1、微软修复Copilot Studio严重漏洞防止敏感数据泄露 https://www.tenable.com/blog/ssrfing-the-web-with-the-help-of-copilot-studio 微软近日修复了一个影响Copilot Studio的关键安全漏洞（CVE-2024-38206），该漏洞由安全研究人员Evan Grant发现，评分为8.5分（CVSS）。漏洞源于服务端请求伪造（SSRF）攻击，攻击者可利用此漏洞绕过SSRF保护机制，泄露敏感信息。通过该漏洞，攻击者能够访问微软内部基础设施，包括实例元数据服务（IMDS）和内部Cosmos DB实例，从而获取托管身份访问令牌，进而可能对内部资源进行未授权访问。微软已修补此漏 2、CannonDesign确认被Avos Locker勒索攻击致数据泄露 https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/ CannonDesign近日确认其网络遭遇了Avos Locker勒索软件的攻击，导致数据泄露。事件发生在2023年1月19日至25日之间，黑客通过未经授权的网络访问盗取了公司的敏感数据。尽管CannonDesign在2023年1月25日发现了入侵行为，但调查直到2024年5月3日才完成，进一步确认数据泄露的范围和影响。受影响的个人信息包括姓名、地址、社会保障号码和驾照号码。Canno 3、隐秘的“sedexp”Linux 恶意软件逃避检测达两年之久 https://www.bleepingcomputer.com/news/security/stealthy-sedexp-linux-malware-evaded-detection-for-two-years/ 一种名为“sedexp”的隐秘 Linux 恶意软件自 2022 年以来一直在使用 MITRE ATT&CK 框架中尚未包含的持久性技术来逃避检测。 4、新型NGate安卓恶意软件利用NFC芯片窃取信用卡数据 https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-ngate-android-malware-which-relays-nfc-traffic-to-steal-victims-cash-from-atms-1/ 一种名为NGate的新型安卓恶意软件被发现能够通过设备的近场通信（NFC）芯片窃取支付卡数据，从而使攻击者能够进行未授权支付或从ATM提取现金。该恶意软件自2023年11月起开始活动，最初通过伪装成银行紧急安全更新的PWA和WebAPK应用诱导受害者下载安装 5、数百家Magento在线商店遭黑客攻击致信用卡信息被窃 https://www.malwarebytes.com/blog/news/2024/08/hundreds-of-online-stores-hacked-in-new-campaign 近日，研究人员发现一场针对使用Magento平台的在线商店的恶意软件活动，这些商店被植入了数字窃取器代码，导致用户在结账时输入的信用卡信息（包括卡号、到期日期和CVV/CVC）被实时窃取。攻击者利用相同的漏洞在多家商店注入了一行看似无害的脚本，加载远程恶意代码，并在结账页面插入虚假的支付方式框架，优先获取用户的支付信息。 6、新型Cheana Stealer伪装成VPN钓鱼网站攻击多平台用户 https://cyble.com/blog/new-cheana-stealer-targets-vpn-user/ 研究人员发现了一种新的Cheana Stealer恶意软件，该软件通过伪装成VPN服务的钓鱼网站传播，专门针对下载Windows、Linux和macOS平台VPN应用程序的用户。该攻击者为每个操作系统创建了不同的恶意程序，分别针对加密货币浏览器扩展、独立的加密钱包、浏览器密码、登录数据、Cookies、SSH密钥、macOS密码和Keychain。攻击者利用假冒的VPN服务来建立用户信任，然后分发恶意软件。该钓鱼网站的域名最近一次变更发生在2024年8月21日，并与一个活跃 7、Microsoft Edge中发现高危漏洞影响其IE模式 https://truefort.com/cve-2024-38178/ 2024年8月23日，研究人员发现了Microsoft Edge浏览器中的一个高危漏洞，标记为CVE-2024-38178。该漏洞影响Edge的Internet Explorer模式，CVSS v3评分为7.5，属于高威胁级别。CVE-2024-38178存在于Web内容处理机制中，允许攻击者通过恶意网页内容实现远程代码执行，可能导致服务器的未经授权控制、数据泄露和服务器操作中断。攻击者无需直接访问服务器，只需诱使用户点击恶意链接或与受损网页内容交互即可触发漏洞。为了应对这一风险，建议用户应用2024年8月的Micro 8、美国无线电中继联盟确认支付100 万美元勒索攻击赎金 https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/ 美国无线电中继联盟 (ARRL) 证实，它支付了 100 万美元赎金以获得解密器，以恢复在 5 月份勒索软件攻击中加密的系统。 9、Telegram 创始人 Pavel Durov 周六在法国被捕 https://thehackernews.com/2024/08/telegram-founder-pavel-durov-arrested.html 据法国电视网 TF1 报道，流行通讯应用程序 Telegram 的创始人兼首席执行官帕维尔·杜罗夫于周六在法国被捕。 10、Slack 修复了暴露私人频道的AI功能漏洞 https://www.darkreading.com/cyberattacks-data-breaches/slack-ai-patches-bug-that-let-attackers-steal-data-from-private-channels Slack 修复了其 AI 功能中的一个漏洞，该漏洞可能允许攻击者从私人频道窃取数据。该漏洞涉及 AI 功能中的提示注入漏洞，允许攻击者操纵系统执行恶意操作。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限，本文将对此技术进行尝试复现研究。 利用分析 环境信息： 子域：187、sub.cs.org 父域：197、cs.org 首先通过在子域的域控机器上打开mmc.exe->连接ADSI->配置来查看子域的配置命名上下文： 从配置中可以看到配置命名上下文的域名实际上是父域cs.org，因此判断子域中看到的信息可能是父域的副本： 继续查看配置对象的安全描述符中的ACL，发现子域没有权限去变更： 但是可以看到除了域用户、域管用户以外，还有一个特权ACL条目叫SYSTEM，该条目拥有完全控制权限： SYSTEM属于一个特殊用户，不属于域内用户，因此理论上只要能做到是SYSTEM权限就能控制对象条目而不用关注是不是域内管理员。因此尝试使用SYSTEM权限继续打开配置命名上下文： 可以看到当子域拥有了SYSTEM权限后就可以修改来自父域副本的配置对象： 利用方式 既然可以控制父域的配置命名上下文，那如何利用呢？网上提到有几种方式，一种是通过GPO、还有的是提到给父域添加一个自己可控的证书模板(ESC1)，这里以GPO组策略为例。先在子域域控上创建一个GPO: New-GPO jumbo_gpo_test 设置计划任务: 通过SYSTEM权限把子域的GPO link到父域： PS C:\Windows\system32> Get-ADDomainController -Server cs.org | select HostNane, ServerObjectDN HostNane ServerObjectDN -------- -------------- {}       CN=10_4_45_197,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cs,DC=orgPS C:\Windows\system32> New-GPLink -Name "jumbo_gpo_test" -Target "CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cs,DC=org" -Server sub.cs.org GpoId       : 76606696-cd03-4349-b0f2-0a45bdf305d4 DisplayName : jumbo_gpo_test Enabled     : True Enforced   : False Target     : CN=Default-First-Site-Name,cn=Sites,CN=Configuration,DC=cs,DC=org Order       : 1 父域刷新组策略可以看到子域链接过来的GPO： 父域更新组策略成功执行计划任务notepad.exe： gpupdate /force 刷新组策略后通过gpresult /r命名也可以看到添加的GPO： 总结 本文介绍了除SidHistory以外还可以通过子域的System权限进行突破到父域的攻击手法。

