每日安全简讯(20240809)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CMoon USB蠕虫攻击俄罗斯高价值目标窃取数据

2024年8月7日，研究人员报道，一种名为“CMoon”的新型自传播蠕虫自2024年7月初以来在俄罗斯传播，旨在窃取账户凭证和其他数据。研究人员发现该蠕虫通过一家燃气供应公司网站传播，目标主要是高价值对象而非普通互联网用户。CMoon能够加载额外的恶意负载、截取屏幕截图并发起分布式拒绝服务（DDoS）攻击。感染链开始于用户点击网站上提供的文档链接，文档被替换为包含恶意执行文件的自解压档案。燃气公司在7月25日被通知后移除了恶意文件和链接，但由于CMoon的自传播特性，其分发可能仍在继续。

https://securelist.ru/how-the-cmoon-worm-collects-data/109988/

---

2 STAC6451攻击印度多家组织并部署Mimic勒索软件

研究人员在支持一起活跃事件时，发现了一个新的威胁活动集群STAC6451，该集群通过公开暴露在互联网的Microsoft SQL Server数据库服务器（默认TCP/IP端口1433）对印度的多家组织进行攻击，试图部署勒索软件。STAC6451集群的主要特征是滥用SQL Server进行未经授权的访问，并通过xp_cmdshell远程执行代码，使用BCP（大批量复制程序）工具在被攻击的MSSQL数据库中安置恶意负载和工具，包括权限提升工具、Cobalt Strike Beacons和Mimic勒索软件二进制文件。此外，攻击者还利用Python Impacket库创建各种后门账户用于横向移动和持久化。研究人员首次在2024年3月末发现该活动，当时支持某组织的SQL Server遭到攻击并尝试横向移动。深入分析后，发现了多个具有相似战术、技术和程序（TTPs）的事件，最终形成了STAC6451集群。该集群主要通过暴露在互联网的MSSQL服务器获取初始访问权限，并使用简单账户凭证进行暴力破解攻击。攻击者在获取访问权限后，启用xp_cmdshell以通过SQL服务执行命令。

https://news.sophos.com/en-us/2024/08/07/sophos-mdr-hunt-tracks-mimic-ransomware-campaign-against-organizations-in-india/

---

3 勒索软件攻击致Sonic Automotive损失3000万美元收入

Sonic Automotive向投资者披露，一起针对其关键服务提供商CDK Global的勒索软件攻击导致其每股收益在截至6月30日的季度中下降了三分之一。作为美国第五大汽车零售商，Sonic Automotive因CDK Global在6月19日的网络勒索事件受到严重影响，多个系统被迫停用，包括销售、库存、会计和客户关系管理系统，导致北美汽车零售行业销售受损。Sonic Automotive报告称，第二季度GAAP稀释后每股收益为1.18美元，比预期低0.64美元，主要因CDK Global系统中断导致的估计收入损失和费用增加。此次事件估计使其第二季度税前收入减少约3000万美元，净收入减少约2220万美元，其中约1160万美元用于支付因CDK停电而产生的员工额外补偿。

https://www.board-cybersecurity.com/incidents/tracker/20240621-sonic-automotive-inc-cybersecurity-incident/#8-ka-filed-on-2024-08-05

---

4 McLaren医院系统因INC Ransom勒索软件攻击中断

McLaren Health Care医院的IT和电话系统在一次与INC Ransom勒索软件有关的攻击后中断。McLaren是一家年收入超过65亿美元的非营利性医疗系统，在密歇根州运营13家医院，拥有640名医生和超过28000名员工，并与印第安纳州和俄亥俄州的113000个网络提供商合作。McLaren在其网站上发布声明称，正在调查其信息技术系统的中断，建议患者在预约时携带详细的药物信息、医生订单和最近的实验室测试结果。部分预约和非紧急或选择性程序可能会被重新安排。尽管McLaren尚未披露事件的具体性质，但McLaren Bay Region Hospital的员工分享了一份勒索信，警告称医院系统已被加密，如果不支付赎金，数据将被泄露到INC Ransom勒索软件团伙的网站上。

https://www.mclaren.org/main/notification

---

5 Roundcube Webmail漏洞使黑客能够窃取电子邮件和密码

研究人员披露了Roundcube Webmail软件中的安全漏洞，这些漏洞在特定情况下可被利用在受害者的浏览器中执行恶意JavaScript，从而窃取其账户中的敏感信息。研究人员的分析报告指出，当受害者在Roundcube中查看攻击者发送的恶意邮件时，攻击者可以在受害者的浏览器中执行任意JavaScript代码，从而窃取邮件、联系人和电子邮件密码，并以受害者的名义发送邮件。这些漏洞在2024年6月18日披露后，已在8月4日发布的Roundcube版本1.6.8和1.5.8中得到修复。成功利用这些漏洞后，未经身份验证的攻击者可以窃取邮件和联系人，并从受害者的账户发送邮件。

https://www.sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail/

---

6 研究人员发现新型Linux内核技术

研究人员披露了一种名为“SLUBStick”的新型Linux内核漏洞利用技术。该技术可将有限的堆漏洞提升为任意内存读写操作。Graz技术大学的一组学者表示，SLUBStick通过利用分配器的时间侧信道进行跨缓存攻击，提高了漏洞利用的成功率，尤其是在常用的通用缓存中，成功率超过99%。尽管Linux内核的内存安全漏洞由于存在诸如监督模式访问防止（SMAP）、内核地址空间布局随机化（KASLR）和内核控制流完整性（kCFI）等安全特性而难以利用，但SLUBStick成功在Linux内核的5.19和6.2版本上演示了该技术，利用2021年至2023年间发现的九个安全漏洞（如双重释放、使用后释放和越界写入），实现了无需认证的权限提升到root级别以及容器逃逸。

https://www.stefangast.eu/papers/slubstick.pdf

---