绿盟威胁情报周报（2023.11.13-2023.11.19）

标签：不区分行业

发布时间：2023-11-15 13:00:00 GMT

概述：11月15日，绿盟科技CERT监测到微软发布11月安全更新补丁，修复了63个安全问题，涉及Windows SmartScreen、Microsoft Office、ASP.NET、Windows Cloud Files Mini Filter Driver、Windows DWM Core Library等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

链接：https://nti.nsfocus.com/threatNotice

标签：CVE-2023-47248

发布时间：2023-11-14 16:00:00 GMT

概述：近日，绿盟科技CERT监测发现Apache Arrow发布安全通告，修复了PyArrow库中的一个任意代码执行漏洞（CVE-2023-47248）。由于PyArrow从不受信任的来源读取Arrow IPC、Feather或Parquet数据，PyExtensionType创建了自动加载功能允许从非PyArrow的源反序列化数据。当使用PyExtensionType创建PyArrow特定的扩展类型时，攻击者可通过构造恶意数据包，在目标系统上实现任意代码执行。目前漏洞细节已公开，请相关用户尽快采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：巴以冲突

概述：近日，网络安全研究人员警告称，此前曾在针对以色列的网络攻击中观察到针对 Linux 系统的 Windows 版本擦除恶意软件。该擦拭器被黑莓称为BiBi-Windows Wiper ，是BiBi-Linux Wiper的 Windows 版本，上个月以色列与哈马斯战争后，亲哈马斯的黑客组织开始使用 BiBi-Linux Wiper。这家加拿大公司上周五表示：“Windows变体证实创建擦除器的威胁行为者正在继续构建恶意软件，并表明攻击范围已扩大到目标最终用户计算机和应用程序服务器。”

链接：https://ti.nsfocus.com/security-news/IlNC7

标签：CVE-2023-34060

概述：云计算和虚拟化技术巨头VMware周二紧急发布了一个紧急补丁，以解决影响其Cloud Director Appliance产品的身份验证绕过漏洞。该漏洞标记为 CVE-2023-34060，CVSS 严重性评分为 9.8（满分 10），可以被具有设备网络访问权限的恶意攻击者利用，在某些端口上进行身份验证时绕过登录限制。

链接：https://ti.nsfocus.com/security-news/IlNBL

标签：Hive，Hunters International

概述：研究人员称，Hive勒索团伙可能变更为Hunters International，以新的身份重新出现。研究人员表示，Hive团伙此前停止了攻击活动，并将其剩余资产转移到了Hunters International，并在这两组使用的代码之间发现了60%的匹配度。然而，Hunters International声称他们是在购买和更改Hive基础设施、源代码之后形成的独立团伙。Hunters International表示，Hive的所有源代码都已出售，包括网站和旧的Golang和C版本，他们购买了这些源代码，并且更偏向于数据泄露而不是数据加密。

链接：https://ti.nsfocus.com/security-news/IlNB1

标签：BlackCat，MeridianLink

概述：BlackCat/ALPHV勒索团伙在其数据泄露站点中将软件公司MeridianLink列为受害者，并威胁称如果在24小时内不支付赎金，他们将泄露窃取的数据。该勒索团伙表示，他们于11月7日入侵了MeridianLink的网络，并在未加密系统的情况下窃取了公司数据。MeridianLink表示,他们仍在确认网络攻击是否影响了任何个人信息,并且根据他们迄今为止的调查，未发现对其生产平台的未经授权访问，该事件对业务中断造成的影响较小。

链接：https://ti.nsfocus.com/security-news/IlNCV

标签：俄乌冲突

概述：乌克兰政府网络安全研究人员发现，俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。这些攻击归因于臭名昭著的黑客组织 APT29，也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局（SVR）联系起来，该机构负责收集其他国家的政治和经济情报。乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略，特别是在四月份针对基辅大使馆的行动中。

链接：https://ti.nsfocus.com/security-news/IlNCB

标签：Python

概述：安全公司 Checkmarx 报告了针对 Python 开发者的供应链攻击，攻击者发布了 8 个用于混淆代码的 Python 软件包，其中植入了具有高度侵入性的后门。这些软件包共被下载了 2348 次。以第八个混淆包 pyobfgood 为例，一旦安装，攻击者基本上可以完全控制受害者的电脑，能窃取主机信息、窃取 Chrome 保存的密码、设置键盘记录器、下载文件、屏幕截图和录屏录音、通过增加 CPU 占用等方法关闭电脑或导致蓝屏死机、加密文件、执行任何指令，等等。软件包的下载绝大部分来自美国（62%）、其次是中国（12%）和俄罗斯（6%）。

链接：https://ti.nsfocus.com/security-news/IlNBX

标签：APT，TA402

概述：2023年7月至10月，研究人员发现APT组织TA402发起的钓鱼攻击活动，该组织在攻击活动中传播一中被称为IronWind的新型恶意下载器，该下载器用于下载Shellcode并执行后续流程。在同一时期，TA402调整了其传播恶意载荷的方法，从原本使用Dropbox链接转为使用XLL和RAR文件附件，这可能是为了规避检测。该组织一直在进行具有针对性的攻击活动，每次攻击活动针对的目标少于5个，并一直保持着对中东和北非政府机构的高度关注。

链接：https://ti.nsfocus.com/security-news/IlNCT

标签：ChatGPT，DDOS

概述：我们正在处理由于DDoS攻击出现的异常流量模式导致的周期性中断。” ChatGPT的开发机构OpenAI表示，发现了黑客对其进行分布式拒绝服务（DDoS）攻击的迹象。美国东部时间11月8日上午9点左右，ChatGPT及其API（应用程序编程接口）突然中断服务。

链接：https://ti.nsfocus.com/security-news/IlNBb

标签：Imperial Kitten，APT

概述：安全研究人员发现APT组织Imperial Kitte对运输、物流和技术公司发起的新一轮攻击活动。该组织被认为与伊朗伊斯兰革命卫队（IRGC）相关，至少自2017年以来一直活跃，对包括国防、技术、电信、海事、能源、咨询和专业服务在内的各个行业组织进行网络攻击。研究人员表示，该组织在十月份发动了网络钓鱼攻击，使用“职位招聘”为主题的钓鱼邮件，其中附有恶意Microsoft Excel附件。文档中的恶意宏代码将会提取两个批处理文件，通过修改注册表实现持久化，并运行用于进行Reverse Shell的Python载荷。然后攻击者使用PAExec等工具在网络上进行横向移动，远程执行进程，并使用NetScan进行网络侦察。此外，他们使用ProcDump从系统内存中获取凭据。攻击者使用恶意软件IMAPLoader和StandardKeyboard实现与C2服务器的通信。

链接：https://ti.nsfocus.com/security-news/IlNBj

标签：安卓

概述：印度计算机应急响应小组（CERT-IN）在最近发布的一份公告中，就影响印度安卓用户的新安卓漏洞发出了重要警告。该警告对使用安卓 11、12、12L、13 和 14 版本的用户尤为重要，这些版本在目前使用的安卓设备中占很大比例。已发现的 Android 漏洞如果被成功利用，将带来巨大风险，包括可能导致未经授权访问敏感信息、权限提升，以及助长对目标系统的拒绝服务攻击。鉴于这些安全问题，我们强烈呼吁 Android 用户保持警惕并采取必要的预防措施。

链接：https://ti.nsfocus.com/security-news/IlNCH