每日安全简讯(20241016)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 疑似国家级黑客利用Ivanti CSA漏洞进行网络入侵

据研究人员的最新发现，疑似国家级对手正在利用Ivanti Cloud Service Appliance（CSA）中的三个漏洞，实施一系列恶意活动。这些攻击通过零日漏洞获得未经认证的访问权限，列举CSA配置的用户，并尝试窃取用户凭据。漏洞包括命令注入和路径遍历，影响CSA设备关键资源。攻击者通过窃取的管理员凭据进一步利用命令注入漏洞，植入Web shell并保持长期访问控制。值得注意的是，攻击者还修补了已利用的漏洞，防止其他入侵者进入同一网络。这些活动还包括部署Linux内核rootkit及通过DNS隧道进行数据渗透。

https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa

---

2 TrickMo恶意软件通过假锁屏窃取Android用户PIN码

据研究人员报道，TrickMo Android银行木马的40个新变种已被发现，其核心功能之一是通过伪造锁屏界面窃取用户的Android PIN码。该恶意软件利用Accessibility Service权限自动获得更多系统控制权限，并使用钓鱼登录页面盗取银行账户凭据。此外，TrickMo通过虚假锁屏诱导用户输入解锁图案或PIN码，攻击者随后通过后台脚本获取该信息并进行设备解锁，实施欺诈操作。研究人员分析发现，至少13000名受害者受到影响，主要分布在加拿大、阿联酋、土耳其和德国。TrickMo的攻击目标不仅限于银行账户，还包括VPN、电子商务、社交媒体等平台。

https://www.zimperium.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples/

---

3 开源生态中供应链攻击风险激增

研究人员发现，攻击者可通过多个编程生态系统中的切入点，发起软件供应链攻击。这些切入点，包括PyPI、npm、Ruby Gems、NuGet等，能够在开发者执行特定命令时执行恶意代码，绕过传统安全防护。研究表明，攻击者通过冒充常用命令和插件，如aws、docker等，窃取敏感信息，或使用“命令包装”等隐蔽手段，以执行恶意代码且不被察觉。此外，恶意插件和扩展也能篡改代码行为。报告指出，传统安全工具难以识别这些攻击，新型供应链攻击对开发者和自动构建环境构成严重威胁。

https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/

---

4 新型AI骗局瞄准Gmail用户

Gmail用户需警惕一种新兴的AI骗局，通过伪装的电话号码、电子邮件地址和AI生成的语音窃取Google凭证。网络安全专家最近分享了他的遭遇，表明攻击者先发送虚假的账户恢复通知，接着从看似合法的Google号码拨打电话。电话中的AI语音冒充Google员工，声称账户遭到未经授权的访问，随后发送伪造的官方邮件。尽管骗局看似真实，但AI语音重复的模式以及邮件地址的异常使得骗局露馅。专家提醒用户，Google不会主动联系个人账户持有者，遇到类似情况应立即终止通信以防信息泄露。

https://sammitrovic.com/infosec/gmail-account-takeover-super-realistic-ai-scam-call/

---

5 荷兰警方联合行动摧毁暗网市场Bohemia/Cannabia

荷兰警方宣布成功关闭了暗网市场Bohemia和Cannabia，这两个平台长期以来是非法商品、毒品和网络犯罪服务的主要交易场所。此次行动得到了英、美、爱尔兰等国执法部门的协助，自2022年底开始展开调查。Bohemia市场在2023年由于服务中断停止运营，交易量每月达67000笔，9月的营业额高达1200万欧元。警方调查发现，仅荷兰就进行了至少170万欧元的交易。多名管理员已被捕，警方继续追捕其他涉案人员，表明暗网的匿名性并非如其用户所想般牢不可破。

https://securityaffairs.com/169743/cyber-crime/dutch-police-dismantled-dark-web-market-bohemia-cannabia.html

---

6 Central Tickets遭数据泄露百万用户信息被黑客公开

伦敦折扣剧票平台Central Tickets于2024年7月发生重大数据泄露事件，用户的姓名、电子邮件、电话号码和密码等个人信息遭到黑客窃取。尽管泄露发生在7月1日，公司直到9月才通过伦敦警察局获知黑客在暗网出售数据的消息。此次泄露涉及一个用于测试的数据库，虽然与主要系统隔离，但仍包含大量敏感数据。黑客以3000美元的价格出售这些数据，并在暗网公开了约100万名用户的信息。公司已采取密码重置等措施应对，专家提醒用户警惕网络钓鱼风险。

https://hackread.com/central-tickets-data-breach-hacker-leaks-user-data/

---