每日安全简讯(20241018)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SideWinder APT组织扩展攻击目标至中东与非洲

SideWinder（又称T-APT-04或RattleSnake）是自2012年活跃至今的高级持续性威胁（APT）组织，其攻击目标多集中在南亚和东南亚的军事与政府机构，特别是巴基斯坦、斯里兰卡、中国和尼泊尔。然而，最新调查显示，该组织的活动范围已经扩展至中东和非洲，针对重要的战略基础设施实施了新一轮攻击。此次研究还揭示了一个名为“StealerBot”的全新间谍工具，这是一个模块化的后渗透工具，专为执行间谍任务设计。目前认为该工具是SideWinder的核心后期利用手段，尽管该组织长期以来被认为技术水平有限，但其实力远比表面所见复杂。

https://securelist.com/sidewinder-apt/114089/

---

2 Astaroth银行木马对巴西政府机构等发起攻击

Astaroth银行木马（又称Guildma）通过一次新型定向钓鱼攻击重返巴西，主要针对制造业、零售业和政府机构。攻击者伪装成官方税务文件，以个人所得税申报的紧迫性为诱饵，诱使用户下载恶意软件。受害者通过下载一个包含受感染Windows快捷方式的ZIP文件启动攻击，这一文件利用合法的mshta.exe执行混淆的JavaScript指令，并连接到命令与控制服务器（C2）。该攻击活动由Trend Micro追踪为"Water Makara"威胁集群，并与谷歌Threat Analysis Group（TAG）跟踪的"PINEAPPLE"活动有共同点。尽管Astaroth是一个较旧的银行木马，其重新出现和不断进化使其威胁持续存在，带来数据泄露、消费者信任损失、业务中断等重大影响。

https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

---

3 超200款恶意应用侵入Google Play下载量达800万次

研究人员发现，Google Play在2023年6月至2024年4月期间分发了200多款恶意应用，总下载量接近800万次。这些应用多属于工具、个性化、摄影等类别，常见的恶意软件家族包括窃取信息的Joker、展示广告的Adware，以及Facebook凭证窃取器Facestealer等。尽管Google拥有检测机制，攻击者仍通过应用更新或服务器加载绕过验证。今年也发现了类似的恶意活动，如Necro恶意软件通过两款应用被下载了1100万次。研究人员数据显示，印度和美国是移动恶意软件的主要攻击目标，教育和服务业受影响最严重。用户需警惕应用权限与评论，以降低中毒风险。

https://www.zscaler.com/blogs/security-research/new-threatlabz-report-mobile-remains-top-threat-vector-111-spyware-growth

---

4 攻击者利用EDRSilencer绕过EDR工具提升攻击隐蔽性

EDRSilencer，一款为红队操作设计的工具，正被攻击者用于绕过终端检测与响应（EDR）工具的监控，屏蔽安全警报。研究人员的研究表明，EDRSilencer可通过Windows过滤平台（WFP）阻断EDR工具与管理服务器之间的数据传输，从而使攻击不被发现。该工具能够检测并封锁16种主流EDR工具，包括Microsoft Defender、SentinelOne和Carbon Black EDR等，尽管部分工具仍可能发送报告。为了防止此类攻击，研究人员建议使用多层安全防护、行为分析和最小权限原则来加强安全防御。

https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

---

5 GitHub修复关键漏洞防止未经授权访问企业服务器实例

GitHub近日发布了安全更新，修复了多个影响GitHub Enterprise Server (GHES) 的漏洞，其中包括一个严重漏洞CVE-2024-9487，CVSS评分为9.5分。该漏洞允许攻击者通过绕过SAML单点登录（SSO）认证机制，未经授权访问企业实例。该问题源于加密断言特性中加密签名验证不当。此次更新还修补了其他漏洞，包括信息泄露漏洞CVE-2024-9539及管理控制台中的敏感数据曝光问题。受影响的企业服务器用户被强烈建议立即更新到最新版本，以确保安全防护。

https://docs.github.com/en/enterprise-server@3.14/admin/release-notes

---

6 CISA警告SolarWinds帮助台软件漏洞正被积极利用

美国网络安全与基础设施安全局（CISA）将SolarWinds Web Help Desk (WHD) 软件的关键漏洞CVE-2024-28987加入已知被利用漏洞目录（KEV）。该漏洞评分为9.1，涉及硬编码凭据，允许未经身份验证的远程攻击者访问内部功能并修改数据。研究显示，攻击者可读取和修改帮助台工单中的敏感信息，如密码重置请求和共享服务账户凭据。尽管尚不清楚具体攻击者，联邦机构已被要求在2024年11月5日之前应用最新补丁，以防范潜在威胁。

https://www.cisa.gov/news-events/alerts/2024/10/15/cisa-adds-three-known-exploited-vulnerabilities-catalog

---