安全威胁情报周报（2024/03/30-2024/04/05）

    近日，有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件，这次他们利用广告跟踪功能，向企业用户发送 Slack 和Notion 等流行协作群件的虚假广告。

    本周，AhnLab 安全情报中心 (ASEC) 的研究人员发布的文章中提到，黑客利用了统计功能嵌入传恶意软件 (包括 Rhadamanthys 窃取程序)的 URL该功能允许广告商在广告中插入外部分析网站地址，以收集和使用访问者的访问相关数据来计算广告流量

图：网络攻击

    但研究人员发现，黑客并没有插入外部统计网站的 URL，而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。但根据 ASEC 的说法，当这些广告仍处于“活动”状态时，如果用户不小心点击了横幅广告，仍然会跳转到下载恶意文件的页面。

    在类似的攻击活动中，Rhadamanthys 伪装成了企业常用的安装程序。一旦恶意软件被安装和执行，它就会从黑客的服务器下载恶意文件和有效载荷。

    ASEC 的帖子详细介绍了黑客是如何精心策划的这一活动。

    该活动使用的典型安装程序是 Inno Setup 安装程序或 NullsoftScriptable Install System (NSIS) 安装程序; 具体而言，黑客使用了以下可执行文件: Notion software x64 .exe、Slack software x64 .exe、Trello software x64 .exe 和 GoodNotes software x64 32.exe。

    ASEC 在其发布的博文中提到: 恶意软件一旦被执行，就会使用可以保存文本的网站(如 textbin 或 tinyurl) 来访问恶意有效载荷地址。同时，他们还列出了黑客用来获取这些地址的 URL，这些地址随后会被发送给用户。

    据 ASEC 称，该活动的最终有效载荷是 Rhadamanthys 窃取程序，它会通过"%system32%"路径注入到合法的 Windows 文件中。研究人员指出，这使得窃取程序可以在用户不知情的情况下窃取用户的私人数据。

    Rhadamanthys 一个非常受黑客欢迎的信息窃取软件，可以在暗网上通过恶意软件即服务的模式购买。它是一个典型的窃取程序，可用于收集系统信息.如计算机名称、用户名、操作系统版本和其他机器详细信息。它还会查询已安装浏览器 (包括 Brave、Edge、Chrome、Firefox、Opera Software) 的目录搜索并窃取浏览器历史记录、书签、cookie、自动填充、登录凭证和其他数据。

    近日，NCC Group 研究员 Joshua Kamp 发现 Vultur 安卓银行木马再一次“卷土重来”

    这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷 (这些有效载荷会在运行过程中解密) 以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。

    据悉，Vultur 最早于 2021 年初被首次披露，该恶意软件能够利用安卓的可访问性服务 API 来执行其恶意行动。

图：攻击流程示意图

    据 NCC Group 观察，该恶意软件是通过谷歌 Play 商店上的木马程序传播的，它们伪装成身份验证器和生产力应用程序，诱导用户安装。这些插件应用程序是"Brunhilda"的插件即服务 (DaaS) 的一部分。其他攻击链涉及利用短信和电话组合传播滴注程序，这种技术被称为面向电话的攻击交付 (TOAD)。

    Vultur 的一个显著特点是能够与受感染的设备进行远程交互，包括通过安卓的辅助服务进行点击、滚动和轻扫，以及下载、上传、删除、安装和查找文件。

    此外，该恶意软件还能阻止受害者与预定义的应用程序列表进行交互，在状态栏中显示自定义通知，甚至禁用键盘防护以绕过锁屏安全措施。

    近日，据总部位于莫斯科的网络安全公司 F.A.C.C.T.称，他们发现了一个与乌克兰有关联的新黑客组织，该组织至少从今年 1 月以来就开始运作。

    F.A.C.C.T 表示，PhantomCore 使用的策略与之前利用该漏洞的攻击不同，黑客是通过利用特制的 RAR 存档执行恶意代码，而非之前观察到的 ZIP文件。

图：网络攻击

    为了将 PhantomRAT 传送到受害者的系统中，黑客使用了网络钓鱼电子邮件，其中包含伪装成合同的 PDF 文件，其中的可执行文件只有在受害者使用低于 6.23 版本的 WinRAR 打开 PDF 文件时才会启动。在攻击的最后阶段，感染了PhantomRAT 的系统能够从命令和控制 (C2) 服务器下载文件，并将文件从受感染的主机上传到黑客控制的服务器。

