1、五月正式实施！一文带你看懂《关基保护要求》

2、Oracle多个产品高危漏洞

3、“AuKill”EDR 杀手级恶意软件滥用 Process Explorer 驱动程序

4、黑客勒索2万3千个MongoDB数据库，并威胁要与GDPR规范联系

5、“GhostToken”打开谷歌帐户导致永久感染

1、五月正式实施！一文带你看懂《关基保护要求》

  Tag：关键信息基础设施、保护

自2010年以色列制造“震网”病毒袭击伊朗核设施，直接造成伊朗20%离心机损毁以来，关键信息基础设施一直笼罩在网络攻击的阴影之下。尤其是近年来，在全球网络攻击威胁呈现出分布化、规模化、复杂化的趋势下，如何保障关键信息基础设施安全已经成为牵动国计民生的大事件。

https://www.freebuf.com/articles/neopoints/364168.html

2、五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》

  Tag：网络关键设备、公告、网络安全专用产品

近日，国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会共同发布《关于调整网络安全专用产品安全管理有关事项的公告》。

https://www.freebuf.com/news/363799.html

3、欧盟的网络团结法案：安全行动中心救援

  Tag：数字基础设施、网络法案

网络安全是欧盟认为重要的领域之一。随着NIS2指令的颁布，它已经在向前迈进，因为它的目标是加强整个联盟的网络复原力，以应对关键部门对数字化的日益依赖及其更多地受到网络威胁的影响。

https://www.welivesecurity.com/2023/04/19/eu-cyber-solidarity-act-security-operations-centers-rescue/

1、Oracle多个产品高危漏洞

  Tag：Oracle

Oracle发布了4月安全更新，本次更新共包含433个新安全补丁，涉及Oracle 和第三方组件中的漏洞。更新中包含49个针对 Oracle 融合中间件的安全补丁，其中 44个漏洞无需身份验证即可被远程利用。

https://www.oracle.com/security-alerts/cpuapr2023.html

2、Google Chrome V8类型混淆漏洞

  Tag：Chrome、CVE-2023-2033

Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html 

3、Vm2 沙箱逃逸漏洞

  Tag：CVE-2023-30547

VM2 沙箱逃逸漏洞(CVE-2023-30547)，在 vm2 的源代码转换器异常清理逻辑中存在沙箱逃逸漏洞，攻击者可绕过 handleException() 并泄漏未清理的主机异常，进而逃逸沙箱实现任意代码执行。

https://github.com/patriksimek/vm2/security/advisories/GHSA-ch3r-j5x3-6q2m

4、Google Chrome Skia整数溢出漏洞

  Tag：CVE-2023-2136

Google Chrome Skia整数溢出漏洞(CVE-2023-2136)存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html 

1、“AuKill”EDR 杀手级恶意软件滥用 Process Explorer 驱动程序

  Tag：Process Explorer

攻击者试图使用我们称为AuKill的新防御规避工具禁用 EDR 客户端。AuKill 工具滥用Microsoft 实用程序 Process Explorer 16.32 版使用的过时版本的驱动程序，在目标系统上部署后门或勒索软件之前禁用 EDR 进程。

https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/

2、Trigona 勒索软件攻击 MS-SQL 服务器

  Tag：Trigona、MS-SQL

AhnLab 安全紧急响应中心 (ASEC) 最近发现 Trigona 勒索软件被安装在管理不善的 MS-SQL 服务器上。Trigona 是一种相对较新的勒索软件，于 2022 年 10 月首次被发现，Unit 42 最近发布了一份基于 Trigona 与 CryLock 勒索软件之间相似性的报告。

https://asec.ahnlab.com/en/51343/

3、Vice Society 勒索软件团伙使用自定义构建的 Microsoft PowerShell (PS) 脚本从受害者网络中窃取数据

  Tag：Vice Society、PowerShell

Unit 42 团队发现Vice Society 勒索软件团伙使用自定义构建的Microsoft PowerShell (PS) 脚本从受害者网络中窃取数据。

https://unit42.paloaltonetworks.com/vice-society-ransomware-powershell/

4、使用 Adobe Acrobat Sign 分发恶意软件

  Tag：Acrobat Sign

滥用 Adobe Acrobat Sign 投递Redline 特洛伊木马变种恶意软件来窃取密码、加密钱包等信息。

https://blog.avast.com/adobe-acrobat-sign-malware#

1、黑客勒索2万3千个MongoDB数据库，并威胁要与GDPR规范联系

  Tag： MongoDB数据库、勒索

黑客入侵了22900个MongoDB数据库，备份并重组了相关数据内容，要求48小时内支付0.015比特币（约合140美元）来进行恢复。据悉，被入侵的数据库大约占所有MongoDB在线访问数据库的47％。

https://www.zdnet.com/article/hacker-ransoms-23k-mongodb-databases-and-threatens-to-contact-gdpr-authorities/

2、几十个美国新闻网站遭到浪费WastedLocker勒索软件攻击

  Tag：新闻网站、勒索

恶意公司团伙入侵了同一家公司拥有的数十个美国报纸网站，利用基于SocGholish的JavaScript的恶意框架显示的虚假软件更新警报，感染30多家美国主要私营公司的员工。

https://www.bleepingcomputer.com/news/security/dozens-of-us-news-sites-hacked-in-wastedlocker-ransomware-attacks/

