每周安全动态精选（7.17-7.21）

1、欧盟大使批准《网络弹性法案》

2、NSA、CISA 发布 5G 网络切片安全指南

3、苹果macOS和VMware vCenter中的12个RPC漏洞分析

4、WebAPK技术在网络钓鱼攻击中的应用

5、双重伤害！雅诗兰黛同时遭遇两个勒索软件的攻击

1、NSA、CISA 发布 5G 网络切片安全指南

  Tag：拒绝服务、5G网络、美国

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 周一发布了关于强化 5G 独立网络切片以抵御潜在威胁的指南。在 2022 年 12 月发布的该系列的第一部分中，美国政府机构提到拒绝服务 (DoS)、中间人 (MitM) 和配置攻击是与 5G 网络相关的主要安全风险切片，并提供缓解建议。

https://www.securityweek.com/nsa-cisa-issue-guidance-on-securing-5g-network-slicing/

2、美国宣布智能设备网络安全标签标准

  Tag：信息安全、美国

拜登政府宣布了“美国网络信任标志”计划。根据预计于 2024 年启动的智能设备网络安全标签计划，消费者将在符合美国国家标准与技术研究所发布的既定标准的产品上找到徽标。美国政府表示，“几家主要的电子产品、电器和消费品制造商、零售商和行业协会”已自愿承诺加强其产品的网络安全。

https://iapp.org/news/a/us-announces-smart-device-cybersecurity-labeling-program/

3、新加坡发布人工智能培训中个人数据使用的指南草案

  Tag：个人数据、人工智能

指南旨在阐明当公司使用个人数据来训练人工智能模型和系统时，新加坡的法律将如何适用，包括研究和业务改进例外情况。

https://www.pcpd.org.hk/english/news_events/media_statements/press_20230720.html

1、苹果macOS和VMware vCenter中的12个RPC漏洞分析

  Tag：DCERPC、vCenter、macOS、VMware、网络协议、远程过程调用

安全研究人员最近发现了一系列影响vCenter和macOS系统的DCERPC漏洞，涉及网络协议的远程过程调用（RPC）机制。DCERPC是一种用于实现RPC机制的标准化协议，并且广泛应用于Windows生态系统。其中漏洞的影响范围包括vCenter和macOS的关键服务，如VMware证书管理服务（vmcad）、VMware目录服务（vmdird）以及VMware身份验证框架（vmafdd）。这些服务实现了RPC接口，可通过网络进行访问，并提供诸如身份验证、证书管理等安全关键功能。漏洞类型涵盖缓冲区溢出、使用后释放、信息泄漏等。其中一些漏洞可能导致拒绝服务，使系统崩溃，另一些漏洞可能泄漏未初始化内存中的敏感信息，从而绕过攻击防御措施。

https://blog.talosintelligence.com/weaknesses-mac-os-vmware-msrpc/

2、Minecraft反作弊工具漏洞导致管理员权限提升

  Tag：Minecraft、反作弊工具、权限提升、内核驱动、特权滥用

一款流行的Minecraft反作弊工具"echo.ac"发现严重安全漏洞。攻击者可利用此漏洞进行权限提升，并获取系统管理员级别的权限。该漏洞可能导致系统破坏和数据泄露。

https://ioctl.fail/echo-ac-writeup/

3、Google Cloud Build存在供应链攻击漏洞

  Tag：Google Cloud Build、供应链攻击、权限提升

Orca Security团队在Google Cloud Build服务中发现供应链攻击的关键设计缺陷。攻击者可以利用漏洞提升权限，未经授权地访问代码库和Artifact Registry镜像。此漏洞可能导致拒绝服务、数据窃取和恶意软件传播。

https://orca.security/resources/blog/bad-build-google-cloud-build-potential-supply-chain-attack-vulnerability/

4、Teltonika路由器安全漏洞

  Tag：供应链攻击、工业物联网、Teltonika Networks

2023年5月15日，由Noam Moshe和Roni Gavrilov-OTORIO共同合作，对Teltonika Networks的工业物联网产品进行了全面研究，重点关注广泛应用于各个行业的工业蜂窝设备、Teltonika远程管理系统以及RUT型号路由器。在这次合作的研究中，发现了8个漏洞，影响全球数千台互联网连接的设备。研究中确定了多个攻击向量，包括利用暴露在互联网上的服务、接管云帐户和云基础设施漏洞。攻击者成功利用这些漏洞入侵工业路由器和物联网设备，可能对受影响的设备和网络造成多种影响，包括监视网络流量和窃取敏感数据、劫持互联网连接和访问内部服务。

https://claroty.com/team82/research/triple-threat-breaking-teltonika-routers-three-ways

