每日安全简讯(20240330)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 印度国防和能源部门遭受黑客攻击

研究人员的报告揭示了针对印度政府实体和能源公司的网络攻击。黑客使用修改版的HackBrowserData恶意软件，通过网络钓鱼邮件伪装成印度空军邀请函来传播。攻击者利用Slack作为命令和控制中心，窃取包括财务文件、员工个人信息以及石油天然气钻探活动在内的敏感数据，总计约8.81GB。此次攻击行动被命名为"FlightNight"，始于包含隐藏二进制文件的ISO文件。此外，攻击链中还包括使用GoStealer窃取程序的类似活动。这些攻击利用开源工具和合法基础设施，降低了威胁行为者的时间和开发成本，同时提高了攻击的隐蔽性和效率。

https://blog.eclecticiq.com/operation-flightnight-indian-government-entities-and-energy-sector-targeted-by-cyber-espionage-campaign

---

2 DinodasRAT Linux植入程序针对全球实体发起攻击

研究人员的报告揭示了DinodasRAT(也称为XDealer)的Linux版本，这是一个用C++编写的多平台后门，主要针对基于Red Hat和Ubuntu Linux的系统。该后门通过创建隐藏文件确保仅运行一个实例，并利用SystemV或SystemD启动脚本来建立持久性。它收集有关受感染机器的信息来创建唯一标识符，而不会收集任何特定于用户的数据。后门通过与C2服务器的TCP或UDP通信来执行各种命令，如文件操作、服务控制、进程枚举和远程shell执行。Linux版本的DinodasRAT使用Pidgin的libqq库进行通信加密。此恶意软件的基础设施已启动并运行，主要影响中国、土耳其和乌兹别克斯坦等地区。此活动表明，DinodasRAT的主要用途是通过Linux服务器获取和维护访问权限，用于数据泄露和间谍活动。

https://securelist.com/dinodasrat-linux-implant/112284/

---

3 PyPI暂停新项目和用户注册以应对恶意软件攻击

2024年3月28日，Python Package Index (PyPI)宣布暂停新用户注册和项目创建，以应对Checkmarx安全团队发现的一系列恶意软件包。这些恶意软件包利用“误植”漏洞，通过仿冒域名诱骗用户安装，进而窃取加密货币钱包、浏览器数据和登录凭据。PyPI的这一举措旨在保护Python开发者社区，同时为平台提供时间实施更强大的安全措施。恶意代码位于每个包的setup.py文件中，可在安装时自动执行。采用了一种技术，其中setup.py文件包含使用Fernet加密模块加密的模糊代码。安装该软件包后，混淆代码会自动执行，从而触发恶意负载。检索到的有效负载还使用Fernet模块进行了加密。解密后，有效负载揭示了一个广泛的信息窃取程序，旨在从受害者的计算机中获取敏感信息。

https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended/

---

4 谷歌发布紧急更新修复可能被网络犯罪分子利用的严重漏洞

2024年3月28日，谷歌发布了Chrome浏览器的更新，包括七个安全修复程序。此次更新针对的是Windows和Mac的Chrome版本123.0.6312.86/.87，以及Linux的Chrome版本123.0.6312.86。更新修复了一个严重的释放后使用(UAF)漏洞(CVE-2024-2883），该漏洞存在于处理WebGL内容的浏览器组件Angle中。这个漏洞可能允许远程攻击者通过精心设计的HTML页面利用堆损坏，从而可能导致系统受到损害。用户可以通过访问chrome://settings/help或通过“设置”>“关于Chrome”来检查和安装更新。

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html

---

5 Facebook被指控拦截Snapchat用户流量涉嫌反竞争行为

近日的报道揭露了Facebook在2016年至2019年间通过一个名为“应用内操作面板”(IAAP)的秘密项目，利用名为“捉鬼敢死队”的技术拦截和解密Snapchat、YouTube和Amazon的SSL加密流量。这个项目的目的是为了获取竞争对手的数据，以支持Facebook的竞争决策。Facebook鼓励用户安装套件，这些套件冒充官方服务器并解密流量，使Facebook能够读取和分析原本加密的数据。这一做法可能违反了窃听法，并可能构成犯罪。目前，针对Meta的广告商已提起诉讼，指控Facebook的这一行为。

https://images.law.com/contrib/content/uploads/documents/403/56855/Facebook-antitrust-class-action-complaint.pdf

---

6 数十万英国学生数据在云服务器泄露中曝光

研究人员发现了一个配置错误的云服务器，影响了英国数十万学生。这个服务器包含约864603条记录，其中包括约214000名儿童的独特图像，以及敏感信息如学生姓名、注册科目、学业成绩和学习障碍迹象。这些记录涵盖了2017年至2023年期间。服务器隶属于OTrack，由Juniper Education开发，被英国7000多所中小学使用。在发现错误配置后，Fowler通过负责任的披露通知了责任方，导致服务器迅速被关闭。此次事件强调了在处理未成年人敏感数据时，采取适当网络安全措施的重要性。

https://www.websiteplanet.com/news/otrack-breach-report/

---