每日安全简讯(20240820)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者仿冒WACC赛事网站钓鱼传播Havoc C2恶意软件

研究人员发现一个仿冒“世界农业自行车比赛”（WACC）官方网站的钓鱼网站。这一伪造网站通过轻微的修改，难以与真实网站区分，意图欺骗不明真相的访客。WACC赛事旨在促进农业与体育行业的联系，活动结束后，威胁行为者利用这一点，以“PHOTO”栏目诱骗用户下载包含恶意软件的ZIP文件。该ZIP文件内隐藏三个伪装成图片的快捷方式文件，一旦执行，将触发复杂的感染链，并最终传播Havoc C2恶意软件。Havoc C2试图通过Azure Front Door域建立联系，该域可能作为流量的中转站，最终将流量重定向至实际的指挥控制服务器，从而执行进一步的恶意操作。

https://cyble.com/blog/world-agricultural-cycling-competition-wacc-participants-targeted-for-havoc-c2-dissemination/

---

2 FIN7网络犯罪集团新基础设施曝光

研究人员发现了与FIN7网络犯罪集团相关的新基础设施。这些基础设施由来自俄罗斯的Post Ltd和爱沙尼亚的SmartApe提供，表明FIN7通过这些IP地址进行通信。最新的分析显示，这些主机可能是通过Stark的经销商采购的。研究发现，FIN7的基础设施与至少15个Stark分配的主机和16个其他主机进行了通信。Stark在负责任的披露后已暂停这些服务。

https://www.team-cymru.com/post/fin7-the-truth-doesn-t-need-to-be-so-stark

---

3 研究人员揭露CryptoCore诈骗集团复杂的加密货币诈骗活动

随着数字货币的快速增长，加密货币诈骗也日益猖獗，对投资者和用户构成了重大风险。CryptoCore是一个以其复杂手法著称的诈骗集团，利用深度伪造技术和被劫持的YouTube账户，通过伪造的名人视频和精心设计的网站来欺骗受害者。这些诈骗常以高额回报的承诺吸引目标，利用人工智能和虚假视频来提高欺骗的可信度。CryptoCore利用这些技术通过各大平台进行诈骗，包括曾经劫持过的Twitter账户、YouTube频道，以及最近在TikTok、Telegram和WhatsApp上也出现的类似手法。尽管谷歌和其他研究者已对这些技术进行过大量研究，但诈骗者仍能定期突破防线。研究人员详细分析了CryptoCore集团的诈骗模式、关键事件以及其使用的技术手段，揭示了其如何通过虚假赠品活动和深度伪造视频成功诈骗大量用户，加密货币诈骗的受害者已经损失了数百万美元。

https://decoded.avast.io/martinchlumecky1/cryptocore-unmasking-the-sophisticated-cryptocurrency-scam-operations/

---

4 研究人员对Ingress-NGINX注解验证绕过漏洞深度解析

新发现的Kubernetes漏洞CVE-2024-7646对广泛使用的Ingress-NGINX控制器构成了重大安全威胁。该漏洞允许恶意行为者绕过注解验证，可能获取未授权的集群资源访问权限。Ingress-NGINX作为Kubernetes的反向代理和负载均衡器，负责管理对集群内服务的外部访问。漏洞源于Ingress对象注解验证中的缺陷，攻击者可通过注解注入恶意内容，绕过原有验证，导致任意命令执行和对Ingress-NGINX控制器凭证的访问。这一漏洞影响所有版本低于v1.11.2的Ingress-NGINX控制器，特别对多租户Kubernetes环境和默认配置的集群构成较大风险。

https://www.armosec.io/blog/cve-2024-7646-ingress-nginx-annotation-validation-bypass/

---

5 微软修复朝鲜Lazarus集团利用的零日漏洞

微软修复了一个被朝鲜国家赞助的Lazarus集团利用的零日漏洞，该漏洞被追踪为CVE-2024-38193，CVSS评分为7.8。该漏洞存在于Windows Ancillary Function Driver（AFD.sys）中，允许攻击者通过特权升级获取SYSTEM权限。该漏洞在2024年6月被发现，并在微软的Patch Tuesday更新中得到修复。研究人员发现并报告了这一漏洞。攻击者利用这一漏洞绕过正常的安全限制，访问敏感系统区域，攻击通常使用一种名为FudModule的rootkit以规避检测。这种攻击与2024年2月修复的CVE-2024-21338类似，也被Lazarus集团利用。两者都利用了Windows主机上已安装的驱动程序中的安全漏洞，而非引入新的易受攻击驱动程序。

https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html

---

6 Rhysida将以5比特币拍卖《华盛顿时报》内部文件

《华盛顿时报》成为了最新的Rhysida勒索软件攻击受害者，攻击者计划在暗网拍卖这家报纸的被盗数据，起拍价为5比特币，相当于292030美元。Rhysida给出了七天的准备时间，并发布了部分被盗数据样本，包括公司文件、银行对账单、员工文件、德克萨斯州驾驶执照复印件和社会保障卡。报道时，《华盛顿时报》的网站运作正常。Rhysida以RaaS（勒索软件即服务）模式运作，曾攻击过英国国家图书馆和芝加哥儿童医院等高-profile机构，以双重勒索手段著称，即使在支付赎金后仍威胁发布被盗数据。

https://www.securitylab.ru/news/551155.php

---