每日安全简讯(20241220)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客对巴基斯坦发起了新型的网络钓鱼攻击

攻击者在此次针对巴基斯坦的一场网络钓鱼攻击中利用税务主题诱饵文档，通过微软MSC(管理控制台)文件嵌入恶意代码(如嵌入恶意的DLL文件)，以此来隐藏后门，接着通过加载远程HTML文件或使用计划任务来实现持久性控制。后门用于与远程服务器通信，执行命令并窃取数据。这种攻击方式利用使得检测和分析变得更加困难。尽管攻击尚未明确指向具体组织，但与曾利用相似手法的Patchwork威胁组织存在一定关联。整体来看，攻击展示了威胁行为者在网络攻击中利用复杂技术手段，如MSC文件替代传统LNK文件，提高隐蔽性和持久性。为应对此类高级威胁，建议加强安全防护措施，如多层次身份验证、审核和隔离不可信的远程访问工具，以降低风险。

https://thehackernews.com/2024/12/hackers-use-microsoft-msc-files-to.html

---

2 安全研究员发现了针对工业控制系统和物联网设备的新型恶意软件

安全研究员近日发现两种专门针对工业控制系统(ICS)和物联网(IoT)设备的恶意软件。其中 IOCONTROL恶意软件由"CyberAv3ngers"组织开发，针对多种IoT和OT设备，支持远程执行命令并自我删除，可能导致燃料系统关闭或用户支付信息泄露。而Chaya_003恶意软件用于专门针对运行西门子TIA Portal软件的工程工作站，能够伪装成系统进程，利用Discord作为命令与控制服务器，并对系统进行侦察和破坏。这两种恶意软件揭示了针对OT和IoT环境威胁的加剧，研究人员建议加强工程工作站的安全防护，隔离网络，并监控相关威胁。

https://www.helpnetsecurity.com/2024/12/17/ot-specific-malware-siemens-industrial-iot/

---

3 攻击者利用Microsoft Teams与AnyDesk传播DarkGate恶意软件

攻击者利用Microsoft Teams和AnyDesk实施社会工程攻击，诱导受害者下载并运行恶意软件DarkGate。攻击流程包括：通过伪装成外部供应商员工，向受害者发起Microsoft Teams通话，并以远程支持为由，要求受害者安装AnyDesk工具。在获得系统访问权限后，攻击者部署了包括DarkGate在内的多种恶意负载。DarkGate是一种恶意软件即服务(MaaS)工具，具备凭证窃取、键盘记录、屏幕抓取等功能。此外，类似的网络钓鱼活动愈加频繁，攻击手法多样，包括利用PDF附带二维码、伪造知名品牌合作邮件、假冒Microsoft 365登录页面等。组织应启用多因素认证、限制远程访问工具的使用、屏蔽未验证应用，并审慎选择第三方技术支持，以降低社会工程攻击和恶意软件传播风险。

https://thehackernews.com/2024/12/attackers-exploit-microsoft-teams-and.html

---

4 黑客滥用Linux eBPF技术传播恶意软件

安全研究员发现了一场针对东南亚企业和用户的Linux恶意软件活动，该活动利用了eBPF(扩展的Berkeley数据包过滤器)技术。eBPF原本设计用于增强Linux网络功能，但被攻击者滥用，用于隐藏网络活动、窃取数据并规避安全检测。黑客通过eBPF加载两个Rootkit，一个用于隐藏恶意行为，另一个投放远程访问木马(如Trojan.Siggen28.58279)，实现私有网络内的通信。值得注意的是，攻击者不再依赖私有的命令与控制(C2)服务器，而是利用GitHub和博客等公共平台存储配置，伪装恶意流量为正常活动。这种策略提高了攻击隐蔽性并削弱了检测能力。此外，恶意软件家族如Boopkit和BPFDoor的出现，以及eBPF漏洞的增加，进一步表明eBPF的安全风险正在上升。这次攻击反映了高级威胁行为者持续利用先进技术实施复杂攻击的趋势。

https://hackread.com/hackers-exploit-linux-ebpf-malware-ongoing-campaign/

---

5 黑客在网络犯罪和数据泄露平台(Breach Forums)上曝光Cisco的敏感数据

近日，黑客组织IntelBroker在网络犯罪和数据泄露平台(Breach Forums)曝光了Cisco的敏感数据，共计2.9GB，涉及身份验证、网络安全和协作工具等多个方面的关键数据。这些数据来自一个总容量达4.5TB的未加密数据库，黑客利用Cisco开发资源配置错误，成功下载了大量敏感信息。这次泄露的数据包括Cisco的多个核心系统，如身份服务引擎(ISE)、SASE安全访问服务以及Webex协作平台等。这一事件再一次揭示了企业在数据安全管理上的漏洞，迫使企业提升安全防护能力，确保敏感信息的安全性，降低数据泄露和滥用的风险。

https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/

---

6 爱尔兰数据保护委员会对Meta处以高额罚款

近日，爱尔兰数据保护委员会(DPC)对2018年Facebook的“View As”漏洞造成的用户数据泄露事件处以2.51亿欧元(约合2.64亿美元)的罚款。这一漏洞导致3000万用户的访问令牌被盗，涉及到大量个人信息，包括姓名、电子邮件、电话号码、工作单位等。爱尔兰数据保护委员会指出，Meta未能在系统设计和数据处理过程中充分保护用户数据，违反了欧盟《一般数据保护条例》(GDPR)。Meta随后表示将对这一处罚提起上诉，并强调已采取措施修复漏洞，同时推广多因素认证等安全功能以保护用户信息。然而，这已是Meta近年来因违反数据保护条例而遭遇的多次罚款，显示出其在用户数据安全管理上的持续挑战。

https://www.theregister.com/2024/12/17/ireland_fines_meta_for_2018/

---