蚁景网安 - 网络安全人才培养服务提供商

网络安全日报 2024年09月26日

1、 TeamViewer for Windows 漏洞可让攻击者提升权限 https://cybersecuritynews.com/teamviewer-for-windows-vulnerability/ TeamViewer 的 Windows 远程客户端软件发现了一个严重的安全漏洞。此漏洞可能允许攻击者提升其在受影响系统上的权限。该漏洞被标识为 CVE-2024-7479 和 CVE-2024-7481，影响 TeamViewer 的 Windows Remote 完整客户端和 Remote Host 产品的多个版本。 2、GenAI生成的恶意软件在野外被发现 https://cybersecuritynews.com/genai-generated-malware/ 最新的 HP Wolf 安全威胁洞察报告揭示了使用生成人工智能 (GenAI) 生成的https://cybersecuritynews.com/malware-analysis-tools/负载的出现。这标志着网络威胁形势的重大转变，因为攻击者利用先进的人工智能工具来创建更复杂、更具规避性的恶意软件。 3、Mozilla因在未经用户同意情况下在 Firefox 中启用跟踪而面临投诉 https://thehackernews.com/2024/09/mozilla-faces-privacy-complaint-for.html 总部位于维也纳的非营利性隐私组织 noyb（None Of Your Business 的缩写）已向奥地利数据保护机构 (DPA) 投诉 Firefox 制造商 Mozilla 在未明确征求用户同意的情况下启用了一项名为隐私保护归因 (PPA) 的新功能。 4、全球汇款巨头速汇金遭网络攻击，支付服务中断约5天 https://www.secrss.com/articles/70634 全球第二大汇款公司速汇金因网络攻击导致系统故障，支付服务中断约5天时间，媒体认为该事件的特征与勒索软件攻击极为类似。 5、迪士尼遭泄露1.1TB数据后弃用Slack https://www.secrss.com/articles/70630 面对如此严重的内部数据泄露事件，迪士尼经过一系列调查和评估，决定放弃使用Slack，并转向其他内部沟通协作平台。 6、工信部发布关于防范KTLVdoor恶意软件的风险提示 https://www.secrss.com/articles/70632 近日，工业和信息化部网络安全威胁与漏洞信息共享平台（CSTIS）监测发现，黑客组织正在利用KTLVdoor新型跨平台恶意软件实施网络攻击，主要攻击目标为Windows和Linux操作系统。 7、国际联合行动：捣毁iServer钓鱼平台，逮捕全球网络犯罪分子 https://cybersecuritynews.com/operation-kaerb-masterminds/ Kaerb 行动逮捕了阿根廷、智利、哥伦比亚、厄瓜多尔、秘鲁和西班牙的 17 名网络罪犯。这项国际行动由欧洲刑警组织、Group-IB 和 Ameripol 协调。 8、Microchip ASF中的严重缺陷使 IoT 设备面临远程攻击 https://thehackernews.com/2024/09/critical-flaw-in-microchip-asf-exposes.html 该漏洞被跟踪为 CVE-2024-7490，CVSS 评分为 9.5 分（满分 10.0 分）。它被描述为 ASF 的 tinydhcp 服务器实现中基于堆栈的溢出漏洞，源于缺乏足够的输入验证。 9、全球信息窃取恶意软件操作以加密用户、游戏玩家为目标 https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/ 威胁行为者使用各种分发渠道，包括在线游戏、加密货币和软件中的恶意广告、鱼叉式网络钓鱼和品牌冒充，以传播 50 种恶意软件负载，包括 AMOS、Stealc 和 Rhadamanthys。 10、“蓝屏事件”后大量德国企业抛弃CrowdStrike https://www.secrss.com/articles/70511 根据德国联邦信息安全办公室（BSI）发布的最新报告，十分之一受事件影响的德国企业选择抛弃CrowdStrike，其中4%已经放弃了CrowdStrike的产品，另有6%的企业计划在不久的将来终止与CrowdStrike的合作。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2024年09月25日

