每日安全简讯(20240115)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 基于Python的新型FBot恶意软件针对云和SaaS平台发起攻击

一种名为FBot的新的基于 Python 的黑客工具被发现针对 Web 服务器、云服务、内容管理系统 (CMS) 和 SaaS 平台，例如 Amazon Web Services (AWS)、Microsoft 365、PayPal、Sendgrid 和 Twilio。主要功能包括收集垃圾邮件攻击的凭证、AWS 账户劫持工具以及针对 PayPal 和各种 SaaS 账户进行攻击的功能。FBot 是AlienFox、GreenBot（又名 Mainance）、Legion和Predator等云黑客工具列表中的最新成员，后四个工具与 AndroxGh0st 具有代码级别重叠。研究人员将 FBot 描述为“与这些家族相关但又不同”，因为它没有引用 AndroxGh0st 的任何源代码，尽管它与去年首次曝光的 Legion 表现出相似之处。

https://www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/

---

2 研究人员披露Atomic窃取器通过加密载荷针对Mac用户发起攻击

网络安全研究人员发现了名为Atomic（或 AMOS）的 macOS 信息窃取程序的更新版本，这表明该恶意软件背后的威胁行为者正在积极增强其功能。Atomic Stealer 似乎在 2023 年 12 月中下旬左右进行了更新，其开发人员引入了有效负载加密，以绕过检测规则。Atomic Stealer首次出现于 2023 年 4 月，每月订阅费为 1000 美元。它能够通过虚假提示从受感染的主机获取敏感信息，包括钥匙串密码、会话 cookie、文件、加密钱包、系统元数据和机器密码。

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version

---

3 Mandiant公司X账户遭遇Drainer-as-a-Service组织暴力破解

Mandiant 的 X（前身为 Twitter）帐户上周遭到入侵，很可能是“暴力密码攻击”的结果，该攻击将黑客归咎于 Drainer-as-a-Service (DaaS) 组织。通常情况下，[双因素身份验证] 可以缓解这种情况，但由于一些团队的过渡和X 2FA 政策的变化，我们没有得到充分的保护。此次攻击发生于 2023 年 1 月 3 日，攻击者能够控制该公司的 X 帐户，并分发指向钓鱼页面的链接，该钓鱼页面托管着被追踪为 CLINKSINK 的加密货币消耗者。Drainers 指的是恶意脚本和智能合约，这些脚本和智能合约会在受害者被诱骗批准交易后，从受害者的钱包中窃取数字资产。据 Google 旗下子公司称，自 2023 年 12 月以来，据信多个威胁行为者利用 CLINKSINK 窃取 Solana (SOL) 加密货币用户的资金和代币。

https://www.bleepingcomputer.com/news/security/mandiants-x-account-hacked-by-crypto-drainer-as-a-service-gang/

---

4 研究人员披露基于Mirai的僵尸网络的新型NoaBot恶意软件

自 2023 年初以来，威胁行为者正在使用一种基于 Mirai 的新型僵尸网络NoaBot作为加密货币挖矿活动的一部分。新的僵尸网络 NoaBot 的功能包括可蠕虫的自传播程序和 SSH 密钥后门，用于下载和执行其他二进制文件或将自身传播给新的受害者。Mirai的源代码于 2016 年被泄露，它是许多僵尸网络的鼻祖，最近的一个是InfectedSlurs，它能够发起分布式拒绝服务 (DDoS) 攻击。NoaBot 可能与另一个僵尸网络活动有关，该活动涉及名为P2PInfect的基于 Rust 的恶意软件家族，该恶意软件家族最近收到了针对目标路由器和物联网设备的更新。

https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining

---

5 多伦多动物园称勒索软件攻击对园区系统运营没有影响

加拿大最大的动物园多伦多动物园表示，周五早些时候袭击其系统的勒索软件攻击并未对动物、其网站或日常运营产生影响。该动物园表示，它不会存储任何信用卡信息，并且正在调查该事件是否影响了其客人、会员或捐赠者的记录。声明称：“目前，我们的动物福祉、护理和支持系统尚未受到此次事件的影响，我们正在继续动物园的正常运营，包括向客人开放。”“动物园网站不受影响，可以继续在 torontozoo.com 上在线购买门票。”该事件已报告给多伦多市警察局（TPS），动物园目前正在与第三方网络安全专家和多伦多市首席信息安全办公室合作，以确定损失的程度。动物园补充说：“如果有人在接下来的几天内试图联系动物园，我们请您耐心等待，我们将尽力及时回复，但回复时间可能会受到影响。”

https://www.torontozoo.com/mediaroom/press2024/20240108#press

---

6 思科修复影响Unity Connection软件的高风险安全漏洞

思科已发布软件更新，以解决影响 Unity Connection 的严重安全漏洞，该漏洞可能允许攻击者在底层系统上执行任意命令。该漏洞编号为CVE-2024-20272（CVSS 评分：7.3），是驻留在基于 Web 的管理界面中的任意文件上传错误，是由于特定 API 中缺乏身份验证以及对用户提供的数据验证不当而导致的。数据。攻击者可以通过将任意文件上传到受影响的系统来利用此漏洞。成功的利用可能允许攻击者在系统上存储恶意文件，在操作系统上执行任意命令，并将权限提升到 root。该缺陷影响 Cisco Unity Connection 的12.5 及更早版本（已在版本 12.5.1.19017-4 中修复）和14（已在版本 14.0.1.14006-5 中修复）版本。版本 15 不易受到攻击。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuc-unauth-afu-FROYsCsD

---