1、研究人员发现新型新型Android银行木马-Chameleon https://blog.cyble.com/2023/04/13/chameleon-a-new-android-malware-spotted-in-the-wild/Cyble Research & Intelligence Lab (CRIL) 根据恶意软件使用的命令识别出一种新型Android银行木马，将其称为“Chameleon”，主要因为该恶意软件似乎是一种新变种，并且似乎与任何已知的木马家族无关。该木马自 2023 年 1 月以来一直活跃，专门针对澳大利亚和波兰的用户进行观察。研究人员对该木马进行了技术分析并给出防护建议。 2、Android和Novi Survey漏洞正在被积极利用 https://thehackernews.com/2023/04/severe-android-and-novi-survey.html美国网络安全和基础设施安全局 (CISA) 已将两个漏洞添加到其已知利用漏洞 (KEV) 目录中。CISA在 CVE-2023-20963 的公告中表示：“Android Framework 包含一个未指明的漏洞，该漏洞允许在将应用程序更新到更高的 Target SDK 后进行权限提升，而无需额外的执行权限。”添加到 KEV 目录的第二个漏洞与Novi Survey软件中的不安全反序列化漏洞有关，该漏洞允许远程攻击者在服务帐户的上下文中在服务器上执行代码。 3、网络安全公司Darktrace公司驳斥LockBit 3.0声称的入侵行为 https://www.hackread.com/lockbit-3-0-ransomware-darktrace-cybersecurity-firm/Darktrace是一家领先的网络安全公司，以其 AI 驱动的威胁检测和响应解决方案而闻名。LockBit 3.0 声称已经入侵Darktrace，并在其门户网站上公开被盗数据，但点击该链接只会将重定向到Darktrace的官方网站。Darktrace迅速驳回了 LockBit 3.0 的声明，“我们的安全团队对我们的内部系统进行了全面审查，没有发现任何妥协的迹象。” 4、谷歌紧急修复了被利用的Chrome零日漏洞 https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/谷歌发布了一项紧急的Chrome安全更新，以应对今年以来首个被攻击利用的零日漏洞CVE-2023-2033。这个新版本将在未来几天或几周内向稳定桌面渠道的用户推出，并将解决Windows、Mac和Linux系统上的漏洞。 5、Vice Society勒索组织开发新的数据窃取工具 https://www.bleepingcomputer.com/news/security/vice-society-ransomware-uses-new-powershell-data-theft-tool-in-attacks/勒索软件组织Vice Society最近开发了一款复杂的PowerShell脚本，用于自动化从被攻击的网络中窃取数据。该工具的设计旨在隐蔽，不太可能触发安全软件的警报。且该脚本不需要任何参数，有一个主要的排除和包含列表来精确确定攻击哪些文件。该工具具有多进程和进程排队功能，以使其足迹小，活动隐蔽。 6、BlackCat勒索软件声称攻击NCR并导致其系统中断 https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/NCR是一家美国软件和技术咨询公司，为餐厅、企业和零售商提供数字银行、POS 系统和支付处理解决方案。他们的产品之一，用于酒店服务的Aloha POS平台，自周三以来出现故障，客户无法使用该系统。NCR4月15日透露，中断是由勒索软件攻击造成的。研究人员在BlackCat勒索软件组织的数据泄露网站上发现了一个短暂的帖子，该组织声称对此负责。 7、研究人员发现新的Android恶意库Goldoson，相关应用下载超亿次 https://securityaffairs.com/144838/malware/goldoson-malicious-library-google-play.htmlGoldoson库会收集设备上安装的应用程序列表，以及Wi-Fi和蓝牙设备信息的历史记录，包括附近的GPS位置。第三方库可以在未经用户同意的情况下，通过点击后台广告进行广告欺诈。在Google Play中发现了60多个包含该恶意库的应用程序。这些应用程序在韩国的ONE商店和Google Play商店的总下载量超过 亿次。 8、黑客滥用Action1 RMM进行勒索攻击 https://www.bleepingcomputer.com/news/security/hackers-start-abusing-action1-rmm-in-ransomware-attacks/Action1是一种远程监控和管理 (RMM) 产品，托管服务提供商 (MSP) 和企业通常使用它来远程管理网络上的端点。该软件允许管理员自动进行补丁管理和安全更新部署、远程安装软件、对主机进行分类、解决端点问题以及获取实时报告。安全研究人员警告说，网络攻击者越来越多地使用Action1远程访问软件在受感染的网络上持久存在并执行命令、脚本和二进制文件。 9、西门子Metaverse暴露了企业敏感数据 https://securityaffairs.com/144832/security/siemens-metaverse-data-leak.html西门子Metaverse是一个虚拟空间，用于镜像真实的机器、工厂和其他高度复杂的系统，最近，Cybernews研究团队发现，西门子Metaverse暴露了敏感数据，包括公司的办公计划和物联网 (IoT) 设备，如果攻击者获得了暴露的数据，可能会对该公司和其他使用其服务的公司造成威胁，其中包括勒索软件攻击。 