明朝万达2024年网络安全月报（8月）

本文共计4951字，阅读预计需要14分钟

近日，明朝万达安元实验室发布了2024年第八期《安全通告》。该份报告收录了2024年8月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全研究人员发现了一个未被记录的Windows后门程序，利用内置功能Background Intelligent Transfer Service（BITS）作为命令和控制（C2）机制。

Elastic Security Labs将新发现的恶意软件菌株代号为 BITSLOTH，与针对南美国家政府未指明外交部的网络攻击有关，该活动集群被追踪为REF8747。

研究人员表示，作为一个功能齐全的后门，BITSLOTH能够运行和执行命令，上传和下载文件，执行枚举和发现，并通过键盘记录和屏幕捕获收集敏感数据。据评估，该工具自 2021 年 12 月以来一直在开发中，正被威胁行为者用于数据收集目的。

Facebook用户近日成为一个复杂的电商诈骗网络的目标，该网络通过数百个假网站窃取个人敏感信息，利用品牌冒充和恶意广告手段进行诈骗。

Recorded Future的支付欺诈情报团队在2024年4月17日检测到这一活动，并因其使用的内容分发网络（CDN）oss.eriakos[.]com命名为ERIAKOS。这些欺诈网站仅通过移动设备和广告诱饵访问，目的是规避自动检测系统。该活动专门针对通过Facebook广告诱饵访问诈骗网站的移动用户，这些广告有时依靠限时折扣吸引用户点击。

这些假网站和广告主要冒充一个在线电商平台和一个电动工具制造商，并通过虚假的销售优惠吸引受害者购买各种知名品牌的产品。另一个关键的分发机制是利用Facebook上的假用户评论引诱潜在受害者。此外，搜索引擎上的假Google广告会将用户定向到一个恶意网站，该网站会交付一个托管在GitHub上的Windows可执行文件，最终投放名为DeerStealer的信息窃取器。

英国国家犯罪调查局（NCA）近日成功关闭了一个名为“Russian Coms”的诈骗平台，该平台在全球范围内造成了数千万英镑的经济损失。

此次行动得到全球执法合作伙伴和欧洲刑警组织的支持，已逮捕三名嫌疑人，并破坏了数百名犯罪分子的各种诈骗计划。据NCA发布的新闻稿称，在三年时间里，该平台共进行了超过130万次电话呼叫，涉及超过50万个独特的英国电话号码，估计有17万名英国公民成为骗局的受害者。

英国受害者向Action Fraud报告的平均财务损失超过9400英镑。诈骗分子采用多种手段，包括冒充银行说服受害者将资金转移到所谓的安全账户、以不存在的商品骗取资金、完全访问银行账户，以及虚假借口收集实体借记卡和信用卡。

一种名为NGate的新型安卓恶意软件被发现能够通过设备的近场通信（NFC）芯片窃取支付卡数据，从而使攻击者能够进行未授权支付或从ATM提取现金。

该恶意软件自2023年11月起开始活动，最初通过伪装成银行紧急安全更新的PWA和WebAPK应用诱导受害者下载安装。NGate利用开源工具NFCGate捕获并中继NFC支付卡的数据，使攻击者能够将受害者的卡模拟为虚拟卡进行支付或提现。

受害者在输入卡片PIN码时，该敏感信息也会被恶意软件收集。为了防止这种攻击，用户应禁用设备的NFC功能，或谨慎管理应用权限，仅从官方渠道安装银行应用程序。

Google宣布在其Chrome浏览器中加入应用程序绑定加密（App-Bound Encryption），以防止信息窃取恶意软件在Windows系统上获取Cookie。

Chrome安全团队的表示，尽管Windows上的数据保护API（DPAPI）可以保护静态数据免受其他用户或冷启动攻击，但无法防御能够以登录用户身份执行代码的恶意应用。应用程序绑定加密通过将应用程序的身份（如Chrome）与加密数据相结合，防止其他应用在尝试解密时访问该数据。因为应用绑定服务以系统特权运行，攻击者需要获得系统特权或向Chrome注入代码，这并非合法软件的行为。

此方法强制绑定加密密钥与机器，因此不适用于在多台机器间漫游的Chrome配置文件环境。支持漫游配置文件的组织应遵循最佳实践并配置ApplicationBoundEncryptionEnabled策略。

