1、X_Trader供应链攻击影响多国关键基础设施 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain 赛门铁克团队发现X_Trader软件供应链攻击影响的组织比3CX还多，受害者中有两家能源行业的关键基础设施组织，一家在美国，另一家在欧洲，除此之外，另外两个涉及金融交易的组织也遭到破坏。木马化的X_Trader软件是上个月发现的3CX漏洞的原因，由此3CX的软件遭到破坏，许多客户无意中下载了该公司语音和视频通话软件DesktopApp的恶意版本。 2、Fakecalls恶意软件滥用合法签名密钥 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fakecalls-android-malware-abusing-legitimate-signing-key/ McAfee Mobile Research Team发现了 一个Android银行木马程序，该木马程序使用韩国合法应用程序使用的密钥签名。按照设计，Android要求所有应用程序都必须使用密钥签名，这样才能安装或更新。Android银行木马就使用这个合法的签名密钥来绕过基于签名的检测技术。这一威胁已于去年披露给拥有合法密钥的公司，该公司已采取预防措施，确认已更换签名密钥。 3、思科修复解决方案中关键安全漏洞 https://securityaffairs.com/145108/security/industrial-network-director-and-modeling-labs-critical-flaws.html 思科发布了安全更新，以解决其Industrial Network Director 和 Modeling Labs解决方案中的关键安全漏洞。该漏洞跟踪为CVE-2023-20036（CVSS 评分：9.9），攻击者可以利用该漏洞在底层操作系统上以管理权限执行任意命令，并利用这些漏洞注入任意操作系统命令或访问敏感数据。研究发现此漏洞是由于应用于应用程序数据目录的默认文件权限不足 4、健康保险公司 Point32Health 遭受勒索软件攻击 https://securityaffairs.com/145183/cyber-crime/point32health-ransomware-attack.html 非营利性健康保险公司 Point32Health 遭受了勒索软件攻击，并已将系统关闭以应对这一事件。 5、CISA添加了3个漏洞到KEV目录，包括严重的 PaperCut 漏洞 https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html 美国网络安全和基础设施安全局 (CISA) 周五根据主动利用的证据，在其已知利用漏洞 ( KEV ) 目录中添加了三个安全漏洞。三个漏洞如下CVE-2023-28432（CVSS 评分 - 7.5）- MinIO 信息泄露漏洞、CVE-2023-27350（CVSS 评分 - 9.8）- PaperCut MF/NG 不当访问控制漏洞、CVE-2023-2136（CVSS 评分 - 待定）- Google Chrome Skia 整数溢 6、黑客利用“明星塌房”、“私密视频”等噱头大肆传播病毒 https://www.freebuf.com/news/364486.html 近段时间以来，随着明星塌房事件密集曝出，有不法分子开始利用“明星塌房”来传播病毒，利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。 7、美国国土安全部成立首个人工智能工作组 https://www.freebuf.com/news/364490.html 美国国土安全部（DHS）负责人宣布成立首个人工智能特别工作组，旨在保护国家免受人工智能技术尖端发展（如ChatGPT）造成的安全威胁。 8、与ChatGPT相关的恶意URL呈上升趋势 https://www.anquanke.com/post/id/288427 从2022年11月到2023年4月上旬，与ChatGPT相关的新注册和抢注域名数量每月增长910%。 9、威胁行为者使用 Mimikatz 黑客工具部署 Trigona 勒索软件 https://cybersecuritynews.com/mimikatz-hacking-tool-to-deploy-trigona-ransomware/ Palo Alto Networks 的 Unit42 研究团队最近发现了 Trigona 勒索软件，它使用不常见的技术攻击 Windows，并在尝试加密文件之前使用 Mimikatz 利用工具进行凭证加载、转储、操作和注入。 10、谷歌发布Assured OSS来检测开源组件漏洞 https://cybersecuritynews.com/google-released-assured-oss/ 谷歌云正在为 Java 和 Python 生态系统提供免费的 Assured Open Source Software (Assured OSS) 服务，以应对与依赖开源软件相关的日益严重的危险。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Sophos NDR检测到新QakBot C2服务器 https://news.sophos.com/en-us/2023/04/20/new-qakbot-c2-servers-detected-with-sophos-ndr/ Sophos NDR利用一系列定期重新训练的机器学习模型来应对不断发展的恶意软件家族，这种方法允许Sophos NDR识别在网络深处秘密运行的新恶意软件变种。最近，Sophos NDR检测到两个尚未公开识别的新QakBot服务器。这些服务器被威胁行为者用来管理和控制QakBot感染。 2、攻击者使用旧版WordPress插件入侵网站 https://www.bleepingcomputer.com/news/security/attackers-use-abandoned-wordpress-plugin-to-backdoor-websites/ 攻击者正在使用Eval PHP（一种过时的合法WordPress插件）通过注入隐蔽的后门来破坏网站。Eval PHP是一个旧的WordPress插件，允许站点管理员将PHP代码嵌入到WordPress站点的页面和帖子中，然后在浏览器中打开页面时执行代码。