01

01

近日，安全研究人员监测发现隶属于俄罗斯联邦安全局(FSB)的APT组织Gamaredon在针对乌克兰实体的攻击中使用名为LitterDrifter的USB传播型恶意程序，对乌目标设备实施了入侵。经对LitterDrifter恶意程序分析发现，该恶意程序与赛门铁克2023年6月披露的基于PowerShell的USB传播型恶意程序变种有关，传播器模块用VBS编写，其功能是负责将恶意程序中的隐藏文件通过USB驱动器进行分发。此外，该恶意程序利用域名代替IP地址作为C2服务器的实际通联地址。该APT组织近期攻击活动较为活跃，攻击方式不断更新迭代，针对特定目标实施大规模数据收集，并向受控设备部署LitterDrifter恶意程序，以实现对目标设备的持久化控制。

02

微软近期发布报告称，具有朝鲜背景的APT组织Diamond Sleet入侵了中国台湾多媒体软件公司讯连科技，并对其生产的某款软件安装程序进行木马化，而后向全球潜在受害者推送该恶意软件，以实施供应链攻击。经分析，该木马程序为LambLoad（恶意软件下载器和加载器），检测设备上是否存在FireEye、CrowdStrike或Tanium等安全软件，如果存在，该木马程序将继续运行，但不执行捆绑的恶意代码；如果不存在，该木马程序将与三个C2服务器中的任意一个进行连接，以调用隐藏在PNG文件中的第二阶段有效负载。

03

近日，安全研究人员监测发现APT组织APT-C-35（肚脑虫）对巴基斯坦目标实施网络攻击等情况。攻击活动中，该APT组织使用两种不同手法入侵了目标用户的设备：其一，诱使用户打开带有漏洞的inp文档。用户打开后，该文档可在%UserProfile%\AppData\Local\下释放Remcos加载器，该加载器被启动后，将加载商业远控Remcos并接受控制指令；其二，诱使用户打开恶意压缩包中的lnk文件。用户打开后，该文件可从远端服务器上下载触发第二阶段攻击载荷，而后将从远端服务器上下载商业远控Remcos最终有效载荷，与C2服务器建立通联关系并接收执行控制指令，以达到对受控设备持久化远控的目的。

02

01

02

近日，美国会众议院威斯康辛州共和党籍议员麦克·加拉格（Mike Gallagher，R-Wis.）和加利福尼亚州民主党籍议员罗·肯纳（Ro Khanna，D-Calif.）共同提出《五国人工智能法案》（Five AIs Act），以进一步巩固美国及其盟友在AI军事及情报领域的对华科技优势。法案要求，由美国防部长和国家情报总监牵头组建将存续至2028年9月30日的美英加澳新五国“五眼战略AI工作组”（Five AIs Strategic Artificial Intelligence Working Group），统筹：测评与采购先进AI系统、推动针对情报共享与战场空间态势感知的AI互操作性解决方案发展、编制针对五国联合研发测评和部署AI系统的共享战略、落实技术道德框架以加速AI技术发展、运用商业AI技术来促进五国防务部门和情报机构的合作深度这五项工作。此外，该法案除要求在通过后的90日内，成立“五眼战略AI工作组”、并指派美国防部一名军职或文职官员主持该工作组的相关工作外，还特别提出上述AI工作组应将“通过包括但不限于试验、测试、评估等手段识别可推进和加速面向情报共享、战场空间态势感知以及其他秘密行动支持之先进AI系统的可互操作性”作为其重点工作，同时鼓励“五眼情报监管与审查委员会”（Five Eyes Intelligence Oversight and Review Council，FIORC）成员积极参加相关工作。加拉格在周二表示，《五国人工智能法案》是一份得到两党支持、旨在确保AI技术在具有共同价值观之五眼联盟成员国主持下发展、测评并主导的共识法案；肯纳则表示，这一法案将确保美国在21世纪内继续保持领先地位，并与最亲密的四个盟友通力合作掌握AI的优势并应对未来潜在挑战。

