1、黑客利用虚假ChatGPT应用程序来分发恶意软件 https://www.bleepingcomputer.com/news/security/hackers-use-fake-chatgpt-apps-to-push-windows-android-malware/ 安全研究员Dominic Alvieri发现，威胁行为者正在利用OpenAI的ChatGPT聊天机器人的热度来分发适用于Windows和Android的恶意软件，或将毫无戒心的受害者引导至网络钓鱼页面。钓鱼网站由Facebook页面推广，该页面使用官方ChatGPT徽标来诱骗用户重定向到恶意站点，用Redline信息窃取恶意软件感染访问者。研究人员还发现了在谷歌Play和第三 2、水果巨头都乐食品公司遭到勒索软件攻击影响运营 https://www.bleepingcomputer.com/news/security/fruit-giant-dole-suffers-ransomware-attack-impacting-operations/ 新鲜水果蔬菜生产商和分销商都乐食品公司（Dole Food Company）宣布，该公司正在应对影响其运营的勒索软件攻击。目前还没有多少细节，该公司目前正在调查“事件的范围”，并指出影响有限。尽管都乐将影响描述为“有限”，但德克萨斯州一家杂货店在Facebook上泄露的一份便笺显示，这家食品巨头被迫关闭了其在北美的生产工厂。都乐似乎也停止了向杂货店发货。该便笺还提到，都乐 3、谷歌发布更新修复了Chrome浏览器中的RCE漏洞 https://www.scmagazine.com/news/vulnerability-management/google-critical-rce-bug-chrome-browser 谷歌修补了其Chrome网络浏览器中一个严重的远程代码执行漏洞，该漏洞允许攻击者通过欺骗受害者访问恶意网站，就能在受害者的系统上安装恶意软件。作为其Chrome浏览器2月份安全更新的一部分，谷歌还修补了6个高严重性漏洞，其中一个已存在将近一年。 4、攻击者通过Discord分发恶意软件针对政府实体 https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord/ Menlo Labs发现了一个未知的威胁行为者，该行为者利用通过Discord分发的规避威胁活动，该活动以PureCrypter下载器为特征，并以政府实体为目标。PureCrypter活动使用一个受感染的非营利组织的域作为命令和控制（C2）来提供第二个有效载荷。研究人员调查发现，该活动传播了多种类型的恶意软件，包括Redline Stealer、AgentTesla、Eternity、Blackmoon和Phi 5、11个国家参加了西欧最大军事网络演习DCM2 https://www.securityweek.com/11-countries-take-part-in-military-cyberwarfare-exercise/ 西欧最大的军事网络演习Defense Cyber Marvel 2（DCM2）最近在爱沙尼亚举行，共有来自11个国家的34支队伍参加了这场网络演习。美国、英国、日本、印度、意大利、爱沙尼亚、乌克兰、加纳、肯尼亚和阿曼等国家派出750名专家参加。这场为期七天的活动由英国陆军领头，测试了参与者对常见和复杂网络场景的反应，包括对网络和工业控制系统（ICS）的攻击。参赛队伍相互竞争，并根据他们识别和应对网络威胁的速度进行评判。来 6、Android应用程序数据安全标签存在漏洞 https://thehackernews.com/2023/02/majority-of-android-apps-on-google-play.html Mozilla基金会调查发现，谷歌Play商店中可用的Android应用程序的数据安全标签存在“严重漏洞”，这些漏洞允许应用程序提供误导性或完全虚假的信息。该项调查比较了应用市场上20个最受欢迎的付费应用和20个最受欢迎的免费应用的隐私政策和标签，大约80%的被审查应用程序中，“由于应用程序的隐私政策与应用程序在谷歌数据安全表格上自我报告的信息之间的差异，这些标签是虚假的或具有误导性的。”Mozilla表示，消费者正在被引导“相信这些应 7、洛杉矶联合学区遭到黑客攻击暴露学生记录 https://www.govtech.com/security/l-a-unified-hack-exposed-2k-student-records-officials-say 洛杉矶联合学区上周三透露，由于最近的一次网络攻击，“大约2000名学生的评估记录”被发布在暗网上，其中包括目前在读的60名学生的评估记录。泄露的记录还包括数量不详的驾照号码和社会安全号码。学区声明说：“我们已经通知了一些受到这次攻击影响的个人和供应商，并将在确定后继续通知个人。”并补充道：“其中一些记录可以追溯到近30年前，这造成了进一步耗时的分析。我们的审查还显示，COVID-19阳性检测结果也是违规行为的一部 8、新的“Clasiopa”威胁组织以材料研究组织为目标 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/clasiopa-materials-research 观察到一个迄今未知的攻击组织以亚洲的一家材料研究组织为目标。该组织被赛门铁克称为 Clasiopa，其特点是具有独特的工具集，其中包括一个自定义恶意软件 (Backdoor.Atharvan)。目前，没有确凿的证据表明 Clasiopa 位于何处或代表谁行事。 9、俄罗斯广播电台遭匿名者组织入侵播放虚假警告 https://www.hackread.com/russia-hacked-radio-station-missile-alerts/ 本周三上午，俄罗斯十几个城市的数百万公民听到了不寻常的无线电警报、警报器声还收到警告短信。这些警告是关于对俄罗斯的导弹袭击和空袭。然而，俄罗斯政府紧急情况部后来宣布这些是虚假警告，并指责黑客在商业广播电台播放虚假警报。据当地媒体报道，一个女声从几家电台发出了虚假警报，包括Yumor FM、Relax FM、Comedy Radio、Humor FM和Avatoradio。虚假警告宣布空袭，并要求听众迅速寻求庇护。匿名者黑客组织发布的一条推文称，他们扰乱了俄 10、加拿大第二大电信公司TELUS遭数据泄露 https://www.bleepingcomputer.com/news/security/telus-investigating-leak-of-stolen-source-code-employee-data/ 加拿大第二大电信公司TELUS正在调查一起潜在的数据泄露事件。2月17日，一名威胁行为者在数据泄露论坛上发布了他们声称的TELUS员工名单（包括姓名和电子邮件地址）以供出售。该帖子称“TELUS的员工信息最近被泄露。我们有超过7600封唯一的电子邮件，除此之外，我们还有从TELUS的API中获取的与每位员工相关的内部信息。”截至2月21日，同一个威胁行为者创建了另一个论坛帖子， 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Fortinet FortiNAC 漏洞PoC 发布后的几个小时内被利用 https://securityaffairs.com/142621/hacking/fortinet-fortinac-cve-2022-39952-exploitation.html 本周，Horizon3 网络安全公司的研究人员发布了针对 Fortinet 的 FortiNAC 网络访问控制解决方案中严重漏洞的PoC，该漏洞被跟踪为CVE-2022-39952 。