1、攻击者针对百万用户级的WordPress网站数据库插件发起攻击 https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-database-plugin-active-on-1-million-sites/ 已检测到针对“Better Search Replace”WordPress 插件中严重缺陷的恶意活动，研究人员在过去 24 小时内观察到了数千次尝试。Better Search Replace 是一个安装量超过一百万的 WordPress 插件，可在将网站移动到新域或服务器时帮助在数据库中进行搜索和替换操作。管理员可以使用它来搜索和替换数据库中的特定文本或处理序列 2、攻击者利用公开暴露的主机远程桌面部署Trigona勒索软件 https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/ 2022 年 12 月下旬，研究人员观察到威胁行为者利用公开暴露的远程桌面协议 (RDP) 主机，导致数据泄露和 Trigona 勒索软件的部署。平安夜，在获得初始访问权限后的短短三个小时内，威胁行为者就在整个网络上执行了勒索软件。威胁行为者使用批处理脚本来窃取数据，并放弃使用一系列可能阻碍防御措施的其他批处理脚本、建立用户帐户、通过防火墙授予 RDP 访问权限以及自动执行其他入侵操作。 3、研究人员披露Phobos勒索软件变体Faust的攻击活动 https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust Phobos 勒索软件系列是一组恶意软件，旨在加密受害者计算机上的文件。它于 2019 年出现，此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员捕获并报告了 Phobos 系列的多个勒索软件变体，包括EKING和8Base。最近，研究人员发现了一份 Office 文档，其中包含一个 VBA 脚本，旨在传播 FAUST 勒索软件（Phob 4、研究人员称约4500个在线Jenkins服务可遭受RCE漏洞攻击 https://twitter.com/Shadowserver/status/1751964510955372855 研究人员发现，大约 45000 个在线暴露的 Jenkins 实例容易受到 CVE-2024-23897 的影响，这是一个严重的远程代码执行 (RCE) 缺陷，针对该缺陷的多个公开概念验证 (PoC) 漏洞正在流传。Jenkins 是领先的 CI/CD 开源自动化服务器，允许开发人员简化构建、测试和部署流程。它具有广泛的插件支持，并为各种任务和规模的组织提供服务。2024 年 1 月 24 日，该项目发布了版本 2.442 和 LTS 2.426.3，以修复 CVE-202 5、能源公司施耐德电气遭遇Cactus勒索软件攻击 https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/ 据知情人士透露，能源管理和自动化巨头施耐德电气遭受了 Cactus 勒索软件攻击，导致公司数据被盗。勒索软件攻击于本月初的 1 月 17 日袭击了该公司的可持续发展业务部门。这次攻击扰乱了施耐德电气的部分资源顾问云平台，该平台至今仍处于中断状态。据报道，勒索软件团伙在网络攻击期间窃取了数 TB 的公司数据，现在威胁该公司，如果不支付赎金，就会泄露被盗的数据。虽然尚不清楚被 6、黑客论坛出售 7.5 亿印度移动用户数据 https://www.securityweek.com/data-of-750-million-indian-mobile-subscribers-sold-on-hacker-forums/ 暗网上出现了一个包含 85% 印度人口信息的海量数据库。 7、Juniper修复了交换机、防火墙中的高危漏洞 https://www.securityweek.com/juniper-networks-patches-vulnerabilities-in-switches-firewalls/ 瞻博网络 Junos OS 的 J-Web 界面中存在高严重性缺陷，可能导致远程任意命令执行。 8、GLIBC 中的提权漏洞影响许多LINUX 发行版 https://securityaffairs.com/158369/breaking-news/gnu-library-c-glibc-cve-2023-6246-flaw.html Qualys 威胁研究单位在GNU C 库 (glibc)中发现了四个安全漏洞，其中包括基于堆的缓冲区溢出（编号为 CVE-2023-6246）。该缺陷存在于 glibc 的 syslog 功能中，攻击者可以利用该缺陷通过提权来获得 root 访问权限。 9、1.5亿条会员信息“裸奔”，知名火锅品牌被罚 https://www.freebuf.com/news/390992.html 据上海市网信办通报，上述知名火锅连锁品牌违法违规行为集中体现在两个环节：在收集个人信息环节，其外送微信小程序仍在强制索取精准位置信息；在存储个人信息环节，其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储，“多年来一直处于‘裸奔’状态”。 10、Google上的恶意广告通过虚假消息应用瞄准中国用户 https://thehackernews.com/2024/01/malicious-ads-on-google-target-chinese.html 作为正在进行的恶意广告活动的一部分，中文用户已成为 Telegram 等受限消息应用程序的恶意 Google 广告的目标。Malwarebytes 在1月25日的一份报告中表示：“威胁行为者正在滥用 Google 广告商帐户来创建恶意广告，并将其指向毫无戒心的用户下载远程管理木马 (RAT) 页面。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

