每日安全简讯(20231108)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现APT组织SideCopy的新一轮攻击活动


SideCopy组织被认为是一个与巴基斯坦相关的APT组织，自2019年以来一直针对南亚国家，主要是印度国防和阿富汗政府机构进行攻击活动，并被认为是是Transparent Tribe（APT36）的一个分支。研究人员在过去几个月里发现该组织多次针对印度政府和国防机构进行的攻击活动。该组织正在利用最新的WinRAR漏洞CVE-2023-38831传播AllaKore RAT、DRat和其他恶意载荷。此外，该组织还在传播一种名为Ares RAT的开源代理的Linux变种，并在初始载荷中发现与Transparent Tribe（APT36）存在相似的代码。

https://www.seqrite.com/blog/sidecopys-multi-platform-onslaught-leveraging-winrar-zero-day-and-linux-variant-of-ares-rat/?web_view=true

---

2 攻击者利用CVE-2023-46604漏洞部署勒索软件TellYouThePass


2023年10月，研究人员发现多起涉及利用CVE-2023-46604漏洞的勒索软件攻击活动，该漏洞是Apache ActiveMQ中的一个远程代码执行漏洞。该漏洞于2023年10月27日被披露，攻击者能够利用该漏洞滥用ActiveMQ实施的OpenWire协议来执行任意代码。研究人员表示，CVE-2023-46604在2023年10月10日之前就已经在野外被利用，早于该漏洞的披露以及概念验证（PoC）代码的发布时间。除了被用于部署勒索软件，研究人员还发现有攻击者利用该漏洞部署SparkRAT，这是一个用Go语言编写的跨平台远控木马。

https://arcticwolf.com/resources/blog/tellmethetruth-exploitation-of-cve-2023-46604-leading-to-ransomware/

---

3 研究人员发现名为Trap Stealer的窃密木马

研究人员通过VirusTotal发现了一个名为“Trap Stealer”的新型窃密木马，并且已经确定其开发者在GitHub上公开分享了完整的源代码。Trap Stealer基于Python编写，通过一个开源构建器构建，具有各种功能，包括绕过安全措施以及窃取用户数据并回传给攻击者。这个窃取工具旨在秘密提取受感染系统中的各种敏感信息，包括Cookies、网络浏览器的浏览历史、Discord应用程序的令牌、剪贴板内容、加密钱包数据、WhatsApp文件等。目前其开发者仍在不断改进这个窃取工具的代码、引入新的功能。

https://cyble.com/blog/new-open-source-trap-stealer-pilfers-data-in-just-6-seconds/

---

4 Veeam针对其产品中的漏洞发布安全补丁

Veeam发布安全补丁，以解决该公司Veeam ONE IT基础设施监控和分析平台中的四个漏洞。其中两个安全漏洞允许攻击者进行远程代码执行（RCE）并从易受攻击的服务器中窃取NTLM哈希，因此该公司为这两个漏洞分配了几乎最高的安全严重性评级（CVSS评分9.8和9.9）。其余两个是中危漏洞，需要用户进行交互才能够被利用或者影响有限。这些漏洞影响了Veeam ONE所有支持的版本，包括最新版本，因此该公司发布安全补丁进行修复。管理员必须停止受影响服务器上的Veeam ONE监控和报告服务，将磁盘上的文件替换为补丁中的文件，并重新启动服务以部署补丁。

https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-bugs-in-veeam-one-monitoring-platform/

---

5 QNAP针对QTS操作系统及应用程序中的漏洞发布安全更新


QNAP Systems发布了关于两个命令注入漏洞的安全建议，这些漏洞影响了其网络附加存储（NAS）设备上的QTS操作系统和应用程序的多个版本。第一个漏洞被标记为CVE-2023-23368，其评分为9.8/10，这是一个命令注入漏洞，远程攻击者可以利用它通过网络执行命令。第二个漏洞被标记为CVE-2023-23369，其评分为9.0，远程攻击者也可以利用它达到与前一个漏洞相同的效果。

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/

---

6 攻击者在黑客论坛中出售俄罗斯保险公司Rosgosstrakh的数据

一个攻击者针对俄罗斯第二大保险公司Rosgosstrakh（俄语：Росгосстрах）进行了攻击，并窃取了敏感数据信息。该攻击者的用户名称为“Apathy”，正在黑客论坛中以价值5万美元的比特币（BTC）或门罗币（XMR）对数据进行出售。 泄露的数据包括对自2010年以来的投资和人寿保险部门记录的完全访问权限。这次数据泄露使大约300万份银行对账单处于风险之中，同时也泄露了73万人的数据，其中大约有8万人的俄罗斯社会保障号码（SNILS）和4.5万人的完整银行信息现在处于危险之中。此次数据泄露还包括对所有人寿保险政策和合同的访问权限，以及相关附件，如公共官员或其直系亲属的护照和扫描文件。该攻击者还打算向买家提供对Rosgosstrakh内部Web用户界面的完全访问。

https://www.hackread.com/russia-insurer-rosgosstrakh-hacked-data-sold/?web_view=true

---