每日安全简讯(20231001)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Kimsuky组织多阶段网络攻击能力

近期研究人员发布报告称，Kimsuky高级持续威胁(APT)组织实施了一场错综复杂的多阶段攻击活动，攻击者从看似无害的URL链接开始目标一个名为“Updater.zip”文件，其中包含DLL格式的释放器和其他可执行组件，执行开始后随后创建名为“Chrome Updater”的计划任务，每71分钟执行一次VB脚本，后续阶段攻击者利用PowerShell和VBScript将Google Drive滥用作为数据泄露和命令与控制(C2)操作的最终通道。该报告深入探讨了Kimsuky组织恶意目标背后的技术复杂性和战略策略，通过剖析活动的每个阶段有助于全面了解威胁行为者的方法及其对网络安全构成的潜在风险。

https://threatmon.io/storage/unraveling-the-layers-analysis-of-kimsukys-multi-staged-cyberattack.pdf

---

2 研究人员披露基于Node.js语言的Lu0Bot恶意软件

Lu0Bot是一种Node.js语言编写的恶意软件，最初出现于2021年2月，早期它似乎是一个用于DDOS攻击的常规僵尸网络木马，如今Lu0Bot开始充当僵尸网络中的终端Bot，等待来自C2服务器的命令并将加密的基本系统信息发送回该服务器。Lu0Bot使用Node.js语言编写是基于现代Web应用程序中常用的运行时环境，其所使用的特定代码和库使得在运行时与操作系统的平台无关，且通常允许更大的多功能性，比如采用JavaScript代码的多层混淆技术。研究人员称如果Lu0bot的活动规模扩大并且C2服务器都开始积极响应可能会带来重大风险，最终造成击键 记录、身份盗窃、计算机完全控制受、充当DDOS机器人、使用受感染的系统进行非法活动等影响。

https://any.run/cybersecurity-blog/lu0bot-analysis/

---

3 攻击者利用Openfire漏洞入侵服务器并挖矿

黑客正在积极利用 Openfire 消息传递服务器中的一个高严重性漏洞，使用勒索软件加密服务器并部署加密挖矿程序。Openfire 是一种广泛使用的基于 Java 的开源聊天 (XMPP) 服务器，下载量达 900 万次，广泛用于安全的多平台聊天通信。该漏洞编号为 CVE-2023-32315，是一种影响 Openfire 管理控制台的身份验证绕过方式，允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。攻击者使用这些帐户安装恶意 Java 插件（JAR 文件），这些插件执行通过 GET 和 POST HTTP 请求接收的命令。第一个额外的有效负载是一个基于 Go 的加密挖掘木马，称为 Kinsing。

https://nvd.nist.gov/vuln/detail/CVE-2023-32315

---

4 攻击者利用开源窃取程序Exela针对Discord用户发起攻击

研究人员发现基于 Python 的开源窃取程序Exela Stealer，它具有广泛的反调试和反虚拟机 (VM) 技术，使其成为攻击者的有力工具。Exela 主要针对 Discord 用户，通过修改 Windows Discord 客户端来窃取敏感信息，包括登录凭据、个人数据，甚至可能是财务信息。Exela 窃取程序还旨在针对多个浏览器的数据和凭据。它还可以从各种应用程序中窃取会话详细信息，包括流行的社交媒体平台和游戏平台。通过 Discord 渠道泄露数据的能力表明了 Excela 背后的攻击者不断演变的策略，他们利用合法平台进行恶意目的。

https://cyble.com/blog/exela-stealer-spotted-targeting-social-media-giants/

---

5 科威特财政部遭遇网络攻击后隔离部分政府系统

科威特政府正在从影响其财政部的勒索软件攻击中恢复。勒索软件攻击于 9 月 18 日开始，政府官员立即试图分离并关闭受影响的系统。官员们试图消除人们对工人无法获得工资的担忧，并重申支付和工资系统位于单独的网络上。政府表示，自网络攻击发生的第一天起，我们就将财政部的系统与其他政府机构的系统隔离，财政部组建了一个由包括国家网络中心在内的多个实体组成的技术团队，一家专业且可靠的国际公司的帮助。财政部确认，政府机构工人工资的所有数据都存储在财政部的系统中，并记录了金融交易。所有政府机构都在继续正常运作。周一早上，Rhysida 勒索软件团伙将该部添加到受害者名单中，并给政府 7 天的时间支付未公开的赎金。

https://therecord.media/auckland-university-operating-cyberattack?&web_view=true

---

6 ShadowSyndicate组织利用多达7种勒索软件进行网络攻击

网络安全专家揭露了一个名为ShadowSyndicate（以前称为 Infra Storm）的新网络犯罪组织，该组织在过去一年中可能利用了多达 7 个不同的勒索软件系列。ShadowSyndicate 是一个威胁行为者，与各种勒索软件组织和勒索软件计划的附属机构合作。该攻击者自 2022 年 7 月 16 日开始活跃，与 Quantum、Nokoyawa、BlackCat、Royal、Cl0p、Cactus 和 Play 病毒株相关的勒索软件活动有关，同时还部署了现成的后利用工具，例如 Cobalt Strike和Sliver以及IcedID和Matanbuchus等加载器。这些发现基于在 85 台服务器上发现的独特 SSH 指纹，其中 52 台已被用作 Cobalt Strike 的命令和控制 (C2)。这些服务器中有八个不同的 Cobalt Strike 许可证密钥（或水印）。研究人员还发现将 ShadowSyndicate 连接到 TrickBot、Ryuk/Conti、FIN7 和TrueBot恶意软件操作的其他基础设施重叠。

https://www.group-ib.com/blog/shadowsyndicate-raas/

---