每周安全动态精选（9.11-9.15）

1、特拉华州州长签署个人数据隐私法

2、Adobe Acrobat Reader 代码执行漏洞

3、间谍组织 Redfly 入侵了亚洲的一个国家电网组织, 并在六个月内悄悄地保持了对被破坏网络的访问

4、香港数码港遭勒索攻击：400GB数据泄露，科技中心受打击

5、美国官方警报！国家航空机构遭惊人攻击，背后疑是伊朗黑客组织

1、Adobe Acrobat Reader 代码执行漏洞

  Tag：CVE-2023-26369

漏洞是由于Adobe Acrobat Reader存在越界写入漏洞，攻击者通过构造恶意文档并诱使受害者打开此恶意文档进行代码执行攻击，最终可在受害者系统执行任意代码。

https://helpx.adobe.com/security/products/acrobat/apsb23-34.html

2、Apache Tomcat Connectors mod_jk信息泄露漏洞

  Tag：CVE-2023-41081

Apache Tomcat 连接器 mod_jk版本1.2.0 - 1.2.48中，在某些情况下，如当配置包括 JkOptions+ForwardDirectories，但该配置没有为所有可能的代理请求提供显式挂载时，mod_jk将使用隐式映射并将请求映射到第一个定义的Worker（工作进程/线程）。这种隐式映射可能会导致意外暴露状态Worker或绕过 httpd 中配置的安全约束。

https://lists.apache.org/thread/rd1r26w7271jyqgzr4492tooyt583d8b、https://tomcat.apache.org/security-jk.html

3、Google Chrome WebP堆缓冲区溢出漏洞

  Tag：CVE-2023-4863

Chrome WebP中的一个堆缓冲区溢出漏洞（CVE-2023-4863），成功利用该漏洞可能导致崩溃或任意代码执行。目前该漏洞的细节暂未公开披露，但已发现被利用。

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-attacks/

4、Cisco ASA & FTD VPN未授权访问漏洞

  Tag：CVE-2023-20269

该漏洞是由于远程访问VPN功能与HTTPS管理和站点到站点VPN功能之间的身份验证、授权和计费（AAA）分离不当造成的，未经身份验证的远程威胁者可利用该漏洞进行暴力破解攻击，以识别有效的用户名和密码组合（有效凭据），经过身份验证的远程威胁者可与未经授权的用户建立无客户端 SSL VPN 会话。

https://www.bleepingcomputer.com/news/security/cisco-warns-of-vpn-zero-day-exploited-by-ransomware-gangs/

https://www.rapid7.com/blog/post/2023/08/29/under-siege-rapid7-observed-exploitation-of-cisco-asa-ssl-vpns/

1、间谍组织 Redfly 入侵了亚洲的一个国家电网组织, 并在六个月内悄悄地保持了对被破坏网络的访问

  Tag：Redfly、亚洲国家、国家电网

间谍活动者继续对关键的国家基础设施 (CNI) 目标发起攻击，这一趋势已成为世界各国政府和 CNI 组织关注的焦点。赛门铁克的威胁追踪团队发现了证据，证明赛门铁克称之为 Redfly 的威胁组织在今年早些时候使用 ShadowPad 木马危害了一个亚洲国家的国家电网长达六个月。攻击者设法窃取凭据并危害组织网络上的多台计算机。 

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/critical-infrastructure-attacks

2、一个名为 "Sccatered Spider" 的威胁组织是 9 月 10 日米高梅度假村网络攻击的幕后黑手

  Tag：分散蜘蛛、网络黑客、勒索软件攻击

网络黑客组织“分散蜘蛛”近日发起了一系列针对赌场的勒索软件的攻击，他们最近又攻击了凯撒娱乐公司并获得了数千万美元的赎金。

https://www.darkreading.com/attacks-breaches/-scattered-spider-mgm-cyberattack-casinos

3、LokiBot – 网络钓鱼恶意软件基线

  Tag：LokiBot、恶意软件、信息窃取者、遥控访问木马、键盘记录器

LokiBot恶意软件的基本情况，包括其历史、功能和传播方式。LokiBot最初是一种信息窃取者，但随着时间的推移，它已经发展出远程访问木马（RAT）和键盘记录器等更多功能。该恶意软件可以从多个应用程序中窃取机密，如电子邮件客户端、FTP客户端、密码管理器等。LokiBot在网络钓鱼邮件中传播，并伴随着CVE- 2017-11882 等漏洞的利用。

https://cofense2022stg.wpengine.com/blog/lokibot-phishing-malware-baseline/

4、免费下载管理器网站多年来将 Linux 用户重定向到恶意软件

  Tag： 免费下载管理器、后门

卡巴斯基的研究人员分析了一个伪装成免费下载管理器软件的Linux后门，这个后门在至少三年的时间里一直存在。

https://securelist.com/backdoored-free-download-manager-linux-malware/110465/

1、香港数码港遭勒索攻击：400GB数据泄露，科技中心受打击

  Tag：勒索软件、数据泄露

9月8日消息，香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称，已从数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元）才能归还。

