据Cybersecuritynews消息，研究人员发现一种复杂的攻击技术，该技术利用 Windows Defender 应用控制（WDAC）来禁用 Windows 机器上的端点检测和响应（EDR）传感器。WDAC 本是用于让组织精细管控 Windows 设备可执行代码的技术，却遭恶意人员利用。攻击者凭借管理权限制定并部署特制 WDAC 政策，能在系统启动时阻止 EDR 传感器加载。攻击分政策放置、重启要求、禁用 EDR 三个主要阶段，还有名为 “Krueger” 的概念验证工具出现。

据Cybersecuritynews消息，腾讯云鼎安全实验室发现Apache Traffic Control存在严重的 SQL 注入漏洞（CVE-2024-45387），影响 8.0.0 至 8.0.1 版本。该漏洞存在于 Traffic Ops 组件，特权用户可通过向特定端点发送特制 PUT 请求执行任意 SQL 命令，可能导致数据库敏感信息泄露、数据被篡改或删除、权限提升以及基础设施被完全攻陷等严重后果。Apache 软件基金会已在 8.0.2 版本发布补丁，敦促受影响用户立即升级，无法立即更新的用户可采取限制相关用户访问、监控日志等临时措施。

据Infosecurity-magazine消息，，安全研究人员发现暗网存在大规模身份窃取行动后，呼吁面向客户的企业改进验证检查。某地下组织收集大量身份文件及对应面部图像，试图蒙混 “了解你的客户”（KYC）验证。iProov 称，这些图像和文件可能是数据主体为获取报酬自愿交出的，这给使用自拍验证客户身份的组织带来额外挑战。该组织似乎在拉丁美洲活动，当地警方已获通知，且东欧也有类似情况。此外，Entrust公司 曾提醒，AI 驱动的深度伪造已占通过动态生物识别验证诈骗尝试的四分之一。

据Infosecurity-magazine消息，安全研究人员发现，针对热门开源包的一系列高调入侵事件，凸显恶意代码渗入常用软件工具的风险在增加。威胁行为者在 rspack（JavaScript 打包工具）和 vant（移动端网页应用的 Vue UI 库）相关包中植入加密挖矿恶意软件，二者每周在 npm 上有数十万下载量。受影响版本已被替换或修复，此类事件是开源软件遭入侵大趋势一部分，此前也发生过多起类似攻击。

据Hackread消息，CloudSEK 的 TRIAD 团队于前日发现热门云开发测试平台Postman 工作区存在关键安全漏洞及风险，在为期一年的调查中，发现超 3 万个可公开访问的工作区泄露第三方 API 相关敏感信息，如访问令牌、刷新令牌和 API 密钥等，涉及众多行业组织，影响 GitHub、Slack、Salesforce 等主要平台。数据泄露原因包括访问配置不当、明文存储、公开共享集合等，可能导致财务和声誉受损等严重后果。CloudSEK 已向受影响组织通报，Postman 也实施了保密政策。

据Infosecurity-magazine消息，美联邦法官裁定以色列 NSO 集团违法。该集团利用 WhatsApp 零日漏洞，在至少 1400 台设备部署 “飞马” 间谍软件，违反州与联邦法律及 WhatsApp 服务条款。WhatsApp 五年前起诉，指出其攻击对象非合法执法目标，而是诸多特定群体。法官称 NSO 未遵法庭命令。WhatsApp 负责人称此裁定是隐私保护的胜利。

据Cybersecuritynews消息，研究人员发现基于网页的系统管理工具 Webmin 存在关键安全漏洞（CVE-2024-12828），CVSS 评分为 9.9，性质严重。该漏洞源于其 CGI 请求处理中的命令注入缺陷，软件在执行系统调用前未妥善验证用户输入，使得认证攻击者能注入恶意命令并以 root 权限执行。全球约有百万 Webmin 安装量，影响不容小觑，可能导致服务器完全被攻陷、敏感数据遭未授权访问等后果。此漏洞由趋势科技零日计划发现，Webmin 已在 2.111 版本修复。

据Cybersecuritynews消息，研究人员发现两款恶意 Python Package Index（PyPI）包 ——Zebo-0.1.0 和 Cometlogger-0.1 ，这两款恶意PyPI包于2024年11月上传，威胁用户安全。Zebo-0.1.0 采用高级混淆手段，利用 pynput 库记录用户按键、ImageGrab 库截屏，将敏感数据传至远程服务器，还通过创建文件保存在启动文件夹实现持续运行。Cometlogger-0.1 瞄准浏览器及加密钱包中的各类信息，用抗虚拟机战术及压缩组件躲避检测。

据Cybersecuritynews消息，网络犯罪团体正融合新老手段，通过部署 AsyncRAT 和 SectopRAT 等远程访问工具窃取用户敏感信息。微软发现，黑客利用技术支持诈骗，借助合法的远程监控管理软件 ScreenConnect 首次将其作为部署 AsyncRAT 的工具，骗得用户远程访问权限后安装该恶意软件以执行数据窃取等恶意行为。此外，近月还出现利用搜索引擎优化投毒和错别字抢注域名等手段部署 SectopRAT 的情况，其能窃取敏感浏览器数据和加密钱包信息，且有很强隐身能力。

据Cybersecuritynews消息，伊朗黑客组织 OilRig 针对阿联酋及海湾地区关键基础设施和政府实体，发动了新一轮网络攻击。他们利用 Windows 内核的 0-day 漏洞 CVE-2024-30088 提升权限并部署恶意软件。攻击从入侵服务器上传网页 shell 开始，利用漏洞提权后安装名为 STEALHOOK 的后门，以窃取敏感信息和进行横向移动。微软已修复此漏洞，但 OilRig 仍在野外利用。安全专家呼吁各组织加强补丁管理和安全防御，警惕此类攻击。

