蚁景网安 - 网络安全人才培养服务提供商

CC1打不通时的另外一条链CC3

网络安全日报 2023年02月16日

1、新的MortalKombat勒索软件针对美国的系统 https://www.bleepingcomputer.com/news/security/new-mortalkombat-ransomware-targets-systems-in-the-us/ 黑客正在利用一种名为“MortalKombat”的Xortist商品勒索软件的变种，以及Laplas clipper进行网络攻击。这两种恶意软件感染都用于进行金融欺诈，勒索软件用于勒索受害者以获得解密器，而Laplas则通过劫持加密交易来窃取加密货币。Talos研究人员观察到的攻击主要集中在美国，英国、土耳其和菲律宾也有一些受害者。MortalKombat勒索软件于2023年1月首次被发现， 2、研究人员在451个PyPI软件包中发现clipper恶意软件 https://securityaffairs.com/142220/malware/451-clipper-malware-pypi.html Phylum的研究人员在官方Python包索引（PyPI）存储库中发现了超过451个独特的Python包，试图在开发人员系统上传播clipper恶意软件。据专家称，该活动仍在进行中，是他们在2022年11月发现的恶意活动的一部分。攻击者试图在包名的每一个可能的简单拼写错误中注册相同的代码。该过程简单且易于自动化。安装恶意软件包后，一个JavaScript文件将被放入系统中，并在任何web浏览会话的后台执行，允许每次开发人员复制加密货币地址时将其替换 3、大规模AdSense欺诈活动感染10890个网站 https://securityaffairs.com/142254/hacking/adsense-fraud-campaign-wordpress.html 2022年11月，安全公司Sucuri的研究人员报告称，追踪到WordPress恶意软件通过ois[.]is将网站访问者重定向到虚假问答网站的活动激增。自9月以来，他们已经在10890个受感染的网站上检测到这种活动。有超过70个新的恶意域名伪装成URL缩短器。被黑客攻击的网站流量被重定向到运行问答CMS的低质量网站。这些网站提出了与加密货币和区块链相关的讨论。威胁参与者的主要目标仍然是广告欺诈，通过将流量重定向到包含威胁参与者使用的 4、巴林机场和新闻网站遭黑客入侵导致无法正常运营 https://www.securityweek.com/hackers-target-bahrain-airport-news-sites-to-mark-uprising/ 一个自称为Al-Toufan的组织在网上发布的一份声明称，他们入侵了巴林国际机场网站，该网站在当天中午至少有半小时无法使用。黑客组织还声称已经关闭了巴林国家通讯社（Bahrain News Agency）的网站，该通讯社网站偶尔无法访问。该组织发布了显示504网关超时错误的图片，称此次黑客攻击“是为了支持我们受压迫的巴林人民的革命”。Al-Toufan组织还入侵并更改了巴林政府报纸《Akhbar Al Khaleej 5、Citrix 发布了针对其产品中多个高危漏洞的安全更新 https://securityaffairs.com/142287/hacking/citrix-high-severity-flaws.html Citrix 针对 Virtual Apps and Desktops 以及适用于 Windows 和 Linux 的 Workspace 应用程序中的多个高危漏洞发布了安全更新。 6、研究人员发现了一种名为 Beep 的新型恶意软件 https://securityaffairs.com/142263/hacking/beep-malware-highly-evasive.html Minerva 的研究人员最近发现了一种名为 Beep 的新型规避恶意软件，它实施了许多反调试和反沙盒技术。Beep 这个名字来自于通过使用 Beep API 函数延迟执行所涉及的技术。 7、英特尔发布补丁修复了产品中数十个漏洞 https://www.securityweek.com/dozens-of-vulnerabilities-patched-in-intel-products/ 英特尔本周宣布了针对其产品组合中数十个漏洞的补丁，包括严重和高严重性问题。这些缺陷中最严重的是 CVE-2021-39296（CVSS 得分为 10），它影响了多个英特尔平台的集成底板管理控制器 (BMC) 和 OpenBMC 固件。该漏洞于 2021 年在 netipmid (IPMI lan+) 接口中被发现，可能允许攻击者使用精心制作的 IPMI 消息绕过身份验证，从而获得对 BMC 的根访问权限。 8、最近修补的 IBM Aspera Faspex 漏洞被发现在野利用 https://www.securityweek.com/recently-patched-ibm-aspera-faspex-vulnerability-exploited-in-the-wild 使用 IBM 的 Aspera Faspex 文件传输解决方案的组织已收到警告，最近修补的漏洞正在被广泛利用。该安全漏洞被追踪为CVE-2022-47986并被归类为“高严重性”，是一个 YAML 反序列化漏洞，远程攻击者可以利用该漏洞使用特制的 API 调用执行任意代码。 9、APT37与一种名为M2RAT的新恶意软件关联 https://thehackernews.com/2023/02/north-koreas-apt37-targeting-southern.html 被追踪为APT37 的与朝鲜有关的威胁行为者与一种名为M2RAT的新恶意软件有关，该恶意软件针对其南部对手发起攻击，表明该组织的特征和策略在不断演变。 10、黑客利用GoAnywhere MFT漏洞攻击导致CHS数据泄露 https://securityaffairs.com/142242/data-breach/community-health-systems-data-breach.html 社区卫生系统 (CHS) 披露了一起数据泄露事件，攻击者利用了 Fortra 的 GoAnywhere MFT 平台中的零日漏洞。社区卫生系统(CHS) 是美国领先的医疗保健提供者之一。CHS 经营着 79 家急症医院和 1,000 多个其他护理场所，包括执业医师、紧急护理中心、独立急诊室、职业医学诊所、影像中心、癌症中心和门诊手术中心。免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

