量数据从这家航空航天巨头的网络中被泄露。 8、Apple推出联系人密钥验证提高 iMessage 安全性 https://www.securityweek.com/apple-improves-imessage-security-with-contact-key-verification/ 苹果周五推出了联系人密钥验证，这是一项旨在提高 iMessage 服务安全性的新功能。 9、一种复杂的恶意软件STRIPEDFLY感染了100 多万台设备 https://securityaffairs.com/153208/malware/stripedfly-complex-malware.html 被追踪为 StripedFly 的复杂恶意软件五年来一直未被发现，并感染了大约一百万台设备。 10、Kubernetes 的NGINX 入口控制器中发现新的高危漏洞 https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html Kubernetes 的NGINX Ingress 控制器中披露了三个未修补的高严重性安全漏洞，威胁行为者可能会利用这些漏洞从集群中窃取秘密凭证。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员揭露类似美国国安局代码的StripedFly恶意软件 https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/ 研究人员在周四发布的报告中，揭露了一种高度复杂的、持续多年的间谍框架，它与美国国家安全局(NSA)相关的恶意软件有相似之处。报告描述了一个名为StripedFly的框架，它能够截屏、获取系统版本信息、窃取网站登录用户名、密码和其他自动填充数据、访问Wi-Fi网络信息(包括密码)、录制麦克风音频，并识别和窃取敏感文件。StripedFly依赖于一个定制的EternalBlue漏洞利用程序——一种2016年泄露到网上的NSA恶意软件——来感染受 2、新型攻击利用苹果芯片漏洞窃取Safari浏览器敏感信息 https://ileakage.com/files/ileakage.pdf 研究人员发现了一种名为iLeakage的新型侧信道攻击，该攻击利用了运行在苹果iOS，iPadOS和macOS设备上的A系列和M系列ARM处理器的一个弱点，从而能够从Safari浏览器中提取敏感信息。研究人员称，“攻击者可以让Safari渲染任意网页，然后使用推测执行来恢复其中存在的敏感信息”。在一个实际的攻击场景中，这个弱点可以被一个恶意网页利用，来恢复Gmail收件箱内容，甚至恢复由凭证管理器自动填充的密码。iLeakage不仅是针对苹果硅芯片的第一例Spectre风格的推测执行攻击，而且由于苹果的App S 3、F5警告BIG-IP存在严重远程代码执行漏洞 https://my.f5.com/manage/s/article/K000137353 F5公司发布了一份安全公告，警告客户其BIG-IP产品存在一个严重的安全漏洞，可能导致未经身份验证的远程代码执行。该漏洞源于配置实用程序组件，已被分配CVE标识符CVE-2023-46747，其CVSS评分为10分中的9.8分。F5公司表示：“该漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址访问BIG-IP系统，从而执行任意系统命令。这不会影响数据平面；这只是一个控制平面问题。”F5公司还提供了一些缓解措施，包括使用一个shell脚本和阻止配置实用程序通过自身IP地址或管理接口的访问。 4、Lazarus利用合法软件发起新一轮攻击 https://securelist.com/unveiling-lazarus-new-campaign/110888/ Lazarus是一个臭名昭著的网络攻击组织，其下属的一个分支Andariel近期发起了一系列新的攻击活动。这些攻击利用了另一个知名软件的漏洞，通过合法的安全软件传播恶意代码。这些漏洞并不是新发现的，但是由于软件开发商没有及时修复，或者用户没有及时更新，导致了Lazarus可以持续利用这些漏洞进行攻击。该软件开发商也曾多次成为Lazarus的攻击目标，可能是为了窃取其源代码或者破坏其软件供应链。在这些攻击中，Lazarus使用了一个名为SIGNBT的恶意软件，该软件具有复 5、俄罗斯黑客组织APT28破坏法国关键网络 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-009.pdf 据法国国家信息系统安全局ANSSI(国家信息系统安全局)最新发布的一份报告显示，俄罗斯的APT28黑客组织(又名“Strontium”或“Fancy Bear”)自2021年下半年以来，对法国的政府、企业、学校、研究机构和智库进行了大规模的网络攻击。该黑客组织被认为是俄罗斯军事情报服务GRU的一部分，曾经参与过对美国、德国、乌克兰等国家的网络间谍和破坏活动。报告称，APT28利用了多种技术、策略和程序(TTP)，包括暴力破解、钓鱼邮件、利用已知和零日漏洞等，来获取法国组织 6、Mirth Connect存在严重漏洞，危及医疗数据 https://www.horizon3.ai/nextgen-mirth-connect-remote-code-execution-vulnerability-cve-2023-43208/ Mirth Connect是NextGen HealthCare开发的一款开源数据集成平台，广泛应用于医疗行业。该平台在4.4.1版本之前存在一个未经身份验证的远程代码执行漏洞，编号为CVE-2023-43208。该漏洞是对之前报告的CVE-2023-37679漏洞的绕过。攻击者可以利用该漏洞在目标系统上执行任意命令，从而获取初始访问权限或窃取敏感的医疗数据。该漏洞影响了2015/2016年以来的所 7、Citrix Bleed漏洞可导致NetScaler账户被劫持 https://www.bleepingcomputer.com/news/security/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/ Citrix Bleed漏洞，编号为CVE-2023-4966，是一种未经认证的缓冲区相关漏洞，存在于Citrix设备中，可以被利用来获得对设备的无限制访问，并可能劫持用户账户。该漏洞影响了Citrix NetScaler ADC和NetScaler Gateway，这些设备提供了负载均衡、防火墙和VPN服务。