1、恶意PyPi包窃取Discord开发者认证令牌并植入后门 https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-token-theft-and-backdoor 研究人员揭示了一个名为“pycord-self”的恶意Python包，目标是窃取Discord开发者的认证令牌并在其系统中植入后门。该包模仿了流行的合法包“discord.py-self”，后者在PyPi平台上有近2800万次下载。恶意包通过窃取Discord认证令牌，允许攻击者在不需要开发者凭据的情况下接管其Discord账户，即使启用了两步验证也不受影响。此外，攻击者还在受害者系统中 2、新型“Sneaky 2FA”钓鱼工具包绕过微软365双重认证 https://blog.sekoia.io/sneaky-2fa-exposing-a-new-aitm-phishing-as-a-service/ 研究人员揭露了一个名为“Sneaky 2FA”的新型中间人钓鱼工具包，能够绕过微软365账户的双重认证（2FA）并窃取凭据。该工具包自2024年10月起开始活动，已在多个网站上部署。研究人员在去年12月首次发现该工具包，并指出其通过Telegram的恶意Bot以“钓鱼即服务”（PhaaS）形式提供，售价约为每月200美元。攻击者通过伪造包含二维码的支付收据邮件，诱使受害者扫描二维码后访问钓鱼页面。页面经过反分析和反机器人的多重保护措施，能够 3、Wolf Haldenstein律师事务所称黑客攻击影响340万人 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/8fe1643f-846d-45b5-bc4f-8d3c7a9a8fee.html Wolf Haldenstein披露，2023年的一宗重大黑客攻击事件影响了超过340万人。该律师事务所专门为数据泄露案件和其他纠纷代表消费者，该事件涉及的敏感信息包括姓名、社会保障号码、员工识别号、医疗诊断和医疗索赔信息。黑客攻击最早于2023年12月被发现，当时该事务所检测到网络中存在异常活动。经调查，黑客通过未授权访问获取了存储在事务所网络中的部分 4、Otelier数据泄露暴露数百万酒店客人信息 https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of-millions/ 酒店管理平台Otelier报告遭遇数据泄露，黑客通过盗取其Amazon S3云存储中的凭证，窃取了包括万豪、希尔顿和凯悦等知名酒店品牌的客人个人信息和预订数据。据称，黑客在2024年7月至10月期间持续访问Otelier系统，盗取了近8TB的数据。Otelier确认该事件后，已采取措施确保系统安全，并与受影响客户进行沟通。调查显示，黑客通过窃取Otelier员工的登录凭证 5、ChatGPT被曝存在爬虫漏洞，OpenAI未公开承认 https://www.freebuf.com/news/420273.html OpenAI的ChatGPT爬虫似乎能够对任意网站发起分布式拒绝服务（DDoS）攻击，而OpenAI尚未承认这一漏洞。本月，德国安全研究员Benjamin Flesch通过微软的GitHub分享了一篇文章，解释了如何通过向ChatGPT API发送单个HTTP请求，利用ChatGPT爬虫（特别是 ChatGPT-User）向目标网站发起大量网络请求。攻击者可以将单个API请求放大为每秒20到5000次甚至更多的请求，持续不断地发送到目标网站。从实际操作来看，这种连接的洪流虽然不足以使任何网站瘫痪，但仍被认为是一 6、美国发布行政命令要求所有机构加强国家网络安全 https://cybersecuritynews.com/u-s-president-issues-executive-national-cybersecurity/ 为加强国家对网络威胁的防御能力，美国ZT签署了一项行政命令，加强联邦机构和私营部门的网络安全措施。该指令以先前的努力为基础，包括第14028号行政命令和国家网络安全战略，旨在保护关键基础设施、提高软件提供商的责任感并促进网络安全技术的创新。 7、俄罗斯黑客利用恶意二维码攻击WhatsApp用户 https://cybersecuritynews.com/russian-hackers-whatsapp-qr-codes/ Star Blizzard是一个由俄罗斯联邦安全局 (FSB) 支持的网络钓鱼团队，他们发起了一项新的活动，旨在入侵WhatsApp账户并获取其消息和数据。 8、MikroTik僵尸网络依赖DNS配置错误来传播恶意软件 https://securityaffairs.com/173126/hacking/13000-device-mikrotik-botnet-exploiting-dns-flaws.html Infoblox研究人员发现了一个由13000 台MikroTik设备组成的僵尸网络，这些设备利用DNS错误配置来绕过电子邮件保护，欺骗大约20000个域并传播恶意软件。 9、SimpleHelp远程访问软件中的漏洞可能导致系统受损 https://www.securityweek.com/vulnerabilities-in-simplehelp-remote-access-software-may-lead-to-system-compromise/ 网络安全公司Horizon3.ai报告称，SimpleHelp远程访问软件中的漏洞很容易被利用，并可能让攻击者入侵服务器和客户端机器。 10、黑客滥用微软VSCode 远程隧道绕过安全工具 https://www.freebuf.com/news/420277.html 据Cyber Security News消息，微软VSCode 远程隧道功能正被攻击者利用，以绕过安全措施部署恶意脚本。VSCode 远程隧道是流行开发环境中的一项功能，让开发者通过安全隧道连接到远程计算机的本地编码环境，从而提高开发参与度和灵活性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、MikroTik路由器被滥用建立僵尸网络传播恶意软件 https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/ 据研究人员披露，一个由13000台MikroTik设备组成的新型僵尸网络利用SPF DNS记录配置错误，绕过电子邮件安全机制，伪装约20000个域名发送恶意邮件。这些邮件假冒DHL等品牌，附带包含恶意JavaScript的ZIP文件。恶意脚本通过PowerShell与黑客控制服务器通信，用于DDoS攻击、数据窃取 2、黑客利用Google搜索广告窃取Google Ads账户 https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads 安全研究人员发现，黑客通过Google搜索广告推广钓鱼网站，以窃取广告主的Google Ads账户。攻击者发布伪装成Google Ads的广告，链接指向托管在Google Sites上的钓鱼页面，页面外观高度仿冒官方登录界面。