每日安全简讯(20240317)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型恶意软件BunnyLoader 3.0窃取凭证及加密货币

最近，研究人员揭露了一种名为“BunnyLoader 3.0”的新型恶意软件，此恶意软件专门设计用来窃取用户登录凭证和加密货币，同时能够在操作系统中潜伏不被发现。自2023年9月首次被发现以来，BunnyLoader经过多次升级和增强，以逃避安全检测和提高效能。2024年2月11日，黑客公开了这一恶意软件的最新版本——BunnyLoader 3.0。与前一版本相比，3.0版本在性能上有了90%的显著提升，且有效减少了载荷体积和增强了键盘记录功能，这使得它比以往任何版本都要危险。研究人员的报告不仅揭示了BunnyLoader背后的技术细节，还展示了恶意软件作者用来规避侦测的策略和技术，例如更改文件名、模仿合法应用程序等。这些策略使BunnyLoader能够避开网络安全专家的视线。

https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/

---

2 Kubernetes漏洞可导致Windows节点遭遇提权攻击风险

近日，研究人员公布了一项关于Kubernetes的高危安全漏洞，该漏洞被追踪为CVE-2023-5528，拥有7.2的CVSS评分。此漏洞涉及kubelet的所有版本，自1.8.0版本起。漏洞允许攻击者在特定情况下，通过应用恶意YAML文件于Kubernetes集群，实现以SYSTEM权限的远程代码执行。漏洞影响的是Kubernetes集群中所有的Windows节点，攻击者成功利用该漏洞可完全接管目标集群的Windows节点。Kubernetes维护者在相关安全通告中指出，仅当使用Windows节点的内建存储插件时，Kubernetes集群才会受到影响。此漏洞来源于不安全的函数调用及用户输入的未经消毒处理，尤其是与Kubernetes卷(volumes)功能相关，特别是一种叫做本地卷(local volumes)的类型，该类型允许用户通过指定或创建PersistentVolume，将磁盘分区挂载到一个pod中。漏洞利用链包括在创建包含本地卷的pod时，kubelet服务会触达'MountSensitive()'函数，该函数内部的'exec.command'调用创建了节点上卷位置与pod内部位置之间的符号链接，为攻击者提供了可以利用的漏洞。攻击者可通过在YAML文件中的路径参数设置特制的路径，使用"&&"命令分隔符来触发命令注入和执行。

https://www.akamai.com/blog/security-research/kubernetes-local-volumes-command-injection-vulnerability-rce-system-privileges

---

3 LockBit勒索软件关联公司被判四年监禁并赔偿86万美元

俄罗斯-加拿大网络罪犯Mikhail Vasiliev因涉及LockBit勒索软件行动，被安大略法院判处四年监禁。Vasiliev在2022年11月被捕，并于2024年2月对包括网络敲诈、恶作剧和武器罪在内的八项指控认罪。他是臭名昭著的LockBit勒索软件团伙的关键成员，参与了众多知名攻击事件。据信，Vasiliev涉及的千起网络攻击导致勒索软件团伙提出超过1亿美元的赎金要求。在2021年到2022年期间，包括萨斯喀彻温省、蒙特利尔、纽芬兰及其他加拿大州的多家企业，成为Vasiliev制造系统瘫痪的受害者。Vasiliev的律师表示，他在疫情期间成为网络罪犯，并已对其行为负责。然而，Michelle Fuerst法官称他为“网络恐怖分子”，强调了他那出于贪婪而“冷酷计算”的罪行。除了监禁，Vasiliev还被要求向加拿大受害者赔偿86万美元。他还面临被引渡至美国，在那里将面临额外指控。LockBit网络犯罪团伙一度被视为最活跃的勒索软件即服务行动之一，其行动包括数据窃取、加密，随后进行勒索和在专用暗网门户上泄露数据。随着时间推移，LockBit经历了显著演变，制作了各种版本的加密程序供合作伙伴使用，并在一个全球执法行动打击其活动时几乎发布了其第四个主要版本。这次执法行动伴随着多位高级LockBit成员和核心团队成员的逮捕，美国国务院宣布悬赏高达1500万美元寻人Lockbit团队成员和关联者的信息。尽管执法部门采取了协调有力的打击LockBit的尝试，这个网络犯罪团伙还是在新的基础设施上快速重启了行动，并继续使用更新的加密器和勒索信进行攻击。

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-affiliate-gets-four-years-in-jail-to-pay-860k/