该漏洞的利用方法是通过访问/oauth/idp/.well-known 8、智利电信巨头GTD遭Rorschach勒索软件攻击 https://www.bleepingcomputer.com/news/security/chilean-telecom-giant-gtd-hit-by-the-rorschach-ransomware-gang/ 智利电信公司GTD遭受了一场网络攻击，导致其多项服务受到影响，包括数据中心、互联网接入和网络电话。GTD在一份安全事件通知中表示，他们正在经历一场影响部分服务的网络安全事件。当天，智利内政部和公共安全部的计算机安全事件响应小组确认，GTD遭受了勒索软件攻击。该小组在其网站上发表了一份声明，称GTD向他们报告了一种影响其IaaS平台部分的勒索软件。虽然该小组没有透露攻击GTD 9、CCleaner用户数据遭MOVEit大规模黑客攻击 https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack/ CCleaner是一款广受欢迎的优化软件，但其开发商Gen Digital近日向用户确认，该软件在5月份发生的MOVEit大规模黑客攻击中，泄露了大量付费用户的个人信息。据悉，黑客利用了MOVEit文件传输工具的一个漏洞，该工具被CCleaner和数千个组织用于在互联网上传输大量敏感数据。黑客窃取了用户的姓名、联系方式和购买的产品信息。Gen Digital的发言人Jess Mon 10、LockBit勒索软件团伙声称入侵了波音公司 https://securityaffairs.com/153149/cyber-crime/lockbit-ransomware-gang-boeing.html Lockbit勒索软件组织今天将波音公司添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据，并威胁如果波音不在截止日期(2023年11月2日13:25:39UTC)内联系他们，他们将公布这些数据。截至至10月29日时，该组织尚未发布任何样本。“波音公司是一家市值600亿美元的公司，与其子公司一起在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、载人航天以及发射系统和服 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、YoroTrooper组织伪装成阿塞拜疆人发动网络间谍攻击 https://blog.talosintelligence.com/attributing-yorotrooper/ YoroTrooper是一个自2022年6月起就活跃的网络间谍组织，主要针对独联体国家和土耳其等欧亚地区的政府机构。研究人员高度确定该组织的成员来自哈萨克斯坦，依据是他们使用哈萨克斯坦货币和精通哈萨克语和俄语。该组织试图掩盖他们的攻击来源，采用各种手段让他们的恶意活动看起来是来自阿塞拜疆，例如使用当地的VPN出口节点。YoroTrooper的攻击目标主要集中在独联体国家，该组织在2023年5月至8月期间入侵了多个国有网站和这些国家政府官员的账户。研究人员的发现还表明，除了常 2、恶意广告攻击巴西PIX支付系统 https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/ 近日，一场恶意广告攻击利用搜索引擎上的广告链接，诱导用户下载并安装GoPIX恶意软件，从而窃取巴西的PIX即时支付系统中的资金。据研究人员称，这场攻击自2022年12月以来一直在活跃，目标是那些在搜索引擎上搜索“WhatsApp web”的用户。如果用户点击了这些广告链接，他们就会被重定向到一个假冒的WhatsApp下载页面，然后下载一个包含恶意代码的安装程序。GoPIX恶意软件的主要功能是劫持PIX支付请求，并将其替换为攻击者控制的PIX字符串，这些字符串 3、OAuth存在严重漏洞，影响多个在线服务 https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts OAuth是一种常用的跨应用访问机制，允许网站或应用访问其他网站上的用户信息，例如Facebook，但不需要提供密码。然而，近日，研究人员发现了多个在线服务的OAuth存在严重的安全漏洞，这些漏洞可能被恶意攻击者利用，获取访问令牌并劫持用户账户。这些受影响的在线服务包括Grammarly, Vidio, 和 Bukalapak等。这些漏洞已经在研究人员在2023年2月至4月期间进行负责任披露后被各自公司修复。其中，Vidio和B 4、VMWare紧急更新vCenter Server，修复两个高危漏洞 https://www.vmware.com/security/advisories/VMSA-2023-0023.html VMWare发布了一项更新，修复了其服务器管理软件vCenter Server中的一个越界写入和一个信息泄露漏洞。由于没有产品内部的解决方案，客户被建议尽快应用更新。受影响的产品是VMWare vCenter Server 7.0和8.0版本，以及VMWare Cloud Foundation 5.x和4.x版本。这两个漏洞在公共漏洞和暴露(CVE)数据库中被分别记录为CVE-2023-34048和CVE-2023-340561。CVE-2023-34048是一个越界 5、Redcliffe Labs数据泄露7TB，影响1200万患者信息 https://www.websiteplanet.com/news/redcliffe-breach-report/ Redcliffe Labs是印度最大的诊断中心之一，提供多种医疗检测服务，包括血液检测、基因检测、癌症检测等。该公司还提供移动应用程序，方便用户在线预约和查看检测结果。近日，网络安全研究员发现了一个没有密码保护的数据库，其中包含了超过1200万条医疗检测记录，涉及患者姓名、医生姓名、检测结果、诊断报告等敏感信息。这些记录总共占用了7TB的空间。研究人员立即向Redcliffe Labs发送了负责任的披露通知，并得到了该公司的回复和感谢。该公司在当天就限制了公共访问权限，但 6、国家数据局正式揭牌 https://www.news.cn/politics/2023-10/25/c_1129936737.htm 10月25日上午，国家数据局挂牌。根据《党和国家机构改革方案》，国家数据局负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。 7、训练数据集“下毒”工具Nightshade可令 AI 模型“输入狗生成猫” https://www.ithome.com/0/727/542.htm 日前有黑客展示了一款名为 Nightshade 的工具，该工具可在不破坏观感的情况下轻微修改图片，若有 AI 模型在训练时使用了这些被“下毒”的图片，模型生图结果便会被毁坏。 