每日安全简讯(20240520)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Storm-1811组织利用Microsoft的快速协助功能进行勒索软件攻击

研究人员表示，它发现一个名为Storm-1811的威胁行为者滥用客户端管理工具Quick Assist来针对用户进行社会工程攻击。Storm-1811是一个出于经济动机的网络犯罪组织，以部署Black Basta勒索软件而闻名。该攻击链涉及通过语音网络钓鱼进行模拟，诱骗毫无戒心的受害者安装远程监控和管理(RMM)工具，然后传播QakBot、Cobalt Strike，最终传播Black Basta勒索软件。攻击者滥用Quick Assist功能来执行社会工程攻击，例如，冒充微软技术支持等可信联系人或目标用户公司的IT专业人员，以获得对目标设备的初始访问权限。

https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/

---

2 攻击者利用DNS隧道进行网络扫描跟踪目标发起网络攻击

攻击者正在使用域名系统(DNS)隧道来跟踪其目标何时打开网络钓鱼电子邮件并单击恶意链接，并扫描网络以查找潜在漏洞。DNS隧道是对通过DNS查询发送和检索的数据或命令进行编码，本质上是将DNS（基本网络通信组件）转变为隐蔽的通信通道。攻击者以各种方式对数据进行编码，例如Base16或Base64或自定义文本编码算法，因此可以在查询DNS记录（例如TXT、MX、CNAME和地址记录）时返回它们。黑客通常使用DNS隧道来绕过网络防火墙和过滤器，利用该技术进行命令和控制(C2)以及虚拟专用网络(VPN)操作。还有合法的DNS隧道应用程序，例如用于绕过审查制度。

https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/

---

3 CISA警告D-Link路由器漏洞被积极利用应当立刻修补

美国网络安全和基础设施安全局(CISA)周四根据活跃利用的证据，将两个影响D-Link路由器的安全漏洞添加到其已知被利用的漏洞(KEV)目录中。CVE-2014-100005：影响D-Link DIR-600路由器的跨站点请求伪造(CSRF)漏洞，允许攻击者通过劫持现有管理员会话来更改路由器配置。CVE-2021-40655：影响D-Link DIR-605路由器的信息泄露漏洞，允许攻击者通过伪造对/getcfg.php页面的HTTP POST请求来获取用户名和密码。

https://www.cisa.gov/news-events/alerts/2024/05/16/cisa-adds-three-known-exploited-vulnerabilities-catalog

---

4 Windows 10 KB5037768更新发布包含新功能和20个补丁

微软发布了Windows 10 21H2和Windows 10 22H2的KB5037768累积更新，其中包含20项更改，包括开始菜单中的帐户通知和锁定屏幕上的小组件。KB5037768是一个强制性的Windows 10累积更新，包含Microsoft的2024年5月补丁星期二安全更新。Windows用户可以通过进入“设置”、单击“Windows更新”并手动执行“检查更新”来安装此更新。但是，由于此更新是强制性的，因此一旦您检查更新，它将自动开始在Windows中安装。为了使其更易于管理，您可以安排重新启动计算机以完成安装的时间。

https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5037768-update-released-with-new-features-and-20-fixes/

---

5 新的Wi-Fi漏洞可通过降级攻击进行网络窃听

研究人员发现了一个新的安全漏洞，该漏洞源自IEEE 802.11 Wi-Fi标准中的设计缺陷，该漏洞会诱骗受害者连接到安全性较低的无线网络并窃听其网络流量。SSID混淆攻击（编号为CVE-2023-52424）会影响所有操作系统和Wi-Fi客户端，包括基于WEP、WPA3、802.11X/EAP和AMPE协议的家庭和网状网络。该方法涉及通过欺骗受信任的网络名称(SSID)将受害者降级到安全性较低的网络，以便他们能够拦截其流量或进行进一步的攻击。成功的SSID混淆攻击还会导致受信任网络上具有自动禁用功能的任何VPN自行关闭，从而使受害者的流量暴露在外。

https://www.top10vpn.com/research/wifi-vulnerability-ssid/

---

6 谷歌为Android设备推出人工智能盗窃和数据保护功能

谷歌在Android中宣布了一系列隐私和安全功能，其中包括一套高级保护功能，可在发生盗窃时帮助保护用户的设备和数据。这些功能旨在帮助在盗窃企图之前、期间和之后保护数据，并补充说，预计这些功能将通过运行Android 10及更高版本的设备的Google Play服务更新提供。一项新功能是私人空间，它允许用户将敏感应用程序托管在手机的专用区域中，以便可以使用单独的PIN码将其隐藏和锁定。谷歌还增加了一层额外的保护，要求用户在更改敏感设备设置（例如禁用“查找我的设备”或延长屏幕超时），甚至访问关键帐户和设备设置之前输入PIN、密码或生物识别信息。

https://thehackernews.com/2024/05/google-adds-ai-powered-theft-protection.html

---