每日安全简讯(20231218)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯APT29组织持续攻击JetBrains TeamCity服务器

自 2023 年 9 月以来，隶属于俄罗斯对外情报局 (SVR) 的APT29组织针对未打补丁的 JetBrains TeamCity 服务器发起了广泛的攻击。该组织也被称为 BlueBravo、Cloaked Ursa、Cozy Bear。该组织通过利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署额外的后门以及采取其他步骤来确保持久且长期的访问受损的网络环境。相关漏洞为 CVE-2023-42793（CVSS 评分：9.8），这是一个严重的安全漏洞，可能会被未经身份验证的人利用攻击者在受影响的系统上实现远程代码执行。

https://www.cisa.gov/news-events/alerts/2023/12/13/cisa-and-partners-release-advisory-russian-svr-affiliated-cyber-actors-exploiting-cve-2023-42793

---

2 研究人员披露QR网络钓鱼可导致Microsoft 365帐户被盗

事件响应人员调查了源自包含 PDF 附件的网络钓鱼电子邮件的网络入侵。该 PDF 包含一个 QR 码，可将收件人引导至星际文件系统 (IPFS) 网关上托管的恶意内容。使用此网关可以让威胁行为者节省与托管自己的基础设施相关的成本和精力，并使执法部门难以取缔恶意内容。使用移动设备扫描二维码会将受害者引导至特定 URL，该 URL 会窃取会话令牌并重定向到 ipfs 。 io 网关托管恶意登录页面以获取 Microsoft 帐户凭据。

https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise

---

3 攻击者利用Ledger dApp供应链攻击从加密钱包中窃取60万美元

在“Ledger dApp Connect Kit”遭受供应链攻击后，Ledger 警告用户不要使用 web3 dApp。Kit 的库被发现在推动 JavaScript 钱包盗取，窃取了 60 万美元的加密货币和 NFT。Ledger 是一款硬件钱包，可让用户离线购买、管理和安全存储其数字资产，支持多种加密货币，包括比特币和以太坊。该公司提供了一个名为“Ledger dApps Connect Kit”的库。允许 web3 应用程序连接到 Ledger 硬件钱包。Ledger 警告用户，其 Ledger Connect Kit 已遭到破坏，包含恶意代码，所有用户目前应避免使用 dApp。添加到库中的恶意代码是一个钱包耗尽者，它会自动从连接到应用程序的钱包中窃取加密货币和 NFT。

https://www.bleepingcomputer.com/news/security/ledger-dapp-supply-chain-attack-steals-600k-from-crypto-wallets/

---

4 研究人员披露UNC2975恶意广告部署后门活动

研究人员发现了一场 UNC2975 恶意广告活动，该活动宣传以无人认领资金为主题的恶意网站。该活动至少可以追溯到 2023 年 6 月 19 日，滥用搜索引擎流量并利用恶意广告影响多个组织，导致 DANABOT 和 DARKGATE 后门的传播。在这次 UNC2975 活动中，恶意网站传播了 PAPERDROP 和 PAPERTEAR 下载器恶意软件，最终导致 DANABOT 和 DARKGATE 后门恶意软件。

https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors

---

5 攻击者利用公开的漏洞利用代码针对Apache Struts漏洞发起攻击

黑客正试图利用 Apache Struts 中最近修复的一个严重漏洞 (CVE-2023-50164)，该漏洞会导致远程代码执行，从而进行依赖公开可用的概念验证漏洞利用代码的攻击。攻击者似乎才刚刚开始，该平台的研究人员观察到少数 IP 地址正在进行利用尝试。Apache Struts 是一个开源 Web 应用程序框架，旨在简化 Java EE Web 应用程序的开发，提供基于表单的界面和广泛的集成功能。RCE 漏洞影响 Struts 版本 2.0.0 至 2.3.37（生命周期结束）、Struts 2.5.0 至 2.5.32 以及 Struts 6.0.0 至 6.3.0。

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/

---

6 卡夫亨氏回应黑客攻击事件称其系统正常运行

卡夫亨氏已确认他们的系统运行正常，并且没有证据表明他们在勒索组织将其列在数据泄露网站上后遭到破坏。卡夫亨氏是全球最大的食品和饮料公司之一，在 40 个国家/地区拥有超过 37000 名员工。该公司拥有众多知名品牌，包括 Oscar Mayer、Kool-Aid、Philadelphia、Lunchables、Maxwell House 等。在 Snatch 勒索组织数据泄露网站上发布的日期为 8 月 16 日的帖子中，威胁行为者声称他们入侵了卡夫亨氏（Kraft Heinz）。当勒索组织在其数据泄露网站上列出一家公司时，这表明他们在网络攻击中窃取了数据，如果不支付赎金，这些数据很快就会泄露。然而，Snatch 尚未提供违规证据，文件部分没有被盗数据的屏幕截图。

https://www.bleepingcomputer.com/news/security/kraft-heinz-investigates-hack-claims-says-systems-operating-normally/

---