每日安全简讯(20230904)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露攻击者利用Adobe ColdFusion漏洞进行攻击活动

今年 7 月，Adobe 公司发布了一系列安全更新： APSB23-40 、 APSB23-41 和 APSB23-47 ，以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行（RCE）漏洞的利用报告。研究人员对这些漏洞的深入分析，其中包括 Adobe ColdFusion 2021 内 WDDX 反序列化过程中的一个重大漏洞。然而，安全更新后，遥测数据继续检测到大量利用 Adobe ColdFusion 不可信数据反序列化漏洞的行为，这带来了任意代码执行的重大风险。这些攻击包括探测、建立反向 shell 以及部署恶意软件以进行后续操作。

https://www.fortinet.com/blog/threat-research/multiple-threats-target-adobe-coldfusion-vulnerabilities?&web_view=true

---

2 攻击者窃取Cookie以入侵Airbnb帐户

研究人员发现网络犯罪分子正在使用各种方法来未经授权的访问Airbnb 帐户，包括窃取程序、窃取 cookie 和帐户检查程序。一旦网络犯罪分子获得了 Airbnb 帐户的访问权限，他们就可以用它来预订房产进行欺诈性购买，甚至窃取受害者的个人信息。在某些情况下，网络犯罪分子甚至利用被盗的 Airbnb 帐户进行身份盗窃。研究人员发现数以千计的 Airbnb 帐户可以在数字商店中以低至 1 美元的价格购买。这表明网络犯罪分子经常窃取 Airbnb 帐户信息并将其在黑市上出售。

https://slashnext.com/blog/how-cybercriminals-abuse-airbnb-for-fraudulent-activities/

---

3 Sourcegraph网站因管理员访问令牌泄露而遭到攻击

人工智能驱动的编码平台 Sourcegraph 透露，其网站本周因 7 月 14 日在网上意外泄露的网站管理员访问令牌而遭到破坏。攻击者于 8 月 28 日使用泄露的令牌创建了一个新的站点管理员帐户，并在两天后登录到该公司网站 Sourcegraph.com 的管理仪表板。该安全漏洞是在 Sourcegraph 的安全团队观察到 API 使用量显着增加后的同一天发现的。在获得网站管理仪表板的访问权限后，攻击者多次切换其流氓帐户的权限以探测 Sourcegraph 的系统。攻击者获得了 Sourcegraph 客户信息的访问权限，包括许可证密钥、姓名和电子邮件地址（免费用户仅暴露其电子邮件地址）。此次攻击并未暴露更多的客户信息敏感数据，例如私人代码、电子邮件、密码、用户名或其他个人身份信息 (PII)。

https://about.sourcegraph.com/blog/security-update-august-2023

---

4 WordPress迁移插件漏洞可能导致数据泄露

All-in-One WP Migration 是一款流行的 WordPress 网站数据迁移插件，拥有 500 万个活跃安装量，它受到未经身份验证的访问令牌操纵的影响，可能允许攻击者访问敏感的网站信息。All-in-One WP Migration 是一款用户友好的 WordPress 网站迁移工具，适合非技术和缺乏经验的用户，允许将数据库、媒体、插件和主题无缝导出到单个存档中，以便在新目的地上轻松恢复。研究人员称，该插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击的代码片段，这些代码在 init 函数中缺乏权限和随机数验证。此代码存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展是为了促进使用上述第三方平台的数据迁移过程而创建的。该漏洞编号为 CVE-2023-40004，允许未经身份验证的用户访问和操纵受影响扩展程序上的令牌配置，从而可能允许攻击者将网站迁移数据转移到自己的第三方云服务帐户或恢复恶意备份。成功利用 CVE-2023-40004 的主要后果是数据泄露，其中可能包括用户详细信息、关键网站数据和专有信息。

https://patchstack.com/articles/pre-auth-access-token-manipulation-in-all-in-one-wp-migration-extensions/

---

5 研究人员开发Key Group勒索软件解密器以恢复数据

Key Group 是一家讲俄语的威胁组织，于 2023 年初突然采取行动，攻击各种组织，从受感染的系统窃取数据，然后使用私人 Telegram 渠道协商赎金支付。俄罗斯威胁情报公司 BI.ZONE 此前曾报道称，Key Group 的勒索软件基于 Chaos 4.0 构建器，而研究人员则发现该组织在俄语暗网市场上销售窃取的数据和 SIM 卡，并共享人肉搜索数据和远程访问到网络摄像机。加密过程后，Key Group 会擦除受害系统中的原始文件，并将 .KEYGROUP777TG 文件扩展名应用于所有条目。攻击者使用 Windows 本地二进制文件（即所谓的LOLBins）来删除卷影副本，从而在不支付赎金的情况下阻止系统和数据恢复。此外，恶意软件还会更改受感染系统上运行的防病毒产品的主机地址，以阻止它们获取更新。研究人员利用 Key Group 勒索软件加密方案的弱点，开发了一种解密工具，可以让一些受害者免费恢复他们的文件。该解密器适用于 8 月初构建的恶意软件版本。攻击者声称他们的恶意软件使用军用级 AES 加密，但储物柜在所有加密过程中使用静态盐，使得该方案在一定程度上可预测，并且加密可以逆转。研究人员补充道：“密码是使用基于密码的密钥导出函数 2 (PBKDF2) 和固定盐从密钥导出的。”Key Group 勒索软件解密器是一个 Python 脚本。该脚本将在目标目录及其子目录中搜索扩展名为 .KEYGROUP777TG 的文件，并使用原始文件名（从 base64 字符串解码）解密并保存解锁的内容。

https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

---

6 Classiscam诈骗即服务业务非法获利6450万美元

自 2019 年推出以来，Classiscam 诈骗即服务计划已为犯罪分子获取了 6450 万美元的非法收入。Classiscam 活动最初始于分类网站，诈骗者在这些网站上放置虚假广告，并利用社会工程技术说服用户通过将钱转入银行卡来购买商品。从那时起，Classiscam 活动已变得高度自动化，并且可以在许多其他服务上运行，例如在线市场和拼车网站。大多数受害者来自欧洲（62.2%），其次是中东和非洲（18.2%）以及亚太地区（13%）。德国、波兰、西班牙、意大利和罗马尼亚在 Classiscam 聊天中登记的欺诈交易数量最多。Classiscam 于 2019 年首次被发现，是一个涵盖 Telegram 上 1366 个不同群组的操作的总称。这些活动首先针对俄罗斯，然后将触角扩展到全球，渗透到 79 个国家并冒充 251 个品牌。

https://www.group-ib.com/blog/classiscam-2023/

---