在 PoC 漏洞利用代码发布几个小时后，威胁参与者正在积极利用 Fortinet FortiNAC 漏洞 CVE-2022-39952。 2、欧盟委员会称出于安全考虑，已禁止其员工使用 TikTok https://securityaffairs.com/142615/breaking-news/european-commission-banned-tiktok.html 3、思科修补 ACI 组件中的高危漏洞 https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-aci-components/ 思科周三通知客户有关影响其应用程序中心基础设施 (ACI) 软件定义网络解决方案组件的两个高严重性漏洞的补丁程序的可用性。 4、网络犯罪分子通过盗版应用程序传播Mac 恶意软件 https://www.securityweek.com/stealthy-mac-malware-delivered-via-pirated-apps/ 网络犯罪分子正在使用盗版应用程序向 Mac 用户传播隐蔽的挖矿恶意软件，他们可以对其他恶意软件使用相同的方法。合法的 Mac 软件应用程序被恶意软件木马化并上传到盗版软件网站。软件盗版者从这里下载应用程序并在不知不觉中感染自己。 5、新的 S1deload 恶意软件劫持用户的社交账户并进行挖矿 https://thehackernews.com/2023/02/new-s1deload-malware-hijacking-users.html 一项活跃的恶意软件活动通过利用新的信息窃取程序劫持帐户并滥用系统资源来挖掘加密货币，将目光投向了 Facebook 和 YouTube 用户。Bitdefender 将恶意软件称为S1deload Stealer，因为它使用DLL 侧面加载技术来绕过安全防御并执行其恶意组件。 6、拥有500W安装量的语音聊天应用OyeTalk泄露了用户聊天记录 https://www.hackread.com/android-voice-chat-app-data-leak/ 流行的 Android 语音聊天应用程序 OyeTalk 泄露了私人用户数据，包括他们未加密的聊天记录、用户名和手机国际移动设备识别码 (IMEI) 号码。该应用程序在Google Play上的下载量超过 500 万次。 7、Python开发人员警告木马化PyPI包冒充流行库 https://www.reversinglabs.com/blog/beware-impostor-http-libraries-lurk-on-pypi ReversingLabs研究人员警告称，恶意包模仿了Python Package Index（PyPI）存储库中可用的流行库。已发现41个恶意PyPI包伪装成合法模块（如HTTP、AIOHTTP、requests、urllib和urllib3）的错别字变体。在大多数情况下，这些软件包的描述并没有暗示它们的恶意，有些伪装成真正的库，并将它们的功能与已知的合法HTTP库的功能进行比较。但实际上，这些恶意包可能包含下载程序，充当向受感染主机 8、2022 年，谷歌向安全研究人员支付了 1200 万美元漏洞赏金 https://www.freebuf.com/articles/358421.html Bleeping Computer 网站披露，2022 年，谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金，为安全研究人员报告的 2900 多个漏洞，支付超 1200 万美元。 9、Activision 确认数据泄露暴露了员工信息和游戏信息 https://www.bleepingcomputer.com/news/security/activision-confirms-data-breach-exposing-employee-and-game-info/ Activision 已确认，在黑客通过使用 SMS 网络钓鱼文本欺骗员工获得对公司内部系统的访问权限后，在 2022 年 12 月上旬遭受了数据泄露。 10、因担心数据安全，摩根大通限制员工使用ChatGPT https://www.secrss.com/articles/52175 2月23日消息，据外媒报道，华尔街大行摩根大通已下令限制其员工使用ChatGPT这一AI技术驱动的智能聊天机器人。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、亚洲最大的两家数据中心遭黑客入侵，影响阿里、华为等2000多家企业 https://www.freebuf.com/news/358395.html 据彭博社报道，亚洲最大的两家数据中心（中国上海的万国数据服务有限公司（GDS Holdings Ltd. “万国数据”）与总部位于新加坡的新科电信媒体国际数据中心）遭遇黑客组织入侵，并悄悄潜伏其中近2年时间。在如此漫长的时间里，两大数据中心没有任何发现，而黑客却早已掌握已掌握了大量企业的亚洲数据中心登录凭证。影响范围包括阿里巴巴、腾讯、华为、苹果、微软、亚马逊、沃尔玛、高盛、宝马等国际巨头在内的2000多家企业。 2、《全球安全倡议概念文件》发布，多项涉及网络安全 https://www.freebuf.com/news/358362.html 2月21日，外交部长秦刚出席“全球安全倡议：破解安全困境的中国方案”蓝厅论坛开幕式并发表主旨演讲。秦刚指出，中方正式发布《全球安全倡议概念文件》（以下简称《概念文件》），阐释倡议的核心理念和原则，明确重点合作方向和平台机制，展现中方对维护世界和平的责任担当、对守护全球安全的坚定决心。其中，网络安全被多次提及。 3、挪威当局查获 Lazarus 黑客窃取的 584 万美元加密货币 https://thehackernews.com/2023/02/norway-seizes-584-million-in.html 挪威警察局 Økokrim 宣布，在 Axie Infinity Ronin Bridge 遭到黑客攻击后，没收了 Lazarus Group 在 2022 年 3 月窃取的价值 6000 万挪威克朗（约合 584 万美元）的加密货币。 4、2022年大多数勒索软件攻击都利用了旧漏洞 https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain Ivanti 的一份新报告透露，勒索软件组织在2022年总共利用了 344 个独特漏洞，其中竟有 76% 的漏洞来自 2019 年或之前。 5、Activision证实数据泄露暴露了员工和游戏信息 https://www.bleepingcomputer.com/news/security/activision-confirms-data-breach-exposing-employee-and-game-info/ 电子游戏发行商Activision证实，该公司在2022年12月初遭遇数据泄露，黑客通过向一名员工发送钓鱼短信，获取了公司内部系统的访问权限。Activision发言人表示“经过彻底调查，我们确定没有敏感的员工数据、游戏代码或玩家数据被访问”。