每日安全简讯(20230622)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《aminer挖矿木马活动分析》报告

近期，安天CERT通过捕风蜜罐系统捕获了一批活跃的挖矿木马样本，该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击。由于其初始脚本中下载挖矿文件的名称为“aminer.gz”，因此安天CERT将该挖矿木马命名为“aminer”。aminer挖矿木马初始攻击脚本实际由一连串指令组成，其中包括写入指定DNS服务器地址、使用yum包管理器安装一系列工具和库、下载install.tgz文件解压后执行install脚本、下载ns2.jpg文件内存执行、下载aminer.gz文件解压后执行start脚本进行挖矿。

https://mp.weixin.qq.com/s/EB-rOkO2cjlRVa2uXL_Yrg

---

2 黑客使用Tsunami僵尸网络恶意软件感染Linux SSH服务器

一个未知的威胁行为者正在暴力破解Linux SSH服务器以安装各种恶意软件，包括Tsunami DDoS（分布式拒绝服务）机器人、ShellBot、日志清理器、特权升级工具和XMRig(Monero)加密货币挖掘器。SSH（Secure Socket Shell）是一种用于登录远程机器的加密网络通信协议，支持隧道、TCP端口转发、文件传输等。网络管理员通常使用SSH远程管理Linux设备，执行诸如运行命令、更改配置、更新软件和解决问题等任务。但是，如果这些服务器的安全性很差，它们可能容易受到暴力攻击，从而使威胁行为者可以尝试许多潜在的用户名-密码组合，直到找到匹配项。

https://asec.ahnlab.com/en/54647/

---

3 超过100000个ChatGPT账户通过信息窃取恶意软件被盗

根据暗网市场数据，在过去一年中，超过101000个ChatGPT用户账户被信息窃取恶意软件窃取。网络情报公司Group-IB报告称，在包含ChatGPT账户的各种地下网站上发现了超过10万个信息窃取日志，峰值出现在2023年5月，当时威胁行为者发布了26800个新的ChatGPT凭据。在最有针对性的地区，亚太地区在2022年6月至2023年5月期间有近41000个被入侵账户，欧洲有近17000个，北美以4700个排名第五。信息窃取程序是一种恶意软件类别，其目标是存储在电子邮件客户端、网络浏览器、即时消息、游戏服务、加密货币钱包等应用程序中的账户数据。

https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/

---

4 SeroXen恶意软件使用BatCloak混淆工具以规避安全软件检测

安全研究人员警告说，恶意软件开发人员正在采用一种易于使用的混淆工具，该工具可以使恶意软件绕过防病毒软件。趋势科技本月早些时候发布的分析报告对从公共存储库中获取的数百个受感染的批处理文件样本进行了分析，得出的结论是，BatCloak屏蔽了80%的文件，使其免受安全软件的检测。批处理文件通常带有.bat扩展名，是带有命令行解释器脚本的纯文本文件。BatCloak用于隐藏SeroXen不被检测的技术之一是复杂的字符串操作，该技术混淆了恶意软件使用Windows命令提示符界面通过命令指定环境变量的过程。

https://www.trendmicro.com/en_ph/research/23/f/seroxen-incorporates-latest-batcloak-engine-iteration.html

---

5 Zyxel警告NAS设备存在严重的命令注入漏洞

Zyxel警告其NAS（网络附加存储）设备用户更新他们的固件以修复严重命令注入漏洞。新发现的漏洞CVE-2023-27992是一个预身份验证命令注入问题，可能允许未经身份验证的攻击者通过发送特制的HTTP请求来执行操作系统命令。该漏洞由Andrej Zaujec、NCSC-FI和Maxim Suslov发现，CVSS v3评分为9.8，评级为“严重”。Zyxel 在其最新通报中没有提供针对CVE-2023-27992的解决方法或缓解措施 ，因此建议受影响NAS设备的用户尽快应用可用的安全更新。目前，恶意HTTP请求的复杂性以及利用新漏洞的其他条件尚不清楚。然而，利用不需要身份验证这一事实使得此漏洞更容易被利用。

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-pre-authentication-command-injection-vulnerability-in-nas-products

---

6 微软修复了Azure Active Directory身份验证漏洞

微软已经修复了Azure Active Directory (Azure AD)身份验证漏洞，该漏洞可能允许威胁参与者提升权限并可能完全接管目标帐户。这种错误配置（发现它的Descope安全团队将其命名为nOAuth ）可能会在针对配置为使用访问令牌中的电子邮件声明进行授权的Azure AD OAuth应用程序的帐户和权限升级攻击中被滥用。攻击者只需将其Azure AD管理员帐户上的电子邮件更改为受害者的电子邮件地址，并使用“通过 Microsoft 登录”功能在易受攻击的应用程序或网站上进行授权。如果目标资源允许在授权过程中使用电子邮件地址作为唯一标识符，那么他们就可以完全控制目标的帐户。

https://www.descope.com/blog/post/noauth

---