各位FreeBufer周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1、一个月疯狂窃取5.4亿美元，Lazarus Group黑客组织拿钱造导弹

2、GitHub 封禁部分俄罗斯开发者账户

3、连绵不断，Anonymous组织持续对俄发动进攻

4、虚假升级网站再现！Win11已成恶意软件的“香饽饽”

5、ESET发出警告，联想三个漏洞影响数百万台电脑

6、CISA 发出警告，攻击者正在利用 Windows 漏洞

7、北约2022 “锁盾 ”网络演习在爱沙尼亚举行，2000名安全专家共同练兵

8、官方发布重磅报告，全面曝光美国网络攻击武器“蜂巢”

9、小心，LinkedIn的求职简历被“坏蛋”盯上了

10、REvil的TOR网站重新启动，一大波新型勒索软件或正在路上

优质文章

1、红队渗透项目之Stapler1

该项目是g0tmi1k作者精心制作的项目环境，目标是获取获得root权限并找到flag.txt文本信息，该项目作为OSCP考试培训必打的一个项目环境，该作者评定该环境为渗透中级水准难度。接下来不管是零基础学习渗透者，还是有些基础的渗透者，甚至是高水平的渗透人员读该文章都能学习到一些红队的技巧和知识。【阅读原文】

2、俄乌热战背景下的Node-ipc供应链投毒攻击

Node-ipc是使用广泛的npm开源组件，其作者出于其个人政治立场在代码仓库中进行了投毒，添加的恶意js文件会在用户桌面创建反战标语。根据进一步的深挖，该作者还曾在仓库中加入将俄罗斯与白俄罗斯区域用户数据抹除的恶意代码，但在随后改为看起来更温和的手段。

目前各大开源组件托管商（例如npmmirror）已采取行动封杀恶意版本。Vue.js生态中的vue-cli包、开发工具Unity Hub也受到了该事件的波及，并通过更新进行处理。该事件是继color.js事件后又一开发者发起的供应链攻击事件，已经被分配CVE编号CVE-2022-23812，事件影响还在继续中。【阅读原文】

3、新型DDoS攻击泛滥: 利用中间盒的TCP反射放大攻击分析

2021年8月马里兰大学Kevin Bock等在USENIX大会上提出一种利用中间盒发起的新型TCP反射放大攻击手法：攻击者可以利用部分网络中间盒在TCP会话识别上的漏洞，实现一种全新的DDoS反射放大攻击。与2018年出现的利用协议栈发起的TCP反射无法放大攻击流量的情况不同，这种新型攻击实现了基于TCP协议的流量放大效果，这也使得该攻击手法诞生之后，在黑产中快速传播，全网泛滥。【阅读原文】

4、一起针对韩国多个机构的窃密攻击活动分析

攻击者利用钓鱼邮件的方式投递恶意载荷，主题为“请求基础产业报价”的报价单，以此诱导受害者解压并执行压缩包中的LokiBot窃密木马，导致用户的隐私和信息泄露。

LokiBot窃密木马执行后，会自动收集受害者的浏览器数据、电子邮件、远程连接凭据等数据并回传至攻击者服务器，造成受害者数据泄露。LokiBot还支持接收C2命令、执行下载其他恶意代码等功能，对受害者数据产生更多威胁。【阅读原文】

5、红队项目my_first格式字符串缓冲区溢出详解

缓冲区溢出（buffer overflow），是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。

项目四十四：pegasus-1，考验了缓冲区溢出知识，该项目存在非常多的知识点，存在my_first文件，该项目是Linux环境运行着二进制文件，该文件是一个计算器程序，该环境就和AWD中的PWN题目一样，直播教学会有多种方法详细解释如何理解缓冲区溢出，如何发现缓冲区溢出，遇到缓冲区溢出如何利用，栈是什么等等问题详解。【阅读原文】

省心工具

1、Live-Forensicator：一款针对事件响应和实时取证的PowerShell脚本

Live-Forensicator是一款功能强大的PowerShell脚本，该脚本同时也是Black Widow工具箱中的一个组件，该工具的主要目的是为了在信息安全取证调查和安全事件应急响应过程中，给广大研究人员提供一定的帮助，比如说快速实现实时数据取证等。

该工具可以通过收集不同的系统信息以进一步审查异常行为或意外的数据输入，除此之外，该工具还能够查找异常文件或活动，并向安全分析人员提供分析数据。【阅读原文】

2、如何使用Auto-Elevate实现UAC绕过和权限提升

Auto-Elevate是一款功能强大的Windows系统安全测试工具，该工具可以在不需要离邕任何LPE漏洞的 情况下，通过结合COM UAC绕过技术和令牌伪造技术，帮助广大研究人员将低完整性的管理员账号提升至NT AUTHORITY\SYSTEM。

该工具能够实现UAC以及其他一些Windows内置功能的绕过，该工具能够自动定位winlogon.exe，并能够窃取和模拟该程序的进程令牌，然后使用窃取来的令牌生成一个新的系统级进程。【阅读原文】

3、Nimcrypt2：一款功能强大的PE封装器加载器

Nimcrypt2一款功能强大的PE封装器和加载器，该工具基于Nim开发，除了PE之外，该工具还支持对.NET、和原始Shellcode进行封装和加载。该工具能够通过尝试绕过AV/EDR来检测系统的安全性能。

该项目的前身为Nimcrypt，而Nimcrypt2则基于Nimcrypt增加了直接系统调用支持，并允许加载常规PE文件以及原始Shellcode。【阅读原文】