点击蓝字·关注我们 / aqniu

新闻速览

•第十八届全国大学生信息安全竞赛（创新实践能力赛）初赛举办

•AI助手Kimi突发大面积崩溃，官方回应

•美国比特币ATM 运营商Byte Federal遭遇网络攻击，5.8万客户信息或泄露

•新型Linux rootkit恶意软件Pumakit来袭：多组件协作增强隐匿能力

•三季度Remcos RAT攻击井喷，两大变种隐匿现身

•交互式shell 赋能，Zloader新变种成为勒索软件“帮凶”

•超30万Prometheus实例暴露，大规模DoS与RCE攻击或一触即发

•以模块化为特性，新型IOCONTROL恶意软件威胁关键基础设施安全

•CISA 就Cleo等文件传输软件漏洞发布安全提醒，已遭勒索软件实际利用

•Splunk、Atlassian 联手修复多个产品漏洞

热点观察

第十八届全国大学生信息安全竞赛（创新实践能力赛）初赛举办

12月15日，由中国信息安全测评中心和教育部高等学校网络空间安全专业教学指导委员会联合主办的第十八届全国大学生信息安全竞赛（创新实践能力赛）暨第二届“长城杯”铁人三项赛（防护赛）初赛，五大赛区在线上同步开展。

本届大赛以“智能防护，开启数字安全新时代”为主题，面向高等院校全日制在校学生开展，旨在通过竞赛形式以赛促学、以赛促教、以赛促用，提升网络空间安全学科教育质量和效率，促进网络安全教育、技术、产业的加速融合，推动人才培养和产学研用生态发展。

本届大赛共吸引来自国内865所高校、4240支队伍的14145名学生参赛，涵盖全国33个省、自治区和直辖市，以及香港和澳门特别行政区。来自中山大学、北京邮电大学、哈尔滨工业大学等高校共计500支战队将晋级半决赛。

http://www.ciscn.cn

http://ccb.itsec.gov.cn/

AI助手Kimi突发大面积崩溃，官方回应

12月14日，许多用户反映在尝试使用Kimi时遇到了“网络连接错误”等问题，即使给予了全部权限依然无法解决问题。有些用户表示起初还能短暂恢复，但很快再次陷入无法使用的状态。

据了解，此次崩溃涉及多个时间段，在用户使用高峰期时影响更为严重。Kimi 的用户群体广泛，涵盖了需要处理学术论文的学生和研究人员、分析法律问题的专业人士和日常使用的普通用户等。这些用户在工作、学习和生活中对 Kimi 形成了一定程度的依赖，崩溃事件给他们带来了诸多不便。

出现大规模使用故障后，Kimi方面很快给出了回应，坚称自身系统并未出现所谓的“崩溃”状况，可能只是部分网络节点出现临时性波动，影响了部分用户的连接；整体的运行框架依然稳定。然而，这样的回应与大量用户仍旧在多个时间段持续遇到无法正常使用等问题的现实情况，形成了鲜明的对比。

公开资料显示，Kimi是月之暗面（Moonshot AI）于2023年10月推出的一款智能助手，是全球首个支持输入20万汉字的智能助手产品，目前已启动200万字无损上下文内测。

https://mp.weixin.qq.com/s/p-i68djUq_B-J1s6OdCq6A

网络攻击

美国比特币ATM 运营商Byte Federal遭遇网络攻击，5.8万客户信息或泄露

美国比特币 ATM 运营商Byte Federal日前发生数据泄露事件，约 5.8万名客户受影响。攻击者利用GitLab漏洞未经授权访问了服务器。

Byte Federal是一家专注于加密货币服务的公司，在美国各地运营着超1200台比特币 ATM 机，用户可通过这些机器买卖比特币，以及以太坊、狗狗币、USDC 和 DAI 等其他加密货币。事发后，Byte Federal披露了此次数据泄露情况，并迅速做出应对：逐一通知受影响客户；关闭平台、阻止攻击者进一步侵入，并保护好已被入侵的服务器。其他应急措施还包括强化安全防护、重置客户账户、更新内部密码及网络密钥，同时借助外部网络安全团队展开调查。

据介绍，此次潜在泄露的客户个人信息包含姓名、出生日期、地址、电话号码、电子邮箱、政府颁发的身份证件号、社保号码、交易记录以及用户照片。不过，目前公司尚无证据表明这些客户信息已实际被泄露或遭滥用，但仍采取了预防措施保障数据安全，且未透露攻击者利用的 GitLab 具体漏洞详情。

https://thehackernews.com/2024/12/wordpress-hunk-companion-plugin-flaw.html

新型Linux rootkit恶意软件Pumakit来袭：多组件协作增强隐匿能力

近日，一款名为Pumakit的新型 Linux rootkit恶意软件现身网络，凭借隐秘手段与先进的权限提升技术，可能悄然隐匿于各类系统之中。

Pumakit 是一套由多个组件构成的恶意软件，涵盖了投递器、驻留内存可执行文件、内核模块 rootkit 以及共享对象（SO）用户态 rootkit。Elastic Security 于 2024 年 9 月 4 日在 VirusTotal 上一个可疑的二进制文件（“cron”）上传中发现了它，不过目前尚不清楚使用者及攻击目标。