然而，安全研究小组vx-underground表示，威胁行为者“泄露了敏感的工作场所文件”以及日期直到2023年11月17日的内容 6、Apple发布更新修复了iOS、iPadOS和 macOS的三个漏洞 https://securityaffairs.com/142581/security/apple-three-vulnerabilities.html Apple 通过添加三个新漏洞更新了公告，这些漏洞被跟踪为 CVE-2023-23520、CVE-2023-23530 和 CVE-2023-23531，影响 iOS、iPadOS和 macOS。攻击者可以触发 CVE-2023-23530 漏洞以在其沙箱之外或以某些提升的权限执行任意代码。该漏洞存在于 Foundation 框架中，由 Trellix ARC 的 Austin Emmitt 报告。该公司通过发布 iOS 16.3、iPad 7、R1Soft服务器备份管理器漏洞被利用部署后门 https://www.securityweek.com/r1soft-server-backup-manager-vulnerability-exploited-to-deploy-backdoor/ 去年在 ConnectWise 的 R1Soft 服务器备份管理器软件中发现的一个漏洞已被利用在数百台服务器上部署后门。 2022 年 10 月下旬，ConnectWise 通知客户，Recover 和 R1Soft Server Backup Manager 产品中修补了 一个严重漏洞，可能允许攻击者执行任意代码或直接访问机密数据。 8、域名注册商 GoDaddy 透露，它已遭入侵长达三年之久 https://cyware.com/news/hackers-ran-amok-across-godaddy-for-three-years-593339da 互联网域名注册商 GoDaddy 最近宣布其基础设施遭到网络攻击，据信这是可追溯到 2020 年的一系列更大规模事件的一部分。 9、谷歌将通过固件强化来提高 Android 的安全性 https://www.bleepingcomputer.com/news/security/google-will-boost-android-security-through-firmware-hardening 谷歌已开始致力于在固件级别加强 Android 的安全性，固件级别是软件堆栈的一个组件，可直接与片上系统 (SoC) 的各种处理器交互。 10、CISA在已知被利用漏洞目录中增加了3个漏洞 https://thehackernews.com/2023/02/us-cybersecurity-agency-cisa-adds-three.html 周二，美国网络安全和基础设施安全局（CISA）根据主动利用漏洞的证据，在其已知被利用漏洞（KEV）目录中添加了三个安全漏洞。CVE-2022-47986是IBM Aspera Faspex代码执行漏洞，被描述为文件传输解决方案中的YAML反序列化漏洞，该漏洞可能允许远程攻击者在系统上执行代码。CISA还添加了两个影响Mitel MiVoice Connect的漏洞（CVE-2022-41223和CVE-2022-40765），这两个漏洞 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发现一种名为Stealc的新型信息窃取程序 https://securityaffairs.com/142516/malware/stealc-advanced-infostealer.html 2023年1月，SEKOIA.IO的研究人员发现了一种名为Stealc的新型信息窃取程序，该程序在暗网论坛上广为宣传。据称，Stealc的开发依赖于Vidar、Raccoon、Mars和Redline窃取程序。2月，专家们发现了数十个Stealc样本，它们与Vidar和Raccoon有相似之处。Stealc能够从流行的网络浏览器、加密货币钱包的浏览器扩展、桌面加密货币钱包以及其他应用程序（如电子邮件客户端）中窃取敏感数据。 2、LVHN声称遭到BlackCat勒索软件组织的攻击 https://www.mcall.com/2023/02/20/lehigh-valley-health-network-reports-cyberattack-from-suspected-russian-ransomware-group/ Lehigh Valley Health Network官员周一宣布，他们已遭到与俄罗斯有关的BlackCat组织的攻击。LVHN总裁兼首席执行官Brian A. Nester表示，截至周一，此次攻击还没有影响到LVHN的运营。根据其初步分析，攻击针对的是位于美国拉克瓦纳县的一家医生诊所的网络。LVHN于2月6日在该网络的IT系统中检测到未经授权的活 3、Outlook邮件过滤器损坏导致收件箱收到垃圾邮件 https://www.bleepingcomputer.com/news/microsoft/microsoft-outlook-flooded-with-spam-due-to-broken-email-filters/ 根据越来越多的微软客户的报告，在过去的十几个小时里，Outlook收件箱中充斥着垃圾邮件，因为垃圾邮件过滤器目前已被破坏。无数Outlook用户证实了这一持续存在的问题，他们在社交媒体上表示，所有邮件都在收件箱中，甚至是那些以前被标记为垃圾邮件并发送到垃圾文件夹的邮件。有用户称，即使在垃圾邮件过滤器中选中“只信任来自我的安全发件人和域名列表以及安全邮件列表中的电子邮件” 4、Aviacode公司遭到勒索软件攻击泄露200GB文件 https://www.databreaches.net/aviacode-remains-silent-after-0mega-dumps-200-gb-of-their-files/ 1月9日，DataBreaches注意到Aviacode已添加到0mega的泄漏站点。Aviacode公司主要提供一个基于SaaS的工作流平台，包含医疗企业编程的各个环节。0mega勒索软件组织于2月11日转储了超过200 GB的Aviacode文件。研究人员在泄露的数据中发现了有关员工和承包商的数据，包含员工、工资单、税务信息和用户数据。其他与员工相关的文件包括员工的工资信息、职位、证书、雇用日期，在少数 5、 Fortinet FortiNAC 严重漏洞CVE-2022-39952 PoC发布 https://securityaffairs.com/142553/hacking/poc-exploit-code-fortinet-fortinac.html Horizon3 网络安全公司的研究人员发布了针对 Fortinet 的 FortiNAC 网络访问控制解决方案中严重漏洞的PoC，该漏洞被跟踪为CVE-2022-39952 。上周，Fortinet 发布了安全更新，以解决 FortiNAC 和 FortiWeb 解决方案中的两个关键漏洞。这两个漏洞被追踪为 CVE-2022-39952 和 CVE-2021-42756，分别是Fortinet FortiNAC中文件名或路径的 6、Resecurity 警告针对全球数据中心的恶意网络活动有所增加 https://securityaffairs.com/142531/hacking/attacks-data-center-service-providers.html Resecurity 警告针对全球数据中心服务提供商的恶意网络活动有所增加。 