    此外，在攻击活动期间，黑客可以获得包括主机名、用户名、本地 IP 地址和操作系统版本在内的信息，以帮助黑客进行进一步的攻击。

    近日，在俄罗斯联邦最近举行总统选举的背景下，FACCT 研究人员 发现了一项欺诈行为，该行为伪装成 CEC 官方文件 (包括选举选票) 分发数据窃贼。

    据研究人员称，SapphireStealer 在大选之前就已经开始传播。该恶意软件是用 C# 编写的，能够收集用户数据、截图并通过 Telegram 或电子邮件将窃取的信息发送给攻击者

    这一发现涉及一种名为 SapphireStealer 的恶意软件，该恶意软件针对Windows，能够从网络浏览器和 Telegram 桌面客户端窃取凭据。

图：恶意文件内容

    特别令人担忧的是，为了传播恶意软件，诈骗者使用了模仿俄罗斯政府官方资源的虚假网站。

    值得注意的是，该信息窃取程序的源代码早在 2022 年 3 月就首次出现在公共领域，这表明网络犯罪分子可以广泛利用它。

    DinodasRAT 恶意软件针对多国政府发起攻击

    今日，根据卡巴斯基的最新发现，在针对土耳其、乌兹别克斯坦等多国的 Linux 版本中检测到了一个名为 DinodasRAT 的多平台后门。

    DinodasRAT，也称为 XDealer，是一种基于 C++的恶意软件，能够从受感染的主机中收集各种敏感数据。

    在本周早些时候发布的一份报告中，卡巴斯基公司的研究人员称，DinodasRAT 的Linux 变种被执行后，会在其二进制文件所在的目录中创建一个隐藏文件，该文件充当互斥器，以防止多个实例在受感染设备上运行。

    随后，恶意软件会使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测更加复杂，恶意软件会在父进程等待时再执行一次。

图：恶意软件的执行逻辑

    据研究人员称，DinodasRAT 让攻击者可以完全控制被入侵的系统。他们指出，威胁者使用该恶意软件主要是为了通过 Linux 服务器获得并保持对目标的访问权限。

    近期思科为客户提供了一组建议，以缓解针对思科防火墙设备上配置的远程访问 VPN (RAVPN) 服务的密码喷射攻击。该公司表示，这些攻击还针对其他远程访问 VPN 服务。攻击者会尝试使用多个帐户使用相同的密码以尝试登录，从而进行密码喷射攻击。思科提供了此活动的入侵指标 (IoC) ，以帮助用户检测和阻止攻击

    思科针对防御这些攻击的建议包括:

    启用记录到远程系统日志服务器以改进事件分析和关联。

    通过将未使用的默认连接配置文件指向 Sinkhole AAA 服务器来保护默认远程访问 VPN 配置文件，以防止未经授权的访问。

    利用 TCP Shun 手动阻止恶意 IP。

    配置控制平面 ACL 以过滤掉发起 VPN 会话的未经授权的公共 IP 地址。

    对 RAVPN 使用基于证书的身份验证，这提供了比传统凭据更安全的身份验证方法。

图：攻击造成的 DoS 状态的副作用

    近日，美国房主们分享了黑客将他们的智能冰箱改造成加密货币挖矿设备的事情，社交媒体上充斥着他们尝试用冰袋给冰箱降温的视频。

    受影响的房主们分享了一系列表明冰箱被黑客攻击的可怕迹象，其中包括: 过热，导致食物变质和室温升高;电费激增;由于加密货币挖矿的处理需求增加，导致性能下降; 冰箱试图散热时发出异常的风扇噪音; 弹出信息显示无意义的代码和警告，如"注意!冰箱超负荷运行"或“冰淇淋即将融化“等警告信息。

    通过这一事件，网络安全专家进一步强调了及时更新物联网设备的重要性。对于如何防止黑客攻击，他们建议房主不要点击冰箱屏幕上的可疑链接并禁用远程访问功能。

    当房主们试图阻止他们的冰箱进行加密货币挖掘时，智能家电行业正面临着强烈的抨击。用户批评制造商安全措施不力、缺乏透明度，他们呼吁政府加强智能家电监管并就该起冰箱事件提起集体诉讼。

