每日安全简讯(20240324)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄黑客组织APT29针对德国政党发起网络攻击

俄罗斯黑客团伙APT29被指控对德国政党进行网络攻击作为其背后莫斯科支持的间谍活动的一部分。安研究人员表示，此次行动是该组织首次针对政治组织。研究人员发布的报告中将这次活动归咎于与俄罗斯外交情报局关联的APT29。该活动自2月底以来活跃，主要通过假装来自德国基督教民主联盟的网络钓鱼邮件进行。攻击者发送的钓鱼电子邮件看起来是来自德国基督教民主联盟的，邀请受害者参加晚宴接待。这些邮件包含了一个伪装成zip文件附件的恶意软件"RootSaw"。一旦受害者下载了恶意文件，就会安装一个名为"WineLoader"的全新后门恶意软件，该软件能够执行解密功能以调用shellcode，并与指挥控制服务器建立通信，发送诸如受害者的用户和设备名称之类的信息，以帮助攻击者识别受害者。基于对WineLoader解密文件的分析，研究人员估计，威胁行为者可能已将该变体从他们之前链接到去年针对乌克兰外交官的类似钓鱼活动的MuskyBeat旧变体中复用。尽管该组织之前曾针对欧洲政府、外国大使馆和相关外交活动，但研究人员称，这次新活动是该团伙首次被发现针对政治党派，这表明攻击者未来行动策略的改变。

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

---

2 新型Go语言加载器携Rhadamanthys窃取器攻击

研究员发布了一篇博客，报告了一起使用新型Go语言编写的恶意软件(malware)加载器参与的网络广告欺诈(malvertising)活动。这个名为Rhadamanthys的窃取器通过伪造流行的SSH和Telnet客户端PuTTY的广告，引诱用户下载恶意软件。当受害者在谷歌搜索结果中点击这个看似合法的广告后，会被重定向到一个由攻击者控制的假PuTTY网站，并从中下载执行文件。这个伪装的执行文件是一个用Go语言书写的dropper，能够在用户不知情的情况下下载并运行Rhadamanthys窃取器。研究员还注意到，这个dropper在下载第二个有效载荷之前会对目标IP地址进行检查，以确认受害者是否真正通过恶意广告下载了这个软件。

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys

---

3 千万房门面临电子锁漏洞风险

研究人员发现了一系列针对Dormakaba Saflok电子RFID锁的漏洞，这些漏洞被集体命名为Unsaflok，可能允许黑客破解这些流行锁具，打开全球范围内数百万扇门。Saflok电子RFID锁广泛应用于酒店和多户型住宅环境，遍布131个国家的13000个地产，影响了估计超过300万扇门。研究显示，仅需获取任一物业的一张钥匙卡，攻击者即可针对该物业的任何一扇门进行攻击。这张钥匙卡可以是他们自己房间的或者一个过期的从快速结账收集箱中取得的。利用成本不到300美元的RFID读写设备，研究人员可以复制这种钥匙卡来开锁。Dormakaba在2023年11月对这些问题发布了更新。尽管漏洞已报告，但截至2024年3月，估计仅约36%受影响的锁具得到了更新或更换。研究人员建议酒店工作人员定期检查锁的出入记录，以确定是否执行了Unsaflok攻击。尽管目前没有证据表明漏洞已在现实世界中被利用，但考虑到这些锁具从1988年起就开始使用，专家们警告不排除早已存在熟知这些漏洞并加以利用的个体。

https://unsaflok.com/

---

4 德国警方摧毁暗网市场“复仇者市场”

2024年3月23日，德国联邦刑警局(BKA)和法兰克福打击网络犯罪小组(ZIT)成功摧毁了暗网市场Nemesis Market的基础设施。这次行动在德国和立陶宛执行，阻断了该市场的运作。据德国BKA发布的新闻稿称，Nemesis Market自2021年以来活跃，提供非法药物、窃取数据、信用卡信息以及网络犯罪服务，如勒索软件、钓鱼攻击或DDoS攻击。该市场近期注册用户超过15万，卖家账号超过1100个，调查显示，其中近20%的卖家账户来自德国。执法机构还没收了价值约94000欧元的加密货币。当前，Nemesis Market上展示着执法部门查封的横幅，并表示将利用缴获的数据追查卖家和用户身份。德国警方行动迅速，有效，在3月初宣布查封了德语区最大的网络犯罪市场Crimemarket，12月时联合多国警力摧毁了暗网平台Kingdom Market。

https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2024/Presse2024/240321_PM_Nemesis_Market.html?nn=27906

---

5 伊朗TA450组织对以色列人网络攻击手法更新

研究人员披露，伊朗与TA450组织有关联的网络威胁行为者正在采用伪造的薪资、补偿和财务激励电子邮件，诱骗在多国公司工作的以色列员工点击恶意链接。TA450，又被称为MuddyWater、Mercury和Static Kitten，主要通过有关薪酬的社会工程诱饵攻击全球制造、技术和信息安全公司的受害者。TA450正瞄准区域技术提供商，通过针对地区托管服务提供商的供应链攻击，企图获得小型至中型企业下游用户的访问权。该网络钓鱼活动始于3月7日，并持续到3月11日的一周。TA450发送了包含含有恶意链接的PDF附件的电子邮件。这一策略对TA450来说并不新鲜，但最近的观察显示该组织更倾向于在电子邮件正文中直接包含恶意链接。PDF附件中包含了通往Egnyte、Onehub、Sync和TeraBox等文件共享网站的不同恶意链接。邮件来自可能已被TA450最近活动中感染的.IL发件人账户。最初的访问下载了一个压缩的ZIP档案，其中包含一个MSI文件，该文件安装了常被TA450滥用的AteraAgent远程管理软件。该组织以前使用侧加载DLL来诱骗合法程序运行恶意软件，并对PowerShell脚本进行混淆，以隐藏命令和控制功能。研究人员通过分析TA450组织的战术、技术和程序，以及其针对模式和使用的恶意软件，将这场网络攻击活动归咎于TA450。

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

---

6 网络攻击导致养老院破产

近期，美国中西部的Petersen Health Care，一家运营多个养老院的机构因网络攻击导致财务问题而申请破产保护。去年10月，该机构遭受勒索软件攻击，随后Change Healthcare的网络攻击进一步影响了其收入来源，导致其现金流出现问题。除了网络攻击，公司还面临着其他挑战，如COVID-19疫情的长尾效应、招聘困难、以及食品、药品以及医疗用品成本的通胀压力。另外，参议员马克·沃纳提出了一项法案，允许政府在医疗提供商遭受网络事件时，提前支付现金以缓解困难，前提是这些提供商和他们的供应商满足美国卫生及公共服务部制定的最低网络安全标准。这一事件突显了整个医疗行业的脆弱性以及鉴于网络安全问题，通常运营较小医疗机构的实体需要政府的更多关注和支持，同时也提醒了行业内迫在眉睫的提升网络安全标准的重要性。

https://www.warner.senate.gov/public/index.cfm/pressreleases?id=AADF3724-148A-4545-BD41-A2735435486F

---