https://www.secrss.com/articles/58629

2、斯里兰卡国家政务云被黑，近 4 个月数据丢失

  Tag：数据泄露

9月12日有消息称，斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。该国已经启动调查程序。系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。

https://hackernews.cc/archives/45651

3、加拿大政府泄露公民个人信息，法院批准启动集体诉讼

  Tag：网络攻击、数据泄露

加拿大税务局在2020年遭受了一起网络攻击事件，导致数千个用户账户密码被盗，部分用户个人信息和财产受到侵害，现在用户提起了集体诉讼。

https://hackernews.cc/archives/45633

4、承包商数据泄露影响了 8,000 名大曼彻斯特警察信息

  Tag：数控泄露、网络攻击

据英国媒体报道，大曼彻斯特警方遭受大规模网络攻击，导致数千名警员的授权卡详细信息被盗。据《曼彻斯特晚报》报道，泄露的数据包括警察的姓名和照片。值得注意的是，GMP 雇用了 8,000 多名警察。

https://www.hackread.com/contractor-data-breach-greater-manchester-police/

1、美国官方警报！国家航空机构遭惊人攻击，背后疑是伊朗黑客组织

  Tag：黑客组织、伊朗、网络攻击

美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。

https://hackernews.cc/archives/45618

2、美国金融机构遭遇史上最大规模 DDoS 攻击

  Tag：网络攻击、美国

Akamai近日透露，已经挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。

https://hackernews.cc/archives/45681

3、米高梅遭遇网络安全问题，导致拉斯维加斯赌场老虎机和 ATM 关闭

  Tag：网络攻击

根据米高梅度假村（MGM Resorts）在美国东部时间中午前在 X（原 Twitter）上发布的一份声明，由于”网络安全问题”，这家著名的酒店和赌场公司被迫关闭了许多系统。拉斯维加斯 ABC 13 News 证实，FBI 目前正在进行调查，并从周日起一直与米高梅保持联系。该媒体报道称，酒店客人无法使用自动取款机、购买食物或使用数字房卡。

https://hackernews.cc/archives/45659

4、黑客泄露数据后空客展开调查

  Tag：黑客论坛、网络入侵

网络犯罪情报公司 Hudson Rock 周二报道称，一名在线绰号为“USDoD”的黑客本月早些时候在一个网络犯罪论坛上声称，他们入侵了空中客车公司，空客公司为此展开调查。

https://www.securityweek.com/airbus-launches-investigation-after-hacker-leaks-data/

1、重新审视用户定义的反射加载器, 第 2 部分: 如何将自己的自定义混淆和屏蔽应用到具有 UDRL 的信标

  Tag：UDRL-VS 加载器、自定义混淆、屏蔽技术、Cobalt Strike、反射加载器、静态检测

介绍了如何在原始 UDRL-VS 加载器的基础上应用自定义混淆和屏蔽技术。文章展示了 Cobalt Strike 在 UDRL 开发中的灵活性，并提供了代码示例。

https://www.cobaltstrike.com/blog/revisiting-the-udrl-part-2-obfuscation-masking

2、用调用栈揭开帷幕: 如何将规则和事件置于上下文中, 以及如何利用调用栈来更好地了解您在环境中遇到的任何警报

  Tag：调用堆栈、事件解释、进程、文件、库

介绍了 Elastic Security Labs 如何使用调用堆栈（call stacks）来提供更多上下文信息，以帮助用户更好地理解环境中的警报。调用堆栈可以同时改善错误报告、泄漏报告和警报的解释能力。

https://www.elastic.co/security-labs/peeling-back-the-curtain-with-call-stacks

3、WiKI-Eve: 利用了最新 Wi-Fi 硬件提供的一项新功能 BFI (波束成形反馈信息), 无需黑客攻击即可窃听智能手机上的按键操作

  Tag：Wi-Fi、按键窃听、密码窃取、BFI、对抗性学习

一种无需黑客攻击即可窃取密码的方法，称为 WiKI-Eve。WiKI-Eve 利用最新的 Wi-Fi 硬件功能 BFI（波束成形反馈信息）来窃听智能手机上的按键操作。通过对抗性学习方案，WiKI-Eve 可以推理出按键的内容，实现对密码的窃取。

https://arxiv.org/abs/2309.03492

4、为什么任意文件删除漏洞很重要

  Tag：任意文件删除漏洞、本地权限提升攻击、TOCTOU竞争条件、符号链接

Windows任意文件删除漏洞的重要性，以及如何利用该漏洞进行本地权限提升攻击。文章详细介绍了基于文件的本地权限提升攻击的原理和过程，并提供了相应的防御建议。

https://www.mandiant.com/resources/blog/arbitrary-file-deletion-vulnerabilities