5th域安全微讯早报【20240824】204期

2024-08-24 星期六Vol-2024-204

今日热点导读

1. 哈里伯顿油田服务公司遭网络攻击：系统关闭与应对措施

2. 拉脱维亚黑客因参与Karakurt勒索团伙被引渡至美国

3. 审计揭示FBI在管理敏感存储介质方面的重大安全漏洞

4. 俄罗斯公民在阿根廷因涉及Lazarus黑客洗钱活动被捕

5. 美国无线电中继联盟支付百万美元赎金以恢复系统

6. 荷兰科学项目资助系统Isaac遭遇外部入侵尝试，关键融资流程被迫推迟

7. Dell Power Manager高危漏洞CVE-2024-39576紧急修复通知

8. Microsoft Edge 发现严重RCE漏洞，建议用户尽快更新

9. PEAKLIGHT：揭秘内存中的隐蔽恶意软件

10. Cthulhu Stealer：macOS新型恶意软件出租服务

资讯详情

安全事件

1. 哈里伯顿油田服务公司遭网络攻击：系统关闭与应对措施

Therecord 8月24日消息，全球领先的油田服务公司哈里伯顿近期遭受了一场网络攻击，迫使公司关闭了部分系统以防止攻击进一步扩散。攻击发生于周三（21日），影响了公司在休斯顿的总部运营。在向美国证券交易委员会（SEC）提交的8-K报告中，哈里伯顿透露黑客访问了其部分系统。作为响应，公司采取了主动关闭系统、通知执法部门等措施，并正在与客户及利益相关者沟通，以评估事件的影响。此次事件中，哈里伯顿的一些员工被指示不要连接公司内部网络，以确保安全。尽管目前没有组织声称对此次攻击负责，但石油和天然气行业因其支付赎金的倾向而成为黑客和勒索软件团伙的常见目标。哈里伯顿，作为拥有约48,000名员工的行业巨头，2024年第一季度收入高达58亿美元。此前，美国运输安全管理局（TSA）也更新了针对危险液体和天然气管道运营商的网络安全法规，要求实施包括事件响应计划和设立网络安全协调员在内的一系列措施。

来源：https://therecord.media/halliburton-systems-offline-cyberattack-sec

2. 拉脱维亚黑客因参与Karakurt勒索团伙被引渡至美国

Thehackernews 8月23日消息，33岁的拉脱维亚国民Deniss Zolotarjovs（又名Sforza_cesarini）因涉嫌参与Karakurt网络犯罪集团被引渡至美国，面临洗钱、电信欺诈和敲诈勒索的指控。Karakurt团伙自2021年8月以来，通过窃取数据并勒索受害者支付加密货币赎金的方式，实施了多起网络犯罪。Zolotarjovs被认为是该团伙的活跃成员，参与了与受害者的勒索谈判，并协助洗钱。美国联邦调查局（FBI）通过追踪比特币转账和iCloud账户，成功将他的网络身份与实际身份关联。此次引渡是打击Karakurt团伙的重大进展，可能为未来起诉其他成员奠定基础。Karakurt以骚扰邮件和电话迫使受害者合作，其手段极为恶劣，已引起各国执法机构的高度关注。

来源：https://thehackernews.com/2024/08/latvian-hacker-extradited-to-us-for.html

3. 审计揭示FBI在管理敏感存储介质方面的重大安全漏洞

Thecyberexpress 8月23日报道，最近的一次审计揭示了美国联邦调查局 (FBI) 在处理和销毁敏感存储介质方面存在严重安全漏洞。司法部监察长办公室的报告指出，FBI在标记、存储和销毁包含敏感信息的电子存储设备方面存在明显缺陷。这些设备包括内置硬盘和拇指驱动器，可能存储机密的国家安全信息 (NSI)。审计发现，这些设备常常在FBI设施中长期无人看管，增加了未经授权访问或滥用的风险。报告还揭示，FBI的库存管理和处置程序不足，特别是在跟踪从绝密计算机中移除的硬盘方面。审计建议FBI改进库存管理政策，确保设备适当标记，并加强介质销毁设施的物理安全措施。此次审计强调了FBI需要立即采取行动，以确保敏感存储介质的安全处置。