受害者输入账户信息后，钓鱼工具收集凭据和唯一标识符，随后黑客通过新增管理员锁定受害者账户，并利用被盗账户发布 3、Avery官网遭黑客攻击致用户信用卡信息泄露 https://www.bleepingcomputer.com/news/security/label-giant-avery-says-website-hacked-to-steal-credit-cards/ 美国标签生产商Avery Products Corporation近日通报，其官网遭遇数据泄露事件，黑客通过植入卡片窃取器盗取客户的支付信息和个人数据。攻击始于2024年7月18日，直至12月9日才被发现，期间客户在官网输入的信用卡信息、姓名、地址和联系方式均被窃取，共影响61193名客户。此次攻击虽未涉及社会安全号码等身份数据，但已足够用于实施欺诈交易。Avery为受影响用户提 4、Windows设备启用BitLocker后出现TPM警告 https://support.microsoft.com/en-us/topic/after-enabling-bitlocker-for-your-security-some-settings-are-managed-by-your-administrator-is-unexpectedly-displayed-5ad9ee7d-cb2c-4bc3-8aed-e7e0ecd11a83 微软正在调查一项影响Windows 10和11设备的BitLocker漏洞，该问题会在启用BitLocker后触发与可信平台模块（TPM）相关的安全警告。受影响的用户在BitLocker控制面板中看到“出于 5、Lazarus利用虚假招聘攻击Web3开发者 https://securityscorecard.com/blog/operation-99-north-koreas-cyber-assault-on-software-developers/ 安全公司SecurityScorecard发布报告，披露朝鲜黑客组织Lazarus集团实施的新一轮攻击行动“99行动”。此次攻击针对全球范围内的Web3和加密货币领域开发者，特别是通过伪造LinkedIn招聘信息吸引受害者。黑客冒充招聘人员，引导开发者克隆恶意GitLab代码库，从而在受害者设备中植入恶意软件。该行动主要目标是窃取源代码、加密货币钱包密钥及其他敏感数据。受害者分布包括意大利、美国、 6、黑客泄露超15000台FortiGate设备配置和VPN凭据 https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f 新兴黑客组织“Belsen Group”在暗网公开泄露了超过15000台FortiGate设备的配置文件、IP地址和VPN凭据。这些数据以国家分类，包含防火墙规则、私钥和部分明文密码，严重威胁网络安全。泄露数据与2022年零日漏洞CVE-2022-40684有关，当时攻击者通过该漏洞下载配置文件并创建恶意超级管理员账户。尽管漏洞已修复，但受影响设备 7、Clop勒索病毒利用Cleo文件传输漏洞攻击多家公司 https://securityaffairs.com/173135/cyber-crime/clop-ransomware-gang-claims-hack-of-cleo-file-transfer-customers.html Clop勒索病毒团伙声称通过利用Cleo文件传输软件的漏洞，攻破了59家公司，并将其数据上传至暗网泄露站点。该漏洞（CVE-2024-50623，CVSS评分8.8）影响了多个Cleo产品，包括Harmony、VLTrader和LexiCom，导致远程代码执行风险。2024年12月，美国网络安全和基础设施安全局（CISA）将这一漏洞列入已知的已被利用漏洞（KEV 8、WGS-804HPT 交换机中的严重缺陷导致 RCE https://thehackernews.com/2025/01/critical-flaws-in-wgs-804hpt-switches.html 网络安全研究人员披露了 Planet Technology 的 WGS-804HPT 工业交换机中的三个安全漏洞，这些漏洞可以链接起来以在易受影响的设备上实现预身份验证远程代码执行。 9、流行的 WordPress 缓存插件使数百万个网站遭受攻击 https://securityonline.info/cve-2024-12365-popular-wordpress-caching-plugin-exposes-millions-of-sites-to-attack/ 任何使用 W3 Total Cache 版本 2.8.1 或更早版本的网站都容易受到攻击。鉴于该插件的受欢迎程度超过 100 万活跃安装量，这代表了 WordPress 生态系统的重要组成部分。 10、Rasa 框架中发现的严重漏洞可实现远程代码执行 https://securityonline.info/critical-vulnerability-in-rasa-framework-enables-remote-code-execution-cve-2024-49375 流行的开源 Rasa 框架中已发现一个严重漏洞 (CVE-2024-49375)。该漏洞的 CVSS 评分为 9.1，允许攻击者通过远程加载恶意制作的模型来实现 RCE。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Snyk涉嫌上传恶意包针对Cursor测试人员 https://sourcecodered.com/snyk-malicious-npm-package/ 开发者安全公司Snyk被指涉嫌通过NPM上传恶意包，目标可能是AI代码编辑器Cursor。安全研究员Paul McCarty发现，名为“sn4k-s3c”的用户上传了三个包，分别为“cursor-retrieval”“cursor-always-local”和“cursor-shadow-workspace”，这些包会收集系统数据并发送至攻击者控制的服务器。其中“cursor-shadow-workspace”可窃取环境变量信息，如GitHub凭据、AWS密钥和NPM令牌。相关包现已从 2、Fortinet警告零日漏洞攻击可暴露防火墙接口 https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/ Fortinet近日披露，未知威胁行为者利用零日漏洞针对暴露管理接口的FortiGate防火墙设备发起攻击。自2024年11月中旬起，攻击者通过未经授权的管理员登录更改配置、创建新账户，并利用DCSync技术提取凭据。受影响设备的固件版本为7.0.14至7.0.16。攻击分为四阶段，涵盖漏洞扫描、配置修改、创建超级管理员账户及SSL VPN隧道，最终通过VPN访问横向移动。攻击者活动与jsconsole接口的异常使 3、黑客利用虚假YouTube链接窃取登录凭证 https://hackread.com/hackers-fake-youtube-links-steal-login-credentials/ 网络犯罪分子通过伪造的YouTube链接引导用户访问钓鱼页面，窃取登录凭证。ANY.RUN的分析显示，攻击者使用URI操控和多层重定向技术，使恶意链接看似可信。这些链接通常伪装为以“http://youtube”开头的地址，通过电子邮件诱导用户点击。