每日安全简讯(20240802)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 DEV#POPPER黑客组织跨平台攻击开发者

近日，研究人员发现由朝鲜支持的黑客组织DEV#POPPER正在进行一场针对软件开发者的跨平台恶意软件攻击，目标包括Windows、Linux和macOS系统。该攻击活动主要针对韩国、北美、欧洲和中东的开发者，通过伪装成招聘面试引诱受害者下载受感染的软件。攻击链涉及黑客假冒面试官，要求候选人下载包含恶意代码的ZIP档案。档案内的npm模块一旦安装，会执行混淆的JavaScript（即BeaverTail），识别操作系统并与远程服务器建立联系以窃取数据。新版本的恶意软件还包括一个Python后门程序InvisibleFerret，能够收集系统详细信息、访问浏览器中的Cookie、执行命令、上传/下载文件以及记录键盘和剪贴板内容。最新的样本增加了增强的混淆技术、利用AnyDesk软件保持持久性、改进的FTP数据泄露机制等功能。此外，Python脚本还负责从Google Chrome、Opera和Brave等浏览器中窃取敏感信息。

https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/

---

2 XDSpy网络间谍组织针对俄罗斯和摩尔多瓦公司开展钓鱼攻击

研究人员近日发现，一个名为XDSpy的网络间谍组织正在对俄罗斯和摩尔多瓦的公司进行钓鱼攻击。攻击链最终部署了一种名为DSDownloader的恶意软件。XDSpy首次被白俄罗斯计算机应急响应小组在2020年2月发现，其后续分析表明，该组织自2011年以来一直对东欧和巴尔干半岛的政府机构进行信息窃取攻击。最新攻击使用与协议相关的诱饵邮件传播包含合法可执行文件和恶意DLL文件的RAR档案。通过DLL旁加载技术，恶意DLL文件被执行，随后下载并运行DSDownloader。DSDownloader在后台下载下一阶段的恶意软件，同时打开一个诱饵文件以分散注意力。

https://habr.com/ru/companies/f_a_c_c_t/news/831420/

---

3 OneBlood遭勒索软件攻击致血液供应受影响

美国大型非营利血液中心OneBlood近日遭遇勒索软件攻击，导致其IT系统瘫痪，影响血液采集、测试和分发。OneBlood在东南部地区扮演着重要角色，确保稳定的血液供应。此次攻击引发了对手术和治疗可能受影响的担忧。目前，OneBlood已回归手动处理流程，这既耗时又导致库存问题。尽管OneBlood仍在运营，但其采集、测试和分发能力大幅下降。消息人士透露，攻击发生在周末，勒索软件团伙加密了其VMware虚拟机基础设施。OneBlood服务的250多家医院已启动关键血液短缺协议，确保现有血液供应给最需要的患者。为减轻攻击影响，献血中心联盟和AABB灾难应对小组正向OneBlood调配血液产品，确保医院和患者的血液供应持续。

https://www.oneblood.org/pages/ransomware-details.html

---

4 全球领先白银生产商Fresnillo披露网络攻击事件

全球最大的白银生产商Fresnillo PLC近日披露，遭遇了一次网络攻击，导致其系统中的数据被未经授权访问。在发现攻击后，Fresnillo立即采取了应对措施来遏制数据泄露，并与外部法证专家合作调查和评估事件的影响。公司表示，此次网络攻击未对其运营产生影响，也不预期会有财务或实质性影响。Fresnillo强调：“所有业务单位继续运营，未经历或预见到任何重大运营或财务影响。情况将持续评估，直到问题解决。”公司还表示，Fresnillo对网络安全问题极为重视，将继续全面调查此事件并采取适当措施。

https://otp.tools.investis.com/clients/uk/fresnillo_plc4/rns/regulatory-story.aspx?cid=191&newsid=1848251

---

5 俄罗斯黑客利用Sitting Ducks漏洞劫持3万多域名

据研究人员报道，俄罗斯关联的犯罪分子正通过利用DNS服务漏洞，劫持了超过3万个域名。自2019年以来，这些黑客使用一种名为Sitting Ducks的技术，成功控制了大量域名。该技术最早在2016年由研究人员披露，当时他发现主要云服务提供商如AWS、谷歌和Digital Ocean存在DNS漏洞，导致12万个域名被劫持。Sitting Ducks漏洞源于不完善的商业流程，而非代码错误，因而难以解决。该技术比其他域名劫持方法更容易实施，成功率更高且难以检测。

https://eclypsium.com/blog/ducks-now-sitting-dns-internet-infrastructure-insecurity/

---

6 西悉尼大学披露重大数据泄露事件

澳大利亚西悉尼大学近日披露，一次重大数据泄露事件导致黑客在其Microsoft Office 365环境中窃取了多达580TB的数据，包括教职工和学生的个人信息。调查显示，黑客在2023年5月首次入侵，并持续到2024年1月，期间获悉黑客利用了大学的Solar Car实验室基础设施进行部分攻击。此次攻击还涉及大学的Isilon存储平台，黑客于2023年7月入侵，并在2024年3月16日前持续访问存储数据。受影响的数据包括个人身份信息如姓名、联系方式、出生日期、健康信息、政府身份证明文件、税号、银行账户信息和养老金详情，也涉及工作场所行为和健康安全相关的敏感信息。虽然大学未披露具体受影响的学生和教职工人数，但此前已通知约7500名学生他们的数据受到了影响。西悉尼大学强调，此次未经授权的访问未影响日常运营，也未收到要求金钱换取不公开私人信息的威胁。同时，暗网监控未发现黑客上传被盗数据的证据。

https://www.westernsydney.edu.au/news/cyber-incident

---