2024年1月21日-24日，由中国网络空间安全人才教育论坛（简称“网教盟”）主办，广州大学会同湖南蚁景科技有限公司、积至（海南）信息技术有限公司联合承办的网安人才实践创新能力培养暨第十一届方班教学研讨会在海南省澄迈生态软件园顺利召开。 中国工程院方滨兴院士、教育部网安专业教指委秘书长封化民教授、网教盟副理事长兼秘书长刘欣然教授、广州大学副校长田志宏教授、国防科技大学贾焰教授、海南省方滨兴院士工作站负责人王媛娣女士、北京航空航天大学李舟军教授、浙江大学徐文渊教授、蚁景科技CEO彭坤先生，还有来自网教盟成员单位、方班拓展班及其他社会组织的网安教育科研从业者共计一百余人通过线上线下方式参加了会议。 在正会前的预热观摩课环节，张尧学院士、高文院士、郑庆华院士应邀点评了方班拓展班研讨厅（辩论）课。正会开幕环节，封化民秘书长、刘欣然秘书长、田志宏副校长、王媛娣女士分别做了开幕致辞。 会上，包括蚁景科技在内的多名网安行业企业专家在构建网络安全实践实训资源上的优势与案例、基于实践实训课程的校企协作模式和资源及分析与演练课程教学分析进行了专题研讨，对课程建设提出了意见建议。 在思辨能力培养主题日，“创新与思辨”课程建设经验分享环节由广州大学殷丽华副院长主持，来自广州大学李默涵教授和刘园教授、北京邮电大学王春露教授、哈尔滨工业大学（深圳）徐国爱教授、南京邮电大学黄海平副院长等分别代表各自单位做了主题报告；课程建设研讨环节由广州大学（网络空间先进技术研究院）鲁辉院长主持，广州大学王乐、李树栋、仇晶、张美范等四位老师分别带动引导了选题、辅导、提问、评分等课程建设四个核心主题的讨论。 在工程实践能力培养主题日，由广州大学王乐副院长主持，广州大学李超教授介绍了方班演武堂课程的建设情况并梳理了需要改进的问题和不足；杨建业、孙哲、谭庆丰等三位老师，分别从课程选题、模式优化、校企合作等三个维度带动引导了主题研讨。方院士和田校长分别从主题选择、课程关注点、教学班设置、校企双向奔赴等角度给予了指导。 网安本科专业及课程建设主题环节，由宁洪副院长主持，与会老师分别就本科专业建设三年规划、课程群建设计划和目标、课程思政等进行分析和研讨。 网安人才实践创新能力培养暨第十一届方班教学研讨会在思辨能力培养模式、工程实践能力培养渠道、本科专业建设方式等方面进行了充分的沟通研讨，达到了预期的效果。 湖南蚁景科技有限公司作为国内领先的“网络安全人才培养服务提供商”，为配合国家网络安全人才培养战略，以市场需求为导向，以能力提升为目标，从高校科研、教学实训及企事业单位实际需求出发，基于对“互联网+教育”的深刻理解，通过自主研发的“网络安全人才实训靶场”，为高校、政企单位、科研院所等行业客户提供满足在线实验教学的虚拟实验环境与各种课件资源，同时为广大网安爱好者提供实战技能培训、人才推荐等服务。

1、乌克兰黑客组织针对俄罗斯空间水文气象中心发起攻击 https://www.bleepingcomputer.com/news/security/ukraine-hack-wiped-2-petabytes-of-data-from-russian-research-center/ 乌克兰国防部主要情报局声称，亲乌克兰的黑客活动分子侵入了俄罗斯空间水文气象中心（又名“planeta”（планета）），并擦除了 2PB 的数据。Planeta 是一个州立研究中心，利用空间卫星数据和雷达和站等地面资源提供有关天气、气候、自然灾害、极端现象和火山监测的信息和准确预测。该机构隶属于俄罗斯航天局，为军事、民航、农业和海事等部门提供支持。在另一起与国 2、研究人员披露部分iPhone应用滥用iOS推送通知收集用户数据 https://twitter.com/mysk_co/status/1750502700112916504 许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集有关设备的用户数据，从而可能允许创建用于跟踪的指纹配置文件。研究人员表示，这些应用程序绕过了苹果的后台应用程序活动限制，并对 iPhone 用户构成隐私风险。“应用程序不应尝试根据收集的数据秘密构建用户配置文件，并且不得尝试、促进或鼓励其他人识别匿名用户或根据从 Apple 提供的 API 收集的数据或您所说的任何数据重建用户配置文件。以‘匿名’、‘聚合’或其他不可识别的方式收集，” 苹果应用商店审查指南的一部分写道。在分析 3、研究人员披露恶意PyPI软件包传播WhiteSnake窃取器 https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi 研究人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包，这些包在 Windows 系统上传播名为WhiteSnake Stealer的信息窃取恶意软件。这些包含恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。这些软件包在其 setup.py 文件中合并了 4、研究人员披露Jenkins多个严重RCE漏洞已有在野积极利用 https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/ 针对 Jenkins 关键漏洞的多个概念验证 (PoC) 漏洞已公开，该漏洞允许未经身份验证的攻击者读取任意文件，一些研究人员报告攻击者积极利用攻击中的漏洞。Jenkins 是一种开源自动化服务器，广泛用于软件开发，特别是持续集成（CI）和持续部署（CD）。它在自动化软件开发过程的各个部分（例如构建、测试和部署应用程序）方面发挥着关键作用。它支持一千多个集成插件，可供各种规模 5、德克萨斯州医疗提供商遭遇数据泄露影响其390万患者信息 https://www.pjats.com/downloads/Notice.pdf 德克萨斯州一家物理和职业治疗提供商通知近 400 万患者，去年内华达州一家医疗转录供应商发生数据盗窃事件，受害者人数不断飙升，而他们也加入了这一行列。Concentra Health Services 于 1 月 9 日向美国卫生与公众服务部报告称，2023 年 Perry Johnson & Associates 遭受的黑客攻击已影响其 390 万患者。医疗转录器的泄露似乎已经暴露了至少 1400 万患者的个人数据，并且这一数字还在增加。