据报道，有消息人士向乌克兰媒体透露，与乌克兰安全局 (SBU) 有联系的 Blackjack 网络组织本周发起了一次网络攻击，他们声称能够“摧毁”莫斯科互联网服务提供商 M9 Telecom 的服务器。 该 ISP 的网站于 1 月 9 日上线。 不愿透露姓名的消息人士告诉乌克兰国营媒体 Ukrinform，这次网络行动是为了报复俄罗斯支持的12 月 12 日对 Kyivstar移动电话运营商的入侵，该事件导致乌克兰各地的通信中断。消息人士补充说，M9 Telecom 网络攻击只是“为 Kyivstar 进行更严厉的报复”的“热身”。 Blackjack 网络组织同样声称对 12 月底莫斯科 Rosvodokanal 自来水公司的入侵事件负责，该组织声称在 SBU 的帮助下成功完成了这次事件。 本月早些时候，SBU 网络负责人 Illia Vitiuk 警告称，俄罗斯对现代私营公司 Kyivstar 的入侵向西方国家发出信号：没有什么是俄罗斯网络威胁无法触及的。   转自安全客，原文链接：https://www.anquanke.com/post/id/292524 封面来源于网络，如有侵权请联系删除

近日，美国、欧盟和拉美（LATAM）地区的微软 SQL（MS SQL）服务器安全状况不佳，因而被土耳其黑客盯上，成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。 Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的一份技术报告中提到：威胁活动一般会以以下两种方式结束：要么是出售被入侵主机的访问权，要么是最终交付勒索软件有效载荷。 Securonix 网络安全公司将此次土耳其黑客发起的攻击行动命名为 “RE#TURGENCE”。此次行动与 2023 年 9 月曝光的名为 DB#JAMMER 的活动如出一辙。都是先对服务器的初始访问需要进行暴力破解攻击，然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令，以便从远程服务器检索 PowerShell 脚本打好基础，然后由该脚本负责获取经过混淆的 Cobalt Strike beacon 有效载荷。最后，黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序，以访问机器并下载其他工具，如 Mimikatz 以获取凭据，以及高级端口扫描器以进行侦查。 横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的，它可以在远程 Windows 主机上执行程序。 该攻击链最终以部署 Mimic 勒索软件而达到高潮，DB#JAMMER 活动中也使用了该勒索软件的变种。 Kolesnikov告诉《黑客新闻》：”这两个活动中使用的指标和恶意TTP完全不同，因此很有可能是两个不同的活动。也就是说，虽然最初的渗透方法类似，但 DB#JAMMER 更复杂一些，使用了隧道技术。相比之下RE#TURGENCE 更有针对性，倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具，试图混入正常活动中。 Securonix表示，它发现了威胁行为者的操作安全（OPSEC）失误，由于AnyDesk的剪贴板共享功能已启用，因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse，该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。 研究人员提醒说：一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下，攻击者可以直接从主网络外部强行进入服务器。   转自Freebuf，原文链接：https://www.freebuf.com/news/389295.html 封面来源于网络，如有侵权请联系删除

