每日安全简讯(20241021)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Crypt Ghouls组织利用共享工具发起对俄攻击

据研究人员最新报告，“Crypt Ghouls”组织自去年12月起，持续对俄罗斯企业和政府机构发起勒索软件攻击。调查显示，该组织与其他攻击俄罗斯的黑客团伙存在工具、基础设施以及战术技术重叠，使用的工具包括Mimikatz、PingCastle、AnyDesk等，以及广为流行的勒索软件LockBit 3.0和Babuk。攻击者常通过入侵分包商的账户实施攻击，这使得精准识别幕后黑手更加复杂化。由于黑客组织之间共享工具和基础设施，识别具体攻击者变得极具挑战性，尤其是在多个团伙同时使用相同的泄露工具的情况下。该组织的行动显示了网络犯罪分子在当前网络威胁中彼此合作的趋势。

https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217/

---

2 ClickFix活动假冒Google Meet网页传播信息窃取器

近日，假冒的Google Meet网页成为网络犯罪分子在“ClickFix”恶意软件活动中的新工具，目标为Windows和macOS系统。攻击者通过伪造的网页显示错误信息，诱骗用户复制并执行恶意的PowerShell代码，最终感染设备。研究人员报告指出，ClickFix活动广泛利用假冒网站，如Google Meet、Zoom等，部署StealC和Rhadamanthys窃取器，macOS用户则遭受Atomic窃取器攻击。这一手法通过用户手动执行代码来绕过安全工具的检测，增加了攻击的隐蔽性和成功率。两支黑客团队Slavic Nation Empire和Scamquerteo被认为是此次活动的主导者，它们共享相同的基础设施和攻击模板，进一步加大了追踪难度。

https://blog.sekoia.io/clickfix-tactic-the-phantom-meet/#h-context

---

3 朝鲜IT工人伪装求职窃取数据后勒索雇主

朝鲜IT工人通过伪装身份进入西方企业工作，窃取机密数据并威胁泄露以勒索巨额赎金。据研究人员的调查，朝鲜长期通过这种手段获取企业网络的访问权限，进而为其武器项目筹资。最近的研究表明，这些工人不仅盗取数据，还通过虚假身份和技术手段隐匿行踪，避开视频会议的面部识别。某些案例中，黑客利用企业的虚拟桌面基础设施（VDI）将数据转移到个人云存储，并使用VPN和远程访问工具如AnyDesk进行恶意活动。企业需谨慎筛选远程员工，防范潜在风险。

https://www.secureworks.com/blog/fraudulent-north-korean-it-worker-schemes

---

4 Intel与AMD处理器曝出新Spectre绕过漏洞影响Linux系统

最新的Intel处理器（包括Xeon服务器芯片）以及AMD的早期架构在Linux系统上曝出新的推测执行攻击，绕过了现有的Spectre防护。受影响的处理器包括Intel的第12至14代消费级处理器及第5、6代Xeon服务器芯片，以及AMD的Zen 1、Zen 1+、Zen 2架构处理器。瑞士联邦理工学院（ETH Zurich）的研究人员发现，该漏洞可以绕过关键防御机制IBPB，泄露敏感数据。攻击者能够操控推测返回指令，读取诸如根密码哈希值等机密信息。尽管Intel和AMD已经知晓此问题并发布了修复补丁，但并未在所有操作系统中普及，进一步的防护措施仍在Linux社区开发中。

https://www.bleepingcomputer.com/news/security/intel-amd-cpus-on-linux-impacted-by-newly-disclosed-spectre-bypass/

---

5 美国摧毁Anonymous Sudan DDoS攻击行动

美国司法部今日对两名苏丹兄弟Ahmed Salah Yousif Omer（22岁）和Alaa Salah Yusuuf Omer（27岁）提出起诉，指控他们为黑客组织Anonymous Sudan的操控者。该组织自2023年成立以来，发起了超过35000次的分布式拒绝服务（DDoS）攻击，造成全球范围内服务中断，影响了包括Cloudflare、Microsoft和OpenAI等知名企业及多个政府和医疗机构。尽管Anonymous Sudan声称其攻击是出于民族主义动机，但研究人员认为其与俄罗斯有联系。根据司法部的公告，早在2024年3月，美国执法部门已对该组织进行了突袭并没收其强大的DDoS工具。兄弟俩现面临多项指控，包括损害受保护计算机的阴谋。Ahmed Omer因其对Cedars-Sinai医院的攻击而面临最高可判终身监禁的指控，这是美国首例因网络攻击而使用此法条的案件。

https://www.bleepingcomputer.com/news/security/us-disrupts-anonymous-sudan-ddos-operation-indicts-2-sudanese-brothers/

---

6 黑客盗取客户数据后勒索Globe Life

保险巨头Globe Life报告称，未知黑客组织试图勒索该公司，以换取不公开其今年早些时候被盗的客户数据。Globe Life在6月13日披露数据泄露事件，称其网络门户在审查访问权限和用户身份管理时发现了漏洞，可能导致消费者和保单持有者数据被访问。最新的SEC文件显示，受影响的客户主要来自其子公司American Income Life Insurance Company，初步估计至少有5000名客户的数据被盗。盗取的数据类型包括全名、电子邮件地址、电话号码、邮政地址、社会安全号码、健康相关数据和保单信息。Globe Life澄清此次勒索并不涉及勒索软件，因此未发生数据加密或文件锁定。公司认为此次事件不会对其业务运营产生重大影响，预计对财务状况也不会造成影响。

https://www.sec.gov/Archives/edgar/data/320335/000032033524000056/gl-20241017.htm

---