每周安全动态精选（4.24-4.28）

1、ATT&CK v13 发布，现在提供 ICS 资产重构、分析伪代码、移动数据源

2、PaperCut企业打印管理软件存在远程代码执行漏洞

3、APT组织“Evasive Panda”劫持热门软件更新渠道传播恶意软件

4、下载量达3500万的Android《我的世界》克隆软件用广告软件感染用户

5、GCP云函数的安全漏洞和利用方法

1、PaperCut企业打印管理软件存在远程代码执行漏洞

  Tag：漏洞分析、PaperCut、CVE-2023-27350

Horizon3.ai的安全研究人员分析了一个影响 PaperCut 企业打印管理软件的严重漏洞，编号为 CVE-2023-27350。这个漏洞可以让未经授权的攻击者在 PaperCut 应用服务器上执行任意代码，从而控制打印机和其他设备。文章分析了漏洞的原理、利用方法、影响范围和防御措施，并提供了一些检测和应对建议。

https://www.horizon3.ai/papercut-cve-2023-27350-deep-dive-and-indicators-of-compromise/

2、Sophos Web Appliance代码执行漏洞

  Tag：网络安全、漏洞、Sophos

近日，安全研究人员发现了一个影响Sophos Web Appliance的严重代码执行漏洞，编号为CVE-2023-1671。该漏洞由warn-proceed处理器中的一个预认证命令注入缺陷导致，攻击者可以利用该漏洞在目标系统上执行任意代码。该漏洞影响了Sophos Web Appliance 4.3.10.4之前的版本，已有PoC脚本公开。

https://vulncheck.com/blog/cve-2023-1671-analysis

3、Apache Superset远程代码执行漏洞

  Tag：Apache Superset、远程代码执行、CVE-2023-27524

Apache Superset是一个开源的数据可视化和数据探索平台，近日爆出一个危险的默认配置漏洞（CVE-2023-27524），可以让攻击者绕过认证和执行远程代码。这个漏洞影响了2.0.1及以下的版本，原因是使用了一个默认的SECRET_KEY来签名认证会话cookie，攻击者可以利用这个密钥来登录并执行任意命令。据统计，有超过3000个Apache Superset的实例暴露在互联网上，可能受到攻击。软件维护者已经发布了安全补丁来修复这个问题，并建议用户尽快更新和修改SECRET_KEY。

https://www.horizon3.ai/cve-2023-27524-insecure-default-configuration-in-apache-superset-leads-to-remote-code-execution/

4、思科Prime Collaboration Deployment跨站脚本漏洞

  Tag：思科、PCD、XSS

思科公司在其官方网站上披露了一个影响其Prime Collaboration Deployment（PCD）软件的跨站脚本（XSS）漏洞。该漏洞编号为CVE-2023-20060，存在于PCD 14及更早版本的基于Web的管理界面中。该漏洞是由北约网络安全中心的Pierre Vivegnis发现的。该漏洞的原因是管理界面没有正确地验证用户提供的输入。如果一个攻击者能够诱使一个管理界面的用户点击一个恶意链接或访问一个恶意网页，就可以利用该漏洞在用户的浏览器中执行任意脚本代码，从而窃取用户的敏感信息或篡改用户的操作。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pcd-xss-jDXpjm7

1、APT组织“Evasive Panda”劫持热门软件更新渠道传播恶意软件

  Tag：APT、恶意软件

ESET Research 发现了名为 Evasive Panda 的 APT 组织针对中国的一家国际非政府组织开展的活动，其恶意软件通过流行的中国软件如QQ进行更新传播。

https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/

2、黑客组织利用Log4Shell安装挖矿软件

  Tag：Log4Shell、8220、挖矿软件

韩国安全公司AhnLab的安全应急响应中心（ASEC）最近确认，黑客攻击组织8220正在利用Log4Shell漏洞在VMware Horizon服务器上安装挖矿软件。这种漏洞可以让攻击者在远程执行任意代码，从而控制目标系统。ASEC发现，8220的攻击目标包括一些韩国的能源相关公司，这些公司的系统没有及时打补丁，因此容易受到攻击。8220使用了一个名为XMRig的开源挖矿软件，通过它可以利用受感染的服务器的计算资源来挖掘门罗币（Monero），这是一种隐私性很强的加密货币。