据网站安全公司Sucuri称，使用Eval PHP将恶意代码嵌入看似无害的WordPress页面的趋势在 2023年4月激增 3、PaperCut修复打印管理系统漏洞 https://www.securityweek.com/papercut-warns-of-exploited-vulnerability-in-print-management-solutions/ Papercut 提供了一个称为PaperCut MF/NG的打印管理系统，提供监视和控制功能。该漏洞 CVE-2023-27350（CVSS 评分为 9.8）被描述为PaperCut MF/NG的SetupCompleted类中的不当访问控制问题。成功利用此安全缺陷允许未经身份验证的远程攻击者绕过身份验证并使用系统权限执行任意代码。该漏洞问题影响PaperCut MF 和 NG 8.0及更 4、研究人员发现利用K8s后门攻击集群活动 https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters 研究人员最近发现了有史以来第一个证据，表明攻击者在野利用 Kubernetes (K8s) 基于角色的访问控制 (RBAC) 创建后门。攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源。研究表明，该活动正在积极针对至少 60 个野外集群。 研究人员记录并分析了对一个K8s蜜罐的攻击，该蜜罐利用RBAC系统获得持久性。 5、Bumblebee通过木马化安装程序传播 https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads Bumblebee是一种模块化加载程序，过去主要通过网络钓鱼进行分发，用于交付通常与勒索软件部署相关的有效负载。CTU研究人员观察到Bumblebee恶意软件通过木马化安装程序分发，用于Zoom、Cisco AnyConnect、ChatGPT 和 Citrix Workspace 等流行软件。 6、美国多所大学Wiki网站遭到入侵 https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/ 研究人员观察到斯坦福大学、麻省理工学院、伯克利大学、麻省大学阿默斯特分校、东北大学、加州理工学院等大学托管的Wiki和文档页面遭到入侵。这些wiki页面是由垃圾邮件发送者上传的，它们引诱读者访问声称提供“免费礼品卡”、“堡垒之夜”和作弊等数字产品的虚假网站。 7、以ChatGPT为主题的诈骗攻击呈上升趋势 https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/ 从2022年11月到2023年4月上旬，与 ChatGPT相关的域的每月注册量增加了910%。在同一时间范围内，我们从DNS安全日志中观察到相关抢注域名增长了17818%。此外每天检测到多达118个与ChatGPT相关的恶意URL，其中包含多个试图冒充OpenAI官方网站的网络钓鱼 URL。 8、美国律师协会 (ABA) 遭遇数据泄露，140 万会员受到影响 https://securityaffairs.com/145125/data-breach/american-bar-association-data-breach.html 美国律师协会 (ABA) 披露了一起数据泄露事件，威胁行为者获得了 1,466,000 名成员的旧凭据。 9、亲俄黑客对 EUROCONTROL 机构发起大规模攻击 https://securityaffairs.com/145114/hacktivism/pro-russia-hackers-ddos-eurocontrol.html 亲俄黑客组织 KillNet 对欧洲的空中交通机构 EUROCONTROL 发起了大规模的 DDoS 攻击。 10、谷歌云平台"GhostToken"漏断，能让恶意软件隐身 https://www.securityweek.com/google-cloud-platform-vulnerability-led-to-stealthy-account-backdoors/ Dark Reading 4 月 21 日消息，谷歌云平台 (GCP) 被曝存在一个安全漏洞，可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、跨国 ICICI 银行泄露数百万条敏感数据，包括护照和信用卡等详细信息 https://securityaffairs.com/145094/uncategorized/icici-bank-data-leak.html ICICI 银行泄露了数百万条包含敏感数据的记录，ICICI Bank 是一家印度跨国公司，市值超过 760 亿美元，在印度拥有 5,000 多家分支机构，并在全球至少另外 15 个国家开展业务。泄露的数据包括银行账户详细信息、银行对账单、信用卡号码、全名、出生日期、家庭住址、电话号码、电子邮件、个人身份证件以及员工和候选人的简历。 2、VMware 修复了 vRealize 中允许以 root 身份执行任意代码的严重漏洞 https://securityaffairs.com/145087/security/critical-flaw-vmware-vrealize.html 虚拟化巨头 VMware 发布了安全更新以解决两个严重漏洞，跟踪为CVE-2023-20864 和 CVE-2023-20865，影响 VMware Aria Operations for Logs 产品（以前称为 vRealize Log Insight）。 3、Lazarus在最近攻击中使用新Linux 恶意软件，并与 3CX 供应链攻击有关 https://securityaffairs.com/145073/apt/lazarus-apt-linux-malware-3cx-attack.html APT 组织 Lazarus 在 Operation DreamJob（又名DeathNote或NukeSped）的活动中使用了新的 Linux 恶意软件。ESET 研究人员称对最近攻击的分析揭示了 Dream Job 活动中使用的工件与3CX 供应链攻击中使用的工件之间的相似之处。 4、研究人员披露阿里云数据库服务两大关键漏洞 https://securityaffairs.com/145061/hacking/brokensesame-alibaba-cloud-flaws.html 云安全公司 Wiz 的研究人员在阿里云的 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL 中发现了两个严重漏洞，统称为 BrokenSesame。这两个漏洞分别是AnalyticDB提权问题和ApsaraDB RDS远程代码执行漏洞。