每日安全简讯(20240201)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Trigona与Mimic勒索软件背后为同一攻击者

研究人员最近发现了Trigona勒索软件威胁行为者同时安装Mimic 勒索软件的一项新活动。与过去的案例一样，最近检测到的攻击以 MS-SQL 服务器为目标，并因在恶意软件安装过程中利用MS-SQL 服务器中的批量复制程序 (BCP)实用程序而引人注目。Trigona 勒索软件已知至少自 2022 年 6 月以来一直活跃，通常针对 MS-SQL 服务器进行攻击，并且仍然处于活动状态。Mimic勒索软件首次发现于2022年6月，2024年1 月，研究人员发现威胁行为者同样了攻击管理不善的MS-SQL服务器并安装Mimic的案例。因此，研究人员认为 Trigona 勒索软件与 Mimic 勒索软件攻击的背后是同一攻击者。

https://asec.ahnlab.com/en/61000/

---

2 攻击者滥用Microsoft Teams群聊传播DarkGate恶意软件

新的网络钓鱼攻击滥用 Microsoft Teams 群聊请求来推送恶意附件，在受害者的系统上安装 DarkGate 恶意软件负载。攻击者使用看似受感染的 Teams 用户（或域）发送了 1000 多个恶意 Teams 群聊邀请。目标接受聊天请求后，威胁行为者会诱骗他们使用名为“Navigating Future Changes October 2023.pdf.msi”的双扩展名下载文件，这是一种常见的 DarkGate 策略。安装后，该恶意软件将访问其位于 hgfdytrywq[.]com 的命令和控制服务器，该服务器已确认为 DarkGate 恶意软件基础设施的一部分。

https://cybersecurity.att.com/blogs/security-essentials/darkgate-malware-delivered-via-microsoft-teams-detection-and-response

---

3 攻击者可利用新型Glibc漏洞获得主流Linux的root访问权限

恶意本地攻击者可以利用 GNU C 库（又名 glibc）中新披露的安全漏洞获得 Linux 计算机上的完全 root 访问权限。追踪为 CVE-2023-6246 的基于堆的缓冲区溢出漏洞源于 glibc 的 __vsyslog_internal() 函数，syslog() 和 vsyslog()使用该函数进行系统日志记录。这个缺陷允许本地权限升级，使非特权用户能够获得完全的 root 访问权限。它会影响 Debian、Ubuntu 和 Fedora 等主要 Linux 发行版。威胁行为者可以利用该缺陷，通过对使用这些日志记录功能的应用程序进行特制输入来获取更高的权限。

https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog

---

4 研究人员披露兼容64位操作系统的新型ZLoader恶意软件

研究人员发现了一种传播ZLoader恶意软件的新活动，该活动在僵尸网络基础设施于 2022 年 4 月被拆除近两年后重新出现。据称该恶意软件的新变种自 2023 年 9 月以来一直在开发中。新版本的 ZLoader 对加载器模块进行了重大更改，增加了 RSA 加密，更新了域生成算法，现在首次针对 64 位 Windows 操作系统进行编译。ZLoader 也称为 Terdot、DELoader 或 Silent Night，是 Zeus 银行木马的一个分支，该木马于 2015 年首次出现，之后转向充当下一阶段有效负载（包括勒索软件）的加载程序。

https://www.zscaler.com/blogs/security-research/zloader-no-longer-silent-night

---

5 研究人员发现Outlook安全漏洞可造成NTLM密码泄露

Microsoft Outlook 中现已修补的安全漏洞可能会被威胁行为者利用，在打开特制文件时访问 NT LAN Manager (NTLM) v2 哈希密码。该问题编号为 CVE-2023-35636（CVSS 评分：6.5），该问题由这家科技巨头在 2023 年 12 月的周二补丁更新中解决。微软在上个月发布的一份公告中表示：“在电子邮件攻击场景中，攻击者可以通过向用户发送特制文件并说服用户打开该文件来利用该漏洞。”“在基于网络的攻击场景中，攻击者可以托管一个网站（或利用接受或托管用户提供的内容的受感染网站），其中包含旨在利用该漏洞的特制文件。”攻击者必须说服用户单击嵌入在网络钓鱼电子邮件中或通过即时消息发送的链接，然后欺骗他们打开相关文件。

https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes

---

6 奔驰企业网络GitHub令牌配置错误导致源代码泄露

处理不当的 GitHub 令牌可以不受限制地访问梅赛德斯-奔驰的内部 GitHub Enterprise Service，从而将源代码暴露给公众。梅赛德斯-奔驰是一家著名的德国汽车、公共汽车和卡车制造商，以其丰富的创新历史、豪华的设计和顶级的制造质量而闻名。与许多现代汽车制造商一样，该品牌在其车辆和服务中使用软件，包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理以及电力和电池管理（用于电动汽车）。2023 年 9 月 29 日，研究人员在属于 Mercedez 员工的公共存储库中发现了 GitHub 令牌，该令牌可以访问公司内部的 GitHub Enterprise Server。GitHub 令牌可以对托管在内部 GitHub Enterprise Server 上的整个源代码进行‘不受限制’和‘不受监控’的访问 。该事件暴露了包含大量知识产权的敏感存储库，泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他关键内部信息。

https://redhuntlabs.com/blog/mercedes-benz-source-code-at-risk-github-token-mishap-sparks-major-security-concerns/

---