每日安全简讯(20230912)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露利用Microsoft Teams推送DarkGate恶意软件网络钓鱼攻击

一个新的网络钓鱼活动正在滥用 Microsoft Teams 消息来发送安装 DarkGate Loader 恶意软件的恶意附件。该活动于 2023 年 8 月下旬开始，当时发现两个受感染的外部 Office 365 帐户向其他组织发送了 Microsoft Teams 网络钓鱼消息。这些帐户被用来诱骗其他 Microsoft Teams 用户下载并打开名为“Changes to the vacation schedule.”的 ZIP 文件。单击附件会触发从 SharePoint URL 下载 ZIP，其中包含伪装成 PDF 文档的 LNK 文件。研究人员分析了 Microsoft Teams 网络钓鱼活动，发现其中包含恶意 VBScript，该脚本会触发感染链，从而导致识别为 DarkGate Loader 的有效负载。为了尝试逃避检测，下载过程利用 Windows cURL 来获取恶意软件的可执行文件和脚本文件。该脚本经过预编译，将其恶意代码隐藏在文件中间，以与 AutoIT 脚本相关的可区分的字节开头。

https://www.truesec.com/hub/blog/darkgate-loader-delivered-via-teams

---

2 思科警告勒索软件组织利用VPN零日漏洞发起网络攻击

思科警告称，其思科自适应安全设备 (ASA) 和思科 Firepower 威胁防御 (FTD) 中存在 CVE-2023-20269 零日漏洞，勒索软件操作会积极利用该漏洞来获取对企业网络的初始访问权限。中等严重性的零日漏洞影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户，攻击者可以在受攻击组织的网络中建立无客户端 SSL VPN 会话，这可能会产生不同的影响，具体取决于受害者的网络配置。本周，思科确认了这些勒索软件团伙利用的零日漏洞的存在，并在临时安全公告中提供了解决方法。但是，受影响产品的安全更新尚不可用。CVE-2023-20269 缺陷位于 Cisco ASA 和 Cisco FTD 设备的 Web 服务接口内，特别是处理身份验证、授权和计费 (AAA) 功能的功能。该漏洞是由于 AAA 功能和其他软件功能不正确分离造成的。这会导致攻击者可以向 Web 服务接口发送身份验证请求以影响或破坏授权组件。由于这些请求没有限制，攻击者可以使用无数的用户名和密码组合来暴力破解凭据，而不会受到速率限制或滥用阻止。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC#fs

---

3 攻击者利用PowerShell以窃取受感染的Windows中的NTLMv2哈希值

一项新的网络攻击活动正在利用与合法红队工具关联的 PowerShell 脚本从主要位于澳大利亚、波兰和比利时的受感染 Windows 系统中窃取NTLMv2 哈希值。研究人员将该活动代号为 Steal-It。在此次活动中，威胁行为者使用 Nishang 的Start-CaptureServer PowerShell 脚本的定制版本窃取和泄露 NTLMv2 哈希值，执行各种系统命令，并通过 Mockbin API 泄露检索到的数据。Nishang是一个框架以及 PowerShell 脚本和有效负载的集合，用于进攻性安全、渗透测试和红队。这些攻击利用了多达五个不同的感染链，它们都利用包含 ZIP 存档的网络钓鱼电子邮件作为使用地理围栏技术渗透特定目标的起点。研究人员认为 Steal-It 活动可能归因于 APT28（又名 Fancy Bear），因为它与 CERT-UA 在“威胁行为者归因”部分中报告的 APT28 网络攻击相似。

https://www.zscaler.com/blogs/security-research/steal-it-campaign

---

4 研究人员披露新型HijackLoader模块化恶意软件加载程序

一种名为 HijackLoader 的新型恶意软件加载程序正在网络犯罪社区中获得关注，它可以提供各种有效负载，例如DanaBot、SystemBC和RedLine Stealer。尽管 HijackLoader 不包含高级功能，但它能够使用各种模块进行代码注入和执行，因为它使用模块化架构，这是大多数加载器不具备的功能。研究人员于 2023 年 7 月首次发现该恶意软件，它采用了多种技术来隐藏在雷达之下。这涉及使用系统调用来逃避安全解决方案的监控、基于嵌入式阻止列表监控与安全软件相关的进程，以及在不同阶段推迟代码执行多达 40 秒。目前尚不清楚用于渗透目标的确切初始访问向量。尽管存在反分析方面的问题，加载程序还是打包在一个主检测模块中，该模块有助于使用嵌入式模块进行灵活的代码注入和执行。通过在 Windows 启动文件夹中创建快捷方式文件 (LNK) 并将其指向后台智能传输服务 ( BITS ) 作业，可以实现在受感染主机上的持久性。HijackLoader 是一种具有规避技术的模块化加载程序，它为恶意负载提供了多种加载选项，而且，它没有任何高级功能，代码质量很差。

https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html

---

5 美联社警告AP Stylebook数据泄露可导致网络钓鱼攻击

美联社警告说，数据泄露会影响 AP Stylebook 客户，攻击者利用窃取的数据进行有针对性的网络钓鱼攻击。美联社 AP Stylebook 是全球记者、杂志和新闻编辑室常用的语法、标点符号和写作风格指南。本周， 美联社警告说 ，一个不再使用的旧的第三方管理的 AP Stylebook 网站在 2023 年 7 月 16 日至 7 月 22 日期间遭到黑客攻击，导致 224 名客户的数据被盗。被盗信息包括客户姓名、电子邮件地址、街道地址、城市、州、邮政编码、电话号码和用户 ID。对于输入免税 ID（例如社会保障号或雇主识别号）的客户，这些 ID 也会被盗。美联社表示，他们于 2023 年 7 月 20 日首次获悉可能的数据泄露事件，当时美联社 Stylebook 客户报告收到网络钓鱼电子邮件，称他们需要更新信用卡信息。在得知网络钓鱼攻击后，美联社将旧站点和网络钓鱼下线，以防止进一步的攻击。

https://apps.web.maine.gov/online/aeviewer/ME/40/bb8594ec-9e53-41ff-b6e1-1284d3941b8e.shtml

---

6 Dymocks连锁书店遭遇数据泄露影响83.6万客户

Dymocks Booksellers 警告客户，在该公司的数据库在黑客论坛上共享后，他们的个人信息在数据泄露中被暴露。Dymocks 是一家连锁书店，在澳大利亚、新西兰和香港经营 65 家门店，同时也是一家销售印刷书籍、电子书、文具用品、游戏和数字媒体的网上商店。该公司获悉，其客户数据于 2023 年 9 月 6 日被数据泄露通知服务“Have I Been Pwned”(HIBP) 的创建者 Troy Hunt 窃取，此前一名威胁行为者在黑客论坛上发布了该数据。在 Dymocks 网站上发布的通知中，这家图书零售商解释说，他们没有发现其计算机系统受到渗透的证据，目前正在调查第三方合作伙伴的潜在安全漏洞。因此，数据是如何获取的、未经授权访问的持续时间、恶意活动的程度以及该事件影响的确切范围仍不清楚。Dymocks 和签约专家进行的调查迄今已确认以下类型的客户信息已被泄露：全名、出生日期、电子邮件地址、邮寄地址、性别、会员详细信息（金卡到期日期、帐户状态、帐户创建日期、卡排名）。

https://www.dymocks.com.au/customer-notices

---