每周网络安全简讯 ( 2024年 第40-41周 )

2024年9月28日至2024年10月11日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计21条。

APT攻击

APT组织GoldenJackal对欧洲目标隔离系统实施网络攻击

近日，安全研究人员发现APT组织GoldenJackal对欧洲目标隔离系统实施网络攻击，并成功窃取敏感数据。攻击活动中，该APT组织采用社会工程学方式对目标互联网连接系统实施入侵，并在攻击成功后部署GoldenDealer恶意软件。该恶意软件会实时监控受控设备上的USB驱动器，当有新USB设备插入时，会自动将自身和其他恶意组件写入到该USB设备上。最终，当USB设备插入到隔离系统时，该恶意软件将会在隔离系统上植入GoldenHowl后门程序和GoldenRobo文件窃取程序。其中，GoldenHowl是一个多功能Python后门，可对目标设备进行文件扫描，实施持久性远控并与C2服务器建立通联关系；GoldenRobo可对受控系统进行全面扫描，进而将系统中的用户文档、图像、证书、加密密钥、OpenVPN配置文件及其他敏感数据，写入到USB设备上的隐藏目录中。当USB设备重新插入互联网连接系统时，GoldenDealer会将所窃数据发送到APT组织指定的数据服务器上。

链接：http://985.so/kq1rz

APT组织Awaken Likho对俄罗斯政府机构、工业企业等目标实施网络攻击

近日，卡巴斯基安全研究人员监测到APT组织Awaken Likho对俄罗斯政府机构、工业企业等目标实施网络攻击等情况。攻击活动中，该APT组织将恶意SFX自解压文件作为附件制作钓鱼邮件，向目标用户进行投递并诱使其点击实施渗透入侵。攻击成功后，SFX自解压文件将向受控设备写入4个合法诱饵文件和1个隐藏的恶意载荷（MicrosoftStores.exe）。写入完成后，该隐藏的恶意载荷会启动2个组件（MeshAgent、nKka9a82kjn8KJHA9.cmd），并通过创建计划任务的方式实现自身持久化驻留。最后，该恶意载荷将利用MeshAgent与C2服务器建立通联关系，以达到对受控设备未授权访问控制的目的。

链接：http://985.so/kq1r0

勒索攻击

美国德克萨斯州医疗保健提供商UMC Health System遭受勒索软件攻击

近日，美国德克萨斯州医疗保健提供商UMC Health System遭受勒索软件攻击，迫使UMC将部分患者转移到其他地点，并导致部分科室关闭或延迟提供医疗服务，其中放射科影响最为严重。同时，因受勒索软件攻击的影响，在线门户网站和电话服务被迫停止，且该提供商旗下诊所已无法提供和打印医疗处方清单，UMC建议患者采取线下形式前往诊所进行医疗。目前，安全人员调查发现，此次勒索攻击已造成数据泄露，数十万人的敏感医疗信息可能受到影响。

链接：http://985.so/kq1rv

科威特卫生部疑似遭受勒索攻击

近日，中东国家科威特的卫生部疑似遭受勒索攻击，导致该国多家医院的系统下线，国家医疗应用Sahel也受到影响。目前，尚无任何勒索软件组织对此次攻击事件负责，卫生部部分系统仍未完全恢复。但据科威特通讯社发布的声明称，政府已通过备份数据，成功恢复了科威特癌症控制中心、国家健康保险和外籍人员体检管理办公室的系统，且黑客未能攻入核心数据库，敏感信息未泄露。

链接：http://985.so/kq1r6

Storm-0501勒索软件团伙转向混合云攻击

近日，安全人员声称，Storm-0501勒索软件团伙已调整策略，将攻击重心转向混合云环境，并企图侵害目标用户资产。自2021年首次现身以来，Storm-0501不断进化，利用的勒索软件涉及Hive、BlackCat、LockBit及Hunters International等，近期该勒索团伙又利用Embargo勒索软件对美国医疗、政府、制造、运输及执法机构实施攻击。此次攻击活动中，Storm-0501利用弱密码、特权账户或已知漏洞（如CVE-2022-47966、CVE-2023-4966等）对目标用户网络实施渗透，攻击成功后通过Impacket和Cobalt Strike等工具进行横向移动，窃取用户数据并禁用安全设置。与以往攻击活动不同的是，该团伙一旦获取目标用户Microsoft Entra ID（即Azure AD）凭据，便能无缝从本地迁移到云端，破坏同步账户，劫持会话以维持自身访问权限，进而在云环境中部署Embargo勒索软件，对目标用户实施加密勒索。

