安全简讯（2024.12.12）

启明星辰安全简讯 2024-12-12 07:56

1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击

12月10日，黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞，侵入全球数千家公司网络，包括Target、沃尔玛等知名企业，进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中，允许不受限制的文件上传和下载，导致远程代码执行。尽管Cleo之前已修复了一个相关漏洞CVE-2024-50623，但威胁行为者仍绕过了修复继续攻击。网络安全专家指出，这些攻击与新的Termite勒索软件团伙有关。Huntress安全研究人员首次发现了该漏洞的主动攻击，并警告用户采取紧急行动，包括将系统移到防火墙后面，限制外部访问，并检查可疑文件。Cleo已确认漏洞存在，并正在开发安全更新，同时提供了缓解措施建议。据估计，美国有绝大多数易受攻击的服务器，全球范围内已有至少十个组织受到影响。

https://www.bleepingcomputer.com/news/security/new-cleo-zero-day-rce-flaw-exploited-in-data-theft-attacks/

2. AppLite Banker恶意软件以银行应用程序为目标发起网络钓鱼活动

12月10日，一场复杂的网络钓鱼活动正在传播名为AppLite Banker的新恶意软件变种，该恶意软件被识别为Antidot银行木马的更新版本，主要针对Android设备。攻击者通过冒充知名公司招聘人员或人力资源代表，发送网络钓鱼电子邮件引导用户下载欺诈性CRM应用程序，进而安装AppLite恶意软件。该恶意软件能执行凭证盗窃、滥用无障碍服务、远程控制、欺骗性覆盖等多种恶意活动，并针对172个应用程序，包括金融平台和加密钱包。为绕过检测，AppLite使用ZIP文件操作和嵌入HTML覆盖层混淆安全工具。该恶意软件攻击范围广泛，涉及多种语言用户，并能窃取锁屏凭证自动解锁屏幕，实现完全控制受感染设备。安全研究人员强调主动防御重要性，建议实施强大的移动设备管理政策并定期更新设备和安全软件以防范此类威胁。

https://www.infosecurity-magazine.com/news/applite-malware-targets-banking/

3. Microsoft 365中断导致 Office Web应用程序和管理中心瘫痪

12月10日，微软正在调查一起影响Office Web应用和Microsoft 365管理中心的大面积且持续的Microsoft 365中断事件。用户报告在连接Outlook、OneDrive和其他Office 365应用程序和服务时出现问题，并收到服务中断的消息。微软指出，问题可能与身份验证基础设施中的令牌生成有关，并正在审查最近的变化以确定根本原因。作为解决方法，微软建议受影响的用户使用桌面应用程序访问Microsoft 365应用程序和文档。此前，Microsoft 365也曾发生过全球中断事件，包括影响多项服务和功能的情况。而在7月，一次大规模中断则是由分布式拒绝服务（DDoS）攻击引起的。目前，微软正在测试一个潜在的修复程序，并已部署了一个修复程序以缓解中断问题。微软表示，此次中断是由于最近的服务变更导致识别令牌到期时间出现问题，从而导致身份验证请求失败。经过一段时间的监控服务遥测后，该公司确认该问题现已解决。

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-outage-takes-down-office-web-apps-admin-center/

4. Meta旗下四大社交平台遭全球范围攻击致服务中断

12月11日，全球范围内的Facebook、Instagram、Threads和WhatsApp遭受了严重攻击，导致服务中断，不同地区的用户受到了不同程度的影响。据DownDetector称，中断发生在美国东部时间下午12:40左右，许多用户无法通过网站和应用程序访问这些服务，也无法通过WhatsApp发送消息。当用户尝试访问Facebook时，会收到错误提示。虽然Meta的业务平台状态页面没有显示大规模服务中断，但Meta承认了中断的发生，并表示正在努力恢复服务。部分地区的服务在美国东部时间下午1:20左右开始恢复，但仍有用户报告无法访问平台。此前，Meta曾在3月份和2021年遭遇过类似的服务中断。截至美国东部时间12月11日下午7:21，Meta表示中断问题已基本解决，并向受影响的用户表示歉意。

https://www.bleepingcomputer.com/news/technology/facebook-instagram-whatsapp-hit-by-massive-worldwide-outage/

5. 国际行动“Operation PowerOFF”重拳打击DDoS出租服务

12月11日，国际行动“Operation PowerOFF”针对网络犯罪中的分布式拒绝服务（DDoS）攻击取得了显著成果。来自15个国家的执法机构合作，成功下线了27个DDoS出租服务平台，逮捕了三名管理员，并确定了这些平台的300名客户。这些平台利用僵尸网络对在线目标发起攻击，可能导致服务中断和业务损失，特别是在网上购物高峰期。欧洲刑警组织协调了此次行动，涉及多个国家，针对参与此类犯罪的各个层面的人员。其中，荷兰警方逮捕了四名涉嫌实施DDoS攻击的嫌疑人，并确定了约200名涉嫌使用被查获DDoS服务的荷兰人。此次行动的成功得益于欧洲刑警组织的分析支持、加密追踪信息以及联合网络犯罪行动特别工作组专家的协助。此前，“Operation PowerOFF”已对DDoS租赁领域进行了多次打击，包括查封大型平台Dstat.cc和入侵并关闭DigitalStress服务。

https://www.bleepingcomputer.com/news/security/operation-poweroff-shuts-down-27-ddos-for-hire-platforms/

6. Krispy Kreme遭网络攻击，影响在线订购和运营

12月11日，美国甜甜圈连锁店Krispy Kreme在2024年11月遭受了网络攻击，导致其在美国的在线订购系统中断，影响了部分业务运营。该公司拥有1,521家门店和众多员工，并与麦当劳等合作伙伴有积极关系。数字订单占公司销售额的15.5%，对公司业绩有重要影响。在攻击发生后，Krispy Kreme立即寻求顶尖网络安全专家的帮助，并采取措施控制和补救事件，但调查仍在进行中，具体影响尚待评估。此次攻击对公司的业务产生了重大影响，并将持续到恢复完成为止。同时，公司预计数字销售收入的损失、网络安全专家和顾问的费用以及系统恢复工作相关的成本将产生重大的财务影响。市场对此消息做出了负面反应，Krispy Kreme的股价下跌了2%。目前尚不清楚这是一次勒索软件攻击还是其他类型的攻击，也没有勒索软件组织对此次攻击负责。

https://www.bleepingcomputer.com/news/security/krispy-kreme-cyberattack-impacts-online-orders-and-operations/