网络安全日报 2023年02月15日

1、百事装瓶公司遭到网络攻击暂停部分受影响的系统 https://www.bleepingcomputer.com/news/security/pepsi-bottling-ventures-suffers-data-breach-after-malware-attack/ 百事装瓶公司（Pepsi Bottling Ventures LLC）遭到网络入侵，导致数据泄露并感染了信息窃取恶意软件，攻击者从其IT系统中窃取了数据。该公司解释说，违规事件发生在2022年12月23日，但直到2023年1月10日才被发现。百事公司称，“我们迅速采取行动遏制事件并保护我们的系统安全。 2、Cloudflare阻止了创纪录的7100万次RPS DDoS攻击 https://thehackernews.com/2023/02/massive-http-ddos-attack-hits-record.html Cloudflare周一披露，它阻止了一次创纪录的分布式拒绝服务（DDoS）攻击，该攻击的峰值为每秒7100多万次请求（RPS）。这也是迄今为止报告的最大的HTTP DDoS攻击，比谷歌云在2022年6月抵御的4600万次RPS DDoS攻击高出35%以上。Cloudflare表示，这些攻击针对的是受其平台保护的网站，它们来自一个僵尸网络，该僵尸网络包含属于众多的云提供商的30000多个IP地址。目标网站包括流行的游戏提供商、加密货币公司、托 3、苹果公司发布安全更新修复了被积极利用的零日漏洞 https://thehackernews.com/2023/02/patch-now-apples-ios-ipados-macos-and.html 苹果公司周一推出了针对iOS、iPadOS、macOS和Safari的安全更新，以解决一个被积极利用的零日漏洞。漏洞被跟踪为CVE-2023-23529，与WebKit浏览器引擎中的类型混淆错误有关，该错误可能在处理恶意制作的Web内容时被激活，最终导致任意代码执行。苹果公司表示，该漏洞已通过改进检查得到解决。目前尚不清楚该漏洞在现实世界的攻击中是如何被利用的。该公司还解决了内核中的use-after-free问题（CVE-2023-235 4、Korenix JetWave工业网络设备中存在3个安全漏洞 https://www.helpnetsecurity.com/2023/02/13/korenix-jetwave-industrial-vulnerabilities/ CyberDanube研究人员发现，在各种Korenix JetWave工业接入点和LTE蜂窝网关中的三个漏洞可能允许攻击者破坏它们的操作或将它们用作进一步攻击的立足点。这三个漏洞现在尚未分配CVE编号，包含设备web服务器中的两个命令注入漏洞和一个可能被触发以实现拒绝web服务的漏洞。这三个漏洞都要求攻击者在发起攻击之前进行身份验证。可以通过重新启动目标设备暂时解决拒绝web服务攻击，但攻击者可能会注入可以导致无限期危 5、印度社交媒体应用Slick由于配置错误暴露用户数据 https://techcrunch.com/2023/02/10/slick-social-media-app-data-exposed/ 来自CloudDefense.ai的安全研究员Anurag Sen发现了一个暴露的数据库，数据库属于印度社交媒体应用程序Slick。至少从12月11日开始，一个包含Slick用户全名、手机号码、出生日期和个人资料照片的数据库在没有密码的情况下在互联网上公开，其中还包括在校儿童的数据。由于配置错误，任何熟悉数据库IP地址的人都可以访问该数据库，该数据库在受到保护时包含超过153000名用户的条目。研究人员请求TechCrunch帮助将事件报告给这家社交媒 6、HTML走私活动冒充知名品牌来传播恶意软件 https://www.csoonline.com/article/3687630/html-smuggling-campaigns-impersonate-well-known-brands-to-deliver-malware.html Trustwave SpiderLabs 研究人员指出，HTML 走私活动越来越普遍，网络犯罪集团利用 HTML 的多功能性与社会工程相结合来分发恶意软件。 7、研究人员在 PyPI Python 包中发现混淆的恶意代码 https://thehackernews.com/2023/02/researchers-uncover-obfuscated.html 研究人员已发现Python 包索引 ( PyPI ) 中的四个不同流氓包执行许多恶意操作，包括投放恶意软件、删除 netstat 实用程序和操纵 SSH authorized_keys 文件。 8、黑客使用新的IceBreaker恶意软件攻击博彩公司 https://www.4hou.com/posts/ykKE 黑客们近期一直在攻击在线博彩公司，他们使用了一种似乎前所未见的后门，研究人员将其命名为IceBreaker（“破冰船”）。 9、微软周二更新修复76个漏洞，并警告称一些漏洞已被利用 https://www.securityweek.com/patch-tuesday-microsoft-warns-of-exploited-windows-zero-days/ 微软星期二发布软件更新，以修复 Windows 和操作系统组件中至少 76 个漏洞，该公司警告说，一些漏洞已经在野外被利用。微软的安全响应团队标记了 76 个记录在案的缺陷中的三个，这些缺陷属于已被利用的类别，通常指的是野外的零日恶意软件攻击。 10、GoAnywhere MFT 零日漏洞已导致全球130多家企业被攻击 https://www.freebuf.com/news/357487.html 据BleepingComputer 2月10日消息，Clop 勒索软件组织最近利用 GoAnywhere MFT 安全文件传输工具中的零日漏洞，从 130 多个企业组织中窃取了数据。免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

