报告编号：CERT-R-2024-655

报告来源：360CERT

报告作者：360CERT

更新日期：2024-01-22

0x01   事件导览

本周收录安全热点54项，话题集中在安全漏洞、网络攻击、恶意软件，主要涉及的实体有：GitLab Community Edition (CE)、WordPress、TeamViewer等，主要涉及的黑客组织有：蔓灵花、Mint Sandstorm、Bigpanzi等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

WordPress网站遭Balada Injector恶意软件感染

日期: 2024-01-16
标签: 信息技术, WordPress, Balada Injector, CVE-2023-6000, Popup Builder

数千个使用易受攻击版本的Popup Builder插件的WordPress网站遭到了名为Balada Injector的恶意软件感染。这一攻击活动自2017年以来一直在进行，利用WordPress插件的安全漏洞注入后门，重定向受感染网站的访问者到虚假技术支持页面、欺诈性彩票中奖页面和推送通知欺诈页面。攻击利用Popup Builder插件的严重漏洞（CVE-2023-6000，CVSS评分：8.8），并且已经在超过1百万个网站中植入了恶意代码。最终目标是通过插入恶意JavaScript文件来控制网站，并加载额外的JavaScript以实现恶意重定向。Balada Injector的威胁行为包括上传后门、添加恶意插件和创建虚假博客管理员，这些都是通过JavaScript注入来实现的。攻击者通过利用已登录的网站管理员的Cookie来获取提升的权限，并安装和激活一个恶意后门插件，以从特定域名获取第二阶段的恶意载荷。

详情

Phemedrone信息窃取恶意软件攻击概述

日期: 2024-01-16
标签: 信息技术, Phemedrone, CVE-2023-36025

研究人员揭示了一种名为Phemedrone的信息窃取恶意软件，利用Microsoft Defender SmartScreen漏洞（CVE-2023-36025）绕过Windows安全提示，打开URL文件时执行恶意命令。该恶意软件可窃取存储在浏览器、加密货币钱包以及Discord、Steam和Telegram等软件中的数据，并将这些数据发送给攻击者。该漇残漏洞在2023年11月的“Patch Tuesday”中得到修复，但在那之前已被积极利用。攻击者通过欺骗受害者打开恶意URL文件，绕过Windows SmartScreen的警告，并自动执行命令。Phemedrone初始化其配置后，从目标应用程序中窃取数据，并使用Telegram进行数据泄露。Trend Micro报告称，Phemedrone主要针对Chromium浏览器、Gecko浏览器、加密货币钱包、Discord、FileZilla、Steam和Telegram等应用和数据进行攻击。

详情

Remcos RAT：韩国WebHard传播成人游戏伪装木马

日期: 2024-01-17
标签: 信息技术, Remcos RAT

"远控木马"（RAT）Remcos RAT被发现通过将其伪装成韩国成人主题游戏，通过WebHard传播。WebHard是韩国流行的在线文件存储系统，用于在该国上传、下载和共享文件。最新分析显示，攻击者利用这一技术分发Remcos RAT，通过欺骗用户打开伪装成成人游戏的陷阱文件，并在启动时执行恶意Visual Basic脚本，从而检索Remcos RAT。

详情

macOS平台信息窃取软件规避XProtect检测的挑战

日期: 2024-01-17
标签: 信息技术, macOS操作系统, XProtect反恶意软件系统

2024年1月，研究人员发现了针对 macOS 平台的多种信息窃取软件，它们具有规避检测的能力，即使安全公司频繁跟踪和报告新变种，也难以检测到。报告指出了三种能够规避 macOS 内置反恶意软件系统 XProtect 的显著恶意软件示例。这些恶意软件能够绕过 XProtect 的检测，主要是因为其快速响应的特性。报告还提到了这些恶意软件的具体示例，以及苹果最近对它们签名的更新情况。最后，强调了仅依靠静态检测来确保安全是不足够的，应采用更全面的安全策略。

详情

Androxgh0st恶意软件威胁警告

日期: 2024-01-17
标签: 信息技术, Androxgh0st

2024年1月16日，美国CISA和FBI发出警告称，使用Androxgh0st恶意软件的攻击者正在构建专注于云凭证窃取的僵尸网络，并利用窃取的信息传递其他恶意载荷。这种僵尸网络首次由Lacework Labs于2022年发现，它扫描使用PHPUnit单元测试框架、PHP Web框架和Apache Web服务器的网站和服务器，具有远程代码执行（RCE）漏洞。RCE漏洞包括CVE-2017-9841（PHPUnit）、CVE-2021-41773（Apache HTTP服务器）和CVE-2018-15133（Laravel）。

详情

Kaspersky发布Python脚本帮助识别iOS设备恶意软件感染

日期: 2024-01-18
标签: 信息技术, Python脚本, Shutdown.log文件

Kaspersky安全研究人员发现，通过检查Shutdown.log文件，可以发现感染了高调间谍软件Pegasus、Reign和Predator的苹果移动设备。他们发布了三个Python脚本，帮助自动化分析Shutdown.log文件，并识别潜在的恶意软件感染迹象。这些脚本可以从iOS关机日志文件中提取重启统计数据和恶意软件感染迹象。该方法可用于识别Pegasus和Reign间谍软件的感染。研究人员指出，如果目标频繁重启手机，该日志文件可能有助于识别这些恶意软件家族的感染。