1、新型macOS恶意软件TodoSwift伪装成比特币PDF应用 https://www.kandji.io/blog/todoswift-disguises-malware-download-behind-bitcoin-pdf 研究人员发现了一种新型针对macOS用户的恶意软件，名为TodoSwift。该恶意软件由朝鲜黑客组织BlueNoroff开发，伪装成一个用于下载和显示比特币相关PDF的应用程序。TodoSwift采用Swift/SwiftUI开发，表面上看似无害，但实际上在后台下载并执行恶意程序。研究表明，TodoSwift通过展示名为“Bitcoin Price Prediction Using Machine Learning”的PDF文件 2、美芯片制造商Microchip遭网络攻击致生产能力受损 https://www.sec.gov/Archives/edgar/data/827054/000082705424000153/mchp-20240820.htm 美国半导体制造公司Microchip Technology近日披露，8月17日检测到其信息技术系统中可能存在的可疑活动，经过调查确认存在未经授权的访问行为。为应对此次事件，公司隔离了相关系统并关闭了一些业务操作，同时聘请外部网络安全顾问进行深入分析。此攻击已导致Microchip部分制造设施的生产能力低于正常水平，影响了订单的履行。鉴于该公司在汽车、国防和航空航天领域的重要性，此次事件尤其令人担忧。目前尚未明确此次攻击的具体原 3、黑客利用PHP漏洞在Windows系统植入Msupedge后门 https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns 黑客利用近期修补的PHP远程代码执行漏洞（CVE-2024-4577），在中国台湾一所大学的Windows系统中部署了新发现的后门程序Msupedge。该漏洞影响以CGI模式运行PHP的Windows系统，允许未经认证的攻击者执行任意代码，导致系统全面失陷。Msupedge通过两个动态链接库（weblog.dll和wmiclnt.dll）实现，其中前者由Apache进程加载。该后门最显著的特点是利用DNS流量与指挥控制（C 4、两年过去了，Log4Shell漏洞仍被利用来部署恶意软件 https://www.securityweek.com/two-years-on-log4shell-vulnerability-still-being-exploited-to-deploy-malware/ 关键的 Log4j 零日漏洞在全球引发混乱已有两年多时间，但各组织仍然受到推送加密货币挖矿和恶意后门脚本的攻击。网络犯罪分子仍在寻找“Log4Shell”漏洞的目标，以逃避检测并在未修补的公司系统上植入恶意软件脚本。 5、Atlassian 修补Confluence、Jira等多个产品中的漏洞 https://www.securityweek.com/atlassian-patches-vulnerabilities-in-bamboo-confluence-crowd-jira/ Atlassian 已发布针对 Bamboo、Confluence、Crowd 和 Jira 产品中九个高严重漏洞的补丁。 6、500 万个WordPress网站上的缓存插件存在漏洞，已被利用 https://www.securityweek.com/exploitation-expected-for-flaw-in-caching-plugin-installed-on-5m-wordpress-sites/ 由于 Litespeed Cache 插件中发现一个严重的安全漏洞，数百万个 WordPress 网站可能容易受到攻击。Litespeed Cache 是一款免费的缓存插件，旨在提高 WordPress 网站的性能。该插件目前有超过 500 万个活跃安装。研究员 John Blackbourn 发现该插件受到严重的权限提升漏洞的影响，未经身份验证的攻击者可以利用该漏洞获取目 7、Google 修复了2024年第六个被利用的Chrome零日漏洞 https://www.securityweek.com/google-patches-sixth-exploited-chrome-zero-day-of-2024/ Chrome 128 在稳定频道发布，修补了 38 个漏洞，包括一个在野利用的 V8 JavaScript 引擎漏洞。该安全缺陷被追踪为 CVE-2024-7971，由微软发现并报告，被利用的安全缺陷被描述为 V8 JavaScript 引擎中的类型混淆。这家互联网巨头在其公告中指出：“谷歌意识到 CVE-2024-7971 漏洞已在野存在”，但并未分享有关观察到的漏洞利用的信息。 8、印度国家支付系统部分中断：因供应商高危漏洞迟迟不修后被黑 https://www.secrss.com/articles/69344 Jenkins官方在今年1月修复CVE-2024-23897漏洞时POC已公开，距今已有半年多时间，但是C-Edge Technologies并没有及时修复，以至于遭到攻击者利用。 9、美国情报部门指责伊朗黑客对特朗普竞选活动进行攻击 https://www.darkreading.com/cyberattacks-data-breaches/us-intelligence-blames-ira-for-hack-on-trump-campaign 美国联邦调查局（FBI）证实，伊朗对前总统唐纳德·特朗普的顾问发起了网络攻击，这是对2024年美国总统竞选的一系列攻击之一，伊朗政府企图干扰即将举行的美国选举。 10、 亲俄组织“Vermin ”利用新的恶意软件攻击乌克兰 https://securityaffairs.com/167327/apt/cer-ua-vermin-phishing-campaign.html Vermin 组织试图在此次活动中部署两种恶意代码，一种是之前已知的 Spectr 间谍软件，另一种是名为 Firmachagent 的新恶意软件系列。2024 年 6 月，乌克兰 CERT-UA 警告称，在另一场名为 SickSync 的网络间谍活动中，有人利用 SPECTR 恶意软件对国防部队发动了网络攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Blind Eagle组织利用鱼叉式钓鱼在拉丁美洲部署木马 https://securelist.com/blindeagle-apt/113414/ 研究人员披露了一个名为“盲眼鹰”（Blind Eagle）的威胁组织，该组织长期以来在哥伦比亚、厄瓜多尔、智利、巴拿马等拉丁美洲国家进行针对性的网络攻击。盲眼鹰也被称为APT-C-36，自2018年起活跃，其攻击对象包括政府机构、金融公司以及能源和石油天然气公司。攻击的初期阶段，该组织通过压缩的ZIP文件中的Visual Basic脚本来下载下一阶段的恶意载荷，这些载荷往往经过隐写处理，隐藏在图像托管站点、Pastebin或类似服务中。最终，利用内存注入技术执行木马程序，绕过传统的防御机制。他们的活动 2、捷克用户遭遇新型银行凭证盗窃骗局 https://www.welivesecurity.com/en/eset-research/be-careful-what-you-pwish-for-phishing-in-pwa-applications/ 捷克共和国的移动用户正遭遇一种新型的钓鱼攻击，该攻击利用渐进式Web应用程序（PWA）窃取银行账户凭证。据研究人员的报告，这一攻击针对了捷克的Československá obchodní banka（CSOB）、匈牙利的OTP银行和格鲁吉亚的TBC银行。研究人员表示，攻击者通过钓鱼网站诱使iOS用户将PWA添加到主屏幕，而Android用户则需通过浏览器中的自定义弹窗确认安装这 3、数千个Oracle NetSuite站点面临泄露客户信息风险 https://appomni.com/blog/oracle-netsuite-data-exposure-analysis/ 研究人员警告发现数千个面向外部的Oracle NetSuite电子商务站点存在泄露敏感客户信息的风险。研究表明，NetSuite的SuiteCommerce平台存在潜在问题，这一问题源于对自定义记录类型（CRTs）的访问控制配置错误。虽然这并非NetSuite产品的安全漏洞，但客户配置不当会导致机密数据的泄露，包括注册用户的完整地址和手机号码。攻击者可以利用这种配置错误，通过使用NetSuite的记录和搜索API访问数据。