•克罗地亚最大港口运营商遭勒索软件攻击

•红队新型C2渗透工具曝光，可利用Microsoft Teams实现隐蔽命令执行

•全球体育赛事成网络钓鱼新目标，DNS欺诈流量突破15%

•IBM DB2数据库曝严重漏洞，多个版本或面临DoS攻击风险

•Windows  NTLM凭据盗取漏洞曝光，简单操作即可触发凭据泄露

•新型XSS攻击利用链曝光，传统Web安全防护机制面临挑战

•微软启动AI安全竞赛，破解AI防御可赢取万元大奖

•SonicWall与CrowdStrike达成战略合作，将联合推出一站式MDR安全服务

克罗地亚最大港口运营商遭勒索软件攻击

近日，克罗地亚最大港口里耶卡港的运营商Luka Rijeka遭受8Base勒索软件组织攻击。据报道，8Base组织在其暗网数据泄露网站上声称已获取该公司的发票、收据、雇佣合同、个人数据和文件、会计文件等大量机密信息。攻击者威胁称，如果公司不支付赎金，将于12月10日公开这些被盗文件。

Luka Rijeka公司已向当地媒体证实，该公司于11月30日发现遭受攻击，IT部门随即采取预防措施，关闭了整个IT系统，并已向相关部门报告这一情况。该公司已备份所有数据，IT系统已于12月2日恢复并完全正常运行。

Luka Rijeka主要在克罗地亚里耶卡市提供海运、港口、货物仓储和货运代理等服务。该公司强调，作为一家上市公司，该公司所有财务报告和港务局制定的客户收费标准都是公开的，所以并没有特别的机密。目前尚难以确定攻击者是否窃取了个人电脑中的个人数据，但目前公司并未遭受实质性损失。据介绍，五年前该公司曾遭受过黑客攻击，此后已将数据保护级别提升至最高水平，这也是此次攻击未造成损失的重要原因。

原文链接：

https://www.helpnetsecurity.com/2024/12/09/8base-hacked-luka-rijeka/

红队新型C2渗透工具曝光，可利用Microsoft Teams实现隐蔽命令执行

安全研究人员近日发现了一款新型红队渗透测试工具convoC2。该工具能够通过Microsoft Teams平台在已被攻陷的主机上执行系统命令，为红队行动提供了一种全新的命令与控制（C2）基础设施方案。

从技术实现角度来看，convoC2的核心原理是将命令隐藏在Microsoft Teams消息中的span标签内。这种基于正常业务软件的攻击手法，大大提高了红队测试的隐蔽性。在目标主机执行命令后，输出结果会被巧妙地伪装在Adaptive Cards的图片URL中，随后触发对C2服务器的出站请求，从而建立起隐蔽的通信渠道。

安全分析师Fabio Cinicolo指出，该工具的一大特点是测试者无需与目标用户直接通信。目标主机的所有HTTP请求都只会发送给Microsoft服务器，而由于大多数防病毒解决方案并不会深入检查Microsoft Teams的日志文件，这使得相关渗透攻击活动很难被发现。

原文链接：

https://cybersecuritynews.com/red-team-tool-to-executes-commands-via-ms-teams/#google_vignette

全球体育赛事成网络钓鱼新目标，DNS欺诈流量突破15%

据Palo Alto Networks最新研究报告显示，网络犯罪分子正在利用全球体育锦标赛等重大赛事，通过注册虚假域名发起钓鱼和诈骗攻击。黑客通过注册仿冒官方网站的欺骗性域名，销售假冒商品并提供虚假服务，借此瞄准数以百万计搜索赛事相关信息的用户。

研究发现，每天通过域名文件、WHOIS数据库和被动DNS等渠道发现的新注册域名超过20万个。以2024年奥运会为例，在重要时间节点，如4月20日100天倒计时和7月26日开幕式期间，恶意DNS活动出现明显激增，其中欺诈性DNS流量占比达到10%至15%。

安全研究人员指出，威胁行为者在利用热门话题时通常会留下特定指标。防御人员需要重点关注几个关键指标：新注册域名中的事件关键词、域名结构和顶级域名特征，这些特征往往能揭示恶意意图。研究人员建议，安全团队应通过监控域名注册、文本模式、DNS异常和域名重新分类请求等关键指标，及早识别和缓解威胁。

原文链接：

https://cybersecuritynews.com/hackers-attacking-global-sporting-championships/

IBM DB2数据库曝严重漏洞，多个版本或面临DoS攻击风险

IBM近日披露了一个影响DB2数据库软件的安全漏洞CVE-2024-37071。该漏洞主要影响Linux和UNIX平台。经验证，具有身份认证的用户可通过构造特定查询语句，利用错误的内存分配发起拒绝服务（DoS）攻击。

从技术角度看，这个漏洞被归类为CWE-789（过度内存分配）。受影响版本包括IBM Db2 Server 10.5.0至10.5.11、11.1.4至11.1.4.7以及11.5.0至11.5.9等版本，同时也涉及10.1等早期版本。值得注意的是，Windows平台的DB2部署并未受到影响。

虽然这个漏洞的攻击复杂度较高，且需要经过身份认证的用户才能实施。为应对这一安全威胁，IBM已发布临时修复方案。具体来说，10.5版本用户需要下载Fix Pack 11的特殊版本，11.1版本用户需要更新至Fix Pack 7的特殊版本，而11.5版本用户则需要分别更新至V11.5.8的#49307或更高版本，或V11.5.9的#50315或更高版本。

