1、攻击者使用Excel XLL文件传播XenoRAT远程访问木马

https://hunt.io/blog/xenorat-excel-xll-confuserex-as-access-method

研究人员在分析恶意软件样本时发现，一种新型的XenoRAT远程访问木马采用了Excel XLL文件作为传播载体，并通过ConfuserEx进行保护。这一变化标志着XenoRAT攻击手段的转变，采用了较为不常见的文件类型来部署恶意代码，可能对企业网络构成更大威胁。该XenoRAT样本名为“Payment_Details.xll”，通过Excel-DNA框架加载恶意.NET程序集，并利用ConfuserEx进行加密和混淆，以逃避检测。执行该XLL文件后，恶意批处理文件(cfgdf.bat)会启动并提取一个密码保护的RAR档案，进一步解压并执行XenoRAT和其他远程访问工具。攻击者还通过打开一个伪造的PDF文件“Pago.pdf”来迷惑受害者，模拟合法的财务交易。此外，XenoRAT的配置中硬编码了一个命令与控制服务器的IP地址，且恶意文件通过伪造的编译时间来规避基于时间的检测。攻击者显然在工具和技术上投入了大量资源来提高隐蔽性和破坏性。

2、供应链管理供应商Blue Yonder遭受勒索软件攻击

https://www.theregister.com/2024/11/26/blue_yonder_ransomware/

供应链管理公司Blue Yonder近日遭遇勒索软件攻击，导致其托管服务环境大规模中断，直接影响英国多家杂货连锁店的供应链运作。Blue Yonder作为Panasonic子公司，为全球众多企业提供基于AI的供应链解决方案，其客户包括Tesco、Sainsbury、Morrisons等知名零售商。据公司公告，这起攻击发生在11月21日，目前团队正与外部网络安全公司合作加紧恢复受影响的服务。Blue Yonder表示其公共云环境未发现可疑活动，但此次中断已迫使客户采取应急措施。例如，Morrisons已启用更慢的备份流程，而Sainsbury则通过既定应急计划减轻影响。目前，公司尚未公布具体的恢复时间表，仅建议客户密切关注其更新页面。至发稿时，尚未有勒索软件团伙对该事件负责，此次攻击的源头仍在调查中。

3、QNAP修复NAS与路由器中的多项关键漏洞

https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/

QNAP近日发布多份安全公告，修复多款产品中的关键安全漏洞，提醒用户尽快更新以避免安全风险。其中，NAS应用Notes Station 3存在两个严重漏洞，包括缺乏关键功能认证（CVE-2024-38643，CVSS评分9.3）和服务器端请求伪造（CVE-2024-38645）。这些漏洞可能导致远程攻击者无需凭据即可获取系统权限或访问敏感数据。目前，这些问题已在3.9.7版本中修复。此外，QNAP高性能路由器QuRouter系列也被发现存在一项操作系统命令注入漏洞（CVE-2024-48860，CVSS评分9.5），攻击者可远程执行系统命令，已在版本2.4.3.106中修复。同样受到修复的还有QTS和QuTS Hero操作系统中的内存格式化处理缺陷（CVE-2024-50396、CVE-2024-50397）以及QLog Center日志管理工具中的文件路径遍历漏洞（CVE-2024-48862）。

4、微软全球宕机11小时，多项核心服务无法使用

https://www.freebuf.com/news/416161.html

昨天（11月25日），微软的多项核心服务（包括 365、Exchange Online、Teams 和 Outlook）再次遭遇全球性的大规模中断，用户随后在社交媒体上报告了一系列问题，如无法发送邮件、网站崩溃及出现错误页面。在事故发生的6小时内，Downdetector已经收到了数千份报告，受影响的用户表示他们还遇到了连接其他服务的问题，包括OneDrive、Purview、Copilot以及Outlook Web和Desktop。

5、Meta报告揭示“杀猪盘”诈骗的惊人规模，30万人被迫参与

https://starmap.dbappsecurity.com.cn/info/8899

Meta最近发布的一份报告揭示了“猪宰割”诈骗背后的有组织犯罪网络及其对全球用户的影响。这种诈骗手法通过强迫劳动在诈骗中心进行，利用人们的信任来窃取投资，尤其是加密货币投资。报告指出，全球约有30万人被迫参与诈骗，犯罪团伙每年盗取640亿美元。

6、俄黑客通过“近邻攻击”远程入侵美国企业WiFi网络

https://www.secrss.com/articles/72703

俄罗斯黑客组织APT28成功突破物理攻击范围，入侵了万里之外的一家美国企业的Wi-Fi网络。

7、WordPress 插件严重漏洞影响 200,000 个站点

https://securityonline.info/cve-2024-10542-cve-2024-10781-critical-wordpress-plugin-flaw-exposes-200000-sites

Wordfence 威胁情报团队最近的一份报告揭示了 CleanTalk WordPress 插件 Anti-Spam 中的两个严重漏洞，影响了超过 200,000 个活跃安装。这些漏洞编号为 CVE-2024-10542 和 CVE-2024-10781，可能允许未经身份验证的攻击者通过安装恶意插件和执行任意代码来破坏网站。

8、RomCom在网络攻击中利用Firefox 和Windows零日漏洞

https://thehackernews.com/2024/11/romcom-exploits-zero-day-firefox-and.html

与俄罗斯有关的威胁组织RomCom与两个安全漏洞的零日利用有关，一个在 Mozilla Firefox 中，另一个在 Microsoft Windows 中，作为旨在在受害者系统上传递同名后门的攻击的一部分。

9、PHP 修补了多个漏洞，包括一个严重漏洞

https://www.anquanke.com/post/id/302198

PHP 开发团队发布了紧急安全更新，以解决影响 8.1.31、8.2.26 和 8.3.14 之前版本的多个漏洞。这些漏洞的严重程度不一，其中一些可能允许攻击者泄漏敏感信息、执行任意代码或发起拒绝服务攻击。CVE-2024-8932 是最严重的漏洞之一，它允许在 ldap_escape 函数中进行越界 (OOB) 访问。该漏洞的 CVSS 得分为 9.8，可使攻击者在受影响的系统上执行任意代码。

10、四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》

https://www.secrss.com/articles/72726

公安部会同国家发展和改革委员会、工业和信息化部、中国人民银行联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。