每日安全简讯(20230131)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 乌克兰国家新闻机构遭Sandworm黑客组织攻击

乌克兰追踪到一起导致新闻发布会推迟的网络攻击是俄罗斯Sandworm黑客组织所为。调查人员表示，该黑客组织与俄罗斯格勒乌关系密切。根据调查人员的说法，此次攻击使用了与俄罗斯黑客有关的五种恶意软件，分别是CaddyWiper、ZeroWipe、SDelete、AwfulShred和BidSwipe。在上周由乌克兰国家特殊通信和信息保护局负责人Yurii Shchyhol举行的新闻发布会上，乌克兰国家新闻机构和媒体中心Ukrinform开始出现互联网连接问题。


https://www.govinfosecurity.com/ ... ntelligence-a-21043

---

2 UNC2565组织继续改进GOOTLOADER恶意软件

Mandiant研究人员报告称，GOOTLOADER恶意软件(又名Gootkit)背后的UNC2565组织通过添加新组件和实施新的混淆技术继续改进他们的代码。Gootkit运行在“访问即服务”模型上，不同的组织使用它在受感染的系统上部署额外的恶意载荷。众所周知，Gootkit使用无文件技术来传递恶意软件，如SunCrypt、REvil勒索软件、Kronos木马和Cobalt Strike。在过去，Gootkit传播伪装成免费软件安装程序的恶意软件，并使用法律文件诱骗用户下载这些文件。


https://securityaffairs.com/1415 ... ware-evolution.html

---

3 拉脱维亚国防部将网络钓鱼攻击归咎于Gamaredon组织

拉脱维亚国防部称，俄罗斯网络间谍组织Gamaredon可能是上周针对拉脱维亚国防部的网络钓鱼攻击的幕后黑手。黑客冒充乌克兰政府官员向拉脱维亚国防部的几名员工发送恶意电子邮件，网络攻击未遂。法国网络安全公司Sekoia首先在推特上分享了这封恶意邮件的样本。研究人员将这次网络钓鱼活动归因于Gamaredon，因为黑客使用了与之前的网络攻击相同的域名(admou[.]org)，去年12月初，网络安全公司Unit 42也将该域名与Gamaredon关联起来。拉脱维亚国防部发言人证实，最新的网络钓鱼攻击极有可能与Gamaredon有关，但调查仍在进行中。


https://therecord.media/latvia-c ... sian-hacking-group/

---

4 新研究揭示了Golden Chickens恶意软件背后的攻击者

网络安全专家已经揭示了Golden Chickens恶意软件即服务背后的个人身份。攻击者在网上被称为“badbullzvenom”，在现实世界中已经被确认。eSentire威胁响应部门进行了为期16个月的广泛调查，发现badbullzvenom帐户与多个人相关联，正如该部门最近发表的报告中所述。为了联系与Golden Chickens恶意软件即服务相关的不同论坛帐户，TRU团队通过开源情报对各种安全报告进行了全面分析。他们发现了2015年趋势科技的一份报告，题为“个人网络罪犯的攻击——加拿大的Frapstar”，该报告确定攻击者是一个单独的持卡人，他将偷来的信用卡货币化，在多个黑客论坛上有多个化名和账户，其中一个是badbullzvenom。


https://gbhackers.com/infamous-g ... lware-as-a-service/

---

5 大量被黑的WordPress网站将访问者重定向到恶意网站

一场大规模的活动正在利用被黑客攻击的WordPress网站，将受害者重定向到技术支持骗局、成人约会、网络钓鱼或路过式下载攻击。它背后的黑客已经通过多次重定向和合法下载来确保他们的恶意有效载荷很难被发现。据Sucuri的研究人员称，与恶意域名violetlovelines[.]com有关的WordPress网站感染激增。该活动自2022年12月26日以来一直很活跃，数据显示，到目前为止，有超过5600个网站受到了影响。最近，该活动逐渐从虚假的CAPTCHA推送通知骗局页面转变为黑帽广告网络。这些恶意广告网络将受害者重定向到恶意网站，并诱使他们下载恶意软件。


https://cyware.com/news/new-wave ... ress-sites-86652900

---

6 微软敦促各组织为本地Exchange服务器打补丁

由于网络犯罪分子仍在寻找电子邮件系统中的有价值数据，微软敦促各组织通过更新和强化来保护他们的Exchange服务器免受网络攻击。根据供应商Exchange团队的介绍，企业需要确保在Exchange服务器上安装最新的累积更新(CUs)和安全更新(SUs)，偶尔也需要在Exchange管理工具工作站上安装，如启用扩展保护和PowerShell序列化有效载荷的证书签名。


https://www.theregister.com/2023 ... h_exchange_servers/

---