2024年8月12日，韩国执政党国民力量党（PPP）宣称朝鲜黑客窃取了关于韩国K2主战坦克以及“白头”和“金刚”侦察机的重要技术信息。

据当地媒体报道，K2坦克数据泄露发生在其零部件制造商的工程师跳槽至竞争公司时，这些工程师带走了设计蓝图、开发报告和过压系统的详细信息。

新雇主试图将这项技术出口到中东国家，因此泄露问题可能已超出韩国范围。关于白头和金刚侦察机，《东亚日报》报道称，生产包括这两架侦察机在内的军事设备操作和维护手册的韩国防务承包商被朝鲜黑客入侵。黑客窃取了两架侦察机的重要技术数据，包括技术细节、近期技术升级、操作能力和维护信息。

乌克兰计算机应急响应小组（CERT-UA）披露，攻击者假冒乌克兰安全局（SSU）通过恶意垃圾邮件攻击该国政府机构的系统，成功感染了超过100台电脑，安装了AnonVNC恶意软件。

这些攻击始于7月12日，攻击者利用带有链接的电子邮件，将收件人引导至一个名为Documents.zip的压缩文件，实则是下载一个包含恶意软件的Windows安装程序MSI文件。CERT-UA表示，这些攻击使得被追踪为UAC-0198的威胁组织能够秘密访问被妥协的电脑，尽管未提供恶意软件的具体功能描述。CERT-UA已确认超过100台受影响的电脑，主要集中在中央和地方政府机构。

澳大利亚著名黄金生产商Evolution Mining遭遇勒索软件攻击，导致其IT系统受到影响。

该公司已聘请外部网络安全专家进行修复，目前攻击已被完全遏制。尽管此次勒索软件攻击对IT系统造成了干扰，但公司表示这不会对运营产生实质性影响。这表明，攻击者可能未加密任何系统或未攻击生产关键的工作站，矿业运营将正常进行。澳大利亚网络安全中心已被通知此次事件。

截至目前，尚无主要勒索软件团体宣称对此次攻击负责，公司也未说明是否有数据在事件中被窃取。

网络安全研究人员发现了一种Gafgyt僵尸网络新变种，该变种通过弱SSH密码攻击机器，最终利用被攻陷实例的GPU计算能力进行加密货币挖矿。

最新的攻击链涉及暴力破解SSH服务器的弱密码，以部署下一阶段的有效载荷，促进使用“systemd-net”的加密货币挖矿攻击，但在此之前会终止已在被攻陷主机上运行的竞争性恶意软件。

它还执行一个蠕虫模块，一个基于Go的SSH扫描器名为ld-musl-x86，负责扫描互联网中安全性差的服务器并将恶意软件传播到其他系统，有效地扩大僵尸网络的规模。这包括SSH、Telnet以及与游戏服务器和AWS、Azure和Hadoop等云环境相关的凭据。

微软在最近的安全公告中强调了一个严重的TCP/IP远程代码执行漏洞，该漏洞可能影响所有启用IPv6的Windows系统。

昆仑实验室的XiaoWei发现了这一漏洞，并追踪为CVE-2024-38063。微软警告用户，攻击者可以利用这一漏洞执行任意代码，且攻击的复杂度较低。微软还指出，由于过去有类似漏洞被利用的案例，这一新发现的漏洞更有可能吸引攻击者，并可能被快速利用。因此，微软建议用户立即应用安全更新，以防止潜在的攻击。对于那些无法立即更新的用户，微软建议作为临时措施禁用IPv6，尽管这可能会影响某些Windows组件的正常工作。

卡巴斯基实验室指出一个名为“盲眼鹰”（Blind Eagle）的威胁组织，该组织长期以来在哥伦比亚、厄瓜多尔、智利、巴拿马等拉丁美洲国家进行针对性的网络攻击。

盲眼鹰也被称为APT-C-36，自2018年起活跃，其攻击对象包括政府机构、金融公司以及能源和石油天然气公司。攻击的初期阶段，该组织通过压缩的ZIP文件中的Visual Basic脚本来下载下一阶段的恶意载荷，这些载荷往往经过隐写处理，隐藏在图像托管站点、Pastebin或类似服务中。

