安全简讯（2024.11.11）

1. 网络犯罪分子利用ZIP串联文件策略规避安全检测

11月7日，据Cyber Security News报道，网络犯罪分子正采用一种复杂的ZIP串联文件策略，专门攻击Windows用户。这种方法将多个ZIP文件合并为一个存档，利用不同ZIP阅读器处理方式的差异，使恶意内容更难被安全软件检测。ZIP串联文件实际上包含多个中心目录，每个目录指向不同的文件集，而某些阅读器可能只显示部分内容，从而隐藏恶意文件。例如，7zip通常只显示第一个存档的内容，而WinRAR能读取所有内容，包括隐藏的恶意文件。Windows文件资源管理器在处理这种文件时也存在不一致性，导致检测威胁不可靠。已有攻击者通过发送伪装成发货通知的网络钓鱼电子邮件，利用此技术向受害者发送隐藏的特洛伊木马恶意软件。这种规避技术的成功在于它能利用工具间的差异，许多安全解决方案也依赖这些工具来扫描档案。因此，黑客越来越多地使用这种方法针对特定用户，同时逃避其他安全工具的检测。网络安全专家提醒用户应提高警惕，采用多种安全工具和方法来防范此类攻击。

https://cybersecuritynews.com/hackers-employ-zip-file-concatenation/#google_vignette

2. 英国冬季取暖补贴诈骗频发，警方发出警告

11月9日，随着冬季的到来，英国老年居民成为诈骗分子的目标，他们通过虚假的“冬季取暖补贴”和“生活费补助”短信实施诈骗。由于政府近期决定削减约1000万养老金领取者的冬季燃料补贴，这种诈骗活动更具投机性。诈骗短信诱使居民访问非法域名，收集个人信息和付款信息。其中一条短信声称是“最后通知”，提醒收件人在11月12日前回复以接收补贴。该短信中的链接将用户引导至看似GOV.UK的网页，实际上是一个网络钓鱼页面，旨在诱骗用户交出个人信息和付款详情。网络安全研究员已识别出约600个与此活动相关的唯一域名，证明了该活动的规模和威胁行为者的投入。英国警方已发出警告，提醒养老金领取者警惕此类诈骗短信，避免点击链接或提供个人信息和付款细节。人们可以向国家网络安全中心、移动服务提供商或相关机构报告疑似诈骗行为。

https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/

3. 恶意Python包“fabrice”窃取AWS凭据，已下载超3.7万次

11月9日，自2021年起，一个名为“fabrice”的恶意Python包在Python包索引(PyPI)中出现，通过窃取Amazon Web Services凭据来攻击开发人员。该软件包利用了与合法且广受欢迎的SSH远程服务器管理包“fabric”名称相似的特点，已被下载超过37,000次。fabrice之所以长期未被发现，部分原因是其部署了先进的扫描工具，并且追溯扫描的解决方案较少。该软件包根据操作系统执行特定操作，在Linux上创建隐藏目录存储编码的shell脚本，在Windows上下载编码的有效负载并执行Python脚本以获取恶意可执行文件。无论使用什么操作系统，fabrice的主要目标都是使用boto3（Amazon Web Services的官方Python SDK）窃取AWS凭证。攻击者将窃取的密钥泄露给由巴黎的M247运营的VPN服务器，增加了追踪难度。为减轻此类风险，用户应检查从PyPI下载的软件包，并使用专门检测和阻止此类威胁的工具。管理员应考虑使用AWS身份和访问管理(IAM)来管理对资源的权限，以保护AWS存储库免受未经授权的访问。

https://www.bleepingcomputer.com/news/security/malicious-pypi-package-with-37-000-downloads-steals-aws-keys/

4. Remcos RAT新变种使用高级技术感染Windows系统

11月9日，Fortinet的FortiGuard实验室发现了一种新的Remcos RAT（远程访问木马）变种正在通过网络钓鱼活动传播，针对Microsoft Windows用户。该恶意软件利用CVE-2017-0199漏洞下载并执行HTA文件，该文件经过多层混淆处理，包括JavaScript、VBScript、Base64编码等，最终下载并执行恶意可执行文件，部署Remcos RAT。该恶意软件具有多种持久性机制，如向量异常处理等高级反分析技术，使用哈希值识别API，检测调试器的存在，并通过进程挖空技术逃避检测。为了保持对设备的控制，恶意代码在系统注册表中添加了新的自动运行项。为了保护自己，用户应避免点击电子邮件中的链接或附件，使用安全软件和防病毒软件，并保持软件更新最新补丁。

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

5. Newpark Resources遭勒索软件攻击，信息系统和业务应用中断

11月8日，德克萨斯州油田供应商Newpark Resources在2024年10月29日遭受了一次勒索软件攻击，导致其部分信息系统和业务应用程序的访问被中断。该公司迅速启动了网络安全应急计划，并在外部专家的协助下对事件进行了内部调查，以评估和遏制威胁。尽管此次攻击对公司的信息系统和业务应用程序造成了影响，但Newpark Resources的制造和现场运营基本未受影响，仍继续执行既定的停机程序。目前，公司尚未确定此次勒索软件事件的全部成本和影响，但预计不会对财务状况或运营产生重大影响。Newpark Resources没有透露有关此次攻击的详细信息，包括感染其系统的恶意软件家族，同时也没有勒索软件组织声称对此次安全漏洞负责。未来，如果情况发生变化，该公司将更新相关信息披露。

https://securityaffairs.com/170696/cyber-crime/newpark-resources-ransomware-attack.html

6. Veeam VBR漏洞再遭利用，Frag勒索软件肆虐

11月8日，Veeam Backup & Replication (VBR) 软件的一个关键安全漏洞（CVE-2024-40711）最近被利用来部署Frag勒索软件，此前该漏洞已被Akira和Fog勒索软件攻击者利用。该漏洞由不受信任数据反序列化弱点引起，可导致远程代码执行。Veeam在9月4日发布了安全更新，而watchTowr Labs和Code White在披露该漏洞时推迟分享更多细节，以避免被勒索软件团伙滥用。然而，Sophos X-Ops发现，这些延迟并未能阻止Akira和Fog勒索软件攻击，同一威胁活动集群也使用了该漏洞部署Frag勒索软件。Frag勒索软件团伙在攻击中大量使用受感染系统上已有的合法软件（LOLBins），使得防御者难以检测到他们的活动。Veeam表示，全球有超过550,000名客户使用其产品，包括全球2,000强榜单中约74%的公司，因此该漏洞的影响范围广泛。

https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/