每日安全简讯(20240901)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT-C-60利用WPS Office漏洞传播SpyGlace后门

APT-C-60是一个与韩国相关的网络间谍组织，近日被发现利用金山WPS Office的零日漏洞（CVE-2024-7262）部署名为SpyGlace的后门程序。该漏洞允许攻击者通过上传恶意Windows库文件，实现远程代码执行。APT-C-60将该漏洞武器化，通过伪装成普通电子表格的恶意文档进行传播，点击后触发多阶段感染过程，最终植入SpyGlace木马，该木马具备文件窃取、插件加载和命令执行等功能。此次攻击主要针对中国和东亚地区用户。研究人员的研究表明，该组织自2021年以来一直活跃，SpyGlace自2022年6月开始在野外被发现。此外，研究还揭示了该组织利用一个名为ScreenShareOTR的恶意插件进行攻击，进一步传播DarkGate恶意软件。

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

---

2 新型恶意软件伪装为Palo Alto VPN瞄准中东用户

研究人员发现一场针对中东用户的新型恶意软件攻击活动，该恶意软件伪装成Palo Alto Networks的GlobalProtect虚拟专用网络（VPN）工具。研究人员报告称，该恶意软件能够远程执行PowerShell命令、下载并窃取文件、加密通信并绕过沙箱解决方案，对目标组织构成重大威胁。恶意软件通过两阶段的复杂过程与伪装为公司VPN门户的指挥控制（C2）基础设施建立连接，使攻击者能够自由行动而不引发警报。初步分析显示，攻击可能利用钓鱼技术诱骗用户安装伪装的GlobalProtect代理程序，随后部署名为GlobalProtect.exe的后门程序，并通过C2服务器窃取系统信息。该恶意软件通过模仿阿联酋沙迦的一家VPN门户来混淆网络流量，增强其隐蔽性，目前尚未确认具体攻击者。

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

---

3 微软揭露朝鲜APT利用Chrome零日漏洞窃取加密货币

微软威胁情报团队近日确认，朝鲜黑客组织利用Chrome的一个远程代码执行漏洞（CVE-2024-7971）进行攻击，目标为加密货币行业。该漏洞涉及Chromium V8 JavaScript和WebAssembly引擎中的类型混淆缺陷，已于8月21日由谷歌修复。微软表示，攻击由与朝鲜政府相关的APT组织“Citrine Sleet”实施，该组织也被称为AppleJeus、Labyrinth Chollima等，此前曾针对金融机构和加密货币管理者展开行动。此次攻击首次发现于8月19日，黑客通过恶意域名引诱受害者触发远程代码执行漏洞，随后在受感染设备上部署此前被其他朝鲜APT使用的FudModule rootkit。

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/

---

4 网络攻击者利用Google Sheets发起新型恶意软件活动

研究人员发现了一场利用Google Sheets作为指挥控制（C2）机制的新型恶意软件活动。该活动于2024年8月5日首次由研究人员检测到，攻击者假扮欧洲、亚洲和美国的税务机关，目标锁定全球70多个组织，涉及金融、技术、政府、能源等多个行业。攻击者使用名为Voldemort的定制后门工具收集信息并投递恶意负载。受害者通过钓鱼邮件被引导至伪装的Google AMP缓存页面，随后被诱骗执行LNK文件，进而运行Python脚本以窃取系统信息。此后，恶意软件通过Google Sheets进行C2通信和数据窃取。研究表明，尽管此次活动具有APT特点，但也展示了网络犯罪的痕迹，目标可能是支持某种未明间谍行动的最终目的。

https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

---

5 朝鲜黑客利用恶意npm包攻击开发者窃取加密货币

朝鲜关联的黑客近期发布了一系列恶意npm包，旨在通过恶意软件攻击开发者并窃取加密货币资产。这一攻击活动于2024年8月12日至27日期间被观察到，涉及的npm包包括temp-etherscan-api、ethersscan-api、telegram-con、helmet-validate和qq-console。研究人员表示，qq-console可能与“传染性面试”攻击活动有关，该活动通过伪装成虚假的npm包或视频会议软件安装程序，诱骗开发者下载并感染信息窃取恶意软件。最终目的是部署名为InvisibleFerret的Python恶意软件，以窃取加密货币钱包扩展中的敏感数据并建立持久性。CrowdStrike将该活动归类为“Famous Chollima”，该组织通过伪装成IT工作者渗透企业环境，主要针对科技、金融等多个行业，进行金融和数据窃取攻击。

https://blog.phylum.io/north-korea-still-attacking-developers-via-npm/

---

6 新型网络攻击针对华语企业部署Cobalt Strike恶意软件

近日，研究人员发现一场针对华语企业的高度组织化网络攻击活动，攻击者通过钓鱼邮件感染Windows系统并部署Cobalt Strike恶意软件。该攻击行动代号为“SLOW#TEMPEST”，未归因于已知的威胁组织。攻击者利用恶意ZIP文件诱导用户解压并激活感染链，最终在被攻陷系统上部署后利用工具包。通过伪装的Windows快捷方式文件，攻击者实施了DLL侧加载技术，首次利用LicensingUI.exe执行恶意DLL，实现持久性访问。该攻击还通过Mimikatz工具获取凭据，利用RDP横向移动，并通过BloodHound工具对活动目录进行侦查，所有C2服务器均位于中国。研究人员指出，该攻击行动可能由经验丰富的威胁者策划，尽管目前尚未能确定具体责任方。

https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest/

---