攻击者可以将这两个漏洞串联起来，从而导致对阿里巴巴数据库服务的 RCE。Wiz 于 2022 年 12 月向阿里云报告了这些漏洞，该公司于 5、Trigona 勒索软件以 Microsoft SQL 服务器为目标 https://securityaffairs.com/145036/cyber-crime/trigona-ransomware-targets-microsoft-sql-servers.html 威胁行为者正在入侵安全性差且暴露于内部的 Microsoft SQL 服务器以部署 Trigona 勒索软件。 6、Microsoft Defender 更新导致 Windows 硬件堆栈保护混乱 https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-update-causes-windows-hardware-stack-protection-mess/ 最近的 Microsoft Defender 更新推出了一项名为“内核模式硬件强制堆栈保护”的新安全功能，同时删除了 LSA 保护功能。 7、马斯克称：美国政府及情报机构可监视推特所有私聊信息 https://moguldom.com/442677/elon-musk-the-us-government-intelligence-agencies-had-access-to-twitter-backdoor-ability-to-spy-on-direct-messages/ 推特首席执行官埃隆·马斯克近日在采访中表示，他上任之前得知美国政府可以完全访问推特用户的私聊信息，这让他感到非常震惊。 8、2023网络安全成熟度报告：弱密码依旧排名第一 https://www.freebuf.com/articles/paper/364015.html 全球数字化给企业带来一个直观的安全风险是攻击面正在持续扩大。根据CrowdStrike Falcon Surface公开的数据显示，企业云环境中暴露的资产中有30%存在严重漏洞，针对企业的勒索攻击、APT攻击、数据泄露等安全事件越来越多，网络攻击方式也趋向复杂化、利益化。 9、Patchwork组织卷土重来，针对境内教育科研单位再次发起攻击行动 https://www.secrss.com/articles/53940 近期，深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态，并结合深信服创新研究院混动图AI模型分析，将该样本归因为Patchwork组织发起的攻击。Patchwork组织， 又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。 10、欧盟网络安全战略最后一块拼图：《网络团结法案》提案发布 https://www.secrss.com/articles/53934 欧盟发布《网络团结法案》提案，要求投资超80亿元，建立欧盟安全运营中心“网络护盾”、欧盟网络民兵预备队，以应对大规模网络攻击。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、谷歌修补了 2023 年的第二个 Chrome 零日漏洞 https://www.securityweek.com/google-patches-second-chrome-zero-day-vulnerability-of-2023/ 该漏洞跟踪为 CVE-2023-2136，该安全缺陷被描述为 Skia 中的高严重性整数溢出问题。CVE-2023-2136 是 Chrome 今年解决的第二个零日漏洞，此前 CVE-2023-2033 是 V8 JavaScript 引擎中的类型混淆问题，上周已通过紧急补丁解决。 2、Oracle 2023 年 4 月的关键补丁更新包括 433 个新的安全补丁 https://www.securityweek.com/oracle-releases-433-new-security-patches-with-april-2023-cpu/ 甲骨文周二宣布发布 433 个新补丁作为其季度安全更新的一部分，其中包括 70 多个严重漏洞修复程序。超过 250 个已解决的漏洞可以在无需身份验证的情况下被远程利用。一些已解决的错误会影响多个产品。 3、美国和英国机构警告与俄罗斯有关的 APT28 利用老的思科路由器漏洞 https://securityaffairs.com/145007/apt/apt28-targets-cisco-networking-equipment.html 与俄罗斯有关的APT28组织利用未打补丁的思科路由器，以部署利用未打补丁的CVE-2017-6742 漏洞（CVSS 评分：8.8）的恶意软件。 4、伊朗黑客对美国基础设施进行报复性网络攻击 https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-behind-retaliatory-cyberattacks-on-us-orgs/ 微软发现一个名为“Mint Sandstorm”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击，据研究这是对近年伊朗遭到基础设施的攻击的报复行为。其中包括2021年6月对伊朗铁路系统的破坏攻击，以及2021年10月导致伊朗加油站停电的网络攻击 。微软认为，伊朗政府现在允许国家支持的威胁行为体在进行攻击时有更多的自由，从而导致网络攻击的整体增加。 5、安全公司发现基于Go语言的新型勒索软件CrossLock https://blog.cyble.com/2023/04/18/crosslock-ransomware-emerges-new-golang-based-malware-on-the-horizon/ 安全公司CRIL发现了一种使用“Go”编程语言创建的新型勒索软件CrossLock，该勒索软件针对企业要求支付大笔赎金。除了加密受害者的文件外，还采用双重勒索策略，威胁受害者如果不支付赎金，会将窃取的敏感数据发布在泄漏网站上。研究人员对CrossLock勒索软件进行了技术分析，并给出安全措施建议。 6、YouTube被利用分发Aurora Stealer恶意软件 https://thehackernews.com/2023/04/youtube-videos-distributing-aurora.html Aurora是一种基于Go的信息窃取程序，于2022年底出现在威胁领域，通过YouTube视频和SEO准备的虚假破解软件下载网站进行分发。