Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新，以解决 20 个漏洞，其中包括多个内存安全问题。 Firefox 121 发布了 18 个漏洞的补丁，其中 5 个漏洞的危险程度程度为 “高”。 排在首位的是 CVE-2023-6856，这是 WebGL 中的堆缓冲区溢出错误，WebGL 是用于在浏览器中渲染交互式图形的 JavaScript API。 “在具有 Mesa VM 驱动程序的系统上使用时，WebGL DrawElementsInstanced 方法容易受到堆缓冲区溢出的影响。这个问题可能允许黑客执行远程代码执行和沙箱逃逸，”Mozilla 在其公告中解释道。 接下来是 CVE-2023-6135，该问题使得网络安全服务 (NSS) NIST 曲线容易受到 Minerva 侧通道攻击，这可能允许对手恢复长期私钥。 Mozilla 还解决了 CVE-2023-6865，该错误可能会暴露 EncryptingOutputStream 中未初始化的数据，该错误可被利用将数据写入本地磁盘，从而可能影响隐私浏览模式。 最新的 Firefox 迭代还解决了多个内存安全问题，这些问题统称为 CVE-2023-6873 和 CVE-2023-6864。后者还会影响 Firefox ESR 和 Thunderbird。 Firefox 121 还解决了八个中等危险漏洞，包括堆缓冲区溢出、释放后使用和沙箱逃逸问题。其余五个错误的危险程度程度被评为 “低”。 周二，Mozilla 宣布发布 Thunderbird 115.6，其中包含 11 个漏洞的补丁，其中 9 个漏洞也已在 Firefox 中得到解决。 其中两个都是高危漏洞，可能允许黑客欺骗电子邮件消息 (CVE-2023-50762)，或欺骗消息发送时间 (CVE-2023-50761)。 Firefox ESR 115.6 也在周二发布，其中包含 Firefox 121 解决的 11 个安全缺陷的补丁。 Mozilla 没有提及任何这些漏洞在攻击中被利用。更多信息可以在 Mozilla 的安全公告页面上找到。 转自安全客，原文链接：https://www.anquanke.com/post/id/292079 封面来源于网络，如有侵权请联系删除

伊朗网络武器将枪口对准了非洲国家。 隶属于伊朗情报和安全部的黑客组织 MuddyWater 最近使用其专有的 C2 系统 MuddyC2Go 对埃及、苏丹和坦桑尼亚的电信部门进行了攻击。 MuddyWater 自 2017 年以来一直活跃，也被称为 Seedworm、Boggy Serpens、Cobalt Ulster 等。MuddyC2Go 工具是用 Golang 编写的， 由 Deep Instinct 在今年 11 月首次发现。该工具是以前 C2 分组系统 PhonyC2 和 MuddyC3 的替代品。 MuddyC2Go 包含一个带有PowerShell脚本的可执行文件，该脚本会自动连接到攻击者的 C2 服务器，使他们能够远程访问受害者的系统。 该组织的攻击特点是使用网络钓鱼电子邮件和过时、未修补的软件中的漏洞进行初始访问，然后进行侦察、横向移动和收集黑客所需的数据。 在 2023 年 11 月记录的最新攻击中，攻击者还使用了 SimpleHelp、Venom 代理工具、自定义键盘记录器和其他公开可用的程序。与此同时，为了掩盖其活动，该组织巧妙地结合了其武器库中可用的软件，试图尽可能长时间地保持隐形状态，以实现其战略目标。 值得注意的是，MuddyWater 不断改进其工具库，频繁使用 PowerShell 以及相关工具和脚本。这凸显了组织需要注意其网络上任何可疑的 PowerShell 使用情况。 因此，国家黑客组织攻击性的另一种表现凸显了不同国家许多关键行业信息安全系统的脆弱性。只有制定严格的全面网络安全规则并在实践中有效应用，才能实现有效的反制。 转自安全客，原文链接：https://www.anquanke.com/post/id/292019 封面来源于网络，如有侵权请联系删除

