1、Killer Ultra恶意软件绕过EDR强化勒索攻击 https://www.binarydefense.com/resources/blog/technical-analysis-killer-ultra-malware-targeting-edr-products-in-ransomware-attacks/ 安全研究团队分析了一种名为“Killer Ultra”的恶意软件，该软件被设计用来绕过和终止流行的端点检测和响应（EDR）以及防病毒（AV）工具。Killer Ultra通过利用Zemana AntiLogger中的一个已知漏洞CVE-2024-1853，获取内核级权限，以终止关键安全进程。此外，该恶意软件还具备清除事件日志、持久化以 2、研究人员揭露Kubelet API安全隐患 https://www.aquasec.com/blog/kubernetes-exposed-exploiting-the-kubelet-api/ 安全研究人员揭露了Kubernetes集群中Kubelet API的安全隐患。Kubelet API负责管理节点上的Pod和容器，通常不直接面向用户，但若被错误配置暴露于互联网，将带来严重的安全风险。通过蜜罐技术，研究人员观察到了攻击者利用Kubelet API进行的各种恶意活动，包括但不限于环境映射、网络扫描和秘密信息的搜集。为了应对这些威胁，研究人员提出了一系列安全措施，包括限制对Kubelet API的访问、加强身份验证机制、持续监控和 3、研究人员揭露Konfety广告欺诈活动 https://www.humansecurity.com/learn/blog/the-partys-over-humans-satori-threat-intelligence-and-research-team-cleans-up-konfety-mobile-ad-fraud-campaign 安全研究团队近日揭露了一起名为“Konfety”的大规模广告欺诈活动。该活动通过在Google Play Store上部署超过250个无害的诱饵应用程序，通过其“邪恶双胞胎”进行广告欺诈、监控网络搜索、安装浏览器扩展程序等恶意行为。研究人员指出，这种“诱饵/邪恶双胞胎”混淆机制是威胁行为体将欺 4、伪造的AWS npm软件包通过JPEG藏匿C2通信 https://blog.phylum.io/fake-aws-packages-ship-command-and-control-malware-in-jpeg-files/ Phylum平台发现npm软件包注册表中出现伪造的AWS软件包，这些软件包表面看似合法，实则在JPEG文件中隐藏了命令和控制(C2)功能。安全研究团队对此进行了深入分析，发现攻击者通过合法项目aws-s3-object-multipart-copy克隆并植入恶意脚本。通过分析loadformat.js文件，揭露了攻击者在图像文件中隐藏恶意代码的手法，这些代码在软件包安装时执行，实现对受害者机器的远程控制。 5、Atlassian 修补了Confluence 和 Jira 中的高危漏洞 https://www.securityweek.com/atlassian-patches-high-severity-vulnerabilities-in-bamboo-confluence-jira/ Atlassian 发布安全主题更新，修复其 Bamboo、Confluence 和 Jira 产品中的几个高严重漏洞。 6、国际刑警组织在全球打击西非犯罪集团行动中逮捕 300 人 https://www.securityweek.com/interpol-arrests-300-people-in-a-global-crackdown-on-west-african-crime-groups-across-5-continents/ 国际刑警组织在全球打击专门从事网上金融诈骗的西非犯罪集团中逮捕了 300 人。 7、Apache HugeGraph 高危漏洞遭野外利用 https://www.securityweek.com/apache-hugegraph-vulnerability-exploited-in-wild/ 威胁行为者似乎正试图利用最近修补的 Apache HugeGraph 漏洞。其开发人员于 4 月向用户通报了 HugeGraph-Server 中存在一个严重程度较高的漏洞，可导致远程命令执行。该漏洞编号为CVE-2024-27348，已在 1.3.0 版本发布时进行了修补。 8、Chrome 126 更新修补高危漏洞 https://www.securityweek.com/chrome-126-updates-patch-high-severity-vulnerabilities/ 谷歌周二宣布了 Chrome 126 的安全更新，修复了 10 个漏洞，其中包括外部研究人员报告的 8 个高严重性漏洞。 9、WP Time Capsule 插件存在严重安全漏洞 https://www.infosecurity-magazine.com/news/wp-time-capsule-plugin-flaw/ 通过利用此漏洞，攻击者可以绕过关键的身份验证检查，操纵 JSON 编码的 POST 数据来提升他们的权限并有效地以网站管理员身份登录。 10、知名工具Trello被黑客攻击，泄露1500 万用户数据 https://www.freebuf.com/news/406218.html Trello 是 Atlassian 旗下的一款在线项目管理工具，企业通常使用它将数据和任务组织到板块、卡片和列表中。近日，有黑客发布了与 Trello 账户相关的 1500 万个电子邮件地址，这些地址是今年 1 月被 API 收集到的。当时有一个名为 “emo ”的威胁行为者在一个流行的黑客论坛上出售 15 万个 Trello 会员的资料。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

国际赛IrisCTF在前几天举办，遇到了一道有意思的题目，特来总结。 题目 附件如下：https://www.yuque.com/attachments/yuque/0/2024/tar/33529154/1704561294084-9b9bc6bd-6da0-4178-9c3d-5b1bd9a98c0f.tar 解题过程 关键main函数分析如下： int __fastcall main(int argc, const char **argv, const char  **envp) {  int v4; // [rsp+4h] [rbp-7Ch]  int v5; // [rsp+4h] [rbp-7Ch]  int v6; // [rsp+8h] [rbp-78h]  int v7; // [rsp+Ch] [rbp-74h]  char input[104]; // [rsp+10h] [rbp-70h] BYREF  unsigned __int64 v9; // [rsp+78h] [rbp-8h]  v9 = __readfsqword(0x28u);  puts("Welcome to the Johnson's family!");  puts("You have gotten to know each person decently well, so let's see  if you remember all of the facts.");  puts("(Remember that each of the members like different things from  each other.)");  v4 = 0;  while ( v4 <= 3 ) // 在提供的颜色中，选择4种 {  printf("Please choose %s's favorite color: ", (&names)[v4]);//  4个人  __isoc99_scanf("%99s", input);  if ( !strcmp(input, colors) ) {  v6 = 1; // red  goto LABEL_11; }  if ( !strcmp(input, s2) ) {  v6 = 2; // blue  goto LABEL_11; }  if ( !strcmp(input, off_4050) ) {  v6 = 3; // green  goto LABEL_11; }  if ( !strcmp(input, off_4058) ) {  