(10/14--10/20）

新的macOS漏洞允许攻击者绕过安全控制

据Cyber Security News消息， 微软威胁情报发现，macOS出现了一个名为“HM Surf”的新漏洞，能允许攻击者绕过操作系统的透明、同意和控制（TCC）技术，在未经授权的情况下访问用户受保护的数据。

该漏洞被追踪为CVE-2024-44133，能够被利用收集敏感信息（例如浏览历史记录），并在未经授权的情况下访问设备的摄像头、麦克风和位置。

HM Surf 能够更改当前用户的主目录，修改用户真实主目录下的敏感文件，以及运行 Safari 打开一个网页，该网页拍摄相机快照并跟踪设备位置。

Safari 弹出窗口

攻击者可以执行一些隐秘的操作，例如私下托管快照、保存整个摄像头数据流、录制和串流麦克风音频，以及在小窗口中启动 Safari 以避免引起注意。

微软通过 Microsoft Security Vulnerability Research （MSVR） 的协调漏洞披露 （CVD） 与 苹果分享了这一漏洞发现。目前，只有 Safari 使用 TCC 提供的新保护，微软正在与其他主要浏览器供应商合作，以调查强化本地配置文件的好处。

目前苹果已在9 月 16 日发布的 macOS Sequoia 最新安全更新中修复了该漏洞。微软建议macOS 用户尽快应用 Apple 发布的安全更新。

此前，微软已发现多个存在于macOS和Linux系统中的漏洞，随着跨平台威胁的持续增加，对漏洞发现和威胁情报共享的协调响应将有助于加强保护技术，以保护用户在所有平台和设备上的安全。

ClickFix攻击活动升级：可通过虚假谷歌会议画面传播恶意软件

最近，研究人员报告了一种新的 ClickFix 攻击活动，主要通过诱骗用户访问显示虚假连接错误的欺诈性谷歌会议的页面，继而借此传播信息窃取恶意软件，主要针对 Windows 和 macOS 操作系统。

ClickFix是网络安全公司Proofpoint在5月份首次报告的一种社交工程战术，它来自一个威胁行为TA571，该行为者使用了冒充谷歌浏览器、微软Word和OneDrive错误的信息。

这些错误提示受害者将一段 PowerShell 代码复制到剪贴板，在 Windows 命令提示符中运行该代码即可解决问题。

因此，受害者的系统会感染各种恶意软件，如 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。

今年 7 月，McAfee 报告称，ClickFix 攻击活动变得越来越频繁，尤其是在美国和日本。

SaaS 网络安全提供商 Sekoia 的一份新报告指出，ClickFix 攻击活动现已升级，开始使用谷歌会议引诱、针对运输和物流公司的钓鱼电子邮件、伪造的 Facebook 页面和欺骗性的 GitHub 问题。

ClickFix 发展大事记，资料来源 Sekoia

据这家法国网络安全公司称，最近的一些活动是由两个威胁组织 “斯拉夫民族帝国（SNE）”和 “Scamquerteo ”发起的，它们被认为是加密货币诈骗团伙 “Marko Polo ”和 “CryptoLove ”的分队。

黑客团伙Anonymous Sudan被FBI重创，组织者被判终身监禁

美国联邦检察官已指控Anonymous Sudan（Storm-1359） 的两名运营者，其中一人将很有可能被判终身监禁。

Anonymous Sudan掌握着庞大的分布式拒绝服务（DDoS）僵尸网络，在短短一年内实施了创纪录的35000次DDoS攻击，其中包括2023年6月针对微软服务的攻击。Microsoft 365 系列服务因为被攻击经常发现访问中断，这严重影响到部分用户的正常办公。

