安天网络行为检测能力升级通告（20241015）

作者：安天科技发布时间：2024-10-16

安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

一、网络流量威胁趋势

近期，研究人员警告称，网络犯罪分子正在通过使用ASCII和Unicode字符生成难以检测的QR码，提升其网络钓鱼攻击的隐蔽性。攻击者利用“全块”字符组合Cascading Style Sheets（CSS），构建出标准的49x49像素矩阵，绕过光学字符识别（OCR）工具的检测。这些伪造的QR码往往引导用户访问恶意网站，钓鱼邮件数量在2023年第四季度急剧上升，约每20个邮箱中有一个成为目标。此外，犯罪分子还采用Blob URI技术，在用户点击恶意链接后生成动态URL，从而绕过传统URL过滤器。这一创新手段使得网络钓鱼攻击更具威胁性，尤其是在QR码的使用日益广泛的情况下。

此外，研究人员于2024年10月警告用户，需立即修补其Expedition解决方案中的多个安全漏洞，这些漏洞可被攻击者利用，劫持PAN-OS防火墙。Expedition用于帮助迁移其他供应商的配置文件，这些漏洞可暴露敏感信息，如用户凭证，帮助攻击者接管防火墙管理员账户。漏洞包括命令注入、跨站脚本攻击、明文存储敏感信息、缺失认证和SQL注入等（CVE-2024-9463至CVE-2024-9467）。研究人员发布了一份概念验证（PoC）代码，展示如何利用这些漏洞进行未授权命令执行。Palo Alto建议尽快更新至Expedition 1.2.96版本并轮换所有相关凭证。

【本期活跃的安全漏洞信息】

Mozilla Firefox UAF代码执行漏洞（CVE-2024-9680）

RSSHub 输入验证错误漏洞（CVE-2024-47179）

Microsoft Office远程代码执行漏洞（CVE-2024-43616）

LocalAI 代码注入漏洞（CVE-2024-6983）

Lenovo XCC权限提升漏洞（CVE-2024-38508）

【值得关注的安全事件】

(1) 网络攻击重创伊朗政府及核设施致信息被窃取

随着中东局势升级，伊朗遭遇大规模网络攻击，重创政府部门并波及核设施。此次攻击发生在10月1日伊朗发射导弹后，以色列承诺作出回应的背景下。伊朗前网络空间最高委员会秘书阿布哈桑·菲鲁扎巴迪对外证实，几乎所有政府部门，包括司法、立法和行政机关，都受到了网络攻击，敏感信息被窃取。此外，伊朗的核设施、燃料分配、交通运输、港口等多个关键基础设施也成为攻击目标。这次攻击被认为是中东地区冲突加剧的结果。同时，伊朗民航组织在黎巴嫩针对真主党成员的破坏性袭击后，禁止在航班上携带寻呼机和对讲机，以防止类似事件再次发生。

(2) APT34利用Windows漏洞攻击海湾地区关键基础设施

据研究人员报道，伊朗国家支持的黑客组织APT34（又名OilRig）近期加大了针对海湾地区政府和关键基础设施的攻击活动。该组织在攻击中使用了新型后门软件，针对微软Exchange服务器窃取凭证，并利用Windows漏洞CVE-2024-30088提升权限。CVE-2024-30088漏洞允许攻击者获得系统级控制权，尽管微软已修复该漏洞，但尚未标记为被广泛利用。APT34还通过密码过滤DLL拦截明文凭证，部署远程监控工具，并利用合法的电子邮件流量进行数据外泄。此外，攻击者使用名为“StealHook”的新后门软件，通过政府Exchange服务器转发被盗凭证，以掩盖其恶意行为。研究人员指出，该组织与另一伊朗黑客组织FOX Kitten存在关联，可能引入勒索软件攻击，进一步增加威胁。