勒索軟件活動再起：QNAP為旗下NAS發佈Photo Station零日漏洞補丁

com/blog/2023/10/24/pwn2own-toronto-2023-day-one-results一旦在 Pwn2Own 活動中被利用的零日漏洞被報告，供應商有 120 天的時間在 ZDI 公開披露之前發佈補丁。今年 3 月，在 Pwn2Own Vancouver 2023 比賽期間，參賽者利用 27 個零日漏洞（和幾個漏洞

企業專屬的 Google Workspace /Microsoft 365 SaaS 備份等。Container Station（軟件容器工作站）可在NAS上直接運行Docker應用，並從Docker Hub在線下載各種應用程序，自由使用軟件容器。

組織利用，用於針對記者和反對派政客等知名人士的間諜軟件活動。該公司表示，在大多數用戶更新瀏覽器之前，對零日漏洞詳細信息的訪問將繼續受到限制。 如果該缺陷還影響尚未修補的第三方軟件，那麼對錯誤詳細信息和

客。FIN11 利用三個0day，Nokoyawa、Akira、LockBit和Magniber四個勒索軟件團夥分別利用另外四個0day。報告指出，FIN11 是影響Accellion 傳統文件傳輸設備的2021 0day的幕後黑手，該設備被用於攻擊數十傢知名機構。研究人員說："FIN11 高

和視頻編輯工作的理想之選。此外 TS-h1290FX 全面兼容主流軟件方案，可應對實時 4K / 8K 協同視頻剪輯等高帶寬應用的挑戰。為簡化工作流程，該機還能夠搭配 QNAP PCIe 網卡直連多達 20 臺 PC / 工作站。擴展能力方面， TS-h1290FX 提供

供的豐厚的現金獎勵。今年，五支安全專傢團隊揭露流行軟件和技術產品中的一些黑客行為。在為期三天的活動結束時，參賽者披露27個獨特的零日漏洞，共分得103.5萬美元（和被黑的汽車）。滲透測試公司Synacktiv團隊獲得"Pw

（MikhailVasiliev）周三在加拿大被捕，他被指控參與LockBit勒索軟件活動，該活動在美國至少有1000名受害者，其中不乏重要基礎設施和大型跨國企業。33歲的Vasiliev被指控"共謀故意破壞受保護的計算機並提出贖金要求&am

本周對全球最大銀行-中國工商銀行（ICBC）的破壞性勒索軟件攻擊可能與Citrix上個月披露的NetScaler技術中的一個關鍵漏洞有關。這一情況凸顯為什麼企業需要立即針對這一威脅打補丁。所謂的"CitrixBleed"漏洞（CVE-2023-4966）

一名前加拿大政府雇員因在勒索軟件計劃中的作用而被判處20年監禁，該計劃使他獲得超過2100萬美元的收入。SebastienVachon-Desjardins，34歲，來自魁北克省，在承認與他參與臭名昭著的Netwalker勒索軟件即服務（RaaS）行動有關的指控

在本月的補丁星期二活動日中，微軟共計修復63個漏洞，其中一個漏洞已有證據表明被黑客利用。在本次修復的漏洞中，有五個漏洞標記為“關鍵”，均可執行遠程代碼，這也是最嚴重的漏洞類型。根據官方更新日志，本月修復

2023年對於勒索軟件組織來說是重要的一年，盡管世界各地的執法部門都在繼續打擊攻擊者。PaloAltoNetworks的威脅情報公司Unit42發現，勒索軟件泄漏網站報告的受害者人數增加49%，不同勒索軟件組織在這些網站上發佈的帖子總數接

天，參賽者演示Windows11、特斯拉、UbuntuLinux及其他設備和軟件中的19個零日漏洞，以贏得73.25萬美元和一輛特斯拉Model3汽車。比賽一開始，Haboob SA 的阿卜杜勒-阿齊茲-哈裡裡（Abdul Aziz Hariri）利用一個 Adobe Reader 漏洞，結合 API 限制

中的一個零日漏洞，該漏洞已經被黑客利用，被用於發起勒索軟件攻擊。該漏洞編號為CVE-2023-28252，被微軟定位重大漏洞。據悉，該漏洞存在於Windows通用日志文件系統（CLFS）中，攻擊者能夠利用該漏洞獲取設備的全部訪問權限

在Chrome發佈緊急更新之後，微軟今天也發佈修復補丁，修復被追蹤為CVE-2022-2294的高危零日漏洞。微軟也沒有詳細說明修復的細節，隻是在Edge的更新日志中指出：“此更新包含對CVE-2022-2294的修復，Chromium團隊已報告該漏洞被黑客