1、研究人员发现安卓恶意软件Octo的新变种 https://www.threatfabric.com/blogs/octo2-european-banks-already-under-attack-by-new-malware-variant 研究人员发现安卓恶意软件Octo（ExobotCompact）出现了新变种，将其命名为Octo2，是目前传播最广泛的恶意软件家族。研究人员发现了针对欧洲国家传播Octo2的攻击活动，Octo2使用复杂的混淆技术以确保木马避免被检测到，比如使用了域名生成算法（DGA）。此外，其恶意软件开发者采取一定的措施，以提高对受感染设备的远程操作稳定性。 2、Apache Tomcat中存在拒绝服务攻击漏洞 https://cybersecuritynews.com/apache-tomcat-vulnerability/ Apache Tomcat中存在一个安全漏洞，该漏洞被标识为CVE-2024-38286，影响多个版本的Apache Tomcat，攻击者能够通过TLS握手过程触发拒绝服务（DoS）攻击。Apache软件基金会敦促使用受影响版本的用户立即采取行动以降低风险。推荐的解决方案包括升级至最新的安全版本：Apache Tomcat 11.0.0-M21或更高版本，10.1.25或更高版本，以及9.0.90或更高版本。 3、攻击者声称窃取了Oracle员工数据 https://cybersecuritynews.com/hackers-claim-leak-of-oracle-data/ 攻击者在黑客论坛中发帖称，Oracle公司的数据遭到泄露。据称，此次泄露发生于2024年9月，涉及泄露4002行员工的信息。昵称为“888”的用户发布帖子称，此次泄露事件是由于第三方漏洞导致的，泄露的数据包括敏感信息，如全名、职位、公司名称、电子邮件地址和物理地址。截至目前，Oracle尚未对该说法进行回应。该公司可能正在进行内部调查，以评估该事件的有效性。 4、Telegram 同意与刑事调查部门共享用户数据流行的消息应用程序 Telegram 宣布了一项重大政策逆转，它将根据有效的合法请求向当局提供用户的 IP 地址和电话号码，以试图控制该平台上的犯罪活动。Telegram 首席执行官帕维尔·杜罗夫 (Pavel Durov)在一篇帖子中https://t.me/durov/345： “我们已经明确表示，违反我们规则的人的 IP 地址和电话号码可以根据有效的合法要求披露给相关部门。” https://thehackernews.com/2024/09/telegram-agrees-to-share-user-data-with.html 5、严重的未授权RCE 漏洞影响所有 GNU/Linux 系统 https://cybersecuritynews.com/critical-unauthenticated-rce-flaw/ 发现了一个严重的未经身份验证的远程代码执行 (RCE)漏洞，影响所有 GNU/Linux 系统。根据与开发人员的协议，这个已存在十多年的漏洞将在不到两周的时间内被彻底披露。 6、美国背调公司MC2 Data发生超大规模数据泄漏 https://www.secrss.com/articles/70558 美国背景调查和公共记录服务公司MC2 Data发生了大规模数据泄露事件，暴露了该公司2.2TB的敏感数据。这些数据中包含超过1亿美国公民的个人信息。 7、黑客攻击 Apache AXIS 服务器部署后门 https://cybersecuritynews.com/hackers-attacking-apache-axis-server/ Apache Axis 是一个 Web 服务引擎，它提供向 Web 应用程序添加 Web 服务接口的功能。 8、二维码钓鱼攻击可绕过邮件安全扫描程序并滥用 SharePoint https://cybersecuritynews.com/qr-phishing-email-security-sharepoint/ 随着威胁行为者不断调整策略以绕过电子邮件安全扫描程序， Quishing 或QR 码网络钓鱼正在迅速发展。 9、苹果macOS新版本导致第三方EDR安全工具故障 https://www.secrss.com/articles/70477 ‍本周一，苹果发布了其最新的计算机操作系统更新，名为macOS 15，或称Sequoia红杉。根据社交媒体上的帖子以及在一个专注于Mac的Slack频道中发布的信息，这次软件更新破坏了CrowdStrike、SentinelOne、微软等公司制作的多个安全工具的功能。 10、严重 FreeBSD 虚拟机管理程序漏洞可使攻击者执行恶意代码 https://cybersecuritynews.com/freebsd-hypervisor-rce-vulnerability/ FreeBSD 虚拟机管理程序 bhyve 中发现了一个高严重性漏洞，该漏洞允许在客户虚拟机 (VM) 中运行的恶意软件在主机系统上执行任意代码。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2024年09月24日