https://asec.ahnlab.com/en/51568/

3、Python开发者遭遇新型恶意软件利用Tor网络进行攻击

  Tag：Python、恶意软件、Tor

JFrog的安全研究人员发现了一种新型的Python恶意软件，它可以通过伪装成正常的Python包来感染Windows和Linux系统。这种恶意软件被命名为WhiteSnake，它可以窃取文件、记录键盘输入、执行远程命令等恶意行为。WhiteSnake还利用了Tor网络来与其控制服务器进行通信，这样可以提高匿名性和逃避防火墙的检测。JFrog建议Python开发者在安装第三方包时要格外小心，并使用安全扫描工具来检测潜在的威胁。

https://jfrog.com/blog/new-malware-targets-python-developers-uses-tor-for-c2-communication/

4、EvilExtractor—一款全能的窃取器

  Tag：EvilExtractor、恶意软件、窃取器、Windows、数据泄露

EvilExtractor是一款针对Windows操作系统的攻击工具，可以从终端设备中提取数据和文件。它由一个名为EvilExtractor的公司开发和销售，声称是一款合法的远程管理工具。但是FortiGuard实验室的研究表明，网络犯罪分子正在积极地将其用作信息窃取器。它包含了多个模块，可以通过FTP服务工作，比如截屏，键盘记录，浏览器密码和Cookie窃取，文件搜索和上传等。它还具有环境检测和反虚拟机的功能，可以避免被分析和检测。该工具已经在暗网上出售，并且有多个版本和更新。

https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer

1、加拿大黄页证实了网络攻击，因为Black Basta泄露了数据

  Tag：Yellow Pages Group、勒索软件

加拿大目录出版商Yellow Pages Group已向BleepingComputer证实，它受到了网络攻击。Black Basta勒索软件和勒索团伙声称对袭击负责，并在周末发布了敏感文件和数据。

https://www.innoreader.com/article/3a9c6e751ff8da01-black-basta

2、乌克兰人因向俄罗斯人出售3亿人的数据而被捕

  Tag： 乌克兰、俄罗斯、数据

乌克兰网络警察逮捕了一名来自Netishyn市的36岁男子，他出售了超过3亿人、乌克兰公民和欧洲各国的个人数据和敏感信息。

https://www.bleepingcomputer.com/news/security/ukrainian-arrested-for-selling-data-of-300m-people-to-russians/

3、数千个配置错误的容器和工件注册表暴露了敏感凭据

  Tag：容器、配置错误

研究人员发现了数千个公开暴露和配置错误的容器注册表和工件存储库，这些容器注册表和工件存储库属于企业，这些存储库可能允许攻击者访问令牌、加密密钥和其他有关内部系统的敏感信息。

https://www.innoreader.com/article/3a9c6e751eca38cb-

4、研究人员发现2.5亿件软件工件暴露在配置错误的注册表中

  Tag：2.5亿、软件工件

据Aqua Nautilus称，研究人员发现了数千个配置错误的工件存储库和容器映像注册表，使组织面临潜在的严重软件供应链攻击。

https://www.infosecurity-magazine.com/news/250-million-artifacts-exposed/

5、7,413人受到阿拉斯加铁路数据泄露的影响

  Tag：阿拉斯加铁路公司、数据泄露

阿拉斯加铁路公司报告了2022年12月发生的一起数据泄露事件，他们于2023年3月18日发现了它，据ARCC称，第三方未经授权访问了内部网络系统。此外，威胁行为者访问并泄露了供应商、现任和前任员工及其家属的敏感数据。

https://heimdalsecurity.com/blog/alaska-railroad-data-breach/

1、下载量达3500万的Android《我的世界》克隆软件用广告软件感染用户

  Tag：Minecraft、广告软件、感染

Google Play上的一套38款Minecraft模仿游戏感染了Android广告软件“HiddenAds”的设备，以在后台偷偷加载广告，为其运营商创造收入。

https://www.bleepingcomputer.com/news/security/android-minecraft-clones-with-35m-downloads-infect-users-with-adware/

2、Charming Kitten用BellaCiao恶意软件瞄准美国和其他地方的关键基础设施

  Tag：Charming Kitten、基础设施

伊朗国家赞助的黑客组织Charming Kitten被指定为应对针对美国和其他地方关键基础设施的新一波攻击的团体负责。

https://www.tripwire.com/state-of-security/charming-kitten-targets-critical-infrastructure-us-and-elsewhere-bellaciao