重定向过程中，黑客还模拟Cloudflare验证页面，降低用户警觉。最终，受害者被引导至逼真的钓鱼页面输入登录信息。该攻击与Storm1747组织相关，利用Tycoon 2FA等钓鱼工具包，快速部署大规 4、SimpleHelp关键漏洞可致文件泄露及远程控制 https://www.horizon3.ai/attack-research/disclosures/critical-vulnerabilities-in-simplehelp-remote-support-software/ 研究人员披露了SimpleHelp远程访问软件中多个高危漏洞，可能导致信息泄露、权限提升及远程代码执行（RCE）。其中CVE-2024-57727允许未经身份验证的攻击者通过路径遍历下载敏感文件；CVE-2024-57728可让具有管理员权限的攻击者上传恶意文件；CVE-2024-57726则能让低权限技术员通过后端授权漏洞提升为管理员。这些漏洞可被组合利用，攻击 5、美国保险公司被指控非法收集和出售位置数据 https://www.malwarebytes.com/blog/news/2025/01/insurance-company-accused-of-using-secret-software-to-illegally-collect-and-sell-location-data-on-millions-of-americans 德州总检察长Ken Paxton指控保险公司Allstate及其子公司Arity，秘密嵌入软件至移动应用中，非法收集4500万美国用户的实时位置和驾驶数据，违反德州《数据隐私与安全法案》。这些数据被用于提高保险费率，并出售给第三方，包括其他保险公司。Arity通过 6、Rsync工具曝6个严重漏洞，可执行远程代码 https://www.freebuf.com/news/419987.html 超过660000台暴露的Rsync服务器可能受到六个新漏洞的攻击，其中包含一个严重程度极高的堆缓冲区溢出漏洞，该漏洞允许在服务器上执行远程代码。 7、由于隧道协议缺陷，数百万互联网主机容易受到攻击 https://www.securityweek.com/millions-of-internet-hosts-vulnerable-to-attacks-due-to-tunneling-protocol-flaws/ 新研究表明，互联网上超过 400 万个系统，包括 VPN 服务器和家庭路由器，由于隧道协议缺陷而容易受到攻击。这项研究由比利时鲁汶大学教授Mathy Vanhoef和博士生 Angelos Beitis 与 VPN 测试公司 Top10VPN 合作进行。 8、新的UEFI安全启动漏洞可能允许加载恶意 Bootkit https://thehackernews.com/2025/01/new-uefi-secure-boot-vulnerability.html 有关现已修补的安全漏洞的详细信息已经出现，该漏洞可能允许绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制。根据与 ESET 共享的一份新报告，该漏洞的 CVE 标识符为CVE-2024-7344 （CVSS 评分：6.7），存在于由 Microsoft 的“Microsoft Corporation UEFI CA 2011”第三方 UEFI 证书签名的 UEFI 应用程序中。 9、研究发现尽管有Active Directory限制仍允许利用NTLMv1的漏洞 https://thehackernews.com/2025/01/researchers-find-exploit-allowing.html 网络安全研究人员发现，设计用于禁用 NT LAN Manager (NTLM) v1 的 Microsoft Active Directory 组策略可以通过错误配置轻松绕过。Silverfort 研究员 Dor Segal 在与 The Hacker News 分享的一份报告中表示：“本地应用程序中的简单错误配置可能会覆盖组策略，从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。” 10、泰国总理遭遇电诈：骗子用AI冒充外国领导人声音要求捐款 https://baijiahao.baidu.com/s?id=1821382882597941316 泰国总理佩通坦15日对媒体透露，自己也曾遭遇诈骗，对方用AI技术模拟东盟某国领导人的声音，通过音频称希望合作。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

好久前偶遇一个站点，前前后后大概挖了三个月才基本测试完毕，出了好多漏洞，也有不少高危，现在对部分高危漏洞进行总结分析。 nday进后台： 开局一个登录框： 通过熊猫头插件提取接口，并结合js分析，跑遍了提取到的路径也没有结果。尝试弱口令登录，但是由于连用户名提示都没有，也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。 语句：xxx系统历史漏洞 or xxx平台历史漏洞 如上图，拼接payload，通过/../..;号实现权限绕过： 302跳转进入后台，发现为管理员界面。 进入一个系统时，一定不要着急马上测试，要先总体看看这个系统的功能点，基本结构，布局，然后再将功能点转化为数据包，接口，参数进行测试。 总体看了看系统功能点，便点进个人信息处，尝试文件上传漏洞getshell。 点击选择，随后页面进行了一个奇怪的跳转：新开了一个页面 我先尝试文件上传，不过只能上传图片格式，我观察到该文件路径中存在：type=images，于是尝试将images自行修改，不过这种页面居然不能修改url，于是复制url放到正常浏览器访问，尝试修改无果。 发现页面存在修改文件后缀功能，但也被限制。 这时我发现站点采用了ckfinder编辑器，于是按照：xxx历史漏洞继续搜索：\ 翻看大量文章后并未发现能成功复现的漏洞，但我发现了ckfinder的一个新路径： 将url的?后面全部删除进入如下界面： 这时发现刚才原来只是处于images文件夹下，所以被限制很严格。 于是我再次在files文件夹下上传可执行文件，但jsp和php之类均被限制，jspf或者jspx也无法绕过，只有尝试xss类型文件上传了： 上传发现关键字被黑名单限制，于是先上传了一个空的txt文档，上传后再对内容，后缀名进行修改： 修改如下： 双击访问： 成功执行恶意js代码，造成弹窗，这种漏洞就会很容易在管理员访问时，直接将cookie盗取。 同时记住，想这种功能点，属于站点较为深入的功能点处，还极可能存在未授权访问漏洞，删除认证字段访问： 访问成功，由此获得未授权访问加xss类型文件上传漏洞。 这种类型漏洞就可用作挂马，制作钓鱼页面等高危害操作。 多处sql注入漏洞： 该站点功能点很多，这也是为什么我测了很久的原因： 注入点1： 经过翻找发现如下页面，可直接执行sql语句： 输入sql语句抓包查看： 延时成功，虽然从设计功能点来看，这其实并不能算是漏洞，因为本身开发者就是要这么设计的，但在挖掘漏洞时，这种功能点依旧可以通过审核，且在实战中如果这类功能点没有做好权限限制，也能利用sql语句获取敏感信息，写马，修改账户密码等。 注入点2： 功能点如下，此站点查询功能点极其多，但并不是每一个都有漏洞，所以黑盒测试就需要一个个慢慢测试： 抓包，输入单引号报错，两个单引号页面正常，尝试sql手注： 利用堆叠注入延时成功。 数据库的遍历： 继续探索，发现如下页面： 先前便提到过，黑河测试一定要将功能点转化为数据包，接口，参数进行测试，不然这时我可能只会看到一个数据库信息而已。 我翻看该功能点数据包时，直接就发现了展现该页面的请求包与返回数据： 如上图，泄露了数据库地址，账户密码。 但此时注意请求包参数：id=1，很明显，我直接遍历id值： 在前端其实只能看到一个数据库的地址，用户密码。也就是id=1时的数据，而转化为数据包观察，直接实现数据库信息遍历，拿下五台数据库敏感信息，包含mysql，oracle等类型，危害瞬间扩大。