1、研究人员披露UNC1860组织进行的网络攻击活动 https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks/ UNC1860组织是一个由伊朗国家支持的APT组织，可能隶属于伊朗情报和安全部（MOIS）。UNC1860组织使用的技战术手段和攻击目标与Shrouded Snooper、Scarred Manticore和Storm-0861相似，这些伊朗攻击组织曾针对中东的电信和政府部门进行攻击。该组织还维护了一系列实用工具和被动后门程序，目的在于在受害者网络中获得立足点并获得长期访问权限。 2、Twelve组织针对俄罗斯进行攻击活动 https://securelist.com/twelve-group-unified-kill-chain/113877/ 研究人员发现一个名为Twelve的攻击组织，该组织使用一系列公开可用的工具针对俄罗斯进行破坏性网络攻击。研究人员称，相比于向受害者勒索赎金，Twelve组织更倾向于加密受害者的数据，然后使用擦除程序破坏他们的基础设施以防止数据恢复，这表明他们希望对目标受害者造成损害，而非获取经济利益。研究人员认为该组织成立于2023年4月，该组织在使用的基础设施和技战术方面与一个名为DARKSTAR（又名COMET或Shadow）的勒索组织有重叠，表明这两个组织可能存在一定的联系。 3、TeamTNT组织针对虚拟专用服务器进行攻击 https://www.group-ib.com/blog/teamtnt/ 研究人员发现TeamTNT组织针对基于CentOS操作系统的虚拟专用服务器（VPS）进行攻击。攻击者通过SSH暴力破解手段对受害者的机器进行攻击，然后上传一个恶意脚本，用于禁用安全功能、删除日志、终止其他加密货币挖矿进程，并阻止恢复工作。攻击者植入Diamorphine rootkit，以隐藏恶意进程，同时设置对受害者机器的持久远程访问。 4、FreeBSD的bhyve虚拟机监控程序中存在一个严重安全漏洞 https://cybersecuritynews.com/freebsd-hypervisor-rce-vulnerability/ FreeBSD的bhyve虚拟机监控程序中存在一个安全漏洞，该漏洞被标识为CVE-2024-41721，影响所有受支持的FreeBSD版本，目前已得到修复。该漏洞源于USB代码中的边界验证不足问题，可能导致堆上的越界读取，从而可能导致任意代码写入以及远程代码执行。建议用户立即对受影响的系统进行更新。 5、ESET 修补 Windows、macOS 产品中的权限提升漏洞 https://www.securityweek.com/eset-patches-privilege-escalation-vulnerabilities-in-windows-macos-products/ ESET 已发布针对 Windows 和 macOS 安全产品中两个本地权限提升漏洞的补丁。 6、Necro Trojan感染Google Play上的应用，下载量达千万 https://www.securityweek.com/necro-trojan-infects-google-play-apps-with-millions-of-downloads/ 据反恶意软件供应商卡巴斯基的报告称，Google Play 官方应用商店中两款应用程序被发现感染了 Necro 木马病毒，总下载量约为 1100 万次。 7、美国拟全面禁止联网和自动驾驶汽车使用中国和俄罗斯的软硬件 https://www.securityweek.com/ban-sought-for-chinese-russian-software-and-hardware-used-in-autonomous-vehicles-on-us-roads/ 美国商务部周一表示，正在寻求禁止在美国销售配备中国和俄罗斯软件和硬件的联网和自动驾驶汽车，目的是保护国家安全和美国驾驶员。 8、Grafana 插件SDK存在严重缺陷，导致敏感信息泄露 https://securityonline.info/cve-2024-8986-cvss-9-1-critical-grafana-plugin-sdk-flaw-exposes-sensitive-information/ 该漏洞编号为 CVE-2024-8986，CVSS 评分为 9.1，由于构建元数据包含在编译的二进制文件中，可能会导致敏感信息（例如存储库凭据）意外泄露。 9、Discord 推出 DAVE 协议，实现音频和视频的端到端加密 https://thehackernews.com/2024/09/discord-introduces-dave-protocol-for.html 流行的社交消息平台 Discord宣布推出一种新的自定义端到端加密 (E2EE) 协议来保护音频和视频通话的安全。 10、危险的API和爬虫程序攻击给全球公司造成了1860亿美元的损失 https://www.infosecurity-magazine.com/news/insecure-apis-bot-attacks-cost/ 该报告指出，API 的快速采用、内部专业知识水平低以及安全和开发团队之间的沟通不畅正在加剧问题。它表示，威胁行为者经常使用自动机器人来探测暴露、不安全和/或配置错误的 API。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

