每日安全简讯(20240718)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Void Banshee组织利用零日漏洞进行网络攻击

APT组织Void Banshee被发现利用编号为CVE-2024-38112的零日漏洞，该漏洞存在于Windows系统中已禁用的Internet Explorer浏览器中。通过精心构造的恶意文件，攻击者能够绕过安全防护，执行远程代码。该攻击主要针对北美、欧洲和东南亚地区的用户，通过伪装成书籍PDF的zip文件传播。安全研究团队在5月发现并报告了此漏洞，随后Microsoft在7月的补丁星期二中对其进行了修复。此次事件再次凸显了对遗留系统进行及时更新和修补的重要性，以及对APT攻击持续监控的必要性。

https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html?&web_view=true

---

2 Killer Ultra恶意软件绕过EDR强化勒索攻击

安全研究团队分析了一种名为“Killer Ultra”的恶意软件，该软件被设计用来绕过和终止流行的端点检测和响应（EDR）以及防病毒（AV）工具。Killer Ultra通过利用Zemana AntiLogger中的一个已知漏洞CVE-2024-1853，获取内核级权限，以终止关键安全进程。此外，该恶意软件还具备清除事件日志、持久化以及潜在的下载和执行远程工具的能力。

https://www.binarydefense.com/resources/blog/technical-analysis-killer-ultra-malware-targeting-edr-products-in-ransomware-attacks/

---

3 研究人员揭露Kubelet API安全隐患

安全研究人员揭露了Kubernetes集群中Kubelet API的安全隐患。Kubelet API负责管理节点上的Pod和容器，通常不直接面向用户，但若被错误配置暴露于互联网，将带来严重的安全风险。通过蜜罐技术，研究人员观察到了攻击者利用Kubelet API进行的各种恶意活动，包括但不限于环境映射、网络扫描和秘密信息的搜集。为了应对这些威胁，研究人员提出了一系列安全措施，包括限制对Kubelet API的访问、加强身份验证机制、持续监控和审计、及时进行安全修补、遵循最小特权原则，以及实施自动化的Kubernetes态势管理等。

https://www.aquasec.com/blog/kubernetes-exposed-exploiting-the-kubelet-api/

---

4 研究人员揭露Konfety广告欺诈活动

安全研究团队近日揭露了一起名为“Konfety”的大规模广告欺诈活动。该活动通过在Google Play Store上部署超过250个无害的诱饵应用程序，通过其“邪恶双胞胎”进行广告欺诈、监控网络搜索、安装浏览器扩展程序等恶意行为。研究人员指出，这种“诱饵/邪恶双胞胎”混淆机制是威胁行为体将欺诈流量伪装成合法流量的一种新方法，其高峰期的程序化请求量达到每天100亿次。目前，这一广告欺诈活动已被有效遏制。

https://www.humansecurity.com/learn/blog/the-partys-over-humans-satori-threat-intelligence-and-research-team-cleans-up-konfety-mobile-ad-fraud-campaign

---

5 伪造AWS软件包通过JPEG藏匿C2通信

Phylum平台发现npm软件包注册表中出现伪造的AWS软件包，这些软件包表面看似合法，实则在JPEG文件中隐藏了命令和控制(C2)功能。安全研究团队对此进行了深入分析，发现攻击者通过合法项目aws-s3-object-multipart-copy克隆并植入恶意脚本。通过分析loadformat.js文件，揭露了攻击者在图像文件中隐藏恶意代码的手法，这些代码在软件包安装时执行，实现对受害者机器的远程控制。

https://blog.phylum.io/fake-aws-packages-ship-command-and-control-malware-in-jpeg-files/

---

6 CISA警告GeoServer GeoTools漏洞正被积极利用

美国网络安全和基础设施安全局(CISA)根据积极利用的证据，将影响OSGeo GeoServer GeoTools的严重安全漏洞CVE-2024-36401添加到其已知被利用漏洞(KEV)目录中。该漏洞评分为9.8，涉及通过特制输入触发的远程代码执行情况。GeoServer是一个用Java编写的开源软件服务器，用于共享和编辑地理空间数据。该漏洞由于不安全地将属性名称评估为XPath表达式，允许未经身份验证的用户通过特制的OGC请求参数执行远程代码执行(RCE)。该问题已在GeoServer的2.23.6、2.24.4和2.25.2版本中得到解决。

https://www.cisa.gov/news-events/alerts/2024/07/15/cisa-adds-one-known-exploited-vulnerability-catalog

---