每日安全简讯(20241210)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 RedLine窃密木马通过盗版企业软件攻击俄罗斯企业

自2024年1月起，RedLine信息窃取活动持续针对俄罗斯企业，利用盗版的企业业务自动化软件进行传播。攻击者在会计和商业论坛发布伪装为HPDxLIB激活器的恶意版本，该版本使用.NET开发并携带自签名证书，而合法版本则使用C++开发并具有有效签名。根据卡巴斯基的报告，攻击者通过层层加密和.NET Reactor工具对恶意代码进行混淆，同时提供详细说明指导用户禁用安全软件以运行激活器。被感染的用户在执行替换了恶意库的补丁程序后，合法的1cv8.exe进程将加载恶意库，从而启动RedLine窃取器。RedLine恶意软件自2020年活跃以来，能够窃取受害者系统中的敏感数据，包括登录凭据、浏览器历史、信用卡信息及加密钱包。此次活动显示攻击者的目标集中在使用业务自动化软件的企业用户，而非个人用户，这种复杂的伪装方式在类似攻击中颇为罕见。

https://securelist.ru/redline-stealer-in-activators-for-business-software/111241/

---

2 Python包“aiocpa”被揭露为加密货币窃取工具

ReversingLabs（RL）的机器学习威胁狩猎系统近日发现，PyPI中的合法外观Python包“aiocpa”被用于窃取加密货币钱包。该包伪装为同步和异步的加密支付API客户端，已被下载超过12100次。攻击者通过发布多个版本建立信任，并在版本0.1.13及之后的更新中植入恶意代码。此代码通过多层加密隐藏，旨在窃取加密交易令牌，可用于转移受害者的钱包资金。攻击者甚至试图接管已有的PyPI项目“pay”，以扩展受害者范围。传统应用安全测试工具未能检测出此攻击，因为恶意代码未出现在其GitHub代码库中。然而，RL的Spectra Assure系统通过行为分析及时识别了威胁，并于2024年11月向PyPI报告，该包随后被移除。此次事件表明，开源软件供应链威胁日益复杂，用户需定期评估第三方代码和工具。PyPI用户应警惕包名接管攻击，并通过固定依赖项及版本号来防止恶意更新。

https://hackread.com/aiocpa-python-package-cryptocurrency-infostealer/

---

3 美国CISA将CyberPanel漏洞列入已知利用漏洞目录

美国网络安全与基础设施安全局（CISA）将CyberPanel的高危漏洞CVE-2024-51378（CVSS评分：10.0）列入其“已知利用漏洞”（KEV）目录。此漏洞存在于CyberPanel的dns/views.py和ftp/views.py中，允许攻击者通过操作statusfile属性中的Shell元字符绕过secMiddleware认证并执行任意命令。该漏洞影响CyberPanel 2.3.6及之前版本，以及未完全修复的2.3.7版本。在2024年10月的大规模攻击中，攻击者利用此漏洞部署了PSAUX勒索软件，目标是22000多个在线暴露的CyberPanel实例，其中美国占近一半（10170个）。PSAUX勒索软件自2024年6月以来一直活跃，专门利用暴露的Web服务器漏洞和错误配置进行攻击。CISA根据BOD 22-01指令要求联邦机构在2024年12月25日前修复此漏洞，以减少漏洞利用风险。此外，专家建议私营企业检查自身基础设施，并针对KEV目录中的漏洞采取补救措施。

https://securityaffairs.com/171736/hacking/u-s-cisa-adds-cyberpanel-flaw-known-exploited-vulnerabilities-catalog.html

---

4 数百台Cisco交换机受引导加载程序漏洞影响

Cisco NX-OS软件的启动加载器存在一个漏洞（CVE-2024-20397，CVSS评分：5.2），影响超过100款交换机设备。此漏洞允许攻击者绕过镜像签名验证，加载未经验证的软件。根据Cisco的安全公告，攻击者可以通过物理访问设备或使用本地管理员凭据，执行一系列启动加载器命令以触发漏洞。这一问题源于启动加载器配置的不安全设置，可能导致系统运行未经验证的NX-OS镜像，从而威胁设备的完整性。目前，Cisco尚未发现该漏洞在野利用的案例，并表示部分已停止漏洞支持的设备（如Nexus 92160YC-X）将不会收到修复补丁。此外，此漏洞没有适用的临时解决方案，用户需尽快升级至补丁版本的BIOS以确保安全。此次事件警示了硬件设备启动过程安全的重要性，建议企业优先更新受影响设备，并加强设备物理安全防护。

https://securityaffairs.com/171729/security/cisco-switches-bootloader-flaw-cve-2024-20397.html

---

5 Anna Jaques医院通报2023年勒索软件攻击影响31.6万人

Anna Jaques医院（AJH）于2023年圣诞节遭受勒索软件攻击，导致其电子健康记录系统（EHR）中断，并被迫将救护车转移至其他医院。攻击由Money Message组织发起，该团伙声称窃取了600GB数据，包括患者的个人和健康信息。尽管攻击发生后AJH在2024年1月23日发布了初步声明，但直至12月5日才向缅因州总检察长办公室报告，共316342人受到影响。受影响的数据可能包括患者的个人信息、健康保险信息、社会安全号码、驾驶执照号码及财务信息等。尽管AJH在声明中提到某些文件“可能被未经授权的第三方访问”，但实际情况是这些文件已被窃取并在暗网公开泄露。AJH的通知措辞引发外界质疑，其未明确告知患者数据已泄露的事实，并将通知措辞为“出于谨慎”，而事实上这一通知为法律要求。医院缺乏透明度的行为被批评可能会妨碍患者准确评估自身风险。

https://databreaches.net/2024/12/07/anna-jaques-hospital-notifies-316300-people-about-2023-ransomware-attack/

---

6 研究人员发现可利用QR码实现隔离浏览器环境下的C2通信

SpecterOps团队早前发布了一篇关于绕过浏览器隔离环境的技术博客，而Mandiant的红队更进一步，提出了利用QR码完成命令与控制（C2）通信的新方法。在浏览器隔离环境中，传统的HTTP响应无法直接被本地浏览器解码，因为用户仅能接收到像素流，而非实际的HTTP数据响应。Mandiant的方案创新性地通过QR码传递命令数据。具体过程如下：恶意植入程序使用无头浏览器（如Puppeteer）向C2服务器请求页面，服务器返回包含命令数据的HTML页面，其中命令以QR码的形式嵌入。远程浏览器将页面以像素流的方式传回本地浏览器，植入程序通过截图捕获QR码并使用嵌入的QR扫描库解码命令，然后执行对应任务。植入程序将命令输出编码到URL参数中，通过浏览器访问特定URL将结果传回C2服务器。通过这一循环，攻击者可以在高度隔离的浏览器环境中实现隐蔽的数据传输。

https://cloud.google.com/blog/topics/threat-intelligence/c2-browser-isolation-environments/

---