1、Codefinger勒索软件使用SSE-C加密S3存储桶 https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c 一个名为Codefinger的勒索团伙通过AWS的服务器端加密选项（SSE-C）加密目标组织的AWS S3数据，要求受害者支付赎金以获取加密密钥。攻击者利用被泄露或盗取的AWS密钥，使用AES-256加密算法，通过x-amz-server-side-encryption-customer-algorithm标头执行加密。由于AWS仅记录HMAC值而不存储密钥，受害者无法自行解密数据。攻击者未窃取 2、2024年针对VMware ESXi服务器的勒索软件攻击激增 https://thehackernews.com/2025/01/ransomware-on-esxi-mechanization-of.html 2024年，针对VMware ESXi服务器的勒索攻击显著增加，平均赎金高达500万美元。多数攻击使用改良的Babuk勒索软件变种，这些变种专为规避安全工具检测而设计。攻击者通过加密ESXi关键文件（如VMDK、VMEM、VSWP、VMSN文件）使虚拟机不可用，同时通过对称加密与非对称加密结合的方法加速数据加密并确保密钥安全。勒索软件团伙还通过出售初始访问权限获利，使得攻击链更加复杂。由于ESXi架构中的vCenter服务器集中管理多个ESXi 3、Path of Exile 2管理账户被攻破引发玩家账户大规模被黑 https://www.pathofexile.com/forum/view-thread/3667200 《Path of Exile 2》（PoE 2）开发团队确认，一名管理员账户被黑客攻破，导致至少66个玩家账户密码被篡改。自2024年11月以来，玩家账户接连遭到攻击，珍贵游戏物品被窃，无法恢复。攻击者利用管理员账户，通过一个旧Steam账户漏洞获取访问权限，并使用部分信用卡信息骗取Steam支持重置账户凭证。开发团队承认，由于安全日志保留时间不足，事件的完整影响范围难以确认。此次事件暴露了PoE 2后台系统的严重漏洞，包括密码修改被错误记录为可编辑的备注而非不可更改的审计条目，导致黑 4、英国域名注册机构Nominet遭Ivanti零日漏洞攻击 https://www.helpnetsecurity.com/2025/01/13/uk-domain-registry-nominet-breached-via-ivanti-zero-day-cve-2025-0282/ 英国域名注册机构Nominet近日证实其网络因Ivanti Connect Secure的零日漏洞（CVE-2025-0282）被攻破，成为首个公开受此漏洞影响的机构。该漏洞为堆栈缓冲区溢出，允许攻击者安装恶意软件、进行网络侦察并实施横向移动。研究人员观察到攻击者自2024年12月中旬开始利用该漏洞。尽管Ivanti和Mandiant等机构发布了补丁和缓解措施，但全球 5、谷歌发布了 Chrome 132，修复了 16 个漏洞 https://www.securityweek.com/chrome-132-patches-16-vulnerabilities/ 谷歌周二宣布向稳定频道发布 Chrome 132，其中包含 16 个安全修复程序，其中 13 个修复了外部研究人员报告的漏洞。 6、美日本韩三国指责朝鲜黑客盗窃 6.6 亿美元加密货币 https://www.securityweek.com/us-japan-south-korea-blame-north-korean-hackers-for-660m-crypto-heists/ 美国、日本和韩国周二在一份联合声明中表示，朝鲜黑客在 2024 年窃取了约 6.6 亿美元的加密货币。这三个国家表示，朝鲜民主主义人民共和国 (DPRK) 黑客去年至少实施了五起加密货币盗窃案，分别从DMM Bitcoin窃取了 3.08 亿美元、从 Upbit 窃取了 5000 万美元、从 Rain Management 窃取了 1613 万美元、从WazirX窃取了 2.35 亿美元，以及 7、Fortinet 确认新的零日漏洞利用 https://www.securityweek.com/fortinet-confirms-new-zero-day-exploitation/ Fortinet 周二发布了十多个新公告，描述了该公司产品中最近发现的严重和高严重性漏洞，其中包括至少自 2024 年 11 月以来就已被广泛利用的零日漏洞。该零日漏洞被追踪为CVE-2024-55591 ，Fortinet 将其描述为影响 FortiOS 和 FortiProxy 的严重漏洞，远程攻击者可利用该漏洞使用特制的 Node.js 请求来获取超级管理员权限。网络套接字模块。 8、Windows远程桌面网关出现重大漏洞 https://www.freebuf.com/news/419872.html 微软披露了其Windows远程桌面网关（RD Gateway）中的一个重大漏洞，该漏洞可能允许攻击者利用竞争条件，导致拒绝服务（DoS）攻击。该漏洞被标识为CVE-2025-21225，已在2025年1月的补丁星期二更新中得到修复。 9、DockerHub 上发现恶意 Kong Ingress 控制器镜像 https://hackread.com/malicious-kong-ingress-controller-image-dockerhub/ 已检测到软件供应链中存在严重安全漏洞。攻击者访问了 Kong 的 DockerHub 帐户，并用恶意版本替换了合法的 Kong Ingress Controller v.3.4.0 映像。Kong Ingress Controller 版本 3.4.0 中发现了一个严重的安全漏洞。该漏洞源于 2024 年 12 月 23 日上传到 DockerHub 的未经授权的镜像。受影响的镜像(hash:sha256:a00659df0771d076fc9d0b 10、Atheos 基于 Web 的 IDE 中发现严重漏洞 https://securityonline.info/cve-2025-22152-cvss-9-4-severe-vulnerabilities-found-in-atheos-web-based-ide Atheos 项目的安全公告披露了一个严重漏洞 (CVE-2025-22152)，该漏洞可能会危害运行基于 Web 的 IDE 框架的服务器。