每日安全简讯(20240921)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Gleaming Pisces组织通过恶意Python软件包传播远控木马

Gleaming Pisces（又名Citrine Sleet）是一个与朝鲜有关联的出于经济动机的攻击组织，至少自2018年以来一直活跃。研究人员近期发现一个持续进行的网络攻击活动，该活动通过恶意的Python软件包向Linux和macOS系统投放后门程序。研究人员将这些恶意的软件包命名为PondRAT。研究人员还发现了POOLRAT的Linux变种，POOLRAT是一种已知的macOS远程管理工具（RAT），此前被归因于Gleaming Pisces组织。研究人员认为，该攻击组织的目的是通过开发人员的终端设备获取对供应链供应商的访问权限。

https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/

---

2 勒索组织利用CVE-2023-27532攻击尼日利亚的关键基础设施

尼日利亚计算机应急响应中心（ngCERT）发布了紧急警报，警告勒索组织正在攻击尼日利亚的关键系统。攻击者利用Veeam Backup and Replication（VBR）软件中的一个高危漏洞（CVE-2023-27532）进行攻击，并且此次事件涉及Phobos勒索组织。漏洞CVE-2023-27532影响VBR 12及以下版本，允许攻击者未经授权访问敏感数据，包括存储在Veeam配置数据库中的加密和明文凭据。攻击者能够利用该漏洞提升权限、安装恶意软件并在受感染系统上执行任意代码。Phobos勒索组织利用此Veeam漏洞攻击尼日利亚的云基础设施。成功入侵网络后，攻击者部署勒索软件，加密关键数据，并向受害者索要赎金。

https://cert.gov.ng/advisories/ransomware-groups-targeting-critical-systems-in-nigeria

---

3 攻击者使用SambaSpy远控木马针对意大利用户进行攻击

研究人员发现了一起恶意软件活动，该活动专门针对意大利用户进行攻击，传播一种名为SambaSpy的新型远控木马。此次攻击活动专门设计为仅感染意大利用户，在攻击流程的多个阶段都会检查系统语言是否为意大利语，如果目标不符合该标准，恶意软件将停止执行。SambaSpy用Java编写，并使用Zelix KlassMaster保护器进行混淆，具备多种功能，包括：管理文件和进程、上传和下载文件、控制摄像头、记录按键和剪贴板活动、截屏、从流行浏览器（如Chrome、Edge和Brave）中窃取凭据、执行远程桌面操作、执行远程shell。

https://securelist.com/sambaspy-rat-targets-italian-users/113851/

---

4 Ivanti CSA中的安全漏洞CVE-2024-8963正被积极利用

Ivanti披露其Ivanti Connect Secure Appliance（CSA）4.6中的一个安全漏洞。该漏洞被标识为CVE-2024-8963，CVSS评分为9.4，正在被积极利用，对使用已终止支持（EOL）版本的Ivanti CSA用户构成重大风险。CVE-2024-8963是一个路径遍历漏洞，允许远程、未经身份验证的攻击者未经授权访问Ivanti CSA 4.6中的受限功能。如果与CVE-2024-8190结合使用，该漏洞可能会进一步被利用，使攻击者能够绕过管理员身份验证并在受影响的设备上执行任意命令。Ivanti已确认CVE-2024-8963正在被积极利用，已有少数客户成为此攻击的受害者。

https://securityonline.info/critical-flaw-in-ivanti-csa-4-6-cve-2024-8963-actively-exploited-urgent-upgrade-required/

---

5 Acronis披露其插件中的安全漏洞CVE-2024-8767

Acronis披露了其用于cPanel、Plesk和DirectAdmin等服务器管理平台常用备份插件中的一个安全漏洞。该漏洞被标识为CVE-2024-8767，CVSSv3.0评分为9.9，对用户构成严重威胁。该漏洞影响基于Linux的Acronis Backup插件，该插件被管理员广泛用于自动化服务器和网站备份。Acronis透露，该漏洞源于插件中的权限设置，可能导致敏感信息泄露并允许在受影响的服务器上进行未经授权的操作。尽管Acronis在一年前就为CVE-2024-8767漏洞发布了补丁，但该公司的最新公告表明，许多系统仍未应用安全补丁。

https://securityonline.info/acronis-backup-plugins-hit-by-cve-2024-8767-cvss-9-9-severity-alert/

---

6 Apache HugeGraph-Server中的安全漏洞正被积极利用

美国网络安全和基础设施安全局（CISA）将五个漏洞添加到其已知被利用漏洞（KEV）目录中，其中包括影响Apache HugeGraph-Server的远程代码执行（RCE）漏洞。该漏洞被标识为CVE-2024-27348（CVSS v3.1评分9.8），是一种不当访问控制漏洞，影响HugeGraph-Server 1.0.0至1.3.0（不包括1.3.0）版本。Apache已于2024年4月22日发布1.3.0版本修复了该漏洞。除了升级到最新版本，用户还被建议使用Java 11并启用身份验证系统。CISA警告称，已观察到CVE-2024-27348被积极利用的迹象。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/

---