每日安全简讯(20240807)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型LianSpy恶意软件通过屏蔽Android安全功能躲避检测

研究人员发现了一种名为LianSpy的未记录的Android恶意软件，该软件伪装成支付宝应用或系统服务以躲避检测，专门针对俄罗斯用户。研究人员的分析显示，LianSpy自2021年7月起活跃，但其强大的隐蔽功能使其在三年多的时间里未被发现。LianSpy通过修改Android的图标阻止列表设置参数，绕过了Android 12及以后的“隐私指示器”安全功能，使受害者无法察觉屏幕正在被录制。该恶意软件利用这些功能在设备上隐藏自己的存在。LianSpy安装后，会伪装成Android系统服务或支付宝应用。一旦启动，LianSpy请求屏幕覆盖、通知、联系人、通话记录和后台活动权限，或者如果作为系统应用运行，则自动授予这些权限。接着，LianSpy确保自己不在分析环境中运行（没有调试器存在），并从Yandex Disk存储库加载配置。配置存储在SharedPreferences中，确保在设备重启之间保持持久性。

https://securelist.com/lianspy-android-spyware/113253/

---

2 朝鲜黑客利用VPN更新漏洞安装恶意软件

韩国国家网络安全中心（NCSC）警告称，朝鲜国家支持的黑客通过劫持VPN软件更新漏洞来部署恶意软件并入侵网络。涉及此活动的两个威胁组织是Kimsuky（APT43）和Andariel（APT45），这两个国家支持的黑客组织此前与著名的Lazarus Group有关。NCSC警告称，这两组织同时针对同一行业的活动具有前所未有的性质，显示了其特定政策目标。在首个案例中，2024年1月，Kimsuky入侵了一个韩国建筑贸易组织的网站，向访问者传播恶意软件。第二个案例发生在2024年4月，当时NCSC表示，Andariel威胁行为者利用国内VPN软件通信协议中的漏洞，推送假软件更新，安装名为DoraRAT的恶意软件。

https://www.documentcloud.org/documents/25031724-240805_saibeoanbo_jeongbogongdongce_habdongboangweongomun

---

3 勒索软件团伙利用新型SharpRhino恶意软件攻击IT工作者

研究人员发现，Hunters International勒索软件团伙正在使用一种名为SharpRhino的全新C#远程访问木马（RAT），专门针对IT人员入侵企业网络。此恶意软件帮助Hunters International实现初始感染、提升在受感染系统上的权限、执行PowerShell命令，并最终部署勒索软件。根据研究人员的报告，SharpRhino通过一个假冒合法网络工具Angry IP Scanner网站的typosquatting站点传播。Hunters International部署伪装成合法开源网络扫描工具的网站，表明其目标是IT人员，希望通过他们入侵具有提升权限的账户。

https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/

---

4 Microsoft Azure宕机导致北美服务中断超两小时

2024年8月5日，Microsoft Azure发生了一次持续超过两小时的宕机事件，导致北美和拉丁美洲的多个客户服务中断。微软表示，事件始于18:22 UTC，影响了利用Azure Front Door（AFD）和现代云内容交付网络（CDN）的服务。微软在Azure状态页面上首次承认了此次宕机，并解释称问题是由一次“配置更改”引起的。公司表示：“此次问题影响了多个地理区域，主要是在北美和拉丁美洲。”随后，微软回滚了配置更改，并从19:25 UTC开始，大多数服务开始恢复。许多微软服务因应此次问题而避开了AFD。然而，客户也报告称在英国连接Azure服务（包括Azure DevOps）时遇到错误，Azure DevOps状态页面也标注了巴西用户受到影响。与此同时，Azure状态页面在宕机期间未显示任何服务受影响的信息，并且许多客户在访问状态页面时也遇到了加载失败的问题。

https://www.bleepingcomputer.com/news/microsoft/microsoft-azure-outage-takes-down-services-across-north-america/

---

5 MDM供应商Mobile Guardian遭攻击致13000台设备被远程擦除

总部位于英国的移动设备管理（MDM）供应商Mobile Guardian遭遇安全事件，导致其管理的iOS和ChromeOS设备被未经授权访问，目前这些设备无法使用。在新加坡，此事件导致13000台设备被远程擦除，教育部因此决定终止与该供应商的合作。Mobile Guardian专注于教育领域，提供设备管理、网页过滤和课堂管理工具。供应商告知客户，这次攻击导致“一小部分设备被取消注册”，进而导致远程擦除。欧洲和北美的客户也面临风险。

https://www.mobileguardian.com/security-incident-august-2024/

---

6 Apache OFBiz用户被警告存在新的和被利用的漏洞

2024年8月5日，使用Apache OFBiz的组织被敦促修补一个关键漏洞，随着另一个最近发现的安全漏洞被频繁利用的报告不断增加。新漏洞CVE-2024-38856在8月4日被披露。根据Apache OFBiz开发人员的说法，18.12.14及之前的版本受影响，18.12.15版本包含修复。开发人员在公告中指出：“未经身份验证的端点在满足某些前提条件时，可能允许执行屏幕渲染代码（例如，当屏幕定义未明确检查用户权限，因为它们依赖于端点的配置）。”发现该漏洞的研究人员将其描述为一个关键问题，可能允许未经身份验证的远程代码执行。

https://seclists.org/oss-sec/2024/q3/142

---