为成功进行攻击，攻击者需知道正在使用的CR 4、丰田确认第三方数据泄露影响客户信息 https://www.bleepingcomputer.com/news/security/toyota-confirms-third-party-data-breach-impacting-customers/ 丰田公司确认其客户数据在一起第三方数据泄露事件中被暴露。黑客组织ZeroSevenGroup在一个黑客论坛上泄露了240GB的被盗数据。丰田回应称，虽然公司意识到此事件，但此次泄露并非系统全面性问题，受影响范围有限。丰田表示已与受影响方进行接触，并将提供必要的援助，但尚未公布具体发现时间、攻击途径及受影响人数。丰田北美公司发言人补充道，丰田北美系统并未遭到入侵，泄露数据来源于一个 5、严重身份验证缺陷影响GitHub Enterprise Server https://www.securityweek.com/critical-authentication-flaw-haunts-github-enterprise-server/ GitHub 发布了针对 GitHub Enterprise Server 产品中三个安全缺陷的紧急修复程序，并警告称黑客可以利用其中一个缺陷获取网站管理员权限。 6、新型钓鱼攻击可绕过iOS和安卓安全保护窃取银行凭证 https://www.securityweek.com/new-phishing-technique-bypasses-security-on-ios-and-android-to-steal-bank-credentials/ 反恶意软件供应商 ESET 警告称，一种新的网络钓鱼策略针对 iOS 和 Android 用户，其网络应用程序模仿合法银行软件来绕过安全保护并窃取登录凭据。 7、Google Play 漏洞赏金计划即将关闭 https://www.securityweek.com/google-play-bug-bounty-program-shutting-down/ 谷歌最近开始通知参与该计划的漏洞赏金猎人，它正在逐步终止 GPSRP，并指出其决定是在看到可操作的漏洞报告减少之后做出的，“这是由于 Android 操作系统安全态势和功能强化力度的全面提升”。 8、Ubuntu 修复多个 OpenJDK 8 漏洞 https://tuxcare.com/blog/ubuntu-addresses-multiple-openjdk-8-vulnerabilities 最近，OpenJDK 8 中发现了几个漏洞，这些漏洞可能会导致拒绝服务、信息泄露、任意代码执行，甚至绕过 Java 沙盒限制。作为回应，Canonical 发布了针对多个 OpenJDK 版本的安全修复程序，包括受影响的 Ubuntu 版本上的OpenJDK 21、OpenJDK 17、OpenJDK 11和OpenJDK 8 9、FFmpeg 中发现严重堆溢出漏洞 https://securityonline.info/cve-2024-7272-critical-heap-overflow-vulnerability-discovered-in-ffmpeg-poc-published/ CVE-2024-7272 是流行多媒体框架 FFmpeg 中发现的一个严重堆溢出漏洞。该漏洞影响最高 5.1.5 版本，CVSS 评分为 8.8。 10、微软修复Copilot Studio 关键漏洞，可导致敏感数据泄露 https://thehackernews.com/2024/08/microsoft-patches-critical-copilot.html 网络安全研究人员披露了影响 Microsoft Copilot Studio 的一个严重安全漏洞，该漏洞可能被利用来访问敏感信息。该漏洞的编号为 CVE-2024-38206（CVSS 评分：8.5），被描述为源自服务器端请求伪造（SSRF）攻击的信息泄露漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Xeon Sender工具滥用云API发起大规模短信钓鱼攻击 https://www.sentinelone.com/labs/xeon-sender-sms-spam-shipping-multi-tool-targeting-saas-credentials/ 研究人员在报告上指出，恶意行为者正在利用名为Xeon Sender的云攻击工具，进行大规模的短信钓鱼和垃圾邮件活动。该工具通过合法的SaaS服务提供商发送消息，滥用诸如Amazon SNS、Nexmo、Plivo等服务。值得注意的是，这种攻击并未利用这些服务提供商的固有漏洞，而是通过合法的API进行批量短信发送。 2、新型UULoader恶意软件在东亚传播Gh0st RAT https://cyberint.com/blog/research/meet-uuloader-an-emerging-and-evasive-malicious-installer/ 研究人员发现一种名为UULoader的新型恶意软件，该软件用于分发Gh0st RAT和Mimikatz等恶意工具。UULoader以合法应用程序的恶意安装程序形式传播，主要针对韩国和中文用户。分析显示，这种恶意软件可能由中文使用者开发，因为其程序数据库（PDB）文件中含有中文字符串。UULoader的核心文件被打包在一个Microsoft Cabinet存档（.cab）文件中，其中包含两个主要的可执行文件（ 3、多个macOS版Microsoft 应用程序易受库注入攻击 https://www.darkreading.com/remote-workforce/multiple-microsoft-apps-for-macos-vuln-to-malicious-library-injection-attacks 微软已将此问题归类为低严重性，并且尚未发布任何修复程序，Teams 和 OneNote 应用程序除外。Excel、Outlook、PowerPoint 和 Word 应用程序仍然容易受到攻击。 4、严重Jenkins 漏洞可能被利用于勒索软件攻击 https://thehackernews.com/2024/08/cisa-warns-of-critical-jenkins.html 继勒索软件攻击利用该漏洞之后，美国网络安全和基础设施安全局 (CISA) 将影响 Jenkins 的严重安全漏洞添加到其已知利用漏洞 ( KEV ) 目录中。该漏洞的编号为CVE-2024-23897（CVSS 评分：9.8），是一个路径遍历缺陷，可能导致代码执行。 5、数千个 Oracle NetSuite 站点面临泄露客户信息的风险 https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-at.html 网络安全研究人员警告称，发现数千个面向外部的 Oracle NetSuite 电子商务网站容易泄露敏感客户信息。AppOmni 的 Aaron Costello表示：“NetSuite 的 SuiteCommerce 平台存在一个潜在问题，由于自定义记录类型 (CRT) 的访问控制配置错误，攻击者可能能够访问敏感数据。” 6、研究人员发现针对 Azure K8S集群的TLS Bootstrap攻击 https://thehackernews.com/2024/08/researchers-uncover-tls-bootstrap.html 网络安全研究人员披露了一个影响 Microsoft Azure Kubernetes 服务的安全漏洞，如果成功利用该漏洞，攻击者可以提升其权限并访问集群使用的服务的凭据。谷歌旗下的 Mandiant 表示：“在受影响的 Azure Kubernetes 服务集群内运行的 Pod 中执行命令的攻击者可以下载用于配置集群节点的配置，提取传输层安全性 (TLS) 引导令牌，并执行 TLS 引导攻击来读取集群内的所有机密。 ” 7、黑客利用 PHP 漏洞部署隐秘的 Msupedge 后门 https://thehackernews.com/2024/08/hackers-exploit-php-vulnerability-to.html 据称，可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞（CVE-2024-4577，CVSS 评分：9.8），该漏洞可用于实现远程代码执行。 8、数百万张 RFID 卡存在重大漏洞，可实现即时克隆 https://www.securityweek.com/major-backdoor-in-millions-of-rfid-cards-allows-instant-cloning/ 法国安全服务公司 Quarkslab 发现中国领先的芯片制造商上海复旦微电子集团生产的数百万张非接触式卡中存在重要漏洞。可让用于开启世界各地办公室门和酒店房间的 RFID 智能卡被瞬间克隆。 