3、数千台Apache Superset服务器受到RCE攻击

  Tag：Apache Superset服务器、RCE

Apache Superset在默认配置下容易受到身份验证旁路和远程代码执行的影响，允许攻击者可能访问和修改数据，获取凭据并执行命令。

https://www.innoreader.com/article/3a9c6e751da88fe9-apache-supersetrce

4、38 个国家参加北约 2023 年锁定盾牌网络演习

  Tag：北约、网络演习

位于爱沙尼亚的北约合作网络防御卓越中心 (CCDCOE) 上周举办了 2023 年年度“锁定盾牌”网络防御演习，与去年的活动相比，当时约有 2,000 名参与者代表 32 个国家，而 2023 年的锁定盾牌演习有来自 38 个国家的 3,000 名参与者。

https://www.securityweek.com/38-countries-take-part-in-natos-2023-locked-shields-cyber-exercise/

5、KuCoin的推特帐户被黑客入侵，以推广加密骗局

  Tag：KuCoin、推特帐户

KuCoin的推特帐户被黑客入侵，允许攻击者宣传虚假的赠品骗局，导致超过226000美元的加密货币被盗。

https://www.bleepingcomputer.com/news/security/kucoins-twitter-account-hacked-to-promote-crypto-scam/

1、GCP云函数的安全漏洞和利用方法

  Tag：GCP、云函数、安全漏洞、利用

GCP（Google Cloud Platform）是一个提供云计算服务的平台，其中一项服务是云函数（Cloud Function），它可以让用户在无需管理服务器的情况下运行代码。云函数也存在一些安全风险，比如本地文件包含（LFI），服务器端请求伪造（SSRF），命令注入等。

https://blog.codydmartin.com/gcp-cloud-function-abuse/

2、利用DLL断链技术隐藏恶意DLL

  Tag：DLL断链、PEB

DLL断链是一种可以让恶意DLL从进程环境块（PEB）中消失的技术，从而避免被一些简单的检测方法发现。PEB是一个存储进程相关信息的数据结构，其中包括一个双向链表，列出了进程加载的所有DLL。通过修改链表中的前向和后向指针，可以将恶意DLL从链表中移除，使得调用EnumProcessModules或CreateToolhelp32Snapshot等函数时无法找到它。这种技术可以用于隐藏后门、注入器或其他恶意软件，增加其隐蔽性和持久性。文章详细介绍了如何实现DLL代码，并给出了一个示例程序，展示了如何在Windows 10上使用这种技术。

https://blog.christophetd.fr/dll-unlinking/

3、逆向分析AMD安全处理器的加密协处理器

  Tag：AMD、安全处理器、加密协处理器、逆向工程、固件

逆向分析AMD安全处理器（PSP）的加密协处理器（CCP）的工作原理和固件加载机制，AMD安全处理器是一种嵌入在所有现代AMD CPU中的专用芯片，负责执行一些敏感的安全功能，如加密、解密、签名和验证。CCP是PSP的一个组成部分，是一个独立的硬件模块，可以执行多种加密算法，如AES、RSA、SHA等。

https://dayzerosec.com/blog/2023/04/22/reversing-the-amd-secure-processor-psp-part-2-cryptographic-co-processor-ccp.html

4、Pwn2Own 2022多伦多赛事中的SOHO路由器攻击技巧

  Tag：Pwn2Own、SOHO、路由器

Pwn2Own是一个著名的安全竞赛，每年都会有不同的目标设备和奖金。2022年的多伦多赛事中，新增了一个名为SOHO Smashup的类别，模拟了一个小型办公室或家庭办公室（SOHO）的场景，目标是先通过WAN接口攻击一个路由器，然后跳转到LAN，再攻击另一个设备，比如NAS设备，智能音箱或打印机。NCC成功攻击了所有的消费级路由器（Netgear，TP-Link和Synology），以及一个小型企业设备（Ubiquiti）。文章详细介绍了攻击过程和利用的漏洞，以及一些防御建议。

https://research.nccgroup.com/2023/04/24/hitbams-your-not-so-home-office-soho-hacking-at-pwn2own/