据Cybersecuritynews消息，在开源图数据库系统 Apache HugeGraph-Server 中发现了新安全漏洞 CVE-2024-43441。该漏洞被归类为 “通过假定不可变数据进行认证绕过” 漏洞，影响软件 1.5.0 版本发布前的 1.0 至 1.3 版本，需用户立即采取行动。因其服务器内认证机制处理不当产生，攻击者可借此绕过认证流程，获取对服务器敏感资源和功能的未授权访问。Apache 软件基金会现已发布 1.5.0 版本修复该漏洞，建议用户立即升级系统。

据Bleepingcomputer消息，欧洲航天局官方网络商店遭黑客入侵，在结账时会加载一段 JavaScript 代码，生成虚假的 Stripe 支付页面来窃取信息。该恶意脚本出现并收集顾客信息，包括购买最后阶段提供的支付卡数据。电商安全公司 Sansec 发现后发出警告，指出该商店似乎与欧航局系统整合，可能给员工带来风险。其还发现用于窃取信息的域名与正版商店域名相似但顶级域名不同。另有其他安全公司证实相关发现，虽该商店目前不再出现假支付页面，但恶意脚本仍在源代码中。

据Bleepingcomputer消息，一种基于 Mirai 的新僵尸网络正在利用 DigiEver DS-2105 Pro NVR 中未被追踪且似乎未修复的远程代码执行漏洞，该活动自 10 月开始，针对多款网络视频录像机和固件过时的 TP-Link 路由器。其中利用的漏洞之一由 TXOne 研究员记录并于去年在 DefCamp 安全会议上提出，影响多种 DVR 设备。Akamai 研究人员观察到该僵尸网络 11 月中旬开始利用此漏洞，还针对 TP-Link 设备的 CVE-2023-1389 和 Teltonika RUT9XX 路由器的 CVE-2018-17532 漏洞，Akamai 报告末尾提供了相关入侵指标和检测规则。

据Cybersecuritynews消息，西印度群岛大学的研究人员利用中间人攻击和社会工程学技术的组合，成功绕过 Wi-Fi Protected Access 3（WPA3）协议获取网络密码。WPA3 于 2018 年推出，旨在弥补 WPA2 不足、增强无线网络安全性，其含防离线字典攻击的特性。但研究人员借对其过渡模式弱点的利用，通过三步攻击方法，用树莓派等模拟相关网络进行操作。

据Hackread消息，Lazarus将目标转向核工业，较此前聚焦的国防、航空航天和加密货币领域有所升级。2024 年 1 月观察到其攻击采用假招聘（“梦想工作” 行动）手段，用伪装成求职评估的恶意文件入侵受害者系统。该集团使用如 Ranid Downloader 等复杂工具，还有基于插件的新型恶意软件 “CookiePlus”，其在内存中运行，难被安全系统检测。此外，其不断改进战术，利用谷歌 Chrome 零日漏洞等。

据Cybersecuritynews消息，新发现的 “G-Door” 漏洞可使恶意人员利用未管理的谷歌文档账户绕过微软 365 安全措施。该漏洞源于能用公司域名创建个人或工作区谷歌账户，其能绕过微软 365 的多重要素，如条件访问策略、设备合规检查等，还存在数据暴露、持续访问等风险。这一漏洞削弱了微软 365 诸多关键安全功能。

据Cybersecuritynews消息，网络间谍组织 “云图” 利用微软 Office 公式编辑器漏洞（CVE-2018-0802）发起针对性攻击，主要针对东欧、中亚地区组织。其通过含恶意文档的钓鱼邮件感染，触发下载远程模板文件，利用漏洞下载执行 HTA 文件等，最终部署后门。“云图” 还推出新后门 VBCloud，各模块分工协作，以收集信息、渗透网络等。

据Cyberdaily独家消息，有威胁行为者上传了三个数据库后，近 25000 名联合国代表的数据疑似被发布到网上。黑客 natohub 在一热门黑客论坛宣称掌握了这些数据，三个数据库所含数据不同且涉及不同数量的代表。虽无法核实全部数据的真实性，但样本中包含一些真实的代表姓名和头衔。本月早些时候，natohub 还声称掌握了 13000 名美国海军陆战队（USMC）人员的数据，同样提供了部分数据样本，分析表明部分记录涉及合法现役及退役人员，目前 Cyber Daily 无法核实全部数据真实性。

据Cyberdaily消息，LockBit 在 2024 年 2 月因 “克洛诺斯行动” 遭重创，网站被查封、基础设施被拆除，多名成员及关联人员被捕。如今，LockBit 宣布将推出 4.0 加密器，计划明年初发布，还在其暗网泄露站点发文吸引新的附属成员。目前 4.0 加密器设置了倒计时，截止到 2025 年 2 月 5 日。据悉，4.0 加密器用.NET 编写、用 CoreRT 编译并用 MPRESS 打包，与 3.0 不同，当时处于最终开发阶段，已具备多数功能，支持三种加密类型，且配置为 JSON 格式，在运行时解密，包含诸多关键信息。

据CISA消息，美国网络安全与基础设施安全局（CISA）基于存在被主动利用的证据，向其“已知被利用漏洞目录”中新增了一项漏洞，即CVE-2021-44207“Acclaim Systems USAHERDS使用硬编码凭证漏洞”。这类漏洞常被恶意网络行为者当作攻击途径，给联邦企业带来重大风险。CISA强烈敦促所有组织优先及时修复目录中的漏洞，以降低遭受网络攻击的风险。