每日安全简讯(20240322)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Kimsuky团伙利用Windows帮助文件进行网络攻击

据研究人员透露，臭名昭著的朝鲜黑客团伙Kimsuky已开始采取新的网络攻击手段。Kimsuky一直偏爱使用钓鱼攻击，有时还会通过长时间的社会工程学手段冒充学者或媒体人与目标建立联系。他们之前的攻击中，受害者会收到加载了恶意软件的问卷。虽然研究人员尚不确定该团伙如何分发其最新的攻击载荷，但它们确信包括有毒的Microsoft编译的HTML帮助(CHM)文件，以及ISO、VHD、ZIP和RAR文件。由于CHM文件能执行JavaScript，Kimsuky对它们越发感兴趣。研究人员检查了他们认为是Kimsuky的一个CHM文件，发现了“一个使用HTML和ActiveX在Windows机器上执行任意命令的例子，通常用于恶意目的。”这种恶意软件会安装一个VBScript，并修改Windows注册表以确保在系统启动时运行团伙的脚本。该脚本会收集受害者计算机的信息、运行的进程、最近的Word文件，并列出目录及其内容。

https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group/

---

2 新型网络钓鱼攻击运用Office漏洞部署NetSupport恶意软件

一种新型网络钓鱼活动正在针对美国组织，其目的是部署名为NetSupport RAT的远程访问木马。研究人员正在追踪这一活动，称其为“Operation PhantomBlu”。PhantomBlu行动引入了一种新颖的利用方法，通过利用OLE(对象链接与嵌入)模板操控，巧妙地利用Microsoft Office文档模板来执行恶意代码，同时规避检测，背离了NetSupport RAT的典型传输机制。NetSupport RAT是合法远程桌面工具NetSupport Manager的恶意变种，使得攻击者能在受损的终端上进行一系列数据收集行动。这次攻击从一封假装是会计部门发送、主题涉及工资的钓鱼邮件开始，诱使收件人打开附件中的Microsoft Word文档查看“月度工资报告”。仔细分析邮件头部——特别是Return-Path和Message-ID字段——表明攻击者通过一个名为Brevo(前身为Sendinblue)的合法电子邮件营销平台发送邮件。一旦打开Word文档，受害者被指引输入邮件正文中提供的密码并启用编辑，继而双击嵌入在文档中的打印机图标查看工资图表。这样做实际上会打开一个包含Windows快捷方式文件的ZIP归档文件("Chart20072007.zip")，该快捷方式作为PowerShell拖放者，从远程服务器检索和执行NetSupport RAT二进制文件。

https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/

---

3 黑客积极利用JetBrains TeamCity漏洞传播恶意软件

根据研究人员的报告，多个威胁行为者正在积极利用JetBrains TeamCity最近曝光的安全漏洞来发动攻击。研究人员报告称，攻击者可以利用CVE-2024-27198进行广泛的恶意活动，包括投放Jasmin勒索软件、部署XMRig加密货币挖矿程序、部署Cobalt Strike信标、部署SparkRAT后门、执行域发现和持久性命令等。攻击者借此安装恶意软件，与指挥控制服务器联系，并执行其他命令，如部署Cobalt Strike信标和远程访问木马。这些恶意活动不仅对敏感数据和关键系统的保密性、完整性和可用性构成威胁，还会给受影响的组织带来财务和运营风险，因此迅速采取行动减轻这些漏洞的危害并防止勒索软件敲诈和其他恶意软件造成进一步损失至关重要。

https://www.trendmicro.com/en_us/research/24/c/teamcity-vulnerability-exploits-lead-to-jasmin-ransomware.html

---

4 Ivanti漏洞遭大规模攻击活动利用

研究人员报告显示，此次活动主要以两个漏洞为目标：CVE-2023-46805，一种高严重性的验证绕过漏洞，以及CVE-2024-21887，一种关键严重性的命令注入漏洞。黑客通过串联这两个漏洞获得了远程执行任意命令的能力。这些漏洞的详情于2024年1月10日公开披露，并迅速有相应的概念验证(POC)代码作为流行的Metasploit攻击框架的攻击模块发布。首批报告显示，一名黑客自2023年12月起开始利用这些目标，该行为持续增长，因为更多的网络犯罪分子将这些漏洞和技术纳入他们的攻击工具集。这些信息，加上最近的Shodan查询显示，可能有近三万个设备在线，这暗示了组织需要确保他们已做好准备并充分保护自己以抵御当今的网络威胁。研究人员发现最近的活动与金钱驱动的威胁行为者“Magnet Goblin”有关，由Check Point提出。美国网络安全与基础设施安全局(CISA)最近证实，其Ivanti产品遭到了恶意活动的入侵。CISA的事件细节目前还不太清楚，但据了解，黑客已经从受损的设备上窃取了凭据，并部署了webshell和反向shell以获得并维持持久性。

https://www.varonis.com/blog/increased-threat-activity-targeting-ivanti-vulnerabilities

---

5 新型“Loop DoS”攻击威胁30万系统

研究人员发现了一种名为“Loop DoS”的新型拒绝服务(DoS)攻击方式，该攻击通过UDP漏洞针对应用层协议，创建无限循环通信，影响约30万主机。与传统的滥用大量流量使系统不堪重负的DoS攻击不同，“Loop DoS”攻击利用了UDP(面向无连接的协议)不验证消息的特性，通过伪造IP地址制造服务器间的无休止通信，导致服务不可用。这种攻击可以影响DNS、NTP、TFTP等常用协议，以及Echo和Chargen这样的传统协议。尽管目前还未发现该漏洞被广泛利用，但此现象展示了网络安全威胁的演变和网络犯罪分子的高级化。系统管理员和IT安全专家需通过阻止使用UDP协议、转向采用认证和监控的TCP通信等手段来减少威胁。

https://cispa.de/en/loop-dos

---

6 Atlassian修复Bamboo关键SQL注入漏洞

Atlassian公司近期修补了旗下Bamboo、Bitbucket、Confluence和Jira等多个产品中的数十个漏洞，其中包括一个评级为10分(即最危险级别)的关键SQL注入漏洞。该漏洞，编号为CVE-2024-1597，影响Bamboo Data Center和Server版本中的第三方依赖org.postgresql:postgresql。根据官方发布的警告，未经验证的攻击者可能利用此漏洞访问并操纵环境中的敏感资产，对保密性、完整性和可用性造成高度冲击，无需用户交互即可触发。该漏洞影响的产品版本包括从8.2.1到9.5.0的多个版本，而Atlassian推出的9.6.0 (LTS)、9.5.2、9.4.4和9.2.12 (LTS)版本已修复了这一缺陷。公司同时也修复了一个DoS(拒绝服务)软件问题，编号为CVE-2024-21634，影响同样的产品，并带来了7.5的CVSS评分。该漏洞无法影响保密性和完整性，但可使服务不可用，同样无需用户交互即可触发。受该漏洞影响的产品版本也与上述SQL注入漏洞相同。

https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html

---