每日安全简讯(20230909)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗黑客利用Zoho和Fortinet漏洞入侵美国航空组织

CISA、FBI 和美国网络司令部周四发布的一份联合报告显示，国家支持的黑客组织利用针对 Zoho 和 Fortinet 关键漏洞的漏洞攻击了美国一家航空组织。此次违规事件背后的威胁组织尚未被命名，但虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿将  攻击者与伊朗的利用活动联系起来。CISA 参与了 2 月至 4 月期间的事件响应，并表示黑客组织至少从 1 月起就已经进入了受感染的航空组织的网络，此前黑客组织入侵了运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的暴露于互联网的服务器。CISA、FBI 和 CNMF 确认，民族国家高级持续威胁 (APT) 攻击者利用 CVE-2022-47966 未经授权访问面向公众的应用程序 (Zoho ManageEngine ServiceDesk Plus)、建立持久性并通过网络。此漏洞允许在 ManageEngine 应用程序上远程执行代码。还观察到其他 APT 攻击者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。渗透到目标网络后，攻击者将持续保留被黑客攻击的网络基础设施组件。这些网络设备可能会被用作受害者网络内横向移动的前提条件、恶意基础设施或两者的组合。

https://www.cybercom.mil/Media/News/Article/3518476/cnmf-and-partners-illuminate-iranian-exploitation-efforts/

---

2 朝鲜攻击者针对安全研究人员进行网络攻击活动

朝鲜攻击者使用 X（以前称为 Twitter）等社交媒体网站与目标建立融洽的关系。在一个案例中，他们进行了长达数月的对话，试图与安全研究人员就共同感兴趣的话题进行合作。通过 X 进行初步联系后，他们转向使用 Signal、WhatsApp 或 Wire 等加密消息应用程序。一旦与目标研究人员建立了关系，威胁行为者就会发送一个恶意文件，其中包含流行软件包中的至少一个 0day。成功利用后，shellcode 会进行一系列反虚拟机检查，然后将收集到的信息以及屏幕截图发送回攻击者控制的命令和控制域。此漏洞利用中使用的 shellcode 的构造方式与之前朝鲜漏洞利用中观察到的 shellcode 类似。该漏洞已报告给受影响的供应商，并且正在修复中。修补后，研究人员将根据我们的披露政策发布更多技术细节和所涉及漏洞的分析。

https://blog.google/threat-analysis-group/active-north-korean-campaign-targeting-security-researchers/

---

3 攻击者利用苹果零点击漏洞部署Pegasus间谍软件以感染iPhone手机

研究人员表示，苹果今天在紧急安全更新中修复的两个零日漏洞被滥用，用作零点击漏洞利用链的一部分，将 NSO Group 的 Pegasus 商业间谍软件部署到打过补丁的 iPhone 上。这两个漏洞分别为 CVE-2023-41064 和 CVE-2023-41061，允许攻击者通过包含恶意图像的 PassKit 附件感染运行 iOS 16.6 且属于华盛顿特区民间社会组织的完整补丁 iPhone。研究人员将该漏洞利用链称为 BLASTPASS。该漏洞利用链能够危害运行最新版本 iOS (16.6) 的 iPhone，而无需受害者进行任何交互。该漏洞涉及 PassKit 附件，其中包含从攻击者 iMessage 帐户发送给受害者的恶意图像。研究人员在图像 I/O 和钱包框架中发现了两个零日漏洞。CVE-2023-41064 是处理恶意制作的图像时触发的缓冲区溢出，而 CVE-2023-41061 是可通过恶意附件利用的验证问题。两者都允许威胁行为者在未修补的 iPhone 和 iPad 设备上获得任意代码执行。

