每日安全简讯(20240117)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 UAC-0050组织利用询问主题的群发钓鱼邮件进行网络攻击

乌克兰计算机紧急响应小组 (CERT-UA) 发现 UAC-0050 组织发送主题为“询问”的危险电子邮件。因此，2024 年 1 月 9 日发生了大规模发送标题为“索取法庭文件”和“询问”的电子邮件。这些恶意邮件包含存档文件，因此运行这些文件可能会导致设备感染 RemcosRAT 和 QuasarRAT 恶意软件。2024 年 1 月 11 日，检测到大量分发标题为“Inquiry by Medoc”的电子邮件，这些电子邮件附加或链接了 RAR 存档“Запит.rar”，可从 Bitbucket 或 Google Drive 服务下载。同样，运行附加文件会导致远程实用程序（一种远程控制软件）安装在受影响的系统上。

https://cip.gov.ua/en/news/zapit-vid-kompaniyi-medok-zlovmisniki-prodovzhuyut-kiberataki-vikoristovuyuchi-masovi-rozsilannya-listiv-z-tematikoyu-zapitiv

---

2 攻击者利用Ivanti Connect Secure零日漏洞以部署网络间谍软件

自 12 月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。这些安全问题被标识为 CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。研究人员称攻击背后的威胁行为者从事间谍活动，目前在内部追踪为 UNC5221。今天，威胁监控服务 Shadowserver在 X 上发布消息称，其扫描仪在公共网络上检测到 17100 台 Invanti CS 设备，其中大部分位于美国。然而，没有迹象表明其中有多少人容易受到攻击。

https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

---

3 GitLab警告用户修补严重的零点击帐户劫持漏洞

GitLab 发布了社区版和企业版的安全更新，以解决两个关键漏洞，其中之一允许在没有用户交互的情况下劫持帐户。供应商强烈建议尽快更新 DevSecOps 平台的所有易受攻击的版本（自托管安装需要手动更新）。GitLab 修补的最严重的安全问题具有最高的严重性评分（满分 10 分），并被跟踪为 CVE-2023-7028。成功的利用不需要任何交互。这是一个身份验证问题，允许将密码重置请求发送到任意未经验证的电子邮件地址，从而允许帐户被接管。如果双因素身份验证 (2FA) 处于活动状态，则可以重置密码，但仍需要第二个身份验证因素才能成功登录。第二个严重问题被确定为 CVE-2023-5356，严重性评分为 9.6（满分 10）。攻击者可以利用它来滥用 Slack/Mattermost 集成，以另一个用户的身份执行斜杠命令。

https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-zero-click-account-hijacking-vulnerability/

---

4 研究人员建议频繁的Android自动重启可以阻止固件漏洞

研究人员建议 Android 应该引入自动重启功能，以使利用固件缺陷变得更加困难。最近报告了影响 Google Pixel 和三星 Galaxy 手机等 Android 设备的固件漏洞，这些漏洞可能会被利用来窃取数据并在设备不处于静止状态时监视用户。当设备处于“静止”状态时，意味着它已关闭或启动后尚未解锁。在这种状态下，隐私保护非常高，并且移动设备无法完全发挥作用，因为加密密钥仍然无法供已安装的应用程序使用。重新启动后的第一次解锁会导致多个加密密钥移动到快速访问内存，以便安装的应用程序正常工作，并且设备切换到“非静止”状态。

https://twitter.com/GrapheneOS/status/1745506661467299946

---

5 研究人员披露2023年有近5200个受害者组织遭遇勒索软件攻击

2023 年有近 5200 个受害者组织遭受勒索软件攻击，并从其管理的检测和响应团队的公开披露和事件数据中进行了研究。研究人员认为这个数字实际上更高，因为它没有考虑到许多可能未被报告的攻击。虽然勒索软件活动仍然很高，但用于这些攻击的独特勒索软件家族的数量减少了一半以上，从2022年的95个新家族减少到2023年的43个。比克表示，这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。研究人员称AlphV 是去年最活跃的威胁组织。

https://www.rapid7.com/blog/post/2024/01/12/2023-ransomware-stats-a-look-back-to-plan-ahead/

---

6 非营利组织Water for People遭遇Medusa勒索软件攻击

Water for People 是一个非营利组织，旨在为因缺乏饮用水和卫生设施而健康受到威胁的人们提供更多清洁水，是最新一个遭受勒索软件犯罪分子攻击的组织。勒索软件即服务团伙 Medusa 在其暗网网站上列出了 Water for People，并威胁称，除非该非营利组织支付 30 万美元的勒索费，否则将公布被盗信息。Water for People 的一位发言人称“所访问的数据早于 2021 年，没有损害我们的财务系统，也没有影响任何业务运营。我们正在与顶级事件响应公司以及我们的保险公司合作，并与我们的安全团队一起强化我们的系统，以防止未来发生事件。”

https://therecord.media/water-for-people-medusa-ransomware?&web_view=true

---