7、VMware 修复了严重的 Carbon Black 应用程序控制漏洞 https://www.securityweek.com/vmware-plugs-critical-carbon-black-app-control-flaw/ VMware 周二推出了一项重大安全修复程序，以弥补其面向企业的 Carbon Black App Control 产品中的一个关键漏洞。来自 VMware 的严重严重性建议将漏洞跟踪为 CVE-2023-20858，并警告说黑客可以启动注入攻击以获得对底层服务器操作系统的完全访问权限。 8、抗量子密码学算法CRYSTALS-Kyber已被 AI 结合侧信道攻击破解 https://www.securityweek.com/ai-helps-crack-a-nist-recommended-post-quantum-encryption-algorithm/ NIST 于 2022 年 7 月推荐的用于后量子密码学的CRYSTALS -Kyber公钥加密和密钥封装机制已被破解。瑞典斯德哥尔摩 KTH 皇家理工学院的研究人员使用递归训练 AI 结合侧信道攻击。 9、MyloBot 僵尸网络在全球迅速蔓延，每天感染超过 50,000 台设备 https://thehackernews.com/2023/02/mylobot-botnet-spreading-rapidly.html 一个名为 MyloBot 的复杂僵尸网络已经破坏了数千个系统，其中大部分位于印度、美国、印度尼西亚和伊朗。 10、联合国发布《隐私增强技术指南》概述 https://www.secrss.com/articles/52113 2023年2月13日，联合国大数据和数据科学专家委员（UNCEBD）会发布《隐私增强技术指南》（The PET Guide）。指南重点关注隐私增强技术在官方统计数据中的应用，旨在帮助各国的国家统计局更好地理解和运用隐私增强技术处理敏感数据，提升数据的准确性和安全性，进而助力政府科学合理决策。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、WIP26间谍活动滥用云基础设施针对电信公司 https://www.sentinelone.com/labs/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks/ SentinelLabs与QGroup GmbH的研究人员一直监控被追踪为WIP26的威胁活动。WIP26背后的威胁行为者滥用公共云基础设施以中东的电信提供商为目标。威胁行为者通过包含Dropbox链接的WhatsApp消息精确定位员工来启动感染链。诱骗员工下载并执行加载程序，最终会导致部署利用Microsoft 365 Mail和Google Firebase 2、葡萄牙供水公司Aguas do Porto遭LockBit勒索软件攻击 https://securityaffairs.com/142477/cyber-crime/lockbit-water-utility-aguas-do-porto.html LockBit勒索软件组织声称已经入侵了葡萄牙市政供水公司Aguas do Porto，并威胁要泄露被盗数据。Aguas do Porto是一家市政供水公司，负责管理包括供水和废水排放在内的整个水循环。LockBit勒索软件组织将市政供水公司添加到Tor泄漏网站的受害者名单中，截止日期为2023年3月7日。该组织尚未发布被盗数据样本作为安全漏洞的证据。目前，尚不清楚勒索软件团伙窃取的数据量和数据类型。Aguas do 3、二维码生成器MyQRcode泄露了用户的登录数据 https://www.hackread.com/qr-code-generator-my-qr-code-data-leak/ 流行的二维码生成器网站MyQRcode正在泄露用户的个人数据。安全漏洞已导致超过128 GB的数据泄露，其中包括66000名客户的个人信息。泄露是由于错误配置引起的，这使得公众可以在没有任何安全认证或密码的情况下公开访问服务器。并且数据每天都在更新新记录，这表明泄露仍在进行中。泄露的数据包括客户的个人和登录凭证，包括全名、职称、电子邮件地址、密码哈希、二维码URL、电话号码、物理地址、社交媒体资料链接等。安全研究员Anurag Sen向Hackread.com报告 4、印度火车票购票平台RailYatri遭黑客攻击泄露用户信息 https://www.hackread.com/indian-ticketing-platform-railyatri-hacked/ 印度流行的火车票预订平台RailYatri遭遇大规模数据泄露，超过3100万（31062673）用户/乘客的个人信息暴露。据信，此次泄密事件发生在2022年12月下旬，敏感信息数据库目前正在网上泄露。泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。该数据库已在Breachforums黑客论坛上泄露。 5、加密货币交易所 Coinbase遭黑客攻击 https://securityaffairs.com/142507/cyber-crime/coinbase-smishing-attack.html Coinbase 加密货币交易所是复杂网络攻击的受害者，黑客发起了一场针对加密货币交易所 Coinbase 员工的诈骗活动。 6、Frebniis 恶意软件滥用 Microsoft IIS 功能创建后门 https://securityaffairs.com/142466/malware/frebniis-malware-iis.html Broadcom Symantec 研究人员发现了一种新的恶意软件，被追踪为 Frebniis，它滥用 IIS来部署后门并监视系统所有 HTTP 流量。 7、Atlassian 员工凭证被盗，导致数据泄露 https://securityaffairs.com/142424/data-breach/atlassian-data-leak.html Atlassian 披露了一起数据泄露事件，该事件是由用于窃取第三方供应商数据的员工凭证被盗造成的。 8、三星发布Message Guard 可保护设备免受零点击攻击 https://www.securityweek.com/new-samsung-message-guard-protects-mobile-devices-against-zero-click-exploits/ 随着最新旗舰 Galaxy 智能手机的推出，三星推出了名为 Message Guard 的新沙盒功能，旨在保护设备免受零点击攻击。 9、Twitter 关闭了非订阅者基于短信的2FA https://www.securityweek.com/twitter-shuts-off-text-based-2fa-for-non-subscribers/ 日前推特方面宣布，自 3 月 20 日开始，将不再支持用户基于短信的双重因素身份验证（2FA）方式，仅购买了 " 推特蓝 "（Twitter Blue）订阅服务的用户才可继续使用。 10、针对中文用户，黑客利用谷歌搜索广告传播恶意软件 https://www.secrss.com/articles/52007 ESET在一篇研究报告上表示，其安全研究员发现了一个针对东亚和东南亚华语人群的恶意软件活动。攻击者通过在Google搜索结果中购买误导性广告，诱骗受害者下载安装木马程序。