9、GiveWP WordPress 插件严重漏洞影响数十万个网站 https://www.securityweek.com/critical-flaw-in-donation-plugin-exposed-100000-wordpress-sites-to-takeover/ GiveWP WordPress 插件中存在一个严重漏洞，可被利用来执行远程代码和任意文件删除。 10、F5 修补 BIG-IP、NGINX Plus 中的高严重性漏洞 https://www.securityweek.com/f5-patches-high-severity-vulnerabilities-in-big-ip-nginx-plus/ F5 最新的季度安全通知包含九条警告，其中四条针对 BIG-IP 和 NGINX Plus 中的高严重漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者仿冒WACC赛事网站钓鱼传播恶意软件 https://cyble.com/blog/world-agricultural-cycling-competition-wacc-participants-targeted-for-havoc-c2-dissemination/ 研究人员发现一个仿冒“世界农业自行车比赛”（WACC）官方网站的钓鱼网站。这一伪造网站通过轻微的修改，难以与真实网站区分，意图欺骗不明真相的访客。 2、FIN7网络犯罪集团新基础设施曝光 https://www.team-cymru.com/post/fin7-the-truth-doesn-t-need-to-be-so-stark 研究人员发现了与FIN7网络犯罪集团相关的新基础设施。这些基础设施由来自俄罗斯的Post Ltd和爱沙尼亚的SmartApe提供，表明FIN7通过这些IP地址进行通信。最新的分析显示，这些主机可能是通过Stark的经销商采购的。研究发现，FIN7的基础设施与至少15个Stark分配的主机和16个其他主机进行了通信。Stark在负责任的披露后已暂停这些服务。 3、研究人员揭露CryptoCore诈骗集团复杂的加密货币诈骗活动 https://decoded.avast.io/martinchlumecky1/cryptocore-unmasking-the-sophisticated-cryptocurrency-scam-operations/ 随着数字货币的快速增长，加密货币诈骗也日益猖獗，对投资者和用户构成了重大风险。CryptoCore是一个以其复杂手法著称的诈骗集团，利用深度伪造技术和被劫持的YouTube账户，通过伪造的名人视频和精心设计的网站来欺骗受害者。这些诈骗常以高额回报的承诺吸引目标，利用人工智能和虚假视频来提高欺骗的可信度。CryptoCore利用这些技术通过各大平台进行诈骗，包括曾经劫持过 4、微软修复了朝鲜APT组织Lazarus利用的零日漏洞 https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html 微软修复了一个被朝鲜国家赞助的Lazarus集团利用的零日漏洞，该漏洞被追踪为CVE-2024-38193，CVSS评分为7.8。该漏洞存在于Windows Ancillary Function Driver（AFD.sys）中，允许攻击者通过特权升级获取SYSTEM权限。该漏洞在2024年6月被发现，并在微软的Patch Tuesday更新中得到修复。 5、Rhysida以5比特币拍卖《华盛顿时报》内部文件 https://www.securitylab.ru/news/551155.php 《华盛顿时报》成为了最新的Rhysida勒索软件攻击受害者，攻击者计划在暗网拍卖这家报纸的被盗数据，起拍价为5比特币，相当于292030美元。Rhysida给出了七天的准备时间，并发布了部分被盗数据样本，包括公司文件、银行对账单、员工文件、德克萨斯州驾驶执照复印件和社会保障卡。 6、出于"国家安全"考虑，美国议员要求对TP-Link 展开调查 https://www.securityweek.com/us-lawmakers-want-investigation-into-tp-link-over-chinese-hacking-fears/ 议员们希望网络巨头 TP-Link 接受商务部的调查，因为担心该公司的 Wi-Fi 路由器可能让中国轻松访问美国系统。 7、网络犯罪分子利用热门软件搜索传播 FakeBat 恶意软件 https://thehackernews.com/2024/08/cybercriminals-exploit-popular-software.html 网络安全研究人员发现，恶意软件感染激增源于传播一种名为 FakeBat 的加载程序的恶意广告活动。 8、WPS Office两个严重漏洞曝光，已被在野利用 https://www.freebuf.com/news/408961.html WPS Office作为一款用户基数超过2亿的广泛使用的办公套件，被发现存在两个关键漏洞（CVE-2024-7262和CVE-2024-7263），这些漏洞可能导致用户遭受远程代码执行攻击。这两个漏洞的CVSS评分为9.3，表明它们的严重性很高，且易于被利用。其中CVE-2024-7262已经被武器化，ESET的安全研究人员发现它正在野外被积极利用。 9、X私自用6000万用户数据训练大模型，或面临大规模诉讼 https://www.secrss.com/articles/69159 据NOYB称，X公司未经告知或征得用户同意，擅自使用超过6000万欧洲用户个人数据训练其大型语言模型“Grok”，这一行为严重违反了GDPR原则。 10、2024上半年勒索软件受害企业至少支付了32亿元赎金 https://www.secrss.com/articles/69242 安全内参8月16日消息，最新报告显示，2024年上半年勒索软件攻击者从受害者那里敲诈了超过4.59亿美元（约合人民币32.93亿元）。这表明勒索软件危机日益严重，影响了从大型企业到地方政府和医院的所有组织。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前置知识 LLVM是C++编写的构架编译器的框架系统，可用于优化以任意程序语言编写的程序。 LLVM IR可以理解为LLVM平台的汇编语言，所以官方也是以语言参考手册(Language Reference Manual)的形式给出LLVM IR的文档说明。既然是汇编语言，那么就和传统的CUP类似，有特定的汇编指令集。但是它又与传统的特定平台相关的指令集(x86,ARM,RISC-V等)不一样，它定位为平台无关的汇编语言。也就是说，LLVM IR是一种相对于CUP指令集高级，但是又是一种低级的代码中间表示（比抽象语法树等高级表示更加低级)。 LLVM IR即代码的中间表示，有三种形式： .ll 格式：人类可以阅读的文本(汇编码) -->这个就是我们要学习的IR .bc 格式：适合机器存储的二进制文件 内存表示 下面给出.ll格式和.bc格式生成及相互转换的常用指令清单： .c -> .ll：clang -emit-llvm -S a.c -o a.ll .c -> .bc: clang -emit-llvm -c a.c -o a.bc .ll -> .bc: llvm-as a.ll -o a.bc .bc -> .ll: llvm-dis a.bc -o a.ll .bc -> .s: llc a.bc -o a.s 那么我们以一道CTF赛题来分析实验，学习LLVM IR 实验解析 题目附件直接给出了中间表示.II文件 打开查看一下汇编码，毕竟.II文件是人类可以阅读的文本，这边笔者使用的是Sublime Text（使用VScode查看即可）代码量不多，大概600行 题目初步分析 我们直接寻找一下main函数 我们可以看出题目经历了两次RC4，然后Base64，我们从上面可以看到密文，RC4_key,我们直接一把锁，cyberchef启动，会发现解不出来，那么程序应该做了其他的操作，最朴素的，我们可以想到把RC4魔改了，base64魔改等等。 So！继续学习研究ing .II详细分析 所以本着学习的态度，我们这时候应该掏出LLVM Language Reference Manual(官方文档)来简单了解学习一些常见指令、符号标识以及特性。这边给出一些分析 .ll 中间文件的算法流程 @ - 全局变量 % - 局部变量 alloca - 在当前执行的函数的堆栈帧中分配内存，当该函数返回到其调用者时，将自动释放内存 i32 - 32位4字节的整数 align - 对齐 load - 读出，store写入 icmp - 两个整数值比较，返回布尔值 br - 选择分支，根据条件来转向label，不根据条件跳转的话类型goto label - 代码标签 call - 调用函数 首先看到一些全局变量，知道了RC4_key = llvmbitccipher = "TSzkWKgbMHszXaj@kLBmRrnTxsNtZsSOtZzqYikCw=" 我们继续分析，重点分析各个function b64encode b64encode 魔改 每三个字符，24位，切分成4断，每段6位。 