详情

AndroxGh0st恶意软件威胁警报

日期: 2024-01-18
标签: 信息技术, AndroxGh0st

美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发出警告，称部署AndroxGh0st恶意软件的威胁行为者正在创建用于“在目标网络中进行受害者识别和利用”的僵尸网络。AndroxGh0st是一种基于Python的恶意软件，首次由Lacework于2022年12月记录，该恶意软件启发了几种类似工具，如AlienFox、GreenBot（又称Maintance）、Legion和Predator。这种云攻击工具能够渗透易受已知安全漏洞影响的服务器，以访问Laravel环境文件并窃取高调应用程序的凭据，例如Amazon Web Services（AWS）、Microsoft Office 365、SendGrid和Twilio。

详情

0x04   数据安全

HIBPDE Naz.API数据集泄露

日期: 2024-01-18
标签: 信息技术, Naz.API

根据Troy Hunt的公告，Have I Been Pwned（HIBP）已将Naz.API数据集添加到其数据泄露通知服务中。Naz.API数据集包含近71百万个与被盗账户相关的电子邮件地址，是由1亿条凭据组成的庞大集合，这些凭据是通过凭证填充列表和信息窃取恶意软件窃取的数据编制而成。该数据集已被用于支持名为illicit.services的开源情报平台，该平台允许访问者搜索包括姓名、电话号码、电子邮件地址等在内的被盗信息数据库。Naz.API数据集由319个文件组成，总计104GB，包含70840771个唯一电子邮件地址。Troy Hunt建议检查自己的凭据是否在Naz.API数据集中，并建议更改所有已保存账户的密码，包括企业VPN、电子邮件账户、银行账户等。

详情

0x05   网络攻击

印度APT组织针对我国军工行业的网络攻击事件

日期: 2024-01-15
标签: 政府部门, 蔓灵花, APT舆情, 军工行业

近日，瑞星威胁情报中心捕获到“蔓灵花”APT组织针对我国军工行业发起的APT攻击事件。通过分析发现，攻击者试图通过鱼叉式钓鱼攻击来投递wmRAT后门程序，以达到窃取我国军事机密的目的。在此次攻击中，“蔓灵花”组织向我国军工行业投递带有恶意程序的钓鱼邮件，该邮件附件内含有恶意的CHM文件，一旦有受害者点击这个CHM文件，就会在本地创建计划任务。该计划任务会设定每隔15到20分钟与攻击者远程服务器通信一次，继而下载MSI文件，向受害者电脑内植入wmRAT后门程序。

详情

Mint Sandstorm发动针对研究机构和大学高级员工的钓鱼攻击

日期: 2024-01-18
标签: 教育行业, 科研服务, Mint Sandstorm

微软发现伊朗支持的黑客组织 APT35 的一个子组织 Mint Sandstorm 进行了一系列针对欧洲和美国研究机构和大学高级员工的钓鱼攻击。攻击者发送定制的难以检测的钓鱼邮件，通过先前被攻陷的账户发送。攻击使用了新型后门恶意软件 MediaPl 和基于 PowerShell 的后门恶意软件 MischiefTut，用于窃取敏感数据和进行侦察。APT35 还在过去的一些攻击中使用了 Sponsor 和 NokNok 等后门恶意软件。此次攻击可能旨在收集与以色列-哈马斯战争相关事件的不同观点。这些攻击表明了黑客组织针对特定行业和知识领域的高价值目标，并且可能受到伊朗利益的影响。

详情

Mint Sandstorm攻击大学和研究机构的知名人士

日期: 2024-01-19
标签: 信息技术, APT舆情

自2023年11月以来，Microsoft观察到Mint Sandstorm(PHOSPHORUS)的一个独特子集攻击比利时、法国、加沙、以色列、英国和美国的大学和研究组织中从事中东事务的知名人士。在此活动中，Mint Sandstorm使用定制的网络钓鱼诱饵，试图通过社会工程手段让目标下载恶意文件。在少数案例中，微软观察到了新的入侵后技术，包括使用名为MediaPl的新定制后门。

详情

TensorFlow CI/CD配置问题导致供应链攻击

日期: 2024-01-19
标签: 信息技术, TensorFlow

研究人员在开源 TensorFlow 机器学习框架中发现 CI/CD 配置问题，可能被利用来进行供应链攻击。攻击者可以通过恶意拉取请求来利用这些配置问题，上传恶意版本到 GitHub 仓库，远程执行代码，并获取 GitHub 个人访问令牌。GitHub Actions 自托管 runner 存在安全隐患，而 GitHub 托管 runner 则不受影响。此次披露的漏洞已得到项目维护人员的解决，包括限制来自 fork 拉取请求的工作流需获得批准以及将 GITHUB_TOKEN 权限改为只读。研究人员还指出了其他一些公开 GitHub 仓库存在的类似问题。

详情

美国Kansas State大学证实遭受网络攻击

日期: 2024-01-19
标签: 教育行业, Kansas State University (K-State)

Kansas State University (K-State) 宣布正在处理一起网络安全事件，该事件已经破坏了某些网络系统，包括 VPN、K-State Today 邮件和 Canvas 以及 Mediasite 上的视频服务。大学在2024年1月16日上午宣布一些 IT 系统中出现了故障，并在下午确认遭受了网络攻击。受影响的系统在检测到攻击后被下线，导致 VPN、邮件、Canvas 和 Mediasite 视频、打印、共享驱动器和邮件列表管理服务（Listservs）不可用。

详情

Docker服务漏洞遭受新攻击

日期: 2024-01-19
标签: 信息技术, XMRig

一种新的攻击活动利用 Docker 服务漏洞，部署 XMRig 挖矿程序和 9hits 浏览器应用程序，实现双重变现策略。攻击者通过在 Docker 主机上部署 9hits 浏览器应用程序，利用被感染系统的资源来驱动流量，从而为自己赚取积分。同时，他们还部署了 XMRig 挖矿程序，利用云系统资源挖取门罗币。这种攻击活动对受感染主机的影响主要体现在资源枯竭，导致合法工作负载无法正常运行。这一发现表明威胁行为者不断探索替代变现渠道，需要加强对受滥用的平台的安全检查和政策，同时云计算环境的投资者需要采用零信任模型、云工作负载保护平台（CWPP）和云安全姿势管理（CSPM）等手段来提高可见性、管理配置并保护暴露的资产。