虽然 PJ&A 尚未公开列出所有受此次黑客攻击影响的客户，但 Con 6、梅赛德斯-奔驰意外泄露敏感数据包括源代码 https://securityaffairs.com/158306/data-breach/mercedes-benz-data-leak.html 研究人员发现，梅赛德斯-奔驰无意中将私钥留在网上，暴露了内部数据，包括公司的源代码。 7、美国NSA在从数据经纪人那里购买互联网浏览记录 https://securityaffairs.com/158277/intelligence/nsa-buys-internet-browsing-records.html 美国国家安全局（NSA）承认在没有法院命令的情况下从数据经纪人处购买互联网浏览记录以监控美国人的在线活动。 8、研究人员发现 Outlook 漏洞可以泄露 NTLM 密码 https://thehackernews.com/2024/01/researchers-uncover-outlook.html Microsoft Outlook 中现已修补的安全漏洞可能会被威胁行为者利用，在打开特制文件时访问 NT LAN Manager (NTLM) v2 哈希密码。 9、Pwn2Own Automotive 2024落幕共揭露49个零日漏洞 https://www.freebuf.com/news/390890.html 1月26日，为期3天的Pwn2Own Automotive 2024正式落下帷幕，作为趋势科技举办的首届专门针对汽车领域的 Pwn2Own 安全竞赛，本次赛事总共发现了49个与汽车相关的零日漏洞的，并向参赛者累计发放了超130万美元奖金。 10、二维码钓鱼攻击激增587%：用户频频落入社工诈骗陷阱 https://www.hackread.com/qr-code-phishing-social-engineering-scams/ 在这种攻击中，诈骗者利用二维码将用户重定向到一个窃取凭证的页面，并根据用户的设备调整重定向链。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

为深入学习贯彻关于网络强国的战略思想，加强网络安全宣传教育和人才培养，赋能学校打造经验丰富的网安教学师资队伍，全面提升网络安全技能的实战教学水平。2024年1月22日至1月26日，由中国网络空间安全人才教育论坛指导，湖南蚁景科技有限公司主办的“2024网络安全高级研修班”在长沙圆满举行。 此次研修班吸引了来自全国各地的数十位高校优秀老师参与（文末附参会老师高校名单），会议在线上及线下同步进行，共同提升网络安全技能。 开班仪式上，湖南蚁景科技有限公司副总皮开元为本次研修班致辞，对来自五湖四海的参会老师表达了热烈的欢迎。 随后，蚁景科技宋小玲详细介绍了公司的网络安全产品，她表示，蚁景科技一直致力于网络安全教育培训领域的研究和开发，拥有自主知识产权的“网络安全人才实训靶场”，能为高校提供满足在线网安实战教学的虚拟实验环境及其丰富的课件资源。 现已形成成熟的学、训、赛三大体系；全方位覆盖了网络安全领域包括Web安全、渗透测试、CTF网络攻防、信息安全管理等内容。丰富的课件库、快捷方便的教学环境、科学的知识图谱、清晰的学习路径，结合蚁景科技与各大高校开展实习实训的丰富经验，能为院校实习实训工作开展与教师网安教学效率的提升提供有力支持。 此次研修班课程聚焦“网安应急响应”，前期主办方从教学安排、师资配备、课程内容等诸多方面做了最精心的策划与安排。蚁景网安资深讲师刘俊明全程授课，授课老师具备多年网安实战及培训经验，曾为高校、税务、移动、电网、黄金、烟草等政府事业单位进行网安实战和安全服务技能培训；为国防科大、中南大学、湖南大学、中国海洋大学、广州大学等高校进行网络安全、攻防演练的系统化培训。 授课期间，从理论到实操，对重点难点进行了深入浅出的讲解。课程内容丰富，实用性强，涵盖了网络安全领域的多个方面。参会老师在培训期间积极参与，踊跃提问，学习氛围浓厚。参会老师纷纷表示，此次培训收获颇丰，对提升自身的网络安全意识和技能水平有很大的帮助。每日培训间隙，会务组精心准备了茶点茶歇。这些贴心的服务为忙碌的学习过程增添了一份轻松与惬意。 培训课程结束后，会务组还特别安排了一天的韶山之行，让来自全国各地的老师亲身感受湖南红色革命文化。这次活动不仅加深了老师们对红色革命文化的了解，也促进了彼此之间的交流与互动。此次网络安全研修班的成功举办，得益于湖南蚁景科技有限公司的精心组织和广大老师的积极参与。会后，老师们纷纷表达了对此次研修班的高度肯定。他们认为，此次培训不仅提高了自身的网络安全意识和技能水平，也为我国网络安全教学事业的发展注入了新的活力。2024网络安全高级研修班圆满落下帷幕，蚁景科技将持续为各大高校提供全方位的网安人才培养解决方案，感谢老师们对蚁景科技的信任与支持。同时，我们也期待与更多的教育平台和高校合作，共同推进我国网 本次研修班参会老师来自以下院校（部分） 排名不分先后 中南大学、国防科技大学信息通信学院、安徽理工大学、中国人民警察大学、陆军特种作战学院、齐鲁工业大学、西华大学、沈阳理工大学、天津商业大学、陕西工商职业学院、广东岭南职业技术学院、湖北科技学院、福建农林大学、温州科技职业学院、南昌交通学院、黑龙江司法警官职业学院、宁波大学科学技术学院、浙江工业大学、湖南信息学院、浙江水利水电学院、西南石油大学、江苏警官学院、新疆财经大学、四川警察学院、郑州西亚斯学院、湖南科技大学、温州科技职业学院、郑州轻工业学院

