每周安全动态精选（1.1-1.5）

1、美国防部新规草案：军工行业每年将增加超280亿元网络安全支出

2、新 5Ghoul 攻击影响装有高通和联发科芯片的 5G 手机

3、2023 年度 Mac 恶意软件综述

4、现象级车辆 App 遭网络攻击，泄露数百万用户数据

5、搜索协议漏洞可用于网络渗透，绕过 Windows 的安全机制

1、新 5Ghoul 攻击影响装有高通和联发科芯片的 5G 手机

  Tag：5Ghoul 攻击、高通、联发科、安全漏洞、5G 手机

"5Ghoul" 是由新加坡大学的研究人员发现的，共包含了 14 个移动通信系统的漏洞，其中 10 个已经公开披露，另外四个因安全原因被保留。这些漏洞可以导致从临时服务中断到网络降级的一系列攻击，从安全角度来看，可能更加严重。研究人员在对 5G 调制解调器固件进行分析时发现了这些漏洞，并报告称，攻击者可以通过冒充合法的 5G 基站，在空中轻松利用这些漏洞进行攻击。

https://www.bleepingcomputer.com/news/security/new-5ghoul-attack-impacts-5g-phones-with-qualcomm-mediatek-chips/

2、Inductive Automation 的 Ignition 软件存在重大反序列化漏洞

  Tag：漏洞利用，反序列化漏洞，Ignition 软件

一项研究详细介绍了 Inductive Automation 的 Ignition 软件中的两个重要反序列化漏洞，分别是 CVE-2023-39475 和 CVE-2023-39476。这些严重漏洞使得远程攻击者能够在不需要进行身份验证的情况下执行任意代码。该研究提供了对漏洞的深入分析，利用方法，并提供了名为 DoubleTrouble 的漏洞利用工具的使用说明。

https://github.com/TecR0c/DoubleTrouble

3、VisualStudio .suo 反序列化漏洞

  Tag：VisualStudio、漏洞利用、代码执行、suo 文件、C#

VisualStudio 的.suo 文件反序列化存在漏洞。通过创建恶意的.suo 文件，并将其放入 VisualStudio 代码项目中，当打开该项目时，就会触发代码执行。具体的利用方式是通过修改.suo 文件中的某些关键字段，将其指向一个恶意命令，当 VisualStudio 解析.suo 文件时，就会执行该命令。

https://github.com/moom825/visualstudio-suo-exploit

4、kfd：Apple 设备内核漏洞被利用，黑客能够读写内核内存

  Tag：漏洞利用、内核安全、Apple 设备、内存读写

近日，安全研究人员发现了一处影响 Apple 设备的内核漏洞，并成功利用该漏洞实现对内核内存的读写操作。该漏洞被命名为 kfd（kernel file descriptor）漏洞，已被分配 CVE-2023-32434 编号，并在 iOS 16.5.1 和 macOS 13.4.1 中得到修复。该漏洞可以通过 WebContent 沙盒实现远程攻击，可能已被在野利用。

https://github.com/felix-pb/kfd/blob/main/writeups/smith.md

1、2023 年度 Mac 恶意软件综述

  Tag：Mac 恶意软件、2023 年度综述、威胁分析、安全防护、企业安全

近年来，Mac 电脑在企业环境中的使用不断增加，而相应的 Mac 恶意软件也在不断增长和演进。2023 年共发现了大量新的 Mac 恶意软件样本，其中包括勒索软件、钓鱼软件等各种类型。本文综合分析了 2023 年度所有新出现的 Mac 恶意软件，并提供了样本下载。同时，文章还介绍了一些常用的恶意软件分析工具和技术细节。

https://objective-see.org/blog/blog_0x77.html

2、三个恶意 PyPI 软件包在 Linux 设备上部署 CoinMiner

  Tag：恶意软件，PyPI 软件包，CoinMiner，Linux 设备，安全威胁

FortiGuard Labs 的 AI 驱动的开源软件恶意软件检测系统于 2023 年 12 月 5 日发现了三个引人注目的 PyPI（Python 包索引）软件包。这些软件包在初次使用时会在 Linux 设备上部署一个 CoinMiner 可执行文件。通过与早先发现的 “culturestreak” PyPI 软件包的指标对比，这些软件包的指示器与 “culturestreak” 相似。本文概述了这三个新软件包的攻击阶段，重点介绍了它们与 “culturestreak” 的相似之处和发展。

https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices

3、隐蔽后门 “Android/Xamalicious” 批量感染设备

  Tag：Android 恶意软件，Xamarin，可访问性权限，广告欺诈，恶意应用

最近，McAfee 移动研究团队发现了一种名为 “Android/Xamalicious” 的恶意软件，该软件利用 Xamarin 开源框架实现，并以社交工程的方式获取可访问性权限。一旦获得权限，恶意软件与命令和控制服务器通信，根据评估结果决定是否下载第二阶段的恶意负载。这些负载以动态注入的方式，作为装配 DLL 在运行时注入设备，以完全控制设备并执行欺诈行为，例如点击广告、安装应用程序等，而无需用户同意。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/stealth-backdoor-android-xamalicious-actively-infecting-devices/

