潜藏10年的恶意软件被发现；利用漏洞在K8S上挖矿；AWS、Google和Azure 出现信息泄露危机

关键词：OfflRouter、恶意软件、VBA宏病毒、机密文件、可执行文件、iOS间谍软件、LightSpy、F_Warehouse、Azure CLI、AWS CLI、Google Cloud CLI

自2015年以来，部分乌克兰政府网络一直感染着一种名为OfflRouter的恶意软件。

思科Talos表示，其调查结果基于自2018年以来上传到VirusTotal恶意软件扫描平台的100多份感染VBA宏病毒的机密文件的分析。自2022年以来，已有20多份此类文件被上传。

安全研究员凡加·斯瓦杰尔（Vanja Svajcer）说："这些文件包含VBA代码，用于删除并运行名为'ctrlpanel.exe'的可执行文件。""该病毒仍在乌克兰活跃，并导致潜在的机密文件被上传到可公开访问的文档存储库。"

OfflRouter的一个显著特点是它无法通过电子邮件传播，必须通过其他方式传播，例如共享文档和可移动媒体，包括包含感染文件的USB记忆棒。

Talos的一位研究人员告诉黑客新闻："需要用户手动干预，将感染的文件作为电子邮件附件发送。""这可能是病毒在这么长时间内一直未被发现的原因，因为它并不太显眼。"

来源：https://thehackernews.com/2024/04/offlrouter-malware-evades-detection-in.html

2024年4月18日新闻发布室容器安全/加密货币

OpenMetadata漏洞

威胁行为者正在积极利用OpenMetadata中的严重漏洞，以获得对Kubernetes工作负载的未授权访问，并利用它们进行加密货币挖矿活动。

微软威胁情报团队表示，自2024年4月初以来，这些漏洞已被武器化。

OpenMetadata是一个开源平台，作为一个元数据管理工具，为数据资产发现、可观察性和治理提供统一的解决方案。

相关漏洞均由安全研究员Alvaro Muñoz发现并报告，具体如下：

CVE-2024-28847（CVSS评分：8.8）- PUT /api/v1/events/subscriptions中的Spring表达式语言（SpEL）注入漏洞（在1.2.4版本中已修复）
CVE-2024-28848（CVSS评分：8.8）- GET /api/v1/policies/validation/condition/中的SpEL注入漏洞（在1.2.4版本中已修复）
CVE-2024-28253（CVSS评分：8.8）- PUT /api/v1/policies中的SpEL注入漏洞（在1.3.1版本中已修复）
CVE-2024-28254（CVSS评分：8.8）- GET /api/v1/events/subscriptions/validation/condition/中的SpEL注入漏洞（在1.2.4版本中已修复）
CVE-2024-28255（CVSS评分：9.8）- 身份验证绕过漏洞（在1.2.4版本中已修复）

成功利用这些漏洞可能允许威胁行为者绕过身份验证并实现远程代码执行。

来源：https://thehackernews.com/2024/04/hackers-exploit-openmetadata-flaws-to.html

在一次打击网络犯罪服务的国际行动中，多达 37 人被捕。该服务名为 LabHost，被犯罪分子用于窃取全球受害者的个人凭据。

LabHost 被描述为最大的网络钓鱼服务（PhaaS）提供商之一，提供主要针对加拿大、美国和英国银行、知名机构和其他服务提供商的网络钓鱼页面。

作为名为"PhishOFF"和"Nebulae"（指调查的澳大利亚分部）的行动的一部分，4 月 17 日，两名来自墨尔本和阿德莱德的 LabHost 用户被捕，另有三人被捕并因涉毒犯罪而被起诉。

澳大利亚联邦警察 (AFP) 在一份声明中表示："据称，澳大利亚的罪犯属于全球 10,000 名使用 LabHost 平台的网络犯罪分子之列，他们通过发送短信和电子邮件的持续网络钓鱼攻击，诱骗受害者提供个人信息，例如网上银行登录信息、信用卡详细信息和密码。"

在 4 月 14 日至 17 日期间，由欧洲刑警组织领导的协同工作还导致其他 32 人被捕，其中包括四名据称负责开发和运营该服务的英国人。总共在全球搜查了 70 个地址。

来源：https://thehackernews.com/2024/04/global-police-operation-disrupts.html

网络安全研究人员发现了一项针对南亚用户发起的"全新"网络间谍活动，该活动的目的是植入一种名为LightSpy的苹果iOS间谍软件。

黑莓威胁研究与情报团队在上周发布的一份报告中称："LightSpy的最新版本名为'F_Warehouse'，它拥有一个模块化的框架，具备广泛的间谍功能。"

有证据表明，根据来自印度境内的VirusTotal提交情况，这场间谍活动可能已瞄准印度。

LightSpy指的是一种先进的iOS后门，它通过水坑攻击，经由被攻陷的新闻网站传播，由趋势科技和卡巴斯基于2020年首次记录。

来源：https://thehackernews.com/2024/04/chinese-linked-lightspy-ios-spyware.html

最新的网络安全研究发现，来自亚马逊网络服务（AWS）和谷歌云的命令行界面（CLI）工具可能会在构建日志中暴露敏感凭据，从而给组织带来重大风险。

云安全公司Orca为该漏洞命名为LeakyCLI。

安全研究员Roi Nisimi在与黑客新闻分享的一份报告中表示："Azure CLI、AWS CLI和Google Cloud CLI上的某些命令可能会以环境变量的形式暴露敏感信息，当这些信息被GitHub Actions等工具发布时，可能会被对手收集。"

微软已将这一问题作为2023年11月发布的安全更新的一部分进行处理，并为其分配了CVE标识符CVE-2023-36052（CVSS评分：8.6）。

来源：https://thehackernews.com/2024/04/aws-google-and-azure-cli-tools-could.html

潜藏10年的恶意软件被发现；利用漏洞在K8S上挖矿；AWS、Google和Azure 出现信息泄露危机 | 安全周报0419