每日安全简讯(20241118)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Hive0145黑客组织利用钓鱼邮件传播Strela Stealer

2024年11月，IBM X-Force披露，名为Hive0145的网络犯罪组织持续在欧洲发动网络钓鱼攻击，将Strela Stealer恶意软件传播至西班牙、德国和乌克兰等国家。攻击者使用从前期窃取的电子邮件凭证发送伪装为真实发票通知的钓鱼邮件，引诱受害者下载并执行带有恶意附件的文件。Strela Stealer专注于窃取存储在Microsoft Outlook和Mozilla Thunderbird中的用户凭证，进而可能导致商业电子邮件泄露（BEC）。自2022年底以来，Hive0145逐步演变为一个初始访问代理（IAB），通过持续优化攻击链提高感染效率。数据显示，自2024年7月起，该组织开始利用盗取的电子邮件加速传播恶意软件，并从10月中旬起每周开展攻击活动。到11月，Hive0145已针对乌克兰展开新一轮的钓鱼攻击。分析表明，该组织可能是Strela Stealer的唯一运营者，其频繁的攻击活动正对欧洲潜在受害者构成严重威胁。

https://securityintelligence.com/x-force/strela-stealer-todays-invoice-tomorrows-phish/

---

2 攻击者利用瑞士邮政服务传播恶意软件

瑞士国家网络安全中心（NCSC）近期发出警告，骗子通过伪造的邮件假借国家邮政服务传播恶意软件。一些公民收到伪装为瑞士联邦气象与气候局发出的信件，信中包含一个二维码，诱导用户扫描并下载“严重天气预警App”。该假冒应用名为“AlertSwiss”，外观模仿官方的Alertswiss天气预警应用，但拼写略有不同，且标识也与官方版本稍有差异。用户通过信中提供的第三方链接下载此App，而非官方Google Play商店。该应用实际携带了Coper木马的变种，这种恶意软件最早于2021年被发现，能够窃取键盘输入记录、拦截双重身份验证短信和推送通知，特别针对用户的银行应用程序，窃取凭证及相关敏感数据。NCSC表示，这是首次观察到通过邮寄信件传播恶意软件的案例。信件伪装精良，采用真实的气象局标识，内容紧急，迫使收件人仓促行动。由于邮寄成本较高，每封约为1.35美元，诈骗分子可能选择了高度精准的目标进行定向攻击。尽管目前接到的受害报告仅有十余例，实际受害人数尚无法统计。

https://www.theregister.com/2024/11/16/swiss_malware_qr/

---

3 GitHub开源项目遭恶意代码注入攻击

近日，开源代码托管平台GitHub上多个项目遭到恶意提交和拉取请求（PR）攻击，试图植入后门代码，其中包括AI和机器学习初创公司Exo Labs的项目。此次攻击引发了社区对攻击者真实意图的广泛关注。Exo Labs联合创始人Alex Cheema警告称，该公司的GitHub库收到了一份看似无害的拉取请求，标题为“clarify mlx requirement for deepseek models”。但该请求试图在代码文件中插入经过Unicode转换的数字序列。解码后，这些数字还原为一个潜在的后门代码段，指向一个外部URL。如果代码被合并，用户将可能在其系统上执行由该URL远程提供的恶意代码。幸运的是，该拉取请求未被批准。有趣的是，相关URL始终返回404错误，表明从未提供任何实际内容。此外，提交代码的GitHub用户“evildojo666”账户已被删除，而该账户及关联域名的所有者、德克萨斯州安全研究员Mike Bell强烈否认与此事有关。他表示自己可能遭到了冒名顶替，这次攻击或许是为了抹黑其名誉。

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/

---

4 美国环保署披露饮用水系统的严重网络安全隐患

美国环保署（EPA）监察长办公室（OIG）发布了一份报告，揭示了全美饮用水系统的重大网络安全风险。这些系统为超过1.93亿人提供关键的饮用水服务，但因网络漏洞面临严重的网络攻击威胁，包括服务中断、数据丢失和敏感信息盗窃等问题。报告评估了1062个服务超过5万人口的饮用水系统，通过2024年10月8日的扫描发现，其中97个系统（服务2660万人）存在关键或高风险漏洞，可能导致服务瘫痪或数据泄露。此外，另有211个系统（服务8270万人）存在可被外部访问的开放端口，尽管风险较低，但若不及时修复，仍有可能被利用。报告还指出，EPA在管理水系统和污水系统的网络安全事件方面存在不足，缺乏集中式事件报告系统。这种缺陷限制了威胁发生时的及时沟通与协调响应能力。

https://hackread.com/cybersecurity-flaws-us-drinking-water-systems-risks/

---

5 NSO集团利用WhatsApp漏洞植入间谍软件

以色列监控公司NSO Group被曝利用WhatsApp漏洞开发并分发间谍软件，尽管Meta（原Facebook）旗下的即时通讯平台已经对其提起诉讼。据法庭文件显示，NSO承认其研发并销售了包括“Eden”在内的多种“零点击”攻击向量，这些工具通过逆向工程WhatsApp代码并利用专门设计的服务器发送恶意消息，从而秘密植入“Pegasus”间谍软件。此类攻击共涉及1400名目标用户，尽管WhatsApp在2019年5月修复了关键漏洞CVE-2019-3568，但NSO仍继续研发新的攻击向量“Erised”并将其提供给客户。Meta声称NSO的行为违反了多项法律，包括《计算机欺诈与滥用法案》（CFAA）和加州数据访问与欺诈法案（CDAFA），并导致WhatsApp遭受实质性损害。

https://securityaffairs.com/171047/security/nso-group-used-whatsapp-exploits-even-after-meta-owned-company-sued-it.html

---

6 Bitfinex加密货币交易所盗窃案主谋被判处五年监禁

美国当局判处2016年Bitfinex加密货币交易所盗窃案主谋伊利亚·利希滕斯坦（Ilya Lichtenstein）五年监禁。利希滕斯坦于2022年2月在曼哈顿被捕，此前历经多年调查，美国国税局（IRS）、国土安全调查局（HSI）和联邦调查局（FBI）成功追回被盗比特币中的约80%（94000枚）。根据美国司法部的声明，利希滕斯坦通过利用Bitfinex多签名提款系统的漏洞，绕过BitGo的批准流程，实施了超过2000笔非法交易，将119754枚比特币转移至其控制的钱包。当时这些比特币价值7800万美元，而在被追回时已增值至36亿美元。他还盗取用户凭据，攻击使用相同凭据的其他交易所账户。为掩盖行踪，利希滕斯坦删除了Bitfinex网络中的相关日志文件，随后等待数月才开始小额转移赃款，并通过多个账户分散资金。到2019年，他的洗钱操作已全面展开，涉及数万个中介地址、混币服务及多层资金混淆手段。他的妻子希瑟·摩根（Heather Morgan）也协助洗钱，成为案件的重要同谋。

https://www.bleepingcomputer.com/news/security/bitfinex-hacker-gets-5-years-in-prison-for-120-000-bitcoin-heist/

---