每日安全简讯(20241129)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现首个针对Linux的UEFI引导黑客工具

2024年11月，安全研究人员发现了首个针对Linux系统的UEFI引导黑客工具，名为“Bootkitty”。与以往只针对Windows系统的UEFI引导黑客工具不同，Bootkitty的出现标志着UEFI引导攻击开始向Linux系统扩展。该工具的主要目标是禁用Linux内核的签名验证功能，并通过Linux的init进程预加载两个尚未公开的ELF二进制文件。尽管目前尚未在野外部署，研究人员认为它仍为概念验证阶段的工具。Bootkitty是通过一个自签名证书进行签名，因此如果系统启用了UEFI安全启动（Secure Boot），攻击者的证书必须先行安装才能使其运行。Bootkitty在执行时能够无缝引导Linux内核，无论UEFI安全启动是否启用，且通过内存中修补必要的功能来绕过完整性验证。研究人员还发现与该引导工具可能相关的内核模块“BCDropper”，该模块负责加载另一个未知的内核模块。

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/

---

2 黑客利用流行的Godot游戏引擎传播恶意软件

Check Point Research揭示了一个新型的恶意软件加载技术，利用开源游戏引擎Godot执行恶意GDScript代码，从而触发恶意命令并加载恶意软件。该技术已成功避开几乎所有杀毒引擎，感染了超过17000台计算机。恶意加载器GodLoader自2024年6月29日起被网络犯罪分子广泛传播，主要通过GitHub的Stargazers Ghost Network分发。该网络采用了“恶意软件即服务”的分发方式，利用超过200个恶意仓库和225个Stargazers账户伪装成合法内容来分发恶意软件。Godot引擎允许开发者使用GDScript脚本进行游戏逻辑开发，而GDScript的灵活性也为攻击者提供了执行远程负载、绕过沙箱和虚拟机等功能。通过在Godot的.pck包文件中嵌入恶意GDScript代码，攻击者能够利用游戏资源更新或下载内容的方式加载恶意脚本，从而感染多平台系统，包括Windows、macOS、Linux、Android和iOS。

https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/

---

3 攻击者利用ProjectSend漏洞攻击暴露的服务器

2024年11月，黑客利用ProjectSend中的认证绕过漏洞（CVE-2024-11680）攻击暴露的服务器，上传webshell并获得远程控制权限。该漏洞影响所有未升级至r1720版本的ProjectSend，攻击者可以通过发送特制的HTTP请求到'options.php'，修改应用配置，成功利用后可创建恶意账户、植入webshell和嵌入恶意JavaScript代码。尽管漏洞在2023年5月16日已被修复，但直到最近才分配CVE编号，导致很多用户未意识到漏洞的严重性和修复的紧迫性。根据VulnCheck的报告，尽管漏洞已知，但ProjectSend实例的修复进展缓慢，约99%的实例仍处于易受攻击状态。ProjectSend是一个开源的文件共享应用程序，通常用于自托管的环境中，比云端服务如Google Drive和Dropbox更受一些组织青睐。Censys报告显示，约4000个公开暴露的ProjectSend实例中，大多数仍然存在漏洞，55%的实例运行的是2022年发布的r1605版本，44%运行的是2023年4月发布的未命名版本，只有1%的实例使用了已修复漏洞的r1750版本。

https://vulncheck.com/blog/projectsend-exploited-itw

---

4 名为Matrix的黑客操控大量IoT僵尸网络发动DDoS攻击

Aqua Nautilus的研究人员揭示了由名为Matrix的黑客组织发动的一次大规模分布式拒绝服务（DDoS）攻击活动。Matrix被认为是一个低技术门槛的威胁行为者，主要通过暴力破解、利用默认弱密码和设备配置漏洞，感染了大量的IoT设备，包括摄像头、路由器、DVR和企业系统。这些被感染的设备被用来组建一个庞大的僵尸网络，攻击目标主要集中在Layer 4（传输层）和Layer 7（应用层），并通过Telegram机器人“Kraken Autobuy”提供DDoS攻击服务，标志着这一攻击活动的商业化。Matrix利用多个已知漏洞（如CVE-2014-8361、CVE-2017-17215等）和公开的恶意工具（如Mirai、PyBot和Homo Network）进行攻击，且活动主要集中在工作日，显示出更具结构性的攻击模式。研究人员表示，若这一僵尸网络进一步扩展，可能对全球数百万互联网设备构成威胁，带来严重的服务中断风险。

https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/

---

5 微软修复邮件投递问题后重新发布Exchange更新

微软重新发布了11月的Exchange服务器安全更新，修复了此前因邮件投递问题被撤回的更新。微软此前从下载中心和Windows Update撤回了这些更新，原因是大量管理员报告安装更新后，使用自定义邮件流规则的Exchange服务器停止了邮件传递。问题主要影响使用传输规则或数据丢失防护（DLP）规则的客户，导致邮件流在安装Exchange Server 2016和Exchange Server 2019的11月安全更新后周期性中断。微软建议已安装原版11月更新（Nov 2024 SUv1）的管理员部署重新发布的更新（Nov 2024 SUv2），该版本解决了邮件传递问题。微软还建议管理员在安装安全更新后始终运行Exchange Health Checker脚本，以检测常见配置问题并判断是否需要采取额外措施。为避免假期期间服务器自动安装问题，微软推迟了在12月通过Windows Update发布Nov 2024 SUv2。

https://www.bleepingcomputer.com/news/security/microsoft-re-releases-exchange-updates-after-fixing-mail-delivery/

---

6 Cloudflare发生一起影响大量客户的日志丢失事件

Cloudflare发生了一起影响大量客户的日志丢失事件，导致约55%的日志未能成功发送。在大约3.5小时的时间内，Cloudflare的日志服务遭遇了系统故障，导致大部分客户的事件日志未能传输。事后调查显示，问题源自一次配置错误，这个错误触发了后续的系统过载，尤其是在日志转发服务（Logfwdr）和日志缓冲系统（Buftee）之间的配合问题。具体来说，Logfwdr的错误配置导致所有客户的日志都被错误地转发，而Buftee系统未能承载如此巨大的数据流，导致系统负载过高并出现响应失效。尽管问题在五分钟内被发现并回滚，但由于未能妥善配置预警机制，导致系统在接下来几个小时无法正常恢复。Cloudflare团队表示，将加强系统配置和监控，确保此类事件不再发生，并计划进行更多的“过载测试”来应对未来潜在的类似故障。

https://blog.cloudflare.com/cloudflare-incident-on-november-14-2024-resulting-in-lost-logs/

---