每日安全简讯(20241219)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 南亚APT组织TA397通过多层攻击链对土耳其国防行业发起间谍活动

南亚高级持续威胁(APT)组织TA397(又名"Bitter")近期针对土耳其国防行业发起了一次复杂的网络间谍活动。攻击者通过钓鱼邮件发送压缩档案，其中包含伪装成PDF文件的LNK快捷方式。目标一旦点击，该文件会执行PowerShell脚本，打开伪装的诱饵文档，同时下载并激活恶意软件。攻击链采用多层技术，包括利用Windows NTFS文件系统的替代数据流(ADS)隐藏恶意负载，以规避传统检测工具。攻击最终部署了两种间谍型远程访问木马(WmRAT和MiyaRAT)，分别用于收集系统信息、截屏和执行命令，具备高价值目标的专用能力。此外，攻击还通过计划任务确保持久性，持续从恶意域名下载额外负载。TA397长期活跃，主要针对政府和国防领域，此次攻击体现了其在技术上的持续升级，进一步凸显对土耳其国防行业的安全威胁。

https://www.govinfosecurity.com/espionage-campaign-targets-turkish-defense-industry-a-27085

---

2 网络犯罪分子针对YouTube创作者发起恶意软件攻击

网络犯罪分子通过伪装成品牌合作的钓鱼邮件，针对YouTube创作者发起恶意软件攻击。这些邮件包含伪装为合同或宣传材料的密码保护附件，利用OneDrive等云平台托管恶意软件以增加可信度。一旦附件被下载，恶意软件便会窃取登录凭据、财务信息，并可远程访问受害者设备。此次攻击网络犯罪分子发送数千封钓鱼邮件，目标涵盖全球范围内从事市场营销和销售相关工作的企业及个人。安全研究员揭示攻击者通过解析YouTube频道邮箱地址，再利用浏览器自动化工具批量发送精心设计的假合作邮件，诱导创作者下载并运行包含恶意脚本的压缩文件。专家建议创作者对密码保护的附件保持警惕，验证品牌合作的真实性，并避免打开不明来源的文件以保护数据安全。

https://hackread.com/malware-fake-business-proposals-hits-youtube-creators/

---

3 网络犯罪分子利用伪造的Google日历邀请发起大规模网络钓鱼

网络犯罪分子利用伪造的Google日历邀请向全球约300家企业发起钓鱼攻击，已发送超过4000封伪造邮件。这些邮件通过修改发件人邮箱头，使其看似来自受害者熟悉的联系人，并附带伪装成Google日历邀请的.ics文件。一旦受害者点击邮件中的链接，便会跳转至伪装成支持页面或验证码页面的恶意网站，进一步引导其提交个人信息和支付数据。这些攻击主要针对企业和机构中的员工，意图窃取凭证或财务信息。安全研究员建议企业启用Google日历的"已知发件人"功能，并加强员工的安全意识，以防范此类钓鱼攻击。

https://www.theregister.com/2024/12/18/google_calendar_spoofed_in_phishing_campaign/

---

4 大众汽车集团信息娱乐系统存在多个安全漏洞

大众汽车集团旗下部分车型的信息娱乐系统被发现存在12个漏洞，将导致被攻击者利用于实时追踪车辆位置并获取敏感数据。安全研究员重点分析了Preh Car Connect GmbH公司生产的MIB3信息娱乐系统，这些系统自2021年起在多款大众集团车型中使用，包括最新款的斯柯达Superb III轿车。被发现的安全漏洞主要集中在蓝牙同步过程及网络服务中，例如处理联系人照片时出现的缓冲区溢出漏洞(CVE-2023-28905)，可能允许攻击者远程执行任意代码。攻击者可在未授权情况下通过接近目标车辆几米范围内，访问GPS数据、联系信息、监控车速、录制车内对话等。目前，大众集团已修复部分漏洞，并表示未对车辆安全构成威胁，但安全研究员仍建议对系统进行持续改进以加强防护。

https://securityaffairs.com/172024/hacking/volkswagen-group-infotainment-unit-flaws.html

---

5 Apache Struts 2存在关键的安全漏洞

Apache Struts 2的最新漏洞CVE-2024-53677正在被利用，攻击者借助公开的PoC代码进行远程代码执行(RCE)攻击。这一漏洞影响了Struts版本2.0.0至2.3.37(已终止支持)、2.5.0至2.5.33以及6.0.0至6.3.0.2。该漏洞严重程度达到了CVSS 9.5分，意味着风险极高。攻击者可以通过操纵文件上传参数来实现路径遍历，从而在未授权的目录上传恶意文件，并最终实现远程代码执行。Apache也在其12月12日的公告中明确指出，继续使用旧版的文件上传机制将使系统面临安全风险。建议用户尽快升级至Struts 6.4.0及更高版本，避免遭受攻击。否则，系统将暴露于攻击者的利用之下，可能导致严重的数据泄露和系统控制风险。

https://www.theregister.com/2024/12/17/critical_rce_apache_struts/

---

6 德克萨斯理工大学遭网络攻击导致超140万人的个人数据泄露

德克萨斯理工大学因遭网络攻击导致超过140万名个人数据被泄露，包括个人、健康和财务信息。这起数据泄露事件涉及其健康科学中心，包括德克萨斯理工大学健康科学中心和健康科学中心埃尔帕索。此次泄露影响了815000名健康科学中心埃尔帕索的用户和650000名健康科学中心的用户。数据泄露事件发生于2024年9月，导致计算机系统和应用程序短暂中断。调查显示，未经授权的访问导致了文件和文件夹的访问或删除，涉及的个人信息包括姓名、出生日期、地址、社会安全号码、驾驶证号、政府颁发的身份号码、财务账户信息、健康保险信息和医疗信息，例如医疗记录号码、账单/索赔数据以及诊断和治疗信息。目前，德克萨斯理工大学已通知可能涉及个人数据的人员，并提供免费的信用监控服务，以保护他们的权益。

https://securityaffairs.com/172085/data-breach/texas-tech-university-data-breach.html

---