03

近日，微软公司负责安全、合规、身份等部门的副总裁Vasu Jakkal在Ignite大会上，发布了一系列面向AI时代的安全产品，比如：首款集成Security Copilot的统一安全运营平台；数据安全、身份、设备管理等领域产品全面集成Security Copilot，包括Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview等；通过Defender、Purview等产品保障人工智能的使用安全等。微软的新一代生成式人工智能解决方案Security Copilot，融合了公司大规模数据优势和端到端安全性，全部建立在“零信任”原则之上，形成了一种保护的良性循环，改变了数字威胁格局的不对称性，并在面向AI时代中支持安全团队。同时，将Microsoft Sentinel、Microsoft Defender XDR（之前称为Microsoft 365 Defender）和Security Copilot结合在一起，使安全分析人员拥有了统一的事件体验，不仅使分类工作得到简化，而且获得了完整的端到端视图，以展现跨数字资产的威胁。使用生成式人工智能加持的自动化规则和工作手册，能够减轻各级分析人员的工作压力，并可做到快速地协调响应。此外，通过统一的数据搜索方式，使分析人员能够在一个地方查询所有的SIEM和XDR数据，从而发现网络威胁并采取适当的应对措施。

04

近日，安全研究人员在互联网上发现一个属于越南邮政公司的开放式Kibana服务器实例（用于数据搜索和分析的可视化仪表盘，帮助企业处理大量数据），外部人员可以访问该公司的安全日志和员工电子邮件等，这些敏感数据如果被恶意行为者访问，可能会带来麻烦。据了解，该公司是为越南政府提供邮政服务的公司，同时还提供金融、人寿和非人寿保险服务。该公司成立于2005年，现有员工超过7万人。数据库发生泄露时，数据存储库中包含员工姓名、电子邮件等信息以及2.26亿条事件日志，总共1.2TB的数据，且这些数据仍在实时更新中。这些日志主要来源于扩展检测和响应（XDR）、安全信息和事件管理（SIEM）等网络安全软件的监测记录。据了解，事件日志对潜在的攻击者来说非常有价值，有助于他们进行网络、用户和服务的枚举和跟踪。据外媒透露，该数据存储库2023年7月8日就可被外部访问，10月6日发现后，越南邮政公司撤销了公开访问权限。

05

近日，美国加利福尼亚州长滩市遭到攻击，关闭了部分IT系统以防止攻击传播。攻击发生于11月14日，公共事业缴费等部分在线服务受到影响，但未影响紧急服务。截至上周五，该市预计可能需要几天的时间进行恢复。目前，长滩市已宣布进入紧急状态，攻击事件仍在调查中，尚不清楚攻击类型以及是否存在数据泄露，也没有攻击者声称对此事负责。

06

近日，负责巴黎及周边900万人污水处理工作的机构遭到黑客网络攻击。巴黎都市区省际净水联合会（SIAAP）负责法国四个省总长约275英里的污水管道管理工作。11月17日，该机构表示，遭受黑客网络攻击并向司法警察和国家信息与自由委员会（CNIL）提出申诉。官员们发表声明称，他们已经优先采取措施，确保“法兰西岛居民享受的公共卫生服务不会中断。”同时，该声明还附带了一项紧急命令，授权该机构官员可聘请外部网络安全公司，并购买恢复或还原系统所需的任何设备，以便保障他们继续工作。

07

近日，加拿大当局披露了一起数据泄露事件，涉及现任和前任公共服务部门的员工和加拿大皇家骑警及武装部队成员。经研判确定，为员工提供搬迁服务的Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation & Moving Services是此次数据泄露事件的源头，泄露数据包括自1999年以来向这些公司提供的个人和财务信息。10月6日，勒索团伙LockBit将SIRVA添加到其网站的数据泄露名单上，并于11月19日公开了被盗数据，而BGRS网站自9月29日起一直处于离线状态。

08

勒索团伙Rhysida将大英图书馆添加到其Tor泄露网站。该团伙声称窃取了大量“令人印象深刻的数据”，并以20 BTC的价格进行拍卖。Rhysida计划将这些数据卖给唯一的买家，并留出7天的时间。攻击发生于10月28日，导致大英图书馆IT系统持续中断，并影响了在线系统、服务和Wi-Fi等。11月20日，大英图书馆发帖证实了其人力资源文件被盗的消息，并提醒用户重置密码以防万一，同时还表示预计在未来几周内恢复许多服务，但部分服务可能会持续很长一段时间才能恢复。

09

用户名为SiegedSec的攻击者在黑客论坛中称其窃取了美国爱达荷国家实验室（INL）的数据，并在黑客论坛和Telegram频道中公开了窃取的数据，且不愿与受害者进行谈判或要求赎金。SiegedSec泄露的数据包括全名、出生日期、电子邮件地址、电话号码、社会安全号码（SSN）、居住地址、就业信息等。在Telegram频道中，SiegedSec还通过共享INL内部用于文档访问和公告创建的工具的截图以作为其入侵成功的证据。爱达荷国家实验室确认其遭受网络攻击，且此次攻击影响了与人力资源相关的系统服务器。

