据Hackread消息，iProov 揭露暗网重大操作，有人收集真实身份文件与面部图像以绕过 KYC 验证。该暗网组织通过有偿获取方式，在拉美和东欧等地收集大量身份信息，用于出售获利。攻击者手段从简单静态图像到深度伪造软件和定制 AI 模型不断升级，对依赖生物识别验证的机构构成重大挑战。同时，近期 ZKTeco 和 ChiceDNA 等公司也曝出生物识别数据泄露事件。

据Cybersecuritynews消息，，IBM 报告其 AIX 操作系统存在漏洞，会导拒绝服务（DoS）状况，具体涉及 TCP IP 和 perfstat 内核扩展，对应 CVE-2024-47102 与 CVE-2024-52906 两个漏洞编号。前者因输入验证不当，后者因存在竞争条件所致，二者均允许非特权本地攻击者触发 DoS，CVSS 基础评分均为 5.5，属中等严重程度，利用复杂度相对低。受影响的产品版本涵盖 AIX 7.2、7.3 及 VIOS 3.1、4.1 等。IBM 建议用户查受影响文件集并更新至无漏洞版本，管理员需关注公告来防系统中断。

据Cybersecuritynews消息，戴尔广泛使用的 SupportAssist 软件中存在一个新披露的高影响漏洞（CVE-2024-52535），该漏洞影响家庭 PC 版（4.6.1 及更早版本）和商业 PC 版（4.5.0 及更早版本），源于软件修复组件中的符号链接攻击，低权限认证用户可借此提升权限，执行诸如任意删除系统文件和文件夹等未授权操作，风险严重，CVSS 基础评分为 7.1。

据Cybersecuritynews消息，FICORA 和 CAPSAICIN 两大僵尸网络利用D-Link 路由器 Home Network Administration Protocol（HNAP）接口的遗留漏洞，如 CVE-2015-2051 等，进行恶意攻击，获取设备的完全远程控制权，进而执行恶意命令。这些漏洞虽已被披露多年，但因大量设备未更新固件而仍被利用。FICORA 僵尸网络可发动 DDoS 攻击，CAPSAICIN 则会快速部署并清除其他恶意软件。

据Cybersecuritynews消息，Palo Alto Networks 的 PAN-OS 软件曝出高严重性漏洞 “CVE-2024-3393”。该漏洞存在于其下一代防火墙中，未经身份验证的攻击者可通过发送特制 DNS 数据包来利用 DNS 安全功能，从而触发拒绝服务情况，反复攻击甚至能使防火墙重启进入维护模式，严重影响可用性，其 CVSS 评分为 8.7 分。此漏洞影响多个 PAN-OS 版本，包括 11.2、11.1 等系列。Palo Alto Networks 已发布补丁，建议用户尽快升级，无法立即升级的可先采取临时措施，如禁用 DNS 安全日志记录，以降低风险。

据Bleepingcomputer消息，威胁行为者在 “传染性面试” 活动中使用新型 “OtterCookie” 恶意软件针对软件开发人员。该活动自 2022 年 12 月起就已存在，此前用假招聘投送其他恶意软件，如今新添 “OtterCookie”，于 9 月出现且 11 月有新变种。此恶意软件经加载器传递，通过特定项目或包感染目标，与控制端建立通信后可执行窃取数据等命令，包括加密货币钱包密钥及剪贴板数据等。

据Bleepingcomputer消息，Apache 软件基金会针对 MINA、HugeGraph-Server 和 Traffic Control 产品的三个严重问题发布了安全更新。这些漏洞于 12 月 23 日至 25 日在新软件版本中得到修复，但假期可能导致修复速度放缓和被利用风险增加。其中，MINA 存在因不安全的 Java 反序列化导致的漏洞（CVE-2024-52046），影响多个版本，Apache 已发布新版本修复并给出升级建议；HugeGraph-Server 存在认证绕过漏洞（CVE-2024-43441），已在 1.5.0 版本修复；Traffic Control 存在 SQL 注入漏洞（CVE-2024-45387），在 8.0.2 版本修复。