链接：http://985.so/kq1ri

网络动态

乌克兰国防部成立网络事件响应中心

2024年10月7日，乌克兰国防部宣布建立新的网络事件响应中心，重点是保卫该国军事和通信网络，对网络事件提供全天候监控和响应。乌克兰国防部表示，该部此前已拥有一支专门的网络安全专业人员团队来保护其系统，但建立一个单独的结构部门将扩大其在网络防御领域的职责范围。该网络事件响应中心的主要任务包括：响应网络事件和网络攻击并消除其后果；采取措施保护乌克兰国防部的信息和通信系统；实施和使用网络安全事件管理系统并共享网络威胁信息；与乌克兰其他军事和民间网络机构合作执行联合任务；组织开展网络安全领域实践培训；与北约和其他防务领域机构在网络空间安全和联合防御网络威胁方面开展合作。

链接：http://985.so/kq1gm

英国国家量子计算中心与量子网络公司Nu Quantum启动IDRA项目

近日，英国国家量子计算中心（NQCC）和量子网络公司Nu Quantum宣布启动IDRA项目。这是一项为期四年的开创性计划的第一阶段，旨在构建一个光连接、多节点分布式量子计算系统。该项目重点是通过使用量子纠缠将多个量子处理单元（QPU）联网，从而克服与扩展量子计算机相关的关键技术挑战。这项技术将允许不同QPU的量子比特之间建立纠缠，从而将它们整合成一个性能更强大、可执行复杂计算任务的量子系统。NQCC主任Michael Cuthbert声称，IDRA项目将有助于将英国置于量子创新的前沿，是构建未来量子数据中心迈出的重要一步。

链接：http://985.so/kq1g9

美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）、英国国家网络安全中心（NCSC-UK）等机构联合发布《运营技术网络安全原则》

近日，澳大利亚牵头发布了一份《运营技术网络安全原则》，阐述了指导创建和维护安全、可靠的关键基础设施OT环境的六项原则。该文件由澳大利亚信号局网络安全中心（ASD的ACSC）撰写，并与美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、多州信息共享与分析中心（MS-ISAC）、英国国家网络安全中心（NCSC-UK）、加拿大网络安全中心（Cyber Centre）、新西兰国家网络安全中心（NCSC-NZ）、德国联邦信息安全办公室（BSI Germany）、荷兰国家网络安全中心（NCSC-NL）、日本网络安全事件准备与战略国家中心（NISC）及国家警察厅（NPA）、大韩民国国家情报院（NIS）及NIS国家网络安全中心（NCSC）共同发布。编写机构建议OT决策者应用本文档中提出的六项原则，以帮助确定所做出的决策是否可能对OT环境的网络安全产生不利影响，具体包括：一是确保系统安全，涉及人身安全、工厂与设备安全、环境安全以及过程的可靠性和正常运行时间；二是了解并保护关键系统，组织应能够识别关键系统，并建立能够保护这些系统的架构，同时包括能够实现所需业务成果的恢复和恢复过程；三是保护OT数据，应制定流程，以最小化对OT数据的访问和分发，同时确保OT数据的完整性；四是将OT与其他所有网络（包括对等网络、IT网络和互联网）进行隔离和分段，特别要考虑OT环境中的管理和行政角色分配；五是应考虑OT中的所有软件、设备和托管服务提供商，包括它们的支持、管理和维护，从采购和集成到退役和处置；六是创建一个训练有素、技能娴熟的协作团队，并提供必要的工具。

链接：http://985.so/kq1gx

英国防部发布新版《全球战略趋势：走向2055年》报告

9月27日，英国政府官方网站发文称，近日，英国防部发布了第七版《全球战略趋势：走向2055年》（GST 7）报告，做出了战略远见和趋势分析，描述了全球变革的关键驱动因素，分析突出了未来可能的机遇和挑战。该文件指出，全球前景中蕴藏着大量机遇，同时也存在新的和现有的挑战具体包括：一是俄罗斯与乌克兰冲突的结局及影响；二是中国将继续利用以军事实力为基础的经济相互依存关系作为实现其目标的核心手段；三是在一个不确定性日益增加的时代，建立复原力、敏捷性和新形式的威慑将是最重要的；四是拥有更强大武器的核武器国家数量的增加，再加上新的质量效应武器，可能会带来新的挑战；五是军事塑造权力仍将是权力的终极杠杆之一，太空和网络空间将日益成为战场成功的关键因素。