03

01

CrushFTP是一款支持FTP、FTPS、SFTP、HTTP、HTTPS等协议的跨平台FTP服务器软件。近日，安全研究人员发现该软件存在远程代码执行漏洞（CVE-2023-43177），是由CrushFTP 解析AS2数据传输协议的请求标头时存在缺陷所导致，允许攻击者利用 AS2 标头解析逻辑控制用户会话属性，使得能够读取和删除文件，从而可能控制系统或导致代码执行。漏洞影响CrushFTP < 10.5.1等版本，目前用户可通过版本升级修复上述漏洞。

02

Google Chrome是由Google公司开发的网页浏览器。近日，安全研究人员发现该浏览器存在信息泄露漏洞（CVE-2023-4357），是由浏览器对XML中不受信任输入数据验证不充分所导致，允许攻击者通过精心设计的 HTML 页面绕过文件访问限制。漏洞影响Google:Chrome< 116.0.5845.96等版本，目前用户可通过版本升级修复上述漏洞。

03

近日，安全研究人员发现Fortinet公司的FortiSIEM服务器存在系统命令注入漏洞（CVE-2023-36553），是由服务器使用不同特殊组件进行调配时存在缺陷所导致，允许未经身份验证的攻击者向目标设备发送特制API请求的方式，远程执行任意指令。漏洞影响 5.4.0、5.3.0 至 5.3.3、5.2.5 至 5.2.8等版本，目前用户可通过版本升级修复上述漏洞。

04

近日，安全研究人员发现用友NC Cloud存在任意文件上传漏洞。该漏洞位于NC Cloud uploadChunk组件中，允许攻击者向目标设备上传任意文件。目前该漏洞PoC已在互联网公开，用户通过使用防火墙或其他网络隔离措施，限制相应设备网络访问权限的方式降低安全风险。

04

01

近日，8Base黑客团伙使用勒索软件Phobos的变体和其它公开可用的工具实施攻击的活动有所增加，且大多数Phobos变体由后门SmokeLoader进行分发。在8Base活动中，该黑客团伙在加密payload过程中将核心功能组件嵌入Phobos勒索软件，并加载到SmokeLoader进程的内存中。经分析发现，Phobos勒索软件能够加密本地驱动器和网络共享中的文件，可对低于1.5MB的文件进行完全加密，对高于此阈值的文件进行部分加密，遇到较大的文件将在整个文件中加密较小的数据块，并将这些块的列表与文件末尾的密钥一起保存在元数据中，以提高加密速度。此外，该勒索软件还包括如下功能：一是能够扫描本地网络中的网络共享；二是通过启动文件夹和运行注册表项实现持久性；三是生成要加密的扩展名和文件夹的目标列表；四是创建进程看门狗线程以终止可能保持目标文件打开的进程；五是禁用系统恢复、备份和卷影副本以及Windows防火墙；六是利用AES函数和硬编码密钥进行数据加密。同时，该勒索软件内部存在调试文件，包括：安全软件的检测、操作系统语种检测等其他功能。

02

近日，Unit 42发布了在8月份观察到三起Stately Taurus攻击活动分析报告。第一起攻击活动发生在8月1日，研究人员发现了托管在Google Drive上的Stately Taurus，且恶意软件包配置为ZIP文件230728 meeting minutes.zip。第二起攻击活动发生在8月3日，恶意软件包名为NUG'sForeignPolicyStrategy.zip。第三起攻击活动发生在8月16日，在攻击流程上与第一起活动相同，但其ZIP和EXE的文件名是Labor Statement.zip。上述三起攻击活动在受控设备上植入的恶意程序为Strategy.exe、SmadavProtect32.exe、Labor Statement.exe等，在成功部署后，相关载荷将伪装成微软公司的合法流量，并与C2服务器建立通联关系，进而远程执行任意攻击指令，并收集受控设备的敏感信息。

03

研究人员对Lumma窃密木马4.0版本进行分析，发现该窃密木马在规避检测及对抗分析方面使用了新的技术手段。这些手段包括控制流平坦化混淆、鼠标活动检测、XOR加密字符串、动态配置文件以及在构建时进行加密。其中，Lumma窃密木马在对鼠标活动进行检测时，使用GetCursor跟踪主机上鼠标光标的位置，并在50毫秒的间隔内记录5个不同位置，然后采用三角函数对这些位置进行分析，对移动形成的角度和矢量大小进行计算，如果计算出的矢量角度低于45度，Lumma窃密木马会认为这些动作不是由软件模拟的，将继续运行；如果角度大于45度，该恶意软件会停止所有恶意行为，但会继续监视鼠标移动，直到检测到类似人类的行为。