The Hacker News 網(wǎng)站披露，攻擊者在 npm 開源軟件包存儲庫中“投放”大量偽造的軟件包，這些軟件包導致了短暫拒絕服務（DoS）攻擊。

Checkmarx 的研究人員 Jossef Harush Kadouri 在上周發(fā)布的一份報告中表示，攻擊者利用開源生態(tài)系統(tǒng)在搜索引擎上的良好聲譽，創(chuàng)建惡意網(wǎng)站并發(fā)布帶有惡意網(wǎng)站鏈接的空包，此舉可能導致拒絕服務（DoS）攻擊，使 NPM 變得極不穩(wěn)定，甚至偶爾會出現(xiàn)服務不可用的“錯誤”。在最近觀察到的一波攻擊活動中，軟件包版本數(shù)量達到了 142 萬個，顯然比 npm 上發(fā)布的約 80 萬個軟件包數(shù)量大幅上升。

Harush Kadouri 解釋稱攻擊者“借用”開源存儲庫在搜索引擎中排名創(chuàng)建流氓網(wǎng)站，并在 README.md 文件中上傳空的 npm 模塊和指向這些網(wǎng)站的鏈接。由于開源生態(tài)系統(tǒng)在搜索引擎上享有盛譽，任何新的開源軟件包及其描述都會繼承這一良好聲譽，并在搜索引擎中得到很好的索引，因此毫無戒心的用戶更容易看到它們。

據(jù)外媒報道，全球硬件巨頭微星（Micro-Star）近日已被一個名為“Money Message”的勒索軟件團伙列入受害者名單，該勒索團伙發(fā)布了微星CTMS和ERP數(shù)據(jù)庫的截圖，聲稱竊取了微星源代碼、密鑰以及BIOS固件等各種敏感信息。據(jù)悉，微星遭竊取的文件總大小約為1.5TB。Money Message威脅稱，要是微星不在一周內支付400萬美元（約合人民幣2750萬元）的贖金，他們就將公開泄露所有竊取得手的文件。

“去跟你的經(jīng)理說，我們有MSI源代碼，包括開發(fā)bios的框架，我們還有私鑰，可以登錄這些bios的任何自定義模塊，并將其安裝在帶有該bios的PC上。” Money Message的一位黑客對微星代理說道。

在這之后，微星在其官網(wǎng)上發(fā)布了一則聲明，確認其最近有部分信息系統(tǒng)遭受了網(wǎng)絡攻擊。微星表示其信息部門發(fā)現(xiàn)網(wǎng)絡異常后，及時啟動了相關防御機制、采取恢復措施，并向政府執(zhí)法機構和網(wǎng)絡安全部門報告了這一事件。目前，受影響的系統(tǒng)已逐步恢復正常運行，對金融業(yè)務沒有重大影響。另外，微星還特別敦促用戶僅從其官方網(wǎng)站獲取固件/ BIOS更新，并且不要使用官網(wǎng)以外來源的文件。

安全研究人員和專家警告稱，Windows 消息隊列 (MSMQ) 中間件服務中存在一個高危漏洞 CVE-2023-21554。利用該漏洞，攻擊者能夠在無用戶交互的情況下實現(xiàn)遠程代碼執(zhí)行，進而接管服務器資源。

Windows 消息隊列 (MSMQ) 在所有Windows版本里都可用，主要用于為應用程序提供“消息傳遞保證”網(wǎng)絡功能、啟動 PowerShell 或控制面板。值得注意的是，該服務通常在安裝企業(yè)應用程序時在后臺啟用，即使應用程序卸載后也會繼續(xù)運行。例如，MSMQ 會在 Exchange Server 安裝期間自動啟用。

據(jù) Check Point Research 稱，超過 360,000 臺運行 MSMQ 服務的 Internet 可用服務器可能容易受到攻擊。目前已有10個不同的IP地址開始掃描互聯(lián)網(wǎng)上開放的服務器。雖然微軟已經(jīng)修復了這個漏洞，但該公司還建議無法緊急應用更新的管理員禁用 Windows MSMQ 服務。無法禁用 MSMQ 或安裝 Microsoft 修補程序的組織可以使用防火墻規(guī)則阻止來自不受信任來源的 1801/TCP 連接。

沃爾沃作為一家瑞典豪華汽車制造商，每年能夠銷售近70萬輛汽車。沃爾沃的客群基本上是一些有一定經(jīng)濟實力的客戶，這對于一些犯罪分子來說無疑是塊極具吸引力的“肥肉”。據(jù)網(wǎng)絡新聞研究小組調查發(fā)現(xiàn)，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續(xù)通過其網(wǎng)站泄露敏感文件，這些信息可能會被一些不懷好意的人拿來用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。美國數(shù)字安全調查媒體的相關人員聯(lián)系了Dimas Volvo和負責沃爾沃總部數(shù)據(jù)保護的相關官員，了解到目前這個信息泄漏的問題已經(jīng)得到了妥善的解決。