最终，利用内存注入技术执行木马程序，绕过传统的防御机制。他们的活动高度灵活，不仅进行金融信息窃取，还用于网络间谍活动。

安全公司 AppOmni发现数千个面向外部的Oracle NetSuite电子商务站点存在泄露敏感客户信息的风险。

研究表明，NetSuite的SuiteCommerce平台存在潜在问题，这一问题源于对自定义记录类型（CRTs）的访问控制配置错误。虽然这并非NetSuite产品的安全漏洞，但客户配置不当会导致机密数据的泄露，包括注册用户的完整地址和手机号码。攻击者可以利用这种配置错误，通过使用NetSuite的记录和搜索API访问数据。

为成功进行攻击，攻击者需知道正在使用的CRTs的名称。为减轻风险，建议站点管理员收紧CRTs的访问控制，将敏感字段设置为“无权限”访问，并考虑暂时下线受影响站点。

丰田公司确认其客户数据在一起第三方数据泄露事件中被暴露。

黑客组织ZeroSevenGroup在一个黑客论坛上泄露了240GB的被盗数据。丰田回应称，虽然公司意识到此事件，但此次泄露并非系统范围问题，受影响范围有限。丰田表示已与受影响方进行接触，并将提供必要的援助，但尚未公布具体发现时间、攻击途径及受影响人数。

丰田北美公司发言人补充道，丰田北美系统并未遭到入侵，泄露数据来源于一个虚假标记为丰田的第三方实体。发言人表示，丰田北美无法透露该第三方的名称。

美国半导体制造公司Microchip Technology近日披露，8月17日检测到其信息技术系统中可能存在的可疑活动，经过调查确认存在未经授权的访问行为。

为应对此次事件，公司隔离了相关系统并关闭了一些业务操作，同时聘请外部网络安全顾问进行深入分析。此攻击已导致Microchip部分制造设施的生产能力低于正常水平，影响了订单的履行。鉴于该公司在汽车、国防和航空航天领域的重要性，此次事件尤其令人担忧。

目前尚未明确此次攻击的具体原因及破坏范围，也未确认是否涉及勒索软件。Microchip正在努力尽快恢复正常运营。

微软近日修复了一个影响Copilot Studio的关键安全漏洞（CVE-2024-38206），该漏洞由安全研究人员Evan Grant发现，评分为8.5分（CVSS）。

漏洞源于服务端请求伪造（SSRF）攻击，攻击者可利用此漏洞绕过SSRF保护机制，泄露敏感信息。通过该漏洞，攻击者能够访问微软内部基础设施，包括实例元数据服务（IMDS）和内部Cosmos DB实例，从而获取托管身份访问令牌，进而可能对内部资源进行未授权访问。

微软已修补此漏洞，并表示无需客户采取额外行动。

一、漏洞概述

近日Apache OFBiz官方发布安全公告，披露在Apache OFBiz<= 18.12.14版本中，由于存在不正确的授权缺陷，未经身份验证的攻击者利用该漏洞可在目标系统上执行任意代码，可能造成敏感信息泄露、服务中断或恶意代码执行。目前漏洞POC已公开，风险较高。

二、影响范围

Apache OFBiz <= 18.12.14

三、修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：
Apache OFBiz >= 18.12.15

下载链接：
https://ofbiz.apache.org/download.html

参考链接:
https://lists.apache.org/thread/olxxjk6b13sl3wh9cmp0k2dscvp24l7w
https://ofbiz.apache.org/security.html

一、漏洞概述

SAP Document Builder是德国思爱普（SAP）公司的一个内容驱动的跨应用程序解决方案。SAP Document Builder存在授权问题漏洞，该漏洞源于不会对某些模块执行必要的授权检查。攻击者可利用该漏洞导致未授权操作。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。漏洞危害为中。

二、影响范围

SAP SAP Document Builder

三、修复建议

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本。
下载链接：
https://me.sap.com/notes/3477423

参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2024-39591

一、漏洞概述

Google Chrome 127.0.6533.88之前版本存在代码执行漏洞，该漏洞源于Dawn中的未初始化使用，远程攻击者可利用该漏洞在系统上执行任意代码。风险较高。

二、影响范围

Google Chrome <127.0.6533.88

三、修复建议

立即更新浏览器：访问Google Chrome的官方网站或使用浏览器的自动更新功能，将浏览器版本升级至127.0.6533.88或更高版本。更新后的版本已经修复了该漏洞，可以有效防止攻击者利用该漏洞执行任意代码。

下载链接：
https://chromereleases.googleblog.com/2024/07/stable-channel-update-for-desktop_30.html

参考链接:
https://cxsecurity.com/cveshow/CVE-2024-6990/