链接：http://985.so/kq1gd

加拿大建立武装部队网络司令部

2024年9月26日，加拿大正式宣布成立加拿大武装部队网络司令部，从而将武装部队的网络能力整合为一个统一的专门实体，提高军队应对网络领域威胁的能力。该司令部将成为加拿大国防部和武装部队网络行动的唯一管理机构，负责网络部队的维持、管理和发展，通过集中资源来推进与行动、人员、政策和能力相关的网络空间现有活动。除保卫加拿大网络安全领域安全外，还将帮助国防团队履行北约承诺，完善加拿大印度-太平洋战略的网络和防御能力，如虚拟网络事件支持等。此外，该司令部还将支持加拿大武装部队过渡到全域战场，使其具有更高的灵活性和对恶意网络活动的响应能力。

链接：http://985.so/kq1ge

美国水务公司遭受网络攻击

美国水务公司是美国最大的上市水务和污水处理公用事业公司。近日，该公司在提交给美国证券交易委员会(SEC)的文件中表示，他们近日遭受了网络攻击，包括在线客户门户服务MyWater在内的多个线上服务平台被迫关闭，且水费的计费服务也暂时关闭。目前，该公司发言人声称，他们已聘请第三方网络安全专家对此次攻击事件进行评估和深入调查，且美国环境保护署(EPA)已发布指导意见，帮助水和废水系统(WWS)涉及企业和运营商，对其业务环境进行评估以减少网络攻击的风险。

链接：http://985.so/kq1gr

以色列黑入贝鲁特机场塔台，阻止伊朗飞机降落

近日，黎巴嫩交通部长阿里·哈米向媒体透露，以色列国防军（IDF）拦截了贝鲁特机场控制塔的无线电通信，并威胁称，如果这架伊朗飞机降落，将攻击机场基础设施。以色列军方声称，贝鲁特国际机场被用作向真主党输送武器的入口，但黎巴嫩当局对此予以否认，强调机场是完全用于民用的基础设施。此次事件表明，网络安全已成为现代战争中的重要战场。通过控制通信系统，以色列不仅实现了对目标行动的直接干预，还成功地利用网络攻击达到军事和政治目的。对于依赖电子通信和信息化管理的基础设施而言，类似的攻击无疑是巨大的挑战，特别是在军事和国家安全领域，这类攻击的威胁更是不可小觑。对国际社会来说，这次事件也再次敲响了警钟：加强网络安全，防范来自国家黑客组织的网络攻击，已成为全球安全领域的当务之急。

链接：http://985.so/kq1gg

漏洞资讯

Zimbra存在远程命令执行漏洞（CVE-2024-45519）

近日，安全研究人员发现开源协作平台Zimbra存在远程命令执行漏洞（CVE-2024-45519），未经身份验证的攻击者可利用该漏洞向启用postjournal服务的目标设备发送恶意请求，进而远程执行任意指令，并获取目标设备的访问权限。漏洞影响Zimbra Collaboration (ZCS) 10 < 10.0.9等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/kq1gn

微软发布10月份安全漏洞更新公告（CVE-2024-43572、CVE-2024-43573）

近日，微软官网发布10月份安全漏洞更新公告，涉及117个安全漏洞，影响Microsoft Management Console、Windows MSHTML Platform、Windows Kernel等多个微软产品。其中，有2个安全漏洞较为严重且存在在野利用情况，包括：Microsoft Management Console远程代码执行漏洞（CVE-2024-43572），可由攻击者加载恶意MMC管理单元文件进行触发，利用成功后将导致任意代码执行；Windows MSHTML Platform欺骗漏洞（CVE-2024-43573），未经身份验证的攻击者可通过诱使目标用户打开恶意文件的方式利用该漏洞，进而在受控设备上部署恶意载荷。目前，用户可通过补丁更新修复上述漏洞。