---

4 SIM交换者在eSIM攻击中可劫持电话号码

SIM换号攻击者已经适应了新的攻击手段，通过将受害者的电话号码端口转移到一张新的eSIM卡(一种存储在许多新型智能手机芯片上的可重写数字SIM卡)来窃取该号码。eSIM(嵌入式用户身份识别模块)是存储在移动设备芯片上的数字卡片，与物理SIM卡承担相同的角色和功能，但可以远程重新编程、配置、停用、更换和删除。用户通常可以通过扫描服务提供商的QR码，将eSIM添加到支持该功能的设备上。随着智能手机制造商越来越青睐eSIM，因为eSIM无需SIM卡插槽，还能在小型可穿戴设备上提供蜂窝连接，这项技术逐渐流行起来。研究报告称，自2023年秋以来，俄罗斯及全球的SIM换号者利用向eSIM的转变劫持电话号码，并绕过保护措施访问银行账户。只是在一个金融机构，分析师就记录了一百多次企图访问客户个人在线服务账户的案例。以前，SIM换号攻击者依赖社交工程手段或与移动运营商服务内部人员合作来助攻转移目标号码。然而，随着公司实施更多保护措施防范这类接管行为，网络犯罪分子转而关注新技术的出现机遇。目前，攻击者使用被盗、暴力破解或泄露的凭证入侵用户的移动账户，并自行开始把受害者的号码转移到另一台设备上。他们通过被劫持的移动账户生成可用于激活新eSIM的QR码，然后用自己的设备扫描该QR码，从而实际上劫持了该号码。

https://www.facct.ru/media-center/press-releases/esim-bank-attacks/

---

5 StopCrypt勒索软件新变种规避安全检测

StopCrypt(又名STOP Djvu)勒索软件的新变种最近出现在野外，它采用多阶段执行过程，涉及shellcode来规避安全工具的检测。研究人员发现了野外的一个新变种STOP勒索软件(他们称之为StopCrypt)，现在采用多阶段执行机制。最初，该恶意软件载入一个貌似无关的DLL文件(msim32.dll)，这可能是一种转移注意力的策略。它还实施了一系列长时间延迟循环，这可能有助于绕过与时间相关的安全措施。随后，它在栈上使用动态构建的API调用来分配必要的内存空间，赋予读写和执行权限，使检测变得更困难。StopCrypt利用API调用进行各种操作，包括获取正在运行的进程快照，以了解其运行环境。下一个阶段涉及进程空洞化，其中StopCrypt劫持合法进程并注入其有效负荷，以在内存中隐秘执行。这是通过一系列精心策划的API调用完成的，这些调用可以操纵进程内存和控制流。最终负载执行后，一系列操作将确保该勒索软件的持久性，修改访问控制列表(ACLs)以拒绝用户删除重要的恶意软件文件和目录的权限，并创建计划任务每五分钟执行一次有效负荷。StopCrypt还通过将文件名添加“.msjd”扩展名完成文件加密，但应注意的是，与STOP勒索软件相关的扩展有数百个，因为它们经常改变。最后，在每个受影响的文件夹中创建了一个名为“_readme.txt”的赎金说明文件，向受害者提供支付赎金以检索数据的指导。

https://blog.sonicwall.com/en-us/2024/03/new-multi-stage-stopcrypt-ransomware/

---

6 国际货币基金组织邮箱账户遭黑客攻击

国际货币基金组织(IMF)在上周五披露了今年早些时候其11个电子邮件账户被未知攻击者入侵的网络安全事件。这一由190个会员国资助的国际金融机构，也是总部位于华盛顿特区的联合国主要金融机构。根据发布的新闻稿，IMF在二月份检测到了这次事件，并正在进行调查以评估攻击的影响。到目前为止，IMF未发现证据表明攻击者获得了进入受损电子邮件账户之外的其他系统或资源的访问权限。IMF表示：“国际货币基金组织(IMF)最近经历了一次网络事件，该事件于2024年2月16日被侦测到。随后的调查，得到了独立网络安全专家的协助，确定了入侵的性质，并采取了补救措施。调查确定了11个IMF电子邮件账户受到了泄露。受影响的电子邮件账户已重新保安。我们目前没有迹象表明除这些电子邮件账户之外还有更多的泄露。对这一事件的调查仍在继续。”虽然IMF没有提供有关该事件的更多细节，但该组织确认他们使用基于云的Microsoft 365电子邮件平台。目前尚不清楚这些事件是否与IMF电子邮件账户受到安全泄露的事件有关。

https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

---