每日安全简讯(20240818)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯黑客通过假冒品牌网站传播DanaBot与StealC恶意软件

2024年8月16日，研究人员揭露了一项复杂的信息窃取行动，由俄罗斯黑客组织Tusk策划。该行动通过假冒合法品牌的网站和社交媒体账户传播DanaBot和StealC恶意软件。研究人员发现，该行动包括19个子活动，其中3个目前仍在活跃中。攻击者通过Dropbox托管的下载器向受害者设备传送恶意软件，包括信息窃取器和剪贴板劫持器。这些恶意程序不仅窃取个人和金融信息，还可入侵游戏账户和加密货币钱包。研究指出，黑客利用了用户对知名平台的信任，通过网络钓鱼和多阶段恶意软件投放机制，展示了其先进的攻击能力。

https://securelist.com/tusk-infostealers-campaign/113367/

---

2 新型恶意软件针对macOS系统上的100多种浏览器扩展进行攻击

2024年8月16日，研究人员发现了一种新型的恶意软件——Banshee Stealer，该软件专门针对Apple的macOS系统。Banshee Stealer在网络黑市上的售价高达每月3000美元，支持x86_64和ARM64架构。该恶意软件具有广泛的攻击能力，能够针对包括Google Chrome、Mozilla Firefox、Brave等在内的多种浏览器以及大约100种浏览器扩展和多种加密货币钱包进行攻击。它还能够收集系统信息、iCloud Keychain密码和Notes数据，并通过反分析和反调试措施来规避检测。Banshee Stealer利用osascript伪装成假密码提示框，诱使用户输入系统密码，从而提升权限。它还会收集特定文件类型的数据，并将其打包成ZIP文件上传到远程服务器。

https://www.elastic.co/security-labs/beyond-the-wail

---

3 研究人员深入解析MariaDB RCE漏洞及其模拟攻击

研究人员深入分析了MariaDB和Percona Server中的远程代码执行漏洞CVE-2021-27928。此漏洞影响多个版本的MariaDB、Percona Server和MySQL的wsrep插件，允许攻击者通过不受信任的路径注入恶意代码。攻击者可以利用此漏洞在系统上执行任意代码，甚至获取反向Shell。通过Docker模拟攻击过程，研究人员展示了如何通过设置wsrep_provider和wsrep_notify_cmd系统变量来触发漏洞，并执行恶意.so库文件。研究人员已通过将相关变量设为只读修复了此漏洞。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/deep-dive-and-simulation-of-a-mariadb-rce-attack-cve-2021-27928/

---

4 攻击者利用公开的.env文件进行云账户入侵与敲诈活动

研究人员报告了一项大规模敲诈活动，攻击者通过公开的环境变量文件（.env）入侵了多个组织的云和社交媒体账户。攻击者在受害者的AWS环境中建立基础设施，扫描超过2.3亿个唯一目标以获取敏感数据。此次攻击共涉及110000个域名，窃取了90000个独特变量，其中包括7000个云服务和1500个社交媒体账户的凭证。攻击者通过将勒索信放入被盗数据的云存储容器中进行敲诈，而非加密数据。此攻击不依赖于云服务的安全漏洞，而是利用了不安全的公开.env文件。攻击者利用AWS IAM访问密钥创建新角色，执行自动化的全球扫描操作，最终通过将被盗数据上传至受控的AWS S3桶并要求赎金。

https://unit42.paloaltonetworks.com/large-scale-cloud-extortion-operation/

---

5 多阶段ValleyRAT恶意软件利用高级战术针对用户展开攻击

研究人员揭示了一项针对用户的复杂恶意软件攻击活动。该活动使用了名为ValleyRAT的多阶段恶意软件，具有高度的隐蔽性和攻击性。ValleyRAT通过各种技术监控和控制受害者，并通过在内存中直接执行shellcode减少了其在系统中的文件足迹。攻击过程始于伪装成合法应用程序的第一阶段加载程序，例如“工商年报大师.exe”或“补单对接更新记录txt.exe”。执行这些伪装文件后，恶意shellcode被加载并进入下一个攻击阶段，同时进行虚拟机检测以确保环境的真实性。加载程序还会验证是否在虚拟机中运行，并利用合法的二进制文件（fodhelper.exe）来提升权限，绕过用户账户控制（UAC）。ValleyRAT的第二阶段涉及运行RuntimeBroker和RemoteShellcode组件，这些组件从指挥和控制（C2）服务器下载后，继续部署恶意插件和配置持久性。RuntimeBroker负责从C2服务器检索Loader组件，RemoteShellcode则用来获取最终的ValleyRAT下载器，并通过UDP或TCP套接字连接到服务器。

https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers

---

6 阿拉巴马心脏科诊所数据泄露影响28.1万患者

阿拉巴马心脏科集团（Alabama Cardiology Group）近期披露，约28.1万名当前及过去的患者、医生和员工的敏感信息遭遇黑客攻击。该集团隶属于Grandview医疗中心，涉及的敏感数据包括个人身份信息、社会保险号、健康保险信息、用户名及密码等，甚至包括金融信息如信用卡和银行账户信息。黑客攻击发生在2024年6月6日至7月2日之间，攻击者通过网络服务器获得了这些信息。阿拉巴马心脏科集团在7月2日发现网络遭到未授权访问后，将网络与互联网断开，并随即通知了执法部门和联邦监管机构。专家指出，此次攻击可能与凭证滥用有关，表明安全措施存在不足。

https://www.acgsecurityincident.com/

---