每日安全简讯(20240124)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ScarCruft组织针对安全研究人员发起网络钓鱼攻击

2023 年 12 月，名为ScarCruft的威胁行为者精心策划了一场新活动，媒体组织和朝鲜事务领域的知名专家成为了这场活动的目标。ScarCruft 一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。这个与朝鲜有联系的对手，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为国家安全部 (MSS) 的一部分，与 Lazarus Group 和 Kimsuky 不同，后者是国家安全部 (MSS) 的一部分。是侦察总局 (RGB) 内的单位。该组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。2023 年 8 月，ScarCruft与 Lazarus 集团一起对俄罗斯导弹工程公司NPO Mashinostroyeniya进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。

https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/

---

2 苹果发布针对iPhone和Mac产品中严重零日漏洞的补丁

Apple 周一发布了 iOS、iPadOS、macOS、tvOS 和 Safari 网络浏览器的安全更新，以解决已被广泛利用的零日漏洞。该问题被追踪为CVE-2024-23222，是一个类型混淆错误，威胁行为者可以利用该错误在处理恶意制作的 Web 内容时实现任意代码执行。这家科技巨头表示，该问题已通过改进检查得到解决。一般来说，类型混淆漏洞可以被用来执行越界内存访问，或导致崩溃和任意代码执行。苹果在一份简短的咨询中承认，它“意识到有报告称这个问题可能已被利用”，但没有透露有关攻击性质或利用该缺陷的威胁行为者的任何其他细节。

https://cwe.mitre.org/data/definitions/843.html

---

3 阿根廷Payoneer金融账户遭遇双因素身份验证绕过攻击

阿根廷的许多 Payoneer 用户表示，在睡觉时收到短信 OTP 代码后，醒来后发现他们受 2FA 保护的账户遭到黑客攻击，资金被盗。Payoneer是一家提供在线汇款和数字支付服务的金融服务平台。它在阿根廷很受欢迎，因为它允许人们在绕过当地银行法规的同时赚取外币收入。从上周末开始，许多账户受到双因素身份验证 (2FA) 保护的阿根廷 Payoneer 用户 报告说， 他们的账户突然无法访问，或者只是登录到空钱包，损失了“多年的工作”，价值 5000 美元至 60000 美元不等。

https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/

---

4 研究人员披露MavenGate攻击可劫持Java和安卓应用中依赖的废弃库

一些被放弃但仍在 Java 和 Android 应用程序中使用的公共和流行库被发现容易受到名为 MavenGate 的新软件供应链攻击方法的影响。对项目的访问可以通过域名购买被劫持，并且由于大多数默认构建配置都很容易受到攻击，因此很难甚至不可能知道是否正在执行攻击。成功利用这些缺陷可能会允许恶意行为者劫持依赖项中的工件并将恶意代码注入应用程序，更糟糕的是，甚至通过恶意插件危害构建过程。这家移动安全公司补充说，包括 Gradle 在内的所有基于 Maven 的技术都容易受到攻击，并且它已向 200 多家公司发送了报告，包括 Google、Facebook、Signal、Amazon 等。Apache Maven主要用于构建和管理基于 Java 的项目，允许用户下载和管理依赖项（由其 groupId 唯一标识）、创建文档和发布管理。

https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/

---

5 NS-STEALER恶意软件利用Discord机器人从主流浏览器中窃取数据

网络安全研究人员发现了一种新的基于 Java 的“复杂”信息窃取程序，它使用 Discord 机器人从受感染的主机中窃取敏感数据。这种名为NS-STEALER的恶意软件通过伪装成破解软件的 ZIP 档案进行传播。ZIP 文件中包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），该文件充当部署恶意 JAR 文件的管道，该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。随后，恶意软件会将从二十多个网络浏览器窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据保存到此文件夹中。然后捕获的信息会被泄露到 Discord Bot 频道。

https://www.trellix.com/about/newsroom/stories/research/java-based-sophisticated-stealer-using-discord-bot-as-eventlistener/

---

6 Trezor警告官网遭遇网络攻击导致66000名客户数据泄露

Trezor 在发现 1 月 17 日因未经授权访问其第三方支持票务门户而发生数据泄露后，发布了安全警报。这家受欢迎的硬件加密货币钱包供应商表示，对该事件的调查仍在进行中，但迄今为止没有发现任何证据表明用户的数字资产在该事件中受到损害。公告中写道： “我们想强调的是，我们的用户资金都没有因此次事件而受到损害。 ” 该公司补充说：“您的 Trezor 设备今天仍然像昨天一样安全。”然而，自 2021 年 12 月以来与 Trezor 支持互动的 66000 名用户中的一部分可能已将其姓名或用户名以及电子邮件地址暴露给未经授权的一方。邮政地址、电话号码和其他个人身份信息也存储在被破坏的系统中，但 Trezor 认为这些信息不会受到影响。Trezor 已经确认了 41 起暴露数据被利用的案例，攻击者接近用户，诱骗他们泄露恢复种子，其中包含访问钱包所需的所有信息。

https://blog.trezor.io/trezor-security-update-stay-vigilant-against-potential-phishing-attack-bb05015a21f8

---