网络安全日报 2023年8月18日

1、美国能源公司遭遇大规模二维码网络钓鱼攻击

https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/

据观察，网络钓鱼活动主要针对美国一家著名能源公司，利用二维码将恶意电子邮件放入收件箱并绕过安全措施。此次攻击活动引发的 1000 封电子邮件中，大约有三分之一 (29%) 针对一家大型美国能源公司，而其余尝试则针对制造业 (15%)、保险业 (9%)、技术 (7%)、和金融服务（6%）。据发现该活动的研究人员称，这是首次如此大规模地使用二维码，表明更多的网络钓鱼攻击者可能正在测试其作为攻击媒介的有效性。

2、网络代理提供商利用恶意软件传播感染住宅网络牟利

https://cybersecurity.att.com/blogs/labs-research/proxynation-the-dark-nexus-between-proxy-apps-and-malware

研究人员发现了一项大规模活动，该活动向至少40万个 Windows 系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点，并且一家公司正在对通过这些机器运行的代理流量进行收费。住宅代理对于网络犯罪分子来说很有价值，因为它们可以帮助部署来自新 IP 地址的大规模撞库攻击。它们还有合法目的，例如广告验证、数据抓取、网站测试或增强隐私的重新路由。一些代理公司出售住宅代理的访问权限，并向同意共享带宽的用户提供金钱奖励。

3、Citrix ShareFile存在严重漏洞可被广泛利用

https://www.cisa.gov/news-events/alerts/2023/08/16/cisa-adds-one-known-exploited-vulnerability-catalog

CISA 警告称，一个被追踪为 CVE-2023-24489 的关键 Citrix ShareFile 安全文件传输漏洞正成为未知攻击者的攻击目标，并已将该漏洞添加到其已知的已知安全漏洞目录中。Citrix ShareFile（也称为 Citrix Content Collaboration）是一种托管文件传输 SaaS 云存储解决方案，允许客户和员工安全地上传和下载文件。该服务还提供“存储区域控制器”解决方案，允许企业客户在本地还是在受支持的云平台（例如 Amazon S3 和 Windows Azure）上配置其私有数据存储来托管文件。

4、PowerShell Gallery存在漏洞可被利用导致供应链攻击

https://blog.aquasec.com/powerhell-active-flaws-in-powershell-gallery-expose-users-to-attacks

PowerShell Gallery 中的漏洞可能会被攻击者利用，对注册表用户发起供应链攻击。PowerShell Gallery由 Microsoft 维护，是一个用于共享和获取 PowerShell 代码的中央存储库，其中包括 PowerShell 模块、脚本和所需状态配置 (DSC) 资源。该注册表拥有 11829 个独特的软件包，总共 244615 个软件包。研究人员发现的问题与该服务围绕包名称的宽松政策有关，缺乏针对拼写错误攻击的保护，从而使攻击者能够上传对毫无戒心的用户来说看似真实的恶意 PowerShell 模块。

5、文件匿名共享网站Anonfile因大量被滥用行为而关闭

https://www.bleepingcomputer.com/news/security/file-sharing-site-anonfiles-shuts-down-due-to-overwhelming-abuse/

Anonfiles 是一项流行的匿名共享文件服务，因无法再应对用户的大量滥用后已关闭。Anonfiles 是一个匿名文件共享网站，允许人们匿名共享文件，而无需记录其活动。然而，它很快成为攻击者最流行的文件共享服务之一，用于共享被盗数据、 被盗凭证和受版权保护的材料的样本。

6、研究人员演示了一种iOS 16假飞行模式的持久性技术

https://securityaffairs.com/149597/mobile-2/airplane-mode-apple-ios-16-exploit.html

Jamf 威胁实验室的研究人员在 iOS 16 上开发了一种利用后持久性技术，欺骗受害者相信该设备处于功能正常的飞行模式。事实上，研究人员植入了一种人工飞行模式，可以修改用户界面以显示飞行模式图标，并切断除恶意攻击者的应用程序之外的所有应用程序的互联网连接。使用此技巧，即使用户认为手机处于离线状态，攻击者也可以保持对手机的访问。研究人员指出，该技术尚未用于野外攻击。

7、谷歌将人工智能引入Fuzz测试，结果令人大开眼界

https://www.securityweek.com/google-brings-ai-magic-to-fuzz-testing-with-eye-opening-results/

谷歌在其 OSS-FUZZ 项目（一项免费服务，为开源项目运行模糊器并私下向开发人员发出检测到的错误的警报）中添加了生成式人工智能技术，并发现当使用 LLM 创建新的模糊目标时，代码覆盖率得到了巨大的改善。

8、LABRAT 行动针对 GitLab 开展恶意挖矿和代理劫持活动

https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/

Sysdig 威胁研究团队( TRT) 最近发现了一种新的、出于经济动机的操作，称为 LABRAT。该攻击者的一个明显目标是通过代理劫持和加密货币挖矿来赚取收入。

9、微软云安全问题引发美国国土安全部安全审查

https://www.darkreading.com/cloud/microsoft-cloud-woes-inspire-dhs-security-review

美国国土安全部 (DHS) 近期启动了针对云计算环境的网络攻击威胁的调查，微软在处理针对其 Azure 云基础设施的重大攻击方面将面临严格审查。

10、3 个主要电子邮件安全标准被证明漏洞百出

https://www.darkreading.com/vulnerabilities-threats/3-major-email-security-standards-falling-down-on-the-job

安全公司 Cloudflare 发现，绝大多数欺诈性邮件至少通过了三个主要电子邮件安全标准(SPF、DKIM、DMARC)之一的审查。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZLH0Akyq-1692322571475)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yEhTgovW-1692322571475)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q3evXrnv-1692322571476)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ODNeOLH0-1692322571476)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J84qflu2-1692322571476)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里****网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

同学们可以扫描下方二维码获取哦！