该路径遍历缺陷的 CVSSv4 得分为 9.4，使用户面临重大风险，包括未经授权的文件访问、远程代码执行和任意文件上传。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、WordPress电商结账页面被信用卡窃取恶意程序攻击 https://blog.sucuri.net/2025/01/stealthy-credit-card-skimmer-targets-wordpress-checkout-pages-via-database-injection.html 网络安全研究人员警告，一种新型信用卡窃取恶意程序正在利用WordPress电商网站的结账页面实施攻击。该恶意程序通过将恶意JavaScript代码注入WordPress数据库表（如wp_options表）实现持久化，避免了传统扫描工具的检测。代码会在用户进入结账页面时激活，通过伪造的信用卡表单或劫持合法支付字段窃取信用卡信息，包括卡号、有效期、CVV等 2、亲俄黑客NoName057再度攻击意大利关键目标 https://securityaffairs.com/172982/hacktivism/noname057-targets-italy.html 在乌克兰总统泽连斯基访问意大利期间，亲俄黑客组织NoName057(16)发起了一系列DDoS攻击，目标涉及意大利政府机构、关键基础设施以及私营企业。受影响的网站包括外交部、基础设施与交通部、金融市场监管机构Consob、空军、海军和多个地方公共交通公司。此外，意大利的多家银行和港口也遭到攻击。攻击者通过Telegram频道宣布对事件负责，并批评意大利对乌克兰的支持。该组织自2022年3月以来活跃，擅长利用Bobik僵尸网络在地缘政治紧张时期展 3、Aviatrix漏洞被利用安装后门和挖矿木马 https://www.wiz.io/blog/wiz-research-identifies-exploitation-in-the-wild-of-aviatrix-cve-2024-50603 黑客正积极利用Aviatrix Controller中的关键远程命令执行漏洞（CVE-2024-50603）在受害者系统中植入Sliver后门并进行Monero加密货币挖矿攻击。该漏洞源于API输入验证不足，允许攻击者通过特制请求执行系统级命令，无需认证即可实现控制。此漏洞影响7.x至7.2.4820版本的Aviatrix Controller，用户应尽快升级至7.1.4191或7.2.4996 4、macOS漏洞允许黑客安装恶意内核驱动 https://www.microsoft.com/en-us/security/blog/2025/01/13/analyzing-cve-2024-44243-a-macos-system-integrity-protection-bypass-through-kernel-extensions/ 苹果修复了一项macOS漏洞（CVE-2024-44243），该漏洞可被攻击者利用绕过系统完整性保护（SIP），安装恶意内核驱动程序。SIP是macOS的重要安全功能，旨在限制root用户对系统关键区域的修改，通常需通过物理访问并使用恢复模式禁用。该漏洞存在于负责磁盘状态管理的Storage 5、欧盟执法培训机构近10万名个人数据遭泄露 https://www.cepol.europa.eu/newsroom/news/update-notification-data-breach-3 欧盟执法培训机构（CEPOL）在2024年5月遭受网络攻击，导致约97000名参与其培训活动的人员个人数据可能被泄露。受影响数据包括姓名、电子邮件、电话号码、职务、组织、专业资质等。CEPOL自10月起向受影响人员发送通知，并采取措施重建其IT系统，但仍警告数据可能被用于量身定制诈骗、网络骚扰、勒索等恶意活动。用户被建议更改密码、启用多因素认证并警惕可疑行为。 6、OneBlood证实个人数据在7月份的勒索攻击中被盗 https://www.anquanke.com/post/id/303482 非营利性献血组织 OneBlood 证实，去年夏天，献血者的个人信息在一次勒索软件攻击中被盗。OneBlood 于 2024 年 7 月 31 日首次向公众通报了这一攻击事件，指出勒索软件攻击者对其虚拟机进行了加密，迫使该医疗机构退回到使用人工流程的状态。 7、攻击者利用Youtube评论区传播窃密软件 https://www.freebuf.com/news/419785.html 趋势科技的一项调查研究发现，为了尽可能传播恶意软件，攻击者正利用Youtube评论区、谷歌搜索等渠道提供其恶意下载链接。研究人员称，为了增加其恶意内容的可信度，攻击者以一些热门Youtube频道为目标，其中一些频道拥有数十万订阅者。这些受感染的频道声称提供破解版的高级软件或游戏，并在视频描述或评论中提供带有安装指南的下载链接。 8、网络安全机构预测深度伪造将成为2025年主要欺诈手段 https://finance.eastmoney.com/a/202501133295065340.html 全球网络安全机构派拓网络发布的亚太地区网络安全预测显示，2025年，深度伪造将被更加频繁地单独使用或加入到更大规模的攻击中。 9、研究人员成功入侵苹果新型USB-C控制器 https://cybersecuritynews.com/apples-new-usb-c-controller-hacked/ 安全研究人员成功入侵了自iPhone 15 和 iPhone 15 Pro引入的苹果ACE3 USB-C控制器，引发了对设备安全性和潜在漏洞的质疑。 10、微软周二补丁修复了被利用的Hyper-V 三个零日漏洞 https://www.securityweek.com/microsoft-patches-trio-of-exploited-windows-hyper-v-zero-days/ 周二补丁日：Microsoft 的 1 月补丁日推出包括对 160 个安全缺陷的修复，这是至少自 2017 年以来任何一个月解决的 CVE 数量最多的一次。这家软件巨头周二呼吁紧急关注 Windows Hyper-V NT 内核集成虚拟化服务提供商 （VSP） 中的三个独立缺陷，并警告说恶意攻击者已经在发起权限提升漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新的Web3攻击利用交易模拟来窃取加密货币 https://drops.scamsniffer.io/transaction-simulation-spoofing-a-new-threat-in-web3/ 攻击者利用名为“交易模拟欺骗”的新技术漏洞，针对Web3钱包实施攻击，成功窃取143.45个以太坊（约合46万美元）。该漏洞源于现代Web3钱包的交易模拟功能设计缺陷，此功能原本用于让用户在交易前预览区块链操作的预期结果。然而，攻击者通过伪装成合法平台的网站引诱受害者执行所谓的“Claim”操作，并利用模拟与执行之间的时间差修改链上合同状态，从而转移受害者的全部资产。 