Google警告：安卓两个0-day漏洞被利用；在越黑客窃取中国在内的亚洲金融数据；新HTTP/2漏洞让服务器造成Dos攻击 | 安全周报 0407

关键词：Google；安卓；Http/2；Dos；软件供应链攻击；

1. 越南黑客利用恶意软件窃取亚洲金融数据

自 2023 年 5 月以来，一个疑似来自越南的黑客被发现使用恶意软件针对几个亚洲和东南亚国家的受害者，窃取有价值的数据。

Cisco Talos 正在追踪名为 CoralRaider 的群体，描述其动机为财务金融数据。此次活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。

安全研究员 Chetan Raghuprasad 和 Joey Chen 表示："该组织专注于窃取受害者的证书、金融数据和社交媒体账户，包括商业和广告账户。他们使用 RotBot（一种定制的 Quasar RAT 变种）和 XClient 窃取器作为有效载荷。"

该组织使用的其他商品恶意软件包括远程访问木马和信息窃取器的组合，例如 AsyncRAT、NetSupport RAT 和 Rhadamanthys。

来源：https://thehackernews.com/2024/04/vietnam-based-hackers-steal-financial.html

2. 新的HTTP/2漏洞使网络服务器易受DoS攻击

最新研究发现，HTTP/2协议中的CONTINUATION帧可以被利用来执行拒绝服务（DoS）攻击。安全研究员巴特克·诺沃塔尔斯基（Bartek Nowotarski）将这项技术命名为HTTP/2 CONTINUATION Flood，并于2024年1月25日向CERT协调中心（CERT/CC）报告了这个问题。

CERT/CC在2024年4月3日的一份咨询报告中表示："许多HTTP/2实现没有适当限制或净化在单个流中发送的CONTINUATION帧的数量。"

"能够向目标服务器发送数据包的攻击者可以发送一系列CONTINUATION帧，这些帧不会被附加到内存中的头列表中，但仍会由服务器处理和解码，或者会被附加到头列表中，从而导致内存溢出（OOM）崩溃。"

与HTTP/1一样，HTTP/2在请求和响应中使用头字段。这些头字段可以包含头列表，这些列表进而被序列化并分解成头块。头块然后被分成块片段，并在HEADERS或所谓的CONTINUATION帧中传输。

RFC 7540的文档中提到："CONTINUATION帧（类型=0x9）用于继续头块片段的序列。"

来源：https://thehackernews.com/2024/04/new-http2-vulnerability-exposes-web.html

3.Google警告：取证公司利用Pixel手机中的安卓0-Day漏洞

Google透露，影响其Pixel智能手机的两个安卓安全漏洞已被取证公司在外部广泛利用。

高危零日漏洞如下：

• CVE-2024-29745 - 引导加载器组件中的信息泄露漏洞；
• CVE-2024-29748 - 固件组件中的权限提升漏洞；

Google在2024年4月2日发布的一份咨询报告中表示："有迹象表明，这些漏洞可能正在受到有限的、有针对性的利用。"

尽管这家科技巨头没有透露关于利用这些缺陷的攻击性质的任何其他信息，但GrapheneOS的维护者表示，这些漏洞"正在被取证公司在外部积极利用"。

来源：https://thehackernews.com/2024/04/google-warns-android-zero-day-flaws-in.html

4. 恶意应用程序被发现在暗中把安卓手机变成网络犯罪分子的代理

在谷歌应用商店观察到几款恶意安卓应用程序，它们把运行该操作系统的移动设备变成了为其他黑客提供 RESIPs。

这些发现来自HUMAN的Satori威胁情报团队，该团队表示，这类VPN应用程序配备了一个Golang库，在用户毫不知情的情况下将用户设备转变成一个代理节点。

该公司给这次行动起了一个代号"PROXYLIB"。谷歌已经删除了这29个有问题的应用程序。

RESIPs是由互联网服务提供商（ISP）提供的真实IP地址组成的代理服务器网络，它通过中介服务器路由用户的互联网流量，从而帮助用户隐藏他们的实际IP地址。

除了匿名的好处之外，这些代理还很容易被黑客滥用，不仅可以掩盖他们的来源，还可以进行各种攻击。

来源：https://thehackernews.com/2024/04/malicious-apps-caught-secretly-turning.html

5. 在流行的WordPress插件LayerSlider中发现严重安全漏洞

WordPress的LayerSlider插件存在一个严重的安全漏洞，该漏洞可能会被滥用，以从数据库中提取敏感信息，例如密码哈希。

该漏洞被指定为CVE-2024-2879，其CVSS评分为9.8（最高为10.0）。它被描述为影响7.9.11到7.10.0版本的SQL注入案例。

在2024年3月25日负责披露漏洞之后，该问题已在2024年3月27日发布的7.10.1版本中得到解决。"此更新包含重要的安全修复，"LayerSlider的维护者在发布说明中说道。

LayerSlider是一款视觉网页内容编辑器、一款图形设计软件，以及一种数字视觉效果，允许用户为其网站创建动画和丰富的内容。据其网站介绍，该插件被"全球数百万用户"使用。

来源：https://thehackernews.com/2024/04/critical-security-flaw-found-in-popular.html\](https://thehackernews.com/2024/04/critical-security-flaw-found-in-popular.html)