1、Confluence安全漏洞在野积极利用约造成4万次攻击 https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/ 在公开披露后三天内，恶意行为者已开始积极利用最近披露的影响 Atlassian Confluence 数据中心和 Confluence 服务器的关键安全漏洞。该漏洞编号为CVE-2023-22527（CVSS 评分：10.0），影响软件的过时版本，允许未经身份验证的攻击者在易受影响的安装上实现远程代码执行。该缺陷影响 2023 年 12 月 5 日之前发布的 Confluence Data Center 和 Server 8 版本 2、隐藏在破解应用中的MacOS恶意软件针对加密钱包发起攻击 https://securelist.com/new-macos-backdoor-crypto-stealer/111778/ 据观察，破解的软件会用一种先前未记录的窃取恶意软件感染 Apple macOS 用户，该恶意软件能够收集系统信息和加密货币钱包数据。它们旨在针对运行 macOS Ventura 13.6 及更高版本的机器，这表明该恶意软件能够感染采用英特尔和苹果硅处理器架构的 Mac。攻击链利用诱杀磁盘映像 (DMG) 文件，其中包括名为“Activator”的程序和 xScope 等合法软件的盗版版本。建议最终打开 DMG 文件的用户将这两个文件移至“应用程序”文件夹并运行 A 3、超过5300台GitLab服务器遭受零点击帐户接管漏洞攻击 https://www.bleepingcomputer.com/news/security/over-5-300-gitlab-servers-exposed-to-zero-click-account-takeover-attacks/ 超过 5300 个暴露在互联网上的 GitLab 实例容易受到 CVE-2023-7028 的攻击，这是 GitLab 本月早些时候警告的零点击帐户接管漏洞。该关键漏洞（CVSS 评分：10.0）允许攻击者将目标帐户的密码重置电子邮件发送到攻击者控制的电子邮件地址，从而允许威胁行为者更改密码并接管该帐户。尽管该缺陷不会绕过双因素身份验证 (2FA)，但对 4、英国国家网络安全中心警告未来两年勒索攻击将加剧滥用AI技术 https://www.ncsc.gov.uk/news/global-ransomware-threat-expected-to-rise-with-ai 英国国家网络安全中心 (NCSC) 警告称，人工智能 (AI) 工具短期内将对网络安全产生不利影响，从而加剧勒索软件的威胁。该机构表示，网络犯罪分子已经将人工智能用于各种目的，预计这种现象在未来两年内将会恶化，从而导致网络攻击的数量和严重性增加。NCSC 认为 ，人工智能将使缺乏经验的威胁行为者、受雇黑客和低技能的黑客活动分子能够进行更有效、量身定制的攻击，否则这些攻击将需要大量时间、技术知识和操作工作。大多数可用的大型学习模型 (LL 5、全球金融科技公司EquiLend遭受网络攻击后导致服务中断 https://www.bleepingcomputer.com/news/security/global-fintech-firm-equilend-offline-after-recent-cyberattack/ 总部位于纽约的全球金融科技公司 EquiLend 表示，部分系统在周一的网络攻击中离线，导致其运营中断。事件发生后，这家技术、数据和分析公司还检测到对其网络的未经授权的访问，目前正在努力恢复所有受影响的服务。EquiLend 发言人称：“我们立即展开调查，发现了一起涉及未经授权访问我们系统的网络安全事件。我们立即采取措施保护我们的系统，并正在有条不紊地尽快恢复相关服务。”Eq 6、Windows11发布更新补丁修复蓝牙音频缺陷及其他已知错误 https://prod.support.services.microsoft.com/en-us/topic/january-23-2024-kb5034204-os-builds-22621-3085-and-22631-3085-preview-7652acf2-56dc-430e-b8ef-ec8f56ec1028 微软发布了 Windows 11 版本 22H2 和 23H2 的 2024 年 1 月预览更新，其中修复了蓝牙音频错误并解决了 24 个已知问题。此月度非安全可选累积更新（编号为KB5034204）将使 Windows 管理员能够测试改进和修复，这些改进和修复将通过即将 7、Jenkins安全漏洞可以导致服务器遭受远程代码执行 https://www.jenkins.io/security/advisory/2024-01-24/ 开源持续集成/持续交付和部署 (CI/CD) 自动化软件 Jenkins 的维护者已经解决了九个安全漏洞，其中包括一个严重错误，如果成功利用该错误，可能会导致远程代码执行 (RCE)。该问题被分配了 CVE 标识符CVE-2024-23897，被描述为通过内置命令行界面 ( CLI )的任意文件读取漏洞。“在处理 CLI 命令时，Jenkins 使用 args4j 库来解析 Jenkins 控制器上的命令参数和选项，”维护人员在周三的公告中表示。“此命令解析器具有一个功能，可以将参数中的 8、X应用程序为美国iOS用户添加安全密钥登录支持 https://help.twitter.com/en/managing-your-account/how-to-use-passkey X（前身为 Twitter）今天宣布，美国的 iOS 用户现在可以使用密码登录其帐户。密钥将链接到生成密钥的 iOS 设备，并通过提供针对网络钓鱼攻击的保护并阻止未经授权的访问尝试，显着降低泄露风险。他们还将通过消除记住复杂密码的需要来增强用户体验和安全性。“密钥充当与您的帐户关联的在线凭证。您的私人密钥无需使用用户名和密码登录您的帐户，而是使用服务器的公共密钥自动验证您的帐户，从而使您无需输入密码即可登录，”X 帮助中心的支持文档解释道。“使用 iClo 9、攻击者滥用API功能泄露1500万条Trello数据拓展邮箱信息 https://www.bleepingcomputer.com/news/security/trello-api-abused-to-link-email-addresses-to-15-million-accounts/ 公开的 Trello API 允许将私人电子邮件地址与 Trello 帐户链接，从而创建数百万个包含公共和私人信息的数据配置文件。Trello 是 Atlassian 旗下的在线项目管理工具，企业通常使用它来将数据和任务组织到看板、卡片和列表中。