安全简讯（2024.09.23）

1. SambaSpy恶意软件通过钓鱼电子邮件攻击意大利用户

9月19日，卡巴斯基实验室近期揭露了一项高度定制化的恶意软件活动，名为SambaSpy，其独特之处在于仅针对意大利用户。这款远程访问木马（RAT）通过伪装成意大利房地产公司的合法邮件传播，邮件内含看似无害的发票查看链接，实则导向恶意JAR文件下载。SambaSpy利用语言检查机制，确保仅感染意大利语系统，展现了攻击者的高度专业性和精准定位能力。一旦安装，SambaSpy赋予攻击者对受感染设备的全面控制权，包括文件管理、网络摄像头监控、键盘记录、屏幕截图、浏览器凭证窃取及远程桌面操作等。卡巴斯基追踪到两条感染链，均利用电子邮件作为入侵门户，其中一条更为复杂，通过合法意大利云发票服务FattureInCloud作为掩护，进一步欺骗受害者。值得注意的是，尽管活动主要聚焦于意大利，但发现的巴西葡萄牙语痕迹及跨地区链接表明攻击者可能拥有更广泛的野心。此次事件不仅凸显了网络安全威胁的隐蔽性与复杂性，也提醒了全球用户需加强防范意识，特别是针对高度定制化的网络攻击。

https://securityonline.info/sambaspy-rat-targets-italian-users-in-a-unique-malware-campaign/

2. Ivanti CSA 4.6严重漏洞CVE-2024-8963已被积极利用

9月19日，企业软件巨头Ivanti近期揭露了其Ivanti Connect Secure Appliance（CSA）4.6版本中存在的一个高危漏洞CVE-2024-8963，该漏洞严重性评级高达CVSS 9.4，且已被发现正被恶意利用，对使用已停产（EOL）版本的客户构成重大安全威胁。此漏洞为路径遍历类型，允许未授权远程攻击者非法访问CSA 4.6的受限区域，甚至与另一漏洞CVE-2024-8190结合使用时，能绕过身份验证执行任意命令。鉴于CSA 4.6已停止接收官方安全更新，Ivanti紧急发布了CSA 4.6补丁519以修复该漏洞，但此补丁标志着对该版本的最后一次维护。CISA已将此漏洞列为已知被利用的漏洞，强烈建议各组织迅速行动，采取补救措施。Ivanti强调，除了升级到CSA 5.0版本外，不会为4.6版本提供进一步补丁，因此，尽管临时补丁提供了短期缓解，但长远来看，向新版本迁移是确保系统安全的唯一途径。

https://securityonline.info/critical-flaw-in-ivanti-csa-4-6-cve-2024-8963-actively-exploited-urgent-upgrade-required/

3. LockBit勒索软件再袭eFile.com，数百万美国人税务数据安全告急

9月19日，勒索软件组织LockBit近期再次将目标对准了美国在线报税服务eFile.com，这是一个经美国国税局（IRS）官方授权的税务申报平台。据Cyber Express报道，LockBit要求eFile在14天内支付赎金，但不同于常规勒索软件操作，此次攻击并未公开任何被窃取数据的样例来证实其威胁。截至目前，关于攻击的具体规模、数据泄露情况及犯罪动机的信息仍保密，eFile.com官网则保持正常运作。数百万依赖eFile报税的美国人面临潜在风险，一旦攻击被确认，纳税人的个人和财务数据恐遭泄露，为身份盗窃、税务欺诈等不法行为提供温床。值得注意的是，eFile并非首次成为LockBit的猎物，早在2022年税务申报高峰期，LockBit就曾声称入侵eFile，显示出犯罪分子对高流量时段的精准打击意图。此外，2023年eFile还曾遭遇“efail”恶意软件入侵，利用平台漏洞窃取用户敏感信息，事件虽及时得到控制，却再次敲响了金融服务网络安全防护的警钟。

https://thecyberexpress.com/u-s-taxpayer-data-lockbit-ransomware-efile/

4. Gleaming Pisces利用PyPI分发PondRAT后门

9月19日，Unit 42 研究团队揭露了朝鲜附属的APT组织Gleaming Pisces发起的一项新网络攻击，该组织利用含有恶意代码的Python软件包，针对Linux和macOS系统发起攻击。这些恶意软件包通过PyPI存储库分发，包括“real-ids”、“coloredtxt”等，一旦安装即会部署名为PondRAT的后门程序，它是POOLRAT的轻量级版本，具备远程控制受害者系统的能力。攻击者通过PondRAT可上传下载文件、执行命令甚至暂停系统操作，其跨平台特性使得攻击尤为危险。Gleaming Pisces以其与侦察总局的关联及在加密货币领域的复杂攻击活动著称，特别是通过AppleJeus活动分发假冒加密货币软件。此次攻击中，PondRAT与AppleJeus恶意软件存在代码相似性，表明是Gleaming Pisces持续渗透供应链的一部分。尽管PyPI已移除相关恶意包，但中毒软件包的威胁依旧不容忽视。为应对此类威胁，组织需加强安全措施，包括在引入第三方软件包时进行严格的代码审查和验证，以及实施运行时监控。

https://securityonline.info/north-korean-hackers-gleaming-pisces-poisoned-python-packages-target-linux-macos/

5. 新加坡BingX平台遭黑客攻击，损失超4400万美元

9月21日，新加坡加密货币交易平台BingX周五确认，其平台在遭受网络攻击后，损失了超过4400万美元的加密货币。周四晚间，区块链安全公司监测到资金异常流动，随后BingX宣布因“钱包维护”暂停服务，并发布声明称检测到热钱包可能遭受黑客攻击，已紧急转移资产并暂停提款服务。初步估算显示，直接损失约为4470万美元，但具体数额仍在核实中。BingX首席产品官Vivien Lin通过社交媒体表示，公司将用自有资金全额弥补损失，并强调业务运营未受影响，提款和存款服务预计24小时内恢复。同时，BingX正与SlowMist和Chainalysis等安全公司合作追踪被盗资金。近期，亚洲地区多家加密平台频发安全事件，资金被盗金额巨大，执法机构已加强对此类犯罪的打击力度。这一系列事件再次凸显了加密货币行业在安全性方面面临的挑战。

https://therecord.media/44-million-stolen-from-crypto-platform-singapore

6. AsyncRAT恶意软件伪装破解软件诱骗用户下载

9月21日，McAfee Labs揭示了一个严峻的网络安全趋势：网络犯罪分子通过伪装流行破解软件如CCleaner、EaseUS Partition Master等，传播名为AsyncRAT的恶意软件。这些假冒应用利用了用户追求免费高级软件的心理，实则内含复杂的远程访问木马。AsyncRAT通过精心设计的伪装策略，包括嵌入合法软件可执行文件，成功欺骗用户下载并执行。安装后，该恶意软件会利用Windows Defender排除项和混淆技术躲避检测，并通过环境变量操作和隐蔽的bat文件维持其操作不被发现。其主要目的是建立对受感染机器的远程连接，让攻击者能进行按键记录、数据窃取等恶意活动。AsyncRAT还采用AES解密和Gzip解压缩来隐藏配置，增强其隐蔽性。自2024年3月以来，这种威胁在全球范围内迅速蔓延，显示出网络犯罪分子利用用户心理弱点传播恶意软件的高超手段。

https://securityonline.info/beware-of-fake-downloads-asyncrat-spreads-via-popular-software-cracks/