每日安全简讯(20240306)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 韩国情报机关称两家芯片公司数据被朝鲜黑客窃取

据韩国国家情报院(NIS)透露，朝鲜黑客侵入了韩国的两家芯片设备制造商的服务器，窃取了产品设计图和设施照片。这次网络攻击发生在去年12月和今年2月，被认为是朝鲜为了规避国际制裁并自行生产用于武器计划的半导体芯片所采取的行动。NIS表示，朝鲜可能正面临由于制裁而难以获取半导体的困境，因此试图自产芯片，尤其是用于其卫星和导弹等武器计划的芯片。此外，NIS还警告其他芯片制造业公司提防可能的网络攻击。朝鲜一直否认参与网络犯罪，但韩国多次指责其黑客通过网络攻击窃取大量资金，通常是加密货币，以资助其政权和核武器计划。自2016年以来，朝鲜估计已通过网络攻击盗取了约30亿美元。

https://www.nis.go.kr:4016/CM/1_4/view.do?seq=286

---

2 研究人员表示攻击者仍在滥用终结者工具和变种

研究人员警告，攻击者仍在滥用名为“终结者”的工具及其变种，这是一种利用已知漏洞驱动程序的攻击方式，可获得内核级权限。自2023年5月首次发布以来，这种攻击手段已经引起了广泛关注。攻击者通过这些漏洞驱动程序可以隐藏恶意软件、窃取凭证，并尝试禁用端点检测和响应(EDR)解决方案。据报道，目前已有364个被标记为“漏洞驱动程序”的条目在开源库loldrivers.io上列出。这类攻击原本是高级威胁行为者的专利，但近年来，勒索软件运营商和低级别攻击者也开始采用。例如，2020年2月，研究人员报告了RobbinHood勒索软件活动中的一次攻击，攻击者滥用了一个由主板制造商签名的合法驱动程序，以禁用EDR产品。此外，还有关于BlackByte勒索软件活动滥用显卡驱动程序的报告，以及多起事件涉及AuKill工具，该工具滥用了过时的Process Explorer驱动程序。值得注意的是，这些攻击手段现在已经在犯罪论坛上以工具包和工具的形式出售。特别是2023年5月，一个名为spyboy的威胁行为者在俄语勒索软件论坛RAMP上宣传了“终结者”工具。该工具的价格在300美元到3000美元之间，声称可以禁用多达24种安全产品。CrowdStrike的分析显示，“终结者”似乎是一种BYOVD工具，涉及的漏洞驱动程序是Zemana Anti-Logger(zam64.sys)或Zemana Anti-Malware(zamguard64.sys)，这两个驱动程序几乎共享相同的代码库，并包含相同的漏洞，即对可以向它们发送IOCTL代码并请求各种功能的进程的验证不足。

https://news.sophos.com/en-us/2024/03/04/itll-be-back-attackers-still-abusing-terminator-tool-and-variants/

---

3 JetBrains TeamCity关键漏洞在近日被修复

近日，研究人员发现JetBrains TeamCity CI/CD服务器存在两个严重的身份验证绕过漏洞，分别为CVE-2024-27198和CVE-2024-27199。CVE-2024-27198是由于替代路径问题导致的身份验证绕过漏洞，其CVSS基础评分为9.8(严重)。CVE-2024-27199则是由于路径遍历问题导致的身份验证绕过漏洞，CVSS基础评分为7.3(高)。这些漏洞允许未经授权的远程攻击者完全控制受影响的TeamCity服务器，包括执行未经认证的远程代码执行(RCE)，从而成为供应链攻击的潜在途径。JetBrains于2024年3月3日发布了TeamCity 2023.11.4版本，修复了这两个漏洞。所有TeamCity版本在2023.11.4之前都受到这些漏洞的影响。研究人员建议TeamCity用户立即更新服务器，不要等待常规的补丁周期。此外，研究人员还提供了一些可能的入侵迹象(IOCs)以及漏洞详情，以帮助用户识别和防范潜在的安全威胁。

