安全简讯（2024.06.17）

1. 新的 Linux 恶意软件通过 Discord 发送的表情符号进行控制

6月15日，一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度的政府机构。该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与巴基斯坦的威胁行为者“UTA0137”有关。该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似，允许威胁行为者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件。然而，它使用 Discord 和表情符号作为命令和控制 (C2) 平台，这使得该恶意软件从其他恶意软件中脱颖而出，并可以让它绕过寻找基于文本的命令的安全软件。据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件。Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。

https://www.bleepingcomputer.com/news/security/new-linux-malware-is-controlled-through-emojis-sent-from-discord/

2. CISA 警告称 Windows 漏洞可能被利用于勒索软件攻击

6月15日，美国网络安全和基础设施安全局 (CISA) 将勒索软件攻击中滥用的高严重性 Windows 漏洞作为零日漏洞添加到其主动利用的安全漏洞目录中。此安全漏洞编号为 CVE-2024-26169，是由 Windows 错误报告服务中不当的权限管理漏洞引起的。成功利用此漏洞可让本地攻击者在无需用户交互的低复杂度攻击中获得系统权限。微软在 2024 年 3 月 12 日的每月补丁星期二更新中解决了该漏洞。但是，该公司尚未更新其安全公告以将该漏洞标记为已被攻击利用。赛门铁克安全研究人员发现证据表明，Black Basta 勒索软件团伙（Cardinal 网络犯罪集团，也被追踪为 UNC4394 和 Storm-1811）的运营者很可能是利用该漏洞作为零日漏洞进行攻击的幕后黑手。他们发现，在这些攻击中部署的 CVE-2024-26169 漏洞利用工具的一个变体的编译时间戳为 2 月 27 日，而第二个样本的构建时间甚至更早，为 2023 年 12 月 18 日。正如赛门铁克在其报告中承认的那样，这些时间戳很容易被修改，这使得他们的零日漏洞利用结果不确定。然而，攻击者这样做的动机很少甚至没有，因此这种情况不太可能发生。这表明，勒索软件组织在微软发布安全更新来修补本地特权提升漏洞之前的 14 到 85 天内就已存在漏洞。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-bug-exploited-in-ransomware-attacks/

3. 前 IT 员工因删除 180 个虚拟服务器被判 2.5 年监禁

6月14日，据报道，国家计算机系统公司 (NCS) 的一名前质量保证员工在被解雇后删除了 180 台虚拟服务器，被判处两年零八个月监禁。39 岁的 Nagaraju Kandula承认因被 NCS 解雇而删除虚拟服务器，企图破坏公司系统，造成的损失估计达 678,0000 美元。NCS（National Computer Systems）是一家总部位于新加坡的IT巨头，也是新加坡电信集团的子公司。其业务遍及亚太地区20多个城市，拥有13,000名员工。Kandula 曾担任 NCS 的质量保证 (QA) 团队成员，负责在 NCS 发布新软件和程序之前对其进行测试。2022 年 11 月 16 日，他因表现不佳而被解雇，但公司却忽视了他们并没有使他的凭证失效，从而允许他继续访问他们的系统。据审查过法庭文件的新闻机构 CNA报道，2023 年 1 月至 3 月期间，Nagaraju 使用其在 NCS 的未失效账户凭证访问了 NCS 系统十三次以上。据报道，在这些活动期间，该男子测试了自定义脚本，以检查其是否有能力清除质量保证团队管理的虚拟服务器。在发现破坏性攻击并意识到无法恢复已删除的服务器后，NCS 向警方报告了此事件，警方于 2023 年 4 月 11 日将该行为追溯到与坎杜拉关联的 IP 地址。最终，执法部门没收了该男子的笔记本电脑，并找到了攻击中用于清除虚拟服务器的脚本。调查人员提到，坎杜拉通过谷歌搜索如何删除虚拟服务器开发了擦除脚本，因此他的互联网历史记录也被曝光。

https://www.bleepingcomputer.com/news/security/former-it-employee-gets-25-years-for-wiping-180-virtual-servers/

4. 威胁者声称以 500 万美元的价格出售 Android RCE 漏洞

6月16日，一名威胁者宣布出售一种高度复杂的 Android 远程代码执行 (RCE) 漏洞。据称，该漏洞属于零点击类型，这意味着它不需要目标交互即可执行，这大大增加了其潜在威胁。据称该漏洞支持 Android 11、12、13 和 14 版本，并且据称对所有 Android 手机都有效。这种广泛的兼容性意味着对各种设备都存在重大风险。在公告中，威胁者强调了攻击的简易性，强调了漏洞利用的零点击性质，即不需要目标以任何方式与有效载荷进行交互。这使得该漏洞利用特别危险，因为它可以在用户不知情的情况下悄悄控制设备。该威胁行为者已将该漏洞出售，并分享了概念验证 (PoC) 来展示其功能。这一强大漏洞的要价为 500 万美元。这一发展凸显了网络安全领域持续存在的威胁，尤其是对移动设备而言。它强调了保持警惕并确保设备更新最新安全补丁以缓解此类漏洞的重要性。

https://dailydarkweb.net/threat-actor-claims-to-sell-android-rce-exploit-for-5-million/

5. Sleepy Pickle 漏洞让攻击者利用 ML 模型并攻击最终用户

6月15日，黑客正在瞄准、攻击和利用机器学习模型。他们希望入侵这些系统以窃取敏感数据、中断服务或操纵结果以利于自己。通过破坏机器学习模型，黑客可以降低系统性能、造成财务损失并损害人工智能驱动应用程序的信任和可靠性。Trail of Bits 的网络安全分析师最近发现，Sleepy Pickle 漏洞可让威胁行为者利用ML 模型并攻击最终用户。研究人员发现了 Sleepy Pickle，这是一次未知的攻击，利用不安全的 Pickle 格式来分发机器学习模型。与以前危害部署模型的系统的技术不同，Sleepy Pickle 在反序列化过程中秘密地将恶意代码注入模型中。这允许修改模型参数以插入后门或控制输出，并挂钩模型方法来篡改处理后的数据，从而损害最终用户的安全性、安全性和隐私。该技术会传递一个包含模型和有效载荷的恶意 pickle 文件。反序列化后，该文件会执行，修改内存中的模型，然后再将其返回给受害者。

https://gbhackers.com/sleepy-pickle-exploit-ml-models/

6. 500 多万的厄瓜多尔公民的数据库在某论坛被出售

6月14日，该威胁行为者的身份尚不清楚，他在推文中发布消息称，他们已成功渗透到政府数据库并提取了敏感信息。据报道，泄露的数据包括姓名、地址、电话号码和身份证号码。网络安全专家表示，这些数据似乎是真实的，而且此次泄露的规模在厄瓜多尔是前所未有的。为了应对此次泄密事件，厄瓜多尔政府已展开调查，以确定泄密的来源和程度。电信和信息社会部发表声明，敦促公民保持警惕并监控其账户是否有可疑活动。声明中写道：“我们非常重视此事，并正在与国际网络安全专家合作，以减轻此次违规行为的影响。”政府还设立了热线电话和专门网站，供公民检查自己的数据是否遭到泄露，并获得自我保护指导。数据泄露的消息引发了厄瓜多尔公民的愤怒，许多人要求政府提高责任感和透明度。社交媒体平台上充斥着相关人士的评论，表达了他们对自己个人信息可能被滥用的沮丧和担忧。

https://gbhackers.com/claimig-claiming-ecuadors-database/