10、研究人员发现首款针对 macOS 系统的 LockBit 加密器 https://securityaffairs.com/144879/cyber-crime/lockbit-encryptor-targets-macos.html研究人员警告说，LockBit 勒索软件团伙已经开发出针对 macOS 设备的加密器。MalwareHunterTeam 团队警告称，LockBit 组织是有史以来第一个针对 macOS 系统创建加密器的勒索软件团伙。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、DDoS攻击转移到VPS以增强构建能力 https://www.bleepingcomputer.com/news/security/ddos-attacks-shifting-to-vps-infrastructure-for-increased-power/ 据安全公司Cloudflare称，2023 年第一季度的超容量 DDoS（分布式拒绝服务）攻击已从依赖受感染的物联网设备转变为利用被破坏的虚拟专用服务器 (VPS)。新一代僵尸网络逐渐放弃了构建大量单独薄弱物联网设备的策略，现在正转向使用泄露的API凭据或已知漏洞利用易受攻击和配置错误的VPS服务器。这种方法可帮助威胁行为体更轻松、更快速地构建高性能僵尸网络，其强度比基于 2、Kyocera Android打印应用存在漏洞可能用于投放恶意软件 https://www.bleepingcomputer.com/news/security/kyocera-android-app-with-1m-installs-can-be-abused-to-drop-malware/ 根据JVN（Japanese Vulnerability Notes）的安全通知，Kyocera Android打印应用程序允许来自恶意第三方移动应用程序的数据传输，这可能导致恶意文件被下载。并且，通过使用KYOCERA Mobile Print网络浏览器功能，可以访问恶意站点并下载和执行恶意文件，从而获取移动设备的内部信息。Kyocera就此问题发布了一份安全公告 3、沃尔沃零售商客户信息遭泄露，涉及大量敏感文件 https://www.freebuf.com/news/363499.html 汽车制造巨头沃尔沃的巴西零售部门泄露了一些敏感文件，致使其在南美国家的客户处于危险之中。 4、海康威视存储解决方案中的严重漏洞可能暴露视频数据 https://www.securityweek.com/critical-vulnerability-in-hikvision-storage-solutions-exposes-video-security-data/ 海康威视修补了 CVE-2023-28808，这是一个严重的身份验证绕过漏洞，可暴露存储在其混合 SAN 和集群存储产品上的视频数据。 5、微软共享了如何检测BlackLotus UEFI Bootkit https://www.securityweek.com/microsoft-shares-resources-for-blacklotus-uefi-bootkit-hunting/ 微软分享了有关威胁猎手如何检查其系统是否存在 BlackLotus UEFI bootkit 感染的详细信息。 6、恶意 ChatGPT 和 Google Bard 安装程序分发 RedLine Stealer https://www.hackread.com/chatgpt-google-bard-installers-redline-stealer/ 当受害者安装来自其中一个赞助广告的恶意文件时，他们的设备就会被 RedLine 信息窃取程序劫持，然后窃取机密数据、破坏关键基础设施并危及金融账户。 7、WhatsApp 推出新的设备验证功能以防止帐户接管攻击 https://thehackernews.com/2023/04/whatsapp-introduces-new-device.html WhatsApp 周四宣布了一项新的帐户验证功能，可确保在用户移动设备上运行的恶意软件不会影响他们的帐户。 8、谷歌推出新的网络安全计划以加强漏洞管理 https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html 谷歌周四概述了一系列旨在改善漏洞管理生态系统并围绕漏洞利用建立更高透明度措施的举措。 9、SD Worx在网络攻击后关闭英国和爱尔兰服务 https://securityaffairs.com/144629/hacking/sd-worx-suffered-cyberattack.html 人力资源和薪资管理公司SD Worx在网络攻击后关闭了其英国和爱尔兰服务的IT系统。 10、首度公开！美国网军申请超6亿元建设网络攻击关键平台 https://www.secrss.com/articles/53699 美国网络司令部申请8940万美元(约合人民币6.14亿元)预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数字。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、现代汽车遭遇数据泄露，影响了法国和意大利的客户 https://securityaffairs.com/144732/data-breach/hyundai-suffered-data-breach.html 现代汽车披露了一起影响意大利和法国车主和预订试驾客户的数据泄露事件 2、QuaDream 监控公司的间谍软件使用零点击漏洞攻击 iPhone https://securityaffairs.com/144723/malware/quadream-spyware.html Microsoft和Citizen Lab发现了一家以色列公司QuaDream制造的商业间谍软件，该软件使用名为ENDOFDAYS（隐形 iCloud 日历邀请）的零日漏洞来破坏高风险个人的iPhone。