每日安全简讯(20221217)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露针对乌克兰政府的木马化Windows10操作系统安装程序

研究人员通过木马化的 Windows 10 操作系统安装程序确定了一起针对乌克兰政府的行动。这些恶意的系统安装程序是通过供应链攻击中的洪流站点传播的。追踪为 UNC4166 的威胁活动可能会木马化并分发恶意 Windows 操作系统安装程序，这些安装程序会投放进行侦察的恶意软件，并在一些受害者主机上部署额外的功能来进行数据窃取。

https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government

---

2 研究人员披露针对FreePBX Asterisk管理门户的后门

FreePBX 由 PHP 和 JavaScript 编写，是一个基于 Web 的开源 GUI，用于管理IP 语音和电话服务器 Asterisk。近日，研究人员跟踪到了一个针对 FreePBX 的 Asterisk 管理门户的简单恶意软件，它允许攻击者任意添加和删除用户，以及修改网站的.htaccess文件。

https://blog.sucuri.net/2022/12/backdoor-targets-freepbx-asterisk-management-portal.html

---

3 乐高集团修复了其BrickLink线上销售平台潜在的严重API漏洞

安全研究机构Salt Labs发现并协助修复了乐高集团线上销售平台BrickLink存在的两个应用程序编程接口 (API) 安全漏洞。其中一个漏洞是BrickLink平台优惠券搜索界面的“查找用户名”对话框包含一个跨站点脚本 (XSS) 漏洞，如果恶意行为者点击特制链接，会导致在受害者的机器上注入和执行代码。第二个漏洞存在于 BrickLink的“上传到通缉名单”页面，利用该漏洞能够执行所谓的可扩展标记语言(XML) 外部实体 (XXE) 注入攻击，可以通过多种方式滥用此类攻击例如窃取AWS EC2令牌来接管乐高的内部服务器。

https://www.computerweekly.com/news/252528391/Lego-fixes-dangerous-API-vuln-in-BrickLink-service?&web_view=true

---

4 知名虚拟环境备份软件存在RCE漏洞且被在野利用

Veeam Backup & Replication作为一款备份应用程序，适用于基于VMware vSphere、Nutanix AHV 和 Microsoft Hyper-V 管理程序构建的虚拟环境，此外它还可以用于保护和恢复 Exchange 和 SharePoint 等环境的重要文件和应用程序。研究人员近日发现该应用程序存在CVE-2022-26500、CVE-2022-26501、CVE-2022-26504多个严重远程代码执行漏洞，且已经观察到多个威胁行为者将这些漏洞武器化用于真实的网络攻击。

https://cloudsek.com/threatintelligence/multiple-rce-vulnerabilities-affecting-veeam-backup-replication/

---

5 MCCrash僵尸网络对私人Minecraft服务器发动DDos攻击

近日微软跟踪到一个跨平台的僵尸网络，该网络主要针对私人的Minecraft 服务器发起分布式拒绝服务 (DDoS) 攻击。MCCrash僵尸网络使用独特的传播机制攻击Linux和Windows系统主机。由于物联网设备通常启用了具有潜在不安全设置的远程配置，因此这些设备也可能面临像这种僵尸网络这样的攻击风险。

https://www.microsoft.com/en-us/security/blog/2022/12/15/mccrash-cross-platform-ddos-botnet-targets-private-minecraft-servers/

---

6 研究人员发布2022年命令和控制(C2)基础设施研究总结

国外安全厂商Recorded Future对整个2022年所有可观测的恶意命令和控制 (C2) 基础设施使用主动扫描和收集的方法进行了识别研究，包括后开发工具包、自定义恶意软件和开源远程访问木马 (RAT)等等，并得到17,000 个独特的命令和控制 (C2) 服务器，比去年增加了 30%，Dridex、Emotet、IcedID、QakBot 和 TrickBot 是我们今年观察到的C2识别结果最多的僵尸网络家族，此外还有Cobalt Strike、BRc4、Sliver、DeimosC2、Alchimist 和 Manjusaka等大小众远控工具。

https://www.recordedfuture.com/2022-adversary-infrastructure-report