安全简讯（2024.09.27）

1. SloppyLemming利用Cloudflare Workers等工具发动间谍攻击

9月25日，高级持续性威胁（APT）组织“SloppyLemming”近期被发现利用Cloudflare的Worker云服务以及Discord、Dropbox、GitHub等工具，在印度次大陆及周边地区对政府和执法机构进行广泛的间谍活动。该组织被Crowdstrike追踪为“Outrider Tiger”，其行动与从印度及周边国家敏感组织窃取情报高度相关。受害者包括政府机构、IT和电信企业、建筑公司，甚至巴基斯坦的核电设施，且攻击范围还扩展至孟加拉国、斯里兰卡及中国的能源与学术机构，甚至可能触及澳大利亚首都堪培拉。SloppyLemming通过精心设计的鱼叉式网络钓鱼邮件启动攻击，利用Cloudflare Workers这一无服务器计算平台执行恶意脚本，拦截并操作流经Cloudflare的Web流量，以窃取登录凭证和泄露电子邮件。此外，SloppyLemming还开发了名为“CloudPhish”的定制工具，专门用于凭证窃取和泄露，通过模仿目标Webmail登录页面来诱骗用户输入信息。同时，该组织还利用Google OAuth令牌收集和RAR文件漏洞利用（CVE-2023-38831）等手段，构建复杂的攻击链，进一步加剧了安全威胁。

https://www.darkreading.com/cloud-security/sloppylemming-apt-cloudflare-pakistan-attacks

2. 法国9500万条公民数据遭泄露，涉及多行业信息

9月25日，法国近期发生了一起震惊的数据泄露事件，涉及超过9500万条公民数据记录被公然置于互联网上，远超法国总人口数，数据范围涵盖姓名、联系方式、电子邮件及部分支付信息等敏感内容。此次事件由Cybernews与网络安全专家共同揭露，源头指向一个开放的Elasticsearch服务器“vip-v3”，无需认证即可访问，内含至少30GB数据，源于17起不同的数据泄露事故。泄露数据不仅数量庞大，且种类繁多，涉及电信、电商、社交媒体等多个行业，包括知名公司如Lycamobile、Pandabuy、Darty、Discord及Snapchat等，反映了数据泄露问题的广泛性和严重性。尤为值得关注的是，数据库公开状态已持续一段时间，不排除已有恶意第三方复制数据用于非法活动。此外，该行为明显违反了欧盟GDPR法规，显示出数据库管理者对法律的无视及潜在的恶意目的。研究人员警告，如此集中且详尽的个人信息暴露，将极大提升身份盗窃、欺诈及网络攻击的风险，对数百万个人及企业构成威胁。

https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/

3. 美国国会超3000名工作人员信息遭暗网泄露

9月26日，美国国会大厦近期成为大规模网络攻击的受害者，导致超过3,000名国会工作人员的敏感个人信息在暗网上曝光。据Proton和Constella Intelligence公司的研究发现，这些泄露数据包括密码、IP地址及社交媒体信息，共计约3,191条记录，其中近五分之一的国会员工受到波及。特别值得注意的是，部分员工因不良习惯，如使用官方邮箱注册包括约会和成人网站等高风险网站，导致信息被多次泄露，最高单例涉及31个密码。Proton指出，这种将工作邮箱与不安全平台绑定的行为构成了严重安全漏洞。公司承诺将进一步公布调查结果，并强调在总统选举期间加强防护的重要性。同时，公司已向所有受影响的国会工作人员发出警示。此外，今年6月，同一调查团队还发现数百名英国及欧盟政客的个人信息同样在暗网市场上流通，包括电子邮箱、密码及出生日期等敏感数据，凸显了全球政治领域面临的网络安全挑战。

https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html

4. Unit 42揭示RomCom恶意软件新变种SnipBot

9月25日，Unit 42安全团队近期揭露了臭名昭著的RomCom恶意软件家族的新变种“SnipBot”，该变种于2024年初崭露头角，专为企业网络设计，具备远程操控与恶意负载下载能力。SnipBot以其创新的代码混淆技术和高级反检测策略为特点，被推测为针对IT服务、企业法人及农业等行业发起的广泛网络攻击的一部分。2024年4月，Unit 42捕获到一个异常DLL模块，确认为SnipBot工具包组件。通过深入分析，研究人员还原了SnipBot的感染路径及后续活动。其感染始于伪装成合法PDF文件的钓鱼邮件，内含恶意可执行文件。一旦入侵成功，SnipBot赋予攻击者全面控制权，允许其执行任意命令、搜集系统信息及窃取数据。同时，SnipBot能下载如SnippingTool.dll、svcnet.exe等额外模块，增强攻击能力。Unit 42观察到，攻击者特别关注从受害者网络中提取数据，尤其是域控制器信息，利用PuTTY、WinRAR等合法工具及fsutil.exe、dsutil.exe等伪装执行恶意操作。尽管RomCom家族常与勒索软件活动相关联，但SnipBot的行为模式显示出其正转向情报收集与间谍活动。

https://securityonline.info/new-romcom-variant-snipbot-unveiled-a-sophisticated-malware-targeting-enterprise-networks/

5. 起亚经销商网站现严重漏洞：黑客可凭车牌号远程控制数百万车辆

9月26日，安全领域近期曝出一起针对起亚汽车的安全漏洞事件，该漏洞涉及起亚汽车经销商门户网站，使得黑客仅凭车牌号就能在极短时间内远程控制数百万辆2013年后生产的起亚汽车。这一发现追溯至今年6月，由安全研究员萨姆-库里等人揭露。与去年曝光的涉及多家汽车品牌的漏洞类似，此次起亚漏洞不仅让黑客能远程操控车辆，还暴露了车主的敏感个人信息，如姓名、联系方式及地址。研究人员通过注册经销商账户并获取访问令牌，成功渗透后端API，进而实现对车辆及车主数据的全面访问。他们开发了一个演示工具，展示了黑客如何通过车牌号在30秒内执行包括锁定/解锁、启动/停止车辆、鸣笛及定位在内的远程控制操作。更为严重的是，黑客还能在车主毫不知情的情况下，将自己添加为车辆的第二用户，实现隐蔽的远程操控。幸运的是，这些漏洞已被及时发现并修复，且未发现有恶意利用的记录。起亚团队也确认了漏洞未被外部恶意攻击所利用。

https://www.bleepingcomputer.com/news/security/kia-dealer-portal-flaw-could-let-attackers-hack-millions-of-cars/

6. Rhadamanthys在0.7.0版本中添加了创新的AI功能

9月26日，Rhadamanthys是一款自2022年起迅速演进的高级信息窃取程序，其最新0.7.0版本集成了人工智能驱动的光学字符识别技术，能从图像中提取加密货币种子短语，极大提升了其威胁性。尽管面临地域性禁令，该恶意软件仍活跃于地下市场，利用MSI安装程序伪装等手段规避检测，以盗取凭证、系统信息及财务数据。其AI图像识别功能尤为引人注目，使攻击者能自动捕获并泄露加密货币信息。Rhadamanthys的开发者通过TOX和Telegram等平台持续推广，并针对北美、南美等地加密货币用户实施精准打击。为应对这一威胁，Insikt Group提出了多种缓解策略，包括基于互斥锁的终止开关、高级检测规则及强化端点保护等，旨在主动阻止恶意软件执行并提升系统防护能力。展望未来，随着Rhadamanthys 0.8.0等新版本的研发，预计其将融合更多机器学习技术，进一步提升窃取效率与隐蔽性。因此，保持检测技术的持续更新与升级，对于有效抵御此类高级威胁至关重要。

https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version