微软发布2月份安全更新，包括3个已被利用的漏洞；Cloudflare检测到针对其客户的大规模DDoS攻击

1、微软发布2月份安全更新，包括3个已被利用的漏洞

      2月14日，微软发布了2023年2月的安全更新，修复包括3个被利用0 day在内的77个漏洞。其中，已被利用的漏洞分别为Windows图形组件中的远程代码执行漏洞（CVE-2023-21823），可用来以SYSTEM权限执行命令；Microsoft Publisher安全功能绕过漏洞（CVE-2023-21715），特制文档可利用其绕过Office宏策略；以及Windows通用日志文件系统驱动程序特权提升漏洞（CVE-2023-23376），可用来获得SYSTEM权限。

https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2023-patch-tuesday-fixes-3-exploited-zero-days-77-flaws/

2、Cloudflare检测到针对其客户的大规模DDoS攻击

      据媒体2月14日报道，Cloudflare检测到数十次超大容量DDoS攻击。该公司表示，大多数攻击的峰值在每秒50-70百万个请求(rps)左右，最大峰值超过7100万rps，这是迄今为止最大规模的HTTP DDoS攻击。这些攻击基于HTTP/2，是使用来自多个云提供商的30000多个IP地址针对各种目标发起的，包括游戏提供商、云计算平台、加密货币公司和托管提供商。在过去的一年里，研究人员看到了更多来自于云计算供应商的攻击。

https://thehackernews.com/2023/02/massive-http-ddos-attack-hits-record.html

3、Phylum发现451个旨在劫持加密货币交易的恶意PyPI包

      Phylum在2月10日称其发现451个恶意PyPI包，旨在通过安装恶意扩展劫持基于浏览器的加密货币交易。这是最初于2022年11月发现的活动的延续，当时只有27个恶意PyPi包。在此次活动中被模仿的流行软件包包括bitcoinlib、ccxt和cryptocompare等，每个都有13到38个版本，试图覆盖可能的各种错误类型。为了绕过检测，攻击者使用随机的16位中文汉字组合作为函数和变量标识符。

https://blog.phylum.io/phylum-discovers-revived-crypto-wallet-address-replacement-attack

4、Group-IB透露其近期遭到来自Tonto Team团伙的攻击

      Group-IB于2月13日透露，其检测并阻止了来自APT团伙Tonto Team的攻击。攻击发生在2022年6月，这是第二次针对Group-IB的攻击，第一次发生在2021年3月。攻击始于一封钓鱼邮件，分发了使用Royal Road Weaponizer创建的恶意Microsoft Office文档。在攻击期间，攻击者还利用了Bisonal.DoubleT后门。此外，研究人员发现了一个新的下载程序TontoTeam.Downloader（又名QuickMute），它主要负责从远程服务器检索下一阶段的恶意软件。

https://www.group-ib.com/blog/tonto-team/

5、CheckPoint发布2023年1月份全球威胁指数的报告

      2月13日，Check Point发布2023年1月份全球威胁指数的报告。Qbot和Lokibot是上个月最常见的恶意软件，对全球组织的影响超过了6%，其次是AgentTesla，全球影响为5%。教育和研究行业仍然是全球受到攻击最严重的行业，其次是政府军队以及医疗保健行业。最常被利用的漏洞为Web服务器暴露的Git存储库信息泄露和HTTP标头远程代码执行漏洞。最常见的移动恶意软件是Anubis，其次是Hiddad和AhMyth。

https://blog.checkpoint.com/2023/02/13/january-2023s-most-wanted-malware-infostealer-vidar-makes-a-return-while-earth-bogle-njrat-malware-campaign-strikes/

6、Ahnlab发布关于Dalbit团伙攻击活动的分析报告

      Ahnlab在2月13日发布了关于Dalbit团伙攻击活动的分析报告。自2022年以来，该团伙已对韩国公司进行了50多次攻击，大多数是中小型公司，涉及技术、工业、化工、建筑和汽车等行业的组织。攻击者首先通过利用漏洞获得访问权限，尝试使用WebShell等工具来控制系统。然后利用网络扫描工具和账户盗窃工具等进行内部侦察和窃取信息。最终，攻击者在窃取了他们想要的所有信息后，会使用BitLocker加密某些驱动器并索要赎金。

https://asec.ahnlab.com/en/47455/

NDC协议模糊器

      NDC允许终端ATMS向服务器NDC服务器发送未经请求的请求。

https://packetstormsecurity.com/files/170867/ndc-fuzzer.py.txt

WindowSpy

      用于目标用户监视的Cobalt Strike Beacon对象文件。

https://github.com/CodeXTF2/WindowSpy

Windows 10 20H2企业版将于5月终止服务

https://www.bleepingcomputer.com/news/microsoft/windows-10-20h2-for-enterprise-reaches-end-of-service-in-may/

西班牙和美国捣毁网络钓鱼团伙

https://www.bleepingcomputer.com/news/security/spain-us-dismantle-phishing-gang-that-stole-5-million-in-a-year/

欧洲之星强制密码重置失败并锁定用户

https://www.bleepingcomputer.com/news/security/eurostar-forces-password-resets-then-fails-and-locks-users-out/

美英联合制裁Trickbot黑客组织

https://www.hackread.com/trickbot-hacking-group-sanctioned/

金梅尔中心、费城交响乐团网站遭到网络攻击

https://www.databreaches.net/kimmel-center-philadelphia-orchestra-websites-hit-by-cyber-attack/

AsyncRAT作为Windows帮助文件(*.chm)分发

https://asec.ahnlab.com/en/47525/

Z-Library为每个用户提供了秘密的个人域

https://www.bleepingcomputer.com/news/technology/z-library-now-has-secret-personal-domains-for-each-user/

Killnet DDoS攻击北约网站

https://securityaffairs.com/142192/hacking/killnet-targets-nato-websites.html

研究人员发现700多个恶意开源包

https://www.infosecurity-magazine.com/news/researchers-700-malicious-open/ 

推荐阅读：