每日安全简讯(20240903)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT29组织利用n-day漏洞针对蒙古政府网站进行攻击

研究人员在2023年11月至2024年7月期间，发现了多起针对蒙古政府网站进行的攻击活动。在这些攻击活动中，攻击者首先利用了影响iOS 16.6.1之前版本的iOS WebKit漏洞，然后针对运行Chrome m121至m123版本的安卓用户进行了Chrome漏洞链攻击。研究人员认为这些攻击活动与APT29组织相关，并发现APT29组织使用的漏洞，与商业间谍软件供应商Intellexa和NSO Group曾使用的漏洞非常相似。

https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/

---

2 研究人员披露名为ManticoraLoader的新型恶意软件

研究人员近期发现了一款名称为ManticoraLoader的新型恶意软件。自2024年8月8日起，该恶意软件的开发者在黑客论坛和Telegram频道中对ManticoraLoader进行出售。据恶意开发者称，ManticoraLoader能够运行于Win7及更高版本的系统中，能够从受感染的设备中收集大量基本信息，然后将这些信息回传至控制面板中。此外，该开发者声称ManticoraLoader能够将文件放置到自动启动位置，确保在受感染系统中保持持久性。其模块化设计允许扩展插件，以实现其他恶意功能。研究人员发现，该恶意开发者此前还开发过另一款名为AresLoader的恶意软件。

https://cyble.com/blog/manticoraloader-new-loader-announced-from-the-developers-of-aresloader/

---

3 研究人员披露一个名为Cicada3301的勒索组织

Cicada3301勒索组织于2024年6月29日，在网络犯罪论坛RAMP中首次发布帖子。该勒索组织已经在其勒索网站中列出了19名受害者。与很多勒索组织类似，Cicada3301执行双重勒索策略，他们从受害者网络中窃取数据，然后对设备中的文件进行加密，并威胁受害者支付赎金以换取泄露的数据。研究人员发现Cicada3301和ALPHV/BlackCat之间存在重叠的恶意代码，表明这两个勒索组织之间可能存在关联。Cicada3301勒索组织使用的加密程序基于Rust进行编写，并针对Windows和Linux/VMware ESXi进行攻击。加密文件时，加密程序会在被加密文件名后附加一个随机的七个字符的扩展名，并创建名为“RECOVER-[extension]-DATA.txt”的勒索信。

https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems

---

4 Jenkins中存在远程代码执行漏洞

近期，研究人员公开了关于CVE-2024-43044的技术细节和概念验证（PoC）利用代码，该漏洞是存在于Jenkins中的远程代码执行（RCE）漏洞。Jenkins是基于Java开发的一种持续集成工具，如果遭到攻击，攻击者可能利用Jenkins服务器进行凭据窃取、未经授权的代码修改等恶意操作。CVE-2024-43044被分类为任意文件读取漏洞，允许攻击者利用agent功能与Jenkins进行交互，从而读取Jenkins控制器文件系统上的任意文件。该漏洞已在Jenkins 2.471版本以及Jenkins LTS 2.452.4、2.462.1版本中得到解决。建议受影响的用户立即进行更新。

https://securityonline.info/cve-2024-43044-critical-jenkins-vulnerability-exposes-servers-to-rce-poc-exploit-published/

---

5 One Identity的产品中存在一个安全漏洞

One Identity在近期发布的公告中称，其解决方案Safeguard for Privileged Passwords中存在一个安全漏洞，被标记为CVE-2024-45488，影响Safeguard for Privileged Passwords的登录过程，并可能允许攻击者未经授权访问系统。CVE-2024-45488漏洞与登录过程中的cookie处理有关，该漏洞的影响严重，因为它可能允许攻击者绕过安全控制，在网络中获得更高的权限。需要注意的是，该漏洞仅影响在VMware或Hyper-V环境中运行的Safeguard for Privileged Passwords，在其他平台运行的产品不受该漏洞的影响。One Identity已针对该漏洞发布更新版本，建议受影响的用户进行更新。

https://securityonline.info/cve-2024-45488-flaw-in-safeguard-for-privileged-passwords-enables-unauthorized-access/

---

6 库卡蒙加谷水区遭受勒索软件攻击

库卡蒙加谷水区（Cucamonga Valley Water District）遭受勒索软件攻击，该攻击瘫痪了计算机系统，使得客户不能够通过电话进行支付。该水区发言人表示，8月15日发生的网络安全事件已于8月26日得到解决。该水区的供水系统及客户数据库位于与电话系统不同的网络上，因此未受到影响。该水区通知了联邦当局，称勒索软件攻击导致了网络中断，但尚未确定攻击者身份。该水区在一份声明中表示，其团队正在确定攻击事件所造成的影响范围，并表示如果确定客户的个人信息遭到泄露，将会通知客户。

https://www.dailybulletin.com/2024/08/27/ie-water-district-computer-hacked-preventing-customers-from-making-phone-payments/

---