单击YouTube视频描述中的链接会将受害者重定向到诱饵网站，在这些网站上，他们会被诱使在看似合法的程序外衣下下载恶意软件。 7、2022年澳大利亚因诈骗损失31亿美元 https://www.bleepingcomputer.com/news/security/australians-lost-a-record-31-billion-to-scams-last-year/ 澳大利亚竞争与消费者委员会 (ACCC) 表示，2022 年澳大利亚人因诈骗损失了创纪录的31亿美元，比2021年记录的总损失增加了 80%。大多数损失与投资诈骗有关，损失达15亿美元，其次是远程访问诈骗，造成2.29亿美元的损失，以及支付重定向诈骗，受害者又损失了2.24亿美元。 8、美国电信巨头CommScope遭勒索软件攻击，数万员工数据在暗网泄露 https://www.freebuf.com/news/364073.html 美国大型电信和IT基础设施巨头CommScope证实，在3月份遭到勒索软件攻击，该攻击导致员工数据和公司文件被泄露。目前，Vice Society勒索团伙声称已经在该组织的暗网上公布了在此次攻击中被盗的大量CommScope员工数据 9、iOS 17 将支持应用侧载以遵守欧盟监管规定 https://www.solidot.org/story?sid=74696 苹果将在 iOS 17 中首次加入对应用侧载（sideloading）的支持，允许 iOS 用户安装从官方商店 App Store 之外下载的应用。 10、新型 QBot 电子邮件攻击利用 PDF 和 WSF传播恶意软件 https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/ 从4月开始，安全研究人员正记录一种新型 Qbot 电子邮件攻击——下载 Windows 脚本文件 (WSF) 以在受害者设备上安装 Qbot 的 PDF 附件。 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、8220组织利用Log4Shell漏洞安装挖矿程序 https://asec.ahnlab.com/ko/51362/ 安全公司发现8220 Gang攻击组织正在利用VMware Horizo​​n服务器上的 Log4Shell漏洞安装挖矿程序。由于许多在运行的系统存在漏洞且未进行漏洞修补，因此正成为众多攻击者的攻击目标。Log4Shell (CVE-2021-44228) 是基于Java日志实用程序Log4j的一个漏洞。 2、以色列黑客间谍公司QuaDream将关闭 https://www.hackread.com/quadream-israeli-iphone-hacking-spyware-shut-down/ QuaDream 总部位于以色列拉马特甘，拥有约 40 名员工，以其用于入侵iPhone的间谍软件而闻名。最近因开发了可以破解iPhone的间谍软件被Citizen Lab和微软曝光。据透露，该公司近期计划将解雇大部分员工并关闭其业务，只保留一小部分人员来监督业务关闭。 3、APT组织Gamaredon被指对乌克兰发起网络钓鱼活动 https://blog.eclecticiq.com/exposed-web-panel-reveals-gamaredon-groups-automated-spear-phishing-campaigns EclecticIQ研究人员发现了针对乌克兰政府实体的鱼叉式网络钓鱼活动，并确定了一个公开暴露的简单邮件传输协议 (SMTP) 服务器。SMTP服务器包含一个网页面板，旨在创建和分发鱼叉式网络钓鱼电子邮件。在SMTP服务器配置中发现的观察其策略、技术和程序 (TTP)、受害者学和基础设施与之前识别的Gamaredon活动重叠。Gamaredon APT组织被认为是俄罗斯国家支持的威胁 4、Apache Solr代码执行漏洞安全风险通告 https://www.secrss.com/articles/53770 近日，奇安信CERT监测到 Apache Solr 代码执行漏洞，Apache Solr 默认配置下存在服务端请求伪造漏洞。 5、NSO Group 在 2022 年至少使用了三个 iOS 零点击漏洞 https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/ 根据 Citizen Lab 的一份新报告，以色列间谍软件供应商 NSO Group 在 2022 年至少使用了三个以前未知的 iOS 零点击漏洞。 6、Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 https://www.secrss.com/articles/53859 ark.IoT 在沉寂了一段时间后，开始了新一轮的更新与传播，其中更是滥用 DNS 托管服务商来与白域名进行 C2 通讯。 7、网络安全专家暂时中断了 RedLine Stealer 的操作 https://securityaffairs.com/144974/cyber-crime/experts-temporary-distrupted-redline-stealer-op.html 研究人员发现恶意软件控制面板使用 GitHub 存储库作为 dead-drop 解析器。ESET 研究人员宣布在 GitHub 的帮助下暂时中断了RedLine Stealer的运行。 8、新的 Chameleon Android 恶意软件模仿银行、政府和加密应用程序 https://www.bleepingcomputer.com/news/security/new-chameleon-android-malware-mimics-bank-govt-and-crypto-apps/ 移动恶意软件是由网络安全公司 Cyble 发现的，该公司报告称通过受感染的网站、Discord 附件和 Bitbucket 托管服务进行分发。 9、Black Basta 声称它正在出售被盗的 Capita 数据 https://www.theregister.com/2023/04/18/capita_breach_gets_worse/ Black Basta 声称是最近入侵 Capita 的勒索者，据报道他们正在出售敏感信息，包括从 IT 外包巨头那里窃取的银行账户信息、地址和护照照片。 10、随着威胁行为者利用新的 AI 工具，网络钓鱼攻击激增 https://www.infosecurity-magazine.com/news/phishing-surge-threat-actors-ai/ 根据零信任安全供应商 Zscaler 的 ThreatLabz 网络钓鱼报告，与 2021 年相比，2022 年全球网络钓鱼活动增加了近 50%，部分原因是威胁行为者可以使用网络钓鱼工具包和新的人工智能工具。