每日安全简讯(20241026)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 TA866组织关联WarmCookie恶意软件发起间谍活动

研究人员发现，黑客组织TA866（又称Asylum Ambuscade）正在使用新的恶意软件WarmCookie开展复杂的间谍活动。自2020年以来，TA866频繁发动经济动机驱动的恶意活动和间谍攻击，利用多种定制和通用工具，以确保其在受感染系统中的持续存在。TA866的攻击链为多阶段模式，首先通过恶意JavaScript下载器启动感染，后续阶段加载WasabiSeed等恶意工具保持持久性，同时使用Screenshotter和AHK Bot来窃取信息、监视活动和获取凭证。WarmCookie自2024年4月以来频繁出现在TA866的恶意广告和垃圾邮件攻击中，进一步表明其与TA866的紧密关联。

https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade/

---

2 Grandoreiro银行木马采用反检测新手段发起攻击

近日，研究人员发现Grandoreiro银行木马的最新变种，具有更强的反检测功能，延续其全球攻击银行用户的趋势。研究人员报告指出，尽管部分成员已被捕，但剩余的操作者持续开发新功能，包括命令与控制域生成算法（DGA）、加密技巧及鼠标追踪功能等。Grandoreiro主要通过网络钓鱼和恶意广告分发，利用假装为驱动程序的大型可执行文件绕过沙箱检测。新版本还能识别多种防病毒和银行安全软件、监控用户活动并实施加密货币转账劫持。Grandoreiro木马的不断演化对银行业构成严峻挑战，尤其在拉美和欧洲地区。

https://securelist.com/grandoreiro-banking-trojan/114257/

---

3 LinkedIn上求职者遭遇新型网络钓鱼骗局

近期观察表明，犯罪分子在LinkedIn上利用求职者发布的“#opentowork”等标签，以虚假招聘的方式实施定向网络钓鱼。通过伪造的LinkedIn账号或通过高级InMail功能发送定制化的求职邀请，攻击者以收集敏感信息为目的，使用AI生成的头像和知名公司的名称增加可信度。常见操作包括利用缩短链接诱导受害者访问伪造的工作页面，并在此页面加载Rockstar2FA等钓鱼工具包以窃取Google账号和2FA验证码，进而破坏其他关联账户的安全。

https://www.malwarebytes.com/blog/news/2024/10/linkedin-bots-and-spear-phishers-target-job-seekers

---

4 Fortinet披露被积极利用的零日漏洞

Fortinet日前披露其FortiManager管理平台存在一个被积极利用的零日漏洞（CVE-2024-47575），可使远程攻击者执行任意代码或命令。该漏洞风险评分高达9.8，允许任何设备通过伪造证书轻松连接到FortiManager，并利用自动化脚本窃取关联设备的IP地址、凭证和配置等敏感信息。美国网络安全和基础设施安全局（CISA）已将该漏洞列入已知漏洞目录，要求联邦机构在三周内完成补丁更新或采取缓解措施。Fortinet建议客户更新系统并实施访问控制等缓解措施以防止未授权设备连接，但部分更新尚未发布。

https://www.runzero.com/blog/how-to-find-fortimanager-instances-on-your-network/

---

5 黑客窃取3.5亿Hot Topic用户数据索要赎金10万美元

一名自称“Satanic”的黑客宣称窃取了时尚品牌Hot Topic约3.5亿名客户的数据，包括姓名、邮箱、地址、出生日期以及部分支付信息。此次攻击可能源于零售分析公司Robling员工设备感染恶意软件的事件。虽然攻击者仅掌握信用卡后四位和部分加密信息，但其以2万美元出售数据，或向Hot Topic索要10万美元以撤销出售请求。分析认为，数据泄露风险较低，但Satanic拥有较强的数据窃取能力，可能会诱发定向钓鱼攻击。

https://www.infostealers.com/article/largest-retail-breach-in-history-350-million-hot-topic-customers-personal-and-payment-data-exposed-as-a-result-of-infostealer-infection/

---

6 北非电竞用户赛前数据遭泄露

在北非电竞（ESNA）比赛开幕前夕，黑客“Shooked”在Breach论坛泄露了18万ESNA用户的数据。3GB的数据包包含用户ID、国家、用户名、IP地址、电子邮件等，但未包含密码或财务信息。此次泄露可能为赛事带来安全隐患，用户应更换密码并警惕冒充ESNA的钓鱼邮件。ESNA组织方尚未对数据泄露发表正式回应，但建议用户提高警惕以防潜在的网络攻击。

https://hackread.com/hackers-leak-esport-north-africa-user-record-before-tournament/

---