每日安全简讯(20241223)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 UAC-0125利用Cloudflare Workers传播伪装为Army+应用的恶意软件

乌克兰计算机应急响应团队(CERT-UA)披露，威胁行为者UAC-0125利用Cloudflare Workers服务冒充乌克兰国防部的Army+应用程序，向军方人员传播恶意软件。攻击者通过虚假网站引诱用户下载伪装的Windows安装程序，该程序运行后会启动PowerShell脚本，安装OpenSSH并通过TOR网络将私钥传输到攻击者服务器，从而实现远程访问控制。CERT-UA指出，UAC-0125与APT44(又称Sandworm、Voodoo Bear等)关联，后者与俄罗斯军事情报机构(GRU)有关。此外，Cloudflare Workers与Pages服务近年来被频繁滥用于钓鱼攻击，2024年相关攻击量同比增长超100%。该趋势凸显合法云服务滥用带来的安全威胁，并与近期欧洲理事会对俄罗斯实施的制裁紧密相关，涉及多名高官及组织，旨在应对俄罗斯的网络攻击和虚假信息传播。

https://thehackernews.com/2024/12/uac-0125-abuses-cloudflare-workers-to.html

---

2 威胁行为者通过伪造npm库和VSCode扩展传播恶意软件

威胁行为者通过在npm注册表和Visual Studio Code(VSCode)扩展市场上传播恶意软件引发关注。这些攻击采用"typosquatting"技术伪造受欢迎的库和工具(如typescript-eslint和@types/node)，并通过下载木马和多阶段有效载荷感染用户设备。伪造库(如@typescript_eslinter/eslint和types-node)被设计为下载恶意文件或从远程服务器检索恶意脚本。研究还发现多个恶意VSCode扩展，以区块链、Zoom和以太坊相关工具为名，含有模糊化的JavaScript代码，作为下载器从远程服务器获取有效载荷。这些事件揭示了开源生态系统中供应链安全的潜在风险，强调开发者需更加谨慎选择第三方库和工具，避免引入恶意代码。

https://thehackernews.com/2024/12/thousands-download-malicious-npm.html

---

3 网络钓鱼即服务平台FlowerStorm崛起取代Rockstar 2FA

网络钓鱼即服务(PaaS)平台Rockstar 2FA近期遭遇技术性故障，导致其基础设施部分崩溃，相关页面和Telegram控制渠道均无法访问。该平台主要通过伪装微软等云服务登录页面窃取凭证和多因素身份验证(MFA)令牌，其服务被用于大规模网络钓鱼活动。随着Rockstar 2FA中断，网络钓鱼即服务(PaaS)平台"FlowerStorm"迅速崛起，其钓鱼页面以植物相关术语命名(如"Flower"和"Blossom")，且沿用了Rockstar及其他平台的部分特性。FlowerStorm继续利用域名伪装和后端服务器来窃取数据，显示出网络犯罪者对PaaS工具需求的稳定增长。Rockstar 2FA曾广泛使用约2000个域名，包括".com"和".ru"等，部分页面通过Cloudflare服务器进行托管。

https://news.sophos.com/en-us/2024/12/19/phishing-platform-rockstar-2fa-trips-and-flowerstorm-picks-up-the-pieces/

---

4 威胁行为者使用LNK文件结合SSH命令实施高级网络攻击新战术

安全研究员研究发现威胁行为者正利用LNK文件结合SSH命令实施高级网络攻击，这种手法旨在绕过传统安全防护。攻击者通过精心伪装的恶意LNK文件启动多阶段攻击链，包括使用SSH命令下载和执行恶意文件，或利用PowerShell和CMD命令触发恶意活动。在先前的案例中，攻击者通过SSH的SCP命令从远程服务器下载恶意文件，有的则结合PowerShell与mshta.exe加载远程恶意脚本。此外，LNK文件还被用于触发CMD命令以加载恶意DLL文件和诱饵文档。这些攻击利用系统自带的工具(LOLBins)，如rundll32和mshta，降低检测难度。APT组织也常采用此战术，显示出其在复杂网络攻击中的潜力。安全研究员还发现攻击中常包含数据窃取程序，如HackBrowserData。为应对这一威胁，建议限制SSH的使用，监控异常行为，并禁用未必要的OpenSSH功能，提升整体防御能力。

https://cyble.com/blog/a-stealthy-playbook-for-advanced-cyber-attacks/

---

5 谷歌Chrome桌面版存在多个安全漏洞

印度计算机应急响应小组(CERT-In)于2024年12月16日发布公告，指出谷歌Chrome桌面版存在多个高危漏洞，包括V8引擎中的类型混淆漏洞(CVE-2024-12381、CVE-2024-12053)和翻译组件中的释放后使用漏洞(CVE-2024-12382)。这些漏洞可能被远程攻击者利用，通过恶意网页执行任意代码、造成服务拒绝(DoS)或泄露敏感信息。攻击者可诱导用户访问恶意网站，以触发漏洞并控制系统。谷歌已发布131.0.6778.139/.140(Windows和macOS)及131.0.6778.139(Linux)版本修复漏洞，同时也建议用户立即更新浏览器，启用自动更新，并遵循安全浏览习惯，如避免点击可疑链接、启用站点隔离功能，以减少攻击风险。

https://cyble.com/blog/multiple-vulnerabilities-in-google-chrome-for-desktop-update-to-stay-secure/

---

6 黑客从各大平台窃取了22亿美元的加密货币

2024年，黑客从各大平台窃取了总计22亿美元的加密货币，其中北韩关联的黑客在47起攻击事件中盗走了约13.4亿美元，占比高达303起攻击中的47%。与过去几年不同，2024年第二季度和第三季度，中心化服务成为最主要的目标，私钥安全问题成为中央化交易平台亟待解决的风险。北韩黑客频繁且逐渐向高额金额(超1亿美元)和低额金额(如1万美元)渗透，显示出其不断优化的攻击能力。安全研究员提出，企业需要加强雇佣尽职调查、强化私钥管理以及应用先进的检测技术来应对不断升级的攻击威胁，并与政府和行业合作，共同提高安全防护水平。

https://www.helpnetsecurity.com/2024/12/19/cryptocurrency-hackers-stole-2-2-billion-from-platforms-in-2024/

---