每日安全简讯(20240130)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《2023年活跃挖矿木马盘点》报告

挖矿木马通过各种手段将挖矿程序植入受害者的计算机中，在用户不知情的情况下，利用受害者计算机的运算能力进行挖矿，从而获取非法收益。目前已知多个威胁组织（例如，H2Miner、“8220”等）传播挖矿木马，致使用户系统资源被恶意占用和消耗、硬件寿命被缩短，严重影响用户生产生活，妨害国民经济和社会发展。2023年，安天CERT发布了多篇针对挖矿木马的分析报告，现将2023年典型的挖矿木马梳理形成组织/家族概览，进行分享。

https://mp.weixin.qq.com/s/wHr2yhhm3Iu99ZxnHpVofg

---

2 研究人员披露恶意PyPI软件包传播WhiteSnake窃取器

研究人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包，这些包在 Windows 系统上传播名为WhiteSnake Stealer的信息窃取恶意软件。这些包含恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。这些软件包在其 setup.py 文件中合并了 Base64 编码的 PE 源代码或其他 Python 脚本。根据受害者设备的操作系统，最终的恶意负载会在安装这些 Python 包时被删除并执行。

https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi

---

3 AllaKore RAT恶意软件利用金融欺诈手段针对墨西哥目标发起攻击

墨西哥金融机构受到了新的鱼叉式网络钓鱼活动的监视，该活动提供了名为AllaKore RAT的开源远程访问木马的修改版本。研究人员将此次活动归因于一个未知的拉丁美洲威胁行为者，该威胁行为者出于经济动机。该活动至少自 2021 年以来一直活跃。诱饵在安装过程中使用墨西哥社会保障研究所 (IMSS) 的命名模式和合法、良性文档的链接。AllaKore RAT 有效负载经过大量修改，允许威胁行为者将窃取的银行凭证和独特的身份验证信息发送回命令和控制 (C2) 服务器，以实现金融欺诈的目的。这些攻击似乎专门针对总收入超过 1 亿美元的大公司。目标实体涵盖零售、农业、公共部门、制造、运输、商业服务、资本货物和银行部门。

https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat

---

4 研究人员披露Jenkins多个严重RCE漏洞已有在野积极利用

针对 Jenkins 关键漏洞的多个概念验证 (PoC) 漏洞已公开，该漏洞允许未经身份验证的攻击者读取任意文件，一些研究人员报告攻击者积极利用攻击中的漏洞。Jenkins 是一种开源自动化服务器，广泛用于软件开发，特别是持续集成（CI）和持续部署（CD）。它在自动化软件开发过程的各个部分（例如构建、测试和部署应用程序）方面发挥着关键作用。它支持一千多个集成插件，可供各种规模的组织使用，包括大型企业。研究人员 在 Jenkins 中发现了两个缺陷，这些缺陷可能使攻击能够访问易受攻击的服务器中的数据并在某些条件下执行任意 CLI 命令。

https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/

---

5 堪萨斯城公共交通管理局遭受勒索软件攻击影响其通讯系统

堪萨斯城地区交通管理局 (KCATA) 于 1 月 23 日星期二宣布成为勒索软件攻击的目标。KCATA 是一家跨州公共交通机构，为密苏里州和堪萨斯州的 7 个县提供服务，拥有 300 辆公交车，运营 78 条公交车路线和 6 条 MetroFlex 路线。该公司报告称，一年有 1050 万人使用他们的服务。周三，该组织宣布遭受勒索软件攻击，影响了其所有通信系统。公告中写道：“1 月 23 日星期二早些时候，KCATA 遭受了勒索网络攻击。我们已联系了所有有关当局，包括联邦调查局 (FBI)。”“对客户的主要影响是 RideKC 区域呼叫中心无法接听电话，任何 KCATA 固定电话也无法接听电话。”该公告为需要安排行程的 Freedom 和 Freedom-On-Demand Paratransit 客户提供了替代电话号码。尽管呼叫中心受到干扰，KCATA 路线仍照常运行，因此客运运营并未受到影响。

https://www.kcata.org/news/cyber-attack-hits-kcata-communications-affected

---

6 德克萨斯州医疗提供商遭遇数据泄露影响其390万患者信息

德克萨斯州一家物理和职业治疗提供商通知近 400 万患者，去年内华达州一家医疗转录供应商发生数据盗窃事件，受害者人数不断飙升，而他们也加入了这一行列。Concentra Health Services 于 1 月 9 日向美国卫生与公众服务部报告称，2023 年 Perry Johnson & Associates 遭受的黑客攻击已影响其 390 万患者。医疗转录器的泄露似乎已经暴露了至少 1400 万患者的个人数据，并且这一数字还在增加。虽然 PJ&A 尚未公开列出所有受此次黑客攻击影响的客户，但 Concentra 与其他一些受影响的实体一样，已向 HHS OCR 提交了自己的违规报告，与 PJ&A 提交的报告分开。考虑到各个客户自行向 HHS OCR 提交的单独违规报告，医疗记录员尚未透露受黑客攻击影响的总人数。但到目前为止，这个总数似乎至少有 1400 万人。

https://www.pjats.com/downloads/Notice.pdf

---