每日安全简讯(20231107)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现新型macOS恶意软件KandyKorn


研究人员在一次攻击活动中发现一款名为KandyKorn的新macOS恶意软件，这是一起针对一家加密货币交易平台区块链工程师的攻击活动，并被归因于APT组织Lazarus。攻击者在Discord频道中冒充加密货币社区的成员，并诱导用户下载一个名为'Cross-platform Bridges.zip'的恶意ZIP压缩文件。该压缩文件中的Python脚本（Main.py）将从ZIP文件中导入13个模块，并执行第一个载荷Watcher.py；Watcher.py是一个下载器，将从Google Drive中下载另一个名为FinderTools的Python文件；FinderTools是一个分发器，获取并启动一个名为SugarLoader的混淆二进制文件，SugarLoader与C2服务器进行连接，以将最终的载荷KandyKorn加载到内存中。KandyKorn是一个后门程序，能够检索数据、遍历目录、上传及下载文件、终止进程，支持接收并执行16个指令。

https://www.elastic.co/security-labs/elastic-catches-dprk-passing-out-kandykorn

---

2 研究人员发现名为Socks5Systemz的代理僵尸网络


研究人员发现了一个由恶意软件PrivateLoader和Amadey传播的代理僵尸网络，这两个加载器经常被攻击者用来传播一种恶意软件并建立僵尸网络，研究人员将此种用于构建代理僵尸网络的恶意软件命名为Socks5Systemz。这个代理恶意软件并不是新发现的，在Twitter上最早可以追溯到2016年。研究人员发现了与这个恶意软件相关的几个服务器，以及一个Telegram用户，他通过利用这个代理僵尸网络建立了一个完整的代理服务。该代理服务允许客户选择从1美元到4000美元不等的订阅，交易使用加密货币进行。根据分析，这个僵尸网络感染了全球各地大约10000个系统。

https://www.bitsight.com/blog/unveiling-socks5systemz-rise-new-proxy-service-privateloader-and-amadey

---

3 研究人员发现新型远控木马Sayler RAT

研究人员在VirusTotal上发现一个没有被检测到的Java存档（JAR）文件，并在分析后发现它是一种远控木马，将其称为Sayler RAT。研究人员表示Sayler RAT是被用来针对波兰用户进行攻击的，其恶意功能包括键盘记录器、信息窃取器、屏幕捕捉、勒索软件以及其他附加功能。攻击者使用socket连接来实现远控木马与C2服务器之间的通信，以实现数据交换、远程控制访问等功能，并利用Discord webhook从受害者的系统中窃取数据。目前该远控木马的部分模块还不完整，这表明它可能仍处于开发阶段。

https://cyble.com/blog/new-java-based-sayler-rat-targets-polish-speaking-users/

---

4 Atlassian通知用户对Confluence安全漏洞进行修复

Atlassian警告管理员，他们发现了一个公开可用的漏洞利用程序，可以对一个关键的Confluence安全漏洞进行利用。该漏洞被标记为CVE-2023-22518，是一个不正确授权漏洞，影响Confluence Data Center和Confluence Server软件的所有版本。Atlassian表示，尽管目前尚未发现已知的活跃利用报告，但客户必须立即对该漏洞进行修复。攻击者可以利用该漏洞删除受影响服务器上的数据，但不能用来窃取数据。

https://www.bleepingcomputer.com/news/security/atlassian-warns-of-exploit-for-confluence-data-wiping-bug-get-patching/

---

5 Okta遭受网络攻击并泄露134个客户的数据文件


Okta证实，从2023年9月28日到2023年10月17日，攻击者未经授权地访问了Okta的客户支持系统中与134个客户相关的文件。其中一些文件是包含会话令牌的HAR文件，这些令牌可以被用于进行会话劫持攻击。攻击者能够使用这些会话令牌劫持其中5个客户的合法Okta会话，1Password、BeyondTrust和Cloudflare在检测到未经授权的Okta管理员帐户登陆尝试后，向Okta通知了相关的可疑活动。尽管Okta没有说明攻击者是如何窃取服务帐户凭证的信息，但该公司表示最有可能泄露这些凭证的途径是员工个人Google帐户或受感染的个人设备。

https://www.bleepingcomputer.com/news/security/okta-breach-134-customers-exposed-in-october-support-system-hack/

---

6 BrickLink网站遭受网络攻击

BrickLink网站目前无法正常访问，其网站中显示的通告表示Bricklink正在调查一些异常活动并暂时关闭了网站。有几名BrickLink用户声称已收到或看到黑客发来的勒索消息，攻击者要求支付价值5万欧元的加密货币以恢复网站的正常运行。目前，BrickLink仍在调查处理此次事件，未发布关于此次事件的详细说明，尚不清楚发生了什么以及可能已经泄露了哪些数据。

https://www.hackread.com/lego-marketplace-bricklink-hacked-website-down/

---