8、调查称2023 年9月勒索软件攻击再破记录 https://www.bleepingcomputer.com/news/security/september-was-a-record-month-for-ransomware-attacks-in-2023/ NCC Group 数据显示，9 月份勒索软件组织发起了 514 次攻击。这超过了 2023 年 3 月的活动。 9、严重的 Mirth Connect 漏洞可能会暴露敏感的医疗数据 https://www.securityweek.com/critical-mirth-connect-vulnerability-could-expose-sensitive-healthcare-data/ 网络安全公司 Horizon3.ai 警告称，开源数据集成平台 Mirth Connect 受到远程代码执行漏洞的影响，无需身份验证即可利用该漏洞。 10、新的 iLeakage 侧通道攻击利用 Safari 窃取 Mac 和 iPhone 的敏感信息 https://www.securityweek.com/ileakage-attack-exploits-safari-to-steal-sensitive-data-from-macs-iphones/ 一组学术研究人员披露了一种新的 Spectre 式侧信道攻击的细节，该攻击利用 Safari 窃取 Mac、iPhone 和 iPad 上的敏感信息。这种新方法被描述为无计时器推测执行攻击并命名为iLeakage，可用于诱导 Safari 呈现任意网页并从该页面获取信息。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、SpyNote木马冒充系统更新欺骗Android用户 https://blog.f-secure.com/take-a-note-of-spynote/ SpyNote是一种针对Android设备的恶意软件，它可以通过SMS钓鱼(或称为smishing)发送带有恶意链接的短信，诱导用户下载一个.apk文件，从而感染设备。SpyNote可以利用高级权限来记录音频和电话通话，记录用户在设备上的每一次点击，窃取用户名和密码，以及追踪用户的位置。SpyNote还可以隐藏自己的图标，阻止用户卸载它。据报道，SpyNote已经冒充了多个正常的应用程序，如Netflix、WhatsApp、Facebook等。最近，有安全研究人员发现了一个新的SpyNote变 2、前NSA雇员承认向俄罗斯间谍出售机密信息 https://www.justice.gov/opa/pr/former-nsa-employee-pleads-guilty-attempted-espionage Jareh Sebastian Dalke，31岁，来自科罗拉多州斯普林斯，是美国国家安全局(NSA)的一名信息系统安全设计师。他于2022年6月6日至7月1日在NSA工作期间，获得了多份涉及国防机密(NDI)的文件，其中有些文件被列为最高机密//敏感隔离信息(SCI)。Dalke承认，他在2022年8月至9月期间，为了证明自己有合法的访问权限和分享意愿，他使用了一个加密的电子邮件账户，向一个他认为是俄罗斯间谍的人发送了三份 3、法国篮球队ASVEL遭勒索软件攻击后数据泄露 https://ldlcasvel.com/communique-officiel-club-7/ 法国职业篮球队LDLC ASVEL(ASVEL)已经证实，在NoEscape勒索软件团伙宣称对该俱乐部发动攻击后，数据被窃取。ASVEL是一支位于维勒班纳、里昂的法国职业篮球队，由前NBA明星托尼·帕克领导。NoEscape勒索软件团伙于2023年9月29日在其暗网门户网站上发布了一张ASVEL的数据泄露页面，声称已经窃取了该俱乐部的财务、合同、员工和客户数据。该团伙还威胁说，如果不支付赎金，就会公开更多数据。截至目前，ASVEL表示没有证据表明攻击者窃取了球迷的支付数据或银行账户信息。该事件 4、多伦多 Pwn2Own 大赛首日战报！三星 Galaxy S23 被黑两次 https://www.freebuf.com/news/381712.html 加拿大多伦多举行的 Pwn2Own 2023 黑客大赛的第一天，网络安全研究人员就成功两次攻破三星 Galaxy S23。大会现场，研究人员还“演示"了针对小米 13 Pro 智能手机、打印机、智能扬声器、网络附加存储 (NAS) 设备以及 Western Digital、QNAP、Synology、Canon、Lexmark 和 Sonos 的监控摄像头等设备零日漏洞利用和漏洞链。 5、新英格兰生物实验室泄露敏感数据 https://cybernews.com/security/new-england-biolabs-leak-sensitive-data/ 新英格兰生物实验室(NEB)是一家生产和供应重组和天然酶试剂的公司，主要服务于生命科学研究领域。该公司在2023年9月18日被发现在公开的网络上暴露了两个环境文件(.env)，其中包含了许多敏感信息，如数据库凭证、SMTP服务器登录信息、企业支付处理信息等。这些文件都是用于生产环境的，意味着它们可能在实时场景中用于处理该公司加拿大分部的业务。如果网络犯罪分子先发现了这些文件，他们就能够以该组织的名义发送电子邮件、访问和利用敏感数据，甚至尝试授权支付。 6、Apple 发布主要 iOS、macOS 安全更新，修补了数十个严重漏洞 https://www.securityweek.com/apple-ships-major-ios-macos-security-updates/ 苹果修补了 macOS 和 iOS 平台中的数十个严重安全漏洞，警告黑客可能会发起代码执行漏洞。该公司发布了多个公告，记录了至少21 个 iOS 安全漏洞和44 个 macOS 漏洞，这些漏洞可能导致代码执行、权限升级和敏感数据泄露。 7、Firefox、Chrome 更新补丁修复高危漏洞 https://www.securityweek.com/firefox-chrome-updates-patch-high-severity-vulnerabilities/ Mozilla 和 Google 本周宣布了 Firefox 和 Chrome 的软件更新，解决了多个高严重性漏洞，包括内存安全漏洞。周二，Mozilla 发布了 Firefox 119，修补了 11 个漏洞，其中包括 3 个高严重性问题。周二，谷歌宣布了Chrome 的软件更新，解决了两个漏洞，其中包括外部研究人员报告的一个高严重性问题。 