安全简讯（2024.11.08）

1. Microlise遭网络攻击，致监狱车和快递车辆追踪系统瘫痪

11月7日，Microlise是一家为车队运营商提供车辆追踪解决方案的公司，近期遭遇了网络攻击，导致其监狱车和快递车辆的追踪系统和警报系统被禁用。该公司在10月31日通知伦敦证券交易所其网络上发生了“未经授权的活动”，并聘请了外部网络安全专家进行调查和恢复工作。截至11月6日，Microlise表示已在控制和清除网络威胁方面取得实质性进展，并恢复了所有服务，预计下周末将全面投入运营。此次攻击未损害客户系统数据，但部分员工数据受到影响，受影响个人将根据公司监管义务得到通知，并告知相关部门。受影响的客户包括英国政府承包商Serco和快递公司DHL，其中Serco在袭击影响发现前的几天内，部分囚犯护送服务缺乏位置跟踪和安全保障，而DHL的部分车队也缺乏追踪功能。Microlise未透露网络攻击类型及受影响客户的详细信息。

https://www.securityweek.com/cyberattack-on-microlise-disables-tracking-in-prison-vans-courier-vehicles/

2. CISA警告：Palo Alto Networks Expedition存在身份验证漏洞遭攻击

11月7日，CISA近日发出警告，指出攻击者正在利用Palo Alto Networks Expedition中的严重身份验证漏洞。Expedition是一种迁移工具，用于将防火墙配置从Checkpoint、Cisco等供应商转换为PAN-OS。该漏洞（CVE-2024-5910）已在7月得到修复，但威胁者仍能远程利用它重置暴露在互联网上的Expedition服务器上的应用程序管理员凭据。CISA指出，此漏洞允许攻击者接管Expedition管理员帐户，并可能访问机密配置、凭据及其他数据。尽管网络安全机构未提供更多攻击细节，但Horizon3.ai漏洞研究员Zach Hanley发布了一个概念验证漏洞，可结合另一个已修补的命令注入漏洞（CVE-2024-9464），在易受攻击的服务器上实现未经身份验证的任意命令执行。Palo Alto Networks建议管理员限制Expedition的网络访问，并在升级到固定版本后轮换所有用户名、密码和API密钥。CISA已将该漏洞添加到其已知被利用漏洞目录中，要求美国联邦机构在三周内（即11月28日前）保护其网络上的易受攻击服务器。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/

3. Androxgh0st与Mozi僵尸网络集成，威胁全球Web和IoT设备安全

11月7日，CloudSEK报告指出，Androxgh0st僵尸网络已与Mozi僵尸网络集成，利用Web应用程序和IoT设备中的多种漏洞进行攻击。自2024年1月起，Androxgh0st针对网络服务器进行改造后重新出现，并共享了Mozi僵尸网络的组件，从而能够感染更多IoT设备。研究人员发现，Androxgh0st的攻击方法已扩展，瞄准了包括Cisco ASA、Atlassian JIRA、PHP框架、Metabase、Apache Web服务器和多种物联网设备在内的多个漏洞。通过整合Mozi的功能，Androxgh0st能够利用配置错误的路由器和设备，在全球范围内感染设备。此外，该僵尸网络还针对多个国家和地区的设备进行攻击，德国位居受感染设备数量榜首。组织应立即修补相关漏洞，监控网络流量，并分析日志以查找入侵迹象，以保护系统免受这种不断演变的威胁。

https://hackread.com/androxgh0st-botnet-integrate-mozi-iot-vulnerabilities/

4. 朝鲜黑客利用“隐藏风险”恶意软件攻击加密货币企业

11月7日，朝鲜政府支持的APT组织BlueNoroff正在利用一种名为“隐藏风险”的新型恶意软件攻击加密货币企业。该攻击通过精心制作的网络钓鱼电子邮件，诱使受害者点击恶意链接，下载伪装成PDF阅读器的恶意Mac应用程序。一旦执行，该应用程序会秘密下载并执行恶意二进制文件，安装后门并收集系统敏感信息，与远程服务器通信，接收并执行命令。为了确保持久性，攻击者还修改了Zsh配置文件，使后门可以在系统启动时自动执行。研究人员认为，此次攻击活动与BlueNoroff有关联，因其技术与BlueNoroff过去的攻击活动类似，且使用了与其相关的恶意软件的用户代理字符串，并利用开发者帐户让Apple公证恶意软件，从而绕过安全措施。鉴于BlueNoroff多次以加密货币交易所、风险投资公司和银行为目标，行业应保持警惕。用户应仔细检查电子邮件地址，避免点击未知电子邮件中的链接，尤其是要求下载应用程序/PDF的链接，以确保自身安全。

https://hackread.com/north-korean-hackers-crypto-fake-news-hidden-risk-malware/

5. 白帽黑客Sean Kahler揭露并助修EA账户系统严重漏洞

11月6日，游戏开发者兼逆向工程师Sean Kahler发现并利用了一个影响电子艺界（EA）账户系统的严重漏洞，非法获取了超过7亿EA用户账户信息，包括游戏统计数据。他通过在游戏可执行文件中找到硬编码凭证，获得了EA开发人员测试环境中的特权访问令牌，进而发现了一个暴露的内部服务API，该API允许修改玩家资料。Kahler利用此漏洞将EA账户状态更改为“已禁止”，阻止用户登录游戏，并能将Steam或Xbox账户链接到其他用户的EA账户，无需验证或密码即可登录其他账户。他意识到这一漏洞的严重性后，于2024年6月16日向EA负责任地披露了漏洞，EA确认了漏洞并发布了五个补丁进行修复。然而，Kahler指出EA花了较长时间才修复漏洞，且尚未启动漏洞赏金计划，缺乏报告漏洞的动力。

https://cybernews.com/security/whitehat-gains-access-to-over-700-million-ea-accounts/

6. GodFather恶意软件全球扩张：针对500多个金融应用

11月7日，Cyble 研究与情报实验室 (CRIL) 报告指出，GodFather 恶意软件的范围已扩大至全球 500 多个银行和加密货币应用程序，采用复杂技术如本机代码实现和最低权限，使其比以前更加难以捉摸和危险。该恶意软件利用钓鱼网站分发伪装成合法应用程序的恶意 APK 文件，旨在窃取银行凭证。它还能利用 Android 设备的 Accessibility 服务执行各种恶意功能，如自动手势、与命令和控制服务器建立连接以及键盘记录。一旦检测到目标应用程序，GodFather 就会关闭合法应用程序并加载虚假登录页面以窃取凭据。此外，其地理覆盖范围也在扩大，现已针对日本、新加坡、阿塞拜疆和希腊的用户。CRIL 总结称，凭借其新的自动化操作和在更多国家/地区针对应用程序的更广泛目标，GodFather 恶意软件对全球用户构成了越来越大的风险，因此保持警惕并在移动设备上采取强大的安全措施至关重要。

https://securityonline.info/godfather-malware-now-targets-500-banking-and-crypto-apps