从一次有趣的漏洞分析到一个有趣的PHP后门

起因事情的起因很有趣，前几天我正对着电脑发呆的时候，突然有个安全交流群的群友来找我交流一个问题大概的意思就是，他在挖SRC的时候，发现一处资产存在目录遍历漏洞，它通过这个漏洞，找到目标资产使用了一个名为phpmailer的中间件（应该类似于中间件吧），问我有没有办法利用，我查了一下这个组件的漏洞信息。最新的洞似乎截止到6.5.0版本以前很不幸，群友这个版本是6.5.1，刚好就不能利用了找不到符合版本的洞没关系，抱着学习的心态，我还是看了一下它的历史漏洞成因，不看不知道，看了之后就学到一些好玩的新知识了，这也就是为什么会有这篇文章的原因。 CVE-2016-10033的简单分析 CVE-2016-10033是Phpmailer出现过的最经典的的漏洞，在本文正式开始之前，我们先来简单分析一下这个漏洞。读者可以到： https://github.com/opsxcq/exploit-CVE-2016-10033/blob/master/src/class.phpmailer.php看到phpmailer的代码。这里先开门见山地说，漏洞的成因其实就在mail()函数的第五个参数，只要控制了第五个参数，我们就能进行RCE、文件读取等操作。因此我们先追溯mail()函数：因此我们可以先定位到mailPassthru()这一方法，可以看到，这个方法内部就使用了mail()，maill的第五个参数也就是mailPassthru()的第五个参数。因此，我们再查看有没有别的地方使用了mailPassthru()，可以找到这个maillSend()方法中使用了mailPassthru()方法，并且第五个参数$params是来自于当前类中的Sender属性那我们回溯Sender属性，看看有什么地方可以控制Sender属性。这里可以看到，setFrom方法当中，就可以对Sender属性进行赋值当然，这个漏洞还有一个重点就是对validateAddress()这一方法的绕过，这也是CVE-2016-10033的精彩部分。但是它和本文的重点不符，所以我们就不深入分析这块。既然知道了Sender这个关键属性是怎么赋值的，接下来我们继续分析mailSend()方法的调用链，可以找到postSend()方法继续看postSend()，最终可以找到send()方法自此，整个漏洞的传参流程我们就已经分析完了。大体上来说，只要我们用setFrom()方法对Sender属性赋值，再调用send()方法。那么Sender属性的值就会进入到mail()函数的第五个参数中，从而实现RCE。看到这想必很多读者已经对开篇提到的这个mail()函数的第五个参数提起兴趣了，为什么控制了它就能实现RCE呢？这就要提到php中 mail()函数的实现原理了。有趣的mail() mail()函数是php定义的用来发送邮件的函数，其支持的参数如下：为什么一个发送邮件的函数能造成RCE？前人的安研经验已经告诉了我们答案。Php的mail()函数，其底层其实是调用了linux下的sendmail命令。由于sendmail支持一些有趣的参数，这就会造成更大的危害。 ①日志写入导致的RCE 接着上面提到的内容来说，我们首先要介绍的是sendmaill的X和O参数，其效果分别为： -X logfile ：指定一个文件来记录邮件发送的详细日志。 -O option=value ：临时设置一个邮件储存的临时位置。看到这大部分读者应该马上能反应过来，我们能指定文件来储存邮件发送的日志，那不就可以写日志getshell了吗？事实也的确如此。了解这个信息之后，我们再回过头看mail()函数支持的第五个参数：没错，我们可以用这个第五个参数来控制sendmail的额外参数，那我们控制X的参数值不就拿下了？我们可以使用如下demo进行测试： <?php $to = 'La2uR1te@b.c'; $subject = '<?php system("whoami"); ?>'; //你想执行的任意php代码 $message = '<?php system("ls ./"); ?>';//同上 $headers = ''; $addtionparam = '-f La2uR1te@1 -OQueueDirectory=/tmp/ -X/var/www/html/1.php'; //假设我们已知目标站点绝对路径 mail($to, $subject, $message, $headers, $param); ?> 比如我在自己的服务器上运行如下代码，我们假设网站根目录是/root/，我们运行一下上述代码看看会发生什么。（在复现的时候确保你已经安装过sendmail，不然没用）。运行完之后，我们在root目录下确实发现了一个名为testmail.php的文件。我们看看它的内容是什么：其实他的内容很多，就是日志文件。但是看箭头指的地方，毫无疑问，我们的代码已经被成功写入了。这时候如果我们再用php来执行这个testmail.php，注意看前后的区别当前用户就是root，当前目录下只有testmail.php和test.php，毫无疑问，我们的恶意代码已经被成功执行了。