• Microsoft Outlook 特权提升漏洞
  

• DEV-1101 使用开源网络钓鱼工具包支持大量 AiTM 活动

• 加密货币交易所 Fiatusdt 泄露了大量用户 KYC 数据

• CISA 紧急警告：Adobe ColdFusion 漏洞被用作0day漏洞

• 三星 Exynos 芯片组中的基带 RCE 缺陷使设备面临远程黑客攻击

1、Microsoft Outlook 特权提升漏洞

  Tag：CVE-2023-23397

CVE-2023-23397是一个Microsoft Outlook提权漏洞，根据Microsoft安全资源中心（MSRC）的说法，评估漏洞已经被俄罗斯的威胁分子用于针对欧洲政府、交通、能源和军事部门的定向攻击。该漏洞通过向易受攻击的Outlook版本发送恶意电子邮件。当电子邮件被服务器处理时，可以在不需要用户交互的情况下建立与攻击者控制的设备的连接，并传输Windows账户的Net-NTLMv2哈希。该漏洞CVSSv3评分为9.8，并且已经在野外被利用。

https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/

2、互联网控制消息协议 (ICMP) 远程代码执行漏洞

  Tag：CVE-2023-23415

CVE-2023-23415是一个影响Windows操作系统的远程代码执行（RCE）漏洞，被赋予了9.8的CVSSv3评分。这个漏洞存在于操作系统处理ICMP（Internet Control Message Protocol）数据包的方式中，当一个运行在易受攻击的Windows主机上的应用程序绑定到一个原始套接字时，攻击者就可以利用这个漏洞以SYSTEM级别的权限执行远程代码。

https://nvd.nist.gov/vuln/detail/CVE-2023-23415

3、可信平台模块 (TPM) 2.0中的漏洞参考实现代码

  Tag：CVE-2023-1017、CVE-2023-1018

文章介绍了两个在TPM 2.0参考实现代码中发现的漏洞，分别是一个越界写（CVE-2023-1017）和一个越界读（CVE-2023-1018），影响了多个TPM 2.0软件实现和硬件TPM。这些漏洞可以通过发送恶意的TPM 2.0命令来触发，可能导致信息泄露或远程代码执行。文章详细分析了漏洞的原理和利用方法，并提供了一些验证和修复的信息。

https://blog.quarkslab.com/vulnerabilities-in-the-tpm-20-reference-implementation-code.html

4、Android 应用程序中的错误配置

  Tag：Android、令牌窃取

文章介绍了一种利用深度链接漏洞来窃取其他用户访问令牌的方法。作者分析了一个捐款和筹款应用程序的APK文件，发现了一个导出的活动，可以接收任意URL作为参数，并将其传递给WebView组件。作者利用这个漏洞，构造了一个恶意URL，包含了自己的网站地址和JavaScript代码，然后通过短信或电子邮件发送给目标用户。当目标用户点击这个URL时，应用程序会打开WebView，并加载作者的网站。作者的网站上有一段JavaScript代码，可以获取目标用户在应用程序中存储的访问令牌，并将其发送回作者。作者通过这种方式，成功地窃取了多个用户的访问令牌，并能够以他们的身份登录应用程序。

https://infosecwriteups.com/how-i-leak-others-access-token-by-exploiting-evil-deeplink-flaw-a0a566677639

1、YoroTrooper：一支针对CIS国家、土耳其和欧洲机构的新型间谍组织

  Tag：APT、YoroTrooper、网络间谍

Cisco Talos发现了一个名为YoroTrooper的黑客组织，该组织针对独联体国家、土耳其和欧洲的一些政府和能源机构进行了多次间谍活动。通过发送带有恶意文件和文档的邮件，获取受害者的账号密码、浏览器记录、系统信息和屏幕截图。他们可能是说俄语的人，目的是为了间谍活动。

