每日安全简讯(20241222)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT29利用PyRDP技术对高价值目标实施网络间谍活动

俄罗斯关联的APT29(Earth Koshchei)威胁组织采用了一种名为"恶意RDP"的技术，通过伪装的远程桌面协议(RDP)配置文件对全球高价值目标发动攻击，包括政府、武装力量、智库和学术研究人员。同时APT29借用了2022年由Black Hills Information Security首次提出的合法红队攻击方法，利用开源工具PyRDP作为中间代理工具。该工具能够拦截和操控RDP连接，使受害者在不知情的情况下连接至攻击者控制的恶意RDP服务器。这一过程实现了数据窃取和恶意脚本部署，而无需安装任何定制恶意软件，从而规避传统检测机制。APT29攻击者通过钓鱼邮件诱导受害者运行附带的RDP配置文件(代号HUSTLECON)，启动到PyRDP代理的连接，再重定向至恶意服务器。恶意服务器仿真合法RDP行为，随后通过代理实现敏感数据泄露，包括凭据和系统文件。同时，APT29还使用TOR出口节点、住宅代理和VPN服务隐藏其攻击轨迹，并操控邮件服务器发送钓鱼邮件。

https://thehackernews.com/2024/12/apt29-hackers-target-high-value-victims.html

---

2 LockBit勒索软件组织将以4.0版本卷土重来

此前，英国国家犯罪局网络部门、联邦调查局(FBI) 和其他执法部门合作打击LockBit勒索软件组织。近期安全研究员发现，LockBit勒索软件组织计划于2025年2月3日发布其最新版本LockBit 4.0，此次发布标志着该组织在近一年停滞后重新进入勒索软件即服务(RaaS)市场。尽管LockBit正在计划重返网络犯罪领域，但其能否成功尚不确定。此前，该组织因执法部门的强力打击遭受重大损失，包括核心成员被逮捕、解密密钥泄露以及声誉受损。与此同时，RansomHub等其他勒索软件即服务(RaaS)组织目前主导着勒索软件市场，这进一步削弱了LockBit的地位。距离LockBit 3.0版本发布已超过两年，而在执法行动发生时，据安全研究员发现，LockBit正处于4.0版本的开发阶段。如果执法机构获取了其源代码，那么该组织很可能需要对4.0版本进行重大修改。

https://thecyberexpress.com/lockbit-ransomware-comeback-lockbit-4-0/

---

3 攻击者利用伪装修复的提示实施钓鱼攻击

越来越多的攻击者利用浏览器来以更隐蔽的方式分发恶意软件，这些手法难以被传统的防病毒程序检测到。安全研究员发现一种新的恶意手段攻击利用恶意广告和伪装的品牌页面，随后冒充Cloudflare发送虚假通知，要求用户手动执行特定键盘组合。实际上，这些用户正在运行隐藏的PowerShell代码，下载并安装恶意软件。这种攻击以欺骗用户为目标，通过简单的复制和粘贴操作使恶意代码得以执行。一旦用户点击伪造的“修复”提示中的按钮，将复制一个恶意命令到剪贴板，随后通过运行命令框(Win + R)，执行恶意脚本。

https://www.malwarebytes.com/blog/news/2024/12/fix-it-social-engineering-scheme-impersonates-several-brands

---

4 攻击者利用Mirai僵尸网络攻击SSR设备

安全研究员发现攻击者正在利用Mirai僵尸网络攻击Session Smart Router(SSR)设备。2024年12月11日，多名SSR设备使用者称其Session Smart Network(SSN)平台出现异常行为，设备被Mirai恶意软件感染后用于分布式拒绝服务(DDoS)攻击。调查发现，受影响设备均使用默认密码， 攻击者利用Mirai僵尸网络通过SSH攻击利用默认凭据远程执行命令，实施各种恶意活动，包括DDoS攻击。这些设备显示出明显的异常活动，如端口扫描异常、频繁失败的SSH登录尝试、网络流量激增以及恶意IP连接。Mirai僵尸网络通过感染设备进行端口扫描、恶意流量激增等活动，对网络安全构成严重威胁。安全研究员建议用户采取以下措施防范：更改默认密码并使用强密码、监控访问日志、部署防火墙和入侵检测系统(IDS/IPS)，并及时更新设备固件。这些防护措施能够有效减少设备被恶意软件感染的风险，提高整体网络安全性。

https://securityaffairs.com/172157/malware/juniper-networks-mirai-botnet.html

---

5 FortiWLM漏洞导致管理员权限被盗用与敏感信息泄露

Wireless LAN Manager(FortiWLM)存在一项关键漏洞(CVE-2023-34990，CVSS评分9.6)，攻击者可通过路径遍历访问敏感日志文件，从而窃取会话ID并劫持用户会话，获取管理员权限。这一漏洞影响FortiWLM 8.5.0至8.5.4和8.6.0至8.6.5版本，其中8.5.5和8.6.6版本已修复。漏洞源于请求参数缺乏输入验证，允许攻击者利用特定路径访问系统日志文件。此外，安全研究员指出，通过与CVE-2023-48782(CVSS评分8.8)结合利用，攻击者可实现远程任意代码执行并获得根权限。Fortinet设备因其广泛部署已成为攻击者目标，因此用户需及时更新以防范潜在攻击。

https://securityaffairs.com/172144/hacking/fortinet-warns-of-a-patched-fortiwlm-vulnerability.html

---

6 乌克兰籍男子因参与Raccoon Stealer恶意软件运营被判五年监禁

乌克兰男子马克·索科洛夫斯基因参与运营Raccoon Infostealer恶意软件被美国联邦法院判处五年监禁。该恶意软件租赁费用为每月200美元，主要通过钓鱼攻击传播，窃取登录凭据、财务数据和个人信息，广泛用于金融犯罪或在网络犯罪论坛上出售。2022年3月，国际执法机构联合行动结束了Raccoon Infostealer运营，索科洛夫斯基在荷兰被捕，并于2023年2月引渡至美国。他承认相关罪行，包括共谋欺诈、洗钱和加重身份盗窃，需没收约23975美元并赔偿至少91万美元。Raccoon Infostealer因一名开发者在俄乌冲突中死亡于2022年3月宣布停止运营，但6月有迹象表明该恶意软件可能再次活跃。美国司法部称其为国际网络犯罪的重要工具，执法机构将继续打击类似威胁，保护全球受害者免受此类攻击侵害。

https://cyberscoop.com/mark-sokolovsky-raccoon-infostealer-sentenced/

---