最近，Fortinet专家发现了一种新的网络威胁：攻击者正利用与盗版软件相关的YouTube视频分发名为Lumma的数据窃取程序。 这些视频通常包含有关被黑客入侵的应用程序的信息，其安装说明相似，并包含恶意URL。这些URL通常通过服务如TinyURL和Cuttly进行缩短。 长期以来，这种方法一直被用来传播各种恶意软件，包括数据盗窃、加密货币和非法挖矿恶意软件。需要注意的是，这些欺诈视频有可能在热门视频平台上保留较长时间，然后被删除，但很快之后又会被大量重新上传。 在最近发生的网络攻击中，攻击者有针对在YouTube上搜索合法视频编辑器（例如Vegas Pro）的用户。攻击手法包括在网络钓鱼视频中使用社会工程技术，诱使观看者点击视频描述中的链接。这导致用户从MediaFire文件共享服务下载被植入恶意代码的安装程序。 安装程序包含一个伪装成安装可执行文件的恶意LNK文件。该LNK文件会通过从GitHub存储库进行静默下载，获取.NET加载程序。随后，Lumma Stealer除了检查虚拟机上是否正在运行恶意软件之外，还开始在受感染的系统上执行操作。 Lumma infostealer是一款使用C语言编写的恶意软件，自从2022年底以来已在地下论坛上出售。该恶意软件具备收集敏感数据的能力，并将这些数据传输到攻击者控制的服务器。据一些报告称，Lumma infostealer首次在2018年的实际攻击中被发现。 在2023年10月，我们发布了一份报告，详细描述了这种恶意软件通过Discord机器人，利用游戏玩家流行平台的API进行传播的情况。 为了有效防范Lumma等信息窃取者和其他网络威胁，建议在下载应用程序之前三思而后行，尽量使用官方渠道下载任何软件，并获得可靠的防病毒解决方案以进一步提高安全性。   转自安全客，原文链接：https://www.anquanke.com/post/id/292492 封面来源于网络，如有侵权请联系删除

今天是微软2024 年 1 月补丁日，修复了总共 49 个漏洞，其中包括 12 个远程代码执行漏洞。有两个漏洞被列为严重级别，一个是 Windows Kerberos 安全功能绕过，另一个是 Hyper-V RCE。 按漏洞类别分类为： 10个特权提升漏洞 7个安全功能绕过漏洞 12个远程代码执行漏洞 11个信息泄露漏洞 6个拒绝服务漏洞 3个欺骗漏洞 微软敦促 Windows 集群管理员优先考虑 Windows Kerberos 中的功能绕过问题和 Windows Hyper-V 中的竞争条件问题。 Windows Kerberos 安全功能绕过缺陷（编号为CVE-2024-20674），该漏洞可能导致远程代码执行攻击以及 Windows Hyper-V 中的竞争条件问题。 未经身份验证的攻击者可以通过建立中间机 (MITM) 攻击或其他本地网络欺骗技术来利用此漏洞，然后向客户端受害者计算机发送恶意 Kerberos 消息，将其自身欺骗为 Kerberos 身份验证服务器。 成功利用此漏洞要求攻击者在发起攻击之前首先需要获得对受限网络的访问权限。 Windows Kerberos 漏洞的 CVSS 严重性评级为 9 （满分 10 ）。 微软还敦促立即修补Windows Hyper-V 漏洞（编号：CVE-2024-20700），警告竞争条件会使操作系统遭受远程代码执行攻击。 微软补丁日更新发布还涵盖了 Microsoft Office、Azure、SQL Server、Internet Explorer、Windows LibArchive 和 SharePoint Server 中的其他数十个安全问题。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

OT 网络安全公司 Nozomi Networks 表示，在汽车行业广泛使用的博世力士乐螺母扳手中发现的漏洞可能会被寻求直接经济利益的黑客或试图对目标工业组织造成破坏的攻击者利用。 Nozomi 研究人员在博世力士乐的 NXA015S-36V-B 产品中发现了安全漏洞，该产品是一款无线手持式气动扭矩扳手（也称为螺母扳手），专为安全关键的拧紧操作而设计。 该机器有一个内置显示器，为操作员提供实时数据，它还可以通过嵌入式 Wi-Fi 模块连接到无线网络，使其能够将数据传输到服务器，并允许用户远程重新编程。 Nozomi 研究人员发现了二十多个漏洞，其中大部分存在于 NEXO-OS 操作系统的管理应用程序中，还有一些与 SCADA、PLC 和其他系统集成而设计的通信协议有关。 