上周，一名化名“emo”的人试图在一个流行的黑客论坛上出售 15115516 名 Trello 成员的数据，从而传出 Trel 10、新型CherryLoader恶意软件伪装成CherryTree发起攻击 https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions/ 研究人员在野外发现了一种名为CherryLoader的新的基于 Go 的恶意软件加载程序，可以将额外的有效负载传递到受感染的主机上以进行后续利用。该加载程序的图标和名称伪装成合法的 CherryTree 笔记应用程序，以欺骗潜在受害者安装它。CherryLoader 被用来删除两个权限升级工具 PrintSpoofer 或 JuicyPotatoNG 之一，然后运行批处理文件以在受害 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、HPE披露Midnight Blizzard组织入侵其安全团队邮件帐户 https://www.sec.gov/Archives/edgar/data/1645590/000164559024000009/hpe-20240119.htm 惠普企业 (HPE) 今天披露，疑似俄罗斯黑客 Midnight Blizzard 获得了该公司 Microsoft Office 365 电子邮件环境的访问权限，以窃取其网络安全团队和其他部门的数据。Midnight Blizzard，又名 Cozy Bear、APT29 和 Nobelium，是俄罗斯国家资助的黑客组织，据信隶属于俄罗斯对外情报局 (SVR)。威胁行为者全年与多次攻击有关，包括臭名昭著的 2020 Sola 2、研究人员披露VexTrio黑产组织为网络犯罪者代理流量 https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/ 研究人员新调查结果显示，ClearFake、SocGholish 和其他数十个攻击者背后的威胁行为者已与另一个名为 VexTrio 的实体建立了合作伙伴关系，作为大规模“犯罪附属计划”的一部分。该公司表示，最新的进展表明了“他们在网络犯罪行业中活动的广度和联系的深度”，并将VexTrio 描述为“安全文献中描述的最大的单一恶意流量代理”。据信，V 3、恶意NPM软件包通过GitHub窃取数百个开发人员SSH密钥 https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data 在 npm 包注册表中发现的两个恶意包利用 GitHub 来存储从安装它们的开发人员系统中窃取的 Base64 加密的 SSH 密钥。名为warbeast2000和kodiak2k 的模块于本月初发布，分别吸引了412 次和1281 次下载，随后被 npm 维护者删除。最近一次下载发生于 2024 年 1 月 21 日。warbeast2000 有 8 个不同版本，kodiak2k 有 30 多个版本。这两个模块 4、Kasseika勒索软件使用BYOVD手段对抗安全防护软件 https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html Kasseika的勒索软件组织加入了Akira、AvosLocker、BlackByte 和 RobbinHood等其他组织的行列，成为最新一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上的安全相关进程的勒索软件组织。该策略允许“威胁行为者终止防病毒进程和服务以部署勒索软件” 。Kasseika于 2023 年 12 月中旬 5、谷歌Kubernetes错误配置可导致攻击者控制GKE集群 https://orca.security/resources/blog/sys-all-google-kubernetes-engine-risk-example/ 研究人员发现了一个影响 Google Kubernetes Engine (GKE) 的漏洞，拥有 Google 帐户的威胁参与者可能会利用该漏洞来控制 Kubernetes 集群。云安全公司 Orca将这一严重缺陷代号为Sys:All 。据估计，多达 250000 个活跃的 GKE 集群容易受到攻击。安全研究人员表示，这源于一种可能普遍存在的误解，即 Google Kubernetes Engine 中的系统：经过身份验证的 6、GoAnywhere软件存在安全漏洞攻击者可创建管理员账号 https://www.fortra.com/security/advisory/fi-2024-001 Fortra 的 GoAnywhere 托管文件传输 (MFT) 软件中披露了一个严重的安全漏洞，该漏洞可能被滥用来创建新的管理员用户。该问题的编号为CVE-2024-0204，CVSS 评分为 9.8（满分 10）。Fortra在 2024 年 1 月 22 日发布的公告中表示：“7.4.1 之前的 Fortra GoAnywhere MFT 中的身份验证绕过允许未经授权的用户通过管理门户创建管理员用户。”无法升级到版本 7.4.1 的用户可以通过删除安装目录中的 InitialAcc 7、2023年区块链黑客攻击导致价值17 亿美元加密货币被盗 https://www.securityweek.com/1-7-billion-stolen-in-cryptocurrency-hacks-in-2023-report/ 根据区块链分析公司 Chainaanalysis 的一份报告，2023 年，由于加密货币平台黑客攻击，总共价值 17 亿美元的加密货币被盗。 8、Mozilla 发布Firefox 122修复了15个漏洞 https://www.securityweek.com/firefox-122-patches-15-vulnerabilities/ Firefox 和 Thunderbird 发布的更新解决了 15 个漏洞，其中包括 5 个高严重性错误。 9、思科警告统一通信产品中存在严重漏洞请立即修补 https://securityaffairs.com/158116/security/cisco-unified-communications-critical-flaw.html 思科解决了其统一通信和联络中心解决方案产品中可能导致远程代码执行的严重缺陷。 10、严重的 Jenkins 漏洞使服务器易遭受 RCE 攻击 https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html 开源持续集成/持续交付和部署 (CI/CD) 自动化软件 Jenkins 的维护者已经解决了九个安全漏洞，其中包括一个严重错误，如果成功利用该错误，可能会导致远程代码执行 (RCE)。该问题被分配了 CVE 标识符CVE-2024-23897，被描述为通过内置命令行界面 ( CLI )的任意文件读取漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