据Thehackernews消息，卡巴斯基公司在调查亚洲一台受感染机器时发现伊朗 “魅力小猫” 黑客组织部署了贝拉 Ciao 恶意软件的 C++ 新变种 BellaCPP。贝拉 Ciao 最早于 2023 年 4 月出现，常被用于针对多国的网络攻击，该组织惯于利用社会工程学手段结合软件安全漏洞实施攻击。BellaCPP 作为变种，以 “adhapl.dll” 形式存在，功能与贝拉 Ciao 类似，但缺少网络 shell，且使用了该组织此前用过的域名，网络安全风险不容忽视。

据Thehackernews消息，Claroty 研究人员发现锐捷网络云管理平台存在多处安全漏洞出，这些漏洞影响 Reyee 平台及 Reyee OS 网络设备，若遭利用，攻击者可在任何云启用设备上执行代码，控制数以万计的设备，并设计出 “Open Sesame” 攻击方式。10 个漏洞中有 3 个严重等级为 “关键”，包括弱密码恢复机制漏洞（CVE-2024-47547，CVSS 评分 9.4）、服务器端请求伪造漏洞（CVE-2024-48874，CVSS 评分 9.8）等。此外，知晓设备序列号还可进一步利用相关漏洞执行恶意命令。经披露后，锐捷网络已修复这些漏洞。

据Cybersecuritynews消息，研究人员发现一种复杂的攻击技术，该技术利用 Windows Defender 应用控制（WDAC）来禁用 Windows 机器上的端点检测和响应（EDR）传感器。WDAC 本是用于让组织精细管控 Windows 设备可执行代码的技术，却遭恶意人员利用。攻击者凭借管理权限制定并部署特制 WDAC 政策，能在系统启动时阻止 EDR 传感器加载。攻击分政策放置、重启要求、禁用 EDR 三个主要阶段，还有名为 “Krueger” 的概念验证工具出现。

据Cybersecuritynews消息，腾讯云鼎安全实验室发现Apache Traffic Control存在严重的 SQL 注入漏洞（CVE-2024-45387），影响 8.0.0 至 8.0.1 版本。该漏洞存在于 Traffic Ops 组件，特权用户可通过向特定端点发送特制 PUT 请求执行任意 SQL 命令，可能导致数据库敏感信息泄露、数据被篡改或删除、权限提升以及基础设施被完全攻陷等严重后果。Apache 软件基金会已在 8.0.2 版本发布补丁，敦促受影响用户立即升级，无法立即更新的用户可采取限制相关用户访问、监控日志等临时措施。

据Infosecurity-magazine消息，，安全研究人员发现暗网存在大规模身份窃取行动后，呼吁面向客户的企业改进验证检查。某地下组织收集大量身份文件及对应面部图像，试图蒙混 “了解你的客户”（KYC）验证。iProov 称，这些图像和文件可能是数据主体为获取报酬自愿交出的，这给使用自拍验证客户身份的组织带来额外挑战。该组织似乎在拉丁美洲活动，当地警方已获通知，且东欧也有类似情况。此外，Entrust公司 曾提醒，AI 驱动的深度伪造已占通过动态生物识别验证诈骗尝试的四分之一。

据Infosecurity-magazine消息，安全研究人员发现，针对热门开源包的一系列高调入侵事件，凸显恶意代码渗入常用软件工具的风险在增加。威胁行为者在 rspack（JavaScript 打包工具）和 vant（移动端网页应用的 Vue UI 库）相关包中植入加密挖矿恶意软件，二者每周在 npm 上有数十万下载量。受影响版本已被替换或修复，此类事件是开源软件遭入侵大趋势一部分，此前也发生过多起类似攻击。