黑客的目标是医疗保健、电信和金融服务领域的组织。 Imperva 研究人员检测到8220 组织的活动，该组织正在利用Oracle WebLogic Server 中的高严重性漏洞来分发其恶意软件。 所涉及的问题是 CVE-2020-14883 （CVSS评分7.2），这是一个远程代码执行 ( RCE ) 漏洞，经过身份验证的攻击者可以利用该漏洞来接管易受攻击的服务器。 报告中，Imperva 表示：“此漏洞允许经过身份验证的远程攻击者通过一系列小工具执行代码，并且通常与 CVE-2020-14882 （也影响 Oracle WebLogic Server 的身份验证绕过漏洞）或使用泄露、被盗或弱凭据相关。”。 8220 组织已经拥有利用已知安全漏洞传播恶意软件以进行加密劫持的经验。今年5月，他们利用 Oracle WebLogic 服务器中的另一个漏洞（ CVE-2017-3506 ，CVSS评分7.4）将设备添加到僵尸网络中进行加密货币挖掘。 Imperva 记录的最新攻击链包括使用 CVE-2020-14883 创建特制 XML 文件，然后执行负责部署数据盗窃和加密货币挖掘恶意软件（例如 Agent Tesla、rhajk 和 nasqa）的代码。 Imperva 安全研究员丹尼尔·约翰斯顿 (Daniel Johnston) 表示：“该组织似乎以临时方式运作，其所在国家或行业选择没有明确的趋势。” 8220 恶意活动已针对美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务行业。 “该组织依靠简单、公开的漏洞来攻击已知漏洞并实现他们的利益，”约翰斯顿补充道。“尽管他们的方法被认为并不复杂，但他们不断改进策略和技术以避免被发现。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292025 封面来源于网络，如有侵权请联系删除

Akamai 的安全研究人员正在分享 Microsoft 今年早些时候针对 Outlook 零点击远程代码执行漏洞发布的补丁的多个绕过细节。 最初的问题被追踪为 CVE-2023-23397，在黑客利用该问题大约一年 后，微软于 2023 年 3 月修复了该问题。 未经身份验证的黑客可以通过发送包含指定为路径的声音通知的电子邮件提醒来利用此问题，强制 Outlook 客户端连接到攻击者的服务器，从而导致 Net-NTLMv2 哈希发送到服务器。 利用该漏洞不需要用户交互，因为当服务器收到并处理电子邮件时，该错误会立即触发。微软通过调用 API 函数解决了这个问题，该函数将检查路径以确保它没有引用互联网 URL。 然而，通过在电子邮件中包含精心设计的 URL，被调用的函数可能会被欺骗，将远程路径视为本地路径。该绕过由 Akamai 发现并跟踪为 CVE-2023-29324，并于 5 月被 Microsoft 修复。 然而，CVE-2023-29324 缺陷只是Akamai在研究 Outlook 零点击漏洞时发现的绕过方法之一。 第二个漏洞是 CVE-2023-35384，由 Microsoft 通过2023 年 8 月的补丁解决，它是一种路径类型混淆，可以通过精心设计的 URL 来利用，但确实需要用户交互。 微软在其通报中表示：“黑客可以制作恶意文件或发送恶意 URL，从而逃避安全区域标记，从而导致浏览器和某些自定义应用程序所使用的安全功能的完整性和可用性受到有限的损失。” 10 月份，这家科技巨头修复了与 Outlook 攻击向量相关的另一个漏洞，这次的漏洞源于 Windows 上声音文件的解析。 该问题被追踪为CVE-2023-36710，是音频压缩管理器 (ACM) 中的整数溢出错误，该代码处理 WAV 文件中的编解码器需要由自定义解码器进行解码的情况。编解码器由功能类似于内核模式驱动程序的驱动程序处理，但通过 ACM 注册。 Akamai 在技术文章中指出，该安全缺陷是在 ACM 管理器的 mapWavePrepareHeader 函数中发现的。 由于该函数在将字节添加到目标缓冲区大小时不执行溢出检查，因此攻击者可以触发非常小的缓冲区的分配，从而导致两次越界写入。 “我们设法使用 IMA ADP 编解码器触发了该漏洞。文件大小约为 1.8 GB。通过对计算执行数学限制运算，我们可以得出结论，IMA ADP 编解码器的最小可能文件大小为 1 GB，”根据 Akamai 的文档。 Akamai 表示，黑客可以在 Outlook 客户端或其他即时消息应用程序的上下文中成功利用此漏洞，无需用户交互即可实现远程代码执行。 “截至目前，我们研究的Outlook中的攻击面仍然存在，并且可以发现和利用新的漏洞。尽管 Microsoft 对 Exchange 进行了修补，以删除包含 PidLidReminderFileParameter 属性的邮件，但我们不能排除绕过此缓解措施的可能性。”Akamai 总结道。 转自安全客，原文链接：https://www.anquanke.com/post/id/292038 封面来源于网络，如有侵权请联系删除

