每日安全简讯(20241215)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Head Mare集团利用PhantomCore后门加剧对俄罗斯的攻击

安全研究员分析了Head Mare集团针对俄罗斯的最新攻击，该集团利用名为PhantomCore的恶意后门进行恶意操作。此次攻击使用了一个伪装为ZIP文件的可执行文件，以及一个包含恶意LNK文件的ZIP档案。通过点击LNK文件，受害者会执行隐藏的PhantomCore，收集系统信息并向指令控制服务器(C&C)发送数据，等待进一步命令来执行恶意活动。此次攻击使用的是C++编译的PhantomCore版本，结合Boost.Beast库，能够通过WebSockets与C&C服务器通信，增强攻击的隐蔽性和远程控制能力。Head Mare集团的目标是对俄罗斯进行大规模破坏，而非经济利益，这种攻击不仅涉及政府、交通、电力等多领域，还通过邮件诈骗等社会工程手法传播恶意软件。

https://cyble.com/blog/head-mare-deploys-phantomcore-against-russia/

---

2 黑客联盟在法国政治危机期间发起针对性网络攻击

2024年12月6日，安全研究员观察到“神圣联盟”(Holy League)黑客联盟在其Telegram频道宣称对法国实施网络攻击，报复其对乌克兰和以色列的持续支持。联盟成员包括亲俄的NoName057(16)、亲伊斯兰的Mr. Hamza和亲巴勒斯坦的Anonymous Guys等。尽管联盟成员的背景和动机各异，但这些团体在此次行动中协调一致。网络攻击与法国的政治动荡同步发生。12月5日，法国议会对总理巴尼耶投下不信任票，总统马克龙面临巨大政治压力。黑客利用国际舆论，通过破坏关键基础设施制造混乱并加剧社会不安。从12月7日至10日，攻击形式涵盖DDoS攻击、工业控制系统破坏、网站篡改及数据泄露等，影响多个政府部门和私营企业。尤其是高价值目标如法国外交部、国家网络安全局等频遭打击。黑客联盟还威胁扩展攻击范围至德国等国家，显示出跨国网络攻击风险的加剧。

https://cyble.com/blog/hacktivist-alliances-target-france/

---

3 诈骗分子通过假冒迪拜警方实施网络钓鱼攻击

诈骗分子通过假冒迪拜警方的名义实施网络钓鱼攻击，以窃取个人信息和财务数据。这些攻击主要通过短信传播，诱导受害者访问带有错别字或可疑后缀(如“.xyz”或“.top”)的虚假域名。其中许多域名来自新加坡服务器。攻击者利用“迪拜警方”等官方名称和紧急号码(如999)制造信任感并引发恐慌。一些域名由印度和迪拜注册人申请，但具体身份被隐藏。研究发现，这些诈骗活动生命周期短，域名往往数周内过期，以逃避追踪。为避免更多人受害，居民需核实官方网站，避免点击陌生链接，优先使用安全协议(如HTTPS)的网站。

https://hackread.com/scammers-fake-domains-dubai-police-phishing-scams/

---

4 300000+的Prometheus服务器和导出器暴露在DoS攻击风险中

安全研究员揭示了Prometheus生态系统的多个安全漏洞，包括信息泄露、拒绝服务(DoS)和远程代码执行等风险。研究发现，超过33.6万个Prometheus服务器和导出器暴露在互联网上，其中许多未启用认证，易被攻击者利用来获取敏感信息，如凭据和API密钥。此外，暴露的pprof调试端点可能导致服务器过载和崩溃。Prometheus是一款开源监控工具，常被用于动态环境如Kubernetes。其核心功能包括定期抓取目标系统的指标并存储为时序数据库。暴露的Prometheus实例可能泄露内部API、子域名及容器信息，扩大攻击面。研究建议限制公开访问Prometheus组件，并加强认证机制，以降低安全风险。

https://www.aquasec.com/blog/300000-prometheus-servers-and-exporters-exposed-to-dos-attacks/

---

5 TP-Link Archer C50 V4路由器安全漏洞分析及应对措施

TP-Link Archer C50 V4路由器被发现多个安全漏洞，包括CVE-2024-54126和CVE-2024-54127，可能导致未经授权的访问和敏感Wi-Fi凭据的泄露。漏洞主要涉及固件升级过程中的验证不足和串口接口的访问控制缺陷。攻击者可利用这些漏洞，通过上传恶意固件或获取Wi-Fi凭据，来控制设备或窃取网络信息，进而进行数据泄露、系统操控或进一步攻击。TP-Link已发布最新固件修复漏洞，用户应及时更新，以保障网络安全。此外，建议用户在升级过程中使用有线连接，避免无线断连问题，确保安全升级。

https://cyble.com/blog/tp-link-archer-router-vulnerabilities/

---

6 NCSC报告显示2024年第三季度新西兰网络安全事件激增58%

新西兰国家网络安全中心(NCSC)发布2024年第三季度《网络安全洞察报告》，披露网络事件同比激增58%，高达1905起，主要受钓鱼和凭证窃取攻击大幅增长(70%)推动。报告指出，这一增长反映更多公众和企业积极报告事件，增强国家安全态势。未经授权访问事件几乎翻了一倍，而中间人钓鱼攻击成为新威胁，可通过劫持会话Cookies绕过传统安全措施。此外，动态CVV技术被引入以遏制在线欺诈。尽管网络事件激增，但直接经济损失环比下降19%，达550万新西兰元。钓鱼攻击仍最为普遍，占43%，其次为诈骗与欺诈(31%)和未经授权访问(16%)。

https://cyble.com/blog/ncsc-cyber-security-insights-report/

---