其会在没有任何通知或提示的情况下自动添加到用户的日历中，从而允许在没有用户交互的情况下运行，并且无法检测到攻击。该漏洞影响2021年1月至2021年11月期间运行 iOS 1.4 至 14.4.2 的iPhone。 3、OpenAI 启动了漏洞赏金计划 https://securityaffairs.com/144707/security/openai-launched-bug-bounty-program.html 人工智能公司 OpenAI 启动了漏洞赏金计划，并宣布为其 ChatGPT 聊天机器人服务中的安全漏洞悬赏高达 20,000 美元。 4、韩国交易所GDAC遭到黑客攻击，价值超1300万美元数字货币被盗 https://www.hackread.com/south-korea-exchange-gdac-hack-crypto/ GDAC CEO Han Seunghwan于2023年4月10日发布公告，透露攻击发生在2023年4月9日上午，黑客控制了交易所的部分在线钱包。被盗的加密货币包括61个比特币、350.5 个以太币、1000 万个WEMIX游戏货币和价值220000美元的Tethers，整体价值约1390万美元。为应对此次攻击，GDAC已暂停所有充提业务，并启动紧急服务器维护，还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款。 5、攻击者利用Windows日志系统零日漏洞部署Nokoyawa勒索软件 https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/ Microsoft修补了Windows通用日志文件系统 (CLFS) 中的一个零日漏洞（ CVE-2023-28252 ），网络犯罪分子积极利用该漏洞提升权限并部署Nokoyawa勒索软件有效载荷。虽然大多数零日漏洞都被APT组织使用，但这个特殊的零日漏洞被一个复杂的网络犯罪集团使用，该组织进行勒索软件攻击。当前已经确定了五种不同的攻击方式，用于攻击零售和批发、能源、制造、医疗保健、软件开发和其他行业。 6、SAP针对两个严重漏洞发布安全更新 https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-for-two-critical-severity-flaws/ 企业软件供应商SAP已发布其多款产品的2023年4月安全更新，其中包括对影响SAP Diagnostics Agent 和SAP BusinessObjects Business Intelligence Platform的两个严重漏洞的修复。SAP 总共发布了24 条说明，其中19 条涉及不同重要性的新问题，另外 5 条是对先前公告的更新。 7、加拿大云计算独角兽泄露WordPress管理员凭据、源代码和备份 https://cybernews.com/security/freshbooks-leaks-wordpress-credentials/ 一家拥有超过 30 万用户的流行会计软件提供商泄露了他们的 WordPress 管理员的凭据、源代码和服务器备份，冒着威胁行为者劫持其网站的风险。 8、美国“情报和国家安全联盟”提出五条“网络民参军路径” https://www.secrss.com/articles/53619 美国民间贸易协会就加强美国进攻性网络能力提出建议。 9、开源家庭影院软件Kodi的400,000 名用户遭受数据泄露 https://www.securityweek.com/400000-users-hit-by-data-breach-at-media-player-maker-kodi/ 黑客窃取了包含用户帖子、消息和登录凭据的数据库。开源家庭影院软件开发商 Kodi 本周宣布，在 2023 年 2 月发生数据泄露事件后，它已开始重建其用户论坛。 10、乌克兰黑客入侵APT28领导人的电子邮件 https://www.hackread.com/ukraine-hackers-breach-apt28-fbi-wanted-hacker/ 乌克兰黑客组织Cyber Resistance，又名乌克兰网络联盟，声称已经入侵了俄罗斯GRU军官谢尔盖·亚历山德罗维奇·莫尔加乔夫中校 (Sergey Aleksandrovich Morgachev) 的电子邮件、社交媒体和个人账户。这些信息与名为InformNapalm的志愿情报社区共享。Morgachev是俄罗斯黑客组织APT28的领导人，APT28或Fancy Bear是俄罗斯政府支持的黑客组织，以针对其目标使用鱼叉式网络钓鱼活动而臭名昭 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x01 攻击简介 DNS Rebinding也叫做DNS重绑定攻击或者DNS重定向攻击。在这种攻击中，恶意网页会导致访问者运行客户端脚本，攻击网络上其他地方的计算机。 在介绍DNS Rebinding攻击机制之前我们先了解一下Web同源策略， Web同源策略 同源策略（英语：Same-origin policy）是指在Web浏览器中，允许某个网页脚本访问另一个网页的数据，但前提是这两个网页必须有相同的URL、主机名和端口号，一旦两个网站满足上述条件，这两个网站就被认定为具有相同来源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据，比如XSS，XXE，SSRF等基于网页上的恶意脚本攻击。 同源的定义：如果两个 URL 的 协议、域名、端口都相同的话，则这两个 URL 是同源。 同源策略对Web应用程序具有特殊意义，因为Web应用程序广泛依赖于HTTP cookie来维持用户会话(session)，所以必须将不相关网站严格分隔，以防止丢失数据泄露。 