美国司法部（DoJ）表示，这些攻击由Anonymous Sudan 的“强大DDoS工具”促成，专门针对美国及全球的关键基础设施、企业网络和政府机构。因此，22岁的Ahmed Salah Yousif Omer （艾哈迈德·萨拉赫 ）和27岁的 Alaa Salah Yusuuf Omer （阿拉·萨拉赫 ）被指控的一项罪名是共谋破坏受保护计算机。此外，艾哈迈德还被指控其他三项“破坏受保护的计算机”的罪名。

如果所有罪名成立，艾哈迈德·萨拉赫将面临法定最高刑期终身监禁，而阿拉·萨拉赫将面临最高五年的联邦监狱刑期。

据悉，该DDoS工具已于2024年3月被禁用，同月两人从某个未知国家被捕。美国检察官马丁·埃斯特拉达表示，“匿名苏丹试图通过对全球政府和商业实施数万次网络攻击来最大化混乱和破坏，这个组织的攻击冷酷无情，甚至多次攻击为患者提供紧急和急症护理的医院。”

公开信息显示，Anonymous Sudan活跃于2023年初，组织了一系列针对瑞典、荷兰、澳大利亚和德国组织的网络攻击活动，是一个激进的黑客激进组织。有消息显示，Anonymous Sudan 常受雇于其他组织，并根据对方诉求开展网络攻击。例如在最初加入了一个短暂的支持俄罗斯的黑客激进活动后，Anonymous Sudan 进行了一系列具有明显宗教和苏丹民族主义动机的DDoS攻击，包括针对澳大利亚和北欧实体的活动。该组织还显著参与了年度#OpIsrael黑客激进活动。在这些活动中，匿名苏丹还表现出愿意与其他黑客激进组织合作，如KillNet、SiegedSec和Türk Hack Team。

美国法院指控，Anonymous Sudan使用分布式云攻击工具（DCAT）进行了数千次破坏性DDoS攻击，并公开声称对此负责，仅在美国受害者身上就造成了超过1000万美元的损失。根据亚马逊网络服务（AWS）的说法，DDoS服务的价格为每天100美元、每周600美元和每月1700美元。

DCAT工具在犯罪地下市场以哥斯拉、天网和基础设施关闭为名进行销售，其中一部分已被拆除，其中包括用于发起DDoS攻击的服务器、将攻击命令中继到更广泛攻击计算机网络的服务器，以及包含该组织使用的DDoS工具源代码的账户。

美国司法部表示，这些执法行动是作为Operation PowerOFF的一部分采取的，这是一个全球多国政府合作的执法机构，旨在拆除全球犯罪DDoS出租基础设施，并追究这些非法服务的管理员和用户的责任。

谷歌：2023年被利用的漏洞70%是0 Day

谷歌Mandiant安全分析师警告称，攻击者发现和利用软件零日漏洞的能力增长已成为一个令人担忧的新趋势。在2023年披露的138个被积极利用的漏洞中，有97个（70.3%）是0 Day漏洞，意味着大量漏洞在被供应商知道或修补之前就被攻击者用来实施攻击。

从2020年到2022年，N Day漏洞和0 Day漏洞之间的比例相对稳定地保持在4:6，但到了2023年，这一比例转变为3:7。谷歌解释说，这并不是因为在野外被利用的N Day 数量下降，而是因为0 Day 漏洞利用的增加以及安全厂商检测能力的提高。

而恶意活动的增加和目标产品的多样化也反映在受主动利用漏洞影响的供应商数量上，2023 年受影响的供应商数量从 2022 年的 44 家增加到创纪录的 56 家，高于 2021 年创下的 48 家供应商的记录。

Mandiant 的研究结果概述

另一个重要趋势是利用新披露漏洞（N Day或0 Day）缺陷所需的时长（TTE）进一步大幅缩短，现仅需要5 天。相比之下，2018-2019 年间的TTE为 63 天，2021-2022 年间为 32 天。这为供应商和系统管理员提供了充足的时间来发布补丁应用或实施缓解措施，以确保受影响系统的安全。