Kernel Stack栈溢出攻击及保护绕过

网络安全日报 2024年09月23日

1、勒索组织利用Veeam软件漏洞攻击尼日利亚的关键基础设施 https://cert.gov.ng/advisories/ransomware-groups-targeting-critical-systems-in-nigeria 尼日利亚计算机应急响应中心（ngCERT）发布了紧急警报，警告勒索组织正在攻击尼日利亚的关键系统。攻击者利用Veeam Backup and Replication（VBR）软件中的一个高危漏洞（CVE-2023-27532）进行攻击，并且此次事件涉及Phobos勒索组织。漏洞CVE-2023-27532影响VBR 12及以下版本，允许攻击者未经授权访问敏感数据，包括存储在Veeam配置数据库中的加密和明文凭据。攻击者能 2、攻击者使用SambaSpy木马针对意大利用户进行攻击 https://securelist.com/sambaspy-rat-targets-italian-users/113851/ 研究人员发现了一起恶意软件活动，该活动专门针对意大利用户进行攻击，传播一种名为SambaSpy的新型远控木马。此次攻击活动专门设计为仅感染意大利用户，在攻击流程的多个阶段都会检查系统语言是否为意大利语，如果目标不符合该标准，恶意软件将停止执行。SambaSpy用Java编写，并使用Zelix KlassMaster保护器进行混淆，具备多种功能，包括：管理文件和进程、上传和下载文件、控制摄像头、记录按键和剪贴板活动、截屏、从流行浏览器（如Chrome、Edge和B 3、Ivanti CSA中的安全漏洞CVE-2024-8963正被积极利用 https://securityonline.info/critical-flaw-in-ivanti-csa-4-6-cve-2024-8963-actively-exploited-urgent-upgrade-required/ Ivanti披露其Ivanti Connect Secure Appliance（CSA）4.6中的一个安全漏洞。该漏洞被标识为CVE-2024-8963，CVSS评分为9.4，正在被积极利用，对使用已终止支持（EOL）版本的Ivanti CSA用户构成重大风险。CVE-2024-8963是一个路径遍历漏洞，允许远程、未经身份验证的攻击者未经授权访问Ivant 4、Star Health Insurance泄露3100万客户数据 https://cybersecuritynews.com/star-health-data-leak/ 印度最大的健康保险提供商Star Health & Allied Insurance最近经历了一次重大的数据泄露事件，导致超过3100万客户的敏感个人信息泄露。泄露的数据信息包括姓名、电话号码、地址、税务信息、身份证复印件、医疗诊断和测试结果。其中的小部分数据被免费提供，其他用户也可以批量购买数据，数据总量达到7.24TB。Star Health表示，8月13日有一名身份不明的人联系他们，声称可以访问其部分数据。该保险公司已将此事报告给网络犯罪部门和联邦网络安全机构CERT-In。 5、戴尔正对一起数据泄露事件进行调查 https://www.bleepingcomputer.com/news/security/dell-investigates-data-breach-claims-after-hacker-leaks-employee-info/ 戴尔正在调查一起数据泄露事件，此前一名攻击者声称泄露了超过10000名员工的数据。在一个黑客论坛的帖子中，名为“grep”的攻击者表示其窃取的数据包括员工的唯一标识符、戴尔和合作伙伴员工的全名、员工状态（是否在职）以及内部识别字符串。戴尔称其安全团队正在针对此次事件进行调查。 6、药品分销商Cencora支付高达7500万美元的赎金 https://securityonline.info/cencoras-75-million-ransom-a-new-high-in-cyber-extortion/ 美国药品分销商Cencora在经历一次网络攻击后向网络犯罪分子支付了创纪录的7500万美元赎金，这是目前已知的最大赎金支付金额。Cencora在2月份遭遇了此次攻击，导致敏感的患者数据泄露，包括姓名、地址、出生日期和医疗信息。据称，攻击者是Dark Angels勒索组织，该组织最初要求高达1.5亿美元的赎金。尽管Cencora后来将赎金金额谈判至原先的50%，但其最终支付的金额仍远超以往任何已知的赎金支付。 7、攻击者通过恶意破解软件传播AsyncRAT https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cracked-software-or-cyber-trap-the-rising-danger-of-asyncrat-malware/ 在网络安全领域，威胁不断演变，新的攻击手段层出不穷。研究人员最近发现一个新的AsyncRAT变种，这是一种远控木马（RAT），通过伪装成破解软件来进行传播。攻击者利用用户想要免费使用高级软件的心理，诱导用户下载运行看似正常的破解软件。然而，破解软件中隐藏着危险的恶意软件，旨在渗透系统、窃取敏感信息，并让攻击者完全控制受感染的设备。 8、MediaTek Wi-Fi芯片组中存在一个安全漏洞 https://cybersecuritynews.com/0-click-rce-vulnerability-mediatek/ MediaTek Wi-Fi芯片组常用于支持Wi-Fi 6（802.11ax）的嵌入式平台，该芯片组中存在一个安全漏洞。该漏洞允许攻击者在无需用户交互的情况下发起远程代码执行（RCE）攻击。这个安全漏洞被标识为CVE-2024-20017，影响了多家制造商的设备。研究人员发现了四种不同的漏洞利用方法。使用受影响设备的用户应将固件更新至最新版本以修复该漏洞。 9、BingX平台被盗超过4400万美元的加密货币 https://therecord.media/44-million-stolen-from-crypto-platform-singapore 新加坡加密货币平台BingX表示，在一次网络攻击中，他们平台上超过4400万美元的加密货币被盗。该平台立即实施了紧急措施，包括紧急转移资产和暂停提款。虽然有少量资产损失，但金额较小，目前正在计算中。该平台后来在区块链安全公司的帮助下发布了更完整的审计报告，称到目前为止他们发现约4470万美元的损失。其他公司表示，损失可能高达4800万美元，BingX承认他们仍在计算被盗金额。此外，该平台表示此次事件不会影响其日常业务运营，交易服务仍照常进行。提款和 10、Meta等社交巨头被曝长期收集大量用户数据，牟利数十亿美元 https://www.androidpolice.com/new-ftc-study-exposes-vast-social-media-data-collection/ 根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

