【2024-07-17】 每日安全资讯

1. 谷歌Play Store上的Konfety恶意广告欺诈事件

Konfety是一起利用俄罗斯广告联盟SDK的恶意广告欺诈活动，通过在谷歌Play Store上的数百款应用程序传播。这些应用程序的'恶意双胞胎'版本被设计用于进行广告欺诈、监控网页搜索、安装浏览器扩展和侧加载APK文件。该恶意广告活动的规模高达每天100亿次请求。受害者被诱导下载这些应用后，会遭受到点击欺诈以及个人数据监控等多种恶意行为。此外，研究人员发现，此类活动利用CaramelAds SDK进行对高质量发布商的滥用。整个事件暴露了恶意行为者不断寻找新的方式来逃避检测、进行持续且可持续的欺诈行为。

【标签】：#恶意广告 #欺诈活动 #谷歌Play Store #CaramelAds SDK #数据监控 #恶意应用

【参考】：https://thehackernews.com/2024/07/konfety-ad-fraud-uses-250-google-play.html

2. Saas 应用程序的身份威胁检测和响应

本文介绍了SaaS应用程序中不断增长的身份威胁，以及如何通过ITDR系统来监测和应对这些威胁。文章提到了美国网络安全和基础设施安全局（CISA）的相关数据，以及Snowflake公司遭受威胁的案例。此外，还介绍了ITDR系统的工作原理、减少身份威胁的方法以及如何将身份威胁检测作为优先事项。

【标签】：#ITDR #身份安全 #SaaS应用程序 #威胁检测

【参考】：https://thehackernews.com/2024/07/threat-prevention-detection-in-saas.html

3. npm软件包含恶意后门代码

网络安全研究人员在npm软件包注册表上识别出两个恶意软件包，这些软件包隐藏了后门代码，可以执行远程服务器发送的恶意命令。这些软件包伪装成合法的npm库，但实际上包含可执行恶意内容的JavaScript文件。

【标签】：#网络安全 #npm #恶意软件

【参考】：https://thehackernews.com/2024/07/malicious-npm-packages-found-using.html

4. 伊朗 MuddyWater 黑客组织采用新的 BugSleep 后门进行攻击

伊朗国家行为者 MuddyWater 近期被发现采用以前未曾见过的后门 BugSleep，这标志着他们放弃了使用合法的远程监控和管理软件，改变了传统攻击方式。攻击目标包括土耳其、阿塞拜疆、约旦、沙特阿拉伯、以色列和葡萄牙等国家。BugSleep 是一个 x64 后门，具备下载/上传任意文件、启动反向 shell 和建立持久性等功能。MuddyWater 中东地区的活动增加，可能是由于安全厂商对远程监控工具的加强监测。他们改变了技术、战术和程序（TTPs），并且持续对该地区的各种目标进行攻击。

【标签】：#iran #cybersecurity #hacking #MuddyWater #BugSleep

【参考】：https://thehackernews.com/2024/07/iranian-hackers-deploy-new-bugsleep.html

5. Void Banshee利用Microsoft MHTML浏览器引擎漏洞进行信息窃取

最近，APT组织Void Banshee利用Microsoft MHTML浏览器引擎的安全漏洞进行零日攻击，传播名为Atlantida的信息窃取恶意软件。这一行为被网络安全公司Trend Micro在2024年5月份发现，漏洞跟踪编号为CVE-2024-38112，已被Microsoft作为本月更新的一部分解决。报告称攻击链包括网络钓鱼邮件，利用CVE-2024-38112漏洞重定向受害者到一个恶意HTML应用程序。受害者打开HTML应用程序后，会执行一个PowerShell脚本，最终下载并运行Atlantida窃取软件。Atlantida的设计目的是从网络浏览器和其他应用程序中提取文件、屏幕截图、地理位置和敏感数据。同时，Void Banshee还将Facebook广告用于分发名为SYS01stealer的另一种窃取软件。云安全公司Cloudflare的研究指出，威胁行为者将证明概念攻击迅速整合到他们的工具库中，并密切关注公开漏洞后的22分钟内迅速使用。

【标签】：#Void Banshee #Atlantida #Trend Micro #CVE-2024-38112 #Zero Day Initiative #PowerShell #Atlantida #SYS01stealer #Cloudflare

【参考】：https://thehackernews.com/2024/07/void-banshee-apt-exploits-microsoft.html

6. 卡巴斯基退出美国市场

卡巴斯基安全公司宣布退出美国市场，这是因为美国商务部宣布禁止其软件在该国销售，称其存在国家安全风险。该公司预计将在2024年7月20日停止在美国的业务，并裁员不到50名员工。虽然美国商务部未公布调查结果，但指出卡巴斯基可能成为俄罗斯网络攻击的渠道。卡巴斯基则反驳称自己不会威胁美国国家安全，决定出于现实的地缘政治环境和理论上的担忧。现有美国客户被建议在2024年9月29日之前寻找替代技术解决方案。

【标签】：#卡巴斯基 #美国市场 #商务部禁令 #安全风险 #调查结果

【参考】：https://thehackernews.com/2024/07/kaspersky-exits-us-market-following.html

7. 美国网络安全和基础设施安全局发布对GeoServer GeoTools的警报

美国网络安全和基础设施安全局（CISA）将影响OSGeo GeoServer GeoTools的关键安全漏洞添加到其已知被利用漏洞（KEV）目录中。该漏洞允许远程代码执行，已在多个OGC请求参数中发现，因此联邦机构必须在2024年8月5日之前应用供应商提供的修复程序。

【标签】：#CISA #Cybersecurity #OSGeo GeoServer #GeoTools #CVE-2024-36401 #remote code execution #federal agencies

【参考】：https://thehackernews.com/2024/07/cisa-warns-of-actively-exploited-rce.html

8. GitHub泄露导致Python语言安全问题

研究人员发现了一个GitHub token的意外泄露，可能导致对Python编程语言、Python Package Index（PyPI）和Python Software Foundation（PSF）存储库的提升访问权限。JFrog发现这个GitHub个人访问令牌，这个秘密是在Docker Hub上托管的公共Docker容器中意外泄露的。发现这个令牌后立即吊销，没有证据表明该秘密被滥用。此外，Checkmarx发现了一系列恶意软件包，设计用于未经受害者同意或知识地将敏感信息传输到一个Telegram机器人。

【标签】：#GitHub #Python #cybersecurity #token leak #supply chain attack #Docker #PyPI #PSF #Checkmarx

【参考】：https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html

关注我们

        欢迎来到我们的公众号！我们专注于全球网络安全和精选资讯，为您带来最新的资讯和深入的分析。在这里，您可以了解世界各地的网络安全事件，同时通过我们的新闻，获取更多的行业知识。感谢您选择关注我们，我们将继续努力，为您带来有价值的内容。