链接：http://985.so/kq1gq

PHP存在多个安全漏洞（CVE-2024-9026、CVE-2024-8927、CVE-2024-8926、CVE-2024-8925）

近日，安全研究人员发现PHP项目存在多个安全漏洞，其中有4个漏洞较为严重，包括：一是PHP-FPM日志篡改漏洞（CVE-2024-9026），允许攻击者操作篡改PHP-FPM 中的日志，插入无关字符或删除日志条目中的最多4个字符；二是配置绕过漏洞（CVE-2024-8927），允许攻击者绕过cgi.force_redirect配置所施加的限制，从而可能导致将任意文件包含在特定配置中，进而未授权访问用户敏感数据；三是参数注入漏洞（CVE-2024-8926），允许攻击者在特定非标准 Windows 代码页配置下，绕过先前的漏洞修复(CVE-2024-4577)，对目标设备实施攻击；四是数据错误解析漏洞（CVE-2024-8925），允许攻击者在特定条件下排除部分合法数据。漏洞影响version < 8.1.30等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/kq1g5

Linux内核漏洞PoC在互联网公开（CVE-2023-52447）

近日，安全研究人员发现此前被披露的Linux内核漏洞（CVE-2023-52447）PoC已在互联网公开，该漏洞是Linux内核BPF子系统释放后重用漏洞，是由BPF子系统不正确引用计数所导致，允许攻击者修改目标设备BPF子系统索引值（array_of_maps），进而造成Linux系统容器逃逸。目前，该漏洞已被修复，用户可通过内核版本更新修复上述漏洞。

链接：http://985.so/kq1gt

GitLab EE存在权限绕过漏洞（CVE-2024-9164）

近日，安全研究人员发现仓库管理开源项目GitLab EE存在权限绕过漏洞（CVE-2024-9164），攻击者可以在某些情况下以其他用户的身份利用该漏洞在GitLab的任意分支上执行管道，从而可能执行恶意代码或泄露敏感信息。漏洞影响12.5 <= GitLab EE < 17.2.9等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/kq1g0

Mozilla Firefox浏览器存在代码执行漏洞（CVE-2024-9680）

近日，安全研究人员发现Mozilla Firefox浏览器存在代码执行漏洞（CVE-2024-9680），攻击者可通过诱导用户访包含特定脚本或代码的恶意网页来利用该漏洞，成功利用可能导致浏览器崩溃、数据泄露或代码执行。漏洞影响Firefox < 131.0.2等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/kq1gv

Apache Subversion存在参数注入漏洞（CVE-2024-45720）

近日，安全研究人员发现开源版本控制系统Apache Subversion存在参数注入漏洞（CVE-2024-45720），位于Command Line Handler功能组件中，是由输入数据缺乏安全校验所导致，允许攻击者向目标设备发送恶意请求，进而造成权限升级。漏洞影响1.14.0、1.14.1等版本，目前用户可通过将版本升级至1.14.4修复上述漏洞。

链接：http://985.so/kq1gi

木马病毒

perfctl恶意软件被披露

近日，安全研究人员捕获到一种名为perfctl的恶意软件样本。经分析发现，攻击者利用该恶意软件在互联网上广泛扫描存在安全缺陷和配置错误的Linux服务器，并对其实施入侵。攻击成功后，将会在受控设备上通过TOR协议与C2服务器建立通联关系，并部署加密货币矿工组件和代理劫持模块。此外，该恶意软件还会在受控设备上部署rootkit恶意载荷，在对受控设备实施持久性远控的同时，实施加密货币挖掘。

链接：http://985.so/kq14b

BBTok银行木马被披露

近日，安全研究人员捕获到针对巴西目标用户实施攻击的BBTok银行木马样本。经分析发现，该恶意程序样本由C#进行开发，植入受控设备后将会采用AppDomain Manager技术进行代码注入，使用合法代理服务器应用程序CCProxy与C2服务器进行通信，并利用ConfuserEx对自身代码进行混淆，以逃避安全检测。此外，该样本在植入受控设备后，不仅会禁用设备上的安全软件，以尝试对受控设备实施持久化远控，还会自动检测受控设备所处的地理位置，只有当受控设备处于巴西时，才会执行感染链的其他攻击步骤，这种地理围栏技术进一步增加了全球安全系统的检测难度。

链接：http://985.so/kq14w

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持