安全简讯（2024.06.24）

1. 新型 Rust Fickle 恶意软件使用PowerShell绕过UAC并窃取数据

6月21日，据观察，一种名为Fickle Stealer的基于 Rust 的新型信息窃取恶意软件通过多种攻击链进行传播，目的是从受感染主机中窃取敏感信息。Fortinet FortiGuard Labs表示，其已发现四种不同的分发方法 - 即 VBA 投放器、VBA 下载器、链接下载器和可执行下载器 - 其中一些使用 PowerShell 脚本绕过用户帐户控制 (UAC) 并执行 Fickle Stealer。PowerShell 脚本（“bypass.ps1”或“u.ps1”）还旨在定期向攻击者控制的 Telegram 机器人发送有关受害者的信息，包括国家、城市、IP 地址、操作系统版本、计算机名称和用户名。使用加壳程序保护的窃取程序负载会运行一系列反分析检查来确定它是在沙箱还是虚拟机环境中运行，然后它会向远程服务器发出信号，以 JSON 字符串的形式窃取数据。Fickle Stealer 与其他变种没有什么不同，因为它旨在从加密钱包、由 Chromium 和 Gecko 浏览器引擎驱动的网络浏览器（即 Google Chrome、Microsoft Edge、Brave、Vivaldi 和 Mozilla Firefox）以及 AnyDesk、Discord、FileZilla、Signal、Skype、Steam 和 Telegram 等应用程序收集信息。

https://thehackernews.com/2024/06/new-rust-based-fickle-malware-uses.html

2. 数百种PC和服务器型号可能受到严重 Phoenix UEFI 漏洞的影响

6月22日，该漏洞的编号为 CVE-2024-0762，又名UEFIcanhazbufferoverflow，是由企业固件和硬件安全公司 Eclypsium 开发的自动分析系统发现的。本地攻击者可以利用此安全漏洞来提升权限并在运行时在 UEFI 固件中执行任意代码。Eclypsium 警告称，这是一种可能被Black Lotus UEFI rootkit等威胁利用的漏洞。此漏洞体现了 IT 基础设施供应链事件的两个特点——影响大、影响范围广。UEFI 固件是现代设备上最有价值的代码之一，任何代码被攻破都可能让攻击者完全控制设备并驻留在设备上，调查显示，该漏洞与可信平台模块 (TPM) 配置中的不安全变量有关。存在漏洞的 SecureCore UEFI 固件运行在联想、宏碁、戴尔和惠普等电脑制造商使用的多款英特尔移动、台式机和服务器处理器上。Phoenix Technologies在 5 月份发布的公告中解决了该漏洞，确认在 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 等英特尔处理器系列上运行的 SecureCore 固件受到影响。

https://www.securityweek.com/hundreds-of-pc-server-models-possibly-affected-by-serious-phoenix-uefi-vulnerability/

3. 威胁者声称出售澳大利亚票务供应商 TEG 的 3000 万条用户记录

6月22日，一名威胁者声称拥有澳大利亚票务供应商 TEG (teg.com.au) 的数据库，其中包含 3000 万条用户记录。据称数据包括姓名、性别、出生日期、用户名、哈希密码等敏感信息。TEG 是澳大利亚一家著名的票务公司，提供各种娱乐和活动门票销售。威胁者已将该数据库的价格定为 30,000 美元。他们声称该数据集包含详细的客户资料，涵盖客户 ID、性别、公司名称、出生日期和哈希密码等各个字段。据称，此次出售还包括有关帐户状态（如已禁用和已锁定）的信息，以及时间戳和登录详细信息。此次涉嫌数据泄露事件凸显了受影响用户面临的重大隐私和安全风险。此类敏感信息的出售凸显了数据泄露的威胁日益加剧，以及强有力的网络安全措施的重要性。

https://dailydarkweb.net/threat-actor-claims-to-sell-30-million-user-records-from-australian-ticket-vendor-teg/

