每日安全简讯(20240310)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新APT组织Lotus Bane攻击越南金融机构

最近，越南金融机构遭受了一个名为Lotus Bane的新型先进持续性威胁(APT)组织的攻击。这一攻击行动于2023年3月首次被检测到，据研究人员分析，该黑客组织自2022年起即活跃于网络空间。虽然感染链的具体细节暂时未知，但攻击中使用了多种恶意工具作为后续行动的基础。研究人员表示，Lotus Bane所使用的技巧与一个名为OceanLotus(又称APT32、Canvas Cyclone、Cobalt Kitty)的与越南关联的威胁行动者有所重叠。这主要表现在它们都使用PIPEDANCE恶意软件进行命名管道通信。Lotus Bane目前集中攻击亚太地区的银行业，虽然已知的攻击发生在越南，但其方法的复杂程度显示出可能在更广泛的亚太地区开展活动的潜力。目前还不清楚它们在本次发现之前已经活动了多长时间，但正在进行的调查可能会进一步揭示其历史。

https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

---

2 攻击者假冒俄罗斯政府网站传播恶意软件

近期研究人员发现了一个新型恶意软件活动，该活动针对俄罗斯公民，通过模仿俄罗斯政府网站传播名为SapphireStealer的恶意软件。SapphireStealer是一个开源信息窃取工具，使用假冒的PDF图标掩饰其真实身份，误导用户点击执行。该恶意软件在背景中悄无声息地收集受害者设备上的敏感信息，如各种浏览器的登录凭证、网络数据和cookie等，并将这些信息压缩成ZIP文件发送至指挥控制服务器。威胁行为者通过发送包含有害链接的垃圾邮件引诱受害者下载执行文件。该邮件中的链接会指向冒充官方的假网站(govermentu[.]ru)，下载的文件在表面上与关于执行法律命令的指南或行政违规案件传票的扫描件相似。利用假法律文件制造紧迫感和恐慌，促使收件人急于打开附件或点击链接，从而使自己面临恶意软件或网络钓鱼的风险。

https://cyble.com/blog/sapphirestealer-sneaks-in-deceptive-legal-documents-prey-on-russians/

---

3 JetBrains TeamCity漏洞遭积极利用致威胁增加

根据研究人员的监测，自2024年3月5日起，JetBrains TeamCity的身份验证绕过漏洞(CVE-2024-27198和CVE-2024-27199)正遭到积极的利用。这些漏洞适用于所有2023年11月4日之前版本的TeamCity On-Premises。研究人员团队曝光了涉及漏洞的初步利用代码。受影响的路径包括但不限于/res/、/update/和/.well-known/acme-challenge/等。攻击者可通过这些路径发起路径穿越攻击，并篡改服务器上的系统配置或披露敏感信息。由于之前曾有俄罗斯外情局(SVR)等在内的国家级攻击者利用JetBrains的漏洞实施供应链攻击，此次漏洞被积极利用的情报尤显重要。研究人员发现超过1700个TeamCity实例暴露在互联网上。该公司还观察到黑市上犯罪分子利用这些漏洞进行初始访问的销售。

https://cyble.com/blog/jetbrains-teamcity-authentication-bypass-vulnerability-under-active-exploitation/

---

4 俄罗斯黑客成功获取微软源代码

近日，微软在其安全博客及向证券交易委员会提交的报告中宣布了一个关于网络安全的严重发现：俄罗斯黑客组织Cozy Bear(微软称之为Midnight Blizzard)不仅在去年11月通过密码喷射攻击侵入了一个非生产测试租户账号，而且在随后的行动中成功访问了公司的一些内部系统及源代码库。在这个持续的安全冲突中，微软正与这些攻击者斗争，试图将他们从系统中清除或阻止他们再次入侵。微软暗示，此次安全事件并不简单——它是涉及精心协调和重大资源承诺的有组织攻击，并可能是对进一步攻击目标的一次侦查行动。这起事件再次突显了公司必须面对的复杂国际安全威胁布局，迫使其必须加强对其系统保安的资源和关注。

https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

---

5 Magnet Goblin组织快速利用1-Day漏洞攻击

最近，研究人员发现一个名为Magnet Goblin的金融动机黑客组织正在迅速利用新披露的“1-Day漏洞”来攻击公共面向服务器。这些漏洞是知名的未补丁安全缺陷，Magnet Goblin展示了其在披露概念验证之后不久进行攻击的出色能力。该组织采用了多样化的网络武器库，包括NerbianRAT和WARPWIRE，这允许他们执行多样化的网络攻击。在最近对Ivanti的利用活动中，研究人员识别到了多种活动，这些活动导致了恶意软件如NerbianRAT Linux版本的下载和部署。Magnet Goblin同时还使用了如ScreenConnect和AnyDesk等远程监控管理工具。

https://blog.checkpoint.com/research/check-point-research-alerts-financially-motivated-magnet-goblin-group-exploits-1-day-vulnerabilities-to-target-publicly-facing-servers/

---

6 CISA因Ivanti安全漏洞紧急下线两系统

二月份，据美国网络安全与基础设施安全局(CISA)披露，黑客通过利用Ivanti产品漏洞成功侵入了其系统。CISA发现Ivanti产品中的安全漏洞被利用后，迅速采取措施下线了两个系统。CISA拒绝透露有关事件详细信息，但消息来源指出，被妥协的系统包括存储关键美国基础设施互依信息的基础设施保护门户和存放私营领域化学安全计划的化学安全评估工具。尽管没有证实这些系统是否已被下线，CISA建议各组织紧急查看其发布的有关警告，并采取高度警惕和全面的网络安全措施。此外，CISA已向全美联邦民用机构下达了指令，要求在2月2日前断开Ivanti Connect Secure和Policy Secure产品的联网，并在2月9日后续通知中指出，只有在打好补丁后才可重新启用。

https://therecord.media/cisa-takes-two-systems-offline-following-ivanti-compromise

---