2023 年共披露漏洞 26,447 个，比上年多出 1500 多个 CVE。 值得注意的是，这些漏洞中只有不到 1% 的风险最高，被勒索软件、威胁行为者和恶意软件在野外积极利用。 主要调查结果显示，有 97 个可能被利用的高风险漏洞并不属于 CISA 已知被利用的漏洞目录。此外，25% 的高风险漏洞在发布当天就被利用。 对漏洞威胁形势的深入研究还强调，超过 7000 个漏洞具有概念验证漏洞利用代码，而 206 个漏洞具有武器化漏洞利用代码，这增加了成功入侵的可能性。 报告显示，32.5%的高风险漏洞影响网络设备和Web应用程序，强调需要制定全面的漏洞管理策略。 Qualys TRU 还揭示了 2023 年利用高风险漏洞的平均时间为 44 天。 漏洞利用中使用的顶级 MITRE ATT&CK 策略和技术包括利用远程服务、面向公众的应用程序和权限升级。 顶级 MITRE ATT&CK 策略和技术 最常被利用的漏洞包括PaperCut NG 中的CVE-2023-27350和 Fortra GoAnywhere MFT 中的 CVE-2023-0669。 TA505（也称为 Cl0p 勒索软件团伙）等黑客以及 LockBit 和Clop等恶意软件在备受瞩目的网络攻击中发挥了重要作用，利用零日漏洞并强调加强网络安全措施的必要性。 当组织应对网络威胁的动态特性时，Qualys TRU 建议采用多方面的方法来确定漏洞优先级，重点关注已知的漏洞、极有可能被利用的漏洞以及具有武器化漏洞代码的漏洞。 “这份报告的当务之急是让组织评估其威胁缓解和威胁补救策略。威胁的数量和速度都在增长，这使得自动化对于组织缩短平均攻击时间至关重要。”Viakoo 实验室副总裁 John Gallagher 评论道。 “必须遵循最佳实践，以阻止整个组织内的横向移动和 RCE（远程代码执行）。” 其中包括实施考虑所有设备和应用程序的有效网络分段、跨设备组自动修补和密码轮换，以及将零信任原则扩展到所有网络连接系统。 转自F安全客，原文链接：https://www.anquanke.com/post/id/292036 封面来源于网络，如有侵权请联系删除

微软分析师在对 Perforce Helix 的游戏开发工作室产品进行安全审查时，发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞，并于今年 8 月底向 Perforce 报告了这些漏洞，其中一个漏洞被评为严重漏洞。 尽管目前微软表示尚未发现上述四个漏洞被黑客利用的迹象，但还是建议用户尽快升级到 11 月 7 日发布的 2023.1/2513900 版本，以降低风险。 Perforce Helix 核心漏洞 微软发现的四个漏洞主要涉及拒绝服务（DoS）问题，其中最严重的漏洞允许未经认证的攻击者以本地系统（LocalSystem）身份执行任意远程代码。 漏洞概述如下： CVE-2023-5759（CVSS 得分 7.5）： 通过 RPC 标头滥用进行未验证（DoS）。 CVE-2023-45849（CVSS 得分为 9.8）： 以 LocalSystem 身份执行未经验证的远程代码。 CVE-2023-35767 (CVSS 得分为 7.5)： 通过远程命令执行未经验证的 DoS。 CVE-2023-45319 (CVSS 得分 7.5)：通过远程命令执行未验证的 DoS： 通过远程命令实施未经验证的 DoS。 其中，CVE-2023-45849 是这组漏洞中最危险的漏洞，它允许未经身份验证的黑客通过 “LocalSystem “执行代码，”LocalSystem “是一个为系统功能保留的高权限 Windows 操作系统账户，通过该账户可以访问本地资源和系统文件、修改注册表设置等。 