SecZone每日安全资讯（2023.10.07)

环球动态

     1.NCSC已经启动了一项网络安全事件演习计划

英国国家网络安全中心（NCSC）近日宣布加大力度，推动企业开展网络事件响应演习。为了确保参与演习的供应商具备可靠的技术和能力，NCSC制定了一项新计划，旨在认证有保证的提供商。据悉，该机构已与长期合作伙伴CREST和IASME达成合作，共同评估组织是否适合成为新网络事件演习（CIE）计划中的有保证服务提供商。这一举措将有助于提高英国企业在应对网络安全事件方面的能力，确保关键信息基础设施的安全。【NCSC Launches Cyber Incident Exercise Scheme - Infosecurity Magazine (infosecurity-magazine.com)】

     2.全球领先的楼宇自动化公司最近遭遇严重的网络攻击

Johnson Controls遭遇了一起勒索软件攻击，该攻击加密了包括VMware ESXi服务器在内的许多公司设备，影响了该公司及其子公司的运营。【Access denied | www.bleepingcomputer.com used Cloudflare to restrict access】

     3.医疗保健领域的商业电子邮件攻击在2023年增加了279%

据Abnormal Security发布的一份新报告显示，今年针对医疗保健行业的商业电子邮件入侵（BEC）攻击增加了279%。数据还显示，高级电子邮件攻击增加了167%，包括BEC、凭据网络钓鱼、恶意软件和勒索。这表明医疗保健行业需要更加警惕并采取措施来保护自己免受这些类型的网络攻击。【BEC Attacks Increase By 279% in Healthcare - Infosecurity Magazine (infosecurity-magazine.com)】

1. 阿联酋APT组织被指出利用新后门Deadglyph来攻击中东政府机构

ESET 揭示，APT 组织 Stealth Falcon 在中东某政府实体的系统上巧妙地植入了新后门，将其命名为 "Deadglyph"。【阿联酋APT组织被指利用新后门Deadglyph攻击中东政府机构 - 安全内参 | 决策者的网络安全知识库 (secrss.com)】

1. 索尼公司回应了关于勒索软件攻击的传言并表示正在紧急展开调查。

索尼公司已经确认，这个名为RansomedVC的新型勒索攻击组织在本周早些时候宣称成功入侵了他们的网络系统，并窃取了超过3.14GB的未压缩数据。【索尼公司回应勒索攻击传言：正紧急展开调查 - 安全内参 | 决策者的网络安全知识库 (secrss.com)】

1. 欧洲金融服务公司遭遇了多次网络攻击

Akamai的最新数据显示，2022年第二季度至2023年第二季度，欧洲金融服务公司遭受的网络攻击增加了一倍多，在此期间激增了119%。这是一个令人担忧的趋势，因为金融行业的网络安全问题一直备受关注。【Attacks on EMEA Financial Services Double in a Year - Infosecurity Magazine (infosecurity-magazine.com)】

安全大爆料

1. 恶意被PyPI 和 npm 包窃取 SSH 密钥

如果 Kubernetes 配置被盗，攻击者可能会利用这些凭证访问集群，并实施各种恶意行为，例如修改部署、添加恶意容器、访问存储在集群中的敏感数据、横向移动或发起勒索软件攻击。因此，保护 Kubernetes 集群的凭据至关重要。【Access denied | www.bleepingcomputer.com used Cloudflare to restrict access】

1. 最新研究表明GPU.zip攻击几乎影响了所有主要的 GPU 制造商

所有现代图形处理器单元，尤其是集成的英特尔和 AMD 芯片，在没有明确要求的情况下也会执行软件可见的数据压缩。【Access denied | www.bleepingcomputer.com used Cloudflare to restrict access】

1. 新的ZenRAT 恶意软件利用假密码管理器软件针对 Windows 用户进行攻击

这个恶意软件专门针对 Windows 用户，并且会将访问者重定向到安全网页。它是一种模块化的远程访问木马（RAT），具有信息窃取功能。【New ZenRAT Malware Targeting Windows Users via Fake Password Manager Software (thehackernews.com)】

1. Google发布了针对其积极利用的零日漏洞的补丁

谷歌近日发布了修复程序，以解决Chrome浏览器中新发现的、被积极利用的零日漏洞。该高严重性漏洞被跟踪为 CVE-2023-5217，其描述为基于 VP8 压缩格式的基于堆的缓冲区溢出。【Update Chrome Now: Google Releases Patch for Actively Exploited Zero-Day Vulnerability (thehackernews.com)】

1. LIBWEBP 库中的 CVE-2023-5129 漏洞影响了数百万应用程序

Google 为 libwebp 图像库中的一个严重安全漏洞（跟踪为 CVE-2023-5129）分配了最高分，该漏洞影响了在 Web 浏览器中渲染 WebP 格式的图像。【Watch out! CVE-2023-5129 in libwebp library affects millions apps (securityaffairs.com)】

1. DARKBEAM 泄露了数十亿个电子邮件和密码组合

数字风险保护公司 DarkBeam 的 Elasticsearch 和 Kibana 界面未经保护，导致之前报告和未报告的数据泄露事件中的用户电子邮件和密码记录暴露。【DarkBeam leaks billions of email and password combinations (securityaffairs.com)】

前沿资讯

1. CodeQL在代码审计中的应用非常广泛

CodeQL是一种由GitHub开发和维护的基于静态分析的程序分析工具，它使用一种特殊的编程语言QL（查询语言）进行高效和精确的代码分析。截止目前，CodeQL已经在Github上获得了超过6100个Star，可以用于发现代码中的漏洞、代码质量问题和安全问题。CodeQL的核心思想是使用数据流分析技术去发现代码中的潜在安全问题和漏洞，支持多种编程语言，并提供大量的现成代码库和规则，帮助开发人员快速构建和扩展自己的代码分析平台。【CodeQL在代码审计中的应用_Zhuixi的博客-CSDN博客】

1. HackTheBox-Knife网络安全实战

setuid在Linux中通过chmod命令实现，赋予文件权限级别如"0750"、"0644"等，最高位的0即setuid的关键，设为4即可。若设定setgid，则设为2。执行命令后，通过ls -l查看文件，会发现文件所有者权限的x位变为s，意味着setuid成功设置。任何用户执行该文件（需具备执行权限），都会以root权限运行。对于需要多用户以root权限执行的文件，可通过setuid实现，无需为每个用户添加sudo命令。使用setuid时，确保文件具备执行权限（x），否则setuid位可能未成功设置。【HackTheBox-Knife靶场实战-阿里云开发者社区 (aliyun.com)】

1. 企业如何进行构建网络安全团队

网络安全团队的目标应与企业的发展战略保持一致，并根据企业在不同发展阶段的需求，构建具有不同方向和重点的团队。团队的组建应基于企业的规模和业务特点等因素，确定不同的安全需求目标。【企业应当如何构建网络安全团队 - FreeBuf网络安全行业门户】