每日安全简讯(20240121)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Mint Sandstorm组织伪装成记者攻击以色列-哈马斯战争专家

自 2023 年 11月以来，比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士一直是伊朗网络间谍组织 Mint Sandstorm的目标。威胁行为者“使用定制的网络钓鱼诱饵，试图通过社会工程手段让目标下载恶意文件”，并将其描述为“技术和操作上成熟的 Mint Sandstorm 子组织”。在某些情况下，这些攻击涉及使用先前未记录的名为 MediaPl 的后门，这表明伊朗威胁行为者正在努力改进其入侵后的间谍技术。Mint Sandstorm，也称为 APT35、Charming Kitten、TA453 和 Yellow Garuda，具备熟练的社会工程活动，甚至诉诸合法但受损的帐户向潜在目标发送定制的网络钓鱼电子邮件。据评估，它隶属于伊朗伊斯兰革命卫队（IRGC）。

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs/

---

2 研究人员发现iShutdown技术可识别iPhone上隐藏的间谍软件

网络安全研究人员发现了一种名为iShutdown的“轻量级方法” ，可以可靠地识别 Apple iOS 设备上的间谍软件迹象，包括 NSO Group 的Pegasus、QuaDream 的Reign和 Intellexa 的Predator等威胁。研究人员分析了一组受到 Pegasus 攻击的 iPhone，并表示感染在名为“Shutdown.log”的文件中留下了痕迹，这是一个在所有 iOS 设备上都可用的基于文本的系统日志文件，记录了每次重新启动事件及其环境特征。与取证设备成像或完整 iOS 备份等更耗时的获取方法相比，检索 Shutdown.log 文件相当简单。日志文件存储在 sysdiagnose (sysdiag) 存档中。

https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/

---

3 CISA警告Ivanti EPMM身份验证绕过漏洞正在被积极利用

美国网络安全和基础设施安全局 (CISA) 周四将一个现已修补的影响 Ivanti Endpoint Manager Mobile (EPMM) 和 MobileIron Core 的严重缺陷添加到其已知被利用的漏洞 ( KEV )目录中，并表示该漏洞正在被积极利用。所涉及的漏洞是CVE-2023-35082（CVSS 评分：9.8），这是一种身份验证绕过方法，它是针对 CVE-2023-35078（CVSS 评分：10.0）跟踪的同一解决方案中的另一个缺陷的补丁绕过。Ivanti在 2023 年 8 月指出：“如果利用此漏洞，未经授权的远程（面向互联网）参与者可能会访问用户的个人身份信息并对服务器进行有限的更改。”Ivanti Endpoint Manager Mobile (EPMM) 11.10、11.9 和 11.8 以及 MobileIron Core 11.7 及更低版本的所有版本均受该漏洞影响。

https://www.cisa.gov/news-events/alerts/2024/01/18/cisa-adds-one-known-exploited-vulnerability-catalog

---

4 攻击者滥用TeamViewer软件部署勒索攻击软件

勒索软件攻击者再次使用 TeamViewer 获得对组织端点的初始访问权限，并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。TeamViewer 是一种在企业界广泛使用的合法远程访问工具，因其简单性和功能而受到重视。不幸的是，该工具也受到诈骗者甚至勒索软件攻击者的使用，他们使用它来访问远程桌面，不受阻碍地删除和执行恶意文件。研究人员的一份新报告显示，网络犯罪分子并没有放弃这些旧技术，仍然通过 TeamViewer 接管设备来尝试部署勒索软件。分析的日志文件 (connections_incoming.txt) 显示这两种情况下都来自同一来源的连接，表明这是一个共同的攻击者。

https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer

---

5 TensorFlow机器学习框架存在安全漏洞可能导致供应链攻击

在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置，“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。成功利用这些问题可能会允许外部攻击者将恶意版本上传到 GitHub 存储库，在自托管 GitHub 运行器上获得远程代码执行，甚至检索tensorflow-jenkins 用户的 GitHub 个人访问令牌 (PAT) 。

https://www.praetorian.com/blog/tensorflow-supply-chain-compromise-via-self-hosted-runner-attack/

---

6 谷歌发布安全更新以修复Chrome浏览器中四个安全漏洞

谷歌周二发布了更新，修复了 Chrome 浏览器中的四个安全问题，其中包括一个被积极利用的零日漏洞。该问题编号为CVE-2024-0519，涉及 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问，威胁行为者可利用该问题触发崩溃。通过读取越界内存，攻击者可能能够获取秘密值，例如内存地址，这可以绕过 ASLR 等保护机制，以提高利用单独的弱点来实现代码的可靠性和可能性执行，而不仅仅是拒绝服务。有关攻击性质和可能利用该攻击的威胁行为者的更多详细信息已被隐瞒，以防止进一步利用。该问题于 2024 年 1 月 11 日匿名报告。

https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

---