逆向中巧遇MISC图片隐藏

网络安全日报 2024年09月20日

1、GitLab修复SAML身份验证绕过漏洞 https://www.bleepingcomputer.com/news/security/gitlab-releases-fix-for-critical-saml-authentication-bypass-flaw/ GitLab发布安全更新，以修复影响GitLab社区版（CE）和企业版（EE）中的SAML身份验证绕过漏洞。该漏洞被标识为CVE-2024-45409，源于GitLab用于处理基于SAML身份验证的OmniAuth-SAML和Ruby-SAML库中的问题。攻击者可以制作一个恶意的SAML响应，欺骗GitLab将其识别为已认证用户，从而绕过SAML身份验证并访问GitLa 2、Red Hat OpenShift中存在两个安全漏洞 https://securityonline.info/flaws-in-red-hat-openshift-cve-2024-45496-cve-2024-7387/ Red Hat OpenShift中存在两个安全漏洞。第一个漏洞被标识为CVE-2024-45496（CVSS评分为9.9），具有开发者级别访问权限的攻击者可以通过精心制作的.gitconfig文件注入恶意代码，从而在工作节点上执行任意命令。第二个漏洞被标识为CVE-2024-7387（CVSS评分为9.1），恶意用户可以覆盖特权构建容器内的可执行文件，从而在运行该容器的节点上执行任意命令。Red Hat正在计划发布针对这两 3、Next.js修复CVE-2024-46982安全漏洞 https://securityonline.info/next-js-vulnerability-cve-2024-46982-cache-poisoning-exploit-threatens-deployments/ 最近，Next.js团队披露了一个安全漏洞，该漏洞被标识为CVE-2024-46982（CVSS评分为7.5），影响特定版本的Next.js框架。CVE-2024-46982是一个缓存中毒漏洞，当向易受攻击的服务器发送精心制作的HTTP请求时，它会欺骗应用程序缓存不应缓存的响应。此漏洞可能传播到上游内容分发网络（CDN），导致潜在的有害后果，例如向用户提供恶意内容。该漏洞 4、研究人员在AutoGPT中发现一个安全漏洞 https://securityonline.info/166k-projects-at-risk-autogpts-critical-vulnerability-explained-cve-2024-6091-cvss-9-8/ AutoGPT是一款功能强大的AI工具，旨在通过智能代理自动执行任务。AutoGPT在GitHub上拥有超过166k颗星，因其简化复杂操作的能力而广受欢迎。研究人员在AutoGPT中发现了一个安全漏洞，该漏洞被标识为CVE-2024-6091，是一个操作系统命令注入漏洞，CVSS评分为9.8。攻击者利用这一漏洞可以获取系统信息、提升权限，甚至根据AutoGPT的使 5、Compass集团证实遭受勒索软件攻击 https://www.cyberdaily.au/security/11128-exclusive-sydney-based-compass-group-confirms-medusa-ransomware-attack Compass集团确认遭遇了一次勒索软件攻击，Medusa勒索组织在其网站中将其列为受害者。Medusa勒索组织未透露太多攻击细节，但声称已窃取了785.5GB的数据，并要求支付200万美元的赎金。尽管Medusa没有透露太多信息，但分享了几份据称窃取的文件，其中包括Compass集团员工的工资数据以及几份国际护照和驾驶执照的扫描件，可能属于公司的承包商。此外，该组织还发 6、微软确认 CVE-2024-37985 为 Windows 零日漏洞 https://securityonline.info/microsoft-confirms-cve-2024-37985-as-zero-day-bug-in-windows 微软已确认 CVE-2024-37985 是 Windows 中的一个零日漏洞，CVSS 评分为 5.9。这是一个 Windows 内核信息泄露漏洞，允许攻击者从易受攻击的服务器上的特权进程访问堆内存。 7、TeamTNT新型加密劫持活动利用Rootkit 攻击CentOS https://thehackernews.com/2024/09/new-teamtnt-cryptojacking-campaign.html 被称为TeamTNT 的加密劫持行动很可能再次出现，作为针对基于 CentOS 操作系统的虚拟专用服务器 (VPS) 基础设施的新活动的一部分。 8、微软警告新型 INC 勒索软件将针对美国医疗保健行业 https://thehackernews.com/2024/09/microsoft-warns-of-new-inc-ransomware.html 微软透露，首次发现一名出于经济动机的威胁行为者使用名为 INC 的勒索软件攻击美国医疗保健行业。该科技巨头的威胁情报团队正在以Vanilla Tempest（以前称为 DEV-0832）的名义追踪该活动。Vanilla Tempest 至少自 2022 年 7 月以来一直活跃，之前的攻击针对教育、医疗保健、IT 和制造业领域，使用各种勒索软件家族，例如 BlackCat、Quantum Locker、Zeppelin 和 Rhysida。 9、AT&T同意支付1300万美元和解客户数据泄露事件 https://www.securityweek.com/att-to-pay-13-million-in-settlement-over-2023-data-breach/ AT&T 已同意向 FCC 支付 1300 万美元，以和解 2023 年第三方供应商云环境数据泄露事件。 10、Chrome 改用 ML-KEM 进行后量子密码学防御 https://thehackernews.com/2024/09/google-chrome-switches-to-ml-kem-for.html Google 宣布将在其 Chrome 网络浏览器中从 KYBER 切换到 ML-KEM，以抵御加密相关量子计算机（CRQC）带来的风险。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

