美国数百个新闻网站遭到供应链攻击并安装SocGholish；沃达丰意大利公司披露其经销商被黑导致的数据泄露事件

1、美国数百个新闻网站遭到供应链攻击并安装SocGholish

      媒体11月2日称，TA569团伙利用某媒体公司被入侵的基础设施，在美国250多家新闻媒体的网站上安装SocGholish JavaScript恶意软件框架（也称为FakeUpdates）。攻击者首先将恶意代码注入到网站加载的JavaScript文件中，该文件被用来安装SocGholish，它将通过伪造的更新提醒，把恶意软件payload伪装成虚假的浏览器更新文件（如Chromе.Uрdatе.zip、和Firefoх.Uрdatе.zip等）感染访问网站的用户。

https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/

2、研究团队发现数十个试图分发恶意软件W4SP的PyPI包

      Phylum 11月1日称其在PyPI注册表中发现了29个Python包，它们模仿流行的库，并在感染目标后分发窃取信息的恶意软件W4SP。Phylum研究人员透露，根据Pepy.tech的统计数据，这些软件包已被下载了超过5700次。此外，研究人员Hauke Lübbers发现了PyPI包pystile和threadings包含自称为GyruzPIP的恶意软件，该恶意软件基于一个开源项目evil-pip。Lübbers已将这些包报告给PyPI管理员。

https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack

3、沃达丰意大利公司披露其经销商被黑导致的数据泄露事件

      据11月2日报道，沃达丰意大利公司（Vodafone Italia）通知其客户关于经销商FourB SpA被黑导致的数据泄露事件。攻击发生在9月的第一周，泄露了用户的详细信息，如订阅信息、身份证件和联系方式等。目前，FourB已经关闭了对被入侵服务器的访问，并实施了更高级别的安全策略。2022年9月3日，自称KelvinSecurity团伙曾声称攻击了Vodafone Italia并窃取了295000个文件，总计310 GB的数据。当时，沃达丰回应称其公司内部IT系统并未遭到未经授权的访问，但将继续调查。尚不清楚该事件是否与此次披露的泄露事件有关。

https://www.bleepingcomputer.com/news/security/vodafone-italy-discloses-data-breach-after-reseller-hacked/

4、OPERA1ER团伙已从银行和电信公司窃取超过1100万美元

      据Group-IB 11月3日称，黑客团伙OPERA1ER利用现成的黑客工具，已从银行和电信服务提供商窃取了至少1100万美元。除了主要针对非洲的公司外，该团伙还攻击了阿根廷、巴拉圭和孟加拉国的组织。从2018年到2022年，黑客总共发起了超过35次成功的攻击，其中约三分之一是在2020年进行的。OPERA1ER利用鱼叉式钓鱼攻击获得初始访问权限，主要依靠开源工具、商品恶意软件以及Metasploit和Cobalt Strike等框架来入侵公司的服务器。

https://blog.group-ib.com/opera1er-apt

5、Lookout发布2022年美国政府机构威胁态势的分析报告

      11月2日，Lookout发布了关于2022年美国政府机构威胁态势的分析报告。该报告基于对2021年至2022年下半年的2亿台设备和1.75亿个应用程序进行分析，发现美国政府员工使用的Android手机中，近一半运行的是过时的操作系统版本。针对移动用户最常见的攻击是恶意软件的传播，约占75%，而凭证窃取则占剩余比例的大部分。2022年，Lookout监控的11名政府员工中有1人遭到钓鱼攻击。那些点击恶意链接并被警告的人中，57%没有再重复他们的错误，19%的人点击了两次，24%的人点击了三次以上。

https://www.lookout.com/form/threats-government-threat-report-lp

6、Deep Instinct发布2022年中期网络威胁态势的报告

      据媒体11月1日称，Deep Instinct发布了2022年中期网络威胁态势的报告。报告指出，RaaS团伙LockBit占2022年所有勒索攻击的44%，其次是Conti(23%)、Hive(21%)、Black Cat(7%)和Conti Splinters(5%)。随着微软在Office文件中默认禁用宏，使用文档的恶意软件作为载体的情况减少了，取而代之的是LNK、HTML和存档电子邮件附件。此外，报告还提到了像SpoolFool、Follina和DirtyPipe这样的漏洞突出了Windows和Linux系统的可利用性，表明每三到四个月被利用的漏洞数量就会激增。

https://www.infosecurity-magazine.com/news/lockbit-dominates-ransomware/

SQLiDetector

      检测基于错误的SQL注入。

https://github.com/eslam3kl/SQLiDetector

Get-AppLockerEventlog

      从win-event日志中解析所有事件通道，以将所有日志相关项提取到AppLocker。

https://github.com/RomaissaAdjailia/Get-AppLockerEventlog

BARK

      BloodHound攻击研究套件。

https://github.com/BloodHoundAD/BARK

微软推出'LockSmith'可解锁锁定的文件

https://www.bleepingcomputer.com/news/microsoft/new-windows-locksmith-powertoy-lets-you-free-locked-files/

加密货币平台Deribit被盗2800万美元

https://therecord.media/28-million-stolen-from-cryptocurrency-platform-deribit/

Teamviewer在用户报告连接问题后拉取更新

https://www.bleepingcomputer.com/news/software/teamviewer-pulls-update-after-users-report-connection-issues/

Microsoft对降低并购风险的安全提示

https://www.microsoft.com/en-us/security/blog/2022/11/02/microsoft-security-tips-for-mitigating-risk-in-mergers-and-acquisitions/

Gregor Samsa：利用Java的XML签名验证

https://googleprojectzero.blogspot.com/2022/11/gregor-samsa-exploiting-java-xml.html

服务器端攻击、公共云中的C&C等MDR案例

https://securelist.com/server-side-attacks-cc-in-public-clouds-mdr-cases/107826/

Google上GIMP.org的广告分发窃取信息的木马VIDAR

https://www.bleepingcomputer.com/news/security/google-ad-for-gimporg-served-info-stealing-malware-via-lookalike-site/

推荐阅读：