GitHub 恶意活动泛滥；朝黑客窃取6亿加密货币；基于Python的新黑客工具| 安全周报0112

1. 黑客越来越多地滥用 GitHub 进行恶意活动

GitHub在信息技术（IT）环境中的普遍存在使其成为黑客托管和传递恶意有效载荷以及充当死点解析器、命令和控制以及数据泄露点的有利选择。

Recorded Future在与《黑客新闻》共享的一份报告中表示：“使用GitHub服务进行恶意基础设施攻击，使对手能够与合法网络流量混合在一起，通常会绕过传统安全防御，使上游基础设施追踪和行为者归因变得更加困难。”

网络安全公司将这种方法描述为“依赖可信站点”（LOTS），这是黑客经常采用的一种“依赖土地”（LotL）技术的变种，用于掩盖恶意活动并在雷达下飞行。

GitHub 被滥用的方法中，最突出的是与有效载荷传递有关，一些行为者利用其功能进行命令和控制 (C2) 混淆。上个月，ReversingLabs 详细介绍了一些流氓 Python 软件包，这些软件包依赖于 GitHub 上托管的一个秘密主旨，在受感染的主机上接收恶意命令。

来源：https://thehackernews.com/2024/01/threat-actors-increasingly-abusing.html

2. 中国黑客利用Ivanti Connect Secure和Policy Secure中的零日漏洞

在Ivanti Connect Secure（ICS）和Policy Secure中发现的一对零日漏洞，已被疑似与中国有关的国家行为者利用，入侵了不到10家客户。

网络安全公司Volexity在2023年12月的第二周发现了其一位客户网络上的活动，并将其归因于它追踪的名为UTA0178的黑客组织。有证据表明，该VPN设备可能早在2023年12月3日就已被入侵。

以下是在野外被利用的两个漏洞，可在ICS设备上实现未经验证的命令执行：

• CVE-2023-46805（CVSS评分：8.2）- Ivanti Connect Secure（9.x、22.x）和Ivanti Policy Secure的web组件中存在一个身份验证绕过漏洞，允许远程攻击者绕过控制检查访问受限资源。
• CVE-2024-21887（CVSS评分：9.1）- Ivanti Connect Secure（9.x、22.x）和Ivanti Policy Secure的web组件中存在一个命令注入漏洞，允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。这些漏洞可以被设计成漏洞利用链，以通过互联网接管易受攻击的实例。

来源：https://thehackernews.com/2024/01/chinese-hackers-exploit-zero-day-flaws.html

3. 土耳其黑客在全球范围内利用安全漏洞百出的MS SQL服务器

Securonix威胁研究团队发现，一群出于经济动机的土耳其黑客正在攻击全球范围内的微软SQL(MSSQL)服务器，并使用Mimic(N3ww4v3)勒索软件加密受害者的文件。

这些正在进行的攻击代号为RE#TURGENCE，主要针对欧盟、美国和拉丁美洲的目标。
发现该活动的Securonix威胁研究团队表示：“分析显示，此类攻击活动的结束方式主要有两种：要么出售受感染主机的访问权，要么最终交付勒索软件有效负载。”
“从初始访问到部署Mimic勒索软件，事件发生的时间周期大约为一个月。”

来源：https://thehackernews.com/2024/01/turkish-hackers-exploiting-poorly.html

4. 朝鲜黑客在2023年窃取了6亿美元的加密货币

与朝鲜相关的黑客在2023年掠夺了全球至少6亿美元的加密货币。区块链分析公司TRMLabs上周表示“朝鲜对去年在加密攻击中被盗的近三分之一的资金负责，尽管与2022年的8.5亿美元相比减少了30%”。

来源：https://thehackernews.com/2024/01/north-koreas-cyber-heist-dprk-hackers.html

5. 基于Python的新FBot黑客工具包瞄准云和SaaS平台

一种新的基于Python的黑客工具FBot已被发现，它针对的是Web服务器、云服务、内容管理系统(CMS)和SaaS平台，如亚马逊网络服务(AWS)、微软365、PayPal、Sendgrid和Twilio。
“关键功能包括针对垃圾邮件攻击的凭证收集、AWS账户劫持工具，以及对PayPal和各种SaaS账户发起攻击的功能，”SentinelOne安全研究员Alex Delamotte在与《黑客新闻》分享的一份报告中表示。

FBot是云黑客工具列表中的最新成员，这些工具包括AlienFox、GreenBot（又名Maintenance）、Legion和Predator，后四者与AndroxGh0st共享代码级重叠。
SentinelOne将FBot描述为“与这些家族相关但不同”，因为尽管它与去年首次曝光的军团（Legion）具有相似性，但它没有引用AndroxGh0st的任何源代码。

来源：https://thehackernews.com/2024/01/new-python-based-fbot-hacking-toolkit.html