安全简讯（2024.10.30）

1. 俄罗斯UNC5812威胁组织瞄准乌军新兵

10月28日，俄罗斯威胁组织“UNC5812”被揭露开展混合间谍/影响活动，针对乌克兰军队新兵使用Windows和Android恶意软件。该组织通过假冒“民防”角色设立网站和Telegram频道，传播名为“Sunspinner”的虚假招募规避应用程序，以数据窃取和实时监视为目的。谷歌已实施保护措施，但此次行动显示了俄罗斯在网络战领域的持续使用和广泛能力。UNC5812不冒充政府机构，并发表反对乌克兰招募和动员行动的言论，旨在激起民众的不信任和抵抗情绪。该虚假应用程序提供Windows和Android下载，分别安装恶意软件加载器Pronsis Loader和信息窃取程序PureStealer，以及商业后门CraxsRAT。为了执行恶意活动，该应用程序诱骗用户禁用Android反恶意软件工具并授予危险权限。Google已更新Google Play保护功能和Chrome的“安全浏览”功能，以检测和阻止相关恶意软件。

https://www.bleepingcomputer.com/news/security/russia-targets-ukrainian-conscripts-with-windows-android-malware/

2. 俄罗斯Midnight Blizzard黑客组织发起新型信息窃取活动

10月30日，俄罗斯黑客组织“午夜暴雪”（Midnight Blizzard）近期针对政府工作人员发起新型信息窃取活动，利用鱼叉式网络钓鱼电子邮件发送远程桌面协议（RDP）配置文件，使受害者设备遭受完全访问权限的攻击。微软威胁情报团队追踪到该活动自10月22日起，已向全球包括英国、欧洲、澳大利亚和日本等数十个国家/地区的政府、学术界、国防、非政府组织等部门发送数千封此类邮件。这些邮件中包含敏感设置，可导致大量信息泄露，甚至安全密钥和销售点设备也可能受到影响。黑客还通过冒充微软员工等方式诱骗受害者打开邮件。此次活动尤为引人注目，因为使用RDP配置文件是Midnight Blizzard战术的新进步。亚马逊和乌克兰政府计算机应急响应小组也发现了类似活动，其中亚马逊指出俄罗斯外国情报局（SVR）正针对政府机构、公司和军队发起网络钓鱼活动，旨在窃取俄罗斯对手的凭证。

https://therecord.media/russia-midnight-blizzard-hackers-target-government-sector

3. 大规模PSAUX勒索软件攻击瞄准22,000个CyberPanel实例

10月29日，超过22,000个CyberPanel实例因存在远程代码执行（RCE）漏洞而暴露于风险之中，这些实例在PSAUX勒索软件攻击中几乎全部沦陷。安全研究员DreyAnd发现CyberPanel 2.3.6（及可能受影响的2.3.7版本）存在身份验证缺陷、命令注入及安全过滤器绕过等安全问题，可导致未经授权的远程根访问。他已于2024年10月23日向CyberPanel开发人员披露漏洞并在GitHub 上提交了针对身份验证问题的修复程序。与此同时，威胁情报搜索引擎LeakIX报告称，大量存在漏洞的CyberPanel实例被PSAUX勒索软件攻击，导致近一半位于美国的实例（约10,170个）及管理的超过152,000个域和数据库受到威胁。一夜之间，受影响的实例数量大幅下降，仅剩约400个可访问。PSAUX勒索软件通过漏洞和错误配置攻击暴露的Web服务器，加密服务器文件并留下勒索信。目前，LeakIX已发布解密器用于解密在此次攻击中加密的文件，但使用前需备份数据并测试其有效性，以防因错误密钥导致数据损坏。

https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/

4. 加拿大税务局数据泄露引发信任危机，隐私违规行为激增

10月29日，在今年的纳税季节高峰期，加拿大发生了一起严重的税务数据泄露事件。黑客窃取了H&R Block Canada的机密数据，并利用这些信息未经授权访问了数百名加拿大人的个人加拿大税务局（CRA）账户。黑客更改了直接存款信息，提交了虚假申报表，并从公款中骗取了超过600万美元的虚假退款。此次事件促使加拿大税务局加强了媒体渠道准备，以应对公众对此次数据泄露及该机构为何向诈骗者支付数百万美元的问题。然而，公众并未获悉此计划，税务部长和加拿大税务局也均未回应相关问题。H&R Block公司表示，没有证据表明此次入侵事件源自该公司，其数据、系统、软件和安全均未受到损害。加拿大税务局未能确定黑客的身份，但排除了自身系统被入侵或内部人员参与的可能性。此外，加拿大税务局还面临其他严重问题，包括隐私泄露事件数量激增，以及公众对保护纳税人金钱和个人信息的机构失去信任的风险。

https://www.cbc.ca/news/canada/canada-revenue-agency-taxpayer-accounts-hacked-1.7363440

5. 新工具可绕过Google Chrome的新Cookie加密系统

10月28日，网络安全研究员亚历山大-哈根纳发布了一款名为“Chrome-App-Bound-Encryption-Decryption”的工具，该工具能绕过谷歌新推出的应用程序绑定加密技术，从Chrome浏览器中提取已保存的凭据，增加了Chrome用户的风险。谷歌在7月推出的这一加密技术，旨在通过Windows服务以系统权限对cookies进行加密，保护敏感信息免受恶意软件攻击。然而，9月时已有多个信息窃取者找到绕过方法。昨天，哈根纳在GitHub上公开了这款旁路工具及其源代码。该工具利用Chrome浏览器内部的IElevator服务，解密存储在本地状态文件中的App-Bound加密密钥。虽然使用该工具需要管理员权限，但许多Windows用户都使用具有管理权限的账户，因此这通常容易实现。据恶意软件分析师称，哈根纳的方法与早期信息窃取者采取的绕过方法类似，虽然谷歌一直在努力改进防御措施，但使用新工具仍能轻易窃取Chrome浏览器中的用户秘密。谷歌表示，虽然这段代码需要管理员权限，但恶意软件的数量仍在增加，它们通过不同方式锁定用户。

https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/

6. Discord Bots被恶意利用：PySilon RAT威胁网络安全

10月29日，网络安全公司AhnLab在最近的一份报告中指出，原本用于良性服务器管理的Discord Bots现在被用于部署远程访问木马（RAT），其中最新的案例涉及名为PySilon的恶意软件变种。PySilon是一种利用Discord Bot平台渗透系统并获取敏感数据的RAT，它扭曲了Discord Bot原本提供的服务器管理、自动消息响应等功能，在Discord基础设施内恶意运行。这款使用Python开发的RAT恶意软件可在GitHub上访问，威胁行为者可以轻松构建自定义版本，并通过调整服务器ID和机器人令牌等详细信息，使用构建器程序创建个性化的恶意软件版本。执行后，PySilon会在攻击者的服务器内创建一个新通道，将初始系统信息转发给操作员，从而实现黑客与受感染设备的持久通信链接。PySilon具有广泛的命令范围，可用于间谍、数据窃取和破坏等活动，包括收集个人和系统信息、屏幕和音频记录、键盘记录以及文件夹加密等。AhnLab强调，检测此类威胁具有挑战性，因为数据是使用为正常机器人功能实施的官方Discord服务器传输的，掩盖了其恶意性质。

https://securityonline.info/pysilon-a-discord-bot-turned-malicious-rat-for-data-theft-and-surveillance/