每日安全简讯(20240419)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FIN7组织针对美国汽车行业进行网络钓鱼攻击活动

FIN7组织针对一家美国大型汽车制造商，向其IT部门的员工发送鱼叉式网络钓鱼电子邮件，以投递Anunak后门。电子邮件中的链接将指向“advanced-ip-sccanner[.]com”，该域名对合法域名“advanced-ip-scanner[.]com”进行了模仿。研究人员发现，该虚假网站重定向到“myipscanner[.]com”（现已离线）。接下来，访问者将被带到一个Dropbox页面，该页面提供伪装成Advanced IP Scanner的恶意可执行程序（'WsTaskLoad.exe'）。该程序执行后，会触发一个涉及DLL、WAV文件和shellcode执行的多阶段流程，从而加载和解密一个名为“dmxl.bin”的文件，其中包含Anunak后门。Anunak/Carbanak是FIN7组织常使用的几种恶意软件工具之一。

https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry

---

2 攻击者针对存在漏洞的Atlassian服务器部署Cerber勒索软件

攻击者正在针对存在漏洞的Atlassian服务器部署Cerber（又名C3RB3R）勒索软件的Linux变种。这些攻击利用了CVE-2023-22518（CVSS 评分：9.1），这是一个影响Atlassian Confluence数据中心和服务器的严重安全漏洞，允许未经身份验证的攻击者重置Confluence并创建管理员帐户。研究人员称，已观察到出于经济动机的网络犯罪组织滥用新创建的管理员帐户来安装Effluence Web shell插件并在主机上执行任意命令，攻击者使用这个Web shell下载并运行Cerber勒索软件。

https://www.cadosecurity.com/blog/cerber-ransomware-dissecting-the-three-heads

---

3 研究人员披露名为SoumniBot的新型安卓恶意软件

研究人员近期发现一种名为“SoumniBot”的新安卓恶意软件，使用一种不太常见的混淆方法，该方法使SoumniBot能够规避安卓手机中的标准安全措施并执行信息窃取操作。清单文件（“AndroidManifest.xml”）位于每个应用的根目录中，包含有关组件（服务、广播接收器、内容提供商）、权限和应用数据的详细信息。恶意APK可以使用Zimperium的各种压缩技巧来欺骗安全工具并规避分析，但研究人员发现，SoumniBot使用了三种不同的方法，涉及操纵清单文件的压缩和大小，以绕过解析器检查。该恶意软件启动后，从硬编码的服务器地址请求其配置参数，并发送受感染设备的分析信息，包括编号、运营商等。接下来，它会启动一个恶意服务，如果停止，该服务每16分钟重新启动一次，并每15秒传输一次来自受害者的被盗数据，窃取的详细信息包括IP地址、联系人列表、帐户详细信息、短信、照片、视频和网上银行数字证书。

https://securelist.com/soumnibot-android-banker-obfuscates-app-manifest/112334

---

4 僵尸网络利用CVE-2023-1389进行大规模传播

2023年，研究人员披露了一个命令注入漏洞CVE-2023-1389，并为TP-Link Archer AX21（AX1800）的 Web管理界面开发了修复程序。最近，研究人员观察到针对该漏洞的多次攻击活动，主要涉及Moobot、Miori、基于Golang的代理“AGoent”和Gafgyt Variant等僵尸网络。尽管漏洞CVE-2023-1389已在去年被披露，但许多攻击活动仍在利用该漏洞显著峰值。用户应警惕僵尸网络，及时应用补丁以保护网络环境免受感染。

https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread

---

5 Debian修复了多个GTKWave漏洞

最近，Debian安全团队修复了GTKWave中的多个安全漏洞。GTKWave是一个用于VCD（值更改转储）文件的开源波形查看器。这些漏洞如果被利用，可能会导致任意代码的执行，从而对用户构成重大风险。此次安全更新共解决了82个已识别的漏洞。建议用户将GTKWave软件包升级到固定版本。

https://tuxcare.com/de/blog/several-gtkwave-vulnerabilities-fixed-in-debian

---

6 Oracle发布2024年4月安全更新


Oracle发布了2024年4月的安全更新，解决了多个产品中的372个漏洞。关键补丁更新修复了Oracle产品中的安全漏洞，包括数据库服务器、融合中间件、企业管理器、电子商务套件、供应链产品套件、Siebel CRM、Oracle Sun产品、Java SE等。此次更新包括对几个关键安全漏洞的修复，这些漏洞可能允许攻击者远程执行代码、操作数据或未经授权访问系统。修复的漏洞跨越多个严重级别，其中34个被归类为“Critical”，这意味着攻击者可以利用它们来获得未经授权的访问、执行任意代码或中断系统操作。此更新还修复了159个严重性等级为“Important”的漏洞，这些漏洞可被远程利用来访问敏感数据。其余问题被分类为中危或低危。

https://cybersecuritynews.com/alert-oracle-releases-critical-patch-update-2024

---