每日安全简讯(20240314)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FakeUpdates恶意软件活动以WordPress为目标

全球数百万使用WordPress内容管理系统的网站正面临被恶意软件攻击的风险。根据研究人员于2024年2月发布的全球威胁指数报告，揭露了名为FakeUpdates或SocGholish的恶意软件活动，此活动通过黑客攻击管理员账户来侵入WordPress站点。该恶意软件使用了修改过的合法WordPress插件等手段，以欺骗用户下载远程访问木马。尽管自2017年以来多方面进行了抵抗，但FakeUpdates活动仍持续存在，对网站安全构成了重大威胁。恶意软件主要针对带有内容管理系统的网站，诱骗用户下载恶意软件。该活动与俄罗斯网络犯罪团伙Evil Corp有关，并被认为通过出售对受感染系统的访问权限来赚取收入。

https://blog.checkpoint.com/research/february-2024s-most-wanted-malware-wordpress-websites-targeted-by-fresh-fakeupdates-campaign/

---

2 FakeBat通过多个活跃的恶意广告活动传播

2024年2月，搜索引擎广告欺诈活动数量几乎翻倍，其中FakeBat恶意软件通过利用多种伪装手段，成功规避检测。根据研究人员发布的报道，这个独特的恶意软件家族通过包含大量混淆PowerShell代码的MSI安装程序传播。分发该恶意软件的恶意广告商曾利用同一短链接服务，但随后开始尝试新的重定向手段，并特别利用合法网站绕过安全检查。最近的攻击活动多样化，目标着不同品牌，包括OneNote、Epic Games、Ginger以及Braavos智能钱包应用等。这些恶意域名大多托管在俄罗斯的DataLine服务商上。每个下载的文件都是用Consoneai Ltd.的有效数字证书签名的MSIX安装程序。安装程序中包含了特定的PowerShell脚本，一旦运行，这些脚本将与攻击者的命令控制服务器建立连接，并对有价值的受害者进行进一步利用。

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

---

3 新型Vcurms恶意软件瞄准流行浏览器窃取数据

研究人员近日发现了名为Vcurms的新型恶意软件，该软件通过利用云服务攻击受欢迎的浏览器和应用程序进行登录信息和数据盗窃。Vcurms通过电子邮件作为指挥控制中心，并采用AWS和GitHub等公共服务来存储恶意软件，同时还使用商业防护软件来规避侦测，显示出攻击者最大程度发挥恶意软件影响力的有组织努力。该恶意软件主要针对安装有Java的平台，对所有使用这些系统的组织构成威胁。一旦成功入侵，攻击者即可完全控制受损系统。攻击手段和技术上，攻击者引诱用户下载恶意Java下载器，该下载器作为传播Vcurms和冒充假勒索软件感染的STRRAT特洛伊木马的载体。这些恶意邮件通常伪装成合法请求，敦促收件人验证支付信息并下载托管在AWS上的有害文件。下载后，Vcurms展现出经典的网络钓鱼特征，运用伪装名称和混淆字符串来隐藏其恶意本质。它利用一个名为“DownloadAndExecuteJarFiles.class”的类来帮助下载和执行额外的JAR文件，进一步扩大攻击者的控制范围。

https://www.fortinet.com/blog/threat-research/vcurms-a-simple-and-functional-weapon

---

4 BIPClip攻击活动利用Python包索引窃取加密钱包

研究人员在Python包索引(PyPI)库中发现了一组旨在窃取用于恢复加密货币钱包私钥的BIP39助记词短语的七个软件包，这一软件供应链攻击活动被研究人员命名为BIPClip。这些软件包在被从PyPI中删除之前总共被下载了7451次。这些软件包针对的是从事生成和保护加密货币钱包相关项目的开发人员，并且自2022年12月4日首次发布以来就一直活跃。研究人员的报告中指出：“这只是利用软件供应链攻击加密资产的最新活动。它证实了加密货币继续是供应链威胁行为者最热门的攻击目标之一。”其中一个软件包—mnemonic_to_address—为了避免被侦测，除了列出含有恶意组件的bip39-mnemonic-decrypt作为其依赖项外，没有任何恶意功能。

https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords

---

5 微软3月更新修复61个安全漏洞包含关键Hyper-V缺陷

微软于周二发布了月度安全更新，解决了其软件中的61个不同安全缺陷，包括两个影响Windows Hyper-V的关键问题，这可能导致拒绝服务(DoS)和远程代码执行。在这61个漏洞中，两个被评为关键级别，58个被评为重要级别，一个被评为低危险级别。发布时，这些漏洞中没有一个被公开披露或处于活跃攻击状态，但有六个被评估为“更有可能被利用”。这些修复是对自2024年2月补丁周二更新以来，该公司基于Chromium的Edge浏览器已经修补的17个安全漏洞的补充。关键漏洞列表的首位是影响Hyper-V的CVE-2024-21407和CVE-2024-21408，它们分别可能导致远程代码执行和拒绝服务状况。微软的更新还解决了Azure Kubernetes服务保密容器(CVE-2024-21400，CVSS评分：9.0)、Windows复合图像文件系统(CVE-2024-26170，CVSS评分：7.8)及Authenticator(CVE-2024-21390，CVSS评分：7.1)中的权限提升漏洞。

https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar

---

6 2023年GitHub平台泄露超1200万份认证秘钥

GitHub用户在2023年意外公开了超过320万个公共仓库中的约1280万个认证和敏感秘钥，大多数在五天后仍然有效。所泄露的秘钥包括账户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭据、OAuth令牌等敏感数据，这些数据的泄露可能会让外部人员无限制地访问各种私有资源和服务，导致数据泄露和财务损失。根据Sophos2023年的报告显示，在年初半年度记录的所有攻击中，50%源于凭证泄露，其次是漏洞利用造成的攻击方式占23%。自2020年以来，GitGuardian指出GitHub上的秘钥泄露呈现负面趋势。2023年，生成式AI工具继续爆炸式增长，这也反映在去年GitHub上泄露的相关秘钥数量上。研究人员观察到与2022年相比，OpenAI API密钥在GitHub上泄露的数量增长了1212倍，平均每月泄露46441个API密钥，成为该报告中增长最快的数据点。

https://www.gitguardian.com/state-of-secrets-sprawl-report-2024

---