1、RedLine窃密木马通过盗版企业软件攻击俄罗斯企业

https://securelist.ru/redline-stealer-in-activators-for-business-software/111241/

自2024年1月起，RedLine信息窃取活动持续针对俄罗斯企业，利用盗版的企业业务自动化软件进行传播。攻击者在会计和商业论坛发布伪装为HPDxLIB激活器的恶意版本，该版本使用.NET开发并携带自签名证书，而合法版本则使用C++开发并具有有效签名。根据卡巴斯基的报告，攻击者通过层层加密和.NET Reactor工具对恶意代码进行混淆，同时提供详细说明指导用户禁用安全软件以运行激活器。被感染的用户在执行替换了恶意库的补丁程序后，合法的1cv8.exe进程将加载恶意库，从而启动RedLine窃取器。RedLine恶意软件自2020年活跃以来，能够窃取受害者系统中的敏感数据，包括登录凭据、浏览器历史、信用卡信息及加密钱包。此次活动显示攻击者的目标集中在使用业务自动化软件的企业用户，而非个人用户，这种复杂的伪装方式在类似攻击中颇为罕见。

2、Python包“aiocpa”被揭露为加密货币窃取工具

https://hackread.com/aiocpa-python-package-cryptocurrency-infostealer/

ReversingLabs（RL）的机器学习威胁狩猎系统近日发现，PyPI中的合法外观Python包“aiocpa”被用于窃取加密货币钱包。该包伪装为同步和异步的加密支付API客户端，已被下载超过12100次。攻击者通过发布多个版本建立信任，并在版本0.1.13及之后的更新中植入恶意代码。此代码通过多层加密隐藏，旨在窃取加密交易令牌，可用于转移受害者的钱包资金。攻击者甚至试图接管已有的PyPI项目“pay”，以扩展受害者范围。传统应用安全测试工具未能检测出此攻击，因为恶意代码未出现在其GitHub代码库中。然而，RL的Spectra Assure系统通过行为分析及时识别了威胁，并于2024年11月向PyPI报告，该包随后被移除。此次事件表明，开源软件供应链威胁日益复杂，用户需定期评估第三方代码和工具。PyPI用户应警惕包名接管攻击，并通过固定依赖项及版本号来防止恶意更新。

3、数百款Cisco交换机受引导加载程序漏洞影响

https://securityaffairs.com/171729/security/cisco-switches-bootloader-flaw-cve-2024-20397.html

Cisco NX-OS软件的启动加载器存在一个漏洞（CVE-2024-20397，CVSS评分：5.2），影响超过100款交换机设备。此漏洞允许攻击者绕过镜像签名验证，加载未经验证的软件。根据Cisco的安全公告，攻击者可以通过物理访问设备或使用本地管理员凭据，执行一系列启动加载器命令以触发漏洞。这一问题源于启动加载器配置的不安全设置，可能导致系统运行未经验证的NX-OS镜像，从而威胁设备的完整性。目前，Cisco尚未发现该漏洞在野利用的案例，并表示部分已停止漏洞支持的设备（如Nexus 92160YC-X）将不会收到修复补丁。此外，此漏洞没有适用的临时解决方案，用户需尽快升级至补丁版本的BIOS以确保安全。此次事件警示了硬件设备启动过程安全的重要性，建议企业优先更新受影响设备，并加强设备物理安全防护。

4、研究人员发现可利用QR码实现隔离浏览器环境下的C2通信

https://cloud.google.com/blog/topics/threat-intelligence/c2-browser-isolation-environments/

SpecterOps团队早前发布了一篇关于绕过浏览器隔离环境的技术博客，而Mandiant的红队更进一步，提出了利用QR码完成命令与控制（C2）通信的新方法。在浏览器隔离环境中，传统的HTTP响应无法直接被本地浏览器解码，因为用户仅能接收到像素流，而非实际的HTTP数据响应。Mandiant的方案创新性地通过QR码传递命令数据。具体过程如下：恶意植入程序使用无头浏览器（如Puppeteer）向C2服务器请求页面，服务器返回包含命令数据的HTML页面，其中命令以QR码的形式嵌入。远程浏览器将页面以像素流的方式传回本地浏览器，植入程序通过截图捕获QR码并使用嵌入的QR扫描库解码命令，然后执行对应任务。植入程序将命令输出编码到URL参数中，通过浏览器访问特定URL将结果传回C2服务器。通过这一循环，攻击者可以在高度隔离的浏览器环境中实现隐蔽的数据传输。

5、最强Android间谍软件曝光，可提取信息、密码和执行shell命令

https://www.bleepingcomputer.com/news/security/new-android-spyware-found-on-phone-seized-by-russian-fsb/

该恶意软件似乎是Monokle的新版本， Monokle最初由Lookout在2019年发现，由总部位于圣彼得堡的特种技术中心有限公司开发。

6、警方捣毁非法加密通信服务Matrix：全球网络犯罪遭重创

https://mp.weixin.qq.com/s/ba3o7T_oNsx6_geqDGuubQ

欧盟刑警组织近日宣布，在一项代号为“Passionflower”的国际联合行动中，法国和荷兰警方成功捣毁了一个名为Matrix的非法加密通信服务。

7、普通用户手机上发现间谍软件 Pegasus

https://cybernews.com/security/pegasus-spyware-detected-on-ordinary-peoples-phones/

移动安全公司 iVerify 在今年 5 月发布了一个工具，可用于扫描手机是否感染了以色列公司 NSO Group 开发的间谍软件 Pegasus。2500 名用户扫描设备后发现了 7 起 Pegasus 感染事件。这意味着 Pegasus 的传播范围比以前认为的更为广泛。

8、微软将 Azure 防火墙与标准负载均衡器集成以提高安全性

https://cybersecuritynews.com/azure-firewall-integrated-with-azure-standard-load-balancer/

微软推出了 Azure 防火墙和 Azure 标准负载均衡器之间的新集成功能，使用户能够创建更强大、更安全的网络体系结构。

9、Ultralytics AI 模型被劫持，用加密挖矿程序感染数千人

https://www.bleepingcomputer.com/news/security/ultralytics-ai-model-hijacked-to-infect-thousands-with-cryptominer/

流行的 Ultralytics YOLO11 AI 模型在供应链攻击中遭到破坏，在运行 Python 包索引 （PyPI） 版本 8.3.41 和 8.3.42 的设备上部署加密挖矿程序 。

10、Akamai等WAF中的一个漏洞影响了40%的财富 100 强公司

https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva/

领先的网络安全研究团队 Zafran 表示，最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞使许多财富 1000 强公司容易受到网络攻击。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。