而目前仅有5天的时间，在给到供应商和系统管理员压力的同时，实施网络分段、实时检测和紧急补丁优先级等策略就变得更加重要。

与此相关的是，谷歌认为漏洞利用的公开与TTE之间没有关联。2023 年，75% 的漏洞利用在黑客利用开始之前就被公开，25% 的漏洞是在黑客已经利用这些漏洞后发布。

报告中引用了两个例子——CVE-2023-28121（WordPress 插件）和 CVE-2023-27997（Fortinet FortiOS）来证明公开漏洞与恶意活动之间并不存在一致的关系。在第一个例子中，漏洞在披露3个月后和概念验证发布10天后开始被利用；在第二个例子中，漏洞在被公开之后就立刻被武器化，但真正的第一起利用攻击事件直到4个月后才被记录到。

两个漏洞案例的利用时间表

谷歌认为，与 PoC 可用性的直接或孤立关联的做法其依据都是不充分的，漏洞利用难度、攻击者的动机、目标价值和整体攻击复杂性都会在 TTE 中发挥作用。

#03 数据安全

TrickMo 安卓银行木马新变种利用虚假锁屏窃取密码

近期，研究人员在野外发现了 TrickMo Android 银行木马的 40 个新变种，它们与 16 个下载器和 22 个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。

Zimperium 和 Cleafy 均报道了此消息。

TrickMo 于 2020 年首次被 IBM X-Force 记录在案，但人们认为它至少从 2019 年 9 月开始就被用于攻击安卓用户。

新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。

该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。

该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。

攻击中使用的银行业务覆盖，来源：Zimperium

Zimperium 分析师在剖析这些新变种时还报告了一种新的欺骗性解锁屏幕，它模仿了真正的安卓解锁提示，旨在窃取用户的解锁模式或 PIN 码。

Zimperium解释称：欺骗性用户界面是一个托管在外部网站上的HTML页面，以全屏模式显示在设备上，使其看起来像一个合法的屏幕。

当用户输入解锁模式或 PIN 码时，页面会将捕获的 PIN 码或模式详情以及唯一的设备标识符（Android ID）传输到 PHP 脚本。

TrickMo 展示的伪造安卓锁屏，来源：Zimperium

通过窃取 PIN 码，攻击者可以在设备不受监控时（可能是在深夜）解锁设备，从而在设备上实施欺诈。

戴尔公司一周被黑两次，机密数据、上万条员工信息被盗

“互联网档案馆”被连续攻击，3100万用户数据泄露

美国国安局前局长：设备引爆事件显示了以色列惊人的情报能力

外媒报道，9月18日，美国国家安全局前局长保罗·中曾根（Paul Nakasone）表示，数千枚真主党装置的爆炸显示了以色列惊人的情报收集能力，并突显了全球供应链中的潜在脆弱性。

保罗·中曾根（Paul Nakasone），美国国家安全局（NSA）前局长、美国网络司令部司令、退役陆军上将。

他表示，“肇事者具有非常出色的目标情报能力，他们不仅能够确切地知道相关的数字，还知道谁掌握了这些数字，以及这些人使用这些数字的周期性。”

当地时间9月17日（周二）下午3点30分，数千枚寻呼机在黎巴嫩远程引爆，造成至少12人死亡，包括两名儿童，另有约2800人受伤。周三，第二波爆炸——这次是对讲机爆炸——造成至少20人死亡，约450人受伤。

近几个月来，真主党采取了一种更基本的技术策略来避免以色列情报机构的监控。以色列情报机构之前已经渗透到了真主党的固定电话和移动电话中。

但此举似乎适得其反，因为有人——被广泛认为是以色列情报人员——似乎精心策划了一系列秘密的供应链攻击，将这些设备变成了致命武器。

中曾根表示，现在一个主要的担忧是，这些类型的劫持行为可能会以某种方式出现在美国的消费品或设备中。

“一个是，如果这是一次供应链 [攻击]，我会考虑我们自己的供应链，以及我们需要做些什么来确保它们的完整性。第二点是，如果这不是供应链攻击，这是如何进行的？”他说道。

