安全简讯（2024.09.14）

1. 伊朗黑客组织OilRig对伊拉克政府发起恶意软件攻击

9月12日，伊拉克政府网络近期成为伊朗支持的网络组织OilRig（亦称APT34等）的精心策划攻击目标。据网络安全公司Check Point分析，此次攻击针对伊拉克总理办公室及外交部等关键部门，利用新恶意软件Veaty和Spearal，通过伪装文档和社会工程学手段渗透网络。OilRig自2014年起在中东地区活跃，擅长网络钓鱼和定制后门攻击，此次也不例外，展示了其独特的命令与控制机制，包括自定义DNS隧道和基于被感染电子邮件的C2通道。攻击链通过欺骗性文件启动，执行PowerShell或Pyinstaller脚本，删除痕迹并部署恶意软件。Spearal利用DNS隧道通信，Veaty则通过特定邮箱下载并执行命令。此外，还发现与SSH隧道后门和IIS服务器后门相关的活动，表明攻击者手段多样且技术先进。Check Point强调，此次行动凸显了伊朗威胁行为者在地区内的持续和集中努力，以及其在开发专门C2机制上的蓄意投入。

https://thehackernews.com/2024/09/iranian-cyber-group-oilrig-targets.html

2. TrickMo银行木马新变种曝光：增强威胁，窃取隐私

9月12日，Cleafy 威胁情报团队最近揭露了TrickMo银行木马的一个新型变种，这一变种不仅继承并强化了其前身针对Android设备银行凭证的传统威胁能力，还引入了屏幕录制、键盘记录及远程控制等高级功能，极大地扩展了其攻击范围和破坏力。TrickMo作为TrickBot家族的一员，自2019年首次被发现以来，持续进化，现已成为金融欺诈和个人隐私安全的重大隐患。新变种不仅能拦截一次性密码(OTP)绕过双因素认证(2FA)，更通过直接控制受害者设备执行设备欺诈(ODF)，无视最严密的银行安全防护。尤为严重的是，Cleafy发现该变种还从受感染设备中窃取敏感数据，并将这些数据存储在无保护的命令与控制(C2)服务器上，导致数据泄露风险激增，任何第三方都能轻易获取这些数据。被盗数据超过 12 GB，包括个人身份证件、财务信息，甚至受害者的私密照片。TrickMo通过滥用Android的辅助功能服务，实现无声无息的权限提升与攻击执行，进一步加剧了其威胁的隐蔽性和危害性。

https://securityonline.info/beware-the-new-trickmo-banking-trojan-enhanced-features-increased-danger/

3. 网络威胁新动向：合法Python库成攻击利器

9月12日，安全研究人员Mertens近期发布了一份报告，揭示了网络威胁领域的一项严峻趋势：网络犯罪分子正日益巧妙地利用合法的Python库执行恶意活动。这些库，如pyWinhook、psutil、win32gui和pyperclip，原本用于软件开发和自动化，却被犯罪分子滥用以实施键盘记录、系统监控、剪贴板劫持等恶意行为。Mertens指出，PyPi.org等庞大库生态系统的存在，为恶意软件开发者提供了丰富的资源。尽管这些库本身无害，但它们的强大功能被不法分子利用，以逃避检测，实现代码注入、数据泄露等目的。例如，discord库被重新包装为C2平台，ftplib、dropbox等工具则成为数据泄露的帮凶。更令人担忧的是，攻击者还采用Python混淆技术，如marshal和py_compile，进一步模糊恶意代码，增加逆向工程的难度。这种策略使得恶意软件更难被安全分析师察觉，从而加剧了网络安全防御的复杂性。

https://securityonline.info/cybersecurity-alert-python-libraries-exploited-for-malicious-intent/

4. 西雅图港遭Rhysida勒索软件攻击

9月13日，西雅图港作为监管西雅图地区海港与机场的重要政府机构，近期确认其系统在过去三周内遭遇了Rhysida勒索软件团伙的恶意攻击。该攻击始于8月，迫使港口紧急隔离部分关键系统以遏制影响，直接干扰了西雅图-塔科马国际机场的航班预订与登机流程，导致航班延误。三周后，港口官方正式指认Rhysida为幕后元凶，并声明自事发后系统未再受新的未授权活动侵扰，机场及港口设施仍属安全。此次攻击中，Rhysida团伙成功渗透港口计算机系统，加密关键数据，导致包括行李处理、自助服务、Wi-Fi网络、信息显示等多个服务中断。尽管港口迅速响应，恢复了大部分系统，但仍在全力修复如官方网站、访客通行证服务等关键功能。值得注意的是，港口坚决拒绝支付赎金，彰显了其维护公共资金安全、不向犯罪妥协的立场。Rhysida作为一种新兴的勒索软件即服务（RaaS），自今年5月活跃以来，已多次对全球多个领域发起攻击。，CISA与FBI等机构已发出警告，提醒各行业加强网络安全防护，共同抵御勒索软件的侵害。

https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/

5. Ivanti CSA高危漏洞遭利用，联邦机构限期修补

9月13日，Ivanti确认其云服务设备（CSA）解决方案中存在高危漏洞CVE-2024-8190，该漏洞已遭攻击者利用。起初，Ivanti报告称未发现客户受影响，但随后确认少数客户已中招。该漏洞允许远程认证的管理员通过命令注入在CSA 4.6版本上执行远程代码。Ivanti建议采用特定配置降低风险，并检查管理用户权限及系统日志以检测攻击尝试。同时，公司敦促客户从已终止支持的CSA 4.6.x升级到CSA 5.0版本，或至少更新至CSA 4.6的Patch 519。此外，美国网络安全和基础设施安全局（CISA）已将CVE-2024-8190加入其已知被利用漏洞目录，要求联邦机构在10月4日前修复。CISA强调此类漏洞对联邦企业构成重大威胁。Ivanti在全球拥有广泛的合作伙伴网络，其产品和服务被超过40,000家公司用于系统管理，此次事件再次凸显了及时修复安全漏洞的重要性。

https://www.bleepingcomputer.com/news/security/ivanti-warns-high-severity-csa-flaw-is-now-exploited-in-attacks/

6. Trojan Ajina.Banker肆虐中亚：伪装合法应用窃取银行信息

9月13日，名为Trojan Ajina.Banker的新型Android恶意软件正肆虐中亚地区，以乌兹别克斯坦神话中的恶毒精灵命名，通过伪装成合法应用程序如银行服务和政府门户，利用Telegram等平台上的社交工程策略诱导用户下载并运行恶意文件。自2023年11月以来，已发现约1,400种变种，主要目标为乌兹别克斯坦用户，但攻击范围已扩散至多个国家。Ajina.Banker通过发送诱人优惠和促销信息的恶意链接，以及分享托管恶意软件的频道链接，利用用户的好奇心进行传播。其本地化推广策略在区域社区中制造紧迫感，促使用户不经思考即点击链接。该恶意软件不仅能收集金融应用信息、SIM卡详情，还能拦截短信以获取2FA验证码，展现出高度适应性和进化能力。值得注意的是，Ajina.Banker采用联盟计划模式运营，核心团队与联盟网络合作，通过分享被盗资金激励分发和感染链的扩大。面对这一威胁，专家建议保持警惕，避免点击未经请求的消息和下载链接，坚持使用官方应用商店下载应用，并仔细检查应用权限。

https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/