重庆一学校因未履行好网络安全保护义务被处罚，电脑遭境外黑客远控植入木马

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现木马病毒最新变种 ——“银狐”（又名“游蛇”、“谷堕大盗”）。攻击者虚构财务、税务等主题的钓鱼网页，通过微信群传播病毒下载链接。

钓鱼信息特征：钓鱼信息可通过社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题通常涉及财税或金融管理等最新政策和工作通知等，并附下载链接。

系统驻留特征：木马病毒被安装后，会在操作系统中注册名为“UserDataSvc_[字母与数字随机组合]”的系统服务，实现开机自启动和持久驻留。

网络通信特征：回联地址为：154.**.**.95 命令控制服务器（C2），域名为：8848.*********.zip。其中与 C2 地址的通信内容中，会包含受害主机的操作系统信息、用户名 CPU 信息、内存信息以及内网 IP 地址等数据。

科技媒体 borncity 近日发布博文，报道称网络安全公司 ACROS Security 针对 Windows Server 2012 和 Server 2012 R2 系统，发布了非官方免费补丁，修复了 Mark of the Web 安全功能中的零日漏洞。

该安全公司已经通过 0patch 微型补丁，向客户提供该修复程序，保护受影响的设备。

IT之家援引博文介绍，该漏洞存在于 Mark of the Web 安全功能中，已潜伏 2 年多时间，攻击者如果利用该漏洞，可以绕过某些文件类型的强制 Web 标记安全检查。

ACROS Security 公司已将此问题报告给微软，并像往常一样为此发布了微补丁，但没有披露漏洞细节，目前微软尚未发布补丁。

PHP 开发团队发布了紧急安全更新，以解决影响 8.1.31、8.2.26 和 8.3.14 之前版本的多个漏洞。这些漏洞的严重程度不一，其中一些可能允许攻击者泄漏敏感信息、执行任意代码或发起拒绝服务攻击。

CVE-2024-8932 是最严重的漏洞之一，它允许在 ldap_escape 函数中进行越界 (OOB) 访问。该漏洞的 CVSS 得分为 9.8，可使攻击者在受影响的系统上执行任意代码。

该公告警告说：“在 32 位系统上，向 ldap_escape 输入不受控的长字符串会导致整数溢出，造成越界写入。”

另一个关键漏洞 CVE-2024-8929 允许攻击者通过堆缓冲区超读泄露堆的部分内容。这个漏洞可以通过连接到假冒的 MySQL 服务器或篡改网络数据包来利用。该公告解释说：“使用在请求之间和两个不同的 SQL 查询请求之间保持存活的 PHP-FPM……可以从 PHP-FPM Worker 中提取前一个 MySQL 请求的响应内容。”一个概念验证漏洞演示了假冒的 MySQL 服务器如何操纵数据包头来提取剩余的缓冲区数据。

除了这些关键漏洞，更新还解决了其他几个问题，包括：

CVE-2024-11233：convert.quoted-printable-decode 过滤器的单字节超读，可能导致信息泄漏或拒绝服务。

CVE-2024-11236：Firebird 和 dblib quoters 中的整数溢出，可能导致越界写入。

CVE-2024-11234：配置代理时，在流上下文中存在 CRLF 注入漏洞，可能导致 HTTP 请求走私攻击。该公告指出：“在流上下文中配置代理可能允许在 URI 中注入 CRLF，从而导致 HTTP 请求走私攻击。”

PHP 项目强烈呼吁所有用户立即将 PHP 安装更新到最新版本。这些更新包括防止攻击者利用这些漏洞入侵系统的修复程序。

Rapid7 Labs发现了一个复杂的恶意软件活动，该活动采用了新发现的CleverSoar安装程序，这是一种针对中国和越南语用户的高度规避性威胁。CleverSoar活动采用先进的规避技术和分层恶意组件（如Winos4.0框架和Nidhogg rootkit），标志着一种具有严重影响的有针对性的间谍活动。

CleverSoar 安装程序的设计重点很明确：检查系统语言设置，只感染具有中文或越南语配置的设备。Rapid7 Labs 强调指出：“CleverSoar 安装程序……会验证用户界面语言的语言标识符……如果语言标识符与这些标识符不匹配，恶意软件就会终止执行。”