https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/

---

4 W3LL Store地下市场售卖针对Microsoft 365帐户的恶意软件

过去六年来，一个以前未记录的“网络钓鱼帝国”与旨在破坏 Microsoft 365 商业电子邮件帐户的网络攻击有关。攻击者创建了一个名为 W3LL Store 的隐藏地下市场，该市场为至少 500 名攻击者组成的封闭社区提供服务，这些攻击者可以购买名为 W3LL Panel 的自定义网络钓鱼工具包（旨在绕过 MFA），以及其他 16 个完全定制的工具商业电子邮件泄露（BEC）攻击，据估计，2022 年 10 月至 2022 年 10 月期间，网络钓鱼基础设施已针对超过 56000 个企业 Microsoft 365 帐户，并危害了其中至少 8000 个帐户，主要位于美国、英国、澳大利亚、德国、加拿大、法国、荷兰、瑞士和意大利。 2023 年 7 月，其运营商净获 50 万美元非法利润。使用网络钓鱼解决方案渗透的一些重要行业包括制造、IT、咨询、金融服务、医疗保健和法律服务。研究人员表示，它在同一时期发现了近 850 个由 W3LL 小组发起的独特网络钓鱼网站。W3LL 恶意软件库的核心组件是中间对手 (AiTM) 网络钓鱼工具包，它可以绕过多重身份验证 (MFA) 保护。三个月订阅费为 500 美元，随后的月费为 150 美元。除了收集凭据之外，该面板还包含反机器人功能，以逃避自动网页内容扫描程序并延长网络钓鱼和恶意软件活动的生命周期。

https://www.group-ib.com/media-center/press-releases/w3ll-phishing-report/

---

5 攻击者滥用Apache RocketMQ存在的严重漏洞

美国网络安全和基础设施安全局 (CISA) 已在其已知被利用漏洞 (KEV) 目录中添加了一个严重程度为 CVE-2023-33246 的问题，该问题影响 Apache 的 RocketMQ 分布式消息传递和流媒体平台。目前，多个威胁参与者可能正在利用该漏洞在受影响的系统（RocketMQ 版本 5.1.0 及更低版本）上安装各种有效负载。无需身份验证即可利用该漏洞，并且 至少从 6 月份起，  DreamBus 僵尸网络的运营商就已在野外利用该漏洞来部署门罗币加密货币挖矿程序。CISA 警告联邦机构 ，应在 9 月 27 日之前修补其系统上安装的 Apache RocketMQ 的 CVE-2023-33246 漏洞。如果无法将应用程序更新到安全版本或通过其他方式降低风险，CISA 建议停止使用该产品。

https://www.cisa.gov/news-events/alerts/2023/09/06/cisa-adds-one-known-vulnerability-catalog

---

6 谷歌即将启用Chrome浏览器实时网络钓鱼防护

谷歌今天宣布，它将弃用标准的 Google Chrome 安全浏览功能，并在未来几周内让所有人使用增强型安全浏览功能，为所有用户在浏览网页时提供实时网络钓鱼防护。自 2007 年以来，Google Chrome 就利用了安全浏览安全功能，保护用户免受推送恶意软件或显示网络钓鱼页面的恶意网站的侵害。浏览网页时，Chrome 会检查您正在访问的域是否在本地恶意 URL 列表中，如果是，则会阻止该网站并显示警告。但是，由于不良 URL 列表是在本地托管的，因此它无法保护您免受自上次更新列表以来检测到的新站点的影响。为了提供更好的安全性，Google 在 2020 年推出了增强型安全浏览功能 ，可以实时保护您免受正在访问的恶意网站的侵害。它通过实时检查谷歌的云数据库来查看某个网站是否是恶意的并应该被阻止来做到这一点。不过，此功能会牺牲隐私，因为 Google Chrome 现在会将您打开的 URL（包括下载）发送回 Google 服务器以检查它们是否是恶意的。该功能还将向谷歌发送一小部分页面样本以发现新的威胁。最后，传输的数据还会临时链接到您的 Google 帐户，以检测是否有针对您的浏览器或帐户的攻击。

https://blog.google/products/chrome/Google-chrome-new-features-redesign-2023/

---