Pumakit 采用多阶段感染流程，起始阶段是名为“cron”的投递器，它能完全在内存中执行嵌入的有效载荷（“/memfd:tgt”和“/memfd:wpn”）。其中，“/memfd:wpn”载荷在子进程中执行，会进行环境检查与内核镜像操控，最终将 LKM rootkit 模块（“puma.ko”）植入系统内核。

嵌入在 LKM rootkit 中的是 Kitsune SO（“lib64/libs.so”），作为用户态 rootkit，它借助“LD_PRELOAD”注入进程，在用户层面拦截系统调用。该 rootkit 可躲过内核日志、系统工具及杀毒软件的监测，隐藏目录中的特定文件以及进程列表中的对象。即便挂钩被中断，它也能重新初始化，确保恶意更改不被还原，模块无法卸载。

https://www.bleepingcomputer.com/news/security/new-stealthy-pumakit-linux-rootkit-malware-spotted-in-the-wild/

三季度Remcos RAT攻击井喷，两大变种隐匿现身

研究数据显示，2024年第三季度，涉及 Remcos 远程访问木马（RAT）的网络攻击急剧增多。这款恶意软件通过钓鱼邮件及恶意附件进行传播，能让攻击者远程操控受害机器，窃取数据，展开间谍活动。

迈克菲实验室研究人员剖析出 Remcos RAT 的两个不同变种，各有独特的投递及执行方式：

• 第一种变种利用高度混淆的 PowerShell 脚本，由 VBS 文件触发。该脚本从命令与控制（C2）服务器下载文件，并向合法的微软可执行文件 RegAsm.exe 注入恶意代码。它采用多层混淆手段，通过模仿合法系统路径及目录，躲避检测；

• 第二种变种借含恶意微软 Office Open XML附件的垃圾邮件扩散，这些文件利用 CVE-2017-11882远程代码执行漏洞。一旦执行，内嵌脚本会下载更多恶意载荷，最终部署 Remcos RAT。

这两个变种具备诸多共性，极具隐匿性。它们将数据以Base64格式编码，使用反向 URL，不在磁盘留痕，有效绕过传统检测系统，还把最终载荷注入合法进程，避开行为检测系统。为确保持久驻留，变种依靠修改注册表及设置启动文件夹项，即便系统重启也能存续。

https://www.infosecurity-magazine.com/news/remcos-rat-malware-evolves-new/

交互式 shell 赋能，Zloader 新变种成为勒索软件“帮凶”

近日，研究人员发现恶意软件加载器 Zloader（又名 DELoader、Terdot 或 Silent Night）的新变种，其攻击能力更趋先进。该变种集成了自定义 DNS 隧道用于命令与控制通信，还增设了交互式 shell，可支持任意二进制文件执行、数据窃取、进程终止等十多项操作。

Zscaler ThreatLabz 的报告显示，新发现的 Zloader 变种除利用域名生成算法、进行环境检查以防在其他系统执行外，还借助 GhostSocks 有效载荷，作为更新攻击链一部分进行传播。

研究人员分析说，Zloader 的分发方式及全新 DNS 隧道通信渠道表明，相关团伙愈发注重躲避检测，且持续增添新特性与功能，以便更有效地充当勒索软件的初始入侵中介。此前有报道称，Zloader 在 Black Basta 勒索软件攻击活动中被愈发频繁地利用，此次新变种出现，无疑让网络安全形势雪上加霜。

https://www.scworld.com/brief/more-advanced-zloader-malware-variant-emerges

超30万Prometheus实例暴露，大规模DoS与RCE攻击或一触即发

网络安全研究人员近日发出警示，超30万台搭载 Prometheus 监控与警报工具包的服务器面临信息泄露风险，还易遭受拒绝服务（DoS）及远程代码执行（RCE）攻击。

Aqua 安全公司的最新报告指出，Prometheus 服务器或采集器常缺乏恰当认证，致使攻击者能轻易获取诸如凭证及 API 密钥等敏感信息。用于测定堆内存使用量、CPU 使用率等的“/debug/pprof”端点若暴露，会成为 DoS 攻击渠道，使服务器瘫痪无法运行。