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、APT37组织通过隐写术传播新的M2RAT恶意软件 https://asec.ahnlab.com/ko/47622/ AhnLab安全应急响应中心（ASEC）分析小组在1月份确认，RedEyes攻击组织（也称为APT37、ScarCruft）正在通过Hangul Encapsulated PostScript（EPS）漏洞（CVE-2017-8291）传播恶意软件。此次RedEyes组织的攻击活动主要利用隐写技术传播恶意代码。黑客组织向目标发送了包含恶意附件的钓鱼电子邮件。打开附件会触发对韩国常用的韩文文字处理器中的旧EPS漏洞（CVE-2017-8291）的利用。该漏洞将导致shellcode在受害者的计算机上运行，下载并执行存储在JPE 2、汤加通信公司遭到勒索软件攻击影响其行政运作 https://therecord.media/tonga-is-the-latest-pacific-island-nation-hit-with-ransomware/ 汤加国有电信公司向客户发出警告，称其受到了勒索软件的攻击。汤加通信公司（TCC）在Facebook上发布通知称，这次攻击可能会减慢行政运作。该公司表示“勒索软件攻击已被证实是为了加密和锁定对TCC部分系统的访问。这不会影响向客户提供语音和互联网服务，但可能会减缓连接新客户、交付账单和管理客户查询的过程。”网络安全专家Dominic Alvieri表示，Medusa勒索软件组织声称对周一的TCC攻击负责。 3、SAS航空公司遭到网络攻击导致网站和应用离线 https://www.hackread.com/sas-airlines-hit-by-cyber-attack/ 2月14日，SAS航空公司遭到网络攻击，迫使该公司的网站和应用程序离线，乘客无法访问。据路透社报道，该航空公司敦促客户不要使用其移动应用程序，因为他们可能会收到不正确的信息。据报道，包括挪威客户在内的一些用户登录了错误的账户，访问了其他客户的数据。SAS的新闻负责人Karin Nyman表示，该问题现已得到解决。该航空公司没有提供有关这次攻击事件的细节。 4、安全厂商Fmsisoft警告称黑客正在伪造其证书以入侵网络 https://www.bleepingcomputer.com/news/security/emsisoft-says-hackers-are-spoofing-its-certs-to-breach-networks/ 网络安全公司Emsisoft警告，一名黑客正在使用伪造的代码签名证书冒充Emsisoft公司来瞄准使用其安全产品的客户，希望以此绕过他们的防御。这些假证书的名称似乎与可信赖的实体相关联，但实际上并不是有效证书。Emsisoft表示，威胁行为者可能通过暴力破解RDP或使用属于目标组织员工的被盗凭证获得了对受感染设备的初始访问权。一旦攻击者获得了对端点的访问权限，他们就会安装 5、Apache修复了Kafka中的远程代码执行漏洞 https://portswigger.net/daily-swig/remote-code-execution-flaw-patched-in-apache-kafka Apache解决了一个可能利用Kafka Connect发起远程代码执行（RCE）攻击的漏洞，漏洞被跟踪为CVE-2023-25194。该漏洞只有在访问Kafka Connect worker（一个逻辑工作单元组件）时才会触发，并且用户还必须能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议来创建或修改worker连接器。利用Kafka漏洞，经过身份验证的攻击者可以通过Aiven API或Kafka 6、研究人员发现新挖矿攻击利用Exchange ProxyShell漏洞 https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxyshell-flaws-exploited-in-new-crypto-mining-attack/ 一种名为“ProxyShellMiner”的新型恶意软件利用Microsoft Exchange ProxyShell漏洞在整个Windows域中部署加密货币矿工。攻击者利用ProxyShell漏洞CVE-2021-34473和CVE-2021-34523来获得对组织网络的初始访问权。之后，将.NET恶意软件有效载荷放入域控制器的NETLOGON文件夹 7、德国多个机场网站遭到DDos攻击影响航班运作 https://securityaffairs.com/142373/breaking-news/german-airports-websites-failures.html 上周四，德国几个机场的网站无法访问，专家展开调查，推测可能是针对关键基础设施进行的大规模网络攻击。ADV机场协会的首席执行官证实，这些网站遭到了DDoS攻击。机场的其他系统没有受到影响。这起网络攻击事件发生的前一天，一次IT故障导致德国国家航空公司汉莎航空（Lufthansa）在法兰克福机场的数千名乘客取消和延误航班。机场管理人员证实，这些问题很可能是由恶意流量引起的。 8、HAProxy发布补丁修复HTTP请求走私漏洞 https://portswigger.net/daily-swig/http-request-smuggling-bug-patched-in-haproxy HAProxy是一款流行的开源负载均衡器和反向代理，它修补了一个漏洞，该漏洞使攻击者能够发起HTTP请求走私攻击。通过发送恶意制作的HTTP请求，攻击者可以绕过HAProxy的过滤器，并获得对后端服务器的未经授权访问。HAProxy维护者Willy Tarreau表示，自2019年6月发布的HAProxy 2.0版本以来，该漏洞就一直存在。Tarreau正在积极维护HAProxy的七个版本，并为所有这些版本发布了修复程序。 9、研究人员披露多款Arris路由器存在RCE漏洞 https://www.securityweek.com/newly-disclosed-vulnerability-exposes-eol-arris-routers-to-attacks/ Malwarebytes警告称，一个远程代码执行漏洞会影响多款Arris路由器，该漏洞被跟踪为CVE-2022-45701，是由于路由器固件没有正确中和请求中的特殊字符，这允许安全研究员可以执行shell脚本命令注入。受影响的型号已达到生命周期终止（EOL），不太可能收到补丁。该安全漏洞影响运行固件版本9.1.103的G2482A、TG2492和SBG10路由器，这些路由器在拉丁美洲和加勒比地区很常见 10、GoDaddy披露遭到黑客入侵并窃取了源代码 https://securityaffairs.com/142405/data-breach/godaddy-discloses-data-breach-2.html 网络托管公司GoDaddy披露攻击者窃取了源代码并在其服务器上安装了恶意软件。威胁行为者已经破坏了其cPanel共享托管环境，该公司表示无法确定最初入侵的时间，但是它仍在调查漏洞以确定事件的根本原因。安装在该公司系统上的恶意软件会间歇性地将随机客户网站重定向到恶意网站。GoDaddy透露，多年来有证据表明，这些威胁行为者与全球其他网络托管服务提供商的攻击有关。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Mirai V3G4 僵尸网络利用 13 个漏洞攻击物联网设备 https://securityaffairs.com/142358/malware/mirai-v3g4-botnet.html Palo Alto Networks Unit 42 研究人员报告称，一种名为 V3G4 的 Mirai 变体试图利用多个漏洞在 2022 年 7 月至 2022 年 12 月期间感染物联网设备。 