每日安全简讯(20241023)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 越南威胁行为者瞄准数字营销专业人士进行多层次攻击

研究人员揭露了一场由越南威胁行为者发起的复杂多阶段恶意软件攻击，目标主要是求职者和数字营销专业人士，尤其是从事Meta Ads的人员。攻击从包含恶意LNK文件的归档文件开始，利用该文件触发PowerShell命令下载并执行更多加密脚本，绕过安全检测。该恶意软件能够检测虚拟机、沙盒环境和调试工具，从而逃避分析，并通过多种防御规避技术进行隐秘操作。最终阶段中，攻击者部署了Quasar RAT远程访问木马，获得对受感染系统的完全控制，进行数据窃取、持续监控及其他恶意操作。此攻击与2022年7月的类似活动相关联，表明是同一威胁团体所为。

https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals/

---

2 信息窃取软件泛滥致网络犯罪频发

据研究人员的报告，2023年近千万台设备受信息窃取软件攻击，实际数字可能更高。这些窃取软件通过钓鱼邮件、恶意广告等方式传播，目标包括加密货币钱包和浏览器数据。Kral、AMOS等多种窃取软件被广泛使用，前者通过虚假广告诱导用户下载恶意文件，后者则通过伪装成合法软件侵入macOS系统。此外，Vidar与ACR这类窃取工具通过复杂的分阶段攻击获取用户数据，并以此进行进一步的网络犯罪活动。专家建议启用双因素认证，谨慎下载软件以应对此类攻击。

https://securelist.com/kral-amos-vidar-acr-stealers/114237/

---

3 Bumblebee恶意软件在最近的执法干扰后卷土重来

Bumblebee恶意软件在遭受欧洲刑警组织“终局行动”打击四个月后再次出现在网络攻击中。Bumblebee由TrickBot开发者创建，2022年作为BazarLoader后门的替代品出现，为勒索软件攻击者提供访问网络的入口。最新攻击链通过钓鱼邮件诱导受害者下载伪装成NVIDIA驱动或Midjourney安装程序的恶意ZIP文件，并利用PowerShell执行恶意软件。尽管攻击规模尚不明确，但Bumblebee的重新出现引发了对其可能复苏的担忧，提示企业加强防护以应对新一轮威胁。

https://www.netskope.com/blog/new-bumblebee-loader-infection-chain-signals-possible-resurgence

---

4 假冒CAPTCHA页面传播Lumma窃取器

研究人员近日发现了通过伪装的CAPTCHA页面分发Lumma信息窃取器的恶意活动，涉及多个国家。攻击者主要通过两个途径引导用户进入这些假页面：一是通过盗版游戏软件下载链接，二是利用钓鱼邮件冒充GitHub团队，诱导受害者修复虚假的“安全漏洞”。用户在这些伪造的CAPTCHA页面点击“我是人类”按钮后，会无意中复制恶意脚本并执行，从而感染设备。攻击者采用多层加密技术使检测难度增加，最终导致Lumma窃取器的成功安装。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/behind-the-captcha-a-clever-gateway-of-malware/

---

5 超过6000个WordPress网站遭黑客攻击

近期，超6000个WordPress网站被黑客入侵并安装恶意插件，这些插件会展示虚假的软件更新或错误消息，诱骗用户下载并执行信息窃取恶意软件。此攻击是ClearFake和ClickFix恶意活动的一部分。恶意插件伪装成常见的WordPress插件，如Wordfence Security等，使用管理员凭证通过自动化方式安装。WordPress管理员应立即检查并移除不明插件，同时重置管理员密码，防止进一步的入侵。

https://www.godaddy.com/resources/news/threat-actors-push-clickfix-fake-browser-updates-using-stolen-credentials

---

6 CISA紧急添加ScienceLogic SL1漏洞至已被利用漏洞目录

美国网络安全与基础设施安全局（CISA）于10月22日将ScienceLogic SL1平台的一个严重漏洞（CVE-2024-9537）添加至已被利用漏洞目录。此漏洞为零日攻击的目标，CVSS评分为9.3，涉及一个第三方组件的安全缺陷，可能导致远程代码执行。目前，该问题已在多个版本中修复。此前，云托管服务提供商Rackspace也因该漏洞导致其内部监控服务器遭到未授权访问。Rackspace确认，该漏洞已影响其性能报告系统，并通知受影响的客户。根据联邦规定，FCEB（联邦民用行政部门）机构需在11月11日前应用修复措施，以防范潜在威胁。

https://thehackernews.com/2024/10/cisa-adds-sciencelogic-sl1.html

---