每日安全简讯(20240615)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Arid Viper组织利用AridSpy木马发起移动端间谍活动

据研究人员发布的一份报告称，名为Arid Viper的威胁行为者被认为与利用被植入木马的Android应用程序分发间谍软件AridSpy的移动间谍活动有关。研究人员说：“恶意软件通过冒充各种消息应用程序、工作机会应用程序和巴勒斯坦民事登记应用程序的专用网站传播。这些通常是通过添加AridSpy恶意代码而被植入木马的现有应用程序。”据称，自2022年以来，这一活动已涉及多达五个行动，研究人员记录了AridSpy的早期变种。五个行动中的三个仍在进行中。Arid Viper是一个被怀疑与哈马斯有关的行为者，也被称为APT-C-23、Desert Falcon、Grey Karkadann、Mantis和Two-tailed Scorpion，自2017年出现以来，长期使用移动恶意软件。

https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy/

---

2 Cosmic Leopard组织有关的GravityRAT恶意软件具备跨平台能力

与巴基斯坦有关的威胁行为者自2018年以来一直与一个名为“Operation Celestial Force”的长期恶意软件活动有关。根据研究人员报告，这一活动仍在进行中，涉及使用名为GravityRAT的Android恶意软件和一个代号为HeavyLift的Windows恶意软件加载程序，并通过另一种独立工具GravityAdmin进行管理。网络安全公司将这一入侵归因于一个它追踪的名为“Cosmic Leopard”（也称为“SpaceCobra”）的对手，它表现出与“ Transparent Tribe”战术上的一些重叠。研究人员表示：“Operation Celestial Force至少从2018年起一直活跃，并且今天仍在运营，越来越多地使用不断扩展和演变的恶意软件套件，这表明该行动可能在印度次大陆的用户中取得了高度成功。”GravityRAT于2018年首次被发现，是一种通过网络钓鱼邮件瞄准印度实体的Windows恶意软件，具有不断演变的功能，可以从受感染的主机中收集敏感信息。从那时起，该恶意软件已被移植到Android和macOS操作系统上，使其成为一个多平台工具。

https://blog.talosintelligence.com/cosmic-leopard/

---

3 研究人员发现针对错误配置Kubernetes集群的挖矿活动

研究人员警告称，一场正在进行的加密劫持活动正针对配置错误的Kubernetes集群来挖掘Dero加密货币。在这次事件中，威胁行为者利用对互联网开放的集群的匿名访问来启动恶意容器镜像，这些镜像托管在Docker Hub上，有些已超过10000次下载。这些Docker镜像包含一个UPX包装的DERO挖矿程序，名为‘pause’。

https://www.wiz.io/blog/dero-cryptojacking-campaign-adapts-to-evade-detection

---

4 Black Basta勒索软件疑似利用微软Windows零日漏洞

据研究人员的新发现，与Black Basta勒索软件有关的威胁行为者可能利用了最近披露的微软Windows错误报告服务中的权限提升漏洞作为零日漏洞。该安全漏洞是CVE-2024-26169（CVSS评分：7.8），是Windows错误报告服务中的一个权限提升漏洞，可能被利用以获得SYSTEM权限。微软于2024年3月修补了该漏洞。研究人员团队表示：“对最近攻击中部署的漏洞利用工具的分析显示，其编译时间可能早于补丁发布，这意味着至少有一个组织可能将此漏洞作为零日漏洞进行利用。”该财务动机威胁集群被公司追踪为Cardinal，并被网络安全社区监控为Storm-1811和UNC4393。该组织通过部署Black Basta勒索软件来货币化访问，通常利用其他攻击者获得的初始访问权——最初是QakBot，然后是DarkGate——来攻击目标环境。近几个月来，威胁行为者已被观察到使用合法的微软产品如Quick Assist和Microsoft Teams作为攻击媒介感染用户。

https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day

---

5 新型攻击技术Sleepy Pickle瞄准机器学习模型

随着一种新型“混合机器学习（ML）模型利用技术”被称为Sleepy Pickle的发现，Pickle格式带来的安全风险再次浮出水面。这种攻击方法利用了用于打包和分发机器学习（ML）模型的普遍格式来破坏模型本身，对组织的下游客户构成严重的供应链风险。安全研究员表示：“Sleepy Pickle是一种隐蔽且新颖的攻击技术，它针对的是ML模型本身，而不是底层系统。”虽然Pickle是ML库如PyTorch广泛使用的序列化格式，但只需加载Pickle文件（即在反序列化过程中），即可用于执行任意代码执行攻击。

https://blog.trailofbits.com/2024/06/11/exploiting-ml-models-with-pickle-file-attacks-part-1/

---

6 微软因隐私风险延迟推出Copilot+PC的AI回忆功能

微软周四透露，推迟推出备受争议的人工智能（AI）驱动的Copilot+PC的回忆功能。为此，该公司表示计划在未来几周内将其从全面发布转移到首先在Windows内部人员计划（WIP）中预览。微软在更新中表示：“我们正在调整回忆功能的发布模式，以利用Windows内部人员社区的专业知识，确保体验符合我们的高质量和安全标准。”微软表示，这一决定基于其承诺为所有客户提供可信、安全和可靠的体验，并在向所有Copilot+PC用户提供功能之前寻求更多反馈。上月首次公布的回忆功能原定于2024年6月18日广泛发布，但由于被广泛批评为隐私和安全风险，并吸引了威胁行为者试图窃取敏感信息，该功能现已陷入争议之中。该功能旨在截图用户在PC上的所有操作，并使用设备上的AI模型将其转化为可搜索的数据库。

https://blogs.windows.com/windowsexperience/2024/06/07/update-on-the-recall-preview-feature-for-copilot-pcs/

---