v6 = 4; // yellow  LABEL_11:  if ( v6 == chosenColors[0] || v6 == dword_4094 || v6 ==  dword_4098 || v6 == dword_409C )// 选择4个颜色，然后顺序不能一样  puts("That option was already chosen!");  else  chosenColors[v4++] = v6; // 存储选择的颜色（已经转换成了数字） }  else {  puts("Invalid color!"); } }  v5 = 0;  while ( v5 <= 3 ) {  printf("Please choose %s's favorite food: ", (&names)[v5]);//  4个人最喜欢的食物  __isoc99_scanf("%99s", input);  if ( !strcmp(input, foods) ) {  v7 = 1; // pizza  goto LABEL_28; }  if ( !strcmp(input, off_4068) ) {  v7 = 2; // pasta  goto LABEL_28; }  if ( !strcmp(input, off_4070) ) {  v7 = 3; // steak  goto LABEL_28; }  if ( !strcmp(input, off_4078) ) {  v7 = 4; // chicken  LABEL_28:  if ( v7 == chosenFoods[0] || v7 == dword_40A4 || v7 == dword_40A8  || v7 == dword_40AC )  puts("That option was already chosen!");  else  chosenFoods[v5++] = v7; }  else {  puts("Invalid food!"); } }  check(); // 开始check，检测我们输入的颜色和食物是否正确  return 0; }  ----------------------------------------------------------------------- 将check提取出来，我们方便分析 其实到这里已经可以得到结果了，国外的题目确实很讲究趣味性，用颜色和食物作为导向，引导一步一步分析 笔者使用静态分析的方法，一步一步跟踪 C++ int check() {  bool v0; // dl  _BOOL4 v1; // eax  _BOOL4 v2; // edx  v0 = dword_40A8 != 2 && dword_40AC != 2;    v1 = v0 && dword_4094 != 1;  v2 = chosenColors[0] != 3 && dword_4094 != 3;  if ( !v2 || !v1 || chosenFoods[0] != 4 || dword_40AC == 3 ||  dword_4098 == 4 || dword_409C != 2 )  return puts("Incorrect.");  puts("Correct!");  return system("cat flag.txt"); // 执行cat flag的命令 }  ----------------------------------------------------------------------- 对应的输入值地址如下： 我们将颜色color数组用x系列表示，将食物用food数组y系列表示 化简如下： C++  v0 = y3 != 2 && y4 != 2;    v1 = v0 && x2 != 1;  v2 = x1 != 3 && x2 != 3;  if ( !v2 || !v1 || y1 != 4 || y4 == 3 || x3 == 4 || x4 != 2 ) {  //错误 }  else {  //成功 }  ----------------------------------------------------------------------- 思路1:简单粗暴的爆破，但不是学习的目的，因此并不采用 思路2:锻炼写脚本能力，使用z3解题可以锻炼写脚本的能力，因此采用 Python  from z3 import *    # 创建变量  x1, x2, x3, x4 = Ints('x1 x2 x3 x4')  y1, y2, y3, y4 = Ints('y1 y2 y3 y4')    # 创建约束条件  v0 = And(y3 != 2, y4 != 2)  v1 = And(v0, x2 != 1)  v2 = And(x1 != 3, x2 != 3)    # 创建条件语句  cond = Or(Not(v2), Not(v1), y1 != 4, y4 == 3, x3 == 4, x4 != 2)  cond1 = Not(cond)  #正常来说，cond的值要为false的，但是z3的add添加的条件必须为1才行，因此要进行取反操作  # 创建求解器  solver = Solver()    # 添加约束条件和条件语句到求解器  solver.add(cond1)#这里添加的条件必须为true，所以最后使用了 not 进行取反操作    # 求解  if solver.check() == sat:  # 如果有解，则获取解  model = solver.model()    # 打印解  print("成功:")  print("x1 =", model[x1])  print("x2 =", model[x2])  print("x3 =", model[x3])  print("x4 =", model[x4])  print("y1 =", model[y1])  print("y2 =", model[y2])  print("y3 =", model[y3])  print("y4 =", model[y4])  else:  print("无解")  --------------------------------------------------------------------------------------- 得到结果 Python  成功:  x1 = 4  x2 = 0  x3 = 5  x4 = 2  y1 = 4  y2 = None  y3 = 3  y4 = 0  ----------------------------------------------------------------------- 其实有经验的师傅发现了，这是有多解的，因为没有为约束变量添加范围约束 改进之后的代码如下： Python  from z3 import *    # 创建变量  x1, x2, x3, x4 = Ints('x1 x2 x3 x4')  y1, y2, y3, y4 = Ints('y1 y2 y3 y4')    # 创建约束条件  v0 = And(y3 != 2, y4 != 2)  v1 = And(v0, x2 != 1)  v2 = And(x1 != 3, x2 != 3)  range_constraint = And(x1 >= 1, x1 <= 4, x2 >= 1, x2 <= 4, x3 >= 1, x3 <= 4, x4  >= 1, x4 <= 4,  y1 >= 1, y1 <= 4, y2 >= 1, y2 <= 4, y3 >= 1, y3 <= 4, y4 >= 1, y4 <= 4)  # 创建条件语句  cond = Or(Not(v2), Not(v1), y1 != 4, y4 == 3, x3 == 4, x4 != 2)  cond1 = Not(cond)  #正常来说，cond的值要为false的，但是z3的add添加的条件必须为1才行，因此要进行取反操作  # 创建求解器  solver = Solver()    # 添加约束条件和条件语句到求解器  solver.add(cond1)#这里添加的条件必须为true，所以最后使用了 not 进行取反操作  solver.add(range_constraint)  # 求解  if solver.check() == sat:  # 如果有解，则获取解  model = solver.model()    # 打印解  print("成功:")  print("x1 =", model[x1])  print("x2 =", model[x2])  print("x3 =", model[x3])  print("x4 =", model[x4])  print("y1 =", model[y1])  print("y2 =", model[y2])  print("y3 =", model[y3])  print("y4 =", model[y4])  else:  print("无解")  --------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------- 得到结果： -----------------------------------------------------------------------  Python  成功:  x1 = 1  x2 = 4  x3 = 1  x4 = 2  y1 = 4  y2 = 1  y3 = 3  y4 = 4  ----------------------------------------------------------------------- 发现x1和x3重复了，因此还要添加值不重复约束 Python  from z3 import *    # 创建变量  x1, x2, x3, x4 = Ints('x1 x2 x3 x4')  y1, y2, y3, y4 = Ints('y1 y2 y3 y4')    # 创建约束条件  v0 = And(y3 != 2, y4 != 2)  v1 = And(v0, x2 != 1)  v2 = And(x1 != 3, x2 != 3)  #值范围约束  range_constraint = And(x1 >= 1, x1 <= 4, x2 >= 1, x2 <= 4, x3 >= 1, x3 <= 4, x4  >= 1, x4 <= 4,  y1 >= 1, y1 <= 4, y2 >= 1, y2 <= 4, y3 >= 1, y3 <= 4, y4 >= 1, y4 <= 4)  #非重复值约束  distinct_x=Distinct(x1,x2,x3,x4)  distinct_y=Distinct(y1,y2,y3,y4)    # 创建条件语句  cond = Or(Not(v2), Not(v1), y1 != 4, y4 == 3, x3 == 4, x4 != 2)  cond1 = Not(cond)  #正常来说，cond的值要为false的，但是z3的add添加的条件必须为1才行，因此要进行取反操作  # 创建求解器  solver = Solver()    # 添加约束条件和条件语句到求解器  solver.add(cond1)#这里添加的条件必须为true，所以最后使用了 not 进行取反操作  solver.add(range_constraint)  solver.add(distinct_y)  solver.add(distinct_x)  # 求解  if solver.check() == sat:  # 如果有解，则获取解  model = solver.model()    # 打印解  print("成功:")  print("x1 =", model[x1])  print("x2 =", model[x2])  print("x3 =", model[x3])  print("x4 =", model[x4])  print("y1 =", model[y1])  print("y2 =", model[y2])  print("y3 =", model[y3])  print("y4 =", model[y4])  else:  print("无解")  --------------------------------------------------------------------------------------- 最终得到正确的结果 Python 成功: x1 = 1 x2 = 4 x3 = 3 x4 = 2 y1 = 4 y2 = 2 y3 = 3 y4 = 1 x1-x4= 1 4 3 2 y1-y4= 4 2 3 1 按照这样的顺序输入即可： 得到了flag irisctf{m0r3_th4n_0n3_l0g1c_puzzl3_h3r3} 总结 题目并不是很难，没有复杂的ollvm混淆也没有复杂的加密。但是却一步一步引导我们去学习和总结。z3解题的过程中，会有很多误解，然后经过自己的思考总结，发现了漏掉的东西，再进行补充，最终写出正确的脚本。 国外的题还是很值得学习的，不单单为了出题而出题。这就是逻辑运算在z3的运用以及如何增加约束，让z3求解出我们需要的key。

1、MuddyWater组织部署新后门BugSleep https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/ MuddyWater，一个与伊朗有关联的网络威胁行为体，自2023年10月起尤其在以色列的活动激增，其攻击范围亦扩展至沙特阿拉伯、土耳其等多国。该组织通过网络钓鱼邮件传播合法的远程管理工具，如Atera Agent和Screen Connect，同时部署了一种新的定制后门BugSleep。BugSleep后门目前仍在开发中，具备执行攻击者命令和在受感染计算机与C&C服务器间传输文件的能力。 2、CheckPoint安全网关漏洞被黑客利用 https://www.cyfirma.com/research/threat-actors-actively-exploiting-cve-2024-24919-underground-forums-share-ip-addresses-of-vulnerable-check-point-security-gateway-devices/ 安全研究人员发现CheckPoint安全网关的严重漏洞CVE-2024-24919被“GhostClanMalaysia”黑客组织在地下论坛中积极利用。此漏洞CVSS评分8.6，影响配置IPSecVPN、远程访问VPN或移动访问软件等设备，允许未授权远程 3、法国电信巨头SFR遭遇数据泄露 https://thecyberexpress.com/french-telecom-giant-sfr-data-breached-claims/ 法国电信公司SFR近期被报道遭遇重大数据泄露事件。据称，黑客“KevAdams”在Breachforums论坛上公开了SFR超过140万固定电话用户的敏感信息，并提出以850美元的价格出售。这些信息包括客户的姓名、电话号码、地址等。虽然SFR官方尚未对此事作出回应，但数据泄露的潜在影响已经引起了公众和媒体的广泛关注。目前，SFR的数据泄露事件仍在调查中，其真实性和影响范围尚待进一步确认。 4、研究人员揭露BianLian勒索软件 https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group/ BianLian勒索软件组织以其快速适应性和战术多变而在全球网络安全领域引起了广泛关注。自2019年作为银行木马出现以来，该组织不断演进，形成了一系列复杂的攻击策略，针对全球多个关键行业和领域。通过精心设计的网络钓鱼和社会工程手段，BianLian获得目标网络的初始访问权，并利用自定义后门和远程管理工具深化其在受害者网络中的立足点。该组织还展现出通过不断改进其攻击方法以逃避安全检测的能力，使其成为全球组织必须严肃对待的网 5、“Konfety”广告欺诈利用250多个Google Play诱饵应用 https://thehackernews.com/2024/07/konfety-ad-fraud-uses-250-google-play.html 有关“大规模广告欺诈行为”的详细信息已经浮出水面，该行为利用 Google Play Store 中的数百个应用程序执行一系列恶意活动。虽然这些诱饵应用程序（总数超过 250 个）是无害的并通过 Google Play 商店分发，但它们各自的“邪恶双胞胎”却是通过恶意广告活动传播的，旨在促进广告欺诈、监控网络搜索、安装浏览器扩展程序和将 APK 文件代码侧载到用户的设备上。 