每日安全简讯(20241115)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WIRTE黑客组织持续针对中东地区发起网络攻击

Check Point Research近日跟踪了与哈马斯相关的WIRTE网络威胁组织的活动，发现该组织自2018年起持续进行政治动机驱动的网络间谍活动，尤其集中在中东地区。尽管以色列和哈马斯的冲突仍在进行，但WIRTE的活动并未受到影响，反而利用地区局势发动了多波攻击，目标包括巴勒斯坦当局、约旦、埃及、沙特阿拉伯等多个国家。2024年2月和10月，WIRTE使用名为SameCoin的清除型恶意软件对以色列的目标实施了两波破坏性攻击。这些攻击通过定制恶意软件和加载工具如IronWind进行，后者能够执行隐藏在HTML标签中的恶意代码。Check Point的研究表明，WIRTE不仅仅局限于间谍活动，还扩展到了更具破坏性的行动。

https://research.checkpoint.com/2024/hamas-affiliated-threat-actor-expands-to-disruptive-activity/

---

2 加拿大执法部门逮捕涉嫌多起黑客攻击的嫌疑人

加拿大执法部门于2024年10月30日逮捕了一名涉嫌参与多起黑客攻击事件的个人，犯罪行为源于今年早些时候对云数据仓储平台Snowflake的入侵。2024年6月，Snowflake公司披露其平台遭到黑客攻击。随后，谷歌旗下的Mandiant安全公司将此次攻击归咎于一个名为UNC5537的、以经济利益为动机的威胁组织。Mandiant公司表示，UNC5537的成员主要位于北美，并与一名土耳其成员合作。Mandiant评估称，大约165家组织受到了此次攻击的影响。在一些事件中，黑客尝试通过威胁在犯罪论坛上出售被窃取的数据来勒索公司。如果公司不支付赎金，他们将公开数据。这些攻击主要通过利用先前通过信息窃取恶意软件感染获取的客户凭证来获得初始访问权限。调查还发现，最初的恶意软件感染发生在承包商的系统上，这些系统用于下载游戏和盗版软件。

https://thehackernews.com/2024/11/canadian-suspect-arrested-over.html

---

3 大型零售商Ahold Delhaize披露遭遇网络安全事件

大型零售和超市连锁集团Ahold Delhaize在周五披露其美国网络发生了网络安全事件，多个旗下品牌受到影响。受影响的品牌包括Giant Food药品店和Hannaford超市。Ahold Delhaize表示，部分品牌的网络出现问题，可能还会有其他品牌受到波及。Ahold Delhaize是全球最大的食品零售商之一，在美国运营多个超市和电子商务平台，包括Food Lion、Giant Food、Hannaford、Stop & Shop以及The Giant Company等品牌。尽管Hannaford的电子商务平台仍因技术问题无法访问，Food Lion、Giant Food、The Giant Company和Stop & Shop等网站仍然可以正常访问，并发布了来自Ahold Delhaize USA的事件通知。该公司表示，周五发现的网络安全问题促使其采取了应急措施，并立即启动了调查，相关执法部门已被通知。公司透露，部分系统被下线以帮助保护其网络安全，目前正采取措施评估和缓解这一问题。

https://www.securityweek.com/ahold-delhaize-cybersecurity-incident-impacts-giant-food-hannaford/

---

4 Android恶意软件SpyNote伪装杀毒软件窃取数据

Cyfirma的最新报告揭示了Android恶意软件SpyNote的复杂机制。作为一种高度进化的远程访问木马（RAT），SpyNote通过伪装成“Avast Mobile Security”诱骗用户下载安装。安装后，SpyNote利用Android的可访问性权限，绕过系统限制，授予自己额外权限并避免电池优化，确保其持续运行。该恶意软件通过模拟用户手势来悄无声息地提升权限，并利用虚假的系统更新通知持续欺骗用户，从而阻止卸载。SpyNote主要目标是加密货币账户，通过监控网络流量与其命令控制服务器连接，窃取包括比特币、以太坊在内的加密资产信息。此外，它还通过外部存储（SD卡）收集用户数据，并在收集后删除痕迹，以防止被检测。SpyNote的传播途径是通过伪造的钓鱼网站，提供伪装成Avast杀毒软件的APK文件。自2020年首次出现以来，SpyNote已成为Android设备上最具影响力的恶意软件之一，且其变种不断增加，持续扩展对目标的威胁。

https://www.cyfirma.com/research/spynote-unmasking-a-sophisticated-android-malware/

---

5 微软发布Windows 10 KB5046613更新以修复打印机等问题

微软最近发布了Windows 10 22H2和Windows 10 21H2的KB5046613累积更新，带来了一系列修复和功能改进。此次更新是强制性的，包含了2024年11月的补丁星期二安全更新，用户需要手动检查更新并安装，安装后Windows 10 22H2将更新至版本19045.5131，Windows 10 21H2则更新至版本19044.5131。更新的亮点之一是启动菜单的新账户管理器，旨在提高账户管理的便捷性，用户可以更轻松地查看账户信息和访问账户设置。此外，此次更新修复了多功能打印机在使用USB连接时出现的错误打印网络命令问题，以及扫描驱动无法安装的问题。另外，更新还解决了虚拟交换机相关的停止错误，特别是在使用负载平衡和故障转移（LBFO）与虚拟交换机结合的虚拟机环境中，修复了从Windows 10升级到Windows 11时可能出现的竞争条件导致的停止错误。

https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5046613-update-released-with-fixes-for-printer-bugs/

---

6 研究人员披露D-Link NAS设备中的命令注入漏洞

安全研究员Netsecfish发现，多个已到达生命周期终结（EoL）的D-Link网络附加存储（NAS）设备存在严重命令注入漏洞，攻击者可通过发送恶意HTTP GET请求远程执行任意Shell命令，完全控制受影响的设备。该漏洞被追踪为CVE-2024-10914，影响的设备包括DNS-320、DNS-325和DNS-340L等多个型号。漏洞的公开利用代码使得攻击者能够轻松实施远程攻击，利用暴露在互联网上的设备进行恶意操作。D-Link已宣布，不会修复这些EoL设备的漏洞，并强烈建议用户替换或退役这些设备。D-Link表示，EoL设备不再收到安全更新或技术支持，使用这些设备存在巨大的安全风险。然而，尽管D-Link警告用户撤下受影响的设备，Shadowserver监控服务报告称，攻击者已经开始利用该漏洞进行攻击。据报告，超过1100台设备暴露在互联网上，而Netsecfish则通过FOFA平台发现了超过41000个暴露的IP地址。

https://www.bleepingcomputer.com/news/security/critical-bug-in-eol-d-link-nas-devices-now-exploited-in-attacks/

---