每日安全简讯(20240701)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Kimsuky组织使用恶意Chrome扩展窃取数据

APT组织Kimsuky使用名为TRANSLATEXT的新恶意Google Chrome扩展程序窃取敏感信息进行情报收集工作。TRANSLATEXT扩展程序伪装成Google翻译，它整合了JavaScript代码以绕过Google、Kakao和Naver等服务的安全措施，窃取电子邮件地址、用户名、密码、cookie，还可以从Blogger Blogspot URL获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有cookie等。攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。Kimsuky是与朝鲜有关的的黑客组织，据了解该组织至少自2012年以来一直活跃，长期策划针对韩国实体的网络间谍活动和出于经济动机的攻击。

https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia

---

2 8220团伙利用WebLogic漏洞进行加密货币挖矿

研究人员发现具有经济动机的8220黑客团伙利用Oracle WebLogic Server中已知的安全漏洞入侵服务器进行加密货币挖掘攻击。威胁行为体采用无文件执行技术，使用DLL反射和进程注入，使恶意软件代码仅在内存中运行以对抗基于磁盘的检测机制。用于初始访问攻击阶段的WebLogic安全漏洞包括CVE-2017-3506、CVE-2017-10271和CVE-2023-21839，利用漏洞成功立足后，威胁行为体通过多阶段加载技术投放挖矿负载，如部署PowerShell脚本释放模仿合法WireGuardVPN应用程序的第一阶段加载程序，注入可执行文件充当加载PureCrypter加载器的管道，该加载器反过来将硬件信息泄露到远程服务器并创建计划任务来运行矿工，此外还操作Microsoft Defender Antivirus杀毒软件中的白名单来排除恶意文件。

https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html

---

3 SnailLoad侧信道攻击利用延迟监视用户网络

研究人员发现了一种名为SnailLoad的新型侧信道攻击，可用于远程推断用户的网络活动。这一安全问题存在于所有的互联网连接中，通过利用网络数据包的延迟，攻击者能够推断其他人互联网连接上的当前网络活动，包括使用此信息推断用户访问的网站或用户观看的视频。该攻击方法的一个显著特点是，它无需进行中间人(AitM)攻击或在物理上接Wi-Fi 连接来嗅探网络流量，而是诱骗目标从威胁行为体控制的服务器加载无害资产（例如文件、图像或广告），然后利用受害者的网络延迟作为侧信道来确定受害者系统上的网络活动。研究人员表示，OpenWrt社区以及360、华为、Linksys、Mercury、TP-Link、Ubiquiti和小米等路由器供应商正在准备针对该漏洞的补丁。

https://snailload.com/

---

4 知名工业气体分析设备存在严重安全缺陷

研究人员警告被工业界广泛使用的Emerson Rosemount气相色谱仪被披露存在多个安全漏洞，可能被恶意行为者利用来获取敏感信息、引发拒绝服务(DoS)攻击，甚至执行任意命令。关键气体测量色谱仪可通过名为MON的软件进行配置和管理，该软件还可用于存储关键数据并生成色谱图、警报历史记录、事件日志和维护日志等报告。安全缺陷影响Emerson Rosemount气相色谱仪的GC370XA、GC700XA和GC1500XA型号，存在于4.1.5及之前版本中，包括两个命令注入缺陷和两个单独的身份验证和授权漏洞，未经身份验证的攻击者可以利用这些漏洞通过网络访问来运行任意命令、访问敏感信息、导致拒绝服务情况以及绕过身份验证来获取管理员权限等各种恶意操作。

https://claroty.com/team82/research/hacking-a-usd100k-gas-chromatograph-without-owning-one

---

5 攻击者利用D-Link DIR-859路由器严重漏洞

研究人员发现影响所有D-Link DIR-859 WiFi路由器的严重漏洞正在被黑客组织利用收集设备中的帐户密码信息。该漏洞最早于1月份披露，目前编号为CVE-2024-0769（严重程度评分为9.8），是一个导致信息泄露的路径遍历漏洞。尽管D-Link DIR-859 WiFi路由器型号已到达使用寿命末期(EoL)并且不再接收任何更新，该供应商仍然发布了安全公告，解释称该漏洞存在于设备的“fatlady.php”文件中，影响所有固件版本，并允许攻击者泄露会话数据，实现权限提升，并通过管理面板获得完全控制权。D-Link预计不会发布针对CVE-2024-0769的修复补丁，因此建议该型号设备的用户应尽快切换到受支持的设备。

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10371

---

6 Google浏览器将于11月起屏蔽Entrust证书

谷歌宣布，将从2024年11月1日左右开始在其Chrome浏览器127版及更高版本开始屏蔽使用Entrust证书的网站，理由是这些网站不符合合规性，且该证书颁发机构无法及时解决安全问题。过去几年中，公开披露的事件报告突显了Entrust的一系列令人担忧的行为，这些行为未能达到安全预期，并且削弱了人们对其作为公众信任的证书颁发机构所有者的能力、可靠性和诚信的信心。预计屏蔽措施将涵盖Windows、macOS、ChromeOS、Android和Linux版本的浏览器。值得注意的例外是iOS和iPadOS版Chrome，因为Apple的政策不允许使用Chrome Root Store 。

https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html

---