每日安全简讯(20240307)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 乌克兰情报部门宣称成功入侵俄罗斯国防部

乌克兰国防部主要情报总局(GUR)宣布，其网络专家成功侵入俄罗斯国防部的服务器，并获得了大量机密文件。这些文件披露了俄罗斯国防部的领导层，包括俄罗斯国防部各部门的其他高级官员。这包括代表、助理和专家，以及使用被称为“官僚”的电子文件管理系统的个人。据悉，这些文件包括俄国防部副部长Timur Vadimovich Ivanov的官方文件。GUR表示，这次网络攻击的成功，使得乌克兰情报部门能够详细地描绘出俄军的指挥结构和指挥通道。这次事件是乌克兰和俄罗斯之间网络战争的最新进展，也显示出乌克兰在网络空间的活跃和能力。

https://gur.gov.ua/content/soft-shyfry-sekretni-dokumenty-kiberfakhivtsi-hur-zlamaly-minoborony-rosii.html

---

2 新的CHAVECLOAK银行木马通过恶意PDF针对巴西用户

研究人员近日发现，一种名为“CHAVECLOAK”的新型银行木马正在通过恶意PDF文件针对巴西用户。这种攻击涉及下载ZIP文件，并使用DLL侧加载技术执行最终的恶意软件。CHAVECLOAK专门设计用来窃取与金融活动相关的敏感信息。攻击流程如下：受害者被诱导点击PDF中的按钮以查看和签署附件文档，但实际上PDF中嵌入了恶意下载链接。这个链接通过“Goo.su”这样的免费链接缩短服务进行处理，最终重定向到一个ZIP文件的下载链接。解压后，ZIP文件释放出一个MSI文件。MSI安装程序解压后包含多个与不同语言设置相关的TXT文件，一个合法的执行文件，以及一个名为“Lightshot.dll”的恶意DLL。这个DLL文件的修改日期比安装程序中所有其他文件都要新，这进一步强调了它的异常性质。通过DLL侧加载技术，合法的执行文件“Lightshot.exe”将加载并运行恶意代码，从而悄无声息地进行数据窃取等未授权活动。CHAVECLOAK的命令和控制(C2)服务器遥测数据显示了这种恶意软件的活动。

https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

---

3 TA577组织转向盗取NTLM认证信息

研究人员发现，TA577这一威胁行为体现出不寻常的攻击链路，其目标是盗取NT LAN Manager(NTLM)认证信息。TA577通过电子邮件中的压缩HTML附件，对全球数百个组织发起了数万条信息攻击。这些附件一旦被打开，就会触发系统尝试连接到外部的Server Message Block(SMB)服务器。TA577的目的是从SMB服务器获取NTLMv2挑战/响应对，以窃取NTLM哈希值。这些哈希值可能被用于密码破解或在特定组织内部进行“传递哈希”攻击。研究人员还注意到，越来越多的威胁行为者滥用文件URI方案，并引导收件人连接到外部文件共享以传递恶意软件。TA577最近转向使用Pikabot作为其初始载荷，这一前所未有的转变表明，该威胁行为者具有快速迭代和测试新传递方法的时间、资源和经验。这种适应性使TA577能够保持在检测机制之前，并提高其有效载荷传递的效果。

https://www.proofpoint.com/uk/blog/threat-insight/ta577s-unusual-attack-chain-leads-ntlm-data-theft

---

4 研究人员发现一种自传播的零点击Gen AI蠕虫

研究人员发现了一种名为“Morris II”的新型Gen AI蠕虫，它能够通过智能提示工程和注入技术欺骗生成式AI应用程序，从而传播恶意软件。这种蠕虫利用对抗性自复制提示，导致生成式AI系统在响应时复制输入作为输出，进而将恶意软件传播给其他AI代理。研究人员强调，设计生成式AI生态系统时，应考虑到由底层Gen AI层引起的威胁。这种蠕虫的自我复制能力使其能够在网络中自主传播，无需攻击者进一步操作。研究人员展示了“Morris II”如何渗透并利用生成式AI驱动的电子邮件系统，展示了其在没有直接人类监督的情况下执行广泛网络攻击的潜力。

https://sites.google.com/view/compromptmized

---

5 黑客滥用QEMU隧道隐藏网络流量

研究人员发现，黑客在针对一家大型公司的网络攻击中滥用开源虚拟化平台QEMU作为隧道工具。这种攻击涉及使用“Angry IP Scanner”进行网络扫描、“mimikatz”进行凭证盗窃，并利用QEMU创建复杂的网络隧道设置，以建立隐蔽的通信渠道。这种隧道通常加密流量，以逃避防火墙和入侵检测系统的监控。研究人员指出，攻击者利用QEMU的能力来模拟操作系统和硬件平台，将其操纵为创新的隧道机制。这一发现突显了网络安全领域中的新挑战，以及保护组织免受此类隐蔽攻击的重要性。

https://securelist.com/network-tunneling-with-qemu/111803/

---

6 苹果修复iPhone遭攻击的两个零日漏洞

苹果公司近日发布了紧急安全更新，修复了两个在攻击中被利用的iOS零日漏洞。这两个漏洞被发现存在于WebKit浏览器引擎和操作系统的核心——内核中。第一个零日漏洞(追踪编号CVE-2024-23225)允许拥有内核读写权限的攻击者绕过内核内存保护。同样，第二个零日漏洞(追踪编号CVE-2024-23296)存在于运行在所有苹果芯片或嵌入式设备上的RTKitOS中。如果被具有内核读写权限的攻击者利用，这个漏洞也能被用来绕过内核内存保护。尽管苹果公司目前对这些漏洞的具体细节保持谨慎，以便用户有时间更新他们的设备，但强烈建议所有用户下载并安装这些紧急安全更新，以避免潜在的网络攻击。

https://support.apple.com/en-us/HT214081

---