6、CISA警告 GeoServer 漏洞可能被利用 https://www.securityweek.com/organizations-warned-of-exploited-geoserver-vulnerability/ 美国网络安全机构 CISA 敦促联邦机构尽快修补 GeoServer 中的严重漏洞，并警告有证据表明该漏洞正在被积极利用。该漏洞被标记为CVE-2024-36401（CVSS 评分为 9.8），它被描述为将属性名称作为 XPath 表达式进行不安全的评估，这可能允许未经身份验证的攻击者通过针对默认 GeoServer 安装的精心设计的输入来远程执行代码。 7、卡巴斯基因美国禁令而退出美国市场 https://securityaffairs.com/165799/breaking-news/kaspersky-is-leaving-the-u-s-market.html 卡巴斯基因美国商务部最近对其软件的销售实施禁令而退出美国市场。俄罗斯网络安全公司卡巴斯基宣布退出美国市场。 8、Void Banshee 利用MSHTML漏洞攻击 Windows 用户 https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html 2024 年 5 月，趋势科技发现了漏洞 CVE-2024-38112，该漏洞被利用作为使用互联网快捷方式文件的多阶段攻击链的一部分。该活动在整个 2024 年都很活跃。漏洞 CVE-2024-38112 (ZDI-CAN-24433) 被用作零日漏洞，可使用 MSHTML 通过已禁用的 Internet Explorer 访问和执行文件。作为 Void Banshee 攻击链的一部分，CVE-2024-38112 被用来通过 Atl 9、用户密码强度分析：59%的密码可以在一小时内被猜出 https://www.freebuf.com/articles/paper/405798.html 卡巴斯基的研究调查了在各种暗网网站上发现的1.93亿个密码，并估计了使用暴力和各种高级算法（如字典攻击和/或常见字符组合枚举）从哈希中猜测密码所需的时间。卡巴斯基实验室对暴力攻击抵抗力的研究发现，很大比例的密码（59%）可以在一小时内被破解。 10、德国计划在2029年底前将华为设备清除出其5G移动网络 https://www.secrss.com/articles/68036 德国计划在2029年底之前，从其5G移动网络中完全移除中国制造的组件。这一决定旨在解决多年来的争论，并回应美国对该问题的安全警告。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员发现新型社会工程学攻击策略ClickFix https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/ 安全研究人员最近发现了一种新型的网络攻击手段，即“ClickFix”社会工程策略。这种策略利用用户对合法网站的信任，通过精心设计的虚假错误提示，诱导用户执行恶意脚本，从而在不知情的情况下下载并执行恶意软件。攻击者首先入侵合法网站，然后在用户访问时重定向他们到托管虚假弹出窗口的域。这些弹出窗口指示用户将恶意脚本粘贴到PowerShell终端中，一旦执行，恶意软 2、Akira针对拉丁美洲航空公司发动网络攻击 https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry Akira勒索软件组织针对拉丁美洲一家航空公司网站发动攻击。该组织利用SSH协议入侵网络，窃取关键数据，并部署Akira勒索软件进行加密。此次攻击中，攻击者可能基于Linux，通过DNS查询与Remmina关联的域。Akira组织自2023年3月被发现以来，已攻击多个行业，收到超过4200万美元赎金。安全研究团队深入分析了Akira的攻击链和相关技术细节。 3、Braodo Stealer恶意软件威胁越南及全球用户 https://www.cyfirma.com/research/braodo-info-stealer-targeting-vietnam-and-abroad/ 研究人员发现了一个名为Braodo Stealer的恶意软件，它自2024年初开始在全球范围内活跃。该软件主要针对越南用户，但也已扩散至其他国家和地区。Braodo Stealer利用网络钓鱼和鱼叉式网络钓鱼邮件进行传播，并通过GitHub和位于新加坡的VPS服务器来托管和分发其恶意代码。该恶意软件由越南的网络犯罪分子开发，并通过Telegram机器人窃取用户在多个浏览器上的互联网浏览器数据，包括金融平台和社交媒体账户的凭证。 4、黑客组织NullBulge声称入侵迪士尼Slack系统 https://hackread.com/disneys-internal-slack-breached-nullbulge-leak-data/ NullBulge黑客组织宣称对迪士尼内部Slack系统进行了入侵，并在Breach Forums上声称泄露了1.1 TiB的数据。该组织自称其行动是为了声援艺术家，确保他们的作品得到公正的报酬，这与迪士尼近年来面临的支付艺术家版税的争议相呼应。尽管NullBulge黑客的起源不明，但有猜测称其可能与LockBit勒索软件有关。 5、数百万 mSpy 客户数据遭网上泄露 https://www.securityweek.com/data-of-millions-of-mspy-customers-leaked-online/ 超过 310 GB 的 mSpy 数据（包括 240 万个电子邮件地址和其他用户数据）被网上泄露。 6、AT&T针对数据泄露已支付 37 万美元赎金 https://www.securityweek.com/att-breach-linked-to-american-hacker-telecom-giant-paid-370k-ransom-reports/ 最近披露的 AT&T 数据泄露事件与一名居住在土耳其的美国黑客有关，据报道，该电信巨头支付了一大笔赎金以确保删除被盗信息。据报道，黑客向 AT&T 索要 100 万美元赎金，但最终他只同意了这么少的赎金。黑客向 AT&T 提供了一段视频，显示他已经删除了被盗数据。 7、GitHub Token泄露致Python核心存储库面临潜在攻击 https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html 网络安全研究人员表示，他们发现了一个意外泄露的 GitHub 令牌，该令牌可以授予对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。 8、FIN7黑客组织使用超过 4000 个域名模仿热门品牌 https://cybersecuritynews.com/fin7-domains-mimic-brands-uncovered/ 通过瞄准科技公司和金融行业参与者等知名品牌，FIN7 参与者部署重定向、多阶段网络钓鱼活动并冒充开放目录来传播恶意软件。 9、恶意活动利用虚假 Teams 广告诱骗 Mac 用户 https://thecyberexpress.com/malvertising-campaign-lures-macos-users-teams/ 该恶意广告活动采用了先进的过滤技术来逃避检测，并出现在 Microsoft Teams 的搜索结果中。尽管 URL 显示为 microsoft.com，但它通过欺骗性链接重定向用户。 10、苹果向全球98国用户发出警告：警惕iPhone被间谍软件控制 https://www.ithome.com/0/781/218.htm 苹果公司最近警告全球 98 个国家的大量 iPhone 用户，他们可能成为“雇佣间谍软件”攻击的目标，这种攻击手段几乎可以窃取设备上的所有个人数据。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Exim严重漏洞可让攻击者向邮箱发送恶意可执行文件 https://www.securityweek.com/critical-exim-flaw-allows-attackers-to-deliver-malicious-executables-to-mailboxes/ 2、AT&T确认几乎所有无线用户的数据遭泄露 https://www.securityweek.com/att-data-breach-nearly-all-wireless-customers-exposed-in-massive-hack/ 数据泄露暴露了几乎所有 AT&T 无线客户的通话和短信互动记录，并且与最近针对 Snowflake 客户的攻击有关。 