1、研究人员发现针对拉丁美洲用户的新型恶意软件TOITOIN https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region 研究人员最近发现一个针对拉丁美洲用户的攻击活动。在此次攻击活动中，攻击者利用多阶段的攻击链执行定制的模块，例如将恶意代码注入到进程中、通过COM组件绕过用户账户控制、 规避沙箱检测等，最终投递一个名为“TOITOIN”的新型恶意软件。该恶意软件采用独特的XOR解密技术对配置文件进行解密，收集系统信息，并对已安装浏览器及Topaz OFD产品中的相关数据进行窃 2、攻击者使用Legion窃密木马针对PUBG玩家进行攻击 https://blog.cyble.com/2023/07/11/legion-stealer-targeting-pubg-players 研究人员最近发现了一个Github页面，该页面伪装成PUBG作弊工具的项目，并借此传播恶意软件。攻击者对其中的“Karogour_Bypanls.Scr”文件的后7个字符进行反转，将其文件名变成“Karogour_BypasrcS.sln”以此诱导用户执行。该程序是一个基于GUI的32位可执行程序，使用.NET语言进行编写，运行后将“Local_ycsNYnaBZ.sln”文件及“LocalchfRgyVJSk.exe”程序放置%appdata%目录 3、微软针对132个漏洞发布安全更新，包括多个已被利用零日漏洞 https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html 微软发布安全更新，以解决132个安全漏洞，其中包括6个零日漏洞，且这些零日漏洞已被利用。CVE-2023-32046，CVSS评分为7.8，是Windows MSHTML平台提权漏洞；CVE-2023-32049，CVSS评分为8.8，是Windows SmartScreen安全功能绕过漏洞；CVE-2023-35311，CVSS评分为8.8，是Microsoft Outlook安全功能绕过漏洞；CVE-2023-36874，CVSS评分为7.8 4、HCA Healthcare泄露1100万患者数据 https://securityaffairs.com/148371/data-breach/hca-healthcare-data-breach.html HCA Healthcare披露了一个数据泄露事件，该机构表示大约1100万患者的个人信息在此次事件中泄露。7月5日，黑客在黑客论坛中宣传入侵了该机构，并发布了一些患者的相关数据信息。HCA Healthcare仍在对此次事件进行调查，尚未在其网络或系统中发现与此次事件相关的证据。HCA Healthcare指出数据泄露列表中包含约2700万行数据，其中可能包括约1100万患者的个人信息。该机构表示不认为此次数据泄漏涉及到患者的临床信息 5、特立尼达和多巴哥遭受网络攻击 https://therecord.media/trinidad-tobago-hit-with-cyberattack 特立尼达和多巴哥司法部正在处理一起影响该国司法部运作的网络攻击事件，其数字转型部最近几天发现了针对该国总检察长办公室和法律事务部（AGLA）的网络攻击。虽然暂未给出攻击开始的具体日期，但AGLA发布消息表示，自6月30日以来一直在处理网络攻击所导致的问题，其内部服务中断，并且在此之后不能够收到以电子方式传来的法庭文件。为解决此问题，该部门提供了发送法庭文件的备用电子邮箱地址，并表示可以在西班牙首都港口提供面对面的法庭服务。 6、疑似迪卡侬 8000 名员工个人信息暴露暗网上 https://www.freebuf.com/news/380889.html The cyber express 网站消息，某论坛用户爆料知名体育用品零售商迪卡侬一起数据泄露事件，大约 8000 名员工个人信息在此前迪卡侬数据泄露事件中被曝光，这些信息目前已在暗网上“共享”。 7、思科未修补的零日漏洞CVE-2023-20198(CVSS:10)正被积极利用 https://www.freebuf.com/news/380882.html 思科要求客户立即在其所有面向互联网的 IOS XE 设备上禁用 HTTPS 服务器功能，以防止攻击者利用操作系统 Web 用户界面中的一个关键零日漏洞。思科 IOS XE 是思科用于下一代企业网络设备的操作系统。该漏洞被命名为 CVE-2023-20198，影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。思科将该漏洞定义为一个权限升级漏洞，可以完全接管设备。思科将该漏洞在 CVSS 评级中定为 10 分（满分 10 分）。 8、微软计划在 Win11 中弃用 NTLM 身份验证协议 https://www.freebuf.com/news/380859.html 微软公司宣布，计划在未来的 Windows 11 中取消 NT LAN Manager，将其换成其他认证方式并加强安全性。微软方面强调，此次变化的重点是加强自 2000 年以来一直默认使用的 Kerberos 身份验证协议，从而减少对 NT LAN Manager 的依赖。Windows 11 的新功能包括使用 Kerberos 的初始和通过身份验证以及用于 Kerberos 的本地密钥分发中心。 9、因收到100万美元“侮辱性”赎金，Lockbit泄露CDW内部数据 https://www.freebuf.com/news/380865.html 近日，知名勒索软件团伙Lockbit声称入侵了技术服务巨头 CDW，并因赎金谈判破裂泄露了部分数据。CDW是全球最大的经销商企业之一，专为商业、政府和教育提供技术解决方案和服务。Lockbit在入侵CDW后索要8000万美元赎金，但该组织声称该对方只支付了 100 万美元。 10、MemComputing ASIC 可能会破坏 2048 位 RSA 加密 https://www.securityweek.com/beyond-quantum-memcomputing-asics-could-shatter-2048-bit-rsa-encryption/ 总部位于圣地亚哥的 MemComputing 正在研究使用内存处理 ASIC（专用集成电路）来实时破解 2048 位 RSA。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、恶意NuGet包冒充加密货币项目感染开发者 https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package/ 近日，安全研究人员发现了一些恶意的NuGet包，它们冒充了一些流行的加密货币项目和平台，例如Solana、Kucoin和Discord，目的是感染开发者的电脑，安装SeroXen远程控制木马。这些恶意包由一个名为“Disti”的用户上传，共有12个，下载量超过200万次。这些包含有一个混淆的批处理文件，当开发者使用NuGet包管理器安装这些包时，就会执行该文件，从远程服务器下载并运行SeroXen木马。SeroXen木马可以窃取 2、俄罗斯黑客利用WinRAR漏洞攻击乌克兰冲突区 https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack 研究人员发现，与俄罗斯有关联的国家级威胁行为者发起了一系列基于网络钓鱼的攻击，目标是乌克兰冲突区域的机构和个人。这些攻击利用了最近发现的影响WinRAR压缩软件6.23之前版本的漏洞，编号为CVE-2023-38831。攻击者通过发送一个恶意的压缩文件来诱骗受害者打开，该压缩文件包含一个伪装成分享指标(IoCs)的PDF文件，以及一个与PDF文件同名(包括末尾空格)的目录，该目录中有一个BAT脚本。由于漏洞的存在，当受害者尝试打开PDF文件 3、AgentTesla通过CHM和PDF文件在最近的攻击中传播 https://cyble.com/blog/agenttesla-spreads-through-chm-and-pdf-files-in-recent-attacks/ AgentTesla是一个基于.NET框架的信息窃取器，旨在渗透计算机并秘密地从受害者的机器中提取敏感信息。近日，研究人员在VirusTotal(VT)中发现了一个恶意的Gzip压缩文件。