8、CITRIX 警告管理员立即修补 NETSCALER CVE-2023-4966漏洞 https://securityaffairs.com/153016/security/citrix-warns-patch-cve-2023-4966.html Citrix 警告称，攻击活动会主动利用 NetScaler ADC 和 Gateway 设备中的漏洞 CVE-2023-4966。Citrix 敦促管理员保护所有 NetScaler ADC 和网关设备免受CVE-2023-4966漏洞的影响，该漏洞在攻击中被积极利用。 9、Winter Vivern 利用 Roundcube Webmail 服务器中的零日漏洞 https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/ 该漏洞编号为 CVE-2023-5631，允许攻击者通过特制电子邮件在 Roundcube 用户的浏览器窗口上下文中执行任意 JavaScript 代码。 10、VMware 发布针对关键 vCenter Server RCE 漏洞的补丁 https://thehackernews.com/2023/10/act-now-vmware-releases-patch-for.html VMware 发布了安全更新，以解决其 vCenter Server 软件中的一个严重漏洞。该漏洞被称为 CVE-2023-34048，允许远程执行代码，并且严重程度非常严重（CVSS 评分：9.8）。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、1Password在Okta支持系统遭黑客攻击后发现异常行为 https://blog.1password.com/files/okta-incident/okta-incident-report.pdf 1Password是一款流行的密码管理解决方案，它在9月29日Okta支持系统被入侵后检测到其Okta实例上的可疑活动，但重申没有用户数据被访问。1Password首席技术官在周一的通知中说：“我们立即终止了这些活动，进行了调查，并发现没有用户数据或其他敏感系统被泄露，无论是面向员工的还是面向用户的。”据报道，这次入侵是利用一个被盗的凭证来实现的，该凭证是在IT团队的一名成员与Okta支持共享了一个HAR文件后获得的，威胁行为者执行了以下一系列操作： 2、密歇根大学遭黑客窃取员工和学生数据 https://publicaffairs.vpcomm.umich.edu/key-issues/august-2023-data-incident/ 2023年8月，密歇根大学的网络系统遭到了黑客的入侵，导致包括学生、申请者、校友、捐赠者、员工、病人和研究参与者在内的多个群体的个人、财务和医疗信息被泄露。黑客对服务器的非法访问持续了从8月23日到27日的四天时间，大学方面在一周后发现并披露了这一事件，并强制所有账户重置密码。大学还关闭了所有系统和在线服务，以防止进一步的损失。目前，大学正在与联邦调查局(FBI)合作，调查此次网络攻击的来源和影响，并为可能受到影响的个人提供免费的信用监控服 3、华盛顿选举委员会疑似泄露选民个人信息 https://www.bleepingcomputer.com/news/security/dc-board-of-elections-hackers-may-have-breached-entire-voter-roll/ 10月5日，华盛顿特区选举委员会(DCBOE)发现其网站服务器遭到了一名自称RansomVC的黑客的攻击，该黑客声称窃取了60万条美国选民数据，其中包括特区选民记录。DCBOE随即启动了紧急应急计划，并与联邦调查局(FBI)和国土安全部(DHS)合作展开调查。10月22日，DCBOE在推特上发布了最新的消息，称其网站服务器的托管商DataNet Systems公司无法 4、Quasar RAT利用DLL侧载技术攻击Windows系统 https://www.uptycs.com/blog/quasar-rat Quasar RAT是一种开源的远程管理工具(RAT)，也被称为CinaRAT或Yggdrasil，是用C#编写的。这种工具可以执行各种恶意功能，如收集系统数据，运行应用程序，传输文件，记录键盘输入，截取屏幕或摄像头画面，恢复系统密码，以及监控文件管理器，启动管理器，远程桌面等操作。Quasar RAT利用了一种称为DLL侧载的技术，它涉及利用受信任的Microsoft文件，包括“ctfmon.exe”和“calc.exe”，来实现其目标。这种技术利用了这些文件在Windows环境中的固有信任。Quasar RAT 5、卡巴斯基揭秘“三角测量行动”iOS 零点击攻击中使用的隐秘技术 https://securelist.com/triangulation-validators-modules/110847/ 周一，卡巴斯基发布了一份新报告，详细介绍了三角测量行动背后的威胁行为者所采用的各种隐形技术，以及攻击中使用的一些组件。 6、针对 VMWARE ARIA OPERATIONS FOR LOGS 漏洞的POC已发布 https://securityaffairs.com/152977/hacking/vmware-aria-operations-for-logs-flaw-poc.html VMware 警告客户，VMware Aria Operations for Logs（以前称为 vRealize Log Insight）中存在身份验证绕过漏洞的概念验证 (PoC) 漏洞利用代码已发布，请立即修补。该漏洞的编号为 CVE-2023-34051 。 7、印度居民的数亿条 PII 记录（包括 Aadhaar 卡）正在暗网上出售 https://securityaffairs.com/152957/security/pii-indian-citizens-dark-web.html 10 月初，Resecurity 的 HUNTER (HUMINT) 部门发现了数亿条属于印度居民的个人身份信息 (PII) 记录，其中包括在暗网上出售的 Aadhaar 卡。据 UIDAI 网站称， Aadhaar是一个独特的 12 位个人识别码，“由印度唯一身份识别机构代表印度政府颁发” 。 8、以色列正在新兴的“深度伪造”网络战线上与哈马斯作战 https://www.secrss.com/articles/59848 随着以色列与哈马斯冲突加剧，网络空间将再次成为实时决策和舆论的关键战场，深度造假技术也带来了新的威胁。自以色列和哈马斯冲突爆发以来，由人工智能生成的关于冲突的虚假视频充斥着世界各地的媒体。 