每日安全简讯(20240302)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Bifrost恶意软件伪装成VMware域名进行逃避

Bifrost是一种远程访问木马(RAT)，可以让攻击者控制受感染的系统。最近，研究人员发现了一种新的Bifrost Linux变种，它采用了一些新颖的逃避技术，包括使用一个欺骗性的域名，让人误以为是VMware的一部分。该域名为download.vmfare[.]com，与VMware的合法域名非常相似，因此可能在检查时被忽略。该恶意软件通过该域名与其命令和控制服务器通信，接收指令和发送数据。此外，该恶意软件还具有自删除功能，可以在执行完毕后清除自身的痕迹。研究人员还发现了一个Bifrost的ARM版本，它与分析的x86样本具有相同的功能。这表明该恶意软件的作者正在扩大其目标范围，可能针对更多的Linux设备。

https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/

---

2 GTPDOOR恶意软件利用GPRS隧道攻击电信网络

研究人员最近发现了一款名为GTPDOOR的新型Linux恶意软件，专为部署在与GPRS漫游交换(GRX)网络相邻的电信网络中设计。该恶意软件在利用GPRS隧道协议(GTP)进行指挥控制(C2)通信方面独树一帜。GPRS漫游允许用户在远离其主手机网络时访问GPRS服务，由GRX转运使用GTP在来访和主公共陆地移动网络(PLMN)之间传递漫游流量。研究人员分析认为这一后门与已知的威胁行为者LightBasin(又称UNC1945)有关，该团伙早在2021年10月被CrowdStrike揭露，涉及攻击电信行业窃取订阅者信息和通话元数据的系列行动。GTPDOOR启动后首先伪装其进程名称为"[syslog]"，模仿从内核调用的syslog，它隐藏子信号并打开一个原始套接字，使得该植入物能够接收到达网络接口的UDP消息。这种特殊的GTP-C回声请求信息作为传输命令至感染机器以及将结果返回至远程主机的管道。

https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR

---

3 新型Silver SAML攻击规避身份系统内部Golden SAML防御

研究人员披露了一种名为Silver SAML的新攻击技术，即使在已对Golden SAML攻击采取了缓解措施的情况下，该技术也能成功执行攻击。Silver SAML利用SAML漏洞，允许攻击者从诸如Entra ID这样的身份提供商对配置它用于身份验证的应用程序(例如Salesforce)发起攻击。Golden SAML(安全声明标记语言的简称)首次由CyberArk在2017年记录。简言之，这种攻击手段涉及滥用互操作身份验证标准来冒充组织中几乎任何身份。这也类似于Golden Ticket攻击，因为它授予攻击者能力，允许他们在联盟中访问任何服务、以任何权限，并且以悄无声息的方式在环境中持续存在。使用此方法的真实世界攻击非常罕见，首次记录的使用是SolarWinds基础设施的妥协，通过伪造SAML令牌使用受损的SAML令牌签名证书获得管理员访问权限。

https://www.semperis.com/blog/meet-silver-saml/

---

4 研究人员发现零点击Facebook账号接管漏洞

研究人员警告说，Facebook的一个关键漏洞可能允许网络威胁行为者劫持任何Facebook账户。研究人员把这个漏洞描述为Facebook密码重置流程特定端点的速率限制问题。攻击者本可以利用这个漏洞通过暴力破解特定类型的一次性数字(nonce)来接管任何Facebook账户。研究人员发现该问题影响Facebook的密码重置程序，当用户选择“通过Facebook通知发送代码”时。分析易受攻击的端点，研究人员发现三个条件为暴力攻击打开了大门：发送给用户的nonce在超过预期的时间内有效(≈2小时)；同一nonce代码在此期间每次都被发送；在多次之前无效尝试后输入正确代码时，并未看到任何代码失效(与短信重置功能不同)。

https://infosecwriteups.com/0-click-account-takeover-on-facebook-e4120651e23e

---

5 CutOut.Pro AI工具否认被黑客入侵泄露2000万用户信息

CutOut.Pro AI工具是一个提供AI照片和视频编辑功能的在线平台。近日，有黑客声称已经入侵了该平台的系统，并窃取了2000万用户的敏感信息，包括姓名、邮箱、密码、IP地址、支付方式等。黑客还在暗网上出售这些信息，每条信息的价格为0.01比特币。然而，CutOut.Pro AI工具对此事进行了否认，称黑客的说法是“明显的骗局”，并表示他们的系统没有遭到任何入侵或泄露。该平台还提供了一份声明，解释了他们的安全措施和用户数据保护政策。CutOut.Pro AI工具表示，他们使用了最先进的加密技术，以及第三方支付服务商，来确保用户数据的安全和隐私。此外，CutOut.Pro AI工具还指出，黑客所声称的泄露数据中，有很多是无效或重复的，例如一些邮箱地址是不存在的，一些密码是相同的，一些IP地址是来自同一地区的。这些都表明，黑客可能是使用了一些公开的或已泄露的数据，来制造假象，以达到诈骗的目的。目前，CutOut.Pro AI工具已经向相关部门报告了这一事件，并呼吁用户不要相信黑客的谎言，也不要购买任何所谓的泄露数据。

https://www.hackread.com/hacker-cutout-pro-ai-tool-data-breach/

---

6 Golden Corral连锁餐厅数据泄露影响18.3万人

美国餐饮连锁企业Golden Corral披露，在去年8月份的网络攻击中，黑客窃取了超过18万人的个人信息。Golden Corral以其自助餐和烧烤在美国43个州及波多黎各共298个地点经营餐厅(其中24个地点因未披露原因暂时停业)。该公司在2024年2月29日发表的一份新闻稿表示，攻击者在8月11日至8月15日期间进入了其系统，并窃取了“现任和前任员工及受益人”的敏感数据。“大约在2023年8月15日，Golden Corral经历了一起数据安全事件，导致其公司运营暂时中断。”Golden Corral表示，并通知了联邦执法机关，并正在加强额外的安全措施。Golden Corral在确定了可能受影响文件中的信息范围后，于1月26日获取了所有受影响个体的地址信息，并从2月16日开始发送数据泄露通知信。虽然今天的新闻稿并未提供受此数据泄露影响的人数，但Golden Corral在向缅因州总检察长提交的一份文件中透露，共有183272人的数据在攻击中被盗。

https://www.prnewswire.com/news-releases/golden-corral-corporation-provides-notice-of-data-privacy-event-302076439.html

---