这个Gzip文件包含了一个CHM文件，它触发了AgentTesla感染的开始。在最近的活动中，研究人员发现了一个被Gzip压缩并很可能通过恶意垃圾邮件发送的CHM文件。这个精心制作的CHM文件充当了一个诱饵。根据CHM文件中可用的内容， 4、威胁行为者利用币安智能链合约传播恶意代码 https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16 近日，研究人员发现一些恶意行为者利用币安智能链(BSC)合约来托管和传播恶意代码。研究人员将其活动代号为EtherHiding，它利用被感染的WordPress网站来诱骗访问者更新他们的浏览器，然后下载信息窃取型恶意软件，如Amadey、Lumma或RedLine。攻击者在被感染的网站上注入了一个混淆的Javascript，用来通过创建一个智能合约来查询BNB智能链，合约中包含了攻击者控制的区块链地 5、AI算法用于检测和防御针对无人军用机器人的中间人攻击 https://www.unisa.edu.au/media-centre/Releases/2023/new-cyber-algorithm-shuts-down-malicious-robotic-attack/ 研究人员开发了一种使用机器学习技术的算法，可以检测和拦截对无人军用机器人的中间人(MitM)攻击。MitM攻击是一种网络攻击，其中攻击者截取了机器人和其合法控制器之间的数据流，以窃听或在流中注入虚假数据。这种攻击可能会干扰无人驾驶车辆的运行，修改传输的指令，甚至夺取控制权，指示机器人采取危险行动。该算法在美国陆军使用的GVR-BOT复制品中进行了测试，记录了99%的攻击预防成功 6、ALPHV勒索软件攻击美国莫里森社区医院窃取了5TB数据 https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html 美国伊利诺伊州的莫里森社区医院(MCH)遭到了ALPHV/BlackCat勒索软件团伙的攻击，导致其部分系统被加密，并且有大量的敏感数据被窃取。该团伙在其暗网网站上公布了部分数据的截图，包括患者的姓名、出生日期、社会保险号、诊断信息、医疗保险信息等。该团伙还声称他们已经从医院的服务器上下载了超过5TB的数据，并威胁如果不支付赎金，就会公开更多的数据。ALPHV/BlackCat勒索软件是一种新兴的网络 7、Storm-0324 与勒索团伙 Sangria Tempest 勾结 https://www.freebuf.com/articles/network/379912.html 2023 年 7 月上旬，微软称之为 Storm-0324 的攻击组织通过 Microsoft Teams 发送钓鱼邮件进行攻击。Storm-0324 是一个以经济获利为动机的攻击组织，以通过钓鱼邮件执行远程代码获取失陷主机访问权限而闻名。获取立足点后 Storm-0324 通常会将访问权限转卖给其他犯罪团伙，如勒索软件组织 Sangria Tempest（又叫 FIN7、Carbon Spider）与 TA543 等。攻击组织 Sangria Tempest 与 Storm-0324 8、 阿里云、华为、金山办公等发起，人工智能安全治理专业委员会成立 https://www.ithome.com/0/724/987.htm “中国网络空间安全协会”官方公众号10月14日下午宣布，10 月 12 日上午，中国网络空间安全协会人工智能安全治理专业委员会正式成立。 9、密码泄露及时通知，谷歌为自家搜索 App 添加一系列隐私功能 https://www.ithome.com/0/724/835.htm 谷歌目前表示，任何拥有谷歌账号的用户，近日都可以在“谷歌手机软件”中启用“暗网报告”功能，谷歌在今年 5 月公布这项功能，可在用户密码泄露时告知用户。 10、思科再次承认使用了硬编码密码 https://www.schneier.com/blog/archives/2023/10/cisco-cant-stop-using-hard-coded-passwords.html 思科最近披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101，它包含了一个 root 账号的静态用户凭证，原本是为开发保留的，但不小心留在了最终用户产品中。攻击者可以使用该账号登陆受影响系统，以 root 用户权限执行任意命令。这远非第一次思科在其产品中使用了硬编码密码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发布一款追踪和分析勒索软件攻击的工具 https://cybernews.com/ransomlooker/ 勒索软件是一种恶意软件，通过加密受害者的文件或系统，然后要求支付赎金来解密的一种网络攻击手法。近年来，勒索软件攻击的规模和频率都在不断增加，给全球的个人和组织带来了巨大的损失和威胁。为了应对这一挑战，研究人员推出了一款名为Ransomlooker的工具，可以监控勒索软件团伙的勒索网站，并提供他们在全球范围内的攻击声明的汇总信息。该工具的目的是帮助网络安全专家在日常工作中获取实时更新和可行的洞察，以便更好地防御和应对勒索软件攻击。Ransomlooker的主要功能包括：收集并展示来自不同勒索软件团伙的最新攻击声明，包括受害 2、BianLian勒索团伙窃取Air Canada数据并威胁公开 https://www.bleepingcomputer.com/news/security/bianlian-extortion-group-claims-recent-air-canada-breach/ BianLian勒索团伙近日宣称，他们在9月份成功入侵了加拿大最大的航空公司Air Canada的网络，窃取了210GB的数据，并威胁如果不支付赎金，就会公开这些数据。这些数据包括员工的个人信息、机票预订、机场运营、飞行计划等敏感信息。BianLian勒索团伙在其暗网网站上发布了一些数据的截图，作为证据。 Air Canada在9月份时曾经承认遭到了网络攻击，但只是表示受影响的系统包括 3、Shadow PC遭黑客利用恶意游戏入侵，用户信息被盗卖 https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/ Shadow PC是一家提供高端云计算服务的公司，它允许用户在任何设备上享受高性能的游戏体验。然而，该公司近日遭受了一场数据泄露事件，导致用户的私人信息被黑客窃取，并在网上出售。据Shadow PC的首席执行官在周三发出的一封电子邮件中透露，这场数据泄露事件发生在上个月，是由一次“社交工程攻击”引起的。一名公司员工在Discord平台上下载了一个伪装成Steam平台 4、ToddyCat APT组织开发了一套新的数据窃取工具 https://securelist.com/toddycat-keep-calm-and-check-logs/110696/ ToddyCat APT组织是一支活跃于欧洲和亚洲的高级持续性威胁(APT)行为者，自2020年以来就一直被研究人员关注。该组织主要使用Ninja木马和Samurai后门作为其攻击武器，但最近，研究人员发现了该组织开发和维护的一套新的恶意软件工具，用于实现持久性、进行文件操作和加载额外的有效负载。这些工具包括一系列加载器，可以启动Ninja木马作为第二阶段；一个名为LoFiSe的工具，可以查找和收集感兴趣的文件；一个DropBox上传器，可以将窃取的数据保存到Dr 5、DarkGate恶意软件通过即时通讯平台传播 https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html DarkGate恶意软件是一种多功能的恶意软件工具包，可以从浏览器中窃取敏感数据，进行加密货币挖矿，并允许其操作者远程控制受感染的主机。它还可以作为一个下载器，下载额外的有效负载，如Remcos RAT。DarkGate恶意软件最初于2018年被发现，并主要针对欧洲和西班牙用户。