绿盟威胁情报周报2024年第50周20241209至20241215.pdf

2024年第50周（2024.12.09-2024.12.15）

/

本周热点概览

威胁通告

ApacheStruts任意文件上传漏洞S2-067(CVE-2024-53677)通告

微软12月安全更新多个产品高危漏洞通告

热点资讯

DroidBot：新型安卓木马，针对银行、加密货币交易所等金融机构

云安全的噩梦：BadRAM攻击

黑客利用MOONSHINE漏洞和DarkNimbus后门攻击

Mandiant称，5000万美元加密货币盗窃案与朝鲜黑客有关

俄罗斯APT组织打击乌克兰国防企业

RedLine恶意软件利用盗版应用窃取企业信息

黑客利用VisualStudioCode远程隧道进行网络间谍活动

Windows远程桌面服务漏洞允许攻击者执行远程代码

研究人员发现名为SpectralBlur的macOS后门

最新发现绕过浏览器隔离技术的攻击方法

威胁通告

1.ApacheStruts任意文件上传漏洞S2-067(CVE-2024-53677)通告

【标签】CVE-2024-53677

【发布时间】2024-12-1216:00:00GMT

【概述】

近日，绿盟科技CERT监测到Apache发布安全公告，修复了ApacheStruts任意文件上传漏洞S2-067(CVE-2024-53677)。

由于文件上传功能存在逻辑缺陷，未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历，从而通过上传恶意文件来

实现远程代码执行。CVSS评分9.5，请相关用户尽快采取措施进行防护。

【参考链接】

/threatNotice

2.微软12月安全更新多个产品高危漏洞通告

【标签】CVE-2024-49138,CVE-2024-49112,CVE-2024-49126

【发布时间】2024-12-1216:00:00GMT

【概述】

12月11日，绿盟科技CERT监测到微软发布12月安全更新补丁，修复了72个安全问题，涉及Windows、WindowsLDAP、

MicrosoftOffice、WindowsRemoteDesktopServices、MicrosoftSharePoint等广泛使用的产品，其中包括权限提升、远程

代码执行等高危漏洞类型。

【参考链接】

/threatNotice

热点资讯

1.DroidBot：新型安卓木马，针对银行、加密货币交易所等金融机构

【标签】DroidBot

【概述】

Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即

服务（MaaS）操作有关。DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，

移动恶意软件威胁显著升级。DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间

谍软件的键盘记录，使其成为设备欺诈的强大工具。

【参考链接】

/security-news/79vRoF

2.云安全的噩梦：BadRAM攻击

【标签】BadRAM

【概述】

在黑客圈中，有一个广为流传的说法：“一旦攻击者获得了设备的物理访问权限，任何安全措施都是摆设。”这一观点在传统计

算环境下站得住脚。因为无论是手机、计算机还是其他设备，只要攻击者能够物理操控硬件，成功破解或入侵只是时间问题。

在云计算时代，随着本地硬件的消失，对物理访问攻击的恐惧似乎烟消云散了。如今，世界上最敏感的数据——例如健康记录、

金融账户信息和机密法律文件等，往往存储在距离数据所有者千里之外的云服务器中。

【参考链接】

/security-news/79vRpu

3.黑客利用MOONSHINE漏洞和DarkNimbus后门攻击

【标签】MOONSHINE

【概述】

趋势科技在一篇分析报告中表示：“EarthMinotaur使用MOONSHINE将DarkNimbus后门传送到Android和Windows设备，

使其成为跨平台威胁。”“MOONSHINE利用基于Chromium的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以

防止攻击。