图：网络攻击

    此外，黑客攻击的消息导致许多房主担心电力波动可能会损坏冰箱。据商 店报告，电涌保护器的销量有所增加。

    最后，随着阴谋论者急忙加固他们的防护帽，锡纸制造商的利润创下历史新高，他们认为整个事件是政府通过冰箱的电磁波来控制人口的阴谋。

    家居装修零售巨头 Ace Hardware 报告称，其客户的私人数据遭到网络攻击者的破坏。4 月 1 日向受影响客户发出的通知称，该公司于 2023 年10 月 29 日“发现了影响某些公司系统的数据安全事件。”据报道，被盗的敏感数据包括姓名和社会安全号码。

    这次攻击发生在 2023 年 10 月 27 日至 29 日期间，当时未经授权的攻击者访问了该零售商的系统。该公司表示，该事件并未影响 Ace Hardware 商店的本地系统。

    经过调查，这家总部位于伊利诺伊州的公司声称已经实施了额外的技术保障措施，以进一步增强其数据的安全性。

    受影响的个人可获得为期 12 个月的免费信用监控和身份盗窃保护服务。缅因州总检察长办公室表示，7295 人受到此次黑客攻击的影响。

图：Ace Hardware 商店

    此次数据泄露公告很可能与去年 10 月发生在 Ace Hardware 的事件有关。当时，该公司的服务因恶意网络攻击而中断，据报道有 1,202 台设备 (包括 196 台服务器) 受到攻击，需要进行恢复。

    2024 年3月，美国佛罗里达州著名游艇零售商 MarineMax 确认发生网络安全事件。它成为 Rhysida 勒索软件组织精心策划的数据泄露事件的受害

    MarineMax 最初在 3 月 12 日向美国证券交易委员会 (SEC) 提交的一份文件中披露，该公司向利益相关者保证敏感数据并未存储在受感染的系统中。然而，随后于 2024 年 4 月 1 日提交的文件揭示了更令人担忧的情况。据透露，在 MarineMax 数据泄露事件中，属于数量不详的个人的个人数据确实被路

图：MarineMax 公告

    MarineMax 证实，一个网络犯罪组织 (后来被确定为 Rhysida 勒索软件组织) 侵入了他们的系统并泄露了有限的数据，包括客户和员工信息。该公司承诺按照法律规定通知可能受影响的各方和监管机构，并已通知执法部门。

    近日，全球知名的网络安全组织 OWASP 基金会承认发生数据泄露事件影响范围可能涉及 2006 年至 2014 年间加入 OWASP 并提交过简历的老成员。

    OWASP (全球应用程序安全项目) 基金会是全球最知名的网络安全组织之免费提供物联网、系统软件和 Web 应用程序安全领域的文章、方法、文档、工具和技术。OWASP Top10 威胁榜单更是被网络安全行业主流标准、工具、和安全运营团队广泛采用。

图：OWASP

    此次数据泄露事件源于 OWASP 的旧 Wiki 服务器配置错误，导致部分老成员简历信息被公开访问。泄露的简历信息可能包含姓名、电子邮件地址、电话号码、物理地址和其他个人识别信息。由于该漏洞影响的简历提交时间距今至少十年，部分信息可能已经过期。

    以色列流行的 LGBTQ 约会应用程序 Atraf 遭遇了重大数据泄露，超过50 万用户的个人信息被泄露，包括明文密码和支付卡数据。

    据 2021 年 11 月 Hackread.com 报告，部分以色列 LGBTQ 约会应用程序Atraf 的用户数据泄露，是由来自伊朗的黑客组织“黑影”发起的赎金失败导致的。他们通过攻击以色列托管服务 CyberServe 获取了该应用程序的数据，并要求支付 100 万美元的赎金。

图：暗网信息截图

    据 Breach Forums 上一名显然是俄罗斯裔的用户声称，已泄露 Atraf 数据库，包含超过 150 万用户的个人数据。然而，Hackread.com 分析了价值 2.63GB 的数据，显示泄露的账户总数实际上减少到超过 50 万个，即 669,672 个，经过删除重复项后确认。

