每日安全简讯(20240811)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜网络间谍组织Kimsuky攻击大学教授和研究人员

研究人员披露，朝鲜关联的威胁行为者Kimsuky近期针对大学教职员工、研究人员和教授发起了一系列新的攻击行动，目的是收集情报。研究人员在2024年7月底通过观察黑客的操作安全（OPSEC）错误识别出这一活动。此次攻击的特点包括使用被攻陷的主机作为部署基础设施，安装经过混淆处理的Green Dinosaur网页木马，用于执行文件操作。Kimsuky利用该网页木马上传模拟Naver和多所大学（如东德大学、高丽大学和延世大学）合法登录门户的钓鱼页面，以捕获受害者的凭证。受害者随后被重定向到另一个网站，该网站指向Google Drive上托管的PDF文件，声称是Asan政策研究所八月论坛的邀请函。此外，Kimsuky的钓鱼网站上还包含一个非特定目标的钓鱼工具包，用于收集Naver账户信息。

https://www.cyberresilience.com/threatintel/apt-group-kimsuky-targets-university-researchers/

---

2 Chameleon安卓银行木马通过虚假CRM应用攻击用户

研究人员揭露了Chameleon安卓银行木马的新攻击手法，该木马伪装成客户关系管理（CRM）应用，主要针对加拿大用户。研究人员报告中指出，该木马假扮为CRM应用，目标是一个在国际上运营的加拿大餐饮连锁店。此次攻击活动于2024年7月被发现，目标客户分布在加拿大和欧洲，显示其受害者范围从澳大利亚、意大利、波兰和英国扩展。假CRM应用的主题指向目标是酒店业和B2C员工。

https://www.threatfabric.com/blogs/chameleon-is-now-targeting-employees-masquerading-as-crm-app

---

3 CISA警告黑客利用过时的Cisco Smart Install功能进行攻击

美国网络安全和基础设施安全局（CISA）警告称，威胁行为者正在滥用过时的Cisco Smart Install（SMI）功能以访问敏感数据。CISA表示，攻击者通过利用设备上的可用协议或软件（如过时的Cisco Smart Install功能）获取系统配置文件。此外，CISA还观察到Cisco网络设备上使用的密码类型较弱，容易受到密码破解攻击。密码类型指的是在系统配置文件中用于保护Cisco设备密码的算法。通过这种方式获取设备访问权限的攻击者能够轻松访问系统配置文件，进一步危及受害者网络。

https://www.cisa.gov/news-events/alerts/2024/08/08/best-practices-cisco-device-configuration

---

4 微软发现伊朗干预2024年美国选举的最新行动分析

微软在一份报告中指出，伊朗正在加强其干预2024年美国选举的努力，通过假新闻宣传和入侵候选人账户来制造混乱。微软观察到，伊朗的一个黑客组织两个月前向一名高层总统竞选官员发送了鱼叉式网络钓鱼邮件，利用的是一名前高级顾问的被攻陷邮箱。伊朗还尝试登录一名前总统候选人的账户。微软并未透露这些目标的具体身份。报告显示，共有四个不同的伊朗团体参与了多种活动。美国情报官员在两周前简报中提到，伊朗似乎有意破坏共和党总统候选人唐纳德·特朗普的竞选活动。

https://cyberscoop.com/microsoft-iran-makes-late-play-to-meddle-in-u-s-elections/

---

5 新型钓鱼诈骗利用Google Drawings和WhatsApp缩短链接规避检测

研究人员发现了一种新型钓鱼活动，利用Google Drawings和WhatsApp生成的缩短链接来规避检测，诱骗用户点击虚假链接以窃取敏感信息。研究人员称，这次攻击是“利用受信任网站威胁”（LoTS）的典型例子。此次攻击的起点是钓鱼邮件，邮件引导收件人点击一个看似是亚马逊账户验证的图形链接。该图形托管在Google Drawings上，以逃避检测。攻击者选择使用Google和WhatsApp等知名网站来托管攻击元素，并使用类似亚马逊的页面来收集受害者信息。利用合法服务的好处在于它们不仅成本低，而且提供了一种隐蔽的通信方式，因为这些服务不太可能被安全产品或防火墙拦截。

https://www.menlosecurity.com/blog/google-drawings-and-whatsapp-zero-hour-open-redirection-phish-exposed

---

6 ADT确认客户信息在黑客论坛上泄露后发生数据泄露

美国建筑安全巨头ADT确认遭遇数据泄露，威胁行为者在一个知名黑客论坛上泄露了被盗客户数据。ADT是一家提供住宅和小型企业安全及智能家居解决方案的上市公司，拥有14300名员工，年收入达49.8亿美元，在美国的200个地点服务约600万客户。在8月7日上午向美国证券交易委员会（SEC）提交的Form 8-K监管文件中，ADT表示其部分数据库被黑客入侵，客户信息被盗。文件中写道：“ADT Inc.最近经历了一次网络安全事件，未经授权的行为者非法访问了包含ADT客户订单信息的某些数据库。”在得知事件后，公司迅速采取措施关闭未经授权的访问，并启动调查，与领先的第三方网络安全专家合作。调查显示，攻击者获取了一些有限的客户信息，包括电子邮件地址、电话号码和邮政地址。

https://www.sec.gov/Archives/edgar/data/1703056/000095015724001064/form8k.htm

---