1、黑客对巴基斯坦发起了新型的网络钓鱼攻击

https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html

攻击者在此次针对巴基斯坦的一场网络钓鱼攻击中利用税务主题诱饵文档，通过微软MSC(管理控制台)文件嵌入恶意代码(如嵌入恶意的DLL文件)，以此来隐藏后门，接着通过加载远程HTML文件或使用计划任务来实现持久性控制。后门用于与远程服务器通信，执行命令并窃取数据。这种攻击方式利用使得检测和分析变得更加困难。尽管攻击尚未明确指向具体组织，但与曾利用相似手法的Patchwork威胁组织存在一定关联。整体来看，攻击展示了威胁行为者在网络攻击中利用复杂技术手段，如MSC文件替代传统LNK文件，提高隐蔽性和持久性。为应对此类高级威胁，建议加强安全防护措施，如多层次身份验证、审核和隔离不可信的远程访问工具，以降低风险。

2、安全研究员发现了针对工控和物联网的新型恶意软件

https://www.helpnetsecurity.com/2024/12/17/ot-specific-malware-siemens-industrial-iot/

安全研究员近日发现两种专门针对工业控制系统(ICS)和物联网(IoT)设备的恶意软件。其中 IOCONTROL恶意软件由"CyberAv3ngers"组织开发，针对多种IoT和OT设备，支持远程执行命令并自我删除，可能导致燃料系统关闭或用户支付信息泄露。而Chaya_003恶意软件用于专门针对运行西门子TIA Portal软件的工程工作站，能够伪装成系统进程，利用Discord作为命令与控制服务器，并对系统进行侦察和破坏。这两种恶意软件揭示了针对OT和IoT环境威胁的加剧，研究人员建议加强工程工作站的安全防护，隔离网络，并监控相关威胁。

3、黑客滥用Linux eBPF技术传播恶意软件

https://hackread.com/hackers-exploit-linux-ebpf-malware-ongoing-campaign/

安全研究员发现了一场针对东南亚企业和用户的Linux恶意软件活动，该活动利用了eBPF(扩展的Berkeley数据包过滤器)技术。eBPF原本设计用于增强Linux网络功能，但被攻击者滥用，用于隐藏网络活动、窃取数据并规避安全检测。黑客通过eBPF加载两个Rootkit，一个用于隐藏恶意行为，另一个投放远程访问木马(如Trojan.Siggen28.58279)，实现私有网络内的通信。值得注意的是，攻击者不再依赖私有的命令与控制(C2)服务器，而是利用GitHub和博客等公共平台存储配置，伪装恶意流量为正常活动。这种策略提高了攻击隐蔽性并削弱了检测能力。此外，恶意软件家族如Boopkit和BPFDoor的出现，以及eBPF漏洞的增加，进一步表明eBPF的安全风险正在上升。这次攻击反映了高级威胁行为者持续利用先进技术实施复杂攻击的趋势。

4、黑客在Breach Forums上曝光Cisco的敏感数据

https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/

近日，黑客组织IntelBroker在网络犯罪和数据泄露平台(Breach Forums)曝光了Cisco的敏感数据，共计2.9GB，涉及身份验证、网络安全和协作工具等多个方面的关键数据。这些数据来自一个总容量达4.5TB的未加密数据库，黑客利用Cisco开发资源配置错误，成功下载了大量敏感信息。这次泄露的数据包括Cisco的多个核心系统，如身份服务引擎(ISE)、SASE安全访问服务以及Webex协作平台等。这一事件再一次揭示了企业在数据安全管理上的漏洞，迫使企业提升安全防护能力，确保敏感信息的安全性，降低数据泄露和滥用的风险。

5、APT组织开始大量抄袭红队先进的战术和工具

https://cybersecuritynews.com/hackers-leverage-red-team-tools-in-rdp-attacks/

近日，安全研究人员调查后发现，臭名昭著的APT组织Earth Koshchei（也被称为APT29或Midnight Blizzard）与一项大规模非法远程桌面协议（RDP）的恶意活动相关。

6、CVSS漏洞评分系统曝出严重缺陷

https://www.secrss.com/articles/73607

在近日举行的Black Hat欧洲大会上，金融巨头摩根大通的网络安全专家发出警告：当前广泛使用的漏洞严重性评估系统——通用漏洞评分系统（CVSS）存在重大缺陷，可能导致安全团队对漏洞风险误判，从而延长漏洞的暴露时间，增加组织面临的风险。

7、 辉立证券有客户账号遭黑客入侵，购入200万港元濒临除牌美股

https://baijiahao.baidu.com/s?id=1818763088938829721

近日，辉立证券有客户账号在不知情下遭黑客入侵，动用户口内的现金及孖展额，大手购入面临除牌风险的美国科技股Orangekloud，涉资近200万港元。辉立回应指，已将有关事件报警，目前正在调查中。

8、100万 WordPress站点RCE 漏洞让攻击者获得了对后端的控制权

https://cybersecuritynews.com/wordpress-sites-vulnerable-to-critical-rce/

一个严重的远程代码执行 （RCE） 漏洞 （CVE-2024-6386），影响超过 1,000,000 个 WordPress 多语言插件 （WPML） 的有效安装。此缺陷源于 Twig 模板引擎中的服务器端模板注入 （SSTI） 漏洞，允许攻击者在受影响的网站上执行任意代码。

9、角川支付了超2100万元勒索软件赎金

https://www.secrss.com/articles/73722

据内部邮件和加密货币交易记录显示，日本大型媒体集团角川很可能向俄罗斯相关勒索软件组织BlackSuit支付了约2174万元赎金。攻击者声称窃取了1.5TB内部数据，尽管支付了赎金，但部分被盗数据仍被泄露。

10、Fortinet 警告 FortiWLM 存在严重漏洞

https://thehackernews.com/2024/12/fortinet-warns-of-critical-fortiwlm.html

Fortinet 已针对影响无线 LAN 管理器 (FortiWLM) 的一个现已修补的关键安全漏洞发布了公告，该漏洞可能导致敏感信息泄露。该漏洞的编号为 CVE-2023-34990，CVSS 评分为 9.6 分（满分 10.0 分）。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。