每日安全简讯(20241214)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯APT组织Gamaredon开发首款移动间谍软件

安全研究人员首次发现与俄罗斯APT组织Gamaredon(又名Armageddon、Primitive Bear)相关的两款Android间谍软件——BoneSpy和PlainGnome。这标志着该组织首次涉足移动恶意软件领域。自2014年以来，Gamaredon持续针对乌克兰及其相关事务发起网络间谍活动，包括以鱼叉式网络钓鱼为主的攻击。此次发现的两款移动间谍工具分别于2021年(BoneSpy)和2024年(PlainGnome)首次被发现，目标主要为前苏联国家的俄语用户，如乌兹别克斯坦和哈萨克斯坦。BoneSpy基于俄罗斯开源监控软件DroidWatcher开发，独立运行；而PlainGnome为两阶段间谍工具，第一阶段伪装成目录应用以安装第二阶段恶意APK，后者假扮图库应用执行全面监控功能。两者均可收集短信、通话记录、照片、设备位置及联系人等信息。

https://securityaffairs.com/171949/apt/gamaredon-used-two-new-android-spyware-tools.html

---

2 针对印度用户的新型安卓银行木马伪装成服务应用窃取敏感数据

安全研究员发现一种针对印度用户的新型安卓银行木马，该恶意软件通过伪装成燃气、电力缴费或银行应用，诱骗用户提供敏感金融信息。目前已感染419台设备，拦截4918条短信，窃取623条银行卡或账户信息，预计感染数量将进一步上升。首先攻击者利用WhatsApp等平台传播钓鱼链接，用户安装恶意APK后，软件会要求输入银行卡或账户信息，并将数据上传至攻击者的指挥与控制(C2)服务器。同时，应用会伪装成“支付失败”等消息掩盖其真实意图。其特殊配置使应用图标在设备中隐藏，难以被用户察觉。恶意软件通过Supabase数据库服务外传窃取的数据，这一方式绕过传统的网络安全检测，提升了攻击隐蔽性和效率。为防范此类威胁，用户应避免安装未知来源的APK文件，使用可靠的安全软件进行防护，并通过官方渠道操作金融交易。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/a-new-android-banking-trojan-masquerades-as-utility-and-banking-apps-in-india/

---

3 微软MFA漏洞导致全球用户账户安全风险

安全研究员发现微软多因素认证(MFA)存在“AuthQuake”漏洞，攻击者可利用该漏洞绕过安全措施，未经授权访问用户账户，该漏洞已影响Azure、Office 365等服务的超过4亿用户。攻击者利用登录尝试次数的速率限制以及时间敏感性验证码(TOTP)的3分钟有效期，快速生成新会话，尝试多次验证码组合。测试显示，攻击者在70分钟内即可绕过MFA，成功率高达50%，且无需用户交互或触发警报。微软在2024年7月发布临时修复补丁，并于10月9日通过引入更严格的速率限制永久修复漏洞。安全研究员指出，该事件反映了传统MFA系统的不足，推动无密码认证成为未来趋势。用户和企业应及时更新系统补丁，加强员工安全培训，并探索更强的认证方式以提升数据安全防护能力。

https://hackread.com/authquake-flaw-mfa-bypass-azure-office-365-accounts/

---

4 软件公司Ivanti修复CSA解决方案中的关键漏洞

软件公司Ivanti发布了最新版本CSA 5.0.3，以修复其Cloud Services Appliance(CSA)解决方案中的多个严重漏洞。包括CVSS评分为10的认证绕过漏洞CVE-2024-11639，该漏洞允许远程未认证攻击者获得管理员权限。此外，还修复了两个SQL注入漏洞(CVE-2024-11772和CVE-2024-11773)，这两个漏洞可被远程认证攻击者利用执行任意SQL语句。Ivanti指出，目前尚无发现漏洞在公开环境中被利用的证据。此前，CSA版本5.0.2及更早版本中存在其他被恶意利用的漏洞，例如SQL注入(CVE-2024-9379)、操作系统命令注入(CVE-2024-9380)和路径遍历问题(CVE-2024-9381)，攻击者可通过链式利用这些漏洞及零日漏洞CVE-2024-8963，实施代码执行和安全绕过攻击。

https://securityaffairs.com/171850/breaking-news/ivanti-maximum-severity-flaw-csa-solution.html

---

5 美国比特币ATM运营商Byte Federal遭到网络攻击导致5.8万客户信息泄露

美国比特币ATM运营商Byte Federal近日披露数据泄露事件，攻击者通过利用GitLab平台漏洞，非法访问公司服务器，影响约58000名客户。Byte Federal通过其覆盖全美的1200多台比特币ATM，为用户提供比特币、以太坊、狗狗币等加密货币交易服务。本次事件可能泄露的信息包括姓名、出生日期、地址、电话、邮箱、政府签发的身份证件、社会安全号、交易活动记录及用户照片。尽管目前没有证据表明用户信息被实际滥用，公司已采取预防措施以确保数据安全。攻击事件发生后，Byte Federal立即关闭平台，隔离攻击者，强化服务器安全，并与外部网络安全团队合作调查事件。公司建议用户重置登录凭据、监控账户异常活动，并可通过信用报告机构设置欺诈警报或安全冻结。然而，与许多类似公司不同，Byte Federal未提供身份保护或信用监控服务。

https://securityaffairs.com/171941/data-breach/us-bitcoin-atm-operator-byte-federal-suffered-a-data-breach.html

---

6 网络犯罪市场Rydox在国际执法行动中被查封

美国司法部宣布，在一项国际执法行动中成功打击了一个提供盗窃个人信息和网络犯罪市场Rydox，三名Rydox网站管理员被捕。Rydox自2016年起运营，涉及超过7600笔非法交易，累积收入超过23万美元，主要通过出售信用卡信息、登录凭证以及其他个人身份信息(PII)牟利，涉及数千名美国居民。该网站已向18000多名用户销售了超过321000个网络犯罪产品。此次国际执法行动由FBI匹兹堡办公室、阿尔巴尼亚特别反腐败机构(SPAK)及其国家调查局(BKH)、科索沃特别检察院、科索沃警方以及马来西亚皇家警方联合实施。科索沃的Ardit Kutleshi和Jetmir Kutleshi两兄弟被捕，将面临身份盗窃和洗钱等多项指控，另一名Shpend Sokoli也被捕，并将在阿尔巴尼亚受审。

https://cyberscoop.com/rydox-cybercriminal-marketplace-seized-doj-albania-kosovo/

---