原文链接：

https://cybersecuritynews.com/critical-vulnerability-in-ibm-db2/

Windows NTLM凭据盗取漏洞曝光，简单操作即可触发凭据泄露

安全研究机构0patch近日披露了一个影响多个Windows版本的零日漏洞。该漏洞可被攻击者利用来窃取用户的NTLM凭据，目前微软尚未发布官方补丁。

据悉，此次发现的安全漏洞影响范围广泛，涉及Windows Server 2022、Windows 11（含24H2版本）、Windows 10（多个版本），以及Windows 7和Server 2008 R2等系统。攻击者只需诱使用户在Windows资源管理器中打开恶意文件，即可触发漏洞窃取NTLM凭据。触发条件包括打开共享文件夹、访问USB设备、在Windows资源管理器中查看恶意文件，或访问包含特制文件的下载文件夹等。为降低漏洞被恶意利用的风险，研究人员暂未公开具体的漏洞技术细节。

值得注意的是，0patch研究团队此前已发现多个未修复的Windows漏洞，包括Windows主题文件问题、"Mark of the Web"漏洞、"EventLogCrasher"漏洞，以及三个与NTLM相关的漏洞（PetitPotam、PrinterBug/SpoolSample和DFSCoerce）。研究人员提醒，过时的NTLM身份验证应用程序可能导致Windows凭据被盗，并建议企业采取自动化补丁管理和服务器加固策略。

原文链接：

https://hackread.com/windows-zero-day-alert-no-patch-available-for-users/

新型XSS攻击利用链曝光，传统Web安全防护机制面临挑战

近日，一位化名"Hay"的网络安全研究员公开了一项重要发现：即便部署了严格安全措施，攻击者仍可利用存储型跨站脚本（Stored XSS）漏洞获取Web应用的完整管理员权限。这一发现源于其在某社交媒体平台的实际渗透测试中，成功绕过了HTTPOnly标志保护并访问了管理面板。

从技术层面来看，这次攻击的成功包含多个关键环节：

• 研究员先是成功绕过CloudFlare的防护措施，将恶意代码注入到应用程序的评论区域。由于是存储型XSS，这些恶意代码被永久保存在应用程序数据库中，并在用户访问受影响页面时执行；

• 面对HTTPOnly cookie保护机制，研究人员转而直接操作HTML DOM。攻击特别针对Django框架的管理界面（通常位于"/admin"路径），通过XHR/AJAX请求获取管理页面的HTML内容，包括关键的CSRF令牌。由于在相同域名源下操作，攻击者得以绕过同源策略限制，实现了客户端数据的修改和删除；

• 最终的攻击载荷使用了一个复杂的双重JavaScript fetch函数，用于获取管理页面内容并将其传输到攻击者的webhook。

这种技术使研究员无需使用钓鱼或社会工程手段就获得了完整的管理员访问权限。这项研究强调了XSS漏洞的潜在危害性，组织应重新评估XSS缓解策略，并考虑此类漏洞的更广泛影响。

原文链接：

https://cybersecuritynews.com/attacker-can-gain-full-admin-access-with-xss/

微软启动AI安全竞赛，破解AI防御可赢取万元大奖

微软近日启动了一项名为"LLMail-Inject：自适应提示注入挑战"的创新网络安全竞赛，邀请黑客和安全研究人员尝试攻破其模拟的LLM集成邮件客户端（LLMail服务），成功者最高可获得1万美元奖励。该竞赛旨在评估和增强AI驱动系统针对提示注入攻击的防御能力。

从技术角度看，LLMail服务包含多个核心组件：邮件数据库、用于搜索和获取相关邮件的检索器、处理用户请求并生成响应的大语言模型（LLM），以及多重提示注入防御机制。参赛者需要扮演攻击者角色，尝试操纵LLM执行未经授权的命令。

参赛者可以个人或最多5人团队的形式参赛，需使用GitHub账户在官方网站注册。作品可以通过网站直接提交，也可以通过API以程序化方式提交。比赛假设攻击者了解现有防御机制，要求他们开发自适应提示注入技术，以此推动AI安全边界的突破，发现LLM系统中的潜在漏洞。

原文链接：

https://cybersecuritynews.com/microsoft-challenged-ai-hackers-to-break-llm-email-service/

SonicWall与CrowdStrike达成战略合作，将联合推出一站式MDR安全服务

网络安全领域两大巨头SonicWall和CrowdStrike日前宣布达成战略合作，将面向中小企业推出托管检测和响应（MDR）服务。这项服务整合了安全监控、威胁检测和事件响应功能，旨在为中小企业提供企业级的安全保护。

具体来看，此次合作将CrowdStrike基于云的Falcon平台与SonicWall全天候安全运营中心（SOC）能力相结合。Falcon平台利用人工智能技术在终端层面（包括笔记本电脑、服务器和移动设备）进行威胁检测和响应，而SonicWall则提供全天候的安全运营支持，识别新型网络攻击并开发相应的防御措施，为云环境、混合环境和传统IT环境提供全方位保护。

原文链接：

https://cybermagazine.com/articles/sonicwall-and-crowdstrike-unite-for-smb-security-service