每日安全简讯(20241012)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客利用虚假面试向开发者传播跨平台恶意软件

2024年10月，朝鲜关联的网络攻击组织被发现通过伪装成招聘者，针对技术行业求职者，传播更新版的跨平台恶意软件。研究人员将该活动集群命名为CL-STA-0240，首次于2023年11月披露，代号为“传染性面试”。攻击者通过求职平台联系软件开发人员，邀请他们参加虚假面试，诱导下载恶意软件。恶意软件的第一阶段涉及BeaverTail下载器和信息窃取程序，能感染Windows和macOS系统，并为InvisibleFerret后门提供渠道。尽管该活动已公开披露，但攻击者继续通过社交工程技术，利用虚假招聘信任，成功入侵受害者设备。最新版本的恶意软件采用Qt框架，增强了跨平台的隐蔽性，并能够窃取浏览器密码和加密货币钱包数据。

https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/

---

2 加密货币窃取恶意软件活动感染超2.8万人

一场大规模的加密货币窃取恶意软件攻击波及了包括俄罗斯、土耳其和乌克兰在内的欧亚地区，受害者人数超过28000人。该恶意软件伪装成合法软件，利用YouTube视频和虚假GitHub库进行传播，诱使用户下载带有密码保护的文件，从而绕过杀毒软件检测。一旦解压，恶意软件便在系统中植入脚本、DLL文件和AutoIT解释器，进而控制Windows服务和浏览器的更新进程。通过此手段，攻击者不仅进行加密货币挖矿，还劫持受害者剪贴板中的钱包地址。据研究人员透露，攻击者通过劫持交易地址，已盗取了价值6000美元的加密货币。

https://news.drweb.com/show/?i=14920&c=5&lng=en

---

3 犯罪分子通过改进QR码网络钓鱼攻击绕过安全检测

研究人员警告称，网络犯罪分子正在通过使用ASCII和Unicode字符生成难以检测的QR码，提升其网络钓鱼攻击的隐蔽性。攻击者利用“全块”字符组合Cascading Style Sheets（CSS），构建出标准的49x49像素矩阵，绕过光学字符识别（OCR）工具的检测。这些伪造的QR码往往引导用户访问恶意网站，钓鱼邮件数量在2023年第四季度急剧上升，约每20个邮箱中有一个成为目标。此外，犯罪分子还采用Blob URI技术，在用户点击恶意链接后生成动态URL，从而绕过传统URL过滤器。这一创新手段使得网络钓鱼攻击更具威胁性，尤其是在QR码的使用日益广泛的情况下。

https://blog.barracuda.com/2024/10/09/novel-phishing-techniques-ascii-based-qr-codes-blob-uri

---

4 研究人员警告防火墙劫持漏洞及公开利用代码

研究人员于2024年10月警告用户，需立即修补其Expedition解决方案中的多个安全漏洞，这些漏洞可被攻击者利用，劫持PAN-OS防火墙。Expedition用于帮助迁移其他供应商的配置文件，这些漏洞可暴露敏感信息，如用户凭证，帮助攻击者接管防火墙管理员账户。漏洞包括命令注入、跨站脚本攻击、明文存储敏感信息、缺失认证和SQL注入等（CVE-2024-9463至CVE-2024-9467）。研究人员发布了一份概念验证（PoC）代码，展示如何利用这些漏洞进行未授权命令执行。Palo Alto建议尽快更新至Expedition 1.2.96版本并轮换所有相关凭证。

https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-firewall-hijack-bugs-with-public-exploit/

---

5 互联网档案馆遭黑客攻击致3100万用户数据泄露

互联网档案馆（Internet Archive）的"时光机"服务遭遇数据泄露，黑客窃取了包含3100万用户记录的身份验证数据库。攻击者通过显示JavaScript警告告知用户这一漏洞，并声称数据库已上传至"Have I Been Pwned"（HIBP）服务。数据库文件为6.4GB的SQL文件，包含用户的电子邮件地址、屏幕名称、加密密码等敏感信息，最早泄露的时间戳为2024年9月28日。该数据已由安全研究人员证实为真实。此外，互联网档案馆当天还遭遇了由BlackMeta黑客组织发起的分布式拒绝服务（DDoS）攻击。目前，互联网档案馆正在采取措施修复漏洞，升级安全性。

https://www.hhs.gov/sites/default/files/trinity-ransomware-threat-actor-profile.pdf

---

6 俄克拉荷马州县级911服务通知18万人数据泄露

俄克拉荷马州Muskogee市县增强911信托管理局(MCC911)通知约18万名患者，其健康信息在7月的一次勒索软件攻击中可能被泄露。此次攻击影响了自2011年以来接受紧急医疗服务的患者，暴露的信息包括姓名、地址、社会安全号码、医疗诊断和保险信息。黑客从4月4日至7月31日访问了其系统。MCC911已采取措施改进安全性，并与联邦执法部门合作应对攻击。

https://www.mcc911.org/docs/240917_Muskogee_Website_Notice.pdf

---