利用这些漏洞可能会让未经身份验证的攻击者完全控制螺母扳手。该网络安全公司进行的实验室测试展示了攻击者如何发起勒索软件攻击，其中包括使设备无法操作并在其内置屏幕上显示勒索消息。更糟糕的是，这种攻击可以自动攻击公司的所有螺母操作员，从而导致生产线中断。 在该公司在实验室模拟的另一个攻击场景中，攻击者改变了拧紧程序配置，特别是扭矩值。这可能会导致螺栓松动，从而导致安全风险，或者制造出有缺陷的产品，从而导致财务或声誉损失。 “在关键应用中，应用到机械紧固件的最终扭矩水平经过计算和设计，以确保满足设备的整体设计和操作性能。”Nozomi 解释道。“例如，电气配电盘中使用的螺栓、螺母和固定装置必须适当拧紧，以确保高压母线等载流部件之间的连接保持低电阻。连接松动会导致工作温度升高，随着时间的推移，可能会引起火灾。” 另一方面，过度拧紧会给螺栓和螺母带来过大的压力，这可能会导致机械故障，可能导致过多的保修索赔和企业声誉受损。 总共 25 个 CVE 分配给这些缺陷，其中 11 个具有“高严重性”评级。 未经身份验证的攻击者如果能够向目标设备发送网络数据包，就可以利用 root 权限实现远程代码执行，从而彻底破坏系统。虽然利用某些缺陷需要身份验证，但可以通过将它们与其他漏洞（例如硬编码凭据）链接来实现此要求。 虽然这些漏洞是在 NXA015S-36V-B 产品中发现的，但其他力士乐 Nexo 螺母扳手也受到影响，包括多个 NXA、NXP 和 NXV 系列设备。 Bosch Rexroth 已获悉这些漏洞，Nozomi 表示该公司计划在 2024 年 1 月底之前修复这些漏洞。该供应商已发布了自己的安全公告。 为了防止恶意利用，该网络安全公司尚未公开任何技术信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

2023 年总共分配了超过 28,000 个 CVE ID，并命名了 84 个新的 CVE 编号机构 (CNA)。 与上一年相比，2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。 思科威胁检测与响应首席工程师 Jerry Gamblin 表示，2023 年发布了 28,902 个 CVE，高于 2022 年的 25,081 个。平均每天有近 80 个新 CVE。自 2017 年以来，已发布的 CVE 数量一直在稳步增加。 从严重程度来看，2023 个 CVE 的平均 CVSS 评分为 7.12，其中 36 个漏洞的评分为 10。 根据MITRE 维护、美国政府赞助的 CVE 计划的数据，2023 年宣布的新 CNA 数量从 2022 年的 56 个增加到 84 个。目前，有来自 38 个国家的近 350 个 CNA。 CNA 是供应商、网络安全公司和其他组织，它们被允许将 CVE 标识符分配给自己的产品和/或其他产品中发现的漏洞。 新的 CNA 名单包括独立黑客组织，例如 Austin Hackers Anonymous；ServiceNow、开放设计联盟等软件组织；Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商；政府机构，例如芬兰国家网络安全中心 (NCSC-FI)；网络安全公司，例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer；以及印刷巨头利盟、佳能（欧洲、中东和非洲）和施乐。 Gamblin 指出，2023 年有 250 个 CNA 发布了至少一个 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年总共分配了超过 6,700 个 CVE。 最常分配的常见弱点枚举 (CWE) 标识符类型是 CWE-79，即网页生成期间输入的不正确中和，也称为跨站点脚本攻击 (XSS)。去年，超过 4,100 个 CVE 被分配给 XSS 漏洞。 XSS 紧随其后的是 SQL 注入漏洞，此类安全漏洞大约有 2,000 个。 转自FreeBuf，原文链接：https://www.anquanke.com/post/id/292487 封面来源于网络，如有侵权请联系删除