根据调查，该漏洞的源头是由于服务器对 user-bgtask RPC 命令的错误处理。在默认配置下，Perforce 服务器允许未经身份验证的黑客以 LocalSystem 身份远程执行任意命令，包括 PowerShell 脚本。 黑客一旦成功利用 CVE-2023-45849漏洞，就能安装后门、访问敏感信息、创建或修改系统设置，并有可能完全控制运行有漏洞的 Perforce Server 版本的系统。 导致命令执行的函数调用链 其余三个漏洞的严重程度较低，但仍应该引起重视。这些漏洞允许DDos攻击，可能造成运行中断，一旦有黑客利用漏洞发起大规模攻击可能会出现重大经济损失。 保护建议 除了从供应商的下载门户下载最新版本的 Helix Core 外，微软还建议采取以下措施： 定期更新第三方软件 使用 VPN 或 IP 允许列表限制访问 使用带有代理的 TLS 证书进行用户验证 记录对 Perforce 服务器的所有访问 为 IT 和安全团队设置崩溃警报 使用网络分段遏制漏洞 建议广大用户遵循上述的官方安全指南提示内容。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387010.html 封面来源于网络，如有侵权请联系删除

WordPress托管服务提供商Kinsta警告客户称，谷歌广告中存在钓鱼网站推广。 Kinsta表示，钓鱼攻击的目的是窃取MyKinsta的登录凭证，MyKinsta是该公司提供的一项管理WordPress和其他基于云的应用程序的关键服务。 Kinsta在发给客户的一封电子邮件中提到，黑客创建了与 Kinsta 非常相似的赞助网站，会通过谷歌推广诱骗用户点击这些网站，同时提醒用户警惕网络钓鱼骗局。 攻击者利用谷歌广告锁定访问过 kinsta.com 或 my.kinsta.com 的用户。Kinsta提醒用户不要点击任何URL不是kinsta.com的链接，也不要访问这些欺诈网站。 Kinsta 致客户的电子邮件 Kinsta 强调，这些网站都是恶意网站，用户应提高警惕，不要访问非直接指向官方 kinsta.com 或 my.kinsta.com 网站的链接。 同时，该公司还建议用户在其账户上启用双因素验证，以防止在凭证被盗的情况下访问账户。 Kinsta 警告称这些攻击者还可能发送钓鱼电子邮件或其他形式的信息，以说服用户通过这些恶意链接登录 MyKinsta 钓鱼网站以窃取登录凭证。 为应对这些威胁，Kinsta 正在积极识别并关停这些钓鱼网站，同时用户也必须采取积极措施保护自己的账户。 Kinsta 建议在浏览器中输入 my.kinsta.com 以直接访问 MyKinsta，同时请用户忽略任何声称来自 Kinsta 的短信。 谷歌广告被黑客利用的频率增高 值得注意的是，这已经并非谷歌广告首次被黑客利用，类似事件已经越来越多，其中就包括亚马逊的欺骗性广告。 今年 8 月，黑客曾在谷歌搜索结果中发布了一个看似亚马逊的广告。但当用户点击该广告时，他们会被重定向到一个伪装成微软 Defender 技术支持的虚假网络页面。 还有一些谷歌广告推广的网站会假扮称合法软件的下载网站，包括 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave等。 这些虚假的安装程序还会自动安装 Raccoon Stealer、定制版 Vidar Stealer 和 IcedID 恶意软件加载器等恶意软件。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/386852.html 封面来源于网络，如有侵权请联系删除

