每日安全简讯(20241130)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现Mimic勒索软件的新变种及其传播方式

Mimic是一种勒索软件家族，首次在2022年被发现。与其他勒索软件类似，Mimic加密受害者的文件，并要求通过加密货币支付赎金以获得解密密钥。某些Mimic变种还会在加密文件之前窃取数据，作为勒索的额外筹码，威胁将其公开或出售给其他犯罪分子。Mimic的代码重用了Conti勒索软件的部分内容，并通过利用合法Windows文件搜索工具“Everything”的API加速加密过程，此外，还附带程序来削弱Windows Defender和清除备份的工具。Mimic勒索软件将加密的文件附加“.QUIETPLACE”扩展名，并留下价值3000美元的加密货币赎金要求。最近，研究人员发现了Mimic的变种Elpaco，这种变种通过RDP暴力破解入侵系统，并利用“Zerologon”漏洞提升权限。Mimic的持续演变和对企业系统的威胁引发了安全专家的关注。

https://www.tripwire.com/state-of-security/mimic-ransomware-what-you-need-know

---

2 Banshee Stealer恶意软件源代码泄露导致其运营商关闭服务

Banshee Stealer是一个MacOS平台的恶意软件，专门窃取用户数据，包括浏览器的密码和加密货币钱包信息。研究人员确认，该恶意软件能够从九种不同的浏览器中收集数据，如Chrome、Firefox、Safari等，并能从近百个浏览器插件中窃取信息。Safari浏览器仅能收集Cookies。除了浏览器数据，Banshee Stealer还可以窃取如Exodus、Electrum等多种加密货币钱包的信息。收集的数据会被压缩并通过加密后发送到指定服务器。此外，Banshee Stealer的设计虽然并不复杂，但其针对MacOS平台的特定性和广泛的数据收集功能，使其成为一个显著的威胁。最近，Banshee Stealer的源代码在网上泄露，导致其运营者关闭了服务。VXunderground将泄露的源代码归档，并公开在GitHub上，供研究人员下载分析。

https://securityaffairs.com/171423/malware/the-source-code-of-banshee-stealer-leaked-online.html

---

3 研究人员披露7-Zip存在一个远程代码执行漏洞

Zero Day Initiative（ZDI）研究人员披露了7-Zip中的一个严重漏洞，标识为CVE-2024-11477。该漏洞存在于7-Zip的Zstandard解压缩库中，主要由于解压过程中未能有效验证用户提供的数据，导致整数下溢。攻击者利用此漏洞可以在受影响的进程中执行任意代码。虽然该漏洞的CVSS评分为7.8，属于高危漏洞，但截至目前，尚未发现该漏洞在野外有活跃的利用案例。尽管如此，研究人员发现一个恶意链接，伪造了7-Zip漏洞的概念验证（PoC）文件，指向一个钓鱼页面，提醒用户要警惕此类攻击。为了缓解这一风险，建议用户立即更新到7-Zip 24.07版本或更高版本，并保持对来自不可信来源的压缩文件保持警惕。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2024-11477-7-zip-flaw-allows-remote-code-execution/

---

4 数据服务公司泄露超过60万条包括背景调查在内的敏感文件

2024年11月，安全研究员发现数据服务公司SL Data Services暴露了超过644000份PDF文件，存储在一个公开访问的Amazon S3云存储容器中。这些文件没有密码保护且未加密，任何人都可以访问并查看其中的内容。泄露的数据包括个人车辆记录（如车牌和车辆识别号码）、房产所有权报告、犯罪历史以及大量的背景调查记录。大部分记录为背景调查，包含受害人的全名、住址、电话、电子邮件、就业历史、家庭成员信息、社交媒体账户及犯罪记录。这些数据经常被数据服务公司收集并销售给广告商、保险公司以及其他实体，甚至被网络犯罪分子用来进行社交工程攻击或身份盗用。特别是文件命名格式为“First_Middle_Last_State.PDF”，使得任何人都能轻松找到感兴趣的个人信息。尽管研究员与SL Data Services进行了多次联系，要求其移除泄露的数据，但公司未给予回应。

https://www.malwarebytes.com/blog/news/2024/11/data-broker-exposes-600000-sensitive-files-including-background-checks

---

5 Tor呼吁部署200个新WebTunnel网桥以对抗审查

为应对日益严峻的审查压力，Tor发出了紧急呼吁，希望隐私社区志愿者在2024年底前帮助部署200个新的WebTunnel网桥。WebTunnel网桥是Tor项目2024年3月推出的一种新型网桥，旨在通过将Tor流量伪装成普通HTTPS流量，避开审查机构的检测与封锁。目前，Tor项目已运营143个WebTunnel网桥，主要用于帮助位于审查严重地区的用户绕过互联网封锁。由于俄罗斯等地区的审查逐步加剧，Tor项目的传统规避机制，如obfs4和Snowflake，已受到影响，迫使Tor采取更加隐蔽的WebTunnel技术。与传统网桥不同，WebTunnel网桥通过运行在有有效SSL/TLS证书的Web服务器上，使其流量看起来像是普通的HTTPS流量，从而更难被检测和屏蔽。Tor项目为此启动了一个持续到2025年3月10日的全球志愿者招募活动，呼吁有能力的个人设置并维护WebTunnel网桥。

https://www.bleepingcomputer.com/news/security/tor-needs-200-new-webtunnel-bridges-to-fight-censorship/

---

6 Zello提醒用户遭受网络攻击后重置密码

Zello公司近日向其用户发布安全通知，要求所有在2024年11月2日之前创建账户的用户重置密码。这一提醒表明，Zello可能在11月2日遭遇了一次网络安全事件。Zello是一家位于美国德州奥斯汀的科技公司，以其推送对讲（PTT）服务闻名，全球用户已超过1.5亿，遍布200多个国家和地区。根据公司发布的安全通知，Zello提醒所有受影响的用户更新应用程序密码，并建议用户更改其他在线服务的密码，特别是如果其他账户使用了相同的密码。此次事件的背景尚不完全明确，但用户信息的安全问题再次引起关注。Zello曾在2020年8月披露过一起数据泄露事件，泄露的数据包括用户的电子邮件地址和哈希密码。此次提醒可能与类似的安全风险相关，用户应当加强个人账户的安全防护措施，避免因密码重复使用而遭遇更广泛的安全问题。

https://securityaffairs.com/171516/security/zello-urges-reset-passwords-following-cyber-attack.html

---