每日安全简讯(20240131)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者针对百万用户级的WordPress网站数据库插件发起攻击

已检测到针对“Better Search Replace”WordPress 插件中严重缺陷的恶意活动，研究人员在过去 24 小时内观察到了数千次尝试。Better Search Replace 是一个安装量超过一百万的 WordPress 插件，可在将网站移动到新域或服务器时帮助在数据库中进行搜索和替换操作。管理员可以使用它来搜索和替换数据库中的特定文本或处理序列化数据，它提供选择性替换选项、对 WordPress Multisite 的支持，还包括“试运行”选项以确保一切正常。插件供应商 WP Engine 上周发布了 1.4.5 版本，以解决一个严重程度为 CVE-2023-6933 的 PHP 对象注入漏洞。该安全问题源于反序列化不受信任的输入，并允许未经身份验证的攻击者注入 PHP 对象。成功利用该漏洞可能会导致代码执行、访问敏感数据、文件操作或删除，以及触发无限循环拒绝服务条件。

https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-database-plugin-active-on-1-million-sites/

---

2 攻击者利用公开暴露的主机远程桌面部署Trigona勒索软件

2022 年 12 月下旬，研究人员观察到威胁行为者利用公开暴露的远程桌面协议 (RDP) 主机，导致数据泄露和 Trigona 勒索软件的部署。平安夜，在获得初始访问权限后的短短三个小时内，威胁行为者就在整个网络上执行了勒索软件。威胁行为者使用批处理脚本来窃取数据，并放弃使用一系列可能阻碍防御措施的其他批处理脚本、建立用户帐户、通过防火墙授予 RDP 访问权限以及自动执行其他入侵操作。

https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours/

---

3 研究人员披露Phobos勒索软件变体Faust的攻击活动

Phobos 勒索软件系列是一组恶意软件，旨在加密受害者计算机上的文件。它于 2019 年出现，此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员捕获并报告了 Phobos 系列的多个勒索软件变体，包括EKING和8Base。最近，研究人员发现了一份 Office 文档，其中包含一个 VBA 脚本，旨在传播 FAUST 勒索软件（Phobos 的另一个变体）。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。

https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust?&web_view=true

---

4 研究人员称约4500个在线Jenkins服务可遭受RCE漏洞攻击

研究人员发现，大约 45000 个在线暴露的 Jenkins 实例容易受到 CVE-2024-23897 的影响，这是一个严重的远程代码执行 (RCE) 缺陷，针对该缺陷的多个公开概念验证 (PoC) 漏洞正在流传。Jenkins 是领先的 CI/CD 开源自动化服务器，允许开发人员简化构建、测试和部署流程。它具有广泛的插件支持，并为各种任务和规模的组织提供服务。2024 年 1 月 24 日，该项目发布了版本 2.442 和 LTS 2.426.3，以修复 CVE-2024-23897，这是一个可能导致执行任意命令行界面 (CLI) 命令的任意文件读取问题。该问题源自 CLI 的功能，该功能会自动将 @ 字符后跟文件路径替换为文件内容，该功能旨在促进命令参数解析。

https://twitter.com/Shadowserver/status/1751964510955372855

---

5 能源公司施耐德电气遭遇Cactus勒索软件攻击

据知情人士透露，能源管理和自动化巨头施耐德电气遭受了 Cactus 勒索软件攻击，导致公司数据被盗。勒索软件攻击于本月初的 1 月 17 日袭击了该公司的可持续发展业务部门。这次攻击扰乱了施耐德电气的部分资源顾问云平台，该平台至今仍处于中断状态。据报道，勒索软件团伙在网络攻击期间窃取了数 TB 的公司数据，现在威胁该公司，如果不支付赎金，就会泄露被盗的数据。虽然尚不清楚被盗的数据类型，但可持续发展业务部门为企业组织提供咨询服务，就可再生能源解决方案提供建议，并帮助他们满足全球公司复杂的气候监管要求。

https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

---

6 保险公司Keenan遭遇数据泄露影响150万个人信息

Keenan & Associates 向 150 万客户发送数据泄露通知，警告黑客在最近的网络攻击中获取了他们的个人信息。Keenan 是一家总部位于加利福尼亚州的保险经纪和咨询公司，在教育、医疗保健和公共机构领域享有盛誉。该公司向缅因州总检察长办公室提交了一份通知，警告称 2023 年夏季发生的数据泄露事件影响了 1509616 人。通知中写道：“2023 年 8 月 27 日星期日，我们发现一些 Keenan 网络服务器发生了某些中断。”

https://www.documentcloud.org/documents/24389387-experian_k7150_keenanassociates_notice-letter?responsive=1&title=1

---