每日安全简讯(20241228)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Mirai僵尸网络新变种"Hail Cock"利用DigiEver DS-2105 Pro DVR中的漏洞展开攻击

安全研究员发现一种新型Mirai僵尸网络变种"Hail Cock"，该变种通过利用DigiEver DS-2105 Pro DVR中的远程代码执行漏洞进行攻击。这一变种采用了改进的加密算法ChaCha20和XOR，用于解密恶意负载。2024年9月以来，Hail Cock主要用于感染物联网设备，包括DigiEver DVR和TP-Link设备(CVE-2023-138漏洞)以及Teltonika路由器(CVE-2018-17532漏洞)。攻击者通过HTTP请求在设备中注入恶意代码并维持持久性，利用Telnet/SSH对新设备进行暴力破解，并通过独特的C2服务器进行通信。安全研究员指出，老旧设备的固件漏洞和缺乏安全补丁是主要风险源，建议用户升级到新型号以避免设备遭到类似攻击。

https://www.akamai.com/blog/security-research/digiever-fix-that-iot-thing

---

2 Cl0p勒索软件团伙即将公开60多名遭受Cleo攻击的受害者名单

Cl0p勒索软件团伙声称通过企业软件开发商Cleo的文件传输产品漏洞攻击了超过60家机构，并计划在2024年12月30日公布这些受害者的完整名单，除非受害者支付赎金。目前仅确认的受害者是供应链管理软件公司Blue Yonder。此次Cl0p勒索软件团伙主要利用了Cleo的Harmony、VLTrader和LexiCom工具中的漏洞(CVE-2024-50623和CVE-2024-55956)，其中CVE-2024-55956被用于零日漏洞攻击。Cleo已经发布版本5.8.0.24的更新补丁以修复这些问题。值得注意的是，另一新兴勒索软件组织Termite声称对Blue Yonder的攻击负责，并被怀疑参与了Cleo攻击。这引发了Cl0p与Termite之间可能存在联系的推测。Cleo的漏洞自12月初起被广泛利用，影响范围可能扩展至其超过4000家客户，进一步突出企业文件传输工具安全的重要性。

https://www.securityweek.com/cl0p-ransomware-group-to-name-over-60-victims-of-cleo-attack/

---

3 Apache Traffic Control存在高危的SQL注入漏洞(CVE-2024-45387)

安全研究员发现了高危的SQL注入漏洞(CVE-2024-45387)，影响Apache Traffic Control这一开源内容分发网络，CVSS评分高达9.9。此漏洞存在于Traffic Ops模块中，允许拥有特定权限角色(如"admin"、"federation"、”operations”、”portal”、”steering”)的用户通过特制的PUT请求执行任意SQL命令，从而对数据库造成严重威胁。该漏洞影响版本为8.0.0至8.0.1，其中8.0.2版本中的漏洞已被修复。此外，Apache近期还修复了其他关键漏洞，如HugeGraph-Server的身份验证绕过漏洞(CVE-2024-43441)和Apache Tomcat的远程代码执行漏洞(CVE-2024-56337)。Apache官方建议用户尽快将受影响的软件更新至最新版本以防范潜在攻击。

https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html

---

4 通用动力公司员工遭网络钓鱼攻击导致员工信息泄露

通用动力公司(General Dynamics Corporation)是一家总部位于美国的国防承包商和工业公司，提供航空、陆地、海上和信息技术解决方案，服务于美国军方及其盟国。2024年10月10日，攻击者通过虚假的第三方登录页面骗取员工的用户名和密码，继而登录相关账户，窃取了员工的个人信息，如姓名、出生日期、身份证号码、社保号码、银行账户信息和残疾状态等。部分账户的银行信息甚至被更改。公司已通知受影响的员工，并提供了两年的免费信用监控服务，以防止潜在的身份盗用风险。通用动力表示，攻击事件并未影响其企业内部系统，但已立即暂停了相关服务，以减少风险。此事件引发了对员工网络安全教育和预防措施的关注，尤其是在面对网络钓鱼攻击时，企业需要增强员工的警觉性和防范能力。

https://www.securityweek.com/defense-giant-general-dynamics-says-employees-targeted-in-phishing-attack/

---

5 犯罪分子通过收集个人真实身份信息成功绕过KYC验证流程

安全研究员发现暗网存在一个规模庞大的犯罪网络，犯罪分子通过收集个人真实身份文件及对应的面部图像，成功绕过"KYC"(Know Your Customer，了解你的客户)验证流程，该流程广泛用于金融机构及其他企业的客户身份认证。安全研究员调查发现，这些数据主要通过拉美和东欧地区的个人主动出售获取，部分卖家为了短期利益，甘愿牺牲自己的生物识别和身份数据。犯罪分子使用从静态图像到深度伪造(Deepfake)软件以及定制AI模型的各种手段，可有效规避活体检测和验证系统。这些技术的复杂性不断升级，使得传统验证系统难以区分真实与伪造的交互。同时，过往的案例如ZKTeco和ChiceDNA的高调生物识别数据泄露。突显了全球生物识别系统的脆弱性。

https://hackread.com/dark-web-operation-entirely-focused-on-kyc-bypass/

---

6 日本航空遭遇网络攻击导致航班暂停售票

于2024年12月26日星期五早上7点24分，日本航空公司(JAL)遭遇了一次网络攻击，导致航班票务系统暂时中断。此次攻击导致JAL航空公司内部和外部系统出现故障，航班售票暂停。此次攻击被怀疑是分布式拒绝服务(DDoS)攻击，企图通过大量流量来瘫痪系统。尽管系统已全面恢复，JAL确认未感染恶意软件，且未泄露客户数据。目前，此次攻击仅针对日本航空，日本另一家主要航空公司全日空控股公司(ANA Holdings)未受到此次攻击影响。与此同时，日本邮政公司证实，由于航班中断，邮件和包裹配送也受到影响。

https://securityaffairs.com/172319/hacking/japan-airlines-hit-cyberattack.html

---