威胁行为者的目标是感染尽可能多的系统以组成可用于进行多种攻击（包括 DDoS 攻击）的僵尸网络。 2、现代和起亚修补允许使用 USB 数据线盗窃汽车的漏洞 https://securityaffairs.com/142303/breaking-news/hyundai-kia-theft-usb-cable.html 汽车制造商现代汽车和起亚汽车正在为几种车型附带的软件推出紧急更新。该更新解决了一个漏洞，窃贼可以利用该漏洞窃取受影响的车辆。预估有 380 万辆现代汽车和 450 万辆起亚汽车受到影响。 3、奥克兰市遭勒索软件攻击后进入紧急状态 https://securityaffairs.com/142295/cyber-crime/city-of-oakland-emergency-ransomware.html 由于 2023 年 2 月 8 日袭击该市的勒索软件攻击的影响，奥克兰市已宣布当地进入紧急状态。出于谨慎考虑，奥克兰市已将受影响的系统下线，同时他们努力保护受影响的基础设施。 4、新的 MortalKombat 勒索软件用于经济动机的活动 https://securityaffairs.com/142319/cyber-crime/mortalkombat-ransomware.html 自 2022 年 12 月以来，思科 Talos 研究人员一直在观察一个身份不明的出于经济动机的威胁行为者部署了两种新的恶意软件，即最近发现的 MortalKombat 勒索软件和 Laplas Clipper 恶意软件的 GO 变体。威胁参与者正在互联网上扫描具有暴露的远程桌面协议 (RDP) 端口 3389 的系统。恶意软件活动针对个人、小型企业和大型组织，其最终目标是窃取或要求以加密货币支付赎金。 5、Firefox 更新补丁修复数十个高危漏洞 https://www.securityweek.com/firefox-updates-patch-10-high-severity-vulnerabilities/ Mozilla 本周宣布发布 Firefox 110 和 Firefox ESR 102.8，其中包含针对 10 个高危漏洞的补丁。 6、黑客利用谷歌广告传播伪装成主流应用的 FatalRAT 恶意软件 https://thehackernews.com/2023/02/hackers-using-google-ads-to-spread.html 被伪装的应用程序包括 Google Chrome、Mozilla Firefox、Telegram、WhatsApp、LINE、Signal、Skype、Electrum、搜狗拼音法、有道和 WPS Office；大多数受害者位于中国台湾、中国大陆和香港，其次是马来西亚、日本、菲律宾、泰国、新加坡、印度尼西亚和缅甸。 7、欧洲的数百个系统被发现感染了 ESXiArgs 勒索软件 https://securityaffairs.com/142336/cyber-crime/esxiargs-ransomware-infections.html Censys 的研究人员报告称，在新一波ESXiArgs 勒索软件攻击中，已有 500 多台主机被感染，其中大部分位于法国、德国、荷兰和英国。 8、黑客开始在攻击中使用 Havoc 后渗透框架 https://www.bleepingcomputer.com/news/security/hackers-start-using-havoc-post-exploitation-framework-in-attacks 安全研究人员发现威胁行为者正在转向一种新的开源命令和控制 (C2) 框架，称为 Havoc，以替代 Cobalt Strike 和 Brute Ratel 等付费工具。 9、思科安全产品更新修补了ClamAV中的严重漏洞 https://www.securityweek.com/critical-vulnerability-patched-in-cisco-security-products 思科周三宣布更新端点、云和网络安全产品，以解决第三方扫描库 ClamAV 中的一个严重漏洞。ClamAV 是一个开源的跨平台反恶意软件工具包，可以检测木马、病毒和其他类型的恶意软件。 10、网空对抗重大变量：俄罗斯拟豁免亲俄黑客行动的法律责任 https://www.secrss.com/articles/51894 自俄乌战争爆发以来，俄罗斯网络前线得到多个黑客组织的支持，其中一部分与俄官方关系密切，还有一些与国家利益保持着较为松散的独立状态，后一部分黑客组织在西方甚至是俄罗斯的法律条款中，已经属于网络罪犯，不过这种情况似乎正在改变。据俄罗斯广播电台 Govoritmoskva 在 2 月10 日报道称，杜马信息政策委员会正在考虑这类亲俄派黑客的“罪责”问题。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、新的MortalKombat勒索软件针对美国的系统 https://www.bleepingcomputer.com/news/security/new-mortalkombat-ransomware-targets-systems-in-the-us/ 黑客正在利用一种名为“MortalKombat”的Xortist商品勒索软件的变种，以及Laplas clipper进行网络攻击。这两种恶意软件感染都用于进行金融欺诈，勒索软件用于勒索受害者以获得解密器，而Laplas则通过劫持加密交易来窃取加密货币。Talos研究人员观察到的攻击主要集中在美国，英国、土耳其和菲律宾也有一些受害者。MortalKombat勒索软件于2023年1月首次被发现， 2、研究人员在451个PyPI软件包中发现clipper恶意软件 https://securityaffairs.com/142220/malware/451-clipper-malware-pypi.html Phylum的研究人员在官方Python包索引（PyPI）存储库中发现了超过451个独特的Python包，试图在开发人员系统上传播clipper恶意软件。据专家称，该活动仍在进行中，是他们在2022年11月发现的恶意活动的一部分。攻击者试图在包名的每一个可能的简单拼写错误中注册相同的代码。该过程简单且易于自动化。安装恶意软件包后，一个JavaScript文件将被放入系统中，并在任何web浏览会话的后台执行，允许每次开发人员复制加密货币地址时将其替换 3、大规模AdSense欺诈活动感染10890个网站 https://securityaffairs.com/142254/hacking/adsense-fraud-campaign-wordpress.html 2022年11月，安全公司Sucuri的研究人员报告称，追踪到WordPress恶意软件通过ois[.]is将网站访问者重定向到虚假问答网站的活动激增。自9月以来，他们已经在10890个受感染的网站上检测到这种活动。有超过70个新的恶意域名伪装成URL缩短器。被黑客攻击的网站流量被重定向到运行问答CMS的低质量网站。这些网站提出了与加密货币和区块链相关的讨论。