值得注意的是同源策略仅适用于脚本，这意味着某网站可以通过相应的HTML标签访问不同来源网站上的图像、CSS和动态加载 脚本等资源。而跨站请求伪造(CSRF)就是利用同源策略不适用于HTML标签的缺陷。 所以从理论上来讲，同源策略是能够有效的保证：客户端脚本只能访问为脚本提供服务的同一主机上的内容。 至此如何绕过Web同源策略也成了众多hacker研究的地方。 0x02 攻击原理： 这里说一下利用的TTL是什么： TTL是英语Time-To-Live的简称，意思为一条域名解析记录在DNS服务器中的存留时间。当各地的DNS服务器接受到解析请求时，就会向域名指定的NS服务器发出解析请求从而获得解析记录；在获得这个记录之后，记录会在DNS服务器中保存一段时间，这段时间内如果再接到这个域名的解析请求，DNS服务器将不再向NS服务器发出请求，而是直接返回刚才获得的记录；而这个记录在DNS服务器上保留的时间，就是TTL值。 即TTL的数值越小，修改记录后所受的影响生效越快。 这里我们可以来构造一个DNS 重绑定的案例： 例如，要在192.168.32.10和127.0.0.1之间切换，我们可以将他们编码为dwords，使用https://lock.cmpxchg8b.com/rebinder.html工具： 7f000001.c0a8200a.rbndr.us 接下来，我们测试一下： # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 127.0.0.1 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 127.0.0.1 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 127.0.0.1 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 192.168.32.10 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 127.0.0.1 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 127.0.0.1 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 192.168.32.10 # host 7f000001.c0a8200a.rbndr.us 7f000001.c0a8200a.rbndr.us has address 127.0.0.1                                                   由此就达到了一个DNS 重绑定的效果。 0x03 攻击机制 攻击者无法控制名称服务器的载体，所有解析主机名（或 IP 地址，仍然是有效主机名）的请求都被重定向到由攻击者控制和操作的备用名称服务器。例如，如果我们有一个网址为 www.example-a.com 的网站，并且我们想要访问私有内部域邮件服务器或只能通过该特定私有 IP 地址访问的其他服务，则可以使用 DNS 重新绑定攻击来伪造这些地址之一。 0x04 攻击示例 攻击者注册一个域名，例如 IP 地址为 1.3.5.7 的 www.evil.com，将其委托给自己的 DNS 服务器（1.3.5.4），并使用钓鱼链接或电子邮件获取 HTTP 流量。 DNS 服务器没有发送正常的 TTL 记录，而是发送了一个非常短的 TTL 记录（例如，1 秒），防止条目 [www.evil.com, 1.3.5.7] 的 DNS 响应被缓存在受害者的（192.168.1.10 ) 浏览器。 对手的服务器首先用包含服务器 IP 地址 (1.3.5.7) 的JavaScript 等恶意脚本响应受害者。 对手使用 XMLHttpRequest (XHR) 将 HTTP 请求或 HTTPS 请求直接发送到对手的服务器并加载响应。 恶意脚本允许对手将主机名重新绑定到防火墙后面的目标服务器的 IP 地址 (192.168.1.2)。 然后服务器响应对手的真实目标，即与受害者（192.168.1.10）同域的内部主机IP（192.168.1.2）。 由于同一个名称解析为这两个 IP 地址，浏览器会将这两个 IP 地址（1.3.5.7 和 192.168.1.2）置于同一安全区域并允许信息在地址之间流动。 此外，攻击者可以通过发送多个短期IP地址来实现扫描和访问受害者本地网络（192.168.XX）中的所有内部主机。 0x05 攻击危害 DNS Rebinding可以通过让受害者的Web浏览器访问专用IP地址的机器并将结果返回给攻击者来破坏专用网络。 它也可以用于使用受害者机器发送垃圾邮件，分布式拒绝服务攻击（DDOS）或其他恶意活动，也就是我们常听说的肉机和僵尸机。 0x04-1 通过 DNS 重新绑定攻击进行网络渗透测试： 在某些情况下，用户会被诱骗使用这些网（例如，私人电子邮件服务器）创建网络钓鱼网站。由于发送到被劫持 URL 的所有流量现在都被发送回原始服务器，因此它变得完全混乱并迫使用户安装网络钓鱼页面。 以此来达到获取用户信息或者是用户权限的作用。 0x06 将DNS Rebinding应用到实际漏洞挖掘 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4096漏洞描述：1.8.2 之前的 GitHub 存储库 appsmithorg/appsmith 中的服务器端请求伪造 (SSRF) 复现链接：https://infosecwriteups.com/ssrf-via-dns-rebinding-cve-2022-4096-b7bf75928bb2 CVE-2023-26492 漏洞描述：Directus 是用于管理 SQL 数据库内容的实时 API 和应用程序仪表板。当从远程 Web 服务器导入文件（POST 到 /files/import）时，Directus 容易受到服务器端请求伪造 (SSRF) 的攻击。