综上，如果我们知道目标网站的绝对路径、目标网站是linux环境并且php底层使用sendmail进行发送邮件（默认），那么就可以使用mail()函数来执行写入日志文件的GETSHELL。 ②读取配置文件导致的任意文件读取这个函数好玩的地方不止于此，它还可以用于任意文件读取。我们修改一下上面的demo 注意看这里，我们使用了-C参数，后面跟着我们想读取的文件。这样就能直接实现任意文件读取了！如下图，直接读文件一把梭 ③进阶技巧之利用配置文件执行代码设想这么一个变态的情况，整个网站，假设我们只有一个可供文件写入的点，并且还有很严格的过滤。这个时候有没有能够用mail()来操作的可能呢？再说回sendmail命令的特性，默认会使用sendmail-mta来解析待发送的邮件内容，我们其实有办法覆盖sendmail的解析配置，让它用php来解析我们要发送的邮件内容，从而直接完成命令执行。我们首先到/etc/mail/sendmail.cg，复制其内容。然后在其内容结尾加上如下配置： Mlocal, P=/usr/bin/php, F=lsDFMAw5:/|@qPn9S, S=EnvFromL/HdrFromL, R=EnvToL/HdrToL, T=DNS/RFC822/X-Unix, A=php -- $u $h ${client_addr} 把这个新文件命名为sendmail_cf 接着我们执行如下命令，因为这玩意不能回显，所以我们还是让它新创建几个文件：执行上面的代码之后。可以看到tmp目录下多出一个xnklgxfc（提前祝师傅们新年快乐恭喜发财哈） ④进阶技巧之Exim4情况下mail()函数操作这里因为环境没配置好，所以没有演示成功，我就借助别的师傅的结果了 mail()函数的底层虽然是sendmail命令，但有时它也有可能是exim4命令。比方说在ubuntu/debain中，sendmail实际上软连接到了exim4。也就是说，我们有新姿势了（exim4的各种参数和能打出的操作都是不同的）这里我们介绍一个，-be参数，这个参数事exim4中的运行扩展模式参数，这个参数支持我们打出大量操作，例如： -be ${run{<command> <args>}{<string1>}{<string2>}} //执行命令<command> <args>，成功返回string1，失败返回string2 -be ${substr{<string1>}{<string2>}{<string3>}} //字符串的截取，在string3中从string1开始截取string2个字符 -be ${readfile{<file name>}{<eol string>}} //读文件file name，以eol string分割 -be ${readsocket{<name>}{<request>}{<timeout>}{<eolstring>}{ <fail string>}} //发送socket消息，消息内容为request 没错，你可以发现，这玩意除了可以进行直接的命令执行（不需要写日志文件getshell了），虽然不能回显，但是弹个shell就是简简单单。并且还是可以任意文件读取。并且最骚的是可以用substr来进行字符串截取，这样的话就支持我们进行很多绕过WAF的操作。利用mail()来造一个简单的后门上文提到了各种mail()的骚操作，我在学习复现的过程中除了感到NB无话可说。它的种种特性不禁让我思考，它是否有成为后门的潜质，它在正常的linux环境就可以实现日志getshell以及任意文件读取。在其它特定情况下它也可以无回显进行命令执行。并且它是一个再正常不过的函数，一般的开发和安全人员可能都不会觉得这样一个人畜无害的邮件发送函数能造成什么危害。抱着这样的心态，我先简单的实现了这么一个功能：其中$e的明文内容为：-f La2uR1te@1 -OQueueDirectory=/tmp/-X/root/mailshell.php 而$a/$b/$c/$d的内容均为phpshell。我们拿它到实际环境去试试看能不能成功实现我们刚刚演示的效果。如果运行成功，那么应该会在root目录下生成mailshell.php 如图，mailshell.php成功生成其内容即为php一句话所以我们继续改造一下这个后门，让其变得更加可控。根据上面的总结我们可以知道只要控制第五个参数就行，所以我们的改造也十分简单：这个后门最后能实现的效果包括但不限于：①linux环境下的任意文件写入（可getshell）②linux环境下的任意文件读取③特定环境（比如mail()底层使用exim4或软连接到exim4）下的无回显命令执行、代码执行截至本文发表，这个结构极其简单的后门依然具有不错的免杀能力：后记之所以说本文是炒冷饭，是因为安全圈至少在2016年之前就已经知道mail()函数造成的危害。而更多深入利用姿势在17年和18年都有师傅总结。对于我这个萌新来说，确实是大开眼界叹为观止，果然漏洞的复现一定要及时搞，不然容易错过很多有趣的知识。