1、WebAPK技术在网络钓鱼攻击中的应用

  Tag：网络钓鱼攻击、WebAPK技术、Android恶意应用、安全威胁、CSIRT KNF

近日，波兰金融部门的计算机安全事件响应小组（CSIRT KNF）发布一份报告，详细分析了一种通过WebAPK技术进行的高级网络钓鱼攻击。这项攻击利用WebAPK技术，在Android设备上安装恶意应用，对用户进行欺诈。WebAPK技术是一种可以将Web应用程序作为本地应用程序安装在Android设备上的技术。它是“渐进式Web应用程序”（PWA）的一部分，旨在提升Web应用程序的功能和性能。攻击过程开始于受害者收到短信，提示需要更新移动银行应用程序。短信中包含的链接将用户导向一个使用WebAPK技术的网站，通过绕过典型的来自不受信任来源的安装警告，安装恶意应用程序到受害者设备上。

https://www.linkedin.com/pulse/using-webapk-technology-phishing-attacks-csirt-knf/

2、新型BundleBot木马利用单文件打包技术，逃避静态检测

  Tag：恶意软件、BundleBot、木马攻击、dotnet bundle

Check Point Research（CPR）深入逆向分析了新型恶意软件“BundleBot”，该木马利用dotnet bundle（单文件）躲避静态检测。通过Facebook广告和入侵账户传播，伪装成常规工具，此木马能窃取Facebook账户信息。

https://research.checkpoint.com/2023/byos-bundle-your-own-stealer/

3、探索drIBAN网络注入工具

  Tag：银行欺诈、drIBAN、MITB攻击、ATS工具

drIBAN是一个复杂的网络注入工具，用于欺骗银行转账系统，绕过身份验证机制。它能够伪装银行交易，将受害者的资金转移到欺诈分子控制的账户。文章中还介绍了drIBAN的演进和最新特点，以及其威胁对策。银行和金融机构需要采取积极的防范措施，共享威胁情报，并加强网络安全来保护客户账户和抵御这种复杂的APT攻击。

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-3

4、WooCommerce Payments遭大规模有针对性攻击

  Tag：WooCommerce Payments、漏洞攻击、Wordfence

Wordfence Threat Intelligence团队监测到一场大规模有针对性的攻击，针对已安装在超过600,000个网站上的WooCommerce Payments插件。攻击利用CVE-2023-28121漏洞，从2023年7月14日开始，攻击次数在周末高峰时达到1,300,000次，涉及15.7万个网站。

https://www.wordfence.com/blog/2023/07/massive-targeted-exploit-campaign-against-woocommerce-payments-underway/

1、3400万印尼人的护照信息被盗；游戏公司源代码被黑

  Tag：金融、政府、数据丢失

据 CPO 杂志报道，据报道，一名黑客窃取了 3400 万印度尼西亚公民的护照数据。根据 Ethical Hacker Indonesia 创始人获得的屏幕截图，据称该黑客目前在一个黑客论坛上以 10,000 美元的价格提供 4GB 被盗护照数据。印度尼西亚当局正在调查数据泄露事件。

https://iapp.org/news/a/34-million-indonesians-passport-information-stolen-gaming-companys-source-code-hacked/

2、VirusTotal 泄露 5,600 名注册用户数据

  Tag：数据泄露、社会工程学、用户数据

VirusTotal 遭遇数据泄露，5,600 名注册用户的姓名和电子邮件地址被泄露。据报道，泄露的数据包括有关美国和德国情报机构（等）雇员的信息。

https://www.helpnetsecurity.com/2023/07/18/virustotal-data-leak/

3、Henry Ford Health 确认数据泄露影响了 168,000 名患者

  Tag：网络钓鱼、数据泄露

Derick Hutchinson 报道：Henry Ford Health 已确认电子邮件网络钓鱼计划导致数据泄露，影响了 168,000 名患者。周一，患者被告知，有人实施电子邮件网络钓鱼计划，并于 2023 年 3 月 30 日获得了对企业电子邮件帐户的访问权限。官员们表示，这种访问很快就被发现，并且电子邮件帐户的安全得到了保护。

https://www.clickondetroit.com/news/local/2023/07/17/henry-ford-health-confirms-data-breach-affecting-168000-patients/

4、Hillsborough 通知 70,000 名健康、老龄化服务领域的潜在数据泄露事件

  Tag：数据泄露、老龄服务

希尔斯伯勒县已通知 70,000 多人，全球数据泄露可能使他们的个人信息面临风险。此次泄露涉及 MOVEit 文件传输工具，这是一项符合联邦健康保险流通和责任法案 (HIPAA) 法规的第三方服务。此次违规行为还可能影响了该县老龄服务部门使用的 12 家供应商的 106 名员工。

https://www.databreaches.net/hillsborough-notifies-70000-of-potential-data-breach-in-health-aging-services/