https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/

---

4 Hugging Face平台发现百余恶意AI模型

研究人员在Hugging Face平台上发现了超过100个恶意的人工智能/机器学习(AI/ML)模型。这些模型中的一些能够在受害者的机器上执行代码，为攻击者提供了持久的后门。研究人员表示，这些模型的载荷使攻击者能够在受害者的机器上获得一个shell，从而完全控制受害者的机器，这被通常称为“后门”。这种悄无声息的渗透可能会让攻击者接触到关键的内部系统，并为大规模数据泄露甚至企业间谍活动铺平道路，不仅影响个别用户，而且可能影响全球范围内的整个组织，同时让受害者完全不知道自己的状态已经受到威胁。特别是，这些恶意模型启动了一个反向shell连接到210.117.212[.]93，这是一个属于韩国研究环境开放网络(KREONET)的IP地址。其他带有相同载荷的存储库已经观察到连接到其他IP地址。在一个案例中，模型的作者敦促用户不要下载它，这提出了一个可能性，即发布可能是研究人员或AI从业者的工作。然而，安全研究的一个基本原则是避免发布真正的工作漏洞或恶意代码，这一原则在恶意代码尝试连接回一个真实IP地址时被违反了。这些发现再次强调了潜伏在开源存储库中的威胁，这些存储库可能被用于恶意活动。

https://jfrog.com/blog/data-scientists-targeted-by-malicious-hugging-face-ml-models-with-silent-backdoor/

---

5 印度UPI系统遭洗钱应用程序滥用

据研究人员的报告，网络犯罪分子正在利用一个名为XHelper的Android应用程序，在印度招募“洗钱骡子”，策划一场大规模的洗钱计划。这个恶意应用程序是招募和管理这些洗钱骡子的“关键工具”。通过这个应用程序，犯罪分子能够在不知情的用户中间转移资金，从而进行洗钱活动。这个洗钱计划的揭露，凸显了印度统一支付接口(UPI)系统面临的安全挑战。UPI作为一个创新的支付系统，提供了即时银行转账服务，但同时也暴露了潜在的安全漏洞。这次事件提醒了相关机构和用户，对于金融科技的便利性和创新性，必须要有相应的安全防护措施，以防止此类犯罪活动的发生。当前，印度警方和网络安全专家正在密切关注此类应用程序，以及它们如何被用于非法活动。同时，也在呼吁公众提高警惕，避免成为网络犯罪的受害者。

https://www.cloudsek.com/whitepapers-reports/shadow-banking-in-your-pocket-exposing-android-app-used-by-money-mules

---

6 美国运通信用卡遭遇第三方数据泄露

美国运通公司近日发布数据泄露通知，披露其第三方商户的支付硬件遭黑客攻击，导致客户信用卡信息可能被泄露。据《数字趋势》报道，这次数据泄露发生在马萨诸塞州，涉及美国运通旅游相关服务公司。受影响的商户遭受了未经授权的系统访问，客户的信用卡信息，包括账号、姓名和卡片有效期数据可能已经暴露。美国运通强调，被黑客攻击的是接受支付的硬件，而非美国运通直接控制的服务提供商。尽管如此，客户数据可能已在暗网流通。公司尚未公开具体有多少客户受影响，何时发生的泄露，以及哪个商户处理器被黑客入侵。这起事件与2022年Wiseasy支付系统遭黑客攻击的情况类似，当时该基于安卓的支付系统在亚太地区广泛使用，全球有14万个支付终端受到影响。然而，Wiseasy是否通知了其客户仍不清楚。美国运通已开始调查此事，并已通知相关监管机构和受影响的客户。公司建议客户在接下来的12至24个月内密切审查账户对账单，并报告任何可疑活动。

https://www.mass.gov/doc/assigned-data-breach-number-2024-210-american-express-travel-related-services-company-inc/download

---