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、BlackBit勒索软件在韩国蔓延 https://asec.ahnlab.com/ko/51272/ AhnLab安全应急响应中心（ASEC）发现正在分发伪装成svchost.exe的BlackBit勒索软件。通过检查ASEC内部基础设施，确认BlackBit勒索软件从去年9月左右开始传播一直现在。BlackBit 勒索软件使用 .Net Reactor 来混淆代码，据推测这会阻碍分析。实际运行的勒索软件可以确认类似于LokiLocker勒索软件的特征，安全公司对其进行了综合分析。 2、JNPR公司修补关键的第三方组件漏洞 https://www.securityweek.com/juniper-networks-patches-critical-third-party-component-vulnerabilities/ 网络、云和网络安全解决方案提供商 Juniper Networks 发布了公告，详细介绍了在其产品组合中发现的数十个漏洞，包括Junos OS和STRM的第三方组件中的错误，其中严重的漏洞可能导致，命令注入和代码执行，以及被利用来绕过现有的防火墙规则和限制等问题。 当前该公司没有提到任何这些漏洞被利用于恶意攻击的实例。 3、新的 QBot 活动利用被劫持的企业电子邮件传播恶意软件 4 月初，卡巴斯基专家观察到QBot恶意软件攻击（又名Qakbot、QuackBot 和Pinkslipbot）的攻击激增。QBot 自 2008 年以来一直活跃，它被威胁行为者用来从受害者那里收集浏览数据和银行凭证以及其他财务信息。 4、黑客从西部数据窃取到了 10 TB 数据 https://www.solidot.org/story?sid=74667 数据存储巨头西部数据本月初证实它在 3 月 26 日遭到入侵，但没有透露更多信息。现在参与发动此次攻击的一名黑客公开接受采访，披露了更多相关信息。 5、网络攻击致使德国药物研发巨头生产延误 https://www.secrss.com/articles/53733 德国药物研发巨头 Evotec 遭受网络攻击，目前正努力恢复被迫离线的 IT 系统，Evotec 公司拥有 4200 多名员工，2021 年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近 7 亿美元收入。 6、成立黑客政策委员会，谷歌出台全新网络安全计划 https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html 4 月 14 日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 7、FIN7 和 Ex-Conti 网络犯罪团伙联手发起 Domino 恶意软件攻击 https://thehackernews.com/2023/04/fin7-and-ex-conti-cybercrime-gangs-join.html 由可能隶属于 FIN7 网络犯罪集团的威胁行为者开发的一种新型恶意软件已被现已解散的 Conti 勒索软件团伙的成员使用，表明这两个团队之间存在合作。 8、Remcos RAT恶意活动针对美国报税公司 https://securityaffairs.com/144851/cyber-crime/remcos-rat-tax-day-campaign.html 在美国纳税日之前，Microsoft观察到针对美国会计和报税准备公司的新Remcos RAT活动。网络钓鱼攻击始于2023年2月。Remcos是一款由BreakingSecurity公司开发的合法远程监控软件。2021年CISA将Remcos添加到顶级恶意软件变种列表中。最近的活动专门针对处理税务准备、金融服务、注册会计师和会计师事务所以及处理簿记和税务的专业服务公司的组织。 9、Chrome V8类型混淆漏洞 (CVE-2023-2033) 已被在野利用 https://www.secrss.com/articles/53814 Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。 10、美国海军通过战略转型实现网络防御现代化 https://www.secrss.com/articles/53805 美国海军网络防御作战司令部（NCDOC）指挥官克里斯蒂娜·希克斯及海军网络防御作战司令部前行动主管布兰登·坎贝尔联合撰文称，美国海军在新冠疫情期间大胆转型，改变操作、保卫和防御数据的方式，实现了网络防御现代化。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发现新型新型Android银行木马-Chameleon https://blog.cyble.com/2023/04/13/chameleon-a-new-android-malware-spotted-in-the-wild/Cyble Research & Intelligence Lab (CRIL) 根据恶意软件使用的命令识别出一种新型Android银行木马，将其称为“Chameleon”，主要因为该恶意软件似乎是一种新变种，并且似乎与任何已知的木马家族无关。该木马自 2023 年 1 月以来一直活跃，专门针对澳大利亚和波兰的用户进行观察。研究人员对该木马进行了技术分析并给出防护建议。 2、Android和Novi Survey漏洞正在被积极利用 https://thehackernews.com/2023/04/severe-android-and-novi-survey.html美国网络安全和基础设施安全局 (CISA) 已将两个漏洞添加到其已知利用漏洞 (KEV) 目录中。CISA在 CVE-2023-20963 的公告中表示：“Android Framework 包含一个未指明的漏洞，该漏洞允许在将应用程序更新到更高的 Target SDK 后进行权限提升，而无需额外的执行权限。”添加到 KEV 目录的第二个漏洞与Novi Survey软件中的不安全反序列化漏洞有关，该漏洞允许远程攻击者在服务帐户的上下文中在服务器上执行代码。 3、网络安全公司Darktrace公司驳斥LockBit 3.0声称的入侵行为 https://www.hackread.com/lockbit-3-0-ransomware-darktrace-cybersecurity-firm/Darktrace是一家领先的网络安全公司，以其 AI 驱动的威胁检测和响应解决方案而闻名。