    值得注意的是，Atraf 数据库在 2023 年曾在同一论坛上两次泄露。然而这些泄密事件都没有像最新的泄密事件那样包含明文密码或敏感个人信息。

    近日，上海市就贯彻落实财政部文件要求，发布了《关于进一步加强本市数据资产管理的通知》，彰显出，上海对数据资产管理的高度重视和积极探索的决心。

    为贯彻落实党中央、国务院关于构筑数据基础制度、更好发挥数据要素作用的决策部署，财政部出台了《关于加强数据资产管理的指导意见》和《关于加强行政事业单位数据资产管理的通知》，在规范和加强数据资产管理，充分发挥数据资产价值作用，保障数据资产安全，更好推动数字经济发展，更好地服务与保障单位履职和事业发展等方面明确了相关指导意见和有关管理规定。

图：关于进一步加强本市数据资产管理的通知

    数字化时代，数据已成为最宝贵的资产之一。然而，数据资产管理所面临的风险现状引发了广泛关注。首先，随着数据规模和复杂性的不断增加，数据泄露、数据丢失等安全风险日益严峻。另外，数据质量问题也是影响数据资产管理的重要因素之一。

    Ø提高站位，充分认识加强数据资产管理的重要性。

    当前，数据资产作为经济社会数字化转型进程中的新兴资产类型，正成为推动高质量发展、推进国家治理体系和治理能力现代化的重要战略资源。本市各级部门、行政事业单位和有关单位应当进一步提高政治站位，充分认识加强数据资产管理的重要性，坚决贯彻落实党中央、国务院的决策部署，按照财政部相关文件要求，立足自身职能定位和管理范畴，结合实际情况，积极推进本部门、本单位有关数据资产管理工作，加强数据资产管理制度和机制的探索和创新，充分实现数据要素价值，更好发挥数据资产对推动数字经济发展、服务保障单位履职和事业发展的支撑作用。

    Ø因地制宜，积极探索数据资产全过程管理路径。

    本市各级部门、行政事业单位和有关单位应按照财政部《关于加强数据资产管理的指导意见》和《关于加强行政事业单位数据资产管理的通知》明确的工作要求，加快构建分类科学的数据资产产权体系，明晰各类数据资产的权责关系，落实管理责任，依法依规管理数据资产。在此基础上，坚持顶层设计和基层探索相结合，着重在数据资产基础信息管理、使用、价值评估、收益分配、处置及管理信息披露和报告等方面，积极探索创新数据资产管理的方式方法。要大力推进加强数据资产全过程管理的相关工作试点，及时总结提炼、复制推广优秀项目和典型案例，为促进数据资产合规高效流通使用，打造共治共享的数据资产管理格局提供制度成果和实践成效。

    Ø夯实责任，严格防控数据资产管理风险。

    本市各级部门、行政事业单位和有关单位应当认真贯彻总体国家安全观，严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律制度规定，落实网络安全等级保护制度，建立数据资产安全管理制度和监测预警、应急处置机制; 特别是针对数据资产确权、配置、使用、处置、收益、安全、保密等重点管理环节，明确管理责任，确保数据资产全过程管理安全，严格防控数据资产管理风险，切实筑牢数据资产安全保障防线。同时，本市各级部门、行政事业单位和有关单位也应依法依规保护各类主体在依法收集、生成、存储、管理数据资产过程中的相关权益。

    近期，思科公司表示，全球仅有 3% 的组织达到抵御网络安全风险所需的"成熟"准备水平。值得一提的是，这一比例与一年前相比大幅下降，当时有 15% 的公司被评为"成熟"。

    ●组织网络安全风险准备水平较低

    如今，从网络钓鱼、勒索软件到供应链攻击和社交工程攻击，各种威胁技术持续将全球组织作为攻击目标。虽然一些组织正在针对这些攻击建立起了防御措施，但由于自身的安全态势过于复杂，且以多点解决方案为主，因此在防御攻击方面仍然举步维艰。

    虽然 80% 的组织对其现有基础设施抵御网络攻击的能力非常乐观，但信心与准备程度之间有着很明显的差距。从现有状况来看，组织不仅对其”驾驭“安全威胁的能力存在认知不足，也可能没有正确评估所面临挑战的真正规模。