3、Medibank数据泄露-您可以采取的保护自己的步骤

  Tag：Medibank、数据泄露

黑客在暗网上发布了另一批被盗健康记录——此前，漏洞可能会影响近800万澳大利亚Medibank客户，以及近200万国际客户。这些记录在10月份报告的澳大利亚最大的私人健康保险提供商之一Medibank的违规行为中被盗。鉴于澳大利亚人口近2600万，近三分之一的人口可能会受到影响。 

https://www.mcafee.com/blogs/security-news/the-medibank-data-breach-steps-you-can-take-to-protect-yourself/

4、研究人员在退役路由器上发现敏感的公司数据

  Tag：路由器、数据

根据 ESET 的数据，从配置数据来看，在二级市场上处置和出售的退役路由器中有 56% 包含敏感的公司数据。

https://www.helpnetsecurity.com/2023/04/19/decommissioned-routers-sensitive-corporate-data/

5、员工导致的美国 CFPB 重大数据泄露

  Tag：CFPB、数据泄露

美国政府保护金融领域消费者的机构消费者金融保护局 (CFPB) 宣布，一名员工将 256,000 名消费者的个人信息通过电子邮件发送到个人电子邮件帐户，从而构成重大违规行为。

https://www.darkreading.com/attacks-breaches/major-us-cfpb-data-breach-employee

1、“GhostToken”打开谷歌帐户导致永久感染

  Tag：谷歌云平台、GhostToken、永久感染

谷歌云平台如何处理OAuth令牌的一个错误为木马应用程序打开了大门，这些应用程序可以访问用户个人或企业Google Drives、照片、Gmail等中的任何内容。

https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection

2、发现针对新旧 iPhone 的全球间谍软件攻击

  Tag：新旧 iPhone、间谍软件

攻击者一直在针对全球的 iPhone 用户进行持续的 Pegasus 间谍软件攻击。研究人员发现，它们表明网络威胁行为者同时针对新漏洞和旧的、未更新的设备，以规避 Apple 的新预防措施。

https://www.darkreading.com/mobile/global-spyware-attacks-spotted-new-old-iphones-global-attacks

3、QBot 通过 PDF-WSF 组合扩展初始访问恶意软件策略

  Tag：特洛伊木马、PDF

最近观察到 QBot 特洛伊木马攻击激增，通过以各种语言（包括英语、德语、意大利语和法语）编写的恶意电子邮件进行传播。这些电子邮件是使用攻击者获得的真实商业信件制作的，并敦促收件人打开附加的 PDF 文件，该文件包含多层混淆，使其恶意性不易被安全工具检测到。

https://www.darkreading.com/remote-workforce/qbot-initial-access-attack-malware-pdf-wsf-combo

4、研究人员发现首个针对 macOS 的主要勒索软件

  Tag：LockBit、macOS

臭名昭著的 LockBit 勒索软件团伙开发了一个针对 macOS 设备的恶意软件版本——这是大型勒索软件团伙首次涉足 Apple 领域。

https://www.darkreading.com/remote-workforce/researchers-discover-first-ever-major-ransomware-targeting-macos

5、ChatGPT 等人工智能工具有望助长 BEC 攻击

  Tag：ChatGPT、BEC攻击

据 Armorblox 称，在过去一年中看到的所有 BEC 攻击中，57% 依靠语言作为主要攻击媒介，让他们出现在毫无戒心的员工面前。

https://www.helpnetsecurity.com/2023/04/17/bec-attacks-language-attack-vector/

1、绕过 Windows Defender（10 种方法）

  Tag：Windows Defender

解释 10 种方法/技术来绕过具有最新 Windows Defender intel 的完全更新的 Windows 系统, 以执行不受限制的代码。

https://www.fo-sec.com/articles/10-defender-bypass-methods

2、介绍如何使用 LoRa 通过公共 LoRa 基础设施创建侧信道

  Tag：LoRa

LoRa是一种低功率无线电设备，可以远距离发送小数据包。LoRa 的功能包括媒体访问控制和加密传输。LoRa 目前用于提供远程或不方便位置设备的状态和控制，例如风车、太阳能电池板和农场浇水系统。通过使用 LoRa 网络服务中定义的网关和端点，可以创建一种功能性方法来发出命令并从放置的投递箱接收数据。

https://labs.nettitude.com/blog/using-lora-as-a-side-channel/

3、U-BOOT 是什么, 为什么从攻击的角度来看它可能很有趣, 以及与这个流行的 bootloader 相关的攻击面

  Tag：U-BOOT

U-Boot 是物联网世界中经常使用的非常常见的引导加载程序。它可能安装在您家中的许多设备中（婴儿电话、相机、智能设备……）。此引导加载程序打开了很多可能导致设备因实施不当而受到损害的可能性。

https://www.synacktiv.com/publications/i-hack-u-boot.html

4、GCP 渗透测试指南

  Tag：GCP

针对 Google 的云平台 GCP 执行渗透测试的方法。

https://slashparity.com/?p=938