报告估算，多达 29.6万个 Prometheus Node Exporter 实例以及 4.03万台 Prometheus 服务器可通过互联网公开访问，构成了庞大的攻击面，让数据与服务岌岌可危。研究人员指出，未经验证的 Prometheus 服务器能被直接查询内部数据，可能暴露机密信息，攻击者借此可在各类组织中初步立足。

此外，研究发现“/metrics”端点不仅会暴露内部 API 端点，还会泄露子域名、Docker 注册表及镜像相关数据，这些对于攻击者开展侦察、企图扩大网络攻击范围而言，全是极具价值的信息。而且，对手可同时向“/debug/pprof/heap”等端点发送多个请求，触发 CPU 和内存密集型堆分析任务，让服务器不堪重负进而崩溃。

https://thehackernews.com/2024/12/296000-prometheus-instances-exposed.html

以模块化为特性，新型 IOCONTROL 恶意软件威胁关键基础设施安全

近日，网络威胁行为者正利用一款名为 IOCONTROL 的新型恶意软件，攻击以色列和美国关键基础设施所使用的物联网（IoT）设备，以及运营技术/监控与数据采集（OT/SCADA）系统。

被攻击的目标设备涵盖路由器、可编程逻辑控制器（PLC）、人机界面（HMI）、网络摄像头、防火墙以及燃油管理系统等，该恶意软件的模块化特性使其具备攻击多种不同厂商设备的能力。

Claroty 的 Team82 研究人员发现并采样 IOCONTROL 进行分析后报告称，这是一款国家级网络武器，能对关键基础设施造成严重破坏。据悉，这款工具与黑客组织 CyberAv3ngers 有关，该组织过去就热衷于攻击工业系统OpenAI 近期还指出，该威胁组织利用 ChatGPT 破解 PLC，编写自定义 bash 和 Python 漏洞利用脚本，谋划入侵后的攻击活动。

Orpak 和 Gasboy 燃油管理系统已被沦为目标。研究人员从 Gasboy 燃油控制系统的设备支付终端 OrPT提取出恶意软件样本，但不清楚黑客如何将IOCONTROL植入其中。在这些设备里，IOCONTROL 能够操控油泵、支付终端及其他外围系统，可能引发系统中断或数据被盗。截至 2024 年 12 月 10 日，经UPX加壳的恶意软件二进制文件未被 66 款 VirusTotal 杀毒引擎检测到。

https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/

漏洞预警

CISA 就Cleo等文件传输软件漏洞发布安全提醒，已遭勒索软件实际利用

美国网络安全与基础设施安全局（CISA）日前发布安全提醒称，Cleo Harmony、VLTrader 和 LexiCom 等多个文件传输软件中的一个严重安全漏洞（CVE - 2024 – 50623）正遭勒索软件攻击利用。该漏洞影响 5.8.0.21 版本之前的所有版本，能让未经身份验证的攻击者远程操控联网的脆弱服务器执行代码。

Huntress 安全研究人员发现，即便完全打了补丁的 Cleo 服务器仍可能因CVE-2024-50623的绕过手段被入侵，攻击者借此利用默认自动运行文件夹设置导入并执行任意 PowerShell 或 bash 命令。Cleo公司虽未披露该漏洞被在野利用的情况，但CISA已将该安全漏洞纳入已知被利用漏洞目录。

Cleo 已发布补丁修复此零日漏洞，敦促客户尽快升级到 5.8.0.24 版本。该公司称，“打补丁后，启动时发现与此次利用相关的文件会记录错误并移除”。无法立即升级的管理员，建议从系统选项中清空自动运行目录，禁用自动运行功能，减少受攻击面。

https://www.bleepingcomputer.com/news/security/cisa-confirms-critical-cleo-bug-exploitation-in-ransomware-attacks/

Splunk、Atlassian 联手修复多个产品漏洞

近日，Splunk 和 Atlassian 两大软件公司联手修复了各自产品中的二十多个安全漏洞。

Splunk 日前发布更新，修复了超 15 个影响其产品及第三方依赖项的漏洞，其中最为严重的是Secure Gateway中高危级别的“不信任数据反序列化”漏洞，编号为 CVE - 2024 - 53247。更新公告指出，该问题源于不安全地使用 Jsonpickle Python 库，攻击者可能借此漏洞实现远程代码执行。除了修补 Splunk Enterprise 十多个第三方依赖项中的 12 个高中危级别的问题，该公司还处理了 Splunk Enterprise 及 Splunk Cloud Platform 的三个漏洞。

与此同时，Atlassian公告修复了 10 个高危漏洞，这些漏洞波及 Bitbucket Data Center 及 Server、Bamboo Data Center 及 Server、Confluence Data Center 及 Server。尽管尚无证据表明这些漏洞已遭恶意利用，但仍建议立即修复已打补丁的漏洞，防患于未然。

https://www.scworld.com/brief/several-splunk-atlassian-flaws-addressed

合作电话：18311333376