将6位对应的值 (value+ 59)&0xff 则是编码后的值。  %22 = getelementptr inbounds i8, i8* %19, i64 %21        // 取出当前处理字符  %23 = load i8, i8* %22, align 1  %24 = zext i8 %23 to i32                                 // 类型强制转化  %25 = ashr i32 %24, 2                                   // 算数右移两位   input[i]>>2  %26 = add nsw i32 %25, 59                                 //   input[i]+59  %27 = trunc i32 %26 to i8                                //   强制转化 相当于 &0xff  %28 = load i8*, i8** %6, align 8  %29 = load i32, i32* %9, align 4  %30 = sext i32 %29 to i64  %31 = getelementptr inbounds i8, i8* %28, i64 %30        // 存储base64 编码串  store i8 %27, i8* %31, align 1  %32 = load i8*, i8** %4, align 8  %33 = load i32, i32* %7, align 4  %34 = sext i32 %33 to i64  %35 = getelementptr inbounds i8, i8* %32, i64 %34  %36 = load i8, i8* %35, align 1  %37 = zext i8 %36 to i32  %38 = and i32 %37, 3                              // 获取第一个字符 低两位  %39 = shl i32 %38, 4                                // 左移四位 RC4_init RC4_init 正常，无魔改 define dso_local void @Rc4_Init(i8*, i32) #0 {                           //RC4_init function  %3 = alloca i8*, align 8  %4 = alloca i32, align 4  %5 = alloca i32, align 4  %6 = alloca i32, align 4  store i8* %0, i8** %3, align 8  store i32 %1, i32* %4, align 4                                         //初始化S，T盒  call void @llvm.memset.p0i8.i64(i8* align 16 getelementptr inbounds ([256 x i8], [256 x i8]* @s, i64 0, i64 0), i8 0, i64 256, i1 false)  call void @llvm.memset.p0i8.i64(i8* align 16 getelementptr inbounds ([256 x i8], [256 x i8]* @t, i64 0, i64 0), i8 0, i64 256, i1 false)  store i32 0, i32* %5, align 4  br label %7 7:                                               ; preds = %26, %2  %8 = load i32, i32* %5, align 4  %9 = icmp slt i32 %8, 256  br i1 %9, label %10, label %29                          //如果 %9 为真（即 %8 小于 256），跳转到标签 %10；否则跳转到标签 %29，根据t打乱s盒 10:                                               ; preds = %7  %11 = load i32, i32* %5, align 4  %12 = trunc i32 %11 to i8  %13 = load i32, i32* %5, align 4  %14 = sext i32 %13 to i64  %15 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %14  store i8 %12, i8* %15, align 1  %16 = load i8*, i8** %3, align 8  %17 = load i32, i32* %5, align 4  %18 = load i32, i32* %4, align 4  %19 = urem i32 %17, %18  %20 = zext i32 %19 to i64  %21 = getelementptr inbounds i8, i8* %16, i64 %20  %22 = load i8, i8* %21, align 1  %23 = load i32, i32* %5, align 4  %24 = sext i32 %23 to i64  %25 = getelementptr inbounds [256 x i8], [256 x i8]* @t, i64 0, i64 %24  store i8 %22, i8* %25, align 1  br label %26 26:                                               ; preds = %10  %27 = load i32, i32* %5, align 4  %28 = add nsw i32 %27, 1  store i32 %28, i32* %5, align 4  br label %7 29:                                               ; preds = %7  store i32 0, i32* %6, align 4  store i32 0, i32* %5, align 4  br label %30 30:                                               ; preds = %54, %29  %31 = load i32, i32* %5, align 4  %32 = icmp slt i32 %31, 256  br i1 %32, label %33, label %57 33:                                               ; preds = %30  %34 = load i32, i32* %6, align 4  %35 = load i32, i32* %5, align 4  %36 = sext i32 %35 to i64  %37 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %36  %38 = load i8, i8* %37, align 1  %39 = zext i8 %38 to i32  %40 = add nsw i32 %34, %39  %41 = load i32, i32* %5, align 4  %42 = sext i32 %41 to i64  %43 = getelementptr inbounds [256 x i8], [256 x i8]* @t, i64 0, i64 %42  %44 = load i8, i8* %43, align 1  %45 = zext i8 %44 to i32  %46 = add nsw i32 %40, %45  %47 = srem i32 %46, 256  store i32 %47, i32* %6, align 4  %48 = load i32, i32* %5, align 4  %49 = sext i32 %48 to i64  %50 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %49  %51 = load i32, i32* %6, align 4  %52 = sext i32 %51 to i64  %53 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %52  call void @swap(i8* %50, i8* %53)                                                //call swap function  br label %54 RC4_enc RC4_enc 魔改 多了一层xor 89 define dso_local void @Rc4_Encrypt(i8*, i32) #0 {                                //RC4_enc function  %3 = alloca i8*, align 8  %4 = alloca i32, align 4  %5 = alloca i8, align 1  %6 = alloca i8, align 1  %7 = alloca i8, align 1  %8 = alloca i8, align 1  store i8* %0, i8** %3, align 8  store i32 %1, i32* %4, align 4  store i8 0, i8* %6, align 1  store i8 0, i8* %7, align 1  store i8 0, i8* %8, align 1  br label %9 9:                                               ; preds = %14, %2  %10 = load i8, i8* %8, align 1  %11 = zext i8 %10 to i32  %12 = load i32, i32* %4, align 4  %13 = icmp ult i32 %11, %12  br i1 %13, label %14, label %64 14:                                               ; preds = %9  %15 = load i8, i8* %6, align 1  %16 = zext i8 %15 to i32  %17 = add nsw i32 %16, 1  %18 = srem i32 %17, 256  %19 = trunc i32 %18 to i8  store i8 %19, i8* %6, align 1  %20 = load i8, i8* %7, align 1  %21 = zext i8 %20 to i32  %22 = load i8, i8* %6, align 1  %23 = zext i8 %22 to i64  %24 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %23               //生成密钥流  %25 = load i8, i8* %24, align 1  %26 = zext i8 %25 to i32  %27 = add nsw i32 %21, %26  %28 = srem i32 %27, 256  %29 = trunc i32 %28 to i8  store i8 %29, i8* %7, align 1  %30 = load i8, i8* %6, align 1  %31 = zext i8 %30 to i64  %32 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %31  %33 = load i8, i8* %7, align 1  %34 = zext i8 %33 to i64  %35 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %34              //经典Swap了再加  call void @swap(i8* %32, i8* %35)  %36 = load i8, i8* %6, align 1  %37 = zext i8 %36 to i64  %38 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %37  %39 = load i8, i8* %38, align 1  %40 = zext i8 %39 to i32  %41 = load i8, i8* %7, align 1  %42 = zext i8 %41 to i64  %43 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %42  %44 = load i8, i8* %43, align 1  %45 = zext i8 %44 to i32  %46 = add nsw i32 %40, %45  %47 = srem i32 %46, 256  %48 = sext i32 %47 to i64  %49 = getelementptr inbounds [256 x i8], [256 x i8]* @s, i64 0, i64 %48  %50 = load i8, i8* %49, align 1  store i8 %50, i8* %5, align 1  %51 = load i8, i8* %5, align 1  %52 = zext i8 %51 to i32  %53 = xor i32 %52, 89                                                         //xor 89  %54 = load i8*, i8** %3, align 8  %55 = load i8, i8* %8, align 1  %56 = zext i8 %55 to i64  %57 = getelementptr inbounds i8, i8* %54, i64 %56  %58 = load i8, i8* %57, align 1  %59 = zext i8 %58 to i32  %60 = xor i32 %59, %53                                                        //xor k  %61 = trunc i32 %60 to i8  store i8 %61, i8* %57, align 1  %62 = load i8, i8* %8, align 1  %63 = add i8 %62, 1  store i8 %63, i8* %8, align 1  br label %9 64:                                               ; preds = %9  ret void } main main函数逻辑cipher -->RC4_init-->RC4_enc-->RC4_enc-->b64encode需要注意一下在RC4_enc的参数中，传入的数据块长度是固定的16，所以说程序进行两次RC4_enc的原因也就确定了，是为了分两次对程序进行加密，也算是一点点小手段，总之，即使让你好好分析.II代码，考察对软件分析的细节，耐心，嘻嘻。 OK,理清楚逻辑，就可以试着敲代码解密啦。 解密 逆向分析过程明了之后，那么写代码就简单多了 #include<stdio.h> unsigned char s[300],t[300]; void b64decode(unsigned char * enc,unsigned char* dec); void Rc4_dec1(int len, unsigned char *enc); void Rc4_Init(char *key,int len); void Rc4_dec2(int len, unsigned char *enc); int main() {    unsigned char enc[50]="TSz`kWKgbMHszXaj`@kLBmRrnTxsNtZsSOtZzqYikCw=";    unsigned char dec1[50]={0x00};    char key[10] ="llvmbitc";    unsigned char a[50];    int i=0;          b64decode(enc,dec1);    Rc4_Init(key,8);    Rc4_dec1(16,&dec1[16]);    for(i=0;i<16;i++) {        dec1[i+16]^=dec1[i];   }    Rc4_Init(key,8);    Rc4_dec2(16,dec1);    printf("%s",dec1);    return 0; } void b64decode(unsigned