详情

COLDRIVER进行PDF钓鱼攻击

日期: 2024-01-19
标签: 信息技术, COLDRIVER

黑客组织COLDRIVER 突破了以往的惯常做法，首次使用 Rust 编程语言编写了自定义恶意软件。他们利用 PDF 文件作为诱饵，通过冒充账户发送钓鱼邮件，以窃取凭证并获取对账户的访问权限。该威胁行为已经活跃了几年，主要针对学术界、国防、政府组织、非政府组织等领域，最近还开始瞄准国防工业和能源设施。在英国和美国等地区受到的影响最大，但也有其他北约国家和俄罗斯邻国的目标受到攻击。COLDRIVER 还使用了名为 SPICA 的后门软件，通过 PDF 文件诱骗用户，获取对受感染机器的秘密访问权限。Google TAG 已经采取了措施，将与这个黑客组织有关的所有已知网站、域名和文件添加到安全浏览阻止列表中。

详情

0x06   安全漏洞

GitLab发布紧急更新解决多个关键漏洞

日期: 2024-01-15
标签: 信息技术, GitLab Community Edition (CE), 双因素认证

2024年1月中旬，GitLab发布了新更新的通知。该更新包括GitLab Community Edition (CE)和Enterprise Edition (EE)的版本16.7.2、16.6.3和16.5.6，旨在解决一系列关键漏洞。其中包括两个严重漏洞，以及一个高危、一个中危和一个低危漏洞。第一个严重漏洞（CVE-2023-7028）是一个身份验证问题，允许将密码重置邮件发送到未经验证的电子邮件地址，最高严重程度评分为10。第二个严重漏洞（CVE-2023-5356）可用于冒充其他用户执行斜杠命令，以滥用Slack/Mattermost。GitLab建议升级并为所有帐户启用双因素认证。

详情

苹果发布魔术键盘固件更新解决蓝牙键盘注入漏洞

日期: 2024-01-15
标签: 信息技术, Magic Keyboard

苹果公司发布了魔术键盘固件更新2.0.6，以解决最近披露的蓝牙键盘注入漏洞。该漏洞是一个会话管理问题，攻击者可以利用物理接触配件提取其蓝牙配对密钥，并窃听蓝牙流量。漏洞由SkySafe的Marc Newlin发现，攻击者可以利用未经身份验证的蓝牙连接到易受攻击的设备，并注入按键，执行任意命令等操作。魔术键盘固件更新2.0.6适用于多种魔术键盘型号。研究人员指出，锁定模式无法防止利用此漏洞的攻击。目前尚不清楚该漏洞是否已在野外被利用。

详情

Juniper Networks发布关键更新以修复远程代码执行漏洞

日期: 2024-01-15
标签: 信息技术,  CVE-2024-21591, Juniper Networks

Juniper Networks发布了更新，以修复其SRX系列防火墙和EX系列交换机中的关键远程代码执行（RCE）漏洞。该漏洞被标识为CVE-2024-21591，CVSS评分为9.8。该漏洞影响多个Junos OS版本，但已在特定版本中得到修复。此外，Juniper Networks还解决了Junos OS和Junos OS Evolved中的另一个高危漏洞（CVE-2024-21611，CVSS评分为7.5）。公司建议用户在部署修复程序之前，暂时禁用J-Web或限制对受信任主机的访问。尽管目前没有证据表明这些漏洞正在被利用，但去年曾有威胁行为者利用影响公司SRX防火墙和EX交换机的多个安全缺陷。

详情

CISA敦促解决九种ICS产品漏洞

日期: 2024-01-15
标签: 信息技术, ICS产品漏洞, 工业控制系统 (ICS)

美国网络安全与基础设施安全局（CISA）敦促关键基础设施组织解决影响九种工业控制系统（ICS）产品的漏洞。报告指出，这些漏洞对能源、制造和交通等行业广泛使用的产品造成了高和严重的影响。具体包括 Rapid Software LLC 的 Rapid SCADA、Horner Automation 的 Cscape、Schneider Electric 的 Easergy Studio、Siemens 的 Teamcenter Visualization 和 JT2Go、Spectrum Power 7、SICAM A8000、SIMATIC CN 4100、SIMATIC 和 Solid Edge 等产品。CISA还提供了一些建议，包括保持系统更新、最小化控制系统设备的网络暴露、将控制系统网络与业务网络隔离以及在需要远程访问时使用安全方法，如虚拟专用网络（VPN）。此外，CISA还宣布，自2024年1月10日起，将不再更新有关西门子产品漏洞的ICS安全警报。

详情

Ivanti Connect Secure和Policy Secure零日漏洞披露

日期: 2024-01-15
标签: 信息技术, CVE-2023-46805, CVE-2024-21887, 零日漏洞

根据Ivanti的报告，两个攻击者正在利用Connect Secure (ICS)和Policy Secure中的两个零日漏洞。这些漏洞分别是CVE-2023-46805和CVE-2024-21887，可用于在目标网关上远程执行任意命令。CVE-2023-46805是一个身份验证绕过问题，存在于Ivanti ICS 9.x、22.x和Ivanti Policy Secure的Web组件中。CVE-2024-21887是一个命令注入漏洞，可由经过身份验证的管理员利用，通过发送特制请求在设备上执行任意命令。攻击者可以将这两个漏洞链接在一起，向未打补丁的系统发送特制请求并执行任意命令。Ivanti已提供缓解措施，并确认正在开发安全补丁。最终补丁将于2月19日前可用。