LockBit 3.0 声称已经入侵Darktrace，并在其门户网站上公开被盗数据，但点击该链接只会将重定向到Darktrace的官方网站。Darktrace迅速驳回了 LockBit 3.0 的声明，“我们的安全团队对我们的内部系统进行了全面审查，没有发现任何妥协的迹象。” 4、谷歌紧急修复了被利用的Chrome零日漏洞 https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/谷歌发布了一项紧急的Chrome安全更新，以应对今年以来首个被攻击利用的零日漏洞CVE-2023-2033。这个新版本将在未来几天或几周内向稳定桌面渠道的用户推出，并将解决Windows、Mac和Linux系统上的漏洞。 5、Vice Society勒索组织开发新的数据窃取工具 https://www.bleepingcomputer.com/news/security/vice-society-ransomware-uses-new-powershell-data-theft-tool-in-attacks/勒索软件组织Vice Society最近开发了一款复杂的PowerShell脚本，用于自动化从被攻击的网络中窃取数据。该工具的设计旨在隐蔽，不太可能触发安全软件的警报。且该脚本不需要任何参数，有一个主要的排除和包含列表来精确确定攻击哪些文件。该工具具有多进程和进程排队功能，以使其足迹小，活动隐蔽。 6、BlackCat勒索软件声称攻击NCR并导致其系统中断 https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/NCR是一家美国软件和技术咨询公司，为餐厅、企业和零售商提供数字银行、POS 系统和支付处理解决方案。他们的产品之一，用于酒店服务的Aloha POS平台，自周三以来出现故障，客户无法使用该系统。NCR4月15日透露，中断是由勒索软件攻击造成的。研究人员在BlackCat勒索软件组织的数据泄露网站上发现了一个短暂的帖子，该组织声称对此负责。 7、研究人员发现新的Android恶意库Goldoson，相关应用下载超亿次 https://securityaffairs.com/144838/malware/goldoson-malicious-library-google-play.htmlGoldoson库会收集设备上安装的应用程序列表，以及Wi-Fi和蓝牙设备信息的历史记录，包括附近的GPS位置。第三方库可以在未经用户同意的情况下，通过点击后台广告进行广告欺诈。在Google Play中发现了60多个包含该恶意库的应用程序。这些应用程序在韩国的ONE商店和Google Play商店的总下载量超过 亿次。 8、黑客滥用Action1 RMM进行勒索攻击 https://www.bleepingcomputer.com/news/security/hackers-start-abusing-action1-rmm-in-ransomware-attacks/Action1是一种远程监控和管理 (RMM) 产品，托管服务提供商 (MSP) 和企业通常使用它来远程管理网络上的端点。该软件允许管理员自动进行补丁管理和安全更新部署、远程安装软件、对主机进行分类、解决端点问题以及获取实时报告。安全研究人员警告说，网络攻击者越来越多地使用Action1远程访问软件在受感染的网络上持久存在并执行命令、脚本和二进制文件。 9、西门子Metaverse暴露了企业敏感数据 https://securityaffairs.com/144832/security/siemens-metaverse-data-leak.html西门子Metaverse是一个虚拟空间，用于镜像真实的机器、工厂和其他高度复杂的系统，最近，Cybernews研究团队发现，西门子Metaverse暴露了敏感数据，包括公司的办公计划和物联网 (IoT) 设备，如果攻击者获得了暴露的数据，可能会对该公司和其他使用其服务的公司造成威胁，其中包括勒索软件攻击。 10、研究人员发现首款针对 macOS 系统的 LockBit 加密器 https://securityaffairs.com/144879/cyber-crime/lockbit-encryptor-targets-macos.html研究人员警告说，LockBit 勒索软件团伙已经开发出针对 macOS 设备的加密器。MalwareHunterTeam 团队警告称，LockBit 组织是有史以来第一个针对 macOS 系统创建加密器的勒索软件团伙。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、DDoS攻击转移到VPS以增强构建能力 https://www.bleepingcomputer.com/news/security/ddos-attacks-shifting-to-vps-infrastructure-for-increased-power/ 据安全公司Cloudflare称，2023 年第一季度的超容量 DDoS（分布式拒绝服务）攻击已从依赖受感染的物联网设备转变为利用被破坏的虚拟专用服务器 (VPS)。新一代僵尸网络逐渐放弃了构建大量单独薄弱物联网设备的策略，现在正转向使用泄露的API凭据或已知漏洞利用易受攻击和配置错误的VPS服务器。这种方法可帮助威胁行为体更轻松、更快速地构建高性能僵尸网络，其强度比基于 2、Kyocera Android打印应用存在漏洞可能用于投放恶意软件 https://www.bleepingcomputer.com/news/security/kyocera-android-app-with-1m-installs-can-be-abused-to-drop-malware/ 根据JVN（Japanese Vulnerability Notes）的安全通知，Kyocera Android打印应用程序允许来自恶意第三方移动应用程序的数据传输，这可能导致恶意文件被下载。并且，通过使用KYOCERA Mobile Print网络浏览器功能，可以访问恶意站点并下载和执行恶意文件，从而获取移动设备的内部信息。Kyocera就此问题发布了一份安全公告 3、沃尔沃零售商客户信息遭泄露，涉及大量敏感文件 https://www.freebuf.com/news/363499.html 汽车制造巨头沃尔沃的巴西零售部门泄露了一些敏感文件，致使其在南美国家的客户处于危险之中。 