每日安全简讯(20241224)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 The Mask APT组织使用跨平台恶意软件武器库攻击拉美高价值目标

The Mask APT组织是一支活跃多年的高级网络间谍组织，自2007年以来针对政府、外交机构和科研机构等高价值目标实施复杂攻击。其最新行动瞄准拉美地区，分别在2019年和2022年对同一组织发起攻击。The Mask采用鱼叉式网络钓鱼邮件获取初始访问权限，利用浏览器零日漏洞感染目标，随后部署跨平台恶意软件，包括FakeHMP、Careto2和Goreto等。攻击者创新性地利用MDaemon邮件服务器和HitmanPro Alert驱动程序作为持久化技术，并通过复杂的多组件工具实现文件窃取、键盘记录和进一步的恶意软件部署。这些行动展示了其高端技术能力和灵活多样的攻击手段，对高价值目标构成严重威胁。

https://thehackernews.com/2024/12/the-mask-apt-resurfaces-with.html

---

2 APT组织Charming Kitten使用C++版BellaCiao新变种

BellaCiao是一个.NET基础的恶意软件家族，其特点是结合了隐蔽持久性Webshell和秘密隧道功能，于2023年4月首次被发现，并被公开归因于APT组织Charming Kitten。BellaCiao样本的PDB路径提供了丰富信息，包括目标实体、国家和版本编号等。近期，安全研究员捕获到BellaCiao采用C++重构后的新型变种BellaCPP，BellaCPP是一个名为"adhapl.dll"的DLL文件，主要用于运行在Windows服务环境。安全研究员分析发现，BellaCPP与.NET版本的BellaCiao具有相似的DNS请求和SSH隧道功能，以及在受感染设备中同时存在早期BellaCiao样本，将BellaCPP与APT组织Charming Kitten关联。这进一步揭示了该组织不断改进其恶意软件工具库的能力

https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/

---

3 针对macOS与Windows发起高级攻击的新型跨平台勒索软件NotLockBit

NotLockBit是一种新兴的跨平台勒索软件，主要针对macOS和Windows系统发起高度复杂的攻击，模仿LockBit的技术但功能更强大。它采用Go语言开发，利用AES和RSA加密对目标文件进行加密，并将窃取的数据存储到亚马逊S3云存储，实现双重勒索。该恶意软件具备强大的隐蔽性，包括删除自身和阴影副本以阻止恢复操作。NotLockBit会优先攻击高价值文件类型，并通过精细的系统侦察制定个性化攻击策略。尤其针对macOS用户，它还通过osascript命令更改桌面背景显示勒索信息。为了防御此类高级威胁，建议企业定期备份关键数据，部署高级检测与响应解决方案，加强网络安全防护，并对员工进行社交工程攻击识别的培训。

https://cybersecuritynews.com/notlockbit/

---

4 黑客利用Webview2部署CoinLurker木马并绕过安全检测

安全研究员发现了一种Go语言写的新型窃密恶意软件CoinLurker，该恶意软件利用假更新警报传播，利用Microsoft Edge Webview2来触发执行恶意载荷。这种技术依赖于预安装组件和用户交互，难以在沙盒环境中进行分析和检测，从而有效躲避自动化安全措施。此外，CoinLurker通过注入Web3脚本，从Bitbucket存储库上下载伪装的工具，如“UpdateMe.exe”，并以合法的EV证书签名，使得安全检测更加复杂。CoinLurker还使用重度混淆以检查机器是否已经受损，在运行时直接在内存中解码有效负载，以及采取措施使用条件检查、冗余资源分配和迭代内存操作来掩盖程序执行路径以及行为操作。恶意软件在运行后，使用基于套接字的方法启动与远程服务器的通信，并继续从与加密货币钱包相关的特定目录(如比特币、以太坊、Ledger Live、Exodus、Telegram、Discord和FileZilla)收集数据。

https://thehackernews.com/2024/12/hackers-exploit-webview2-to-deploy.html

---

5 西门子UMC组件存在高危的堆溢出漏洞

西门子发布安全公告，警告其用户管理组件(UMC)中存在一个严重的堆内存溢出漏洞(CVE-2024-49775)，可能导致攻击者执行任意代码。受影响的产品包括Opcenter Execution Foundation、SIMATIC PCS neo、SINEC NMS等，这些系统广泛应用于制造业和能源领域，用于分布式控制和网络监控。漏洞的根本原因在于内存处理不当，可能被攻击者用来破坏运营、窃取数据或操控关键系统。西门子已为部分产品提供补丁，并建议限制相关端口(如4002和4004)的访问权限。美国CISA呼吁企业加强纵深防御，遵循西门子安全指南，并密切监控潜在的恶意活动。目前尚无漏洞被公开利用的报告，但相关方需保持警惕，确保工业控制环境的安全。

https://www.govinfosecurity.com/siemens-warns-critical-vulnerability-in-umc-a-27121

---

6 Builder.ai内部数据库因配置错误暴露1.29TB敏感数据

一家总部位于伦敦的AI开发公司Builder.ai因数据库配置错误，暴露了1.29TB的未加密数据，其中包括300多万条记录。敏感信息涉及客户报价、保密协议、发票、税务文件、电子邮件截图和云存储密钥等，严重威胁客户隐私及内部运营安全。此数据泄露可能导致钓鱼攻击、发票欺诈、未经授权的云访问以及公司声誉受损。尽管安全研究员及时告知，但该公司仍耗时近一个月才完成修复，同时也暴露了该公司事件响应效率不足。安全研究员建议该公司应加强访问控制、数据加密和应急响应计划，并定期进行安全审计，以防止类似事件再次发生。

https://www.websiteplanet.com/news/builderai-breach-report/

---