详情

Opera 浏览器存在安全漏洞

日期: 2024-01-16
标签: 信息技术, Opera 浏览器, Guardio Labs

研究人员揭示了有关 Opera 浏览器在 Windows 和 macOS 上存在的安全漏洞。该漏洞利用了名为 My Flow 的功能，通过控制浏览器扩展绕过了浏览器的沙盒和整个浏览器进程，从而执行操作系统上的任意文件。漏洞影响了 Opera 浏览器和 Opera GX，但已在 2023 年 11 月 22 日的更新中得到修复。Guardio Labs 团队通过发现一个旧版本的 My Flow 页面，以及创建一个伪装成移动设备的特制扩展，揭示了该漏洞的攻击链。尽管 Opera 迅速修复了这一安全漏洞，并采取措施防止类似问题再次发生，但这一发现仍凸显了基于浏览器的攻击日益复杂的特点。

详情

Ivanti网络设备零日漏洞爆发

日期: 2024-01-16
标签: 信息技术, Ivanti, 零日漏洞

研究人员发现两个影响Ivanti的Connect Secure VPN和Policy Secure网络访问控制（NAC）设备的零日漏洞。这些漏洞已经被多个威胁组织利用，攻击者使用了认证绕过和命令注入漏洞进行广泛攻击。攻击者在目标系统上植入了一个名为GIFTEDVISITOR的webshell变种，并已经对全球范围内的1700多个ICS VPN设备进行了感染。被攻击的受害者包括政府和军事部门、国家电信公司、国防承包商、科技公司、银行和金融机构、财务和会计组织、全球咨询机构以及航空航天和工程公司。

详情

微软修复KB5034441安装问题

日期: 2024-01-16
标签: 信息技术, CVE-2024-20666, KB5034441

2024年1月，微软修复了一个漏洞，即在安装修补CVE-2024-20666比特锁漏洞的KB5034441安全更新时出现0x80070643漏洞。该漏洞导致在WinRE分区过小的系统上安装KB5034441失败，并显示错误消息。微软提供了临时解决方案，并发布了PowerShell脚本来自动更新WinRE分区以修复比特锁漏洞。此外，还提到了可能需要使用Microsoft的Show or Hide Tool来隐藏KB5034441更新，以防止Windows Update重复尝试安装错误的更新并显示0x80070643错误。

详情

SonicWall下一代防火墙存在严重安全漏洞

日期: 2024-01-16
标签: 信息技术, SonicWall, NGFW

安全研究人员发现了关于SonicWall下一代防火墙（NGFW）的安全漏洞。超过178,000台SonicWall NGFW的管理接口暴露在互联网上，存在拒绝服务（DoS）和潜在远程代码执行（RCE）攻击的风险。这些漏洞可能导致设备陷入维护模式，需要管理员干预才能恢复正常功能。此外，漏洞也可能被攻击者利用来禁用边缘防火墙和提供给企业网络的VPN访问。

详情

Bosch BCC100和Rexroth NXA015S-36V-B产品存在安全漏洞

日期: 2024-01-16
标签: 信息技术, 制造业, 智能家居, Bosch BCC100恒温器, Rexroth NXA015S-36V-B智能扭矩扳手

研究人员揭示了关于Bosch BCC100恒温器和Rexroth NXA015S-36V-B智能扭矩扳手的多个安全漏洞。这些漏洞可能允许攻击者在受影响的系统上执行任意代码。Bitdefender发现了Bosch BCC100恒温器中的漏洞，该漏洞可被利用来更改设备固件并植入恶意版本。Bosch已在2023年11月解决了这个高危漏洞。另外，Rexroth Nexo无线扭矩扳手也存在二十多个漏洞。这些漏洞可能被利用来干扰操作、篡改关键配置，甚至安装勒索软件。Bosch计划在2024年1月底前发布这些漏洞的补丁。

详情

SonicWall防火墙存在安全漏洞

日期: 2024-01-17
标签: 信息技术, CVE-2022-22274, CVE-2023-0656

SonicWall防火墙存在两个安全漏洞，分别是CVE-2022-22274和CVE-2023-0656，可能导致拒绝服务（DoS）和远程代码执行（RCE）。这些漏洞存在于SonicOS的HTTP请求处理中，可能被远程未经身份验证的攻击者利用。虽然尚无实际利用的报告，但已有CVE-2023-0656的漏洞利用概念验证（PoC）发布。建议及时升级到最新版本并确保管理界面不对外开放，以防范潜在威胁。

详情

Citrix公告：Netscaler ADC和Gateway设备存在零日漏洞

日期: 2024-01-17
标签: 信息技术, CVE-2023-6548, CVE-2023-6549

根据 Citrix 公司发布的安全公告，Netscaler ADC 和 Gateway 设备存在两个零日漏洞（CVE-2023-6548 和 CVE-2023-6549），可导致远程代码执行和拒绝服务攻击。漏洞影响的产品版本包括 NetScaler ADC 和 NetScaler Gateway 14.1 之前的版本，13.1 之前的版本，以及一些其他版本。Citrix 建议管理员立即对受影响的设备进行补丁更新，或者阻止网络流量到受影响实例，并确保其不会被暴露在互联网上。此外，HHS 的安全团队也发布了行业警报，督促医疗机构加强对 NetScaler ADC 和 NetScaler Gateway 实例的安全防护，以应对不断增长的勒索软件攻击。