2023年6月，DarkGate恶意软件的开发者在地下论坛上宣传了其新版本，称其具有更强的逃避检测和限 6、AvosLocker勒索软件利用正规驱动文件绕过杀毒扫描 https://www.cisa.gov/sites/default/files/2023-10/aa23-284a-joint-csa-stopransomware-avoslocker-ransomware-update.pdf AvosLocker勒索软件是一种相对较新的勒索软件家族，它使用了最新的勒索软件特征，即通过威胁暴露窃取的信息来进行“双重勒索”。该勒索软件于2022年7月首次被发现，它声称自己是一个“专业的加密服务”，并提供了一个暗网门户网站，用于与受害者沟通和支付赎金。该门户网站还显示了一些被攻击的组织的名称和部分数据，作为对其他潜在受害者的威胁。AvosLocker勒索软 7、未修复的WS_FTP服务器遭受勒索软件攻击 https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/ WS_FTP是一款广泛使用的FTP软件，主要用于在网络上传输文件。然而，该软件存在一个最高级别的漏洞，编号为CVE-2023-28252，可以让攻击者在本地访问的情况下执行任意代码。该漏洞已经被一些勒索软件利用，例如LockBit 3.0。据研究人员观察，自称为Reichsadler Cybercrime Group的威胁行为者试图利用这个漏洞，在未修复的WS_FTP服务器上部署勒索软件载 8、微软将淘汰NTLM，转向更强的Kerberos认证 https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848 微软宣布，计划在未来的Windows 11中淘汰NT LAN Manager(NTLM)，转向更强的Kerberos认证。NTLM是一种早期的单点登录(SSO)工具，使用挑战-应答协议来验证用户的密码。但是，NTLM存在一些安全弱点，容易受到中继攻击，导致未授权访问网络资源。微软表示，将加强Kerberos认证协议，这是自2000年以来的默认协议，并减少对NTLM的依赖。 9、LOCKBIT勒索软件团伙向CDW索要8000万赎金 https://securityaffairs.com/152470/cyber-crime/lockbit-ransomware-gang-hacked-cdw.html CDW公司是一家提供技术产品和服务的跨国公司，拥有超过1000万的客户和超过100亿美元的年收入。近日，该公司遭到了LockBit勒索软件团伙的攻击，黑客声称已经窃取了该公司的敏感数据，并在暗网上发布了一个倒计时，要求CDW公司在16天内支付赎金，否则就会公开数据。目前，CDW公司的官网仍然正常运行，没有显示任何被攻击的迹象。CDW公司也没有对此事发表任何声明或回应。LockBit勒索软件团伙索要8000万美元的赎金，但 10、奖金最高15000美元！微软宣布Bing AI漏洞赏金计划 https://www.freebuf.com/news/380600.html 近日，微软宣布了一项新的人工智能赏金计划，重点关注Bing AI的体验，奖金达到了15000美元。 随着人工智能驱动的Bing体验成为新漏洞赏金计划的第一个产品，安全研究人员可以提交在以下合格服务和产品列表中发现的漏洞： 在浏览器中，Bing .com上的人工智能必应体验(支持所有主要供应商，包括Bing Chat, Bing Chat for Enterprise和Bing Image Creator) 在Microsoft Edge (Windows)中集成了人工智能支持的必应，包括企业版必应聊天 在微软启动应用程序(iOS和Android)中集成人工智能支持的Bing 在Skype移动应用程序(iOS和Android)中集成ai支持的Bing 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、LinkedIn智能链接攻击再次针对微软账户 https://www.bleepingcomputer.com/news/security/linkedin-smart-links-attacks-return-to-target-microsoft-accounts/ 近日，研究人员发现了一种新的网络钓鱼攻击，利用LinkedIn的智能链接功能来窃取微软账户的凭证。智能链接是LinkedIn提供的一种服务，可以让用户分享文档和演示文稿，而无需离开LinkedIn平台。攻击者通过发送带有智能链接的LinkedIn消息来诱骗受害者，当受害者点击链接时，会被重定向到一个伪造的微软登录页面，要求输入账户和密码。如果受害者输入了凭证，攻击者就可 2、辛普森制造公司在网络攻击后关闭IT系统 https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/ 近日，辛普森制造公司通过SEC 8-K文件披露了一起网络安全事件，该事件已导致其运营中断，预计这种情况将持续下去。辛普森制造公司是一家美国建筑和结构材料生产商，也是北美结构连接件和锚栓的主要制造商之一，拥有5150名员工，年净销售额为21.2亿美元(2022 年)。该公司表示，上周二检测到IT问题和应用程序中断，但很快意识到这是由网络攻击引起的。针对这种情况，辛普森关闭了所有 3、Microsoft Defender新增自动隔离功能，阻止攻击者横向移动 https://www.microsoft.com/en-us/security/blog/2023/10/11/microsoft-defender-for-endpoint-now-stops-human-operated-attacks-on-its-own/ 近日，微软宣布推出一个新的功能，名为“contain user”，可以自动隔离被攻击者控制的用户账户，阻止攻击者在网络中横向移动。这个功能是基于微软的自动攻击干扰技术，可以在检测到手动键盘攻击(hands-on-keyboard attack)时，立即采取行动，限制攻击者的权限和范围。手动键盘攻击是指攻击者利用被盗或被泄露的用户 4、CISA将Acrobat Reader漏洞添加到已知被利用漏洞目录 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了5个新漏洞，其中包括Adob​​e Acrobat Reader中的一个高严重性漏洞(CVE-2023-21608)(CVSS 评分：7.8)。该漏洞属于释放后使用问题，攻击者可以触发该漏洞，以当前用户的权限实现远程代码执行(RCE)。“Adobe Acrobat Reader版本22.003.20282(及更早版本)、22.003.20281(及更早版本)和20.005.30418(及更早版本)受到该漏 5、Apple 发布 iOS 16 更新以修复旧设备上的 CVE-2023-42824 https://securityaffairs.com/152401/security/apple-releases-ios-16-update.html Apple 发布了 iOS 16.7.1 和 iPadOS 16.7.1 版本，以解决已被积极利用的攻击中的 CVE-2023-42824 漏洞。Apple 发布了iOS 16.7.1 和 iPadOS 16.7.1，以解决最近披露的零日漏洞CVE-2023-42824。该漏洞是存在于内核中的权限提升问题，已通过改进的检查得到解决。 6、一帆工业路由器存在多个严重漏洞可能使组织面临攻击 https://www.securityweek.com/unpatched-vulnerabilities-expose-yifan-industrial-routers-to-attacks/ 思科 Talos 威胁情报和研究小组周三报告称，中国公司一帆制造的工业路由器受到多个严重漏洞的影响，这些漏洞可能使组织面临攻击。供应商于 6 月底收到通知，并给了 90 多天的时间来发布补丁。然而，似乎尚未发布任何修复程序，并且思科已根据其漏洞披露政策公开了技术细节。Talos 研究人员在 Yifan 的 YF325 蜂窝路由器中发现了十多个漏洞。据该供应商介绍，该设备已部署在自助终端、智能交通、 7、ShellBot 使用十六进制 IP 来逃避攻击检测 https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html ShellBot背后的威胁行为者正在利用转换为十六进制表示法的 IP 地址来渗透管理不善的 Linux SSH 服务器并部署 DDoS 恶意软件。 