1、Lazarus黑客组织利用macOS扩展属性隐藏恶意代码

https://www.group-ib.com/blog/stealthy-attributes-of-apt-lazarus/

Lazarus黑客组织近日开始尝试利用macOS文件的扩展属性传播一种名为RustyAttr的新型木马。这种攻击手段通过将恶意代码隐藏在自定义文件元数据中，并结合诱饵PDF文档来规避检测，展现了高度的隐蔽性。这一技术与2020年Bundlore广告软件利用资源分支隐藏有效负载的手法相似。RustyAttr木马通过利用macOS的扩展属性（EA）来隐藏恶意脚本，恶意代码存储在名为“test”的EA中。恶意应用使用Tauri框架构建，结合了网页前端（HTML、JavaScript）与Rust后端。当应用运行时，它会加载网页并从扩展属性中提取并执行存储的shell脚本。此外，攻击者还通过pCloud共享的PDF文件使目标放松警惕，这些文件内容与加密货币投资相关，符合Lazarus组织的攻击目标。

2、施耐德电气披露其Modicon控制器存在严重安全漏洞

https://www.govinfosecurity.com/schneider-electric-warns-critical-modicon-flaws-a-26804

施耐德电气（Schneider Electric）近日披露了其Modicon M340、Momentum和MC80系列可编程自动化控制器的多个关键安全漏洞，可能导致未经授权的访问、数据篡改及系统中断等风险。这些漏洞影响了广泛应用于制造业、能源及关键基础设施等行业的设备，可能被攻击者利用进行拒绝服务攻击或执行任意代码。漏洞具体包括CVE-2024-8936、CVE-2024-8937和CVE-2024-8938，均涉及到Modicon控制器的输入验证不当和内存缓冲区限制不足，黑客可通过中间人攻击（MITM）篡改Modbus协议的通信，进而执行恶意代码。施耐德电气已发布安全通告，提醒用户尽快应用最新的固件版本，并实施网络隔离、设置防火墙及访问控制，以降低安全风险。此外，施耐德还建议Momentum和MC80系列用户采用VPN连接并遵循安全手册指导，以减少潜在的威胁。

3、B2B数据聚合公司DemandScience泄露超1亿人数据

https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/

自2024年2月起，1.22亿条商业联系信息开始在网络上流传，现已确认这些数据来自B2B数据聚合公司DemandScience（前身为Pure Incubation）。这些信息涉及个人的姓名、地址、电子邮件、电话号码、职位、社交媒体链接等内容，主要收集自公共来源及第三方，供数字营销人员和广告商用来生成营销线索。2024年2月，名为‘KryptonZambie’的黑客在BreachForums出售了1.328亿条记录，声称这些数据被盗自Pure Incubation的一个暴露系统。当时，BleepingComputer联系了DemandScience，询问是否发生数据泄露，DemandScience回应称并未发现任何安全事件。然而，直到2024年8月15日，KryptonZambie将这些数据以极低的价格（约几美元）泄露，最终导致数据公开。

4、谷歌为Android推出一项新的人工智能防诈骗功能

https://security.googleblog.com/2024/11/new-real-time-protections-on-Android.html

谷歌近期为其Pixel设备推出了两项新型实时保护功能，旨在提升Android用户的安全性。首先，谷歌引入了AI驱动的诈骗电话检测功能，该功能通过分析电话通话中的对话模式，实时识别潜在的诈骗行为。当系统检测到类似银行欺诈等典型诈骗模式时，用户将收到警告，并可选择是否终止通话。该功能完全在设备内处理，确保用户隐私不外泄，并且默认处于关闭状态，用户可根据需要启用。其次，谷歌还增强了Google Play Protect的功能，推出了实时威胁检测系统。当系统发现恶意应用时，用户会收到即时警告，能够及时采取措施保护设备安全。这个新的“实时威胁检测”功能会分析应用行为和敏感权限的使用，帮助识别潜藏的恶意应用。这些保护措施最初将在Pixel 6及更新型号的设备上推出，未来也将扩展到其他Android设备，进一步增强安卓系统的安全防护。

5、攻击者利用盗版内容传播Lumma Stealer窃密木马

https://www.bitdefender.com/en-us/blog/hotforsecurity/torrents-pirated-tv-shows-lumma-stealer

网络犯罪分子正通过盗版影视内容传播恶意软件，利用用户对热门未播出剧集和电影的渴望进行攻击。Bitdefender研究发现，攻击者在种子网站上传伪装为未播出影视内容的恶意种子文件，以吸引不设防的用户。这些种子文件通常以真实文件大小和命名规则伪装，用户下载后解压发现包含一种名为Lumma Stealer的恶意软件。这种恶意软件作为“恶意软件即服务”（MaaS）产品销售在暗网，即使是技术水平不高的攻击者也能轻松部署。Lumma Stealer主要窃取Windows设备中存储的敏感数据，包括浏览器的用户名、密码、加密货币钱包信息、信用卡信息和会话Cookie。此前，Lumma Stealer已被用于假冒CAPTCHA提示和钓鱼邮件附件等攻击场景。而通过盗版影视种子传播，则利用了用户对下载影视内容的戒备心较低这一心理弱点。即便用户避开了显眼的可执行文件如SCR格式，攻击者仍会不断调整策略，寻找新的攻击方式。

6、微软因邮件传输问题撤回Exchange安全更新

https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-exchange-security-updates-over-mail-delivery-issues/