详情

GitHub修复漏洞并发布安全更新

日期: 2024-01-17
标签: 信息技术, CVE-2024-0200, GitHub Bug Bounty Program, GitHub

GitHub在2023年12月修复了一个漏洞，该漏洞可能导致密钥在生产容器中暴露。这个不安全的反射漏洞（跟踪为CVE-2024-0200）可以允许攻击者在未打补丁的服务器上实现远程代码执行。GitHub已经发布了安全更新，并敦促所有客户尽快安装。此漏洞的影响仅限于报告问题的研究人员，并且需要具有组织所有者角色的身份验证。此外，GitHub还修复了另一个高严重性的Enterprise Server命令注入漏洞（CVE-2024-0507）。

详情

Google发布Chrome安全更新修复零日漏洞

日期: 2024-01-17
标签: 信息技术, Chrome

Google发布了安全更新，修复了自年初以来在野外被利用的第一个Chrome零日漏洞。该漏洞是由Chrome V8 JavaScript引擎中的高危越界内存访问漏洞引起的，攻击者可以利用它来访问内存缓冲区之外的数据，获取敏感信息或触发崩溃。此外，该漏洞还可用于绕过保护机制，使得通过其他弱点执行代码更加容易。Google还修复了V8越界写入和类型混淆漏洞，允许在受损设备上执行任意代码。去年，Google修复了8个Chrome零日漏洞，其中一些被用于在高风险用户设备上部署间谍软件。更新可能需要几天甚至几周才能到达所有受影响的用户，但用户可以依靠Chrome自动检查新更新并在下次启动后安装它们。

详情

PixieFail漏洞影响Tianocore EDK II UEFI实现和其他供应商

日期: 2024-01-17
标签: 信息技术, PixieFail漏洞

PixieFail漏洞影响了Tianocore的EDK II IPv6网络协议栈，这是UEFI规范的开源参考实现，在企业计算机和服务器中广泛使用。Quarkslab研究人员发现了PixieFail漏洞，并已通过CERT/CC和CERT-FR的协调努力向受影响的供应商披露了这些漏洞。PixieFail漏洞主要涉及PXE中IPv6的实现，由此引入了额外的协议，增加了攻击面。这些漏洞可在网络上本地利用，导致拒绝服务（DoS）、信息泄露、远程代码执行（RCE）、DNS缓存投毒和网络会话劫持。漏洞的严重性取决于CVE-2023-45230和CVE-2023-45235，这些漏洞使攻击者能够执行远程代码，并可能导致系统完全受损。PixieFail漏洞影响了Tianocore的EDK II UEFI实现以及使用其NetworkPkg模块的其他供应商，包括主要的技术公司和BIOS提供商。

详情

Atlassian Confluence Data Center和Confluence Server存在严重远程代码执行漏洞

日期: 2024-01-17
标签: 信息技术, Atlassian Confluence Data Center

Atlassian Confluence Data Center和Confluence Server存在的一个严重远程代码执行（RCE）漏洞。该漏洞影响2023年12月5日之前发布的版本，包括已经停止支持的版本。漏洞编号为CVE-2023-22527，评级为严重（CVSS v3: 10.0），是一个模板注入漏洞，允许未经身份验证的攻击者在受影响的Confluence端点上执行远程代码。Atlassian已经发布了修复该漏洞的版本，并建议客户安装最新版本以保护其实例免受安全漏洞的影响。对于无法立即应用可用更新的系统，建议将受影响的系统脱机，将数据备份到Confluence实例之外的位置，并监视恶意活动。

详情

左耳问题（LeftoverLocals）：GPU漏洞披露

日期: 2024-01-18
标签: 信息技术, 左耳问题（LeftoverLocals）

左耳问题（LeftoverLocals）是一种影响AMD、苹果、高通和想象科技图形处理单元的新漏洞，允许从本地内存空间中检索数据。该漏洞源于某些GPU框架未能完全隔离内存，导致一台机器上运行的一个内核可以读取另一个内核写入本地内存的值。攻击者只需运行GPU计算应用程序即可读取用户留在GPU本地内存中的数据。攻击者还可以利用“监听器”程序从未初始化的本地内存中读取数据，并将数据转储到全局内存中。被恢复的数据可能包含有关受害者计算的敏感信息。Trail of Bits建议GPU供应商实施自动本地内存清除机制以确保隔离由一个进程写入的敏感数据。其他潜在的缓解措施包括避免在安全关键场景中使用多租户GPU环境和实施用户级缓解措施。

详情

PAX Technology PoS终端存在高危漏洞

日期: 2024-01-18
标签: 信息技术, PAX Technology

我国公司PAX Technology制造的点对点销售终端（PoS）受到了一系列高危漏洞的影响，这些漏洞可以被威胁行为者用来执行任意代码。STM Cyber R&D团队对这些基于Android的设备进行了逆向工程，发现了六个漏洞，其中包括特权提升和从引导加载程序执行本地代码。这些漏洞中，CVE-2023-42133的细节目前被保留。其他漏洞包括CVE-2023-42134和CVE-2023-42135（CVSS评分：7.6）以及CVE-2023-42136和CVE-2023-42137（CVSS评分：8.8），它们可以导致本地代码执行和特权提升。此外，CVE-2023-4818（CVSS评分：7.3）可以通过不正确的标记化进行引导加载程序降级。攻击者成功利用这些漏洞可以提升权限至root，并绕过沙箱保护，实现对设备的完全控制。