据Hackread消息，CloudSEK 的 TRIAD 团队于前日发现热门云开发测试平台Postman 工作区存在关键安全漏洞及风险，在为期一年的调查中，发现超 3 万个可公开访问的工作区泄露第三方 API 相关敏感信息，如访问令牌、刷新令牌和 API 密钥等，涉及众多行业组织，影响 GitHub、Slack、Salesforce 等主要平台。数据泄露原因包括访问配置不当、明文存储、公开共享集合等，可能导致财务和声誉受损等严重后果。CloudSEK 已向受影响组织通报，Postman 也实施了保密政策。

据Infosecurity-magazine消息，美联邦法官裁定以色列 NSO 集团违法。该集团利用 WhatsApp 零日漏洞，在至少 1400 台设备部署 “飞马” 间谍软件，违反州与联邦法律及 WhatsApp 服务条款。WhatsApp 五年前起诉，指出其攻击对象非合法执法目标，而是诸多特定群体。法官称 NSO 未遵法庭命令。WhatsApp 负责人称此裁定是隐私保护的胜利。

据Cybersecuritynews消息，研究人员发现基于网页的系统管理工具 Webmin 存在关键安全漏洞（CVE-2024-12828），CVSS 评分为 9.9，性质严重。该漏洞源于其 CGI 请求处理中的命令注入缺陷，软件在执行系统调用前未妥善验证用户输入，使得认证攻击者能注入恶意命令并以 root 权限执行。全球约有百万 Webmin 安装量，影响不容小觑，可能导致服务器完全被攻陷、敏感数据遭未授权访问等后果。此漏洞由趋势科技零日计划发现，Webmin 已在 2.111 版本修复。

据Cybersecuritynews消息，研究人员发现两款恶意 Python Package Index（PyPI）包 ——Zebo-0.1.0 和 Cometlogger-0.1 ，这两款恶意PyPI包于2024年11月上传，威胁用户安全。Zebo-0.1.0 采用高级混淆手段，利用 pynput 库记录用户按键、ImageGrab 库截屏，将敏感数据传至远程服务器，还通过创建文件保存在启动文件夹实现持续运行。Cometlogger-0.1 瞄准浏览器及加密钱包中的各类信息，用抗虚拟机战术及压缩组件躲避检测。

据Cybersecuritynews消息，网络犯罪团体正融合新老手段，通过部署 AsyncRAT 和 SectopRAT 等远程访问工具窃取用户敏感信息。微软发现，黑客利用技术支持诈骗，借助合法的远程监控管理软件 ScreenConnect 首次将其作为部署 AsyncRAT 的工具，骗得用户远程访问权限后安装该恶意软件以执行数据窃取等恶意行为。此外，近月还出现利用搜索引擎优化投毒和错别字抢注域名等手段部署 SectopRAT 的情况，其能窃取敏感浏览器数据和加密钱包信息，且有很强隐身能力。

据Cybersecuritynews消息，伊朗黑客组织 OilRig 针对阿联酋及海湾地区关键基础设施和政府实体，发动了新一轮网络攻击。他们利用 Windows 内核的 0-day 漏洞 CVE-2024-30088 提升权限并部署恶意软件。攻击从入侵服务器上传网页 shell 开始，利用漏洞提权后安装名为 STEALHOOK 的后门，以窃取敏感信息和进行横向移动。微软已修复此漏洞，但 OilRig 仍在野外利用。安全专家呼吁各组织加强补丁管理和安全防御，警惕此类攻击。

据Cybersecuritynews消息，在开源图数据库系统 Apache HugeGraph-Server 中发现了新安全漏洞 CVE-2024-43441。该漏洞被归类为 “通过假定不可变数据进行认证绕过” 漏洞，影响软件 1.5.0 版本发布前的 1.0 至 1.3 版本，需用户立即采取行动。因其服务器内认证机制处理不当产生，攻击者可借此绕过认证流程，获取对服务器敏感资源和功能的未授权访问。Apache 软件基金会现已发布 1.5.0 版本修复该漏洞，建议用户立即升级系统。