1、双重伤害！雅诗兰黛同时遭遇两个勒索软件的攻击

  Tag：勒索软件、攻击

在7月18日提交给美国证券交易委员会 (SEC) 的文件中，雅诗兰黛公司证实了其中一次攻击，称攻击者获得了其部分系统的访问权限，并可能窃取了数据。

https://www.freebuf.com/news/372587.html

2、尼日利亚男子因 800 万美元 BEC 计划在美国被判 8 年监禁

  Tag：美国监狱、EEC计划

Olalekan Jacob Ponle 是一位居住在阿联酋的尼日利亚公民，因参与价值 800 万美元的 BEC 计划而在美国监狱被判处 8 年徒刑。

https://www.securityweek.com/nigerian-man-sentenced-to-8-years-in-us-prison-for-8-million-bec-scheme/

3、MOVEit 黑客攻击：受影响组织数量超过 340 个

  Tag：犯罪组织、网络攻击

据报道，受臭名昭著的网络犯罪组织 MOVEit 攻击影响的实体数量目前已超过 340 个组织和 1800 万个人。

https://www.securityweek.com/moveit-hack-number-of-impacted-organizations-exceeds-340/

4、美国政府禁止欧洲间谍软件供应商 Intellexa 和 Cytrox

  Tag：美国政府、间谍软件

美国政府以对美国国家安全和外交政策利益构成风险为由，禁止了欧洲商业间谍软件制造商 Intellexa 和 Cytrox。

https://www.bleepingcomputer.com/news/security/us-govt-bans-european-spyware-vendors-intellexa-and-cytrox/

1、使用 Burp BCheck 脚本改进 API 安全测试

  Tag：API安全测试、Burp Suite、BCheck脚本、自动化测试

Burp BCheck脚本可通过自动化测试快速识别API应用中的潜在安全隐患。BCheck脚本是Burp Suite专业版的新增功能，可加强API安全测试效率。脚本语言简单易学，支持自动化请求、检查响应结果等功能，优化测试流程，提高网络应用的安全性。测试人员可利用BCheck脚本编写自定义检测，全面发现安全隐患。

https://danaepp.com/improve-your-api-security-testing-with-burp-bcheck-scripts

2、账户数据篡改漏洞挖掘

  Tag：账户数据篡改、漏洞发现、API安全

安全专家YoKo Kho在进行一项漏洞挖掘时，意外发现了一处可导致账户数据篡改的漏洞，其中涉及一个意外的“0”主ID。该漏洞利用了一个API的更新功能，允许恶意攻击者以“0”主ID的身份修改所有用户的数据。通过精准地填充请求参数，攻击者可以删除UUID参数，并将ID参数设置为“0”。此时，发送请求给服务器，即可成功修改目标账户的数据，实现账户数据篡改。该漏洞的发现被认定为P1级别，并获得了2,500美元的悬赏奖励。

https://infosecwriteups.com/the-unexpected-0-master-id-for-account-data-manipulation-1cb69112de38

3、使用Python与PortShellCrypter交互的自动化攻击脚本

  Tag：PortShellCrypter、自动化攻击脚本、Python、远程Shell控制、渗透测试

本文介绍了如何利用Python与PortShellCrypter进行交互，实现自动化攻击脚本。PortShellCrypter提供了一个脚本套接字和一个简单的工具（pscsh），允许在远程端执行Shell脚本。通过编写Python脚本，作者成功实现了对远程Shell的控制和数据处理，从而实现了更高级的自动化攻击任务。

https://www.fullspectrum.dev/psc-automation-using-python-to-interact-with-portshellcrypter/

4、通过分割powershell脚本绕过Windows Defender

  Tag：AMSI绕过、Windows Defender、威胁检测、Powershell、代码混淆

研究人员指出，通过将常见的Powershell脚本（如AMSI绕过）分割为多行，可以直接绕过Windows Defender。该方法在对抗普通杀毒软件中表现出色，但在EDR（终端检测与响应）层面可能不起作用。文章详细解释了如何测试AMSI是否激活以及躲避检测的技巧。通过分析检测规则，可以使用内置功能或简单的代码混淆手法绕过AMSI检测。研究人员还展示了使用反射技术和XOR混淆来构建一个可执行的单行命令，将多个绕过技术串联执行，从而使得AMSI难以分析完整命令。

https://badoption.eu/blog/2023/07/15/divideconqer.html