有一台vps被弱口令上马了 翻来翻去 找到个二进制文件如下 前言 搜main函数关键字可以判断是用shc加密shell脚本生成的二进制文件 在0000000000400F7E位置函数，找到了加载shell命令的位置 shc部分源码 /* shc.c */ /** * This software contains an ad hoc version of the 'Alleged RC4' algorithm, * which was anonymously posted on sci.crypt news by cypherpunks on Sep 1994. * * My implementation is a complete rewrite of the one found in * an unknown-copyright (283 characters) version picked up from: *   From: allen@gateway.grumman.com (John L. Allen) *   Newsgroups: comp.lang.c *   Subject: Shrink this C code for fame and fun *   Date: 21 May 1996 10:49:37 -0400 * And it is licensed also under GPL. * *That's where I got it, now I am going to do some work on it *It will reside here: http://github.com/neurobin/shc */ static const char my_name[] = "shc"; static const char version[] = "Version 4.0.3"; static const char subject[] = "Generic Shell Script Compiler"; static const char cpright[] = "GNU GPL Version 3"; static const struct { const char * f, * s, * e; } provider = { "Md Jahidul", "Hamid", "<jahidulhamid@yahoo.com>" }; 尝试生成一个echo “helloworld”，看看shc生成的文件是什么构造 shc 安装shc sudo add-apt-repository ppa:neurobin/ppa sudo apt-get update sudo apt-get install shc 加密后会得到一份生成的c源码和可执行文件 [04:08:08] ctfshow@ubuntu /home/ctfshow/Desktop/test (0) > shc -f ./test.sh [04:08:11] ctfshow@ubuntu /home/ctfshow/Desktop/test (0) > ls test.sh test.sh.x* test.sh.x.c [04:08:12] ctfshow@ubuntu /home/ctfshow/Desktop/test (0) > ./test.sh.x hello 会输出一个test.sh.c和编译好的test.sh.x 那么可以照着test.sh.c的源码来快速分析手上的二进制文件 调试发现ret会记录当前进程是否为父进程， 调试发现如果为父进程，则执行的命令是 exec bash ./<程序自己> 那么相当于把代码在子进程里面又跑了一遍 这个时候ret就是1了，加载的也会是text里面真正的代码段 思路 程序把shell命令用rc4加密在了硬编码里面，回到样本，只要更改ret的值然后调到execvp 然后print mem就能得到shell脚本了 patch && dump mem 修改ret值 在memcpy下断 祖传字符串脚本 base  =0x000000000602B83 end = 0x00000000006074F0 ans=[] for i in range(base,end):    tmp = idc.get_wide_byte(i)    ans.append(tmp)    if(tmp == 0):        print(bytes(ans))        ans=[] shlll = b'' with open("sh.tmp", "w") as f:    print(shlll.decode(),file=f) 暂且写个脚本存一下 shell分析 到这一步就比较明了了 shell脚本里面存的命令全是用明文显示的 首先是删除日志和竞品矿机，然后设置iptable 释放iptable_reject 然后从远程服务器下载矿机 其中一个ip是172.104.170.240 上网搜一下ip是一个矿池 搜索矿池ip发现样本行为和安天于今年5月发布的yayayaminer有一定相似之处，在初期的排查阶段借鉴了其思路。

