每周安全动态精选（3.6-3.10）

• Microsoft Word远程代码执行漏洞
  

• Mustang Panda 的最新后门利用 Qt 和 MQTT 开辟了新天地

• 宏碁数据泄露：黑客声称出售 160GB 的被盗数据

• 微软发现 Shein App 在 Android 手机上复制剪贴板内容

• Shellcode 已死，Fileless Shellcode 万岁

1、美国国家网络安全战略文件：你需要知道的

  Tag：网络安全、网络犯罪

美国政府制定国家网络安全战略文件 2023已经有一段时间了，它终于发布了。该战略文件取代了 2018 年的最后一份此类工作，试图指明未来几年美国应对网络犯罪和安全的总体方向。

https://www.malwarebytes.com/blog/news/2023/03/national-cybersecurity-strategy-document-what-you-need-to-know

2、TSA 要求美国航空业加强网络安全

  Tag：政策、网络安全

美国运输和安全管理局 (TSA) 对机场和飞机运营商发布了新要求，他们表示，他们面临着“持续的网络安全威胁”。

https://www.tripwire.com/state-of-security/tsa-tells-us-aviation-industry-boost-its-cybersecurity

1、Jenkins 服务器严重漏洞导致 RCE

  Tag：CVE-2023-27898、CVE-2023-27905

Jenkins官方发布安全公告，修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞（CVE-2023-27898和CVE-2023-27905，统称为“CorePlague”）。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执行任意代码。

https://blog.aquasec.com/jenkins-server-vulnerabilities

2、Microsoft Word远程代码执行漏洞

  Tag：CVE-2023-21716

Microsoft Word远程代码执行漏洞（CVE-2023-21716）的PoC在互联网上公开，该漏洞已在微软2023年2月补丁中修复，Microsoft Word 中的 RTF 解析器在处理包含过多字体 (*f###*) 的字体表 (*fonttbl *)时存在堆损坏漏洞，未经身份验证的威胁者可以发送包含 RTF Payload的恶意电子邮件（或其它方式），以打开恶意 RTF 文档的受害者的权限执行任意代码。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

3、Windows 辅助功能驱动程序 WinSock 特权提升漏洞 PoC

  Tag：CVE-2023-21768

Windows Ancillary Function Driver for WinSock 中存在权限提升漏洞，经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。此漏洞影响Windows 11 22H2的EXP已在互联网公开。

https://github.com/xforcered/Windows_LPE_AFD_CVE-2023-21768

4、Apache HTTP Server请求走私漏洞

  Tag：CVE-2023-25690

Apache官方发布安全公告，修复了Apache HTTP Server中的一个HTTP请求走私漏洞（CVE-2023-25690）。Apache HTTP Server 版本2.4.0 - 2.4.55的某些mod_proxy配置可能导致HTTP请求走私攻击，这种攻击可能会导致绕过代理服务器中的访问控制，将非预期的URL代理到现有源服务器，以及缓存中毒等。

https://httpd.apache.org/security/vulnerabilities_24.html

1、SYS01 窃取者将如何获取您的敏感 FACEBOOK 信息

  Tag：窃密软件

窃密软件 SYS01stealer: 使用 Facebook 广告瞄准关键基础设施公司的新威胁. 展示攻击者如何推进交付链, 包括 Rust、Python、PHP 和 PHP 高级编码器, 以在过去五个月中成功逃避安全供应商。

https://blog.morphisec.com/sys01stealer-facebook-info-stealer

2、活跃的透明部落引诱巴印官员

  Tag：印度、巴基斯坦

活跃的透明部落攻击活动，主要针对印度和巴基斯坦公民，可能是那些具有军事或政治背景的人。

https://www.welivesecurity.com/2023/03/07/love-scam-espionage-transparent-tribe-lures-indian-pakistani-officials/

3、DBatLoader 和 Remcos RAT 横扫东欧

  Tag：东欧机构和企业

一个新的网络钓鱼活动, 攻击者滥用 Windows 用户帐户控制 (UAC) 绕过来投递 DBatLoader 和 Remcos RAT 恶意软件。

https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe/

4、Mustang Panda 的最新后门利用 Qt 和 MQTT 开辟了新天地

  Tag： APT 、后门

MQsTTang: APT 组织 Mustang Panda 的一个新的自定义后门, 只有一个阶段并且不使用任何混淆技术。

https://www.welivesecurity.com/2023/03/02/mqsttang-mustang-panda-latest-backdoor-treads-new-ground-qt-mqtt/