美国、波兰和英国的政府机构周三表示，俄罗斯对外情报局 (SVR) 一直在利用今年早些时候捷克软件巨头 JetBrains 的一款热门产品中暴露的一个关键漏洞。 官员们表示，在发现数百台受感染的设备后，他们已通知美国、欧洲、亚洲和澳大利亚的数十家公司。 这些机构将这些攻击归咎于被称为 APT29 的俄罗斯SVR黑客——网络安全研究人员也将其追踪为 CozyBear 或 Midnight Blizzard——并表示这场“大规模”攻击活动于 9 月份开始。 微软此前表示，朝鲜黑客在 9 月份利用了这个标记为 CVE-2023-42793 的漏洞。它影响了名为 TeamCity 的产品，开发人员使用该产品在发布之前测试和交换软件代码。 SVR 已被发现“使用通过利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署更多后门，并采取其他步骤来确保对受感染网络环境的持续和长期访问”。 一般来说，除了拥有未打补丁、可通过互联网访问的 JetBrains TeamCity 服务器之外，受害者类型不符合任何类型的模式或趋势，这导致人们认为 SVR 对这些受害者网络的利用本质上是机会主义的，并不一定是恶意的、有针对性的攻击。 受到攻击的组织包括能源贸易协会；提供计费、医疗设备、客户服务、员工监控、财务管理、营销、销售和视频游戏软件的公司；以及网络托管公司、工具制造商以及小型和大型 IT 公司。 据  PRODRAFT 的研究人员称，JetBrains于 9 月 20 日发布了针对该关键漏洞的补丁，但随后发布的技术细节导致一系列勒索软件组织立即利用该补丁。超过 1,200 台未打补丁的服务器被发现容易受到该漏洞的影响。 针对软件开发人员 该通报由 FBI、NSA、美国网络安全和基础设施安全局 (CISA)、波兰军事反情报局 (SKW)、波兰国家网络安全中心 CERT (CERT.PL) 和英国国家网络安全中心 (NCSC) 发布。 他们警告说，对 TeamCity 服务器的访问将“让恶意攻击者能够访问该软件开发人员的源代码、签署证书以及破坏软件编译和部署流程的能力——攻击者可以进一步利用这些访问来进行供应链操作。” 该通报指出，SVR 此前利用SolarWinds 软件中的漏洞进行了类似的攻击，但并未以同样的方式利用其对 TeamCity 漏洞的访问权限。 周三的咨询报告中提出的主要担忧之一是，SVR 可能会从数十名使用 TeamCity 的软件开发人员的网络受到损害中受益。 虽然评估 SVR 尚未使用其对软件开发人员的访问权限来访问客户网络，并且可能仍处于运营的准备阶段，但访问这些公司网络为 SVR 提供了实现难以访问的机会。 任何拥有受影响系统但没有立即应用 JetBrains 补丁的组织都应该假设它们已受到损害并开始调查。 这些机构表示，他们发现 SVR 利用该漏洞窃取文件，从而深入了解受害者的操作系统，并使用多种技术“禁用或彻底杀死端点检测和响应 (EDR) 以及防病毒 (AV) 软件”。 SVR 黑客被发现使用多种定制和开源可用工具和后门。 他们表示：“FBI、CISA、NSA、SKW、CERT Polska 和 NCSC 评估了该活动的范围和不分青红皂白的目标对公共安全构成的威胁，并建议组织实施以下缓解措施，以改善组织的网络安全态势。” 持续十多年的网络行动 这些机构指出，SVR 至少自 2013 年以来就有针对全球公共和私人组织网络的悠久历史。SVR 表现出“一种长期的目标模式，旨在收集并能够收集外国情报，对俄罗斯而言，广义概念涵盖外国政治、经济和军事信息；科学和技术; 和外国反情报组织信息。” 该咨询报告补充说，美国政府于 2016 年 12 月发布了一份报告，强调了 SVR 在美国政党在总统选举前的网络攻击行动中所扮演的角色——指的是民主党全国委员会网络遭到黑客攻击。 中央情报局当时告诉美国立法者，大多数机构认为 SVR 进行黑客攻击是为了帮助唐纳德·特朗普赢得总统职位。SVR还攻击了共和党全国委员会，但没有公布从其网络窃取的信息。 2020 年，黑客还利用定制恶意软件针对参与 COVID-19 疫苗开发的组织和能源公司。 根据该通报，SVR 的黑客目前参与了一项名为“外交轨道者”的活动，涉及针对外交机构的入侵，目标是世界各地的数十个大使馆。 微软官方X（原twitter）发布了自己关于 JetBrains 攻击的通知，指出其之前关于与朝鲜政府有关的多个黑客组织利用该漏洞的警告。 这家科技巨头在调查中表示，发现 SVR 黑客使用 VaporRage 恶意软件。他们呼应了执法部门的建议，他们还看到了凭证盗窃、试图关闭防病毒工具以及更深入地访问受感染系统的行为 转自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/QW3TVk2KbiRDaKtjVkyvuQ?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

