每日安全简讯(20241117)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 越南黑客组织针对政府及教育机构发起窃密攻击活动

Cisco Talos近日披露了一项越南黑客组织实施的窃密攻击活动。此次攻击利用名为PXA Stealer的恶意软件，瞄准欧洲和亚洲的政府及教育机构，特别是印度教育部门和瑞典、丹麦的政府组织。该恶意软件通过复杂的批处理脚本混淆技术隐匿其行为，主要窃取包括浏览器登录信息、Cookies、自动填充数据、加密货币钱包信息、VPN客户端数据、游戏账户以及聊天软件中的敏感信息。PXA Stealer具有解密浏览器主密码的能力，从而窃取存储的在线账户凭据。目前尚不确定攻击者是通过入侵该域名还是以合法手段获取访问权限后用于恶意目的。此外，攻击者借助Telegram Bot对受害者数据进行外泄，分析表明PXA Stealer代码中嵌入了多个Telegram Bot令牌及聊天ID。攻击者使用的Telegram账户名为“Lone None”，带有越南国旗及公共安全部徽标。

https://blog.talosintelligence.com/new-pxa-stealer/

---

2 Glove Stealer利用IElevator服务绕过App-Bound加密机制

网络安全研究人员近日发现了一款名为“Glove”的新型信息窃取恶意软件，其采用.NET编写，专注于窃取广泛的浏览器扩展数据及本地安装软件中的敏感信息。Glove主要攻击目标包括浏览器数据（如Cookies和自动填充信息）、加密货币钱包、双重身份验证器、密码管理器及电子邮件客户端等。该恶意软件通过伪装成修复工具并借助仿冒邮件（如“ClickFix”主题的钓鱼邮件）进行传播，诱导用户执行隐藏在恶意脚本中的命令。攻击者利用最新公开的IElevator服务成功绕过Google Chrome 127版中引入的App-Bound加密技术，进一步提升了攻击成功率。研究人员指出，Glove目前尚处于开发初期，代码混淆和保护机制较少，但其已对280款浏览器扩展和80多款本地应用程序展开窃取活动。

https://www.gendigital.com/blog/insights/research/glove-stealer

---

3 攻击者利用盗版内容传播Lumma Stealer窃密木马

网络犯罪分子正通过盗版影视内容传播恶意软件，利用用户对热门未播出剧集和电影的渴望进行攻击。Bitdefender研究发现，攻击者在种子网站上传伪装为未播出影视内容的恶意种子文件，以吸引不设防的用户。这些种子文件通常以真实文件大小和命名规则伪装，用户下载后解压发现包含一种名为Lumma Stealer的恶意软件。这种恶意软件作为“恶意软件即服务”（MaaS）产品销售在暗网，即使是技术水平不高的攻击者也能轻松部署。Lumma Stealer主要窃取Windows设备中存储的敏感数据，包括浏览器的用户名、密码、加密货币钱包信息、信用卡信息和会话Cookie。此前，Lumma Stealer已被用于假冒CAPTCHA提示和钓鱼邮件附件等攻击场景。而通过盗版影视种子传播，则利用了用户对下载影视内容的戒备心较低这一心理弱点。即便用户避开了显眼的可执行文件如SCR格式，攻击者仍会不断调整策略，寻找新的攻击方式。

https://www.bitdefender.com/en-us/blog/hotforsecurity/torrents-pirated-tv-shows-lumma-stealer

---

4 CISA警告Palo Alto Networks Expedition的两个漏洞已被攻击者利用

美国网络安全与基础设施安全局（CISA）于11月14日警告，Palo Alto Networks Expedition工具的两个关键漏洞（CVE-2024-9463和CVE-2024-9465）正被在野利用。这些漏洞是10月初修复的，但近期被发现遭到攻击者的恶意利用。CVE-2024-9463是一个操作系统命令注入漏洞，攻击者无需认证即可以root权限运行任意操作系统命令，导致明文凭证、设备配置和API密钥等敏感信息泄露。CVE-2024-9465则为SQL注入漏洞，允许未经认证的攻击者访问Expedition数据库中的敏感信息，并创建或读取系统上的任意文件。Expedition是一款帮助用户从第三方厂商（如Check Point或Cisco）迁移配置至Palo Alto Networks产品的工具，广泛用于企业环境中。CISA已将上述漏洞加入其“已知被利用漏洞目录”（KEV），并要求政府机构采取紧急措施以防止潜在利用。

https://www.securityweek.com/cisa-warns-of-two-more-palo-alto-expedition-flaws-exploited-in-attacks/

---

5 美国黑客因窃取13万余人数据并实施敲诈被判十年监禁

美国爱达荷州45岁男子罗伯特·普贝克（Robert Purbeck）因黑客攻击至少19个机构、窃取超过132000人的个人数据以及多次敲诈行为，被判处十年监禁。根据起诉书，普贝克（又名“Lifelock”和“Studmaster”）的犯罪活动始于2017年。当年，他通过暗网购买了佐治亚州一家医疗诊所服务器的访问权限，窃取了43000名患者的个人身份信息（PII），包括姓名、地址和社会安全号码。2018年2月，他购买了佐治亚州某警察局服务器的访问权限，侵入纽南市系统后，获取了14000人的警察报告和个人信息。同年7月，他向一名佛罗里达州医生勒索赎金，威胁泄露其患者的健康数据，甚至在10天内多次通过电子邮件和短信骚扰医生及其患者。

https://www.bitdefender.com/en-au/blog/hotforsecurity/idaho-10-years-threatening-doctor-leak-childs-data-hacking-clinics

---

6 微软因邮件传输问题撤回Exchange安全更新

微软近日撤回了2024年11月发布的Exchange Server安全更新，原因是该更新在使用自定义邮件流规则的服务器上引发了邮件传输问题。据管理员反馈，在安装更新后，邮件流会定期停止，严重影响邮件的正常发送与接收。此次问题主要影响使用邮件流规则或数据丢失保护（DLP）规则的客户。邮件流规则用于在邮件传输过程中筛选和重定向邮件，而DLP规则则防止敏感信息意外泄露。微软表示，正在调查并开发永久解决方案，将在修复完成后重新发布更新。同时，已经暂停通过Windows和Microsoft Update分发的11月更新。微软建议受影响的管理员卸载相关更新以恢复正常的邮件传输功能。而对于未使用邮件流或DLP规则且未遇问题的客户，可以继续使用现有的Exchange服务器版本。

https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-exchange-security-updates-over-mail-delivery-issues/

---