来源：https://thecyberexpress.com/fbi-sensitive-storage-media-security-flaws/

4. 俄罗斯公民在阿根廷因涉及Lazarus黑客洗钱活动被捕

Bleepingcomputer 8月23日报道，阿根廷联邦警察在布宜诺斯艾利斯逮捕了一名29岁的俄罗斯公民，该嫌疑人涉嫌参与与朝鲜Lazarus黑客集团相关的加密货币洗钱活动。此次行动由圣伊西德罗网络犯罪调查专门财政部门（UFEIC）与区块链分析公司TRM Labs合作完成。嫌疑人使用复杂的跨区块链交易网络来掩盖资产来源，涉及的资金包括Lazarus集团、儿童虐待内容传播者和恐怖主义资助者的巨额加密货币。据报道，该嫌疑人曾从朝鲜黑客手中接收高达1亿美元的资金，涉及2022年6月的Harmony Horizon黑客攻击事件。嫌疑人通过加密货币交易所和混币服务进行洗钱，并将资产兑换为法定货币。调查人员利用币安提供的情报最终定位了嫌疑人，并在其公寓中查获了价值超过1500万美元的加密资产。此次逮捕行动展示了国际执法机构在打击网络犯罪和加密货币洗钱活动方面的合作成效。

来源：https://www.bleepingcomputer.com/news/legal/russian-laundering-millions-for-lazarus-hackers-arrested-in-argentina/

5. 美国无线电中继联盟支付百万美元赎金以恢复系统

Bleepingcomputer 8月23日报道，美国无线电中继联盟（ARRL）确认在5月份遭受勒索软件攻击后，支付了100万美元赎金以获取解密工具，以恢复被加密的系统。在发现攻击后，ARRL下线了受影响的系统，并在一个月后透露其网络遭到了复杂网络攻击。尽管ARRL未明确指出攻击者身份，但据消息人士透露，Embargo勒索软件团伙可能是此次攻击的幕后黑手。ARRL表示，支付赎金的目的并非为了防止数据泄露，而是为了获得解密工具。赎金中的大部分费用由保险承担。目前，ARRL的大多数系统已经恢复，预计在两个月内，所有受影响的服务器将根据新的基础设施指南和标准完全恢复。此次事件凸显了勒索软件对非营利组织的威胁，以及保险在应对此类攻击中的重要作用。

来源：https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/

6. 荷兰科学项目资助系统Isaac遭遇外部入侵尝试，关键融资流程被迫推迟

Securitylab 8月23日消息，荷兰科学研究组织(NWO) 开发的Isaac系统是处理科学项目资助申请的重要工具。2024年8月14日，该系统因技术问题被迫暂时下线，随后调查发现有人尝试从外部入侵。尽管攻击者未能破坏系统基础设施或窃取数据，为确保安全，NWO决定将系统向外部用户的开放时间推迟一周至8月26日。这一事件导致Open Competitie-XS 竞赛的申请截止日期也被迫延后至8月29日。此次入侵事件突显了网络安全在保护关键科学基础设施中的重要性，提醒各方在维护科学项目的核心流程时应优先考虑有效的安全防护措施和迅速应对潜在威胁的能力。

