每日安全简讯(20230701)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗MuddyWater组织使用新型C2框架PhonyC2进行网络攻击

伊朗政府支持的网络间谍组织MuddyWater(又称Mango Sandstorm或Mercury)自2021年起使用了一个名为PhonyC2的新型命令与控制(C2)框架，用于对目标进行渗透和数据窃取。该框架是用Python 3编写的，与MuddyWater之前使用的MuddyC3框架2有很多相似之处，但也有一些改进和更新。PhonyC2框架可以动态生成PowerShell后门，并在受感染的主机上执行。该框架还可以与Ligolo这个反向隧道工具配合使用，实现对目标网络的深度渗透。MuddyWater组织在进行网络攻击时，常常利用公开面向的服务器和社交工程技巧作为初始访问点，例如使用虚假身份、诱惑性的工作机会、记者采访或智库专家等方式来吸引目标。研究人员表示，MuddyWater组织不断更新PhonyC2框架，并改变其战术、技术和程序(TTPs)，以避免被检测。

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

---

2 俄罗斯黑客组织通过付费招募志愿者发动DDoS攻击

DDoSia是一个由支持俄罗斯的黑客组织NoName057(16)发起的众包项目，旨在通过付费招募志愿者，对西方目标进行分布式拒绝服务(DDoS)攻击。该项目类似于乌克兰支持者的Liberator by disBalancer和IT ARMY of Ukraine的全自动DDoS机器人项目，利用政治驱动的黑客行为者下载并安装一个机器人，来发起DDoS攻击。但是，DDoSia项目提高了风险，通过为成功DDoS攻击的最佳贡献者提供经济奖励。NoName057(16)是一个以对乌克兰及其直接或间接支持者进行篡改和DDoS攻击而闻名的亲俄罗斯黑客组织。该组织于2022年3月在Telegram上成立，目前拥有近13000名订阅者。在过去的几个月里，NoName057(16)一直在支持Killnet的行动。最近，该组织在Killnet对美国民用网络基础设施发动攻击期间，在Telegram频道“DDoSia Project”上发布了邀请链接，并在同一频道上转发了Killnet针对美国机场的目标列表。据报告，该组织还使用了一个名为Bobik的远程访问木马(RAT)，用于感染受害者并执行DDoS攻击。

https://blog.sekoia.io/following-noname05716-ddosia-projects-targets/

---

3 2023年最常见的软件缺陷排行榜发布

美国国土安全部赞助的国土安全系统工程与发展研究所(HSSEDI)，由MITRE运营，发布了2023年最常见的软件缺陷枚举(CWE)排行榜。该排行榜根据过去两年内公开的漏洞数据(NVD)中与CWE缺陷相关的根本原因进行计算，列出了导致软件严重漏洞的25种最危险的软件缺陷。攻击者通常可以利用这些漏洞来控制受影响的系统，窃取数据或阻止应用程序正常工作。2023年CWE排行榜还结合了CISA已知被利用漏洞目录(KEV)中最近的CVE记录的更新缺陷数据。CISA建议开发者和产品安全响应团队查看CWE排行榜，并评估推荐的缓解措施，以确定最适合采用的措施。在接下来的几周内，CWE项目将发布一系列关于CWE排行榜方法论、漏洞映射趋势和其他有用信息的文章，帮助说明漏洞管理在改变网络安全风险平衡中扮演的重要角色。

https://www.cisa.gov/news-events/alerts/2023/06/29/2023-cwe-top-25-most-dangerous-software-weaknesses

---

4 研究人员针对Cobalt Strike的可变C2特性进行分析

Cobalt Strike是一个商业化的威胁模拟平台，可以提供隐蔽的远程控制通信。它的一个重要特性是可变C2(Malleable C2)，允许攻击者自定义Cobalt Strike的网络指纹，从而绕过一些基于特征的检测方法。研究人员介绍了可变C2的工作原理，以及如何检测和防御Cobalt Strike的活动。可变C2是一种使用XML文件来定义Cobalt Strike通信行为的机制，包括请求和响应的格式、加密方式、数据编码方式等。通过修改这些参数，攻击者可以模仿合法的网络流量，或者混淆其恶意行为。例如，攻击者可以将Cobalt Strike的请求伪装成正常的HTTP请求，或者将响应隐藏在图片或其他文件中。

https://unit42.paloaltonetworks.com/cobalt-strike-malleable-c2/

---

5 SAP披露多个严重漏洞，包括可自动传播的利用链

SAP是一家提供企业软件解决方案的公司，其产品广泛应用于各行各业。近日，SAP公布了多个影响其产品的严重漏洞，其中最引人关注的是一条可自动传播的利用链，涉及四个漏洞。这条利用链可以让攻击者在没有任何身份验证的情况下，远程执行任意代码，并在SAP系统之间进行横向移动。这意味着，攻击者只需要找到一个暴露在互联网上的SAP系统，就可以利用这条利用链感染整个SAP网络，并造成灾难性的后果。这些漏洞已经被修复，并且没有发现被利用的迹象。但是，由于SAP系统的重要性和复杂性，很多客户可能无法及时更新或打补丁。因此，安全专家建议客户尽快采取措施，保护自己的SAP系统免受攻击。

https://sec-consult.com/blog/detail/responsible-disclosure-of-an-exploit-chain-targeting-the-rfc-interface-implementation-in-sap-application-server-for-abap/

---

6 npm生态系统存在巨大漏洞，可能导致代码执行和数据泄露

npm是一个流行的JavaScript包管理器，用于安装和管理开发者所需的各种模块和依赖。然而，近日，一位前npm CLI团队的工程师发现了一个影响npm生态系统的巨大漏洞，可能导致任意代码执行和数据泄露。这个漏洞的根源在于npm处理包清单(package.json)文件的方式。包清单文件是一个描述包属性和依赖的JSON文件，通常包含一些元数据，例如包名、版本、作者、许可证等。然而，npm允许包清单文件中包含任意字段，而不进行任何验证或过滤。这就导致了一个安全问题，即攻击者可以在包清单文件中插入恶意字段，例如脚本、环境变量、配置文件等，从而影响npm或其他工具的行为。例如，攻击者可以利用这个漏洞来执行任意代码，读取或修改敏感文件，窃取用户凭证，甚至感染其他依赖于该包的项目。

https://blog.vlt.sh/blog/the-massive-hole-in-the-npm-ecosystem

---