网络安全日报 2024年09月19日

1、VICIdial联络中心套件中存在两个安全漏洞 https://securityonline.info/critical-flaws-found-in-vicidial-contact-center-suite-cve-2024-8503-and-cve-2024-8504-poc-published/ VICIdial联络中心套件中存在两个安全漏洞，这些漏洞被标识为CVE-2024-8503和CVE-2024-8504。CVE-2024-8503 (CVSS 9.8)是一个SQL注入漏洞，可以在无需任何身份验证的情况下被利用。通过构造恶意查询，攻击者可以访问VICIdial的数据库，可能提取敏感数据，如用户凭证、客户记录，甚至通话录音。 2、攻击者声称窃取了SAP公司员工数据 https://cybersecuritynews.com/leak-sap-employees-data/ 一名昵称为“888”的攻击者声称窃取了SAP软件公司员工的敏感数据。据称，此次数据泄露涉及大约2600名员工的敏感信息，如姓名、电子邮件地址和职位。潜在的数据泄露可能对受影响的员工构成风险，他们可能面临身份盗窃或其他网络威胁。目前此次数据泄露事件的真实性尚未得到证实，SAP公司也尚未发布正式声明来回应此次事件。 3、德国广播电台Radio Geretsried遭受勒索攻击 https://therecord.media/germany-cyberattack-radio-geretsried 根据Radio Geretsried网站上的声明，网络攻击发生在周日晚上，攻击者加密了所有的音乐文件，并向电台索要巨额赎金。这家位于巴伐利亚州Geretsried镇的电台表示，其管理委员会和当地志愿者小组正在努力解决问题。截至当地时间周一下午，电台播放紧急备份中的音乐以缓解此次事件带来的影响。 4、勒索组织滥用微软Azure工具窃取数据 https://www.modepush.com/blog/highway-blobbery-data-theft-using-azure-storage-explorer 勒索组织如BianLian和Rhysida越来越多地使用微软Azure工具Storage Explorer和AzCopy，从被入侵的网络中窃取数据并将其存储在Azure Blob Storage中。Storage Explorer是一个用于管理微软Azure的图形界面工具，而AzCopy是一个命令行工具，可以促进与Azure存储之间的大规模数据传输。在研究人员观察到的攻击活动中，被盗数据被存储在云中的Azure Blob 5、谷歌云平台高危安全漏洞，可控制数百万台服务器 https://cybersecuritynews.com/gcp-rce-flaw/ 安全研究人员透露，谷歌云端平台（GCP）中存在一个远程代码执行（RCE）漏洞，可能允许攻击者在数百万台谷歌服务器上运行恶意代码。该漏洞被名为“CloudImposer”，现已被修复。研究人员称，CloudImposer漏洞可能允许攻击者通过破坏谷歌云端平台的Cloud Composer服务来进行大规模的供应链攻击。该漏洞影响多个谷歌云端服务，包括App Engine、Cloud Functions和Cloud Composer。通过利用该漏洞，攻击者可以将恶意包上传到公共PyPI存储库，然后自动安装在具有 6、Access Sports证实用户的数据遭到泄露 https://cybersecuritynews.com/access-sports-data-cyber-attack/ Access Sports Medicine & Orthopaedics是一家运动医学和骨科服务提供商，该厂商报告了一起重大的数据泄露事件。该事件发现于2024年5月10日，攻击者未经授权访问和获取超过88000名用户的敏感数据。调查显示，未经授权的攻击者访问了公司网络中存储的某些文件和数据，包括个人健康信息（PHI）。此次事件影响了88044名用户，泄露的数据包括姓名、社会安全号码、出生日期、财务信息、医疗信息和健康保险信息。 7、知名网络安全公司Dr.Web遭受网络攻击 https://www.securityweek.com/russian-security-firm-doctor-web-discloses-targeted-hacker-attack/ 俄罗斯网络安全公司Dr.Web表示近期遭受网络攻击，于9月14日检测到针对其资源的定向攻击。该事件迫使公司断开网络连接，以检查是否有被入侵的迹象，其Dr.Web病毒数据库也被暂时停用。该公司表示，破坏其基础设施的企图被及时阻止，且没有任何使用Dr.Web的用户受到影响。该公司暂未透露与攻击者相关的信息。 8、阿里云盘Bug致用户私密照片泄露，客服回应：已经修复 http://tech.caijing.com.cn/20240916/5038023.shtml 针对网友反馈的阿里云盘bug致用户私密照片泄露一事，阿里云盘客服向新浪科技回应称，第一时间核查和处理，已经及时修复。 9、macOS日历中的零点击漏洞可以让攻击者执行恶意代码 https://cybersecuritynews.com/zero-click-macos-calendar-app/ 在macOS日历中发现了一个关键的零点击漏洞，允许攻击者在日历沙盒环境中添加或删除任意文件，并在没有任何用户交互的情况下执行恶意代码。 10、Windows MSHTML零日漏洞在野外被利用 https://cybersecuritynews.com/windows-mshtml-zero-day-exploit/ Windows MSHTML平台漏洞CVE-2024-43461影响所有支持的Windows版本，目前已被野外利用。声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

