每日安全简讯(20240202)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员对Pawn Storm组织攻击技术进行深入分析

从2022 年 4 月到 2023 年 11 月，Pawn Storm （也称为 APT28 和 Forest Blizzard）试图通过不同的方式发起 NTLMv2哈希中继攻击，目标数量出现巨大峰值。该组织的目标位于欧洲、北美、南美、亚洲、非洲和中东多个国家，包括来自政府、国防工业、能源和交通部门等高价值目标。Pawn Storm组织修改受害者邮箱内的文件夹权限，从而增强持久性，并通过从受害者组织内部发送其他恶意电子邮件来进行横向移动。 研究人员对该组织技战术 (TTP)进行分析，并在附录中提供IoC列表，帮助防御者检查自身是否已成为攻击目标。

https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

---

2 意大利多个企业受到武器化USB传播加密劫持恶意软件攻击

一个名为UNC4990的威胁行为体，出于经济动机正在利用武器化 USB 设备作为初始感染媒介攻击意大利的多个组织。这些攻击针对多个行业，包括医疗、交通、建筑和物流。UNC4990 操作通常涉及广泛的 USB 感染，然后部署 EMPTYSPACE 下载程序。攻击操作集群依赖 GitHub、Vimeo 和 Ars Technica 等第三方网站来托管编码的附加阶段，并在执行链的早期通过 PowerShell 下载和解码。目前尚不清楚 UNC4990的最终目标，其中在一个案例中部署了开源加密货币挖矿程序。


https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

---

3 研究人员发现近期Apache应用程序成为隐形攻击者目标

Apache Hadoop是一个开源框架，旨在使用简单的编程模型在计算机群中分布式存储和处理大型数据集。Apache Flink 是由 Apache 软件基金会开发的开源、统一的流处理和批处理框架。研究人员发现和分析了一种针对 Apache Hadoop 和 Flink 应用程序的新攻击，攻击者使用加壳程序和 Rootkit 来隐藏恶意软件、这可能导致执行任意代码风险。这些技术的使用对传统的安全防御提出了挑战，研究人员对具体的攻击流程和攻击路径进行了深入分析。

https://blog.aquasec.com/threat-alert-apache-applications-targeted-by-stealthy-attacker

---

4 研究人员发现攻击者可利用RunC缺陷获得主机访问权限

runC是一个用于在 Linux 上生成和运行容器的工具。最初是作为 Docker 的一部分开发的，后于 2015 年分离成一个单独的开源库。runC 命令行工具中已披露多个安全漏洞，威胁者可利用这些漏洞逃离容器的边界并发起后续攻击。这些漏洞编号为 CVE-2024-21626、CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653，被网络安全供应商 Snyk统称为Leaky Vessels 。其中最严重的缺陷是 CVE-2024-21626，它可能导致以“WORKDIR”命令为中心的容器逃逸。迄今为止，没有证据表明任何新发现的缺陷已被广泛利用。这些漏洞已在当前发布的 runC 1.1.12 版本中得到解决。

https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/

---

5 巴西联邦调查局捣毁Grandoreiro银行木马

Grandoreiro是 Javali、Melcoz、Casabeniero、Mekotio 和 Vadokrist 等众多拉丁美洲银行木马之一，主要针对西班牙、墨西哥、巴西和阿根廷等国家。该木马自 2017 年以来一直活跃，其既可以通过键盘记录器和屏幕截图窃取数据，也可以在受感染的受害者访问威胁行为者预先确定的目标银行网站时从覆盖层窃取银行登录信息。还可以显示虚假的弹出窗口并阻止受害者的屏幕。巴西执法行动逮捕了几名负责Grandoreiro恶意软件的巴西运营商。

https://www.gov.br/pf/pt-br/assuntos/noticias/2024/01/pf-combate-organizacao-criminosa-que-praticava-fraudes-bancarias-eletronicas-contra-vitimas-no-exterior

---

6  CISA警告Apple iOS和macOS中的严重缺陷被积极利用

美国网络安全和基础设施安全局 (CISA) 周三根据活跃利用的证据，将影响 iOS、iPadOS、macOS、tvOS 和 watchOS 的高严重性缺陷添加到其已知可利用漏洞 ( KEV ) 目录中。该漏洞编号为CVE-2022-48618（CVSS 评分：7.8），涉及内核组件中的错误。鉴于 CVE-2022-48618 的活跃利用，CISA 建议联邦民事行政部门 (FCEB) 机构在 2024 年 2 月 21 日之前应用修复程序。

https://thehackernews.com/2024/02/cisa-warns-of-active-exploitation-of.html

---