臭名昭著的朝鲜黑客组织 Lazarus 继续利用 CVE-2021-44228（又名“Log4Shell”），这次部署了三个以前未见过的用 DLang 编写的恶意软件系列。 新的恶意软件是两个名为 NineRAT 和 DLRAT 的远程访问木马 (RAT) 以及一个名为 BottomLoader 的恶意软件下载程序。 D 编程语言在网络犯罪活动中很少见到，因此 Lazarus 可能选择它来开发新的恶意软件以逃避检测。 该活动被思科 Talos 研究人员命名为“Operation Blacksmith”（铁匠行动），于 2023 年 3 月左右开始，针对全球制造、农业和物理安全公司。“Operation Blacksmith”代表了 Lazarus 黑客组织所使用的战术和工具的显著转变，再次证明了该威胁组织不断变化的战术。 Dlang（简称 D）于 2001 年发布，是一种基于 C++ 思想构建的多范式系统编程语言，但也从 C#、Eiffel、Java、Python、Ruby 和其他高级语言中汲取灵感。 Dlang 被认为是一种不常见的恶意软件开发编程语言，但已经开始吸引恶意软件开发人员，可能是因为它的多功能性和简单的学习曲线。Dlang 允许开发人员针对多种架构交叉编译应用程序。 新的恶意软件工具 自 2023 年 3 月以来，由朝鲜背景的高级持续威胁 (APT) 攻击者 Lazarus 被发现使用使用 Dlang 构建的三个恶意软件系列，即 NineRAT 和 DLRAT 远程访问木马 (RAT) 以及 BottomLoader 下载程序。 第一个恶意软件 NineRAT。可能于 2022 年 5 月左右构建，使用 Telegram 从其命令与控制 (C&C) 服务器接收命令，可能会逃避检测。部署后，RAT实现持久化，成为与受感染主机交互的主要方式。 该恶意软件可以收集系统信息、升级到新版本、停止执行、自行卸载以及从受感染的计算机上传文件。 NineRAT 包含一个释放器，它还负责建立持久性并启动主要的二进制文件。 该恶意软件支持以下命令，这些命令通过 Telegram 接受： info –     收集有关受感染系统的初步信息。 setmtoken – 设置令牌值。 setbtoken –     设置新的机器人令牌。 setinterval –     设置恶意软件轮询 Telegram 频道之间的时间间隔。 setsleep –     设置恶意软件应休眠/休眠的时间段。 升级– 升级到新版本的植入物。 exit – 退出恶意软件的执行。 uninstall –     从端点卸载自身。 sendfile – 从受感染端点向     C2 服务器发送文件。 第二个恶意软件DLRAT是一种特洛伊木马和下载程序，Lazarus 可使用它在受感染的系统上引入额外的有效负载。它既充当下载程序又充当后门。 它包括用于系统侦察的硬编码命令，但也可以执行下载和上传文件、重命名文件以及从计算机中删除自身的命令。 DLRAT 在设备上的第一个活动是执行硬编码命令来收集初步系统信息（例如操作系统详细信息、网络 MAC 地址等），并将其发送到 C2 服务器。 攻击者的服务器回复受害者的外部 IP 地址和以下命令之一，以便恶意软件在本地执行： deleteme – 使用 BAT     文件从系统中删除恶意软件 download –     从指定的远程位置下载文件 重命名– 重命名受感染系统上的文件 iamsleep –     指示恶意软件在设定的时间内进入休眠状态 upload – 上传文件到C2服务器 showurls – 尚未实施 第三个恶意软件BottomLoader，这是一种恶意软件下载程序，BottomLoader 下载器可以从硬编码 URL 获取并执行有效负载，并且已观察到针对欧洲制造商和韩国物理安全和监控公司部署了自定义代理工具 HazyLoad。 此外，BottomLoader 还为 Lazarus 提供了将文件从受感染系统窃取信息上传到 C2 服务器的能力，从而提供了一定的操作多功能性。 BottomLoader 还旨在通过在系统的启动目录中创建 URL 文件来实现新版本或其删除的有效负载的持久性。 