2、研究人员表示2025年云安全与AI威胁挑战将愈发严峻 https://www.govinfosecurity.com/cloud-security-apt-threats-ai-risks-loom-large-in-2025-a-27265 2025年，人工智能（AI）技术的快速发展为云安全带来了新挑战，同时也为威胁缓解提供了创新工具。Mandiant高级威胁情报顾问Jamie Collier表示，安全机构正迈入AI创新的第二阶段，计划部署半自动化操作以优化警报解析、高优先级任务生成和风险缓解。Collier强调，AI在网络钓鱼与反欺诈领域的应用将显著增强工作流程效率。然而，云安全依然面临国家级威胁、混合云环境中身份泄露风险及黑客利用其突破云 3、微软起诉利用Azure AI创建有害内容的黑客组织 https://blogs.microsoft.com/on-the-issues/2025/01/10/taking-legal-action-to-protect-the-public-from-abusive-ai-generated-content/ 微软近日宣布对一个“基于外国的威胁行为组织”采取法律行动，指控其通过黑客服务架构绕过Azure OpenAI服务的安全控制，用于生成有害内容。微软数字犯罪部门发现，该组织窃取公开网站上的客户凭证，并非法访问生成式AI服务，定制工具供其他恶意行为者使用。案件涉及通过被盗Azure API密钥和Entra ID信息滥用微软服务，以DALL- 4、西班牙电信确认内部工单系统被攻破并发生数据泄露 https://www.bleepingcomputer.com/news/security/telefonica-confirms-internal-ticketing-system-breach-after-data-leak/ 西班牙电信（Telefónica）确认其内部工单系统遭黑客入侵，约2.3 GB的文件和工单数据被泄露到黑客论坛。据称，攻击者通过员工账户凭证入侵内部Jira系统，窃取涉及@telefonica.com邮箱的内部和客户相关工单。此次攻击未伴随勒索行为，但其中三名攻击者与新兴的Hellcat勒索软件团伙有关联。目前，西班牙电信已采取措施阻止未授权访问并重置受影响账户 5、黑客利用 Aviatrix 控制器漏洞部署后门和挖矿 https://thehackernews.com/2025/01/hackers-exploit-aviatrix-controller.html 最近披露的一个影响https://docs.aviatrix.com/documentation/latest/getting-started/platform-overview/index.html云网络平台的严重安全漏洞已被广泛利用，以部署后门和加密货币挖矿程序。云安全公司 Wiz 表示，目前正在应对涉及https://thehackernews.com/2025/01/major-vulnerabilities-patched-in.ht 6、谷歌安全研究人员发现了针对三星设备的零点击漏洞 https://thehackernews.com/2025/01/google-project-zero-researcher-uncovers.html 网络安全研究人员详细介绍了三星智能手机上影响Monkey's Audio (APE) 解码器的一个现已修补的安全漏洞，该漏洞可能导致代码执行。该高严重性漏洞编号为CVE-2024-49415 （CVSS 评分：8.1），影响运行 Android 版本 12、13 和 14 的三星设备。 7、NETGEAR路由器漏洞(CVE-2024-12847)已被广泛利用多年 https://securityonline.info/cve-2024-12847-cvss-9-8-netgear-router-flaw-exploited-in-the-wild-for-years-poc-published 多个 Netgear 路由器中发现了严重的安全漏洞，允许远程攻击者获得对设备的未经授权的访问和控制。该漏洞被识别为 CVE-2024-12847 (CVSS 9.8)，至少自 2017 年以来就已被广泛利用。该漏洞针对以下 NETGEAR 设备的嵌入式 Web 服务器：NETGEAR DGN1000 ：固件版本低于 1.1.00.48，NETGEAR DGN2 8、使用AI开发的新兴 FunkSec 勒索软件已攻击85名受害者 https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai/ 2024年底，新兴勒索软件组织FunkSec浮出水面，该团伙借助人工智能（AI）工具，使用双重勒索策略加密并窃取数据，以低至1万美元的赎金威胁受害者，并以折扣价出售窃取数据。FunkSec在其数据泄露网站上整合勒索业务，还引入DDoS攻击工具和勒索软件即服务（RaaS）模式，进一步扩展其影响力。受害者分布于美国、印度、意大利等七国，部分成员疑与黑客活动相关联，彰显黑客主义与网络犯罪的界限愈加模糊。FunkSec工具开 9、网络钓鱼短信诱骗Apple iMessage用户禁用保护 https://www.anquanke.com/post/id/303439 网络犯罪分子正在利用一种技巧关闭苹果 iMessage 的内置网络钓鱼保护功能，并诱骗用户重新启用已禁用的网络钓鱼链接。 10、1亿macOS用户面临Banshee新变种威胁 https://www.freebuf.com/news/419718.html 研究人员分析了 Banshee macOS Stealer样本的新版本，该样本最初避开了大多数反病毒引擎的检测。Banshee是一种窃取恶意软件，通过使用反分析技术（例如分叉和进程创建）来避免检测，目标是用户凭证、浏览器数据和加密钱包。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型远程控制木马NonEuclid感染Windows系统 https://www.cyfirma.com/research/noneuclid-rat/ 研究人员近日揭示了一种名为NonEuclid的远程访问木马（RAT），其以高级隐蔽与反检测技术著称。该恶意软件由C#开发，具备绕过杀毒软件、防护逃逸、特权升级以及针对关键文件的勒索加密功能。NonEuclid自2024年11月起在地下论坛广泛推广，甚至在Discord和YouTube上出现相关教程。该木马通过Windows API调用监控分析工具，利用虚拟环境检测和Windows AMSI绕过等技术，避免被检测。此外，它还通过修改注册表、创建计划任务等方式实现持久化，并能通过绕过用户账户控制（UA 2、新型PayPal钓鱼攻击利用MS365绕过检测 https://www.fortinet.com/blog/threat-research/phish-free-paypal-phishing 研究人员揭露了一种复杂的PayPal钓鱼诈骗，利用Microsoft365的功能和真实邮件迷惑用户。攻击者通过MS365注册测试域名，并创建包含受害者邮箱的分发列表，以此发送真实的PayPal资金请求邮件，从而绕过反钓鱼过滤器。受害者点击链接后，会被引导至合法的PayPal登录页面，登录后账户可能被自动链接至攻击者账户，导致资金风险。这一攻击不依赖传统的钓鱼技术，邮件和链接看似完全合法，使得普通用户更易中招。 