每日安全简讯(20241221)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天披露"游蛇"黑产团伙传播远控木马的新手段

近期，安天CERT监测到"游蛇"黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序，"游蛇"黑产团伙(又名"银狐"、"谷堕大盗"、"UTG-Q-1000"等)自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。"游蛇"黑产团伙仍在频繁地对恶意软件及免杀手段进行更新，并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传，因此存在更多恶意变种，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击造成损失。经验证，安天智甲终端防御系统(简称IEP)可有效查杀该远控木马。

https://mp.weixin.qq.com/s/TCZVQEut9CvSiJ4VPwKJYg

---

2 攻击者利用Monetag广告传播Lumma恶意软件

安全研究员发现Lumma恶意软件在一场大规模恶意广告活动中传播。用户在搜索流媒体、动漫或学术文档时会进入SEO优化站点，这些站点被嵌入恶意的广告脚本，将用户重定向至假冒的CAPTCHA页面。受害者按照页面指示无意中执行PowerShell脚本，从而下载并安装Lumma恶意软件。攻击者通过复杂的脚本混淆和广告跳转链，隐藏恶意活动并规避广告网络的审查，利用公共广告网络、托管服务和广告跟踪工具的管理漏洞，大规模传播恶意软件，同时逃避责任追查。安全研究员通过分析恶意广告活动的技术细节，发现该攻击者者与"Vane Viper"相关联。

https://www.helpnetsecurity.com/2024/12/17/deceptionads-malvertising-fake-captchas-lumma-infostealer/

---

3 安全研究员在Amazon Appstore上发现"BMI CalculationVsn"恶意软件

安全研究员在Amazon Appstore中发现了一款名为"BMI CalculationVsn"的恶意软件，该恶意软件表面上是一款简单的BMI计算工具，实际上在窃取用户隐私数据。经研究发现，该恶意软件在后台隐蔽地进行屏幕录制、扫描设备安装的应用信息以及拦截短信等操作，收集敏感数据，并将这些数据上传到Firebase。该恶意软件目前仍处于开发和测试阶段，攻击者试图完善恶意软件隐匿恶意行为功能。本次攻击，攻击者通过伪装成印尼一家企业IT管理服务提供商的名称，将恶意软件发布在Amazon Appstore。为了防范此类威胁，建议用户在安装应用时仔细审查权限请求，使用可靠的防病毒软件，并保持警惕，防止数据被不法分子滥用。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spyware-distributed-through-amazon-appstore/

---

4 欧洲多个公司遭遇伪DocuSign钓鱼邮件攻击

欧洲多个公司近期遭遇了针对Microsoft Azure云基础设施的有效钓鱼攻击，目标主要是汽车、化工和工业制造领域的企业。攻击者伪装成DocuSign请求，通过伪造的DocuSign PDF附件或嵌入式恶意链接诱导用户点击，从而引导至恶意的HubSpot表单，试图窃取Microsoft账户登录凭证。研究发现，该钓鱼攻击使用了多个域名和虚假Microsoft Outlook Web App(OWA)登录页面来盗取用户信息，并尝试对Microsoft Azure账户进行控制。通过分析受害者的通信，攻击者显然拥有自身的服务器基础设施，能够更有效地实施并维持账户持久访问，从而造成长期安全威胁。

https://www.helpnetsecurity.com/2024/12/18/european-companies-docusign-themed-phishing-owa-microsoft-azure/

---

5 SonicWall设备存在关键漏洞影响超过25000台设备

SonicWall设备因关键安全漏洞暴露在网络攻击风险中，尤其是超过20000台设备运行的是已过期且未再收到供应商支持的固件。这些漏洞可能导致未经授权的访问和数据泄露。安全研究员发现，全球有超过430000台SonicWall设备中，约39%使用的是系列7的设备，但未能及时应用最新的安全补丁，成为黑客攻击的目标。研究表明，尽管一些漏洞的补丁已经可用，但仍有大量组织继续使用过时的设备，暴露于高风险之中。特别是旧版设备，如系列5和6，更易遭受攻击。系列6设备尽管运行较新的固件，但仍存在大量未完全修补的实例，增加了攻击面的风险。安全研究员利用指纹技术对SonicOSX固件进行了逆向分析，发现许多设备仍然暴露于已知漏洞中，例如身份验证绕过和堆溢出漏洞。这些漏洞能够为攻击者提供远程控制设备和访问敏感数据的机会。

https://www.govinfosecurity.com/critical-flaws-expose-25000-sonicwall-devices-to-hackers-a-27101

---

6 Play勒索软件组织声称Krispy Kreme数据泄露

Play勒索软件组织声称对Krispy Kreme的严重数据泄露事件负责，并将在两天内泄露Krispy Kreme的敏感数据。本次攻击，Play勒索软件组织采用"双重勒索"模式，先是窃取和加密数据，再通过威胁企业支付赎金。Krispy Kreme于2024年12月11日披露数据泄露事件，表示其在美国的运营遭到严重影响。然而，攻击者身份此前尚未公开。近日，Play勒索软件组织已经通过暗网泄露网站宣布对此事件负责。泄露的数据据称包括员工ID、客户文档、薪资信息、财务数据、预算信息、会计信息以及涉及个人隐私的数据。这一团伙的目标并不仅限于特定领域，其攻击涉及商业、政府、关键基础设施、医疗以及媒体等多个行业。值得注意的是，Play勒索软件组织近年来频繁与国家支持的黑客组织合作，例如与北朝鲜政府背景的黑客联手开展全球性攻击。2023年，瑞士政府机构就曾因Play勒索软件组织的攻击而遭遇数据泄露影响数万人。

https://hackread.com/play-ransomware-krispy-kreme-breach-data-leak/

---