每日安全简讯(20240827)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Linux恶意软件“sedexp”利用Udev规则实现持久化

研究人员近日发现了一种名为“sedexp”的新型Linux恶意软件，该软件利用一种非常规的技术在感染系统中保持持久性，并隐藏信用卡盗刷代码。据研究人员称，这种恶意软件自2022年起活跃，具备反向Shell功能和先进的隐藏手段。Sedexp的独特之处在于其利用了Udev规则来维持持久性，Udev是一种设备文件系统的替代方案，可根据设备属性进行识别并在设备状态发生变化时触发相应规则。Sedexp的Udev规则设置为在系统每次重启时自动运行该恶意程序，并通过修改内存来隐藏包含“sedexp”字符串的文件。该恶意软件被用于隐藏网络Shell、篡改的Apache配置文件以及自身的Udev规则，表明攻击者的目标是金融收益，且其手段正在日益复杂化。

https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp

---

2 伪装成开源库的恶意“node”二进制文件在Windows平台传播

研究人员最近发现两个伪装成开源库的PyPI包——“netfetcher”和“pyfetcher”——专门针对Windows用户。这些包下载的恶意执行文件名为“node.exe”，并伪装成NodeJS库，具有极高的隐蔽性，导致主流杀毒引擎几乎无法检测。这些文件下载后会重命名为“netflix_checker_cache.exe”，用于执行进一步的恶意操作，如从同一IP地址下载其他恶意程序。这些程序具有强大的反检测能力，能排除整个Windows硬盘的病毒扫描，进一步隐藏其存在。研究人员指出，这种攻击并非新手段，但强调了供应链安全的重要性。

https://www.sonatype.com/blog/pyfetcher-netfetch-drop-netflix-checker-on-windows

---

3 Python框架中发现NTLM凭证窃取漏洞

2024年8月23日，研究人员在其博客中揭示了在流行的Python框架中存在的NTLM凭证窃取漏洞。这些漏洞影响了Gradio、Jupyter Server和Streamlit三个框架，通过利用服务器端请求伪造（SSRF）或XML外部实体（XXE）漏洞，攻击者能够泄露NTLMv2哈希值。具体来说，Python框架在处理文件系统操作时，如果输入未经充分验证，就可能导致NTLMv2哈希泄漏。这些漏洞可被未经身份验证的攻击者利用，并已在NodeZero进行的实际渗透测试中被发现。此外，研究人员还讨论了一个影响旧版本Python的有趣漏洞，这也可能助长NTLMv2哈希的窃取。

https://www.horizon3.ai/attack-research/disclosures/ntlm-credential-theft-in-python-windows-applications/

---

4 西雅图港及塔科马国际机场疑似遭遇网络攻击

西雅图港及其运营的塔科马国际机场近日报告称遭遇了“可能的网络攻击”，导致其网站和电话系统出现故障。该事件首次于8月24日早晨通过社交媒体被公开，机场随后确认系统故障可能与网络攻击有关。到24日晚间，机场依旧面临服务中断，并提醒旅客通过航空公司应用程序获取登机牌和行李标签，建议留出更多时间抵达登机口。至25日早晨，西雅图港的公共网络基础设施仍大部分离线，尽管运输安全局表示安全操作未受影响。

https://techcrunch.com/2024/08/25/the-port-of-seattle-and-sea-tac-airport-say-theyve-been-hit-by-possible-cyberattack/

---

5 SolarWinds Web Help Desk存在硬编码凭证漏洞

SolarWinds发布补丁以修复其Web Help Desk (WHD)软件中的一个严重安全漏洞，该漏洞可能允许远程未经身份验证的用户获取未授权访问。此漏洞被标识为CVE-2024-28987，CVSS评分为9.1，属于高危漏洞。该漏洞涉及硬编码凭证，使攻击者能够访问软件的内部功能并修改数据。用户被建议更新至12.8.3 Hotfix 2版本，需在WHD 12.8.3.1813或12.8.3 HF1版本上应用该补丁。

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28987

---

6 美国无线电中继联盟确认支付100万美元赎金

2024年8月23日，研究人员报道，美国无线电中继联盟（ARRL）确认支付了100万美元赎金，以获取解密工具恢复在5月遭到加密的系统。ARRL发现其系统遭到“恶意国际网络组织”攻击后，立即将受影响系统下线以控制漏洞。虽然ARRL尚未确定具体的勒索软件组织，但消息源透露可能是Embargo勒索软件团伙所为。ARRL表示，尽管赎金要求过高且攻击者知道ARRL资源有限，但最终还是支付了赎金，保险公司承担了大部分费用。ARRL预计在两个月内完成所有受影响服务器的恢复工作，并且已采取新基础设施和标准以提升安全性。

https://www.arrl.org/news/arrl-it-security-incident-report-to-members

---