网络安全日报 2023年02月14日

1、恶意Npm包使用误植域名技术下载恶意软件 https://www.infosecurity-magazine.com/news/malicious-npm-package-uses/ ReversingLabs的安全研究人员在开源JavaScript npm存储库中发现了一个名为“aabquerys”的包，它使用误植域名技术来支持恶意组件的下载。研究人员表示，恶意包由两个文件组成，其中一个通过JavaScript混淆器进行了混淆处理。当在PC上打开恶意该文件时，会显示一条虚假的网络浏览器崩溃消息和一个链接，该链接会导致下载已在多个恶意软件活动中使用的第二阶段恶意软件。然后又侧加载了一个动态链接库（DLL）文件，该文件下载了第三阶段的 2、以色列理工学院遭DarkBit勒索软件团伙攻击 https://securityaffairs.com/142160/hacking/israeli-technion-suffered-ransomware-attack.html 以色列理工学院（Technion -Israel Institute of Technology）2023年2月12日周日遭到黑客入侵，一个自称DarkBit的威胁行为者声称对周日入侵该研究所的勒索软件攻击负责。DarkBit组织要求80比特币用于解密，但专家指出，黑客团队似乎是出于政治动机，即使满足了要求，他们也不太可能提供解密密钥。Darkbit威胁称，如果Technion拒绝在48小时内支付所要求的金额， 3、域名注册商Namecheap的电子邮件账户遭黑客入侵 https://www.bleepingcomputer.com/news/security/namecheaps-email-hacked-to-send-metamask-dhl-phishing-emails/ 域名注册商Namecheap的电子邮件帐户在周日晚上遭到破坏，导致大量MetaMask和DHL网络钓鱼电子邮件泛滥，试图窃取收件人的个人信息和加密货币钱包。网络钓鱼活动始于美国东部时间下午4:30左右，起源于Namecheap过去用来发送续订通知和营销电子邮件的电子邮件平台SendGrid。此活动中发送的网络钓鱼邮件冒充DHL或MetaMask。DHL钓鱼邮件伪装成完成包裹递送 4、黑客组织 Killnet 以北约网站为目标发起 DDoS 攻击 https://securityaffairs.com/142192/hacking/killnet-targets-nato-websites.html 黑客组织 Killnet 对北约服务器发起分布式拒绝服务 (DDoS) 攻击，包括北约特种作战总部 (NSHQ) 网站。 5、微软ChatGPT版必应被黑：全部Prompt泄露 https://mp.weixin.qq.com/s/89KeLjDoS9IyArIr8z6jjg 2 月 8 号上线的全新必应正在进行限量公测，用户可以申请在其上与 ChatGPT 交流。但没多久，有研究员发现了用来为 Bing Chat 设置条件的 prompt。 6、疑GhostSec黑客再出手，攻陷伊朗37个Modbus系统 https://www.secrss.com/articles/51809 据名为CyberKnow的推特账户2月10日发帖称，GhostSec黑客在近日支持Iran（OpIran）国内的抗议活动中，再次对Iran的工业系统下手，据其自称已攻陷37个Modbus系统，并使这些系统下线。 7、CISA 发布解密工具后出现新的 ESXiArgs 勒索软件变体 https://thehackernews.com/2023/02/new-esxiargs-ransomware-variant-emerges.html 在美国网络安全和基础设施安全局 (CISA) 为受影响的受害者发布一个解密器以从ESXiArgs 勒索软件攻击中恢复后，威胁行为者又用一个加密更多数据的更新版本。 8、奥克兰市遭受勒索软件攻击 https://www.securityweek.com/city-of-oakland-hit-by-ransomware-attack/ 奥克兰市披露了一次勒索软件攻击，该攻击影响了多个非紧急系统。 9、英国和美国因勒索软件攻击而制裁7名俄罗斯人 https://thehackernews.com/2023/02/uk-and-us-sanction-7-russians-for.html 在首次协调行动中，英国和美国政府9日对七名俄罗斯国民实施了制裁，因为他们与TrickBot，Ryuk和Conti网络犯罪行动有联系。 10、TA866黑客组织针对美国和德国公司 https://thehackernews.com/2023/02/hackers-targeting-us-and-german-firms.html 免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

