每日安全简讯(20241124)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 微软打击ONNX网络钓鱼服务并公开其运营者身份

微软宣布成功打击了ONNX网络钓鱼服务，通过法律诉讼查封了240个关联域名，并曝光了该服务的主要运营者——埃及男子Abanoub Nady（网名MRxC0DER）。微软表示，Nady长期从事网络钓鱼工具包的开发和销售，包括ONNX、Caffeine和FUHRER等，通过“网络钓鱼即服务”模式为犯罪分子提供工具，以窃取用户凭证并发起大规模攻击。ONNX的工具包支持中间人攻击（AitM），能够绕过多因素认证，加剧了威胁。微软联合Linux基金会采取法律行动，切断了这些恶意基础设施，并警告其他潜在的犯罪行为者。微软强调，此次行动虽然削弱了ONNX的运营，但类似威胁仍可能重现，呼吁各方加强防范。此次打击不仅展示了技术和法律结合的有效性，也为未来类似威胁提供了有力震慑。

https://www.securityweek.com/microsoft-disrupts-onnx-phishing-service-names-its-operator/

---

2 CISA警告BianLian勒索软件转型为数据窃取团伙

美国网络安全与基础设施安全局（CISA）、联邦调查局（FBI）和澳大利亚网络安全中心（ACSC）发布的最新联合公告显示，BianLian勒索软件组织已完全转型为以数据窃取为核心的勒索团伙。这一变化标志着该组织自2024年1月起彻底放弃加密文件的勒索模式。BianLian早期采用“双重勒索”模式，即在窃取数据后加密受害者系统以索取赎金。然而，自2023年初起，该组织逐步放弃文件加密策略，转而专注于通过窃取并威胁公开数据来施压。特别是在2023年1月，安全公司Avast发布其解密工具后，这一转型显著加速。公告还指出，BianLian通过使用外语名称试图掩盖其来源，但情报显示其主要运营者和多个附属团伙位于俄罗斯。自2022年以来，该团伙的活动频繁，今年在其暗网勒索门户中已列出154名受害者。虽然受害者主要为中小型企业，但其近期攻击目标包括加拿大航空、北方矿业和波士顿儿童健康医生组织等知名机构。

https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/

---

3 社交平台BlueSky出现一系列加密货币骗局

随着去中心化社交平台BlueSky用户数量突破2000万，网络犯罪分子也开始将目标转向该平台。据报道，近期BlueSky上出现了一系列加密货币骗局，包括伪造与科技巨头Meta相关的“MetaChain”和“MetaCoin”虚假资产宣传，以及冒充获奖公告诱导用户访问恶意网站。部分诈骗信息采用AI生成的图片和精心仿制的Meta品牌设计，误导用户相信其合法性。此外，还有帖子利用知名节目片段和热门标签（如#tesla和#blockchain）吸引点击，推广虚假加密货币交易平台。这些行为表明，BlueSky正在经历与其他社交媒体平台类似的安全挑战，例如X/Twitter长期遭遇的高频加密诈骗。用户社区已对此表达担忧，并呼吁采取行动防范骗局扩散。BlueSky的快速增长吸引了更多用户，同时也成为诈骗者的新目标，提醒平台需要加强审核机制，保护用户安全。

https://www.bleepingcomputer.com/news/security/now-bluesky-hit-with-crypto-scams-as-it-crosses-20-million-users/

---

4 攻击者利用Palo Alto防火墙漏洞发起攻击活动

Palo Alto Networks及其威胁情报团队Unit 42持续追踪针对CVE-2024-0012和CVE-2024-9474漏洞的攻击活动。这些漏洞允许未经认证的攻击者通过管理接口获得PAN-OS管理员权限，进一步执行恶意操作或利用权限提升漏洞进行攻击。Unit 42将此次漏洞利用活动命名为“Lunar Peek行动”。自2024年11月19日第三方研究人员公开技术细节以来，相关威胁行为显著增加，涉及手动和自动化扫描、Web Shell部署以及加密货币挖矿等活动。部分受害设备还被观察到植入了开源C2工具。Palo Alto Networks建议用户尽快应用修补程序，并通过限制管理接口的访问至可信内网IP地址来减少风险。此外，Unit 42发布了详细的攻击指标（IOC）和上下文信息，用户可在官方GitHub页面查阅以加强防护。此次行动凸显了及时修复和严格访问控制的重要性，Palo Alto Networks承诺继续协助客户应对此次威胁并追踪最新动态。

https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/#post-137539-_50343o6a6han

---

5 研究人员发现Fortinet VPN日志机制存在盲点

研究人员在分析Fortinet VPN客户端时，发现一种自动验证凭据的方法，并揭示了FortiClient VPN的日志机制存在的潜在盲点。尽管Fortinet并未将其认定为漏洞，但这一问题可能为攻击者提供机会，威胁企业网络的安全。研究表明，通过简单的HTTPS请求即可触发服务器的身份验证尝试，服务器会返回凭据状态，包括有效、失败或因尝试过多而被限制的错误。这种反馈机制为研究人员理解认证流程提供了关键信息，同时也为攻击者可能利用这一机制规避传统安全监控敞开大门。研究团队已将这一发现告知Fortinet，并向安全社区发布了详细信息及测试脚本，以提高对该风险的认识。研究人员建议企业对VPN客户端日志的完整性与可见性保持警惕，采用更严格的安全控制措施，防范潜在威胁。

https://pentera.io/blog/FortiClient-VPN_logging-blind-spot-revealed/

---

6 法国医院遭遇网络攻击导致超过75万患者的医疗记录被泄露

近日，法国一家医院因遭遇网络攻击，导致超过75万患者的医疗记录被泄露，暴露出医疗数据安全的严峻挑战。一名自称“nears”的黑客声称，其通过入侵多个医疗机构的系统获取了超过150万人的医疗信息。其中，黑客利用了Mediboard电子病历系统的账户凭据，成功进入系统并访问敏感数据。Mediboard的开发商Softway Medical Group证实，该攻击源于凭据盗窃，并非软件漏洞或配置错误。据悉，黑客在地下网站上出售对Mediboard平台的访问权限，声称购买者可查看敏感医疗信息、预约日程、甚至修改病人记录。目前虽无证据表明数据已被购买，但黑客已声称与三名潜在买家共享了部分记录。此次泄露不仅可能引发患者身份盗窃、网络钓鱼及社交工程攻击等问题，更凸显了医疗行业对数据安全防护的迫切需求。

https://www.tripwire.com/state-of-security/750000-patients-medical-records-exposed-after-data-breach-french-hospital

---