每日安全简讯(20240126)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 惠普企业披露Midnight Blizzard组织入侵其安全团队电子邮件帐户

惠普企业 (HPE) 今天披露，疑似俄罗斯黑客 Midnight Blizzard 获得了该公司 Microsoft Office 365 电子邮件环境的访问权限，以窃取其网络安全团队和其他部门的数据。Midnight Blizzard，又名 Cozy Bear、APT29 和 Nobelium，是俄罗斯国家资助的黑客组织，据信隶属于俄罗斯对外情报局 (SVR)。威胁行为者全年与多次攻击有关，包括臭名昭著的 2020 SolarWinds 供应链攻击。在一份新的 8-K SEC 文件中，HPE 表示，他们于 12 月 12 日收到通知，涉嫌俄罗斯黑客于 2023 年 5 月入侵了他们基于云的电子邮件环境。“根据我们的调查，我们现在认为，威胁行为者从 2023 年 5 月开始，从属于我们网络安全、上市、业务部门和其他职能部门的个人的一小部分 HPE 邮箱中访问和窃取了数据，”惠普企业写道美国证券交易委员会备案。

https://www.sec.gov/Archives/edgar/data/1645590/000164559024000009/hpe-20240119.htm

---

2 研究人员披露VexTrio黑产组织为广泛网络犯罪者代理流量

研究人员新调查结果显示，ClearFake、SocGholish 和其他数十个攻击者背后的威胁行为者已与另一个名为 VexTrio 的实体建立了合作伙伴关系，作为大规模“犯罪附属计划”的一部分。该公司表示，最新的进展表明了“他们在网络犯罪行业中活动的广度和联系的深度”，并将VexTrio 描述为“安全文献中描述的最大的单一恶意流量代理”。据信，VexTrio 至少自 2017 年以来就一直活跃，其归因于恶意活动，这些活动使用字典域生成算法 ( DDGA ) 生成的域来传播诈骗、风险软件、间谍软件、广告软件、潜在有害程序 (PUP)和色情内容。这包括一个 2022 年活动集群，该集群在 Google 于 2021 年 12 月尝试摧毁其大部分基础设施后分发了 Glupteba 恶意软件。

https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/

---

3 恶意NPM软件包通过GitHub窃取数百个开发人员SSH密钥

在 npm 包注册表中发现的两个恶意包利用 GitHub 来存储从安装它们的开发人员系统中窃取的 Base64 加密的 SSH 密钥。名为warbeast2000和kodiak2k 的模块于本月初发布，分别吸引了412 次和1281 次下载，随后被 npm 维护者删除。最近一次下载发生于 2024 年 1 月 21 日。warbeast2000 有 8 个不同版本，kodiak2k 有 30 多个版本。这两个模块都设计为在安装后运行安装后脚本，每个模块都能够检索和执行不同的 JavaScript 文件。

https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data

---

4 Kasseika勒索软件使用BYOVD手段对抗安全防护软件

Kasseika的勒索软件组织加入了Akira、AvosLocker、BlackByte 和 RobbinHood等其他组织的行列，成为最新一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上的安全相关进程的勒索软件组织。该策略允许“威胁行为者终止防病毒进程和服务以部署勒索软件” 。Kasseika于 2023 年 12 月中旬首次由网络安全公司发现，与现已解散的BlackMatter存在重叠，后者是在 DarkSide 关闭后出现的。有证据表明，勒索软件病毒可能是一位经验丰富的威胁行为者所为，该行为者获取或购买了 BlackMatter 的访问权限，因为后者的源代码在 2021 年 11 月消亡后从未公开泄露。涉及 Kasseika 的攻击链从用于初始访问的网络钓鱼电子邮件开始，随后丢弃远程管理工具 (RAT) 以获得特权访问并在目标网络内横向移动。

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

---

5 Google Kubernetes错误配置可导致攻击者控制用户GKE集群

研究人员发现了一个影响 Google Kubernetes Engine (GKE) 的漏洞，拥有 Google 帐户的威胁参与者可能会利用该漏洞来控制 Kubernetes 集群。云安全公司 Orca将这一严重缺陷代号为Sys:All 。据估计，多达 250000 个活跃的 GKE 集群容易受到攻击。安全研究人员表示，这源于一种可能普遍存在的误解，即 Google Kubernetes Engine 中的系统：经过身份验证的组仅包含经过验证和确定性的身份，而事实上，它包括任何经过 Google 身份验证的帐户（甚至在组织之外）。system:authentiated group 是一个特殊的组，包括所有经过身份验证的实体，包括人类用户和服务帐户。因此，当管理员无意中授予它过于宽松的角色时，可能会产生严重后果。

https://orca.security/resources/blog/sys-all-google-kubernetes-engine-risk-example/

---

6 GoAnywhere软件存在安全漏洞攻击者可创建管理员账号

Fortra 的 GoAnywhere 托管文件传输 (MFT) 软件中披露了一个严重的安全漏洞，该漏洞可能被滥用来创建新的管理员用户。该问题的编号为CVE-2024-0204，CVSS 评分为 9.8（满分 10）。Fortra在 2024 年 1 月 22 日发布的公告中表示：“7.4.1 之前的 Fortra GoAnywhere MFT 中的身份验证绕过允许未经授权的用户通过管理门户创建管理员用户。”无法升级到版本 7.4.1 的用户可以通过删除安装目录中的 InitialAccountSetup.xhtml 文件并重新启动服务来在非容器部署中应用临时解决方法。对于容器部署的实例，建议将该文件替换为空文件并重新启动。

https://www.fortra.com/security/advisory/fi-2024-001

---