深度学习后门攻击分析与实现（一）

网络安全日报 2024年09月18日

1、研究人员发现名为Hadooken的新型Linux恶意软件 https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/ 攻击者正在使用一种名为“Hadooken”的新型Linux恶意软件针对Oracle WebLogic服务器进行攻击，该恶意软件会执行加密货币挖矿程序和分布式拒绝服务（DDoS）攻击工具。攻击者还可能利用获得的访问权限在Windows系统上执行勒索软件。Oracle WebLogic Server是一个企业级Java EE应用服务器，用于构建、部署和管理大规模分布式应用程序。该服务器常用于银行和金融服务、电子商务、电信、政府组织和公共服务。由 2、Citrix修复Workspace应用程序中的安全漏洞 https://cybersecuritynews.com/citrix-workspace-privilege-escalation/ Citrix发布了安全更新，以修复影响Windows版Citrix Workspace应用程序的两个安全漏洞，分别是CVE-2024-7889和CVE-2024-7890。这些漏洞可能允许本地攻击者在受感染的机器上获得SYSTEM权限。CVE-2024-7889（CVSS v4.0评分7.0）是一个本地权限提升漏洞，允许低权限用户通过不正确地控制资源的生命周期（CWE-664）来获得SYSTEM权限。与该漏洞类似，CVE-2024-7890（CVSS v4 3、川崎欧洲公司遭受RansomHub勒索组织攻击 https://www.bleepingcomputer.com/news/security/ransomhub-claims-kawasaki-cyberattack-threatens-to-leak-stolen-data/ 川崎欧洲公司称，他们遭受了网络攻击，该网络攻击导致服务中断，而RansomHub勒索组织威胁要泄露窃取的数据。该公司表示，这次攻击针对其欧洲总部，目前正在分析和清理系统中可能残留的威胁。川崎在公告中称，在九月初，川崎欧洲公司（KME）遭受了一次网络攻击，尽管攻击未成功，但导致公司的服务器被暂时隔离，直到当天晚些时候启动了恢复计划。川崎表示，攻击发生后，其IT人员与 4、西雅图港证实8月遭受Rhysida勒索组织攻击 https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/ 西雅图港（Port of Seattle）是负责管理西雅图港口和机场的美国政府机构，该机构确认Rhysida勒索组织是对其网络系统进行攻击的幕后黑手。该机构在8月24日透露，网络攻击迫使其隔离了一些关键系统以控制影响。由此导致的IT中断扰乱了预订登记系统，并延误了西雅图-塔科马国际机场的航班。西雅图港的调查确定，未经授权的攻击者能够访问部分计算机系统，并能够对一些数据进 5、多家法国零售商遭受网络攻击并泄露客户数据 https://therecord.media/france-retailers-hacked-confirm-cyberattack 多家知名法国零售商称遭受网络攻击，导致客户数据泄露，受害者包括Boulanger和Cultura。多家法国媒体报道称，实际受害零售商可能更多。Boulanger在一份声明中表示，攻击者访问了客户的送货地址，但没有泄露银行数据。该公司表示，事件已得到控制，所有受影响的客户都已被通知。Cultura表示，其一个外部IT服务提供商的数据库遭到恶意入侵，攻击者窃取了其150万客户的数据，包括姓名、电话号码、电子邮件和邮寄地址以及订单内容。Cultura声称密码和银行 6、研究人员披露Lynx勒索组织 https://www.rapid7.com/blog/post/2024/09/12/ransomware-groups-demystified-lynx-ransomware/ Lynx勒索组织于2024年7月被发现，迄今已对多个行业超过20个受害者进行了攻击。Lynx勒索软件会释放一个名为readme.txt的勒索信，引导他们访问一个托管于Tor上的门户网站，并且受害者会被提供一个唯一的ID来登录网站并与该组织进行沟通。此外，Lynx还运营一个公共的博客和泄露页面，公开受害者信息并威胁其支付赎金。研究人员发现Lynx组织使用的勒索软件与INC组织使用的勒索软件有相似之处。