攻击者可以通过执行 DNS 重新绑定攻击并查看来自内部服务器的敏感数据或执行本地端口扫描来绕过安全控制。攻击者可以利用此漏洞访问高度敏感的内部服务器并窃取敏感信息。此问题已在版本 9.23.0 中修复。 CVE链接：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26492 CVE-2022-43548 漏洞描述：由于 IsAllowedHost 检查不充分，Node.js 版本 <14.21.1、<16.18.1、<18.12.1、<19.0.1 中存在操作系统命令注入漏洞，该漏洞很容易被绕过，因为 IsIPAddress 没有正确检查 IP在发出允许重新绑定攻击的 DBS 请求之前地址无效。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中针对此问题的修复不完整，这个新的 CVE 是为了完成修复。 CVE链接：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43548 针对CVE-2022-43548和CVE-2023-26492后续会有完整的复现过程文章，期待一下~

尊敬的各位用户： 感谢您对蚁景网安实验室产品的关注和支持。我们很高兴地宣布，我们的新产品“CTF训练营”将于2023年4月12日开始公测，公测时间为4月12日至4月30日。在此期间，我们将提供免费的使用体验和技术支持，欢迎广大网络安全爱好者前来参与和反馈。 “CTF训练营”是一款云端在线CTF训练服务系统，提供大量原创题和各大比赛的题目供练习。系统提供Web、Reverse、PWN、Crypto、Misc五大方向的题型训练，主要考察训练人员理论知识和专项攻防技术的掌握程度。训练人员可以通过离线分析或在线交互，克服技术挑战获取Flag提交验证。系统支持最多千人同时在线训练，且赛题持续更新。 以下是“CTF训练营”产品公测的相关信息： 产品名称：CTF训练营 产品URL:   https://ctf.yijinglab.com 公测时间：2023年4月12日-4月30日 产品用户：网络安全爱好者 产品功能：提供原创题和各大比赛的题目供练习实操，涵盖Web、Reverse、PWN、Crypto、Misc五大方向的题型训练。 产品优势：丰富的题目资源，多方向的题型训练，在线交互和离线分析相结合，支持千人同时在线训练，赛题持续更新。 公测反馈：蚁景网安实验室在线客服QQ：2292620539 我们相信，“CTF训练营”将成为广大网络安全爱好者学习和提升技能的重要平台。欢迎您的加入和反馈！ 蚁景网安实验室-“CTF训练营”开发团队 2023年4月12日

1、黑客对以色列关键基础设施进行新一轮网络攻击 https://www.hackread.com/israel-cyberattacks-hit-critical-infrastructure/ 近日以色列再次成为黑客的目标，针对该国主要机构网站（包括航空公司、交通、邮政和灌溉系统的网站）的网络攻击激增。其中以色列的灌溉系统遭到了一系列网络攻击，导致数个水监测器在4月9日发生故障。据推测这些网络攻击可能是OpIsrael年度活动的一部分，该活动由反国家黑客组织在每年四月举行，主要目的是破坏以色列的关键基础设施。 2、攻击者利用NPM存储库提高搜索排名以传播恶意软件 https://thehackernews.com/2023/04/hackers-flood-npm-with-bogus-packages.html 攻击者利用开源存储库在搜索引擎结果中排名较高的事实来创建流氓网站，并上传空的npm模块，并在README.md文件中包含指向这些站点的链接。这些伪造的包淹没了Node.js的npm开源包存储库，甚至短暂地导致了拒绝服务 (DoS) 攻击。本次攻击的最终目标是用RedLine Stealer、Glupteba、SmokeLoader和加密货币矿工等恶意软件感染受害者的系统。 3、Trigona勒索软件攻击MS-SQL服务器 https://asec.ahnlab.com/ko/51168/ 安全厂商(ASEC) 最近确认，Trigona勒索软件被安装在管理不当的MS-SQL服务器上。管理不当的MS-SQL服务器是指暴露于外界环境，仅通过设置账户信息就容易受到暴力破解的环境。如果攻击者登录成功，系统的控制权就会转移给攻击者，并可以安装恶意代码或执行恶意命令。 4、经改装的公共电源插座可能会窃取个人数据 https://www.zdnet.com/article/fbi-warns-of-juice-jacking-charging-stations-in-public-areas-how-to-stay-protected/ FBI 表示，公共电源插座正在被非法改装以窃取用户手机数据。安全起见，建议选择是便携式充电设备，为智能手机、平板电脑、笔记本电脑等充电，或者使用US 数据拦截器充电，它通过取消传统上在USB电缆上找到的数据线来实现这种安全性。可以在物理上阻止插座和设备之间的任何数据传输。 5、拥有肯德基、必胜客和塔可钟品牌的 Brands 公司披露数据泄露 https://securityaffairs.com/144676/data-breach/yum-brands-data-breach.html 拥有肯德基、必胜客和塔可钟品牌的 Brands 公司在 1 月份的勒索软件攻击后披露了一起数据泄露事件。 6、Microsoft Azure 中的“By-Design”漏洞可允许存储帐户接管 攻击者可以利用 Microsoft Azure 中的一个缺陷来访问存储帐户、执行横向移动，甚至执行远程代码。研究人员演示了如何滥用 Microsoft Azure共享密钥授权来获得对存储帐户和潜在关键业务资产的完全访问权限。该问题也可能被滥用以在环境中横向移动，甚至执行远程代码。 