安全简讯（2024.06.25）

1. 多个威胁行为者部署开源 Rafel RAT 攻击 Android 设备

6月24日，包括网络间谍组织在内的多个威胁行为者正在使用名为Rafel RAT 的开源 Android 远程管理工具来伪装成 Instagram、WhatsApp 以及各种电子商务和防病毒应用程序来达到他们的运营目标。Check Point在上周发布的分析报告中表示：“它为恶意行为者提供了强大的远程管理和控制工具包，可实施从数据盗窃到设备操纵等一系列恶意活动。”它拥有广泛的功能，例如擦除 SD 卡、删除通话记录、窃取通知，甚至充当勒索软件。此前，以色列网络安全公司DoNot 团队（又名 APT-C-35、Brainworm 和 Origami Elephant）曾利用 Rafel RAT发起网络攻击，利用 Foxit PDF Reader 的设计缺陷诱骗用户下载恶意负载。据称，该活动发生在 2024 年 4 月，利用军事主题的 PDF 诱饵来传播恶意软件。Check Point 表示，它发现了大约 120 个不同的恶意活动，其中一些针对知名实体，涉及澳大利亚、中国、捷克、法国、德国、印度、印度尼西亚、意大利、新西兰、巴基斯坦、罗马尼亚、俄罗斯和美国等多个国家。

https://thehackernews.com/2024/06/iranian-hackers-deploy-rafel-rat-in.html

2. 新型RAT SneakyChef和SugarGhost攻击Windows系统

6月24日，Talos Intelligence 发现了威胁行为者 SneakyChef 发起的复杂网络攻击。此攻击利用 SugarGh0st RAT 和其他恶意软件来攻击全球的政府机构、研究机构和各种组织。该活动于 2023 年 8 月初开始，最初针对的是乌兹别克斯坦和韩国的用户。然而，此后，该活动已扩大到更广泛的地理区域，其中包括：欧洲、中东和非洲地区：安哥拉、土库曼斯坦、哈萨克斯坦、印度、沙特阿拉伯和拉脱维亚；亚洲：印度、乌兹别克斯坦和哈萨克斯坦；欧洲：拉脱维亚和立陶宛。攻击者利用诱饵文件冒充政府机构和研究机构，引诱受害者。这些文件包括：政府主题诱饵：来自各部委和大使馆的通告、报告和公告；研究会议主题诱饵：摘要、申请表和会议邀请函。根据 Talos 的报告，该活动使用了 SugarGh0st RAT 和另一种被称为“SpiceRAT”的 RAT。感染链使用 SFX RAR 文件作为初始攻击媒介。执行时，这些文件会将诱饵文档、DLL 加载器、加密的 SugarGh0st 和恶意VB 脚本放入受害者的临时用户配置文件夹中。

https://gbhackers.com/new-rat-malware-sneakychef-sugarghost-attack-windows-systems/

3. Facebook PrestaShop 模块遭利用可窃取信用卡信息

6月23日，黑客正在利用 PrestaShop 高级 Facebook 模块 pkfacebook 中的一个漏洞，在易受攻击的电子商务网站上部署信用卡盗刷器并窃取人们的支付信用卡详细信息。PrestaShop 是一个开源电子商务平台，允许个人和企业创建和管理在线商店。截至 2024 年，全球约有 300,000 家在线商店使用该平台。Promokit 的pkfacebook 插件是一个模块，允许商店访客使用他们的 Facebook 帐户登录，在商店页面下发表评论，并使用 Messenger 与支持代理进行沟通。Promokit 在 Envato 市场上的销售量超过12,500 份，但 Facebook 模块仅通过供应商的网站销售，并且没有提供销售数量详细信息。该严重漏洞编号为CVE-2024-36680，是 pkfacebook 的 facebookConnect.php Ajax 脚本中的一个 SQL 注入漏洞，允许远程攻击者使用 HTTP 请求触发 SQL 注入。TouchWeb 的分析师于 2024 年 3 月 30 日发现了该漏洞，但 Promokit.eu 表示该漏洞“很久以前”就已修复，但未提供任何证据。

https://www.bleepingcomputer.com/news/security/facebook-prestashop-module-exploited-to-steal-credit-cards/

