每日安全简讯(20241230)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客组织利用伪造的面试工具部署新型OtterCookie恶意软件

朝鲜黑客组织通过"接触性面试"(Contagious Interview)攻击活动，诱骗求职者下载伪装为面试工具的恶意软件，并部署了新型JavaScript恶意软件OtterCookie。该活动由多个黑客组织共同实施，如Famous Chollima。通过虚假招聘诱饵传播恶意软件，包括BeaverTail、InvisibleFerret等。OtterCookie自2024年9月首次被检测到，近期被发现具备新版本，其通过Socket.IO与远程C2服务器通信，可执行窃取文件、剪贴板内容和加密货币钱包密钥等命令，展现出工具模块化和持续更新的迹象。此外，韩国外交部制裁了15名朝鲜人及1家名为"朝鲜金正经济信息技术交流公司"的机构，该机构隶属于朝鲜313局，通过向全球派遣IT人员非法获取外汇，用于支持核与导弹项目开发。这些行为不仅威胁网络生态安全，也为朝鲜军事项目提供了系统化、复杂化的经济支撑，严重危害国际和平与安全。

https://thehackernews.com/2024/12/north-korean-hackers-deploy-ottercookie.html

---

2 亲俄黑客组织NoName057对意大利多个网站发起DDoS攻击

亲俄黑客组织NoName057针对意大利多个重要网站发起DDoS攻击，受害者包括马尔彭萨和利纳特机场、意大利外交部以及都灵运输集团等。此次攻击未影响机场运行，但网站仍在修复中。NoName057在其Telegram频道上宣称，此次攻击是对"意大利反俄势力的回应"。意大利警方的国家关键基础设施保护网络犯罪中心(Cnaipic)已介入调查，并协助受害者缓解攻击。NoName057自2022年3月起活跃，借助工具如Bobik僵尸网络，在全球范围内针对政府和关键基础设施发动攻击，特别是在地缘政治紧张时期。这类攻击通常选在假期等响应能力较弱的时间进行，意在造成更大影响并获取更多关注。

https://securityaffairs.com/172395/security/pro-russia-group-noname057-targets-italian-airports.html

---

3 攻击者劫持Cyberhaven Chrome扩展以窃取用户密码

数据泄露防护公司Cyberhaven证实，其Chrome浏览器扩展程序遭攻击者劫持，导致用户密码及会话令牌等敏感信息被窃取。Cyberhaven在邮件中告知受影响客户，攻击者在12月25日早上通过入侵公司账户发布了恶意版本的扩展程序(版本24.10.4)，用户运行该版本可能导致敏感数据被传输至攻击者的域名。当天，Cyberhaven安全团队发现问题后迅速将恶意版本从Chrome网上应用店下架，并发布了修复后的版本24.10.5。Cyberhaven建议受影响客户更改密码、API令牌等凭证，并检查日志以排查恶意活动。该公司表示，此次攻击的目标可能不仅限于Cyberhaven，而是针对多家公司的Chrome扩展开发者，涉及AI、生产力工具和VPN扩展。

https://techcrunch.com/2024/12/27/cyberhaven-says-it-was-hacked-to-publish-a-malicious-update-to-its-chrome-extension/

---

4 Palo Alto Networks已修复被利用的防火墙拒绝服务漏洞

Palo Alto Networks近日披露了一个严重的漏洞，该漏洞影响了Palo AltoNetworks PAN-OS软件的DNS安全功能，允许未经身份验证的攻击者通过发送恶意数据包触发防火墙重启，从而导致设备崩溃。该漏洞已被标记为CVE-2024-3393，高风险等级。许多管理员在日志中发现了异常的高可用性故障转移和设备突然崩溃现象。为此，Palo Alto Networks推出了多个版本的修复补丁，并建议用户尽快进行更新以消除安全风险。此外，针对未能及时修复的情况，公司也提供了临时缓解措施，如禁用DNS安全日志记录等。用户应尽早采取行动，确保设备安全。

https://www.govinfosecurity.com/palo-alto-patches-exploited-firewall-denial-of-service-flaw-a-27163

---

5 Apache MINA存在CVSS 10.0高危漏洞

Apache MINA框架被发现存在一个高危漏洞(CVE-2024-52046)，其CVSS评分为10.0。漏洞涉及ObjectSerializationDecoder组件在处理Java反序列化数据时缺乏安全检查，允许攻击者通过精心构造的恶意数据实现远程代码执行(RCE)。此漏洞仅在调用IoBuffer#getObject()方法并与特定类(如ProtocolCodecFilter和ObjectSerializationCodecFactory)组合时可被利用。修复该漏洞不仅需要升级受影响受的版本(2.0.X、2.1.X、2.2.X)，还需明确设置ObjectSerializationDecoder可接受的类列表。Apache同时修复了其他项目中的多项漏洞，包括Tomcat、Traffic Control和Struts框架的安全问题。相关用户应当尽快更新到最新版本，以防范潜在威胁。

https://thehackernews.com/2024/12/apache-mina-cve-2024-52046-cvss-100.html

---

6 巴西公民因威胁公布窃取的数据而被起诉

巴西公民Junior Barros De Oliveira因2020年3月入侵美国新泽西州一家公司的巴西子公司的计算机系统，盗取并威胁公开数据，面临美国司法部的指控。De Oliveira被控犯有四项涉及保护计算机信息的敲诈威胁罪，以及四项威胁通讯罪。指控中指出，他非法获取了超过10万名客户的机密信息，并威胁要求索要价值300万美元的比特币，否则将泄露数据。美国司法部表示，De Oliveira通过非法访问和超出授权访问的方式窃取了数据，并威胁散布这些信息，给企业造成潜在的严重损失。每项敲诈罪最多面临五年监禁和25万美元罚款，威胁通讯罪则面临最多两年监禁和同等罚款。

https://securityaffairs.com/172362/hacking/brazilian-citizen-extortion-attempt.html

---