每日安全简讯(20241010)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GoldenJackal利用恶意工具集攻击使馆与隔离网络系统

GoldenJackal，一个较为神秘的威胁行为者，近期被发现针对使馆与政府组织发动网络攻击，目标包括隔离网络的系统。受害者包括白俄罗斯的南亚使馆和一家欧盟政府组织。据研究人员分析，GoldenJackal利用两个自定义恶意工具集，旨在窃取机密信息，尤其针对未连接互联网的高价值设备。该组织自2019年以来活跃，主要使用的恶意软件工具包括能够感染USB设备的蠕虫JackalWorm及木马JackalControl。此次攻击还涉及GoldenDealer、GoldenHowl等工具，这些工具专门用于通过USB设备感染隔离网络系统。GoldenJackal展示了其高度的资源整合能力，持续更新和部署新型工具集，针对空隙网络进行复杂攻击。

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

---

2 Awaken Likho利用高级工具集攻击俄罗斯政府与工业机构

Awaken Likho，一个又名Core Werewolf和PseudoGamaredon的高级持续性威胁组织（APT），自2024年6月以来，持续针对俄罗斯政府机构及工业企业展开网络攻击。该组织通过鱼叉式网络钓鱼，发送带有双扩展名的恶意文件，如“doc.exe”或“pdf.exe”，诱导用户打开这些文件，进而安装远程控制工具。与以往不同，Awaken Likho现采用MeshCentral平台的合法代理代替UltraVNC模块，增强了远程访问的隐蔽性。攻击链还利用自解压存档（SFX）及AutoIt脚本，配合MeshAgent工具，在受害系统中建立持久连接。此次攻击还涉及俄罗斯军事基地及武器开发研究所，显示出该组织对关键基础设施的持续威胁。

https://securelist.com/awaken-likho-apt-new-implant-campaign/114101/

---

3 虚假作弊脚本引擎诱骗游戏玩家下载基于Lua的恶意软件

一项针对全球玩家的网络攻击正在扩散，攻击者通过伪造的游戏作弊脚本引擎诱骗用户下载基于Lua语言的恶意软件。研究显示，该恶意软件能够在受感染系统中建立持久性，并下载其他恶意负载。攻击者利用Lua脚本引擎的流行性，尤其在学生玩家群体中广泛传播。用户通过搜索作弊工具如Solara和Electron进入虚假网站，从GitHub等合法平台下载包含恶意Lua脚本的压缩包。恶意软件通过命令与控制服务器发送受害者系统信息，并执行下载更多负载，如RedLine窃取器和CypherIT Loader。这些窃取器通过暗网出售被盗凭据，进一步加剧了信息安全风险。

https://blog.morphisec.com/threat-analysis-lua-malware

---

4 iOS 18镜像漏洞或泄露员工个人信息

10月9日消息，研究人员发现，苹果iOS 18和macOS Sequoia系统中的镜像功能存在隐私泄露风险，可能导致员工的个人应用信息暴露给公司IT部门。尽管应用数据并未被共享，但某些应用的存在，如健康或约会服务，可能泄露敏感个人信息。这一漏洞可能违反《加州消费者隐私法》(CCPA)，带来诉讼和联邦监管风险。Sevco已通知苹果，苹果确认该漏洞并正在修复。Sectigo公司高级研究员Jason Soroko指出，该漏洞源于镜像功能未能有效隔离个人应用元数据与企业软件目录。为降低风险，建议用户避免在工作设备上使用镜像功能，公司也应调整相关政策，苹果则需加强数据隔离以保护用户隐私。

https://www.sevcosecurity.com/iphone-mirroring-expose-employee-personal-information/

---

5 Ivanti CSA发现三处零日漏洞被积极利用

Ivanti警告称其云服务设备（CSA）存在三处新安全漏洞，已在网络中被积极利用。这些零日漏洞与上个月修复的另一个漏洞一起被利用，成功利用后，具有管理员权限的攻击者可能绕过限制、执行任意SQL语句或获取远程代码执行权限。Ivanti表示，目前只有少量使用CSA 4.6补丁518及以前版本的客户遭受了这三处漏洞（CVE-2024-9379、CVE-2024-9380和CVE-2024-9381）与CVE-2024-8963（评分9.4）结合利用的攻击。三处漏洞分别为：CVE-2024-9379（SQL注入）、CVE-2024-9380（操作系统命令注入）和CVE-2024-9381（路径遍历），这些漏洞的CVSS评分在6.5至7.2之间。Ivanti建议用户更新至最新版本（5.0.2），并检查设备上是否有修改或新增的管理用户，以寻找潜在的安全隐患。

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-Cloud-Services-Appliance-CVE-2024-9379-CVE-2024-9380-CVE-2024-9381?language=en_US

---

6 网络安全公司Dr.Web遭黑客攻击数据泄露超10TB

DumpForums，一个亲乌克兰的黑客论坛，近日声称成功攻击了俄罗斯网络安全巨头Dr.Web，窃取了超过10TB的敏感数据。该攻击始于2024年9月14日，Dr.Web在遭受网络攻击后于9月17日发布声明，称其“资源”未被访问或窃取。然而，DumpForums在10月8日的Telegram上否认了这一说法，表示他们已经深入Dr.Web的本地网络，并系统性地攻破了多台服务器和资源，获取了包括客户数据库和内部项目的敏感信息。黑客甚至声称控制了Dr.Web的域控制器，获取了对整个网络的无限访问权限，且在一个月内未被发现，持续提取数据。分析人士指出，作为一家网络安全公司，Dr.Web的安全防护能力引发了广泛质疑，此次事件凸显了在地缘政治冲突背景下，网络安全领域的脆弱性与风险。

https://hackread.com/dumpforums-russian-cybersecurity-firm-dr-web-data-breach/

---