网络安全日报 2023年02月13日

1、Enigma窃取程序利用虚假就业针对加密货币行业 https://www.trendmicro.com/en_us/research/23/b/enigma-stealer-targets-cryptocurrency-industry-with-fake-jobs.html Trendmicro的研究人员最近发现了一个活跃的活动，该活动以虚假就业为借口，针对加密货币行业的东欧人安装信息窃取程序。在这次活动中，疑似俄罗斯威胁行为者使用几个高度混淆和开发不完全的自定义加载程序，以便使用Enigma窃取程序（检测为TrojanSpy.MSIL.ENGIMASTEALER.YXDBC）感染加密货币行业的人员，这是Stealerium信息窃取器的改 2、英国政客称其电子邮件疑似遭到俄罗斯黑客入侵 https://www.infosecurity-magazine.com/news/uk-politician-email-hacked-russian/ 苏格兰民族党（SNP）Stewart McDonald称，他的个人电子邮件账户疑似被俄罗斯威胁行为者入侵，他在2月8日发布的一条推文中强调了鱼叉式网络钓鱼事件。Stewart McDonald是在2023年1月收到钓鱼消息的，来自他手下一名员工的真实电子邮件地址。该消息称，附件中有一份受密码保护的文件，内容是乌克兰军事局势的最新情况。单击文件后，被定向到他所用电子邮件帐户的登录页面。然而，当他输入密码时，出现了一个空白页面。几天后，由于 3、黑客入侵Reddit以窃取其源代码和内部数据 https://www.bleepingcomputer.com/news/security/hackers-breach-reddit-to-steal-source-code-and-internal-data/ Reddit周日晚间遭受网络攻击，黑客可以进入其内部业务系统，窃取内部文件和源代码。该公司表示，黑客使用网络钓鱼诱饵，通过假冒其内部网的登录页面瞄准Reddit员工。该网站试图窃取员工的凭证和双因素身份验证令牌。在成功获得一名员工的凭证后，攻击者获得了一些内部文档、代码以及一些内部仪表板和业务系统的访问权。 4、多个文档管理系统被发现存在未修补安全漏洞 https://thehackernews.com/2023/02/unpatched-security-flaws-disclosed-in.html 四个供应商LogicalDOC、Mayan、ONLYOFFICE和OpenKM的开源和免费文档管理系统（DMS）产品中披露了八个未修补的安全漏洞。网络安全公司Rapid7表示，这八个漏洞提供了一种机制，通过该机制，“攻击者可以说服操作员将恶意文档保存在平台上，一旦文档被用户索引并触发，攻击者就可以通过多种途径控制组织。”这八个跨站点脚本（XSS）漏洞分别被跟踪为：ONLYOFFICE：CVE-2022-47412，OpenKM：CVE-20 5、Clop勒索软件团伙声称攻击了130个组织 https://securityaffairs.com/142130/cyber-crime/clop-ransomware-goanywhere-mft.html 据BleepingComputer报道，Clop勒索软件组织声称利用Fortra的GoAnywhere MFT安全文件传输工具中的零日漏洞（CVE-2023-0669）窃取了130多个组织的敏感数据，但没有透露有关他们所说的细节。该勒索软件团伙还声称已经完全破坏了网络组织，但没有部署任何勒索软件。多位专家已经发布了CVE-2023-0669漏洞的利用代码，Rapid7首席安全研究员Ron Bowes宣布，他们已将Fortra的G 6、新网络钓鱼活动滥用谷歌广告窃取用户登录凭据 https://www.bleepingcomputer.com/news/security/malicious-google-ads-sneak-aws-phishing-sites-into-search-results/ Sentinel Labs的研究人员发现，针对Amazon Web Services（AWS）登录的新网络钓鱼活动正在滥用谷歌广告，将网络钓鱼网站潜入谷歌搜索以窃取用户的登录凭据。研究人员在2023年1月30日发现了这一恶意搜索结果。最初，威胁行为者将广告直接链接到网络钓鱼页面。在后期阶段，他们增加了重定向步骤。恶意谷歌广告将受害者带到攻击者控制的博客网站，该网站使用 7、研究人员在无线工业IIoT设备中发现38个安全漏洞 https://thehackernews.com/2023/02/critical-infrastructure-at-risk-from.html 研究人员在四家不同供应商的无线工业物联网 (IIoT) 设备中发现了38个安全漏洞，以色列工业网络安全公司Otorio表示：“威胁行为者可以利用无线IIoT设备中的漏洞，获得对OT内部网络的初始访问权。他们可以利用这些漏洞绕过安全层并渗透目标网络，使关键基础设施面临风险或中断生产。”在38个漏洞中，有三个会影响ETIC Telecom的远程访问服务器（RAS）：CVE-2022-3703、CVE-2022-41607和CVE-2022-409 8、Dota 2玩家受到攻击：黑客利用 Chrome 漏洞感染玩家 https://cyware.com/news/dota-2-under-attack-threat-actors-exploit-a-chrome-flaw-to-infect-gamers-97ef88c2 Avast Threat Labs 研究人员发现，攻击者创建了四个恶意 Dota 2 游戏模组，并将它们发布在 Steam 商店上以吸引游戏玩家。据说大约有200名玩家受到了这次袭击的影响。恶意游戏模式名称是 Overdog no annoying heroes (id 2776998052)、Custom Hero Brawl (id 2780728794) 和 Overthrow 9、NIST 宣布 ASCON 为物联网数据保护加密算法 https://www.securityweek.com/nist-picks-ascon-algorithms-to-protect-data-on-iot-small-electronic-devices/ 美国国家标准与技术研究所（NIST）宣布，名为Ascon的认证加密和散列算法系列将成为标准算法，用于轻量级密码学应用。 10、A10 Networks遭Play勒索软件攻击数据泄露 https://www.bleepingcomputer.com/news/security/a10-networks-confirms-data-breach-after-play-ransomware-attack/ 总部位于加利福尼亚州的网络硬件制造商“A10 Networks”向BleepingComputer证实，Play勒索软件团伙曾短暂访问其IT基础设施并窃取了数据。在2月早些时候提交的一份8-K文件中，该公司表示这起安全事件发生在2023年1月23日，并持续了几个小时，之后其IT团队设法阻止了入侵并控制了损失。A10公司调查确定，威胁行为者设法获得了对共享驱动器的访问权限，部免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

