1、Solana的web3.js库被发现遭遇供应链攻击

https://socket.dev/blog/supply-chain-attack-solana-web3-js-library

近期，Solana的web3.js库（版本1.95.6和1.95.7）被发现遭遇供应链攻击，恶意代码被注入其中，旨在窃取开发者和用户的私钥，从而可能导致加密货币钱包资金被盗。这些被感染的版本在npm上的每周下载量超过350000次，广泛应用于Solana生态系统的Web3开发。攻击发生的原因被认为是一次针对web3.js库官方维护者的社交工程/phishing攻击。受影响的版本包括1.95.6和1.95.7，恶意代码会将被窃取的私钥传输到一个硬编码的地址，该地址已经被追踪到Solana地址“FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx”。攻击导致了加密资产的盗取，估计损失金额约为130000至160000美元。开发者和用户的应急措施包括检查项目依赖，回滚或更新到安全版本（1.95.8及以上），以及手动检查代码中是否有可疑的修改。npm已经迅速移除受影响的版本，并发布了相关安全更新。

2、英国国家犯罪局破获俄罗斯跨国洗钱网络

https://www.nationalcrimeagency.gov.uk/news/operation-destabilise-nca-disrupts-multi-billion-russian-money-laundering-networks-with-links-to-drugs-ransomware-and-espionage-resulting-in-84-arrests

近日，英国国家犯罪局（NCA）主导的国际调查行动——“Destabilise行动”成功揭露并破获了多个俄罗斯洗钱网络，这些网络为全球范围内的严重犯罪活动提供了支持。此次行动涉及多个地区，包括英国、中东、俄罗斯和南美。调查人员发现，两个俄罗斯语系的犯罪网络——Smart和TGR，深度参与了这些洗钱活动，涉及的资金规模达数十亿美元。NCA透露，Smart和TGR网络的领导人已被美国财政部外国资产控制办公室（OFAC）制裁，其中包括Ekaterina Zhdanova（Smart网络的首脑）和George Rossi（TGR网络的首脑）。此外，TGR还与四家企业及七个个人的全球洗钱活动有关。通过这些网络，犯罪集团不仅在全球范围内清洗黑钱，还为俄方客户提供资金流转服务，帮助他们绕过经济制裁，投资英国市场，甚至支持俄罗斯的间谍活动。

3、Black Basta勒索软件团伙袭击英国电信集团

https://securityaffairs.com/171668/breaking-news/black-basta-ransomware-attack-bt-group.html

BT集团（前身为英国电信公司）宣布，在遭遇Black Basta勒索软件袭击后，公司关闭了部分服务器以进行应急响应。该公司表示，攻击主要针对其BT会议平台（BT Conferencing），且仅影响了平台的特定部分。受影响的服务器已被迅速隔离和下线，且未影响实时的BT会议服务。BT集团是全球领先的电信巨头之一，业务遍及180个国家，提供固定电话、宽带、移动、电视和IT服务等。目前尚不清楚攻击者是否窃取了数据。Black Basta勒索软件团伙已将BT集团列入其Tor泄露网站的受害者名单，并声称盗取了500GB的数据，其中包括财务数据、组织数据、用户数据、个人文件、保密协议（NDA）、敏感数据等。作为证据，黑客发布了多张截图，其中包含护照和其他文件的图片。

4、日本I-O DATA LTE路由器发现零日漏洞

https://jvn.jp/en/jp/JVN46615026/index.html

日本I-O DATA公司近日发布安全通告，警告其UD-LT1和UD-LT1/EX型号的LTE路由器存在多个零日漏洞。攻击者利用这些漏洞可能修改设备设置、执行命令，甚至关闭防火墙。漏洞包括权限配置不当、远程操作系统命令执行和绕过身份验证关闭防火墙等问题。I-O DATA确认有客户已报告遭遇外部未经授权的访问。该公司表示，将于2024年12月18日发布修复补丁，但在此之前，用户应采取防护措施：禁用远程管理功能、限制仅通过VPN网络访问、修改默认“访客”账户密码、定期检查设备设置并及时恢复出厂设置。该系列路由器主要在日本销售，支持多家运营商和虚拟运营商的SIM卡。

5、Mitel MiCollab协作平台中存在多个安全漏洞

https://labs.watchtowr.com/where-theres-smoke-theres-fire-mitel-micollab-cve-2024-35286-cve-2024-41713-and-an-0day/

在当前攻击目标趋于广泛化的背景下，任何位于企业DMZ中的设备都成为潜在攻击目标，而Mitel MiCollab平台的最新漏洞揭示了VoIP系统的严重安全隐患。研究人员发现了两个已公开的漏洞（CVE-2024-35286和CVE-2024-41713），以及一个尚未修复的零日漏洞，暴露了MiCollab平台在身份验证绕过和任意文件读取等方面的显著风险。CVE-2024-35286是一个关键的SQL注入漏洞，存在于MiCollab的NuPoint Unified Messaging组件中。虽然该漏洞需要特定的配置才能触发，但其严重性不可忽视：攻击者可以在未经身份验证的情况下利用此漏洞执行任意SQL查询。进一步分析发现，另一身份验证绕过漏洞（CVE-2024-41713）进一步扩大了攻击面，允许攻击者在未授权的情况下访问系统资源。此外，一个尚未公开的后认证任意文件读取漏洞通过特定的攻击路径使得攻击者能够访问敏感文件。MiCollab平台为企业和政府机构提供统一通信解决方案，包括电话会议、桌面共享和语音信箱等功能。然而，这些特性一旦被恶意利用，将带来灾难性后果，例如监听实时通话、阻断通信或利用深度伪造技术实施社会工程攻击。