详情

CISA敦促联邦机构加紧修补Citrix NetScaler和Google Chrome零日漏洞

日期: 2024-01-18
标签: 信息技术, Citrix NetScaler, Google Chrome

CISA（美国国土安全部网络安全与基础设施安全局）要求美国联邦机构加紧保护其系统，防范三个最近修补的Citrix NetScaler和Google Chrome零日漏洞的活动攻击，并要求在一周内修补Citrix RCE漏洞。这些漏洞已被列入CISA的已知被利用漏洞目录，对联邦企业构成重大风险。Citrix敦促客户立即对CVE-2023-6548代码注入漏洞和CVE-2023-6549缓冲区溢出进行安全更新。CISA还要求美国联邦民政行政机构在规定的时间内对其网络中的易受攻击设备进行修补，其中CVE-2023-6548漏洞必须在一周内修补，而CVE-2023-6549和CVE-2024-0519漏洞则需在三周内进行缓解。

详情

Ivanti EPMM和MobileIron Core软件存在严重安全漏洞

日期: 2024-01-19
标签: 信息技术, CVE-2023-35082

CISA警告称，Ivanti的Endpoint Manager Mobile（EPMM）和MobileIron Core设备管理软件存在关键认证绕过漏洞（已在2023年8月修补），目前正在被积极利用。该漏洞跟踪编号为CVE-2023-35082，是一种远程未经身份验证的API访问漏洞，影响EPMM 11.10、11.9和11.8的所有版本以及MobileIron Core 11.7及以下版本。成功利用漏洞可让攻击者访问移动设备用户的个人身份信息（PII），并可在与其他漏洞链接时让它们后门被攻陷的服务器。Rapid7发现并报告了此漏洞，并提供了攻击指标（IOCs）以帮助管理员检测CVE-2023-35082攻击的迹象。根据Shodan的数据，目前有6300个Ivanti EPMM用户门户网站在线公开。CISA将该漏洞添加到其已知利用漏洞目录中，要求美国联邦机构在2月2日之前修补该漏洞。此外，还存在另外两个Ivanti Connect Secure（ICS）零日漏洞，分别是认证绕过（CVE-2023-46805）和命令注入（CVE-2024-21887），也已开始被大规模利用。

详情

Atlassian Jira产品出现持续性故障

日期: 2024-01-19
标签: 信息技术, Atlassian Jira产品

Atlassian Jira产品出现持续性故障，导致Jira Work management、Jira Software、Jira Service Management和Jira Product Discovery等多个产品面临连接问题。Atlassian已经实施了修复措施，并持续监控该事件。故障导致多个Jira面板和小部件无法加载，并显示HTTP 503错误消息。

详情

0x07   安全分析

丹麦能源部门遭网络攻击

日期: 2024-01-15
标签: 政府部门, 能源业, 丹麦能源部门

2024年1月，研究人员发布了2023年针对丹麦能源部门的网络攻击事件的新发现。Forescout的调查显示，这些入侵行为分为两波，利用了Zyxel防火墙的安全漏洞和Mirai僵尸网络变种。然而，Forescout的调查发现，这两波攻击不仅不相关，而且不太可能是与俄罗斯有关的黑客组织所为。公司表示，攻击可能始于2023年2月16日，并持续到2023年10月，针对欧洲和美国的多个实体进行了定点攻击。攻击行为似乎并非仅限于丹麦的关键基础设施，而是在持续进行，并且正在瞄准一些Zyxel防火墙。

详情

GitHub滥用行为及安全挑战分析

日期: 2024-01-15
标签: 信息技术, GitHub

GitHub在信息技术（IT）环境中的普遍存在，使其成为攻击者托管和传递恶意载荷、充当死信解析器、命令与控制以及数据外泄点的绝佳选择。研究人员表示，利用GitHub服务进行恶意基础设施允许对手混入合法网络流量，往往绕过传统安全防御，使上游基础设施跟踪和行为归因变得更加困难。此外，GitHub也被滥用进行数据外泄，这可能是由于文件大小和存储限制以及发现性方面的担忧。除了这四种主要方案之外，该平台的功能还以各种其他方式用于满足基础设施相关目的。

详情

Adblock 和 Adblock Plus 在 Chrome/Edge 浏览器上的性能问题

日期: 2024-01-16
标签: 信息技术, Adblock, Adblock Plus

研究人员揭示了Adblock 和 Adblock Plus 在 Chrome/Edge 浏览器上的性能问题，导致用户在观看 YouTube 视频时出现缓冲速度变慢、页面加载缓慢等问题。最初被认为是 Google 故意限制了使用广告拦截工具的用户的性能，但后来发现是由于 Adblock 扩展本身引起的。问题主要是由于 Adblock Plus 版本 5.17 和 Adblock Plus 3.22 引入的扩展引擎版本 1.1.1 导致的。uBlock Origin 开发人员指出，这些性能问题不仅影响 YouTube，还可能影响其他网站，特别是那些具有动态更新页面的网站。Adblock 开发人员已经意识到了这些性能问题并正在进行调查，但他们表示他们无法复现问题，要求用户提供反馈以便确定原因。

详情

分析APT37的网络钓鱼行动

日期: 2024-01-17
标签: 政府部门, APT舆情

Genius安全中心(GSC)在12月28日星期四检测到新的网络攻击迹象。威胁攻击者伪装成2024年1月10日举行的实际活动邀请文件进行了黑客攻击。伪装成活动公告的恶意文件通过Google表单链接进行操作并从Dropbox下载。在下载的ZIP压缩文件中放置了快捷方式(LNK)类型的恶意文件，试图通过pCloud以典型的APT37组织的鱼叉式网络钓鱼攻击方式渗漏信息。

