1、 Rhysida勒索软件团伙入侵特拉华州Bayhealth医院

https://securityaffairs.com/166749/cyber-crime/rhysida-ransomware-bayhealth-hospital.html

Rhysida勒索软件团伙声称已入侵特拉华州的Bayhealth医院，并在其Tor泄漏网站上列出该医院为受害者。Bayhealth是一家技术先进的非营利性医疗系统，拥有近4000名员工和超过450名医生及200名高级执业临床医生。Rhysida团伙声称已从医院窃取数据，并要求25个比特币以避免泄露。该团伙泄露了被盗护照和身份证的截图作为入侵证明。该团伙表示：“只剩7天时间，抓住机会竞标独特且令人印象深刻的数据。准备好钱包，购买独家数据。我们只卖给一个人，不会转售，你将是唯一的拥有者！”Rhysida勒索软件团伙自2023年5月起活跃，已攻击包括教育、医疗、制造、信息技术和政府部门在内的多个行业的62家公司。

2、Nexera DeFi协议遭黑客攻击致180万美元被盗

https://hackread.com/nexera-defi-protocol-hacked-smart-contract-exploit/

Nexera去中心化金融（DeFi）协议遭到重大安全漏洞攻击，导致约180万美元的数字资产被盗。加密安全公司Cyvers详细披露了此次攻击，黑客通过复杂操作控制了Nexera的代理合约，并利用"withdraw admin"功能转移了平台上全部的NXRA代币（共计3250万NXRA代币）。Cyvers在X（Twitter）上发布声明，检测到代理合约被一个地址接管并升级，随后该地址使用"withdraw admin"功能转移了所有NXRA代币。事件发生后，Nexera迅速暂停了NXRA代币合约和去中心化交易所上的交易，并积极与中心化交易所合作暂停交易活动，Kucoin和MEXC已实施这些措施。

3、Windows降级攻击将已修复漏洞变成零日漏洞

https://www.safebreach.com/blog/downgrade-attacks-using-windows-updates

研究人员开发了一种Windows降级攻击，使得即使是完全打过补丁的Windows机器也会在隐蔽、持久和不可逆的情况下变得脆弱。受BlackLotus UEFI bootkit启发，该攻击利用Windows更新过程中的漏洞，使Windows安全机制和端点安全解决方案无法检测。研究人员发现，Windows更新过程通过机器在更新文件夹中发出更新请求开始，一旦微软的更新服务器验证其完整性，更新文件夹和更新操作列表（Pending.xml）会被保存到服务器控制的文件夹中，操作列表将在系统重启时执行。通过测试不同方法，他发现了注册表中的操作列表路径和包含解析该列表的可执行文件（poqexec.exe）的密钥PoqexecCmdline，并注意到该密钥不受Trusted Installer的强制控制，这使他能够控制所有更新操作。经过一系列操作，他实现了使完全打过补丁的Windows机器易受成千上万已修复漏洞的攻击，将其变成零日漏洞，使“完全打过补丁”这一术语在任何Windows机器上都变得毫无意义。

4、Cisco警告老旧IP电话存在关键远程代码执行零日漏洞

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz

Cisco警告称，其已停止支持的Small Business SPA 300和SPA 500系列IP电话的基于Web的管理界面存在多个关键远程代码执行（RCE）零日漏洞。由于这些设备未提供修复补丁且无缓解措施，用户需尽快迁移到更新且有支持的型号。Cisco披露了五个漏洞，其中三个被评为关键（CVSS v3.1评分：9.8），两个为高严重性（CVSS v3.1评分：7.5）。关键漏洞分别为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454，这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过发送特制的HTTP请求，在目标设备的操作系统上以root权限执行任意命令。Cisco在公告中警告说：“成功利用这些漏洞可能允许攻击者溢出内部缓冲区，并以root权限执行任意命令。”高严重性漏洞CVE-2024-20451和CVE-2024-20453则由于对HTTP数据包检查不足，允许恶意数据包导致受影响设备的拒绝服务。这五个漏洞影响所有在SPA 300和SPA 500系列IP电话上运行的软件版本，无论其配置如何，且这些漏洞相互独立，可以单独被利用。

5、WhatsUp Gold关键安全漏洞遭受活跃攻击

https://summoning.team/blog/progress-whatsup-gold-rce-cve-2024-4885/

Progress Software的WhatsUp Gold网络监控应用程序发现了一个严重的安全漏洞CVE-2024-4885（CVSS评分：9.8），目前正遭受活跃攻击，用户需立即更新到最新版本以防范风险。该漏洞影响2023.1.3之前发布的版本，是一个未经身份验证的远程代码执行漏洞。根据公司在2024年6月底发布的公告，漏洞存在于WhatsUp.ExportUtilities.Export.GetFileWithoutZip方法中，该方法允许使用iisapppool\nmconsole权限执行命令。研究人员指出，漏洞源于GetFileWithoutZip方法在使用前未对用户提供的路径进行充分验证，攻击者可以利用这一行为在服务账户上下文中执行代码。研究人员已经发布了漏洞的概念验证（PoC）利用代码。研究人员自2024年8月1日起观察到针对该漏洞的攻击尝试，监测到来自6个源IP的CVE-2024-4885漏洞利用回调尝试。

