每日安全简讯(20241213)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯国家级威胁组织Turla利用网络犯罪工具持续攻击乌克兰

俄罗斯国家级威胁组织Turla(也称Secret Blizzard)近期通过利用其他网络犯罪团伙的工具，对乌克兰目标展开攻击。2024年3月至4月期间，该组织使用与犯罪团伙Storm-1919相关联的Amadey僵尸网络恶意软件，针对乌克兰军事设备展开间谍活动。Turla还采用多种混合间谍技术，包括网络钓鱼、战略网站妥协和中间人攻击，扩大攻击范围至全球政府部门和军事机构。安全研究报告表明，Turla利用第三方访问权限入侵关键网络，并部署后门程序Tavdig和KazuarV2，长期监控和操控目标网络。这种依赖其他威胁组织工具的策略，加剧了应对复杂网络威胁的难度，同时也突显了俄乌冲突中的网络战激烈态势。

https://cyberscoop.com/turla-leverage-cybercriminal-tools-target-ukraine-microsoft/

---

2 安全研究员发现通过DCOM利用Windows Installer进行后门部署的新型攻击手法

安全研究员发现了一种新型的分布式组件对象模型(DCOM)攻击方式，通过利用Windows Installer服务实现隐蔽的远程代码执行(RCE)和后门部署。该攻击通过IMsiServer接口操远程写入并加载恶意DLL文件，从而控制目标系统。尽管此攻击需要攻击者和受害者在同一域中，但其高权限执行特点和绕过传统安全控制的能力对企业网络构成了严重威胁。此攻击手法展示了攻击者在横向移动和持久化控制领域的技术演进。企业需定期安装DCOM强化补丁加强漏洞修复和域内活动监控，降低此类威胁的潜在影响。

https://hackread.com/dcom-attack-exploits-windows-installer-backdoor-access/

---

3 攻击者发动全球性的网络钓鱼攻击

安全研究人员发现了一场针对全球12大行业的持续性钓鱼攻击，涉及30多家公司及其员工。这次攻击已分发超过200个恶意链接，目标是窃取用户登录凭据。攻击者采用可信域名、动态公司品牌伪装以及文档平台模仿等手段，绕过检测并诱骗用户上当。窃取的凭据会通过C2服务器或Telegram机器人实时传送给攻击者。其中受影响的行业包括能源、时尚、金融、航空航天、制造业、电信及政府部门等。安全专家建议各行各业都应当：实施多因素身份认证(MFA)，定期加强对员工的网络安全意识培训，使用高级电子邮件过滤系统以防御类似攻击。

https://hackread.com/ongoing-phishing-campaign-targets-employees/

---

4 攻击者利用BadRAM漏洞解锁AMD加密技术

安全研究员发现攻击者能够利用BadRAM(CVE-2024-21944)漏洞解锁AMD加密，攻击者先通过篡改DRAM模块中的SPD芯片，绕过AMD的Secure Encrypted Virtualization(SEV)加密保护，包括最新的SEV-SNP版本。这一攻击利用低成本硬件(如Raspberry Pi Pico，成本仅约$10)，并且能够访问加密内存，伪造远程证明报告，在虚拟机中植入后门。此漏洞对依赖SEV技术的云计算环境构成严重威胁，尤其是托管敏感工作负载的企业和云服务提供商。为了应对这一风险，AMD已发布固件更新(AMD-SB-3015)，通过启动时的内存配置验证来缓解威胁。目前大多数云服务提供商已部署相关补丁。普通用户只要避免硬件被物理访问，风险较低。

https://www.helpnetsecurity.com/2024/12/11/badram-amd-hack-cve-2024-21944/

---

5 Krispy Kreme因遭到网络攻击导致美国地区的在线订购服务中断

知名甜甜圈连锁店Krispy Kreme于2024年11月29日遭遇网络攻击，导致美国地区的在线订购服务中断。尽管线下销售和送货服务未受影响，但这一事件突显了企业数字化操作面临的风险。Krispy Kreme迅速采取措施，与安全专家合作展开调查，控制事件影响，并努力恢复在线订购功能。此前，类似的供应链攻击曾影响了Starbucks(星巴克)的运营，此类攻击可能对企业运营、财务状况和客户信任造成深远影响，凸显出企业需要加强数字安全防护，以防范潜在的攻击风险。Krispy Kreme正在积极恢复其在线订购功能，确保客户体验不受长时间影响。

https://hackread.com/krispy-kreme-cyber-attack-disrupted-online-order-us/

---

6 Inmediata因医疗信息外泄支付巨额赔偿

于2019年，波多黎各医疗清算公司Inmediata Health Group因网站配置错误，导致约156万患者的个人健康信息(PHI)被公开并可通过搜索引擎访问。这些信息包括姓名、出生日期、住址、社会安全号码、医疗诊断和治疗记录等，严重违反了HIPAA隐私和安全规则。经美国卫生与公众服务部(HHS)调查发现，Inmediata未对电子PHI系统进行安全风险评估，也未监控和审核系统活动。此事件引发了多项诉讼和罚款。Inmediata先后支付了总计270万美元的赔偿，包括与33个州总检察长达成的140万美元和2023年联邦集体诉讼的110万美元。此外，Inmediata还与HHS达成25万美元的和解，但未附加整改措施。Inmediata声称在发现问题后立即关闭涉事网站，并聘请数字取证公司进行调查。此事件提醒医疗机构需加强网络安全管理，避免患者信息遭受未授权访问或泄露。

https://www.govinfosecurity.com/clearinghouse-pays-250k-settlement-in-web-exposure-breach-a-27031

---