1、Azure 服务 SSRF 漏洞暴露内部端点、敏感数据

https://www.securityweek.com/azure-services-ssrf-vulnerabilities-exposed-internal-endpoints-sensitive-data

云安全公司 Orca 公布了影响不同 Azure 服务的四个服务器端请求伪造 (SSRF) 漏洞的详细信息，其中包括两个无需身份验证即可利用的漏洞。Orca 解释说，SSRF 缺陷通常允许攻击者访问主机的 IMDS（云实例元数据服务），使他们能够查看主机名、MAC 地址和安全组等信息。此外，可以利用此类安全缺陷来检索令牌、远程执行代码以及移动到另一台主机。

2、攻击者可以滥用 GitHub Codespaces 进行恶意软件交付

https://www.securityweek.com/attackers-can-abuse-github-codespaces-malware-delivery

据趋势科技报道，旨在帮助代码开发和协作的GitHub Codespaces功能可能被利用于恶意软件的传播。GitHub Codespaces是一个免费的基于云的集成开发环境，允许开发人员通过运行在虚拟机中的基于容器的环境在浏览器中创建、编辑和运行代码。GitHub Codespaces提供的功能之一允许开发人员共享来自VM的转发端口，无论是私有的还是公开的，以实现实时协作的目的。私有端口只能通过其URL访问，而拥有URL的任何人都可以访问公共共享端口，而不需要任何形式的身份验证。这一协作功能可能会被在GitHub上拥有帐户的攻击者滥用，以承载恶意内容，包括脚本、勒索软件和其他类型的恶意软件。

3、针对海事软件供应商 DNV 的勒索软件攻击影响1,000 多艘船舶

大约 1,000 艘船只受到针对主要海事软件供应商之一 DNV的勒索软件攻击的影响。勒索软件攻击发生在 1 月 7 日晚上，为了应对这一事件，该公司关闭了连接到该公司运营的 ShipManager 系统的 IT 服务器。DNV 报告称，没有迹象表明其任何其他软件或数据受到安全事件的影响。

4、Zoho ManageEngine敦促用户在漏洞PoC发布前打补丁

Zoho ManageEngine中未授权远程代码执行漏洞CVE-2022-47966的PoC利用代码即将发布，它会影响多个在 ManageEngine 设置中启用了 SAML SSO 的 Zoho 产品。该问题还会影响过去启用该功能的产品。问题的根本原因是ManageEngine产品使用了过时的第三方依赖Apache Santuario。Horizon3 Attack Team 的研究人员上周宣布开发了一个 PoC 漏洞利用代码，他们计划很快发布该漏洞的技术细节。

5、Rhadamanthys Stealer 通过垃圾邮件和谷歌广告传播

https://cyware.com/news/rhadamanthys-stealer-spreads-via-spam-emails-and-google-ads-badb99e9

网络犯罪分子越来越多地使用网络钓鱼网站和垃圾邮件来欺骗用户下载窃取程序和 RAT。最近，新的 Rhadamanthys Stealer 通过谷歌广告将受害者引诱到模仿流行软件的网络钓鱼站点。安全公司Cyble已经在 MaaS 模型下主动观察到这种新的威胁。Rhadamanthys 通过 Google Ads 传播，将目标用户重定向到模仿 AnyDesk、Zoom、Bluestacks 和 Notepad++ 等知名软件的网络钓鱼网站。 窃取者使用垃圾邮件进行传播，包括用于删除恶意负载的附件。

6、恶意“Lolip0p”PyPi 软件包安装信息窃取恶意软件

https://www.bleepingcomputer.com/news/security/malicious-lolip0p-pypi-packages-install-info-stealing-malware

威胁行为者已将三个恶意包上传到 PyPI（Python 包索引）存储库，这些包携带代码以在开发人员的系统上放置信息窃取恶意软件。Fortinet发现的恶意包均由同一作者在 2023 年 1 月 7 日至 12 日期间上传，名为“Lolip0p”。它们的名称是“colorslib”、“httpslib”和“libhttps”。这三个都已被报告并从 PyPI 中删除。PyPI 是使用最广泛的 Python 包存储库，软件开发人员使用它来获取其项目构建块的来源。

7、研究人员发现T95 Android电视盒预装了复杂的恶意软件

https://securityaffairs.com/140866/security/t95-android-tv-box-malware.html

安全研究员Daniel Milisic发现他在亚马逊上购买的T95 Android电视盒预装了复杂的预装恶意软件。这款安卓电视盒在亚马逊和全球速卖通上有售，价格低至40美元。这款设备配备了Android 10(可以运行Play商店)和Allwinner H616处理器。Milisic在固件中发现了预先安装了的恶意软件。Milisic购买了T95 Android电视盒来运行Pi-hole，这是一个Linux网络级广告和互联网跟踪拦截应用程序。在运行Pi-hole之后，他注意到这个盒子正在到达与恶意软件活动相关的地址。

8、Raccoon和Vidar信息窃取恶意软件通过假冒的破解软件网站传播

https://thehackernews.com/2023/01/raccoon-and-vidar-stealers-spreading.html

自2020年初以来，一个由250多个域名组成的“大型且有弹性的基础设施”被用于分发Raccoon和Vidar等信息窃取恶意软件。网络安全公司SEKOIA在本月早些时候发表的一份分析报告中说，这个感染链使用了大约100个被破解的假软件目录网站，这些网站在下载GitHub等文件共享平台上托管的有效载荷之前，会重定向到几个链接。这家法国网络安全公司评估称，这些域名是由一个运行流量导向系统(TDS)的攻击者操作的，该系统允许其他网络犯罪分子租用服务来分发他们的恶意软件。

9、Vice Society勒索软件团伙泄露了杜伊斯堡-埃森大学的数据

https://www.bleepingcomputer.com/news/security/vice-society-ransomware-leaks-university-of-duisburg-essen-s-data/

Vice Society勒索软件团伙声称对2022年11月杜伊斯堡-埃森大学(UDE)遭受的网络攻击负责，该攻击迫使该大学重建其IT基础设施，这一过程仍在进行中。攻击者还泄露了他们声称在网络入侵期间从该大学窃取的文件，暴露了有关该大学运营、学生和人员的潜在敏感细节。UDE已经证实，他们知道攻击者公布了被盗数据，并表示他们不会支付赎金。

10、数以百计的 SugarCRM 服务器被感染恶意程序

https://www.anquanke.com/post/id/285513

过去两周，黑客利用 SugarCRM 系统的一个高危漏洞传播恶意程序控制服务器。漏洞是在 2022 年 12 月爆出的，当时没有补丁属于 0day，公开漏洞的人还发布了漏洞利用代码，称它是一个身份验证绕过加远程代码执行漏洞，这意味着攻击者不需要身份凭证就可以在存在漏洞的服务器上远程运行恶意代码。

免责声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。