每日安全简讯(20231219)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Radamanthys信息窃取恶意软件新功能

Rhadamanthys 信息窃取恶意软件的开发人员最近发布了两个主要版本，全面添加改进和增强功能，包括新的窃取功能和增强的规避功能。Rhadamanthys 是一种 C++ 信息窃取程序，于 2022 年 8 月首次出现，目标是电子邮件、FTP 和在线银行服务帐户凭据。该窃取程序通过订阅模式出售给网络犯罪分子，因此它会通过各种渠道分发给目标，包括恶意广告、带有恶意的 torrent 下载、电子邮件、YouTube 视频等。尽管它最初在拥挤的信息窃取器市场中没有受到太多关注，但 Rhadamanthys 仍在继续改进，在其模块化特性的基础上根据需要添加新功能。

https://blog.checkpoint.com/security/unveiling-the-new-threats-rhadamanthys-v0-5-0-a-research-overview-by-check-point-research-cpr/

---

2 攻击者针对WordPress托管提供商Kinsta发起谷歌网络钓鱼活动

WordPress 托管提供商 Kinsta 警告客户，已观察到 Google 广告宣传钓鱼网站以窃取托管凭证。Kinsta 表示，网络钓鱼攻击的目的是窃取 MyKinsta 的登录凭据，MyKinsta 是该公司提供的一项关键服务，用于管理 WordPress 和其他基于云的应用程序。Kinsta 在发送给客户的电子邮件中表示，它已发现攻击者正在利用 Google Ads，针对以前访问过 Kinsta 官方网站的个人。威胁行为者创建了模仿 Kinsta 网站的赞助网站，诱骗用户点击它们。

https://www.bleepingcomputer.com/news/security/wordpress-hosting-service-kinsta-targeted-by-google-phishing-ads/

---

3 微软警告Storm-0539节日礼品卡诈骗活动持续增加

微软警告称，其追踪的新兴威胁集群中的恶意活动有所增加Storm-0539，用于精心策划礼物在假日购物季期间，通过高度复杂的电子邮件和短信网络钓鱼攻击零售实体进行银行卡欺诈和盗窃。攻击的目标是传播诱杀链接，将受害者引导至能够获取其凭据和会话令牌的中间对手 (AiTM) 网络钓鱼页面。获得初始会话和令牌的访问权限后，Storm-0539 会注册自己的设备以进行后续的二次身份验证提示，绕过 MFA 保护并使用完全受损的身份持续存在于环境中。以这种方式获得的立足点进一步充当了特权升级、跨网络横向移动以及访问云资源以获取敏感信息的渠道，特别是针对礼品卡相关服务以促进欺诈。

https://twitter.com/MsftSecIntel/status/1735351713907773711

---

4 谷歌Chrome中的新跟踪保护可阻止第三方Cookie

Google 周四宣布将开始测试一项名为“跟踪保护”的新功能。从 2024 年 1 月 4 日开始，向 1% 的 Chrome 用户提供此服务，作为其在网络浏览器中弃用第三方 Cookie 的一部分。该设置旨在限制“默认情况下限制网站访问第三方 Cookie 的跨站点跟踪”。跟踪保护的参与者将被随机选择，选定的用户将在桌面或安卓设备上打开 Chrome 时收到通知。其目标是默认限制第三方 Cookie（也称为“非必需 Cookie”），防止它们被用来跟踪用户从一个网站移动到另一个网站以提供个性化广告。

https://blog.google/products/chrome/privacy-sandbox-tracking-protection/

---

5 CISA敦促制造商消除默认密码以阻止网络威胁

美国网络安全和基础设施安全局 (CISA) 敦促制造商完全废除互联网暴露系统上的默认密码，理由是攻击者可能会利用这些严重风险来获得对组织的初始访问权限并在组织内横向移动。在上周发布的警报中，该机构谴责隶属于伊斯兰革命卫队（IRGC）的伊朗威胁行为者利用带有默认密码的操作技术设备来访问美国的关键基础设施系统。默认密码是指嵌入式系统、设备和设备的出厂默认软件配置，这些配置通常是公开记录的，并且在供应商产品线内的所有系统中都是相同的。因此，攻击者可以使用 Shodan 等工具扫描暴露在互联网上的端点，并尝试通过默认密码来破坏它们，通常会获得 root 或管理权限来执行后续操作漏洞利用操作取决于系统类型。

https://www.cisa.gov/news-events/alerts/2023/12/15/cisa-secure-design-alert-urges-manufacturers-eliminate-default-passwords

---

6 MongoDB承认遭遇网络攻击导致客户数据泄露

MongoDB 警告称，该公司本周早些时候检测到的一次网络攻击中，其公司系统遭到破坏，客户数据遭到泄露。该公司表示，他们检测到他们的系统在周三晚上（12 月 13 日）遭到黑客攻击，并开始调查该事件。MongoDB 正在调查涉及未经授权访问某些 MongoDB 公司系统的安全事件。这包括暴露客户帐户元数据和联系信息。目前，他们不知道客户存储在 MongoDB Atlas 中的数据有任何泄露。该公司不认为黑客访问了 MongoDB Atlas 中存储的任何客户数据。然而，MongoDB 表示，攻击者在被发现之前已经访问过其系统一段时间。

https://twitter.com/vxunderground/status/1736134217321370109

---