https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe/

2、DEV-1101 使用开源网络钓鱼工具包支持大量 AiTM 活动

  Tag：钓鱼、APT

DEV-1101，一个开发和销售AiTM钓鱼工具包的网络犯罪组织。AiTM钓鱼工具包可以通过反向代理功能绕过多因素身份验证（MFA），并让攻击者通过Telegram机器人管理他们的活动。该工具包是开源的，每月收费300美元，VIP许可证为1000美元。

https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit/

3、APT 组织 Dark Pink与KamiKakaBot

  Tag：网络攻击、APT

APT 组织 Dark Pink 与一系列针对东南亚国家政府和军事实体的新攻击有关, 该攻击使用名为 KamiKakaBot 的恶意软件。

https://blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries

4、对 CatB 勒索软件的技术分析

  Tag： 勒索软件、凭据窃取

对 CatB 勒索软件及其对合法 MSDTC 服务的滥用进行了技术分析, 描述了其规避策略、加密行为以及窃取凭据和浏览器数据的尝试。

https://www.sentinelone.com/blog/decrypting-catb-ransomware-analyzing-their-latest-attack-methods/

1、法院称 Facebook 非法处理用户数据

  Tag：Facebook、数据泄露

阿姆斯特丹法院裁定，在荷兰数据隐私保护组织 (DPS) 发起的案件中，Facebook 非法处理了用户数据，该基金会代表荷兰侵犯隐私的受害者

https://www.malwarebytes.com/blog/news/2023/03/facebook-illegally-processed-user-data-says-court

2、如果开发者不听从要求，黑客威胁要泄露 STALKER 2 资产

  Tag：乌克兰、STALKER 2、数据泄露、勒索

乌克兰游戏开发商 GSC Game World 宣布遭到俄罗斯黑客入侵，他们窃取了与期待已久的游戏 STALKER 2：切尔诺贝利之心相关的资产。 

https://www.malwarebytes.com/blog/news/2023/03/hackers-threaten-to-leak-stalker-2-assets-if-devs-don8217t-heed-demands

3、加密货币交易所 Fiatusdt 泄露了大量用户 KYC 数据

  Tag：加密货币、Fiatusdt、 KYC

在最近的新闻中，Website Planet 的 Jeremiah Fowler 发现了一个属于在线货币兑换平台 Fiatusdt 的暴露数据库。该数据库包含加密货币销售记录，包括客户姓名、银行帐号、买卖记录和其他敏感信息。

https://www.hackread.com/crypto-exchange-fiatusdt-leaked-kyc-data/

4、LockBit 勒索软件团伙声称窃取了 Maximum Industries 的 SpaceX 机密数据

  Tag：LockBit、SpaceX、勒索软件

臭名昭著的 LockBit 勒索软件声称窃取了 3,000 张“SpaceX 工程师认证的图纸”，他们计划在一周内通过拍卖将这些图纸“卖给其他制造商”，除非他们收到赎金。

https://www.hackread.com/lockbit-ransomware-spacex-contractor-breach/

1、APT 攻击者利用政府 IIS 服务器中的 Telerik 漏洞

  Tag：APT、IIS、Telerik 

根据美国 CISA（网络安全和基础设施安全局）、FBI（联邦调查局）和 MS-ISAC（多国信息共享和分析中心）的联合咨询，出于经济动机的黑客和 APT 威胁参与者正在利用一个三年前的 Telerik 漏洞。

https://www.hackread.com/apt-telerik-vulnerability-iis-server-cisa/

2、三星 Exynos 芯片组中的基带 RCE 缺陷使设备面临远程黑客攻击

  Tag：三星、Exynos、RCE

谷歌的黑客在三星的 Exynos 芯片组中发现了多个缺陷，这些缺陷使设备在没有用户交互的情况下被远程黑客攻击。

https://securityaffairs.com/143582/hacking/baseband-flaws-samsung-exynos.html

3、CISA 紧急警告：Adobe ColdFusion 漏洞被用作0day漏洞

  Tag：Adobe ColdFusion、0day、 CVE-2023-26360

CISA 更新了其被积极利用的安全漏洞列表，包括影响 Adobe ColdFusion 2021 和 2018 版本的严重漏洞。

https://gbhackers.com/adobe-coldfusion-bug/

4、波兰情报部门捣毁了一个俄罗斯间谍网络

  Tag：波兰、俄罗斯、间谍、乌克兰

波兰情报部门捣毁了一个俄罗斯间谍小组，该小组收集有关通过欧盟成员国向乌克兰运送军事装备的信息。

https://securityaffairs.com/143564/intelligence/polish-intelligence-russian-spies.html

