每日安全简讯(20240313)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress插件漏洞导致3300个站点遭黑客攻击

自2023年12月以来，黑客通过利用WordPress Popup Builder插件中的一个已知漏洞(CVE-2023-6000)，发起了一系列针对性的攻击行动。据研究人员报告，在这次的攻击中，超过7100个使用了弱点版本的WordPress插件的站点被Balada Injector恶意软件感染。最近三周内，一个新的恶意软件活动利用相同的漏洞感染了超过3300个网站。研究人员已经在1170个网站上检测到Balada Injector恶意软件的存在。攻击者利用弱点在网站的wp_postmeta数据库表中注入恶意代码，并触发多个与Popup Builder 事件处理器相关的事件。这些攻击起源于2024年2月12日注册的两个域名。为防止进一步的感染，网站管理员应立即升级至Popup Builder插件的最新版本，并且彻底清除已感染网站上的恶意代码及可能存在的后门。

https://blog.sucuri.net/2024/03/new-malware-campaign-found-exploiting-stored-xss-in-popup-builder-4-2-3.html

---

2 黑客利用Dropbox发送钓鱼邮件植入恶意软件

研究人员最近观察到，攻击者在针对一名客户的钓鱼攻击中恶意利用了Dropbox。在一月份，攻击者通过发送包含恶意链接的钓鱼邮件，来自合法的Dropbox地址，进而威胁到了该客户的软件即服务(SaaS)环境。虽然邮件来源和Dropbox链接看似合法，但研究人员发现一个红旗信号：PDF文件中含有一个指向“mmv-security[.]top”域的链接，而这个域在该客户的环境中从未出现过，随后在1月29日再次发送邮件提醒用户打开之前共享的PDF文件。尽管Darktrace已将其归类为垃圾邮件，并应用锁定链接操作，但员工仍打开了邮件并点击了PDF文件中的链接，最终导致与恶意端点建立了连接。这导致了用户关联的内部设备的安全受到威胁，研究人员后来还发现了一系列可疑活动，包括多个异常的SaaS登录、使用VPN服务隐藏位置，以及在受损Outlook账户内创建电子邮件规则来隐藏恶意活动。

https://darktrace.com/blog/legitimate-services-malicious-intentions-getting-the-drop-on-phishing-attacks-abusing-dropbox

---

3 BianLian组织利用JetBrains TeamCity漏洞发动勒索软件攻击

BianLian勒索软件团伙最近被发现在攻击中利用了JetBrains TeamCity软件的多个漏洞。研究人员在调查一起与BianLian勒索软件团伙有关的攻击时发现，攻击者通过利用TeamCity服务器中的漏洞(CVE-2024-27198或CVE-2023-42793)获取了对目标环境的初始访问权。自2022年8月份BianLian勒索软件出现以来，该恶意软件已被用于针对制造业、媒体和娱乐业以及医疗保健等多个行业的攻击。2023年1月，研究人员发布了一个免费的BianLian勒索软件解密工具以帮助受害者恢复被锁定的文件。在此次攻击中，攻击者在受影响的服务器上创建了新用户，并执行了恶意命令进行后期开发和横向移动。攻击者随后在目标环境中发现了两台构建服务器，以此为基础在受害者组织中扩大了攻击范围并进一步进行了开发。研究人员注意到，BianLian团伙在多次尝试执行其定制的GO后门不成功后，转而采用了活在地上(living off the land)的策略，并利用了PowerShell实现的后门。尽管这个PowerShell后门被混淆了，但并没有采用任何新颖的技术来避免被检测或防止恶意软件被分析。

https://www.guidepointsecurity.com/blog/bianlian-gos-for-powershell-after-teamcity-exploitation/

---

4 法国政府机构遭受大规模网络攻击

据法国总理办公室透露，从周日晚间开始，多个法国政府机构遭受了连续的“激烈”网络攻击。尽管法国政府没有提供关于这些攻击的详细信息，但很可能这些机构遭遇了分布式拒绝服务(DDoS)攻击。政府专家表示，尽管攻击强度惊人，但攻击并不复杂，使用的是人们熟悉的技术手段。据法国报纸《世界报》报道，法国总理加布里埃尔·阿塔尔的办公室在3月11日星期一表示，尽管政府能够控制冲击，但多个法国国家机构遭到了“前所未有强度”的网络攻击。安全部门的消息人士告知法国新闻社，政府专家无法将攻击归咎于俄罗斯。总理的工作人员证实，法国政府激活了应急小组以部署反制措施。工作人员确认，对于大多数服务来说，这些攻击的影响已经降低，且已恢复了对国家网站的访问。《Le Monde》继续报道说，包括信息安全机构ANSSI在内的专家服务正“执行过滤措施直到攻击结束”。即使法国官方并未将此次攻击归咎于与俄罗斯有关的威胁行动者，但多个亲俄黑客组织继续因法国对乌克兰的支持而威胁法国政府。近日，亲俄罗斯组织NoName在其Telegram频道上宣布对法国官方发动了一系列成功的攻击。

https://www.lemonde.fr/en/pixels/article/2024/03/11/french-state-services-hit-by-intense-cyberattack-pm-s-office-says_6608164_13.html

---

5 黑客售卖15000余个Roku账户用于非法购物

Roku宣布，超过15000名客户在账户被黑后被用于欺诈性购买硬件和流媒体订阅。这些窃取的账户被黑客以低至每个0.50美元的价格销售，允许购买者利用存储的信用卡信息进行非法购买。Roku首次披露了数据泄露事件，警告称遭受了凭证填充攻击的客户账户为15363个。在这种攻击中，威胁行为者收集在数据泄露中公开的凭证，然后尝试使用它们登录到其他网站。该公司表示，一旦账户被侵入，攻击者就可以更改账户上的信息，包括密码、电子邮件地址和邮寄地址。这实际上将用户锁定在账户外，从而使威胁行为者能够使用存储的信用卡信息进行购买，而合法账户持有者并未收到订单确认邮件。

https://oag.ca.gov/system/files/Template%20Notification%203-8-2024.pdf

---

6 EquiLend警告员工数据在勒索软件攻击中被盗

纽约证券借贷平台EquiLend Holdings在给员工发送的数据泄露通知信中确认，他们的数据在一月份的勒索软件攻击中被盗。为了控制这次安全漏洞，该公司不得不在1月22日将部分系统离线。虽然EquiLend没有立即透露事件的性质，但LockBit勒索软件在接受彭博社采访时声称对此次攻击负责。尽管这家金融技术公司并没有证实LockBit的说法，但它在2月2日通过一个专门用于分享有关次事件更多信息的页面透露，一月份的安全漏洞是由勒索软件攻击造成的。几天后，EquiLend表示所有面向客户的服务已重新上线，并还未发现“客户交易数据在网络攻击期间被访问或带出”的证据。然而，该公司最近在发送给EquiLend员工的违规通知信中确实确认，未具名的攻击者确实窃取了他们的个人身份信息(PII)。该公司表示：“我们正在通知您一起涉及您EquiLend薪酬和其他人力资源信息的近期数据安全事件，包括您的姓名、出生日期和社会安全号码。” EquiLend补充说：“目前，我们的调查没有证据表明有任何个人信息被用来犯下身份盗窃或欺诈。”

https://www.mass.gov/doc/assigned-data-breach-number-2024-459-equilend-holdings-llc/download

---