7、微软修补了一个已经被利用的 Windows 零日漏洞 https://www.securityweek.com/microsoft-patches-another-already-exploited-windows-zero-day/ 该漏洞被 Mandiant 的研究人员标记为零日漏洞，被描述为 Windows 通用日志文件系统驱动程序中的特权提升问题。在记录CVE-2023-28252的公告中，Redmond 警告说，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 8、国家网信办发布《生成式人工智能服务管理办法（征求意见稿）》 https://www.freebuf.com/news/363195.html 为促进生成式人工智能技术健康发展和规范应用，4月11日，国家网信办发布《生成式人工智能服务管理办法（征求意见稿）》（以下简称《管理办法》）。 9、瑞友天翼应用虚拟化系统存在远程代码执行漏洞 https://www.secrss.com/articles/53592 近日，奇安信CERT监测到瑞友天翼应用虚拟化系统远程代码执行漏洞，未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码。鉴于该漏洞影响范围较大，建议客户尽快升级到安全版本。 10、3CX 确认供应链攻击背后的朝鲜APT组织 https://www.freebuf.com/articles/system/362686.html VoIP 通信公司 3CX 证实，一个朝鲜APT组织是上个月供应链攻击的幕后黑手。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x1前言 在打野的时候意外发现了一个站点存在springboot信息泄露，之前就有看到一些文章可以直接rce啥的，今天刚好试试。通过敏感信息发现存在accesskey泄露，就想直接通过解密，获取敏感信息，接管云平台。 首先说下这个漏洞的产生。主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险，或者没有按照标准流程开发，忘记上线时需要修改/切换生产环境的配置。我们是可以通过访问/v2/api-docs和/swagger-ui.html去验证是否存在的。 0x2漏洞利用 本次我们想获取/actuator/env里面的明文信息，那么有三种方法可以获取。 第一种：通过/jolokia接口获取明文 利用条件： 目标网站存在 /jolokia 或 /actuator/jolokia 接口 目标使用了 jolokia-core 依赖（版本要求暂未知） 第二种：通过/env接口发送明文到你vps上 可以 GET 请求目标网站的 /env 可以 POST 请求目标网站的 /env 可以 POST 请求目标网站的 /refresh 接口刷新配置（存在spring-boot-starter-actuator依赖） 目标使用了 spring-cloud-starter-netflix-eureka-client 依赖 目标可以请求攻击者的服务器（请求可出外网） 第三种：和第二种差不多，只是方式不一样 通过 POST /env 设置属性触发目标对外网指定地址发起任意 http 请求 目标可以请求攻击者的服务器（请求可出外网） 第四种：通过/heapdump下载到本地解密 1、可正常 GET 请求目标 /heapdump 或 /actuator/heapdump 接口 而我这边采用第四种方法去获取。先下载一个heapdump文件。 其实我看了好多篇文章，使用jvisualvm.exe尝试去解开heapdump，但是都无法正常获取，可能也是我操作有问题，后续使用EclipseMemory Analyzer，完美解决。 使用Eclipse Memory Analyzer去查询对应的字段：  select * from java.util.LinkedHashMap $Entry x WHERE (toString(x.key).contains("accessKeySecret")) 注意：这边默认是不支持模糊查询的，必须字段完全匹配才能查询到字段。如仅输入accessKey是查询不到accessKeySecret的字段值的。 0x3接管云平台 成功获取accessKeySecret和accessKeyId后，接下来我们就可以使用cf进行接管云平台了。 链接：https://github.com/teamssix/cf 使用cf config配置accessKeySecret和accessKeyId： 配置完直接一键接管：cf alibaba console 这边会生成地址和账号密码，拿去登录即可获取云平台账号权限： 这边可以看到，他是有5台服务器实例的，直接获取5台服务器权限。 0x4结尾 其实我之前不只尝试了第四种，而是被迫使用第四种方式获取明文信息。尝试前面三种，都是以500报错结束，具体也不知道是什么原因，有大佬知道的可以教一下。 本文其实只是想让大家了解一下一些漏洞和一些信息泄露的用法，其实很多东西都是没有含金量的，说破不值钱。自己最近接触了很多刚开始学习安全的人，都不知道从何入手。对于刚刚开始学习的人，个人建议可以多看看漏洞原理和别人的文章，从中吸取经验和渗透思路，很多实力其实都是经验累积出来的。可能有时候看到别人文章，会觉得就是一帆风顺的，很简单，但是其实很多人只是没把自己走了多少弯路，踩了多少坑说出来罢了。本人也只是刚开始摸索的小白，本身学习是学无止境的，纯靠兴趣去驱动。

