每日安全简讯(20241125)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT28黑客组织利用邻近Wi-Fi网络远程攻破美国企业

2022年2月，俄罗斯国家支持的黑客组织APT28（又称Fancy Bear或Sofacy）通过“邻近攻击”（Nearest Neighbor Attack），成功入侵一家美国公司。尽管黑客身处俄罗斯，却通过邻近建筑内的组织作为跳板，突破目标企业的Wi-Fi网络。网络安全公司Volexity发现，此攻击涉及APT28首先通过密码喷射攻击获取有效凭据，虽因多因素认证（MFA）限制无法直接访问目标的互联网资源，但企业Wi-Fi网络的缺乏MFA保护成为突破口。黑客利用邻近建筑内受害组织的网络，寻找既连接有线网络又具备无线功能的设备（如笔记本电脑或路由器）。这些设备通过Wi-Fi适配器成为连接目标网络的桥梁。Volexity的调查揭示，APT28攻破了多个相邻组织，并最终利用一个位于目标会议室窗口附近的设备连接到企业Wi-Fi。随后，黑客通过远程桌面协议（RDP）从低权限账户横向移动，查找关键系统并窃取数据。

https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/

---

2 攻击者利用Avast的Anti-Rootkit驱动程序绕过安全防护

最新的恶意攻击活动利用了Avast的旧版Anti-Rootkit驱动程序的漏洞，通过禁用目标系统的安全组件来规避检测并获得控制权限。此恶意软件变种名为“AV Killer”，它携带了一个硬编码的安全进程列表，其中包含了142个不同厂商的安全软件进程名。根据Trellix的安全研究人员发现，这一攻击采用了“自带漏洞驱动程序”（BYOVD）策略，利用Avast的Anti-Rootkit驱动程序的漏洞停止目标系统上的安全软件。攻击的过程包括恶意软件通过文件名为“kill-floor.exe”的程序，将名为“ntfs.bin”的驱动程序复制到Windows默认用户文件夹中。接着，恶意软件使用Windows的服务控制工具（sc.exe）创建一个名为“aswArPot.sys”的服务并注册该驱动。随后，恶意软件会与硬编码的142个安全工具进程名进行比对，并利用“DeviceIoControl”API发出必要的IOCTL命令来终止这些进程。当检测到与目标进程匹配时，恶意软件便通过引用安装的Avast驱动程序来终止相关安全软件的执行。

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/

---

3 SafePay勒索软件团伙声称对Microlise的网络攻击负责

新兴的SafePay勒索软件团伙声称对英国车队远程信息处理公司Microlise的网络攻击负责，并威胁在24小时内若不支付赎金将泄露窃取的1.2TB数据。这次攻击导致包括物流巨头DHL和英国安全公司Serco在内的客户业务受到严重影响。Microlise在10月31日首次披露此事件，称正在努力遏制威胁并恢复网络。然而，此次攻击对客户的影响迅速显现。DHL的货车追踪系统一度瘫痪，影响了英国Nisa集团便利店的货物配送。Serco方面则报告，管理囚犯运输的车辆追踪和警报系统暂时失效，虽然运输服务并未中断，但引发了安全隐患的担忧。虽然Microlise在声明中未明确提及勒索软件，但专家分析公司措辞以及客户报告的中断现象，表明这是一起勒索攻击。Microlise在最新声明中表示，大部分客户系统已恢复运行，仅少部分客户正在进行安全验证，但否认客户系统数据被泄露。

https://www.theregister.com/2024/11/22/safepay_microlise/

---

4 黑客入侵Andrew Tate的在线平台导致百万用户数据泄露

近日，知名社交媒体人物Andrew Tate的在线自助学习平台The Real World（原Hustler's University）遭遇黑客攻击，导致超过百万用户的敏感数据泄露。攻击发生时，Tate正在Rumble平台直播节目，黑客利用平台的关键漏洞入侵系统，不仅窃取了794000多名现任及前任用户的用户名，还获取了325000封用户邮件及数百个私密聊天记录。黑客随后在聊天室中发布彩虹旗、女权标志及Andrew Tate的AI图像，以嘲讽其形象。此次攻击被归为黑客主义行为，黑客表示Tate的站点“存在可笑的安全漏洞”。泄露数据的内容还揭示了Tate社区用户对LGBTQ议题及社会问题的讨论。值得注意的是，这已非该平台首次发生数据泄露。今年早些时候，其暴露的MongoDB数据库就导致近百万用户信息被窃。接连的安全事件引发外界对该平台数据保护能力的质疑。

https://hackread.com/andrew-tate-university-breach-user-records-chats-leak/

---

5 微软宣布正在测试Windows 11支持第三方密钥的新功能

微软宣布正在测试为Windows 11引入第三方密钥支持的新功能，进一步推动无密码认证的普及。这项更新通过改进WebAuthn API，允许用户选择第三方密钥提供商，如1Password和Bitwarden，作为Windows Hello的替代认证方式。密钥基于生物识别技术，如指纹和面部识别，可显著降低传统密码带来的数据泄露风险。测试版本已经在Beta频道的Windows Insiders中推出，具体为Preview Build 22635.4515（KB5046756）。微软鼓励用户通过Feedback Hub反馈体验问题，帮助完善这项新功能。微软还发布了相关源代码，支持开发者创建自己的插件，为自有密钥平台提供支持。这一举措是其与FIDO联盟合作的最新成果，旨在推广Web Authentication（WebAuthn）作为标准无密码登录方式。今年5月，微软已为个人账户推出密钥认证功能，并在Windows 11 22H2更新中内置了密钥管理器。

https://www.bleepingcomputer.com/news/security/microsoft-testing-windows-11-support-for-third-party-passkeys/

---

6 研究人员使用AI工具在开源项目中发现26个漏洞

谷歌研究人员通过一款基于人工智能的模糊测试工具（OSS-Fuzz），在开源代码库中发现了26个漏洞，其中一个已存在数十年但未被察觉。这些漏洞包括OpenSSL中的中等严重性漏洞（CVE-2024-9143）和一个可能导致应用程序崩溃或远程代码执行的越界内存写入错误。OpenSSL已在漏洞报告一个月后修复，但部分问题仍待解决。模糊测试通过引入随机或异常数据来检测程序漏洞，然而传统的测试方法难以覆盖所有代码路径和状态。谷歌表示，AI生成的模糊测试目标显著提高了检测效率。这项技术不仅在272个C/C++项目中增加了37万行代码覆盖，还帮助发现SQLite数据库引擎中的一个零日漏洞。OSS-Fuzz起初专注于模糊测试的早期阶段，例如编译问题解决，但现在已扩展至后期漏洞定位和修复阶段。谷歌的AI模型还可自动完成模糊测试的前四个阶段，并计划未来实现自动生成漏洞补丁的功能，从而完全自动化漏洞发现与修复流程。

https://www.govinfosecurity.com/google-ai-tool-finds-26-bugs-in-open-source-projects-a-26886

---