char * enc,unsigned char* dec) {    int i=0,j=0;    for(i=0;i<40;i+=4) {        dec[j] = ((enc[i]-59)<<2)&0xfc | (((enc[i+2]-59)>>4))&3;        dec[j+1] = (((enc[i+2]-59)&0xf)<<4) | (((enc[i+1]-59)>>2)&0xf);        dec[j+2] = (((enc[i+1]-59)&3)<<6) | ((enc[i+3]-59)&0x3f);        j+=3;   }    dec[j] = ((enc[i]-59)<<2)&0xfc | (((enc[i+1]-59)>>4))&3;    dec[j+1] = (((enc[i+2]-59)>>2)&0xf) | (((enc[i+1]-59)<<4)&0xf0);    dec[j+2]=0; } void Rc4_Init(char *key,int len) {    int i=0,v5=0;    unsigned char temp;    for(i=0;i<256;i++) {        s[i] =i;        t[i] = key[i%len];   }    for(i=0;i<256;i++) {        v5=(s[i]+t[i]+v5)%256;        temp = s[i];        s[i]= s[v5];        s[v5]=temp;   } } void Rc4_dec1(int len, unsigned char *enc) {    int v3=0,v5=0,i,j;    unsigned char temp;    for(i=0;i<len;i++) {        v3=(v3+1)%256;        v5=(s[v3]+v5)%256;        temp=s[v3];        s[v3]=s[v5];        s[v5]=temp;   }    v5=v3=0;    for(i=0;i<len;i++) {        v3=(v3+1)%256;        v5 = (s[v3]+v5)%256;        temp = s[v3];        s[v3]=s[v5];        s[v5]=temp;        enc[i]^=s[(s[v5]+s[v3])%256]^0x59;   } } void Rc4_dec2(int len, unsigned char *enc) {    int v3=0,v5=0,i,j;    unsigned char temp;    v5=v3=0;    for(i=0;i<len;i++) {        v3=(v3+1)%256;        v5 = (s[v3]+v5)%256;        temp = s[v3];        s[v3]=s[v5];        s[v5]=temp;                enc[i]^=s[(s[v5]+s[v3])%256]^0x59;   } } flag{Hacking_for_fun@reverser$!} 总结 通过这么一道CTF题目，深入学习LLVM IR的冰山一角，认真实验，细细分析，相信会对你有极大帮助。当然，如果单从解题来说，对于解决这道题有很多的办法，比如说将.II转化为可执行文件，然后IDA分析，但我们旨在学习LLVM IR，这里不再过多赘述。

1、AutoCanada披露网络攻击影响内部IT系统 https://investors.autocan.ca/2024/08/autocanada-announces-cybersecurity-incident/ AutoCanada近日遭遇网络攻击，影响了该汽车经销商集团的内部IT系统。该公司立即采取了措施以保护其网络和数据，并聘请了外部网络安全专家协助进行控制和修复工作。目前的调查尚未确定是否有数据在此次事件中被泄露。AutoCanada表示，尽管“业务运营目前仍在进行中，但事件可能会导致相关系统恢复期间的运营中断。”AutoCanada是一家大型汽车经销商，拥有超过4700名员工，运营66家在加拿大的特许经销商，涵盖25个汽车品牌，同 2、SolarWinds发布Web Help Desk关键漏洞修复补丁 https://security.paloaltonetworks.com/CVE-2024-5914 2024年8月15日，SolarWinds已发布补丁以修复其Web Help Desk软件中的一个关键安全漏洞，该漏洞可能被利用来在受影响的实例上执行任意代码。此漏洞被标记为CVE-2024-28986，CVSS评分为9.8，属于反序列化漏洞。SolarWinds在公告中指出，这一Java反序列化远程代码执行漏洞如果被攻击者利用，可能允许其在主机上执行命令。尽管报告显示该漏洞为未经身份验证的漏洞，但SolarWinds在彻底测试后未能在未经身份验证的情况下重现该漏洞。这一漏洞影响Solar 3、新恶意软件针对macOS的100多种浏览器扩展进行攻击 https://www.elastic.co/security-labs/beyond-the-wail 2024年8月16日，研究人员发现了一种新型的恶意软件——Banshee Stealer，该软件专门针对Apple的macOS系统。Banshee Stealer在网络黑市上的售价高达每月3000美元，支持x86_64和ARM64架构。该恶意软件具有广泛的攻击能力，能够针对包括Google Chrome、Mozilla Firefox、Brave等在内的多种浏览器以及大约100种浏览器扩展和多种加密货币钱包进行攻击。它还能够收集系统信息、iCloud Keychain密码和Notes数据 4、多阶段ValleyRAT利用高级战术针对用户展开攻击 https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers 研究人员揭示了一项针对用户的复杂恶意软件攻击活动。该活动使用了名为ValleyRAT的多阶段恶意软件，具有高度的隐蔽性和攻击性。ValleyRAT通过各种技术监控和控制受害者，并通过在内存中直接执行shellcode减少了其在系统中的文件足迹。攻击过程始于伪装成合法应用程序的第一阶段加载程序，例如“工商年报大师.exe”或“补单对接更新记录txt.exe”。执行这些伪装文件后，恶意shellcode被加载并进入 5、阿拉巴马心脏科诊所数据泄露影响28.1万患者 https://www.acgsecurityincident.com/ 阿拉巴马心脏科集团（Alabama Cardiology Group）近期披露，约28.1万名当前及过去的患者、医生和员工的敏感信息遭遇黑客攻击。该集团隶属于Grandview医疗中心，涉及的敏感数据包括个人身份信息、社会保险号、健康保险信息、用户名及密码等，甚至包括金融信息如信用卡和银行账户信息。黑客攻击发生在2023年6月6日至7月2日之间，攻击者通过网络服务器获得了这些信息。阿拉巴马心脏科集团在7月2日发现网络遭到未授权访问后，将网络与互联网断开，并随即通知了执法部门和联邦监管机构。专家指出，此次攻击可能与凭证滥 6、黑客利用Azure和Google搜索传播虚假信息与恶意软件 https://www.bleepingcomputer.com/news/security/azure-domains-and-google-abused-to-spread-disinformation-and-malware/ 研究人员报道了一个新兴的虚假信息传播活动，涉及多个Microsoft Azure和OVH云子域名以及Google搜索。这一活动利用Android手机上的Google搜索通知，诱导用户点击虚假的信息链接，进而引导他们访问伪装成资讯文章的欺诈网站。这些网站不仅散布有关名人的虚假健康谣言，还通过重定向用户到含有恶意软件、垃圾信息和伪造软件的网站来实施攻击。多个名人如哈 7、攻击者利用暴露的.env 文件入侵云账户进行勒索 https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html 一场大规模勒索活动利用包含与云和社交媒体应用程序相关的凭据的可公开访问的环境变量文件 (.env)，危害了各个组织。 8、Google Pixel预装应用存在漏洞，数百万设备面临风险 https://thehackernews.com/2024/08/google-pixel-devices-shipped-with.html 自 2017 年 9 月起在全球发售的 Google Pixel 设备被发现预装了一个名为 Showcase.apk 的应用程序，这使得它们容易受到潜在攻击和恶意软件感染。 9、CISA警告Vonets WiFi 存在严重漏洞，尚无可用补丁 https://securityonline.info/cisa-warns-critical-vulnerabilities-in-vonets-wifi-bridge-devices-no-patch-available/ 这些漏洞可能允许攻击者执行任意代码、泄露敏感信息或破坏设备功能，对依赖这些设备的工业和商业网络构成重大威胁。 10、英国一核设施曝严重网络安全缺陷，已造成国家安全威胁 https://www.secrss.com/articles/69143 英国塞拉菲尔德核设施承认违规行为可能威胁国家安全，目前正等待最终判决，这是首个因IT安全问题被起诉的核设施。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

