每日安全简讯(20240805)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 StormBamboo黑客组织利用ISP传播恶意软件

研究人员披露，黑客组织StormBamboo通过入侵一家未公开的互联网服务提供商（ISP），将恶意软件植入自动软件更新中。该黑客组织也被称为Evasive Panda、Daggerfly和StormCloud，自2012年以来一直活跃，主要针对中国、尼日利亚及东南亚和东亚多个国家的组织。根据研究人员的报告，StormBamboo利用不安全的HTTP软件更新机制，通过拦截和修改受害者的DNS请求，将恶意IP地址注入其中，从而在受害者的Windows和macOS设备上部署恶意软件。受害者在更新应用程序时，无意中安装了MACMA和POCOSTICK（也称为MGBot）等恶意软件。

https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms/

---

2 Google Chrome引入应用程序绑定加密保护Cookie免受恶意软件攻击

Google宣布在其Chrome浏览器中加入应用程序绑定加密（App-Bound Encryption），以防止信息窃取恶意软件在Windows系统上获取Cookie。Chrome安全团队的表示，尽管Windows上的数据保护API（DPAPI）可以保护静态数据免受其他用户或冷启动攻击，但无法防御能够以登录用户身份执行代码的恶意应用。应用程序绑定加密通过将应用程序的身份（如Chrome）与加密数据相结合，防止其他应用在尝试解密时访问该数据。因为应用绑定服务以系统特权运行，攻击者需要获得系统特权或向Chrome注入代码，这并非合法软件的行为。此方法强烈绑定加密密钥与机器，因此不适用于在多台机器间漫游的Chrome配置文件环境。支持漫游配置文件的组织应遵循最佳实践并配置ApplicationBoundEncryptionEnabled策略。

https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html

---

3 Linux内核受新型SLUBStick跨缓存攻击影响

研究人员披露了一种名为SLUBStick的新型Linux内核跨缓存攻击，该攻击能够将有限的堆漏洞转化为任意内存读写能力，具有99%的成功率，允许攻击者提升权限或逃脱容器。来自格拉茨理工大学的研究团队展示了这一攻击在Linux内核版本5.9和6.2（最新版本）上的有效性，覆盖32位和64位系统，表现出高度的通用性。SLUBStick能够绕过现代内核防御机制，如监督模式执行预防（SMEP）、监督模式访问预防（SMAP）和内核地址空间布局随机化（KASLR）。该攻击将在本月晚些时候的Usenix安全研讨会上详细介绍，研究人员将展示在启用最新防御机制的Linux系统上实现权限提升和容器逃逸的过程。

https://www.stefangast.eu/papers/slubstick.pdf

---

4 Facebook上的虚假AI编辑器广告推送恶意软件

研究人员发现，Facebook上出现了一种假冒AI图像编辑器广告的恶意广告活动，旨在窃取用户的凭证。攻击者利用AI驱动的图像生成工具的流行，通过创建与合法服务非常相似的恶意网站，诱骗人们下载和安装伪装成合法软件的信息窃取恶意软件。攻击从向Facebook页面所有者或管理员发送钓鱼消息开始，这些消息将他们引导至伪造的账户保护页面，诱使他们提供登录信息。窃取凭证后，威胁行为者劫持账户，控制这些页面，发布恶意社交媒体帖子，并通过付费广告推广这些帖子。研究人员表示，攻击者通常会窃取与摄影相关的社交媒体页面，并将其名称更改为与流行的AI照片编辑器相关的名称。然后，攻击者创建包含指向伪造网站链接的恶意帖子，并通过付费广告增加流量。点击恶意广告中URL的Facebook用户会被引导至一个假冒合法AI照片编辑和生成软件的网页，并被提示下载和安装软件包。然而，受害者下载和安装的并非AI图像编辑软件，而是被配置为启动下载器的合法ITarian远程桌面工具，该下载器会自动部署Lumma Stealer恶意软件。

https://www.trendmicro.com/en_us/research/24/h/malvertising-campaign-fake-ai-editor-website-credential-theft.html

---

5 以色列黑客组织WeRedEvils声称瘫痪伊朗互联网

2024年8月2日，以色列黑客组织WeRedEvils宣称对伊朗正在进行的互联网中断负责。该组织自2023年10月以来一直活跃，可能是由于哈马斯对以色列的袭击引发了当前的加沙战争。WeRedEvils在Telegram上发布消息称，他们成功攻击了伊朗的系统和互联网服务提供商，导致互联网中断，并声称窃取了数据并将其传递给以色列政府。该组织指出，伊朗信息和通信技术部的网站（ict.gov.ir）以及大多数其他政府网站目前无法访问，显示“响应超时”或403错误。尽管WeRedEvils自称此次攻击取得成功，但实际造成的损害程度尚不清楚，也不确定该组织是否完全对当前的互联网中断负责。

https://www.theregister.com/2024/08/02/israeli_hacktivists/

---

6 美国460万选民数据因13个数据库配置错误曝光

研究人员发现13个配置错误的数据库，其中包含460万份文件，包括选民记录、选票和各种选举相关列表。这些数据来自美国伊利诺伊州的一个县，且无需密码或安全认证即可公开访问。研究人员的调查揭示，这些数据库包含全名、地址、电子邮件、出生日期、社会安全号码、驾驶执照号码和历史投票记录等敏感信息。数据库还包括选民注册申请、死亡证明以及地址、辖区或州变更的记录。此次数据泄露再次凸显选举数据安全的脆弱性和滥用的潜在风险。

https://hackread.com/millions-us-voter-data-exposed-misconfigured-databases/

---