每日安全简讯(20240506)

发表于 2024-5-5 21:02

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 APT28组织利用Microsoft Outlook漏洞攻击捷克和德国实体

捷克和德国周五透露，它们是与俄罗斯有联系的民族国家组织APT28进行的长期网络间谍活动的目标。捷克共和国外交部 (MFA) 在一份声明中表示，该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻击。外交部表示：“针对政治实体、国家机构和关键基础设施的网络攻击不仅对国家安全构成威胁，而且破坏了我们自由社会所依赖的民主进程。 ”所涉及的安全漏洞是CVE-2023-23397，这是 Outlook 中现已修补的一个关键权限升级漏洞，可能允许攻击者访问 Net-NTLMv2 哈希值，然后使用它们通过中继攻击来验证自己的身份。

https://mzv.gov.cz/jnp/en/issues_and_press/press_releases/statement_of_the_mfa_on_the_cyberattacks.html

2 NSA和FBI联合警告称Kimsuky组织通过表面可信的来源发送欺骗性电子邮件

美国政府周四发布了一项新的网络安全咨询，警告朝鲜攻击者试图以一种看似来自合法且值得信赖的方的方式发送电子邮件。该联合公告由国家安全局 (NSA)、联邦调查局 (FBI) 和国务院发布。攻击者利用这些鱼叉式网络钓鱼活动，通过非法访问目标的私人文件、研究和通信来收集有关地缘政治事件、对手外交政策战略以及影响朝鲜利益的任何信息的情报。该技术特别涉及利用配置不当的基于 DNS 域的消息身份验证、报告和一致性 ( DMARC ) 记录策略来隐藏社会工程尝试。这样做时，威胁行为者可以发送欺骗性电子邮件，就好像它们来自合法域的电子邮件服务器一样。滥用 DMARC 政策薄弱的行为归因于网络安全社区以Kimsuky（又名 APT43、Black Banshee、Emerald Sleet、Springtail、TA427 和 Velvet Chollima）名称追踪的朝鲜活动集群，该集群是拉撒路集团隶属于侦察总局（RGB）。

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-email-policy-exploitation/

3 攻击者滥用Microsoft Graph API进行隐秘恶意软件通信活动递增

攻击者越来越多地将Microsoft Graph API武器化以用于恶意目的，以逃避检测。自 2022 年 1 月以来，已观察到多个国家联盟的黑客组织使用 Microsoft Graph API 进行 C&C。其中包括被追踪为APT28、REF2924、Red Stinger、Flea、APT29和OilRig的威胁行为者。第一个已知的 Microsoft Graph API 滥用实例可以追溯到 2021 年 6 月，涉及一个名为Harvester的活动集群，该集群被发现使用名为 Graphon 的自定义植入程序，该植入程序利用该 API 与 Microsoft 基础设施进行通信。最近检测到乌克兰的一个未透露姓名的组织使用了相同的技术，该组织涉及部署一种名为 BirdyClient（又名 OneDriveBirdyClient）的先前未记录的恶意软件。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/graph-api-threats

4 谷歌Play商店在2023年拒绝了228万个有风险的安卓应用

在发现各种可能威胁用户安全的政策违规行为后，谷歌阻止了 228 万款 Android 应用在 Google Play 上发布。此外，这家科技巨头报告称，它发现并屏蔽了 333000 个上传恶意软件、欺诈性应用程序或多次严重违反政策的 Google Play 帐户。相比之下，2022 年，谷歌屏蔽了 150 万个“不良”应用，并因严重违反商店政策而暂停了 173000 个开发者帐户。去年的强制措施是谷歌保护 Android 官方应用商店的一部分，数十亿人使用该商店来获取使他们的设备更有用的软件。

https://security.googleblog.com/2024/04/how-we-fought-bad-apps-and-bad-actors-in-2023.html

5 安卓漏洞可能会在启用VPN终止开关的情况下泄漏DNS流量

Mulvad VPN 用户发现，即使通过“阻止没有 VPN 的连接”选项启用了“始终在线 VPN”功能，Android 设备在切换 VPN 服务器时也会泄漏 DNS 查询。“始终在线 VPN”旨在在设备启动时启动 VPN 服务，并在设备或配置文件打开时保持其运行。启用“阻止没有 VPN 的连接”选项（也称为终止开关）可确保所有网络流量和连接都通过始终连接的 VPN 隧道，从而阻止窥探者监视用户的 Web 活动。即使在最新操作系统版本 (Android 14) 上启用了这些功能，Android 错误也会泄漏一些 DNS 信息。

https://mullvad.net/en/blog/dns-traffic-can-leak-outside-the-vpn-tunnel-on-android

6 摩根大通遭遇数据泄露影响超451000退休计划参与者个人信息

根据周一向缅因州总检察长办公室提交的监管文件，摩根大通遭遇数据泄露，超过 451000 名退休计划参与者的个人信息被泄露。暴露的参与者信息包括参与者的姓名、地址、社会安全号码、付款和扣除金额，以及银行路由和帐号（如果参与者设置了直接存款）。摩根大通发言人表示，此次泄露并非网络攻击的一部分，也没有迹象表明数据被滥用。摩根大通向缅因州总检察长提交的数据泄露通知显示，2 月 26 日，该公司了解到一个软件问题，导致三名授权系统用户运行的某些报告包含他们无权查看的计划参与者信息。通知称，这三名用户均受雇于摩根大通客户或其代理人。

https://apps.web.maine.gov/online/aeviewer/ME/40/8ef595ed-6e79-4c9e-b722-74c2efa04511.shtml

		自动登录	找回密码
密码			注册创意安天