网络安全日报 2023年02月10日

1、攻击者通过Microsoft OneNote文件分发恶意软件 https://www.bleepingcomputer.com/news/security/new-qaknote-attacks-push-qbot-malware-via-microsoft-onenote-files/ 自2023年1月31日起，研究人员发现了一种名为“QakNote”的新QBot恶意软件活动，它使用恶意Microsoft OneNote“.one”附件向系统分发银行木马。威胁行为者在创建恶意OneNote文档时可以嵌入几乎任何文件类型，包括VBS附件或LNK文件。攻击者会利用社会工程来说服用户点击特定位置以启动嵌入式附件，当用户双击OneNote Notebook中 2、半导体设备制造商MKS Instruments遭勒索软件攻击 https://www.csoonline.com/article/3687098/mks-instruments-falls-victim-to-ransomware-attack.html 半导体设备制造商MKS Instruments在提交给美国证券交易委员会的一份文件中表示，该公司正在调查2月3日发生的勒索软件事件，此事件影响了其生产相关系统。MKS Instruments的网站现在仍然无法访问。该公司表示，它已通知执法部门，同时通过聘请事件响应专业人员调查和评估事件的影响。MKS Instruments高级副总裁说：“该事件影响了某些业务系统，包括与生产相关的系统，作为遏制措施的一 3、攻击者利用恶意《Dota 2》游戏模组分发恶意软件 https://www.bleepingcomputer.com/news/security/malicious-dota-2-game-mods-infected-players-with-malware/ Avast威胁实验室的研究人员发现，威胁行为者为多人在线竞技游戏《Dota 2》创建了四个恶意的游戏模组，并将它们发布在Steam商店上以针对游戏的玩家。这四个恶意游戏模组被命名为：Overdog no annoying heroes（id 2776998052）、Custom Hero Brawl（id 2780728794）和Overthrow RTZ Edition X10 XP 4、金属工程公司Vesuvius遭网络攻击关闭部分系统 https://www.infosecurity-magazine.com/news/uk-metalg-firm-vesuvius-cyberattack/ 总部位于英国的熔融金属流动工程公司Vesuvius于2023年2月6日发布了一份警报，称其目前正在处理一起网络事件，该事件涉及对其系统的未经授权访问。Vesuvius公司没有就事件的性质和范围、受影响的系统或攻击者的身份提供任何信息。该公司在一份声明中表示“在意识到我们网络上存在未经授权的活动后，我们立即采取了必要的措施来调查和应对事件，包括关闭受影响的系统。我们正在与领先的网络安全专家合作，以支持我们的调查并确定问题的严重程度，包括 5、专家公布了Killnet黑客组织使用的代理IP列表 https://securityaffairs.com/142006/hacktivism/killnet-proxy-ips-addresses.html SecurityScorecard的研究人员公布了Killnet黑客组织使用的代理IP列表，目的是干扰其运营并阻止Killnet DDoS机器人。Killnet组织自2022年3月以来一直很活跃，它对那些表示支持乌克兰的国家的政府和关键基础设施发起了DDoS攻击，这些国家包括意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚。本月初，Killnet黑客组织对欧洲国家的医院发起了攻势。此次专家共享的代理IP列表还包括其他团伙使 6、药品分销商AmerisourceBergen证实数据泄露 https://www.bleepingcomputer.com/news/security/drug-distributor-amerisourcebergen-confirms-security-breach/ AmerisourceBergen是一家医药产品分销商，该公司证实，其一家子公司的IT系统遭到了黑客的攻击。Lorenz勒索软件组织发布了据称从AmerisourceBergen和MWI Animal Health窃取的所有文件，威胁行为者将发布日期设置为2022年11月1日，尽管这些文件是刚刚发布，这可能表明违规行为发生在几个月前。AmerisourceBergen声明表示：“ 7、Google发布Android 14 开发者预览版，包括隐私和安全改进 https://www.securityweek.com/google-describes-privacy-security-improvements-in-android-14/ 谷歌本周宣布推出第一个 Android 14 开发者预览版，并分享了平台更新将带来的一些安全和隐私改进的细节。Android 14 预计将于秋季某个时候登陆设备，它带来了新功能和 API，以及可能影响应用程序的行为变化。 8、大华视频监控产品存在漏洞可被远程篡改 https://www.securityweek.com/vulnerability-allows-hackers-to-remotely-tamper-with-dahua-security-cameras/ 研究人员发现了一个漏洞，远程黑客可以利用该漏洞篡改大华监控摄像头录制的视频的时间戳。该漏洞被追踪为 CVE-2022-30564，去年由总部位于印度的 CCTV 和物联网网络安全公司 Redinent Innovations 发现。周三，大华和Redinent发布了描述该漏洞的公告。 9、OpenSSL 最新更新修复了多个新的安全漏洞 https://thehackernews.com/2023/02/openssl-fixes-multiple-new-security.html OpenSSL 项目已发布修复程序以解决多个安全漏洞，包括开源加密工具包中的一个高严重性错误，该错误可能会使用户遭受恶意攻击。 10、全球社交媒体三巨头大规模宕机，Twitter遭16年历史上最大中断 https://www.freebuf.com/news/357133.html 当地时间2月8日，据安全媒体InfoRiskToday报道，全球最大的三家社交媒体平台遭遇宕机，Twitter、Instagram和YouTube的部分用户无法访问其账户。据了解，这是Twitter 16年历史上最大规模的一次宕机。许多Twitter用户8日收到一条消息提示称“已超过每日推文发送限额，无法发帖。”当天下午3点，Twitter宣布美国的Twitter Blue用户可以编辑长推文，最多可发布4000个字符。但问题也随之开始。免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