5、威胁行为者使用 AI 生成的 Youtube 视频传播恶意软件

  Tag：AI、Youtube

CloudSEK 的网络安全分析师最近断言，自 2022 年 11 月以来，每月包含 Vidar、RedLine 和Raccoon等窃取恶意软件链接的 YouTube 视频增加了 200-300%。

https://gbhackers.com/threat-actors-spread-stealer-malware/

6、YoroTrooper 从政府和能源组织窃取凭证和信息

  Tag：YoroTrooper、窃取信息

作为至少从 2022 年 6 月以来一直活跃的网络间谍活动的一部分，一个名为YoroTrooper的先前未被记录的威胁行为者一直以欧洲的政府、能源和国际组织为目标。

https://thehackernews.com/2023/03/yorotrooper-stealing-credentials-and.html

1、如何利用威胁情报ETW提供者进行安全防御

  Tag：ETW、威胁情报、安全分析

文章介绍了如何利用威胁情报ETW提供者进行安全防御的过程和方法。作者首先解释了ETW的基本概念和功能，然后通过反汇编ntoskrnl.exe文件，追踪了ETW提供者的注册和事件写入的过程。作者以写入进程内存为例，展示了如何找到对应的事件ID和关键字掩码，以及如何分析事件的数据结构。作者认为，理解ETW提供者的工作原理对于防御安全研究者和推动厂商使用这些数据有很大的帮助。

https://posts.specterops.io/uncovering-windows-events-b4b9db7eac54

2、软件供应链安全的最佳实践：SLSA框架的使用情况调查

  Tag：软件供应链安全、SLSA框架、容器镜像

文章介绍了一项关于软件供应链安全的调查，该调查由Chainguard、Eclipse Foundation、Rust Foundation和OpenSSF联合进行，旨在了解软件供应链安全的最佳实践是否被广泛采用，以及采用的难易程度和效果如何。调查基于SLSA（Supply-chain Levels for Software Artifacts）框架，涉及十种不同的软件供应链安全措施，包括提供溯源信息、使用集中化构建服务、进行容器漏洞扫描等。调查结果显示，一些SLSA相关的措施已经得到了相当程度的普及和认可，但也存在一些难点和挑战，例如构建无环境依赖和可复现的镜像、减少容器镜像中不必要的组件、提高SBOM（Software Bill of Materials）的实用性等。文章还介绍了一些可以帮助提高软件供应链安全的工具和资源，例如Sigstore、Jbom和Wolfi Linux。

https://www.i-programmer.info/news/149-security/16161-surveying-software-supply-chain-security.html

3、shellcode持久化攻击

  Tag：shellcode、红队

通过在用户每次尝试使用上下文菜单时执行 shellcode 来将此操作武器化以实现持久性。

https://pentestlab.blog/2023/03/13/persistence-context-menu/

4、智能合约安全: 探索常见漏洞

  Tag：智能合约、安全性、区块链

文章介绍了智能合约的安全性问题，以及一些常见的漏洞和攻击方式。智能合约是基于区块链技术的自动执行的代码，它们可以用来实现各种应用和服务，如去中心化金融、数字身份、供应链管理等。然而，智能合约也面临着很多安全挑战，因为它们一旦部署就很难修改或撤销，而且可能涉及大量的资金和数据。文章分析了几个典型的智能合约漏洞和攻击案例，如重入攻击、整数溢出、逻辑错误等，并给出了一些防范和修复的建议。文章最后总结了智能合约安全性的重要性和未来的发展方向。

https://kernelpanic.cryptid.fr/en/blog/nonsense-mayhem-samesite-cors-and-csrf