每日安全简讯(20240823)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗TA453网络组织利用新型AnvilEcho恶意软件攻击犹太领导人

伊朗国家支持的网络攻击组织TA453（又称APT42、Charming Kitten等）近期发动了一系列鱼叉式网络钓鱼攻击，目标锁定一名犹太领导人。此次攻击始于2024年7月末，目的是投放新型情报收集工具AnvilEcho。根据研究人员的报告，TA453假借研究机构名义，通过邮件和社交工程手段引诱受害者点击恶意链接，进而投放恶意软件BlackSmith和PowerShell木马AnvilEcho。AnvilEcho功能强大，能够执行系统侦察、截图、下载远程文件和上传敏感数据等操作。

https://www.proofpoint.com/us/blog/threat-insight/best-laid-plans-ta453-targets-religious-figure-fake-podcast-invite-delivering

---

2 乌克兰CERT警告Vermin组织利用战俘为诱饵的新型钓鱼攻击

乌克兰计算机应急响应小组(CERT-UA)发布警告，指出由威胁组织Vermin（UAC-0020）发起的新一轮钓鱼攻击正在蔓延。这些攻击通过散布包含所谓库尔斯克地区战俘照片的钓鱼邮件，引诱收件人下载并打开包含恶意代码的ZIP压缩包。一旦受害者打开其中的CHM文件，恶意JavaScript代码便会启动混淆的PowerShell脚本，安装间谍软件SPECTR及其新型同类软件FIRMACHAGENT。FIRMACHAGENT的主要功能是检索SPECTR盗取的数据并将其发送至远程管理服务器。Vermin组织与2019年以来的多次恶意活动有关，被认为与卢甘斯克人民共和国(LPR)的安全机构有联系。该组织此前也曾通过SPECTR对乌克兰国防力量发起攻击。

https://cert.gov.ua/article/6280422

---

3 新型macOS恶意软件TodoSwift伪装成比特币PDF应用

研究人员发现了一种新型针对macOS用户的恶意软件，名为TodoSwift。该恶意软件由朝鲜黑客组织BlueNoroff开发，伪装成一个用于下载和显示比特币相关PDF的应用程序。TodoSwift采用Swift/SwiftUI开发，表面上看似无害，但实际上在后台下载并执行恶意程序。研究表明，TodoSwift通过展示名为“Bitcoin Price Prediction Using Machine Learning”的PDF文件来迷惑用户，同时利用另一个URL下载并运行恶意载荷。BlueNoroff是隶属于朝鲜Lazarus组织的一个子团体，近年来频繁针对金融机构和加密货币交易所发动复杂的网络攻击。

https://www.kandji.io/blog/todoswift-disguises-malware-download-behind-bitcoin-pdf

---

4 黑客利用PHP漏洞在Windows系统植入Msupedge后门

黑客利用近期修补的PHP远程代码执行漏洞（CVE-2024-4577），在中国台湾一所大学的Windows系统中部署了新发现的后门程序Msupedge。该漏洞影响以CGI模式运行PHP的Windows系统，允许未经认证的攻击者执行任意代码，导致系统全面失陷。Msupedge通过两个动态链接库（weblog.dll和wmiclnt.dll）实现，其中前者由Apache进程加载。该后门最显著的特点是利用DNS流量与指挥控制（C&C）服务器通信，使用DNS隧道技术接收命令。攻击者可以通过Msupedge执行各种命令，包括创建进程、下载文件和管理临时文件。此攻击源于CVE-2024-4577的漏洞利用，目前攻击动机尚不明确。

https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns

---

5 美芯片制造商Microchip遭网络攻击致生产能力受损

美国半导体制造公司Microchip Technology近日披露，8月17日检测到其信息技术系统中可能存在的可疑活动，经过调查确认存在未经授权的访问行为。为应对此次事件，公司隔离了相关系统并关闭了一些业务操作，同时聘请外部网络安全顾问进行深入分析。此攻击已导致Microchip部分制造设施的生产能力低于正常水平，影响了订单的履行。鉴于该公司在汽车、国防和航空航天领域的重要性，此次事件尤其令人担忧。目前尚未明确此次攻击的具体原因及破坏范围，也未确认是否涉及勒索软件。Microchip正在努力尽快恢复正常运营。

https://www.sec.gov/Archives/edgar/data/827054/000082705424000153/mchp-20240820.htm

---

6 GiveWP插件严重漏洞威胁10万个网站安全

WordPress的GiveWP插件被发现存在一个高危安全漏洞（CVE-2024-5932），影响超过10万个网站。该漏洞评分为CVSS 10.0，允许未经认证的攻击者通过“give_title”参数的反序列化输入，远程执行代码并删除任意文件。所有版本低于3.14.2的插件均受影响，该版本已于2024年8月7日发布。研究人员发现并报告了此问题。为防止潜在攻击，用户应立即更新插件至最新版本

https://www.wordfence.com/blog/2024/08/4998-bounty-awarded-and-100000-wordpress-sites-protected-against-unauthenticated-remote-code-execution-vulnerability-patched-in-givewp-wordpress-plugin/

---