8、研究人员发现冒充 WordPress 缓存插件的恶意软件 https://thehackernews.com/2023/10/researchers-uncover-malware-posing-as.html 网络安全研究人员发现了一种新型复杂恶意软件，该恶意软件伪装 WordPress 插件，秘密创建管理员帐户并远程控制受感染的网站。 9、研究人员在误植的 NuGet 包中发现了 SeroXen RAT https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package 该软件包包含一个恶意安装脚本，该脚本在安装过程中秘密执行，下载一个模糊的批处理脚本，最终构建并执行 PowerShell 脚本。 10、Google 采用密钥作为所有用户的默认登录方式 https://thehackernews.com/2023/10/google-adopts-passkeys-as-default-sign.html 谷歌周二宣布，所有用户都可以默认设置密钥，五个月后，它在所有平台上推出了对FIDO Alliance支持的Google帐户无密码标准的支持。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Mirai变种利用13个路由器漏洞扩大攻击范围 https://www.fortinet.com/blog/threat-research/Iz1h9-campaign-enhances-arsenal-with-scores-of-exploits Mirai是一种基于Linux的DDoS恶意软件，它可以感染各种物联网设备，如摄像头、路由器、打印机等，将它们组成僵尸网络，用于发动大规模的DDoS攻击。近日，一种名为IZ1H9的Mirai变种被发现，它利用了13个路由器漏洞，可以攻击D-Link、Zyxel、TP-Link、TOTOLINK等品牌的路由器。IZ1H9通过暴力破解或利用硬编码的弱口令，远程执行代码，感染目标设备。然后，它会将 2、D-Link WiFi 6扩展器被发现存在严重的命令注入漏洞 https://www.bleepingcomputer.com/news/security/d-link-wifi-range-extender-vulnerable-to-command-injection-attacks/ D-Link DAP-X1860是一款流行的WiFi 6扩展器，它可以增强无线信号的覆盖范围和稳定性。然而，近日，安全研究人员发现，该设备存在一个严重的命令注入漏洞，可以让攻击者在设备上执行任意代码，进行拒绝服务或远程控制攻击。该漏洞的原理是，当设备扫描附近的WiFi网络时，如果遇到一个包含单引号和双和符号的SSID(如“Test’ && uname -a &&”) 3、微软为阻止恶意软件传播，将在Windows中废除VBScript https://www.bleepingcomputer.com/news/security/microsoft-to-kill-off-vbscript-in-windows-to-block-malware-delivery/ VBScript(也称为Visual Basic Script或Microsoft Visual Basic Scripting Edition)是一种类似于Visual Basic或Visual Basic for Applications(VBA)的编程语言，于1996年8月推出，已有近30年的历史。它主要用于在Internet Explorer浏览器中运行客 4、欧洲航空公司Air Europa遭遇数据泄露 https://www.bleepingcomputer.com/news/security/air-europa-data-breach-customers-warned-to-cancel-credit-cards/ Air Europa航空公司是西班牙最大的航空公司之一，近日遭到了一场严重的数据泄露事件，导致数千名客户的个人信息和信用卡信息被黑客窃取。该公司在其官方网站上发布了一份声明，承认了数据泄露的事实，并表示已经采取了相应的措施，包括通知有关当局和信用卡公司。该公司还建议受影响的客户尽快取消或更换他们的信用卡，以防止进一步的损失。泄露事件中暴露的信用卡详细信息包括卡号、有效期以及 5、谷歌发布Chrome 118 修补了 20 个漏洞 https://www.securityweek.com/chrome-118-patches-20-vulnerabilities/ 谷歌周二宣布向稳定渠道发布 Chrome 118，修复了 20 个漏洞，其中包括外部研究人员报告的 14 个漏洞。外部报告的缺陷中最严重的是 CVE-2023-5218，这是一个严重错误，被描述为站点隔离中的释放后使用问题，站点隔离是 Chrome 的组件，负责防止站点窃取其他站点的数据。 6、cURL/libcurl中的严重漏洞使企业系统面临风险 https://www.securityweek.com/critical-socks5-vulnerability-in-curl-puts-enterprise-systems-at-risk/ cURL 数据传输项目的维护者周三推出了针对严重内存损坏漏洞的补丁，该漏洞使数百万企业操作系统、应用程序和设备面临恶意黑客攻击。 7、美国CISA警告 Adobe Acrobat Reader 漏洞被积极利用 https://thehackernews.com/2023/10/us-cybersecurity-agency-warns-of.html 美国网络安全和基础设施安全局 (CISA) 周二将Adobe Acrobat Reader 中的一个高严重性缺陷添加到其已知被利用的漏洞 ( KEV ) 目录中，并引用了主动利用的证据。 8、杭州亚运会大火背后，是网安和黑产的疯狂对抗 https://www.freebuf.com/news/380146.html 杭州亚运会是史上设项最多、参赛人数最多、竞赛组织难度最高的亚运会，已成为全世界最复杂的综合性体育赛事之一。在开幕前，网络安全团队便开启了细致的安全整理工作，共处置公共互联网恶意IP地址和域名6.4万余个，清除移动互联网恶意程序 6500余个。组织建立与79个重点保障对象的“一对一”对接协调机制，实时监测120余个重要域名、2100余个重要IP地址，全力做好了攻击流量清洗及域名安全保障。但在亚运会开赛后，网络威胁风险仍然不可避免地增加。为了消除隐患，根据工信部披露的数据，在赛事期间共处置公共互联网恶意IP地址和域 9、全球众多黑客组织加入巴以冲突数字斗争战局 https://www.secrss.com/articles/59473 全球黑客组织正在“选边站队”，对以色列和巴勒斯坦数字基础设施开展网络攻击，在网络空间塑造了巴以冲突的第二战场。 10、黑客通过修改网上商店的404页面来窃取信用卡 https://www.bleepingcomputer.com/news/security/hackers-modify-online-stores-404-pages-to-steal-credit-cards/ 这种技术是Akamai安全情报小组的研究人员观察到的三种变体之一，另外两种变体将代码隐藏在HTML图像标签的“onerror”属性和图像二进制中，使其显示为元像素代码片段。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、佛罗里达州巡回法院遭ALPHV勒索软件攻击 https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/ 据报道，ALPHV(又名BlackCat)勒索软件团伙声称对佛罗里达州西北部的州立法院发动了一次攻击，这些法院属于第一司法巡回法院。据称，威胁者获取了包括法官在内的员工的个人信息，如社会保障号和简历。研究人员表示，ALPHV是今年最复杂的勒索软件之一，具有高度可定制的功能集，可以对各种目标进行攻击。ALPHV团伙在其暗网网站上公布了部分被盗数据的截图，并要求受害者支付赎金，否则 2、Volex PLC遭黑客入侵部分IT系统和数据 https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/ Volex PLC是一家总部位于英国的电力和数据传输产品制造商，其产品广泛应用于汽车、医疗、工业和消费电子领域。