威胁参与者的主要目标仍然是广告欺诈，通过将流量重定向到包含威胁参与者使用的 4、巴林机场和新闻网站遭黑客入侵导致无法正常运营 https://www.securityweek.com/hackers-target-bahrain-airport-news-sites-to-mark-uprising/ 一个自称为Al-Toufan的组织在网上发布的一份声明称，他们入侵了巴林国际机场网站，该网站在当天中午至少有半小时无法使用。黑客组织还声称已经关闭了巴林国家通讯社（Bahrain News Agency）的网站，该通讯社网站偶尔无法访问。该组织发布了显示504网关超时错误的图片，称此次黑客攻击“是为了支持我们受压迫的巴林人民的革命”。Al-Toufan组织还入侵并更改了巴林政府报纸《Akhbar Al Khaleej 5、Citrix 发布了针对其产品中多个高危漏洞的安全更新 https://securityaffairs.com/142287/hacking/citrix-high-severity-flaws.html Citrix 针对 Virtual Apps and Desktops 以及适用于 Windows 和 Linux 的 Workspace 应用程序中的多个高危漏洞发布了安全更新。 6、研究人员发现了一种名为 Beep 的新型恶意软件 https://securityaffairs.com/142263/hacking/beep-malware-highly-evasive.html Minerva 的研究人员最近发现了一种名为 Beep 的新型规避恶意软件，它实施了许多反调试和反沙盒技术。Beep 这个名字来自于通过使用 Beep API 函数延迟执行所涉及的技术。 7、英特尔发布补丁修复了产品中数十个漏洞 https://www.securityweek.com/dozens-of-vulnerabilities-patched-in-intel-products/ 英特尔本周宣布了针对其产品组合中数十个漏洞的补丁，包括严重和高严重性问题。这些缺陷中最严重的是 CVE-2021-39296（CVSS 得分为 10），它影响了多个英特尔平台的集成底板管理控制器 (BMC) 和 OpenBMC 固件。该漏洞于 2021 年在 netipmid (IPMI lan+) 接口中被发现，可能允许攻击者使用精心制作的 IPMI 消息绕过身份验证，从而获得对 BMC 的根访问权限。 8、最近修补的 IBM Aspera Faspex 漏洞被发现在野利用 https://www.securityweek.com/recently-patched-ibm-aspera-faspex-vulnerability-exploited-in-the-wild 使用 IBM 的 Aspera Faspex 文件传输解决方案的组织已收到警告，最近修补的漏洞正在被广泛利用。该安全漏洞被追踪为CVE-2022-47986并被归类为“高严重性”，是一个 YAML 反序列化漏洞，远程攻击者可以利用该漏洞使用特制的 API 调用执行任意代码。 9、APT37与一种名为M2RAT的新恶意软件关联 https://thehackernews.com/2023/02/north-koreas-apt37-targeting-southern.html 被追踪为APT37 的与朝鲜有关的威胁行为者与一种名为M2RAT的新恶意软件有关，该恶意软件针对其南部对手发起攻击，表明该组织的特征和策略在不断演变。 10、 黑客利用GoAnywhere MFT漏洞攻击导致CHS数据泄露 https://securityaffairs.com/142242/data-breach/community-health-systems-data-breach.html 社区卫生系统 (CHS) 披露了一起数据泄露事件，攻击者利用了 Fortra 的 GoAnywhere MFT 平台中的零日漏洞。社区卫生系统(CHS) 是美国领先的医疗保健提供者之一。CHS 经营着 79 家急症医院和 1,000 多个其他护理场所，包括执业医师、紧急护理中心、独立急诊室、职业医学诊所、影像中心、癌症中心和门诊手术中心。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、百事装瓶公司遭到网络攻击暂停部分受影响的系统 https://www.bleepingcomputer.com/news/security/pepsi-bottling-ventures-suffers-data-breach-after-malware-attack/ 百事装瓶公司（Pepsi Bottling Ventures LLC）遭到网络入侵，导致数据泄露并感染了信息窃取恶意软件，攻击者从其IT系统中窃取了数据。该公司解释说，违规事件发生在2022年12月23日，但直到2023年1月10日才被发现。百事公司称，“我们迅速采取行动遏制事件并保护我们的系统安全。 2、Cloudflare阻止了创纪录的7100万次RPS DDoS攻击 https://thehackernews.com/2023/02/massive-http-ddos-attack-hits-record.html Cloudflare周一披露，它阻止了一次创纪录的分布式拒绝服务（DDoS）攻击，该攻击的峰值为每秒7100多万次请求（RPS）。这也是迄今为止报告的最大的HTTP DDoS攻击，比谷歌云在2022年6月抵御的4600万次RPS DDoS攻击高出35%以上。Cloudflare表示，这些攻击针对的是受其平台保护的网站，它们来自一个僵尸网络，该僵尸网络包含属于众多的云提供商的30000多个IP地址。目标网站包括流行的游戏提供商、加密货币公司、托 3、苹果公司发布安全更新修复了被积极利用的零日漏洞 https://thehackernews.com/2023/02/patch-now-apples-ios-ipados-macos-and.html 苹果公司周一推出了针对iOS、iPadOS、macOS和Safari的安全更新，以解决一个被积极利用的零日漏洞。漏洞被跟踪为CVE-2023-23529，与WebKit浏览器引擎中的类型混淆错误有关，该错误可能在处理恶意制作的Web内容时被激活，最终导致任意代码执行。苹果公司表示，该漏洞已通过改进检查得到解决。目前尚不清楚该漏洞在现实世界的攻击中是如何被利用的。该公司还解决了内核中的use-after-free问题（CVE-2023-235 4、Korenix JetWave工业网络设备中存在3个安全漏洞 https://www.helpnetsecurity.com/2023/02/13/korenix-jetwave-industrial-vulnerabilities/ CyberDanube研究人员发现，在各种Korenix JetWave工业接入点和LTE蜂窝网关中的三个漏洞可能允许攻击者破坏它们的操作或将它们用作进一步攻击的立足点。这三个漏洞现在尚未分配CVE编号，包含设备web服务器中的两个命令注入漏洞和一个可能被触发以实现拒绝web服务的漏洞。这三个漏洞都要求攻击者在发起攻击之前进行身份验证。可以通过重新启动目标设备暂时解决拒绝web服务攻击，但攻击者可能会注入可以导致无限期危 5、印度社交媒体应用Slick由于配置错误暴露用户数据 https://techcrunch.com/2023/02/10/slick-social-media-app-data-exposed/ 来自CloudDefense.ai的安全研究员Anurag Sen发现了一个暴露的数据库，数据库属于印度社交媒体应用程序Slick。至少从12月11日开始，一个包含Slick用户全名、手机号码、出生日期和个人资料照片的数据库在没有密码的情况下在互联网上公开，其中还包括在校儿童的数据。