详情

iOS设备间谍软件迹象识别方法及macOS信息窃取软件适应性分析

日期: 2024-01-18
标签: 信息技术, iShutdown

研究人员发现了一种名为 iShutdown 的轻量级方法，用于可靠地识别苹果iOS设备上间谍软件的迹象。研究人员通过分析"Shutdown.log"文件，发现了Pegasus、Reign和Predator等恶意软件的痕迹，并且指出了这种方法的优势和局限性。此外，文章还提到了SentinelOne披露了一些针对macOS的信息窃取软件，这些软件正在迅速适应以规避苹果的内置防病毒技术XProtect。专家指出，仅依靠基于签名的检测是不够的，因为威胁行为者有能力和动机以迅速适应。

详情

Bigpanzi网络犯罪集团分析

日期: 2024-01-18
标签: 信息技术, Bigpanzi

Bigpanzi是一个迄今为止未知的网络犯罪集团，自2015年以来一直通过感染全球Android TV和eCos机顶盒来获得大量资金。据北京前哨实验室报告，该威胁组织控制着大约17万个每日活跃的僵尸网络节点，但自8月以来，研究人员已经发现了130万个与僵尸网络相关的独特IP地址，其中大多数位于巴西。Bigpanzi通过固件更新或伪装的应用程序感染设备，然后将这些感染的设备转化为非法媒体流媒体平台、流量代理网络、分布式拒绝服务（DDoS）群、以及OTT内容提供的节点，从中获利。

详情

0x08   行业动向

GrapheneOS团队建议Android引入自动重启功能以增强安全性

日期: 2024-01-15
标签: 信息技术, GrapheneOS, 移动安全

GrapheneOS团队建议Android引入自动重启功能，以使固件漏洞的利用变得更加困难。他们最近报告了影响Google Pixel和Samsung Galaxy手机的Android操作系统固件漏洞，这些漏洞可能被利用来窃取数据和监视用户。GrapheneOS的自动重启系统每72小时重置一次设备，以减少攻击者的机会窗口，并计划将此时间缩短。他们还指出，飞行模式并不能完全阻止通过Wi-Fi、蓝牙、NFC和USB以太网进行数据交换。此外，文章还提到PIN/密码安全与设备加密和安全系统的关系，以及Google对此事的回应。频繁重启Android或iOS设备不仅有助于解决问题，还可以从安全角度保护设备免受非法数据恢复或移动威胁的影响。

详情

Windows 11新功能测试：自动打开AI助手Copilot

日期: 2024-01-16
标签: 信息技术, Windows 11, Copilot

微软正在测试一个新的Windows 11功能，该功能会在Windows启动后自动打开AI助手Copilot。目前，这项功能的测试范围仅限于拥有27英寸显示屏的系统。此外，用户需要加入微软的Windows Insider计划才能使用该功能，因为该变更目前正在Windows 11 Insider预览版Build 23615中进行测试。微软表示，他们正在尝试在宽屏设备上自动启动Copilot，并且这一功能仅限于部分Dev Channel中的Windows Insiders。此变更将分阶段推出，不是所有Dev Channel中的Insiders都会立即看到Copilot自动启动。微软还澄清称，他们正在尝试该体验的设备必须具有最小对角屏幕尺寸为27英寸和像素宽度为1920像素，并且仅限于多显示器情况下的主显示屏。此外，微软计划将Copilot推出到更多市场。

详情

Wing Security推出AI-SaaS风险自动化控制平台

日期: 2024-01-18
标签: 信息技术, AI-SaaS风险

研究人员揭示了AI和AI驱动的SaaS应用程序对企业知识产权和数据的风险。Wing Security提供了免费发现和付费自动化控制服务。该服务有助于企业更好地保护其知识产权和数据，并解决了AI-SaaS应用程序在数据存储、模型训练和人类因素方面的挑战。Wing Security的解决方案包括自动化发现、评估和控制，为安全团队提供了更好的适应和控制AI在组织中的不断增长的使用。他们的平台提供了对AI应用程序如何利用组织数据和专业知识的全面理解，帮助安全团队节省宝贵的时间，并促进用户参与。

详情

海尔下架GitHub家用设备插件引发争议

日期: 2024-01-19
标签: 制造业, 信息技术, Home Assistant集成插件

家电巨头海尔向软件开发者发出下架通知。德国软件开发者Andre Basche因在GitHub上发布了海尔家电的Home Assistant集成插件而收到了法律威胁，要求立即将工具从平台上移除。Home Assistant是一个开源的家庭自动化平台，允许用户从一个集中界面控制和自动化他们的智能家居设备。海尔声称这些插件给公司造成了重大经济损失，并违反了版权法，要求开发者立即停止相关非法活动。开发者宣布将在未来几天内撤下项目。海尔的行为引发了社区对开发者的支持和对海尔的抵制呼吁，同时导致插件被多次复制以防止项目消失。

详情

Windows 11新增Android照片截图快速访问功能

日期: 2024-01-19
标签: 信息技术, Windows 11, Copilot

微软计划为Windows 11用户提供几乎即时访问他们在Android智能手机上拍摄的照片和截图的功能。用户拍摄新截图后，系统托盘会立即显示警报，并点击警报后，将在Snipping Tool应用中打开该图像，以进行进一步编辑或分享。该功能使用户能够轻松访问和编辑其Android手机上最近的照片和截图，并将其传输到PC上的Snipping Tool中。此外，微软还在Windows 11 Insider Preview Build 23619中测试了Microsoft Teams会议提醒功能，并宣布将为Windows 11引入对USB4 Version 2.0规范的支持，以提高USB Type-C电缆的传输速度。此外，微软还在27英寸显示屏系统上测试了一个有争议的新功能，即在Windows 11启动后自动打开AI助手Copilot。