微软近日撤回了2024年11月发布的Exchange Server安全更新，原因是该更新在使用自定义邮件流规则的服务器上引发了邮件传输问题。据管理员反馈，在安装更新后，邮件流会定期停止，严重影响邮件的正常发送与接收。此次问题主要影响使用邮件流规则或数据丢失保护（DLP）规则的客户。邮件流规则用于在邮件传输过程中筛选和重定向邮件，而DLP规则则防止敏感信息意外泄露。微软表示，正在调查并开发永久解决方案，将在修复完成后重新发布更新。同时，已经暂停通过Windows和Microsoft Update分发的11月更新。微软建议受影响的管理员卸载相关更新以恢复正常的邮件传输功能。而对于未使用邮件流或DLP规则且未遇问题的客户，可以继续使用现有的Exchange服务器版本。

7、CISA警告Palo Alto Expedition的两个漏洞已被攻击者利用

https://www.securityweek.com/cisa-warns-of-two-more-palo-alto-expedition-flaws-exploited-in-attacks/

美国网络安全与基础设施安全局（CISA）于11月14日警告，Palo Alto Networks Expedition工具的两个关键漏洞（CVE-2024-9463和CVE-2024-9465）正被在野利用。这些漏洞是10月初修复的，但近期被发现遭到攻击者的恶意利用。CVE-2024-9463是一个操作系统命令注入漏洞，攻击者无需认证即可以root权限运行任意操作系统命令，导致明文凭证、设备配置和API密钥等敏感信息泄露。CVE-2024-9465则为SQL注入漏洞，允许未经认证的攻击者访问Expedition数据库中的敏感信息，并创建或读取系统上的任意文件。Expedition是一款帮助用户从第三方厂商（如Check Point或Cisco）迁移配置至Palo Alto Networks产品的工具，广泛用于企业环境中。CISA已将上述漏洞加入其“已知被利用漏洞目录”（KEV），并要求政府机构采取紧急措施以防止潜在利用。

8、NSO Group利用WhatsApp漏洞植入间谍软件

https://securityaffairs.com/171047/security/nso-group-used-whatsapp-exploits-even-after-meta-owned-company-sued-it.html

以色列监控公司NSO Group被曝利用WhatsApp漏洞开发并分发间谍软件，尽管Meta（原Facebook）旗下的即时通讯平台已经对其提起诉讼。据法庭文件显示，NSO承认其研发并销售了包括“Eden”在内的多种“零点击”攻击向量，这些工具通过逆向工程WhatsApp代码并利用专门设计的服务器发送恶意消息，从而秘密植入“Pegasus”间谍软件。此类攻击共涉及1400名目标用户，尽管WhatsApp在2019年5月修复了关键漏洞CVE-2019-3568，但NSO仍继续研发新的攻击向量“Erised”并将其提供给客户。Meta声称NSO的行为违反了多项法律，包括《计算机欺诈与滥用法案》（CFAA）和加州数据访问与欺诈法案（CDAFA），并导致WhatsApp遭受实质性损害。

9、GitHub开源项目遭恶意代码注入攻击

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/

近日，开源代码托管平台GitHub上多个项目遭到恶意提交和拉取请求（PR）攻击，试图植入后门代码，其中包括AI和机器学习初创公司Exo Labs的项目。此次攻击引发了社区对攻击者真实意图的广泛关注。Exo Labs联合创始人Alex Cheema警告称，该公司的GitHub库收到了一份看似无害的拉取请求，标题为“clarify mlx requirement for deepseek models”。但该请求试图在代码文件中插入经过Unicode转换的数字序列。解码后，这些数字还原为一个潜在的后门代码段，指向一个外部URL。如果代码被合并，用户将可能在其系统上执行由该URL远程提供的恶意代码。幸运的是，该拉取请求未被批准。有趣的是，相关URL始终返回404错误，表明从未提供任何实际内容。此外，提交代码的GitHub用户“evildojo666”账户已被删除，而该账户及关联域名的所有者、德克萨斯州安全研究员Mike Bell强烈否认与此事有关。他表示自己可能遭到了冒名顶替，这次攻击或许是为了抹黑其名誉。

10、Hive0145黑客组织利用钓鱼邮件传播Strela Stealer

https://securityintelligence.com/x-force/strela-stealer-todays-invoice-tomorrows-phish/

2024年11月，IBM X-Force披露，名为Hive0145的网络犯罪组织持续在欧洲发动网络钓鱼攻击，将Strela Stealer恶意软件传播至西班牙、德国和乌克兰等国家。攻击者使用从前期窃取的电子邮件凭证发送伪装为真实发票通知的钓鱼邮件，引诱受害者下载并执行带有恶意附件的文件。Strela Stealer专注于窃取存储在Microsoft Outlook和Mozilla Thunderbird中的用户凭证，进而可能导致商业电子邮件泄露（BEC）。自2022年底以来，Hive0145逐步演变为一个初始访问代理（IAB），通过持续优化攻击链提高感染效率。数据显示，自2024年7月起，该组织开始利用盗取的电子邮件加速传播恶意软件，并从10月中旬起每周开展攻击活动。到11月，Hive0145已针对乌克兰展开新一轮的钓鱼攻击。分析表明，该组织可能是Strela Stealer的唯一运营者，其频繁的攻击活动正对欧洲潜在受害者构成严重威胁。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。