每日安全简讯(20241029)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 HeptaX利用LNK文件进行远程桌面连接入侵活动

研究人员发现了一个名为“HeptaX”的持续网络攻击活动，该活动由一个持久威胁组织发起，利用恶意LNK文件来实现未经授权的远程桌面协议（RDP）访问。攻击者通过复杂的多阶段攻击链，主要依靠PowerShell和BAT脚本来下载和执行额外的有效载荷。这种脚本化的方法帮助他们绕过传统安全解决方案的检测。攻击涉及在受害者的系统上创建一个新的管理员账户，并降低RDP的认证要求，以简化攻击者的非法访问。除了远程桌面入侵外，攻击者还部署了一个名为ChromePass的密码恢复工具，从Chromium浏览器中收集保存的密码，增加了账户被广泛入侵的风险。该活动的初始感染通常来自于钓鱼邮件中分发的ZIP文件，其中包含恶意LNK快捷方式文件。执行后，LNK文件触发PowerShell命令，从远程服务器下载并执行多个有效载荷。这些脚本协同工作，不仅创建了新的管理员账户，还修改了终端服务设置，降低了认证要求，方便攻击者进行远程访问以开展数据窃取、恶意软件安装等恶意活动。

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations/

---

2 Fog勒索软件利用SonicWall VPN漏洞入侵企业网络

最近，Fog和Akira勒索软件团伙通过SonicWall VPN账户，利用CVE-2024-40766漏洞，频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞，并在随后一周警告称该漏洞已被积极利用。最新的报告指出，Akira和Fog勒索软件行动至少进行了30次入侵，这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中，75%与Akira有关，其余的则归因于Fog勒索软件。值得注意的是，这两个威胁团伙似乎共享基础设施，显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞，但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下，从入侵到数据加密的时间很短，通常约为十个小时，最快甚至达到1.5至2小时。许多攻击中，攻击者通过VPN/VPS访问终端，隐藏其真实IP地址。在随后的攻击阶段，威胁者迅速加密，主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件，但攻击者对超过六个月（或更敏感文件超过30个月）的文件不感兴趣。Fog勒索软件于2024年5月推出，通常利用被盗的VPN凭证进行初始访问。

https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

---

3 研究人员监测到针对SPIP CMS的新攻击

研究人员近期报告了针对开源SPIP内容管理系统的新一轮网络攻击，同时，物联网设备及其他漏洞的利用活动也在持续进行。根据研究人员的每周传感器情报报告，活跃攻击活动涉及多个已知漏洞，其中包括新发现的针对SPIP CMS的攻击。此漏洞存在于SPIP版本4.3.2、4.2.16和4.1.18之前，具体为CVE-2024-8517的命令注入问题。攻击者可以通过发送特制的多部分文件上传HTTP请求，远程执行任意操作系统命令。此外，报告指出，针对PHP、Linux系统以及Java和Python框架的已知漏洞的攻击活动仍在持续。物联网设备和嵌入式系统中的旧漏洞也以惊人的速度被利用。

https://cyble.com/blog/cyble-sensors-detect-new-attacks-on-cms-iot-exploits-continue/

---

4 AWS Cloud Development Kit漏洞可能导致用户账户被接管

近期，研究人员披露了影响亚马逊网络服务（AWS）Cloud Development Kit（CDK）的安全漏洞，该漏洞在特定情况下可能导致账户接管。研究人员指出，攻击者在某些情况下可能获得目标AWS账户的管理访问权限，从而实现完全控制。该问题于2024年6月27日被负责任地披露，并在2024年7月发布的CDK版本2.149.0中得到修复。该漏洞与AWS的“影子资源”相关，利用了AWS简单存储服务（S3）桶的预定义命名约定。AWS CDK的引导过程会创建包括S3桶、Amazon Elastic Container Registry（ECR）和IAM角色在内的资源，而这些IAM角色的命名模式使得猜测桶名变得简单。当用户未自定义引导时，S3桶名的默认值“hnb659fds”使得攻击者可以通过已知的AWS账户ID和区域轻松预测桶名，从而实施S3桶名称抢注攻击。如果攻击者成功创建了与受害者CDK先前使用的桶相同名称的桶，他们可能会获得读取和写入数据的权限，从而篡改CloudFormation模板，执行恶意操作。研究人员指出，CloudFormation的部署角色默认具有管理员权限，这使得攻击者能够在受害者的AWS账户中创建特权资源。

https://www.aquasec.com/blog/aws-cdk-risk-exploiting-a-missing-s3-bucket-allowed-account-takeover/

---

5 四名REvil勒索软件成员在俄被判刑

四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁，此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨（Artem Zaets）、阿列克谢·马洛泽莫夫（Alexei Malozemov）、达尼尔·普齐列夫斯基（Daniil Puzyrevsky）和鲁斯兰·汉斯维亚罗夫（Ruslan Khansvyarov）。他们因非法支付处理被定罪，普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道，圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决，扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁，而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的，该组织的领导人与针对外国科技公司的网络攻击有关。

https://www.kommersant.ru/doc/7263987

---

6 Landmark保险公司数据泄露影响超80万人

保险行政服务公司Landmark Admin近日警告称，2024年5月发生的网络攻击导致超过80万人受到数据泄露影响。Landmark Admin为保险公司提供后端服务，包括新业务处理和索赔管理，服务对象涵盖多家大型保险公司，如美国纪念生命保险公司、佩勒林生命保险公司、美国福利生命保险公司、自由银行生命保险公司、大陆互助保险公司及国会生命保险公司。根据提交给缅因州总检察长办公室的文件，Landmark在2024年5月13日检测到可疑活动，随后关闭了IT系统并切断了对网络的远程访问，以防止攻击蔓延。Landmark随后与第三方网络安全公司合作，修复事件并调查数据是否被盗。在调查过程中，Landmark发现攻击者访问了一些包含806519人个人信息的文件。这些信息可能包括：姓名、地址、社会安全号码、税务识别号码、驾驶执照号码、护照号码、金融账户号码、医疗信息、出生日期、健康保险政策号码以及人寿和年金政策信息。Landmark表示，受影响的个人将通过邮件通知具体影响的信息。

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/2bd97a04-38be-40f1-94fd-9d143ea4bc9f.html

---