由于配置错误，任何熟悉数据库IP地址的人都可以访问该数据库，该数据库在受到保护时包含超过153000名用户的条目。研究人员请求TechCrunch帮助将事件报告给这家社交媒 6、HTML走私活动冒充知名品牌来传播恶意软件 https://www.csoonline.com/article/3687630/html-smuggling-campaigns-impersonate-well-known-brands-to-deliver-malware.html Trustwave SpiderLabs 研究人员指出，HTML 走私活动越来越普遍，网络犯罪集团利用 HTML 的多功能性与社会工程相结合来分发恶意软件。 7、研究人员在 PyPI Python 包中发现混淆的恶意代码 https://thehackernews.com/2023/02/researchers-uncover-obfuscated.html 研究人员已发现Python 包索引 ( PyPI ) 中的四个不同流氓包执行许多恶意操作，包括投放恶意软件、删除 netstat 实用程序和操纵 SSH authorized_keys 文件。 8、黑客使用新的IceBreaker恶意软件攻击博彩公司 https://www.4hou.com/posts/ykKE 黑客们近期一直在攻击在线博彩公司，他们使用了一种似乎前所未见的后门，研究人员将其命名为IceBreaker（“破冰船”）。 9、微软周二更新修复76个漏洞，并警告称一些漏洞已被利用 https://www.securityweek.com/patch-tuesday-microsoft-warns-of-exploited-windows-zero-days/ 微软星期二发布软件更新，以修复 Windows 和操作系统组件中至少 76 个漏洞，该公司警告说，一些漏洞已经在野外被利用。微软的安全响应团队标记了 76 个记录在案的缺陷中的三个，这些缺陷属于已被利用的类别，通常指的是野外的零日恶意软件攻击。 10、GoAnywhere MFT 零日漏洞已导致全球130多家企业被攻击 https://www.freebuf.com/news/357487.html 据BleepingComputer 2月10日消息，Clop 勒索软件组织最近利用 GoAnywhere MFT 安全文件传输工具中的零日漏洞，从 130 多个企业组织中窃取了数据。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、恶意Npm包使用误植域名技术下载恶意软件 https://www.infosecurity-magazine.com/news/malicious-npm-package-uses/ ReversingLabs的安全研究人员在开源JavaScript npm存储库中发现了一个名为“aabquerys”的包，它使用误植域名技术来支持恶意组件的下载。研究人员表示，恶意包由两个文件组成，其中一个通过JavaScript混淆器进行了混淆处理。当在PC上打开恶意该文件时，会显示一条虚假的网络浏览器崩溃消息和一个链接，该链接会导致下载已在多个恶意软件活动中使用的第二阶段恶意软件。然后又侧加载了一个动态链接库（DLL）文件，该文件下载了第三阶段的 2、以色列理工学院遭DarkBit勒索软件团伙攻击 https://securityaffairs.com/142160/hacking/israeli-technion-suffered-ransomware-attack.html 以色列理工学院（Technion -Israel Institute of Technology）2023年2月12日周日遭到黑客入侵，一个自称DarkBit的威胁行为者声称对周日入侵该研究所的勒索软件攻击负责。DarkBit组织要求80比特币用于解密，但专家指出，黑客团队似乎是出于政治动机，即使满足了要求，他们也不太可能提供解密密钥。Darkbit威胁称，如果Technion拒绝在48小时内支付所要求的金额， 3、域名注册商Namecheap的电子邮件账户遭黑客入侵 https://www.bleepingcomputer.com/news/security/namecheaps-email-hacked-to-send-metamask-dhl-phishing-emails/ 域名注册商Namecheap的电子邮件帐户在周日晚上遭到破坏，导致大量MetaMask和DHL网络钓鱼电子邮件泛滥，试图窃取收件人的个人信息和加密货币钱包。网络钓鱼活动始于美国东部时间下午4:30左右，起源于Namecheap过去用来发送续订通知和营销电子邮件的电子邮件平台SendGrid。此活动中发送的网络钓鱼邮件冒充DHL或MetaMask。DHL钓鱼邮件伪装成完成包裹递送 4、黑客组织 Killnet 以北约网站为目标发起 DDoS 攻击 https://securityaffairs.com/142192/hacking/killnet-targets-nato-websites.html 黑客组织 Killnet 对北约服务器发起分布式拒绝服务 (DDoS) 攻击，包括北约特种作战总部 (NSHQ) 网站。 5、微软ChatGPT版必应被黑：全部Prompt泄露 https://mp.weixin.qq.com/s/89KeLjDoS9IyArIr8z6jjg 2 月 8 号上线的全新必应正在进行限量公测，用户可以申请在其上与 ChatGPT 交流。但没多久，有研究员发现了用来为 Bing Chat 设置条件的 prompt。 6、疑GhostSec黑客再出手，攻陷伊朗37个Modbus系统 https://www.secrss.com/articles/51809 据名为CyberKnow的推特账户2月10日发帖称，GhostSec黑客在近日支持Iran（OpIran）国内的抗议活动中，再次对Iran的工业系统下手，据其自称已攻陷37个Modbus系统，并使这些系统下线。 7、CISA 发布解密工具后出现新的 ESXiArgs 勒索软件变体 https://thehackernews.com/2023/02/new-esxiargs-ransomware-variant-emerges.html 在美国网络安全和基础设施安全局 (CISA) 为受影响的受害者发布一个解密器以从ESXiArgs 勒索软件攻击中恢复后，威胁行为者又用一个加密更多数据的更新版本。 8、奥克兰市遭受勒索软件攻击 https://www.securityweek.com/city-of-oakland-hit-by-ransomware-attack/ 奥克兰市披露了一次勒索软件攻击，该攻击影响了多个非紧急系统。 9、英国和美国因勒索软件攻击而制裁7名俄罗斯人 https://thehackernews.com/2023/02/uk-and-us-sanction-7-russians-for.html 在首次协调行动中，英国和美国政府9日对七名俄罗斯国民实施了制裁，因为他们与TrickBot，Ryuk和Conti网络犯罪行动有联系。 10、TA866黑客组织针对美国和德国公司 https://thehackernews.com/2023/02/hackers-targeting-us-and-german-firms.html 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。