Okta透露其GitHub存储库遭到黑客攻击源代码泄露；德国跨国工业公司ThyssenKrupp AG遭到网络攻击

1、Okta透露其GitHub存储库遭到黑客攻击源代码泄露

      据12月21日报道，身份验证服务和身份与访问管理(IAM)解决方案的提供商Okta表示，其私人GitHub存储库在本月遭到黑客攻击。经调查，黑客已经复制Okta代码存储库，但并未影响Okta服务或客户数据。该事件似乎仅与Okta Workforce Identity Cloud(WIC)代码存储库有关，与Auth0 Customer Identity Cloud产品无关。今年9月，Okta旗下的Auth0也曾发生了类似的数据泄露事件。

https://www.bleepingcomputer.com/news/security/okta-says-its-github-account-hacked-source-code-stolen/

2、德国跨国工业公司ThyssenKrupp AG遭到网络攻击

      媒体12月21日报道，德国跨国工业工程和钢铁生产公司ThyssenKrupp透露其材料服务部和公司总部遭到网络攻击。目前，该公司尚未披露此次攻击的类型，也没有黑客团伙声称对此次事负责，但公司发言人宣称没有数据泄露的迹象。这并不是该公司第一次遭到攻击，2016年，据称东南亚的黑客团伙窃取其公司机密；2020年12月，ThyssenKrupp Materials集团公司遭到NetWalker勒索团伙的攻击。

https://securityaffairs.co/wordpress/139870/hacking/thyssenkrupp-targeted-cyberattack.html

3、研究团队称Raspberry Robin近期针对电信和政府组织

      TrendMicro在12月20日发布报告称发现了Raspberry Robin在近期针对电信和政府组织的攻击活动。恶意软件通过恶意USB驱动器进行分发，当目标插入USB驱动器并双击其中的.LNK文件时，设备就会感染恶意软件。然后会滥用合法的MSIExec.exe可执行文件，下载一个恶意的MSI安装程序，安装Raspberry Robin的payload。此外，该恶意软件尝试通过虚假的payload来迷惑研究人员，以及在检测到它正在沙箱和调试工具中运行时绕过检测。

https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html

4、新型Android木马BrasDex被用于针对巴西的攻击活动

      研究团队在12月15日披露了针对巴西金融机构的新型Android木马BrasDex。BrasDex具有一个复杂的键盘记录系统，以及一个强大的自动传输系统（ATS）引擎。该活动已持续一年多，它最初冒充Android设置应用并针对巴西银行应用，在最新的活动中，它开始冒充一个特定的银行应用程序（Banco Santander BR）。分析发现，用于BrasDex的C2基础设施也被用来控制Casbaneiro，后者主要针对巴西和墨西哥的银行和加密货币服务。

https://www.threatfabric.com/blogs/brasdex-a-new-brazilian-ats-malware.html

5、两男子因篡改肯尼迪国际机场的出租车调度系统被捕

      媒体12月20日称，两名男子因入侵并篡改肯尼迪国际机场的出租车调度系统被捕，并面临最高10年的监禁。根据起诉书，现年48岁的Daniel Abayev和Peter Leyman早在2019年9月就与俄罗斯黑客合谋入侵调度系统，允许司机付费插队。同谋者被指控试图以各种方式入侵该系统，包括贿赂某人通过U盘安装恶意软件，使用Wi-Fi连接进入该系统，以及偷窃连接到该平台的平板电脑。检察官称，他们每天策划多达1000次加速插队，其中100000美元的收益被汇给了俄罗斯的同谋。

https://therecord.media/russian-hackers-accessed-jfk-airport-taxi-software-port-authority/

6、Unit 42发布关于Gamaredon的攻击活动的分析报告

      12月20日，Unit 42发布了关于俄罗斯团伙Gamaredon攻击活动的分析报告。Unit 42对该团伙的持续监控发现了500多个新域和200个恶意软件样本，并发现其策略在过去10个月中发生了多次转变。在审查该团伙的IoC期间，研究人员发现了它在8月30日试图攻击北约成员国内一家大型石油精炼公司的活动，但是没有成功。此外，该团伙还使用Telegram页面查找C2服务器，并利用快速通量DNS在短时间内轮换多个IP地址。 

https://unit42.paloaltonetworks.com/trident-ursa/

AzureHound

      适用于Microsoft Azure的BloodHound数据收集器。

https://github.com/BloodHoundAD/AzureHound

DriverBuddyReloaded

      自动执行一些繁琐的Windows内核驱动程序逆向工程任务。

https://github.com/VoidSec/DriverBuddyReloaded

微软推出Windows Server Hyper-V VM问题的紧急修复

https://www.bleepingcomputer.com/news/microsoft/microsoft-pushes-emergency-fix-for-windows-server-hyper-v-vm-issues/

2023年的5个端点管理预测

https://www.microsoft.com/en-us/security/blog/2022/12/20/microsoft-intune-5-endpoint-management-predictions-for-2023/

威胁焦点：Excel中的XLLing

https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/

弹性IP劫持 - AWS中的一种新攻击媒介

https://www.mitiga.io/blog/elastic-ip-hijacking-a-new-attack-vector-in-aws

勒索团伙使用新Exchange漏洞OWASSRF感染服务器

https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-new-microsoft-exchange-exploit-to-breach-servers/

KmsdBot僵尸网络疑被用作DDoS出租服务

https://thehackernews.com/2022/12/kmsdbot-botnet-suspected-of-being-used.html

微软将于1月关闭Exchange Online基本身份验证

https://www.bleepingcomputer.com/news/microsoft/microsoft-will-turn-off-exchange-online-basic-auth-in-january/

Apple准备关闭Dark Sky

https://news.softpedia.com/news/apple-is-getting-ready-to-shut-down-dark-sky-536691.shtml

推荐阅读：