4、海康威视存储解决方案中的严重漏洞可能暴露视频数据 https://www.securityweek.com/critical-vulnerability-in-hikvision-storage-solutions-exposes-video-security-data/ 海康威视修补了 CVE-2023-28808，这是一个严重的身份验证绕过漏洞，可暴露存储在其混合 SAN 和集群存储产品上的视频数据。 5、微软共享了如何检测BlackLotus UEFI Bootkit https://www.securityweek.com/microsoft-shares-resources-for-blacklotus-uefi-bootkit-hunting/ 微软分享了有关威胁猎手如何检查其系统是否存在 BlackLotus UEFI bootkit 感染的详细信息。 6、恶意 ChatGPT 和 Google Bard 安装程序分发 RedLine Stealer https://www.hackread.com/chatgpt-google-bard-installers-redline-stealer/ 当受害者安装来自其中一个赞助广告的恶意文件时，他们的设备就会被 RedLine 信息窃取程序劫持，然后窃取机密数据、破坏关键基础设施并危及金融账户。 7、WhatsApp 推出新的设备验证功能以防止帐户接管攻击 https://thehackernews.com/2023/04/whatsapp-introduces-new-device.html WhatsApp 周四宣布了一项新的帐户验证功能，可确保在用户移动设备上运行的恶意软件不会影响他们的帐户。 8、谷歌推出新的网络安全计划以加强漏洞管理 https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html 谷歌周四概述了一系列旨在改善漏洞管理生态系统并围绕漏洞利用建立更高透明度措施的举措。 9、SD Worx在网络攻击后关闭英国和爱尔兰服务 https://securityaffairs.com/144629/hacking/sd-worx-suffered-cyberattack.html 人力资源和薪资管理公司SD Worx在网络攻击后关闭了其英国和爱尔兰服务的IT系统。 10、首度公开！美国网军申请超6亿元建设网络攻击关键平台 https://www.secrss.com/articles/53699 美国网络司令部申请8940万美元(约合人民币6.14亿元)预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数字。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、现代汽车遭遇数据泄露，影响了法国和意大利的客户 https://securityaffairs.com/144732/data-breach/hyundai-suffered-data-breach.html 现代汽车披露了一起影响意大利和法国车主和预订试驾客户的数据泄露事件 2、QuaDream 监控公司的间谍软件使用零点击漏洞攻击 iPhone https://securityaffairs.com/144723/malware/quadream-spyware.html Microsoft和Citizen Lab发现了一家以色列公司QuaDream制造的商业间谍软件，该软件使用名为ENDOFDAYS（隐形 iCloud 日历邀请）的零日漏洞来破坏高风险个人的iPhone。其会在没有任何通知或提示的情况下自动添加到用户的日历中，从而允许在没有用户交互的情况下运行，并且无法检测到攻击。该漏洞影响2021年1月至2021年11月期间运行 iOS 1.4 至 14.4.2 的iPhone。 3、OpenAI 启动了漏洞赏金计划 https://securityaffairs.com/144707/security/openai-launched-bug-bounty-program.html 人工智能公司 OpenAI 启动了漏洞赏金计划，并宣布为其 ChatGPT 聊天机器人服务中的安全漏洞悬赏高达 20,000 美元。 4、韩国交易所GDAC遭到黑客攻击，价值超1300万美元数字货币被盗 https://www.hackread.com/south-korea-exchange-gdac-hack-crypto/ GDAC CEO Han Seunghwan于2023年4月10日发布公告，透露攻击发生在2023年4月9日上午，黑客控制了交易所的部分在线钱包。被盗的加密货币包括61个比特币、350.5 个以太币、1000 万个WEMIX游戏货币和价值220000美元的Tethers，整体价值约1390万美元。为应对此次攻击，GDAC已暂停所有充提业务，并启动紧急服务器维护，还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款。 5、攻击者利用Windows日志系统零日漏洞部署Nokoyawa勒索软件 https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/ Microsoft修补了Windows通用日志文件系统 (CLFS) 中的一个零日漏洞（ CVE-2023-28252 ），网络犯罪分子积极利用该漏洞提升权限并部署Nokoyawa勒索软件有效载荷。虽然大多数零日漏洞都被APT组织使用，但这个特殊的零日漏洞被一个复杂的网络犯罪集团使用，该组织进行勒索软件攻击。当前已经确定了五种不同的攻击方式，用于攻击零售和批发、能源、制造、医疗保健、软件开发和其他行业。 6、SAP针对两个严重漏洞发布安全更新 https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-for-two-critical-severity-flaws/ 企业软件供应商SAP已发布其多款产品的2023年4月安全更新，其中包括对影响SAP Diagnostics Agent 和SAP BusinessObjects Business Intelligence Platform的两个严重漏洞的修复。SAP 总共发布了24 条说明，其中19 条涉及不同重要性的新问题，另外 5 条是对先前公告的更新。 7、加拿大云计算独角兽泄露WordPress管理员凭据、源代码和备份 https://cybernews.com/security/freshbooks-leaks-wordpress-credentials/ 一家拥有超过 30 万用户的流行会计软件提供商泄露了他们的 WordPress 管理员的凭据、源代码和服务器备份，冒着威胁行为者劫持其网站的风险。 