    思科执行副总裁兼安全与协作部总经理 Jeetu Patel 指出，组织不能低估自身面对的安全威胁，需要持续优先投资于集成防御平台，并且不断智能化运营倾斜，以便最终实现自动化防御，使”天平“始终向有利于防御者的方向倾斜。

    值得一提的是，73% 的受访组织表示，其预计在未来 12 到 24个月内，网络安全事件将扰乱业务经营。如果组织内部毫无准备，可能要付出很大的代价。此外，54% 的受访者表示，在过去 12 个月中经历过网络安全事件，52% 的受访者表示至少损失了 30 万美元。

图：公告图

    ●人才短缺影响组织构建安全防御机制

    80% 的受访者承认，组织采用多点解决方案会降低其团队检测、响应和从网络安全事件中恢复的能力，没有带来显著的结果 。(67%的组织表示，内部安全团队在安全堆栈中部署了 10 个或更多的点解决方案，25% 的企业表示部署了 30 个或更多的点解决方案。)

    85% 的组织表示，内部员工通过非托管设备访问公司各个网络平台，其中 43% 的员工花费 20% 的时间通过非托管设备登录公司网络系统。此外，29% 的公司表示，其员工一周内至少在六个网络之间”跳来跳去“。

    最突出的是，企业计划升级现有解决方案 (66%) 、部署新解决方案 (57%) 和投资人工智能驱动技术 (55%)。此外，97% 的公司计划在未来 12 个月内增加网络安全预算，86% 的受访者表示他们的预算将增加 10% 或更多。

    最后，安全研究人员强调，组织必须加快在安全方面的资源投入，包括但不限于采用创新的安全措施和安全平台方法，加强网络弹性，更多的使用生成式人

    近日，有研究人员发现，Linux 操作系统中的 util-linux 软件包wall 命令中存在一个漏洞，该漏洞名为 WallEscape，被追踪为 CVE-202428085，黑客能够利用该漏洞窃取密码或更改剪贴板。

    据调查，该漏洞已存在 11 年之久，也就是说该软件包 2.40 版本前的每个版本都存在该漏洞。研究人员表示，WallEscape 可能会影响“wall"命令，该命令在 Linux 系统中通常用于向登录到同一系统 (如服务器) 的所有用户的终端发送消息弹窗。

    由于在处理通过命令行参数输入时，转义序列会被过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端机上创建假的 SUDO 提示，并诱使他们输入管理员密码。

    同时，研究人员指出，这两种情况在 Ubuntu 22.04 LTS (JammyJellyfish)和 Debian 12.5 (Bookworm) 上都存在，但在 CentOS 上不存在。目前，WallEscape 的概念验证利用代码已经发布，同时也公布了攻击者利用该漏洞的技术细节。

图：linux

    Ferrante 也提到，黑客可以通过为 Gnome 终端创建虚假的 SUDO 提示，诱骗用户输入敏感信息作为命令行参数。但需要一些预防措施，比如使用 wall命令向目标传递一个脚本，改变他们在终端中的输入 (前景色、隐藏输入、睡眠时间) ，这样虚假的密码提示就会作为合法请求通过。

    要找到密码，攻击者就必须检查 /proc/Spid/cmdline 文件中的命令参数，在多个 Linux 发行版上，非特权用户都能看到这些参数。另一种攻击方式是通过转义序列更改目标用户的剪贴板。研究人员强调，这种方法并不适用于所有终端模拟器，Gnome 就是其中之一。但由于人们可以通过墙发送转义序列，因此如果用户使用的终端支持这种转义序列，攻击者就可以将受害者的剪贴板更改为任意文本。

    值得注意的是，利用 WallEscape 依赖于本地访问 (物理访问或通过 SSH进行远程访问)，这限制了其严重性。其中涉及到的安全风险来自在多用户设置(如组织的服务器) 中与受害者访问同一系统的无权限用户。

    安全人员建议广大用户立即升级到 linux-utils v2.40，以修补漏洞。一般来说，可通过 Linux 发行版软件包管理器上的标准升级通道进行，但可能会有一些延迟。

    另外，系统管理员还可通过移除wall"命令中的 setgid 权限，或使用mesg"命令将其标志设置为“n"，并禁用消息广播功能，这样就能有效缓解CVE-2024-28085 漏洞带来的影响。