安全简讯（2024.07.08）

1. 研究团队发现Mekotio银行木马威胁拉丁美洲的金融系统

7月5日，Mekotio 银行木马是一种复杂的恶意软件，自 2015 年以来一直活跃，主要针对拉丁美洲国家，目的是窃取目标的敏感信息（尤其是银行凭证）。该木马起源于拉丁美洲地区，在巴西、智利、墨西哥、西班牙和秘鲁尤为猖獗。此外，Mekotio 似乎与其他著名的拉丁美洲银行恶意软件（如Grandoreiro ）有着共同的起源，后者于今年早些时候被执法部门破获。Mekotio 通常通过网络钓鱼电子邮件传播，利用社交工程诱骗用户与恶意链接或附件进行交互。Mekotio 通常通过看似来自税务机构的电子邮件发送，声称用户有未缴纳的税款。这些电子邮件包含 ZIP 文件附件或恶意网站的链接。一旦用户与电子邮件互动，恶意软件就会下载并在其系统上执行。在我们的分析中，附件是一个包含恶意链接的 PDF 文件。执行后，Mekotio 会收集系统信息并与命令和控制 (C&C) 服务器建立连接。该服务器会提供恶意软件要执行的指令和任务列表。Mekotio 银行木马对金融系统构成持续且不断演变的威胁，尤其是在拉丁美洲国家。它利用钓鱼电子邮件入侵系统，目的是窃取敏感信息，同时在受感染的机器上保持稳固的立足点。

https://www.trendmicro.com/en_us/research/24/g/mekotio-banking-trojan.html

2. 黑客攻击 HFS 服务器以投放恶意软件和 Monero 矿工

7月5日，黑客瞄准 Rejetto 的旧版本 HTTP 文件服务器 (HFS)，以投放恶意软件和加密货币挖掘软件。安全公司 AhnLab 的威胁研究人员认为，威胁行为者正在利用 CVE-2024-23692，这是一个严重程度极高的安全漏洞，允许在无需身份验证的情况下执行任意命令。该漏洞影响软件 2.3m 及以下版本。Rejetto 在其网站上发布消息警告用户，2.3m 至 2.4 版本“很危险，不应再使用”，因为其中存在漏洞，可让攻击者“控制您的计算机”，目前尚未找到修复方法。AhnLab 安全情报中心 (ASEC) 观察到针对 HFS 2.3m 版本的攻击，该版本在想要通过网络测试文件共享的个人用户、小团队、教育机构和开发人员中仍然非常受欢迎。由于针对的软件版本较多，研究人员认为攻击者正在利用 CVE-2024-23692 漏洞，该漏洞由安全研究员 Arseniy Sharoglazov 于去年 8 月发现，并于今年 5 月在一份技术报告中公开披露。CVE-2024-23692 是一个模板注入漏洞，允许未经身份验证的远程攻击者发送特制的 HTTP 请求在受影响的系统上执行任意命令。披露后不久，Metasploit 模块和概念验证漏洞就出现了。据 ASEC 称，这正是野外攻击开始的时间。

https://www.bleepingcomputer.com/news/security/hackers-attack-hfs-servers-to-drop-malware-and-monero-miners/

3. 基于 Golang 的新 Zergeca 僵尸网络可发起强大的 DDoS 攻击

7月5日，网络安全研究人员发现了一个名为 Zergeca 的新僵尸网络，它能够发起分布式拒绝服务 (DDoS) 攻击。该僵尸网络用 Golang 编写，因其引用命令和控制 (C2) 服务器（“ootheca[.]pw”和“ootheca[.]top”）中名为“ootheca”的字符串而得名。从功能上看，Zergeca不仅仅是一个典型的DDoS僵尸网络，除了支持六种不同的攻击方式外，还具有代理、扫描、自我升级、持久性、文件传输、反向shell和收集敏感设备信息等功能。Zergeca 还因使用 DNS-over-HTTPS（DoH）执行 C2 服务器的域名系统 (DNS) 解析以及使用鲜为人知的库Smux进行 C2 通信而闻名。有证据表明，该恶意软件正在积极开发和更新恶意软件以支持新命令。此外，据说 C2 IP 地址 84.54.51[.]82 之前曾于 2023 年 9 月左右用于传播Mirai 僵尸网络。截至 2025 年 4 月 29 日，同一 IP 地址开始被用作新僵尸网络的 C2 服务器，这增加了威胁行为者“在创建 Zergeca 之前积累了操作 Mirai 僵尸网络的经验”的可能性。2024 年 6 月初至 6 月中旬，僵尸网络发起的攻击（主要是ACK 洪水 DDoS 攻击）针对了加拿大、德国和美国。Zergeca 的功能涵盖四个不同的模块 - 即持久性、代理、silivaccine 和僵尸 - 通过添加系统服务、实现代理、删除竞争的矿工和后门恶意软件以及获得对运行 x86-64 CPU 架构的设备的独占控制来设置持久性，并处理主要的僵尸网络功能。