1、加密货币窃密木马利用DNS记录中隐藏的恶意脚本传递载荷 https://securelist.com/new-macos-backdoor-crypto-stealer/111778/ 黑客正在使用一种隐秘的方法，通过隐藏恶意脚本的 DNS 记录向 macOS 用户传递信息窃取恶意软件。该活动似乎针对 macOS Ventura 及更高版本的用户，并依赖于重新打包为包含木马的 PKG 文件的破解应用程序。研究人员发现了该活动并分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行恶意软件，假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口，要求输入管理员密码。获得许可后，恶意软件会通 2、攻击者利用Atlassian Confluence产品RCE漏洞发起攻击 https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-atlassian-confluence-rce-flaw/ 安全研究人员正在观察 CVE-2023-22527 远程代码执行缺陷漏洞的利用尝试，该漏洞影响过时版本的 Atlassian Confluence 服务器。Atlassian上周披露了该安全问题 ，并指出该问题仅影响 2023 年 12 月 5 日之前发布的 Confluence 版本，以及一些不受支持的版本。该缺陷的严重性评分很高，被描述为模板注入漏洞，允许未经身份验证 3、抵押贷款机构LoanDepot遭网络攻击致1660万用户数据泄露 https://www.businesswire.com/news/home/20240122969848/en/loanDepot-Provides-Update-on-Cyber-Incident 抵押贷款机构 LoanDepot 表示，在本月早些时候披露的勒索软件攻击中，约 1660 万人的个人信息被盗。1 月 6 日的一次攻击迫使其关闭部分系统以遏制违规行为，该公司告诉客户，定期自动付款仍将得到处理，但付款历史记录会出现延迟。事件发生后，通过服务客户门户进行的付款也无法使用，其他几个在线门户，包括 MyloanDepot、HELOC 和 mellohome 网站也处于离线状态。几天后 4、Google发布Chrome 121 修复了17 个漏洞 https://www.securityweek.com/chrome-121-patches-17-vulnerabilities/ 谷歌周二宣布将 Chrome 121 升级至稳定版，修补了 17 个漏洞，其中 11 个是外部研究人员报告的。 5、5379 台公网GitLab 服务器易受零点击帐户接管攻击 https://securityaffairs.com/158075/hacking/gitlab-servers-vulnerable-cve-2023-7028.html 数千台 GitLab 服务器容易受到利用漏洞 CVE-2023-7028 的零点击帐户接管攻击。 6、全球零售商 BuyGoods.com 泄露用户 PII、KYC 数据 https://www.hackread.com/online-retailer-buygoods-com-pii-kyc-data-leak/ 暴露的服务器还暴露了客户和附属公司的个人记录，其中包含高度敏感的个人身份信息（PII）和了解你的客户（KYC）数据。 7、美国、英国和澳大利亚联合制裁 REvil 黑客组织成员 https://www.freebuf.com/news/390471.html Bleeping Computer 网站消息，澳大利亚、美国和英国政府宣布对俄罗斯人 Aleksandr Gennadievich Ermakov 实施制裁。据悉，该男子被认为是 2022 年 Medibank 攻击事件的幕后黑手，也是 REvil 勒索软件组织的重要成员。 8、苹果、VMware、Apache等科技巨头漏洞被大量应用 https://www.freebuf.com/news/390485.html Therecord网站披露，黑客因频繁利用多个新发现的漏洞发起攻击吸引了美国网络安全专家们的高度关注，专家们担心这些漏洞可能会被网络犯罪组织和其他各国政府用于不法目的。过去一周，美国网络安全专家和网络安全与基础设施安全局（CISA）等政府机构已经关注到了影响苹果、VMware、Atlassian、Fortra、Apache等科技巨头的漏洞。 9、微软内网遭撞库攻击：高管邮件被盗，法务/安全部门也被访问 https://www.secrss.com/articles/63068 微软表示，这次攻击系由俄罗斯支持的黑客组织“午夜暴雪”（Midnight Blizzard）发起。这是多年以来至少第二次，微软因不遵守基本网络卫生而导致可能伤害客户的漏洞。 10、Apple修复了2024年首个被利用的零日漏洞 https://www.bleepingcomputer.com/news/apple/apple-fixes-first-zero-day-bug-exploited-in-attacks-this-year/ 修复的零日漏洞被记录为CVE-2024-23222 [iOS, macOS, tvOS]，它是一个WebKit混淆问题，攻击者可以利用它在目标设备上执行代码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

2024年1月24日， FreeBuf咨询正式发布《CCSIP（China Cyber Security Industry Panorama）2023中国网络安全行业全景册（第六版）》。分为七大逻辑层、20个一级分类、108个二级分类。 FreeBuf咨询常年对网络安全技术、行业动态保持追踪，洞悉安全行业现状和趋势。由FreeBuf专业的评审团队，对安全厂商进行归类与评审。 在此次全景册中，蚁景科技作为可靠的网络安全人才培养服务提供商，最终入选安全靶场，攻防演练、安全咨询与培训教育三个细分板块。 本次入选《CCSIP（China Cyber Security Industry Panorama）2023中国网络安全行业全景册（第六版）》，是网安行业权威研究机构对蚁景科技企业实力和品牌影响力的高度认可。 未来，蚁景科技将继续坚持优化人才培养、技术创新和产业发展的良性生态，致力于培养更多的网络安全专业优秀人才，推动网安技术教学的创新和应用，为网安人才实战能力的全面提升贡献力量。 关于蚁景科技  湖南蚁景科技有限公司作为国内领先的“网络安全人才培养服务提供商”，为配合国家网络安全人才培养战略，以市场需求为导向，以能力提升为目标，从高校科研、教学实训及企事业单位实际需求出发，基于对“互联网+教育”的深刻理解，通过自主研发的“网络安全人才实训靶场”，为高校、政企单位、科研院所等行业客户提供满足在线实验教学的虚拟实验环境与各种课件资源，同时为广大网安爱好者提供技能培训、人才推荐等服务。实现网安人才技能学习积累、综合技能运用以及考核评估三大目标。