6、朝鲜网络间谍组织Kimsuky攻击大学教授和研究人员

https://www.cyberresilience.com/threatintel/apt-group-kimsuky-targets-university-researchers/

研究人员披露，朝鲜关联的威胁行为者Kimsuky近期针对大学教职员工、研究人员和教授发起了一系列新的攻击行动，目的是收集情报。研究人员在2024年7月底通过观察黑客的操作安全（OPSEC）错误识别出这一活动。此次攻击的特点包括使用被攻陷的主机作为部署基础设施，安装经过混淆处理的Green Dinosaur网页木马，用于执行文件操作。Kimsuky利用该网页木马上传模拟Naver和多所大学（如东德大学、高丽大学和延世大学）合法登录门户的钓鱼页面，以捕获受害者的凭证。受害者随后被重定向到另一个网站，该网站指向Google Drive上托管的PDF文件，声称是Asan政策研究所八月论坛的邀请函。此外，Kimsuky的钓鱼网站上还包含一个非特定目标的钓鱼工具包，用于收集Naver账户信息。

7、Chameleon安卓银行木马伪造虚假CRM应用攻击用户

https://www.threatfabric.com/blogs/chameleon-is-now-targeting-employees-masquerading-as-crm-app

研究人员揭露了Chameleon安卓银行木马的新攻击手法，该木马伪装成客户关系管理（CRM）应用，主要针对加拿大用户。研究人员报告中指出，该木马假扮为CRM应用，目标是一个在国际上运营的加拿大餐饮连锁店。此次攻击活动于2024年7月被发现，目标客户分布在加拿大和欧洲，显示其受害者范围从澳大利亚、意大利、波兰和英国扩展。假CRM应用的主题指向目标是酒店业和B2C员工。

8、恶意软件伪装成Chrome和Edge扩展感染超30万用户

https://reasonlabs.com/research/new-widespread-extension-trojan-malware-campaign

研究人员发现了一场正在进行的大规模恶意软件活动，通过伪装成流行软件的假网站安装恶意的Google Chrome和Microsoft Edge扩展。这些恶意软件和扩展已影响至少30万用户。研究人员在分析中指出，这种特洛伊木马自2021年以来存在，起源于仿冒下载网站，提供在线游戏和视频的附加组件。恶意软件包含从简单的广告软件扩展（劫持搜索）到更复杂的恶意脚本（窃取私人数据和执行各种命令）的不同可执行文件。该活动的核心是利用恶意广告（malvertising）推动类似网站，推广如Roblox FPS Unlocker、YouTube、VLC媒体播放器、Steam或KeePass等知名软件，欺骗用户下载特洛伊木马，该木马作为安装浏览器扩展的渠道。

9、Sonos智能音箱缺陷可让远程黑客窃听用户

https://www.nccgroup.com/us/research-blog/blackhat-usa-2024-listen-up-sonos-over-the-air-remote-kernel-exploitation-and-covert-wiretap/

研究人员发现Sonos智能音箱存在漏洞，可能被恶意行为者利用来偷偷窃听用户。研究人员表示，这些漏洞导致Sonos设备的安全启动过程完全失效，并可通过空中攻击远程攻破多个设备。这些漏洞影响所有Sonos S2 15.9版和Sonos S1 11.12版之前的版本，这些版本分别在2023年10月和11月发布。成功利用其中一个漏洞，攻击者可以通过空中攻击获得Sonos设备的隐蔽音频捕捉权限。研究结果在2024年Black Hat USA大会上展示。研究人员在CVE-2024-20018的公告中表示：“在wlan驱动程序中，由于输入验证不当，可能存在越界写入。这可能导致本地权限升级，不需要额外的执行权限，也不需要用户交互。”另一个漏洞CVE-2023-50810涉及在Era-100设备的安全启动过程中发现的漏洞链，使得绕过安全控制以在内核上下文中执行未签名代码成为可能。这可以结合一个N天权限提升漏洞，促进ARM EL3级别代码执行并提取硬件支持的加密密钥。

10、Ecovacs家用机器人可被黑客入侵以监视用户

https://reurl.cc/myvdgl

研究人员发现，恶意黑客可以控制Ecovacs制造的吸尘和割草机器人，通过设备的摄像头和麦克风监视用户。这些研究结果将在Def Con黑客大会上详细介绍。研究人员分析了多款Ecovacs产品，发现存在多个漏洞，可通过蓝牙远程控制机器人并悄悄开启麦克风和摄像头。研究人员表示，他们已向Ecovacs报告这些漏洞，但未收到回应，漏洞可能仍未修复。主要问题是，任何人都可以使用手机通过蓝牙在最远450英尺（约130米）的距离内连接并控制Ecovacs机器人。一旦黑客控制设备，他们可以通过Wi-Fi远程连接机器人，读取Wi-Fi凭证、保存的房间地图，并访问摄像头和麦克风。除了黑客风险，研究人员还发现其他问题，包括用户账户删除后机器人上的数据仍存储在Ecovacs的云服务器上，身份验证令牌也保留在云端，使得二手购买者可能被前用户监视。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。