最近几周，以色列对真主党领导人赛义德·哈桑·纳斯鲁拉的指挥官进行了空袭之后，纳斯鲁拉建议他的激进分子在与以色列的战斗中采取低技术含量的方法。今年2月，他下令关闭手机，以阻止以色列的情报收集。

以色列对目标进行操纵和爆炸通信设备的历史由来已久。1996年，以色列的情报机构Shin Bet通过欺骗手段让哈马斯的炸弹制造者Yahya Ayyash使用了一个装有炸药的手机，导致他当场死亡。

中曾根已于2月退休，他在范德堡大学国家安全研究所成立前的新闻发布会上对记者发表讲话，他将领导该项目旨在引导年轻人才担任国家安全职务。

针对乌克兰、波兰，UAT-5647黑客加速部署RomCom恶意软件

根据思科Talos报告，UAT-5647威胁行为者对乌克兰政府和波兰实体发起了一系列有针对性的攻击，部署臭名昭著的RomCom恶意软件变体。

UAT-5647因其与俄罗斯语系的敌对势力有关联而被人们所知。长期以来，UAT-5647一直以其多动机攻击而闻名，从间谍活动到勒索软件部署。

最近的攻击趋势表明，这个组织越来越注重建立长期访问权限来泄露敏感数据，然后再转向勒索软件操作。

思科Talos评估，“这一系列特定的攻击可能是UAT-5647双管齐下策略。“首先，泄露有价值的数据；其次，使用勒索软件作为破坏性和经济动机的后续行动。

该活动的核心是RomCom恶意软件变体，通过更新的感染链进行部署。

UAT-5647对其工具进行了重大升级，部署了四个不同的恶意软件系列：RustClaw、MeltingClaw（下载器）和两个名为DustyHammock（用Rust编写）、ShadyHammock（用C++编写）的后门。

这些恶意组件渗透系统，执行横向移动并建立持久访问。

根据该报告，RomCom恶意软件，也称为SingleCamper，通过ShadyHammock传递，ShadyHammock负责直接从Windows注册表加载和执行有效负载的后门。

这种隐蔽的传递机制使检测变得困难，因为恶意软件“直接从注册表加载到内存中，并使用环回地址与其加载程序通信”。

该组织活动目标主要集中在乌克兰和波兰，主要针对政府机构和基础设施。攻击者在开始恶意活动前，会使用“键盘布局检查”验证系统是否使用波兰语、乌克兰语或俄语。

UAT-5647的感染链通常从鱼叉式网络钓鱼攻击开始，攻击会提供RustClaw或 MeltingClaw等下载器。这些下载程序建立持久性后，部署后门，使UAT-5647能够进行详细的网络侦察、破坏系统并泄露有价值的数据。

“DustyHammock是一个更直接的后门。”报告解释说，用于“与其命令和控制（C2）通信并执行恶意操作”，而ShadyHammock则执行更复杂的任务，比如管理SingleCamper这样的有效载荷。

进入网络后，UAT-5647会执行一系列活动来维持访问并逃避检测。该组织特别擅长使用PuTTY的Plink等合法工具建立远程隧道，这种技术允许他们“通过隧道将内部接口连接到外部远程主机”，从而有效地绕过标准安全措施。

在一个案例中，攻击者利用受损的TP-LINK无线G路由器将流量从受感染的网络转发到远程服务器。这使他们能够暴力破解或喷射密码、泄露配置数据并进一步破坏目标系统。

“最近几个月，UAT-5647加速了他们的攻击。”报告总结道，并敦促防御团队优先考虑主动检测和快速响应措施。

伊朗黑客OilRig利用Windows漏洞提升权限

消息由湖南省网络空间安全协会整理编辑，涉及版权请联系删除，如有转载请标明出处。