每日安全简讯(20241211)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客窃取Radiant Capital 5000万美元资金

Radiant Capital于2023年10月遭遇重大网络攻击，约5000万美元资产被朝鲜关联的黑客组织UNC4736(亦称AppleJeus或Citrine Sleet)窃取。攻击起源于9月，一名开发者通过Telegram收到伪装成前承包商的消息，点击恶意链接后感染恶意软件。黑客利用开发者设备，在多签名调整过程中伪造交易，避过Safe{Wallet}验证，将资金从核心市场抽离。随后，攻击者利用开放授权进一步提取用户账户资金。攻击波及多个链，包括Arbitrum、Base、BSC和Ethereum，完成后迅速清除痕迹。安全研究员将此归因于与朝鲜侦察总局相关的高级威胁组织，并对此事件给出高度信心评估。

https://www.securityweek.com/radiant-capital-50-million-heist-blamed-on-north-korean-hackers/

---

2 OpenWrt路由器具有导致供应链攻击的安全漏洞

OpenWrt是一种可定制的操作系统，主要用于各种制造商的无线家用路由器。安全研究员在OpenWrt的Attendedsysupgrade Server(ASU)中发现了两处安全漏洞。ASU是为基于OpenWrt发行版提供按需生成固件镜像服务的服务器，支持用户根据设备和所需软件包生成新固件。漏洞包括：命令注入漏洞，攻击者可能在固件构建过程中注入恶意命令，从而生成签署有合法构建密钥的恶意固件。SHA-256哈希碰撞问题(CVE-2024-54143)，请求构建固件时生成的哈希值被截断为前12个字符(共64位)，可能导致攻击者生成碰撞并利用缓存投毒。通过这两个漏洞，攻击者可用恶意固件替换合法固件，向用户交付已被破坏的固件版本。

https://www.helpnetsecurity.com/2024/12/09/openwrt-security-update-supply-chain-attack/

---

3 黑客组织ShinyHunters和Nemesis利用AWS S3漏洞窃取2TB敏感数据

网络安全研究人员揭示了一场由ShinyHunters和Nemesis攻击组织关联的大规模网络攻击。攻击者通过利用数百万个网站的漏洞，窃取了超过2TB的敏感数据，包括客户信息、基础设施凭证和专有源代码。黑客采用Python、PHP等脚本语言以及ffuf、httpx和Shodan等工具，扫描AWS IP地址和域名，扩展攻击范围。由于配置不当，攻击者还通过开放的AWS S3存储桶暴露了其部分操作细节。研究人员与AWS欺诈团队合作通知受影响用户，并采取缓解措施，同时发现了部分涉案人员的信息。这一事件凸显了加强云安全配置和防范大规模数据泄露的重要性。

https://hackread.com/shinyhunters-nemesis-hacks-aws-s3-bucket-leak/

---

4 黑客通过操纵AI干扰健康应用的准确性

安全研究员发现，黑客可通过AI操纵健康应用的数据，威胁用户健康和数据完整性。研究者开发的恶意软件从Google Health Connect提取数据并发送至AI应用，由AI生成虚假信息，如错误的血糖读数，从而误导健康应用建议错误的治疗方案。这种操控可能导致医生难以质疑患者日常使用的设备数据，增加医疗决策风险。尽管此研究针对Google Health Connect，但这种利用AI操纵健康数据的风险可能影响任何医疗应用或设备。安全研究员呼吁技术开发者、医疗机构及患者加强对数据来源的验证，共同提升医疗应用的安全性，避免AI恶意利用对患者安全及医疗系统造成危害。

https://www.govinfosecurity.com/interviews/how-hackers-manipulate-ai-to-affect-health-app-accuracy-i-5427

---

5 罗马尼亚能源供应商Electrica集团正在调查一起持续的勒索软件攻击

罗马尼亚电力供应商Electrica集团遭受勒索软件攻击，公司关键系统未受影响，但由于安全协议增强，客户服务可能会暂时中断。这些措施旨在保护运营和个人数据。Electrica已启动内部应急程序，与网络安全机构合作调查攻击来源并控制其影响。能源部长确认攻击未波及电网SCADA系统，网络设备已隔离。此次事件可能与罗马尼亚总统选举因俄方干预被取消相关，情报部门报告超过85000次网络攻击针对选举系统，部分网站凭证泄露至俄罗斯网络犯罪平台。Electrica提醒客户警惕钓鱼风险，继续优先保障电力供应及数据安全。

https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html

---

6 德勤回应Brain Cipher勒索组织的攻击

德勤回应Brain Cipher勒索组织声称其窃取了公司超过1TB数据的指控。该组织在暗网网站上列出了德勤英国，并威胁将在五天内公开这些数据，除非支付赎金。据德勤发言人表示，这次事件与德勤网络外部的单一客户系统有关，公司内部系统未受影响。Brain Cipher自2024年4月起活跃，曾攻击印尼数据中心，引发重大服务中断。该组织使用基于LockBit的加密软件，并窃取受害者数据，与SenSayQ和EstateRansomware组织存在联系。SenSayQ以针对教育和制造业的精准攻击闻名，而EstateRansomware则以复杂的多阶段感染流程和高效数据加密方式见长，均对全球多个行业构成严重威胁。

https://www.securityweek.com/deloitte-responds-after-ransomware-groups-claims-data-theft/

---