报道称，该公司近日遭受了一次网络攻击，导致攻击者未经授权地访问了该公司的部分IT 统和数据。Volex PLC表示，该公司在发现攻击后迅速采取了应对措施，并实施了一项事件响应计划。该公司还声称，目前没有证据表明该事件造成了“重大财务影响”，也没有影响到其客户或供应商的数据。Volex PLC表示，该公司正在与相关当局合作，调查事件的原因和影响 3、libcue库漏洞导致GNOME Linux系统遭受远程代码执行攻击 https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/ libcue是一个用于解析cue文件的库，它被集成到了GNOME Linux系统中的一款搜索引擎工具Tracker Miners中。Tracker Miners可以对系统中的文件进行索引，方便用户访问。然而，近日发现libcue库存在一个严重的内存损坏漏洞，编号为CVE-2023-43641，CVSS评分为8.8。该漏洞影响了2.2.1及之前的版本，如果被利用，可能导致远程代码执行(RCE)。该漏洞的利用方式非常 4、HelloKitty勒索软件源代码在黑客论坛上泄露 https://securityaffairs.com/152182/malware/hellokitty-ransomware-source-code-leaked.html HelloKitty是一种针对企业的勒索软件，它会在加密受害者的文件后，将解密密钥发送给攻击者，从而让他们控制受害者的数据。据报道，HelloKitty勒索软件的源代码在一个黑客论坛上被泄露，该论坛的管理员称，他们从一个名为“L0ckBit”的用户那里获得了源代码，并将其公开分享给其他用户。据悉，该源代码包含了HelloKitty勒索软件的主要功能模块，以及用于加密和解密文件的算法。该事件引起了安全界的关注，因为He 5、新的DDoS攻击"HTTP/2快速重置"达到了创记录的每秒 3.98 亿次请求 (rps) https://securityaffairs.com/152278/hacking/ddos-http-2-rapid-reset-technique.html Google Cloud 本周发布博客介绍最近一段时间新出现的攻击类型：HTTP/2 快速重置。攻击者利用这个方法从 8 月份开始对谷歌云平台的客户发起攻击，其中攻击者在某次攻击中在 1 秒内发出了高达 3.98 亿个请求，这也是目前有记录以来的每秒请求数最高的一次攻击。 6、curl&libcurl 高危漏洞今日发布修复补丁 https://www.freebuf.com/news/380169.html curl项目的作者bagder(Daniel Stenberg)在GitHub中发布消息称，将在2023年10月11日发布curl的8.4.0版本。同时，他们还将公开两个漏洞：CVE-2023-38545和CVE-2023-38546。 7、微软修复了 WordPad、Skype for Business 中被利用的零日漏洞 https://www.securityweek.com/microsoft-fixes-exploited-zero-days-in-wordpad-skype-for-business/ 微软安全响应团队周二推出了大量软件和操作系统更新，以覆盖 Windows 生态系统中的 100 多个漏洞，并警告称其中 3 个漏洞已被利用。 8、最新的 Balada 注入器活动针对未修补的 tagDiv 插件 https://cyware.com/news/latest-balada-injector-campaign-targets-unpatched-tagdiv-plugin-37f55318 Balada Injector 的基础设施和攻击方法迅速发展，导致大量 WordPress 网站遭到入侵。Balada 恶意软件注入攻击被发现利用易受攻击的 tagDiv 高级主题插件来针对报纸和新闻网站。 9、巴以冲突中双方黑客将 SCADA 和 ICS 系统作为攻击目标 https://securityaffairs.com/152224/hacktivism/hacktivists-palestine-israel-after-scada-ics.html 亲以色列和亲巴勒斯坦的黑客活动分子都加入了战斗，并将 SCADA 和 ICS 系统作为攻击目标。 10、 金融监管部门提示：谨防“AI 换脸”等新型诈骗手段 https://www.ithome.com/0/723/619.htm 国家金融监督管理总局北京监管局近日发布风险提示，提醒消费者近期重点防范三种新型欺诈手段，守护家人亲朋财产安全。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、北约遭黑客组织SiegedSec攻击泄露文件 https://securityaffairs.com/152007/hacking/nato-investigating-new-siegedsec-attack.html 北约官方表示，正在调查一个名为SiegedSec的黑客组织声称对其系统进行的网络攻击，并在网上泄露了一批未分类的文件。这些文件涉及高超音速武器、无人机威胁、放射性废物测试等话题。北约表示，这些事件只影响了一些未分类的北约网站，没有影响北约的任务、行动和军事部署。北约还表示，已经采取了额外的网络安全措施，并且认真对待网络威胁。SiegedSec是一个以政治动机为驱动的黑客组织，曾经多次攻击美国的州和地方政府网站。该组织在 2、加沙黑客组织Storm-1133攻击以色列能源和国防部门 https://thehackernews.com/2023/10/gaza-linked-cyber-threat-actor-targets.html 微软在其第四届数字防御报告中披露了一个名为Storm-1133的加沙地带的威胁行为者，针对以色列的私营能源、国防和电信组织发起了一系列网络攻击。微软认为，这个组织是为哈马斯(加沙地带的实际执政权力)的利益服务，因为其攻击的对象主要是哈马斯认为敌对的组织。这些对象包括以色列能源和国防部门，以及忠于法塔赫(巴勒斯坦民族主义和社会民主政党)的实体。Storm-1133的攻击链涉及社会工程学和LinkedIn上的伪造个人资料，这些个人资料伪装成以 3、Google新反垃圾邮件规则或影响Microsoft 365邮件 https://www.bleepingcomputer.com/news/security/microsoft-365-admins-warned-of-new-google-anti-spam-rules/ Google在其官方博客中宣布，将于2023年10月18日开始执行一项新的反垃圾邮件规则，该规则可能会影响Microsoft 365管理员和用户收到的电子邮件。该规则要求所有发送到Gmail的电子邮件必须使用DMARC(域名消息验证报告和遵从)协议进行身份验证，否则将被标记为垃圾邮件或拒绝。DMARC是一种电子邮件身份验证协议，旨在防止欺诈和欺骗性的电子邮件，例如钓鱼和伪造。DMAR 4、Flagstar Bank三年内第三次遭遇数据泄露 https://www.bleepingcomputer.com/news/security/third-flagstar-bank-data-breach-since-2021-affects-800-000-customers/ Flagstar Bank是一家美国的金融机构，拥有超过150个分支机构，服务于消费者和企业客户。该银行在2021年和2022年分别遭受了两次严重的数据泄露事件，影响了约150万客户的个人信息，包括姓名、电话号码、社会安全号和税务记录。这些事件都与Accellion的文件传输软件MOVEit Transfer有关，该软件存在一个已被修复的零日漏洞，被俄罗斯的勒索 5、土耳其黑客团队宣称攻击美国中部银行 https://thecyberexpress.com/mid-america-bank-cyberattack-by-turk-hack-team/ 美国中部银行(Mid America Bank)近日遭到土耳其黑客团队(Turk Hack Team)的网络攻击，导致其官方网站被篡改，显示出一些反美和亲土耳其的信息。