1、新型Android恶意软件FluHorse窃取密码和2FA代码

https://research.checkpoint.com/2023/eastern-asian-android-assault-fluhorse/

在Check Point Research进行的最新研究中，研究人员发现了一种新发现的名为FluHorse的恶意软件。该恶意软件具有多个模仿合法应用程序的恶意Android应用程序，其中大多数安装量超过1000000次。这些恶意应用程序会窃取受害者的凭据和双因素身份验证 (2FA) 代码。FluHorse针对东亚市场的不同领域并通过电子邮件进行分发。在某些情况下，攻击第一阶段使用的电子邮件属于知名实体。恶意软件可能几个月都未被发现使其成为一种持久、危险且难以发现的威胁。FluHorse内部没有使用自定义实施的技巧，因为恶意软件作者在开发过程中完全依赖开源框架。尽管一些应用程序部分是使用Kotlin创建的，但恶意功能是使用Flutter实现的。

2、ALPHV团伙声称对Constellation Software进行了勒索软件攻击

https://www.bleepingcomputer.com/news/security/alphv-gang-claims-ransomware-attack-on-constellation-software/

加拿大多元化软件公司Constellation Software证实，其部分系统遭到威胁行为者的破坏，他们还窃取了个人信息和商业数据。该公司表示：“该事件仅限于Constellation运营集团和业务与内部财务报告和相关数据存储相关的少数系统。”Constellation表示，它已经遏制了这次攻击，现在已经恢复了所有受事件影响的IT基础设施系统。这家加拿大公司在北美、欧洲、澳大利亚、南美和非洲拥有超过25000名员工，综合收入超过40亿美元。虽然Constellation尚未提供有关谁是攻击的幕后黑手或威胁行为者如何访问其网络的信息，但ALPHV勒索软件团伙（又名BlackCat）在其数据泄露站点添加了一个新目录，称他们破坏了公司的网络并窃取了超过1TB的文件。

3、WordPress自定义字段插件漏洞导致超过100万个站点遭受XSS攻击

https://www.bleepingcomputer.com/news/security/wordpress-custom-field-plugin-bug-exposes-over-1m-sites-to-xss-attacks/

安全研究人员警告说，“高级自定义字段”和“高级自定义字段专业版”WordPress插件安装数百万次，容易受到跨站点脚本攻击(XSS)。这两个插件是WordPress最受欢迎的自定义字段构建器之一，在全球站点上有2000000个活跃安装。Patchstack的研究员Rafie Muhammad于2023年5月2日发现了高危反射型XSS漏洞，该漏洞的编号为CVE-2023-30777。XSS漏洞通常允许攻击者在其他人查看的网站上注入恶意脚本，从而导致访问者的Web浏览器上执行代码。Patchstack表示，XSS漏洞可能允许未经身份验证的攻击者窃取敏感信息并提升他们在受影响的WordPress网站上的权限。

4、Apple为iOS/iPadOS/macOS用户发布首个快速安全响应补丁

https://www.malwarebytes.com/blog/news/2023/05/apple-releases-first-rapid-security-response-update-for-ios-ipados-and-macos-users

苹果发布了第一批快速安全响应（RSR）补丁，分别适用于iPhone和iPad以及macOS设备的iOS 16.4.1（a）、iPadOS 16.4.1（b）和macOS 13.3.1（a）。RSR是一种新型的软件补丁，在苹果公司的定期软件更新之间提供。此前，苹果的安全修复与功能和改进捆绑在一起，但RSR只提供安全修复。它们旨在使安全改进的部署更快、更频繁。根据苹果公司关于RSR的通知，新的更新“也可能用于更快地缓解一些安全问题，例如可能被利用或报告存在‘野外’的问题。”如果用户禁用了RSR，仍然会像以前一样在Apple的常规软件更新中收到安全修复程序，但是可能会使用户设备更容易受到野外攻击。

5、研究人员发现Microsoft Azure API管理服务中的3个漏洞

https://thehackernews.com/2023/05/researchers-discover-3-vulnerabilities.html

Microsoft Azure API 管理服务中披露了三个新的安全漏洞，恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。据以色列云安全公司Ermetic称，这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例。“通过滥用SSRF漏洞，攻击者可以从服务的CORS代理和托管代理本身发送请求，访问内部Azure资产，拒绝服务并绕过Web应用程序防火墙，”安全研究员Liv Matan在与黑客新闻分享的一份报告中说。

6、CISA敦促组织审查FCC的高风险通信设备清单

https://securityboulevard.com/2023/05/cisa-urges-organizations-to-review-fccs-list-of-high-risk-communications-equipment/

网络安全和基础设施安全局（CISA）最近发布了一份咨询意见，敦促各组织审查联邦通信委员会（FCC）的通信设备和服务清单，美国政府认为这些设备和服务对国家安全构成了不可接受的风险。这一行动旨在保护国家关键基础设施供应链免受网络威胁。CISA敦促所有关键基础设施所有者和运营商采取必要措施，以保护该国最关键的供应链。该机构呼吁组织将涵盖的清单纳入其供应链风险管理工作，以更好地保护其系统免受网络威胁。

7、严重的西门子 RTU 漏洞可能允许黑客破坏电网

https://www.securityweek.com/critical-siemens-rtu-vulnerability-could-allow-hackers-to-destabilize-power-grid/

西门子最近修补了一个影响其部分能源 ICS 设备的严重漏洞，该漏洞可能允许黑客破坏电网的稳定。

8、Twitter称由于安全事件导致私人Circle推文对外暴露

https://www.bleepingcomputer.com/news/security/twitter-says-security-incident-exposed-private-circle-tweets/

Twitter透露，“安全事件”导致发送到Twitter Circles的私人推文向Circle以外的用户公开显示。Twitter Circle是2022年8月发布的一项功能，允许用户向一小部分人发送推文，并承诺对公众保密。通过阅读Twitter对隐私功能的描述，发现Twitter Circle是一种向选定的人发送推文并与较小的人群分享想法的方式。Twitter在近期发送的安全事件通知中写道，“2023年4月，一次安全事件可能让你Twitter圈子之外的用户看到了推文，否则这些推文本应仅限于你发布的圈子。我们的安全团队发现了这个问题，并立即修复了这些推文在你的圈子之外不再可见。”

9、FBI 查封电子书网站 Z-Library 使用的其他域名

https://securityaffairs.com/145854/cyber-crime/z-library-domains-seized.html

FBI 再次查封 Z-Library，当局没收了该服务使用的几个域。

10、谷歌推出网络安全职业证书计划

https://www.darkreading.com/careers-and-people/google-now-offers-cybersecurity-career-certificate-program

谷歌增加了一项新的认证计划，旨在根据其现有的谷歌职业证书计划培训新一代网络安全专业人员。

免责声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。