每日安全简讯(20230507)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Android恶意软件FluHorse窃取密码和2FA代码

在Check Point Research进行的最新研究中，研究人员发现了一种新发现的名为FluHorse的恶意软件。该恶意软件具有多个模仿合法应用程序的恶意Android应用程序，其中大多数安装量超过1000000次。这些恶意应用程序会窃取受害者的凭据和双因素身份验证 (2FA) 代码。FluHorse针对东亚市场的不同领域并通过电子邮件进行分发。在某些情况下，攻击第一阶段使用的电子邮件属于知名实体。恶意软件可能几个月都未被发现使其成为一种持久、危险且难以发现的威胁。FluHorse内部没有使用自定义实施的技巧，因为恶意软件作者在开发过程中完全依赖开源框架。尽管一些应用程序部分是使用Kotlin创建的，但恶意功能是使用Flutter实现的。

https://research.checkpoint.com/2023/eastern-asian-android-assault-fluhorse/

---

2 ALPHV团伙声称对Constellation Software进行了勒索软件攻击

加拿大多元化软件公司Constellation Software证实，其部分系统遭到威胁行为者的破坏，他们还窃取了个人信息和商业数据。该公司表示：“该事件仅限于Constellation运营集团和业务与内部财务报告和相关数据存储相关的少数系统。”Constellation表示，它已经遏制了这次攻击，现在已经恢复了所有受事件影响的IT基础设施系统。这家加拿大公司在北美、欧洲、澳大利亚、南美和非洲拥有超过25000名员工，综合收入超过40亿美元。虽然Constellation尚未提供有关谁是攻击的幕后黑手或威胁行为者如何访问其网络的信息，但ALPHV勒索软件团伙（又名BlackCat）在其数据泄露站点添加了一个新目录，称他们破坏了公司的网络并窃取了超过1TB的文件。

https://www.bleepingcomputer.com/news/security/alphv-gang-claims-ransomware-attack-on-constellation-software/

---

3 新的Android更新修复了间谍软件攻击中利用的内核漏洞

本月发布的Android安全更新修补了一个高危漏洞，该漏洞被利用为零日漏洞，可在受感染的设备上安装商业间谍软件。该安全漏洞（跟踪为CVE-2023-0266）是Linux内核声音子系统中的Use-After-Free漏洞，可能会导致权限提升而无需用户交互。谷歌 TAG 表示，攻击者在受感染的设备上部署了一个间谍软件套件，能够从聊天和浏览器应用程序中解密和提取数据。相同的漏洞利用链包括Chrome网络浏览器中的另一个零日漏洞 (CVE-2022-4262)、Chrome 沙箱逃逸以及Mali GPU内核驱动程序和Linux内核中的漏洞。谷歌TAG将这些攻击与西班牙雇佣间谍软件供应商Variston联系起来，Variston以其针对Windows平台的Heliconia漏洞利用框架而闻名 。

https://www.bleepingcomputer.com/news/security/new-android-updates-fix-kernel-bug-exploited-in-spyware-attacks/

---

4 WordPress自定义字段插件漏洞导致超过100万个站点遭受XSS攻击

安全研究人员警告说，“高级自定义字段”和“高级自定义字段专业版”WordPress插件安装数百万次，容易受到跨站点脚本攻击(XSS)。这两个插件是WordPress最受欢迎的自定义字段构建器之一，在全球站点上有2000000个活跃安装。Patchstack的研究员Rafie Muhammad于2023年5月2日发现了高危反射型XSS漏洞，该漏洞的编号为CVE-2023-30777。XSS漏洞通常允许攻击者在其他人查看的网站上注入恶意脚本，从而导致访问者的Web浏览器上执行代码。Patchstack表示，XSS漏洞可能允许未经身份验证的攻击者窃取敏感信息并提升他们在受影响的WordPress网站上的权限。

https://www.bleepingcomputer.com/news/security/wordpress-custom-field-plugin-bug-exposes-over-1m-sites-to-xss-attacks/

---

5 乌克兰军队关闭机器人农场和非法VPN提供商

乌克兰执法部门拆除了六个以上的机器人农场和一个虚拟专用网络基础设施，这些设施被用于传播虚假信息。乌克兰安全局和国家警察的网络专家没收了数千张SIM 卡、银行卡、GSM网关和其他专用设备，用于支持Facebook、Instagram和Twitter上5000个匿名社交媒体帐户的网络。这些账户拥有近200000名用户。警方没有透露在乌克兰九个不同地区发生的逮捕的确切人数。这次取缔是针对僵尸网络运营商的一系列突击行动中的最新一次，包括2022年12月摧毁了十几个僵尸农场、2022年9月摧毁了两个僵尸农场以及2022年8月摧毁了一个运营着超过100万个机器人的组织。

https://www.govinfosecurity.com/ukrainian-forces-shutter-bot-farms-illicit-vpn-provider-a-22000

---

6 Apple为iOS、iPadOS和macOS用户发布首个快速安全响应补丁


苹果发布了第一批快速安全响应（RSR）补丁，分别适用于iPhone和iPad以及macOS设备的iOS 16.4.1（a）、iPadOS 16.4.1（b）和macOS 13.3.1（a）。RSR是一种新型的软件补丁，在苹果公司的定期软件更新之间提供。此前，苹果的安全修复与功能和改进捆绑在一起，但RSR只提供安全修复。它们旨在使安全改进的部署更快、更频繁。根据苹果公司关于RSR的通知，新的更新“也可能用于更快地缓解一些安全问题，例如可能被利用或报告存在‘野外’的问题。”如果用户禁用了RSR，仍然会像以前一样在Apple的常规软件更新中收到安全修复程序，但是可能会使用户设备更容易受到野外攻击。

https://www.malwarebytes.com/blog/news/2023/05/apple-releases-first-rapid-security-response-update-for-ios-ipados-and-macos-users

---