4、揭秘 RedLine Stealer

  Tag：RedLine Stealer, 信息窃取，恶意软件

RedLine Stealer 是一种危险的恶意软件，可以对个人和组织造成严重伤害。该恶意软件能够窃取个人和敏感数据，如登录凭据、浏览历史、加密钱包、地理位置等。本文对 RedLine Stealer 进行了深入研究，分析了其样本并进行了高级恶意软件分析。

https://www.infostealers.com/article/unmasking-redline-stealer/

1、现象级车辆 App 遭网络攻击，泄露数百万用户数据

  Tag：网络攻击、数据泄露

停车应用程序开发商 EasyPark 在其网站上发布一则公告，称其在 2023 年 12 月 10 日遭遇一起数据泄露安全事件。EasyPark 公司在公告中指出，根据用户向平台提供的信息，部分用户的下列信息遭到泄露：姓名，电话号码，实地址，电子邮件地址，信用卡/借记卡或 IBAN 的某些数字。

https://hackernews.cc/archives/48640

2、瑞典最大的连锁超市 Coop 再遭勒索软件团伙攻击，泄露超2万条个人信息

  Tag：勒索软件、数据泄露

仙人掌勒索软件团伙声称已经黑入了瑞典最大的连锁超市 Coop ，并威胁要公开超过2万个条目的个人信息。Kroll的研究人员报告称，该勒索软件团伙使用加密技术来保护勒索软件的二进制文件，做法非常“聪明”。

https://hackernews.cc/archives/48702

3、德国能源署被 LockBit 勒索，数据全量公开

  Tag：勒索软件、数据泄露

据报道，德国能源署Dena成为国际 LockBit 勒索软件组织的新受害者，黑客组织在暗网平台上披露了针对 Dena 的网络攻击。袭击发生后不久，能源署基本上无法正常办公，无法通过电话或电子邮件联系。

https://hackernews.cc/archives/48775

4、INC RANSOM 勒索软件团伙声称已侵入施乐公司

  Tag：勒索软件、数据泄露

INC RANSOM 勒索软件组织声称对入侵施乐公司的行为负责，并威胁要公布被盗的数据。INC RANSOM 组织将施乐公司添加到其 Tor 泄露站点的受害者名单中。勒索软件组织发布了八份文件的图像，包括电子邮件和发票，作为黑客攻击的证据。

https://hackernews.cc/archives/48694

1、普京竞选网站刚刚上线就遭多起境外攻击

  Tag：网络攻击

俄罗斯总统普京的竞选总部新闻秘书亚历山大·苏沃罗夫29日向记者透露，普京的竞选网站刚投入使用就遭到多起境外分布式拒绝服务攻击（DDoS攻击），但该网站目前工作正常。

https://hackernews.cc/archives/48691

2、用 660 美元即可破解特斯拉自动驾驶仪

  Tag：特斯拉、黑客大会

在最近举行的混沌计算机俱乐部黑客大会上，来自柏林工业大学的三名网络安全研究人员展示了他们破解特斯拉自动驾驶系统的过程。他们使用成本较低的设备，不仅获取到了敏感的系统文件和用户数据，还成功解锁了特斯拉自动驾驶的隐藏模式——“ Elon 模式”。

https://hackernews.cc/archives/48770

3、巴勒斯坦黑客对 100 个以色列组织发动破坏性攻击

  Tag：网络攻击

过去几个月，一个名为 Cyber Toufan 的黑客组织袭击了以色列 100 多个公共和私人组织，这是该地区地缘政治紧张局势加剧所推动的网络攻击活动的一部分。CyberToufan 具有复杂的黑客特征，该组织声称由巴勒斯坦国家网络战士组成，因此迅速声名鹊起，该组织对知名以色列实体执行复杂的网络攻击。

https://hackernews.cc/archives/48766

4、澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 遭受网络攻击停摆

  Tag：网络攻击

澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 宣布，由于最近的网络攻击，证券交易所暂停交易。该公司宣布需要暂停所有交易操作，以防止信息泄露。该公司在随后的声明中表示，其在澳大利亚和新西兰的多个系统遭到网络攻击。

https://hackernews.cc/archives/48722

1、搜索协议漏洞可用于网络渗透，绕过 Windows 的安全机制

  Tag：搜索协议，WebDav，Windows 安全，初级访问，社会工程学

一项新的研究发现，利用搜索协议漏洞结合 WebDav 和 AppDomainManager 注入技术，可以绕过 Windows 的安全机制，将恶意文件伪装成可信的文件进行传递，从而获取网络渗透的初级访问权限。攻击者利用这一漏洞，通过伪装文件的来源并诱使用户打开恶意附件，成功地避开了 Windows 的智能屏幕和 Mark of the Web（MotW）机制的阻止。这种方法可以通过社会工程学手段欺骗用户，成功地传递恶意文件，进而实施进一步的攻击。

https://pentestlab.blog/2024/01/02/initial-access-search-ms-uri-handler/

2、自动化 Web 应用评估的盲点

  Tag：应用安全，自动化工具，渗透测试，OWASP TOP 10

文章介绍了在确保应用程序安全时手动代码审查的重要性。过度依赖自动化工具可能导致一些明显的漏洞被忽视，从而给应用程序带来重大风险。

https://baldur.dk/blog/automated-web-assessment.html

3、DNS 接管漏洞挖掘

  Tag：DNS 接管，网络安全，漏洞利用，信息安全

这篇文章以实验为基础，展示了作者如何通过使用公共搜索工具和开源存储库的数据，发现了超过 200 个可能存在 DNS 接管漏洞的域名。DNS 接管是一种常见的漏洞技术，可以用来窃取已停用但仍活动的域名。文章详细解释了子域接管和 DNS 接管的概念，并提供了实际案例以加深读者对这些漏洞的理解。

https://fireshellsecurity.team/mining-takeovers-for-fun-and-profit/

4、被忽视的网络协议

  Tag：协议漏洞、网络攻击、安全验证

本篇文章通过详细介绍了几个常见的被忽视的网络协议，包括（列举几个协议），并指出了它们存在的安全风险。这些协议通常被默认启用，但在安全配置方面存在严重不足。作者还强调了监管和安全团队在排查和修复这些协议漏洞上的重要性。

https://pentera.io/resources/research/death-by-default-neglected-network-protocols-you-should-know/