每日安全简讯(20241127)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者使用Excel XLL文件传播XenoRAT远程访问木马

研究人员在分析恶意软件样本时发现，一种新型的XenoRAT远程访问木马采用了Excel XLL文件作为传播载体，并通过ConfuserEx进行保护。这一变化标志着XenoRAT攻击手段的转变，采用了较为不常见的文件类型来部署恶意代码，可能对企业网络构成更大威胁。该XenoRAT样本名为“Payment_Details.xll”，通过Excel-DNA框架加载恶意.NET程序集，并利用ConfuserEx进行加密和混淆，以逃避检测。执行该XLL文件后，恶意批处理文件(cfgdf.bat)会启动并提取一个密码保护的RAR档案，进一步解压并执行XenoRAT和其他远程访问工具。攻击者还通过打开一个伪造的PDF文件“Pago.pdf”来迷惑受害者，模拟合法的财务交易。此外，XenoRAT的配置中硬编码了一个命令与控制服务器的IP地址，且恶意文件通过伪造的编译时间来规避基于时间的检测。攻击者显然在工具和技术上投入了大量资源来提高隐蔽性和破坏性。

https://hunt.io/blog/xenorat-excel-xll-confuserex-as-access-method

---

2 研究人员发现Black Basta勒索软件团伙正在调整攻击策略

Black Basta勒索软件团伙在面对执法机构的打击压力时，正在调整其攻击策略，转向更加精密的社交工程手段，以扩大受害者群体。据威胁情报公司RedSense的报告，该团伙已不再仅仅依赖僵尸网络分发恶意软件，而是通过精心策划的社交工程攻击获取初始访问权限，甚至模仿国家级黑客手段。最近，Black Basta使用了“电子邮件轰炸”技术，向目标发送大量垃圾邮件，随后通过微软Teams与受害者建立联系，并诱导他们安装远程监控和管理工具。这一策略的升级涉及在Teams消息中嵌入恶意二维码，伪装成帮助台专家，进一步欺骗受害者。此外，报告还指出，Black Basta不采用传统的勒索软件即服务(RaaS)模式，而是通过地下网络购买或合作获得初始访问权限。这表明其运营方式更加隐蔽和定向，目标明确地集中在欧洲和美国的关键基础设施、军事工业等领域。

https://redsense.com/publications/evolution-of-blackbasta-malware-dissemination/

---

3 供应链管理供应商Blue Yonder遭受勒索软件攻击

供应链管理公司Blue Yonder近日遭遇勒索软件攻击，导致其托管服务环境大规模中断，直接影响英国多家杂货连锁店的供应链运作。Blue Yonder作为Panasonic子公司，为全球众多企业提供基于AI的供应链解决方案，其客户包括Tesco、Sainsbury、Morrisons等知名零售商。据公司公告，这起攻击发生在11月21日，目前团队正与外部网络安全公司合作加紧恢复受影响的服务。Blue Yonder表示其公共云环境未发现可疑活动，但此次中断已迫使客户采取应急措施。例如，Morrisons已启用更慢的备份流程，而Sainsbury则通过既定应急计划减轻影响。目前，公司尚未公布具体的恢复时间表，仅建议客户密切关注其更新页面。至发稿时，尚未有勒索软件团伙对该事件负责，此次攻击的源头仍在调查中。

https://www.theregister.com/2024/11/26/blue_yonder_ransomware/

---

4 QNAP修复NAS与路由器中的多项关键漏洞

QNAP近日发布多份安全公告，修复多款产品中的关键安全漏洞，提醒用户尽快更新以避免安全风险。其中，NAS应用Notes Station 3存在两个严重漏洞，包括缺乏关键功能认证（CVE-2024-38643，CVSS评分9.3）和服务器端请求伪造（CVE-2024-38645）。这些漏洞可能导致远程攻击者无需凭据即可获取系统权限或访问敏感数据。目前，这些问题已在3.9.7版本中修复。此外，QNAP高性能路由器QuRouter系列也被发现存在一项操作系统命令注入漏洞（CVE-2024-48860，CVSS评分9.5），攻击者可远程执行系统命令，已在版本2.4.3.106中修复。同样受到修复的还有QTS和QuTS Hero操作系统中的内存格式化处理缺陷（CVE-2024-50396、CVE-2024-50397）以及QLog Center日志管理工具中的文件路径遍历漏洞（CVE-2024-48862）。

https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/

---

5 纽约因数据泄露对Geico和Travelers处以1130万美元的罚款

纽约州监管机构因数据泄露事件对汽车保险公司Geico和Travelers分别处以975万美元和155万美元罚款。这些事件导致驾驶证号码等敏感数据被盗，黑客随后利用这些信息进行失业救济金欺诈申请。调查发现，2021年初，Geico黑客通过在线工具和API漏洞多次获取大量客户数据，甚至达到每天窃取1万到2.5万条记录的程度。系统漏洞包括公开的API代码和未加密的敏感数据传输。Geico在发现问题后改进了系统，但多次被新的攻击策略突破。最终，公司因收到勒索要求和举报信息才发现这一攻击链条。Travelers的数据泄露事件则发生在2021年中期，黑客利用被盗凭据访问了独立代理商门户，获取未加密的驾驶证号码。该事件直到2021年11月才被第三方数据提供商告知。两家公司已与纽约州达成协议，承诺强化网络安全计划，包括保护敏感数据和加强系统防护。纽约总检察长Letitia James表示，数据泄露可能导致严重欺诈，企业必须重视网络安全与数据保护。

https://www.govinfosecurity.com/new-york-fines-geico-travelers-113m-for-data-breaches-a-26899

---

6 一名堪萨斯城男子因涉嫌入侵计算机网络并推广其网络安全服务而被起诉

美国司法部近日指控一名堪萨斯城男子尼古拉斯·迈克尔·克洛斯特（Nicholas Michael Kloster）涉嫌入侵两家机构的计算机网络，试图通过非法获取的权限向其推销网络安全服务。根据起诉书，克洛斯特于2024年4月26日首先侵入一家健康俱乐部的网络，通过利用IP地址绕过安全摄像头登录，并访问路由器设置和用户账户。他随后向俱乐部负责人发送电子邮件，自称已破解系统，并推销其网络安全服务。克洛斯特还修改自己的会员费至1美元，并删除个人照片和盗取员工名牌。他甚至在社交媒体上炫耀掌控俱乐部监控系统的截图。5月20日，克洛斯特再次侵入一家非营利组织，利用启动盘绕过身份验证，安装虚拟专用网络（VPN），并篡改账户密码。此次攻击造成非营利组织约5000美元的损失，用于修复漏洞并加固系统。此外，他还被控使用前雇主的信用卡信息购买用于系统攻击的设备。如果罪名成立，克洛斯特可能面临最高15年的监禁、罚款以及向受害机构支付赔偿金。

https://www.bleepingcomputer.com/news/security/doj-man-hacked-networks-to-pitch-cybersecurity-services/

---