每日安全简讯(20240604)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Andariel组织使用新型Dora RAT恶意软件攻击韩国机构

与朝鲜有关的威胁行为者Andariel在其针对韩国教育机构、制造公司和建筑企业的攻击中，使用了一种新的基于Golang的后门程序Dora RAT。这些攻击使用了键盘记录器、信息窃取工具和代理工具等恶意软件，可能用于控制并窃取感染系统中的数据。这些攻击的特点是利用一个存在漏洞的Apache Tomcat服务器来分发恶意软件。韩国的这家网络安全公司指出，该系统运行的是2013年版本的Apache Tomcat，容易受到多种漏洞的攻击。Andariel也被称为Nicket Hyatt、Onyx Sleet和Silent Chollima，是一个自2008年以来代表朝鲜战略利益运作的高级持续性威胁（APT）组织。该组织通常使用鱼叉式网络钓鱼、水坑攻击和已知软件漏洞获取初始访问权并向目标网络分发恶意软件。

https://asec.ahnlab.com/en/66088/

---

2 APT28组织使用HeadLace恶意软件和凭证收集工具攻击欧洲

俄罗斯GRU支持的威胁行为者APT28被指控在一系列攻击活动中，使用HeadLace恶意软件和凭证收集网页，针对欧洲的网络进行攻击。APT28，也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422，是与俄罗斯战略军事情报单位GRU相关的高级持续性威胁（APT）组织。这一黑客团伙操作高度隐秘和复杂，常常通过深度准备和定制工具展示其适应能力，并依赖合法的互联网服务（LIS）和本地二进制文件（LOLBins）在常规网络流量中隐蔽其操作。从2023年4月至12月，BlueDelta在三个不同阶段部署Headlace恶意软件，使用地理围栏技术，主要针对欧洲网络，重点是乌克兰。BlueDelta的间谍活动反映了一种更广泛的策略，旨在收集对俄罗斯在其对乌克兰的持续侵略中具有军事意义的实体的情报。

https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp

---

3 攻击者利用伪造浏览器更新传播BitRAT和Lumma Stealer恶意软件

假浏览器更新正在用于传播远程访问木马（RATs）和信息窃取恶意软件，如BitRAT和Lumma Stealer（又名LummaC2）。假浏览器更新已经导致了众多恶意软件感染，包括著名的SocGholish恶意软件。在2024年4月，我们观察到FakeBat通过类似的假更新机制进行分发。攻击链开始于潜在目标访问一个被植入JavaScript代码的陷阱网站，这些代码旨在将用户重定向到一个伪造的浏览器更新页面（“chatgpt-app[.]cloud”）。重定向的网页嵌入了一个指向ZIP归档文件（“Update.zip”）的下载链接，该文件托管在Discord上，并自动下载到受害者的设备上。值得指出的是，威胁行为者经常利用Discord作为攻击向量。Bitdefender最近的分析发现，在过去六个月内，Discord上分发了超过50000个危险链接，这些链接用于传播恶意软件、网络钓鱼活动和垃圾邮件。

https://www.esentire.com/blog/fake-browser-updates-delivering-bitrat-and-lumma-stealer

---

4 AI公司Hugging Face检测到Spaces平台的未经授权访问可能导致部分密钥泄露

AI公司Hugging Face于周五披露，本周早些时候其Spaces平台检测到未经授权的访问。该公司在公告中表示：“我们怀疑有一部分Spaces的密钥可能被未经授权地访问。”Spaces平台为用户提供创建、托管和分享AI及机器学习（ML）应用程序的途径，同时也作为一个发现服务平台，让用户查找其他人在平台上制作的AI应用程序。为了应对此次安全事件，Hugging Face表示将撤销那些密钥中的若干HF令牌，并通过电子邮件通知受影响的用户。公司补充道：“我们建议您刷新所有密钥或令牌，并考虑将您的HF令牌切换为细粒度访问令牌，这是新的默认设置。”然而，Hugging Face并未透露此次事件影响了多少用户，目前事件仍在进一步调查中。公司还已将此违规行为通知了执法机构和数据保护当局。这一事态的发展正值AI行业的爆炸性增长，使得像Hugging Face这样的AI即服务（AIaaS）提供商成为攻击者的目标，他们可能会利用这些平台进行恶意活动。

https://huggingface.co/blog/space-secrets-disclosure

---

5 研究人员发布了一款适用于Linux平台的新病毒清除工具

研究人员发布了一款名为KVRT的新病毒清除工具，适用于Linux平台，允许用户免费扫描系统并清除恶意软件和其他已知威胁。这家安全公司指出，尽管普遍误认为Linux系统本质上是安全的，但实际上一直存在“野外”案例证明事实并非如此，最近的例子是XZ Utils后门。研究人员的新工具并非实时威胁保护工具，而是一个独立扫描器，可以检测恶意软件、广告软件、被滥用的合法程序以及其他已知威胁，并提供清除它们的功能。被删除或消毒的恶意文件的副本存储在‘/var/opt/KVRT2024_Data/Quarantine’（root用户）目录中，以无害形式保存。

https://www.kaspersky.com/blog/kvrt-for-linux/51375/

---

6 研究人员警告互联网暴露的运营技术设备遭遇的网络攻击激增

微软强调了保护互联网暴露的运营技术（OT）设备的重要性，因为自2023年末以来，针对这些环境的网络攻击激增。这些针对OT设备的反复攻击强调了提高OT设备安全姿态的关键需求，并防止关键系统成为容易攻击的目标。该公司指出，对OT系统的网络攻击可能使恶意行为者篡改用于工业过程的关键参数，无论是通过可编程逻辑控制器（PLC）编程还是使用人机界面（HMI）的图形控制，最终都可能导致故障和系统中断。微软进一步表示，OT系统通常缺乏足够的安全机制，使其容易被对手利用，并执行“相对容易”的攻击，加上将OT设备直接连接到互联网带来的额外风险，这一事实更加严重。这不仅使得这些设备通过互联网扫描工具被攻击者发现，还可能被利用以通过弱密码或已知漏洞的过时软件获得初始访问权限。

https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/

---