Nodejs原型链污染

网络安全日报 2023年02月09日

1、爱尔兰明斯特科技大学因网络攻击被迫停课 https://therecord.media/all-classes-canceled-at-irish-university-as-it-announces-significant-it-breach 爱尔兰明斯特科技大学 (MTU) 周一宣布，由于“重大 IT 漏洞和电话中断”，其位于科克的校区将关闭。据报道，包括 Canvas 在内的许多学习工具都受到了影响。 2、香港警方和国际刑警组织破获国际网络钓鱼集团使用的服务器和应用程序 https://www.scmp.com/news/hong-kong/law-and-crime/article/3209140/hong-kong-police-and-interpol-uncover-servers-and-apps-used-global-phishing-syndicate 香港警方破获了一个国际网络钓鱼集团的本地运作，该集团使用 563 个伪造的移动应用程序在全球范围内监视手机并窃取信息。警队网络安全及科技罪案调查科高级警司林卓豪表示，警方还在全球范围内追踪到与这些应用程序相关联的 258 台服务器。与国际刑警组织为期 11 个月的联合行动于去年 2 月开始，代 3、研究人员发现了丰田供应商管理网络漏洞 https://securityaffairs.com/141990/hacking/utoyota-supplier-management-network-bug.html 安全研究员 Eaton Zveare 利用丰田全球供应商准备信息管理系统 (GSPIMS) 中的一个漏洞，实现了对丰田全球供应商管理网络的系统管理员访问。GSPIMS 门户允许员工和供应商访问正在进行的项目、调查和采购信息。 4、俄罗斯电商巨头Elevel泄露买家个人信息 https://securityaffairs.com/142000/data-breach/elevel-data-leak.html Elevel（前身为 Eleko）成立于 1991 年，将自己定位为俄罗斯领先的电气工程公司，同时经营电子商务业务和批发商店。1 月 24 日，Cybernews 研究团队发现了一个包含 1.1TB 数据的开放数据集，并将其归因于 e.way——一家 Elevel 旗下的在线商店，每月有 25,000 名访客。这个包含 700 万个数据条目的数据集泄露了两年的敏感数据，包括姓名、电话号码、电子邮件地址和客户的送货地址。 5、CISA 发布脚本来恢复感染 ESXiArgs 勒索软件的服务器 https://securityaffairs.com/141948/malware/uc-cisa-script-esxiargs-ransomware.html 美国网络安全和基础设施安全局 (CISA) 发布了一个脚本，用于恢复感染了 ESXiArgs 勒索软件的 VMware ESXi 服务器。 6、Clop 勒索软件的新 Linux 变体使用了有缺陷的加密算法 https://securityaffairs.com/141932/cyber-crime/clop-ransomware-linux-variant.html Clop 勒索软件的一个新的 Linux 变体已经在野外被发现，好消息是它的加密算法存在缺陷。SentinelLabs 研究人员观察到了Clop 勒索软件的第一个 Linux 变体。研究人员注意到，在 ELF 可执行文件中实施的加密算法存在缺陷，受害者可以在不支付赎金的情况下解密锁定的文件。 7、Chrome 110 第一个稳定版本修复了 15 个漏洞 https://www.securityweek.com/chrome-110-patches-15-vulnerabilities/ 谷歌本周宣布，Chrome 110 的第一个稳定版本带来了 15 个安全修复，其中 10 个解决了外部研究人员报告的漏洞。在外部报告的错误中，三个被评为“高严重性”。其中包括 V8 引擎中的类型混淆缺陷、全屏模式下的不当实现问题以及 WebRTC 中的越界读取漏洞。 8、Tor 网络遭 DDoS 攻击已长达 7 个月 https://www.securityweek.com/tor-network-under-ddos-pressure-for-7-months/ 其维护者本周宣布，在过去七个月中，Tor 匿名网络遭受了多次分布式拒绝服务 (DDoS) 攻击。Tor 项目表示，一些攻击严重到足以阻止用户加载页面或访问洋葱服务。 9、西门子许可证管理器漏洞允许 ICS 遭黑客攻击 https://www.securityweek.com/siemens-license-manager-vulnerabilities-allow-ics-hacking/ 据工业网络安全公司 Otorio 称，Siemens Automation License Manager 受到两个严重漏洞的影响，这两个漏洞可能会导致黑客入侵工业控制系统 (ICS)。 1 月 10 日，西门子发布了2023 年的第一轮补丁星期二更新，共解决了影响公司产品的 20 个漏洞。 10、Medusa 僵尸网络作为基于 Mirai 的变体归来，并具有勒索软件模块 https://www.bleepingcomputer.com/news/security/medusa-botnet-returns-as-a-mirai-based-variant-with-ransomware-sting/ 免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

区块链安全前传之从Web3.0到创造自己的数字货币

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页第62页第63页第64页第65页第66页第67页第68页第69页第70页第71页第72页第73页第74页第75页第76页第77页第78页第79页第80页第81页第82页第83页第84页第85页第86页第87页第88页第89页第90页第91页第92页第93页第94页第95页第96页第97页第98页第99页第100页第101页第102页第103页第104页第105页第106页第107页第108页第109页第110页第111页第112页第113页第114页第115页第116页第117页第118页第119页第120页第121页第122页第123页第124页第125页第126页第127页第128页第129页第130页第131页第132页第133页第134页第135页第136页第137页第138页第139页第140页第141页第142页第143页第144页第145页第146页第147页第148页第149页第150页第151页第152页第153页第154页第155页第156页第157页第158页第159页第160页第161页第162页第163页第164页第165页第166页第167页第168页第169页第170页第171页第172页第173页第174页第175页第176页第177页第178页第179页第180页第181页第182页第183页第184页第185页第186页第187页第188页第189页第190页第191页第192页第193页第194页第195页第196页第197页第198页第199页第200页第201页第202页第203页第204页第205页第206页第207页