6、Ultralytics YOLO AI模型遭到供应链攻击

https://www.techtarget.com/searchsecurity/news/366616877/Ultralytics-YOLO-AI-model-compromised-in-supply-chain-attack

近日，美国软件公司Ultralytics旗下YOLO11图像识别AI模型被曝遭供应链攻击，版本v8.3.41和v8.3.42中被植入XMRig加密挖矿软件。尽管Ultralytics尚未发布官方安全通告，但已紧急下架受影响的PyPI包，并暂停自动部署以展开调查。此次事件由开发者“metrizable”在GitHub上首次曝光，他通过比对PyPI包与GitHub代码发现恶意代码注入。随后，多位开发者证实了该漏洞，并报告了包括Google Colab在内的系统对受影响版本的访问限制。Ultralytics开发者“Skillnoob”回应确认问题，并建议用户卸载受影响版本。Ultralytics创始人Glenn Jocher在GitHub上表示，此次攻击源于PyPI部署流程的恶意代码注入，攻击者的账号已被追踪到香港并遭封禁。受影响版本v8.3.41和v8.3.42已被移除，Ultralytics于周四发布了修复后的v8.3.43，并在次日推出v8.3.44版本，但未明确提及供应链攻击事件。这次攻击再度暴露了供应链安全的重大风险，与今年类似的攻击事件形成呼应，如3月Top.gg代码库攻击和10月Lottie Player NPM包的加密货币盗窃活动。

7、Termite勒索软件袭击供应链平台Blue Yonder

https://cyble.com/blog/technical-look-at-termite-ransomware-blue-yonder/

供应链管理平台Blue Yonder及其客户近日遭遇了由新型勒索软件“Termite”发起的攻击。研究显示，“Termite”是臭名昭著的Babuk勒索软件的重命名版本。Cyble研究与情报实验室（CRIL）分析了Termite的样本，并指出该勒索软件已经在其泄露网站上列出七个受害者。技术分析表明，Termite在运行后调用SetProcessShutdownParameters(0, 0) API，以确保其进程在系统关机时最晚被终止，从而获得足够的时间完成加密操作。随后，它利用OpenSCManagerA() API连接至服务控制管理器数据库，获取对系统服务的控制权，并终止特定服务以避免加密过程被中断。这些服务包括veeam、vmms和memtas等。Termite的攻击活动再次警示企业强化网络安全防护措施，特别是在服务管理与供应链平台方面。

8、研究人员发现泄露NTLM凭据的Windows零日漏洞

https://blog.0patch.com/2024/12/url-file-ntlm-hash-disclosure.html

研究人员发现了一个影响所有Windows系统（从Windows 7到Windows 11 v24H2和Server 2022）的0day漏洞。该漏洞允许攻击者通过用户在Windows资源管理器中查看恶意文件来窃取其NTLM凭据，例如通过访问共享文件夹、USB磁盘，或查看从攻击者网站自动下载至“下载”文件夹的文件。此漏洞已报告给微软，但目前尚未发布官方补丁。研究团队提供了免费的微补丁，直到微软推出官方修复方案为止。微补丁适用于多个Windows版本，包括Windows 7、Windows 10、Windows 11以及Server系列操作系统。此外，该漏洞是继Windows主题文件漏洞和“网络标记”（Mark of the Web）漏洞后的第三个0day问题，而这些问题至今仍未获得官方修复。另有多个NTLM相关的漏洞（如PetitPotam和DFSCoerce）被标记为“不会修复”，但0patch提供了相应的保护方案。

9、Bitsight揭示Socks5Systemz代理恶意软件

https://www.bitsight.com/blog/proxyam-powered-socks5systemz-botnet

Bitsight TRACE近期发布报告，揭示了一款名为Socks5Systemz的代理恶意软件的演化及其影响。尽管其活跃时间可以追溯到2013年，但Socks5Systemz直到最近才因大规模传播活动引起关注。此恶意软件旨在将受感染设备转化为代理出口节点，曾作为独立产品或集成至Andromeda、Smokeloader和Trickbot等恶意软件中进行分发。最新调查显示，Socks5Systemz的一个僵尸网络在其高峰时拥有多达25万个受感染系统，覆盖几乎所有国家。这些节点被用于代理服务PROXY.AM，支持更广泛的网络犯罪活动。调查还发现，该恶意软件在2013年首次出现在俄罗斯地下论坛，由用户“BaTHNK”出售，并逐步被定制为适配Andromeda等主流恶意软件的代理模块。Socks5Systemz长期未被关注，可能是因为其功能多作为其他恶意软件模块的一部分运行，从而掩盖了其单独的威胁特性。

10、8Base勒索软件组织攻击克罗地亚里耶卡港

https://securityaffairs.com/171779/cyber-crime/8base-ransomware-croatias-port-of-rijeka.html

克罗地亚最大的干货港口特许经营商——里耶卡港（Luka Rijeka d.d.）近日遭到8Base勒索软件组织的攻击。攻击者声称窃取了包括发票、收据、会计文件、个人数据、合同和保密协议在内的大量敏感信息，并在其Tor泄密网站上公布了部分详情。8Base勒索软件组织要求在2024年12月10日前支付赎金，但里耶卡港首席执行官杜什科·格拉博瓦茨（Duško Grabovac）向当地媒体表示，此次事件并未影响港口运营，公司也明确表示不会向攻击者支付赎金。此次网络攻击突显了港口作为关键基础设施在网络安全方面的脆弱性，同时也表明勒索软件团伙对基础设施和经济服务机构的攻击日益猖獗，且威胁范围不仅限于运营中断，还涉及大量敏感数据泄露。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。