每日安全简讯(20230828)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露DarkGate恶意软件工具包新变体

研究人员观察到一场恶意广告活动，该活动将潜在受害者引诱至 Windows IT 管理工具的欺诈网站。与之前的类似攻击不同，最终的有效负载的打包方式不同，并且无法立即识别。该诱饵文件作为 MSI 安装程序提供，其中包含 AutoIT 脚本，其中有效负载经过混淆以避免检测。研究人员分析得出该样本是 DarkGate 的更新版本，DarkGate 是 2018 年首次发现的多用途恶意软件工具包。该恶意软件主要使用恶意广告和搜索引擎中毒进行网络传播。

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns?&web_view=true

---

2 研究人员披露Redline窃取程序新变体

研究人员观察到Redline窃取程序的目标是用于立即获利的财务信息以及用于执行初始信息收集和建立持久性的侦察功能。RedLine 窃取程序几乎总是伴随着其他恶意软件：要么是先有加载程序来安装它，要么是进一步的恶意软件。在 2022 年 RedLine 窃取程序的最后一次主要迭代中，变体几乎总是配置为依赖漏洞利用工具包进行感染。在 2022 年的某个时候，随着开发人员重组，感染流量出现相对中断，但在 2023 年，该恶意软件重新成为一个突出的威胁，并且现在依赖其他恶意软件充当加载程序。Redline窃取程序专注于核心恶意软件开发模式（此次活动使用 WMI）并通过应用程序白名单和进程监控成功阻止恶意尝试，提供了将安全资源应用于此恶意软件和其他恶意软件的方法。

https://blog.eclecticiq.com/redline-stealer-variants-demonstrate-a-low-barrier-to-entry-threat?&web_view=true

---

3 Rockwell ThinManager漏洞可导致工业设备的人机界面遭受网络攻击

研究人员在罗克韦尔自动化的 ThinManager ThinServer 产品中发现的漏洞可用于针对工业控制系统 (ICS) 的攻击。 研究人员在 ThinManager ThinServer 中发现了一个严重漏洞和两个高严重性漏洞。这些缺陷被追踪为 CVE-2023-2914、CVE-2023-2915 和 CVE-2023-2917。这些安全漏洞为不正确的输入验证问题，可能导致整数溢出或路径遍历。远程攻击者可以通过发送特制的同步协议消息来利用这些缺陷，而无需事先进行身份验证。利用这些漏洞可能会导致拒绝服务 (DoS) 情况、使用系统权限删除任意文件以及将任意文件上传到安装 ThinServer.exe 的驱动器上的任何文件夹。成功利用该漏洞可以让攻击者完全控制 ThinServer。该产品通常用于控制和监控工业设备的人机界面（HMI）。攻击者能够让自己访问这些 HMI。攻击者还可以从服务器转向攻击网络上的其他资产。

https://www.securityweek.com/rockwell-thinmanager-vulnerabilities-could-expose-industrial-hmis-to-attacks/

---

4 开发人员演示NoFilter工具通过滥用Windows过滤平台提升权限

安全研究人员发布了NoFilter，这是一个滥用Windows过滤平台来提升用户权限的工具，将用户的权限增加到 SYSTEM 权限，这是 Windows 上的最高权限级别。该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。研究人员开发了三种新的攻击来提升 Windows 计算机的权限，而不会留下太多证据，也不会被众多安全产品检测到。第一种方法允许使用 WFP 复制访问令牌，即在线程和进程的安全上下文中识别用户及其权限的代码片段。第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务以将 SYSTEM 令牌插入表中。第三种技术允许获取登录到受感染系统的另一个用户的令牌，以进行横向移动。

https://www.deepinstinct.com/blog/nofilter-abusing-windows-filtering-platform-for-privilege-escalation

---

5 丹麦托管公司在勒索软件攻击后丢失了所有客户数据

丹麦托管公司 CloudNordic 和 AzeroCloud 遭受勒索软件攻击，导致大部分客户数据丢失，并迫使托管提供商关闭所有系统，包括网站、电子邮件和客户站点。这两个品牌属于同一家公司，并表示袭击发生在上周五晚上。然而，如今的运营状态仍然存在很大问题，该公司的 IT 团队只能恢复一些服务器，而没有任何数据。此外，该公司的声明澄清，它不会向威胁行为者支付赎金，并已与安全专家接洽并向警方报告了这一事件。不幸的是，系统和数据恢复过程并不顺利，CloudNordic 表示许多客户丢失了似乎无法恢复的数据。

https://www.cloudnordic.com/

---

6 巴西伴游服务泄露了数百万伴游和客户数据

研究人员发现巴西伴游服务 Fatal Model 中存在重大数据泄露事件。两个未受保护的数据库泄露了超过 1800 万条记录，其中包含客户和陪护人员的个人详细信息，包括电子邮件地址和帐户信息。Fatal Model 的访问密钥和 AWS 存储信息在此次泄露中被泄露。泄露的数据包括来自日志数据库（1470万条记录）和AWS云存储（350万个文件）的记录，带来隐私风险和潜在的勒索。

https://www.hackread.com/brazil-escort-service-exposes-escort-client-data/?web_view=true

---