1、宏碁数据泄露：黑客声称出售 160GB 的被盗数据

  Tag：Kernelware、宏碁公司、XMR

一个流行论坛上的一名黑客声称在 2023 年 2 月中旬窃取了宏碁公司的数据。

https://www.hackread.com/acer-data-breach-hacker-sell-data/

2、黑客泄露了包含国会议员详细信息的 DC Health Link 数据

  Tag：Breach Forums、DC Health Link、数据库被盗

这些数据包含几位美国国会议员的个人和医疗详细信息，这些信息目前在俄罗斯黑客论坛和 Telegram 群组中流传。

https://www.hackread.com/dc-health-link-hackers-congress-members-details/

1、严重的 DJI 无人机缺陷可能导致无人机在飞行途中坠毁

  Tag：无人机、漏洞

安全研究人员在 DJI 无人机中发现了多个安全漏洞，这些漏洞可能允许用户修改关键的身份细节，甚至可以访问飞行员和无人机的位置。

https://www.hackread.com/dji-drones-flaw-crash-drones-mid-flight/

2、微软发现 Shein App 在 Android 手机上复制剪贴板内容

  Tag：app、漏洞

在被微软检测并报告给谷歌之前，一个旧版本的 Shein 应用程序被发现正在访问和复制 Android 设备上的剪贴板内容。

https://www.hackread.com/microsoft-shein-app-clipboard-content-android/

3、SYS01 窃取者瞄准关键的政府基础设施

  Tag：窃听、泄露

研究人员发现了一种名为 SYS01 窃取器的新信息窃取器，目标是关键的政府基础设施和制造公司

https://securityaffairs.com/143162/cyber-crime/sys01-stealer-targets-critical-infrastructure.html

4、HiatusRAT 恶意软件攻击路由器获得远程访问和下载文件

  Tag：勒索、恶意软件、路由器

Lumen 的 Black Lotus Labs 最近目睹了黑客目前在一场名为“Hiatus”的活动中瞄准 DrayTek Vigor 路由器型号 2960 和 3900。黑客的主要目标是从受害者那里窃取数据并建立一个隐蔽的代理网络以进行网络间谍活动。

https://gbhackers.com/hiatusrat-malware-attack-routers/

5、黑客利用远程桌面软件缺陷部署 PlugX 恶意软件

  Tag：恶意软件、木马、后门

远程桌面程序（如 Sunlogin 和 AweSun）中的安全漏洞正被威胁行为者用来部署 PlugX 恶意软件。AhnLab 安全紧急响应中心 (ASEC) 在一项新的分析中表示，这标志着继续滥用这些漏洞在受感染的系统上提供各种有效载荷。

https://thehackernews.com/2023/03/hackers-exploiting-remote-desktop.html

6、最近发现的 IceFire 勒索软件现在也针对 Linux 系统

  Tag：勒索、恶意软件

SentinelLabs 研究人员发现了最近发现的 IceFire 勒索软件的新 Linux 版本，该软件被用于攻击全球多家媒体和娱乐组织。该勒索软件最初只针对基于 Windows 的系统，重点是科技公司。。

https://securityaffairs.com/143261/malware/icefire-ransomware-targets-linux.html

1、击败旧的 PHP 源代码保护器

  Tag：Nu-Coder

打败Nu-Coder，获取原始代码。

https://adepts.of0x.cc/decrypt-nu-coder/

2、深入了解 "红队" 恶意软件 Brute Ratel 的设计方式

  Tag：红队、恶意软件

Brute Ratel 是一种所谓的“红队”恶意软件，由一些自称是前 EDR 工程师的 Twitter 恶意软件开发人员创建。目前，它最出名的是被各种勒索软件团伙滥用。

https://protectedmo.de/brute.html

3、BLACKMAMBA：使用人工智能生成多态恶意软件

  Tag：ChatGPT、EDR

BlackMamba: 研究人员创建 PoC, 验证使用大型语言模型(例如 ChatGPT)绕过 EDR. 研究人员将两个看似完全不同的概念结合起来. 第一个是通过使用可以配备智能自动化的恶意软件来消除命令和控制 (C2) 通道, 并可以通过一些良性通信通道推回任何攻击者绑定的数据. 第二个是利用可以合成新恶意软件变体的 AI 代码生成技术, 更改代码以使其可以逃避检测算法。

https://www.hyas.com/blog/blackmamba-using-ai-to-generate-polymorphic-malware

4、Shellcode 已死，Fileless Shellcode 万岁

  Tag：Shellcode

使用 Winhttp 从远程托管的 bin 文件执行 shellcode 的简单 PoC。

https://infosecwriteups.com/shellcodes-are-dead-long-live-fileless-shellcodes-609cbacd5cb0