4. 法国外交机构遭到俄罗斯黑客团伙Midnight Blizzard的网络攻击

6月22日，法国信息安全机构 ANSSI 在一份咨询报告中表示，与俄罗斯有联系的政府支持的行为者与针对法国外交机构的网络攻击有关。这些攻击被归因于微软跟踪的名为 Midnight Blizzard (以前称为 Nobelium) 的集群，该集群与APT29、BlueBravo、Cloaked Ursa、Cozy Bear 和 The Dukes 等跟踪的活动有重叠。尽管 APT29 和 Midnight Blizzard 这两个绰号经常被交替用来指代与俄罗斯对外情报局 (SVR) 相关的入侵事件，但 ANSSI 表示，它更愿意将它们与第三个被称为Dark Halo 的威胁集群一起视为不同的威胁集群，该威胁集群被认为对 2020 年通过 SolarWinds 软件发动的供应链攻击负责。Nobelium 的特点是使用特定的代码、策略、技术和程序。大多数针对外交实体的 Nobelium 活动都使用外交人员的被盗合法电子邮件账户，并针对外交机构、大使馆和领事馆进行网络钓鱼活动。攻击包括从先前被威胁行为者攻击的外国机构和个人向法国公共组织发送网络钓鱼电子邮件，以发起一系列恶意行动。

https://thehackernews.com/2024/06/french-diplomatic-entities-targeted-in.html

5. 加密货币交易所 Kraken 指控区块链安全机构 CertiK 敲诈勒索

6月22日，Kraken 是全球最大的加密货币交易所之一，它指控三名安全研究人员发现了一个严重漏洞，并利用该漏洞窃取了数百万数字现金，然后利用被盗资金向交易所勒索更多资金。Percoco 表示，该问题源于最近的用户体验变化，该变化会在资产实际清算之前将客户账户记入账户，从而营造出实时加密货币交易的虚假感觉。Percoco 补充说，只要报告漏洞就足以获得一大笔赏金。然而，披露漏洞的研究人员并没有就此止步，Kraken 没有透露其姓名，“因为他们没有遵守任何 [漏洞赏金] 行业要求”。Percoco 称，发现该漏洞的分析师将其分享给了几位同事，他们随后利用该漏洞从该平台提取了近 300 万美元。Kraken 指出，以这种方式窃取的资金来自 Kraken 金库，而不是客户资产。鉴于这是加密货币的世界，这场疯狂之旅并没有止步于数百万美元的盗窃。Percoco 表示，研究人员拒绝提供与该漏洞相关的活动的完整说明、展示概念证明，或退还通过该漏洞提取的资金。

https://www.theregister.com/2024/06/20/kraken_certik_crypto_dispute/

6. 英国最大核电站否认遭到黑客攻击但承认存在网络安全漏洞

6月23日，国塞拉菲尔德核电站的管理公司在这次具有里程碑意义的起诉中承认了三项网络安全漏洞刑事指控，其法律代表在法庭上否认了该设施遭到黑客攻击的说法。今年早些时候，英国核安全监管机构宣布对运营该设施的公司提起指控，指控其“在 2019 年至 2023 年初的四年期间存在信息技术安全违规行为”。这是核监管办公室 (ONR) 根据《2003 年核工业安全条例》提起的第一起案件，该法律要求核设施必须满足物理和 IT 安全计划的既定标准。此前，英国首席核检查员发布年度报告，披露该设施已经因其网络安全漏洞而成为监管重点关注的焦点。塞拉菲尔德目前拥有的钚（特别是核反应堆运行产生的副产品同位素）比地球上任何其他地方都要多，同时还拥有一系列核退役、废物处理和储存设施。塞拉菲尔德核电站是欧洲最大的核设施，位于坎布里亚郡，占地面积约 6 平方公里，尽管其反应堆于 2003 年被关闭，但据 ONR 称，它仍然是“世界上最复杂、最危险的核电站之一”。

https://therecord.media/sellafield-guilty-plea-uk-nuclear-facility-cybersecurity