9、巴基斯坦和阿富汗被 DoNot Team 黑客组织“盯上了” https://www.freebuf.com/news/381613.html 网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中透露，一个名为 DoNot Team 的黑客组织与使用名为 Firebird 的新型基于 .NET 的后门，针对巴基斯坦和阿富汗发起了网络攻击。 10、乌克兰国家安全部门参与对俄罗斯最大私人银行的黑客攻击 https://therecord.media/sbu-involved-in-alfa-bank-hack 乌克兰黑客与该国安全部门 SBU 合作，入侵了俄罗斯最大的私人银行，该部门的一位消息人士向 Recorded Future News 证实。据报道，上周，两个亲乌克兰黑客组织 KibOrg 和 NLB 侵入了 Alfa-Bank，并声称获得了超过 3000 万客户的数据，包括他们的姓名、出生日期、账号和电话号码。他们的官方网站上有一个帖子。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Pure Clipper恶意软件针对意大利用户发起攻击 https://cyble.com/blog/fileless-pure-clipper-malware-italian-users-in-the-crosshairs/ 近日，研究人员发现了一个由威胁行为者(TA)通过一个伪造的Tor项目网站进行的操作。该TA在这个操作中传播了Pure Clipper恶意软件。Clipper是一种用于窃取或操纵与加密货币相关的数据的恶意软件，特别是加密货币钱包地址。Clipper恶意软件通常通过监视用户的剪贴板来操作，剪贴板是临时存储复制信息的地方。当它检测到复制了一个加密货币钱包地址(例如，比特币或以太坊地址)时，它会用攻击者控制的地址替换该地址。因此， 2、以色列-巴勒斯坦冲突引发网络攻击风暴 https://cyble.com/blog/israel-palestine-conflict-and-looming-threat-on-critical-infra/ 2023年10月，以色列和巴勒斯坦之间的紧张局势再次升级，引发了一场全面的武装冲突。这两个国家自20世纪初以来就一直存在争端，自2008年以来发生了多次激烈的冲突。这场战争也引起了来自黑客活动分子和威胁行为者(TAs)的大量报复性攻击，这与2012年以来观察到的趋势相符。此外，网络攻击通常是现代战争中的辅助手段，这一趋势在2022年俄罗斯-乌克兰冲突爆发之前就已经出现。研究人员一直在收集特定的情报，以在黑客活动分子和不同 3、TetrisPhantom黑客利用安全U盘窃取政府系统数据 https://securelist.com/apt-trends-report-q3-2023/110752/ 一种新的复杂威胁，被追踪为“TetrisPhantom”，一直在利用被感染的安全U盘，针对亚太地区的政府系统进行攻击。安全U盘在设备的加密部分存储文件，用于在系统之间安全地传输数据，包括那些在隔离环境中的系统。通过自定义软件，可以根据用户提供的密码解密U盘中的内容。这种软件之一是UTetris.exe，它被捆绑在U盘的未加密部分。安全研究人员发现了UTetris应用程序的恶意版本，它们被部署在安全U盘上，作为一场攻击活动的一部分，该活动已经持续了至少几年，并且针对亚太地区的政府机 4、Chrome将推出新的“IP保护”功能，隐藏用户的IP地址 https://www.bleepingcomputer.com/news/google/google-chromes-new-ip-protection-will-hide-users-ip-addresses/ Chrome是一款流行的网络浏览器，它提供了许多功能和选项，以提高用户的网络体验和安全性。最近，谷歌正在准备测试一种新的“IP保护”功能，该功能可以通过使用代理服务器来掩盖用户的IP地址，从而增强用户的隐私。IP地址是一个唯一的数字标识符，它可以显示用户的网络位置和设备信息。一些网站和服务可能会收集和追踪用户的IP地址，以进行广告定向、分析或审查等目的。因此，隐藏或更改IP地址可 5、Deepfake！黑客冒充非洲联盟主席与多位欧洲领导人通话 https://cybernews.com/security/deepfake-african-union-chief-fari/ 该报道称，黑客在通话过程中使用了深度伪造的视频篡改技术来冒充主席。同时，非洲联盟（AU）在一份声明中说，有人使用伪造的电子邮件地址要求与外国领导人通话。 6、SolarWinds 修复了 Access Rights Manager 中的严重漏洞 https://www.securityweek.com/solarwinds-patches-high-severity-flaws-in-access-rights-manager/ 企业软件供应商 SolarWinds 已针对其访问权限管理器 (ARM) 中的八个高严重性漏洞发布了补丁，其中包括三个无需身份验证即可利用的远程代码执行问题。 7、思科警告第二个 IOS XE 零日漏洞被用于感染全球设备 https://securityaffairs.com/152924/hacking/cisco-ios-xe-zero-day-cve-2023-20273.html 思科发现了第二个 IOS XE 零日漏洞，编号为 CVE-2023-20273，该漏洞在野外攻击中被积极利用。 8、Ragnar Locker 勒索软件组织的主要成员在欧洲被捕 https://www.europol.europa.eu/media-press/newsroom/news/ragnar-locker-ransomware-gang-taken-down-international-police-swoop 在欧洲刑警组织等机构的协调下，欧洲多国对 Ragnar Locker 勒索软件组织的主要成员展开了突击行动。该组织的关键成员于 10 月 16 日在法国巴黎被捕，其在捷克的家遭到搜查。另外五名嫌疑人分别在西班牙和拉脱维亚接受询问。Ragnar Locker 的基础设施在荷兰、德国和瑞典查封，暗网上的数据泄露网站在瑞典被关闭。Ragnar Locke 9、BlackCat再升级！可用全新Munchkin工具进行隐形攻击 https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/ BlackCat/ALPHV 勒索软件最近开始使用一种名为 "Munchkin "的新工具，该工具可利用虚拟机在网络设备上隐秘地部署加密程序。 