每日安全简讯(20241225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜APT组织Lazarus利用新型CookiePlus恶意软件针对核工程师开展网络间谍活动

朝鲜APT组织Lazarus近期被发现通过复杂的感染链对一家核相关机构的两名员工实施网络攻击，最终部署了新型模块化后门程序CookiePlus。这些间谍活动通常涉及针对各种公司的开发人员和员工，包括国防、航空航天、加密货币和其他全球部门，提供有利可图的工作机会，最终导致在他们的机器上部署恶意软件。Lazarus通过伪装的远程访问工具(如被修改的VNC程序)实施攻击，并利用CookiePlus加载更多恶意模块以窃取系统信息、展开横向移动及加密通信。据安全研究员发现，CookiePlus可能是此前MISTPEN恶意软件的继任者，其多功能设计展现了Lazarus不断改进攻击手段的能力。

https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html

---

2 Cloud Atlas APT组织利用VBShower和VBCloud工具实施攻击

自2014年以来，Cloud Atlas APT组织专注于针对东欧和中亚地区的网络攻击，主要通过鱼叉式钓鱼邮件传播恶意软件。其最新工具VBShower和VBCloud展现了显著的技术升级。据安全研究员跟踪发现，该组织在2024年大量使用了该工具集。攻击者将包含恶意文档的网络钓鱼电子邮件发送给受害者，恶意文档利用公式编辑器中的漏洞(CVE-2018-0802)下载并运行托管在同一C2服务器上的HTML应用程序(HTA)文件。解压并部署VBShower后门模块。VBShower通过清除痕迹、自我加密等方式隐藏其活动，并加载更强大的PowerShower和VBCloud模块，分别用于网络探测和信息窃取。VBCloud具备下载执行恶意插件、窃取机密文件并与云端通信的能力，并持续进化以规避安全监测。其攻击链复杂，涵盖从系统信息收集到插件动态加载，进一步表明Cloud Atlas的技术能力已达到新的高度。这些攻击利用时间段与地理位置限制，加强了隐蔽性，对网络安全构成严峻挑战。

https://securelist.com/cloud-atlas-attacks-with-new-backdoor-vbcloud/115103/

---

3 利用AI生成的恶意软件变种可达到88%的规避率

网络安全研究表明，通过大型语言模型(LLMs)重写和混淆现有恶意软件，可在不改变功能的情况下生成多达1万种新变种。这些变种通过变量重命名、字符串分割、插入冗余代码等技术变得更加自然，从而绕过检测模型如Innocent Until Proven Guilty(IUPG)和PhishingJS等，其规避成功率高达88%。此外，这些恶意软件还可躲避VirusTotal等分析平台。安全研究员指出，尽管LLMs生成的恶意代码具备较高的规避能力，但同时也可以利用类似的技术用于改进机器学习模型的检测能力，从而增强网络安全防御体系。

https://thehackernews.com/2024/12/ai-could-generate-10000-malware.html

---

4 CISA将高危漏洞CVE-2024-12356加入已利用漏洞名单

BeyondTrust公司的两款产品Privileged Remote Access(PRA)和Remote Support(RS)所存在的高危漏洞CVE-2024-12356(CVSS评分：9.8)被美国CISA加入其已被利用的漏洞列表(KEV)。该命令注入漏洞允许攻击者以站点用户身份运行任意命令。目前，BeyondTrust的云基础设施使用的服务上的漏洞已修复，但自托管用户仍需尽快更新补丁BT24-10-ONPREM1或BT24-10-ONPREM2。此外，BeyondTrust在12月遭受网络攻击，攻击者利用其Remote Support SaaS API密钥重置本地应用账户密码。CISA调查过程中还发现了中等严重性漏洞CVE-2024-12686(CVSS评分：6.6)，该漏洞同样影响着同一产品，目前修复补丁已发布，但攻击者身份及受影响规模尚不明确。

https://thehackernews.com/2024/12/cisa-adds-critical-flaw-in-beyondtrust.html

---

5 OpenAI因数据隐私违规被意大利数据保护机构罚款1500万欧元

因ChatGPT违反欧盟《通用数据保护条例》(GDPR)，在未经充分法律依据下处理用户数据用于模型训练，以及未履行透明性义务，此外，OpenAI未设置年龄验证机制，可能导致13岁以下儿童接触到不适当的内容。意大利数据保护机构Garante对OpenAI处以1500万欧元(约1566万美元)罚款。OpenAI被要求开展为期六个月的多平台公众教育活动，解释ChatGPT的数据处理方式及用户数据保护权利。尽管OpenAI已在意大利进行整改并恢复服务，但仍计划对此罚款提出上诉，认为处罚过重。欧盟数据保护委员会(EDPB)表示，尽管AI模型最初处理了未经授权的个人数据，但如果后续数据完全匿名化，GDPR将不再适用。然而，模型部署阶段处理的新数据仍需遵守GDPR。

https://thehackernews.com/2024/12/italy-fines-openai-15-million-for.html

---

6 俄以双籍程序员涉嫌开发LockBit勒索软件面临美国41项指控

美国联邦调查局要求从以色列引渡拥有俄罗斯和以色列双重国籍的罗斯蒂斯拉夫·帕涅夫，并且对51岁的俄以双重国籍程序员罗斯提斯拉夫·帕涅夫提出41项指控，指控他自2019年起为LockBit勒索软件组织开发工具，包括打印勒索信、禁用Windows Defender及通过Active Directory传播恶意代码，并且帕涅夫指控每月还会收取到约1万美元的比特币，累计超过23万美元，以及在其电脑中发现了LockBit控制面板的登录凭证及与勒索软件相关的源代码。美国正在推动从以色列引渡帕涅夫。此案是针对LockBit勒索软件打击行动的一部分，该行动已将其服务器扣押并且曝光主要成员身份。

https://www.govinfosecurity.com/alleged-lockbit-coder-faces-41-count-indictment-in-us-a-27126

---