每日安全简讯(20240305)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus组织利用Windows零日漏洞获取内核权限

据研究人员披露，Lazarus组织利用了Windows AppLocker驱动程序(appid.sys)的一个未知的零日漏洞，获取了目标系统的内核级别的权限，并关闭了可能检测到他们的安全工具。该漏洞被微软标记为CVE-2024-21338，并在2月份的补丁更新中修复。该漏洞存在于Windows AppLocker驱动程序的IOCTL分发器中，可以让攻击者在内核中执行任意回调函数，从而控制重要的功能。Lazarus组织利用该漏洞，增强了他们自己的FudModule rootkit程序，该程序是一个完全在用户空间执行的数据型rootkit程序，可以直接操作内核对象，破坏各种内核安全机制。与之前使用较为显眼的BYOVD(自带易受攻击的驱动程序)技术不同，Lazarus组织利用该零日漏洞进行了更为隐蔽的攻击。

https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/

---

2 Predator间谍软件在曝光后仍在活跃

Predator间谍软件是一种针对高价值目标的手机监控工具。Predator间谍软件可以利用零日漏洞攻击Android和iOS设备，获取设备上的所有数据和权限。2021年8月至10月，研究人员发现了三起利用Predator间谍软件的网络攻击活动，目标包括欧盟议会主席、台湾总统、美国国会议员和德国驻美国大使等。这些攻击都是通过发送伪装成URL缩短服务的一次性链接来实施的，一旦用户点击链接，就会被重定向到攻击者控制的域名，从而触发零日漏洞并下载Predator间谍软件。Predator间谍软件在曝光后仍在活跃，对手机用户的隐私和安全构成严重威胁。

https://go.recordedfuture.com/hubfs/reports/cta-2024-0301.pdf

---

3 欧洲零售巨头Pepco遭遇钓鱼攻击损失1550万欧元

Pepco集团(Pepco或Group)是一家在欧洲16个国家经营超过3000家折扣店的零售公司。该公司近日公布，其在匈牙利的业务遭到了一场复杂的钓鱼攻击，导致约1550万欧元的现金损失。据报道，攻击者冒充Pepco的高管，通过电子邮件诱骗员工转账给一个虚假的账户。Pepco表示，这起事件已经报告给了相关的执法机构，并正在与保险公司合作，以尽可能地挽回损失。Pepco还表示，这起攻击并未影响其业务运营，也没有泄露任何客户或员工的个人数据。钓鱼攻击是一种常见的网络犯罪手段，旨在利用受害者的信任或好奇心，诱使他们点击恶意链接或附件，或者泄露敏感信息。

https://www.pepcogroup.eu/media-news/pepco-group-n-v-notice-regarding-hungarian-business/

---

4 报告显示浏览器存储的凭证成为信息窃取者的重要目标之一

研究人员的一份新报告称，2023年涉及未经授权的凭证访问的安全事件中，有21%的事件可以追溯到浏览器凭证转储，指的是攻击者窃取用户名、密码、网页浏览器Cookie或其他浏览器存储的个人或敏感信息。为了使用这种技术，黑客通常使用钓鱼攻击或驱动程序下载-针对系统上的已知漏洞-或者利用一个漏洞来远程执行代码。尽管网络安全专业人士多年来一直建议用户不要在浏览器中存储密码或不要接受“记住我的详细信息”网站选项，但被窃取的凭证问题似乎越来越严重。研究人员称，去年在俄语网络犯罪市场上广告的被窃取的日志数量从约15万增加到45.5万。在2023年初，其跟踪的泄露凭证的库增长了20%，从300亿增加到360亿。在凭证窃取攻击中还发现了18%的情况：通过网络Cookie进行会话劫持。这种攻击涉及窃取会话令牌，或预测有效令牌的样子，以便未经授权地访问服务器。

https://www.reliaquest.com/blog/browser-credential-dumping/

---

5 Savvy Seahorse利用DNS骗局诱导投资者进入假冒平台

Savvy Seahorse是一个网络威胁行为者，专门针对投资平台进行DNS骗局，诱导用户进入伪造的网站，然后窃取他们的资金和个人信息。Savvy Seahorse使用Facebook广告，假冒知名公司如Tesla和Facebook/Meta，吸引用户点击恶意链接。根据报道，Savvy Seahorse的特点是使用了一些先进的技术，包括使用假的ChatGPT和WhatsApp机器人，自动回复用户的问题，诱使他们透露个人信息，以换取承诺的高回报投资。Savvy Seahorse还使用了一种隐蔽的技术，利用DNS规范名称(CNAME)记录，建立一个流量分发系统(TDS)，用于控制其骗局活动的访问和更新。这种技术使得Savvy Seahorse能够逃避安全行业的检测。Savvy Seahorse自2021年8月以来一直在活动，其参与的域名有时会被安全工具标记，但其背后的基础设施和行为者却没有被安全行业发现。Savvy Seahorse还使用了通配符DNS条目，快速创建独立的活动，使得被动DNS分析变得困难。

https://insights.infoblox.com/resources-whitepaper/infoblox-report-blog-beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads

---

6 数据库暴露导致世界科技巨头的2FA代码泄露

根据报道，一家在全球范围内提供短信转发服务的亚洲科技和互联网公司YX International，因为未对其内部数据库进行密码保护，导致其数据库被公开暴露在互联网上，任何人都可以通过浏览器访问其中的敏感数据。这些数据包括了为用户发送的一次性验证码和密码重置链接，这些验证码和链接可能被用于访问用户的Facebook、Google、TikTok等账户。YX International是一家生产移动网络设备和提供短信转发服务的公司。短信转发服务可以帮助将及时的短信信息发送到不同地区和运营商的目的地，例如Facebook和WhatsApp。YX International声称每天可以发送500万条SMS短信。但是，该公司却没有对其数据库进行安全防护，使得其数据库中的内容可以被任意访问。研究人员发现了这个数据库，并将其报告给了TechCrunch，以帮助确定其所有者并通知其安全漏洞。这个数据库中包含了用户收到的短信内容，包括一次性验证码和密码重置链接，这些验证码和链接来自于一些全球最大的科技和在线公司，例如Facebook和WhatsApp、Google、TikTok等。这些验证码和链接通常在几分钟内或者使用一次后就会失效，但是它们仍然存在于数据库中，有可能被恶意利用。

https://techcrunch.com/2024/02/29/leaky-database-two-factor-codes/

---