10、复杂的MATA框架打击东欧石油和天然气公司 https://thehackernews.com/2023/10/sophisticated-mata-framework-strikes.html 卡巴斯基在本周发布的一份新的详尽报告中表示：攻击背后的行为者使用鱼叉式网络钓鱼邮件针对几名受害者，其中一些人通过互联网浏览器下载文件感染了Windows可执行恶意软件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Complaint Stealer针对加密货币钱包和酒店业 https://cofense.com/blog/new-complaint-stealer-malware-escalates/ 近日，一系列传播新型恶意软件“Complaint Stealer”的网络钓鱼活动开始升级。这种恶意软件是一种信息窃取器，可以盗取用户的加密货币钱包和程序，以及浏览器中存储的凭据。Complaint Stealer还对显卡和其他与加密货币挖矿相关的信息表现出异常的兴趣，因此加密货币挖矿可能是其后续功能。Complaint Stealer还经常利用一些合法的软件，如AutoIT或PKWARE。目前发现的所有样本都使用相同的C2位置。这次活动使用了社会工程学技巧，类似 2、警方查封Ragnar Locker勒索软件的暗网勒索站点 https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomwares-dark-web-extortion-sites-seized-by-police/ Ragnar Locker是一种针对Windows和Linux的勒索软件，它可以从受感染的机器中窃取信息，使用Salsa20加密算法加密文件，并要求受害者支付赎金以恢复数据。Ragnar Locker团伙以使用双重勒索的策略而闻名，即如果受害者拒绝支付赎金，他们的数据就会被公开到暗网上。据报道，一组国际执法机构已经查封了Ragnar Locker团伙使用的暗网门户 3、Crambus针对中东政府发起新一轮攻击 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government Crambus是一个伊朗的间谍组织，长期针对多个国家的目标进行情报收集和监视活动。最近，该组织在2023年2月至9月期间，对中东某国政府进行了为期八个月的入侵。在入侵过程中，攻击者窃取了文件和密码，并在一台计算机上安装了一个PowerShell后门(被称为PowerExchange)，用于监视Exchange服务器上的收件箱，执行攻击者通过邮件发送的命令，并将结果偷偷转发给攻击者。研究人 4、恶意广告商使用Google广告来定位搜索流行软件的用户 https://www.malwarebytes.com/blog/threat-intelligence/2023/10/the-forgotten-malvertising-campaign 恶意广告活动是指利用合法的广告平台或网络来传播恶意软件或勒索软件的一种网络攻击方式。近几周，安全研究人员发现，通过谷歌搜索引擎的恶意广告活动有所增加，一些威胁行为者改进了他们的技术，以逃避整个交付链中的检测。研究人员介绍了一个似乎完全被忽视的恶意广告活动，它在用户指纹识别和分发时间敏感的有效载荷方面具有独特性。该活动针对Notepad++等流行的Windows文本编辑器或类似的软件程序，如PDF转换 5、思科IOS XE软件中的零日漏洞被利用，植入恶意Lua后门 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z 思科在周五发布了一份更新的通告，警告其IOS XE软件中存在一个新的零日漏洞，该漏洞已被一个未知的威胁行为者利用，向易受攻击的设备植入了一个恶意的Lua后门。该漏洞被追踪为CVE-2023-20273(CVSS评分：7.2)，与Web UI功能中的一个提权漏洞有关，据说已与CVE-2023-20198一起作为一个利用链被使用。思科表示，攻击者首先利用CVE-202 6、Okta支持系统被盗用凭证入侵，部分客户数据泄露 https://sec.okta.com/harfiles Okta是一家提供身份服务的公司，拥有超过1.7万个客户和5亿个用户。在周五，Okta披露了一起新的安全事件，称一个未知的威胁行为者利用了一个被盗的凭证，访问了其支持案例管理系统。该系统用于处理客户的技术问题和请求。Okta的首席安全官David Bradbury表示，“威胁行为者能够查看某些Okta客户作为最近支持案例的一部分上传的文件”。他还强调，Okta支持案例管理系统与Okta生产服务是分开的，后者没有受到影响。但是，他也警告说，客户支持系统有时会用于上传HTTP归档(HAR)文件，以复制用户或管理员的错误，以便进行故障排除 7、BlackCat勒索软件使用新策略进行隐蔽攻击 https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/ BlackCat(也称ALPHV)勒索软件团伙最近使用了一种新的名为“Munchkin”的Linux虚拟机，来加强其攻击的隐蔽性和持久性。Munchkin是一个定制的Alpine OS Linux发行版，以ISO文件的形式提供。在入侵设备后，威胁行为者安装VirtualBox，并使用Munchkin ISO文件创建一个新的虚拟机。然后，在虚拟机中执行恶意代码，对受害者的系统进行加密和破坏。BlackCat勒索软件最初于2 8、SolarWinds ARM产品存在三个严重远程代码执行漏洞 https://documentation.solarwinds.com/en/success_center/arm/content/release_notes/arm_2023-2-1_release_notes.htm SolarWinds是一家提供网络管理和监控软件的公司，其访问权限管理器(ARM)是一款用于审计和控制网络资源访问权限的解决方案。近日，该产品被发现存在三个严重的远程代码执行(RCE)漏洞，分别是CVE-2023-35182、CVE-2023-35185和CVE-2023-35187。这些漏洞都是由于产品在处理不可信数据时存在反序列化漏洞而导致的，攻击者可以利用这些漏洞在 9、卡西欧披露数据泄露影响了149个国家的客户 https://world.casio.com/information/1018-incident/ 卡西欧是一家日本电子产品制造商，其ClassPad是一款面向教育领域的平台，提供数学、科学和编程等功能。近日，该公司透露，其ClassPad的服务器遭到黑客入侵，导致来自149个国家/地区的客户的数据被泄露。