这种选择性目标定位和部署多个恶意软件组件的做法表明，该活动的目标是间谍活动。CleverSoar 的功能包括按键记录、数据渗透、安全绕过和隐蔽系统控制。

该活动从一个 .msi 安装程序包开始，该安装程序包显示为伪造的游戏相关软件。一旦执行，安装程序就会采用先进的反检测方法：

反虚拟机（VM）技术：CleverSoar 会检索原始 SMBIOS 固件表来检测虚拟机环境，这与树莓 Robin 恶意软件使用的技术类似。

反调试措施：安装程序使用 IsDebuggerPresent 等函数和 GetTickCount64 定时检查来逃避分析。

绕过 Windows Defender：它巧妙地操纵了 Defender 的模拟器检查，从而在未被发现的情况下继续运行

持久机制：CleverSoar安装计划任务，修改Windows注册表，关闭Windows防火墙，以保持控制。

CleverSoar的武器库包括：

Winos4.0 框架：用于远程操作的命令控制植入程序。

Nidhogg Rootkit：用于禁用安全软件并实现隐身持久性。

自定义后门：使用专有协议促进与命令控制服务器的通信。

Rapid7 的调查显示，该恶意软件使用了文件投放机制，创建了执行恶意驱动程序和二进制文件的服务。例如，Nidhogg rootkit 通过创建一个基于内核的服务来启动，在系统启动时运行，确保其持久性。

虽然归因仍不确定，但 Rapid7 实验室注意到了与 ValleyRAT 活动的相似之处，这表明它与高级威胁行动者有关。“CleverSoar 安装程序所采用的技术表明，威胁行为者拥有高级技能，对 Windows 协议和安全产品有全面的了解。”

Magento 作为一个领先的电子商务平台，再次成为复杂的网络犯罪手段的目标。来自 Sucuri 的安全分析师 Puja Srivastava 最近报告了一种恶意 JavaScript 注入行为，这种行为会危及 Magento 支持的网站。这种新型恶意软件操作隐蔽，以结账页面为目标，窃取敏感的支付信息。

该恶意软件会动态注入一个虚假的信用卡表单，或者直接劫持结账页面上的现有支付字段，这使得检测异常困难。斯里瓦斯塔瓦指出：“这种复杂的盗取程序以 Magento 结账页面为目标，通过注入虚假表单或提取实时输入字段来窃取敏感的支付数据。”这种动态激活可确保恶意脚本在非关键页面上保持休眠状态，从而避免不必要的检测。

受感染的脚本会在包含 “checkout”（结账）字样的 URL 上激活，但不包括 “cart”（购物车），这体现了攻击者的精确性。

一旦激活，脚本就会利用 Magento 的 API 窃取敏感信息，如信用卡号、客户姓名、地址和账单数据。窃取的信息经过多层加密：

使用信标技术将加密的有效载荷发送到 staticfonts.com 的远程服务器。这种合法工具经常使用的隐蔽方法使恶意软件更难被发现。

攻击者利用的域名有 dynamicopenfonts.app 和 staticfonts.com，其中两个已经在 VirusTotal 上被标记。截至最新分析，已有 8 个网站受到感染，显示了该活动的活跃性和持续性。

Srivastava 建议：“定期安全审计、监控异常活动和部署强大的 WAF 对保护您的电子商务平台至关重要。”此外，还建议企业保持警惕，监控未经授权的更改，并定期更新平台以减少漏洞。

Checkmarx 安全研究团队发现了一个长达一年的供应链攻击，其中涉及恶意 NPM 软件包 @0xengine/xmlrpc。从 2023 年 10 月的一次合法 XML-RPC 实施演变成了一次复杂的网络威胁，将加密货币挖掘与数据窃取结合在了一起。这次攻击凸显了软件供应链中持续存在的漏洞。

该软件包最初是作为 “Node.js 的纯 JavaScript XML-RPC 服务器和客户端实现 ”出现的，但在 1.3.4 版本之后发生了恶意演变。“报告指出：“这种一致的更新模式有助于保持合法维护的外观，同时掩盖恶意功能。”在其生命周期中，该软件包共收到 16 次更新，最近一次更新发布于 2024 年 10 月。