3、印度遭大规模短信网络钓鱼窃取个人信息和支付数据 https://securityaffairs.com/165632/cyber-crime/smishing-triad-is-targeting-india.html Resecurity 发现了 Smishing Triad 发起的一项新活动，该活动针对印度，大规模窃取个人和支付数据。 4、恶意软件DarkGate利用Excel文件进行传播 https://unit42.paloaltonetworks.com/darkgate-malware-uses-excel-files/ 在2024年初，一种名为DarkGate的恶意软件通过精心设计的Excel文件在互联网上迅速传播。这种文件利用了面向公众的SMB文件共享服务，诱使毫无戒心的用户下载并执行其中的恶意宏。DarkGate恶意软件自2018年被发现以来，现已发展成为一个成熟的恶意软件即服务（MaaS）产品，提供包括隐藏虚拟网络计算、远程代码执行和加密挖掘在内的多种功能。研究人员对该恶意软件对合法工具Excel的利用进行了深入分析。 5、Citrix NetScaler发布高危漏洞修补通知 https://support.citrix.com/article/CTX677998/netscaler-console-agent-and-sdx-svm-security-bulletin-for-cve20246235-and-cve20246236 近期，Citrix公司、美国网络安全和基础设施安全局(CISA)以及爱尔兰国家网络安全中心(NCSC)联合发布了关于Citrix NetScaler控制台中存在严重漏洞的警告。该漏洞编号为CVE-2024-6235，评分高达9.4。漏洞源于控制台内身份验证控制不当，可能允许攻击者绕过安全措施，访问敏感数据。受影响的版本包括NetSca 6、DNS劫持针对在Squarespace注册的加密平台 https://www.bleepingcomputer.com/news/security/dns-hijacks-target-crypto-platforms-registered-with-squarespace/ 近日，Squarespace作为注册商遭遇了一系列DNS劫持攻击，影响了多个DeFi加密货币平台。这些攻击通过修改DNS记录，将用户流量重定向至网络钓鱼网站，攻击者企图利用这些网站窃取用户的加密货币和NFT。Compound Finance、Celer Network和Pendle等平台均受到波及，尽管它们迅速采取措施以保护用户资产，但部分用户可能已在钓鱼网站上泄露了敏感 7、Netgear修复WiFi 6路由器存储型XSS漏洞 https://kb.netgear.com/000066264/Security-Advisory-for-Stored-Cross-Site-Scripting-on-Some-Routers-PSV-2023-0122 Netgear近日发布安全公告，提示用户更新其WiFi 6路由器至最新固件版本，以修补存储型XSS和身份验证绕过漏洞。XR1000 Nighthawk游戏路由器中的XSS漏洞（PSV-2023-0122）已在1.0.0.72版本中修复，攻击者可能利用此漏洞进行恶意活动。Netgear建议用户按照其安全公告中的步骤下载并安装最新固件，并声明对于未遵循建议步骤而产生的后果不 8、威胁行为体公开出售韩国国家警察局访问权限 https://thecyberexpress.com/korean-national-police-agency-cyberattack/ 威胁行为体IntelBroker在BreachForums平台的声称，其已成功入侵韩国国家警察局（KNPA），并提供对该机构管理门户、用户数据库和中央命令面板的非法访问权限，售价4000美元，通过加密货币Monero交易。尽管KNPA近年来频繁遭受黑客攻击，但此次事件的真实性尚未得到官方确认。研究人员将继续关注此事件的发展。 9、Palo Alto修复Expedition工具安全漏洞 https://security.paloaltonetworks.com/ Palo Alto Networks最近发布了一项关键安全更新，以修复其Expedition迁移工具中的一个高危漏洞（CVE-2024-5910），该漏洞的CVSS评分高达9.3。该漏洞允许未经身份验证的攻击者接管管理员账户，从而危及配置机密、凭证和其他敏感数据。受影响的产品版本为1.2.92之前的所有版本，而最新版本已包含修复。此外，该公司还解决了RADIUS协议中的BlastRADIUS漏洞（CVE-2024-3596），该漏洞可能使攻击者在PAN-OS防火墙和RADIUS服务器之间发起中间人攻击，绕过身份验证 10、黑客组织利用SSH-Snake蠕虫部署挖矿软件 https://sysdig.com/blog/crystalray-rising-threat-actor-exploiting-oss-tools/ 研究人员追踪发现，CRYSTALRAY黑客组织通过SSH-Snake这一开源蠕虫工具扩大其攻击范围，目前已知有超过1500个系统的凭证被盗，并被部署了加密货币挖矿软件。SSH-Snake能够窃取受感染服务器上的SSH私钥，利用这些密钥在网络中进行横向移动，同时投放额外的有效载荷。CRYSTALRAY黑客组织的行为对网络安全构成了严重威胁，需要采取有效的预防和检测措施来抵御此类攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 本题自带call型花指令，考验选手对花指令的理解程度。加密属于基础的异或和左右移位加密。主要考察选手的基础能力，动态调试和写脚本的能力。在这篇文章，详细记录了我的分析过程，相信你会有很大收获。 1、查壳 PE64位，没壳程序 2、IDA分析去花指令 使用IDA打开时，发现一片红，很正常的CTF考点：花指令 sub_main 当务之急是如何去除花指令，继续向下分析，发现了一些端倪 花指令的形成是干扰编译器的分析，但又不会影响程序的正常运行。 那么显而易见，会将某个寄存器进行push（保存）然后对其进行复杂操作，最终pop（恢复）该寄存器的值，程序正常执行。 而在本程序中，可以发现该手法： push ebx ..... pop ebx 中间的过程均无需再看，直接NOP操作。 nop完记得保存修改。 接下来就可以分析main函数啦 而这两个函数恰好均为关键的函数。 sub_401040 此时，我们可以看到函数开头的位置存在多个push操作，不要急着nop。对照函数结束的部分，避免误杀友军。 可以看到pop和push是相互对应的，开头push，结束就要pop。 此时注意到：push、pop不是要nop的点，我们继续分析 熟悉混淆的朋友一定可以识别出这是一个call型混淆。 call一个地址，然后修改堆栈返回值，retn跳过混淆，相对之前的混淆需要对堆栈有一定的理解。 识别出来，进行nop即可 得到加密函数 int __cdecl sub_401040(char a1, int a2) {  return ((a2 ^ a1) << 8) - a2; } sub_401080 来分析另一个函数 相同的操作 得到加密算法 int __cdecl sub_401080(char a1, int a2) {    return a2 ^ (a1 << 8); } 3、分析加密流程 那么现在的任务是获得加密函数的顺序,这里采用动态调试的方法来获得： 得到顺序 left xor xor left xor left left xor left left xor xor xor left left left xor xor xor left xor xor left xor left left left left xor xor xor left 将left用1替代，xor用0替代，得到顺序： int temp[32] = { 1,0,0,1,0,1,1,0,1,1,0,0,0,1,1,1,0,0,0,1,0,0,1,0,1,1,1,1,0,0,0,1 }; ‍密文可以看到是： dword_402120 数组 unsigned int dword_402120[32] = {    0x00004408, 0x000068D8, 0x00007AD8, 0x00004308, 0x00007BD8, 0x00004608, 0x00007B08, 0x000070D8,    0x00003308, 0x00007308, 0x000076D8, 0x00005CD8, 0x000076D8, 