卡西欧于10月11日检测到该事件，原因是开发环境中的ClassPad数据库发生故障。有证据表明，黑客在10月12日访问了客户信息，包括姓名、电子邮件地址、密码、电话号码、学校名称等。截至10月18日，黑客获得了日本客户的91921条记录，以及其它148个国家/地区客户的35049条记录。 10、最新报告：71%的AI检测器无法检测出ChatGPT撰写的钓鱼邮件 https://www.freebuf.com/articles/paper/380801.html 近日，邮件安全公司Egress发布的《2023年网络钓鱼威胁趋势报告》对迄今为止的流行网络钓鱼趋势进行了分析。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、朝鲜黑客利用TeamCity漏洞发动攻击 https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/ 据研究人员透露，被称为Diamond Sleet和Onyx Sleet的朝鲜国家级威胁行为者正在利用影响JetBrains TeamCity服务器多个版本的远程代码执行漏洞。TeamCity是一款用于构建管理和持续集成的DevOps工具，拥有超过3万名全球用户，包括耐克、法拉利、花旗银行和育碧等知名企业 2、Qubitstrike利用Jupyter Notebook挖矿和窃取云数据 https://www.cadosecurity.com/qubitstrike-an-emerging-malware-campaign-targeting-jupyter-notebooks/ Qubitstrike是一种新发现的恶意软件，它针对暴露在互联网上的Jupyter Notebook进行攻击，旨在非法挖掘加密货币和窃取云服务提供商的凭证。Jupyter Notebook是一种开源的交互式计算环境，用于数据分析、机器学习和科学研究。Qubitstrike的攻击者利用Shodan等服务搜索易受攻击的Jupyter Notebook，并通过Jupyter的终端功能执行命令，从Code 3、MATA恶意软件框架利用EDR攻击国防企业 https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/ 据报道，一种更新版本的MATA恶意软件框架在2022年8月至2023年5月期间发动了一系列攻击，针对东欧的石油和天然气企业以及国防行业。这些攻击利用鱼叉式钓鱼邮件诱使目标下载恶意可执行文件，利用Internet Explorer中的CVE-2021-26411漏洞启动感染链。更新的MATA框架结合了一个加载器、一个主木马和一个信息窃取器，以在目标网络中植入后门并获得持久性。这个MATA版本与之前与朝鲜黑客组织La 4、恶意广告利用Punycode冒充KeePass网站传播恶意软件 https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website 研究人员发布了一篇博客文章，揭露了一种新的恶意广告攻击，该攻击针对KeePass，这是一款开源的密码管理器。该攻击使用了一个特殊的字符编码Punycode，来注册一个与KeePass官方网站非常相似的国际化域名。这种域名在视觉上几乎无法区分，因此很容易欺骗用户。当用户在Google搜索KeePass时，会看到一个带有官方图标和 5、攻击者称手握300万条D-Link数据，D-Link称只有700条 https://www.freebuf.com/news/381158.html 位于中国台湾地区的全球网络设备和技术公司 D-Link 近期遭到一起数据泄露事件，一名攻击者在 BreachForums 平台上出售来自该公司的被盗数据。攻击者声称窃取了 300 万条个人信息以及 D-Link 的 D-View 网络管理软件的源代码，并提供了 1.2 GB 的存档。被盗数据包括许多台湾政府官员以及该公司首席执行官和员工的信息。D-link称攻击者仅窃取了大约 700 条至少已超过7年的老旧记录。且大部分由低敏感度和半公开信息组成，与其宣称的拥有300万条信息不符。 6、包含名流世家！数百万份 23andMe 基因数据资料被盗 https://www.freebuf.com/news/381144.html 一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据主要来自英国和德国。网络攻击者声称被盗数据包括皇室、罗斯柴尔德家族和洛克菲勒家族的基因信息。 7、国家支持的 APT 正在利用 WinRAR 漏洞（CVE-2023-38831） https://www.freebuf.com/news/381150.html 一些由政府支持的 APT 正在利用 CVE-2023-38831漏洞，这是 WinRAR 中的一个文件扩展名欺骗漏洞。自 2023 年 4 月以来，该漏洞一直被网络犯罪分子作为零日漏洞加以利用，现在也被国家支持的黑客组织所利用。谷歌 TAG 分析师指出：对 WinRAR 漏洞的广泛利用也表明，尽管已经有了补丁，但对已知漏洞的利用依旧活跃且有效。 8、亚马逊添加密钥支持作为新的无密码登录选项 https://www.bleepingcomputer.com/news/security/amazon-adds-passkey-support-as-new-passwordless-login-option/ 亚马逊悄悄地为客户添加了密钥支持，作为新的无密码登录选项，提供更好的保护，防止信息窃取恶意软件和网络钓鱼攻击。 9、因未修补的IOS XE漏洞遭攻击的思科设备数量已达到约 40,000 台 https://www.securityweek.com/number-of-cisco-devices-hacked-via-unpatched-vulnerability-increases-to-40000/ 据多家网络安全公司称，利用未修补的 IOS XE 漏洞遭到黑客攻击的思科设备数量已达到约 40,000 台。 所利用的漏洞是 CVE-2023-20198，这是一个影响 IOS XE Web 界面的严重缺陷，未经身份验证的远程攻击者可以利用该漏洞进行权限升级。 思科尚未发布补丁，该公司警告称，该漏洞至少从 9 月中旬起就已被作为零日漏洞利用。 10、lackCat Group 采用新策略规避安全检测 https://cyware.com/news/blackcat-group-adopts-a-new-tactic-to-circumvent-security-solutions-8257dfd9 BlackCat 组织再次在其武器库中添加了一个新工具，以逃避不同供应商提供的安全解决方案的检测。