8、美国“情报和国家安全联盟”提出五条“网络民参军路径” https://www.secrss.com/articles/53619 美国民间贸易协会就加强美国进攻性网络能力提出建议。 9、开源家庭影院软件Kodi的400,000 名用户遭受数据泄露 https://www.securityweek.com/400000-users-hit-by-data-breach-at-media-player-maker-kodi/ 黑客窃取了包含用户帖子、消息和登录凭据的数据库。开源家庭影院软件开发商 Kodi 本周宣布，在 2023 年 2 月发生数据泄露事件后，它已开始重建其用户论坛。 10、乌克兰黑客入侵APT28领导人的电子邮件 https://www.hackread.com/ukraine-hackers-breach-apt28-fbi-wanted-hacker/ 乌克兰黑客组织Cyber Resistance，又名乌克兰网络联盟，声称已经入侵了俄罗斯GRU军官谢尔盖·亚历山德罗维奇·莫尔加乔夫中校 (Sergey Aleksandrovich Morgachev) 的电子邮件、社交媒体和个人账户。这些信息与名为InformNapalm的志愿情报社区共享。Morgachev是俄罗斯黑客组织APT28的领导人，APT28或Fancy Bear是俄罗斯政府支持的黑客组织，以针对其目标使用鱼叉式网络钓鱼活动而臭名昭 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、黑客对以色列关键基础设施进行新一轮网络攻击 https://www.hackread.com/israel-cyberattacks-hit-critical-infrastructure/ 近日以色列再次成为黑客的目标，针对该国主要机构网站（包括航空公司、交通、邮政和灌溉系统的网站）的网络攻击激增。其中以色列的灌溉系统遭到了一系列网络攻击，导致数个水监测器在4月9日发生故障。据推测这些网络攻击可能是OpIsrael年度活动的一部分，该活动由反国家黑客组织在每年四月举行，主要目的是破坏以色列的关键基础设施。 2、攻击者利用NPM存储库提高搜索排名以传播恶意软件 https://thehackernews.com/2023/04/hackers-flood-npm-with-bogus-packages.html 攻击者利用开源存储库在搜索引擎结果中排名较高的事实来创建流氓网站，并上传空的npm模块，并在README.md文件中包含指向这些站点的链接。这些伪造的包淹没了Node.js的npm开源包存储库，甚至短暂地导致了拒绝服务 (DoS) 攻击。本次攻击的最终目标是用RedLine Stealer、Glupteba、SmokeLoader和加密货币矿工等恶意软件感染受害者的系统。 3、Trigona勒索软件攻击MS-SQL服务器 https://asec.ahnlab.com/ko/51168/ 安全厂商(ASEC) 最近确认，Trigona勒索软件被安装在管理不当的MS-SQL服务器上。管理不当的MS-SQL服务器是指暴露于外界环境，仅通过设置账户信息就容易受到暴力破解的环境。如果攻击者登录成功，系统的控制权就会转移给攻击者，并可以安装恶意代码或执行恶意命令。 4、经改装的公共电源插座可能会窃取个人数据 https://www.zdnet.com/article/fbi-warns-of-juice-jacking-charging-stations-in-public-areas-how-to-stay-protected/ FBI 表示，公共电源插座正在被非法改装以窃取用户手机数据。安全起见，建议选择是便携式充电设备，为智能手机、平板电脑、笔记本电脑等充电，或者使用US 数据拦截器充电，它通过取消传统上在USB电缆上找到的数据线来实现这种安全性。可以在物理上阻止插座和设备之间的任何数据传输。 5、拥有肯德基、必胜客和塔可钟品牌的 Brands 公司披露数据泄露 https://securityaffairs.com/144676/data-breach/yum-brands-data-breach.html 拥有肯德基、必胜客和塔可钟品牌的 Brands 公司在 1 月份的勒索软件攻击后披露了一起数据泄露事件。 6、Microsoft Azure 中的“By-Design”漏洞可允许存储帐户接管 攻击者可以利用 Microsoft Azure 中的一个缺陷来访问存储帐户、执行横向移动，甚至执行远程代码。研究人员演示了如何滥用 Microsoft Azure共享密钥授权来获得对存储帐户和潜在关键业务资产的完全访问权限。该问题也可能被滥用以在环境中横向移动，甚至执行远程代码。 7、微软修补了一个已经被利用的 Windows 零日漏洞 https://www.securityweek.com/microsoft-patches-another-already-exploited-windows-zero-day/ 该漏洞被 Mandiant 的研究人员标记为零日漏洞，被描述为 Windows 通用日志文件系统驱动程序中的特权提升问题。在记录CVE-2023-28252的公告中，Redmond 警告说，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 8、国家网信办发布《生成式人工智能服务管理办法（征求意见稿）》 https://www.freebuf.com/news/363195.html 为促进生成式人工智能技术健康发展和规范应用，4月11日，国家网信办发布《生成式人工智能服务管理办法（征求意见稿）》（以下简称《管理办法》）。 9、瑞友天翼应用虚拟化系统存在远程代码执行漏洞 https://www.secrss.com/articles/53592 近日，奇安信CERT监测到瑞友天翼应用虚拟化系统远程代码执行漏洞，未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码。鉴于该漏洞影响范围较大，建议客户尽快升级到安全版本。 10、3CX 确认供应链攻击背后的朝鲜APT组织 https://www.freebuf.com/articles/system/362686.html VoIP 通信公司 3CX 证实，一个朝鲜APT组织是上个月供应链攻击的幕后黑手。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。