8月9日至10日，2024网络安全技术创新与人才教育高峰论坛在长沙隆重召开。中国工程院院士方滨兴、杨宏、孔志印，以及来自全国各地的500多名网络安全领域的专家、学者、企业界人士汇聚一堂，聚焦网络空间安全领域面临的新兴技术安全挑战和人才缺乏现状，开展交流研讨。 本次高峰论坛由中国网络空间新兴技术安全创新论坛（新安盟）、中国网络空间安全人才教育论坛（网教盟）、国务院学位办网络空间安全学科评议组和广州大学联合举办。湖南蚁景科技有限公司作为“新安盟”和“网教盟”的成员单位，受邀出席了本次大会。 新安盟、网教盟理事长，中国工程院方滨兴院士  主论坛上，方滨兴院士详细介绍了“方班研讨厅”教学模式。“方班研讨厅”由方滨兴院士设计并全程参与教学，采用“学生讲、师生问、专家评”的课堂形式，致力于更好地培养网络空间安全相关专业人才。自2018年9月在广州大学开设第一期研究生班以来，已陆续扩展至40多所高校，数十名院士参与教学。 孔志印院士分享了对网络安全人才培养教育的认识。数字化时代，网络安全已经成为国家安全、经济安全和社会安全的重要组成部分。新兴技术不断应用，网络攻击的手段和方式也愈加多样化和复杂化。对于网安人才培养需注重融合、注重实效、扩展视野，方班在这些方面已经开展了大量创新探索与实践，对于推动网络安全领域的教育和产业发展具有重要意义。 蚁景科技还出席了本次大会的“网络安全人才培养与认证分论坛”，并参与多项议程。在长沙市网络安全工匠基地授牌仪式上，长沙市工信局人工智能与数字产业处处长熊菁为湖南蚁景科技有限公司授予了首批“长沙市网络安全工匠培养基地”荣誉牌匾。蚁景科技将进一步发挥自身在网安实战技能培养领域的专长，不断推动网安工匠基地实战型网络安全人才培养，助力网安技能队伍建设。 本次高峰论坛探讨了网络空间安全产业发展与技术创新，分享了网络空间安全学科建设、人才培养经验和模式。为与会者提供了一个深入了解网络空间安全技术前沿发展趋势、人才培养教育创新实践的平台，也进一步促进了产学研用深度融合交流。 未来，蚁景科技将汇聚产、学、研、用多方力量，用工匠精神和创新思路与业界共建网络安全人才培养新生态，为网络安全人才培养贡献力量。

1、Gafgyt僵尸网络新变种通过SSH攻击入侵主机进行挖矿 https://www.aquasec.com/blog/gafgyt-malware-variant-exploits-gpu-power-and-cloud-native-environments/ 研究人员发现了一种Gafgyt僵尸网络新变种，该变种通过弱SSH密码攻击机器，最终利用被攻陷实例的GPU计算能力进行加密货币挖矿。最新的攻击链涉及暴力破解SSH服务器的弱密码，以部署下一阶段的有效载荷，促进使用“systemd-net”的加密货币挖矿攻击，但在此之前会终止已在被攻陷主机上运行的竞争性恶意软件。它还执行一个蠕虫模块，一个基于Go的SSH扫描器名为ld-musl-x86，负责扫描 2、Windows TCP/IP RCE会影响所有启用IPv6的系统 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063 微软在最近的安全公告中强调了一个严重的TCP/IP远程代码执行漏洞，该漏洞可能影响所有启用IPv6的Windows系统。昆仑实验室的XiaoWei发现了这一漏洞，并追踪为CVE-2024-38063。微软警告用户，攻击者可以利用这一漏洞执行任意代码，且攻击的复杂度较低。微软还指出，由于过去有类似漏洞被利用的案例，这一新发现的漏洞更有可能吸引攻击者，并可能被快速利用。因此，微软建议用户立即应用安全更新，以防止潜在的攻击。对于那些无法立即更新的用户，微软建议作 3、GitHub漏洞“ArtiPACKED”导致存储库面临被接管的风险 https://unit42.paloaltonetworks.com/github-repo-artifacts-leak-tokens/ 研究人员最近揭露了一个名为“ArtiPACKED”的GitHub漏洞，该漏洞可能允许攻击者接管代码库并访问组织的云环境。该漏洞通过配置错误和安全漏洞的结合，导致令牌泄露，包括GitHub令牌，使得恶意行为者能够未授权地访问代码库，并通过CI/CD工作流程污染源代码。GitHub的工件允许用户在工作流程中共享数据，这些数据在完成后可保留90天，包括构建和日志文件等。该漏洞还暴露了一个未记录的环境变量ACTIONS_RUNTIME_TOKEN，攻击者可能利 4、RansomHub勒索攻击者武器库新增"EDRKillShifter"破坏工具 https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/ 研究人员近日发现，一名犯罪团伙在对一组织发起名为RansomHub的勒索软件攻击时，尝试部署了一款新型的EDR（端点检测和响应）破坏工具“EDRKillShifter”。虽然这次勒索软件攻击没有成功，但事后分析揭露了这一专为终止端点保护软件而设计的工具。 5、GitHub正式推出Copilot Autofix帮助开发人员修复代码漏洞 https://www.securityweek.com/github-makes-copilot-autofix-generally-available/ 代码托管平台 GitHub 周二宣布推出 Copilot Autofix，这是一项由人工智能驱动的漏洞修复功能，旨在帮助开发人员更快地解决代码中的错误。Copilot Autofix现已在 GitHub Advanced Security (GHAS) 中正式推出，它可以分析拉取请求中发现的安全缺陷，并提供解释和修复建议。开发人员可以忽略、编辑或提交建议。 6、研究人员发现 Microsoft Outlook 的新漏洞 https://www.infosecurity-magazine.com/news/research-uncovers-new-microsoft/ 安全研究人员在 Microsoft Outlook 中发现了一个新漏洞，标记为 CVE-2024-38173，CVSS 评分为 6.7。此表单注入 RCE 漏洞与 2024 年 7 月修补的先前漏洞 CVE-2024-30103 类似。 7、SolarWinds 在披露严重 RCE 漏洞后敦促用户升级 https://www.infosecurity-magazine.com/news/solarwinds-upgrade-critical-rce-bug/ SolarWinds 建议客户升级其 Web Help Desk 平台，因为 Inmarsat 政府研究人员发现了一个严重漏洞 CVE-2024-28986。该漏洞允许通过 Java 反序列化执行远程代码。 8、腾讯回应14亿泄露不属实，黑产利用历史资料拼凑、注水而成 https://www.ithome.com/0/788/376.htm 外媒 HackRead 于 13 日报道称，名为“Fenice”的黑客于 8 月 6 日在暗网论坛上泄露 27 亿美国用户（此前称为 29 亿）社保信息之后，再次发帖曝料称手握 14 亿腾讯用户账号信息。该黑客声称窃取了海量数据库，其中包括 14 亿条 Tencent.com 相关的记录，压缩数据容量为 44GB，解压之后将达到 500GB。 9、谷歌挫败了与伊朗有关的 APT42 发起的黑客活动 https://securityaffairs.com/167095/security/google-disrupted-apt48-hacking-campaign.html 谷歌挫败了与伊朗有关的 APT 组织 APT42 针对美国总统大选发起的黑客攻击活动。 10、2024 年第二季度针对工业企业的勒索软件攻击激增 https://www.securityweek.com/ransomware-attacks-on-industrial-firms-surged-in-q2-2024/ Dragos 发现 2024 年第二季度针对工业组织的勒索软件攻击与上一季度相比显著增加。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。