攻击者创建了一个名为 Munchkin 的新实用程序，允许他们在远程计算机上运行勒索软件负载，或加密远程服务器消息块 (SMB)/通用 Internet 文件共享 (CIFS)。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发现针对Telegram和云用户的供应链攻击活动 https://checkmarx.com/blog/users-of-telegram-aws-and-alibaba-cloud-targeted-in-latest-supply-chain-attack/ 2023年9月，一个使用“kohlersbtuh15”假名的攻击者，通过向PyPi包管理器上传一系列恶意包，试图利用开源社区进行传播。根据这些包的名称和代码，可以看出这个攻击者的目标是使用阿里云服务、AWS和Telegram的开发者。这次攻击的特点是，攻击者利用了Typosquatting(误拼)和Starjacking(星标劫持)等技术，诱导开发者下载恶意包。Typosquatt 2、Fantom Foundation因Chrome漏洞遭黑客攻击 https://www.hackread.com/fantom-foundation-wallet-hack-google-chrome-0-day-flaw/ 2023年10月17日，Fantom Foundation(开发Fantom区块链的组织)遭到了一场网络钓鱼攻击。黑客利用了Google Chrome浏览器的一个零日漏洞，直接影响了该组织的运营。这次攻击导致了估计为65.7万美元的资金被非法转移，这是本月困扰区块链领域的众多安全事件之一。据研究人员称，攻击者从Fantom Foundation在以太坊和Fantom网络上的钱包中窃取了资金。攻击者将偷来的资金集中到一个地址中，该地址 3、CasaOS存在严重的安全漏洞，需尽快修复 https://www.sonarsource.com/blog/security-vulnerabilities-in-casaos/ CasaOS是一个开源的家庭云系统，可以让用户在自己的设备上部署和管理各种应用。然而，近日研究人员发现了CasaOS中存在多个严重的安全漏洞，包括任意文件读取、任意文件上传、命令注入、跨站脚本攻击等。这些漏洞可以让攻击者获取用户的敏感数据，甚至控制用户的设备。研究人员已经向CasaOS的开发者报告了这些漏洞，并提供了一些修复建议。目前，CasaOS的最新版本是0.3.7，还没有发布修复这些漏洞的更新。因此，建议CasaOS的用户尽快升级到最新版本，并避免在 4、D-Link确认数据泄露，员工和合作伙伴受影响 https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10359 D-Link是一家知名的网络设备制造商，近日确认了一起数据泄露事件，导致员工和合作伙伴的个人信息和敏感数据被暴露。据报道，这起数据泄露事件发生在2023年9月30日，当时D-Link的一个第三方服务提供商遭到了网络攻击。攻击者利用了一个未修复的漏洞，窃取了D-Link的员工和合作伙伴的姓名、电子邮件地址、电话号码、职位、公司名称等信息。D-Link表示，已经通知了受影响的员工和合作伙伴，并提供了一些安全建议，如修改密码、监控 5、《2023年全球云威胁报告》：90%的安全供应链实则并不安全 https://www.freebuf.com/articles/paper/380279.html 近日，云安全公司Sysdig发布了《2023年全球云威胁报告》，研究了瞄准垂直行业的针对性云攻击，结果发现云攻击者正在通过利用云服务和常见的错误配置，以复杂的方式发展他们的技术和工具包。更重要的是，云中的攻击移动速度很快，侦察到威胁和造成严重破坏之间的间隔可能仅几分钟。 6、WIKI系统 Confluence存在高危漏洞 https://www.freebuf.com/news/381032.html 近日，CISA、FBI 和 MS-ISAC 警告网络管理员立即为其 Atlassian Confluence 服务器更新安全补丁，以防止网络攻击者中主动利用严重性漏洞 CVE-2023-22515。 7、香港芭蕾舞团电脑遭勒索软件入侵读取个人及内部资料 https://www.secrss.com/articles/59712 香港芭蕾舞团公布，电脑网络系统近日遭勒索软体入侵，导致内部电脑系统遭非法读取，当中或包括个人资料及港芭内部资料。 8、黑客利用币安智能链储存恶意代码 https://thehackernews.com/2023/10/binances-smart-chain-exploited-in-new.html 过去两个月，黑客劫持了 WordPress 网站向访问者展示浏览器需要更新才能正常访问的信息，如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息，恶意程序通常托管在 Web 服务上，一经发现会迅速被移除。但在这起攻击中，黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。 9、专家警告Milesight 路由器和 Titan SFTP 服务器严重漏洞已被利用 https://thehackernews.com/2023/10/experts-warn-of-severe-flaws-affecting.html VulnCheck 的新发现显示，影响Milesight工业蜂窝路由器的严重缺陷可能已在现实世界的攻击中被积极利用。该漏洞被追踪为 CVE-2023-43261（CVSS 评分：7.5），被描述为影响 35.3.0.7 版本之前的 UR5X、UR32L、UR32、UR35 和 UR41 路由器的信息泄露案例，可能使攻击者能够访问https://nvd.nist.gov/vuln/detail/CVE-2023-43261例如 httpd. 10、Zabbix 修复缓冲区溢出漏洞（CVE-2023-32722） http://www.anquan419.com/knews/24/6016.html Zabbix 修复了一个缓冲区溢出漏洞（CVE-2023-32722），由于 Zabbix 受影响版本中 zabbix src libs zbxjson 模块未对 JSON 数据的深度进行校验，导致 zbx_json_open 方法解析 JSON 深度超过 64 层时存在缓冲区溢出漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。