据报道，这次攻击是土耳其黑客团队为了纪念2016年7月15日土耳其未遂政变而发起的一系列网络行动的一部分。该黑客团队在其数据泄露网站上宣称，他们已经入侵了美国中部银行的数据库，并威胁要公开其中的敏感信息，除非美国政府向土耳其道歉。美国中部银行是一家总部位于威斯康星州的社区银行， 6、AWS将于2024年起对所有高权限账户启用MFA https://www.infosecurity-magazine.com/news/aws-multifactor-authentication-2024/ AWS是亚马逊旗下的云计算服务提供商，拥有数百万的客户和用户。为了提高客户环境的默认安全性和降低账户被劫持的风险，AWS宣布将于2024年中期开始，对所有高权限账户(如根用户)强制要求使用MFA。MFA是一种增强账户安全的简单有效的方法，它可以在用户登录时要求输入额外的验证信息，如密码、验证码或安全密钥，从而防止未经授权的个人访问系统或数据。AWS表示，将通过多种渠道通知需要启用MFA的客户，并在他们登录控制台时提示他们即将发生的变化 7、Curl库10月11日修复两个被利用的漏洞 https://thehackernews.com/2023/10/security-patch-for-two-new-flaws-in.html Curl库是一个用于传输数据的流行命令行工具，支持多种协议，如FTP、HTTP、IMAP等。该库的维护者发布了一个预警，称将在10月11日发布更新，修复两个已被利用的安全漏洞。这两个漏洞分别被标记为CVE-2023-38545和CVE-2023-38546，严重程度分别为高和低。由于担心泄露信息可能会帮助攻击者准确地识别出问题所在，维护者没有透露漏洞的具体细节和受影响的版本范围。但据称，该库的近几年的版本都存在问题。CVE-2023-38545 8、巴以冲突舆论、网络战同时开打，多国黑客组织下场 https://www.freebuf.com/news/379971.html 在双方热战的同时，巴以双方的舆论战及网络战也同时打响。 9、QAKBOT 威胁行为者在 8 月下架后仍在运行 https://securityaffairs.com/152087/cyber-crime/qakbot-threat-actors-still-operational.html QakBot 恶意软件背后的威胁行为者仍然活跃，自 8 月以来，他们正在开展网络钓鱼活动，提供 Ransom Knight 勒索软件和 Remcos RAT。 10、美国国家安全局即将设立人工智能安全中心 https://zhuanlan.kanxue.com/article-24584.htm 美国网络司令部司令兼国家安全局局长保罗•中曾根（Paul M. Nakasone）表示，美国国家安全局（NSA）将设立人工智能安全中心，该中心致力于监督美国国家安全系统中人工智能能力的开发和整合。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、23andMe用户数据被盗，涉及数百万用户 https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/ 23andMe是一家提供基因检测服务的公司，用户可以通过唾液样本来了解自己的遗传特征和健康风险。最近，该公司证实，其部分用户的数据被黑客窃取，并在黑客论坛上公开和出售。该公司表示，这是一次“凭证填充攻击”，即黑客利用其他网站泄露的用户名和密码来尝试登录23andMe的用户账户。该公司称，其系统没有被入侵，而是黑客通过猜测一部分用户的登录凭证，然后利用一 2、MGM遭受勒索软件攻击，影响多个系统和服务 https://securityaffairs.com/152077/cyber-crime/mgm-resorts-ransomware-attack.html MGM度假村国际(MGM Resorts International)是一家全球知名的酒店和赌场运营商，拥有多个品牌和地点，如贝拉吉奥(Bellagio)、美高梅大酒店(MGM Grand)、曼德勒湾(Mandalay Bay)等。最近，该公司发现了一起严重的网络安全事件，导致其部分网络系统被关闭，以保护其系统和数据。据报道，该事件是由一个名为Scattered Spider的黑客组织发起的一场勒索软件攻击，该组织使用了一个名为B 3、Storm-0324利用微软Teams发送钓鱼邮件并部署勒索软件 https://gbhackers.com/storm-0324-abusing-microsoft-teams/ Storm-0324是一个以金钱为驱动的威胁行为者组织，最近被发现利用微软Teams发送钓鱼邮件，试图获取受害者系统的初始访问权限。该组织过去曾被指控发送包含远程代码执行的钓鱼邮件，以便在感染的系统上执行恶意操作。在获得访问权限后，Storm-0324通常会将其出售给TA543和著名的勒索软件组织Sangria Tempest(也被称为FIN7，Carbon Spider)，后者经常利用这些访问权限进行勒索软件攻击。研究人员表示，该组织最新的攻击技术针对那些使用Teams IM 4、超微BMC固件多个高危漏洞可导致权限提升和恶意代码执行 https://thehackernews.com/2023/10/supermicros-bmc-firmware-found.html 超微公司是一家专业生产服务器主板的公司，其基板管理控制器(BMC)的智能平台管理接口(IPMI)固件被发现存在多个高危漏洞，这些漏洞可能导致受影响系统上的权限提升和恶意代码执行。这些漏洞共有七个，编号为CVE-2023-40284至CVE-2023-40290，严重程度从高到临界不等，根据研究人员的报告，这些漏洞可以让未经授权的攻击者以BMC用户的身份执行任意JavaScript代码，或者以具有管理员权限的用户身份执行操作系统命令。超微公司已经发布了BM 5、以色列总统Telegram账号被黑客入侵 https://www.darkreading.com/dr-global/suspected-crime-gang-hacks-israeli-president-telegram-account 以色列总统赫尔佐格的Telegram账号近日遭到了一个疑似犯罪团伙的黑客入侵。据报道，这次黑客攻击与一起在线诈骗案有关，黑客利用了Telegram的一个漏洞，通过发送恶意链接来窃取用户的登录凭证。在黑客入侵后不久，总统府发现并恢复了账号的访问权限，并表示没有任何敏感信息被泄露或损坏。目前尚不清楚黑客入侵总统账号的动机和目的，也不清楚他们是否与其他政治或恐怖组织有联系。总统府表示，已经向相关部门报 6、Facebook官方页面遭“Release Imran Khan”黑客攻击 https://www.hackread.com/facebooks-official-page-hacked-release-imran-khan/ Facebook的官方页面在10月7日遭到了一个名为“Release Imran Khan”的黑客组织的攻击。该组织在Facebook的页面上发布了一些带有反印度和亲巴基斯坦的口号和图片的帖子，要求释放巴基斯坦总理伊姆兰·汗，声称他被印度军队绑架。这些帖子很快就被删除，Facebook表示正在调查这起事件，并道歉给受影响的用户。“Release Imran Khan”是一个不知名的黑客组织，其背景和动机尚不清楚。研究人员认为，这可能是一个恶作 7、CDW公司与LockBit谈判失败，数据遭泄露威胁 https://www.theregister.com/2023/10/06/cdw_lockbit_negotiations/ CDW公司是全球最大的IT产品和服务经销商之一，近日遭到了LockBit黑客组织的攻击，导致其数据被窃取。LockBit是一个勒索软件团伙，专门对企业和机构进行加密和勒索攻击。据LockBit的一位发言人称，CDW公司在谈判过程中提出了一个非常低的赎金金额，让黑客感到不满。因此，LockBit决定在10月11日早上公开CDW公司的数据。CDW公司尚未对这起事件发表任何评论，也没有向英国信息专员办公室(ICO)报告任何数据泄露事件。