每日安全简讯(20240902)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 RansomHub勒索组织对哈里伯顿进行了网络攻击

RansomHub勒索组织是近期对石油及天然气服务公司哈里伯顿（Halliburton） 进行网络攻击的幕后黑手，此次网络攻击影响了该公司的IT系统和业务运营。由于相关系统被网络攻击所关闭，其客户无法生成发票或采购订单。哈里伯顿披露了这次攻击事件，称他们于2024年8月21日遭受了网络攻击。虽然哈里伯顿尚未提供有关此次攻击的更多细节及攻击者信息，但安全研究人员在该公司提供的IOC列表中发现了一个名为maintenance.exe的Windows可执行程序，并确认该程序是RansomHub勒索软件加密程序。经分析，该程序相较之前的版本包含一个新的“-cmd string”命令行参数，该参数用于在加密文件之前在设备上执行命令。

https://www.bleepingcomputer.com/news/security/halliburton-cyberattack-linked-to-ransomhub-ransomware-gang

---

2 研究人员披露一种名为Rocinante的新型恶意软件

近期，研究人员发现一种源自巴西的新型安卓恶意软件，并将其命名为Rocinante。该恶意软件活跃于巴西，能够在受感染的设备上执行键盘记录、网络钓鱼攻击和远程访问会话等恶意功能，并使用冒充该地区多种不同银行的网络钓鱼屏幕窃取受害者的敏感信息。Rocinante结合利用Firebase消息传递、HTTP流量、Websocket流量和Telegram API等协议和服务进行C2通信，获取来自受感染设备中的信息，并对受感染设备进行接管。

https://www.threatfabric.com/blogs/the-trojan-horse-that-wanted-to-fly-rocinante#rocinante-or-pegasus

---

3 攻击者在GitHub项目中发布虚假评论传播窃密木马

攻击者正在利用GitHub进行恶意攻击活动，在GitHub项目中发布虚假评论以传播窃密木马Lumma Stealer。该攻击活动最初是由teloxide rust库的一位贡献者报告，该贡献者称在GitHub问题中收到了五条不同的评论，这些评论提供了虚假的修复程序，但实际上是在推送恶意软件。研究人员进一步调查发现在GitHub的各种项目中存在数千条类似的恶意评论。这些评论引导人们从指定URL处下载受密码保护的压缩包，其中包含一些DLL文件和一个可执行程序。研究人员发现所有相关压缩包使用的密码都是 “changeme”。经分析，攻击者在此次攻击活动中传播的是一种名为Lumma Stealer的窃密木马。

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-spread-lumma-stealer-malware-as-fake-fixes

---

4 研究人员披露一起传播Snake Keylogger的网络钓鱼活动

研究人员最近发现了一起网络钓鱼活动，钓鱼邮件中附有一个恶意的Excel文档，用于传播Snake Keylogger。该Excel文档利用CVE-2017-0199漏洞下载107.hta文件，该文件中包含经过混淆处理的JavaScript代码，用于执行VBScript以及PowerShell代码，以下载、执行名为sahost.exe的恶意程序。sahost.exe是一种加载器，能够解密得到名为Tyrone.dll的模块并注入内存中执行。Tyrone.dll模块用于对sahost.exe进行重命名、创建计划任务以保持持久化、并将最终的Snake Keylogger恶意载荷注入至内存中执行。Snake Keylogger（又名“404 Keylogger”或“KrakenKeylogger”）是一种键盘记录器，具备多种窃密功能。一旦在受害者的计算机上执行，它能够窃取敏感数据，包括在浏览器和其他流行软件中保存的凭据、系统剪贴板内容和基本的设备信息。它还能够记录键盘输入并捕获屏幕截图。

https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant

---

5 研究人员在FlyCASS系统中发现SQL注入漏洞

研究人员在FlyCASS系统中发现了一个安全漏洞，该漏洞允许未经授权的个人绕过机场安检并进入飞机驾驶舱。FlyCASS是一种基于Web的第三方服务，一些航空公司使用该系统来管理已知机组人员（KCM）计划和驾驶舱访问安全系统（CASS）。研究人员发现，FlyCASS的登录系统容易受到SQL注入的影响，该漏洞使攻击者能够通过输入恶意的SQL语句查询数据库内容。利用此漏洞，攻击者能够以管理员身份进行登录，并在系统内操纵员工数据。更严重的是，攻击者在登录该系统后，可以将任何人添加至KCM和CASS，从而跳过安检直接进入商用客机的驾驶舱。

https://www.bleepingcomputer.com/news/security/researchers-find-sql-injection-to-bypass-airport-tsa-security-checks

---

6 多伦多教育局证实学生信息因勒索软件攻击而泄露

多伦多教育局（TDSB）本周确认，学生信息因6月发现的一起勒索软件攻击而泄露。该教育局是加拿大最大、最多样化的教育局，管理着582所学校，约23.5万名学生。TDSB表示，攻击者针对的是一个独立于教育局官方网络的技术测试环境，并确认2023/2024学年的一些学生信息存在于该技术测试环境中。受影响的信息包括学生的姓名、学校名称、年级、学校电子邮件地址、学生编号和出生日期等。LockBit勒索组织声称对此次攻击负责。其数据泄露网站的帖子中没有说明被盗数据的数量，但该组织给TDSB 13天的时间支付未公开的赎金。目前TDSB没有针对LockBit发布的勒索帖子进行回应。

https://therecord.media/toronto-school-district-board-ransomware

---