每日安全简讯(20250120)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯Star Blizzard组织针对WhatsApp展开最新网络钓鱼攻击

俄罗斯网络威胁组织Star Blizzard（前身为SEABORGIUM）发动了一场新的针对WhatsApp账户的网络钓鱼攻击。这一活动标志着该组织的攻击手法发生了转变，旨在规避检测。据微软威胁情报团队报告，Star Blizzard的主要目标包括政府和外交部门现任及前任官员、涉及俄罗斯研究的国防政策专家、国际关系学者，以及为乌克兰提供援助的个人。攻击通常通过伪装成美国政府官员的电子邮件开始，邮件中包含了一个QR码，声称邀请受害者加入一个关于“支持乌克兰非政府组织的最新举措”的WhatsApp群组。QR码实际上是被故意损坏的，诱使受害者进一步响应。一旦受害者点击缩短链接，便会被引导至一个伪装的网页，要求扫描二维码并登录WhatsApp，这样攻击者便能未经授权访问其WhatsApp消息。

https://thehackernews.com/2025/01/russian-star-blizzard-shifts-tactics-to.html

---

2 新发现的UEFI Secure Boot漏洞允许加载恶意引导程序

研究人员揭示了一个已修复的UEFI Secure Boot漏洞（CVE-2024-7344，CVSS评分：6.7），该漏洞可能允许攻击者绕过Secure Boot机制，从而在系统启动时加载恶意引导程序（bootkit）。该漏洞存在于由微软签署的第三方UEFI证书的UEFI应用程序中，影响了多款实时系统恢复软件。漏洞的根源在于使用了自定义的PE加载器，未采用标准的UEFI函数，这使得受影响的应用程序能够加载任何UEFI二进制文件，包括未签名文件。攻击者利用这一漏洞，可以在操作系统加载之前执行未经授权的代码，甚至在系统重启或操作系统重新安装后仍能保持持续的访问权限。这种攻击方式能够避开基于操作系统的安全措施如EDR，且会在UEFI上下文中隐蔽地存在。

https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344/

---

3 黑客利用图像隐藏恶意代码部署VIP键盘记录器与0bj3ctivity信息窃取器

研究人员揭示了黑客如何通过隐藏恶意代码于图像中，成功部署VIP键盘记录器和0bj3ctivity信息窃取器的攻击活动。攻击者首先通过伪装成发票或采购订单的钓鱼邮件，诱使受害者打开带有恶意附件的电子邮件，这些附件通常是包含已知Equation Editor漏洞（CVE-2017-11882）利用的Excel文档。一旦文档被打开，恶意VBScript脚本会被触发，进一步下载并执行PowerShell脚本，进而从archive[.]org下载一张图像，提取其中的Base64编码内容。经过解码后，恶意的.NET加载器会被执行，随后下载并运行VIP键盘记录器，从受感染系统窃取广泛的敏感数据，如键盘输入、剪贴板内容、截图和凭证。

https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-january-2025/

---

4 Clop勒索病毒利用Cleo文件传输漏洞攻击多家公司

Clop勒索病毒团伙声称通过利用Cleo文件传输软件的漏洞，攻破了59家公司，并将其数据上传至暗网泄露站点。该漏洞（CVE-2024-50623，CVSS评分8.8）影响了多个Cleo产品，包括Harmony、VLTrader和LexiCom，导致远程代码执行风险。2024年12月，美国网络安全和基础设施安全局（CISA）将这一漏洞列入已知的已被利用漏洞（KEV）目录，并建议所有受影响产品的用户立即升级补丁。然而，安全公司Huntress发现，尽管已发布补丁，更新后的系统仍可能受到该漏洞的影响。Clop勒索病毒团伙表示，已联系到受害公司，但在未达成赎金协议的情况下，威胁于2025年1月18日发布盗取的数据。尽管有多家公司（如美国赫兹租车公司）否认遭遇数据泄露，但Clop仍宣称其目标受害者已被攻破，情况引发广泛关注。

https://securityaffairs.com/173135/cyber-crime/clop-ransomware-gang-claims-hack-of-cleo-file-transfer-customers.html

---

5 W3 Total Cache插件漏洞暴露百万个WordPress站点面临攻击风险

W3 Total Cache插件的严重漏洞影响了超过100万个WordPress网站，可能让攻击者访问各种敏感信息，包括云应用的元数据。该插件通过多种缓存技术优化网站速度并提升SEO排名。漏洞（CVE-2024-12365）源于‘is_w3tc_admin_page’函数缺乏权限检查，允许攻击者访问插件的安全Nonce值并执行未授权操作。若攻击者已认证且至少为订阅者级别，就可利用该漏洞。实际风险包括服务器端请求伪造（SSRF）、信息泄露及服务滥用（导致缓存服务消耗并影响网站性能）。攻击者还可能利用该漏洞通过受感染站点代理请求，从而收集数据并进一步发起攻击。

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/w3-total-cache/w3-total-cache-281-authenticated-subscriber-missing-authorization-to-server-side-request-forgery

---

6 研究发现Active Directory限制未能阻止NTLMv1身份验证漏洞

研究人员发现，尽管微软的Active Directory组策略旨在禁用NT LAN Manager（NTLM）v1身份验证，但通过简单的配置错误，攻击者仍可绕过这一限制。NTLM协议在Windows环境中广泛用于用户身份验证，但由于多种安全漏洞，NTLMv1自2024年起被弃用，并且从Windows 11 24H2版本及Windows Server 2025起完全移除。研究员在报告中指出，某些本地应用程序配置错误可能会使得NTLMv1认证得以绕过Active Directory的组策略设置。研究表明，通过Netlogon远程协议（MS-NRPC）的设置，攻击者可以强制启用NTLMv1身份验证，尽管系统配置了禁用NTLMv1的策略。这一发现表明，组织可能误认为已采取适当的安全措施，但由于应用程序配置错误，仍然存在NTLMv1身份验证的风险。

https://www.silverfort.com/blog/ntlmv1-bypass-in-active-directory-technical-deep-dive/

---