每日安全简讯(20241028)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CERT-UA揭露APT29和APT28对乌克兰的复杂网络攻击

乌克兰计算机应急响应小组（CERT-UA）近日披露了一起针对乌克兰政府机构、企业和军事实体的恶意电子邮件活动。该活动使用远程桌面协议（RDP）配置文件，通过电子邮件附件传播，旨在诱骗用户点击，进而连接到远程服务器，允许攻击者远程访问受害者的系统以窃取数据并植入恶意软件。CERT-UA将此活动归因于UAC-0215威胁组织，并与俄罗斯APT29黑客组相关联。亚马逊网络服务（AWS）已采取行动，查封了APT29用于伪装AWS域名的多个域。此外，CERT-UA还警告了一场大规模的网络攻击（UAC-0218），其通过含有恶意Visual Basic脚本的RAR档案窃取敏感文件。另一起攻击则利用恶意链接和PowerShell脚本窃取浏览器数据。CERT-UA认为这些攻击与俄罗斯APT28有关。此次针对乌克兰的网络攻击与俄罗斯此前对格鲁吉亚的网络入侵相呼应，显示出其一贯的网络战策略。

https://cert.gov.ua/article/6281076

---

2 朝鲜黑客通过假面试传播恶意软件并入侵软件库

安全研究人员发现，朝鲜黑客正在通过社交工程手段向开发者传播信息窃取软件，此次攻击涉及NPM软件库中的后门软件包。研究人员揭示，黑客使用名称劫持技术伪装成流行的NPM库，包括一个模仿Passport的恶意软件包。该软件包被下载323次，内含BeaverTail恶意软件，这是一种JavaScript信息窃取器。研究表明，朝鲜黑客假扮招聘人员，诱导目标下载带有恶意代码的软件包。此类恶意软件以加密货币钱包、浏览器缓存中的信用卡信息和登录密钥为目标。朝鲜黑客以其独特的窃取和勒索方法闻名，包括利用远程工作岗位进行攻击。此类攻击不仅体现了他们对技术变化的适应能力，还显示了其通过信息窃取获取资金的历史模式。研究人员指出，这种复杂的攻击利用社交媒体上的开放资源进行精准的鱼叉式网络钓鱼。安全专家强调，朝鲜黑客的战术变革展示了其在数字领域中利用新漏洞以实现目标的能力。

https://securitylabs.datadoghq.com/articles/tenacious-pungsan-dprk-threat-actor-contagious-interview/

---

3 Black Basta勒索软件伪装IT员工通过Microsoft Teams入侵网络

Black Basta勒索软件团伙近期通过Microsoft Teams开展社会工程攻击，假扮公司IT帮助台联系员工，以协助解决垃圾邮件问题为由实施攻击。该团伙自2022年4月活跃以来，已对全球数百家企业发动攻击。最近的攻击中，攻击者通过Microsoft Teams作为外部用户联系员工，冒充公司IT支持，协助处理垃圾邮件问题。他们创建的账户使用类似于“帮助台”的Entra ID租户，诱导目标用户安装AnyDesk或启动Windows Quick Assist工具，以获得设备远程访问权限。一旦获得访问权限，攻击者会安装“AntispamAccount.exe”等有效负载，最终部署Cobalt Strike以全面控制受害者设备，进一步侵入网络。研究人员建议企业限制Microsoft Teams中外部用户的通信权限，启用日志记录以检测可疑聊天活动。该攻击背后的黑客被认为来自俄罗斯，进一步显示了对企业网络安全的严重威胁。

https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams/

---

4 TeamTNT黑客组织发起新一轮云攻击进行加密货币挖矿

臭名昭著的加密劫持组织TeamTNT正针对云原生环境展开大规模攻击，目标是挖掘加密货币并将入侵的服务器租给第三方。研究人员表示，该组织利用暴露的Docker守护程序部署Sliver恶意软件、网络蠕虫和加密矿工，使用受感染的服务器和Docker Hub作为传播基础设施。TeamTNT不仅利用Docker Hub托管和分发恶意负载，还通过将受害者的计算能力出租以进行非法加密货币挖矿，展现出其多样化的盈利策略。攻击过程中，黑客通过masscan和ZGrab识别未认证的Docker API端点，并利用这些端点部署加密矿工，将受感染的基础设施出售给Mining Rig Rentals平台。TeamTNT还从Tsunami后门转向使用Sliver命令与控制框架来远程控制受感染服务器，并采用匿名DNS指向其网络服务器以保持隐匿。

https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign/

---

5 新Windows驱动签名绕过漏洞允许内核Rootkit安装

攻击者通过降级Windows内核组件，绕过驱动签名强制（DSE），在完全修补的系统上部署Rootkits。研究人员发现并演示了这一攻击手法，该攻击利用Windows Update过程引入过时的、易受攻击的软件组件，而不改变系统的完全修补状态。研究工具Windows Downdate允许定制降级，使系统暴露于已修复的漏洞。攻击者可用此方法加载未签名的内核驱动，绕过安全控制并隐藏恶意活动。尽管内核安全性显著提升，此攻击显示降级组件仍简化了攻击。Leviev称其方法为"ItsNotASecurityBoundary" DSE绕过，借助虚假文件不变性漏洞实现内核特权代码执行。研究展示了攻击者可通过替换关键文件‘ci.dll’绕过DSE保护，甚至在最新的Windows 11系统上实施攻击。微软目前正在开发安全更新以解决这些风险，但尚未发布具体时间表。安全解决方案应监控降级攻击以降低风险。

https://www.safebreach.com/blog/update-on-windows-downdate-downgrade-attacks/

---

6 Wi-Fi联盟测试套件发现命令注入漏洞影响路由器安全

研究人员发现Wi-Fi联盟的测试套件中存在命令注入漏洞（CVE-2024-41992），该漏洞允许未经认证的本地攻击者以提升的权限执行任意代码。CERT协调中心指出，受影响的代码已部署在Arcadyan FMIMG51AX000J路由器上。攻击者可通过发送精心构造的数据包利用此漏洞，在受影响的路由器上以root权限执行任意命令。Wi-Fi测试套件旨在自动化Wi-Fi设备的测试，尽管其开源组件可公开获取，但完整版本仅限会员使用。独立研究人员“fj016”发现并报告了此安全缺陷，并提供了漏洞的概念验证（PoC）利用工具。CERT/CC提醒该套件不适合生产环境使用，但已在商业路由器中被发现。成功利用此漏洞的攻击者可获得对设备的完全管理控制权，可能导致网络服务中断或数据泄露。

https://kb.cert.org/vuls/id/123336

---