每日安全简讯(20241206)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Turla黑客组织渗透巴基斯坦黑客组织的C2服务器

Lumen的Black Lotus Labs近日揭露了俄罗斯黑客组织“Secret Blizzard”（也称为“Turla”）的一项长期网络间谍活动，该组织成功渗透了巴基斯坦黑客团体“Storm-0156”的33个指挥控制（C2）节点。自2019年起，Secret Blizzard便有通过入侵其他黑客组织的C2服务器来扩展其攻击范围的历史，此次渗透标志着其第四次利用他人基础设施执行行动。该活动始于2022年12月，Secret Blizzard成功获取了Storm-0156的C2服务器访问权限，并在2023年中期扩大了对多个C2节点的控制。利用Storm-0156原有的入侵渠道，Secret Blizzard部署了其恶意软件“TwoDash”和“Statuezy”，攻击了与阿富汗政府相关的多个网络。2023年4月，Secret Blizzard进一步渗透，进入巴基斯坦操作员的工作站，并成功窃取了大量敏感数据，包括Storm-0156的工具、凭证和先前的操作数据。

https://blog.lumen.com/snowblind-the-invisible-hand-of-secret-blizzard/

---

2 Solana的web3.js库被发现遭遇供应链攻击

近期，Solana的web3.js库（版本1.95.6和1.95.7）被发现遭遇供应链攻击，恶意代码被注入其中，旨在窃取开发者和用户的私钥，从而可能导致加密货币钱包资金被盗。这些被感染的版本在npm上的每周下载量超过350000次，广泛应用于Solana生态系统的Web3开发。攻击发生的原因被认为是一次针对web3.js库官方维护者的社交工程/phishing攻击。受影响的版本包括1.95.6和1.95.7，恶意代码会将被窃取的私钥传输到一个硬编码的地址，该地址已经被追踪到Solana地址“FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx”。攻击导致了加密资产的盗取，估计损失金额约为130000至160000美元。开发者和用户的应急措施包括检查项目依赖，回滚或更新到安全版本（1.95.8及以上），以及手动检查代码中是否有可疑的修改。npm已经迅速移除受影响的版本，并发布了相关安全更新。

https://socket.dev/blog/supply-chain-attack-solana-web3-js-library

---

3 英国国家犯罪局破获俄罗斯跨国洗钱网络

近日，英国国家犯罪局（NCA）主导的国际调查行动——“Destabilise行动”成功揭露并破获了多个俄罗斯洗钱网络，这些网络为全球范围内的严重犯罪活动提供了支持。此次行动涉及多个地区，包括英国、中东、俄罗斯和南美。调查人员发现，两个俄罗斯语系的犯罪网络——Smart和TGR，深度参与了这些洗钱活动，涉及的资金规模达数十亿美元。NCA透露，Smart和TGR网络的领导人已被美国财政部外国资产控制办公室（OFAC）制裁，其中包括Ekaterina Zhdanova（Smart网络的首脑）和George Rossi（TGR网络的首脑）。此外，TGR还与四家企业及七个个人的全球洗钱活动有关。通过这些网络，犯罪集团不仅在全球范围内清洗黑钱，还为俄方客户提供资金流转服务，帮助他们绕过经济制裁，投资英国市场，甚至支持俄罗斯的间谍活动。

https://www.nationalcrimeagency.gov.uk/news/operation-destabilise-nca-disrupts-multi-billion-russian-money-laundering-networks-with-links-to-drugs-ransomware-and-espionage-resulting-in-84-arrests

---

4 Black Basta勒索软件团伙袭击英国电信集团

BT集团（前身为英国电信公司）宣布，在遭遇Black Basta勒索软件袭击后，公司关闭了部分服务器以进行应急响应。该公司表示，攻击主要针对其BT会议平台（BT Conferencing），且仅影响了平台的特定部分。受影响的服务器已被迅速隔离和下线，且未影响实时的BT会议服务。BT集团是全球领先的电信巨头之一，业务遍及180个国家，提供固定电话、宽带、移动、电视和IT服务等。目前尚不清楚攻击者是否窃取了数据。Black Basta勒索软件团伙已将BT集团列入其Tor泄露网站的受害者名单，并声称盗取了500GB的数据，其中包括财务数据、组织数据、用户数据、个人文件、保密协议（NDA）、敏感数据等。作为证据，黑客发布了多张截图，其中包含护照和其他文件的图片。

https://securityaffairs.com/171668/breaking-news/black-basta-ransomware-attack-bt-group.html

---

5 日本I-O DATA LTE路由器发现零日漏洞

日本I-O DATA公司近日发布安全通告，警告其UD-LT1和UD-LT1/EX型号的LTE路由器存在多个零日漏洞。攻击者利用这些漏洞可能修改设备设置、执行命令，甚至关闭防火墙。漏洞包括权限配置不当、远程操作系统命令执行和绕过身份验证关闭防火墙等问题。I-O DATA确认有客户已报告遭遇外部未经授权的访问。该公司表示，将于2024年12月18日发布修复补丁，但在此之前，用户应采取防护措施：禁用远程管理功能、限制仅通过VPN网络访问、修改默认“访客”账户密码、定期检查设备设置并及时恢复出厂设置。该系列路由器主要在日本销售，支持多家运营商和虚拟运营商的SIM卡。

https://jvn.jp/en/jp/JVN46615026/index.html

---

6 FBI分享如何应对人工智能欺诈计划的建议

美国联邦调查局（FBI）发布警告，称诈骗分子正在利用人工智能（AI）技术提升其在线诈骗活动的真实性和有效性，从而增加了受害者受骗的风险。FBI指出，生成性AI工具，如文本、图像、视频和语音克隆，已被广泛滥用于浪漫诈骗、投资诈骗、求职骗局等。特别是，诈骗者利用AI生成逼真的社交媒体个人资料，进行钓鱼攻击或冒充执法人员、公司高层等身份进行实时沟通，诱骗受害者支付款项。FBI提供了若干防范措施，包括与家人设定密语验证身份、注意图像视频中的细微瑕疵、留意语音中的不自然语调等。同时，公众应避免与陌生人分享敏感信息，并警惕向未经验证的人发送资金或虚拟货币。如遭遇诈骗，应及时通过IC3报告相关信息。

https://www.ic3.gov/PSA/2024/PSA241203

---