Log4Shell 攻击 Cisco Talos 观察到的攻击涉及利用 Log4Shell，这是 Log4j 中的一个关键远程代码执行缺陷，大约在两年前被发现并修复，但仍然是一个安全问题。 这些目标是面向公众的VMWare Horizon服务器，该服务器使用易受攻击的Log4j日志库版本，允许攻击者执行远程代码。 入侵后，Lazarus 设置了一个代理工具，用于在受攻击的服务器上进行持久访问，运行侦察命令，创建新的管理员帐户，并部署 ProcDump 和 MimiKatz 等凭据窃取工具。 在攻击的第二阶段，Lazarus 在系统上部署 NineRAT，该系统支持广泛的命令，如上一节所强调的。 铁匠行动攻击链 （思科 Talos） 思科报告称，这些恶意软件家族被用作Blacksmith 铁匠行动的一部分，其中 Lazarus 针对未针对臭名昭著的 Log4Shell 漏洞 (CVE-2021-44228) 进行修补的系统，针对南美农业组织和欧洲制造企业部署 NineRAT。 观察到的攻击与朝鲜组织 Onyx Sleet 的活动重叠，也称为 Plutionium 和 Andariel。网络安全行业的普遍共识是，朝鲜背景的黑客组织大多是 Lazarus 组织的分支。 作为“Operation Blacksmith（铁匠行动）”的一部分，Lazarus 在可通过互联网访问的 VMware Horizon 服务器上利用 Log4Shell 进行初始访问，然后进行侦察并部署 HazyLoad 植入程序。在某些情况下，会创建一个新的用户帐户来持久访问系统。 Lazarus 还使用 ProcDump 和 MimiKatz 等实用程序进行凭证转储，然后将 NineRAT 后门部署到系统中。 思科安全研究人员得出的结论是，Lazarus 可能会向其旗下的其他 APT（高级持续威胁）组织或集群提供 NineRAT 收集的数据。 这一假设基于 NineRAT 在某些情况下执行系统“重新指纹识别”的事实，这意味着它可能正在为多个参与者执行系统 ID 和数据收集。 转载自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/vViG_T_DRLp__vZR1Iwe6A?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

软件制造商 Adobe 周二推出了面向企业的 Illustrator、Substance 3D Sampler 和 After Effects 产品中代码执行缺陷的修复程序。 作为预定的补丁星期二更新的一部分，Adobe 记录了至少207个安全漏洞，并警告 Windows 和 macOS 系统上的用户存在代码执行、内存泄漏和拒绝服务攻击的风险。 以下是关键严重性问题的片段： Adobe Substance 3D Sampler —此更新解决了至少六（6）个漏洞，这些漏洞可能导致在当前用户的上下文中执行任意代码。受影响的软件包括所有平台上的 Adobe Substance 3D Sampler 4.2.1及早期版本。 Adobe Illustrator —此更新解决了三（3）个可能导致任意代码执行和内存泄漏的严重漏洞。影响 Windows 和 macOS 平台上的 Illustrator 2023和 Illustrator 2024。 Adobe After Effects —此更新修复了四（4）个严重和中等安全漏洞，这些漏洞可能导致当前用户上下文中的任意代码执行和内存泄漏。影响 Windows 和 macOS 用户。 Adobe 还推出了一个重要的Adobe Experience Manager (AEM) 补丁，修复了多达185个已记录的错误，该公司警告称，这些错误可能会被利用来执行任意代码和绕过安全功能。 该公司还发布了针对 Adobe Prelude 软件中的错误、Adobe InDesign 中的内存泄漏和拒绝服务问题、Adobe Dimension 中的内存损坏问题以及 Adobe Animate 中的内存泄漏问题的修复程序。   转自安全客，原文链接https://www.anquanke.com/post/id/291857 封面来源于网络，如有侵权请联系删除