每日安全简讯(20241218)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用新型Yokai后门攻击泰国官员

近期，泰国政府官员成为网络攻击的新目标，攻击者利用DLL侧加载技术部署了一种名为Yokai的后门程序。此次攻击链以含有两个快捷方式文件的RAR压缩包为起点，文件名伪装成与美国司法部相关的文档。当受害者打开文件时，后门在后台悄然植入，通过合法程序IdrInit.exe侧加载恶意DLL文件，最终实现远程命令执行与持久化控制。Yokai后门能够与命令与控制(C2)服务器通信，执行远程命令，进一步威胁系统安全。攻击者可能通过钓鱼邮件进行初始投递，利用社会工程手段引诱目标点击。

https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

---

2 塞尔维亚警方对记者手机安装NoviSpy间谍软件

近日，安全研究员发现塞尔维亚记者斯拉维沙·米兰诺夫在被警方拘留后，其手机出现异常，例如数据和Wi-Fi被禁用。调查显示，警方通过Cellebrite工具解锁并提取手机数据，同时安装了未被识别的新型间谍软件NoviSpy。这款间谍软件能够窃取个人数据、激活麦克风和摄像头，严重侵犯个人隐私。NoviSpy通过Android Debug Bridge(adb)指令安装，受控于塞尔维亚的C2服务器。安全研究员还发现，塞尔维亚情报局BIA与NoviSpy的开发及使用密切相关，暗示政府机关长期使用高级技术监控和平活动人士。

https://securityaffairs.com/172039/malware/novispy-spyware-serbian-journalist.html

---

3 黑客组织MUT-1244对安全研究员发起钓鱼攻击

黑客组织MUT-1244针对安全研究员发起了一场钓鱼攻击活动，主要通过恶意GitHub项目和伪造的代码注入手段进行恶意操作。MUT-1244利用ClickFix攻击，通过诱导用户点击钓鱼链接或执行恶意代码，来窃取敏感数据，如AWS访问密钥、WordPress账户凭证等。此外，MUT-1244还通过设置伪造的GitHub项目，植入xmrdropper，来窃取系统信息、私密SSH密钥等，甚至进行系统后门操作。这一攻击活动展示了黑客组织利用合法平台和工具的能力，以及其针对安全研究员、红队人员等技术人员的特殊威胁。随着攻击手段的多样化和隐蔽性增强，安全研究员需要更加警觉，及时更新系统安全和监控异常行为。

https://www.helpnetsecurity.com/2024/12/16/mut-1244-targeting-security-researchers-threat-aws-wordpress-data-theft/

---

4 Cl0p勒索软件组织利用Cleo漏洞攻击全球企业

Cl0p勒索软件组织声称利用Cleo的管理文件传输(MFT)软件中的一个关键漏洞，影响了Cleo Harmony、VLTrader和LexiCom等产品。这一攻击策略与Cl0p在过去针对Progress Software的MOVEit Transfer漏洞的攻击类似，均利用零日漏洞进行高影响力的系统入侵和数据窃取。此次Cl0p威胁受害企业支付赎金以避免数据泄露。安全专家建议Cleo应当立即打补丁，以防止潜在的供应链风险和数据泄露风险。Cl0p的攻击已对多家企业造成广泛影响，显示出其针对广泛使用的MFT解决方案进行大规模攻击的威胁。

https://hackread.com/cl0p-ransomware-exploits-cleo-vulnerability-data-leaks/

---

5 ConnectOnCall由于网络攻击导致泄露超90万人的敏感信息

ConnectOnCall公司披露了一起数据泄露事件，超过90万人的个人与医疗信息受到影响。作为一家提供远程医疗及医疗沟通服务的平台，ConnectOnCall于2024年5月12日发现安全漏洞，据调查显示，未知攻击者在2024年2月16日至5月12日期间非法访问了ConnectOnCall平台及部分数据。此次攻击导致了ConnectOnCall公司泄露的数据包括患者的姓名、电话号码、出生日期、社会安全号码、医疗记录编号，以及健康状况、治疗和处方等健康相关信息。尽管公司尚未发现信息被滥用的证据，但已建议受影响者保持警惕，防范身份盗窃及欺诈。事件发生后，ConnectOnCall立即与安全研究员展开合作，暂停平台运营并在安全环境中恢复服务，同时向执法部门报告，并开始通知受影响的个人。

https://securityaffairs.com/172053/data-breach/connectoncall-data-breach-impacted-over-900000-individuals.html

---

6 法国标致经销商遭Cicada3301勒索软件攻击被窃取35GB敏感数据

Cicada3301勒索软件组织声称对法国标致汽车经销商Concession Peugeot实施了数据泄露攻击，窃取了约35GB敏感数据，包括发票、护照复印件和内部通信文件。该组织于2024年6月首次被观察到，采用勒索软件即服务模式(RaaS)，通过向附属组织出租勒索软件基础设施获利，分成比例为20%。Cicada3301的勒索软件基于Rust开发，具备跨平台特性，能够攻击Windows和Linux/ESXi系统，且在加密算法和战术上与ALPHV/BlackCat勒索软件存在显著相似性，如使用ChaCha20加密和相同的虚拟机关闭命令。

https://hackread.com/cicada3301-ransomware-french-peugeot-dealership/

---