0x00006608, 0x00006908, 0x00006E08,    0x00004BD8, 0x000076D8, 0x00003FD8, 0x00006F08, 0x00005ED8, 0x000076D8, 0x00007408, 0x000046D8,    0x00005F08, 0x00006308, 0x00003408, 0x00007408, 0x000076D8, 0x000044D8, 0x00004CD8, 0x00007D08 }; 4、写出解密算法 #include <stdio.h> void left(unsigned int a1, unsigned int a2) {    // (a1>>8)^a2    printf("%c", ((a1 ^ a2)>>8 )); } void xors(unsigned int a1, unsigned int a2) {    //(((a1+a2)>>8)^a2)    printf("%c", (((a1 + a2) >> 8) ^ a2)); } int main() {    unsigned int dword_402120[32] = {    0x00004408, 0x000068D8, 0x00007AD8, 0x00004308, 0x00007BD8, 0x00004608, 0x00007B08, 0x000070D8,    0x00003308, 0x00007308, 0x000076D8, 0x00005CD8, 0x000076D8, 0x00006608, 0x00006908, 0x00006E08,    0x00004BD8, 0x000076D8, 0x00003FD8, 0x00006F08, 0x00005ED8, 0x000076D8, 0x00007408, 0x000046D8,    0x00005F08, 0x00006308, 0x00003408, 0x00007408, 0x000076D8, 0x000044D8, 0x00004CD8, 0x00007D08   };    int temp[32] = { 1,0,0,1,0,1,1,0,1,1,0,0,0,1,1,1,0,0,0,1,0,0,1,0,1,1,1,1,0,0,0,1 };    for (size_t i = 0; i < 32; i++)   {        if (temp[i]) {            //left            left(dword_402120[i], 8);       }        else {            //xor            xors(dword_402120[i], 40);       }   } } 到此，恭喜你学会了分析一道CTF题目最基本的步骤。

1、安全机构揭露百亿级洗钱平台Huione Guarantee https://www.elliptic.co/blog/cyber-scam-marketplace 安全机构最新报告揭露了Huione Guarantee，一个看似合法的在线市场，实际上是一个涉及至少110亿美元交易的网络犯罪洗钱平台。该平台被用于多种网络犯罪活动，包括‘杀猪’投资诈骗、个人数据销售等。Huione Guarantee由柬埔寨的Huione Group拥有，调查还发现，Huione Group的子公司之一积极参与洗钱活动，凸显了该平台在东南亚诈骗运营商中的关键作用。 2、攻击者利用巴黎奥运会门票进行欺诈活动 https://quointelligence.eu/2024/07/ticket-heist-olympic-games-and-sporting-events-at-risk/ 随着2024年巴黎奥运会的临近，针对全球观众的欺诈门票销售计划正在增加。研究发现，一个名为Ticket Heist的欺诈活动已经建立了708个域名，主要针对俄语用户和东欧国家。这些欺诈网站模仿官方票务平台，使用Stripe支付系统，意图在用户卡上资金充足时完成交易。该活动的影响可能包括个人经济损失、组织者声誉受损和公众对大型活动信任度的下降。安全研究人员建议持续监控和分析，以有效检测和拆除这些欺诈网络。 3、黑客在犯罪论坛公开泄露诺基亚和微软员工数据 https://hackread.com/hacker-leaks-microsoft-nokia-employee-details/ 近期，一位名为'888'的黑客在网络犯罪论坛Breach Forums上泄露了数千名诺基亚和微软员工的个人信息。这次数据泄露据称是由于第三方承包商的安全漏洞，而非诺基亚和微软服务器的直接入侵。泄露的数据包括员工的职称、全名、电话号码和电子邮件地址，微软员工的数据还包括LinkedIn个人资料链接。尽管没有密码或支付数据被泄露，但公开的联系信息仍可能被用于身份盗窃和社会工程攻击。 4、印度Android用户遭遇虚假通知网络钓鱼攻击 https://cyble.com/blog/regional-transport-office-phishing-scam-targets-android-users-in-india 研究人员发现了一种针对印度Android用户的网络钓鱼攻击，该攻击冒充地区交通办公室（RTO）。攻击者利用WhatsApp传播虚假的RTO通知，诱骗用户下载并安装恶意APK，从而收集设备和联系人信息。这种恶意软件通过Telegram和Firebase服务发送窃取的信息，增加了攻击的隐蔽性。研究人员对该威胁进行了深入分析，并揭露了攻击者可能使用的恶意软件即服务（MaaS）模型。 5、勒索软件Estate利用Veeam漏洞发起攻击 https://www.group-ib.com/blog/estate-ransomware/ 安全研究人员揭露了一起Estate勒索软件组织，利用Veeam Backup&Replication软件中的已修补漏洞CVE-2023-27532进行的攻击事件。该漏洞于2023年3月被披露，Veeam迅速发布了补丁，但一些组织因延迟更新和缺乏定期审查而遭受攻击。研究人员深入分析了此次事件，揭示了攻击者如何利用未修补的Veeam Backup&Replication软件，通过FortiGate SSL VPN进行初始访问，进而部署后门并横向移动。安全研究人员建议加强补丁管理和多因素认证，以预防类 6、官方强烈建议升级，GitLab曝严重的账户接管漏洞 https://www.freebuf.com/news/405728.html 7月10日，GitLab警告称，其产品GitLab社区和企业版本中存在一个严重漏洞，允许攻击者以任何其他用户的身份运行管道作业。 7、多个威胁行为者利用PHP漏洞CVE-2024-4577传播恶意软件 https://securityaffairs.com/165586/hacking/php-flaw-cve-2024-4577-actively-exploited.html Akamai 安全情报响应团队 (SIRT) 警告称，多个威胁行为者正在利用 PHP 漏洞C VE-2024-4577来传播多个恶意软件家族，包括Gh0st RAT、RedTail 和 XMRig。 8、富士通确认客户数据在三月份网络攻击中暴露 https://www.bleepingcomputer.com/news/security/fujitsu-confirms-customer-data-exposed-in-march-cyberattack/ 富士通隔离了受影响的计算机，并在外部专家的帮助下启动了调查，以确定此次数据泄露的范围。在最新一份声明中，公司表示已经完成了对事件的调查，并确认数据是被恶意软件窃取的，该恶意软件从单一的入侵点传播到了49台计算机。 9、谷歌开放“暗网报告”功能：通知用户信息泄露 https://www.ithome.com/0/780/756.htm “暗网报告”功能此前仅限于购买 Google One 订阅的功能，主要监控常规网络方式无法访问的网络部分，除了排查个人信息是否已经泄露之外，还可以搜索相关漏洞信息。 10、Apple地理定位API暴露了全球WiFi接入点 https://www.darkreading.com/endpoint-security/apple-geolocation-api-exposes-wi-fi-access-points-worldwide 在 2024 年黑帽大会的演讲中，马里兰大学研究员 Erik Rye 将演示他是如何在几天内绘制出数亿个接入点的地图的，而在绘制过程中甚至不需要苹果设备或任何权限。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

