安全简讯（2024.09.20）

1. Marko Polo黑客组织：全球数万设备遭大规模网络攻击

9月19日，Recorded Future 及其子公司 Insikt Group 揭示了由黑客组织 Marko Polo 策划的大规模网络攻击，该组织以加密货币欺诈和在线游戏诈骗闻名，其活动波及全球数万设备。Marko Polo 精准锁定知名游戏玩家、加密货币影响者及 IT 专业人士，利用社交媒体伪装招聘人员，诱骗受害者下载恶意软件。该团伙被喻为金钱驱动的“贩毒团伙”，成员横跨俄罗斯、乌克兰及英语国家，领导层疑似位于后苏联地区。其手法多样，不仅入侵 Zoom 视频会议软件版本，还渗透商业软件、BitTorrent 文件分发系统，伪装成各类热门应用和游戏，如 PartyWorld 模仿 Fortnite，实则下载信息窃取程序。Nortex 活动则通过假 Web3 项目 SendingMe 传播木马。Marko Polo 攻击已致大量个人与公司数据泄露，非法获利数百万美元，受害者甚至失去全部积蓄。该组织灵活多变，频繁调整策略以规避检测，持续威胁网络安全，并预示其将不断升级手法以超越现有防护体系。

https://securityonline.info/unmasking-marko-polo-the-infostealer-gang-targeting-thousands/

2. CISA警告Apache HugeGraph-Server漏洞遭积极利用

9月19日，美国网络安全和基础设施局（CISA）紧急更新了其已知利用漏洞（KEV）目录，其中最为严重的是Apache HugeGraph-Server的远程代码执行（RCE）漏洞（CVE-2024-27348），其CVSS v3.1评分高达9.8，表明其潜在危害极大。此漏洞源于不当的访问控制，影响Apache HugeGraph-Server 1.0.0至1.2.x版本，但1.3.0版本已发布修复。Apache官方于4月22日发布了1.3.0版本以应对此安全威胁，并建议用户升级至最新版本，同时启用Java 11和Auth系统以增强安全性。此外，为进一步提升RESTful-API的安全性，启用“白名单IP/端口”功能也被视为重要措施之一，以阻断潜在的攻击路径。鉴于CVE-2024-27348已在野外被积极利用，CISA向联邦机构及关键基础设施组织发出警告，要求这些组织务必在2024年10月9日前采取必要的缓解措施或停止使用受影响的HugeGraph-Server版本。Apache HugeGraph-Server作为开源图形数据库的核心组件，广泛应用于电信、金融服务和社交网络等领域，迅速应用安全更新和采取缓解措施对于保护用户数据和系统安全至关重要。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/

3. Vice Society利用勒索软件攻击美国医疗保健行业

9月20日，Inc勒索软件近期在美国医疗保健领域兴起，成为新的威胁焦点。微软威胁情报中心(MSTIC)揭示，自2022年7月以来一直活跃的Vice Society（或称Vanilla Tempest）组织，现采用Inc勒索软件作为其攻击武器之一，扩大了其双重勒索策略的范围。该组织利用多种勒索软件家族，包括Inc、BlackCat等，针对包括医疗保健在内的多个行业进行攻击。Vice Society通过感染Gootloader后门程序等初步手段获得访问权限，随后利用Supper后门、AnyDesk远程管理工具及MEGA数据同步工具等合法商业产品进行横向移动，最终投放Inc勒索软件。该组织精心策划的谈判策略和结构化的操作方式，使得其勒索活动更为专业和难以应对。因此，加强医疗保健组织的安全防御，及时应用安全更新和缓解措施，对于防范此类勒索软件攻击至关重要。

https://www.darkreading.com/threat-intelligence/vice-society-inc-ransomware-healthcare-attack

4. 戴尔10,863份员工记录遭黑客泄露

9月19日，黑客“grep”在黑客论坛Breach Forums上声称，科技巨头戴尔遭遇了“轻微”数据泄露，涉及10,863份员工记录。此次泄露的数据包括员工的全名、ID、活跃状态、DNO及内部ID等敏感信息，尽管未包含明文密码或个人身份信息（PII），但仍对戴尔构成重大安全威胁。戴尔此次事件并非孤例，今年早些时候也曾曝出另一起涉及4900万条客户记录的数据泄露。这再次凸显了大型科技公司面临的持续网络安全挑战。尽管戴尔尚未正式确认此次员工记录泄露事件，但安全专家警告称，泄露的信息可能被用于策划更有针对性的网络攻击。组织需加强安全措施，包括采用先进的威胁检测系统和定期进行安全审计，以保护敏感数据和员工信息。同时，及时响应事件并与受影响人员保持透明沟通，对于减轻潜在损害至关重要。这一系列事件强调了网络安全防护的迫切性和复杂性。

https://hackread.com/hacker-dell-data-breach-employee-details-leak/

5. FOUNDATION会计软件遭渗透攻击，建筑行业面临新威胁

9月19日，Huntress 网络安全公司最新揭露，建筑行业正面临来自威胁行为者的新一波攻击，这些攻击者通过渗透 FOUNDATION 会计软件实施。攻击者利用软件的默认凭证，通过大规模暴力破解手段轻易获取访问权限。受影响的子行业广泛，包括管道、暖通空调、混凝土等关键领域。FOUNDATION 软件依赖 Microsoft SQL 服务器，并可能开放 TCP 端口 4243 以支持移动应用直接访问数据库，这为攻击者提供了可乘之机。尤为严重的是，该软件内置的“sa”和“dba”高权限账户常保留默认密码，使得攻击者能轻易利用 xp_cmdshell 扩展存储过程执行任意操作系统命令，从而完全控制受影响的系统。自2024年9月14日首次发现以来，Huntress 监测到对 MS SQL 服务器的暴力登录尝试高达35,000次，成功暴露了其保护的500台运行 FOUNDATION 软件主机中的33台。为应对此威胁，Huntress 建议立即轮换默认账户密码，限制应用程序对互联网的公开访问，并在必要时禁用 xp_cmdshell 功能，以有效减轻潜在风险，保护建筑行业的网络安全。

https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html

6. 加密货币劫持团伙TeamTNT卷土重来

9月19日，尽管TeamTNT组织在2022年被认为已消失，但安全研究领域的最新发现揭示了该威胁行为者在2023年仍在活动的迹象。TeamTNT以其加密劫持攻击闻名，通过利用受害者的IT资源非法挖掘加密货币。自2019年首次露面以来，该组织就因其复杂的Shell脚本和恶意二进制文件工具包制作的恶意软件而臭名昭著。最新报告指出，TeamTNT的战术、技术和程序（TTP）与去年活动相似，且已影响基于CentOS操作系统的VPS云基础设施。据Group-IB分析，TeamTNT通过SSH暴力攻击进入受害者系统，上传并执行恶意脚本，该脚本不仅检查主机是否已被其他矿工入侵，还禁用安全功能、删除日志、修改系统文件，并终止现有加密货币挖掘进程。更进一步，该脚本安装Diamorphine rootkit以实现隐身和获取root权限，并使用定制工具保持对系统的持久控制。其策略包括修改文件属性、创建后门用户账户及清除命令历史，以全面隐藏活动痕迹。此次发现凸显了TeamTNT在自动化攻击领域的高超技艺，其攻击策略从初始入侵到防止恢复尝试的每个环节都经过精心设计，旨在给受害者带来严重损害。

https://www.infosecurity-magazine.com/news/cryptojacking-gang-teamtnt-comeback/