安全简讯（2024.10.28）

1. 朝鲜Lazarus Group利用Chrome零日漏洞发起攻击

10月24日，朝鲜黑客组织Lazarus Group被指利用Google Chrome的现已修补安全漏洞CVE-2024-4947进行零日攻击，控制受感染设备。卡巴斯基公司在2024年5月发现了一条针对俄罗斯公民的攻击链，攻击通过虚假的加密货币领域游戏网站"detankzone[.]com"触发漏洞。该网站伪装成去中心化金融（DeFi）NFT的多人在线战斗竞技场（MOBA）坦克游戏，实则包含隐藏脚本，在用户浏览器中运行漏洞，使攻击者获得对受害者PC的完全控制。此外，Lazarus Group还被怀疑窃取了一款合法区块链边玩边赚（P2E）游戏的源代码和货币，用于实现其攻击目标。卡巴斯基指出，Lazarus是最活跃、最复杂的APT攻击者之一，经济利益是其主要动机，且其策略在不断演变，利用生成式人工智能等新技术发起更复杂的攻击。

https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html

2. Fortinet FortiManager RCE零日漏洞在野外被利用

10月24日，网络安全公司Fortinet近日披露了其软件产品FortiManager存在一个关键零日漏洞（CVE-2024-47575），该漏洞允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令，且已在野外被积极利用。该漏洞的CVSS v3评分高达9.8，影响多个版本的FortiManager及FortiManager Cloud。Fortinet已发布补丁并提供了多种解决方法。据报告，该漏洞已被用于泄露敏感文件，包括IP地址、凭证和设备配置，但尚未发现恶意软件或后门安装。威胁组织UNC5820自2024年6月27日起就利用此漏洞，获取了FortiGate设备配置数据，包括用户加密密码，可能用于进一步破坏和横向移动。Mandiant无法确定攻击者身份和目的，建议所有暴露在互联网上的FortiManager组织立即进行取证调查。Fortinet敦促用户立即升级至安全版本，并采取阻止未知设备注册、使用自定义证书身份验证等解决方法。

https://cybersecuritynews.com/fortimanager-zero-day-vulnerability/#google_vignette

3. Fog与Akira勒索软件利用SonicWall VPN漏洞频繁入侵企业网络

10月27日，Fog和Akira勒索软件运营商正越来越多地利用SonicWall VPN帐户入侵企业网络，关键漏洞CVE-2024-40766被认为是其入侵的主要通道。SonicWall于2024年8月下旬修复了该漏洞，但一周后便警告称漏洞已被积极利用。北极狼安全研究人员发现，Akira勒索软件附属机构已利用该漏洞获取初始访问权限。据Arctic Wolf报告，Akira和Fog至少进行了30次入侵，均始于通过SonicWall VPN帐户远程访问。其中，75%的案件与Akira有关，其余为Fog所为。这两个组织似乎共享基础设施，表明仍存在非正式合作。所有被攻破的端点都运行易受攻击的未修补版本，且从入侵到数据加密的时间通常较短，最快仅需1.5-2小时。威胁行为者通过VPN/VPS访问端点并混淆真实IP地址。受感染组织未启用多因素身份验证，也未在默认端口上运行服务。入侵过程中，观察到特定消息事件ID表明远程用户登录和IP分配成功。威胁行为者主要针对虚拟机及其备份发起快速加密攻击，并窃取文档和专有软件，但不关注超过六个月或30个月的文件。

https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/

4. BlackBasta勒索软件行动利用Microsoft Teams进行社会工程攻击

10月25日，BlackBasta勒索软件行动自2022年4月以来一直活跃，对全球数百起企业攻击负责。该组织通过漏洞、合作、恶意软件僵尸网络和社会工程学等多种方法破坏网络。最近，BlackBasta的附属机构将社会工程攻击转移到了Microsoft Teams上，他们冒充公司IT帮助台联系员工，协助解决垃圾邮件问题。攻击者首先用电子邮件淹没员工的收件箱，然后以外部用户的身份通过Microsoft Teams联系员工，这些帐户是在Entra ID租户下创建的，名称看起来像是帮助台。在聊天中，攻击者发送二维码或诱骗用户安装AnyDesk远程支持工具或启动Windows Quick Assist远程控制和屏幕共享工具，以便远程访问用户的公司设备。一旦连接，攻击者会安装各种有效载荷，如ScreenConnect、NetSupport Manager和Cobalt Strike，以持续远程访问用户的公司设备，并横向扩散到其他设备，同时提升权限、窃取数据，并最终部署勒索软件加密器。ReliaQuest建议组织限制Microsoft Teams中来自外部用户的通信，并启用日志记录以查找可疑聊天。

https://www.bleepingcomputer.com/news/security/black-basta-ransomware-poses-as-it-support-on-microsoft-teams-to-breach-networks/

5. 亚马逊查封APT29黑客组织攻击域名

10月25日，亚马逊已查封俄罗斯APT29黑客组织用于政府和军事组织针对性攻击的域名。APT29，又称“Cozy Bear”和“Midnight Blizzard”，与俄罗斯对外情报局有联系，擅长使用网络钓鱼和恶意软件窃取敏感信息。此次攻击中，APT29通过伪装成AWS域名的网络钓鱼页面，诱骗目标相信并使用恶意远程桌面协议连接文件，以窃取Windows凭证和数据。尽管亚马逊澄清其云平台并非直接目标，但仍立即启动了查封冒充AWS域名的程序。APT29以高度复杂的攻击闻名，针对全球政府、智库和研究机构，且最近活动范围广泛，包括向更多目标发送网络钓鱼电子邮件。乌克兰计算机应急反应小组也发布了相关警告，并建议采取多项措施减少攻击面，如阻止“.rdp”文件、限制RDP连接等。APT29仍是俄罗斯最强大的网络威胁之一，过去一年中曾入侵多个重要软件供应商，并利用服务器漏洞入侵全球重要组织。

https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/

6. RansomHub黑客组织声称对墨西哥13个机场运营商发起攻击

10月26日，黑客组织RansomHub最近声称对墨西哥13个机场运营商Grupo Aeroportuario del Centro Norte（OMA）的网络攻击负责，并威胁如果不支付赎金，将泄露3TB被盗数据。OMA运营着墨西哥中部和北部地区的机场，今年已接待超1900万名乘客。此次网络事件迫使OMA转向备用系统以维持运营，但显示航班航站楼位置的屏幕仍无法使用。OMA表示正在与外部网络安全专家合作调查事件范围，并已逐步恢复某些服务，但对公司运营和财务状况未造成重大不利影响。微软本周指出，RansomHub仍是勒索软件领域最活跃的威胁之一，多个其他威胁行为者也继续使用其恶意软件进行攻击。

https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator