每日安全简讯(20241120)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Bitdefender披露利用流行平台传播恶意软件的攻击活动

2024年，Bitdefender实验室揭露了一场利用Facebook广告平台进行恶意广告攻击的活动，该活动伪装成知名密码管理工具Bitwarden的扩展更新，诱骗用户安装恶意浏览器扩展，从而窃取个人及商业数据。攻击者通过Facebook投放的假冒广告，以“警告：您的密码存在风险！”等紧急语言吸引用户点击。广告链接指向一个伪装为Chrome Web Store的钓鱼页面，用户在页面中被引导手动加载恶意扩展，绕过浏览器的安全检测。一旦安装，该扩展通过获取广泛权限，监控用户在线活动，并窃取敏感数据。Bitdefender分析表明，攻击主要针对欧洲18-65岁用户，且已有数千人受到影响，存在全球扩展的可能性。恶意扩展通过脚本后台收集Facebook用户的个人信息、广告账户数据和支付信息，并将数据上传至攻击者的远程服务器。该事件凸显出攻击者利用可信平台如Facebook和Google Drive隐藏攻击意图的策略复杂性。

https://www.bitdefender.com/en-us/blog/labs/inside-bitdefender-labs-investigation-of-a-malicious-facebook-ad-campaign-targeting-bitwarden-users

---

2 Broadcom警告VMware vCenter Server漏洞已被攻击者利用

在近期关于VMware vCenter漏洞的更新中，Broadcom于本周确认CVE-2024-38812和CVE-2024-38813已经被“野外利用”，这使得这些漏洞的威胁等级进一步上升。尽管公司在9月已经发布了相关安全补丁，但由于原始补丁未能完全修复CVE-2024-38812，该漏洞的安全公告在一个月后被更新，并强烈建议管理员立即应用新发布的修补程序。目前，这些漏洞没有可用的临时解决方案，因此受影响的用户需要尽快更新至最新补丁版本以防止潜在的攻击。此外，Broadcom发布了一份补充公告，详细说明了如何在受影响的系统上部署安全更新，同时列出了可能影响已升级用户的已知问题，以帮助客户更顺利地完成修复过程。需要注意的是，类似的VMware vCenter漏洞早已成为攻击者的首选目标。2024年6月，Broadcom修复了另一个类似的远程代码执行漏洞CVE-2024-37079，而这一漏洞同样可以通过特制数据包被利用。

https://github.com/vmware/vcf-security-and-compliance-guidelines/blob/main/security-advisories/vmsa-2024-0019/README.md

---

3 Palo Alto Networks发布其下一代防火墙漏洞的安全更新

Palo Alto Networks近期发布了针对其下一代防火墙（NGFW）两处零日漏洞的安全更新，这些漏洞已经被攻击者在实际中利用。第一个漏洞（CVE-2024-0012）是出现在PAN-OS管理Web界面中的身份验证绕过问题，攻击者可以通过该漏洞在无需身份验证或用户交互的情况下获得管理员权限。第二个漏洞（CVE-2024-9474）是一个权限提升漏洞，允许恶意的PAN-OS管理员以root权限执行防火墙上的操作。尽管CVE-2024-9474在今日才被披露，早在11月8日，该公司就已警告客户限制访问其下一代防火墙，以防范CVE-2024-0012导致的潜在远程代码执行（RCE）风险。Palo Alto Networks今日表示，已观察到针对这两个零日漏洞的威胁活动，特别是针对暴露于互联网流量的管理Web界面。公司还强调，这些漏洞影响的设备数量非常少，并一直与客户合作识别并减少暴露于互联网或不可信网络的PAN-OS设备数量。

https://www.bleepingcomputer.com/news/security/palo-alto-networks-patches-two-firewall-zero-days-used-in-attacks/

---

4 Phobos勒索软件管理员被从韩国引渡至美国受审

美国司法部宣布，俄罗斯国民叶夫根尼·普蒂辛因涉嫌管理和运营Phobos勒索软件，被从韩国引渡至美国。他被控通过国际网络攻击和勒索计划，利用Phobos勒索软件攻击了全球超过1000家公共及私人机构，勒索金额超过1600万美元。根据起诉书，普蒂辛及其同伙开发并出售该勒索软件给犯罪分子，用于加密受害者数据并勒索赎金。通过暗网平台，他以“derxan”等化名分销软件，并收取解密费用。受害者包括学校、医院、非营利组织及重要基础设施单位等。普蒂辛被控13项罪名，包括电信欺诈、计算机欺诈及故意破坏受保护计算机罪。若罪名成立，他最高将面临20年监禁。此次引渡与多个国际执法机构合作完成，凸显跨国联合打击网络犯罪的重要性。

https://www.justice.gov/opa/pr/phobos-ransomware-administrator-extradited-south-korea-face-cybercrime-charges

---

5 攻击者利用Microsoft 365管理门户发送性勒索邮件

近期，有不法分子滥用Microsoft 365管理门户的消息中心功能，大量发送性勒索邮件。这些邮件伪装成微软官方通知，绕过传统电子邮件安全平台，直接进入用户的收件箱，从而增加受害者上当的可能性。性勒索邮件通常声称黑客窃取了用户的隐私视频或图像，并威胁公开这些内容以索要500至5000美元不等的赎金。这类骗局自2018年首次出现以来便具有高盈利性，当时每周可获利超5万美元。尽管传统邮件安全平台已能够识别并隔离大部分性勒索邮件，但利用Microsoft 365消息中心发送的邮件来源于微软合法地址，因此难以被标记为垃圾邮件。Microsoft 365消息中心的“分享”功能被滥用是此次骗局的核心漏洞，该功能原本旨在让管理员分享服务公告和功能更新信息。

https://www.bleepingcomputer.com/news/security/microsoft-365-admin-portal-abused-to-send-sextortion-emails/

---

6 Brave浏览器1.71版本在iOS中推出“Shred”功能以增强隐私保护

Brave浏览器1.71版本在iOS上推出了一项新功能——“Shred”，旨在提供更强的隐私保护。该功能允许用户轻松删除特定网站的浏览数据，避免了通过第一方Cookies进行的用户追踪，尤其对于那些使用付费墙和使用限制的站点来说，这些数据往往易被第三方共享。与其他浏览器中的类似功能不同，Shred能够实现单个网站的数据清除，只需一次点击即可，而无需注销所有网站的账户或管理一个复杂的例外列表。Shred功能既可手动启用，也可自动运行，给予用户更多便捷和控制。当启用时，它会删除Cookies、局部存储（通过私有WebKit API）和网络缓存。用户可通过长按标签按钮或在“Shields”选项中选择该功能来手动启用。这个新增功能进一步提升了Brave浏览器的隐私保护能力，使用户能够更加灵活地管理在线隐私。

https://brave.com/privacy-updates/30-shred-button/

---