每日安全简讯(20241103)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新的LightSpy间谍软件版本以iPhone为目标

2024年5月，研究人员发布了一份关于LightSpy for macOS的报告。在调查过程中发现威胁行为者对macOS和iOS活动使用相同的服务器。威胁行为者扩展了对iOS平台的支持，最高可达13.3版。他们利用公开可用的Safari漏洞CVE-2020-9802进行初始访问，并使用CVE-2020-3837进行权限提升。该行动使用不同的插件集开展了多个活动。一个特定的活动包括可能破坏操作系统稳定性的插件，具有冻结设备甚至阻止其启动的功能。威胁行为者继续依赖公开可用的漏洞和越狱工具包来访问设备并提升权限。该威胁行为者还深入参与了间谍软件结构中的越狱代码集成，该结构支持其模块化架构。此外，还发现间谍软件的一些核心二进制文件是使用越狱工具包中使用的相同证书签名的。

https://www.threatfabric.com/blogs/lightspy-implant-for-ios

---

2 StrelaStealer恶意软件通过WebDAV隐蔽网络钓鱼行为

研究人员分析了StrelaStealer恶意软件针对中欧和西南欧的隐蔽网络钓鱼活动，使用混淆的JavaScript和WebDAV来部署其有效负载并窃取敏感凭据。Strela Stealer于2022年底首次由DCSO发现，是一种信息窃取恶意软件，主要旨在从广泛使用的电子邮件客户端(包括Microsoft Outlook和Mozilla Thunderbird)中窃取电子邮件帐户凭据。该恶意软件最初通过包含恶意ISO附件的垃圾邮件活动以讲西班牙语的用户为目标，其中包括一个.lnk文件和一个多语言文件。执行时，.lnk文件会触发多语言文件，使用"rundll32.exe"执行诱饵html和Strela窃取器DLL。威胁行为者随后通过使用带有ZIP文件附件的鱼叉式网络钓鱼电子邮件来改进他们的策略。当用户下载并提取存档时，一个JavaScript文件将保存到他们的系统上。执行JavaScript文件会删除一个Base64编码的文件和一个批处理文件。然后使用"certutil -f decode"命令对Base64文件进行解码，创建一个使用"rundll32.exe"和导出函数"hello"执行的DLL。

https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav/

---

3 QNAP HBS 3 Hybrid Backup Sync中存在严重的操作系统命令注入漏洞

2024 年10月29日，QNAP发布了关于严重操作系统命令注入漏洞的安全公告，追踪编号为CVE-2024-50388。该漏洞由Pwn2Own大会上的研究人员发现，它影响了HBS 3 Hybrid Backup Sync，这是一种备份和灾难恢复解决方案，组织使用它来跨多个位置进行安全数据保护。该漏洞允许远程攻击者执行任意命令。研究人员尚未观察到此漏洞在野外被利用的任何实例。过去，Qlocker等多个勒索软件行为者都以QNAP产品为目标。鉴于CVE-2024-50388的严重性以及HBS 3 Hybrid Backup Sync作为威胁行为者(尤其是勒索软件组织)目标的吸引力，威胁行为者可能会在不久的将来尝试利用此漏洞。

https://arcticwolf.com/resources/blog/cve-2024-50388/

---

4 插件的新型攻击

在最新的传感器智能报告中，LightSpeed Cache和GutenKit WordPress插件受到攻击，IoT和VNC攻击加速。LightSpeed Cache和GutenKit中的两个 9.8 严重性漏洞正在受到攻击，因为WordPress和其他CMS和发布系统仍然是威胁行为者的有吸引力的目标。IoT设备和嵌入式系统中的漏洞继续以惊人的速度成为目标。除了较旧的漏洞利用之外，研究人员还强调了一个较旧的RDP漏洞，该漏洞可能仍然存在于某些IOT网络中。鉴于修补这些系统的难度，漏洞可能会持续存在，需要额外的缓解措施。PHP、Linux系统以及Java和Python框架中的漏洞也仍然受到攻击。该报告还研究了诈骗和暴力活动。VNC(虚拟网络计算)是本周暴力攻击的主要目标。随着针对多个关键系统的活动威胁凸显出来，依然需要保持警惕并做出响应。WordPress和VNC安装以及IoT设备是本周较大的攻击目标之一，值得安全团队额外关注。大量的暴力攻击和网络钓鱼活动表明组织面临的普遍漏洞危机。

https://cyble.com/blog/cyble-sensors-detect-new-attacks-on-lightspeed-gutenkit-wordpress-plugins/

---

5 英国议会击退亲俄键盘侠的DDoS攻击

目标从周二开始，在名单上的众多权威机构中，布拉德福德、伊斯特利、基斯利、索尔福德、塔梅赛德和特拉福德的网站无法访问。Eastleigh 和 Trafford的网站在周三仍然关闭，Salford的网站一直关闭，直到下午，它才带着挥之不去的技术困难的警告回来。NoName057组织以一群DDoS攻击者而闻名，他们按照组织领导层设定的指示行事。这些说明通常包括NoName成员执行协调DDoS攻击的目标域和 IP地址。根据发送给小组成员的信息，这些委员会成为目标，因为英国重新支持乌克兰对抗俄罗斯的入侵，并引用了一个多月前的新闻报道。NoName黑客组织是俄罗斯入侵乌克兰后不久出现的众多组织之一。NoName通过Telegram频道运营，通过该频道共享其活动更新并向成员传达指示。其目标名单大多数都是共享的，并且总是包含该组织认为是反俄的目标。

https://www.theregister.com/2024/11/01/uk_councils_russia_ddos/

6 洛杉矶住房管理局遭Cactus勒索软件攻击

进日证实，在Cactus勒索软件团伙最近提出违规索赔后，其IT网络遭到网络攻击。HACLA为加利福尼亚州洛杉矶的低收入家庭、儿童和老年人提供负担得起的公共住房和援助计划。作为一家州特许公共机构，它管理着超过32000个公共住房单元，年度预算超过10亿美元。虽然HACLA没有透露网络攻击的性质，但Cactus勒索软件团伙声称存在违规行为，称据称它从受感染的网络中窃取了891GB的文件。勒索软件团伙还上传了一份包含据称被盗文件的档案，以证明他们的说法。Cactus勒索软件于2023年3月出现，受到双重勒索攻击，此后已将260多家公司添加到其暗网数据泄露网站。正如该组织在2023年3月披露的那样，HACLA也在两年前被LockBit勒索软件团伙入侵。

https://www.bleepingcomputer.com/news/security/la-housing-authority-confirms-breach-claimed-by-cactus-ransomware/

---