3、Chrome与Firefox紧急更新修复高危内存安全漏洞 https://www.zdnet.com/article/update-chrome-and-firefox-now-to-patch-these-critical-security-flaws/ Chrome和Firefox近日发布了关键安全更新，修复了多项严重漏洞。Chrome更新至31.0.6778.264/265版（Windows和Mac）及131.0.6778.264版（Linux），修补了四个漏洞，其中最严重的CVE-2025-0291为V8 JavaScript引擎中的类型混淆问题，可能被远程利用以运行恶意代码或发起拒绝服务攻击。Firefox则更新至134版，修复了11个安 4、GroupGreeting网站遭遇zqxq恶意代码注入攻击 https://www.malwarebytes.com/blog/news/2025/01/groupgreeting-e-card-site-attacked-inzqxq-campaign 研究人员近日发现，“zqxq”恶意代码注入攻击影响了GroupGreeting.com，这一企业常用的电子贺卡平台。该攻击行为与NDSW/NDSX或TDS Parrot恶意软件活动类似，利用高流量网站和节日期间访问激增的机会，向访客植入恶意代码。据悉，超过2800个网站遭遇类似攻击。攻击通过高度混淆的JavaScript代码隐藏恶意重定向及远程加载恶意脚本功能。代码中使用随机令牌生成、条件检查和流量 5、SonicWall警告SonicOS漏洞存在被利用风险 https://securityaffairs.com/172823/security/sonicwall-sonicos-authentication-bypass-flaw.html SonicWall近日发布安全通知，警告其防火墙SonicOS中存在一个身份验证绕过漏洞（CVE-2024-53704，CVSS评分：8.2），主要影响启用了SSL VPN或SSH管理功能的设备。该漏洞被认为存在实际利用风险，可能被攻击者绕过身份验证获取未经授权的访问权限。SonicWall已发布新版固件修复此漏洞，并建议用户立即升级到最新版本，其中包括对其他较低严重性漏洞的修复。受影响设备包括Gen 6、 6、GFI KerioControl存在严重RCE漏洞可被进行远程代码执行 https://karmainsecurity.com/hacking-kerio-control-via-cve-2024-52875 GFI KerioControl防火墙被曝存在严重的远程代码执行（RCE）漏洞（CVE-2024-52875），攻击者可通过CRLF注入攻击实现HTTP响应拆分，进而触发跨站脚本（XSS）等攻击。该漏洞影响版本9.2.5至9.4.5，并允许通过构造恶意URL诱使管理员执行恶意代码。研究表明，截至2024年12月28日，已有来自新加坡和香港的7个IP发起利用攻击。超过23800个公开的GFI KerioControl实例可能面临风险，主要分布在伊朗、乌兹别克 7、虚假PoC漏洞利用恶意软件攻击网络安全研究人员 https://hackread.com/fake-poc-exploit-hit-cybersecurity-researchers-malware/ 研究人员发现一个针对CVE-2024-49113漏洞的假PoC（概念验证）漏洞利用工具，该漏洞是微软Windows LDAP服务中的一个拒绝服务漏洞。攻击者通过伪装成合法的PoC，诱使安全研究人员下载并执行恶意软件。该恶意软件窃取计算机和网络信息，并将数据传输至攻击者的服务器。该攻击被命名为“LDAPNightmare”，采用伪装成合法代码库的方式，欺骗受害者。受害者下载的看似无害的文件，实际上包含恶意的PowerShell脚本，最终执行并 8、美国医疗账单服务商Medusind遭遇数据泄露影响36万人 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/bf4aed39-d2f2-4ce2-bd56-5357107d7f3c.html 医疗账单服务公司Medusind披露，2023年12月发生的数据泄露事件影响了超过36万名个人。事件发生在12月29日，Medusind发现其IT网络出现可疑活动后，立即采取行动，将受影响的系统下线，并聘请了网络安全取证公司进行调查。调查结果表明，黑客可能获取了包含个人敏感信息的文件，包括健康保险和账单信息、支付信息、医疗历史、政府身份证明（如社会安全号 9、终端变“矿场”，挖矿病毒借破解版软件无声“开矿” https://www.freebuf.com/news/419052.html 近期，火绒威胁情报中心监测到 XMRig 挖矿病毒正在通过破解软件进行传播，该破解软件下载链接由 CSDN 用户在其发布的文章中提供。破解软件中的脚本可以进行创建计划任务、检查 CPU 数量与修改挖矿线程数等操作，最终执行 XMRig 挖矿病毒进行挖矿。 10、网络钓鱼活动利用CrowdStrike招聘骗局传播挖矿软件 https://cybersecuritynews.com/fake-crowdstrike-job-offers/ CrowdStrike近日发出一则提醒，称一个网络钓鱼活动冒充自己发布虚假招聘，以借此向受害者传播门罗币加密货币矿工 （XMRig） 。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、中东地区诈骗分子冒充政府官员窃取OTP https://www.group-ib.com/blog/social-engineering-in-action/ 根据研究人员的报告，中东地区出现了一种精密的退款诈骗，诈骗分子冒充政府官员，利用远程控制工具如AnyDesk和TeamViewer窃取受害者的个人和财务信息。受害者通常是在向政府服务门户提交投诉后成为目标，诈骗分子通过电话联系并要求受害者下载远程控制软件，借此获取设备访问权限。获准访问后，诈骗分子能查看受害者的屏幕并盗取信用卡信息及一次性密码（OTP）。这种骗局特别有效，因为它针对的是信任政府机关的受害者，且平均损失达到1300美元，部分受害者损失高达5000美元。此案件可 2、超4000个后门通过注册过期域名被劫持 https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/ 研究人员发现，超过4000个被遗弃但仍活跃的Web后门被劫持，黑客通过注册过期域名重新控制了这些后门的通信基础设施。此次行动由WatchTowr Labs和The Shadowserver Foundation合作进行，成功防止了这些域名落入恶意攻击者手中。被劫持的后门类型主要包括r57shell、c99shell和“China Chopper”等多种恶意Web Shell。通过注册超过40个过期域名，研究人员监测到这些后门系统的通信请求，并追踪到 3、黑客利用KerioControl防火墙漏洞窃取管理员CSRF令牌 https://censys.com/cve-2024-52875/ 黑客正在利用KerioControl防火墙产品中的一个关键性CRLF注入漏洞（CVE-2024-52875）发起远程代码执行（RCE）攻击。