目前不清楚CDW公司的数据包含了哪 8、新窃密软件 NodeStealer 可以窃取所有浏览器 Cookie https://www.freebuf.com/articles/network/378700.html Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户，包含虚假 Facebook 消息并带有恶意文件。攻击的受害者主要集中在南欧与北美，以制造业和技术服务行业为主。 9、全球网络安全专家联名抗议欧盟“24 小时”漏洞披露规定 https://www.secrss.com/articles/59386 来自 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和趋势科技等多个组织的数十位网络安全专家联名签署并发表了一封公开信，反对欧盟《网络韧性法案》中关于“漏洞利用后24 小时内披露”的要求，声称该漏洞披露规定会适得其反，制造新的威胁，并损害数字产品及其用户的安全。 10、Sonatype：市面上 1/8 的开源组件存在已知漏洞 https://www.ithome.com/0/723/234.htm 截至 2023 年 9 月，研究团队共发现了 245032 个恶意软件包，是往年总和的 2 倍，1/8 的开源下载存在已知风险，且仍有 23% 的 Log4j 下载存在严重漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、苹果紧急更新修复了用于破解iPhone的新零日漏洞 https://support.apple.com/en-us/HT213961 Apple 发布了紧急安全更新，以修补针对 iPhone 和 iPad 用户的攻击中利用的新的零日安全漏洞。该公司在周三发布的一份咨询报告中表示：“苹果公司了解到有报告称，iOS 16.6 之前的 iOS 版本可能已积极利用此问题。”零日漏洞 (CVE-2023-42824) 是由 XNU 内核中发现的一个漏洞引起的，该漏洞使本地攻击者能够在未修补的 iPhone 和 iPad 上升级权限。尽管苹果表示已通过改进检查解决了 iOS 17.0.3 和 iPadOS 17.0.3 中的安全问题，但尚未透露是谁发现并 2、Atlassian修补攻击中利用的关键Confluence零日漏洞 https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html 澳大利亚软件公司 Atlassian 发布了紧急安全更新，以修复其 Confluence 数据中心和服务器软件中已被利用的最高严重性零日漏洞。该公司表示：“Atlassian 已意识到少数客户报告的一个问题，外部攻击者可能利用可公开访问的 Confluence 数据中心和服务器实例中以前未知的漏洞来创建未经 3、思科修复了紧急响应程序中的硬编码根凭据 https://www.bleepingcomputer.com/news/security/cisco-fixes-hard-coded-root-credentials-in-emergency-responder/ 思科发布了安全更新来修复思科紧急响应程序 (CER) 漏洞，该漏洞允许攻击者使用硬编码凭据登录未修补的系统。CER 通过实现 IP 电话的准确位置跟踪来帮助组织有效应对紧急情况，从而将紧急呼叫路由到适当的公共安全应答点 (PSAP)。该安全漏洞编号为 CVE-2023-20101，允许未经身份验证的攻击者使用 root 账户访问目标设备，该账户具有无法修改或删除的默认静态凭 4、黑客通过被攻破的SQL服务器破坏Azure云虚拟机 https://www.microsoft.com/en-us/security/blog/2023/10/03/defending-new-vectors-threat-actors-attempt-sql-server-to-cloud-lateral-movement/ 据观察，黑客试图通过容易受到 SQL 注入攻击的 Microsoft SQL Server 来破坏云环境。微软的安全研究人员报告称，这种横向移动技术之前曾在针对虚拟机和 Kubernetes 集群等其他服务的攻击中出现过。安全研究人员观察到的攻击始于利用目标环境中应用程序中的 SQL 注入漏洞，这使得威胁参与者能够访问 5、攻击者利用数百个恶意Python包窃取敏感数据 https://checkmarx.com/blog/the-evolutionary-tale-of-a-persistent-python-threat/ 研究人员观察到，过去半年里，攻击者发起了一场复杂的恶意活动。该活动已在开源平台上植入了数百个信息窃取包，下载量约为 75000 次。自 4 月初以来，Checkmarx 供应链安全团队的分析师一直在监控该活动，他们发现了 272 个包含用于从目标系统窃取敏感数据的代码的软件包。自首次发现以来，这种攻击已经发生了显著的变化，软件包作者实施了越来越复杂的混淆层和检测规避技术。恶意软件可以截取屏幕截图并从受感染的系统中窃取单个文件，例如桌面 6、Qakbot黑客团伙传播Ransom Knight勒索软件 https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/ Qakbot恶意软件背后的威胁行为者自2023年8月初以来一直在开展活动，通过网络钓鱼电子邮件分发Ransom Knight勒索软件和Remcos后门。研究人员将此新活动归因于Qakbot附属机构，因为此活动中使用的LNK文件中发现的元数据与之前Qakbot活动“AA”和“BB”中使用的机器的元数据相匹配。由于这项新行动自2023年8月初以来一直在持续，并且在被关闭后并未停止，因此研究人员认为FBI行动并未影响Qakbot的网络钓鱼电子 7、Lorenz勒索软件团伙自身泄露两年的联系人数据 https://www.theregister.com/2023/10/05/lorenz_ransomware_group_leaks_details/ Lorenz勒索软件团伙是一群自2021年2月起活跃的网络犯罪分子，他们采用双重勒索的手段，即在加密受害者的文件之前，先窃取数据，并威胁如果不支付赎金，就会在暗网上泄露数据。他们主要针对美国、中国和墨西哥的中小型企业，利用Mitel的VoIP漏洞(CVE-2022-29499)等关键漏洞进行攻击。然而，Lorenz团伙最近却陷入了自身数据泄露的尴尬境地。研究人员发现，Lorenz团伙的暗网博客泄露了后端代码，并将数据从网站上拉取下来，上传 8、朝鲜黑客攻击韩国造船业窃取军事机密 https://www.nis.go.kr:4016/resources/synap/skin/doc.html?fn=NIS_FILE_1696403626891 韩国国家情报院观察到朝鲜黑客在八月和九月对韩国造船厂进行了“密集的黑客攻击”。该机构表示，它正在向造船商通报其系统和网络受到的威胁，并建议主要造船厂进行独立的安全审计，以堵塞数字基础设施中的安全漏洞。韩国国家情报局没有透露目标造船厂的名称，但表示，国家支持的黑客向目标造船厂的内部员工发送了网络钓鱼电子邮件，试图将恶意代码安装到他们的系统中。微软在9月的东亚威胁报告中表示，自2023年1月以来，朝鲜黑客组织还对巴西、捷克共和国、芬 9、Lazarus组织洗钱9亿美元的加密货币 https://www.elliptic.co/blog/record-7-billion-in-crypto-laundered-through-cross-chain-services 据研究人员表示，从2022年7月到2023年7月，朝鲜的Lazarus组织通过跨链犯罪非法洗掉了约9亿美元的加密货币。跨链犯罪是指将加密资产从一个代币或区块链转换到另一个，通常是在很短的时间内，以试图掩盖其来源，这是一种对于加密货币盗窃者来说非常有利的洗钱方法，也是混合器(mixer)等传统手段的替代方案。Lazarus组织利用跨链桥的方式导致了通过这种服务发送的资金比例增加了111%。该黑客组织估计自2 10、 WinRAR漏洞让非法内容消费者面临恶意软件风险 https://cyble.com/blog/winrar-vulnerability-puts-illicit-content-consumers-at-risk-of-apanyan-stealer-murk-stealer-asyncrat/ WinRAR是一款广泛使用的文件压缩和解压缩软件，支持多种压缩格式，如RAR、ZIP、CAB、ARJ、LZH、TAR、GZip、UUE、ISO、BZIP2、Z和7-Zip。