每日安全简讯(20241019)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜ScarCruft组织利用Windows零日漏洞传播RokRAT恶意软件

朝鲜网络攻击组织ScarCruft（又称TA-RedAnt或APT37）被发现利用Windows系统中的零日漏洞CVE-2024-38178，传播名为RokRAT的恶意软件。该漏洞是一个影响脚本引擎的内存损坏问题，可能导致远程代码执行，特别是在Edge浏览器的Internet Explorer模式下运行时。尽管微软在2024年8月的补丁中修复了该漏洞，但攻击者通过诱导用户点击精心构造的恶意链接，仍可触发漏洞并执行恶意代码。ScarCruft通过攻破韩国一家广告公司的服务器，将恶意代码注入“Toast”广告内容，利用这种程序下载并执行恶意代码。感染后，RokRAT可以远程访问目标设备，窃取包括KakaoTalk、微信等应用中的数据。该恶意软件还借助Dropbox等合法云服务进行通信，隐蔽性强，难以检测。

https://asec.ahnlab.com/en/83877/

---

2 新恶意软件活动通过PureCrypter加载器传播DarkVision RAT

网络安全研究人员披露了一项新恶意软件活动，利用名为PureCrypter的恶意加载器传播DarkVision远程访问木马（RAT）。该活动由研究人员于2024年7月发现，采用多阶段过程分发恶意载荷。DarkVision RAT通过自定义网络协议与指挥控制（C2）服务器通信，具备键盘记录、远程访问、密码窃取、屏幕截图和音频录制等多种恶意功能。PureCrypter自2022年公开出售以来，广泛用于分发信息窃取工具、RAT和勒索软件。DarkVision RAT的灵活性和低成本（仅售60美元）使其在攻击者中日益流行，尤其吸引那些技术水平较低的网络犯罪分子。

https://www.zscaler.com/blogs/security-research/technical-analysis-darkvision-rat

---

3 伊朗黑客出售关键基础设施访问权限成为网络攻击中介

伊朗黑客正通过入侵关键基础设施组织，收集凭据和网络数据，在网络犯罪论坛上出售这些数据，为其他威胁行为者提供网络攻击途径。美国、加拿大和澳大利亚政府机构指出，伊朗黑客通过暴力破解和多因素认证（MFA）“推送轰炸”等技术，瞄准医疗、政府、信息技术和能源等行业。入侵后，黑客使用有效凭据在网络中横向移动，获取更多访问点。黑客通过开源工具窃取凭据，并利用微软Netlogon漏洞提升权限，进一步巩固对网络的控制。这些活动使他们成为网络攻击的关键中介角色，帮助其他网络犯罪分子实施攻击。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a

---

4 巴西联邦警察逮捕知名黑客USDoD

巴西联邦警察在贝洛奥里藏特逮捕了臭名昭著的黑客USDoD，该黑客与美国国家公共数据和FBI的InfraGard泄露事件有关。USDoD，真名Luan BG，是一名33岁的巴西人，自2017年以来活跃于黑客圈。根据CrowdStrike的调查，Luan BG的网络犯罪活动从2022年开始升级，因操作安全不足，导致他被追踪到多个电子邮件、社交媒体账号及财务记录。USDoD曾泄露大量敏感信息，包括来自Airbus和TransUnion等公司的数据，并在2020年和2022年出售巴西联邦警察数据。警方此次逮捕行动是“数据泄露行动”的一部分，进一步打击其网络犯罪行为。

https://www.gov.br/pf/pt-br/assuntos/noticias/2024/10/pf-prende-hacker-suspeito-de-invadir-sistemas-da-pf-e-de-outras-instituicoes-internacionais

---

5 Kubernetes镜像生成器漏洞存在Root访问风险

Kubernetes镜像生成器中被发现一个关键漏洞CVE-2024-9486，CVSS评分为9.8。该漏洞允许攻击者在特定情况下通过默认凭据获取节点的Root权限，主要影响使用Proxmox提供的虚拟机镜像。受影响的集群应禁用默认凭据并重建镜像。修复方案包括在镜像构建期间使用随机生成的密码，并在构建结束时禁用构建者账户。同时，较低严重性的漏洞CVE-2024-9594（CVSS评分6.3）也在新版修复，影响Nutanix、OVA等镜像提供者。此外，微软和Apache也分别发布了对Dataverse、Imagine Cup、Power Platform和Solr的关键漏洞修补程序，防止权限提升和信息泄露。

https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119

---

6 VMware修复HCX平台高危SQL注入漏洞

VMware发布安全公告，修复了影响其HCX应用迁移平台的高危SQL注入漏洞CVE-2024-38814，CVSS评分为8.8。该漏洞允许拥有非管理员权限的经过身份验证的用户通过精心构造的SQL查询在HCX管理器上执行未经授权的远程代码。该漏洞由安全研究员Sina Kheirkhah通过Trend Micro的Zero Day Initiative（ZDI）私下报告给VMware，影响HCX多个版本，包括4.8.x、4.9.x和4.10.x。VMware已通过更新至4.8.3、4.9.2和4.10.1修复了该漏洞，建议受影响的用户尽快升级以防止潜在的攻击风险。

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25019

---