该漏洞影响KerioControl版本9.2.5至9.4.5，由于在'dest'参数中对换行符（LF）字符的处理不当，攻击者可以通过注入恶意负载操控HTTP头和响应。攻击者通过在受害者浏览器执行注入的JavaScript，窃取Cookies或CSRF令牌。一旦获取管理员的CSRF令牌，攻击者便可利用KerioControl的升级功能上传恶意.img文件，植入包含root级别的Shell 4、CISA警告Mitel和Oracle系统严重漏洞已被积极利用 https://www.cisa.gov/news-events/alerts/2025/01/07/cisa-adds-three-known-exploited-vulnerabilities-catalog 美国网络安全与基础设施安全局（CISA）近日将Mitel MiCollab和Oracle WebLogic Server的三个严重漏洞列入已知被利用漏洞（KEV）目录，并确认这些漏洞正受到活跃攻击。CVE-2024-41713与CVE-2024-55550可链式利用，允许远程未认证攻击者读取服务器上的任意文件。Censys数据显示，全球共有超过5600个Mitel MiCollab 5、联合国航空机构确认招聘数据库遭受数据泄露 https://www.bleepingcomputer.com/news/security/un-aviation-agency-confirms-recruitment-database-security-breach/ 联合国航空机构（ICAO）确认，其招聘数据库遭到黑客攻击，约42000条记录被盗。此次事件发生在ICAO宣布调查潜在的“信息安全事件”后两天，黑客使用“Natohub”身份在黑客论坛BreachForums泄露了包含姓名、出生日期、地址、电话号码、电子邮件地址以及教育和就业信息的文件。ICAO表示，虽然泄露的招聘数据涉及个人信息，但未包括财务信息、密码、护照信息或申请人 6、MacOS漏洞CVE-2024-54527曝光：PoC 利用代码已发布 https://www.anquanke.com/post/id/303379 安全研究人员 Mickey Jin 提供了一份详细的技术和概念验证 (PoC) 漏洞利用代码，揭示了 macOS 中的一个关键 TCC（透明度、同意和控制）绕过漏洞 CVE-2024-54527。这个影响 MediaLibraryService XPC 服务的漏洞展示了攻击者如何操纵权限绕过 TCC 保护，从而带来重大安全风险。 7、俄乌网络战大事件：乌克兰黑客黑掉了俄罗斯互联网 https://www.freebuf.com/news/419374.html 乌克兰黑客组织“乌克兰网络联盟”的成员本周二（1月7日）在Telegram上 宣布，他们已经攻破了俄罗斯互联网服务提供商Nodex的网络，并在窃取敏感文件后清空了系统。同时，他们还分享了在攻击期间黑掉的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。 8、戴尔系统更新包框架现严重漏洞，可提升攻击者权限 https://www.freebuf.com/news/419366.html 据Cyber Security News消息，戴尔（Dell）电脑的系统更新包 （DUP） 框架被发现一个严重安全漏洞，可能会使系统面临来自攻击者的权限提升和拒绝服务攻击。该漏洞被跟踪为 CVE-2025-22395，CVSS评分8.2，影响 22.01.02 之前的 DUP 框架版本，允许具有低权限的本地攻击者利用该框架在服务器上执行任意远程脚本，从而导致未经授权的系统访问、服务中断以及敏感数据的潜在泄露。 9、英国重拳出击：创建和分享deepfakes不雅内容将面临刑事处罚 https://www.ithome.com/0/823/140.htm 路透社报道称英国政府重拳出击，明确创建、分享不雅“深度伪造”（deepfakes）图像，属于刑事犯罪。此举将填补现有立法的空白，并更好地保护受害者。 10、远程召唤功能存在安全隐患，260 万辆特斯拉汽车在美遭调查 https://www.theregister.com/2025/01/08/nhtsa_tesla_smart_summon/ 美国国家公路交通安全管理局（NHTSA）在收到多起碰撞事故报告，宣布在美国启动调查 260 万辆特斯拉汽车。 调查涉及远程控制功能 Actually Smart Summon， 该功能允许汽车在短距离内自动驾驶，此前有报道称该代码在物理上出现了崩溃 。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1. 概述 在一般的软件中，我们逆向分析时候通常都不能直接看到软件的明文源代码，或多或少存在着混淆对抗的操作。下面，我会实践操作一个例子从无从下手到攻破目标。 花指令对抗 虚函数表 RC4 2. 实战-donntyousee 题目载体为具有漏洞的小型软件，部分题目提供源代码，要求攻击者发现并攻击软件中存在的漏洞。 2.1 程序测试 首先拿到这道题目,查壳看架构,elf64 放到虚拟机中运行一下 plz input your flag 8888888888888 wrong ida64反编译，发现软件进行了去符号处理，最直白就是没有main()函数。 但是ida自动帮我们定位到了系统入口函数start()。 然后我们查字符串 plz、wrong，均无法查到相关字符串 可见程序对静态分析做了很大的操作，防止一眼顶真。 然后我们回到系统入口函数start，F5反编译。 程序无法完全反编译，并且发现init和fini均无法正常识别。 进入main函数，即sub_405559()，无可用信息。 2.2 花指令对抗 看汇编 很明显，程序做的混淆对抗是加了花指令。 花指令实质就是一串垃圾指令，它与程序本身的功能无关，并不影响程序本身的逻辑。在软件保护中，花指令被作为一种手段来增加静态分析的难度。 花指令关键在于对堆栈变化以及函数调用的操作。强硬的动态调试能力也可以无视花，直接en看。 对于此花指令，我们只需要将call $+5、 retn nop 即可 （该软件的每个有用的function都加入了此花指令） E8 00 00 00 00                call    $+5 C3                            retn 此时F5反编译,程序明显可读了 2.3 虚函数 我们重命名一下，方便理解 可见程序还使用了虚函数重定位的技术。 下面我们进行动态调试，具体跟进函数。 F7进入 又发现了花，我们nop掉 然后进入下一个函数进行重复的操作 再往下程序结束，但是我们并没有看到密文比较的地方。 我们对rc4的两个函数进行交叉引用，看哪里调用了他们呢 .data.rel.ro 这个节段是只读数据段的重定位段，在链接时重定位，里面放的就是我们的虚函数表。 看到下面还有一个sub_405CAA(),我们点击跟进。 至此，我们找到了程序的所有逻辑。 2.4 RC4解密 提取密文 25CD54AF511C58D3A84B4F56EC835DD4F6474A6FE073B0A5A8C317815E2BF4F671EA2FFFA8639957 提取密钥 921C2B1FBAFBA2FF07697D77188C rc4_enc()函数还有个 ^23 得解。