每日安全简讯(20240513)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯APT28组织针对波兰机构开展大规模恶意软件活动

波兰政府机构已成为由与俄罗斯有联系的民族国家组织APT28精心策划的大规模恶意软件活动的一部分。计算机紧急响应小组 CERT Polska在周三的公告中表示： “该活动发送的电子邮件内容旨在引起收件人的兴趣并说服他点击链接。”单击该链接会将受害者重定向到 run.mocky[.]io 域，该域又用于重定向到另一个名为 webhook[.]site 的合法网站，这是一项免费服务，允许开发人员检查正在发送的数据通过网络钩子，以逃避检测。

https://cert.pl/en/posts/2024/05/apt28-campaign/

---

2 Monday.com项目管理平台删除了被滥用于网络钓鱼攻击的共享更新功能

在攻击者在网络钓鱼攻击中滥用“共享更新”功能后，项目管理平台 Monday.com 已删除该功能。Monday.com 是一个基于云的项目管理平台，允许团队使用自动化工作流程和仪表板来组织和管理他们的工作。该平台有 225000 名客户使用，包括可口可乐、Canva、LionsGate、Oxy、Compass 和 Zippo。周二，Monday.com 的客户担心该公司在从其电子邮件帐户收到网络钓鱼电子邮件后受到了损害。这些电子邮件是使用 SendGrid 发送的，来自notification@monday.com，通过了 SPF、DMARC 和 DKIM 身份验证。

https://www.bleepingcomputer.com/news/security/mondaycom-removes-share-update-feature-abused-for-phishing-attacks/

---

3 研究人员发现了针对云托管人工智能模型的LLMjacking攻击活动

网络安全研究人员发现了一种新颖的攻击，该攻击利用窃取的云凭据来针对云托管的大语言模型 (LLM) 服务，其目的是向其他威胁参与者出售访问权限。研究团队将这种攻击技术代号为LLMjacking。一旦获得初始访问权限，他们就会窃取云凭据并获得对云环境的访问权限，并试图访问云提供商托管的本地 LLM 模型。在这种情况下，Anthropic 的本地 Claude (v2/v3) LLM 模型成为目标。用于实施该计划的入侵途径需要破坏运行 Laravel Framework 的易受攻击版本（例如CVE-2021-3129）的系统，然后获取 Amazon Web Services (AWS) 凭据以访问 LLM 服务。

https://sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack/

---

4 Mirai僵尸网络利用Ivanti Connect安全漏洞进行恶意Payload传输

最近披露的 Ivanti Connect Secure (ICS) 设备中的两个安全漏洞正被用来部署臭名昭著的Mirai 僵尸网络。研究人员表示漏洞CVE-2023-46805 和 CVE-2024-21887已被利用来传递僵尸网络有效Payload。CVE-2023-46805 是一个身份验证绕过漏洞，而 CVE-2024-21887 是一个命令注入漏洞，从而允许攻击者将两者链接到漏洞利用链中以执行任意代码并接管易受影响的实例。网络安全公司观察到的攻击链中，利用CVE-2023-46805获取“/api/v1/license/key-status/;”的访问权限端点，该端点容易受到命令注入的攻击，并注入有效负载。

https://blogs.juniper.net/en-us/security/protecting-your-network-from-opportunistic-ivanti-pulse-secure-vulnerability-exploitation

---

5 工业物联网设备中广泛使用的调制解调器容易受到短信攻击

Telit Cinterion 蜂窝调制解调器广泛应用于工业、医疗保健和电信等领域，其安全漏洞可能允许远程攻击者通过短信执行任意代码。安全研究人员去年 11 月披露了一组八个独立问题，其中七个标识符为 CVE-2023-47610 到 CVE-2023-47616，另一个尚未注册。在发布安全问题之前，安全公司已于 2023 年 2 月向供应商报告了这些问题。周六，在柏林举行的 OffectiveCon 会议上，Alexander Kozlov 和 Sergey Anufrienko 将提供有关安全问题的低级技术细节，以及威胁行为者如何利用它们来控制易受攻击的 Telit Cinterion 设备。

https://ics-cert.kaspersky.com/vulnerabilities/

---

6 攻击者滥用戴尔API并窃取了4900万条客户记录导致数据泄露

最近戴尔数据泄露事件背后的威胁者透露，他们使用以假冒公司身份访问的合作伙伴门户 API 抓取了 4900 万条客户记录的信息。戴尔已开始发送通知，警告客户他们的个人数据在数据泄露中被盗。此次数据泄露包含客户订单数据，包括保修信息、服务标签、客户姓名、安装位置、客户编号和订单编号。4 月 28 日，名为 Menelik 的威胁行为者在 Breached 黑客论坛上出售这些数据，版主很快就删除了该帖子。 Menelik 发现了一个可用于查找订单信息的合作伙伴、经销商和零售商的门户网站，从而窃取了数据。

https://www.bleepingcomputer.com/news/security/dell-api-abused-to-steal-49-million-customer-records-in-data-breach/

---