每日安全简讯(20240328)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 针对Ray人工智能框架的新ShadowRay行动

近日，研究人员披露了一起名为"ShadowRay"的全球性网络攻击活动，这是首次有记录的针对广泛应用的开源人工智能框架Ray的活动性攻击。关键安全漏洞CVE-2023-48022自七个月前以来一直未被修补，该漏洞使得数千家公司的人工智能基础设施面临被恶意利用的风险，攻击者不仅能劫持计算资源进行加密货币挖矿，还有可能泄露敏感数据。受影响的行业包括教育、金融和医疗保健，Uber、亚马逊和Netflix等大公司也使用了Ray框架。研究人员发现了数百个遭到攻击的集群，这些集群中的节点(即连接到集群的机器)大多数包含昂贵且难以获得的GPU，被攻击者用来挖掘加密货币。这一基础设施因此成为攻击者的重点目标，不仅因为他们能够获得敏感的价值信息，而且因为GPU的高价和稀缺性。Ray目前在GitHub上拥有3万星，表明其被包括蚂蚁集团、Uber、亚马逊、LinkedIn等领先组织广泛应用于生产环境。

https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild

---

2 TheMoon变种植入4万多台设备助力匿名代理服务

据研究人员报道，TheMoon恶意软件的一种新变体近期在全球范围内感染了数万台过时的小型办公和家庭路由器以及物联网(IoT)设备。其目标为已到使用寿命的家用/小型办公室(SOHO)路由器和IoT设备，1月和2月期间，有超过40000台过期设备在88个国家受到感染。TheMoon僵尸网络自2014年首次被发现活动，其运营者自2017年起至少在该恶意软件代码中加入了6种IoT设备的漏洞利用代码。该网络瞄准的是来自多家供应商的宽带调制解调器或路由器，包括Linksys、ASUS、MikroTik、D-Link和GPON路由器。最新发现的TheMoon变种正针对88个国家的超过4万个僵尸网络进行攻击。大多数僵尸网络与一个臭名昭著的、专为网络罪犯提供的匿名代理服务“无面”(Faceless)有关。

https://blog.lumen.com/the-darkside-of-themoon/

---

3 最新报告表明API调用安全风险增加

根据Imperva的《2024年API安全状况报告》，在2023年，互联网流量中高达71%源自应用程序编程接口(API)调用。企业网站在2023年平均经历了约15亿次API调用。随着数字服务向客户更快更高效的提供压力不断增加，尽管采用了shift-left框架和软件开发生命周期(SDLC)流程，API仍然在未编目、未认证或未审核的情况下上线。平均而言，组织在生产中有613个API端点，并且这一数字在迅速增长，时间推移这些API可能变成高风险、易受攻击的端点。报告总结，API已成为网络犯罪分子的常见攻击途径，因其直接访问敏感数据的途径。研究人员的研究发现，与API相关的安全事故每年让全球企业损失高达750亿美元。

https://thehackernews.com/2024/03/apis-drive-majority-of-internet-traffic.html

---

4 恶意NuGet软件包曝光针对开发人员

研究人员最近发现NuGet包管理器中出现了一个可疑软件包SqzrFramework480，这个软件包很可能是为了瞄准使用精密工业和数字设备制造商工具的开发者而设计。研究人员指出，该软件包自2024年1月24日首次发布以来，已被下载2999次。该安全公司表示目前没有发现其他具有相似行为的软件包。这一行动被推测很可能用于对装备了摄像头、机器视觉和机械臂的系统进行工业间谍活动。SqzrFramework480软件包图标使用的是该公司版本的Logo，由NuGet用户“zhaoyushun1999”上传。软件库中包含一个DLL文件"SqzrFramework480.dll"，该文件具有截屏、每30秒向远程IP地址发送ping请求直到操作成功以及通过创建并连接到上述IP地址的套接字传输截屏的功能。尽管这些行为并非彻底恶意，但当这些行为结合在一起时，确实令人担忧。

https://www.reversinglabs.com/blog/suspicious-nuget-package-grabs-data-from-industrial-systems

---

5 新型网络钓鱼攻击伪装银行通知传播键盘记录器

研究人员发现了一场新型网络钓鱼攻击，威胁者通过伪装成银行支付通知的电子邮件，诱导用户打开附加的压缩文件。该压缩文件隐藏了一个恶意加载程序，用于在受害主机上部署一个称为Agent Tesla的信息窃取器和键盘记录器。这一加载程序运用了混淆技术来逃避检测，并利用复杂的解密方法和多态行为。它能够绕过杀毒软件防御，通过代理服务器和特定的URLs以及用户代理来检索其有效载荷，以此进一步隐藏其流量。攻击中所使用的加载器是用.NET编写的，研究者发现了两种不同的变体，每种都采用不同的解密程序来获取其配置，并最终从远程服务器检索经过异或编码的Agent Tesla有效载荷。在最后阶段，加载器将Agent Tesla解码并在内存中执行，使得攻击者能够通过使用一个在土耳其合法的安全系统供应商的被泄露电子邮件账户隐秘地窃取敏感数据。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader/

---

6 美国连锁餐厅面包先生IT系统全国性中断

美国连锁餐饮巨头面包先生(Panera Bread)遭受全国性IT系统中断，影响了在线订餐、销售点(POS)系统、电话以及各种内部系统。员工报告称，尽管所有店面均正常营业，但因系统仍未恢复，仅接受现金支付，会员无法兑换积分。店内自助服务终端及员工排班系统也都无法访问。面包先生在周日通过Facebook告知顾客，正努力尽快解决临时中断问题，并建议到店与工作人员直接下单。此外，自周六起，该连锁店的网站和移动应用程序均已中断，应用程序目前无法使用，告知顾客公司正在进行“必要的系统维护和增强”。面包先生还未发布关于此次中断的官方声明，但事故发生在周末以及受影响的服务范围广泛，这使得人们猜测可能是遭受了网络攻击。因为通常黑客会利用周末较少员工监测网络和检测异常行为的时机发起攻击。

https://www.bleepingcomputer.com/news/security/panera-bread-experiencing-nationwide-it-outage-since-saturday/

---