1、黑客使用 Rilide 浏览器扩展绕过 2FA，窃取加密货币 https://www.bleepingcomputer.com/news/security/hackers-use-rilide-browser-extension-to-bypass-2fa-steal-crypto/ 安全研究人员发现了一种名为 Rilide 的新恶意浏览器扩展，该扩展针对基于 Chromium 的产品，如 Google Chrome、Brave、Opera 和 Microsoft Edge。 2、荷兰政府要求使用RPKI防止BGP劫持 https://www.bleepingcomputer.com/news/security/all-dutch-govt-networks-to-use-rpki-to-prevent-bgp-hijacking/ 荷兰政府将通过在2024年底之前采用资源公钥基础设施 (RPKI) 标准来升级其互联网路由的安全性。该标准使用数字证书来保护用于交换路由信息的边界网关协议 (BGP)，并确保流量来自控制目标路径上IP地址并为合法网络运营商。实施 RPKI 的网络可以确信互联网流量仅通过授权路径路由，从而消除中间人或其他数据转移和拦截攻击的风险。 3、安全厂商发现通过邮件传播Qakbot攻击活动 https://asec.ahnlab.com/ko/51109/ AhnLab安全紧急响应中心 (ASEC) 发现使用电子邮件附加恶意PDF文件分发Qakbot恶意软件的攻击活动。Qakbot被称为银行类恶意代码，是通过各种媒体不断传播的恶意代码之一，ASEC过去曾介绍过该恶意代码的分布趋势。本文主要是介绍在韩国发现的通过邮件附件传播恶意软件的新的攻击活动。 4、CISA 将苹果设备中的零日漏洞添加到其已知被利用漏洞目录中 https://securityaffairs.com/144638/security/apple-flaws-cisa-known-exploited-vulnerabilities-catalog.html 美国网络安全和基础设施安全局 (CISA) 将 iPhone、Mac 和 iPad 中的两个漏洞添加到其已知被利用漏洞目录中。 5、Sophos修补了Sophos Web Appliance 中的多个高危漏洞 https://securityaffairs.com/144623/security/sophos-web-appliance-flaws.html 网络安全供应商 Sophos 解决了Sophos Web Appliance 中的三个漏洞，包括一个严重漏洞，被跟踪为 CVE-2023-1671（CVSS 评分为 9.8），该漏洞可能导致代码执行。 6、特斯拉前员工透露：公司内部会传播车主的敏感视频 https://www.reuters.com/technology/tesla-workers-shared-sensitive-images-recorded-by-customer-cars-2023-04-06/ 据路透社报道，多位特斯拉前员工透露，特斯拉团队经常会在内部分享来自车主的视频和照片等敏感信息。 7、三星员工使用 ChatGPT 无意中泄露了公司的机密数据 https://securityaffairs.com/144597/security/samsung-data-leak-chatgpt.html 三星工程师使用 ChatGPT 评估公司源代码，他们要求聊天机器人优化测试序列，以识别他们设计的芯片中的故障。据 Techradar 网站称，在不到一个月的时间里，该公司因员工通过 ChatGPT 泄露敏感信息而导致三起数据泄露。 8、Balada Injector 在过去五年中感染了超过一百万个WordPress站点 https://cyware.com/news/balada-injector-infected-over-a-million-sites-in-last-five-years-271425c7 一个大规模的WordPress感染活动，自2017年以来一直在进行，并被正式命名为Balada Injector。该恶意获得利用WordPress主题和插件的所有已知漏洞。 9、印度斥巨资寻求飞马间谍软件替代品 https://www.anquanke.com/post/id/288174 据报道，印度正在寻找比被飞马系统更低调的新型间谍软件，与之竞争的监控软件制造商正准备竞标纳伦德拉•莫迪政府提供的利润丰厚的交易。 10、亚马逊禁售 Flipper Zero，声称它违反了针对刷卡设备的政策 https://gizmodo.com/amazon-bans-flipper-zero-card-skimming-on-tiktok-1850313284 亚马逊已在其平台上禁止售卖Flipper Zero，并将其标记为禁止使用的盗卡设备。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

日前，国内权威安全媒体“安全牛“正式发布《网络安全行业全景图（第十版）》。本次发布的全景图，细分领域共收录3180项，收录国内网络安全企业和相关行业机构456家。 蚁景科技作为可靠的的网络安全人才培养服务提供商，旗下“蚁景网安实验室”、“蚁景网安学院”成功入选安全牛《网络安全行业全景图》（第十版）的【安全靶场】、【安全意识与培训】细分领域。 安全靶场 安全意识与培训 https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651123462&idx=1&sn=da6ce258e4b3d67e1e94626ec6d08678&scene=21#wechat_redirect湖南蚁景科技有限公司作为国内领先的“网络安全人才培养服务提供商”，为配合国家网络安全人才培养战略，以市场需求为导向，以能力提升为目标，从高校科研、教学实训及企事业单位实际需求出发，基于对“互联网+教育”的深刻理解，通过自主研发的“网络安全人才实训靶场”，为高校、政企单位、科研院所等行业客户提供满足在线实验教学的虚拟实验环境与各种课件资源 未来，蚁景科技将继续坚持优化人才培养、技术创新、产业发展的良性生态，为网络安全能力全面提升贡献力量。