1、ScarCruft组织针对安全研究人员发起网络钓鱼攻击 https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/ 2023 年 12 月，名为ScarCruft的威胁行为者精心策划了一场新活动，媒体组织和朝鲜事务领域的知名专家成为了这场活动的目标。ScarCruft 一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。这个与朝鲜有联系的对手，也被称为 2、苹果发布针对iPhone和Mac产品中严重零日漏洞的补丁 https://cwe.mitre.org/data/definitions/843.html Apple 周一发布了 iOS、iPadOS、macOS、tvOS 和 Safari 网络浏览器的安全更新，以解决已被广泛利用的零日漏洞。该问题被追踪为CVE-2024-23222，是一个类型混淆错误，威胁行为者可以利用该错误在处理恶意制作的 Web 内容时实现任意代码执行。这家科技巨头表示，该问题已通过改进检查得到解决。一般来说，类型混淆漏洞可以被用来执行越界内存访问，或导致崩溃和任意代码执行。苹果在一份简短的咨询中承认，它“意识到有报告称这个问题可能已被利用”，但没有透露有关攻击性质或利用该缺 3、阿根廷Payoneer金融账户遭遇双因素身份验证绕过攻击 https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/ 阿根廷的许多 Payoneer 用户表示，在睡觉时收到短信 OTP 代码后，醒来后发现他们受 2FA 保护的账户遭到黑客攻击，资金被盗。Payoneer是一家提供在线汇款和数字支付服务的金融服务平台。它在阿根廷很受欢迎，因为它允许人们在绕过当地银行法规的同时赚取外币收入。从上周末开始，许多账户受到双因素身份验证 (2FA) 保护的阿根廷 Payoneer 用户 报告说， 他们的账 4、MavenGate攻击劫持Java和安卓应用中依赖的废弃库 https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/ 一些被放弃但仍在 Java 和 Android 应用程序中使用的公共和流行库被发现容易受到名为 MavenGate 的新软件供应链攻击方法的影响。对项目的访问可以通过域名购买被劫持，并且由于大多数默认构建配置都很容易受到攻击，因此很难甚至不可能知道是否正在执行攻击。成功利用这些缺陷可能会允许恶意行为者劫持依赖项中的工件并将恶意代码注入应用程序，更糟糕的是，甚至通过恶 5、NS-STEALER利用Discord机器人从主流浏览器中窃取数据 https://www.trellix.com/about/newsroom/stories/research/java-based-sophisticated-stealer-using-discord-bot-as-eventlistener/ 网络安全研究人员发现了一种新的基于 Java 的“复杂”信息窃取程序，它使用 Discord 机器人从受感染的主机中窃取敏感数据。这种名为NS-STEALER的恶意软件通过伪装成破解软件的 ZIP 档案进行传播。ZIP 文件中包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），该文件充当部署恶意 JAR 文件的管道，该文件 6、Splunk Enterprise 中的高严重性漏洞已修复 https://www.securityweek.com/high-severity-vulnerability-patched-in-splunk-enterprise/ 最新的 Splunk Enterprise 版本修复了多个漏洞，其中包括 Windows 版本中的一个高严重性缺陷。 7、航空租赁巨头 AerCap 遭受勒索软件攻击 https://www.securityweek.com/aircraft-lessor-aercap-confirms-ransomware-attack/ 全球最大的航空租赁公司 AerCap 于 1 月 17 日遭受勒索软件攻击。 8、美国SEC 称 X 账户通过 SIM 卡交换遭到黑客攻击 https://www.securityweek.com/sec-says-x-account-hacked-via-sim-swapping/ 美国证券交易委员会周一透露，黑客利用 SIM 卡交换的方式接管了其 X（前身为 Twitter）账户。 9、一个新的严重漏洞会影响FORTRA GOANYWHERE MFT https://securityaffairs.com/157993/hacking/fortra-goanywhere-mft-critical-flaw.html Fortra 解决了影响 GoAnywhere MFT（托管文件传输）产品的新身份验证绕过漏洞。Fortra 警告客户存在一个名为 CVE-2024-0204 （CVSS 评分 9.8）的新身份验证绕过漏洞，该漏洞会影响 GoAnywhere MFT（托管文件传输）产品。 10、研究称手机环境光传感器可泄露用户隐私信息 https://www.freebuf.com/news/390377.html 麻省理工学院计算机科学和人工智能实验室（CSAIL）的一项研究论文显示，Android 和 iPhone 手机的环境光传感器可以变成摄像头，让攻击者可以探测用户行为及其周围环境。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。