脆弱资产搜集 信息搜集过程中，除了用常见子域名扫一遍，还可以通过空间搜索引擎手动搜索。我用的就是把学校名称或者缩写作为关键字，利用语法: web.body="关键字"&&web.body="系统" web.body="关键字"&&web.body="登录" web.title="关键字"&&web.body="管理" web.title="关键字"&&web.body="后台" 等一系列语法进行挨个查看。 进行信息搜索（你得有一套自己的信息搜集逻辑吧，不然连这个系统都找不到）后，找到一处教学管理系统，点击页面上方软件，点击蓝色链接，进入教学系统 此处存在多个平台，但发现只有几个平台可以点击进入，先点击右上角的:国际结算 出现一个登录框，发现存在注册按钮，并且注册没有任何限制，直接注册账号进行登录（能进后台肯定先进后台测试，之后再测登录框漏洞） 后台敏感信息越权获取 进入后页面如下，挖洞需要首先观察功能点，将所有能点的都点一遍，将功能转化为接口，转化为数据包后，再进行测试。 经过观察，除了修改个人资料与修改密码，其它均为查看资料的地方，尝试sql注入，RCE，文件包含，目录遍历等漏洞均无成果，于是将目光转到这两处功能点。 点击修改个人资料，再点击保存，转到burpsuite查看数据包 发现此处展现了我的账户，密码等个人信息，且数据包body较为简单，于是将数据包转到repeater进行测试。将userId改为2018发包，发现返回其他用户信息。 经过尝试可以实现登录，再次将userId改为0001和0002直接展现管理员与超级管理员账号，并成功登录。（经过尝试，大概能获取两千左右的用户信息。） 未授权加越权 得到越权漏洞一个，但挖洞时注意数据包如果存在cookie等鉴权字段，就可以尝试删除，如果还能获取就可能存在未授权漏洞。 删除cookie后发包，再次成功获取数据，退出登录，过了半天后再次发送数据包，依旧成功获取数据，于是又将危害扩大，能够实现未授权状态对任意用户信息的获取。 继续查看先前的历史数据包，找到保存信息那一个数据包。将其发送到repeater模块进行分析。 接着先前思路删除cookie但修改个人信息失败。进一步分析数据包，发现两个可疑参数:head头的userId与body处的userId,经过尝试，将head头的userId修改可以实现越权修改他人信息，例如我将userId修改为2018再通过先前拿到的账户密码，发现他的信息已经被修改为了我的信息。 （经过尝试，以上漏洞通杀v1.v2.v3版本） 之后对修改密码处进行一套checklist无果...... 编辑器文件上传利用 秉持着功能点多少决定攻击面大小的想法，我先登录进入了管理员账户。 在没有太多功能点的情况下，从分析js文件出发找功能点，有充足功能的情况下，就先将页面展现出来的功能点转化为接口测试，最后再分析js文件。 进入普通管理员后台，先将整个后台功能点进行总览，先不要着急去测功能点，把功能点先点一遍，再从数据包开始分析。 在数据包中发现Editor字段，加上此处存在试卷编辑功能点，于是猜测可能使用了编辑器，在js文件中搜索关键字: 直接找到kindeditor编辑器，此处直接想到可以尝试kindeditor的文件上传与目录遍历漏洞（多挖才会有思路） 注意此处涉及到接口拼接的一个问题，网上找的相关漏洞复现他们的路径并不是完全通用的，我们在做js拼接时也要注意，路径是否存在一个根路径，本例的根路径就是Content，如果你直接找网上的路径拼接到url处是不行的。 例如查看kindeditor版本的路径就应该是: 为4.1.10貌似存在漏洞，于是访问如下界面: 看到这个页面，根据我的经验估计稳了。于是按照步骤部署html上传页面，再将自己写另一个的xss的html通过自己的html页面进行上传，抓包得到返回路径，拼接后访问，成功弹窗，此漏洞可在未登录状态完成。（另一个目录遍历漏洞未能成功） 以下是kindeditor文件上传的html上传页面代码:(xss代码自己写) <head> <title>File Upload</title> </head> <body> <form enctype="multipart/form-data" action="http://******/Content/KindEditor/asp.net/upload_json.ashx?dir=file" method="post"> <p>Upload a new file:</p> <input type="file" name="imgFile" size="50"><br> <input type="submit" value="Upload"> </form> </body> 通过数据包还看到IIS版本为7.5尝试IIS解析漏洞与MS15-034（代码执行）无果。

1、黑客利用Jenkins配置错误进行挖矿攻击 https://www.trendmicro.com/en_us/research/24/g/turning-jenkins-into-a-cryptomining-machine-from-an-attackers-pe.html 安全研究人员对Jenkins服务器在配置不当时可能面临的加密货币挖矿攻击进行了深入分析，发现攻击者可以利用Jenkins脚本控制台执行恶意的Groovy脚本，通过不当配置的权限实现远程代码执行（RCE）。通过Shodan搜索引擎，研究人员发现许多Jenkins服务器暴露在互联网上，容易受到攻击。此外，研究人员还详细说明了攻击者如何利用Jenkins Groovy 2、研究人员揭露ViperSoftX恶意软件运行机制 https://www.trellix.com/blogs/research/the-mechanics-of-vipersofts-exploiting-autoit-and-clr-for-stealthy-powershell-execution/ ViperSoftX自2020年首次发现以来不断进化的高级恶意软件，利用AutoIt和CLR技术实现隐蔽的PowerShell命令执行，其复杂性和高级功能使其成为网络安全的重大威胁。ViperSoftX的感染流程包括从Torrent陷阱开始，自动执行命令，收集系统信息，并与C2服务器通信。其高级功能包括剪贴板内容捕获、动态下载执行负载、反恶 3、研究人员揭露针对中东监控软件GuardZoo https://www.lookout.com/threat-intelligence/article/guardzoo-houthi-android-surveillanceware 安全团队揭露了一款名为GuardZoo的Android监控软件，该软件自2019年10月起针对中东国家的军事人员进行监控活动，并持续活跃至2024年。该软件通过军事主题诱饵吸引受害者，收集照片、文档、位置数据等敏感信息，GuardZoo基于Dendroid RAT，使用ASP.NET创建的C2后端，具备60多个自定义命令，允许攻击者在受感染设备上部署其他侵入性恶意软件。安全团队将此活动归咎于与也门胡塞武装有关 4、BlastRADIUS漏洞威胁RADIUS协议安全 https://kb.cert.org/vuls/id/456537 安全研究人员近日发现RADIUS网络身份验证协议存在名为BlastRADIUS的重大安全漏洞。该漏洞使得攻击者能够通过中间人攻击修改数据包，绕过完整性检查。RADIUS是一种自1997年以来就被广泛使用的轻量级身份验证协议，支持从基本网络交换机到复杂的VPN解决方案的设备。研究人员建议制造商和网络运营商更新软件和配置，采用更安全的通信协议，如TLS或DTLS，并实施网络隔离和VPN隧道通信，以减轻这一风险。 5、Microsoft Outlook中发现零点击RCE漏洞 https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability 研究人员披露了Microsoft Outlook中的一个零点击远程代码执行（RCE）漏洞CVE-2024-38021，该漏洞影响大多数Outlook应用程序。与6月份披露的CVE-2024-30103不同，新漏洞无需身份验证即可被利用，被评为“重要”级别。微软已发布补丁，但研究人员建议重新评估其严重性至“严重”。鉴于漏洞的广泛影响和零点击特性，攻击者可以轻易利用此漏洞进行未授权访问和恶意活动。