每日安全简讯(20231020)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客利用TeamCity漏洞发动攻击

据研究人员透露，被称为Diamond Sleet和Onyx Sleet的朝鲜国家级威胁行为者正在利用影响JetBrains TeamCity服务器多个版本的远程代码执行漏洞。TeamCity是一款用于构建管理和持续集成的DevOps工具，拥有超过3万名全球用户，包括耐克、法拉利、花旗银行和育碧等知名企业。该漏洞被标记为CVE-2023-42793，于9月21日由JetBrains发布了一个紧急安全更新来修复。研究人员表示该漏洞允许未经身份验证的攻击者在TeamCity本地服务器上执行任意代码，从而窃取源代码、服务密钥和私钥。朝鲜黑客利用该漏洞进行间谍活动、数据窃取、金钱获取和网络破坏。他们以媒体、IT服务和国防相关实体为主要目标，覆盖全球范围。

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

---

2 Qubitstrike利用Jupyter Notebook挖矿和窃取云数据

Qubitstrike是一种新发现的恶意软件，它针对暴露在互联网上的Jupyter Notebook进行攻击，旨在非法挖掘加密货币和窃取云服务提供商的凭证。Jupyter Notebook是一种开源的交互式计算环境，用于数据分析、机器学习和科学研究。Qubitstrike的攻击者利用Shodan等服务搜索易受攻击的Jupyter Notebook，并通过Jupyter的终端功能执行命令，从Codeberg.org下载一个名为mi.sh的shell脚本。Codeberg.org是一个类似于GitHub的代码托管平台，这是首次被发现用于分发恶意软件。mi.sh脚本是Qubitstrike的主要载荷，它负责执行加密货币挖矿程序，通过cron作业建立持久性，向.ssh/authorized_keys文件中插入攻击者控制的密钥以实现远程访问，并通过SSH将恶意软件传播到其他主机。该恶意软件还能够检索和安装Diamorphine rootkit来隐藏恶意进程，并通过Telegram bot API将捕获的Amazon Web Services (AWS)和Google Cloud凭证发送回攻击者。Qubitstrike的攻击者还使用Discord作为命令和控制(C2)机制，通过Discord的bot功能向受感染的主机发送命令，并监控攻击活动的进展。

https://www.cadosecurity.com/qubitstrike-an-emerging-malware-campaign-targeting-jupyter-notebooks/

---

3 MATA恶意软件框架利用EDR攻击国防企业

据报道，一种更新版本的MATA恶意软件框架在2022年8月至2023年5月期间发动了一系列攻击，针对东欧的石油和天然气企业以及国防行业。这些攻击利用鱼叉式钓鱼邮件诱使目标下载恶意可执行文件，利用Internet Explorer中的CVE-2021-26411漏洞启动感染链。更新的MATA框架结合了一个加载器、一个主木马和一个信息窃取器，以在目标网络中植入后门并获得持久性。这个MATA版本与之前与朝鲜黑客组织Lazarus有关的版本类似，但具有更新的功能。在攻击中滥用EDR，网络安全公司在2022年9月发现了这一活动，当时它检查了两个与被入侵组织网络内的命令和控制服务器(C2)通信的MATA样本。进一步的分析显示，被入侵的系统是连接到目标组织多个子公司的财务软件服务器。调查显示，黑客已经将他们的立足点从生产厂的单个域控制器扩展到整个企业网络。攻击继续进行，黑客访问了两个安全解决方案管理面板，一个用于端点保护，一个用于合规性检查。黑客滥用对安全软件管理面板的访问，对组织的基础设施进行监视，并向其子公司传播恶意软件。更新的MATA恶意软件，在适用的情况下，当目标是Linux服务器时，攻击者使用了MATA的Linux变体，以ELF文件的形式，它似乎与Windows植入物的第三代功能类似。

https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/

---

4 Citrix NetScaler设备遭受攻击，政府和科技公司成为目标

Citrix在10月10日发布了一个安全补丁，修复了NetScaler ADC和Gateway设备中的一个严重代码注入漏洞(CVE-2023-4966)，该漏洞可能导致未经身份验证的远程代码执行。该漏洞影响了多个版本的NetScaler ADC和Gateway设备，且只有在设备配置为网关或认证和计费(AAA)虚拟服务器时才能被利用。Citrix警告称，已经观察到未修复的设备上出现了CVE-2023-4966的利用行为。研究人员在周二发布了自己的警报，称它从2023年8月下旬开始发现了该漏洞的零日利用活动。成功利用该漏洞可能导致劫持已认证的会话，从而绕过多因素认证或其他强认证要求。Mandiant还称，它检测到了会话劫持，其中会话数据在部署补丁之前被盗，然后被一个未知的威胁行为者使用。这种认证会话劫持可能导致进一步的下游访问，这取决于身份或会话被允许的权限和访问范围。一个威胁行为者可以利用这种方法来收集额外的凭据，横向移动，并在环境中访问更多的资源。这次攻击活动的背后是哪个威胁行为者或组织尚不清楚，但据说它针对了专业服务、技术和政府组织。

https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966

---

5 恶意广告利用Punycode冒充KeePass网站传播恶意软件

研究人员发布了一篇博客文章，揭露了一种新的恶意广告攻击，该攻击针对KeePass，这是一款开源的密码管理器。该攻击使用了一个特殊的字符编码Punycode，来注册一个与KeePass官方网站非常相似的国际化域名。这种域名在视觉上几乎无法区分，因此很容易欺骗用户。当用户在Google搜索KeePass时，会看到一个带有官方图标和URL的恶意广告，点击后会经过一个跳转服务，最终到达一个假冒的KeePass网站。该网站提供了一个恶意的MSIX安装程序，该安装程序包含了一个属于FakeBat恶意软件家族的恶意PowerShell代码。该代码会与恶意软件的控制服务器通信，并下载一个有效载荷。该攻击活动背后的威胁行为者或组织尚不清楚，但据说它针对了Mac用户，并试图传播Atomic Stealer恶意软件。Atomic Stealer是一种窃取器，可以从浏览器、电子邮件客户端、FTP客户端等应用程序中窃取敏感信息。

https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website

---

6 乌克兰黑客组织宣称摧毁了Trigona勒索软件团伙的服务器

Trigona是一种新近出现的勒索软件，可能与俄罗斯网络犯罪地下有关。该团伙在暗网上设立了一个泄露站点和一个支付站点，用于向受害者索要赎金，并威胁公开或销毁被加密的数据。然而，一个自称乌克兰网络联盟(Ukrainian Cyber Alliance)的黑客组织在推特上发布了一张截图，显示他们已经入侵并篡改了Trigona的泄露站点，上面写着“Trigona已经消失了。Trigona勒索软件团伙的服务器已经被窃取和清空。欢迎来到你们为别人创造的世界。由乌克兰网络联盟入侵。”该黑客组织还在电报频道上发布了同样的信息，并声称他们从Trigona的服务器中获取了大量有趣的信息，包括人员、银行系统、文件、交互原理等。该黑客组织还声称他们是由来自乌克兰各个城市的网络活动者组成的社区，成立于2016年，旨在反抗俄罗斯对乌克兰的侵略。Trigona勒索软件团伙对此事件没有做出任何回应，其暗网站点也无法访问。

https://www.govinfosecurity.com/ukrainian-hacktivists-claim-trigona-ransomware-takedown-a-23343

---