安天网络行为检测能力升级通告（20240818）

作者：安天科技发布时间：2024-09-12

安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

一、网络流量威胁趋势

近期，研究人员在微软的Azure Health Bot服务中发现了两个安全漏洞，这些漏洞如果被利用，可能允许恶意行为者在客户环境中实现横向移动并访问敏感的患者数据。这些关键问题现已被微软修复。研究人员在2024年6月和7月将其发现报告给微软，随后微软开始在所有地区推出修复程序。目前没有证据表明该问题在野外被利用。研究人员表示：“这些漏洞引发了对聊天机器人如何被利用来泄露敏感信息的担忧，特别是这些漏洞涉及聊天机器人服务底层架构的缺陷，强调了在AI聊天机器人时代传统Web应用和云安全的重要性”。

恶意软件攻击活动近期也愈加活跃，乌克兰计算机应急响应小组（CERT-UA）披露，攻击者假冒乌克兰安全局（SSU）通过恶意垃圾邮件攻击该国政府机构的系统，成功感染了超过100台电脑，安装了AnonVNC恶意软件。这些攻击始于7月12日，攻击者利用带有链接的电子邮件，将收件人引导至一个名为Documents.zip的压缩文件，实则是下载一个包含恶意软件的Windows安装程序MSI文件。CERT-UA表示，这些攻击使得被追踪为UAC-0198的威胁组织能够秘密访问被妥协的电脑，尽管未提供恶意软件的具体功能描述。CERT-UA已确认超过100台受影响的电脑，主要集中在中央和地方政府机构。

【本期活跃的安全漏洞信息】

Microsoft Azure 代码问题漏洞（CVE-2024-38109）

Microsoft Windows Update Stack 访问控制错误漏洞（CVE-2024-38163）

PostgreSQL 函数执行漏洞(CVE-2024-7348)

Apache IoTDB 代码问题漏洞（CVE-2024-36448）

Mozilla多款产品内存损坏漏洞（CVE-2024-7519）

【值得关注的安全事件】

(1) SAP严重漏洞可使远程攻击者绕过身份验证

SAP发布了其2024年8月的安全补丁包，修复了17个漏洞，其中包括一个关键的身份验证绕过漏洞，该漏洞可能允许远程攻击者完全控制系统。该漏洞被追踪为CVE-2024-41730，CVSS v3.1评分为9.8，是一个影响SAP BusinessObjects Business Intelligence Platform（版本430和440）的“缺失身份验证检查”漏洞，在特定条件下可被利用。根据SAP的描述，如果在企业身份验证中启用了单点登录（SSO），未授权用户可以通过REST端点获取登录令牌，从而完全控制系统，对机密性、完整性和可用性造成重大影响。

(2) FBI关闭了攻击数十家公司勒索软件团伙的服务器

FBI克利夫兰分局宣布成功破获了由网名“Brain”领导的勒索软件组织“Radar/Dispossessor”，并拆除了三台美国服务器、三台英国服务器、十八台德国服务器、八个美国域名和一个德国域名。自2023年8月成立以来，Radar/Dispossessor迅速发展成为一个国际性影响力的勒索软件组织，专门针对中小型企业及组织，涉及生产、开发、教育、医疗、金融服务和运输等多个行业。调查发现，该组织在美国及阿根廷、澳大利亚、比利时、巴西、洪都拉斯、印度、加拿大、克罗地亚、秘鲁、波兰、英国、阿联酋和德国等国家攻击了43家公司。FBI在调查期间识别出了多个与Brain及其团队相关的网站。尽管目前受影响的企业和组织总数尚未确定，FBI鼓励任何有关于Brain或Radar Ransomware的信息，或其业务或组织曾成为勒索软件目标或受害者的人，联系互联网犯罪投诉中心或拨打1-800-CALL-FBI，身份可以保持匿名。