4. AdsExhaust通过Google搜索在伪造的Oculus程序中分发

6月24日，eSentire 的网络安全研究人员发现了一种名为 AdsExhaust 的新型恶意广告软件，它巧妙地伪装成合法的 Oculus 安装程序，诱骗毫无戒心的用户下载它。根据 eSentire Threat Response Unit 与 Hackread.com 分享的研究，该恶意广告软件于 2024 年 6 月发现，并通过伪造的 Oculus 安装程序应用程序进行传播。当用户在搜索引擎上搜索 Oculus 应用程序（本例中，搜索引擎是 Google）时，感染就开始了，这时用户会偶然发现分发 AdsExhaust 的恶意网站。下载并安装后，用户并没有获得所需的 Oculus 软件，而是在不知情的情况下将 AdsExhaust 释放到他们的设备上。用户会收到一个 ZIP 压缩包，其中包含一个名为“oculus-app.EXE”的批处理脚本，该脚本会检索其他脚本并创建 backup.bat 文件。创建三个任务以在不同时间运行批处理文件，并从浏览器中下载合法的 Oculus 应用程序。一旦安装，AdsExhaust 就会窃取用户信息，向毫无戒心的用户发送大量广告，让他们感到沮丧，并可能侵犯他们的隐私，同时产生未经授权的收入。它可以从受感染的设备中提取屏幕截图，并“使用模拟按键”与浏览器进行交互，这使得它独一无二，也更加危险。

https://hackread.com/adsexhaust-adware-fake-oculus-installer-google-search/

5. 黑客通过第三方入侵泄露 33000 名埃森哲员工的数据

6月23日，一名名为“888”的黑客最近泄露了一份文件，其中包含 32,828 名个人的联系方式和个人信息，黑客声称这些人是埃森哲的现任和前任员工。埃森哲总部位于爱尔兰都柏林，是一家全球专业服务公司，专门从事 IT 服务和咨询，业务遍及 120 多个国家。这些数据被发布在臭名昭著的Breach Forums上，其中包括全名和电子邮件地址。在 Hackread.com 进行快速背景调查后，泄露信息的真实性似乎得到了证实。好消息是，此次泄露事件中没有涉及密码。根据黑客在论坛上的帖子，这些数据是通过今年 6 月发生的第三方数据泄露事件获得的。值得注意的是，“888”因之前泄露过大公司员工详细信息而在泄密论坛上声名鹊起。第三方数据泄露已成为当今重大的网络安全威胁。最近备受关注的事件，如Ticketmaster、美国运通、Tech in Asia和Santander Bank都因第三方平台漏洞而发生网络安全事件。

https://hackread.com/hacker-leaks-accenture-employees-data-breach/

6. 威胁行为者正在积极利用 SOLARWINDS SERV-U 漏洞 CVE-2024-28995

6月24日，威胁行为者正在积极利用SolarWinds Serv-U 软件中最近发现的漏洞，该漏洞编号为CVE-2024-28995 。漏洞 CVE-2024-28995 是一个高严重性目录遍历问题，允许攻击者读取主机上的敏感文件。该漏洞由 Hussein Daher 发现并报告。威胁情报公司 GreyNoise 的专家报告称，威胁行为者正在积极利用公开的概念验证 (PoC) 漏洞代码。在 Rapid7公布了有关该漏洞和 PoC 漏洞利用代码的技术细节后，GreyNoise 的研究人员开始调查该问题。GitHub 用户bigb0x还分享了SolarWinds Serv-U CVE-2024-28995 目录遍历漏洞的概念验证 (PoC) 和批量扫描程序。GreyNoise 报道称：“该漏洞非常简单，通过 GET 向根目录 ( /) 发送带有参数的请求来访问InternalDir ，并设置为InternalFile 所需文件。其思路是，这 InternalDir 是文件夹，他们会尝试验证其中是否存在路径遍历段 ( ../)。这是文件InternalFile 名。”

https://securityaffairs.com/164806/hacking/solarwinds-serv-u-cve-2024-28995-exploit.html