建议立即更新Outlook和O 6、五年前泄露的Truecaller用户数据库再次被发现 https://cyberpress.org/273-million-truecaller-india-database-leaked-online/ 五年前，Truecaller的用户数据库曾发生泄露事件，而现在，研究人员发现该数据库再次被公开。这次泄露涉及2.73亿印度用户的敏感数据，包括电话号码、全名和位置等信息。这些信息可能被恶意利用，用于网络钓鱼、发送垃圾信息、身份盗窃等不法活动。受影响的电信公司包括印度的主要服务提供商，如Reliance Jio、沃达丰、Airtel和BSNL等。尽管Truecaller声称这些数据并非来源于其数据库，并已经进行了内部调查，但这一事件再次凸显了数 7、VMware 修补了Aria Automation 中的严重 SQL 注入漏洞 https://www.securityweek.com/vmware-patches-critical-sql-injection-flaw-in-aria-automation/ VMware 警告称，经过身份验证的恶意用户可以输入特制的 SQL 查询并在数据库中执行未经授权的读/写操作。 8、Citrix 修补了严重的 NetScaler 控制台漏洞 https://www.securityweek.com/citrix-patches-critical-netscaler-console-vulnerability/ Citrix 推出了针对多个安全漏洞的补丁，包括 NetScaler 产品线中的严重和高严重性问题。 9、OPENSSH 的一个新漏洞可能导致远程代码执行 一个漏洞影响 OpenSSH 安全网络套件的某些版本，可能会导致远程代码执行。漏洞CVE-2024-6409（CVSS 评分：7.0）影响 OpenSSH 安全网络套件的部分版本，可被利用来实现远程代码执行 (RCE)。该问题是 openssh 的 privsep 子进程中的 cleanup_exit() 中可能存在竞争条件，从而影响 openssh 版本 8.7p1 和 8.8p1。 10、新勒索软件组织利用 Veeam 备份软件漏洞 https://thehackernews.com/2024/07/new-ransomware-group-exploiting-veeam.html Veeam Backup & Replication 软件中一个现已修补的安全漏洞正被一个名为 EstateRansomware 的新兴勒索软件所利用。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimsuky组织针对日本机构发起电子邮件攻击 https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html 近日，安全研究机构揭露了Kimsuky攻击组织对日本的定向网络攻击。该组织通过发送带有伪装扩展名的恶意附件的电子邮件，诱使目标下载并执行EXE文件，从而启动了一系列复杂的感染流程。这些流程不仅包括从远程服务器下载和执行VBS脚本，还涉及收集系统信息、进程列表、网络信息以及用户数据，并将这些信息发送到攻击者控制的服务器。此外，攻击还包括键盘记录功能，进一步增强了攻击者的信息窃取能力。鉴于 2、研究人员发布DoNex勒索软件免费解密器 https://decoded.avast.io/threatresearch/decrypted-donex-ransomware-and-its-predecessors/ 研究人员发布报告披露了DoNex勒索软件及其前身的加密缺陷，并宣布自3月以来一直在秘密地向受害者提供解密器。DoNex勒索软件自首次出现以来，经过多次更名，包括Muse、假冒LockBit 3.0、DarkRace，直至最终定名为DoNex。研究人员指出，DoNex在美国、意大利和比利时特别活跃，其加密方案存在漏洞，允许使用特定方法解密被加密的文件。勒索软件的配置文件包含用于加密过程的详细设置，包括白名单和要终止的服 3、npm平台遭遇木马化jQuery供应链攻击 https://blog.phylum.io/persistent-npm-campaign-shipping-trojanized-jquery/ 安全研究团队持续跟进并揭露了一起针对npm平台的复杂供应链攻击。攻击者在npm上散布了多个包含被木马感染的jQuery库的软件包，这些软件包在一个月内被多次发布。攻击者修改了jQuery的end函数，该函数在调用时会将表单数据发送到远程服务器。此外，他们还利用了fadeTo函数的普及性，增加了恶意代码的触发机会。这次攻击的复杂性和持久性表明了供应链攻击者日益增长的技术能力和潜在的广泛影响。 4、硬件制造商Zotac因配置错误导致信息泄露 https://www.bleepingcomputer.com/news/security/computer-maker-zotac-exposed-customers-rma-info-on-google-search/ 计算机硬件制造商Zotac因配置错误导致其网络文件夹中的退货授权（RMA）请求及相关文件被公开，敏感的客户信息因此泄露。这些信息包括发票、地址、请求详情和联系信息，可通过Google搜索查询到。YouTube技术频道观众发现了这一漏洞，并已通知Zotac及其合作伙伴。Zotac已采取措施，禁用了RMA门户上的文档上传功能，改为通过电子邮件接收文件，以保护客户信息。 5、美国国家安全局（NSA）1.4GB机密数据发生泄露 https://cyberpress.org/1-4-gb-nsa-data-leaked-online/ 研究人员在数据泄露论坛上发现了1.4 GB的美国国家安全局（NSA）机密数据泄露。这些数据据称来自与美国政府及其盟友密切合作的Acuity Inc.公司。泄露的数据包括政府官员的全名、电子邮件地址、电话号码以及机密通信内容。此次事件不仅暴露了政府承包商网络安全措施的漏洞，也对NSA员工的个人安全和国家安全行动构成严重风险。目前，Acuity Inc.或五眼联盟成员国尚未就文件真实性或事件严重性发表官方声明。 6、微软警告称 Windows Hyper-V 零日漏洞正被利用 https://www.securityweek.com/microsoft-warns-of-windows-hyper-v-zero-day-being-exploited/ 补丁星期二：微软修补了 Windows 生态系统中的 140 多个安全漏洞，包括两个被利用的零日漏洞。 7、RADIUS协议爆出已存在30年历史的严重漏洞 https://www.securityweek.com/blastradius-attack-exposes-critical-flaw-in-30-year-old-radius-protocol/ 安全供应商 InkBridge Networks 周二呼吁紧急关注 RADIUS 协议中发现的一个已有三十年历史的设计缺陷，并警告说高级攻击者可以发起漏洞来验证本地网络上的任何人，绕过任何多因素身份验证 (MFA) 保护。该公司发布了BlastRADIUS 攻击的技术描述，并警告企业内部网络、互联网服务提供商 (ISP) 和电信公司 (telcos) 等企业网络面临重大风险。 8、Evolve Bank 数据泄露影响 760 万人 https://www.securityweek.com/evolve-bank-data-breach-impacts-7-6-million-people/ Evolve Bank 表示，超过 760 万人的个人信息在勒索软件攻击中遭到泄露。 9、Neiman Marcus 数据泄露导致超过 3100 万客户邮箱地址被泄露 https://securityaffairs.com/165492/data-breach/neiman-marcus-data-breach-2.html 美国奢侈品百货连锁店 Neiman Marcus 最近遭遇数据泄露，泄露了超过 3100 万个客户电子邮件地址。 10、研究人员发现也门黑客正在监视中东军用电话 https://cyberscoop.com/researchers-catch-yemeni-hackers-spying-on-middle-east-military-phones/ 网络安全公司 Lookout 称，一个与胡塞运动有关联的也门黑客组织一直在通过在军事人员的手机中植入监控软件来监视中东的军事人员。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。