每日安全简讯(20240321)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《通过Github传播窃密木马的攻击活动分析》报告

近期，安天CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件requirements.txt中添加恶意URL，以获取其恶意篡改的流行开源模块，从而在受害者电脑中植入窃密木马。攻击者使用空格将恶意代码掩藏在该行代码的末尾，以避免被用户察觉；并使用多种手段对恶意代码进行混淆处理，以规避安全产品检测、阻碍安全人员分析。经过多层脚本载荷的传递后，将执行一种由Python编写的窃密木马。该窃密木马会在受害主机中窃取浏览器、社交平台、加密货币钱包、游戏客户端中的敏感信息，并针对目标路径中匹配关键词的文件夹及文件进行窃取，最终将窃密数据回传至C2服务器或上传至文件共享平台Gofile中。在此次攻击活动中，攻击者在自己发布的项目中引入经过恶意篡改的流行开源模块，从而传播窃密木马。对流行的开源项目进行篡改，在其中添加恶意代码后重新打包并在发布的项目中进行恶意引用，已经成为一种攻击方式，用户很难察觉环境依赖文件中是否存在异常。

https://mp.weixin.qq.com/s/4M0ojVKiroUcNnsfWA3zYQ

---

2 DEEP#GOSU新恶意软件攻击活动针对Windows系统

研究人员近日发现一场名为DEEP#GOSU的新型攻击活动，利用PowerShell和VBScript恶意软件攻击Windows系统，并窃取敏感信息。研究人员通过技术分析指出，该恶意软件运用高级技术，能够在Windows系统中悄无声息地执行操作，尤其在网络监控方面。DEEP#GOSU被认为与朝鲜支持的黑客组织Kimsuky相关。该恶意软件的功能包括记录键盘操作、监控剪贴板内容、执行动态有效载荷以及使用远程访问工具软件(RAT)、计划任务和自执行的PowerShell脚本等方式，保持对受感染系统的持久访问。值得注意的是，该攻击活动使用了像Dropbox或Google Docs这类合法服务作为命令与控制(C2)服务器，这使得犯罪分子的网络流量能够在正常流量中隐匿起来。初步感染通常来自一封含有ZIP归档的恶意电子邮件附件，装有假冒PDF文件的快捷方式(.LNK)。这些.LNK文件嵌入了PowerShell脚本，并使用了幌子PDF文档。PowerShell脚本还会连接到由攻击者控制的Dropbox基础设施，以取回并执行另一个PowerShell脚本。另一方面，第二阶段的PowerShell脚本会从Dropbox检索新文件，该文件是.NET组建的二进制形式文件，实则为一个名为TruRat的开源远端访问木马，具备记录键盘操作、管理文件和远程控制的功能。

https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign/

---

3 黑客利用假谷歌站点传播AZORult木马病毒

近期，研究人员发现了一种新的恶意软件活动，攻击者通过制作伪造的谷歌站点页面，并采用HTML走私技术，传播一种名为AZORult的商业恶意软件以窃取信息。研究人员发布的报告中指出，这种钓鱼活动尚未归咎于特定的威胁行为者或团伙，但已广泛展开，目的是收集敏感数据并在黑市论坛出售。AZORult是一种信息窃取软件，最初于2016年被检测到。它通常通过钓鱼和垃圾邮件活动、为盗版软件或媒体植入的特洛伊木马以及通过恶意广告传播。一旦安装，它就能够收集来自Web浏览器的凭据、cookie和历史记录、屏幕截图、匹配特定扩展名的文档(例如.TXT，.DOC，.XLS，.DOCX，.XLSX，.AXX，和.KDBX)，以及来自137种加密货币钱包的数据。在最新的攻击活动中，攻击者创建了伪造的谷歌文档页面，并使用HTML走私技术传递恶意载荷。当受害者被诱导打开钓鱼邮件中的欺骗性页面时，浏览器就会解码脚本并在主机设备上提取有效载荷，有效绕过了常规安全控制。此次AZORult活动通过增加验证码障碍，不仅增加了合法性的外表，还充当了针对URL扫描器的额外保护层。

https://www.netskope.com/blog/from-delivery-to-execution-an-evasive-azorult-campaign-smuggled-through-google-sites

---

4 黑客测试“会话溢出”攻击绕过AI安全

根据研究人员的最新发现，网络犯罪分子正在测试一种新型攻击手段“会话溢出”，旨在绕过基于机器学习(ML)的安全控制系统。此技术使用分为两部分的掩码邮件：一部分对收件人可见，诱使其输入凭证或点击链接；另一部分则隐藏，包含大量无害文本。通过在两部分之间巧妙插入空格，攻击者欺骗ML算法，使其将邮件归类为无害。此类攻击对传统基于“已知恶意签名”数据库的安全措施构成了重大挑战。一旦攻击成功突破安全防线，攻击者就可以发送伪造的信息，要求接收者重新验证凭证，进而窃取高级管理人员的登录信息，再在暗网论坛上出售。研究人员对这种攻击技术可能广泛传播的潜在后果表示了深切的担忧，并暗示网络犯罪分子可能在积极开发一套全新的工具，这将加剧此类攻击的影响，可能给组织和个人带来灾难性后果。

https://slashnext.com/blog/new-attack-techniques-to-bypass-machine-learning-security-controls/

---

5 乌克兰网络警察逮捕出售1亿黑客账户嫌犯

乌克兰的网络警察部门近日成功协同国家警察，逮捕了三名涉嫌非法出售超过1亿份被盗电子邮件和Instagram账号的黑客。这三人通过执行暴力破解攻击获取了账户凭证，随后将其在暗网市场和黑客论坛上出售给其他网络犯罪分子。警方在基辅、敖德萨、文尼察和伊万诺-弗兰科夫斯克的住所执行了七次突击搜查，缴获了超过70件计算机设备和14部手机，以及超过3000美元的信用卡和现金。这三人被控未经授权访问信息系统和网络，根据乌克兰法律，他们可能面临长达15年的监禁。警方还在调查被盗账户是否被与俄罗斯有关的国家行为体所利用。此外，警方建议用户启用双因素认证并使用强密码来保护自己的账户。

https://cyberpolice.gov.ua/news/pryvlasnyuvaly-oblikovi-zapysy-korystuvachiv-internetu--kiberpoliczejski-xarkivshhyny-vykryly-chleniv-zlochynnogo-ugrupovannya-3502/

---

6 苏格兰健康局遭网络攻击面临数据泄露风险

2024年3月15日，服务于苏格兰西南部地区的NHS Dumfries and Galloway健康局宣布遭受了一次有针对性的持续网络攻击。尽管具体攻击方式未公开，健康局已警告表示有大量患者和员工数据可能已被泄露。目前，该健康局已经启动既定应对协议，正在与多个合作机构紧密合作，包括Police Scotland、国家网络安全中心(NCSC)和苏格兰政府，旨在控制攻击、调查数据泄露范围并减轻潜在损害。该网络攻击可能导致NHS Dumfries and Galloway的服务中断，潜在影响包括病患预约、在线服务的访问或内部行政职能。该健康局提示，尚未确定确切被访问的数据类型，但可能包括姓名、地址、病历记录和国民保险号等敏感信息。NHS Dumfries and Galloway呼吁员工和病患保持警惕，特别是对任何试图获得个人信息或财务详情的可疑电子邮件或电话。他们建议个人不要点击来自未知发件人的链接或打开附件，并立即报告任何可疑活动。

https://www.nhsdg.co.uk/cyberattack/

---