每日安全简讯(20240523)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露SolarMarker信息窃取恶意软件的更新版本

持续威胁行为者SolarMarker信息窃取恶意软件背后的攻击者已经建立了多层次的基础设施，以复杂化执法部门的打击行动。SolarMarker操作的核心是其分层基础设施，至少由两个集群组成：一个用于主动操作的主集群，另一个可能用于测试新策略或针对特定地区或行业的次要集群。这种分离增强了恶意软件适应和响应对策的能力，使其特别难以根除。SolarMarker，又名Deimos、Jupyter Infostealer、Polazert和Yellow Cockatoo，自2020年9月出现以来，一直表现出持续演变的特征。它具有从多个网页浏览器和加密货币钱包中窃取数据的能力，并能针对VPN和RDP配置。根据自2023年9月以来收集的数据，受攻击的主要行业包括教育、政府、医疗、酒店和中小企业。这其中包括著名大学、政府部门、全球连锁酒店和医疗服务提供商。大多数受害者位于美国。

https://www.recordedfuture.com/exploring-the-depths-of-solarmarkers-multi-tiered-infrastructure

---

2 研究人员披露CLOUD#REVERSER恶意攻击活动

研究人员发现了一项名为CLOUD#REVERSER的新攻击活动，该活动利用Google Drive和Dropbox等合法的云存储服务来放置恶意负载。CLOUD#REVERSER中的VBScript和PowerShell脚本本质上涉及使用Google Drive和Dropbox作为平台进行文件上传和下载的指挥控制活动。这些脚本被设计用于获取符合特定模式的文件，这表明它们正在等待放置在Google Drive或Dropbox中的命令或脚本。攻击链的起点是一封包含ZIP归档文件的钓鱼电子邮件，该文件包含一个伪装成Microsoft Excel文件的可执行文件。

https://www.securonix.com/blog/analysis-and-detection-of-cloudreverser-an-attack-involving-threat-actors-compromising-systems-using-a-sophisticated-cloud-based-malware/

---

3 攻击者利用MS Exchange Server漏洞部署恶意键盘记录器

一个未知的威胁行为者正在利用Microsoft Exchange Server中的已知安全漏洞，部署键盘记录器恶意软件，攻击目标是非洲和中东的实体。研究人员已经发现了超过30个受害者，涵盖政府机构、银行、IT公司和教育机构。首次入侵可追溯到2021年。该键盘记录器将账户凭证收集到一个可以通过互联网特殊路径访问的文件中。被攻击的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。攻击链始于对ProxyShell漏洞（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207）的利用，这些漏洞最初由微软在2021年5月修补。

https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/

---

4 QNAP公司修复了影响NAS设备的QTS和QuTS Hero中的新漏洞

QNAP公司已经发布了一系列中等严重性漏洞的修复补丁，这些漏洞影响了QTS和QuTS hero，其中一些可能被利用在其网络附加存储（NAS）设备上执行代码。这些问题影响QTS 5.1.x和QuTS hero h5.1.x，CVE-2024-21902：一个关键资源权限分配不当的漏洞，可能允许经过身份验证的用户通过网络读取或修改资源。CVE-2024-27127：一个双重释放漏洞，可能允许经过身份验证的用户通过网络执行任意代码。CVE-2024-27128、CVE-2024-27129和CVE-2024-27130：一组缓冲区溢出漏洞，可能允许经过身份验证的用户通过网络执行任意代码。

https://www.qnap.com/en/security-advisory/qsa-24-23

---

5 Veeam Backup Enterprise Manager存在严重漏洞可允许攻击者身份验证绕过

研究人员发现了一个关键的安全漏洞，可能允许对手绕过身份验证保护。该漏洞编号为CVE-2024-29849（CVSS评分：9.8），可能允许未经身份验证的攻击者以任何用户身份登录Veeam Backup Enterprise Manager的Web界面。该公司还披露了影响同一产品的其他三个缺陷：CVE-2024-29850（CVSS评分：8.8），允许通过NTLM中继进行账户接管。CVE-2024-29851（CVSS评分：7.2），允许特权用户窃取Veeam Backup Enterprise Manager服务账户的NTLM哈希值，如果其未配置为默认的本地系统账户运行。CVE-2024-29852（CVSS评分：2.7），允许特权用户读取备份会话日志。

https://www.veeam.com/kb4581

---

6 Zoom提供商将采用NIST批准的后量子端到端会议加密

流行的企业服务提供商Zoom宣布为Zoom Meetings推出后量子端到端加密（E2EE），并将在未来支持Zoom Phone和Zoom Rooms。“随着对手威胁变得越来越复杂，保护用户数据的需求也变得越来越迫切，”该公司在一份声明中表示。“通过推出后量子E2EE，我们加倍努力提升安全性，并为用户提供先进的功能来帮助保护他们的数据。”Zoom的后量子E2EE使用Kyber-768，其安全性大致相当于AES-192。Kyber于2022年7月被美国商务部的国家标准与技术研究院（NIST）选为通用加密的抗量子密码算法。然而，要默认启用后量子E2EE，所有会议参与者都需要使用Zoom桌面或移动应用程序版本6.0.10或更高版本。如果某些参与者未达到此最低版本要求，将使用标准E2EE。

https://news.zoom.us/post-quantum-e2ee/

---