每日安全简讯(20241116)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus黑客组织利用macOS扩展属性隐藏恶意代码

Lazarus黑客组织近日开始尝试利用macOS文件的扩展属性传播一种名为RustyAttr的新型木马。这种攻击手段通过将恶意代码隐藏在自定义文件元数据中，并结合诱饵PDF文档来规避检测，展现了高度的隐蔽性。这一技术与2020年Bundlore广告软件利用资源分支隐藏有效负载的手法相似。RustyAttr木马通过利用macOS的扩展属性（EA）来隐藏恶意脚本，恶意代码存储在名为“test”的EA中。恶意应用使用Tauri框架构建，结合了网页前端（HTML、JavaScript）与Rust后端。当应用运行时，它会加载网页并从扩展属性中提取并执行存储的shell脚本。此外，攻击者还通过pCloud共享的PDF文件使目标放松警惕，这些文件内容与加密货币投资相关，符合Lazarus组织的攻击目标。

https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus/

---

2 Bitdefender发布ShrinkLocker勒索软件解密工具

Bitdefender近日发布了解密工具，帮助ShrinkLocker勒索软件的受害者恢复被加密的文件。该病毒最早由卡巴斯基在2024年5月发现，其特点是利用Windows内置的BitLocker加密工具对受害者的文件进行加密。ShrinkLocker的加密过程不依赖于传统勒索病毒中常见的自定义加密算法，而是通过生成随机密码并利用BitLocker进行加密，从而绕过常规的解密手段。恶意软件会首先检查目标系统是否启用了BitLocker，并在没有启用的情况下自行安装。随后，它会删除所有默认保护措施，使得BitLocker加密只加密磁盘的已用空间，并通过删除BitLocker保护机制来增加恢复难度。用户在系统重启后会看到BitLocker提示，要求输入密码才能解锁加密的驱动器，并显示攻击者的联系邮箱，要求支付赎金获取解密密钥。ShrinkLocker勒索软件还会通过组策略对象（GPO）和计划任务，传播到网络中所有加入域的设备。

https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again

---

3 研究人员披露在针对乌克兰的攻击中发现的零日漏洞

一种新发现的零日漏洞CVE-2024-43451正在被积极利用，攻击目标主要是乌克兰的实体。该漏洞影响所有版本的Windows操作系统，并且首次由ClearSky Cyber Security团队在2024年6月发现。攻击者通过一些看似无害的用户操作（例如右键点击、删除或移动URL文件）来触发恶意代码的执行。这些恶意文件伪装成学术证书，最初通过被攻击的乌克兰政府官方网站传播。攻击过程始于受害者收到来自被攻破的乌克兰政府服务器的钓鱼邮件，邮件中包含一个恶意URL文件。用户通过右键点击、删除或移动该文件时，漏洞被触发，系统与攻击者控制的远程服务器建立连接，开始下载其他恶意文件，包括SparkRAT恶意软件。SparkRAT是一种开源的远程访问木马（RAT），允许攻击者完全控制受感染的系统。该恶意软件设计有持久化机制，确保攻击者在系统重启后仍能保持对系统的访问。

https://www.clearskysec.com/0d-vulnerability-exploited-in-the_wild/

---

4 施耐德电气披露其Modicon控制器存在严重安全漏洞

施耐德电气（Schneider Electric）近日披露了其Modicon M340、Momentum和MC80系列可编程自动化控制器的多个关键安全漏洞，可能导致未经授权的访问、数据篡改及系统中断等风险。这些漏洞影响了广泛应用于制造业、能源及关键基础设施等行业的设备，可能被攻击者利用进行拒绝服务攻击或执行任意代码。漏洞具体包括CVE-2024-8936、CVE-2024-8937和CVE-2024-8938，均涉及到Modicon控制器的输入验证不当和内存缓冲区限制不足，黑客可通过中间人攻击（MITM）篡改Modbus协议的通信，进而执行恶意代码。施耐德电气已发布安全通告，提醒用户尽快应用最新的固件版本，并实施网络隔离、设置防火墙及访问控制，以降低安全风险。此外，施耐德还建议Momentum和MC80系列用户采用VPN连接并遵循安全手册指导，以减少潜在的威胁。

https://www.govinfosecurity.com/schneider-electric-warns-critical-modicon-flaws-a-26804

---

5 B2B数据聚合公司DemandScience泄露超1亿人数据

自2024年2月起，1.22亿条商业联系信息开始在网络上流传，现已确认这些数据来自B2B数据聚合公司DemandScience（前身为Pure Incubation）。这些信息涉及个人的姓名、地址、电子邮件、电话号码、职位、社交媒体链接等内容，主要收集自公共来源及第三方，供数字营销人员和广告商用来生成营销线索。2024年2月，名为‘KryptonZambie’的黑客在BreachForums出售了1.328亿条记录，声称这些数据被盗自Pure Incubation的一个暴露系统。当时，BleepingComputer联系了DemandScience，询问是否发生数据泄露，DemandScience回应称并未发现任何安全事件。然而，直到2024年8月15日，KryptonZambie将这些数据以极低的价格（约几美元）泄露，最终导致数据公开。

https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/

---

6 谷歌推出一项新的人工智能防诈骗功能

谷歌近期为其Pixel设备推出了两项新型实时保护功能，旨在提升Android用户的安全性。首先，谷歌引入了AI驱动的诈骗电话检测功能，该功能通过分析电话通话中的对话模式，实时识别潜在的诈骗行为。当系统检测到类似银行欺诈等典型诈骗模式时，用户将收到警告，并可选择是否终止通话。该功能完全在设备内处理，确保用户隐私不外泄，并且默认处于关闭状态，用户可根据需要启用。其次，谷歌还增强了Google Play Protect的功能，推出了实时威胁检测系统。当系统发现恶意应用时，用户会收到即时警告，能够及时采取措施保护设备安全。这个新的“实时威胁检测”功能会分析应用行为和敏感权限的使用，帮助识别潜藏的恶意应用。这些保护措施最初将在Pixel 6及更新型号的设备上推出，未来也将扩展到其他Android设备，进一步增强安卓系统的安全防护。

https://security.googleblog.com/2024/11/new-real-time-protections-on-Android.html

---