每日安全简讯(20240316)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 印度Android用户钓鱼诈骗活动日趋猖獗

研究人员报告，自2023年3月起至今，印度Android用户成为了钓鱼诈骗软件活动的目标。这种恶意软件已经发展成一个服务形式，涵盖了800多个应用程序，并感染了超过3700台设备。钓鱼页面设计用于易于欺骗的场景，比如电费付款、预约医院和快递预定等。这些页面会在不同应用程序中加载，最后出售给诈骗者。诈骗者通常通过电话、短信、电子邮件或社交应用程序联系受害者，通知他们需要重新安排服务，引诱他们下载应用并提交个人信息。此外，该恶意软件能通过钓鱼网页窃取银行账户信息，甚至能偷取设备上的短信，让诈骗者即便绕过OTP认证也能转移资金。研究人员将这种威胁识别为Android/SmsSpy。此外，研究人员揭露了一家名为ELVIA INFOTECH的网络犯罪集团，他们作为服务提供者出售这些钓鱼网页和恶意软件，并在Telegram群组中进行交易。这些恶意应用程序通常会假装是“客户支持”或者是一些在印度流行的快递公司，诱骗受害者点击假图标并攻击他们。该恶意软件不但能通过钓鱼页盗取个人信息，还会请求发送和查看短信的权限，以截获包含一次性密码(OTP)的短信，协助完成银行交易。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india/

---

2 DarkGate活动利用微软零日漏洞进行攻击

研究人员在2024年1月中旬发现了一个名为DarkGate的攻击活动，该活动利用了Windows零日漏洞CVE-2024-21412。研究人员报告称，APT组织“水木马”(Water Hydra)利用CVE-2024-21412漏洞进行了零日攻击。DarkGate远程访问木马(RAT)使用Borland Delphi编写，并以恶意软件即服务(MaaS)模式存在于网络犯罪生态系统中，被认为是一个复杂的威胁，并且持续进行优化。自2018年起，DarkGate活动支持包括进程注入、下载与执行文件、信息盗窃、执行shell命令及键盘记录等功能，其恶意负载还采用多种规避技术。攻击链的分析开始于利用PDF附件的网络钓鱼信息，该PDF含有一个精心构建的链接。威胁行为者在PDF文件中部署了来自doubleclick[.]net域的开放重定向。当受害者点击链接时，会被重定向到一个托管.URL因特网快捷方式文件的受损Web服务器，该文件利用了CVE-2024-21412漏洞。威胁行为者使用开放重定向分发假冒的Microsoft软件安装程序(.MSI)，它们假装是包括Apple iTunes、Notion、NVIDIA等正版软件。

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

---

3 RedCurl团伙利用Windows PCA工具进行企业间谍活动

俄语网络犯罪组织RedCurl正在利用一个名为程序兼容性助手(PCA)的合法微软Windows组件执行恶意命令。研究人员分析中指出，该服务(pcalua.exe)原本设计用来识别和解决与旧程序的兼容问题，但敌对方可以利用这个工具作为命令行解释器的替代，以此执行命令并绕过安全限制。RedCurl组织自2018年起活跃，以企业间谍活动面向位于澳大利亚、加拿大、德国、俄罗斯、斯洛文尼亚、英国、乌克兰和美国的实体发起攻击。研究人员观察的攻击链包括使用含有恶意附件(.ISO和.IMG文件)的网络钓鱼电子邮件，启动一个多阶段的过程，该过程首先通过cmd.exe从远程服务器下载名为curl的合法工具，然后用作传递装载器(ms.dll或ps.dll)的渠道。接着，恶意的DLL文件运用PCA来启动一个下载器进程，该进程负责与curl之前使用的同一域建立连接，获取装载器。攻击中还利用了Impacket这款开源软件来执行未授权的命令。根据指挥控制(C2)基础设施的重叠以及与该组织使用的已知下载器制品的相似性，分析人员将攻击与Earth Kapre团队联系起来。

https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

---

4 关键FortiClient EMS漏洞PoC被出售

研究人员最近修复了其FortiClient Endpoint Management Server(EMS)解决方案中的一个SQL注入漏洞(CVE-2023-48788)，这似乎引起了许多人的兴趣：研究人员的攻击团队计划下周发布技术细节和概念验证Exploit，而有人正试图通过GitHub以不到300美元的价格出售一个PoC。关于CVE-2023-48788，这是Fortinet最近修补的几个漏洞之一。在星期三，有人在GitHub建立了一个页面，宣传针对CVE-2023-48788的“新Exploit”，并链接到了SatoshiDisk.com上的一个帖子，那是一个基于Web的平台，用户可以上传他们想出售的文件，其他用户如果支付设定的价格就可以下载。但问题在于，购买之前无法检查PoC是真是假。研究人员指出，该漏洞不影响Fortinet网关设备，而是FortiClient EMS，这些设备不太可能通过互联网到达。根据Shodan等站点的数据，目前大约只有几百个系统暴露在外。

https://fortiguard.fortinet.com/psirt/FG-IR-24-007

---

5 思科修复高危提权和拒绝服务漏洞

思科本周修补了其IOS XR软件中的高危权限提升和拒绝服务(DoS)漏洞。思科解决了IOS XR软件中的多个漏洞，其中包括三个高危漏洞，这些漏洞可被用于提升权限和触发拒绝服务(DoS)状态。漏洞CVE-2024-20320是一个思科IOS XR软件SSH权限提升漏洞。该问题存在于思科8000系列路由器和思科网络融合系统(NCS)540和5700系列路由器的Cisco IOS XR软件的SSH客户端功能中。经过认证的本地攻击者可以利用这个漏洞在受影响的设备上提升权限。思科修复的第二个高危漏洞，跟踪编号为CVE-2024-20318，存在于思科IOS XR软件的第2层以太网服务中。一个未经认证的、邻近的攻击者可以触发该漏洞，导致线卡网络处理器重置，从而导致拒绝服务(DoS)状态。第三个高危漏洞，跟踪编号为CVE-2024-20327，是ASR 9000系列路由器的以太网上的点对点协议(PPPoE)终止功能的DoS漏洞。一个未经认证的、邻近的攻击者可以触发该漏洞，导致ppp_ma进程崩溃，从而引发拒绝服务(DoS)状态。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ssh-privesc-eWDMKew3

---

6 法国政府数据泄露暴露4300万民众信息

法国政府部门——负责注册和帮助失业人员的France Travail——最近成为一起大规模数据泄露的受害者，这次泄露影响了多达4300万公民的信息。France Travail在周三宣布，已将此次涉及包含20年个人信息的事件通报给该国的数据保护监管机构CNIL。泄露的数据包括姓名、出生日期、社会保障号码、France Travail标识符、电子邮件地址、邮政地址和电话号码，好在密码和银行详情没有受到影响。然而，CNIL警告说，此次泄露中被窃数据可能与其他数据泄露中被盗数据相关联，用于构建关于任何特定个人的更大信息库。目前尚不清楚攻击者是否窃取了数据库的全部内容，但声明暗示至少有部分数据被提取。这次据称非法提取的数据库包含了目前注册在册的人员、过去20年注册过的人员，以及那些虽未在求职者名单上却在francetravail.fr上拥有候选人空间的人员的个人身份数据。

https://www.francetravail.fr/candidat/soyez-vigilants/cyberattaque-soyez-vigilants.html

---