每日安全简讯(20240120)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动分析》

近期安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡。安天CERT判断该事件针对的目标为国内IT运维人员，当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站，并下载执行含有恶意文件的运维工具，进一步连接攻击者服务器运行远控木马窃取主机中的数据和文件。该团伙使用经过精心构造的域名，并对下载的载荷文件进行混淆处理，以规避安全产品的检测，安天CERT用“暗蚊”组织命名该团伙。

https://mp.weixin.qq.com/s/EhRX26TP9rxEKys_MzDYvQ

---

2 CISA和FBI警告Androxgh0st僵尸网络的凭证窃取活动

CISA 和 FBI 今天警告称，使用 Androxgh0st 恶意软件的威胁行为者正在构建一个专注于云凭证盗窃的僵尸网络，并利用窃取的信息来传播额外的恶意负载。该僵尸网络于 2022 年首次被发现，大约一年前控制了 40000 多台设备。它扫描易受以下远程代码执行 (RCE) 漏洞影响的网站和服务器：  CVE-2017-9841（PHPUnit 单元测试框架）、CVE-2021-41773（Apache HTTP Server）和CVE-2018-15133（Laravel PHP）网络框架）。Androxgh0st 是一种 Python 脚本恶意软件，主要用于针对包含机密信息的 .env 文件，例如各种知名应用程序的凭据（即 Amazon Web Services [AWS]、Microsoft Office 365、SendGrid 和 Laravel Web 中的 Twilio）应用程序框架。Androxgh0st 恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能，例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及 Web shell 部署。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a

---

3 攻击者利用Docker漏洞部署挖矿程序与灰产软件盈利

易受攻击的 Docker 服务正成为一项新颖活动的目标，在该活动中，威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件，作为多管齐下的货币化策略的一部分。这是第一个记录在案的恶意软件将 9Hits 应用程序作为有效负载部署的案例。9Hits将自己宣传为“独特的网络流量解决方案”和“自动流量交换”，允许服务成员将流量引入其网站以换取购买积分。这是通过名为 9Hits Viewer 的软件来实现的，该软件运行一个无头 Chrome 浏览器实例来访问其他会员请求的网站，他们可以赚取积分来支付为其网站产生流量的费用。目前尚不清楚将恶意软件传播到易受攻击的 Docker 主机的确切方法，但怀疑涉及使用 Shodan 等搜索引擎来扫描潜在目标。

https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts/

---

4 TA866组织针对北美目标发送数千封发票主题的钓鱼邮件

研究人员发现 TA866 在消失九个月后又重新出现在电子邮件威胁活动数据中。2024 年 1 月 11 日，研究人员阻止了一场大规模活动，其中包括针对北美的数千封电子邮件。以发票为主题的电子邮件附有 PDF，其名称例如“Document_[10 位数字].pdf”以及各种主题，例如“项目成就”。PDF 包含 OneDrive URL，如果单击这些 URL，则会启动多步骤感染链，最终导致恶意软件负载（WasabiSeed 和 Screenshotter自定义工具集的变体）。

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign

---

5 研究人员发布EDK II网络启动环境存在的9个安全漏洞

一组九个漏洞（统称为“PixieFail”）影响 Tianocore EDK II 的 IPv6 网络协议栈，EDK II 是广泛用于企业计算机和服务器的 UEFI 规范的开源参考实现。这些缺陷存在于 PXE 网络启动过程中，该过程对于在数据中心和高性能计算环境中配置操作系统以及启动时从网络加载操作系统映像的标准过程至关重要。研究人员发现PixieFail 缺陷，并已通过 CERT/CC 和 CERT-FR 的协调努力向受影响的供应商披露。

https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html

---

6 Atlassian警告旧版本的Confluence存在严重远程代码执行漏洞

Atlassian Confluence 数据中心和 Confluence 服务器容易受到严重远程代码执行 (RCE) 漏洞的影响，该漏洞影响 2023 年 12 月 5 日之前发布的版本，包括不受支持的版本。该漏洞被追踪为 CVE-2023-22527，评级为严重（CVSS v3：10.0），并且是一个模板注入漏洞，允许未经身份验证的攻击者在受影响的 Confluence 端点上执行远程代码。Atlassian 的安全公告中写道：“Confluence Data Center 和 Server 的最新受支持版本不受此漏洞的影响，因为该漏洞最终在定期更新期间得到了缓解。”“但是，Atlassian 建议客户谨慎安装最新版本，以保护其实例免受 Atlassian 一月份安全公告中概述的非关键漏洞的影响。”

https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

---