1、MSI公司被Money Message勒索软件要求支付400万美元赎金 https://www.bleepingcomputer.com/news/security/money-message-ransomware-gang-claims-msi-breach-demands-4-million/ 2、Windows 10 21H2 将于 6 月终止服务 https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-21h2-is-reaching-end-of-service-in-june/ 近期微软提醒客户，多个版本的Windows 10版本21H2将在两个月后即2023年6月 13日到达服务终止 (EOS)，这些版本之后将不再接收安全更新。在此日期之后联系Microsoft售后支持的客户将被指导将设备更新到最新版本的Windows 10或升级到Windows 11 。 3、Apple修复两个用于破解iPhone和Mac的零日漏洞 https://www.bleepingcomputer.com/news/apple/apple-fixes-two-zero-days-exploited-to-hack-iphones-and-macs/ Apple发布了紧急安全更新，以解决两个新的零日漏洞，这些漏洞被用于攻击 iPhone、Mac和iPad。第一个安全漏洞（跟踪为 CVE-2023-28206）可能导致数据损坏、崩溃或代码执行。成功的利用允许攻击者在目标设备执行任意代码。第二个零日漏洞 (CVE-2023-28205) 是一个 WebKit在释放后使用的弱点，通过诱使目标加载受攻击者控制的恶意网页来利用此缺陷，这可能 4、微软和Fortra联手打击恶意Cobalt Strike服务器 https://www.bleepingcomputer.com/news/security/microsoft-and-fortra-crack-down-on-malicious-cobalt-strike-servers/ Fortra前身为Help Systems，2012年发布了Cobalt Strike ，作为红队扫描组织基础设施漏洞的合法商业渗透测试工具。随着时间的推移，威胁行为体已经获得并分发该软件的破解副本，导致 Cobalt Strike成为涉及数据盗窃和勒索软件的网络攻击中使用最广泛的工具之一。微软表示将与Fortra合作，解决网络犯罪分子滥用Cobalt Strike 5、ARES Leaks将成为新的数据泄露服务中心 https://www.bleepingcomputer.com/news/security/breached-shutdown-sparks-migration-to-ares-data-leak-forums/ ARES Leaks是一个托管在常规网络上的平台，提供对来自 65 个国家（包括美国、法国、西班牙、澳大利亚和意大利）的数据泄露的访问。该网站托管各种类型的信息泄漏，从电话号码、电子邮件地址、客户详细信息、B2B、SSN 和公司数据库，到外汇数据、政府泄漏和护照。在Breached论坛关闭后，ARES Leaks的活动有所增加。ARES将Breached的关闭视为加速增长并确立其 6、Exchange Online CAR弃用计划推迟到2024年 https://www.bleepingcomputer.com/news/microsoft/microsoft-delays-exchange-online-cars-deprecation-until-2024/ 微软宣布，Exchange Online中的客户端访问规则 (CAR) 弃用将推迟一年，直到 2024 年 9 月。在先前的2022年9月公告中，该公司表示，旧的Exchange Online访问规则将在 2023 年 9 月之前逐步淘汰。后续公司尝试禁用了CARs cmdlet，但未找到更安全的替代方案，从而导致逐步淘汰延迟。 7、印度要求Facebook和Twitter遵守新的IT法 https://techcrunch.com/2023/04/06/india-cracks-down-on-betting-games/ 印度修订了 IT 法，禁止Facebook、Twitter和其他社交媒体公司发布、托管或分享有关政府“任何业务”的虚假或误导性信息，这一新规将打击许多科技巨头，这些巨头将南亚市场确定为他们最大的用户。 8、vm2 JavaScript 沙盒修复了严重的远程代码执行漏洞 https://securityaffairs.com/144582/hacking/vm2-rce-sandbox-escape.html vm2 JavaScript 沙箱模块背后的开发人员已经解决了一个严重漏洞，跟踪为CVE-2023-29017 （CVSS 评分 9.8），该漏洞可被利用来执行任意 shellcode。 9、Telegram已成为销售网络钓鱼工具和服务的首选之地 https://www.bleepingcomputer.com/news/security/telegram-now-the-go-to-place-for-selling-phishing-tools-and-services/ 研究人员发现威胁行为体正在使用Telegram作为消息传递平台，来兜售网络钓鱼工具包并帮助建立网络钓鱼活动。通过该平台威胁行为体向观众宣传网络钓鱼，并提供从服务报价到定制开发和被盗数据验证等一体化服务。 10、QNAP 零日漏洞导致 8 万台设备易受网络攻击 https://www.darkreading.com/vulnerabilities-threats/qnap-zero-days-80k-devices-vulnerable-cyberattack 多个 QNAP 操作系统受到影响，包括 QTS、QuTS hero、QuTScloud 和 QVP Pro 设备，有些还没有可用的补丁。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。