每日安全简讯(20240308)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Linux恶意软件攻击Docker和其他关键应用程序

近期，研究人员现了一种名为SpinningYarn的新型Linux恶意软件活动，其目标是运行ApacheHadoopYARN、Docker、Confluence和Redis面向Web服务的配置错误的服务器。SpinningYarn是一种恶意活动，利用了各行业企业使用的流行Linux软件的弱点。这些服务是组织IT基础设施中的重要组成部分。Docker对于开发、部署和管理容器化应用程序至关重要。ApacheHadoop允许分布式处理大型数据集。通过破坏这些应用程序，攻击者可以获得对系统的未经授权的访问、窃取敏感数据、破坏操作或部署勒索软件，从而对服务器和关键基础设施构成重大威胁。在SpinningYarn中，威胁行为者使用了几种独特的有效负载，包括四个Golang二进制文件，它们可以自动发现和感染主机并让它们利用代码。他们使用Confluence来利用常见的错误配置和漏洞，发起远程代码执行(RCE)攻击并感染新主机。

https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/

---

2 GhostSec与Stourmous联手发起勒索软件攻击

研究人员最新的报告指出，两个黑客团伙GhostSec和Stourmous正在联合进行一场勒索软件攻击。这场攻击利用了新的GhostLocker2.0勒索软件，该软件是GhostLocker勒索软件的Golang版本。这两个团伙启动了一个名为STMX_GhostLocker的勒索软件即服务(RaaS)运营，为其附属成员提供多种选项。这一发现表明，勒索软件攻击者正在不断创新其攻击手段，以适应不断变化的网络安全环境。GhostSec和Stourmous通过这种合作，能够扩大其攻击范围，并提高其攻击的成功率。GhostSec是现代五大家族组织的成员，该组织包括ThreatSec、Stormous、Blackforums和SiegedSec。该组织的活动包括拒绝服务(DoS)攻击、勒索软件攻击和黑客活动。“GhostLockerRaaS有一个C2面板，附属机构可以在其中概览他们的攻击和收益。当部署在受害者的机器上时，勒索软件二进制文件将注册到C2面板，附属机构可以跟踪受害者机器上的加密状态。

https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/

---

3 BlackCat勒索软件疑似复苏

2024年3月6日，研究人员发布了关于BlackCat勒索软件的复苏的报道。美国司法部在2023年12月19日对该组织进行了打击，但最近的观察显示，BlackCat组织在被打击后不久便卷土重来。他们在2月21日对ChangeHealthcare发起了重大攻击，ChangeHealthcare是Optum的一部分，隶属于UnitedHealthGroup。据报道，该组织声称从ChangeHealthcare窃取了6TB的数据。此次攻击导致支付索赔处理延迟，迫使客户自付服务费用，在某些情况下甚至无法兑现处方。BlackCat利用合法的远程访问工具和独特的令牌，执行了一种复杂的勒索软件变体。这种策略强调了保持警惕的重要性，以及组织需要不断发展其安全措施以有效对抗这些不断变化的威胁。他们通过TotalSoftwareDeployment和ScreenConnect等合法的远程会话管理软件，建立了初始的攻击阵地，使得攻击者能够在正常的管理活动中隐藏，大大增加了检测难度。BlackCat勒索软件的功能包括在禁用安全产品后，威胁行为者(TA)传输并执行了BlackCat勒索软件二进制文件update.exe。与典型的执行过程不同，这个二进制文件需要一个64字符的十六进制访问令牌才能执行；没有这个令牌，二进制文件将不会执行。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-blackcat-ransomware/

---

4 攻击者通过在线会议诱饵分发恶意软件

研究人员发现，自2023年12月起，有网络威胁行为者通过创建假冒的Skype、GoogleMeet和Zoom网站来传播恶意软件。这些网站主要针对Android用户传播SpyNoteRAT，以及针对Windows用户传播NjRAT和DCRat。这些假网站的URL与真实的在线会议服务网站非常相似，且全部使用俄语。攻击者利用共享的网络托管服务，在单一的IP地址上托管所有这些假网站。当用户访问这些假网站并点击Android按钮时，会启动恶意APK文件的下载；点击Windows按钮则会触发BAT文件的下载。执行这个BAT文件后，会进行一系列操作，最终导致远程访问木马(RAT)的有效载荷被下载。这些RAT能够窃取机密信息和文件，记录键盘输入。例如，第一个被发现的假网站是在12月初创建的join-skype[.]info，它欺骗用户下载假的Skype应用程序。

https://www.zscaler.com/blogs/security-research/android-and-windows-rats-distributed-online-meeting-lures

---

5 黑客利用ConnectWise等缺陷部署TODDLERSHARK恶意软件

研究人员发现朝鲜威胁行为者利用ConnectWise和ScreenConnect安全漏洞部署了一种名为TODDLERSHARK的新恶意软件。TODDLERSHARK与BabyShark和ReconShark等已知的Kimsuky恶意软件有重叠。利用现在的‘手动键盘’访问权限，使用cmd.exe来执行mshta.exe，其中包含基于VisualBasic(VB)的恶意软件的URL。所涉及的ConnectWise缺陷是CVE-2024-1708和CVE-2024-1709，这些缺陷于上个月曝光，此后遭到多个威胁行为者的大量利用，以传播加密货币挖矿程序、勒索软件、远程访问木马和窃取恶意软件。该恶意软件除了使用计划任务来实现持久性之外，还旨在捕获和泄露有关受感染主机的敏感信息，从而充当有价值的侦察工具。研究人员表示，TODDLERSHARK以更改代码中的身份字符串、通过生成的垃圾代码更改代码的位置以及使用唯一生成的C2URL的形式表现出多态行为的元素，这可能使该恶意软件在某些环境中难以检测。

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

---

6 VMware发布ESXi等关键安全补丁

近日，VMware已发布补丁来解决影响ESXi、Workstation和Fusion的四个安全缺陷，其中包括两个可能导致代码执行的严重缺陷。这些漏洞被追踪为CVE-2024-22252和CVE-2024-22253，被描述为XHCIUSB控制器中的释放后使用错误。Workstation和Fusion的CVSS得分为9.3，ESXi系统的CVSS得分为8.4。研究人员表示，在虚拟机上拥有本地管理权限的恶意行为者可能会利用此问题在主机上运行虚拟机的VMX进程时执行代码。在ESXi上，漏洞利用包含在VMX沙箱内，而在Workstation和Fusion上，这可能会导致在安装Workstation或Fusion的计算机上执行代码。

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

---