黑客破坏了航班信息显示系统，周日出发和抵达信息被一条指责真主党组织将黎巴嫩置于与以色列全面战争风险的信息所取代。信息中写道：“哈桑·纳斯鲁拉，如果你用一场你将承担责任和后果的战争诅咒黎巴嫩，你将不再有支持者。” 这与多年来批评真主党通过黎巴嫩走私武器和弹药的指责相似。 屏幕上显示的信息来自一个被称为“上帝战士”的强硬基督教组织，该组织在过去一年中因其反对黎巴嫩 LGBTQ+ 群体的活动而受到关注，而一个鲜为人知的自称“发言者”的组织则来自该组织。在一份视频声明中，该基督教团体否认参与其中，而另一个团体则在其社交媒体频道上分享了屏幕照片。 据报道，这次袭击导致 BHS 行李检查系统中断，机场的内部安全部队正在努力实施替代计划，并维持在机场运作的所有安全和行政机构的正常行动。 事件发生后，黎巴嫩人的手机上收到了两条短信。第一份似乎是由信息部门发送的，第二份似乎是由中东航空公司发送的。然而，据 LBCI 称，这两条消息是假的，来源不明。 最新消息称，屏幕已恢复工作，并逮捕了 3 名嫌疑人，但目前没有提供更多细节。 自10月8日（加沙哈马斯与以色列战争爆发的第二天）以来，真主党一直在袭击该国北部与黎巴嫩边境附近的以色列军事基地和阵地。作为反击，以色列也一直在攻击真主党阵地。 过去一周，以色列在贝鲁特南部郊区发动的袭击导致哈马斯高级官员兼指挥官萨利赫·阿鲁里丧生，几乎每天都发生的冲突急剧加剧。 在周六的一次讲话中，真主党领导人赛义德·哈桑·纳斯鲁拉在一次讲话中誓言该组织将进行报复。他驳斥了有关真主党寻求与以色列发动全面战争的批评，但表示，如果以色列发动一场战争，真主党就准备好发动一场“无限制”的战争。 周六，真主党宣布对阿鲁里被杀做出“初步回应”，向梅龙山的以色列空中监视基地发射了 62 枚火箭弹。 黎巴嫩政府和国际社会一直在努力防止黎巴嫩发生战争，他们担心这场战争会引发地区溢出效应。 转自E安全，原文链接：https://mp.weixin.qq.com/s/HTyn4H5ESdnSbYka1Z3mgw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处：   知名律师事务所 Orrick，Herrington&Sutcliffe 近期披露了一起数据泄露事件，超过 60 万人受该事件影响。 据了解，此次数据泄露事件发生在 2023 年 2 月 28 日至 3  月 13 日，攻击者在入侵该公司网络后，获得了一个数据存储区，其中包括该律所的相关客户文件。在该事件发生后，Orrick 采取了对应措施来阻止未经授权的访问，并启动了对安全事件的调查。 Orrick 补充到：自该事件发生以来，暂未发现进一步的未经授权行为。 在这次安全事件中，可能受到影响的信息包括：姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照或其他政府发行的身份证明号码、护照号码、金融账户信息、纳税人识别号码、医疗治疗和/或诊断信息、索赔信息（日期、服务费用和索赔标识符）、健康保险信息等。 据路透社报道，去年12月，该律师事务所宣布已初步与数据泄露相关的四起集体诉讼达成和解。 Orrick 于 1863 年在旧金山成立，主要为金融、政府、基础设施、技术和其他类型的组织提供交易、诉讼和监管事务咨询。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：dengdeng

Ivanti 于 1 月 4 日修复了其端点管理器 (EPM) 软件中的一个严重漏洞 (CVSS 9.6)，该漏洞可能会让具有内部访问权限的攻击者启动远程代码执行 (RCE)。 该漏洞（CVE-2023-39336）如果被利用，可能会让黑客利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出，而无需进行身份验证。 Ivanti在博客文章中表示，这可以让黑客控制运行 EPM 代理的计算机，并且当核心服务器配置为使用 SQL Express 时，这可能会导致核心服务器上出现 RCE。 Ivanti 明确表示，没有迹象表明客户受到该漏洞的影响。不过，该公司表示，该错误会影响该产品的所有受支持版本，并已在Ivanti EPM 2022 服务更新 5中得到解决。供应商将hir0ot归功于识别和报告 Ivanti EPM 问题。 安全专业人员应注意，Ivanti 在过去几个月中其产品遇到了问题。