https://thehackernews.com/2024/07/new-golang-based-zergeca-botnet-capable.html

4. Polyfill JavaScript库的供应链攻击影响超过38万台主机

7月6日，针对广泛使用的 Polyfill[.]io JavaScript 库的供应链攻击范围比之前认为的要广， Censys 的新发现显示，截至 2024 年 7 月 2 日，超过 380,000 台主机嵌入了链接到恶意域的 polyfill 脚本。该攻击面管理公司表示，这包括在其 HTTP 响应中引用“https://cdn.polyfill[.]io”或“https://cdn.polyfill[.]com”。“大约有 237,700 个位于 Hetzner 网络 (AS24940) 内，主要位于德国，”报告指出。“这并不奇怪——Hetzner 是一种流行的网络托管服务，许多网站开发人员都利用它。”对受影响主机的进一步分析发现，与华纳兄弟、Hulu、梅赛德斯奔驰和培生等知名公司相关的域名引用了有问题的恶意端点。据称，这种恶意行为是在该域名及其相关的 GitHub 存储库于 2024 年 2 月出售给一家名为 Funnull 的中国公司后出现的。这一发展促使域名注册商 Namecheap 暂停了该域名，Cloudflare 等内容交付网络自动将 Polyfill 链接替换为指向替代安全镜像站点的域名，谷歌屏蔽了嵌入该域名的网站的广告。虽然运营商试图在名为 polyfill[.]com 的另一个域名下重新启动该服务，但该服务也于 2024 年 6 月 28 日被 Namecheap撤下。自 7 月初以来，他们注册的另外两个域名——polyfill[.]site 和 polyfillcache[.]com——其中后者仍在运行。

https://thehackernews.com/2024/07/polyfillio-attack-impacts-over-380000.html

5. 黑客泄露泰勒·斯威夫特演唱会门票并对Ticketmaster敲诈勒索

7月6日，黑客泄露了他们所声称的 166,000 张泰勒·斯威夫特时代巡回演唱会 (Taylor Swift Eras Tour) 门票的 Ticketmaster 条形码数据，并警告说，如果不支付 200 万美元的勒索金，将会泄露更多活动的信息。5 月份，一个名为 ShinyHunters 的知名威胁行为者开始以 50 万美元的价格出售 5.6 亿 Ticketmaster 客户的数据。Ticketmaster随后证实了数据泄露事件，他们最终表示数据来自他们在 Snowflake 上的账户，Snowflake 是一家云数据仓库公司，企业使用它来存储数据库、处理数据和执行分析。4 月，威胁行为者开始使用信息窃取恶意软件窃取的凭证下载至少 165 个组织的 Snowflake 数据库。威胁者随后勒索这些公司，要求他们支付费用以防止数据泄露或出售给其他威胁者。已确认被窃取 Snowflake 账户数据的公司包括 Neiman Marcus、洛杉矶联合学区、 Advance Auto Parts、 Pure Storage和Satander。

https://www.bleepingcomputer.com/news/security/hackers-leak-alleged-taylor-swift-tickets-amp-up-ticketmaster-extortion/

6. OpenAI 对敏感人工智能的研究成果遭到黑客攻击保持沉默

7月6日，总部位于旧金山的人工智能（AI）领域领先研究公司和ChatGPT聊天机器人的母公司OpenAI发生安全漏洞，引发了对美国国家安全和先进AI技术潜在滥用的担忧。据《纽约时报》（NYT）报道，去年初，黑客未经授权访问了 OpenAI 员工使用的内部消息系统，据报道其中包含有关敏感的 AI 研发项目的讨论。黑客通过攻击员工讨论公司最新技术的在线论坛窃取了有关OpenAI 技术的敏感信息。然而，《纽约时报》透露，客户或合作伙伴的数据并未被窃取，黑客也无法访问“公司存放和构建人工智能”的系统。OpenAI 高管在 2023 年 4 月的全体员工大会上向员工和董事会披露了这一事件，但并未公开，此举遭到员工的批评。OpenAI 的技术项目经理Leopold Aschenbrenner对公司的安全措施提出了质疑。OpenAI 因阿申布伦纳泄露信息而解雇了他，他认为此举是出于政治动机，而该公司则声称这与他的声明无关，并且不同意他对其数字安全基础设施的评估。该公司发言人利兹·布尔乔亚 (Liz Bourgeois) 强调，虽然他们赞同利奥波德 (Leopold) 对创建安全人工智能的决心，但他们不同意他对公司安全性的说法，包括在他加入之前与董事会讨论过的一起事件。OpenAI 称，它并不认为此次事件构成国家安全威胁，也没有通知联邦执法机构，因为它认为黑客是私人，并不怀疑有外国政府参与。

https://hackread.com/openai-kept-mum-of-sensitive-ai-research-hack/