FreeBuf 周报 | 知名工具Trello被黑客攻击；迪士尼泄露1.2TB内部数据 - 新鲜讯息

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 并购新纪录！谷歌拟豪掷230亿美金震撼收购Wiz

据熟悉内情的人士透露，谷歌母公司 Alphabet正在就以约 230 亿美元的价格收购网络安全初创公司 Wiz 进行深入谈判，这将是谷歌有史以来规模最大的一次收购。

2. FIN7 黑客组织在暗网上大肆推广反EDR系统工具

近日有名为 FIN7 的威胁行为者在多个地下论坛上使用虚假用户名大肆宣传安全绕过工具，这些工具都曾被 Black Basta 等勒索软件组织使用过。

3. 仅需22分钟，刚公开的漏洞PoC就被黑客利用

根据Cloudflare 发布的 2024 年应用安全报告，攻击者正越发快速地利用被公开的漏洞，甚至仅在公开后 22 分钟就将可用的概念验证（PoC）漏洞武器化。

4. 又一全新恶意软件曝光，曾滥用微软驱动程序签名系统

近日，研究人员发现了一种名为 HotPage.exe 的新型恶意软件。这种恶意软件最初是在 2023 年底被检测到的，起初它伪装成了一个安装程序，表面上可以通过阻止广告和恶意网站来改善网页浏览。

5.「投资」近100万美元，Revolver Rabbit注册50万个域名进行恶意活动

近日，专注于 DNS 的安全厂商 Infoblox 的研究人员发现，一个名为 Revolver Rabbit 的网络犯罪团伙注册了 50 多万个域名，通过散布一种叫 XLoader（Formbook 的后继者）的信息窃取恶意软件，收集 Windows 和 macOS 系统的敏感信息或对其执行恶意代码。

安全事件

1. Cisco曝超严重漏洞，黑客可修改管理员密码

近日，思科公司披露了其智能软件管理器本地版（SSM On-Prem）中的一个关键漏洞，该漏洞允许未经身份验证的远程攻击者更改任何用户的密码，包括管理员用户的密码。

2. 迪士尼遭黑客入侵，泄露1.2 TB内部数据

7 月 12 日，黑客组织 NullBulge 在臭名昭著的网络犯罪和黑客平台 Breach Forums 上发布声明，称已入侵迪士尼，泄露了 1.1 TiB（1.2TB）的公司内部 Slack 数据。

3. GitHub 令牌泄漏， Python 核心资源库面临潜在攻击

软件供应链安全公司 JFrog 的网络安全研究人员称，他们发现了一个意外泄露的 GitHub 令牌，可授予 Python 语言 GitHub 存储库、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库的高级访问权限。

4. 1.1亿用户数据被窃后，AT&T向黑客支付了37万美元赎金

据《连线》杂志7月14日的报道，美国电信巨头AT&T 向黑客支付了一笔约37万美元的赎金，以确保被盗数据不被公开。该公司在上周宣称被黑客获取了约1.1亿人的通信记录数据。

5. 知名工具Trello被黑客攻击，泄露1500 万用户数据

近日，有黑客发布了与 Trello 账户相关的 1500 万个电子邮件地址，这些地址是今年 1 月被 API 收集到的。当时有一个名为「emo」的威胁行为者在一个流行的黑客论坛上出售 15 万个 Trello 会员的资料。

一周好文共读

1. 达梦（DM）数据库网络安全等级测评指南

本次测试环境为开发版（X86平台），主要为了探索开发出平时工作安全测评达梦数据库或加固达梦数据库时所需要命令，为测评人员以及加固人员提供参考。

2. 漏洞挖掘 | 分享几个白帽常用漏洞小技巧

在信息安全这个领域，找到并利用各种漏洞是我们这些安全研究员的日常工作。通过不断的探索和挖掘，我们可以发现并使用一些意想不到的小技巧，绕过现有的安全防护措施，比如WAF（Web应用防火墙）等。今天，我想和大家分享几个最近看到的有趣技巧，包括编码绕过、Cloudflare WAF绕过、XSS绕过技术和OS命令注入的实际案例。

3. 打破传统思维 | 另一视角下的SSRF

尽管长久以来，测试服务器端请求伪造（SSRF）漏洞时，多是为了探寻内网服务与端口，以此获取敏感数据或实现远程代码执行（RCE），但近期遇到的一些情况让我不得不重新思考这一漏洞的利用方式——即便面对的SSRF缺陷看似影响有限，没有传统的内网渗透场景。对于另类SSRF产生了新的想法，因此用这篇文章给大家分享。

省心工具