每日安全简讯(20241123)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新的Ghost Tap攻击利用NFC移动支付窃取资金

威胁情报机构ThreatFabric近期发现，犯罪分子正利用NFC流量汇聚技术实施新型信用卡套现方案。该方案被称为“幽灵轻击”（Ghost Tap），核心是通过工具NFCGate实现远程支付操作，将被盗信用卡与移动支付账户（如Google Pay或Apple Pay）绑定后，使用中继服务器将NFC支付请求从攻击者设备转移至骡子设备。骡子通过POS终端完成交易，而攻击者则远程操控，从而实现匿名资金套现。这种方法不仅可以绕过传统交易监控系统，还能在短时间内在多个地点完成大规模欺诈行为。由于NFCGate等工具公开可得，实施此类攻击的技术门槛较低，风险覆盖范围广泛。专家建议金融机构加强OTP验证和NFC流量监控，同时提高用户安全意识以减少潜在威胁。

https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay

---

2 亚马逊及其子公司Audible涌入大量虚假信息

亚马逊及其子公司Audible近期遭遇大量垃圾内容涌入，这些虚假信息链扩散可疑的外汇交易计划、Telegram频道，以及声称提供盗版软件的链接。垃圾信息出现在Amazon.com、Amazon Music、Audible等平台上，以伪装的播客或列表形式诱导用户访问外部可疑网站。BleepingComputer报告显示，这些内容包含零秒长度的“播客集”或作弊性描述，用于搜索引擎优化（SEO）作弊，即通过大量无关内容提高可疑域名的排名。类似的手法也出现在Spotify等平台，利用开放式数字分发平台传播恶意链接，显着增加了用户中招的风险。亚马逊虽然已删除部分被举报的垃圾内容，但尚未对问题作出回应。专家呼吁数字平台加强内容审核机制，以防止此类垃圾内容泛滥，并保护用户潜在威胁。

https://www.bleepingcomputer.com/news/security/amazon-and-audible-flooded-with-forex-trading-and-warez-listings/

---

3 MITRE发布2024年最危险的25个软件漏洞

MITRE近日公布2024年“最危险软件漏洞Top 25”，揭示了过去一年间超过31000个漏洞背后的主要软件漏洞。这些漏洞涵盖软件代码、架构、实现或设计中的缺陷，攻击者可利用它们控制受影响设备、访问敏感数据或发动拒绝服务（DoS）攻击。榜单的生成基于对2023年至2024年间31770条CVE记录的分析，重点关注纳入CISA“已知被利用漏洞”（KEV）目录的安全问题。MITRE指出，这些弱点通常易于发现和利用，可能导致系统全面失控、数据被窃取或应用程序瘫痪。CISA强调，企业应参考此榜单优化软件安全策略，将这些弱点作为开发和采购环节的优先防护目标，从根源上减少漏洞产生。MITRE认为，揭示漏洞根源能为产业界和政府制定有效防御投资和政策提供指南，有助于从软件生命周期核心预防安全风险，提升整体系统安全性。

https://cwe.mitre.org/top25/

---

4 Qualys发现Ubuntu Server中默认安装的组件存在五个提权漏洞

Qualys威胁研究小组（TRU）发现了Ubuntu Server中默认安装的needrestart组件存在五个本地权限提升（LPE）漏洞。这些漏洞（CVE-2024-48990至CVE-2024-11003）允许未授权用户在无需交互的情况下获得完全的root权限，严重威胁系统安全性。漏洞始于2014年4月发布的needrestart 0.8版本，目前影响范围覆盖Ubuntu Server 21.04及其后版本。needrestart的核心功能是标记需要重启的服务，确保服务加载最新的库文件以提升系统性能与安全性。然而，漏洞存在于对环境变量的处理上，攻击者可通过操控变量注入恶意代码，从而在APT操作（如安装或升级软件包）期间以root身份执行任意命令。受影响版本包括3.8之前的所有版本，Ubuntu已针对部分长期支持（LTS）版本的旧版本needrestart推出补丁，但建议用户尽快更新至3.8或应用已发布的修复补丁。

https://blog.qualys.com/vulnerabilities-threat-research/2024/11/19/qualys-tru-uncovers-five-local-privilege-escalation-vulnerabilities-in-needrestart

---

5 金融科技巨头Finastra调查SFTP系统遭到黑客攻击后的数据泄露事件

全球金融科技巨头Finastra确认，其安全文件传输平台（SFTP）系统遭到黑客攻击后，客户数据可能被泄露。该公司在11月7日发现威胁行为者使用被盗凭证访问SFTP系统，目前正在与第三方网络安全专家合作展开调查。初步评估显示，攻击范围仅限于SFTP平台，未发生横向移动。黑客在地下论坛声称掌握了Finastra的400GB数据并试图出售，但相关帖子已被删除，数据是否已售出尚未明确。Finastra表示，受影响的SFTP平台并非所有客户的默认文件交换工具，具体影响范围仍在确定中，将直接联系受影响的用户。Finastra是服务于全球130多个国家的金融软件公司，客户包括45家全球顶级银行，年收入达17亿美元。值得注意的是，该公司在2020年曾遭遇勒索软件攻击。本次事件再次凸显金融科技领域对数据安全的高度敏感性以及持续性威胁的严峻性。

https://www.bleepingcomputer.com/news/security/fintech-giant-finastra-investigates-data-breach-after-sftp-hack/

---

6 Scattered Spider成员因涉嫌数百万美元的网络犯罪遭到起诉

美国司法部指控五名隶属于“Scattered Spider”网络犯罪团伙的成员，罪名包括电信诈骗、共谋犯罪和加重身份盗窃罪。该团伙通过社交工程手段收集公司员工的登录凭据，非法访问敏感数据，并盗取价值超1100万美元的加密资产。被控者包括23岁的Ahmed Hossam Eldin Elbadawy、20岁的Noah Michael Urban、20岁的Evans Onyeaka Osiebo、25岁的Joel Martin Evans，以及22岁的英国籍Tyler Robert Buchanan。美国联邦调查局（FBI）已于2024年11月19日逮捕Evans，而Buchanan则在西班牙被捕，另一名英国未成年人也在今年夏天被拘留。法院文件指出，该团伙自2021年9月至2023年4月间，通过短信钓鱼攻击获取公司员工凭据，侵入企业网络，窃取非公开信息、个人数据，并执行SIM卡交换攻击。这些手段使他们得以进一步侵入受害者的加密货币账户。

https://thehackernews.com/2024/11/5-scattered-spider-gang-members.html

---