安全简讯（2024.08.30）

1. DICK'S 在遭受网络攻击后关闭电子邮件并锁定员工账户

8月28日，美国体育用品零售巨头迪克体育用品公司（DICK'S）近日遭遇网络攻击，导致其机密信息泄露。这家拥有857家门店、年收入达129.8亿美元的财富500强企业，在8月21日发现其信息系统被第三方未授权访问。DICK'S迅速启动网络安全响应计划，并与外部专家合作调查此次事件，同时关闭了电子邮件系统并锁定所有员工账户，以隔离威胁。员工需通过身份验证才能重新访问内部系统，商店电话线路也受到影响。尽管公司表示目前运营未受干扰，并已向执法部门报告此违规行为，但具体泄露细节尚未公开。DICK'S在提交给美国证券交易委员会的文件中强调，基于当前掌握的信息，此次事件被认为不构成重大影响，但调查仍在进行中。

https://www.bleepingcomputer.com/news/security/dicks-shuts-down-email-locks-employee-accounts-after-cyberattack/

2. LummaC2新变种利用PowerShell与高级混淆技术窃取数据

8月28日，瑞士网络安全公司Ontinue近期揭露了LummaC2恶意软件的一个新变种，其活动显著增强，对网络安全构成严重威胁。这款变种利用PowerShell进行初步感染，结合混淆技术和进程注入手段，悄无声息地窃取敏感数据。LummaC2自2022年起便以恶意软件即服务(MaaS)形式活动，近期更是通过复杂策略升级，如利用破解软件及YouTube渠道传播，展现了其高度的适应性和隐蔽性。最新发现的变种中，PowerShell命令经过精心混淆但可解码，揭示了其下载并执行第二阶段AES加密负载的详细步骤。负载随后注入Windows合法进程dllhost.exe，以实现远程控制、数据窃取及持久化感染。该变种还采用IP隐藏、自定义用户代理等手段，进一步逃避安全检测。为应对此威胁，Ontinue建议组织加强端点检测和响应(EDR)部署，实施攻击面减少(ASR)策略，并关注特定的妥协指标(IOC)以主动防御。

https://hackread.com/lummac2-malware-variant-powershell-obfuscation-steal-data/

3. Mirai僵尸网络利用AVTECH IP摄像机零日漏洞CVE-2024-7029

8月28日，Akamai的安全情报响应团队（SIRT）近日警告称，Mirai僵尸网络活动正通过利用AVTECH IP摄像机中的新披露零日漏洞CVE-2024-7029迅速蔓延。此RCE漏洞存在于摄像机的“亮度”功能中，允许远程代码执行，攻击者已借此部署了Mirai的变种“Corona”，对关键基础设施构成重大威胁。尽管受影响的摄像头型号已停产，但其在多个领域的持续使用凸显了管理遗留设备和未修复漏洞的紧迫性。CISA亦发布报告强调此漏洞的严重性及其广泛影响潜力。值得注意的是，Mirai僵尸网络不仅利用CVE-2024-7029，还同时瞄准了AVTECH及其他系统中的多个漏洞，展现了其多样化的攻击策略。Corona变体的传播始于2023年底，并在2024年3月达到了活跃高峰。尽管CVE-2024-7029的PoC早在2019年就已公开，正式CVE编号直到2024年8月才发布。鉴于当前无官方补丁可用，Akamai建议立即停用受影响设备作为首要缓解措施。

https://securityonline.info/mirai-botnet-exploits-zero-day-vulnerability-cve-2024-7029-in-avtech-ip-cameras/

4. Perl社区警告：cpanminus工具存在严重漏洞CVE-2024-45321

8月28日，Perl 社区近期发布了关于CVE-2024-45321的紧急安全公告，指出广泛使用的App::cpanminus（cpanm）工具存在严重漏洞，其CVSS评分高达9.8。此漏洞源于cpanminus默认使用不安全的HTTP连接从CPAN下载Perl模块，导致“未经完整性检查的代码下载”问题（CWE-494），使攻击者有机会在传输中篡改代码，进而在用户系统上执行恶意代码。鉴于cpanminus作为官方CPAN客户端的轻量级替代品，其漏洞影响范围可能极为广泛，尤其威胁到依赖该工具管理Perl模块的系统安全。尽管官方补丁尚未发布，但用户应立即采取行动降低风险。推荐措施包括：一是通过命令行参数或环境变量设置HTTPS镜像，但需注意此举可能限制对旧版本和开发版本的访问；二是直接修改cpanm可执行文件，将所有HTTP端点替换为HTTPS，以保留对BackPan等资源的访问；三是转而使用默认支持HTTPS连接的备用客户端，如CPAN.pm 2.35+或App::cpm，以确保模块下载的安全性。

https://securityonline.info/critical-cve-2024-45321-flaw-in-popular-perl-module-installer-cpanminus-no-patch-available/

5. 威胁者利用伪造的Palo Alto GlobalProtect工具瞄准中东

8月29日，趋势科技研究团队揭露了一项针对中东组织的高度复杂恶意软件活动，该活动通过伪装成合法的Palo Alto GlobalProtect VPN客户端进行传播。攻击始于一个名为“setup.exe”的恶意文件，该文件模拟VPN安装程序，在受害者系统中部署虚假组件，并借助新注册的“sharjahconnect”域名伪装成合法VPN门户，以增强欺骗性。此恶意软件利用Interactsh项目进行信标操作，通过DNS请求与C&C服务器通信，以监控感染进程并执行多种恶意任务，包括执行PowerShell脚本、管理进程、数据窃取与加密通信。其灵活的命令结构使其能够灵活应对不同攻击需求，同时采用复杂规避技术以逃避检测。中东及全球组织面临严峻挑战，需强化端点保护、更新安全协议，并加强员工安全教育与意识提升，以有效抵御此类高级威胁。

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

6. 美超130家企业遭钓鱼攻击，GRIT揭露复杂VPN钓鱼骗局

8月29日，GuidePoint Research和Intelligence Team（GRIT）近期揭露了一项针对英语使用者，特别是美国超过130家企业的复杂钓鱼攻击活动。自2024年6月26日起，攻击者注册了与目标公司VPN服务相似的高仿域名，并通过电话冒充IT支持人员，以解决VPN登录问题为由，诱导员工点击含有恶意链接的短信。这些链接导向精心设计的假VPN登录页面，不仅外观上与真实页面无异，还包含特制的VPN组选项，如“TestVPN”和“RemoteVPN”，以增强欺骗性。即便面对多因素认证（MFA），攻击者也能通过诱导用户批准推送通知来绕过安全防线，最终骗取用户凭证。得手后，用户会被重定向至合法VPN页面，并可能被要求再次登录，从而强化问题已解决的假象。一旦获得VPN访问权，攻击者随即展开网络扫描，寻找横向移动、持久化及权限提升的机会。可能受到网络钓鱼攻击影响的用户应检查其日志，查看过去 30 天内来自 VPN 分配 IP 地址的可疑活动。

https://cybernews.com/news/us-vpn-phishing-attack/