报告表明，Ly 7、攻击者利用CVE-2017-0199漏洞传播Remcos远控木马 https://www.trellix.com/blogs/research/unmasking-the-hidden-threat-inside-a-sophisticated-excel-based-attack-delivering-fileless-remcos-rat/ 研究人员近期发现一起攻击活动，攻击始于包含Excel文件的网络钓鱼邮件，该文件利用了CVE-2017-0199漏洞。该文件中的OLE对象中嵌有恶意URL，打开后会下载执行一个恶意的HTA文件。该HTA文件会执行一系列PowerShell命令，最终将Remcos远控木马注入到正常的Windows进程中。该远控木马会在 8、苹果公司发布iOS 18更新修复数十个安全漏洞 https://www.securityweek.com/apple-patches-major-security-flaws-with-ios-18-refresh/ 苹果公司发布iOS 18更新，修复了至少33个安全漏洞。iOS 18修复了核心组件中的漏洞，涉及辅助功能、蓝牙、控制中心和Wi-Fi，其中一些漏洞允许攻击者未经授权访问敏感数据或完全控制设备。苹果公司特别提到辅助功能组件中的几个漏洞，这些漏洞允许具有物理访问权限的攻击者使用Siri访问敏感用户数据、控制附近设备或在未经身份验证的情况下查看最近的照片。苹果公司表示漏洞未被恶意利用。 9、研究人员披露Windows Hyper-V中的零日漏洞 https://securityonline.info/poc-exploit-released-for-windows-hyper-v-zero-day-vulnerability-cve-2024-38080/ 安全研究员发布了关于Windows Hyper-V中零日漏洞的详细分析报告，并附上了一段概念验证（PoC）漏洞利用代码，该漏洞被标识为CVE-2024-38080（CVSS 7.8）。这个漏洞已经被攻击者积极利用，允许攻击者提升至SYSTEM权限，将会对使用微软虚拟化技术的组织构成严重风险。微软已确认该漏洞并在2024年7月发布的安全更新中进行了修复，但未公开其细节信息。CISA 10、VMware修补了在矩阵杯中被利用的远程代码执行漏洞 https://www.securityweek.com/vmware-patches-remote-code-execution-flaw-found-in-chinese-hacking-contest/ 博通旗下的 VMware 周二推出了严重补丁，以修复其 vCenter Server 平台中的两个漏洞，并警告存在远程代码执行攻击的重大风险。其中最严重的一个漏洞被标记为 CVE-2024-38812，记录为 vCenter Server 中分布式计算环境/远程过程调用 (DCERPC) 协议实现中的堆溢出。第二个漏洞 CVE-2024-38813 被描述为特权升级漏洞，最高 CVS 声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页第62页第63页第64页第65页第66页第67页第68页第69页第70页第71页第72页第73页第74页第75页第76页第77页第78页第79页第80页第81页第82页第83页第84页第85页第86页第87页第88页第89页第90页第91页第92页第93页第94页第95页第96页第97页第98页第99页第100页第101页第102页第103页第104页第105页第106页第107页第108页第109页第110页第111页第112页第113页第114页第115页第116页第117页第118页第119页第120页第121页第122页第123页第124页第125页第126页第127页第128页第129页第130页第131页第132页第133页第134页第135页第136页第137页第138页第139页第140页第141页第142页第143页第144页第145页第146页第147页第148页第149页第150页第151页第152页第153页第154页第155页第156页第157页第158页第159页第160页第161页第162页第163页第164页第165页第166页第167页第168页第169页第170页第171页第172页第173页第174页第175页第176页第177页第178页第179页第180页第181页第182页第183页第184页第185页第186页第187页第188页第189页第190页第191页第192页第193页第194页第195页第196页第197页第198页第199页第200页第201页第202页第203页第204页第205页第206页第207页