每日安全简讯(20240816)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Gafgyt僵尸网络新变种通过弱SSH密码攻击GPU进行加密货币挖矿

研究人员发现了一种Gafgyt僵尸网络新变种，该变种通过弱SSH密码攻击机器，最终利用被攻陷实例的GPU计算能力进行加密货币挖矿。最新的攻击链涉及暴力破解SSH服务器的弱密码，以部署下一阶段的有效载荷，促进使用“systemd-net”的加密货币挖矿攻击，但在此之前会终止已在被攻陷主机上运行的竞争性恶意软件。它还执行一个蠕虫模块，一个基于Go的SSH扫描器名为ld-musl-x86，负责扫描互联网中安全性差的服务器并将恶意软件传播到其他系统，有效地扩大僵尸网络的规模。这包括SSH、Telnet以及与游戏服务器和AWS、Azure和Hadoop等云环境相关的凭据。

https://www.aquasec.com/blog/gafgyt-malware-variant-exploits-gpu-power-and-cloud-native-environments/

---

2 Black Basta有关联的攻击者利用SystemBC恶意软件进行凭证盗窃

研究人员发现，一个与Black Basta勒索软件组织有关的社会工程攻击活动，旨在进行凭证盗窃并部署名为SystemBC的恶意软件。这一攻击链涉及多次入侵尝试，目标是用户的敏感数据。攻击者使用一个名为“AntiSpam.exe”的可执行文件，声称下载电子邮件垃圾过滤器，并要求用户输入Windows凭证以完成更新。接下来执行多个二进制文件、DLL文件和PowerShell脚本，包括一个基于Golang的HTTP信标，与远程服务器建立联系，一个SOCKS代理和SystemBC。这些攻击活动只是最近几周内发现的大量钓鱼和社会工程攻击中的最新一波，威胁行为者还越来越多地利用假二维码进行恶意活动。

https://www.rapid7.com/blog/post/2024/08/12/ongoing-social-engineering-campaign-refreshes-payloads/

---

3 俄罗斯黑客组织通过大规模钓鱼活动窃取凭证

研究人员揭露了俄罗斯联邦安全局（FSB）网络间谍参与的一场大规模钓鱼间谍活动，该活动以美国和欧洲的目标为对象，旨在窃取用户凭证和双因素认证（2FA）令牌。该活动被命名为“River of Phish”，由FSB支持的COLDRIVER（又名Star Blizzard、UNC4057和Callisto）和一个名为COLDWASTREL的新黑客组织共同发起。该活动自2022年开始，主要针对流亡的俄罗斯反对派人士及其工作人员、美国和欧洲的非政府组织、媒体机构、智库和前政府官员。COLDRIVER自2019年以来一直进行类似的钓鱼活动，并多次试图影响西方选举。2022年起，COLDRIVER还开始尝试入侵与国防工业相关的目标及美国能源部设施的电子邮箱和网络。COLDWASTREL在此次活动中的参与表现出一些显著差异，包括PDF版本和语言不同，COLDRIVER发送的文件使用英语，而COLDWASTREL使用俄语。另外，COLDWASTREL的PDF直接将受害者引导到托管钓鱼工具包的网站，而不是像COLDRIVER那样通过指纹识别后再重定向到单独的域名以窃取凭证。

https://citizenlab.ca/2024/08/sophisticated-phishing-targets-russias-perceived-enemies-around-the-globe/

---

4 RansomHub勒索软件攻击者武器库新增“EDRKillShifter”破坏工具

研究人员近日发现，一名犯罪团伙在对一组织发起名为RansomHub的勒索软件攻击时，尝试部署了一款新型的EDR（端点检测和响应）破坏工具“EDRKillShifter”。虽然这次勒索软件攻击没有成功，但事后分析揭露了这一专为终止端点保护软件而设计的工具。EDRKillShifter工作原理是通过一个“加载器”可执行文件，它是一个合法驱动程序的传递机制，该驱动程序容易被滥用。攻击者必须执行带有密码字符串的命令行来运行EDRKillShifter。使用正确的密码运行时，该可执行文件会解密嵌入的名为BIN的资源，并在内存中执行它。BIN代码解压并执行最终的有效载荷。这最终的有效载荷，用Go编程语言编写，会放置并利用多种不同的易受攻击、合法的驱动程序以获取足够权限以取消EDR工具的保护。该工具的样本分析显示，所有样本共享相同的版本数据，原始文件名为Loader.exe，产品名为ARK-Game，二进制文件的语言属性是俄语。这些样本都需要传递给命令行的唯一64字符密码。如果密码错误（或未提供），它将不会执行。当执行时，EDRKillShifter将一个名为BIN的加密资源加载到内存中，还会将该数据复制到一个新文件Config.ini中，并将该文件写入执行二进制文件的同一文件系统位置。

https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/

---

5 Windows TCP/IP RCE会影响所有启用IPv6的系统

微软在最近的安全公告中强调了一个严重的TCP/IP远程代码执行漏洞，该漏洞可能影响所有启用IPv6的Windows系统。昆仑实验室的XiaoWei发现了这一漏洞，并追踪为CVE-2024-38063。微软警告用户，攻击者可以利用这一漏洞执行任意代码，且攻击的复杂度较低。微软还指出，由于过去有类似漏洞被利用的案例，这一新发现的漏洞更有可能吸引攻击者，并可能被快速利用。因此，微软建议用户立即应用安全更新，以防止潜在的攻击。对于那些无法立即更新的用户，微软建议作为临时措施禁用IPv6，尽管这可能会影响某些Windows组件的正常工作。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

---

6 GitHub漏洞“ArtiPACKED”导致存储库面临被接管的风险

研究人员最近揭露了一个名为“ArtiPACKED”的GitHub漏洞，该漏洞可能允许攻击者接管代码库并访问组织的云环境。该漏洞通过配置错误和安全漏洞的结合，导致令牌泄露，包括GitHub令牌，使得恶意行为者能够未授权地访问代码库，并通过CI/CD工作流程污染源代码。GitHub的工件允许用户在工作流程中共享数据，这些数据在完成后可保留90天，包括构建和日志文件等。该漏洞还暴露了一个未记录的环境变量ACTIONS_RUNTIME_TOKEN，攻击者可能利用它在令牌过期前替换工件为恶意版本，从而打开远程代码执行的攻击窗口。GitHub已将此问题归类为信息性问题，并提示用户自行确保其上传的工件安全。

https://unit42.paloaltonetworks.com/github-repo-artifacts-leak-tokens/

---