详情

0x09   勒索攻击

美国马略卡岛Calvià市政府遭遇勒索软件攻击

日期: 2024-01-17
标签: 政府部门, Calvià市政府

2024年1月13日，Calvià市政府在马略卡岛上宣布遭受了勒索软件攻击，影响了市政服务。市长胡安·安东尼奥·阿门瓜尔表示，一组IT专家目前正在进行取证分析，以估计未经授权访问的程度，并恢复受影响的系统和服务。IT中断导致市政府暂停了提交异议、与此同时，市政府已通知警方的网络犯罪部门有关此事件，并提交了必要的投诉以及初步的取证分析信息。目前还没有任何主要的勒索软件组织承认对Calvià的攻击负责，因此肇事者仍然未知。

详情

TeamViewer再次成为勒索软件攻击目标

日期: 2024-01-19
标签: 信息技术, TeamViewer

勒索软件攻击者再次利用TeamViewer获取组织终端的初始访问权，并尝试部署基于泄露的LockBit勒索软件生成器的加密程序。攻击者利用TeamViewer来获取对远程桌面的访问权限，并无阻碍地投放和执行恶意文件。Huntress的报告显示，黑客仍在通过TeamViewer接管设备并尝试部署勒索软件。攻击者试图使用DOS批处理文件(PP.bat)在桌面上执行勒索软件加密程序。文章还提到了LockBit 3.0生成器的泄露以及相关的IOCs。尽管Huntress无法确定这些攻击与任何已知的勒索软件团伙有关，但他们指出，这与使用泄露的LockBit Black生成器创建的LockBit加密程序相似。

详情

0x0a   其他事件

乌克兰29岁男子因加密货币挖矿被捕

日期: 2024-01-15
标签: 信息技术, 金融业, 加密货币挖矿

乌克兰一名29岁男子因使用黑客账户创建100万个虚拟服务器进行加密货币挖矿而被捕。他涉嫌是一个大规模的加密货币挖矿方案的幕后主使，该方案涉及利用云计算资源进行加密货币挖矿。这种行为损害了被侵害组织的CPU和GPU性能，导致他们不得不支付额外的电力费用。欧洲刑警组织和乌克兰警方合作，于2023年1月首次得知此次加密货币挖矿攻击，并于2024年1月9日逮捕了嫌疑人。乌克兰网络警察解释称，嫌疑人从2021年开始活跃，使用自动化工具破解了世界最大电子商务公司子公司的1,500个账户密码，并利用这些账户获取了管理权限，进而创建了100万多个虚拟计算机用于加密货币挖矿。

详情

美国参议员质疑SEC网络安全实践

日期: 2024-01-15
标签: 信息技术, 文化传播, 美国证券交易委员会（SEC）

美国参议员对美国证券交易委员会（SEC）在Twitter账户被黑事件中的安全漏洞提出质疑和批评。两位参议员指出SEC未能采取基本的多因素认证（MFA）保护措施，并敦促SEC的监察长对该事件展开调查。他们强调，此类黑客事件可能对金融系统的稳定性和公共市场的信任产生重大影响，包括潜在的市场操纵。同时，他们批评SEC未能在2023年3月更改政策后采取替代的MFA流程，如第三方认证应用或安全密钥。他们还提到，SEC在2023年曾收到关于其“糟糕的网络安全”方面的警告。最后，他们指出SEC未能遵循网络安全最佳实践，尤其是考虑到该机构对企业网络安全披露的新要求。

详情

美国特勤局揭露34,000美元虚假杀毒软件欺诈案

日期: 2024-01-16
标签: 信息技术, 政府部门, 虚假邮件, 网络钓鱼

2024年1月，美国特勤局提出的扣押令申请，揭示了攻击者如何利用虚假的杀毒软件续订订阅邮件窃取了3.4万美元。现已执行的扣押令是由美国特勤局（USSS）的特工Jollif提交的，旨在追回通过虚假的诺顿订阅续订邮件窃取的资金，该邮件导致攻击者获取了受害者的个人电脑和银行账户的访问权限。被盗的资金存放在一家名为“Bingsong Zhou”的Chase银行账户中，与冒充诺顿杀毒软件续订订阅的网络钓鱼诈骗有关。

详情

Lazarus使用DLL侧加载技术

日期: 2024-01-19
标签: 信息技术, APT舆情

AhnLab安全情报中心（ASEC）称Lazarus组织在初始渗透阶段和恶意软件执行阶段使用DLL侧加载技术。该方法是将正常应用程序和恶意DLL存储在同一文件夹路径中，以便在应用程序运行时与恶意DLL一起运行。换句话说，它是一种恶意代码执行技术，将恶意DLL的名称更改为与正常程序引用的另一个路径中的正常DLL相同的文件名，从而使恶意DLL首先被执行。新确认的正常程序是“wmiapsrv.exe”。此外，还确认了在同一路径中修改的另一个恶意DLL“netutils.dll”。生成的wbemcomn.dll和netutils.dll执行后门功能。

详情

BreachForums黑客论坛创始人面临15年监禁

日期: 2024-01-19
标签: 信息技术, BreachForums

美国政府建议对康纳·布莱恩·菲茨帕特里克（Conor Brian Fitzpatrick）进行15年监禁，原因是他作为现已停止运营的BreachForums黑客论坛的创始人和首席管理员。该论坛在FBI于2022年查封RaidForums后逐渐发展。菲茨帕特里克以“Pompompurin”为化名创建了该论坛，旨在促进被盗数据的交易和交换，包括个人信息、信用卡、账户凭证等。他被指控一项共谋罪，即教唆他人出售未经授权的访问设备。政府建议他被判188个月的监禁，约合15.7年，基于其行为的性质和影响。此外，政府还寻求对其拥有儿童色情作品的处罚，以及监督释放的长期期限、对受害者的赔偿和某些资产的没收。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-01-15 360CERT发布安全周报