恶意代码隐藏在 validator.js 文件中，只有在满足特定条件时才会激活。恶意软件模仿合法功能的能力使其在 NPM 生态系统中逃避检测的时间异常之长。

攻击者使用了两种分发方法：

直接安装 NPM：开发人员直接下载 @0xengine/xmlrpc。

合法软件仓库中的依赖关系：GitHub 项目 “yawpp ”伪装成 WordPress 发布工具，同时暗中安装恶意软件包。

研究人员解释说：“这种策略利用了开发人员对软件包依赖关系的信任。”通过将软件包作为依赖项嵌入到一个看起来合法的项目中，攻击者在保持隐蔽性的同时扩大了其影响范围。

一旦触发，恶意软件就会发起多阶段攻击：

数据盗窃： 通过 Dropbox 和 file.io API，每隔 12 小时收集和渗透 SSH 密钥、bash 历史记录和环境变量等敏感信息。

加密货币挖掘： 攻击利用 XMRig 挖取 Monero，目标是 Linux 系统。截至 2024 年 10 月，攻击者的 Monero 钱包通过 hashvault.pro 矿池连接了 68 个活跃矿工。

该恶意软件采用了复杂的规避技术，在检测到用户活动时停止操作，并避开安全监控工具。

为了确保长期控制，该恶意软件将自己伪装成一个合法的系统服务 “Xsession.auth”，配置为在系统启动时自动启动。这种持久机制使采矿操作在重启后能够无缝恢复。每日签到机制也使攻击者能够更新配置和接收新命令。

这一活动凸显了恶意软件包和被破解的合法软件包的双重威胁。正如研究人员所警告的，“软件包的使用寿命和持续维护历史并不能保证其安全性”。开发人员必须采取强有力的安全措施。

据重庆市北碚区网信办消息，近日，北碚区网信办依据《中华人民共和国网络安全法》对属地一学校因未履行好网络安全保护义务作出行政处罚。

经查，该学校办公电脑被境外黑客组织远程控制并植入木马病毒，且未采取有效防护措施切实保障网络安全，存在较大网络数据泄露的安全风险，违反《中华人民共和国网络安全法》等互联网法律法规，北碚区网信办责令该学校全面深入整改，依法对其给予警告的行政处罚。

该学校负责人表示，严格按照网信部门的要求立即整改，全面深入排查存在的网络安全风险，加强互联网法律法规学习，建立完善相关制度规范，提升单位干部职工网络安全意识和应急处置技能，切实履行好网络安全保护义务。

IT之家获悉，下一步北碚区网信办将持续加大执法力度，严厉打击危害网络安全、数据安全、侵害公民个人信息等违法违规行为，切实维护网络安全、数据安全和广大网民的合法权益，进一步营造清朗网络空间。

美国纽约州安全监管机构近日对GEICO和Travelers两家保险公司处以1130万美元（约合8000万元人民币）罚款，原因是这两家公司的汽车保险业务中数据安全措施不力，导致超过1.2万名纽约州居民的个人信息遭到黑客窃取，并被用于提交虚假失业救济申请。

纽约州总检察长Letitia James指出，这两家公司违反了要求"实施保护消费者数据和金融机构本身的政策、程序和控制措施"的州法规。其中，GEICO被处以975万美元罚款，Travelers则被处以155万美元罚款。

据调查，GEICO于2020年11月遭遇其汽车保险报价工具的安全漏洞，导致黑客能够从其面向公众的网站窃取驾驶证号码。尽管纽约州金融服务局此前已就针对驾驶证号码的行业性网络攻击向GEICO发出警告，但该公司未能对其系统进行全面审查以防范和检测未来的网络攻击。随后，黑客又成功利用GEICO另一个面向保险代理人的报价工具漏洞。这两次攻击总共泄露了约1.16万名纽约居民的个人信息。

Travelers公司则在2021年4月遭遇类似攻击，黑客利用被盗凭证通过独立代理人使用的保险计算器生成包含驾驶证号码的明文报告，导致4000名纽约居民的数据泄露。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除