最近，WinRAR修复了一个严重的远程代码执行漏洞(CVE-2023-40477)，该漏洞可能允许远程攻击者通过让用户打开一个恶意的压缩文件来在目标系统上执行任意代码。然而，研 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员披露基于Node.js语言的Lu0Bot恶意软件 https://any.run/cybersecurity-blog/lu0bot-analysis/ Lu0Bot是一种Node.js语言编写的恶意软件，最初出现于2021年2月，早期它似乎是一个用于DDOS攻击的常规僵尸网络木马，如今Lu0Bot开始充当僵尸网络中的终端Bot，等待来自C2服务器的命令并将加密的基本系统信息发送回该服务器。Lu0Bot使用Node.js语言编写是基于现代Web应用程序中常用的运行时环境，其所使用的特定代码和库使得在运行时与操作系统的平台无关，且通常允许更大的多功能性，比如采用JavaScript代码的多层混淆技术。研究人员称如果Lu0bot的活动规模扩大并 2、攻击者利用Openfire漏洞入侵服务器并挖矿 https://nvd.nist.gov/vuln/detail/CVE-2023-32315 黑客正在积极利用 Openfire 消息传递服务器中的一个高严重性漏洞，使用勒索软件加密服务器并部署加密挖矿程序。Openfire 是一种广泛使用的基于 Java 的开源聊天 (XMPP) 服务器，下载量达 900 万次，广泛用于安全的多平台聊天通信。该漏洞编号为 CVE-2023-32315，是一种影响 Openfire 管理控制台的身份验证绕过方式，允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。攻击者使用这些帐户安装恶意 Java 插件（JAR 文件），这些插件执行通过 GE 3、攻击者利用开源窃取程序Exela针对Discord用户发起攻击 https://cyble.com/blog/exela-stealer-spotted-targeting-social-media-giants/ 研究人员发现基于 Python 的开源窃取程序Exela Stealer，它具有广泛的反调试和反虚拟机 (VM) 技术，使其成为攻击者的有力工具。Exela 主要针对 Discord 用户，通过修改 Windows Discord 客户端来窃取敏感信息，包括登录凭据、个人数据，甚至可能是财务信息。Exela 窃取程序还旨在针对多个浏览器的数据和凭据。它还可以从各种应用程序中窃取会话详细信息，包括流行的社交媒体平台和游戏平台。通过 Discor 4、研究人员披露新型ZeroFont网络钓鱼技术 https://isc.sans.edu/diary/A+new+spin+on+the+ZeroFont+phishing+technique/30248/ 攻击者正在利用一种新技巧，即在电子邮件中使用零点字体，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。正在利用一种新技巧，即在电子邮件中使用零点字体，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。正在利用一种新技巧，即在电子邮件中使用零点字体，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。研究人员发现的一封 5、ZenRAT远控木马通过虚假Bitwarden密码管理软件传播 https://www.proofpoint.com/us/blog/threat-insight/zenrat-malware-brings-more-chaos-calm 研究人员近期发现一款称为ZenRAT的新型远控木马家族，该家族隐藏在虚假的软件安装程序中，已被发现的历史活动利用SEO中毒、广告软件捆绑或电子邮件进行传播。ZenRAT最初是在一个外表与Bitwarden密码管理器软件相关的虚假网站上发现的，该网站与真实的bitwarden非常相似，该家族甚至克隆了Scott Nesbitt 从Opensource上发表的一篇有关Bitwarden密码管理器的文章。该恶意软件是一种模块 6、谷歌将libwebp中的严重漏洞评定为最高危险级别 https://nvd.nist.gov/vuln/detail/CVE-2023-4863 近日Google为libwebp安全漏洞分配了一个新的CVE编号(CVE-2023-5129)，该漏洞被用作攻击中的零日漏洞，漏洞存在于libwebp用于无损压缩的霍夫曼编码算法中，它使攻击者能够使用制作的恶意HTML页面执行越界内存写入。该漏洞由Apple安全工程与架构部门(SEAR)和多伦多大学Munk学院的公民实验室于9月6日星期三联合报告，不到一周后Google修复了该漏洞，安全咨询公司创始人Ben Hawke（曾领导Google零项目团队）还将CVE-2023-4863与Apple于9月7 7、研究人员称LostTrust勒索软件与MetaEncryptor存在关联 https://www.bleepingcomputer.com/news/security/meet-losttrust-ransomware-a-likely-rebrand-of-the-metaencryptor-gang 研究人员称，由于利用了几乎相同的数据泄露网站和加密器，LostTrust勒索软件被认为与MetaEncryptor存在关联。LostTruat勒索团伙于2023年3月份开始进行攻击，并于9月份开始被人们发现。目前，该勒索组织已经在其数据泄露网站中列出了53个受害者，其中一些受害组织因未支付赎金而遭到数据泄露。MetaEncryptor勒索组织于2022年8月份开始 8、俄罗斯航班预定系统遭受网络攻击 https://therecord.media/russia-flight-booking-system-leonardo-ddos 俄罗斯的一个航班预订系统遭到网络攻击，导致机场延误。据当地航空预订系统Leonardo的开发商之一、俄罗斯国家国防公司Rostec称，该系统遭到了大规模的分布式拒绝服务（DDoS）攻击。这起事件持续了大约一个小时，影响了几位Leonardo客户的运营，其中包括俄罗斯航空公司Rossiya Airlines、Pobeda和旗舰航空公司Aeroflot。据俄罗斯国际航空公司称，这起事件导致该国最繁忙的莫斯科谢列梅捷沃国际机场的起飞延误长达一个小时。乌克兰黑客组织I 9、攻击者利用EvilProxy对美国高管发起钓鱼活动 https://www.menlosecurity.com/blog/evilproxy-phishing-attack-strikes-indeed/ EvilProxy是一种钓鱼服务工具包，可以通过反向代理和会话劫持的技术，绕过多数在线服务的二次验证保护，窃取用户的凭证。这种工具包在暗网市场上出售，任何网络犯罪者都可以购买并使用。研究人员介绍了一起针对高层管理人员的钓鱼攻击案例，该案例利用了求职平台“indeed.com”的一个开放重定向漏洞，将受害者引导到伪造的Microsoft登录页面。该页面实际上是一个反向代理服务器，可以拦截用户输入的账号、密码和二次验证代码，并立即使用它们登录用 10、Linux新漏洞“Looney Tunables”可让攻击者获取root权限 https://www.bleepingcomputer.com/news/security/new-looney-tunables-linux-bug-gives-root-on-major-distros/ 近日，安全研究人员发现了一个新的Linux漏洞，它被称为“Looney Tunables”，因为它可以通过修改一些名为“tunables”的环境变量来触发。这些环境变量是GNU C库(glibc)的一部分，它是GNU系统的C库，也是大多数基于Linux内核的系统中的基本组件。它提供了一些基本的功能，如字符串处理、数学运算、输入输出等。glibc中的ld.so动态加载器负责加载程序所需 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。