8 月，Ivanti披露其 Ivanti Sentry 网关中的一个零日漏洞正在被广泛利用。2023 年夏天，其端点管理器移动 (EPMM) 平台面临两个备受瞩目的严重漏洞，其中一个漏洞在对挪威政府12 个部委的攻击中被利用。 太多 IT 资产忽视端点保护 Sevco Security 联合创始人 Greg Fitzgerald 解释说，黑客已经非常擅长劫持易受攻击的端点并利用它们访问数据和企业网络。Fitzgerald 表示，Ivanti 漏洞的好消息是，似乎没有人利用了该漏洞。坏消息：这种类型的漏洞只是端点安全的冰山一角。 Fitzgerald 指出，Sevco 最近的研究发现了一个更深层次的问题：许多公司对缺少端点保护等关键控制的 IT 资产视而不见。研究发现，11% 的 IT 资产一开始就缺少端点保护。同一数据显示，15% 的 IT 资产未被企业补丁管理解决方案覆盖，31% 的 IT 资产未被企业漏洞管理系统覆盖。 “这些数据点结合起来指向了一个需要注意的问题，”菲茨杰拉德说。“太多的 IT 资产对于安全团队来说是不可见的。您无法保护或修补您不了解的 IT 资产。这就是为什么准确、最新的 IT 资产清单至关重要。” Ontinue 威胁响应负责人 Balasz Greksza 补充道，除了启动 RCE 之外，最新的缺陷还可能通过卸载/禁用运行 EPM 代理的主机上的安全产品、部署恶意驱动程序或勒索软件，以及留下持久性植入来删除它们。在组织的关键主机上。 Greksza 表示：“该漏洞的利用噪音相对较低，并且需要安全事件响应人员直接监控 SQL 查询。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292442 封面来源于网络，如有侵权请联系删除

安全研究人员近期检测到了数百个 IP 地址，这些地址扫描或试图利用 Apache RocketMQ 服务中存在的远程命令执行漏洞 CVE-2023-33246 和 CVE-2023-37582。 这两个安全漏洞的危险程度都很高，其中 CVE-2023-33246 漏洞主要影响包括 NameServer、Broker 和 Controller 等在内的多个组件。 据悉，Apache 已经发布了一个针对 RocketMQ 中 NameServer 组件的不完整的修复程序，但 Apache RocketMQ 项目管理委员会成员 Rongtong Jin 警告称，鉴于 CVE-2023-33246 漏洞问题在 5.1.1 版本中未得到完全修复，RocketMQ NameServer 组件中仍存在远程命令执行漏洞。 安全研究人员表示，在易受攻击的网络系统上，当 NameServer 的地址在未经适当权限检查的情况下在线暴露时，黑客便可以利用 CVE-2023-33246 漏洞，使用 NameServer 上的更新配置功能来执行任意命令。 此外，研究人员进一步指出，黑客还能够利用 CVE-2023-37582 安全漏洞，以 RocketMQ 正在运行的系统用户身份执行任意命令，建议将 RocketMQ 5.x/4.x 的 NameServer 升级到 5.1.2/4.9.7 或更高版本，以避免遭受网络攻击。 威胁跟踪平台 The ShadowServer Foundation 已记录了数百个主机扫描在线暴露的 RocketMQ 系统，其中一些主机正在试图利用 CVE-2023-33246 和 CVE-2023-37582 这两个安全漏洞。ShadowServer 强调，它所观察到的攻击活动可能是潜在黑客的侦查尝试、利用行为，甚至是研究人员扫描暴露端点的一部分。 至少从 2023 年 8 月起，就有很多黑客瞄准了易受攻击的 Apache RocketMQ 系统，当时研究人员就已经观察了 DreamBus 僵尸网络利用 CVE-2023-33246 安全漏洞，在易受攻击的服务器上投放 XMRig Monero 矿机。 2023 年 9 月，美国网络安全和基础设施安全局（CISA）敦促联邦机构在当月底前修补 CVE-2023-33246漏洞，并就其活跃利用状态发出了严重警告。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389018.html 封面来源于网络，如有侵权请联系删除