在泄露的數(shù)據(jù)中，研究人員還發(fā)現(xiàn)儲存網(wǎng)站源代碼的Git庫的URL，會直接透露出數(shù)據(jù)庫的名稱和創(chuàng)建者。這些攻擊者僅需一個密碼，再配合泄露的憑證信息就能強行訪問數(shù)據(jù)庫，這比同時去猜測出用戶名以及密碼之后才能訪問數(shù)據(jù)庫的方式要快得多。

攻擊者可以利用有關網(wǎng)站結構的信息來確定開發(fā)者在開發(fā)過程中所采用到的技術，然后把整個過程簡化一下，就可以直接達到直接入侵網(wǎng)站的目的。

The Hacker News 網(wǎng)站披露，研究人員發(fā)現(xiàn)微軟 Azure 中存在一個”設計缺陷 ”，一旦攻擊者成功利用，便可以訪問存儲帳戶，甚至可在內部系統(tǒng)環(huán)境中橫向移動，執(zhí)行遠程代碼。

The Hacker News 在與 Orca 分享的一份新報告中表示，攻擊者可以利用該缺陷，通過操縱 Azure 功能竊取更高特權身份的訪問令牌、橫向移動、秘密訪問關鍵業(yè)務資產(chǎn)和執(zhí)行遠程代碼(RCE)，甚至有可能濫用和利用 Microsoft 存儲帳戶。

從微軟的說法來看，Azure 在創(chuàng)建存儲帳戶時會生成兩個 512 位的存儲帳戶訪問密鑰，這些密鑰可用于通過共享密鑰授權或通過使用共享密鑰簽名的 SAS令牌授權對數(shù)據(jù)的訪問。更危險的是，這些訪問密鑰可以通過操縱 Azure 功能來竊取，這就給威脅攻擊者留下了升級權限并接管系統(tǒng)的“后門”。因為在部署 Azure Function 應用程序時會創(chuàng)建一個專用存儲帳戶，如果使用管理員身份來調用 Function 應用程序，則可能會濫用該標識來執(zhí)行任何命令。

近日，歐洲刑警組織（Europol）和歐洲司法組織（Eurojust）舉行一次聯(lián)合行動，逮捕了某大型網(wǎng)絡投資詐騙集團五名詐騙分子，該集團至少勒索了 3.3 萬名受害者，合計獲得非法收入超 8900萬歐元（約合 9800 萬美元）。

從披露的案件資料來看，該詐騙分子集團通過網(wǎng)絡和社交媒體發(fā)布廣告引誘投資者，并承諾巨額利潤誘騙受害者進行最高 250 歐元的小額初始投資。歐洲刑警組織表示，欺詐活動發(fā)生在 2019 年至 2021 期間，2021 年，詐騙分子開始擴大詐騙范圍，分別在保加利亞和羅馬尼亞設立了呼叫中心，冒充所謂的“個人財務顧問”聯(lián)系受害者，并承諾如果投資便可以獲得高額利潤回報，事實上，一旦受害者打款，錢便立刻被轉存至犯罪者的銀行賬戶中。最后，警方披露詐騙分子在烏克蘭、德國、西班牙、拉脫維亞、芬蘭和阿爾巴尼亞等多個歐洲國家建立呼叫中心，通過冒充加密貨幣、股票、債券、期貨和期權投資合法門戶，并許以高額回報，誘騙潛在投資者進行投資。

近日，卡巴斯基的最新發(fā)現(xiàn)顯示，一個新的QBot惡意軟件正在利用被劫持的商業(yè)電子郵件，分發(fā)惡意軟件。QBot（又名Qakbot或Pinkslipbot）是一個銀行木馬，從2007年開始活躍。除了從網(wǎng)絡瀏覽器中竊取密碼和cookies，它還作為后門注入有效載荷，如Cobalt Strike或勒索軟件。

該惡意軟件通過網(wǎng)絡釣魚活動傳播，并不斷更新，通過加入反虛擬機、反調試和反沙盒技術以逃避檢測。正因為這樣，它也成為2023年3月最流行的惡意軟件。早期，QBot的傳播方式是通過受感染的網(wǎng)站和盜版軟件傳播的?，F(xiàn)在則是通過銀行木馬已經(jīng)駐留在其計算機上的惡意軟件，社交工程和垃圾郵件傳遞給潛在的受害者。電子郵件網(wǎng)絡釣魚攻擊并不新鮮。其目的是誘使受害者打開惡意鏈接或惡意附件，一般情況下，這些文件被偽裝成一個微軟Office 365或微軟Azure警報的封閉式PDF文件。

打開該文件后，就會從一個受感染的網(wǎng)站上檢索到一個存檔文件，該文件又包含了一個混淆的Windows腳本文件（.WSF）。該腳本包含一個PowerShell腳本，從遠程服務器下載惡意的DLL。下載的DLL就是QBot惡意軟件。