来源：https://www.securitylab.ru/news/551403.php

漏洞预警

7. Dell Power Manager高危漏洞CVE-2024-39576紧急修复通知

Cybersecuritynews. 8月23日消息，戴尔科技集团近日发现其Dell Power Manager (DPM) 3.15.0及之前版本存在一个严重的安全漏洞（CVE-2024-39576），该漏洞由于权限分配错误，可能允许低权限的攻击者执行代码并提升权限。此漏洞的CVSS基本评分为8.8，表明其严重性较高。LRQA Nettitude的Lefteris Panos首次报告了这一漏洞。受影响的产品包括Dell Power Manager的所有3.16.0之前的版本。目前，戴尔科技尚未提供针对此漏洞的直接解决方法或缓解措施，强烈建议所有用户立即更新至Dell Power Manager 3.16.0或更高版本，以降低潜在的安全风险。CVE-2024-39576漏洞的发现和紧急修复提醒用户，及时更新软件是降低安全威胁的关键措施。

来源：https://cybersecuritynews.com/dell-power-manager-vulnerability/

8. Microsoft Edge 发现严重RCE漏洞，建议用户尽快更新

Cybersecuritynews. 8月23日消息，近期，Microsoft Edge 浏览器中发现了一个严重的远程代码执行 (RCE) 漏洞，编号为 CVE-2024-38210。该漏洞影响 128.0.2739.42 之前的 Edge 稳定版，允许攻击者通过执行任意代码远程控制受影响的系统。利用此漏洞的途径包括登录目标系统运行恶意应用程序，或通过网络钓鱼等社会工程手段诱骗用户打开恶意文件。尽管攻击需要用户互动才能成功，成功后攻击者可获得完全控制权。为防止漏洞被利用，微软已在最新版本中修复该问题，强烈建议用户更新到 Edge 版本 128.0.2739.42 或更高。用户应保持浏览器和其他软件及时更新，并在处理未知来源的文件和链接时保持警惕。此外，监控微软安全公告和 CISA 的 KEV 目录等官方来源以获取最新的漏洞利用信息也是防护措施之一。

恶意软件

9. PEAKLIGHT：揭秘内存中的隐蔽恶意软件

Mandiant公司8月23日博文批出，该公司安全研究人员发现了一种新型的内存专用恶意软件植入程序PEAKLIGHT，它通过复杂的多阶段感染过程执行。该植入程序首先通过伪装成盗版电影的恶意ZIP文件传播，其中包含一个使用Microsoft快捷方式文件（LNK）的初始感染载体。该LNK文件连接到一个内容交付网络（CDN），下载并执行基于PowerShell的下载程序。PEAKLIGHT下载程序负责检索和执行最终的恶意负载，如LUMMAC.V2、SHADOWLADDER和CRYPTBOT等信息窃取程序。攻击者采用了多种规避技术，包括系统二进制代理执行和滥用CDN，以掩盖其攻击行为。Mandiant提醒安全研究人员保持警惕，并通过社区合作加强未来攻击的防御。

来源：https://cloud.google.com/blog/topics/threat-intelligence/peaklight-decoding-stealthy-memory-only-malware/

10. Cthulhu Stealer：macOS新型恶意软件出租服务

cybersecuritynews. 8月23日消息，近期，一种名为Cthulhu Stealer的macOS恶意软件即服务（MaaS）出现，以每月500美元的价格出租，用于窃取用户数据。该恶意软件由Cado Security发现，以Apple磁盘映像（DMG）形式分发，伪装成合法软件，如CleanMyMac、Grand Theft Auto IV等，诱骗用户安装。Cthulhu Stealer用GoLang编写，通过osascript工具请求用户密码，收集包括浏览器Cookie、加密货币钱包、游戏账户信息等敏感数据，并将这些信息存储在本地，通过命令和控制（C2）服务器发送给攻击者。该恶意软件与Atomic Stealer有相似之处，后者在Telegram上的月租为1000美元。Cthulhu Stealer的开发者被称为“Cthulhu团队”，通过Telegram运营，但在2024年因欺诈指控被禁止进入市场。为防范此类威胁，用户应仅从可信来源下载软件，启用macOS安全功能，保持系统和应用程序更新，并考虑使用防病毒软件。

来源：https://cybersecuritynews.com/cthulhu-stealer-macos-malware/

往期推荐